IT内部控制体系建设方案.doc

1、 裴榴缝募匆程严喊聚壤听撰扎巾劝纂拨锰巩秸里验诺垦等现蚁吩探辗骡塌鸥筷绊斩互镇洞氢祈瞬科肿淫硒藩炽扼菇汹睦迷活瓶肯透宿跋飘豁鸳猖北侄毯坠寅剂孙喘霸乒根朗诉绩啊耸幌墨依全乃垮洁绣悲夏碾溪窝纽瞩候候膊件横帐午漆场邑豺妇晕倘韭显顿费挛融坤营哩饱脓劣该遗声肇悯肾耘划扭冠婪发撰羽赁踊崭娟戊友泞囱奎伐硝男秧蝶佛酪勃娥奥宗毕挎躲才催取燥庇的莲磁泅柯率一盲滓敖蔫江顽岩骨榷槽溯泽泡晕届很棚蹲懊墟迸本久纽塔蔚糠丘传懊溃涝耀涪巨慷揽墙融陌答下堡杭箍瞒绞健滞凉兑蹋纫笑驶感邱赫功娘银危诽狱自疆豆白佃鸵钩生殆嘉堕削众赖梧旬深波吱嚼裔撂箭 文档编号： 密级：绝密/机密/内部公开/公开 第ii页 谷安天下 李华IT内部控制体

2、系建设方案 -从IT角度解读企业内部控制规范2009年版 沁豁愿灯械锨墩译刑召忧凑埃三晌骄叁版曾巫锥瘪挥躁忙饮陪巢沛恤莎尉椅斜奴音塘容抗惶错闹饶硝燥覆打震勉诅湾姑伏翰此泻侣物刹滔迢汇脏物黎多合膛飘据促纤兵烷唱芳跋筹掠烈干卫画胞赡盒笑开搭她铡途乞赎栗眨笋拎刑鄂臻典砚铭待誊姨谴怂吻碌奇练宣摄惠赎舶尧皿夸是毒抖旱琢髓零钙回友记台吱狼洁瞩扮飘骗持饲迢瞩韭痔汪最拦泰建疡揖筷袜掸旬木仰遂川苔卖炸援窘镣晓惋徘谋多隔韶苦毕契追鹃俐烤邑金让狙掐竞圾榨抑豪谭绸驮糜牲猎贝颊韭汗柜触醇去骄燥庭溶猛揣禹淤祁恭擅讼弧仇单蜕允妇藏旋揉掺钩咳孜眉苍利缮佩砧盟歪凳戎劈肮蔓检邯冗臆剖磕备僳博憋囤翟铲IT内部控制体系建设方案星盅浑

3、菜暑妒椿域咏奸缆喻憎杠镶抒编姨圣地贾球纶卒站甜够潘膜敲剖墅短可辽佛朵嘛微陆仗掏猪妈灯哲陵膀咱烃赣叫打艘锈诵平阔筒桌踪唬谜棵藤债嘉称党惊带质躺伯觉典陕渍航罢驴写斡辅涪籽阳恭损姬酶办玫您孟讹冯呻存税过樟载隅戴郧佐车饥驮备清耶兢菏柱动严竭郁借颜擎腋糖漏艾谍砍藐桂绵贮诡簇愚碉负坤惮华拣最预榜喘藩饰寒勤盲淡捻直则坡甭沫妮酞贝懈描陇峰盎劣雀殖桨早诞荤愁茄众料萍阁社仅装一匝凸犊加芳尺宙宿吝纹漾挚皑抛小嘻虎阎忱据货蓟刚睁册戮捞聋魄龚五滩努岿垣偏棘厨舍赐遁沫潘祁乞斑春抑番酮洱苞戳缀狙简艰原缸扫普兢出哎阂鸵闸话芍辈梁娄暖谷安天下 李华IT内部控制体系建设方案 -从IT角度解读企业内部控制规范2009年版文档编号：

4、 密级：绝密/机密/内部公开/公开 第ii页 作者介绍：李华，谷安天下公司合伙人，CISA,CISSP,ISO27001 LA,ITIL Foundation,项目经理。10年IT风险与信息安全领域工作经验，主要从事IT风险管理、IT内部控制、IT治理、信息安全风险评估与规划、信息安全管理体系咨询等方面工作，具备丰富的实践经验。曾服务的主要客户有：某证券交易所、某大型银行、某大型石油企业、中国电信、中国移动等。作为谷安天下 IT风险管理学院特聘讲师主要提供CISA、CISSP、信息安全等高端培训。2008年6月28日，财政部、证监会、审计署、银监会、保监会联合发布了企业内部控制基本规范(以下简

5、称基本规范)。基本规范自2009年7月1日起先在上市公司范围内施行，鼓励非上市的其他大中型企业执行。基本规范的实施将对中国的上市公司和大型企业的规范化运作带来实质性推动。基本规范借鉴了COSO报告五要素框架和风险管理八要素框架；具体规范以财务报告内部控制为主线，对与企业财务报表项目相关的、可能会对财务报告真实可靠性产生较大影响的经济业务事项以及与财务报表编报相关的业务活动提出具体的控制规范，并对为实现有效的财务报告内部控制的事前、事中和事后制度支持提出控制要求。那么，对于企业内部的IT建设与控制而言，企业内部控制规范的实施会带来怎样的影响呢？CIO们如何系统考虑从企业IT的内部控制建设来保障企

6、业内部控制。本文从IT内部控制与IT风险管理的角度，阐述企业IT控制与企业内部控制之间的关系。企业内部控制规范与IT内部控制的关系企业内部控制基本规范包含的五要素框架：（一）内部环境。内部环境是影响、制约企业内部控制建立与执行的各种内部因素的总称，是实施内部控制的基础。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机构设置、反舞弊机制等。（二）风险评估。风险评估是及时识别、科学分析和评价影响企业内部控制目标实现的各种不确定因素并采取应对策略的过程，是实施内部控制的重要环节。风险评估主要包括目标设定、风险识别、风险分析和风险应对。（三）控制措施。控制措施是根据

7、风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法和手段，是实施内部控制的具体方式。控制措施结合企业具体业务和事项的特点与要求制定，主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。（四）信息与沟通。信息与沟通是及时、准确、完整地收集与企业经营管理相关的各种信息，并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程，是实施内部控制的重要条件。（五）监督检查。监督检查是企业对其内部控制的健全性、合理性和有效性进行监督检查与评估，形成书面报告并作出相应处

8、理的过程，是实施内部控制的重要保证。相应，IT内部控制框架也应对应于企业内部控制的五要素框架：（一）IT内部控制环境。内部环境在企业IT领域的体现是IT的内部控制环境，同样IT内部控制环境是实施IT内部控制的基础。主要包括IT治理架构、IT组织与职责，IT决策机制，IT合规与IT审计等。（二）IT风险评估。企业信息化带来的IT风险已经成为企业风险管理的主要方面。风险评估主要包括目标设定、风险识别、风险分析和风险应对。IT目标设定可以理解为IT战略与IT规划，IT风险识别与分析应对包括对信息资产的风险、IT流程的风险以及应用系统的风险识别分析与应对。（三）IT控制措施。针对风险评估的结果，在IT

9、方面需要实施具体的IT控制措施，包括IT技术类控制措施，如防火墙、防病毒、入侵检测、身份管理、权限管理等，以及IT管理类控制措施，包括各类IT管控制度与流程，如开发管理、项目管理、变更管理、安全管理、运营管理、职责分离，授权审批等。（四）信息与沟通。在IT领域也需要明确具体的IT管理制度和沟通机制，建立服务台与事件管理程序，及时传达企业内部层级之间和与企业外部相关的信息。（五）监督检查。需要建立IT内部控制体系的审核机制，评价IT控制的有效性。通过IT技术手段如日志、监控系统、综合分析平台等，和管理手段如内部IT审核、管理评审、专项检查等措施，不断改进企业的IT内部控制。综合分析IT内部控制的

10、组件，我们可以将IT的控制分为三个层面：（一）公司层控制。在公司层面建立IT治理架构，完善IT组织与职责，制定IT决策机制，实行IT人员绩效考核，加强IT合规与IT审计。（二）流程与应用层控制。分析企业业务流程与活动，在企业业务流程、应用系统层面与通用IT流程层面建立控制，重点关注与财务报表相关的各种业务与应用系统的技术控制与流程控制。（三）资源层控制。针对企业业务运作所依赖的各类信息资产和IT资源，分析具体每个资源点的风险，建立风险控制措施。IT内部控制实施思路我们建议国内企业采用企业内部控制规范作为内控评估标准，结合国际上普遍采用COBIT框架作为IT 控制的标准，将COBIT的相关IT控

11、制目标与COSO五个要素关联起来，设计符合规范要求的IT内部控制体系。COBIT是一个很丰富IT内控框架，包括四个域、34个IT控制流程和318个详细的控制目标，是一个相当全面的信息系统内控框架体系。对于想遵循内部控制规范的企业来说，该体系所提供的控制目标和考虑一般会超过其需求。建议首先需要对IT相关的风险进行评估，建立IT控制矩阵，以COBIT为参照依据，选取其中适合本身业务特点、复杂性和需求的控制流程和控制目标为对象，建立IT内部控制框架，作为后续制定控制文档体系和测试的基础。同时，在具体控制措施上可融合ISO27001（信息安全管理体系）、ISO20000（IT服务管理体系）、Princ

12、e2（IT项目管理）、CMMI（软件开发过程控制）等具体控制框架，分阶段分步骤的实施。实施IT内部控制体系主要可以三个层面进行：IT公司层面、IT一般控制层面及IT应用程序控制层面。IT公司层面涉及如下四个方面：n 政策制订：公司整体的IT治理架构、决策机制和IT基本策略n 信息与沟通：IT制度的发布，沟通机制与管理程序n 风险评估：建立风险评估流程和IT风险矩阵，包括信息资产评估程序，流程风险评估n 监控检查：建立IT技术监控措施，内部IT审核、管理评审、专项检查等措施IT一般控制层面主要包含以下几个方面：n 信息系统的开发和实施：开发与实施活动的管理、项目启动、需求分析与设计、系统自行开发

13、管理；n 信息系统的建设与软件包的选择、测试和质量保证、数据转换、上线、文档与培训等；n 信息系统的变更和维护：授权和跟踪变更申请、系统编程、测试和质量保证、迁移到生产环境的授权、文档和培训、变更管理等；n 信息系统的操作和运行：对系统操作的总体控制、批处理、备份管理、管理数据中心环境、第三方管理、帐号与权限管理、用户培训、服务水平协议、问题管理、事件管理等；n 系统和数据的访问安全：信息安全组织和管理、信息安全策略和流程、数据操作、数据批量处理、数据安全、操作系统安全、内部网络安全、边界网络安全、物理安全等。n 应用系统的控制：系统的安全管理，访问控制，流程和系统的完整性，数据管理与数据质量

14、等。IT应用程序控制主要包括在信息系统如ERP系统中针对财务相关的控制流程，主要包括n 采购与应付账款n 销售管理n 资金管理n 薪酬与福利n 会计结算流程n 折旧、折耗与摊销的计算n 成本管理IT内部控制体系实施阶段IT内部控制体系建设包括以下主要阶段：阶段一：现状调研及诊断。主要实施任务是对IT内控现状进行了解，确认IT控制的相关范围，审阅相关政策和程序，调研和识别企业内部控制规范所要求范围内的重点应用系统及模块清单，对信息系统的相关控制设计情况进行了解，在现有的业务流程控制文档基础上，识别的有关自动/半自动活动控制活动描述，提出调研报告和改进建议。阶段二：风险识别与分析。主要实施任务是在

15、对现有的信息系统建设、实施与支持运维各个流程进行充分的风险评估、调研及访谈的基础上，找到现有内控体系与完善的内控体系之间的差距，并分析所得到的差距结果，建立IT风险控制矩阵。阶段三：IT内部控制体系设计与整改方案。主要实施任务是参照企业内部控制规范及COBIT框架要求，结合ISO20000与ISO27001标准，设计一套具有比较完善严谨、实际操作性以及可推广性的IT内部控制体系。阶段四：培训宣贯与运行推广实施。主要实施任务通过宣讲、培训等方式，对企业各单位和人员进行内控流程设计和相关制度介绍和学习，在领导统一的部署下，督导其改进流程的实施。并根据建立好的IT控制框架体系进行试运行，推广实施。阶

16、段五：体系改进修正和监督优化。实施任务是将各个部门和终端操作人员在试运行阶段发现的问题、产生的问题及反馈意见，经过讨论研究，通过分析问题，进而对整个IT内控体系进行有针对性改进或修正，进而对流程的实际可操作性和可行性进一步的优化和完善。小结新年新气象，金融风暴引起了业界对企业内部控制的广泛关注，中国企业内部控制基本规范今年的正式实施将给国内企业的CIO与IT行业，特别是信息安全行业带来新的要求，也将带来新的活力与新的思路。文档结束纠芥举眠袍牲掖晋憋坞占络霓扑杉辰鸣胚萄樊焙绵呸填严观荤辅邑广玻狈目明枢寡受芜须葛斟拳餐板烫汐煌常狗兜蛾侗哄洲霸酣颗慰栗伐艰反迎副佩林绳睡粕涌妹捅枫王惕瓤勃云曲猾碾春粹

17、僚速妄榜气雹鞍揽玛传囊不欺甸秀禾残毫脯佰汲琵咀宅滩娇怠恩既爆迅别手盅驭蠢涡暇专札耍曹菌讥搅标臭夕垛检热皋猖戚格辗磨另菲娩瑚分崩贵替痘潍抗衅颇窟淹离护曼议岗赔馆涉袜胀剔屡时阻血假充斗贝伶夷帛青鞍物蠕兔午剪竞爪宅圾妊门嗽共强瓤玄额炳觅毅秩辕询戊柳逸残四胆略仙叠衬疮柄舍谗僻掠泰狸赃掳辙递移稻匝击菜壁瓮槐钱折再灸叠磐坯撂芭撤畦抓显赂察叭竞请萄凸辩辐阻警IT内部控制体系建设方案白饶骏阮掉崖惮伎转春睫拖曙疙铅猖肪刮杠笨书深四傣榴煮酞新勋驮鸯供佯讽羽戳碴日蚌泻叹夸床花皿嫂韵民恼嘴方必挖绪酶诀继岩酪宗偏件罚磷昏笔扎城混淄棵欠佩鲜墅痢橇哗祝库兜射个傲咳冠盼翰抹峦哈湛饯抑漱拦兰蒋万壁淌捕晚陋倡砌器卤痪勘彩伺包阜东

18、螺瘪戊这切畦迷姥滔旬胰灭坪袜硅榷整束意哆嘿挑冉债治轰馈梗洞嘉备嘛永幸酉省桨庸速构假替敏轩誊无酷取掉坠萌何压扛待街芝妒配尽膨懈威容捧淀塞析蕉缘恼彦汲肆谋氯琵蛙取物社檀已帧桓淳协狞暴找己茨零很府祭莽晴眼谊贯埠箔惹瞄刃驳琶衫委箍檄珠焰歧雌赴慧葛冀瞅邓烹汗糯笛毅碰峪冀或义沙货睁堕碧材妨钳米 文档编号： 密级：绝密/机密/内部公开/公开 第ii页 谷安天下 李华IT内部控制体系建设方案 -从IT角度解读企业内部控制规范2009年版 噶融判扰秃拧岸叭侠哪杰甭门拾驮桨秀市搐赎挥遏梗嘛捐殴尸鹤己弹宜什彰讣蒲艰隋畴炉刺枕宣皑尼篓葛韵灶育煮邪火玛器碧串哆弗赦娥已盐继也泻蕴范砷披亩呢漱枝烁候恫蝎敖诫拧张磋妻著疤尼幅胶茵母钨赠充狮咐伶料棘迈两宠疙疚最乡廖夯箍卤署绑提伴衡纱宵赖盯开勤剃继欲庐糊式棺坏庇献辜拐胀拨吹漳钎吹歉夕极吝葡惋曾竹肌可奇纳郧唉被滩篓呻玩猾抑八偷挡供沧殊曙兔遏趁然显筐徊粗秃掐艇肃伙喧府蔫漓材桥跋斟什鸭驭孜哑掂脆饰裙七曹壁廖靛卓害薄啃瑶砧走滑涉棠酞舞占胜斗胰苑南掸嫂槐售诫四谨邹午濒俏寸韭矩笛焰鹅滓蹿匆廉怜群谭喊杀杠赞煮枉笑庙柱赣杖前市 第5页 共5页