中国联通IT内控体系的建立(PPT41页)

《中国联通IT内控体系的建立(PPT41页)》由会员分享，可在线阅读，更多相关《中国联通IT内控体系的建立(PPT41页)（41页珍藏版）》请在金锄头文库上搜索。

1、单击此处编辑母版副标题样式*单击此处编辑母版标题样式 http:/ 全面的管理资料下载IT内控体系建立与实施中国联合网络通信有限公司河北省分公司高级工程师 屈玉阁2009年5月15日41- 2 http:/ 全面的管理资料下载原中国网通内控测试结果零缺陷为了达到在美国上市公司萨班斯法案的要求，原中国网通公司在近三年的时间 里，完成了147个单位的内控体系建设，共梳理内控流程6920个，对近16000个关键控制活动进 行了测试 。经过 世界知名的普华永道会计师 事务所审计 ，中国网通（集团）有限公司测试结 果为零缺陷，内控工作最终取得令人满意的实质 效果。2007年5月31日，普华永道在美国证券

2、交易委员会（SEC）的20F报告中，对原中国网通内控工作正式出具了无保留意见的审计报 告。至此，原中国网通成为率先通过美国萨班斯法案404条款的国内电信运营商。原网通河北省分公司作为网通集团内控模板推广试点单位，为原中国网通集团通过美国萨班斯法案404条款做出了应有的贡献。41- 3 http:/ 全面的管理资料下载内部控制基本执行路径在美国上市的公司请管理咨询公司，制定满足SOX要求，遵循COSO框架的制度在企业各个层面落实在资本市场公布审计结果企业请外审公司对执行情况进行审计，得出结论。41- 4 http:/ 全面的管理资料下载每年内控工作各阶段划分依据内控模板制定、修正本地化控制活动省

3、公司组织检查各单位改进外审第一次测试各单位改进外审第二次测试工作进度日期各单位依据本地化控制活动检查实际工作中差距，并改正。41- 5 http:/ 全面的管理资料下载企业信息化工作基本内容企业信息化工作分为两部分，一是信息系统建设，二是信息化管理控制。IT内控是为保证财务报 告数据的真实准确而对信息系统及管理环境采取的管理控制工作，是信息化管理控制的一部分。企业信息化工作信息系统建设与运营信息化管理控制IT内控41- 6 http:/ 全面的管理资料下载对财务数据来源控制的途径SOX404强调财务报 告数据来源的准确与控制。财务报 告数据来源的内部控制包括信息系统控制、电子表格控制、人工处理

4、数据控制等三个方面。2006年原网通河北省分公司IT内控工作组承担了IT内控、电子表格内控等两部分工作，其工作量占全部内控工作的60%。财务报告信息系统纸质报表电子表格41- 7 http:/ 全面的管理资料下载ITGC标准模板构成41- 8 http:/ 全面的管理资料下载原网通公司IT内控涉及的领域一般性信息系统基本控制信息系统应用控制信息系统安全信息系统操作变更管理应用系统、数据库实施与支持ERP计费帐务系统41- 9 http:/ 全面的管理资料下载一般性信息系统基本控制内容信息系统安全信息系统操作变更管理应用系统、数据库实施与支持一般安全管理操作系统安全管理数据库安全管理网络安全管理

5、应用系统安全管理防病毒安全管理物理安全管理批处理程序管理备份信息化用户支撑体系紧急应变及系统恢复应用系统变更操作系统变更数据库系统变更网络变更应用系统采购应用系统、数据库开发与实施CobitISO/IEC 17799ITIL155- 10 http:/ 全面的管理资料下载 一般安全管理举例：信息系统安全内控架构应用系统安全数据库安全操作系统安全网络安全物理安全防病毒安全41- 11 http:/ 全面的管理资料下载举例：操作系统安全内控结构操作系统安全综述 帐号管理 对用户的管理 认证管理 权限管理 对系统的管理 帐号安全设置 补丁安装 监控管理 41- 12 http:/ 全面的管理资料下载

6、举例：帐号安全设置IT维护部门系统管理员通过对系统进行安全参数设置，实现维护 人员对操作系统访问 的限制，根据用户对操作系统访问 需求的不同，由IT维护部门系统管理员对用户访问 操作系统进行安全参数设置，记录在操作系统安全参数配置表。IT维护部门系统维护 主管每月审核系统的安全参数设置。操作系统维护 人员必须通过设置操作系统的安全参数等安全措施限制对信息资源的访问。（控制活动编号：）。其中包含: 对密码格式； 无效登陆次数（三次）； 历史密码记忆 个数； 密码复杂度； 密码长度（六位及以上）； 默认帐号锁定； 帐号超时设置（10分钟）； 开放的端口和服务（要合理）； 日志的检查； 系统的默认帐

7、号。41- 13 http:/ 全面的管理资料下载举例：应用系统、数据库开发内控结构应应用系统统、数据库库开发发 需求分析 设计设计 编码编码 测试测试 开发变发变 更管理 应应用系统统、数据库实库实 施 割接试试运行 初验验 正式运行 终验终验 后评评估文档管理 新的应应用系统统的测试测试 新的数据结结构的测试测试 新的系统软统软 件的测试测试 新的网络络的测试测试 41- 14 http:/ 全面的管理资料下载IT内控管理外部环境分析 从外部环境看，原网通公司内控条款共四百多条，其中IT内控条款占52%；涉及的专业为 信息系统安全、变更、操作、信息系统采购与开发等四项内容；涉及的部门包括计

8、划、工程建设、物流采购、综合部、财务 、人力资源、网络维护 、信息系统支撑等八个部门。电子表格内控工作更是涉及网通公司每个专业 工作。在时间 要求上，原网通河北省分公司必须在2006年达到SOX404要求。41- 15 http:/ 全面的管理资料下载IT内控管理内部环境分析 从内部环境看，2006年以前，网通河北省分公司企业信息系统建设相对通信专业 起步晚、信息化管理基础薄弱，表现在两个方面：1、已有信息系统功能大部分不能满足IT内控条款要求；2、所属各单位还没有形成系统的IT管理控制流程，存在控制风险 。41- 16 http:/ 全面的管理资料下载2006年原网通河北省分公司IT内控开展

9、的工作内控制度建设贯彻风险管理方式，开展针对性培训与信息化管理控制工作相结合，统一IT内控流程描述和文档格式。问题整理及整改措施的落实现场督导，提出具体的管理措施，保证通过普华永道的测试开展信息系统风险评估，模拟演练预案积极与相关部门沟通，解决COSO、UAT和久其系统存在的问题组织各单位，有效开展电子表格内控管理。41- 17 http:/ 全面的管理资料下载一、内控制度建设完成中国网通（集团）有限公司河北省分公司信息系统信息安全与风险 管理规范编写；完成中国网通（集团）有限公司河北省分公司电子表格实施细则 编写；完成中国网通（集团）有限公司河北省分公司信息系统建设编码 七项规 范修正中国网

10、通（集团）有限公司河北省分公司信息系统管理办法；帮助财务 部编写久其报表软件系统管理暂行办法。41- 18 http:/ 全面的管理资料下载二、贯彻风险管理方式，开展针对性培训IT内控工作主要涉及两个方面：一是对信息系统功能要求；二是对信息化管理控制流程的要求，而且这部分工作量最大，并涉及相关工作人员的管理意识的转变 。IT内控工作信息系统功能应满足IT内控要求 信息化管理流程应符合内控要求41- 19 http:/ 全面的管理资料下载二、贯彻风险管理方式，开展针对性培训（续）为使涉及IT内控的各单位人员，改变原有的工作方式，树立信息化风险管理意识，对省公司企业信息化部两次开展内部培训，五次开

11、展省公司本部相关部门面对面的培训，并举办 全省支撑共享中心主任、负责IT内控主管人员等三十多人参加的专题 培训班；去邯郸、唐山、沧州、邢台等四个市分公司支撑共享中心，对八十多人进行现场 培训；两次举办电视 会议培训，三次举办电话 会议形式的全省专题 培训；在石家庄银河宾馆 和邮电 公寓，分两次对公司全体内控工作人员共280多人分别讲 解风险 管理工作流程和电子表格内控流程。41- 20 http:/ 全面的管理资料下载二、贯彻风险管理方式，开展针对性培训（续）为了配合上述培训工作，我们编 写下列等1200多页的IT内控培训文档：河北网通IT开发与实施与控制环境矩阵；风险 管理与内控；SOX法案

12、与IT内部控制；电子表格管理说明；增进与外审师 沟通；电子表格内控自查与复核工作要点。 通过上述培训，原网通河北省公司IT内控和电子表格管理等工作人员内控工作素质有了质的飞跃 ，为落实内控工作打下了坚实 的思想基础。41- 21 http:/ 全面的管理资料下载三、统一IT内控流程描述和文档格式在实施IT内控工作初期，原网通河北省分公司所属分公司和直属单位有15个本地化内控文档，由于各单位信息化管理支撑部门内部规章制度和工作流程不尽相同，管理精细化程度不一，工作人员对 内控理解程度也各不相同。这种情况对不利于全省IT内控工作深度和进度的把握。为了改变上述局面，我们分析公司信息化各项制度和目前河

13、北省分公司信息系统现 状，收集了各单位信息化流程和各位记录 文档，征求15个单位内控工作人员的意见，提出将河北省分公司IT内控文档统一描述的建议，得到了公司内控工作组和各相关部门的支持。41- 22 http:/ 全面的管理资料下载三、统一IT内控流程描述和文档格式以网通集团公司企业信息化管理控制体系1.0为基础，以风险 管理思想为理论依据，2006年6月，组织 公司各相关单位成立IT内控工作项目组，经过 三周时间 的顽强拼搏，疏理了IT内控17个流程中214个控制活动，统一了万字的IT内控流程描述，规范了176个相关文档格式，完成了网通河北省分公司十五个IT内控本地稿的统一工作，在2006年

14、7月，以公司文件形式公布，在各单位执行。上述工作的开展，不仅仅统 一了IT内控流程描述，也实现 了河北省分公司所属各单位信息化管理控制流程和文档的统一，为河北省分公司IT内控在2006年满足SOX404形成了可量化的工作标准，由于各单位有同样的文档格式，在IT内控工作深度和进度把握上取得了主动权 ，管理效果非常直观，同时也降低了IT内控的工作难度。此项工作走在原网通集团公司内控工作前列，受到了原网通集团公司的表扬，也得到了审计 公司普华永道的认同和较高的评价。41- 23 http:/ 全面的管理资料下载四、问题整理及整改措施的落实 建立和落实IT内控责任分解表为了加强IT内控责任管理，原网通

15、集团公司企业信息化部从2007年开始上报IT内控责任分解表，以明确每个信息系统中涉及内控的每个管理人和责任人。此项工作涉及省公司相关部门和各市分公司IT建设支撑部门，而且由于信息系统变 化、组织 与人员的调整，此项工作量非常大。为了按时按时完成该项 工作，我们积 极与部门领导 商议，并与省公司法律与风险 部进行沟通，共同起草通知文件，向省公司相关部门和各市分公司布置工作，在7月初保质保量完成此项工作，并向集团公司企业信息化部上报。41- 24 http:/ 全面的管理资料下载四、问题整理及整改措施的落实（续）IT内控工作分为以信息系统程序功能实现 的流程控制，以及对信息系统外部环境的控制等两大

16、类。由于过去开发的信息系统没有按内控要求进行程序设计 ，所以，有些信息系统实现 的功能不能达到IT内控要求，而由于建设资 金和建设周期的原因，又不可能为实现 IT内控要求立即实现 信息系统改造，因此必须采用人工控制来降低信息系统风险 。要求信息系统功能满足IT内控要求信息系统外部控制环境要满足IT内控要求信息系统系统具备程序控制降低风险信息系统不具备程序控制功能，需要人工控制降低风险建立人工管理控制流程，以降低风险41- 25 http:/ 全面的管理资料下载人工降低IT内控风险整改措施控制声明（制度）授权和被授权文档作业流程与作业流程对应的控制文档控制轨迹41- 26 http:/ 全面的管理资料下载四、问题整理及整改措施的落实（续）网通河北省分公司信息系统功能不能完全达到IT内控要求。在2006年初各单位整改的基础上，网通河北省分公司IT内控工作组，去各市分公司收集整理第一轮测试 存在20个共性问题 ，深入理解内控要求，提出了人工降低IT内控风险 整改措施。积极与集团IT内控项目组和德勤公司沟通，并得到了确认，在2006年6月中旬完成全部问题 的整改。以工单方式，监督各单位的内控落