精华内容
下载资源
问答
  • 本文以信息系统审计与控制协会(ISACA)发布的IT内部控制目标(COBIT)框架为理论基础,结合国内运营商信息技术内部控制的现状,提出了系统构建电信企业信息技术内部控制体系的方法,设计了基于COBIT框架的信息技术...
  • 根据财政部"十二五"时期稳步推进内部控制规范体系建设的相关要求,结合COSO的理论框架及煤炭企业生产经营实际情况,提出了基于信息技术的煤炭企业内部控制体系结构框架,并对三大系统进行了详细介绍。该研究对指导我国...
  • 企业内部控制体系建设路径及启示 ——基于某公司内控建设案例研究 来源:新浪博客作者:马军生2013-01-25 XY股份有限公司为符合上市公司内控法规要求,提高企业经营管理水平和风险防范能力,促进企业可...
    企业内部控制体系建设路径及启示 ——基于某公司内控建设案例研究
    来源:新浪博客 作者:马军生 2013-01-25
    XY股份有限公司为符合上市公司内控法规要求, 提高企业经营管理水平和风险防范能力,促进企业可持续发展,根据财政部、证监会等五部委印发的企业内部控制基本规范及配套指引的要求,聘请外部咨询公司,2011年3月起着手进行内控体系建设工作。根据《企业内部控制基本规范》及其配套指引要求,结合国外公司经验,企业内部控制体系建设通常分为4个阶段,内部控制梳理、内部控制整改固化、内部控制自我评价和内部控制审计,其中前3个阶段是内控建设核心工作,需由企业主导完成,内控审计由审计师在企业配合下实施。
     
    为做实做好内控规范体系建设工作,公司于2011年3月正式成立内控工作领导小组,由公司董事长牵头,高层领导主管、总部各部门负责人及各分子公司总经理作为组员,负责组织领导公司内部控制规范化建设工作。2011年3月中旬召开内控实施项目启动会,对公司内控建设工作进行了部署和动员,并制定公司内控实施计划及工作方案。
       
      一、建立内控建设组织架构,明确相关人员职责。
     
    内部控制建设作为一项长期系统性地工程,并非一蹴而就,公司决定建立一种长效领导机制持续运作。公司内控体系建设组织架构图如下,并明确董事长为内部控制实施工作的第一责任人;公司总经理、副总经理为内控实施的具体负责人。 
    (一)内控领导小组职责
    经第六届第十次董事会审议通过,公司成立风险管理委员会,成员包括董事长、审核委员会主席、总经理、分管主要业务的公司高管及专业人士,作为内控工作领导小组。
    风险管理委员会对董事会负责,主要履行以下职责:
    (1)负责营造良好的内部控制建设环境;
    (2)负责制定公司内部控制战略规划,提出总体建设方案;
    (3)负责审议重大决策、重大风险、重大事件和重要业务流程的判断标准或判断机制,以及重大决策的风险评估报告;
    (4)部署内部控制建设、执行及监督活动等;
    (5)审议《内控手册》的编制、修改及更新;
    (6)提交《内部控制评价报告》;
    (7)协调公司内部控制建设的重大事项;
    (8)考核内部控制建设的相关人员,保持公司整体利益和方向的一致性。
    (二)内控项目小组职责
    1、公司在风险管理委员会下设立风险管理委员会办公室作为内控项目组,主要履行下列职责:
    (1)全面贯彻执行风险管理委员会关于内部控制建设的精神和方针;
    (2)制定公司内部控制建设阶段性的目标及实施方案,提交风险管理委员会审核;
    (3)负责内部控制建设的有效实施和运行,落实内部控制建设的具体责任;
    (4)研究提出《内部控制评价报告》;
    (5)负责公司《内控手册》的编制、修改及更新;
    (6)审核在内部控制建设过程中存在的问题,督促各部门进行整改。
    2、公司在风险管理委员会办公室细分为4大系统,即风控系统、战略与证券系统、财务系统和运营系统,明确各系统的具体职责。
    3、风险管理委员会办公室成员主要来自于财务管理部、战略与证券管理部、风险管理部、管理创新部、营销中心、质量与客服部、供应链中心、法律事务部、研发中心、制造中心及战略人力资源部,配备33名专职人员。各业务单位、职能部门及子公司(事业部)在风险管理委员会办公室的指导下共同参与、实施内控建设工作。
    4、审核委员会作为公司内部控制体系有效性的监督机构,监督内部控制的有效实施和内部控制自我评价情况,审核及监督外部审计机构是否独立客观及审计程序是否有效,审核公司的财务信息及其披露,协调内部控制审计及其他相关事宜。
    (三)责任部门及工作预算
    与内控工作小组相对应,公司确认了内部控制建设的责任部门,即风险管理部、战略与证券管理部、财务管理部、管理创新部、营销中心、供应链中心、质量与客服部、法律事务部、制造中心、研发中心、战略人力资源部。本次内控项目工作制定了相关预算,包括内控咨询、内控审计及人力成本费用、培训费用等。为保证内控建设工作的专业化、系统化和合理化,公司聘请询公司作为外部咨询机构为公司提供专业支持,协助公司梳理、构建及完善内部控制总体架构,帮助公司识别内部控制存在的薄弱环节和主要风险,有针对性的设计控制的重点流程和内容并协助公司开展内部控制自我评价工作。 风控系统人员将全程参与风险识别及评估、编制风险清单及控制矩阵、内控缺陷整改、开展内控评价等工作,为公司培养内部控制建设及评价人才。

      二、内控体系建设工作具体推进
     
    内部控制建设工作,公司将分为五个阶段,时间从2011年4月1日至2012年1月31日,总体安排如下:
    (一)确定内控实施范围(2011年4月10日前完成)
    根据证监局文件精神,结合公司实际,本次内控实施范围为股份公司、一家上海子公司及一家广州子公司。
    按照《企业内部控制基本规范》及其配套指引要求,结合公司业务性质,公司将重点关注发展战略、组织架构、人力资源等公司层面3大流程,以及信息系统、财务报告、信息披露、关联交易、全面预算、资金活动、采购业务、销售业务、资产管理等业务层面9大流程。
     各流程责任人如下(××代表责任人姓名):
    流程 第一责任人 具体负责人 内控协调人 中介机构责任
    发展战略 × × ×
    组织架构 × × × ×
     ……
     注:上述责任人适用于内控建设中的每个阶段。
    (二)风险识别及评估 (2011年5月31日前完成)
    1、流程梳理:公司通过访谈、审阅文档或问卷调查等方式梳理流程,明确上述12大流程的相应子流程,完善组织架构和审批授权指引,根据统一的模板编制业务流程图。在流程梳理过程中,及时发现并记录有遗漏、杂乱、不符合相关法律、不相容职务未分离或权限设置不合理等内控缺失的工作流程,采取相应的措施规范操作流程,避免内部舞弊等重大风险出现,提高工作效率。
    2、风险识别:结合《企业内部控制基本规范》及相关配套指引所列示的风险、公司客户审核要求、内审报告、提案改善、质量事故等初始资料,从风险发生的可能性和影响程度,对子流程中涉及到的每个控制点进行综合分析,识别固有风险,评价风险等级,形成风险清单。
    3、文档记录:根据风险等级,识别流程中的关键控制活动,并在流程图中进行编号;编制流程描述、风险控制矩阵等内控文档对控制活动和控制点进行记录。
    4、查找内控缺陷:将公司现有制度和控制措施流与风险清单进行比对,通过穿行测试、控制测试等手段,获取关于内控设计和运行有效性的证据,查找内控缺陷,形成《风险数据库》和《内控风险诊断和评价报告》。对发现的重大缺陷及时报告董事会及管理层,管理层对发现的内部控制缺陷应及时制定内控缺陷整改方案。
    (三)确定内控缺陷整改方案 (2011年6月30日前完成)
    1、编制《内部控制管理建议书》:公司对发现的内控缺陷进行分类分析,确定内控缺陷的重要性程度,区分设计缺陷和运行缺陷,形成《内部控制管理建议书》。
    2、制定内控缺陷整改方案:公司根据《内部控制管理建议书》和具体的控制缺陷,提出整改时间及责任部门、人员,形成内控缺陷整改方案。
    3、提交审议:内控缺陷整改方案应当经过风险管理委员会审议通过。
    (四)内控缺陷整改 (2011年9月30日前完成)
    1、落实整改、提交报告:责任部门将按照内控缺陷整改方案对发现的缺陷进行逐一整改,完善公司各项内部控制管理制度和控制措施,提交《内控缺陷整改报告》;内控项目组连同中介机构对缺陷整改情况进行运行有效性测试,形成《内控运行测试报告》。
    2、编制《内部控制手册》:内控项目组根据风险清单和各项内控文档等资料,编制《内部控制手册》,并对手册内容进行实施辅导和推进执行。
    3、编制《内控自我评估工作指引》:内控项目组编制《内控自我评估工作指引》,为下一步内控自我评价工作的开展奠定基础。
    4、提交审议:《内控缺陷整改报告》、《内控运行测试报告》、《内部控制手册》及《内控自我评估工作指引》应报风险管理委员会审议。
    (五)内控持续推进和内控自我评价
    公司在内控体系成果完成后,将予以持续推进,并根据辖区证监局要求,公司将于每季度结束后的10个工作日内,向证监局报送内控进展情况说明,并在定期报告中予以披露。每季度进展情况说明至少包括该季度内控建设工作的开展情况、与工作方案中计划进度的对照情况、差异原因以及拟采取的解决措施等。
    通过以上工作,公司初步建立健全了内部控制体系,有效提高了内控管理水平。 

      三、企业内控体系的“落地”和持续推进
     
    XY公司在完成内控体系初步建设完成后具体推行过程中,一些部门和员工或因对新的内控制度理解不够,或因由于长期工作习惯难以改变,或因内控制度变革触及自身利益而不愿遵循,使得内控制度在一段时期内一直都不能落到实处。如何真正将内控体系有效执行下去,并保持内控体系的持续完善和提高,是管理层迫切需要解决的难题。
    为了切实将内控制度体系真正“落地”,XY公司通过全方位内控培训、加强内控检查与监督、完善考核及激励机制以及借助第三方专业机构的持续辅导等措施,有力地保证了内控建设的持续维护,公司的内控建设取得了卓有成效的进展。
    具体来说,采取的主要措施有:
    (一)完善内控工作组织架构,成立内控部,强化审计部,建立推进内控工作的组织机构和运行机制。
    通过对国际大企业内控建设的现状和过程的全面考察,XY公司发现要实行有效的内部控制,必须建立相配套的组织架构。为此,公司由管理高层成立了内控工作领导小组,各子公司管理层对应的成立内控管理小组;在部门设置上,XY公司新成立了内控部,各下属子公司根据其规模大小设立内控部或内控负责岗,负责内控建设工作;在内控监督上,转变了原有的审计部的职责,增加了内控评价和检查的功能,并由公司董事会的审计委员会直接领导,在规模较大的子公司同时设立内部审计专员,负责子公司的内控自查。
    (二)注重内控环境建设,进行全方位内控培训。
    XY公司通过一系列的培训和辅导,提高各层级管理人员和基础员工对内控理念的认识,营造有利的内控工作开展的文化环境。首先,公司抓好以普及内控基本知识、营造内控实施环境的宣传工作。公司内控部组织编制了《内控宣传册》,在股份公司各职能部门和下属公司主要管理干部范围内发放学习。手册通过生动的案例和形象的语言帮助各级管理人员统一对内控的理解和认识,减少内控推进的思想阻力。
    其次,公司根据内控规范实施的进度,围绕内部控制的各个方面,开展了包括基础理念、管理制度、风险评估、内控评价、内控考核在内的各类集中的专题培训,对内控制度的编制和实施起了极大的推进作用。
    (三)建立内控推进的沟通机制,保证内控建设持续性和问题解决的及时性。
    自内控制度建设正式推进以来,为了保证推进的执行力,公司开展了全方位的信息沟通机制,实现了信息的实时传递,和通畅的上传下达。
    首先,XY公司建立了周例会制度。内控领导小组每周组织内控工作例会,由公司董事或审计委员会主任主持,参与者包括内控领导小组成员、内控部、审计部、财务部、各子公司的内控负责人等。总部各职能部门及各子公司必须在会上以书面形式上报“内控工作一周报告”,汇报内控的进展情况、存在的问题、解决的方案、遇到的困难以及需要股份给予协助的事项,并由内控领导小组组长对相关的具体问题提出意见和工作指导,会后股份公司内控部负责对每家子公司进行回复,保证所有的问题都能得到及时有效的解决。所有会议记录和相关文件在会后抄送股份公司的总经理和董事会,并抄送相关子公司的管理层,保证管理高层对内控进展的时刻了解。
    其次,公司建立了内控体系的月度工作总结。每月末各个子公司的内控负责人就内控开展情况进行工作总结,由内控部在股份公司管理层、子公司管理层以及相关内控负责人之间进行通报,督促各子公司的内控执行力。
    第三,建立了重大项目的单独汇报机制。各子公司的内控负责人对于子公司内控建设中发现的重大问题要求及时向内控领导小组和股份内控部进行汇报,以实时处理可能的重大风险。此外,股份公司的内控部长、审计部长、财务总监的联系方式向子公司的所有内控负责人和内控专员公开,作为信息直接传递的一个重要渠道,帮助股份公司及时了解下属子公司内控风险。 
    (四)完善内控评价检查机制,建立了多层次的内控检查体系。
    为了保证内控制度的落地和真正有效的执行,公司从各子公司到股份公司的内控部和审计部,再到外部独立的第三方中介,建立了全方位的内控评价和检查体系。股份公司内控部对各业务循环定期开展内控检查,通过发放内控调查清单以及内控专员的现场检查,发现子公司在内控建设中的不足,并及时下发风险联系函、风险关注函和风险警示函,以帮助子公司及时进行内控整改和完善。其中联系函主要是对子公司联系函件的回复为主;关注函主要是对子公司发生的业务表示关注,一般要求对方在一定时间内给出书面说明;警示函是在关注函的基础上对于重大风险或执行不到位的情况给予警告。
    股份公司审计部对各子公司每年开展两次的内控评价。为了实现评价的量化和标准化,审计部编制了内控评价底稿通过检查,对子公司形成内控建设的量化评价,并针对检查中发现的问题出具改进建议,并要求各子公司在规定的时间内予以整改,总部内控部对子公司整改措施和整改质量进行全程的监督,整改完成后,审计部及时予以复查,确保审计中发现的问题能及时整改。
    (五)将内控建设纳入绩效考核,通过奖惩机制实现内控的有效性。
    首先,为有效发挥各下属子公司的管理者在内控推进中的作用和积极性,自200×年开始,股份公司将审计部对各子公司的内控评价结果纳入其管理班子的绩效考核的指标中,明确了管理班子对于内部控制建设的责任和关键任务。通过这种绩效考核,激励管理层切实关注和推动内控的执行工作,从而为内控工作的推进建立良好环境。
    其次,对于股份公司向各子公司委派的重要人员也直接与内控建设挂钩。公司出台了《委派内控人员绩效考核管理办法》,对各个子公司的内控负责人实施全面的内控建设考核,明确了委派的内控人员的绩效考核指标、考核方式和奖惩机制,进一步促进了委派内控人员的工作落实力度;其次,对于股份委派的财务负责人,也在其年度考核的总分中(100分制)纳入了相当比重的的内控建设的相关内容,从财务职能加强了对子公司的内控推进。
    (六)充分发挥专业中介机构力量
    XY公司在开始建立内控体系即聘请的专业咨询公司提供咨询服务,在整个体系建立过程中,充分发挥咨询公司专业力量,并聘请专业顾问对公司人员进行培训,提高公司人员内控理念和技能。在内控体系初步建立之后,仍继续与咨询公司保持合作,借助咨询公司在专业及独立性方面优势,共同推进公司内控持续建设工作,在内控持续建设工作中,专业咨询公司提供了大量了专业意见和培训辅导服务,帮助公司完善各项成果,使得公司的内控持续建设取得了令人瞩目的成效。 

      四、企业内控体系建设过程的经验和启示
     
    在公司董事会、各层级管理人员和基础员工不懈努力下,公司内部控制体系的建设取得了一系列的良好效果,全公司各级员工的风险管理意识显著提高,对风险的理解和重视切入到各个业务和管理环;强化了各项经营活动的规范化操作,实现了重大经营活动的集体化决策机制,有效防范了决策风险;提高了公司的财务管理水平,保证了从产业公司到股份公司的各层级财务数据的真实公允以及资金、资产的安全;加强了公司对新经营环境下管理风险的关注;完善了公司的风险预警机制,提高了各职能部门对业务发生之后的潜在风险的持续监控、分析和应对。公司在内控体系建设和推进过程中,主要的经验和启示有:
    1、公司董事会和最高管理层的重视和亲自参与
    在XY公司董事会,无论是大股东委派董事、非执行董事还是独立董事,都非常重视和关心内部控制体系的建设工作。作为公司的大股东,集团对股份公司的内控建设给予了极大的理解和支持,有力的推动了产业公司的内控建设的进程。董事会的定期会议都将内部控制进展情况作为重要议题沟通,对于内部控制推进中出现的任何问题,董事会层面时刻给予相应和支持。
    在公司管理层方面,成立了内控领导小组,投入了大量的人力和财力,带领企业员工共同进行内部控制建设,为内部控制的推进提供了良好的内部环境,同时也激发员工的积极性和主动性,推动企业内部控制朝更顺利、更完善的方向发展。
    2、对内部控制理念以及其与公司其他管理体系关系的认识统一
    XY公司在内控推进的第一阶段大力推行高频率、大幅度的培训,帮助各级管理者以及基层员工了解内部控制的主要原理和价值,减少内控实施中的思想阻力。其次,公司统一了内控体系与其他管理体系的认识,内部控制和风险管理不是一套孤立的新的体系和制度,而是一种基于“目标-风险-控制-监督”框架的管理思路,这种管理思路可以融入到企业的所有其他的管理体系和管理制度中去,是对企业原有的管理制度的整合和提升。
    3、制定了清晰明确的内部控制战略规划
    公司根据自身实际情况,在订并提出了内部控制的五年两步走的规划,并将其纳入到公司的5年战略规划中。第一阶段(3年),通过自上而下的刚性要求,构建全面的统一化的集团内部控制架构,并通过理念灌输形成内控推进的文化范围;第二阶段(2年),通过自下而上的,自觉的内控体系的完善,形成各个产业公司的特色化内部控制。这一从强制到自觉,从理念普及到制度完善再到内控手册的表格化提升的建设步骤,使得公司从管理高层到基层员工的各级人员都明确内部控制不同时期的不同任务及不同发展状态,稳步推进,逐步加深,为内部控制的发展道路勾画了清晰路径。
    4、因企制宜的实施方案
    XY公司意识到对于集团化企业,内部控制不能是一刀切的,公司要实行内部控制,需要根据自身的业务类型、公司规模、公司所处阶段来选择适宜的内部控制方法。
    首先公司在吸收了五部委内部控制基本规范和配套指引的相关精髓的基础上,结合企业经营实践,基于先主后次的重要性原则以及成本收益原则,提出了以若干业务循环作为公司内控建设的主要循环范围。
    其次,考虑公司的人员能力和素质,在内控成果上也没有一步到位册,而是以制度建设为基础,通过制度规范,到流程优化再到风险提炼,逐步实现内部控制的层层递进。
    第三,在内控推进上,公司充分考虑下属各产业公司的业务特点,确定适合各公司的内部控制方式和侧重点。
    5、循序渐进的实施步骤
    (1)自上而下的理念推进向自下而上的流程推进的递进。
    在内控实施的第一阶段,公司强调自上而下的理念推进。公司通过内部培训、各种工作会议达成内控理念的统一,并向各子公司传达,之后各子公司则进行自下而上的内控流程推进,即各产业公司根据自身的内部流程,进行制度的完善,并经由公司内控部审核后实施。
        (2)由总部出台框架性的制度到各个子公司制订针对性的业务流程的递进。
     公司内控部结合外部力量制定框架性的制度,明确各业务循环的关键控制点和操作要求,各产业公司根据自身业务情况,在满足框架制度要求的前提下制定适合企业自身的管理制度,以求更贴近产业公司的经营管理实践。
       (3)普遍性、通用性的风险点向专业性、针对性的风险点的递进。
    公司首先根据对产业公司实际情况的调研,绘制公司的全面风险数据库,梳理出具有普遍性的通用性主要风险点,之后,各产业公司在实际操作中不断发现专业性、针对不同企业业务特色的独特风险,以实现内部控制的完善。
        (4)抓重点公司,抓主要循环和风险、抓典型事件。
    公司的内部控制遵循重要性原则,关注重点公司级重要循环与风险,并关注典型事件,以期通过重点带动全面,推动内部控制的发展。
    6、借助外部专业中介机构推动内控建设
    外部专业机构相对具有更丰富的内控专业力量和实施经验,并且具有客观性和独立性,XY公司在整个体系建立过程中,充分发挥咨询公司专业力量,但也没有完全依赖中介机构甩手不管,而是充分参与和配合,在内控建设过程中,实现知识传递和内控人才培养,取得了较好的实施效果
    展开全文
  • 本文介绍了《企业内部控制基本规范》(以下简称基本规范)出台的背景和主要内容,比较了该规范与国内电信企业内部控制框架的主要差异,提出了满足国内外内部控制框架整合要求的内控体系设计方法,并对基本规范在电信...
  • 企业内部控制

    2013-03-05 22:12:01
    因素,挖掘内部控制相关理论基础,从内部控制的概念、框架体系的再延伸,到内部控制的制度建设、执行、 评价、信息披露等理论和实践体系的发展和改进,特别指出内部控制呈现出与企业战略、公司治理、企业价值、 全面...
  • 分析了信息技术对内部控制的影响,对IT控制、IT环境下的内部控制等概念进行了辨析,分析了COSO内部控制整合框架和风险管理框架、SOX法案,COBIT,ITIL及我国企业内部控制规范等目前国内外广泛采用或研究的内部控制框架或...
  • 3.企业内部控制基本规范的框架体系 基本规范/应用指引/内控评价指引/内控审计指引 4.内部控制与风险管理、信息化的关系 内部控制与风险管理/内部控制与信息化建设 5.企业如何实施内部控制规范及其配套指引 实施范围...
  • 中国联通内部控制基本执行路径: 1.请管理咨询公司普华永道,制定满足SOX要求,遵循COSO框架的制度 2.在企业各个层面落实 3.企业请外审公司对执行情况进行审计,得出结论。 4.在资本市场公布审计结果
  • 随着企业价值链深度、广度扩充后经营的复杂性以及经济全球化进程的加快,企业面临的各种风险不断增大,建立内部控制管理体系、加强风险和危机管理机制、巩固企业可持续...或在中国大陆通称内部审计)既是企业内部控制
       随着企业价值链深度、广度扩充后经营的复杂性以及经济全球化进程的加快,企业面临的各种风险不断增大,建立内部控制管理体系、加强风险和危机管理机制、巩固企业可持续发展基石,已经成为企业普遍关注的焦点。内部稽核(Internal Auditor;或在中国大陆通称内部审计)既是企业内部控制管理体系的一部分,又是内部控制管理体系持续有效性运行以及企业实现内部控制目标的确认者,参与企业内部控制体系建设、绩效评估,确保企业内部控制制度(包括各项管理规章)持续有效运行;此既是国家赋予企业内部稽核部门的法定职责,也是企业内部稽核发展的机会与严峻的挑战。因此,本文拟对内部控制与内部稽核的关系进行剖析,并提出了加强内部审计,促进内部控制的措施。
    

    一、内部控制和内部稽核的内容
    1.内部控制(Internal Control)

         企业的内部控制是指企业管理阶层为了:⑴保证运营管理活动的有效进行;⑵保障资产的安全、完整;⑶防止、发现和纠正错误与舞弊;⑷保证会计资料的真实、合法、完整等目的而制定和实施的政策、措施和程序(坊间对于内部控制理论实务研究、发表可供参考文献不少,本文不予赘述)。遵循美国COSO报告《内部控制整体架构》内控五分法的内容,内部控制是由五大要素组成,即控制环境、风险评估、控制活动、信息与沟通和监控。其中监控(范围虽然包括管理阶层的督导责任,但通常重点就是内部稽核监督)位于组成要素顶端的重要位置,是内控系统的特殊构成要素,它独立于各项生产经营管理控制活动之外,是对其他各项内部管理控制过程与结果的一种再控制。

    一个有效的内部控制管理系统应该满足以下条件:⑴能够保证业务活动按照恰当的授权进行;⑵能够使所有交易和事项在合法合规与适切金额的过程进行;⑶所有交易和事项真实、完整在适当的会计期间及时进行记录;⑷保证财务信息的真实、完整与可靠,并依规定适时公布企业财务与非财务信息;⑸有利于贯彻既定的管理方针,提高经营管理效率;⑹有利于通过检查有关数据的正确性和可靠性、确保内部控制、管理规章的有效实施。通过实践得出的结论是:得控则强、失控则弱、无控则乱。内部控制管理系统是企业管理过程的重要次级系统,更是现代企业持续发展的重要基石。

    2.内部稽核(Internal Auditor)

         企业内部稽核宗旨在于“检查及评估内部控制制度的妥当性与有效性及营运活动的绩效性”;是由参与企业管理的各部门、各单位内部设置的专门机构或人员实施的内部审计活动。也就是在单位内部建立的一种独立的评价监督部门,其目的是协调单位人员有效履行责任,监督各项管理措施的执行并对其作出评价,以促进企业管理效率的提高。它主要是对内部控制的有效性、财务信息的真实性和完整性以及经营活动的效率和效果所开展的一种评价活动,并实施内部监督,为企业内部管理服务。它既是企业内控体系的一个重要组成部分,又是企业内部的经济监督机构。现代企业内部稽核工作主要涵盖以下内容:

    财务收支控制活动稽核
    1. (包括销售收款、采购付款、融资、有价证券与人事薪工付款、税务等过程管理的稽核)。主要是评价和监督企业是否做到资产完整、财务信息真实及经济活动收支的合规性、合理性及合法性,对会计记录和报表分析提供资料真实性和公允性证明。
    2. 经济责任控制活动稽核(包括预算制定与执行、生产管理、专案审查与追踪等过程的稽核)。主要是评价企业内部机构、人员在一定时期内从事的经济活动,以确定其经营业绩、明确经济责任,这里包括领导干部任期经济责任稽核和年度经济责任稽核。
    3. 经济效益控制活动稽核(包括投资、安装建设过程的稽核。稽核重点是在保证社会效益的前提下以实现经济效益的程序和途径为内容,对企业的经营效果、投资效果、资金使用效果作出判断和评价,其中基建工程预决算审计应为重中之重。
    4. 内部控制制度、控制活动有效性评估。主要是对企业组织架构、内部控制管理系统与其他制度规章的完整性、适用性及有效性进行评价。
    5. 开展明晰产权的稽核(包括证照、公章、资产保管过程的稽核)。主要是检查企业资产产权归属与各项资产、公章保管控制的适切性,避免造成资产流失或其他有损企业利益的行为。
    6. 其他专案稽核(包括领导交办、风险评估、异常改善的专案稽核)。结合企业自身行业特点,经过风险评估对企业经营、管理等方面的稽核活动,上级领导交办或各管理阶层请求办理的专案稽核活动。


    二、内部控制与内部稽核的关系

    1. 1.内部稽核是内部控制的重要组成部分,两者相互渗透、相互促进。 
      内部稽核在内部控制中虽属于监控要素范围,是单位自我独立评价的一种活动,活动过程深受控制环境质量优劣与否所制约,而稽核活动质量优劣与否又是影响控制环境的关键性指标,两者唇齿相依;内部稽核本身就是一种控制,它按照内部控制目标要求,通过内部控制制度为其制定的稽核程序和方法及要完成的任务、达到的目标,协助单位最高管理者监督内部控制政策和程序的有效性,藉评估、修订过程及异常事项的持续改善来建立优质的控制环境,是故,内部稽核能为改进内部控制提供建设性意见,对企业建立优质的控制环境起到指导性的作用。内部稽核也在风险管理中发挥不可替代的独特作用,没有内部稽核的评价、监督与回馈,就难以形成良好的企业内部控制制度;通过分析问题产生的原因和影响,协助单位上层管理者完善内部控制,促进内部控制的健全,维护内部控制的建设。反言之,内部控制则是促进内部稽核发展的母体,一个健全的内部控制管理体系,有助于内部稽核工作的开展,有助于提高稽核工作效率、降低稽核风险、提高稽核质量,更有助于扩大稽核领域,加速科技时代稽核方法的演进与变革。
    2. 2.内部稽核是对内部控制的控制。
      内部稽核独立于企业会计控制之外,代表管理阶层对整个企业内部控制制度的健全性、有效性及其遵循情况等进行客观评价,具有其他任何部门和控制所无法代替的重要作用。目前,内部稽核范围已从传统的财务收支稽核扩展到经营管理的各方面。内部稽核促进内部控制,通过分析问题产生的原因和影响,协助单位上层管理者完善内部控制,促进内部控制的健全,维护内部控制的建设。
    3. 3.二者相辅相成,缺一不可。
      内部稽核根据内部控制准则、管理规章进行各项稽核活动,内部控制素质比任何其他因素更能决定稽核的形式。没有健全的内部控制制度作基础,内部稽核活动就无法开展;没有良好的内部控制,会计、财务信息会出现失真,管理人员责任会不明确,企业经营管理会出现混乱现象等,不影响内部稽核工作绩效,同时更加大内部稽核的风险,从而制约了内部稽核的发展。同理,内部控制需要内部稽核,没有内部稽核对内部控制设计的健全程度和运行的有效程度的评审和进一步完善强化内部控制的建议,内部控制也只能原地踏步,造成与现实不符、效果不佳、甚至形同虚设,或因内部控制的局限性,给不法之徒以可乘之机,造成控制活动异常或导致失控。
    4. 4.内部稽核的角色由监督者逐步转变为控制者。
      中国审计署审计长李金华先生曾讲过,要把内部稽核定位为四个字「管理+效益」,将内部稽核作为一个控制系统而不仅是一个检查系统。内部稽核师(CIA)的主要作用是「确认和建议」,而不再是以往的「监督和复核」。内部稽核通过咨询、评估与诊断活动,为管理阶层提供独立、超然、客观的专业服务,为企业风险管理出谋划策,降低企业风险,从而在实质上促进财务报告内容的确定性和质量的提高。

    三、内部稽核在内部控制中的作用
    1.参与内部控制的风险评估
      根据COSO内部控制整体框架,内部控制活动的开始是要进行风险评估。风险评估过程包括确立企业的目标,识别目标相关的风险,评估识别出风险的后果和可能性,针对风险评估的结果,考虑适当的控制活动。从上述过程可以看出,只有评估了风险点,才能设计有针对性的控制程序。大多数人认为全面的风险评估对于一个组织的成功已越来越重要。外部审计人员尽管具有丰富的衡量企业实现财务目标的盈利能力及企业流畅的经验,也有设计企业会计计量系统的经验,但他们对评估未来风险方面的经验不如内部审计人员,美国的研究结果表明了这一点。2001年,IIA将内部稽核定义为一种独立、客观的保证和咨询活动,其目的在于为组织增加价值和提高组织的运作效率,通过系统化和规范化的方法,评价和改进风险管理、控制和治理过程的效果,帮助组织实现目标。

    2.内部稽核促成建立良好的控制环境
      通过对内部控制制度的评审,提供纠正错弊、完善内部控制的建议,来促成良好控制环境的建立,进而有效的促进组织的控制目标的实现。主要体现在以下几个方面:

    • 内部控制的健全、有效是一个动态的过程,因为组织的经营环境在变化,自身在不断的发展,内部控制制度应适应这种变化并相应进行调整。在这种不断的调整过程中,内部稽核的职责是发现管理中是否存在的错弊,因而着重于从内部控制制度的缺陷入手进行审计,这更容易发现其存在的缺陷,进而提出改善的建议。
    • 企业的内部稽核是内部控制管理体系的一个组成要素,诸如内部稽核参与合同的评审、工程预算的审核、年度预算编制与重大投资前的审核等,就是其例证。一旦公司内部稽核成为内部控制制度的一个组成要素,内部稽核本身作用发挥的程度,内部稽核在内部控制制度运行各方面、各环节的参与度,就决定或至少影响了内部控制制度的完善和有效性程度。
    • 在企业执行分权分层管理的情况下,伴随分权,企业的部分财产相对独立地受托于企业内的分公司或部门使用。此时这些财产所有权属于企业,而分公司或部门拥有这部分资产的经营权。为了了解这些分公司或部门履行经济责任或受托责任的情况,独立的内部审计会担当此职,行使监督职能,对其职责履行情况进行鉴证和评价使内部控制的组织保证得到了进一步的加强。


    3.内部稽核有效防止了内部控制失效
      建立和完善现代组织中的监控机制,加强内部稽核的监督力度。能有效防止内部控制失效。

    • (在企业内部建立以内部稽核为主线的监控机制,对组织运行的各个环节实现不同程度与方式的监控措施,将内部稽核监督行为扩展到组织运营的具体业务中。建立以“防”为主的监控防线,结合内部稽核、离任审计、落实举报、专项审计等“查”的方式。在不同层次实施内部监控措施,不仅可以及时发现问题,而且对防范和消解企业经营中的风险,将起到重要的作用。
    • 为了保证内部控制制度能有效地发挥作用,并使之不断地得到完善,企业就必须对内部控制制度的执行情况进行检查和考核,该工作由内部稽核牵头并结合其他相关部门来定期执行对内部控制度执行情况的检查和测评工作。对于能严格按照内部控制制度执行的,给予精神鼓励或物质奖励,对于违规违章的,应给予相应的处罚,并应与今后职务升迁挂钩。进而有效增强内部控制执行的有效性。

    展开全文
  • 内部控制培训-信息系统 企业信息化带来的风险和挑战 解读《企业内部控制应用指引-信息系统》 IT控制框架体系及案例分析
  • 后端技术体系框架

    千次阅读 2020-02-12 23:45:23
    转自:https://juejin.im/post/5b59324ef265da0f69703f40,这是一篇非常好的讲解后端技术体系的文章,能让你对后端技术体系有个大概的轮廓。 这边我推荐我看过的一本书 曾宪杰《大型网站系统与Java中间件实践》,...

    https://www.cnblogs.com/loren-Yang/p/11073536.html

    转自:https://juejin.im/post/5b59324ef265da0f69703f40,这是一篇非常好的讲解后端技术体系的文章,能让你对后端技术体系有个大概的轮廓。

    这边我推荐我看过的一本书 曾宪杰《大型网站系统与Java中间件实践》,对于后端的一些服务如何从单机到分布式讲解是非常深入的,让你能够对后端各个层次的中间件框架有着进一步的理解。

    1、后端技术体系框架

    使用Java后端技术的目的就是构建业务应用,为用户提供在线或者离线服务。因此,一个业务应用需要哪些技术、依赖哪些基础设施就决定了需要掌握的后端技术有哪些。纵观整个互联网技术体系再结合公司的目前状况,笔者认为必不可少或者非常关键的后端基础技术/设施如下图所示:

    后端技术体系

    这里的后端基础设施主要指的是应用在线上稳定运行需要依赖的关键组件或者服务。开发或者搭建好以上的后端基础设施,一般情况下是能够支撑很长一段时间内的业务的。此外,对于一个完整的架构来说,还有很多应用感知不到的系统基础服务,如负载均衡、自动化部署、系统安全等,并没有包含在本章的描述范围内。

    2、统一请求入口-API网关

    在移动 APP 的开发过程中,通常后端提供的接口需要以下功能的支持:

    • 负载均衡
    • API 访问权限控制
    • 用户鉴权

    一般的做法,使用 Nginx 做负载均衡,然后在每个业务应用里做 API 接口的访问权限控制和用户鉴权,更优化一点的方式则是把后两者做成公共类库供所有业务调用。但从总体上来看,这三种特性都属于业务的公共需求,更可取的方式则是集成到一起作为一个服务,既可以动态地修改权限控制和鉴权机制,也可以减少每个业务集成这些机制的成本。这种服务就是 API 网关,可以选择自己实现。也可以使用开源软件实现,如 Kong 和 Netflix Zuul。API 网关一般架构如下图所示:

    但是以上方案的一个问题是由于所有 API 请求都要经过网关,它很容易成为系统的性能瓶颈。因此,可以采取的方案是:去掉 API 网关,让业务应用直接对接统一认证中心,在基础框架层面保证每个 API 调用都需要先通过统一认证中心的认证,这里可以采取缓存认证结果的方式避免对统一认证中心产生过大的请求压力。

    3、统一认证中心

    统一认证中心,主要是对 APP 用户、内部用户、APP 等的认证服务,包括

    • 用户的注册、登录验证、Token 鉴权
    • 内部信息系统用户的管理和登录鉴权
    • APP 的管理,包括 APP 的 secret 生成,APP 信息的验证(如验证接口签名)等。

    之所以需要统一认证中心,就是为了能够集中对这些所有APP都会用到的信息进行管理,也给所有应用提供统一的认证服务。尤其是在有很多业务需要共享用户数据的时候,构建一个统一认证中心是非常必要的。此外,通过统一认证中心构建移动APP的单点登录也是水到渠成的事情:模仿 Web 的机制,将认证后的信息加密存储到本地存储中供多个 APP 使用。

    4、单点登录系统

    目前很多大的在线 Web 网站都是有单点登录系统的,通俗的来说就是只需要一次用户登录,就能够进入多个业务应用(权限可以不相同),非常方便用户的操作。而在移动互联网公司中,内部的各种管理、信息系统甚至外部应用同样也需要单点登录系统。

    目前,比较成熟的、用的最多的单点登录系统应该是耶鲁大学开源的CAS, 可以基于 https://github.com/apereo/cas/tree/master/cas-server-webapp 来定制开发的。

    基本上,单点登录的原理都类似下图所示:


    5、统一配置中心

    在 Java 后端应用中,一种读写配置比较通用的方式就是将配置文件写在 Propeties、YAML、HCON 等文件中,修改的时候只需要更新文件重新部署即可,可以做到不牵扯代码层面改动的目的。统一配置中心,则是基于这种方式之上的统一对所有业务或者基础后端服务的相关配置文件进行管理的统一服务, 具有以下特性:

    • 能够在线动态修改配置文件并生效
    • 配置文件可以区分环境(开发、测试、生产等)
    • 在 Java 中可以通过注解、XML 配置的方式引入相关配置

    百度开源的 Disconf 和携程的 Apollo 是可以在生产环境使用的方案,也可以根据自己的需求开发自己的配置中心,一般选择 Zookeeper 作为配置存储。

    6、服务治理框架

    对于外部 API 调用或者客户端对后端 API 的访问,可以使用 HTTP 协议或者 RESTful(当然也可以直接通过最原始的socket来调用)。但对于内部服务间的调用,一般都是通过 RPC 机制来调用的。目前主流的 RPC 协议有:

    • RMI
    • Hessian
    • Thrift
    • Dubbo

    这些 RPC 协议各有优劣点,需要针对业务需求做出最好的选择。

    这样,当你的系统服务在逐渐增多,RPC 调用链越来越复杂,很多情况下,需要不停的更新文档来维护这些调用关系。一个对这些服务进行管理的框架可以大大减少因此带来的繁琐的人力工作。

    传统的 ESB(企业服务总线)本质就是一个服务治理方案,但 ESB 作为一种 proxy 的角色存在于 Client 和 Server 之间,所有请求都需要经过 ESB,使得 ESB 很容易成为性能瓶颈。因此,基于传统的ESB,更好的一种设计如下图所示:

    如图,以配置中心为枢纽,调用关系只存在于 Client 和提供服务的 Server 之间,就避免了传统 ESB 的性能瓶颈问题。对于这种设计,ESB 应该支持的特性如下:

    • 服务提供方的注册、管理
    • 服务消费者的注册、管理
    • 服务的版本管理、负载均衡、流量控制、服务降级、资源隔离
    • 服务的容错、熔断

    阿里开源的 Dubbo 则对以上做了很好的实现,也是目前很多公司都在使用的方案;当当网的扩展项目 Dubbox 则在 Dubbo 之上加入了一些新特性。目前,Dubbo 已经被阿里贡献给 Apache,处于incubating 状态。在运维监控方面,Dubbo 本身提供了简单的管理控制台 dubbo-admin 和监控中心 dubbo-monitor-simple。Github 上的 dubboclub/dubbokeeper 则是在其之上开发的更为强大的集管理与监控于一身的服务管理以及监控系统。

    此外,Netflix 的 Eureka 也提供了服务注册发现的功能,其配合 Ribbon 可以实现服务的客户端软负载均衡,支持多种灵活的动态路由和负载均衡策略。

    7、统一调度中心

    在很多业务中,定时调度是一个非常普遍的场景,比如定时去抓取数据、定时刷新订单的状态等。通常的做法就是针对各自的业务依赖 Linux 的 Cron 机制或者 Java 中的 Quartz。统一调度中心则是对所有的调度任务进行管理,这样能够统一对调度集群进行调优、扩展、任务管理等。Azkaban 和 Yahoo 的 Oozie 是 Hadoop 的流式工作管理引擎,也可以作为统一调度中心来使用。当然,你也可以使用Cron或者Quartz来实现自己的统一调度中心。

    • 根据 Cron 表达式调度任务
    • 动态修改、停止、删除任务
    • 支持任务分片执行
    • 支持任务工作流:比如一个任务完成之后再执行下一个任务
    • 任务支持脚本、代码、url等多种形式
    • 任务执行的日志记录、故障报警

    对于 Java 的 Quartz 这里需要说明一下:这个 Quartz 需要和 Spring Quartz 区分,后者是 Spring 对 Quartz 框架的简单实现也是目前使用的最多的一种调度方式。但其并没有做高可用集群的支持。而 Quartz 虽然有集群的支持,但是配置起来非常复杂。现在很多方案都是使用 Zookeeper 来实现 Spring Quartz 的分布式集群。

    此外,当当网开源的 elastic-job 则在基础的分布式调度之上又加入了弹性资源利用等更为强大的功能。

    8、统一日志服务

    日志是开发过程必不可少的东西。打印日志的时机、技巧是很能体现出工程师编码水平的。毕竟,日志是线上服务能够定位、排查异常最为直接的信息。

    通常的,将日志分散在各个业务中非常不方便对问题的管理和排查。统一日志服务则使用单独的日志服务器记录日志,各个业务通过统一的日志框架将日志输出到日志服务器上。

    可以通过实现 Log4j 或者 Logback 的 Appender 来实现统一日志框架,然后通过 RPC 调用将日志打印到日志服务器上。

    9、业务应用和后端基础框架

    业务应用分为:在线业务应用和内部业务应用。

    • 在线业务应用:直接面向互联网用户的应用、接口等,典型的特点就是:请求量大、高并发、对故障的容忍度低。
    • 内部业务应用:主要面向公司内部用户的应用。比如,内部数据管理平台、广告投放平台等。相比起在线业务应用,其特点: 数据保密性高、压力小、并发量小、允许故障的发生。

    业务应用基于后端的基础框架开发,针对 Java 后端来说,应该有以下几个框架:

    • MVC 框架:统一开发流程、提高开发效率、屏蔽一些关键细节的 Web/后端框架。典型的如 SpringMVC、Jersey 以及国人开发的 JFinal 以及阿里的 WebX。
    • IOC 框架:实现依赖注入/控制反转的框架。Java 中最为流行的 Spring 框架的核心就是 IOC 功能。
    • ORM 框架:能够屏蔽底层数据库细节,提供统一的数据访问接口的数据库操作框架,额外地能够支持客户端主从、分库、分表等分布式特性。MyBatis 是目前最为流行的 ORM 框架。此外,Spring ORM 中提供的 JdbcTemplate 也很不错。当然,对于分库分表、主从分离这些需求,一般就需要自己实现,开源的则有阿里的 TDDL、当当的 sharding-jdbc(从datasource层面解决了分库分表、读写分离的问题,对应用透明、零侵入)。此外,为了在服务层面统一解决分库分表、读写分离、主备切换、缓存、故障恢复等问题,很多公司都是有自己的数据库中间件的,比如阿里的 Cobar、360的 Atlas(基于MySQL-Proxy)、网易的 DDB 、美团的 zebra等;开源的则有 MyCat(基于Cobar)和 Kingshard ,其中 Kingshard 已经有一定的线上使用规模。MySQL 官方也提供了 MySQL Proxy, 可以使用 lua 脚本自定义主从、读写分离、分区这些逻辑,但其性能较差,目前使用较少。
    • 缓存框架:对 Redis、Memcached 这些缓存软件操作的统一封装,能够支持客户端分布式方案、主从等。一般使用 Spring 的 RedisTemplate 即可,也可以使用 Jedis 做自己的封装,支持客户端分布式方案、主从等。
    • JavaEE 应用性能检测框架:对于线上的JavaEE应用,需要有一个统一的框架集成到每一个业务中检测每一个请求、方法调用、JDBC 连接、Redis 连接等的耗时、状态等。Jwebap 是一个可以使用的性能检测工具,但由于其已经很多年没有更新,有可能的话建议基于此项目做二次开发。

    一般来说,以上几个框架即可以完成一个后端应用的雏形。

    10、缓存、数据库、搜索引擎、消息队列

    缓存、数据库、搜索引擎、消息队列这四者都是应用依赖的后端基础服务,他们的性能直接影响到了应用的整体性能,有时候你代码写的再好也许就是因为这些服务导致应用性能无法提升上去。

    • 缓存: 缓存通常被用来解决热点数据的访问问题,是提高数据查询性能的强大武器。在高并发的后端应用中,将数据持久层的数据加载到缓存中,能够隔离高并发请求与后端数据库,避免数据库被大量请求击垮。目前常用的除了在内存中的本地缓存,比较普遍的集中缓存软件有 Memcached 和 Redis。其中 Redis 已经成为最主流的缓存软件。
    • 数据库:数据库可以说是后端应用最基本的基础设施。基本上绝大多数业务数据都是持久化存储在数据库中的。主流的数据库包括传统的关系型数据库(MySQL、PostgreSQL)以及最近几年开始流行的 NoSQL(MongoDB、HBase)。其中 HBase 是用于大数据领域的列数据库,受限于其查询性能,一般并不用来做业务数据库。
    • 搜索引擎:搜索引擎是针对全文检索以及数据各种维度查询设计的软件。目前用的比较多的开源软件是 Solr 和 Elasticsearch,都是基于 Lucence 来实现的,不同之处主要在于 termIndex 的存储、分布式架构的支持等。Elasticsearch 由于对集群的良好支持以及高性能的实现,已经逐渐成为搜索引擎的主流开源方案。
    • 消息队列:数据传输的一种方式就是通过消息队列。目前用的比较普遍的消息队列包括为日志设计的 Kafka 以及重事务的 RabbitMQ 等。在对消息丢失不是特别敏感且并不要求消息事务的场景下,选择 Kafka 能够获得更高的性能;否则,RabbitMQ 则是更好的选择。此外,ZeroMQ 则是一种实现消息队列的网络编程 Pattern 库,位于 Socket 之上,MQ 之下。

    11、文件存储

    不管是业务应用、依赖的后端服务还是其他的各种服务,最终还是要依赖于底层文件存储的。通常来说,文件存储需要满足的特性有:可靠性、容灾性、稳定性,即要保证存储的数据不会轻易丢失,即使发生故障也能够有回滚方案,也要保证高可用。在底层可以采用传统的 RAID 作为解决方案,再上一层,目前 Hadoop 的 HDFS 则是最为普遍的分布式文件存储方案,当然还有 NFS、Samba 这种共享文件系统也提供了简单的分布式存储的特性。

    此外,如果文件存储确实成为了应用的瓶颈或者必须提高文件存储的性能从而提升整个系统的性能时,那么最为直接和简单的做法就是抛弃传统机械硬盘,用 SSD 硬盘替代。像现在很多公司在解决业务性能问题的时候,最终的关键点往往就是 SSD。这也是用钱换取时间和人力成本最直接和最有效的方式。在数据库部分描述的 SSDB 就是对 LevelDB 封装之后,利用 SSD 硬盘的特性的一种高性能 KV 数据库。

    至于 HDFS,如果要使用上面的数据,是需要通过 Hadoop 的。类似 xx on Yarn 的一些技术就是将非 Hadoop 技术跑在 HDFS 上的解决方案。

    12、数据基础设施

    数据是最近几年非常火的一个领域。从《精益数据分析》到《增长黑客》,都是在强调数据的非凡作用。很多公司也都在通过数据推动产品设计、市场运营、研发等。这里需要说明的一点是,只有当你的数据规模真的到了单机无法处理的规模才应该上大数据相关技术,千万不要为了大数据而大数据。很多情况下使用单机程序 +MySQL 就能解决的问题非得上 Hadoop 即浪费时间又浪费人力。

    这里需要补充一点的是,对于很多公司,尤其是离线业务并没有那么密集的公司,在很多情况下大数据集群的资源是被浪费的。因此诞了 xx on Yarn 一系列技术让非 Hadoop 系的技术可以利用大数据集群的资源,能够大大提高资源的利用率,如 Dockeron Yarn。

    数据高速公路

    接着上面讲的统一日志服务,其输出的日志最终是变成数据到数据高速公路上供后续的数据处理程序消费的。这中间的过程包括日志的收集和传输。

    • 收集:统一日志服务将日志打印在日志服务上之后,需要日志收集机制将其集中起来。目前,常见的日志收集方案有:Scribe、Chukwa、Kakfa 和 Flume。对比如下图所示:

    此外,Logstash 也是一个可以选择的日志收集方案,不同于以上的是,它更倾向于数据的预处理,且配置简单、清晰,经常以ELK(Elasticsearch + Logstash + Kibana)的架构用于运维场景中。

    • 传输:通过消息队列将数据传输到数据处理服务中。对于日志来说,通常选择 Kafka 这个消息队列即可。

    此外,这里还有一个关键的技术就是数据库和数据仓库间的数据同步问题,即将需要分析的数据从数据库中同步到诸如 Hive 这种数据仓库时使用的方案。可以使用 Apache Sqoop 进行基于时间戳的数据同步,此外,阿里开源的 Canal 实现了基于 binlog 增量同步,更加适合通用的同步场景,但是基于 Canal 还是需要做不少的业务开发工作。

    离线数据分析

    离线数据分析是可以有延迟的,一般针对的是非实时需求的数据分析工作,产生的也是延迟一天的报表。目前最常用的离线数据分析技术除了 Hadoop 还有 Spark。相比 Hadoop,Spark 性能上有很大优势,当然对硬件资源要求也高。其中,Hadoop 中的 Yarn 作为资源管理调度组件除了服务于 MR 还可以用于 Spark(Spark on Yarn),Mesos 则是另一种资源管理调度系统。

    对于 Hadoop,传统的 MR 编写很复杂,也不利于维护,可以选择使用 Hive 来用 SQL 替代编写 MR。而对于 Spark,也有类似 Hive 的 Spark SQL。

    此外,对于离线数据分析,还有一个很关键的就是数据倾斜问题。所谓数据倾斜指的是 region 数据分布不均,造成有的结点负载很低,而有些却负载很高,从而影响整体的性能。处理好数据倾斜问题对于数据处理是很关键的。

    实时数据分析

    相对于离线数据分析,实时数据分析也叫在线数据分析,针对的是对数据有实时要求的业务场景,如广告结算、订单结算等。目前,比较成熟的实时技术有 Storm 和 Spark Streaming。相比起Storm,Spark Streaming 其实本质上还是基于批量计算的。如果是对延迟很敏感的场景,还是应该使用 Storm。除了这两者,Flink 则是最近很火的一个分布式实时计算框架,其支持 Exactly Once的语义,在大数据量下具有高吞吐低延迟的优势,并且能够很好的支持状态管理和窗口统计,但其文档、API管理平台等都还需要完善。

    实时数据处理一般情况下都是基于增量处理的,相对于离线来说并非可靠的,一旦出现故障(如集群崩溃)或者数据处理失败,是很难对数据恢复或者修复异常数据的。因此结合离线+实时是目前最普遍采用的数据处理方案。Lambda架构就是一个结合离线和实时数据处理的架构方案。

    此外,实时数据分析中还有一个很常见的场景:多维数据实时分析,即能够组合任意维度进行数据展示和分析。目前有两种解决此问题的方案:ROLAP 和 MOLAP。

    • ROLAP:使用关系型数据库或者扩展的关系型数据库来管理数据仓库数据,以Hive、Spark SQL、Presto为代表。
    • MOLAP:基于数据立方体的多位存储引擎,用空间换时间,把所有的分析情况都物化为物理表或者视图。以Druid、Pinot和Kylin为代表,不同于ROLAP(Hive、Spark SQL), 其原生的支持多维的数据查询。

    如上一小节所述,ROLAP的方案大多数情况下用户离线数据分析,满足不了实时的需求,因此 MOLAP 是多维数据实时分析的常用方案。对于其中常用的三个框架,对比如下:

    其中,Druid相对比较轻量级,用的人较多,比较成熟。

    数据即席分析

    离线和实时数据分析产生的一些报表是给数据分析师、产品经理参考使用的,但是很多情况下,线上的程序并不能满足这些需求方的需求。这时候就需要需求方自己对数据仓库进行查询统计。针对这些需求方,SQL上手容易、易描述等特点决定了其可能是一个最为合适的方式。因此提供一个 SQL 的即席查询工具能够大大提高数据分析师、产品经理的工作效率。Presto、Impala、Hive 都是这种工具。如果想进一步提供给需求方更加直观的 ui 操作界面,可以搭建内部的 Hue。

    13、故障监控

    对于面向用户的线上服务,发生故障是一件很严重的事情。因此,做好线上服务的故障检测告警是一件非常重要的事情。可以将故障监控分为以下两个层面的监控:

    • 系统监控:主要指对主机的带宽、CPU、内存、硬盘、IO等硬件资源的监控。可以使用 Nagios、Cacti 等开源软件进行监控。目前,市面上也有很多第三方服务能够提供对于主机资源的监控,如监控宝等。对于分布式服务集群(如 Hadoop、Storm、Kafka、Flume 等集群)的监控则可以使用Ganglia。此外,小米开源的 OpenFalcon 也很不错,涵盖了系统监控、JVM监控、应用监控等,也支持自定义的监控机制。
    • 业务监控:是在主机资源层面以上的监控,比如 APP 的 PV、UV 数据异常、交易失败等。需要业务中加入相关的监控代码,比如在异常抛出的地方,加一段日志记录。

    监控还有一个关键的步骤就是告警。告警的方式有很多种:邮件、IM、短信等。考虑到故障的重要性不同、告警的合理性、便于定位问题等因素,有以下建议:

    • 告警日志要记录发生故障的机器 IP,尤其是在集群服务中,如果没有记录机器 IP,那么对于后续的问题定位会很困难。
    • 要对告警做聚合,不要每一个故障都单独进行告警,这样会对工程师造成极大的困扰。
    • 要对告警做等级划分,不能对所有告警都做同样的优先级处理。
    • 使用微信做为告警软件,能够在节省短信成本的情况下,保证告警的到达率。

    故障告警之后,那么最最关键的就是应对了。对于创业公司来说,24小时待命是必备的素质,当遇到告警的时候,需要尽快对故障做出反应,找到问题所在,并能在可控时间内解决问题。对于故障问题的排查,基本上都是依赖于日志的。只要日志打的合理,一般情况下是能够很快定位到问题所在的,但是如果是分布式服务,并且日志数据量特别大的情况下,如何定位日志就成为了难题。这里有几个方案:

    • 建立ELK(Elasticsearch + Logstash + Kibana)日志集中分析平台,便于快速搜索、定位日志。搭配 Yelp 开源的 Elastalert 可以实现告警功能。
    • 建立分布式请求追踪系统(也可以叫全链路监测系统),对于分布式系统尤是微服务架构,能够极大的方便在海量调用中快速定位并收集单个异常请求信息,也能快速定位一条请求链路的性能瓶颈。唯品会的 Mercury、阿里的鹰眼、新浪的 WatchMan、Twitter 开源的 Zipkin 基本都是基于 Google 的 Dapper 论文而来,大众点评的实时应用监控平台 CAT 则在支持分布式请求追踪(代码侵入式)的基础上加入了细粒度的调用性能数据统计。此外,Apache 正在孵化中的 HTrace 则是针对大的分布式系统诸如 HDFS 文件系统、HBase 存储引擎而设计的分布式追踪方案。而如果你的微服务实现使用了 Spring Cloud,那么 Spring Cloud Sleuth 则是最佳的分布式跟踪方案。还需要提到的是,Apache 孵化中的 SkyWalking 是基于分布式追踪的一个完备的APM(应用性能监测)系统,其最大的一个特点就是基于 Java agent + instrument api,对业务代码无任何侵入,Pinpoint则是类似的另一个已经用于生产环境的 APM 系统。
    展开全文
  • 企业经营核心要素框架

    千次阅读 2014-03-18 15:37:58
    企业经营核心要素框架不懂经营就专注管理,管理会走邪路,因为管理必须为经营而服务,所以我现在多在研究企业经营。企业管理我已经有不少积累了,所以最近我发文章、研究提炼各个企业经营案例、重复阅读陈春花《经营...
    企业经营核心要素框架
    


    很多人对经营和管理分不清,所以瞎关注下下决策瞎指挥瞎忙。我看到一段话比较好,给大家说道说道:“经营是对外的,追求从企业外部获取资源和建立影响;管理是对内的,强调对内部资源的整合和建立秩序。经营追求的是效益,要开源,要赚钱;管理追求的是效率,要节流,要控制成本。经营是扩张性的,要积极进取,抓住机会,胆子要大;管理是收敛性的,要谨慎稳妥,要评估和控制风险”。


    不懂经营就专注管理,管理会走邪路,因为管理必须为经营而服务,所以我现在多在研究企业经营。企业管理我已经有不少积累了,所以最近我发文章、研究提炼各个企业经营案例、重复阅读陈春花《经营的本质》,都直指企业商业模式、盈利模式、经营框架核心要素,希望能总结出一套企业经营核心要素分析框架。大家有了这个框架,就很容易避开朝令夕改的影响,从而分析透一个企业的经营脉络与本质。


    你看透了经营,你的管理才能有的放矢,你的管理IT工具才能恰到好处的匹配。很多人成为技术主管/IT运维主管,关键就是不知道企业业务要啥,而且因为看不透,所以总觉得变化的眼花缭乱。其实老板变化的都是战术,战略一直没变化。瞄准战略和经营来规划IT,大家一定能成为很好的CIO。


    我现在就是在教大家如何认识企业经营,这样大家就可以从企业经营、企业管理角度出发,穿透不断变化的战术直指战略,建设自己的IT战略。


    阿弥陀佛 功德无量 普众生 渡有缘人。


    一、企业经营策略

    1、资本、股权


    2、所有权、经营权、决策权


    3、决策机制、责任机制、利益分配机制


    二、多业经营/产业链经营策略

    1、业务线扩展策略

    2、投资/收购/控股、联盟合作、产业链互补整合/良性竞争多样化生态发展策略


    三、公共关系拓展策略


    1、媒体


    2、政府


    四、产品与目标市场策略


    1、目标用户群/目标客户群


    2、产品理念导向


    3、产品定价策略


    4、产品设计/产品研发/产品生产策略


    五、营销策略


    1、品牌建设策略、品牌传播策略


    2、产品理念渗透策略、产品理念传播策略


    六、渠道策略
    1、渠道招募策略


    2、渠道扩张策略


    3、渠道绩效/质量评价策略


    4、渠道组织策略


    5、渠道能力提升策略


    6、渠道人才策略


    7、渠道激励策略


    七、销售策略


    1、放量销售策略


    2、收款策略


    3、销售合同管控策略


    4、销售款管控策略


    八、服务产品策略


    1、标准化服务产品策略


    2、服务产品持续可重复收费策略


    3、客户关系/客户需求/客户满意度保持策略


    九、研发/营销/销售成本费用管控策略


    1、研发投入管控策略


    2、人员薪资管控策略


    3、销售费用管控策略


    4、营销费管控策略


    未来我还会不断研究各个企业经营,不断给这个体系框架模型丰富,让这个体系工具能越来越快速/全面的洞察一个企业的经营行为。我也会用此框架不断分析企业经营案例然后给大家分享出来,毕竟大家看这样干巴巴的框架还是不会实际应用。
    展开全文
  • coso内部控制呆瓜系列

    2009-03-17 14:32:35
    coso内部控制理论入门学习系列,从简单易学的角度来阐述coso理论
  • 因此,在Zachman的EA框架基础上,需要对企业架构框架进行重构,主要叠加人、物、事的行为,进而提出智慧企业架构框架SEAF,并就智慧企业架构框架进行概括性阐述,不涉及实现SEAF的方法论,供企业架构专家讨论,...
  • 美国国防部体系架构框架(DoDAF)

    万次阅读 2019-09-07 09:20:11
    美国国防部体系架构框架(DoDAF)使用的IBM Rational方法 构建复杂系统要求具有了解并管理复杂关系的特别能力。彻底地了解企业架构2对有效的设计、实现、部署和演进系统的维护是至关重要的。一个完整的与该架构相符...
  • 打造内部应用框架 当当技术部现在是按照产品线划分的,一个产品线的产品、开发、测试都在一个部门,但像项目管理、运维、架构这些技术体系中公用的部分是独立的部门。架构部里主要分成三部分,一个是架构与规范,一...
  • COSO企业风险管理框架(中英文对照版)
  • 控制环境是内部控制体系整体框架的基础,是有效实施内部控制的保障,直接影响着企业内部控制的贯彻执行、企业经营目标及整体战略目标的实现。控制环境确定了公司的总体态度,是内部控制所有其他组成要素的基础。控制...
  • Spring核心框架体系结构

    千次阅读 2018-06-01 15:12:59
    (3)spring-context:spring的context上下文,即IoC容器,它扩展了BeanFactory,为它添加了Bean生命周期管理、框架事件体系、资源加载透明化等功能,此外该模块还提供了很多企业级支持,如远程访问、任务调度等。...
  • Adianti框架是一个基于组件和事件驱动的框架,使用了诸如MVC(模型视图控制器),Front Controller和ORM(对象关系映射)设计模式(如Active Record和Repository)等众所周知的企业设计模式。 Adianti框架也是世界...
  • 就用BeX5BeX5企业快速开发平台 ⇒ 云+端时代企业应用开发利器BeX5 = WeX5开源快速开发框架+ 强大的工作流/报表/组织权限/文档/门户能力WeX5:开源、免费的应用快速开发框架BeX5:专业、强大的企业快速开发平台.....
  • 使用J2EE设计面向服务的体系结构框架撰文/Naveen Balani面向服务的体系结构(Service-Oriented Architecture,SOA)因其固有的松散耦合与互操作性,成为许多企业应用的自然选择。在本文中您将看到,使用J2EE 1.4提供...
  • 信息系统体系结构的总体框架

    千次阅读 2012-04-17 15:13:21
    信息系统体系结构的总体框架 彭雁虹, 李怀祖 摘要  探讨了信息系统体系结构(Information System Architecture, ISA)的研究背景和开发实践情况,针对Architecture一词的词义、一般组成和实现...
  • 企业内部控制基本规范》内部环境中,要求企业编制内部管理手册,使全体员工掌握内部机构设置、岗位职责、业务流程等情况,明确权责分配,以正确行使职权(14条)。 《企业内部控制基本规范》控制活动中,被传说为...
  • – 实战派内部控制与内部审计专家 – 中国注册会计师(CPA) – 国际注册内部审计师(CIA) – 国际注册内部控制评估师(CCSA) – 美国注册舞弊审查师(CFE) – 国家财务总监资格认证获得者(OSTA) – 青岛...
  • 针对船舶制造企业质量信息管理普遍存在的质量管理体系与实际生产不一致、质量...将大量纵横交错汇聚在产品建造过程中的既离散又相关的质量信息有机地联系起来,实现各相关部门(船东、企业内部、供应商)质量信息的透明.
  • 本教程讲述如何使用 Tiles 框架来创建可重用的表示组件。(在最初创建它时,Tiles 框架被命名为 Components。 后来改变了名称是因为“components(组件)”代表了太多不同的东西,不过原先的名称的精髓仍然得到了...
  • Spring是分层的JavaSE/EE full-stack 轻量级开源框架,以IOC(Inverse of Control 控制反转)和AOP(Aspect Oriented Programming 面向切面编程)为内核,使用基本的JavaBean来完成以前只可能由EJB完成的工作,取代...
  • 针对数字化企业数据及资料等企业内部信息安全问题,提出了一套包括身份鉴别、设备集中控制、文档权限管理、文档加密、安全审计等功能系统的综合解决方案;基于所构建的信息安全体系,提出了一种典型数字化企业的信息...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 36,587
精华内容 14,634
关键字:

企业内部控制体系的框架