內(nèi)部控制指引-18號(hào)ppt.ppt

1、,SEC,MIN,SEC,MIN,SEC,MIN,SEC,MIN,SEC,MIN,SEC,MIN,START,企業(yè)內(nèi)部控制,財(cái)務(wù)0802 18小組,信息系統(tǒng),8,小組分工,word制作,馬瑩 胡燦,丁奕婷,ppt制作,方進(jìn)玄,主講人,9,1,2,3,4,5,概述,信息系統(tǒng)風(fēng)險(xiǎn)分析,風(fēng)險(xiǎn)控制點(diǎn),主要風(fēng)險(xiǎn)控制措施,案例分析,演講流程,10,1,概述,第一部分,11,概述,信息系統(tǒng)及蘊(yùn)含在系統(tǒng)中的信息已成為企業(yè)的隱性資產(chǎn)，成為企業(yè)核心競(jìng)爭(zhēng)能力的重要組成部分。,信息系統(tǒng)已經(jīng)成為許多企業(yè)日常運(yùn)營(yíng)的主要工作平臺(tái)，業(yè)務(wù)過(guò)程對(duì)信息技術(shù)的依賴也日趨嚴(yán)重。,企業(yè)管理者為保障企業(yè)IT支持企業(yè)的戰(zhàn)略目標(biāo)的實(shí)現(xiàn)而進(jìn)行的

2、領(lǐng)導(dǎo)、組織架構(gòu)設(shè)計(jì)和處理的過(guò)程就是IT治理過(guò)程，價(jià)值、風(fēng)險(xiǎn)和控制構(gòu)成了IT治理的核心。,成功的企業(yè)大都已構(gòu)建起強(qiáng)大的信息系統(tǒng)，充分認(rèn)識(shí)并利用信息技術(shù)帶來(lái)的收益為各利益相關(guān)方創(chuàng)造價(jià)值。,為了保證信息的質(zhì)量、可信和安全，人們已經(jīng)意識(shí)到企業(yè)管理的關(guān)鍵要素之一就是要保證IT的價(jià)值、管理與IT有關(guān)的風(fēng)險(xiǎn)、增加對(duì)信息控制要求。,12,1,2,概述,信息系統(tǒng)風(fēng)險(xiǎn)分析,第二部分,13,信息系統(tǒng)風(fēng)險(xiǎn)分析,信息系統(tǒng)開(kāi)發(fā)和運(yùn)行風(fēng)險(xiǎn),信息系統(tǒng)的舞弊,信息系統(tǒng)固有的脆弱性和缺陷,信息系統(tǒng)應(yīng)用和管理的問(wèn)題,14,信息系統(tǒng)風(fēng)險(xiǎn)分析,軟件系統(tǒng)的脆弱性,硬件的脆弱性,網(wǎng)絡(luò)和通信協(xié)議,信息系統(tǒng)固有的脆弱性和缺陷,軟件系統(tǒng)的安全隱

3、患來(lái)源于設(shè)計(jì)和軟件工程實(shí)施中的遺留問(wèn)題。,信息系統(tǒng)硬件組件的安全隱患多數(shù)來(lái)源于設(shè)計(jì)，主要表現(xiàn)為物理安全方面的問(wèn)題。,互聯(lián)網(wǎng)是一個(gè)沒(méi)有明確物理界限的網(wǎng)際，而TCP/IP協(xié)議棧在設(shè)計(jì)時(shí)考慮了互聯(lián)互通和資源共享的問(wèn)題，無(wú)法兼容解決來(lái)自網(wǎng)際的大量安全問(wèn)題。,15,信息系統(tǒng)風(fēng)險(xiǎn)分析,16,信息系統(tǒng)風(fēng)險(xiǎn)分析,企業(yè)規(guī)模大，信息系統(tǒng)的結(jié)構(gòu)就會(huì)復(fù)雜，發(fā)生信息錯(cuò)誤的機(jī)會(huì)增多 。,授權(quán)文件或注冊(cè)系統(tǒng)的密碼一旦被冒用或一人掌握多個(gè)級(jí)別操作密碼,權(quán)限就會(huì)失控。,信息系統(tǒng)中，業(yè)務(wù)人員可能一人身兼多個(gè)職能，極易出現(xiàn)錯(cuò)弊。,信息系統(tǒng)應(yīng)用和管理的問(wèn)題,數(shù)據(jù)完整性較難保證,授權(quán)管理的問(wèn)題,職責(zé)分離失效,17,信息系統(tǒng)風(fēng)險(xiǎn)分析,信

4、息系統(tǒng)開(kāi)發(fā)和運(yùn)行風(fēng)險(xiǎn),3.系統(tǒng)運(yùn)行維護(hù)和安全措施不到位，可能導(dǎo)致信息泄漏或毀損，系統(tǒng)無(wú)法正常運(yùn)行。,2.系統(tǒng)開(kāi)發(fā)不符合內(nèi)部控制要求，授權(quán)管理不當(dāng)，可能導(dǎo)致無(wú)法利用信息技術(shù)實(shí)施有效控制。,1.信息系統(tǒng)缺乏或規(guī)劃不合理，可能造成信息孤島或重復(fù)建設(shè)，導(dǎo)致企業(yè)經(jīng)營(yíng)管理效率低下。,18,1,2,3,概述,信息系統(tǒng)風(fēng)險(xiǎn)分析,風(fēng)險(xiǎn)控制點(diǎn),第三部分,19,風(fēng)險(xiǎn)控制點(diǎn),1.信息安全,2.物理安全和環(huán)境控制,3.病毒防御, 信息安全政策 邏輯安全 用戶授權(quán)流程 關(guān)鍵應(yīng)用系統(tǒng)訪問(wèn)管理規(guī)定 操作系統(tǒng)安全管理規(guī)定 數(shù)據(jù)庫(kù)安全管理規(guī)定 信息系統(tǒng)密碼管理策略 系統(tǒng)管理員管理策略, 機(jī)房管理規(guī)定 機(jī)房訪問(wèn)日志 機(jī)房訪問(wèn)授權(quán)清

5、單, 病毒防御政策 病毒掃描和病毒庫(kù)更新記錄,信息系統(tǒng)控制的基本內(nèi)容 ：,20,4.信息系統(tǒng)日常運(yùn)作,5.應(yīng)用系統(tǒng)實(shí)施與維護(hù),6.應(yīng)用系統(tǒng)實(shí)施與維護(hù),IT部門日常工作制度 非緊急事件處理程序 緊急事件處理程序 問(wèn)題管理處理程序 系統(tǒng)運(yùn)行監(jiān)控 用戶培訓(xùn)記錄 IT熱線 數(shù)據(jù)庫(kù)文件檢查記錄,應(yīng)用系統(tǒng)開(kāi)發(fā)與維護(hù)政策和制度 系統(tǒng)需求管理 系統(tǒng)變更管理系統(tǒng)設(shè)計(jì)和開(kāi)發(fā) 系統(tǒng)測(cè)試管理系統(tǒng)發(fā)布管理 系統(tǒng)上線管理 系統(tǒng)版本管理 系統(tǒng)實(shí)施用戶培訓(xùn)記錄 系統(tǒng)實(shí)施評(píng)估,應(yīng)用系統(tǒng)開(kāi)發(fā)與維護(hù)政策和制度 系統(tǒng)需求管理 系統(tǒng)變更管理系統(tǒng)設(shè)計(jì)和開(kāi)發(fā) 系統(tǒng)測(cè)試管理系統(tǒng)發(fā)布管理 系統(tǒng)上線管理 系統(tǒng)版本管理 系統(tǒng)實(shí)施用戶培訓(xùn)記錄 系統(tǒng)

6、實(shí)施評(píng)估,風(fēng)險(xiǎn)控制點(diǎn),21,風(fēng)險(xiǎn)控制點(diǎn), 數(shù)據(jù)庫(kù)字典更新和維護(hù)規(guī)范 數(shù)據(jù)庫(kù)管理員權(quán)限和用戶權(quán)限管理 數(shù)據(jù)庫(kù)結(jié)構(gòu)修改流程 后臺(tái)數(shù)據(jù)庫(kù)修改流程, 備份策略 備份時(shí)間表和日志復(fù)合記錄 數(shù)據(jù)恢復(fù)測(cè)試計(jì)劃 災(zāi)難恢復(fù)應(yīng)急預(yù)案, 網(wǎng)絡(luò)使用和維護(hù)制度 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu) 網(wǎng)絡(luò)設(shè)備上線測(cè)試制度 網(wǎng)絡(luò)參數(shù)調(diào)整變更管理制度 網(wǎng)絡(luò)日常監(jiān)控,8.災(zāi)備與業(yè)務(wù)持續(xù)計(jì)劃,9.網(wǎng)絡(luò)支持,7.數(shù)據(jù)庫(kù)支持與實(shí)施,22,風(fēng)險(xiǎn)控制點(diǎn),10.硬件支持,11.系統(tǒng)軟件支持,12. 應(yīng)用控制, 硬件設(shè)備使用和維護(hù)制度 硬件設(shè)備拓?fù)浣Y(jié)構(gòu) 硬件設(shè)備設(shè)備采購(gòu)制度 硬件設(shè)備安裝測(cè)試 硬件設(shè)備升級(jí)管理 硬件設(shè)備日常監(jiān)控, 系統(tǒng)軟件采購(gòu)控 系統(tǒng)軟件變更和測(cè)試

7、 系統(tǒng)軟件參數(shù)設(shè)置 管理層對(duì)變更的審批, 輸入控制 輸出控制 訪問(wèn)控制 處理控制 職責(zé)分離,23,1,2,3,4,概述,信息系統(tǒng)風(fēng)險(xiǎn)分析,風(fēng)險(xiǎn)控制點(diǎn),信息系統(tǒng)主要風(fēng)險(xiǎn)控制措施,第四部分,24,信息系統(tǒng)主要風(fēng)險(xiǎn)控制措施,會(huì)計(jì)信息系統(tǒng)控制,信息系統(tǒng)的運(yùn)行與維護(hù)控制,信息系統(tǒng)控制類型,信息安全控制,信息系統(tǒng)的開(kāi)發(fā)過(guò)程的控制,25,信息系統(tǒng)主要風(fēng)險(xiǎn)控制措施,一般控制在人員控制、邏輯訪問(wèn)控制、設(shè)備和業(yè)務(wù)連續(xù)性這些方面進(jìn)行控制。,應(yīng)用控制與管理政策配合，對(duì)程序和輸入、處理和輸出數(shù)據(jù)進(jìn)行適當(dāng)?shù)目刂?。,最常用的網(wǎng)絡(luò)控制有防火墻、數(shù)據(jù)加密、授權(quán)和病毒等的防護(hù)。,在軟件采購(gòu)和軟件使用環(huán)節(jié)進(jìn)行軟件使用及盜版的控制

8、。,26,信息系統(tǒng)主要風(fēng)險(xiǎn)控制措施,對(duì)未經(jīng)授權(quán)的訪問(wèn)造成的后果提出修正的方法。,日志能夠保存那些未經(jīng)授權(quán)的訪問(wèn)記錄。,確定可能的問(wèn)題并提出適當(dāng)?shù)目刂啤?將發(fā)生風(fēng)險(xiǎn)的可能降至最低，例如，防火墻可以防止未經(jīng)授權(quán)的訪問(wèn)。,(二)信息安全控制,27,信息系統(tǒng)主要風(fēng)險(xiǎn)控制措施,（三）信息系統(tǒng)的開(kāi)發(fā)過(guò)程控制,企業(yè)應(yīng)當(dāng)根據(jù)信息系統(tǒng)建設(shè)整體規(guī)劃提出項(xiàng)目建設(shè)方案，明確建設(shè)目標(biāo)、人員。,企業(yè)開(kāi)發(fā)信息系統(tǒng)應(yīng)當(dāng)將生產(chǎn)經(jīng)營(yíng)管理業(yè)務(wù)流程、關(guān)鍵控制點(diǎn)和處理規(guī)則嵌入系統(tǒng)程序，實(shí)現(xiàn)手工環(huán)境下難實(shí)現(xiàn)的控制功能。,管理部門應(yīng)加強(qiáng)信息系統(tǒng)開(kāi)發(fā)全過(guò)程的跟蹤管理，組織開(kāi)發(fā)單位與內(nèi)部各單位的溝通和協(xié)調(diào)，督促開(kāi)發(fā)單位按建設(shè)方案、計(jì)劃進(jìn)度和質(zhì)

9、量要求。,企業(yè)應(yīng)組織獨(dú)立于開(kāi)發(fā)單位的專業(yè)機(jī)構(gòu)對(duì)開(kāi)發(fā)完成的信息系統(tǒng)進(jìn)行驗(yàn)收測(cè)試，確保在功能、性能、控制要求和安全性等方面符合開(kāi)發(fā)需求。,企業(yè)應(yīng)當(dāng)切實(shí)做好信息系統(tǒng)上線的各項(xiàng)準(zhǔn)備工作，培訓(xùn)業(yè)務(wù)操作和系統(tǒng)管理人。,28,信息系統(tǒng)主要風(fēng)險(xiǎn)控制措施,（四）信息系統(tǒng)的運(yùn)行與維護(hù)控制 ：,企業(yè)應(yīng)當(dāng)加強(qiáng)信息系統(tǒng)運(yùn)行與維護(hù)的管理，制定信息系統(tǒng)工作程序、信息管理。制度以及各模塊子系統(tǒng)的具體操作規(guī)范，及時(shí)跟蹤、發(fā)現(xiàn)和解決系統(tǒng)運(yùn)行中存在的問(wèn)題，確保信息系統(tǒng)按照規(guī)定的程序、制度和操作規(guī)范持續(xù)穩(wěn)定運(yùn)行。,企業(yè)應(yīng)根據(jù)業(yè)務(wù)性質(zhì)、重要性程度、涉密情況等確定信息系統(tǒng)的安全等級(jí)，建立不同等級(jí)信息的授權(quán)使用制度，采用相應(yīng)技術(shù)手段保證信

10、息系統(tǒng)運(yùn)行安全有序。, 企業(yè)應(yīng)當(dāng)建立用戶管理制度，加強(qiáng)對(duì)重要業(yè)務(wù)系統(tǒng)的訪問(wèn)權(quán)限管理，定期審閱系統(tǒng)賬號(hào)，避免授權(quán)不當(dāng)或存在非授權(quán)賬號(hào)，禁止不相容職務(wù)用戶賬號(hào)的交叉操作。,29,信息系統(tǒng)主要風(fēng)險(xiǎn)控制措施, 企業(yè)應(yīng)當(dāng)綜合利用防火墻、路由器等網(wǎng)絡(luò)設(shè)備，漏洞掃描、入侵檢測(cè)等軟件技術(shù)以及遠(yuǎn)程訪問(wèn)安全策略等手段，加強(qiáng)網(wǎng)絡(luò)安全，防范來(lái)自網(wǎng)絡(luò)的攻擊和非法侵入。, 企業(yè)應(yīng)當(dāng)建立系統(tǒng)數(shù)據(jù)定期備份制度，明確備份范圍、頻度、方法、責(zé)任人、存放地點(diǎn)、有效性檢查等內(nèi)容。, 企業(yè)應(yīng)當(dāng)加強(qiáng)服務(wù)器等關(guān)鍵信息設(shè)備的管理，建立良好的物理環(huán)境，指定專人負(fù)責(zé)檢查， 及時(shí)處理異常情況。未經(jīng)授權(quán)， 任何人不得接觸關(guān)鍵信息設(shè)備。,30,信息系

11、統(tǒng)主要風(fēng)險(xiǎn)控制措施,1組織控制,3資源控制,2操作控制,4應(yīng)用控制,將組織作為控制的對(duì)象和手段，通過(guò)建立起具有控制能力的組織結(jié)構(gòu)、采用滿足控制要求的組織流程、構(gòu)筑認(rèn)同和重視控制的組織文化，達(dá)到控制的目標(biāo)。,硬件資源控制 軟件資源控制 數(shù)據(jù)資源控制 檔案資料控制,操作控制主要是建立和實(shí)施操作管理制度，對(duì)系統(tǒng)使用、操作規(guī)程和會(huì)計(jì)業(yè)務(wù)處理幾方面做出規(guī)定。,應(yīng)用控制是對(duì)具體業(yè)務(wù)處理過(guò)程實(shí)施的控制。,（五）會(huì)計(jì)信息系統(tǒng)控制：,31,1,2,3,4,5,概述,信息系統(tǒng)風(fēng)險(xiǎn)分析,風(fēng)險(xiǎn)控制點(diǎn),主要風(fēng)險(xiǎn)控制措施,案例分析,第五部分,32,案例分析,（一）公司簡(jiǎn)介,申銀萬(wàn)國(guó)證券股份有限公司是我國(guó)較知名的證券公司之

12、一，也是國(guó)內(nèi)最早實(shí)行會(huì)計(jì)電算化的證券公司。早在1993年公司就開(kāi)始試用財(cái)務(wù)系統(tǒng)，并于1996年在全公司推廣使用。 當(dāng)時(shí)使用的運(yùn)行在NOVELL網(wǎng)上的6.03DOS版用友賬務(wù)系統(tǒng)為申銀萬(wàn)國(guó)公司的財(cái)務(wù)工作起了重要的作用，把財(cái)務(wù)人員從手工操作的繁重低效勞動(dòng)中解放了出來(lái)。 但是隨著公司業(yè)務(wù)的不斷拓展和規(guī)模的擴(kuò)大，原有單機(jī)版分散化財(cái)務(wù)信息系統(tǒng)固有的缺陷給集團(tuán)公司的管理帶來(lái)一系列問(wèn)題，已經(jīng)不能適應(yīng)申銀萬(wàn)國(guó)公司現(xiàn)代化管理的需要。,案例分析,2000年8月開(kāi)始實(shí)施“申銀萬(wàn)國(guó)證券股份有限公司財(cái)務(wù)管理信息系統(tǒng)”。,原有系統(tǒng)相對(duì)分散獨(dú)立,整合性差，不能滿足集中式管理要求,證券業(yè)務(wù)系統(tǒng)與財(cái)務(wù)不能實(shí)現(xiàn)數(shù)據(jù)共享和傳遞,案例分析,解決方案,面向整體化管理,采用一體化設(shè)計(jì)思路，徹底實(shí)現(xiàn)了數(shù)據(jù)的共享、交換和再應(yīng)用。,系統(tǒng)提供了理想的安全性保障功能，保證系統(tǒng)的安全