导语：比特网CEO百家访谈系列栏目，是一款针对IT领域企业的高端采访节目，在这里我们将面对面探讨最新的IT动态，打造最好的IT视频平台。
&&&日，财政部、证监会、审计署、银监会、保监会五个部门联合发布题为“关于印发《企业内部控制基本规范》的通知”。这个通知明确规定了日起，将在上市公司范围内实施《企业内部控制基本规范》，同时鼓励非上市大中型企业执行。
&&&采访实录
主持人：各位观众大家好，欢迎收看“比特网e领袖电话”栏目，我是主持人于捷。本期我们的话题是内控对于企业的重要性，企业信息建设如何满足合规。本期我们邀请的嘉宾是谷安天下高级咨询顾问陈伟先生，陈伟先生您好，今天和我们比特网的朋友打一声招呼吧。嘉宾：大家好。主持人：日内部控制规范将在上市公司范畴内推荐的事情，请问该条令主要涉及的对象、内容是什么？该方案提出有怎样的重大意义呢？嘉宾：号要实施的这一部企业内部控制规范实际上是一个比较重要的控制企业行为的一个规范，这个规范实际上应该有好几年了，其实我们一直在关注这个规范。这个规范涉及的是企业内部控制管理方面的各个方面，包括企业的战略、财务各个方面，其中也包括非常重要的内容就是IT的控制。今天我可能更多的从IT控制的这个控制的角度来谈一谈企业内部控制规范如何在企业当中去实施，它的重要性以及一些关键控制点是什么。主持人：好的，请来介绍一下中国现阶段IT内控属于怎样一个阶段？他存在哪些弊端是我们现在急需改正的，对于我们企业您可以提出一些怎样很好的意见吗？嘉宾：大家都知道这几年国内企业的发展还是比较快的，我们的经济也上了一个新台阶。在企业信息化的方面实际上也是走到了一个关键的转折点，我大概可以把国内信息化分为几个阶段。从80年代到2000年的时候实际上国内信息化可以说是一个建设期，大家把更多的精力放在系统的建设上。这个时候更多是这种能力的构建，信息化的构建，那个时候风险还没有凸显出来。从2000年开始我们企业对信息化要求越来越高，信息化不光是对我们这种搭建能力，实际上更多的是要跟我们业务更多地去融合，这是我们业务的需求，这是业务战略的实现，这个时候很多要求提出来了。比如：员工IT业务怎么去融合，怎么来提升企业的竞争力，这个时候发现我们IT很多方面达不到我们的要求，而且随着业务对信息化的依赖程度越来越高，那么他的风险实际上是越来越大。大家都可以看得到很多行业，比如：金融、证券、IT所造成的损失实际上是很大的，而且影响是挺大的。这个时候从2000年开始对IT风险这个概念越来越强烈，特别最近金融危机以来，风险的意识贯穿的各个层面，IT实际上也是这样的。目前国内在企业内控，特别是IT内控方面实际说还缺少一套完整的指导方法，那么这个规范的出台实际上从一个比较宏观的角度给我们信息化的建设者提供了一个思路。IT的风险从哪些方面去控制，对IT风险的理解实际上应该和企业和风险是一样的，他都是在一个层面上的。所以我觉得目前在我们国内做企业规范的时候实际上IT规范是其中的一个重要内容，当前我们比较重要的就是要解决IT内控规范的位置，如何去实施方向这些重大的问题，我觉得这是当前最迫切的。主持人：企业内部控制规范曾经被人们美誉为“中国塞班斯法案”请问他们两者之间有什么共同之处，有怎样一些区别呢？嘉宾：大家都知道美国《塞班斯法》实际上对很多在美国上市的公司都有比较重大的影响，这是非常严厉的一个法律。这个法律就是要求所有的在美国的上市的公司是需要建立一条比较完整的内部框架，而且每年要出据一个财务报告，这个财务报告管理层要签字，要负法律责任的。如果里面有违规或者一些造假会受到严重的处罚，这个实际上约束力是非常大的。那么《塞班斯法》的实施的过程当中实际上他很多除了管理层、财务等方面的控制内容之外，实际上一个很重要的内容就是信息化的控制—IT的控制，这里面也是非常重要的一个内容。那么他的整个管控的层面也是比较宽泛的，这个比较类似于我们企业内部控制规范，我们企业内部规范实际上整个管理的层面实际上跟《塞班斯法》是类似的，就是整个企业比较完整的控制，包括各个方面，包括IT在里面的。这是他们两个比较相同的地方，从管控的范围和程度上。他们不一样的地方就是目前《塞班斯法》是一个法律，是通过国家立法机构立法，已经能够正式颁布、实施的一个法律。目前我们内控规范实际上还是一个指引，目前来讲还不是强制性的规范，是一个指引。但是他的执行力也是比较强的，财政部组织、主导各方面专家来制定这个规范。那么他的约束力还是比较强的，我们说未来能不能过渡到一部法可能还要看他的实际情况，实际需要，可能他会有两方面的事这样一些区别。主持人：相对于内控对于我们更多的用户、企业来说可能是相当较陌生的概念，如果说未来几年企业需要上内控，对于企业自身而言在长远发展来说他有怎样的一个好处或者说内控为我们的企业用户带来一些怎样的价值？嘉宾：实际说为什么要去做内控，首先我们要去探讨一下内控的原因是什么？内控是因为我们存在很多风险，我们企业经营管理有风险，他们的流程有风险，战略管理可能有风险，各种风险都有。那么实际上我们IT方面也有很多的风险，举例：我们IT战略规划的风险，如果我们战略规划做得不好那么会有很大的风险。我们IT的智力（音译）结构，如果这个智力结构不合理的话那么实际上IT业务跟IT的融合就会有很大的问题。我们的基础设施如果管理不好的话那么可能会有风险的，我们运营管理不好，我们的软化开发，我们项目管理，我们信息安全等等各方面如果管理不好都承着比较大的风险。这个风险都可以造成我们系统的停机、对业务引起中断对目前企业来讲都会造成重大的财政损失。那么存在这么多的风险，以前我们的方法更多的是发现一个风险采取一个措施，就是“头痛医头，脚痛医脚”，这种方式可能比应急是有效的，但是站在一个总体企业管理来讲我们推荐的方式是一种完成内控机制的建立。形成一种类似于我们人讲的一种保健机制，咱们不是等生病以后来看病，实际上是在没有生病的时候就应该把这个保健做好。那么对企业来讲，IT的这种安全保健是什么呢？实际说就是为他建立一种完整的，事先能控制好的一套制度、流程、规范。我们按照这套制度、流程、规范去做那么就不会出现这样的风险或者出现了风险我也很快能解决。所以这种IT内控框架对企业来讲他保存的IT的这种信息化的健康，实际说是非常重要的一个环节。那么如何去做这样一个东西呢？我觉得这次企业内部控制规范给我们做了一个很好的指引，给了我们几个思路，大概的几个层面去做。但是这个规范在企业落定实际上还要有一个规范，规范它讲的只是一个方向。那么对于方向怎么去做实际说还有一个理解、消化，跟企业自己的实际情况节个的一个过程。这个还需要我们花很多的精力去做的，这种框架的建立我觉得在不同的企业可能还会有一些区别。那么我们到时候怎么细化可能还需要很多的工作，但是总的来讲这个方向框架是比较重要的，在逐步实施过程当中再把它细化。未来为企业控制风险实际上特别是控制IT风险要打一个很好的基础这个是非常重要的。主持人：企业内控在中国起步比较慢，与国外发达国家相比存在很大差距，请介绍一下国外的成功经验，有哪些是值得我们借鉴的！ 嘉宾：国外做企业的内部控制管理实际上历史比较悠久了，应该国外的市场经济是一个成熟的市场经济，他有很多法律规范的要求，而且人们在意识上也比较融合接纳这种规范性的要求，在行为、制度、意识上他有比较好的规范，控制的理念在里面。特别是塞班斯法的实施对国外企业内控起到很大的推动作用。国外有一些很多这样的上市公司，他都做的比较严格的内控管理。举例：IT企业公司，一些能源企业壳牌等等这些公司，他们在做内控的时候都已经很好的考虑到的IT的控制，他们在IT上花了很多的功夫，也投入很大。这有一个统计说我们很多这样的企业在做内控过程当中，特别是在IT内控控制当中他的花费大概平均达到500多万美元。这个内控实际是并不是简单地做一些制度、规范、培训，他是把内控要融合到企业管理各个层面上去。举例：目前我们开发了一套财务管理软件，可能已经开发好了，但是如果按照塞班斯法的要求，内控的要求可能一些控制项目达不到这种要求。比如对防控制、授权、过程控制，那么达不到这个要求的时候就需要整改。可能动软件某些方面的一些授权、控制的过程，还有一些流程上，我们觉得控制不够可能还要改一些流程，这就涉及到一些很大的投入在里面。那么这几年实施下来国外在做塞班斯法的过程中感觉到这个里面的投入还是比较大特别是IT这块的投入。可能有这么一个统计数字，大概塞班斯法实施过程当中我们IT人员的投入占了40%以上，这个是相当大的。所以对于我们IT在内控上的作用一般也是一个挑战，另一方面我觉得也有好处，凸现的我们IT的重要性，以前我们IT重要性可能老感觉不到。通过实施法律让我们感觉到了在企业内部控制建设当中IT也能承担很重要的作用，因为很多业务的控制他最后斗都要落地到IT这实现。比如美国塞班斯法实施过程当中他的重要价值凸现出来了，另一方面特别是很多企业通过实施这样一些内控对他的管理、规范性做了一个更好的梳理。实施起来未来在企业运营当中更好的控制他的风险。国内企业我觉得在做这些塞班斯法的控制过程当中特别是我们类似于塞班斯法控制过程当种像，我们企业内部控制规范这些东西的实施我觉得也应该从控制的框架做起，把这个控制的框架搭好。这个控制框架可以参照企业内部控制规范里的一些要求，但是这个东西是一个指引，并没有详尽这个事情到底怎么做这些细节，作为一个规范他只能做一个方向上的指引。那么我们在实施的过程当中也要参照一些业务的做法，包括一些标志，企业行业的一些指导规范综合起来做这个事情，可能实施起来对更加有效。主持人：肯定很多企业用户会遇到实际风险上的问题，现在咱们常见的企业风险有哪几方面是他们头疼的，您可以来给我们做一下解释吗？嘉宾：好的，这是一个很好的问题，现在企业信息化风险也很好，其实刚才举的例子。这个风险我觉得目前比较大的风险可能存在于几个方面：整个信息化的决策风险，我们以前可能把更多的精力放在IT具体的运维上，比如开发、运维一些细节上。这个当然有风险，但实际上我们目的看来最大的风险还不在这，最大的风险在更大的层面上。比如说在IT的决策层面上，重大的IT事情，因为现在IT在企业里面已经占了很大的分量，他已经是一种战略资产。但是我们的管理层或者企业内部其他的一些管理层对IT风险的认识不够，他们总觉得IT还是一个基础的东西，他对业务还是一个支撑的东西。其实在很多的行业，IT应该是一个战略资产，当一个战略资产去管理。但是目前我们管理层对他的认识上可能意识还不够，没有把它看成战略资产去管理。 更多的是执行制定上的机制，使得IT（14：56）能够做到一个平台上，能够个平等地去对话。这个可能是目前比较大的一个风险。还有一个我觉得对风险本身的管理机制的建立也是缺乏的。我们知道企业的风险很多，上级风险也不是有的规范和法我们来搞一次，实际上应该变成一个常态的东西在企业里面。经常去屏蔽这样的风险，有一套风险控制的机制，为了控制风险有一套奉新的机制，这套机制应该是常态的日常运行的。找到风险以后我们要有一套控制方法，本身控制风险的措施有一种沟通机制在企业里面。我讲的这个层面的风险更多的是一种更层的风险，这种风险目前我觉得是比较缺的，目前可能认识不够。通过控制规范的实施我想既希望于他能够对我们的（15：59）促进他们更多的认识到这方面的方面，这是一个风险。还有一个中层的运维方面的我可能做得比较多一些，开发措施尽管不是太好，但是都意识到了这里面可能有风险。安全，我们总机要加固，有风火墙这些开发措施都要有规范，这个大家都认识到了。这个也在做可能还会有一些缺点，但是这个还是比较明确的。还有一种风险我提醒大家注意的是一种更细节的风险跟内部的风险，我们把它叫“应用控制风险”。这个目前是我们在实践当中发现企业忽略的，在开发运行系统过程当中对于一些业务上的控制，怎么通过安全地体现，这个目前在我们信息化建设中还比较忽略的。我们把风险的控制要扎到业务层面里去，IT体现业务的层面，应用到系统里面。对很多东西的处理比如说一些业务上的关系，业务上的约束关系，一些风险值实际上还没有通过软件解决出来。有些行业做得不错，一些金融企业他们现在对业内部的控制风险通过系统都能实现了，但是我们很的的企业这块还是比较缺失的，没有把视野从IT的边界那种地方挪到核心里面来，到应用系统里面来。这里面其实有很大的风险，这就涉及到我们前期要做的在系统开发的时候我们的需求的调研实际上要结合我们的业务人员，结合我们的内控、风险管理几部分人员跟IT人员坐到一起来探讨这里面的业务风险到底怎么控制的。然后把它做到系统里面来，通过系统来实现。这实际上是一个综合的实心过程，不能单靠IT部门也不能单靠业务部门。只有这样在业务层面上真正地把业务风险控制我觉得才是一个完整的链条，IT风险的管理就落到实处了。所以这块我觉得也是非常缺失的，可能也没这种意识，可能在意识上本身就是没很好的意识到这里面的风险。所以我觉得风险管理更多的是一种对风险的视野的认识，我们从不同的层面认识到风险。咱们先不要去怎么管他，先认识到有哪些风险。认识到了以后我觉得这个事情就解决一半了，总是有办法解决的。所以我觉得这种思路框架比较重要，将来结合了我们这样的一个规范我觉得这是一个很好的契机来综合的衡量一下我们所有的这些企业风险，IT风险跟企业风险的关系，IT风险控制如何为企业风险控制作出贡献，这个事情我觉得可以通过这样一个规范推动我们综合来考虑。这样可能做起来更有效果，真正地把IT风险控制跟企业风险控制结合起来，这才是他的一种最终的解决方式。主持人：十分感谢陈伟先生做客比特网，也感谢各位网友聆听，谢谢大家！
&&&更多精彩访谈
&&&&嘉宾介绍
陈伟&谷安天下高级咨询顾问
陈伟，谷安天下首席顾问。前某著名国际咨询公司合伙人，清华大学EMBA班、北京大学CIO班特聘教授，在IT行业服务管理、系统集成、软件开发、信息安全与控制领域有十八年工作经验。
&&&&背景介绍
&&&&近日，财政部、证监会、审计署、银监会、保监会联合发布了我国第一部《企业内部控制基本规范》，这意味着中国审计领域的又一重大改革举措。这份文件的重要性可以说非同小可，很多人将其比作《萨班斯法案》的中文版。这是中国会计审计领域的又一重大改革举措，客观上提升了对信息安全的需求。
&&&&相关文章
&&&&主持人介绍
于捷&专注于中国互联网安全建设发展与相关厂商动态，热衷IT媒体资讯工作，现主要负责比特网Chinabyte信息安全频道。
责任编辑：于捷联系电话：010-。
专题内容编辑： 于捷 &&&&专题策划： 于捷 &&&&专题设计制作：张黎明 &&&&专题监制：于捷【北京谷安天下科技有限公司怎么样？】-看准网
北京谷安天下科技有限公司
IT服务/系统集成
公司地址 广州市天河区体育西路109号高盛大厦7H公司介绍
北京谷安天下科技有限公司点评(3条)
公司优点：
团队比较友善，气氛较开明...
或，让我们更懂你，就能更多帮到你
问为什么愿意推荐朋友来这里工作？
公司发展不错，除了咨询和培训保持领先，几个新业务安全牛、网校...
或，让我们更懂你，就能更多帮到你
这里的内容对你有帮助？
分享你的工作感受，让更多的职场新人获得帮助!
公司优点：
公司很好，待遇不错，信息安全咨询和信息安全培训的领导者...
或，让我们更懂你，就能更多帮到你
你可能感兴趣
问公司有年终奖吗？一般什么时候发？能发多少？
技术氛围不行，一切以业务为主，很多决定是老大拍脑袋决定的，根
问公司考勤制度怎么样？（年假、单双休、加班、调休情况等）
典型的外包公司，对技术人员的职业规划以及长期发展没有好处。
问公司的工作节奏怎么样呢？是否会经常加班？如果加班有什么加班补助吗？
工作内容上手快，弹性上班工作制度。
加班严重。原本有的加班费说没就没。前后端沟通麻烦。开发有很大
就是福利待遇差点，但是人都是很好的，工作氛围很好，加班强度大
在北京谷安天下科技有限公司工作过么？
给TA打个分吧！
来自3个员工
公司前景看好
向该公司老鸟提问
0回答 · 0关注
1回答 · 0关注
1回答 · 0关注
来自大客户销售经理面试
来自销售培训专员面试
￥11800月平均工资
高于同行业
来自 4职业，6员工分享
平均￥11790
来自2员工分享
平均￥7612
来自2员工分享
平均￥12001
来自1员工分享
来自1员工分享
北京谷安天下科技有限公司点评：想知道北京谷安天下科技有限公司怎么样？看准网()免费提供北京谷安天下科技有限公司招聘、北京谷安天下科技有限公司工资、北京谷安天下科技有限公司面试、评价、工作环境招聘及员工等北京谷安天下科技有限公司的信息。
另外，本页主题别名有：谷安天下怎么样，北京谷安天下怎么样。
内容索引：
优秀公司：
行业公司：
关注看准官方微信
下载看准官方APP
关注看准官方微信
下载看准官方APP
爆料数十万公司信息爆料
互助职场人在线互动
工资公司实际工资查看
改简历专人改简历提高工资
老鸟私聊求助能挣钱
输入手机号，下载看准APP
扫码下载看准APP或各大应用商店搜索：看准
广告等垃圾信息
违禁信息（色情、欺诈、非法传销）
不友善内容（诽谤，人身攻击、骚扰、侵犯隐私）
违法、政治敏感内容
感谢您的举报，我们会尽快处理~
订阅公司信息
订阅成功！
向老鸟咨询
把你关于北京谷安天下科技有限公司的问题大胆的提出来，这里的6位老鸟很乐意为你解答～
写下问题吧~
提交成功！请静静等待老鸟们回答~
扫描二维码分享到朋友圈，邀请微信好友帮忙解答
小贴士：问题描述的越清楚，越能吸引老鸟来回答哟~
请输入问题
下载看准APP
立享畅读全站爆料& & 谷安天下科技有限公司是一家项目合作的企业，是经国家相关部门批准注册的企业。主营CISA、CISSP、CISP，公司位于中国北京北京市海淀区北京市海淀区中关村南路数码大厦A2906。谷安天下科技有限公司本着“客户第一，诚信至上”的原则，。热诚欢迎各界朋友前来参观、考察、洽谈业务。
热卖促销由于谷安天下科技有限公司暂时没有发布热卖促销相关信息，我们向您推荐以下内容：
谷安天下科技主营： |
| 地址：北京 北京市海淀区 北京市海淀区中关村南路数码大厦A2906联系：付轩文电话：010-―――认证信息―――热卖促销分类暂时没有热卖促销分类。
产品库分类暂时没有产品库分类。
友情链接暂时没有添加友情链接！
店内搜索栏目：热卖促销产品库资质证书
关于我们About us联系我们Contact us联系人：付轩文电话：010-手机：地址：北京 北京市海淀区 北京市海淀区中关村南路数码大厦A2906技术支持Technical support由提供技术支持 & & & &
& 京公网安备号 免责声明：以上所展示的信息由企业/个人自行提供或来自互联网，内容的真实性、准确性和合法性由发布者自行负责。阿土伯对此不承担任何保证责任。如网页内容涉及版权侵权问题以及其他疑问，请点击链接： 上传我的文档
 下载
 收藏
该文档贡献者很忙，什么也没留下。
 下载此文档
正在努力加载中...
我对CISP培训认证的简评 谷安天下CISP讲师郝永清 提到CISP，我突然想到
下载积分：300
内容提示：我对CISP培训认证的简评 谷安天下CISP讲师郝永清 提到CISP，我突然想到
文档格式：PDF|
浏览次数：302|
上传日期： 23:16:39|
文档星级：
全文阅读已结束，如果下载本文需要使用
 300 积分
下载此文档
该用户还上传了这些文档
我对CISP培训认证的简评 谷安天下CISP讲师郝永清 提到
关注微信公众号