国内企业的IT内控解决方案.doc

国内企业的IT内控解决方案一、IT内部控制的问题与挑战当前金融风暴席卷全球，且中国经历了30年跨越式发展，中国企业内部控制不太规范。为防患于未然，2008年6月国家财政部、证监会、审计署、银监会、保监会联合发布了企业内部控制基本规范，企业内部控制基本规范以保障财务报告的真实性、可靠性为核心，提出相应内部控制要求，于2009年7月1日在上市公司范围内施行，鼓励非上市的其他大中型企业执行，其作用等同于美国的萨班斯法案（SOX）。企业内控要达到的目的有三个：一是提高企业资源利用的效率与效果；二是要保证财务报告的真实性和可靠性，三是要保证企业经营符合相关法律和法规。作为业务的支撑，IT系统已被国内大中型企业高度依赖，尤其是会计电算化的普及，要保障财务相关信息的真实有效，就必须对企业的IT系统严格控制。联想网御借以美国萨班斯法案（SOX）IT内控的实践为基础，结合中国具体国情，并根据我们多年贴近用户的IT治理经验，概括了目前国内企业IT内控面临的主要问题：如何保证权责的正确分配？如何保证IT基础平台可靠？如何保证关键应用安全？如何进行审计监督？二、IT内部控制基本原理美国SOX法案作为成功颁布并实施的一个法案，它的IT内控方法值得我们借鉴。在针对SOX方案中的IT内控要求上，美国上市公司普遍采用COBIT（信息系统和技术控制目标）的IT内控思想作为企业内控中的IT内控框架，并结合企业实际情况设计出符合规范要求的IT内控体系；具体控制措施采用ISO17779(信息安全管理体系)、ITIL(IT服务管理)等标准中的最佳实践，整合企业原有的控制措施，落实具体的控制方法。2.1 联想网御IT内部控制模型联想网御的IT内控方法是结合我们在IT内控中的最佳实践，并参照企业内部控制基本规范的相关要求，开发出了适合中国国情的IT内控模型。联想网御的IT内部控制模型由三个基本面组成：IT内控基本要素，IT内控的基本要求和对应的IT资源，对应关系如下图所示：联想网御企业IT内控模型通过对上述三个方面的实现，最终形成了一个立体的、多层次的、科学的联想网御IT内控模型。2.2 IT内控基本要素的具体内容根据企业内部控制应用指引-征求意见稿的要求和对IT内控的理解，我们认为企业IT内控应该围绕财务及业务系统来进行，具体是通过对财务及业务系统的数据、流程以及相关IT基础设施的控制来实现，重点是完善以下几个方面的控制：1) 角色管理与授权审批2) 信息资源访问控制3) 系统开发、变更与维护控制4) 硬件及其他配套设备控制5) 财务相关应用系统的控制三、IT内部控制解决方案在联想网御IT内控的方法论的基础上，我们为企业IT内控提供了一揽子解决方案。我们的解决方案在帮助企业达到IT内控要求的过程中，充分利用企业已有资源，努力做到企业的成本/收益最大化。我们认为：严格的权限管理、稳固的信息基础平台、安全的应用系统和全面的审计监控是保证IT内控合规四大核心要素，我们针对这四大要素提出了IT内控解决方案，企业可根据实际情况，选择并组合这些解决方案，最终形成贴合自身需求的IT内控解决方案，如下图所示：联想网御IT内控解决方案3.1 权限管理安全解决方案在企业内部控制中，IT的组织架构及人员控制是保证企业经营管理合法合规、资产安全以及财务报告和相关信息真实完整，提高企业的经营效率和效益的关键组成部分。其核心问题就是“明确权责分配，正确行使职权”。联想网御从产品和服务两种途径帮助企业实现IT内控中的权限管理，解决方案如下：联想网御IT内控咨询服务联想网御提供IT内控咨询服务，帮助企业梳理组织架构和区分人员权责，并协助企业建立合理的组织架构，从信息系统的战略设计、人员岗位设置、人员职责范围等方面建立起相关的策略、标准和制度等。联想网御安全审计系统帮助企业建立起相关策略和制度后，使用联想网御IT内控安全审计系统，监控各个层面的人员是否越权访问、篡改数据、滥用权利等，联想网御安全审计系统不同与一般审计产品，其特点在于可以实现统一控制、集中审计，并且审计覆盖IT信息系统的绝大多数类型，能满足企业内部控制要求的审计、监督要求。通过联想网御的解决方案，能帮助企业实现清晰的权责分配和权限管理，达到企业IT内控要求。3.2 基础平台安全解决方案信息基础设施是构成信息系统的基础，如果信息平台的安全性得不到保证，那应用和数据安全也无从谈起，我们从信息平台最基本的三个层面来进行分别实现：物理资产、网络系统和主机系统，针对每个层面的具体控制，我们都有相应的产品和服务来支撑，如下表所示：通过使用我们的产品和服务手段，对物理、主机、网络的权责分配、访问控制等方面的控制，使信息基础平台达到IT内控要求。3.3 关键应用安全解决方案业务、财务系统作为IT内控的主要控制目标，其安全性直接影响企业的经营，而财务系统又是IT内控中最主要的控制目标。不管业务系统还是财务系统，我们站在IT系统角度来看，都可以把他们归类为应用系统，对应用系统的控制，需要对其生命周期的各个阶段控制，我们把控制分为三个阶段：系统建立、系统使用和系统变更。针对应用系统生命周期每个过程的具体控制，我们都有相应的产品和服务来支撑实现，如下表所示：通过使用我们的产品和服务手段，对应用系统进行开发管控、上线管控、第三方管控、变更管理等实现对关键应用的控制，保证业务、财务数据安全。3.4 审计监控安全解决方案为满足企业IT内控需求，规避潜在的安全风险，联想网御除提供有针对性的IT内控咨询、风险评估等安全服务外，还推出了专门针对IT内控的安全审计产品，该产品利用了联想网御安全管理系统为平台，有效的审计、监控企业内部IT资源环境。能够解决企业当前在访问控制及审计措施方面所面临的主要问题，主要功能如下：1) 日志管理系统实现网络日志收集、主机日志收集、应用日志收集、数据库日志收集、其他日志收集以及日志的备份及恢复等。2) 审计系统功能实现问题识别、问题优先级确定、问题响应流程、问题取证、日志的保留及报表功能等。3) 安全管理平台统一安全管理平台是整个系统运行的基础，向其它系统传递配置参数，包括服务运行状态、参数设置、账号数据、审计策略、安全策略设置及报表生成等。四、IT内部控制方案的价值联想网御的IT内控解决方案，从业务流程、应用系统与基础设施三个维度，通过IT内控解决方案集，帮助用户打造清晰的权责控制、稳固的信息基础设施、安全的关键应用和全面的安全审计