“全球90%的IT项目都是延期的;50%的IT项目无法有效控制成本;50%的IT项目无法达到预定目标和需求;30%的被取消……”, Mercury公司中国区总经理卢汝文先生在今年举办的一次BTO(业务优化科技)技术研讨会上,给出了上述令人瞠目结舌的调查报告。
他认为,如今很多CIO都面临着IT投入黑洞的困惑,他们更关注的是:一、实施并实现IT业务价值的最大化;二、优化IT策略和IT实施,也就是说,他们需要了解和把握IT的运行和实施过程是否满足业务优先级的要求,并达到了怎样一种程度;三、降低IT成本,控制IT风险―对于企业来说,IT的投入是需要有回报的,但是,大约有40%的IT投资并没有能够取得预期的回报。
IT如何为己所用
一项META Group近期进行的调查显示,由于IT部门没有和商务处理联系在一起,2/3的商业交易被公司漏掉了。其背后的意思就是:IT部门还没有准备好,而且他们显然没有注意到公司发展新的商务能力的信号,也没有能够成功地为公司增加价值―简而言之,他们没有明白公司的目标。
根据Morgan Stanley的报告,在2000年到2002年之间,美国的公司花费了1300亿美元来购买那些他们实际上并不需要的硬件和软件。而根据Gartner提供的数据,在全球范围内,这一数字达到了5400亿美元。
为什么IT部门和企业的商业策略总是存在偏差,并且在财务报表上表现不佳,浪费了IT投资的资金?通过检查商业目标和其通过各管理层传递时存在的问题,就能够找到这个答案。
有10年咨询服务经验的波士顿咨询公司经理陈承光认为,今天CIO和信息主管们所面临的难题依然存在,比如IT无法满足企业业务需要;IT支出的价值不高;IT项目成本无法收回等。而扭转这种尴尬局面的三大重点在于:一、使IT投入与企业业务战略协调一致,并推动未来业务的成功;二、用一种共享的、以价值为导向的框架来确定IT投资的优先级别;三、了解企业自身IT架构的所需成本并使其在控制之中。
波士顿咨询公司给CIO开出的“简单的开发原则”是:CIO必须和高层决策者合作管理全球的IT日程; 业务是决定IT优先级和项目的因素,在业务规划和预算中考虑IT的成本和利益;IT项目一定要得到业务部门的资助和投资,可以与经营规划挂钩;必须积极削减IT成本,如分阶段实施、外包开发、使用高透明度的方式强制推广应用等。波士顿咨询公司的经验认为IT投资一般可降低运营成本的10%~30%。
麦肯锡全球研究院(MGI)认为,IT刺激生产力成长最有效的方式是协助企业创新。有时创新的意义在于创造新的产品(例如速度更快的微处理器)、服务(移动通讯)或流程(股票网络下单),但也涵盖有协助企业将现有优势延伸至关键领域、利用IT赋予现行流程额外的动力。沃尔玛将其原已极有效率的经销网络与IT连结后,供应链管理成效以及生产力皆更上一层楼。
MGI的研究还显示,要真正促进创新,而非只是快速生成一些短时间内易于仿效或达成错误目标的系统,企业应将重心置于两大要务上:
第一,找出能为独特竞争优势创造最大机会的生产力杠杆。以少数能有效创造竞争优势的杠杆工具为目标,比起试图全盘改善能获得更稳定的成果。前景可预测的IT计划通常配合相关业务流程的演变,并奠基于企业组织的营运优势。
第二,精确掌握投资的次序与时机。许多技术导向的优势生命周期极为有限,特别是不涉及基本业务变革的优势,原因是它们在产业里的散播速度极快。因此,要获得IT投资的报酬,时机至关重要。适当掌握时机的企业,需要对IT加入战局后的产业竞争态势有更明确的认识。若某项技术难以复制、就算被竞争对手模仿也能继续创造收益、或能在短期内提供庞大价值,就值得率先投资。否则,最好是先按兵不动,待同业已有相当规模投资并犯下错误后才跟进,以提高投资报酬。
利益最大化的投资度量
在具体的IT投资实践中,每个公司都有自己一套独特的方法,其中比较成功的是思科公司使用的一种用户投资IT的模式。在思科公司,所有的IT项目和议案的费用不是集中由IT部门承担,而是由该计划的对应部门(如人事、财务、生产部门等)负责。IT部门并不独立于公司其他职能单位之外,而是和它们有着千丝万缕的关系。因此,IT部门的员工都有着双重汇报的关系,既要向当前项目的对应部门汇报,同时也要向IT部门的领导汇报。IT部门制定项目标准并监督执行,而各个部门则是每个项目的发起者。公司所有主要职能都有IT部门的参与,它已经成为业务的一部分并整合于其中。各个职能单位在各自的预算里都有IT部分,而IT也能从侧面反映业务上的情况。
这一举措使IT开支和业务单位的目标统一了起来,因为IT项目都是由业务单位领导的,随着时间的过去,对项目的要求往往会越来越多和不切实际。现在,业务单位仍然可以得到他们想要的系统来提高业务效率(在思科的标准范围内),可他们必须直接承担该项目造成的开支。这一措施并非强迫业务单位压缩IT开支,而是鼓励他们在制定计划前先仔细考虑一下这些开支对本部门会带来什么作用,以及公司的底线在哪里。思科并不认为所有的IT程序都要自己开发,如果有其他公司能够提供一套符合思科需要的现成程序,价格又比较合理的话,思科也会购买并使用它。
许多企业的IT投资实践都证明,根据竞争分析和业务需要安排IT经费的好处是非常巨大的。某企业在上世纪80年代末开始采用上述机制,在前4年,其IT经费支出比业界的平均支出水平大约高30%~40%。之后,其运用资本报酬率(税前利润与投入资本之比)便比业界对手高,企业IT系统中每年都有更多更好的功能入帐。
首先,我们定义IT控制是由期望达到的(IT控制目标)和达到这些目标的方法(控制程序)构成。IT控制目标是指通过对具体的IT活动实施控制程序,以达到期望结果或目的的总体描述。可见,事实上,有效的IT控制设计与实施指明了一个组织将信息技术条件下的风险降至可接受水平的途径。这里IT风险指的是IT使企业不能实现其经营目标的风险。
然后,我们从人员职责、IT控制的构成和IT控制对象这三个角度来理解IT控制的外延:
1.从人员职责角度看:首先是以下三类人员的职责:
管理层――主要职责是确保控制存在并有效运行,为运营目标和控制目标的实现提供合理保证;
低层管理者与员工――主要职责是执行控制;
审计师――主要职责是对控制的正确性进行评估、提供改进建议及保证声明。
2.从IT控制的构成角度看:IT控制包括IT控制环境、IT一般控制、IT应用控制。
3.从IT控制对象与范围看:IT控制对象包括企业IT生命周期的所有流程。
实现IT控制,中国企业需要应对三大挑战
国内企业信息化建设速度越来越快,信息化水平越来越高,业务与财务报告流程对IT的依赖程度也随之越来越高。对大多数企业而言,运用整合的ERP系统,或综合运用各种经营管理、财务管理方面的软件,已经成为财务报告系统强有力的支持。
随着萨班斯法案的出台,财务报告的内部控制几乎离不开IT控制,即使业务层面的管理控制也是IT支撑环境下的控制。但是,信息技术是一把双刃剑,其潜在风险也越来越大,企业在建立有效的IT控制,以保证财务报告的有效性方面正面临着巨大的挑战。
但是,目前国内企业的内部控制体系多为传统的会计控制及管理控制,对IT控制缺少系统的考虑,企业的IT控制面临三大挑战。
挑战之一:CIO缺乏内部控制理论与实践。
以萨班斯法案的要求来说明,404条款的遵照执行有四个阶段:1.公司应制定内部控制详细目录,确定内部控制是否足够,然后将这些控制与诸如COSO之类的内部控制框架进行对照; 2.公司被要求记录控制措施评估方式,以及未来将用来弥补控制缺陷的政策和流程(如果有的话); 3.公司必须进行测试工作,以确保控制措施和补救手段起到预期作用; 4.管理层必须将前述三个阶段的各项活动情况汇总成一份正式的评估报告。
法案的要求使很多人认为,IT专业人士应该对其负责的IT系统所产生的信息质量及完整性负责,但问题在于,大多数IT专业人士对复杂的内部控制并不精通或了解,因此难负其责。尽管不能说IT人员没有参与风险管理,但至少IT管理层没有按照管理层或审计师所要求的形式进行正式的、规范化的风险管理。CIO(首席信息官)们现在到了不得不补课的时候了,当务之急是补充有关内部控制方面的知识,理解企业所制定的SOX遵循计划,才能专门针对IT控制拟定一个遵循执行计划,并把这个计划与总体的SOX遵循计划相整合。
挑战之二:缺乏系统的IT控制体系
事实上,每个企业或多或少都有一些IT控制制度,很多企业错误地把这些静态的控制制度等同于控制体系。现在越来越多的人认识到,我们需要的是“发现问题,解决问题;发现新问题,解决新问题”的持续改进体系。同时鉴于第一点原因,这些制度基本是由技术管理者制定,他们缺乏规范化风险管理的经验,这些IT控制制度可能不太规范且不成体系,控制程序也不够完善。IT控制制度一般存在于系统安全和变更管理等一般控制领域,缺乏从公司透明度角度出发、结合支持业务战略和业务流程的完整内部控制体系。
挑战之三:现有IT控制体系不具有可审计性
萨班斯法案相关的条款要求上市公司必须有足够的证据证明内部控制的有效性,这就要求企业必须有完善的内部控制流程及审计轨迹,在控制发挥作用的同时生成相应的文档记录,以便在对内部控制设计及运行的有效性进行评价时有足够的证据。
我国企业的IT控制程序设计及运行不具备可审计性。尽管很多企业有庞杂的规章制度,但该体系的完整性、有效性以及遵照执行情况缺少评价,或没有证据进行评价。
因此,我们构建IT控制系统时必须从全局着眼,借鉴国际内部控制框架及国际最佳实践经验,构建一套系统化、标准化、可审计、可持续改进的IT控制体系。
构建有效而持续的IT控制需要正确的理念、适合的内控框架和评估机制
对于企业,我们认为在构建IT控制体系时,需要从三个层面来考虑才能保证IT控制的有效性和持续性。为了更好地说明,笔者将以如何设计符合萨班斯法案要求的内部控制为例,来展示构建IT控制体系的主要思路,以供参考。
1. 要认识到构建IT控制体系是一个循序渐进的过程
SEC管制条款内容复杂,为了满足萨班斯法案的要求,大多数企业需要调整其员工观念和企业文化,通常也需要对IT系统及其处理流程作一些改进。改进的内容包括控制设计、控制文件、控制文件的保留,以及IT控制的评估等方面。这是一个循序渐进的过程,不能将原有的一切推倒重来。鉴于在美上市的中国企业多为国有企业,这些企业的规章制度普遍较为健全,所以对于它们而言,更为重要的是如何根据内部控制的理念和原则,结合企业的实际情况,对不符合萨班斯法案404条款的各项差距进行分析、弥补、测试和改进。这项工作的顺利开展需要企业人员具备相应的理论知识和实践经验,因此,IT控制和风险管理培训就成为贯穿始终、必不可少的一项重要工作。
2. 要选择好内部控制框架
法案并没有规定公司必须选择什么样的内控框架作为管理层评价内部控制有效性的依据, 需要企业自己选择。国际上比较有名的内控框架有英国的Turnbull、美国的COSO 和加拿大的CoCo , 它们从不同的角度剖析公司的经营管理活动, 为营造良好的内控框架提供了一系列政策和建议。PCAOB审计标准Ⅱ在“管理层用于开展其评估的内部控制框架”一节中,明确管理层要依据一个适当且公认的、由专家遵照应有程序制定的控制框架,来评估公司财务报告内部控制的有效性,SEC也从侧面认可COSO框架。COSO 认为,内部控制是由企业董事会、经理层和其他员工,为合理保证实现企业营运的效率及效果、财务报告的可靠性及合法合规等目标而实施的一系列过程。内控框架的构成要素包括控制环境、风险评估、控制活动、信息和沟通、监督五个方面。这套理论得到了包括SEC、公司管理者、投资者、债权人及专家学者的普遍认可, 国外许多公司都依据这个框架建立了内控系统。我国公司也可以按COSO 建立内控框架, 逐步与国际管理模式接轨。通过引入COSO 内控要素, 形成一个相互联系、综合作用的控制整体, 使单纯的控制活动与企业环境、管理目标及控制风险相结合, 形成一套不断改进、自我完善的内控机制。
尽管COSO正在成为理解和评价内部控制的全球性框架。但是,COSO不是唯一的控制框架,在有些情形下甚至可能不是最好的或最易于使用的框架,尤其是在COSO框架中没有考虑到对IT控制目标和相关控制活动的具体要求。目前,COBIT(信息系统和技术控制目标,Control Objectives for Information and related Technology)正在成为更好地理解信息技术环境下内部控制的国际公认框架,该框架由美国IT治理研究所(ITGI),是一个IT风险管理与IT控制的综合性分析框架,由覆盖信息化生命周期的4个域、34个IT控制目标、318个详细控制目标组成。COBIT也涉及企业经营、合法合规等方面的控制。因此,该框架可作为制定IT控制目标、审计、管理和执行方针的依据。COBIT不是COSO框架的替代品,而是COSO框架的有力补充,这是因为在信息技术条件下,管理层、IT人员、审计师都需要理解和记录IT相关流程、流程中资源利用情况,以及支持这些流程的控制。
尤其是那些信息资产密集型或高度依赖于自动化处理的企业,理解和评估信息技术条件下的内部控制是一项巨大的挑战,但也是实现萨班斯合规性的关键之处。COBIT对评估这种环境下的内部控制会特别有效,COBIT的全部控制目标为审计人员寻求实施萨班斯法案404条款内部控制评审提供了强大的支持。不过对于初涉COBIT框架的人来说,其庞杂体系令人望而却步,其指南分散在有很多图表构成的多卷本中。并且,COBIT自1996年问世以来,在很长的一段时间里,许多审计人员单纯地将COBIT看作是专门的信息系统审计工具,认为它对其他审计工作帮助不大。我们认为,虽然COBIT的重点仍然在于IT,但是所有的相关人员包括审计人员都要研究COBIT框架,并将它作为一款优秀的控制框架,用于帮助实现萨班斯法案的合规性要求(COSO、COBIT与SOX的对应关系见图1)。
整合运用COBIT与COSO作为构建IT控制的框架,是将两种国际公认框架进行优势互补。同时在确定控制点、控制程序、留下相应审计轨迹时,也可以参考IT运营、信息安全方面可审计的国际标准管理控制体系ISO20000、ISO17799等。
3. 建立一套自评估机制,确保内部控制系统的持续有效
众所周知, 企业的发展阶段、和管理状况以及外部环境的变化都是决定企业内控体系建立和有效运行的前提。任何内控体系都只是在一个特定的历史阶段有效。法案要求管理层每年都要对内部控制有效性做出声明,这也迫使公司必须建立一套控制自评估机制,评估内部控制体系设计、执行是否有效,以支持管理层的声明。同时,自评估机制也可以帮助公司发现控制薄弱区和控制漏洞,及时审时度势,弥补内控体系的缺陷,确保内控体系持续有效。这也正是萨班斯法案所要求的。
控制自我评估(CSA)是指企业内部为实现目标、控制风险而对内部控制系统的有效性和恰当性实施自我评估的一种方法。国际内部审计师协会(IIA)在1996年研究报告中总结了CSA的三个基本特征:关注业务的过程和控制的成效;由管理部门和职员共同进行;用结构化的方法开展自我评估。CSA最早出现在20世纪80年代末期,但其最主要的发展是在90年代,特别是在1992年COSO报告公布之后。COSO报告首次把内部控制从原来自上而下财务模式的平面结构发展为更全面的企业整体模式的立体框架。传统的内控评价方法只能用来评价诸如财务报告,资产与记录的接触、使用与传递,授权授信,岗位分离,数据处理与信息传递等的“硬控制”。在新的内部控制模式下,迫切需要评价包括公司治理、高层经营理念与管理风格、职业道德、诚实品质、胜任能力、风险评估等的“软控制”。在这种情况下,作为一种既可以用来评价传统的硬控制,又可以用来评价非正式控制即软控制的机制,CSA得到了普遍的信赖。
自评人员首先选择要评审的内控流程, 然后对其设计的健全、合理性进行评价, 如果设计合理, 则测试其运行的有效性, 最后进行综合设计测试和运行测试, 评价内控系统设计的合理性和运行的有效性。如果设计测试结果为不合理, 则直接进行内控系统的评价, 而不再进行运行的有效性测试(见图2)。
内控系统设计测试是指为了确定被审计单位内控政策和程序设计合理、恰当和完善进行的测试。合理的标准即控制设计与目标相关、恰当和完善, 能有效保证信息的机密性、完整性和可用性。运行有效性测试是指为了确定被审计单位的内控政策和程序在实际工作中是否得到贯彻执行, 并发挥应有的作用而进行的测试。执行有效的标准即内控政策和程序在实际工作中得到了贯彻执行并发挥了应有的作用。
为了评估企业内部控制水平,指导企业进行差距分析并确定改进目标,建议企业借鉴成熟度理论,描述企业IT控制有效性的各种等级。
Level 1 不可靠级 不可预知的环境,在这种环境中,控制活动没有设计或不适当;
Level 2 不正式级 控制与披露活动已设计并适当,但没有充分记录。控制更大程度上依赖于人,没有正式的控制活动培训与沟通;
Level 3 标准级 控制活动已被设计并适当,控制活动已被记录并在员工之间进行了沟通。控制活动的偏离可能不被发现;
Level 4 监控级 标准化的控制,有定期的有效性测试并向管理层报告,有限的利用自动化工具支持控制活动;
Level 5 优化级 一个整合的内部控制框架和实时的管理层监控与持续改善 (全面风险管理),运用自动化工具支持控制活动,也许组织在需要的时候对控制活动进行快速变更。
就某个内部控制目标而言,一些企业可能愿意接受等级不高于3的IT控制。考虑到萨班斯法案 “外部审计师应就控制出具独立的鉴证”这一要求,审计师对一些关键控制活动的有效性水平不能低于3级。
“萨班斯法案”的出台,使全球各国监管部门、企业和投资者都把眼球关注在公司治理和全面风险管理上。为保护投资者、降低风险,各国纷纷效仿“萨班斯法案”,出台自己的公司治理广泛要求以及全面风险管理指南。被称为“自罗斯福总统以来美国商业界影响最为深远的改革法案” 的“SOX法案”引发了全球公司治理与风险管理翻天覆地的变化。如何更好地规范公司治理、完善公司全面风险管理框架,如何发挥信息技术在公司治理和风险管理中的作用,是目前理论界与实务界普遍关注的话题。公司治理与IT治理,IT治理与目前风险管理等议题正逐渐成为人们关注的焦点。公司内部从董事会到CEO、到CFO、再到CIO等高级管理人员都参与到公司治理、合法合规等实践中来,打破了原有职责范围的局限,重新认识自己的责任定位。
302条款和404条款核心要求
302条款的要求:
该条款要求由首席执行官和首席财务官在内的企业高管层,对公司财务报告的内部控制按季度和年度就以下事项发表声明(予以证实):
*对建立和维护与财务报告有关的内部控制负责;
*设计了所需的内部控制,以保证这些官员能知道该公司及其并表子公司的所有重大信息,尤其是报告期内的重大信息;
*与财务报告有关的内部控制的任何变更都已得到恰当的披露,这里的变更指最近一个会计季度已经产生,或者合理预期将对于财务报告有关的内部控制产生重大影响的变更。
在当前环境下,IT系统驱动着财务报告的流程。诸如ERP之类的IT系统紧密地贯穿于企业经济业务的开始、授权、记录、处理和报告一整套过程中。就其本身而言,IT系统和整个财务报告流程也是紧密联系的,为了遵循“萨班斯法案”,也要对IT内部控制的有效性予以评估。
为强调这一点,PCAOB第2号审计标准讨论了IT以及IT在测试内部控制设计合理性及运行有效性时的重要意义,并强调指出[部分]:
……内部控制,包括与财务报告中所有重要账户及披露内容相关的控制政策与程序,都应该予以测试。
一般而言,这样的控制包括IT一般控制,以及其他控制所依赖的控制。
404条款管理要求:
*“萨班斯法案”的404条款要求管理层在其年度文件中提供关于与财务报告有关的内部控制的年度评估报告。管理层的年度报告要求包括以下内容:
*管理层有责任为企业建立和维护恰当的与财务报告有关的内部控制。
*识别管理层所采用的内部控制框架以便按要求评估公司与财务报告有关的内部控制的有效性。
*对从一上个会计年度末以来,与财务报告有关的内部控制的有效性予以评估,其内容也包括有关与财务报告有关的内部控制是否有效的公开声明。
*年度审计报告中,注册会计师事务所发表的财务审计报告,包括管理层对与财务报告有关的内部控制有效性评估的证明报告。
*管理层关于公司针对财务报告内部控制有效性评估的书面结论,应包含在其对财务报告内部控制的报告和其对审计师的信函中。这一书面结论可采取多种形式,但是管理层对公司面向财务报告的内部控制的有效性必须发表直接意见。
*如果与财务报告有关的内部控制中有一个或多个重要缺陷,管理层将不能对财务报告的内部控制有效性做出评估结论,而且,管理层应该披露自最近一个会计年度未以来财务报告内部控制方面的所有重要缺陷。
显然,404条款对于公司内部控制情况做出了严厉要求,目的是为了使得公众更易于察觉到公司的欺诈行为,并确保公司财务报告的可靠性。而上市公司为了遵循该条款将付出沉重的代价,包括大量的时间和人力、财力的投入。
在“SOX404”项目中的IT
事实上,早在1994年TSE的题为“董事何去何从?提高加拿大公司治理的指南”中就认为:整合企业的内部控制和管理信息系统是董事会的五个“首要责任”之一,对此责任的解释,是有效地履行董事会的责任需要有效的控制和信息系统来支持。例如在批准企业战略时,董事会需明确各种评价战略的标准和监督执行战略的体系;同样,在审查和批准财务信息时,董事会需要企业的审计系统来通报数据的完整性和对会计原则的遵循。总之,该指南认为董事会必须关注内部控制和信息系统,因为它是履行其他责任必须依靠的机制。该报告对董事会责任的界定提高了内部控制在加拿大上市公司中的重要性,并有助于改善公司的控制环境。
在“萨班斯法案”中,我们看到了一脉相承的要求,只不过这些要求是以前所未有的法律形式固定下来的,良好的公司治理和高管层对IT的职责再也不是一个可有可无的美好远景。
*公司数据的完整性受到公司IT控制的充分性影响;
*公司交易从交易开始、记录、处理到报告全程应用IT;
*加快并支持财务报告的IT控制;
*IT控制的有效性记录与评价的要求;
*IT一般控制与应用控制;
*利用IT自动记录并监控控制制度的执行。
因此,“萨班斯法案”开始要求CIO必须成为管理控制专家,不仅要参与到公司治理领域,以使IT与业务一致,还要在完善内部控制和全面风险管理体系中发挥作用。IT也成为公司治理、全面风险管理关注的新领域。
眼下,我国几十家在美国上市的企业正在紧锣密鼓地忙符合“SOX法案”的项目。对于符合“SOX法案”项目而言,更引起广泛关注的是上市公司管理当局要评价信息时代财务报告内部控制的设计与执行的有效性,并对此负责,外部审计师要连同财务报告审计一起审计内部控制。这主要是针对“SOX404”条款的遵从,所以很多符合“SOX法案”的项目也称为“SOX404” 项目。
“SOX法案”最主要的特征表现在:法案要求组织机构使用文档化的财务政策和流程来改善可审计性,并更快地拿出财务报告。要求企业针对产生财务交易的所有作业流程,都做到高透明度、可控制、实时风险管理并防治诈欺,并且这些流程必须有可追查到交易源头的详细记录。
对于这些在海外上市的中国企业而言,必须在2006财年结束前通过此项法案的认证,否则,证券市场会认为企业财务管理不规范、报表值得怀疑、股价不可信。如果中国企业大量不合规范,可能影响对中国企业整体的信任。严格的披露要求、紧迫的披露时限和严重的违规处罚,令在美国的上市公司加紧“萨班斯符合项目”,未通过的加紧建设完善的内部控制体系,特别是IT内部控制体系,已通过的公司正在寻求如何加强持续符合“萨班斯法案”。
SOX的实施问题
对于上市公司来说,“SOX404”条款的实施是遵从“萨班斯法案”的一个重要举措,必须由公司董事、管理层、“SOX404”项目小组、内控总监与其他人士积极监察和参与。“SOX404”条款的遵照执行有四个明显的区分阶段:
1.公司应制订内部控制详细目录,确定内部控制是否足够,然后将这些控制与诸如COSO委员会之类的内部控制研究机构的内部控制框架进行对照;
2.公司被要求记录控制措施评估方式,以及未来将被用来弥补控制缺陷的政策和流程(如果有的话);
3.公司必须进行测试工作,以确保控制措施和补救手段起到预期作用;
4.管理层必须将前述三个阶段的各项活动情况整理成为一份正式的报告。
在“SOX404”项目中,企业应该考虑以下问题:
* “萨班斯法案”需要对各个部门的员工和管理者进行培训。
* 要求管理者和审计师增加文档纪录、测试和检查。
* 纠正在检查中发现的任何潜在缺陷。
* 完善风险评估和控制行为的测试与监督战略。
* 投入更高的审计费用。
* 法规遵从软件的购买―买哪一种?
* 利用COSO建立的内部控制框架给IT部门的系统控制带来的变更。
完善内部控制可能需要几年的时间实现完全转变,并且可能要有很大的投入。从国内外的实施经验来看,基于风险的、由上至下的确定范围和测试策略的方法将减少目前工作所需的时间。
* 优化关键控制;
* 优化应用控制;
* 实施持续控制监督;
* 重新设计控制;
* 使流程和系统合理化。
“萨班斯法案”遵从成本
“萨班斯法案”的严厉性和高昂的执行成本从一开始就遭人诟病,已有包括新加坡“创新科技”在内的一批著名公司主动申请摘牌退市,更多的中国国企和银行也毫不犹豫地放弃了在美国上市的既定计划。该成本之高昂,据安永的调查显示:收入超过50亿美元的公司中,四分之一的公司在“萨班斯”符合项目启动之前弥补了500多个单独控制; 超过70%的公司在“萨班斯”符合项目启动之前对IT系统和控制进行了重大修改,在这70%的公司中,与404条款有关的成本耗费要比最初预计值高出50%;58%的年收入不足50亿美元的公司把超过半数的内部审计资源用于与404条款相关的活动中;76%的公司期望使用一些控制自评估(CSA)的表格来满足目前404条款的要求; 53% 的企业想在一年内开展企业风险管理 (ERM);87%的企业想通过由404条款带来的职责分明和控制负责人的推动获取价值。
来自普华永道的另一份调查清晰地描述了“萨班斯”遵从的投入,如下表:
根据国际财务执行官(FEI)对321家企业的调查结果,每家需要遵守“萨班斯法案”的美国大型企业第一年实施404条款的总成本将超过460万美元。这些成本包括35000小时的内部人员投入、130万美元的外部顾问和软件费用以及150万美元的额外审计费用(增幅达到35%)。全球著名的通用电气公司就表示,404条款致使公司在执行内部控制规定上的花费已经高达3000万美元。
欧洲最大的金融机构之一,荷兰国际集团(ING)负责人也抱怨说,随着银行和保险业忙于采用一批新规则,这些行业会出现“监管疲劳”。欧洲各银行在承担了实施“萨班斯法案”以及转向国际会计准则所带来的成本后,现在又面临着引入巴塞尔2号协议而产生的成本。有关规章变化的速度使法律、财务和合规部门员工疲于应付。
该集团首席执行官陶曼特(Michel Tilmant)表示,“你需要让机构适应这些监管变化,”陶曼特先生表示,“你必须确保正确执行了规定,并有时间调整心态。”
股权持有者们认为新法案的代价是值得的,推行404条款会带来一个前所未有的好光景。因为“萨班斯法案”的本质是对企业管理全方位的要求,比如企业是不是设计了一套完善的内部控制框架,这个框架是不是在企业内有效运营,并能够防止企业在内部控制流程中的一些风险。从长远来看,会提升公司治理水平,或许更多人会认同404条款对于美国资本市场健康发展的作用。毕竟,一旦发生公司丑闻,投资者的损失将远远超过公司目前付出的成本。
中国在美上市企业的“生死时速”
中国公司风险管理和内部控制薄弱,整体准备状况较差,进展缓慢。有调查显示,40%在美国上市的海外公司在原定期限前难以达到404条款的要求,更何况一直在外部监管不健全环境下成长的中国企业!离最终通过考验的时刻正在迫近,如何在短时间内,抓住主要问题,完善公司内部控制,是国内众多在美上市企业迫切关注的问题。同时,那些没有在美国上市的企业也开始关注“萨班斯法案”,因为,如香港联交所和中国内地新颁布的《中华人民共和国公司法》和《中华人民共和国证券法》也都出台了类似的规定。
严格的公司治理与信息披露要求不仅影响到在美国上市的公司,国内公司目前也面临这种强制压力。无论是上海证券交易所,还是香港联交所,都已经先后公布了与“SOX法案”类似的相关法规,对上市公司建立内部稽核制度和信息披露要求进行了探讨,也对与财务报告相关的IT控制提出了要求。可见,与“SOX法案”遵从类似的项目,必将进入更多中国公司董事会和管理层的议事日程。
我国近期也出台一系列加强公司治理、严格公司信息披露,保护投资者的法律、法规以及指引:
it试用期总结报告范文一:通过面试,来到____公司工作,已经一个月过去了,我努力了解公司的文化、制度、相关本岗工作的各种信息,以便尽快的融入到公司大家庭。对我一个月来的工作总结如下:
一.对公司的认识
在工作初期,我从各渠道了解公司的发展情况;对公司的业务模式、组织架构、地域分布有了初步的了解;阅读了一些公司管理制度。对公司的发展前景充满信心,愿意更加坚实与公司共同成长。
二.工作了解
1.信息化工作无中期的战略目标
2.IT基础建设与运维方面
基础建设薄弱。设备相应的资产信息、应用权限、辅助安全、扩展应用......管理都较松散,缺乏整套切实可行的运维机制(当然这和公司之前无本岗位人才有关)。
3.网络方面
网络不足以支撑目前的公司应用规模,表现在:网络结构无规划、带宽不足、网络管理设备性能太低,这些因素导致公司网络不稳定,无法支撑IT应用服务。
4.OA系统推进方面
对于目前OA系统在测试准备阶段深切体会到一些问题:
(1).从整体看这套OA不符合目前公司的管理结构。即:我公司所选这款蝶OA系统金适合中小企业或者但组织架构企业,不适合我们目前的集团管理架构。在日后我们OA应用逐渐成熟和层次逐渐深化时就会暴漏出很多问题。如:与日后集团型其它系统数据对接、更深层次权限划定
(2).OA的模块选择不合理。对一般OA非常有用的模块没有购买,如:日程提醒、数字签名、移动应用。对我们目前现状没必要的模块又买了,如:邮件模块、办公用品管理。
(3).金蝶OA系统功能弱。开放自助修改地方的相对市场上主流OA较少;协同审批流程设定麻烦;新闻中心版面僵硬,不可修改;知识中心版面缺乏人性化;通讯录功能非常薄弱;即时通讯功能太可怜
(4).系统实施规划不够全面。系统实施零散,缺乏整体规划。如:系统基础设备架设不安全;数据备份不合理;系统基础数据有些缺少统一规则制定;乙方顾问更换平凡、对接人多。
三.工作推进
1.将两个无线路由安装使用起来。
2.OA上线准备工作完成。
截止2013年1月17日OA上线前的准备基本完成,包括上线前全员培训。接下来就是公司开始试用行,上线运行后再出现的问题继续协调处理。
3.机房整理,将小UPS装给财务利用;
不用之物清理出机房; 四.工作展开计划
通过对公司的了解,利用现有资源,以现在已明确的任务为首要(OA系统推行到全公司),结合公司信息化长远发展,逐步从基础架构开始完善信息化工作,计划工作如下开展:
1.首先将OA系统在集团总部推行起来。
2.下一步整改机房,使机房相对安全,整洁。
3.深入了解整个集团各公司的网络使用状况,对网络全面的规划改造,为日后公司更多的IT应用做准备。
4.建立升级和建立基础的信息共享沟通,即:升级邮箱、建立整个集团可应用的即时通讯系统、简单文件共享。
5.拟建初步的信息化管理办法。
6.OA系统在各个公司逐步推行使用起来。
it试用期总结报告范文二:it试用期总结作以来,我本着对职业负责、对学生负责、勤勤恳恳地工作着。现将一学年度的工作总结如下:
一、政治思想方面:
俗话说:“活到老,学到老”,本人一直在各方面严格要求
己,努力地提高自己,以便使自己更快地适应社会发展的形势。勇于剖析自己,正视自己,提高自身素质。认真学习新的教育理论,及时更新教育理念。积极参加中心培训,并做了大量的政治笔记与理论学习。我们必须具有先进的教育观念,才能适应教育的发展。所以我不但注重集体的政治理论学习,还注意从书本中汲取营养,认真学习仔细体会新形势下怎样做一名好教师。
二、在个人业务方面:
在这一年中,严格要求自己,遵守单位各项规章制度,与同事之间相处融洽;工作上,尽职尽责,不敢有丝毫懈怠,除了做好本职工作外,对中心的日常工作也有了一个全面的认识。网络管理员主要有三项主要工作内容:第一,计算机及其网络维护管理工作;第二,“中国校外教育网”及“陕西省校外教育网”的撰稿及编辑工作;第三,对中心工作人员进行网络培训工作。
在工作中,为把校外教育网络建设得更快更好,以跟上时展和学校各项工作的进度,对自己做出了以下具体要求:一要提高对校外教育网络工作重要性的认识;二要科学建设网络,充分利用好网络资源,发挥好网络的各项功能;三要强化管理,确保网络安全运行;四要落实责任制;五要加强网络工作人员队伍建设。
本年度我中心组织学员参加“网上祭扫先烈”活动;开展的“爱家乡,爱高陵”系列活动(泾渭分明健步行和庆“六一”家乡文化之旅活动);参加陕西省举办的青少年足球夏令营活动;制作新年祝福视频参与校外同仁联欢会。这些活动的精彩瞬间都被及时的发到“两网”上,同全国校外同仁分享精彩活动。参加2010全国“优秀网络社区”评选活动,我中心获“优秀网络社区”的光荣称号。
三、工作考勤方面:
我热爱自己的工作,积极运用有效的工作时间做好自己分内的工作。在做好各项校外教育工作的同时,严格遵守中心的各项规章制度。不论是分到哪一项工作,我都配合同事尽自己的努力把工作做好。
我和同事之间,有三个共同:
1、共同感受:感受学习的过程;感受朋友间的情谊,感受生活的美好;
2、共同分享:分享学习的快乐,分享友情的快乐,分享成功的喜悦;
3、共同成长:不停的学习新的知识,更新观念,和时代同步和学生共同成长
这一年,我成长了,我收获了,存在的缺点
也是不少的,有以下几个方面,还需今后努力改正:一是理论知识的学习还是欠缺,还存在有懒惰思想;二是工作虽然很努力,可是个人能力还有待提高;今后,我一定在中心领导及全体同志们的帮助下,加强学习,提高工作能力,使自己的思想和工作都能更上一个台阶!
it试用期总结报告范文三:我于____年9月11日成为本公司技术部的一名.net程序员,三个月的试用期转眼就过去了。这段我人生中弥足珍贵的经历,给我留下了精彩而美好的回忆。在这段时间里您们给予了我足够的关怀、支持和帮助,让我充分感受到了领导们“海纳百川”的胸襟,在对您们肃然起敬的同时,也为我有机会成为影响力在线的一员而惊喜万分。
这段时间,在领导和同事们的关怀和指导下,我通过不懈努力,各方面均取得一定的进步,现将我的工作情况做如下汇报:
一、通过理论学习和日常工作积累经验我的各方面有了很大的进步。
刚到公司不久,我便开始负责.NET方面的网站开发和广告平台开发和维护,刚开始的时候对我来说确实压力很大,因为各方面都还不熟悉,而且与之前的公司相比,节奏也有点快,不过我慢慢的习惯了环境,和同事相处的比较融洽,领导对我也比较关心,在公司里工作就像是在一个幸福的大家庭里一样,我很快喜欢上了这里。
我到公司不久,第一个项目是___公司网站,做这个项目的时候我遇到了几个问题,我在以前公司做的时候没有在这么短的时候完成一个项目的,在效率上提高了我的能力。做这个项目的时候我也遇到了许多以前没有遇到过的问题,我请教同事和朋友,还有借助网络一一解决了难题。
之后,我将B2B广告招商平台进行了改版,开发了___智能建站广告平台以及以后网站的维护工作。
接下来,我又做了一个比较棘手的项目——___在线咨询系统。为什么说棘手呢,因为我以前没有做过这方面的项目,而且我问遍了所有认识的朋友,搜遍了网络也没有找到如何解决的方法,之后我翻书籍,接着搜索网络。功夫不负有心人,终于我找到一个聊天室的小例子,但是功能差的太远,于是我把这个示例一点点的研究,从一点也不懂到后来慢慢看懂,从对AJA_技术一无所知到基本熟练运用。接下来我就开始自己开发,到最后终于把它开发了出来,虽然不是很完美,功能不是很强大,但是它是我辛苦的劳动结晶,我相信以后会把它开发的更强大,更完美。
二、明确岗位职能,认识个人技术能力不足。
经过三个多月的工作,虽然完成了一些项目的开发,我的技能也提高了很多,但是感觉我的技术还有待提高,所以我会在以后的工作中更加努力,努力提高自己的技术和各种不足,努力使自己成为一名称职的职员。
三、提出自己努力计划
1、学无止镜,时代的发展瞬息万变,各种学科知识日新月异。
我将坚持不懈地努力学习各种技术知识,并用于指导实践。
2、“业精于勤而荒于嬉”,在以后的工作中不断学习知识,通过多看、多学、多练来不断的提高自己的各项技能。
3、不断锻炼自己的胆识和毅力,提高自己解决实际问题的能力,并在工作过程中慢慢克服急躁情绪,积极、热情、细致地的对待每一项工作。
4、努力提高自己的日常交际能力。
时光流转间,我已到公司工作三个多月。非常感谢公司领导对我的信任,给予我体现自我、提高自我的机会。这三个多月的试用期工作经历,使我的工作能力得到了由校园步入社会后最大幅度的提高。
在此,在对试用期的工作情况及心得体会做一汇报后,我想借此机会,正式向公司领导提出转正请求。希望公司领导能对我的工作态度、工作能力和表现,以正式员工的要求做一个全面考虑,能否转正,期盼回复。我会以炙热的工作热情继续投入到今后的工作当中,以自己踏实努力的工作,报公司知遇之恩!
it试用期总结报告的人还看了:
1.IT员工试用期工作总结
2.it转正工作总结范文3篇
3.技术员试用期工作总结范文6篇
4.试用期工作感悟及心得3篇
5.试用期工作心得精选3篇
it试用期总结报告范文一:通过面试,来到____公司工作,已经一个月过去了,我努力了解公司的文化、制度、相关本岗工作的各种信息,以便尽快的融入到公司大家庭。对我一个月来的工作总结如下:
一.对公司的认识
在工作初期,我从各渠道了解公司的发展情况;对公司的业务模式、组织架构、地域分布有了初步的了解;阅读了一些公司管理制度。对公司的发展前景充满信心,愿意更加坚实与公司共同成长。
二.工作了解
1.信息化工作无中期的战略目标
2.IT基础建设与运维方面
基础建设薄弱。设备相应的资产信息、应用权限、辅助安全、扩展应用......管理都较松散,缺乏整套切实可行的运维机制(当然这和公司之前无本岗位人才有关)。
3.网络方面
网络不足以支撑目前的公司应用规模,表现在:网络结构无规划、带宽不足、网络管理设备性能太低,这些因素导致公司网络不稳定,无法支撑IT应用服务。
4.OA系统推进方面
对于目前OA系统在测试准备阶段深切体会到一些问题:
(1).从整体看这套OA不符合目前公司的管理结构。即:我公司所选这款蝶OA系统金适合中小企业或者但组织架构企业,不适合我们目前的集团管理架构。在日后我们OA应用逐渐成熟和层次逐渐深化时就会暴漏出很多问题。如:与日后集团型其它系统数据对接、更深层次权限划定
(2).OA的模块选择不合理。对一般OA非常有用的模块没有购买,如:日程提醒、数字签名、移动应用。对我们目前现状没必要的模块又买了,如:邮件模块、办公用品管理。
(3).金蝶OA系统功能弱。开放自助修改地方的相对市场上主流OA较少;协同审批流程设定麻烦;新闻中心版面僵硬,不可修改;知识中心版面缺乏人性化;通讯录功能非常薄弱;即时通讯功能太可怜
(4).系统实施规划不够全面。系统实施零散,缺乏整体规划。如:系统基础设备架设不安全;数据备份不合理;系统基础数据有些缺少统一规则制定;乙方顾问更换平凡、对接人多。
三.工作推进
1.将两个无线路由安装使用起来。
2.OA上线准备工作完成。
截止2013年1月17日OA上线前的准备基本完成,包括上线前全员培训。接下来就是公司开始试用行,上线运行后再出现的问题继续协调处理。
3.机房整理,将小UPS装给财务利用;
不用之物清理出机房; 四.工作展开计划
通过对公司的了解,利用现有资源,以现在已明确的任务为首要(OA系统推行到全公司),结合公司信息化长远发展,逐步从基础架构开始完善信息化工作,计划工作如下开展:
1.首先将OA系统在集团总部推行起来。
2.下一步整改机房,使机房相对安全,整洁。
3.深入了解整个集团各公司的网络使用状况,对网络全面的规划改造,为日后公司更多的IT应用做准备。
4.建立升级和建立基础的信息共享沟通,即:升级邮箱、建立整个集团可应用的即时通讯系统、简单文件共享。
5.拟建初步的信息化管理办法。
6.OA系统在各个公司逐步推行使用起来。
it试用期总结报告范文二:it试用期总结作以来,我本着对职业负责、对学生负责、勤勤恳恳地工作着。现将一学年度的工作总结如下:
一、政治思想方面:
俗话说:“活到老,学到老”,本人一直在各方面严格要求
己,努力地提高自己,以便使自己更快地适应社会发展的形势。勇于剖析自己,正视自己,提高自身素质。认真学习新的教育理论,及时更新教育理念。积极参加中心培训,并做了大量的政治笔记与理论学习。我们必须具有先进的教育观念,才能适应教育的发展。所以我不但注重集体的政治理论学习,还注意从书本中汲取营养,认真学习仔细体会新形势下怎样做一名好教师。
二、在个人业务方面:
在这一年中,严格要求自己,遵守单位各项规章制度,与同事之间相处融洽;工作上,尽职尽责,不敢有丝毫懈怠,除了做好本职工作外,对中心的日常工作也有了一个全面的认识。网络管理员主要有三项主要工作内容:第一,计算机及其网络维护管理工作;第二,“中国校外教育网”及“陕西省校外教育网”的撰稿及编辑工作;第三,对中心工作人员进行网络培训工作。
在工作中,为把校外教育网络建设得更快更好,以跟上时展和学校各项工作的进度,对自己做出了以下具体要求:一要提高对校外教育网络工作重要性的认识;二要科学建设网络,充分利用好网络资源,发挥好网络的各项功能;三要强化管理,确保网络安全运行;四要落实责任制;五要加强网络工作人员队伍建设。
本年度我中心组织学员参加“网上祭扫先烈”活动;开展的“爱家乡,爱高陵”系列活动(泾渭分明健步行和庆“六一”家乡文化之旅活动);参加陕西省举办的青少年足球夏令营活动;制作新年祝福视频参与校外同仁联欢会。这些活动的精彩瞬间都被及时的发到“两网”上,同全国校外同仁分享精彩活动。参加2010全国“优秀网络社区”评选活动,我中心获“优秀网络社区”的光荣称号。
三、工作考勤方面:
我热爱自己的工作,积极运用有效的工作时间做好自己分内的工作。在做好各项校外教育工作的同时,严格遵守中心的各项规章制度。不论是分到哪一项工作,我都配合同事尽自己的努力把工作做好。
我和同事之间,有三个共同:
1、共同感受:感受学习的过程;感受朋友间的情谊,感受生活的美好;
2、共同分享:分享学习的快乐,分享友情的快乐,分享成功的喜悦;
3、共同成长:不停的学习新的知识,更新观念,和时代同步和学生共同成长
这一年,我成长了,我收获了,存在的缺点
也是不少的,有以下几个方面,还需今后努力改正:一是理论知识的学习还是欠缺,还存在有懒惰思想;二是工作虽然很努力,可是个人能力还有待提高;今后,我一定在中心领导及全体同志们的帮助下,加强学习,提高工作能力,使自己的思想和工作都能更上一个台阶!
it试用期总结报告范文三:我于____年9月11日成为本公司技术部的一名.net程序员,三个月的试用期转眼就过去了。这段我人生中弥足珍贵的经历,给我留下了精彩而美好的回忆。在这段时间里您们给予了我足够的关怀、支持和帮助,让我充分感受到了领导们“海纳百川”的胸襟,在对您们肃然起敬的同时,也为我有机会成为影响力在线的一员而惊喜万分。
这段时间,在领导和同事们的关怀和指导下,我通过不懈努力,各方面均取得一定的进步,现将我的工作情况做如下汇报:
一、通过理论学习和日常工作积累经验我的各方面有了很大的进步。
刚到公司不久,我便开始负责.NET方面的网站开发和广告平台开发和维护,刚开始的时候对我来说确实压力很大,因为各方面都还不熟悉,而且与之前的公司相比,节奏也有点快,不过我慢慢的习惯了环境,和同事相处的比较融洽,领导对我也比较关心,在公司里工作就像是在一个幸福的大家庭里一样,我很快喜欢上了这里。
我到公司不久,第一个项目是___公司网站,做这个项目的时候我遇到了几个问题,我在以前公司做的时候没有在这么短的时候完成一个项目的,在效率上提高了我的能力。做这个项目的时候我也遇到了许多以前没有遇到过的问题,我请教同事和朋友,还有借助网络一一解决了难题。
之后,我将B2B广告招商平台进行了改版,开发了___智能建站广告平台以及以后网站的维护工作。
接下来,我又做了一个比较棘手的项目——___在线咨询系统。为什么说棘手呢,因为我以前没有做过这方面的项目,而且我问遍了所有认识的朋友,搜遍了网络也没有找到如何解决的方法,之后我翻书籍,接着搜索网络。功夫不负有心人,终于我找到一个聊天室的小例子,但是功能差的太远,于是我把这个示例一点点的研究,从一点也不懂到后来慢慢看懂,从对AJA_技术一无所知到基本熟练运用。接下来我就开始自己开发,到最后终于把它开发了出来,虽然不是很完美,功能不是很强大,但是它是我辛苦的劳动结晶,我相信以后会把它开发的更强大,更完美。
二、明确岗位职能,认识个人技术能力不足。
经过三个多月的工作,虽然完成了一些项目的开发,我的技能也提高了很多,但是感觉我的技术还有待提高,所以我会在以后的工作中更加努力,努力提高自己的技术和各种不足,努力使自己成为一名称职的职员。
三、提出自己努力计划
1、学无止镜,时代的发展瞬息万变,各种学科知识日新月异。
我将坚持不懈地努力学习各种技术知识,并用于指导实践。
2、“业精于勤而荒于嬉”,在以后的工作中不断学习知识,通过多看、多学、多练来不断的提高自己的各项技能。
3、不断锻炼自己的胆识和毅力,提高自己解决实际问题的能力,并在工作过程中慢慢克服急躁情绪,积极、热情、细致地的对待每一项工作。
4、努力提高自己的日常交际能力。
时光流转间,我已到公司工作三个多月。非常感谢公司领导对我的信任,给予我体现自我、提高自我的机会。这三个多月的试用期工作经历,使我的工作能力得到了由校园步入社会后最大幅度的提高。
在此,在对试用期的工作情况及心得体会做一汇报后,我想借此机会,正式向公司领导提出转正请求。希望公司领导能对我的工作态度、工作能力和表现,以正式员工的要求做一个全面考虑,能否转正,期盼回复。我会以炙热的工作热情继续投入到今后的工作当中,以自己踏实努力的工作,报公司知遇之恩!
it试用期总结报告的人还看了:
1.IT员工试用期工作总结
2.it转正工作总结范文3篇
3.技术员试用期工作总结范文6篇
4.试用期工作感悟及心得3篇
5.试用期工作心得精选3篇
【摘要】高职院校技能大赛是检验职业教育改革与建设成果的一种形式,是促进校企合作的桥梁,技能竞赛充分发挥了高职生动手能力强的特点,调动了高职生学习的积极性,以兴趣带动学习,本文论述了技能比赛在高职院校人才培养中的重要性并以实例论证。
http://
关键词 技能比赛;高职;人才培养
教育部【16号文】指出:高职学校就是要培养生产、建设、服务、管理第一线的高素质技能型专门人才,这是高职院校的立校之本。但是许多学校尚未建立起与之相适应的教学体系,专业的人才培养模式也没有进行相应的调整,从而教学评价体系、课程设置、教学形式与方法,考核形式等等也存在种种问题。这些情况赧然告诉我们:目前的高职教育仍然未能摆脱传统教育形式留下的后遗症——高职教育存在的两大弊端:一是重知识轻能力,而是重教轻学。
这两大弊端像两块顽固的巨石,阻碍着目前发展并不成熟的高职院校的发展,不利于调动学生的学习主动性和积极性,不利于培养学生的开拓创新精神,也不利于实现人才培养与社会中行业企业的对接。此外,多数一线教师日常工作繁忙,在完成教学任务的同时,不仅要应付形形色色的教学材料检查、评比,还要进行学生管理工作,加上个人理论水平与实践水平的限制,使教师满足于完成教学工作量,无暇顾及业务钻研,形成教学团队建设后劲不足的怪圈。只是进行常规教学检查与考核很难从根本上解决上述问题。而通过举办技能比赛,进行参与更高层次比赛的人才选拔,树立精品意识,可在一定程度上改善上述状况。
我们的教学应该做到“能力培养为本,技能训练优先”,融“教、学、做、研、赛”为一体,通过定期举办学生校内技能大赛,学科小组比赛等活动,掀起学生练技能、比技能的高潮,逐步形成“以赛促教、以赛促学、以赛促练、以赛促改”的教学特色。
一、银行IT外包服务概述
随着我国银行改制的深化和发展,银行间的竞争日益加剧,银行的信息基础设施和业务系统不断进行升级和发展,银行内部信息技术部门对这些系统管理也越来越困难。而银行IT外包服务的出现能够很好地解决上述问题。银行IT外包服务是指银行以合同的方式委托IT服务商来为其提供信息系统或信息技术服务的一种实践或管理策略,它也引申为雇佣外部组织或个人来发展企业内部的信息系统的行为,使银行能够以更富有效率、低成本、低风险的方式完成某项信息技术任务。常见的银行IT外包涉及银行通信网络管理、银行信息系统运作和管理、应用系统开发和维护、备份和灾难恢复等。IT外包在构建银行核心竞争力、节约项目成本费用、加速信息化建设的进程中发挥着不容忽视的作用。
二、银行IT系统外包服务的特点
银行系统IT外包运行操作服务具有如下特点:
1.专业性与复杂性,银行信息技术融合了目前世界上各种先进的信息理论和技术,信息设备包含多家厂商的高、中、低端产品,IT系统结构设计、技术运用和生产配置均采用IT技术领域先进模式。
2.影响范围,银行IT外包服务范围涉及银行总行及各级分支机构,影响多种重要业务与应用系统的生产运行。
3.实时性,银行信息系统所承载的许多银行业务与应用系统直接面对客户,提供实时服务与交易功能,因此必须保证系统的连续稳定运行。
4.服务不间断性,根据银行业务的特点和需求,必须全年365天每天24小时不间断对项目进行实时运行操作服务。
5.流程管理,银行IT外包服务要严格按照相应的日常操作手册、日常监控流程、故障处理流程、系统变更流程等工作流程与规范进行。
6.报告机制,在运行操作服务中要有完善的报告机制,对银行IT系统日常运行状况、投诉与响应、故障处理与分析、系统变更与备份、数据分析与统计、综合评价等相关信息与数据均要按照合理的流程与科学的形式进行报告。
7、安全与保密性,银行IT系统支撑了从内部的办公自动化系统到核心的交易系统,这些系统是银行的命脉,对其数据的安全是非常高的。除此外,涉及到这些系统的相关文档、资料都属于非常机密的内容,需要分级使用。
三、银行IT外包服务的成功保障因素
根据IT服务的理论,结合IT服务的经验,从以下四个方面为IT外包服务提供保障:
1.从技术上提供保障
在ITIL(IT infrastructure library) 有关IT服务的最佳实践理论中,技术是IT 服务的三大要素之一。没有强有力的技术支持,就无法进行运行维护的正常开展。技术的支持能力包括对技术本身的支持服务能力和服务的技术能力两个层面。前者是对各种IT技术的掌握程度,后者是能多大程度上把IT服务理论贯彻到实践中去,产生符合用户实际情况的最佳运行和维护操作。
2.从管理层次上提供保障
未实施银行IT外包服务之前,系统运行维护的风险主要是技术上的风险,管理上的风险较小。实施IT 服务外包后,由于维护人员不是银行内部职员,从本质上讲是将技术服务的风险直接转化成服务管理上的风险。因此,在IT服务商和客户之间建立有效的管理界面,是IT外包服务之核心所在。
3.从技术过渡上提供保障
成功的银行IT外包服务需要对系统的全面掌握和对服务管理流程的明确制定。对服务提供商来说,这些要求的实现均需要一定的时间。(1)接手外包服务的过渡磨合期,服务提供商在接手任何一项外包服务前,需要首先深入项目各个环节,详细调研和理解现有项目的服务内涵,包括服务的内容和指标、人员、流程和系统架构,为后期与用户一起制定服务的接收、整合和管理提供基础。(2)循序渐进的管理过渡,围绕保障服务持续性的要求,服务提供商需要对服务管理过程中出现的新情况、新问题、和新的建议及时做出相应的调整,优化整个服务项目的流程、管理、人员等内容。
4.从对外包项目的可控性上提供保障
银行对外包项目的控制力度是通过管理流程来实现的。管理流程明确规定双方的责任点、工作汇报机制等。服务商必需做到两个方面:服务的透明性和伴随知识(知识库)为用户所有。服务透明是指服务商不能为外包服务项目设置壁垒,银行通过工作汇报、文档记录、服务流程很容易的掌握服务项目。伴随知识是在服务的过程中形成的各种知识库。知识库是非常重要的技术资源,服务商在服务过程中建立的知识库产权应该归银行而不是服务商。这样将降低银行更换服务商的风险。
银行的IT系统对安全性要求非常高,一旦将某个系统包给服务商,需要特别重视保证银行的数据安全。可通过三种途径来达到这个目的:(1)通过法律手段签署用户、公司和个人三方保密协议,运用法律手段约束服务商对用户数据进行保密,在保密协议中需要明确规定对于因泄密而造成损失的赔偿方式;(2)通过管理手段:需要通过管理手段实现对用户数据进行保护;(3)通过技术手段:结合业界的先进技术工具,做到对关键配置更改的审计和跟踪。
四、结论
目前,银行IT外包服务的内容和规模越来越大。由于我国IT外包服务发展较晚,银行IT外包市场还未发展成熟,因而银行IT外包服务还存在许多问题和困难。如何正确全面地考察分析有关的复杂因素,做出正确的IT 外包决策,提高银行IT服务的水平,降低IT运行维护的成本,达到提高银行核心竞争力的战略目标,是需要我国银行界和IT界共同深入研究的重要课题。
参考文献:
[1]张旭:金融服务外包发展浅析.WTO经济导刊,2006年10月
一、银行it外包服务概述
随着我国银行改制的深化和发展,银行间的竞争日益加剧,银行的信息基础设施和业务系统不断进行升级和发展,银行内部信息技术部门对这些系统管理也越来越困难。而银行it外包服务的出现能够很好地解决上述问题。银行it外包服务是指银行以合同的方式委托it服务商来为其提供信息系统或信息技术服务的一种实践或管理策略,它也引申为雇佣外部组织或个人来发展企业内部的信息系统的行为,使银行能够以更富有效率、低成本、低风险的方式完成某项信息技术任务。常见的银行it外包涉及银行通信网络管理、银行信息系统运作和管理、应用系统开发和维护、备份和灾难恢复等。it外包在构建银行核心竞争力、节约项目成本费用、加速信息化建设的进程中发挥着不容忽视的作用。
二、银行it系统外包服务的特点
银行系统it外包运行操作服务具有如下特点:
1.专业性与复杂性,银行信息技术融合了目前世界上各种先进的信息理论和技术,信息设备包含多家厂商的高、中、低端产品,it系统结构设计、技术运用和生产配置均采用it技术领域先进模式。
2.影响范围,银行it外包服务范围涉及银行总行及各级分支机构,影响多种重要业务与应用系统的生产运行。
3.实时性,银行信息系统所承载的许多银行业务与应用系统直接面对客户,提供实时服务与交易功能,因此必须保证系统的连续稳定运行。
4.服务不间断性,根据银行业务的特点和需求,必须全年365天每天24小时不间断对项目进行实时运行操作服务。
5.流程管理,银行it外包服务要严格按照相应的日常操作手册、日常监控流程、故障处理流程、系统变更流程等工作流程与规范进行。
6.报告机制,在运行操作服务中要有完善的报告机制,对银行it系统日常运行状况、投诉与响应、故障处理与分析、系统变更与备份、数据分析与统计、综合评价等相关信息与数据均要按照合理的流程与科学的形式进行报告。
7、安全与保密性,银行it系统支撑了从内部的办公自动化系统到核心的交易系统,这些系统是银行的命脉,对其数据的安全是非常高的。除此外,涉及到这些系统的相关文档、资料都属于非常机密的内容,需要分级使用。
三、银行it外包服务的成功保障因素
根据it服务的理论,结合it服务的经验,从以下四个方面为it外包服务提供保障:
1.从技术上提供保障
在itil(it infrastructure library) 有关it服务的最佳实践理论中,技术是it 服务的三大要素之一。没有强有力的技术支持,就无法进行运行维护的正常开展。技术的支持能力包括对技术本身的支持服务能力和服务的技术能力两个层面。前者是对各种it技术的掌握程度,后者是能多大程度上把it服务理论贯彻到实践中去,产生符合用户实际情况的最佳运行和维护操作。
2.从管理层次上提供保障
未实施银行it外包服务之前,系统运行维护的风险主要是技术上的风险,管理上的风险较小。实施it 服务外包后,由于维护人员不是银行内部职员,从本质上讲是将技术服务的风险直接转化成服务管理上的风险。因此,在it服务商和客户之间建立有效的管理界面,是it外包服务之核心所在。
3.从技术过渡上提供保障
成功的银行it外包服务需要对系统的全面掌握和对服务管理流程的明确制定。对服务提供商来说,这些要求的实现均需要一定的时间。(1)接手外包服务的过渡磨合期,服务提供商在接手任何一项外包服务前,需要首先深入项目各个环节,详细调研和理解现有项目的服务内涵,包括服务的内容和指标、人员、流程和系统架构,为后期与用户一起制定服务的接收、整合和管理提供基础。(2)循序渐进的管理过渡,围绕保障服务持续性的要求,服务提供商需要对服务管理过程中出现的新情况、新问题、和新的建议及时做出相应的调整,优化整个服务项目的流程、管理、人员等内容。
4.从对外包项目的可控性上提供保障
银行对外包项目的控制力度是通过管理流程来实现的。管理流程明确规定双方的责任点、工作汇报机制等。服务商必需做到两个方面:服务的透明性和伴随知识(知识库)为用户所有。服务透明是指服务商不能为外包服务项目设置壁垒,银行通过工作汇报、文档记录、服务流程很容易的掌握服务项目。伴随知识是在服务的过程中形成的各种知识库。知识库是非常重要的技术资源,服务商在服务过程中建立的知识库产权应该归银行而不是服务商。这样将降低银行更换服务商的风险。
银行的it系统对安全性要求非常高,一旦将某个系统包给服务商,需要特别重视保证银行的数据安全。可通过三种途径来达到这个目的:(1)通过法律手段签署用户、公司和个人三方保密协议,运用法律手段约束服务商对用户数据进行保密,在保密协议中需要明确规定对于因泄密而造成损失的赔偿方式;(2)通过管理手段:需要通过管理手段实现对用户数据进行保护;(3)通过技术手段:结合业界的先进技术工具,做到对关键配置更改的审计和跟踪。
四、结论
目前,银行it外包服务的内容和规模越来越大。由于我国it外包服务发展较晚,银行it外包市场还未发展成熟,因而银行it外包服务还存在许多问题和困难。如何正确全面地考察分析有关的复杂因素,做出正确的it 外包决策,提高银行it服务的水平,降低it运行维护的成本,达到提高银行核心竞争力的战略目标,是需要我国银行界和it界共同深入研究的重要课题。
参考文献:
[1]张旭:金融服务外包发展浅析.wto经济导刊,2006年10月
一、银行IT外包服务概述
随着我国银行改制的深化和发展,银行间的竞争日益加剧,银行的信息基础设施和业务系统不断进行升级和发展,银行内部信息技术部门对这些系统管理也越来越困难。而银行IT外包服务的出现能够很好地解决上述问题。银行IT外包服务是指银行以合同的方式委托IT服务商来为其提供信息系统或信息技术服务的一种实践或管理策略,它也引申为雇佣外部组织或个人来发展企业内部的信息系统的行为,使银行能够以更富有效率、低成本、低风险的方式完成某项信息技术任务。常见的银行IT外包涉及银行通信网络管理、银行信息系统运作和管理、应用系统开发和维护、备份和灾难恢复等。IT外包在构建银行核心竞争力、节约项目成本费用、加速信息化建设的进程中发挥着不容忽视的作用。
二、银行IT系统外包服务的特点
银行系统IT外包运行操作服务具有如下特点:
1.专业性与复杂性,银行信息技术融合了目前世界上各种先进的信息理论和技术,信息设备包含多家厂商的高、中、低端产品,IT系统结构设计、技术运用和生产配置均采用IT技术领域先进模式。
2.影响范围,银行IT外包服务范围涉及银行总行及各级分支机构,影响多种重要业务与应用系统的生产运行。
3.实时性,银行信息系统所承载的许多银行业务与应用系统直接面对客户,提供实时服务与交易功能,因此必须保证系统的连续稳定运行。
4.服务不间断性,根据银行业务的特点和需求,必须全年365天每天24小时不间断对项目进行实时运行操作服务。
5.流程管理,银行IT外包服务要严格按照相应的日常操作手册、日常监控流程、故障处理流程、系统变更流程等工作流程与规范进行。
6.报告机制,在运行操作服务中要有完善的报告机制,对银行IT系统日常运行状况、投诉与响应、故障处理与分析、系统变更与备份、数据分析与统计、综合评价等相关信息与数据均要按照合理的流程与科学的形式进行报告。
7、安全与保密性,银行IT系统支撑了从内部的办公自动化系统到核心的交易系统,这些系统是银行的命脉,对其数据的安全是非常高的。除此外,涉及到这些系统的相关文档、资料都属于非常机密的内容,需要分级使用。
三、银行IT外包服务的成功保障因素
根据IT服务的理论,结合IT服务的经验,从以下四个方面为IT外包服务提供保障:
1.从技术上提供保障
在ITIL(ITinfrastructurelibrary)有关IT服务的最佳实践理论中,技术是IT服务的三大要素之一。没有强有力的技术支持,就无法进行运行维护的正常开展。技术的支持能力包括对技术本身的支持服务能力和服务的技术能力两个层面。前者是对各种IT技术的掌握程度,后者是能多大程度上把IT服务理论贯彻到实践中去,产生符合用户实际情况的最佳运行和维护操作。2.从管理层次上提供保障
未实施银行IT外包服务之前,系统运行维护的风险主要是技术上的风险,管理上的风险较小。实施IT服务外包后,由于维护人员不是银行内部职员,从本质上讲是将技术服务的风险直接转化成服务管理上的风险。因此,在IT服务商和客户之间建立有效的管理界面,是IT外包服务之核心所在。
3.从技术过渡上提供保障
成功的银行IT外包服务需要对系统的全面掌握和对服务管理流程的明确制定。对服务提供商来说,这些要求的实现均需要一定的时间。(1)接手外包服务的过渡磨合期,服务提供商在接手任何一项外包服务前,需要首先深入项目各个环节,详细调研和理解现有项目的服务内涵,包括服务的内容和指标、人员、流程和系统架构,为后期与用户一起制定服务的接收、整合和管理提供基础。(2)循序渐进的管理过渡,围绕保障服务持续性的要求,服务提供商需要对服务管理过程中出现的新情况、新问题、和新的建议及时做出相应的调整,优化整个服务项目的流程、管理、人员等内容。
4.从对外包项目的可控性上提供保障
银行对外包项目的控制力度是通过管理流程来实现的。管理流程明确规定双方的责任点、工作汇报机制等。服务商必需做到两个方面:服务的透明性和伴随知识(知识库)为用户所有。服务透明是指服务商不能为外包服务项目设置壁垒,银行通过工作汇报、文档记录、服务流程很容易的掌握服务项目。伴随知识是在服务的过程中形成的各种知识库。知识库是非常重要的技术资源,服务商在服务过程中建立的知识库产权应该归银行而不是服务商。这样将降低银行更换服务商的风险。
银行的IT系统对安全性要求非常高,一旦将某个系统包给服务商,需要特别重视保证银行的数据安全。可通过三种途径来达到这个目的:(1)通过法律手段签署用户、公司和个人三方保密协议,运用法律手段约束服务商对用户数据进行保密,在保密协议中需要明确规定对于因泄密而造成损失的赔偿方式;(2)通过管理手段:需要通过管理手段实现对用户数据进行保护;(3)通过技术手段:结合业界的先进技术工具,做到对关键配置更改的审计和跟踪。
四、结论
目前,银行IT外包服务的内容和规模越来越大。由于我国IT外包服务发展较晚,银行IT外包市场还未发展成熟,因而银行IT外包服务还存在许多问题和困难。如何正确全面地考察分析有关的复杂因素,做出正确的IT外包决策,提高银行IT服务的水平,降低IT运行维护的成本,达到提高银行核心竞争力的战略目标,是需要我国银行界和IT界共同深入研究的重要课题。
参考文献:
[1]张旭:金融服务外包发展浅析.WTO经济导刊,2006年10月
2008年6月,堪称我国SOX法案的《企业内部控制基本规范》正式出台;2010年,《企业内部控制配套指引》全面推出,我国企业内部控制规范体系正式形成,对内部控制的重视达到了前所未有的高度。而探讨企业内部控制就必须注意到,随着IT应用的逐步深入,企业的日常运营越来越依赖于IT系统的支撑。IT的发展在给企业带来收益的同时,也给企业带来了越来越大的风险。没有正确的IT治理机制,就无法确保IT决策的正确性,无法控制信息化进程给企业带来的各种风险。而我国企业目前仍处于IT内控与风险管理的萌芽期,在基于IT治理的IT内部控制制度建设方面较为薄弱,文章主要针对此问题提出一些对策。
一、IT治理与IT内部控制的相关概念
(一)IT治理
关于IT治理的概念,不同学者有着不同的定义,以下为有代表性的几种:
ISACA(信息系统审计和控制协会)定义IT治理是一个由关系和过程所构成的体制,用于指导和控制企业,通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。价值、风险与控制是IT治理的核心 ;
全球IT治理协会(ITGI)认为IT治理主要是董事会和执行层的责任,是企业治理的重要组成部分,通过领导、组织和过程来保证IT实现和推动企业战略目标的发展;
Robert S . Roussey (美国南加州大学教授)认为:IT治理用于描述被委托治理实体的人员在监督、检查、控制和指导实体的过程中如何看待信息技术。IT的应用对于企业能否实现愿景、使命、战略目标至关重要 ;
Peter Weill 认为IT治理是在IT应用过程中,为鼓励期望行为而明确的IT决策权和责任框架 ;
Gartner集团(著名IT分析公司)认为,IT治理是一种新的商业范式。这种新范式的形成是由战略竞争力、全球化、业务流程共享网络和实时性的企业新需求所驱动的;
德勤咨询公司认为IT治理是一个含义广泛的术语,包括信息系统、技术、通讯、商业、所有利益相关者、合法性和其他问题;
国内学者胡克瑾(同济大学博士生导师)认为:IT治理是一个关系和过程的结构,用来指导和控制企业,通过平衡在IT及其过程中的风险和回报来增加企业价值从而达到企业的目标。
(二)IT治理的相关标准
目前在IT治理领域公认的国际标准主要有以下几种:
1.COBIT(信息及相关技术的控制目标)模型。它是ISACA制定的面向过程的信息系统审计和评价的标准,是基于IT治理概念的、面向IT建设过程的IT治理实现指南和审计标准。其侧重点在于IT过程控制和IT度量评价,从战略、战术、运营层面给出了对IT的评测、量度和审计方法,它的应用较为广泛,其目标对象是信息系统审计人员,企业高级IT管理人员。
2.ITIL(IT基础架构库)。ITIL是一套IT管理指南,列出了各个服务管理流程“最佳”的目标、活动、输入和输出以及各个流程之间的关系,主要关注IT的战术和运营层面,对IT服务的提供和支持定义了更为详细和更易理解的过程集。
3.ISO/IEC 17799/27001,是有关信息安全管理的国际标准。该标准可用于组织的信息安全管理体系的建立和实施,保障组织的信息安全,侧重于强调信息安全管理体系的有效性、经济性、全面性、普遍性和开放性,涵盖内容非常广泛。
4.COSO委员会《企业风险管理――整合框架》和SOX法案(《2002年萨班斯-奥克斯利法案》)。前者是美国COSO委员会提出的内部控制理论框架和操作框架,关注企业风险管理。从IT角度看,该框架关于IT对内部控制影响的规范主要体现在“控制活动”和“信息与沟通”要素中。后者对企业的公司治理、IT治理和IT控制提出了更严格的要求。
此外还有PRINCE2(受控环境下的项目)、CMM1(能力成熟度集成模型)和PMPOK等。PRINCE2重点强调项目的可控性,明确项目管理中人员、角色的具体职责,同时实现项目管理质量的不断改进。CMM1是一种用于评价软件组织能力并帮助改善软件质量的方法,已经成为评价软件组织开发过程的标准,成为软件组织过程改进的参考依据。PMPOK主要适用于所有类型的工程项目管理。这些模型从不同的角度对IT治理进行了规范。
(三)IT内部控制
当前对IT控制并没有较为权威和统一的定义,处于不同角度(例如外部审计人员和企业管理人员)对IT控制有着不同的理解,对其应当包含的内容和控制目标等的认识也不尽相同。总体来说,早期的IT控制概念来源于审计领域的EDP(电子数据处理系统)控制,主要指的是EDP环境下的会计控制,包括一般控制和应用控制两个类别。其目标主要是为保证计算机系统处理的数据质量。这种控制包含两个层面:一是对信息系统处理数据的控制;二是在信息系统中设计某些内部控制措施。随着IT在企业中的应用越来越普及,IT控制的概念也逐渐变得更为宽泛,包括了IT在企业中多种形式的应用,IT控制包含的范围已超过了EDP控制对会计信息质量目标的单纯追求,是由期望达到的(IT控制目标)和达到这些目标的方法(控制程序)构成,有效的IT控制设计与实施指明了一个组织将IT条件下的风险降至可接受水平的途径(孟秀转,2007),IT控制实质上是企业运作过程中涉及IT这部分资产的购入、使用及维护等不同阶段的相关内部控制过程(余瑾,2006)。
从上述概念中可以看出,对IT治理不管用何种界定,其内容都包括通过有关责任与权利的划分对企业战略起到支持作用,从而确保企业价值最大化的目标。IT控制则是在现有的IT治理环境下企业所采取的一列政策、程序和措施的总称 。IT治理相对IT控制来讲,处于基础地位,是IT控制发挥作用的先决条件,而IT治理目标的实现又需要IT控制发挥作用。
二、IT内部控制主要内容及存在的主要问题
从内容上来划分,IT控制分为一般控制和应用控制,贯穿于整个信息化生命周期内,涉及信息化各个领域。
(一)IT内部控制的主要内容
我国《企业内部控制基本规范》对信息系统的控制重点体现在组织控制、系统开发控制、系统操作控制、系统运维控制和会计系统控制等几方面。
1.组织控制。就IT角度而言,组织控制主要是指职责分离。职责分离包含两个方面,一是业务部门与IT部门关于IT职责的分工,二是IT部门内部职责的分工。业务部门与IT部门的职责分工较为规范,但IT部门内部职责分工则在实际工作中普遍存在一个人同时有好几个不同权限的问题,在人手不足的情况下,每个人要参与多项工作,相应的权限也就较多。
2.系统开发、变更与运维控制。包括职责分离,确保系统的合规合法性和可行性,开发过程的人员控制、系统设计控制、系统的日常维护和系统功能的改进与扩充等。
3.操作控制。信息系统操作控制的主要内容包括操作权限控制和操作规程控制两个方面。
4.硬件管理控制。计算机系统对工作环境的要求比较高,对系统的自然环境、作业环境都应有严格的控制措施,主要应包括计算机系统硬件管理制度。
5.会计信息化及其控制。主要指企业实现会计信息化后给企业内部控制带来的新的风险。包括数据存储介质变换带来的风险、操作人员权限控制不当带来的错误和舞弊的风险、对软件质量过于依赖带来的风险等。
(二)IT内部控制中存在的主要风险
首先,我国企业和西方企业所处的政治经济环境不同,人文背景不同,在信息化建设上仍然属于“人治时代”,信息化的随意性较大。有些企业虽然已经制定了信息化的相关制度,但整体而言仍然缺少对信息化进行整体规划、实施与控制的决策机制和责任担当框架。信息化成功与否往往在很大程度上取决于企业高层和董事会对信息化的理解和影响,一旦管理者的个人影响力发生变化,IT规划建设就会失控,从而导致组织的信息化风险,这是IT治理风险的宏观体现。
其次,在具体实践中,企业信息化水平越来越高,其业务与财务报告流程对IT的依赖程度也随之越来越高。一方面财务报告的内部控制几乎离不开IT控制,另一方面即使业务层面的管理控制也是IT支撑环境下的控制。但信息技术是一把双刃剑,随着不安全因素的增多,信息安全的潜在风险也越来越大。从技术层面讲,系统缺陷、人为误操作、系统攻击等不可预料的各种IT风险逐渐增多;从信息安全架构层面讲,没有一个系统化、程序化和文件化的管理体系,就不可能有效防范信息安全风险。企业在建立安全有效的IT控制方面正面临着巨大的挑战,需要重视起来。
三、基于IT治理加强IT内部控制的相关对策
IT系统已经不仅仅是企业日常运营的重要支撑,它同时还是对企业活动进行控制的重要手段。以具体运营流程为基础展开的IT控制,直接关系到日常运营活动的实施效果。事实上,有效的IT控制设计与实施指明了一个组织将信息技术条件下的风险降至可接受水平的途径①。因而,在企业IT治理机制下加强IT内部控制应当是突破口。
(一)从理论层面看,要构建企业IT内部控制体系
科学合理的IT控制体系应当具有前瞻性的、全局性的控制机制,能融合防范与应对信息安全、IT治理、IT管理、IT服务、IT应用、IT项目、IT基础设施、业务连续性、IT外包方面的风险,并能有效地指导组织控制IT风险,使IT战略与企业战略相匹配,促进IT为组织持续地创造价值,以实现有效益的信息化。应当在充分考虑我国信息化建设的实际情况下,确定信息系统控制目标,将信息系统项目运作的全部过程置于有效的管理与控制之下,建立适用的、协同的IT治理标准模式,制定相关管理指南,提供集成的IT管理,指导我们建立起相应的机制,对处理过程进行有效监控,保证有关企业信息处理过程的高效、有序。
(二)从企业信息化建设角度看,应当由整个企业来进行IT内部控制组织体系的构建
企业应当组建科学合理的多层次内部控制组织机构,在《企业内部控制规范》和《企业内部控制配套指引》的规定下,参照上述第一点理论建设的国内外研究成果,选取适合自身特点的控制流程,建立自己的IT内部控制框架并组织实施。
(三)从用户实践层面看,针对本文第二部分所提到的几大内容进行具体控制
信息工具的变革带来了内部控制手段的创新,严格的职责分离可以有效地避免错误和舞弊行为的发生,如IT部门与业务部门之间、IT部门内部之间、系统开发部门内部等都应有明确的岗位责任。系统开发环节应当注重成本与效益原则,判断是否具有可行性;加强开发过程的人员控制、系统设计控制和文档控制等。在操作控制方面主要集中在操作权限控制和操作规程控制上两方面。每个岗位的人员只能按照所授予权限进行作业,不得越权接触系统。权限控制不仅仅通过规章制度来执行,更重要的是要由系统制定全县标准体系,使之不被越权操作,例如用户身份鉴定、口令设置、密码保护、电子签章等。应用控制方面主要重视输入控制、处理过程控制、输出控制等。
建立合理的IT治理架构是实现有效IT控制的基础,IT治理为IT控制提供了制度环境;而IT控制的有效性又直接反映了IT治理的成效。企业只有在建立了完整的IT规范、有了明确的方向基础上,IT控制才能达到高层管理者的要求。反之,没有企业IT控制体系的畅通,单纯的IT治理模式也只能是一个美好的蓝图,而缺乏实际的内容。
内部控制体系建设是一个长期的过程,其中IT内部控制更是由于对硬件环境、软件环境、工作人员素质等方面有较高要求而面临很多困难,还需要董事会、高管层和企业全体员工共同努力,才能真正落实和贯彻。
【主要参考文献】
[1] ITGI. Control Objective for Information and Related Technology (COBIT) 3rd Edition [Z]. America, 2000.
[2] ROBERT SROUSSEY. Challenges Facing the Profession Information Technology[J]. Enterprise Innovation& Risk, 2003(5): 26-27.
[3] PETER WEILL, JEANNE W ROSS. IT Governance on One Page. CISR Working Paper, ssrn. com, 2004.
中图分类号:G642文献标识码:B
文章编号:1672-5913(2007)05-0023-04
对于IT院校常出现的问题是教育与实践脱节,常常是培养出的学生到IT企业后不能适应公司的工作环境,所学的知识与应用存在距离,公司还要对他们进行特殊培训。在IT院校开设项目实训课,模拟公司的工作环境,把学生组织成项目小组,按照公司的项目开发流程指导学生对真实项目的开发,能够很好地解决这个问题。为此,本文提供了一个项目实训课的实现案例。学生通过项目实训课的学习锻炼,使其达到具有一定IT领域项目开发经验,体验、了解公司的工作环境,熟悉公司的项目开发及项目管理流程,成为上手快、实战能力强、技术过硬、基本功较扎实、具有较强的团队精神和创业能力、用人单位抢手的人才。如果条件允许项目实训课程可采用双语教学,指导教师可尽量用英语指导学生。
1 项目团队组成
教师指导学生以一个虚拟公司为背景,组织成多个项目小组,每个学生在项目小组中承担一个或若干开发角色。进入项目小组后不得无故退出。项目小组有以下角色:
项目经理:负责本小组的人员协调和安排,制定项目开发计划,按照开发计划控制进度,在负责整体的同时,开发好属于自己的模块。
产品经理:主要使命是提高客户的满意度,在项目开发过程中代表为项目付款的系统拥有者的利益。
用户体验角色:代替实际用户使用产品,排除用户在使用产品过程中遇到的问题和障碍。
文档人员:协助项目经理、系统分析员完成要提交的文档,并敦促小组成员提交他们所负责的模块相应的文档,并整理后按照存储路径和格式及项目开发计划任务书中的时间段提交给导师。
系统分析员:负责本小组项目开发技术支持(软件配置管理、培训等),协助项目经理带领小组成员完成需求分析、概要设计、详细设计、编码、测试等一系列工作。
开发人员:按照项目经理和系统分析员以及项目开发计划任务书的要求,完成相应的工作任务,提交自己所负责的模块或者子系统的文档给文档负责人。
测试人员:负责系统测试。
2 实施流程
实施流程如图1所示。
图1 实施流程
3 项目管理
为了使同学们更好地熟悉掌握软件项目开发流程及项目管理规范,项目管理通过适当精简,主要包括以下活动:
(1)项目进度跟踪与监控
①项目周报制度:项目团队每周总结项目进度情况,撰写《项目周报》。
②周例会制度:导师每周召开项目例会,探讨问题,总结工作。
③项目计划跟踪:老师指导下各项目小组由项目经理根据项目开发计划对实际项目进展情况进行跟踪,作好项目跟踪记录。
④控制偏差:老师指导下项目经理根据项目的需求及设计文档对项目的功能实现进行监控,如果出现偏差应及时更正。确保项目的各功能与需求文档所要求的一致。
⑤指导教师应该给学生作适当的项目管理方面的培训,让学生了解软件工程及项目管理方面的知识。
(2)项目各阶段评审
①项目开发计划评审:由指导教师主持,由该虚拟公司的所有项目小组参加,对各项目小组制定的开发计划进行评审,学生可以提出自己的观点,进行辩论。老师进行讲评总结,然后各小组对项目开发计划进行修改、提交,作为考核项目小组工作的文档。
②项目需求分析报告评审:由指导教师主持,由该虚拟公司的所有项目小组参加,对各项目小组作的需求分析报告进行评审,学生可以提出自己的观点,进行辩论。老师进行讲评总结,各小组对需求分析报告进行修改、提交,作为考核项目小组工作的文档。
③项目设计报告评审:由指导教师主持,由该虚拟公司的所有项目小组参加,对各项目小组作的设计报告进行评审,学生可以提出自己的观点,进行辩论。老师进行讲评总结,各小组设计报告进行修改、提交,作为考核项目小组工作的文档。
④项目实施与测试指导评审:由指导教师主持,由该虚拟公司的所有项目小组参加,对各项目小组演示所做项目的功能,讲解项目实现原理,对认为好的算法或使用先进技术解决问题,应进行说明。其他学生对系统进行评审,学生可以提出自己的观点,进行辩论。老师进行讲评总结,各小组对项目系统作进一步进行修改,然后提交,作为考核项目小组工作的文档。
⑤项目总结与评审:由指导教师主持,由该虚拟公司的所有项目小组参加,以项目小组为单位对项目进行总结,指导学生写出项目总结报告。
(3)里程碑成果提交
①评审确认的各阶段文档。包括:项目开发计划、需求分析报告、设计报告等文档。
②项目总结报告。
③程序代码。
④最终成果物。
可以按照需求达到设计标准的可运行系统。
(4)管理文件及表格
项目开发进度表等。
4 项目质量保证
(1)执行研发中心质量管理体系
①依据ISO9001:2000质量保证体系要素
②适当加入特定文件及质量表格
③严格风险控制
④严格设计及测试环节
(2)加强预防和纠正措施
(3)加强管理评审
(4)加强问题跟踪
5 配置管理
软件配置管理分为版本管理和配置库管理,配置管理软件SourceSafe。
版本管理包括以下主要任务:
* 建立项目;
* 重构任何修订版的某一项或某一文件;
* 利用加锁技术防止覆盖;
* 当增加一个修订版时要求输入变更描述;
* 提供比较任意两个修订版的使用工具;
* 采用增量存储方式;
* 提供对修订版历史和锁定状态的报告功能;
* 提供归并功能;
* 允许在任何时候重构任何版本;
* 权限的设置;
* 晋升模型的建立;
* 提供各种报告。
6 项目考核
平时成绩与项目结项答辩成绩的比例为1∶1。
平时成绩考核:由考勤、程序代码及整个项目实施过程中所产生的所有文档的评审结果的综合。
项目结项答辩成绩考核:
(1)检查项目的系统运行是否正常,各项功能是否按照需求要求实现。
(2)项目结项后组织对项目的答辩会。
7 项目培训
指定项目实训课指导计划,设计流程,按计划对学生进行培训。
(1)指导教师在指导学生从事项目实施过程中,将“软件工程与项目管理”课程融入到项目的立项管理、需求开发与需求管理、系统概要设计等各个过程当中。同时将进行二次集中的知识讲授,讲授内容包含:项目场景的描述、分析项目;项目实施与测试指导、评价。
(2)指导教师根据学生的特点及项目的特点对项目实现过程中所要使用的一些关键技术进行培训。
(3)在项目的实现阶段,对学生项目开发工具的使用、项目开发环境的设置等方面进行指导。可对系统的整体框架,根据每个学生的具体情况,对一两个比较典型的模块进行剖析,让学生有一个开发参照模式,可以避免学生开发时无从下手的问题。
8 项目研讨
实训课的项目研讨分为三部分内容:
答疑解问:导师集中对同学在项目开发过程中出现的各种问题进行解答。
技术预研:是指在项目立项之后到项目开发工作完成之前的这段时间内,对项目所采用的关键技术提前学习和研究 ,以便尽可能早地发现并解决开发过程中将遇到的技术障碍。
项目阶段性研讨会议:实训课分为项目说明会、项目小组确定;项目需求分析研讨;项目设计研讨。其中项目小组成员对评审中的问题可以发表自己的意见,可以进行相互辩论,最后指导教师进行点评。
9 项目评审
由指导老师组成项目评审小组,听取项目团队的汇报并进行评审。包括项目开发计划评审、项目需求分析报告评审、项目设计报告评审、项目实施与测试指导评审、项目总结与评审。
评审目标如下:
* 发现任何形式表现的软件功能、逻辑或实现方面的错误;
* 通过评审验证软件的需求;
* 保证软件按预先定义的标准表示;
* 使项目更容易管理。
通过评审使项目小组成员真正掌握项目开发流程、了解软件工程及项目管理在项目开发过程中的作用。同时解决项目开发中一些问题,也起到对项目小组成员工作考核作用。
(1)评审过程
召开评审会议:一般应有3-5人参加。会议结束导师给予评审分数。
评审报告与记录:所提出的问题都要进行记录,在评审会结束前产生一个评审问题表,另外必须完成评审简要报告。
(2)评审准则
对每个正式技术评审分配资源和时间进度表;
对全部评审人员进行必要的培训。
10 结束语
本文中所论述的实训课的设计及实施方法已在我院的大学生创业中心实施,并收到了明显的效果,经过实训课培训后学生的项目能力有了明显的增强,完全可以在我们的创业中心参与各虚拟公司的项目开发工作并从中得到更多的工作经验。
参考文献:
[1] 林锐,唐勇,黄曙江,石志强. IT企业项目管理:问题、方法和工具[M].北京:电子工业出版社.2005.
