中國電信股份公司 企業(yè)信息化部 世界觸手可及 2016/7/16 信息技術(shù)一般性控制 風險、控制與評估方法 讓客戶盡情享受信息新生活 中國電信 2 課件提綱 2 1 一般性控制介紹 關(guān)于集團下發(fā)的 3 一般性控制的 4 一般性控制審計軟件簡介 5 讓客戶盡情享受信息新生活 中國電信 3 1、 信息技術(shù)對財務(wù)報表的有著直接的影響； 對于電信公司主業(yè)而言，其生產(chǎn)經(jīng)營行為所依賴的平臺都是信息系統(tǒng)，如交換網(wǎng)、智能網(wǎng)、計費系統(tǒng)、結(jié)算系統(tǒng) 此外，隨著管理支撐系統(tǒng)（ 推廣，各省普遍建立起了相應(yīng)的財務(wù)、工程、資金、 此，信息系統(tǒng)廣泛用于業(yè)務(wù)、財務(wù)流程中，對財務(wù)報告有著直接的影響。 1）信息技術(shù)對財務(wù)報表的影響 網(wǎng)絡(luò) / 信息系統(tǒng) 會計科目 / 報表 對于 業(yè)務(wù)流程 控制缺陷 顯著缺陷 實質(zhì)性 漏洞 信息技術(shù)控制 36% 22% 21% 收入確認 13% 10% 6% 固定資產(chǎn) 10% 7% 9% 財務(wù)報告和結(jié)賬 9% 16% 12% 采購付款 9% 13% 12% 人力資源（工資和福利費用） 8% 6% 15% 讓客戶盡情享受信息新生活 中國電信 4 1、 2） 董事會 執(zhí)行管理層 業(yè)務(wù)及服務(wù)部門 公司治理和 理都是市場（含政府）他律的機制，是如何 “ 管好管理者 ” 的機制，其目標也是一致的：達到業(yè)務(wù)永續(xù)運營，并增加組織的長期獲利機會。 企業(yè)治理側(cè)重于企業(yè)整體規(guī)劃， 理側(cè)重于企業(yè)中信息資源的有效利用和管理 。 證實 略與企業(yè)戰(zhàn)略一致 證實 過明確的期望和衡量手段交付 指導(dǎo) 略、平衡支持企業(yè)成長的投資 指導(dǎo)信息資源的分配 制訂 目標 分析和決策新技術(shù)的機遇和風險 明晰關(guān)鍵過程、構(gòu)建核心競爭力 信息服務(wù)的提供和支持 讓客戶盡情享受信息新生活 中國電信 5 1、 2） 股東價值 驅(qū)動 路線 價值交付 績效評估 風險管理 資源管理 來源： 東價值驅(qū)動著 這五個領(lǐng)域中，價值交付和風險管理是 略路線、績效評估和資源管理是驅(qū)動因素。 讓客戶盡情享受信息新生活 中國電信 6 1、 2） 業(yè)務(wù)應(yīng)用 需求 驅(qū)動 驅(qū)動 使動 驅(qū)動 驅(qū)動 驅(qū)動 驅(qū)動 來源： 述 定義業(yè)務(wù)和技術(shù)的一體化和標準化的要求 決定保證有效 平衡業(yè)務(wù)需求和整體構(gòu)架之間的矛盾 明確項目的選擇及資源分配 對 T？ 對 企業(yè)需要規(guī)劃和構(gòu)建的有效的 含基礎(chǔ)設(shè)施、數(shù)據(jù)和應(yīng)用和組件的構(gòu)架； 對 有效 礎(chǔ)設(shè)施需要保證共享的、可靠的服務(wù)，并可用于多個應(yīng)用。 對業(yè)務(wù)應(yīng)用需求的決策需闡明： 怎樣平衡企業(yè)業(yè)務(wù)需求和企業(yè)整體標準構(gòu)架之間的矛盾。 對 讓客戶盡情享受信息新生活 中國電信 7 1、 2） 讓客戶盡情享受信息新生活 中國電信 8 1、 國際上公認的 國際信息系統(tǒng)審計協(xié)會（ 南和標準案例 國際內(nèi)部審計師協(xié)會 (全球技術(shù)審計指南（ 國際標準化組織（ 0000 & 27000 ( 軟件成熟度模型 ( 2） 其中， 讓客戶盡情享受信息新生活 中國電信 9 資源 管理 根據(jù) 與戰(zhàn)略的一致性 風險管理 資源管理 業(yè)績管理 1、 2） 讓客戶盡情享受信息新生活 中國電信 10 1、 2） 績效和 業(yè)務(wù)目標 合規(guī)： 如 企業(yè)治理 9001:2000 17799 20000 最具實踐標準 質(zhì)量保障 流程 過程和流程 業(yè)務(wù)驅(qū)動 全原則 平衡 記分卡 讓客戶盡情享受信息新生活 中國電信 11 1、 3） 一個企業(yè)的業(yè)務(wù)目標極大地依賴于所獲得數(shù)據(jù)和信息的可靠性和及時性。信息技術(shù)內(nèi)部控制框架（如： 一個全面的控制框架以保證價值的交付、風險管理和對于數(shù)據(jù)和信息的控制。 業(yè)務(wù)目標 信息 源 程 戰(zhàn)略 運營 報告 合規(guī) 信息技術(shù)控制 （如 讓客戶盡情享受信息新生活 中國電信 12 1、 3） 治理 2005 管理 2000 控制 1998 審計 1996 變化 讓客戶盡情享受信息新生活 中國電信 13 企業(yè)的業(yè)務(wù)目標 和治理目標 高效性 應(yīng)用程序 信息 基礎(chǔ)架構(gòu) 人員 服務(wù) 和支持 監(jiān)控 和評價 獲得 與實施 信息 C O B I T 控制框架 有效性 保密性 完整性 可獲得性 一致性 定義及管理服務(wù)級別 管理第三方服務(wù) 管理性能和能力 確保連續(xù)性服務(wù) 確保系統(tǒng)安全 辨別與分配成本 培訓(xùn)用戶 協(xié)助與建議客戶 管理配置 管理問題與事件 管理數(shù)據(jù) 管理設(shè)施 管理操作 監(jiān)控流程 估內(nèi)部控制適度 得獨立保證 供獨立審計 制定 定義信息體系結(jié)構(gòu) 確定技術(shù)方向 定義 管理 溝通目標與方向 管理人力資源 確保合乎外部需求 評估風險 管理項目 管理質(zhì)量 審視解決方案 采購與維護應(yīng)用軟件 采購與維護技術(shù)基礎(chǔ)設(shè)施 開發(fā)與維護程序 安裝與授權(quán)系統(tǒng) 理變更 計劃 與組織 可靠性 1、 3） 讓客戶盡情享受信息新生活 中國電信 14 公司層面控制 一般性控制 應(yīng)用控制 1、 4）中國電信 讓客戶盡情享受信息新生活 中國電信 15 1、 4）中國電信 信息技術(shù)應(yīng)用程序控制 應(yīng)用程序控制 完整性 準確性 真實性 授權(quán) 職責分離 公司層面信息技術(shù)控制 公司層面信息技術(shù)控制 控制環(huán)境 風險評估 信息和溝通 監(jiān)控 一般性控制 程序開發(fā) 程序變更 計算機運行 程序和數(shù)據(jù)訪問 終端用戶計算機應(yīng)用 信息技術(shù)一般性控制 業(yè)務(wù)受理流程 計費帳務(wù)流程 資產(chǎn)管理流程 營業(yè)性支出流程 計費帳務(wù)系統(tǒng) 固定資產(chǎn)系統(tǒng) 財務(wù)系統(tǒng) 業(yè)務(wù)流程 信息系統(tǒng) 控制體系 包括 34個流程 包括 12大類系統(tǒng) 每個系統(tǒng)包含四個控制領(lǐng)域 讓客戶盡情享受信息新生活 中國電信 16 16集團數(shù)據(jù)交換樞紐 集團 省公司 地市 企業(yè)應(yīng)用集成（ 企業(yè)應(yīng)用集成（ 資源域 企業(yè)外部門戶 集團 團計費結(jié)算 系統(tǒng) 企業(yè)內(nèi)部門戶 管理支撐系統(tǒng) 綜合服務(wù)開通 集團 綜合資源 集團綜合服務(wù)網(wǎng)絡(luò)保障 服務(wù) 開通 綜合網(wǎng)絡(luò)資源 綜合網(wǎng)絡(luò) 管理 施工調(diào)度 綜合網(wǎng)絡(luò) 管理 自動激活 企業(yè)內(nèi)部門戶 管理支撐系統(tǒng) 企業(yè)外部門戶 戶 認證 平臺 客戶 認證 平臺 融合 計費 充值 平臺 綜合 結(jié)算 采集 預(yù)處理 生產(chǎn) 分析域 營型 數(shù)據(jù)應(yīng)用 綜合服務(wù)保障 自動激活 服務(wù)保障 專業(yè)網(wǎng)絡(luò)管理 產(chǎn) 分析域 析型 數(shù)據(jù)應(yīng)用 專業(yè)網(wǎng)絡(luò)管理 生產(chǎn) 分析域 營型 數(shù)據(jù)應(yīng)用 生產(chǎn) 分析域 析型 數(shù)據(jù)應(yīng)用 專業(yè)網(wǎng)絡(luò)管理 重點 、中國電信 1）中國電信系統(tǒng)架構(gòu)概覽圖 已經(jīng)納入內(nèi)控體系的系統(tǒng)范圍 讓客戶盡情享受信息新生活 中國電信 17 企業(yè)經(jīng)營分析 2、中國電信 1）中國電信系統(tǒng)架構(gòu)概覽（續(xù)） 運營服務(wù) 內(nèi)控 企業(yè)外部門戶 集團 團計費結(jié)算 系統(tǒng) 客戶 認證 平臺 合服務(wù)開通 集團 綜合資源 集團綜合服務(wù)網(wǎng)絡(luò)保障 綜合服務(wù)保障 專業(yè)網(wǎng)絡(luò)管理 產(chǎn) 分析域 營型 數(shù)據(jù)應(yīng)用 生產(chǎn) 分析域 析型 數(shù)據(jù)應(yīng)用 業(yè)內(nèi)部門戶 管理支撐系統(tǒng) 前內(nèi)控審計 /財務(wù)報表審計的重點 對于企業(yè)運營狀況、對內(nèi)對外服務(wù)質(zhì)量等進行審計 對于經(jīng)營分析、市場策略等經(jīng)營行為的審計 審計范疇 系統(tǒng)范圍 讓客戶盡情享受信息新生活 中國電信 18 18 企業(yè)信息化部 總 部 省 本 地 網(wǎng) 企業(yè)信息化部 應(yīng)用管理 數(shù)據(jù)管理 業(yè)務(wù)支撐管理 規(guī)劃與標準 企業(yè)信息化部 應(yīng)用管理 數(shù)據(jù)管理 業(yè)務(wù)支撐管理 規(guī)劃與標準 本地需求與配置 數(shù)據(jù)分析應(yīng)用 賬務(wù)處理 2）中國電信 2、中國電信 屬于目前處于規(guī)劃中的職能分類 讓客戶盡情享受信息新生活 中國電信 19 2、中國電信 3）中國電信各類信息系統(tǒng)匯總 內(nèi)控范圍 12大類系統(tǒng) 非收入類 務(wù)系統(tǒng) 計劃建設(shè) 人力資源 網(wǎng)絡(luò)類 承載網(wǎng) 網(wǎng)絡(luò)基礎(chǔ) 收入類 費系統(tǒng) 結(jié)算系統(tǒng) 營業(yè)系統(tǒng) 大客戶系統(tǒng) 智能網(wǎng) 客戶服務(wù) 未納入內(nèi)控 范圍系統(tǒng) 營型數(shù)據(jù) 析型數(shù)據(jù) 服務(wù)開通系統(tǒng) 綜合保障系統(tǒng) 綜合網(wǎng)管系統(tǒng) 專業(yè)網(wǎng)管系統(tǒng) 其他 讓客戶盡情享受信息新生活 中國電信 20 2、中國電信 4） 系統(tǒng)類別 對財務(wù)報告的影響程度 對企業(yè)運營的重要程度 對企業(yè)經(jīng)營決策的影響程度 存在 可能存在的缺陷的影響舉例 部分省的專線出租業(yè)務(wù)未全部納入資源系統(tǒng)管理，或雖納入系統(tǒng)管理，但數(shù)據(jù) /信息不準確，導(dǎo)致計算收入的多計 /少計； 由于信息源頭的數(shù)據(jù)質(zhì)量，影響 最終影響企業(yè)經(jīng)營決策； 讓客戶盡情享受信息新生活 中國電信 21 課件提綱 2 1 一般性控制介紹 關(guān)于集團下發(fā)的 3 一般性控制的 4 一般性控制審計軟件簡介 5 讓客戶盡情享受信息新生活 中國電信 22 1. 總體介紹 信息技術(shù)一般性控制并不針對某一特定應(yīng)用系統(tǒng)，而強調(diào)的是信息系統(tǒng)所處的整體信息技術(shù)環(huán)境，是其他基于信息系統(tǒng)的應(yīng)用控制措施的基礎(chǔ)。它主要包括如下五個部分： 二、一般性控制介紹 計算機運行維護 程序開發(fā) 最終用戶計算 程序變更 / 變更管理 對程序和數(shù)據(jù)的訪問 讓客戶盡情享受信息新生活 中國電信 23 二、一般性控制介紹 2. 對程序和數(shù)據(jù)的訪問 （ 1）控制目標 1. 對于與財務(wù)報告相關(guān)的信息，公司應(yīng)制定相關(guān)的信息安全管理政策并使員工意識到信息安全的重要性。 2. 對公司信息技術(shù)資源的物理訪問及邏輯訪問已建立起通過用戶身份的識別，認證及授權(quán)的管理機制，以降低由于對系統(tǒng)及數(shù)據(jù)未經(jīng)授權(quán)的訪問所帶來的風險。 3. 建立相關(guān)流程以確保用戶添加、修改、刪除都經(jīng)過管理層授權(quán)，及相關(guān)操作的準確性和及時性。 4. 確保定期對系統(tǒng)中用戶的訪問權(quán)限進行審閱，以減少未經(jīng)授權(quán)或不適當?shù)膶ο到y(tǒng)或數(shù)據(jù)進行訪問而帶來的風險。 5. 確保在關(guān)鍵流程中存在適當?shù)穆殭?quán)分離。 計算機運行維護 程序開發(fā) 最終用戶計算 程序變更 /變更管理 一般性控制 對程序和數(shù)據(jù)的訪問 讓客戶盡情享受信息新生活 中國電信 24 二、一般性控制介紹 2. 對程序和數(shù)據(jù)的訪問（續(xù)） （ 2）風險 計算機運行維護 程序開發(fā) 最終用戶計算 程序變更 /變更管理 一般性控制 對程序和數(shù)據(jù)的訪問 風險描述 風險舉例 1. 公司缺乏可遵循的信息安全管理政策，信息安全管理不規(guī)范，增加信息安全隱患。 2. 缺乏必要的物理訪問及邏輯訪問管理機制，導(dǎo)致對信息資源未經(jīng)授權(quán)的訪問，非法修改系統(tǒng)數(shù)據(jù)。 3. 對添加、修改、刪除用戶未經(jīng)過管理層授權(quán)，離職員工賬號未及時在系統(tǒng)中刪除，導(dǎo)致對系統(tǒng)及數(shù)據(jù)未經(jīng)授權(quán)或不適當訪問。 4. 對系統(tǒng)或數(shù)據(jù)非法和不適當?shù)脑L問不能被及時發(fā)現(xiàn)。 5. 系統(tǒng)的權(quán)限分配與業(yè)務(wù)部門授權(quán)確定的職責分工要求不符。 黑客非法入侵信息系統(tǒng)，影響信息系統(tǒng)的安全 企業(yè)關(guān)鍵的經(jīng)營數(shù)據(jù)的泄露 信息系統(tǒng)的數(shù)據(jù)被人有意 /無意的修改，卻無法找到元兇 存儲關(guān)鍵數(shù)據(jù)的磁帶 /磁盤 /電腦終端被人偷盜 讓客戶盡情享受信息新生活 中國電信 25 二、一般性控制介紹 2. 對程序和數(shù)據(jù)的訪問（續(xù)） （ 3）控制描述 對于程序和數(shù)據(jù)的訪問控制，主要包括如下四個方面： 計算機運行維護 程序開發(fā) 最終用戶計算 程序變更 /變更管理 一般性控制 對程序和數(shù)據(jù)的訪問 控制類型 控制點 1. 信息安全管理 安全組織架構(gòu) 信息安全政策 2. 用戶帳號的管理 超級用戶管理 用戶帳號的增 /刪 /改管理 用戶權(quán)限定期審核 系統(tǒng)密碼管理 機房物理安全 網(wǎng)絡(luò)安全 /病毒防范 4. 職責分離 用戶系統(tǒng)權(quán)限分配 讓客戶盡情享受信息新生活 中國電信 26 二、一般性控制介紹 3. 程序開發(fā) （ 1）控制目標 1. 確保公司管理層有充分的控制保證新的應(yīng)用系統(tǒng)及硬件基礎(chǔ)架構(gòu)的開發(fā)和采購是經(jīng)過適當級別的信息技術(shù)管理層和公司管理層的審批。 2. 對于在生成財務(wù)報表流程中涉及的系統(tǒng)應(yīng)用程序，確保公司建立和施行適當?shù)目刂疲员ＷC有合適的程序開發(fā)方法，并在開發(fā)和實施過程中遵守了相應(yīng)的方法。 3. 確保在生成財務(wù)報表流程中涉及的系統(tǒng) /應(yīng)用程序在開發(fā)或?qū)嵤┻M行了充分的測試，并且該測試結(jié)果經(jīng)過信息技術(shù)部門管理層和用戶管理層的批準。 4. 確保在生成財務(wù)報表流程中所涉及的系統(tǒng) /應(yīng)用程序的數(shù)據(jù)在移植過程中有足夠的控制保證數(shù)據(jù)的準確性和完整性。 計算機運行維護 最終用戶計算 程序變更 /變更管理 一般性控制 對程序和數(shù)據(jù)的訪問 程序開發(fā) 讓客戶盡情享受信息新生活 中國電信 27 二、一般性控制介紹 3. 程序開發(fā)（續(xù)） （ 2）風險 風險描述 風險舉例 1. 應(yīng)用系統(tǒng)及硬件基礎(chǔ)架構(gòu)的開發(fā)和采購是未經(jīng)過管理層授權(quán)審批，浪費企業(yè)資源導(dǎo)致系統(tǒng)與企業(yè)經(jīng)營目標不一致或系統(tǒng)效率低下。 2. 程序開發(fā)未遵循正式的方法論，導(dǎo)致開發(fā)的程序不能滿足業(yè)務(wù)的功能要求或質(zhì)量要求。 3. 開發(fā)的程序未經(jīng)充分測試就投入使用，導(dǎo)致系統(tǒng)的缺陷未能及時發(fā)現(xiàn)以及系統(tǒng)運行的不穩(wěn)定。 4. 與程序開發(fā)相關(guān)的數(shù)據(jù)移植不完整、不準確。 新建的信息系統(tǒng)不能滿足業(yè)務(wù)部門的要求 （新建信息系統(tǒng)）項目的延遲 新系統(tǒng)由于未充分測試導(dǎo)致上線后運營的不穩(wěn)定 數(shù)據(jù)移植過程中產(chǎn)生數(shù)據(jù)丟失 /不能復(fù)原的數(shù)據(jù)遷移錯誤等 計算機運行維護 最終用戶計算 程序變更 /變更管理 一般性控制 對程序和數(shù)據(jù)的訪問 程序開發(fā) 讓客戶盡情享受信息新生活 中國電信 28 二、一般性控制介紹 3. 程序開發(fā) （續(xù)） （ 3）控制描述 對于程序和數(shù)據(jù)的訪問控制，主要包括如下四個方面： 計算機運行維護 程序開發(fā) 最終用戶計算 程序變更 /變更管理 一般性控制 對程序和數(shù)據(jù)的訪問 控制類型 控制點 項目審批管理 程序開發(fā)方法論 項目管理 系統(tǒng)測試和用戶測試 上線審批管理 數(shù)據(jù)移植管理 讓客戶盡情享受信息新生活 中國電信 29 二、一般性控制介紹 4. 程序變更管理 （ 1）控制目標 1. 確保對財務(wù)報告有影響的系統(tǒng)或應(yīng)用程序的變更都經(jīng)過適當管理層的授權(quán)。 2. 確保對財務(wù)報告有影響的系統(tǒng)或應(yīng)用程序的變更，在發(fā)布到生產(chǎn)環(huán)境運行之前經(jīng)過了測試，校驗和批準。 3. 確保對財務(wù)報告有影響的系統(tǒng)或應(yīng)用程序的變更在遷移到生產(chǎn)環(huán)境過程中，沒有非法的訪問，以避免對系統(tǒng)及數(shù)據(jù)的非法修改。 4. 確保對財務(wù)報告有影響的系統(tǒng)或應(yīng)用程序的配臵變更都經(jīng)過管理層授權(quán)，并經(jīng)過適當測試 。 5. 確保對財務(wù)報告有影響的系統(tǒng)或應(yīng)用程序的緊急變更，遵循緊急變更管理流程。 計算機運行維護 最終用戶計算 程序變更 /變更管理 一般性控制 對程序和數(shù)據(jù)的訪問 程序開發(fā) 讓客戶盡情享受信息新生活 中國電信 30 二、一般性控制介紹 4. 程序變更管理（續(xù)） （ 2）風險 風險描述 風險舉例 1. 對財務(wù)報告有影響的系統(tǒng)或應(yīng)用程序的變更未經(jīng)過管理層的審批與授權(quán)。 2. 對財務(wù)報告有影響的系統(tǒng)或應(yīng)用程序的變更，在發(fā)布到生產(chǎn)環(huán)境運行之前未經(jīng)測試，變更后的程序功能不能滿足用戶需求，缺陷未被及時發(fā)現(xiàn)。 3. 非法變更的程序被未經(jīng)授權(quán)的人員移植到了生產(chǎn)環(huán)境。 4. 對財務(wù)報告有影響的系統(tǒng)或應(yīng)用程序的配臵變更未經(jīng)管理層授權(quán)，并且未得到適當測試。 5. 緊急變更未遵循緊急變更管理流程，未經(jīng)過必要的授權(quán)、審批和測試。 黑客 /個別業(yè)務(wù)人員將非法程序移植到生產(chǎn)系統(tǒng)，如允許遠程修改帳戶余額等 變更的程序?qū)υ邢到y(tǒng)的邏輯產(chǎn)生影響，導(dǎo)致變更后系統(tǒng)不能正確 /正常運行 計算機運行維護 最終用戶計算 程序變更 /變更管理 一般性控制 對程序和數(shù)據(jù)的訪問 程序開發(fā) 讓客戶盡情享受信息新生活 中國電信 31 二、一般性控制介紹 續(xù)） （ 3）控制描述 對于程序和數(shù)據(jù)的訪問控制，主要包括如下四個方面： 控制類型 控制點 日常變更管理 程序變更的申請與審批 變更測試 變更移植到生產(chǎn)環(huán)境管理 配臵變更管理 緊急變更管理 計算機運行維護 最終用戶計算 程序變更 /變更管理 一般性控制 對程序和數(shù)據(jù)的訪問 程序開發(fā) 讓客戶盡情享受信息新生活 中國電信 32 二、一般性控制介紹 5. 計算機運行維護 （ 1）控制目標 1. 管理層實施了適當?shù)目刂?，確保與財務(wù)報告生成相關(guān)的系統(tǒng)處理的準確性，完整性和及時性。 2. 與財務(wù)報表生成相關(guān)的系統(tǒng)和數(shù)據(jù)進行定期的備份，確保重要數(shù)據(jù)在需要時可以恢復(fù)。 3. 對備份介質(zhì)進行定期恢復(fù)測試，確保備份介質(zhì)的質(zhì)量及系統(tǒng)和數(shù)據(jù)的可恢復(fù)性。 4. 對與財務(wù)報表生成相關(guān)的應(yīng)用程序和系統(tǒng)的備份介質(zhì)的接觸存在適當?shù)脑L問控制。 5. 確保管理層制定和實施了問題管理流程，以及時記錄、分析、解決與生成財務(wù)報表有關(guān)的系統(tǒng)和應(yīng)用程序的問題和錯誤。 計算機運行維護 最終用戶計算 程序變更 /變更管理 一般性控制 對程序和數(shù)據(jù)的訪問 程序開發(fā) 讓客戶盡情享受信息新生活 中國電信 33 二、一般性控制介紹 5. 計算機運行維護（續(xù)） （ 2）風險 風險描述 風險舉例 1. 與財務(wù)報告生成相關(guān)的系統(tǒng)處理不準確，不完整和不及時。 2. 與財務(wù)報表生成相關(guān)的系統(tǒng)和數(shù)據(jù)未及時備份，導(dǎo)致系統(tǒng)或數(shù)據(jù)在需要時不可恢復(fù)。 3. 備份的數(shù)據(jù)未定期做恢復(fù)性測試，備份介質(zhì)的質(zhì)量無法保證，導(dǎo)致備份數(shù)據(jù)不可恢復(fù)。 4. 未經(jīng)授權(quán)的人員接觸與財務(wù)報表生成相關(guān)的應(yīng)用程序和系統(tǒng)的備份介質(zhì)，導(dǎo)致重要財務(wù)信息泄露。 5. 與生成財務(wù)報表有關(guān)的系統(tǒng)和應(yīng)用程序的問題和錯誤未被及時記錄、分析、解決，使財務(wù)報表中的錯誤未能得到及時發(fā)現(xiàn)和解決。 系統(tǒng)問題 /錯誤的日志未得到妥善處理，導(dǎo)致多方面的風險隱患（包括系統(tǒng)被人惡意修改無法發(fā)現(xiàn)，系統(tǒng)運行不穩(wěn)定等） 備份數(shù)據(jù)損壞導(dǎo)致系統(tǒng)無法恢復(fù) 由于未作恢復(fù)性測試，導(dǎo)致系統(tǒng)癱瘓時 /發(fā)生災(zāi)難時，系統(tǒng)難以恢復(fù) /恢復(fù)成本巨大，導(dǎo)致企業(yè)損失 計算機運行維護 最終用戶計算 程序變更 /變更管理 一般性控制 對程序和數(shù)據(jù)的訪問 程序開發(fā) 讓客戶盡情享受信息新生活 中國電信 34 二、一般性控制介紹 5. 計算機運行維護 （續(xù)） （ 3）控制描述 對于程序和數(shù)據(jù)的訪問控制，主要包括如下四個方面： 控制類型 控制點 系統(tǒng)日常運作監(jiān)控 系統(tǒng)作業(yè)管理 備份策略 異地備份 恢復(fù)性測試 備份介質(zhì)的管理 故障及問題管理 計算機運行維護 最終用戶計算 程序變更 /變更管理 一般性控制 對程序和數(shù)據(jù)的訪問 程序開發(fā) 讓客戶盡情享受信息新生活 中國電信 35 二、一般性控制介紹 6. 最終用戶計算 （ 1）目標 管理層已經(jīng)制定了相關(guān)政策和流程來確保最終用戶計算環(huán)境下已實行了信息技術(shù)一般性控制。 （ 2）風險 （ 3）控制描述 開發(fā) /變更的授權(quán)與測試 密碼保護 備份 計算機運行維護 最終用戶計算 程序變更 /變更管理 一般性控制 對程序和數(shù)據(jù)的訪問 程序開發(fā) 風險描述 風險舉例 1. 對影響財務(wù)報表的重要電子表格和其他用戶自編程序，及其處理的系統(tǒng)數(shù)據(jù)作未經(jīng)授權(quán)的訪問和非法修改。中的錯誤未能得到及時發(fā)現(xiàn)和解決。 某調(diào)節(jié)致入賬不準等 讓客戶盡情享受信息新生活 中國電信 36 課件提綱 2 1 一般性控制介紹 關(guān)于集團下發(fā)的 3 一般性控制的 4 一般性控制審計軟件簡介 5 讓客戶盡情享受信息新生活 中國電信 37 2006年 2月， 中國電信 2006年 4月， 集團公司企業(yè)信息化部下發(fā)了 221號文件 關(guān)于盡快落實 ； 2006年 2007年 6月 6月 2008年 2007年 8月， 下發(fā)了 114號文件 關(guān)于進一步明確 控有關(guān)要求的通知 1 、概述 中國電信股份公司企業(yè)信息化部對于 2006年 第 221號文件 關(guān)于盡快落實 2007年 第 114號文件 關(guān)于進一步明確 控有關(guān)要求的通知 。 三、 集團信息化部關(guān)于 讓客戶盡情享受信息新生活 中國電信 38 1 、概述 221號文件 文件下發(fā)的背景 ： 針對 2006年 2月至 4月）的實施情況，根據(jù)現(xiàn)場穿行測試、差距分析所獲得的缺陷，下發(fā)的 文件的主要內(nèi)容： 三、 集團信息化部關(guān)于 讓客戶盡情享受信息新生活 中國電信 39 1 、概述 114號文件 文件下發(fā)的背景 ： 針對 2006年 及 文件的主要內(nèi)容： 新建系統(tǒng)、權(quán)限管理、撥打測試、報表基準測試、收入端到端核對、異常話單的處理等。 三、 集團信息化部關(guān)于 讓客戶盡情享受信息新生活 中國電信 40 1 、概述 手冊、 221號文件和 114號文件的關(guān)系 手冊和下發(fā)文件的關(guān)系 文件對手冊中的要求進行了進一步的強調(diào) 對手冊的控制要求給出了操作模版 對手冊中的部分控制點給出了細化的要求； 221號文件與 114號文件的關(guān)系 114號文件是在 221號文件基礎(chǔ)上，對于內(nèi)控手冊和 221號文件中未明確的控制要求進行了明確； 對外部審計過程中發(fā)現(xiàn)的問題作了強調(diào)； 三、 集團信息化部關(guān)于 讓客戶盡情享受信息新生活 中國電信 41 2、文件要求 三、 集團信息化部關(guān)于 分類 文件要求 要點 /模版 1、新建系統(tǒng) 1）程序開發(fā)的基礎(chǔ)要求 對于和財務(wù)報告相關(guān)的計算機系統(tǒng)項目的采購 /開發(fā)的申請，必須有審批記錄； 在系統(tǒng)開發(fā)過程中必須生成項目管理文檔，包括預(yù)算要求、需求說明、進度報告等，在系統(tǒng)上線前進行測試（包括單元/系統(tǒng) /集成 /用戶驗收測試等），并書面確認測試結(jié)果； 對新上線的與財務(wù)報告相關(guān)的信息系統(tǒng)進行驗收 ,以確保新的流程及相關(guān)控制正確運行。相關(guān)部門須審閱驗收結(jié)果，跟進和解決遺留的問題，并書面確認該系統(tǒng)已達到功能和控制上的預(yù)定要求 在系統(tǒng)割接過程中制定系統(tǒng)數(shù)據(jù)轉(zhuǎn)換方案。方案內(nèi)容包括需要轉(zhuǎn)換的數(shù)據(jù)清單、數(shù)據(jù)轉(zhuǎn)換策略、數(shù)據(jù)轉(zhuǎn)換測試、數(shù)據(jù)備份與回退方案、數(shù)據(jù)轉(zhuǎn)換結(jié)果核對（自動核對，人工核對，報表輔助核對）、對財務(wù)報表相關(guān)的歷史數(shù)據(jù)的保留及訪問等方面內(nèi)容，并保存系統(tǒng)主管人員的書面審核記錄。 審批記錄 項目管理文檔 驗收測試與審批上線 數(shù)據(jù)遷移控制 讓客戶盡情享受信息新生活 中國電信 42 2、文件要求 三、 集團信息化部關(guān)于 分類 文件要求 要點 /模版 1、新建系統(tǒng)（續(xù)） 2）系統(tǒng)的必備功能 用戶權(quán)限管理、密碼策略、系統(tǒng)日志； 對關(guān)鍵數(shù)據(jù)的稽核功能； 各省應(yīng)將測試環(huán)境、異地備份等內(nèi)控要求納入到系統(tǒng)建設(shè)方案、項目預(yù)算中，在系統(tǒng)上線后，測試環(huán)境應(yīng)得到保留，并定期完成恢復(fù)性測試等工作； 對于與 控最終用戶計算相關(guān)的小軟件及電子表格，應(yīng)納入到相關(guān)的新建信息系統(tǒng)的功能需求中，以減少最終用戶計算的數(shù)量。 在信息系統(tǒng)的設(shè)計、開發(fā)時必須將內(nèi)控的要求考慮進去； 讓客戶盡情享受信息新生活 中國電信 43 2、文件要求 三、 集團信息化部關(guān)于 分類 文件要求 要點 /模版 1、新建系統(tǒng)（續(xù)） 3）新建系統(tǒng)的文檔清單 項目建議書 /項目方案 /項目申請表及批復(fù) 可行性研究報告 項目預(yù)算文件 項目需求說明 技術(shù)規(guī)范書 /設(shè)計方案 正式合同 /合同審批表 項目進度報告 技術(shù)測試報告（包括單元測試 /系統(tǒng)測試 /集成測試） 用戶驗收測試報告 試運行報告 驗收報告 /終驗報告 數(shù)據(jù)遷移方案 /系統(tǒng)割接方案 讓客戶盡情享受信息新生活 中國電信 44 2、文件要求 三、 集團信息化部關(guān)于 分類 文件要求 要點 /模版 2、對程序和數(shù)據(jù)的訪問 1）職責分離 加強計算機系統(tǒng)安全管理，落實專人承擔計算機系統(tǒng)安全管理工作。此崗位從提供審計的日志記錄等角度來看，要求和計算機系統(tǒng)超級管理員崗位相分離。 2）密碼 對于使用密鑰棒或動態(tài)密碼卡的系統(tǒng)，需要使用由用戶掌握的 做其他更多要求。 對于操作系統(tǒng)、數(shù)據(jù)庫、業(yè)務(wù)系統(tǒng)，“超級用戶密碼”及使用習慣應(yīng)嚴格遵循 統(tǒng)管理員 3個月更換一次密碼，密碼的超度不小于 8位、且包含數(shù)字和字母等信息，不得使用最近一次使用過的密碼等。 嚴禁在計費、結(jié)算、營業(yè)等系統(tǒng)中“將用戶帳號和密碼編寫在程序中”的作法，各省公司應(yīng)對現(xiàn)網(wǎng)系統(tǒng)程序進行篩查、糾正并杜絕類似現(xiàn)象的發(fā)生。 信息系統(tǒng)安全崗 操作系統(tǒng)管理員與數(shù)據(jù)庫管理員不建議由同一個人擔當； 密碼策略固化到系統(tǒng)中 讓客戶盡情享受信息新生活 中國電信 45 2、文件要求 三、 集團信息化部關(guān)于 分類 文件要求 要點 /模版 2、對程序和數(shù)據(jù)的訪問（續(xù)） 2. 密碼（續(xù)） 各級計費部門制定維護作業(yè)計劃，確保每季度對于計費、結(jié)算、營業(yè)等系統(tǒng)清理一次用戶帳號；在每年迎接外審之前必須對“帳號密碼問題”進行重點復(fù)核。對于長時間（暫定為3個月）沒有登錄的用戶，原則上應(yīng)予以清理，并對清理的帳號留下文字痕跡。 嚴格控制供應(yīng)商遠程接入。任何情況下超級用戶帳號不得授予供應(yīng)商技術(shù)人員使用；工程初驗后收回全部調(diào)試帳號；需要向供應(yīng)商提供遠程接入權(quán)限時，應(yīng)事先經(jīng)系統(tǒng)具體維護部門主管領(lǐng)導(dǎo)書面確認（緊急狀態(tài)下應(yīng)實現(xiàn)口頭申請、事后補文字確認說明）方可開啟適當權(quán)限的臨時帳號，事后關(guān)閉帳號、修改臨時密碼并登記。每年迎接外審之前應(yīng)就“遠程接入問題”進行重點審核。 帳號的定期清理 對供應(yīng)商的遠程接入必須進行更嚴格的訪問控制 讓客戶盡情享受信息新生活 中國電信 46 2、文件要求 三、 集團信息化部關(guān)于 分類 文件要求 要點 /模版 2、對程序和數(shù)據(jù)的訪問 3）帳號管理 省公司信息化部與人力資源部協(xié)調(diào)，在辦理人員調(diào)入 /調(diào)出時設(shè)臵明確的環(huán)節(jié)，包括計算機終端的配備 /回收 ,帳號及密碼的分配 /回收。完成指定環(huán)節(jié)的工作，才能結(jié)束調(diào)入 /調(diào)出的全部流程。 省公司信息化部與人力資源部協(xié)調(diào)，在辦理人員內(nèi)部調(diào)動時，向 位說明書變動的文字信息，由信息化部完成 能結(jié)束內(nèi)部調(diào)動的全部流程。 對于勞務(wù)用工等形式普遍存在人力資源部的資料更新晚于實際崗位變動時間的情況，應(yīng)由實際用工部門發(fā)起帳號變更文字需求，計算機系統(tǒng)管理員根據(jù)需求開放帳號并授權(quán)。 各計算機系統(tǒng)使用人員在本專業(yè)部門發(fā)生崗位變更，應(yīng)保留由部門主管領(lǐng)導(dǎo)簽字確認的文字報告，計算機系統(tǒng)管理員根據(jù)崗位變更調(diào)整帳號及對應(yīng)權(quán)限，并將調(diào)整措施在文字報告上留下文字痕跡。 普通用戶帳號的增刪改管理 讓客戶盡情享受信息新生活 中國電信 47 2、文件要求 三、 集團信息化部關(guān)于 分類 文件要求 要點 /模版 2、對程序和數(shù)據(jù)的訪問（續(xù)） 3）帳號管理（續(xù)） 關(guān)于計算機系統(tǒng)用戶帳號權(quán)限設(shè)臵問題。原則上計費、結(jié)算系統(tǒng)按照 1+1+n+1個超級用戶； 1個關(guān)鍵數(shù)據(jù)配臵用戶； 算系統(tǒng)取 n=1； 費、結(jié)算系統(tǒng)建議 m=0）。請各省公司接到本文件后對帳號進行一次集中清理并留下記錄，盡可能按照上述要求進行配臵。配臵的帳號數(shù)量越少，隱患越小。 超級用戶應(yīng)確保每個使用計算機系統(tǒng)的人員有單獨的帳號，對于重要的數(shù)據(jù)增、刪、改操作，可以由系統(tǒng)日志追溯到執(zhí)行操作的帳號、直至相關(guān)操作人員。前臺營業(yè)廳、 10000號人員原則上講要求每個員工一個帳號。 計費、結(jié)算系統(tǒng)的用戶帳號設(shè)臵： 1個超級用戶（管理員）、 1個關(guān)鍵數(shù)據(jù)配臵帳戶 計費、結(jié)算系統(tǒng)的外部使用帳號建議為 0 讓客戶盡情享受信息新生活 中國電信 48 2、文件要求 三、 集團信息化部關(guān)于 分類 文件要求 要點 /模版 2、對程序和數(shù)據(jù)的訪問（續(xù)） 4）運營商辦公網(wǎng)絡(luò)、生產(chǎn)網(wǎng)絡(luò)與互聯(lián)網(wǎng)或其他外部網(wǎng)絡(luò)的網(wǎng)絡(luò)連接處安裝防火墻，以防止外部的非法訪問。只有指定的網(wǎng)絡(luò)管理員才能擁有防火墻管理帳號，并進行防火墻規(guī)則的更改。在 現(xiàn)自動掃描和實時更新病毒庫。 5）計算機設(shè)備機房原則上應(yīng)設(shè)臵門禁、監(jiān)控設(shè)施。部分暫不具備條件的本地網(wǎng)應(yīng)，對于無人值守機房建立出入登記制度，對非機房管理部門人員進出機房的詳細情況進行記錄。 安裝防火墻和殺毒軟件 建議使用門禁、監(jiān)控系統(tǒng) 讓客戶盡情享受信息新生活 中國電信 49 2、文件要求 三、 集團信息化部關(guān)于 分類 文件要求 要點 /模版 3、程序變更 1）每次程序變更都需要對于“需求審批”、“用戶方測試”及“上線審批”三個關(guān)鍵點留下審批記錄。其中“需求審批”、“上線審批”由業(yè)務(wù)部門和計算機系統(tǒng)維護部門主管領(lǐng)導(dǎo)共同簽字。 2）“用戶方測試”是指軟件供應(yīng)商完成產(chǎn)品變更、出廠檢測并提交測試報告后，由計算機系統(tǒng)維護部門主管人員根據(jù)上述情況做的測試以及確認報告，該報告是“上線審批”的基礎(chǔ)和依據(jù)。 3）對于統(tǒng)一版本及統(tǒng)一變更（是指相同數(shù)據(jù)庫設(shè)計及架構(gòu)、操作系統(tǒng)版本、業(yè)務(wù)系統(tǒng)版本）的系統(tǒng)，局方出具版本及變更一致性證明后，可以對其中一個系統(tǒng)進行代表性測試。 對于 需求、用戶方測試及上線 的審批記錄 讓客戶盡情享受信息新生活 中國電信 50 2、文件要求 三、 集團信息化部關(guān)于 分類 文件要求 要點 /模版 4、報表基準測試 1）測試的目的應(yīng)為驗證由系統(tǒng)直接生成的報表在一特定日期的準確性。有關(guān)報表的使用部門應(yīng)在測試進行前確認測試報表所處時間區(qū)間的統(tǒng)計口徑及作為財務(wù)入帳依據(jù)的具體欄目、科目。一些在報表從系統(tǒng)生成后手工補填的數(shù)據(jù)不應(yīng)為基準測試的范圍。當基準測試完成后，報表使用部門應(yīng)把系統(tǒng)報表的結(jié)果關(guān)聯(lián)到后續(xù)的手工加工、調(diào)整流程等，一直到得出作為財務(wù)入帳的底稿為止。 2）相關(guān)人員需要提供符合集團要求的相關(guān)報表的測試報告，該報告必須涵蓋生成報表的所有關(guān)鍵步驟（包括取數(shù)、計算邏輯、科目合并）的具體描述、使用的測試數(shù)據(jù)以及獲得的測試結(jié)果。 3）接受訪談的人員能夠清楚的向?qū)徲嬋藛T描述關(guān)于“測試如何被執(zhí)行”的相關(guān)過程（包括使用的方法、提取的數(shù)據(jù)、評估的測試結(jié)果等），并提供支持性的文檔（即報表測試的工作底稿）保證測試的完整性和準確性。 報告中至少包含：數(shù)據(jù)源、計算邏輯、科目合并、測試結(jié)果與實際結(jié)果的比對 讓客戶盡情享受信息新生活 中國電信 51 2、文件要求 三、 集團信息化部關(guān)于 分類 文件要求 要點 /模版 4、報表基準測試（續(xù)） 4）測試報告應(yīng)具備詳實的測試信息，包括：測試日期、測試人員、業(yè)務(wù)規(guī)則描述、財務(wù)口徑關(guān)鍵指標、預(yù)期的測試結(jié)果、實際的測試結(jié)果、相關(guān)部門的審查確認等。 5）測試報告中使用的相關(guān)數(shù)據(jù)、過程、測試結(jié)果以及測試日志均需要在系統(tǒng)中是可追蹤的；因為在必要的時候系統(tǒng)中的數(shù)據(jù)和操作記錄會被要求作為證據(jù)向外審提供。 6）信息系統(tǒng)的一般性控制被認為是報表測試準確可信的基礎(chǔ)，所以對于已完成報表測試的系統(tǒng)，必須保證其所有的一般性控制點都已經(jīng)達標，并且日常的系統(tǒng)維護和運行工作都按照內(nèi)控細則要求來執(zhí)行。一旦系統(tǒng)進行了升級改造，就要按照 則，可能會影響其測試報表的準確性 一般性控制是報表基準測試的可靠性、準確性、完整性的基礎(chǔ) 讓客戶盡情享受信息新生活 中國電信 52 2、文件要求 三、 集團信息化部關(guān)于 分類 文件要求 要點 /模版 5、撥打測試 1）相關(guān)人員能夠夠提供符合要求的撥打測試報告，以及提供充足的支持性信息 /文檔（包括 測試工作底稿），說明測試的正確性和完整性。 2）訪談人員能清楚明了的向?qū)徲嬋藛T描述測試如何被執(zhí)行的相關(guān)過程。（包括使用的方法、提取的數(shù)據(jù)、測試的結(jié)果等） 3）對于測試過程中的發(fā)生的例外情況進行的跟進處理。 4）報告中必須反映測試方的計費驗證結(jié)果。（即預(yù)期的計費結(jié)果與實際計費結(jié)果的比對） 5）能通過系統(tǒng)查詢，在系統(tǒng)中查詢到相應(yīng)的 此可以驗證報告上的測試結(jié)果與實際情況相吻合。 讓客戶盡情享受信息新生活 中國電信 53 2、文件要求 三、 集團信息化部關(guān)于 分類 文件要求 要點 /模版 6、端到端核對報告 1）在計費系統(tǒng)中，預(yù)處理、批價、合帳等重要處理環(huán)節(jié)必須生成核對報告，目前對短時間內(nèi)暫時無法實現(xiàn)的省，可以通過人工方式執(zhí)行（執(zhí)行 2）對于計費帳務(wù)系統(tǒng)的無中間處理流程的省市，如出賬和批價環(huán)節(jié)為一個環(huán)節(jié)，或者出帳和優(yōu)惠處理為一個環(huán)節(jié)，這種情況下平衡性檢查可通過以下方式替代核對報告的功能：在測試報告中特別針對批價和出帳的功能提供單獨的測試內(nèi)容，對系統(tǒng)準確性做出測試。測試報告應(yīng)對系統(tǒng)在上述環(huán)節(jié)處理的數(shù)據(jù)完整性和正確性做出測試。測試報告應(yīng)有具體的測試步驟和樣本和結(jié)果。 3）須由專人對核對報告及測試報告結(jié)果進行審核，并保留審核痕跡，對于檢查時發(fā)現(xiàn)的異常情況需要留下明確的情況說明、分析和相應(yīng)的跟進解決記錄，保證數(shù)據(jù)的完整和準確。 核對記錄的保留與審核 核對記錄的可追溯 問題的跟蹤及處理 讓客戶盡情享受信息新生活 中國電信 54 2、文件要求 三、 集團信息化部關(guān)于 分類 文件要求 要點 /模版 7、異常話單的處理 1） 對于異常話單處理的控制要求為，對于采集、預(yù)處理、批價等計費過程中的異常話單要有專人進行分析，尋找異常產(chǎn)生的原因，并進行相應(yīng)得處理。在檢查過程中分析及反饋的情況，應(yīng)根據(jù)建議的模版進行記錄。 異常話單的分析、處理及記錄 異常產(chǎn)生原因的分析與后續(xù)處理 讓客戶盡情享受信息新生活 中國電信 55 2、文件要求 三、 集團信息化部關(guān)于 分類 文件要求 要點 /模版 8、系統(tǒng)運行控制 1、根據(jù)維護作業(yè)計劃進行計算機系統(tǒng)維護工作。記錄當天系統(tǒng)運行維護狀況，并做文字記錄。 2、保存監(jiān)控日志并進行定期審閱，對系統(tǒng)監(jiān)控故障和用戶申告故障進行跟進及解決 讓客戶盡情享受信息新生活 中國電信 56 2、文件要求 三、 集團信息化部關(guān)于 分類 文件要求 要點 /模版 9、異地備份 1、數(shù)據(jù)備份、異地存放及恢復(fù)性測試的目的：確保計算機系統(tǒng)硬件故障時能夠具備恢復(fù)系統(tǒng)正常運行的能力。 2、數(shù)據(jù)備份的范圍和異地存放方式（見下表）（全網(wǎng)縱向交換的計費清單數(shù)據(jù)原則上由發(fā)端計費中心負責保存）。 讓客戶盡情享受信息新生活 中國電信 57 2、文件要求 三、 集團信息化部關(guān)于 分類 文件要求 要點 /模版 9、異地備份（續(xù)） 3、異地存放地點：非收入流程涉及系統(tǒng)的相關(guān)數(shù)據(jù)備份在硬盤或其他介質(zhì)（由省公司信息化部編制計劃、統(tǒng)一解決）后，必須將硬盤或介質(zhì)備份于相關(guān)計算機系統(tǒng)所處的樓宇之外的建筑（如省會局、省公司其他樓宇）。收入流程涉及系統(tǒng)的相關(guān)備份數(shù)據(jù)，對于本地網(wǎng)集中的系統(tǒng)，由省計費結(jié)算中心準備相應(yīng)的臨時存儲空間為各本地網(wǎng)做 2個月的臨時存儲；對于省集中的系統(tǒng)，由省公司協(xié)調(diào)適當?shù)谋镜鼐W(wǎng)（可以是省會局或其他存儲設(shè)備相對比較富余的本地網(wǎng)）。 4、異地介質(zhì)管理方式。妥善保存計算機系統(tǒng)的備份介質(zhì)，根據(jù)需要對備份介質(zhì)進行更換，并保存