上市公司CIO內(nèi)控管理和信息化建設(shè)

財政部會計司綜合處處長,內(nèi)控標(biāo)準(zhǔn)委員會家成員胡興國中國石油化工股份有限公司信息系統(tǒng)管理部處長姜林用友公司ＮC產(chǎn)品架構(gòu)師付建華女士河北網(wǎng)通信息化部高級工程師屈玉閣浪潮通軟副總裁兼技術(shù)總監(jiān)魏代森中國鋁業(yè)信息部的楊磊國際信息系統(tǒng)審計師協(xié)會北京事務(wù)委員會主席何迪生摩卡軟件高級售前顧問周立民EＭC信息安全事業(yè)部中國區(qū)資深技術(shù)顧問馮崇彪信息中心主任張艷下面我們有請財政部會計司綜合處處長,內(nèi)控標(biāo)準(zhǔn)委員會家成員胡興國.?胡興國：各位領(lǐng)導(dǎo),嘉賓，上午好.

今天能有這個機會我想給大家匯報一下財政部會同另外四各部位關(guān)于標(biāo)準(zhǔn)建設(shè)實施情況,我匯報情況叫我國企業(yè)內(nèi)部控制標(biāo)準(zhǔn)建設(shè)與實施。?匯報5個問題，一個是我們啟動標(biāo)準(zhǔn)建設(shè)的規(guī)定，第二就是匯報我們企業(yè)內(nèi)部控制建設(shè)歷程，第三簡單匯報一下標(biāo)準(zhǔn)建設(shè)框架體系,第四簡單介紹一下信息化,風(fēng)險管理與內(nèi)部控制關(guān)系，最后大家探討一下企業(yè)在事實內(nèi)控標(biāo)準(zhǔn)應(yīng)該做一些什么工作。?第一部分是就是它的意義，我從三個部分進行總結(jié)，大家知道去年５月11日,財政部,證監(jiān)會,保監(jiān)會，還有審計署同時頒發(fā)了基本規(guī)范,我們也在北京召開了發(fā)布會標(biāo)志著我們國家企業(yè)內(nèi)部控制標(biāo)準(zhǔn)建設(shè)，有了重要階段性成果.當(dāng)前世界金融危機給我們國家造成很多機遇,我們做了一個調(diào)研企業(yè)加強內(nèi)部建設(shè)，提升自身的能力是非常重要.第二就是中央提出走出去戰(zhàn)略，國家起草規(guī)范和技術(shù)出發(fā)點，要企業(yè)做強做大，幫助他們國外資本市場進行融資，特別是是美國，英國，法國,包括我們香港都有一些要求。第三就是滿足我們資本市場發(fā)展需要,我們國家資本市場公開，公平，公正,提高財政的信息質(zhì)量,提升我們經(jīng)營管理水平，可持續(xù)發(fā)展,還有保護我們廣大投資者利益。第二部分就是發(fā)展歷程，我們國家企業(yè)內(nèi)部控制建設(shè)從70年代就是改革開放以后，特別是我們第一部會計法的實施,這是一個標(biāo)準(zhǔn)性階段。在滿足社會不同需要,在這個過程我們出現(xiàn)過滿足核算制度等等。早在70年代末期，80年代初，包括我們提出崗位分離等等.９0年代的時候，特別是我們會計法實施的時候財政部96年發(fā)布會計規(guī)范，規(guī)范要求各單位進一步建立健全包括內(nèi)部控制先進內(nèi)部會計管理制度，會計法明確要求各單位建立內(nèi)部管理，這是我們內(nèi)部管理的法律依據(jù)，到２001年６月22日,財政部依據(jù)會計法規(guī)定又制定了企業(yè)內(nèi)部會計控制規(guī)范,基本規(guī)范和后備資金,０4年相繼發(fā)布了銷售與收入增加,發(fā)布了1＋6的等各項制度。第三階段以我們發(fā)布的金融規(guī)范，來源主要是美國安然事件以后,采捕正有關(guān)領(lǐng)導(dǎo)，把安然事件對我們國家的意義報個國務(wù)院，國務(wù)院領(lǐng)導(dǎo)同志做了批示,這項工作財政部牽頭，證監(jiān)會,國資委配合,建立中國的塞班斯法,到２0０7年，財政部，銀監(jiān)會,國資委等聯(lián)合發(fā)起成立我國企業(yè)內(nèi)部標(biāo)準(zhǔn)委員會，委員會委員是31位，我們成立了8個咨詢小組，8個小組去年我們把這個小組又擴大了，委員從3１名發(fā)展大5０人，咨詢小組現(xiàn)在有１50人，當(dāng)時我們發(fā)布規(guī)范發(fā)布了１７項具體規(guī)范。我剛才說５月22日我們發(fā)布節(jié)本規(guī)范，要求7月1日正式實施.第三部分給大家匯報一下，基本規(guī)范的框架體系。框架體系是一個規(guī)范加三個指引,一個是基本規(guī)范已經(jīng)發(fā)布了，內(nèi)部標(biāo)準(zhǔn)體系是最高層次，有的人說是中國的塞班斯法,第二是主要是對企業(yè),對企業(yè)有內(nèi)控企業(yè)的主體。幫助企業(yè)建立體系，第三系評價指標(biāo)，是企業(yè)內(nèi)部必須做的評價包括自我評價，怎么評價。第四是審計指引，會計事務(wù)所執(zhí)行內(nèi)部審計?；疽?guī)范主要是有概念,目標(biāo)，原則，要素.我們提出了概念,當(dāng)時我們國家內(nèi)部控制很多部門都有，包括我們銀行，銀監(jiān)會,包括我們的證監(jiān)會,包括我們兩個交易所，我們部門把概念統(tǒng)一一下。目標(biāo)有三個目標(biāo)，我們提出5個目標(biāo),我們是5目標(biāo),原則，要素.應(yīng)用指引，給我們發(fā)布了征求意見，目前2１個應(yīng)用指引，加上審計指引，加上評價指引,一共是2３個,我們財政部部長簽發(fā)了，審計署也簽了。我們應(yīng)用指引主要是2１個分布,一個是針對企業(yè)管理,我們根據(jù)基本規(guī)范有5個一個是統(tǒng)一架構(gòu)，一個是發(fā)展戰(zhàn)略,一個是人力資源，還有社會責(zé)任和企業(yè)文化。這5個我們是怎么每一個構(gòu)架都差不多，我就舉一個社會責(zé)任框架，我們第一就是整合，提出它的概念什么是社會責(zé)任,我們再提出中心有哪些,社會責(zé)任我們提出4個中心點，安全生產(chǎn)，不落實可能導(dǎo)致企業(yè)生產(chǎn)事故,第二產(chǎn)品質(zhì)量惡劣,會侵害消費者利益,可以導(dǎo)致企業(yè)破產(chǎn)，大家知道河北石家莊三鹿開奶粉事件,第三是環(huán)保投入不足,資源消耗大，造成環(huán)境污染，資源枯竭,缺乏發(fā)展后勁一是一個風(fēng)險。?第四我們說促進就業(yè)和員工權(quán)益保護，我們金融危機背景下，擴大就業(yè)，保內(nèi)需，增長，我們從企業(yè)角度。第一是控制環(huán)境，第二是資源，包括資金活動，我們以融資，投資這一塊我們放在一些活動里面,還有采購業(yè)務(wù)，還有負債管理，銷售,研發(fā)，工程項目，服務(wù)外包等等。應(yīng)用指引形式都差不多，比如說采購應(yīng)用，我們主要是支付環(huán)境，包括購買環(huán)節(jié)，要采購申請,招標(biāo)，確定供應(yīng)商,供應(yīng)價格，報批核準(zhǔn)等等，每個環(huán)節(jié)進行控制,第三是控制手段，包括全面預(yù)算，風(fēng)險管理，內(nèi)容信息傳遞，信息系統(tǒng)，財務(wù)報告。?第四針對特殊行業(yè)或者行業(yè)的控制，包括銀行業(yè),證券期貨業(yè)務(wù)，保險業(yè)務(wù)個個應(yīng)對指引.再說一下就是評價制度,作為企業(yè)內(nèi)部管理涉及到運行效果和自我評價，為了方便起見,我們起草了一個對企業(yè)內(nèi)部控制,內(nèi)部評價指標(biāo),包括內(nèi)容，標(biāo)準(zhǔn)，程序，方法,包括報告形式,我們選擇企業(yè)報告的基本是從1月2日，１2月３1作為一個會計年計表,也可以選擇6月３0號自查報告也有了新的形式我們參考的深交所還有美國塞班斯法正在研究,報告形式可能要分兩部分，第一個是對環(huán)境評價,對業(yè)務(wù)流程通過一些表格，數(shù)據(jù)一些量化標(biāo)準(zhǔn)。企業(yè)怎么判斷你的是否存在重大缺陷,下面就是審計制度，主要是事務(wù)所接受企業(yè)審計。從我們目前起草稿子我們指引分四各類型,一個就是標(biāo)準(zhǔn)，還有在強調(diào)時間段和保留意見，還有否定一些意見，還有無法表明一些意見，和我們財務(wù)報告差不多，這個也有一些具體指標(biāo).我簡單匯報一下框架體系。?第四部分我們匯報一下內(nèi)部控制與風(fēng)險管理的信息化，我們是怎么理解的。內(nèi)部控制和風(fēng)險管理,實際上存在一些爭議，理論界對這一問題,人事部統(tǒng)一，有人認為內(nèi)部控制與風(fēng)險管理是兩回事，兩張皮,也有人形象說內(nèi)部控制是“正確的做事”，風(fēng)險管理是“做正確的事"。從我們制定基本規(guī)范角度出發(fā)點，我們認為內(nèi)部控制和風(fēng)險管理不是兩張皮，應(yīng)該是一個完整和有機融合,我們認為內(nèi)部控制主要是企業(yè)內(nèi)容風(fēng)險，包括你可控風(fēng)險也包括不可控風(fēng)險，但是都要做。所以我們基本規(guī)范風(fēng)險評估，有風(fēng)險識別,分析，經(jīng)營存在的風(fēng)險，戰(zhàn)略,決策等等。第二對國際先進研究成果與經(jīng)驗看,應(yīng)該是有機融合的趨勢。看與風(fēng)險之間的感到我們是這樣理解的.那樣控制與信與化,信息化會計信息化有財政部會計司也說，8０年代我們在全國積累了很多經(jīng)驗,在電算化的一些標(biāo)準(zhǔn),0８年１1月12日我們財政部會同其他8大部委在北京成立會計信息化,包括還有ＸＢRL中國地區(qū)組織。經(jīng)過２0多年的努力，在會計信息化工作方面給我們發(fā)了一個指導(dǎo)意見,這項工作從我們司角度，已經(jīng)成為工作重點。會計信息化與內(nèi)部控制信息化還是有一點區(qū)別，這一方面從我們內(nèi)控角度，我們單獨有一個信息系統(tǒng)這方面的指引，我相信這個會內(nèi)部控制好，要做得好,對大多數(shù)企業(yè)來說很重要的。隨著科技發(fā)展水平越來越先進，所以信息化一定要跟內(nèi)容控制有機融合起來.信息系統(tǒng)我個人理解不僅是本身需要控制，最主要是在內(nèi)容控制和風(fēng)險管理中，能發(fā)揮很大的作用，提高工作效率,能夠節(jié)約很多成本。第五部分,我匯報一下企業(yè)如何實施內(nèi)容控制規(guī)范。我們知道原來定今年7月1日上市公司開始實施,考慮到因為我們一系列的具體的應(yīng)用目前還沒有發(fā)布，加上我們審計指引,發(fā)布以后還要有一段時間消化吸收還要有一個過程，由于金融危機影響，我們調(diào)研一些企業(yè)他們關(guān)注點說法不一樣，有的說我們現(xiàn)在經(jīng)濟不景氣，我們練內(nèi)功吧，有的關(guān)注不是這個關(guān)注經(jīng)濟增長率，所以經(jīng)過部里面領(lǐng)導(dǎo)多年的慎重研究，目前我們調(diào)整到2010年1月1日，原來是在境外上市公司實施,考慮到情況其他上市公司、其他企業(yè)也執(zhí)行.這套體系下來已經(jīng)做了調(diào)研實施成本是非常大,實施難度還是有一定難度的，目前需要財力,人力資源，所以我們想這個中國在境外上市有4個國家。實施原定7月１日實施,有一個自查報告，2010年１2月31日，我們還有一年半的時間,我們的有一些企業(yè)有完善的標(biāo)準(zhǔn)、完善的制度體系,我們宣傳和應(yīng)用。下半年我們就做一個宣傳和培訓(xùn)工作，我們目前正在緊鑼密鼓的籌備當(dāng)中。目前我們跟蹤一些大的企業(yè)看看他們的實施效果。企業(yè)在貫徹實施內(nèi)部控制規(guī)范制度,我個人理解應(yīng)該從下面６個方面。第一個方面就是要強化宣傳培訓(xùn),提高內(nèi)部的認識。不管7月1日執(zhí)行不執(zhí)行,上市公司總是要執(zhí)行，只是一個時間問題，延續(xù)明年下半年,或者后年總之是要執(zhí)行的，所以工作還要往前做。所以要宣傳培訓(xùn)提高認識。第二點就是要健全內(nèi)控機構(gòu),提供組織保障。不少企業(yè)有內(nèi)控部、有風(fēng)險部,有的是單獨設(shè)立了內(nèi)控部門,有的是放在財政部下面,有內(nèi)控部。形式不一樣,但是我們從基本規(guī)范角度要求，要設(shè)立機構(gòu)配備人員。第三點要循序漸進，穩(wěn)步實施，不是哪一個部門,不是我們財務(wù)部一下子的事，是需要多個部門配合。對于企業(yè)因為差別很大，差別很多,千差萬別基礎(chǔ)也不一樣，建議分步驟、分層次的進行。選擇境外上市公司執(zhí)行,考慮境外上市公司資本市場是適合公眾利益,執(zhí)行效果好壞事關(guān)資本市場的穩(wěn)定,但是上市公司基礎(chǔ)較好，人員素質(zhì)較高,本身有完善的內(nèi)部控制的制度體系，同時也有雄厚財力支持，所以選擇境外上市是有扎實的基礎(chǔ)。第五點我們建議注重實施成本,講究實施成本。第六就是強化內(nèi)部控制建設(shè),增加風(fēng)險防范能力，應(yīng)該進行統(tǒng)一協(xié)調(diào)。最后一點就是要企業(yè)善于借助外部資源，合理利用外腦.企業(yè)在實施過程中內(nèi)部控制標(biāo)準(zhǔn)體系過程中,讓人感覺到這方面人才，智力資源的局限于可以借助外部咨詢機構(gòu)，中介機構(gòu)，幫助你設(shè)計，避免少走彎路.同時讓咨詢機構(gòu)培訓(xùn)自己的人才，這樣提高企業(yè)綜合管理水平.我要匯報簡單給大家匯報一下的是我們財政部牽頭這項工作的基本思路，不對之處請大家指正謝謝大家。主持人:非常感謝胡處長的發(fā)言,下面我們有請來自IDSSｃheｅr咨詢經(jīng)理闞相元先生發(fā)言.?闞相元:各位領(lǐng)導(dǎo)，各位來賓,大家早上好.?我代表Ｓcheeｒ公司，與大家分享一下我們內(nèi)控風(fēng)險管理的認識和經(jīng)驗。?在正式演講前我們Ｓcｈeer公司是德國著名管理信息學(xué)教授在1９99年建立的，進入中國是２00４年，目前公司在北京上海,還有深圳，有三個辦公室,在中國主要是提供兩個方面大的分別服務(wù)一個是SＡP實施和核心EＲＰ系統(tǒng)咨詢服務(wù)。第二服務(wù)我們公司業(yè)務(wù)流程管理系統(tǒng)核心包括風(fēng)險和內(nèi)控建設(shè)，進入中國時間雖然很短但是我們在中國市場獲得很多客戶,包括一些跨國公司。

今天的演講分三個方面去介紹,首先，跟大家分享我們看到國內(nèi)管理的企業(yè)在整個內(nèi)控與風(fēng)險管理建設(shè)方面遇到一些挑戰(zhàn)和困惑。第二，我們看到信息化系統(tǒng)在解決這些困惑和挑戰(zhàn)方面起到什么樣的作用。第三個方面,我們會用一個具體的案例介紹一下兩個方面.我們現(xiàn)在企業(yè)面臨很多的要求，要求我們企業(yè)加強內(nèi)控風(fēng)險管理，我們分析了一下,這些要求不外乎是從四個角度出發(fā),比如說國資委的《中央企業(yè)全面風(fēng)險管理指引》，從是保護股東權(quán)益角度出發(fā)，還有保護公眾權(quán)益出發(fā)的，還有一個是專業(yè)的行業(yè)部門,為了保障行業(yè)穩(wěn)定發(fā)展，尤其是金融行業(yè),比較明確是我們有銀行的一些管理辦法。還有保險業(yè)，還有政府部門維護整個市場經(jīng)濟經(jīng)濟角度出臺一些要求.比如說財政部內(nèi)部控制規(guī)范,這些核心思想是結(jié)合本企業(yè)自身特點，一些基本參考框架建管理體系，實際上和我們在很很早之前做的ISO的應(yīng)用是一樣的道理,無外乎我們要參照基本要求建立企業(yè)自身特點的管理體系，我們有很多客戶交流,尤其是一些國有大中型企業(yè)，和上市公司交流大家會遇到一些困難,我們遵循上交所規(guī)范，和財政部規(guī)范，還有國資委中央企業(yè)風(fēng)險管理的要求.我們怎么保證一套體系滿足這些要求，我們要分門別類地架構(gòu)我們的體系，我們企業(yè)肯定是不堪重負。我們仔細分析了一下及我們以財政部和國資委兩個法律法規(guī)要求看，他們是不矛盾、不沖突的。他們的核心思想是一樣的，比如說我們財政部內(nèi)部控制基本規(guī)范,提高我們內(nèi)部控制體系核心要素分為五個部分,我們國資委前面風(fēng)險管理執(zhí)行里面也提到很多條,但是他們明顯有一個明確的供應(yīng)關(guān)系，我們認為我們結(jié)合一些國內(nèi)外的案例,《企業(yè)的內(nèi)控與前面風(fēng)險管理指引》，有不同政策要求,但是我們都何以分成三個層面理解，首先一個層面我們要結(jié)合我企業(yè)特點,識別出我們的風(fēng)險或者是控制點，設(shè)立我們相應(yīng)對的控制措施,是我們整個體系設(shè)立層面。第二，我們要把我設(shè)立措施應(yīng)急方案在企業(yè)內(nèi)部推廣也是一個控制實施過程,第三我們保證體系健康發(fā)展，做工作對體系運行設(shè)計和工作實施情況,進行監(jiān)督,對不足之處改進，確保我們整個體系設(shè)計是合理的,執(zhí)行是到位的，這樣一個體系。根據(jù)我們對不同客戶的交流按，發(fā)現(xiàn)大家面臨一些一樣的困惑，所有管理政策要求核心要求是基本是一致的，第一就是要設(shè)計符合企業(yè)內(nèi)部業(yè)務(wù)特點的管理體系,并且這個管理體系要能夠根據(jù)公司業(yè)務(wù),比如說組織架構(gòu)調(diào)整進行及時調(diào)整。第二就是我們要把體系形成文件，作為我們執(zhí)行和審計的依據(jù),作為監(jiān)督改變的依據(jù).這樣我們看到整個企業(yè)面臨兩個方面的挑戰(zhàn)，第一我們體系改革的中心、編制審核很難跟得上業(yè)務(wù)變化，組織是在不斷調(diào)整，業(yè)務(wù)流程是不斷變化的,信息系統(tǒng)建設(shè)是逐步推進，每次做這種變革需要我們重新審計這些文件。第二就是我們體系文件難以根據(jù)外部環(huán)境變化進行及時調(diào)整。在控制實施方面，所以體系文件我們看到有兩個要求,一個是根據(jù)設(shè)計的方案，我們體系設(shè)計與執(zhí)行的一致性。第二就是實施過程當(dāng)中你要保留一些可以審計，檢查,這樣一些依據(jù)，比如說控制實施了,要留下相應(yīng)證明文件.這樣我們可以看到有很多企業(yè)面臨兩方面挑戰(zhàn)，第一就是缺乏有效的發(fā)布實施平臺，我們做這個文件怎么能夠讓我企業(yè)內(nèi)部從高層到基層管理，大家都知道,業(yè)務(wù)當(dāng)中執(zhí)行這是一個挑戰(zhàn)。第二就是胡處長提到我們企業(yè)控制點很多，我有的客戶有5千個控制點，如果全部用人工進行控制的時候，控制成本會很高。這是面臨兩個挑戰(zhàn)，在整個體系監(jiān)督和改進方面，有兩個核心管理要點，我們要對體系設(shè)計合理性，實施徹底性監(jiān)督并且定期出一些評價。第二我們評價監(jiān)督資料要保留一下，可以供外部或者是企業(yè)的監(jiān)督點所使用。這樣我們可以看到企業(yè)里面有兩個方面要求,第一就是我們體系監(jiān)督本身工作量很大,協(xié)調(diào)的難度也很高,這樣導(dǎo)致我們合規(guī)的成本是很高的，第二就是我們需要和一些企業(yè)定期每季度，每年度要做監(jiān)督測試的工作，這些工作資料實際上對我們整個體系持續(xù)優(yōu)化是很重要。但是我們很多企業(yè)做完以后,發(fā)現(xiàn)資料量太大，我將來不會再利用，達不到我們持續(xù)優(yōu)化的目的.上面這些挑戰(zhàn)直接導(dǎo)致后果就是四個,一個首先合規(guī)成本很高，我們看到很多企業(yè)最早國內(nèi)企業(yè)是遵循美國的《薩班斯法案》,動員內(nèi)部很多力量，才能完成合規(guī)工作。第二,很多企業(yè)抱怨，我是把風(fēng)險控制住了,但是我們業(yè)務(wù)效率降下來，業(yè)務(wù)要不斷識別風(fēng)險，滿足內(nèi)控部門要求。第三導(dǎo)致的后果是我們很難持續(xù)地合規(guī)，今年可能通過，明年能不能通過還是一個未知數(shù).第四是企業(yè)很難滿足不斷增加的內(nèi)部的合規(guī)要求,我們國內(nèi)上市公司面臨這個困難很明顯，最早是滿足《薩班斯法案》,國內(nèi)又提出，國資委又提出要求，最近在財政部也提出要求，企業(yè)怎么滿足不同需求。這個我們認為可以借鑒向國外上市的公司,用《薩班斯法案》上市的經(jīng)驗，可以分五個階段。第一個階段是企業(yè)如何去控制規(guī)范,企業(yè)具體要求是什么，第二就是我要建立業(yè)務(wù)體系,第三就是我們要內(nèi)部體系進行評價,第四個階段我們企業(yè)面臨挑戰(zhàn)就出來了，企業(yè)尋求信息化的手段,首先想到信息化手段我們要把我的內(nèi)控測試，監(jiān)督工作流信息化，我們要把整個體系文件信息化管理，第五階段我們更高層面規(guī)范我把業(yè)務(wù)標(biāo)準(zhǔn)化,很多跨國公司很多相同業(yè)務(wù)存在,他們風(fēng)險是類似,也是可借鑒的。如果不存在業(yè)務(wù)單元，業(yè)務(wù)列成標(biāo)準(zhǔn)化,我風(fēng)險的數(shù)量會大大降低，這是流程標(biāo)準(zhǔn)化.最后就是他會有一些信息化的手段實現(xiàn)我們業(yè)務(wù)和我們內(nèi)控有機融合的目的。這是我們所面臨些挑戰(zhàn)與啟示,下面給大家介紹一下我們在內(nèi)控和風(fēng)險管理的一些解決方案和想法。我們認為國資委前面發(fā)的指引也好,或者是財政部規(guī)范也好，明確提出企業(yè)在內(nèi)控風(fēng)險管理過程當(dāng)中充分發(fā)揮信息系統(tǒng)作用，也結(jié)合我們在國外的一些經(jīng)驗，我們現(xiàn)在解決模塊就是6大模塊，基本涵蓋我們整個內(nèi)控和風(fēng)險管理過程。第一就是我們首先一個建模模塊,可以把企業(yè)內(nèi)部業(yè)務(wù)和整個風(fēng)險和內(nèi)控風(fēng)險體系文件進行管理。第二是風(fēng)險事件的管理模塊,我們怎么建立風(fēng)險事件部。第三是風(fēng)險評估模塊，我們把風(fēng)險評估任務(wù)分到各個管理部門把所有風(fēng)險進行排序。在第二層面控制實施模塊有兩個,一個是幫助發(fā)布實施模塊，我們可以給企業(yè)業(yè)務(wù)流程，讓業(yè)務(wù)流程管理人員共同使用。第二是監(jiān)控及預(yù)警的模塊。我們一些業(yè)務(wù)的指標(biāo)，資金流動性等等這些指標(biāo),第三層面就是我們有一個監(jiān)督改進模塊，可以使整個體系監(jiān)督測試工作機械化。我們在跟企業(yè)溝通過程中有一些問題,我們體系文件問題是很多，我們用大量文檔，我們看到表述了企業(yè)業(yè)務(wù)實際情況的文檔,還有一些風(fēng)險矩陣,包括一些制度組織，發(fā)信這些文件是分散，在業(yè)務(wù)上是有聯(lián)系,但是在管理手段是沒有聯(lián)系，我們怎么做風(fēng)險識別呢？我們系統(tǒng)有一個基于一個數(shù)據(jù)庫把我們整個企業(yè)業(yè)務(wù)現(xiàn)狀和風(fēng)險控制集成化進行對象化的建模。我們左側(cè)看到了一個流程，我們發(fā)現(xiàn)有一個風(fēng)險點,這個風(fēng)險點有一些控制措施，基于控制措施的執(zhí)行情況，由于會有一個監(jiān)督測試措施，針對這些測試我們制訂一些人員,在系統(tǒng)里面把有機關(guān)聯(lián)起來，進入一個建模?；谖覀冃畔⒒Ｊ娇梢赃M行快速分析，我可以知道我們企業(yè)業(yè)務(wù)存在哪些風(fēng)險,我知道哪些管理這些風(fēng)險，哪些風(fēng)險是在哪些流程上這樣我可以很容易抓住一些風(fēng)險的重點,并且我們業(yè)務(wù)管理軟件有一個很好作用我能夠把企業(yè)里面對于同一個業(yè)務(wù),從不同管理體系的要求,都在這業(yè)務(wù)流程表述出來,比如說從質(zhì)量管理方面的要求，安全管理信息的要求,內(nèi)控管理信息的要求。在整個表當(dāng)中我們可以看到三套流程框架,我在具體執(zhí)行業(yè)務(wù)過程中我到底要執(zhí)行哪套業(yè)務(wù)，執(zhí)行哪些要求,我們這個系統(tǒng)是可以把所有管理體系的要求落實到一個業(yè)務(wù)流程體系,這是同一個業(yè)務(wù)流程進行集中化的管理。在我們系統(tǒng)可以根據(jù)不同管理體系要求，我們質(zhì)量管理要求,內(nèi)控管理要求，再出具不同的業(yè)務(wù)報表.我們的系統(tǒng)最重要一個點我們可以搭建一個業(yè)務(wù)部門和風(fēng)險管理共同使用平臺，首先我們業(yè)務(wù)人員和風(fēng)險管理人員可以進行業(yè)務(wù)的建模和風(fēng)險管理建模,形成一個企業(yè)管理知識庫,管理人員可以看我們風(fēng)險點,業(yè)務(wù)人員可以看業(yè)務(wù),并且可以滿足跨地域的支持。綜合來講，在這一塊特點主要有兩個,第一搭建業(yè)務(wù)人員和風(fēng)險管理人員共同使用平臺，第二我們可以提高業(yè)務(wù)流程風(fēng)險管理制度的效果，前面講到可以減少工作量。第二跟大家介紹一下我們風(fēng)險評估的模塊，是一個風(fēng)險評估軟件，在我們風(fēng)險評估內(nèi)部發(fā)起到外心,到風(fēng)險評價結(jié)果分析，前后我們都可以在系統(tǒng)里面完成.最后系統(tǒng)要給企業(yè)管理層幾個報表，比如說定量分析的熱圖,定性分析的熱圖.并且我們可以根據(jù)我們多次評估結(jié)果掌握不同風(fēng)險變化趨勢。這個風(fēng)險評估解決方案特點,主要有兩個，第一我們通過流程信息化,我們把風(fēng)險評估工作，信息化以后,固化以后可以建立一個持續(xù)風(fēng)險評估機制,比如說對某一個風(fēng)險要半年評估一次，到期的時候,系統(tǒng)會自動發(fā)起評估任務(wù)，可以確保風(fēng)險評估任務(wù)的工作，第二我們基于同一個平臺進行風(fēng)險評估可以保障所有風(fēng)險在同一個平臺實現(xiàn),可以掌握所有的風(fēng)險的情況.第三個模塊是我們風(fēng)險損失事件管理,可以通過一個工作流建立一個數(shù)據(jù)庫,給我們提供一些風(fēng)險借鑒的案例，比如說我們看到一個信譽風(fēng)險有幾次，原因是什么，這樣對我們風(fēng)險識別有一些啟示作用。它的特點有兩個，一個是通過信息化建立一種固化持續(xù)化的風(fēng)險機制，第二建立公司統(tǒng)一可以對風(fēng)險應(yīng)對提供一些數(shù)據(jù)化的支持.

第四是我們監(jiān)控和預(yù)警的模塊，這個模塊最大的特點是我們可以從企業(yè)業(yè)務(wù)系統(tǒng)里面提取業(yè)務(wù)數(shù)據(jù),進行指標(biāo)的監(jiān)控基于規(guī)則的事件識別。我們系統(tǒng)最大的特點數(shù)據(jù)功能是非常強大,可以跟現(xiàn)在所有的業(yè)務(wù)系統(tǒng)和數(shù)據(jù)庫可以進行數(shù)據(jù)的收集和對接，我們可以把企業(yè)很多關(guān)心情況展開的地方,可以預(yù)警展開指標(biāo)的情況,從而實現(xiàn)風(fēng)險之前的管理和運營。我們設(shè)計了一些業(yè)務(wù)規(guī)則,看系統(tǒng)里面我們業(yè)務(wù)操作過程中有沒有按照這些規(guī)則做，實現(xiàn)過程控制，還可以提供一些選擇功能。比如說我們能夠看我們的職責(zé),在各種信息系統(tǒng)里面落實情況,檢查全面配制的正確性,合理性.最后是我們測試和評價模塊,這個模塊主要是通過測試和實現(xiàn)對我們體系監(jiān)督評價，這樣我們的軟件也是一個工作流軟件,涵蓋了從測試任務(wù)的發(fā)起到測試工作的進入，到統(tǒng)計分析到改進工作跟蹤，全過程涵蓋.它的最大特點能夠和我們建模模塊做最初體系軟件,進行數(shù)據(jù)同步，保證我們在監(jiān)督測試的時候,我們看到和我們體系設(shè)計的初衷是一直的。最后它這個系統(tǒng)有一個很大的統(tǒng)計分析功能，出一些多緯度測試結(jié)果,內(nèi)控和風(fēng)險管理績效考核,不同業(yè)務(wù)哪塊業(yè)務(wù)做不好,哪一塊風(fēng)險管理不好。我們可以從不同角度,或者和哪些科目相關(guān)的風(fēng)險控制點到位不到位.我們通過流程信息化建立個測試及整改的工作機制，第二我們系統(tǒng)和我們體系管理系統(tǒng)進行數(shù)據(jù)接口，保證在測試過程中使用所有的文檔都是集成的，不用工作人員手工做很多文件，第三簡化我們大量工作,提高我們的工作質(zhì)量.下面我們簡單介紹一下我們在德國做的案例，這是一家在國外上市的大型國有企業(yè)，最初就是做內(nèi)控項目是從《薩班斯法案》開始,在遵循《薩班斯法案》過程中他發(fā)現(xiàn)有幾個方面挑戰(zhàn)，第一是業(yè)務(wù)流程管理水平很低，增加了內(nèi)控管理的難度,影響內(nèi)控管理工作的落實。缺乏一套可以全面表述工作情況的文件，不能不全面的表述出工作業(yè)務(wù)的實際情況，要識別風(fēng)險加以控制這是一個很大的挑戰(zhàn).第二是他的組織人員非常龐大，他體系管理難度是很大.第三挑戰(zhàn)他的內(nèi)控監(jiān)督測試的組織，工作難度很大,測試成本很高，用的幾百人的人力進行一年工作,才能做完,首先有很多的工作細節(jié)導(dǎo)致很多測試成本不是很高。根據(jù)這樣的特點,我設(shè)計了基于風(fēng)險管理的系統(tǒng)，首先把我們業(yè)務(wù)和體系文件管理起來,第二做人力和測試模塊。第三就是我們要把做完的業(yè)務(wù)和體系文件發(fā)布出來，同時這個系統(tǒng)還能夠支持我基于同一套流程,可以滿足我內(nèi)控也可以滿足我ＥRP實施的要求，還有一些指標(biāo)的控制.做的第一個工作首先是我們把業(yè)務(wù)進行全面梳理，從橫向到縱向可以保證我業(yè)務(wù)真實的業(yè)務(wù)狀況?；谶@情況我們看每一個業(yè)務(wù)流程里面有那些風(fēng)險點，業(yè)務(wù)目標(biāo)是什么,有哪些不確定的因素，針對風(fēng)險點我們有哪些是控制措施，風(fēng)險管理，控制執(zhí)行我們怎么測試進行一個統(tǒng)一規(guī)則進行了一個描述,以后我們可以發(fā)布出來企業(yè)管理的內(nèi)容庫，這樣我的業(yè)務(wù)人員在維護人員可以看我每一個業(yè)務(wù)要求,風(fēng)險管理人員可以快速看到的風(fēng)險可以到那個里面去。通過前面講的測試的管理和測試的統(tǒng)一分析,極大地節(jié)省了他們的人力與物力。這樣以后我們跟客戶一起總結(jié)，整個做完以后收益是體現(xiàn)三個方面，第一是通過風(fēng)險管理工作,進行業(yè)務(wù)流程標(biāo)準(zhǔn)化,加強企業(yè)規(guī)范化指引，提高業(yè)務(wù)管理水平，這是客戶一個收益。第二提高內(nèi)控管理的工作效率和質(zhì)量，降低我們合規(guī)化成本，主要是信息化手段降低了工作量提高效率降低了合規(guī)成本.第三方面的收益實現(xiàn)了內(nèi)控管理和業(yè)務(wù)經(jīng)營活動的有機融合，過去內(nèi)控風(fēng)險管理工作就是風(fēng)險管理部門工作,業(yè)務(wù)部門是對專業(yè)部門去推動的，這樣一個雙方抵觸的情緒。通過這樣一個程序雙方可以落實,把我控制風(fēng)險融合到業(yè)務(wù)當(dāng)中去,實現(xiàn)業(yè)務(wù)管理工作和風(fēng)險控制的有機融合，我們對內(nèi)部監(jiān)督測試過程也是對我們業(yè)務(wù)執(zhí)行力的檢查，也是業(yè)務(wù)執(zhí)行的保障。今天時間有限給大家介紹就到此為止，謝謝大家。主持人：非常感謝闞先生。下面一個討論主題是“中國石化信息化建設(shè)和內(nèi)部控制體系"，有請中國石油化工股份有限公司信息系統(tǒng)管理部處長姜林。?姜林：各位領(lǐng)導(dǎo),嘉賓上午好。?我匯報題目是“中國石化信息化建設(shè)和內(nèi)部控制體系”,匯報的內(nèi)容包括中國石化基本情況,信息化建設(shè)和應(yīng)用情況,信息系統(tǒng)內(nèi)部體系，IT內(nèi)部體系。中國石油化工股份有限公司是由中國石油化工集團公司,國家中華人民共和國公司法多家發(fā)行方式,２０００年2月2５日設(shè)立股份制公司，分別在香港、紐約、倫敦,三地交易所成功發(fā)行上市。２００1年7月16日上海證券交易所成功發(fā)行了28億A股，截至２0０8年年底中國石化總股本857億股.中國石化是中國最大能源化工公司之一，主要從事石油與天然氣開采開發(fā).管道運輸銷售，石油煉制、化工、化纖、化肥等等產(chǎn)品輸送。石油、天然氣、石油產(chǎn)品、化工與其他化工產(chǎn)品進出口代理進出口業(yè)務(wù)。技術(shù)信息研究開發(fā)應(yīng)用,中國石化是中國最大的石油產(chǎn)品,包括汽油、柴油等主要石油產(chǎn)品,也是中國第二大原油生產(chǎn)商.中國石化建立了規(guī)范的治理機構(gòu),實行了集中決策風(fēng)險管理和專業(yè)化經(jīng)營事業(yè)部,事業(yè)部管理體制，中國石化有全股子公司，包括煉油、化工產(chǎn)品銷售等企業(yè).主要是集中在中國最發(fā)達的東部和南部的地區(qū)。中國石化更加注重科學(xué)創(chuàng)新、管理創(chuàng)新，努力把石化建設(shè)成為能源化工公司。中國石化最大股東中華石油化工集團公司是國家在原中國石化公司總基礎(chǔ)之上,１998年成立了特大型石油石化集團，美國《財富》雜志2008年世界500強中國石化名列第16位.第二方面是信息化建設(shè)了應(yīng)用情況，２000年以來，中國石化以ERＰ為主線信息化建設(shè)獲得快速發(fā)展，到2008年底ＥRP在81家企業(yè),以ERP為帶動電子商務(wù)系統(tǒng)、供應(yīng)鏈系統(tǒng)、生產(chǎn)指揮系統(tǒng)、集中管理系統(tǒng),一些先進控制生產(chǎn)集成系統(tǒng)，等多種使用系統(tǒng)都得到了廣泛的應(yīng)用。目前信息技術(shù)應(yīng)用解決中國石化生產(chǎn)管理多個領(lǐng)域，中國石化ＥRＰ開始于２０00０年，在4企業(yè)成功試點多個展開，包括油田,煉油化工銷售，企業(yè)全部覆蓋，企業(yè)從業(yè)大規(guī)模ERＰ建設(shè)，2０07年底基本完成,ＥRP系統(tǒng)推進資金改革提高管理水平,規(guī)范信息管理行為，強化控制方面效果明顯。中國石化通過采購電子商務(wù)系統(tǒng)從２０0８年８月投入至今,網(wǎng)上采購結(jié)果88個單位，5千個物資擴大到目前５0多個單位,76萬多個效果，90%的物資實現(xiàn)了網(wǎng)上采購，到０９年3月網(wǎng)上采購資金突破６千億，集約采購2０0多億.對供應(yīng)鏈系統(tǒng)經(jīng)過幾年建設(shè),提高原油采購，運輸、加工，供應(yīng)鏈管理系為煉油企業(yè)講穩(wěn)增效起來發(fā)揮了重要的作用。人員統(tǒng)一調(diào)配,用統(tǒng)一安排格局及實現(xiàn)技術(shù)指標(biāo)分割，數(shù)據(jù)采集，監(jiān)控分析，有效地降低用戶費用和財務(wù)費用。目前總部生產(chǎn)系統(tǒng)以新大樓統(tǒng)一運行,實現(xiàn)調(diào)度跟蹤,系統(tǒng)各項部門功能得到有效應(yīng)用，總部集中了平臺,用戶總體不斷擴大.目前已建成IC卡聯(lián)網(wǎng)加油站17０00多戶，發(fā)卡網(wǎng)點5000多,持卡消費33%以上.增產(chǎn)集成系統(tǒng)用三年左右時間提高到２到４個小時完成,為企業(yè)降低能耗提升精細化管理水平有很大的改善。其他應(yīng)用系統(tǒng)，全面運算系統(tǒng)等油田企業(yè)煉化企業(yè)、教授企業(yè)、科研工程單位信息化建設(shè)也得到了深刻發(fā)展.第三是信息系統(tǒng)的內(nèi)控體系,我們03年成立了內(nèi)部指導(dǎo)小組,成立專門辦公室,組織協(xié)調(diào)內(nèi)控建設(shè)和實施工作。應(yīng)對不同市場,借鑒美國經(jīng)驗提出內(nèi)部控制框架，公司經(jīng)營財務(wù)有大關(guān)鍵劃界,制訂了內(nèi)部手冊,經(jīng)過測試于2０05年1月１日起，在公司正式實施內(nèi)控制度，經(jīng)過四年多實踐,內(nèi)部范圍控制逐漸擴大，覆蓋了中國石化所有活動內(nèi)控體系。中國石化內(nèi)部控制手冊2００９年版有18大類，配套相關(guān)總部管理制度244個,各分公司規(guī)定了工作流程結(jié)合本單位。為了保障內(nèi)控管理有效實施,辦法內(nèi)部控制辦法,在總部分公司兩個層面使用。中國石化內(nèi)部控制手冊2009版本有17個流程，基本全部實現(xiàn)了信息化,另外５個業(yè)務(wù)流程為IＴ部門流程，其他業(yè)流程暫時沒有實施信息化,或者與信息化無關(guān).第四個問題向大家匯報一下中國石化ＩT控制體系。中國石化ＩT控制體系包括IT內(nèi)部業(yè)務(wù)流程，ＩT一般性控制，和IT應(yīng)用控制。20０3年建立了信息系統(tǒng)管理業(yè)務(wù)流程，２00５年啟動ＩT控制工作，２0０6年建立了ＩT一般性控制，２００7年結(jié)合ERＰ系統(tǒng),應(yīng)用系統(tǒng)和基礎(chǔ)設(shè)施IT一般性控制流程。2０08年ＩＴ控制體系進一步完善，并將重點專項ＩT應(yīng)用控制，2009年隨著深化ＥRP應(yīng)用進一步深化IＴ應(yīng)用控制。ＩT一般性控制包括企業(yè)整體層面IT控制，和企業(yè)活動層面IT控制,近期系統(tǒng)管理業(yè)務(wù)流程IT體現(xiàn)包括與管理體系，信息化教育培訓(xùn)及憑險評估,信息安全管理重要控制內(nèi)容.有關(guān)活動層面IT要求，通過ERP系統(tǒng)控制流程等體現(xiàn)，EＲP系推ＩT一般性流程，包括和數(shù)據(jù)訪問，程序變更等等,業(yè)務(wù)流程IT一般性控制流程，主要財務(wù)報告是生成相關(guān)，如ERP財務(wù)報告系統(tǒng)，加油卡系統(tǒng)流程包括程序變更,訪問方面內(nèi)容.結(jié)合網(wǎng)絡(luò)服務(wù)器，機房設(shè)計。流程包括機房管理,故障處理方面內(nèi)容。

中國石化ＩT一般性控制主要和信息系統(tǒng)日常管理結(jié)合，經(jīng)過幾年扎扎實實的工作，對外部省市認為中國石化IT控制到位,保障信息系統(tǒng)安全，穩(wěn)定系統(tǒng)方面發(fā)揮重要作用，中國石化IT控制主要有EＲP系統(tǒng)應(yīng)用結(jié)合，EＲP系推是中國石化主要系統(tǒng),比如說計劃控制、一般控制、價格控制等等，自動平衡資源及實現(xiàn)資金流,物流等等.通過發(fā)揮系統(tǒng)集成，滿足用戶管理要求，實現(xiàn)IT控制目標(biāo)。中國石化內(nèi)部控制手冊設(shè)置５０多個流程，以2７個業(yè)務(wù)流程與ERP有關(guān),總體實現(xiàn)配制控制，輸出輸入控制,包括時期控制、操作規(guī)范控制,日常操作，垃圾數(shù)據(jù)操作。用戶檢驗包括組織值，關(guān)鍵詞代碼，以及系統(tǒng)機構(gòu)控制。ERP全面實施落實ＩT控制提供標(biāo)準(zhǔn)平臺，有利實現(xiàn)ＩT控制目標(biāo)，提供了有效的保證，實現(xiàn)提供有效保證，在深化ERP系推同時進一步加強的IT控制.主持人：非常感謝姜處長。下面有請網(wǎng)康科技服務(wù)部總監(jiān)陸續(xù)周先生。?陸續(xù)周：很榮幸有這個機會，跟各位專家交流一下內(nèi)控體系，我本身有在一個大企業(yè)做過10年的ＩT系統(tǒng),而且比較早的實現(xiàn)了有關(guān)的業(yè)務(wù)內(nèi)控,我的交流分五個部分,引言,把內(nèi)控條例讀薄。?內(nèi)控剛才也講了是一個全員的工作，尤其是核心團隊共同實施，因為借助信息化實施,所以一般CIＯ比較痛苦，我該怎么辦。其實整個技術(shù)層面內(nèi)控里面是一個支撐,如果說我不能一下子全做到，有一個辦法分布落實，這個時候可以看到把內(nèi)控條例讀薄對我們有很大幫助。一個經(jīng)濟學(xué)的泰斗跟我說過，書里面東西比電視好，書里面東西可以讓人聰明，電視可以讓人變傻,因為書是可以越讀越薄,把內(nèi)控條例讀薄對我們有很大幫助.在這個內(nèi)控條例里面我們最主要是宣傳、培訓(xùn)，讓每一個落實人心，無論是美國的安然,還是經(jīng)濟危機美國企業(yè)高管,依舊發(fā)高額年薪,往往是因為人的不當(dāng)操作導(dǎo)致,內(nèi)控精髓是規(guī)范人的行為，讓規(guī)范深入人心,同時讓人難以有意、無意違反這個條例。所以我的標(biāo)題就是“內(nèi)控以人為本"。我覺得要想把內(nèi)控讀薄有很多范圍，畫了四個框。首先內(nèi)控是一把手工程,從董事會,最高層要重視.第二點是整個核心團隊，共同參與設(shè)計不要指望就是IT部門做內(nèi)容不可能。但是ＩT部門的這種支撐、架構(gòu)是必不可少,我們內(nèi)控所有流程都在支撐系統(tǒng)中,人的大腦效率是很低，我們一定確保內(nèi)控條例,確保我們規(guī)范真正深入人心。往往人懂了不抵觸，就會知道這樣的好處。我以前的公司老板跟員工說我為什么要做好控制，因為只有我們控制住我們才可以活著，如果公司不好，員工得不好，所以公司６00人一樣可以進行很好了內(nèi)控體系，我們有了框架以后我們怎么把內(nèi)控體系讀薄，構(gòu)成一個企業(yè)無非是兩種,一個是活生生的人,還有一個是企業(yè)資產(chǎn),同時我們業(yè)務(wù)運作有業(yè)務(wù)流程和財務(wù)流程，是我們要做內(nèi)控體系要關(guān)注方面,把我們這些梳理清楚以后,有了這些關(guān)注點以后，我們怎么對每一個點進行內(nèi)控規(guī)范設(shè)計，在內(nèi)控條例章節(jié)里面可以看到，第一章第六節(jié),權(quán)責(zé)分配、企業(yè)愿景、人力獎懲、可審計、反舞弊。每一個設(shè)計流程關(guān)鍵點切分,每個點都很重要,但是每一個點流程應(yīng)該怎么做的，第一我們處理任何一個流程,任何關(guān)注點的時候我們要遵循第二章到五節(jié)第一風(fēng)險分析，控制措施，信息溝通，監(jiān)督檢查，一點可以分成２0個操作步驟，不管有多少點我要抓住關(guān)鍵操作過程就一定可以做下去,我本來想畫一個四維圖，本人美工有限畫不出來。我覺得還有一個很大的緯度就是我們網(wǎng)絡(luò)，內(nèi)部和外部網(wǎng)絡(luò),有這么多點我已經(jīng)知道了,那么我該怎么做，今天有做窗效應(yīng)。如果我想做窗等到我們所有的窗戶一次性采購?fù)?這樣的話讓別人認為窗戶破是應(yīng)該的，不破窗戶我要打破，這個是一個很知名的效應(yīng)叫“破窗效應(yīng)"。這樣的話用最快的效益，把能夠修復(fù)好盡快修好,給人一個意識我不能再打破其他窗戶了.這種思路一定要灌輸，內(nèi)控條例里面有沒有可以盡快修復(fù)破窗呢。這是整個架構(gòu)內(nèi)部外部網(wǎng)絡(luò)，內(nèi)部網(wǎng)絡(luò)關(guān)注于每個企業(yè)的個性，比如說金融、石化、科研、政府內(nèi)網(wǎng)一定不一樣。一個是設(shè)備制造商內(nèi)網(wǎng)一定不一樣,它的流程很復(fù)雜，外部網(wǎng)絡(luò)比如說我訪問互聯(lián)網(wǎng)、訪問郵件、訪問外部應(yīng)用是有通用的，是一種普適性很強的，不妨我們從最容易下手的地方下手,把破窗破除掉。這是我的心得,內(nèi)控先找軟柿子捏，在這種外網(wǎng)互聯(lián)網(wǎng)環(huán)境里面我們可以看到，它實際上貫徹了一個企業(yè)企業(yè)文化,企業(yè)愿景,就是人員基礎(chǔ)，我們利用互聯(lián)網(wǎng)知道應(yīng)該做什么，不應(yīng)該做什么，這個是通用而不準(zhǔn)則，因為是一個基礎(chǔ)所以很重要，因為通用是一個軟柿子,很成熟不需要我們太多考慮我們業(yè)務(wù)的關(guān)注點，在外界很多大量已經(jīng)成熟可用的方法，來破除破窗.同時互聯(lián)網(wǎng)這種行為是人的第二人生,可以反映出一個企業(yè)人的文化、思路、想法。因為我們曾經(jīng)給客戶做咨詢的時候，我們很輕松發(fā)現(xiàn)哪些員工想跳槽,是一個人的思路直接體現(xiàn),所以當(dāng)我們了解人的思路以后,了解了關(guān)鍵點之后,我們想讓我們其他規(guī)范深入人心會變得很容易。所以說互聯(lián)網(wǎng)行為的內(nèi)控實際上是一個已經(jīng)成熟，而且成本效應(yīng)更高的軟柿子，我們不妨從這里下手.內(nèi)控為兩種，那么互聯(lián)網(wǎng)內(nèi)控,問題到底在哪里，我們現(xiàn)有體系是不是已經(jīng)把內(nèi)控實現(xiàn)了。我們來看一下,根據(jù)我們服務(wù)過很多客戶的角度看,第一現(xiàn)有狀況很普遍，內(nèi)網(wǎng)IＴ沒有認證，沒有專業(yè)互聯(lián)網(wǎng)接入的安全體系,會導(dǎo)致我們內(nèi)部的人員根本不知道誰做的，我相信我們越大的網(wǎng)絡(luò)越會采用動態(tài)的成本,這種情況我們怎么知道誰做了什么事，我們不能關(guān)注到人何談內(nèi)容，沒有權(quán)限、沒有規(guī)范。第二，我們互聯(lián)網(wǎng)上可以看到無論是ＨTTＰ網(wǎng)頁下載，還是最流行的Ｐ２P下載，還是IM的收取，都是面臨企業(yè)挑戰(zhàn)希望員工不違背的事情,大概3０％是國家級的網(wǎng)站,我聽到收音機,說北京市青少年每周平均上網(wǎng)時間是３7。5小時，如果按8小時工作日,將近5天，而且其中有一半的學(xué)生訪問過色情網(wǎng)站。實際上可以看到這里面網(wǎng)頁的問題很大,同時像P２P基本上沒有太多用來傳數(shù)據(jù),基本上是娛樂。像ＩM、UML都是我們想控制的，但是卻控制不住。第三點實際上在我們外網(wǎng)業(yè)務(wù)我們?nèi)鄙儆行С隹?，我不知道外面的文字是什?這時候帶來是本身在金融危機下避免風(fēng)險是最主要的事情，規(guī)避風(fēng)險，那么因為我們無法控制,接入的風(fēng)險就很大。同時我們企業(yè)機密，核心信息往外發(fā)送是太簡單容易的事情，我印象最深當(dāng)時國內(nèi)兩大運營商,簽署互不侵犯條約，這個時候我們對數(shù)據(jù)保護來說存在很多的問題。其實我們IＴ系統(tǒng)最重要是要付出有所得,由于我們局域網(wǎng)帶寬很大,運營商核心網(wǎng)帶寬也很大，我們想讓企業(yè)網(wǎng)能夠匹配這個大小不可能.第五點最重要的一點,跟企業(yè)文化有關(guān)系，我們在一個專業(yè)的報表里面可以看到,我們員工在互聯(lián)網(wǎng)上，只有45％是查詢有效資料，其它的是在做與工作無無關(guān)的事情。如果一個企業(yè)文是讓員工積極向上,而在某一些工作行為當(dāng)中是積極向下。的確我們想控制,但是為什么控制不之呢,可以看到,安全里面有一個很重要效應(yīng)叫“獨眼鹿效應(yīng)”，這個“獨眼鹿效應(yīng)”我們默認的是防外，不防內(nèi)。第二是說很多我們不希望發(fā)生的行為，往往披一個合法的外衣?，F(xiàn)在可以看到現(xiàn)在的我們信息專家，80端口的迅雷，我們有太多協(xié)議.第三我們內(nèi)容細節(jié)沒有辦法判斷，因為我服務(wù)公司是一個研發(fā)公司,從網(wǎng)絡(luò)傳一個SP是什么我不知道，我只知道是一個文件這種情況我們怎么管理。我們講兩個案例,一個是華為電腦,可以看到300多帶寬7０％以上流量被工作無關(guān)的內(nèi)容占用。第二是國家核電,自成立以來是一個部級單位.為什么和困惑,我不知道網(wǎng)絡(luò)可以傳輸B2ＰＩM里面內(nèi)容是什么，但是我想知道里面內(nèi)容是什么,不能讓里面核心的東西出去，這是我們中國企業(yè)困惑的。在國外企業(yè)來說可以看到通用電器，還有摩根大通、環(huán)球電視，這些都很早做了互聯(lián)網(wǎng)控制。有了這些問題我們怎么做，我們服務(wù)客戶我們覺得我們把這個條例讀清楚,互聯(lián)網(wǎng)技術(shù)層面?zhèn)鹘y(tǒng)的有傳輸?shù)腍TTＰ等等，新興的P2P,等等。在我們內(nèi)控點上結(jié)合我們有哪些，第一主體健全,我們行為要符合企業(yè)遠景，我們行為要可審計，要能給IＴ成本很大收益，我們行為能夠讓人力資源部進行相應(yīng)控制,我這是我們在外網(wǎng)、內(nèi)網(wǎng)的著眼點.管理方法我們在兩年前就提出內(nèi)控風(fēng)險管理，就是一個典型的干預(yù)，大家遵循是螺旋式上升原理，我是任務(wù)模式不是功能模式。比如說我們設(shè)備防火墻,是把功能模式,但是不是任務(wù)模式有效灌輸給我們客戶以一種方法引導(dǎo)我們，所以我們很早提出的理念就是遵守我們風(fēng)險評估。?具體的建議，第一點無論是什么樣的系統(tǒng)，我建議都新用一個路由器放進去。你是雙面的,單面的，還是旁路接入都可以，把我們互聯(lián)網(wǎng)出口進行這種進行下一步分析.首先建立有效的行為主體識別機制,與組織建構(gòu)真實的相關(guān)可靠的真實的網(wǎng)。這是我們第一步主體健全。第二是我們分析進行相應(yīng)的風(fēng)險分析，我們知道有網(wǎng)站，應(yīng)用,流量問題，為什么搜索習(xí)慣寫在里面，我們曾經(jīng)用一分鐘的時間搜索,就是一個員工做什么,雖然就是幾個字，十幾條，這種搜索習(xí)慣很容易看到企業(yè)的員工的心態(tài)。第二，我們專業(yè)網(wǎng)頁應(yīng)用完善自己監(jiān)督與控制，是內(nèi)控體系第二步,我們是借助全球最大的中文搜索部，對各種各樣外發(fā)信息內(nèi)容，大小,人員行為識別，對流量通過我們獨有通道來有效控制，可以能夠讓我們安全體系、能夠讓我們互聯(lián)網(wǎng)控制體系達到有效的控制。第三點是最最重要的,一個我們解決方案決不能是看，控，一定是可分析、可統(tǒng)計、可查詢.這個是我們內(nèi)控里面很重要，我如果持續(xù)發(fā)現(xiàn)我們網(wǎng)絡(luò)有新的問題出現(xiàn)，流量有異常，不斷發(fā)現(xiàn)我們有異常，不斷地和我們主管公司高層溝通,發(fā)布報表可以有效讓這種制度落實到人心，讓大家知道我該怎么做。通過對外網(wǎng)的內(nèi)控體系、內(nèi)控思路、內(nèi)控方法的灌輸，我相信合法、合規(guī)行為將將一個積極向上企業(yè)文化提心，信息保密，外發(fā)控制會得到有效，同時資產(chǎn)保護也會得到很大的保護。當(dāng)時華北電網(wǎng)部署網(wǎng)上體系以后,帶寬下降了1５0兆,國家核電全網(wǎng)采購了我們的體系,他的所有代發(fā)體系就健全了.這是網(wǎng)康的服務(wù)案例，大家都是全網(wǎng)采購，無論是國家部委,這是最大金融機構(gòu)，國內(nèi)很大上市公司，還有制造業(yè)、媒體，各個區(qū)域像華北電網(wǎng)等等?？梢钥吹酵ㄟ^部署這些裝置，很有效的能夠管理企業(yè).網(wǎng)康公司實際上已經(jīng)持續(xù)5年為互聯(lián)網(wǎng)提供專業(yè)服務(wù),我們以每年300％速度提升。我們價值,我們理念是以人為本互聯(lián)網(wǎng)管理思路,以人為本價值呈現(xiàn)我們在第８層上,我們希望能夠在第8次做到人與技術(shù)完美結(jié)合,服務(wù)于我們中國企業(yè)上好網(wǎng)，用好網(wǎng)謝謝大家.主持人：非常感謝陸先生的精彩發(fā)言。下面我們有請用友公司NC產(chǎn)品架構(gòu)師付建華女士。?

付建華：各位來賓，上午好，非常榮幸能夠有這次機會我們借助這個平臺,用友公司和我們在座的企業(yè)高管，我們公同探討一下信息化環(huán)境下企業(yè)內(nèi)控的建設(shè).?

說到這個話題，在今天和大家交流的時候，除了在后面介紹用友NC系統(tǒng)，之前還要想稍微花一點時間交流一下IT技術(shù)或者說在信息系統(tǒng)環(huán)境下,企業(yè)內(nèi)部控制管理差異和重要性。

?首先看看IＴ環(huán)境下企業(yè)內(nèi)部控制體系的建設(shè)，前面我看到來自于不同的企業(yè)嘉賓都提到了。我們說到企業(yè)內(nèi)部控制系統(tǒng)建設(shè)的時候，我們都知道離不開IＴ的手段和工具,實際上在我們交流這個問題的時候,如果我們是在座企業(yè)的CIＯ，或者你是企業(yè)將來服務(wù)內(nèi)控工作開展職能部門的負責(zé)人,我覺得首先要思考一個問題，在目前ＩT環(huán)境下，我們這個企業(yè)開展內(nèi)部體系建設(shè)、健全、保障它有效執(zhí)行，然后進行監(jiān)督和評價的時候.到底和原先在傳統(tǒng)方式下產(chǎn)生了哪些差異.在《薩班斯法案》頒布以前,沒有一家企業(yè)可以說我們沒有一點內(nèi)控機制,如果你是中型企業(yè)、大型企業(yè),企業(yè)制度和相關(guān)文檔這些東西在企業(yè)當(dāng)中都是有,但是法案頒布以后對企業(yè)要求更加體系在幾個方面。第一是內(nèi)控是否完善健全，第二風(fēng)險內(nèi)控是否得到有效執(zhí)行，第三法律要求進行監(jiān)督評價,如果內(nèi)控有漏洞，沒有讓公眾及時了解到，要承擔(dān)相應(yīng)的法律責(zé)任。

?在企業(yè)圍繞三個層面開展內(nèi)控管理建設(shè)，執(zhí)行評價的時候，首先你要來思考一下在IT環(huán)境下,或者說信息技術(shù)與信息技術(shù)結(jié)合情況下,企業(yè)內(nèi)控管理如何開展.首先看一下信息技術(shù)給企業(yè)內(nèi)控管理帶來影響有哪些方面。??首先控制原則和方法發(fā)生巨大改變,我們原先說內(nèi)部控制基本原則和方法,我們知道有原則,目前對于企業(yè)也可能要非常關(guān)注信息技術(shù),ＩT環(huán)境下控制原則變化，信息技術(shù)成為企業(yè)內(nèi)部管理很重要的方法、手段和工具。第二是控制內(nèi)容和方位，從５部委中我們可以了解健全企業(yè)內(nèi)部控制體系,IT控制是你企業(yè)必須要關(guān)注一個領(lǐng)域,原先你非常關(guān)注我企業(yè)工作治理機構(gòu)，組織架構(gòu),職責(zé)權(quán)限,業(yè)務(wù)流程在企業(yè)循環(huán)的控制。在當(dāng)今企業(yè)環(huán)境要更加關(guān)注IＴ控制這塊，要思考一下我們企業(yè)以前，公司以前在IＴ控制領(lǐng)域是否有健全的控制體系，制度是否有有效的監(jiān)控手段。這也是一個巨大是變化.?

第三個方面也是ＩＴ技術(shù)對企業(yè)帶來的挑戰(zhàn)，你的內(nèi)控制度體系設(shè)計非常有效，但是執(zhí)行是否得到有效保障，所以說內(nèi)控執(zhí)行在目前管理情況下，所有企業(yè)或者說大中型企業(yè)借助于IＴ系統(tǒng)保障內(nèi)部控制有效性。在座的各位領(lǐng)導(dǎo)公司知道沒有一家公司不會使用一部分軟件，比如說使用EＲＰ系統(tǒng)，Ｏｒａcle或者用友,其它軟件系統(tǒng).你的核心業(yè)務(wù)、財務(wù)信息、報表會在這些系統(tǒng)里面產(chǎn)生，那么如果說這個時候你的內(nèi)部控制執(zhí)行的手段，或者說執(zhí)行的評價要繞開ＥRP系統(tǒng)或者是IT系統(tǒng),企業(yè)可能就不能正常運行。第三點我們可以用一句話指導(dǎo)它的重要性，對客戶框架有深入分析，我們知道全球包括美國、英國，包括新加坡、香港、日本,還有我們現(xiàn)在中國，所以的國家在制定內(nèi)部控制相關(guān)法律規(guī)范的使用框架,是遵循的ＣＯX框架,如果你這個企業(yè)的內(nèi)部控制執(zhí)行，是依賴于某些IＴ工具,比如說ERP系統(tǒng),其他的軟件工具，將來第三方見證機構(gòu)對企業(yè)進行內(nèi)部控制審計評價，可以適當(dāng)?shù)臏p少審計工作量，提高內(nèi)部提出有效性可信任評估，所以借助ＥRP執(zhí)行是非常重要的了。如果說像我們原先很多在海外上市公司,每年請四大幫你做內(nèi)部審計，或者咨詢費用是非常昂貴。如果說我有了可靠EＲP系統(tǒng)，所有內(nèi)部控制都在ＥＲP系統(tǒng)當(dāng)中得到良好體現(xiàn)和控制，你的審計和相應(yīng)成本會縮小了降低很多.這也是企業(yè)要關(guān)注的重要一個方面.?

另外一個方面就是控制監(jiān)督及我們知道法規(guī)頒布以后,對企業(yè)帶一個新的挑戰(zhàn),就是內(nèi)部控制必須進行監(jiān)督評價。這個監(jiān)督評價包含兩個層次，第一個是內(nèi)部監(jiān)督評價,我們看到國內(nèi)上市公司都著手把企業(yè)的內(nèi)部及審機構(gòu)職能進行擴充,原先可能是傳統(tǒng)審計就是報表審計，現(xiàn)在要擴展傳統(tǒng)的審計,企業(yè)內(nèi)部控制、獨立審計等等方面.在內(nèi)部監(jiān)督評價同時，法規(guī)明確要求必須請外部第三方機構(gòu)進行有效評價。在評價和監(jiān)督的時候,我們知道首先我要檢查你的內(nèi)部控制設(shè)計是否健全、有效.檢查的時候事務(wù)所是看內(nèi)部控制設(shè)計是不是得當(dāng)，這是第一個。接下來就是內(nèi)部測試執(zhí)行是否有效，要看你內(nèi)部控制的證據(jù)，企業(yè)核心業(yè)務(wù)在ＥRP系統(tǒng)上，那么ＥＲP系統(tǒng)可以幫助你保留你的關(guān)鍵業(yè)務(wù)執(zhí)行過程當(dāng)中證據(jù)、文檔、資料、報告，供你企業(yè)內(nèi)審,機構(gòu)檢查一些證據(jù)，做出評價.同時,我們知道如果你看這個基本規(guī)范的時候，只說了一句,要請第三方機構(gòu)對內(nèi)審機構(gòu)評價，你需要在年報當(dāng)中明確的公告你的企業(yè)內(nèi)部，對企業(yè)管理層，對內(nèi)部工作的評價結(jié)果是怎么樣的。我們看到很多上市公司從２００7年年報當(dāng)中就開始披露,大概有兩段話,認為我們公司內(nèi)部工作是完善有效健全等等,這一段話是給公眾看.背后包含內(nèi)容非常多，你這個有效性是要有證據(jù)，雖然沒有披露給公眾但是都要包含在企業(yè)當(dāng)中.所以這些數(shù)據(jù)依靠手工整理這些證據(jù)，保留這些證據(jù)基本是不可能實現(xiàn)的。

第四方面也是我們企業(yè)在現(xiàn)在應(yīng)對法律法規(guī)要求的時候，要考慮的，我們怎么保證這個有效性評價，提供證據(jù)。這四個方面對我們是非常重要,這是我們提到的第一個方面，IT控制內(nèi)容增加，我們時間有限，不相信展開討論這些問題。如果說我們是ＣIO，ＩＴ控制這一塊領(lǐng)域要圍繞這些部分，IT控制建設(shè)是圍繞這些方面。在這些方面當(dāng)中如果你的企業(yè)用了軟件系統(tǒng),比如說ERP系統(tǒng),ERP本身的環(huán)境控制,本身安全性是你ＩT控制重要核心內(nèi)容，這個是給大家作為一個簡單提示，不要忽視這個方面。?另外在執(zhí)行的時候，我們看到執(zhí)行的過程全面可以在系統(tǒng)得到有效保障，當(dāng)然企業(yè)內(nèi)部的內(nèi)容涉及到公司治理到每個業(yè)務(wù)全部內(nèi)容,其中有很多關(guān)鍵核心的東西，我們可以借助平臺網(wǎng)上控制執(zhí)行有效性,將來要借助ERＰ系統(tǒng)內(nèi)部控制執(zhí)行過程信息記錄下來,證據(jù)記錄下來。我們舉一個例子,假如說信用控制是企業(yè)非常關(guān)注的點,在很多行業(yè)信用控制是風(fēng)險非常高的地方,信用控制的制度，文檔設(shè)計好以后，接下來要讓信用控制得到有效執(zhí)行,這就要包含一系列的動作。首先要先做什么資質(zhì)鑒定評價,有相應(yīng)的資料。評價完畢以后設(shè)定信用的情況、信用的額度,所有業(yè)務(wù)發(fā)生完的時候是否受到了控制，這些都是控制證據(jù)。這些控制證據(jù)如果說你銷售管理系統(tǒng)采用是ＥＲＰ系統(tǒng)，ＥRＰ就應(yīng)該幫助你留下這些信息證據(jù)。這都是將來第三方審計的時候要看的,如果第三方審計的時候,看的時候問你這些信息在哪呢，我說我們不是手工管理是ＥRP管理,但是這個ERＰ系統(tǒng)當(dāng)中也沒有記錄出來完整的信息，這個時候事務(wù)所說你的系統(tǒng)是有漏洞風(fēng)險的，我不能數(shù)據(jù)無保留意見報告了,所以說在這些方面，將來檢查一個系統(tǒng)，軟件系統(tǒng)能不能滿足我們內(nèi)控要求是非常重要。

?在我們用友公司內(nèi)部部署多條產(chǎn)品線，分別面對不同客戶群體.NＣ產(chǎn)品也很多企業(yè)接觸過，是面向與中高端客戶群體，尤其是集團性企業(yè)的一個完整ERP軟件。目前來說我們很多上市公司最先要受法律法規(guī)約束的上市公司,集團企業(yè)占的數(shù)量比較多，集團企業(yè)在開展內(nèi)部控制管理的關(guān)注點和一般企業(yè)有非常得大區(qū)別。比如說我是一個小型企業(yè)或者中型企業(yè),內(nèi)部按照常規(guī)內(nèi)容流程設(shè)計開展就可以了，但是對于集團公司來講內(nèi)部控制涉及到所有業(yè)務(wù)職能,還涉及到總部對下述不同類型分支機構(gòu)控制，第二方面控制是目前設(shè)置企業(yè)內(nèi)部控制的時候一定要關(guān)注的地方。比如說原來中石油、中石化內(nèi)控系統(tǒng)走得比較靠前,目前應(yīng)該重新構(gòu)建檢查內(nèi)部控制體系的時候，一定要關(guān)注這個環(huán)節(jié),比如說你的權(quán)限的重新設(shè)計，權(quán)限體系的重新設(shè)計，必須從總部一級子公司到分級子公司下來的，我們采購業(yè)務(wù)是集中采購，某些物資在集團總部有那些,下級子公司有哪些，是要縱向考慮。所以說由于企業(yè)集團在控制管理特殊性考慮。??這個軟件是為集團企業(yè)設(shè)計還是為一般企業(yè)設(shè)計的。NC系統(tǒng)的年軟件系統(tǒng)首先一個完整的ERＰ系統(tǒng),在20０5年、２006年我們開始跟蹤相應(yīng)的法律法規(guī)，還是做相應(yīng)產(chǎn)品規(guī)劃和完善,我是ＮC產(chǎn)品內(nèi)控產(chǎn)品設(shè)計人員，實際上在ＮC產(chǎn)品當(dāng)中，信息化除了目前完整ＥRP系統(tǒng)以后，也結(jié)合了相應(yīng)的法律法規(guī),不管是《薩班斯法案》還是國內(nèi)法律法規(guī),對企業(yè)要求就分四類,我們很多企業(yè)接觸法規(guī)的時候，或者搞控制體系不知道該怎么入手，其實就是一個四個方面，第一是內(nèi)部控制制度的設(shè)計，內(nèi)部控制的執(zhí)行，內(nèi)部控制的監(jiān)督評價,最后就是證據(jù),左邊是法規(guī)對你企業(yè)的要求,每一個領(lǐng)域你合規(guī)應(yīng)該滿足要求是什么樣的。??結(jié)合法規(guī)的要求,將來考核軟件系統(tǒng)要求軟件系統(tǒng)在這些方面支持內(nèi)部控制開展，第一內(nèi)部控制穩(wěn)當(dāng)跟ＥRP系統(tǒng)產(chǎn)生一些交互關(guān)系,我們內(nèi)部控制文檔文件資料一大堆。然后實際上我所有這些內(nèi)部控制流程在軟件系統(tǒng)里執(zhí)行,我要看一下某一個業(yè)務(wù)內(nèi)部控制文檔，再檢查執(zhí)行有的時候很難結(jié)合起來，應(yīng)該要求軟件系統(tǒng)提供文件記錄或者關(guān)聯(lián)功能,讓把兩者有機結(jié)合起來。第二檢查軟件系統(tǒng)控制是否嚴(yán)密，是否可以滿足你關(guān)鍵業(yè)務(wù)、關(guān)鍵控制點在你軟件上面開展,這也很重要。企業(yè)內(nèi)部明確崗位分離，看五部委規(guī)范的時候,每一個集體規(guī)范第一頁都寫了，你要把權(quán)限文檔變成權(quán)限體系，是否可以幫助你稽核不相融職位和崗位的分離,這是很重要.第三要求軟件系統(tǒng)對企業(yè)關(guān)注核心業(yè)務(wù)數(shù)據(jù)保留審計線索，這是非常重要，如果沒有審計先線索我就不能檢查制衡過程中有沒有什么漏洞。如說軟件系統(tǒng)當(dāng)中客商檔案信用額度隨便被別人修改過,修改完了我也不知道。那這方面你們企業(yè)這在分析漏洞就是非常大,我關(guān)注客商信用額度信息,軟件要給我記錄,某人是否修改過，什么時候修改，我能夠記錄下來。??第四點，能夠在軟件平臺查詢關(guān)鍵的控制流程、控制點和情況，要求評價內(nèi)部控制時候要做的工作，這個工作同樣要借助軟件系統(tǒng)。前提就是一個你的業(yè)務(wù)是在ERＰ里面,手工評價是不可能，要對軟件這些方面也有要求,我有一個觀點和大家交流如果你業(yè)務(wù)財務(wù)都是在依靠EＲＰ系統(tǒng)執(zhí)行，這套系統(tǒng)檢查評價內(nèi)部控制是最重要。你的內(nèi)部控制是在用友系統(tǒng)當(dāng)中執(zhí)行，你用另外一個軟件檢查你內(nèi)控是否得到有效執(zhí)行,這個效果會大大折扣,如果我們是企業(yè)CIＯ同一個軟件公司設(shè)計出來不同軟件產(chǎn)品之間的集成程度，不可能像一套軟件集成程度那么好,一個廠商可以幫助你控制執(zhí)行,又可以幫助你監(jiān)控執(zhí)行是最有效的，集成性我覺得是非常重要一個方面。??另外在平臺監(jiān)督內(nèi)部控制執(zhí)行，做出評價.結(jié)合這些方面在用友ＮＣ產(chǎn)品當(dāng)中，在各個層次上面為企業(yè)提供內(nèi)部控制服務(wù)功能和產(chǎn)品功能中這也是讓廠商要求做的，實際上在為企業(yè)提供服務(wù)的時候，從內(nèi)部控制管理上面可以分五個層次，剛才我們說到這個企業(yè)現(xiàn)在搞內(nèi)部工作必須關(guān)注ＩT控制，當(dāng)中軟件系統(tǒng)環(huán)境控制是非常重要的方面，如果整個企業(yè)應(yīng)用軟件是一套,或者核心業(yè)務(wù)都在用友軟件里面，都在SＰ的軟件里,首先肯定要檢查這個軟件自身的控制是否嚴(yán)格,嚴(yán)密。比如說輸入控制是否安全、輸出控制是否安全,處理控制是否安全。比如說輸出控制，安全機制是否能夠滿足企業(yè)的要求,這件事情說起來簡單,但是實際上實踐起來也比較難，所有用戶進入系統(tǒng)要有用戶密碼，這個機制是否安全,除了一般的密碼是有特殊保障，我們知道在企業(yè)當(dāng)中風(fēng)險非常高的崗位就是出納，出納人員可以去執(zhí)行付款的動作.如果這個人員可以隨便被別人篡改密碼登陸系統(tǒng)的話風(fēng)險就太高了，這些方面軟件系統(tǒng)應(yīng)該有安全的機制，保障你這方面安全還是很有效。??另外我們考慮內(nèi)部控制建設(shè)的時候，關(guān)注的一般控制內(nèi)容，在企業(yè)內(nèi)部控制規(guī)范當(dāng)中也提到了，企業(yè)應(yīng)該關(guān)注核心控制的東西，比如說權(quán)限、審批、稽核、風(fēng)險預(yù)警等等，這些是所有業(yè)務(wù)要遵循控制關(guān)鍵點，我們用友滿足所有的機制和功能比如說系統(tǒng)當(dāng)中權(quán)限、模型,然后用戶決策模型,是幫助你權(quán)限方面的模型，是否可以滿足企業(yè)審批控制要求，系統(tǒng)當(dāng)中預(yù)警機制，是否能夠滿足你控制風(fēng)險預(yù)警等等。這也是在NC系統(tǒng)當(dāng)中第二個層次提供的價值。第三方面就流程控制，我們知道所有企業(yè)核心業(yè)務(wù)流程設(shè)計了很多控制點，比如說銷售業(yè)務(wù)、采購業(yè)務(wù)、投資業(yè)務(wù)、財務(wù)報告編制等等，所有這些業(yè)務(wù)都會涉及到很多的控制點。那么你原先在選擇EＲＰ系統(tǒng)的時候,原先這個廠商ERP系統(tǒng)能不能滿足我們業(yè)務(wù)流程，現(xiàn)在要增加另外一個考慮緯度,除了滿足銷售業(yè)務(wù)還必須滿足我們銷售控制在系統(tǒng)當(dāng)中得到有效執(zhí)行.業(yè)務(wù)系統(tǒng)方面我們ＮＣ系統(tǒng)結(jié)合我們五部委頒布《《企業(yè)內(nèi)部控制基本規(guī)范》的要求，全部滿足了，沒有滿足現(xiàn)在把這些內(nèi)控點在產(chǎn)品中進行了相應(yīng)補充.

第四方面是為我們內(nèi)控的監(jiān)督和評價服務(wù)的相應(yīng)產(chǎn)品，比如說我們將來要監(jiān)督這些控制的執(zhí)行和評價,你要幫我留有完整審計線索,幫我把相應(yīng)控制流程和一些規(guī)則輸?shù)较到y(tǒng)當(dāng)中去，要提供平臺，讓我看到我的內(nèi)部執(zhí)行情況是怎么樣的.這就幫助企業(yè)減輕了大量的工作，所以這也是我們提出新的產(chǎn)品功能。??第五個方面是我們公司本來有審計產(chǎn)品，原先我們企業(yè)在選擇EＲＰ系統(tǒng)的時候，可能不會過多地關(guān)注審計的產(chǎn)品,將來就有可能非常關(guān)注，企業(yè)內(nèi)審機構(gòu)在企業(yè)發(fā)揮職責(zé)職能越來越重要。你內(nèi)審的時候是需要借鑒軟件的平臺。所以第五方面也是軟件系統(tǒng)提供給我們的相應(yīng)價值。?

這是剛才我提到跟各個方面，比如說提到第一個系統(tǒng)環(huán)境工作，看一下NC系統(tǒng),在安全性控制提供功能和機制，然后審計線索，安全性ＮC系統(tǒng)當(dāng)中可以實現(xiàn)對企業(yè)你關(guān)注核心的數(shù)據(jù)、單據(jù)、文件、報告單獨做CＡ認證。比如說剛才說的出納，付款我們要做ＣA認證，比如說我們非常關(guān)注核心報告閱讀也可以做CＡ認證，等等。這樣保證系統(tǒng)風(fēng)險高的地方有效地方安全保障。第二,系統(tǒng)日志非常重要，在ＮＣ系統(tǒng)當(dāng)中分為操作日志、功能日志,幫助企業(yè)保留日志信息，結(jié)合內(nèi)控要求不能僅僅結(jié)合在原先我們記住某個操作員某天某時間登陸過,要記住相應(yīng)操作動作，供給，內(nèi)容是什么,當(dāng)然這是跟企業(yè)不同要求，你來設(shè)計你要關(guān)注哪些東西，系統(tǒng)就幫助你保有哪些系統(tǒng)。??另外就是撤離上面安全機制要求,比如說系統(tǒng)處理價值，非常重要財務(wù)報告完整有效?，F(xiàn)在每個幾個企財務(wù)報告是用手工都是軟件，那么系統(tǒng)中處理結(jié)構(gòu)是否安全,也決定了你企業(yè)報告的完整有效，管理層解讀資產(chǎn)負債表,是否是最準(zhǔn)確的債務(wù)信息，要取決于系統(tǒng)報告生成機制，比如說這個系統(tǒng)根本沒有檢查機制，財務(wù)系統(tǒng)操作人員.所以系統(tǒng)處理安全機制是非常重要.?第二方面就是系統(tǒng)平臺可以為我們提供一般控制規(guī)則。比如說系統(tǒng)會提供完善的權(quán)限模型，ＮC系統(tǒng)模型可以結(jié)合你對人設(shè)計非常細致的權(quán)限.軟件會幫助你檢查不相容職務(wù)是否分離，比如說出他和會計給一個操作人員，軟件系統(tǒng)可以幫助你檢查出來.分角色應(yīng)用等等，審批的控制,預(yù)警平臺.

?第三方面就是EＲP系統(tǒng)各個業(yè)務(wù)系統(tǒng)可以有效的支部內(nèi)部控制的執(zhí)行。這個是企業(yè)案例,實際上做得比較好企業(yè)，內(nèi)部控制是制度當(dāng)中的一個部分,將來我們?nèi)绻f在座企業(yè)內(nèi)部控制體系還沒有健全，制度沒有完善,將來你也可能按照這個思路做，分析業(yè)務(wù)目標(biāo),風(fēng)險，設(shè)置控制點,設(shè)計監(jiān)督檢查辦法,然后形成流程圖。這些東西設(shè)計完畢以后,要把它的核心東西伴隨業(yè)務(wù)流程開展同時，控制在系統(tǒng)當(dāng)中得到有效執(zhí)行,從控制方法預(yù)防性控制比檢查性控制永遠都有效。比如說銷售業(yè)務(wù)必須做信譽額度檢查報警等等,都需要做規(guī)格，銷售價格自動控制等等，都必須借助軟件平臺保證它的準(zhǔn)確有效.這不詳細分析了,這也是你在軟件系統(tǒng)選擇關(guān)注點，也是NC系統(tǒng)提供的核心價值.??第四點就是內(nèi)部控制過程文檔證據(jù)記錄，和內(nèi)部控制有效性的評價.在這個方面實際上也是對軟件系統(tǒng)要求，同時NＣ軟件系統(tǒng)希望在這個方面給企業(yè)提供幫助,比如說業(yè)務(wù)流程發(fā)生的時候在系統(tǒng)當(dāng)中會有很多單據(jù)信息。這些都是證據(jù)，業(yè)務(wù)系統(tǒng)可以把這些證據(jù)分類，實現(xiàn)各種各樣查詢,和你風(fēng)險息息關(guān)聯(lián)，同時跟你后續(xù)支持評價。另外，產(chǎn)品可以做內(nèi)部控制監(jiān)控平臺,告訴你的相關(guān)業(yè)務(wù)流程的控制,你的風(fēng)險有多大等等幫助你做監(jiān)督。??最后就是審計系統(tǒng)，實際上企業(yè)內(nèi)部審計開展內(nèi)部管理的時候,同樣要借助審計系統(tǒng)檢查EＲＰ系推內(nèi)部控制執(zhí)行有性。

今天就用短暫的時間把用友NC系統(tǒng)，在企業(yè)內(nèi)部管理建設(shè)中能夠為我們服務(wù)和價值做一個簡單介紹。各位領(lǐng)導(dǎo)和嘉賓有意見的話,用友公司也在做很多市場活動,再做詳細的交流和分析,謝謝大家.??主持人：下面為我們做精彩致詞的是河北網(wǎng)通信息化部高級工程師屈玉閣。??屈玉閣：各位領(lǐng)導(dǎo)，各位先生、各位女士上午好.我簡單地介紹原來河北網(wǎng)通信息化建設(shè)的情況，大家知道網(wǎng)通現(xiàn)在和聯(lián)通合并了,我說說河北網(wǎng)通是怎么進行IT系統(tǒng)的。??我說一下我們中國網(wǎng)通內(nèi)控測試結(jié)果是為零缺陷，這已經(jīng)通過2007年測試結(jié)果.內(nèi)控基本路徑是這樣的,首先在美國上市公司要求，我們請國外咨詢公司制定滿足《薩班斯法案》框架的制度，然后在企業(yè)各個層面落實,企業(yè)請外部公司進行審計得出結(jié)論，最后在資本市場檢驗審計的結(jié)果。?

每年內(nèi)控工作基本都是說依照內(nèi)控模塊制定的活動,依據(jù)本地化活動檢查點，檢查自己有多少差距。我們組織檢查各個單位改進，外省一次測試,到年底進行外省第二次測試。信息化工作主要是兩個層面，一個是信息化建設(shè)與運營，第二是信息化控制的控制。??《薩班斯法案》對財務(wù)來源控制途徑是三個部分,第一是信息系統(tǒng),第二是紙質(zhì)報表，第三就是電子表格.大家看一看IＴGＣ報表，有幾個模板.我們原網(wǎng)通公司ＩT內(nèi)控涉及的領(lǐng)域有兩大部分，一個是一般性質(zhì)，一個是信息系統(tǒng)應(yīng)用控制。一般性的系統(tǒng)控制包括四個層面,安全、操作、變更管理、開發(fā)與支持。信息系統(tǒng)包括ＥRＰ系統(tǒng)。一般性信息工作基本能力，我剛才說新系統(tǒng)安全操作變更管理,和運營系統(tǒng)數(shù)據(jù)庫開發(fā)與支持,這個包括詳細一般系統(tǒng)操作管理,數(shù)據(jù)庫和網(wǎng)絡(luò)，還有防病毒等等,還有應(yīng)急預(yù)案，變更管理包括應(yīng)用系統(tǒng)，操作系統(tǒng)，數(shù)據(jù)庫還有保護變更,在新系統(tǒng)開發(fā)包括應(yīng)用和實施這個層面。一般性管理架構(gòu)包括核心是應(yīng)用系統(tǒng)安全,數(shù)據(jù)庫安全，下一個層面是操作系統(tǒng)安全，網(wǎng)絡(luò)安全,防止病毒應(yīng)用系統(tǒng)和操作系統(tǒng)層面控制.??舉個例子,操作系統(tǒng)安全用戶管理,系統(tǒng)管理監(jiān)控管理,我們在舉例子帳號管理要求內(nèi)控是這樣,第一密碼格式、無效登陸次數(shù)三次,歷史密碼記憶個數(shù)，密碼復(fù)雜程度，秘密要求６位，默認帳號鎖定，帳號超過時間我們是1０分鐘等等。另外系統(tǒng)包括業(yè)務(wù)系統(tǒng)數(shù)據(jù)開發(fā)，新的應(yīng)用系統(tǒng)測試，新的數(shù)據(jù)結(jié)構(gòu)測試，新的網(wǎng)絡(luò)測試.??我們說一下當(dāng)時我們河北網(wǎng)通公司管理，外部看我們有網(wǎng)通公司內(nèi)部控制管理40０多條所以我們工作量是非常大，我們涉及安全、變更、系統(tǒng)開發(fā)、操作、信息系統(tǒng)等等，涉及部門就更多了,包括工程建設(shè)，物流采購綜合部，我們還負責(zé)電子表格，實際上要求我們06年必須達到《薩班斯法案》要求。信息系統(tǒng)大部分不能滿足IT一般要求，第二很多單位沒有形成IT系統(tǒng)控制路徑。??２00６年我們進行８個方面的工作，一個是內(nèi)容控制制度建設(shè)，貫徹風(fēng)險管理方式，開展針對性與信息化管理控制工作相結(jié)合，統(tǒng)一IT內(nèi)部流程表述和文檔的格式,問題整理及整改措施的落實，現(xiàn)場督導(dǎo)提出具體的管理措施.積極與相關(guān)部門溝通，解決COＳO、UＡT和持其系統(tǒng)存在的問題。最后是組織各單位有效開展管理工作.我們內(nèi)控制度,首先要求制度健全，我們制定信息系統(tǒng)安全規(guī)范，表格的規(guī)范,還有做編碼,開發(fā)要求，開發(fā)必須遵守編碼規(guī)范,還有報財務(wù)部一個軟件。我們還開展針對性培訓(xùn)，我們培訓(xùn)是考慮兩個層面，一個內(nèi)控要求對信息系統(tǒng)要求，一個是說內(nèi)控對信息化管理控制以及業(yè)務(wù)流程要求。我們工作開展培訓(xùn)以后，因為我們是做了大量的培訓(xùn),我們從舉辦各個省公司的集團技術(shù)主任，從各技術(shù)工作進行現(xiàn)場培訓(xùn)，兩次進行電話培訓(xùn)等等。這樣使員工的內(nèi)控意識有了很大的提高。我們做了1200頁的控制文檔，包括開發(fā)與測試，還有風(fēng)險管理內(nèi)控，還有《薩班斯法案》,還有與外省市溝通。??我們第三點，統(tǒng)一ＩＴ內(nèi)控務(wù)流程描述和文檔格式，河北省有自己管理流程,我們?yōu)榱思訌妰?nèi)控管理我們我用一周時間制定流程，這樣寫文檔合適了，每個都比較完整就達到要求了。上個季度我們也形成了一個安全標(biāo)準(zhǔn),通過統(tǒng)一流程、統(tǒng)一文檔我們在工作深度，進度方面取得了主動權(quán),這個工作我們當(dāng)時都在前列。??第四個方面,問題整理及整改措施的落實,我們制定了一個內(nèi)控責(zé)任，根據(jù)系統(tǒng)分到每一個人負責(zé)哪條，每個人負責(zé)哪一段流程。我們內(nèi)控整改工作還包括了兩個層面，一個是系統(tǒng)要求，我們原來系統(tǒng)基本上滿足了內(nèi)控方面的要求.技術(shù)上我們做溝通做了補丁,要求在2000年的時候達到《薩班斯法案》的要求。五我們要求在網(wǎng)上要做記錄,完了之后領(lǐng)導(dǎo)要做相應(yīng)的確認。第二個層面一定要進行內(nèi)控的控制。控制聲明、授權(quán)和被授權(quán)文檔、作業(yè)流程、人工降低IT內(nèi)控風(fēng)險整改措施等等.??授權(quán)２006年各單位整改的基礎(chǔ)上，網(wǎng)通河北省分公司ＩT內(nèi)控工作組去年市分公司收集整理第一輪測試在２０個共性問題，深入理解內(nèi)控要求，提出了人工降低IＴ內(nèi)控風(fēng)險整改措施。我們有一個信息系統(tǒng)非緊急變更實施范圍定義表，我們相應(yīng)流程跟大家都做了記錄。內(nèi)部授權(quán)方式,首先你要做聲明,首先您是誰,然后各部門制定一個崗位說明書,帳號統(tǒng)一管理，我們第一次測試的時候，有一個系統(tǒng)管理員把一個參數(shù)修改了,最后查出來，問你這個人是誰我告訴他,你把系統(tǒng)管理員的說明書拿出來，當(dāng)時沒有找到,當(dāng)時就說你不是系統(tǒng)操作系統(tǒng)管理員，你改參數(shù)干什么。當(dāng)時我找他們溝通，把操作系統(tǒng)管理員的找到了，風(fēng)險就解決,外部風(fēng)險變成內(nèi)部風(fēng)險這個風(fēng)險就降了。

?我們總結(jié)一下IT工控制基本流程就是四個方面。首先是提出申請，然后是主管領(lǐng)導(dǎo)審批，不一定是你就是部門主任也可以是副主任,可能也是你班組長，相關(guān)主管領(lǐng)導(dǎo).然后在執(zhí)行當(dāng)中并寫一下工作日志，主管另是一個月或者三個月進行審核.?第五點我們現(xiàn)場監(jiān)督，提出具體的管理措施,保證通過普華永道的測試。我們也去做公司，有的地市公司老總說內(nèi)控我知道就是坦白從寬、抗拒從嚴(yán)，當(dāng)時我沒有好意思說，我告訴他內(nèi)控是跟是外部公司是一個博弈過程。因為內(nèi)控要求你幾條,那幾條完成就可以,不要求所有都做了，都做了工作就沒有完了。所以我告訴大家內(nèi)控要求幾個做到就可以,不沒有要求不一定要做，不要把自己陷得太深。?

第六點,我們開展信息系統(tǒng)風(fēng)險評估，模擬演練預(yù)案.原來我們是按照硬件軟件分,這是按應(yīng)用，我們是基于業(yè)務(wù)的角度。我們?yōu)榱私档惋L(fēng)險，我們按照風(fēng)險管理理論，將信息系統(tǒng)分成實物、軟件、信息、服務(wù)等四個類的資產(chǎn)。

這個系統(tǒng)風(fēng)險評估過程，看看這張圖.首先是確定范圍資產(chǎn)管理本身的弱點和漏洞,再看看內(nèi)部管理測試有哪些，看了這些以后還漏下什么東西,這就是你的風(fēng)險,還有在排隊哪些重要，哪些不重要,最后提出風(fēng)險報告和管理措施。

?第七個方面我們積極與相關(guān)部門溝通,解決COSO、ＵＡＴ和久其系統(tǒng)存在的問題。系統(tǒng)每年執(zhí)行是不是符合《薩班斯法案》要求，久其報表是簡單的財務(wù)系統(tǒng)，我們跟財務(wù)部相關(guān)部門溝通，也了很多的辦法。??第八個方面是組織各單位,開展電子表格內(nèi)控管理，滿足內(nèi)控要求。我們寫了報表做,這個帳號怎么控制呢,我們也是一個內(nèi)控表一個規(guī)范,我們從模板設(shè)計、模板使用、模板維護積極控制，把控制原則制定一下,電子表設(shè)計人，使用人，維護人,訪問人，設(shè)計和使用人可以合一,這個流程圖有一個具體的方法。首先可以進行申請,設(shè)計人可以進行模板開發(fā)，使用人表格進行數(shù)據(jù)編輯、更新、管理,最后訪問人可以對表格進行實時查詢，原來我們是集中管理。

?謝謝大家.??主持人:非常感謝屈先生，下面有請浪潮通軟副總裁兼技術(shù)總監(jiān)魏代森先生,進行“企業(yè)全面風(fēng)險管理與信息化”。

魏代森：首先感謝主辦方,在這樣比較適合的時間,面向正確的對象我們CIＯ們,舉辦這樣一場有意義的論壇會議。??企業(yè)內(nèi)部風(fēng)險管理，看起來離我們CIＯ關(guān)系比較遠，從國家制定政策,當(dāng)企業(yè)經(jīng)營者，管理者制定體系相關(guān).我們知道所有風(fēng)險控制工作的最后落腳點是CＩO是我們信息系統(tǒng),所以我覺得特別有意義.??我跟大家溝通幾個觀點。作為企業(yè)內(nèi)控的信息化,我想并不是特指要和專門內(nèi)控和風(fēng)險管理的信息化，我們知道我們企業(yè)經(jīng)營過程當(dāng)中，我們業(yè)務(wù)管理過程中我們更多風(fēng)險點我們要控制,管理的更多一些控制活動和風(fēng)險還是經(jīng)營過程當(dāng)中業(yè)務(wù)活動方面.??我涉及了三個方面的內(nèi)容,第一部分是風(fēng)險很重要,這不多說了。另外一點，企業(yè)和內(nèi)控風(fēng)險不是矛盾是相輔相成的.我們也知道美國《薩班斯法案》，我國內(nèi)推出的內(nèi)部控制規(guī)范,對我們企業(yè)內(nèi)控是一個指導(dǎo)二是一個壓力。同時,今天我們在座的上市公司CＩＯ，應(yīng)該說更多上市公司集團性企業(yè)，集團企業(yè)在風(fēng)險管理方面還是面臨更多挑戰(zhàn)。?

因此,這里兩個建議,對大企業(yè)加強集團風(fēng)險管控有兩條.第一條啊管控層面,采用集中式管理模式。母公司層面開始管理模式，通過這種模式我們可以加強分析機構(gòu)對我們整個優(yōu)化進行有效整合，通常對我們標(biāo)準(zhǔn)，規(guī)范，對一些業(yè)務(wù)流程進行有些控制,對企業(yè)內(nèi)控不僅僅是控制風(fēng)險，還是要加強教育。同時，這種集成管理有利于集團的戰(zhàn)略執(zhí)行、運營等，我們運營中產(chǎn)生的信息、結(jié)果可以有效配合。??業(yè)務(wù)層面可以涉及到一些具體的,我們應(yīng)用活動重要的控制點，比如說在流程方面，我們由采購需求開始,到采購申請,采購定單,再到采購招標(biāo),到貨物交付，這個結(jié)算過程我們要規(guī)范流程，流程規(guī)范我們就可以避免風(fēng)險,這樣業(yè)務(wù)活動當(dāng)中控制。第二個方面，我們加上信息庫存我有合理庫存，有信譽額度，在執(zhí)行過程運算的控制。第三是對業(yè)務(wù)追蹤了貨源,最多對一些風(fēng)險點進行及時警示，包括業(yè)務(wù)，財務(wù)的。??第二個方面是信息化在加強企業(yè)內(nèi)控中的作用,所以企業(yè)控制風(fēng)險管理，迅速落腳點還是要在我們信息系統(tǒng)當(dāng)中，信息化是重要的保障。首先我們無論要建我們風(fēng)險管理系統(tǒng),內(nèi)控體系是要以信息化作為基礎(chǔ).第二個方面,我們信息化建設(shè)現(xiàn)在信息化應(yīng)該越來越多體現(xiàn)內(nèi)控風(fēng)險管理要求，以前我們建設(shè)信息系統(tǒng)時候，建設(shè)基礎(chǔ)設(shè)施、應(yīng)用系統(tǒng)，我們可能并許多過多的考慮內(nèi)控和風(fēng)險管理要求.從我們一旦意識到了我們的風(fēng)險管理，對企業(yè)重要性以后，我們說信息建設(shè)要充分考慮這些因素,從業(yè)務(wù)、管理、決策層面都要考慮這些因素。

信息化在內(nèi)控、風(fēng)險管理方面是非常重要，我們風(fēng)險包括方方面面，戰(zhàn)略，投資,財務(wù)運營，法律和道德風(fēng)險,信息化可以在很多方面可以發(fā)揮作用，但是并不是解決所有問題,他可以財務(wù)方面很重要的作用。?

企業(yè)內(nèi)控的五要素，內(nèi)部環(huán)境,風(fēng)險評估，風(fēng)險評估等等,我從5個方面簡單看一下我們建立怎么建設(shè)信息系統(tǒng)，第一建立集成ＩT系統(tǒng)是重要基礎(chǔ)，有了它,我們有了政策很多制度,標(biāo)準(zhǔn)規(guī)范在能夠暢通無阻的貫徹下去，有了它我們很多信息才能并較好頒布，識別很多先進點可以再這樣環(huán)境下被有效控制。??這種信息化模式要從戰(zhàn)略層面我從財政，物流等等進行集中化管理，業(yè)務(wù)層面我們要建立我們業(yè)務(wù)系統(tǒng)、生產(chǎn)、質(zhì)量設(shè)備，這個層面有機結(jié)合擴大我們企業(yè)的途徑,我們風(fēng)險管理要弱到信息系統(tǒng)當(dāng)中去,但是我們知道剛才說到我們管理有沒有權(quán)利用到系統(tǒng)配置，應(yīng)用系統(tǒng)是不是可以為所欲為，我們信息管理是不是可以在掌控之下做各種的工作。首先這里有最大的風(fēng)險,首先對信息系統(tǒng)授權(quán)要分析授權(quán)，第二要分角色授權(quán),我們提出叫四員的管理概念，我們要設(shè)計系統(tǒng)，應(yīng)用，安全員,審計員,我們可以有效讓我們信息系統(tǒng)合理得到一些相互制約，分別關(guān)注自己的角色，使得我們信息系統(tǒng)是可靠安全的，是可以保障的。我們的風(fēng)險管理,才可以建立。??第二