信息系統(tǒng)總體控制GCC

1、信息系統(tǒng)總體控制GCC,2,內(nèi)容提要,內(nèi)部控制與COSO框架模型 信息系統(tǒng)總體控制GCC簡介 信息系統(tǒng)總體控制簡介 信息系統(tǒng)總體控制與審計關(guān)注點,3,內(nèi)容提要,內(nèi)部控制與COSO框架模型 內(nèi)部控制的定義 COSO內(nèi)部控制框架及五要素 薩奧法案404條款對內(nèi)控測試的要求 中國企業(yè)內(nèi)部控制規(guī)范對內(nèi)控測試的要求 信息系統(tǒng)總體控制GCC簡介 信息系統(tǒng)總體控制簡介 信息系統(tǒng)總體控制與審計關(guān)注點,4,內(nèi)部控制的定義,什么是內(nèi)部控制？ 內(nèi)部控制是一個活動過程的概念，由企業(yè)的董事會，管理層和其他員工共同執(zhí)行，對以下方面提供合理的保證： 提高經(jīng)營的效率和效果（針對運營風(fēng)險） 財務(wù)報告可靠性（針對財務(wù)風(fēng)險） 遵循

2、相關(guān)的法律法規(guī)（針對法律風(fēng)險）,5,內(nèi)部控制的定義（續(xù)）,內(nèi)部控制是企業(yè)為實現(xiàn)經(jīng)營目標(biāo)，保證生產(chǎn)經(jīng)營活動的高效率運行，保護企業(yè)資源的安全完整，確保財務(wù)會計信息的正確性、可靠性、一致性，提高經(jīng)濟效益，促進(jìn)貫徹執(zhí)行既定的管理政策，而在企業(yè)內(nèi)所采取的組織規(guī)劃和一系列相互協(xié)調(diào)的方法、措施、程序的總稱。,內(nèi)部控制的定義反映了下列基本的概念： 內(nèi)部控制有狹義與廣義的區(qū)分； 狹義內(nèi)部控制是一個活動過程，但一個活動過程并不一定是內(nèi)部控制 內(nèi)部控制規(guī)根到底是由人來執(zhí)行的。內(nèi)控不僅僅是政策手冊的制定、表單的填寫和程序的運行，更需要公司各個層面人員的參與和配合； 內(nèi)部控制只能對企業(yè)的管理層和董事會提供合理范圍內(nèi)的保

3、證，而不是絕對的保證。 內(nèi)部控制要求其實就是企業(yè)管理要求。,6,COSO內(nèi)部控制框架及五要素,COSO, 全美預(yù)防虛假財務(wù)報告發(fā)起人委員會（The Committee of Sponsoring Organization of The National Commission of Fraudulent Financial Reporting） COSO 提出的內(nèi)部控制整體框架報告，開創(chuàng)性地提出了一套內(nèi)部控制整體框架體系，是公認(rèn)的內(nèi)部控制的標(biāo)準(zhǔn)。 COSO有五個要素構(gòu)成：控制環(huán)境（Control Environment）;風(fēng)險評估（Risk Assessment）；控制活動（Control Ac

4、tivities）;信息與溝通（Information Communication）; 監(jiān)督（Monitoring）,7,COSO內(nèi)部控制框架及五要素（續(xù)）,誠信與道德觀 員工勝任能力 董事會或?qū)徲嬑瘑T會 管理哲學(xué)和經(jīng)營風(fēng)格 組織結(jié)構(gòu) 權(quán)責(zé)分派體系 人力資源政策及實行,目標(biāo) 風(fēng)險 對環(huán)境變化的管理,高層經(jīng)理執(zhí)行績效分析 對信息處理的控制 實體控制 績效指標(biāo)比較 分工,信息系統(tǒng) 溝通,持續(xù)監(jiān)控 個別評估 匯報內(nèi)部控制缺陷,4.信息與溝通,3.控制活動,5.監(jiān)督,2.風(fēng)險評估,1. 控制環(huán)境,企業(yè)運營 財務(wù)報告 法律法規(guī),8,COSO內(nèi)部控制框架及五要素（續(xù)）,控制環(huán)境：確定了一個公司的管理哲學(xué)和

5、經(jīng)營風(fēng)格，影響了員工的風(fēng)險防范意識。它是內(nèi)部控制其它因素的基礎(chǔ)，為內(nèi)部控制提供了指導(dǎo)原則和結(jié)構(gòu)。 風(fēng)險評估：是公司為了達(dá)到自身的控制目標(biāo)，對相關(guān)風(fēng)險進(jìn)行識別和分析的過程，并為如何管理風(fēng)險奠定了基礎(chǔ)。 信息與溝通：為了能夠規(guī)范并及時地識別信息、捕獲信息和交換信息而提供支持的信息系統(tǒng)，以保證每個員工完成自己的工作。有效的溝通是指信息必須在公司內(nèi)自上而下、橫向以及自下而上的傳遞。它是經(jīng)營管理的信息不斷獲取、處理、交流與反饋的動態(tài)過程。,9,COSO內(nèi)部控制框架及五要素（續(xù)）,監(jiān)督：由適當(dāng)?shù)娜藛T，在適當(dāng)及時的基礎(chǔ)下，評估內(nèi)控體系中控制的設(shè)計和運作情況的過程。監(jiān)督由持續(xù)監(jiān)控和個別評估組成，它為企業(yè)內(nèi)部控

6、制能持續(xù)有效運作提供保證。持續(xù)的監(jiān)控活動在經(jīng)營過程中發(fā)生，包括例行的管理和監(jiān)控活動，以及其他員工為其履行職務(wù)所采取的行動。個別評估用以直接監(jiān)視控制系統(tǒng)的有效性，有時也用于對可持續(xù)性監(jiān)控程序加以評估。 控制活動：是幫助公司確定其管理層到一般管理者的管理指示被準(zhǔn)確執(zhí)行而建立的政策、程序和實施過程。包括批準(zhǔn)、授權(quán)、確認(rèn)計量、績效審核、資產(chǎn)安全以及職責(zé)分工等。,10,COSO內(nèi)部控制框架及五要素（續(xù)）,COSO五要素之間的相互關(guān)系： 1.控制環(huán)境是整個內(nèi)控系統(tǒng)的基石，支撐和決定著風(fēng)險評估、控制活動、信息傳遞和監(jiān)督，是其他四個因素的基礎(chǔ)。 2.風(fēng)險評估是建立控制活動的基礎(chǔ)，只有在對風(fēng)險正確的識別分析上才

7、能管理風(fēng)險，從而建立恰當(dāng)?shù)目刂苹顒印?3.控制活動是內(nèi)部控制的主要組成部分。 4.信息溝通和傳遞貫穿各個要素之間，將整個內(nèi)控結(jié)構(gòu)凝聚在一起，是內(nèi)部控制體系的生命線，為管理層監(jiān)督各項活動和在必要時采取糾正措施提供了保證。 5.監(jiān)督位于頂端的重要位置，是內(nèi)控系統(tǒng)的特殊構(gòu)成要素，它獨立于各項生產(chǎn)經(jīng)營活動之外，是對其他內(nèi)部控制的一種再控制。,11,內(nèi)容提要,內(nèi)部控制與COSO框架模型 信息系統(tǒng)總體控制GCC簡介 信息系統(tǒng)總體控制與財務(wù)風(fēng)險 信息系統(tǒng)總體控制定義及控制領(lǐng)域 PCAOB審計準(zhǔn)則5號對GCC的要求 中國企業(yè)內(nèi)部控制規(guī)范對GCC的要求 中石油信息系統(tǒng)總體控制簡介 中石油信息系統(tǒng)總體控制與審計關(guān)

8、注點,12,信息系統(tǒng)總體控制與財務(wù)風(fēng)險,重要財務(wù)報表數(shù)據(jù),信息技術(shù)特有的風(fēng)險,與信息技術(shù)相關(guān)的風(fēng)險,主要業(yè)務(wù)類型,信息處理風(fēng)險,重要的自動或手工業(yè)務(wù)流程,信息系統(tǒng)及基礎(chǔ)設(shè)施,財務(wù)報告,財務(wù)數(shù)據(jù),信息系統(tǒng)用戶權(quán)限,信息系統(tǒng)總體控制,13,信息系統(tǒng)總體控制與財務(wù)風(fēng)險（續(xù)）,信息處理風(fēng)險：是指在業(yè)務(wù)流程層面導(dǎo)致財務(wù)報表在交易層面認(rèn)定發(fā)生錯誤的可能性， 例如某筆已經(jīng)發(fā)生的銷售收入沒有記賬。 與信息技術(shù)相關(guān)的風(fēng)險：是指在信息技術(shù)層面導(dǎo)致全自動或依賴系統(tǒng)半自動的過程發(fā)生錯誤的可能性，例如系統(tǒng)升級失敗導(dǎo)致銷售訂單的審批功能失效。 信息技術(shù)特有的風(fēng)險：是指通過信息技術(shù)對信息系統(tǒng)中的財務(wù)數(shù)據(jù)進(jìn)行非授權(quán)或不適當(dāng)?shù)?/p>

9、修改，導(dǎo)致財務(wù)報表披露發(fā)生錯誤的可能性。 信息系統(tǒng)總體控制（包括用戶權(quán)限控制），直接針對與信息技術(shù)相關(guān)的風(fēng)險和信息技術(shù)特有的風(fēng)險，并通過信息系統(tǒng)總體控制依賴下的自動控制及手工依賴系統(tǒng)的控制對信息處理的風(fēng)險進(jìn)行防范。,14,手工控制實施證據(jù),自動控制實施證據(jù),信息系統(tǒng)總體控制與財務(wù)風(fēng)險（續(xù)）,財務(wù)報表披露項目(重要會計科目),業(yè)務(wù)流程手工控制（手工業(yè)務(wù)流程）,應(yīng)用系統(tǒng)自動控制 （系統(tǒng)自動業(yè)務(wù)流程）,系統(tǒng)用戶權(quán)限訪問控制（權(quán)限相關(guān)的業(yè)務(wù)流程）,地區(qū)公司 / 業(yè)務(wù)流程 / 業(yè)務(wù)子流程,* 從內(nèi)部控制和財務(wù)審計的角度來看，信息系統(tǒng)自動控制和用戶權(quán)限訪問的有效性都直接依賴于GCC的有效性，從而影響財務(wù)相

10、關(guān)的業(yè)務(wù)流程，對財務(wù)數(shù)據(jù)的真實準(zhǔn)確性有著間接的重要影響。,15,信息系統(tǒng)總體控制定義及控制領(lǐng)域,信息系統(tǒng)總體控制（GCC）是指用來管理與監(jiān)控信息技術(shù)活動和計算機環(huán)境的內(nèi)部控制，屬于內(nèi)部控制框架五要素中“控制活動”的范疇，通常包括以下五個領(lǐng)域：,信息系統(tǒng)總體控制,信息技術(shù)控制環(huán)境,信息安全,系統(tǒng)日常運作,變更管理,項目建設(shè)管理,項目建設(shè)管理：,開發(fā)方法論、項目立項審批、項目啟動階段、項目需求分析、項目設(shè)計、系統(tǒng)開發(fā)實施、系統(tǒng)測試、數(shù)據(jù)移植、系統(tǒng)上線、項目驗收、上線后審閱、用戶培訓(xùn)、項目文檔管理等,變更管理：,應(yīng)用系統(tǒng)日常變更、系統(tǒng)環(huán)境日常變更、緊急變更管理等,系統(tǒng)日常運作：,機房環(huán)境控制、系統(tǒng)日

11、常運作監(jiān)控、批處理作業(yè)調(diào)度管理、數(shù)據(jù)備份與恢復(fù)、問題管理等,信息安全：,信息安全組織、邏輯安全、物理安全、網(wǎng)絡(luò)安全、計算機病毒防護、外部第三方信息安全管理、信息安全事件響應(yīng)等,信息控制環(huán)境：,總體環(huán)境、信息與溝通、風(fēng)險評估、監(jiān)控等,16,信息系統(tǒng)總體控制定義及控制領(lǐng)域（續(xù)）,公司業(yè)務(wù)需要完整和準(zhǔn)確的信息支持財務(wù)報告和財務(wù)決策，公司的應(yīng)用系統(tǒng)支持財務(wù)相關(guān)信息。 信息系統(tǒng)總體控制與公司財務(wù)數(shù)據(jù)的真實性、準(zhǔn)確性、完整性具有直接或間接的關(guān)系，直接或間接地降低應(yīng)用系統(tǒng)中財務(wù)數(shù)據(jù)發(fā)生錯誤的可能性。 有效的信息系統(tǒng)總體控制可以確保依賴系統(tǒng)所進(jìn)行的應(yīng)用控制、自動會計處理能夠持續(xù)有效地運行；同時信息系統(tǒng)總體控制

12、對于依賴系統(tǒng)生成信息而進(jìn)行的手工控制也是十分重要的。,17,信息系統(tǒng)總體控制定義及控制領(lǐng)域（續(xù)）,完善的信息系統(tǒng)總體控制可以為應(yīng)用控制的有效性提供有力的保障，從而為流程的有效性和財務(wù)數(shù)據(jù)的準(zhǔn)確性奠定基礎(chǔ),信息系統(tǒng)總體控制薄弱,信息系統(tǒng)總體控制完善,某些應(yīng)用控制的有效性取決于GCC的有效性,信息系統(tǒng)總體控制,信息系統(tǒng)總體控制,應(yīng)用控制,應(yīng)用控制,18,PCAOB審計準(zhǔn)則5號對GCC的要求,理解或更新企業(yè)所運用的信息系統(tǒng)，并且評估信息技術(shù)對于財務(wù)報表的可靠性產(chǎn)生影響的相關(guān)風(fēng)險 考慮自動控制的級別和復(fù)雜程度、所運用的平臺、信息安全的方法和架構(gòu)、已知的問題、處理事務(wù)的性質(zhì)和數(shù)量 經(jīng)營活動中出現(xiàn)的重大變

13、化或風(fēng)險，能夠影響到系統(tǒng)穩(wěn)定處理和維護交易和金額的能力，例如：交易處理的性質(zhì)和數(shù)量發(fā)生變化 會計和法規(guī)要求的重大變更對系統(tǒng)和業(yè)務(wù)流程產(chǎn)生影響 操作層面的重大變更或關(guān)鍵崗位人員的輪換,19,PCAOB審計準(zhǔn)則5號對GCC的要求（續(xù)）,已知或新出現(xiàn)的系統(tǒng)故障(例如：財務(wù)系統(tǒng)和備份數(shù)據(jù)的經(jīng)常性恢復(fù)或其它類似的系統(tǒng)不穩(wěn)定跡象) 新的系統(tǒng)開發(fā)；新硬件和軟件的安裝或重大的軟件升級；信息安全架構(gòu)或信息安全管理的重大變更 已知的數(shù)據(jù)損壞、安全漏洞或其它安全事件，能夠反映潛在的內(nèi)部控制問題 公司組織結(jié)構(gòu)出現(xiàn)重大變更或與IT職能或關(guān)鍵業(yè)務(wù)流程相關(guān)的關(guān)鍵政策和程序(包括手工控制)出現(xiàn)重大變更 進(jìn)行信息安全監(jiān)控的結(jié)果

14、,20,中國企業(yè)內(nèi)部控制規(guī)范對GCC的要求,信息系統(tǒng)控制要求企業(yè)結(jié)合實際情況和計算機信息技術(shù)應(yīng)用程度，建立與本企業(yè)經(jīng)營管理業(yè)務(wù)相適應(yīng)的信息化控制流程，提高業(yè)務(wù)處理效率，減少和消除人為操縱因素，同時加強對計算機信息系統(tǒng)開發(fā)與維護、訪問與變更、數(shù)據(jù)輸入與輸出、文件儲存與保管、網(wǎng)絡(luò)安全等方面的控制，保證信息系統(tǒng)安全、有效運用。 企業(yè)內(nèi)部控制基本規(guī)范,21,中國企業(yè)內(nèi)部控制規(guī)范對GCC的要求（續(xù)）,現(xiàn)有規(guī)章制度的執(zhí)行是否切實遵守已經(jīng)制定的規(guī)章制度，是否存在違規(guī)事項； 崗位分工、職責(zé)權(quán)限和授權(quán)批準(zhǔn)是否存在財務(wù)信息系統(tǒng)不相容職務(wù)混崗的現(xiàn)象，是否存在越權(quán)審批行為； 系統(tǒng)開發(fā)時是否考慮了企業(yè)的實際情況和履行了

15、相應(yīng)的決策程序，系統(tǒng)投入使用前是否進(jìn)行了充分測試，測試結(jié)果是否理想測試結(jié)果是否理想，是否定期檢測系統(tǒng)運行情況并妥善處理潛在危險； 操作規(guī)范和運行控制：是否存在明確的工作程序和操作規(guī)范，是否存在分級操作管理權(quán)限； 信息使用和管理控制：是否實現(xiàn)了數(shù)據(jù)共享、集中管理和集成應(yīng)用，是否存在數(shù)據(jù)定期備份和緊急情況預(yù)案制度； 中央企業(yè)財務(wù)內(nèi)部控制評價工作指引,22,內(nèi)容提要,內(nèi)部控制與COSO框架模型 信息系統(tǒng)總體控制GCC簡介 中石油信息系統(tǒng)總體控制簡介 中石油的信息系統(tǒng)簡介 中石油信息系統(tǒng)總體控制的發(fā)展 中石油信息系統(tǒng)總體控制與審計關(guān)注點,23,中石油的信息系統(tǒng)簡介,企 業(yè) 層 面（ 覆 蓋 所 有 地

16、 區(qū) 公 司 ）,ERP系統(tǒng),總部會計一級 集中核算系統(tǒng),加油站 管理系統(tǒng),SAP-HR （人力資源系統(tǒng)）,地區(qū)公司,電子商務(wù)系統(tǒng),股份公司信息系統(tǒng)開發(fā)整體架構(gòu)圖示,ARIS系統(tǒng)（業(yè)務(wù)流程管理信息系統(tǒng)）,地區(qū)公司,國際事業(yè) SAP系統(tǒng),地區(qū)公司,物資信息 管理系統(tǒng),地區(qū)公司,ICTS交易 管理系統(tǒng),24,作為信息技術(shù)總體規(guī)劃中有關(guān)綜合管理領(lǐng)域的關(guān)鍵組成部分，該系統(tǒng)重在對集團公司內(nèi)部控制和業(yè)務(wù)流程進(jìn)行全面的信息化管理。一方面，系統(tǒng)采用規(guī)范的流程設(shè)計，構(gòu)建統(tǒng)一的風(fēng)險數(shù)據(jù)庫和流程數(shù)據(jù)庫，在線發(fā)布，對集團公司各項重大風(fēng)險數(shù)據(jù)進(jìn)行集中管理，并通過流程分析與優(yōu)化和流程監(jiān)控，對集團公司全部業(yè)務(wù)活動和風(fēng)險防范

17、工作進(jìn)行管理。另一方面采用控制測試模塊，實現(xiàn)對風(fēng)險控制措施的在線檢查測試、記錄、評估、改進(jìn)、報告全過程系統(tǒng)支持，強化了對風(fēng)險控制的監(jiān)督檢查。,中石油的信息系統(tǒng)簡介-ARIS系統(tǒng),25,中石油的信息系統(tǒng)簡介- ERP系統(tǒng),ERP系統(tǒng)作為信息技術(shù)總體規(guī)劃中ERP領(lǐng)域的關(guān)鍵組成部分，該系統(tǒng)是基于企業(yè)現(xiàn)代化管理理念，將人力資源、采購、銷售、財務(wù)、生產(chǎn)、庫存等業(yè)務(wù)功能綜合集成, 并已得到全面建設(shè)實施的信息系統(tǒng)。ERP系統(tǒng)強調(diào)業(yè)務(wù)流程的規(guī)范、統(tǒng)一及管理的標(biāo)準(zhǔn)化，對防范集團公司重大業(yè)務(wù)運營風(fēng)險的有效控制的形成，提供了運行基礎(chǔ)和技術(shù)手段，并已成為集團公司信息化高水平的重要標(biāo)志。 股份公司自2006年啟動了基于

18、SAP的ERP系統(tǒng)建設(shè)項目，股份公司范圍內(nèi)除大連西太（中石油非控股方）外所有地區(qū)公司均納入ERP系統(tǒng)建設(shè)范圍。目前已經(jīng)建立系統(tǒng)實施規(guī)劃的有76家地區(qū)公司，其余地區(qū)公司也將陸續(xù)進(jìn)行ERP系統(tǒng)建設(shè)，按照集團領(lǐng)導(dǎo)批示，到“十一五”末，基本完成建設(shè)以ERP系統(tǒng)為核心的信息管理方案。,26,中石油的信息系統(tǒng)簡介-會計一級集中核算,會計一級集中核算系統(tǒng)是信息技術(shù)總體規(guī)劃中與財務(wù)管理領(lǐng)域的密切相關(guān)的組成部分，該信息系統(tǒng)通過集中核算、前移監(jiān)控關(guān)口，形成對集團公司整體財務(wù)數(shù)據(jù)的統(tǒng)一集中管理；該系統(tǒng)的運用不僅對財務(wù)風(fēng)險的識別與監(jiān)督提供有效的信息支持，而且對加強戰(zhàn)略、市場、經(jīng)營類的風(fēng)險識別與監(jiān)督提供了充分的數(shù)據(jù)分析

19、支持。 會計一級集中核算系統(tǒng)由6個子系統(tǒng)（FMIS7.0、FA7.0、FMIS內(nèi)部交易平臺、FMIS標(biāo)準(zhǔn)管理平臺、FMIS報表管理系統(tǒng)和財務(wù)專用SAP）以及5個接口（FMIS與ERP通用憑證接口、FA與ERP憑證接口、內(nèi)部交易平臺與ERP接口、FMIS與FA固定資產(chǎn)接口、FMIS與FA無形資產(chǎn)接口）構(gòu)成。地區(qū)公司FMIS7.0中的財務(wù)憑證經(jīng)過系統(tǒng)審核后，實時傳遞到總部的財務(wù)專用SAP系統(tǒng)進(jìn)行收集和匯總。財務(wù)專用SAP主要負(fù)責(zé)自動對收集的憑證進(jìn)行匯總，從而生成預(yù)制報表，等待總部FMIS7.0報表管理系統(tǒng)從財務(wù)專用SAP中取數(shù)，并最終生成對外披露的財務(wù)報表。,27,中石油信息系統(tǒng)總體控制的發(fā)展,信

20、息系統(tǒng)總體控制實施辦法 中石油信息系統(tǒng)總體控制制度體系旨在整個公司范圍內(nèi)更加科學(xué)、規(guī)范地應(yīng)用信息技術(shù)，提高企業(yè)在信息技術(shù)開發(fā)、實施、運營活動方面的控制能力，增強日常信息工作效率，更好地保護信息資產(chǎn)，提高信息技術(shù)對業(yè)務(wù)的支持力度。 信息系統(tǒng)總體控制實施辦法是信息系統(tǒng)總體控制制度體系的重要組成部分，是根據(jù)信息系統(tǒng)總體控制的要求制定的、用于指導(dǎo)日常信息技術(shù)管理和運營的管理流程和具體要求。,28,中石油信息系統(tǒng)總體控制的發(fā)展(續(xù)),GCC 實施辦法,信息系統(tǒng)總體控制實施辦法涵蓋了IT管理和運營所涉及的各個方面:,控制環(huán)境 信息技術(shù)組織 人力資源管理 信息溝通 風(fēng)險評估 監(jiān)控,信息安全 信息安全組織 邏

21、輯安全 物理安全 網(wǎng)絡(luò)安全 病毒防護 第三方管理 安全事件響應(yīng),項目建設(shè)管理 項目立項 項目立項審批 商業(yè)軟件及硬件的外購 項目建設(shè)方法論 項目啟動 需求分析 項目設(shè)計 系統(tǒng)開發(fā)實施 系統(tǒng)測試 數(shù)據(jù)移植 系統(tǒng)上線 項目驗收和上線后審閱 項目管理 項目培訓(xùn)管理 項目文檔管理 項目問題管理 項目變更管理,系統(tǒng)變更 日常變更 緊急變更,信息系統(tǒng)日常運作 機房環(huán)境控制 日常監(jiān)控 批處理作業(yè)管理 備份與恢復(fù) 問題管理,29,內(nèi)容提要,內(nèi)部控制與COSO框架模型 信息系統(tǒng)總體控制GCC簡介 中石油信息系統(tǒng)總體控制簡介 中石油信息系統(tǒng)總體控制與審計關(guān)注點 中石油信息系統(tǒng)總體控制 中石油GCC例外事項舉例,3

22、0,數(shù)據(jù)庫,應(yīng)用系統(tǒng),操作系統(tǒng),網(wǎng)絡(luò)環(huán)境,增加風(fēng)險水平,信息安全領(lǐng)域最主要的控制目標(biāo)是確保財務(wù)數(shù)據(jù)的安全性。隨著制度層面、網(wǎng)絡(luò)層面、操作系統(tǒng)層面、應(yīng)用系統(tǒng)層面、數(shù)據(jù)庫層面系統(tǒng)數(shù)據(jù)的可接觸性逐步增加，以上各個層面對數(shù)據(jù)安全性的威脅程度（即：風(fēng)險）也逐步增大?；陲L(fēng)險的不同，信息安全控制領(lǐng)域的關(guān)鍵控制與測試程度也在不同的信息技術(shù)層面存在差異。,中石油信息系統(tǒng)總體控制（信息安全）,31,中石油信息系統(tǒng)總體控制（信息安全）,32,中石油信息系統(tǒng)總體控制（信息安全）,33,中石油信息系統(tǒng)總體控制（信息安全）,34,中石油信息系統(tǒng)總體控制（信息安全）,35,中石油信息系統(tǒng)總體控制（信息安全）,36,中石油

23、信息系統(tǒng)總體控制（信息安全）,37,中石油信息系統(tǒng)總體控制（信息安全）,對于測試期間系統(tǒng)用戶權(quán)限變更的情況，審計人員不會僅依賴訪談和被測試人員提供的用戶賬號及權(quán)限管理表直接作為樣本總量?？赡芡ㄟ^將本次測試從系統(tǒng)中導(dǎo)出的用戶清單及權(quán)限列表與上一次測試導(dǎo)出的相應(yīng)數(shù)據(jù)進(jìn)行比較，大體上分析出測試期間的用戶及權(quán)限變化情況，尤其是在被審計人員告知測試期間無用戶權(quán)限變更的情況（無樣本）下，更需要通過以上比較分析證實無樣本的結(jié)論。與此相關(guān)的信息安全領(lǐng)域控制點為GIT5.1/GIT6.1/GIT7.1,38,藍(lán)圖 設(shè)計,系統(tǒng) 實現(xiàn),用戶 測試,權(quán)限 設(shè)計,上線 準(zhǔn)備,應(yīng)用系統(tǒng)通用實施過程,實施項目主要成果,確認(rèn)

24、流程藍(lán)圖,項目 準(zhǔn)備,可行性分析,立項申請,項目章程/計劃,數(shù)據(jù)編碼規(guī)則,基本配置,組織結(jié)構(gòu),需求分析,功能開發(fā)文檔,單元測試,集成測試,用戶接受測試,權(quán)限設(shè)計文檔,權(quán)限確認(rèn)文檔,用戶培訓(xùn)文檔,上線文檔,數(shù)據(jù)移植,對賬報告,數(shù)據(jù)轉(zhuǎn)換文檔,中石油信息系統(tǒng)總體控制（項目開發(fā)）,39,中石油信息系統(tǒng)總體控制（項目開發(fā)）,40,中石油信息系統(tǒng)總體控制（項目開發(fā)）,41,中石油信息系統(tǒng)總體控制（項目開發(fā)）,42,中石油信息系統(tǒng)總體控制（項目開發(fā)）,43,中石油信息系統(tǒng)總體控制（項目開發(fā)）,項目開發(fā)測試階段的重要意義，在于發(fā)現(xiàn)開發(fā)項目本身是否存在系統(tǒng)并不滿足實際業(yè)務(wù)需要的問題。因此，在用戶測試報告中審計人員不僅僅要關(guān)注是否存在測試人的確認(rèn)簽字，而且還要注重測試內(nèi)容中是否記錄了所發(fā)現(xiàn)的相關(guān)問題及后續(xù)處理結(jié)果，與此相關(guān)的控制點為GIT23.1;根據(jù)系統(tǒng)開發(fā)的規(guī)模和性質(zhì)的不同，進(jìn)行數(shù)據(jù)移植的時間點及方法也不同。有些系統(tǒng)開發(fā)是在用戶接受測試完成后才進(jìn)行數(shù)據(jù)移植，而有些項目是在用戶接受測試之前就進(jìn)行數(shù)據(jù)移植。有些項目是利用應(yīng)用軟件工具將靜態(tài)數(shù)據(jù)（主