返回
网通IT内部控制体系构建与实施

网通IT内部控制体系构建与实施

ID:45023167

大小:975.00 KB

页数:41页

时间:2019-11-07

网通IT内部控制体系构建与实施_第1页
网通IT内部控制体系构建与实施_第2页
网通IT内部控制体系构建与实施_第3页
网通IT内部控制体系构建与实施_第4页
网通IT内部控制体系构建与实施_第5页
资源描述:

《网通IT内部控制体系构建与实施》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、IT内控体系建立与实施中国联合网络通信有限公司河北省分公司高级工程师屈玉阁2009年5月15日原中国网通内控测试结果零缺陷为了达到在美国上市公司萨班斯法案的要求,原中国网通公司在近三年的时间里,完成了147个单位的内控体系建设,共梳理内控流程6920个,对近16000个关键控制活动进行了测试。经过世界知名的普华永道会计师事务所审计,中国网通(集团)有限公司测试结果为零缺陷,内控工作最终取得令人满意的实质效果。2007年5月31日,普华永道在美国证券交易委员会(SEC)的20F报告中,对原中国网通内控工作正式出具了无保留意见的审计报告。至此,原中国网通成为率先通过美国《萨班斯法案

2、》404条款的国内电信运营商。原网通河北省分公司作为网通集团内控模板推广试点单位,为原中国网通集团通过美国《萨班斯法案》404条款做出了应有的贡献。内部控制基本执行路径在美国上市的公司请管理咨询公司,制定满足SOX要求,遵循COSO框架的制度在企业各个层面落实在资本市场公布审计结果企业请外审公司对执行情况进行审计,得出结论。每年内控工作各阶段划分依据内控模板制定、修正本地化控制活动省公司组织检查各单位改进外审第一次测试各单位改进外审第二次测试工作进度日期各单位依据本地化控制活动检查实际工作中差距,并改正。企业信息化工作基本内容企业信息化工作分为两部分,一是信息系统建设,二是信息

3、化管理控制。IT内控是为保证财务报告数据的真实准确而对信息系统及管理环境采取的管理控制工作,是信息化管理控制的一部分。企业信息化工作信息系统建设与运营信息化管理控制IT内控对财务数据来源控制的途径SOX404强调财务报告数据来源的准确与控制。财务报告数据来源的内部控制包括信息系统控制、电子表格控制、人工处理数据控制等三个方面。2006年原网通河北省分公司IT内控工作组承担了IT内控、电子表格内控等两部分工作,其工作量占全部内控工作的60%。财务报告信息系统纸质报表电子表格ITGC标准模板构成原网通公司IT内控涉及的领域一般性信息系统基本控制信息系统应用控制信息系统安全信息系统操

4、作变更管理应用系统、数据库实施与支持ERP计费帐务系统一般性信息系统基本控制内容信息系统安全信息系统操作变更管理应用系统、数据库实施与支持一般安全管理操作系统安全管理数据库安全管理网络安全管理应用系统安全管理防病毒安全管理物理安全管理批处理程序管理备份信息化用户支撑体系紧急应变及系统恢复应用系统变更操作系统变更数据库系统变更网络变更应用系统采购应用系统、数据库开发与实施CobitISO/IEC17799ITIL一般安全管理举例:信息系统安全内控架构应用系统安全数据库安全操作系统安全网络安全物理安全防病毒安全举例:操作系统安全内控结构操作系统安全综述帐号管理对用户的管理认证管理权

5、限管理对系统的管理帐号安全设置补丁安装监控管理举例:帐号安全设置IT维护部门系统管理员通过对系统进行安全参数设置,实现维护人员对操作系统访问的限制,根据用户对操作系统访问需求的不同,由IT维护部门系统管理员对用户访问操作系统进行安全参数设置,记录在《操作系统安全参数配置表》<6171-1-2-10>。IT维护部门系统维护主管每月审核系统的安全参数设置。[操作系统维护人员必须通过设置操作系统的安全参数等安全措施限制对信息资源的访问。](控制活动编号:)。其中包含:对密码格式;无效登陆次数(三次);历史密码记忆个数;密码复杂度;密码长度(六位及以上);默认帐号锁

6、定;帐号超时设置(10分钟);开放的端口和服务(要合理);日志的检查;系统的默认帐号。举例:应用系统、数据库开发内控结构应用系统、数据库开发需求分析设计编码测试开发变更管理应用系统、数据库实施割接试运行初验正式运行终验后评估文档管理新的应用系统的测试新的数据结构的测试新的系统软件的测试新的网络的测试IT内控管理外部环境分析从外部环境看,原网通公司内控条款共四百多条,其中IT内控条款占52%;涉及的专业为信息系统安全、变更、操作、信息系统采购与开发等四项内容;涉及的部门包括计划、工程建设、物流采购、综合部、财务、人力资源、网络维护、信息系统支撑等八个部门。电子表格内控工作更是涉及

7、网通公司每个专业工作。在时间要求上,原网通河北省分公司必须在2006年达到SOX404要求。IT内控管理内部环境分析从内部环境看,2006年以前,网通河北省分公司企业信息系统建设相对通信专业起步晚、信息化管理基础薄弱,表现在两个方面:1、已有信息系统功能大部分不能满足IT内控条款要求;2、所属各单位还没有形成系统的IT管理控制流程,存在控制风险。2006年原网通河北省分公司IT内控开展的工作内控制度建设贯彻风险管理方式,开展针对性培训与信息化管理控制工作相结合,统一IT内控流程描述和文档格式

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。