內(nèi)部控制指引-18號ppt.ppt

1、,SEC,MIN,SEC,MIN,SEC,MIN,SEC,MIN,SEC,MIN,SEC,MIN,START,企業(yè)內(nèi)部控制,財務(wù)0802 18小組,信息系統(tǒng),8,小組分工,word制作,馬瑩 胡燦,丁奕婷,ppt制作,方進玄,主講人,9,1,2,3,4,5,概述,信息系統(tǒng)風(fēng)險分析,風(fēng)險控制點,主要風(fēng)險控制措施,案例分析,演講流程,10,1,概述,第一部分,11,概述,信息系統(tǒng)及蘊含在系統(tǒng)中的信息已成為企業(yè)的隱性資產(chǎn)，成為企業(yè)核心競爭能力的重要組成部分。,信息系統(tǒng)已經(jīng)成為許多企業(yè)日常運營的主要工作平臺，業(yè)務(wù)過程對信息技術(shù)的依賴也日趨嚴(yán)重。,企業(yè)管理者為保障企業(yè)IT支持企業(yè)的戰(zhàn)略目標(biāo)的實現(xiàn)而進行的

2、領(lǐng)導(dǎo)、組織架構(gòu)設(shè)計和處理的過程就是IT治理過程，價值、風(fēng)險和控制構(gòu)成了IT治理的核心。,成功的企業(yè)大都已構(gòu)建起強大的信息系統(tǒng)，充分認(rèn)識并利用信息技術(shù)帶來的收益為各利益相關(guān)方創(chuàng)造價值。,為了保證信息的質(zhì)量、可信和安全，人們已經(jīng)意識到企業(yè)管理的關(guān)鍵要素之一就是要保證IT的價值、管理與IT有關(guān)的風(fēng)險、增加對信息控制要求。,12,1,2,概述,信息系統(tǒng)風(fēng)險分析,第二部分,13,信息系統(tǒng)風(fēng)險分析,信息系統(tǒng)開發(fā)和運行風(fēng)險,信息系統(tǒng)的舞弊,信息系統(tǒng)固有的脆弱性和缺陷,信息系統(tǒng)應(yīng)用和管理的問題,14,信息系統(tǒng)風(fēng)險分析,軟件系統(tǒng)的脆弱性,硬件的脆弱性,網(wǎng)絡(luò)和通信協(xié)議,信息系統(tǒng)固有的脆弱性和缺陷,軟件系統(tǒng)的安全隱

3、患來源于設(shè)計和軟件工程實施中的遺留問題。,信息系統(tǒng)硬件組件的安全隱患多數(shù)來源于設(shè)計，主要表現(xiàn)為物理安全方面的問題。,互聯(lián)網(wǎng)是一個沒有明確物理界限的網(wǎng)際，而TCP/IP協(xié)議棧在設(shè)計時考慮了互聯(lián)互通和資源共享的問題，無法兼容解決來自網(wǎng)際的大量安全問題。,15,信息系統(tǒng)風(fēng)險分析,16,信息系統(tǒng)風(fēng)險分析,企業(yè)規(guī)模大，信息系統(tǒng)的結(jié)構(gòu)就會復(fù)雜，發(fā)生信息錯誤的機會增多 。,授權(quán)文件或注冊系統(tǒng)的密碼一旦被冒用或一人掌握多個級別操作密碼,權(quán)限就會失控。,信息系統(tǒng)中，業(yè)務(wù)人員可能一人身兼多個職能，極易出現(xiàn)錯弊。,信息系統(tǒng)應(yīng)用和管理的問題,數(shù)據(jù)完整性較難保證,授權(quán)管理的問題,職責(zé)分離失效,17,信息系統(tǒng)風(fēng)險分析,信

4、息系統(tǒng)開發(fā)和運行風(fēng)險,3.系統(tǒng)運行維護和安全措施不到位，可能導(dǎo)致信息泄漏或毀損，系統(tǒng)無法正常運行。,2.系統(tǒng)開發(fā)不符合內(nèi)部控制要求，授權(quán)管理不當(dāng)，可能導(dǎo)致無法利用信息技術(shù)實施有效控制。,1.信息系統(tǒng)缺乏或規(guī)劃不合理，可能造成信息孤島或重復(fù)建設(shè)，導(dǎo)致企業(yè)經(jīng)營管理效率低下。,18,1,2,3,概述,信息系統(tǒng)風(fēng)險分析,風(fēng)險控制點,第三部分,19,風(fēng)險控制點,1.信息安全,2.物理安全和環(huán)境控制,3.病毒防御, 信息安全政策 邏輯安全 用戶授權(quán)流程 關(guān)鍵應(yīng)用系統(tǒng)訪問管理規(guī)定 操作系統(tǒng)安全管理規(guī)定 數(shù)據(jù)庫安全管理規(guī)定 信息系統(tǒng)密碼管理策略 系統(tǒng)管理員管理策略, 機房管理規(guī)定 機房訪問日志 機房訪問授權(quán)清

5、單, 病毒防御政策 病毒掃描和病毒庫更新記錄,信息系統(tǒng)控制的基本內(nèi)容 ：,20,4.信息系統(tǒng)日常運作,5.應(yīng)用系統(tǒng)實施與維護,6.應(yīng)用系統(tǒng)實施與維護,IT部門日常工作制度 非緊急事件處理程序 緊急事件處理程序 問題管理處理程序 系統(tǒng)運行監(jiān)控 用戶培訓(xùn)記錄 IT熱線 數(shù)據(jù)庫文件檢查記錄,應(yīng)用系統(tǒng)開發(fā)與維護政策和制度 系統(tǒng)需求管理 系統(tǒng)變更管理系統(tǒng)設(shè)計和開發(fā) 系統(tǒng)測試管理系統(tǒng)發(fā)布管理 系統(tǒng)上線管理 系統(tǒng)版本管理 系統(tǒng)實施用戶培訓(xùn)記錄 系統(tǒng)實施評估,應(yīng)用系統(tǒng)開發(fā)與維護政策和制度 系統(tǒng)需求管理 系統(tǒng)變更管理系統(tǒng)設(shè)計和開發(fā) 系統(tǒng)測試管理系統(tǒng)發(fā)布管理 系統(tǒng)上線管理 系統(tǒng)版本管理 系統(tǒng)實施用戶培訓(xùn)記錄 系統(tǒng)

6、實施評估,風(fēng)險控制點,21,風(fēng)險控制點, 數(shù)據(jù)庫字典更新和維護規(guī)范 數(shù)據(jù)庫管理員權(quán)限和用戶權(quán)限管理 數(shù)據(jù)庫結(jié)構(gòu)修改流程 后臺數(shù)據(jù)庫修改流程, 備份策略 備份時間表和日志復(fù)合記錄 數(shù)據(jù)恢復(fù)測試計劃 災(zāi)難恢復(fù)應(yīng)急預(yù)案, 網(wǎng)絡(luò)使用和維護制度 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 網(wǎng)絡(luò)設(shè)備上線測試制度 網(wǎng)絡(luò)參數(shù)調(diào)整變更管理制度 網(wǎng)絡(luò)日常監(jiān)控,8.災(zāi)備與業(yè)務(wù)持續(xù)計劃,9.網(wǎng)絡(luò)支持,7.數(shù)據(jù)庫支持與實施,22,風(fēng)險控制點,10.硬件支持,11.系統(tǒng)軟件支持,12. 應(yīng)用控制, 硬件設(shè)備使用和維護制度 硬件設(shè)備拓?fù)浣Y(jié)構(gòu) 硬件設(shè)備設(shè)備采購制度 硬件設(shè)備安裝測試 硬件設(shè)備升級管理 硬件設(shè)備日常監(jiān)控, 系統(tǒng)軟件采購控 系統(tǒng)軟件變更和測試

7、 系統(tǒng)軟件參數(shù)設(shè)置 管理層對變更的審批, 輸入控制 輸出控制 訪問控制 處理控制 職責(zé)分離,23,1,2,3,4,概述,信息系統(tǒng)風(fēng)險分析,風(fēng)險控制點,信息系統(tǒng)主要風(fēng)險控制措施,第四部分,24,信息系統(tǒng)主要風(fēng)險控制措施,會計信息系統(tǒng)控制,信息系統(tǒng)的運行與維護控制,信息系統(tǒng)控制類型,信息安全控制,信息系統(tǒng)的開發(fā)過程的控制,25,信息系統(tǒng)主要風(fēng)險控制措施,一般控制在人員控制、邏輯訪問控制、設(shè)備和業(yè)務(wù)連續(xù)性這些方面進行控制。,應(yīng)用控制與管理政策配合，對程序和輸入、處理和輸出數(shù)據(jù)進行適當(dāng)?shù)目刂?。,最常用的網(wǎng)絡(luò)控制有防火墻、數(shù)據(jù)加密、授權(quán)和病毒等的防護。,在軟件采購和軟件使用環(huán)節(jié)進行軟件使用及盜版的控制

8、。,26,信息系統(tǒng)主要風(fēng)險控制措施,對未經(jīng)授權(quán)的訪問造成的后果提出修正的方法。,日志能夠保存那些未經(jīng)授權(quán)的訪問記錄。,確定可能的問題并提出適當(dāng)?shù)目刂啤?將發(fā)生風(fēng)險的可能降至最低，例如，防火墻可以防止未經(jīng)授權(quán)的訪問。,(二)信息安全控制,27,信息系統(tǒng)主要風(fēng)險控制措施,（三）信息系統(tǒng)的開發(fā)過程控制,企業(yè)應(yīng)當(dāng)根據(jù)信息系統(tǒng)建設(shè)整體規(guī)劃提出項目建設(shè)方案，明確建設(shè)目標(biāo)、人員。,企業(yè)開發(fā)信息系統(tǒng)應(yīng)當(dāng)將生產(chǎn)經(jīng)營管理業(yè)務(wù)流程、關(guān)鍵控制點和處理規(guī)則嵌入系統(tǒng)程序，實現(xiàn)手工環(huán)境下難實現(xiàn)的控制功能。,管理部門應(yīng)加強信息系統(tǒng)開發(fā)全過程的跟蹤管理，組織開發(fā)單位與內(nèi)部各單位的溝通和協(xié)調(diào)，督促開發(fā)單位按建設(shè)方案、計劃進度和質(zhì)

9、量要求。,企業(yè)應(yīng)組織獨立于開發(fā)單位的專業(yè)機構(gòu)對開發(fā)完成的信息系統(tǒng)進行驗收測試，確保在功能、性能、控制要求和安全性等方面符合開發(fā)需求。,企業(yè)應(yīng)當(dāng)切實做好信息系統(tǒng)上線的各項準(zhǔn)備工作，培訓(xùn)業(yè)務(wù)操作和系統(tǒng)管理人。,28,信息系統(tǒng)主要風(fēng)險控制措施,（四）信息系統(tǒng)的運行與維護控制 ：,企業(yè)應(yīng)當(dāng)加強信息系統(tǒng)運行與維護的管理，制定信息系統(tǒng)工作程序、信息管理。制度以及各模塊子系統(tǒng)的具體操作規(guī)范，及時跟蹤、發(fā)現(xiàn)和解決系統(tǒng)運行中存在的問題，確保信息系統(tǒng)按照規(guī)定的程序、制度和操作規(guī)范持續(xù)穩(wěn)定運行。,企業(yè)應(yīng)根據(jù)業(yè)務(wù)性質(zhì)、重要性程度、涉密情況等確定信息系統(tǒng)的安全等級，建立不同等級信息的授權(quán)使用制度，采用相應(yīng)技術(shù)手段保證信

10、息系統(tǒng)運行安全有序。, 企業(yè)應(yīng)當(dāng)建立用戶管理制度，加強對重要業(yè)務(wù)系統(tǒng)的訪問權(quán)限管理，定期審閱系統(tǒng)賬號，避免授權(quán)不當(dāng)或存在非授權(quán)賬號，禁止不相容職務(wù)用戶賬號的交叉操作。,29,信息系統(tǒng)主要風(fēng)險控制措施, 企業(yè)應(yīng)當(dāng)綜合利用防火墻、路由器等網(wǎng)絡(luò)設(shè)備，漏洞掃描、入侵檢測等軟件技術(shù)以及遠(yuǎn)程訪問安全策略等手段，加強網(wǎng)絡(luò)安全，防范來自網(wǎng)絡(luò)的攻擊和非法侵入。, 企業(yè)應(yīng)當(dāng)建立系統(tǒng)數(shù)據(jù)定期備份制度，明確備份范圍、頻度、方法、責(zé)任人、存放地點、有效性檢查等內(nèi)容。, 企業(yè)應(yīng)當(dāng)加強服務(wù)器等關(guān)鍵信息設(shè)備的管理，建立良好的物理環(huán)境，指定專人負(fù)責(zé)檢查， 及時處理異常情況。未經(jīng)授權(quán)， 任何人不得接觸關(guān)鍵信息設(shè)備。,30,信息系

11、統(tǒng)主要風(fēng)險控制措施,1組織控制,3資源控制,2操作控制,4應(yīng)用控制,將組織作為控制的對象和手段，通過建立起具有控制能力的組織結(jié)構(gòu)、采用滿足控制要求的組織流程、構(gòu)筑認(rèn)同和重視控制的組織文化，達到控制的目標(biāo)。,硬件資源控制 軟件資源控制 數(shù)據(jù)資源控制 檔案資料控制,操作控制主要是建立和實施操作管理制度，對系統(tǒng)使用、操作規(guī)程和會計業(yè)務(wù)處理幾方面做出規(guī)定。,應(yīng)用控制是對具體業(yè)務(wù)處理過程實施的控制。,（五）會計信息系統(tǒng)控制：,31,1,2,3,4,5,概述,信息系統(tǒng)風(fēng)險分析,風(fēng)險控制點,主要風(fēng)險控制措施,案例分析,第五部分,32,案例分析,（一）公司簡介,申銀萬國證券股份有限公司是我國較知名的證券公司之

12、一，也是國內(nèi)最早實行會計電算化的證券公司。早在1993年公司就開始試用財務(wù)系統(tǒng)，并于1996年在全公司推廣使用。 當(dāng)時使用的運行在NOVELL網(wǎng)上的6.03DOS版用友賬務(wù)系統(tǒng)為申銀萬國公司的財務(wù)工作起了重要的作用，把財務(wù)人員從手工操作的繁重低效勞動中解放了出來。 但是隨著公司業(yè)務(wù)的不斷拓展和規(guī)模的擴大，原有單機版分散化財務(wù)信息系統(tǒng)固有的缺陷給集團公司的管理帶來一系列問題，已經(jīng)不能適應(yīng)申銀萬國公司現(xiàn)代化管理的需要。,案例分析,2000年8月開始實施“申銀萬國證券股份有限公司財務(wù)管理信息系統(tǒng)”。,原有系統(tǒng)相對分散獨立,整合性差，不能滿足集中式管理要求,證券業(yè)務(wù)系統(tǒng)與財務(wù)不能實現(xiàn)數(shù)據(jù)共享和傳遞,案例分析,解決方案,面向整體化管理,采用一體化設(shè)計思路，徹底實現(xiàn)了數(shù)據(jù)的共享、交換和再應(yīng)用。,系統(tǒng)提供了理想的安全性保障功能，保證系統(tǒng)的安全