IT内控体系建立与实施PPT资料.ppt

IT内控体系建立与实施PPT资料.ppt

《IT内控体系建立与实施PPT资料.ppt》由会员分享，可在线阅读，更多相关《IT内控体系建立与实施PPT资料.ppt（41页珍藏版）》请在冰豆网上搜索。

IT内控是为保证财务报告数据的真实准确而对信息系统及管理环境采取的管理控制工作，是信息化管理控制的一部分。

企业信息化工作,信息系统建设与运营,信息化管理控制,IT内控,对财务数据来源控制的途径,SOX404强调财务报告数据来源的准确与控制。

财务报告数据来源的内部控制包括信息系统控制、电子表格控制、人工处理数据控制等三个方面。

2006年原网通河北省分公司IT内控工作组承担了IT内控、电子表格内控等两部分工作，其工作量占全部内控工作的60%。

财务报告,信息系统,纸质报表,电子表格,ITGC标准模板构成,原网通公司IT内控涉及的领域,一般性信息系统基本控制,信息系统应用控制,信息系统安全,信息系统操作,变更管理,应用系统、数据库实施与支持,ERP,计费帐务系统,一般性信息系统基本控制内容,信息系统安全,信息系统操作,变更管理,应用系统、数据库实施与支持,一般安全管理,操作系统安全管理,数据库安全管理,网络安全管理,应用系统安全管理,防病毒安全管理,物理安全管理,批处理程序管理,备份,信息化用户支撑体系,紧急应变及系统恢复,应用系统变更,操作系统变更,数据库系统变更,网络变更,应用系统采购,应用系统、数据库开发与实施,Cobit,ISO/IEC17799,ITIL,一般安全管理,举例：

信息系统安全内控架构,应用系统安全,数据库安全,操作系统安全,网络安全,物理安全,防病毒安全,举例：

操作系统安全内控结构,操作系统安全综述,帐号管理,对用户的管理,认证管理,权限管理,对系统的管理,帐号安全设置,补丁安装,监控管理,举例：

帐号安全设置,IT维护部门系统管理员通过对系统进行安全参数设置，实现维护人员对操作系统访问的限制，根据用户对操作系统访问需求的不同，由IT维护部门系统管理员对用户访问操作系统进行安全参数设置，记录在操作系统安全参数配置表。

IT维护部门系统维护主管每月审核系统的安全参数设置。

操作系统维护人员必须通过设置操作系统的安全参数等安全措施限制对信息资源的访问。

（控制活动编号：

）。

其中包含:

对密码格式；

无效登陆次数（三次）；

历史密码记忆个数；

密码复杂度；

密码长度（六位及以上）；

默认帐号锁定；

帐号超时设置（10分钟）；

开放的端口和服务（要合理）；

日志的检查；

系统的默认帐号。

举例：

应用系统、数据库开发内控结构,应用系统、数据库开发,需求分析,设计,编码,测试,开发变更管理,应用系统、数据库实施,割接,试运行,初验,正式运行,终验,后评估,文档管理,新的应用系统的测试,新的数据结构的测试,新的系统软件的测试,新的网络的测试,IT内控管理外部环境分析,从外部环境看，原网通公司内控条款共四百多条，其中IT内控条款占52%；

涉及的专业为信息系统安全、变更、操作、信息系统采购与开发等四项内容；

涉及的部门包括计划、工程建设、物流采购、综合部、财务、人力资源、网络维护、信息系统支撑等八个部门。

电子表格内控工作更是涉及网通公司每个专业工作。

在时间要求上，原网通河北省分公司必须在2006年达到SOX404要求。

IT内控管理内部环境分析,从内部环境看，2006年以前，网通河北省分公司企业信息系统建设相对通信专业起步晚、信息化管理基础薄弱，表现在两个方面：

1、已有信息系统功能大部分不能满足IT内控条款要求；

2、所属各单位还没有形成系统的IT管理控制流程，存在控制风险。

2006年原网通河北省分公司IT内控开展的工作,内控制度建设,贯彻风险管理方式，开展针对性培训,与信息化管理控制工作相结合，统一IT内控流程描述和文档格式。

问题整理及整改措施的落实,现场督导，提出具体的管理措施，保证通过普华永道的测试,开展信息系统风险评估，模拟演练预案,积极与相关部门沟通，解决COSO、UAT和久其系统存在的问题,组织各单位，有效开展电子表格内控管理。

一、内控制度建设,完成中国网通（集团）有限公司河北省分公司信息系统信息安全与风险管理规范编写；

完成中国网通（集团）有限公司河北省分公司电子表格实施细则编写；

完成中国网通（集团）有限公司河北省分公司信息系统建设编码七项规范修正中国网通（集团）有限公司河北省分公司信息系统管理办法；

帮助财务部编写久其报表软件系统管理暂行办法。

二、贯彻风险管理方式，开展针对性培训,IT内控工作主要涉及两个方面：

一是对信息系统功能要求；

二是对信息化管理控制流程的要求，而且这部分工作量最大，并涉及相关工作人员的管理意识的转变。

IT内控工作,信息系统功能应满足IT内控要求,信息化管理流程应符合内控要求,二、贯彻风险管理方式，开展针对性培训（续）,为使涉及IT内控的各单位人员，改变原有的工作方式，树立信息化风险管理意识，对省公司企业信息化部两次开展内部培训，五次开展省公司本部相关部门面对面的培训，并举办全省支撑共享中心主任、负责IT内控主管人员等三十多人参加的专题培训班；

去邯郸、唐山、沧州、邢台等四个市分公司支撑共享中心，对八十多人进行现场培训；

两次举办电视会议培训，三次举办电话会议形式的全省专题培训；

在石家庄银河宾馆和邮电公寓，分两次对公司全体内控工作人员共280多人分别讲解风险管理工作流程和电子表格内控流程。

二、贯彻风险管理方式，开展针对性培训（续）,为了配合上述培训工作，我们编写下列等1200多页的IT内控培训文档：

河北网通IT开发与实施与控制环境矩阵；

风险管理与内控；

SOX法案与IT内部控制；

电子表格管理说明；

增进与外审师沟通；

电子表格内控自查与复核工作要点。

通过上述培训，原网通河北省公司IT内控和电子表格管理等工作人员内控工作素质有了质的飞跃，为落实内控工作打下了坚实的思想基础。

三、统一IT内控流程描述和文档格式,在实施IT内控工作初期，原网通河北省分公司所属分公司和直属单位有15个本地化内控文档，由于各单位信息化管理支撑部门内部规章制度和工作流程不尽相同，管理精细化程度不一，工作人员对内控理解程度也各不相同。

这种情况对不利于全省IT内控工作深度和进度的把握。

为了改变上述局面，我们分析公司信息化各项制度和目前河北省分公司信息系统现状，收集了各单位信息化流程和各位记录文档，征求15个单位内控工作人员的意见，提出将河北省分公司IT内控文档统一描述的建议，得到了公司内控工作组和各相关部门的支持。

三、统一IT内控流程描述和文档格式,以网通集团公司企业信息化管理控制体系1.0为基础，以风险管理思想为理论依据，2006年6月，组织公司各相关单位成立IT内控工作项目组，经过三周时间的顽强拼搏，疏理了IT内控17个流程中214个控制活动，统一了9.5万字的IT内控流程描述，规范了176个相关文档格式，完成了网通河北省分公司十五个IT内控本地稿的统一工作，在2006年7月，以公司文件形式公布，在各单位执行。

上述工作的开展，不仅仅统一了IT内控流程描述，也实现了河北省分公司所属各单位信息化管理控制流程和文档的统一，为河北省分公司IT内控在2006年满足SOX404形成了可量化的工作标准，由于各单位有同样的文档格式，在IT内控工作深度和进度把握上取得了主动权，管理效果非常直观，同时也降低了IT内控的工作难度。

此项工作走在原网通集团公司内控工作前列，受到了原网通集团公司的表扬，也得到了审计公司普华永道的认同和较高的评价。

四、问题整理及整改措施的落实,建立和落实IT内控责任分解表为了加强IT内控责任管理，原网通集团公司企业信息化部从2007年开始上报IT内控责任分解表，以明确每个信息系统中涉及内控的每个管理人和责任人。

此项工作涉及省公司相关部门和各市分公司IT建设支撑部门，而且由于信息系统变化、组织与人员的调整，此项工作量非常大。

为了按时按时完成该项工作，我们积极与部门领导商议，并与省公司法律与风险部进行沟通，共同起草通知文件，向省公司相关部门和各市分公司布置工作，在7月初保质保量完成此项工作，并向集团公司企业信息化部上报。

四、问题整理及整改措施的落实（续）,IT内控工作分为以信息系统程序功能实现的流程控制，以及对信息系统外部环境的控制等两大类。

由于过去开发的信息系统没有按内控要求进行程序设计，所以，有些信息系统实现的功能不能达到IT内控要求，而由于建设资金和建设周期的原因，又不可能为实现IT内控要求立即实现信息系统改造，因此必须采用人工控制来降低信息系统风险。

要求信息系统功能满足IT内控要求,信息系统外部控制环境要满足IT内控要求,信息系统系统具备程序控制降低风险,信息系统不具备程序控制功能，需要人工控制降低风险,建立人工管理控制流程，以降低风险,人工降低IT内控风险整改措施,控制声明（制度）,授权和被授权文档,作业流程,与作业流程对应的控制文档,控制轨迹,四、问题整理及整改措施的落实（续）,网通河北省分公司信息系统功能不能完全达到IT内控要求。

在2006年初各单位整改的基础上，网通河北省分公司IT内控工作组，去各市分公司收集整理第一轮测试存在20个共性问题，深入理解内控要求，提出了人工降低IT内控风险整改措施。

积极与集团IT内控项目组和德勤公司沟通，并得到了确认，在2006年6月中旬完成全部问题的整改。

以工单方式，监督各单位的内控落实工作，对出现的问题进行密切跟踪，保证落实到位。

进一步细化内控要点，将信息系统变更分为四类，制定了信息系统非紧急变更实施范围定义表下发给各单位执行。

上述措施的落实，有效地开展了内控工作，并为公司节约建设资金1.6亿元。

四、问题整理及整改措施的落实（续）,信息系统非紧急变更实施范围定义表,四、问题整理及整改措施的落实（续）,岗位说明书,工作授权书,帐号权限清单,主管主任的授权工作,授权方式,四、问题整理及整改措施的落实（续）,开始,提出申请,主管主任审批,执行并留下工作日志,主管主任定期复核,结束,工作人员,部门主管主任,申请书,工作日志,申请书,工作日志,IT内控人工控制基本流程,举例：

数据库参数修改审批控制流程,开始,数据库管理员提出申请,填写申请表,部门主管总经理进行审批:

1、修改的内容；

2、原因；

3、涉及范围,申请表,通过,数据库管理员修改数据库参数,数据库管理员及时更新数据库参数表,结束,数据库管理员修正申请表,申请表,数据库参数表,y,n,部门主管总经理或主管定期复核,五、现场督导，提出具体的管理措施，保证通过普华永道的测试,为了现场指导监督各单位落实内控要求，原网通河北省分公司IT内控工作组多次走访所属11个市分公司，与各单位主管内控的总经理、网运部和支撑共享中心的主任、IT内控主管人员进行现场沟通，对具体问题具体指导。

在上述工作基础上，2006年，网通河北省分公司IT内控工作组两次对全省各