中化集团IT审计“蛛网”脱困记
如果一个企业的实践经验,能够成为全行业的指导规范,这势必是值得分享的事情。 中化集团实施的IT治理就是如此。作为中化集团IT治理的主导者,信息技术部总经理彭劲松告诉记者:过去几年,中化集团不断通过IT
如果一个企业的实践经验,能够成为全行业的指导规范,这势必是值得分享的事情。
中化集团实施的IT治理就是如此。作为中化集团IT治理的主导者,信息技术部总经理彭劲松告诉记者:“过去几年,中化集团不断通过IT审计完善企业内部控制机制,在IT治理上逐渐摸索出了自己的经验,现在我们正配合审计署把这些经验进一步总结提炼。”
2009年年底,审计署把中化集团确定为企业IT审计的试点单位,通过把中化集团在IT审计方面的成功经验总结提炼,最终融入审计署的相关指导规范中。
其实早在2008年上半年,审计署曾组织中国烟草总公司、中国石油化工集团、中化集团开展了信息系统审计调查。2008年下半年,审计署又组织中化集团及天津公司开展了信息系统审计项目,这是审计署第一次独立组织的信息系统审计项目。如今,中化集团凭借其信息系统审计实践,成为审计署的典型案例之一。
救火?救火!
作为国内最重要的国有骨干企业之一,中化集团业务包括石油、化工、化肥、金融以及房地产等多元化业务,下属有超过100家各种类型的大小公司,在海外还有四大集团。因为这样,支撑其运营的IT系统变得异常复杂。为了确保IT系统运行并使业务发展更加顺畅,相应的IT审计势在必行。
目前,中化集团已经建立起一套完备的承担全球各个公司业务的信息系统,其中以ERP系统为核心,包括内部办公自动化系统、分销管理系统、内部门户等系统在内的企业信息化平台,可以进行有效的业务管理和流程控制。但是要监控这些系统对信息技术部来说是一个极大的挑战。
过去发生技术故障,彭劲松总是要等事故发生后才从业务人员的反馈中得到信息,而且涉及大量人员,要进行电话逐一排查,不仅耗费大量的工作时间,还给相关部门造成了很大的被动,就像救火队员,火势最终是可以扑灭的,但是其带来的损失却难以估量。客观环境要求信息部门人员总是要守在电话旁边,寸步也不能离开,因为不知道什么时候业务人员或者财务人员就会打来电话。不管是业务人员下单发生问题,还是财务部报表生成不了,或者出现更严重的账目问题,都有可能造成全集团的重大损失。
用COBIT分析决策
在审计署计算机中心辅助审计处陈剑看来,企业实施IT审计的必要性通常来源于两点。其一,信息化进程的迅速推进,信息系统成为许多被审单位内部管理与控制的关键工具,因此,信息系统的可靠性、安全性已经直接影响审计工作的效率和质量。《审计署2006至2010年审计工作发展规划》提出“逐步开展对关系国计民生的重大行业、部门的联网审计,全面提高计算机应用水平”的要求。
其二,信息技术作为企业发展的重要支撑,投资额度不断加大,投资失败的风险日渐成了企业难以承受之重。为了有效控制IT运营成本,更好地提升企业价值,势必需要对相关IT活动加以控制。
对于中化集团这样规模庞大的集团企业而言,遍布全球的信息系统可能处处隐藏着一些盲点,它们随时都有可能成为企业的隐性漏洞而发生些许意外,如果发生大的意外,将可能造成无法挽回的损失。而企业的属性又决定了业务不允许被中断,并希望故障时间越短越好,越能提前预防越好。因此,如何在业务人员发现问题之前,对系统实施实时监控并预先对事故进行处理和解决,控制风险并治理好IT,是中化集团需要解决的战略问题。
“IT治理的确有必要,它是一种完整的世界观和思维范式,它引导了企业正确的IT决策。”彭劲松说,“IT治理如同ERP一样是业界最佳实践的结晶,当然最终都需要落在具体的方法论和工具上,就像ERP最终会落在SAP/Oracle等厂商的系统产品上一样。IT治理的落脚点是通过COBIT进行表现与实施的。”
作为一个全面的内部控制框架,COBIT是一个在国际上公认的先进、权威的安全与信息技术管理和控制的标准。中化集团CIO彭劲松在此方面无疑是走在前列的。彭劲松告诉记者,他是最早一批参加了由ITGov(中国IT治理研究中心)主办的“基于COBIT的IT治理”培训,并获得由ISACA颁发的COBIT国际资格认证的人。
正是基于这些对IT治理的认识,彭劲松对传统信息化建设的思维范式也产生了突破性的转变。用他的话说,就是摆脱选产品、询价格、找解决方案的传统信息化建设方法,避免被供应商牵着鼻子走的局面,取而代之的是按照科学的方法,运用COBIT工具进行分析,来帮助中化集团信息技术部做项目决策。
流程分解 井然有序
然而,当彭劲松把COBIT引入中化集团后,情况的确有了改观。基于COBIT标准,中化集团把IT目标总共定义为24个流程,然后对照自身企业需要达到的效果,从中确定其中4个流程的管理为实现目标,即确保连续性服务、管理服务台和事件、管理性能与容量、管理数据。
在整个分析和准备的过程中,每一份调研文档、每一次会议记录、每一个工作流程都严格按照COBIT的方法备案或执行。中化集团经过一段时间的“自我诊治”,将以上4个流程的管理转化成了中化集团在IT系统管理方面最重要和紧迫的具体需求:其一是支持业务连续性的基本容灾能力;其二是应对日益复杂IT环境的基本治理能力,其中包括可靠的数据备份与恢复能力,初步的、系统和监控能力,初步的企业级IT综合监控台。归根结底是要保障中化集团全球各个公司网络系统基础设施无障碍运行。
曾经新加坡合资公司通过中化国际的一个专网账号,登录中化集团的邮件系统,随即中化集团北京总部监控图上立刻出现了一个红点。工作人员随即在监控右侧找到了发生异常的具体地点,迅速将问题锁定在新加坡公司,并确认了异常信息的性质。因为该公司具有独立的Internet出口,工作人员登录后在中化集团出现了一个新的登录端口地址,所以系统即认为是异常。换句话说,改善后的系统可以完整地处理突发的跟踪流程,即感知、隔离、诊断、采取行动、评估。
“以前系统没有统一管理,比如像九江断网这样的异常情况基本上不可能被发现,一旦问题不能及时发现,就很有可能变成一个网络漏洞,进一步甚至会发生黑客攻击等未知的事件。”中化集团的一位IT工程师感叹道。
如今,彭劲松很少再有以前那样“四处救火”的状态。因为引入了COBIT这个IT治理工具,同时又按照ITIL的指导建立起了IT服务流程,中化集团的IT服务管理变得井然有序。
免责声明:本文仅代表作者个人观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
我要收藏
个赞