国美集团2007年度信息系统管理建议书.docVIP

XX公司控股有限公司 管理建议书 二零零八年三月 ? 科技与信息安全咨询服务 贵公司制定了以半年为阶段的年度IT计划，但尚未制定完整的与业务发展中长期商业目标相匹配的IT战略规划。 且目前总部信息中心虽然会对IT计划进行监督工作，但该监督工作不定期，无格式统一的工作进度报告、工作总结汇总以及会议记录等书面文档，监督、评价机制也不够标准 公司管理层尚未针对IT日常工作的汇报出台相关规定，目前仍存在相关汇报周期长，公司决策传达不够及时的问题 信息中心的管理层对于计划的项目的完成情况给与高度重视，能够及时听取项目负责人的汇报，并作到监督，但未保留监控的相关文档 无硬性指标考核IT经理的工作能力（如所需证书，相关岗位工作经验最低下限，工作质量评级指标等） 潜在的业务风险 控制环境是实施有效的内部控制的基础，是公司的整体控制的基调，位于公司治理结构的顶端。控制环境部分的问题将直接影响整个公司的战略发展方向及公司IT管理中信息沟通、具体控制活动、监控等多层面的措施。 我们的建议 我们建议 贵公司 建立一套完整的IT战略规划，该战略规划应考虑到如下内容： 信息中心定期参与业务战略会议并及时知晓企业战略目标 与企业业务部门建立高效沟通 拥有系统的IT战略规划的方法与理念 考虑到解决IT建设不能满足业务发展需要时的应对策略 制定合理的IT战略，与企业获得良好的投资回报相结合 制定战略规划关键里程碑和关键成功因素 结合ITIL、COBIT等先进的IT治理模型制定一套符合公司业务发展需要和实际业务发展规划的IT治理模型 针对IT日常工作、系统运行情况、信息系统环境风险等方面的沟通和汇报的途径和方法，在如下两个层面进行规范，并设计相关文档对沟通内容进行记录： 信息中心主管与公司高管层之间的沟通 各子公司或系统负责的IT人员与信息中心负责人之间的沟通 在有关规章制度中确定IT战略规划的监督内容，监督频率，监督标准、评价机制和监督负责人，制定适用的格式统一的纸面文档对监督工作进行记录（如工作进度报告、会议纪要、工作总结汇报等）并归档保存，考虑针对现有的OA系统中重要问题及事件分门别类、考虑制定规范统一的审批流程并将其固化在OA系统内，防止业务人员因为选择审批人选错误而导致的逾越必要控制等情况 结合人员招聘工作职责描述表，对各IT相关岗位所需的工作技能、工作经验、执行人能力、所需证书及对该岗位的具体工作内容作清晰准确的描述，如岗位设置和人员要求有变更，需及时更新相关工作职责描述，同时将该岗位规定的要求同员工年度考核有机地结合在一起，对相关绩效考核资料及证明员工工作能力的相关证据（如证书）等进行存档。 管理层回复 请在此栏回复是否同意我们所提出的上述观察所得及建议，并欢迎提出宝贵意见。 风险评估 观察所得 在审计过程中我们了解到，目前 贵公司尚未建立IT内审制度，也没有建立针对IT运行管理方面的风险评估制度和流程。具体如下： 贵公司还没有制定一套风险评估框架，定性定量地评估风险的影响；同时，没有对公司关键系统进行重要性和优先级的安全评估，确定可以接受的风险等级，并承担剩余风险的程序 管理层有不定期非正式的信息沟通，包括讨论IT计划及评估审计报告等, 但尚未制定定性或定量的标准，并且未对风险评估结果和后续跟进措施予以记录和落实 贵公司总部信息中心与子公司IT人员的管理、沟通及监督流程不统一，通过在子公司的了解，各子公司业务部门及IT人员对总部的组织架构、职责分工及问题处理上报流程等方面了解不统一 潜在的业务风险 风险评估需要管理层对完成预期目标所面临的相关风险进行识别和分析，是定义控制行为的依据。与公司其他部门相比，IT部门的内控风险更加普遍和深入。建立IT内审及IT运行管理风险评估制度可以及时识别IT环境潜在的风险，并进行相应的处理与控制，提前避免问题的发生，给公司的IT运作带来更高的保障。 我们的建议 我们建议 贵公司： 分别制定企业级与业务级的风险评估构架，该构架应包括如下几方面的因素： 定期评估信息风险 考虑到风险发生的可能性和概率 利用管理层自由讨论、战略计划、过去的审计报告等方法根据定性和定量的标准来评估风险可能带来的影响 采用一套低成本高效益的控制措施来应对风险，包括避免风险，减轻风险或接受风险 当风险被认为可以接受时，建立正式的文档与承担相关部分剩余风险的程序，包括足够的保险，合同权责和自身保险 根据上述建议，进行持续性的风险评估，并将其作为IT内部控制设计和执行、定义IT策略以及监控评价机制的一个重要手段 明确信息中心对子公司的管理责任、规范问题、时间审批流程、定期对子公司IT运行情况进行监督和考核，定期对子公司培训并实施事后监督等措施 管理层回复 请在此