【IT168 信息化】

    《萨班斯法案》，大家知道萨班斯的名字是怎么来的。是2002年美国的丑闻“安然事件”，如安然和世通事件，如果我们不想起的话对于普通的投资者所共鸣，所以有两个比较有名的人，一个是三萨班斯，还有一个是Oxley是他的朋友和专家，他们一起来做的方案。2002年7月份美国总统布什签署了法律，所以《萨班斯法案》一共有11章。第一章是针对汇集会计及公司行为的监管，包括CEO之间的管理，在安然审计事件里面他们有很多的东西，所以，当萨班斯方案出来之后，很多的CIO、CEO不敢做事情，因为怕有这样的事情存在。

    在404条款里面刚才讲了很多了，我不讲很细的东西了。条款里面有用我们自己的IT方案去服务于我们IT平台的管理。刚才讲了一点是我们的SOX方案，要真正帮我们的IT治理进一步做得更好，没有立法行为的话，很多公司的CEO他们不会花太多的精力、太多的金钱太多的时间去把IT治理做好。系统2003年之后，我们看IT治理IT方面做得越来越好。所以，很多事情要进一步推动的话，要积极的话，一点难度都没有了。

    除了进一步的推动之外，我们为什么要IT治理呢？从普华永道右边的三种计量看出来，很多人认为我们的IT事件跟数据是有关的，全球是16%，我们的比例是44%。其中对安全事件管理的方面，我们的比重已经不错了，因为全球范围内比例是51%，而中国也是44%。平均去看一个安全事件的损失大概是100万，这些数据告诉我们IT治理是很重要的。IT对于企业不可能没有IT，还有进一步的管理，不同部门等都有IT。今天IT不止是一个网络，它对企业有战略性的意义。但是，我觉得在中国IT好象还没有得到应有的重视，但是如果不久的将来IT对企业来讲应该有很大的贡献。我们对安全做得很好，对建设做得很好，所以为什么有IT治理。

    IT治理来讲具体到企业的财务部、业务、还有IT部门。从IT来讲举个例子是从安全的角度，我们的仿冒的网站很多，像ebay等电子商务公司。还有木马病毒活动猖獗，还有帐户的盗用，所以，我们企业管理内控很重要。

    下面我们讲讲COBIT，它的英文我们不讲了，只讲COBIT，这是一个习惯。COBIT也是不断进化的框架，我们从1996年开始，我们对COBIT都开始在ISACA里面控制了。今天来讲有不同的版本，因为我们的社会、经济每天都在发生变化，所以，我们也有变化。就是把COBIT一步一步地进化去，以至于在今天也能使用。像主要的目的和方向是研究、发展、宣传权威的、最新的国际化工人信息技术控制目标以至于我们的人员使用，可以慢慢建立起来。所以，COBIT里面有34个IT的流程、四个领域。PO是继续与组织、获取与实施、交付与支持、监控与评估。

    这个是COBIT的框架里面可以看到，第一用一个商业的目标，我们的企业做生意把商业达成，我们的IT是帮他达成这样目标的工具。所以，信息是IT里面最重要的一个重点，所以这是给商业的应用把商业的目标达成。后面是IT资源，我们讲了ICP、Oracle等等。还有平台业务的发展。所以，如果我们把IT资源深化，我们有很多的方案，像很多都用了IT运维管理的系统。从COBIT来看，PO、AI、ME、DS里面有不同的框架，我们里面PO有10个、AI有17个、ME有4个，DS有13个。所以，我们这些基于应用去达到我们的效果，我们把IT治理变成有效率、有效果，可靠性、有效性、保密性、可用性、完整性，这样我们的IT治理便维护起来。
    今天有很多种问题，COSO和COBIT怎么分开，这有很好的内控框架，但是从我们的角度去看，COSO是看事情，COBIT来讲是IT的两块，一个是集成的架构，一个是财会应用，这通常是我们参考的意义，但是就一个行不行？也行。

    从《萨班斯法案》404条款里面，COBIT的关系刚才也讲了很多，COBIT就是我们404里面最主要的部分，是帮我们把条款的要求一步一步达成。刚才杨总也讲了，他看过一些运维的问题，运维的经验跟大家分享，这里面重要的重点跟大家分享了我就不多讲了。

    我跟大家讲一下今天C-SOX面临的挑战，我们看有什么东西。我们看到的挑战可能今天中国有很多的框架流程、标准，但是我们很多的中国同胞可能不是太了解，这是第一点。今天很多领导都把我们的力量拿出来，跟大家分享一下怎么样把这个做得更好。

    第一个是中国本土相关的服务，我们是国外的企业过来帮助我们服务，但是本地化的中国服务不多，我们也希望跟中国本土的交流，把香港的力量，本地的服务团队精英人才、专业人才给慢慢培养起来。

    今天我觉得很多审计人员对IT的审计不是太熟，我们跟很多朋友聊起这样的问题，我们应该怎么样一步一步地解决问题。我觉得最重要的是第四点，没有规定具体处罚的内容，很可能造成有法不依、违法不究、执法不严的情况。如果发生了事件，他们可能坐牢坐20年，每个CEO、CFO他们一定把他们的能力、精力，尽量把事情做好，今天中国现在没有法律说没有专门做的话，也不重要。我们内部是刚刚开始，我们可以在未来的几年大家一起努力，把这一块做好，将来一定会变成法律，让我们的上市公司投资界获得利益。

    我觉得很重要的一点，企业很多大的财务部、审计部跟我们的IT部的整合是一个很大的挑战。基本上现在没有太多的沟通，但是我们如果有一个很好的内控团队在公司里面的话，就可以把他们联在一起，把我们应该干的事情干好。刚刚开始的时候不容易，假如我们会找四大和有经验的朋友帮忙，把刚刚开始的COBIT等事情做好，以后我们会有更好的团队去发展，把文化发展成为一个很好的运维的习惯。我们的IT治理不止是C-SOX还是SOX都会慢慢做好。

    再总结一下，今天来讲我觉得IT是业务的组成部分很重要，没有IT什么也做不了。IT治理是公司治理的组成部分，公司的企业治理永远是很重要的一块。IT重要还是IT治理重要，处理不好的话很多事情处理不好。影响了我们业务的发展、公司的企业文化，还有对投资者一些不好的影响。所以，今天我们的IT治理刚刚开始，要在内控方面大力推出去，我们有这方面的专家和领导，我觉得可以一起去看怎么样把它做得更好，把它发扬光大，以至于我们的企业做得更成功。