風(fēng)險(xiǎn)、控制與評(píng)估方法

中國電信股份公司 企業(yè)信息化部 世界觸手可及 2016/7/16 信息技術(shù)一般性控制 風(fēng)險(xiǎn)、控制與評(píng)估方法 讓客戶盡情享受信息新生活 中國電信 2 課件提綱 2 1 一般性控制介紹 關(guān)于集團(tuán)下發(fā)的 3 一般性控制的 4 一般性控制審計(jì)軟件簡介 5 讓客戶盡情享受信息新生活 中國電信 3 1、 信息技術(shù)對(duì)財(cái)務(wù)報(bào)表的有著直接的影響； 對(duì)于電信公司主業(yè)而言，其生產(chǎn)經(jīng)營行為所依賴的平臺(tái)都是信息系統(tǒng)，如交換網(wǎng)、智能網(wǎng)、計(jì)費(fèi)系統(tǒng)、結(jié)算系統(tǒng) 此外，隨著管理支撐系統(tǒng)（ 推廣，各省普遍建立起了相應(yīng)的財(cái)務(wù)、工程、資金、 此，信息系統(tǒng)廣泛用于業(yè)務(wù)、財(cái)務(wù)流程中，對(duì)財(cái)務(wù)報(bào)告有著直接的影響。 1）信息技術(shù)對(duì)財(cái)務(wù)報(bào)表的影響 網(wǎng)絡(luò) / 信息系統(tǒng) 會(huì)計(jì)科目 / 報(bào)表 對(duì)于 業(yè)務(wù)流程 控制缺陷 顯著缺陷 實(shí)質(zhì)性 漏洞 信息技術(shù)控制 36% 22% 21% 收入確認(rèn) 13% 10% 6% 固定資產(chǎn) 10% 7% 9% 財(cái)務(wù)報(bào)告和結(jié)賬 9% 16% 12% 采購付款 9% 13% 12% 人力資源（工資和福利費(fèi)用） 8% 6% 15% 讓客戶盡情享受信息新生活 中國電信 4 1、 2） 董事會(huì) 執(zhí)行管理層 業(yè)務(wù)及服務(wù)部門 公司治理和 理都是市場（含政府）他律的機(jī)制，是如何 “ 管好管理者 ” 的機(jī)制，其目標(biāo)也是一致的：達(dá)到業(yè)務(wù)永續(xù)運(yùn)營，并增加組織的長期獲利機(jī)會(huì)。 企業(yè)治理側(cè)重于企業(yè)整體規(guī)劃， 理側(cè)重于企業(yè)中信息資源的有效利用和管理 。 證實(shí) 略與企業(yè)戰(zhàn)略一致 證實(shí) 過明確的期望和衡量手段交付 指導(dǎo) 略、平衡支持企業(yè)成長的投資 指導(dǎo)信息資源的分配 制訂 目標(biāo) 分析和決策新技術(shù)的機(jī)遇和風(fēng)險(xiǎn) 明晰關(guān)鍵過程、構(gòu)建核心競爭力 信息服務(wù)的提供和支持 讓客戶盡情享受信息新生活 中國電信 5 1、 2） 股東價(jià)值 驅(qū)動(dòng) 路線 價(jià)值交付 績效評(píng)估 風(fēng)險(xiǎn)管理 資源管理 來源： 東價(jià)值驅(qū)動(dòng)著 這五個(gè)領(lǐng)域中，價(jià)值交付和風(fēng)險(xiǎn)管理是 略路線、績效評(píng)估和資源管理是驅(qū)動(dòng)因素。 讓客戶盡情享受信息新生活 中國電信 6 1、 2） 業(yè)務(wù)應(yīng)用 需求 驅(qū)動(dòng) 驅(qū)動(dòng) 使動(dòng) 驅(qū)動(dòng) 驅(qū)動(dòng) 驅(qū)動(dòng) 驅(qū)動(dòng) 來源： 述 定義業(yè)務(wù)和技術(shù)的一體化和標(biāo)準(zhǔn)化的要求 決定保證有效 平衡業(yè)務(wù)需求和整體構(gòu)架之間的矛盾 明確項(xiàng)目的選擇及資源分配 對(duì) T？ 對(duì) 企業(yè)需要規(guī)劃和構(gòu)建的有效的 含基礎(chǔ)設(shè)施、數(shù)據(jù)和應(yīng)用和組件的構(gòu)架； 對(duì) 有效 礎(chǔ)設(shè)施需要保證共享的、可靠的服務(wù)，并可用于多個(gè)應(yīng)用。 對(duì)業(yè)務(wù)應(yīng)用需求的決策需闡明： 怎樣平衡企業(yè)業(yè)務(wù)需求和企業(yè)整體標(biāo)準(zhǔn)構(gòu)架之間的矛盾。 對(duì) 讓客戶盡情享受信息新生活 中國電信 7 1、 2） 讓客戶盡情享受信息新生活 中國電信 8 1、 國際上公認(rèn)的 國際信息系統(tǒng)審計(jì)協(xié)會(huì)（ 南和標(biāo)準(zhǔn)案例 國際內(nèi)部審計(jì)師協(xié)會(huì) (全球技術(shù)審計(jì)指南（ 國際標(biāo)準(zhǔn)化組織（ 0000 & 27000 ( 軟件成熟度模型 ( 2） 其中， 讓客戶盡情享受信息新生活 中國電信 9 資源 管理 根據(jù) 與戰(zhàn)略的一致性 風(fēng)險(xiǎn)管理 資源管理 業(yè)績管理 1、 2） 讓客戶盡情享受信息新生活 中國電信 10 1、 2） 績效和 業(yè)務(wù)目標(biāo) 合規(guī)： 如 企業(yè)治理 9001:2000 17799 20000 最具實(shí)踐標(biāo)準(zhǔn) 質(zhì)量保障 流程 過程和流程 業(yè)務(wù)驅(qū)動(dòng) 全原則 平衡 記分卡 讓客戶盡情享受信息新生活 中國電信 11 1、 3） 一個(gè)企業(yè)的業(yè)務(wù)目標(biāo)極大地依賴于所獲得數(shù)據(jù)和信息的可靠性和及時(shí)性。信息技術(shù)內(nèi)部控制框架（如： 一個(gè)全面的控制框架以保證價(jià)值的交付、風(fēng)險(xiǎn)管理和對(duì)于數(shù)據(jù)和信息的控制。 業(yè)務(wù)目標(biāo) 信息 源 程 戰(zhàn)略 運(yùn)營 報(bào)告 合規(guī) 信息技術(shù)控制 （如 讓客戶盡情享受信息新生活 中國電信 12 1、 3） 治理 2005 管理 2000 控制 1998 審計(jì) 1996 變化 讓客戶盡情享受信息新生活 中國電信 13 企業(yè)的業(yè)務(wù)目標(biāo) 和治理目標(biāo) 高效性 應(yīng)用程序 信息 基礎(chǔ)架構(gòu) 人員 服務(wù) 和支持 監(jiān)控 和評(píng)價(jià) 獲得 與實(shí)施 信息 C O B I T 控制框架 有效性 保密性 完整性 可獲得性 一致性 定義及管理服務(wù)級(jí)別 管理第三方服務(wù) 管理性能和能力 確保連續(xù)性服務(wù) 確保系統(tǒng)安全 辨別與分配成本 培訓(xùn)用戶 協(xié)助與建議客戶 管理配置 管理問題與事件 管理數(shù)據(jù) 管理設(shè)施 管理操作 監(jiān)控流程 估內(nèi)部控制適度 得獨(dú)立保證 供獨(dú)立審計(jì) 制定 定義信息體系結(jié)構(gòu) 確定技術(shù)方向 定義 管理 溝通目標(biāo)與方向 管理人力資源 確保合乎外部需求 評(píng)估風(fēng)險(xiǎn) 管理項(xiàng)目 管理質(zhì)量 審視解決方案 采購與維護(hù)應(yīng)用軟件 采購與維護(hù)技術(shù)基礎(chǔ)設(shè)施 開發(fā)與維護(hù)程序 安裝與授權(quán)系統(tǒng) 理變更 計(jì)劃 與組織 可靠性 1、 3） 讓客戶盡情享受信息新生活 中國電信 14 公司層面控制 一般性控制 應(yīng)用控制 1、 4）中國電信 讓客戶盡情享受信息新生活 中國電信 15 1、 4）中國電信 信息技術(shù)應(yīng)用程序控制 應(yīng)用程序控制 完整性 準(zhǔn)確性 真實(shí)性 授權(quán) 職責(zé)分離 公司層面信息技術(shù)控制 公司層面信息技術(shù)控制 控制環(huán)境 風(fēng)險(xiǎn)評(píng)估 信息和溝通 監(jiān)控 一般性控制 程序開發(fā) 程序變更 計(jì)算機(jī)運(yùn)行 程序和數(shù)據(jù)訪問 終端用戶計(jì)算機(jī)應(yīng)用 信息技術(shù)一般性控制 業(yè)務(wù)受理流程 計(jì)費(fèi)帳務(wù)流程 資產(chǎn)管理流程 營業(yè)性支出流程 計(jì)費(fèi)帳務(wù)系統(tǒng) 固定資產(chǎn)系統(tǒng) 財(cái)務(wù)系統(tǒng) 業(yè)務(wù)流程 信息系統(tǒng) 控制體系 包括 34個(gè)流程 包括 12大類系統(tǒng) 每個(gè)系統(tǒng)包含四個(gè)控制領(lǐng)域 讓客戶盡情享受信息新生活 中國電信 16 16集團(tuán)數(shù)據(jù)交換樞紐 集團(tuán) 省公司 地市 企業(yè)應(yīng)用集成（ 企業(yè)應(yīng)用集成（ 資源域 企業(yè)外部門戶 集團(tuán) 團(tuán)計(jì)費(fèi)結(jié)算 系統(tǒng) 企業(yè)內(nèi)部門戶 管理支撐系統(tǒng) 綜合服務(wù)開通 集團(tuán) 綜合資源 集團(tuán)綜合服務(wù)網(wǎng)絡(luò)保障 服務(wù) 開通 綜合網(wǎng)絡(luò)資源 綜合網(wǎng)絡(luò) 管理 施工調(diào)度 綜合網(wǎng)絡(luò) 管理 自動(dòng)激活 企業(yè)內(nèi)部門戶 管理支撐系統(tǒng) 企業(yè)外部門戶 戶 認(rèn)證 平臺(tái) 客戶 認(rèn)證 平臺(tái) 融合 計(jì)費(fèi) 充值 平臺(tái) 綜合 結(jié)算 采集 預(yù)處理 生產(chǎn) 分析域 營型 數(shù)據(jù)應(yīng)用 綜合服務(wù)保障 自動(dòng)激活 服務(wù)保障 專業(yè)網(wǎng)絡(luò)管理 產(chǎn) 分析域 析型 數(shù)據(jù)應(yīng)用 專業(yè)網(wǎng)絡(luò)管理 生產(chǎn) 分析域 營型 數(shù)據(jù)應(yīng)用 生產(chǎn) 分析域 析型 數(shù)據(jù)應(yīng)用 專業(yè)網(wǎng)絡(luò)管理 重點(diǎn) 、中國電信 1）中國電信系統(tǒng)架構(gòu)概覽圖 已經(jīng)納入內(nèi)控體系的系統(tǒng)范圍 讓客戶盡情享受信息新生活 中國電信 17 企業(yè)經(jīng)營分析 2、中國電信 1）中國電信系統(tǒng)架構(gòu)概覽（續(xù)） 運(yùn)營服務(wù) 內(nèi)控 企業(yè)外部門戶 集團(tuán) 團(tuán)計(jì)費(fèi)結(jié)算 系統(tǒng) 客戶 認(rèn)證 平臺(tái) 合服務(wù)開通 集團(tuán) 綜合資源 集團(tuán)綜合服務(wù)網(wǎng)絡(luò)保障 綜合服務(wù)保障 專業(yè)網(wǎng)絡(luò)管理 產(chǎn) 分析域 營型 數(shù)據(jù)應(yīng)用 生產(chǎn) 分析域 析型 數(shù)據(jù)應(yīng)用 業(yè)內(nèi)部門戶 管理支撐系統(tǒng) 前內(nèi)控審計(jì) /財(cái)務(wù)報(bào)表審計(jì)的重點(diǎn) 對(duì)于企業(yè)運(yùn)營狀況、對(duì)內(nèi)對(duì)外服務(wù)質(zhì)量等進(jìn)行審計(jì) 對(duì)于經(jīng)營分析、市場策略等經(jīng)營行為的審計(jì) 審計(jì)范疇 系統(tǒng)范圍 讓客戶盡情享受信息新生活 中國電信 18 18 企業(yè)信息化部 總 部 省 本 地 網(wǎng) 企業(yè)信息化部 應(yīng)用管理 數(shù)據(jù)管理 業(yè)務(wù)支撐管理 規(guī)劃與標(biāo)準(zhǔn) 企業(yè)信息化部 應(yīng)用管理 數(shù)據(jù)管理 業(yè)務(wù)支撐管理 規(guī)劃與標(biāo)準(zhǔn) 本地需求與配置 數(shù)據(jù)分析應(yīng)用 賬務(wù)處理 2）中國電信 2、中國電信 屬于目前處于規(guī)劃中的職能分類 讓客戶盡情享受信息新生活 中國電信 19 2、中國電信 3）中國電信各類信息系統(tǒng)匯總 內(nèi)控范圍 12大類系統(tǒng) 非收入類 務(wù)系統(tǒng) 計(jì)劃建設(shè) 人力資源 網(wǎng)絡(luò)類 承載網(wǎng) 網(wǎng)絡(luò)基礎(chǔ) 收入類 費(fèi)系統(tǒng) 結(jié)算系統(tǒng) 營業(yè)系統(tǒng) 大客戶系統(tǒng) 智能網(wǎng) 客戶服務(wù) 未納入內(nèi)控 范圍系統(tǒng) 營型數(shù)據(jù) 析型數(shù)據(jù) 服務(wù)開通系統(tǒng) 綜合保障系統(tǒng) 綜合網(wǎng)管系統(tǒng) 專業(yè)網(wǎng)管系統(tǒng) 其他 讓客戶盡情享受信息新生活 中國電信 20 2、中國電信 4） 系統(tǒng)類別 對(duì)財(cái)務(wù)報(bào)告的影響程度 對(duì)企業(yè)運(yùn)營的重要程度 對(duì)企業(yè)經(jīng)營決策的影響程度 存在 可能存在的缺陷的影響舉例 部分省的專線出租業(yè)務(wù)未全部納入資源系統(tǒng)管理，或雖納入系統(tǒng)管理，但數(shù)據(jù) /信息不準(zhǔn)確，導(dǎo)致計(jì)算收入的多計(jì) /少計(jì)； 由于信息源頭的數(shù)據(jù)質(zhì)量，影響 最終影響企業(yè)經(jīng)營決策； 讓客戶盡情享受信息新生活 中國電信 21 課件提綱 2 1 一般性控制介紹 關(guān)于集團(tuán)下發(fā)的 3 一般性控制的 4 一般性控制審計(jì)軟件簡介 5 讓客戶盡情享受信息新生活 中國電信 22 1. 總體介紹 信息技術(shù)一般性控制并不針對(duì)某一特定應(yīng)用系統(tǒng)，而強(qiáng)調(diào)的是信息系統(tǒng)所處的整體信息技術(shù)環(huán)境，是其他基于信息系統(tǒng)的應(yīng)用控制措施的基礎(chǔ)。它主要包括如下五個(gè)部分： 二、一般性控制介紹 計(jì)算機(jī)運(yùn)行維護(hù) 程序開發(fā) 最終用戶計(jì)算 程序變更 / 變更管理 對(duì)程序和數(shù)據(jù)的訪問 讓客戶盡情享受信息新生活 中國電信 23 二、一般性控制介紹 2. 對(duì)程序和數(shù)據(jù)的訪問 （ 1）控制目標(biāo) 1. 對(duì)于與財(cái)務(wù)報(bào)告相關(guān)的信息，公司應(yīng)制定相關(guān)的信息安全管理政策并使員工意識(shí)到信息安全的重要性。 2. 對(duì)公司信息技術(shù)資源的物理訪問及邏輯訪問已建立起通過用戶身份的識(shí)別，認(rèn)證及授權(quán)的管理機(jī)制，以降低由于對(duì)系統(tǒng)及數(shù)據(jù)未經(jīng)授權(quán)的訪問所帶來的風(fēng)險(xiǎn)。 3. 建立相關(guān)流程以確保用戶添加、修改、刪除都經(jīng)過管理層授權(quán)，及相關(guān)操作的準(zhǔn)確性和及時(shí)性。 4. 確保定期對(duì)系統(tǒng)中用戶的訪問權(quán)限進(jìn)行審閱，以減少未經(jīng)授權(quán)或不適當(dāng)?shù)膶?duì)系統(tǒng)或數(shù)據(jù)進(jìn)行訪問而帶來的風(fēng)險(xiǎn)。 5. 確保在關(guān)鍵流程中存在適當(dāng)?shù)穆殭?quán)分離。 計(jì)算機(jī)運(yùn)行維護(hù) 程序開發(fā) 最終用戶計(jì)算 程序變更 /變更管理 一般性控制 對(duì)程序和數(shù)據(jù)的訪問 讓客戶盡情享受信息新生活 中國電信 24 二、一般性控制介紹 2. 對(duì)程序和數(shù)據(jù)的訪問（續(xù)） （ 2）風(fēng)險(xiǎn) 計(jì)算機(jī)運(yùn)行維護(hù) 程序開發(fā) 最終用戶計(jì)算 程序變更 /變更管理 一般性控制 對(duì)程序和數(shù)據(jù)的訪問 風(fēng)險(xiǎn)描述 風(fēng)險(xiǎn)舉例 1. 公司缺乏可遵循的信息安全管理政策，信息安全管理不規(guī)范，增加信息安全隱患。 2. 缺乏必要的物理訪問及邏輯訪問管理機(jī)制，導(dǎo)致對(duì)信息資源未經(jīng)授權(quán)的訪問，非法修改系統(tǒng)數(shù)據(jù)。 3. 對(duì)添加、修改、刪除用戶未經(jīng)過管理層授權(quán)，離職員工賬號(hào)未及時(shí)在系統(tǒng)中刪除，導(dǎo)致對(duì)系統(tǒng)及數(shù)據(jù)未經(jīng)授權(quán)或不適當(dāng)訪問。 4. 對(duì)系統(tǒng)或數(shù)據(jù)非法和不適當(dāng)?shù)脑L問不能被及時(shí)發(fā)現(xiàn)。 5. 系統(tǒng)的權(quán)限分配與業(yè)務(wù)部門授權(quán)確定的職責(zé)分工要求不符。 黑客非法入侵信息系統(tǒng)，影響信息系統(tǒng)的安全 企業(yè)關(guān)鍵的經(jīng)營數(shù)據(jù)的泄露 信息系統(tǒng)的數(shù)據(jù)被人有意 /無意的修改，卻無法找到元兇 存儲(chǔ)關(guān)鍵數(shù)據(jù)的磁帶 /磁盤 /電腦終端被人偷盜 讓客戶盡情享受信息新生活 中國電信 25 二、一般性控制介紹 2. 對(duì)程序和數(shù)據(jù)的訪問（續(xù)） （ 3）控制描述 對(duì)于程序和數(shù)據(jù)的訪問控制，主要包括如下四個(gè)方面： 計(jì)算機(jī)運(yùn)行維護(hù) 程序開發(fā) 最終用戶計(jì)算 程序變更 /變更管理 一般性控制 對(duì)程序和數(shù)據(jù)的訪問 控制類型 控制點(diǎn) 1. 信息安全管理 安全組織架構(gòu) 信息安全政策 2. 用戶帳號(hào)的管理 超級(jí)用戶管理 用戶帳號(hào)的增 /刪 /改管理 用戶權(quán)限定期審核 系統(tǒng)密碼管理 機(jī)房物理安全 網(wǎng)絡(luò)安全 /病毒防范 4. 職責(zé)分離 用戶系統(tǒng)權(quán)限分配 讓客戶盡情享受信息新生活 中國電信 26 二、一般性控制介紹 3. 程序開發(fā) （ 1）控制目標(biāo) 1. 確保公司管理層有充分的控制保證新的應(yīng)用系統(tǒng)及硬件基礎(chǔ)架構(gòu)的開發(fā)和采購是經(jīng)過適當(dāng)級(jí)別的信息技術(shù)管理層和公司管理層的審批。 2. 對(duì)于在生成財(cái)務(wù)報(bào)表流程中涉及的系統(tǒng)應(yīng)用程序，確保公司建立和施行適當(dāng)?shù)目刂?，以保證有合適的程序開發(fā)方法，并在開發(fā)和實(shí)施過程中遵守了相應(yīng)的方法。 3. 確保在生成財(cái)務(wù)報(bào)表流程中涉及的系統(tǒng) /應(yīng)用程序在開發(fā)或?qū)嵤┻M(jìn)行了充分的測試，并且該測試結(jié)果經(jīng)過信息技術(shù)部門管理層和用戶管理層的批準(zhǔn)。 4. 確保在生成財(cái)務(wù)報(bào)表流程中所涉及的系統(tǒng) /應(yīng)用程序的數(shù)據(jù)在移植過程中有足夠的控制保證數(shù)據(jù)的準(zhǔn)確性和完整性。 計(jì)算機(jī)運(yùn)行維護(hù) 最終用戶計(jì)算 程序變更 /變更管理 一般性控制 對(duì)程序和數(shù)據(jù)的訪問 程序開發(fā) 讓客戶盡情享受信息新生活 中國電信 27 二、一般性控制介紹 3. 程序開發(fā)（續(xù)） （ 2）風(fēng)險(xiǎn) 風(fēng)險(xiǎn)描述 風(fēng)險(xiǎn)舉例 1. 應(yīng)用系統(tǒng)及硬件基礎(chǔ)架構(gòu)的開發(fā)和采購是未經(jīng)過管理層授權(quán)審批，浪費(fèi)企業(yè)資源導(dǎo)致系統(tǒng)與企業(yè)經(jīng)營目標(biāo)不一致或系統(tǒng)效率低下。 2. 程序開發(fā)未遵循正式的方法論，導(dǎo)致開發(fā)的程序不能滿足業(yè)務(wù)的功能要求或質(zhì)量要求。 3. 開發(fā)的程序未經(jīng)充分測試就投入使用，導(dǎo)致系統(tǒng)的缺陷未能及時(shí)發(fā)現(xiàn)以及系統(tǒng)運(yùn)行的不穩(wěn)定。 4. 與程序開發(fā)相關(guān)的數(shù)據(jù)移植不完整、不準(zhǔn)確。 新建的信息系統(tǒng)不能滿足業(yè)務(wù)部門的要求 （新建信息系統(tǒng)）項(xiàng)目的延遲 新系統(tǒng)由于未充分測試導(dǎo)致上線后運(yùn)營的不穩(wěn)定 數(shù)據(jù)移植過程中產(chǎn)生數(shù)據(jù)丟失 /不能復(fù)原的數(shù)據(jù)遷移錯(cuò)誤等 計(jì)算機(jī)運(yùn)行維護(hù) 最終用戶計(jì)算 程序變更 /變更管理 一般性控制 對(duì)程序和數(shù)據(jù)的訪問 程序開發(fā) 讓客戶盡情享受信息新生活 中國電信 28 二、一般性控制介紹 3. 程序開發(fā) （續(xù)） （ 3）控制描述 對(duì)于程序和數(shù)據(jù)的訪問控制，主要包括如下四個(gè)方面： 計(jì)算機(jī)運(yùn)行維護(hù) 程序開發(fā) 最終用戶計(jì)算 程序變更 /變更管理 一般性控制 對(duì)程序和數(shù)據(jù)的訪問 控制類型 控制點(diǎn) 項(xiàng)目審批管理 程序開發(fā)方法論 項(xiàng)目管理 系統(tǒng)測試和用戶測試 上線審批管理 數(shù)據(jù)移植管理 讓客戶盡情享受信息新生活 中國電信 29 二、一般性控制介紹 4. 程序變更管理 （ 1）控制目標(biāo) 1. 確保對(duì)財(cái)務(wù)報(bào)告有影響的系統(tǒng)或應(yīng)用程序的變更都經(jīng)過適當(dāng)管理層的授權(quán)。 2. 確保對(duì)財(cái)務(wù)報(bào)告有影響的系統(tǒng)或應(yīng)用程序的變更，在發(fā)布到生產(chǎn)環(huán)境運(yùn)行之前經(jīng)過了測試，校驗(yàn)和批準(zhǔn)。 3. 確保對(duì)財(cái)務(wù)報(bào)告有影響的系統(tǒng)或應(yīng)用程序的變更在遷移到生產(chǎn)環(huán)境過程中，沒有非法的訪問，以避免對(duì)系統(tǒng)及數(shù)據(jù)的非法修改。 4. 確保對(duì)財(cái)務(wù)報(bào)告有影響的系統(tǒng)或應(yīng)用程序的配臵變更都經(jīng)過管理層授權(quán)，并經(jīng)過適當(dāng)測試 。 5. 確保對(duì)財(cái)務(wù)報(bào)告有影響的系統(tǒng)或應(yīng)用程序的緊急變更，遵循緊急變更管理流程。 計(jì)算機(jī)運(yùn)行維護(hù) 最終用戶計(jì)算 程序變更 /變更管理 一般性控制 對(duì)程序和數(shù)據(jù)的訪問 程序開發(fā) 讓客戶盡情享受信息新生活 中國電信 30 二、一般性控制介紹 4. 程序變更管理（續(xù)） （ 2）風(fēng)險(xiǎn) 風(fēng)險(xiǎn)描述 風(fēng)險(xiǎn)舉例 1. 對(duì)財(cái)務(wù)報(bào)告有影響的系統(tǒng)或應(yīng)用程序的變更未經(jīng)過管理層的審批與授權(quán)。 2. 對(duì)財(cái)務(wù)報(bào)告有影響的系統(tǒng)或應(yīng)用程序的變更，在發(fā)布到生產(chǎn)環(huán)境運(yùn)行之前未經(jīng)測試，變更后的程序功能不能滿足用戶需求，缺陷未被及時(shí)發(fā)現(xiàn)。 3. 非法變更的程序被未經(jīng)授權(quán)的人員移植到了生產(chǎn)環(huán)境。 4. 對(duì)財(cái)務(wù)報(bào)告有影響的系統(tǒng)或應(yīng)用程序的配臵變更未經(jīng)管理層授權(quán)，并且未得到適當(dāng)測試。 5. 緊急變更未遵循緊急變更管理流程，未經(jīng)過必要的授權(quán)、審批和測試。 黑客 /個(gè)別業(yè)務(wù)人員將非法程序移植到生產(chǎn)系統(tǒng)，如允許遠(yuǎn)程修改帳戶余額等 變更的程序?qū)υ邢到y(tǒng)的邏輯產(chǎn)生影響，導(dǎo)致變更后系統(tǒng)不能正確 /正常運(yùn)行 計(jì)算機(jī)運(yùn)行維護(hù) 最終用戶計(jì)算 程序變更 /變更管理 一般性控制 對(duì)程序和數(shù)據(jù)的訪問 程序開發(fā) 讓客戶盡情享受信息新生活 中國電信 31 二、一般性控制介紹 續(xù)） （ 3）控制描述 對(duì)于程序和數(shù)據(jù)的訪問控制，主要包括如下四個(gè)方面： 控制類型 控制點(diǎn) 日常變更管理 程序變更的申請(qǐng)與審批 變更測試 變更移植到生產(chǎn)環(huán)境管理 配臵變更管理 緊急變更管理 計(jì)算機(jī)運(yùn)行維護(hù) 最終用戶計(jì)算 程序變更 /變更管理 一般性控制 對(duì)程序和數(shù)據(jù)的訪問 程序開發(fā) 讓客戶盡情享受信息新生活 中國電信 32 二、一般性控制介紹 5. 計(jì)算機(jī)運(yùn)行維護(hù) （ 1）控制目標(biāo) 1. 管理層實(shí)施了適當(dāng)?shù)目刂疲_保與財(cái)務(wù)報(bào)告生成相關(guān)的系統(tǒng)處理的準(zhǔn)確性，完整性和及時(shí)性。 2. 與財(cái)務(wù)報(bào)表生成相關(guān)的系統(tǒng)和數(shù)據(jù)進(jìn)行定期的備份，確保重要數(shù)據(jù)在需要時(shí)可以恢復(fù)。 3. 對(duì)備份介質(zhì)進(jìn)行定期恢復(fù)測試，確保備份介質(zhì)的質(zhì)量及系統(tǒng)和數(shù)據(jù)的可恢復(fù)性。 4. 對(duì)與財(cái)務(wù)報(bào)表生成相關(guān)的應(yīng)用程序和系統(tǒng)的備份介質(zhì)的接觸存在適當(dāng)?shù)脑L問控制。 5. 確保管理層制定和實(shí)施了問題管理流程，以及時(shí)記錄、分析、解決與生成財(cái)務(wù)報(bào)表有關(guān)的系統(tǒng)和應(yīng)用程序的問題和錯(cuò)誤。 計(jì)算機(jī)運(yùn)行維護(hù) 最終用戶計(jì)算 程序變更 /變更管理 一般性控制 對(duì)程序和數(shù)據(jù)的訪問 程序開發(fā) 讓客戶盡情享受信息新生活 中國電信 33 二、一般性控制介紹 5. 計(jì)算機(jī)運(yùn)行維護(hù)（續(xù)） （ 2）風(fēng)險(xiǎn) 風(fēng)險(xiǎn)描述 風(fēng)險(xiǎn)舉例 1. 與財(cái)務(wù)報(bào)告生成相關(guān)的系統(tǒng)處理不準(zhǔn)確，不完整和不及時(shí)。 2. 與財(cái)務(wù)報(bào)表生成相關(guān)的系統(tǒng)和數(shù)據(jù)未及時(shí)備份，導(dǎo)致系統(tǒng)或數(shù)據(jù)在需要時(shí)不可恢復(fù)。 3. 備份的數(shù)據(jù)未定期做恢復(fù)性測試，備份介質(zhì)的質(zhì)量無法保證，導(dǎo)致備份數(shù)據(jù)不可恢復(fù)。 4. 未經(jīng)授權(quán)的人員接觸與財(cái)務(wù)報(bào)表生成相關(guān)的應(yīng)用程序和系統(tǒng)的備份介質(zhì)，導(dǎo)致重要財(cái)務(wù)信息泄露。 5. 與生成財(cái)務(wù)報(bào)表有關(guān)的系統(tǒng)和應(yīng)用程序的問題和錯(cuò)誤未被及時(shí)記錄、分析、解決，使財(cái)務(wù)報(bào)表中的錯(cuò)誤未能得到及時(shí)發(fā)現(xiàn)和解決。 系統(tǒng)問題 /錯(cuò)誤的日志未得到妥善處理，導(dǎo)致多方面的風(fēng)險(xiǎn)隱患（包括系統(tǒng)被人惡意修改無法發(fā)現(xiàn)，系統(tǒng)運(yùn)行不穩(wěn)定等） 備份數(shù)據(jù)損壞導(dǎo)致系統(tǒng)無法恢復(fù) 由于未作恢復(fù)性測試，導(dǎo)致系統(tǒng)癱瘓時(shí) /發(fā)生災(zāi)難時(shí)，系統(tǒng)難以恢復(fù) /恢復(fù)成本巨大，導(dǎo)致企業(yè)損失 計(jì)算機(jī)運(yùn)行維護(hù) 最終用戶計(jì)算 程序變更 /變更管理 一般性控制 對(duì)程序和數(shù)據(jù)的訪問 程序開發(fā) 讓客戶盡情享受信息新生活 中國電信 34 二、一般性控制介紹 5. 計(jì)算機(jī)運(yùn)行維護(hù) （續(xù)） （ 3）控制描述 對(duì)于程序和數(shù)據(jù)的訪問控制，主要包括如下四個(gè)方面： 控制類型 控制點(diǎn) 系統(tǒng)日常運(yùn)作監(jiān)控 系統(tǒng)作業(yè)管理 備份策略 異地備份 恢復(fù)性測試 備份介質(zhì)的管理 故障及問題管理 計(jì)算機(jī)運(yùn)行維護(hù) 最終用戶計(jì)算 程序變更 /變更管理 一般性控制 對(duì)程序和數(shù)據(jù)的訪問 程序開發(fā) 讓客戶盡情享受信息新生活 中國電信 35 二、一般性控制介紹 6. 最終用戶計(jì)算 （ 1）目標(biāo) 管理層已經(jīng)制定了相關(guān)政策和流程來確保最終用戶計(jì)算環(huán)境下已實(shí)行了信息技術(shù)一般性控制。 （ 2）風(fēng)險(xiǎn) （ 3）控制描述 開發(fā) /變更的授權(quán)與測試 密碼保護(hù) 備份 計(jì)算機(jī)運(yùn)行維護(hù) 最終用戶計(jì)算 程序變更 /變更管理 一般性控制 對(duì)程序和數(shù)據(jù)的訪問 程序開發(fā) 風(fēng)險(xiǎn)描述 風(fēng)險(xiǎn)舉例 1. 對(duì)影響財(cái)務(wù)報(bào)表的重要電子表格和其他用戶自編程序，及其處理的系統(tǒng)數(shù)據(jù)作未經(jīng)授權(quán)的訪問和非法修改。中的錯(cuò)誤未能得到及時(shí)發(fā)現(xiàn)和解決。 某調(diào)節(jié)致入賬不準(zhǔn)等 讓客戶盡情享受信息新生活 中國電信 36 課件提綱 2 1 一般性控制介紹 關(guān)于集團(tuán)下發(fā)的 3 一般性控制的 4 一般性控制審計(jì)軟件簡介 5 讓客戶盡情享受信息新生活 中國電信 37 2006年 2月， 中國電信 2006年 4月， 集團(tuán)公司企業(yè)信息化部下發(fā)了 221號(hào)文件 關(guān)于盡快落實(shí) ； 2006年 2007年 6月 6月 2008年 2007年 8月， 下發(fā)了 114號(hào)文件 關(guān)于進(jìn)一步明確 控有關(guān)要求的通知 1 、概述 中國電信股份公司企業(yè)信息化部對(duì)于 2006年 第 221號(hào)文件 關(guān)于盡快落實(shí) 2007年 第 114號(hào)文件 關(guān)于進(jìn)一步明確 控有關(guān)要求的通知 。 三、 集團(tuán)信息化部關(guān)于 讓客戶盡情享受信息新生活 中國電信 38 1 、概述 221號(hào)文件 文件下發(fā)的背景 ： 針對(duì) 2006年 2月至 4月）的實(shí)施情況，根據(jù)現(xiàn)場穿行測試、差距分析所獲得的缺陷，下發(fā)的 文件的主要內(nèi)容： 三、 集團(tuán)信息化部關(guān)于 讓客戶盡情享受信息新生活 中國電信 39 1 、概述 114號(hào)文件 文件下發(fā)的背景 ： 針對(duì) 2006年 及 文件的主要內(nèi)容： 新建系統(tǒng)、權(quán)限管理、撥打測試、報(bào)表基準(zhǔn)測試、收入端到端核對(duì)、異常話單的處理等。 三、 集團(tuán)信息化部關(guān)于 讓客戶盡情享受信息新生活 中國電信 40 1 、概述 手冊、 221號(hào)文件和 114號(hào)文件的關(guān)系 手冊和下發(fā)文件的關(guān)系 文件對(duì)手冊中的要求進(jìn)行了進(jìn)一步的強(qiáng)調(diào) 對(duì)手冊的控制要求給出了操作模版 對(duì)手冊中的部分控制點(diǎn)給出了細(xì)化的要求； 221號(hào)文件與 114號(hào)文件的關(guān)系 114號(hào)文件是在 221號(hào)文件基礎(chǔ)上，對(duì)于內(nèi)控手冊和 221號(hào)文件中未明確的控制要求進(jìn)行了明確； 對(duì)外部審計(jì)過程中發(fā)現(xiàn)的問題作了強(qiáng)調(diào)； 三、 集團(tuán)信息化部關(guān)于 讓客戶盡情享受信息新生活 中國電信 41 2、文件要求 三、 集團(tuán)信息化部關(guān)于 分類 文件要求 要點(diǎn) /模版 1、新建系統(tǒng) 1）程序開發(fā)的基礎(chǔ)要求 對(duì)于和財(cái)務(wù)報(bào)告相關(guān)的計(jì)算機(jī)系統(tǒng)項(xiàng)目的采購 /開發(fā)的申請(qǐng)，必須有審批記錄； 在系統(tǒng)開發(fā)過程中必須生成項(xiàng)目管理文檔，包括預(yù)算要求、需求說明、進(jìn)度報(bào)告等，在系統(tǒng)上線前進(jìn)行測試（包括單元/系統(tǒng) /集成 /用戶驗(yàn)收測試等），并書面確認(rèn)測試結(jié)果； 對(duì)新上線的與財(cái)務(wù)報(bào)告相關(guān)的信息系統(tǒng)進(jìn)行驗(yàn)收 ,以確保新的流程及相關(guān)控制正確運(yùn)行。相關(guān)部門須審閱驗(yàn)收結(jié)果，跟進(jìn)和解決遺留的問題，并書面確認(rèn)該系統(tǒng)已達(dá)到功能和控制上的預(yù)定要求 在系統(tǒng)割接過程中制定系統(tǒng)數(shù)據(jù)轉(zhuǎn)換方案。方案內(nèi)容包括需要轉(zhuǎn)換的數(shù)據(jù)清單、數(shù)據(jù)轉(zhuǎn)換策略、數(shù)據(jù)轉(zhuǎn)換測試、數(shù)據(jù)備份與回退方案、數(shù)據(jù)轉(zhuǎn)換結(jié)果核對(duì)（自動(dòng)核對(duì)，人工核對(duì)，報(bào)表輔助核對(duì)）、對(duì)財(cái)務(wù)報(bào)表相關(guān)的歷史數(shù)據(jù)的保留及訪問等方面內(nèi)容，并保存系統(tǒng)主管人員的書面審核記錄。 審批記錄 項(xiàng)目管理文檔 驗(yàn)收測試與審批上線 數(shù)據(jù)遷移控制 讓客戶盡情享受信息新生活 中國電信 42 2、文件要求 三、 集團(tuán)信息化部關(guān)于 分類 文件要求 要點(diǎn) /模版 1、新建系統(tǒng)（續(xù)） 2）系統(tǒng)的必備功能 用戶權(quán)限管理、密碼策略、系統(tǒng)日志； 對(duì)關(guān)鍵數(shù)據(jù)的稽核功能； 各省應(yīng)將測試環(huán)境、異地備份等內(nèi)控要求納入到系統(tǒng)建設(shè)方案、項(xiàng)目預(yù)算中，在系統(tǒng)上線后，測試環(huán)境應(yīng)得到保留，并定期完成恢復(fù)性測試等工作； 對(duì)于與 控最終用戶計(jì)算相關(guān)的小軟件及電子表格，應(yīng)納入到相關(guān)的新建信息系統(tǒng)的功能需求中，以減少最終用戶計(jì)算的數(shù)量。 在信息系統(tǒng)的設(shè)計(jì)、開發(fā)時(shí)必須將內(nèi)控的要求考慮進(jìn)去； 讓客戶盡情享受信息新生活 中國電信 43 2、文件要求 三、 集團(tuán)信息化部關(guān)于 分類 文件要求 要點(diǎn) /模版 1、新建系統(tǒng)（續(xù)） 3）新建系統(tǒng)的文檔清單 項(xiàng)目建議書 /項(xiàng)目方案 /項(xiàng)目申請(qǐng)表及批復(fù) 可行性研究報(bào)告 項(xiàng)目預(yù)算文件 項(xiàng)目需求說明 技術(shù)規(guī)范書 /設(shè)計(jì)方案 正式合同 /合同審批表 項(xiàng)目進(jìn)度報(bào)告 技術(shù)測試報(bào)告（包括單元測試 /系統(tǒng)測試 /集成測試） 用戶驗(yàn)收測試報(bào)告 試運(yùn)行報(bào)告 驗(yàn)收?qǐng)?bào)告 /終驗(yàn)報(bào)告 數(shù)據(jù)遷移方案 /系統(tǒng)割接方案 讓客戶盡情享受信息新生活 中國電信 44 2、文件要求 三、 集團(tuán)信息化部關(guān)于 分類 文件要求 要點(diǎn) /模版 2、對(duì)程序和數(shù)據(jù)的訪問 1）職責(zé)分離 加強(qiáng)計(jì)算機(jī)系統(tǒng)安全管理，落實(shí)專人承擔(dān)計(jì)算機(jī)系統(tǒng)安全管理工作。此崗位從提供審計(jì)的日志記錄等角度來看，要求和計(jì)算機(jī)系統(tǒng)超級(jí)管理員崗位相分離。 2）密碼 對(duì)于使用密鑰棒或動(dòng)態(tài)密碼卡的系統(tǒng)，需要使用由用戶掌握的 做其他更多要求。 對(duì)于操作系統(tǒng)、數(shù)據(jù)庫、業(yè)務(wù)系統(tǒng)，“超級(jí)用戶密碼”及使用習(xí)慣應(yīng)嚴(yán)格遵循 統(tǒng)管理員 3個(gè)月更換一次密碼，密碼的超度不小于 8位、且包含數(shù)字和字母等信息，不得使用最近一次使用過的密碼等。 嚴(yán)禁在計(jì)費(fèi)、結(jié)算、營業(yè)等系統(tǒng)中“將用戶帳號(hào)和密碼編寫在程序中”的作法，各省公司應(yīng)對(duì)現(xiàn)網(wǎng)系統(tǒng)程序進(jìn)行篩查、糾正并杜絕類似現(xiàn)象的發(fā)生。 信息系統(tǒng)安全崗 操作系統(tǒng)管理員與數(shù)據(jù)庫管理員不建議由同一個(gè)人擔(dān)當(dāng)； 密碼策略固化到系統(tǒng)中 讓客戶盡情享受信息新生活 中國電信 45 2、文件要求 三、 集團(tuán)信息化部關(guān)于 分類 文件要求 要點(diǎn) /模版 2、對(duì)程序和數(shù)據(jù)的訪問（續(xù)） 2. 密碼（續(xù)） 各級(jí)計(jì)費(fèi)部門制定維護(hù)作業(yè)計(jì)劃，確保每季度對(duì)于計(jì)費(fèi)、結(jié)算、營業(yè)等系統(tǒng)清理一次用戶帳號(hào)；在每年迎接外審之前必須對(duì)“帳號(hào)密碼問題”進(jìn)行重點(diǎn)復(fù)核。對(duì)于長時(shí)間（暫定為3個(gè)月）沒有登錄的用戶，原則上應(yīng)予以清理，并對(duì)清理的帳號(hào)留下文字痕跡。 嚴(yán)格控制供應(yīng)商遠(yuǎn)程接入。任何情況下超級(jí)用戶帳號(hào)不得授予供應(yīng)商技術(shù)人員使用；工程初驗(yàn)后收回全部調(diào)試帳號(hào)；需要向供應(yīng)商提供遠(yuǎn)程接入權(quán)限時(shí)，應(yīng)事先經(jīng)系統(tǒng)具體維護(hù)部門主管領(lǐng)導(dǎo)書面確認(rèn)（緊急狀態(tài)下應(yīng)實(shí)現(xiàn)口頭申請(qǐng)、事后補(bǔ)文字確認(rèn)說明）方可開啟適當(dāng)權(quán)限的臨時(shí)帳號(hào)，事后關(guān)閉帳號(hào)、修改臨時(shí)密碼并登記。每年迎接外審之前應(yīng)就“遠(yuǎn)程接入問題”進(jìn)行重點(diǎn)審核。 帳號(hào)的定期清理 對(duì)供應(yīng)商的遠(yuǎn)程接入必須進(jìn)行更嚴(yán)格的訪問控制 讓客戶盡情享受信息新生活 中國電信 46 2、文件要求 三、 集團(tuán)信息化部關(guān)于 分類 文件要求 要點(diǎn) /模版 2、對(duì)程序和數(shù)據(jù)的訪問 3）帳號(hào)管理 省公司信息化部與人力資源部協(xié)調(diào)，在辦理人員調(diào)入 /調(diào)出時(shí)設(shè)臵明確的環(huán)節(jié)，包括計(jì)算機(jī)終端的配備 /回收 ,帳號(hào)及密碼的分配 /回收。完成指定環(huán)節(jié)的工作，才能結(jié)束調(diào)入 /調(diào)出的全部流程。 省公司信息化部與人力資源部協(xié)調(diào)，在辦理人員內(nèi)部調(diào)動(dòng)時(shí)，向 位說明書變動(dòng)的文字信息，由信息化部完成 能結(jié)束內(nèi)部調(diào)動(dòng)的全部流程。 對(duì)于勞務(wù)用工等形式普遍存在人力資源部的資料更新晚于實(shí)際崗位變動(dòng)時(shí)間的情況，應(yīng)由實(shí)際用工部門發(fā)起帳號(hào)變更文字需求，計(jì)算機(jī)系統(tǒng)管理員根據(jù)需求開放帳號(hào)并授權(quán)。 各計(jì)算機(jī)系統(tǒng)使用人員在本專業(yè)部門發(fā)生崗位變更，應(yīng)保留由部門主管領(lǐng)導(dǎo)簽字確認(rèn)的文字報(bào)告，計(jì)算機(jī)系統(tǒng)管理員根據(jù)崗位變更調(diào)整帳號(hào)及對(duì)應(yīng)權(quán)限，并將調(diào)整措施在文字報(bào)告上留下文字痕跡。 普通用戶帳號(hào)的增刪改管理 讓客戶盡情享受信息新生活 中國電信 47 2、文件要求 三、 集團(tuán)信息化部關(guān)于 分類 文件要求 要點(diǎn) /模版 2、對(duì)程序和數(shù)據(jù)的訪問（續(xù)） 3）帳號(hào)管理（續(xù)） 關(guān)于計(jì)算機(jī)系統(tǒng)用戶帳號(hào)權(quán)限設(shè)臵問題。原則上計(jì)費(fèi)、結(jié)算系統(tǒng)按照 1+1+n+1個(gè)超級(jí)用戶； 1個(gè)關(guān)鍵數(shù)據(jù)配臵用戶； 算系統(tǒng)取 n=1； 費(fèi)、結(jié)算系統(tǒng)建議 m=0）。請(qǐng)各省公司接到本文件后對(duì)帳號(hào)進(jìn)行一次集中清理并留下記錄，盡可能按照上述要求進(jìn)行配臵。配臵的帳號(hào)數(shù)量越少，隱患越小。 超級(jí)用戶應(yīng)確保每個(gè)使用計(jì)算機(jī)系統(tǒng)的人員有單獨(dú)的帳號(hào)，對(duì)于重要的數(shù)據(jù)增、刪、改操作，可以由系統(tǒng)日志追溯到執(zhí)行操作的帳號(hào)、直至相關(guān)操作人員。前臺(tái)營業(yè)廳、 10000號(hào)人員原則上講要求每個(gè)員工一個(gè)帳號(hào)。 計(jì)費(fèi)、結(jié)算系統(tǒng)的用戶帳號(hào)設(shè)臵： 1個(gè)超級(jí)用戶（管理員）、 1個(gè)關(guān)鍵數(shù)據(jù)配臵帳戶 計(jì)費(fèi)、結(jié)算系統(tǒng)的外部使用帳號(hào)建議為 0 讓客戶盡情享受信息新生活 中國電信 48 2、文件要求 三、 集團(tuán)信息化部關(guān)于 分類 文件要求 要點(diǎn) /模版 2、對(duì)程序和數(shù)據(jù)的訪問（續(xù)） 4）運(yùn)營商辦公網(wǎng)絡(luò)、生產(chǎn)網(wǎng)絡(luò)與互聯(lián)網(wǎng)或其他外部網(wǎng)絡(luò)的網(wǎng)絡(luò)連接處安裝防火墻，以防止外部的非法訪問。只有指定的網(wǎng)絡(luò)管理員才能擁有防火墻管理帳號(hào)，并進(jìn)行防火墻規(guī)則的更改。在 現(xiàn)自動(dòng)掃描和實(shí)時(shí)更新病毒庫。 5）計(jì)算機(jī)設(shè)備機(jī)房原則上應(yīng)設(shè)臵門禁、監(jiān)控設(shè)施。部分暫不具備條件的本地網(wǎng)應(yīng)，對(duì)于無人值守機(jī)房建立出入登記制度，對(duì)非機(jī)房管理部門人員進(jìn)出機(jī)房的詳細(xì)情況進(jìn)行記錄。 安裝防火墻和殺毒軟件 建議使用門禁、監(jiān)控系統(tǒng) 讓客戶盡情享受信息新生活 中國電信 49 2、文件要求 三、 集團(tuán)信息化部關(guān)于 分類 文件要求 要點(diǎn) /模版 3、程序變更 1）每次程序變更都需要對(duì)于“需求審批”、“用戶方測試”及“上線審批”三個(gè)關(guān)鍵點(diǎn)留下審批記錄。其中“需求審批”、“上線審批”由業(yè)務(wù)部門和計(jì)算機(jī)系統(tǒng)維護(hù)部門主管領(lǐng)導(dǎo)共同簽字。 2）“用戶方測試”是指軟件供應(yīng)商完成產(chǎn)品變更、出廠檢測并提交測試報(bào)告后，由計(jì)算機(jī)系統(tǒng)維護(hù)部門主管人員根據(jù)上述情況做的測試以及確認(rèn)報(bào)告，該報(bào)告是“上線審批”的基礎(chǔ)和依據(jù)。 3）對(duì)于統(tǒng)一版本及統(tǒng)一變更（是指相同數(shù)據(jù)庫設(shè)計(jì)及架構(gòu)、操作系統(tǒng)版本、業(yè)務(wù)系統(tǒng)版本）的系統(tǒng)，局方出具版本及變更一致性證明后，可以對(duì)其中一個(gè)系統(tǒng)進(jìn)行代表性測試。 對(duì)于 需求、用戶方測試及上線 的審批記錄 讓客戶盡情享受信息新生活 中國電信 50 2、文件要求 三、 集團(tuán)信息化部關(guān)于 分類 文件要求 要點(diǎn) /模版 4、報(bào)表基準(zhǔn)測試 1）測試的目的應(yīng)為驗(yàn)證由系統(tǒng)直接生成的報(bào)表在一特定日期的準(zhǔn)確性。有關(guān)報(bào)表的使用部門應(yīng)在測試進(jìn)行前確認(rèn)測試報(bào)表所處時(shí)間區(qū)間的統(tǒng)計(jì)口徑及作為財(cái)務(wù)入帳依據(jù)的具體欄目、科目。一些在報(bào)表從系統(tǒng)生成后手工補(bǔ)填的數(shù)據(jù)不應(yīng)為基準(zhǔn)測試的范圍。當(dāng)基準(zhǔn)測試完成后，報(bào)表使用部門應(yīng)把系統(tǒng)報(bào)表的結(jié)果關(guān)聯(lián)到后續(xù)的手工加工、調(diào)整流程等，一直到得出作為財(cái)務(wù)入帳的底稿為止。 2）相關(guān)人員需要提供符合集團(tuán)要求的相關(guān)報(bào)表的測試報(bào)告，該報(bào)告必須涵蓋生成報(bào)表的所有關(guān)鍵步驟（包括取數(shù)、計(jì)算邏輯、科目合并）的具體描述、使用的測試數(shù)據(jù)以及獲得的測試結(jié)果。 3）接受訪談的人員能夠清楚的向?qū)徲?jì)人員描述關(guān)于“測試如何被執(zhí)行”的相關(guān)過程（包括使用的方法、提取的數(shù)據(jù)、評(píng)估的測試結(jié)果等），并提供支持性的文檔（即報(bào)表測試的工作底稿）保證測試的完整性和準(zhǔn)確性。 報(bào)告中至少包含：數(shù)據(jù)源、計(jì)算邏輯、科目合并、測試結(jié)果與實(shí)際結(jié)果的比對(duì) 讓客戶盡情享受信息新生活 中國電信 51 2、文件要求 三、 集團(tuán)信息化部關(guān)于 分類 文件要求 要點(diǎn) /模版 4、報(bào)表基準(zhǔn)測試（續(xù)） 4）測試報(bào)告應(yīng)具備詳實(shí)的測試信息，包括：測試日期、測試人員、業(yè)務(wù)規(guī)則描述、財(cái)務(wù)口徑關(guān)鍵指標(biāo)、預(yù)期的測試結(jié)果、實(shí)際的測試結(jié)果、相關(guān)部門的審查確認(rèn)等。 5）測試報(bào)告中使用的相關(guān)數(shù)據(jù)、過程、測試結(jié)果以及測試日志均需要在系統(tǒng)中是可追蹤的；因?yàn)樵诒匾臅r(shí)候系統(tǒng)中的數(shù)據(jù)和操作記錄會(huì)被要求作為證據(jù)向外審提供。 6）信息系統(tǒng)的一般性控制被認(rèn)為是報(bào)表測試準(zhǔn)確可信的基礎(chǔ)，所以對(duì)于已完成報(bào)表測試的系統(tǒng)，必須保證其所有的一般性控制點(diǎn)都已經(jīng)達(dá)標(biāo)，并且日常的系統(tǒng)維護(hù)和運(yùn)行工作都按照內(nèi)控細(xì)則要求來執(zhí)行。一旦系統(tǒng)進(jìn)行了升級(jí)改造，就要按照 則，可能會(huì)影響其測試報(bào)表的準(zhǔn)確性 一般性控制是報(bào)表基準(zhǔn)測試的可靠性、準(zhǔn)確性、完整性的基礎(chǔ) 讓客戶盡情享受信息新生活 中國電信 52 2、文件要求 三、 集團(tuán)信息化部關(guān)于 分類 文件要求 要點(diǎn) /模版 5、撥打測試 1）相關(guān)人員能夠夠提供符合要求的撥打測試報(bào)告，以及提供充足的支持性信息 /文檔（包括 測試工作底稿），說明測試的正確性和完整性。 2）訪談人員能清楚明了的向?qū)徲?jì)人員描述測試如何被執(zhí)行的相關(guān)過程。（包括使用的方法、提取的數(shù)據(jù)、測試的結(jié)果等） 3）對(duì)于測試過程中的發(fā)生的例外情況進(jìn)行的跟進(jìn)處理。 4）報(bào)告中必須反映測試方的計(jì)費(fèi)驗(yàn)證結(jié)果。（即預(yù)期的計(jì)費(fèi)結(jié)果與實(shí)際計(jì)費(fèi)結(jié)果的比對(duì)） 5）能通過系統(tǒng)查詢，在系統(tǒng)中查詢到相應(yīng)的 此可以驗(yàn)證報(bào)告上的測試結(jié)果與實(shí)際情況相吻合。 讓客戶盡情享受信息新生活 中國電信 53 2、文件要求 三、 集團(tuán)信息化部關(guān)于 分類 文件要求 要點(diǎn) /模版 6、端到端核對(duì)報(bào)告 1）在計(jì)費(fèi)系統(tǒng)中，預(yù)處理、批價(jià)、合帳等重要處理環(huán)節(jié)必須生成核對(duì)報(bào)告，目前對(duì)短時(shí)間內(nèi)暫時(shí)無法實(shí)現(xiàn)的省，可以通過人工方式執(zhí)行（執(zhí)行 2）對(duì)于計(jì)費(fèi)帳務(wù)系統(tǒng)的無中間處理流程的省市，如出賬和批價(jià)環(huán)節(jié)為一個(gè)環(huán)節(jié)，或者出帳和優(yōu)惠處理為一個(gè)環(huán)節(jié)，這種情況下平衡性檢查可通過以下方式替代核對(duì)報(bào)告的功能：在測試報(bào)告中特別針對(duì)批價(jià)和出帳的功能提供單獨(dú)的測試內(nèi)容，對(duì)系統(tǒng)準(zhǔn)確性做出測試。測試報(bào)告應(yīng)對(duì)系統(tǒng)在上述環(huán)節(jié)處理的數(shù)據(jù)完整性和正確性做出測試。測試報(bào)告應(yīng)有具體的測試步驟和樣本和結(jié)果。 3）須由專人對(duì)核對(duì)報(bào)告及測試報(bào)告結(jié)果進(jìn)行審核，并保留審核痕跡，對(duì)于檢查時(shí)發(fā)現(xiàn)的異常情況需要留下明確的情況說明、分析和相應(yīng)的跟進(jìn)解決記錄，保證數(shù)據(jù)的完整和準(zhǔn)確。 核對(duì)記錄的保留與審核 核對(duì)記錄的可追溯 問題的跟蹤及處理 讓客戶盡情享受信息新生活 中國電信 54 2、文件要求 三、 集團(tuán)信息化部關(guān)于 分類 文件要求 要點(diǎn) /模版 7、異常話單的處理 1） 對(duì)于異常話單處理的控制要求為，對(duì)于采集、預(yù)處理、批價(jià)等計(jì)費(fèi)過程中的異常話單要有專人進(jìn)行分析，尋找異常產(chǎn)生的原因，并進(jìn)行相應(yīng)得處理。在檢查過程中分析及反饋的情況，應(yīng)根據(jù)建議的模版進(jìn)行記錄。 異常話單的分析、處理及記錄 異常產(chǎn)生原因的分析與后續(xù)處理 讓客戶盡情享受信息新生活 中國電信 55 2、文件要求 三、 集團(tuán)信息化部關(guān)于 分類 文件要求 要點(diǎn) /模版 8、系統(tǒng)運(yùn)行控制 1、根據(jù)維護(hù)作業(yè)計(jì)劃進(jìn)行計(jì)算機(jī)系統(tǒng)維護(hù)工作。記錄當(dāng)天系統(tǒng)運(yùn)行維護(hù)狀況，并做文字記錄。 2、保存監(jiān)控日志并進(jìn)行定期審閱，對(duì)系統(tǒng)監(jiān)控故障和用戶申告故障進(jìn)行跟進(jìn)及解決 讓客戶盡情享受信息新生活 中國電信 56 2、文件要求 三、 集團(tuán)信息化部關(guān)于 分類 文件要求 要點(diǎn) /模版 9、異地備份 1、數(shù)據(jù)備份、異地存放及恢復(fù)性測試的目的：確保計(jì)算機(jī)系統(tǒng)硬件故障時(shí)能夠具備恢復(fù)系統(tǒng)正常運(yùn)行的能力。 2、數(shù)據(jù)備份的范圍和異地存放方式（見下表）（全網(wǎng)縱向交換的計(jì)費(fèi)清單數(shù)據(jù)原則上由發(fā)端計(jì)費(fèi)中心負(fù)責(zé)保存）。 讓客戶盡情享受信息新生活 中國電信 57 2、文件要求 三、 集團(tuán)信息化部關(guān)于 分類 文件要求 要點(diǎn) /模版 9、異地備份（續(xù)） 3、異地存放地點(diǎn)：非收入流程涉及系統(tǒng)的相關(guān)數(shù)據(jù)備份在硬盤或其他介質(zhì)（由省公司信息化部編制計(jì)劃、統(tǒng)一解決）后，必須將硬盤或介質(zhì)備份于相關(guān)計(jì)算機(jī)系統(tǒng)所處的樓宇之外的建筑（如省會(huì)局、省公司其他樓宇）。收入流程涉及系統(tǒng)的相關(guān)備份數(shù)據(jù)，對(duì)于本地網(wǎng)集中的系統(tǒng)，由省計(jì)費(fèi)結(jié)算中心準(zhǔn)備相應(yīng)的臨時(shí)存儲(chǔ)空間為各本地網(wǎng)做 2個(gè)月的臨時(shí)存儲(chǔ)；對(duì)于省集中的系統(tǒng)，由省公司協(xié)調(diào)適當(dāng)?shù)谋镜鼐W(wǎng)（可以是省會(huì)局或其他存儲(chǔ)設(shè)備相對(duì)比較富余的本地網(wǎng)）。 4、異地介質(zhì)管理方式。妥善保存計(jì)算機(jī)系統(tǒng)的備份介質(zhì)，根據(jù)需要對(duì)備份介質(zhì)進(jìn)行更換，并保存