一、PCAOB关注要点
信息系统的总体控制(general computer controls,简称GCC)是公司内部控制的一个重要组成部分,也是美国PCAOB要求关注的其中一个领域。完善的总体控制能够确保由应用系统支持的自动控制和流程是可以依赖的,与由应用系统生成的数据和报告是可靠的。
二、公司目前现状
2000年11月,围绕股份公司主营业务,编制完成了中国石油信息技术总体规划,包括7条主线、34个项目。目前已实施项目9个,正在实施7个,准备启动项目1个,完成科研项目15个,正在进行的科研项目2个。2004年建设大庆、辽河、大连、新疆、长庆、西南、上海等七个区域数据中心,连接了29个地区公司。科技与信息管理部按照统一规划、分步实施的原则,2005年继续建设吉林、兰州、北京等区域数据中心和网络管理系统及数据安全管理体系。
中国石油的信息系统组织架构较为分散,这导致了多个需要评估和测试的信息系统控制环境,从而管理层、审计师测试与评估工作大大增加,测试中出现问题的几率越高,信息系统的可依赖性和有效性越低。
现有的信息系统管理政策、制度和标准,未能涵盖美国上市公司监督委员会对信息系统总体控制审计的全部要求。
财务信息系统是由财务部统一开发和管理的层层报表系统,按统一标准进行管理,但各地区公司使用不同的数据库,单独存放,与业务系统没有连接。资产管理系统AMS存在5.0和6.0版本,但暂时没有被地区公司统一使用,有大约20多家单位包括地区公司和二级单位使用自开发的系统。此外,由于资产管理系统尚未完成集中核算,部分地区公司、二级单位和三级单位使用独立的资产管理系统,数目众多,估计存在较大的工作量。采购、销售和人力资源等系统在不同的地区公司由不同业务部门管理与维护,软硬件均不统一。
由于信息系统总体控制在整个内部控制中的重要地位,不同程度和形式的信息系统管理总体控制缺陷综合起来,可能会对相关的应用系统和业务流程产生重大影响,并最终影响财务数据的真实性和404法案认证工作的顺利进行。
三、信息系统的总体控制任务
(一)按已有的总体规划加快推进整体信息化建设
信息技术总体规划是中国石油网络经营的整体解决方案,是信息化建设的总纲。要由总部集中投资,统一组织,加快推进信息技术总体规划的实施。信息技术总体规划实施后,将在整个股份公司建成集成、统一、完整的信息系统,为公司实现网络化经营提供统一的平台,确保生产经营数据的真实性、完整性。
(二)结合股份公司企业资源计划系统建设
企业资源计划系统(ERP)是高度集成化的信息系统,是“一套将财会、分销、制造和其他业务功能合理集成的应用软件系统”,帮助企业实现自动化的新型企业管理模式。
(三)建设与完善信息系统总体控制体系
信息系统的总体控制主要包含以下五个方面:
1.信息系统的控制环境,即COSO内控框架的基本元素,包括总体环境,如信息系统管理制度、信息与沟通、信息系统风险评估、监控等。
2.新系统的开发和实施,即开发与实施活动的管理,包括项目发起、分析与设计、自开发系统的建设与软件包的选择、测试和质量保证、数据转换、上线、系统文档的维护与用户培训等。
3.现有系统的变更和维护,即维护活动的管理,包括确定变更需求、授权和跟踪变更申请、系统编程、测试和质量保证、迁移到生产环境的授权、系统文档的维护和用户培训等。
4.程序和数据的接触安全,即安全组织和管理,包括安全政策和管理流程、应用系统的安全管理、数据安全、操作系统安全、内部网络安全、边界网络安全、物理安全等。
5.系统的操作和运行,即对系统操作的总体控制,包括工作计划和批处理、备份管理、管理数据中心环境、从操作失败中恢复、用户帮助部门的功能、服务水平协议等。
具体包括以下控制政策、制度、规范与标准:
(1)应用系统成熟软件产品规范的基本原则、方法;
(2)系统开发工具规范的基本原则和方法;
(3)应用系统配置模板规范的基本原则;
(4)应用系统二次开发规范的基本原则和方法;
(5)系统测试的总体规范;
(6)应用系统验收规范的基本原则和方法;
(7)系统验收的总体规范;
(8)应用系统运行管理的基本原则和方法;
(9)应用系统运行管理的总体规范;
(10)服务水平管理规范;
(11)应用系统备份管理规范;
(12)应用系统问题处理规范;
(13)应用系统日志管理规范;
(14)应用系统变更管理规范;
(15)在线帮助指南;
(16)用户服务支持规范;
(17)信息安全组织和管理方面的总体要求及相关规定;
(18)安全政策的高层规定和流程;
(19)应用系统的安全管理总体要求及相关规定;
(20)数据安全总体要求及相关规定;
(21)操作系统安全总体要求及相关规定;
(22)内部网络安全总体要求及相关规定;
(23)边界网络安全总体要求及相关规定;
(24)物理安全总体要求及相关规定。
(四)现有设备的物理集中
多个需要评估和测试的信息系统控制环境,导致管理层、审计师测试与评估工作大大增加,测试中出现问题的几率增高,信息系统的可依赖性和有效性大大降低,因此各地区公司要制定切实可行的信息系统设备集中方案,加快系统设备的物理集中。2005年6月30日前实现地区公司财务、资产、结算、合同、物资、销售、工资等七类系统的物理集中,并按信息系统总体控制制度对上述系统实行统一管理、运行与维护。
(五)应用系统软件统一
完成财务、资产、合同和结算管理系统软件的统一。采购、销售和工资系统在地区公司执行统一标准进行备份、存储和管理。
四、规章制度及标准索引
1.《中国石油天然气股份有限公司信息技术项目(招标)管理暂行办法》。
2.《中国石油天然气股份有限公司信息化工作管理暂行办法》。
3.《中国石油信息安全组织管理》。
4.《中国石油安全运作管理》。
5.《中国石油信息安全审计》。
6.《中国石油信息安全管理体系评估》。
7.《中国石油机房安全管理规范》。
8.《中国石油网络安全管理规范》。
9.《中国石油防御恶意代码和计算机犯罪管理规范》。
10.《中国石油电子邮件管理规范》。
11.《中国石油OS操作系统安全管理规范》。
12.《中国石油硬件设备安全管理规范》。
13.《中国石油应用系统使用安全管理通则》。
14.《中国石油应用系统开发安全管理通则》。
15.《中国石油通用安全管理标准》。
16.《中国石油数据和电子文档安全管理规范》。
17.《中国石油商业软件购买管理规范》。
18.《中国石油区域安全管理规范》。
19.《中国石油电子商务安全管理规范》。
20.《中国石油Web系统安全管理规范》。
21.《信息分类与编码导则(Q/SY 75-2003)》。
22.《信息系统基础设施技术规范(Q/SY 77-2003)》。
23.《信息系统组织机构代码(Q/SY 76-2003)》。
24.《网站建设与信息发布规范(Q/SY 40-2002)》。
25.《办公自动化信息分类与代码(Q/SY 44-2002)》。
26.《计算机网络及其节点名称规定与IP地址分配方式(Q/SY 39-2002)》。
27.《企业信息门户规范(Q/SY 79-2002)》。
28.《中国石油局域网技术规范》。
29.《信息系统数据交换模型定义规范》。
五、组织保障
为了建立有效的信息系统总体控制政策、制度、规范及标准,必须建立一支IT总体控制队伍。这支队伍包括四个方面。
(1)内控审计咨询公司。负责内部控制审计范围和控制规范、标准、文件及模板的实用性、完整性、正确性和有效性,全面指导IT工作满足GCC内部控制架构的要求。
(2)中国石油总部。负责把握项目的总体方向,制定总体规划和方向以及各项工作的组织。
(3)油田分公司IT总体控制项目组。负责在本单位的控制规范、标准、文件和模板的推广与实施。
(4)这支队伍在共同目标的基础上,协同工作,最终完成IT总体控制的任务。
§§第八章 COSO框架下的监督