用友NC V56新特性培训-内控工具.ppt

NCv56企业治理-访问安全控制产品介绍,NC产品管理与应用规划部 付建华2010年01月07日,产品研发背景及发展关系,产品总体说明,主要功能介绍,一、产品研发背景及发展关系,市场分析-国际萨班斯法案,4、第302节 公司对财务报告的责任,要求公司首要官员及首要财务官在季度/年度报告中保证 对信息披露的控制和程序负责（含刑事责任）设计必要的内部控制手段并确保其执行可使高层及时获得重要信息 对披露控制的有效性进行评估，评估结果需存档 不可向审计委员会和外部审计人员隐瞒公司重大的内控失败和人员舞弊行为 存档描述内部控制的重大变化介绍信息披露的控制和程序 强调财务人员的正直和财务报告系统控制的完整性 需披露的非财务信息包括：重要合同的签署，战略合作关系的解除以及法律诉讼美国证券管理委员会要求扩大信息披露的控制和财务报告系统内部控制程序的认证将内控评估日改为财务报告截止日,市场分析-我国内部控制相关法规,为了加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公众利益，根据国家有关法律法规，财政部会同证监会、审计署、银监会、保监会制定了企业内部控制基本规范，现予印发，自2009年7月1日起在上市公司范围内施行，鼓励非上市的大中型企业执行。执行本规范的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。,五部委：企业内部控制规范,二、产品总体说明,V56访问安全控制-应用目标,企业内部控制管理的领域划分：,管理控制,流程控制,IT控制,访问安全控制,软件系统权限体系的严密性,软件系统权限体系的可监督性,不相容职责稽核及报告,对授权操作完整细致的日志记录及报告,V56访问安全控制-应用目标,应用目标1,应用目标2,应用目标3,NC系统的用户利用该工具查询并输出系统授权全景报告；NC系统的用户利用该工具对系统的权限体系进行检查和监控,NC系统的用户利用该工具完成不相容职责的自动稽核及报告,NC系统的用户利用该工具对系统授权操作的日志进行监控,三、产品功能简介,V56访问安全控制-产品形态清单,V56访问安全控制-产品总体架构,基础设置在访问安全控制中，授权监控、职责互斥稽核等功能是依赖于用户根据各自的业务要求来确定内部控制管理范围和内容的，那么对这些业务要求的设定就要通过基础设置的功能来实现。授权监控在企业管理中，为了明确不同管理层次的决策权限，达到提高运营效率、规避风险的目的，企业均需实施严密的权限分配。因此，对权限配置信息的监督控制是企业内部控制管理当中的重点内容及手段。职责互斥稽核互斥职责，即不相容职责，是指那些由一个人担任，即可能发生错误和弊端又可掩盖其错误和弊端的职务。以业务流程为核心的企业授权体系中，需要遵循严格的不相容职责相互分离的牵制原则。稽核不相容职责在系统中应用而发生的冲突情况，使企业能够及时做出职责权限的调整，防止不相容职责的错误和弊端的发生和蔓延。访问安全日志对授权操作完整细致的日志进行记录和报告，主要解决对软件系统中专门负责授权的权限管理员的操作安全的监控、保障和检查，从而与授权监控、互斥职责稽核形成完整的访问安全控制循环。,V56访问安全控制-功能概述,三、产品功能简介1.不相容职责稽核及报告,1、不相容职责稽核-业务举例,企业内部的不相责职务渗透在企业经营的各个领域中，包括采购、销售、收付款、筹资、投资、财务核算及报告等等所有的经营管理活动。以下将以采购和销售业务为例，举例列示不相容职责的要求：（1）企业采购与付款业务的不相容职责至少包括：请购与审批；询价与确定供应商；采购合同的订立与审核；采购、验收与相关会计记录；付款的申请、审批与执行。（2）销售与收款不相容职责至少应当包括：客户信用调查评估与销售合同的审批签订；销售合同的审批、签订与办理发货；销售货款的确认、回收与相关会计记录；销售退回货品的验收、处置与相关会计记录；销售业务经办与发票开具、管理；坏账准备的计提与审批、坏账的核销与审批。,1、不相容职责稽核-业务举例,互斥职责设置流程,业务流程,业务活动,互斥设置,审批通过,导出,导入,提交,进入互斥职责稽核环节,Excel(xls)文档Excel(csv)文档XML文档,业务流程,业务活动,互斥职责,1,2,3,关键流程：是指在企业的经营管理活动中，如果出现弊端或过失，会给企业造成不可挽回的重大损失的某些重要的业务流程。对于关键业务流程企业要给予更多的重视和关注。主业务流程：是指在企业的经营活动中，主业务流程及其子业务流程共同构成一个完整的业务，那么这个业务流程即是主业务流程。在后续的互斥设置和互斥稽核等操作中，均以主业务流程为核心进行应用。业务流程跨公司跨公司的业务流程：是指企业集团当中的某些业务流程所涉及的业务活动跨多个公司或分支结构。所跨公司范围为当前登录用户在权限管理中已经被授权的所有公司。同时，业务流程中的所跨公司，也是对应业务活动的公司范围。,1、不相容职责稽核-相关基础设置,业务流程设置流程,业务流程,确定主流程,确定关键流程,指定所属公司,封存,基本信息,Excel(xls)文档Excel(csv)文档XML文档,不再进入后续环节,导入,导出,业务流程,业务活动,互斥职责,1,2,3,业务活动是业务流程中具体的业务环节，它包括整个业务流程里各业务关键点。通过每个业务流程节点下的业务活动组，展现当前业务流程的具体工作内容和流程信息。业务活动与业务流程共同构成一个完整的业务链条。企业的各层级岗位和人员的操作权限与业务流程、业务活动紧密相关。通过系统中业务活动的设置能够对岗位、人员等权限分配情况进行监控。,1、不相容职责稽核-相关基础设置,业务活动设置流程,业务活动,指定功能权限,指定所属公司,封存,基本信息,Excel(xls)文档Excel(csv)文档XML文档,不再进入后续环节,导入,导出,业务流程,权限对应,用户,角色,权限管理,业务流程,业务活动,互斥职责,1,2,3,业务活动是业务流程中具体的业务环节，它包括整个业务流程里各业务关键点。通过每个业务流程节点下的业务活动组，展现当前业务流程的具体工作内容和流程信息。业务活动与业务流程共同构成一个完整的业务链条。企业的各层级岗位和人员的操作权限与业务流程、业务活动紧密相关。通过系统中业务活动的设置能够对岗位、人员等权限分配情况进行监控。,1、不相容职责稽核-相关基础设置,在企业的各种业务活动中，某些业务活动的权限、职责是要相互分离的，如在核算业务中要求现金银行会计和出纳不能由同一个人来担任，又或对于记账凭证的登记和审核不能由同一个角色来执行，以上这些就是互斥职责。在企业的内部控制管理过程中，对职责互斥的审查工作尤为重要，互斥职责设置就是对业务活动中互相制约、互相冲突的活动根据法规和各种工作要求执行人工设置，从而在互斥职责稽核时能够对冲突的职责进行检查、监控和管理。,1、不相容职责稽核-相关基础设置-互斥职责设置,职责互斥稽核是指稽核不相容职责在系统中应用而发生的冲突情况，它是基于互斥设置做的稽核和报告。通过使用职责互斥稽核功能，能够快速做出互斥报警，使企业能够及时做出职责权限的调整，防止不相容职责的错误和弊端的发生和蔓延,1、不相容职责稽核-执行稽核,主业务流程,执行稽核,稽核结果,正常,错误,互斥,错误详情,互斥详情,导出稽核结果矩阵,职责互斥稽核报告,发送邮件,1、不相容职责稽核-稽核总体应用流程,三、产品功能简介2.系统授权检查及报告,1、系统权限检查及报告-场景介绍,在企业管理中，为了明确不同管理层次的决策权限，达到提高运营效率、规避风险的目的，企业均需实施严密的权限分配。同时，权限分配与管理也是企业内部控制管理当中的重点内容及手段。根据上述管理要求，各企业均会制定权限指引手册或文件，作为权限分配的指导性文件。而当企业应用ERP系统后，由于大部分核心业务及财务处理均在信息系统中执行，因此，企业权限的执行大部分将在软件系统中进行；执行方法如下：（1）企业需要按照权限分配的要求，将企业的职务、人员分别设置到软件系统中；（2）按照权限指引的内容分别在软件系统为相应的职务或者用户授权。当企业的大部分权限内容均体现在软件系统中后，则需要软件系统能够透明简洁的提供权限全景查询并输出权限全景报告，以作为企业权限管理控制的依据。因此，NC系统需要支持权限体系的全景查询及报告的应用。,权限管理,选择查看公司,对应用户,对应角色,对应业务活动,对应公司,对应功能,对应角色,对应数据权限,对应功能,对应用户,对应数据权限,对应功能权限,授权全景查询,生成报告,发送邮件,生成报告,发送邮件,1、系统权限检查及报告-授权全景查询,1、系统权限检查及报告-场景介绍,在企业的权限体系中，一部分关键岗位、人员及业务的授权管理尤为重要。这些岗位或者业务流程一般均涉及企业的高风险业务或者岗位，例如：出纳岗位、采购付款业务等。因此，企业在授权管理中对于以上关键岗位和业务的关注程度较高，需要对这些内容重点进行授权管理和监控。在NC系统中，企业的关键岗位或者业务的授权情况则体现为系统中的关键角色、关键业务流程及功能点的权限分配情况。用户要求对于这些权限分配情况需要能够方便的查询及报告，以满足企业对授权进行检查和监控的目的。NC系统权限检查及报告的内容包括：关键角色权限检查及报告（有预置）关键业务流程/子流程权限检查及报告关键功能权限检查及报告（有预置）,设置关键内容,关键用户,关键角色,关键功能,导入关键信息,导出关键信息,Excel(xls)文档Excel(csv)文档XML文档,1、系统权限检查及报告-基础设置流程,关键用户授权监控,角色信息,用户权限树,关键角色授权监控,用户信息,角色权限树,关键流程授权监控,用户信息,角色信息,功能信息,关键功能授权监控,用户信息,角色信息,生成报告,发送邮件,生成报告,发送邮件,生成报告,发送邮件,生成报告,发送邮件,1、系统权限检查及报告-关键授权检查及报告,三、产品功能简介3.关键日志查询及报告,3、关键日志查询及报告-场景介绍,该场景将主要解决对软件系统中专门负责授权的权限管理员的操作安全的监控、保障和检查，从而形成完整的访问安全控制循环。在NCv56系统中，对于授权操作相关的内容包括两个部分：系统管理员root在系统管理中对于系统安全的一系列配置。权限管理员在系统中对授权的所有操作。对授权操作完整细致的日志记录和报告包括：对权限管理员授权操作的详细日志及独立报告。系统中所有权限变更的日志及报告。系统中与权限设置相关的参数的报告。,将负责在系统中授权的系统管理员的行为准确完整地记录下来，从而从第一个控制环节保证系统授权的安全性。,系统维护,开启记录管理员操作,权限管理员日志,操作时间,管理员用户名,事件类型,权限操作日志,权限管理员日志报告,3、关键日志查询及报告-权限管理员日志,对权限变更操作的有痕迹记录。提供系统权限设置的安全监督机制，使具有权限操作的人员谨慎的进行授权操作，并避免其进行舞弊。,系统维护,设置明细级别,开启日志,系统角色新增,系统用户新增,用户变更角色,角色授权变更,系统角色新增报告,系统用户新增报告,用户变更角色报告,角色授权变更报告,3、关键日志查询及报告-权限变更日志,权限配置是在用户进行角色、用户等的授权操作之前，为使系统授权环境符合用户的要求，而对系统授权的部分规则、访问安全规则进行的一些设置。,权限配置内容,启用按钮控制的节点,启用按钮权限的组织,参数配置,密码策略,权限配置报告,3、关键日志查询及报告-权限配置报告,将【权限配置报告】中密码策略、参数配置、启用按钮权限的组织和启用按钮控制的节点四个领域权限配置的变动，进行系统记录日志并输出日志报告。作为事后进行系统权限配置安全检查的依据和监控手段。,权限配置变更内容,启用按钮控制的节点,启用按钮权限的组织,参数配置,密码策略,权限配置变更报告,开启权限配置变更日志,3、关键日志查询及报告-权限配置变更报告,