《浅谈如何加强信息系统内控建设防范安全风险.doc》由会员分享,可在线阅读,更多相关《浅谈如何加强信息系统内控建设防范安全风险.doc(8页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、【精品文档】如有侵权,请联系网站删除,仅供学习与交流浅谈如何加强信息系统内控建设防范安全风险.精品文档.浅谈如何加强信息系统内控建设防范安全风险仲婕江苏省电信有限公司苏州分公司摘要:如何保证信息系统处理流程规范,系统数据安全完整准确,内控制度落到实处,本文从信息系统的开发建设、运行维护、审计检查几个方面论述如何加强内控制度建设防范安全风险。关键词:信息系统、内控制度随着电信企业各项生产运营系统的建立与使用,各类信息系统的内部控制是否健全、风险是否得到有效控制就成为了内部审计关注的重要课题。近年来电信企业上线运行的重要信息系统有BSS业务受理系统、OA办公自动化系统、资源管理系统、综合调度系统、
2、智能网管理系统、计费账务系统、计划建设管理系统等等。这些信息系统的建立运用能解决人工难以及时处理大量信息数据、难以及时进行复杂运算分析的难题,利用信息系统可以将人工处理的程序、模型预先设计好,帮助企业高效率地管理生产过程,帮助企业及时获取并提炼重要的信息,以利于提高企业综合竞争力。但这些系统是否安全、是否符合内控要求,信息数据是否完整准确,却无人来回答。内审部门作为企业的内部控制监督检查部门有责任有义务对信息系统的内控制度进行评估检查,分析系统的安全风险,堵塞系统漏洞,切实发挥信息系统在企业发展决策方面的支撑作用。日前获悉,某电信运营企业因小灵通预付费系统超级密码被盗,导致被非法制作了1000
3、多万元的小灵通充值卡,至案发时已全部充值消费,给电信企业造成了巨大的经济损失。由此看出信息系统的安全与否直接影响着企业的经济利益,对企业是至关重要的。本文将就信息系统如何加强内部控制、防范安全风险谈几点看法:一、信息系统从开发建设起就必须建立一套完整的内控流程1、信息系统程序设计必须健全数据核对环节,保证数据准确信息系统能提高企业管理效率,提升企业服务水平,提高企业竞争应变能力,但这一切是建立在信息系统能提供完整、真实、准确数据的基础上的。如果数据经过信息系统的一系列加工处理流程,其中发生了部分溢出、丢失或变异,那么信息系统会输出错误的数据,经营管理者依靠错误的数据肯定不会得出正确的结论。因此
4、信息系统的数据完整准确是首先要保证的。如何保证数据准确呢,一般情况下采用在重要数据输入前和处理输出后进行总量比对、结构比对、逻辑验证等方法验证数据是否完整准确。2、信息系统建设必须考虑数据安全存放,保证数据安全一般情况下数据是否安全主要考虑两个方面,一是数据库是否安全,能否防止非法访问,如果发生有非法访问,或是发生恶意修改、篡改数据情况的,系统是否会留下记录,能否及时告警。另外一方面是数据存放介质是否可靠,有无备份,重要数据是否异地存放,防止自然灾害对数据安全的危害。根据电信企业信息系统数据对企业生产经营、财务报告等的影响程度分别对数据进行ABC分类,A类数据库如会计核算系统、计费账务系统必须
5、要具备可靠的存储介质,严格建立实时的异地备份,以保证数据安全。B、C类数据根据机房容量、建设成本情况分别制定备份计划,采用两种以上介质存储、两个不同机房存放等方法。3、信息系统开发要考虑设置严谨的密码策略,杜绝非法入侵信息系统必须建立用户身份的验证机制,对信息系统的访问必须使用用户名和密码,而且每个用户帐号被授予唯一的用户。同时要制定严谨的密码政策,并根据密码政策在系统固化相应的设置,以避免用户使用安全级别低的密码。密码政策具体包括: 用户密码长度不得低于6位、密码应至少每90天进行更新、不得使用最近的密码。以上称为6901密码策略,对于超级用户则需要按照8901来设置密码,位长不少于8位,更
6、新周期同普通用户。在对电信企业信息系统进行内控评估时,发现较多的系统存在用户名、密码共用的现象,不符合内控要求。共用账号、密码会影响密码的定期更换、不能防止非法访问,发生问题时也无法落实责任。因此有此现象的应当确认为重要缺陷,必须立即整改。二、信息系统运行维护要严格遵守内控规定1、用户账号变更严格履行审批对信息系统的用户创建和授权必须通过信息系统主管部门主管人员审批后,方可由系统管理员在系统中创建用户帐号,以避免未经授权帐号及权限的创建或修改。在员工工作调动或离职等工作职能发生变化时,由人力资源部或用户所在部门及时正式书面通知系统维护部门,由系统管理员更新或删除其相应的访问权限。在对某电信企业
7、信息系统进行内控评估时,发现用户账号的创建、修改缺少书面审批资料,无法证明是否经过必要的授权,因此被认定为内控执行缺陷。2、重要操作要严格执行复核、审批制度对信息系统的重要操作如涉及数据增加、修改、变更等需要坚持复核、审批制度,即一人操作、一人复核再加上主管审批,防止误操作,影响信息数据准确。在大家都熟悉的会计核算系统中凭证制作必须要经过复核才能记账,这也是遵循内控规定的重要体现。以电信企业的计费系统为例,系统操作人员需要根据营销政策对批量用户进行赠送话费操作,此操作会影响一大批用户的预存款余额,不能发生任何差错。操作人员要将营销政策的文字信息转化为计算机语言,既不能送错对象,也不能多送或少送
8、,所以此类重要操作就必须严格执行复核、审批制度。3、系统操作要有完善的记录一般信息系统本身会具有记录的功能,将维护人员的维护操作全部记录下来,生成专门的维护日志,供主管定期审阅。但也存在个别信息系统在程序开发时未提供完善的记录功能,不是所有重要操作都能记录系统中,在这种情况下,必须要求系统操作人员作好手工记录,记录的内容包括操作员姓名、操作指令、依据、时间、结果等信息。对重要的操作指令先要履行上述第2条规定复核程序。4、不相容职务严格分离内部会计控制规范中只是说“不相容职务主要包括:授权批准、业务经办、会计记录、财产保管、稽核检查等职务”。事实上,一个企业或一个组织因业务种类、机构设置不同,所
9、要明确的不相容职务是不尽相同的,既涉及不同部门的不相容职务又涉及同部门不同岗位的不相容职务。在此仅讨论涉及信息系统的不相容职务分离的问题,如上文所提的用户创建、修改操作与审批、数据录入与审核、系统操作与复核、数据维护与统计记账等。将这些职责分离是为了保证信息系统数据处理的合法合规性,谨防信息系统本身出现重大风险。以电信企业为例,信息系统运用广泛之后,产生了许多电子化虚拟货币如Q币、电子卡等有别于传统货币的实物,无法按照原来实物管理的模式进行到货验收、保管记录、月度盘点等工作,但作为系统管理的虚拟实物还必须要建立这样的职务分离制度,负责管理虚拟实物部门(即系统维护部门)与购买、销售部门分离,实物
10、管理部门与会计记账部门分离,建立相互核对、相互监督的内控工作制度,以两个不同系统的数据核对,或以人工计算核对等方法来验证信息系统数据的完整。以Q币为例,在电信企业就经历购买、入库、销售、计费、记账等诸多环节,购买与入库、销售与计费、计费与记账就必须按照不相容职务分离规定执行,相互之间建立进行定期对账机制,以保证Q币的购销存业务流程闭环管理。我们都知道不相容职务分离是内部控制的核心,在信息化环境下,更加需要强调不相容职务分离原则,因为业务管理流程经过信息系统固化之后,所有人员都会在系统中承担一个或多个角色,角色分配结果在一段时间内是不会发生变化的,这些角色之间是否是不相容职务,是否会存在因分工不
11、当导致舞弊行为的发生,都直接影响信息系统的安全性。三、内审部门要加强信息系统的内控评估,堵塞漏洞防范风险1、信息系统审计评估需要关注的重点内容对照以上所述的在信息系统开发建设、运行维护中所要落实的各项内控要求,认真开展检查评估。在评估过程中既要关注信息系统本身对数据处理的控制流程是否规范,用户权限设置是否经过授权,是否存在数据安全风险,又要关注不同信息系统之间有无建立数据接口,是否进行数据核对,是否将不相容职务分离,相互之间是否存在监督关系。评估要重点关注与财务报告相关的信息系统数据的安全情况。2、信息系统审计评估需要运用的方法信息系统评估方法与业务流程内控评估方法基本相同,主要有:询问、文件检查、重新履行、观察、问卷调查等。其中文件检查、重新履行是内控评估常用的重要方法,像前面所述的用户权限审批、重要操作审批、系统操作记录、复核检查等都需要运用文件检查方法,通过审阅相关文档记录来判断各项内控措施是否得到有效执行。3、信息系统审计评估重要目的是落实缺陷整改通过对信息系统内控制度的检查评估,发现内控缺陷,目的是针对内控缺陷制定合理的整改方案,确保缺陷得到修正,风险得到控制。信息系统数据的安全完整准确是内审部门开展内控评估的唯一目的。