时间:2022-09-13 20:35:41
只有不到10%的工科毕业生能够胜任在国际化企业工作,毕业生缺乏实践经验和英语口语水平差的状况使中国难以发展以服务为基础的产业。
如果中国软件专业的本科和研究生毕业生英语水平不高的话,这些企业进军国际市场的举动可能会毫无意义。
《国际先驱论坛报》评论:
如果麦肯锡的报告结论属实,那么中国将有可能因为人才问题而无法发展最新的产业以及应对迅速扩张的外资,中国和印度多年来的“龙象之争”,竟然会输在英语教育上!
上面的报告和评论客观地指出了我国教育体系的英语教育部分存在的问题,更因为IT行业是我国各行业中和国际最接轨的一个,使得该问题表现更为突出,如何系统地解决这个问题,不仅涉及到大学基础阶段的公共外语教学的改革问题,还涉及到IT类专业学生高年级阶段的专业外语教学问题。需要一个体系弥补从公共外语阶段到实际的IT企业工作之间的差距。这个体系应该更注重在国际化IT企业可能会使用到的商务英语内容和技术英语内容,甚至还应该包含学生写英文简历和用英文面试的内容。本文把这样的一个涵盖商务、技术和求职英语内容,注重听说读写综合技能培养的,为IT从业人士和准从业人士定制的英语教学与认证体
系称作IT职业英语。
经过仔细分析,我们认为,为了系统提高我国IT类专业学生和IT从业人士的实际英语综合技能,从而提高我国IT行业的整体国际竞争力,下面的十一类人应该学习相应级别的IT职业英语课程。
三类学生
准备在知名IT企业工作的在校IT类专业学生
2005年麦肯锡的研究报告得出,中国目前工科毕业生中只有不到10%的毕业生具备在国际环境下工作所需要的语言技能,我们观察到的情况可能更糟糕,因为即便这百分之十中的学生在谈到技术交流的时候,也是普遍缺乏信心的。知名IT企业的面试官表示,英语四、六级证书早已经无法证实应聘者在工作中的实际英语应用水平,需要一个IT行业英语特有的英语技能证书来证明你在IT工作环境下具备相当的听、说、读、写综合能力,IT职业英语水平证书和IT职业英语技能分析报告能够在瞬间向企业展示应聘者所具备的IT职业英语技能水平。
具备“外语+IT”两项工具的复合人才是当前我国IT业的顶级人才,但目前往往需要企业买单来培训员工英语。以Sun公司为例,其中国研发中心大致要花两年左右时间培训已经经过高等教育的新员工英语。像Sun这样的国际IT公司当然十分渴望具备良好外语水平的IT人才。51job有关软件人员年薪与外语水平成正相关的报道用数字告诉人们英语水平一般和精通者的年薪相差近一倍,起点如此未来的差距就更大,而更大的差距还不是物质上的,精神上对自我价值的认知上产生的影响更是无法用金钱衡量的。图1为51job 的薪情分析报告。
准备出国留学的IT类专业学生
留学不等于逃避了未来工作对语言的要求,要在英语国家学IT类专业,实际上需要提前满足这些语言要求,因为实际情况是在留学学习过程中,与IT相关的综合英语技能是课堂发言、小组讨论、报告写作都必须具备的。而如果在留学过程中希望实习或半工半读,则更需要超凡的英语沟通技能才有可能找到工作,哪怕是临时的,其难度要比在国内的国际IT公司应聘更难,因为和你竞争的将会是母语为英语的竞争者。这就意味着,在留学前,不仅需要把留学考试考好,还需要学习IT职业英语的实际技能,以便未来有比较成功的留学体验。
在校外语类专业学生
早在1998年8月的一份《关于外语专业面向21世纪本科教育改革的若干意见》中就已指出了外语人才培养模式与社会发展和经济发展不适应的问题,通过对国家部委、国有企业、外经贸公司、部队和教育部门的问卷调查表明,对于单一外语类毕业生的需求量已降至零,而期望外语专业本科生具有宽泛知识的则占66%。能够在外语基础上增加对IT行业的了解,将是复合型人才中最受欢迎的。目前国际IT企业中的研发中的翻译和协调工作,行政、市场、售前、售后等工作都需要外语功底深厚又懂IT知识的外语人才。由于我国教育体制中文理分科教育机制的限制,此类人才实属凤毛麟角,其价值自然非凡。纯外语类专业高年级学生,如果希望投入一个不断蓬勃发展的朝阳产业,更应该学一些和IT专业结合的英语课程。
三类教师或培训师
IT类院校专业外语教师
多年来,计算机类专业的专业外语一直是计算机英语阅读课程。随着我国英语教育改革的不断深化,专业外语教师必须寻找符合时展的新型实用教程。多年来,专业外语教师一直希望能够教授学生包括口语、写作等在内的实用英语技能,但一直缺乏以实际应用为导向的系统而科学的教程。由来自信息产业部、清华大学、北外、新东方和国际IT企业技术与人力资源多方面专家打造的IT职业英语教学与认证体系提供了一个新思路。不过,采用这个体系对您的英语口语能力有一点挑战,当然您可以依赖IT职业英语配套的美国IT专家的配音来要求学生模仿,借助标准课件来控制课堂,在IT职业英语课程中,教师在课堂上更多角色应该是组织者和评论者,教师使用30%~40%的时间讲授,60%~70%的时间要学生来演练。
IT类院校公共外语教师
长期以来,高等教育一直习惯于外语系老师只担任公共外语教学任务的分工方式,而由计算机或软件学院的专业外语老师教授专业外语,而专业外语教师往往英语功底不是很好,教材也只注重阅读和词汇,习惯了就成了自然。现在我们知道,寄希望于学生在有了普通英语的功底后又学了专业外语就能够适应工作中的需要是没有道理的。英语听力、口语和写作这些实用技能必须是在教授的时候就与IT技术交流结合到一起的,专业词汇的听说应用没有一定的学习过程是不可能的。对大量的IT类专业学生讲述能听能说能写的IT专业外语,需要由原来只教授公共外语的教师来完成,这应该是一个非常有意义的挑战。我们不会希望我们教的学生未来一工作就说不出来什么吧!这个责任感对于那些在名字冠以XX信息大学、XX信息职业学院任职的外语系公外教师更大一些。
社会培训机构外语培训讲师
有调查表明,在参加实用英语技能培训的人群中,40%左右的生源来自IT行业,这多半是因为全球IT行业的行业语言是英语所致。能够为IT从业人员和准从业人员提供针对IT行业的英语培训具有相当高的市场价值,而实现这一价值的前提是存在这些懂英语教学又懂IT的培训师,系统学习IT职业英语教学方法和理念,成为IT职业英语授权讲师是提升讲师个人独特价值的一个最佳途径,毕竟中国的IT行业是各行业中最与国际接轨的一个。
五类IT业从业人员
已经在国际IT企业的技术工程师
能够进入国际IT企业本身已经证实了有一定的英语技能,但进入其中并不等于从此一帆风顺。IT技术人才在工作两三年后就会面临这样的职业发展路线问题,“您是走技术路线还是走管理路线?”不管是走哪一条路,能够用流利英语进行商务和技术交流都是必须的,提升IT职业英语技能是获得升迁、提高工作效率的必由之路。在这里不再需要任何证书,会开口说、能动笔写的本身就是最佳的证明。试看各大IT企业在华的高层哪有在英语沟通上有障碍的呢?
IT职业英语课程提供了一个简捷、高效的教学模式,需要的就是课上的互动式参与和不断完成新任务,这门课程告诉您:“外语不是被教会的而是练会的!”
对外软件外包企业的研发人员
这其实和在外企里工作没什么不同,由于近些年国际IT企业进行严格的成本控制,很多工作最后都要由外包企业来完成,很多情况下软件外包企业的工程师需要驻扎在发包单位里一段时间,英语不好还是没有办法沟通的,而碍于面子、不懂装懂最后得到的惩罚更大。由于能够完成相同难度的IT任务的工程师其实并不少,多数软件外包企业最终发现是开发人员的英语技能决定了项目的成败。另外很多外包企业的优秀人才(主要标志是英语沟通能力强)通过外包项目最终被外企雇佣。
项目协调人或IT类企业外语翻译
协调人也好,翻译也罢,总之,在IT企业中由于很多员工英语存在问题,所以他们寄希望于专职的沟通者或翻译能够存在。这些人英语要非常好,技术上有背景就可以。这些人的薪酬待遇并不亚于研发人员,在有了一定经验后,往往会被提升为项目经理,或者转为培训经理等职,他们在同一岗位工作的时间一般不会太久,因为他们太抢手了。
国际化IT企业的市场人员、售前咨询、售后服务、技术支持、行政人员
所有上述人员都需要一定程度的IT职业英语技能,否则无法适应在国际IT公司内部的英语需求。市场人员尤其是精通英语的市场人员毫无疑问是紧缺人才,而做售前咨询、售后服务的人员如果具备外语特长,工作业绩就更好了。用英语做技术支持和用汉语做是两个完全不同的概念,前者是绝对的高薪阶层。做行政也要学习基本的IT职业英语,总不能等经理要帮忙取一个router(路由器),而您给带来一只rooster(公鸡)吧。
外向型国营或民营IT企业项目经理、市场经理、商务发展经理、驻外人员
我国的IT行业在向国际化发展,几乎所有有些名气的IT公司都希望他们的员工具备良好的英语水平,因为这是企业走向国际化必须的人才。联想集团并购IBM的PC 和笔记本电脑部之后掀起的英语学习浪潮至今未息;各大电信公司急聘外派人员的广告也从未间断;候选人要求必备的当然是英语技能,再清晰些就是那些能够用流利的英语进行有关IT行业的商务谈判和技术谈判的人才。
【关键词】 财务报告内部控制; IT内部控制; 评价与审计
一、引言
安然、世通等财务舞弊和会计造假案件的发生,严重冲击了资本市场的正常秩序。结果表明,内部控制存在缺陷是导致企业经营失败并最终铤而走险、欺骗投资者和社会公众的重要原因。为此,许多国家通过立法强化企业内部控制,2002年7月美国总统布什签署了《萨班斯-奥克斯利法案》,日本在2006年6月出台了《金融商品交易法》,而我国也在2008年6月了《企业内部控制基本规范》,这标志着强化内部控制在全球范围内将达到新的高潮。这些法律法规的核心内容是要求所有上市公司的管理层必须对财务报告内部控制进行评估并编制和提交内部控制报告。审计人员对管理层评估的财务报告内部控制进行审核后发表恰当的审计意见。
目前企业的业务内容对IT的依赖越来越大,组织的信息系统与IT高度结合,使得在业务的处理过程中对企业内外IT采取适当的应对成为企业实现内部控制目标必不可少的内容。作为《金融商品交易法》中内部控制的具体操作指南,2007年2月日本企业会计审议会了《关于财务报告内部控制评价与审计准则及其实施准则的制定(意见书)》(简称意见书)。主要包括内部控制的基本框架,财务报告内部控制评价与审计准则(准则)以及财务报告内部控制评价与审计实施准则(实施准则)三部分内容。其核心是要求所有上市公司的管理层从2008年4月1日开始或以后的会计年度必须对财务报告内部控制进行评估并编制和提交内部控制报告,并由审计人员进行审核。意见书中,将IT的对应作为内部控制的一个基本要素,要求对组织内外IT环境和IT的使用和控制与内部控制的其他要素作为一个整体进行评价。这是日本评估和审计财务报告内部控制的一个重要特征。本文在阐述内部控制与会计信息质量关系的基础上,介绍内部控制框架中的IT内部控制,管理层评价和审计人员审计内部控制中对IT内部控制的处理方法。
二、内部控制与会计信息质量的关系
国际公认的内部控制框架是美国的COSO(Committee of Sponsoring Organizations of the Treadway Commission)委员会于1992年的内部控制整体框架(COSO框架)。COSO认为内部控制是由董事、管理层及其他人员在公司内进行的,旨在为经营的有效性、财务报告的可靠性、适用法律法规的遵循性提供合理保证的过程。它由控制环境、风险评估、控制活动、信息与沟通和监控五个要素组成。近年来,以安然、世通为代表的一系列特大财务舞弊事件在全球范围内蔓延,给投资者和债权人造成了巨大的损失,这表明以确保信息披露制度可靠性为目的的企业内部控制制度并没有发挥有效的作用。美国Treadway委员会(1985年成立的反虚假财务报告委员会)在调查中发现,内部控制存在缺陷和内部控制的缺失是影响会计信息质量,产生财务报告舞弊的重要原因,而且将近50%的财务舞弊事件可以全部或部分归咎于公司内部控制失败。因此,内部控制对于降低舞弊行为,保障会计信息质量具有重要的意义。
在日本的意见书中,将内部控制定义为为实现四个目标(经营的有效性和效率性;财务报告的可靠性;与经营活动相关的法律法规的遵守;资产的保全),由组织内部所有人员执行的程序。内部控制由控制环境、风险的评价与应对、控制活动、信息与沟通、监控以及IT的应对六项基本要素构成。其中,将为确保财务报告的可靠性的内部控制定义为财务报告内部控制,将财务报告内部控制的有效性定义为某一内部控制根据合理的内部控制框架予以构建和运行,且该内部控制不存在重大缺陷。与COSO框架相比,日本的内部控制定义在内部控制的目的中加上了“资产的保全”,在基本要素中加入了“IT的应对”。将资产的保全列为企业的目标之一,重在强调资产的取得、使用和处置必须通过正当的程序和授权,这将大大有利于会计信息质量的提高。考虑到自从COSO框架以后,随着IT环境的迅速发展,IT已经广泛和深入地渗透到企业的组织中的实际情况,日本将IT的对应作为内部控制的一个基本要素。相对于COSO框架,日本内部控制框架表述更加严密,更能适应经济环境的发展变化以及日本企业的实际。在信息系统中使用IT的情况下,信息通常由各种业务系统进行处理和提供,这些信息反映于会计系统之中。因此,管理层有必要对确保这些业务系统和会计系统所生成财务信息的可靠性的内部控制进行评价。审计人员也有必要对管理层评价的内部控制进行审核。
三、内部控制框架中与IT相关的内部控制
在前述意见书中,IT的应对作为内部控制的一个基本要素而出现。意见书中将IT的应对定义为为实现组织的目标事先规定合理的政策及程序,根据这些政策和程序,在业务实施中对组织内外的信息技术进行合理的应对。IT的应对,由IT环境的应对和IT的使用与控制组成。所谓IT环境的应对,是指组织活动中必然相关的组织内外的信息技术利用状况,社会和市场中信息技术使用情况、组织进行交易中信息技术使用情况,以及组织选择依存的一系列信息技术的状况等。这主要是强调为实现目标,组织有必要对其所处的IT环境进行了解,在组织范围内制定合理的政策和手续,并为落实这些规定和手续进行合理的应对。而IT的使用与控制是指在组织内部,对为确保内部控制的其他基本要素的有效性且高效地利用信息技术,以及在组织内系统地包含于业务之中的以各种形式利用的信息技术,事先制定合理的政策和手续,使内部控制的其他基本要素更有效地发挥功能。作为内部控制的一个基本要素,意见书指出,IT的应对不是独立于内部控制的其他要素而存在的,但组织的业务内容在较大程度上依赖于信息技术的情况或在组织的信息系统高度运用信息技术等情况下,作为实现内部控制目标来说是不可缺少的要素,它是内部控制有效性相关的判断标尺。但无论是IT环境的应对还是IT的使用与控制,都与内部控制的其他基本要素存在着密不可分的关系,都应将它们与内部控制的其他基本要素作为一个整体进行评价。因此,IT的应对在内部控制框架中的体现是日本信息技术的飞跃发展对组织产生深刻影响的产物,IT内部控制是日本内部控制框架的一个重要特征。
四、管理层对IT内部控制的评价
在管理层评估内部控制有效性时,与美国相似,日本也采用自上而下的以风险为基础的方法。即首先评估对财务报告可信性有实质性影响的公司层内部控制,同时充分评估企业内外的风险并考虑整体上可能对财务报告有重大影响的所有事件。在此基础上再评估业务层的控制,主要侧重可能导致财务报告中重大错报的风险的评估。与美国不同的是,意见书的实施准则部分明确规定由管理层评估使用IT的控制是评估业务水平控制的一项重要内容。实施准则从以下四个方面对使用IT的内部控制进行评价:一是使用IT的内部控制的评价。在这一内部控制中,既包括计算机程序之中的自动化的内部控制,也包括手工操作与计算机处理为一体发挥职能的内部控制。二是评价范围的决定。三是评价单位的认定。四是使用IT的内部控制的构建状况和运行状况有效性的评价。具体地说,IT的控制评价分为IT总体控制的评价和IT业务处理控制的评价。其中,IT总体控制是为确保业务处理控制有效地发挥职能的环境而进行的控制活动,通常是指与多数业务过程控制有关的政策和程序。IT业务处理控制是指为确保所有经过授权的经济活动在企业业务管理系统中正确的处理、记录的控制活动。实施准则列举了评估IT总体控制的设计和运行有效性的具体实例,如系统的开发和维护、系统的运用和管理、系统安全性的确保、委托加工物资的契约管理等。关于评估IT业务处理控制的设计和运行的有效性,实施准则也列示了考虑的要点,包括关于录入信息的完整性、正确性、正当性等确保的控制,错误的修正和再处理,主要数据的维护和管理等。
在管理层对内部控制有效性的判断中,实施准则对IT相关的内部控制有效性的判断专门作出规定。在IT相关的总体控制存在缺陷的情况下,应当检查采用替代的或补充的其他内部控制是否能达到财务报告可靠性的目的。而且IT相关的总体控制的缺陷,由于并不是与财务报告重要事项发生虚假记载风险直接相联系的,不能立即被评价为重大缺陷。但如果IT相关的总体控制存在缺陷,即使IT相关的业务处理控制的构建能有效地发挥功能,也存在不能连续维持其有效运行的可能性,虚假记载发生的风险很高。在IT相关的业务处理控制存在缺陷的情况下,与业务层的内部控制存在的情况相同,应当对其影响程度和发生的可能性进行评价。当手工操作与信息技术成为一体发挥功能的内部控制存在缺陷时,管理层应具体认定缺陷是由手工操作部分产生的还是由IT相关部分产生的。应当注意,在由IT相关的部分产生缺陷的情况下存在着相同种类错误重复发生的可能性。
五、审计人员对IT内部控制的审计
在对内部控制审计时,美国采用直接报告的方式,即由审计人员直接审计和报告财务报告内部控制的有效性。在这种方式下,为审计管理层评估的财务报告内部控制的有效性取得审计证据,审计人员必须计划和实施特定审计程序审计上市公司的内部控制。因此,审计人员和被审单位都要承受过度的负担。然而日本采用只审计管理层对内部控制有效性评估结果的间接报告方式,从而解决了直接审计被审单位内部控制有效性的过度负担的难题。这是日本对财务报告内部控制审计的特点之一。审计人员对管理层进行的内部控制评价的审核也是先审核公司层内部控制的评价,在此基础上再对管理层进行的业务流程相关的内部控制的评价的合理性进行审核。实施准则详细规定了对使用IT的内部控制的评价的审核。主要包括:一是对IT的内部控制的把握。审计人员对于使用手工操作进行控制的部分实施业务流程相关的内部控制评价的审核;对于使用IT进行控制的部分,通过以下对IT相关的总体控制和业务处理控制评价的审核进行验证。二是IT相关的总体控制评价的审核。实施准则详细规定了对系统的开发和维护、系统的运用和管理,系统安全性的确保、委托加工物资的契约管理等各方面审核时应当关注的要点。三是IT相关的业务处理控制评价的审核。实施准则规定了审计人员应当遵循以下手续进行审核:首先通过阅读系统设计书等对企业所期望的会计处理系统的设计进行确认;同时列示了具体的评价项目,包括是否采取为确保录入信息的安全性、准确性、正当性等的措施;是否对错误数据进行合理修订和再修订等。四是利用IT专家。利用专家时,审计人员不仅要对专家是否拥有IT方面的知识进行考虑,而且要对其是否拥有信息系统相关的财务报告产生重要影响的风险评估所必需的知识等进行考虑,同时对该专家的业务是否具有充分的客观性也应进行考虑。在发现使用IT的内部控制相关的IT总体控制的缺陷时,要求立即对其进行完善。因为IT的总体控制是为了保证IT相关的业务处理控制有效地发挥功能的环境而进行的控制活动,如果总体控制存在缺陷,即使为使业务处理控制有效的发挥功能而进行构建,也存在着不能连续维持其有效运行的可能性。但是,由于IT总体控制的缺陷本身并不一定是直接与财务报告重要事项虚假记载发生风险相联系的,如果能够验证业务处理控制现在能有效地发挥功能,就不能因总体控制的缺陷而立即将其评价为重大缺陷。这与管理层评价IT相关的内部控制的有效性的原则相同。
六、结论与建议
近年来,我国证券市场的财务欺诈事件愈演愈烈,这使内部控制的有效性问题得到空前的重视。1997年1月开始实行的《独立审计准则第9号 内部控制与审计准则》、1999年10月通过的《中华人民共和国会计法》、2002年中注协颁布的《内部控制审核指导意见》等,无不证明了我国在评估和审计内部控制的有效性方面取得了重大成就。特别是2008年6月28日财政部、证监会、审计署、银监会、保监会联合了我国第一部《企业内部控制基本规范》,这标志着中国版的“萨奥法案”已正式启动。在基本规范中提出我国内部控制的基本要素包括内部环境、风险评估、控制活动、信息与沟通和内部监督五项,并没有包括IT内部控制要素。随着信息技术的高度发展,组织的业务内容在很大程度上依赖于信息技术,组织的信息系统与IT高度结合,使很多组织离开信息技术就不能进行业务活动。因此,在业务的处理过程中对企业内外IT采取适当的应对理应成为企业实现内部控制目标必不可少的内容。而日本率先顺应了这种趋势,以准则的形式将IT的应对作为内部控制的一个基本要素,并制订了与IT内部控制相关的管理层评估和审计人员审计财务报告内部控制的具体措施,可供我国完善企业内部控制基本规范借鉴。
【主要参考文献】
[1] 日本金融厅企业会计审议会.关于财务报告内部控制评估与审计准则以及财务报告内部控制评估与审计实施准则的制定(意见书)[D].2007.(日语).
[2] 财政部,证监会,审计署,银监会,保监会.企业内部控制基本规范[D].2008.
2002年安然、世通等公司造假案件和安达信事件震惊了整个世界, 美国政府认为这是公司上下串通、内外勾结的严重结果, 所以“萨班斯法案”对公司治理、内部控制及外部审计同时做出了严格的要求。明确规定要建立独立称职的审计委员会,管理层要负责内控系统的完善和落实,并对财务报告的真实性负刑事责任。纵观整个法案, 最主要的是对公司内控系统的要求, 主要体现在302条款和404 条款。法案对公司内控系统不但规定严格, 而且实施要求和指南也相续出台, 如美国证券交易委员会(SEC)于2003年6月5日根据法案的要求颁布了404条款的细化条例, PCAOB于2004 年3月9日第2号审计准则, 对公司管理层提出了更明确的要求。
“萨班斯法案”的出台,使全球各国监管部门、企业和投资者都把眼球关注在公司治理和全面风险管理上。为保护投资者、降低风险,各国纷纷效仿“萨班斯法案”,出台自己的公司治理广泛要求以及全面风险管理指南。被称为“自罗斯福总统以来美国商业界影响最为深远的改革法案” 的“SOX法案”引发了全球公司治理与风险管理翻天覆地的变化。如何更好地规范公司治理、完善公司全面风险管理框架,如何发挥信息技术在公司治理和风险管理中的作用,是目前理论界与实务界普遍关注的话题。公司治理与IT治理,IT治理与目前风险管理等议题正逐渐成为人们关注的焦点。公司内部从董事会到CEO、到CFO、再到CIO等高级管理人员都参与到公司治理、合法合规等实践中来,打破了原有职责范围的局限,重新认识自己的责任定位。
302条款和404条款核心要求
302条款的要求:
该条款要求由首席执行官和首席财务官在内的企业高管层,对公司财务报告的内部控制按季度和年度就以下事项发表声明(予以证实):
*对建立和维护与财务报告有关的内部控制负责;
*设计了所需的内部控制,以保证这些官员能知道该公司及其并表子公司的所有重大信息,尤其是报告期内的重大信息;
*与财务报告有关的内部控制的任何变更都已得到恰当的披露,这里的变更指最近一个会计季度已经产生,或者合理预期将对于财务报告有关的内部控制产生重大影响的变更。
在当前环境下,IT系统驱动着财务报告的流程。诸如ERP之类的IT系统紧密地贯穿于企业经济业务的开始、授权、记录、处理和报告一整套过程中。就其本身而言,IT系统和整个财务报告流程也是紧密联系的,为了遵循“萨班斯法案”,也要对IT内部控制的有效性予以评估。
为强调这一点,PCAOB第2号审计标准讨论了IT以及IT在测试内部控制设计合理性及运行有效性时的重要意义,并强调指出[部分]:
……内部控制,包括与财务报告中所有重要账户及披露内容相关的控制政策与程序,都应该予以测试。
一般而言,这样的控制包括IT一般控制,以及其他控制所依赖的控制。
404条款管理要求:
*“萨班斯法案”的404条款要求管理层在其年度文件中提供关于与财务报告有关的内部控制的年度评估报告。管理层的年度报告要求包括以下内容:
*管理层有责任为企业建立和维护恰当的与财务报告有关的内部控制。
*识别管理层所采用的内部控制框架以便按要求评估公司与财务报告有关的内部控制的有效性。
*对从一上个会计年度末以来,与财务报告有关的内部控制的有效性予以评估,其内容也包括有关与财务报告有关的内部控制是否有效的公开声明。
*年度审计报告中,注册会计师事务所发表的财务审计报告,包括管理层对与财务报告有关的内部控制有效性评估的证明报告。
*管理层关于公司针对财务报告内部控制有效性评估的书面结论,应包含在其对财务报告内部控制的报告和其对审计师的信函中。这一书面结论可采取多种形式,但是管理层对公司面向财务报告的内部控制的有效性必须发表直接意见。
*如果与财务报告有关的内部控制中有一个或多个重要缺陷,管理层将不能对财务报告的内部控制有效性做出评估结论,而且,管理层应该披露自最近一个会计年度未以来财务报告内部控制方面的所有重要缺陷。
显然,404条款对于公司内部控制情况做出了严厉要求,目的是为了使得公众更易于察觉到公司的欺诈行为,并确保公司财务报告的可靠性。而上市公司为了遵循该条款将付出沉重的代价,包括大量的时间和人力、财力的投入。
在“SOX404”项目中的IT
事实上,早在1994年TSE的题为“董事何去何从?提高加拿大公司治理的指南”中就认为:整合企业的内部控制和管理信息系统是董事会的五个“首要责任”之一,对此责任的解释,是有效地履行董事会的责任需要有效的控制和信息系统来支持。例如在批准企业战略时,董事会需明确各种评价战略的标准和监督执行战略的体系;同样,在审查和批准财务信息时,董事会需要企业的审计系统来通报数据的完整性和对会计原则的遵循。总之,该指南认为董事会必须关注内部控制和信息系统,因为它是履行其他责任必须依靠的机制。该报告对董事会责任的界定提高了内部控制在加拿大上市公司中的重要性,并有助于改善公司的控制环境。
在“萨班斯法案”中,我们看到了一脉相承的要求,只不过这些要求是以前所未有的法律形式固定下来的,良好的公司治理和高管层对IT的职责再也不是一个可有可无的美好远景。
*公司数据的完整性受到公司IT控制的充分性影响;
*公司交易从交易开始、记录、处理到报告全程应用IT;
*加快并支持财务报告的IT控制;
*IT控制的有效性记录与评价的要求;
*IT一般控制与应用控制;
*利用IT自动记录并监控控制制度的执行。
因此,“萨班斯法案”开始要求CIO必须成为管理控制专家,不仅要参与到公司治理领域,以使IT与业务一致,还要在完善内部控制和全面风险管理体系中发挥作用。IT也成为公司治理、全面风险管理关注的新领域。
眼下,我国几十家在美国上市的企业正在紧锣密鼓地忙符合“SOX法案”的项目。对于符合“SOX法案”项目而言,更引起广泛关注的是上市公司管理当局要评价信息时代财务报告内部控制的设计与执行的有效性,并对此负责,外部审计师要连同财务报告审计一起审计内部控制。这主要是针对“SOX404”条款的遵从,所以很多符合“SOX法案”的项目也称为“SOX404” 项目。
“SOX法案”最主要的特征表现在:法案要求组织机构使用文档化的财务政策和流程来改善可审计性,并更快地拿出财务报告。要求企业针对产生财务交易的所有作业流程,都做到高透明度、可控制、实时风险管理并防治诈欺,并且这些流程必须有可追查到交易源头的详细记录。
对于这些在海外上市的中国企业而言,必须在2006财年结束前通过此项法案的认证,否则,证券市场会认为企业财务管理不规范、报表值得怀疑、股价不可信。如果中国企业大量不合规范,可能影响对中国企业整体的信任。严格的披露要求、紧迫的披露时限和严重的违规处罚,令在美国的上市公司加紧“萨班斯符合项目”,未通过的加紧建设完善的内部控制体系,特别是IT内部控制体系,已通过的公司正在寻求如何加强持续符合“萨班斯法案”。
SOX的实施问题
对于上市公司来说,“SOX404”条款的实施是遵从“萨班斯法案”的一个重要举措,必须由公司董事、管理层、“SOX404”项目小组、内控总监与其他人士积极监察和参与。“SOX404”条款的遵照执行有四个明显的区分阶段:
1.公司应制订内部控制详细目录,确定内部控制是否足够,然后将这些控制与诸如COSO委员会之类的内部控制研究机构的内部控制框架进行对照;
2.公司被要求记录控制措施评估方式,以及未来将被用来弥补控制缺陷的政策和流程(如果有的话);
3.公司必须进行测试工作,以确保控制措施和补救手段起到预期作用;
4.管理层必须将前述三个阶段的各项活动情况整理成为一份正式的报告。
在“SOX404”项目中,企业应该考虑以下问题:
* “萨班斯法案”需要对各个部门的员工和管理者进行培训。
* 要求管理者和审计师增加文档纪录、测试和检查。
* 纠正在检查中发现的任何潜在缺陷。
* 完善风险评估和控制行为的测试与监督战略。
* 投入更高的审计费用。
* 法规遵从软件的购买―买哪一种?
* 利用COSO建立的内部控制框架给IT部门的系统控制带来的变更。
完善内部控制可能需要几年的时间实现完全转变,并且可能要有很大的投入。从国内外的实施经验来看,基于风险的、由上至下的确定范围和测试策略的方法将减少目前工作所需的时间。
* 优化关键控制;
* 优化应用控制;
* 实施持续控制监督;
* 重新设计控制;
* 使流程和系统合理化。
“萨班斯法案”遵从成本
“萨班斯法案”的严厉性和高昂的执行成本从一开始就遭人诟病,已有包括新加坡“创新科技”在内的一批著名公司主动申请摘牌退市,更多的中国国企和银行也毫不犹豫地放弃了在美国上市的既定计划。该成本之高昂,据安永的调查显示:收入超过50亿美元的公司中,四分之一的公司在“萨班斯”符合项目启动之前弥补了500多个单独控制; 超过70%的公司在“萨班斯”符合项目启动之前对IT系统和控制进行了重大修改,在这70%的公司中,与404条款有关的成本耗费要比最初预计值高出50%;58%的年收入不足50亿美元的公司把超过半数的内部审计资源用于与404条款相关的活动中;76%的公司期望使用一些控制自评估(CSA)的表格来满足目前404条款的要求; 53% 的企业想在一年内开展企业风险管理 (ERM);87%的企业想通过由404条款带来的职责分明和控制负责人的推动获取价值。
来自普华永道的另一份调查清晰地描述了“萨班斯”遵从的投入,如下表:
根据国际财务执行官(FEI)对321家企业的调查结果,每家需要遵守“萨班斯法案”的美国大型企业第一年实施404条款的总成本将超过460万美元。这些成本包括35000小时的内部人员投入、130万美元的外部顾问和软件费用以及150万美元的额外审计费用(增幅达到35%)。全球著名的通用电气公司就表示,404条款致使公司在执行内部控制规定上的花费已经高达3000万美元。
欧洲最大的金融机构之一,荷兰国际集团(ING)负责人也抱怨说,随着银行和保险业忙于采用一批新规则,这些行业会出现“监管疲劳”。欧洲各银行在承担了实施“萨班斯法案”以及转向国际会计准则所带来的成本后,现在又面临着引入巴塞尔2号协议而产生的成本。有关规章变化的速度使法律、财务和合规部门员工疲于应付。
该集团首席执行官陶曼特(Michel Tilmant)表示,“你需要让机构适应这些监管变化,”陶曼特先生表示,“你必须确保正确执行了规定,并有时间调整心态。”
股权持有者们认为新法案的代价是值得的,推行404条款会带来一个前所未有的好光景。因为“萨班斯法案”的本质是对企业管理全方位的要求,比如企业是不是设计了一套完善的内部控制框架,这个框架是不是在企业内有效运营,并能够防止企业在内部控制流程中的一些风险。从长远来看,会提升公司治理水平,或许更多人会认同404条款对于美国资本市场健康发展的作用。毕竟,一旦发生公司丑闻,投资者的损失将远远超过公司目前付出的成本。
中国在美上市企业的“生死时速”
中国公司风险管理和内部控制薄弱,整体准备状况较差,进展缓慢。有调查显示,40%在美国上市的海外公司在原定期限前难以达到404条款的要求,更何况一直在外部监管不健全环境下成长的中国企业!离最终通过考验的时刻正在迫近,如何在短时间内,抓住主要问题,完善公司内部控制,是国内众多在美上市企业迫切关注的问题。同时,那些没有在美国上市的企业也开始关注“萨班斯法案”,因为,如香港联交所和中国内地新颁布的《中华人民共和国公司法》和《中华人民共和国证券法》也都出台了类似的规定。
严格的公司治理与信息披露要求不仅影响到在美国上市的公司,国内公司目前也面临这种强制压力。无论是上海证券交易所,还是香港联交所,都已经先后公布了与“SOX法案”类似的相关法规,对上市公司建立内部稽核制度和信息披露要求进行了探讨,也对与财务报告相关的IT控制提出了要求。可见,与“SOX法案”遵从类似的项目,必将进入更多中国公司董事会和管理层的议事日程。
我国近期也出台一系列加强公司治理、严格公司信息披露,保护投资者的法律、法规以及指引:
2005年10月27日通过的新《证券法》、新《公司法》结合中国股权结构集中的特点,在公司治理问题上,特别增加控制股东的诚信义务,既包括对公司的诚信义务,也包括对中小股东的诚信义务。新《公司法》确认控制股东对公司和其他股东负有诚信义务,并明确控制股东的赔偿责任范围和责任追究机制。新《公司法》还细化董事、经理等高管人员的诚信义务,引进股东代表诉讼制度,允许具有公益心的股东在公司怠于或者拒绝对损害公司利益的高管人员追究责任时,以自己的名义、为了公司的利益而对于高管人员提讼。“揭开公司面纱”制度被正式引进新《公司法》。“揭开公司面纱”是在英美国家的司法实践中发展起来的判例规则。“面纱”就是公司的法人人格,即公司以其全部资产对其债务承担有限责任。揭开这层“面纱”就是为了实现公平正义的目的,在具体案例中漠视或忽视公司的法人人格,责令躲在背后的股东或公司的内部人员对公司债权人直接承担责任。
一、IT技术支持的企业管理信息系统对会计的挑战
IT技术在企业管理领域和会计领域的广泛应用,对传统会计的和实践提出了挑战。我国于1979年将机技术运用于会计领域至今,已初步实现了会计核算的电算化。目前,由核算型会计软件转向管理型会计软件并建立会计信息系统的呼声很高,作为企业管理信息系统的一个核心子系统,会计应如何适应管理信息系统在IT技术支持下的基于新型管理思想的新发展呢?这是一个值得深思的。
1.面向供应链的管理思想与先进的IT技术的结合,改变了传统财务会计的信息“采集——核算——披露”流程的处理方式。
供应链管理是指通过加强供应链中各活动和实体间的信息交流和协调,增大物流和资金流的流量和流速,并使其保持畅通,实现供需平衡。
企业的Intranet一方面通过防火墙与Internet隔离,另一方面已延伸到企业外部,与关联企业、供应商、经销商、客户、银行之间形成范围更广的信息系统,人们称之为Extranet.在这种情况下,财务会计信息系统的输入端的信息采集不再需要大量财会人员根据原始凭证录入。系统的实时处理技术使得信息的采集伴随着网上交易、结算的发生及企业系统内部价值的流动而同时完成。
另外,事件驱动方式(Event Driven)应用于会计,改变了传统财务会计的顺序化处理模式,不必在每一个会计期间重复“凭证-帐簿-报表”的会计循环,平时只要完成数据的存储即可。财务信息的使用者通过输入相关信息代码以驱动相应的过程处理程序,便可得出实时的财务信息处理结果。
“超文本”和“信息链接”的引入使得财务报告所含信息无限扩大,财务报告的阅读者在阅读报告时可在其权限范围内随时追踪信息线索,无形中提高了阅读财务报告的效率。传统的符合公认会计准则的财务报告仅仅是会计信息系统诸多实时信息处理结果输出口之一。更多的企业内、外部信息使用者、决策者希望企业提供更具有个性化的财务报告以及全面反映企业经营状况的报告。企业财务信息与其他所有与经营有关的信息之间的“链接”,打破了财务报告与经营报告之间的界限,一个全面反映信息、实时信息及未来预测信息的企业综合经营报告改变了传统的信息披露方式。
2.先进的IT技术使得传统的财务会计的核算职能逐渐淡化
传统财务会计的结构化、半结构化的核算功能在先进的IT技术下是很容易实现的,这将使会计人员从烦琐的日常数据操作工作中解脱出来,使其更加偏向于政策、管理职能的执行。当然,除了对历史信息进行分析之外,先进的IT技术下的实时功能为会计人员的事中控制监督提供了广阔的实时信息源,使其能够及时了解企业内部各信息子系统的运作信息及其供应链上的供应商、分销商的有关信息,以便作出相应的决策。人工智能的发展和先进技术的应用,使庞大复杂的专家系统融入到管理信息系统中,会计人员的事前预测决策职能的执行有了强而有力的技术支持。
因此,在新的环境下,会计须充分发挥其作为企业管理信息系统的核心子系统的作用,克服传统核算型会计的信息孤岛的地位,完善其事前预测、事中控制、事后评价的职能;管理会计和财务会计将逐渐融为一体,并与相应的行为、信息管理科学及系统理论相结合,向边缘科学发展。
3.IT技术与BPR的有效结合对传统会计组织结构的。
BPR以企业过程为对象,从顾客的需求出发,对企业过程进行根本性地再思考和彻底地再设计;以信息技术IT和人员组织为使能器,以求达到企业性能指标和业绩的巨大提高或改善,从而保证企业战略目标的实现。BPR旨在消除部门隔阂,在供应链系统概念基础上,实现组织的快速响应和敏捷流畅。在调整企业内外业务流程的基础上,还把供应商、制造工厂、分销、客户等纳入一个紧密的供应链中,强调整体的优化,在整个供应链上增大物流和资金流的流量和流速。
企业组织结构的划分应取决于业务过程的分工。在传统会计系统中,财务部门往往是围绕单一顺序的会计循环而设置,并且与其他职能部门的信息采集相互重叠,造成效率低下。在IT环境下,BPR的实施成为可能,由于业务过程和会计过程的重组和整合,会计人员的会计工作将更多地与其他业务工作相结合,并参与到IT的统一环境下的综合管理中。如,企业财务信息的采集将前移至具有完成多种功能的工作小组中去,有的甚至通过Extranet移至企业外部;同时财务信息的使用者可以通过事件驱动方式执行各自的过程处理程序得出实时的财务处理结果。因此,财务部门作为一个独立的组织机构的规模将逐渐缩小,会计岗位设置需要重新调整,更多的财会人员将成为各业务部门和企业综合管理部门的成员,为加强业务过程的财务管理和综合管理提供会计服务。
二、IT环境下有关信息系统的模式的思考
正如前文所述,管理革命、技术创新的IT对传统的会计和实务提出了各方面的挑战,这就使我们不得不基于IT技术和新的管理思想上对会计进行重新定位。
财务及管理软件网络体系结构的经历了三个阶段:从文件/服务器(F/S)体系结构,到客户/服务器(C/S)体系结构,再到浏览器/服务器(B/S)体系结构。随着Internet/Intranet/Extranet技术的不断发展,尤其是基于Web(HTML、HTTP)的信息和检索技术,Java跨网络操作系统技术,以及CORBA网络分布式对象技术三者的有机结合,导致了整个系统的体系结构从C/S的主从结构向灵活的多级分布结构的重大演变,使其在当今以Web技术为核心的信息网络的应用中赋予更新的内涵。这就是浏览器/服务器(B/S)体系结构。它为会计信息系统向集成化管理信息系统发展提供了有效的技术保障。
网络模式的会计信息系统运用了先进的IT技术,挂在大型的计算机网络上,企业不仅在内部建立了管理信息系统,而且与客户、供应商、银行等都可以通过计算机网络进行联系、交易与结算,形成大型的自动化系统。在这里,会计信息系统充分发挥了其作为管理信息系统核心子系统的作用,对整个供应链上的物流、资金流及其引起的价值流信息进行收集、处理,并提供相应的经营财务状况报告及预测决策模型。网络模式的会计信息系统具有如下特征:
1.管理会计与财务会计有机地结合于一体,从信息管理方面来讲,二者相辅相成,形成一个新的会计信息循环:
在此种会计信息循环中,传统的对外公布的财务报告仅是系统的一个对外信息出口。提供对外公布的财务报告也只是会计核算模块的功能之一,此模块更多的是为企业经营管理决策者提供有关预测、决策和评价信息;这些信息反过来有助于对各信息源(企业管理信息子系统,如人力资源系统、制造系统、分销系统等)及其相互间的关系进行、评价并改善,在某些方面有助于企业的BPR的实施。
2.集中处理模式与分布协同处理模式并存。充分运用网络技术使系统在物理和逻辑上实现分散性与整合性并存。对于会计信息系统,按照企业的业务流程及其特定的供应链将其分为不同的职能模块,如采购模块、分销模块、人力资源模块等,各职能模块与企业管理信息系统的中心数据库相连,在企业的各个部门中,通过企业Intranet终端完成信息的采集以及仅限于部门内部业务的预测、控制、评价,然后传输到中心数据库,通过Web服务器对各部门的信息加以综合处理。除了产生对外公布的财务报告外,更重要的是提供基于企业全局考虑的预测、控制、评价信息,并反馈到各部门。而各部门职能模块之间的数据流动则尽量加以避免。这样,整个会计信息系统在物理上分散到企业各职能部门中,而在逻辑上却紧密联合、共同协作,充分发挥其在管理信息系统中的核心作用。
3.网络模式的会计信息系统将促进审计信息系统的诞生。,在审计工作中主要是手工摘录数据居多,但在网络时代,审计信息系统实现的可行性是不容置疑的。在各企业的会计信息系统都支持标准的数据输入输出接口的情况下,在审计时,企业给会计师事务所安排合法身份以登录到企业的会计信息系统中,在一定的权限下允许注册会计师查询帐目与凭证,从网络上下载后,在各事务所自己的审计信息系统自动进行各项符合性测试、实质性测试、抽查、穿行测试等。这也将会对审计的理论和实务进行多方面的冲击。
会计是一门古老的,它的产生与发展是与生产力的发展密切相关的。在当今以IT技术为制高点的知识经济时代,会计又被赋予了新的内涵。在二十一世纪中,会计将与企业的管理信息系统紧密地结合起来,在理论和实务方面将有更大的突破,充分发挥其信息管理者的角色。所有这些将为会计注入新的活力。
[]
袁树呜、姜金香:“对我国会计软件向管理型纵深发展的探讨”,《会计》,1999.9.
摘要:本文对山东省IT产业近年来的迅猛发展情况作了简要的介绍,通过对近三年山东省的IT高职/专科毕业生生源分布情况、热门行业和热招职业岗位,以及高职/专科IT专业就业情况,山东省对IT人才需求能力,未来三年对IT人才的需求预测等分析,得出山东省需要一大批从事IT技术高素质技能型人才的结论,而解决这一问题需要大力发展高职教育。
关键词:山东省;IT;高素质技能型人才;需求分析;高职教育
中图分类号:G642
文献标识码:B
二十一世纪进入信息时代,席卷全球的信息科技给人类的生产和生活方式带来了深刻的变革,信息产业已成为推动国家经济发展的主导产业之一。山东省作为我国IT业发展的重要省份,近年来在IT产业有了长足的发展。据山东省信息产业厅统计,2008年1至9月份,全省电子信息产业统计内规模以上企业个数为2029家;按企业全球经营数字统计,实现主营业务收入4275亿元。按在地原则和规模以上统计,实现主营业务收入3525.77亿元,增长29.49%;实现利润156.69亿元,增长31.76%;实现利税242.24亿元,增长30.57%。各项指标是同期GDP增长速度的3倍以上。
IT产业作为知识密集、技术密集的产业,其迅猛发展的关键是有一大批从事IT技术创新的人才,特别是要有一大批高素质技能型人才。
课题组走遍齐鲁大地,走访了济南、滨州、淄博、烟台、潍坊、青岛、威海等10个地级市的100余家企事业单位、人才服务机构、劳动力市场,并查阅教育厅、人事厅、劳动厅等机构的官方数据,参考了有关课题组的研究报告,围绕“山东省IT高素质技能型人才供求分析”的主题,形成以下研究分析报告,借此为院校和产业界搭建一个共同探讨人才培养与产业需求无缝对接的平台。
1近三年的IT高职/专科毕业生生源分布情况
1.1山东省高职/专科毕业生情况总体分析
从2005届到2008届四年毕业生的增长趋势来看(表1),高职/专科层次生源一直保持较高的增长速度,短短三年时间翻了一倍多,通过查阅2006、2007、2008年度IT类专业的招生数据,得知在以后的几年内IT类毕业生都会保持在10%左右的增长幅度。
1.2山东省IT高职/专科毕业生情况总体分析
1.3按专业分析山东省高职/专科生源分布情况
所谓热门专业,就是较多大学生愿意就读的专业。而该专业能够成为热门专业,一个直接的原因就是通过该专业的学习,毕业生在面临就业时可能比其他专业更乐观。所以,热门专业往往是和热门职业挂钩的。IT类专业一直是前几年的热门专业。但从表3可以看出,随着年度的增加,一些IT类专业人数的排名有下滑趋势,在2006、2007年排在前20名的IT类专业有5个,到了2008年进入前20名的IT类专业有只有2个,这说明IT类专业开始降温,各院校对IT类专业招生开始理性调整。
历年本高职/专科毕业生人数排名前20位的专业如表3所示,这些专业大部分的毕业生人数超过2000人。对于这部分专业,社会认可度普遍较高,学校的招生数量比较多,同时报考人数也比较多;另一方面,从社会需求和毕业生实际就业情况来看,这类专业的就业竞争也比较激烈。
2山东省IT高素质技能型人才需求分析
据山东省人才服务中心的山东人才网数据,信息技术与互联网行业在整个2007年,月月居十大热门行业榜首,招聘始终维持在20%左右的市场份额。即使是在年中网上人才市场休整阶段的6月份,IT行业似乎也不受影响,所占比例仍然达到18.2%,职位8814个。信息技术与互联网行业全年提供有效职位数达到66312个。山东人才网的网上职位需求显示,2007年软件行业招聘比例比去年上升9.7%;计算机硬件、网络行业招聘比例上升4.6%。从IT工程师等职位的求职者构成和职位要求来看,高职/专科毕业生所占比例为26%,面临了更加激烈的角逐。软件工程师、硬件工程师、嵌入式软件工程师在2008年的需求将还会继续增加。
2007年行业热招情况如图2所示。
2007年山东人才网热招10类职位如下:销售、生产/营运/工程、人事/行政/后勤、计算机/互联网/通讯、财务/审计/统计/金融、市场/公关/广告、服务、物流/贸易、文字/艺术、教师,其中计算机/互联网/通讯排在第四位。
在行业领域,如果拥有过硬的技术,肯定是人才市场的“抢手货”,当然,其薪酬水平自然也高人一等,如IT、机械制造、电子行业均是如此。计算机行业需求量最多的人才包括技术总监、技术主管、研发项目经理、具有技术背景的高级销售经理、高级市场人员等。网络人才需求构成也发生变化,网络工程师、软件开发工程师人才需求较大,网络(网站)经营、设计策划、电子商务、网页制作、广告策划、文字编辑、咨询顾问、情报分析等多元化的人才组合需求走火人才市场,成为人才择业的新热点。
2007年热招职位如图3所示。
2008年第三季度开始,省人事厅开展了全省人才市场供求信息定期工作,及时准确地向社会公布人才供求状况。
第三季度,全省17市人才服务中心和省级专业人才市场共举办各类人才交流会368场,共有27072家单位入场纳贤,提供岗位263946个,涉及16大类96个专业;登记求职894478人,涉及16大类72个专业。从职位供求比情况看,计算机类专业供求比为1∶1.3,供求基本平衡。
2008年第四季度,全省17市人才服务中心和省级专业人才市场共举办各类人才交流会497场,共有26310家单位入场纳贤,提供岗位285258个,涉及17大类95个专业;登记求职879350人,涉及17大类79个专业。从岗位需求情况来看,信息与电子类(1∶11.78)、计算机与应用类(1∶6.96)等竞争较为激烈。
2006年、2007年、2008年信息传输、计算机服务和软件业需求排名前20位的专业参见表4(注:按专业名称排序)。
3山东高职/专科IT专业就业情况分析
3.1高职/专科就业率情况
根据山东省人事厅2006、2007年的统计数据,截至2006年9月、2007年12月,高职/专科就业率为69.10%、78.5%,IT类专业的就业率为68.76%、77.5%。IT类专业的就业率与整体高职/专科就业率基本持平,IT类专业规模以上的签约情况处于中上游水平,既不是最好的十个专业,也不是十个最差的专业。签约受影响的一个因素是有约10%左右的IT类毕业生到北京、上海、广州等大城市就业,但这些城市都不与高职/专科生签约。
3.2就业单位性质流向分析
随着就业问题的日益严峻,现在就业形势开始冲击传统观念,会有越来越多的人迫于就业压力,渐渐地“不重学历重技术”,“不选本科选高职/专科”。从目前很多高分考生开始选高职来看,说明家长和学生的观念已经开始慢慢改变。在本科院校就业形势越来越严峻的今天,高职院校实行校企合作、工学结合的办学新模式,以市场为导向培养人才,培养模式更加市场化,更符合当前就业形势,为高职/专科层次的就业提供了广阔的前景。
对山东毕业生就业调查报告《山东省人才供需预测》和《高校毕业生山东省内就业调查》的数进行据分析后,我们可以看到,由于机关事业单位用人制度的改革,企业成为接收毕业生的主渠道,尤其是中小企业,更是接收本高职/专科毕业生的主要力量。2006年本科、高职/专科毕业生在企业就业的比例分别为73.53%和93.24%;2007年本科、高职/专科毕业生在企业就业的比例分别为79.98%和94.67%;2008年截止到5月中旬本科、高职/专科毕业生在企业就业的比例分别为96.21%和95.80%。
3.3热门行业与需求专业分析
从2006至2008年5月中旬毕业生行业就业情况来看,制造业、服务业、建筑业、批发零售业、信息传输、计算机服务和软件业五大行业是毕业生就业的主渠道。其中,信息传输、计算机服务和软件业是目前吸纳毕业生较多的行业,高职/专科学历在2006、2007、2008年度比例分别占至6.16%、4.56%和3.96%。各行业接收高职/专科毕业生情况所占比例见表5。
该行业接收的毕业生涉及的专业主要包括计算机软件、计算机应用、通信工程、计算机网络技术、电子商务、计算机多媒体、计算机硬件与外设等。
4山东省企业对IT人才需求因素的认识
据走访结果显示,各单位对IT人才的需求因素有以下几点共识:
(1) 扎实的专业知识
IT行业主涉及的行业领域很广,例如很多IT企业从事石油、电信、银行、电子政务、电子商务等行业领域的产品开发。但是无论在哪一行业,一名要想获得更大发展空间和持久竞争力的研发人员拥有扎实的专业知识是第一个前提条件。
(2) 良好的学习能力、逻辑思维、积极主动
IT行业革新迅速,该企业从业人员需要不断地学习、充电。每个人都要不断地关注新事物,开阔眼界。积极主动的人,定会不断自我更新,否则要面临工作上的危机。
(3) 具有团队协作精神,良好的沟通能力,良好的心理素质和积极的生活态度
企业希望招聘到的程序员个人能力不一定很强,但需要有良好的合作意识。现在上百人的软件开发团队随处可见,所以,团队协作是员工必备的素质。团队协作精神良好的基础是和谐的人际关系和良好的心理素质。项目团队中所有成员应该及时有效沟通,相互理解。团队中出现意见分歧时,分歧双方的基本态度应该是说服对方而非强制对方,裁决两种不同意见的唯一标准是看哪一种意见更有利于推动项目的正常进行。
(4) 较好的英语水平,能够充分利用网络资源掌握最丰富的程序开发资源
如今信息技术发展得很快,而大部分的技术最先出现的时候都是英文版本的,要几个月甚至是几年以后才有中文版本的书出来,因此要想跟上其发展步伐,一定要努力提高自己的英文水平,这样才能跟上信息技术的发展。作为基础软件工程师,具有一定的英语基础对于提升自身的学习和工作能力极有帮助。
(5) 有较强的求知欲和进取心
IT行业是一个不断变化和不断创新的行业,IT人才的求知欲和进取心就显得尤为重要,它是在这个激烈竞争的行业中立足的基本条件。工作积极上进,能够积极乐观地面对挫折与压力,善于总结经验教训,能够在逆境中开拓进取。
(6) 个人的综合素质
综合素质包括对研发有浓厚的兴趣、较强的责任心、良好的道德品质、吃苦耐劳的精神和一定的坚韧性、具有创新能力和创新意识、独立自主的能力、个人的生活习惯、谈吐以及修养等。
想要成为一名好的IT工作人员,要有扎实的专业技术知识,且学习能力强,善于思考,具备团队协作精神、良好的沟通能力,勇于实践、探索和学习,同时要不断地学习和进步。此外,还需要敬业、务实、勤奋等高尚的职业道德。以上的这些因素均对企业用人需求起着重要的作用。同时学生会干部、学生党员等因素对企业用人也有一定的增值作用。在一个项目开发的团队中,每个人都要互相信任。总之如今企业更看重的是员工的实际工作能力以及能否为企业创造更大的价值。
5未来三年IT高素质技能型人才需求预测
近年来,山东省软件外包特别是对日软件外包发展势头强劲,而所谓软件外包是指发达国家为降低软件开发成本,将软件开发过程中工作量大,技术含量较低的部分如代码编写、测试与维护等外包到发展中国家,这更加大了软件开发中低端高素质技能型人才的需求量。
随着计算机的广泛使用,计算机病毒的种类也越来越多,危害越来越大。专业的反病毒工程师还是国内IT人才架构中的一个空白。随着信息安全受到社会各界越来越多的关注,以及电脑病毒危害的频频发生,从反病毒软件的安装、调试、维护到日常使用,都需要具备一定安全技能的技术人员来实施。因此,网络安全技术人才将成为全省IT人才需求的一个新热点。
目前山东省动漫产业处于起步阶段,亟需大量人才,山东省动漫行业的人才需求量约为2000人左右,未来2至3年将达到1万人,紧缺人才可分为以下六类:故事原创人才、动画软件开发人才、三维动画制作人才、动画产品设计人才、游戏开发人才和动画游戏营销人才。从企业规模及性质来看,以小型的民营企业居多。动漫从业人员主要集中在中后期制作环节上,动画前期规划和创作人才缺口非常大,即从事编剧、导演、造型、美术设计的人才十分紧缺。
未来三年山东省软件外包开发人才、动漫制作人员、软件开发工程师、网络营销人才、计算机网络技术、网络安全技术人才有较大需求,从高职/专科专业需求看,软件技术、动漫设计与制作等专业人才需求有较快增长。计算机应用、计算机网络技术、网络安全等专业需求量较大。
综上所述,在IT产业发展迅猛的宏观背景下,IT人才培养面临着前所未有的发展机遇,具有广阔的发展前景,但人才供需仍未摆脱长期以来形成的“缺口较大、结构失衡、需求旺盛”的状况,人才短缺与结构不合理现状并存。长期以来,传统学科体系下IT人才培养的传统教育模式往往只注重知识的传输,忽视技能和素质的培养,“非所用、用非所学”确是学院传统教育的通病,学生往往是理论和知识有余,而实际动手能力和实践经验均不足,出校后他们不能马上适应企、事业单位工作的实际需要。而目前我国迅速崛起的高职教育正好弥补了这一缺陷,高职教育采用的是以生产性实训为特征的工学结合,项目导向、基于工作过程系统化符合IT产业需求的人才培养模式,更加注重学生技能和素质的培养,其定位就是培养各行各业亟需的高素质技能型人才。无论从近年来高职毕业生生源分析还是通过对用人单位需求情况调研分析都充分说明了这一点,因此大力发展高职教育是解决IT高素质技能型人才供需矛盾的重要途径,也是21世纪山东省乃至全国教育发展的重点。
参考文献:
[1] 山东经济学院,山东社会科学院《山东省人才供需预测》课题组. 高校毕业生省内就业调查分析报告[R]. 2008.
[2] 麦可思-西南财经大学. 2008年度山东省大学毕业生就业暨省内重点产业人才分析报告[R]. 2009.
【关键词】 IT治理;IT内部控制;对策研究
2008年6月,堪称我国SOX法案的《企业内部控制基本规范》正式出台;2010年,《企业内部控制配套指引》全面推出,我国企业内部控制规范体系正式形成,对内部控制的重视达到了前所未有的高度。而探讨企业内部控制就必须注意到,随着IT应用的逐步深入,企业的日常运营越来越依赖于IT系统的支撑。IT的发展在给企业带来收益的同时,也给企业带来了越来越大的风险。没有正确的IT治理机制,就无法确保IT决策的正确性,无法控制信息化进程给企业带来的各种风险。而我国企业目前仍处于IT内控与风险管理的萌芽期,在基于IT治理的IT内部控制制度建设方面较为薄弱,文章主要针对此问题提出一些对策。
一、IT治理与IT内部控制的相关概念
(一)IT治理
关于IT治理的概念,不同学者有着不同的定义,以下为有代表性的几种:
ISACA(信息系统审计和控制协会)定义IT治理是一个由关系和过程所构成的体制,用于指导和控制企业,通过平衡信息技术与过程的风险、增加价值来确保实现企业的目标。价值、风险与控制是IT治理的核心 ;
全球IT治理协会(ITGI)认为IT治理主要是董事会和执行层的责任,是企业治理的重要组成部分,通过领导、组织和过程来保证IT实现和推动企业战略目标的发展;
Robert S . Roussey (美国南加州大学教授)认为:IT治理用于描述被委托治理实体的人员在监督、检查、控制和指导实体的过程中如何看待信息技术。IT的应用对于企业能否实现愿景、使命、战略目标至关重要 ;
Peter Weill 认为IT治理是在IT应用过程中,为鼓励期望行为而明确的IT决策权和责任框架 ;
Gartner集团(著名IT分析公司)认为,IT治理是一种新的商业范式。这种新范式的形成是由战略竞争力、全球化、业务流程共享网络和实时性的企业新需求所驱动的;
德勤咨询公司认为IT治理是一个含义广泛的术语,包括信息系统、技术、通讯、商业、所有利益相关者、合法性和其他问题;
国内学者胡克瑾(同济大学博士生导师)认为:IT治理是一个关系和过程的结构,用来指导和控制企业,通过平衡在IT及其过程中的风险和回报来增加企业价值从而达到企业的目标。
(二)IT治理的相关标准
目前在IT治理领域公认的国际标准主要有以下几种:
1.COBIT(信息及相关技术的控制目标)模型。它是ISACA制定的面向过程的信息系统审计和评价的标准,是基于IT治理概念的、面向IT建设过程的IT治理实现指南和审计标准。其侧重点在于IT过程控制和IT度量评价,从战略、战术、运营层面给出了对IT的评测、量度和审计方法,它的应用较为广泛,其目标对象是信息系统审计人员,企业高级IT管理人员。
2.ITIL(IT基础架构库)。ITIL是一套IT管理指南,列出了各个服务管理流程“最佳”的目标、活动、输入和输出以及各个流程之间的关系,主要关注IT的战术和运营层面,对IT服务的提供和支持定义了更为详细和更易理解的过程集。
3.ISO/IEC 17799/27001,是有关信息安全管理的国际标准。该标准可用于组织的信息安全管理体系的建立和实施,保障组织的信息安全,侧重于强调信息安全管理体系的有效性、经济性、全面性、普遍性和开放性,涵盖内容非常广泛。
4.COSO委员会《企业风险管理――整合框架》和SOX法案(《2002年萨班斯-奥克斯利法案》)。前者是美国COSO委员会提出的内部控制理论框架和操作框架,关注企业风险管理。从IT角度看,该框架关于IT对内部控制影响的规范主要体现在“控制活动”和“信息与沟通”要素中。后者对企业的公司治理、IT治理和IT控制提出了更严格的要求。
此外还有PRINCE2(受控环境下的项目)、CMM1(能力成熟度集成模型)和PMPOK等。PRINCE2重点强调项目的可控性,明确项目管理中人员、角色的具体职责,同时实现项目管理质量的不断改进。CMM1是一种用于评价软件组织能力并帮助改善软件质量的方法,已经成为评价软件组织开发过程的标准,成为软件组织过程改进的参考依据。PMPOK主要适用于所有类型的工程项目管理。这些模型从不同的角度对IT治理进行了规范。
(三)IT内部控制
当前对IT控制并没有较为权威和统一的定义,处于不同角度(例如外部审计人员和企业管理人员)对IT控制有着不同的理解,对其应当包含的内容和控制目标等的认识也不尽相同。总体来说,早期的IT控制概念来源于审计领域的EDP(电子数据处理系统)控制,主要指的是EDP环境下的会计控制,包括一般控制和应用控制两个类别。其目标主要是为保证计算机系统处理的数据质量。这种控制包含两个层面:一是对信息系统处理数据的控制;二是在信息系统中设计某些内部控制措施。随着IT在企业中的应用越来越普及,IT控制的概念也逐渐变得更为宽泛,包括了IT在企业中多种形式的应用,IT控制包含的范围已超过了EDP控制对会计信息质量目标的单纯追求,是由期望达到的(IT控制目标)和达到这些目标的方法(控制程序)构成,有效的IT控制设计与实施指明了一个组织将IT条件下的风险降至可接受水平的途径(孟秀转,2007),IT控制实质上是企业运作过程中涉及IT这部分资产的购入、使用及维护等不同阶段的相关内部控制过程(余瑾,2006)。
从上述概念中可以看出,对IT治理不管用何种界定,其内容都包括通过有关责任与权利的划分对企业战略起到支持作用,从而确保企业价值最大化的目标。IT控制则是在现有的IT治理环境下企业所采取的一列政策、程序和措施的总称 。IT治理相对IT控制来讲,处于基础地位,是IT控制发挥作用的先决条件,而IT治理目标的实现又需要IT控制发挥作用。
二、IT内部控制主要内容及存在的主要问题
从内容上来划分,IT控制分为一般控制和应用控制,贯穿于整个信息化生命周期内,涉及信息化各个领域。
(一)IT内部控制的主要内容
我国《企业内部控制基本规范》对信息系统的控制重点体现在组织控制、系统开发控制、系统操作控制、系统运维控制和会计系统控制等几方面。
1.组织控制。就IT角度而言,组织控制主要是指职责分离。职责分离包含两个方面,一是业务部门与IT部门关于IT职责的分工,二是IT部门内部职责的分工。业务部门与IT部门的职责分工较为规范,但IT部门内部职责分工则在实际工作中普遍存在一个人同时有好几个不同权限的问题,在人手不足的情况下,每个人要参与多项工作,相应的权限也就较多。
2.系统开发、变更与运维控制。包括职责分离,确保系统的合规合法性和可行性,开发过程的人员控制、系统设计控制、系统的日常维护和系统功能的改进与扩充等。
3.操作控制。信息系统操作控制的主要内容包括操作权限控制和操作规程控制两个方面。
4.硬件管理控制。计算机系统对工作环境的要求比较高,对系统的自然环境、作业环境都应有严格的控制措施,主要应包括计算机系统硬件管理制度。
5.会计信息化及其控制。主要指企业实现会计信息化后给企业内部控制带来的新的风险。包括数据存储介质变换带来的风险、操作人员权限控制不当带来的错误和舞弊的风险、对软件质量过于依赖带来的风险等。
(二)IT内部控制中存在的主要风险
首先,我国企业和西方企业所处的政治经济环境不同,人文背景不同,在信息化建设上仍然属于“人治时代”,信息化的随意性较大。有些企业虽然已经制定了信息化的相关制度,但整体而言仍然缺少对信息化进行整体规划、实施与控制的决策机制和责任担当框架。信息化成功与否往往在很大程度上取决于企业高层和董事会对信息化的理解和影响,一旦管理者的个人影响力发生变化,IT规划建设就会失控,从而导致组织的信息化风险,这是IT治理风险的宏观体现。
其次,在具体实践中,企业信息化水平越来越高,其业务与财务报告流程对IT的依赖程度也随之越来越高。一方面财务报告的内部控制几乎离不开IT控制,另一方面即使业务层面的管理控制也是IT支撑环境下的控制。但信息技术是一把双刃剑,随着不安全因素的增多,信息安全的潜在风险也越来越大。从技术层面讲,系统缺陷、人为误操作、系统攻击等不可预料的各种IT风险逐渐增多;从信息安全架构层面讲,没有一个系统化、程序化和文件化的管理体系,就不可能有效防范信息安全风险。企业在建立安全有效的IT控制方面正面临着巨大的挑战,需要重视起来。
三、基于IT治理加强IT内部控制的相关对策
IT系统已经不仅仅是企业日常运营的重要支撑,它同时还是对企业活动进行控制的重要手段。以具体运营流程为基础展开的IT控制,直接关系到日常运营活动的实施效果。事实上,有效的IT控制设计与实施指明了一个组织将信息技术条件下的风险降至可接受水平的途径①。因而,在企业IT治理机制下加强IT内部控制应当是突破口。
(一)从理论层面看,要构建企业IT内部控制体系
科学合理的IT控制体系应当具有前瞻性的、全局性的控制机制,能融合防范与应对信息安全、IT治理、IT管理、IT服务、IT应用、IT项目、IT基础设施、业务连续性、IT外包方面的风险,并能有效地指导组织控制IT风险,使IT战略与企业战略相匹配,促进IT为组织持续地创造价值,以实现有效益的信息化。应当在充分考虑我国信息化建设的实际情况下,确定信息系统控制目标,将信息系统项目运作的全部过程置于有效的管理与控制之下,建立适用的、协同的IT治理标准模式,制定相关管理指南,提供集成的IT管理,指导我们建立起相应的机制,对处理过程进行有效监控,保证有关企业信息处理过程的高效、有序。
(二)从企业信息化建设角度看,应当由整个企业来进行IT内部控制组织体系的构建
企业应当组建科学合理的多层次内部控制组织机构,在《企业内部控制规范》和《企业内部控制配套指引》的规定下,参照上述第一点理论建设的国内外研究成果,选取适合自身特点的控制流程,建立自己的IT内部控制框架并组织实施。
(三)从用户实践层面看,针对本文第二部分所提到的几大内容进行具体控制
信息工具的变革带来了内部控制手段的创新,严格的职责分离可以有效地避免错误和舞弊行为的发生,如IT部门与业务部门之间、IT部门内部之间、系统开发部门内部等都应有明确的岗位责任。系统开发环节应当注重成本与效益原则,判断是否具有可行性;加强开发过程的人员控制、系统设计控制和文档控制等。在操作控制方面主要集中在操作权限控制和操作规程控制上两方面。每个岗位的人员只能按照所授予权限进行作业,不得越权接触系统。权限控制不仅仅通过规章制度来执行,更重要的是要由系统制定全县标准体系,使之不被越权操作,例如用户身份鉴定、口令设置、密码保护、电子签章等。应用控制方面主要重视输入控制、处理过程控制、输出控制等。
建立合理的IT治理架构是实现有效IT控制的基础,IT治理为IT控制提供了制度环境;而IT控制的有效性又直接反映了IT治理的成效。企业只有在建立了完整的IT规范、有了明确的方向基础上,IT控制才能达到高层管理者的要求。反之,没有企业IT控制体系的畅通,单纯的IT治理模式也只能是一个美好的蓝图,而缺乏实际的内容。
内部控制体系建设是一个长期的过程,其中IT内部控制更是由于对硬件环境、软件环境、工作人员素质等方面有较高要求而面临很多困难,还需要董事会、高管层和企业全体员工共同努力,才能真正落实和贯彻。
【主要参考文献】
[1] ITGI. Control Objective for Information and Related Technology (COBIT) 3rd Edition [Z]. America, 2000.
[2] ROBERT SROUSSEY. Challenges Facing the Profession Information Technology[J]. Enterprise Innovation& Risk, 2003(5): 26-27.
[3] PETER WEILL, JEANNE W ROSS. IT Governance on One Page. CISR Working Paper, ssrn. com, 2004.
[4] 陶黎娟.IT环境下我国财务报告内部控制研究[D].厦门大学博士论文,2009:68.
打造符合中国国情的IT GRC
从合规角度来看,近年来,公安部、国资委、银监会、证监会、保监会都曾专门过针对信息安全或科技风险管理的具有行业特色的法规或指引要求,体现出企业应对IT风险管理及合规要求的紧迫性和特殊性。同时,企业内部管理规范(被称为中国版“萨班斯法案”)对企业内部管理和风险防范提出了更加明确的要求,这极大推动了企业风险管理、合规管理类工具(IT GRC)的发展。针对这一市场,包括IBM、SAP、Oracle 、CA等在内的国外GRC解决方案提供商,包括德勤、普华永道等在内的咨询公司,以及慧点、用友、金蝶、浪潮等国内ERP厂商们都开始积极布局,GRC产业在国内迅速崛起。
实际上,IT GRC的概念并不新颖,作为一个早被业界认可的通用术语,GRC代表一种思想和理念,是企业逐渐从分散管理模式向跨业务单位、跨IT平台的集中模式发展,从而全面而高效地应对治理、风险管理和合规三个方面挑战的解决方案。而事实上,国外绝大多数IT GRC软件都不适合中国的管理模式与法律规范要求,国内企业亟待一款真正符合中国国情、技术管理方面都适合中国企业特点的全新产品。
上海安言信息技术有限公司是国内最早从事信息安全管理咨询的机构,由一批具有信息安全专业技能与管理实践经验的专家构成,在国内最早开展ISO27001、ISO20000、PCI等国际信息安全标准的咨询工作,先后完成了交通银行、农业银行、国家电网等大型企业的信息安全管理体系建设。
安言信息一直关注相关领域厂商和用户单位的市场动向。长期服务企业的过程中,安言发现企业迫切地需要将管理制度、流程等要求切实落实到日常工作中去,需要IT GRC工具进行支持。其决策层认为:国内IT GRC应用市场存在巨大的潜在,国内应有理由挺进这一蓝海、向“洋品牌”叫板。基于此,安言信息于2011年设计并实现了一套用于支撑企业、特别是银行金融企业的IT治理、合规与风险管理落地的平台化软件系统ITRMS。
IT GRC需求分析
在设计ITRMS之初,上海安言信息技术有限公司从技术层面、应用层面和合规角度对国内产品进行了周密分析,提出产品一定要有自己的特色,要有创新的风格,这是该产品开发的出发点和落脚点。
通常意义上,GRC应用或解决方案大都具备以下功能:定义企业风险与控制框架;设计风险管理流程;与ERP、SCM、CRM等系统对接,实现应用控制的自动监控;提供数据自动采集和智能分析;自动化系统审计测试;提供报表信息;提供其他附加功能,如身份管理、访问控制、流程控制、数据安全等控制措施。这些功能体现了GRC作为一种集中管理模式,对企业运营过程中各类风险进行集中监测、预警和控制,并与法律合规及审计进行紧密关联以提供管理层决策的设计思想。
尽管以各类GRC软件或解决方案为代表的产业发展已经风生水起,但作为其中非常重要的一支――IT GRC,却并不显山露水。
一方面,传统GRC应用更多是从企业EPM、ERP、CRM、SCM等管理模式中抽取、延伸并集成,侧重企业运营和财务,并不特别针对IT,其无论是管理模式、操作方式、结果展示还是知识系统,都没有考虑IT的特殊性。
另一方面,企业IT又面临极大的合规压力和操作风险,特别是一些极度依赖信息系统的行业或领域,如金融、电力、通信等,层出不穷的监管要求、屡屡发生的信息科技事故、“救火队员”一样尴尬的角色扮演,都使得企业IT急需在IT GRC方面找到更有针对性也更具实效的答案。
就风险管理来说,以银行金融业为例,无论《新巴塞尔资本协议》还是银监会《商业银行信息科技风险管理指引》,都强调对以信息科技风险为主体的操作风险的管理。信息科技风险,无论是从来源、范围、形态、特点还是影响上,都与战略风险、声誉风险、国家风险、法律风险、信用风险、市场风险、流动性风险等传统风险有着很大区别。
首先,信息科技风险存在于企业各个领域和层面,只要有信息或信息系统的存在,都涉及信息科技风险。
其次,信息科技风险有着明显的时间性,从信息系统规划、设计、运行、更新到报废,信息科技风险存在于信息系统的全生命周期。
另外,信息科技风险有人为和自然因素,也有管理和技术之别,从起因上表现出多源性。
此外,信息科技风险覆盖IT战略、IT治理、IT绩效、IT规划和架构、项目管理、系统开发、运营流程、基础设施、信息安全、业务连续性、外包管理等各个领域,具有形态的多样性。
最后,信息科技风险影响广泛,除信息系统外,还会对员工个人、业务运营、法律合规以及企业声誉造成直接影响。
近年来,公安部颁布的等级保护相关系列标准、银监会的《商业银行信息科技风险管理指引》、证监会的《证券期货业信息安全保障管理办法》、保监会的《保险公司信息系统安全管理指引》,都纷纷体现出企业应对IT风险管理及合规要求方面的特殊性。
IT GRC规划设计实施
通常来讲,IT GRC会出现两类情况:其一是以IT支持GRC,即基于IT来实施企业GRC,将GRC作为一个电子化的整合平台,这还是传统GRC概念;其二是针对IT实施GRC,即针对IT或在IT领域实施治理、风险管理和合规。我们在产品设计时特别强调后一种情况。
IT GRC作为针对企业IT治理、风险管理和合规管理的一整套解决方案,在规划设计和实施操作中必须要考虑以下三方面问题。
首先,IT GRC必须考虑到自上而下的治理问题。IT治理是企业治理在信息时代的重要发展,是描述企业是否采用有效机制,使得信息系统及IT应用能够完成企业赋予它的使命,同时平衡信息化过程中的风险,确保实现企业战略目标的过程。IT治理的使命在于:保持IT与业务目标一致,推动业务发展,促使收益最大化,合理利用IT资源,并适当管理与IT相关的各类风险。
其次,在统一的IT治理框架下,IT GRC必须建立起完备的IT风险管控机制,这是IT GRC最为核心的内容,具体包括:1)明确IT风险管理范围,构建IT风险库;2)建立IT风险管理流程,包括风险识别、风险评价、风险控制、风险监测等关键活动,同时确定识别时机和监测途径,确定风险偏好和可接受水平;3)参考监管要求和国际规范(如COSO-ERM、CobiT、ISO27001、ISO31000、RISK IT等)建立风险控制框架和基线;4)对风险进行持续监测;5)制定信息与沟通策略,建立风险报告机制。
另外,IT GRC在展示和报告方面需充分考虑IT法律合规方面的要求,一方面应建立合规管理框架,包括识别合规要求,评估合规现状,建立合规映射,落实合规责任,推动合规检查,提供合规报告等活动。另一方面,还应形成风险与合规的联动机制,确保任何风险监测或事故报告都能追溯到相关管理对象和合规要求,并能提供合规证据。
除上述三个大的方面,IT GRC还应建立支撑相关工作的流程操作和运行保障机制,并尽可能与企业信息系统和应用进行关联,最终实现信息科技风险和合规的全过程与实时性管理。
先进的IT GRC管理理念要想在企业中得到实践,并有针对性地为企业服务,咨询是其中的重要一环;企业信息安全与IT治理咨询服务是GRC理念在实际企业中的个性化实践。
安言ITRMS助力企业实现IT GRC
安言ITRMS是一个集合规管理、人员管理、风险管理、制度(体系文件)管理、流程管理、意识提升、安全检查、绩效评价、报告管理、知识管理等功能的全面的、可扩展的IT GRC应用平台。其面向包括高级管理层、风控部门、合规部门、审计部门、IT部门、安全管理部门等在内的企业各个领域,以IT风险库为基础,通过持续的IT风险监测和联动机制,实现IT全生命周期的风险管理,并将人员职责、制度规范、操作流程、意识培训等日常控制工作融入其中。
借助该平台,企业围绕IT规范化管理开展的各项工作,特别是之前被广泛接受的基于ISO20000标准的IT服务管理体系、基于ISO27001标准的信息安全管理体系、基于CMMI的软件开发过程管理,以及基于BS25999标准的业务持续性管理体系,都可以进行有效整合并嵌入其中,从而改变以往各自为政分散式的管理模式,基于信息科技风险管理与合规这一核心思想,形成集中化的管理模式。
管理对象:ITRMS支持全面的IT风险库,各类IT风险就成为平台管理的对象。作为信息科技风险管理的配置基础,据此可呈现基于系统、运营业务、岗位或IT基础设施的风险视图。
驱动机制:ITRMS覆盖业务相关的信息全生命周期,从需求分析到系统开发、系统上线、运维支持,涵盖开发和运维部门,涉及企业内部管理和供应商管理,通过风险监测及预警来驱动整个风险管理过程。
控制功能:信息科技风险管理落实到位,体现在各种流程化的日常工作当中,如信息安全事件管理、日志集中管理、访问控制和权限管理、业务连续性预案演练等,所有这些可能嵌入在其他专用系统和应用中的控制流程,都可以与ITRMS进行接口,以便与风险联动。
支持保障:通过制度文件场所化、人员职责明确化、检查工作常态化、绩效评价可量化、培训推广多样化以及有效的知识管理,为信息科技风险管理提供支持保障,这也是传统信息安全及信息科技管理最事务性的日常工作。
内外呈现:信息科技风险管理需要对外合规、对内追责。一方面,通过即时呈现,提供合规报告,从容应对合规检查。另一方面,落实责任,追溯到人,可随时展示工作业绩。
具体实现上,ITRMS采用层次化的软件架构,各层之间关系松耦合,下层通过接口为上层提供服务,如下图所示。其中,基础设施层为平台提供支撑,驱动层控制业务逻辑的流转,业务层为平台提供管理所需要的基本功能,展示层提供各种对外视图。
ITRMS采用层次化的软件架构
实际上,通过ITRMS的规划设计和部署实施,企业可借此构建一个较为完整的信息科技风险和信息安全管理的工作流平台和知识管理系统,并形成企业内部一个专业化的PORTAL。
关键词:企业内部控制基本规范;内部控制;会计信息系统
2008年6月28日,财政部、证监会、审计署、银监会、保监会联合了我国首部《企业内部控制基本规范》(以下简称基本规范)。基本规范自2010年1月1日起首先在上市公司范围内实施,鼓励非上市的其他大中型企业执行。这意味着中国企业内部控制规范体系建设正在向国际标准靠拢。
这套适用于中国企业的内部控制体系,其基本规范借鉴了COSO(The Committee of Sponsoring Organization)报告五要素框架和风险管理八要素框架;具体范围以财务报告内部控制为主线,对与企业财务报表项目相关的、可能会对财务报告真实可靠性产生较大影响的经济业务事项以及与财务报表编报相关的业务活动提出具体的控制规范,并对为实现有效的财务报告内部控制的事前、事中和事后制度支持提出控制要求。本文从IT内部控制与IT风险管理的角度,阐述企业IT控制与会计信息系统内部控制之间的关系。
一、会计信息系统内部控制制度包含的五要素框架
美国COSO了关于内部控制的概念界定和评价内部控制系统的指导性框架的报告,这一报告被国际社会公认为可接受的内部控制的权威性报告,对我国会计信息系统的内部控制制度的建立具有重要的参考价值。COSO报告认为内部控制系统包括5个组成要素:控制环境、风险评估、控制活动、信息与沟通、监控。相应,会计信息系统内部控制框架也对应于企业内部控制的五要素框架。因此,对会计信息系统内部控制制度的探讨也应从这5个方面进行。
(一)内部环境
内部环境是影响、制约企业内部控制建立与执行的各种内部因素的总称,是实施内部控制的基础。内部环境在企业IT领域的体现是IT的内部控制环境,主要包括IT治理架构、IT组织与职责,IT决策机制,IT合规与IT审计等。在IT环境下,因为企业内部管理结构扁平化,使得内部控制的组织结构发生改变。这要求内部控制的方式与管理手段随之改变。IT经济引导着企业组织从机械式向有机式并最终向虚拟组织发展演变,要求企业的领导阶层学会在一个流动和动态的环境中发现内聚力和构造组织,既要有创新和发展,又能在不断磨合中加强内部控制和向心力。IT改变企业的架构、企业文化,并影响各成员控制意识,这要求管理层树立信息意识,更新控制观念。
(二)风险评估
风险评估是及时识别、科学分析和评价影响企业内部控制目标实现的各种不确定因素并采取应对策略的过程,是实施内部控制的重要环节,也是COSO内部控制整体框架的独特之处。IT手段的不断应用,给企业带来竞争优势的同时也带来了风险,在IT环境下,虽然企业的整体目标没有改变,但是经济、产业及管理的外部环境与内部因素都发生了变化。伴随业务流程的改变,系统的开发性、信息的分散性、数据的共享性,使系统从以往封闭集中状态走向开放,给会计信息系统带来了风险。这些风险构成了内部控制的新内容,扩大了会计信息系统内部控制的范围,必须有效利用IT作为控制风险的工具。应树立信息意识,更新控制观念,改变思维定式,有效利用IT为企业服务。把IT作为防范风险的工具,与业务活动有效结合起来,建立一个控制良好的电子数据处理系统,保证企业业务处理活动严格按商业规则进行。
(三)控制措施
控制措施是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法与手段,是实施内部控制的具体方式,主要包括职责分工控制、授权控制、绩效评估控制、财产保护控制、会计系统控制、内部报告控制、信息技术控制等。IT的广泛应用,增强了控制手段的灵活性、高效性,加强了内部控制的预防、检查与纠正的功能,经济有效地实现内部控制的目标。IT环境下的会计信息系统控制的重点由对人的控制为主转变为对人、机共同控制为主,控制程序与计算机处理相协调适应。随着计算机使用范围的扩大,利用计算机进行贪污、舞弊、诈骗等犯罪活动有所增加。因此,也增加了IT环境下内部控制的难度与复杂性。
(四)信息与沟通
信息与沟通是及时、准确、完整地收集与企业经营管理相关的各种信息,并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程,是实施内部控制的重要条件。IT衔接企业各职能部门实现了会计和业务的一体化处理,会计核算从事后的静态核算转变为事中的动态控制,信息需求者可以获取实时信息,使得工作在空间和时间上的接近不再是至关重要的问题。内部控制由顺序化向并行化发展,企业的设计、制造、销售、会计等人员并肩工作,共同控制企业的物流、资金流和信息流。
(五)监督检查
监督检查是企业对其内部控制的健全性、合理性和有效性进行监督检查与评估,形成书面报告并做出相应处理的过程,是实施内部控制的重要保证。在IT环境下,一些内部控制被计算机程序化并嵌入在计算机应用系统内,因此内部控制具有人工控制与程序控制相结合的特点。这些程序化的内部控制的有效性取决于应用程序,如果程序发生差错或计算机感染病毒,由于人们对计算机系统的依赖性、麻痹大意及程序运行的重复性,使得失效控制长期不被发现,甚至导致系统在特定方面发生错误或违规行为的可能性较大。所以,在IT环境下,注意对内部控制的监督,由适当的人员,在适当的时候,及时评估控制的设计和运作情况。
二、建立健全会计信息系统内部控制制度的建议
鉴于会计信息系统的特点,借助COSO框架,建立会计信息系统内部控制制度应考虑如下因素:
(一)完善企业内部控制环境
1、组织结构调整。信息技术的引入使管理幅度增大、层次减少,高耸型的组织结构逐渐趋于扁平。同时,网络使内、外部人员进行更多的沟通,内部控制由命令与控制向集中与协调转变。因此,必须进行组织结构调整才能更好地进行内部控制。企业应通过组织结构调整、建立恰当的组织机构和职责分工制度,并通过部门设置、人员分工、岗位职责的制定、权限的划分等形式进行控制,从而达到相互牵制、相互制约、防止或减少舞弊发生的目的。应设立会计岗位和系统管理岗位。会计岗位负责基本的核算及档案管理等工作;系统管理岗位负责会计信息系统的操作、管理、维护等工作。岗位的设置应遵循不相容职务分离的原则,使不同岗位之间相互监督,相互制约,以达到控制的目的。
2、培养管理人员的内部控制观念和信息观念。管理者的观念在很大程度上决定了企业的内部控制制度能否顺利实施,也大大影响着内部控制的效率和效果。在会计信息化条件下,应该注重培养管理人员的内控观念和信息观念,理解企业信息化建设、内部控制和企业发展的关系。随着企业流程重组和组织结构变革,管理人员必须更新观念,有效实施内部控制制度,注重管理实效,对企业进行现代化管理。
3、加强董事会的建设,发挥董事会的作用和职能。企业应当以董事会作为内部控制系统的核心,加强董事会建设,发挥董事会的作用和职能,完全履行其监控、引导和监督的责任,消除内部人控制现象,完善内部控制环境,保证内部控制的有效运行。
(二)正确地进行风险评估和风险分析
会计信息化后,由于会计信息系统自身的特点,增加了会计工作的风险。主要包括:第一,开发和设计中存在的风险。由于系统研发人员对会计工作的不了解或者考虑问题不全面,致使实际工作中的情况不能与系统相吻合,容易出现差错,从而导致的风险。第二,操作不规范和造成的风险。第三,计算机维护不当造成的风险。会计信息都储存在磁介质中,如果计算机维护不当,容易使会计信息丢失或被删改。第四,不可控制的风险。如突然断电、自然灾害、病毒攻击、黑客侵入等。这些都是会计信息化所带来的风险。管理者必须对这些风险进行正确的评估和分析,才能防患于未然,有效地进行内部控制。
1、系统操作控制。由于操作系统的用户较多,加上自身的缺陷,系统面临着来自各方面的潜在威胁。因此,必须对系统操作进行严格的控制。首先,要明确规定每个用户的安全级别和身份标识,并分别定义具体的访问对象。每个岗位的人员只能按照所授予的权限对系统进行操作,不能越权使用。其次,要对进出机房的人员进行登记,对运行系统的事件类型、用户身份、操作时间、系统参数和状态以及系统敏感资源进行实时监视和记录,并对日志文件定期进行安全检查和评估。由于企业实行会计信息化后内部控制重点的转变,企业必须对会计数据的输入、输出和处理过程进行严格的控制。在会计核算软件中,对输入过程的控制,首先是授权控制,输入的数据必须经过授权,没有经过授权的输入应当是无效的。其次要保证输入数据的正确性,通过各种手段对输入过程进行控制。一般的软件在研发时就对相应数据的输入格式和类型进行了规定,但是为了保证数据的正确性,需要采用重复输入校验的手段进行控制,可以是同一人多次输入,也可以是不同的人各自输入进行校验。输出控制的目的是保证结果的完整性和正确性。输出的数据同样也应有授权,如对用户进行访问范围控制等,并对发送对象已经发送的数量有明确的规定和记录。对于数据在传输过程中的控制可以采用顺序编码的方式,并对数据发送和接收的时间进行记录,便于日后查询。
2、系统维护控制。系统的维护是指日常为保障系统正常运行而对系统硬软件进行的安装、修正、更新、扩展、备份等方面的工作,包括硬件维护和软件维护。硬件维护主要包括定期进行检查并做好记录;在系统运行过程中出现硬件故障要及时进行故障分析并做好记录。而软件维护包括正确性维护、适应性维护和完善性维护。在软件修改、升级和硬件更换过程中,要保证实际会计数据的连续和安全,并由有关人员进行监督。
3、信息化会计档案管理的控制。会计档案管理的目标是要做到任何情况下数据都不丢失、不损毁、不泄露、不被非法侵入。通常采用的控制包括接触控制、丢失数据的恢复与重建等,而数据的备份则是数据恢复与重建的基础,是一种常见的数据控制手段,采用磁性介质保存会计档案要定期进行检查和定期复制,防止由于磁性介质损坏而使会计档案丢失。网络中利用两个服务器进行双机镜像映射备份是备份的先进形式。
(三)完善IT控制措施
针对风险评估的结果,在会计信息系统方面需要实施具体的IT控制措施,包括IT管理类控制措施,如开发管理、项目管理、变更管理、安全管理、运营管理、职责分离,授权审批等,以及IT技术类控制措施,如数据加密、访问控制、数字签名、隧道(VPN)、防病毒、入侵检测、身份管理、权限管理等。下面将以网络会计信息系统中较为先进的数据加密技术和数字签名技术为例进行介绍。
数据加密技术是保护信息通过公共网络传输和防止电子窃听的首选方法。现代加密技术分为对称加密(专用密钥,private key)和非对称加密(公开密钥,public key)两大类。对称加密法是最传统的方式,其特点是关联双方共享一把专用密钥进行加密和解密运算,专用密钥法面临的最大难题是密钥网上分发的安全性问题。非对称加密法1976年问世,它将密钥一分为二,即一把公钥和一把私钥,具有加密钥不同于解密钥、并且在计算上不能由加密钥推出解密钥的特点,有效解决了密钥分发的管理问题,特别适合计算机网络的应用环境。譬如总公司对下属企业公开其“密钥对”中的公钥,下属企业可以用公钥对上报的报表信息加密,安全地传送给总公司,然后由总公司用其保留的私钥进行解密。
数字签名是指在Internet环境下,电子符号代替了会计数据,磁介质代替了纸介质,财务数据流动过程中的签字盖章等传统手段将完全改变,为验证对方身份、保证数据真实性和完整性,在计算机通信中采用数字签名这一安全控制手段。基于数字签名还可建立不可否认机制,也就是说,只要用户或应用程序已执行某一动作,就不能否认其行动。数字签名是上述公开密钥密码技术的另一类应用。它的主要方式如:会计信息的披露方从信息文本中通过一种信息摘要算法产生一固定长度(如128位)的摘要值,用自己的私钥对摘要值加密,来形成披露方的数字签名,连同原文一起发出;关联方首先用同样的摘要算法对报文计算摘要值,接着再用披露方一同发来的公钥对数字签名解密,如果两个摘要值相同,证明信息在发送途中未被篡改,而且报文确定来自所称的披露方。财务系统中远程处理时可用数字签名技术代替签字盖章的传统确认手段,当然这得是在国家有相应的财务制度许可的条件下。
(四)建立信息与沟通机制
企业建立健全了规章制度和业务流程之后,如何贯彻落实?这就需要企业有相应的信息和沟通机制,它是整个内部控制系统的生命线,为管理层监督各项活动和在必要时采取纠正措施提供了保证,包括信息渠道和反馈机制。如:企业领导层的政策方针要通过信息渠道下达给企业员工,这是一个是自上而下逐步灌输的过程。还要有一个自下而上的反馈机制,企业员工发现风险,发现问题,要通过汇报机制逐层汇报给上级部门,这样就能避免很多问题的发生。作为内部控制的重要组成部分的会计信息系统内部控制也是如此,会计信息系统的主要目的是记录、处理、存储、归纳和交流信息,任何交易必须能够追踪其从发生到终止的过程,所有交易必须在系统中留下审计线索,为内部控制提供保证。
(五)建立健全监督检查机制
整个内部控制的过程必须施以恰当的监督检查,通过监督检查活动在必要时对其加以修正。这里所指的监督检查主要包括4个方面:职业道德的约束,公司应成立由董事长、财务总监、首席法律顾问等组成的“职业道德遵行委员会,负责调查违反行为准则的人员;通过外部审计,检查和确认财务报告的合法性、公允性和一贯性;通过内部审计,对内部各部门的财务、管理、效益进行审计;加强集团对分部的监控和分部的内部控制状况。
其中,内部审计是监督检查最常用的途径。企业应该设立内部审计部门,并定期或不定期地对企业的会计信息系统进行审计。内部审计应包括:对会计资料定期进行审计,会计信息化系统账务处理是否正确;审查机内数据与书面资料的一致性;监督数据保存方式的安全、合法性,防止发生非法修改历史数据的现象;对系统运行各环节进行审查,防止存在漏洞等。
三、结束语
《企业内部控制基本规范》的颁布实施将对我国企业的内部控制发展产生重大影响,实施会计信息化的单位应该结合信息化内部会计控制的目标和特点,提出更高的控制要求,扩大有效的控制范围,采取更好的控制方式,重新构建一套较为完善的内部会计控制体系,从而规范单位的会计行为,提高会计信息的可靠性、有用性,保证其对单位内部管理与外部信息服务的作用,以增强企业的竞争能力和生存能力,从而进一步发挥会计信息化的优势。
参考文献:
1、企业内部控制课题研究组.企业内部控制基本规范解读及应用指南[M].中国商业出版社,2009.
讯:2012年9月中旬,《经济参考报》记者的个人新浪微博突然收到一个名为“微博营销”的微博账号的关注,该账户不但关注了记者的个人微博,还向记者发出关注邀请。在留言中,该微博账户称,能为微博用户提供各种刷粉丝服务,并能帮助用户通过微博赚钱。
随后,记者在新浪微博注册了一个名为“IT观察者”的微博,并通过这一微博账号,联系到“微博营销”。“微博营销”在听说记者有刷粉丝的意向后,给记者开出了一张刷粉丝价目表:1000粉丝8元;5000粉丝36元;10000粉丝70元;50000粉丝300元;100000粉丝550元。该微博账户还告诉记者,上述价格刷的粉丝,为“优质粉”,账号有头像,有数量不等的博文,有粉丝,还会定期转发关注对象的博文。
“微博营销”告诉记者,还提供刷“真人高级粉”的服务,但价格高于之前的水平:10元300粉丝,30元1000粉丝,粉丝可以经常性更新博文,除了转发关注对象博文外,对一些博文还会进行评论。对此,记者询问,这些粉丝是否是真人用户时,“微博营销”并没有对此做进一步解释,只是告诉记者,“跟真的一样,一般人发觉不了”。新浪微博的工作人员向《经济参考报》记者介绍,这种所谓的“真人粉”其实还是“僵尸粉”,只不过是“微博营销”这样的职业“刷粉人”,通过电脑程序来操作这些粉丝账号,让这些账号可以模仿真人用户进行转发和评论。
随后,记者决定为“IT观察者”这一微博账号刷5万粉丝,并要求“微博营销”在一周内逐渐增加粉丝量。对于记者的要求,“微博营销”声称,“没问题”,并告诉记者,“如果想看起来跟真人加的一样,最好每天点博文”。在随后的一周内,记者按照“微博营销”所说,每天用“IT观察者”这一账号,发表了数条博文。果真,一周过后,这一账号的粉丝数增加了5万。
在刷完粉丝后,“微博营销”告诉记者,可以帮记者用微博来赚钱。只要转发“微博营销”提供给记者的微博,就可获取一定的收入。“微博营销”告诉记者,费用根据转发微博账户的粉丝数决定,粉丝数在100到500人之间,转发每条0.5元;501到1000人之间,每条0.8元;1001到2000人之间,每条1元;而粉丝数超过10000人,每条4元。如果是加V用户,价格将有所提高,而如果是微博名人,则转发一条的价格将高达700元左右“微博营销”说,一般要转发的博文都是帮助一些淘宝店铺提高影响力,但也会根据一些客户的要求,提供其他内容;如果竞争企业之前出现摩擦,转发打压对手的微博,价格将更高。
随后,“微博营销”让记者转发一家淘宝女装店的推广博文,记者转发后的第二天,就收到了“微博营销”承诺的4元钱。这时,“微博营销”向记者询问,是否是IT公司的从业者,或者媒体的IT记者,如果是,只要记者加V,转发微博就能获得更多报酬。对此,记者并未作出回应。而是将和“微博营销”的Q Q对话等证据截图,上交给新浪微博的管理人员,并注销了“IT观察者”这一账号。
之后记者发现“微博营销”这一账号已被新浪微博关停,但通过Q Q,记者了解到该账号的幕后人员,已经在新浪微博注册了同名微博账号,并提供同样的服务。在与该账号通过Q Q交谈时,记者称“IT观察者”这一账号,因违反新浪微博有关规定而被关停,“微博营销”表示,只要付钱,可以帮记者再次刷粉,并提供转发微博赚钱的服务。
据新浪微博工作人员介绍,“微博营销”这种刷粉丝,以及提供微博推广的账号,的确存在于新浪微博中,并且给微博的正常秩序和环境造成了一定影响。目前,新浪微博已经加大了对这类账号的打击和清理力度,力求给广大用户提供一个正常、健康的微博环境。(来源:经济参考报 文/侯云龙)
简言之,IT规划就是绘制一张信息系统的“全景图”,帮助企业步入IT建设的“正轨”,其作用不再仅仅停留在规范管理、提升效率的层次,而成为逐渐强化和提升企业核心竞争力的强有力手段。IT规划与管理运营越融合,越能满足企业可持续发展的需要,越有利于增长企业的核心竞争力。
由此可见,IT规划是信息化高级阶段的必然选择,当企业信息化发展到一定阶段,“不以规矩难成方圆”、“不统则乱”。
IT规划的巨大“驱动力”
据IBM和埃森哲所做的一个联合调查表明,年收入在10亿美元以上的大公司当中,95%进行了信息化规划;年收入在1~1.99亿美元中间的中型公司当中,91.3%进行了信息化规划;年收入小于1亿美元的小公司当中,76.1%进行了信息化规划。在实践中,很多企业已经认识到信息化规划的重要性。
如果我们把信息化整体规划看作是一幅描绘整个公司信息系统的全景“愿景图”,那么,这种从企业战略发展高度出发、纵览全局、目标明确的“高起点”规划就能确保企业信息化建设的全局性、预警性、有序性。
如果从经济学的角度考量,IT规划始终考虑成本投入与产出的关系问题,依据信息化建设的目标和全局构架,避免无效投资、重复投资等,体现其“低成本”特点。
元年诺亚舟认为,IT规划应以“高起点、低成本”为原则,在理解企业发展战略和评估企业IT现状的基础上,结合所属行业信息化方面的实践和对最新信息技术发展的认识,提出企业信息化建设的远景、目标和战略,以及具体信息系统的架构设计、选型和实施策略,全面系统地指导企业信息化建设,满足企业可持续发展的需要。
就IT规划的实施价值而言,一是针对国内企业信息化现状及管理现状利用ERP实施进行管理的变革;二是整合企业的内部运作流程,固化并随需应变、灵活调整,实现业务最优化;三是根据公司实际需求实现标准产品与客户化集成,最大限度的满足客户化定制;四是在实施企业级资源管理系统时,方便、安全地整合原有系统,最大程度地保护原有投资并兼顾企业各层面业务及管理的需求。
显然,无论从应对外部挑战还是解决内部管理问题,IT规划的巨大价值均可以得到体现。
“三分技术、七分管理”
矛的构造简单,大多数矛都由矛头和矛柄构成。矛头由青铜材质逐渐过渡到钢铁,是增加杀伤力时最重要的部分。而矛柄长达两三米,长度近乎矛头的10倍,使用者可以根据实际情况更换不同的材质。但是,这部分同样十分重要,矛杆的韧性决定着发力的方向和效率,并且比起杀伤来,矛的“一寸长、一寸强”更多的体现在拉开防御距离、提升防御潜力方面。这和企业管理中“三分技术、七分管理”的道理十分相似,西方很多企业认为,技术对提高绩效的作用固然十分明显,但技术和管理应该是两个轮子,很多企业恰恰是通过改进管理、创新求实才成为了世界知名企业。具体而言,对于IT规划,不仅要令IT规划落到实处,管理模式和相关的管理工作也必须“量体裁衣”,提供合适的落地环境。
如何才能保证企业信息化建设 “好钢用在刀刃上”?如何让IT规划能够更加务实?在元年诺亚舟看来,一个好的IT规划过程需要严密遵循以下四个步骤:第一,明确企业的IT战略,使得企业战略与业务需求与IT建设相匹配,有效避免信息化黑洞;第二,评估企业IT现状与能力。IT规划与实施脱离不开企业的具体背景,所以第二步工作要对企业的IT现状与能力进行评估,明确差距所在以及相关的约束条件;第三,勾画企业的IT应用蓝图,设计技术架构与基础架构;第四,制定行动方案。IT应用蓝图的实施制定路线图,并对相应的实施风险进行评估,对投资收益进行测算。
以上述步骤为基础,IT规划的各阶段工作将围绕一个由IT技术、IT投资、IT流程以及IT人员四个核心部分组成的整体工作框架。
谈及信息化建设和核心,“三分技术、七分管理”,IT支撑下的管理与过去又有什么不一样?“IT规划致力于打造一个整合的管理控制体系,设计一个可以有效支持、利用‘人’的信息系统,考虑角色与职责、报告体系以及业绩管理,这些与流程、技术系统一起共同构成了企业的管理控制体系。”元年诺亚舟相关负责人如是说。
因此,首先要明确适应新的组织结构的员工角色与职责,这是信息系统与流程高效运作的组织保证。与此同时,多样化客户需求的增加以及企业规模的扩大,都将增大组织协调与计划的难度,必须要建立结构化的报告体系,以信息工具为载体,报告体系将变得更加简洁高效。一个整合的管理控制体系,将管理和IT密切结合起来,使得管理提升和信息化建设成为“一盘棋”。
此外,IT规划过程是一个企业内部自上而下、自下而上多次沟通探讨的过程;同时,它是一个开放的过程,随着企业内外环境的变化和市场技术的变革而调整。
依托独特的“软件+咨询+服务”一体化解决方案,元年诺亚舟将变革管理咨询和业务流程优化咨询贯穿于软件实施的全周期,最终帮助企业获得项目价值和终身价值。“西学为体,中学为用”,国际知名公司的高级管理人员和西方留学的人员、国内先进民营企业高级管理人员和中国本土培养的高级人才共同参与项目,力求更全面更深刻的视野和更完善的理论支撑。更重要的是,咨询过程中重视企业实际问题的解决以及企业自身的成长,学习西方管理咨询严格控制项目过程经验的同时,掌握中国企业领导人特点,结合项目实际情况,不仅“授人以鱼”,同时“授人以渔” 。
一课内实践教学多元化
1“任务驱动”教学方式
对于该课程,课内实践教学的目的是为了充分发挥教师的主导作用和学生的主体作用,因此,采用“任务驱动”的方式可以较好的激发学生的积极性。“任务驱动”指的是学生在学习过程中,在教师的帮助下,围绕一个共同的任务为中心来完成,在这个过程中,学生会通过任务的进程获得成就感,可以较大地激发他们的积极性,逐步形成一个良性循环,从而培养学生独立思考和自主学习能力。该门课内实践教学结合任务驱动的方式,已经采用的是让学生选择自己感兴趣的某个IT领域技术方向,运用文献检索方法,自行查找英文文献并阅读翻译,在课堂上用英文对其作报告,并制作英文PPT加以展示,并添加现场提问的环节,培养学生用英文进行学术答辩的能力。通过在课堂上使用这种实践方式,已取得了较好的效果。
2其他多元化的任务方式
除了培养学生英文文献检索、学术报告的能力之外,应用型本科IT专业学生是未来IT行业的建设者之一,该课内实践教学还要考虑市场需求的因素。在IT行业中,企业对员工专业英语能力的需求是必要且多样化的;如测试、编码等初级职位员工只需要阅读用户界面、操作说明等英文文献的能力;而对于技术研究等中级职位,不仅需要阅读能力还要求掌握一定的翻译技能、回复英文邮件等;在更高级别的工作如订单签订、项目谈判等事务中,则需要具备听、说、读、写、译各方面的综合能力以及跨文化交流能力。因此在今后的实践教学中,计划添加多样的任务方式,如设计一些具有很强实践性和实操性的活动,全方位训练和提高学生面向行业、企业岗位需求、在真实工作环境中的英语交际能力、应用能力和学习能力。比如训练学生英文简历的撰写,再设计情景对话,让学生分小组扮演IT公司面试官和应聘者角色,对职场招聘进行场景模拟,学习和应用计算机英语知识和口语表达能力。不仅如此,在工程实践中,软件企业开发人员常常需要编写英文版本的软件需求文档和用户指南,因此还可以考虑与软件工程的课程老师合作,在学生进行课程设计时编写英文版本的软件需求规格说明书。
3灵活布置作业作业也是实践教学的重要补充
对于作业一定要布置一些实用有意义的内容,这样学生才会主动而非被迫地去做;关于这方面教师要充分利用自己积累的学习和工作经历。比如根据笔者学生时期的应聘经验,可以告诉学生大中型IT公司的软件开发职位招聘的笔试题很重视动态内存方面的内容,有相当比例该方面的试题,也具有一定难度,而很多中文教材关于此方面的内容往往讲解的不够详实,而英文教材文献六的“PointersandDynamicMemory”这一节对动态内存的思想介绍的较清晰,通过此类方法抓住学生的心理,吸引学生主动地去学习,这样不仅训练了计算机英语,又提升了学生应聘的竞争力。此外,一定要让学生体会到利用网络资源来促进学习和交流的重要性。可以鼓励学生登陆各大著名IT外企的网站,上面会经常地提供其新技术和新产品宣传的英文视频和动画。这类视频短片直观而形象,学生不但学习了新技术和新词汇,同时还锻炼了听说能力,学习兴趣也会大大提高。还可以引导学生平时多关注外企网站上的招聘广告,本专业领域的产品说明书等,上面有大量描述本专业技术的计算机英语,这对培养学生的实际应用能力有很大的帮助。
二结语
该文分析了计算机英语课内实践教学对于IT应用型人才培养的必要性,并结合该研究者本身的经验体会,探讨了一些关于该课程的课内实践教学方式,通过在教学实践中使用这些方式,已取得了较好的效果。计算机英语是专业课和英语课的有机结合,具有很强的实用性。课内实践教学应合理采用多种有效的教学方法和多元化教学模式,让学生通过该课程的学习,进一步提高专业英语听、说、读、写等水平,培养综合素质,从而提高了就业竞争力,才能真正发挥该课程的作用。
作者:汪一亭 单位:池州学院数学与计算机科学系
关键词:安全生产;IT服务管理;服务台
中图分类号:TP311 文献标识码:A DoI: 10.3969/j.issn.1003-6970.2012.03.035
Enhancing Operation and Maintenance Capability of Work Safety Info System Via ITIL
LI tian-le
(Communication & Information Center of State Administration of Work Safety, Beijing 100013)
【Abstract】With the development of work safety information system, the governance of work safety depends more and more on the support of information system .It is critical for enhancing service quality of work safety governance to strengthen and improve IT service management, maximize the usage rate of IT resources. The thesis describes the author’s practice in work safety information system support service management based on ITIL best practice, which improves service quality of information system operation and maintenance ,and provides strong support for work safety governance and management.
【Key words】Work safety; ITSM; Helpdesk
0 引 言
安全生产信息化是贯彻“科技兴安”战略、提高政府安全监管监察保障能力的重要手段,随着安全生产信息化建设的不断深入,信息技术已全面深入地支撑着安全生产监管监察日常业务,同时也面临着长期系统运维的问题。笔者所在的软件研发部门主要是进行安全生产领域的软件研发和维护工作,经过多年的发展,投入运营维护的信息系统越来越多,其复杂度和规模也不断加大,为了保证各个信息系统正常运行,为全国各级安全生产监管监察机构的用户提供良好的服务,需要通过日常化、标准化的IT服务管理,提高运维服务质量。目前,在基于流程的服务管理模式上,IT基础设施库(ITIL,信息技术基础设施库 Information Technology Infrastructure Library),被业界普遍认为是信息服务管理领域的最佳实践,它提供了一套基于流程的实践管理指南,为组织的IT服务管理实践提供了一个客观、严谨、可量化的标准和规范。本文主要阐述IT服务管理的先进理念ITIL在安全生产领域信息系统运营管理中的应用。
1 ITIL研究综述
ITIL是英国政府中央计算机与电信管理中心(CCTA)在 20世纪90年代初期的一套IT服务管理最佳实践指南。当前世界知名企业如IBM,CA,HP等都根据ITIL,结合自身经验和理解,提出自己的实现方案,ITIL是一套被广泛承认的用于有效IT服务管理的实践准则。
ITIL主体框架中,服务管理模块处于核心地位。从宏观上讲,服务管理提供了过程定义和规范了服务水平级别(SLA),为IT服务管理实践提供了一个客观、严谨、可量化的标准和规范,IT部门和最终用户可以根据自己的能力和需求定义自己所要求的不同服务水平,参考ITIL来规划和制定其IT基础架构及服务管理,从而确保IT服务管理能为业务运作提供更好的支持。
服务管理的核心流程是从复杂的IT管理活动中梳理出的最佳实践企业所共有的关键流程,如服务水平管理、可用性管理和配置管理等,然后将这些流程规范化、标准化,明确定义各个流程的目标、范围、职能、责任、成本和效益、规划和实施过程、主要活动、主要角色、关键成功因素、绩效评价指标以及与其他流程的相互关系。
2 当前安全生产领域信息系统运维面临的问题
从服务管理生命周期的观点来看,系统的设计、开发(购买)和实施只占整个周期20%的时间,而系统的运维却占了整个生命周期的80%的时间。[1]国际著名咨询机构Gartner集团的调查发现,在诸多导致IT基础设施常常出现故障的原因中,来源于技术或产品(包括硬件、软件、电力失常、网络及天灾等)方面的因素其实只占了20%,而管理方面的原因却占到了80%。并且传统的运营方式也逐渐难以符合快速变化的市场需求。
随着安全生产信息化不断深入,安全生产领域信息化发展已经进入了一个比较高的阶段,安全生产监管监察业务也越来越依赖于信息系统的支撑。目前,笔者所在的软件研发部门承担着安全生产行政执法管理系统、煤矿许可证管理系统、政务报送系统、非药品类易制毒化学品监管系统、行政办公等近30个应用系统的日常运维工作,其工作质量直接影响着安全生产监管监察日常业务的正常运转。目前,为用户提供的IT服务还不是很成熟,主要是在组织结构、管理规范、管理流程和技术支撑方面,还没有构建一个综合的IT服务管理体系,没有实现数据、信息和知识库的共享,没有实现规范化和流程化,IT技术人员职责不清晰,在信息系统运维管理过程中仍处于热线服务阶段,受理故障申告后,临时安排工程师处理,跟踪故障处理过程并反馈最终客户,服务效率和质量不稳定,不能快速响应用户问题,因此,这种管理模式将越来越难以适应安全生产信息化的发展要求,需要以ITIL为标准重建运维管理体制。
3 基于ITIL的安全生产领域的信息系统运维管理
从本质上说,运维管理就是为用户提供的服务,服务管理的核心是质量[2],规划、实施、检查、持续改进(PDCA)的流程保障了服务质量,而ITIL是IT服务管理的最佳实践。笔者所在的软件研发部门正在实施的安全生产领域的IT 服务管理,是按照PDCA的现代管理思想,同时,结合IT服务过程的各阶段及安全生产信息化发展的实际情况,以客户为中心、以流程为导向,通过整合IT服务下的组织业务,建立一个高效运作的IT服务团队。通过目前已建成的服务台、问题知识库及部分的标准服务管理流程,极大地提高了组织的IT服务提供及运营管理的水平和能力,为用户提供了更好的IT服务质量,同时也提高了安全监管监察工作效率,降低了组织运营成本。PDCA循环生命周期模型各阶段的主要活动如图1所示。
图1 PDCA循环生命周期模型各阶段的主要活动图
计划活动主要是在梳理了安全生产监管监察业务之后,根据用户的需求,在服务提供的框架之下,对IT 服务进行详细的设计,包括:服务环境设计、产品与服务设计、服务制度设计、服务组织设计和服务手段设计。
执行活动是在明确了安全生产监管监察业务的需求后,按照既定的IT服务计划,根据用户服务复杂性的不同,确定IT服务水平协议,为用户提供标准的、日常化的IT服务,最终保障业务的持续运营[1]。
检查活动是一个控制、监督、测量和改进的不断循环的过程。通过不断的服务评价和改进,定期或不定期调查客户的满意度,调整服务过程,服务才能适应安全生产监管监察业务需求的变化,不断地提高服务质量。
行动活动是对前面三项活动作综合分析和评价,一方面是总结经验教训,巩固取得的成绩;另外一方面是明确尚未解决或者新发现的问题,反馈给相关部门和人员,并转入下一个PDCA循环。
IT服务由基础设施运维和信息系统运维组成。基础设施运维负责计算机硬件、网络、安全等日常管理;信息系统运维负责软件运营维护及升级。在安全生产领域的信息系统的IT服务管理中分为三线支持:一线职能体现为服务台,直接为用户提供服务;二线职能体现为专业化的IT技术人员,间接为用户提供服务;三线体现为第三方产品和服务提供商。在ITIL中,服务台是关键的一个组织功能设置,是IT服务部门的统一接口,而且还是接受用户服务请求的一线支持组织,为全国安全监管监察机构提供了一个统一的服务平台。IT服务部门通过服务台响应用户日常需求,采用标准化的流程规范,为用户提供及时、满意的服务。服务台职能如图2所示。
在安全生产领域信息系统运维服务管理的ITIL实践中,服务台是为用户提供服务的统一窗口。当用户使用IT系统遇到问题时,向服务台发出服务请求,一线人员及时受理,接收并记录对所有投入运维的信息系统使用者的服务请求,提供直接帮助,或将不能直接解决的问题升级给二线、三线支持,同时,跟踪问题解决状态,提供问题状态报告,并将二、三线支持的解决方案反馈给用户,因此,服务台形成了面向用户的起点和终点重合的服务流程闭环;其次,一线人员需要定期监控应用系统运行情况,包括数据库、网络、应用程序、中间件等运行状况,若出现异常情况,及时填写服务请求单,通知相关人员;最后,一线人员需要将问题解决方案录入到共享的知识库中,为技术人员及用户提供问题查询服务。
综上所述,安全生产领域的信息系统运维管理,通过服务台这个交通枢纽,完成了IT服务管理的主要职能,包括问题接受、分发、处理、跟踪、反馈,使每一个基于ITIL流程的活动能够形成一个良性循环,确保用户的请求得到有效、及时的处理,保障了安全生产领域的信息系统正常运行,为安全生产监管监察业务提供信息化支持。
4 结论
国内外实践证明,实施基于ITIL的IT服务管理为行业带来极大的价值[3],近几年来ITIL的很多最佳实践在安全生产领域的IT运维管理中逐渐得到了应用,将IT信息服务管理流程化、标准化,减少了应用系统的故障时间,提高了IT资源的利用率,为安全生产监管监察业务运营提供更好的信息技术保障。
参考文献
[1] (美)彼得・维尔著,杨波译.IT治理:一流绩效企业的IT治理之道 商务印书馆,2005:7-30
[2] Jan van Bon,孙振鹏等译.IT服务管理国际标准体系:ISO/ IEC 20000[M].清华大学出版社,2009,11
