精华内容
下载资源
问答
  • IT内控体系建立与实施方法.pptx
  • IT内控体系建立与实施,综合it治理要求与实际,希望对大家有帮助。
  • IT内控管理制度总则.doc
  • IT内控体系建立与实施.pptx
  • 金融企业IT内控合规管理建设与实践 区块链 数据安全与治理 安全建设 安全实践 威胁情报
  • 联想网御借以美国萨班斯法案(SOX)IT内控的实践为基础,结合中国具体国情,并根据我们多年贴近用户的IT治理经验,针对目前国内企业IT内控面临的主要问题:如何保证权责的正确分配;如何保证IT基础平台可靠;如何...
  • 经济危机使到2009年依然是一个充满变数的一年。近日我参加了一个上市公司CIO的专题研讨会,主题是如何建立合规的IT内控体系,以符合上市公司的规范。
  • 保险业作为金融领域重要的组成部份,其信息化建设也是至关重要的环节,特别是近年来随着我国保险市场的全面开放,与外资保险公司相比,中资保险公司通过完善精算制度,推进行业信息化建设,全面提高保险服务水平,...
  • 专题资料
  • 浅看华为IT内控

    2019-02-19 12:55:43
    浅看华为IT内控
                   
    要说华为IT,先得介绍下现今华为的规模。华为发展至今为止,业已壮大到了9万余人之多,5个一级部门、3个独立子公司,在全球200多个设置地区部,任老板在IT部门投入很大,建立了大量的电子流程平台。NS部门主要负责整个华为的IT安全,包括安全预研、架构、监控、审计、稽核、以及IT流程建设并负责部分安全产品开发工作。就算是在这种情况下,也不可避免的出现了机密资料泄漏、黑客闯入、员工违规等 信息安全事件,对手也是层出不穷,面临高智商IT犯罪的挑战。

    整个IT有1000余人,先说说NS的内部结构,NS有100人左右,含有安全架构部、策略管理、安全开发、审计稽核几个3级部门。与NS经常打交道的部门有SO运维、OPS执行推广2级部门等。信息安全方案的建设过程最终要转产到SO去日常运维,在全球企业分支推广需要OPS来项目运作。当然NS只是华为信息安全IS体系的一部分,华为还设立了信管办、信息安全小组、信息安全部等更神秘的部门。

    Network Security 的主要工作有:
    1,信息安全新技术预研,供应商产品交流,安全项目立项,网络安全支持;
    2,内部网络安全监控,如对IDPS,firewall,soc系统的管理;
    3,内部安全审计,当然不仅仅是渗透测试,还有专门的稽核等取证工作;
    4,信息安全策略制定,企业内控策略推广、落地等工作;
    5,内部IT基础建设,安全产品开发等;

    下面是对为的网络安全实现一些肤浅理解,为了条理性,鄙人对信息安全主要做了个分类:终端安全、web安全、邮件安全、接入应用安全、PKI体系、数据防泄漏等方面。基本覆盖了IS的C.I.A,完整、机密、可用;虽然主要是从安全技术架构去实现,但另外华为IT还建立了成熟的IT流程及电子流审批规范,真正将IS策略绑定到了管理职责、行为、人上。3分技术7分管理还是在华为IT建设中体现的尤为突出,据说华为通过了ISO27000认证。

    终端安全
    谈起这块,首要就是AV,华为采用Symantec的最新版本SEP11,含网络版防毒和HIPS功能,其实SEP的功能模块远不止这些,但华为另取奇道,自己开发了SPES终端监控软件,实现CPM硬件端口监控,身份认证,资产管理,终端审计,软件合规性管理、文件加密等同集成功能程序,McAfee t-Sales说SPES与他们的ApplicationControl比较有过之而无不及。
    举个例子,某人使用USB拷贝数据,从USB拷入PC是可以的,但从PC拷贝至USB中,会触发SPES审计,SPES会直接屏幕截屏,中断网络,强制接入注销,当然机密文档另外有RMS加密技术,就算copy出来了,也是无法解密的(理论上:-)

    WEB安全
    没有进入华为前,总是猜测华为内部怎么上网,一直以为是以为固定PC才可上网查询有限网站的内容。
    其实不然,这块IT使用了2中HTTP访问手段:
    1是虚拟浏览器应用,首先员工上网通过电子流申请,由3级部门主管审批后,开通HTTP访问权限,申请人会获得安装程序和种子文件,该程序会模拟开启虚拟浏览器,使用种子文件进行身份认证,通过该虚拟IE访问WEB,当然这是在全程监控的过程中,有很多限制,应用也不是十分贴切,我反正觉得用长了我会崩溃。
    2是Proxy,当然也需要申请,华为会有若干出口的代理(US,UK,AU,CN,IN,DE),就看你去那个出口了,这种方式会比较习惯。
    现在的Proxy集成了AV、CF(内容过滤)的多种功能,可能是遵循传说中的一国一出口的原则,部署了大量的Proxy,在web通道的内控上做足了投入。

               

    再分享一下我老师大神的人工智能教程吧。零基础!通俗易懂!风趣幽默!还带黄段子!希望你也加入到我们人工智能的队伍中来!https://blog.csdn.net/jiangjunshow

    展开全文
  • IT内部控制与IT治理

    2018-05-17 16:31:16
    IT已从生产与管理的辅助手段和工具,上升到影响组织全局的地位,IT 应用已经深化到制度和战略层面,我们认为这是自信息技术出现以来又 一次革命性的演进,IT正成为公司治理、内部控制与风险管理的重要工 具。
  • SOX法案与金融企业IT内控.ppt 目录 1.背景 2.SOX主要内容 3.SOX对公众公司的主要影响 4.SOX与IT控制 5.SOX符合性实施
  • 一、SOX法案背景 二、IT在SOX遵从中的角色 三、IT遵从的常用框架和方法
  • 随着国内内控的兴起,经常有人会问,内控IT安全有什么关系?为什么内控话题总是被搞信息安全的人经常提及?我想,一方面,是因为内控与信息安全存在内在的联系,另一方面,则是信息安全从业人员为了找到体现自身...

    随着国内内控的兴起,经常有人会问,内控跟IT安全有什么关系?为什么内控话题总是被搞信息安全的人经常提及?我想,一方面,是因为内控与信息安全存在内在的联系,另一方面,则是信息安全从业人员为了找到体现自身价值的附着点吧。

    • 内控与IT的关系

    企业内部控制(简称“内控”)是一个涉及广泛的概念,根据ISACA组织的定义,内部控制指“为减少风险所实施的各种政策、步骤、实务和组织结构”。内控本身与IT并无直接关系。
    但是,正是基于以下两个方面的原因,使得内控与IT联系起来,并且还十分紧密。
    1)
    IT内控是企业内控的必然:当今大部分企业(尤其是美国大企业、上市公司,内控一词主要来自美国)的生产经营都已经极大程度的依赖于IT。可以说,如果IT失效,企业的生产经营活动将会受到极大的影响。因此,针对企业内控有很重要一个环节就是要求IT治理与IT内控,确保IT与企业的业务战略保持一致。而在这里,信息系统审计是企业和组织IT内控过程中最关键的环节。信息系统审计通过对关键控制点的符合性测试来判断IT内控的目标及其控制措施是否有效。因此,这就是为什么IT公司,尤其是从事信息系统审计、安全审计的公司热衷于IT内控的原因了。
    2)
    企业内审必须依靠IT:在内控体系中,内部审计是一个重要的机构和环节。内部审计是一项具有独立性的经济监督活动,以会计准则和审计准则以及有关的法律法规为依据,对企业、机关、事业单位等的财政、财务收支以及经营管理进行审核和检查,并在审核检查完毕后提出内审报告。一个标准的内部审计过程是十分繁琐和复杂的,如果不借助计算机自动化的手段,对现代企业的内审几乎不可能完成。依托计算机信息化技术,通过对所需数据的适时采集、处理加工,形成正确的审计结论和审计评价,从而提高内审工作效率,把内审人员从烦琐的数据运算、法规查证中解放出来,使审计工作的质量有所保证;通过对内审业务过程的计算机化管理,实现对整个内审项目的动态管理、对风险点的实时控制,实现对内审工作任务的合理分解,整合审计资源,促进部门管理责任制的落实,从而便于业绩的考核和评估,做好风险防范
    综上所述,可以看清楚内控与IT的关系。内控首先是使得企业治理与审计相关的咨询公司重视,然后是使得与企业治理与审计相关的IT公司重视,再往后就是使得与企业IT安全治理与审计相关的安全审计相关的信息安全公司重视。
    安全公司重视内控,还有一个原因就是安全服务的需要。因为安全服务过程中涉及到了企业治理的内容。作为企业治理的重要组成部分的IT安全治理由于其横跨企业治理与信息安全两大专有技术领域,使得安全服务相关的咨询活动显得独具价值。

    • IT内控与安全审计的关系

    如何在IT治理和IT内控的层面做好企业内控?我的建议是IT内控从IT审计开始,IT审计从日志审计做起。
    从与企业内控密切相关的IT内控的角度而言,我们首先建议那些具有较高信息化建设水平的、已经开展了企业治理的单位进一步强化IT治理的力度。这些企业往往比其他企业更加依赖于ITIT信息系统,例如金融、电信、证券、保险、电力。对这些IT信息系统的审计是当前的重点。信息系统审计通过对关键控制点的符合性测试来判断IT内控的目标及其控制措施是否有效。
    另一方面,包括《企业内部控制规范》在内的国内针对电子政务、央企、银行、证券、基金、保险、上市公司的信息系统风险保障和内控的指引、条例和文件,都直接或者间接的指出了要将日志审计作为信息系统审计的基本技术手段。
    《企业内部控制基本规范》的第四十一条要求“企业应当加强对信息系统的开发与维护、访问与变更、数据输入与输出、文件存储与保管、网络安全等方面的控制,保证信息系统安全稳定运行。”
    《商业银行内部控制指引》的第一百二十六条要求“商业银行的网络设备、操作系统、数据库系统、应用程序等均当设置必要的日志。日志应当能够满足各类内部和外部审计的需要”。
    《银行业信息科技风险管理指引》第二十一条明确要求商业银行信息科技部门要“定期向信息科技管理委员会提交本银行信息安全评估报告”,“信息安全策略的制定应涉及合规性管理领域”。第二十七条指出“银行业应制定相关策略和流程,管理所有生产系统的日志,以支持有效的审核、安全取证分析和预防欺诈。”
    《证券公司内部控制指引》第一百一十七条要求“证券公司应保证信息系统日志的完备性,确保所有重大修改被完整地记录,确保开启审计留痕功能。证券公司信息系统日志应至少保存15年”。
    《信息系统等级化保护基本要求》的技术要求中,从第二级开始,针对网络安全、主机安全、应用安全都有明确的安全审计控制点。在管理要求中,“安全事件处置”控制点从第二级开始要求对日志和告警事件进行存储;从第三级开始提出了“监控管理与安全管理中心”的控制点要求。

    针对日志审计,我们做了不少工作,也获得了一些客户的认可【1】【2】。

    另外,
    这篇文章对IT内控讲的更为全面。

    ——Benny
    展开全文
  • 案例实解:IT内控体系建立与实施 中国联通
  • 为了满足SOX法案,在美上市公司IT内控和审计标准。
  • 你还在寻找内控审核报告模板(无保留)吗?在这里,为大家整理收录了内控审核报告模板(无保留...该文档为内控审核报告模板(无保留),是一份很不错的参考资料,具有较高参考价值,感兴趣的可以下载看看
  • IT治理与企业内控 何迪生 Dixon Ho 主席 |ISACA 国际资讯系统审计协会(北京委员会) 副主任|中国信息化推进联盟 - 信息安全专业委员会 信息安全及基础架构总监|Microsoft 微软大中华区 国际信息系统审计协会...
  • 香江集团梁维:集团信息化与IT内控

    千次阅读 2011-03-11 14:22:00
    此外,企业还应充分借鉴吸纳国际先进标准理念来推进IT内控体系建设(如国际公认的IT内控标准-COBIT),按照集团总部和各地区分、子公司有机结合的方式分阶段展开,最终实现企业各项管理的规范化和系统化,提高企业...

    本篇文章版权由ECFHP所有

    香江集团创建于1990年,秉承“办好实业、回报社会”的企业宗旨,近二十年的发展,产业包括家居流通、房地产开发与建设、铝业和金融投资。在家居流通领域,投资控股的金海马集团和香江家居MALL连锁机构,在全国建成和经营了200多家大型家居连锁店,已成为中国最大的家居连锁企业,同时也是首家采用德国SAP先进ERP管理系统的家居零售企业。


    事实证明,在香江集团迅速发展的过程中,快捷高效的信息化平台成为了企业发展不可或缺的核心竞争力。近年来,“敢为人先”的香江人在企业信息化建设中进行了许多富有建设意义的尝试,并取得了显著成效——从2000年香江人首次创建金海马集团电子商务网站,到2001年金海马率先成功引入ERP系统(在国内流通企业中第一家成功导入SAP信息管理系统),再到2005年香江集团采用办公自动化系统(OA);从财务系统NC的上线推广,到物业管理软件在南方香江的广泛应用,再到EHR软件在人力资源系统的升级优化。香江集团在企业信息化方面所进行的探索,赢得了各方的广泛赞誉。


    凡事预则立,不预则废


    该集团信息技术部经理梁维说:“除了上市公司-香江地产以外,其它两个事业部也是按筹备上市的要求要求进行管控,这就势必要求通过IT管控防止和减少风险,进而提升管理。”梁维进一步强调:“上市公司针对产生财务交易的所有作业流程,都做到能见度、透明度、控制、通讯、风险管理和欺诈防范,且这些流程必须详细记录到可追查交易源头的地步。因此,我们必须加强和建立有效的内部控制框架,以确保上市公司遵守证券法律和提高公司披露信息的准确性和可靠性。”


    俗话说“凡事预则立,不预则废”。IT内控作为集团企业内部控制的有机组成部分,对企业竞争力和经济效益的影响越来越大。一个成功的IT内控体系可以防止和减少许多潜在IT事件的发生和破坏。正如居安思危,有备无患一样。一个优秀的IT管理者内控和风险管理之间达成一种平衡,要大大减小内外部风险对企业发展进程造成的不良影响。


    梁维坦言:“企业IT部门只有加强IT内控管理,严格执行各项IT内控的规章制度,才能有效的实现风险控制。因此,企业应要借鉴国内外先进的经验,结合业务需要分层次、分步骤地制定和完善IT内控工作流程。例如,可从物理安全、系统安全和管理安全三个方面制定相应的规章制度,逐步形成完备的管理手册,使IT内控工作有章可依、有据可查,并且定期对IT内控制度的执行情况进行评估。由此看来,通过IT内控体系与合规管理来防范和降低集团管控风险,是信息技术部门工作的重要组成部分。”


    梁维解释到:“IT内控这个词听起来好象很时髦。其实,在IT内控这个词流行以前,我们是用的规章制度、政策和程序手册来描述具体做事的步骤和规定。但两者之间是有很大的区别:首先,我们以前的规章制度一般是条文式地说明一件事情,而IT内控则强调信息的输入和输出。其次,IT内控非常强调流程的逻辑严密,而以前的规章制度是不容易达到严丝合缝和责任分明。”


    四大体系建立是保障


    2010年,香江集团通过优化管理架构和管理制度,初步形成立体的管控体系,IT内控不同程度凸现出在业务支持方面的关键作用。那IT是如何成为公司内部控制的一部分呢?


    “香江集团是以具体运营流程为基础展开的IT控制,直接关系运营活动的实施。美国SOX(萨班斯)法案所规定IT一般性控制,主要包括信息系统开发流程的控制、程序变更管理控制、计算机运行管理控制、程序与数据访问控制、信息系统安全的控制,还有IT计划等。在一般性控制之外,还有应用系统的控制,包括应用系统中设置的有关业务流程的输入、数据处理和输出控制等。另外,信息技术部门更应侧重于管理,包括加大对分支机构信息系统、系统建设、运维、数据等集中管理的力度,降低分散管理隐含的风险。”


    2008年6月,财政部、证监会、银监会、保监会及审计署委联合发布了被称为“中国版萨班斯法案”的《企业内部控制基本规范》,此规范已于2009年7月起在上市企业中实施。其中,该规范第37条规定:“企业应当建立重大风险预警机制和突发事件应急处理机制,明确风险预警标准,对可能发生的重大风险或突发事件,制定应急预案、明确责任人员、规范处置程序,确保突发事件得到及时妥善处理。”


    梁维进一步解释到:“IT内控通常包括信息技术部门与使用部门的职责、程序开发修改及控制、程序及数据资料的存取、数据信息的安全控制、公开披露活动的控制等。IT控制有一个治理框架,即COBIT框架。COBIT全称是信息及相关技术的控制目标(ControlObjectivesforInformationandrelatedTechnology)。COBIT是将IT流程、IT资源与企业的策略与目标联系起来,在企业业务战略指导下,对信息及相关资源进行规划与处理。”


    梁维认为:香江集团要建立合规的IT内部控制,必须要先打造一个合规的IT内控体系。即总结了以下四方面:


    (1)确定合规的IT内控范围


    第一步是先确定合规的IT内控范围,它是指根据《企业内部控制基本规范》的要求,从全局角度去考虑、分析、规划需要控制的事情和范围。


    以香江集团管控中心为例,香江集团管控中心(投资除外)主要工作是集团财务和集团人力资源两部分,集团财务主要包括:集团资金管理、预算调整审批、NC系统权限申请、控股资金管理、金海马资金管理、家福特资金管理、财务报销管理等,使用用友NC系统进行业务及数据管理,使用OA系统进行财务流程电子审批管理;集团人力资源管理主要包括:集团集团绩效管理、集团薪酬管理、集团培训管理等;使用用友EHR系统进行人员管理及薪酬管理,使用OA系统进行员工考勤、转正等流程电子审批管理;


    因此,以上业务流程、IT支持系统、IT系统涉及业务数据、业务数据数据字典、IT系统开发管理、IT系统变更管理等就是IT内部控制的范围;


    (2)对选定的IT内控范围进行风险评估


    风险评估可使我们香江集团更加清晰地认识到,意外事件的发生将如何限制业务目标的达成。风险评估的目的是要辨别IT合规性的潜藏内在风险与残存风险。当在IT内控时可能会碰到很多风险时,通常的做法是要把可能的风险划分一个优先级,对于优先级高的风险要给以更多的关注。


    例如:权限控制的风险,主要内容包括:“是否在IT系统中对不同岗位、级别的工作人员设置不同的操作权限,并且得到认真执行;是否不相容权责分离等。以香江集团管控中心为例,集团财务部制定了用友NC系统管理制度,在制度中对使用用户进行了认真区分,其中包括财务总监、系统管理员、财务经理、财务主管、一般会计、财务出纳等角色的操作及查看权限,并在OA系统上设立NC系统用户申请单流程,通过严谨透明的的审批流程,保证不相容权责分离原则得到认真贯彻;


    (3)进行内、外部IT审计


    一般来说,合规控制对于上市公司和IT系统有三个层面:最高级是公司级控制,决定了IT内部控制的方向,中级是应用企业层面的控制,主要是与业务流程相结合,体现在IT应用系统中;基础级是指基础层面的控制,主要体现在体现在IT部门向业务部门提供服务过程中。


    IT内、外控审计主要内容有:IT制度与流程手册、系统变更(包括应用系统及基础设施)、逻辑访问(包括应用系统及基础设施)、物理访问、IT灾难备份、数据接口、第三方管理、环境控制、问题管理和作业调度等。对于测试不合格的IT控制,应该及时纠正缺陷,完善IT控制体系的设计与提高IT运维的质量,以确保其有效性。


    (4)报告管理层IT内控审计情况


    IT内部审计完成,应立即形成正式的书面审计结论,并向管理层报告,以方便管理层及时调整和调配IT内控的资源和策略,尽快将风险防患于未然之中。例如将IT内控审计的涉及的不合格项进行逐项整理,,形成IT内控审计管理报告。


    领导者支持是关键


    梁维认为实现IT内控取决于两方面,首先是得到领导的大力支持。集团企业在建立科学、有效的IT内控体系过程,归根结底是领导者参与的过程,理应获得最高管理者的支持,最高管理者要以高度的责任感和紧迫感推进IT内控体系建设可以达到事半功倍的效果。目前香江集团管理层早已意识到IT内控的重要行和迫切性,正通过制度和流程的梳理和优化改善企业内控建设,IT部门也正在组织同事学习及应用COBITITIL等相关管理体系的外训,IT也势必成为集团内部管控不可缺少的一部分。


    此外,企业还应充分借鉴吸纳国际先进标准理念来推进IT内控体系建设(如国际公认的IT内控标准-COBIT),按照集团总部和各地区分、子公司有机结合的方式分阶段展开,最终实现企业各项管理的规范化和系统化,提高企业运行效率和效益,保障遵循国家法规和企业各项规章制度,提高企业整体管理水平与核心竞争力。


    综上所述,不难看出香江集团视IT为企业管理的重要组成部分,它具有一定的变革性,通过系统实施规范管理制度,使其更具科学性;规范人的行为,提高自觉性和增强紧迫感;转变思想观念,实现协调性;可以说是借信息化的壳儿掀起了一场香江集团管理变革的浪潮。通过IT内控体系建设,可以加强集团IT管理,提高IT效率,降低IT风险。通过一套有机的、科学的和相互制约的IT内控体系,使监督管理的有章法可依,从而形成良性的IT治理结构和现代企业管理制度。

    本篇文章版权由ECFHP所有

    展开全文
  • 华为3COMSOX法案IT内控实践

    千次阅读 2010-12-17 14:02:00
    华为3COMSOX法案IT内控实践
    华为3COM由华为公司与美国上市公司3COM在2003年合资成立,2005年、2007年两次股权变更,并在2007年正式改名为杭州华三通信技术有限公司,简称H3C。H3C的财务数据对3COM财务报表影响较大,所以H3C也需要遵从美国SOX法案相关要求。本文在简述IT遵从SOX法案要求和业界框架后,将详细介绍H3C公司IT团队自主实施SOX项目的过程、方法、关键控制点和相关体会。   一、SOX法案背景   针对安然、世通等财务欺诈事件,美国国会出台了《2002 年公众公司会计改革和投资者保护法案》(Sarbanes-Oxley Act)。该法案由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席萨班斯联合提出,又被称作《2002年萨班斯—奥克斯利法案》(简称萨班斯或SOX法案)。该法案的法律效力适用于在美国证券交易委员会注册的公司,在美国上市的中国公司也受它约束。SOX法案对上市公司管理层提出了非常苛刻的要求,直接相关的条款包括:302条款 公司对财务报告的责任、404条款 管理层对内部控制的评价、906条款 强化白领刑事责任。   二、IT在SOX遵从中的角色   SOX法案强调了要设计和执行有效的公司内部控制来保证财务报告职能的行之有效,随着越来越多公司对于信息技术依赖性的提高,IT控制在公司内部控制体系中的重要性也日益增加,主要体现如下方面:a. 公司业务流程的部分甚至全部由IT系统驱动和承载;b. 公司内部控制目标的实现通常取决于以IT为基础的控制;c. 许多控制需要依赖IT系统生成的数据。   IT通过应用控制和一般控制来帮助控制财务报告的相关风险,以达到控制目标。其中:IT应用控制(IT Application Control)嵌在各个应用系统中,控制业务流程和交易处理,直接对财务报告产生影响;IT一般控制 (IT General Control, 也译作通用计算机控制)是分布在IT流程中的控制活动,用来保障IT整体运维环境的可靠,并支持应用控制的有效运作。   美国公众公司会计监管委员会(PCAOB)特别举例强调,IT控制对于公司总体控制目标的实现具有广泛和深远的影响。所以,建立维护合理的IT控制体系、并保证其有效执行是SOX法案遵从的重要组成部分。   三、IT遵从的常用框架和方法   如何建立和维护一套有效的IT内控体系,并能得到外部审计师的认同,较为有效的方法是采用业界通行的框架。COSO是目前唯一被PCAOB明文确认可接受的内控框架,该框架确定了3项内部控制目标,将分布于公司各个层面的内控分解为控制环境、风险评估、控制活动、信息和沟通、监督五个组成要素。   熟悉COSO的人士都知道,COSO框架并没有具体描述IT风险与控制目标,相对来说Cobitreg;(Control Objectives for Information and related Technology)更有针对性。Cobit框架由I T Governance Institute发布,2007年新版本是Cobit4.1,它定义了IT控制的7项信息标准(有效性、经济性、机密性、完整性、可用性、合规性、可靠性)、4大领域(计划组织、开发获取、交付支持、监控评价)和34个过程。   比较可贵的是,ITGI在2004年及时研究发布了《SOX法案遵从IT控制目标》(英文全称为IT Control Objectives for Sarbanes-Oxley: The Role of IT in the Design and Implementation of Internal Control Over Financial Reporting),其为SOX遵从的风险识别与控制过程指明了方向。2006年9月ITGI发布了该项目工作的第2版,更加受到了业界欢迎。   IT控制目标明确后,需要具体落实在IT组织、人员、技术和流程中。这个落实过程可以参考IT服务管理标准(新的ITSM国际标准为ISO20000),建议重点借鉴IT基础设施库 (ITIL)的变更管理、问题管理、事件管理、配置管理等服务支持流程。在信息安全管理方面,ISO17799是一个可参照的国际标准。   四、 H3C IT SOX遵从实践   2006年6月,H3C正式启动了SOX遵从项目,对于IT部门来说,第一个挑战是时间紧迫、人手不足,第二个挑战是必须同步进行数据中心运维交接(以前是外包的),第三个挑战是没有咨询公司的参与。IT控制设计、实施、穿行测试、期中测试、期末测试等是依靠内部力量自主摸索完成的,以下对其展开介绍。   1、H3C IT SOX遵从的项目过程和组织   H3C IT实施SOX遵从项目的大致过程如下:   (1)SOX计划和范围界定   制定IT SOX遵从具体项目计划;根据对财务报告控制目标的影响,整理和识别SOX遵从范围内的IT应用系统、数据库和相关基础设施。并且在IT部门内部进行SOX相关的培训和宣传。   (2)评估风险   依据对财务报告各项认定:存在性/发生、完整性、准确性、权利和义务、估值、披露的影响评估IT风险。   (3)确认控制目标,识别和记录IT控制点   依据PCAOB有关IT控制的要求、参照IT Control Objectives for Sarbanes-Oxley,明确IT控制目标以及更明细的控制子目标,分析确定关键控制子目标;识别现有控制活动、控制类型和发生频率,识别关键控制点。H3C采用的13个通用计算机控制目标分别是:应用软件获取与维护、技术基础设施获取与维护、制度保障、程序安装和启用、变更管理、服务级别定义和管理、第三方服务管理、确保系统安全、配置管理、问题和事件管理、数据管理、物理环境和运维管理、终端用户计算。   (4)评估IT控制设计和日常执行的有效性   依据设定的IT控制目标,评估现有的IT控制活动设计是否合理,是否能够实现控制目标。并根据IT控制活动发生的频率抽样测试日常执行的有效性。详细描述当前控制设计和执行的缺陷。   (5)评估和改进控制缺陷   针对存在的缺陷,评估对于财务报告的风险,针对风险较大的关键控制目标,改进控制设计,提高执行有效性。   (6)日常控制的持续有效   通过培训、宣传、自查、抽查、内审等活动以及合适的技术手段来优化和保障IT控制的持续有效。   2、H3C的IT控制活动举例   (1) ITGC关键控制活动举例   a) 应用软件获取与维护:遵循一个有效的系统开发实施方法论(SDLC);项目需求规格中需要包括应用控制方面的内容;项目组任命、项目需求规格、验证性测试必须要求业务部门的签字确认;如果涉及到系统选型和采购,选型小组中需要有业务部门的代表,按照采购流程执行等。   b) 程序安装和启用,在系统进入生产环境前需要测试和业务确认,包括:功能测试、接口测试、数据迁移测试等。   c) 程序变更控制:所有程序变更申请都必须是恰当的且经过授权的;进行职责分离以防止开发人员修改生产环境;版本控制以防止修改冲突;变更测试以确保准确性;需经业务用户确认以确保变更符合业务需要等。   d) 信息安全控制:用户认证 (如访问帐号和密码);密码控制 (如密码有效期,复杂度等);安全管理 (新用户建立,离职员工销户,密码复位等);计算机、网络防病毒等;工作场所的物理安全等。   e) 数据管理:制定备份策略,依据备份策略进行程序、数据备份;备份恢复计划与演练等。   f) 运维管理:计算机系统监控;作业/批处理程序监控等。   (2) ITAC控制活动举例   IT应用控制主要目标包括财务交易信息的完整、准确、有效,仅限于经过授权的人员操作,符合职责分离要求,其中职责分离(SoD)的设计与实施占用ITAC的较大工作量。对于应用控制的设计需要在需求规格中清晰描述,并获得业务部门确认。常用的IT应用控制活动包括:逐笔核对检查、批次总数/运行总数控制、计算机序列检验、计算机自动匹配、程序检验、物理锁定、预配置输入。   (3) IT实体层控制活动举例   除ITGC 和ITAC以外,需要将IT纳入公司层面进行SOX遵从评估,包括:战略和计划、策略和流程、培训和技能、风险评估、质量保证、内部审计等。     3、H3C IT SOX遵从项目主要交付文档   (1)内控的总体说明(Narrative)   (2)应用系统范围界定(Application Scoping)   (3)风险控制矩阵(Risk Control Matrix (RCM))   (4)职责分离设计(Segregation of Duties)   (5)管理评估(Management Assessment)   (6)问题跟踪与改进(Issue Trace)     4、H3C IT SOX遵从的里程碑   (1) 2006.05 项目启动   (2) 2006.09 内部第一轮测试   (3) 2006.10 外部审计师控制设计测试   (4) 2006.12 外部审计师执行有效性测试   (5) 2007.02 内部第二轮测试   (6) 2007.04 外部审计师期末测试     五、H3C IT SOX遵从体会   通过实践,项目团队认为下述几个因素的影响较大:与业务运营良性互动的理念、基于风险和自上而下的方法、框架标准和成功经验的借鉴、良好的管理基础与技术保障、合适的团队和有效的沟通。   1、与业务运营良性互动的理念   尽管SOX遵从是硬性要求,有可能会增加运作成本,项目团队也非常重视其正面价值。通过有效的风险评估和控制活动识别,产生如下结果:(1)很多控制点业务上本已存在,但执行人员原本没有意识到,现在更加明白自己工作意义,成就感也增强了;(2)有些缺陷和不足是业务运营本身就应该纠正和预防的,所以增加控制点利大于弊;(3)存在一些重复或多余的控制活动,优化后提高了运营效率。H3C IT遵从过程中建立起来的运维体系与流程,对数据中心运维的平稳交接帮助很大。   2、基于风险和自上而下的方法   IT对风险的控制可能会不足,但从另外一个角度看,也要防止控制过头,想要彻底避免所有风险本身不现实,所以应该选择基于风险、自上而下的方法,否则目标模糊、“草木皆兵”,会导致自乱阵脚。风险、控制目标、控制活动明确后,执行中就不宜再泛化SOX的要求。曾经发生过一件趣事,同事甲去找同事乙协调一项棘手的工作,眼看协调不成时竟说“这是SOX的要求”,但同事乙的SOX功底很深,没被吓唬住,最后双方莞尔。   3、框架标准和成功经验的借鉴   主动借鉴行业框架、行业标准,有利于保障控制的完整性,不会出现大的缺失,也有利于对内对外的沟通。项目团队参照Cobit框架编制控制说明(Narrative)和风险控制矩阵(RCM),与外部审计师的沟通效率就比较高,返工也较少。   华为公司的IT服务管理体系通过了ISO20000认证、其信息安全管理体系通过了ISO17799认证,其成功经验值得借鉴;3COM公司IT专家丰富的SOX知识和经验也非常有价值。   4、良好的管理基础与技术保障   H3C IT实施SOX遵从项目不是推倒重来,实施前已经有了正常运作的信息安全管理、应用系统开发维护、以及部分IT运维管理流程,这为遵从提供了良好的管理基础。通过实施IT遵从项目对相关流程、体系进行了补充和完善,也对有些环节进行了优化和减化。   H3C IT广泛应用了自己公司的IToIP产品与解决方案,也为高效、持续的符合SOX法案要求提供了重要的技术保障。例如,基础性的交换机、路由器、防火墙、VPN、入侵防御系统、日志管理系统等,已经是被IT人员所熟悉,其对于SOX遵从的意义当然无需赘述;COSO内控框架中的五要素之一是“信息和沟通”,VoIP语音、视讯系统有效的降低了沟通成本、提高了沟通效率和效果;高速的数字监控系统、大容量的存储产品既有利于不良事件的预防(preventive)也有利于事后的检测(detective);审计证据的数字化、流程化记录和保存对提高控制执行效率和审计效率都很有帮助。   特别是EAD(End Access Defense – 终端访问防御)解决方案的全面实施,有安全隐患的机器设备(如:未经认证、装有非法软件、病毒库过期、补丁更新不及时、密码设置不规范等等)均无法接入公司网络,不仅提高了IT安全系数、而且降低了IT运维整体成本。   5、合适的团队和有效的沟通   IT SOX遵从由刚刚升任、富有创新精神的CIO带队,核心成员熟悉公司业务和运作流程,熟悉SOX法案、PCAOB审计标准、COSO、Cobit、ISO20000、ISO17799等信息系统审计知识,另外还有较丰富的开发和管理经验。   H3C IT部门及相关人员本身素质较高,适应变革能力较强,执行力也非常强。对于沟通清楚、目标明确的任务,即使再苦再累,都能贯彻落实。对于不明确的任务,控制执行人员一般都会主动找项目团队成员沟通,和项目团队成员一起想办法。   与外部审计师保持有效的沟通也是非常重要的因素。对审计师保持开放积极的态度,尊重审计师时间、尊重审计师观点,及时纠正审计师发现的问题。及时跟踪业内动态并与审计师一起讨论分析,增加相互信任,争取尽早在有争议的问题上达成一致。例如PCAOB可能会放松对管理层评估的要求、IT Control Objectives for SOX第2版中放松了对可用性(Availability)的强调,项目团队及时删减了一些控制目标和控制活动并得到审计师认可。   2007年4月当期现场审计结束,外部审计师认为H3C的IT控制不存在实质性缺陷(material weakness)和重大缺陷(significant deficiency),小的缺陷(deficiency)只有3个,即SOX合规,第一年这样的表现是较为优秀的。新建的控制体系保障了数据中心运维平稳交接,有效的支撑了业务运营,为持续遵从奠定了坚实基础。当然,考虑到环境的不同,以上体会未必适用于所有项目,H3C自身环境也在不断变化,如何持续遵从仍需进一步摸索。  
    展开全文
  • 主要实施任务是对IT内控现状进行了解,确认IT控制的相关范围,审阅相关政策和程序,调研和识别企业内部控制规范所要求范围内的重点应用系统及模块清单,对信息系统的相关控制设计情况进行了解,在现有的业务流程控制...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 1,073
精华内容 429
关键字:

it内控