C—SOX法案推动下的IT服务管理

　　【IT168 资讯】财政部、证监会、银监会、保监会及审计署等五部委会今年6月联合发布“中国版萨班尼斯-奥克斯利法案(以下简称‘C-SOX法案’)”——《企业内部控制基本规范》(以下简称《基本规范》)，宣布从2009年7月1日起将率先在上市公司范围内施行，旨在推动企业完善治理结构和内部约束机制，同时促进国内企业更好的同世界级管理接轨。

　　为遵从C-SOX法案，中国的金融企业将展开一项系统工程，而且这一系统工程对IT控制的影响，也将会是全面、深入而复杂的。9月25日，借第十六届中国国际金融(银行)技术暨设备展览会(以下简称金融展)的良好契机，日立信息系统(上海)有限公司(以下简称HISS)举办了日立JP1系列媒体沙龙的第四场，日立JP1信息管理专家向中国金融媒体详细阐述了C—SOX推动下的IT服务管理。

日立信息系统（上海）有限公司第四次媒体沙龙

　　通过IT手段加强内部控制、促进信息集成与共享

　　这项被美国总统布什称为“自罗斯福时代以来美国商业界影响最为深远的改革法案”，引得美国股市上市公司叫苦连连，但不可否认的是，通过对内部严格控制的审计活动，能够帮助管理者更好的降低内部控制成本、发挥内部控制功能。与美国SOX法案及日本SOX法案相比，C-SOX有众多异处，在法律与规章上存在本质区别，但这并不影响它在中国资本市场发展中的重要地位和即将发挥的积极作用。

　　《新金融》杂志主编王向东先生认为，“未来我们谈任何IT的问题或者信息化生活的金融行业，一定要站在业务角度看，技术导向时代已经结束，未来业务导向和管理导向将影响整个金融行业对信息化的理解和对IT技术的理解。”同时，他总结了C-SOX法案实施的三个主要目的：1，改变中国企业做事的方法，使其按规矩做事，减少感性的东西，增加理性的东西;2，改变考虑问题的思维习惯，培养定量的管理习惯;3，通过审计，控制企业风险，从而提升企业管理的水平。

　　在影响庞大的金融机构中，如何经营建设企业需要的IT系统是最具挑战性的问题，HISS软件事业部总经理森保治先生从IT厂商的角度详细解读C-SOX法案。森先生认为，C-SOX法案的构成要素包括内部环境、内部监督、风险评估、控制活动及信息与沟通五部分，而C-SOX法案的具体实施，就是在整合“内部环境”的基础上，内部控制通过“内部监督”实现“风险评估”和“控制活动”的良性循环，而“信息与沟通”则贯穿于上述各个环节。所谓信息与沟通，即是利用IT技术，使内部控制业务系统化，尽量减少个人因素的影响，把内部控制各要素通过IT技术整合起来，这其中包括制度的确立、信息的收集与处理，信息的披露、信息的集成、反舞弊机制和举报制度。

HISS软件事业部总经理 森保治先生

　　森先生强调，IT手段的运用主要是为了加强内部控制和促进信息集成与共享，内部管理实施过程中需要考虑投资最小化、准确性，通过调整IT架构，满足新产品、软件的导入，完成内部PDCA循环。(PDCA循环是现代管理学里质量管理所应遵循的科学程序。PDCA是英语单词Plan(计划)、Do(执行)、Check(检查)和Action(处理)的第一个字母，PDCA循环就是按照这样的顺序进行质量管理，并且循环不止地进行下去的科学程序。)

　　同时，森先生对与C-SOX法案相呼应的IT市场规模进行了大胆预测：以上市公司数、GDP和IT服务市场规模3个变量来对C-SOX对应的IT市场规模进行推算，可以发现中国IT市场规模的容量今后将得到飞速提升。目前中国IT服务市场的增长率保持在15%左右，中国GDP增长也保持在10%左右，可以预计C-SOX对应的IT市场规模将会达到100亿日元～700亿日元(约合0.97亿美元～6.77亿美元)。

　　JP1全面解决方案——帮助企业规范资产和内部处理

　　C-SOX法案的实施，旨在通过内部控制降低企业经营风险，但内部控制和IT系统风险的把握，究竟是什么关系?日立JP1作为IT服务提供商，又从哪些角度帮助企业规范资产和内部处理，从而加剧企业抵抗风险的能力? HISS软件事业部技术总监黄伟先生借此机会详细介绍了日立JP1全面解决方案，深入分析IT信息系统与内部控制的关系。

　　黄总监认为，目前金融行业IT系统有三大特点，即系统规模庞大;系统结构复杂、操作繁琐;系统稳定性、安全性要求高。这些特点导致金融企业面临三大困境：IT资产缺乏统一管理，资产的转移、变动无合理流程，容易造成资源配置不合理;IT系统多平台的异构环境，运维过多依赖人工，各系统间关系繁杂，可管理性差;客户端行为缺乏监控，容易影响工作效率，无法规范用户日常操作，危害系统信息安全。日立JP1是一套方便ITIL导入的管理工具，符合ISO20000等标准，能够帮助企业从三个视点全面解决系统管理问题，包括系统开发•维护的控制、系统运行管理的控制和系统安全管理。

　　首先，日立JP1能够很好的对固定资产进行管理，即系统开发•维护的控制，称为JP1 IT合法化，包括规定系统变更等作业流程，防止审查、批准的疏漏;对过去的变更记录进行确认，判断正确的对应方法;自动收集服务器等最新的IT资产信息，从远程或其他系统进行确认。

　　其次，日立JP1能够解决操作不规范带来的负面影响，即系统运行管理的控制，包括JP1自动化和JP1监视两个层面，JP1自动化能够实现日常业务的自动正确执行，从而规避人工操作的风险，譬如作业延迟、数据丢失、处理中断等;JP1监控能够针对系统内部发生的事件，事先将调查方法等工具化，得出最合理的作业流程，确保作业的稳定性，同时将处理步骤保存起来，在需要确认过去的处理方法的正确性或新问题出现时以作参考，并根据问题发生数量判断问题趋势，便于分析解决。

　　最后，日立JP1实现对客户端PC的控制，确保系统安全性，通过建立内部控制的机制，实现自动检查、自动处理，从而形成内部控制的良性循环。JP1良性循环首要一点就是对存在安全隐患的客户端自动隔离，并根据需要进行恢复，使得这些软件禁用或在系统控制内使用，从而减少企业风险;其次一点是JP1对客户端操作进行规范，收集客户端操作记录，监视是否有误操作或非法操作;最关键的一点是JP1能够自动实施可靠的安全对策，第一时间解决系统问题，大大减轻管理员工的工作压力。

　　不遗余力帮助中国企业实现可持续增长

　　在沙龙现场，日立JP1代理商大展集团公司日本事业集团副总裁李晨先生，对日立JP1与大展合作情况进行了介绍。大展集团公司是在美国注册的一家软件外包和信息技术服务供应商，日前与HISS正式签订了共同扩展中国信息技术服务管理(ITSM)市场的战略协议。签署协议后，大展将采用日立JP1系统管理软件为大展在中国的客户开展服务，除了帮助客户进行JP1安装和配置外，大展同时成为授权日立产品的经销商。

　　为了更好的为日立JP1中国客户提供服务，大展特别组建了一支资深的专业队伍，专门负责JP1中国客户的销售和配置。“大展在协助日立JP1扩大中国市场份额中起着不可替代的作用。”森部长表示，“日立JP1与大展的合作，即是美国的资本、中国的魂、日本的技术三者完美地结合。我希望借助C-SOX法案实施的契机，让更多的中国企业实现信息系统自动化运行，实现企业可持续增长。”

　　关于日立JP1：

　　日立JP1系统运行管理软件由日立制作所开发研制，全面符合ITIL基础架构库行业标准，灵活适用于多种操作平台。 日立JP1不仅在日本取得了连续11年(1997～2008)市场占有率第一的骄人战果(IDC、富士Kimera总研统计)，在北美、欧洲、东南亚、韩国等地亦有较大规模的销售，在中国也赢得了客户的一致好评。自1994年问世至今，应用范围涵盖金融、通讯、制造、物流等多种行业，已经通过数万家客户的实践和十多年市场的检验，产品已经非常成熟，是跨系统、跨行业、跨地区实施IT服务管理不可多得的有力工具之一。

　　随着社会科技的不断发展，企业信息化进程正在受到日益密切的关注。新版日立JP1V8.1充分运用中国市场实践经验，结合商务层面的PDCA循环，大大扩充产品阵容，以成为企业值得信赖的工作伙伴和事业联盟。

　　如需获取更详细的信息，请访问公司网站：http://www.jp1.cn/