IT内控体系建立实施.ppt

IT内控体系建立与实施IT内控体系建立与实施中国联合网络通信有限公司河北省分公司高级工程师屈玉阁2009年5月15日41- 2原中国网通内控测试结果零缺陷?为了达到在美国上市公司萨班斯法案的要求,原中国网通公司在近三年的时间里,完成了147个单位的内控体系建设,共梳理内控流程6920个,对近16000个关键控制活动进行了测试。经过世界知名的普华永道会计师事务所审计,中国网通(集团)有限公司测试结果为零缺陷,内控工作最终取得令人满意的实质效果。?2007年5月31日,普华永道在美国证券交易委员会(SEC)的20F报告中,对原中国网通内控工作正式出具了无保留意见的审计报告。至此,原中国网通成为率先通过美国《萨班斯法案》404条款的国内电信运营商。原网通河北省分公司作为网通集团内控模板推广试点单位,为原中国网通集团通过美国《萨班斯法案》404条款做出了应有的贡献。41- 3内部控制基本执行路径在美国上市的公司请管理咨询公司,制定满足SOX要求,遵循COSO框架的制度在美国上市的公司请管理咨询公司,制定满足SOX要求,遵循COSO框架的制度在企业各个层面落实在企业各个层面落实在资本市场公布审计结果在资本市场公布审计结果企业请外审公司对执行情况进行审计,得出结论。企业请外审公司对执行情况进行审计,得出结论。41- 4每年内控工作各阶段划分依据内控模板制定、修正本地化控制活动依据内控模板制定、修正本地化控制活动省公司组织检查省公司组织检查各单位改进各单位改进外审第一次测试外审第一次测试各单位改进各单位改进外审第二次测试外审第二次测试工作进度日期各单位依据本地化控制活动检查实际工作中差距,并改正。各单位依据本地化控制活动检查实际工作中差距,并改正。41- 5企业信息化工作基本内容?企业信息化工作分为两部分,一是信息系统建设,二是信息化管理控制。?IT内控是为保证财务报告数据的真实准确而对信息系统及管理环境采取的管理控制工作,是信息化管理控制的一部分。企业信息化工作企业信息化工作信息系统建设与运营信息系统建设与运营信息化管理控制信息化管理控制IT内控IT内控41- 6对财务数据来源控制的途径?SOX404强调财务报告数据来源的准确与控制。?财务报告数据来源的内部控制包括信息系统控制、电子表格控制、人工处理数据控制等三个方面。?2006年原网通河北省分公司IT内控工作组承担了IT内控、电子表格内控等两部分工作,其工作量占全部内控工作的60%。财务报告财务报告信息系统信息系统纸质报表纸质报表电子表格电子表格41- 7ITGC标准模板构成41- 8原网通公司IT内控涉及的领域一般性信息系统基本控制一般性信息系统基本控制信息系统应用控制信息系统应用控制信息系统安全信息系统安全信息系统操作信息系统操作变更管理变更管理应用系统、数据库实施与支持应用系统、数据库实施与支持ERPERP计费帐务系统计费帐务系统41- 9一般性信息系统基本控制内容信息系统安全信息系统安全信息系统操作信息系统操作变更管理变更管理应用系统、数据库实施与支持应用系统、数据库实施与支持一般安全管理一般安全管理操作系统安全管理操作系统安全管理数据库安全管理数据库安全管理网络安全管理网络安全管理应用系统安全管理应用系统安全管理防病毒安全管理防病毒安全管理物理安全管理物理安全管理批处理程序管理批处理程序管理备份备份信息化用户支撑体系信息化用户支撑体系紧急应变及系统恢复紧急应变及系统恢复应用系统变更应用系统变更操作系统变更操作系统变更数据库系统变更数据库系统变更网络变更网络变更应用系统采购应用系统采购应用系统、数据库开发与实施应用系统、数据库开发与实施CobitISO/IEC 17799ITIL155- 10一般安全管理一般安全管理举例:信息系统安全内控架构应用系统安全数据库安全操作系统安全网络安全物理安全防病毒安全防病毒安全