文档介绍：IT内控体系建立与实施
中国联合网络通信有限公司河北省分公司高级工程师屈玉阁
2009年5月15日
原中国网通内控测试结果零缺陷
为了达到在美国上市公司萨班斯法案的要求,原中国网通公司在近三年的时间里,完成了147个单位的内控体系建设,共梳理内控流程6920个,对近16000个关键控制活动进行了测试。经过世界知名的普华永道会计师事务所审计,中国网通(集团)有限公司测试结果为零缺陷,内控工作最终取得令人满意的实质效果。
2007年5月31日,普华永道在美国证券交易委员会(SEC)的20F报告中,对原中国网通内控工作正式出具了无保留意见的审计报告。至此,原中国网通成为率先通过美国《萨班斯法案》404条款的国内电信运营商。原网通河北省分公司作为网通集团内控模板推广试点单位,为原中国网通集团通过美国《萨班斯法案》404条款做出了应有的贡献。
内部控制基本执行路径
在美国上市的公司请管理咨询公司,制定满足SOX要求,遵循COSO框架的制度
在企业各个层面落实
在资本市场公布审计结果
企业请外审公司对执行情况进行审计,得出结论。
每年内控工作各阶段划分
依据内控模板制定、修正本地化控制活动
省公司组织检查
各单位改进
外审第一次测试
各单位改进
外审第二次测试
工作进度
日期
各单位依据本地化控制活动检查实际工作中差距,并改正。
企业信息化工作基本内容
企业信息化工作分为两部分,一是信息系统建设,二是信息化管理控制。
IT内控是为保证财务报告数据的真实准确而对信息系统及管理环境采取的管理控制工作,是信息化管理控制的一部分。
企业信息化工作
信息系统建设与运营
信息化管理控制
IT内控
对财务数据来源控制的途径
SOX404强调财务报告数据来源的准确与控制。
财务报告数据来源的内部控制包括信息系统控制、电子表格控制、人工处理数据控制等三个方面。
2006年原网通河北省分公司IT内控工作组承担了IT内控、电子表格内控等两部分工作,其工作量占全部内控工作的60%。
财务报告
信息系统
纸质报表
电子表格
ITGC标准模板构成
原网通公司IT内控涉及的领域
一般性信息系统
基本控制
信息系统
应用控制
信息系
统安全
信息系
统操作
变更管理
应用系统、
数据库实
施与支持
ERP
计费帐
务系统
一般性信息系统基本控制内容
信息系统安全
信息系统操作
变更管理
应用系统、数据
库实施与支持
一般安全管理
操作系统
安全管理
数据库安全管理
网络安全管理
应用系统
安全管理
防病毒安全管理
物理安全管理
批处理程序管理
备份
信息化用户
支撑体系
紧急应变及
系统恢复
应用系统变更
操作系统变更
数据库系统变更
网络变更
应用系统采购
应用系统、数据库
开发与实施
Cobit
ISO/IEC 17799
ITIL
一般安全管理
举例:信息系统安全内控架构
应用系统安全
数据库安全
操作系统安全
网络安全
物理安全
防病毒安全