内控部：GCC符合性检查培训v.ppt

中国石油信息系统总体控制 符合性检查培训,目录,第一章-背景及基础知识 第二章-符合性检查工作程序 第三章-如何进行表单检查 第四章-如何编制工作底稿 第五章普遍性问题的检查方法,公司层面控制 企业道德规范 公司行为方式 公司组织架构 沟通流程 业务活动控制 业务活动控制 财务相关应用系统控制 信息系统总体控制 IT 基础设施 数据库 操作系统,内控项目组 (PWC),信息系统 应用控制项目组 (Deloitte),信息系统总体控制 (GCC)项目组 (BearingPoint),中国石油的SOx项目分为业务控制、应用系统控制和信息系统总体控制三个层面的内容,SOx内控体系包括三个层面的内容， 目前中国石油分为三个项目组来完 成相关内控体系的建设，GCC项目 组是其中的重要组成部分,其中，GCC是内部控制中对信息系统相关的总体控制,系统控制环境：,总体环境、信息与沟通、风险评估、监控等,项目建设管理：,开发方法论、项目立项审批、项目启动阶段、项目需求分析、项目设计、系统开发实施、系统符合性检查、数据移植、系统上线、项目验收、上线后审阅、用户培训、项目文档管理等,变更管理：,应用系统日常变更、系统环境日常变更、紧急变更管理等,系统日常运作：,机房环境控制、系统日常运作监控、批处理作业调度管理、数据备份与恢复、问题管理等,信息安全：,信息安全组织、逻辑安全、物理安全、网络安全、计算机病毒防护、外部第三方信息安全管理、信息安全事件响应等,最终用户操作：,最终用户计算机操作安全制度、电子表格管理等,经过与外审及各地区公司的反复沟通，目前，已经建立起符合内部控制及未来外审需要的信息系统总体控制体系,GCC控制矩阵：是针对每个控制目标确定一个或多个控制点，对每个控制点的控制频率、控制类型等控制属性进行定义，并尽量明确其现行的制度文档,GCC 实施办法,GCC 控制矩阵,测试计划 与测试方案,相关表单,GCC实施办法是用于指导日常信息技术管理和运营的管理流程和具体要求,GCC 实施办法,GCC 控制矩阵,测试计划 与测试方案,相关表单,实施办法涵盖了IT管理和运营所涉及的各个方面,控制环境 信息技术组织 人力资源管理 信息沟通 风险评估 监控,信息安全 信息安全组织 逻辑安全 物理安全 网络安全 病毒防护 第三方管理 安全事件响应,项目建设管理 项目立项 项目立项审批 商业软件及硬件的外购 项目建设方法论 项目启动 需求分析 项目设计 系统开发实施 系统测试 数据移植 系统上线 项目验收和上线后审阅 项目管理 项目培训管理 项目文档管理 项目问题管理 项目变更管理,系统变更 日常变更 紧急变更,信息系统日常运作 机房环境控制 日常监控 批处理作业管理 备份与恢复 问题管理,最终用户操作 最终用户操作安全制度 电子表格管理,为确保GCC体系实施的统一性和高效率，项目组编制了GCC表单,GCC 实施办法,GCC 控制矩阵,测试计划 与测试方案,相关表单,43,合计,并根据控制矩阵和实施办法的相关要求，制定了测试计划和测试方案,GCC 实施办法,GCC 控制矩阵,测试计划 与测试方案,相关表单,任务单是依据实施办法中对各级部门和岗位需要完成的GCC相关工作的要求而编制任务单明确了这些岗位应完成哪些GCC任务，并说明了该任务的执行频率及需留下的证据,股份公司层面涉及： 信息管理部、财务部、规划计划部、法律部、人事部等 其它与股份公司层面类似，编制了地区公司部门/重要岗位的GCC任务单,同时，为便于各地区公司的执行，还编制了GCC任务单，明确了各个岗位应完成相关工作,第一次测试中，项目组通过访谈、检查、观察等方式，发现了各地区公司目前存在的主要问题,访谈,编制访谈纪要,检查文本证据,系统实际检查,编制测试底稿,补填表单,实地观察,表单、会议纪要、相关材料等,访谈纪要,测试报告,在测试报告中所提及的各地区公司所存在的较严重问题和潜在风险也应成为本次符合性检查关注的重点,下图是对本次测试涉及的60家单位，共2580个控制点的测试情况汇总图,测试结束时，该控制点的执行情况达到实施办法的要求,在测试中，发现该控制点存在潜在风险,在测试中发现该控制点存在较严重的问题,安全,变更,开发,运维,最终用户操作,地区公司,目录,第一章-背景及基础知识 第二章-符合性检查工作程序 第三章-如何进行表单检查 第四章-如何编制工作底稿 第五章普遍性问题的检查方法,符合性检查是对目前内控体系执行情况的符合性检查，是管理层测试的基础,已经完成的第一次测试的目的更偏重于推动GCC规定的实施 这次符合性检查应该严格地按外审的风格进行，一切以证据为准，给出一份最真实的，能体现中国石油GCC现状的报告，并发现一些存在的问题，找出例外和漏洞，让各公司尽早进行整改 其目的在于让中国石油为通过外审，在最后的一段时间内进行有针对性的调整,符合性检查工作的程序,到点前 学习项目内容与符合性检查方法 与各公司联系人进行沟通 明确时间和工作安排,到点后 按每个公司的具体情况对具体符合性检查工作的执行时间进行小范围调整 开始进行符合性检查并同时编写各自的工作底稿以及其他资料 前往下一个符合性检查单位 继续上述步骤 结束符合性检查回项目组,汇总 回项目组统一进行汇总和分析工作 给出符合性检查结论并提出整改建议 编写符合性检查报告,到点前的准备工作,与各公司的联系人进行沟通 让对方了解何时开始符合性检查 让对方明确符合性检查前要做哪些准备工作 让对方知道本次符合性检查的时间持续多久 让对方知道哪些人员在符合性检查时需要在场 与项目组的成员沟通 统一符合性检查的方法 下点时所带文档资料准备,包括：应用系统范围清单，范围内信息系统所在机房信息，测试文档等 其他明确需要统一口径的问题,到点后的工作,收集地区公司相关信息 例如：地区公司基本信息，应用系统信息，机房信息，防火墙信息，人员对照表 进行正式符合性检查 通过访谈，检查文本证据，系统实际检查，实地观察等方法进行实际检查 编写工作底稿 将填写的测试计划表、测试表、抽样测试表以及相关表单和证据，及其他资料进行收集，按要求编写装订成册,到点后具体符合性检查的工作方案和操作步骤,0,执行“实施办法”的规定和要求，填写相关表单 并将证据提交给本部门文档管理人员统一归档,1,2,3,“GCC实施办法” “GCC相关表单”,所需的相关文档,测试计划表,测试表,测试表 抽样测试表,4,根据系统实际情况明确样本总体、确定样本数量，编制测试计划,根据测试计划表，结合地区公司实际情况，完善测试表中的“测试具体步骤”,将符合性检查结果与“不符合控制要求条件”进行比对，分析是否存在例外情况，填写符合性检查结论，更新测试计划表,执行具体符合性检查步骤，开展访谈、获得符合性检查证据文档，对符合性检查证据进行抽样符合性检查，检查符合性检查证据是否全面、完整，是否与实际一致,测试表 测试计划表,符合性检查说明样例-步骤一,1,根据系统实际情况明确样本总体、确定样本数量，编制测试计划,符合性检查说明样例-步骤二,2,根据测试计划表，结合地区公司实际情况，完善测试表中的“测试具体步骤”,符合性检查说明样例-步骤三,3,执行具体符合性检查步骤，开展访谈、获得符合性检查证据文档，对符合性检查证据进行抽样符合性检查，检查符合性检查证据是否全面、完整，是否与实际一致,符合性检查说明样例-步骤四,4,将符合性检查结果与“不符合控制要求条件”进行比对，分析是否存在例外情况，填写符合性检查结论，更新测试计划表,编写符合性检查的工作底稿,将填写的测试计划表，测试表和抽样测试表以及相关表单与证据及其他资料进行收集，按要求编写装订成册,表单、会议纪要、相关材料等,工作 底稿,符合性检查的汇总工作,对各单位的符合性检查情况进行汇总并分析 汇总所有地区公司的符合性情况包括各地区公司在检查中被发现的问题等 按统一的标准进行分析 针对分析报告给出进一步的整改建议 编写相应的整改建议 写出符合性检查报告 根据汇总的情况、问题以及编写的整改建议，编写符合性检查报告,目录,第一章-背景及基础知识 第二章-符合性检查工作程序 第三章-如何进行表单检查 第四章-如何编制工作底稿 第五章普遍性问题的检查方法,如何检查表单的填写正确性,注意表单填写的内容是否完整 表单的编号是否完整 是否有空格 是否有签字 注意表单填写的表单号是否符合要求 填表日期的确定：如果发生一张表的空格足够填多条记录，而造成无法确定日期的情况，按表单的第一条记录时间填写日期。 序号的确定：按日期来排序，日期发生变更后，序号从头开始重新排列 表单编号要保持唯一性，一个编号对一张表单 注意签字的笔迹以及填写人是否正确 签字人是否符合要求 签字的笔迹是否有前后矛盾,如何检查表单的填写正确性,注意需要手工填写的内容 签名肯定需要手工填写 许多日志检查等内容都以手工填写为好 注意表单的填写内容是否符合逻辑 表单叙述的内容不符合逻辑 有些表单需要填写多条日期，各个日期的联系不符合逻辑 注意表单填写的内容与实际情况是否一致 访谈了解情况 检查相关文本证据 进入系统实际检查 实地检查,如何检查有相互关联的表单,特权用户登记备案表和所有的相关要求特权用户签名的表格 特权用户登记备案表和众多表格有相互关联，因为许多表格的实施人，检查人等都是特权用户所以各大类中众多表单的签字这一栏的姓名与特权用户登记备案表应不存在任何矛盾 设备巡检记录表与机房出入登记表 设备巡检工作是需要进出机房的，所以巡检记录表上的时间以及检查人必须能在机房出入登记表中得到体现 机房出入登记表和进入机房授权人员名单的匹配 机房出入登记表中授权人员进出机房是自己签名授权的，需要察看登记表中自己签名授权的人员是否都在进入机房授权人员名单中有体现 远程登陆账号申请表与远程登陆权限检查表 远程登陆权限检查表的内容是从系统实际情况出发的，需要在远程登陆账号申请表中有所体现,如何检查有相互关联的表单,批处理作业清单，批处理作业详细说明书，批处理作业记录表 批处理作业清单，批处理作业详细说明书，批处理作业记录表中的作业号，使用计算机以及状态等内容要对应 备份作业清单，备份作业详细说明书，备份记录表 备份作业清单，备份作业详细说明书，备份记录表中的作业编号，状态等要对应 备份恢复符合性检查记录表，备份恢复管理表 由于两表分别针对符合性检查环境和生产环境。两张表中步骤应该比较相似，但是应该有所区别 信息系统故障处理帮助热线支持人员联系表，问题记录日志表，问题分类汇总月报表 问题记录日志表中的记录人，签名以及问题分类汇总月报表中的提交人应该都在信息系统故障处理帮助热线支持人员中有所对应。 问题记录日志表与问题分类汇总月报表中的问题数量以及解决情况应该完全对应。 日常巡检以及日志检查中发现的问题选择转问题处理的也需要填写问题记录并汇总到月报表中,如何检查有相互关联的表单,变更统计表，变更申请表，变更实施表 变更统计表与变更申请表中的变更名称要对应。 3张表内以及表间的填写日期要符合逻辑先后顺序。 电子表格登记表，电子表格变更申请表，电子表格开发申请表 电子表格登记表的内容要与电子表格变更申请表和电子表格开发申请表对应。 信息资产清单与机房设备清单 虽然作为机房巡检附件的机房设备清单不是统一表单，但是其中的内容一定要与信息资产清单里的内容相符合。,目录,第一章-背景及基础知识 第二章-符合性检查工作程序 第三章-如何进行表单检查 第四章-如何编制工作底稿 第五章普遍性问题的检查方法,编制工作底稿分为收集、打印、装订,收集资料 按符合性检查程序，通过访谈、收集书面证据、实地检查和上机实际检查的方法进行符合性检查。 通过测试计划表明确需填写的测试表以及需察看抽样测试表，并获得相关的表单以及支持表单真实性或者关键控制点的证据。 通过证据验证表单的真实性和个别控制点的控制合理性，再由收集上来的表单情况填写抽样测试表，汇总到测试表和测试计划表 打印 打印上述所有的资料和表单，证据，并编制索引和封面等 装订 按封面，索引，资料，6大分类分别以测试计划表，测试表，抽样测试表，表单，证据的顺序加以装订（各个分类间加一页分割页，每页需要有Reference的地方标上Reference）,工作底稿由5大部分组成：,工作底稿,索引,封面,分隔页,主要内容,Reference,资料：公司简介，岗位角色列表，通讯录，符合性检查情况分析，问题记录，访谈记录，会议记录 测试表，抽样测试表，表单，其他检查证据,编制工作底稿的三个注意点,注意一一对应,注意签名,注意Reference,第一，注意要一一对应,在工作底稿中要体现出一套完整的从符合性检查计划到最后具体证据的表单证据链。从测试计划表出发，通过访谈，实地检查等方法完成测试表并收集表单和证据。,测试计划表,测试表,抽样测试表,表单,证据,需求和获得,反馈和验证,第二，注意所有的签名,签名的检查方法可以用分为三步： 检查是否有签名 检查签名是否全 比如测试表需要4人以上的签名：被访谈人，符合性检查人，审核人，GCC负责人 检查签名是否正确， 比如检查笔迹是否一致和对应的签名人是否正确,第三，注意Reference的写法,编码规则： 测试表和抽样测试表为一类按 相关关键控制点编号加后缀（1）（99）的规则来编写，先编测试表的编号，后编抽样测试表的编号，第二张开始只需要填写后缀部分 比如关键控制点编号为GCC-AQ-7的测试表Reference编号为GCC-AQ-7 （1），（2）抽样测试表Reference编号为（3） 表单以及相关支持书面证据按相关关键控制点编号加-099+后缀（1）(99)的规则来编写，顺序按表单1，表单1相关证据，表单2，表单2相关证据，每个表单以及相关证据如果超过1张，第二张开始只需要填写后缀部分 比如关键控制点编号为GCC-AQ-8的表单一共有3张那他们的Reference编号就分别为GCC-AQ8-01，GCC-AQ8-02，GCC-AQ8-03。如果表单以及相关的书面证据超过一张的时候就在后面加后缀（1），（2）(99),颜色：统一用红色进行编写 位置：有两种情况 需要提醒可参见其他资料时的Reference位置 在需要提醒的地方编写 供被调用时的自身Reference编码的位置： 纵向打印的纸张：右上方 横向打印的纸张：折叠后的右上方,写Reference的注意点,打印工作底稿需要注意以下打印要求,打印的要求 所有的格子需要居中 注意页眉页脚，在页脚。在页脚处加上打印时间 如果是分多页打印的表格，比如测试计划表，那么标题需要重复打印 注意打印时的方向问题，要分横向，纵向进行打印,在页脚中加时间,File Page Setup在Page Setup对话框里选Header/Footer选项卡点击Custom Footer,Custom Footer,在页脚中加时间,按下面的图示将按钮放到空白框内，并做相应的设置，使页脚符合要求,保留标题打印,File Page Setup在Page Setup对话框里选Sheet选项卡按实际情况进行配置 （例子中Rows to Repeat at the Top 中$1:$1是指反复在顶部打印第一行，Columns to Repeat at the Left中$A:$B是指反复在左边打印第A列和第B列）,按要求进行工作底稿的装订,装订的要求：纵向装订 注意：要求工作底稿要求纵向装订。所有横向打印的资料，要求左上角对齐后，将宽出的部分逆时针折叠，与纵向的材料宽度一致。如图所示：,目录,第一章-背景及基础知识 第二章-符合性检查工作程序 第三章-如何进行表单检查 第四章-如何编制工作底稿 第五章普遍性问题的检查方法,问题一：GIT-4.2 职责分离,检查内容,检查方法,检查该单位信息安全管理负责人是否定期（每六个月）审核本单位信息系统总体控制活动的职责分离状况，并填写职责分离检查表，是否将不符情况报相关负责人。 包括：应用系统管理员与操作系统管理员是否分离；应用系统管理员与数据库系统管理员是否分离；业务系统使用人员与系统管理人员是否分离；信息系统管理活动的操作者与授权者是否分离；系统程序开发人员与系统使用人员是否分离；系统程序开发人员与系统管理人员是否分离,访谈信息安全管理负责人，了解该单位信息系统总体控制的职责分离管理情况； 获得全部职责分离检查表，抽样检查表单是否经过了信息安全管理负责人的审核签字，是否记录了例外情况； 检查纳入范围的系统中是否实现了角色分离； 填写相关测试表单。,问题二：GIT-31 电子表格,检查内容,检查方法,检查电子表格是否存放在文件服务器受到保护的路径目录下，并对电子表格存放目录权限进行控制。,访谈电子表格负责人，了解电子表格的管理情况，确定电子表格存储管理的相关人员，并获得电子表格汇总表； 访谈这些人员，了解电子表格存储管理的工作方法和流程； 确定样本数量：根据抽样原则从电子表格汇总表中随机抽取样本； 登陆文件服务器，检查抽取的样本表格存放的目录属性及是否设置了权限控制。,电子表格范围及负责人尚未确定，电子表格控制还有大量的工作未完成,问题二：GIT-31 电子表格（续）,检查内容,检查方法,检查重要和一般电子表格的变更是否严格遵循申请、授权、测试和批准的完整过程。,访谈电子表格负责人，了解电子表格变更管理情况，确定电子表格变更管理中涉及的相关人员，获得电子表格汇总表； 访谈这些人员，了解电子表格变更完整过程； 确定样本总体：统计所有电子表格汇总表包含的电子表格全年共发生了多少次变更活动，作为样本总体； 确定样本数量：根据抽样原则随机抽取样本，获得电子表格变更申请表、电子表格登记表及相关的过程文档； 检查申请表内容的填写是否符合要求，是否有电子表格负责人的审批签字； 检查变更测试文档是否经过用户签字确认 检查登记表是否及时进行了更新，是否能够对应到相应的申请表。,问题二：GIT-31 电子表格（续）,检查内容,检查方法,检查重要电子表格是否定期备份，模板的备份存放在文件服务器指定的文件夹中，数据备份由用户各自进行，根据使用的频率决定备份的周期。每年对重要电子表格进行存档，将其存入独立的存储介质，并设置为只读模式。,访谈电子表格负责人，了解电子表格的备份管理情况，确定电子表格备份工作涉及的相关人员，并获得电子表格汇总表； 访谈这些人员，了解电子表格存储管理的工作方法和流程； 确定样本数量：根据抽样原则从电子表格汇总表中随机抽取重要电子表格样本； 检查重要电子表格模板是否进行了备份，并存放在了指定的文件服务器的文件夹中； 检查重要电子表格的最终用户是否对数据进行了定期备份； 检查重要电子表格是否每年在独立的存储介质中进行存档，并被设置为只读模式。,问题三：GIT-16.2 第三方管理,检查内容,检查方法,检查在第三方需要访问中国石油应用系统生产环境时，是否填写用户帐号及权限管理表，说明帐号使用的时间和期限，并得到相关业务部门主管领导的批准。访问结束或访问期限到期，应用系统管理员是否及时收回相应的访问权限,访谈信息技术部门负责人和应用系统负责人，了解系统有无第三方人员的访问，并确定检查人员。 确定样本总体：统计全年纳入范围应用系统的第三方用户数，并察看是否所有第三方用户都填写了用户帐号及权限管理表。 确定样本数量：根据抽样原则随机抽取样本，检查相应的用户帐号及权限管理表。 检查样本表单内容的填写是否符合要求，是否有主管领导的审批签字。 如果第三方用户已到期限，查看是否有对应的管理表进行权限撤销，查看撤销日期与期限是否一致。 检查样本表单中第三方用户申请的帐号、权限与相应系统中