IT规划：三个层面,架构是核心

中兴通讯股份有限公司内部控制制度（此制度已经公司2007年6月25日召开的第四届董事会第五次会议审议通过）中兴通讯股份有限公司（以下简称“公司”或“本公司”）从内控组织保障、内控意识、内控目标、流程控制、稽核改进等方面建立内控体系，包括建立相应的内控标准、架构、程序及面对重大风险应采取的措施等。

1. 总则1.1 为加强公司内部控制，促进公司规范运作和健康发展，有效落实公司各部门专业系统风险管理和流程控制，保障公司经营管理的安全性和财务信息的可靠性，在公司的日常经营运作中防范和化解各类风险，保护投资者合法权益，公司特根据《中华人民共和国公司法》、《中华人民共和国证券法》、《深圳证券交易所股票上市规则》、《深圳证券交易所上市公司内部控制指引》、《香港联合交易所有限公司证券上市规则》等法律、行政法规、规章和《中兴通讯股份有限公司章程》（以下简称“《公司章程》”）以及各专业系统风险管理和控制制度等有关规则的规定，结合本公司行业及业务特点，制定本制度。

1.2 内部控制是指公司董事会、监事会、高级管理人员及其他有关人员为实现下列目标而提供合理保证的过程：1.2.1遵守国家法律、法规、规章及其他相关规定；1.2.2提高公司经营的效益及效率；1.2.3保障公司资产的安全；1.2.4确保公司信息披露的真实、准确、完整和公平。

1.3 本公司的内控制度是为保护公司资金、资产的安全与完整，维护公司声誉和妥善进行危机管理，促进公司各项经营活动有效实施而制定的各种业务操作程序、管理方法与控制措施的总称。

包括为保证公司经营战略目标的实现，根据经营环境的变化，对公司战略制定、经营和管理过程中的风险进行识别、评价和管理的制度安排、组织体系和控制措施。

它是由公司董事会、管理层及全体员工共同参与的一项活动。

1.4 公司内部控制各职能机构及其职权1.4.1 董事会对公司内控制度的建立、健全、有效实施及检查监督负责；并定期对公司内控情况进行全面检查和效果评估。

PDCA原理讲解戴明循环或称PDCA循环、PDSA循环，戴明循环研究起源于20世纪20年代，有“统计质量控制之父”之称的著名的统计学家沃特·阿曼德·休哈特（WalterA.Shewhart）在当时引入了“计划-执行-检查（Plan-Do-See）”的概念，戴明后将休哈特的PDS循环进一步发展成为：计划-执行-检查-处理（Plan-Do-Study-Act）。

戴明循环是一个质量持续改进模型，它包括持续改进与不断学习的四个循环反复的步骤，即计划（Plan）、执行（Do）、检查（Check/Study）、处理（Act）。

戴明循环有时也被为称戴明轮（DemingWheel）或持续改进螺旋（ContinuousImprovementSpiral）。

戴明循环与生产管理中的“改善”、“即时生产”紧密相关。

PDCA循环基本特点PDCA循环的特点有三个：PDCA循环作为全面质量管理体系运转的基本方法，其实施需要搜集大量数据资料，并综合运用各种管理技术和方法。

①各级质量管理都有一个PDCA循环，形成一个大环套小环，一环扣一环，互相制约，互为补充的有机整体，如图所示。

在PDCA循环中，一般说，上一级的循环是下一级循环的依据，下一级的循环是上一级循环的落实和具体化。

②每个PDCA循环，都不是在原地周而复始运转，而是象爬楼梯那样，每一循环都有新的目标和内容，这意味着质量管理，经过一次循环，解决了一批问题，质量水平有了新的提高。

③在PDCA循环中，A是一个循环的关键。

PDCA循环管理思路【P（策划）】：GB/T19001：工作计划、策划（职责目标人、机、料、法、环、测5W1H）；GB/T28001：包括三个方面的策划（危险源识别、法律法规识别、目标指标和方案制订）【D（执行）】：明确职责（部门/岗位的质量、安保职责）资源保证（能力、意识，特种作业人员上岗资格，GB/T28001：安全员，消防、安全监控、防盗、防雷设施等）编写文件（强调两标融贯）信息交流和沟通（对内、对外）执行：符合性痕迹管理GB/T28001：运行控制（重点消防安全、防盗抢（财产和资金）、交通安全、信息安全）应急准备和响应（预案文件的演练和执行）【C（检查）、A（调整）】：检查和持续改进日常工作（质量）检查、安全检查目标、指标完成情况的定期验证安全管理绩效的检查法律法规符合性评价对不合格（品）的整改，（GB/T28001）事故的调查和处理。

HP IT战略规划解决方案摘要伴随中国经济的持续高速增长,中国有越来越多的企业业务在增长、规模在扩大、管理在变得越来越复杂,与此同时,客户的要求越来越高,竞争对手此起彼伏,同时企业还需要面对资本市场对于成本和风险控制的更严格的要求……面对激烈的竞争,企业必须不断提升自身的管理水平,建立可持续发展的竞争优势.然而,业务模式的灵活性成为中国企业持续发展的常见瓶颈.在中国,阻碍业务模式灵活应对市场变化的一个主要原因是IT建设滞后.由于中国企业IT发展的历史原因,IT系统长期以来处于一种被动的应对状态,而公司的管理却在不断变化,这种IT滞后于管理的矛盾日益突出.正如中国人寿的选择,我们认为只有坚定地推进面向未来的IT战略规划及实施工作才能解决问题、提升企业竞争力.IT战略规划解决方案,以HP独特的动成长企业战略AE、业务/IT规划方法论及服务流程规范BITA,EITA,ITSM为指导,帮助企业建立以客户为中心的企业信息架构,加速企业的资源优化整合,提供可预期的IT建设路线图、IT投资和业务回报,实现IT的有序建设,提高企业IT建设应对业务变化和抗风险的能力,改善客户服务质量,全面提高企业的业务灵活性,增强企业的核心竞争力.正如中国人寿的思考和选择,什么样的IT战略规划是中国企业需要的当时,中国人寿力图在长远计划和具体实施之间寻找精确的平衡,因此他们在评估IT规划的时候,把三个标准摆上桌面：第一,有没有高瞻远瞩的指导思想－这是判断规划能否适应未来的重要因素；第二,能否通过国际、国内的最佳实践,结合中国人寿的实际,提出一个可供参考的模型；第三,是否具备一个真正可实施的详细方案.经过中国人寿专家组严谨而细致的遴选,HP咨询脱颖而出,成为中国人寿推进其IT战略的最佳合作伙伴.HP的IT战略规划有其独到之处.HP在为中国企业确定未来IT战略、架构、实施路线方面有着包括方案、实施经验、队伍等方面的全面优势.其中最为关键的因素在于HP大力倡导的"动成长计划"与中国企业今天追求IT与业务最佳同步的需求相契合. "动成长计划"面向企业的未来发展,着眼于不断变化的外部环境与内部不确定因素的影响,能够帮助中国企业建立适应未来业务需求的IT架构,从长远保障企业投资回报的最大化.在全球范围内,HP在帮助金融、电信、制造、政府、运输等企业规划、实施IT战略方面拥有着其他竞争对手不可及的优势 - 丰富的行业经验和世界上最着名的IT基础设施供应商的服务经验的融合,能充分保障业务战略到IT战略到IT计划的落地实现.背景现代企业面临的挑战WTO和全球化给中国各行各业的企业带来越来越大的竞争压力.与此同时,客户要求更适用的产品和服务.企业本身的运作以及很多相关的信息的获得、处理和运用越来越依赖信息技术的应用.发展趋势企业要不断提供越来越有针对性的个性化的产品与服务；客户希望得到越来越多的以客户为中心的产品和服务体验；信息技术的运用正成为企业为建立竞争优势所必须采取的手段.客户面临的挑战IT如何与业务结合以适应市场的快速变化；如何建立可靠的IT基础设施以保障业务的安全运行；如何集成内部各应用系统,如何增强与合作伙伴,上下游的紧密关系；如何降低IT的运维成本和降低IT业务的复杂性以集中精力于核心业务；如何利用新的技术快速的获得竞争优势客户的需求IT建设发展到一定阶段,系统越来越复杂,企业客户需要解决IT建设中的一些具有总体性和战略性的问题：IT建设如何更好地满足业务发展的需要,如何做到统一规划,如何充分利用现有资源为未来的业务发展服务,如何做到有序建设解决方案―IT 战略规划IT战略规划的目的主要是为了定义和描述一个企业或组织目标IT系统的体系架构和为建立这种架构的实施过程,以及从全局、中远期的视角对后续的建设工程实施进行论证、定义、描述.HP IT战略规划解决方案,以HP独特的动成长企业战略、业务/IT规划方法论为指导,帮助企业建立以客户为中心的企业信息架构,加速企业的资源优化整合,提供可预期的IT建设路线图、IT投资和业务回报,实现IT 的有序建设,提高企业IT建设应对业务变化和抗风险的能力,改善客户服务质量,保障企业IT投资回报的可预见和最大化.方案构成惠普动成长企业解决方案路线图动成长企业是HP的愿景,它赋予了IT基础设施前所未有的适应性和灵活性,能实现IT与业务的真正同步.面对动成长企业的各个层面,HP提供了用户所需要的各项专业服务.其中,IT战略规划是动成长企业全方位构建的第一步,它帮助企业CIO们构建敏捷的IT基础,使他们能够快速配置、管理与发展应用软件和IT基础设施技术.HP动成长企业架构采用简易、标准、模块化以及集成化的设计原则,帮助企业360度全方位观察他们的应用架构,并能够以优化灵活性的方式,确保从数据移植到供应链整合的每一件事情都能够协同进行.本解决方案构成模块& 特性此解决方案各阶段的交付HP IT战略规划包括三阶段：第一阶段：评估分析-完成IT与业务整合评估及当前IT架构评估. HP 以动成长企业达尔文参考模型为基准,就企业的现状为其进行灵活性评估AAS, 同时应用业务流程管理BPM和IT服务管理ITSM框架评估企业的整体IT运营与管理状况,借助HP的IT成熟度模型评估企业的IT整合度. 第二阶段：规划设计－完成IT战略设计及未来IT架构包括应用架构、数据架构、基础架构的建设、未来IT治理模式设计. HP利用动成长企业模型,帮助企业建立IT战略,包括： IT远景－确立IT在企业中的作用企业架构－实现应用架构、数据架构和基础架构的设计标准化 IT控制模型－建立管理与控制框架整体战略是基于业务与IT整合及企业架构建立的,它应用了四个核心设计原则：简易化、标准化、模块化和集成化,最终实现"动成长"的目标. 第三阶段：实施计划－完成实施项目定义、时间表以及实施效果预估.客户收益最终, 企业采纳HP IT战略规划能从如下四方面获得受益:风险最小化 HP IT战略规划通过简化和优化企业的技术环境,建设灵活的、具有适应性的技术设施,从而能够保障更成功地实施企业所需的解决方案,支持业务变化,提高响应能力和降低风险.投资回报最大化 HP IT战略规划以建设灵活的基础设施为目标,优化IT 资源,降低基础设施管理成本,并提供更多的选择余地来降低拥有成本；改善性能通过HP的IT战略规划帮助企业建立具有适应性的基础设施,首席信息官能够信心十足地制定和满足日益增长的服务等级协议要求,以确保提供更好的可用性、响应速度和性能.增加灵活性 HP IT战略规划帮助企业构建灵活的基础设施,企业将能够及时把握各种机遇并快速应对各种挑战,同时快速适应不断变化的业务模式、流程和市场需求,从容应变,从而在激烈的市场竞争中脱颖而出.HP优势人员HP拥有世界一流的行业和IT咨询专家,尤其在支撑业务目标的IT 战略规划方面具有通常咨询公司不可及的落地实施能力；HP是首屈一指的公司,在中国所有各省均设有直接服务办事处,能以最高水平的IT服务为客户提供帮助；HP拥有独一无二的经验,它成功规划并实施了全球最庞大的IT基础设施,并从此前HP与Compaq合并所进行的IT战略规划和应用整合中获得了宝贵经验,此外还继承了DEC和Compaq以及Tandem与Compaq的IT规划和整合经验；方法HP的动成长企业Adaptive Enterprise战略面向企业的未来发展,着眼于不断变化的外部环境与内部不确定因素的影响,能够帮助企业建立适应未来业务需求的IT架构,从长远最大化保障企业投资；HP的动成长企业架构方法学简易化、标准化、模块化、集成堪称业界典范,它可以提供最高的灵活性AAS灵活性评估服务是独一无二的,它可以为实现业务与IT的同步提供帮助,并按照一次变革所用的时间、范围和难易度为IT划分优先级HP BITABusiness-IT Alignment ,以业务为导向的IT规划咨询实施方法论,能有效地把业务策略、业务流程很IT策略和IT的建设自始至终联系起来,充分互动,使IT能够更好地为企业业务策略和目标服务,帮助客户获得业务成功；HP EITAEnterprise IT Architecture方法论,定义IT规划的过程,把IT的各个方面进行全局的规划考虑,包括：信息、应用系统、技术、体系结构、安全、通信、人员组织和IT运营管理流程等.EITA能灵活地满足广泛客户的IT规划需求.HP IT服务管理ITSM模型是惠普公司基于CCTA英国国家电脑局开发的ITILIT Infrastructure Library IT基础架构标准库,结合惠普公司多年的IT管理经验,提出的一整套规划、建设、维护企业IT组织的标准方法,该方法将帮助IT部门建立一整套规范的流程管理、人员管理以及技术管理体系,为IT部门提供一个高效率的工作流管理的系统平台与灵活量化的服务管理平台.技术成立六十多年来,HP从未停止过创新和变革的步伐.HP每年40亿美元投入研发,平均每天获11项专利.全世界有超过十亿人正在使用HP的技术,其范围涵盖IT基础设施、信息产品及接入设备、成像、打印以及全球服务等诸多领域.HP为100家全球最大的证券交易所提供支持.HP在全球有7万服务与支持伙伴.成功案例与评价成功案例一: 中国人寿客户需求:在快速增长的中国寿险市场上,处于领导地位的中国人寿保险股份有限公司在优势当中看到了危机并认识到持续发展的必要性.中国人寿股份有限公司副总经理万峰总结了中国人寿当时面临的4项挑战：首先,在上市以后国际资本市场对中国人寿提出了更高的成本和风险控制要求；其次,股东要求更高的利润；还有,客户需要更好、更优质的服务；最重要的是,企业需要不断提高自身的管理水平,建立可持续的竞争优势.因此中国人寿提出：积极应对市场挑战,努力使中国人寿成为具有国际竞争力的、在中国保险市场领先的保险公司.面对激烈的竞争,业务模式的灵活性成为中国人寿持续发展的瓶颈.和其他快速增长的保险公司一样,阻碍业务模式灵活应对市场变化的一个主要原因是IT建设滞后.长期以来,IT系统处于一种被动的应对状态,而公司的管理却在不断变化,这种IT滞后于管理的矛盾日益突出.在明确IT建设滞后的问题后,中国人寿深深地意识到,只有坚定地推进面向未来的IT战略规划及实施工作才能解决问题、提升企业竞争力.HP解决方案:为中国人寿量身打造的IT整体战略规划, 具体包括三阶段内容：第一阶段：评估分析－完成IT与业务整合评估及当前IT架构评估. 第二阶段：规划设计－完成IT战略设计及未来IT架构包括应用架构、数据架构、基础架构的建设、未来IT治理模式设计. 第三阶段：实施计划－完成实施项目定义、时间表以及实施效果预估. 项目成效: HP与中国人寿IT整体战略规划的最终实施将建立这个绿色IT生态系统,能够更具主动性地为业务提供支持、更好地满足未来业务的需求,从而不断提高中国人寿的经营管理能力和可持续发展能力,提高对市场的快速反应能力和对客户的优质服务能力,提高对不确定性因素的适应能力和对风险的管控能力,最终提升中国人寿的核心竞争力,并且从更高角度上确保中国人寿发展成为一个综合性、多元化的国际保险金融集团.为何选择HP:HP之所以能够在激烈角逐中胜出,是因为HP在为中国人寿确定未来IT 战略、架构、实施路线方面有着包括方案、实施经验、队伍等方面的全面优势.其中最为关键的因素在于HP大力倡导的"动成长计划"与中国人寿的需求相契合,也正因为如此,二者的联姻称得上是水到渠成."动成长计划"面向企业的未来发展,着眼于不断变化的外部环境与内部不确定因素的影响,能够帮助中国人寿建立适应未来业务需求的IT架构,从长远看可节省企业投资,使企业边成长、边投资.此外,在全球范围内,HP在帮助金融企业规划、实施IT战略方面拥有着其他竞争对手无法比拟的经验,尤其在亚太区金融保险行业内,HP倍受推崇,这一点也深深吸引了中国人寿的眼光.客户评价"在目前的保险行业,变是永恒的,变是必然的,这样激烈的变化对于中国人寿这样老牌的大型企业,冲击可想而知,因此惠普公司帮助我们进行了IT战略规划,确立了核心竞争力,适应了未来的发展趋势." －中国人寿股份有限公司副总经理万峰"这次中国人寿与HP合作实施IT战略规划提出了一个理念,就是用HP 的动成长企业模型支持中国人寿适应性IT技术,共同建立一个绿色的IT 平台系统－中国人寿自己的绿色IT生态系统." －中国人寿信息技术部总经理刘安林市场评价2002年9月,HP获得由中国软件测评中心、中国计算机报社颁发的"制造行业系统集成专家"、"电信行业系统集成专家"、"金融行业系统集成专家"、"交通行业系统集成专家"四项大奖 2003年3月,HP获得由中国信息产业部颁发的"系统集成一级资质"证书.该证书的获得充分体现了HP对行业的深刻理解、出众的咨询服务及集成能力、过硬的团队合作精神 2004年中国优秀IT服务商 2004年中国最具价值的IT服务品牌中国制造行业服务用户满意品牌中国电信行业服务用户满意品牌中国金融行业服务用户满意品牌中国最具竞争力的IT服务品牌。

IT规划：三个层面，架构是核心2008-09-22作者:王仰富来源:CIO时代网导读:通常而言，IT规划是指信息技术战略规划（IT Strategic Planning），它包括两个部分：信息技术战略（IT Strategy）的制定和信息技术行动计划（IT Action Plan）的制定。

前者偏重战略方向，后者是具体行动计划。

1、同一称谓，不同内涵目前，国内企事业单位，以及提供IT规划咨询服务的专业机构的信息化规划人员，对IT规划的内涵存在不同的理解，具体IT规划项目的关注点也不同。

有些企事业单位的IT规划只是一个对信息化远景目标与建设原则的描述；有些单位的IT规划只是关注具体的信息系统实施的层面，如：ERP、CRM、PDM、BI等大型信息系统的规划；有些单位的IT规划仅是对总体IT架构蓝图的设计。

那么IT规划内涵究竟是指什么？通常而言，IT规划是指信息技术战略规划（IT Strategic Planning），它包括两个部分：信息技术战略（IT Strategy）的制定和信息技术行动计划（IT Action Plan）的制定。

前者偏重战略方向，后者是具体行动计划。

信息技术战略由以下部分组成：使命（Mission）：阐述信息技术存在的理由、目的以及在企业中的作用。

⎫远景目标（Vision）：信息技术的发展方向和结果。

⎫中长期目标（Medium⎫to Long-term Objectives）：远景目标的具体化，即企业未来3~5年或2~3信息技术发展的具体目标。

策略路线与原则：实现上述中长期目标的途径或路线，信息化遵循的原则，一般从数据、应用、技术与组织几个方面进行分析与描述。

⎫信息技术行动计划（IT Action Plan）是落实信息技术战略（IT Strategy）而制订的中长期的详细行动计划，它包括：信息化项目进程：未来3~5年或2~3年信息化项目的投资进程及项目之间的逻辑关系。

⎫项目描述和投资收益分析：每个项目的具体描述和ROI(投资回报率)分析。

企业IT风险管控体系介绍对于企业来说都是追求经营回报的，但在经营过程中也面临着诸多风险，而风险往往与资产、脆弱性和威胁有关，比如这杯水对于投影仪来说就是一个风险，但对桌子则不是风险。

今天我将简单介绍下目前国内外风险管控的发展和方法论。

企业面对这样那样的风险，该如何应对？对于企业来说，最适合的方法之一是通过内部控制，来降低风险发生的可能性，把风险降低到可接受的范围之内，因此建立一套完整的基于风险的内控体系是我们应对风险的重中之重。

当今企业中各种各样的财务报表和经营报表等都是通过IT系统计算处理后呈现出来的。

假如IT系统的安全控制不住的话，风险就非常大，因此信息系统的管控就变得越来越重要。

根据2005年2月毕马威的调查数据，美国上市公司在各业务流程中存在的控制缺陷、显著缺陷和实质性漏洞所占的比例，分析了包括信息技术、固定资产、财务报告、采购、人力资源等方面的数据，可以看到信息技术控制的缺陷是最大的，控制缺陷高达36%，显著缺陷达到22%，实质性漏洞达到21%，远远高于其他方面。

在企业追求成功的道路上，往往要做到有效的内部控制，其趋势是创造风险与经营回报的良好平衡。

但有效的内部控制就像在企业成功途中设置红绿灯，会亮红灯或亮黄灯，就带来不方便。

就像足球比赛会有红牌和黄牌，但比较成功的裁判是合理利用手中的红黄牌，不仅有力的控制场上局面，也让球赛顺畅的进行下去，不会让人感觉特别的中断，这就是一种风险与回报的良好平衡艺术。

目前IT风险管理的内控一般都在IT治理层面，大部分都是高层在做，往往是制定出责权利等规定挂在墙上就结束了。

包括刚才德勤专家介绍到的，很多企业制度都已经制定了，但还是会出现问题，重要的原因之一就是把管控仅当作治理层面来看造成的，所以现在的趋势是风险的管控不仅是治理层面的事情，还需要往下移，也应该包括日常的运营，以及风险预警和监控，即企业整个风险管控和内控体系不仅是治理问题，也是管理问题，如此才能实现从高层决策到基层执行，构建统一有效的治理和管控体系。

系统分析师考前几页纸1、企业战略规划是用机会和威胁评价现在和未来的环境，用优势和劣势评价企业现状，进而选择和确定企业的总体和长远目标，制定和抉择实现目标的行动方案。

信息系统战略规划关注的是如何通过信息系统来支撑业务流程的运作，进而实现企业的关键业务目标，其重点在于对信息系统远景、组成架构、各部分逻辑关系进行规划。

2、信息技术战略规划通常简称为IT战略规划，是在信息系统规划的基础上，对支撑信息系统运行的硬件、软件、支撑环境等进行具体的规划，它更关心技术层面的问题。

信息资源规划是在以上规划的基础上，为开展具体的信息化建设项目而进行的数据需求分析、信息资源标准建立、信息资源整合工作。

3、ISSP（信息系统战略规划）方法经历了三个主要阶段，各个阶段所使用的方法也不一样。

第一个阶段主要以数据处理为核心，围绕职能部门需求的信息系统规划，主要的方法包括企业系统规划法（BSP）--CU矩阵、关键成功因素法（CSF）和战略集合转化法（SST）；第二个阶段主要以企业内部管理信息系统为核心，围绕企业整体需求进行的信息系统规划，主要的方法包括战略数据规划法（SDP）、信息工程法（IE）和战略栅格法（SG）；第三个阶段的方法在综合考虑企业内外环境的情况下，以集成为核心，围绕企业战略需求进行的信息系统规划，主要的方法包括价值链分析法（VCA）和战略一致性模型（SAM）。

4、从概念上讲，SOA中有三个主要的抽象级别：操作、服务、业务流程。

5、SCM理念：强强联合，整合与优化“三流”（信息流-需求信息流、供应信息流、资金流、物流），打通企业间“信息孤岛”，严格的数据交换标准。

将制造商、供应商、分销商、零售商，在计划（策略性）、采购、制造、配送、退货等各方面联系起来。

6、信息流需要进一步了解其分类：需求信息流：如客户订单、生产计划、采购合同等。

供应信息流：如入库单、完工报告单、库存记录、可供销售量、提货发运单等。

7、商业智能（BI）=数据仓库+数据挖掘+OLAP8、数据仓库和数据湖的区别：数据仓库仅支持数据分析处理。