《信息系统总体控制GCC.ppt》由会员分享,可在线阅读,更多相关《信息系统总体控制GCC.ppt(56页珍藏版)》请在三一办公上搜索。
1、信息系统总体控制GCC,2,内容提要,内部控制与COSO框架模型 信息系统总体控制GCC简介 信息系统总体控制简介 信息系统总体控制与审计关注点,3,内容提要,内部控制与COSO框架模型 内部控制的定义 COSO内部控制框架及五要素 萨奥法案404条款对内控测试的要求 中国企业内部控制规范对内控测试的要求 信息系统总体控制GCC简介 信息系统总体控制简介 信息系统总体控制与审计关注点,4,内部控制的定义,什么是内部控制?内部控制是一个活动过程的概念,由企业的董事会,管理层和其他员工共同执行,对以下方面提供合理的保证:提高经营的效率和效果(针对运营风险)财务报告可靠性(针对财务风险)遵循相关的法
2、律法规(针对法律风险),5,内部控制的定义(续),内部控制是企业为实现经营目标,保证生产经营活动的高效率运行,保护企业资源的安全完整,确保财务会计信息的正确性、可靠性、一致性,提高经济效益,促进贯彻执行既定的管理政策,而在企业内所采取的组织规划和一系列相互协调的方法、措施、程序的总称。,内部控制的定义反映了下列基本的概念:内部控制有狭义与广义的区分;狭义内部控制是一个活动过程,但一个活动过程并不一定是内部控制内部控制规根到底是由人来执行的。内控不仅仅是政策手册的制定、表单的填写和程序的运行,更需要公司各个层面人员的参与和配合;内部控制只能对企业的管理层和董事会提供合理范围内的保证,而不是绝对的
3、保证。内部控制要求其实就是企业管理要求。,6,COSO内部控制框架及五要素,COSO,全美预防虚假财务报告发起人委员会(The Committee of Sponsoring Organization of The National Commission of Fraudulent Financial Reporting)COSO 提出的内部控制整体框架报告,开创性地提出了一套内部控制整体框架体系,是公认的内部控制的标准。COSO有五个要素构成:控制环境(Control Environment);风险评估(Risk Assessment);控制活动(Control Activities);信息
4、与沟通(Information Communication);监督(Monitoring),7,COSO内部控制框架及五要素(续),诚信与道德观员工胜任能力董事会或审计委员会管理哲学和经营风格组织结构权责分派体系人力资源政策及实行,目标风险对环境变化的管理,高层经理执行绩效分析对信息处理的控制实体控制绩效指标比较分工,信息系统沟通,持续监控个别评估汇报内部控制缺陷,4.信息与沟通,3.控制活动,5.监督,2.风险评估,1.控制环境,企业运营财务报告法律法规,8,COSO内部控制框架及五要素(续),控制环境:确定了一个公司的管理哲学和经营风格,影响了员工的风险防范意识。它是内部控制其它因素的基础
5、,为内部控制提供了指导原则和结构。风险评估:是公司为了达到自身的控制目标,对相关风险进行识别和分析的过程,并为如何管理风险奠定了基础。信息与沟通:为了能够规范并及时地识别信息、捕获信息和交换信息而提供支持的信息系统,以保证每个员工完成自己的工作。有效的沟通是指信息必须在公司内自上而下、横向以及自下而上的传递。它是经营管理的信息不断获取、处理、交流与反馈的动态过程。,9,COSO内部控制框架及五要素(续),监督:由适当的人员,在适当及时的基础下,评估内控体系中控制的设计和运作情况的过程。监督由持续监控和个别评估组成,它为企业内部控制能持续有效运作提供保证。持续的监控活动在经营过程中发生,包括例行
6、的管理和监控活动,以及其他员工为其履行职务所采取的行动。个别评估用以直接监视控制系统的有效性,有时也用于对可持续性监控程序加以评估。控制活动:是帮助公司确定其管理层到一般管理者的管理指示被准确执行而建立的政策、程序和实施过程。包括批准、授权、确认计量、绩效审核、资产安全以及职责分工等。,10,COSO内部控制框架及五要素(续),COSO五要素之间的相互关系:1.控制环境是整个内控系统的基石,支撑和决定着风险评估、控制活动、信息传递和监督,是其他四个因素的基础。2.风险评估是建立控制活动的基础,只有在对风险正确的识别分析上才能管理风险,从而建立恰当的控制活动。3.控制活动是内部控制的主要组成部分
7、。4.信息沟通和传递贯穿各个要素之间,将整个内控结构凝聚在一起,是内部控制体系的生命线,为管理层监督各项活动和在必要时采取纠正措施提供了保证。5.监督位于顶端的重要位置,是内控系统的特殊构成要素,它独立于各项生产经营活动之外,是对其他内部控制的一种再控制。,11,内容提要,内部控制与COSO框架模型 信息系统总体控制GCC简介 信息系统总体控制与财务风险 信息系统总体控制定义及控制领域 PCAOB审计准则5号对GCC的要求 中国企业内部控制规范对GCC的要求 中石油信息系统总体控制简介 中石油信息系统总体控制与审计关注点,12,信息系统总体控制与财务风险,重要财务报表数据,信息技术特有的风险,
8、与信息技术相关的风险,主要业务类型,信息处理风险,重要的自动或手工业务流程,信息系统及基础设施,财务报告,信息系统用户权限,信息系统总体控制,13,信息系统总体控制与财务风险(续),信息处理风险:是指在业务流程层面导致财务报表在交易层面认定发生错误的可能性,例如某笔已经发生的销售收入没有记账。与信息技术相关的风险:是指在信息技术层面导致全自动或依赖系统半自动的过程发生错误的可能性,例如系统升级失败导致销售订单的审批功能失效。信息技术特有的风险:是指通过信息技术对信息系统中的财务数据进行非授权或不适当的修改,导致财务报表披露发生错误的可能性。信息系统总体控制(包括用户权限控制),直接针对与信息技
9、术相关的风险和信息技术特有的风险,并通过信息系统总体控制依赖下的自动控制及手工依赖系统的控制对信息处理的风险进行防范。,14,手工控制实施证据,自动控制实施证据,信息系统总体控制与财务风险(续),财务报表披露项目(重要会计科目),业务流程手工控制(手工业务流程),应用系统自动控制(系统自动业务流程),系统用户权限访问控制(权限相关的业务流程),地区公司/业务流程/业务子流程,*从内部控制和财务审计的角度来看,信息系统自动控制和用户权限访问的有效性都直接依赖于GCC的有效性,从而影响财务相关的业务流程,对财务数据的真实准确性有着间接的重要影响。,15,信息系统总体控制定义及控制领域,信息系统总体
10、控制(GCC)是指用来管理与监控信息技术活动和计算机环境的内部控制,属于内部控制框架五要素中“控制活动”的范畴,通常包括以下五个领域:,信息系统总体控制,信息技术控制环境,信息安全,系统日常运作,变更管理,项目建设管理,项目建设管理:,开发方法论、项目立项审批、项目启动阶段、项目需求分析、项目设计、系统开发实施、系统测试、数据移植、系统上线、项目验收、上线后审阅、用户培训、项目文档管理等,变更管理:,应用系统日常变更、系统环境日常变更、紧急变更管理等,系统日常运作:,机房环境控制、系统日常运作监控、批处理作业调度管理、数据备份与恢复、问题管理等,信息安全:,信息安全组织、逻辑安全、物理安全、网
11、络安全、计算机病毒防护、外部第三方信息安全管理、信息安全事件响应等,信息控制环境:,总体环境、信息与沟通、风险评估、监控等,16,信息系统总体控制定义及控制领域(续),公司业务需要完整和准确的信息支持财务报告和财务决策,公司的应用系统支持财务相关信息。信息系统总体控制与公司财务数据的真实性、准确性、完整性具有直接或间接的关系,直接或间接地降低应用系统中财务数据发生错误的可能性。有效的信息系统总体控制可以确保依赖系统所进行的应用控制、自动会计处理能够持续有效地运行;同时信息系统总体控制对于依赖系统生成信息而进行的手工控制也是十分重要的。,17,信息系统总体控制定义及控制领域(续),完善的信息系统
12、总体控制可以为应用控制的有效性提供有力的保障,从而为流程的有效性和财务数据的准确性奠定基础,信息系统总体控制薄弱,信息系统总体控制完善,某些应用控制的有效性取决于GCC的有效性,信息系统总体控制,信息系统总体控制,应用控制,应用控制,18,PCAOB审计准则5号对GCC的要求,理解或更新企业所运用的信息系统,并且评估信息技术对于财务报表的可靠性产生影响的相关风险考虑自动控制的级别和复杂程度、所运用的平台、信息安全的方法和架构、已知的问题、处理事务的性质和数量经营活动中出现的重大变化或风险,能够影响到系统稳定处理和维护交易和金额的能力,例如:交易处理的性质和数量发生变化会计和法规要求的重大变更对
13、系统和业务流程产生影响操作层面的重大变更或关键岗位人员的轮换,19,PCAOB审计准则5号对GCC的要求(续),已知或新出现的系统故障(例如:财务系统和备份数据的经常性恢复或其它类似的系统不稳定迹象)新的系统开发;新硬件和软件的安装或重大的软件升级;信息安全架构或信息安全管理的重大变更已知的数据损坏、安全漏洞或其它安全事件,能够反映潜在的内部控制问题公司组织结构出现重大变更或与IT职能或关键业务流程相关的关键政策和程序(包括手工控制)出现重大变更进行信息安全监控的结果,20,中国企业内部控制规范对GCC的要求,信息系统控制要求企业结合实际情况和计算机信息技术应用程度,建立与本企业经营管理业务相
14、适应的信息化控制流程,提高业务处理效率,减少和消除人为操纵因素,同时加强对计算机信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全、有效运用。企业内部控制基本规范,21,中国企业内部控制规范对GCC的要求(续),现有规章制度的执行是否切实遵守已经制定的规章制度,是否存在违规事项;岗位分工、职责权限和授权批准是否存在财务信息系统不相容职务混岗的现象,是否存在越权审批行为;系统开发时是否考虑了企业的实际情况和履行了相应的决策程序,系统投入使用前是否进行了充分测试,测试结果是否理想测试结果是否理想,是否定期检测系统运行情况并妥善处理潜在危险;操作规
15、范和运行控制:是否存在明确的工作程序和操作规范,是否存在分级操作管理权限;信息使用和管理控制:是否实现了数据共享、集中管理和集成应用,是否存在数据定期备份和紧急情况预案制度;中央企业财务内部控制评价工作指引,22,内容提要,内部控制与COSO框架模型 信息系统总体控制GCC简介 中石油信息系统总体控制简介 中石油的信息系统简介 中石油信息系统总体控制的发展 中石油信息系统总体控制与审计关注点,23,中石油的信息系统简介,企 业 层 面(覆 盖 所 有 地 区 公 司),ERP系统,总部会计一级集中核算系统,加油站管理系统,SAP-HR(人力资源系统),地区公司,电子商务系统,股份公司信息系统开
16、发整体架构图示,ARIS系统(业务流程管理信息系统),地区公司,国际事业SAP系统,地区公司,物资信息管理系统,地区公司,ICTS交易管理系统,24,作为信息技术总体规划中有关综合管理领域的关键组成部分,该系统重在对集团公司内部控制和业务流程进行全面的信息化管理。一方面,系统采用规范的流程设计,构建统一的风险数据库和流程数据库,在线发布,对集团公司各项重大风险数据进行集中管理,并通过流程分析与优化和流程监控,对集团公司全部业务活动和风险防范工作进行管理。另一方面采用控制测试模块,实现对风险控制措施的在线检查测试、记录、评估、改进、报告全过程系统支持,强化了对风险控制的监督检查。,中石油的信息系
17、统简介-ARIS系统,25,中石油的信息系统简介-ERP系统,ERP系统作为信息技术总体规划中ERP领域的关键组成部分,该系统是基于企业现代化管理理念,将人力资源、采购、销售、财务、生产、库存等业务功能综合集成,并已得到全面建设实施的信息系统。ERP系统强调业务流程的规范、统一及管理的标准化,对防范集团公司重大业务运营风险的有效控制的形成,提供了运行基础和技术手段,并已成为集团公司信息化高水平的重要标志。股份公司自2006年启动了基于SAP的ERP系统建设项目,股份公司范围内除大连西太(中石油非控股方)外所有地区公司均纳入ERP系统建设范围。目前已经建立系统实施规划的有76家地区公司,其余地区
18、公司也将陆续进行ERP系统建设,按照集团领导批示,到“十一五”末,基本完成建设以ERP系统为核心的信息管理方案。,26,中石油的信息系统简介-会计一级集中核算,会计一级集中核算系统是信息技术总体规划中与财务管理领域的密切相关的组成部分,该信息系统通过集中核算、前移监控关口,形成对集团公司整体财务数据的统一集中管理;该系统的运用不仅对财务风险的识别与监督提供有效的信息支持,而且对加强战略、市场、经营类的风险识别与监督提供了充分的数据分析支持。会计一级集中核算系统由6个子系统(FMIS7.0、FA7.0、FMIS内部交易平台、FMIS标准管理平台、FMIS报表管理系统和财务专用SAP)以及5个接口
19、(FMIS与ERP通用凭证接口、FA与ERP凭证接口、内部交易平台与ERP接口、FMIS与FA固定资产接口、FMIS与FA无形资产接口)构成。地区公司FMIS7.0中的财务凭证经过系统审核后,实时传递到总部的财务专用SAP系统进行收集和汇总。财务专用SAP主要负责自动对收集的凭证进行汇总,从而生成预制报表,等待总部FMIS7.0报表管理系统从财务专用SAP中取数,并最终生成对外披露的财务报表。,27,中石油信息系统总体控制的发展,信息系统总体控制实施办法中石油信息系统总体控制制度体系旨在整个公司范围内更加科学、规范地应用信息技术,提高企业在信息技术开发、实施、运营活动方面的控制能力,增强日常信
20、息工作效率,更好地保护信息资产,提高信息技术对业务的支持力度。信息系统总体控制实施办法是信息系统总体控制制度体系的重要组成部分,是根据信息系统总体控制的要求制定的、用于指导日常信息技术管理和运营的管理流程和具体要求。,28,中石油信息系统总体控制的发展(续),GCC实施办法,信息系统总体控制实施办法涵盖了IT管理和运营所涉及的各个方面:,控制环境信息技术组织人力资源管理信息沟通风险评估监控,信息安全信息安全组织逻辑安全物理安全网络安全病毒防护第三方管理安全事件响应,项目建设管理项目立项项目立项审批商业软件及硬件的外购项目建设方法论项目启动需求分析项目设计系统开发实施系统测试数据移植系统上线项目
21、验收和上线后审阅项目管理项目培训管理项目文档管理项目问题管理项目变更管理,系统变更日常变更紧急变更,信息系统日常运作机房环境控制日常监控批处理作业管理备份与恢复问题管理,29,内容提要,内部控制与COSO框架模型 信息系统总体控制GCC简介 中石油信息系统总体控制简介 中石油信息系统总体控制与审计关注点 中石油信息系统总体控制 中石油GCC例外事项举例,30,数据库,应用系统,操作系统,网络环境,增加风险水平,信息安全领域最主要的控制目标是确保财务数据的安全性。随着制度层面、网络层面、操作系统层面、应用系统层面、数据库层面系统数据的可接触性逐步增加,以上各个层面对数据安全性的威胁程度(即:风险
22、)也逐步增大。基于风险的不同,信息安全控制领域的关键控制与测试程度也在不同的信息技术层面存在差异。,中石油信息系统总体控制(信息安全),31,中石油信息系统总体控制(信息安全),32,中石油信息系统总体控制(信息安全),33,中石油信息系统总体控制(信息安全),34,中石油信息系统总体控制(信息安全),35,中石油信息系统总体控制(信息安全),36,中石油信息系统总体控制(信息安全),37,中石油信息系统总体控制(信息安全),对于测试期间系统用户权限变更的情况,审计人员不会仅依赖访谈和被测试人员提供的用户账号及权限管理表直接作为样本总量。可能通过将本次测试从系统中导出的用户清单及权限列表与上一
23、次测试导出的相应数据进行比较,大体上分析出测试期间的用户及权限变化情况,尤其是在被审计人员告知测试期间无用户权限变更的情况(无样本)下,更需要通过以上比较分析证实无样本的结论。与此相关的信息安全领域控制点为GIT5.1/GIT6.1/GIT7.1,38,蓝图设计,系统实现,用户测试,权限设计,上线准备,应用系统通用实施过程,实施项目主要成果,确认流程蓝图,项目准备,可行性分析,立项申请,项目章程/计划,数据编码规则,基本配置,组织结构,需求分析,功能开发文档,单元测试,集成测试,用户接受测试,权限设计文档,权限确认文档,用户培训文档,上线文档,数据移植,对账报告,数据转换文档,中石油信息系统总
24、体控制(项目开发),39,中石油信息系统总体控制(项目开发),40,中石油信息系统总体控制(项目开发),41,中石油信息系统总体控制(项目开发),42,中石油信息系统总体控制(项目开发),43,中石油信息系统总体控制(项目开发),项目开发测试阶段的重要意义,在于发现开发项目本身是否存在系统并不满足实际业务需要的问题。因此,在用户测试报告中审计人员不仅仅要关注是否存在测试人的确认签字,而且还要注重测试内容中是否记录了所发现的相关问题及后续处理结果,与此相关的控制点为GIT23.1;根据系统开发的规模和性质的不同,进行数据移植的时间点及方法也不同。有些系统开发是在用户接受测试完成后才进行数据移植,
25、而有些项目是在用户接受测试之前就进行数据移植。有些项目是利用应用软件工具将静态数据(主数据)和动态数据(交易数据)进行自动导入至新系统,有些项目是采用人工初始化录入的方式。但是,无论何时采用何种方式,为了保证数据移植的正确性,必须进行至少3个会计期间的新旧系统对账,与此相关的控制点为GIT24.2;对于系统最终的上线审批,相关领导的签字批准固然必不可少,但审计人员还要关注在上线审批之前的确进行了相应的测试、数据移植对账等控制活动,这些上线前的准备工作是否已经完成并体现在上线申请报告中,与此相关的控制点为GIT26.1;,44,中石油信息系统总体控制(系统变更),日常变更,系统变更管理,应用系统
26、变更,系统环境变更,系统变更清单,紧急变更,45,中石油信息系统总体控制(系统变更),46,中石油信息系统总体控制(系统变更),47,中石油信息系统总体控制(系统变更),进行系统变更的原因与项目开发的原因一致,都是系统的功能无法满足实际业务需求。与项目建设有所不同的是,系统变更没有正式的业务需求分析书及用户接受测试报告来体现系统功能变更的具体内容。因此,审计人员除了在系统变更申请表中检查申请人与审批人的签字确认,还要关注系统变更记录中是否存在对变更内容的介绍,申请/审批人是否判断了系统功能变更与实际业务的满足关系。与此相关的控制点为GIT17.3/GIT19.1:,48,中石油信息系统总体控制(日常运维),C,机房巡检,批处理作业,备份作业,D,问题管理,49,中石油信息系统总体控制(日常运维),50,中石油信息系统总体控制(日常运维),51,中石油信息系统总体控制(日常运维),52,中石油信息系统总体控制(日常运维),53,中石油信息系统总体控制例外事项举例,54,中石油信息系统总体控制例外事项举例(续),55,内容提要,内部控制与COSO框架模型 信息系统总体控制GCC简介 中石油信息系统总体控制简介 中石油信息系统总体控制与审计关注点,56,交流与沟通谢 谢!,
