上市公司CIO内控管理和信息化建设

财政部会计司综合处处长,内控标准委员会家成员胡兴国中国石油化工股份有限公司信息系统管理部处长姜林用友公司ＮC产品架构师付建华女士河北网通信息化部高级工程师屈玉阁浪潮通软副总裁兼技术总监魏代森中国铝业信息部的杨磊国际信息系统审计师协会北京事务委员会主席何迪生摩卡软件高级售前顾问周立民EＭC信息安全事业部中国区资深技术顾问冯崇彪信息中心主任张艳下面我们有请财政部会计司综合处处长,内控标准委员会家成员胡兴国.ﻫ胡兴国：各位领导,嘉宾，上午好.

今天能有这个机会我想给大家汇报一下财政部会同另外四各部位关于标准建设实施情况,我汇报情况叫我国企业内部控制标准建设与实施。ﻫ汇报5个问题，一个是我们启动标准建设的规定，第二就是汇报我们企业内部控制建设历程，第三简单汇报一下标准建设框架体系,第四简单介绍一下信息化,风险管理与内部控制关系，最后大家探讨一下企业在事实内控标准应该做一些什么工作。ﻫ第一部分是就是它的意义，我从三个部分进行总结，大家知道去年５月11日,财政部,证监会,保监会，还有审计署同时颁发了基本规范,我们也在北京召开了发布会标志着我们国家企业内部控制标准建设，有了重要阶段性成果.当前世界金融危机给我们国家造成很多机遇,我们做了一个调研企业加强内部建设，提升自身的能力是非常重要.第二就是中央提出走出去战略，国家起草规范和技术出发点，要企业做强做大，帮助他们国外资本市场进行融资，特别是是美国，英国，法国,包括我们香港都有一些要求。第三就是满足我们资本市场发展需要,我们国家资本市场公开，公平，公正,提高财政的信息质量,提升我们经营管理水平，可持续发展,还有保护我们广大投资者利益。第二部分就是发展历程，我们国家企业内部控制建设从70年代就是改革开放以后，特别是我们第一部会计法的实施,这是一个标准性阶段。在满足社会不同需要,在这个过程我们出现过满足核算制度等等。早在70年代末期，80年代初，包括我们提出岗位分离等等.９0年代的时候，特别是我们会计法实施的时候财政部96年发布会计规范，规范要求各单位进一步建立健全包括内部控制先进内部会计管理制度，会计法明确要求各单位建立内部管理，这是我们内部管理的法律依据，到２001年６月22日,财政部依据会计法规定又制定了企业内部会计控制规范,基本规范和后备资金,０4年相继发布了销售与收入增加,发布了1＋6的等各项制度。第三阶段以我们发布的金融规范，来源主要是美国安然事件以后,采捕正有关领导，把安然事件对我们国家的意义报个国务院，国务院领导同志做了批示,这项工作财政部牵头，证监会,国资委配合,建立中国的塞班斯法,到２0０7年，财政部，银监会,国资委等联合发起成立我国企业内部标准委员会，委员会委员是31位，我们成立了8个咨询小组，8个小组去年我们把这个小组又扩大了，委员从3１名发展大5０人，咨询小组现在有１50人，当时我们发布规范发布了１７项具体规范。我刚才说５月22日我们发布节本规范，要求7月1日正式实施.第三部分给大家汇报一下，基本规范的框架体系。框架体系是一个规范加三个指引,一个是基本规范已经发布了，内部标准体系是最高层次，有的人说是中国的塞班斯法,第二是主要是对企业,对企业有内控企业的主体。帮助企业建立体系，第三系评价指标，是企业内部必须做的评价包括自我评价，怎么评价。第四是审计指引，会计事务所执行内部审计。基本规范主要是有概念,目标，原则，要素.我们提出了概念,当时我们国家内部控制很多部门都有，包括我们银行，银监会,包括我们的证监会,包括我们两个交易所，我们部门把概念统一一下。目标有三个目标，我们提出5个目标,我们是5目标,原则，要素.应用指引，给我们发布了征求意见，目前2１个应用指引，加上审计指引，加上评价指引,一共是2３个,我们财政部部长签发了，审计署也签了。我们应用指引主要是2１个分布,一个是针对企业管理,我们根据基本规范有5个一个是统一架构，一个是发展战略,一个是人力资源，还有社会责任和企业文化。这5个我们是怎么每一个构架都差不多，我就举一个社会责任框架，我们第一就是整合，提出它的概念什么是社会责任,我们再提出中心有哪些,社会责任我们提出4个中心点，安全生产，不落实可能导致企业生产事故,第二产品质量恶劣,会侵害消费者利益,可以导致企业破产，大家知道河北石家庄三鹿开奶粉事件,第三是环保投入不足,资源消耗大，造成环境污染，资源枯竭,缺乏发展后劲一是一个风险。ﻫ第四我们说促进就业和员工权益保护，我们金融危机背景下，扩大就业，保内需，增长，我们从企业角度。第一是控制环境，第二是资源，包括资金活动，我们以融资，投资这一块我们放在一些活动里面,还有采购业务，还有负债管理，销售,研发，工程项目，服务外包等等。应用指引形式都差不多，比如说采购应用，我们主要是支付环境，包括购买环节，要采购申请,招标，确定供应商,供应价格，报批核准等等，每个环节进行控制,第三是控制手段，包括全面预算，风险管理，内容信息传递，信息系统，财务报告。ﻫ第四针对特殊行业或者行业的控制，包括银行业,证券期货业务，保险业务个个应对指引.再说一下就是评价制度,作为企业内部管理涉及到运行效果和自我评价，为了方便起见,我们起草了一个对企业内部控制,内部评价指标,包括内容，标准，程序，方法,包括报告形式,我们选择企业报告的基本是从1月2日，１2月３1作为一个会计年计表,也可以选择6月３0号自查报告也有了新的形式我们参考的深交所还有美国塞班斯法正在研究,报告形式可能要分两部分，第一个是对环境评价,对业务流程通过一些表格，数据一些量化标准。企业怎么判断你的是否存在重大缺陷,下面就是审计制度，主要是事务所接受企业审计。从我们目前起草稿子我们指引分四各类型,一个就是标准，还有在强调时间段和保留意见，还有否定一些意见，还有无法表明一些意见，和我们财务报告差不多，这个也有一些具体指标.我简单汇报一下框架体系。ﻫ第四部分我们汇报一下内部控制与风险管理的信息化，我们是怎么理解的。内部控制和风险管理,实际上存在一些争议，理论界对这一问题,人事部统一，有人认为内部控制与风险管理是两回事，两张皮,也有人形象说内部控制是“正确的做事”，风险管理是“做正确的事"。从我们制定基本规范角度出发点，我们认为内部控制和风险管理不是两张皮，应该是一个完整和有机融合,我们认为内部控制主要是企业内容风险，包括你可控风险也包括不可控风险，但是都要做。所以我们基本规范风险评估，有风险识别,分析，经营存在的风险，战略,决策等等。第二对国际先进研究成果与经验看,应该是有机融合的趋势。看与风险之间的感到我们是这样理解的.那样控制与信与化,信息化会计信息化有财政部会计司也说，8０年代我们在全国积累了很多经验,在电算化的一些标准,0８年１1月12日我们财政部会同其他8大部委在北京成立会计信息化,包括还有ＸＢRL中国地区组织。经过２0多年的努力，在会计信息化工作方面给我们发了一个指导意见,这项工作从我们司角度，已经成为工作重点。会计信息化与内部控制信息化还是有一点区别，这一方面从我们内控角度，我们单独有一个信息系统这方面的指引，我相信这个会内部控制好，要做得好,对大多数企业来说很重要的。随着科技发展水平越来越先进，所以信息化一定要跟内容控制有机融合起来.信息系统我个人理解不仅是本身需要控制，最主要是在内容控制和风险管理中，能发挥很大的作用，提高工作效率,能够节约很多成本。第五部分,我汇报一下企业如何实施内容控制规范。我们知道原来定今年7月1日上市公司开始实施,考虑到因为我们一系列的具体的应用目前还没有发布，加上我们审计指引,发布以后还要有一段时间消化吸收还要有一个过程，由于金融危机影响，我们调研一些企业他们关注点说法不一样，有的说我们现在经济不景气，我们练内功吧，有的关注不是这个关注经济增长率，所以经过部里面领导多年的慎重研究，目前我们调整到2010年1月1日，原来是在境外上市公司实施,考虑到情况其他上市公司、其他企业也执行.这套体系下来已经做了调研实施成本是非常大,实施难度还是有一定难度的，目前需要财力,人力资源，所以我们想这个中国在境外上市有4个国家。实施原定7月１日实施,有一个自查报告，2010年１2月31日，我们还有一年半的时间,我们的有一些企业有完善的标准、完善的制度体系,我们宣传和应用。下半年我们就做一个宣传和培训工作，我们目前正在紧锣密鼓的筹备当中。目前我们跟踪一些大的企业看看他们的实施效果。企业在贯彻实施内部控制规范制度,我个人理解应该从下面６个方面。第一个方面就是要强化宣传培训,提高内部的认识。不管7月1日执行不执行,上市公司总是要执行，只是一个时间问题，延续明年下半年,或者后年总之是要执行的，所以工作还要往前做。所以要宣传培训提高认识。第二点就是要健全内控机构,提供组织保障。不少企业有内控部、有风险部,有的是单独设立了内控部门,有的是放在财政部下面,有内控部。形式不一样,但是我们从基本规范角度要求，要设立机构配备人员。第三点要循序渐进，稳步实施，不是哪一个部门,不是我们财务部一下子的事，是需要多个部门配合。对于企业因为差别很大，差别很多,千差万别基础也不一样，建议分步骤、分层次的进行。选择境外上市公司执行,考虑境外上市公司资本市场是适合公众利益,执行效果好坏事关资本市场的稳定,但是上市公司基础较好，人员素质较高,本身有完善的内部控制的制度体系，同时也有雄厚财力支持，所以选择境外上市是有扎实的基础。第五点我们建议注重实施成本,讲究实施成本。第六就是强化内部控制建设,增加风险防范能力，应该进行统一协调。最后一点就是要企业善于借助外部资源，合理利用外脑.企业在实施过程中内部控制标准体系过程中,让人感觉到这方面人才，智力资源的局限于可以借助外部咨询机构，中介机构，帮助你设计，避免少走弯路.同时让咨询机构培训自己的人才，这样提高企业综合管理水平.我要汇报简单给大家汇报一下的是我们财政部牵头这项工作的基本思路，不对之处请大家指正谢谢大家。主持人:非常感谢胡处长的发言,下面我们有请来自IDSSｃheｅr咨询经理阚相元先生发言.ﻫ阚相元:各位领导，各位来宾,大家早上好.ﻫ我代表Ｓcheeｒ公司，与大家分享一下我们内控风险管理的认识和经验。ﻫ在正式演讲前我们Ｓcｈeer公司是德国著名管理信息学教授在1９99年建立的，进入中国是２00４年，目前公司在北京上海,还有深圳，有三个办公室,在中国主要是提供两个方面大的分别服务一个是SＡP实施和核心EＲＰ系统咨询服务。第二服务我们公司业务流程管理系统核心包括风险和内控建设，进入中国时间虽然很短但是我们在中国市场获得很多客户,包括一些跨国公司。

今天的演讲分三个方面去介绍,首先，跟大家分享我们看到国内管理的企业在整个内控与风险管理建设方面遇到一些挑战和困惑。第二，我们看到信息化系统在解决这些困惑和挑战方面起到什么样的作用。第三个方面,我们会用一个具体的案例介绍一下两个方面.我们现在企业面临很多的要求，要求我们企业加强内控风险管理，我们分析了一下,这些要求不外乎是从四个角度出发,比如说国资委的《中央企业全面风险管理指引》，从是保护股东权益角度出发，还有保护公众权益出发的，还有一个是专业的行业部门,为了保障行业稳定发展，尤其是金融行业,比较明确是我们有银行的一些管理办法。还有保险业，还有政府部门维护整个市场经济经济角度出台一些要求.比如说财政部内部控制规范,这些核心思想是结合本企业自身特点，一些基本参考框架建管理体系，实际上和我们在很很早之前做的ISO的应用是一样的道理,无外乎我们要参照基本要求建立企业自身特点的管理体系，我们有很多客户交流,尤其是一些国有大中型企业，和上市公司交流大家会遇到一些困难,我们遵循上交所规范，和财政部规范，还有国资委中央企业风险管理的要求.我们怎么保证一套体系满足这些要求，我们要分门别类地架构我们的体系，我们企业肯定是不堪重负。我们仔细分析了一下及我们以财政部和国资委两个法律法规要求看，他们是不矛盾、不冲突的。他们的核心思想是一样的，比如说我们财政部内部控制基本规范,提高我们内部控制体系核心要素分为五个部分,我们国资委前面风险管理执行里面也提到很多条,但是他们明显有一个明确的供应关系，我们认为我们结合一些国内外的案例,《企业的内控与前面风险管理指引》，有不同政策要求,但是我们都何以分成三个层面理解，首先一个层面我们要结合我企业特点,识别出我们的风险或者是控制点，设立我们相应对的控制措施,是我们整个体系设立层面。第二，我们要把我设立措施应急方案在企业内部推广也是一个控制实施过程,第三我们保证体系健康发展，做工作对体系运行设计和工作实施情况,进行监督,对不足之处改进，确保我们整个体系设计是合理的,执行是到位的，这样一个体系。根据我们对不同客户的交流按，发现大家面临一些一样的困惑，所有管理政策要求核心要求是基本是一致的，第一就是要设计符合企业内部业务特点的管理体系,并且这个管理体系要能够根据公司业务,比如说组织架构调整进行及时调整。第二就是我们要把体系形成文件，作为我们执行和审计的依据,作为监督改变的依据.这样我们看到整个企业面临两个方面的挑战，第一我们体系改革的中心、编制审核很难跟得上业务变化，组织是在不断调整，业务流程是不断变化的,信息系统建设是逐步推进，每次做这种变革需要我们重新审计这些文件。第二就是我们体系文件难以根据外部环境变化进行及时调整。在控制实施方面，所以体系文件我们看到有两个要求,一个是根据设计的方案，我们体系设计与执行的一致性。第二就是实施过程当中你要保留一些可以审计，检查,这样一些依据，比如说控制实施了,要留下相应证明文件.这样我们可以看到有很多企业面临两方面挑战，第一就是缺乏有效的发布实施平台，我们做这个文件怎么能够让我企业内部从高层到基层管理，大家都知道,业务当中执行这是一个挑战。第二就是胡处长提到我们企业控制点很多，我有的客户有5千个控制点，如果全部用人工进行控制的时候，控制成本会很高。这是面临两个挑战，在整个体系监督和改进方面，有两个核心管理要点，我们要对体系设计合理性，实施彻底性监督并且定期出一些评价。第二我们评价监督资料要保留一下，可以供外部或者是企业的监督点所使用。这样我们可以看到企业里面有两个方面要求,第一就是我们体系监督本身工作量很大,协调的难度也很高,这样导致我们合规的成本是很高的，第二就是我们需要和一些企业定期每季度，每年度要做监督测试的工作，这些工作资料实际上对我们整个体系持续优化是很重要。但是我们很多企业做完以后,发现资料量太大，我将来不会再利用，达不到我们持续优化的目的.上面这些挑战直接导致后果就是四个,一个首先合规成本很高，我们看到很多企业最早国内企业是遵循美国的《萨班斯法案》,动员内部很多力量，才能完成合规工作。第二,很多企业抱怨，我是把风险控制住了,但是我们业务效率降下来，业务要不断识别风险，满足内控部门要求。第三导致的后果是我们很难持续地合规，今年可能通过，明年能不能通过还是一个未知数.第四是企业很难满足不断增加的内部的合规要求,我们国内上市公司面临这个困难很明显，最早是满足《萨班斯法案》,国内又提出，国资委又提出要求，最近在财政部也提出要求，企业怎么满足不同需求。这个我们认为可以借鉴向国外上市的公司,用《萨班斯法案》上市的经验，可以分五个阶段。第一个阶段是企业如何去控制规范,企业具体要求是什么，第二就是我要建立业务体系,第三就是我们要内部体系进行评价,第四个阶段我们企业面临挑战就出来了，企业寻求信息化的手段,首先想到信息化手段我们要把我的内控测试，监督工作流信息化，我们要把整个体系文件信息化管理，第五阶段我们更高层面规范我把业务标准化,很多跨国公司很多相同业务存在,他们风险是类似,也是可借鉴的。如果不存在业务单元，业务列成标准化,我风险的数量会大大降低，这是流程标准化.最后就是他会有一些信息化的手段实现我们业务和我们内控有机融合的目的。这是我们所面临些挑战与启示,下面给大家介绍一下我们在内控和风险管理的一些解决方案和想法。我们认为国资委前面发的指引也好,或者是财政部规范也好，明确提出企业在内控风险管理过程当中充分发挥信息系统作用，也结合我们在国外的一些经验，我们现在解决模块就是6大模块，基本涵盖我们整个内控和风险管理过程。第一就是我们首先一个建模模块,可以把企业内部业务和整个风险和内控风险体系文件进行管理。第二是风险事件的管理模块,我们怎么建立风险事件部。第三是风险评估模块，我们把风险评估任务分到各个管理部门把所有风险进行排序。在第二层面控制实施模块有两个,一个是帮助发布实施模块，我们可以给企业业务流程，让业务流程管理人员共同使用。第二是监控及预警的模块。我们一些业务的指标，资金流动性等等这些指标,第三层面就是我们有一个监督改进模块，可以使整个体系监督测试工作机械化。我们在跟企业沟通过程中有一些问题,我们体系文件问题是很多，我们用大量文档，我们看到表述了企业业务实际情况的文档,还有一些风险矩阵,包括一些制度组织，发信这些文件是分散，在业务上是有联系,但是在管理手段是没有联系，我们怎么做风险识别呢？我们系统有一个基于一个数据库把我们整个企业业务现状和风险控制集成化进行对象化的建模。我们左侧看到了一个流程，我们发现有一个风险点,这个风险点有一些控制措施，基于控制措施的执行情况，由于会有一个监督测试措施，针对这些测试我们制订一些人员,在系统里面把有机关联起来，进入一个建模。基于我们信息化模式可以进行快速分析，我可以知道我们企业业务存在哪些风险,我知道哪些管理这些风险，哪些风险是在哪些流程上这样我可以很容易抓住一些风险的重点,并且我们业务管理软件有一个很好作用我能够把企业里面对于同一个业务,从不同管理体系的要求,都在这业务流程表述出来,比如说从质量管理方面的要求，安全管理信息的要求,内控管理信息的要求。在整个表当中我们可以看到三套流程框架,我在具体执行业务过程中我到底要执行哪套业务，执行哪些要求,我们这个系统是可以把所有管理体系的要求落实到一个业务流程体系,这是同一个业务流程进行集中化的管理。在我们系统可以根据不同管理体系要求，我们质量管理要求,内控管理要求，再出具不同的业务报表.我们的系统最重要一个点我们可以搭建一个业务部门和风险管理共同使用平台，首先我们业务人员和风险管理人员可以进行业务的建模和风险管理建模,形成一个企业管理知识库,管理人员可以看我们风险点,业务人员可以看业务,并且可以满足跨地域的支持。综合来讲，在这一块特点主要有两个,第一搭建业务人员和风险管理人员共同使用平台，第二我们可以提高业务流程风险管理制度的效果，前面讲到可以减少工作量。第二跟大家介绍一下我们风险评估的模块，是一个风险评估软件，在我们风险评估内部发起到外心,到风险评价结果分析，前后我们都可以在系统里面完成.最后系统要给企业管理层几个报表，比如说定量分析的热图,定性分析的热图.并且我们可以根据我们多次评估结果掌握不同风险变化趋势。这个风险评估解决方案特点,主要有两个，第一我们通过流程信息化,我们把风险评估工作，信息化以后,固化以后可以建立一个持续风险评估机制,比如说对某一个风险要半年评估一次，到期的时候,系统会自动发起评估任务，可以确保风险评估任务的工作，第二我们基于同一个平台进行风险评估可以保障所有风险在同一个平台实现,可以掌握所有的风险的情况.第三个模块是我们风险损失事件管理,可以通过一个工作流建立一个数据库,给我们提供一些风险借鉴的案例，比如说我们看到一个信誉风险有几次，原因是什么，这样对我们风险识别有一些启示作用。它的特点有两个，一个是通过信息化建立一种固化持续化的风险机制，第二建立公司统一可以对风险应对提供一些数据化的支持.

第四是我们监控和预警的模块，这个模块最大的特点是我们可以从企业业务系统里面提取业务数据,进行指标的监控基于规则的事件识别。我们系统最大的特点数据功能是非常强大,可以跟现在所有的业务系统和数据库可以进行数据的收集和对接，我们可以把企业很多关心情况展开的地方,可以预警展开指标的情况,从而实现风险之前的管理和运营。我们设计了一些业务规则,看系统里面我们业务操作过程中有没有按照这些规则做，实现过程控制，还可以提供一些选择功能。比如说我们能够看我们的职责,在各种信息系统里面落实情况,检查全面配制的正确性,合理性.最后是我们测试和评价模块,这个模块主要是通过测试和实现对我们体系监督评价，这样我们的软件也是一个工作流软件,涵盖了从测试任务的发起到测试工作的进入，到统计分析到改进工作跟踪，全过程涵盖.它的最大特点能够和我们建模模块做最初体系软件,进行数据同步，保证我们在监督测试的时候,我们看到和我们体系设计的初衷是一直的。最后它这个系统有一个很大的统计分析功能，出一些多纬度测试结果,内控和风险管理绩效考核,不同业务哪块业务做不好,哪一块风险管理不好。我们可以从不同角度,或者和哪些科目相关的风险控制点到位不到位.我们通过流程信息化建立个测试及整改的工作机制，第二我们系统和我们体系管理系统进行数据接口，保证在测试过程中使用所有的文档都是集成的，不用工作人员手工做很多文件，第三简化我们大量工作,提高我们的工作质量.下面我们简单介绍一下我们在德国做的案例，这是一家在国外上市的大型国有企业，最初就是做内控项目是从《萨班斯法案》开始,在遵循《萨班斯法案》过程中他发现有几个方面挑战，第一是业务流程管理水平很低，增加了内控管理的难度,影响内控管理工作的落实。缺乏一套可以全面表述工作情况的文件，不能不全面的表述出工作业务的实际情况，要识别风险加以控制这是一个很大的挑战.第二是他的组织人员非常庞大，他体系管理难度是很大.第三挑战他的内控监督测试的组织，工作难度很大,测试成本很高，用的几百人的人力进行一年工作,才能做完,首先有很多的工作细节导致很多测试成本不是很高。根据这样的特点,我设计了基于风险管理的系统，首先把我们业务和体系文件管理起来,第二做人力和测试模块。第三就是我们要把做完的业务和体系文件发布出来，同时这个系统还能够支持我基于同一套流程,可以满足我内控也可以满足我ＥRP实施的要求，还有一些指标的控制.做的第一个工作首先是我们把业务进行全面梳理，从横向到纵向可以保证我业务真实的业务状况。基于这情况我们看每一个业务流程里面有那些风险点，业务目标是什么,有哪些不确定的因素，针对风险点我们有哪些是控制措施，风险管理，控制执行我们怎么测试进行一个统一规则进行了一个描述,以后我们可以发布出来企业管理的内容库，这样我的业务人员在维护人员可以看我每一个业务要求,风险管理人员可以快速看到的风险可以到那个里面去。通过前面讲的测试的管理和测试的统一分析,极大地节省了他们的人力与物力。这样以后我们跟客户一起总结，整个做完以后收益是体现三个方面，第一是通过风险管理工作,进行业务流程标准化,加强企业规范化指引，提高业务管理水平，这是客户一个收益。第二提高内控管理的工作效率和质量，降低我们合规化成本，主要是信息化手段降低了工作量提高效率降低了合规成本.第三方面的收益实现了内控管理和业务经营活动的有机融合，过去内控风险管理工作就是风险管理部门工作,业务部门是对专业部门去推动的，这样一个双方抵触的情绪。通过这样一个程序双方可以落实,把我控制风险融合到业务当中去,实现业务管理工作和风险控制的有机融合，我们对内部监督测试过程也是对我们业务执行力的检查，也是业务执行的保障。今天时间有限给大家介绍就到此为止，谢谢大家。主持人：非常感谢阚先生。下面一个讨论主题是“中国石化信息化建设和内部控制体系"，有请中国石油化工股份有限公司信息系统管理部处长姜林。ﻫ姜林：各位领导,嘉宾上午好。ﻫ我汇报题目是“中国石化信息化建设和内部控制体系”,汇报的内容包括中国石化基本情况,信息化建设和应用情况,信息系统内部体系，IT内部体系。中国石油化工股份有限公司是由中国石油化工集团公司,国家中华人民共和国公司法多家发行方式,２０００年2月2５日设立股份制公司，分别在香港、纽约、伦敦,三地交易所成功发行上市。２００1年7月16日上海证券交易所成功发行了28亿A股，截至２0０8年年底中国石化总股本857亿股.中国石化是中国最大能源化工公司之一，主要从事石油与天然气开采开发.管道运输销售，石油炼制、化工、化纤、化肥等等产品输送。石油、天然气、石油产品、化工与其他化工产品进出口代理进出口业务。技术信息研究开发应用,中国石化是中国最大的石油产品,包括汽油、柴油等主要石油产品,也是中国第二大原油生产商.中国石化建立了规范的治理机构,实行了集中决策风险管理和专业化经营事业部,事业部管理体制，中国石化有全股子公司，包括炼油、化工产品销售等企业.主要是集中在中国最发达的东部和南部的地区。中国石化更加注重科学创新、管理创新，努力把石化建设成为能源化工公司。中国石化最大股东中华石油化工集团公司是国家在原中国石化公司总基础之上,１998年成立了特大型石油石化集团，美国《财富》杂志2008年世界500强中国石化名列第16位.第二方面是信息化建设了应用情况，２000年以来，中国石化以ERＰ为主线信息化建设获得快速发展，到2008年底ＥRP在81家企业,以ERP为带动电子商务系统、供应链系统、生产指挥系统、集中管理系统,一些先进控制生产集成系统，等多种使用系统都得到了广泛的应用。目前信息技术应用解决中国石化生产管理多个领域，中国石化ＥRＰ开始于２０00０年，在4企业成功试点多个展开，包括油田,炼油化工销售，企业全部覆盖，企业从业大规模ERＰ建设，2０07年底基本完成,ＥRP系统推进资金改革提高管理水平,规范信息管理行为，强化控制方面效果明显。中国石化通过采购电子商务系统从２０0８年８月投入至今,网上采购结果88个单位，5千个物资扩大到目前５0多个单位,76万多个效果，90%的物资实现了网上采购，到０９年3月网上采购资金突破６千亿，集约采购2０0多亿.对供应链系统经过几年建设,提高原油采购，运输、加工，供应链管理系为炼油企业讲稳增效起来发挥了重要的作用。人员统一调配,用统一安排格局及实现技术指标分割，数据采集，监控分析，有效地降低用户费用和财务费用。目前总部生产系统以新大楼统一运行,实现调度跟踪,系统各项部门功能得到有效应用，总部集中了平台,用户总体不断扩大.目前已建成IC卡联网加油站17０00多户，发卡网点5000多,持卡消费33%以上.增产集成系统用三年左右时间提高到２到４个小时完成,为企业降低能耗提升精细化管理水平有很大的改善。其他应用系统，全面运算系统等油田企业炼化企业、教授企业、科研工程单位信息化建设也得到了深刻发展.第三是信息系统的内控体系,我们03年成立了内部指导小组,成立专门办公室,组织协调内控建设和实施工作。应对不同市场,借鉴美国经验提出内部控制框架，公司经营财务有大关键划界,制订了内部手册,经过测试于2０05年1月１日起，在公司正式实施内控制度，经过四年多实践,内部范围控制逐渐扩大，覆盖了中国石化所有活动内控体系。中国石化内部控制手册2００９年版有18大类，配套相关总部管理制度244个,各分公司规定了工作流程结合本单位。为了保障内控管理有效实施,办法内部控制办法,在总部分公司两个层面使用。中国石化内部控制手册2009版本有17个流程，基本全部实现了信息化,另外５个业务流程为IＴ部门流程，其他业流程暂时没有实施信息化,或者与信息化无关.第四个问题向大家汇报一下中国石化ＩT控制体系。中国石化ＩT控制体系包括IT内部业务流程，ＩT一般性控制，和IT应用控制。20０3年建立了信息系统管理业务流程，２00５年启动ＩT控制工作，２0０6年建立了ＩT一般性控制，２００7年结合ERＰ系统,应用系统和基础设施IT一般性控制流程。2０08年ＩＴ控制体系进一步完善，并将重点专项ＩT应用控制，2009年随着深化ＥRP应用进一步深化IＴ应用控制。ＩT一般性控制包括企业整体层面IT控制，和企业活动层面IT控制,近期系统管理业务流程IT体现包括与管理体系，信息化教育培训及凭险评估,信息安全管理重要控制内容.有关活动层面IT要求，通过ERP系统控制流程等体现，EＲP系推ＩT一般性流程，包括和数据访问，程序变更等等,业务流程IT一般性控制流程，主要财务报告是生成相关，如ERP财务报告系统，加油卡系统流程包括程序变更,访问方面内容.结合网络服务器，机房设计。流程包括机房管理,故障处理方面内容。

中国石化ＩT一般性控制主要和信息系统日常管理结合，经过几年扎扎实实的工作，对外部省市认为中国石化IT控制到位,保障信息系统安全，稳定系统方面发挥重要作用，中国石化IT控制主要有EＲP系统应用结合，EＲP系推是中国石化主要系统,比如说计划控制、一般控制、价格控制等等，自动平衡资源及实现资金流,物流等等.通过发挥系统集成，满足用户管理要求，实现IT控制目标。中国石化内部控制手册设置５０多个流程，以2７个业务流程与ERP有关,总体实现配制控制，输出输入控制,包括时期控制、操作规范控制,日常操作，垃圾数据操作。用户检验包括组织值，关键词代码，以及系统机构控制。ERP全面实施落实ＩT控制提供标准平台，有利实现ＩT控制目标，提供了有效的保证，实现提供有效保证，在深化ERP系推同时进一步加强的IT控制.主持人：非常感谢姜处长。下面有请网康科技服务部总监陆续周先生。ﻫ陆续周：很荣幸有这个机会，跟各位专家交流一下内控体系，我本身有在一个大企业做过10年的ＩT系统,而且比较早的实现了有关的业务内控,我的交流分五个部分,引言,把内控条例读薄。ﻫ内控刚才也讲了是一个全员的工作，尤其是核心团队共同实施，因为借助信息化实施,所以一般CIＯ比较痛苦，我该怎么办。其实整个技术层面内控里面是一个支撑,如果说我不能一下子全做到，有一个办法分布落实，这个时候可以看到把内控条例读薄对我们有很大帮助。一个经济学的泰斗跟我说过，书里面东西比电视好，书里面东西可以让人聪明，电视可以让人变傻,因为书是可以越读越薄,把内控条例读薄对我们有很大帮助.在这个内控条例里面我们最主要是宣传、培训，让每一个落实人心，无论是美国的安然,还是经济危机美国企业高管,依旧发高额年薪,往往是因为人的不当操作导致,内控精髓是规范人的行为，让规范深入人心,同时让人难以有意、无意违反这个条例。所以我的标题就是“内控以人为本"。我觉得要想把内控读薄有很多范围，画了四个框。首先内控是一把手工程,从董事会,最高层要重视.第二点是整个核心团队，共同参与设计不要指望就是IT部门做内容不可能。但是ＩT部门的这种支撑、架构是必不可少,我们内控所有流程都在支撑系统中,人的大脑效率是很低，我们一定确保内控条例,确保我们规范真正深入人心。往往人懂了不抵触，就会知道这样的好处。我以前的公司老板跟员工说我为什么要做好控制，因为只有我们控制住我们才可以活着，如果公司不好，员工得不好，所以公司６00人一样可以进行很好了内控体系，我们有了框架以后我们怎么把内控体系读薄，构成一个企业无非是两种,一个是活生生的人,还有一个是企业资产,同时我们业务运作有业务流程和财务流程，是我们要做内控体系要关注方面,把我们这些梳理清楚以后,有了这些关注点以后，我们怎么对每一个点进行内控规范设计，在内控条例章节里面可以看到，第一章第六节,权责分配、企业愿景、人力奖惩、可审计、反舞弊。每一个设计流程关键点切分,每个点都很重要,但是每一个点流程应该怎么做的，第一我们处理任何一个流程,任何关注点的时候我们要遵循第二章到五节第一风险分析，控制措施，信息沟通，监督检查，一点可以分成２0个操作步骤，不管有多少点我要抓住关键操作过程就一定可以做下去,我本来想画一个四维图，本人美工有限画不出来。我觉得还有一个很大的纬度就是我们网络，内部和外部网络,有这么多点我已经知道了,那么我该怎么做，今天有做窗效应。如果我想做窗等到我们所有的窗户一次性采购完,这样的话让别人认为窗户破是应该的，不破窗户我要打破，这个是一个很知名的效应叫“破窗效应"。这样的话用最快的效益，把能够修复好尽快修好,给人一个意识我不能再打破其他窗户了.这种思路一定要灌输，内控条例里面有没有可以尽快修复破窗呢。这是整个架构内部外部网络，内部网络关注于每个企业的个性，比如说金融、石化、科研、政府内网一定不一样。一个是设备制造商内网一定不一样,它的流程很复杂，外部网络比如说我访问互联网、访问邮件、访问外部应用是有通用的，是一种普适性很强的，不妨我们从最容易下手的地方下手,把破窗破除掉。这是我的心得,内控先找软柿子捏，在这种外网互联网环境里面我们可以看到，它实际上贯彻了一个企业企业文化,企业愿景,就是人员基础，我们利用互联网知道应该做什么，不应该做什么，这个是通用而不准则，因为是一个基础所以很重要，因为通用是一个软柿子,很成熟不需要我们太多考虑我们业务的关注点，在外界很多大量已经成熟可用的方法，来破除破窗.同时互联网这种行为是人的第二人生,可以反映出一个企业人的文化、思路、想法。因为我们曾经给客户做咨询的时候，我们很轻松发现哪些员工想跳槽,是一个人的思路直接体现,所以当我们了解人的思路以后,了解了关键点之后,我们想让我们其他规范深入人心会变得很容易。所以说互联网行为的内控实际上是一个已经成熟，而且成本效应更高的软柿子，我们不妨从这里下手.内控为两种，那么互联网内控,问题到底在哪里，我们现有体系是不是已经把内控实现了。我们来看一下,根据我们服务过很多客户的角度看,第一现有状况很普遍，内网IＴ没有认证，没有专业互联网接入的安全体系,会导致我们内部的人员根本不知道谁做的，我相信我们越大的网络越会采用动态的成本,这种情况我们怎么知道谁做了什么事，我们不能关注到人何谈内容，没有权限、没有规范。第二，我们互联网上可以看到无论是ＨTTＰ网页下载，还是最流行的Ｐ２P下载，还是IM的收取，都是面临企业挑战希望员工不违背的事情,大概3０％是国家级的网站,我听到收音机,说北京市青少年每周平均上网时间是３7。5小时，如果按8小时工作日,将近5天，而且其中有一半的学生访问过色情网站。实际上可以看到这里面网页的问题很大,同时像P２P基本上没有太多用来传数据,基本上是娱乐。像ＩM、UML都是我们想控制的，但是却控制不住。第三点实际上在我们外网业务我们缺少有效出口，我不知道外面的文字是什么,这时候带来是本身在金融危机下避免风险是最主要的事情，规避风险，那么因为我们无法控制,接入的风险就很大。同时我们企业机密，核心信息往外发送是太简单容易的事情，我印象最深当时国内两大运营商,签署互不侵犯条约，这个时候我们对数据保护来说存在很多的问题。其实我们IＴ系统最重要是要付出有所得,由于我们局域网带宽很大,运营商核心网带宽也很大，我们想让企业网能够匹配这个大小不可能.第五点最重要的一点,跟企业文化有关系，我们在一个专业的报表里面可以看到,我们员工在互联网上，只有45％是查询有效资料，其它的是在做与工作无无关的事情。如果一个企业文是让员工积极向上,而在某一些工作行为当中是积极向下。的确我们想控制,但是为什么控制不之呢,可以看到,安全里面有一个很重要效应叫“独眼鹿效应”，这个“独眼鹿效应”我们默认的是防外，不防内。第二是说很多我们不希望发生的行为，往往披一个合法的外衣。现在可以看到现在的我们信息专家，80端口的迅雷，我们有太多协议.第三我们内容细节没有办法判断，因为我服务公司是一个研发公司,从网络传一个SP是什么我不知道，我只知道是一个文件这种情况我们怎么管理。我们讲两个案例,一个是华为电脑,可以看到300多带宽7０％以上流量被工作无关的内容占用。第二是国家核电,自成立以来是一个部级单位.为什么和困惑,我不知道网络可以传输B2ＰＩM里面内容是什么，但是我想知道里面内容是什么,不能让里面核心的东西出去，这是我们中国企业困惑的。在国外企业来说可以看到通用电器，还有摩根大通、环球电视，这些都很早做了互联网控制。有了这些问题我们怎么做，我们服务客户我们觉得我们把这个条例读清楚,互联网技术层面传统的有传输的HTTＰ等等，新兴的P2P,等等。在我们内控点上结合我们有哪些，第一主体健全,我们行为要符合企业远景，我们行为要可审计，要能给IＴ成本很大收益，我们行为能够让人力资源部进行相应控制,我这是我们在外网、内网的着眼点.管理方法我们在两年前就提出内控风险管理，就是一个典型的干预，大家遵循是螺旋式上升原理，我是任务模式不是功能模式。比如说我们设备防火墙,是把功能模式,但是不是任务模式有效灌输给我们客户以一种方法引导我们，所以我们很早提出的理念就是遵守我们风险评估。ﻫ具体的建议，第一点无论是什么样的系统，我建议都新用一个路由器放进去。你是双面的,单面的，还是旁路接入都可以，把我们互联网出口进行这种进行下一步分析.首先建立有效的行为主体识别机制,与组织建构真实的相关可靠的真实的网。这是我们第一步主体健全。第二是我们分析进行相应的风险分析，我们知道有网站，应用,流量问题，为什么搜索习惯写在里面，我们曾经用一分钟的时间搜索,就是一个员工做什么,虽然就是几个字，十几条，这种搜索习惯很容易看到企业的员工的心态。第二，我们专业网页应用完善自己监督与控制，是内控体系第二步,我们是借助全球最大的中文搜索部，对各种各样外发信息内容，大小,人员行为识别，对流量通过我们独有通道来有效控制，可以能够让我们安全体系、能够让我们互联网控制体系达到有效的控制。第三点是最最重要的,一个我们解决方案决不能是看，控，一定是可分析、可统计、可查询.这个是我们内控里面很重要，我如果持续发现我们网络有新的问题出现，流量有异常，不断发现我们有异常，不断地和我们主管公司高层沟通,发布报表可以有效让这种制度落实到人心，让大家知道我该怎么做。通过对外网的内控体系、内控思路、内控方法的灌输，我相信合法、合规行为将将一个积极向上企业文化提心，信息保密，外发控制会得到有效，同时资产保护也会得到很大的保护。当时华北电网部署网上体系以后,带宽下降了1５0兆,国家核电全网采购了我们的体系,他的所有代发体系就健全了.这是网康的服务案例，大家都是全网采购，无论是国家部委,这是最大金融机构，国内很大上市公司，还有制造业、媒体，各个区域像华北电网等等。可以看到通过部署这些装置，很有效的能够管理企业.网康公司实际上已经持续5年为互联网提供专业服务,我们以每年300％速度提升。我们价值,我们理念是以人为本互联网管理思路,以人为本价值呈现我们在第８层上,我们希望能够在第8次做到人与技术完美结合,服务于我们中国企业上好网，用好网谢谢大家.主持人：非常感谢陆先生的精彩发言。下面我们有请用友公司NC产品架构师付建华女士。ﻫ

付建华：各位来宾，上午好，非常荣幸能够有这次机会我们借助这个平台,用友公司和我们在座的企业高管，我们公同探讨一下信息化环境下企业内控的建设.ﻫ

说到这个话题，在今天和大家交流的时候，除了在后面介绍用友NC系统，之前还要想稍微花一点时间交流一下IT技术或者说在信息系统环境下,企业内部控制管理差异和重要性。

ﻫ首先看看IＴ环境下企业内部控制体系的建设，前面我看到来自于不同的企业嘉宾都提到了。我们说到企业内部控制系统建设的时候，我们都知道离不开IＴ的手段和工具,实际上在我们交流这个问题的时候,如果我们是在座企业的CIＯ，或者你是企业将来服务内控工作开展职能部门的负责人,我觉得首先要思考一个问题，在目前ＩT环境下，我们这个企业开展内部体系建设、健全、保障它有效执行，然后进行监督和评价的时候.到底和原先在传统方式下产生了哪些差异.在《萨班斯法案》颁布以前,没有一家企业可以说我们没有一点内控机制,如果你是中型企业、大型企业,企业制度和相关文档这些东西在企业当中都是有,但是法案颁布以后对企业要求更加体系在几个方面。第一是内控是否完善健全，第二风险内控是否得到有效执行，第三法律要求进行监督评价,如果内控有漏洞，没有让公众及时了解到，要承担相应的法律责任。

ﻫ在企业围绕三个层面开展内控管理建设，执行评价的时候，首先你要来思考一下在IT环境下,或者说信息技术与信息技术结合情况下,企业内控管理如何开展.首先看一下信息技术给企业内控管理带来影响有哪些方面。ﻫﻫ首先控制原则和方法发生巨大改变,我们原先说内部控制基本原则和方法,我们知道有原则,目前对于企业也可能要非常关注信息技术,ＩT环境下控制原则变化，信息技术成为企业内部管理很重要的方法、手段和工具。第二是控制内容和方位，从５部委中我们可以了解健全企业内部控制体系,IT控制是你企业必须要关注一个领域,原先你非常关注我企业工作治理机构，组织架构,职责权限,业务流程在企业循环的控制。在当今企业环境要更加关注IＴ控制这块，要思考一下我们企业以前，公司以前在IＴ控制领域是否有健全的控制体系，制度是否有有效的监控手段。这也是一个巨大是变化.ﻫ

第三个方面也是ＩＴ技术对企业带来的挑战，你的内控制度体系设计非常有效，但是执行是否得到有效保障，所以说内控执行在目前管理情况下，所有企业或者说大中型企业借助于IＴ系统保障内部控制有效性。在座的各位领导公司知道没有一家公司不会使用一部分软件，比如说使用EＲＰ系统，Ｏｒａcle或者用友,其它软件系统.你的核心业务、财务信息、报表会在这些系统里面产生，那么如果说这个时候你的内部控制执行的手段，或者说执行的评价要绕开ＥRP系统或者是IT系统,企业可能就不能正常运行。第三点我们可以用一句话指导它的重要性，对客户框架有深入分析，我们知道全球包括美国、英国，包括新加坡、香港、日本,还有我们现在中国，所以的国家在制定内部控制相关法律规范的使用框架,是遵循的ＣＯX框架,如果你这个企业的内部控制执行，是依赖于某些IＴ工具,比如说ERP系统,其他的软件工具，将来第三方见证机构对企业进行内部控制审计评价，可以适当的减少审计工作量，提高内部提出有效性可信任评估，所以借助ＥRP执行是非常重要的了。如果说像我们原先很多在海外上市公司,每年请四大帮你做内部审计，或者咨询费用是非常昂贵。如果说我有了可靠EＲP系统，所有内部控制都在ＥＲP系统当中得到良好体现和控制，你的审计和相应成本会缩小了降低很多.这也是企业要关注的重要一个方面.ﻫ

另外一个方面就是控制监督及我们知道法规颁布以后,对企业带一个新的挑战,就是内部控制必须进行监督评价。这个监督评价包含两个层次，第一个是内部监督评价,我们看到国内上市公司都着手把企业的内部及审机构职能进行扩充,原先可能是传统审计就是报表审计，现在要扩展传统的审计,企业内部控制、独立审计等等方面.在内部监督评价同时，法规明确要求必须请外部第三方机构进行有效评价。在评价和监督的时候,我们知道首先我要检查你的内部控制设计是否健全、有效.检查的时候事务所是看内部控制设计是不是得当，这是第一个。接下来就是内部测试执行是否有效，要看你内部控制的证据，企业核心业务在ＥRP系统上，那么ＥＲP系统可以帮助你保留你的关键业务执行过程当中证据、文档、资料、报告，供你企业内审,机构检查一些证据，做出评价.同时,我们知道如果你看这个基本规范的时候，只说了一句,要请第三方机构对内审机构评价，你需要在年报当中明确的公告你的企业内部，对企业管理层，对内部工作的评价结果是怎么样的。我们看到很多上市公司从２００7年年报当中就开始披露,大概有两段话,认为我们公司内部工作是完善有效健全等等,这一段话是给公众看.背后包含内容非常多，你这个有效性是要有证据，虽然没有披露给公众但是都要包含在企业当中.所以这些数据依靠手工整理这些证据，保留这些证据基本是不可能实现的。

第四方面也是我们企业在现在应对法律法规要求的时候，要考虑的，我们怎么保证这个有效性评价，提供证据。这四个方面对我们是非常重要,这是我们提到的第一个方面，IT控制内容增加，我们时间有限，不相信展开讨论这些问题。如果说我们是ＣIO，ＩＴ控制这一块领域要围绕这些部分，IT控制建设是围绕这些方面。在这些方面当中如果你的企业用了软件系统,比如说ERP系统,ERP本身的环境控制,本身安全性是你ＩT控制重要核心内容，这个是给大家作为一个简单提示，不要忽视这个方面。ﻫ另外在执行的时候，我们看到执行的过程全面可以在系统得到有效保障，当然企业内部的内容涉及到公司治理到每个业务全部内容,其中有很多关键核心的东西，我们可以借助平台网上控制执行有效性,将来要借助ERＰ系统内部控制执行过程信息记录下来,证据记录下来。我们举一个例子,假如说信用控制是企业非常关注的点,在很多行业信用控制是风险非常高的地方,信用控制的制度，文档设计好以后，接下来要让信用控制得到有效执行,这就要包含一系列的动作。首先要先做什么资质鉴定评价,有相应的资料。评价完毕以后设定信用的情况、信用的额度,所有业务发生完的时候是否受到了控制，这些都是控制证据。这些控制证据如果说你销售管理系统采用是ＥＲＰ系统，ＥRＰ就应该帮助你留下这些信息证据。这都是将来第三方审计的时候要看的,如果第三方审计的时候,看的时候问你这些信息在哪呢，我说我们不是手工管理是ＥRP管理,但是这个ERＰ系统当中也没有记录出来完整的信息，这个时候事务所说你的系统是有漏洞风险的，我不能数据无保留意见报告了,所以说在这些方面，将来检查一个系统，软件系统能不能满足我们内控要求是非常重要。

ﻫ在我们用友公司内部部署多条产品线，分别面对不同客户群体.NＣ产品也很多企业接触过，是面向与中高端客户群体，尤其是集团性企业的一个完整ERP软件。目前来说我们很多上市公司最先要受法律法规约束的上市公司,集团企业占的数量比较多，集团企业在开展内部控制管理的关注点和一般企业有非常得大区别。比如说我是一个小型企业或者中型企业,内部按照常规内容流程设计开展就可以了，但是对于集团公司来讲内部控制涉及到所有业务职能,还涉及到总部对下述不同类型分支机构控制，第二方面控制是目前设置企业内部控制的时候一定要关注的地方。比如说原来中石油、中石化内控系统走得比较靠前,目前应该重新构建检查内部控制体系的时候，一定要关注这个环节,比如说你的权限的重新设计，权限体系的重新设计，必须从总部一级子公司到分级子公司下来的，我们采购业务是集中采购，某些物资在集团总部有那些,下级子公司有哪些，是要纵向考虑。所以说由于企业集团在控制管理特殊性考虑。ﻫﻫ这个软件是为集团企业设计还是为一般企业设计的。NC系统的年软件系统首先一个完整的ERＰ系统,在20０5年、２006年我们开始跟踪相应的法律法规，还是做相应产品规划和完善,我是ＮC产品内控产品设计人员，实际上在ＮC产品当中，信息化除了目前完整ＥRP系统以后，也结合了相应的法律法规,不管是《萨班斯法案》还是国内法律法规,对企业要求就分四类,我们很多企业接触法规的时候，或者搞控制体系不知道该怎么入手，其实就是一个四个方面，第一是内部控制制度的设计，内部控制的执行，内部控制的监督评价,最后就是证据,左边是法规对你企业的要求,每一个领域你合规应该满足要求是什么样的。ﻫﻫ结合法规的要求,将来考核软件系统要求软件系统在这些方面支持内部控制开展，第一内部控制稳当跟ＥRP系统产生一些交互关系,我们内部控制文档文件资料一大堆。然后实际上我所有这些内部控制流程在软件系统里执行,我要看一下某一个业务内部控制文档，再检查执行有的时候很难结合起来，应该要求软件系统提供文件记录或者关联功能,让把两者有机结合起来。第二检查软件系统控制是否严密，是否可以满足你关键业务、关键控制点在你软件上面开展,这也很重要。企业内部明确岗位分离，看五部委规范的时候,每一个集体规范第一页都写了，你要把权限文档变成权限体系，是否可以帮助你稽核不相融职位和岗位的分离,这是很重要.第三要求软件系统对企业关注核心业务数据保留审计线索，这是非常重要，如果没有审计先线索我就不能检查制衡过程中有没有什么漏洞。如说软件系统当中客商档案信用额度随便被别人修改过,修改完了我也不知道。那这方面你们企业这在分析漏洞就是非常大,我关注客商信用额度信息,软件要给我记录,某人是否修改过，什么时候修改，我能够记录下来。ﻫﻫ第四点，能够在软件平台查询关键的控制流程、控制点和情况，要求评价内部控制时候要做的工作，这个工作同样要借助软件系统。前提就是一个你的业务是在ERＰ里面,手工评价是不可能，要对软件这些方面也有要求,我有一个观点和大家交流如果你业务财务都是在依靠EＲＰ系统执行，这套系统检查评价内部控制是最重要。你的内部控制是在用友系统当中执行，你用另外一个软件检查你内控是否得到有效执行,这个效果会大大折扣,如果我们是企业CIＯ同一个软件公司设计出来不同软件产品之间的集成程度，不可能像一套软件集成程度那么好,一个厂商可以帮助你控制执行,又可以帮助你监控执行是最有效的，集成性我觉得是非常重要一个方面。ﻫﻫ另外在平台监督内部控制执行，做出评价.结合这些方面在用友ＮＣ产品当中，在各个层次上面为企业提供内部控制服务功能和产品功能中这也是让厂商要求做的，实际上在为企业提供服务的时候，从内部控制管理上面可以分五个层次，刚才我们说到这个企业现在搞内部工作必须关注ＩT控制，当中软件系统环境控制是非常重要的方面，如果整个企业应用软件是一套,或者核心业务都在用友软件里面，都在SＰ的软件里,首先肯定要检查这个软件自身的控制是否严格,严密。比如说输入控制是否安全、输出控制是否安全,处理控制是否安全。比如说输出控制，安全机制是否能够满足企业的要求,这件事情说起来简单,但是实际上实践起来也比较难，所有用户进入系统要有用户密码，这个机制是否安全,除了一般的密码是有特殊保障，我们知道在企业当中风险非常高的岗位就是出纳，出纳人员可以去执行付款的动作.如果这个人员可以随便被别人篡改密码登陆系统的话风险就太高了，这些方面软件系统应该有安全的机制，保障你这方面安全还是很有效。ﻫﻫ另外我们考虑内部控制建设的时候，关注的一般控制内容，在企业内部控制规范当中也提到了，企业应该关注核心控制的东西，比如说权限、审批、稽核、风险预警等等，这些是所有业务要遵循控制关键点，我们用友满足所有的机制和功能比如说系统当中权限、模型,然后用户决策模型,是帮助你权限方面的模型，是否可以满足企业审批控制要求，系统当中预警机制，是否能够满足你控制风险预警等等。这也是在NC系统当中第二个层次提供的价值。第三方面就流程控制，我们知道所有企业核心业务流程设计了很多控制点，比如说销售业务、采购业务、投资业务、财务报告编制等等，所有这些业务都会涉及到很多的控制点。那么你原先在选择EＲＰ系统的时候,原先这个厂商ERP系统能不能满足我们业务流程，现在要增加另外一个考虑纬度,除了满足销售业务还必须满足我们销售控制在系统当中得到有效执行.业务系统方面我们ＮＣ系统结合我们五部委颁布《《企业内部控制基本规范》的要求，全部满足了，没有满足现在把这些内控点在产品中进行了相应补充.

第四方面是为我们内控的监督和评价服务的相应产品，比如说我们将来要监督这些控制的执行和评价,你要帮我留有完整审计线索,帮我把相应控制流程和一些规则输到系统当中去，要提供平台，让我看到我的内部执行情况是怎么样的.这就帮助企业减轻了大量的工作，所以这也是我们提出新的产品功能。ﻫﻫ第五个方面是我们公司本来有审计产品，原先我们企业在选择EＲＰ系统的时候，可能不会过多地关注审计的产品,将来就有可能非常关注，企业内审机构在企业发挥职责职能越来越重要。你内审的时候是需要借鉴软件的平台。所以第五方面也是软件系统提供给我们的相应价值。ﻫ

这是刚才我提到跟各个方面，比如说提到第一个系统环境工作，看一下NC系统,在安全性控制提供功能和机制，然后审计线索，安全性ＮC系统当中可以实现对企业你关注核心的数据、单据、文件、报告单独做CＡ认证。比如说刚才说的出纳，付款我们要做ＣA认证，比如说我们非常关注核心报告阅读也可以做CＡ认证，等等。这样保证系统风险高的地方有效地方安全保障。第二,系统日志非常重要，在ＮＣ系统当中分为操作日志、功能日志,帮助企业保留日志信息，结合内控要求不能仅仅结合在原先我们记住某个操作员某天某时间登陆过,要记住相应操作动作，供给，内容是什么,当然这是跟企业不同要求，你来设计你要关注哪些东西，系统就帮助你保有哪些系统。ﻫﻫ另外就是撤离上面安全机制要求,比如说系统处理价值，非常重要财务报告完整有效。现在每个几个企财务报告是用手工都是软件，那么系统中处理结构是否安全,也决定了你企业报告的完整有效，管理层解读资产负债表,是否是最准确的债务信息，要取决于系统报告生成机制，比如说这个系统根本没有检查机制，财务系统操作人员.所以系统处理安全机制是非常重要.ﻫ第二方面就是系统平台可以为我们提供一般控制规则。比如说系统会提供完善的权限模型，ＮC系统模型可以结合你对人设计非常细致的权限.软件会帮助你检查不相容职务是否分离，比如说出他和会计给一个操作人员，软件系统可以帮助你检查出来.分角色应用等等，审批的控制,预警平台.

ﻫ第三方面就是EＲP系统各个业务系统可以有效的支部内部控制的执行。这个是企业案例,实际上做得比较好企业，内部控制是制度当中的一个部分,将来我们如果说在座企业内部控制体系还没有健全，制度没有完善,将来你也可能按照这个思路做，分析业务目标,风险，设置控制点,设计监督检查办法,然后形成流程图。这些东西设计完毕以后,要把它的核心东西伴随业务流程开展同时，控制在系统当中得到有效执行,从控制方法预防性控制比检查性控制永远都有效。比如说销售业务必须做信誉额度检查报警等等,都需要做规格，销售价格自动控制等等，都必须借助软件平台保证它的准确有效.这不详细分析了,这也是你在软件系统选择关注点，也是NC系统提供的核心价值.ﻫﻫ第四点就是内部控制过程文档证据记录，和内部控制有效性的评价.在这个方面实际上也是对软件系统要求，同时NＣ软件系统希望在这个方面给企业提供帮助,比如说业务流程发生的时候在系统当中会有很多单据信息。这些都是证据，业务系统可以把这些证据分类，实现各种各样查询,和你风险息息关联，同时跟你后续支持评价。另外，产品可以做内部控制监控平台,告诉你的相关业务流程的控制,你的风险有多大等等帮助你做监督。ﻫﻫ最后就是审计系统，实际上企业内部审计开展内部管理的时候,同样要借助审计系统检查EＲＰ系推内部控制执行有性。

今天就用短暂的时间把用友NC系统，在企业内部管理建设中能够为我们服务和价值做一个简单介绍。各位领导和嘉宾有意见的话,用友公司也在做很多市场活动,再做详细的交流和分析,谢谢大家.ﻫﻫ主持人：下面为我们做精彩致词的是河北网通信息化部高级工程师屈玉阁。ﻫﻫ屈玉阁：各位领导，各位先生、各位女士上午好.我简单地介绍原来河北网通信息化建设的情况，大家知道网通现在和联通合并了,我说说河北网通是怎么进行IT系统的。ﻫﻫ我说一下我们中国网通内控测试结果是为零缺陷，这已经通过2007年测试结果.内控基本路径是这样的,首先在美国上市公司要求，我们请国外咨询公司制定满足《萨班斯法案》框架的制度，然后在企业各个层面落实,企业请外部公司进行审计得出结论，最后在资本市场检验审计的结果。ﻫ

每年内控工作基本都是说依照内控模块制定的活动,依据本地化活动检查点，检查自己有多少差距。我们组织检查各个单位改进，外省一次测试,到年底进行外省第二次测试。信息化工作主要是两个层面，一个是信息化建设与运营，第二是信息化控制的控制。ﻫﻫ《萨班斯法案》对财务来源控制途径是三个部分,第一是信息系统,第二是纸质报表，第三就是电子表格.大家看一看IＴGＣ报表，有几个模板.我们原网通公司ＩT内控涉及的领域有两大部分，一个是一般性质，一个是信息系统应用控制。一般性的系统控制包括四个层面,安全、操作、变更管理、开发与支持。信息系统包括ＥRＰ系统。一般性信息工作基本能力，我刚才说新系统安全操作变更管理,和运营系统数据库开发与支持,这个包括详细一般系统操作管理,数据库和网络，还有防病毒等等,还有应急预案，变更管理包括应用系统，操作系统，数据库还有保护变更,在新系统开发包括应用和实施这个层面。一般性管理架构包括核心是应用系统安全,数据库安全，下一个层面是操作系统安全，网络安全,防止病毒应用系统和操作系统层面控制.ﻫﻫ举个例子,操作系统安全用户管理,系统管理监控管理,我们在举例子帐号管理要求内控是这样,第一密码格式、无效登陆次数三次,历史密码记忆个数，密码复杂程度，秘密要求６位，默认帐号锁定，帐号超过时间我们是1０分钟等等。另外系统包括业务系统数据开发，新的应用系统测试，新的数据结构测试，新的网络测试.ﻫﻫ我们说一下当时我们河北网通公司管理，外部看我们有网通公司内部控制管理40０多条所以我们工作量是非常大，我们涉及安全、变更、系统开发、操作、信息系统等等，涉及部门就更多了,包括工程建设，物流采购综合部，我们还负责电子表格，实际上要求我们06年必须达到《萨班斯法案》要求。信息系统大部分不能满足IT一般要求，第二很多单位没有形成IT系统控制路径。ﻫﻫ２00６年我们进行８个方面的工作，一个是内容控制制度建设，贯彻风险管理方式，开展针对性与信息化管理控制工作相结合，统一IT内部流程表述和文档的格式,问题整理及整改措施的落实，现场督导提出具体的管理措施.积极与相关部门沟通，解决COＳO、UＡT和持其系统存在的问题。最后是组织各单位有效开展管理工作.我们内控制度,首先要求制度健全，我们制定信息系统安全规范，表格的规范,还有做编码,开发要求，开发必须遵守编码规范,还有报财务部一个软件。我们还开展针对性培训，我们培训是考虑两个层面，一个内控要求对信息系统要求，一个是说内控对信息化管理控制以及业务流程要求。我们工作开展培训以后，因为我们是做了大量的培训,我们从举办各个省公司的集团技术主任，从各技术工作进行现场培训，两次进行电话培训等等。这样使员工的内控意识有了很大的提高。我们做了1200页的控制文档，包括开发与测试，还有风险管理内控，还有《萨班斯法案》,还有与外省市沟通。ﻫﻫ我们第三点，统一ＩＴ内控务流程描述和文档格式，河北省有自己管理流程,我们为了加强内控管理我们我用一周时间制定流程，这样写文档合适了，每个都比较完整就达到要求了。上个季度我们也形成了一个安全标准,通过统一流程、统一文档我们在工作深度，进度方面取得了主动权,这个工作我们当时都在前列。ﻫﻫ第四个方面,问题整理及整改措施的落实,我们制定了一个内控责任，根据系统分到每一个人负责哪条，每个人负责哪一段流程。我们内控整改工作还包括了两个层面，一个是系统要求，我们原来系统基本上满足了内控方面的要求.技术上我们做沟通做了补丁,要求在2000年的时候达到《萨班斯法案》的要求。五我们要求在网上要做记录,完了之后领导要做相应的确认。第二个层面一定要进行内控的控制。控制声明、授权和被授权文档、作业流程、人工降低IT内控风险整改措施等等.ﻫﻫ授权２006年各单位整改的基础上，网通河北省分公司ＩT内控工作组去年市分公司收集整理第一轮测试在２０个共性问题，深入理解内控要求，提出了人工降低IＴ内控风险整改措施。我们有一个信息系统非紧急变更实施范围定义表，我们相应流程跟大家都做了记录。内部授权方式,首先你要做声明,首先您是谁,然后各部门制定一个岗位说明书,帐号统一管理，我们第一次测试的时候，有一个系统管理员把一个参数修改了,最后查出来，问你这个人是谁我告诉他,你把系统管理员的说明书拿出来，当时没有找到,当时就说你不是系统操作系统管理员，你改参数干什么。当时我找他们沟通，把操作系统管理员的找到了，风险就解决,外部风险变成内部风险这个风险就降了。

ﻫ我们总结一下IT工控制基本流程就是四个方面。首先是提出申请，然后是主管领导审批，不一定是你就是部门主任也可以是副主任,可能也是你班组长，相关主管领导.然后在执行当中并写一下工作日志，主管另是一个月或者三个月进行审核.ﻫ第五点我们现场监督，提出具体的管理措施,保证通过普华永道的测试。我们也去做公司，有的地市公司老总说内控我知道就是坦白从宽、抗拒从严，当时我没有好意思说，我告诉他内控是跟是外部公司是一个博弈过程。因为内控要求你几条,那几条完成就可以,不要求所有都做了，都做了工作就没有完了。所以我告诉大家内控要求几个做到就可以,不没有要求不一定要做，不要把自己陷得太深。ﻫ

第六点,我们开展信息系统风险评估，模拟演练预案.原来我们是按照硬件软件分,这是按应用，我们是基于业务的角度。我们为了降低风险，我们按照风险管理理论，将信息系统分成实物、软件、信息、服务等四个类的资产。

这个系统风险评估过程，看看这张图.首先是确定范围资产管理本身的弱点和漏洞,再看看内部管理测试有哪些，看了这些以后还漏下什么东西,这就是你的风险,还有在排队哪些重要，哪些不重要,最后提出风险报告和管理措施。

ﻫ第七个方面我们积极与相关部门沟通,解决COSO、ＵＡＴ和久其系统存在的问题。系统每年执行是不是符合《萨班斯法案》要求，久其报表是简单的财务系统，我们跟财务部相关部门沟通，也了很多的办法。ﻫﻫ第八个方面是组织各单位,开展电子表格内控管理，满足内控要求。我们写了报表做,这个帐号怎么控制呢,我们也是一个内控表一个规范,我们从模板设计、模板使用、模板维护积极控制，把控制原则制定一下,电子表设计人，使用人，维护人,访问人，设计和使用人可以合一,这个流程图有一个具体的方法。首先可以进行申请,设计人可以进行模板开发，使用人表格进行数据编辑、更新、管理,最后访问人可以对表格进行实时查询，原来我们是集中管理。

ﻫ谢谢大家.ﻫﻫ主持人:非常感谢屈先生，下面有请浪潮通软副总裁兼技术总监魏代森先生,进行“企业全面风险管理与信息化”。

魏代森：首先感谢主办方,在这样比较适合的时间,面向正确的对象我们CIＯ们,举办这样一场有意义的论坛会议。ﻫﻫ企业内部风险管理，看起来离我们CIＯ关系比较远，从国家制定政策,当企业经营者，管理者制定体系相关.我们知道所有风险控制工作的最后落脚点是CＩO是我们信息系统,所以我觉得特别有意义.ﻫﻫ我跟大家沟通几个观点。作为企业内控的信息化,我想并不是特指要和专门内控和风险管理的信息化，我们知道我们企业经营过程当中，我们业务管理过程中我们更多风险点我们要控制,管理的更多一些控制活动和风险还是经营过程当中业务活动方面.ﻫﻫ我涉及了三个方面的内容,第一部分是风险很重要,这不多说了。另外一点，企业和内控风险不是矛盾是相辅相成的.我们也知道美国《萨班斯法案》，我国内推出的内部控制规范,对我们企业内控是一个指导二是一个压力。同时,今天我们在座的上市公司CＩＯ，应该说更多上市公司集团性企业，集团企业在风险管理方面还是面临更多挑战。ﻫ

因此,这里两个建议,对大企业加强集团风险管控有两条.第一条啊管控层面,采用集中式管理模式。母公司层面开始管理模式，通过这种模式我们可以加强分析机构对我们整个优化进行有效整合，通常对我们标准，规范，对一些业务流程进行有些控制,对企业内控不仅仅是控制风险，还是要加强教育。同时，这种集成管理有利于集团的战略执行、运营等，我们运营中产生的信息、结果可以有效配合。ﻫﻫ业务层面可以涉及到一些具体的,我们应用活动重要的控制点，比如说在流程方面，我们由采购需求开始,到采购申请,采购定单,再到采购招标,到货物交付，这个结算过程我们要规范流程，流程规范我们就可以避免风险,这样业务活动当中控制。第二个方面，我们加上信息库存我有合理库存，有信誉额度，在执行过程运算的控制。第三是对业务追踪了货源,最多对一些风险点进行及时警示，包括业务，财务的。ﻫﻫ第二个方面是信息化在加强企业内控中的作用,所以企业控制风险管理，迅速落脚点还是要在我们信息系统当中，信息化是重要的保障。首先我们无论要建我们风险管理系统,内控体系是要以信息化作为基础.第二个方面,我们信息化建设现在信息化应该越来越多体现内控风险管理要求，以前我们建设信息系统时候，建设基础设施、应用系统，我们可能并许多过多的考虑内控和风险管理要求.从我们一旦意识到了我们的风险管理，对企业重要性以后，我们说信息建设要充分考虑这些因素,从业务、管理、决策层面都要考虑这些因素。

信息化在内控、风险管理方面是非常重要，我们风险包括方方面面，战略，投资,财务运营，法律和道德风险,信息化可以在很多方面可以发挥作用，但是并不是解决所有问题,他可以财务方面很重要的作用。ﻫ

企业内控的五要素，内部环境,风险评估，风险评估等等,我从5个方面简单看一下我们建立怎么建设信息系统，第一建立集成ＩT系统是重要基础，有了它,我们有了政策很多制度,标准规范在能够畅通无阻的贯彻下去，有了它我们很多信息才能并较好颁布，识别很多先进点可以再这样环境下被有效控制。ﻫﻫ这种信息化模式要从战略层面我从财政，物流等等进行集中化管理，业务层面我们要建立我们业务系统、生产、质量设备，这个层面有机结合扩大我们企业的途径,我们风险管理要弱到信息系统当中去,但是我们知道刚才说到我们管理有没有权利用到系统配置，应用系统是不是可以为所欲为，我们信息管理是不是可以在掌控之下做各种的工作。首先这里有最大的风险,首先对信息系统授权要分析授权，第二要分角色授权,我们提出叫四员的管理概念，我们要设计系统，应用，安全员,审计员,我们可以有效让我们信息系统合理得到一些相互制约，分别关注自己的角色，使得我们信息系统是可靠安全的，是可以保障的。我们的风险管理,才可以建立。ﻫﻫ第二