财务管理财务报表it一般性控制矩阵和底稿v课件

1、财务管理、财务报表系统IT一般性控制矩阵和工作底稿财务管理、财务报表系统IT一般性控制矩阵和工作底稿 SOX法案对IT一般性控制的要求 财务管理、财务报表系统IT一般性控制 各控制点测试结果、测试结论的填报要求信息部项目处 孙丽华 普 安 联 盟 李 军 64999350 2SOX法案对IT一般性控制的要求 为什么要对“IT一般性控制”的有效性进行检查评价2002年7月30日，美国总统布什签发了萨班斯-奥克斯利法案(SOX法案) ，对在美国上市的企业提出了一系列要求。2006年4月30日 IT治理协会ITGI发布IT Control Objectives for SOX，2 Edition,

2、对上市公司的IT控制提出了要求为保证财务报告的完整性、准确性，SOX法案要求对财务报告相关的信息系统进行“IT一般性控制”是否有效的检查评价。3SOX法案对IT一般性控制的要求 如何界定与财务报告相关的系统界定相关的主要原则：与财务报告相关，间接或直接为财务报告的生成提供了有关信息。毕马威要求，首先应管理层自己判断，一般讲，管理层纳入审计范围的系统应比毕马威外审的范围大。ERP系统、财务管理系统、财务报表系统肯定与财务报告相关。毕马威关于IC卡系统的建议，从中国石化整体讲，IC卡肯定要纳入审计范围，具体到每个省，可针对具体情况进行判断。主要判断依据，从IT角度，查看油站日报表、发卡网点预收款进

3、入财务报表的方式，是手工还是依赖IC卡系统；从财务角度，查看IC卡预收账款占企业总预收款的比例， IC卡销售额占总销售额的比例。总部统一实施系统由总部统一设计IT一般性控制矩阵和工作底稿，下发企业填报；企业特有系统需自己设计IT一般性控制矩阵和工作底稿。4SOX法案对IT一般性控制的要求 “IT一般性控制”的主要检查评价内容 企业整体层面的IT控制包括控制环境、风险评估、信息和沟通、监控 信息系统的IT一般性控制程序和数据访问、程序变更、程序开发、系统运行IT基础设施、终端用户计算 5财务管理、财务报表系统IT一般性控制信息部会同财务部、普安联盟共同设计了现有财务管理系统、财务报表系统的IT一

4、般性控制矩阵和工作底稿，特别参考了中国石油化工股份有限公司财务信息管理系统系统管理办法（财信2003100号文），设计主要原则为：在满足SOX法案的前提下，尽可能贴近企业应用的实际情况，少增加企业填报的工作量。ERP上线企业ERP系统 财务报表系统 12个控制点ERP未上线企业财务管理信息系统 11个控制点 （含今年正在实施ERP的企业）6财务管理、财务报表IT一般性控制控制点介绍序 号控制点名称财务管理系统财务报表系统一、程序和数据访问1用户权限管理2用户账号及访问管理3密码管理4系统管理员管理5普通用户管理6系统日志管理7第三方人员管理二、程序变更8系统变更管理三、系统运行9ERP报表接口

5、管理10报表上报管理11系统备份及恢复12系统监控、维护及故障处理71、“用户权限管理”控制矩阵序号控制目标控制点控制活动属性相关制度和文档测试结果备注编号控制点控制点描述控制执行人控制频率自动/手动预防性/检查性穿行测试有效否设计有效否执行有效否修补完成时间1234567891011121314一数据和程序访问1建立完善的权限管理机制，在合理的范围内确保用户被授予的系统权限和其岗位职责相符，防止对系统的非授权访问。FRE-DA1用户权限管理1、建立完善的用户权限管理制度，明确系统相关人员分工及岗位职责，确保用户拥有与其岗位职责分工相对应的权限。2、用户的增删及其权限的变更需填写“用户权限审批

6、表”，并经财务部门负责人审批确认。3、系统提供了功能权限、数据权限等权限分配功能，保证用户被授予的权限和其岗位职责相符。4、财务部门负责人应每半年检查一次系统内的用户权限设置。财务部门负责人每半年手动自动预防性检查性中国石油化工股份有限公司财务信息管理系统系统管理办法有效有效有效81、“用户权限管理”工作底稿序号控制目标控制点编号控制点控制点描述测试步骤测试结果结论文档编号一数据和程序访问1建立完善的权限管理机制，在合理的范围内确保用户被授予的系统权限和其岗位职责相符，防止对系统的非授权访问。FRE-DA1用户权限管理1、建立完善的用户权限管理制度，明确系统相关人员分工及岗位职责，确保用户拥有

7、与其岗位职责分工相对应的权限。2、用户的增删及其权限的变更需填写“用户权限审批表”，并经财务部门负责人审批确认。3、系统提供了功能权限、数据权限等权限分配功能，保证用户被授予的权限和其岗位职责相符。4、财务部门负责人应每半年检查一次系统内的用户权限设置。设计有效性：1、访谈财务部门负责人有关权限管理制度及权限申请审批流程。2、查看系统“维护工具”中权限分配功能，取得截屏。执行有效性：3、检查“用户权限审批表”填写是否及时齐全，按照系统用户增删及变更总数，随机抽取*张“用户权限审批表”进行检查。4、登录财务系统“维护工具”查看用户权限，取得截屏，确认是否和其申请审批的权限相符。5、查看用户及权限

8、每半年的审核记录（打印系统用户清单，相关责任人审核并签字，有与岗位不符情况，及时变更权限，写明原因和处理情况）。设计有效执行有效穿行有效FRE-DA1-1.1FRE-DA1-1.2FRE-DA1-1.3FRE-DA1-1.4FRE-DA1-1.5FRE-DA1-1.6FRE-DA1-1.79IT一般性控制矩阵和工作底稿说明矩阵和工作底稿中的相同列（4列）：控制目标：防范风险的目标描述矩阵中“编号”与工作底稿中“控制点编号” ： FMIS-DA1 为两张表建立链接关系。控制点名称：用户权限管理控制点描述：管理规定及申批流程；信息系统功能；定期检查情况10IT一般性控制矩阵和工作底稿说明控制执行人

9、：控制点的责任人、审批人， 外审时的被访谈人控制频率：固定频率，如定期检查、备份，按频率准备相关资料 按需发生的，与样本总数有关，关系到抽样数量 自动/手动：自动：系统自动实现的，需截屏 手动：管理规定、签字审批、定期检查，抽样检查预防性/检查性：预防性：事先的防范措施，如管理制度、申请审批流程、 系统自动控制功能；检查性：事后检查的措施，日志定期检查、 帐号定期审核等。11IT一般性控制矩阵和工作底稿说明相关制度和文档：中国石油化工股份有限公司财务信息管理系统系统管理办法中国石化财信2003100号；中国石油化工股份有限公司管理信息系统应用管理办法已评审，近期下发。企业需补充自己制定的一些相

10、关管理办法和规范。设计、穿行、执行是否有效：有效、无效、未发生、不适用修补完成时间：如果有缺陷，写明修补完成的计划时间，需整改的问题描述、整改措施等填入“系统整体评估表”。12IT一般性控制矩阵和工作底稿说明设计有效：检查设计能否有效实现控制目标、防范控制风险。如检查管理制度、审批流程、系统功能是否能起到防范风险的目的。穿行测试有效：以一套真实的例子，把各个测试步骤从头到尾走一遍，证明整个控制过程有效。察看申请表、签字申批情况，打印出系统中用户权限设置，查看与填表权限是否一致。执行有效：多个的穿行测试有效。要有一定审计的样本，随机抽取。13IT一般性控制矩阵和工作底稿说明测试步骤：要合理、充分

11、，要能测出来。测试步骤有很多：访谈、查制度、系统查询、定期检查、考评相关人员有无相关能力；设计、执行有效性的步骤分开写。测试结果：对应测试步骤记录每一步的测试结果，并提供相应的证据表单。文档编号： FRE-DA1-1.1FRE-DA1-1.n 测试相关记录文档编号。签字表单财务用户权限审批表（样表）。抽样原则见“内部控制检查评价与考核暂行办法”14IT一般性控制矩阵和工作底稿说明财务用户权限审批表 单位名称：日期：用户编号用户姓名所在部门电 话岗位职责申请类型开户 变更 销户帐号启用时间帐号停用时间帐号申请（变更）原因权限要求财务部门负责人签字应用系统管理员签字备注15IT一般性控制矩阵和工作

12、底稿说明每个控制点需要涵盖的内容： 控制目标 控制点 控制点描述 控制执行人 测试步骤 测试结果 控制要留下痕迹：测试相关证据文档162、“用户账号及访问管理”工作底稿序号控制目标控制点控制点描述测试步骤一数据和程序访问2健全系统登录访问机制,防止对系统的非授权访问。用户账号及访问管理1、每个用户拥有独立的用户账号，不得共享。2、应用系统中用户帐号不能重复，查看系统中是否有共享账号。3、要求必须输入用户名和密码才可登录系统。4、应用系统管理员应定期审核系统内的用户账号清单。设计有效性：1、访谈应用系统管理员用户帐号设置情况和登录验证过程。2、登录系统检查用户帐号唯一性，确认每个用户拥有独立的用

13、户账号，无共享情况。3、查看系统登录界面截屏。执行有效性：4、抽样检查系统用户账号清单的定期审核记录（打印系统用户账号清单，系统管理员审核并签字）。173、“密码管理”工作底稿序号控制目标控制点控制点描述测试步骤一数据和程序访问3防止密码设置强度不够造成系统泄密或受到非法访问。密码管理1、密码规则：密码长度大于等于6位；密码为数字与字符的组合；密码需定期更换。2、根据密码设置规则，在系统中实现了控制，当密码长度小于6位时系统会提示。密码输入时以掩码形式录入，防止密码泄露。3、密码验证超过三次失败自动退出系统。 4、操作系统、数据库、应用系统等初始口令的设置应在系统投用前修改，并定期更改。5、应

14、用系统管理员应每季度检查普通用户密码的修改情况。设计有效性：1、访谈应用系统管理员密码设置规则及有关规定。2、登录财务系统“维护工具”新建用户检验系统是否实现了密码设置控制。取得密码少于6位和第一位不是字符的提示截屏。3、登录系统测试用户密码验证3次失败退出系统。执行有效性：4、检查操作系统、数据库、应用系统的初始密码，登录系统，查看系统默认账号的密码是否都已做了修改（例如“sa”账号初始密码为空）。5、检查操作系统、数据库、应用系统管理员密码的设置情况和定期修改记录。6、抽样检查应用系统管理员的每季度检查普通用户密码修改情况的记录（可定期发通知要求用户修改密码，要求用户记录密码修改时间，应用

15、系统管理员抽样检查）。184、“应用系统管理员管理”工作底稿序号控制目标控制点控制点描述测试步骤一数据和程序访问4加强系统管理员管理，防止不合规操作。系统管理员管理1、企业需配备专职或兼职数据库、操作系统（统称系统管理员）、应用系统管理员，系统管理员、应用系统管理员要经过授权并明确职责，并应相对稳定，其更换必须经相关部门负责人审批，并严格办理交接手续。2、系统管理员、应用系统管理员只能处理系统设置、数据库维护、数据备份与恢复、用户及权限管理等功能，不能登录帐务系统处理会计业务和查询帐务信息。3、相关部门负责人应每半年对系统管理员、应用系统管理员在职情况进行签字审核。设计有效性：1、访谈相关部门

16、负责人有关系统管理员的管理制度及任用审批流程。2、检查系统中系统管理员的权限情况，确认系统管理员没有处理具体业务的权限。执行有效性：3、提供应用系统、操作系统、数据库管理员的清单及授权、变更文档。4、查看相关部门负责人对系统管理员在职情况的每半年签字审核记录。195、“普通用户管理”工作底稿序号控制目标控制点控制点描述测试步骤一数据和程序访问5加强普通用户帐号的管理，保证业务处理的规范、安全、有效。普通用户管理1、根据用户岗位职责分工，分配相对应的操作权限，人员的离职与变动必须对权限进行相应的变更。用户帐号的申请及变更必须经财务部门负责人审核批准，用户岗位变更时应办理交接手续。2、系统内普通用

17、户帐号的注册、注销及权限变更必须通过财务应用系统管理员进行，其它用户无此权限。设计有效性：1、访谈相关部门负责人了解普通用户帐号申请与系统权限分配情况。2、查看普通用户管理的相关管理制度。执行有效性： 3、登录财务系统“维护工具”检查普通用户功能权限分配情况，取得截屏，确认普通用户没有新建用户和设置权限的功能。4、查看企业离职、岗位变化人员清单，检查系统中非在职人员、岗位变更人员的用户帐号情况。206、“系统日志管理”工作底稿序号控制目标控制点控制点描述测试步骤一数据和程序访问6加强系统日志管理,记录应用系统登录及操作活动。系统日志管理1、有系统日志管理及审查机制。2、应用系统日志能记录用户登

18、录时间等信息；数据库日志能记录用户新建、删除等信息。3、安全管理员应定期审核应用系统、数据库、操作系统的系统日志。设计有效性：1、访谈安全管理员有关系统日志管理和审核情况。2、检查系统中的日志管理功能，取得截屏。执行有效性：3、抽样检查安全管理员定期审核应用系统、数据库、操作系统日志的记录。217、“第三方人员管理”工作底稿序号控制目标控制点控制点描述测试步骤一数据和程序访问7加强对第三方人员授权访问管理。第三方人员管理1、第三方人员需要访问系统时，应填写用户权限审批表，说明账号使用的原因、时间和期限，并由财务部门负责人批准。2、到期应及时删除或锁定第三方人员的账号。设计有效性：1、访谈财务部

19、门负责人有关第三方人员访问系统的情况。执行有效性：2、检查第三方人员的“用户权限审批表”和审批情况。3、检查系统中第三方人员账号情况，在“维护工具”中查看第三方人员帐号及使用情况，确认系统中无应删未删的第三方人员账号。228、“系统变更管理”工作底稿序号控制目标控制点控制点描述测试步骤二程序变更8加强系统变更管理，有变更管理制度，变更必须经过严格的审批、测试，使系统的变更在可控范围内，保证应用系统运行和维护的正常进行。系统变更管理1、有变更管理政策及审批流程。软件版本变更由总部相关部门统一组织变更、统一下发企业。企业有软件变更需求必须填报“系统变更审批表”上报总部，不允许自行变更，企业IT人员

20、及相关用户应充分了解该流程。2、所有针对系统应用软件的变更申请、开发、测试、下发、版本都要有总部的审批签字及记录文档。3、对于系统运行环境、系统优化等配置变更，应填写“系统变更审批表”，并经相关部门负责人审批，并严格测试后，方可在系统中更改，以确保系统的平稳运行。4、开发人员不能进入生产环境，不能进行最终的变更操作。设计有效性：1、访谈有关部门负责人有关系统变更流程和管理制度。2、查看变更管理相关制度。执行有效性：3、如果2006年有变更发生，抽样检查系统变更、配置变更的申请、审批、测试及相关记录文档。4、查看进行系统变更的人员记录，确认变更人员不是开发人员。如果是开发人员要有申请审批记录。2

21、39、“ERP报表接口管理”工作底稿序号控制目标控制点控制点描述测试步骤三系统运行9加强ERP报表接口管理工作，保证报表信息抽取的安全和完整。ERP报表接口管理1、对报表数据的抽取及使用有相关规定。2、系统提供了数据抽取的数据来源定义、数据抽取规则等功能；对报表数据的读取和写入有严格的权限控制。3、财务报表系统的运行过程有日志记录。设计有效性：1、访谈报表管理人员有关报表抽取的有关规定。2、查看ERP报表接口的用户手册及相关文档。3、登录系统中的数据抽取，查看数据抽取设置、数据读取机制、数据写入机制等设置功能，取得截屏。执行有效性：4、抽样检查报表抽取的运行日志，取得截屏。2410、“报表上报

22、管理”工作底稿序号控制目标控制点控制点描述测试步骤三系统运行10加强报表上报管理工作，保证报表信息上报的及时、完整。报表上报管理1、对报表上报有相关规定。2、报表上报时执行统一定义的校验公式对报表进行合法性效验，并有详细的校验报告信息。设计有效性：1、访谈报表管理人员有关报表上报的管理规定。2、查看系统报表校验功能，取得截屏。执行有效性：3、抽样检查报表数据上报的校验报告，取得校验报告截屏。2511、“系统备份及恢复”工作底稿序号控制目标控制点控制点描述测试步骤三系统运行11加强系统备份及恢复管理，减少因故障发生造成数据丢失的风险，保障财务相关数据的安全和系统的快速恢复能力。系统备份及恢复1、

23、对数据备份策略、备份模式、备份介质存放、备份恢复性测试等有相关的管理规定。2、应用系统提供有备份和恢复的功能。严格控制数据备份、恢复、转入、转出的权限，对备份的数据加强管理，防止被非法拷贝或毁坏。3、至少每月备份一次数据，并检查备份数据的可读性。4、备份介质定期异地存放，备份介质存放要有交接记录、介质访问要有适当授权和访问记录。5、定期测试备份数据的可读性，以保证备份的有效性。6、可能的情况下，每半年对备份进行恢复测试。设计有效性：1、访谈系统管理员有关备份的管理制度和备份方案。2、查看备份管理规定。3、查看系统备份功能和权限控制情况，取得截屏。执行有效性：4、检查备份记录。5、检查介质保存方

24、式和介质的保管、访问记录等。6、抽查备份数据定期可读性测试的记录。7、访谈系统管理员备份恢复的步骤，提供每半年备份恢复测试的记录。2612、“系统监控、维护及故障处理”工作底稿序号控制目标控制点控制点描述测试步骤三系统运行12加强系统运行监控及维护管理，及时解决系统运行问题，保障系统安全稳定运行。系统监控、维护及故障处理1、建立系统监控和维护管理制度，明确问题处理流程。2、系统维护人员对系统运行状况进行监控；系统运行中出现故障时，普通操作人员不能擅自处理，应保护现场，及时与应用系统管理员联系；本单位应用系统管理员不能排除故障时，应报上一级管理部门。3、要详细记录运维和问题处理情况，对故障发生时

25、间、故障情况、解决办法、处理结果及跟踪进行详细记录，并由维护人员或应用系统管理员签字。4、建立应急预案，保证系统问题的及时解决，降低对业务处理的影响。设计有效性： 1、访谈相关人员有关问题处理流程和维护制度。2、查看问题处理及维护管理制度。 执行有效性：3、检查系统监控记录和用户申报问题记录清单，抽样检查问题处理情况的详细记录。4、检查企业的应急预案，包括应急处理流程、应急处理过程记录等管理规定。27问题和建议 财务管理系统、财务报表系统的版本 目前企业使用的版本主要有两大类：2.X版（2.2、2.3）：大多数企业使用3.0版：集中核算版，较少企业使用，权限管理功能较强，密码控制比较弱财务管理信息系统、财务报表系统的IT一般性控制矩阵和底稿主要针对2.x版制定。 软件功能与矩阵和底稿中描述不一致的，上报总部信息部。28问题和建议 缺失资料补填和收集原则对于缺失资料的补填原则：政策制度、重要的授权申批文档必须要补，写现在日期。重复发生的要从现在开始补起