财务管理、财务报表it一般性控制矩阵和底稿v

1、财务管理和财务报告系统的信息技术总控制矩阵和工作文件。财务管理和财务报告系统的信息技术总控制矩阵和工作底稿，SOX法案对信息技术总控制的要求，财务管理和财务报告系统信息技术总控制控制点的测试结果和测试结论的报告要求，孙锂华64998127，信息部项目部，李俊649993503。萨班斯法案对信息技术总体控制的要求，为什么我们要检查和评估“信息技术总体控制”的有效性？2002年7月30日，美国总统布什签署了萨班斯-奥克斯利法案，对在美国上市的企业提出了一系列要求。2006年4月30日，信息技术治理协会ITGI发布了信息技术控制目标SOX 2版，对上市公司信息技术控制提出了

2、要求。为了确保财务报告的完整性和准确性，萨班斯法案要求对与财务报告相关的信息系统进行检查，并评估“信息技术总体控制”的有效性。4，SOX法案对IT的一般控制要求，如何定义与财务报告系统相关的主要原则定义：与财务报告相关，间接或直接为财务报告的生成提供相关信息。毕马威要求管理层首先做出判断。一般来说，管理层纳入审计范围的体系应大于毕马威的外部审计范围。企业资源规划系统、财务管理系统和财务报告系统都与财务报告息息相关。根据毕马威对IC卡制度的建议，从中石化整体来看，IC卡必须纳入审计范围，具体到各省，可以根据具体情况进行判断。判断的主要依据是从信息技术的角度来看，是人工还是依靠IC卡系统将加油站的

3、日报表和发卡网点的预付款录入财务报表；从财务角度出发，检查IC卡预收款占企业预收款总额的比例，以及IC卡销售额占总销售额的比例。该系统由总部统一实施。一般信息技术控制矩阵和工作底稿由总部设计，分发给企业填写；企业专用系统需要设计自己的信息技术通用控制矩阵和工作文件。5。5、SOX法案对IT总控制的要求，“IT总控制”的主要检查和评估内容，企业整体层面的IT控制包括控制环境、风险评估、信息和沟通、IT总控制程序和监控信息系统的数据访问、程序变更、程序开发、系统运行和最终用户计算的IT基础设施，6。财务管理和财务报告系统的信息技术一般控制。信息产业部会同财政部和浦安联盟，参照中国石油化工股份有限公

4、司财务信息管理系统系统管理办法(财信2003100号)，设计了现有财务管理系统和财务报告系统的信息技术总控矩阵和工作底稿。主要设计原则是：在满足SOX法案的前提下，尽可能贴近企业应用的实际情况，减少企业报告的工作量。12个ERP线上企业的ERP系统和财务报告系统控制点，11个非ERP线上企业(包括今年实施ERP的企业)的ERP财务管理信息系统控制点，7个。财务管理和财务报告的信息技术一般控制点介绍，8，1。“用户权限管理”的控制矩阵，9，1。“用户权利管理”工作文件，10。信息技术总控矩阵和工作底稿描述，矩阵和工作底稿同列(4列):控制目标：风险防范目标描述矩阵中的“编号”和工作底稿中的“控制

5、点编号”:FMIS DA1建立两个表的链接关系。控制点名称：用户权限管理控制点描述：管理规定和审批流程；信息系统功能；定期检查，11。信息技术总控制矩阵和工作底稿的描述，控制执行者：控制点的负责人和批准人，外部审核时被访谈者的控制频率：固定频率，如定期检查和备份，根据频率准备相关数据，与样本总数和样本数有关。自动：由系统自动实现，需要手动截图：管理规定、手动检查能力：事后检查措施、定期日志检查、定期账户审计等。12、it总控矩阵及工作底稿、相关系统及文件说明：中国石化集团公司财务信息管理系统系统管理办法中国石化财新2003100号；中国石油化工股份有限公司管理信息系统应用管理办法已于近日颁布实

6、施。企业需要补充一些自己制定的相关管理措施和规范。设计、运行和实施是否有效：有效、无效、未发生、不适用。修复完成时间：如果有缺陷，请说明修复完成的计划时间，并填写“系统总体评估表”说明需要纠正的问题和纠正措施。13，信息技术总控制矩阵和工作底稿，有效设计：检查设计是否能有效实现控制目标和预防控制风险。例如，检查管理系统、审批流程和系统功能是否能够防范风险。走查测试是有效的：通过一组实例，整个控制过程被证明是有效的。检查申请表，签字并申请批准，打印出系统中的用户权限设置，并检查是否与填写表格的权限一致。执行有效：多个演练测试有效。应该有一定的审计样本，应该随机选择。it一般控制矩阵和工作底稿的描

7、述，测试步骤：合理、充分且可测量。测试步骤有很多：面试、系统检查、系统查询、定期检查和对相关人员能力的评估；设计和执行有效性的步骤是分开编写的。测试结果：记录测试步骤对应的每一步的测试结果，并提供相应的证据表格。文件编号：相关试验记录的文件编号。签名表财务用户许可审批表(样表)。抽样原则见内部控制检查、评价和检查暂行办法，15。信息技术一般控制矩阵和工作文件的描述，财务用户权利的批准表，16。信息技术通用控制矩阵和工作文件的描述，以及每个控制点涵盖的内容：控制目标、控制点、控制执行者的测试步骤、测试结果、留下痕迹的控制、测试相关证据文件的描述，17。2.关于“用户帐户和访问管理”的工作文件，1

8、8，3，“密码管理”，19，4，“应用系统管理员管理”，20，5，“普通用户管理”，21，6，“系统日志管理”，22，7，“第三方人员”25，10，“报告提交管理”工作文件，26，11，“系统备份和恢复”工作文件，27，12，“系统监控、维护和故障排除”工作文件，28，“问题和建议”，财务管理系统和财务报告系统的版本目前，企业使用的版本有两种主要类型第十版(财务管理信息系统和财务报告系统的2个信息技术总控制矩阵和文件主要是为第二版开发的。如果软件功能与矩阵和手稿中的描述不一致，应上报总部信息部。29、问题和建议、缺失数据的填写和收集原则缺失数据的填写原则：政策和制度、重要的授权申请文件必须填写

9、，并写下当前日期。从现在开始，重复发生的事情应该弥补。例如，“用户权限申请表”可以从现在开始标准化，但必须确保在检查过程中有一定的样本量，否则，设计可以被认为是有效的；但是，将不会认识到演练测试和执行是有效的。我们建议填写和收集数据的过程可以同时起到规范内部管理和检查相关工作的作用；化妆更容易；如果与财务报表有很大关系，则应予以补充。注意：不要为了通过检查而补充过去某一天的数据，这是以前没有做过的。补充过去的检查记录是没有意义的。数据的收集有太明显的“应付检查”的痕迹，这绝对不是总部内部审计和毕马威外部审计想要的。30、问题和建议(摘要)、检查和评估各控制点的一般步骤：查看管理体系、访谈“控制

10、执行者”和其他相关人员，总部制定和发布的相关体系文件已放在门户网站上。企业需要补充自己的相关文件系统。相关人员应仔细研究这些系统文件，并为面试做好准备。查询系统的相关功能，查看系统中的实现模式，并获取截图。定期检查记录，确认离线审批单是否与系统中的记录一致。如果“控制点”的描述与企业的日常工作基本一致，填写控制矩阵和工作底稿，准备相关的证据表格，并进行抽样检查。如果“控制点”的描述与企业的日常工作不同，矩阵和工作底稿的内容可以适当调整，但要小心。31、问题与建议(摘要)、毕马威外部审计工作流程：要求企业提供内部审计数据，并提供人事部门员工名单，包括姓名、工作职责、新员工、离职员工、工作变动员工、哪些系统有账号；提供所有信息系统的列表和关于财务报告是否相关的分析报告，包括系统功能、与财务报告的关联、系统之间的数据交换、关于财务报告是否相关的分析和结论。列出信息部门的负责人和每个系统的负责人，毕马威将对其进行面试。列出系统中的所有用户，并提供完整的矩阵、论文和自我评估结论。32、问题和建议