内控部谢总在信息系统现场会讲话_内控信息管理系统

内控部谢总在信息系统现场会讲话由刀豆文库小编整理，希望给你工作、学习、生活带来方便，猜你可能喜欢“内控信息管理系统”。

谢戈果总经理在信息系统内部控制

现场交流会议上的讲话

（2006年3月10日）

同志们：

为了全面了解各单位信息系统内控执行现状，充分交流信息系统内控工作中的经验和做法，我们在大庆油田公司召开了这次现场交流会。去年3月10日，我们在这里召开了勘探与生产企业内控体系建设现场会，时隔一年，我们又再次在这里召开信息系统内控工作交流会，春去春来，公司的内控体系建设工作由设计到执行，跨越了一大步，内部控制已经开始融入公司的企业文化，开始成为公司的管理规范，这是大家共同努力的结果，是大家两年多辛勤工作的成果。

今年是内部控制执行年，我们所有的精力都要集中在执行上，要聚精会神抓好执行。信息系统控制是内控体系的重要组成部分，也是美国上市公司会计监督委员会加强对上市公司监管的关键领域之一。同时，它也是股份公司完善提高信息技术管理水平的重要环节。2005年3月和7月，公司分别启动了信息系统总体控制（GCC）和信息系统应用控制（AC）工作，截至今年2月底完成了信息系统总体控制和应用控制 1 设计的基本内容、FMIS、资金、资产以及物资、销售、工资等财务关联复杂系统的应用控制测试，以及重要业务和特殊业务单位符合性测试工作。

通过前一段时间信息系统总体控制和应用控制的推广、测试，初步摸清了公司信息系统现状，制定了全面的信息系统总体控制的管理办法，规范了总体控制措施。在界定应用系统控制与测试范围的基础上，统一了FMIS、资金、资产的应用控制，对财务关联复杂信息系统提出了标准控制措施，并进行了相关测试，信息管理与内控骨干人员得到了有益的锻炼，为下步管理层测试和外部审计提供了重要标准和技术支撑。同时，公司内控信息系统的开发建设也在积极筹备，并与ERP系统充分衔接，相互支持，为公司信息系统的规范统一和内部控制的信息化提供了有利的平台。

下面，我就信息系统控制的重点工作谈几点意见。

一、信息系统内部控制面临的挑战

信息系统控制工作是建立在主要业务流程和关键控制的基础上，工作安排稍后。公司信息系统的制度规范尚处在建立健全过程中，在这个基础上开展内控体系建设，面临的困难和问题更多、更复杂，也更具有挑战性。这主要表现在：

1、目前公司在用信息系统复杂多样，点多面广，尤其是销售企业网点众多、海外投资营运项目全面扩展，使用的 2 信息系统也各不相同，对内控体系的实施提出了严峻的课题。

2、现有软件开发以实现业务流程和满足功能需求为主，对信息系统的内部控制关注较少，系统设计本身在控制方面存在一些不完善，需要改进的工作量较大，控制措施与现有系统的融合还有待完善。

3、现有信息系统集成度不高，信息共享程度不高，地区公司仍在结合各单位实际情况不断开发新的软件系统，牵涉到的设备管理集中和职责分离的矛盾十分突出；电子表格内部控制刚刚起步，涉及的数量和范围比较大，管理难度不断增加。

4、信息系统控制的运行监管力度需要强化。公司信息系统控制专业技术人员需要培训和实践，尤其是与内部控制结合的复合型人才和相关的信息测试人员以及内部测试队伍还需要不断充实。

5、固有的信息系统管理传统思维与控制模式对新的信息系统内部控制的实施，需要进一步融合。

这些困难和问题的存在，是挑战更是机遇。我们要客观面对困难，积极应对，不断改进，提升信息系统管理水平。

二、提高认识，高度重视，做好全年信息系统内控工作根据国际审计准则和信息技术标准框架，经过努力，我们初步建立了公司的信息系统控制规范。信息系统总体控制和应用控制的全面实施，是对信息化建设和内控管理工作的一项重要完善，也是通过内部控制审计的基本条件。

对中国石油而言，实施信息系统控制规范还是一个全新的课题，没有成功经验可以借鉴。两年多来，地区公司能够主动思考，认真研究，积极工作，总部财务、信息、审计、人事、电子商务等管理部门全力支持与配合，做了大量工作，并取得了初步的成效，这些都是大家共同努力的结果，这也为下一步内控体系建设提供了有力支持。

重要业务单位和部分特殊业务单位是今年内控审计的重点。按照2005年年报评估认定结果，中油勘探、大港油田、内蒙、山东、西南销售分公司等单位调整为重要业务单位，更要引起重视，抓好体系运行，做好审计准备。

刚才内控部就大家提出的最为关心和比较集中问题提出了改进意见，这个意见是经过与各有关部门共同研究确定的，各单位要依据这个改进意见，认真研究贯彻落实的措施，切实组织好各项措施的实施工作，把信息系统内部控制抓实抓好。

三、认真制定2006年内控工作计划，做好全年工作安排公司《2006年内部控制体系执行计划》经内控项目建设委员会审议后，于2月13日正式发布。全年工作按照地区公司自我测试、管理层测试、外部审计的时间顺序进行安排，后一项工作以前一项工作为基础，逐次开展。在执行计划在时间安排上，以7月31日结束外部审计现场审计为时间节点，信息系统控制的符合性检查、管理层测试和审计也会同步展开。

各项测试的同时，跟踪改进也是今年的一项重要工作，贯穿内控测试、审计全过程。内控审计是一个循环的过程，不是一次性完成的。内控审计与传统的财务审计不同，内控审计注重过程，发现问题允许改进。根据这一特点，各单位都要超前安排，提早发现问题，改进问题。

为确保改进后有足够的有效运行周期，对地区公司自测、符合性检查管理层测试和外部审计的时间作了进一步明确。信息系统控制主要时间安排是：3月1日到3月20日，地区公司完成自我测试；3月20日－4月20日对信息系统测试中存在问题的整改情况进行符合性检查； 4月10日到7月31日，完成管理层测试并出具测试报告；4月10日到7月31日，外部审计完成现场审计；8月1日到8月31日，进行信息系统缺陷认定，与管理层沟通，向审计委员会报告；9月30日开始到2007年2月下旬，外部审计针对前期样本 5 量不足的控制事项进行补充测试、针对前期发现缺陷的整改情况进行更新测试；在这个期间内，实行全过程跟踪改进。2007年3月末，完成管理层自我评估报告。

地区公司应结合今年内控工作目标，根据公司的统一安排，制定详细的执行工作计划，明确时间进度安排，明确责任部门和分工，确保各项工作顺利实施。今年内控工作的特点是时间紧，工作量大，各单位在进行工作安排时，要把握几个重要的时间控制点，资源配置要服从时间要求。只要我们把计划做好做细，组织好充足资源，就能对全年工作做到心中有数，在规定的时间内保质保量完成计划任务。

四、抓住关键，做好信息系统控制的运行工作 信息系统内部控制的重点包括信息系统总体控制和应用控制，在使用信息系统处理前端业务、会计事务及财务报告过程中，信息系统总体控制在基础层面发挥普遍性的支持作用，为各信息系统及相关业务运行提供安全、有效及可靠的信息系统环境，而信息系统应用控制则与业务流程中的传统手工控制相结合，在具体的业务流程和交易层面共同发挥针对性的保障作用，为相应的流程及交易提供安全、准确的数据处理。信息系统控制的运行过程中，要结合信息系统控制特点，抓关键控制，与内控审计的关注点结合，切实把控制执行落实到位。作为内控体系的重要组成部分，各单位要严格执行信息系统控制的各项规定。对FMIS、资产、资金、物资、销售、人事等与财务报告相关的信息系统，都要严格执行应用系统控制措施。

在控制的执行过程中，要注意把握以下几个关键环节。第一、岗位职责分离。严格按照股份公司关于信息系统物理设备集中后有关人员职责和管理的规定，应用系统管理和数据库管理两个岗位必须分开。纳入测试范围的财务管理信息系统，必须按照确定的控制要求，要做到应用系统管理员与相关的业务分离。

第二、系统升级。各单位的系统上线工作计划要报信息管理部审批，财务、资产系统的上线要经财务部审批。未经批准的任何单位不得自行安排系统升级、上线。重点单位和特殊业务单位2006年所有新上线的系统必须在6月30日以前完成上线。对上半年无法完成上线的系统升级工作，一律安排在第四季度上线，并要新老系统并行。其他单位的新系统可以根据情况执行安排。对6月30日前完成上线得，按新系统进行GCC和应用控制测试。对四季度上线的系统，对新系统只进行GCC测试，对并行的老系统进行GCC和应用控制测试。

第三、设备物理集中与控股单位信息系统控制。尚未 7 实现物理集中的部分单位，特别是重点和特殊业务单位，必须于3月底前完成设备物理集中。同时，各单位不仅要按要求完成本单位的信息系统控制工作，还要负责纳入合并报表的控股公司信息系统控制。

各位领导、同志们，这次会议，我们通报了工作进展情况，交流了工作经验，部署了全年工作，会议很成功。希望大家通过这次会议，进一步统一认识，明确任务，树立信心，以严细认真的态度，下功夫把信息系统内部控制工作执行到位，确保股份公司内控工作目标的实现。

谢谢大家！