2006内控部：GCC符合性检查培训v3.2.ppt

中国石油信息系统总体控制符合性检查培训 目录 第一章--背景及基础知识 第二章--符合性检查工作程序 第三章--如何进行表单检查 第四章--如何编制工作底稿 第五章—普遍性问题的检查方法 中国石油的SOx项目分为业务控制、应用系统控制和信息系统总体控制三个层面的内容 其中，GCC是内部控制中对信息系统相关的总体控制 经过与外审及各地区公司的反复沟通，目前，已经建立起符合内部控制及未来外审需要的信息系统总体控制体系 GCC实施办法是用于指导日常信息技术管理和运营的管理流程和具体要求 《实施办法》涵盖了IT管理和运营所涉及的各个方面 为确保GCC体系实施的统一性和高效率，项目组编制了GCC表单 并根据控制矩阵和实施办法的相关要求，制定了测试计划和测试方案 同时，为便于各地区公司的执行，还编制了GCC任务单，明确了各个岗位应完成相关工作 第一次测试中，项目组通过访谈、检查、观察等方式，发现了各地区公司目前存在的主要问题 在测试报告中所提及的各地区公司所存在的较严重问题和潜在风险也应成为本次符合性检查关注的重点 目录 第一章--背景及基础知识 第二章--符合性检查工作程序 第三章--如何进行表单检查 第四章--如何编制工作底稿 第五章—普遍性问题的检查方法 符合性检查是对目前内控体系执行情况的符合性检查，是管理层测试的基础 已经完成的第一次测试的目的更偏重于推动GCC规定的实施 这次符合性检查应该严格地按外审的风格进行，一切以证据为准，给出一份最真实的，能体现中国石油GCC现状的报告，并发现一些存在的问题，找出例外和漏洞，让各公司尽早进行整改 其目的在于让中国石油为通过外审，在最后的一段时间内进行有针对性的调整 符合性检查工作的程序 到点前 学习项目内容与符合性检查方法 与各公司联系人进行沟通 明确时间和工作安排 到点前的准备工作 与各公司的联系人进行沟通 让对方了解何时开始符合性检查 让对方明确符合性检查前要做哪些准备工作 让对方知道本次符合性检查的时间持续多久 让对方知道哪些人员在符合性检查时需要在场 与项目组的成员沟通 统一符合性检查的方法 下点时所带文档资料准备,包括：应用系统范围清单，范围内信息系统所在机房信息，测试文档等 其他明确需要统一口径的问题 到点后的工作 收集地区公司相关信息 例如：地区公司基本信息，应用系统信息，机房信息，防火墙信息，人员对照表 进行正式符合性检查 通过访谈，检查文本证据，系统实际检查，实地观察等方法进行实际检查 编写工作底稿 将填写的测试计划表、测试表、抽样测试表以及相关表单和证据，及其他资料进行收集，按要求编写装订成册 到点后具体符合性检查的工作方案和操作步骤 符合性检查说明样例-步骤一 符合性检查说明样例-步骤二 符合性检查说明样例-步骤三 符合性检查说明样例-步骤四 编写符合性检查的工作底稿 将填写的测试计划表，测试表和抽样测试表以及相关表单与证据及其他资料进行收集，按要求编写装订成册 符合性检查的汇总工作 对各单位的符合性检查情况进行汇总并分析 汇总所有地区公司的符合性情况包括各地区公司在检查中被发现的问题等 按统一的标准进行分析 针对分析报告给出进一步的整改建议 编写相应的整改建议 写出符合性检查报告 根据汇总的情况、问题以及编写的整改建议，编写符合性检查报告 目录 第一章--背景及基础知识 第二章--符合性检查工作程序 第三章--如何进行表单检查 第四章--如何编制工作底稿 第五章—普遍性问题的检查方法 如何检查表单的填写正确性 注意表单填写的内容是否完整 表单的编号是否完整 是否有空格 是否有签字 注意表单填写的表单号是否符合要求 填表日期的确定：如果发生一张表的空格足够填多条记录，而造成无法确定日期的情况，按表单的第一条记录时间填写日期。 序号的确定：按日期来排序，日期发生变更后，序号从头开始重新排列 表单编号要保持唯一性，一个编号对一张表单 注意签字的笔迹以及填写人是否正确 签字人是否符合要求 签字的笔迹是否有前后矛盾 如何检查表单的填写正确性 注意需要手工填写的内容 签名肯定需要手工填写 许多日志检查等内容都以手工填写为好 注意表单的填写内容是否符合逻辑 表单叙述的内容不符合逻辑 有些表单需要填写多条日期，各个日期的联系不符合逻辑 注意表单填写的内容与实际情况是否一致 访谈了解情况 检查相关文本证据 进入系统实际检查 实地检查 如何检查有相互关联的表单 特权用户登记备案表和所有的相关要求特权用户签名的表格 特权用户登记备案表和众多表格有相互关联，因为许多表格的实施人，检查人等都是特权用户所以各大类中众多表单的签字这一栏的姓名与特权用户登记备案表应不存在任何矛盾 设备巡检记录表与机房出入登记表 设备巡检工作是需要进出机房的，所以巡检记录表上的时间以及检查人必