1、IT一般性控制检查动员,信息系统管理部 2006.7.25,一、SOX法案与IT控制 二、IT一般性控制检查评价内容和方法 三、几点要求,2001年美国安然、世通等公司因一系列丑闻而破产,连带安然外部审计师安达信会计师事务所的破产,导致美国出台萨班斯法案。法案302条款、404条款对内部控制提出了严格监管要求。 103条款: 审计师必须保留所有的审计相关记录(包括电子文件)七年以上,即刻生效 302条款: CEO和CFO必须签署报告,保证财务报告的完整性和准确性,即刻生效 404条款: CEO、 CFO和外部审计师必须审核财务报表内控的有效性,即刻生效 409条款: 公司必须及时披露财务状况的
2、重大变动,一、SOX法案与IT控制,一、SOX法案与IT控制,使上市公司符合萨班斯奥克斯利法案(Sarbanes-Oxley Act,简称SOX法案)302、404等条款的要求,是对上市公司IT控制的挑战。,与财务报告相关的重要法案、法规一览表 2002年7月30日 美国总统布什签发了萨班斯-奥克斯利法案(SOX法案) 2002年8月29日 美国证券交易委员会根据SOX法案第302条款的要求,颁布 对有关条款的最终条例 2003年6月5日 美国证券交易委员会根据SOX法案第404条款的要求,颁布对有关条款的最终条例和对第 302条款的补充修订 2004年3月9日 美国上市公司会计监管委员会(P
3、CAOB)发布第2号审计准则 2004年5月12日 美国ITGI发布IT Control Objectives for SOX 2004年6月17日 美国证交会批准 PCAOB 发布第2号审计准则 2006年4月30日 ITGI发布IT Control Objectives for SOX,2 Edition,一、SOX法案与IT控制,SOX法案第404条款管理层对内部控制的评价 管理层必须建立与财务报告相关的内部控制体系 每年报告 管理层声明建立与财务报告相关的内部控制的责任 自我验证与评价与财务报告相关的内部控制的有效性 自我评价经外部审计师查证并出具独立审计意见 生效日期 “提前申报人”
4、 :2004年11月15日之后第一个财务年度年度结束时(原为2004年6月15日) 外国公司:2006年7月15日之后第一个财务年度结束时(原为2005年4月15日),一、SOX法案与IT控制,PCAOB第2号审计准则对外部审计师的要求PCAOB第2号审计准则要求外部审计师,对上市公司管理层与财务报告相关的内部控制进行独立审计,并正式出具一份审计师 404 审计报告,其中包括两个评价意见: 1、对上市公司管理层评价结论的意见 2、对上市公司与财务报告相关内部控制有效性的独立意见,一、SOX法案与IT控制,美国上市公司会计监管委员会(PCAOB)配合SOX法案颁布第2号审计准则,在涉及财务报告相
5、关的内部控制审计时指出,信息技术是内部控制的一个不可缺少的部份。,一、SOX法案与IT控制,美国上市公司在各业务流程中存在的控制缺陷、显著缺陷和实质性漏洞所占的比例(数据来源:毕马威 404学会于2005年2月进行的调查):,一、SOX法案与IT控制,美国证监会要求各个上市公司在建立内控体系的时候要遵循相应的内控框架。其中COSO的内部控制-整体框架已成为遵从SOX法案最流行的内控框架,但是COSO并没有涉及如何设计和实施IT控制;有关IT控制的标准是COBIT。,一、SOX法案与IT控制,三、几点说明和要求1992年,COSO颁布了内部控制整体框架报告。,2004年9月,结合SOX法案 CO
6、SO颁布了企业风险管理总体框架提出八要素:内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息与沟通、监控。,一、SOX法案与IT控制,信息技术是SOX整体要求不可或缺的一部分对IT控制的标准就是COBIT(Control Objectives for Information and Related Technology,信息及相关技术控制目标),是一个国际通用的IT治理方法论和IT控制模型。由美国信息系统审计和控制协会ISACA(Information System Audit and Control Associates)下属的IT治理协会ITGI(IT Governance
7、Institute)于1996年发布第1版本,1998年第2版本,2000年发布第3版本,2005年发布4.0版本。ITGI于2004年5月提出了“IT Control Objectives for Sarbanes-Oxley”,于2006年4月提出了第二版。,一、SOX法案与IT控制,4 个域规划与组织域(PO1-10)获得与实施域(AI1-7)交付与支持域(DS1-13)监控和评估域(ME1-4) 34 个流程 7 个业务需求指标:有效性、高效性、保密性、完整性、可用性、一致性、可靠性 4 种资源,一、SOX法案与IT控制 COBIT 4.0 三维架构,ITGI“IT Cotrol Ob
8、jectives for SOX,2 Edition ”,ITGI“IT Cotrol Objectives for SOX,2 Edition ”,IT一般性控制,“IT一般性控制”检查评价是针对IT系统控制点而进行的,由IT专业人员负责,主要是对IT系统在安全性、可靠性和合理性等方面的设计及运行实施有效性进行检查和评价。“应用控制”检查评价是针对业务流程而进行的,由相关业务人员负责,针对业务流程控制点,检查评价IT应用系统(如ERP系统)操作的合法性、规范性等进行检查和评价;IT专业人员可根据需要配合工作。,IT在内控和财务报告生成过程的职责包括:理解企业的内控和财务报告生成过程 画出支持
9、内控和财务报告生成过程的IT系统流程图 识别这些与财务报告生成相关的IT系统的风险 设计并实施能有助于降低可识别风险的控制环节,并且持续有效地实施监控 准备完整的文档并对IT控制进行测试 确保IT控制对内控和财务报告生成过程的同步更新 持续监控IT控制的有效性-摘自ITGI“IT Cotrol Objectives for SOX,2 Edition ”,ITGI“IT Cotrol Objectives for SOX,2 Edition ”,ITGI“IT Cotrol Objectives for SOX,2 Edition ”,附件B:IT一般性控制表9-12:控制环境、信息和沟通、风
10、险评估、监控表13-25:获得和开发应用软件、获得技术基础设施、开发和维护的制度和过程、安装和测试、变更管理、定义和管理服务层次、第三方服务管理、系统安全标准、配置管理、问题和事件管理、数据管理、操作管理、终端用户计算机系统等,一、SOX法案与IT控制 二、IT一般性控制检查评价内容和方法 三、几点要求,信息技术一般性控制(IT General Controls)IT一般性控制检查评价围绕与财务报告生成相关并产生影响的信息系统开展,如ERP系统。其主要检查评价内容包括: 1.整体层面的IT控制(Entity Level) 2.程序和数据访问 (Access to Programs and Da
11、ta) 3.程序变更 (Program Changes) 4.程序开发 (Program Development) 5.系统运行/计算机操作 (Computer Operations) 6.终端用户计算 (End-user Computing),二、IT一般性控制检查评价内容和方法,1.整体层面的IT控制(Entity Level) 包括:控制环境(IT战略规划与计划、IT组织与关系、教育和培训等)信息与沟通风险评估监控,信息技术一般性控制(IT General Controls),2.程序和数据访问(Access to Programs and Data) 包括(不限于下列控制内容): 实施
12、有效的信息安全政策措施及向员工的推广执行; 防止未经授权访问(网络、操作系统、数据库及应用层面); 对用户的增删、修改都经过管理层授权; 定期对系统中用户的访问权限进行审阅; 职权分离等。,信息技术一般性控制(IT General Controls),3.程序变更(Program Changes) 包括(不限于下列控制点内容):有关变更管理制度系统或应用程序的变更都经过适当的管理层的授权; 变更后发布到生产环境运行之前经过了测试、校验和审批; 版本管理;不相容职责等。,信息技术一般性控制(IT General Controls),4.程序开发(Program Development) 包括(不
13、限于下列控制点内容):程序开发项目管理制度的建立及执行;应用系统及硬件基础架构的开发/采购应经过适当级别的IT部门和公司业务管理层的审批 ;程序开发、实施过程进行了充分的测试,并且该测试结果经过用户签字和管理层的批准; 数据迁移过程中有足够的控制保证数据的准确性及完整性。文档管理 注:适用于2006年1月1日起新开发投用的系统,信息技术一般性控制(IT General Controls),5.系统运行(Computer Operations) 包括(不限于下列控制点内容):批处理任务的设定及实施;系统和数据定期备份,确保重要数据在需要时可以恢复; 备份介质进行定期恢复测试,确保备份介质的质量及
14、系统和数据的可恢复性; 备份介质访问权限的控制;建立问题管理流程,以及时记录、分析、解决与生成财务报表有关的系统和应用程序的问题和错误; 设置相应的应急程序,以防系统出现故障等。,信息技术一般性控制(IT General Controls),6.终端用户计算 (End-user Computing)指与财务报告数据生成有关、并对数据按公式进行加工处理的excel、access、vb等电子表格、小程序等。终端用户计算提高了日常工作的质量和速度,但也带来了风险,其处理的数据易产生未经授权的访问和非法修改等风险。因此,管理层应制定相关制度和措施来确保终端用户计算环境下的IT一般性控制有效性,包括对影
15、响财务报表的重要电子表格等进行有关授权制度、公式访问保护、测试、备份、文档等管理。,信息技术一般性控制(IT General Controls),6.终端用户计算(End-user Computing) 包括(不限于下列控制点内容):访问管理-影响财务报表的重要电子表格和其他用户自编程序如果存放于单机环境,则应由相关部门设定密码保护,防止非授权人员进行访问;如果存放在文档服务器上,需建立访问控制措施。变更管理-相关部门在影响财务报表的重要电子表格模板需要进行变更时,应对完整性和准确性进行测试,并在测试通过后在测试文档上书面确认。在测试结果通过主管人员的审批后,方可使用更新后的电子表格模板。,信
16、息技术一般性控制(IT General Controls),6.终端用户计算 (End-user Computing)开发管理-重要电子表格模板在开发过程中,其输入、处理及输出,必须由用户对完整性和准确性进行测试,并在测试通过后在测试文档上书面确认;测试结果通过主管人员的审批后,方可使用新开发的电子表格模板。备份管理-公司或部门应建立文档服务器(例如网络共享目录)或其他备份介质,相关人员定期对影响财务报表的重要电子表格和其他用户自编程序在文档服务器或其他介质上进行备份保存。,信息技术一般性控制(IT General Controls),二、IT一般性控制检查评价内容和方法,二、IT一般性控制检
17、查评价内容和方法,二、IT一般性控制检查评价内容和方法,IT一般性控制检查评价过程 1.界定IT系统范围按照本单位企业财务报告生成过程,画出支持财务报告生成过程的IT系统关系图,界定进行IT一般性控制检查评价的IT系统(包括电子表格等)范围。 2.识别确定控制点,设计生成“控制矩阵”和“工作底稿”针对所界定的IT系统范围,识别确定这些与财务报告生成相关的IT服务活动为了实现控制目标、防范风险的控制点。对控制点进行描述,设计生成本单位“IT一般性控制矩阵”(以下简称“控制矩阵”)、“IT一般性控制工作底稿”(以下简称“工作底稿”)和相应的表单等文档。,二、IT一般性控制检查评价内容和方法,IT一
18、般性控制检查评价过程 3.进行检查评价按“工作底稿”要求对控制点进行穿行测试、设计有效性及实施有效性检查评价,形成并保留相应的测试文档,并将测试检查结果按要求填写到工作底稿和控制矩阵中。 4.对存在缺陷的修补和再测试对检查中发现的问题,被检查单位应及时制定整改方案,并认真组织落实,整改后进行再测试,形成并保留再测试文档,整改情况及结果须在2个月内向股份公司内控办进行反馈。,二、IT一般性控制检查评价内容和方法,“控制矩阵”和“工作底稿”“控制矩阵”是指关于某一与财务报告生成相关的IT服务活动控制点集合的综合情况表。内容包括控制目标、控制点编号和描述、控制点活动属性(控制频度、控制类型、执行人等
19、)、测试结果、修补情况等,并有索引指向工作底稿文档。“工作底稿”是指对应“控制矩阵”各控制点进行IT一般性控制测试检查用所设计的一组工作底稿和相应的表单。内容包括控制目标、控制点编号、名称和描述、测试步骤、测试结果、测试结论和测试文档编号等。,二、IT一般性控制检查评价内容和方法,二、IT一般性控制检查评价内容和方法,二、IT一般性控制检查评价内容和方法,信息部根据SOX要求,针对企业共性的IT服务活动设计了整体层面的IT控制、IT基础设施、ERP系统、财务报表系统、财务管理信息系统和终端用户计算6套通用的“控制矩阵”、“工作底稿”和相应表单模板。适用于ERP单轨运行企业的为整体层面的IT控制
20、、IT基础设施、ERP系统、财务报表系统和终端用户计算5套“控制矩阵”、“工作底稿”和相应的表单模板。 适用非ERP企业的为整体层面的IT控制、IT基础设施、财务管理信息系统和终端用户计算4套“控制矩阵”、“工作底稿”和相应的表单模板。具体使用时,各企业应在界定出的与财务报告生成过程相关并产生影响的IT系统基础上,根据实际情况作适当增补、剪裁和调整。,一、SOX法案与IT控制 二、IT一般性控制检查评价内容和方法 三、几点说明和要求,三、几点说明和要求,1. IT一般性控制与11.1和11.2两个业务流程检查的关系中国石化于2003年制定内部控制手册时,明确将有关IT的2个业务流程(11.1信
21、息系统管理业务流程和11.2信息资源管理业务流程)纳入其中,以提高中国石化的IT治理水平。11.1流程是根据 COBIT 与中国石化信息化实际相结合而制订的,主要体现信息系统项目的全生命周期管理,防范系统实施和运行风险。11.2流程主要针对生产经营类信息资源的管理,为加强信息共享和信息安全而制定的。,流程图:22个控制步骤,11.1信息系统管理业务流程,编制中长期规划和 年度项目建议计划(2个控制步骤),项目可行性研究 和评审 (2个控制步骤),项目立项审批 (2个控制步骤),合同签订 (1个控制步骤),项目实施 (6个控制步骤),项目竣工验收 (3个控制步骤),系统应用和维护(4个控制步骤)
22、,系统升级 (2个控制步骤),流程图:11个控制步骤,11.2信息资源管理业务流程,确定各部门信息和需求 (1个控制步骤),汇总各部门需部门外提供的信息需求 (1个控制步骤),落实部门间共享信息源和外购信息源 (2个控制步骤),信息分级 (2个控制步骤),信息集中和信息整合 (1个控制步骤),信息授权 (1个控制步骤),信息使用和共享 (2个控制步骤),信息质量反馈 (1个控制步骤),三、几点说明和要求,今年是SOX法案生效的第一年。按照中国石化内控检查评价与考核办法规定,除对11.1和11.2业务流程进行常规的检查外,增加了按SOX法案要求的对与财务报告生成过程相关并产生影响的IT系统进行I
23、T一般性控制检查评价工作。两者的差异还在于“适用范围”。11.1流程适用于ERP层/MES层/PCS层三层架构中属于固定资产投资的各类IT系统建设,控制点涉及面广,但不包括“终端用户计算” 这类“小应用系统”内容;而IT一般性控制仅针对与财务报告生成过程相关并产生影响的IT系统(主要属ERP层面)。当然IT一般性控制也是对11.1业务流程中关于与财务报告生成有关的IT系统某些控制活动的细化,两者互为补充。,三、几点说明和要求,2.认真做好IT系统范围的界定工作按照SOX法案要求,为保证财务报告的准确、安全、完整和合规性,必须对与财务报告生成过程相关并产生影响的IT系统进行“IT一般性控制”检查
24、评价。所以,合理、准确地界定IT系统范围是每个企业必须认真考虑的一个问题。IT一般性控制检查评价是围绕与财务报告生成过程相关并产生影响的信息系统开展。一般的做法,按照企业财务报告生成过程,画出支持财务报告生成过程的IT系统关系图,然后进行界定,确定出IT一般性控制检查评价的IT系统(包括电子表格等)范围;财务报告生成不依赖于计算机计算结果的IT系统则可以不计在内。,二、IT一般性控制检查评价内容和方法,二、IT一般性控制检查评价内容和方法,三、几点说明和要求,企业所界定出进行IT一般性控制检查评价的IT系统(包括电子表格等),如果超出了信息部提出的ERP、财务报表系统、财务管理信息系统的范围,
25、则请仿照相应的模板进行控制矩阵、工作底稿的设计。,三、几点说明和要求,3.重视规章制度的建设和执行健全的规章制度,行之有效的管理办法,是信息系统建设、投运、平稳运行的重要保证。在IT一般性控制检查评价中,我们将涉及到一系列的管理制度和办法,这就要求各企业充分重视规章制度的建设,并随着需求的变化和发展,不断修订和完善。在这方面我们不少企业做得较好,有丰富的经验。同时,更要强调执行。制度建立不容易,制度的执行更不容易,这次IT一般性控制检查评价工作,就是对我们以往制度建设和执行情况的一次综合性检查和考核。,三、几点说明和要求,4.重视文档记录整个试点检查过程中,请注意必须保留所有评价工作的底稿和记
26、录,其中应包括测试地点、测试时间、测试人、复核人、测试流程、控制点、测试方法、所选样本、测试结果、测试结论及整改建议等,汇总、分析企业的内控缺陷并形成书面评价报告,并认真将测试检查评价文档编号装订成册。对与财务报告生成相关的IT系统的IT一般性控制测试检查评价记录是SOX法案对管理层评价有效性的一项证据,因为有关的内控记录不充分是财务报告内部控制的一项缺陷,外部审计师会对这一缺陷作出评价,评价的结果可能是一般性缺陷、显著缺陷或实质性漏洞。,三、几点说明和要求,5.“IT一般性控制”控制点和文档编码设计规则说明控制点编码设计:* - * n L .m其中“*”为字母,“n”、“L”和“m”分别为
27、数字流水码高位段“*”为控制矩阵标识:ITE整体层面的IT控制矩阵ITIIT基础设施控制矩阵 ERPERP系统控制矩阵 FREERP报表系统控制矩阵 FMIS财务信息管理系统控制矩阵 对于终端用户计算控制矩阵码由企业根据实际系统名称自定义,三、几点说明和要求,控制点编码设计:* - * n L .m中间段“*”为控制点标识:SP战略规划OR组织和关系ET教育培训RE风险评估MC监控SE信息安全NW网络管理CR机房管理,三、几点说明和要求,控制点编码设计:* - * n L .m中间段“*”为控制点标识:DA程序和数据访问 PC程序变更 PD程序开发SO系统运行EU终端用户计算,三、几点说明和要
28、求,控制点编码设计:* - * n L.m低位段“L.m”为测试检查文档编号:“L1”表示第1次测试检查文档索引,发现缺陷修补后测试则为“2” 例:ERP系统中程序和数据访问的第3个控制点的第一次测试检查结果的第2个文档编号则表示为“ERP-DA3-1.2”。,6.紧急行动,积极做好IT一般性控制检查评价工作今年7月15日是在美国上市的外国公司SOX法案生效日期。由于种种原因,我们关于IT控制检查评价工作的起步晚了一些,希望同志们紧急行动起来,严肃认真、积极地做好IT一般性控制和应用控制检查评价工作,确保今年内部控制评价关于IT控制不出现一例“显著缺陷”或“实质漏洞”。,三、几点说明和要求,有效的IT一般性控制体系的建立是一个长期性的工作,以后每一年都要进行IT一般性控制的检查评价,所以要有长效机制,请大家多提建设性意见。IT部门要加强对内控及相应的法律法规、标准规范的学习,认真执行内控制度和相关标准,有效规避、减少和控制信息系统建设、应用中的风险,保障信息安全,保证财务信息真实可靠,满足国内外资本市场监管的要求,不断提高中国石化IT治理水平。,三、几点说明和要求,谢谢大家!,
