内控管理信息系统培训讲义简化版.ppt

目录 第一章--背景知识 第二章--信息系统总体控制（简称GCC ) 第三章--信息系统应用控制（简称AC ） 第四章—电子表格控制 第五章—信息系统内控关注要点 背景知识 萨班尼斯―奥克斯莱法案(Sarbanes-Oxley，简称SOx法案 ) 美国安然与世通事件引发保护投资者利益的广泛讨论，上市公司财务信息披露情况的法律遵循性备受关注，2002年美国国会出台了萨班斯-奥克斯利法案 （Sarbanes-Oxley法案，简称SOx法案），法案中404条款对上市公司建立与财务报告相关的内部控制并维持其有效性提出了明确要求，管理层每年需对内控体系的运行效果进行评估，外部审计师要对内部控制体系和控制效果进行测试并出具审计意见。 背景知识 内控体系建设要求企业除了有正确完整的财务报表外，还要有确保报表正确而完整的控制体系。 由于目前公司的各个与财务数据相关的主要业务流程都有相应的信息系统支持，对信息系统控制的一致性和有效性方面的薄弱，将降低数据和自动控制的可依赖性，增加管理层和审计师在测试方面的工作量，从而对整个内控体系的有效性产生负面影响。 因此信息系统控制体系建设是公司内控体系建设的重要内容 。 信息系统与财务报告之间的关系  中国石油的SOx项目分为公司层面控制，业务活动控制、 信息系统控制三个层面的内容 目录 第一章--背景知识 第二章--信息系统总体控制（简称GCC ) 第三章--信息系统应用控制（简称AC ） 第四章—电子表格控制 第五章—信息系统内控关注要点 信息系统控制 信息系统控制包含的主要内容 信息系统总体控制（General Computer Control，简称GCC ） 信息系统应用控制（Application Control，简称AC ） 电子表格控制 信息系统总体控制 信息系统总体控制(简称GCC), GCC所指的是内部控制中对信息系统相关部分的控制，保证由信息系统支持的流程控制是可靠的、生成的数据和报告是可信的。GCC涵盖了IT管理和运营所涉及的各个方面 信息系统总体控制是内控体系建设一项基础性工作，信息系统总体控制为企业信息系统管理提出了新标准 GCC涵盖了IT管理和运营所涉及的各个方面 GCC规定是GCC体系的纲领性文件 GCC规定是中国石油信息系统总体控制体系的重要组成部分，是GCC体系的纲要性文件，制定了与中国石油信息系统总体控制相关的政策和制度 描述了中国石油GCC总体政策、适应范围及制定、审批、发布、维护、更新流程 明确了中国石油在总体控制环境、信息安全、项目建设管理、系统变更、信息系统日常运作、最终用户操作等方面的总体规定和要求 中国石油已经建立起符合内部控制及未来外审需要的信息系统总体控制体系 2006年中国石油下发《信息系统总体控制实施要求》 ， GCC实施要求是对GCC规定的细化，用于指导日常的信息技术管理和运营维护 《实施要求 》涵盖了IT管理和运营所涉及的各个方面 为确保GCC体系实施的统一性和高效率，实施要求规定了GCC表单 并根据控制矩阵和实施要求的相关要求，制定了测试计划和测试方案 同时，为便于各单位的执行， 为促进GCC体系的实施，为涉及到的每个岗位制定了一整套GCC任务单，明确了这些岗位应完成哪些GCC任务，并说明了该任务的执行频率及需留下的证据 公司层面，共确定了24个岗位的209项GCC任务 GCC各相关岗位和人员应根据以下的步骤和方法来执行具体的GCC任务 以“信息安全管理负责人”为例 信息系统总体控制要求及关注要点 信息系统安全子领域 信息系统日常运作子领域 变更管理子领域 项目建设管理子领域 控制环境子领域 信息安全子领域 信息安全子领域控制要求及关注要点 信息安全子领域控制要求及关注要点 信息安全子领域控制要求及关注要点 信息安全子领域控制要求及关注要点 信息安全子领域控制要求及关注要点 信息安全子领域控制要求及关注要点 信息安全子领域控制要求及关注要点 信息安全子领域控制要求及关注要点 信息安全子领域控制要求及关注要点 信息安全子领域控制要求及关注要点 信息安全子领域控制要求及关注要点 信息安全子领域控制要求及关注要点 信息安全子领域控制要求及关注要点 信息安全子领域控制要求及关注要点 信息安全子领域控制要求及关注要点 信息安全子领域控制要求及关注要点 信息安全子领域控制要求及关注要点 信息系统安全子领域控制要求及关注要点 信息安全子领域控制要求及关注要点 信息系统总体控制要求及关注要点 信息系统安全子领域 信息系统日常运作子领域 变更管理子领域 项目建设管理子领域 控制环境子领域 信息系统日常运作子领域主要控制措施控制要求及关注要点 信息系统日常运作子领域控制要求及关注要点 信息系统日常运作子领域控制要求