1、,SEC,MIN,SEC,MIN,SEC,MIN,SEC,MIN,SEC,MIN,SEC,MIN,START,企業內部控制,財務0802 18小組,信息系統,8,小組分工,word制作,馬瑩 胡燦,丁奕婷,ppt制作,方進玄,主講人,9,1,2,3,4,5,概述,信息系統風險分析,風險控制點,主要風險控制措施,案例分析,演講流程,10,1,概述,第一部分,11,概述,信息系統及蘊含在系統中的信息已成為企業的隱性資產，成為企業核心競爭能力的重要組成部分。,信息系統已經成為許多企業日常運營的主要工作平臺，業務過程對信息技術的依賴也日趨嚴重。,企業管理者為保障企業IT支持企業的戰略目標的實現而進行的

2、領導、組織架構設計和處理的過程就是IT治理過程，價值、風險和控制構成了IT治理的核心。,成功的企業大都已構建起強大的信息系統，充分認識并利用信息技術帶來的收益為各利益相關方創造價值。,為了保證信息的質量、可信和安全，人們已經意識到企業管理的關鍵要素之一就是要保證IT的價值、管理與IT有關的風險、增加對信息控制要求。,12,1,2,概述,信息系統風險分析,第二部分,13,信息系統風險分析,信息系統開發和運行風險,信息系統的舞弊,信息系統固有的脆弱性和缺陷,信息系統應用和管理的問題,14,信息系統風險分析,軟件系統的脆弱性,硬件的脆弱性,網絡和通信協議,信息系統固有的脆弱性和缺陷,軟件系統的安全隱

3、患來源于設計和軟件工程實施中的遺留問題。,信息系統硬件組件的安全隱患多數來源于設計，主要表現為物理安全方面的問題。,互聯網是一個沒有明確物理界限的網際，而TCP/IP協議棧在設計時考慮了互聯互通和資源共享的問題，無法兼容解決來自網際的大量安全問題。,15,信息系統風險分析,16,信息系統風險分析,企業規模大，信息系統的結構就會復雜，發生信息錯誤的機會增多 。,授權文件或注冊系統的密碼一旦被冒用或一人掌握多個級別操作密碼,權限就會失控。,信息系統中，業務人員可能一人身兼多個職能，極易出現錯弊。,信息系統應用和管理的問題,數據完整性較難保證,授權管理的問題,職責分離失效,17,信息系統風險分析,信

4、息系統開發和運行風險,3.系統運行維護和安全措施不到位，可能導致信息泄漏或毀損，系統無法正常運行。,2.系統開發不符合內部控制要求，授權管理不當，可能導致無法利用信息技術實施有效控制。,1.信息系統缺乏或規劃不合理，可能造成信息孤島或重復建設，導致企業經營管理效率低下。,18,1,2,3,概述,信息系統風險分析,風險控制點,第三部分,19,風險控制點,1.信息安全,2.物理安全和環境控制,3.病毒防御, 信息安全政策 邏輯安全 用戶授權流程 關鍵應用系統訪問管理規定 操作系統安全管理規定 數據庫安全管理規定 信息系統密碼管理策略 系統管理員管理策略, 機房管理規定 機房訪問日志 機房訪問授權清

5、單, 病毒防御政策 病毒掃描和病毒庫更新記錄,信息系統控制的基本內容 ：,20,4.信息系統日常運作,5.應用系統實施與維護,6.應用系統實施與維護,IT部門日常工作制度 非緊急事件處理程序 緊急事件處理程序 問題管理處理程序 系統運行監控 用戶培訓記錄 IT熱線 數據庫文件檢查記錄,應用系統開發與維護政策和制度 系統需求管理 系統變更管理系統設計和開發 系統測試管理系統發布管理 系統上線管理 系統版本管理 系統實施用戶培訓記錄 系統實施評估,應用系統開發與維護政策和制度 系統需求管理 系統變更管理系統設計和開發 系統測試管理系統發布管理 系統上線管理 系統版本管理 系統實施用戶培訓記錄 系統

6、實施評估,風險控制點,21,風險控制點, 數據庫字典更新和維護規范 數據庫管理員權限和用戶權限管理 數據庫結構修改流程 后臺數據庫修改流程, 備份策略 備份時間表和日志復合記錄 數據恢復測試計劃 災難恢復應急預案, 網絡使用和維護制度 網絡拓撲結構 網絡設備上線測試制度 網絡參數調整變更管理制度 網絡日常監控,8.災備與業務持續計劃,9.網絡支持,7.數據庫支持與實施,22,風險控制點,10.硬件支持,11.系統軟件支持,12. 應用控制, 硬件設備使用和維護制度 硬件設備拓撲結構 硬件設備設備采購制度 硬件設備安裝測試 硬件設備升級管理 硬件設備日常監控, 系統軟件采購控 系統軟件變更和測試

7、 系統軟件參數設置 管理層對變更的審批, 輸入控制 輸出控制 訪問控制 處理控制 職責分離,23,1,2,3,4,概述,信息系統風險分析,風險控制點,信息系統主要風險控制措施,第四部分,24,信息系統主要風險控制措施,會計信息系統控制,信息系統的運行與維護控制,信息系統控制類型,信息安全控制,信息系統的開發過程的控制,25,信息系統主要風險控制措施,一般控制在人員控制、邏輯訪問控制、設備和業務連續性這些方面進行控制。,應用控制與管理政策配合，對程序和輸入、處理和輸出數據進行適當的控制 。,最常用的網絡控制有防火墻、數據加密、授權和病毒等的防護。,在軟件采購和軟件使用環節進行軟件使用及盜版的控制

8、。,26,信息系統主要風險控制措施,對未經授權的訪問造成的后果提出修正的方法。,日志能夠保存那些未經授權的訪問記錄。,確定可能的問題并提出適當的控制。,將發生風險的可能降至最低，例如，防火墻可以防止未經授權的訪問。,(二)信息安全控制,27,信息系統主要風險控制措施,（三）信息系統的開發過程控制,企業應當根據信息系統建設整體規劃提出項目建設方案，明確建設目標、人員。,企業開發信息系統應當將生產經營管理業務流程、關鍵控制點和處理規則嵌入系統程序，實現手工環境下難實現的控制功能。,管理部門應加強信息系統開發全過程的跟蹤管理，組織開發單位與內部各單位的溝通和協調，督促開發單位按建設方案、計劃進度和質

9、量要求。,企業應組織獨立于開發單位的專業機構對開發完成的信息系統進行驗收測試，確保在功能、性能、控制要求和安全性等方面符合開發需求。,企業應當切實做好信息系統上線的各項準備工作，培訓業務操作和系統管理人。,28,信息系統主要風險控制措施,（四）信息系統的運行與維護控制 ：,企業應當加強信息系統運行與維護的管理，制定信息系統工作程序、信息管理。制度以及各模塊子系統的具體操作規范，及時跟蹤、發現和解決系統運行中存在的問題，確保信息系統按照規定的程序、制度和操作規范持續穩定運行。,企業應根據業務性質、重要性程度、涉密情況等確定信息系統的安全等級，建立不同等級信息的授權使用制度，采用相應技術手段保證信

10、息系統運行安全有序。, 企業應當建立用戶管理制度，加強對重要業務系統的訪問權限管理，定期審閱系統賬號，避免授權不當或存在非授權賬號，禁止不相容職務用戶賬號的交叉操作。,29,信息系統主要風險控制措施, 企業應當綜合利用防火墻、路由器等網絡設備，漏洞掃描、入侵檢測等軟件技術以及遠程訪問安全策略等手段，加強網絡安全，防范來自網絡的攻擊和非法侵入。, 企業應當建立系統數據定期備份制度，明確備份范圍、頻度、方法、責任人、存放地點、有效性檢查等內容。, 企業應當加強服務器等關鍵信息設備的管理，建立良好的物理環境，指定專人負責檢查， 及時處理異常情況。未經授權， 任何人不得接觸關鍵信息設備。,30,信息系

11、統主要風險控制措施,1組織控制,3資源控制,2操作控制,4應用控制,將組織作為控制的對象和手段，通過建立起具有控制能力的組織結構、采用滿足控制要求的組織流程、構筑認同和重視控制的組織文化，達到控制的目標。,硬件資源控制 軟件資源控制 數據資源控制 檔案資料控制,操作控制主要是建立和實施操作管理制度，對系統使用、操作規程和會計業務處理幾方面做出規定。,應用控制是對具體業務處理過程實施的控制。,（五）會計信息系統控制：,31,1,2,3,4,5,概述,信息系統風險分析,風險控制點,主要風險控制措施,案例分析,第五部分,32,案例分析,（一）公司簡介,申銀萬國證券股份有限公司是我國較知名的證券公司之

12、一，也是國內最早實行會計電算化的證券公司。早在1993年公司就開始試用財務系統，并于1996年在全公司推廣使用。 當時使用的運行在NOVELL網上的6.03DOS版用友賬務系統為申銀萬國公司的財務工作起了重要的作用，把財務人員從手工操作的繁重低效勞動中解放了出來。 但是隨著公司業務的不斷拓展和規模的擴大，原有單機版分散化財務信息系統固有的缺陷給集團公司的管理帶來一系列問題，已經不能適應申銀萬國公司現代化管理的需要。,案例分析,2000年8月開始實施“申銀萬國證券股份有限公司財務管理信息系統”。,原有系統相對分散獨立,整合性差，不能滿足集中式管理要求,證券業務系統與財務不能實現數據共享和傳遞,案例分析,解決方案,面向整體化管理,采用一體化設計思路，徹底實現了數據的共享、交換和再應用。,系統提供了理想的安全性保障功能，保證系統的安全