信息系统总体控制GCC

1、信息系统总体控制信息系统总体控制gccgcc2内容提要q 内部控制与coso框架模型q 信息系统总体控制gcc简介q 信息系统总体控制简介q 信息系统总体控制与审计关注点3内容提要q 内部控制与coso框架模型 内部控制的定义 coso内部控制框架及五要素 萨奥法案404条款对内控测试的要求 中国企业内部控制规范对内控测试的要求q 信息系统总体控制gcc简介q 信息系统总体控制简介q 信息系统总体控制与审计关注点4内部控制的定义 什么是内部控制？内部控制是一个活动过程的概念，由企业的董事会，管理层和其他员工共同执行，对以下方面提供合理的保证： 提高经营的效率和效果（针对运营风险） 财务报告可靠

2、性（针对财务风险） 遵循相关的法律法规（针对法律风险）5内部控制的定义（续）内部控制是企业为实现经营目标，保证生产经营活动的高效率运行，保护企业资源的安全完整，确保财务会计信息的正确性、可靠性、一致性，提高经济效益，促进贯彻执行既定的管理政策，而在企业内所采取的组织规划和一系列相互协调的方法、措施、程序的总称。1.内部控制有狭义与广义的区分；2.狭义内部控制是一个活动过程，但一个活动过程并不一定是内部控制3.内部控制规根到底是由人来执行的。内控不仅仅是政策手册的制定、表单的填写和程序的运行，更需要公司各个层面人员的参与和配合；4.内部控制只能对企业的管理层和董事会提供合理范围内的保证，而不是绝

3、对的保证。5.内部控制要求其实就是企业管理要求。6coso内部控制框架及五要素全美预防虚假财务报告发起人委员会（the committee of sponsoring organization of the national commission of fraudulent financial reporting）coso 提出的内部控制整体框架报告，开创性地提出了一套内部控制整体框架体系，是公认的内部控制的标准。coso有五个要素构成：控制环境（control environment）;风险评估（risk assessment）；控制活动（control activities）;信息与沟通（

4、information communication）; 监督（monitoring）7coso内部控制框架及五要素（续）诚信与道德观员工胜任能力董事会或审计委员会管理哲学和经营风格组织结构权责分派体系人力资源政策及实行 目标风险对环境变化的管理高层经理执行绩效分析对信息处理的控制实体控制绩效指标比较分工信息系统沟通持续监控个别评估汇报内部控制缺陷4.信息与沟通3.控制活动5.监督2.风险评估1. 控制环境企业运营财务报告法律法规8coso内部控制框架及五要素（续）控制环境控制环境：确定了一个公司的管理哲学和经营风格，影响了员工的风险防范意识。它是内部控制其它因素的基础，为内部控制提供了指导原则

5、和结构。风险评估：风险评估：是公司为了达到自身的控制目标，对相关风险进行识别和分析的过程，并为如何管理风险奠定了基础。信息与沟通：信息与沟通：为了能够规范并及时地识别信息、捕获信息和交换信息而提供支持的信息系统，以保证每个员工完成自己的工作。有效的沟通是指信息必须在公司内自上而下、横向以及自下而上的传递。它是经营管理的信息不断获取、处理、交流与反馈的动态过程。9coso内部控制框架及五要素（续）监督：由适当的人员，在适当及时的基础下，评估内控体系中控制的设计和运作情况的过程。监督由持续监控和个别评估组成，它为企业内部控制能持续有效运作提供保证。持续的监控活动在经营过程中发生，包括例行的管理和监

6、控活动，以及其他员工为其履行职务所采取的行动。个别评估用以直接监视控制系统的有效性，有时也用于对可持续性监控程序加以评估。控制活动：控制活动：是帮助公司确定其管理层到一般管理者的管理指示被准确执行而建立的政策、程序和实施过程。包括批准、授权、确认计量、绩效审核、资产安全以及职责分工等。10coso内部控制框架及五要素（续）coso五要素之间的相互关系： 1.控制环境是整个内控系统的基石，支撑和决定着风险评估、控制活动、信息传递和监督，是其他四个因素的基础。 2.风险评估是建立控制活动的基础，只有在对风险正确的识别分析上才能管理风险，从而建立恰当的控制活动。 3.控制活动是内部控制的主要组成部分

7、。 4.信息沟通和传递贯穿各个要素之间，将整个内控结构凝聚在一起，是内部控制体系的生命线，为管理层监督各项活动和在必要时采取纠正措施提供了保证。 5.监督位于顶端的重要位置，是内控系统的特殊构成要素，它独立于各项生产经营活动之外，是对其他内部控制的一种再控制。11内容提要q 内部控制与coso框架模型q 信息系统总体控制gcc简介 信息系统总体控制与财务风险 信息系统总体控制定义及控制领域 pcaob审计准则5号对gcc的要求 中国企业内部控制规范对gcc的要求q 中石油信息系统总体控制简介q 中石油信息系统总体控制与审计关注点12信息系统总体控制与财务风险重要财务报表数据信息技术特有的风险与

8、信息技术相关的风险主要业务类型控制活动自动控制与程序手工依赖系统的控制手工控制信息处理风险重要的自动或手工业务流程信息系统及基础设施财务报告财务数据信息系统用户权限信息系统总体控制13信息系统总体控制与财务风险（续） 信息处理风险：信息处理风险：是指在业务流程层面导致财务报表在交易层面认定发生错误的可能性， 例如某笔已经发生的销售收入没有记账。 与信息技术相关的风险：与信息技术相关的风险：是指在信息技术层面导致全自动或依赖系统半自动的过程发生错误的可能性，例如系统升级失败导致销售订单的审批功能失效。 信息技术特有的风险：信息技术特有的风险：是指通过信息技术对信息系统中的财务数据进行非授权或不适

9、当的修改，导致财务报表披露发生错误的可能性。 信息系统总体控制（包括用户权限控制），直接针对与信息技术相关的风险和信息技术特有的风险，并通过信息系统总体控制依赖下的自动控制及手工依赖系统的控制对信息处理的风险进行防范。14手工控制实施证据自动控制实施证据信息系统总体控制gcc信息系统总体控制与财务风险（续）财务报表披露项目(重要会计科目)业务流程手工控制（手工业务流程）应用系统自动控制（系统自动业务流程）系统用户权限访问控制（权限相关的业务流程）地区公司 / 业务流程 / 业务子流程* 从内部控制和财务审计的角度来看，信息系统自动控制和用户权限访问的有效性都直接依赖于gcc的有效性，从而影响财

10、务相关的业务流程，对财务数据的真实准确性有着间接的重要影响。15信息系统总体控制定义及控制领域信息系统总体控制（gcc）是指用来管理与监控信息技术活动和计算机环境的内部控制，属于内部控制框架五要素中“控制活动”的范畴，通常包括以下五个领域：信息系统总体控制信息技术控制环境信息安全系统日常运作变更管理项目建设管理 项目建设管理：项目建设管理：开发方法论、项目立项审批、项目启动阶段、项目需求分析、项目设计、系统开发实施、系统测试、数据移植、系统上线、项目验收、上线后审阅、用户培训、项目文档管理等 变更管理：变更管理：应用系统日常变更、系统环境日常变更、紧急变更管理等 系统日常运作：系统日常运作：机

11、房环境控制、系统日常运作监控、批处理作业调度管理、数据备份与恢复、问题管理等 信息安全：信息安全：信息安全组织、逻辑安全、物理安全、网络安全、计算机病毒防护、外部第三方信息安全管理、信息安全事件响应等 信息控制环境：信息控制环境：总体环境、信息与沟通、风险评估、监控等16信息系统总体控制定义及控制领域（续） 公司业务需要完整和准确的信息支持财务报告和财务决策，公司的应用系统支持财务相关信息。 信息系统总体控制与公司财务数据的真实性、准确性、完整性具有直接或间接的关系，直接或间接地降低应用系统中财务数据发生错误的可能性。 有效的信息系统总体控制可以确保依赖系统所进行的应用控制、自动会计处理能够持

12、续有效地运行；同时信息系统总体控制对于依赖系统生成信息而进行的手工控制也是十分重要的。17信息系统总体控制定义及控制领域（续）完善的信息系统总体控制可以为应用控制的有效性提供有力的保障，从而为流程的有效性和财务数据的准确性奠定基础信息系统总体控制薄弱信息系统总体控制薄弱信息系统总体控制完善信息系统总体控制完善某些应用控制的有效性取决于某些应用控制的有效性取决于gccgcc的有效性的有效性信息系统总体控信息系统总体控制制信息系统总体控信息系统总体控制制应用控制应用控制应用控制应用控制18pcaob审计准则5号对gcc的要求理解或更新企业所运用的信息系统，并且评估信息技术对于财务报表的可靠性产生影

13、响的相关风险考虑自动控制的级别和复杂程度、所运用的平台、信息安全的方法和架构、已知的问题、处理事务的性质和数量经营活动中出现的重大变化或风险，能够影响到系统稳定处理和维护交易和金额的能力，例如：交易处理的性质和数量发生变化会计和法规要求的重大变更对系统和业务流程产生影响操作层面的重大变更或关键岗位人员的轮换19pcaob审计准则5号对gcc的要求（续）已知或新出现的系统故障(例如：财务系统和备份数据的经常性恢复或其它类似的系统不稳定迹象)新的系统开发；新硬件和软件的安装或重大的软件升级；信息安全架构或信息安全管理的重大变更已知的数据损坏、安全漏洞或其它安全事件，能够反映潜在的内部控制问题公司组

14、织结构出现重大变更或与it职能或关键业务流程相关的关键政策和程序(包括手工控制)出现重大变更进行信息安全监控的结果20中国企业内部控制规范对gcc的要求信息系统控制要求企业结合实际情况和计算机信息技术应用程度，建立与本企业经营管理业务相适应的信息化控制流程，提高业务处理效率，减少和消除人为操纵因素，同时加强对计算机信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全、有效运用。 企业内部控制基本规范企业内部控制基本规范21中国企业内部控制规范对gcc的要求（续）现有规章制度的执行是否切实遵守已经制定的规章制度，是否存在违规事项；岗位分工、职责权

15、限和授权批准是否存在财务信息系统不相容职务混岗的现象，是否存在越权审批行为；系统开发时是否考虑了企业的实际情况和履行了相应的决策程序，系统投入使用前是否进行了充分测试，测试结果是否理想测试结果是否理想，是否定期检测系统运行情况并妥善处理潜在危险； 操作规范和运行控制：是否存在明确的工作程序和操作规范，是否存在分级操作管理权限；信息使用和管理控制：是否实现了数据共享、集中管理和集成应用，是否存在数据定期备份和紧急情况预案制度； 中央企业财务内部控制评价工作指引中央企业财务内部控制评价工作指引22内容提要q 内部控制与coso框架模型q 信息系统总体控制gcc简介q 中石油信息系统总体控制简介 中

16、石油的信息系统简介 中石油信息系统总体控制的发展q 中石油信息系统总体控制与审计关注点23中石油的信息系统简介企企 业业 层层 面（面（ 覆覆 盖盖 所所 有有 地地 区区 公公 司司 ）erp系统系统总部会计一级总部会计一级集中核算系统集中核算系统加油站加油站管理系统管理系统sap-hr（人力资源系统）（人力资源系统）地区公司地区公司 电子商务系统电子商务系统股份公司信息系统开发整体架构图示aris系统（业务流程管理信息系统）系统（业务流程管理信息系统）地区公司地区公司 国际事业国际事业sap系统系统地区公司地区公司 物资信息物资信息管理系统管理系统地区公司地区公司 icts交易交易管理系统

17、管理系统24作为信息技术总体规划中有关综合管理领域的关键组成部分，该系统重在对集团公司内部控制和业务流程进行全面的信息化管理。一方面，系统采用规范的流程设计，构建统一的风险数据库和流程数据库，在线发布，对集团公司各项重大风险数据进行集中管理，并通过流程分析与优化和流程监控，对集团公司全部业务活动和风险防范工作进行管理。另一方面采用控制测试模块，实现对风险控制措施的在线检查测试、记录、评估、改进、报告全过程系统支持，强化了对风险控制的监督检查。 中石油的信息系统简介-aris系统25中石油的信息系统简介- erp系统erp系统作为信息技术总体规划中erp领域的关键组成部分，该系统是基于企业现代化

18、管理理念，将人力资源、采购、销售、财务、生产、库存等业务功能综合集成, 并已得到全面建设实施的信息系统。erp系统强调业务流程的规范、统一及管理的标准化，对防范集团公司重大业务运营风险的有效控制的形成，提供了运行基础和技术手段，并已成为集团公司信息化高水平的重要标志。股份公司自2006年启动了基于sap的erp系统建设项目，股份公司范围内除大连西太（中石油非控股方）外所有地区公司均纳入erp系统建设范围。目前已经建立系统实施规划的有76家地区公司，其余地区公司也将陆续进行erp系统建设，按照集团领导批示，到“十一五”末，基本完成建设以erp系统为核心的信息管理方案。26中石油的信息系统简介-会

19、计一级集中核算会计一级集中核算系统是信息技术总体规划中与财务管理领域的密切相关的组成部分，该信息系统通过集中核算、前移监控关口，形成对集团公司整体财务数据的统一集中管理；该系统的运用不仅对财务风险的识别与监督提供有效的信息支持，而且对加强战略、市场、经营类的风险识别与监督提供了充分的数据分析支持。会计一级集中核算系统由6个子系统（fmis7.0、fa7.0、fmis内部交易平台、fmis标准管理平台、fmis报表管理系统和财务专用sap）以及5个接口（fmis与erp通用凭证接口、fa与erp凭证接口、内部交易平台与erp接口、fmis与fa固定资产接口、fmis与fa无形资产接口）构成。地区

20、公司fmis7.0中的财务凭证经过系统审核后，实时传递到总部的财务专用sap系统进行收集和汇总。财务专用sap主要负责自动对收集的凭证进行汇总，从而生成预制报表，等待总部fmis7.0报表管理系统从财务专用sap中取数，并最终生成对外披露的财务报表。27中石油信息系统总体控制的发展信息系统总体控制实施办法信息系统总体控制实施办法中石油信息系统总体控制制度体系旨在整个公司范围内更加科学、规范地应用信息技术，提高企业在信息技术开发、实施、运营活动方面的控制能力，增强日常信息工作效率，更好地保护信息资产，提高信息技术对业务的支持力度。信息系统总体控制实施办法是信息系统总体控制制度体系的重要组成部分，

21、是根据信息系统总体控制的要求制定的、用于指导日常信息技术管理和运营的管理流程和具体要求。28中石油信息系统总体控制的发展(续)gcc实施办法实施办法信息系统总体控制实施办法涵盖了it管理和运营所涉及的各个方面:n控制环境控制环境q信息技术组织q人力资源管理q信息沟通q风险评估q监控n信息安全信息安全q信息安全组织q逻辑安全q物理安全q网络安全q病毒防护q第三方管理q安全事件响应n项目建设管理项目建设管理q项目立项项目立项审批商业软件及硬件的外购q项目建设方法论项目启动需求分析项目设计系统开发实施系统测试数据移植系统上线项目验收和上线后审阅q项目管理项目培训管理项目文档管理项目问题管理项目变更管

22、理n系统变更系统变更q日常变更q紧急变更n信息系统日常运作信息系统日常运作q机房环境控制q日常监控q批处理作业管理q备份与恢复q问题管理29内容提要q 内部控制与coso框架模型q 信息系统总体控制gcc简介q 中石油信息系统总体控制简介q 中石油信息系统总体控制与审计关注点 中石油信息系统总体控制 中石油gcc例外事项举例30数据库数据库应用系统应用系统操作系统操作系统网络环境网络环境增加风险水平增加风险水平信息安全领域最主要的控制目标是确保财务数据的安全性。随着制度层面、网络层面、操作系统层面、应用系统层面、数据库层面系统数据的可接触性逐步增加，以上各个层面对数据安全性的威胁程度（即：风险

23、）也逐步增大。基于风险的不同，信息安全控制领域的关键控制与测试程度也在不同的信息技术层面存在差异。中石油信息系统总体控制（信息安全）31中石油信息系统总体控制（信息安全）序号控制目标描述内部控制点描述控制频率预防型/发现型控制实施证据git-4.2能够在合理的范围内确立信息安全管理组织及人员的安全职责，以避免信息系统、资源和数据受到有意或无意的危害或误用。信息安全管理负责人定期（每六个月）审核本单位信息系统总体控制活动的职责分离状况，填写职责分离检查表，将不符情况报相关负责人。半年预防型职责分离检查表git-5.1能够在合理的范围内有效防止对信息系统（包括数据库、操作系统、网络、应用系统）的未

24、授权逻辑接触。用户需要直接访问系统中的数据时，应提出申请，由用户主管领导和应用系统负责人进行审批后执行。按需预防型数据库直接访问申请表32中石油信息系统总体控制（信息安全）序号序号控制目标描述控制目标描述内部控制点描述内部控制点描述控制控制频率频率预防型预防型/ /发现发现型型控制实施控制实施证据证据git-6.1能够在合理的范围内确保用户被授予的系统权限和他们的工作职责相符，满足职责分离的要求。用户帐号的增加、变动、删除能及时执行以减少未经授权或不恰当的对财务报告有关的应用系统和数据的接触应用系统、数据库、操作系统（含网络操作系统）及网络设备的帐号及权限的申请、变更及撤销需要经过有效的审批或

25、授权，审批时应对照职责分离矩阵进行检查，确保用户权限申请和变更符合职责分离要求。按需预防型用户账号及权限申请表git-7.1能够在合理的范围内确信管理层或系统所有者定期审阅与财务报告有关的应用系统及数据的接触权限以确定授予权限的适当性。应用系统负责人每三个月审核应用系统的用户账号和用户权限设置。每季发现型用户账号及权限检查表git-7.2应用系统负责人每三个月审核数据库管理员和操作系统管理员的账号及权限设置。网络管理负责人每三个月审核网络管理员的账号及权限设置。每季发现型用户账号及权限检查表33中石油信息系统总体控制（信息安全）序号序号控制目标描述控制目标描述内部控制点描述内部控制点描述控制控

26、制频率频率预防型预防型/ /发现发现型型控制实施控制实施证据证据git-9.2能够在合理的范围内确保实施安全的口令标准以降低由于口令被破解而导致信息系统被非法接触的风险。应用系统、数据库、操作系统、网络设备等系统的厂商初始口令在系统投入使用前进行修改。按需预防型初始口令无法登录拷屏git-10.2能够在合理的范围内确保企业操作系统有适当的安全配置以保证公司信息系统与资源的安全。信息安全管理负责人在操作系统管理员协助下，每年审核windows服务器操作系统设置是否符合标准配置方案。每年预防型操作系统安全配置检查表git-10.3信息安全管理负责人在操作系统管理员协助下，每年审核unix服务器操作

27、系统设置是否符合标准配置方案。git-10.4信息安全管理负责人在操作系统管理员协助下，每年审核linux服务器操作系统设置是否符合标准配置方案。34中石油信息系统总体控制（信息安全）序号序号控制目标描述控制目标描述内部控制点描述内部控制点描述控制控制频率频率预防型预防型/ /发现发现型型控制实施控制实施证据证据git-12.3能够在合理的范围内确保对企业内部网络的外部internet接入点采取了足够的安全保障措施，以防止未经授权的外部人员接触公司信息系统与资源。信息安全管理负责人在网络管理员协助下，定期（每三个月）审核防火墙配置是否符合安全配置标准。每季预防型防火墙安全配置检查表git-12

28、.4各级信息技术部门对边界网络出口进行登记，并报股份公司信息管理部审批。各级信息技术部门需新增边界网络出口时，应填写边界网络出口申请表，报股份公司信息管理部审批同意后执行。按需预防型边界网络出口申请表git-13.1网络管理员每周检查防火墙日志，对检查结果签字确认。每周发现型防火墙日志检查表35中石油信息系统总体控制（信息安全）序号序号控制目标描述控制目标描述内部控制点描述内部控制点描述控制控制频率频率预防型预防型/ /发现发现型型控制实施控制实施证据证据git-11.2能够在合理的范围内确保已经建立了对数据中心、机房及敏感的纸质系统文件的有效的物理安全控制，并确信其接触仅限于授权的人员。进入

29、机房人员需根据进入机房的事由，经进入机房授权人员同意后，按规定填写机房出入登记表进入机房。机房负责人定期检查机房出入登记情况。按需预防型机房出入登记表git-14.1能够在合理的范围内确保对企业内部网络资源和应用程序的远程接入建立有效的安全机制以防止对企业系统资源未经授权的接触。用户申请远程登录帐号时，填写远程登录帐号申请表并提交给用户主管领导和网络管理负责人审批后方可实施。按需预防型远程登录帐号申请表git-14.2网络管理负责人每三个月审核用户远程登录帐号是否合理，以及是否存在无人使用的用户帐号，将审核结果填写在远程登录权限检查表中，并签字确认。每季预防型远程登录权限检查表36中石油信息系

30、统总体控制（信息安全）序号序号控制目标描述控制目标描述内部控制点描述内部控制点描述控制控制频率频率预防型预防型/ /发现发现型型控制实施控制实施证据证据git-15.1能够在合理的范围内确信企业的数据和信息系统不被病毒或其他恶意程序攻击。安装windows操作系统的服务器和个人计算机，应安装统一的防病毒软件。按需预防型服务器和个人计算机的防病毒软件git-15.2及时更新防病毒软件商发布的最新病毒库。按需预防型服务器和个人计算机的防病毒软件git-16.2内部控制能合理提供对第三方供应商接触企业网络或为企业提供交易处理的有效安全机制。第三方需要访问中国石油应用系统生产环境时，应填写用户帐号及权

31、限管理表，说明帐号使用的时间和期限，并得到相关业务部门主管领导的批准。访问结束或访问期限到期，应用系统管理员应及时收回相应的访问权限按需预防型第三方用户帐号及权限管理表37中石油信息系统总体控制（信息安全）对于测试期间系统用户权限变更的情况，审计人员不会仅依赖访谈和被测试人员提供的用户账号及权限管理表直接作为样本总量。可能通过将本次测试从系统中导出的用户清单及权限列表与上一次测试导出的相应数据进行比较，大体上分析出测试期间的用户及权限变化情况，尤其是在被审计人员告知测试期间无用户权限变更的情况（无样本）下，更需要通过以上比较分析证实无样本的结论。与此相关的信息安全领域控制点为git5.1/gi

32、t6.1/git7.138蓝图设计系统实现用户测试权限设计上线准备应用系统通用实施过程实施项目主要成果确认流程蓝图项目准备可行性分析立项申请项目章程/计划 数据编码规则基本配置组织结构需求分析功能开发文档单元测试集成测试用户接受测试权限设计文档权限确认文档用户培训文档上线文档数据移植对账报告数据转换文档中石油信息系统总体控制（项目开发）39中石油信息系统总体控制（项目开发）序号序号控制目标描述控制目标描述内部控制点描述内部控制点描述控控制制频频率率预防型预防型/ /发现发现型型控制实施控制实施证据证据git-21.2能够在合理的范围内确信程序开发由完善的程序开发方法论指引，经过审批后的项目建设

33、严格遵循该方法论实施与财务报告有关的系统开发和外购。项目经理应组织制订项目的总体计划，应包括项目范围、进度管理、人员需求、沟通管理等基本内容。按需预防型项目总体计划git-21.4项目立项由项目建设单位根据自身业务需求提出申请，本单位信息技术部门和规划计划部门负责审批。按需预防型项目总体计划40中石油信息系统总体控制（项目开发）序号序号控制目标描述控制目标描述内部控制点描述内部控制点描述控控制制频频率率预防型预防型/ /发现发现型型控制实施控制实施证据证据git-22.1能够在合理的范围内确信在新系统实施过程中，对业务功能需求和内部控制点需求进行了清楚的定位。需求分析报告完成后，项目经理组织项

34、目组与各相关方共同讨论该报告，各方确认报告内容后，在报告上签字。按需预防型用户需求分析git-22.2相关方负责人应对项目设计说明书进行审阅和确认。按需预防型用户需求分析git-22.3项目进程中出现变更需求时，应填写变更申请单，由项目经理决定是否变更，或逐级上报项目管理办公室和项目指导委员会进行审批。按需预防型用户需求变更申请41中石油信息系统总体控制（项目开发）序号序号控制目标描述控制目标描述内部控制点描述内部控制点描述控控制制频频率率预防型预防型/ /发现发现型型控制实施控制实施证据证据git-23.1能够在合理的范围内确信有关财务报告的程序开发及系统外购经过了足够的测试并且测试结果由适

35、当级别的信息技术部门和业务部门管理层签署。系统应经过用户接受测试，用户要对测试结果进行签字确认。按需预防型用户接受测试报告git-23.2在项目的执行过程中，应确保开发、测试和生产环境的隔离，项目经理应对项目执行过程中是否符合环境隔离要求进行审阅，并将审阅结果反映在项目阶段报告中。按需预防型环境隔离审阅报告42中石油信息系统总体控制（项目开发）序号序号控制目标描述控制目标描述内部控制点描述内部控制点描述控控制制频频率率预防型预防型/ /发现发现型型控制实施控制实施证据证据git-24.2能够在合理的范围内确信新系统上线所需的移植数据的真实性和完整性。数据移植应进行测试，确保数据移植的准确性和完

36、整性，由用户对数据移植的测试结果进行确认并签名。按需发现型数据移植的测试结果（并行对账结果）git-26.1能够在合理的范围内确信上线与上线后评估能被有效执行以保证与财务报告有关的应用系统运行正常。在上线前，项目经理要提交系统上线计划和上线申请表给信息技术部门和业务部门管理层审批，系统上线操作人员负责将最后版本的系统程序移植到生产环境。按需预防型上线申请表43中石油信息系统总体控制（项目开发） 项目开发测试阶段的重要意义，在于发现开发项目本身是否存在系统并不满足实际业务需要的问题。因此，在用户测试报告中审计人员不仅仅要关注是否存在测试人的确认签字，而且还要注重测试内容中是否记录了所发现的相关问

37、题及后续处理结果，与此相关的控制点为git23.1;根据系统开发的规模和性质的不同，进行数据移植的时间点及方法也不同。有些系统开发是在用户接受测试完成后才进行数据移植，而有些项目是在用户接受测试之前就进行数据移植。有些项目是利用应用软件工具将静态数据（主数据）和动态数据（交易数据）进行自动导入至新系统，有些项目是采用人工初始化录入的方式。但是，无论何时采用何种方式，为了保证数据移植的正确性，必须进行至少3个会计期间的新旧系统对账，与此相关的控制点为git24.2;对于系统最终的上线审批，相关领导的签字批准固然必不可少，但审计人员还要关注在上线审批之前的确进行了相应的测试、数据移植对账等控制活动

38、，这些上线前的准备工作是否已经完成并体现在上线申请报告中，与此相关的控制点为git26.1;44中石油信息系统总体控制（系统变更）日常变更系统变更管理应用系统变更系统环境变更系统变更清单紧急变更45中石油信息系统总体控制（系统变更）序号序号控制目标描述控制目标描述内部控制点描述内部控制点描述控制控制频率频率预防型预防型/ /发现发现型型控制实施控制实施证据证据git-17.3建立系统变更管理流程，并监控该流程的有效性。用户申请变更时应提交变更申请，由主管领导和应用系统负责人（或信息技术部门负责人）进行审批后实施。按需预防型变更申请表git-18.1应在与生产环境相隔离的测试环境中根据实际需要进

39、行适当的系统变更的测试，确保系统变更能满足业务需求，且不会影响现有的处理流程。负责变更实施及测试的信息技术人员建立与生产环境相隔离的开发/测试环境，并在其中进行变更的开发及测试。按需预防型变更实施表git-18.3变更过程如果牵涉源代码修改，负责变更实施的信息技术人员填写源代码变更交接表，在应用系统负责人批准后，从系统源代码保管人处取得所需的系统源代码。按需预防型源代码变更交接表46中石油信息系统总体控制（系统变更）序号序号控制目标描述控制目标描述内部控制点描述内部控制点描述控控制制频频率率预防型预防型/ /发现发现型型控制实施控制实施证据证据git-19.1确保只有授权的、经过测试的变更才能

40、迁移到生产环境变更申请人的主管领导、应用系统负责人（或信息技术部门负责人）共同审核程序版本的准确性，确定是否可以上线。按需预防型变更实施表git-20.1能够在合理的范围内确信与系统设置、应用程序及信息技术基础架构有关的紧急变更被有效及安全的执行。当发生紧急变更时，相关人员应立即通知其主管领导、应用系统负责人（或信息技术部门负责人），在获得批准后，可立即采取变更措施。但事后应补填变更申请表、变更实施表等相关表单，并经过相关负责人的审核。按需预防型变更申请表、变更实施表47中石油信息系统总体控制（系统变更）进行系统变更的原因与项目开发的原因一致，都是系统的功能无法满足实际业务需求。与项目建设有所

41、不同的是，系统变更没有正式的业务需求分析书及用户接受测试报告来体现系统功能变更的具体内容。因此，审计人员除了在系统变更申请表中检查申请人与审批人的签字确认，还要关注系统变更记录中是否存在对变更内容的介绍，申请/审批人是否判断了系统功能变更与实际业务的满足关系。与此相关的控制点为git17.3/ git19.1:48中石油信息系统总体控制（日常运维）机房巡检机房巡检批处理作业批处理作业备份作业备份作业问题管理问题管理49中石油信息系统总体控制（日常运维）序号序号控制目标描述控制目标描述内部控制点描述内部控制点描述控控制制频频率率预防型预防型/ /发现发现型型控制实施控制实施证据证据git-27.

42、2能够在合理的范围内确信信息处理及通讯传输设备得到适当的保护并置于定期监控下，以防范来自于环境因素的损坏，保证企业系统资源的持续可用性机房负责人指定人员每天对设备运行状况进行巡检，检查人员对检查结果签字确认。每日发现型机房巡检登记表50中石油信息系统总体控制（日常运维）序号序号控制目标描述控制目标描述内部控制点描述内部控制点描述控控制制频频率率预防型预防型/ /发现发现型型控制实施控制实施证据证据git-28.1管理层能确保各关键系统的批次作业能及时正确地执行，所有异常情况都能及时识别和调整。应用系统管理员编制批处理作业清单及批处理作业详细说明书，批处理作业详细说明书由应用系统负责人进行审核，经批准后遵照执行。按需预防型批处理作业清单及批处理作业详细说明书git-28.3应用系统管理员根据具体批处理作业的检查周期，定期检查批处理作业的执行情况，并对检查结果签字确认。按需预防型批处理作业检查表51中石油信息系统总体控制（日常