联想网御IT 内控解决方案一、 I T 内部控制的问题与挑战当前金融风暴席卷全球,且中国经历了30 年跨越式发展, 中国企业内部控制不太规范。为防患于未然, 2008 年 6 月国家财政部、证监会、审计署、 银监会、 保监会联合发布了《企业内部控制基本规范》 ,企业内部控制基本规范以保障财务报告的真实性、可靠性为核心,提出相应内部控制要求,于2009 年 7 月 1 日在上市公司范围内施行,鼓励非上市的其他大中型企业执行,其作用等同于美国的萨班斯法案(SOX)。企业内控要达到的目的有三个:一是提高企业资源利用的效率与效果;二是要保证财务报告的真实性和可靠性,三是要保证企业经营符合相关法律和法规。作为业务的支撑,IT系统已被国内大中型企业高度依赖,尤其是会计电算化的普及,要保障财务相关信息的真实有效,就必须对企业的IT 系统严格控制。联想网御借以美国萨班斯法案(SOX)IT 内控的实践为基础,结合中国具体国情,并根据我们多年贴近用户的IT 治理经验,概括了目前国内企业IT 内控面临的主要问题:如何保证权责的正确分配?如何保证 IT 基础平台可靠?如何保证关键应用安全?如何进行审计监督?二、 I T 内部控制基本原理美国 SOX法案作为成功颁布并实施的一个法案,它的IT 内控方法值得我们借鉴。在针对 SOX方案中的 IT 内控要求上,美国上市公司普遍采用COBIT(《信息系统和技术控制目标》)的 IT 内控思想作为企业内控中的IT 内控框架,并结合企业实际情况设计出符合规范要求的 IT 内控体系;具体控制措施采用ISO17779( 信息安全管理体系) 、ITIL( IT 服务管理 )等标准中的最佳实践,整合企业原有的控制措施,落实具体的控制方法。2.1. 联想网御 IT 内部控制模型联想网御的IT 内控方法是结合我们在IT 内控中的最佳实践,并参照《企业内部控制基本规范》 的相关要求, 开发出了适合中国国情的IT 内控模型。 联想网御的IT 内部控制模型由三个基本面组成:IT 内控基本要素, IT 内控的基本要求和对应的IT 资源, 对应关系如下图所示:企业内控中的IT 资源IT内控的基本要素信息资源访问控制系统开发、变更与维护控制硬件及其他配套设备控制财务相关应用系统的控制人员组织基础设施数据信息应用系统稳定高效法规符合业务连续安全可靠角色管理与授权审联想网御企业IT 内控模型通过对上述三个方面的实现,最终形成了一个立体的、多层次的、科学的联想网御IT内控模型。2.2....