內(nèi)控部GCC符合性檢查培訓(xùn)v課件

1、內(nèi)控部GCC符合性檢查培訓(xùn)v課件中國石油信息系統(tǒng)總體控制符合性檢查培訓(xùn)內(nèi)控部GCC符合性檢查培訓(xùn)v課件目錄目錄n第一章-背景及基礎(chǔ)知識n第二章-符合性檢查工作程序 n第三章-如何進(jìn)行表單檢查n第四章-如何編制工作底稿n第五章普遍性問題的檢查方法內(nèi)控部GCC符合性檢查培訓(xùn)v課件n公司層面控制公司層面控制q企業(yè)道德規(guī)范企業(yè)道德規(guī)范q公司行為方式公司行為方式q公司組織架構(gòu)公司組織架構(gòu)q溝通流程溝通流程n業(yè)務(wù)活動控制業(yè)務(wù)活動控制q業(yè)務(wù)活動控制業(yè)務(wù)活動控制 q財務(wù)相關(guān)應(yīng)用系統(tǒng)控制財務(wù)相關(guān)應(yīng)用系統(tǒng)控制n信息系統(tǒng)總體控制信息系統(tǒng)總體控制qIT 基礎(chǔ)設(shè)施基礎(chǔ)設(shè)施q數(shù)據(jù)庫數(shù)據(jù)庫q操作系統(tǒng)操作系統(tǒng)公司層面控制公司

2、層面控制業(yè)務(wù)活動控制業(yè)務(wù)活動控制信息系統(tǒng)總體控制信息系統(tǒng)總體控制內(nèi)控項目組內(nèi)控項目組 (PWC)PWC)信息系統(tǒng)信息系統(tǒng)應(yīng)用控制項目組應(yīng)用控制項目組(Deloitte)Deloitte)信息系統(tǒng)信息系統(tǒng)總體控制總體控制(GCC)項目組項目組(BearingPoint)BearingPoint)中國石油的中國石油的SOx項目分為業(yè)務(wù)控制、應(yīng)用系統(tǒng)控制和信息系項目分為業(yè)務(wù)控制、應(yīng)用系統(tǒng)控制和信息系統(tǒng)總體控制三個層面的內(nèi)容統(tǒng)總體控制三個層面的內(nèi)容SOx內(nèi)控體系包括三個層面的內(nèi)容，內(nèi)控體系包括三個層面的內(nèi)容，目前中國石油分為三個項目組來完目前中國石油分為三個項目組來完成相關(guān)內(nèi)控體系的建設(shè)，成相關(guān)內(nèi)控體

3、系的建設(shè)，GCC項目項目組是其中的重要組成部分組是其中的重要組成部分內(nèi)控部GCC符合性檢查培訓(xùn)v課件其中，其中，GCC是內(nèi)部控制中對信息系統(tǒng)相關(guān)的總體控制是內(nèi)部控制中對信息系統(tǒng)相關(guān)的總體控制n系統(tǒng)控制環(huán)境：總體環(huán)境、信息與溝通、風(fēng)險評估、監(jiān)控等n項目建設(shè)管理：開發(fā)方法論、項目立項審批、項目啟動階段、項目需求分析、項目設(shè)計、系統(tǒng)開發(fā)實施、系統(tǒng)符合性檢查、數(shù)據(jù)移植、系統(tǒng)上線、項目驗收、上線后審閱、用戶培訓(xùn)、項目文檔管理等n變更管理：應(yīng)用系統(tǒng)日常變更、系統(tǒng)環(huán)境日常變更、緊急變更管理等n系統(tǒng)日常運作：機(jī)房環(huán)境控制、系統(tǒng)日常運作監(jiān)控、批處理作業(yè)調(diào)度管理、數(shù)據(jù)備份與恢復(fù)、問題管理等n信息安全：信息安全組織

4、、邏輯安全、物理安全、網(wǎng)絡(luò)安全、計算機(jī)病毒防護(hù)、外部第三方信息安全管理、信息安全事件響應(yīng)等 信息系統(tǒng)總體控制信息系統(tǒng)總體控制信息系統(tǒng)控制環(huán)境信息系統(tǒng)控制環(huán)境信信息息安安全全信信息息系系統(tǒng)統(tǒng)日日常常運運作作變變更更管管理理項項目目建建設(shè)設(shè)管管理理最最終終用用戶戶操操作作n最終用戶操作：最終用戶計算機(jī)操作安全制度、電子表格管理等內(nèi)控部GCC符合性檢查培訓(xùn)v課件經(jīng)過與外審及各地區(qū)公司的反復(fù)溝通，目前，已經(jīng)建立起符經(jīng)過與外審及各地區(qū)公司的反復(fù)溝通，目前，已經(jīng)建立起符合內(nèi)部控制及未來外審需要的信息系統(tǒng)總體控制體系合內(nèi)部控制及未來外審需要的信息系統(tǒng)總體控制體系nGCC控制矩陣：是針對每個控制目標(biāo)確定一個或

5、多個控制點，對每個控制點的控制頻率、控制類型等控制屬性進(jìn)行定義，并盡量明確其現(xiàn)行的制度文檔GCC實施辦法實施辦法GCC控制矩陣控制矩陣測試計劃測試計劃與測試方案與測試方案相關(guān)表單相關(guān)表單內(nèi)控部GCC符合性檢查培訓(xùn)v課件GCC實施辦法是用于指導(dǎo)日常信息技術(shù)管理和運營的管實施辦法是用于指導(dǎo)日常信息技術(shù)管理和運營的管理流程和具體要求理流程和具體要求GCC實施辦法實施辦法GCC控制矩陣控制矩陣測試計劃測試計劃與測試方案與測試方案相關(guān)表單相關(guān)表單n實施辦法涵蓋了實施辦法涵蓋了IT管理和運營所涉及的各個方面管理和運營所涉及的各個方面n控制環(huán)境控制環(huán)境q信息技術(shù)組織q人力資源管理q信息溝通q風(fēng)險評估q監(jiān)控n

6、信息安全信息安全q信息安全組織q邏輯安全q物理安全q網(wǎng)絡(luò)安全q病毒防護(hù)q第三方管理q安全事件響應(yīng)n項目建設(shè)管理項目建設(shè)管理q項目立項項目立項審批商業(yè)軟件及硬件的外購q項目建設(shè)方法論項目啟動需求分析項目設(shè)計系統(tǒng)開發(fā)實施系統(tǒng)測試數(shù)據(jù)移植系統(tǒng)上線項目驗收和上線后審閱q項目管理項目培訓(xùn)管理項目文檔管理項目問題管理項目變更管理n系統(tǒng)變更系統(tǒng)變更q日常變更q緊急變更n信息系統(tǒng)日常運作信息系統(tǒng)日常運作q機(jī)房環(huán)境控制q日常監(jiān)控q批處理作業(yè)管理q備份與恢復(fù)q問題管理n最終用戶操作最終用戶操作q最終用戶操作安全制度q電子表格管理內(nèi)控部GCC符合性檢查培訓(xùn)v課件為確保為確保GCC體系實施的統(tǒng)一性和高效率，項目組編制

7、了體系實施的統(tǒng)一性和高效率，項目組編制了GCC表單表單GCC實施辦法實施辦法GCC控制矩陣控制矩陣測試計劃測試計劃與測試方案與測試方案相關(guān)表單相關(guān)表單GCC領(lǐng)域領(lǐng)域表單數(shù)量表單數(shù)量總體管理1控制環(huán)境1信息安全19項目建設(shè)管理1系統(tǒng)變更4信息系統(tǒng)日常運作14最終用戶操作343合計合計內(nèi)控部GCC符合性檢查培訓(xùn)v課件并根據(jù)控制矩陣和實施辦法的相關(guān)要求，制定了測試計并根據(jù)控制矩陣和實施辦法的相關(guān)要求，制定了測試計劃和測試方案劃和測試方案GCC實施辦法實施辦法GCC控制矩陣控制矩陣測試計劃測試計劃與測試方案與測試方案相關(guān)表單相關(guān)表單內(nèi)控部GCC符合性檢查培訓(xùn)v課件任務(wù)單任務(wù)單是依據(jù)實施辦法中對各是依據(jù)

8、實施辦法中對各級部門和崗位需要完成的級部門和崗位需要完成的GCC相關(guān)相關(guān)工作的要求而編制工作的要求而編制任務(wù)單任務(wù)單明確了這些明確了這些崗位應(yīng)完成哪些崗位應(yīng)完成哪些GCCGCC任務(wù)，并說明了任務(wù)，并說明了該任務(wù)的執(zhí)行頻率及需留下的證據(jù)該任務(wù)的執(zhí)行頻率及需留下的證據(jù)n股份公司層面涉及：股份公司層面涉及：q信息管理部、財務(wù)部、規(guī)劃計劃部、法信息管理部、財務(wù)部、規(guī)劃計劃部、法律部、人事部等律部、人事部等q其它與股份公司層面類似，編制了地區(qū)其它與股份公司層面類似，編制了地區(qū)公司部門公司部門/ /重要崗位的重要崗位的GCC任務(wù)單任務(wù)單同時，為便于各地區(qū)公司的執(zhí)行，還編制了同時，為便于各地區(qū)公司的執(zhí)行，還

9、編制了GCC任務(wù)單，任務(wù)單，明明確了各個崗位應(yīng)完成相關(guān)工作確了各個崗位應(yīng)完成相關(guān)工作內(nèi)控部GCC符合性檢查培訓(xùn)v課件第一次測試中，項目組通過訪談、檢查、觀察等方式，發(fā)現(xiàn)第一次測試中，項目組通過訪談、檢查、觀察等方式，發(fā)現(xiàn)了各地區(qū)公司目前存在的主要問題了各地區(qū)公司目前存在的主要問題訪談編制訪談紀(jì)要檢查文本證據(jù)系統(tǒng)實際檢查編制測試底稿補(bǔ)填表單實地觀察表單、會議紀(jì)要、相關(guān)材料等訪談紀(jì)要訪談紀(jì)要測試報告內(nèi)控部GCC符合性檢查培訓(xùn)v課件在測試報告中所提及的各地區(qū)公司所存在的較嚴(yán)重問題和潛在風(fēng)報告中所提及的各地區(qū)公司所存在的較嚴(yán)重問題和潛在風(fēng)險也應(yīng)成為本次符合性檢查關(guān)注的重點險也應(yīng)成為本次符合性檢查關(guān)注的

10、重點下圖是對本次測試涉及的60家單位，共2580個控制點的測試情況匯總圖測試結(jié)束時，該控制點的執(zhí)行情況達(dá)到實施辦法的要求在測試中，發(fā)現(xiàn)該控制點存在潛在風(fēng)險在測試中發(fā)現(xiàn)該控制點存在較嚴(yán)重的問題安全安全變更變更開發(fā)開發(fā)運維運維最終用最終用戶操作戶操作地區(qū)公司地區(qū)公司內(nèi)控部GCC符合性檢查培訓(xùn)v課件目錄目錄n第一章-背景及基礎(chǔ)知識n第二章-符合性檢查工作程序 n第三章-如何進(jìn)行表單檢查n第四章-如何編制工作底稿n第五章普遍性問題的檢查方法內(nèi)控部GCC符合性檢查培訓(xùn)v課件符合性檢查是對目前內(nèi)控體系執(zhí)行情況的符合性檢查，是管符合性檢查是對目前內(nèi)控體系執(zhí)行情況的符合性檢查，是管理層測試的基礎(chǔ)理層測試的基礎(chǔ)

11、n已經(jīng)完成的第一次測試的目的更偏重于推動GCC規(guī)定的實施n這次符合性檢查應(yīng)該嚴(yán)格地按外審的風(fēng)格進(jìn)行，一切以證據(jù)為準(zhǔn)，給出一份最真實的，能體現(xiàn)中國石油GCC現(xiàn)狀的報告，并發(fā)現(xiàn)一些存在的問題，找出例外和漏洞，讓各公司盡早進(jìn)行整改n其目的在于讓中國石油為通過外審，在最后的一段時間內(nèi)進(jìn)行有針對性的調(diào)整內(nèi)控部GCC符合性檢查培訓(xùn)v課件符合性檢查工作的程序符合性檢查工作的程序n 到點前學(xué)習(xí)項目內(nèi)容與符合性檢查學(xué)習(xí)項目內(nèi)容與符合性檢查方法方法與各公司聯(lián)系人進(jìn)行溝通與各公司聯(lián)系人進(jìn)行溝通明確時間和工作安排明確時間和工作安排n到點后按每個公司的具體情況對具體符合按每個公司的具體情況對具體符合性檢查工作的執(zhí)行時間

12、進(jìn)行小范圍性檢查工作的執(zhí)行時間進(jìn)行小范圍調(diào)整調(diào)整開始進(jìn)行符合性檢查并同時編寫各開始進(jìn)行符合性檢查并同時編寫各自的工作底稿以及其他資料自的工作底稿以及其他資料前往下一個符合性檢查單位前往下一個符合性檢查單位繼續(xù)上述步驟繼續(xù)上述步驟結(jié)束符合性檢查回項目組結(jié)束符合性檢查回項目組n 匯總匯總回項目組統(tǒng)一進(jìn)行匯總和分析回項目組統(tǒng)一進(jìn)行匯總和分析工作工作給出符合性檢查結(jié)論并提出整給出符合性檢查結(jié)論并提出整改建議改建議編寫符合性檢查報告編寫符合性檢查報告內(nèi)控部GCC符合性檢查培訓(xùn)v課件到點前的準(zhǔn)備工作到點前的準(zhǔn)備工作n與各公司的聯(lián)系人進(jìn)行溝通讓對方了解何時開始符合性檢查讓對方明確符合性檢查前要做哪些準(zhǔn)備工作

13、讓對方知道本次符合性檢查的時間持續(xù)多久讓對方知道哪些人員在符合性檢查時需要在場n與項目組的成員溝通n統(tǒng)一符合性檢查的方法n下點時所帶文檔資料準(zhǔn)備,包括：應(yīng)用系統(tǒng)范圍清單，范圍內(nèi)信息系統(tǒng)所在機(jī)房信息，測試文檔等n其他明確需要統(tǒng)一口徑的問題內(nèi)控部GCC符合性檢查培訓(xùn)v課件到點后的工作到點后的工作n收集地區(qū)公司相關(guān)信息例如：地區(qū)公司基本信息，應(yīng)用系統(tǒng)信息，機(jī)房信息，防火墻信息，人員對照表n進(jìn)行正式符合性檢查通過訪談，檢查文本證據(jù)，系統(tǒng)實際檢查，實地觀察等方法進(jìn)行實際檢查n編寫工作底稿將填寫的測試計劃表、測試表、抽樣測試表以及相關(guān)表單和證據(jù)，及其他資料進(jìn)行收集，按要求編寫裝訂成冊內(nèi)控部GCC符合性檢查

14、培訓(xùn)v課件到點后具體符合性檢查的工作方案和操作步驟到點后具體符合性檢查的工作方案和操作步驟0 0執(zhí)行“實施辦法”的規(guī)定和要求，填寫相關(guān)表單并將證據(jù)提交給本部門文檔管理人員統(tǒng)一歸檔1 12 23 3“GCC實施辦法”“GCC相關(guān)表單”所需的相關(guān)文檔測試計劃表測試表測試表抽樣測試表4 4根據(jù)系統(tǒng)實際情況明確樣本總體、確定樣本數(shù)量，編制測試計劃根據(jù)測試計劃表，結(jié)合地區(qū)公司實際情況，完善測試表中的“測試具體步驟”將符合性檢查結(jié)果與“不符合控制要求條件”進(jìn)行比對，分析是否存在例外情況，填寫符合性檢查結(jié)論，更新測試計劃表執(zhí)行具體符合性檢查步驟，開展訪談、獲得符合性檢查證據(jù)文檔，對符合性檢查證據(jù)進(jìn)行抽樣符合

15、性檢查，檢查符合性檢查證據(jù)是否全面、完整，是否與實際一致測試表測試計劃表內(nèi)控部GCC符合性檢查培訓(xùn)v課件符合性檢查說明樣例符合性檢查說明樣例-步驟一步驟一1 1根據(jù)系統(tǒng)實際情況明確樣本總體、確定樣本數(shù)量，編制測試計劃內(nèi)控部GCC符合性檢查培訓(xùn)v課件符合性檢查說明樣例符合性檢查說明樣例-步驟二步驟二2 2根據(jù)測試計劃表，結(jié)合地區(qū)公司實際情況，完善測試表中的“測試具體步驟”內(nèi)控部GCC符合性檢查培訓(xùn)v課件符合性檢查說明樣例符合性檢查說明樣例-步驟三步驟三3 3執(zhí)行具體符合性檢查步驟，開展訪談、獲得符合性檢查證據(jù)文檔，對符合性檢查證據(jù)進(jìn)行抽樣符合性檢查，檢查符合性檢查證據(jù)是否全面、完整，是否與實際一

16、致內(nèi)控部GCC符合性檢查培訓(xùn)v課件符合性檢查說明樣例符合性檢查說明樣例-步驟四步驟四4 4將符合性檢查結(jié)果與“不符合控制要求條件”進(jìn)行比對，分析是否存在例外情況，填寫符合性檢查結(jié)論，更新測試計劃表內(nèi)控部GCC符合性檢查培訓(xùn)v課件編寫符合性檢查的工作底稿編寫符合性檢查的工作底稿n將填寫的測試計劃表，測試表和抽樣測試表以及相關(guān)表單與證據(jù)及其他資料進(jìn)行收集，按要求編寫裝訂成冊表單、會議紀(jì)要、相關(guān)材料等工作底稿內(nèi)控部GCC符合性檢查培訓(xùn)v課件符合性檢查的匯總工作符合性檢查的匯總工作n對各單位的符合性檢查情況進(jìn)行匯總并分析匯總所有地區(qū)公司的符合性情況包括各地區(qū)公司在檢查中被發(fā)現(xiàn)的問題等按統(tǒng)一的標(biāo)準(zhǔn)進(jìn)行分

17、析n針對分析報告給出進(jìn)一步的整改建議編寫相應(yīng)的整改建議n寫出符合性檢查報告根據(jù)匯總的情況、問題以及編寫的整改建議，編寫符合性檢查報告內(nèi)控部GCC符合性檢查培訓(xùn)v課件目錄目錄n第一章-背景及基礎(chǔ)知識n第二章-符合性檢查工作程序 n第三章-如何進(jìn)行表單檢查n第四章-如何編制工作底稿n第五章普遍性問題的檢查方法內(nèi)控部GCC符合性檢查培訓(xùn)v課件如何檢查表單的填寫正確性如何檢查表單的填寫正確性n注意表單填寫的內(nèi)容是否完整表單的編號是否完整是否有空格是否有簽字n注意表單填寫的表單號是否符合要求填表日期的確定：如果發(fā)生一張表的空格足夠填多條記錄，而造成無法確定日期的情況，按表單的第一條記錄時間填寫日期。序號

18、的確定：按日期來排序，日期發(fā)生變更后，序號從頭開始重新排列表單編號要保持唯一性，一個編號對一張表單n注意簽字的筆跡以及填寫人是否正確簽字人是否符合要求簽字的筆跡是否有前后矛盾內(nèi)控部GCC符合性檢查培訓(xùn)v課件如何檢查表單的填寫正確性如何檢查表單的填寫正確性n注意需要手工填寫的內(nèi)容簽名肯定需要手工填寫許多日志檢查等內(nèi)容都以手工填寫為好n注意表單的填寫內(nèi)容是否符合邏輯表單敘述的內(nèi)容不符合邏輯有些表單需要填寫多條日期，各個日期的聯(lián)系不符合邏輯n注意表單填寫的內(nèi)容與實際情況是否一致訪談了解情況檢查相關(guān)文本證據(jù)進(jìn)入系統(tǒng)實際檢查實地檢查內(nèi)控部GCC符合性檢查培訓(xùn)v課件如何檢查有相互關(guān)聯(lián)的表單如何檢查有相互關(guān)

19、聯(lián)的表單n特權(quán)用戶登記備案表和所有的相關(guān)要求特權(quán)用戶簽名的表格特權(quán)用戶登記備案表和眾多表格有相互關(guān)聯(lián)，因為許多表格的實施人，檢查人等都是特權(quán)用戶所以各大類中眾多表單的簽字這一欄的姓名與特權(quán)用戶登記備案表應(yīng)不存在任何矛盾n設(shè)備巡檢記錄表與機(jī)房出入登記表設(shè)備巡檢工作是需要進(jìn)出機(jī)房的，所以巡檢記錄表上的時間以及檢查人必須能在機(jī)房出入登記表中得到體現(xiàn)n機(jī)房出入登記表和進(jìn)入機(jī)房授權(quán)人員名單的匹配機(jī)房出入登記表中授權(quán)人員進(jìn)出機(jī)房是自己簽名授權(quán)的，需要察看登記表中自己簽名授權(quán)的人員是否都在進(jìn)入機(jī)房授權(quán)人員名單中有體現(xiàn)n遠(yuǎn)程登陸賬號申請表與遠(yuǎn)程登陸權(quán)限檢查表遠(yuǎn)程登陸權(quán)限檢查表的內(nèi)容是從系統(tǒng)實際情況出發(fā)的，需要

20、在遠(yuǎn)程登陸賬號申請表中有所體現(xiàn)內(nèi)控部GCC符合性檢查培訓(xùn)v課件如何檢查有相互關(guān)聯(lián)的表單如何檢查有相互關(guān)聯(lián)的表單n批處理作業(yè)清單，批處理作業(yè)詳細(xì)說明書，批處理作業(yè)記錄表批處理作業(yè)清單，批處理作業(yè)詳細(xì)說明書，批處理作業(yè)記錄表中的作業(yè)號，使用計算機(jī)以及狀態(tài)等內(nèi)容要對應(yīng)n備份作業(yè)清單，備份作業(yè)詳細(xì)說明書，備份記錄表備份作業(yè)清單，備份作業(yè)詳細(xì)說明書，備份記錄表中的作業(yè)編號，狀態(tài)等要對應(yīng)n備份恢復(fù)符合性檢查記錄表，備份恢復(fù)管理表由于兩表分別針對符合性檢查環(huán)境和生產(chǎn)環(huán)境。兩張表中步驟應(yīng)該比較相似，但是應(yīng)該有所區(qū)別n信息系統(tǒng)故障處理幫助熱線支持人員聯(lián)系表，問題記錄日志表，問題分類匯總月報表問題記錄日志表中的記

21、錄人，簽名以及問題分類匯總月報表中的提交人應(yīng)該都在信息系統(tǒng)故障處理幫助熱線支持人員中有所對應(yīng)。問題記錄日志表與問題分類匯總月報表中的問題數(shù)量以及解決情況應(yīng)該完全對應(yīng)。日常巡檢以及日志檢查中發(fā)現(xiàn)的問題選擇轉(zhuǎn)問題處理的也需要填寫問題記錄并匯總到月報表中內(nèi)控部GCC符合性檢查培訓(xùn)v課件如何檢查有相互關(guān)聯(lián)的表單如何檢查有相互關(guān)聯(lián)的表單n變更統(tǒng)計表，變更申請表，變更實施表變更統(tǒng)計表與變更申請表中的變更名稱要對應(yīng)。3張表內(nèi)以及表間的填寫日期要符合邏輯先后順序。n電子表格登記表，電子表格變更申請表，電子表格開發(fā)申請表電子表格登記表的內(nèi)容要與電子表格變更申請表和電子表格開發(fā)申請表對應(yīng)。n信息資產(chǎn)清單與機(jī)房設(shè)備

22、清單雖然作為機(jī)房巡檢附件的機(jī)房設(shè)備清單不是統(tǒng)一表單，但是其中的內(nèi)容一定要與信息資產(chǎn)清單里的內(nèi)容相符合。內(nèi)控部GCC符合性檢查培訓(xùn)v課件目錄目錄n第一章-背景及基礎(chǔ)知識n第二章-符合性檢查工作程序 n第三章-如何進(jìn)行表單檢查n第四章-如何編制工作底稿n第五章普遍性問題的檢查方法內(nèi)控部GCC符合性檢查培訓(xùn)v課件編制工作底稿分為收集、打印、裝訂編制工作底稿分為收集、打印、裝訂n收集資料按符合性檢查程序，通過訪談、收集書面證據(jù)、實地檢查和上機(jī)實際檢查的方法進(jìn)行符合性檢查。通過測試計劃表明確需填寫的測試表以及需察看抽樣測試表，并獲得相關(guān)的表單以及支持表單真實性或者關(guān)鍵控制點的證據(jù)。通過證據(jù)驗證表單的真實

23、性和個別控制點的控制合理性，再由收集上來的表單情況填寫抽樣測試表，匯總到測試表和測試計劃表n打印打印上述所有的資料和表單，證據(jù)，并編制索引和封面等n裝訂按封面，索引，資料，6大分類分別以測試計劃表，測試表，抽樣測試表，表單，證據(jù)的順序加以裝訂（各個分類間加一頁分割頁，每頁需要有Reference的地方標(biāo)上Reference）內(nèi)控部GCC符合性檢查培訓(xùn)v課件工作底稿由工作底稿由5大部分組成：大部分組成：工作底稿索引封面分隔頁主要內(nèi)容Reference資料：公司簡介，崗位角色列表，通訊錄，符合性檢查情況分析，問題記錄，訪談記錄，會議記錄測試表，抽樣測試表，表單，其他檢查證據(jù)內(nèi)控部GCC符合性檢查培

24、訓(xùn)v課件編制工作底稿的三個注意點編制工作底稿的三個注意點內(nèi)控部GCC符合性檢查培訓(xùn)v課件第一，注意要一一對應(yīng)第一，注意要一一對應(yīng)n在工作底稿中要體現(xiàn)出一套完整的從符合性檢查計劃到最后具體證據(jù)的表單證據(jù)鏈。從測試計劃表出發(fā)，通過訪談，實地檢查等方法完成測試表并收集表單和證據(jù)。測試計劃表測試計劃表測試表測試表抽樣測試表抽樣測試表表單表單證據(jù)證據(jù)需求和獲得反饋和驗證內(nèi)控部GCC符合性檢查培訓(xùn)v課件第二，注意所有的簽名第二，注意所有的簽名n簽名的檢查方法可以用分為三步：檢查是否有簽名檢查簽名是否全 比如測試表需要4人以上的簽名：被訪談人，符合性檢查人，審核人，GCC負(fù)責(zé)人檢查簽名是否正確， 比如檢查筆

25、跡是否一致和對應(yīng)的簽名人是否正確內(nèi)控部GCC符合性檢查培訓(xùn)v課件第三，注意第三，注意Reference的寫法的寫法n編碼規(guī)則：編碼規(guī)則：測試表和抽樣測試表為一類按 相關(guān)關(guān)鍵控制點編號加后綴（相關(guān)關(guān)鍵控制點編號加后綴（1）（99）的規(guī)則來編寫，先編測試表的編號，后編抽樣測試表的編號，第二張開始只需要填寫后綴部分比如關(guān)鍵控制點編號為GCC-AQ-7的測試表Reference編號為GCC-AQ-7 （1），（），（2）抽樣測試表Reference編號為（3）表單以及相關(guān)支持書面證據(jù)按相關(guān)關(guān)鍵控制點編號加相關(guān)關(guān)鍵控制點編號加-099+后綴（后綴（1）(99)的規(guī)則來編寫，的規(guī)則來編寫，順序按表單1，表

26、單1相關(guān)證據(jù)，表單2，表單2相關(guān)證據(jù)，每個表單以及相關(guān)證據(jù)如果超過1張，第二張開始只需要填寫后綴部分比如關(guān)鍵控制點編號為GCC-AQ-8的表單一共有3張那他們的Reference編號編號就分別為GCC-AQ8-01，GCC-AQ8-02，GCC-AQ8-03。如果表單以及相關(guān)的書面證據(jù)超過一張的時候就在后面加后綴后綴（1），（2）(99)內(nèi)控部GCC符合性檢查培訓(xùn)v課件n 顏色：統(tǒng)一用紅色進(jìn)行編寫n 位置：有兩種情況需要提醒可參見其他資料時的Reference位置 在需要需要提醒的地方編寫供被調(diào)用時的自身Reference編碼的位置：縱向縱向打印的紙張：右上方 橫向橫向打印的紙張：折疊后的右上

27、方寫寫Reference的注意點的注意點內(nèi)控部GCC符合性檢查培訓(xùn)v課件打印工作底稿需要注意以下打印要求打印工作底稿需要注意以下打印要求n打印的要求所有的格子需要居中注意頁眉頁腳，在頁腳。在頁腳處加上打印時間如果是分多頁打印的表格，比如測試計劃表，那么標(biāo)題需要重復(fù)打印注意打印時的方向問題，要分橫向，縱向進(jìn)行打印內(nèi)控部GCC符合性檢查培訓(xùn)v課件在頁腳中加時間在頁腳中加時間File Page Setup在Page Setup對話框里選Header/Footer選項卡點擊Custom Footer內(nèi)控部GCC符合性檢查培訓(xùn)v課件在頁腳中加時間在頁腳中加時間n按下面的圖示將按鈕放到空白框內(nèi)，并做相應(yīng)的

28、設(shè)置，使頁腳符合要求內(nèi)控部GCC符合性檢查培訓(xùn)v課件保留標(biāo)題打印保留標(biāo)題打印File Page Setup在Page Setup對話框里選Sheet選項卡按實際情況進(jìn)行配置（例子中Rows to Repeat at the Top 中$1:$1是指反復(fù)在頂部打印第一行，Columns to Repeat at the Left中$A:$B是指反復(fù)在左邊打印第A列和第B列）內(nèi)控部GCC符合性檢查培訓(xùn)v課件按要求進(jìn)行工作底稿的裝訂按要求進(jìn)行工作底稿的裝訂n裝訂的要求：縱向裝訂注意：要求工作底稿要求縱向裝訂。所有橫向打印的資料，要求左上角對齊后，將寬出的部分逆時針折疊，與縱向的材料寬度一致。如圖所示

29、：內(nèi)控部GCC符合性檢查培訓(xùn)v課件目錄目錄n第一章-背景及基礎(chǔ)知識n第二章-符合性檢查工作程序 n第三章-如何進(jìn)行表單檢查n第四章-如何編制工作底稿n第五章普遍性問題的檢查方法內(nèi)控部GCC符合性檢查培訓(xùn)v課件問題一：問題一：GIT-4.2 職責(zé)分離職責(zé)分離 檢查內(nèi)容檢查內(nèi)容檢查方法檢查方法n檢查該單位信息安全管理負(fù)責(zé)人是否定期（每六個月）審核本單位信息系統(tǒng)總體控制活動的職責(zé)分離狀況，并填寫職責(zé)分離檢查表，是否將不符情況報相關(guān)負(fù)責(zé)人。n包括：應(yīng)用系統(tǒng)管理員與操作系統(tǒng)管理員是否分離；應(yīng)用系統(tǒng)管理員與數(shù)據(jù)庫系統(tǒng)管理員是否分離；業(yè)務(wù)系統(tǒng)使用人員與系統(tǒng)管理人員是否分離；信息系統(tǒng)管理活動的操作者與授權(quán)者是

30、否分離；系統(tǒng)程序開發(fā)人員與系統(tǒng)使用人員是否分離；系統(tǒng)程序開發(fā)人員與系統(tǒng)管理人員是否分離n訪談信息安全管理負(fù)責(zé)人，了解該單位信息系統(tǒng)總體控制的職責(zé)分離管理情況；n獲得全部職責(zé)分離檢查表，抽樣檢查表單是否經(jīng)過了信息安全管理負(fù)責(zé)人的審核簽字，是否記錄了例外情況；n檢查納入范圍的系統(tǒng)中是否實現(xiàn)了角色分離；n填寫相關(guān)測試表單。內(nèi)控部GCC符合性檢查培訓(xùn)v課件問題二：問題二：GIT-31 電子表格電子表格檢查內(nèi)容檢查內(nèi)容檢查方法檢查方法n檢查電子表格是否存放在文件服務(wù)器受到保護(hù)的路徑目錄下，并對電子表格存放目錄權(quán)限進(jìn)行控制。n訪談電子表格負(fù)責(zé)人，了解電子表格的管理情況，確定電子表格存儲管理的相關(guān)人員，并獲

31、得電子表格匯總表； n訪談這些人員，了解電子表格存儲管理的工作方法和流程；n確定樣本數(shù)量：根據(jù)抽樣原則從電子表格匯總表中隨機(jī)抽取樣本；n登陸文件服務(wù)器，檢查抽取的樣本表格存放的目錄屬性及是否設(shè)置了權(quán)限控制。n電子表格范圍及負(fù)責(zé)人尚未確定，電子表格控制還有大量的工作未完成內(nèi)控部GCC符合性檢查培訓(xùn)v課件問題二：問題二：GIT-31 電子表格（續(xù)）電子表格（續(xù)）檢查內(nèi)容檢查內(nèi)容檢查方法檢查方法n檢查重要和一般電子表格的變更是否嚴(yán)格遵循申請、授權(quán)、測試和批準(zhǔn)的完整過程。n訪談電子表格負(fù)責(zé)人，了解電子表格變更管理情況，確定電子表格變更管理中涉及的相關(guān)人員，獲得電子表格匯總表； n訪談這些人員，了解電子

32、表格變更完整過程；n確定樣本總體：統(tǒng)計所有電子表格匯總表包含的電子表格全年共發(fā)生了多少次變更活動，作為樣本總體；n確定樣本數(shù)量：根據(jù)抽樣原則隨機(jī)抽取樣本，獲得電子表格變更申請表、電子表格登記表及相關(guān)的過程文檔；n檢查申請表內(nèi)容的填寫是否符合要求，是否有電子表格負(fù)責(zé)人的審批簽字；n檢查變更測試文檔是否經(jīng)過用戶簽字確認(rèn)n檢查登記表是否及時進(jìn)行了更新，是否能夠?qū)?yīng)到相應(yīng)的申請表。內(nèi)控部GCC符合性檢查培訓(xùn)v課件問題二：問題二：GIT-31 電子表格（續(xù)）電子表格（續(xù)）檢查內(nèi)容檢查內(nèi)容檢查方法檢查方法n檢查重要電子表格是否定期備份，模板的備份存放在文件服務(wù)器指定的文件夾中，數(shù)據(jù)備份由用戶各自進(jìn)行，根據(jù)

33、使用的頻率決定備份的周期。每年對重要電子表格進(jìn)行存檔，將其存入獨立的存儲介質(zhì)，并設(shè)置為只讀模式。n訪談電子表格負(fù)責(zé)人，了解電子表格的備份管理情況，確定電子表格備份工作涉及的相關(guān)人員，并獲得電子表格匯總表； n訪談這些人員，了解電子表格存儲管理的工作方法和流程；n確定樣本數(shù)量：根據(jù)抽樣原則從電子表格匯總表中隨機(jī)抽取重要電子表格樣本； n檢查重要電子表格模板是否進(jìn)行了備份，并存放在了指定的文件服務(wù)器的文件夾中；n檢查重要電子表格的最終用戶是否對數(shù)據(jù)進(jìn)行了定期備份；n檢查重要電子表格是否每年在獨立的存儲介質(zhì)中進(jìn)行存檔，并被設(shè)置為只讀模式。內(nèi)控部GCC符合性檢查培訓(xùn)v課件問題三：問題三：GIT-16.2 第三方管理第三方管理檢查內(nèi)容檢查內(nèi)容檢查方法檢查方法n檢查在第三方需要訪問中國石油應(yīng)用系統(tǒng)生產(chǎn)環(huán)境時，是否填寫用戶帳號及權(quán)限管理表，說明帳號使用的時間和期限，并得到相關(guān)業(yè)務(wù)部門主管領(lǐng)導(dǎo)的批準(zhǔn)。訪問結(jié)束或訪問期限到期，應(yīng)用系統(tǒng)管理員是否及時收回相應(yīng)的訪問權(quán)限n訪談信息技術(shù)部門負(fù)責(zé)人和應(yīng)用系統(tǒng)負(fù)責(zé)人，了解系統(tǒng)有無第三方人員的訪問，并確定檢查人員。n確定樣本總體：統(tǒng)計全年納入范圍應(yīng)用系統(tǒng)的第三方用戶數(shù)，并察看是否所有第三方用戶都填寫了用戶帳號及權(quán)限管理表。n確定樣本數(shù)量：