IT內(nèi)控體系建立與實施(PPT 41頁).ppt

1、IT內(nèi)控體系建立與實施,中國聯(lián)合網(wǎng)絡(luò)通信有限公司河北省分公司高級工程師 屈玉閣 2009年5月15日,原中國網(wǎng)通內(nèi)控測試結(jié)果零缺陷,為了達到在美國上市公司薩班斯法案的要求，原中國網(wǎng)通公司在近三年的時間里，完成了147個單位的內(nèi)控體系建設(shè)，共梳理內(nèi)控流程6920個，對近16000個關(guān)鍵控制活動進行了測試。經(jīng)過世界知名的普華永道會計師事務(wù)所審計，中國網(wǎng)通（集團）有限公司測試結(jié)果為零缺陷，內(nèi)控工作最終取得令人滿意的實質(zhì)效果。 2007年5月31日，普華永道在美國證券交易委員會（SEC）的20F報告中，對原中國網(wǎng)通內(nèi)控工作正式出具了無保留意見的審計報告。至此，原中國網(wǎng)通成為率先通過美國薩班斯法案404

2、條款的國內(nèi)電信運營商。原網(wǎng)通河北省分公司作為網(wǎng)通集團內(nèi)控模板推廣試點單位，為原中國網(wǎng)通集團通過美國薩班斯法案404條款做出了應(yīng)有的貢獻。,內(nèi)部控制基本執(zhí)行路徑,在美國上市的公司請管理咨詢公司，制定滿足SOX要求，遵循COSO框架的制度,在企業(yè)各個層面落實,在資本市場公布審計結(jié)果,企業(yè)請外審公司對執(zhí)行情況進行審計，得出結(jié)論。,每年內(nèi)控工作各階段劃分,依據(jù)內(nèi)控模板制定、修正本地化控制活動,省公司組織檢查,各單位改進,外審第一次測試,各單位改進,外審第二次測試,工作進度,日期,各單位依據(jù)本地化控制活動檢查實際工作中差距，并改正。,企業(yè)信息化工作基本內(nèi)容,企業(yè)信息化工作分為兩部分，一是信息系統(tǒng)建設(shè)，二

3、是信息化管理控制。 IT內(nèi)控是為保證財務(wù)報告數(shù)據(jù)的真實準確而對信息系統(tǒng)及管理環(huán)境采取的管理控制工作，是信息化管理控制的一部分。,企業(yè)信息化工作,信息系統(tǒng)建設(shè)與運營,信息化管理控制,IT內(nèi)控,對財務(wù)數(shù)據(jù)來源控制的途徑,SOX404強調(diào)財務(wù)報告數(shù)據(jù)來源的準確與控制。 財務(wù)報告數(shù)據(jù)來源的內(nèi)部控制包括信息系統(tǒng)控制、電子表格控制、人工處理數(shù)據(jù)控制等三個方面。 2006年原網(wǎng)通河北省分公司IT內(nèi)控工作組承擔了IT內(nèi)控、電子表格內(nèi)控等兩部分工作，其工作量占全部內(nèi)控工作的60%。,財務(wù)報告,信息系統(tǒng),紙質(zhì)報表,電子表格,ITGC標準模板構(gòu)成,原網(wǎng)通公司IT內(nèi)控涉及的領(lǐng)域,一般性信息系統(tǒng) 基本控制,信息系統(tǒng) 應(yīng)

4、用控制,信息系 統(tǒng)安全,信息系 統(tǒng)操作,變更管理,應(yīng)用系統(tǒng)、 數(shù)據(jù)庫實 施與支持,ERP,計費帳 務(wù)系統(tǒng),一般性信息系統(tǒng)基本控制內(nèi)容,信息系統(tǒng)安全,信息系統(tǒng)操作,變更管理,應(yīng)用系統(tǒng)、數(shù)據(jù) 庫實施與支持,一般安全管理,操作系統(tǒng) 安全管理,數(shù)據(jù)庫安全管理,網(wǎng)絡(luò)安全管理,應(yīng)用系統(tǒng) 安全管理,防病毒安全管理,物理安全管理,批處理程序管理,備份,信息化用戶 支撐體系,緊急應(yīng)變及 系統(tǒng)恢復(fù),應(yīng)用系統(tǒng)變更,操作系統(tǒng)變更,數(shù)據(jù)庫系統(tǒng)變更,網(wǎng)絡(luò)變更,應(yīng)用系統(tǒng)采購,應(yīng)用系統(tǒng)、數(shù)據(jù)庫 開發(fā)與實施,Cobit,ISO/IEC 17799,ITIL,一般安全管理,舉例：信息系統(tǒng)安全內(nèi)控架構(gòu),應(yīng)用系統(tǒng)安全,數(shù)據(jù)庫安全,操

5、作系統(tǒng)安全,網(wǎng)絡(luò)安全,物理安全,防病毒安全,舉例：操作系統(tǒng)安全內(nèi)控結(jié)構(gòu),操作系統(tǒng)安全綜述,帳號管理,對用戶的管理,認證管理,權(quán)限管理,對系統(tǒng)的管理,帳號安全設(shè)置,補丁安裝,監(jiān)控管理,舉例：帳號安全設(shè)置,IT維護部門系統(tǒng)管理員通過對系統(tǒng)進行安全參數(shù)設(shè)置，實現(xiàn)維護人員對操作系統(tǒng)訪問的限制，根據(jù)用戶對操作系統(tǒng)訪問需求的不同，由IT維護部門系統(tǒng)管理員對用戶訪問操作系統(tǒng)進行安全參數(shù)設(shè)置，記錄在操作系統(tǒng)安全參數(shù)配置表。IT維護部門系統(tǒng)維護主管每月審核系統(tǒng)的安全參數(shù)設(shè)置。操作系統(tǒng)維護人員必須通過設(shè)置操作系統(tǒng)的安全參數(shù)等安全措施限制對信息資源的訪問。（控制活動編號：）。其中包含: 對密碼格式； 無效登陸次數(shù)（

6、三次）； 歷史密碼記憶個數(shù)； 密碼復(fù)雜度； 密碼長度（六位及以上）； 默認帳號鎖定； 帳號超時設(shè)置（10分鐘）； 開放的端口和服務(wù)（要合理）； 日志的檢查； 系統(tǒng)的默認帳號。,舉例：應(yīng)用系統(tǒng)、數(shù)據(jù)庫開發(fā)內(nèi)控結(jié)構(gòu),應(yīng)用系統(tǒng)、數(shù)據(jù)庫開發(fā),需求分析,設(shè)計,編碼,測試,開發(fā)變更管理,應(yīng)用系統(tǒng)、數(shù)據(jù)庫實施,割接,試運行,初驗,正式運行,終驗,后評估,文檔管理,新的應(yīng)用系統(tǒng)的測試,新的數(shù)據(jù)結(jié)構(gòu)的測試,新的系統(tǒng)軟件的測試,新的網(wǎng)絡(luò)的測試,IT內(nèi)控管理外部環(huán)境分析,從外部環(huán)境看，原網(wǎng)通公司內(nèi)控條款共四百多條，其中IT內(nèi)控條款占52%； 涉及的專業(yè)為信息系統(tǒng)安全、變更、操作、信息系統(tǒng)采購與開發(fā)等四項內(nèi)容； 涉及

7、的部門包括計劃、工程建設(shè)、物流采購、綜合部、財務(wù)、人力資源、網(wǎng)絡(luò)維護、信息系統(tǒng)支撐等八個部門。 電子表格內(nèi)控工作更是涉及網(wǎng)通公司每個專業(yè)工作。 在時間要求上，原網(wǎng)通河北省分公司必須在2006年達到SOX404要求。,IT內(nèi)控管理內(nèi)部環(huán)境分析,從內(nèi)部環(huán)境看，2006年以前，網(wǎng)通河北省分公司企業(yè)信息系統(tǒng)建設(shè)相對通信專業(yè)起步晚、信息化管理基礎(chǔ)薄弱，表現(xiàn)在兩個方面： 1、已有信息系統(tǒng)功能大部分不能滿足IT內(nèi)控條款要求； 2、所屬各單位還沒有形成系統(tǒng)的IT管理控制流程，存在控制風(fēng)險。,2006年原網(wǎng)通河北省分公司IT內(nèi)控開展的工作,內(nèi)控制度建設(shè),貫徹風(fēng)險管理方式，開展針對性培訓(xùn),與信息化管理控制工作相結(jié)

8、合，統(tǒng)一IT內(nèi)控流程描述和文檔格式。,問題整理及整改措施的落實,現(xiàn)場督導(dǎo)，提出具體的管理措施，保證通過普華永道的測試,開展信息系統(tǒng)風(fēng)險評估，模擬演練預(yù)案,積極與相關(guān)部門溝通，解決COSO、UAT和久其系統(tǒng)存在的問題,組織各單位，有效開展電子表格內(nèi)控管理。,一、內(nèi)控制度建設(shè),完成中國網(wǎng)通（集團）有限公司河北省分公司信息系統(tǒng)信息安全與風(fēng)險管理規(guī)范編寫； 完成中國網(wǎng)通（集團）有限公司河北省分公司電子表格實施細則編寫； 完成中國網(wǎng)通（集團）有限公司河北省分公司信息系統(tǒng)建設(shè)編碼七項規(guī)范 修正中國網(wǎng)通（集團）有限公司河北省分公司信息系統(tǒng)管理辦法； 幫助財務(wù)部編寫久其報表軟件系統(tǒng)管理暫行辦法。,二、貫徹風(fēng)險

9、管理方式，開展針對性培訓(xùn),IT內(nèi)控工作主要涉及兩個方面： 一是對信息系統(tǒng)功能要求； 二是對信息化管理控制流程的要求，而且這部分工作量最大，并涉及相關(guān)工作人員的管理意識的轉(zhuǎn)變。,IT內(nèi)控工作,信息系統(tǒng)功能應(yīng)滿足IT內(nèi)控要求,信息化管理流程應(yīng)符合內(nèi)控要求,二、貫徹風(fēng)險管理方式，開展針對性培訓(xùn)（續(xù)）,為使涉及IT內(nèi)控的各單位人員，改變原有的工作方式，樹立信息化風(fēng)險管理意識，對省公司企業(yè)信息化部兩次開展內(nèi)部培訓(xùn)，五次開展省公司本部相關(guān)部門面對面的培訓(xùn)，并舉辦全省支撐共享中心主任、負責(zé)IT內(nèi)控主管人員等三十多人參加的專題培訓(xùn)班；去邯鄲、唐山、滄州、邢臺等四個市分公司支撐共享中心，對八十多人進行現(xiàn)場培訓(xùn)；

10、兩次舉辦電視會議培訓(xùn)，三次舉辦電話會議形式的全省專題培訓(xùn)；在石家莊銀河賓館和郵電公寓，分兩次對公司全體內(nèi)控工作人員共280多人分別講解風(fēng)險管理工作流程和電子表格內(nèi)控流程。,二、貫徹風(fēng)險管理方式，開展針對性培訓(xùn)（續(xù)）,為了配合上述培訓(xùn)工作，我們編寫下列等1200多頁的IT內(nèi)控培訓(xùn)文檔： 河北網(wǎng)通IT開發(fā)與實施與控制環(huán)境矩陣； 風(fēng)險管理與內(nèi)控； SOX法案與IT內(nèi)部控制； 電子表格管理說明； 增進與外審師溝通； 電子表格內(nèi)控自查與復(fù)核工作要點。 通過上述培訓(xùn)，原網(wǎng)通河北省公司IT內(nèi)控和電子表格管理等工作人員內(nèi)控工作素質(zhì)有了質(zhì)的飛躍，為落實內(nèi)控工作打下了堅實的思想基礎(chǔ)。,三、統(tǒng)一IT內(nèi)控流程描述和文

11、檔格式,在實施IT內(nèi)控工作初期，原網(wǎng)通河北省分公司所屬分公司和直屬單位有15個本地化內(nèi)控文檔，由于各單位信息化管理支撐部門內(nèi)部規(guī)章制度和工作流程不盡相同，管理精細化程度不一，工作人員對內(nèi)控理解程度也各不相同。這種情況對不利于全省IT內(nèi)控工作深度和進度的把握。 為了改變上述局面，我們分析公司信息化各項制度和目前河北省分公司信息系統(tǒng)現(xiàn)狀，收集了各單位信息化流程和各位記錄文檔，征求15個單位內(nèi)控工作人員的意見，提出將河北省分公司IT內(nèi)控文檔統(tǒng)一描述的建議，得到了公司內(nèi)控工作組和各相關(guān)部門的支持。,三、統(tǒng)一IT內(nèi)控流程描述和文檔格式,以網(wǎng)通集團公司企業(yè)信息化管理控制體系1.0為基礎(chǔ)，以風(fēng)險管理思想為理

12、論依據(jù)，2006年6月，組織公司各相關(guān)單位成立IT內(nèi)控工作項目組，經(jīng)過三周時間的頑強拼搏，疏理了IT內(nèi)控17個流程中214個控制活動，統(tǒng)一了9.5萬字的IT內(nèi)控流程描述，規(guī)范了176個相關(guān)文檔格式，完成了網(wǎng)通河北省分公司十五個IT內(nèi)控本地稿的統(tǒng)一工作，在2006年7月，以公司文件形式公布，在各單位執(zhí)行。 上述工作的開展，不僅僅統(tǒng)一了IT內(nèi)控流程描述，也實現(xiàn)了河北省分公司所屬各單位信息化管理控制流程和文檔的統(tǒng)一，為河北省分公司IT內(nèi)控在2006年滿足SOX404形成了可量化的工作標準，由于各單位有同樣的文檔格式，在IT內(nèi)控工作深度和進度把握上取得了主動權(quán)，管理效果非常直觀，同時也降低了IT內(nèi)控的

13、工作難度。 此項工作走在原網(wǎng)通集團公司內(nèi)控工作前列，受到了原網(wǎng)通集團公司的表揚，也得到了審計公司普華永道的認同和較高的評價。,四、問題整理及整改措施的落實,建立和落實IT內(nèi)控責(zé)任分解表 為了加強IT內(nèi)控責(zé)任管理，原網(wǎng)通集團公司企業(yè)信息化部從2007年開始上報IT內(nèi)控責(zé)任分解表，以明確每個信息系統(tǒng)中涉及內(nèi)控的每個管理人和責(zé)任人。 此項工作涉及省公司相關(guān)部門和各市分公司IT建設(shè)支撐部門，而且由于信息系統(tǒng)變化、組織與人員的調(diào)整，此項工作量非常大。 為了按時按時完成該項工作，我們積極與部門領(lǐng)導(dǎo)商議，并與省公司法律與風(fēng)險部進行溝通，共同起草通知文件，向省公司相關(guān)部門和各市分公司布置工作，在7月初保質(zhì)保量

14、完成此項工作，并向集團公司企業(yè)信息化部上報。,四、問題整理及整改措施的落實（續(xù)）,IT內(nèi)控工作分為以信息系統(tǒng)程序功能實現(xiàn)的流程控制，以及對信息系統(tǒng)外部環(huán)境的控制等兩大類。 由于過去開發(fā)的信息系統(tǒng)沒有按內(nèi)控要求進行程序設(shè)計，所以，有些信息系統(tǒng)實現(xiàn)的功能不能達到IT內(nèi)控要求，而由于建設(shè)資金和建設(shè)周期的原因，又不可能為實現(xiàn)IT內(nèi)控要求立即實現(xiàn)信息系統(tǒng)改造，因此必須采用人工控制來降低信息系統(tǒng)風(fēng)險。,要求信息系統(tǒng)功能滿足IT內(nèi)控要求,信息系統(tǒng)外部控制環(huán)境要滿足IT內(nèi)控要求,信息系統(tǒng)系統(tǒng)具備程序控制降低風(fēng)險,信息系統(tǒng)不具備程序控制功能，需要人工控制降低風(fēng)險,建立人工管理控制流程，以降低風(fēng)險,人工降低IT內(nèi)

15、控風(fēng)險整改措施,控制聲明（制度）,授權(quán)和被授權(quán)文檔,作業(yè)流程,與作業(yè)流程對應(yīng)的控制文檔,控制軌跡,四、問題整理及整改措施的落實（續(xù)）,網(wǎng)通河北省分公司信息系統(tǒng)功能不能完全達到IT內(nèi)控要求。 在2006年初各單位整改的基礎(chǔ)上，網(wǎng)通河北省分公司IT內(nèi)控工作組，去各市分公司收集整理第一輪測試存在20個共性問題，深入理解內(nèi)控要求，提出了人工降低IT內(nèi)控風(fēng)險整改措施。 積極與集團IT內(nèi)控項目組和德勤公司溝通，并得到了確認，在2006年6月中旬完成全部問題的整改。 以工單方式，監(jiān)督各單位的內(nèi)控落實工作，對出現(xiàn)的問題進行密切跟蹤，保證落實到位。 進一步細化內(nèi)控要點，將信息系統(tǒng)變更分為四類，制定了信息系統(tǒng)非緊

16、急變更實施范圍定義表下發(fā)給各單位執(zhí)行。 上述措施的落實，有效地開展了內(nèi)控工作，并為公司節(jié)約建設(shè)資金1.6億元。,四、問題整理及整改措施的落實（續(xù)）,信息系統(tǒng)非緊急變更實施范圍定義表,四、問題整理及整改措施的落實（續(xù)）,崗位說明 書,工作授權(quán)書,帳號權(quán)限清單,主管主任的 授權(quán)工作,授權(quán)方式,四、問題整理及整改措施的落實（續(xù)）,開始,提出申請,主管主任審批,執(zhí)行并留下工作日志,主管主任定期復(fù)核,結(jié)束,工作人員,部門主管主任,申請書,工作日志,申請書,工作日志,IT內(nèi)控人工控制基本流程,舉例：數(shù)據(jù)庫參數(shù)修改審批控制流程,開始,數(shù)據(jù)庫管理員提出申請,填寫申請表,部門主管總經(jīng)理進行審批: 1、修改的內(nèi)容

17、； 2、原因； 3、涉及范圍,申請表,通過,數(shù)據(jù)庫管理員修改數(shù)據(jù)庫參數(shù),數(shù)據(jù)庫管理員及時更新數(shù)據(jù)庫參數(shù)表,結(jié)束,數(shù)據(jù)庫管理員修正申請表,申請表,數(shù)據(jù)庫參數(shù)表,y,n,部門主管總經(jīng)理或主管定期復(fù)核,五、現(xiàn)場督導(dǎo)，提出具體的管理措施，保證通過普華永道的測試,為了現(xiàn)場指導(dǎo)監(jiān)督各單位落實內(nèi)控要求，原網(wǎng)通河北省分公司IT內(nèi)控工作組多次走訪所屬11個市分公司，與各單位主管內(nèi)控的總經(jīng)理、網(wǎng)運部和支撐共享中心的主任、IT 內(nèi)控主管人員進行現(xiàn)場溝通，對具體問題具體指導(dǎo)。 在上述工作基礎(chǔ)上，2006年，網(wǎng)通河北省分公司IT內(nèi)控工作組兩次對全省各單位進行內(nèi)控測試工作。 根據(jù)普華永道審計進度，網(wǎng)通河北省分公司IT內(nèi)控

18、工作組分別去邯鄲、邢臺、石家莊、滄州、唐山、秦皇島等六個市分公司，現(xiàn)場指導(dǎo)應(yīng)對普華的審計工作，同時密切關(guān)注其他公司的審計進程，有力了保證了IT內(nèi)控普華審計工作效果。,六、開展信息系統(tǒng)風(fēng)險評估，模擬演練預(yù)案。,在傳統(tǒng)信息系統(tǒng)預(yù)案管理方面，存在的缺陷表現(xiàn)在兩個方面： 一是將信息系統(tǒng)硬件、軟件和應(yīng)用系統(tǒng)分開管理的； 二是信息系統(tǒng)預(yù)案的制定過程沒有經(jīng)過風(fēng)險評估，針對性不強，處于被動的局面。 依據(jù)風(fēng)險管理理論，我們將信息系統(tǒng)分為實物、軟件、信息、服務(wù)等四類資產(chǎn)，從資產(chǎn)本身的弱點或漏洞、資產(chǎn)存在的外部威脅、威脅發(fā)生的可能性、威脅發(fā)生的后果、目前采取的措施等五個方面，建立信息系統(tǒng)風(fēng)險評估矩陣，組織公司所屬各

19、單位對各個信息系統(tǒng)進行安全風(fēng)險評估，找出目前信息系統(tǒng)存在的隱患，以應(yīng)用系統(tǒng)為單位，制定針對性應(yīng)急預(yù)案，進行模擬演練，并保留演練文檔。 通過上述工作，河北省分公司信息系統(tǒng)應(yīng)急預(yù)案理順了管理流程，實現(xiàn)了風(fēng)險管理，走在集團公司IT內(nèi)控工作前列。,信息系統(tǒng)風(fēng)險評估過程,確定信息資產(chǎn)或管理工作的范圍,開始,確定信息資產(chǎn)或管理工作 本身存在的弱點或漏洞,確定信息資產(chǎn)或管 理工作面臨的威脅,確定目前信息系統(tǒng)或管 理工作采取的控制措施,結(jié)合信息資產(chǎn)本身或管理工作 的弱點或漏洞及面臨的威脅， 考察目前已采取的控制措施， 確定信息系統(tǒng)或管理工作有可 能出現(xiàn)的問題（風(fēng)險）；,對可能出現(xiàn)的問題進行排序， 確定風(fēng)險的優(yōu)

20、先級和控制水平,提交公司安全現(xiàn)狀風(fēng)險報告， 提供風(fēng)險列表，歸類風(fēng)險等級,結(jié)束,事例：綜合結(jié)算系統(tǒng)資產(chǎn)風(fēng)險評估表,七、積極與相關(guān)部門溝通，解決COSO、UAT和久其系統(tǒng)存在的問題,IT內(nèi)控涉及COSO、UAT和財務(wù)報表久其系統(tǒng)的管理。 原網(wǎng)通河北省分公司IT內(nèi)控工作組積極與公司COSO組溝通，完成了IT內(nèi)控與COSO內(nèi)控流程進行有效銜接。 根據(jù)集團公司IT 內(nèi)控工作組的要求，IT內(nèi)控工作組組織各單位在一個月內(nèi)完成了UAT文檔的整理工作，并提供統(tǒng)一的文檔格式； 幫助公司財務(wù)部編寫久其報表軟件系統(tǒng)管理暫行辦法等公司文件，制定了6個文檔模板，在各單位財務(wù)部門落實。,八、組織各單位，開展電子表格內(nèi)控管理

21、，滿足內(nèi)控要求。,電子表格內(nèi)控工作是公司內(nèi)控工作的一個重要部分，相比其它專業(yè)的內(nèi)控工作，電子表格內(nèi)控涉及公司各項專業(yè)工作，起步晚。在電子表格內(nèi)控開始階段，大家對電子表格的定義和如何開展工作沒有明晰的認識，困難重重。 我們首先分析SOX404對電子表格的要求，收集公司現(xiàn)有各類電子表格，依據(jù)集團公司相關(guān)制度和風(fēng)險管理思想，在沒有參考資料的前提下，經(jīng)過一個多月的艱苦努力，從電子表格管理業(yè)務(wù)流程和計算機管理流程兩個角度，編寫了網(wǎng)通河北省分公司電子表格管理實施細則及對應(yīng)的九個文檔模板。 由于此項制度編寫全面，可操作性強，滿足了電子表格內(nèi)控要求，受到集團公司內(nèi)控工作組的表揚，集團公司所屬其它省也借鑒了河北省分公司的此項制度。 在完成上述制度的基礎(chǔ)上，我們編寫電子表格自查與復(fù)核工作要點，對全省八個內(nèi)控專業(yè)組開展四次專題培訓(xùn)，組織各專業(yè)組進行電子表