论文部分内容阅读
2002年7月25日,美国国会通过了《萨班斯-奥克斯利法案》(简称SOX或Sarbox)。该法案对上市公司的治理、内部控制和公司报告提出了更严格的要求和限制。中国石油天然气股份有限公司作为一家在美国及香港上市的国际性大型企业,根据SOX要求,建立并保持有效的内部控制系统成为必然选择和当务之急,这不仅是我国相关法律法规的要求,也是上市地法律监管的要求。内控体系建设要求企业除了有正确完整的财务报表外,还要有确保报表正确而完整的控制体系。由于目前大部分上市公司的各个与财务数据相关的主要业务流程都有相应的信息系统支持,对信息系统控制的一致性和有效性方面的薄弱,将降低数据和自动控制的可依赖性,增加管理层和审计师在测试方面的工作量,从而对整个内控体系的有效性产生负面影响。因此信息系统控制体系建设是上市公司内控体系建设的重要内容。同时信息系统总体控制也是美国公众公司会计监督委员会加强对上市公司监管的关键领域之一。
本文首先提出了建立企业信息系统总体控制体系的必要性和紧迫性,围绕信息系统总体控制理论和内部控制及IT治理方略的研究,说明了如何建立信息系统总体控制体系及相关审计工作事项。随后介绍了中国石油总体情况,分析了SOX对于IT控制的影响,并结合企业情况说明了在中国石油实施信息系统总体控制管理体系的必要性。接着以COSO框架为指引,COBIT为补充,结合企业实际,从信息系统控制环境、信息安全、项目建设管理、变更管理、信息系统日常运作、最终用户操作六个方面,设计了中国石油信息系统总体控制体系的基本构架和实施方法,对中国石油信息系统总体控制体系进行了较为全面和系统的研究,并说明了信息系统总体控制体系对现有IT控制的改进。最后针对外部审计对中国石油信息系统总体控制的测试结果进行分析并提出了改善建议。
企业的业务运作已经越来越依赖于信息系统,信息系统控制也已经成为企业内部控制的重要组成部分。建立企业信息系统总体控制体系,已是刻不容缓的任务。通过对此课题的研究,望能抛砖引玉,使相关领域的实务工作得到有益的启示。