案例-xx公司內(nèi)控檢查缺陷點(diǎn)-IT技術(shù)方面_第1頁
案例-xx公司內(nèi)控檢查缺陷點(diǎn)-IT技術(shù)方面_第2頁
案例-xx公司內(nèi)控檢查缺陷點(diǎn)-IT技術(shù)方面_第3頁
案例-xx公司內(nèi)控檢查缺陷點(diǎn)-IT技術(shù)方面_第4頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、文檔及關(guān)鍵控制差距分析信息系統(tǒng)總體環(huán)境(討論草稿),公司:,位置:,low:表明雖然短期來看不會(huì)造成對(duì)影響領(lǐng)域的重大風(fēng)險(xiǎn),但是需要進(jìn)行進(jìn)一步的管理評(píng)估以判斷該問題對(duì)組織整體運(yùn)行帶來的長(zhǎng)期影響。,時(shí)間:,Med:表明如果該問題不在未來34個(gè)月內(nèi)解決,可能對(duì)影響領(lǐng)域造成重大風(fēng)險(xiǎn)。,High:表明如果該問題不在未來12個(gè)月內(nèi)解決,可能對(duì)影響領(lǐng)域造成重大風(fēng)險(xiǎn)。,測(cè)試人,序號(hào),CYCLE,控制層面,流程,流程,測(cè)評(píng)模型關(guān)鍵點(diǎn)對(duì)應(yīng),流程與步驟,Gap Description,差距描述,是否為穿行測(cè)試發(fā)現(xiàn)的問題(是/否),是否為測(cè)試中發(fā)現(xiàn)的問題(是/否),是否需要修改手冊(cè),設(shè)計(jì)無效性/運(yùn)行無效性,潛在差異控

2、制缺陷/重大缺陷/實(shí)質(zhì)性漏洞,問題重要程度,改進(jìn)建議,管理層的計(jì)劃,管理層參與負(fù)責(zé)的相關(guān)部門,1,IT,信息系統(tǒng),IT Control Environment,信息系統(tǒng)控制環(huán)境,2.9.1.2.1,2.9.1.2.1對(duì)每一業(yè)務(wù)流程,相關(guān)業(yè)務(wù)數(shù)據(jù)的所有權(quán)歸屬業(yè)務(wù)部門。各應(yīng)用系統(tǒng)負(fù)責(zé)人指派專人負(fù)責(zé)本系統(tǒng)的安全和接觸權(quán)限的分配,并由系統(tǒng)管理員在系統(tǒng)中新增、刪除、變更用戶的權(quán)限,此過程均需取得系統(tǒng)責(zé)任人的簽字。操作系統(tǒng)的所有權(quán)歸信息中心負(fù)責(zé)人。,There were no formalized polices or procedures to ensure account deletion / dis

3、able and password change upon staff transfer or resignation. ,a.目前各個(gè)系統(tǒng)未指定業(yè)務(wù)部門對(duì)數(shù)據(jù)的所有權(quán)。b.目前無系統(tǒng)負(fù)責(zé)人分配的記錄文檔。c.系統(tǒng)負(fù)責(zé)人負(fù)責(zé)修改用戶權(quán)限,無簽字確認(rèn)。,Y,a.設(shè)計(jì)無效性b.運(yùn)行無效性c.運(yùn)行無效性,參照內(nèi)控手冊(cè)改進(jìn),improve according to internal control manual,2,IT,信息系統(tǒng),IT Control Environment,信息系統(tǒng)控制環(huán)境,2.9.1.2.2,2.9.1.2.2信息系統(tǒng)的每一崗位均有職責(zé)描述,每年人力資源部協(xié)同信息中心對(duì)其的崗位職

4、責(zé)進(jìn)行更新,更新后的崗位職責(zé)描述通過OA發(fā)給每個(gè)信息系統(tǒng)員工。,Significant IT events, e.g., security breaches, major system failures or regulatory failures, are not reported to IT Steering Committee. (We noted that headquarter IT centre director Li Xiaoshi will quarterly submit a report to IT Steering Committee, but the report di

5、dnt contain significant IT events report. There were no significant IT events occured, said by Mr. Li. ),信息部只有一個(gè)崗位職責(zé)說明,并非信息系統(tǒng)的每一崗位均有職責(zé)描述。,Y,運(yùn)行無效性,參照內(nèi)控手冊(cè)改進(jìn),improve according to internal control manual,3,IT,信息系統(tǒng),IT Control Environment,信息系統(tǒng)控制環(huán)境,2.9.1.2.3,2.9.1.2.3管理層要保證不相容職務(wù)不能由一人擔(dān)任。,Significant IT even

6、ts, e.g., security breaches, major system failures or regulatory failures, are not reported to IT Steering Committee. (We noted that headquarter IT centre director Li Xiaoshi will quarterly submit a report to IT Steering Committee, but the report didnt contain significant IT events report. There wer

7、e no significant IT events occured, said by Mr. Li. ),無具體職責(zé)分工表的文檔記錄,Y,運(yùn)行無效性,參照內(nèi)控手冊(cè)改進(jìn),improve according to internal control manual,4,IT,信息系統(tǒng),IT Control Environment,信息系統(tǒng)控制環(huán)境,2.9.1.3.1,2.9.1.3.1信息中心每年還開展專業(yè)技能的培訓(xùn),包括新開發(fā)/變更的系統(tǒng)、新公布的信息行業(yè)標(biāo)準(zhǔn)等。專業(yè)培訓(xùn)的有關(guān)培訓(xùn)資料存檔于信息中心。,There was no survey or training regarding IT sec

8、urity (HPI plan to do)There were no trainning about IT section in SOX404. (HPI plan to do),沒有規(guī)定信息系統(tǒng)安全培訓(xùn)的時(shí)間頻率。2005年度信息部沒有組織本廠信息系統(tǒng)安全培訓(xùn)和記錄,Y,設(shè)計(jì)無效性,參照內(nèi)控手冊(cè)改進(jìn),improve according to internal control manual,5,IT Control Environment,信息系統(tǒng)控制環(huán)境,2.9.2.3.2,2.9.1.3.2在員工工作變更時(shí),按照新的崗位需要相應(yīng)設(shè)置其權(quán)限。員工離職時(shí),應(yīng)清除其原崗位的工作賬戶及密碼,所有

9、工作移交完畢且離職單經(jīng)各相關(guān)部門簽字后方可離崗。,There was no quality management system in place to ensure the quality of the IT services provided by third party vendors and the performance of IT staffs, The quality management system should include overall quality assurance target, detail quality assurance plan, SOP (Stand

10、ard Operation Procedure) for each significant IT process or operation.,人員離崗時(shí)無流程保障系統(tǒng)中的帳號(hào)和權(quán)限及時(shí)取消。,Y,運(yùn)行無效性,信息中心應(yīng)該建立完整的信息處理控制體系,如質(zhì)量控制目標(biāo)、質(zhì)量控制計(jì)劃和標(biāo)準(zhǔn)操作流程等。,Management should establish formalized quality management system for the IT department. The quality management system should include overall quality ass

11、urance target, detail quality assurance plan, SOP (Standard Operation Procedure) for each significant IT process or operation.,6,IT,信息系統(tǒng),IT Control Environment,信息系統(tǒng)控制環(huán)境,2.9.2.4.1,2.9.1.4.1所有員工必須接受系統(tǒng)安全原則的培訓(xùn)和教育。人力資源部保存培訓(xùn)的參與情況、培訓(xùn)內(nèi)容、考核結(jié)果等文檔記錄。,There were no data classification and accordingly protection

12、 policy.,2005年度全廠培訓(xùn)工作計(jì)劃中沒有針對(duì)信息部員工的培訓(xùn)計(jì)劃。2005年度沒有信息部員工的培訓(xùn)。,Y,運(yùn)行無效性,參照內(nèi)控手冊(cè)改進(jìn),improve according to internal control manual,7,IT,信息系統(tǒng),IT Control Environment,信息系統(tǒng)控制環(huán)境,2.9.2.2.1,2.9.2.2.1信息中心負(fù)責(zé)人每月檢查其所負(fù)責(zé)方面的工作是否按公司信息系統(tǒng)工作相關(guān)的政策和程序進(jìn)行。如發(fā)現(xiàn)違規(guī)情況,根據(jù)政策規(guī)定提出處理措施,Internal audit department do not perform audit over the I

13、T system.,2005年度迄今為止沒有執(zhí)行相關(guān)檢查。,Y,運(yùn)行無效性,參照內(nèi)控手冊(cè)改進(jìn),improve according to internal control manual,8,IT,信息系統(tǒng),IT Control Environment,信息系統(tǒng)控制環(huán)境,2.9.2.2.2,2.9.2.2.2信息化管理領(lǐng)導(dǎo)小組每季度檢查信息中心和各業(yè)務(wù)流程的信息化工作。如發(fā)現(xiàn)違規(guī)情況,根據(jù)政策規(guī)定提出處理措施,Trainning related materials or documents were not well archived.,制度中沒有要求信息化管理領(lǐng)導(dǎo)小組對(duì)信息中心和各業(yè)務(wù)流程的信息

14、化工作進(jìn)行檢查。2005年度迄今為止沒有執(zhí)行相關(guān)檢查。,Y,運(yùn)行無效性,參照內(nèi)控手冊(cè)改進(jìn),improve according to internal control manual,9,IT,信息系統(tǒng),IT Control Environment,信息系統(tǒng)控制環(huán)境,2.9.2.2.4,2.9.2.2.4由信息化管理領(lǐng)導(dǎo)小組每年組織對(duì)信息安全意識(shí)的調(diào)查,并提供相應(yīng)的安全意識(shí)的培訓(xùn)。培訓(xùn)由公司人力資源部組織,信息中心人員教授,并最終由人力資源部保存培訓(xùn)文檔記錄。,There were no IT risk assessment team and IT risk assessment system.S

15、equentially, no IT risk assessment performed, no risk assessment plan. Also, the IT strategy is not adequate based on risk,2005年度全廠培訓(xùn)工作計(jì)劃中沒有針對(duì)信息安全意識(shí)的調(diào)查及并安全意識(shí)的培訓(xùn)。2005年度沒有對(duì)信息安全意識(shí)的調(diào)查及并安全意識(shí)的培訓(xùn)。,Y,運(yùn)行無效性,參照內(nèi)控手冊(cè)改進(jìn),improve according to internal control manual,10,IT,信息系統(tǒng),IT Control Environment,信息系統(tǒng)控制環(huán)境,2.9.4

16、.2.1,2.9.4.2.1信息中心每季度向信息化管理領(lǐng)導(dǎo)小組遞交IT部門內(nèi)部控制運(yùn)行工作報(bào)告,信息化管理領(lǐng)導(dǎo)小組在審閱工作報(bào)告后,由信息化管理領(lǐng)導(dǎo)小組組長(zhǎng)負(fù)責(zé)簽署審批意見。,No control activities are in place and followed to ensure compliance with external requirements, such as regulatory and legal rules.,無信息化領(lǐng)導(dǎo)小組組長(zhǎng)(政工部主管信息的領(lǐng)導(dǎo))對(duì)月報(bào)審核。,Y,運(yùn)行無效性,參照內(nèi)控手冊(cè)改進(jìn),improve according to internal control manual,11,IT,信息系統(tǒng),IT Control Environment,信息系統(tǒng)控制環(huán)境,2.9.4.3.1,2.9.4.3.1每年,信息中心要求第三方服務(wù)供應(yīng)商獨(dú)立的審計(jì)報(bào)告,以證實(shí)第三方服務(wù)供應(yīng)商的內(nèi)控?zé)o效性。,IT centre does not perform monitoring over the IT operations or report the f

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論