信息系統(tǒng)總體控制GCC

1、信息系統(tǒng)總體控制GCC,2,內(nèi)容提要,內(nèi)部控制與COSO框架模型 信息系統(tǒng)總體控制GCC簡(jiǎn)介 信息系統(tǒng)總體控制簡(jiǎn)介 信息系統(tǒng)總體控制與審計(jì)關(guān)注點(diǎn),3,內(nèi)容提要,內(nèi)部控制與COSO框架模型 內(nèi)部控制的定義 COSO內(nèi)部控制框架及五要素 薩奧法案404條款對(duì)內(nèi)控測(cè)試的要求 中國(guó)企業(yè)內(nèi)部控制規(guī)范對(duì)內(nèi)控測(cè)試的要求 信息系統(tǒng)總體控制GCC簡(jiǎn)介 信息系統(tǒng)總體控制簡(jiǎn)介 信息系統(tǒng)總體控制與審計(jì)關(guān)注點(diǎn),4,內(nèi)部控制的定義,什么是內(nèi)部控制？ 內(nèi)部控制是一個(gè)活動(dòng)過(guò)程的概念，由企業(yè)的董事會(huì)，管理層和其他員工共同執(zhí)行，對(duì)以下方面提供合理的保證： 提高經(jīng)營(yíng)的效率和效果（針對(duì)運(yùn)營(yíng)風(fēng)險(xiǎn)） 財(cái)務(wù)報(bào)告可靠性（針對(duì)財(cái)務(wù)風(fēng)險(xiǎn)） 遵循

2、相關(guān)的法律法規(guī)（針對(duì)法律風(fēng)險(xiǎn)）,5,內(nèi)部控制的定義（續(xù)）,內(nèi)部控制是企業(yè)為實(shí)現(xiàn)經(jīng)營(yíng)目標(biāo)，保證生產(chǎn)經(jīng)營(yíng)活動(dòng)的高效率運(yùn)行，保護(hù)企業(yè)資源的安全完整，確保財(cái)務(wù)會(huì)計(jì)信息的正確性、可靠性、一致性，提高經(jīng)濟(jì)效益，促進(jìn)貫徹執(zhí)行既定的管理政策，而在企業(yè)內(nèi)所采取的組織規(guī)劃和一系列相互協(xié)調(diào)的方法、措施、程序的總稱。,內(nèi)部控制的定義反映了下列基本的概念： 內(nèi)部控制有狹義與廣義的區(qū)分； 狹義內(nèi)部控制是一個(gè)活動(dòng)過(guò)程，但一個(gè)活動(dòng)過(guò)程并不一定是內(nèi)部控制 內(nèi)部控制規(guī)根到底是由人來(lái)執(zhí)行的。內(nèi)控不僅僅是政策手冊(cè)的制定、表單的填寫和程序的運(yùn)行，更需要公司各個(gè)層面人員的參與和配合； 內(nèi)部控制只能對(duì)企業(yè)的管理層和董事會(huì)提供合理范圍內(nèi)的保

3、證，而不是絕對(duì)的保證。 內(nèi)部控制要求其實(shí)就是企業(yè)管理要求。,6,COSO內(nèi)部控制框架及五要素,COSO, 全美預(yù)防虛假財(cái)務(wù)報(bào)告發(fā)起人委員會(huì)（The Committee of Sponsoring Organization of The National Commission of Fraudulent Financial Reporting） COSO 提出的內(nèi)部控制整體框架報(bào)告，開(kāi)創(chuàng)性地提出了一套內(nèi)部控制整體框架體系，是公認(rèn)的內(nèi)部控制的標(biāo)準(zhǔn)。 COSO有五個(gè)要素構(gòu)成：控制環(huán)境（Control Environment）;風(fēng)險(xiǎn)評(píng)估（Risk Assessment）；控制活動(dòng)（Control Ac

4、tivities）;信息與溝通（Information Communication）; 監(jiān)督（Monitoring）,7,COSO內(nèi)部控制框架及五要素（續(xù)）,誠(chéng)信與道德觀 員工勝任能力 董事會(huì)或?qū)徲?jì)委員會(huì) 管理哲學(xué)和經(jīng)營(yíng)風(fēng)格 組織結(jié)構(gòu) 權(quán)責(zé)分派體系 人力資源政策及實(shí)行,目標(biāo) 風(fēng)險(xiǎn) 對(duì)環(huán)境變化的管理,高層經(jīng)理執(zhí)行績(jī)效分析 對(duì)信息處理的控制 實(shí)體控制 績(jī)效指標(biāo)比較 分工,信息系統(tǒng) 溝通,持續(xù)監(jiān)控 個(gè)別評(píng)估 匯報(bào)內(nèi)部控制缺陷,4.信息與溝通,3.控制活動(dòng),5.監(jiān)督,2.風(fēng)險(xiǎn)評(píng)估,1. 控制環(huán)境,企業(yè)運(yùn)營(yíng) 財(cái)務(wù)報(bào)告 法律法規(guī),8,COSO內(nèi)部控制框架及五要素（續(xù)）,控制環(huán)境：確定了一個(gè)公司的管理哲學(xué)和

5、經(jīng)營(yíng)風(fēng)格，影響了員工的風(fēng)險(xiǎn)防范意識(shí)。它是內(nèi)部控制其它因素的基礎(chǔ)，為內(nèi)部控制提供了指導(dǎo)原則和結(jié)構(gòu)。 風(fēng)險(xiǎn)評(píng)估：是公司為了達(dá)到自身的控制目標(biāo)，對(duì)相關(guān)風(fēng)險(xiǎn)進(jìn)行識(shí)別和分析的過(guò)程，并為如何管理風(fēng)險(xiǎn)奠定了基礎(chǔ)。 信息與溝通：為了能夠規(guī)范并及時(shí)地識(shí)別信息、捕獲信息和交換信息而提供支持的信息系統(tǒng)，以保證每個(gè)員工完成自己的工作。有效的溝通是指信息必須在公司內(nèi)自上而下、橫向以及自下而上的傳遞。它是經(jīng)營(yíng)管理的信息不斷獲取、處理、交流與反饋的動(dòng)態(tài)過(guò)程。,9,COSO內(nèi)部控制框架及五要素（續(xù)）,監(jiān)督：由適當(dāng)?shù)娜藛T，在適當(dāng)及時(shí)的基礎(chǔ)下，評(píng)估內(nèi)控體系中控制的設(shè)計(jì)和運(yùn)作情況的過(guò)程。監(jiān)督由持續(xù)監(jiān)控和個(gè)別評(píng)估組成，它為企業(yè)內(nèi)部控

6、制能持續(xù)有效運(yùn)作提供保證。持續(xù)的監(jiān)控活動(dòng)在經(jīng)營(yíng)過(guò)程中發(fā)生，包括例行的管理和監(jiān)控活動(dòng)，以及其他員工為其履行職務(wù)所采取的行動(dòng)。個(gè)別評(píng)估用以直接監(jiān)視控制系統(tǒng)的有效性，有時(shí)也用于對(duì)可持續(xù)性監(jiān)控程序加以評(píng)估。 控制活動(dòng)：是幫助公司確定其管理層到一般管理者的管理指示被準(zhǔn)確執(zhí)行而建立的政策、程序和實(shí)施過(guò)程。包括批準(zhǔn)、授權(quán)、確認(rèn)計(jì)量、績(jī)效審核、資產(chǎn)安全以及職責(zé)分工等。,10,COSO內(nèi)部控制框架及五要素（續(xù)）,COSO五要素之間的相互關(guān)系： 1.控制環(huán)境是整個(gè)內(nèi)控系統(tǒng)的基石，支撐和決定著風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息傳遞和監(jiān)督，是其他四個(gè)因素的基礎(chǔ)。 2.風(fēng)險(xiǎn)評(píng)估是建立控制活動(dòng)的基礎(chǔ)，只有在對(duì)風(fēng)險(xiǎn)正確的識(shí)別分析上才

7、能管理風(fēng)險(xiǎn)，從而建立恰當(dāng)?shù)目刂苹顒?dòng)。 3.控制活動(dòng)是內(nèi)部控制的主要組成部分。 4.信息溝通和傳遞貫穿各個(gè)要素之間，將整個(gè)內(nèi)控結(jié)構(gòu)凝聚在一起，是內(nèi)部控制體系的生命線，為管理層監(jiān)督各項(xiàng)活動(dòng)和在必要時(shí)采取糾正措施提供了保證。 5.監(jiān)督位于頂端的重要位置，是內(nèi)控系統(tǒng)的特殊構(gòu)成要素，它獨(dú)立于各項(xiàng)生產(chǎn)經(jīng)營(yíng)活動(dòng)之外，是對(duì)其他內(nèi)部控制的一種再控制。,11,內(nèi)容提要,內(nèi)部控制與COSO框架模型 信息系統(tǒng)總體控制GCC簡(jiǎn)介 信息系統(tǒng)總體控制與財(cái)務(wù)風(fēng)險(xiǎn) 信息系統(tǒng)總體控制定義及控制領(lǐng)域 PCAOB審計(jì)準(zhǔn)則5號(hào)對(duì)GCC的要求 中國(guó)企業(yè)內(nèi)部控制規(guī)范對(duì)GCC的要求 中石油信息系統(tǒng)總體控制簡(jiǎn)介 中石油信息系統(tǒng)總體控制與審計(jì)關(guān)

8、注點(diǎn),12,信息系統(tǒng)總體控制與財(cái)務(wù)風(fēng)險(xiǎn),重要財(cái)務(wù)報(bào)表數(shù)據(jù),信息技術(shù)特有的風(fēng)險(xiǎn),與信息技術(shù)相關(guān)的風(fēng)險(xiǎn),主要業(yè)務(wù)類型,信息處理風(fēng)險(xiǎn),重要的自動(dòng)或手工業(yè)務(wù)流程,信息系統(tǒng)及基礎(chǔ)設(shè)施,財(cái)務(wù)報(bào)告,財(cái)務(wù)數(shù)據(jù),信息系統(tǒng)用戶權(quán)限,信息系統(tǒng)總體控制,13,信息系統(tǒng)總體控制與財(cái)務(wù)風(fēng)險(xiǎn)（續(xù)）,信息處理風(fēng)險(xiǎn)：是指在業(yè)務(wù)流程層面導(dǎo)致財(cái)務(wù)報(bào)表在交易層面認(rèn)定發(fā)生錯(cuò)誤的可能性， 例如某筆已經(jīng)發(fā)生的銷售收入沒(méi)有記賬。 與信息技術(shù)相關(guān)的風(fēng)險(xiǎn)：是指在信息技術(shù)層面導(dǎo)致全自動(dòng)或依賴系統(tǒng)半自動(dòng)的過(guò)程發(fā)生錯(cuò)誤的可能性，例如系統(tǒng)升級(jí)失敗導(dǎo)致銷售訂單的審批功能失效。 信息技術(shù)特有的風(fēng)險(xiǎn)：是指通過(guò)信息技術(shù)對(duì)信息系統(tǒng)中的財(cái)務(wù)數(shù)據(jù)進(jìn)行非授權(quán)或不適當(dāng)?shù)?/p>

9、修改，導(dǎo)致財(cái)務(wù)報(bào)表披露發(fā)生錯(cuò)誤的可能性。 信息系統(tǒng)總體控制（包括用戶權(quán)限控制），直接針對(duì)與信息技術(shù)相關(guān)的風(fēng)險(xiǎn)和信息技術(shù)特有的風(fēng)險(xiǎn)，并通過(guò)信息系統(tǒng)總體控制依賴下的自動(dòng)控制及手工依賴系統(tǒng)的控制對(duì)信息處理的風(fēng)險(xiǎn)進(jìn)行防范。,14,手工控制實(shí)施證據(jù),自動(dòng)控制實(shí)施證據(jù),信息系統(tǒng)總體控制與財(cái)務(wù)風(fēng)險(xiǎn)（續(xù)）,財(cái)務(wù)報(bào)表披露項(xiàng)目(重要會(huì)計(jì)科目),業(yè)務(wù)流程手工控制（手工業(yè)務(wù)流程）,應(yīng)用系統(tǒng)自動(dòng)控制 （系統(tǒng)自動(dòng)業(yè)務(wù)流程）,系統(tǒng)用戶權(quán)限訪問(wèn)控制（權(quán)限相關(guān)的業(yè)務(wù)流程）,地區(qū)公司 / 業(yè)務(wù)流程 / 業(yè)務(wù)子流程,* 從內(nèi)部控制和財(cái)務(wù)審計(jì)的角度來(lái)看，信息系統(tǒng)自動(dòng)控制和用戶權(quán)限訪問(wèn)的有效性都直接依賴于GCC的有效性，從而影響財(cái)務(wù)相

10、關(guān)的業(yè)務(wù)流程，對(duì)財(cái)務(wù)數(shù)據(jù)的真實(shí)準(zhǔn)確性有著間接的重要影響。,15,信息系統(tǒng)總體控制定義及控制領(lǐng)域,信息系統(tǒng)總體控制（GCC）是指用來(lái)管理與監(jiān)控信息技術(shù)活動(dòng)和計(jì)算機(jī)環(huán)境的內(nèi)部控制，屬于內(nèi)部控制框架五要素中“控制活動(dòng)”的范疇，通常包括以下五個(gè)領(lǐng)域：,信息系統(tǒng)總體控制,信息技術(shù)控制環(huán)境,信息安全,系統(tǒng)日常運(yùn)作,變更管理,項(xiàng)目建設(shè)管理,項(xiàng)目建設(shè)管理：,開(kāi)發(fā)方法論、項(xiàng)目立項(xiàng)審批、項(xiàng)目啟動(dòng)階段、項(xiàng)目需求分析、項(xiàng)目設(shè)計(jì)、系統(tǒng)開(kāi)發(fā)實(shí)施、系統(tǒng)測(cè)試、數(shù)據(jù)移植、系統(tǒng)上線、項(xiàng)目驗(yàn)收、上線后審閱、用戶培訓(xùn)、項(xiàng)目文檔管理等,變更管理：,應(yīng)用系統(tǒng)日常變更、系統(tǒng)環(huán)境日常變更、緊急變更管理等,系統(tǒng)日常運(yùn)作：,機(jī)房環(huán)境控制、系統(tǒng)日

11、常運(yùn)作監(jiān)控、批處理作業(yè)調(diào)度管理、數(shù)據(jù)備份與恢復(fù)、問(wèn)題管理等,信息安全：,信息安全組織、邏輯安全、物理安全、網(wǎng)絡(luò)安全、計(jì)算機(jī)病毒防護(hù)、外部第三方信息安全管理、信息安全事件響應(yīng)等,信息控制環(huán)境：,總體環(huán)境、信息與溝通、風(fēng)險(xiǎn)評(píng)估、監(jiān)控等,16,信息系統(tǒng)總體控制定義及控制領(lǐng)域（續(xù)）,公司業(yè)務(wù)需要完整和準(zhǔn)確的信息支持財(cái)務(wù)報(bào)告和財(cái)務(wù)決策，公司的應(yīng)用系統(tǒng)支持財(cái)務(wù)相關(guān)信息。 信息系統(tǒng)總體控制與公司財(cái)務(wù)數(shù)據(jù)的真實(shí)性、準(zhǔn)確性、完整性具有直接或間接的關(guān)系，直接或間接地降低應(yīng)用系統(tǒng)中財(cái)務(wù)數(shù)據(jù)發(fā)生錯(cuò)誤的可能性。 有效的信息系統(tǒng)總體控制可以確保依賴系統(tǒng)所進(jìn)行的應(yīng)用控制、自動(dòng)會(huì)計(jì)處理能夠持續(xù)有效地運(yùn)行；同時(shí)信息系統(tǒng)總體控制

12、對(duì)于依賴系統(tǒng)生成信息而進(jìn)行的手工控制也是十分重要的。,17,信息系統(tǒng)總體控制定義及控制領(lǐng)域（續(xù)）,完善的信息系統(tǒng)總體控制可以為應(yīng)用控制的有效性提供有力的保障，從而為流程的有效性和財(cái)務(wù)數(shù)據(jù)的準(zhǔn)確性奠定基礎(chǔ),信息系統(tǒng)總體控制薄弱,信息系統(tǒng)總體控制完善,某些應(yīng)用控制的有效性取決于GCC的有效性,信息系統(tǒng)總體控制,信息系統(tǒng)總體控制,應(yīng)用控制,應(yīng)用控制,18,PCAOB審計(jì)準(zhǔn)則5號(hào)對(duì)GCC的要求,理解或更新企業(yè)所運(yùn)用的信息系統(tǒng)，并且評(píng)估信息技術(shù)對(duì)于財(cái)務(wù)報(bào)表的可靠性產(chǎn)生影響的相關(guān)風(fēng)險(xiǎn) 考慮自動(dòng)控制的級(jí)別和復(fù)雜程度、所運(yùn)用的平臺(tái)、信息安全的方法和架構(gòu)、已知的問(wèn)題、處理事務(wù)的性質(zhì)和數(shù)量 經(jīng)營(yíng)活動(dòng)中出現(xiàn)的重大變

13、化或風(fēng)險(xiǎn)，能夠影響到系統(tǒng)穩(wěn)定處理和維護(hù)交易和金額的能力，例如：交易處理的性質(zhì)和數(shù)量發(fā)生變化 會(huì)計(jì)和法規(guī)要求的重大變更對(duì)系統(tǒng)和業(yè)務(wù)流程產(chǎn)生影響 操作層面的重大變更或關(guān)鍵崗位人員的輪換,19,PCAOB審計(jì)準(zhǔn)則5號(hào)對(duì)GCC的要求（續(xù)）,已知或新出現(xiàn)的系統(tǒng)故障(例如：財(cái)務(wù)系統(tǒng)和備份數(shù)據(jù)的經(jīng)常性恢復(fù)或其它類似的系統(tǒng)不穩(wěn)定跡象) 新的系統(tǒng)開(kāi)發(fā)；新硬件和軟件的安裝或重大的軟件升級(jí)；信息安全架構(gòu)或信息安全管理的重大變更 已知的數(shù)據(jù)損壞、安全漏洞或其它安全事件，能夠反映潛在的內(nèi)部控制問(wèn)題 公司組織結(jié)構(gòu)出現(xiàn)重大變更或與IT職能或關(guān)鍵業(yè)務(wù)流程相關(guān)的關(guān)鍵政策和程序(包括手工控制)出現(xiàn)重大變更 進(jìn)行信息安全監(jiān)控的結(jié)果

14、,20,中國(guó)企業(yè)內(nèi)部控制規(guī)范對(duì)GCC的要求,信息系統(tǒng)控制要求企業(yè)結(jié)合實(shí)際情況和計(jì)算機(jī)信息技術(shù)應(yīng)用程度，建立與本企業(yè)經(jīng)營(yíng)管理業(yè)務(wù)相適應(yīng)的信息化控制流程，提高業(yè)務(wù)處理效率，減少和消除人為操縱因素，同時(shí)加強(qiáng)對(duì)計(jì)算機(jī)信息系統(tǒng)開(kāi)發(fā)與維護(hù)、訪問(wèn)與變更、數(shù)據(jù)輸入與輸出、文件儲(chǔ)存與保管、網(wǎng)絡(luò)安全等方面的控制，保證信息系統(tǒng)安全、有效運(yùn)用。 企業(yè)內(nèi)部控制基本規(guī)范,21,中國(guó)企業(yè)內(nèi)部控制規(guī)范對(duì)GCC的要求（續(xù)）,現(xiàn)有規(guī)章制度的執(zhí)行是否切實(shí)遵守已經(jīng)制定的規(guī)章制度，是否存在違規(guī)事項(xiàng)； 崗位分工、職責(zé)權(quán)限和授權(quán)批準(zhǔn)是否存在財(cái)務(wù)信息系統(tǒng)不相容職務(wù)混崗的現(xiàn)象，是否存在越權(quán)審批行為； 系統(tǒng)開(kāi)發(fā)時(shí)是否考慮了企業(yè)的實(shí)際情況和履行了

15、相應(yīng)的決策程序，系統(tǒng)投入使用前是否進(jìn)行了充分測(cè)試，測(cè)試結(jié)果是否理想測(cè)試結(jié)果是否理想，是否定期檢測(cè)系統(tǒng)運(yùn)行情況并妥善處理潛在危險(xiǎn)； 操作規(guī)范和運(yùn)行控制：是否存在明確的工作程序和操作規(guī)范，是否存在分級(jí)操作管理權(quán)限； 信息使用和管理控制：是否實(shí)現(xiàn)了數(shù)據(jù)共享、集中管理和集成應(yīng)用，是否存在數(shù)據(jù)定期備份和緊急情況預(yù)案制度； 中央企業(yè)財(cái)務(wù)內(nèi)部控制評(píng)價(jià)工作指引,22,內(nèi)容提要,內(nèi)部控制與COSO框架模型 信息系統(tǒng)總體控制GCC簡(jiǎn)介 中石油信息系統(tǒng)總體控制簡(jiǎn)介 中石油的信息系統(tǒng)簡(jiǎn)介 中石油信息系統(tǒng)總體控制的發(fā)展 中石油信息系統(tǒng)總體控制與審計(jì)關(guān)注點(diǎn),23,中石油的信息系統(tǒng)簡(jiǎn)介,企 業(yè) 層 面（ 覆 蓋 所 有 地

16、 區(qū) 公 司 ）,ERP系統(tǒng),總部會(huì)計(jì)一級(jí) 集中核算系統(tǒng),加油站 管理系統(tǒng),SAP-HR （人力資源系統(tǒng)）,地區(qū)公司,電子商務(wù)系統(tǒng),股份公司信息系統(tǒng)開(kāi)發(fā)整體架構(gòu)圖示,ARIS系統(tǒng)（業(yè)務(wù)流程管理信息系統(tǒng)）,地區(qū)公司,國(guó)際事業(yè) SAP系統(tǒng),地區(qū)公司,物資信息 管理系統(tǒng),地區(qū)公司,ICTS交易 管理系統(tǒng),24,作為信息技術(shù)總體規(guī)劃中有關(guān)綜合管理領(lǐng)域的關(guān)鍵組成部分，該系統(tǒng)重在對(duì)集團(tuán)公司內(nèi)部控制和業(yè)務(wù)流程進(jìn)行全面的信息化管理。一方面，系統(tǒng)采用規(guī)范的流程設(shè)計(jì)，構(gòu)建統(tǒng)一的風(fēng)險(xiǎn)數(shù)據(jù)庫(kù)和流程數(shù)據(jù)庫(kù)，在線發(fā)布，對(duì)集團(tuán)公司各項(xiàng)重大風(fēng)險(xiǎn)數(shù)據(jù)進(jìn)行集中管理，并通過(guò)流程分析與優(yōu)化和流程監(jiān)控，對(duì)集團(tuán)公司全部業(yè)務(wù)活動(dòng)和風(fēng)險(xiǎn)防范

17、工作進(jìn)行管理。另一方面采用控制測(cè)試模塊，實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)控制措施的在線檢查測(cè)試、記錄、評(píng)估、改進(jìn)、報(bào)告全過(guò)程系統(tǒng)支持，強(qiáng)化了對(duì)風(fēng)險(xiǎn)控制的監(jiān)督檢查。,中石油的信息系統(tǒng)簡(jiǎn)介-ARIS系統(tǒng),25,中石油的信息系統(tǒng)簡(jiǎn)介- ERP系統(tǒng),ERP系統(tǒng)作為信息技術(shù)總體規(guī)劃中ERP領(lǐng)域的關(guān)鍵組成部分，該系統(tǒng)是基于企業(yè)現(xiàn)代化管理理念，將人力資源、采購(gòu)、銷售、財(cái)務(wù)、生產(chǎn)、庫(kù)存等業(yè)務(wù)功能綜合集成, 并已得到全面建設(shè)實(shí)施的信息系統(tǒng)。ERP系統(tǒng)強(qiáng)調(diào)業(yè)務(wù)流程的規(guī)范、統(tǒng)一及管理的標(biāo)準(zhǔn)化，對(duì)防范集團(tuán)公司重大業(yè)務(wù)運(yùn)營(yíng)風(fēng)險(xiǎn)的有效控制的形成，提供了運(yùn)行基礎(chǔ)和技術(shù)手段，并已成為集團(tuán)公司信息化高水平的重要標(biāo)志。 股份公司自2006年啟動(dòng)了基于

18、SAP的ERP系統(tǒng)建設(shè)項(xiàng)目，股份公司范圍內(nèi)除大連西太（中石油非控股方）外所有地區(qū)公司均納入ERP系統(tǒng)建設(shè)范圍。目前已經(jīng)建立系統(tǒng)實(shí)施規(guī)劃的有76家地區(qū)公司，其余地區(qū)公司也將陸續(xù)進(jìn)行ERP系統(tǒng)建設(shè)，按照集團(tuán)領(lǐng)導(dǎo)批示，到“十一五”末，基本完成建設(shè)以ERP系統(tǒng)為核心的信息管理方案。,26,中石油的信息系統(tǒng)簡(jiǎn)介-會(huì)計(jì)一級(jí)集中核算,會(huì)計(jì)一級(jí)集中核算系統(tǒng)是信息技術(shù)總體規(guī)劃中與財(cái)務(wù)管理領(lǐng)域的密切相關(guān)的組成部分，該信息系統(tǒng)通過(guò)集中核算、前移監(jiān)控關(guān)口，形成對(duì)集團(tuán)公司整體財(cái)務(wù)數(shù)據(jù)的統(tǒng)一集中管理；該系統(tǒng)的運(yùn)用不僅對(duì)財(cái)務(wù)風(fēng)險(xiǎn)的識(shí)別與監(jiān)督提供有效的信息支持，而且對(duì)加強(qiáng)戰(zhàn)略、市場(chǎng)、經(jīng)營(yíng)類的風(fēng)險(xiǎn)識(shí)別與監(jiān)督提供了充分的數(shù)據(jù)分析

19、支持。 會(huì)計(jì)一級(jí)集中核算系統(tǒng)由6個(gè)子系統(tǒng)（FMIS7.0、FA7.0、FMIS內(nèi)部交易平臺(tái)、FMIS標(biāo)準(zhǔn)管理平臺(tái)、FMIS報(bào)表管理系統(tǒng)和財(cái)務(wù)專用SAP）以及5個(gè)接口（FMIS與ERP通用憑證接口、FA與ERP憑證接口、內(nèi)部交易平臺(tái)與ERP接口、FMIS與FA固定資產(chǎn)接口、FMIS與FA無(wú)形資產(chǎn)接口）構(gòu)成。地區(qū)公司FMIS7.0中的財(cái)務(wù)憑證經(jīng)過(guò)系統(tǒng)審核后，實(shí)時(shí)傳遞到總部的財(cái)務(wù)專用SAP系統(tǒng)進(jìn)行收集和匯總。財(cái)務(wù)專用SAP主要負(fù)責(zé)自動(dòng)對(duì)收集的憑證進(jìn)行匯總，從而生成預(yù)制報(bào)表，等待總部FMIS7.0報(bào)表管理系統(tǒng)從財(cái)務(wù)專用SAP中取數(shù)，并最終生成對(duì)外披露的財(cái)務(wù)報(bào)表。,27,中石油信息系統(tǒng)總體控制的發(fā)展,信

20、息系統(tǒng)總體控制實(shí)施辦法 中石油信息系統(tǒng)總體控制制度體系旨在整個(gè)公司范圍內(nèi)更加科學(xué)、規(guī)范地應(yīng)用信息技術(shù)，提高企業(yè)在信息技術(shù)開(kāi)發(fā)、實(shí)施、運(yùn)營(yíng)活動(dòng)方面的控制能力，增強(qiáng)日常信息工作效率，更好地保護(hù)信息資產(chǎn)，提高信息技術(shù)對(duì)業(yè)務(wù)的支持力度。 信息系統(tǒng)總體控制實(shí)施辦法是信息系統(tǒng)總體控制制度體系的重要組成部分，是根據(jù)信息系統(tǒng)總體控制的要求制定的、用于指導(dǎo)日常信息技術(shù)管理和運(yùn)營(yíng)的管理流程和具體要求。,28,中石油信息系統(tǒng)總體控制的發(fā)展(續(xù)),GCC 實(shí)施辦法,信息系統(tǒng)總體控制實(shí)施辦法涵蓋了IT管理和運(yùn)營(yíng)所涉及的各個(gè)方面:,控制環(huán)境 信息技術(shù)組織 人力資源管理 信息溝通 風(fēng)險(xiǎn)評(píng)估 監(jiān)控,信息安全 信息安全組織 邏

21、輯安全 物理安全 網(wǎng)絡(luò)安全 病毒防護(hù) 第三方管理 安全事件響應(yīng),項(xiàng)目建設(shè)管理 項(xiàng)目立項(xiàng) 項(xiàng)目立項(xiàng)審批 商業(yè)軟件及硬件的外購(gòu) 項(xiàng)目建設(shè)方法論 項(xiàng)目啟動(dòng) 需求分析 項(xiàng)目設(shè)計(jì) 系統(tǒng)開(kāi)發(fā)實(shí)施 系統(tǒng)測(cè)試 數(shù)據(jù)移植 系統(tǒng)上線 項(xiàng)目驗(yàn)收和上線后審閱 項(xiàng)目管理 項(xiàng)目培訓(xùn)管理 項(xiàng)目文檔管理 項(xiàng)目問(wèn)題管理 項(xiàng)目變更管理,系統(tǒng)變更 日常變更 緊急變更,信息系統(tǒng)日常運(yùn)作 機(jī)房環(huán)境控制 日常監(jiān)控 批處理作業(yè)管理 備份與恢復(fù) 問(wèn)題管理,29,內(nèi)容提要,內(nèi)部控制與COSO框架模型 信息系統(tǒng)總體控制GCC簡(jiǎn)介 中石油信息系統(tǒng)總體控制簡(jiǎn)介 中石油信息系統(tǒng)總體控制與審計(jì)關(guān)注點(diǎn) 中石油信息系統(tǒng)總體控制 中石油GCC例外事項(xiàng)舉例,3

22、0,數(shù)據(jù)庫(kù),應(yīng)用系統(tǒng),操作系統(tǒng),網(wǎng)絡(luò)環(huán)境,增加風(fēng)險(xiǎn)水平,信息安全領(lǐng)域最主要的控制目標(biāo)是確保財(cái)務(wù)數(shù)據(jù)的安全性。隨著制度層面、網(wǎng)絡(luò)層面、操作系統(tǒng)層面、應(yīng)用系統(tǒng)層面、數(shù)據(jù)庫(kù)層面系統(tǒng)數(shù)據(jù)的可接觸性逐步增加，以上各個(gè)層面對(duì)數(shù)據(jù)安全性的威脅程度（即：風(fēng)險(xiǎn)）也逐步增大?；陲L(fēng)險(xiǎn)的不同，信息安全控制領(lǐng)域的關(guān)鍵控制與測(cè)試程度也在不同的信息技術(shù)層面存在差異。,中石油信息系統(tǒng)總體控制（信息安全）,31,中石油信息系統(tǒng)總體控制（信息安全）,32,中石油信息系統(tǒng)總體控制（信息安全）,33,中石油信息系統(tǒng)總體控制（信息安全）,34,中石油信息系統(tǒng)總體控制（信息安全）,35,中石油信息系統(tǒng)總體控制（信息安全）,36,中石油

23、信息系統(tǒng)總體控制（信息安全）,37,中石油信息系統(tǒng)總體控制（信息安全）,對(duì)于測(cè)試期間系統(tǒng)用戶權(quán)限變更的情況，審計(jì)人員不會(huì)僅依賴訪談和被測(cè)試人員提供的用戶賬號(hào)及權(quán)限管理表直接作為樣本總量。可能通過(guò)將本次測(cè)試從系統(tǒng)中導(dǎo)出的用戶清單及權(quán)限列表與上一次測(cè)試導(dǎo)出的相應(yīng)數(shù)據(jù)進(jìn)行比較，大體上分析出測(cè)試期間的用戶及權(quán)限變化情況，尤其是在被審計(jì)人員告知測(cè)試期間無(wú)用戶權(quán)限變更的情況（無(wú)樣本）下，更需要通過(guò)以上比較分析證實(shí)無(wú)樣本的結(jié)論。與此相關(guān)的信息安全領(lǐng)域控制點(diǎn)為GIT5.1/GIT6.1/GIT7.1,38,藍(lán)圖 設(shè)計(jì),系統(tǒng) 實(shí)現(xiàn),用戶 測(cè)試,權(quán)限 設(shè)計(jì),上線 準(zhǔn)備,應(yīng)用系統(tǒng)通用實(shí)施過(guò)程,實(shí)施項(xiàng)目主要成果,確認(rèn)

24、流程藍(lán)圖,項(xiàng)目 準(zhǔn)備,可行性分析,立項(xiàng)申請(qǐng),項(xiàng)目章程/計(jì)劃,數(shù)據(jù)編碼規(guī)則,基本配置,組織結(jié)構(gòu),需求分析,功能開(kāi)發(fā)文檔,單元測(cè)試,集成測(cè)試,用戶接受測(cè)試,權(quán)限設(shè)計(jì)文檔,權(quán)限確認(rèn)文檔,用戶培訓(xùn)文檔,上線文檔,數(shù)據(jù)移植,對(duì)賬報(bào)告,數(shù)據(jù)轉(zhuǎn)換文檔,中石油信息系統(tǒng)總體控制（項(xiàng)目開(kāi)發(fā)）,39,中石油信息系統(tǒng)總體控制（項(xiàng)目開(kāi)發(fā)）,40,中石油信息系統(tǒng)總體控制（項(xiàng)目開(kāi)發(fā)）,41,中石油信息系統(tǒng)總體控制（項(xiàng)目開(kāi)發(fā)）,42,中石油信息系統(tǒng)總體控制（項(xiàng)目開(kāi)發(fā)）,43,中石油信息系統(tǒng)總體控制（項(xiàng)目開(kāi)發(fā)）,項(xiàng)目開(kāi)發(fā)測(cè)試階段的重要意義，在于發(fā)現(xiàn)開(kāi)發(fā)項(xiàng)目本身是否存在系統(tǒng)并不滿足實(shí)際業(yè)務(wù)需要的問(wèn)題。因此，在用戶測(cè)試報(bào)告中審計(jì)人員不僅僅要關(guān)注是否存在測(cè)試人的確認(rèn)簽字，而且還要注重測(cè)試內(nèi)容中是否記錄了所發(fā)現(xiàn)的相關(guān)問(wèn)題及后續(xù)處理結(jié)果，與此相關(guān)的控制點(diǎn)為GIT23.1;根據(jù)系統(tǒng)開(kāi)發(fā)的規(guī)模和性質(zhì)的不同，進(jìn)行數(shù)據(jù)移植的時(shí)間點(diǎn)及方法也不同。有些系統(tǒng)開(kāi)發(fā)是在用戶接受測(cè)試完成后才進(jìn)行數(shù)據(jù)移植，而有些項(xiàng)目是在用戶接受測(cè)試之前就進(jìn)行數(shù)據(jù)移植。有些項(xiàng)目是利用應(yīng)用軟件工具將靜態(tài)數(shù)據(jù)（主