•     免费电话:800-890-8245
        咨询电话:024-31801478
  • 上市公司

  • ■ 行业背景

    2008年6月28日,财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》(以下简称基本规范)。基本规范自2009年7月1日起先在上市公司范围内施行,鼓励非上市的其他大中型企业执行。消息一经公布,舆论惊呼,“我们有了中国版SOX法案!”。这个规范,被无数人寄予了期望,未来5年内,基本规范的实施将对中国的上市公司和大型企业的规范化运作带来实质性推动。这是我国继实施与国际接轨的企业会计准则和审计准则之后,在会计审计领域推出的又一与国际接轨的重大改革。这部规范的推出,意味着中国企业内部控制规范体系建设正在向国际标准靠拢。

    这套适用于中国企业的内部控制体系,其基本规范借鉴了COSO报告五要素框架和风险管理八要素框架;具体规范以财务报告内部控制为主线,对与企业财务报表项目相关的、可能会对财务报告真实可靠性产生较大影响的经济业务事项以及与财务报表编报相关的业务活动提出具体的控制规范,并对为实现有效的财务报告内部控制的事前、事中和事后制度支持提出控制要求。企业的内部控制,应该贯穿于企业经营活动的决策、执行和监督的始终,涵盖企业各种业务和事项。企业每一项经营活动,从工作的效率性及风险的控制性来讲,都应强调过程控制,包括宏观上公司治理结构的确立、机构设置及权责分配、人力资源政策、企业文化等,也包括微观上企业股东会和董事会的决策程序,经理层及员工的执行程序和要求,监事会、内部审计委员会的监督程序,员工奖励计划,以及违反公司内部控制体系的罚则等等。

    ■ COSO模型

    COSO内控框架

    COSO内部控制框架不是唯一的内部控制框架, 其他类似框架中最著名的是加拿大注册会计师公会所属的控制基准委员会COCO,于1995年11月发行《控制指导纲要》。COCO提出了—种更精简、更具动态,使用更多管理术语的内部控制基本架构。COCO报告从四个方面:目的、承诺、能力、监督与学习,提出20项控制基准。

    但是COSO内部控制框架是美国证券交易委员会唯一推荐使用的内部控制框架,同时《萨班斯法案》第 404 条款的「最终细则」也明确表明 COSO内部控制框架可以作为评估企业内部控制的标准。作为纽约证交所上市的公司,需要按照法案要求,引进COSO内部控制框架,整合现有内部控制,满足法案的要求。我国《企业内部控制基本规范》的制定也参考了COSO内控框架。框架的内容主要包括:

    • 1 控制环境
    • 2 风险评估
    • 3 控制活动
    • 4 信息与沟通
    • 5 监督

    ■ 需求分析

    上市公司要提高内控,在数据安全方面要着重考虑。因为就目前的企业而言,内部关键数据的管理和控制还是比较弱的。需要针对COSO模型在几个方面进行优化。

    控制环境

    针对敏感文件,在企业内部建立使用制度和标准化的使用流程,针对设计图纸和工艺的电子文件的访问和使用制定有效的管理制度。

    风险评估

    在这个环节,需要做几件事。

    • 1 确定高风险的文件类型,比如敏感的财务数据,关键技术,关键工艺,竞标文件,公司内部管理文件等,是否需要定义为重要的数据源。
    • 2 确定高风险文件是否面临威胁或存在安全隐患。
    • 3 确定高风险隐患造成的危害。
    • 4 制定策略修复隐患。

    控制活动

    针对内网与敏感数据安全相关的行为进行管理,包括介质的使用,数据访问控制,计算机操作行为管理等内容。

    监督

    针对内网的相关计算机操作和敏感数据的使用都要进行第三方的审计,便于取证。

    ■ 解决方案

    建立评估体系

    电脑医生领先于目前内网管理产品,开创性的提出了内网健康评估的概念,为内网管理提出了新的概念和方法。

    电脑医生提供了多种功能为用户提供了多种崭新的管理方式。

    • 客户端体检:客户端能够针对计算机的安全状况进行综合的体检,得出健康指数以衡量计算机安全状况。
    • 内网体检指数:针对整个内网进行体检评估,每天得到一个健康指数。管理员通过该功能可以查看内网体检指数折线图,查看内网健康指数的变化趋势。
    • 内网体检报告:对内网进行体检评估,智能分析后得出内网体检报告,包括体检明细,结论及建议等,报告支持导出和打印。

    全面的控制

    (1) 介质的控制

    设备管理:禁用计算机的相关外设,用户将不能再计算机上使用指定的外设。

    (2) 准入管理

    • 内网正常访问:内网计算机上部署了电脑医生的客户端,称作合法计算机,他们之间可以正常访问。
    • 无客户端设备正常访问:一些有IP地址的设备,如打印机,绘图仪,网络设备等,尽管没有客户端,但是可以被设定允许访问,和合法计算机间正常访问。
    • 非法计算机禁止访问:未安装客户端的计算机,被视为非法设备,将禁止访问内网合法计算机和外网。
    • 允许临时访问:对于部分非法设备,因工作需要,需临时接入内网或外网,可以被临时允许内网或外网。

    (3) 行为管理

    • 程序黑名单:预置尽200种程序名单,包括游戏平台类,游戏类,下载器类,聊天语音类,股票网银类等。管理员也可以自定义要禁用的程序。
    • 程序白名单:通过设定程序白名单,客户端计算机只能运行指定的程序。电脑医生提供白名单采集工具,能够采集客户计算机开机后运行的程序,能够形成文件导入白名单中,方便设定。
    • 网站黑名单:预置近200种网站黑名单,包括网页游戏类,网页视频类,社交网站类,股票证券类,综合财经类,理财网络类,网页游戏类等,管理员也可以自定义要禁止访问的网站地址。
    • 网站白名单:管理员可以手动设定允许用户访问的网站,其他未列入列表的网站均被禁止访问。

    全面的审计

    浏览网站审计:用户浏览网站的情况均被记录到审计日志中。该审计内容不受浏览器影响,支持MYIE,Firefox,chrome,opera等浏览器。审计数据支持排名。

    流量统计:能够统计每台计算机外网访问的历史流量,审计数据支持排名。

    文件审计日志:能够记录用户对文档操作的情况。内置了多种文件类型,包括office系列,设计类,办公类等,用户也可以自定义文件类型。

    程序审计日志:能够记录计算机运行的程序,一些绿色版,不需安装的程序也在审计范围内。审计结果支持多种查询方式,便于检索。