网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

　　我们上次提的核心业务系统，实际上我们对风险主线进行约束，风险管控内容是约束不够的，还要加上评估。我们翻开任何一个绩效评估的书，大家都会看到，绩效评估实际上是对约束进行的再评价。过去我们说管理、控制都是褒义词，但实际上也未必，因为管理越多，评估也越多，要看管理是不是乱管，管坏了。评估也可以在系统内部进行，可能也有部分在系统外。我们划了一条线，核心业务系统有一部分在评估外，所谓评估的人大量使用评估表，有一半是系统内，有一半是系统外的。

　　控制要素分七个方面进行控制要素分离，不相容职务分离控制，授权审批控制、会计系统控制，财产保护控制、预算控制、运营分析控制，绩效考评控制。我们评价一个分类的好坏有一个标准的，好的分类就像我们做诗一样是对仗的，春夏秋冬这样去对，如果除了对仗还有交叉在里面，现在很多分类值得商榷。换句话说，既然是国际上做的通行标准，我们可以参考它，大家都用通行的标准来做，这是没错的。

　　在我们这个新一代核心业务系统里，除了我们要谈以客户为中心，产品为中心，可能有一天有人说我们是以风险控制为主的系统，又不行了，怎么又不行了？它是逐渐约束上去的，不是我不行了，只要你规划好就行了。而且从现在规划形势来看，不光是约束，现在是环境约束，新一代核心业务系统面对的挑战不是保监会的要求，而是地方保监局的要求，是内部的，不是外部的。新一代核心业务系统适应分类的，地方性的，控制风险，监管要求，这就是我们的主线，也许是新一代核心业务系统内容，所以，它肯定要支撑这个。有的老板问，你这个新业务系统支不支持COSO系统或者框架，我也不知道怎么回答到底支持不支持。

　　实际上在我看来，它的一个大的要求或者大的分类，底下做一项功能就可以说它支持的，它本身也没有完备性要求，所以支持不支持你要求到什么程度。一般的要求是支持的，就像我们大家有争议，联合国通过和平宣言，但该打仗还是打仗，因为和平宣言是高端的概念，需要很多国家支持。

　　新一代核心业务系统面临着在全线运营基础上进行剥离化。如果规模做得特别大，虽然在集成上有好处，但功能上，大的保险公司从来没有一个软件是同一个版本，因为它把一个软件推广到全国的时间就是一年，它这时候是主审推广，同时在运行，它分成子系统来推广的话，比分成一个大系统推广，成本、副作用要小。所以，新一代核心业务系统方向是变成核心业务系统群了，按主线方向形成核心系统群。

　　第五是信息沟通，这是基本框架和内容：信息收集和传递，技术平台，他把反舞弊和举报制度放在一起，构成了第五章。虽然我们看来机制问题为什么不放在前面那个章节呢？分类是可以商榷的，既然强调技术平台，先说技术平台，强调机制的互相制约，可以建立在刚才所说的责任制里。也就是说，这个内容归纳来讲，实际上是一个信息手段和开放式的监督机制两个内容平行在第五章。

　　我下一次多做记录事实的介绍，现在先介绍系统。在真正的数据模型方面，我们主要的权威的东西，我们可以看到的是Acord和数据资源手册，和COSO有相似的地方。这些模型中也有很多讨论的问题，今天不展开讨论了，COSO基本规范要求对这个信息完整记录。

　　任何系统要建立内部的技术环境，我们计算机系统实际上是建立一个环境，做系统规划也是建立一个完整的环境，比如我们是一个保险集团，想把所有涉及到技术环境部分内容提出来，在我们整个集团内共享，或者在我们集团内达到某种沟通和升级，这个环境很重要，时间原因我就不多说了。从内容表达上看，它这三个方面与第二章内容比较相关。

　　总结归纳。基本规范是一个分类框架，我们现在说软件体系结构，好多人都说软件体系结构很重要，我的观点，实际上软件体系是合的，或者说不是唯一。程序员技术大会上，有一个演讲室温喻（音）也了很多框架的书，他最新一本书《一线架构师指南》，说你写个专家意见，推荐意见，我怎么看这个事儿呢？其实软件架构和硬件架构不太一样，是一种抽象。由于它是一种抽象，灵活和多样性都存在。有点艺术特征，相当对一个系统做一个概括说明，有点像绘画，我把这个现实画出来，画出来就有很多学派，写实派是一派，素描派是一派，还有抽象派，印象派，我们去西方看说，写实派我看得很懂，可是印象派我觉得有问题，我不同意，你不同意也没关系，也人同意。软件架构处于现在这个状态，相当于你写摘要的方法论。而且这个方法论并没有谁比谁更好。我们翻开经典教科书，软件体系结构怎么定义的呢？写软件的叫编档，这个词都不常用，其实是形成软件分类目录。