XXXX内控部GCC符合性检查培训_v32.pptx
蜗牛文库
-高品质阅读,高比例分成-
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,汇文网负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。
网站客服:3074922707
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,汇文网负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。
网站客服:3074922707
XXXX
内控
GCC
符合
检查
培训
_v32
中国石油信息系统总体控制 符合性检查培训 目录目录 第一章-背景及基础知识 第二章-符合性检查工作程序 第三章-如何进行表单检查 第四章-如何编制工作底稿 第五章普遍性问题的检查方法 公司层面控制公司层面控制 企业道德规范企业道德规范 公司行为方式公司行为方式 公司组织架构公司组织架构 沟通流程沟通流程 业务活动控制业务活动控制 业务活动控制业务活动控制 财务相关应用系统控制财务相关应用系统控制 信息系统总体控制信息系统总体控制 IT 基础设施基础设施 数据库数据库 操作系统操作系统 公司层面控制公司层面控制 业务活动控制业务活动控制 信息系统总体控制信息系统总体控制 内控项目组内控项目组 (PWC)PWC)信息系统信息系统 应用控制项目组应用控制项目组(Deloitte)Deloitte)信息系统信息系统总体控制总体控制(GCC)项目组项目组(BearingPoint)BearingPoint)中国石油的中国石油的SOx项目分为业务控制、应用系统控制和信息系项目分为业务控制、应用系统控制和信息系统总体控制三个层面的内容统总体控制三个层面的内容 SOx内控体系包括三个层面的内容,内控体系包括三个层面的内容,目前中国石油分为三个项目组来完目前中国石油分为三个项目组来完 成相关内控体系的建设,成相关内控体系的建设,GCC项目项目 组是其中的重要组成部分组是其中的重要组成部分 其中,其中,GCC是内部控制中对信息系统相关的总体控制是内部控制中对信息系统相关的总体控制 系统控制环境:总体环境、信息与沟通、风险评估、监控等 项目建设管理:开发方法论、项目立项审批、项目启动阶段、项目需求分析、项目设计、系统开发实施、系统符合性检查、数据移植、系统上线、项目验收、上线后审阅、用户培训、项目文档管理等 变更管理:应用系统日常变更、系统环境日常变更、紧急变更管理等 系统日常运作:机房环境控制、系统日常运作监控、批处理作业调度管理、数据备份与恢复、问题管理等 信息安全:信息安全组织、逻辑安全、物理安全、网络安全、计算机病毒防护、外部第三方信息安全管理、信息安全事件响应等 信息系统总体控制信息系统总体控制 信息系统控制环境信息系统控制环境 信信息息安安全全 信信息息系系统统日日常常运运作作 变变更更管管理理 项项目目建建设设管管理理 最最终终用用户户操操作作 最终用户操作:最终用户计算机操作安全制度、电子表格管理等 经过与外审及各地区公司的反复沟通,目前,已经建立起符经过与外审及各地区公司的反复沟通,目前,已经建立起符合内部控制及未来外审需要的信息系统总体控制体系合内部控制及未来外审需要的信息系统总体控制体系 GCC控制矩阵:是针对每个控制目标确定一个或多个控制点,对每个控制点的控制频率、控制类型等控制属性进行定义,并尽量明确其现行的制度文档 GCC 实施办法实施办法 GCC 控制矩阵控制矩阵 测试计划测试计划 与测试方案与测试方案 相关表单相关表单 GCC实施办法是用于指导日常信息技术管理和运营的管实施办法是用于指导日常信息技术管理和运营的管理流程和具体要求理流程和具体要求 GCC 实施办法实施办法 GCC 控制矩阵控制矩阵 测试计划测试计划 与测试方案与测试方案 相关表单相关表单 实施办法涵盖了实施办法涵盖了IT管理和运营所涉及的各个方面管理和运营所涉及的各个方面 控制环境控制环境 信息技术组织 人力资源管理 信息沟通 风险评估 监控 信息安全信息安全 信息安全组织 逻辑安全 物理安全 网络安全 病毒防护 第三方管理 安全事件响应 项目建设管理项目建设管理 项目立项 项目立项审批 商业软件及硬件的外购 项目建设方法论 项目启动 需求分析 项目设计 系统开发实施 系统测试 数据移植 系统上线 项目验收和上线后审阅 项目管理 项目培训管理 项目文档管理 项目问题管理 项目变更管理 系统变更系统变更 日常变更 紧急变更 信息系统日常运作信息系统日常运作 机房环境控制 日常监控 批处理作业管理 备份与恢复 问题管理 最终用户操作最终用户操作 最终用户操作安全制度 电子表格管理 为确保为确保GCC体系实施的统一性和高效率,项目组编制了体系实施的统一性和高效率,项目组编制了GCC表单表单 GCC 实施办法实施办法 GCC 控制矩阵控制矩阵 测试计划测试计划 与测试方案与测试方案 相关表单相关表单 GCC领域领域 表单数量表单数量 总体管理 1 控制环境 1 信息安全 19 项目建设管理 1 系统变更 4 信息系统日常运作 14 最终用户操作 3 43 合计合计 并根据控制矩阵和实施办法的相关要求,制定了测试计并根据控制矩阵和实施办法的相关要求,制定了测试计划和测试方案划和测试方案 GCC 实施办法实施办法 GCC 控制矩阵控制矩阵 测试计划测试计划 与测试方案与测试方案 相关表单相关表单 任务单任务单是依据实施办法中对各是依据实施办法中对各级部门和岗位需要完成的级部门和岗位需要完成的GCC相关相关工作的要求而编制工作的要求而编制任务单任务单明确了这些明确了这些岗位应完成哪些岗位应完成哪些GCCGCC任务,并说明了任务,并说明了该任务的执行频率及需留下的证据该任务的执行频率及需留下的证据 股份公司层面涉及:股份公司层面涉及:信息管理部、财务部、规划计划部、法信息管理部、财务部、规划计划部、法律部、人事部等律部、人事部等 其它与股份公司层面类似,编制了地区其它与股份公司层面类似,编制了地区公司部门公司部门/重要岗位的重要岗位的GCC任务单任务单 同时,为便于各地区公司的执行,还编制了同时,为便于各地区公司的执行,还编制了GCC任务单,任务单,明明确了各个岗位应完成相关工作确了各个岗位应完成相关工作 第一次测试中,项目组通过访谈、检查、观察等方式,发现第一次测试中,项目组通过访谈、检查、观察等方式,发现了各地区公司目前存在的主要问题了各地区公司目前存在的主要问题 访谈 编制访谈纪要 检查文本证据 系统实际检查 编制测试底稿 补填表单 实地观察 在测试报告中所提及的各地区公司所存在的较严重问题和潜在风报告中所提及的各地区公司所存在的较严重问题和潜在风险也应成为本次符合性检查关注的重点险也应成为本次符合性检查关注的重点 下图是对本次测试涉及的60家单位,共2580个控制点的测试情况汇总图 测试结束时,该控制点的执行情况达到实施办法的要求 在测试中,发现该控制点存在潜在风险 在测试中发现该控制点存在较严重的问题 安全安全 变更变更 开发开发 运维运维 最终用最终用户操作户操作 地区公司地区公司 目录目录 第一章-背景及基础知识 第二章-符合性检查工作程序 第三章-如何进行表单检查 第四章-如何编制工作底稿 第五章普遍性问题的检查方法 符合性检查是对目前内控体系执行情况的符合性检查,是管符合性检查是对目前内控体系执行情况的符合性检查,是管理层测试的基础理层测试的基础 已经完成的第一次测试的目的更偏重于推动GCC规定的实施 这次符合性检查应该严格地按外审的风格进行,一切以证据为准,给出一份最真实的,能体现中国石油GCC现状的报告,并发现一些存在的问题,找出例外和漏洞,让各公司尽早进行整改 其目的在于让中国石油为通过外审,在最后的一段时间内进行有针对性的调整 符合性检查工作的程序符合性检查工作的程序 到点前 学习项目内容与符合性检查学习项目内容与符合性检查方法方法 与各公司联系人进行沟通与各公司联系人进行沟通 明确时间和工作安排明确时间和工作安排 到点后 按每个公司的具体情况对具体符合按每个公司的具体情况对具体符合性检查工作的执行时间进行小范围性检查工作的执行时间进行小范围调整调整 开始进行符合性检查并同时编写各开始进行符合性检查并同时编写各自的工作底稿以及其他资料自的工作底稿以及其他资料 前往下一个符合性检查单位前往下一个符合性检查单位 继续上述步骤继续上述步骤 结束符合性检查回项目组结束符合性检查回项目组 汇总汇总 回项目组统一进行汇总和分析回项目组统一进行汇总和分析工作工作 给出符合性检查结论并提出整给出符合性检查结论并提出整改建议改建议 编写符合性检查报告编写符合性检查报告 到点前的准备工作到点前的准备工作 与各公司的联系人进行沟通 让对方了解何时开始符合性检查 让对方明确符合性检查前要做哪些准备工作 让对方知道本次符合性检查的时间持续多久 让对方知道哪些人员在符合性检查时需要在场 与项目组的成员沟通 统一符合性检查的方法 下点时所带文档资料准备,包括:应用系统范围清单,范围内信息系统所在机房信息,测试文档等 其他明确需要统一口径的问题 到点后的工作到点后的工作 收集地区公司相关信息 例如:地区公司基本信息,应用系统信息,机房信息,防火墙信息,人员对照表 进行正式符合性检查 通过访谈,检查文本证据,系统实际检查,实地观察等方法进行实际检查 编写工作底稿 将填写的测试计划表、测试表、抽样测试表以及相关表单和证据,及其他资料进行收集,按要求编写装订成册 到点后具体符合性检查的工作方案和操作步骤到点后具体符合性检查的工作方案和操作步骤 0 0 执行“实施办法”的规定和要求,填写相关表单 并将证据提交给本部门文档管理人员统一归档 1 1 2 2 3 3 “GCC实施办法”“GCC相关表单”所需的相关文档 测试计划表 测试表 测试表 抽样测试表 4 4 根据系统实际情况明确样本总体、确定样本数量,编制测试计划 根据测试计划表,结合地区公司实际情况,完善测试表中的“测试具体步骤”将符合性检查结果与“不符合控制要求条件”进行比对,分析是否存在例外情况,填写符合性检查结论,更新测试计划表 执行具体符合性检查步骤,开展访谈、获得符合性检查证据文档,对符合性检查证据进行抽样符合性检查,检查符合性检查证据是否全面、完整,是否与实际一致 测试表 测试计划表 符合性检查说明样例符合性检查说明样例-步骤一步骤一 1 1 根据系统实际情况明确样本总体、确定样本数量,编制测试计划 符合性检查说明样例符合性检查说明样例-步骤二步骤二 2 2 根据测试计划表,结合地区公司实际情况,完善测试表中的“测试具体步骤”符合性检查说明样例符合性检查说明样例-步骤三步骤三 3 3 执行具体符合性检查步骤,开展访谈、获得符合性检查证据文档,对符合性检查证据进行抽样符合性检查,检查符合性检查证据是否全面、完整,是否与实际一致 符合性检查说明样例符合性检查说明样例-步骤四步骤四 4 4 将符合性检查结果与“不符合控制要求条件”进行比对,分析是否存在例外情况,填写符合性检查结论,更新测试计划表 编写符合性检查的工作底稿编写符合性检查的工作底稿 将填写的测试计划表,测试表和抽样测试表以及相关表单与证据及其他资料进行收集,按要求编写装订成册 符合性检查的汇总工作符合性检查的汇总工作 对各单位的符合性检查情况进行汇总并分析 汇总所有地区公司的符合性情况包括各地区公司在检查中被发现的问题等 按统一的标准进行分析 针对分析报告给出进一步的整改建议 编写相应的整改建议 写出符合性检查报告 根据汇总的情况、问题以及编写的整改建议,编写符合性检查报告 目录目录 第一章-背景及基础知识 第二章-符合性检查工作程序 第三章-如何进行表单检查 第四章-如何编制工作底稿 第五章普遍性问题的检查方法 如何检查表单的填写正确性如何检查表单的填写正确性 注意表单填写的内容是否完整 表单的编号是否完整 是否有空格 是否有签字 注意表单填写的表单号是否符合要求 填表日期的确定:如果发生一张表的空格足够填多条记录,而造成无法确定日期的情况,按表单的第一条记录时间填写日期。序号的确定:按日期来排序,日期发生变更后,序号从头开始重新排列 表单编号要保持唯一性,一个编号对一张表单 注意签字的笔迹以及填写人是否正确 签字人是否符合要求 签字的笔迹是否有前后矛盾 如何检查表单的填写正确性如何检查表单的填写正确性 注意需要手工填写的内容 签名肯定需要手工填写 许多日志检查等内容都以手工填写为好 注意表单的填写内容是否符合逻辑 表单叙述的内容不符合逻辑
