【正文】 41 29 四、問題整理及整改措施的落實（續(xù)） 開始 提出申請 主管主任審批 執(zhí)行并留下工作日志 主管主任定期復核 結束 工作人員 部門主管主任 申請書 工作日志 申請書 工作日志 IT內控人工控制基本流程 41 30 舉例：數(shù)據(jù)庫參數(shù)修改審批控制流程 開始 數(shù)據(jù)庫管理員提出申請 ,填寫申請表 部門主管總經(jīng)理進行審批 : 修改的內容； 原因； 涉及范圍 申請表 通過 數(shù)據(jù)庫管理員修改數(shù)據(jù)庫參數(shù) 數(shù)據(jù)庫管理員及時更新數(shù)據(jù)庫參數(shù)表 結束 數(shù)據(jù)庫管理員修正申請表 申請表 數(shù)據(jù)庫參數(shù)表 y n 部門主管總經(jīng)理或主管定期復核 41 31 五、現(xiàn)場督導，提出具體的管理措施，保證通過普華永道的測試 ? 為了現(xiàn)場指導監(jiān)督各單位落實內控要求，原網(wǎng)通河北省分公司 IT內控工作組多次走訪所屬 11個市分公司，與各單位主管內控的總經(jīng)理、網(wǎng)運部和支撐共享中心的主任、 IT 內控主管人員進行現(xiàn)場溝通，對具體問題具體指導。 ? 根據(jù)普華永道審計進度，網(wǎng)通河北省分公司 IT內控工作組分別去邯鄲、邢臺、石家莊、滄州、唐山、秦皇島等六個市分公司，現(xiàn)場指導應對普華的審計工作，同時密切關注其他公司的審計進程，有力了保證了 IT內控普華審計工作效果。 ? 在傳統(tǒng)信息系統(tǒng)預案管理方面，存在的缺陷表現(xiàn)在兩個方面： ? 一是將信息系統(tǒng)硬件、軟件和應用系統(tǒng)分開管理的； ? 二是信息系統(tǒng)預案的制定過程沒有經(jīng)過風險評估，針對性不強，處于被動的局面。 ? 通過上述工作，河北省分公司信息系統(tǒng)應急預案理順了管理流程，實現(xiàn)了風險管理，走在集團公司 IT內控工作前列。電源、溫度、濕度不符合要求 小1 、業(yè)務連續(xù)性受到影響2 、可能造成數(shù)據(jù)丟失，甚至業(yè)務無法回復主機放置在了正規(guī)的機房，對各種機房指標都有嚴格的控制 很低 無機房的物理訪問控制可能不十分嚴格非法或不合規(guī)的機房物理訪問 小所有主機登陸都有用戶密碼保護，但如遭惡意破壞，可能造成服務器硬件損壞嚴格的機房訪問控制，機房出入登記制度 很低 無硬件有一定的故障幾率 設備硬件老化 小1 、業(yè)務連續(xù)性受到影響2 、可能造成數(shù)據(jù)丟失，甚至業(yè)務無法回復3 、硬件重新購置費用1 、維保合同2 、磁盤R A I D冗余技術3 、陣列的hostspare備盤技術4 、對數(shù)據(jù)進行定期備份到帶庫 很低 無易受電源、溫度等不穩(wěn)定影響。電源、溫度、濕度不符合要求 小需要時備份數(shù)據(jù)不可用，可能影響業(yè)務的預期恢復帶庫放置在了正規(guī)的機房，對各種機房指標都有嚴格的控制 很低 無機房的物理訪問控制可能不十分嚴格非法或不合規(guī)的機房物理訪問 小帶庫有單獨管理的鑰匙，但如遭惡意破壞，可能造成服務器硬件損壞1 、嚴格的機房訪問控制，機房出入登記制度2 、帶庫有單獨管理的鑰匙， 很低 無易受參數(shù)配置的影響產(chǎn)生錯誤可能遭到非法訪問竄改 小1 、業(yè)務連續(xù)性受到影響1 、適當設置安全參數(shù)并定期檢查2 、正確設置地址、路由等參數(shù)3 、定期的參數(shù)復核檢查流程 很低 無綜合結算系統(tǒng)資產(chǎn)風險評估矩陣實物資產(chǎn)3帶庫日期： 2 0 0 6 年 8 月 1 2 日填表部門：支撐共享中心1實物資產(chǎn)2實物資產(chǎn)磁盤陣列7513主機:spnode03spnode04spnode05spnode06P670AP670B實物資產(chǎn) 網(wǎng)絡設備441 35 七、積極與相關部門溝通，解決 COSO、UAT和久其系統(tǒng)存在的問題 ? IT內控涉及 COSO、 UAT和財務報表久其系統(tǒng)的管理。 ? 根據(jù)集團公司 IT 內控工作組的要求， IT內控工作組組織各單位在一個月內完成了 UAT文檔的整理工作，并提供統(tǒng)一的文檔格式； ? 幫助公司財務部編寫 《 久其報表軟件系統(tǒng)管理暫行辦法 》 等公司文件，制定了 6個文檔模板，在各單位財務部門落實。 ? 電子表格內控工作是公司內控工作的一個重要部分，相比其它專業(yè)的內控工作，電子表格內控涉及公司各項專業(yè)工作，起步晚。 ? 我們首先分析 SOX404對電子表格的要求，收集公司現(xiàn)有各類電子表格，依據(jù)集團公司相關制度和風險管理思想，在沒有參考資料的前提下，經(jīng)過一個多月的艱苦努力，從電子表格管理業(yè)務流程和計算機管理流程兩個角度，編寫了 《 網(wǎng)通河北省分公司電子表格管理實施細則 》 及對應的九個文檔模板。 ? 在完成上述制度的基礎上，我們編寫電子表格自查與復核工作要點，對全省八個內控專業(yè)組開展四次專題培訓，組織各專業(yè)組進行電子表格的風險評估，完成八個專業(yè)組電子表格會審，完成了全省電子表格的整理和確認，建立了電子表格目錄清單，指導各單位建立了電子表格服務器和授權工作，對各單位八個專業(yè)組電子表格進行現(xiàn)場檢查，組織各專業(yè)組進行全省復核工作，從而有效地降低了網(wǎng)通河北省分公司電子表格管理風險。 電子表格賬號權限清單 電子表格文件備份計劃 電子表格文件備份記錄 電子表格目錄清單 應用管理員在本機建立二個 文件夾 : 電子表格數(shù)據(jù)管理， 電子表格數(shù)據(jù)備