内控管理-信息系统培训讲义(简化版)
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2
背景知识
内控体系建设要求企业除了有正确完整的财务报表外,还 要有确保报表正确而完整的控制体系。
由于目前公司的各个与财务数据相关的主要业务流程都有 相应的信息系统支持,对信息系统控制的一致性和有效性 方面的薄弱,将降低数据和自动控制的可依赖性,增加管 理层和审计师在测试方面的工作量,从而对整个内控体系 的有效性产生负面影响。
因此信息系统控制体系建设是公司内控体系建设的重要内 容。
3
信息系统与财务报告之间的关系
4
中国石油的SOx项目分为公司层面控制,业务活动控制、 信 息系统控制三个层面的内容
SOx内控体系包括三个层面的内容, 目前中国石油分为三个项目组来完 成相关内控体系的建设,GCC项目 组是其中的重要组成部分
项目建设管理
1
系统变更
4
信息系统日常运作
14
最终用户操作
合计
3
43
13
并根据控制矩阵和实施要求的相关要求,制定了测试计 划和测试方案
GCC 控制矩阵
GCC 实施要求 相关表单 测试计划 与测试方案
14
同时,为便于各单位的执行, 为促进GCC体系的实施,为涉及到的 每个岗位制定了一整套GCC任务单,明确了这些岗位应完成哪些 GCC任务,并说明了该任务的执行频率及需留下的证据
10
中国石油已经建立起符合内部控制及未来外审需要的信息系 统总体控制体系
GCC控制矩阵:是针对每个控制目标确定一个或多个控制点,对每个控制点的控 制频率、控制类型等控制属性进行定义,并尽量明确其现行的制度文档
GCC 控制矩阵
GCC 实施要求
相关表单
测试计划 与测试方案
11
2006年中国石油下发《信息系统总体控制实施要求》 , GCC实施要 求是对GCC规定的细化,用于指导日常的信息技术管理和运营维护
信息系统控制培训讲义
0
目录
第一章--背景知识 第二章--信息系统总体控制(简称GCC ) 第三章--信息系统应用控制(简称AC ) 第四章—电子表格控制 第五章—信息系统内控关注要点
1
背景知识
萨班尼斯―奥克斯莱法案(Sarbanes-Oxley,简称SOx法 案)
美国安然与世通事件引发保护投资者利益的广泛讨论,上 市公司财务信息披露情况的法律遵循性备受关注,2002年 美国国会出台了萨班斯-奥克斯利法案 (Sarbanes-Oxley 法案,简称SOx法案),法案中404条款对上市公司建立 与财务报告相关的内部控制并维持其有效性提出了明确要 求,管理层每年需对内控体系的运行效果进行评估,外部 审计师要对内部控制体系和控制效果进行测试并出具审计 意见。
信息系统日常运作
监控
– 需求分析
机房环境控制
信息安全 信息安全组织
– 项目设计 – 系统开发实施 – 系统测试
日常监控 批处理作业管理
逻辑安全
– 数据移植
备份与恢复
物理安全 网络安全 病毒防护 第三方管理 安全事件响应
– 系统上线
Hale Waihona Puke Baidu题管理
– 项目验收和上线后审阅
项目管理
信息安全组织、逻辑安全、物理安全、网络安 全、计算机病毒防护、外部第三方信息安全管 理、信息安全事件响应等
项目建设管理:开发方法论、项目立项审批、项目启动阶段、 项目需求分析、项目设计、系统开发实施、系 统符合性检查、数据移植、系统上线、项目验 收、上线后审阅、用户培训、项目文档管理等
变更管理:
应用系统日常变更、系统环境日常变更、紧急 变更管理等
系统日常运作:机房环境控制、系统日常运作监控、批处理作 业调度管理、数据备份与恢复、问题管理等
最终用户操作:最终用户计算机操作安全制度、电子表格管理 等
9
GCC规定是GCC体系的纲领性文件
中国石油天然气股份有限公司 信息系统总体控制规定
2005年9月
GCC规定是中国石油信息系统总体控制体系的 重要组成部分,是GCC体系的纲要性文件,制 定了与中国石油信息系统总体控制相关的政策和 制度
描述了中国石油GCC总体政策、适应范围及制 定、审批、发布、维护、更新流程
明确了中国石油在总体控制环境、信息安全、项 目建设管理、系统变更、信息系统日常运作、最 终用户操作等方面的总体规定和要求
信息系统总体控制是内控体系建设一项基础性工作,信息 系统总体控制为企业信息系统管理提出了新标准
8
GCC涵盖了IT管理和运营所涉及的各个方面
信息系统总体控制
信
项
息最
信目变 系终
息建更 统用
安设管 日户
全管理 常操
理
运作
作
信息系统控制环境
系统控制环境:总体环境、信息与沟通、风险评估、监控等
信息安全:
6
信息系统控制
信息系统控制包含的主要内容 信息系统总体控制(General Computer Control,简称
GCC ) 信息系统应用控制(Application Control,简称AC ) 电子表格控制
7
信息系统总体控制
信息系统总体控制(简称GCC), GCC所指的是内部控制中 对信息系统相关部分的控制,保证由信息系统支持的流程 控制是可靠的、生成的数据和报告是可信的。GCC涵盖了 IT管理和运营所涉及的各个方面
最终用户操作
– 项目培训管理 – 项目文档管理 – 项目问题管理
最终用户操作安全制度 电子表格管理
– 项目变更管理
12
为确保GCC体系实施的统一性和高效率,实施要求规定 了GCC表单
GCC 控制矩阵
GCC 实施要求
相关表单
测试计划 与测试方案
GCC领域
表单数量
总体管理
1
控制环境
1
信息安全
19
GCC 控制矩阵
GCC 实施要求
相关表单
测试计划 与测试方案
《实施要求 》涵盖了IT管理和运营所涉及的各个方面
控制环境
项目建设管理
系统变更
信息技术组织 人力资源管理 信息沟通 风险评估
项目立项
日常变更
– –
项目立项审批 商业软件及硬件的外购
紧急变更
项目建设方法论 – 项目启动
公司层面控制
业务活动控制
信息系统总体控制
公司层面控制 企业道德规范 公司行为方式 公司组织架构 沟通流程
业务活动控制 业务活动控制 财务相关应用系统控制
信息系统总体控制 IT 基础设施 数据库 操作系统
内控项目组
信息系统 应用控制
信息系统总体控制 (GCC)
5
目录
第一章--背景知识 第二章--信息系统总体控制(简称GCC ) 第三章--信息系统应用控制(简称AC ) 第四章—电子表格控制 第五章—信息系统内控关注要点
背景知识
内控体系建设要求企业除了有正确完整的财务报表外,还 要有确保报表正确而完整的控制体系。
由于目前公司的各个与财务数据相关的主要业务流程都有 相应的信息系统支持,对信息系统控制的一致性和有效性 方面的薄弱,将降低数据和自动控制的可依赖性,增加管 理层和审计师在测试方面的工作量,从而对整个内控体系 的有效性产生负面影响。
因此信息系统控制体系建设是公司内控体系建设的重要内 容。
3
信息系统与财务报告之间的关系
4
中国石油的SOx项目分为公司层面控制,业务活动控制、 信 息系统控制三个层面的内容
SOx内控体系包括三个层面的内容, 目前中国石油分为三个项目组来完 成相关内控体系的建设,GCC项目 组是其中的重要组成部分
项目建设管理
1
系统变更
4
信息系统日常运作
14
最终用户操作
合计
3
43
13
并根据控制矩阵和实施要求的相关要求,制定了测试计 划和测试方案
GCC 控制矩阵
GCC 实施要求 相关表单 测试计划 与测试方案
14
同时,为便于各单位的执行, 为促进GCC体系的实施,为涉及到的 每个岗位制定了一整套GCC任务单,明确了这些岗位应完成哪些 GCC任务,并说明了该任务的执行频率及需留下的证据
10
中国石油已经建立起符合内部控制及未来外审需要的信息系 统总体控制体系
GCC控制矩阵:是针对每个控制目标确定一个或多个控制点,对每个控制点的控 制频率、控制类型等控制属性进行定义,并尽量明确其现行的制度文档
GCC 控制矩阵
GCC 实施要求
相关表单
测试计划 与测试方案
11
2006年中国石油下发《信息系统总体控制实施要求》 , GCC实施要 求是对GCC规定的细化,用于指导日常的信息技术管理和运营维护
信息系统控制培训讲义
0
目录
第一章--背景知识 第二章--信息系统总体控制(简称GCC ) 第三章--信息系统应用控制(简称AC ) 第四章—电子表格控制 第五章—信息系统内控关注要点
1
背景知识
萨班尼斯―奥克斯莱法案(Sarbanes-Oxley,简称SOx法 案)
美国安然与世通事件引发保护投资者利益的广泛讨论,上 市公司财务信息披露情况的法律遵循性备受关注,2002年 美国国会出台了萨班斯-奥克斯利法案 (Sarbanes-Oxley 法案,简称SOx法案),法案中404条款对上市公司建立 与财务报告相关的内部控制并维持其有效性提出了明确要 求,管理层每年需对内控体系的运行效果进行评估,外部 审计师要对内部控制体系和控制效果进行测试并出具审计 意见。
信息系统日常运作
监控
– 需求分析
机房环境控制
信息安全 信息安全组织
– 项目设计 – 系统开发实施 – 系统测试
日常监控 批处理作业管理
逻辑安全
– 数据移植
备份与恢复
物理安全 网络安全 病毒防护 第三方管理 安全事件响应
– 系统上线
Hale Waihona Puke Baidu题管理
– 项目验收和上线后审阅
项目管理
信息安全组织、逻辑安全、物理安全、网络安 全、计算机病毒防护、外部第三方信息安全管 理、信息安全事件响应等
项目建设管理:开发方法论、项目立项审批、项目启动阶段、 项目需求分析、项目设计、系统开发实施、系 统符合性检查、数据移植、系统上线、项目验 收、上线后审阅、用户培训、项目文档管理等
变更管理:
应用系统日常变更、系统环境日常变更、紧急 变更管理等
系统日常运作:机房环境控制、系统日常运作监控、批处理作 业调度管理、数据备份与恢复、问题管理等
最终用户操作:最终用户计算机操作安全制度、电子表格管理 等
9
GCC规定是GCC体系的纲领性文件
中国石油天然气股份有限公司 信息系统总体控制规定
2005年9月
GCC规定是中国石油信息系统总体控制体系的 重要组成部分,是GCC体系的纲要性文件,制 定了与中国石油信息系统总体控制相关的政策和 制度
描述了中国石油GCC总体政策、适应范围及制 定、审批、发布、维护、更新流程
明确了中国石油在总体控制环境、信息安全、项 目建设管理、系统变更、信息系统日常运作、最 终用户操作等方面的总体规定和要求
信息系统总体控制是内控体系建设一项基础性工作,信息 系统总体控制为企业信息系统管理提出了新标准
8
GCC涵盖了IT管理和运营所涉及的各个方面
信息系统总体控制
信
项
息最
信目变 系终
息建更 统用
安设管 日户
全管理 常操
理
运作
作
信息系统控制环境
系统控制环境:总体环境、信息与沟通、风险评估、监控等
信息安全:
6
信息系统控制
信息系统控制包含的主要内容 信息系统总体控制(General Computer Control,简称
GCC ) 信息系统应用控制(Application Control,简称AC ) 电子表格控制
7
信息系统总体控制
信息系统总体控制(简称GCC), GCC所指的是内部控制中 对信息系统相关部分的控制,保证由信息系统支持的流程 控制是可靠的、生成的数据和报告是可信的。GCC涵盖了 IT管理和运营所涉及的各个方面
最终用户操作
– 项目培训管理 – 项目文档管理 – 项目问题管理
最终用户操作安全制度 电子表格管理
– 项目变更管理
12
为确保GCC体系实施的统一性和高效率,实施要求规定 了GCC表单
GCC 控制矩阵
GCC 实施要求
相关表单
测试计划 与测试方案
GCC领域
表单数量
总体管理
1
控制环境
1
信息安全
19
GCC 控制矩阵
GCC 实施要求
相关表单
测试计划 与测试方案
《实施要求 》涵盖了IT管理和运营所涉及的各个方面
控制环境
项目建设管理
系统变更
信息技术组织 人力资源管理 信息沟通 风险评估
项目立项
日常变更
– –
项目立项审批 商业软件及硬件的外购
紧急变更
项目建设方法论 – 项目启动
公司层面控制
业务活动控制
信息系统总体控制
公司层面控制 企业道德规范 公司行为方式 公司组织架构 沟通流程
业务活动控制 业务活动控制 财务相关应用系统控制
信息系统总体控制 IT 基础设施 数据库 操作系统
内控项目组
信息系统 应用控制
信息系统总体控制 (GCC)
5
目录
第一章--背景知识 第二章--信息系统总体控制(简称GCC ) 第三章--信息系统应用控制(简称AC ) 第四章—电子表格控制 第五章—信息系统内控关注要点