中国联通IT内控体系的建立isbh.pptx

《中国联通IT内控体系的建立isbh.pptx》由会员分享，可在线阅读，更多相关《中国联通IT内控体系的建立isbh.pptx（41页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 http:/ 全面的管理资料下载ITIT内控体系建立与实施内控体系建立与实施中国联合网络通信有限公司河北省分公司高级工程师 屈玉阁2009年5月15日41-2原中国网通内控测试结果零缺陷原中国网通内控测试结果零缺陷为了达到在美国上市公司萨班斯法案的要求，原中国网通公司在近三年的时间里，完成了147个单位的内控体系建设，共梳理内控流程6920个，对近16000个关键控制活动进行了测试。经过世界知名的普华永道会计师事务所审计，中国网通（集团）有限公司测试结果为零缺陷，内控工作最终取得令人满意的实质效果。2007年5月31日，普华永道在美国证券交易委员会（SEC）的20F报告中，对原中国网通内控工

2、作正式出具了无保留意见的审计报告。至此，原中国网通成为率先通过美国萨班斯法案404条款的国内电信运营商。原网通河北省分公司作为网通集团内控模板推广试点单位，为原中国网通集团通过美国萨班斯法案404条款做出了应有的贡献。41-3内部控制基本执行路径内部控制基本执行路径在美国上市的公司请管理咨询公司，制定满足SOX要求，遵循COSO框架的制度在企业各个层面落实在资本市场公布审计结果企业请外审公司对执行情况进行审计，得出结论。41-4每年内控工作各阶段划分每年内控工作各阶段划分依据内控模板制定、修正本地化控制活动省公司组织检查各单位改进外审第一次测试各单位改进外审第二次测试工作进度日期各单位依据本地

3、化控制活动检查实际工作中差距，并改正。41-5企业信息化工作基本内容企业信息化工作基本内容企业信息化工作分为两部分，一是信息系统建设，二是信息化管理控制。IT内控是为保证财务报告数据的真实准确而对信息系统及管理环境采取的管理控制工作，是信息化管理控制的一部分。企业信息化工作信息系统建设与运营信息化管理控制IT内控41-6对财务数据来源控制的途径对财务数据来源控制的途径SOX404强调财务报告数据来源的准确与控制。财务报告数据来源的内部控制包括信息系统控制、电子表格控制、人工处理数据控制等三个方面。2006年原网通河北省分公司IT内控工作组承担了IT内控、电子表格内控等两部分工作，其工作量占全部

4、内控工作的60%。财务报告财务报告信息系统信息系统纸质报表纸质报表电子表格电子表格41-7ITGC标准模板构成标准模板构成41-8原网通公司原网通公司IT内控涉及的领域内控涉及的领域一般性信息系统基本控制信息系统应用控制信息系统安全信息系统操作变更管理应用系统、数据库实施与支持ERP计费帐务系统41-9一般性信息系统基本控制内容一般性信息系统基本控制内容信息系统安全信息系统安全信息系统操作信息系统操作变更管理变更管理应用系统、数据应用系统、数据库实施与支持库实施与支持一般安全管理一般安全管理操作系统操作系统安全管理安全管理数据库安全管理数据库安全管理网络安全管理网络安全管理应用系统应用系统安全

5、管理安全管理防病毒安全管理防病毒安全管理物理安全管理物理安全管理批处理程序管理批处理程序管理备份备份信息化用户信息化用户支撑体系支撑体系紧急应变及紧急应变及系统恢复系统恢复应用系统变更应用系统变更操作系统变更操作系统变更数据库系统变更数据库系统变更网络变更网络变更应用系统采购应用系统采购应用系统、数据库应用系统、数据库开发与实施开发与实施CobitISO/IEC 17799ITIL155-10 一般安全管理一般安全管理举例：信息系统安全内控架构举例：信息系统安全内控架构应用系统安全应用系统安全数据库安全数据库安全操作系统安全操作系统安全网络安全网络安全物理安全物理安全防病毒防病毒安全安全41-

6、11举例：操作系统安全内控结构举例：操作系统安全内控结构操作系统安全综述操作系统安全综述 帐号管理帐号管理 对用户的管理对用户的管理 认证管理认证管理 权限管理权限管理 对系统的管理对系统的管理 帐号安全设置帐号安全设置 补丁安装补丁安装 监控管理监控管理 41-12举例：帐号安全设置举例：帐号安全设置IT维护部门系统管理员通过对系统进行安全参数设置，实现维护人员对操作系统访问的限制，根据用户对操作系统访问需求的不同，由IT维护部门系统管理员对用户访问操作系统进行安全参数设置，记录在操作系统安全参数配置表。IT维护部门系统维护主管每月审核系统的安全参数设置。操作系统维护人员必须通过设置操作系统

7、的安全参数等安全措施限制对信息资源的访问。（控制活动编号：）。其中包含:对密码格式；无效登陆次数（三次）；历史密码记忆个数；密码复杂度；密码长度（六位及以上）；默认帐号锁定；帐号超时设置（10分钟）；开放的端口和服务（要合理）；日志的检查；系统的默认帐号。41-13举例：应用系统、数据库开发内控结构举例：应用系统、数据库开发内控结构应应用系用系统统、数据、数据库库开开发发 需求分析需求分析 设计设计 编码编码 测试测试 开开发变发变更管理更管理 应应用系用系统统、数据、数据库实库实施施 割接割接试试运行运行 初初验验 正式运行正式运行 终验终验 后后评评估估文档管理文档管理 新的新的应用系用系

8、统的的测试 新的数据新的数据结构的构的测试 新的系新的系统软件的件的测试 新的网新的网络的的测试 41-14IT内控管理外部环境分析内控管理外部环境分析 从外部环境看，原网通公司内控条款共四百多条，其中IT内控条款占52%；涉及的专业为信息系统安全、变更、操作、信息系统采购与开发等四项内容；涉及的部门包括计划、工程建设、物流采购、综合部、财务、人力资源、网络维护、信息系统支撑等八个部门。电子表格内控工作更是涉及网通公司每个专业工作。在时间要求上，原网通河北省分公司必须在2006年达到SOX404要求。41-15IT内控管理内部环境分析内控管理内部环境分析 从内部环境看，2006年以前，网通河北

9、省分公司企业信息系统建设相对通信专业起步晚、信息化管理基础薄弱，表现在两个方面：1、已有信息系统功能大部分不能满足IT内控条款要求；2、所属各单位还没有形成系统的IT管理控制流程，存在控制风险。41-162006年原网通河北省分公司年原网通河北省分公司IT内控开展的工作内控开展的工作内控制度建设贯彻风险管理方式，开展针对性培训与信息化管理控制工作相结合，统一IT内控流程描述和文档格式。问题整理及整改措施的落实现场督导，提出具体的管理措施，保证通过普华永道的测试开展信息系统风险评估，模拟演练预案积极与相关部门沟通，解决COSO、UAT和久其系统存在的问题组织各单位，有效开展电子表格内控管理。41

10、-17一、内控制度建设一、内控制度建设完成中国网通（集团）有限公司河北省分公司信息系统信息安全与风险管理规范编写；完成中国网通（集团）有限公司河北省分公司电子表格实施细则编写；完成中国网通（集团）有限公司河北省分公司信息系统建设编码七项规范修正中国网通（集团）有限公司河北省分公司信息系统管理办法；帮助财务部编写久其报表软件系统管理暂行办法。41-18二、贯彻风险管理方式，开展针对性培训二、贯彻风险管理方式，开展针对性培训IT内控工作主要涉及两个方面：一是对信息系统功能要求；二是对信息化管理控制流程的要求，而且这部分工作量最大，并涉及相关工作人员的管理意识的转变。IT内控工作信息系统功能应满足I

11、T内控要求 信息化管理流程应符合内控要求41-19二、贯彻风险管理方式，开展针对性培训（续）二、贯彻风险管理方式，开展针对性培训（续）为使涉及IT内控的各单位人员，改变原有的工作方式，树立信息化风险管理意识，对省公司企业信息化部两次开展内部培训，五次开展省公司本部相关部门面对面的培训，并举办全省支撑共享中心主任、负责IT内控主管人员等三十多人参加的专题培训班；去邯郸、唐山、沧州、邢台等四个市分公司支撑共享中心，对八十多人进行现场培训；两次举办电视会议培训，三次举办电话会议形式的全省专题培训；在石家庄银河宾馆和邮电公寓，分两次对公司全体内控工作人员共280多人分别讲解风险管理工作流程和电子表格内

12、控流程。41-20二、贯彻风险管理方式，开展针对性培训（续）二、贯彻风险管理方式，开展针对性培训（续）为了配合上述培训工作，我们编写下列等1200多页的IT内控培训文档：河北网通IT开发与实施与控制环境矩阵；风险管理与内控；SOX法案与IT内部控制；电子表格管理说明；增进与外审师沟通；电子表格内控自查与复核工作要点。通过上述培训，原网通河北省公司IT内控和电子表格管理等工作人员内控工作素质有了质的飞跃，为落实内控工作打下了坚实的思想基础。41-21三、统一三、统一IT内控流程描述和文档格式内控流程描述和文档格式在实施IT内控工作初期，原网通河北省分公司所属分公司和直属单位有15个本地化内控文档

13、，由于各单位信息化管理支撑部门内部规章制度和工作流程不尽相同，管理精细化程度不一，工作人员对内控理解程度也各不相同。这种情况对不利于全省IT内控工作深度和进度的把握。为了改变上述局面，我们分析公司信息化各项制度和目前河北省分公司信息系统现状，收集了各单位信息化流程和各位记录文档，征求15个单位内控工作人员的意见，提出将河北省分公司IT内控文档统一描述的建议，得到了公司内控工作组和各相关部门的支持。41-22三、统一三、统一IT内控流程描述和文档格式内控流程描述和文档格式以网通集团公司企业信息化管理控制体系1.0为基础，以风险管理思想为理论依据，2006年6月，组织公司各相关单位成立IT内控工作

14、项目组，经过三周时间的顽强拼搏，疏理了IT内控17个流程中214个控制活动，统一了9.5万字的IT内控流程描述，规范了176个相关文档格式，完成了网通河北省分公司十五个IT内控本地稿的统一工作，在2006年7月，以公司文件形式公布，在各单位执行。上述工作的开展，不仅仅统一了IT内控流程描述，也实现了河北省分公司所属各单位信息化管理控制流程和文档的统一，为河北省分公司IT内控在2006年满足SOX404形成了可量化的工作标准，由于各单位有同样的文档格式，在IT内控工作深度和进度把握上取得了主动权，管理效果非常直观，同时也降低了IT内控的工作难度。此项工作走在原网通集团公司内控工作前列，受到了原网

15、通集团公司的表扬，也得到了审计公司普华永道的认同和较高的评价。41-23四、问题整理及整改措施的落实四、问题整理及整改措施的落实 建立和落实IT内控责任分解表为了加强IT内控责任管理，原网通集团公司企业信息化部从2007年开始上报IT内控责任分解表，以明确每个信息系统中涉及内控的每个管理人和责任人。此项工作涉及省公司相关部门和各市分公司IT建设支撑部门，而且由于信息系统变化、组织与人员的调整，此项工作量非常大。为了按时按时完成该项工作，我们积极与部门领导商议，并与省公司法律与风险部进行沟通，共同起草通知文件，向省公司相关部门和各市分公司布置工作，在7月初保质保量完成此项工作，并向集团公司企业信

16、息化部上报。41-24四、问题整理及整改措施的落实（续）四、问题整理及整改措施的落实（续）IT内控工作分为以信息系统程序功能实现的流程控制，以及对信息系统外部环境的控制等两大类。由于过去开发的信息系统没有按内控要求进行程序设计，所以，有些信息系统实现的功能不能达到IT内控要求，而由于建设资金和建设周期的原因，又不可能为实现IT内控要求立即实现信息系统改造，因此必须采用人工控制来降低信息系统风险。要求信息系统功能满足IT内控要求信息系统外部控制环境要满足IT内控要求信息系统系统具备程序控制降低风险信息系统不具备程序控制功能，需要人工控制降低风险建立人工管理控制流程，以降低风险41-25人工降低人

17、工降低IT内控风险整改措施内控风险整改措施控制声明（制度）授权和被授权文档作业流程与作业流程对应的控制文档控制轨迹41-26四、问题整理及整改措施的落实（续）四、问题整理及整改措施的落实（续）网通河北省分公司信息系统功能不能完全达到IT内控要求。在2006年初各单位整改的基础上，网通河北省分公司IT内控工作组，去各市分公司收集整理第一轮测试存在20个共性问题，深入理解内控要求，提出了人工降低IT内控风险整改措施。积极与集团IT内控项目组和德勤公司沟通，并得到了确认，在2006年6月中旬完成全部问题的整改。以工单方式，监督各单位的内控落实工作，对出现的问题进行密切跟踪，保证落实到位。进一步细化内

18、控要点，将信息系统变更分为四类，制定了信息系统非紧急变更实施范围定义表下发给各单位执行。上述措施的落实，有效地开展了内控工作，并为公司节约建设资金1.6亿元。41-27四、问题整理及整改措施的落实（续）四、问题整理及整改措施的落实（续）变更变更等级等级 提出申请变提出申请变更审批的部更审批的部门门/人员人员 审批人审批人 复合部门复合部门/人员及人员及复合周期复合周期 变更实施范围定义变更实施范围定义 工作流程工作流程 文档名称文档名称 1重大 运维部主管总经理需要省公司定期复合经立项进行的重大升级改造，或者是开发和实施阶段的变更，应归入项目的开发与实施进行管理。变更申请、变更实施、变更测试、

19、变更验收、变更上线开发与实施的相关流程文档。2重要 支撑共享中心主管主任IT管理部门（运维部）主管总经理每月复合1、系统能力不足，需要的局部变更；2、业务部门新需要引起的信息系统变更；1、变更管理员职责；2、信息系统服务支撑部门职责；3、信息系统管理部门职责。1、信息系统变更申请；2、信息系统变更方案；3、变更通知单；4、信息系统变更计划；5、应急回退方案和回退时间点；6、备份记录；7、信息系统变更版本控制记录；8、xx系统参数配置表；9、工作日志；10、上线前的测试计划；11、上线审批单12、系统割接计划；13、变更报告；14、使用手册。3一般 支撑共享中心班组长支撑共享中心主管主任IT管理

20、部门（运维部）主任每月符合1、不影响信息系统运行的参数变更（新加的参数）；2、数据库调优（关键参数修改）；3、应用系统的补丁程序（新增加功能模块）；4、数据库和操作系统补丁程序（补漏洞）；5、数据库、操作系统、应用系统的权限变更；6、应用系统的关键数据修改；7、操作系统、数据库、网络报警阀值调整。1、变更管理员职责；2、信息系统服务支撑部门职责。1、信息系统变更申请；2、信息系统变更方案；3、信息系统变更计划；4、应急回退方案和回退时间点；5、备份记录；6、信息系统变更版本控制记录；7、xx系统参数配置表8、工作日志；9、上线前的测试计划；10、上线审批单；11、系统割接计划；12、变更报告；

21、4微小 支撑共享中心员工支撑共享中心班组长支撑共享中心主管主任应用系统报警阀值调整；应用系统操作管理员填写操作日志信息系统非紧急变更实施范围定义表信息系统非紧急变更实施范围定义表41-28四、问题整理及整改措施的落实（续）四、问题整理及整改措施的落实（续）岗位说明书工作授权书帐号权限清单主管主任的授权工作 授权方式41-29四、问题整理及整改措施的落实（续）四、问题整理及整改措施的落实（续）工作人员部门主管主任申申请书请书工作日志工作日志申申请书请书工作日志工作日志IT内控人工控制基本流程内控人工控制基本流程41-30举例：数据库参数修改审批控制流程举例：数据库参数修改审批控制流程开始开始数据

22、数据库库管理管理员员提出申提出申请请,填写申填写申请请表表部部门门主管主管总经总经理理进进行行审审批批:1、修改的内容；、修改的内容；2、原因；、原因；3、涉及范、涉及范围围申申请请表表通通过过数据数据库库管理管理员员修改数据修改数据库库参数参数数据数据库库管理管理员员及及时时更新数据更新数据库库参数表参数表结结束束数据数据库库管理管理员员修正申修正申请请表表申申请请表表数据数据库库参数表参数表yn部部门门主管主管总经总经理或主管定期复核理或主管定期复核41-31五、现场督导，提出具体的管理措施，保证通过普五、现场督导，提出具体的管理措施，保证通过普华永道的测试华永道的测试为了现场指导监督各单

23、位落实内控要求，原网通河北省分公司IT内控工作组多次走访所属11个市分公司，与各单位主管内控的总经理、网运部和支撑共享中心的主任、IT 内控主管人员进行现场沟通，对具体问题具体指导。在上述工作基础上，2006年，网通河北省分公司IT内控工作组两次对全省各单位进行内控测试工作。根据普华永道审计进度，网通河北省分公司IT内控工作组分别去邯郸、邢台、石家庄、沧州、唐山、秦皇岛等六个市分公司，现场指导应对普华的审计工作，同时密切关注其他公司的审计进程，有力了保证了IT内控普华审计工作效果。41-32六、开展信息系统风险评估，模拟演练预案。六、开展信息系统风险评估，模拟演练预案。在传统信息系统预案管理方

24、面，存在的缺陷表现在两个方面：一是将信息系统硬件、软件和应用系统分开管理的；二是信息系统预案的制定过程没有经过风险评估，针对性不强，处于被动的局面。依据风险管理理论，我们将信息系统分为实物、软件、信息、服务等四类资产，从资产本身的弱点或漏洞、资产存在的外部威胁、威胁发生的可能性、威胁发生的后果、目前采取的措施等五个方面，建立信息系统风险评估矩阵，组织公司所属各单位对各个信息系统进行安全风险评估，找出目前信息系统存在的隐患，以应用系统为单位，制定针对性应急预案，进行模拟演练，并保留演练文档。通过上述工作，河北省分公司信息系统应急预案理顺了管理流程，实现了风险管理，走在集团公司IT内控工作前列。4

25、1-33信息系统风险评估过程信息系统风险评估过程确定信息确定信息资产资产或管理工作的范或管理工作的范围围 开始开始确定信息确定信息资产资产或管理工作或管理工作本身存在的弱点或漏洞本身存在的弱点或漏洞确定信息确定信息资产资产或管或管理工作面理工作面临临的威的威胁胁确定目前信息系确定目前信息系统统或管或管理工作采取的控制措施理工作采取的控制措施结结合信息合信息资产资产本身或管理工作本身或管理工作的弱点或漏洞及面的弱点或漏洞及面临临的威的威胁胁，考察目前已采取的控制措施，考察目前已采取的控制措施，确定信息系确定信息系统统或管理工作有可或管理工作有可能出能出现现的的问题问题（风险风险）；）；对对可能出

26、可能出现现的的问题进问题进行排序，行排序，确定确定风险风险的的优优先先级级和控制水平和控制水平提交公司安全提交公司安全现现状状风险报风险报告，告，提供提供风险风险列表，列表，归类风险归类风险等等级级结结束束41-34事例：综合结算系统资产风险评估表事例：综合结算系统资产风险评估表41-35七、积极与相关部门沟通，解决七、积极与相关部门沟通，解决COSO、UAT和久其系统存在的问题和久其系统存在的问题IT内控涉及COSO、UAT和财务报表久其系统的管理。原网通河北省分公司IT内控工作组积极与公司COSO组沟通，完成了IT内控与COSO内控流程进行有效衔接。根据集团公司IT 内控工作组的要求，IT

27、内控工作组组织各单位在一个月内完成了UAT文档的整理工作，并提供统一的文档格式；帮助公司财务部编写久其报表软件系统管理暂行办法等公司文件，制定了6个文档模板，在各单位财务部门落实。41-36八、组织各单位，开展电子表格内控管理，满足内八、组织各单位，开展电子表格内控管理，满足内控要求。控要求。电子表格内控工作是公司内控工作的一个重要部分，相比其它专业的内控工作，电子表格内控涉及公司各项专业工作，起步晚。在电子表格内控开始阶段，大家对电子表格的定义和如何开展工作没有明晰的认识，困难重重。我们首先分析SOX404对电子表格的要求，收集公司现有各类电子表格，依据集团公司相关制度和风险管理思想，在没有

28、参考资料的前提下，经过一个多月的艰苦努力，从电子表格管理业务流程和计算机管理流程两个角度，编写了网通河北省分公司电子表格管理实施细则及对应的九个文档模板。由于此项制度编写全面，可操作性强，满足了电子表格内控要求，受到集团公司内控工作组的表扬，集团公司所属其它省也借鉴了河北省分公司的此项制度。在完成上述制度的基础上，我们编写电子表格自查与复核工作要点，对全省八个内控专业组开展四次专题培训，组织各专业组进行电子表格的风险评估，完成八个专业组电子表格会审，完成了全省电子表格的整理和确认，建立了电子表格目录清单，指导各单位建立了电子表格服务器和授权工作，对各单位八个专业组电子表格进行现场检查，组织各专

29、业组进行全省复核工作，从而有效地降低了网通河北省分公司电子表格管理风险。41-37电子表格的控制变化电子表格的控制变化模板模板设计设计模板模板使用使用模板模板维护维护数据数据访问访问控制控制数据数据编辑编辑电子表格流程控制电子表格流程控制电子表格电子表格个人控制个人控制41-38电子表格控制与被控制分离的原则电子表格控制与被控制分离的原则电子表格维护人电子表格使用人电子表格设计人电子表格访问人41-39电子表格业务流程控制电子表格业务流程控制开始设计人：进行电子表格模板设计与开发使用人：采用电子表格模板进行数据的输入和编辑访问人：对电子表格数据进行查询结束使用人：对电子表格模板最终确认使用人：

30、提出申请设计人：组织维护人进行测试是否通过测试报告维护人：对电子表格模板维护管理目录清单申请书使用人部门主任：审核签字测试报告使用人：确定电子表格的使用权限，分别定义电子表格数据的创建、更新、删除与查询权限 维护人：电子表格模板是否有问题授权书授权书授权书授权书41-40电子表格的存储访问控制电子表格的存储访问控制系统管理员:电子表格维护人来担任应用管理员:电子表格使用人来担任系统管理员建立三个文件夹系统管理员建立三个文件夹:1、电子表格数据管理，为共享模式；、电子表格数据管理，为共享模式；2、电子表格模板管理，为共享模式；、电子表格模板管理，为共享模式；3、电子表格数据备份管理。、电子表格数据备份管理。电电子表格子表格账账号号权权限清限清单单 电电子表格文件子表格文件备备份份计计划划 电电子表格文件子表格文件备备份份记录记录 电子表格目录清单电子表格目录清单 应用管理员在本机建立二个应用管理员在本机建立二个文件夹文件夹:1、电子表格数据管理，、电子表格数据管理，2、电子表格数据备份管理、电子表格数据备份管理。电电子表格文件子表格文件备备份份计计划划 电电子表格文件子表格文件备备份份记录记录 41-41结束结束