IT内控体系建立与实施
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• 2007年5月31日,普华永道在美国证券交易委员会(SEC)的20F报告中, 对原中国网通内控工作正式出具了无保留意见的审计报告。至此,原中 国网通成为率先通过美国《萨班斯法案》404条款的国内电信运营商。 原网通河北省分公司作为网通集团内控模板推广试点单位,为原中国网 通集团通过美国《萨班斯法案》404条款做出了应有的贡献。
41- 14
IT内控管理内部环境分析
• 从内部环境看,2006年以前,网通河北省分公司企业信息系统建设相对 通信专业起步晚、信息化管理基础薄弱,表现在两个方面:
• 1、已有信息系统功能大部分不能满足IT内控条款要求; • 2、所属各单位还没有形成系统的IT管理控制流程,存在控制风险。
41- 15
2006年原网通河北省分公司IT内控开展的工作
41- 7
原网通公司IT内控涉及的领域
一般性信息系统 基本控制
信息系 统安全
信息系 统操作
变更管理
应用系统、 数据库实 施与支持
信息系统 应用控制
计费帐 ERP
务系统
41- 8
一般性信息系统基本控制内容
ISO/IEC 17799
Cobit
信息系统安全
信息系统操作
变更管理
应用系统、数据 库实施与支持
41- 16
一、内控制度建设
• 完成《中国网通(集团)有限公司河北省分公司信息系统信息安全与风 险管理规范》编写;
• 完成《中国网通(集团)有限公司河北省分公司电子表格实施细则》编 写;
41- 2
内部控制基本执行路径
在美国上市的公司请管理咨询公司,制定满足SOX 要求,遵循COSO框架的制度 在企业各个层面落实
企业请外审公司对执行情况进行审计,得出结论。 在资本市场公布审计结果
41- 3
每年内控工作各阶段划分
工作进度
各单位改进
省公司组 织检查
各单位依据本地 化控制活动检查 实际工作中差距, 并改正。
依据内控模板 制定、修正本 地化控制活动
外审第一 次测试
各单位改进
外审第二 次测试
日期
41- 4
企业信息化工作基本内容
• 企业信息化工作分为两部分,一是信息系统建设,二是信息化管理控制。 • IT内控是为保证财务报告数据的真实准确而对信息系统及管理环境采取
的管理控制工作,是信息化管理控制的一部分。
IT内控体系建立与实施
中国联合网络通信有限公司河北省分公司高级工程师 屈玉阁 2009年5月15日
Baidu Nhomakorabea
原中国网通内控测试结果零缺陷
• 为了达到在美国上市公司萨班斯法案的要求,原中国网通公司在近三年 的时间里,完成了147个单位的内控体系建设,共梳理内控流程6920个, 对近16000个关键控制活动进行了测试。经过世界知名的普华永道会计 师事务所审计,中国网通(集团)有限公司测试结果为零缺陷,内控工 作最终取得令人满意的实质效果。
一般安全管理 操作系统 安全管理
数据库安全管理
网络安全管理
应用系统 安全管理
防病毒安全管理
批处理程序管理
备份 信息化用户 支撑体系 紧急应变及 系统恢复
ITIL
应用系统变更
应用系统采购
操作系统变更
应用系统、数据库 开发与实施
数据库系统变更
网络变更
物理安全管理
41- 9
举例:信息系统安全内控架构
一般安全管理
企业信息化工作
信息系统建设与运营
信息化管理控制 IT内控
41- 5
对财务数据来源控制的途径
• SOX404强调财务报告数据来源的准确与控制。
• 财务报告数据来源的内部控制包括信息系统控制、电子表格控制、人 工处理数据控制等三个方面。
• 2006年原网通河北省分公司IT内控工作组承担了IT内控、电子表格内 控等两部分工作,其工作量占全部内控工作的60%。
• 涉及的专业为信息系统安全、变更、操作、信息系统采购与开发等四项 内容;
• 涉及的部门包括计划、工程建设、物流采购、综合部、财务、人力资源、 网络维护、信息系统支撑等八个部门。
• 电子表格内控工作更是涉及网通公司每个专业工作。 • 在时间要求上,原网通河北省分公司必须在2006年达到SOX404要求。
内控制度建设 贯彻风险管理方式,开展针对性培训 与信息化管理控制工作相结合,统一IT内控流程描述和文档格式。 问题整理及整改措施的落实 现场督导,提出具体的管理措施,保证通过普华永道的测试 开展信息系统风险评估,模拟演练预案 积极与相关部门沟通,解决COSO、UAT和久其系统存在的问题 组织各单位,有效开展电子表格内控管理。
41- 12
举例:应用系统、数据库开发内控结构
应用系统、数据库开发
需求分析 设计 编码 测试
新的应用系统的测试 新的数据结构的测试 新的系统软件的测试
新的网络的测试 开发变更管理
应用系统、数据库实施 割接
试运行 初验 正式运行 终验 后评估 文档管理
41- 13
IT内控管理外部环境分析
• 从外部环境看,原网通公司内控条款共四百多条,其中IT内控条款占 52%;
防病毒 安全
155- 10
举例:操作系统安全内控结构
操作系统安全综述 对用户的管理 帐号管理 认证管理 权限管理 对系统的管理 帐号安全设置 补丁安装 监控管理
41- 11
举例:帐号安全设置
• IT维护部门系统管理员通过对系统进行安全参数设置,实现维护人员对操作系 统访问的限制,根据用户对操作系统访问需求的不同,由IT维护部门系统管理 员对用户访问操作系统进行安全参数设置,记录在《操作系统安全参数配置表》 <6171-1-2-10>。IT维护部门系统维护主管每月审核系统的安全参数设置。[操 作系统维护人员必须通过设置操作系统的安全参数等安全措施限制对信息资源 的访问。](控制活动编号:<GC01.B-1>)。其中包含: – 对密码格式; – 无效登陆次数(三次); – 历史密码记忆个数; – 密码复杂度; – 密码长度(六位及以上); – 默认帐号锁定; – 帐号超时设置(10分钟); – 开放的端口和服务(要合理); – 日志的检查; – 系统的默认帐号。
财务报告
信 息 系 统 纸质报表
电子表格
41- 6
ITGC标准模板构成
系统清单
ITGC 标准文档
控制矩阵
标准模板
流程描述
流程图
穿行测试 文档索引
工作成果一览表
测试底稿
测试底稿
内控管理问题汇 总表
2008年信息系统 Oracle/SAP控制 UAT测试功能点 要点测试底稿
ERP职责分离
测试结果汇总表
41- 14
IT内控管理内部环境分析
• 从内部环境看,2006年以前,网通河北省分公司企业信息系统建设相对 通信专业起步晚、信息化管理基础薄弱,表现在两个方面:
• 1、已有信息系统功能大部分不能满足IT内控条款要求; • 2、所属各单位还没有形成系统的IT管理控制流程,存在控制风险。
41- 15
2006年原网通河北省分公司IT内控开展的工作
41- 7
原网通公司IT内控涉及的领域
一般性信息系统 基本控制
信息系 统安全
信息系 统操作
变更管理
应用系统、 数据库实 施与支持
信息系统 应用控制
计费帐 ERP
务系统
41- 8
一般性信息系统基本控制内容
ISO/IEC 17799
Cobit
信息系统安全
信息系统操作
变更管理
应用系统、数据 库实施与支持
41- 16
一、内控制度建设
• 完成《中国网通(集团)有限公司河北省分公司信息系统信息安全与风 险管理规范》编写;
• 完成《中国网通(集团)有限公司河北省分公司电子表格实施细则》编 写;
41- 2
内部控制基本执行路径
在美国上市的公司请管理咨询公司,制定满足SOX 要求,遵循COSO框架的制度 在企业各个层面落实
企业请外审公司对执行情况进行审计,得出结论。 在资本市场公布审计结果
41- 3
每年内控工作各阶段划分
工作进度
各单位改进
省公司组 织检查
各单位依据本地 化控制活动检查 实际工作中差距, 并改正。
依据内控模板 制定、修正本 地化控制活动
外审第一 次测试
各单位改进
外审第二 次测试
日期
41- 4
企业信息化工作基本内容
• 企业信息化工作分为两部分,一是信息系统建设,二是信息化管理控制。 • IT内控是为保证财务报告数据的真实准确而对信息系统及管理环境采取
的管理控制工作,是信息化管理控制的一部分。
IT内控体系建立与实施
中国联合网络通信有限公司河北省分公司高级工程师 屈玉阁 2009年5月15日
Baidu Nhomakorabea
原中国网通内控测试结果零缺陷
• 为了达到在美国上市公司萨班斯法案的要求,原中国网通公司在近三年 的时间里,完成了147个单位的内控体系建设,共梳理内控流程6920个, 对近16000个关键控制活动进行了测试。经过世界知名的普华永道会计 师事务所审计,中国网通(集团)有限公司测试结果为零缺陷,内控工 作最终取得令人满意的实质效果。
一般安全管理 操作系统 安全管理
数据库安全管理
网络安全管理
应用系统 安全管理
防病毒安全管理
批处理程序管理
备份 信息化用户 支撑体系 紧急应变及 系统恢复
ITIL
应用系统变更
应用系统采购
操作系统变更
应用系统、数据库 开发与实施
数据库系统变更
网络变更
物理安全管理
41- 9
举例:信息系统安全内控架构
一般安全管理
企业信息化工作
信息系统建设与运营
信息化管理控制 IT内控
41- 5
对财务数据来源控制的途径
• SOX404强调财务报告数据来源的准确与控制。
• 财务报告数据来源的内部控制包括信息系统控制、电子表格控制、人 工处理数据控制等三个方面。
• 2006年原网通河北省分公司IT内控工作组承担了IT内控、电子表格内 控等两部分工作,其工作量占全部内控工作的60%。
• 涉及的专业为信息系统安全、变更、操作、信息系统采购与开发等四项 内容;
• 涉及的部门包括计划、工程建设、物流采购、综合部、财务、人力资源、 网络维护、信息系统支撑等八个部门。
• 电子表格内控工作更是涉及网通公司每个专业工作。 • 在时间要求上,原网通河北省分公司必须在2006年达到SOX404要求。
内控制度建设 贯彻风险管理方式,开展针对性培训 与信息化管理控制工作相结合,统一IT内控流程描述和文档格式。 问题整理及整改措施的落实 现场督导,提出具体的管理措施,保证通过普华永道的测试 开展信息系统风险评估,模拟演练预案 积极与相关部门沟通,解决COSO、UAT和久其系统存在的问题 组织各单位,有效开展电子表格内控管理。
41- 12
举例:应用系统、数据库开发内控结构
应用系统、数据库开发
需求分析 设计 编码 测试
新的应用系统的测试 新的数据结构的测试 新的系统软件的测试
新的网络的测试 开发变更管理
应用系统、数据库实施 割接
试运行 初验 正式运行 终验 后评估 文档管理
41- 13
IT内控管理外部环境分析
• 从外部环境看,原网通公司内控条款共四百多条,其中IT内控条款占 52%;
防病毒 安全
155- 10
举例:操作系统安全内控结构
操作系统安全综述 对用户的管理 帐号管理 认证管理 权限管理 对系统的管理 帐号安全设置 补丁安装 监控管理
41- 11
举例:帐号安全设置
• IT维护部门系统管理员通过对系统进行安全参数设置,实现维护人员对操作系 统访问的限制,根据用户对操作系统访问需求的不同,由IT维护部门系统管理 员对用户访问操作系统进行安全参数设置,记录在《操作系统安全参数配置表》 <6171-1-2-10>。IT维护部门系统维护主管每月审核系统的安全参数设置。[操 作系统维护人员必须通过设置操作系统的安全参数等安全措施限制对信息资源 的访问。](控制活动编号:<GC01.B-1>)。其中包含: – 对密码格式; – 无效登陆次数(三次); – 历史密码记忆个数; – 密码复杂度; – 密码长度(六位及以上); – 默认帐号锁定; – 帐号超时设置(10分钟); – 开放的端口和服务(要合理); – 日志的检查; – 系统的默认帐号。
财务报告
信 息 系 统 纸质报表
电子表格
41- 6
ITGC标准模板构成
系统清单
ITGC 标准文档
控制矩阵
标准模板
流程描述
流程图
穿行测试 文档索引
工作成果一览表
测试底稿
测试底稿
内控管理问题汇 总表
2008年信息系统 Oracle/SAP控制 UAT测试功能点 要点测试底稿
ERP职责分离
测试结果汇总表