XXXX内控部GCC符合性检查培训_v32

中国石油信息系统总体控制项目组中国石油信息系统总体控制符合性检查培训中国石油信息系统总体控制项目组1目录第一章--背景及基础知识第二章--符合性检查工作程序第三章--如何进行表单检查第四章--如何编制工作底稿第五章—普遍性问题的检查方法中国石油信息系统总体控制项目组2公司层面控制企业道德规范公司行为方式公司组织架构沟通流程业务活动控制业务活动控制财务相关应用系统控制信息系统总体控制IT基础设施数据库操作系统公司层面控制业务活动控制信息系统总体控制内控项目组(PWC)信息系统应用控制项目组(Deloitte)信息系统总体控制(GCC)项目组(BearingPoint)中国石油的SOx项目分为业务控制、应用系统控制和信息系统总体控制三个层面的内容SOx内控体系包括三个层面的内容，目前中国石油分为三个项目组来完成相关内控体系的建设，GCC项目组是其中的重要组成部分中国石油信息系统总体控制项目组3其中，GCC是内部控制中对信息系统相关的总体控制系统控制环境：总体环境、信息与沟通、风险评估、监控等项目建设管理：开发方法论、项目立项审批、项目启动阶段、项目需求分析、项目设计、系统开发实施、系统符合性检查、数据移植、系统上线、项目验收、上线后审阅、用户培训、项目文档管理等变更管理：应用系统日常变更、系统环境日常变更、紧急变更管理等系统日常运作：机房环境控制、系统日常运作监控、批处理作业调度管理、数据备份与恢复、问题管理等信息安全：信息安全组织、逻辑安全、物理安全、网络安全、计算机病毒防护、外部第三方信息安全管理、信息安全事件响应等信息系统总体控制信息系统控制环境信息安全信息系统日常运作变更管理项目建设管理最终用户操作最终用户操作：最终用户计算机操作安全制度、电子表格管理等中国石油信息系统总体控制项目组4经过与外审及各地区公司的反复沟通，目前，已经建立起符合内部控制及未来外审需要的信息系统总体控制体系GCC控制矩阵：是针对每个控制目标确定一个或多个控制点，对每个控制点的控制频率、控制类型等控制属性进行定义，并尽量明确其现行的制度文档GCC实施办法GCC控制矩阵测试计划与测试方案相关表单中国石油信息系统总体控制项目组5GCC实施办法是用于指导日常信息技术管理和运营的管理流程和具体要求GCC实施办法GCC控制矩阵测试计划与测试方案相关表单《实施办法》涵盖了IT管理和运营所涉及的各个方面控制环境信息技术组织人力资源管理信息沟通风险评估监控信息安全信息安全组织逻辑安全物理安全网络安全病毒防护第三方管理安全事件响应项目建设管理项目立项–项目立项审批–商业软件及硬件的外购项目建设方法论–项目启动–需求分析–项目设计–系统开发实施–系统测试–数据移植–系统上线–项目验收和上线后审阅项目管理–项目培训管理–项目文档管理–项目问题管理–项目变更管理系统变更日常变更紧急变更信息系统日常运作机房环境控制日常监控批处理作业管理备份与恢复问题管理最终用户操作最终用户操作安全制度电子表格管理中国石油信息系统总体控制项目组6中国石油信息系统总体控制项目组7为确保GCC体系实施的统一性和高效率，项目组编制了GCC表单GCC实施办法GCC控制矩阵测试计划与测试方案相关表单GCC领域表单数量总体管理1控制环境1信息安全19项目建设管理1系统变更4信息系统日常运作14最终用户操作343合计中国石油信息系统总体控制项目组8并根据控制矩阵和实施办法的相关要求，制定了测试计划和测试方案GCC实施办法GCC控制矩阵测试计划与测试方案相关表单中国石油信息系统总体控制项目组9任务单是依据《实施办法》中对各级部门和岗位需要完成的GCC相关工作的要求而编制任务单明确了这些岗位应完成哪些GCC任务，并说明了该任务的执行频率及需留下的证据……股份公司层面涉及：信息管理部、财务部、规划计划部、法律部、人事部等其它与股份公司层面类似，编制了地区公司部门/重要岗位的GCC任务单同时，为便于各地区公司的执行，还编制了GCC任务单，明确了各个岗位应完成相关工作中国石油信息系统总体控制项目组10第一次测试中，项目组通过访谈、检查、观察等方式，发现了各地区公司目前存在的主要问题访谈编制访谈纪要检查文本证据系统实际检查编制测试底稿补填表单实地观察中国石油信息系统总体控制项目组11在测试报告中所提及的各地区公司所存在的较严重问题和潜在风险也应成为本次符合性检查关注的重点下图是对本次测试涉及的60家单位，共2580个控制点的测试情况汇总图测试结束时，该控制点的执行情况达到实施办法的要求在测试中，发现该控制点存在潜在风险在测试中发现该控制点存在较严重的问题安全变更开发运维最终用户操作地区公司中国石油信息系统总体控制项目组12目录第一章--背景及基础知识第二章--符合性检查工作程序第三章--如何进行表单检查第四章--如何编制工作底稿第五章—普遍性问题的检查方法中国石油信息系统总体控制项目组13符合性检查是对目前内控体系执行情况的符合性检查，是管理层测试的基础已经完成的第一次测试的目的更偏重于推动GCC规定的实施这次符合性检查应该严格地按外审的风格进行，一切以证据为准，给出一份最真实的，能体现中国石油GCC现状的报告，并发现一些存在的问题，找出例外和漏洞，让各公司尽早进行整改其目的在于让中国石油为通过外审，在最后的一段时间内进行有针对性的调整中国石油信息系统总体控制项目组14符合性检查工作的程序到点前–学习项目内容与符合性检查方法–与各公司联系人进行沟通–明确时间和工作安排到点后–按每个公司的具体情况对具体符合性检查工作的执行时间进行小范围调整–开始进行符合性检查并同时编写各自的工作底稿以及其他资料–前往下一个符合性检查单位–继续上述步骤–结束符合性检查回项目组汇总–回项目组统一进行汇总和分析工作–给出符合性检查结论并提出整改建议–编写符合性检查报告中国石油信息系统总体控制项目组15到点前的准备工作与各公司的联系人进行沟通让对方了解何时开始符合性检查让对方明确符合性检查前要做哪些准备工作让对方知道本次符合性检查的时间持续多久让对方知道哪些人员在符合性检查时需要在场与项目组的成员沟通统一符合性检查的方法下点时所带文档资料准备,包括：应用系统范围清单，范围内信息系统所在机房信息，测试文档等其他明确需要统一口径的问题中国石油信息系统总体控制项目组16到点后的工作收集地区公司相关信息–例如：地区公司基本信息，应用系统信息，机房信息，防火墙信息，人员对照表进行正式符合性检查–通过访谈，检查文本证据，系统实际检查，实地观察等方法进行实际检查编写工作底稿–将填写的测试计划表、测试表、抽样测试表以及相关表单和证据，及其他资料进行收集，按要求编写装订成册中国石油信息系统总体控制项目组17到点后具体符合性检查的工作方案和操作步骤0执行“实施办法”的规定和要求，填写相关表单并将证据提交给本部门文档管理人员统一归档123“GCC实施办法”“GCC相关表单”所需的相关文档测试计划表测试表测试表抽样测试表4根据系统实际情况明确样本总体、确定样本数量，编制测试计划根据测试计划表，结合地区公司实际情况，完善测试表中的“测试具体步骤”将符合性检查结果与“不符合控制要求条件”进行比对，分析是否存在例外情况，填写符合性检查结论，更新测试计划表执行具体符合性检查步骤，开展访谈、获得符合性检查证据文档，对符合性检查证据进行抽样符合性检查，检查符合性检查证据是否全面、完整，是否与实际一致测试表测试计划表中国石油信息系统总体控制项目组18符合性检查说明样例-步骤一1根据系统实际情况明确样本总体、确定样本数量，编制测试计划中国石油信息系统总体控制项目组19符合性检查说明样例-步骤二2根据测试计划表，结合地区公司实际情况，完善测试表中的“测试具体步骤”中国石油信息系统总体控制项目组20符合性检查说明样例-步骤三3执行具体符合性检查步骤，开展访谈、获得符合性检查证据文档，对符合性检查证据进行抽样符合性检查，检查符合性检查证据是否全面、完整，是否与实际一致中国石油信息系统总体控制项目组21符合性检查说明样例-步骤四4将符合性检查结果与“不符合控制要求条件”进行比对，分析是否存在例外情况，填写符合性检查结论，更新测试计划表中国石油信息系统总体控制项目组22编写符合性检查的工作底稿将填写的测试计划表，测试表和抽样测试表以及相关表单与证据及其他资料进行收集，按要求编写装订成册中国石油信息系统总体控制项目组23符合性检查的汇总工作对各单位的符合性检查情况进行汇总并分析–汇总所有地区公司的符合性情况包括各地区公司在检查中被发现的问题等–按统一的标准进行分析针对分析报告给出进一步的整改建议–编写相应的整改建议写出符合性检查报告–根据汇总的情况、问题以及编写的整改建议，编写符合性检查报告中国石油信息系统总体控制项目组24目录第一章--背景及基础知识第二章--符合性检查工作程序第三章--如何进行表单检查第四章--如何编制工作底稿第五章—普遍性问题的检查方法中国石油信息系统总体控制项目组25如何检查表单的填写正确性注意表单填写的内容是否完整–表单的编号是否完整–是否有空格–是否有签字注意表单填写的表单号是否符合要求–填表日期的确定：如果发生一张表的空格足够填多条记录，而造成无法确定日期的情况，按表单的第一条记录时间填写日期。–序号的确定：按日期来排序，日期发生变更后，序号从头开始重新排列–表单编号要保持唯一性，一个编号对一张表单注意签字的笔迹以及填写人是否正确–签字人是否符合要求–签字的笔迹是否有前后矛盾中国石油信息系统总体控制项目组26如何检查表单的填写正确性注意需要手工填写的内容–签名肯定需要手工填写–许多日志检查等内容都以手工填写为好注意表单的填写内容是否符合逻辑–表单叙述的内容不符合逻辑–有些表单需要填写多条日期，各个日期的联系不符合逻辑注意表单填写的内容与实际情况是否一致–访谈了解情况–检查相关文本证据–进入系统实际检查–实地检查中国石油信息系统总体控制项目组27如何检查有相互关联的表单特权用户登记备案表和所有的相关要求特权用户签名的表格–特权用户登记备案表和众多表格有相互关联，因为许多表格的实施人，检查人等都是特权用户所以各大类中众多表单的签字这一栏的姓名与特权用户登记备案表应不存在任何矛盾设备巡检记录表与机房出入登记表–设备巡检工作是需要进出机房的，所以巡检记录表上的时间以及检查人必须能在机房出入登记表中得到体现机房出入登记表和进入机房授权人员名单的匹配–机房出入登记表中授权人员进出机房是自己签名授权的，需要察看登记表中自己签名授权的人员是否都在进入机房授权人员名单中有体现远程登陆账号申请表与远程登陆权限检查表–远程登陆权限检查表的内容是从系统实际情况出发的，需要在远程登陆账号申请表中有所体现中国石油信息系统总体控制项目组28如何检查有相互关联的表单批处理作业清单，批处理作业详细说明书，批处理作业记录表–批处理作业清单，批处理作业详细说明书，批处理作业记录表中的作业号，使用计算机以及状态等内容要对应备份作业清单，备份作业详细说明书，备份记录表–备份作业清单，备份作业详细说明书，备份记录表中的作业编号，状态等要对应备份恢复符合性检查记录表，备份恢复管理表–由于两表分别针对符合性检查环境和生产环境。两张表中步骤应该比较相似，但是应该有所区别信息系统故障处理帮助热线支持人员联系表，问题记录日志表，问题分类汇总月报表–问题记录日志表中的记录人，签名以及问题分类汇总月报表中的提交人应该都在信息系统故障处理帮助热线支持人员中有所对应。–问题记录日志表与问题分类汇总月报表中的问题数量以及解决情况应该完全对应。–日常巡检以及日志检查中发现的问题选择转问题处理的也需要填写问题记录并汇总到月报表中中国石油信息系统总体控制项目组29如何检查有相互关联的表单变更统计表，变更申请表，