XX天然气集团公司信息系统审计汇报-基于业务流程内部控制角度

XX天然气集团公司信息系统审计汇报——基于业务流程内部控制角度一、背景基于内部控制角度背景天然气与管道ERP系统选择背景中石油信息系统建设基本情况二、主要切入点及取得成绩着眼业务流程的内部控制关注信息系统建设的经济性、安全性三、审计特点以社会关注、宏观调控热点问题为切入点，开展相关系统业务流程的审计，分析系统控制风险，揭示重大的民生宏观问题。强调审计人员职业判断与数据分析结合，简化系统审计流程，准确锁定系统审计领域。以系统接口为重点揭示业务系统与财务系统控制缺失，造成重大财务舞弊行为。通过信息系统审计扩大审计成果四、面临的难题企业业务数据不标准，部分数据极具专业性信息系统相对分散、数据量大信息系统投入少、数据整体性、规范性差业务对信息系统依赖度不均衡◆经过“十五”、“十一五”两个五年规划建设，中石油信息化建设实现了从分散（1758个）向集中（51个）的阶段性跨越。◆截至2010年底，中石油已经建成51个大集中信息系统平台，包括经营管理平台、生产运行管理平台、办公管理平台。◆经营管理平台按专业板块部署SAPERP系统。◆生产运行管理平台包括勘探与生产技术数据管理系统等9个系统。◆办公管理平台包含办公管理系统、信息门户系统和视频会议系统在内的基础应用系统，用户超过59万个。◆中石油目前主要涉及勘探与生产、炼油与化工、天然气与管道、销售和金融等板块，不具备与其他企业的可比性；其中勘探与生产、炼油与化工的业务数据极具专业性，如地层压力、温度，炼油的含硫量控制等，审计难以使用。◆中石油信息系统分为经营管理平台、生产运行管理平台、办公管理平台三类、51个总部层面系统。仅经营管理平台的ERP系统，截至2010年末，存储容量达468TB。◆与金融系统，如工商银行每年上百亿的信息系统建设投入相比，中石油信息系统投入资金相对较少，主要为购买成熟的软件或实行开发服务外包，自主开发能力不足，导致数据整体性、规范性较差。◆与金融系统相比，中石油对信息系统系统相对较弱，而且各业务板块对信息系统的依赖程度不一，导致数据准确性较差。基于内部控制角度背景◆信息审计主要内容：根据ITIL、COBIT、BS7799、PRINCE2等常用IT治理标准及实践看，信息系统审计主要包括内部控制系统审计、系统开发审计、应用程序审计和数据审计。因此，内部系统审计是信息系统审计的重要内容。基于内部控制角度背景◆信息系统审计定义：财政部等提出的信息系统审计定义：是对集成在信息系统中的内控进行审计的方法体系，是审计的一部分。内部控制审计是信息系统审计的关键与核心之一。ERP系统重要性◆目前，各大央企普遍使用ＥＲＰ系统进行企业资源管理，尤其是使用德国基于ORACLE数据库的SAPERP系统进行管理。SAPERP系统2009年占据世界份额的59%。ERP系统重要性◆2005年以来，中石油集团累计上线10个ERP系统，总部层面投入数十亿元；ERP系统在中石油集团应用非常广泛，截至2010年末在132家二级单位实施，在121家二级单位上线运行。要揭示中石油集团信息化建设存在的问题，ERP建设情况是审计必须面对一个环节。天然气与管道ERP重要性◆2007年开始，中石油开始建设天然气与管道ERP，其主要目的是通过推行全国统一的ERP系统，实现销售、设备、物料和财务集成管理，实现资源配置、设备管理的科学化，财务核算的实时性。中石油天然气与管道ERP使用单位西气东输公司西部管道公司管道分公司华北销售公司北京管道公司负责西气东输一、二线天然气的销售与输送负责西气东输二线宁夏中卫以西天然气、原油的销售与输送负责剩余管道所涉及的天然气、原油销售与运输负责陕京线天然气销售负责陕京线天然气运输天然气与管道ERP重要性◆天然气具有清洁、高效的特点，是我国重点发展的一次性能源。目前，中石油集团供应中国80%天然气。2010年生产天然气725亿立方米，在公司油气产量中的比例由2000年的12.4%上升到35.4%。中石油2010年社会责任报告透露，到2015年天然气产量将占到中石油国内油气总当量50%。目前，中石油主要有长庆等国内、中亚和俄罗斯等国外气源。目前天然气批发价格由国家统一制定，由天然气出厂价加上管输费构成。国家发改委按管线批复天然气价格，在同一地区若使用不同管线则天然气价格存在差异，有违市场经济公平性原则。因此，从体制上把握问题，系统分析与能源安全、民生密切相关的天然气价格形成机制方面存在的问题，有针对性地提出审计建议，促使国家完善天然气价格管理体制，也是此次信息系统审计的重要任务。天然气与管道ERP重要性ERP系统重要性天然气与管道ERP系统在中石油公司重要性设备管理销售管理物料管理财务管理与审计目标相关度重要性审计资源销售模块开展审计价格控制有效性数量控制有效性选择天然气与管道ERP开展审计的过程着眼业务流程的内部控制◆内部控制可以分为一般控制、应用控制，而应用控制是审计关注的重点；业务流程控制是应用控制的核心。◆所谓业务流程控制，就是如何通过内部控制，保证每一步业务流程的准确、规范，从而实现经营活动的经济性、效率性和效果性。重点关注销售模块的控制◆天然气与管道ERP涉及销售、设备管理、物料管理和财务管理等模块。与经济责任相关的，主要就是销售模块，因此审计重点关注了销售模块业务流程的内部控制情况。◆销售模块的核心是销售价格、数量的确定，因此从这两方面入手开展审计。具体审计过程◆总体控制存在缺陷，价格主数据模块设计不合理通过分析其销售模块业务设计蓝图发现，系统内部控制存在缺陷，其价格主数据的控制由各ERP使用单位自行控制，没有实行总部层面的统一约束控制。◆通过审查业务蓝图和数据分析发现，系统内部控制存在缺陷，可以人为干预生产系统（PPS）数据向ERP系统的数据传输。备注：按系统设计要求，销售数据由管道生产系统（PPS)计量产生，自动往ERP销售模块传输。ERP系统凭借销售数据与价格主数据自动生成记账凭证，传输到财务系统和金税系统，完成税收计缴和账务处理工作。◆应用控制存在缺陷，未实现设计要求管道生产系统（PPS）是中国石油对油气长输管道进行有效运营管理的统一信息平台。核心是天然气调拨与计量。◆数据传输接口可以人工干预情况◆分析销售数据，发现大额销售记录，有可能是集中补录着眼业务流程内部控制的审计成果通过审计业务设计蓝图以及分析天然气销售数据发现：◆价格方面：延伸审计华北销售公司等单位发现，由于缺乏总部层面同一控制，导致天然气销售价格随意性较大，9.84亿元销售不执行国家规定价格的问题。着眼业务流程内部控制的审计成果◆数量方面：未按设计要求实施应用控制，管道生产系统向ERP系统数据传输接口可以人工干预，导致华北销售等公司出于应收账款考核、税收缴纳的考虑，不及时将销售数据传送到ERP系统，导致财务报表反映的销售收入等不准确。价格方面问题：未执行国家规定的价格◆高价销售天然气。华北销售公司超过国家规定的最高限价向天津市燃气集团有限公司销售天然气，2009至2010年涉及金额0.92亿元，共多收天然气款334万元。价格方面问题：价格执行无依据审计发现，未经国家发改委批复同意，中石油自行制定天然气价格并执行。◆2009年至2010年，对通过西气东输管道公司、管道分公司管道输送到山东、河北、河南29户企业的陕京线天然气，分别收取0.14元/立方米、0.18-0.19元/立方米的管输费，涉及结算金额6.99亿元，其中2010年4.39亿元。价格方面问题：价格执行无依据◆2009至2010年，未经国家发改委批复同意，对通过陕京线永唐秦管道向3户企业销售的天然气，按0.48元/立方米收取管输费，涉及结算金额1.93亿元，其中2010年1.81亿元。价格在体制层面的问题：◆目前，天然气价格实行国家按管线定价，由管输费和天然气出厂价格组成。前面若需不同管线联合运输才能到达使用企业的，则会产生不同管线的管输费汇总计算，因此即使同一省份，其天然气价格存在差异，有违市场经济公平性原则。价格在体制层面的问题：表现之一：河北省4户天然气使用企业，除向陕京线支付管输费用外，还向其他管道公司支付管输费用2706万元。如河北泊头市博通燃气有限公司虽在河北，国家也规定河北属于陕京线范围，执行0.42元/m³的管输费，但由于陕京线不能直接到达该公司，该公司需另外按0.14元/m³、0.09元/m³的标准向西气东输公司、管道分公司各支付72万元、46万元。价格在体制层面的问题：表现之二：华北销售公司供应山东企业的天然气，经由陕京线后，转由西气东输公司或管道分公司供应。经查，2家转供管道公司执行不同管输费标准，西气东输公司执行0.14元/m³、管道分公司执行0.18-0.19元/m³标准。2010年，由于价格差，通过管道分公司转供的14户山东企业需要多支付2928万元。因此，天然气销售实行“按省定价、一省一价”已是一种趋势，也是审计关注的重点环节。◆2010年，华北销售公司以结算价格不能确定等为由，对4户企业的销售数据进行人工干预，致使8.7亿元的销售收入未按时入账，其中2009年4705.19万元销售收入跨至2010年入账，影响净利润490万元。数量方面的问题：未按设计要求实现应用控制，销售数量可以人工干预◆2010年，北京管道公司出于中石油统一报表时间的要求，对华北油田等3家单位销售数据，未从PPS系统传输到ERP系统，而是采取直接在财务系统入帐的方式进行，涉及33笔、6.21亿元。关注系统建设的经济性、安全性◆信息系统建设的经济性信息系统建设是否经济，也是审计必须关注的内容。此次审计选择从采购行为合规性入手，对信息系统建设的经济性进行了审查，发现较为突出的问题。关注系统建设的经济性、安全性◆中石油ERP建设采取集中招标、分批签订合同方式进行。审计抽查天然气与管道等5个ERP系统的硬件招标情况发现，通过人为干预，使民营企业B公司入围中标。具体情况：关注系统建设的经济性、安全性采购项目服务器神州数码代理的SUN报价9228万元B公司代理IBM报价12267万元评分第一名评分第二名中石油个别人员提出，出于安全考虑，灾备服务器最好不要使用同一品牌。据此，B公司代理的IBM服务器得以入围。关注系统建设的经济性、安全性◆2005年4月，国务院信息化工作办公室发布的《重要信息系统灾难恢复指南》明确，数据零丢失和远程集群单位备用数据处理系统具备与生产数据处理系统一致的处理能力并完全兼容。因此，中石油提出，让评分第二名的IBM设备作为灾备服务器，不符合国家规定。关注系统建设的经济性、安全性◆进一步审计发现，上述5个项目中有3个项目，全部采用B公司代理的服务器产品、金额11200万元，而不是其所说的作为灾备服务器；◆另外，2004年，中石油组织实施的地球系统硬件设备招标，也是通过虚假招标的方式，由B公司中标，合同金额4911万元。关注系统建设的经济性、安全性◆审计同时发现，该公司从成立以来一直就只为中石油系统服务，主要客户均为中石油集团成员，所谓成功的四类45个案例全部来自中石油项目。关注系统建设的经济性、安全性审计还关注信息系统安全性情况，发现其数据设备存放在地下一楼，容易受到雨水浸泡、消防设施不完善等问题。强调结合审计人员职业判断开展数据分析◆审计人员的职业判断有助于审计人员迅速把握方向，在信息系统审计中非常重要。审计人员在前期分析时，发现价格、数量是销售模块最敏感的因素。数据分析未规定价格执行手工集中补录导致大额销售记录的情况系统是怎么实现的，是否存在内部控制缺陷通过信息系统审计扩大审计成果◆通过此次信息系统审计，我们基本回答了中石油天然气与管道ERP系统内部控制和建设等方面存在的：价格政策执行不到位，财务核算的不及时、不完整，价格体制的不合理等问题，尤其准备积极通过信息方式反映价格体制方面存在的问题，进一步扩大了审计成果。谢谢！