中化借信息系統(tǒng)審計脫困“IT蛛網”

2014-11-08 22:19:52 大云網　點擊量：評論 (0)

如果一個企業(yè)的實踐經驗，能夠成為全行業(yè)的指導規(guī)范，這勢必是值得分享的事情。　　中化集團實施的IT治理就是如此。作為中化集團IT治理的主導者，信息技術部總經理彭勁松告訴《中國經濟和信息化》記者：過去幾年

如果一個企業(yè)的實踐經驗，能夠成為全行業(yè)的指導規(guī)范，這勢必是值得分享的事情。
　　中化集團實施的IT治理就是如此。作為中化集團IT治理的主導者，信息技術部總經理彭勁松告訴《中國經濟和信息化》記者：“過去幾年，中化集團不斷通過IT審計完善企業(yè)內部控制機制，在IT治理上逐漸摸索出了自己的經驗，現在我們正配合審計署把這些經驗進一步總結提煉。”
　　2009年年底，審計署把中化集團確定為企業(yè)IT審計的試點單位，通過把中化集團在IT審計方面的成功經驗總結提煉，最終融入審計署的相關指導規(guī)范中。
　　其實早在2008年上半年，審計署曾組織中國煙草總公司、中國石油化工集團、中化集團開展了信息系統(tǒng)審計調查。2008年下半年，審計署又組織中化集團及天津公司開展了信息系統(tǒng)審計項目，這是審計署第一次獨立組織的信息系統(tǒng)審計項目。如今，中化集團憑借其信息系統(tǒng)審計實踐，成為審計署的典型案例之一。
　　救火？救火！
　　作為國內最重要的國有骨干企業(yè)之一，中化集團業(yè)務包括石油、化工、化肥、金融以及房地產等多元化業(yè)務，下屬有超過100家各種類型的大小公司，在海外還有四大集團。因為這樣，支撐其運營的IT系統(tǒng)變得異常復雜。為了確保IT系統(tǒng)安全運行并使業(yè)務發(fā)展更加順暢，相應的IT審計勢在必行。
　目前，中化集團已經建立起一套完備的承擔全球各個公司業(yè)務的信息系統(tǒng)，其中以ERP系統(tǒng)為核心，包括內部辦公自動化系統(tǒng)、分銷管理系統(tǒng)、內部門戶等系統(tǒng)在內的企業(yè)信息化平臺，可以進行有效的業(yè)務管理和流程控制。但是要監(jiān)控這些系統(tǒng)對信息技術部來說是一個極大的挑戰(zhàn)。
　　過去發(fā)生技術故障，彭勁松總是要等事故發(fā)生后才從業(yè)務人員的反饋中得到信息，而且涉及大量人員，要進行電話逐一排查，不僅耗費大量的工作時間，還給相關部門造成了很大的被動，就像救火隊員，火勢最終是可以撲滅的，但是其帶來的損失卻難以估量。客觀環(huán)境要求信息部門人員總是要守在電話旁邊，寸步也不能離開，因為不知道什么時候業(yè)務人員或者財務人員就會打來電話。不管是業(yè)務人員下單發(fā)生問題，還是財務部報表生成不了，或者出現更嚴重的賬目問題，都有可能造成全集團的重大損失。
　　用COBIT分析決策
　　在審計署計算機中心輔助審計處陳劍看來，企業(yè)實施IT審計的必要性通常來源于兩點。其一，信息化進程的迅速推進，信息系統(tǒng)成為許多被審單位內部管理與控制的關鍵工具，因此，信息系統(tǒng)的可靠性、安全性已經直接影響審計工作的效率和質量。《審計署2006至2010年審計工作發(fā)展規(guī)劃》提出“逐步開展對關系國計民生的重大行業(yè)、部門的聯網審計，全面提高計算機應用水平”的要求。
　　其二，信息技術作為企業(yè)發(fā)展的重要支撐，投資額度不斷加大，投資失敗的風險日漸成了企業(yè)難以承受之重。為了有效控制IT運營成本，更好地提升企業(yè)價值，勢必需要對相關IT活動加以控制。
　　對于中化集團這樣規(guī)模龐大的集團企業(yè)而言，遍布全球的信息系統(tǒng)可能處處隱藏著一些盲點，它們隨時都有可能成為企業(yè)的隱性漏洞而發(fā)生些許意外，如果發(fā)生大的意外，將可能造成無法挽回的損失。而企業(yè)的屬性又決定了業(yè)務不允許被中斷，并希望故障時間越短越好，越能提前預防越好。因此，如何在業(yè)務人員發(fā)現問題之前，對系統(tǒng)實施實時監(jiān)控并預先對事故進行處理和解決，控制風險并治理好IT，是中化集團需要解決的戰(zhàn)略問題。
　　“IT治理的確有必要，它是一種完整的世界觀和思維范式，它引導了企業(yè)正確的IT決策。”彭勁松說，“IT治理如同ERP一樣是業(yè)界最佳實踐的結晶，當然最終都需要落在具體的方法論和工具上，就像ERP最終會落在SAP/Oracle等廠商的系統(tǒng)產品上一樣。IT治理的落腳點是通過COBIT進行表現與實施的。”
　　作為一個全面的內部控制框架，COBIT是一個在國際上公認的先進、權威的安全與信息技術管理和控制的標準。中化集團CIO彭勁松在此方面無疑是走在前列的。彭勁松告訴記者，他是最早一批參加了由ITGov（中國IT治理研究中心）主辦的“基于COBIT的IT治理”培訓，并獲得由ISACA頒發(fā)的COBIT國際資格認證的人。
　　正是基于這些對IT治理的認識，彭勁松對傳統(tǒng)信息化建設的思維范式也產生了突破性的轉變。用他的話說，就是擺脫選產品、詢價格、找解決方案的傳統(tǒng)信息化建設方法，避免被供應商牽著鼻子走的局面，取而代之的是按照科學的方法，運用COBIT工具進行分析，來幫助中化集團信息技術部做項目決策。
　　流程分解井然有序
　　然而，當彭勁松把COBIT引入中化集團后，情況的確有了改觀。基于COBIT標準，中化集團把IT目標總共定義為24個流程，然后對照自身企業(yè)需要達到的效果，從中確定其中4個流程的管理為實現目標，即確保連續(xù)性服務、管理服務臺和事件、管理性能與容量、管理數據。
　　在整個分析和準備的過程中，每一份調研文檔、每一次會議記錄、每一個工作流程都嚴格按照COBIT的方法備案或執(zhí)行。中化集團經過一段時間的“自我診治”，將以上4個流程的管理轉化成了中化集團在IT系統(tǒng)管理方面最重要和緊迫的具體需求：其一是支持業(yè)務連續(xù)性的基本容災能力；其二是應對日益復雜IT環(huán)境的基本治理能力，其中包括可靠的數據備份與恢復能力，初步的網絡、系統(tǒng)和存儲監(jiān)控能力，初步的企業(yè)級IT綜合監(jiān)控臺。歸根結底是要保障中化集團全球各個公司網絡系統(tǒng)基礎設施無障礙運行。
　　曾經新加坡合資公司通過中化國際的一個專網賬號，登錄中化集團的郵件系統(tǒng)，隨即中化集團北京總部監(jiān)控圖上立刻出現了一個紅點。工作人員隨即在監(jiān)控屏幕右側找到了發(fā)生異常的具體地點，迅速將問題鎖定在新加坡公司，并確認了異常信息的性質。因為該公司具有獨立的Internet出口，工作人員登錄后在中化集團出現了一個新的登錄端口地址，所以系統(tǒng)即認為是異常。換句話說，改善后的系統(tǒng)可以完整地處理突發(fā)的跟蹤流程，即感知、隔離、診斷、采取行動、評估。
　　“以前系統(tǒng)沒有統(tǒng)一管理，比如像九江斷網這樣的異常情況基本上不可能被發(fā)現，一旦問題不能及時發(fā)現，就很有可能變成一個網絡漏洞，進一步甚至會發(fā)生黑客攻擊等未知的事件。”中化集團的一位IT工程師感嘆道。
　　如今，彭勁松很少再有以前那樣“四處救火”的狀態(tài)。因為引入了COBIT這個IT治理工具，同時又按照ITIL的指導建立起了IT服務流程，中化集團的IT服務管理變得井然有序。