企业内部控制解决方案.doc_文客久久网wenke99.com

资源描述

1、联想网御 IT 内控解决方案联想网御科技(北京)有限公司2009 年 2 月联想网御 IT 内控解决方案2目录一、 IT内部控制的问题与挑战 .31.1. 企业内控的背景 .31.2. 企业内控与 IT内控的关系 .31.3. IT内控带来的挑战和问题 .4二、 IT内部控制基本原理 .52.1. SOX 中的 IT 内部控制模型 .62.2. 联想网御 IT 内部控制模型 .62.3. IT 内控基本要素的具体内容 .7三、 IT内部控制解决方案 .93.1. 权限管理安全解决方案 .93.2. 基础平台安全解决方案 .103.2.1. 物理资产控制 .113.2.2. 网络系统控制 .1

2、23.2.3. 主机系统控制 .133.3. 关键应用安全解决方案 .133.3.1. 系统建立控制 .143.3.2. 系统使用控制 .153.3.3. 系统变更控制 .153.4. 审计监控安全解决方案 .16四、 IT内部控制方案的价值 .17联想网御 IT 内控解决方案32008年 6月，国家财政部、证监会、审计署、银监会、保监会联合发布了企业内部控制基本规范（以下简称“内控规范” ）,内控规范中对 IT内部控制（以下简称“IT 内控”）提出了较高的要求，所以各企业都将面临 IT内控的合规性检查问题。联想网御作为国内领先的专业安全厂商，通过对内控规范的理解，结合自身的安全实践，提出了

3、企业 IT内控解决方案，帮助企业的 IT内控治理达到内控规范要求。一、 IT内部控制的问题与挑战1.1. 企业内控的背景2001年，安然、世通这些美国著名大公司由于内部舞弊案而倒闭，为了应对诚信危机，挽救全球投资者信心，美国政府于次年颁布并坚定实施了萨班斯法案，严格监管上市公司的内部控制。当前金融风暴席卷全球，且中国经历了 30年跨越式发展，中国企业内部控制比较不规范。为防患于未然，2008 年 6月国家财政部、证监会、审计署、银监会、保监会联合发布了企业内部控制基本规范，企业内部控制基本规范以保障财务报告的真实性、可靠性为核心，提出相应内部控制要求，于 2009年 7月 1日在上市公司范

4、围内施行，鼓励非上市的其他大中型企业执行。企业内部控制能够合理保证企业经营管理的合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护社会经济秩序和公众利益。1.2. 企业内控与 IT 内控的关系在现代企业所有权与经营权分离的背景下，为了防范并揭露错误与弊端，逐步形成了企业内部控制（Internal Control，以下简称“企业内控” ）制度。美国

5、 COSO报告体现了业界对企业内部控制的主流观点，即：内部控制是为取得经营效果和效率、财务报告的可靠性、遵循适当的法令等目标而提供合理保证的一种过程。联想网御参照企业内部控制基本规范设计了企业内部控制模型：联想网御 IT 内控解决方案4内部环境风险评估控制活动信息沟通内部监督控制类别控制要素企业内控规范模型作为业务的支撑，IT 系统已被国内大中型企业高度依赖，尤其是会计电算化的普及，要保障财务相关信息的真实有效，就必须对企业的 IT系统严格控制。IT 内控是信息化管理下企业用以规避潜在风险的一种有效手段，我们认为 IT内控实质上是企业运作过程中

6、涉及 IT 这部分资产的购入、使用及维护等不同阶段的相关内部控制过程，其相应的控制范围包括：IT 控制环境、软硬件的运行和维护、系统和数据的访问、系统开发和系统变更等。根据企业内部控制应用指引-征求意见稿，我们得出企业内控和 IT内控的关系：其他内控IT内控企业内控预算信息披露销售与收款人力资源政策货币资金合同固定资产工程项目对子公司的控制对外投资担保存货筹资成本费用采购与付款财务报告编制计算机信息系统企业内控和 IT内控的关系图联想网御 IT 内控解决方案51.3. IT 内控带来的挑战和问题随着企业业务和 IT 系统的日益融合，IT 成为影响企业内部控制越来越重

7、要的因素， IT 内部控制是信息化管理下企业内部控制的重要组成部分，同时也是企业的内部控制系统中不可缺少的一部分。面对企业长期建立起来的复杂 IT系统，如何建立正确的 IT内控措施，而这些控制措施是否真正有效，又是否能保证符合外部法律法规的要求？这都为我们企业的稳定和长期发展提出了新的挑战。联想网御借以美国萨班斯法案（SOX）IT 内控的实践为基础，结合中国具体国情，并根据我们多年贴近用户的 IT治理经验，概括了目前国内企业 IT内控面临的主要问题：如何保证权责的正确分配？“明确权责分配，正确行使职权”是 IT内控的一个核心思想，这其实也是信息系统安全管理的核心问题，目前国内大多数企业已经制

8、定了相对合理的组织框架，分配了人员职权，但是这些策略、制度是否得到了很好的实施，而又如何对这些策略、制度的执行进行监督，是目前企业面临的主要问题。如何保证 IT基础设施可靠？IT基础设施是整个信息系统的安全保障，IT 内控核心是针对财务相关的 IT系统进行控制。企业在构建 IT基础设施时，必须充分考虑 IT基础设施为财务系统服务的安全性，而目前国内企业的 IT基础设施重心放在了保证业务生产系统上，而忽略了财务系统，如何保证 IT基础设施的可靠性是需要解决和思考的问题。如何保证财务系统安全？财务系统作为 IT内控的核心，如何保证财务数据的保密性、完整性和可用性是 IT内控的重点，而国内企业的

9、现状是：财务系统搭建和开发的重心放在了功能实现上，而较少考虑内部控制的安全要求，如何保证财务系统的安全性是企业长期稳定发展中面临的另一个问题。如何进行审计监督？审计是 IT内控、以及企业内控中最重要的控制手段，通过审计可以及时发现问题，并可对问题的产生进行追溯，从而更好的解决和防范问题。目前国内企业很少有针对 IT内控的审计手段，即使有相应的审计手段，也不能做到对系统进行全面审计，如何利用审计监督使企业的 IT内控达到规范要求也是一个很棘手的问题。联想网御 IT 内控解决方案6二、 IT内部控制基本原理企业内部控制基本规范并没有给出具体的 IT内控标准方法，如何实现企业内部的IT控制，达到

10、企业内部控制基本规范的要求呢？美国 SOX法案的 302、404 条款为 IT内控提出了相应控制要求，该法案已经成功颁布并得到实施，另外企业内部控制基本规范和美国 SOX法案有很多相似之处，所以，美国 SOX法案中的 IT内控方法值得我们借鉴。2.1. SOX 中的 IT 内部控制模型在针对 SOX方案中的 IT内控要求上，美国上市公司普遍采用 COBIT（信息系统和技术控制目标）的 IT内控思想作为企业内控中的 IT内控框架，并结合企业实际情况设计出符合规范要求的 IT内控体系；具体控制措施采用 ISO17779(信息安全管理体系)、ITIL(IT服务管理)等标准中的最佳实践，整合企业原有

11、的控制措施，落实具体的控制方法。下图是 SOX法案中 IT内控模型图：采购和安装计划和组织支付和支持评估和监控SOX法案中企业 IT内控模型图遵循原则控制要素在 SOX 法案中，企业 IT 内控由三个基本面组成：控制要素、控制目标和遵循原则。IT内控要素也是企业的内控要素；控制目标作用在这些控制要素之上；遵循原则为整个 IT 内控的基本准则，也是要求达到的最终效果。通过这几个方面的相互作用，从而实现 IT 内控措施。联想网御 IT 内控解决方案72.2. 联想网御 IT 内部控制模型联想网御的 IT 内控方法是结合我们在 IT 内控中的最佳实践

12、，并参照企业内部控制基本规范的相关要求，开发出了适合中国国情的 IT 内控模型。联想网御的 IT 内部控制模型由三个基本面组成：IT 内控基本要素，IT 内控基本属性和对应的 IT 资源，对应关系如下图所示： IT 内控的基本要素IT 内控的基本要素是 IT 内控的主要内容，包含：角色管理与授权审批，信息资源访问控制，系统开发、变更与维护控制，硬件及其他配套设备控制和财务相关应用系统的控制五个方面。企业内控中的 IT 资源IT 资源是 IT 内控的对象，按照 IT 系统的层次可分为：基础设施、应用系统和业务流程三个层面。 IT 内控的基本属性IT 的基本属性是 IT 内控的实现目标，可分为：

13、安全可靠、业务连续、法规符合、稳定高效 4 个属性。通过对上述三个方面的实现，最终形成了一个立体的、多层次的、科学的联想网御 IT联想网御 IT 内控解决方案8内控模型。2.3. IT 内控基本要素的具体内容根据企业内部控制应用指引-征求意见稿的要求和对 IT内控的理解，我们认为企业 IT内控应该围绕财务及业务系统来进行，通过对财务及业务系统的数据、流程以及相关IT基础设施的控制来实现，各 IT内控要素和系统各层面对应关系如下图所示：IT 基础设施应用系统业务流程角色管理与授权审批信息资源访问控制财务相关应用系统的控制

14、角色管理与授权审批信息资源访问控制财务相关应用系统的控制系统开发、变更与维护控制角色管理与授权审批信息资源访问控制系统开发、变更与维护控制硬件及其他配套设备控制IT内控基本要素对应关系图以下是各个控制要素具体内容的简单介绍：1) 角色管理与授权审批根据企业内部控制要素之一的内部环境控制要求：对结构治理、机构设置、权责分配、内部审计、人力资源政策、企业文化等方面进行控制

15、。与其相对应的 IT 内控目标反映在对角色管理和授权审批的控制，主要内容包含：责任岗位的合理设置、岗位权责的合理分配、授权审批的正确流程等。2) 信息资源访问控制对信息系统的访问控制体现在对财务数据各种安全属性的保护上，主要内容包含：对信息系统的正确操作；对访问数据的权限设置；对用户访问权限的管理；对访问控制安全措施的实现；对数据信息进行分级、分域保护以及对数据的备份恢复等。3) 系统开发、变更与维护控制联想网御 IT 内控解决方案9IT 应用系统作为业务和财务的支撑，

16、需要做得到严格控制，在应用系统的整个生命周期中的控制包括：系统的开发设计过程充分考虑业务和信息的集成性，优化处理流程，将相应的处理规则嵌入到系统程序中，对开发的功能进行备案和审核，并对外包第三方进行控制；在系统上线前需要制定详细的上线计划、明确的回退计划和数据迁移计划等；在系统投入使用前应进行整体测试和用户验收；系统上线后，对任何变更，应由相关部门审批后执行；在整个运维阶段，保证应用系统的可用性，制定系统备份恢复、应急响应等安全保护措施。4) 硬件及其他配套设备控制硬件环境作为构建 IT 系统的基础，需要建立严格的硬件管理制度，对更新、扩充、修复、报废、流转等情况进行登记；硬件应放置在合适的物

17、理环境中，由专人负责；物理环境的建设和配置需符合国家相关标准要求；需有硬件设备的使用、异常处理的制度，并严格按照制度处理故障。5) 财务相关应用系统的控制对财务相关应用系统的控制是整个 IT 内控最为关键部分，是保证企业财务报告可靠的重要手段，控制内容如下：对财务应用系统业务流程的控制，规范记账、算账、保障等流程，降低人为的会计舞弊风险；建立完善的财务系统操作管理制度、规范，实现职责分离；并保障财务数据的可用性、完整性和保密性。三、 IT内部控制解决方案在联想网御 IT内控的方法论的基础上，我们为企业 IT内控提供了一揽子解决方案。我们的解决方案在帮助企业达到 IT内控要求的过程中，充分利用企

18、业已有资源，努力做到企业的成本/收益最大化。我们认为：严格的权限管理、稳固的信息基础平台、安全的应用系统和全面的审计监控是保证 IT内控合规四大核心要素，我们针对这四大要素提出了 IT内控解决方案，企业可根据实际情况，选择并组合这些解决方案，最终形成贴合自身需求的 IT内控解决方案。3.1. 权限管理安全解决方案在企业内部控制中，IT 的组织架构及人员控制是保证企业经营管理合法合规、资产安全以及财务报告和相关信息真实完整，提高企业的经营效率和效益的关键组成部分。其核心问题就是“明确权责分配，正确行使职权” 。联想网御从产品和服务两种途径帮助企业实现 IT内控中的权限管理，解决方案如下图所示：联

19、想网御 IT 内控解决方案10联想网御 IT内控咨询服务机构层面部门层面系统层面权限管理安全解决方案组织架构人员岗位岗位职责审批流程联想网御安全审计系统组织架构人员岗位岗位职责审批流程组织架构人员岗位岗位职责审批流程人员权责划分及审批流程用户行为安全审计报告联想网御 IT内控咨询服务联想网御提供 IT内控咨询服务，帮助企业梳理组织架构和区分人员权责，并协助企业建立合理的组织架构，从信息系统的战略设计、人员岗

20、位设置、人员职责范围等方面建立起相关的策略、标准和制度等。从机构组织的角度，我们分别从机构层面、部门层面和系统层面进行控制。联想网御安全审计系统帮助企业建立起相关策略和制度后，使用联想网御 IT内控安全审计系统，监控各个层面的人员是否越权访问、篡改数据、滥用权利等，联想网御安全审计系统不同与一般审计产品，其特点在于可以实现统一控制、集中审计，并且审计覆盖 IT信息系统的绝大多数类型，能满足企业内部控制要求的审计、监督要求。通过联想网御的解决方案，能帮助企业实现清晰的权责分配和权限管理，达到企业 IT内控要求。3.2. 基础平台安全解决方案信息基础设施是构成信息系统的基础，如果信息平台的安全性得不到保证，那应用和数据安全也无从谈起，我们从信息平台最基本的三个层面来进行分别实现：物理资产、网络系统和主机系统，解决方案如下表所示：

展开阅读全文