【IT168 信息化】
中国网通内控测试结果是为零缺陷,这已经通过2007年测试结果。内控基本路径是这样的,首先在美国上市公司要求,我们请国外咨询公司制定满足《萨班斯法案》框架的制度,然后在企业各个层面落实,企业请外部公司进行审计得出结论,最后在资本市场检验审计的结果。
每年内控工作基本都是说依照内控模块制定的活动,依据本地化活动检查点,检查自己有多少差距。我们组织检查各个单位改进,外省一次测试,到年底进行外省第二次测试。信息化工作主要是两个层面,一个是信息化建设与运营,第二是信息化控制的控制。
《萨班斯法案》对财务来源控制途径是三个部分,第一是信息系统,第二是纸质报表,第三就是电子表格。大家看一看ITGC报表,有几个模板。我们原网通公司IT内控涉及的领域有两大部分,一个是一般性质,一个是信息系统应用控制。一般性的系统控制包括四个层面,安全、操作、变更管理、开发与支持。信息系统包括ERP系统。一般性信息工作基本能力,我刚才说新系统安全操作变更管理,和运营系统数据库开发与支持,这个包括详细一般系统操作管理,数据库和网络,还有防病毒等等,还有应急预案,变更管理包括应用系统,操作系统,数据库还有保护变更,在新系统开发包括应用和实施这个层面。一般性管理架构包括核心是应用系统安全,数据库安全,下一个层面是操作系统安全,网络安全,防止病毒应用系统和操作系统层面控制。
举个例子,操作系统安全用户管理,系统管理监控管理,我们在举例子帐号管理要求内控是这样,第一密码格式、无效登陆次数三次,历史密码记忆个数,密码复杂程度,秘密要求6位,默认帐号锁定,帐号超过时间我们是10分钟等等。另外系统包括业务系统数据开发,新的应用系统测试,新的数据结构测试,新的网络测试。
我们说一下当时我们河北网通公司管理,外部看我们有网通公司内部控制管理400多条所以我们工作量是非常大,我们涉及安全、变更、系统开发、操作、信息系统等等,涉及部门就更多了,包括工程建设,物流采购综合部,我们还负责电子表格,实际上要求我们06年必须达到《萨班斯法案》要求。信息系统大部分不能满足IT一般要求,第二很多单位没有形成IT系统控制路径。
2006年我们进行8个方面的工作,一个是内容控制制度建设,贯彻风险管理方式,开展针对性与信息化管理控制工作相结合,统一IT内部流程表述和文档的格式,问题整理及整改措施的落实,现场督导提出具体的管理措施。积极与相关部门沟通,解决COSO、UAT和持其系统存在的问题。最后是组织各单位有效开展管理工作。我们内控制度,首先要求制度健全,我们制定信息系统安全规范,表格的规范,还有做编码,开发要求,开发必须遵守编码规范,还有报财务部一个软件。我们还开展针对性培训,我们培训是考虑两个层面,一个内控要求对信息系统要求,一个是说内控对信息化管理控制以及业务流程要求。我们工作开展培训以后,因为我们是做了大量的培训,我们从举办各个省公司的集团技术主任,从各技术工作进行现场培训,两次进行电话培训等等。这样使员工的内控意识有了很大的提高。我们做了1200页的控制文档,包括开发与测试,还有风险管理内控,还有《萨班斯法案》,还有与外省市沟通。
我们第三点,统一IT内控务流程描述和文档格式,河北省有自己管理流程,我们为了加强内控管理我们我用一周时间制定流程,这样写文档合适了,每个都比较完整就达到要求了。上个季度我们也形成了一个安全标准,通过统一流程、统一文档我们在工作深度,进度方面取得了主动权,这个工作我们当时都在前列。
第四个方面,问题整理及整改措施的落实,我们制定了一个内控责任,根据系统分到每一个人负责哪条,每个人负责哪一段流程。我们内控整改工作还包括了两个层面,一个是系统要求,我们原来系统基本上满足了内控方面的要求。技术上我们做沟通做了补丁,要求在2000年的时候达到《萨班斯法案》的要求。五我们要求在网上要做记录,完了之后领导要做相应的确认。第二个层面一定要进行内控的控制。控制声明、授权和被授权文档、作业流程、人工降低IT内控风险整改措施等等。
授权2006年各单位整改的基础上,网通河北省分公司IT内控工作组去年市分公司收集整理第一轮测试在20个共性问题,深入理解内控要求,提出了人工降低IT内控风险整改措施。我们有一个信息系统非紧急变更实施范围定义表,我们相应流程跟大家都做了记录。内部授权方式,首先你要做声明,首先您是谁,然后各部门制定一个岗位说明书,帐号统一管理,我们第一次测试的时候,有一个系统管理员把一个参数修改了,最后查出来,问你这个人是谁我告诉他,你把系统管理员的说明书拿出来,当时没有找到,当时就说你不是系统操作系统管理员,你改参数干什么。当时我找他们沟通,把操作系统管理员的找到了,风险就解决,外部风险变成内部风险这个风险就降了。
我们总结一下IT工控制基本流程就是四个方面。首先是提出申请,然后是主管领导审批,不一定是你就是部门主任也可以是副主任,可能也是你班组长,相关主管领导。然后在执行当中并写一下工作日志,主管另是一个月或者三个月进行审核。
第五点我们现场监督,提出具体的管理措施,保证通过普华永道的测试。我们也去做公司,有的地市公司老总说内控我知道就是坦白从宽、抗拒从严,当时我没有好意思说,我告诉他内控是跟是外部公司是一个博弈过程。因为内控要求你几条,那几条完成就可以,不要求所有都做了,都做了工作就没有完了。所以我告诉大家内控要求几个做到就可以,不没有要求不一定要做,不要把自己陷得太深。
第六点,我们开展信息系统风险评估,模拟演练预案。原来我们是按照硬件软件分,这是按应用,我们是基于业务的角度。我们为了降低风险,我们按照风险管理理论,将信息系统分成实物、软件、信息、服务等四个类的资产。
这个系统风险评估过程,看看这张图。首先是确定范围资产管理本身的弱点和漏洞,再看看内部管理测试有哪些,看了这些以后还漏下什么东西,这就是你的风险,还有在排队哪些重要,哪些不重要,最后提出风险报告和管理措施。
第七个方面我们积极与相关部门沟通,解决COSO、UAT和久其系统存在的问题。系统每年执行是不是符合《萨班斯法案》要求,久其报表是简单的财务系统,我们跟财务部相关部门沟通,也了很多的办法。
第八个方面是组织各单位,开展电子表格内控管理,满足内控要求。我们写了报表做,这个帐号怎么控制呢,我们也是一个内控表一个规范,我们从模板设计、模板使用、模板维护积极控制,把控制原则制定一下,电子表设计人,使用人,维护人,访问人,设计和使用人可以合一,这个流程图有一个具体的方法。首先可以进行申请,设计人可以进行模板开发,使用人表格进行数据编辑、更新、管理,最后访问人可以对表格进行实时查询,原来我们是集中管理。