财务管理与财务报表系统介绍(34页PPT).ppt

《财务管理与财务报表系统介绍(34页PPT).ppt》由会员分享，可在线阅读，更多相关《财务管理与财务报表系统介绍(34页PPT).ppt（34页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、中国石化信息系统管理部中国石化信息系统管理部财务管理、财务报表系统财务管理、财务报表系统ITIT一般性控制一般性控制(kngzh)(kngzh)矩阵和工作底稿矩阵和工作底稿第一页，共三十四页。中国石化信息系统管理部中国石化信息系统管理部财务管理、财务报表系统财务管理、财务报表系统(xtng)(xtng)ITIT一般性控制矩阵和工作底稿一般性控制矩阵和工作底稿l SOX法案对法案对IT一般性控制的要求一般性控制的要求l 财务管理、财务报表系统财务管理、财务报表系统(xtng)IT一般性控制一般性控制l 各控制点测试结果、测试结论的填报要求各控制点测试结果、测试结论的填报要求信息部项目信息部项目(

2、xingm)(xingm)处处 孙丽华孙丽华 64998127 普普 安安 联联 盟盟 李李 军军 64999350 135012911512第二页，共三十四页。中国石化信息系统管理部中国石化信息系统管理部SOXSOX法案法案(f n)(f n)对对ITIT一般性控制的要求一般性控制的要求p 为什么要对为什么要对“IT“IT一般性控制一般性控制”的的有效性进行检查评价有效性进行检查评价l20022002年年7 7月月3030日，美国总统布什签发了日，美国总统布什签发了萨班斯萨班斯-奥克斯利法案奥克斯利法案(SOX(SOX法案法案)，对在美国上市的企业提出了一系列要求。，对在美国上市的企业提出了

3、一系列要求。l20062006年年4 4月月3030日日 IT IT治理协会治理协会ITGIITGI发布发布IT Control Objectives for IT Control Objectives for SOXSOX，2 Edition2 Edition,对上市公司对上市公司(shn sh n s)(shn sh n s)的的ITIT控制提出了要求控制提出了要求l为保证财务报告的完整性、准确性，为保证财务报告的完整性、准确性，SOXSOX法案要求对财务报告相关的信息法案要求对财务报告相关的信息系统进行系统进行“IT“IT一般性控制一般性控制”是否有效的检查评价。是否有效的检查评价。3第

4、三页，共三十四页。中国石化信息系统管理部中国石化信息系统管理部SOXSOX法案对法案对ITIT一般性控制一般性控制(kngzh)(kngzh)的要求的要求p 如何界定与财务报告相关的系统如何界定与财务报告相关的系统l界定相关的主要原则：与财务报告相关，间接或直接为财务报告的生成提供了有关信息。界定相关的主要原则：与财务报告相关，间接或直接为财务报告的生成提供了有关信息。l毕马威要求，首先应管理层自己判断，一般讲，管理层纳入审计范围的系统应比毕马威外审的范围大。毕马威要求，首先应管理层自己判断，一般讲，管理层纳入审计范围的系统应比毕马威外审的范围大。lERP系统、财务管理系统、财务报表系统肯定与

5、财务报告相关。系统、财务管理系统、财务报表系统肯定与财务报告相关。l毕马威关于毕马威关于IC卡系统的建议，从中国石化整体讲，卡系统的建议，从中国石化整体讲，IC卡肯定要纳入审计范围，具体到每个省，可针对具体卡肯定要纳入审计范围，具体到每个省，可针对具体情况进行判断。主要判断依据，从情况进行判断。主要判断依据，从IT角度，查看油站日报表、发卡网点预收款进入财务报表的方式，是手角度，查看油站日报表、发卡网点预收款进入财务报表的方式，是手工还是依赖工还是依赖IC卡系统；从财务角度，查看卡系统；从财务角度，查看IC卡预收账款占企业卡预收账款占企业(qy)总预收款的比例，总预收款的比例，IC卡销售额占总

6、销卡销售额占总销售额的比例。售额的比例。l总部统一实施系统由总部统一设计总部统一实施系统由总部统一设计IT一般性控制矩阵和工作底稿，下发企业填报；企业特有系统一般性控制矩阵和工作底稿，下发企业填报；企业特有系统需自己设计需自己设计IT一般性控制矩阵和工作底稿。一般性控制矩阵和工作底稿。4第四页，共三十四页。中国石化信息系统管理部中国石化信息系统管理部SOXSOX法案法案(f n)(f n)对对ITIT一般性控制的要求一般性控制的要求p “IT一般性控制一般性控制”的主要检查的主要检查评价评价(pngji)内容内容l 企业整体层面的企业整体层面的IT控制控制包括控制环境、风险评估、信息和沟通、监

7、控包括控制环境、风险评估、信息和沟通、监控l 信息系统的信息系统的IT一般性控制一般性控制程序和数据访问、程序变更、程序和数据访问、程序变更、程序开发、系统运行程序开发、系统运行IT基础设施基础设施、终端用户计算终端用户计算 5第五页，共三十四页。中国石化信息系统管理部中国石化信息系统管理部财务管理、财务报表系统财务管理、财务报表系统(xtng)(xtng)ITIT一般性控制一般性控制l信息部会同财务部、普安联盟共同设计了现有财务管理系统、财务报表系统的信息部会同财务部、普安联盟共同设计了现有财务管理系统、财务报表系统的ITIT一般性控制一般性控制(kngzh)(kngzh)矩阵和工作底稿，特

8、别参考了中国石油化工股份有限公司财务矩阵和工作底稿，特别参考了中国石油化工股份有限公司财务信息管理系统系统管理办法（财信信息管理系统系统管理办法（财信20032003100100号文），设计主要原则为：在满足号文），设计主要原则为：在满足SOXSOX法案的前提下，尽可能贴近企业应用的实际情况，少增加企业填报的工作量。法案的前提下，尽可能贴近企业应用的实际情况，少增加企业填报的工作量。lERP上线企业上线企业ERP系统系统 财务报表系统财务报表系统 12个控制点个控制点lERP未上线企业财务管理信息系统未上线企业财务管理信息系统 11个控制点个控制点 （含今年正在实施（含今年正在实施ERP的企业

9、）的企业）6第六页，共三十四页。中国石化信息系统管理部中国石化信息系统管理部财务管理、财务报表财务管理、财务报表ITIT一般性控制一般性控制(kngzh)(kngzh)控制控制(kngzh)(kngzh)点介绍点介绍序序 号号控制点名称控制点名称财务管理系统财务管理系统财务报表系统财务报表系统一、程序和数据访问一、程序和数据访问1 1用户权限管理用户权限管理2 2用户账号及访问管理用户账号及访问管理3 3密码管理密码管理4 4系统管理员管理系统管理员管理5 5普通用户管理普通用户管理6 6系统日志管理系统日志管理7 7第三方人员管理第三方人员管理二、程序变更二、程序变更8 8系统变更管理系统变

10、更管理三、系统运行三、系统运行9 9ERPERP报表接口管理报表接口管理1010报表上报管理报表上报管理1111系统备份及恢复系统备份及恢复1212系统监控、维护及故障处理系统监控、维护及故障处理7第七页，共三十四页。中国石化信息系统管理部中国石化信息系统管理部1 1、“用户权限管理用户权限管理”控制控制(kngzh)(kngzh)矩阵矩阵序序号号控制目标控制目标控制点控制点控制活动属性控制活动属性相关制度相关制度和文档和文档测试结果测试结果备备注注编编号号控控制制点点控制点描述控制点描述控控制制执执行行人人控控制制频频率率自自动动/手手动动预预防防性性/检检查查性性穿行穿行测试测试有效有效否

11、否设设计计有有效效否否执执行行有有效效否否修修补补完完成成时时间间1 12 23 34 45 56 67 78 89 910101111121213131 14 4一数据和程序访问数据和程序访问1建立完善的权限管理机制，在合理的范围内确保用户被授予的系统权限和其岗位职责相符，防止对系统的非授权访问。FRE-DA1用户权限管理1、建立完善的用户权限管理制度，明确系统相关人员分工及岗位职责，确保用户拥有与其岗位职责分工相对应的权限。2、用户的增删及其权限的变更需填写“用户权限审批表”，并经财务部门负责人审批确认。3、系统提供了功能权限、数据权限等权限分配功能，保证用户被授予的权限和其岗位职责相符。

12、4、财务部门负责人应每半年检查一次系统内的用户权限设置。财务部门负责人每半年手动自动预防性检查性中国石油化工股份有限公司财务信息管理系统系统管理办法有效有效有效8第八页，共三十四页。中国石化信息系统管理部中国石化信息系统管理部1 1、“用户权限管理用户权限管理(gunl)(gunl)”工作底稿工作底稿序序号号控制控制目标目标控控制制点点编编号号控控制制点点控制点描述控制点描述测试步骤测试步骤测试结果测试结果结论结论文档编文档编号号一数据和程序访问数据和程序访问1建立完善的权限管理机制，在合理的范围内确保用户被授予的系统权限和其岗位职责相符，防止对系统的非授权访问。FRE-DA1用户权限管理1、

13、建立完善的用户权限管理制度，明确系统相关人员分工及岗位职责，确保用户拥有与其岗位职责分工相对应的权限。2、用户的增删及其权限的变更需填写“用户权限审批表”，并经财务部门负责人审批确认。3、系统提供了功能权限、数据权限等权限分配功能，保证用户被授予的权限和其岗位职责相符。4、财务部门负责人应每半年检查一次系统内的用户权限设置。设计有效性：1、访谈财务部门负责人有关权限管理制度及权限申请审批流程。2、查看系统“维护工具”中权限分配功能，取得截屏。执行有效性：3、检查“用户权限审批表”填写是否及时齐全，按照系统用户增删及变更总数，随机抽取*张“用户权限审批表”进行检查。4、登录财务系统“维护工具”查

14、看用户权限，取得截屏，确认是否和其申请审批的权限相符。5、查看用户及权限每半年的审核记录（打印系统用户清单，相关责任人审核并签字，有与岗位不符情况，及时变更权限，写明原因和处理情况）。设计有效执行有效穿行有效FRE-DA1-1.1FRE-DA1-1.2FRE-DA1-1.3FRE-DA1-1.4FRE-DA1-1.5FRE-DA1-1.6FRE-DA1-1.79第九页，共三十四页。中国石化信息系统管理部中国石化信息系统管理部ITIT一般性控制矩阵和工作底稿一般性控制矩阵和工作底稿(dgo)(dgo)说明说明l矩阵和工作底稿中的相同列（矩阵和工作底稿中的相同列（4列）：列）：控制目标控制目标：防

15、范风险的目标描述防范风险的目标描述矩阵中矩阵中“编号编号”与工作底稿中与工作底稿中“控制点编号控制点编号”：FMIS-DA1 为两为两张表建立链接关系。张表建立链接关系。控制点名称：控制点名称：用户权限管理用户权限管理控制点描述控制点描述：管理规定及申批流程：管理规定及申批流程(lichng)；信息系统功能；信息系统功能；定期检查情况定期检查情况10第十页，共三十四页。中国石化信息系统管理部中国石化信息系统管理部ITIT一般性控制矩阵和工作一般性控制矩阵和工作(gngzu)(gngzu)底稿说明底稿说明l控制执行人控制执行人：控制点的责任人、审批人，：控制点的责任人、审批人，外审时的被访谈人外

16、审时的被访谈人l控制频率控制频率：固定频率，如定期检查、备份，按频率准备相关资料固定频率，如定期检查、备份，按频率准备相关资料 按需发生的，与样本总数有关，关系到抽样数量按需发生的，与样本总数有关，关系到抽样数量 l自动自动/手动手动：自动：系统自动实现的，需截屏：自动：系统自动实现的，需截屏 手动：管理手动：管理(gunl)规定、签字审批、定期检查，抽样检查规定、签字审批、定期检查，抽样检查l预防性预防性/检查性检查性：预防性：事先的防范措施，如管理制度、申请审批流程、预防性：事先的防范措施，如管理制度、申请审批流程、系统自动控制功能；系统自动控制功能；检查性：事后检查的措施，日志定期检查、

17、检查性：事后检查的措施，日志定期检查、帐号定期审核等。帐号定期审核等。11第十一页，共三十四页。中国石化信息系统管理部中国石化信息系统管理部ITIT一般性控制矩阵一般性控制矩阵(j zhn)(j zhn)和工作底稿说明和工作底稿说明l相关制度和文档：中国石油化工股份有限公司财务信息管理系统相关制度和文档：中国石油化工股份有限公司财务信息管理系统系统管理办法系统管理办法中国石化财信中国石化财信2003100号；号；中国石油化工股份有限中国石油化工股份有限公司管理信息系统应用管理办法已评审，近期下发。企业需补充自己制公司管理信息系统应用管理办法已评审，近期下发。企业需补充自己制定的一些相关管理办法

18、和规范。定的一些相关管理办法和规范。l设计设计、穿行、执行是否有效：穿行、执行是否有效：有效、无效、未发生、不适用有效、无效、未发生、不适用l修补修补(xib)完成时间：完成时间：如果有缺陷，写明修补完成的计划时间，需整改如果有缺陷，写明修补完成的计划时间，需整改的问题描述、整改措施等填入的问题描述、整改措施等填入“系统整体评估表系统整体评估表”。12第十二页，共三十四页。中国石化信息系统管理部中国石化信息系统管理部ITIT一般性控制矩阵一般性控制矩阵(j zhn)(j zhn)和工作底稿说明和工作底稿说明l设计有效设计有效：检查设计能否有效实现控制目标、防范控制风险。如检查管理：检查设计能否

19、有效实现控制目标、防范控制风险。如检查管理制度、审批流程、系统功能是否能起到防范风险的目的。制度、审批流程、系统功能是否能起到防范风险的目的。l穿行测试有效穿行测试有效：以一套真实的例子，把各个测试步骤从头到尾走一遍，证：以一套真实的例子，把各个测试步骤从头到尾走一遍，证明整个控制过程有效。察看申请表、签字申批情况，打印出系统中用户权明整个控制过程有效。察看申请表、签字申批情况，打印出系统中用户权限设置，查看与填表权限是否一致。限设置，查看与填表权限是否一致。l执行有效执行有效：多个的穿行测试有效。要有一定：多个的穿行测试有效。要有一定(ydng)审计的样本，随机抽取。审计的样本，随机抽取。1

20、3第十三页，共三十四页。中国石化信息系统管理部中国石化信息系统管理部ITIT一般性控制矩阵和工作一般性控制矩阵和工作(gngzu)(gngzu)底稿说明底稿说明l测试步骤：测试步骤：要合理、充分，要能测出来。测试步骤有很多：访谈、查制要合理、充分，要能测出来。测试步骤有很多：访谈、查制度、系统查询、定期检查、考评相关人员有无相关能力；设计、执行有度、系统查询、定期检查、考评相关人员有无相关能力；设计、执行有效性的步骤分开写。效性的步骤分开写。l测试结果：测试结果：对应测试步骤记录每一步的测试结果，并提供相应的证据对应测试步骤记录每一步的测试结果，并提供相应的证据(zhngj)表单。表单。l文档

21、编号文档编号：FRE-DA1-1.1FRE-DA1-1.n 测试相关记录文档编号。测试相关记录文档编号。l签字表单财务用户权限审批表（样表）。签字表单财务用户权限审批表（样表）。l抽样原则见抽样原则见“内部控制检查评价与考核暂行办法内部控制检查评价与考核暂行办法”14第十四页，共三十四页。中国石化信息系统管理部中国石化信息系统管理部ITIT一般性控制一般性控制(kngzh)(kngzh)矩阵和工作底稿说明矩阵和工作底稿说明财务财务(ciw)用户权限审批表用户权限审批表 单位名称：单位名称：日期：日期：用户编号用户编号用户姓名用户姓名所在部门所在部门电电 话话岗位职责岗位职责申请类型申请类型开户

22、开户 变更变更 销户销户帐号启用时间帐号启用时间帐号停用时帐号停用时间间帐号申请帐号申请（变更）原因（变更）原因权限要求权限要求财务部门负责人签字财务部门负责人签字应用系统管理员签字应用系统管理员签字备注备注15第十五页，共三十四页。中国石化信息系统管理部中国石化信息系统管理部ITIT一般性控制矩阵和工作底稿一般性控制矩阵和工作底稿(dgo)(dgo)说明说明l每个控制点需要涵盖每个控制点需要涵盖(hn i)的内容：的内容：控制目标控制目标 控制点控制点 控制点描述控制点描述 控制执行人控制执行人 测试步骤测试步骤 测试结果测试结果 控制要留下痕迹：测试相关证据文档控制要留下痕迹：测试相关证据

23、文档16第十六页，共三十四页。中国石化信息系统管理部中国石化信息系统管理部2 2、“用户账号及访问用户账号及访问(fngwn)(fngwn)管理管理”工作底稿工作底稿序序号号控制控制目标目标控控制制点点控制点描述控制点描述测试步骤测试步骤一 数据和程序访问数据和程序访问2健全系统登录访问机制,防止对系统的非授权访问。用户账号及访问管理1、每个用户拥有独立的用户账号，不得共享。2、应用系统中用户帐号不能重复，查看系统中是否有共享账号。3、要求必须输入用户名和密码才可登录系统。4、应用系统管理员应定期审核系统内的用户账号清单。设计有效性：1、访谈应用系统管理员用户帐号设置情况和登录验证过程。2、登

24、录系统检查用户帐号唯一性，确认每个用户拥有独立的用户账号，无共享情况。3、查看系统登录界面截屏。执行有效性：4、抽样检查系统用户账号清单的定期审核记录（打印系统用户账号清单，系统管理员审核并签字）。17第十七页，共三十四页。中国石化信息系统管理部中国石化信息系统管理部3 3、“密码管理密码管理(gunl)(gunl)”工作底稿工作底稿序序号号控制目标控制目标控制点控制点控制点描述控制点描述测试步骤测试步骤一一 数据和程序访问数据和程序访问3 3防止密码防止密码设置强度设置强度不够造成不够造成系统泄密系统泄密或受到非或受到非法访问。法访问。密码管密码管理理1 1、密码规则：密码长度大、密码规则：

25、密码长度大于等于于等于6 6位；密码为数字与位；密码为数字与字符的组合；密码需定期更字符的组合；密码需定期更换。换。2 2、根据密码设置规则，在、根据密码设置规则，在系统中实现了控制，当密码系统中实现了控制，当密码长度小于长度小于6 6位时系统会提示。位时系统会提示。密码输入时以掩码形式录入，密码输入时以掩码形式录入，防止密码泄露。防止密码泄露。3 3、密码验证超过三次失败、密码验证超过三次失败自动退出系统。自动退出系统。4 4、操作系统、数据库、应、操作系统、数据库、应用系统等初始口令的设置应用系统等初始口令的设置应在系统投用前修改，并定期在系统投用前修改，并定期更改。更改。5 5、应用系统

26、管理员应每季、应用系统管理员应每季度检查普通用户密码的修改度检查普通用户密码的修改情况。情况。设计有效性：设计有效性：1 1、访谈应用系统管理员密码设置规则及有关规定。、访谈应用系统管理员密码设置规则及有关规定。2 2、登录财务系统、登录财务系统“维护工具维护工具”新建用户检验系统新建用户检验系统是否实现了密码设置控制。取得密码少于是否实现了密码设置控制。取得密码少于6 6位和第位和第一位不是字符的提示截屏。一位不是字符的提示截屏。3 3、登录系统测试用户密码验证、登录系统测试用户密码验证3 3次失败退出系统。次失败退出系统。执行有效性：执行有效性：4 4、检查操作系统、数据库、应用系统的初始

27、密码，、检查操作系统、数据库、应用系统的初始密码，登录系统，查看系统默认账号的密码是否都已做登录系统，查看系统默认账号的密码是否都已做了修改（例如了修改（例如“sasa”账号初始密码为空）。账号初始密码为空）。5 5、检查操作系统、数据库、应用系统管理员密码、检查操作系统、数据库、应用系统管理员密码的设置情况和定期修改记录。的设置情况和定期修改记录。6 6、抽样检查应用系统管理员的每季度检查普通用、抽样检查应用系统管理员的每季度检查普通用户密码修改情况的记录（可定期发通知要求用户户密码修改情况的记录（可定期发通知要求用户修改密码，要求用户记录密码修改时间，应用系修改密码，要求用户记录密码修改时

28、间，应用系统管理员抽样检查）。统管理员抽样检查）。18第十八页，共三十四页。中国石化信息系统管理部中国石化信息系统管理部4 4、“应用系统管理应用系统管理(gunl)(gunl)员管理员管理(gunl)(gunl)”工作底稿工作底稿序序号号控制目控制目标标控控制制点点控制点描述控制点描述测试步骤测试步骤一数据和程序访问数据和程序访问4加强系统管理员管理，防止不合规操作。系统管理员管理1、企业需配备专职或兼职数据库、操作系统（统称系统管理员）、应用系统管理员，系统管理员、应用系统管理员要经过授权并明确职责，并应相对稳定，其更换必须经相关部门负责人审批，并严格办理交接手续。2、系统管理员、应用系统

29、管理员只能处理系统设置、数据库维护、数据备份与恢复、用户及权限管理等功能，不能登录帐务系统处理会计业务和查询帐务信息。3、相关部门负责人应每半年对系统管理员、应用系统管理员在职情况进行签字审核。设计有效性：1、访谈相关部门负责人有关系统管理员的管理制度及任用审批流程。2、检查系统中系统管理员的权限情况，确认系统管理员没有处理具体业务的权限。执行有效性：3、提供应用系统、操作系统、数据库管理员的清单及授权、变更文档。4、查看相关部门负责人对系统管理员在职情况的每半年签字审核记录。19第十九页，共三十四页。中国石化信息系统管理部中国石化信息系统管理部5 5、“普通用户管理普通用户管理”工作工作(g

30、ngzu)(gngzu)底稿底稿序序号号控制控制目标目标控控制制点点控制点描述控制点描述测试步骤测试步骤一 数据和程序访问数据和程序访问5加强普通用户帐号的管理，保证业务处理的规范、安 全、有效。普通用户管理1、根据用户岗位职责分工，分配相对应的操作权限，人员的离职与变动必须对权限进行相应的变更。用户帐号的申请及变更必须经财务部门负责人审核批准，用户岗位变更时应办理交接手续。2、系统内普通用户帐号的注册、注销及权限变更必须通过财务应用系统管理员进行，其它用户无此权限。设计有效性：1、访谈相关部门负责人了解普通用户帐号申请与系统权限分配情况。2、查看普通用户管理的相关管理制度。执行有效性：3、登

31、录财务系统“维护工具”检查普通用户功能权限分配情况，取得截屏，确认普通用户没有新建用户和设置权限的功能。4、查看企业离职、岗位变化人员清单，检查系统中非在职人员、岗位变更人员的用户帐号情况。20第二十页，共三十四页。中国石化信息系统管理部中国石化信息系统管理部6 6、“系统日志管理系统日志管理(gunl)(gunl)”工作底稿工作底稿序序号号控制控制目标目标控控制制点点控制点描述控制点描述测试步骤测试步骤一 数据和程序访问数据和程序访问6加强系统日志管理,记录应用系统登录及操作活动。系统日志管理1、有系统日志管理及审查机制。2、应用系统日志能记录用户登录时间等信息；数据库日志能记录用户新建、删

32、除等信息。3、安全管理员应定期审核应用系统、数据库、操作系统的系统日志。设计有效性：1、访谈安全管理员有关系统日志管理和审核情况。2、检查系统中的日志管理功能，取得截屏。执行有效性：3、抽样检查安全管理员定期审核应用系统、数据库、操作系统日志的记录。21第二十一页，共三十四页。中国石化信息系统管理部中国石化信息系统管理部7 7、“第三方人员管理第三方人员管理”工作工作(gngzu)(gngzu)底稿底稿序序号号控制目控制目标标控制控制点点控制点描述控制点描述测试步骤测试步骤一数据和程序访问数据和程序访问7加强对第三方人员授权访问管理。第 三方 人员 管理1、第三方人员需要访问系统时，应填写用户

33、权限审批表，说明账号使用的原因、时间和期限，并由财务部门负责人批准。2、到期应及时删除或锁定第三方人员的账号。设计有效性：1、访谈财务部门负责人有关第三方人员访问系统的情况。执行有效性：2、检查第三方人员的“用户权限审批表”和审批情况。3、检查系统中第三方人员账号情况，在“维护工具”中查看第三方人员帐号及使用情况，确认系统中无应删未删的第三方人员账号。22第二十二页，共三十四页。中国石化信息系统管理部中国石化信息系统管理部8 8、“系统系统(xtng)(xtng)变更管理变更管理”工作底稿工作底稿序序号号控制目标控制目标控制点控制点控制点描述控制点描述测试步骤测试步骤二二程序变更程序变更8加强

34、系统变 更 管 理，有变更管理制度，变更必须经过严格的审批、测试，使系统的变更在可控范围内，保证应用系统运行和维护的正常进行。系统变更管理1、有变更管理政策及审批流程。软件版本变更由总部相关部门统一组织变更、统一下发企业。企业有软件变更需求必须填报“系统变更审批表”上报总部，不允许自行变更，企业IT人员及相关用户应充分了解该流程。2、所有针对系统应用软件的变更申请、开发、测试、下发、版本都要有总部的审批签字及记录文档。3、对于系统运行环境、系统优化等配置变更，应填写“系统变更审批表”，并经相关部门负责人审批，并严格测试后，方可在系统中更改，以确保系统的平稳运行。4、开发人员不能进入生产环境，不

35、能进行最终的变更操作。设计有效性：1、访谈有关部门负责人有关系统变更流程和管理制度。2、查看变更管理相关制度。执行有效性：3、如果2006年有变更发生，抽样检查系统变更、配置变更的申请、审批、测试及相关记录文档。4、查看进行系统变更的人员记录，确认变更人员不是开发人员。如果是开发人员要有申请审批记录。23第二十三页，共三十四页。中国石化信息系统管理部中国石化信息系统管理部9 9、“ERP“ERP报表接口管理报表接口管理”工作工作(gngzu)(gngzu)底稿底稿序序号号控制控制目标目标控控制制点点控制点描述控制点描述测试步骤测试步骤三三 系统运行系统运行9加强ERP报表接口管理工作，保证报表

36、信息抽取的安全和完整。ERP报表接口管理1、对报表数据的抽取及使用有相关规定。2、系统提供了数据抽取的数据来源定义、数据抽取规则等功能；对报表数据的读取和写入有严格的权限控制。3、财务报表系统的运行过程有日志记录。设计有效性：1、访谈报表管理人员有关报表抽取的有关规定。2、查看ERP报表接口的用户手册及相关文档。3、登录系统中的数据抽取，查看数据抽取设置、数据读取机制、数据写入机制等设置功能，取得截屏。执行有效性：4、抽样检查报表抽取的运行日志，取得截屏。24第二十四页，共三十四页。中国石化信息系统管理部中国石化信息系统管理部1010、“报表上报管理报表上报管理”工作工作(gngzu)(gng

37、zu)底稿底稿序序号号控控制制目目标标控控制制点点控制点描述控制点描述测试步骤测试步骤三三 系统运行系统运行10加强报表上报管理工作，保证报表信息上报的及时、完整。报表上报管理1、对报表上报有相关规定。2、报表上报时执行统一定义的校验公式对报表进行合法性效验，并有详细的校验报告信息。设计有效性：1、访谈报表管理人员有关报表上报的管理规定。2、查看系统报表校验功能，取得截屏。执行有效性：3、抽样检查报表数据上报的校验报告，取得校验报告截屏。25第二十五页，共三十四页。中国石化信息系统管理部中国石化信息系统管理部1111、“系统备份及恢复系统备份及恢复(huf)(huf)”工作底稿工作底稿序序号号

38、控制目标控制目标控制点控制点控制点描述控制点描述测试步骤测试步骤三三系统运行系统运行11加强系统备份及恢复管理，减少因故障发生造成数据丢失 的 风 险，保障财务相关数据的安全和系统的快速恢复能力。系统备份及恢复1、对数据备份策略、备份模式、备份介质存放、备份恢复性测试等有相关的管理规定。2、应用系统提供有备份和恢复的功能。严格控制数据备份、恢复、转入、转出的权限，对备份的数据加强管理，防止被非法拷贝或毁坏。3、至少每月备份一次数据，并检查备份数据的可读性。4、备份介质定期异地存放，备份介质存放要有交接记录、介质访问要有适当授权和访问记录。5、定期测试备份数据的可读性，以保证备份的有效性。6、可

39、能的情况下，每半年对备份进行恢复测试。设计有效性：1、访谈系统管理员有关备份的管理制度和备份方案。2、查看备份管理规定。3、查看系统备份功能和权限控制情况，取得截屏。执行有效性：4、检查备份记录。5、检查介质保存方式和介质的保管、访问记录等。6、抽查备份数据定期可读性测试的记录。7、访谈系统管理员备份恢复的步骤，提供每半年备份恢复测试的记录。26第二十六页，共三十四页。中国石化信息系统管理部中国石化信息系统管理部1212、“系统监控、维护系统监控、维护(wih)(wih)及故障处理及故障处理”工作底稿工作底稿序序号号控制目控制目标标控制控制点点控制点描述控制点描述测试步骤测试步骤三三系统运行系

40、统运行12加强系统运行监控及维护管理，及时解决系统运行问题，保障系统安全稳定运行。系统监控、维护及故障处理1、建立系统监控和维护管理制度，明确问题处理流程。2、系统维护人员对系统运行状况进行监控；系统运行中出现故障时，普通操作人员不能擅自处理，应保护现场，及时与应用系统管理员联系；本单位应用系统管理员不能排除故障时，应报上一级管理部门。3、要详细记录运维和问题处理情况，对故障发生时间、故障情况、解决办法、处理结果及跟踪进行详细记录，并由维护人员或应用系统管理员签字。4、建立应急预案，保证系统问题的及时解决，降低对业务处理的影响。设计有效性：1、访谈相关人员有关问题处理流程和维护制度。2、查看问

41、题处理及维护管理制度。执行有效性：3、检查系统监控记录和用户申报问题记录清单，抽样检查问题处理情况的详细记录。4、检查企业的应急预案，包括应急处理流程、应急处理过程记录等管理规定。27第二十七页，共三十四页。中国石化信息系统管理部中国石化信息系统管理部问题问题(wnt)(wnt)和建议和建议l 财务管理系统财务管理系统、财务报表系统、财务报表系统的版本的版本p 目前企业使用的版本主要有两大类：目前企业使用的版本主要有两大类：2.X版（版（2.2、2.3）：大多数企业使用）：大多数企业使用3.0版：集中核算版，较少企业使用，权限管理版：集中核算版，较少企业使用，权限管理(gunl)功能较强，密功

42、能较强，密码控制比较弱码控制比较弱财务管理信息系统、财务报表系统的财务管理信息系统、财务报表系统的IT一般性控制矩阵和底稿主一般性控制矩阵和底稿主要针对要针对2.x版制定。版制定。p 软件功能与矩阵和底稿中描述不一致的，上报总部信息部。软件功能与矩阵和底稿中描述不一致的，上报总部信息部。28第二十八页，共三十四页。中国石化信息系统管理部中国石化信息系统管理部问题问题(wnt)和建议和建议l 缺失资料补填和收集原则缺失资料补填和收集原则对于缺失资料的补填原则：政策制度、重要的授权申批文档必须要补，写现在日期。对于缺失资料的补填原则：政策制度、重要的授权申批文档必须要补，写现在日期。重复发生的要从

43、现在开始补起来。如重复发生的要从现在开始补起来。如“用户权限申批表用户权限申批表”，从现在起规范做起来就可以，但要保证，从现在起规范做起来就可以，但要保证检查时有一定检查时有一定(ydng)样本量，否则，可认定设计有效；但穿行测试、执行有效将无法认定。我们建议，补填和样本量，否则，可认定设计有效；但穿行测试、执行有效将无法认定。我们建议，补填和收集资料的过程，能同时起到规范内部管理、检查相关工作作用的；补起来比较容易的；与财务报表关系大的，收集资料的过程，能同时起到规范内部管理、检查相关工作作用的；补起来比较容易的；与财务报表关系大的，要补。要补。注意，不要为了通过检查补已过去的某天的资料，先

44、前没有做到，补一个过去的检查记录注意，不要为了通过检查补已过去的某天的资料，先前没有做到，补一个过去的检查记录是没有意义的，资料的收集有太明显的是没有意义的，资料的收集有太明显的“应付检查式应付检查式”补的痕迹，绝不是总部内审、毕马威补的痕迹，绝不是总部内审、毕马威外审想要的。外审想要的。29第二十九页，共三十四页。中国石化信息系统管理部中国石化信息系统管理部问题和建议问题和建议(jiny)（小结）（小结）对每一控制点检查评价的一般步骤：对每一控制点检查评价的一般步骤：l看管理制度，访谈看管理制度，访谈“控制执行人控制执行人”等相关人员等相关人员p 总部统一制定和下发的相关制度文档已放到门户上

45、。总部统一制定和下发的相关制度文档已放到门户上。p 企业需补充自己制定的相关文档制度。企业需补充自己制定的相关文档制度。p 相关人员认真学习这些制度文档，做好被访谈的准备。相关人员认真学习这些制度文档，做好被访谈的准备。l查询系统相关功能，看系统内的实现方式，取得截屏。查询系统相关功能，看系统内的实现方式，取得截屏。l定期检查记录，要确认线下审批单和系统内的记录是否一致。定期检查记录，要确认线下审批单和系统内的记录是否一致。l如如“控制点控制点”描述与企业日常工作基本相符，填好控制矩阵和工作底稿，准备好相关证据表单，并描述与企业日常工作基本相符，填好控制矩阵和工作底稿，准备好相关证据表单，并抽

46、样检查。抽样检查。l如如“控制点控制点”描述与企业日常工作有差异，可适当调整矩阵和工作底稿的内容描述与企业日常工作有差异，可适当调整矩阵和工作底稿的内容(nirng)，但要慎重。，但要慎重。30第三十页，共三十四页。中国石化信息系统管理部中国石化信息系统管理部问题和建议问题和建议(jiny)（小结）（小结）毕马威外审初审的工作流程毕马威外审初审的工作流程：l要求企业提供内审的资料要求企业提供内审的资料p 提供人事部门的员工清单、包含姓名、岗位职责、新进员工、离职员工、岗位变动员工、在提供人事部门的员工清单、包含姓名、岗位职责、新进员工、离职员工、岗位变动员工、在哪些系统内有账号等信息；哪些系统

47、内有账号等信息；p 提供所有信息系统清单及财务报告是否相关的分析报告，包括系统功能提供所有信息系统清单及财务报告是否相关的分析报告，包括系统功能(gngnng)、与财务报告的关联、与财务报告的关联情况、系统间的数据交换情况、财务报告是否相关的分析及结论。情况、系统间的数据交换情况、财务报告是否相关的分析及结论。p 列出信息部门负责人及每一系统的负责人，毕马威将访谈。列出信息部门负责人及每一系统的负责人，毕马威将访谈。p 列出系统中的所有用户清单列出系统中的所有用户清单p 提供已做好的矩阵、底稿、自评的结论。提供已做好的矩阵、底稿、自评的结论。31第三十一页，共三十四页。中国石化信息系统管理部中

48、国石化信息系统管理部问题问题(wnt)和建议（小结）和建议（小结）毕马威外审初审的工作流程毕马威外审初审的工作流程：l访谈有关人员，提出需要的文档清单，不满足要求会提出补充文档清单访谈有关人员，提出需要的文档清单，不满足要求会提出补充文档清单l实地检查、系统测试实地检查、系统测试p 去机房查看网络、服务器、安全等情况去机房查看网络、服务器、安全等情况p 系统自动控制的查看系统配置，如密码规则肯定会去试。系统自动控制的查看系统配置，如密码规则肯定会去试。p 手动控制的抽样检查。手动控制的抽样检查。l 提供缺陷清单提供缺陷清单p 同企业确认缺陷情况，要求确定同企业确认缺陷情况，要求确定(qudng

49、)整改措施、责任人、整改时间，并跟踪整整改措施、责任人、整改时间，并跟踪整改情况。改情况。32第三十二页，共三十四页。1、有时候读书是一种巧妙地避开思考的方法。2022/11/72022/11/7Monday,November 7,20222、阅读一切好书如同和过去最杰出的人谈话。2022/11/72022/11/72022/11/711/7/2022 8:23:14 AM3、越是没有本领的就越加自命不凡。2022/11/72022/11/72022/11/7Nov-2207-Nov-224、越是无能的人，越喜欢挑剔别人的错儿。2022/11/72022/11/72022/11/7Monday

50、,November 7,20225、知人者智，自知者明。胜人者有力，自胜者强。2022/11/72022/11/72022/11/72022/11/711/7/20226、意志坚强的人能把世界放在手中像泥块一样任意揉捏。07 十一月 20222022/11/72022/11/72022/11/77、最具挑战性的挑战莫过于提升自我。十一月 222022/11/72022/11/72022/11/711/7/20228、业余生活要有意义，不要越轨。2022/11/72022/11/707 November 20229、一个人即使已登上顶峰，也仍要自强不息。2022/11/72022/11/7202