IT内控体系建立与实施.pptx
合集下载
第4章 信息技术整体控制 《内部控制》PPT课件
(4)便利性:在整合的环境下,企业内部所产生的信息透过系统将可在企业任一地方取得与应 用。
内部控制
14
(5)提高管理绩效:ERP系统将使部门间横向的联系有效且紧密,使得管理绩效提升。 (6)促进组织之间的互动关系:透过ERP系统可以使企业与原物料供货商之间紧密结合,增加 其适应市场变动的能力。而客户关系管理模式则使企业充分把握市场需求的脉搏,两者皆有 助于促进企业与上下游企业的互动发展。
1)定义
2)ERP的重要性
(1)整合性:ERP最大特色便是整个企业信息系统的整合,比传统单一的系统更具功能性。
(2)弹性:采用模块化的设计方式,使系统本身可因应企业需要新增模块来支持并整合,提升企 业的应变能力。
(3)集中的数据储存:将原先分散于企业各角落的数据整合起来,使数据一致,并提升其精确性 。
第4章 信息技术整体控制 4.1IT基础工作 4.1.1 信息系统的开发
1)制订信息系统开发的战略规划 2)选择适当的信息系统开发方式
(1)自行开发 (2)外购调试
内部控制
2
(3)业务外包
3)自行开发方式的关键控制点和主要控制措施
(1)项目计划环节 (2)需求分析环节 (3)系统设计环节 (4)编程和测试环节 (5)上线环节
4.1.3 电子商务对内部控制的影响
1)电子商务改变了控制环境
内部控制
4
2)电子商务企业风险因素的变化 3)无纸化贸易对控制活动的影响 4)信息与沟通的新要求 5)监督方式的改变
4.2IT治理与IT控制 4.2.1 IT治理
1)IT治理的定义 2)IT治理和IT管理
内部控制
5
3)IT治理成功的关键要素
4)其他开发方式的关键控制点和主要控制措施
中国联通IT内控体系建立与实施(PPT 41页)(1)
中国联通IT内控体系建立与实施(PPT 41页)(1)
内部控制基本执行路径在美国上市公司请管理咨询公司,制定满足SOX 要求,遵循COSO框架的制度 在企业各个层面落实
企业请外审公司对执行情况进行审计,得出结论。 在资本市场公布审计结果
中国联通IT内控体系建立与实施(PPT 41页)(1)
每年内控工作各阶段划分
的管理控制工作,是信息化管理控制的一部分。
企业信息化工作
信息系统建设与运营
信息化管理控制
IT内控
中国联通IT内控体系建立与实施(PPT 41页)(1)
对财务数据来源控制的途径
• SOX404强调财务报告数据来源的准确与控制。 • 财务报告数据来源的内部控制包括信息系统控制、电子表格控制、人
工处理数据控制等三个方面。 • 2006年原网通河北省分公司IT内控工作组承担了IT内控、电子表格内
中国联通IT内控体系建立与实施(PPT 41页)(1)
IT内控管理内部环境分析
• 从内部环境看,2006年以前,网通河北省分公司企业信息系统建设相对 通信专业起步晚、信息化管理基础薄弱,表现在两个方面:
• 1、已有信息系统功能大部分不能满足IT内控条款要求; • 2、所属各单位还没有形成系统的IT管理控制流程,存在控制风险。
中国联通-IT内控体系建 立与实施(PPT 41页)(1)
2020/11/3
中国联通IT内控体系建立与实施(PPT 41页)(1)
原中国网通内控测试结果零缺陷
• 为了达到在美国上市公司萨班斯法案的要求,原中国网通公司在近三年 的时间里,完成了147个单位的内控体系建设,共梳理内控流程6920个, 对近16000个关键控制活动进行了测试。经过世界知名的普华永道会计 师事务所审计,中国网通(集团)有限公司测试结果为零缺陷,内控工 作最终取得令人满意的实质效果。
内部控制基本执行路径在美国上市公司请管理咨询公司,制定满足SOX 要求,遵循COSO框架的制度 在企业各个层面落实
企业请外审公司对执行情况进行审计,得出结论。 在资本市场公布审计结果
中国联通IT内控体系建立与实施(PPT 41页)(1)
每年内控工作各阶段划分
的管理控制工作,是信息化管理控制的一部分。
企业信息化工作
信息系统建设与运营
信息化管理控制
IT内控
中国联通IT内控体系建立与实施(PPT 41页)(1)
对财务数据来源控制的途径
• SOX404强调财务报告数据来源的准确与控制。 • 财务报告数据来源的内部控制包括信息系统控制、电子表格控制、人
工处理数据控制等三个方面。 • 2006年原网通河北省分公司IT内控工作组承担了IT内控、电子表格内
中国联通IT内控体系建立与实施(PPT 41页)(1)
IT内控管理内部环境分析
• 从内部环境看,2006年以前,网通河北省分公司企业信息系统建设相对 通信专业起步晚、信息化管理基础薄弱,表现在两个方面:
• 1、已有信息系统功能大部分不能满足IT内控条款要求; • 2、所属各单位还没有形成系统的IT管理控制流程,存在控制风险。
中国联通-IT内控体系建 立与实施(PPT 41页)(1)
2020/11/3
中国联通IT内控体系建立与实施(PPT 41页)(1)
原中国网通内控测试结果零缺陷
• 为了达到在美国上市公司萨班斯法案的要求,原中国网通公司在近三年 的时间里,完成了147个单位的内控体系建设,共梳理内控流程6920个, 对近16000个关键控制活动进行了测试。经过世界知名的普华永道会计 师事务所审计,中国网通(集团)有限公司测试结果为零缺陷,内控工 作最终取得令人满意的实质效果。
IT规划和IT机制建设ppt课件
从信息化效果看 成绩与问题
从管理环节找 经验和原因
从体制、机制和 企业文化找根源
信息化准备程度
信息化技术水平 及功用
企业的每一个职能 部门的职责都被分解 为若干管理环节
诊断从分析职能部 门的管理环节的运行 状态入手,判定其是 否处于正常的受控状 态
不仅要从企业各管 理环节找出病因,更 要从机制、体制与企 业文化找到根源
组织核心业务的目的 业务单元的设置 组织的整体战略地位以及业务单元的 战略地位,研究竞争对手和SWOT分析 组织和业务单元的战略潜力 财务分析 产品寿命周期分析
基础设施如网络系统,存储系统,和作 业处理系统。
包括信息技术架构如数据架构,通信架 构,和运算架构。
包括应用系统如各种应用程序。
包括作业管理如方法,开发,实施,和 管理。
项目成果
一般地,IT规划的直接工作成果,至少应该包含以下5部分工作成果。它 们分别为:
–企业现状及IT现状能力分析报告; –IT需求分析报告; –IT架构设计和管理组织形式设计报告; –IT产品/服务选型报告; –IT具体项目规划报告;
项目成果——企业现状及IT现状分析报告
企业现状和IT现状分析报告
项目界定
IT机制建设 –IT机制是针对企业信息化的管理体系,是现代管理理念和信息化技术结 合的产物,能够有效地解决或避免企业信息化过程中出现的问题。 –IT机制建设是现代管理理念和信息化技术融合的过程。通过借助传统的 管理方法,从组织结构、岗位设置、职能划分、人员配置着手,调用组 织资源合理地搭建一个职能性的管理框架;在把握信息化业务的特点和 关键环节的基础上,规范业务流程和信息,同时建立相应的监督、考核、 激励制度;从而形成完整的IT机制。
还包括企业员工如技能,经验,知识, 和创新。
企业IT治理体系规划ppt课件
IT治理框架
• 与业务协同并提供 相应的解决方案
• 确立价值主张, 传递IT的价值
• 优化配置, 达到资源
的最大化 利用
IT治理 关注领域
风险管理
• 管理资产、灾难恢 复以及合规风险
• 监控和纠正 行为
IT治理的意义
战略协同 • IT对于企业非常关键,是企业战略的组成部分,有效的IT治理能
够保持IT与企业战略目标和业务的一致性 • 通过IT战略优化IT建设投资组合,支持企业转型,通过信息基础
实现集中管理,共享 服务,优化支持
• 保障集中系统建设、集中系统管理、集中改进措施 • 建立集中与分散相结合的服务支持,实现有效管理
保障业务连续,实现 平稳演进
• 提高信息系统的可用性和可靠性,保障业务连续性 • 有利于以逐步实施的方式实现向目标架构的演进 • IT组织和管理流程需要实现相应的转型
CE v6.0
4A 制定企业数据 模型
4B 制定企业IT架 构
4C IT知识管理
建设
-5 IT 系统实施
5A 系统设计
5B 系统开发/ 获取
5C 交付部署
5D 基础设施 实施
5E 项目采购审计
-6 – IT 运维
6A 设备环境 管理
6B 配置管理
6C 系统安全 管理
6D 性能和能 力管理
6E 业务连续 性管理
运维
9
目录
XX集团信息化蓝图架构 信息化管控体系规划
信息化治理规划方法论 IT治理目标体系架构设计 XX集团IT运维 IT治理演进规划
CE v6.0
10
成熟的IT组织通常具有支持性、运行性和战略性三层IT职能,XX集团IT组织应 当遵循支持性→运行性→战略性的发展方向,未来战略性职能将逐步增加
《内部控制体系建设》课件
详细描述
早期的内部控制主要关注于防止财务舞弊和保障资产安全,其手段相对简单,仅限于账 目核对、人员分离等。随着企业规模的扩大和业务范围的拓展,内部控制逐渐涉及到企 业的各个方面,包括采购、生产、销售、投资等。现代的内部控制体系已经发展成为一
个全面、系统的管理工具,旨在保障企业的整体运营效率和风险防范能力。
详细描述
内部控制通过规范企业内部的运作流程,确保各项业务活动的合法合规,提高企业的经营效率。同时 ,内部控制能够保护企业的资产安全完整,防止资产流失和滥用。此外,内部控制还能够预防和降低 企业的风险,确保企业的稳定发展。
内部控制的演变历程
总结词
随着企业规模和业务范围的扩大,内部控制的演变历程经历了从简单到复杂、从局部到 全面的过程。
提高信息披露质量,按照法律法规和监 管要求,真实、准确、完整地披露企业 信息,保障投资者的合法权益。
强化外部沟通,与供应商、客户、监管 机构等相关方保持有效的沟通,保障企 业的外部形象和声誉。
建立健全的信息系统,收集、处理、传 递和保管各类信息,提高信息的有用性 和时效性。
加强内部沟通,建立有效的信息传递机 制,确保各级人员能够及时获取相关信 息和支持其履行职责。
02 内部控制体系建设
内部控制环境建设
01
02
03
组织架构
明确各部门的职责和权限 ,建立有效的制衡和监督 机制。
企业文化
培养积极向上的企业文化 ,强化员工的内部控制意 识。
人力资源政策
建立完善的人力资源政策 ,包括招聘、培训、考核 和激励等。
风险评估机制建设
风险识别
及时发现和确定可能对组 织产生不利影响的风险因 素。
建立科学合理的组织结构,明确各部 门职责和权限,形成有效的制衡机制 。
早期的内部控制主要关注于防止财务舞弊和保障资产安全,其手段相对简单,仅限于账 目核对、人员分离等。随着企业规模的扩大和业务范围的拓展,内部控制逐渐涉及到企 业的各个方面,包括采购、生产、销售、投资等。现代的内部控制体系已经发展成为一
个全面、系统的管理工具,旨在保障企业的整体运营效率和风险防范能力。
详细描述
内部控制通过规范企业内部的运作流程,确保各项业务活动的合法合规,提高企业的经营效率。同时 ,内部控制能够保护企业的资产安全完整,防止资产流失和滥用。此外,内部控制还能够预防和降低 企业的风险,确保企业的稳定发展。
内部控制的演变历程
总结词
随着企业规模和业务范围的扩大,内部控制的演变历程经历了从简单到复杂、从局部到 全面的过程。
提高信息披露质量,按照法律法规和监 管要求,真实、准确、完整地披露企业 信息,保障投资者的合法权益。
强化外部沟通,与供应商、客户、监管 机构等相关方保持有效的沟通,保障企 业的外部形象和声誉。
建立健全的信息系统,收集、处理、传 递和保管各类信息,提高信息的有用性 和时效性。
加强内部沟通,建立有效的信息传递机 制,确保各级人员能够及时获取相关信 息和支持其履行职责。
02 内部控制体系建设
内部控制环境建设
01
02
03
组织架构
明确各部门的职责和权限 ,建立有效的制衡和监督 机制。
企业文化
培养积极向上的企业文化 ,强化员工的内部控制意 识。
人力资源政策
建立完善的人力资源政策 ,包括招聘、培训、考核 和激励等。
风险评估机制建设
风险识别
及时发现和确定可能对组 织产生不利影响的风险因 素。
建立科学合理的组织结构,明确各部 门职责和权限,形成有效的制衡机制 。
内部控制制度体系的建设与实施(培训) 43页
建议
• 立项 • 成本预算 • 中期检查 • 成本资本化与费用化 • 成果管理
2.2.3常见业务领域举例——工程项目
财政部文件
• 第一章 总 则
• 立项决策、招标暗箱操作、造价、
物资质量与价格、监理、竣工验
收。 • 第二章 工程立项 • 第三章 工程招标 • 第四章 工程造价 • 第五章 工程建设 • 第六章 性研究与评审
•初步设计与概算
•技术设计与修正概算
•设计与概预算
•概预算审核
•施工企业招标
•设备招标
•工程开工
•监理
•过程管理与在建工程确认
•初步验收
•项目结算
•试运行
•工程决算
•竣工验收后评估
2.2.3常见业务领域举例——资产管理
财政部文件 • 第一章 总 则 • 存货积压或短缺、价值贬损、固定资
1.4内部控制与风险管理
还关注由于外部 环境所造成的风
险。
内部控制:以流 程为基础,更加 关注企业内部流 程执行中的风险。
附:内部控制的整体框架
COSO
控制环境
管理层的正直,道德 价值观和行为
管理层的控制意识和 运作类型
管理层对员工能力的承诺
董事会和审计委员会 的监督
组织架构已经权责的 分配授权的界面应该
1.1 内部控制为什么 会受到重视? 1.2什么是内部控制? 1.3 什么是风险管 理
1.4 内部控制与风险 管理
1.5企业内部控制部 的定位
1.6内部控制的原则
2
内部控制制度体系的 建立 2.1 控制环境描述 2.2 控制流程描述 2.3 设定目标 2.4 事项识别 2.5 风险评估 2.6 风险应对 2.7 控制评价 2.8 控制优化
IT内控体系建立与实施
一般安全管理 操作系统 安全管理
数据库安全管理
网络安全管理
应用系统 安全管理
防病毒安全管理
批处理程序管理
备份 信息化用户 支撑体系 紧急应变及 系统恢复
ITIL
应用系统变更
应用系统采购
操作系统变更
应用系统、数据库 开发与实施
数据库系统变更
网络变更
物理安全管理
41- 9
举例:信息系统安全内控架构
一般安全管理
IT内控体系建立与实施
中国联合网络通信有限公司河北省分公司高级工程师 屈玉阁 2009年5月15日
原中国网通内控测试结果零缺陷
• 为了达到在美国上市公司萨班斯法案的要求,原中国网通公司在近三年 的时间里,完成了147个单位的内控体系建设,共梳理内控流程6920个, 对近16000个关键控制活动进行了测试。经过世界知名的普华永道会计 师事务所审计,中国网通(集团)有限公司测试结果为零缺陷,内控工 作最终取得令人满意的实质效果。
41- 2
内部控制基本执行路径
在美国上市的公司请管理咨询公司,制定满足SOX 要求,遵循COSO框架的制度 在企业各个层面落实
企业请外审公司对执行情况进行审计,得出结论。 在资本市场公布审计结果
41- 3
每年内控工作各阶段划分
工作进度
各单位改进
省公司组 织检查
各单位依据本地 化控制活动检查 实际工作中差距, 并改正。
依据内控模板 制定、修正本 地化控制活动
外审第一 次测试
各单位改进
外审第二 次测试
日期
41- 4
企业信息化工作基本内容
• 企业信息化工作分为两部分,一是信息系统建设,二是信息化管理控制。 • IT内控是为保证财务报告数据的真实准确而对信息系统及管理环境采取
IT内控体系建立与实施方法.pptx
41- 16
一、内控制度建设
• 完成《中国网通(集团)有限公司河北省分公司信息系统信息安全与风 险管理规范》编写;
• 完成《中国网通(集团)有限公司河北省分公司电子表格实施细则》编 写;
• 完成《中国网通(集团)有限公司河北省分公司信息系统建设编码七项 规范》
• 修正《中国网通(集团)有限公司河北省分公司信息系统管理办法》; • 帮助财务部编写《久其报表软件系统管理暂行办法》。
依据内控模板 制定、修正本 地化控制活动
外审第一 次测试
各单位改进
外审第二 次测试
日期
41- 4
企业信息化工作基本内容
• 企业信息化工作分为两部分,一是信息系统建设,二是信息化管理控制。 • IT内控是为保证财务报告数据的真实准确而对信息系统及管理环境采取
的管理控制工作,是信息化管理控制的一部分。
41- 2
内部控制基本执行路径
在美国上市的公司请管理咨询公司,制定满足SOX 要求,遵循COSO框架的制度 在企业各个层面落实
企业请外审公司对执行情况进行审计,得出结论。 在资本市场公布审计结果
41- 3
每年内控工作各阶段划分
工作进度
各单位改进
省公司组 织检查
各单位依据本地 化控制活动检查 实际工作中差距, 并改正。
企业信息化工作
信息系统建设与运营
信息化管理控制 IT内控
41- 5
对财务数据来源控制的途径
• SOX404强调财务报告数据来源的准确与控制。 • 财务报告数据来源的内部控制包括信息系统控制、电子表格控制、人
工处理数据控制等三个方面。 • 2006年原网通河北省分公司IT内控工作组承担了IT内控、电子表格内
41- 14
一、内控制度建设
• 完成《中国网通(集团)有限公司河北省分公司信息系统信息安全与风 险管理规范》编写;
• 完成《中国网通(集团)有限公司河北省分公司电子表格实施细则》编 写;
• 完成《中国网通(集团)有限公司河北省分公司信息系统建设编码七项 规范》
• 修正《中国网通(集团)有限公司河北省分公司信息系统管理办法》; • 帮助财务部编写《久其报表软件系统管理暂行办法》。
依据内控模板 制定、修正本 地化控制活动
外审第一 次测试
各单位改进
外审第二 次测试
日期
41- 4
企业信息化工作基本内容
• 企业信息化工作分为两部分,一是信息系统建设,二是信息化管理控制。 • IT内控是为保证财务报告数据的真实准确而对信息系统及管理环境采取
的管理控制工作,是信息化管理控制的一部分。
41- 2
内部控制基本执行路径
在美国上市的公司请管理咨询公司,制定满足SOX 要求,遵循COSO框架的制度 在企业各个层面落实
企业请外审公司对执行情况进行审计,得出结论。 在资本市场公布审计结果
41- 3
每年内控工作各阶段划分
工作进度
各单位改进
省公司组 织检查
各单位依据本地 化控制活动检查 实际工作中差距, 并改正。
企业信息化工作
信息系统建设与运营
信息化管理控制 IT内控
41- 5
对财务数据来源控制的途径
• SOX404强调财务报告数据来源的准确与控制。 • 财务报告数据来源的内部控制包括信息系统控制、电子表格控制、人
工处理数据控制等三个方面。 • 2006年原网通河北省分公司IT内控工作组承担了IT内控、电子表格内
41- 14
内部控制制度的建立ppt
加强信息披露和透明度
提高信息披露质量
按照相关法规和规范要求,提高信息披露的及时性、真实性和完整性。
增强透明度
加强内部管理,增加企业运营的透明度,让投资者、债权人和社会公众了解企业 的运营情况和财务状况。
04
内部控制制度的测试和评估
内部控制制度的测试方法
1 2
穿行测试
通过亲自执行或观察某项控制活动,了解内部 控制系统在防止、发现并纠正重大错报方面的 运行有效性。
03
建立有效的内部控制制度
制定明确的原则和标准
合法性原则
全面性原则
内部控制制度必须符合国家法律法规和政策 规定。
内部控制制度应覆盖企业各项业务、部门和 流程,确保无遗漏。
制衡性原则
适应性原则
内部控制制度应设立相互制衡的机制,防范 风险和舞弊。
内部控制制度应适应企业实际情况,并,及时调整战略和业务活动。
沟通机制
03
建立有效的沟通机制,使员工、部门和管理层之间的信息交流
畅通无阻。
监督与监控
日常监督
通过日常监督活动,发现和纠正内部控制缺陷。
专项监督
对特定业务或重大事项进行专项监督,确保内部控制的有效性。
监控机制
建立监控机制,及时发现和纠正内部控制的缺陷和不适应之处,不断完善内部控制体系。
公司C的内部控制制度主要包括预算 、财务管理、人力资源、采购、生产 、销售等环节的控制措施。这些措施 保证了公司财务报告的准确性、经营 管理的合规性和效率性。
实施效果
公司C的内部控制制度实施后,公司 的治理水平得到了显著提升,经营风 险得到了有效控制,公司的合规性和 公信力也得到了大幅度提高。同时, 公司的财务管理和内部管理效率也得 到了大幅度提升。
中国联通-IT内控体系建立与实施
各单位依据本地 化控制活动检查 实际工作中差距, 并改正。
依据内控模板 制定、修正本 地化控制活动
外审第一 次测试
各单位改进
外审第二 次测试
日期
中国联通-IT内控体系建立与实施
企业信息化工作基本内容
• 企业信息化工作分为两部分,一是信息系统建设,二是信息化管理控制。 • IT内控是为保证财务报告数据的真实准确而对信息系统及管理环境采取
数据库系统变更
17 79
网络安全管理
紧急应变及 系统恢复
9
应用系统
安全管理
ITIL
防病毒安全管理
网络变更
物理安全管理
中国联通-IT内控体系建立与实施
举例:信息系统安全内控架构
一般安全管理
防病毒 安全
中国联通-IT内控体系建立与实施
举例:操作系统安全内控结构
操作系统安全综述 对用户的管理 帐号管理 认证管理 权限管理 对系统的管理 帐号安全设置 补丁安装 监控管理
• 2007年5月31日,普华永道在美国证券交易委员会(SEC)的20F报告中, 对原中国网通内控工作正式出具了无保留意见的审计报告。至此,原中 国网通成为率先通过美国《萨班斯法案》404条款的国内电信运营商。 原网通河北省分公司作为网通集团内控模板推广试点单位,为原中国网 通集团通过美国《萨班斯法案》404条款做出了应有的贡献。
中国联通-IT内控体系建 立与实施
2020/11/3
中国联通-IT内控体系建立与实施
原中国网通内控测试结果零缺陷
• 为了达到在美国上市公司萨班斯法案的要求,原中国网通公司在近三年 的时间里,完成了147个单位的内控体系建设,共梳理内控流程6920个, 对近16000个关键控制活动进行了测试。经过世界知名的普华永道会计 师事务所审计,中国网通(集团)有限公司测试结果为零缺陷,内控工 作最终取得令人满意的实质效果。
依据内控模板 制定、修正本 地化控制活动
外审第一 次测试
各单位改进
外审第二 次测试
日期
中国联通-IT内控体系建立与实施
企业信息化工作基本内容
• 企业信息化工作分为两部分,一是信息系统建设,二是信息化管理控制。 • IT内控是为保证财务报告数据的真实准确而对信息系统及管理环境采取
数据库系统变更
17 79
网络安全管理
紧急应变及 系统恢复
9
应用系统
安全管理
ITIL
防病毒安全管理
网络变更
物理安全管理
中国联通-IT内控体系建立与实施
举例:信息系统安全内控架构
一般安全管理
防病毒 安全
中国联通-IT内控体系建立与实施
举例:操作系统安全内控结构
操作系统安全综述 对用户的管理 帐号管理 认证管理 权限管理 对系统的管理 帐号安全设置 补丁安装 监控管理
• 2007年5月31日,普华永道在美国证券交易委员会(SEC)的20F报告中, 对原中国网通内控工作正式出具了无保留意见的审计报告。至此,原中 国网通成为率先通过美国《萨班斯法案》404条款的国内电信运营商。 原网通河北省分公司作为网通集团内控模板推广试点单位,为原中国网 通集团通过美国《萨班斯法案》404条款做出了应有的贡献。
中国联通-IT内控体系建 立与实施
2020/11/3
中国联通-IT内控体系建立与实施
原中国网通内控测试结果零缺陷
• 为了达到在美国上市公司萨班斯法案的要求,原中国网通公司在近三年 的时间里,完成了147个单位的内控体系建设,共梳理内控流程6920个, 对近16000个关键控制活动进行了测试。经过世界知名的普华永道会计 师事务所审计,中国网通(集团)有限公司测试结果为零缺陷,内控工 作最终取得令人满意的实质效果。
IT环境下企业内部控制体系的建设(PPT 90页).ppt
一、系统环境层面-软件功能
操作权限及口令密码控制
一、系统环境层面-软件功能
操作权限及口令密码控制
一、系统环境层面-软件功能
操作日志控制
一、系统环境层面-软件功能
操作日志控制
一、系统环境层面-软件功能
操作日志控制
一、系统环境层面-软件功能
输入控制方法的支持——顺序编号
一、系统环境层面-软件功能
财务人员对凭证进行审核确认。 8、收入会计与开票人员必须分离。 9、业务人员定期到财务处领取发票,并在发票领用单上签字确认。 10、业务员定期将发票送至客户,并要求客户确认签收。 11、财务人员定期核对客户确认签收单,对差异及长期未收回的签收单进行调查。 12、系统自动进行单据核对(订单、发货单、出库单、发票)及帐簿核对(销售帐与财务帐)。
5、信息化处理控制原则——将信息部分与使用部门分开;需要实施IT控制
计算机信息技术控制成为内部控制关键方法!
IT环境下企业内部控制体系的建设
控制内容和范围 内部控制的内容增加——IT控制
IT环境下企业内部控制体系的建设
控制内容和范围 内部控制的范围更加广阔——集团管控
企业集团集中管控 信息集中/集团一套帐
支持
一、系统环境层面-内控要求
一、系统环境层面-软件功能
1、输入控制:目的是为了保证输入的数据的真实、准确、完整
操作权限及口令密码控制 记录输入操作日志控制 支持各种输入控制方法 ——顺序编号 ——数据总量控制 ——数据转换控制 ——程序检测控制
一、系统环境层面-软件功能
操作权限及口令密码控制
第二部分 用友ERP系统全面支持 企业内部控制的开展
用友ERP系统帮助企业 全面提高内部控制的执行及监督水平!
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
企业信息化工作
信息系统建设与运营
信息化管理控制 IT内控
41- 5
对财务数据来源控制的途径
• SOX404强调财务报告数据来源的准确与控制。 • 财务报告数据来源的内部控制包括信息系统控制、电子表格控制、人
工处理数据控制等三个方面。 • 2006年原网通河北省分公司IT内控工作组承担了IT内控、电子表格内
ISO/IEC 17799
Cobit
信息系统安全
信息系统操作
变更管理
应用系统、数据 库实施与支持
一般安全管理 操作系统 安全管理
数据库安全管理
网络安全管理
应用系统 安全管理
防病毒安全管理
批处理程序管理
备份 信息化用户 支撑体系 紧急应变及 系统恢复
ITIL
应用系统变更
应用系统采购
操作系统变更
应用系统、数据库 开发与实施
41- 14
IT内控管理内部环境分析
• 从内部环境Βιβλιοθήκη ,2006年以前,网通河北省分公司企业信息系统建设相对 通信专业起步晚、信息化管理基础薄弱,表现在两个方面:
• 1、已有信息系统功能大部分不能满足IT内控条款要求; • 2、所属各单位还没有形成系统的IT管理控制流程,存在控制风险。
41- 15
2006年原网通河北省分公司IT内控开展的工作
41- 2
内部控制基本执行路径
在美国上市的公司请管理咨询公司,制定满足SOX 要求,遵循COSO框架的制度 在企业各个层面落实
企业请外审公司对执行情况进行审计,得出结论。 在资本市场公布审计结果
41- 3
每年内控工作各阶段划分
工作进度
各单位改进
省公司组 织检查
各单位依据本地 化控制活动检查 实际工作中差距, 并改正。
依据内控模板 制定、修正本 地化控制活动
外审第一 次测试
各单位改进
外审第二 次测试
日期
41- 4
企业信息化工作基本内容
• 企业信息化工作分为两部分,一是信息系统建设,二是信息化管理控制。 • IT内控是为保证财务报告数据的真实准确而对信息系统及管理环境采取
的管理控制工作,是信息化管理控制的一部分。
IT内控体系建立与实施
中国联合网络通信有限公司河北省分公司高级工程师 屈玉阁 2009年5月15日
原中国网通内控测试结果零缺陷
• 为了达到在美国上市公司萨班斯法案的要求,原中国网通公司在近三年 的时间里,完成了147个单位的内控体系建设,共梳理内控流程6920个, 对近16000个关键控制活动进行了测试。经过世界知名的普华永道会计 师事务所审计,中国网通(集团)有限公司测试结果为零缺陷,内控工 作最终取得令人满意的实质效果。
41- 12
举例:应用系统、数据库开发内控结构
应用系统、数据库开发
需求分析 设计 编码 测试
新的应用系统的测试 新的数据结构的测试 新的系统软件的测试
新的网络的测试 开发变更管理
应用系统、数据库实施 割接
试运行 初验 正式运行 终验 后评估 文档管理
41- 13
IT内控管理外部环境分析
• 从外部环境看,原网通公司内控条款共四百多条,其中IT内控条款占 52%;
41- 16
一、内控制度建设
• 完成《中国网通(集团)有限公司河北省分公司信息系统信息安全与风 险管理规范》编写;
• 完成《中国网通(集团)有限公司河北省分公司电子表格实施细则》编 写;
• 完成《中国网通(集团)有限公司河北省分公司信息系统建设编码七项 规范》
• 修正《中国网通(集团)有限公司河北省分公司信息系统管理办法》; • 帮助财务部编写《久其报表软件系统管理暂行办法》。
• 2007年5月31日,普华永道在美国证券交易委员会(SEC)的20F报告中, 对原中国网通内控工作正式出具了无保留意见的审计报告。至此,原中 国网通成为率先通过美国《萨班斯法案》404条款的国内电信运营商。 原网通河北省分公司作为网通集团内控模板推广试点单位,为原中国网 通集团通过美国《萨班斯法案》404条款做出了应有的贡献。
数据库系统变更
网络变更
物理安全管理
41- 9
举例:信息系统安全内控架构
一般安全管理
防病毒 安全
155- 10
举例:操作系统安全内控结构
操作系统安全综述 对用户的管理 帐号管理 认证管理 权限管理 对系统的管理 帐号安全设置 补丁安装 监控管理
41- 11
举例:帐号安全设置
• IT维护部门系统管理员通过对系统进行安全参数设置,实现维护人员对操作系 统访问的限制,根据用户对操作系统访问需求的不同,由IT维护部门系统管理 员对用户访问操作系统进行安全参数设置,记录在《操作系统安全参数配置表》 <6171-1-2-10>。IT维护部门系统维护主管每月审核系统的安全参数设置。[操 作系统维护人员必须通过设置操作系统的安全参数等安全措施限制对信息资源 的访问。](控制活动编号:<GC01.B-1>)。其中包含: – 对密码格式; – 无效登陆次数(三次); – 历史密码记忆个数; – 密码复杂度; – 密码长度(六位及以上); – 默认帐号锁定; – 帐号超时设置(10分钟); – 开放的端口和服务(要合理); – 日志的检查; – 系统的默认帐号。
内控制度建设 贯彻风险管理方式,开展针对性培训 与信息化管理控制工作相结合,统一IT内控流程描述和文档格式。 问题整理及整改措施的落实 现场督导,提出具体的管理措施,保证通过普华永道的测试 开展信息系统风险评估,模拟演练预案 积极与相关部门沟通,解决COSO、UAT和久其系统存在的问题 组织各单位,有效开展电子表格内控管理。
控等两部分工作,其工作量占全部内控工作的60%。
信息系统
财务报告
纸质报表
电子表格
41- 6
ITGC标准模板构成
41- 7
原网通公司IT内控涉及的领域
一般性信息系统 基本控制
信息系 统安全
信息系 统操作
变更管理
应用系统、 数据库实 施与支持
信息系统 应用控制
计费帐 ERP
务系统
41- 8
一般性信息系统基本控制内容
• 涉及的专业为信息系统安全、变更、操作、信息系统采购与开发等四项 内容;
• 涉及的部门包括计划、工程建设、物流采购、综合部、财务、人力资源、 网络维护、信息系统支撑等八个部门。
• 电子表格内控工作更是涉及网通公司每个专业工作。 • 在时间要求上,原网通河北省分公司必须在2006年达到SOX404要求。
信息系统建设与运营
信息化管理控制 IT内控
41- 5
对财务数据来源控制的途径
• SOX404强调财务报告数据来源的准确与控制。 • 财务报告数据来源的内部控制包括信息系统控制、电子表格控制、人
工处理数据控制等三个方面。 • 2006年原网通河北省分公司IT内控工作组承担了IT内控、电子表格内
ISO/IEC 17799
Cobit
信息系统安全
信息系统操作
变更管理
应用系统、数据 库实施与支持
一般安全管理 操作系统 安全管理
数据库安全管理
网络安全管理
应用系统 安全管理
防病毒安全管理
批处理程序管理
备份 信息化用户 支撑体系 紧急应变及 系统恢复
ITIL
应用系统变更
应用系统采购
操作系统变更
应用系统、数据库 开发与实施
41- 14
IT内控管理内部环境分析
• 从内部环境Βιβλιοθήκη ,2006年以前,网通河北省分公司企业信息系统建设相对 通信专业起步晚、信息化管理基础薄弱,表现在两个方面:
• 1、已有信息系统功能大部分不能满足IT内控条款要求; • 2、所属各单位还没有形成系统的IT管理控制流程,存在控制风险。
41- 15
2006年原网通河北省分公司IT内控开展的工作
41- 2
内部控制基本执行路径
在美国上市的公司请管理咨询公司,制定满足SOX 要求,遵循COSO框架的制度 在企业各个层面落实
企业请外审公司对执行情况进行审计,得出结论。 在资本市场公布审计结果
41- 3
每年内控工作各阶段划分
工作进度
各单位改进
省公司组 织检查
各单位依据本地 化控制活动检查 实际工作中差距, 并改正。
依据内控模板 制定、修正本 地化控制活动
外审第一 次测试
各单位改进
外审第二 次测试
日期
41- 4
企业信息化工作基本内容
• 企业信息化工作分为两部分,一是信息系统建设,二是信息化管理控制。 • IT内控是为保证财务报告数据的真实准确而对信息系统及管理环境采取
的管理控制工作,是信息化管理控制的一部分。
IT内控体系建立与实施
中国联合网络通信有限公司河北省分公司高级工程师 屈玉阁 2009年5月15日
原中国网通内控测试结果零缺陷
• 为了达到在美国上市公司萨班斯法案的要求,原中国网通公司在近三年 的时间里,完成了147个单位的内控体系建设,共梳理内控流程6920个, 对近16000个关键控制活动进行了测试。经过世界知名的普华永道会计 师事务所审计,中国网通(集团)有限公司测试结果为零缺陷,内控工 作最终取得令人满意的实质效果。
41- 12
举例:应用系统、数据库开发内控结构
应用系统、数据库开发
需求分析 设计 编码 测试
新的应用系统的测试 新的数据结构的测试 新的系统软件的测试
新的网络的测试 开发变更管理
应用系统、数据库实施 割接
试运行 初验 正式运行 终验 后评估 文档管理
41- 13
IT内控管理外部环境分析
• 从外部环境看,原网通公司内控条款共四百多条,其中IT内控条款占 52%;
41- 16
一、内控制度建设
• 完成《中国网通(集团)有限公司河北省分公司信息系统信息安全与风 险管理规范》编写;
• 完成《中国网通(集团)有限公司河北省分公司电子表格实施细则》编 写;
• 完成《中国网通(集团)有限公司河北省分公司信息系统建设编码七项 规范》
• 修正《中国网通(集团)有限公司河北省分公司信息系统管理办法》; • 帮助财务部编写《久其报表软件系统管理暂行办法》。
• 2007年5月31日,普华永道在美国证券交易委员会(SEC)的20F报告中, 对原中国网通内控工作正式出具了无保留意见的审计报告。至此,原中 国网通成为率先通过美国《萨班斯法案》404条款的国内电信运营商。 原网通河北省分公司作为网通集团内控模板推广试点单位,为原中国网 通集团通过美国《萨班斯法案》404条款做出了应有的贡献。
数据库系统变更
网络变更
物理安全管理
41- 9
举例:信息系统安全内控架构
一般安全管理
防病毒 安全
155- 10
举例:操作系统安全内控结构
操作系统安全综述 对用户的管理 帐号管理 认证管理 权限管理 对系统的管理 帐号安全设置 补丁安装 监控管理
41- 11
举例:帐号安全设置
• IT维护部门系统管理员通过对系统进行安全参数设置,实现维护人员对操作系 统访问的限制,根据用户对操作系统访问需求的不同,由IT维护部门系统管理 员对用户访问操作系统进行安全参数设置,记录在《操作系统安全参数配置表》 <6171-1-2-10>。IT维护部门系统维护主管每月审核系统的安全参数设置。[操 作系统维护人员必须通过设置操作系统的安全参数等安全措施限制对信息资源 的访问。](控制活动编号:<GC01.B-1>)。其中包含: – 对密码格式; – 无效登陆次数(三次); – 历史密码记忆个数; – 密码复杂度; – 密码长度(六位及以上); – 默认帐号锁定; – 帐号超时设置(10分钟); – 开放的端口和服务(要合理); – 日志的检查; – 系统的默认帐号。
内控制度建设 贯彻风险管理方式,开展针对性培训 与信息化管理控制工作相结合,统一IT内控流程描述和文档格式。 问题整理及整改措施的落实 现场督导,提出具体的管理措施,保证通过普华永道的测试 开展信息系统风险评估,模拟演练预案 积极与相关部门沟通,解决COSO、UAT和久其系统存在的问题 组织各单位,有效开展电子表格内控管理。
控等两部分工作,其工作量占全部内控工作的60%。
信息系统
财务报告
纸质报表
电子表格
41- 6
ITGC标准模板构成
41- 7
原网通公司IT内控涉及的领域
一般性信息系统 基本控制
信息系 统安全
信息系 统操作
变更管理
应用系统、 数据库实 施与支持
信息系统 应用控制
计费帐 ERP
务系统
41- 8
一般性信息系统基本控制内容
• 涉及的专业为信息系统安全、变更、操作、信息系统采购与开发等四项 内容;
• 涉及的部门包括计划、工程建设、物流采购、综合部、财务、人力资源、 网络维护、信息系统支撑等八个部门。
• 电子表格内控工作更是涉及网通公司每个专业工作。 • 在时间要求上,原网通河北省分公司必须在2006年达到SOX404要求。