上市公司CIO-内控管理和信息化建设

财政部会计司综合处处长，内控标准委员会家成员胡兴国中国石油化工股份有限公司信息系统管理部处长姜林 用友公司NC产品架构师付建华女士 河北网通信息化部高级工程师屈玉阁 浪潮通软副总裁兼技术总监魏代森 中国铝业信息部的杨磊 国际信息系统审计师协会北京事务委员会主席何迪生 摩卡软件高级售前顾问周立民EMC信息安全事业部中国区资深技术顾问冯崇彪信息中心主任张艳下面我们有请财政部会计司综合处处长，内控标准委员会家成员胡兴国。胡兴国：各位领导，嘉宾，上午好。今天能有这个机会我想给大家汇报一下财政部会同另外四各部位关于标准建设实施情况，我汇报情况叫我国企业内部控制标准建设与实施。汇报5个问题，一个是我们启动标准建设的规定，第二就是汇报我们企业内部控制建设历程，第三简单汇报一下标准建设框架体系，第四简单介绍一下信息化，风险管理与内部控制关系，最后大家探讨一下企业在事实内控标准应该做一些什么工作。第一部分是就是它的意义，我从三个部分进行总结，大家知道去年5月11日，财政部，证监会，保监会，还有审计署同时颁发了基本规范，我们也在北京召开了发布会标志着我们国家企业内部控制标准建设，有了重要阶段性成果。当前世界金融危机给我们国家造成很多机遇，我们做了一个调研企业加强内部建设，提升自身的能力是非常重要。第二就是中央提出走出去战略，国家起草规范和技术出发点，要企业做强做大，帮助他们国外资本市场进行融资，特别是是美国，英国，法国，包括我们香港都有一些要求。第三就是满足我们资本市场发展需要，我们国家资本市场公开，公平，公正，提高财政的信息质量，提升我们经营管理水平，可持续发展，还有保护我们广大投资者利益。第二部分就是发展历程，我们国家企业内部控制建设从70年代就是改革开放以后，特别是我们第一部会计法的实施，这是一个标准性阶段。在满足社会不同需要，在这个过程我们出现过满足核算制度等等。早在70年代末期，80年代初，包括我们提出岗位分离等等。90年代的时候，特别是我们会计法实施的时候财政部96年发布会计规范，规范要求各单位进一步建立健全包括内部控制先进内部会计管理制度，会计法明确要求各单位建立内部管理，这是我们内部管理的法律依据，到2001年6月22日，财政部依据会计法规定又制定了企业内部会计控制规范，基本规范和后备资金，04年相继发布了销售与收入增加，发布了1+6的等各项制度。第三阶段以我们发布的金融规范，来源主要是美国安然事件以后，采捕正有关领导，把安然事件对我们国家的意义报个国务院，国务院领导同志做了批示，这项工作财政部牵头，证监会，国资委配合，建立中国的塞班斯法，到2007年，财政部，银监会，国资委等联合发起成立我国企业内部标准委员会，委员会委员是31位，我们成立了8个咨询小组，8个小组去年我们把这个小组又扩大了，委员从31名发展大50人，咨询小组现在有150人，当时我们发布规范发布了17项具体规范。我刚才说5月22日我们发布节本规范，要求7月1日正式实施。第三部分给大家汇报一下，基本规范的框架体系。框架体系是一个规范加三个指引，一个是基本规范已经发布了，内部标准体系是最高层次，有的人说是中国的塞班斯法，第二是主要是对企业，对企业有内控企业的主体。帮助企业建立体系，第三系评价指标，是企业内部必须做的评价包括自我评价，怎么评价。第四是审计指引，会计事务所执行内部审计。基本规范主要是有概念，目标，原则，要素。我们提出了概念，当时我们国家内部控制很多部门都有，包括我们银行，银监会，包括我们的证监会，包括我们两个交易所，我们部门把概念统一一下。目标有三个目标，我们提出5个目标，我们是5目标，原则，要素。应用指引，给我们发布了征求意见，目前21个应用指引，加上审计指引，加上评价指引，一共是23个，我们财政部部长签发了，审计署也签了。我们应用指引主要是21个分布，一个是针对企业管理，我们根据基本规范有5个一个是统一架构，一个是发展战略，一个是人力资源，还有社会责任和企业文化。这5个我们是怎么每一个构架都差不多，我就举一个社会责任框架，我们第一就是整合，提出它的概念什么是社会责任，我们再提出中心有哪些，社会责任我们提出4个中心点，安全生产，不落实可能导致企业生产事故，第二产品质量恶劣，会侵害消费者利益，可以导致企业破产，大家知道河北石家庄三鹿开奶粉事件，第三是环保投入不足，资源消耗大，造成环境污染，资源枯竭，缺乏发展后劲一是一个风险。第四我们说促进就业和员工权益保护，我们金融危机背景下，扩大就业，保内需，增长，我们从企业角度。第一是控制环境，第二是资源，包括资金活动，我们以融资，投资这一块我们放在一些活动里面，还有采购业务，还有负债管理，销售，研发，工程项目，服务外包等等。应用指引形式都差不多，比如说采购应用，我们主要是支付环境，包括购买环节，要采购申请，招标，确定供应商，供应价格，报批核准等等，每个环节进行控制，第三是控制手段，包括全面预算，风险管理，内容信息传递，信息系统，财务报告。第四针对特殊行业或者行业的控制，包括银行业，证券期货业务，保险业务个个应对指引。再说一下就是评价制度，作为企业内部管理涉及到运行效果和自我评价，为了方便起见，我们起草了一个对企业内部控制，内部评价指标，包括内容，标准，程序，方法，包括报告形式，我们选择企业报告的基本是从1月2日，12月31作为一个会计年计表，也可以选择6月30号自查报告也有了新的形式我们参考的深交所还有美国塞班斯法正在研究，报告形式可能要分两部分，第一个是对环境评价，对业务流程通过一些表格，数据一些量化标准。企业怎么判断你的是否存在重大缺陷，下面就是审计制度，主要是事务所接受企业审计。从我们目前起草稿子我们指引分四各类型，一个就是标准，还有在强调时间段和保留意见，还有否定一些意见，还有无法表明一些意见，和我们财务报告差不多，这个也有一些具体指标。我简单汇报一下框架体系。第四部分我们汇报一下内部控制与风险管理的信息化，我们是怎么理解的。内部控制和风险管理，实际上存在一些争议，理论界对这一问题，人事部统一，有人认为内部控制与风险管理是两回事，两张皮，也有人形象说内部控制是“正确的做事”，风险管理是“做正确的事”。从我们制定基本规范角度出发点，我们认为内部控制和风险管理不是两张皮，应该是一个完整和有机融合，我们认为内部控制主要是企业内容风险，包括你可控风险也包括不可控风险，但是都要做。所以我们基本规范风险评估，有风险识别，分析，经营存在的风险，战略，决策等等。第二对国际先进研究成果与经验看，应该是有机融合的趋势。看与风险之间的感到我们是这样理解的。 那样控制与信与化，信息化会计信息化有财政部会计司也说，80年代我们在全国积累了很多经验，在电算化的一些标准，08年11月12日我们财政部会同其他8大部委在北京成立会计信息化，包括还有XBRL中国地区组织。经过20多年的努力，在会计信息化工作方面给我们发了一个指导意见，这项工作从我们司角度，已经成为工作重点。会计信息化与内部控制信息化还是有一点区别，这一方面从我们内控角度，我们单独有一个信息系统这方面的指引，我相信这个会内部控制好，要做得好，对大多数企业来说很重要的。随着科技发展水平越来越先进，所以信息化一定要跟内容控制有机融合起来。信息系统我个人理解不仅是本身需要控制，最主要是在内容控制和风险管理中，能发挥很大的作用，提高工作效率，能够节约很多成本。第五部分，我汇报一下企业如何实施内容控制规范。我们知道原来定今年7月1日上市公司开始实施，考虑到因为我们一系列的具体的应用目前还没有发布，加上我们审计指引，发布以后还要有一段时间消化吸收还要有一个过程，由于金融危机影响，我们调研一些企业他们关注点说法不一样，有的说我们现在经济不景气，我们练内功吧，有的关注不是这个关注经济增长率，所以经过部里面领导多年的慎重研究，目前我们调整到2010年1月1日，原来是在境外上市公司实施，考虑到情况其他上市公司、其他企业也执行。这套体系下来已经做了调研实施成本是非常大，实施难度还是有一定难度的，目前需要财力，人力资源，所以我们想这个中国在境外上市有4个国家。实施原定7月1日实施，有一个自查报告，2010年12月31日，我们还有一年半的时间，我们的有一些企业有完善的标准、完善的制度体系，我们宣传和应用。下半年我们就做一个宣传和培训工作，我们目前正在紧锣密鼓的筹备当中。目前我们跟踪一些大的企业看看他们的实施效果。企业在贯彻实施内部控制规范制度，我个人理解应该从下面6个方面。第一个方面就是要强化宣传培训，提高内部的认识。不管7月1日执行不执行，上市公司总是要执行，只是一个时间问题，延续明年下半年，或者后年总之是要执行的，所以工作还要往前做。所以要宣传培训提高认识。第二点就是要健全内控机构，提供组织保障。不少企业有内控部、有风险部，有的是单独设立了内控部门，有的是放在财政部下面，有内控部。形式不一样，但是我们从基本规范角度要求，要设立机构配备人员。第三点要循序渐进，稳步实施，不是哪一个部门，不是我们财务部一下子的事，是需要多个部门配合。对于企业因为差别很大，差别很多，千差万别基础也不一样，建议分步骤、分层次的进行。选择境外上市公司执行，考虑境外上市公司资本市场是适合公众利益，执行效果好坏事关资本市场的稳定，但是上市公司基础较好，人员素质较高，本身有完善的内部控制的制度体系，同时也有雄厚财力支持，所以选择境外上市是有扎实的基础。第五点我们建议注重实施成本，讲究实施成本。第六就是强化内部控制建设，增加风险防范能力，应该进行统一协调。最后一点就是要企业善于借助外部资源，合理利用外脑。企业在实施过程中内部控制标准体系过程中，让人感觉到这方面人才，智力资源的局限于可以借助外部咨询机构，中介机构，帮助你设计，避免少走弯路。同时让咨询机构培训自己的人才，这样提高企业综合管理水平。我要汇报简单给大家汇报一下的是我们财政部牵头这项工作的基本思路，不对之处请大家指正谢谢大家。主持人：非常感谢胡处长的发言，下面我们有请来自IDS Scheer咨询经理阚相元先生发言。阚相元：各位领导，各位来宾，大家早上好。我代表Scheer公司，与大家分享一下我们内控风险管理的认识和经验。在正式演讲前我们Scheer公司是德国著名管理信息学教授在1999年建立的，进入中国是2004年，目前公司在北京上海，还有深圳，有三个办公室，在中国主要是提供两个方面大的分别服务一个是SAP实施和核心ERP系统咨询服务。第二服务我们公司业务流程管理系统核心包括风险和内控建设，进入中国时间虽然很短但是我们在中国市场获得很多客户，包括一些跨国公司。今天的演讲分三个方面去介绍，首先，跟大家分享我们看到国内管理的企业在整个内控与风险管理建设方面遇到一些挑战和困惑。第二，我们看到信息化系统在解决这些困惑和挑战方面起到什么样的作用。第三个方面，我们会用一个具体的案例介绍一下两个方面。我们现在企业面临很多的要求，要求我们企业加强内控风险管理，我们分析了一下，这些要求不外乎是从四个角度出发，比如说国资委的中央企业全面风险管理指引，从是保护股东权益角度出发，还有保护公众权益出发的，还有一个是专业的行业部门，为了保障行业稳定发展，尤其是金融行业，比较明确是我们有银行的一些管理办法。还有保险业，还有政府部门维护整个市场经济经济角度出台一些要求。比如说财政部内部控制规范，这些核心思想是结合本企业自身特点，一些基本参考框架建管理体系，实际上和我们在很很早之前做的ISO的应用是一样的道理，无外乎我们要参照基本要求建立企业自身特点的管理体系，我们有很多客户交流，尤其是一些国有大中型企业，和上市公司交流大家会遇到一些困难，我们遵循上交所规范，和财政部规范，还有国资委中央企业风险管理的要求。我们怎么保证一套体系满足这些要求，我们要分门别类地架构我们的体系，我们企业肯定是不堪重负。我们仔细分析了一下及我们以财政部和国资委两个法律法规要求看，他们是不矛盾、不冲突的。他们的核心思想是一样的，比如说我们财政部内部控制基本规范，提高我们内部控制体系核心要素分为五个部分，我们国资委前面风险管理执行里面也提到很多条，但是他们明显有一个明确的供应关系，我们认为我们结合一些国内外的案例，企业的内控与前面风险管理指引，有不同政策要求，但是我们都何以分成三个层面理解，首先一个层面我们要结合我企业特点，识别出我们的风险或者是控制点，设立我们相应对的控制措施，是我们整个体系设立层面。第二，我们要把我设立措施应急方案在企业内部推广也是一个控制实施过程，第三我们保证体系健康发展，做工作对体系运行设计和工作实施情况，进行监督，对不足之处改进，确保我们整个体系设计是合理的，执行是到位的，这样一个体系。根据我们对不同客户的交流按，发现大家面临一些一样的困惑，所有管理政策要求核心要求是基本是一致的，第一就是要设计符合企业内部业务特点的管理体系，并且这个管理体系要能够根据公司业务，比如说组织架构调整进行及时调整。第二就是我们要把体系形成文件，作为我们执行和审计的依据，作为监督改变的依据。这样我们看到整个企业面临两个方面的挑战，第一我们体系改革的中心、编制审核很难跟得上业务变化，组织是在不断调整，业务流程是不断变化的，信息系统建设是逐步推进，每次做这种变革需要我们重新审计这些文件。第二就是我们体系文件难以根据外部环境变化进行及时调整。在控制实施方面，所以体系文件我们看到有两个要求，一个是根据设计的方案，我们体系设计与执行的一致性。第二就是实施过程当中你要保留一些可以审计，检查，这样一些依据，比如说控制实施了，要留下相应证明文件。这样我们可以看到有很多企业面临两方面挑战，第一就是缺乏有效的发布实施平台，我们做这个文件怎么能够让我企业内部从高层到基层管理，大家都知道，业务当中执行这是一个挑战。第二就是胡处长提到我们企业控制点很多，我有的客户有5千个控制点，如果全部用人工进行控制的时候，控制成本会很高。这是面临两个挑战，在整个体系监督和改进方面，有两个核心管理要点，我们要对体系设计合理性，实施彻底性监督并且定期出一些评价。第二我们评价监督资料要保留一下，可以供外部或者是企业的监督点所使用。这样我们可以看到企业里面有两个方面要求，第一就是我们体系监督本身工作量很大，协调的难度也很高，这样导致我们合规的成本是很高的，第二就是我们需要和一些企业定期每季度，每年度要做监督测试的工作，这些工作资料实际上对我们整个体系持续优化是很重要。但是我们很多企业做完以后，发现资料量太大，我将来不会再利用，达不到我们持续优化的目的。上面这些挑战直接导致后果就是四个，一个首先合规成本很高，我们看到很多企业最早国内企业是遵循美国的萨班斯法案，动员内部很多力量，才能完成合规工作。第二，很多企业抱怨，我是把风险控制住了，但是我们业务效率降下来，业务要不断识别风险，满足内控部门要求。第三导致的后果是我们很难持续地合规，今年可能通过，明年能不能通过还是一个未知数。第四是企业很难满足不断增加的内部的合规要求，我们国内上市公司面临这个困难很明显，最早是满足萨班斯法案，国内又提出，国资委又提出要求，最近在财政部也提出要求，企业怎么满足不同需求。这个我们认为可以借鉴向国外上市的公司，用萨班斯法案上市的经验，可以分五个阶段。第一个阶段是企业如何去控制规范，企业具体要求是什么，第二就是我要建立业务体系，第三就是我们要内部体系进行评价，第四个阶段我们企业面临挑战就出来了，企业寻求信息化的手段，首先想到信息化手段我们要把我的内控测试，监督工作流信息化，我们要把整个体系文件信息化管理，第五阶段我们更高层面规范我把业务标准化，很多跨国公司很多相同业务存在，他们风险是类似，也是可借鉴的。如果不存在业务单元，业务列成标准化，我风险的数量会大大降低，这是流程标准化。最后就是他会有一些信息化的手段实现我们业务和我们内控有机融合的目的。这是我们所面临些挑战与启示，下面给大家介绍一下我们在内控和风险管理的一些解决方案和想法。我们认为国资委前面发的指引也好，或者是财政部规范也好，明确提出企业在内控风险管理过程当中充分发挥信息系统作用，也结合我们在国外的一些经验，我们现在解决模块就是6大模块，基本涵盖我们整个内控和风险管理过程。第一就是我们首先一个建模模块，可以把企业内部业务和整个风险和内控风险体系文件进行管理。第二是风险事件的管理模块，我们怎么建立风险事件部。第三是风险评估模块，我们把风险评估任务分到各个管理部门把所有风险进行排序。在第二层面控制实施模块有两个，一个是帮助发布实施模块，我们可以给企业业务流程，让业务流程管理人员共同使用。第二是监控及预警的模块。我们一些业务的指标，资金流动性等等这些指标，第三层面就是我们有一个监督改进模块，可以使整个体系监督测试工作机械化。我们在跟企业沟通过程中有一些问题，我们体系文件问题是很多，我们用大量文档，我们看到表述了企业业务实际情况的文档，还有一些风险矩阵，包括一些制度组织，发信这些文件是分散，在业务上是有联系，但是在管理手段是没有联系，我们怎么做风险识别呢？我们系统有一个基于一个数据库把我们整个企业业务现状和风险控制集成化进行对象化的建模。我们左侧看到了一个流程，我们发现有一个风险点，这个风险点有一些控制措施，基于控制措施的执行情况，由于会有一个监督测试措施，针对这些测试我们制订一些人员，在系统里面把有机关联起来，进入一个建模。基于我们信息化模式可以进行快速分析，我可以知道我们企业业务存在哪些风险，我知道哪些管理这些风险，哪些风险是在哪些流程上这样我可以很容易抓住一些风险的重点，并且我们业务管理软件有一个很好作用我能够把企业里面对于同一个业务，从不同管理体系的要求，都在这业务流程表述出来，比如说从质量管理方面的要求，安全管理信息的要求，内控管理信息的要求。在整个表当中我们可以看到三套流程框架，我在具体执行业务过程中我到底要执行哪套业务，执行哪些要求，我们这个系统是可以把所有管理体系的要求落实到一个业务流程体系，这是同一个业务流程进行集中化的管理。在我们系统可以根据不同管理体系要求，我们质量管理要求，内控管理要求，再出具不同的业务报表。我们的系统最重要一个点我们可以搭建一个业务部门和风险管理共同使用平台，首先我们业务人员和风险管理人员可以进行业务的建模和风险管理建模，形成一个企业管理知识库，管理人员可以看我们风险点，业务人员可以看业务，并且可以满足跨地域的支持。综合来讲，在这一块特点主要有两个，第一搭建业务人员和风险管理人员共同使用平台，第二我们可以提高业务流程风险管理制度的效果，前面讲到可以减少工作量。第二跟大家介绍一下我们风险评估的模块，是一个风险评估软件，在我们风险评估内部发起到外心，到风险评价结果分析，前后我们都可以在系统里面完成。最后系统要给企业管理层几个报表，比如说定量分析的热图，定性分析的热图。并且我们可以根据我们多次评估结果掌握不同风险变化趋势。这个风险评估解决方案特点，主要有两个，第一我们通过流程信息化，我们把风险评估工作，信息化以后，固化以后可以建立一个持续风险评估机制，比如说对某一个风险要半年评估一次，到期的时候，系统会自动发起评估任务，可以确保风险评估任务的工作，第二我们基于同一个平台进行风险评估可以保障所有风险在同一个平台实现，可以掌握所有的风险的情况。第三个模块是我们风险损失事件管理，可以通过一个工作流建立一个数据库，给我们提供一些风险借鉴的案例，比如说我们看到一个信誉风险有几次，原因是什么，这样对我们风险识别有一些启示作用。它的特点有两个，一个是通过信息化建立一种固化持续化的风险机制，第二建立公司统一可以对风险应对提供一些数据化的支持。第四是我们监控和预警的模块，这个模块最大的特点是我们可以从企业业务系统里面提取业务数据，进行指标的监控基于规则的事件识别。我们系统最大的特点数据功能是非常强大，可以跟现在所有的业务系统和数据库可以进行数据的收集和对接，我们可以把企业很多关心情况展开的地方，可以预警展开指标的情况，从而实现风险之前的管理和运营。我们设计了一些业务规则，看系统里面我们业务操作过程中有没有按照这些规则做，实现过程控制，还可以提供一些选择功能。比如说我们能够看我们的职责，在各种信息系统里面落实情况，检查全面配制的正确性，合理性。最后是我们测试和评价模块，这个模块主要是通过测试和实现对我们体系监督评价，这样我们的软件也是一个工作流软件，涵盖了从测试任务的发起到测试工作的进入，到统计分析到改进工作跟踪，全过程涵盖。它的最大特点能够和我们建模模块做最初体系软件，进行数据同步，保证我们在监督测试的时候，我们看到和我们体系设计的初衷是一直的。最后它这个系统有一个很大的统计分析功能，出一些多纬度测试结果，内控和风险管理绩效考核，不同业务哪块业务做不好，哪一块风险管理不好。我们可以从不同角度，或者和哪些科目相关的风险控制点到位不到位。我们通过流程信息化建立个测试及整改的工作机制，第二我们系统和我们体系管理系统进行数据接口，保证在测试过程中使用所有的文档都是集成的，不用工作人员手工做很多文件，第三简化我们大量工作，提高我们的工作质量。下面我们简单介绍一下我们在德国做的案例，这是一家在国外上市的大型国有企业，最初就是做内控项目是从萨班斯法案开始，在遵循萨班斯法案过程中他发现有几个方面挑战，第一是业务流程管理水平很低，增加了内控管理的难度，影响内控管理工作的落实。缺乏一套可以全面表述工作情况的文件，不能不全面的表述出工作业务的实际情况，要识别风险加以控制这是一个很大的挑战。第二是他的组织人员非常庞大，他体系管理难度是很大。第三挑战他的内控监督测试的组织，工作难度很大，测试成本很高，用的几百人的人力进行一年工作，才能做完，首先有很多的工作细节导致很多测试成本不是很高。根据这样的特点，我设计了基于风险管理的系统，首先把我们业务和体系文件管理起来，第二做人力和测试模块。第三就是我们要把做完的业务和体系文件发布出来，同时这个系统还能够支持我基于同一套流程，可以满足我内控也可以满足我ERP实施的要求，还有一些指标的控制。做的第一个工作首先是我们把业务进行全面梳理，从横向到纵向可以保证我业务真实的业务状况。基于这情况我们看每一个业务流程里面有那些风险点，业务目标是什么，有哪些不确定的因素，针对风险点我们有哪些是控制措施，风险管理，控制执行我们怎么测试进行一个统一规则进行了一个描述，以后我们可以发布出来企业管理的内容库，这样我的业务人员在维护人员可以看我每一个业务要求，风险管理人员可以快速看到的风险可以到那个里面去。通过前面讲的测试的管理和测试的统一分析，极大地节省了他们的人力与物力。这样以后我们跟客户一起总结，整个做完以后收益是体现三个方面，第一是通过风险管理工作，进行业务流程标准化，加强企业规范化指引，提高业务管理水平，这是客户一个收益。第二提高内控管理的工作效率和质量，降低我们合规化成本，主要是信息化手段降低了工作量提高效率降低了合规成本。第三方面的收益实现了内控管理和业务经营活动的有机融合，过去内控风险管理工作就是风险管理部门工作，业务部门是对专业部门去推动的，这样一个双方抵触的情绪。通过这样一个程序双方可以落实，把我控制风险融合到业务当中去，实现业务管理工作和风险控制的有机融合，我们对内部监督测试过程也是对我们业务执行力的检查，也是业务执行的保障。今天时间有限给大家介绍就到此为止，谢谢大家。主持人：非常感谢阚先生。下面一个讨论主题是“中国石化信息化建设和内部控制体系”，有请中国石油化工股份有限公司信息系统管理部处长姜林。姜林：各位领导，嘉宾上午好。我汇报题目是“中国石化信息化建设和内部控制体系”，汇报的内容包括中国石化基本情况，信息化建设和应用情况，信息系统内部体系，IT内部体系。中国石油化工股份有限公司是由中国石油化工集团公司，国家中华人民共和国公司法多家发行方式，2000年2月25日设立股份制公司，分别在香港、纽约、伦敦，三地交易所成功发行上市。2001年7月16日上海证券交易所成功发行了28亿A股，截至2008年年底中国石化总股本857亿股。中国石化是中国最大能源化工公司之一，主要从事石油与天然气开采开发。管道运输销售，石油炼制、化工、化纤、化肥等等产品输送。石油、天然气、石油产品、化工与其他化工产品进出口代理进出口业务。技术信息研究开发应用，中国石化是中国最大的石油产品，包括汽油、柴油等主要石油产品，也是中国第二大原油生产商。中国石化建立了规范的治理机构，实行了集中决策风险管理和专业化经营事业部，事业部管理体制，中国石化有全股子公司，包括炼油、化工产品销售等企业。主要是集中在中国最发达的东部和南部的地区。中国石化更加注重科学创新、管理创新，努力把石化建设成为能源化工公司。中国石化最大股东中华石油化工集团公司是国家在原中国石化公司总基础之上，1998年成立了特大型石油石化集团，美国财富杂志2008年世界500强中国石化名列第16位。第二方面是信息化建设了应用情况，2000年以来，中国石化以ERP为主线信息化建设获得快速发展，到2008年底ERP在81家企业，以ERP为带动电子商务系统、供应链系统、生产指挥系统、集中管理系统，一些先进控制生产集成系统，等多种使用系统都得到了广泛的应用。目前信息技术应用解决中国石化生产管理多个领域，中国石化ERP开始于20000年，在4企业成功试点多个展开，包括油田，炼油化工销售，企业全部覆盖，企业从业大规模ERP建设，2007年底基本完成，ERP系统推进资金改革提高管理水平，规范信息管理行为，强化控制方面效果明显。中国石化通过采购电子商务系统从2008年8月投入至今，网上采购结果88个单位，5千个物资扩大到目前50多个单位，76万多个效果，90%的物资实现了网上采购，到09年3月网上采购资金突破6千亿，集约采购200多亿。对供应链系统经过几年建设，提高原油采购，运输、加工，供应链管理系为炼油企业讲稳增效起来发挥了重要的作用。人员统一调配，用统一安排格局及实现技术指标分割，数据采集，监控分析，有效地降低用户费用和财务费用。目前总部生产系统以新大楼统一运行，实现调度跟踪，系统各项部门功能得到有效应用，总部集中了平台，用户总体不断扩大。目前已建成IC卡联网加油站17000多户，发卡网点5000多，持卡消费33%以上。增产集成系统用三年左右时间提高到2到4个小时完成，为企业降低能耗提升精细化管理水平有很大的改善。其他应用系统，全面运算系统等油田企业炼化企业、教授企业、科研工程单位信息化建设也得到了深刻发展。第三是信息系统的内控体系，我们03年成立了内部指导小组，成立专门办公室，组织协调内控建设和实施工作。应对不同市场，借鉴美国经验提出内部控制框架，公司经营财务有大关键划界，制订了内部手册，经过测试于2005年1月1日起，在公司正式实施内控制度，经过四年多实践，内部范围控制逐渐扩大，覆盖了中国石化所有活动内控体系。中国石化内部控制手册2009年版有18大类，配套相关总部管理制度244个，各分公司规定了工作流程结合本单位。为了保障内控管理有效实施，办法内部控制办法，在总部分公司两个层面使用。中国石化内部控制手册2009版本有17个流程，基本全部实现了信息化，另外5个业务流程为IT部门流程，其他业流程暂时没有实施信息化，或者与信息化无关。第四个问题向大家汇报一下中国石化IT控制体系。中国石化IT控制体系包括IT内部业务流程，IT一般性控制，和IT应用控制。2003年建立了信息系统管理业务流程，2005年启动IT控制工作，2006年建立了IT一般性控制，2007年结合ERP系统，应用系统和基础设施IT一般性控制流程。2008年IT控制体系进一步完善，并将重点专项IT应用控制，2009年随着深化ERP应用进一步深化IT应用控制。IT一般性控制包括企业整体层面IT控制，和企业活动层面IT控制，近期系统管理业务流程IT体现包括与管理体系，信息化教育培训及凭险评估，信息安全管理重要控制内容。有关活动层面IT要求，通过ERP系统控制流程等体现，ERP系推IT一般性流程，包括和数据访问，程序变更等等，业务流程IT一般性控制流程，主要财务报告是生成相关，如ERP财务报告系统，加油卡系统流程包括程序变更，访问方面内容。结合网络服务器，机房设计。流程包括机房管理，故障处理方面内容。中国石化IT一般性控制主要和信息系统日常管理结合，经过几年扎扎实实的工作，对外部省市认为中国石化IT控制到位，保障信息系统安全，稳定系统方面发挥重要作用，中国石化IT控制主要有ERP系统应用结合，ERP系推是中国石化主要系统，比如说计划控制、一般控制、价格控制等等，自动平衡资源及实现资金流，物流等等。通过发挥系统集成，满足用户管理要求，实现IT控制目标。中国石化内部控制手册设置50多个流程，以27个业务流程与ERP有关，总体实现配制控制，输出输入控制，包括时期控制、操作规范控制，日常操作，垃圾数据操作。用户检验包括组织值，关键词代码，以及系统机构控制。ERP全面实施落实IT控制提供标准平台，有利实现IT控制目标，提供了有效的保证，实现提供有效保证，在深化ERP系推同时进一步加强的IT控制。主持人：非常感谢姜处长。下面有请网康科技服务部总监陆续周先生。陆续周：很荣幸有这个机会，跟各位专家交流一下内控体系，我本身有在一个大企业做过10年的IT系统，而且比较早的实现了有关的业务内控，我的交流分五个部分，引言，把内控条例读薄。内控刚才也讲了是一个全员的工作，尤其是核心团队共同实施，因为借助信息化实施，所以一般CIO比较痛苦，我该怎么办。其实整个技术层面内控里面是一个支撑，如果说我不能一下子全做到，有一个办法分布落实，这个时候可以看到把内控条例读薄对我们有很大帮助。一个经济学的泰斗跟我说过，书里面东西比电视好，书里面东西可以让人聪明，电视可以让人变傻，因为书是可以越读越薄，把内控条例读薄对我们有很大帮助。在这个内控条例里面我们最主要是宣传、培训，让每一个落实人心，无论是美国的安然，还是经济危机美国企业高管，依旧发高额年薪，往往是因为人的不当操作导致，内控精髓是规范人的行为，让规范深入人心，同时让人难以有意、无意违反这个条例。所以我的标题就是“内控以人为本”。我觉得要想把内控读薄有很多范围，画了四个框。首先内控是一把手工程，从董事会，最高层要重视。第二点是整个核心团队， 共同参与设计不要指望就是IT部门做内容不可能。但是IT部门的这种支撑、架构是必不可少，我们内控所有流程都在支撑系统中，人的大脑效率是很低，我们一定确保内控条例，确保我们规范真正深入人心。往往人懂了不抵触，就会知道这样的好处。我以前的公司老板跟员工说我为什么要做好控制，因为只有我们控制住我们才可以活着，如果公司不好，员工得不好，所以公司600人一样可以进行很好了内控体系，我们有了框架以后我们怎么把内控体系读薄，构成一个企业无非是两种，一个是活生生的人，还有一个是企业资产，同时我们业务运作有业务流程和财务流程，是我们要做内控体系要关注方面，把我们这些梳理清楚以后，有了这些关注点以后，我们怎么对每一个点进行内控规范设计，在内控条例章节里面可以看到，第一章第六节，权责分配、企业愿景、人力奖惩、可审计、反舞弊。每一个设计流程关键点切分，每个点都很重要，但是每一个点流程应该怎么做的，第一我们处理任何一个流程，任何关注点的时候我们要遵循第二章到五节第一风险分析，控制措施，信息沟通，监督检查，一点可以分成20个操作步骤，不管有多少点我要抓住关键操作过程就一定可以做下去，我本来想画一个四维图，本人美工有限画不出来。我觉得还有一个很大的纬度就是我们网络，内部和外部网络，有这么多点我已经知道了，那么我该怎么做，今天有做窗效应。如果我想做窗等到我们所有的窗户一次性采购完，这样的话让别人认为窗户破是应该的，不破窗户我要打破，这个是一个很知名的效应叫“破窗效应”。这样的话用最快的效益，把能够修复好尽快修好，给人一个意识我不能再打破其他窗户了。这种思路一定要灌输，内控条例里面有没有可以尽快修复破窗呢。这是整个架构内部外部网络，内部网络关注于每个企业的个性，比如说金融、石化、科研、政府内网一定不一样。一个是设备制造商内网一定不一样，它的流程很复杂，外部网络比如说我访问互联网、访问邮件、访问外部应用是有通用的，是一种普适性很强的，不妨我们从最容易下手的地方下手，把破窗破除掉。这是我的心得，内控先找软柿子捏，在这种外网互联网环境里面我们可以看到，它实际上贯彻了一个企业企业文化，企业愿景，就是人员基础，我们利用互联网知道应该做什么，不应该做什么，这个是通用而不准则，因为是一个基础所以很重要，因为通用是一个软柿子，很成熟不需要我们太多考虑我们业务的关注点，在外界很多大量已经成熟可用的方法，来破除破窗。同时互联网这种行为是人的第二人生，可以反映出一个企业人的文化、思路、想法。因为我们曾经给客户做咨询的时候，我们很轻松发现哪些员工想跳槽，是一个人的思路直接体现，所以当我们了解人的思路以后，了解了关键点之后，我们想让我们其他规范深入人心会变得很容易。所以说互联网行为的内控实际上是一个已经成熟，而且成本效应更高的软柿子，我们不妨从这里下手。内控为两种，那么互联网内控，问题到底在哪里，我们现有体系是不是已经把内控实现了。我们来看一下，根据我们服务过很多客户的角度看，第一现有状况很普遍，内网IT没有认证，没有专业互联网接入的安全体系，会导致我们内部的人员根本不知道谁做的，我相信我们越大的网络越会采用动态的成本，这种情况我们怎么知道谁做了什么事，我们不能关注到人何谈内容，没有权限、没有规范。第二，我们互联网上可以看到无论是HTTP网页下载，还是最流行的P2P下载，还是IM的收取，都是面临企业挑战希望员工不违背的事情，大概30%是国家级的网站，我听到收音机，说北京市青少年每周平均上网时间是37.5小时，如果按8小时工作日，将近5天，而且其中有一半的学生访问过色情网站。实际上可以看到这里面网页的问题很大，同时像P2P基本上没有太多用来传数据，基本上是娱乐。像IM、UML都是我们想控制的，但是却控制不住。第三点实际上在我们外网业务我们缺少有效出口，我不知道外面的文字是什么，这时候带来是本身在金融危机下避免风险是最主要的事情，规避风险，那么因为我们无法控制，接入的风险就很大。同时我们企业机密，核心信息往外发送是太简单容易的事情，我印象最深当时国内两大运营商，签署互不侵犯条约，这个时候我们对数据保护来说存在很多的问题。其实我们IT系统最重要是要付出有所得，由于我们局域网带宽很大，运营商核心网带宽也很大，我们想让企业网能够匹配这个大小不可能。第五点最重要的一点，跟企业文化有关系，我们在一个专业的报表里面可以看到，我们员工在互联网上，只有45%是查询有效资料，其它的是在做与工作无无关的事情。如果一个企业文是让员工积极向上，而在某一些工作行为当中是积极向下。的确我们想控制，但是为什么控制不之呢，可以看到，安全里面有一个很重要效应叫“独眼鹿效应”，这个“独眼鹿效应”我们默认的是防外，不防内。第二是说很多我们不希望发生的行为，往往披一个合法的外衣。现在可以看到现在的我们信息专家，80端口的迅雷，我们有太多协议。第三我们内容细节没有办法判断，因为我服务公司是一个研发公司，从网络传一个SP是什么我不知道，我只知道是一个文件这种情况我们怎么管理。我们讲两个案例，一个是华为电脑，可以看到300多带宽70%以上流量被工作无关的内容占用。第二是国家核电，自成立以来是一个部级单位。为什么和困惑，我不知道网络可以传输B2PIM里面内容是什么，但是我想知道里面内容是什么，不能让里面核心的东西出去，这是我们中国企业困惑的。在国外企业来说可以看到通用电器，还有摩根大通、环球电视，这些都很早做了互联网控制。有了这些问题我们怎么做，我们服务客户我们觉得我们把这个条例读清楚，互联网技术层面传统的有传输的HTTP等等，新兴的P2P，等等。在我们内控点上结合我们有哪些，第一主体健全，我们行为要符合企业远景，我们行为要可审计，要能给IT成本很大收益，我们行为能够让人力资源部进行相应控制，我这是我们在外网、内网的着眼点。管理方法我们在两年前就提出内控风险管理，就是一个典型的干预，大家遵循是螺旋式上升原理，我是任务模式不是功能模式。比如说我们设备防火墙，是把功能模式，但是不是任务模式有效灌输给我们客户以一种方法引导我们，所以我们很早提出的理念就是遵守我们风险评估。具体的建议，第一点无论是什么样的系统，我建议都新用一个路由器放进去。你是双面的，单面的，还是旁路接入都可以，把我们互联网出口进行这种进行下一步分析。首先建立有效的行为主体识别机制，与组织建构真实的相关可靠的真实的网。这是我们第一步主体健全。第二是我们分析进行相应的风险分析，我们知道有网站，应用，流量问题，为什么搜索习惯写在里面，我们曾经用一分钟的时间搜索，就是一个员工做什么，虽然就是几个字，十几条，这种搜索习惯很容易看到企业的员工的心态。第二，我们专业网页应用完善自己监督与控制，是内控体系第二步，我们是借助全球最大的中文搜索部，对各种各样外发信息内容，大小，人员行为识别，对流量通过我们独有通道来有效控制，可以能够让我们安全体系、能够让我们互联网控制体系达到有效的控制。第三点是最最重要的，一个我们解决方案决不能是看，控，一定是可分析、可统计、可查询。这个是我们内控里面很重要，我如果持续发现我们网络有新的问题出现，流量有异常，不断发现我们有异常，不断地和我们主管公司高层沟通，发布报表可以有效让这种制度落实到人心，让大家知道我该怎么做。通过对外网的内控体系、内控思路、内控方法的灌输，我相信合法、合规行为将将一个积极向上企业文化提心，信息保密，外发控制会得到有效，同时资产保护也会得到很大的保护。当时华北电网部署网上体系以后，带宽下降了150兆，国家核电全网采购了我们的体系，他的所有代发体系就健全了。这是网康的服务案例，大家都是全网采购，无论是国家部委，这是最大金融机构，国内很大上市公司，还有制造业、媒体，各个区域像华北电网等等。可以看到通过部署这些装置，很有效的能够管理企业。网康公司实际上已经持续5年为互联网提供专业服务，我们以每年300%速度提升。我们价值，我们理念是以人为本互联网管理思路，以人为本价值呈现我们在第8层上，我们希望能够在第8次做到人与技术完美结合，服务于我们中国企业上好网，用好网谢谢大家。主持人：非常感谢陆先生的精彩发言。下面我们有请用友公司NC产品架构师付建华女士。付建华：各位来宾，上午好，非常荣幸能够有这次机会我们借助这个平台，用友公司和我们在座的企业高管，我们公同探讨一下信息化环境下企业内控的建设。说到这个话题，在今天和大家交流的时候，除了在后面介绍用友NC系统，之前还要想稍微花一点时间交流一下IT技术或者说在信息系统环境下，企业内部控制管理差异和重要性。首先看看IT环境下企业内部控制体系的建设，前面我看到来自于不同的企业嘉宾都提到了。我们说到企业内部控制系统建设的时候，我们都知道离不开IT的手段和工具，实际上在我们交流这个问题的时候，如果我们是在座企业的CIO，或者你是企业将来服务内控工作开展职能部门的负责人，我觉得首先要思考一个问题，在目前IT环境下，我们这个企业开展内部体系建设、健全、保障它有效执行，然后进行监督和评价的时候。到底和原先在传统方式下产生了哪些差异。在萨班斯法案颁布以前，没有一家企业可以说我们没有一点内控机制，如果你是中型企业、大型企业，企业制度和相关文档这些东西在企业当中都是有，但是法案颁布以后对企业要求更加体系在几个方面。第一是内控是否完善健全，第二风险内控是否得到有效执行，第三法律要求进行监督评价，如果内控有漏洞，没有让公众及时了解到，要承担相应的法律责任。在企业围绕三个层面开展内控管理建设，执行评价的时候，首先你要来思考一下在IT环境下， 或者说信息技术与信息技术结合情况下，企业内控管理如何开展。首先看一下信息技术给企业内控管理带来影响有哪些方面。首先控制原则和方法发生巨大改变，我们原先说内部控制基本原则和方法，我们知道有原则，目前对于企业也可能要非常关注信息技术，IT环境下控制原则变化，信息技术成为企业内部管理很重要的方法、手段和工具。第二是控制内容和方位，从5部委中我们可以了解健全企业内部控制体系，IT控制是你企业必须要关注一个领域，原先你非常关注我企业工作治理机构，组织架构，职责权限，业务流程在企业循环的控制。在当今企业环境要更加关注IT控制这块，要思考一下我们企业以前，公司以前在IT控制领域是否有健全的控制体系，制度是否有有效的监控手段。这也是一个巨大是变化。第三个方面也是IT技术对企业带来的挑战，你的内控制度体系设计非常有效，但是执行是否得到有效保障，所以说内控执行在目前管理情况下，所有企业或者说大中型企业借助于IT系统保障内部控制有效性。在座的各位领导公司知道没有一家公司不会使用一部分软件，比如说使用ERP系统，Oracle或者用友，其它软件系统。你的核心业务、财务信息、报表会在这些系统里面产生，那么如果说这个时候你的内部控制执行的手段，或者说执行的评价要绕开ERP系统或者是IT系统，企业可能就不能正常运行。第三点我们可以用一句话指导它的重要性，对客户框架有深入分析，我们知道全球包括美国、英国，包括新加坡、香港、日本，还有我们现在中国，所以的国家在制定内部控制相关法律规范的使用框架，是遵循的COX框架，如果你这个企业的内部控制执行，是依赖于某些IT工具，比如说ERP系统，其他的软件工具，将来第三方见证机构对企业进行内部控制审计评价，可以适当的减少审计工作量，提高内部提出有效性可信任评估，所以借助ERP执行是非常重要的了。如果说像我们原先很多在海外上市公司，每年请四大帮你做内部审计，或者咨询费用是非常昂贵。如果说我有了可靠ERP系统，所有内部控制都在ERP系统当中得到良好体现和控制，你的审计和相应成本会缩小了降低很多。这也是企业要关注的重要一个方面。另外一个方面就是控制监督及我们知道法规颁布以后，对企业带一个新的挑战，就是内部控制必须进行监督评价。这个监督评价包含两个层次，第一个是内部监督评价，我们看到国内上市公司都着手把企业的内部及审机构职能进行扩充，原先可能是传统审计就是报表审计，现在要扩展传统的审计，企业内部控制、独立审计等等方面。在内部监督评价同时，法规明确要求必须请外部第三方机构进行有效评价。在评价和监督的时候，我们知道首先我要检查你的内部控制设计是否健全、有效。检查的时候事务所是看内部控制设计是不是得当，这是第一个。接下来就是内部测试执行是否有效，要看你内部控制的证据，企业核心业务在ERP系统上，那么ERP系统可以帮助你保留你的关键业务执行过程当中证据、文档、资料、报告，供你企业内审，机构检查一些证据，做出评价。同时，我们知道如果你看这个基本规范的时候，只说了一句，要请第三方机构对内审机构评价，你需要在年报当中明确