欢迎来到天天文库
浏览记录
ID:43283478
大小:1.37 MB
页数:5页
时间:2019-09-29
《联想网御IT内控解决方案》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、联想网御IT内控解决方案联想网御IT内控解决方案一、IT内部控制的问题与挑战当前金融风暴席卷全球,且中国经历了30年跨越式发展,中国企业内部控制不太规范。为防患于未然,2008年6月国家财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》,企业内部控制基本规范以保障财务报告的真实性、可靠性为核心,提出相应内部控制要求,于2009年7月1日在上市公司范围内施行,鼓励非上市的其他大中型企业执行,其作用等同于美国的萨班斯法案(SOX)。企业内控要达到的目的有三个:一是提高企业资源利用的效率与效果;二是要保证财务报告的真实性和可靠性,三是要保证企业经营符合相关法律和法规。
2、作为业务的支撑,IT系统已被国内大中型企业高度依赖,尤其是会计电算化的普及,要保障财务相关信息的真实有效,就必须对企业的IT系统严格控制。联想网御借以美国萨班斯法案(SOX)IT内控的实践为基础,结合中国具体国情,并根据我们多年贴近用户的IT治理经验,概括了目前国内企业IT内控面临的主要问题:n如何保证权责的正确分配?n如何保证IT基础平台可靠?n如何保证关键应用安全?n如何进行审计监督?二、IT内部控制基本原理美国SOX法案作为成功颁布并实施的一个法案,它的IT内控方法值得我们借鉴。在针对SOX方案中的IT内控要求上,美国上市公司普遍采用COBIT(《信息系统和技术控制目标》)的I
3、T内控思想作为企业内控中的IT内控框架,并结合企业实际情况设计出符合规范要求的IT内控体系;具体控制措施采用ISO17779(信息安全管理体系)、ITIL(IT服务管理)等标准中的最佳实践,整合企业原有的控制措施,落实具体的控制方法。2.1.联想网御IT内部控制模型联想网御的IT内控方法是结合我们在IT内控中的最佳实践,并参照《企业内部控制基本规范》的相关要求,开发出了适合中国国情的IT内控模型。联想网御的IT内部控制模型由三个基本面组成:IT内控基本要素,IT内控的基本要求和对应的IT资源,对应关系如下图所示:5联想网御IT内控解决方案通过对上述三个方面的实现,最终形成了一个立体的
4、、多层次的、科学的联想网御IT内控模型。1.1.IT内控基本要素的具体内容根据《企业内部控制应用指引-征求意见稿》的要求和对IT内控的理解,我们认为企业IT内控应该围绕财务及业务系统来进行,具体是通过对财务及业务系统的数据、流程以及相关IT基础设施的控制来实现,重点是完善以下几个方面的控制:1)角色管理与授权审批2)信息资源访问控制3)系统开发、变更与维护控制4)硬件及其他配套设备控制5)财务相关应用系统的控制二、IT内部控制解决方案在联想网御IT内控的方法论的基础上,我们为企业IT内控提供了一揽子解决方案。我们的解决方案在帮助企业达到IT内控要求的过程中,充分利用企业已有资源,努力
5、做到企业的成本/收益最大化。我们认为:严格的权限管理、稳固的信息基础平台、安全的应用系统和全面的审计监控是保证IT内控合规四大核心要素,我们针对这四大要素提出了IT内控解决方案,企业可根据实际情况,选择并组合这些解决方案,最终形成贴合自身需求的IT内控解决方案,如下图所示:5联想网御IT内控解决方案联想网御IT内控解决方案1.1.权限管理安全解决方案在企业内部控制中,IT的组织架构及人员控制是保证企业经营管理合法合规、资产安全以及财务报告和相关信息真实完整,提高企业的经营效率和效益的关键组成部分。其核心问题就是“明确权责分配,正确行使职权”。联想网御从产品和服务两种途径帮助企业实现I
6、T内控中的权限管理,解决方案如下:n联想网御IT内控咨询服务联想网御提供IT内控咨询服务,帮助企业梳理组织架构和区分人员权责,并协助企业建立合理的组织架构,从信息系统的战略设计、人员岗位设置、人员职责范围等方面建立起相关的策略、标准和制度等。n联想网御安全审计系统帮助企业建立起相关策略和制度后,使用联想网御IT内控安全审计系统,监控各个层面的人员是否越权访问、篡改数据、滥用权利等,联想网御安全审计系统不同与一般审计产品,其特点在于可以实现统一控制、集中审计,并且审计覆盖IT信息系统的绝大多数类型,能满足企业内部控制要求的审计、监督要求。通过联想网御的解决方案,能帮助企业实现清晰的权责
7、分配和权限管理,达到企业IT内控要求。1.2.基础平台安全解决方案信息基础设施是构成信息系统的基础,如果信息平台的安全性得不到保证,那应用和数据安全也无从5联想网御IT内控解决方案谈起,我们从信息平台最基本的三个层面来进行分别实现:物理资产、网络系统和主机系统,针对每个层面的具体控制,我们都有相应的产品和服务来支撑,如下表所示:控制层面控制主要内容提供的安全服务提供的安全产品n主机系统控制n网络系统控制n物理系统控制n权责分配n访问控制n灾难恢复n应急处理
此文档下载收益归作者所有