1、信息系统总体控制GCC内容提要 内部控制与COSO框架模型 信息系统总体控制GCC简介 信息系统总体控制简介 信息系统总体控制与审计关注点内容提要 内部控制与COSO框架模型内部控制的定义 COSO内部控制框架及五要素.萨奥法案404条款对内控测试的要求中国企业内部控制规范对内控测试的要求 信息系统总体控制GCC简介 信息系统总体控制简介 信息系统总体控制与审计关注点3内部控制的定义什么是内部控制?内部控制是个活动过程的概念,由企业的董事会,管理层和其他员 共同执行,对以下方面提供合理的保证:提高经营的效率和效果(针对运营风险)财务报告可靠性(针对财务风险)遵循相关的法律法规(针对法律风险)内
2、部控制的定义(续)内部控制是企业为实现经营目标,保证生产经营活动的高效率运行,保 护企业资源的安全完整,确保财务会计信息的正确性、可靠性、一致性,提高经济效益,促进贯彻执行既定的管理政策,而在企业内所采取的组 织规划和一系列相互协调的方法、措施、程序的总称。内部控制的定义反映了下列基本的概念:1.内部控制有狭义与广义的区分;2.狭义内部捽制是个活动过程,但个渣动过程并不一定是内部控制3.内部控制规根到底是由厶来执行的。内控不仅仅是政策手册的制定、表单的 填写和程序的运行,更需要公司各个层面人员的参与和配合;4.内部捽制只能对企业的管理层和董事会提供合理范围内的保证,而不是绝对 的保证。5.内部
3、控制要求其实就是企业管理要求。cos内部控制框架及五要素COSO,全美预防虚假财务报告发起人委员会(The Committee of Sponsoring Organization of Phe National Commission of Fraudulent Financial Reporting)coso提出的内部控制整体框架报告,开创性地提出了一套内部控 制整体框架体系,是公认的内部控制的标准。COSO有五个要素构成:控制环境(Control Environment);风险评估(Risk Assessment);控制活动(Control Activities);信息与沟通(Inform
4、ation Communication);监督(Monitoring)6COSO内部控制框架及五要素(续)持续监控信息系统沟通企业运营 y法律法规jl高层经理执行绩效分析对信息处理的控制绩效指标比较&个别评估汇报内部控制缺陷.诚信与道徳观员胜任能力董事会或审计委员会管理哲学和经营风格,组织结构权责分派体系人力资源政策及实行目标风险对环境变化的管理7COSO内部控制框架及五要素(续)控制环境:确定了一个公司的管理哲学和经营风格,影响了员的风 险防范意识。它是内部控制其它因素的基础,为内部控制提供了指导 原则和结构。风险评估:是公司为了达到自身的控制目标,对相关风险进行识别和 分析的过程,并为如何
5、管理风险奠定了基础。信息与沟通:为了能够规范并及时地识别信息、捕获信息和交换信息 而提供支持的信息系统,以保证每个员完成自己的工作。有效的沟 通是指信息必须在公司内自上而下、横向以及自下而上的传递。它是 经营管理的信息不断获取、处理、交流与反馈的动态过程。8COSO内部控制框架及五要素(续)监督:由适当的人员,在适当及时的基础下,评估内控体系中控制的设 计和运作情况的过程。监督由持续监控和个别评估组成,它为企业内部 控制能持续有效运作提供保证。持续的监控活动在经营过程中发生,包 括例行的管理和监控活动,以及其他员为其履行职务所采取的行动。个别评估用以直接监视控制系统的有效性,有时也用于对可持续
6、性监控 程序加以评估。控制活动:是帮助公司确定其管理层到般管理者的管理指示被准确执 行而建立的政策、程序和实施过程。包括批准、授权、确认计量、绩效 审核、资产安全以及职责分等。9COS内部控制框架及五要素(续)coso五要素之间的相互关系:1.控制环境是整个内控系统的基石,支撑和决定着风险评估、控制活动、信息 传递和监督,是其他四个因素的基础。2.风险评估是建立控制活动的基础,只有在对风险正确的识别分析上能管理 风险,从而建立恰当的控制活动。3.控制活动是内部控制的主要组成部分。4.信息沟通和传递贯穿各个要素之间,将整个内控结构凝聚在起,是内部控 制体系的生命线,为管理层监督各项活动和在必要时
7、采取纠正措施提供了保证。5.监督位于顶端的重要位置,是内控系统的特殊构成要素,它独立于各项生产 经营活动之外,是对其他内部控制的种再控制。10内容提要 内部控制与COSO框架模型 信息系统总体控制GCC简介信息系统总体控制与财务风险,信息系统总体控制定义及控制领域 PCAOB审计准则5号对GCC的要求中国企业内部控制规范对GCC的要求 中石油信息系统总体控制简介 中石油信息系统总体控制与审计关注点11信息系统总体控制与财务风险T T控制活动自动控制与程序手工依赖系统的控制手工控制-龜_h!Hi 1j,信息系统及基础设施财务数据 匚二匚二与信息技术相关的风险信息技术特有的风险信息系统用户权限 信
8、息系统总体控制12信息系统总体控制与财务风险_信息处理风险:是指在业务流程层面导致财务报表在交易层面认定发生错 误的可能性,例如某笔已经发生的销售收入没有记账。与信息技术相关的风险:是指在信息技术层面导致全自动或依赖系统半自 动的过程发生错误的可能性,例如系统升级失败导致销售订单的审批功能 失效。信息技术特有的风险:是指通过信息技术对信息系统中的财务数据进行非 授权或不适当的修改,导致财务报表披露发生错误的可能性。信息系统总体控制(包括用户权限控制),直接针对与信息技术相关 的风险和信息技术特有的风险,并通过信息系统总体控制依赖下的自 动控制及手工依赖系统的控制对信息处理的风险进行防范。13信
9、息系统总体控制与财务风险(续)财务报表披露项目(重要会计科目)地区公司/业务流程/业务子流程应用系统自动控制(系统自动业务流程)手工控制 实施证据自动控制 实施证据信息系统总体控制GCC从内部控制和财务审计的角度来看,信息系统自动控制和用户权限访问的有效性都直 接依赖于GCC的有效性,从而影响财务相关的业务流程,对财务数据的真实准确性有 着间接的重要影响。1,信息系统总体控制定义及控制领域信息系统总体控制(GCC)是指用来管理与监控信息技术活动和计算机环境的内部控 制,属于内部控制框架五要素中“控制活动”的范畴,通常包括以下五个领域:信息系统总体控制项目建设管理变更管理-信息控制环境:总体环境
10、、信息与沟通、风险评估、监控等系统U常运作信息安全 信息安全:信息安全组织、逻辑安全、物理安全、网络安全、计算机病毒防护、外部第三方信息安全管理、信息安全事件响应等 项目建设管理.开发方法论、项目立项审批、项目启动阶段、项.目需求分析、项目设计、系统开发实施、系统测 试、数据移植、系统上线、项目验收、上线后审 阅、用户培训、项目文档管理等-变更管理:应用系统日常变更、系统环境日常变更、紧急变更管理等 系统日常运作:机房环境控制、系统日常运作监控、批处理作业 调度管理、数据备份与恢复、问题管理等15信息系统总体控制定义及控制领埋_公司业务需要完整和准确的信息支持财务报告和财务决策,公司的应用系
11、统支持财务相关信息。信息系统总体控制与公司财务数据的真实性、准确性、完整性具有直接或 间接的关系,直接或间接地降低应用系统中财务数据发生错误的可能性。有效的信息系统总体控制可以确保依赖系统所进行的应用控制、自动会计 处理能够持续有效地运行;同时信息系统总体控制对于依赖系统生成信息 而进行的手工控制也是十分重要的。16信息系统总体控制定义及控制领域(续)完善的信息系统总体控制可以为应用控制的有效性提供有力的保障,从而为 流程的有效性和财务数据的准确性奠定基础 +.Application end Monitoring Controls*,信息系统总体控制薄弱 .言息系统总体控制*General C
12、omputer Controls tApplication and Monitoring Controls 信息系统总体控制完善 一*,应控制,某些应用控制的有效性取决于GCC的有效性17PCAOB审计准则5号对GCC的要求理解或更新企业所运用的信息系统,并且评估信息技术对于财务报表的 可靠性产生影响的相关风险 考虑自动控制的级别和复杂程度、所运用的平台、信息安全的方法和架 构、已知的问题、处理事务的性质和数量 经营活动中出现的重大变化或风险,能够影响到系统稳定处理和维护交 易和金额的能力,例如:交易处理的性质和数量发生变化 会计和法规要求的重大变更对系统和业务流程产生影响 操作层面的重大变更
13、或关键岗位人员的轮换18PCAOB审计准则5号对GCC的要求(续)已知或新出现的系统故障(例如:财务系统和备份数据的经常性 恢复或其它类似的系统不稳定迹象)新的系统开发;新硬件和软件的安装或重大的软件升级;信息安 全架构或信息安全管理的重大变更已知的数据损坏、安全漏洞或其它安全事件,能够反映潜在的内 部控制问题公司组织结构出现重大变更或与IT职能或关键业务流程相关的关 键政策和程序(包括手工控制)出现重大变更进行信息安全监控的结果19中国企业内部控制规范对GCC的要求信息系统控制要求企业结合实际情况和计算机信息技术应用程度,建立与本企业经营管理业务相适应的信息化控制流程,提高业务处 理效率,减
14、少和消除人为操纵因素,同时加强对计算机信息系统开 发与维护、访问与变更、数据输入与输出、文件储存与保管、网络 安全等方面的控制,保证信息系统安全、有效运用。-企业内部控制基本规范20中国企业内部控制规范对GCC的要求(续)现有规章制度的执行是否切实遵守已经制定的规章制度,是否存在违规 事项;岗位分、职责权限和授权批准是否存在财务信息系统不相容职务混岗 的现象,是否存在越权审批行为;系统开发时是否考虑了企业的实际情况和履行了相应的决策程序,系统 投入使用前是否进行了充分测试,测试结果是否理想测试结果是否理想,是否定期检测系统运行情况并妥善处理潜在危险;操作规范和运行控制:是否存在明确的工作程序和
15、操作规范,是否存在 分级操作管理权限;信息使用和管理控制:是否实现了数据共享、集中管理和集成应用,是 否存在数据定期备份和紧急情况预案制度;中央企业财务内部控制评价工作指引21内容提要 内部控制与COSO框架模型 信息系统总体控制GCC简介 中石油信息系统总体控制简介.中石油的信息系统简介 中石油信息系统总体控制的发展 中石油信息系统总体控制与审计关注点22中石油的信息系统简介股份公司信息系统开发整体架构图示ARIS系统(业务流程管理信息系统)企业层面(覆盖所有地区公司)国际事业I 物资信息SAP系统 管理系统23中石油的信息系统简介一ARIS系统作为信息技术总体规划中有关综合管理领域的关键组
16、成部分,该系统重 在对集团公司内部控制和业务流程进行全面的信息化管理。方面,系 统采用规范的流程设计,构建统一的风险数据库和流程数据库,在线发 布,对集团公司各项重大风险数据进行集中管理,并通过流程分析与优 化和流程监控,对集团公司全部业务活动和风险防范工作进行管理。另 一方面采用控制测试模块,实现对风险控制措施的在线检查测试、记录、评估、改进、报告全过程系统支持,强化了对风险控制的监督检查。24中石油的信息系统简介一ERP系统ERP系统作为信息技术总体规划中ERP领域的关键组成部分,该系统是基于企业现 代化管理理念,将人资源、采购、销售、财务、生产、库存等业务功能综合集 成,并已得到全面建设
17、实施的信息系统。ERP系统强调业务流程的规范、统及管 理的标准化,对防范集团公司重大业务运营风险的有效控制的形成,提供了运行 基础和技术手段,并已成为集团公司信息化高水平的重要标志。股份公司自2006年启动了基于SAP的ERP系统建设项目,股份公司范围内除大连西 太(中石油非控股方)外所有地区公司均纳入ERP系统建设范围。目前已经建立系 统实施规划的有76家地区公司,其余地区公司也将陆续进行ERP系统建设,按照集 团领导批示,到“十一五”末,基本完成建设以ERP系统为核心的信息管理方案。25中石油的信息系统简介一会计级集中核算会计级集中核算系统是信息技术总体规划中与财务管理领域的密切相关的组成
18、部 分,该信息系统通过集中核算、前移监控关口,形成对集团公司整体财务数据的统 集中管理;该系统的运用不仅对财务风险的识别与监督提供有效的信息支持,而 且对加强战略、市场、经营类的风险识别与监督提供了充分的数据分析支持。会计级集中核算系统由6个子系统(FMIS7.0、FA7.0、FMIS内部交易平台、FMIS I 标准管理平台、FMIS报表管理系统和财务专用SAP)以及5个接口(FMIS与ERP通用 凭证接口、FA与ERP凭证接口、内部交易平台与ERP接口、FMIS与FA固定资产接口、|FMIS与FA无形资产接口)构成。地区公司FMIS7.0中的财务凭证经过系统审核后,实时传递到总部的财务专用S
19、AP系统进行收集和汇总。财务专用SAP主要负责自动对 收集的凭证进行汇总,从而生成预制报表,等待总部FMIS7.0报表管理系统从财务 专用SAP中取数,并最终生成对外披露的财务报表。26中石油信息系统总体控制的发展信息系统总体控制实施办法中石油信息系统总体控制制度体系旨在整个公司范围内更加科学、规范地应用信 息技术,提高企业在信息技术开发、实施、运营活动方面的控制能力,增强日常 信息工作效率,更好地保护信息资产,提高信息技术对业务的支持力度。信息系统总体控制实施办法是信息系统总体控制制度体系的重要组成部分,是根 据信息系统总体控制的要求制定的、用于指导日常信息技术管理和运营的管理流 程和具体要
20、求。27中石油信息系统总体控制的发展(续)信息系统总体控制实施办法涵盖了IT管理和运营所涉及的各个方面:GCC 实施办法控制环境 项目建设管理 系统变更信息技术组织项目立项日常变更人力资源管理 信息沟通 风险评估项目立项审批 旧名力由商业软件及硬件的外购 糸心工史项目建设方法论项目启动 信息系统日常运作监控需求分析机房环境控制信息安全项目设计 系统开发实施 系统测试日常监控信息安全组织批处理作业管理逻辑安全数据移植备份与恢复物理安全 网络安全 病毒防护系统上线项目验收和上线后审阅项目管理项目培训管理问题管理第三方管理项目文档管理安全事件响应项目问题管理 项目变更管理28内容提要 内部控制与CO
21、SO框架模型 信息系统总体控制GCC简介 中石油信息系统总体控制简介 中石油信息系统总体控制与审计关注点中石油信息系统总体控制中石油GCC例外事项举例29中石油信息系统总体控制(信息安全)信息安全领域最主要的控制目 标是确保财务数据的安全性。随着制度层面、网络层面、操 作系统层面、应用系统层面、数据库层面系统数据的可接触 性逐步增加,以上各个层面对 数据安全性的威胁程度(即:风险)也逐步增大。基于风险的不同,信息安全控 制领域的关键控制与测试程度 也在不同的信息技术层面存在 差异。30中石油信息系统总体控制(信息安全)序号控制目标描述内部控制点描述控制 频率预防型/发现 型控制实施 证据GIT
22、-4.2能够在合理的范围内确 立信息安全管理组织及 人员的安全职责,以避 免信息系统、资源和数 据受到有意或无意的危 害或误用。信息安全管理负责人定期(每 六个月)审核本单位信息系统 总体控制活动的职责分离状况,填写职责分离检查表,将 不符情况报相关负责人。半年预防型职责分 离检查表GIT-5.1能够在合理的范围内有 效防止对信息系统(包 括数据库、操作系统、网络、应用系统)的未 授权逻辑接触。用户需要直接访问系统中的数 据时,应提出申请,由用户主 管领导和应用系统负责人进行 审批后执行。按需预防型数据库 直接访问 申W表31中石油信息系统总体控制(信息安全)序号控制目标描述内部控制点描述控制
23、 频率预防型/发现 型控制实施 证据GIT-6.1能够在合理的范围内确 保用户被授予的系统权 限和他们的工作职责相 符,满足职责分离的要 求。用户帐号的增加、变动、删除能及时执行 以减少未经授权或不恰 当的对财务报告有关的 应用系统和数据的接触应用系统、数据库、操作系统(含网络操作系统)及网络设备的帐号及权限的申请、变更 及撤销需要经过有效的审批或 授权,审批时应对照职责分离 矩阵进行检查,确保用户权限 申请和变更符合职责离要求。按需预防型用户账 号及权限 申XGIT-7.1能够在合理的范围内确 信管理层或系统所有者 定期审阅与财务报告有 关的应用系统及数据的 接触权限以确定授予权 限的适当性
24、。应用系统负责人每三个月审核 应用系统的用户账号和用户权 限设置。每季发现型用户账 号及权限 检查表GIT-7.2应用系统负责人每三个月审核 数据库管理员和操作系统管理 员的账号及权限设置。网络管理负责人每三个月审核 网络管理员的账号及权限设置。每季发现型用户账 号及权限 检查表32中石油信息系统总体控制(信息安全)卜号控制目标描述内部控制点描述控制 频率预防型/发现 型控制实施 证据GIT-9.2能够在合理的范围内确 保实施安全的口令标准 以降低由于口令被破解 而导致信息系统被非法 接触的风险。应用系统、数据库、操作系统、网络设备等系统的厂商初始口 令在系统投入使用前进行修改。按需预防型初始
25、口令 无法登录 拷屏GIT-10.2能够在合理的范围内确 保企业操作系统有适当 的安全配置以保证公司 信息系统与资源的安全。信息安全管理负责人在操作系 统管理员协助下,每年审核 Windows服务器操作系统设置 是否符合标准配置方案。每年预防型操作系 统安全配 置检查表33GIT-10.3信息安全管理负责人在操作系 统管理员协助下,每年审核 Unix服务器操作系统设置是否 符合标准配置方案。GIT-10.4信息安全管理负责人在操作系 统管理员协助下,每年审核 Linux服务器操作系统设置是 否符合标准配置方案。中石油信息系统总体控制(信息安全)序号控制目标描述内部控制点描述控制 频率预防型/发
26、现 型控制实施 证据GIT-12.3能够在合理的范围内确 保对企业内部网络些外 部Internet接入点采取 了足够的安全保障措施,以防止未经授权的外部 人员接触公司信息系统 与资源。信息安全管理负责人在网络管 理员协助下,定期(每三个月)审核防火墙配置是否符合安全 配置标准。,每季预防型防火墙 安全配置 检查表GIT-12.4各级信息技术部门对边界网络 出口进行登记,并报股份公司 信息管理部审批。各级信息技 术部门需新增边界网络出口时,应填写边界网络出口申请 表,报股份公司信息管理部 审批同意后执行。按需预防型边界网 络出口申 W表GIT-13.1网络管理员每周检查防火墙日 志,对检查结果签
27、字确认。每周发现型防火墙 日志检查 表34中石油信息系统总体控制(信息安全)序号控制目标描述内部控制点描述控制 频率预防型/发现 型控制实施 证据GIT-11.2能够在合理的范围内确 保已经建立了对数据中 心、机房及敏感的纸质 系统文件的有效的物理 安全控制,并确信其接 触仅限于授权的人员。进入机房人员需根据进入机房 的事由,经进入机房授权人员 同意后,按规定填写机房出 入登记表进入机房。机房负 责人定期检查机房出入登记情 况。扌预防型机房出 入登记表GIT-14.1能够在合理的范围内确 保对企业内部网络资源 和应用程序的远程接入 建立有效的安全机制以 防止对企业系统资源未 经授权的接触。用户
28、申请远程登录帐号时,填 写远程登录帐号申请表并 提交给用户主管领导和网络管 理负责人审批后方可,实施。端预防型远程登 录帐号申 W表GIT-14.2网络管理负责人每三个月审核 用户远程登录帐号是否合理,以及是否存在无人使用的用户 帐号,将审核结果填写在远 程登录权限检查表中,并签 字确认。每季预防型远程登 录权限检 查表35中石油信息系统总体控制(信息安全)序号控制目标描述内部控制点描述控制 频率预防型/发现 型控制实施 证据GIT-15.1能够在合理的范围内确 信企业的数据和信息系 统不被病毒或其他恶意 程序攻击。安装Windows操作系统的服务 器和个人计算机,应安装统 的防病毒软件。扌预
29、防型服务器和 个人计算 机的防病 毒软件GIT-15.2及时更新防病毒软件商发布的 最新病毒库。端预防型服务器和 个人计算 机的防病 毒软件GIT-16.2内部控制能合理提供对 第三方供应商接触企业 网络或为企业提供交易 处理的有效安全机制。第二方需要访问中国七油应用 系统生产环境时,应填写用 户帐号及权限管理表,说明 帐号使用的时间和期限,并得 到相关业务部门主管领导的批 准。访问结束或访问期限到期,应用系统管理员应及时收回相 应的访问权限按需预防型第三方用户帐 号及权限 管理表36中石油信息系统总体控制(信息安全)对于测试期间系统用户权限变更的情况,审计人员不会仅依赖访谈和被测试人员 提供
30、的用户账号及权限管理表直接作为样本总量。可能通过将本次测试从系 统中导出的用户清单及权限列表与上一次测试导出的相应数据进行比较,大体上 分析出测试期间的用户及权限变化情况,尤其是在被审计人员告知测试期间无用 户权限变更的情况(无样本)下,更需要通过以上比较分析证实无样本的结论。与此相关的信息安全领域控制点为GIT5.1/GIT6.1/GIT7.137中石油信息系统总体控制(项目开发)应用系统通用实施过程实施项目主要成果数据移植可行性分析立项申请 项目章程/计 戈需求分析 确认流程蓝图 数据编码规则基本配置组织结构 功能开发文档单元测试集成测试 用户接受测试权限设计文档 权限确认文档数据转换文档
31、 对账报告用户培训文档 上线文档38中石油信息系统总体控制(项目开发)序号控制目标描述内部控制点描述控制频茎预防型/发现 型控制实施 证据GIT-21.2能够在合理的范围内确 信程序开发由完善的程 序开发方法论指引,经 过审批后的项目建设严 格遵循该方法论实施与 财务报告有关的系统开 发和外购。项目经理应组织制订项目的 总体计划,应包括项目范围、进度管理、人员需求、沟通 管理等基本内容。按需预防型项目总 体计划GIT-21.4项目立项由项目建设单位根 据自身业务需求提出申请,本单位信息技术部门和规划 计划部门负责审批。预防型项目总 体计划39中石油信息系统总体控制(项目开发)序号控制目标描述内
32、部控制点描述控制频茎预防型/发现 型控制实施 证据GIT-22.1能够在合理的范围内确 信在新系统实施过程中,对业务功能需求和内部 控制点需求进行了清楚 的定位。需求分析报告完成后,项目 经理组织项目组与各相关方 共同讨论该报告,各方确认 报告内容后,在报告上签字。按需预防型用户需 求分析GIT-22.2相关方负责人应对项目设计 说明书进行审阅和确认。预防型用户需 求分析GIT-22.3项目进程中出现变更需求时,应填写变更申请单,由项目 经理决定是否变更,或逐级 上报项目管理办公室和项目 指导委员会进行审批。按需预防型用户需 求变更申 请-4CU中石油信息系统总体控制(项目开发)序号控制目标描
33、述内部控制点描述控制频茎预防型/发现 型控制实施 证据GIT-23.1能够在合理的范围内确 信有关财务报告的程序 开发及系统外购经过了 足够的测试并且测试结 果由适当级别的信息技 术部门和业务部门管理 层签署。系统应经过用户接受测试,用户要对测试结果进行签字确认。,按需预防型用户接 受测试报 告GIT-23.2在项目的执行过程中,应确 保开发、测试和生产环境的 隔离,项目经理应对项目执 行过程中是否符合环境隔离 要求进行审阅,并将审阅结 果反映在项目阶段报告中。按需预防型环境隔 离审阅报 告41中石油信息系统总体控制(项目开发)序号控制目标描述内部控制点描述控制频茎预防型/发现 型控制实施 证
34、据GIT-24.2能够在合理的范围内确 信新系统上线所需的移 植数据的真实性和完整 性。数据移植应进行测试,确保 数据移植的准确性和完整性,由用户对数据移植的测试结 果进行确认并签名。按需发现型数据移 植的测试 结果(并行对 账结果)GIT-26.1能够在合理的范围内确 信上线与上线后评估能 被有效执行以保证与财 务报告有关的应用系统 运行正常。在上线前,项目经理要提交 系统上线计划和上线申请 表给信息技术部门和业务 部门管理层审批,系统上线 操作人员负责将最后版本的 系统程序移植到生产环境。按需预防型上线申W表-42-中石油信息系统总体控制(项目开发)项目开发测试阶段的重要意义,在于发现开发
35、项目本身是否存在系统并不满足实际业务需 要的问题。因此,在用户测试报告中审计人员不仅仅要关注是否存在测试人的确认签字,而且还要注重测试内容中是否记录了所发现的相关问题及后续处理结果,与此相关的控制 点为GIT23.1;根据系统开发的规模和性质的不同,进行数据移植的时间点及方法也不同。有些系统开发 是在用户接受测试完成后进行数据移植,而有些项目是在用户接受测试之前就进行数据 移植。有些项目是利用应用软件工具将静态数据(主数据)和动态数据(交易数据)进行 自动导入至新系统,有些项目是采用人工初始化录入的方式。但是,无论何时采用何种方 式,为了保证数据移植的正确性,必须进行至少3个会计期间的新旧系统
36、对账,与此相关的 控制点为GIT24.2;对于系统最终的上线审批,相关领导的签字批准固然必不可少,但审计人员还要关注在上 线审批之前的确进行了相应的测试、数据移植对账等控制活动,这些上线前的准备工作是 否已经完成并体现在上线申请报告中,与此相关的控制点为GIT26.1;43中石油信息系统总体控制(系统变更)系统变更管理紧急变更系统环境变更应用系统变更系统变更清单日常变更44中石油信息系统总体控制(系统变更)序号控制目标描述内部控制点描述控制 频率预防型/发现 型控制实施 证据GIT-17.3建立系统变更管理流程,并监控该流程的有效性。用户申请变更时丿提父变更 申请,由主管领导和应用系 统负责人
37、(或信息技术部门 负责人)进行审批后实施。扌预防型变更申 请表GIT-18.1应在与生产环境相隔离 的测试环境中根据实际 需要进行适当的系统变 更的测试,确保系统变 更能满足业务需求,且 不会影响现有的处理流 程。负责变更实施及测试的信息 技术人贝建立与生产划、境相 隔离的开发/测试环境,并 在其中进行变更的开发及测 试。按需预防型变更实 施表GIT-18.3变更过程如果牵涉源代码修 改,负责变更实施的信息技 术人员填写源代码变更交 接表,在应用系统负责人 批准后,从系统源代码保管 人处取得所需的系统源代码。按需预防型源代码 变更父接 表45中石油信息系统总体控制(系统变更)序号控制目标描述内
38、部控制点描述控制频茎预防型/发现 型控制实施 证据GIT-19.1确保只有授权的、经过 测试的变更能迁移到 生产环境艾史申请人的主管领导、应 用系统负责人(或信息技术 部门负责人)共同审核程序 版本的准确性,确定是否可 以上线。按需预防型变更实 施表GIT-20.1能够在合理的范围内确 信与系统设置、应用程 序及信息技术基础架构 有关的紧急变更被有效 及安全的执行。当发生紧急変更时,相关人 员应立即通知其主管领导、应用系统负责人(或信息技 术部门负责人),在获得批 准后,可立即采取变更措施。但事后应补填变更申请 表、变更实施表等相 关表单,并经过相关负责人 的审核。预防型变更申W表、变更实 施
39、表46中石油信息系统总体控制(系统变更)进行系统变更的原因与项目开发的原因一致,都是系统的功能无法满足实际业 务需求。与项目建设有所不同的是,系统变更没有正式的业务需求分析书及用 户接受测试报告来体现系统功能变更的具体内容。因此,审计人员除了在系统 变更申请表中检查申请人与审批人的签字确认,还要关注系统变更记录中是否 存在对变更内容的介绍,申请/审批人是否判断了系统功能变更与实际业务的满 足关系。与此相关的控制点为GIT17.3/GIT19.1:47中石油信息系统总体控制(日常运维)中石油信息系统总体控制(日常运维)序号控制目标描述内部控制点描述控制频率预防型/发现 型控制实施 证据GIT-2
40、7.2能够在合理的范围内确 信信息处理及通讯传输 设备得到适当的保护并 置于定期监控下,以防 范来自于环境因素的损 坏,保证企业系统资源 的持续可用性机房负责人指定人员每天对 设备运行状况进行巡检,检 查人员对检查结果签字确认。每U发现型机房巡 检登记表49中石油信息系统总体控制(日常运维)序号控制目标描述内部控制点描述控制频茎预防型/发现 型控制实施 证据GIT-28.1管理层能确保各关键系 统的批次作业能及时正 确地执行,所有异常情 况都能及时识别和调整。应用系统管理员编制批处 理作业清单及批处理作 业详细说明书,批处理 作业详细说明书由应用系 统负责人进行审核,经批准 后遵照执行。按需预
41、防型批处理 作业清单 及批处 理作业详 细说明书GIT-28.3应用系统管理员根据具体批 处理作业的检查周期,定期 检查批处理作业的执行情况,并对检查结果签字确认。按需预防型批处理 作业检查 表50中石油信息系统总体控制(日常运维)序号控制目标描述内部控制点描述控制频室预防型/发现 型控制实施 证据GIT-29.1能够在合理的范围内确 信管理层实施适当的备 份和恢复流程以保证财 务报告所需要的数据、交易及流程能在意外情 况下得到恢复。应用系统负责人指定人员根 据应用系统的重要程度,制 订备份和恢复策略,填写备份作业清单及备份 作业详细说明书,并经过 应用系统负责人审批。按需预防型备份作 业清单
42、 及备份 作业详细 说明书GIT-29.2应用系统负责人指定人员依 据备份策略,执行备份操作,并对执行结果进行检查。按需预防型备份作 业检查表GIT-29.3应用系统负责人指定人员每 年,或备份方法、步骤或环 境发生重大变化时,进行恢 复性测试,应用系统负责人 对测试结果签字确认。每年预防型备份作 业测试表51中石油信息系统总体控制(日常运维)序号控制目标描述内部控制点描述控制频峯预防型/发现 型控制实施 证据GIT-30.2能够在合理的范围内确 信管理层实施正式的问 题管理流程,系统问题 能及时反应至适当级别 的管理层并定期进行问 题分析。帮助热线支持人员定期分类 汇总当月发生的问题,形成
43、书面分析报告,向本部门主 管领导汇报。.每月预防型问题管 理分析报 告52中石油信息系统总体控制例外事项举例序号领域控制描述控制差异描述1APD-GIT7.1应用系统负责人每 三个月审核应用系 统的用户账号和用 户权限设置。我们抽取了第二季度应用系统权限检查表,该表单的检查 结果表明未发现用户帐号及权限设置不合理的情况,并由应用 系统负责人签字确认。我们对该控制进行了重做测试,发现部 分用户帐号拥有多余敏感权限,具体问题如下:存在多余敏感权限情况:编制对外上报报表的功能权限是地区公司本部需要的权限,二 级单位用户在实际业务中并不需要此权限。而系统中存在5个非 本部单位的终端用户拥有了编制本部对
44、外上报报表的功能权限,从而导致对测试范围内本部上报财务报表非授权修改的可能性 增大。具体用户如下:终端用户001216、00121K 001217、001213和001219.XX地区公司应用系统负责人在执行第二季度的应用系统用户帐 号及权限设置检查过程中并没有发现上述用户拥有的多余敏感 权限,该控制执行无效。53中石油信息系统总体控制例外事项举例(续)序号领域控制描述内部控制点描述2PC-GIT17.3用户申请変更时也提交 变更申请,由主管领导 和应用系统负责人(或 信息技术部门负责人)进行审批后实施。1我们抽取了本次测试期间内发生的2次FMIS7.0 系统变更,发现这2次变更都没有填写相应
45、的系 统变更申请表中,也没有经过主管领导及应用 系统负责人的审批.该控制执行无效.3APD-GIT11.2进入机房人员需根据进 入机房的事由,经进入 机房授权人员同意后,按规定填写机房出入 登记表进入机房。机 房负责人定期检查机房 出入登记情况。在所抽样的45份机房出入登记记录中,有4条记 录填写不完整,其中:2条没有授权人员签字;1条既没有授权人员签字也没七离开时间;1条 没有临时进出人员姓名(填写为“维修工”)和授权人员签字,而且离开时间早于进入时间.该控制执行无效.54内容提要 内部控制与COSO框架模型 信息系统总体控制GCC简介 中石油信息系统总体控制简介 中石油信息系统总体控制与审计关注点55
浙ICP备2021020529号-1 | 浙B2-20240490 
