内控管理-信息系统培训讲义简化版

1、信息系统控制培训讲义,目录,第一章-背景知识 第二章-信息系统总体控制（简称GCC ) 第三章-信息系统应用控制（简称AC ） 第四章电子表格控制 第五章信息系统内控关注要点,背景知识,萨班尼斯奥克斯莱法案(Sarbanes-Oxley，简称SOx法案 ) 美国安然与世通事件引发保护投资者利益的广泛讨论，上市公司财务信息披露情况的法律遵循性备受关注，2002年美国国会出台了萨班斯-奥克斯利法案 （Sarbanes-Oxley法案，简称SOx法案），法案中404条款对上市公司建立与财务报告相关的内部控制并维持其有效性提出了明确要求，管理层每年需对内控体系的运行效果进行评估，外部审计师要对内部控制

2、体系和控制效果进行测试并出具审计意见。,背景知识,内控体系建设要求企业除了有正确完整的财务报表外，还要有确保报表正确而完整的控制体系。 由于目前公司的各个与财务数据相关的主要业务流程都有相应的信息系统支持，对信息系统控制的一致性和有效性方面的薄弱，将降低数据和自动控制的可依赖性，增加管理层和审计师在测试方面的工作量，从而对整个内控体系的有效性产生负面影响。 因此信息系统控制体系建设是公司内控体系建设的重要内容 。,信息系统与财务报告之间的关系,公司层面控制 企业道德规范 公司行为方式 公司组织架构 沟通流程 业务活动控制 业务活动控制 财务相关应用系统控制 信息系统总体控制 IT 基础设施 数

3、据库 操作系统,内控项目组,信息系统 应用控制,信息系统总体控制 (GCC),中国石油的SOx项目分为公司层面控制，业务活动控制、 信息系统控制三个层面的内容,SOx内控体系包括三个层面的内容，目前中国石油分为三个项目组来完成相关内控体系的建设，GCC项目组是其中的重要组成部分,目录,第一章-背景知识 第二章-信息系统总体控制（简称GCC ) 第三章-信息系统应用控制（简称AC ） 第四章电子表格控制 第五章信息系统内控关注要点,信息系统控制,信息系统控制包含的主要内容 信息系统总体控制（General Computer Control，简称GCC ） 信息系统应用控制（Application

4、 Control，简称AC ） 电子表格控制,信息系统总体控制,信息系统总体控制(简称GCC), GCC所指的是内部控制中对信息系统相关部分的控制，保证由信息系统支持的流程控制是可靠的、生成的数据和报告是可信的。GCC涵盖了IT管理和运营所涉及的各个方面 信息系统总体控制是内控体系建设一项基础性工作，信息系统总体控制为企业信息系统管理提出了新标准,GCC涵盖了IT管理和运营所涉及的各个方面,系统控制环境：,总体环境、信息与沟通、风险评估、监控等,项目建设管理：,开发方法论、项目立项审批、项目启动阶段、项目需求分析、项目设计、系统开发实施、系统符合性检查、数据移植、系统上线、项目验收、上线后审阅

5、、用户培训、项目文档管理等,变更管理：,应用系统日常变更、系统环境日常变更、紧急变更管理等,系统日常运作：,机房环境控制、系统日常运作监控、批处理作业调度管理、数据备份与恢复、问题管理等,信息安全：,信息安全组织、逻辑安全、物理安全、网络安全、计算机病毒防护、外部第三方信息安全管理、信息安全事件响应等,最终用户操作：,最终用户计算机操作安全制度、电子表格管理等,GCC规定是GCC体系的纲领性文件,GCC规定是中国石油信息系统总体控制体系的重要组成部分，是GCC体系的纲要性文件，制定了与中国石油信息系统总体控制相关的政策和制度 描述了中国石油GCC总体政策、适应范围及制定、审批、发布、维护、更新

6、流程 明确了中国石油在总体控制环境、信息安全、项目建设管理、系统变更、信息系统日常运作、最终用户操作等方面的总体规定和要求,中国石油已经建立起符合内部控制及未来外审需要的信息系统总体控制体系,GCC控制矩阵：是针对每个控制目标确定一个或多个控制点，对每个控制点的控制频率、控制类型等控制属性进行定义，并尽量明确其现行的制度文档,GCC 实施要求,GCC 控制矩阵,测试计划 与测试方案,相关表单,2006年中国石油下发信息系统总体控制实施要求 ， GCC实施要求是对GCC规定的细化，用于指导日常的信息技术管理和运营维护,GCC 实施要求,GCC 控制矩阵,测试计划 与测试方案,相关表单,实施要求

7、涵盖了IT管理和运营所涉及的各个方面,控制环境 信息技术组织 人力资源管理 信息沟通 风险评估 监控,信息安全 信息安全组织 逻辑安全 物理安全 网络安全 病毒防护 第三方管理 安全事件响应,项目建设管理 项目立项 项目立项审批 商业软件及硬件的外购 项目建设方法论 项目启动 需求分析 项目设计 系统开发实施 系统测试 数据移植 系统上线 项目验收和上线后审阅 项目管理 项目培训管理 项目文档管理 项目问题管理 项目变更管理,系统变更 日常变更 紧急变更,信息系统日常运作 机房环境控制 日常监控 批处理作业管理 备份与恢复 问题管理,最终用户操作 最终用户操作安全制度 电子表格管理,为确保GC

8、C体系实施的统一性和高效率，实施要求规定了GCC表单,GCC 实施要求,GCC 控制矩阵,测试计划 与测试方案,相关表单,43,合计,并根据控制矩阵和实施要求的相关要求，制定了测试计划和测试方案,GCC 实施要求,GCC 控制矩阵,测试计划 与测试方案,相关表单,任务单是依据实施要求中对各级部门和岗位需要完成的GCC相关工作的要求而编制任务单明确了这些岗位应完成哪些GCC任务，并说明了该任务的执行频率及需留下的证据,公司层面涉及： 信息管理部门、财务部门、规划计划部门、法律部门、人事部门、销售部门、物资部门等重要岗位的GCC任务单 GCC_信息系统总体控制实施要求_按岗位,同时，为便于各单位的

9、执行， 为促进GCC体系的实施，为涉及到的每个岗位制定了一整套GCC任务单，明确了这些岗位应完成哪些GCC任务，并说明了该任务的执行频率及需留下的证据,公司层面，共确定了24个岗位的209项GCC任务,需要说明的是，这里列出的岗位与实际的组织机构岗位和人员并不一一对应，存在一人多岗和一岗多人的情况 GCC_信息系统总体控制实施要求_按岗位,小计：227,小计：209,GCC各相关岗位和人员应根据以下的步骤和方法来执行具体的GCC任务,1,从“岗位人员对照表”中明确自己的岗位角色,2,在“GCC任务单”中查看本岗位需要完成哪些任务,3,对具体某些任务，到“实施要求”对应章节中查看其详细内容和要求

10、,4,执行“实施要求”要求，根据需要填写表单，并注意表单填写的注意事项,5,每月将其相关的GCC证据提交给本部门文档管理人员，由文档管理人员统一归档,“岗位人员对照表”,GCC任务单”,“GCC实施要求”,“GCC相关表单”,“归档文件清单”,所需的相关文档,以“信息安全管理负责人”为例,1,从“岗位人员对照表”中明确自己的岗位角色,2,在GCC任务单中查看本岗位需要完成哪些任务,3,对具体某些任务，到“实施要求”对应章节中查看其详细内容和要求,4,执行“实施要求”要求，根据需要填写表单，并注意表单填写的注意事项,5,每月将其相关的GCC证据提交给本部门文档管理人员，由文档管理人员统一归档,信

11、息系统总体控制要求及关注要点,信息系统安全子领域 信息系统日常运作子领域 变更管理子领域 项目建设管理子领域 控制环境子领域,信息安全子领域,注：黄色表示风险级别：高，我将在后面详细解释。,控制措施描述： 信息安全管理负责人定期（每六个月）审核本单位信息系统总体控制活动的职责分离状况，填写职责分离检查表，将不符情况报相关负责人。,控制措施：制度和流程AQ1,信息安全子领域控制要求及关注要点,控制要求： 根据GCC实施要求的要求，确定 1、特权用户需填写特权用户备案登记表。 2、了解职责分离的情况。 3、该控制点与GCC其他控制点均有关联，因此，该控制点要求对其他所有的控制点的职责分离情况进行归

12、纳和总结。,控制措施：制度和流程AQ1,信息安全子领域控制要求及关注要点,风险描述： 职责不分离会引发一人兼任多职的舞弊行为，造成无法对其活动进行有效的监控和稽核。 风险级别：高,主要例外情况： 1、职责分离检查表中各项内容的填写未发现不符合控制要求的情况，但实际上却存在职责不分离，即一人兼多职的问题。 2、应用系统管理员具备对操作系统和数据库的特权访问的情况。,控制措施描述： 应用系统、数据库、操作系统（含网络操作系统）及网络设备的帐号及权限的申请、变更及撤销需要经过有效的审批或授权，审批时应对照职责分离矩阵进行检查，确保用户权限申请和变更符合职责分离要求。,控制措施：逻辑安全AQ2,信息安

13、全子领域控制要求及关注要点,控制要求： 通过现有应用系统来检查表单： 对通用角色与系统终端用户对照表中的任何变更严格按照申请、变更和撤销的流程执行。 明确应用系统相关的临时权限及其对应的角色，对临时权限管理应遵循用户帐号及权限管理的规定。是否填写了用户帐号及权限管理表及主数据变更申请表。 通过表单来检查现有应用系统： 对照用户帐号及权限管理表检查应用系统中的实际情况，检查系统实际情况是否与表单一致。 检查职责分离情况： 对照职责分离矩阵检查现有应用系统和表单中是否存在职责不分离的情况。,控制措施：逻辑安全AQ2,主要例外情况： 1、账户新增与撤销、岗位与角色变动没有填写相应的用户帐号及权限管理

14、表。 2、用户帐号及权限管理表的申请、审批和授权存在问题。,信息安全子领域控制要求及关注要点,风险描述： 应用系统终端用户权限申请审批控制是权限正确分配的基本控制之一，未执行该控制或者控制执行不到位，将有可能导致应用系统实际权限分配不符合控制要求，如果审计同时发现系统实际的权限存在问题，则将加大产生实质性漏洞的风险。 风险级别：高,控制措施描述： 应用系统负责人每三个月审核应用系统的用户账号和用户权限设置。,控制措施：逻辑安全AQ4,信息安全子领域控制要求及关注要点,控制要求： 应用系统权限检查结果应与应用系统权限检查表的内容保持一致。 对已撤销权限的用户帐号应加强管理，提供相应的表单作为支持

15、证据。,控制措施：逻辑安全AQ4,主要例外情况： 1、应用系统权限检查表的检查结果与系统中实际的检查结果不一致。体现在临时授权、多余权限没有填写用户帐号及权限检查表。 2、系统中已经被撤销的用户帐号没有填写对应的用户帐号及权限检查表。,信息安全子领域控制要求及关注要点,风险描述： 临时权限、多余权限和多余账号具备对所有会计科目产生重大影响的风险，因此，多余权限和账号的管理要遵循信息系统总体控制的要求。如果审计同时发现系统实际的权限存在问题，则将加大产生实质性漏洞的风险。 风险级别：高,控制措施描述： 应用系统负责人每三个月审核数据库管理员和操作系统管理员的账号及权限设置。,控制措施：逻辑安全A

16、Q5,信息安全子领域控制要求及关注要点,控制要求： 登录到操作系统，检查所有的操作系统用户及其权限。 登录到数据库系统，检查各个库的用户及其权限。 获取相关管理员和负责人对操作系统数据库的账号及权限理解和认识，关注其风险意识。,控制措施：逻辑安全AQ5,主要例外情况： 1、操作系统及数据库权限检查表与系统不一致，对于操作系统及数据库中的账号没有进行登记和管理。 2、不熟悉操作系统及数据库中的特权账号和特权组。对某些具有特权权限的账户没有进行管理，没有填写相应的特权用户备案登记表。,信息安全子领域控制要求及关注要点,风险描述： 账号通常是高风险的，也是最容易遭受攻击或被忽略的控制点。授权则会对该

17、风险点可能造成的危害程度产生直接影响。对操作系统和数据库的账号和权限的控制是应用系统和业务流程控制过程的基础。账号和权限问题会导致实质性缺陷。 风险级别：中,控制措施描述： 信息安全管理负责人在操作系统管理员协助下，每年审核服务器操作系统设置是否符合标准配置方案。,控制措施：逻辑安全AQ7、AQ8、AQ9,信息安全子领域控制要求及关注要点,控制要求： 严格按照服务器安全配置检查表对操作系统进行配置检查。例如，应删除或关闭不用的用户帐号和组账号。 获取相关管理员和负责人对操作系统安全配置的了解程度，关注其风险意识。,控制措施：逻辑安全AQ7、AQ8、AQ9,主要例外情况： 服务器安全配置检查表的

18、填写与系统中实际情况不符。没有按照服务器安全配置检查表逐项对操作系统进行安全配置和安全检查。例如，没有删除多余用户帐号和组账号，没有关闭不必要的服务，没有对操作系统中的账号和权限进行分析和检查，使用特权账号执行终端登录等。,信息安全子领域控制要求及关注要点,风险描述： 该项控制是信息系统安全控制中最基本、重要的监督性控制之一，如果配置不符合要求，则意味着检查控制也失效，个别系统管理人员不知道如何检查或者对标准理解模糊，可能会对系统的安全性产生重大的隐患。 风险级别：高,控制措施描述： 用户需要直接访问系统中的数据时，应提出申请，由用户主管领导和应用系统负责人进行审批后执行。,控制措施：逻辑安全

19、AQ11,信息安全子领域控制要求及关注要点,控制要求： 对所有涉及数据直接访问的申请严格按照GCC关于数据直接访问的要求加以执行。 获取相关管理员和负责人对操作系统安全配置的了解程度，着重考察其风险意识。,控制措施：逻辑安全AQ11,主要例外情况： 对于数据库直接访问没有填写对应的数据直接访问申请表。 没有建立数据直接访问的风险意识。,信息安全子领域控制要求及关注要点,风险描述： 数据直接访问需要通过有效的方式加以检查和控制，检查的目的是控制敏感数据被恶意访问、篡改和伪造。控制的目的是提供有效的监督和管理手段。数据直接访问的随意性管理会导致实质性漏洞。 风险级别：高,控制措施描述： 机房负责人

20、授权需要经常进出机房的人员，并记录在授权人员名单中。,控制措施：物理安全AQ12,信息安全子领域控制要求及关注要点,控制要求： 对于机房长期授权人员的任何变动应进行及时的更新和归档。 对机房的物理访问应加以控制和记录，例如门禁系统、授权管理、陪同机制、登记机制等。,控制措施：物理安全AQ12,主要例外情况： 对进出机房的长期授权人员的管理控制措施不足，在长期授权人员发生变动后，没有及时更新机房授权人员名单。,信息安全子领域控制要求及关注要点,风险描述： 机房授权访问属于物理层面的接触，物理访问很容易得到验证，但却很难被管理。容易产生无人管理，或授权混乱的情况。 风险级别：中,控制措施描述： 用

21、户申请远程登录帐号时，填写远程登录帐号申请表并提交给用户主管领导和网络管理负责人审批后方可实施。,控制措施：网络安全AQ15,信息安全子领域控制要求及关注要点,控制要求： 对所有跨边界网络访问生产网的情况进行一次集中的检查。 检查是否使用物理隔离技术。 获取相关管理员和负责人对网络风险的认知程度。,控制措施：网络安全AQ15,主要例外情况： 1、没有对远程接入访问的情况进行有效的管理。没有对远程访问进行审批和授权。 2、不了解远程访问，无法对远程访问进行有效的管理。,信息安全子领域控制要求及关注要点,风险描述： 远程访问通常属于授权却未登记，并未进行有效的管理。远程访问通常不容易被查证，但却很

22、容易对系统产生严重的危害，原因是远程访问通常具有较高的权限。 风险级别：中,控制措施描述： 安装Windows操作系统的服务器和个人计算机，应安装统一的防病毒软件。及时更新防病毒软件商发布的最新病毒库。定期（至少每月）进行病毒扫描。,控制措施：病毒防范AQ18,信息安全子领域控制要求及关注要点,控制要求： 使用统一的防病毒软件，采用集中管理的模式。 管理员应定期更新和升级病毒管理服务器的病毒库、引擎版本。 管理员应对客户端扫描制定策略，并跟踪可能对系统产生严重影响的病毒。,控制措施描述： 第三方需要访问中国石油应用系统生产环境时，应填写用户帐号及权限管理表，说明帐号使用的时间和期限，并得到相关

23、业务部门主管领导的批准。访问结束或访问期限到期，应用系统管理员应及时收回相应的访问权限。,控制措施：供应商管理（外包服务）AQ17,控制要求： 涉及到任何第三方的访问(包括外包服务)应严格按照GCC的实施要求的要求进行控制。严格审查外包服务合同，确定服务等级协议(SLA) 。SLA通常作为一种控制手段。 加强对外包服务商实施工作的可控性和可监管，加强对对应管理员的培训。,信息系统安全子领域控制要求及关注要点,主要例外情况： 1、发现名实不符，具体实施工作通常是由外包服务商提供，而不是通过相应的管理员进行操作。 2、相关管理员和负责人对其所负责的工作不熟悉，不能对外包商的工作进行有效的控制。 3

24、、没有合理的监控机制，相关负责人和主管领导对外包服务不甚了解，不清楚外包商何时、何地对应用系统进行了何种变更。,控制措施：病毒防范AQ18,信息安全子领域控制要求及关注要点,风险描述： 病毒会导致以下情况的发生：关键系统的可用性降低，敏感数据被窃取、篡改或伪造，应用系统可靠性降低等。 风险级别：高,主要例外情况： 1、未使用统一的防病毒软件。 2、所使用的防病毒软件的病毒库未进行及时的更新。 3、防病毒软件未进行定期扫描,信息系统总体控制要求及关注要点,信息系统安全子领域 信息系统日常运作子领域 变更管理子领域 项目建设管理子领域 控制环境子领域,信息系统日常运作子领域主要控制措施控制要求及关

25、注要点,注：黄色表示出现例外情况的风险级别-高.我将在后面详细解释。,控制措施描述： 机房负责人指定人员每天对设备运行状况进行巡检，检查人员对检查结果签字确认。,控制措施：系统日常运作监控YW1,控制要求： 测试相关人员是否每天对机房进行巡检，如何检查，以及是否在设备巡检记录表进行记录。,主要例外情况： 1、检查人没有签字确认 2、设备巡检记录表中显示某天某巡检人员进行了巡检，但是检查AQ13的机房出入记录发现，该巡检人员当天并没有进入机房。,信息系统日常运作子领域控制要求及关注要点,控制措施：系统日常运作监控YW1,信息系统日常运作子领域控制要求及关注要点,风险描述： 对机房关键通讯及计算机

26、设备进行巡检，是保证信息系统正常运行并防范来自外界环境损害的基本控制之一，为执行该控制或者控制执行不到位，将有可能导致通讯和信息系统遭到外界环境因素的损害，给整个信息系统带来风险。机房巡检记录表是机房巡检的关键证据，如果记录表没有检查人签字确认，将导致审计师无法有效地对该等控制点实施测试，也将影响到管理层实施检查的有效性。 风险级别：高,控制措施描述： 应用系统管理员应每周检查应用系统日志，审查是否有错误信息或异常登录信息。,控制措施：系统日常运作监控YW2,控制要求： 通过日志审查确立应用系统的运行状况。 检查应用系统的日志是否存在漏洞。,主要例外情况： 1、应用系统日志保存不完整 2、某些

27、系统没有日志功能，如FA5.0以及部分财务关联复杂系统。,信息系统日常运作子领域控制要求及关注要点,控制措施：系统日常运作监控YW2,信息系统日常运作子领域控制要求及关注要点,风险描述： 日志是应用系统检查的一项基本证据，是供审计师进行测试的主要依据，如果日志记录不完整、不完善，将导致审计师无法有效地对该等控制点实施测试，也将影响到管理层实施检查的有效性；再者，日志检查表是对每周检查结果的记录，采取一次性打印的方式很大程度上说明没有有效执行控制。 风险级别：高,控制措施描述： 网络管理员每周检查防火墙日志，对检查结果签字确认。,控制措施：系统日常运作监控YW3,控制要求： 查看防火墙日志的报警

28、级别的配置 查看防火墙的日志记录。,主要例外情况： 1、防火墙日志保存不完整 2、发现防火墙日志中的异常情况报警之后，没有填写问题记录日志表,信息系统日常运作子领域控制要求及关注要点,控制措施：系统日常运作监控YW3,信息系统日常运作子领域控制要求及关注要点,风险描述： 防火墙日志通常会如实记录所有对外部网络的连接和访问情况，通过日志可以很快地查看本地网络是否遭受探测、渗透和入侵。日志证据是审计师进行测试的主要依据，如果日志记录不完整、不完善，将导致审计师无法有效地对该等控制点实施测试，也将影响到管理层实施检查的有效性。 风险级别：高,控制措施描述： 应用系统负责人指定人员根据应用系统的重要程

29、度，制订备份和恢复策略，填写备份作业清单及备份作业详细说明书，并经过应用系统负责人审批。,控制措施：备份与恢复YW6,控制要求： 审查应用系统备份方案或策略。 查看备份相关表单的填制是否规范、合理和完整。,主要例外情况： 1、备份作业清单中的备份作业在备份作业详细说明书中没有体现。 2、备份作业清单中的备份频率与备份作业详细说明书中的备份频率不一致。 3、备份作业清单中的备份作业编号与备份作业详细说明书中的编号不一致。 4、备份作业详细说明书中的“异常情况通告”填写为“无异常情况”，实际上应该填写为出现异常情况的处理方式，如“通知应用系统负责人”。,信息系统日常运作子领域控制要求及关注要点,控

30、制措施：备份与恢复YW6,信息系统日常运作子领域控制要求及关注要点,风险描述： 备份和恢复策略的管理是保证业务数据完整、有效的重要措施，备份作业清单及备份作业详细说明书是备份和恢复策略管理的基本证据，是供审计师进行测试的主要依据，如果填写不完整或不能体现实际的备份情况，将导致备份管理混乱，并对审计师的判断产生重大影响。 风险级别：中,控制措施描述： 应用系统负责人指定人员依据备份策略，执行备份操作，并对执行结果进行检查。,控制措施：备份与恢复YW7,控制要求： 检查数据库及生产系统的备份频率、方式、介质等。 检查备份操作是否保留有证据。,主要例外情况： 1、检查备份日志，发现备份日志与备份作业

31、记录表记录的情况不一致。如备份日志中显示没有进行备份，但是备份作业记录表中记录为“正常”。 2、备份日志保存不完整，导致无法检查备份作业记录表与系统实际是否一致。,信息系统日常运作子领域控制要求及关注要点,控制措施：备份与恢复YW7,信息系统日常运作子领域控制要求及关注要点,风险描述： 只有按照已经制定备份和恢复策略进行业务数据备份和恢复工作并进行备份作业记录表和记录备份、恢复日志才能保证业务数据完整、有效，备份作业记录表和备份、恢复日志是供审计师进行测试的主要依据，如果填写或记录不完整，将导致审计师无法有效地对该等控制点实施测试，也将影响到管理层实施检查的有效性。 风险级别：高,控制措施描述

32、： 应用系统负责人指定人员每年，或备份方法、步骤或环境发生重大变化时，进行恢复性测试，应用系统负责人对测试结果签字确认。,控制措施：备份与恢复YW8,控制要求： 针对备份策略的变化，及环境发生变化，检查是否执行了备份恢复测试。 获取相关管理员和负责任对备份恢复测试的理解程度。,主要例外情况： 系统发生重大变更时，没有进行备份恢复性测试。如FMIS安装清欠模块，没有进行备份恢复性测试。,信息系统日常运作子领域控制要求及关注要点,控制措施：备份与恢复YW8,信息系统日常运作子领域控制要求及关注要点,风险描述： 对备份数据进行恢复性测试是保证备份有效性的主要措施， 备份恢复测记录表是供审计师进行测试

33、的主要依据，如果填写或记录不完整，将导致审计师无法有效地对该等控制点实施测试，也将影响到管理层实施检查的有效性。 风险级别：低,控制措施描述： 帮助热线支持人员定期分类汇总当月发生的问题，形成书面分析报告，向本部门主管领导汇报。,控制措施：问题管理YW9,控制要求： 确认各应用系统的热线帮助人员。 确认问题管理是否系统化，热线帮助人员是否具有主动、积极的态度。,主要例外情况： 1、有问题发生，但是没有填写问题记录日志表，如发现备份不成功，在备份作业记录表中选择了“转问题处理”这一选项，但是实际没有填写问题记录日志表 2、问题分类汇总月报表中的问题数量与当月问题记录日志表中的问题总数不一致 3、

34、负责人没有在问题分类汇总月报表上签字。,信息系统日常运作子领域控制要求及关注要点,控制措施：问题管理YW9,信息系统日常运作子领域控制要求及关注要点,风险描述： 有效的问题管理流程将保证公司信息系统和业务流程有效的运转，问题记录日志表是供审计师进行测试的主要依据，如果填写或记录不完整，将导致审计师无法有效地对该等控制点实施测试，也将影响到管理层实施检查的有效性。 风险级别：中,信息系统总体控制要求及关注要点,信息系统安全子领域 信息系统日常运作子领域 变更管理子领域 项目建设管理子领域 控制环境子领域,变更管理子领域,注：黄色表示出现例外情况的风险级别-高.我将在后面详细解释。,控制措施描述：

35、 用户申请变更时应提交变更申请，由主管领导和应用系统负责人（或信息技术部门负责人）进行审批后实施。,控制措施：变更申请BG1,变更管理子领域控制要求和关注要点,控制要求： 表单的规范填写和审批。 系统中实际发生的变更活动的管理，例如，通过日志检查、应用系统模块查看、访问和使用方式等。,控制措施：变更申请BG1,主要例外情况： 变更申请表与变更统计表不一致； 变更申请表填写不规范，例如，缺少“变更预期时间”，未选择“变更受理”等内容。,变更管理子领域控制要求和关注要点,风险描述： 对于系统变更活动如果没有有效的申请、审批流程等控制，将导致审计师无法有效地对该等控制点实施测试，也将影响到管理层实施

36、检查的有效性。另外，也无法对变更实施统一的、有效的管理。 风险级别：中,控制措施描述： 负责变更实施及测试的信息技术人员建立与生产环境相隔离的开发/测试环境，并在其中进行变更的开发及测试。,控制措施：变更实施BG3,变更管理子领域控制要求和关注要点,控制要求： 物理上接触测试环境和生产环境。 逻辑上访问测试环境和生产环境。,控制措施：变更实施BG3,主要例外情况： 变更过程中开发和测试环境与生产环境之间未进行有效的隔离。,变更管理子领域控制要求和关注要点,风险描述： 开发、测试与生产环境未进行有效的隔离可能会导致：开发人员在应用系统中安装后门程序，导致应用系统自身的安全控制失效；开发与生产环境

37、未分离会导致开发环境的不确定性进而影响到生产系统的可靠性、稳定性和安全性。 风险级别：高,控制措施描述： 变更申请人的主管领导、应用系统负责人（或信息技术部门负责人）共同审核程序版本的准确性，确定是否可以上线。,控制措施：变更上线BG4,变更管理子领域控制要求和关注要点,控制要求： 检查上线申请与审批的流程及证据。 检查上线测试的流程和状况。,控制措施：变更上线BG4,主要例外情况： 1、变更上线未经过充分的测试。 2、变更上线未经过审批，或未留下证据。,变更管理子领域控制要求和关注要点,风险描述： 变更上线若未经过充分的测试，将会对生产系统产生无法预料的影响。轻则影响应用系统的功能和性能，严

38、重的可能导致整个应用系统崩溃。未经充分测试和审批的变更上线属于实质性漏洞。 风险级别：高,信息系统总体控制要求及关注要点,信息系统安全子领域 信息系统日常运作子领域 变更管理子领域 项目建设管理子领域 控制环境子领域,项目建设管理子领域,注：黄色表示出现例外情况的风险级别-高.我将在后面详细解释。,风险分析： 项目建设属于高风险的领域，其中所涉及的KF1至KF9共9个点理论上均属于高风险控制点。在实际测试中，我们发现用户对项目建设管理的整个生命周期和关键控制点未做到有效的控制，体现在某些控制没有实施，控制证据不足。同时，未理解项目建设中可能存在重大隐患的控制点。 以上所列问题会影响到对整体项目

39、及应用系统的控制，或是对整体项目是否成功产生实质性的影响。同时，会影响到外审对该控制领域的判断。也会对财务报告产生重大影响。 在项目建设中，应重点关注项目计划、上线测试、项目变更、环境分离等控制点。,项目建设管理子领域风险分析,控制措施描述： 项目经理应组织制订项目的总体计划，应包括项目范围、进度管理、人员需求、沟通管理等基本内容。,控制措施：方法论及项目审批KF1,控制要求： 分析项目的总体计划、成本控制、质量控制、人员组织等信息。 考察项目经理的背景以及是否经过相关培训。 了解项目管理的目标、方法和流程。,主要例外情况： 1、资产系统5.0升级到资产系统6.0项目没有制定专门的项目总体计划

40、，而是把其他文档（如资产信息集中管理项目的工作计划表）作为替代， 2、项目总体计划中缺少项目范围、人员需求、沟通管理等基本内容，或者缺少项目经理的签名和审批意见。,项目建设管理子领域控制要求及关注要点,控制措施描述： 项目立项由项目建设单位根据自身业务需求提出申请，本单位信息技术部门和规划计划部门负责审批。,控制措施：方法论及项目审批KF2,控制要求： 分析业务目标和预期收益。,主要例外情况： 可行性研究报告中缺少：项目目标与范围、现状与需求分析、技术方案、系统设计、组织机构与定员、实施计划、实施投资估算、实施风险与效益分析中的一项或几项。,项目建设管理子领域控制要求及关注要点,控制措施描述：

41、 需求分析报告完成后，项目经理组织项目组与各相关方共同讨论该报告，各方确认报告内容后，在报告上签字。,控制措施：系统开发KF3,控制要求： 分析业务需求、概要设计和详细设计等内容。 报告是否执行了有效的、全面的审批。,主要例外情况： 需求分析报告缺少业务部门负责人或者项目经理的签字,项目建设管理子领域控制要求及关注要点,控制措施描述： 系统应经过用户接受测试，用户要对测试结果进行签字确认。,控制措施：测试KF5,控制要求： 用户对应用系统功能的熟悉程度，对性能的接受度。 检查测试实施证据是否完整。,主要例外情况： 1、没有进行用户接受测试 2、用户对测试结果没有签字,项目建设管理子领域控制要求

42、及关注要点,控制措施描述： 数据移植应进行测试，确保数据移植的准确性和完整性，由用户对数据移植的测试结果进行确认并签名。,控制措施：数据移植KF6,控制要求： 分析数据移植方案或策略。 检查数据移植的相关证据。,主要例外情况： 1.没有进行数据移植测试 2.对数据移植的测试结果没有签字确认,项目建设管理子领域控制要求及关注要点,控制措施描述： 在上线前，项目经理要提交系统上线计划和上线申请表给信息技术部门和业务部门管理层审批，系统上线操作人员负责将最后版本的系统程序移植到生产环境。,控制措施：上线KF7,控制要求： 分析上线方案或策略。 上线回退机制的分析。 考察上线申请与审批。,主要例外情况

43、： 1.没有编制上线计划和上线申请表； 2.上线计划和上线申请表的内容不完整； 3.上线计划和上线申请表中没有相关人员的审批签字。,项目建设管理子领域控制要求及关注要点,控制措施描述： 项目进程中出现变更需求时，应填写变更申请单，由项目经理决定是否变更，或逐级上报项目管理办公室和项目指导委员会进行审批。,控制措施：项目变更KF8,控制要求： 明确项目建设子领域的变更与变更活动子领域的差异。 对比项目概要设计与应用系统实际情况。 项目变更实施证据。,主要例外情况： 检查项目阶段报告，发现系统开发过程中发生了某些变更，如增加系统模块或者修改现有模块的功能，属于项目开发过程中的变更，但是没有填写相应

44、的变更申请表。,项目建设管理子领域控制要求及关注要点,控制措施描述： 在项目的执行过程中，应确保开发、测试和生产环境的隔离，项目经理应对项目执行过程中是否符合环境隔离要求进行审阅，并将审阅结果反映在项目阶段报告中。,控制措施：项目管理KF9,控制要求： 考察测试、开发和生产的物理环境。 考察测试、开发和生产的逻辑环境。,主要例外情况： 1.没有做到测试环境和开发环境、生产环境的分离， 2.项目经理没有对环境分离情况进行审阅，阶段报告中没有体现环境分离的相关内容。,项目建设管理子领域控制要求及关注要点,信息系统总体控制要求及关注要点,信息系统安全子领域 信息系统日常运作子领域 变更管理子领域 项

45、目建设管理子领域 控制环境子领域,检查结果： 对环境控制子领域的检查结果未发现实质性漏洞。,控制环境子领域,目录,第一章-背景知识 第二章-信息系统总体控制（简称GCC ) 第三章-信息系统应用控制（简称AC ） 第四章电子表格控制 第五章信息系统内控关注要点,信息系统应用控制,一、应用系统控制介绍 二、应用系统控制措施管理规范 三、等级一系统主要控制措施实施细则及关注要点 四、复杂财务关联信息系统主要控制措施实施细则及关注要点 五、应用系统权限管理基本情况及关注要点,信息系统应用控制,信息系统应用控制（Application Control，简称AC ） AC所指的是：业务流程中内嵌的信息系

46、统相关控制，信息系统应用的潜在风险直接影响业务流程中的信息控制目标。信息系统应用控制包含的主要内容有 ： （1）完整性（2）准确性：（3）有效性:（4）接触控制,信息系统应用控制,（1）完整性:所有的交易都经过处理，且只处理一次；不允许数据的重复录入和处理；例外情况的发现和解决。 （2）准确性：所有的数据（包括金额和账户）是正确和合理的；例外情况被及时发现以保证交易被记录在正确的会计期间。 （3）有效性:交易被适当授权；系统不接受虚假交易；异常情况被发现和处理。 （4）接触控制:未经授权，不得对系统或数据进行修改；数据保密性；物理设备的保护。,财务关联信息应用系统（关键应用系统）,公司内部有各

47、类应用信息系统，应对公司应用的信息系统进行判断，界定是否属于与财务相关的关键应用系统： （1）该应用系统用于进行有关重要交易事项的生成、授权、记录、处理或报告； （2）该系统是否生成关键的表单和数据供财务部门使用，直接作为记账依据或生成财务报表； （3）该系统是否生成关键的表单和数据为其他作为记账依据或生成财务报表的系统使用； （4）对应用系统的依赖程度，即是否有来自系统的计算结果，应用系统中是否存在相应的计算、检查、核对过程的控制； （5）上述应用控制是否是唯一依赖的控制措施，是否存在手工控制可以达到控制目标，弥补风险。,财务关联信息应用系统（关键应用系统）,符合以上判断条件的与财务报告相关

48、的关键应用系统应按照AC进行控制，控制分为5类： 访问控制、职责分离、输入控制、处理控制、输出控制。,财务关联信息应用系统（关键应用系统）,信息系统应用控制 财务资产 产品销售 物资采购 存货管理 人力资源与业绩考核,财务关联信息应用系统（关键应用系统）,等级一系统,等级二系统,等级三系统,重要的与财务内部控制相关应用系统,与财务内部控制间接相关系统，该类应用系统生成的数据作为财务记账处理或为财务系统所使用,除等级一系统和等级二系统外的系统,财务FMIS5.0/6.0/7.0 - 总部资金管理系统 - 资产管理系5.0/6.0/7.0 - 其他财务系统,系统等级,系统说明,系统名称,- 复杂的

49、采购，销售，工资系统 - 简单的采购，销售类等系统 其他,信息系统应用控制和信息系统总体控制测试范围,系统相关控制措施分类,FMIS6.0/7.0 系统,FA6.0/7.0 系统,系统相关控制措施分类,复杂财务关联信息系统,系统相关控制措施分类,信息系统应用控制,一、应用系统控制介绍 二、应用系统控制措施管理规范 三、等级一系统主要控制措施实施细则及关注要点 四、复杂财务关联信息系统主要控制措施实施细则及关注要点 五、应用系统权限管理基本情况及关注要点,应用系统控制措施管理规范,应用系统关键控制文档 应用系统划分规范及工作指引 应用系统用户权限管理工作规范 应用系统用户权限设置与测试方案 应用

50、系统业务变更管理流程 信息系统应用控制测试方法与标准,信息系统应用控制,一、应用系统控制介绍 二、应用系统控制措施管理规范 三、等级一系统主要控制措施实施细则及关注要点 四、复杂财务关联信息系统主要控制措施实施细则及关注要点 五、应用系统权限管理基本情况及关注要点,等级一系统主要控制措施实施细则及关注要点,（一）FMIS6.0/7.0 主要控制措施实施细则及关注要点 会计业务处理流程 地区公司对外财务报告流程 帐务体系定义与维护流程 （二）FMIS6.0/7.0 报表公式初始化测试,等级一系统主要控制措施实施细则及关注要点,（三）FA6.0/7.0主要控制措施实施细则及关注要点 主数据定义与维

51、护流程 转资流程 折旧流程 报废管理流程,FMIS6.0/7.0主要控制措施实施细则及关注要点,注1：黄色表示风险程度比较高的控制点； 注2：红色表示风险程度很高的控制点； 注3：红色和黄色均为易出现例外的控制点,控制措施描述： 会计核算岗只有将凭证的重要内容填列完整才能在系统中生成新凭证，如缺失责任中心、总账科目、明细科目、金额等的任何一项，系统均不允许保存该凭证。,控制措施：会计业务处理流程KA9,实施细则： 在【账务结构定义】中，将“允许不完整凭证存盘”关闭。,主要例外情况： 没有将“允许不完整凭证存盘”关闭。,FMIS6.0/7.0主要控制措施实施细则及关注要点,控制措施描述： 只有借

52、贷方金额相等的凭证才能被系统生成并保存。,控制措施：会计业务处理流程KA10,实施细则： 在【账务结构定义】中，必须将“允许不完整凭证存盘”关闭。否则系统允许借贷方金额不相等的凭证也能存盘。,主要例外情况： 由于没有将“允许不完整凭证存盘”关闭，系统允许借贷方金额不相等的凭证存盘。,FMIS6.0/7.0主要控制措施实施细则及关注要点,FMIS6.0/7.0主要控制措施实施细则及关注要点,控制措施描述： 总账岗只有根据财务负责人对修改事项的书面审批，并在系统中执行“取消完成”（取消记账、取消审核），才能对已执行“凭证完成”的记账凭证进行修改。,控制措施：会计业务处理流程KA16,实施细则： 1

53、、取消完成、取消记账权限为临时类权限，当需要发生相关业务时，只有提交申请并经批准后，由应用系统管理员进行赋权（取消完成、取消记账）权限，才能进行取消完成、取消记账的操作； 2、对日常的取消审核业务，无需申请临时权限，无需填写取消完成（记账、审核）申请单。,主要例外情况： 1、实际执行取消完成、取消记帐操作时，没有填写取消完成（记账、审核）申请单； 2、取消完成（记账、审核）申请单填写不完整、不准确；,FMIS6.0/7.0主要控制措施实施细则及关注要点,月末凭证完整执行后，发现需要进行帐务修改情况时，财务部门填写取消完成（记账、审核）申请单后，执行如下流程:,FMIS6.0/7.0主要控制措施

54、实施细则及关注要点,控制措施描述： 系统记录取消完成、取消记账的日志，财务负责人每三个月检查取消完成、取消记账的日志，比照取消完成（记账、审核）申请单审查是否有非授权的变更，填写应用系统操作日志复核表（取消类业务日志）并签字确认。,控制措施：会计业务处理流程KA16-1,实施细则： 1、根据日志中的“取消完成、取消记账”的信息，核对是否每次操作都填写取消完成（记账、审核） 申请单，表单是否经过相应的审批。并填写应用系统操作日志复核表； 2、目前，由于绝大部分公司的日志功能还不完善，导致无法执行上述控制措施。,主要例外情况： 1、对于日志功能完善的系统：没有填写应用系统操作日志复核表或填写不完整

55、、不准确，填写信息与实际日志信息不一致； 2、由于没有日志功能，无法执行上述控制。,FMIS6.0/7.0主要控制措施实施细则及关注要点,控制措施：会计业务处理流程KA16-1（续）,风险分析： 对于重要的系统自动控制操作，FMIS的日志没有记录充分的信息作为审计证据，降低了系统的可审计性，直接影响到对相关的系统控制措施进行监督检查的有效性；如果相关的系统控制措施存在控制缺陷，则日志功能的不完善直接加大了潜在的控制风险，形成实质性漏洞。 取消记账权限由操作人员临时申请，在经过授权审批后才能在系统中对指定的记账凭证执行相应的取消记账操作，由于日志没有提供对系统操作的详细记录，如执行的明细菜单功能

56、、访问的记账凭证编号等，从而影响了复核人员对操作人员使用取消权限所作的全部操作(包括经授权和未经授权的活动)，进行全面有效检查，存在使用取消权限对账务数据进行恶意修改的潜在风险。从而导致实质性漏洞增加的风险。,FMIS6.0/7.0主要控制措施实施细则及关注要点,控制措施描述： 在系统中对损益类科目，制造费用等科目设置结平后，月末结账时，系统自动检查设定科目（损益类科目，制造费用等科目）月末是否结平，对于未结平科目不允许执行“结账”操作。,控制措施：会计业务处理流程KA19,实施细则： 在科目字典维护中，在损益类科目设置中，对“月末结平”设置为“是”。,主要例外情况： 没有对损益类科目的“月末

57、结平”设置为“是”。,FMIS6.0/7.0主要控制措施实施细则及关注要点,注1：黄色表示风险程度比较高的控制点； 注2：红色表示风险程度很高的控制点； 注3：红色和黄色均为易出现例外的控制点。,FMIS6.0/7.0主要控制措施实施细则及关注要点,控制措施描述： 财务部门负责人每半年审核系统中列示的合并范围，确定该范围符合公司的财务报告政策，书面记录审核结果并签字确认，以保证合并范围的完整与及时更新。,控制措施：对外财务报告流程KA1,实施细则： 财务部门负责人每半年审核系统中的合并范围是否与实际情况一致，在财务会计报告审核情况记录表上留下复核记录，同时从系统中打印出报表责任中心列表，注明纳

58、入合并范围的责任中心，并签字确认，注明核对结果。,主要例外情况： 1、没有留下书面的对系统中合并范围进行复核的证据； 2、经签字确认的合并范围清单与系统中列示的纳入合并范围的责任中心列表不一致； 3、复核记录填写不完整、不准确。,FMIS6.0/7.0主要控制措施实施细则及关注要点,控制措施：对外财务报告流程KA1（续）,风险分析： 系统中的报表合并范围如果没有得到定期审核，存在合并范围不准确而未被发现的风险，可能导致资产和负债被高估或者低估，使得合并的财务报表不能准确地反映整个公司的财务状况，经营成果和现金流量。从而增加了出现实质性漏洞的可能性。,FMIS6.0/7.0主要控制措施实施细则及

59、关注要点,控制措施描述： 1、各报表管理岗需进行报表公式（取数公式、计算公式等）变更时，向财务部门负责人提交报表公式变更申请表，财务部门负责人根据公司的财务报告政策以及核算和管理需要审批报表公式变更申请表，只有得到正式审批后报表管理岗才能执行公式变更； 2、对于总部下发的公式，各报表管理岗将报表公式导入系统后，在报表公式变更申请表书面记录导入结果并签字确认； 3、对于自行定义的公式，各报表管理岗在正式使用前要进行测试，并在报表公式变更申请表中书面记录测试结果并签字确认； 4、独立于报表公式修改人的财务人员检查系统公式，确认公式的变动是否准确，并在报表公式变更申请表中签字确认。,控制措施：对外财务报告流程KA5,FMIS6.0/7.0主要控制措施实施细则及关注要点,控制措施：对外财务报告流程KA5（续）,实施细则： 1、对于地区公司自行定义的公式，在正式使用之前需要进行测试，并将通过公式测试的报表公式、带有数据的报表及科目余额表打印出来，附在报表公式变更申请表后，并签字确认测试通过； 2、对股份公司下发的报表公式导入后，在报表公式变更申请表上记录导入结果，并签字确认； 3、对于变更前后的公式，需要在报表公式变更申请表上进行详细描述，若变更公式较多，可将变更前后