IT内控咨询

为了加强和规范企业内部控制,提高企业经营管理水平和风险防范能力,促进企业可持续发展,维护社会主义市场经济秩序和社会公众利益,根据国家有关法律法规,财政部会同证监会、审计署、银监会、保监会制定了《企业内部控制基本规范》财会[2008]7)。执行本规范的上市公司,需要对本公司内部控制的有效性进行自我评价,披露年度自我评价报告,并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计

美国2002年公众公司会计改革和投资者保护法案》SOX法案)也对在美国上市的公司提了合规性要求,要求上市公司必须控制包括IT风险在内的各种风险

中电运行公司能够帮助上市公司更好地满足国内《企业内部控制基本规范》和美国SOX法案的要求。参照COSO内部控制框架和CoBIT控制标准,全面梳理组织信息技术相关实施与运维支持相关的制度和流程,以CoBIT 5.0内控管理框架为基础,参考IT服务管理体系、信息安全管理体系相关标准,帮助客户建立完整的内部控制体系,并基于相关的IT控制目标,对信息系统管理相关关键流程、风险控制、制度及文档体系进行评估,提出内部整改方案,通过宣贯和培训落实方案实施,从而为客户顺利通过相关外部审计提供有力支持,满足国内上市公司的要求。

重点实施内容范围包括:

信息系统控制环境:信息系统环境、组织架构与岗位职责、风险评估、信息与沟通、监控等; 

系统的开发和实施:软件开发流程、系统实施管理、系统测试和质量保证、数据转换、系统上线管理等;

系统的变更和维护:系统变更管理、系统配置管理、迁移到生产环境的授权、文档和培训等;

系统的操作和运行:对系统操作的总体控制、账户管理、工作计划和批处理管理、问题管理、事件管理、备份管理、管理基础设施环境、第三方服务管理、服务水平管理等;

程序和数据的访问安全:安全组织和管理、安全政策和流程、应用系统的安全管理、数据安全、操作系统安全、内部网络安全、边界网络安全、物理安全等。

 

价值提升:

组织建立起有效的IT内部控制,能够更好地保护组织和投资人的利益,使组织的各个利益相关方都对组织充满信心,使组织的发展进入良性循环。

  • 最佳实践