V56新特性培训_内控工具

《V56新特性培训_内控工具》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

NCv56企业治理-访问安全控制产品介绍NC产品管理与应用规划部付建华2010年01月07日 产品研发背景及发展关系产品总体说明主要功能介绍 一、产品研发背景及发展关系 市场分析-国际《萨班斯法案》4、第302节公司对财务报告的责任要求公司首要官员及首要财务官在季度/年度报告中保证对信息披露的控制和程序负责（含刑事责任）设计必要的内部控制手段并确保其执行可使高层及时获得重要信息对披露控制的有效性进行评估，评估结果需存档不可向审计委员会和外部审计人员隐瞒公司重大的内控失败和人员舞弊行为存档描述内部控制的重大变化介绍信息披露的控制和程序强调财务人员的正直和财务报告系统控制的完整性需披露的非财务信息包括：重要合同的签署，战略合作关系的解除以及法律诉讼美国证券管理委员会要求扩大信息披露的控制和财务报告系统内部控制程序的认证将内控评估日改为财务报告截止日 市场分析-我国内部控制相关法规为了加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公众利益，根据国家有关法律法规，财政部会同证监会、审计署、银监会、保监会制定了《企业内部控制基本规范》，现予印发，自2009年7月1日起在上市公司范围内施行，鼓励非上市的大中型企业执行。执行本规范的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。五部委：《企业内部控制规范》 二、产品总体说明 V56访问安全控制-应用目标企业内部控制管理的领域划分：管理控制流程控制IT控制访问安全控制软件系统权限体系的严密性软件系统权限体系的可监督性不相容职责稽核及报告对授权操作完整细致的日志记录及报告 V56访问安全控制-应用目标应用目标1应用目标2应用目标3NC系统的用户利用该工具查询并输出系统授权全景报告；NC系统的用户利用该工具对系统的权限体系进行检查和监控NC系统的用户利用该工具完成不相容职责的自动稽核及报告NC系统的用户利用该工具对系统授权操作的日志进行监控 三、产品功能简介 V56访问安全控制-产品形态清单一级功能点二级功能点三级功能点条目基础设置业务流程分类业务流程档案流程定义流程权限对应互斥职责定义、导入、导出关键用户关键角色关键功能关键流程授权监控权限全景查询权限全景报告权限全景查询关键用户授权监控关键角色授权监控关键流程授权监控关键功能授权监控 职责互斥稽核执行稽核稽核报告查询综合报告明细报告访问安全日志权限管理员日志权限变更日志系统新增角色日志系统新增用户日志用户变更角色日志角色授权变更日志权限配置报告权限配置变更日志 基础设置业务流程业务活动互斥职责关键用户关键角色关键功能授权监控授权全景查询关键用户授权监控关键角色授权监控关键流程授权监控关键功能授权监控职责互斥稽核对业务活动中不相容职责进行稽核审查，发现企业权限配置方面的漏洞访问安全日志权限管理员日志权限变更日志权限配置报告权限配置变更日志关键流程权限管理V56访问安全控制-产品总体架构 基础设置在访问安全控制中，授权监控、职责互斥稽核等功能是依赖于用户根据各自的业务要求来确定内部控制管理范围和内容的，那么对这些业务要求的设定就要通过基础设置的功能来实现。授权监控在企业管理中，为了明确不同管理层次的决策权限，达到提高运营效率、规避风险的目的，企业均需实施严密的权限分配。因此，对权限配置信息的监督控制是企业内部控制管理当中的重点内容及手段。职责互斥稽核互斥职责，即不相容职责，是指那些由一个人担任，即可能发生错误和弊端又可掩盖其错误和弊端的职务。以业务流程为核心的企业授权体系中，需要遵循严格的不相容职责相互分离的牵制原则。稽核不相容职责在系统中应用而发生的冲突情况，使企业能够及时做出职责权限的调整，防止不相容职责的错误和弊端的发生和蔓延。访问安全日志对授权操作完整细致的日志进行记录和报告，主要解决对软件系统中专门负责授权的权限管理员的操作安全的监控、保障和检查，从而与授权监控、互斥职责稽核形成完整的访问安全控制循环。V56访问安全控制-功能概述 三、产品功能简介1.不相容职责稽核及报告 1、不相容职责稽核-业务举例企业内部的不相责职务渗透在企业经营的各个领域中，包括采购、销售、收付款、筹资、投资、财务核算及报告等等所有的经营管理活动。以下将以采购和销售业务为例，举例列示不相容职责的要求：（1）企业采购与付款业务的不相容职责至少包括：请购与审批；询价与确定供应商；采购合同的订立与审核；采购、验收与相关会计记录；付款的申请、审批与执行。（2）销售与收款不相容职责至少应当包括：客户信用调查评估与销售合同的审批签订；销售合同的审批、签订与办理发货；销售货款的确认、回收与相关会计记录；销售退回货品的验收、处置与相关会计记录；销售业务经办与发票开具、管理；坏账准备的计提与审批、坏账的核销与审批。 业务流程互斥流程1.采购1.1采购需求制定1.2采购需求审批1.3制定采购计划1.4审批采购计划1.5采购询价1.6确定供应商1.采购1.1采购需求制定互斥1.2采购需求审批互斥1.3制定采购计划互斥1.4审批采购计划互斥1.5采购询价互斥1.6确定供应商互斥1、不相容职责稽核-业务举例 互斥职责设置流程业务流程业务活动互斥设置审批通过导出导入提交进入互斥职责稽核环节Excel(xls)文档Excel(csv)文档XML文档 业务流程业务活动互斥职责123关键流程：是指在企业的经营管理活动中，如果出现弊端或过失，会给企业造成不可挽回的重大损失的某些重要的业务流程。对于关键业务流程企业要给予更多的重视和关注。主业务流程：是指在企业的经营活动中，主业务流程及其子业务流程共同构成一个完整的业务，那么这个业务流程即是主业务流程。在后续的互斥设置和互斥稽核等操作中，均以主业务流程为核心进行应用。业务流程跨公司跨公司的业务流程：是指企业集团当中的某些业务流程所涉及的业务活动跨多个公司或分支结构。所跨公司范围为当前登录用户在权限管理中已经被授权的所有公司。同时，业务流程中的所跨公司，也是对应业务活动的公司范围。1、不相容职责稽核-相关基础设置 业务流程设置流程业务流程确定主流程确定关键流程指定所属公司封存基本信息Excel(xls)文档Excel(csv)文档XML文档不再进入后续环节导入导出 业务流程业务活动互斥职责123业务活动是业务流程中具体的业务环节，它包括整个业务流程里各业务关键点。通过每个业务流程节点下的业务活动组，展现当前业务流程的具体工作内容和流程信息。业务活动与业务流程共同构成一个完整的业务链条。企业的各层级岗位和人员的操作权限与业务流程、业务活动紧密相关。通过系统中业务活动的设置能够对岗位、人员等权限分配情况进行监控。1、不相容职责稽核-相关基础设置 业务活动设置流程业务活动指定功能权限指定所属公司封存基本信息Excel(xls)文档Excel(csv)文档XML文档不再进入后续环节导入导出业务流程权限对应用户角色权限管理 业务流程业务活动互斥职责123业务活动是业务流程中具体的业务环节，它包括整个业务流程里各业务关键点。通过每个业务流程节点下的业务活动组，展现当前业务流程的具体工作内容和流程信息。业务活动与业务流程共同构成一个完整的业务链条。企业的各层级岗位和人员的操作权限与业务流程、业务活动紧密相关。通过系统中业务活动的设置能够对岗位、人员等权限分配情况进行监控。1、不相容职责稽核-相关基础设置 在企业的各种业务活动中，某些业务活动的权限、职责是要相互分离的，如在核算业务中要求现金银行会计和出纳不能由同一个人来担任，又或对于记账凭证的登记和审核不能由同一个角色来执行，以上这些就是互斥职责。在企业的内部控制管理过程中，对职责互斥的审查工作尤为重要，互斥职责设置就是对业务活动中互相制约、互相冲突的活动根据法规和各种工作要求执行人工设置，从而在互斥职责稽核时能够对冲突的职责进行检查、监控和管理。1、不相容职责稽核-相关基础设置-互斥职责设置 职责互斥稽核是指稽核不相容职责在系统中应用而发生的冲突情况，它是基于互斥设置做的稽核和报告。通过使用职责互斥稽核功能，能够快速做出互斥报警，使企业能够及时做出职责权限的调整，防止不相容职责的错误和弊端的发生和蔓延1、不相容职责稽核-执行稽核 主业务流程执行稽核稽核结果正常错误互斥错误详情互斥详情导出稽核结果矩阵职责互斥稽核报告发送邮件1、不相容职责稽核-稽核总体应用流程 三、产品功能简介2.系统授权检查及报告 1、系统权限检查及报告-场景介绍在企业管理中，为了明确不同管理层次的决策权限，达到提高运营效率、规避风险的目的，企业均需实施严密的权限分配。同时，权限分配与管理也是企业内部控制管理当中的重点内容及手段。根据上述管理要求，各企业均会制定《权限指引》手册或文件，作为权限分配的指导性文件。而当企业应用ERP系统后，由于大部分核心业务及财务处理均在信息系统中执行，因此，企业权限的执行大部分将在软件系统中进行；执行方法如下：（1）企业需要按照权限分配的要求，将企业的职务、人员分别设置到软件系统中；（2）按照权限指引的内容分别在软件系统为相应的职务或者用户授权。当企业的大部分权限内容均体现在软件系统中后，则需要软件系统能够透明简洁的提供权限全景查询并输出权限全景报告，以作为企业权限管理控制的依据。因此，NC系统需要支持权限体系的全景查询及报告的应用。 权限管理选择查看公司对应用户对应角色对应业务活动对应公司对应功能对应角色对应数据权限对应功能对应用户对应数据权限对应功能权限授权全景查询生成报告发送邮件生成报告发送邮件1、系统权限检查及报告-授权全景查询 1、系统权限检查及报告-场景介绍在企业的权限体系中，一部分关键岗位、人员及业务的授权管理尤为重要。这些岗位或者业务流程一般均涉及企业的高风险业务或者岗位，例如：出纳岗位、采购付款业务等。因此，企业在授权管理中对于以上关键岗位和业务的关注程度较高，需要对这些内容重点进行授权管理和监控。在NC系统中，企业的关键岗位或者业务的授权情况则体现为系统中的关键角色、关键业务流程及功能点的权限分配情况。用户要求对于这些权限分配情况需要能够方便的查询及报告，以满足企业对授权进行检查和监控的目的。NC系统权限检查及报告的内容包括：关键角色权限检查及报告（有预置）关键业务流程/子流程权限检查及报告关键功能权限检查及报告（有预置） 设置关键内容关键用户关键角色关键功能导入关键信息导出关键信息Excel(xls)文档Excel(csv)文档XML文档1、系统权限检查及报告-基础设置流程 关键用户授权监控角色信息用户权限树关键角色授权监控用户信息角色权限树关键流程授权监控用户信息角色信息功能信息关键功能授权监控用户信息角色信息生成报告发送邮件生成报告发送邮件生成报告发送邮件生成报告发送邮件1、系统权限检查及报告-关键授权检查及报告 三、产品功能简介3.关键日志查询及报告 3、关键日志查询及报告-场景介绍该场景将主要解决对软件系统中专门负责授权的权限管理员的操作安全的监控、保障和检查，从而形成完整的访问安全控制循环。在NCv56系统中，对于授权操作相关的内容包括两个部分：系统管理员root在系统管理中对于系统安全的一系列配置。权限管理员在系统中对授权的所有操作。对授权操作完整细致的日志记录和报告包括：对权限管理员授权操作的详细日志及独立报告。系统中所有权限变更的日志及报告。系统中与权限设置相关的参数的报告。 将负责在系统中授权的系统管理员的行为准确完整地记录下来，从而从第一个控制环节保证系统授权的安全性。系统维护开启记录管理员操作权限管理员日志操作时间管理员用户名事件类型权限操作日志权限管理员日志报告3、关键日志查询及报告-权限管理员日志 对权限变更操作的有痕迹记录。提供系统权限设置的安全监督机制，使具有权限操作的人员谨慎的进行授权操作，并避免其进行舞弊。系统维护设置明细级别开启日志系统角色新增系统用户新增用户变更角色角色授权变更系统角色新增报告系统用户新增报告用户变更角色报告角色授权变更报告3、关键日志查询及报告-权限变更日志 权限配置是在用户进行角色、用户等的授权操作之前，为使系统授权环境符合用户的要求，而对系统授权的部分规则、访问安全规则进行的一些设置。权限配置内容启用按钮控制的节点启用按钮权限的组织参数配置密码策略权限配置报告3、关键日志查询及报告-权限配置报告 将【权限配置报告】中密码策略、参数配置、启用按钮权限的组织和启用按钮控制的节点四个领域权限配置的变动，进行系统记录日志并输出日志报告。作为事后进行系统权限配置安全检查的依据和监控手段。权限配置变更内容启用按钮控制的节点启用按钮权限的组织参数配置密码策略权限配置变更报告开启权限配置变更日志3、关键日志查询及报告-权限配置变更报告