关于信息系统内部控制体系建设探索.docVIP

关于信息系统内部控制体系建设探索 　　［摘要］ 中国石油从2006年起开始全面建设内控体系，本文通过对中国石油信息系统内控体系建设的探索，阐述了信息系统内控体系建设的内容及实施的意义，对其他单位信息系统内控体建设有较好的借鉴意义。 　　［关键词］ 信息系统；内控体系；五要素；意义 　　doi : 10 . 3969 / j . issn . 1673 - 0194 . 2011 . 22. 027 　　［中图分类号］F270.7 ［文献标识码］A ［文章编号］1673 - 0194（2011）22- 0049- 02 　　 　　1 引言 　　美国安然与世通事件引发社会对保护投资者利益的关注，２００２年美国国会出台了《萨班斯－奥克斯利》法案， 该法案目的在于提升民众对美国金融市场及上市公司财务报告的信心。法案提出必须使用一个内部控制框架作为内控有效性评估的基础，同时明确了内部控制的整体框架构成。 　　中国石油集团内控体系建设项目源于《萨班斯－奥克斯利》法案。２００６年，中国石油以ＣＯＳＯ（Ｔｈｅ Ｃｏｍｍｉｔｔｅｅ ｏｆ Ｓｐｏｎｓｏｒｉｎｇ Ｏｒｇａｎｉｚａｔｉｏｎｓ ｏｆ Ｔｈｅ Ｎａｔｉｏｎａｌ Ｃｏｍｍｉｓｓｉｏｎ ｏｆ Ｆｒａｕｄｕｌｅｎｔ Ｆｉｎａｎｃｉａｌ Ｒｅｐｏｒｔｉｎｇ， 全国虚假财务报告委员会下属的发起人委员会）内部控制整体框架为基础，融合ＣＯＳＯ企业风险管理整体框架的主要内容，结合国家监管部门的基本要求，全面开展了内部控制体系建设。 　　2内部控制体系概述 　　中国石油内控体系建设覆盖全部业务和部门。建立了包括控制环境、风险评估、控制活动、信息与沟通、监督五要素的内部控制体系。其中：①控制环境（ｃｏｎｔｒｏｌ ｅｎｖｉｒｏｎｍｅｎｔ）是指企业的基调、氛围，直接影响企业员工的控制意识，是内部控制的基础。②风险评估（ｒｉｓｋ ａｐｐｒａｉｓａｌ）就是识别、分析相关风险以实现既定目标，是风险管理的基础。③控制活动（ｃｏｎｔｒｏｌ ａｃｔｉｖｉｔｙ）指那些有助于管理层决策顺利实施的政策和程序，是针对风险采取的控制措施。包括批准、授权、查证、核对、复核经营业绩、资产保护和职责分工等活动。④信息与沟通（ｉｎｆｏｒｍａｔｉｏｎ ａｎｄ ｃｏｍｍｕｎｉｃａｔｉｏｎ）是指企业经营管理所需信息必须被识别、获得并以一定形式及时传递，以便员工履行职责。⑤监督（ｍｏｎｉｔｏｒｉｎｇ）是对内部控制系统有效性进行评估的过程，它实际上是内部控制的一种再控制，包括持续监督、独立评估和缺陷报告等，通过监督活动的实施，可以使内部控制系统保持其有效性。内部控制五要素共同配合和相互联系，共同对企业的各经营部门和业务活动发挥作用。 　　3信息系统内部控制简介 　　信息系统内部控制五要素具体为：①控制环境：提高员工的组织影响控制意识，主要因素包括数据的保密性、真实性、政策、程序和责任。②风险评估：ＩＴ风险评估指ＩＴ管理、数据安全、程序变更和开发以及计算机运行ＩＴ内部控制战略计划。③控制活动：必要的政策和程序用来确定管理的指示正在被执行，主要包括信息系统总体控制和应用层面的控制。④信息和沟通：对于相关信息及时的鉴别，获取和传达以及访问内部和外部信息的权限控制。⑤监督：评估信息系统的稳定性，管理和监督活动。其中控制活动是信息系统内部控制的主要环节。本文针对信息系统总体控制与应用控制，主要做了以下探索： 　　3.1 信息系统总体控制（Ｇｅｎｅｒａｌ Ｃｏｍｐｕｔｅｒ Ｃｏｎｔｒｏｌ，ＧＣＣ） 　　中国石油集团公司制定了信息系统总体控制实施规范，适用于在信息技术的开发、实施、运行、维护及管理等方面的控制，主要包括6个方面：①信息系统控制环境。其包括总体控制环境、信息与沟通、风险评估和监控。②信息安全。由信息安全管理组织、逻辑安全、物理安全、网络安全、计算机病毒防护和第三方安全管理组成。③信息系统项目建设管理。涵盖了项目立项审批、项目建设方法、项目管理3项内容。④信息系统变更管理。内容涉及变更管理、日常变更流程、紧急变更流程。⑤信息系统日常运维。范围包括机房环境控制、系统日常运作监控、批处理作业调度管理、备份与恢复和问题管理。⑥最终用户操作。包括最终用户计算机操作安全制度和电子表格管理两项主要内容（详见表1）。 　　3.2 应用控制（Ａｐｐｌｉｃａｔｉｏｎ Ｃｏｎｔｒｏｌ，ＡＣ） 　　信息系统应用控制包括应用软件中的电算化步骤以及用以控制不同种类交易处理的相关手工操作程序。这些控制结合在一起，可以保证系统中的安全性。主要包括：①完整性。包括所有的交易都经过处理，且只处理一次；不允许数据的重复录入与处理以及例外情况的发现与解决。②准确性。包括所有的数据（包括金额和账户）是正确和合理的；例外情况被及时发现以保证交易被记录在正确的会