信息系统审计案例(制造业)

内部控制审计案例分析——以新华制药为例一、新华制药公司概况(一)新华制药公司简介山东新华制药股份有限公司始创于1943年，公司于1996年股票上市，是H股和A 股上市公司，集团公司持有并行使国有股权。

山东新华制药是亚洲最大的解热镇痛类药物生产与出口基地，也是国内重要的咖啡因产品生产商。

公司于1998年11月经中国对外贸易经济合作部批准后，转为外商投资股份有限公司。

山东新华制药公司生产的咖啡因通过了美国FDA的检查和复查，出口美国，属免检产品，产品的高质量在国内外市场享有较高的声誉。

作为我国重点骨干大型制药企业、亚洲最大的解热镇痛类药物生产与出口基地，以及国内重要的心脑血管类、抗感染类及中枢神经类等药物生产企业，山东新华制药经过67年的发展，为全国乃至全球医药发展做出了巨大的贡献，解决了国内外诸多医药产品线的普及需求和特殊需求。

在我国化工及医药行业具有较高的企业地位和影响力。

公司年产化学原料药总量2.5万吨以上，是全球最大的安乃近、布洛芬、阿司匹林、咖啡因、左旋多巴等药物生产企业，拥有乙氧苯柳胺等10个原料药独家品种，8个原料药主导品种市场占有率居国内第一位。

同时“新华牌”产品在国际上还拥有极高的荣誉，许多合作伙伴系国际知名500强企业，均纷纷称赞山东新华制药是最诚信的企业、新华品质是“N0.1，全世界最好的产品!”（二）新华制药内部控制概况山东新华制药根据《公司法》、《证券法》、《上市公司治理准则》等有关法律法规及香港证券市场有关的规定，制订了《公司章程》、《董事会工作条例》、《监事会工作条例》、《总经理工作条例》、《信息披露管理办法》、《独立董事工作制度》、《投资者关系管理制度》、《募集资金管理办法》、《对外担保管理规定》、《关联交易管理办法》等重大规章制度，确保了公司股东大会、董事会、监事会的召开、重大决策等行为合法、合规、真实、有效。

新华制药制订的内部管理与控制制度以公司的基本控制制度为基础，涵盖了财务管理、生产管理、物资采购、产品销售、对外投资、行政管理等整个生产经营过程，确保各项工作都有章可循。

信息系统审计报告信息系统审计是指对企业或机构的信息系统进行全面评估和审核的过程。

这项工作的目的是为了确保信息系统的完整性、机密性和可靠性，以防止信息泄露、无权获取敏感信息等问题。

信息系统审计报告是对审计结果的详细描述和分析，为企业决策者提供了重要的参考信息。

下面将介绍三个不同案例的信息系统审计报告。

案例一：XX公司的信息系统审计报告该公司的信息系统达到了ISO 27001安全标准，但在审计中发现存在一些漏洞和不足。

例如，一些员工使用弱密码进行登录，没有进行多因素认证；系统中存在访问控制和数据分类方面的缺陷。

此外，该公司的网络安全策略和业务连续性计划都需要更新和完善。

在此基础上，审计人员建议该公司进一步加强员工培训，完善访问控制和数据分类策略，并对网络安全策略和业务连续性计划进行全面修订。

案例二：XX银行的信息系统审计报告该银行在信息系统安全方面取得了不错的成绩，但在审计中发现了一些安全漏洞。

例如，某些ATM机上缺乏安全摄像头，难以追溯非法使用者；银行安全管理制度不够完善，可能会导致机密信息泄露。

此外，虽然银行应用了网络安全设施，但需要进一步升级和完善。

审计人员建议该银行加强安全摄像头等设备的安装和更新，并优化安全管理制度，完善网络安全设施。

案例三：XX企业的信息系统审计报告该企业的信息系统较为落后，存在一些安全隐患。

例如，员工共享密码、无日志记录等，导致信息泄露的风险较大。

此外，企业未进行系统备份，一旦出现故障，将导致重大损失。

在此基础上，审计人员建议该企业加强员工教育，规范操作流程，并建议及时备份系统数据以保障业务运营的可靠性。

综上可见，信息系统审计报告对企业的发展具有重要意义，能够有效提升信息系统安全保障和管理水平。

企业领导和相关人员应重视此项工作，根据审计报告提出的建议和指导，及时进行整改和完善。

此外，企业还应加强对信息系统管理的监控和检查，以及加强对信息系统安全方面的投入。

从基础设施安全、网络安全、数据安全、应用安全等多个方面入手，才能全面保障信息系统的安全性和可靠性。

制造业信息化工程应用示范企业案例宁波富达股份有限公司宁波富达股份有限公司，是1996年在上交所上市的股份制集团型公司，下属六个子公司，二个分公司。

行业涉及吸尘器、小家电系列、房地产开发、国内外贸易、自来水、垃圾处理等7个行业。

主导产品富达牌真空吸尘器，年产能力100万台，全国吸尘器行业综合指标排名名列全国第一。

公司拥有一个"国优名牌"、一个"中国驰名商标"及省名牌产品等28项荣誉，是宁波市较早获得"管理四星级企业"。

公司的主导产品销往法国、德国、意大利等欧洲国家及中东、南美和港台地区，在国内50多个大中城市建有近400个销售点。

为迎战“知识经济”和全球化的挑战，提高企业竞争能力，公司加强了信息化建设，引进博士、高级程序分析员等高层次专门人才强化信息管理，在2001年至2002年6月的一年半时间里，斥资1300余万元，完成了MRP-Ⅱ到ERP的系统转换，整合了公司的信息系统，完成了四个信息化平台的搭建工作，即以办公电脑化为特征的包括信息采集、文档传输等流程的“办公管理信息化”、以CAD/CAE/CAM为核心的“设计技术信息化”，以零库存为目标的ERP“企业资源计划信息化”，以子分公司信息监控为内容的“商务财务信息化”，对传统生产控制进行了信息化改造，基本解决了公司在生产、技术、管理和经营中信息难以整合的“孤岛”问题，初步形成了文本、商务、指令电子化的信息管理格局，同时公司建立和调整了《信息披露规则》、《网站维护信息管理规程》等一系列信息管理法规，强化了信息化管理，为企业适应“知识经济”作了先期探索。

一、ERP94年，随着公司业务的不断扩大，客户订单的越来越个性化，原来手工的业务流程管理手段常导致订单不能及时，组织原材料采购及生产或原材料过剩。

同时，对生产成本无法进行控制，导致订单接不好。

由于当时国内ERP系统匮乏，公司选择了四班的MRPII系统，95年投入使用。

努力应用信息技术来提升企业的综合竞争力——柳工的信息化之路一、企业概况广西柳工机械股份有限公司（以下简称柳工）是典型的传统制造企业，其前身柳州工程机械厂，成立于1958年，原来直属国家机械部，1985年下放省市管理， 1993年独家发起向社会募集股份，改制成股份有限公司在深交所挂牌上市。

公司现有注册资本2.55亿元，总资产11.45亿元，净资产6.97亿元；员工约3000人，其中技术和管理人员近700人。

企业主导产品为轮式装载机，同时系列性地开发生产液压挖掘机、压路机等工程机械产品，是我国工程机械行业的大型骨干企业，轮式装载机国内市场占有率在15%以上。

多年来，柳工在技术水平、制造能力和质量水平方面一直处于行业领先地位，被誉为装载机行业的排头兵。

2002年公司产销装载机、挖掘机、压路机等产品7600多台，销售收入达17.5亿元。

二、企业信息化建设：提升综合竞争力的必经之途（一）循序渐进的柳工信息化之路柳工的信息化建设，可分为这么几个阶段：1、80年代：单项目、单机的应用起步阶段柳工信息化的起步，可追溯到上个世纪80年代。

80年代初期，改革开放后的中国社会，涌动着建设四个现代化的热潮，代表时代先进技术的电子计算机，开始慢慢地出现在国有大型企业中。

柳工作为一家实力强大的国企，受外部形势的影响，也开始在技术和管理中尝试使用计算机。

推动柳工进入计算机时代的，是企业中一些刚从大学毕业不久，对计算机新技术充满着热情的年轻技术人员。

最初的应用是从CAD起步的，1983年，两个设计人员从减轻手工设计计算的繁杂和艰辛出发，自行开发了“装载机工作装置连杆机构的综合分析”软件，开创了柳工计算机应用的先河。

八十年代中期以后，微型计算机陆续进入企业，随着在各种设计应用方面的成功，企业初步尝到了计算机技术的甜头，开始延伸到管理环节，计算机辅助管理在柳工得以萌芽，例如工资管理、帐务管理、人事档案管理、生产计划管理、工时定额管理、材料定额管理、产品零部件管理等。

信息系统应用控制审计及实例
（一）信息系统应用控制审计
信息系统应用控制审计是一类指在企业或组织的信息系统应用中实施的审计，旨在警示用户对信息系统所采取的行动可能会产生什么样的影响。

它是以合理可靠、可操作的来源进行审计而进行的监督活动，用于发现、合规性以及可靠性方面的缺失，以便改进系统以便发挥最佳作用。

它更加强调了两个方面：
1、LEO流程（Life Event, Object, Operation）：对于每个LEO流程，都必须加以审计。

在信息系统应用控制审计中，Life代表系统发生的事件，Object代表该事件的目标和操作，Operation代表该操作的逻辑实现。

2、访问控制：在基于角色的访问控制（RBAC）模型中，应用系统必须仔细分析权限，这些权限必须与访问者对应，以便确定正确的访问权限。

另外，需要对使用者进行系统访问记录，以了解哪些用户及其行为的记录。

（二）信息系统应用控制审计实例
例1：用户权限控制审计
此类审计用于评估角色权限与用户的一致性，以及确定权限的划分是否合理。

根据角色划分，审计师可以对应用系统中各角色的权限表进行审核，以了解角色权限如何实施，确认权限是否与安全政策和行为一致，并判断权限之间控制有效果。

审计也可以评估特定系统功能的权限，以及特定的应用系统的权限。

例2：变更管理审计
此类审计用于确认变更管理机制是否有效，以及变更对系统应用是否有影响。

审计师可以定期检查组织是否以正确的一致性遵守了变更管理流程，解决系统问题，并通过变更向业务和技术支持部门实施了新功能或需求。

审计系统反面典型案例审计系统作为一种重要的管理工具，能够对企业的经营状况、财务活动进行全面监控和评估。

然而，在实践中，也存在着一些反面典型案例，这些案例不仅暴露了审计系统的不足之处，也给企业带来了巨大的风险和损失。

本文将重点讨论审计系统反面典型案例，以期引起广大企业和审计从业人员的重视。

二、虚拟化审计系统疏漏在企业信息化建设中，虚拟化技术被广泛应用于审计系统。

虚拟化技术能够提高企业的资源利用效率，但同时也带来了一系列的安全隐患。

反面典型案例之一就是虚拟化审计系统疏漏问题。

以某企业为例，其审计系统采用虚拟化技术搭建，然而由于未能对虚拟主机进行有效的监控和防护，导致黑客入侵企业虚拟机环境，窃取了大量敏感信息，给企业造成了巨大的经济损失。

三、审计系统权限管理漏洞审计系统作为企业内部信息监控和管理的重要环节，对权限的严格控制至关重要。

然而，在实际操作中，审计系统权限管理漏洞也是一个严峻的问题。

某企业的审计系统中存在审计员权限过大、审计记录遭到篡改等问题。

由于管理人员未能及时进行权限的细分和控制，导致内部员工滥用权限，对企业造成了严重的损失。

四、审计系统数据完整性缺失审计系统对企业信息的收集和分析往往关系到企业的正常运营和决策。

然而，某企业的审计系统中存在数据完整性缺失问题，导致数据分析结果不准确，给企业的决策带来了很大的困扰。

这主要是因为企业未能建立健全的数据验证机制和完整性检测方法，导致数据被篡改或遗漏，使得审计系统的分析结果失去了参考价值。

五、缺乏对异常活动的预警和监控审计系统的主要任务之一就是监控和预警异常活动，以减少企业经营风险。

然而，某企业的审计系统在这方面存在明显的不足。

由于未能建立有效的异常活动监控机制，企业在做出重要决策时未能及时发现潜在风险，导致企业陷入经营危机。

这种情况下，敌对竞争者可以利用企业的弱点，进行恶意活动，给企业带来重大损失。

以上所述只是审计系统反面典型案例中的几种情况，这些案例暴露了审计系统在实践中的不足之处。

企业管理信息系统案例分析企业管理信息系统（Enterprise Resource Planning, ERP）是指利用计算机技术、网络技术和数据库技术，集成企业内外部资源和信息流，实现企业资源的全面管理和优化配置的系统。

本文将通过一个实际案例，对企业管理信息系统进行深入分析，探讨其在企业管理中的应用和作用。

案例背景：某家制造业企业在市场竞争激烈的环境下，面临着生产成本高、库存管理不畅、信息流通不畅等问题。

为了提高企业的管理效率和生产效率，该企业决定引入企业管理信息系统。

系统实施过程：该企业首先进行了对各种ERP系统的市场调研和比较，最终选择了一家知名的ERP系统供应商，并进行了系统的实施和定制。

在实施过程中，企业进行了全员培训，确保员工能够熟练使用系统。

系统上线后，企业对系统进行了持续的监控和优化，以确保系统能够持续发挥作用。

系统应用效果：通过引入企业管理信息系统，该企业取得了显著的成效。

首先，在生产成本方面，由于系统的精细化管理，企业能够更好地控制原材料的采购和库存，降低了生产成本。

其次，在库存管理方面，系统的信息化管理使得企业能够精准掌握库存情况，避免了过多的库存积压，提高了资金的周转效率。

此外，在信息流通方面，系统的实施使得企业内部各部门之间的信息共享更加便捷，提高了决策的效率和准确性。

系统带来的启示：通过这个案例，我们可以看到企业管理信息系统在企业管理中的重要作用。

它不仅可以帮助企业实现资源的优化配置和管理，还可以提高企业的决策效率和竞争力。

因此，企业在引入管理信息系统时，需要充分考虑自身的实际情况，选择适合自己的系统，并在实施过程中注重员工的培训和系统的优化。

结论：企业管理信息系统在现代企业管理中扮演着至关重要的角色，它不仅可以帮助企业提高管理效率，还可以帮助企业应对市场竞争的挑战。

因此，企业应该重视管理信息系统的引入和运用，以提升自身的竞争力和持续发展能力。

通过以上案例分析，我们可以看到企业管理信息系统在企业管理中的重要作用，它不仅可以帮助企业实现资源的优化配置和管理，还可以提高企业的决策效率和竞争力。