XX钢铁集团公司信息系统审计案例.ppt

xx钢铁集团公司 信息系统审计案例,审计署驻兰州特派员办事处 段春军 成维一 周座 韩航飞,开 篇 引 言,鞍山钢铁集团公司信息系统审计的特色主要体现 在探索了对企业信息化建设情况和企业主要信息系统的全面审计。 2006年以来，我办先后在5个审计项目中开展了信息系统审计，审计对象均为单个的信息系统，分别重点关注了信息系统的安全性、有效性和经济性。本次信息系统审计针对多个系统，全面关注“三性”，同时，还对企业信息化规划及实施情况进行审计，关注信息化对企业主营业务的支持情况。,内 容 导 览,审计建议,信息系统审计范围,审计重点和内容,审计事项,审计发现的主要问题,鞍钢信息化建设基本情况,鞍钢信息化建设基本评价,鞍钢信息化建设基本情况,鞍山钢铁集团公司的重要业务均使用计算机管理。据调查统计，该集团公司及其下属二级单位共使用了54个信息系统，进行生产、供应、销售、财务、人事、设备、储运管理。 所有二级分（子）公司都实现了财务管理电子化，部分分（子）公司使用网络化的财务管理系统，实现分、子公司及厂矿的财务集中管理。 鞍山钢铁集团公司2010年2015年信息化发展规划提出了鞍钢信息系统架构模型。主要包括三层，即战略层、运营层和执行层。,鞍钢信息系统架构模型,鞍钢信息化建设基本评价,以企业战略发展规划为基础，制定企业的信息化发展规划，为企业战略发展服务。通过实施信息化建设，推动企业的技术创新和管理创新。2007年至2010年，鞍山钢铁集团信息化建设投资较大，完成了主要厂区的erp和mes系统建设，为企业顺利实施战略发展目标提供了必要支撑。 制定了较为完善的信息化管理制度，积极推进标准化建设，开展信息化培训，推动信息化队伍建设，对涉密计算机和存储介质进行严格管理，这些基础工作为提升和扩展信息化应用水平和范围、开展决策支持系统的建设奠定了基础。,鞍钢信息化建设基本评价,鞍山钢铁集团信息化建设以erp和mes系统为核心展开，运营层和执行层信息化程度较高，战略层决策支持系统的研发工作才刚刚起步，对决策层支持还不够。信息系统安全防护建设尚未完成，未建立异地容灾备份，信息系统允许外国公司通过互联网进行远程访问，存在较大信息安全风险。二级公司之间系统集成工作不够，存在“信息孤岛”现象。信息化建设中存在浪费现象。,信息系统审计范围,审计重点和内容,（一）检查企业信息化发展规划及实施情况。 （二）检查企业应用信息技术改造和提升传统 产业、推动经济结构战略性调整情况。 （三）重点检查信息系统的安全性。 （四）重点检查信息系统的有效性。 （五）检查信息系统的经济性。 （六）信息化队伍建设和绩效考核情况。,审计事项,为做好信息系统安全性和有效性审计，应从一般控制和应用控制两个方面，具体检查以下事项： 1. 应用控制审计 （1）主数据控制审计 （2）标准流程控制审计 （3）接口控制审计 （4）补偿控制审计 2. 一般控制审计 （1）信息系统管理审计 （2）信息系统建设过程审计 （3）信息系统运行过程审计 （4）信息系统维护过程审计 （5）信息系统安全风险审计,审计发现的主要问题,（一）信息系统安全性方面的问题 1.国家信息安全等级保护管理办法（公通字200743号）于2007年6月发布执行，信息系统安全等级保护技术要求（gb222392008）于2008年11月1日开始实施。 2011年7月鞍山钢铁集团才制定相关制度，对集团信息系统安全等级保护作出规定。同时对信息系统按重要程度进行排序和内部定级，确定erp系统、mes系统以及运营层和战略层各信息系统按等保三级进行防护，生产调度、oa系统、人力资源系统和鞍钢网站等按等保二级进行防护。计划投入1610万元进行信息系统安全技术防护建设，目前尚未完成，信息安全存在较大风险。,审计发现的主要问题,2.根据鞍山钢铁集团与sap公司维护服务合同，sap公司一年内免费提供一次系统上线检查服务。2007年至2010年，sap公司对鞍山钢铁集团sap系统共进行了三次远程检查。sap是德国公司，对其开放系统存在较大信息安全风险。 3.鞍山钢铁集团生产、供销、财务管理均高度依赖于erp系统，而其系统主机均部署在同一个机房，仅使用双机备份，未建立异地容灾备份，存在较大安全风险，一旦发生火灾、地震等灾害，将严重影响企业经营活动。,审计发现的主要问题,（二）信息系统有效性方面的问题 1.鞍钢国贸公司和鞍钢股份公司销售业务直接相关，但两个公司使用不同的信息系统管理其销售业务，且两个系统之间不存在接口。因相同数据多次输入，导致部分数据不一致。如两个系统2010年销售数据中，有286个订单数量或金额不一致。 2.鞍钢erp产销系统主要数据包括订单表、发货物料表和发货订单表。处理销售异议等问题时，发货物料表未正确维护，订单表与发货物料表中部分订货数量不一致。,审计发现的主要问题,3.erp产销系统对保值销售的处理不恰当。因产品交付客户时间与客户订货时间相差约一个月，在市场价格下跌期间，客户订货价高于产品交付客户时的市场价，因此鞍山钢铁集团往往在客户下次订货时给予客户一些补偿，称为“保值销售”。 鞍钢erp产销系统在处理保值销售时，未直接冲减应收账款，而是将保值额摊入产品单价，且在合同签订和执行时均可摊入保值余额，导致同期同类产品销售价格相差巨大，或同一订单中多批发货价格不同。如2007年至2010年销售数据中，有402个订单销售价格与同月同类产品平均售价相差50%以上，425个订货产品共有4882个销售价格。,审计发现的主要问题,（三）经济性方面的问题 2006年至2007年，鞍山钢铁集团分三次购买sap系统用户许可2050个，总金额2836万元，年维护费448万元。截止2011年9月16日，鞍山钢铁集团sap系统共注册终端用户1687个，其中1342个登录过sap系统，利用率仅为65%。 2009年12月，为建设矿山erp项目，鞍山钢铁集团又以udd框架方式购买了2000个用户许可，金额为2663万元，年维护费479万元。矿山erp项目自2011年2月开始实施，2010年实际支付用户许可账号维护费1198560元造成浪费，截至2011年9月底，因系统仍未建成，仅注册部分测试用户。,审计建议,（一）加强信息安全和信息系统运行安全保障建设。鞍山钢铁集团主营业务高度依赖于erp系统，对erp系统本身的高可靠性、高可用性要求很高，因此应进一步强化系统的容错、容灾建设。尽快落实信息系统安全等级保护技术要求，从技术上保障信息安全。 （二）提高信息化规划的完整性和统一性。鞍山钢铁集团信息化工作应坚持统一标准、统一设计、统一建设、统一管理，加强信息系统集成工作，减少“信息孤岛”，提供集中管控的信息支撑平