中国联通IT内控体系建立与实施(PPT 41页)(1)
合集下载
IT内控体系建立与实施.pptx
企业信息化工作
信息系统建设与运营
信息化管理控制 IT内控
41- 5
对财务数据来源控制的途径
• SOX404强调财务报告数据来源的准确与控制。 • 财务报告数据来源的内部控制包括信息系统控制、电子表格控制、人
工处理数据控制等三个方面。 • 2006年原网通河北省分公司IT内控工作组承担了IT内控、电子表格内
ISO/IEC 17799
Cobit
信息系统安全
信息系统操作
变更管理
应用系统、数据 库实施与支持
一般安全管理 操作系统 安全管理
数据库安全管理
网络安全管理
应用系统 安全管理
防病毒安全管理
批处理程序管理
备份 信息化用户 支撑体系 紧急应变及 系统恢复
ITIL
应用系统变更
应用系统采购
操作系统变更
应用系统、数据库 开发与实施
41- 14
IT内控管理内部环境分析
• 从内部环境Βιβλιοθήκη ,2006年以前,网通河北省分公司企业信息系统建设相对 通信专业起步晚、信息化管理基础薄弱,表现在两个方面:
• 1、已有信息系统功能大部分不能满足IT内控条款要求; • 2、所属各单位还没有形成系统的IT管理控制流程,存在控制风险。
41- 15
2006年原网通河北省分公司IT内控开展的工作
41- 2
内部控制基本执行路径
在美国上市的公司请管理咨询公司,制定满足SOX 要求,遵循COSO框架的制度 在企业各个层面落实
企业请外审公司对执行情况进行审计,得出结论。 在资本市场公布审计结果
41- 3
每年内控工作各阶段划分
工作进度
各单位改进
省公司组 织检查
信息系统建设与运营
信息化管理控制 IT内控
41- 5
对财务数据来源控制的途径
• SOX404强调财务报告数据来源的准确与控制。 • 财务报告数据来源的内部控制包括信息系统控制、电子表格控制、人
工处理数据控制等三个方面。 • 2006年原网通河北省分公司IT内控工作组承担了IT内控、电子表格内
ISO/IEC 17799
Cobit
信息系统安全
信息系统操作
变更管理
应用系统、数据 库实施与支持
一般安全管理 操作系统 安全管理
数据库安全管理
网络安全管理
应用系统 安全管理
防病毒安全管理
批处理程序管理
备份 信息化用户 支撑体系 紧急应变及 系统恢复
ITIL
应用系统变更
应用系统采购
操作系统变更
应用系统、数据库 开发与实施
41- 14
IT内控管理内部环境分析
• 从内部环境Βιβλιοθήκη ,2006年以前,网通河北省分公司企业信息系统建设相对 通信专业起步晚、信息化管理基础薄弱,表现在两个方面:
• 1、已有信息系统功能大部分不能满足IT内控条款要求; • 2、所属各单位还没有形成系统的IT管理控制流程,存在控制风险。
41- 15
2006年原网通河北省分公司IT内控开展的工作
41- 2
内部控制基本执行路径
在美国上市的公司请管理咨询公司,制定满足SOX 要求,遵循COSO框架的制度 在企业各个层面落实
企业请外审公司对执行情况进行审计,得出结论。 在资本市场公布审计结果
41- 3
每年内控工作各阶段划分
工作进度
各单位改进
省公司组 织检查
中国联通IT系统数据架构规范总册
百度文库- 让每个人平等地提升自我中国联通IT系统数据架构规范总册China Unicom IT System Data Architecture Specification(V 1.0)目次前言 (II)一.范围 (1)二.企业数据架构 (2)1.企业数据分类 (3)2.企业数据分布 (3)3.数据模型 (5)前言《中国联通IT系统数据架构》系列规范在《中国联通IT系统总体技术体制》指导下编制完成,包括如下分册:中国联通IT系统数据架构第1部分:总册中国联通IT系统数据架构第2部分:数据分类和分布规范分册中国联通IT系统数据架构第3部分:企业数据模型规范分册中国联通IT系统数据架构第4部分:企业数据仓库规范分册本册是该系列规范中的第1部分:总册,概述了中国联通企业数据总体架构和各分册的主要内容。
规范的附件全部为规范的组成部分,如无特殊说明和本规范的正文具有同等约束力。
本标准由中国联通公司信息化部提出。
本标准由中国联通公司技术部归口。
本标准主要起草单位:中讯邮电咨询设计院、联通信息化部本标准主要起草人:刘诚明、李旭、陈志超、王颖、杜志涛、梅斌、李吴剑、孙元涛本标准解释权和修订权属中国联通公司。
一. 范围本系列规范目前包括以下几个部分:(1)中国联通IT系统数据架构第1部分:总册主要内容包括:——企业数据架构——系列技术规范构成(2)中国联通IT系统数据架构第2部分:数据分类和分布规范分册主要内容包括:——企业数据分类——企业数据分布——企业数据CRUD(3)中国联通IT系统数据架构第3部分:企业数据模型规范分册主要内容包括:——联通数据模型体系——概念数据模型——逻辑数据模型(4)中国联通IT系统数据架构第4部分:企业数据仓库规范分册二. 企业数据架构图 2-1 中国联通企业数据架构数据是中国联通企业运营过程中积累的宝贵财富。
数据存在于操作环境和分析环境中,操作环境支撑基本的业务运作,分析环境在整合、提炼操作环境数据的基础上支撑企业的决策分析需求。
中国联通信息化环境下资源配置与内部控制体系(外部演讲稿)PPT幻灯片课件
面对诸多问题,联通在思考…….
缺少事前、事中的监控手段,而较多依靠事
难营
系统
后的抽样核查;
以不
缺少IT管理系统的有效支撑,依赖个人主观 意识;
落够 地紧 ,密
分散化的系统难以承载一体 化的业务管理;
业务
8
2 移动互联网的发展,为运营商改变其在电信产业链上的位置带来了挑
战与机遇,中国联通应该如何抓住这个机遇?
以破解“一管就死、一放就乱”和 “管了风险、没了效率” 的困局……
组织架构
中国联通集团
指标层层加码
资省2
省n
335 本地网 市1
…
市n
县1 … 县n
>100000 网 营业网点 点
…
网 点
n 1
指标和资源不匹配!控制和风险不平衡!效率和期望打折扣!
7
1 在作业层面,采取怎样的策略和方法控制企业风险
2008年中国联通进行了一次大规模的重组。联通与网通合并不同于一般意义上公司间的收购兼并,是两家公司内 部管理资源的全方位整合,如何规避融合风险,将调整转变为契机,建立中国联通新的管理体制与公司文化。
公司融合框架
战略 规划 核心竞争力
战略 规划 核心竞争力
组织架构 人员/技术
组织 架构
组织架构
人员与技术 人员/技术
企业文化
企业文化
企业文化
领导力与绩效
领导力与绩效 领导力与绩效
业务流程
业务流程与管理制度
业务流程
会计职能
会计职能
会计职能
信息化技术平台
L1 战略融合 L2 组织融合 L3 文化融合 L4 业务流程融合
L5 会计职能融合 L6 系统融合
IT内控体系建立与实施
一般安全管理 操作系统 安全管理
数据库安全管理
网络安全管理
应用系统 安全管理
防病毒安全管理
批处理程序管理
备份 信息化用户 支撑体系 紧急应变及 系统恢复
ITIL
应用系统变更
应用系统采购
操作系统变更
应用系统、数据库 开发与实施
数据库系统变更
网络变更
物理安全管理
41- 9
举例:信息系统安全内控架构
一般安全管理
IT内控体系建立与实施
中国联合网络通信有限公司河北省分公司高级工程师 屈玉阁 2009年5月15日
原中国网通内控测试结果零缺陷
• 为了达到在美国上市公司萨班斯法案的要求,原中国网通公司在近三年 的时间里,完成了147个单位的内控体系建设,共梳理内控流程6920个, 对近16000个关键控制活动进行了测试。经过世界知名的普华永道会计 师事务所审计,中国网通(集团)有限公司测试结果为零缺陷,内控工 作最终取得令人满意的实质效果。
41- 2
内部控制基本执行路径
在美国上市的公司请管理咨询公司,制定满足SOX 要求,遵循COSO框架的制度 在企业各个层面落实
企业请外审公司对执行情况进行审计,得出结论。 在资本市场公布审计结果
41- 3
每年内控工作各阶段划分
工作进度
各单位改进
省公司组 织检查
各单位依据本地 化控制活动检查 实际工作中差距, 并改正。
依据内控模板 制定、修正本 地化控制活动
外审第一 次测试
各单位改进
外审第二 次测试
日期
41- 4
企业信息化工作基本内容
• 企业信息化工作分为两部分,一是信息系统建设,二是信息化管理控制。 • IT内控是为保证财务报告数据的真实准确而对信息系统及管理环境采取
内部控制制度设计及其实施问题--以中国联通为例
关 键 词 : 内部 控 制 ;体 系设 计 ; 实施 情 况 ;优 化 方 案
一
、
中国联通 内部控制设计及实施情况
1 . 中 国联 通 建 立 健 全 内控 体 系的 简介
Байду номын сангаас
对 于中国联通来说 ,内部控 制是 公 司提高 经 营管理 水平 的必 然选 择, 也 是证券监管机构对上市公司加强监管的客观要求 。加强 内部控制 建设首先 是公 司保持可持续发展的战略需要 。中国联通经过 十几年的跨 越式发 展 ,网络 、资产 、收入规模都实现了大幅度的提升 ,同时也在美 国、 香 港 、上海三地成功上市 ,成 为我 国一家大 型基础 电信运 营企业 。 但是 与业 务快 速发展和企业整体规模迅速扩张不相适应 的是公 司内部基 础管理 工作薄弱 ,重发展 ,轻管理 ,风险控制方面还存在 一定 漏洞 。关 于内部 控制中国联通 2 0 1 4年年报是这样披露 的。
1 . 内部 控 制认 识 不 足 ,控 制 环 境 不 理 想
2 0 0 3年后 ,应 国际资 本市场 监管 要求 ,中国联 通按 照统 一部署 实 施 内部控 制建设 ,通 过逐年评估 、修订完善 ,公司内控评估工作 不断推 进 和完善 ,各 级管理层 及普通员工对内控的意识 不断提高 ,内控工作虽 然得到管理层 的高度 重视 ,内控实施 也取得较好 成绩 ,但仍有少 数管理 人员和部分员 工对 内控的认 识还 不够 ,执行 力度 不强 ,削弱 了 内控效 果 ,影 响企业 管理水 平的提升。主要表现为 : ( 1 )部分基层单位管理层 内控意识有待进一步加强 在企业经 营管理 中 ,管理者的管理理念 、价值观和个人风格 发挥着 重要 的作用 , 其业务 素质的高低不同 , 对 企业发展所产生 的影 响也完全 不 同。部分基层公 司的管理者在经营管理上存在着短期行 为,对 整体和 长远 的内部控制 观念 比较缺乏 。受 经营压 力和个 人职业 生涯发展 影响 , 为完成上级经 营考核 指标和达到年度工作 考评要求 。重视业务量 收的预 算目 标完成与否 , 对用 户 A R P U值 、欠 费率 、 利 润率和保存维 系等指标 管控欠佳 , 导致 财务信 息失 真现象发生。这些情 况一方面不利 于推进企 业经营管理水平 的提 升 ;另一方面也失去内控工作的意义 ,内控 工作效 果也受 到削弱 。 ( 2 )部分员工 内控意识不强 ,对 内控认识有待提高 部分员工认 为内部 控制只是公 司实施 的一项 管理制度 ,公 司怎么规 定 的就怎 么做 ,照办 就行 ,缺乏参 加内部 控制建立和实施 的主 动性和积 极性 ,参持消极应付态度 ,部分存 在走形 式 、 走 过场等现象 ,甚 至有人 认为 内部控制 工作 只是 财务 、审计 部门的事。因为从集 团公 司、省公司 到各市分公 司内部控制 的建 立 、实施 ,都 是财务部门牵头组织建 立和实 施 ,内部 审计部 门牵 头组织评估 ,按照谁 牵头 、谁负责 的原则 ,参加 内 部控制工作 ,只是配合 财务 审计部 门工作 而己 , 从 而导致 内部控 制 自我 评估过程 中出现 消极应对 和走 过场 现象。 三 、 中 国联 通 内 部 控 制体 系 运 行 的优 化 国有企业是 我困困民经济的支柱 。中国联通 是国有企业 ,对 市场具 有主导性 的作用 。中国联通作 为国家企业 在市场中具有重要 的作用。能 够更好 的推进社会 主义体制 下经济 的繁荣 与生产 力的发展 ,能够 有效 的
一
、
中国联通 内部控制设计及实施情况
1 . 中 国联 通 建 立 健 全 内控 体 系的 简介
Байду номын сангаас
对 于中国联通来说 ,内部控 制是 公 司提高 经 营管理 水平 的必 然选 择, 也 是证券监管机构对上市公司加强监管的客观要求 。加强 内部控制 建设首先 是公 司保持可持续发展的战略需要 。中国联通经过 十几年的跨 越式发 展 ,网络 、资产 、收入规模都实现了大幅度的提升 ,同时也在美 国、 香 港 、上海三地成功上市 ,成 为我 国一家大 型基础 电信运 营企业 。 但是 与业 务快 速发展和企业整体规模迅速扩张不相适应 的是公 司内部基 础管理 工作薄弱 ,重发展 ,轻管理 ,风险控制方面还存在 一定 漏洞 。关 于内部 控制中国联通 2 0 1 4年年报是这样披露 的。
1 . 内部 控 制认 识 不 足 ,控 制 环 境 不 理 想
2 0 0 3年后 ,应 国际资 本市场 监管 要求 ,中国联 通按 照统 一部署 实 施 内部控 制建设 ,通 过逐年评估 、修订完善 ,公司内控评估工作 不断推 进 和完善 ,各 级管理层 及普通员工对内控的意识 不断提高 ,内控工作虽 然得到管理层 的高度 重视 ,内控实施 也取得较好 成绩 ,但仍有少 数管理 人员和部分员 工对 内控的认 识还 不够 ,执行 力度 不强 ,削弱 了 内控效 果 ,影 响企业 管理水 平的提升。主要表现为 : ( 1 )部分基层单位管理层 内控意识有待进一步加强 在企业经 营管理 中 ,管理者的管理理念 、价值观和个人风格 发挥着 重要 的作用 , 其业务 素质的高低不同 , 对 企业发展所产生 的影 响也完全 不 同。部分基层公 司的管理者在经营管理上存在着短期行 为,对 整体和 长远 的内部控制 观念 比较缺乏 。受 经营压 力和个 人职业 生涯发展 影响 , 为完成上级经 营考核 指标和达到年度工作 考评要求 。重视业务量 收的预 算目 标完成与否 , 对用 户 A R P U值 、欠 费率 、 利 润率和保存维 系等指标 管控欠佳 , 导致 财务信 息失 真现象发生。这些情 况一方面不利 于推进企 业经营管理水平 的提 升 ;另一方面也失去内控工作的意义 ,内控 工作效 果也受 到削弱 。 ( 2 )部分员工 内控意识不强 ,对 内控认识有待提高 部分员工认 为内部 控制只是公 司实施 的一项 管理制度 ,公 司怎么规 定 的就怎 么做 ,照办 就行 ,缺乏参 加内部 控制建立和实施 的主 动性和积 极性 ,参持消极应付态度 ,部分存 在走形 式 、 走 过场等现象 ,甚 至有人 认为 内部控制 工作 只是 财务 、审计 部门的事。因为从集 团公 司、省公司 到各市分公 司内部控制 的建 立 、实施 ,都 是财务部门牵头组织建 立和实 施 ,内部 审计部 门牵 头组织评估 ,按照谁 牵头 、谁负责 的原则 ,参加 内 部控制工作 ,只是配合 财务 审计部 门工作 而己 , 从 而导致 内部控 制 自我 评估过程 中出现 消极应对 和走 过场 现象。 三 、 中 国联 通 内 部 控 制体 系 运 行 的优 化 国有企业是 我困困民经济的支柱 。中国联通 是国有企业 ,对 市场具 有主导性 的作用 。中国联通作 为国家企业 在市场中具有重要 的作用。能 够更好 的推进社会 主义体制 下经济 的繁荣 与生产 力的发展 ,能够 有效 的
联通信息系统内控构建综述
联通信息系统内控构建综述近年来,国内外一系列公司财务舞弊事件中所暴露出的企业会计信息系统方面存在的缺陷,被认为的一个重要原因是因为企业内部控制的不健全。
因此,对于如何建立有效的内部控制制度受到了各国监管机构的高度重视。
2002年,美国颁布了SOX法案,2008年6月28日,我国财政部等五部门也发布《企业内部控制基本规范》,以促进上市公司内部控制的建设与完善。
同时对于建立了信息管理系统的企业也要做好信息系统的内部控制制度,以提高信息系统安全性、可靠性、合理性。
本文以广东联通为研究对象,在介绍其信息系统内部控制建设的基础上,谈谈对信息系统内部控制研究的一些体会。
一、广东联通信息系统内部控制的建设1.成立信息化管理部门广东联通属于电信行业,其生产经营与IT有着密切的联系。
为此,公司设立了信息化管理部门,包括业务支撑系统部和管理信息系统部。
其中业务支撑系统部共有员工63人,下设8个科室:计费结算室、营业管理室、报表管理室、系统支持室、产品服务室、渠道销售室、IT研发室、综合规划室。
主要负责公司的与信息化有关的具体业务;管理信息系统部下设两个科室,规划建设室和运行维护室。
主要负责公司管理信息系统的战略规划和日常运行维护等工作。
2.信息化管理部主要负责信息系统内部控制的建设广东联通的信息系统内部控制建设工作由信息化管理部门(业务支撑系统部和管理信息系统部统称为信息化管理部门)组织实施。
信息系统内部控制包括信息系统一般控制(或总体控制)和信息系统应用控制。
信息系统的一般控制是指对信息系统的开发和应用环境进行的控制。
信息系统的应用控制是指利用信息系统对业务处理实施的控制。
3.信息系统内部控制的主要手段(1)基于BSS的内部控制手段广东联通不断完善和优化业务支撑系统域(BSS),重点加强分析型BSS系统的建设,利用其为客户提供方便、迅速和高品质的个性化与多元化服务,以达到对具体业务的控制。
(2)基于ERP的内部控制手段ERP系统是广东联通信息系统的重要组织部分,也是中国联通建设的第一个全公司、跨专业、跨部门、跨地区高度统一的管理信息平台。
中国联通IT内控体系建立与实施(PPT 41页)(1)
学习改变命运,知 识创造未来
中国联通IT内控体系建立与实施(PPT 41页)(1)
2006年原网通河北省分公司IT内控开展的工作
内控制度建设 贯彻风险管理方式,开展针对性培训 与信息化管理控制工作相结合,统一IT内控流程描述和文档格式。 问题整理及整改措施的落实 现场督导,提出具体的管理措施,保证通过普华永道的测试 开展信息系统风险评估,模拟演练预案 积极与相关部门沟通,解决COSO、UAT和久其系统存在的问题 组织各单位,有效开展电子表格内控管理。
举例:帐号安全设置
• IT维护部门系统管理员通过对系统进行安全参数设置,实现维护人员对操作系 统访问的限制,根据用户对操作系统访问需求的不同,由IT维护部门系统管理 员对用户访问操作系统进行安全参数设置,记录在《操作系统安全参数配置表 》<6171-1-2-10>。IT维护部门系统维护主管每月审核系统的安全参数设置。[ 操作系统维护人员必须通过设置操作系统的安全参数等安全措施限制对信息资 源的访问。](控制活动编号:<GC01.B-1>)。其中包含:
• 上述工作的开展,不仅仅统一了IT内控流程描述,也实现了河北省分公 司所属各单位信息化管理控制流程和文档的统一,为河北省分公司IT内 控在2006年满足SOX404形成了可量化的工作标准,由于各单位有同样 的文档格式,在IT内控工作深度和进度把握上取得了主动权,管理效果 非常直观,同时也降低了IT内控的工作难度。
学习改变命运,知 识创造未来
中国联通IT内控体系建立与实施(PPT 41页)(1)
四、问题整理及整改措施的落实(续)
• IT内控工作分为以信息系统程序功能实现的流程控制,以及对信息系统 外部环境的控制等两大类。
• 由于过去开发的信息系统没有按内控要求进行程序设计,所以,有些信 息系统实现的功能不能达到IT内控要求,而由于建设资金和建设周期的 原因,又不可能为实现IT内控要求立即实现信息系统改造,因此必须采 用人工控制来降低信息系统风险。
中国联通资源配置和管控体系
3
公司重组,机遇与挑战并存
2008年中国联通进行了一次大规模的重组。联通与网通合并不同于一般意义上公司间的收购兼 并,是两家公司内部管理资源的全方位整合。
公司融合框架
战略 规划 核心竞争力
战略 规划 核心竞争力
L1 战略融合
核心业务 支撑业务
核心 业务
支撑业务
核心业务 支撑业务
企业文化
企业文化
企业文化
广告 制作费
媒介、时间、单价
宣传 阶段
广告投放
媒介投放
媒介、面积、收益 期、单价
1. 同一活动类型在不同 本地网的责任主体
2. 不同活动类型在同一 本地网的责任主体
1. 统计类数据 2. 业务类数据 3. 评价类维度
1. 活动申请内容 2. 活动阶段管理 3. 活动标准工序
责任主 标准化
管理数据 标准化
资源需求!
资源获取! 资源消耗! 资源评价!
本质来说,解决好预算管控问题就必须要解决资源配置管控体系的问题!
7
目录
第一部分:面对融合,正视集团面临挑战 第二部分:顶层设计,创新资源管控模式 第三部分:整体规划,逐步推进管理转型
8
中国联通全面预算管理体系总体思路
资源配置和管控体系
中国联通 全面预算 管理体系
广浙 东江
335 本地网
市1 … 市n
县1 … 县n
10万个营业网点
网 点
… 网点n
中国联合网络通信集团有限公司(简称“中国联通”) 于2009年1月6日在原中国网通和原中国联通的基础上合 并组建而成,在国内31个省(自治区、直辖市)和境外 多个国家和地区设有分支机构,是中国唯一一家在纽约、 香港、上海三地同时上市的电信运营企业,连续多年入 选“世界500强企业”。
公司重组,机遇与挑战并存
2008年中国联通进行了一次大规模的重组。联通与网通合并不同于一般意义上公司间的收购兼 并,是两家公司内部管理资源的全方位整合。
公司融合框架
战略 规划 核心竞争力
战略 规划 核心竞争力
L1 战略融合
核心业务 支撑业务
核心 业务
支撑业务
核心业务 支撑业务
企业文化
企业文化
企业文化
广告 制作费
媒介、时间、单价
宣传 阶段
广告投放
媒介投放
媒介、面积、收益 期、单价
1. 同一活动类型在不同 本地网的责任主体
2. 不同活动类型在同一 本地网的责任主体
1. 统计类数据 2. 业务类数据 3. 评价类维度
1. 活动申请内容 2. 活动阶段管理 3. 活动标准工序
责任主 标准化
管理数据 标准化
资源需求!
资源获取! 资源消耗! 资源评价!
本质来说,解决好预算管控问题就必须要解决资源配置管控体系的问题!
7
目录
第一部分:面对融合,正视集团面临挑战 第二部分:顶层设计,创新资源管控模式 第三部分:整体规划,逐步推进管理转型
8
中国联通全面预算管理体系总体思路
资源配置和管控体系
中国联通 全面预算 管理体系
广浙 东江
335 本地网
市1 … 市n
县1 … 县n
10万个营业网点
网 点
… 网点n
中国联合网络通信集团有限公司(简称“中国联通”) 于2009年1月6日在原中国网通和原中国联通的基础上合 并组建而成,在国内31个省(自治区、直辖市)和境外 多个国家和地区设有分支机构,是中国唯一一家在纽约、 香港、上海三地同时上市的电信运营企业,连续多年入 选“世界500强企业”。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
中国联通IT内控体系建立与实施(PPT 41页)(1)
内部控制基本执行路径在美国上市公司请管理咨询公司,制定满足SOX 要求,遵循COSO框架的制度 在企业各个层面落实
企业请外审公司对执行情况进行审计,得出结论。 在资本市场公布审计结果
中国联通IT内控体系建立与实施(PPT 41页)(1)
每年内控工作各阶段划分
的管理控制工作,是信息化管理控制的一部分。
企业信息化工作
信息系统建设与运营
信息化管理控制
IT内控
中国联通IT内控体系建立与实施(PPT 41页)(1)
对财务数据来源控制的途径
• SOX404强调财务报告数据来源的准确与控制。 • 财务报告数据来源的内部控制包括信息系统控制、电子表格控制、人
工处理数据控制等三个方面。 • 2006年原网通河北省分公司IT内控工作组承担了IT内控、电子表格内
中国联通IT内控体系建立与实施(PPT 41页)(1)
IT内控管理内部环境分析
• 从内部环境看,2006年以前,网通河北省分公司企业信息系统建设相对 通信专业起步晚、信息化管理基础薄弱,表现在两个方面:
• 1、已有信息系统功能大部分不能满足IT内控条款要求; • 2、所属各单位还没有形成系统的IT管理控制流程,存在控制风险。
中国联通-IT内控体系建 立与实施(PPT 41页)(1)
2020/11/3
中国联通IT内控体系建立与实施(PPT 41页)(1)
原中国网通内控测试结果零缺陷
• 为了达到在美国上市公司萨班斯法案的要求,原中国网通公司在近三年 的时间里,完成了147个单位的内控体系建设,共梳理内控流程6920个, 对近16000个关键控制活动进行了测试。经过世界知名的普华永道会计 师事务所审计,中国网通(集团)有限公司测试结果为零缺陷,内控工 作最终取得令人满意的实质效果。
IT内控管理外部环境分析
• 从外部环境看,原网通公司内控条款共四百多条,其中IT内控条款占 52%;
• 涉及的专业为信息系统安全、变更、操作、信息系统采购与开发等四项 内容;
• 涉及的部门包括计划、工程建设、物流采购、综合部、财务、人力资源、 网络维护、信息系统支撑等八个部门。
• 电子表格内控工作更是涉及网通公司每个专业工作。 • 在时间要求上,原网通河北省分公司必须在2006年达到SOX404要求。
变更管理
应用系统、 数据库实 施与支持
信息系统 应用控制
计费帐 ERP
务系统
中国联通IT内控体系建立与实施(PPT 41页)(1)
一般性信息系统基本控制内容
ISO/IEC
Cobit
信息系统安全
信息系统操作
变更管理
应用系统、数据 库实施与支持
一般安全管理 批处理程序管理 应用系统变更
应用系统采购
操作系统 安全管理
备份
操作系统变更
应用系统、数据库 开发与实施
数据库安全管理
信息化用户 支撑体系
数据库系统变更
17 79
网络安全管理
紧急应变及 系统恢复
9
应用系统
安全管理
ITIL
防病毒安全管理
网络变更
物理安全管理
中国联通IT内控体系建立与实施(PPT 41页)(1)
举例:信息系统安全内控架构
一般安全管理
防病毒 安全
中国联通IT内控体系建立与实施(PPT 41页)(1)
2006年原网通河北省分公司IT内控开展的工作
内控制度建设 贯彻风险管理方式,开展针对性培训 与信息化管理控制工作相结合,统一IT内控流程描述和文档格式。 问题整理及整改措施的落实 现场督导,提出具体的管理措施,保证通过普华永道的测试 开展信息系统风险评估,模拟演练预案 积极与相关部门沟通,解决COSO、UAT和久其系统存在的问题 组织各单位,有效开展电子表格内控管理。
工作进度
各单位改进
省公司组 织检查
各单位依据本地 化控制活动检查 实际工作中差距, 并改正。
外审第一 次测试
各单位改进
外审第二 次测试
依据内控模板 制定、修正本 地化控制活动
日期
中国联通IT内控体系建立与实施(PPT 41页)(1)
企业信息化工作基本内容
• 企业信息化工作分为两部分,一是信息系统建设,二是信息化管理控制。 • IT内控是为保证财务报告数据的真实准确而对信息系统及管理环境采取
• 2007年5月31日,普华永道在美国证券交易委员会(SEC)的20F报告中, 对原中国网通内控工作正式出具了无保留意见的审计报告。至此,原中 国网通成为率先通过美国《萨班斯法案》404条款的国内电信运营商。 原网通河北省分公司作为网通集团内控模板推广试点单位,为原中国网 通集团通过美国《萨班斯法案》404条款做出了应有的贡献。
中国联通IT内控体系建立与实施(PPT 41页)(1)
举例:操作系统安全内控结构
操作系统安全综述 对用户的管理 帐号管理 认证管理 权限管理 对系统的管理 帐号安全设置 补丁安装 监控管理
中国联通IT内控体系建立与实施(PPT 41页)(1)
举例:帐号安全设置
• IT维护部门系统管理员通过对系统进行安全参数设置,实现维护人员对操作系 统访问的限制,根据用户对操作系统访问需求的不同,由IT维护部门系统管理 员对用户访问操作系统进行安全参数设置,记录在《操作系统安全参数配置表》 <6171-1-2-10>。IT维护部门系统维护主管每月审核系统的安全参数设置。[操 作系统维护人员必须通过设置操作系统的安全参数等安全措施限制对信息资源 的访问。](控制活动编号:<GC01.B-1>)。其中包含: – 对密码格式; – 无效登陆次数(三次); – 历史密码记忆个数; – 密码复杂度; – 密码长度(六位及以上); – 默认帐号锁定; – 帐号超时设置(10分钟); – 开放的端口和服务(要合理); – 日志的检查; – 系统的默认帐号。
控等两部分工作,其工作量占全部内控工作的60%。
财务报告
信 息 系 统 纸质报表
电子表格
中国联通IT内控体系建立与实施(PPT 41页)(1)
ITGC标准模板构成
中国联通IT内控体系建立与实施(PPT 41页)(1)
原网通公司IT内控涉及的领域
一般性信息系统 基本控制
信息系 统安全
信息系 统操作
中国联通IT内控体系建立与实施(PPT 41页)(1)
举例:应用系统、数据库开发内控结构
应用系统、数据库开发
需求分析 设计 编码 测试
新的应用系统的测试 新的数据结构的测试 新的系统软件的测试
新的网络的测试 开发变更管理
应用系统、数据库实施 割接
试运行 初验 正式运行 终验 后评估 文档管理
中国联通IT内控体系建立与实施(PPT 41页)(1)
内部控制基本执行路径在美国上市公司请管理咨询公司,制定满足SOX 要求,遵循COSO框架的制度 在企业各个层面落实
企业请外审公司对执行情况进行审计,得出结论。 在资本市场公布审计结果
中国联通IT内控体系建立与实施(PPT 41页)(1)
每年内控工作各阶段划分
的管理控制工作,是信息化管理控制的一部分。
企业信息化工作
信息系统建设与运营
信息化管理控制
IT内控
中国联通IT内控体系建立与实施(PPT 41页)(1)
对财务数据来源控制的途径
• SOX404强调财务报告数据来源的准确与控制。 • 财务报告数据来源的内部控制包括信息系统控制、电子表格控制、人
工处理数据控制等三个方面。 • 2006年原网通河北省分公司IT内控工作组承担了IT内控、电子表格内
中国联通IT内控体系建立与实施(PPT 41页)(1)
IT内控管理内部环境分析
• 从内部环境看,2006年以前,网通河北省分公司企业信息系统建设相对 通信专业起步晚、信息化管理基础薄弱,表现在两个方面:
• 1、已有信息系统功能大部分不能满足IT内控条款要求; • 2、所属各单位还没有形成系统的IT管理控制流程,存在控制风险。
中国联通-IT内控体系建 立与实施(PPT 41页)(1)
2020/11/3
中国联通IT内控体系建立与实施(PPT 41页)(1)
原中国网通内控测试结果零缺陷
• 为了达到在美国上市公司萨班斯法案的要求,原中国网通公司在近三年 的时间里,完成了147个单位的内控体系建设,共梳理内控流程6920个, 对近16000个关键控制活动进行了测试。经过世界知名的普华永道会计 师事务所审计,中国网通(集团)有限公司测试结果为零缺陷,内控工 作最终取得令人满意的实质效果。
IT内控管理外部环境分析
• 从外部环境看,原网通公司内控条款共四百多条,其中IT内控条款占 52%;
• 涉及的专业为信息系统安全、变更、操作、信息系统采购与开发等四项 内容;
• 涉及的部门包括计划、工程建设、物流采购、综合部、财务、人力资源、 网络维护、信息系统支撑等八个部门。
• 电子表格内控工作更是涉及网通公司每个专业工作。 • 在时间要求上,原网通河北省分公司必须在2006年达到SOX404要求。
变更管理
应用系统、 数据库实 施与支持
信息系统 应用控制
计费帐 ERP
务系统
中国联通IT内控体系建立与实施(PPT 41页)(1)
一般性信息系统基本控制内容
ISO/IEC
Cobit
信息系统安全
信息系统操作
变更管理
应用系统、数据 库实施与支持
一般安全管理 批处理程序管理 应用系统变更
应用系统采购
操作系统 安全管理
备份
操作系统变更
应用系统、数据库 开发与实施
数据库安全管理
信息化用户 支撑体系
数据库系统变更
17 79
网络安全管理
紧急应变及 系统恢复
9
应用系统
安全管理
ITIL
防病毒安全管理
网络变更
物理安全管理
中国联通IT内控体系建立与实施(PPT 41页)(1)
举例:信息系统安全内控架构
一般安全管理
防病毒 安全
中国联通IT内控体系建立与实施(PPT 41页)(1)
2006年原网通河北省分公司IT内控开展的工作
内控制度建设 贯彻风险管理方式,开展针对性培训 与信息化管理控制工作相结合,统一IT内控流程描述和文档格式。 问题整理及整改措施的落实 现场督导,提出具体的管理措施,保证通过普华永道的测试 开展信息系统风险评估,模拟演练预案 积极与相关部门沟通,解决COSO、UAT和久其系统存在的问题 组织各单位,有效开展电子表格内控管理。
工作进度
各单位改进
省公司组 织检查
各单位依据本地 化控制活动检查 实际工作中差距, 并改正。
外审第一 次测试
各单位改进
外审第二 次测试
依据内控模板 制定、修正本 地化控制活动
日期
中国联通IT内控体系建立与实施(PPT 41页)(1)
企业信息化工作基本内容
• 企业信息化工作分为两部分,一是信息系统建设,二是信息化管理控制。 • IT内控是为保证财务报告数据的真实准确而对信息系统及管理环境采取
• 2007年5月31日,普华永道在美国证券交易委员会(SEC)的20F报告中, 对原中国网通内控工作正式出具了无保留意见的审计报告。至此,原中 国网通成为率先通过美国《萨班斯法案》404条款的国内电信运营商。 原网通河北省分公司作为网通集团内控模板推广试点单位,为原中国网 通集团通过美国《萨班斯法案》404条款做出了应有的贡献。
中国联通IT内控体系建立与实施(PPT 41页)(1)
举例:操作系统安全内控结构
操作系统安全综述 对用户的管理 帐号管理 认证管理 权限管理 对系统的管理 帐号安全设置 补丁安装 监控管理
中国联通IT内控体系建立与实施(PPT 41页)(1)
举例:帐号安全设置
• IT维护部门系统管理员通过对系统进行安全参数设置,实现维护人员对操作系 统访问的限制,根据用户对操作系统访问需求的不同,由IT维护部门系统管理 员对用户访问操作系统进行安全参数设置,记录在《操作系统安全参数配置表》 <6171-1-2-10>。IT维护部门系统维护主管每月审核系统的安全参数设置。[操 作系统维护人员必须通过设置操作系统的安全参数等安全措施限制对信息资源 的访问。](控制活动编号:<GC01.B-1>)。其中包含: – 对密码格式; – 无效登陆次数(三次); – 历史密码记忆个数; – 密码复杂度; – 密码长度(六位及以上); – 默认帐号锁定; – 帐号超时设置(10分钟); – 开放的端口和服务(要合理); – 日志的检查; – 系统的默认帐号。
控等两部分工作,其工作量占全部内控工作的60%。
财务报告
信 息 系 统 纸质报表
电子表格
中国联通IT内控体系建立与实施(PPT 41页)(1)
ITGC标准模板构成
中国联通IT内控体系建立与实施(PPT 41页)(1)
原网通公司IT内控涉及的领域
一般性信息系统 基本控制
信息系 统安全
信息系 统操作
中国联通IT内控体系建立与实施(PPT 41页)(1)
举例:应用系统、数据库开发内控结构
应用系统、数据库开发
需求分析 设计 编码 测试
新的应用系统的测试 新的数据结构的测试 新的系统软件的测试
新的网络的测试 开发变更管理
应用系统、数据库实施 割接
试运行 初验 正式运行 终验 后评估 文档管理
中国联通IT内控体系建立与实施(PPT 41页)(1)