内部控制指引-18号ppt.ppt

,SEC,MIN,SEC,MIN,SEC,MIN,SEC,MIN,SEC,MIN,SEC,MIN,START,企业内部控制,财务0802 18小组,信息系统,8,小组分工,word制作,马莹 胡灿,丁奕婷,ppt制作,方进玄,主讲人,9,1,2,3,4,5,概述,信息系统风险分析,风险控制点,主要风险控制措施,案例分析,演讲流程,10,1,概述,第一部分,11,概述,信息系统及蕴含在系统中的信息已成为企业的隐性资产，成为企业核心竞争能力的重要组成部分。,信息系统已经成为许多企业日常运营的主要工作平台，业务过程对信息技术的依赖也日趋严重。,企业管理者为保障企业IT支持企业的战略目标的实现而进行的领导、组织架构设计和处理的过程就是IT治理过程，价值、风险和控制构成了IT治理的核心。,成功的企业大都已构建起强大的信息系统，充分认识并利用信息技术带来的收益为各利益相关方创造价值。,为了保证信息的质量、可信和安全，人们已经意识到企业管理的关键要素之一就是要保证IT的价值、管理与IT有关的风险、增加对信息控制要求。,12,1,2,概述,信息系统风险分析,第二部分,13,信息系统风险分析,信息系统开发和运行风险,信息系统的舞弊,信息系统固有的脆弱性和缺陷,信息系统应用和管理的问题,14,信息系统风险分析,软件系统的脆弱性,硬件的脆弱性,网络和通信协议,信息系统固有的脆弱性和缺陷,软件系统的安全隐患来源于设计和软件工程实施中的遗留问题。,信息系统硬件组件的安全隐患多数来源于设计，主要表现为物理安全方面的问题。,互联网是一个没有明确物理界限的网际，而TCP/IP协议栈在设计时考虑了互联互通和资源共享的问题，无法兼容解决来自网际的大量安全问题。,15,信息系统风险分析,16,信息系统风险分析,企业规模大，信息系统的结构就会复杂，发生信息错误的机会增多 。,授权文件或注册系统的密码一旦被冒用或一人掌握多个级别操作密码,权限就会失控。,信息系统中，业务人员可能一人身兼多个职能，极易出现错弊。,信息系统应用和管理的问题,数据完整性较难保证,授权管理的问题,职责分离失效,17,信息系统风险分析,信息系统开发和运行风险,3.系统运行维护和安全措施不到位，可能导致信息泄漏或毁损，系统无法正常运行。,2.系统开发不符合内部控制要求，授权管理不当，可能导致无法利用信息技术实施有效控制。,1.信息系统缺乏或规划不合理，可能造成信息孤岛或重复建设，导致企业经营管理效率低下。,18,1,2,3,概述,信息系统风险分析,风险控制点,第三部分,19,风险控制点,1.信息安全,2.物理安全和环境控制,3.病毒防御, 信息安全政策 逻辑安全 用户授权流程 关键应用系统访问管理规定 操作系统安全管理规定 数据库安全管理规定 信息系统密码管理策略 系统管理员管理策略, 机房管理规定 机房访问日志 机房访问授权清单, 病毒防御政策 病毒扫描和病毒库更新记录,信息系统控制的基本内容 ：,20,4.信息系统日常运作,5.应用系统实施与维护,6.应用系统实施与维护,IT部门日常工作制度 非紧急事件处理程序 紧急事件处理程序 问题管理处理程序 系统运行监控 用户培训记录 IT热线 数据库文件检查记录,应用系统开发与维护政策和制度 系统需求管理 系统变更管理 系统设计和开发 系统测试管理 系统发布管理 系统上线管理 系统版本管理 系统实施用户培训记录 系统实施评估,应用系统开发与维护政策和制度 系统需求管理 系统变更管理 系统设计和开发 系统测试管理 系统发布管理 系统上线管理 系统版本管理 系统实施用户培训记录 系统实施评估,风险控制点,21,风险控制点, 数据库字典更新和维护规范 数据库管理员权限和用户权限管理 数据库结构修改流程 后台数据库修改流程, 备份策略 备份时间表和日志复合记录 数据恢复测试计划 灾难恢复应急预案, 网络使用和维护制度 网络拓扑结构 网络设备上线测试制度 网络参数调整变更管理制度 网络日常监控,8.灾备与业务持续计划,9.网络支持,7.数据库支持与实施,22,风险控制点,10.硬件支持,11.系统软件支持,12. 应用控制, 硬件设备使用和维护制度 硬件设备拓扑结构 硬件设备设备采购制度 硬件设备安装测试 硬件设备升级管理 硬件设备日常监控, 系统软件采购控 系统软件变更和测试 系统软件参数设置 管理层对变更的审批, 输入控制 输出控制 访问控制 处理控制 职责分离,23,1,2,3,4,概述,信息系统风险分析,风险控制点,信息系统主要风险控制措施,第四部分,24,信息系统主要风险控制措施,会计信息系统控制,信息系统的运行与维护控制,信息系统控制类型,信息安全控制,信息系统的开发过程的控制,25,信息系统主要风险控制措施,一般控制在人员控制、逻辑访问控制、设备和业务连续性这些方面进行控制。,应用控制与管理政策配合，对程序和输入、处理和输出数据进行适当的控制 。,最常用的网络控制有防火墙、数据加密、授权和病毒等的防护。,在软件采购和软件使用环节进行软件使用及盗版的控制。,26,信息系统主要风险控制措施,对未经授权的访问造成的后果提出修正的方法。,日志能够保存那些未经授权的访问记录。,确定可能的问题并提出适当的控制。,将发生风险的可能降至最低，例如，防火墙可以防止未经授权的访问。,(二)信息安全控制,27,信息系统主要风险控制措施,（三）信息系统的开发过程控制,企业应当根据信息系统建设整体规划提出项目建设方案，明确建设目标、人员。,企业开发信息系统应当将生产经营管理业务流程、关键控制点和处理规则嵌入系统程序，实现手工环境下难实现的控制功能。,管理部门应加强信息系统开发全过程的跟踪管理，组织开发单位与内部各单位的沟通和协调，督促开发单位按建设方案、计划进度和质量要求。,企业应组织独立于开发单位的专业机构对开发完成的信息系统进行验收测试，确保在功能、性能、控制要求和安全性等方面符合开发需求。,企业应当切实做好信息系统上线的各项准备工作，培训业务操作和系统管理人。,28,信息系统主要风险控制措施,（四）信息系统的运行与维护控制 ：,企业应当加强信息系统运行与维护的管理，制定信息系统工作程序、信息管理。制度以及各模块子系统的具体操作规范，及时跟踪、发现和解决系统运行中存在的问题，确保信息系统按照规定的程序、制度和操作规范持续稳定运行。,企业应根据业务性质、重要性程度、涉密情况等确定信息系统的安全等级，建立不同等级信息的授权使用制度，采用相应技术手段保证信息系统运行安全有序。, 企业应当建立用户管理制度，加强对重要业务系统的访问权限管理，定期审阅系统账号，避免授权不当或存在非授权账号，禁止不相容职务用户账号的交叉操作。,29,信息系统主要风险控制措施, 企业应当综合利用防火墙、路由器等网络设备，漏洞扫描、入侵检测等软件技术以及远程访问安全策略等手段，加强网络安全，防范来自网络的攻击和非法侵入。, 企业应当建立系统数据定期备份制度，明确备份范围、频度、方法、责任人、存放地点、有效性检查等内容。, 企业应当加强服务器等关键信息设备的管理，建立良好的物理环境，指定专人负责检查， 及时处理异常情况。未经授权， 任何人不得接触关键信息设备。,30,信息系统主要风险控制措施,1组织控制,3资源控制,2操作控制,4应用控制,将组织作为控制的对象和手段，通过建立起具有控制能力的组织结构、采用满足控制要求的组织流程、构筑认同和重视控制的组织文化，达到控制的目标。,硬件资源控制 软件资源控制 数据资源控制 档案资料控制,操作控制主要是建立和实施操作管理制度，对系统使用、操作规程和会计业务处理几方面做出规定。,应用控制是对具体业务处理过程实施的控制。,（五）会计信息系统控制：,31,1,2,3,4,5,概述,信息系统风险分析,风险控制点,主要风险控制措施,案例分析,第五部分,32,案例分析,（一）公司简介,申银万国证券股份有限公司是我国较知名的证券公司之一，也是国内最早实行会计电算化的证券公司。早在1993年公司就开始试用财务系统，并于1996年在全公司推广使用。 当时使用的运行在NOVELL网上的6.03DOS版用友账务系统为申银万国公司的财务工作起了重要的作用，把财务人员从手工操作的繁重低效劳动中解放了出来。 但是随着公司业务的不断拓展和规模的扩大，原有单机版分散化财务信息系统固有的缺陷给集团公司的管理带来一系列问题，已经不能适应申银万国公司现代化管理的需要。,案例分析,2000年8月开始实施“申银万国证券股份有限公司财务管理信息系统”。,原有系统相对分散独立,整合性差，不能满足集中式管理要求,证券业务系统与财务不能实现数据共享和传递,案例分析,解决方案,面向整体化管理,采用一体化设计思路，彻底实现了数据的共享、交换和再应用。,系统提供了理想的安全性保障功能，保证系统的安全