XX钢铁集团公司信息系统审计案例.ppt

XX钢铁集团公司信息系统审计案例,审计署驻兰州特派员办事处段春军 成维一 周座 韩航飞,开 篇 引 言,鞍山钢铁集团公司信息系统审计的特色主要体现在探索了对企业信息化建设情况和企业主要信息系统的全面审计。2006年以来，我办先后在5个审计项目中开展了信息系统审计，审计对象均为单个的信息系统，分别重点关注了信息系统的安全性、有效性和经济性。本次信息系统审计针对多个系统，全面关注“三性”，同时，还对企业信息化规划及实施情况进行审计，关注信息化对企业主营业务的支持情况。,内 容 导 览,审计建议,信息系统审计范围,审计重点和内容,审计事项,审计发现的主要问题,鞍钢信息化建设基本情况,鞍钢信息化建设基本评价,鞍钢信息化建设基本情况,鞍山钢铁集团公司的重要业务均使用计算机管理。据调查统计，该集团公司及其下属二级单位共使用了54个信息系统，进行生产、供应、销售、财务、人事、设备、储运管理。所有二级分（子）公司都实现了财务管理电子化，部分分（子）公司使用网络化的财务管理系统，实现分、子公司及厂矿的财务集中管理。鞍山钢铁集团公司2010年2015年信息化发展规划提出了鞍钢信息系统架构模型。主要包括三层，即战略层、运营层和执行层。,鞍钢信息系统架构模型,鞍钢信息化建设基本评价,以企业战略发展规划为基础，制定企业的信息化发展规划，为企业战略发展服务。通过实施信息化建设，推动企业的技术创新和管理创新。2007年至2010年，鞍山钢铁集团信息化建设投资较大，完成了主要厂区的ERP和MES系统建设，为企业顺利实施战略发展目标提供了必要支撑。制定了较为完善的信息化管理制度，积极推进标准化建设，开展信息化培训，推动信息化队伍建设，对涉密计算机和存储介质进行严格管理，这些基础工作为提升和扩展信息化应用水平和范围、开展决策支持系统的建设奠定了基础。,鞍钢信息化建设基本评价,鞍山钢铁集团信息化建设以ERP和MES系统为核心展开，运营层和执行层信息化程度较高，战略层决策支持系统的研发工作才刚刚起步，对决策层支持还不够。信息系统安全防护建设尚未完成，未建立异地容灾备份，信息系统允许外国公司通过互联网进行远程访问，存在较大信息安全风险。二级公司之间系统集成工作不够，存在“信息孤岛”现象。信息化建设中存在浪费现象。,信息系统审计范围,审计重点和内容,（一）检查企业信息化发展规划及实施情况。（二）检查企业应用信息技术改造和提升传统 产业、推动经济结构战略性调整情况。（三）重点检查信息系统的安全性。（四）重点检查信息系统的有效性。（五）检查信息系统的经济性。（六）信息化队伍建设和绩效考核情况。,审计事项,为做好信息系统安全性和有效性审计，应从一般控制和应用控制两个方面，具体检查以下事项：1.应用控制审计（1）主数据控制审计（2）标准流程控制审计（3）接口控制审计（4）补偿控制审计2.一般控制审计（1）信息系统管理审计（2）信息系统建设过程审计（3）信息系统运行过程审计（4）信息系统维护过程审计（5）信息系统安全风险审计,审计发现的主要问题,（一）信息系统安全性方面的问题 1.国家信息安全等级保护管理办法（公通字200743号）于2007年6月发布执行，信息系统安全等级保护技术要求（GB222392008）于2008年11月1日开始实施。2011年7月鞍山钢铁集团才制定相关制度，对集团信息系统安全等级保护作出规定。同时对信息系统按重要程度进行排序和内部定级，确定ERP系统、MES系统以及运营层和战略层各信息系统按等保三级进行防护，生产调度、OA系统、人力资源系统和鞍钢网站等按等保二级进行防护。计划投入1610万元进行信息系统安全技术防护建设，目前尚未完成，信息安全存在较大风险。,审计发现的主要问题,2.根据鞍山钢铁集团与SAP公司维护服务合同，SAP公司一年内免费提供一次系统上线检查服务。2007年至2010年，SAP公司对鞍山钢铁集团SAP系统共进行了三次远程检查。SAP是德国公司，对其开放系统存在较大信息安全风险。3.鞍山钢铁集团生产、供销、财务管理均高度依赖于ERP系统，而其系统主机均部署在同一个机房，仅使用双机备份，未建立异地容灾备份，存在较大安全风险，一旦发生火灾、地震等灾害，将严重影响企业经营活动。,审计发现的主要问题,（二）信息系统有效性方面的问题 1.鞍钢国贸公司和鞍钢股份公司销售业务直接相关，但两个公司使用不同的信息系统管理其销售业务，且两个系统之间不存在接口。因相同数据多次输入，导致部分数据不一致。如两个系统2010年销售数据中，有286个订单数量或金额不一致。2.鞍钢ERP产销系统主要数据包括订单表、发货物料表和发货订单表。处理销售异议等问题时，发货物料表未正确维护，订单表与发货物料表中部分订货数量不一致。,审计发现的主要问题,3.ERP产销系统对保值销售的处理不恰当。因产品交付客户时间与客户订货时间相差约一个月，在市场价格下跌期间，客户订货价高于产品交付客户时的市场价，因此鞍山钢铁集团往往在客户下次订货时给予客户一些补偿，称为“保值销售”。鞍钢ERP产销系统在处理保值销售时，未直接冲减应收账款，而是将保值额摊入产品单价，且在合同签订和执行时均可摊入保值余额，导致同期同类产品销售价格相差巨大，或同一订单中多批发货价格不同。如2007年至2010年销售数据中，有402个订单销售价格与同月同类产品平均售价相差50%以上，425个订货产品共有4882个销售价格。,审计发现的主要问题,（三）经济性方面的问题 2006年至2007年，鞍山钢铁集团分三次购买SAP系统用户许可2050个，总金额2836万元，年维护费448万元。截止2011年9月16日，鞍山钢铁集团SAP系统共注册终端用户1687个，其中1342个登录过SAP系统，利用率仅为65%。2009年12月，为建设矿山ERP项目，鞍山钢铁集团又以UDD框架方式购买了2000个用户许可，金额为2663万元，年维护费479万元。矿山ERP项目自2011年2月开始实施，2010年实际支付用户许可账号维护费1198560元造成浪费，截至2011年9月底，因系统仍未建成，仅注册部分测试用户。,审计建议,（一）加强信息安全和信息系统运行安全保障建设。鞍山钢铁集团主营业务高度依赖于ERP系统，对ERP系统本身的高可靠性、高可用性要求很高，因此应进一步强化系统的容错、容灾建设。尽快落实信息系统安全等级保护技术要求，从技术上保障信息安全。（二）提高信息化规划的完整性和统一性。鞍山钢铁集团信息化工作应坚持统一标准、统一设计、统一建设、统一管理，加强信息系统集成工作，减少“信息孤岛”，提供集中管控的信息支撑平台，以便更好地服务于企业战略发展。,审计建议,（三）加强战略层的研究开发，支撑集团公司战略决策。在完成了以ERP和MES系统为核心的信息系统运营层和执行层的总体建设后，鞍山钢铁集团应把工作重心逐步转向高层次信息化建设，利用ERP系统及其汇集的大量数据为企业高层战略决策提供服务。,谢谢大家！,