国美集团2007年度信息系统管理建议书

XX 公司控股有限公司公司控股有限公司 管理建议书管理建议书 二零零八年三月二零零八年三月 科技与信息安全咨询服务科技与信息安全咨询服务 TSRS 2008 公司版权所有 控股有限公司控股有限公司 信息系统审计管理建议书信息系统审计管理建议书 财务年度 财务年度 2007年年12月月31日日 A A 2 Technology and Security Risk Services 目目 录录 前 言 3 第一部分 IT管理公司层面控制管理建议 5 1 1控制环境 5 1 2风险评估 7 1 3监控 9 1 4业务可持续运行计划和灾难恢复计划 11 第二部分 IT一般控制层面管理建议 13 2 1程序变更管理 13 2 2数据修改管理 15 2 3用户账号维护 16 2 4超级用户管理 18 2 5密码管理 19 2 6操作系统和数据库管理系统安全设置 20 2 7物理安全 21 2 8备份管理 22 2 9第三方管理 23 第三部分 应用系统流程控制 24 3 1金力系统主数据维护及权限管理 24 附件1 操作系统及数据库安全参数设置建议 26 附件2 管理建议书要点矩阵 29 控股有限公司控股有限公司 信息系统审计管理建议书信息系统审计管理建议书 财务年度 财务年度 2007年年12月月31日日 A A 3 Technology and Security Risk Services 前前 言言 为配合对XX公司控股有限公司 贵公司 2007年度的财务审计工作 我们根据既定的工作 范围 对国贵公司总部 主要子公司的信息系统管理及控制进行了评估 评估所涵盖的子公司 如下表所示 序号序号子公司名称子公司名称涵盖系统涵盖系统 1XX总部金力供应链系统 用友财务系统 2北京XX金力供应链系统 用友财务系统 3天津XX金力供应链系统 用友财务系统 4广州XX金力供应链系统 用友财务系统 5重庆XX金力供应链系统 用友财务系统 6深圳XX金力供应链系统 用友财务系统 7成都XX金力供应链系统 用友财务系统 8XX物流金力供应链系统 用友财务系统 9上海XX金力供应链系统 用友财务系统 原INCA ERP系统及用友系统 10XX西安金力供应链系统 用友财务系统 11XX昆明金力供应链系统 用友财务系统 我们主要针对以下三个方面进行了评估 公司层面控制公司层面控制 通过与公司管理层的访谈我们了解并且评估了 贵公司在公司层面的控制 和管理 其中包括 控制环境 风险评估 控制活动 信息与沟通 监控 IT 流程控制流程控制 我们主要了解并且评估了 贵公司所使用的主要业务支持系统 金力供应链 系统 JL SCM System 和财务系统 用友财务系统 UserFriend Financial System 及 XX 上海 2007 年 5 月前适用的 INCA ERP 系统和用友财务系统的运行环境的安全性控制和管理 其 中包括 程序变更管理 数据修改管理 用户账号维护 超级用户管理 密码管理 控股有限公司控股有限公司 信息系统审计管理建议书信息系统审计管理建议书 财务年度 财务年度 2007年年12月月31日日 A A 4 Technology and Security Risk Services 物理安全 备份管理 应用系统流程控制应用系统流程控制 我们主要了解了 贵公司以下主要业务流程并在应用系统层面对这些 业务流程的控制和管理进行了评估 其中包括 采购流程 销售流程 金力供应链系统与用友财务系统的接口控制 通过我们的观察以及同 贵公司相关管理人员的探讨 我们发现 贵公司对支持业务运作的信 息系统平台有着较好的管理理念 相关人员对系统和流程中存在的薄弱环节也有一定的认识 与2006年管理建议书相比 贵公司在以下方面有了较大程度的改善 制定了金力用户账号维护流程 并要求各分部针对账号权限实施定期审阅 制定了密码管理相关规定 针对关键业务数据和财务数据 制定了备份管理流程 要求各分部定时备份 并及 时检查备份结果 加强了机房管理 要求各分部严格控制人员的出入 为了更好地对 贵公司IT及其相关流程进行管理和监督 我们在此次审计的基础上提出了改进 意见 希望可以帮助 贵公司更好地加强管理控制和系统安全 从而提高系统可依赖度 确保 应用系统所存储和处理的业务数据 财务数据的真实性 完整性和可靠性 本管理建议书共分为三个部分 第一部分主要涉及IT公司层面管理层建议 第二部分主要涉及IT流程控制的一些问题 第三部分则是重要业务应用系统流程控制存在的问题 XXXX电器有限公司电器有限公司 信息系统审计管理建议书信息系统审计管理建议书 财务年度 财务年度 20072007年年1212月月3131日日 A A 5 Technology and Security Risk Services 第一部分 第一部分 IT管理公司层面控制管理建议管理公司层面控制管理建议 1 1 控制环境控制环境 观察所得观察所得 在审计过程中我们了解到在控制环境方面目前 贵公司仍存在 1 1 1贵公司制定了以半年为阶段的年度 IT 计划 但尚未制定完整的与业务发展中长期商业目 标相匹配的 IT 战略规划 且目前总部信息中心虽然会对 IT 计划进行监督工作 但该监 督工作不定期 无格式统一的工作进度报告 工作总结汇总以及会议记录等书面文档 监 督 评价机制也不够标准 1 1 2公司管理层尚未针对 IT 日常工作的汇报出台相关规定 目前仍存在相关汇报周期长 公 司决策传达不够及时的问题 1 1 3信息中心的管理层对于计划的项目的完成情况给与高度重视 能够及时听取项目负责人的 汇报 并作到监督 但未保留监控的相关文档 1 1 4无硬性指标考核 IT 经理的工作能力 如所需证书 相关岗位工作经验最低下限 工作质 量评级指标等 潜在的业务风险潜在的业务风险 控制环境是实施有效的内部控制的基础 是公司的整体控制的基调 位于公司治理结构的顶端 控制环境部分的问题将直接影响整个公司的战略发展方向及公司IT管理中信息沟通 具体控制活 动 监控等多层面的措施 我们的建议我们的建议 我们建议 贵公司 1 建立一套完整的IT战略规划 该战略规划应考虑到如下内容 信息中心定期参与业务战略会议并及时知晓企业战略目标 与企业业务部门建立高效沟通 拥有系统的 IT 战略规划的方法与理念 考虑到解决 IT 建设不能满足业务发展需要时的应对策略 制定合理的 IT 战略 与企业获得良好的投资回报相结合 制定战略规划关键里程碑和关键成功因素 结合 ITIL COBIT 等先进的 IT 治理模型制定一套符合公司业务发展需要和实际业 务发展规划的 IT 治理模型 2 针对IT日常工作 系统运行情况 信息系统环境风险等方面的沟通和汇报的途径和方 法 在如下两个层面进行规范 并设计相关文档对沟通内容进行记录 XXXX电器有限公司电器有限公司 信息系统审计管理建议书信息系统审计管理建议书 财务年度 财务年度 20072007年年1212月月3131日日 A A 6 Technology and Security Risk Services 信息中心主管与公司高管层之间的沟通 各子公司或系统负责的 IT 人员与信息中心负责人之间的沟通 3 在有关规章制度中确定IT战略规划的监督内容 监督频率 监督标准 评价机制和监督 负责人 制定适用的格式统一的纸面文档对监督工作进行记录 如工作进度报告 会议 纪要 工作总结汇报等 并归档保存 考虑针对现有的OA系统中重要问题及事件分门别 类 考虑制定规范统一的审批流程并将其固化在OA系统内 防止业务人员因为选择审批 人选错误而导致的逾越必要控制等情况 4 结合人员招聘工作职责描述表 对各IT相关岗位所需的工作技能 工作经验 执行人能 力 所需证书及对该岗位的具体工作内容作清晰准确的描述 如岗位设置和人员要求有 变更 需及时更新相关工作职责描述 同时将该岗位规定的要求同员工年度考核有机地 结合在一起 对相关绩效考核资料及证明员工工作能力的相关证据 如证书 等进行存 档 管理层回复管理层回复 请在此栏回复是否同意我们所提出的上述观察所得及建议 并欢迎提出宝贵意见 XXXX电器有限公司电器有限公司 信息系统审计管理建议书信息系统审计管理建议书 财务年度 财务年度 20072007年年1212月月3131日日 A A 7 Technology and Security Risk Services 1 2 风险评估风险评估 观察所得观察所得 在审计过程中我们了解到 目前 贵公司尚未建立IT内审制度 也没有建立针对IT运行管理方面 的风险评估制度和流程 具体如下 1 2 1贵公司还没有制定一套风险评估框架 定性定量地评估风险的影响 同时 没有对公司 关键系统进行重要性和优先级的安全评估 确定可以接受的风险等级 并承担剩余风险 的程序 1 2 2管理层有不定期非正式的信息沟通 包括讨论 IT 计划及评估审计报告等 但尚未制定定 性或定量的标准 并且未对风险评估结果和后续跟进措施予以记录和落实 1 2 3贵公司总部信息中心与子公司 IT 人员的管理 沟通及监督流程不统一 通过在子公司的 了解 各子公司业务部门及 IT 人员对总部的组织架构 职责分工及问题处理上报流程等 方面了解不统一 潜在的业务风险潜在的业务风险 风险评估需要管理层对完成预期目标所面临的相关风险进行识别和分析 是定义控制行为的依 据 与公司其他部门相比 IT部门的内控风险更加普遍和深入 建立IT内审及IT运行管理风险评 估制度可以及时识别IT环境潜在的风险 并进行相应的处理与控制 提前避免问题的发生 给公 司的IT运作带来更高的保障 我们的建议我们的建议 我们建议 贵公司 1 分别制定企业级与业务级的风险评估构架 该构架应包括如下几方面的因素 定期评估信息风险 考虑到风险发生的可能性和概率 利用管理层自由讨论 战略计划 过去的审计报告等方法根据定性和定量的标准来 评估风险可能带来的影响 采用一套低成本高效益的控制措施来应对风险 包括避免风险 减轻风险或接受风 险 当风险被认为可以接受时 建立正式的文档与承担相关部分剩余风险的程序 包括 足够的保险 合同权责和自身保险 2 根据上述建议 进行持续性的风险评估 并将其作为IT内部控制设计和执行 定义IT策 略以及监控评价机制的一个重要手段 3 明确信息中心对子公司的管理责任 规范问题 时间审批流程 定期对子公司IT运行情 况进行监督和考核 定期对子公司培训并实施事后监督等措施 XXXX电器有限公司电器有限公司 信息系统审计管理建议书信息系统审计管理建议书 财务年度 财务年度 20072007年年1212月月3131日日 A A 8 Technology and Security Risk Services 管理层回复管理层回复 请在此栏回复是否同意我们所提出的上述观察所得及建议 并欢迎提出宝贵意见 XXXX电器有限公司电器有限公司 信息系统审计管理建议书信息系统审计管理建议书 财务年度 财务年度 20072007年年1212月月3131日日 A A 9 Technology and Security Risk Services 1 3 监控监控 观察所得观察所得 根据访谈和现场审计 我们了解到 1 3 1贵公司虽然对重大项目实施了计划 但公司未对 IT 职能建立质量计划体系 1 3 2贵公司没有制定日常运作中对内部控制措施进行监控的标准 没有对内部控制措施的实 施情况进行监控和评估 没有形成监控及评估记录 另外 尚未针对重大的与内控相背 离的操作进行书面的定义 也没有建立发生与内控相背离的操作的紧急情况下的应急预 案 1 3 3公司成立了内部审计部门 但无针对 IT 管理的专项独立评价机制 信息中心也无独立评 价机制 潜在的业务风险潜在的业务风险 对IT部门管理层来说 通过持续的和不定点的评估过程来覆盖内部控制监督 变得越来越重要 因此 持续监控和个别评估的实现将会降低企业所面临的业务风险 对第三方的评价能有效保证 第三方提供的服务质量 如果不对第三方的服务进行监督 就很难保证系统运行中出现的各种问 题及时得到有效地解决 从而确保系统运行的稳定性和持续性 我们的建议我们的建议 我们建议 贵公司 1 建立标准的公司质量计划体系 明确其范围和目的 所适用的产品 项目 特殊要求及 有效期等 及需达到的质量目标 组织实际运作的各过程的步骤 可用流程图或类似图 表展示过程要求 确定在项目的不同阶段 相关职责 权限和资源的具体分配 规定 应采用的具体的文件化程序和指导书 编制适宜阶段适用的检验 试验 检查和审核大 纲 规定随项目的进展进行更改和完善质量计划的文件化程序 并描述达到质量目标的 度量方法及所采取的措施 2 建议制定日常运作中事件管理 问题管理 变更管理 配置管理等方面对内部控制措施 进行监控的标准 对内部控制措施的实施情况进行监控和评估 并形成监控及评估记 录 对重大的与内控相背离的操作进行书面的定义 并建立发生与内控相背离的操作的 紧急情况下的应急预案 3 建议 贵公司对用户公司所提供的服务进行定期评价 包括服务质量 服务的及时性 服 务态度等 最好建立统一的服务水平协议 简称 SLA 全称 service level agreement 范式合同 对涉及的当事人 协定条款 包含应用程序和支持的服务 违约的处罚 费 用和仲裁机构 政策 修改条款 报告形式和双方的义务等内容予以规定 同时应对服 务有效性的保障的标准予以明确 譬如对故障解决时间 服务超时 响应时间等的保 证 建立对服务提供方的监控制度 制定定期评估文档 对服务提供的效率 效果进行 评价 保留审计服务中不足之处的相关处理记录 分析是否存在相应的改进计划 以及 改进计划是否被有效执行 4 适当情况下组织完成公司内部IT内审工作 XXXX电器有限公司电器有限公司 信息系统审计管理建议书信息系统审计管理建议书 财务年度 财务年度 20072007年年1212月月3131日日 A A 10 Technology and Security Risk Services 管理层回复管理层回复 请在此栏回复是否同意我们所提出的上述观察所得及建议 并欢迎提出宝贵意见 XXXX电器有限公司电器有限公司 信息系统审计管理建议书信息系统审计管理建议书 财务年度 财务年度 20072007年年1212月月3131日日 A A 11 Technology and Security Risk Services 1 4 业务可持续运行计划和灾难恢复计划业务可持续运行计划和灾难恢复计划 观察所得观察所得 根据我们了解 贵公司的业务运作在较大程度上依赖于业务及财务系统的正常运行 但目前尚 未建立一套全面详细的灾难恢复计划以及业务可持续运作计划以确保在遇到灾难性事件发生 系 统通讯服务中断或其它紧急情况发生时 及时恢复所丢失的数据 保证公司业务和财务系统的持 续运作 同时尽可能地降低经济损失 潜在的业务风险潜在的业务风险 业务可持续运行计划书可以使 贵公司在经历诸如自然灾害 突发意外事故或人为因素造成的灾 难性事件时 将可能遭受的损失和破坏降到最低限度 如果没有一套全面的业务可持续运行计划 做支持 一旦系统瘫痪并且不能在最短时间内得到恢复 将有可能给 贵公司带来经济 财产及 名誉上的损失 我们的建议我们的建议 我们建议 贵公司在目前现有的条件下建立一套充分 详尽及可行的业务可持续运作计划和灾难 恢复计划 我们在下面列示了在通常情况下计划 实施和维护这些方案的相关指引以供参考 1 制定一套规程 详细确定管理层的相关责任及义务 以确保能及时消除由于重大信息系统 服务中断而导致的关键业务停滞 2 指定合适的人员专管信息系统可用性的维护及相关的业务可持续运行计划 3 分析威胁信息可用性的因素并评估各因素导致的相关风险 以此为基础 评估现存风险及 对其进行修正的可能性 同时 应根据业务及系统环境的变化 定期审阅上述内容并考虑 相应的更改 4 分析所有的关键业务流程以识别关键的 为其提供支持的信息系统和应用程序 从财务损 失和运作损失的角度来确定其对业务的影响 5 恢复目标及步骤应与公司面对的风险级别相适应 包括衡量业务运作的中断所带来的损失 及相关恢复运作的成本 确定可以恢复所有关键业务职能所需的最小资源要求等等 恢复 步骤应提交高层并获得批准 6 对业务可持续运行计划及其相关步骤 程序予以书面记录并强制实施 7 对所有职员进行有关公司业务可持续运行计划方面的教育和咨询 在员工日常培训内容中 增加有关使用 启动和维护业务可持续运作计划和相关步骤的内容 8 定期对业务可持续运行计划进行演习 9 针对关键的信息资料设立有效的备份流程和程序 同时考虑本地备份和异地备份两种方式 10 针对关键业务职能的恢复 制定详细充分的步骤清单和检查表 内容应涵盖信息恢复操 作 存储及系统的转换等 11 针对业务运作从备份点向原点或是其他替代点迁移及恢复的过程 制定详细充分的步骤清 单和检查表 XXXX电器有限公司电器有限公司 信息系统审计管理建议书信息系统审计管理建议书 财务年度 财务年度 20072007年年1212月月3131日日 A A 12 Technology and Security Risk Services 管理层回复管理层回复 请在此栏回复是否同意我们所提出的上述观察所得及建议 并欢迎提出宝贵意见 XXXX电器有限公司电器有限公司 信息系统审计管理建议书信息系统审计管理建议书 财务年度 财务年度 20072007年年1212月月3131日日 A A 13 Technology and Security Risk Services 第二部分 第二部分 IT一般控制层面管理建议一般控制层面管理建议 2 1 程序变更管理程序变更管理 观观察察所所得得 在系统审计过程中 我们了解到 贵公司对程序变更工作实施了一定的控制 但是我们发现 贵公 司总部及测试范围内子公司在程序变更流程方面还存在一些有待改进之处 2 1 1贵公司未对金力供应链系统和用友财务系统的程序移植建立正规的审批流程 目前程序移 植完全由供应商的开发人员负责完成 缺少 贵公司信息中心人员的控制和监督 2 1 2贵公司未对金力供应链系统和用友财务系统的参数配置变更建立正式的流程制度 2 1 3贵公司未对用友财务系统的补丁升级建立正式的流程制度 2 1 4贵公司金力供应链系统程序变更上线之后未对其进行监控 贵公司总部及测试范围内 子公司 存存在在的的业业务务风风险险 应用系统程序变更管理将直接影响到系统正常运行的安全性 如果未建立正式的程序变更制度以 及参数变更流程制度则不能保证重要业务系统所进行的程序更改或参数更改都经过合理授权与严 格测试 而未经授权或未进行严格测试的程序更改将有可能影响到业务系统运作的安全性与准确 性 应用系统补丁升级无严格审批控制流程 将导致无法对系统修改进行及时监控 也无法防止发生 未经授权的补丁升级 从而不能保证系统的补丁升级都经过了严格合理授权与测试 最终将影响 系统的正常运行 并威胁到生产数据的安全性和可靠性 缺少对系统程序变更上线后的监控 管理层将无法及时掌握程序变更的结果 同时很难保证系统 运行中因程序变更出现的各种问题得到及时有效地解决及监督 从而影响系统运行的稳定性和持 续性 我我们们的的建建议议 我们建议 贵公司逐步完善有关程序更改的管理制度并在全国范围内严格实施 同时在如下方面 加强控制 XXXX电器有限公司电器有限公司 信息系统审计管理建议书信息系统审计管理建议书 财务年度 财务年度 20072007年年1212月月3131日日 A A 14 Technology and Security Risk Services 1 制订和实施一套完整和正规的有关程序移植的审批流程 如果在目前的情况下 迁移操 作由供应商开发人员负责完成 我们建议安排 贵公司IT人员增加适当的控制和监督措 施 以保证移植程序的真实性和准确性 2 制定和实施正规的参数变更和补丁升级流程制度 保证重要业务系统所进行的参数变更 和补丁升级都经过合理授权与严格测试 3 对服务商的业务系统账号进行合理授权 禁用相关业务操作权限 并定期检查服务商的 相关操作 4 制定和实施对系统程序变更上线后的监控制度 并将所有与程序更改相关的文档妥善保 存以作为审计痕迹 管管理理层层回回复复 请在此栏回复是否同意我们所提出的上述观察所得及建议 并欢迎提出宝贵意见 XXXX电器有限公司电器有限公司 信息系统审计管理建议书信息系统审计管理建议书 财务年度 财务年度 20072007年年1212月月3131日日 A A 15 Technology and Security Risk Services 2 2 数据修改管理数据修改管理 观观察察所所得得 根据我们的了解 我们注意到 贵公司在数据修改方面还存在以下薄弱环节 2 2 1金力供应链系统的数据修改未建立专门的审批流程以及正式的测试计划 2 2 2目前OA管理系统中数据修改及其他各种类的上报及审批混杂 因而无法提取专门的数据 修改的清单 2 2 3未对测试结果进行记录 2 2 4也未对数据修改的结果进行事后监控 贵公司总部及测试范围内子公司 存存在在的的业业务务风风险险 金力系统数据库中的数据是 贵公司重要的业务数据也是相关财务数据的来源 如果无法将数据 修改的审批流程与其他种类的审批区分开 将难以保证此类敏感操作都是在经过合理审批和授权 状态下进行的 因而操作的合理性和准确性也将难以得到保证 没有相关的用户部门对数据修改 建立测试计划以及对测试结果进行保存和监控 则无法保证数据修改后的准确性和完整性 同时 导致数据修改的内容无法被追溯 有可能给公司的业务及财务造成重大损失 我我们们的的建建议议 建立统一规范的数据修改申请单来完善现有管理流程 或进一步提高OA系统统计的功能 并要 求各部门对申请 审核以及完成情况作统一 清晰的记录 使工作记录能与操作管理流程对应 以满足日后监督管理工作的需要 同时 应加强对文件记录的妥善保管 按操作的性质对不同类 型的文件进行合理分类和编号 防止文件丢失 管管理理层层回回复复 请在此栏回复是否同意我们所提出的上述观察所得及建议 并欢迎提出宝贵意见 XXXX电器有限公司电器有限公司 信息系统审计管理建议书信息系统审计管理建议书 财务年度 财务年度 20072007年年1212月月3131日日 A A 16 Technology and Security Risk Services 2 3 用户账号维护用户账号维护 观观察察所所得得 在此次审计过程中 我们了解了 贵公司目前所使用的主要业务及财务系统用户账号情况 通过 与相关人员的访谈与系统审计 我们发现 贵公司在系统用户权限维护方面已经建立了用户账号 的管理制度并实施了一定的管理措施 同时在日常工作中也执行了相关的审批流程 但是在具体 审计过程中 我们注意到以下方面还有待提高 2 3 1未制定用于规范用友财务系统中用户新增 更改 删除的制度或流程 同时缺乏文本性的 申请和审批文档记录 无法追溯是否得到了管理层的授权 深圳XX 成都XX 昆明 XX 2 3 2未制定对用友财务系统 金力供应链系统用户授权情况进行定期审计的制度 对相关系统 进行了非定期审计的分部也未保存任何审阅的记录 贵公司总部及测试范围内子公司 2 3 3用友财务系统中存在已经离职的人员账号未被及时注销或者禁用的情况 例如XX西 安分部离职财务人员王江飞 王文浩 李秋菊的账号没有被及时禁用 另外还存在IT 部门人员具有用友财务系统制单权限的情况 岗位职责与权限不符合 例如XX西安 分部IT部门陈镖屹拥有会计岗位权限 XX西安 2 3 4我们发现物流公司在对用友财务系统的帐号进行管理时未采用实名制原则 例如 账号 wlliubl01 刘宝玲 wlliubl02 刘宝玲以及wlliubl03 刘宝玲 虽然登录系统的ID不同 但是 却拥有相同的用户名 并且 这些账号并非专为刘宝玲一人设立 也包含了其他工作人 员 虽然系统账号维护人员制作了一张一一对应的人员账号对应表 但仍无法对对号的使 用人及责任人进行明确定义 XX物流 2 3 5金力供应链系统中已离职人员的用户账号未被及时删除或禁用 一些离职人员还拥有操作 权限 例如XX广州分部有一百多离职员工账号未及时注销 XX昆明分部刘瑞 孙震及毕 晓玲在离职后其账号仍有人在使用 XX总部 XX广州 XX西安 XX昆明 2 3 6金力系统日志不能够对具体的操作进行跟踪 因此无法追溯相关敏感操作的使用情 况 贵公司总部及测试范围内子公司 存存在在的的业业务务风风险险 业务系统和财务系统是 贵公司支持业务运作的关键系统 这些系统的安全性应该受到加倍重 视 而严格的用户账号管理是保证系统安全的重要手段 没有一套完整详尽的系统用户账号管理 制度做指导 对用户账号的维护进行记录 将难以保证系统用户账号的维护是在经过审批和授权 状态下进行的 增大未经合理授权建立 删除与修改系统用户账号的风险 XXXX电器有限公司电器有限公司 信息系统审计管理建议书信息系统审计管理建议书 财务年度 财务年度 20072007年年1212月月3131日日 A A 17 Technology and Security Risk Services 离职员工以及闲置用户账号的存在 增加了未经授权而对系统或后台数据库进行访问或修改的可 能性 对系统和数据库的整体安全构成威胁 非实名制的账号建立 将难以保证责任到人 对于用户在系统中的非法或错误操作无法追溯 没有对业务和财务系统用户账号的定期审计和记录 可能难以检查系统中的用户账号权限与实际 的工作职责是否相符 会使未经合理授权的用户在系统中进行非法或错误的操作无法被察觉 从 而给业务和财务的运作带来重大隐患 没有对业务系统中账号操作尤其是敏感操作情况进行日志记录 将无法追踪非法交易的发生 我我们们的的建建议议 我们建议 贵公司 1 制订和实施一套完整的系统用户账号管理制度 保证业务系统和财务系统用户账号的建 立 删除和权限更改是在经过审批与授权的状态下进行的 并且以文档形式进行记录和 保存 相关管理制度及时下达给分部并确保执行 2 制定和实施一套完整的系统账号定期审阅制度 对所有用户账号的有效性和权限实施定 期审计 并加以记录归档保留 确保对无效账号及时锁定和离职员工账号密码的及时修 改 同时通过检查用户权限与其职责是否相符 及时收回账号的过高权限 确保系统数 据的安全 3 在拥有权限的员工离职或岗位变更后 原有账号及权限应及时删除 禁用或更改 4 在业务系统中对较重要较敏感的业务操作建立日志记录 当系统中一旦发生异常或者非 法的交易操作 能够及时准确地对相关的用户操作进行审查及追溯 避免无据可查的情 况发生 管管理理层层回回复复 请在此栏回复是否同意我们所提出的上述观察所得及建议 并欢迎提出宝贵意见 XXXX电器有限公司电器有限公司 信息系统审计管理建议书信息系统审计管理建议书 财务年度 财务年度 20072007年年1212月月3131日日 A A 18 Technology and Security Risk Services 2 4 超级用户管理超级用户管理 观观察察所所得得 2 4 1在金力供应链系统中 缺少超级用户操作日志 没有对超级账号的使用情况进行记录 从而缺少对超级账号的日常监控 贵公司总部及测试范围内子公司 2 4 2在用友财务系统中 有超级用户操作日志 但是没有相关人员定期对超级账户的日志进 行监控 贵公司总部及测试范围内子公司 存存在在的的业业务务风风险险 应用系统 操作系统及数据库系统中的特权用户在系统中拥有较高的权限 某些操作会直接影响 到系统中的关键业务或财务数据 如果缺少对特权用户账号操作的监督 对特权用户账号未授权 或不合理操作可能无法及时发现并处理 从而可能影响到企业业务数据和财务数据的真实性 完 整性和可靠性 我我们们的的建建议议 我们建议 贵公司 1 考虑建立金力系统的超级用户操作日志功能 以便记录用户特别是特权用户在系统中的 操作历史 2 对应用系统 操作系统和数据库系统特权用户账号操作日志安排特权用户之外的人员进 行定期审计 并将审计结果提交管理层审计 以确保特权用户在系统中进行合理操作 管管理理层层回回复复 请在此栏回复是否同意我们所提出的上述观察所得及建议 并欢迎提出宝贵意见 XXXX电器有限公司电器有限公司 信息系统审计管理建议书信息系统审计管理建议书 财务年度 财务年度 20072007年年1212月月3131日日 A A 19 Technology and Security Risk Services 2 5 密码管理密码管理 观观察察所所得得 2 5 1通过访谈和审计 我们了解到金力系统尚未实现密码限制的配置 例如 金力系统只接 受小于等于8位的密码 对于大于8位的密码 自动只取前8位 金力系统的用户密码无最 小密码限制措施 首次登陆后无强制性更改密码措施 无密码复杂性要求措施 无强制 定期更换密码措施 无限制密码在一定次数内重复使用措施 贵公司总部及测试范围 内子公司 2 5 2通过访谈和审计 我们了解到用友系统中用户密码有最小密码限制要求 6位 首次登 陆后无强制性更改密码措施 无密码复杂性要求措施 无强制定期更换密码措施 无限 制密码在一定次数内重复使用措施 贵公司总部及测试范围内子公司 存存在在的的业业务务风风险险 用户密码是控制用户对系统访问的一个重要手段 没有完善的密码限制配置 将难以保证密码的 妥善管理 有可能造成密码外泄或虚设 会给非授权系统操作提供机会 从而对系统及数据的安 全构成威胁 同时 也会给业务操作责任划分造成困难 我我们们的的建建议议 在金力系统和用友系统中加强对密码长度 复杂度和定期更改密码的控制 在账号使用完毕后 及时对账号密码进行更改 同时将更改后的密码重新加以密封保存 管管理理层层回回复复 请在此栏回复是否同意我们所提出的上述观察所得及建议 并欢迎提出宝贵意见 XXXX电器有限公司电器有限公司 信息系统审计管理建议书信息系统审计管理建议书 财务年度 财务年度 20072007年年1212月月3131日日 A A 20 Technology and Security Risk Services 2 6 操作系统和数据库管理系统安全设置操作系统和数据库管理系统安全设置 观观察察所所得得 在审计过程中我们了解到 贵公司用友财务系统的操作系统为AIX5 2 数据库管理系统为 Oracle 10 2 金力供应链系统的操作系统为AIX5 2 数据库管理系统为Sybase12 5 由于用友财 务系统为中央管理系统 我们审阅了XX总部的用友财务系统的操作系统和数据库系统安全设 置 对于分散管理的金力系统我们审计了总部以及各分部的金力系统操作系统和数据库管理系统 安全设置 在审计过程中 我们注意到 贵公司在操作系统和数据库系统的安全设置存在一些薄 弱环节 详细内容请参阅本管理建议书附件一 AIX操作系统安全设置建议 和附件二 Oracle数据库管 理系统安全设置建议 潜潜在在的的业业务务风风险险 对 贵公司的信息资产及系统资源的保护 在很大程度上依赖于操作系统及数据库系统的安全性 能 操作系统和数据库系统安全性是应用系统安全性的基础 是信息安全防范的关键要素 当前 操作系统和数据库系统的安全设置状况 增大了 贵公司的信息系统及资源被恶意操纵或遭受未 经授权访问的风险 我我们们的的建建议议 我们建议 贵公司在确保安全的前提下 结合实际工作需求和系统资源状况 考虑修改目前的系 统安全设置 以更好地利用操作系统和数据库所提供的安全性能 我们在附件 AIX操作系统安 全设置建议 和 Oracle数据库管理系统安全设置建议 中详细的列出了操作系统安全参数设置 建议以及数据库安全参数设置建议 同时 我们建议 贵公司进一步加强与操作系统和数据库安 全设置相关的安全性和规范性检查 以确保信息系统安全管理和设置的长期有效性 管管理理层层回回复复 请在此栏回复是否同意我们所提出的上述观察所得及建议 并欢迎提出宝贵意见 XXXX电器有限公司电器有限公司 信息系统审计管理建议书信息系统审计管理建议书 财务年度 财务年度 20072007年年1212月月3131日日 A A 21 Technology and Security Risk Services 2 7 物理安全物理安全 观观察察所所得得 2 7 1通过实地审查我们发现 目前 贵公司部分分部机房尚未设立完善的机房签入签出制 度 广州XX 昆明XX 西安XX 2 7 2通过访谈和审计 我们了解到 贵公司对IT部门的物理安全管理还存在一定的控制弱点 例 如 机房缺少湿度计 烟雾探测器和火警报器等一些必要的物理安全设备 而且布局有 些杂乱 西安XX 昆明XX 存存在在的的业业务务风风险险 机房的物理安全控制关系到机房内网络设备及财务系统的安全 缺乏人员进出机房登记制度 将 导致一旦出现非授权人员进入机房的情况 就无法追查到非授权人员进入机房的具体信息 给信 息系统设备的安全运行带来巨大风险或造成公司财产的损失 灭火及警报设备可以及时应对火灾的发生 如果没有在机房配备良好的灭火设备 在机房发生火 灾的情况下可能无法及时灭火 从而不能将损失减小到最低 对机房环境因素 如温度 湿度 没有良好的控制 无法确保信息系统的稳定运行 可能导致业务中断 布局合理的机房也会使得 机房内的安全隐患降到最小 也降低发生灾难时的关联效应 我我们们的的建建议议 我们建议 贵公司对物理安全管理进行以下改进 对机房出入人员情况进行记录 含进出机房的人员 原因 时间等 保证机房内配备好干湿温度计及相关灭火设备 对机房的布局加以改善 为每台设备留有足够的独立空间 管管理理层层回回复复 请在此栏回复是否同意我们所提出的上述观察所得及建议 并欢迎提出宝贵意见 XXXX电器有限公司电器有限公司 信息系统审计管理建议书信息系统审计管理建议书 财务年度 财务年度 20072007年年1212月月3131日日 A A 22 Technology and Security Risk Services 2 8 备份管理备份管理 观观察察所所得得 贵公司对金力系统和用友财务系统数据库进行数据备份管理 经过测试 我们发现 贵公司在数 据库数据备份管理中存在如下有待改进之处 2 8 1贵公司未对财务和业务数据进行异地备份 贵公司总部及测试范围内子公司 2 8 2XX总部 XX昆明虽然对备份结果会进行检查 但是没有相关的文档记录 XX总 部 XX昆明 2 8 3贵公司在审计期间尚未建立备份数据恢复测试计划 在实际工作中也未对备份结果进行 恢复性测试 贵公司总部及测试范围内子公司 存存在在的的业业务务风风险险 有效的数据与系统备份管理可以提高数据的安全性 缺乏系统及数据的异地备份和妥善管理 将 无法降低在发生自然灾害 突发意外事故或人为因素造成的灾难性事件时公司备份数据被正常恢 复的风险 数据备份恢复测试计划以及恢复性测试的缺失可能造成备份结果的不可靠 在遇到突发事件导致 系统数据丢失情况下不能根据备份结果进行系统的恢复 我我们们的的建建议议 我们建议对业务和财务数据库进行如下改进 1 制定书面的数据备份策略 在策略中详细说明备份的内容 方法 时间 恢复测试计 划和要求 异地备份以及备份的日常检查 2 对数据备份的状态进行定期检查 如有未成功的备份 应该采用手工备份等方法以确 保备份成功 并且将相关的过程进行文档记录 3 定期对备份数据进行恢复性测试 并保留测试记录 管管理理层层回回复复 请在此栏回复是否同意我们所提出的上述观察所得及建议 并欢迎提出宝贵意见 XXXX电器有限公司电器有限公司 信息系统审计管理建议书信息系统审计管理建议书 财务年度 财务年度 20072007年年1212月月3131日日 A A 23 Technology and Security Risk Services 2 9 第三方管理第三方管理 观观察察所所得得 贵公司将系统维护和硬件维护方面的部分工作外包给第三方供应商完成 并与第三方供应商签定 了合同 经过测试 我们发现 贵公司在第三方管理中存在如下有待改进之处 2 9 1贵公司尚未建立对第三方供应商的服务监控和评估的制度和流程 2 9 2没有对服务商的服务质量实施定期评估和及时反馈 2 9 3尚未建立正规的与第三方的沟通机制 与第三方的沟通没有以正式的文档进行记录 2 9 4服务商未针对关键业务系统的上线及更新对最终用户提供相应的培训 2 9 5相关人员对关键业务系统的数据结构及业务逻辑实现不甚熟悉 贵公司总部及测试范围 内子公司 存存在在的的业业务务风风险险 第三方供应商的优秀服务是相关应用系统和硬件稳定且高效运行的重要保障 如果没有对第三方的 服务进行良好的监控 将可能造成公司的知识产权受到侵犯 使敏感信息外泄 没有对第三方的服 务资质进行认证以及详细且准确地记录和评估 得到的服务将可能无法达到预期的水平 或得不到 及时的响应 使公司无法及时发现并纠正服务的不足之处 缺少服务商针对性的培训 将使得最终 用户无法及时适应新系统或新功能 增加了误操作的可能性 我我们们的的建建议议 我们建议 贵公司对第三方管理进行以下改进 1 对服务商的各项服务进行记录 定期评估服务质量 并将评估结果提交管理层审阅 以加强对第三方供应商服务的监控和管理 2 与服务商及时沟通和反馈 妥善记录并保留相关文档 3 加强相关人员对业务逻辑及源代码 数据结构的熟悉程度 管管理理层层回回复复 请在此栏回复是否同意我们所提出的上述观察所得及建议 并欢迎提出宝贵意见 XXXX电器有限公司电器有限公司 信息系统审计管理建议书信息系统审计管理建议书 财务年度 财务年度 20072007年年1212月月3131日日 A A 24 Technology and Security Risk Services 第三部分 第三部分 应用系统流程控制应用系统流程控制 3 1 金力系统主数据维护及权限管理金力系统主数据维护及权限管理 观观察察所所得得 我们对价格 合同 产品等与财务报表关系较为紧密的主数据在金力系统的维护情况作了审阅 我们注意到 贵公司对核心业务系统用户访问实施了一定的职责分离控制 但是我们发现 贵公司 在如下方面的控制还存在薄弱环节 3 1 1价格主数据维护权限问题 在对拥有价格维护权限的账号测试过程中 我们发现 营销总 监 和 配送经理 副经理 的权限设置不合理 营销总监 既有定义价格文件的权限又有 审核价格文件的权限 配送经理 副经理 拥有定义价格文件的权限 与实际岗位职责不 符 贵公司总部及测试范围内子公司 3 1 2订单制作权限问题 在对拥有订单维护权限的账号测试过程中 我们发现 营销总 监 业务主管 门店管理中心总监 通讯业务公司业务主管 副主管 岗位既有制作订 单的权限又有审核订单的权限 贵公司总部及测试范围内子公司 3 1 3我们发现在订单制作权限方面 某些门店营业员拥有门店主任的权限 可以制作订 单 XX西安 3 1 4退货权限问题 在对拥有退货权限的账号进行测试时 我们发现XX西安分部原钟楼店门 店主任李生波 在岗位调整为品类部专员后 系统中原门店主任权限没有被及时注销 某些门店营业员拥有门店主任的权限 可以执行退货冲红制单操作 例如XX西安分部营 业员雷茜拥有门店主任权限 XX西安 3 1 5金力系统到用友系统的凭证导入权限问题 在对金力系统到用友系统的凭证导入权限进 行测试时 我们发现上海XX分部傅燕 蒋菲等六名非总账会计人员在系统中均被授予了 凭证导入权限 上海XX 存存在在的的业业务务风风险险 不确切的职责分离控制会增加未经授权和 或不适当的交易风险 可能会给公司带来巨大的财产 损失 在订单的制作过程中允许订单制单及审核均由同一个人员完成 将可能无法更好的避免订单中错 误信息的产生及可能发生的舞弊行为 从而可能影响采购信息的正确性并降低公司业务和财务运 作的效率 XXXX电器有限公司电器有限公司 信息系统审计管理建议书信息系统审计管理建议书 财务年度 财务年度 20072007年年1212月月3131日日 A A 25 Technology and Security Risk Services 在价格主文件维护过程中允许价格的修改和审批同一个人完成 将无法保证价格变动是正确且经 过授权的 从而影响销售收入和利润 也无法发现舞弊行为 没有在系统中禁用具有退货权限的离职人员的账号 可能造成对系统的非法访问并影响到退货流 程 发生未经授权的退货 赋予总账会计以外的人员凭证导入权限 将无法保证金力系统和用友系统接口数据流的准确性 可能最终影响到用友系统中财务数据的准确性 我我们们的的建建议议 我们建议对上述存在问题的岗位权限进行重新梳理 剔除存在职责分离问题和不合规权限的情 况 并结合公司实际业务需要和风险大小执行职责分离测试来降低未经授权和 或不适当的交易 出现的几率 这需要通过IT部门和业务部门合作来实现 具体应至少包括如下步骤 1 业务流程 例如 销售 采购 财务报告 预算等 被明确定义 2 在认定的业务流程中 相冲突的操作被明确记录 3 相冲突的操作应安排由不同人员执行 例如订单的制作和审批 应当分配给不同的人 员 若发生任何异常情况都应上报并做进一步调查 经确认的问题要及时解决 4 定期审计职责分离状态 以保证日常用户 权限维护和管理流程不会引起预期之外的访问 冲突或职责分离问题 管管理理层层回回复复 请在此栏回复是否同意我们所提出的上述观察所得及建议 并欢迎提出宝贵意见 XXXX电器有限公司电器有限公司 信息系统审计管理建议书信息系统审计管理建议书 财务年度 财务年度 20072007年年1212月月3131日日 A A 26 Technology and Security Risk Services 附件附件1 操作系统及数据库安全参数设置 操作系统及数据库安全参数设置建议建议 1 AIX 金力供应链系统数据库所在金力供应链系统数据库所在AIX操作系统 包括操作系统 包括XX总部 总部 XX北京 北京 XX广州 广州 XX 成都 上海成都 上海XX XX深圳 深圳 XX天津 天津 XX重庆重庆 系统参数建议设置系统参数建议设置 系统参数系统参数参数说明参数说明当前设置