网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

　　我们应用软件体系结构是我们的一个分类目录，COSO解决的是一个通用风险控制的框架目录，和软件体系结构不一样。我们的保险体系结构涉及保险的领域知识，COSO框架是一般风险控制目录框架，一般风险控制要这个框架。为什么很多东西我们听不懂他说的，因为他在说框架和概括，或者看不懂得是图书馆的分类目录，但那个分类目录是最要看得懂的，否则不知道书被塞到那个分类里。COSO是一个分类框架，而且是国际上公认的框架，它未必是最对的，但国际上先认了它。就像英语作为商业用语，之前是拉丁语，并不是拉丁语最好，但拉丁语作为最基本的语言，COSO《基本规范》属于这种状态，分类要学，虽然里面有瑕疵也要学。

　　第二个总结，这个《基本规范》是一个高端文件，大家不用害怕，说我这个是不是不兼容，越高端越容易跟它兼容。现在国家发布《劳动合同法》了，开始企业很着急，说这个《劳动合同法》要求很高，开始是高端的，比如员工要代表大会认证，也没有说代表怎么产生的，选几个代表，就说这个制度通过了。高端的概念，低端的是一个实力，你很容易达到。所以，不用担心COSO框架出来的时候会出问题。管理上需要一个可操作管理文件，但COSO不给你，因为这是操作细节，它给不了那么细。我前面还写过一篇文章叫可操作管理文件，所以，不用担心对高端、低端文件要求的不适应，只要发挥你的创造性，找到完整的实力就能达到这个要求了

　　核心业务系统是做这个事情的基石，无论基本规范还是什么，它执行起来和企业管理，我也是从事企业管理的，企业管理靠什么呢？靠企业文化，实务，管理规则，但这些东西说白了不是很刚性，为什么大家对系统毛病意见特别大呢？为什么对开发者或者一块儿合作开发者意见特别大呢？因为它太刚性了，文件不做，半年没人知道，但系统过不去，打印打不出来，输都输不进去，容易得罪人。所以，核心业务系统是刚性实现刚才所说的管理框架的主要工具。有人说我这个企业文化很好，但底下怎么做的老板未必知道，刚性的工具就变得非常非常重要。在我写的文章里已经写了，如果说T是技术，I绝对不是技术，是业务，IT经理绝对不是业务经理，既然IT合起来说，最起码是一个管理的要求，或者是信息化的管理要求。

　　现在看，要想实现这个基本规范或者COSO也没有办法，它有一些应用脱节，它的方案是抽查的，赶上你就是你，没赶上你就放了你，抽查的效率是很低的，很多企业说我很容易通过404条款，当然了，因为是抽查，没有抽到，谁也没有做完备性证明。它的结论是“经查没发现问题”，绝对不会说“没问题”。如果我们基础都建立得不好的话，“经查没出现问题”其实是有小问题，大家都知道这里头的意思。

　　我们要学习借鉴COSO框架，不要迷信，我举的图书馆的例子，比如COSO框架就像图书馆的分类目录，它有没有作用？它有作用。其实图书馆分类目录要加强学，而且我们要和国际化接轨，不能按照自己的说法自己想怎么改就怎么改，这是不对的。摘要也是一种目录，但是更细，我们叫蓝图或者模型，有点像Acord，我们提了一些蓝图的建议。我看了很多美国的标准，包括Acord真的有值得商榷的地方。也许下次开会我们可以探讨为什么模型这么分类，这么分类不平衡。专家来了我们讨论，他们非常认可。我们认为摘要非常重要。工程师或者技术工作者不会写摘要，除了文字以外概括能力比较差，工程师写不出这种文章，所以我们大量发展BA职能人员。

　　发展上来看，我们并不落后，原来我们说不落后，当然我不敢说我们先进，因为先进表现我们不谦虚，但不落后就代表我们就很先进。以前我们说国外软件很好，但后来国外软件在中国已经上了很多了，领导已经大大概知道国外软件是怎样的。我以前写了四五篇文章，实际上已经看到它当时的问题了。比如汇丰银行的管理系统，我们不敢很挑剔。三年前我们看AIG这么大的保险公司应用系统怎么上成这样，除了技术方面，我觉得模型方面也值得商榷，过去我们说都不敢说，现在我们可以说中国很多保险公司可以排在前几名了，AIG也出现问题了。中国为什么行？第一技术后发优势，第二模型竞争度强。中国为什么强，主要还是这个环境，只要这个环境处于竞争状态，所以这个领域就行。行业不竞争就不强，我们国家一竞争的行业它肯定强。大家要有信心，我们的武器一定不是最差的。