ARP系統(tǒng)內(nèi)控工作程序-測(cè)試檢查階段課件(PPT 63頁(yè))

1、ERP系統(tǒng)建設(shè)內(nèi)部控制工作程序（四）測(cè)試檢查階段1第1頁(yè)，共63頁(yè)。4.2.1 對(duì)地區(qū)公司開(kāi)展現(xiàn)場(chǎng)或非現(xiàn)場(chǎng)測(cè)試檢查4.2.2 地區(qū)公司根據(jù)測(cè)試檢查報(bào)告開(kāi)展整改4.2.3 對(duì)地區(qū)公司的整改結(jié)果進(jìn)行復(fù)查階段一.項(xiàng)目準(zhǔn)備 階段二.藍(lán)圖設(shè)計(jì) 階段三.系統(tǒng)配置 階段四.測(cè)試檢查階段六. 上線審批階段五.流程完善ERP系統(tǒng)建設(shè)內(nèi)部控制工作程序目錄2第2頁(yè)，共63頁(yè)。(四) 測(cè)試檢查地區(qū)公司內(nèi)控管理部門 內(nèi)控與風(fēng)險(xiǎn)管理部 地區(qū)公司業(yè)務(wù)管理部門 ERP項(xiàng)目組 4.2.1提交測(cè)試檢查申請(qǐng) 安排組織現(xiàn)場(chǎng)或非現(xiàn)場(chǎng)測(cè)試檢查，形成測(cè)試報(bào)告及整改意見(jiàn) 4.2.2牽頭組織問(wèn)題整改并將結(jié)果上報(bào)內(nèi)控與風(fēng)險(xiǎn)管理部參與整改 參與整

2、改 4.2.3審閱地區(qū)公司整改報(bào)告，組織復(fù)查 執(zhí)行部門工作內(nèi)容編號(hào)3第3頁(yè)，共63頁(yè)。4.2.1 對(duì)地區(qū)公司開(kāi)展現(xiàn)場(chǎng)或非現(xiàn)場(chǎng)測(cè)試檢查4.2.2 地區(qū)公司根據(jù)測(cè)試檢查報(bào)告開(kāi)展整改4.2.3 對(duì)地區(qū)公司的整改結(jié)果進(jìn)行復(fù)查4(四) 測(cè)試檢查4.2.14第4頁(yè)，共63頁(yè)。地區(qū)公司內(nèi)控管理部門工作要點(diǎn)： ERP系統(tǒng)內(nèi)控自我測(cè)試檢查及問(wèn)題整改完成，且ERP系統(tǒng)雙軌運(yùn)行30天后，地區(qū)公司內(nèi)控管理部門向內(nèi)控與風(fēng)險(xiǎn)管理部提出ERP系統(tǒng)內(nèi)控測(cè)試檢查申請(qǐng)。具體請(qǐng)參見(jiàn)附件“XX單位ERP系統(tǒng)內(nèi)控測(cè)試檢查申請(qǐng)”(四) 測(cè)試檢查 - 4.2.15第5頁(yè)，共63頁(yè)。附件： XX單位ERP系統(tǒng)內(nèi)控測(cè)試檢查申請(qǐng)?jiān)摳郊枪煞輧?nèi)控

3、與風(fēng)險(xiǎn)管理部下發(fā)的用于編制ERP系統(tǒng)內(nèi)控測(cè)試檢查申請(qǐng)的模板，其中包括如下主要內(nèi)容：1）藍(lán)圖設(shè)計(jì)和系統(tǒng)實(shí)現(xiàn)工作的完成情況2）ERP系統(tǒng)計(jì)劃雙軌運(yùn)行時(shí)間3）ERP系統(tǒng)相關(guān)控制要求的執(zhí)行起始時(shí)間4）是否具備內(nèi)控測(cè)試檢查的條件5）提供內(nèi)控測(cè)試檢查申請(qǐng)相關(guān)附件，包括： ERP系統(tǒng)權(quán)限清理報(bào)告：說(shuō)明開(kāi)展權(quán)限自測(cè)及整改的情況； 控制點(diǎn)適用性情況說(shuō)明書：從ERP系統(tǒng)控制文檔、配置清單、權(quán)限相關(guān)文檔三方面分別說(shuō)明控制點(diǎn)適用情況，對(duì)于不適用情況的原因進(jìn)行詳細(xì)說(shuō)明。并且附上地區(qū)公司風(fēng)險(xiǎn)控制文檔。(四) 測(cè)試檢查 - 4.2.16第6頁(yè)，共63頁(yè)。(四) 測(cè)試檢查 - 4.2.1地區(qū)公司內(nèi)控管理部門工作要點(diǎn)： 內(nèi)控與

4、風(fēng)險(xiǎn)管理部收到地區(qū)公司的測(cè)試檢查申請(qǐng)后，組織安排現(xiàn)場(chǎng)或非現(xiàn)場(chǎng)的測(cè)試檢查?，F(xiàn)場(chǎng)測(cè)試檢查：指測(cè)試檢查小組根據(jù)測(cè)試計(jì)劃，在地區(qū)公司現(xiàn)場(chǎng)開(kāi)展ERP系統(tǒng)應(yīng)用控制文檔訪談，及開(kāi)展現(xiàn)場(chǎng)抽樣測(cè)試工作。非現(xiàn)場(chǎng)測(cè)試檢查：指測(cè)試檢查小組根據(jù)測(cè)試計(jì)劃，在股份公司總部（非地區(qū)公司現(xiàn)場(chǎng)）開(kāi)展ERP系統(tǒng)應(yīng)用控制測(cè)試，地區(qū)公司根據(jù)要求通過(guò)傳真或郵遞方式提交所測(cè)試內(nèi)容的證據(jù)。7第7頁(yè)，共63頁(yè)。測(cè)試檢查工作執(zhí)行程序如下：1）測(cè)試檢查小組編制測(cè)試計(jì)劃2）地區(qū)公司內(nèi)控管理部門根據(jù)測(cè)試計(jì)劃開(kāi)展準(zhǔn)備工作3）測(cè)試檢查（一）ERP系統(tǒng)總體控制測(cè)試、及ERP系統(tǒng)配置和權(quán)限測(cè)試4）測(cè)試檢查（二）ERP系統(tǒng)應(yīng)用控制測(cè)試5）與被測(cè)試單位溝通測(cè)試發(fā)

5、現(xiàn)及后續(xù)整改工作6）編制并提交被測(cè)單位的測(cè)試檢查報(bào)告(四) 測(cè)試檢查 - 4.2.18第8頁(yè)，共63頁(yè)。1）測(cè)試檢查小組編制測(cè)試計(jì)劃測(cè)試檢查小組應(yīng)在測(cè)試檢查工作前與地區(qū)公司進(jìn)行溝通，并依據(jù)2009內(nèi)控管理手冊(cè)-信息與溝通分冊(cè)第2.5節(jié)“ERP/人力資源系統(tǒng)總體控制（試行）” 和地區(qū)公司經(jīng)審閱的ERP系統(tǒng)控制規(guī)范形成ERP系統(tǒng)測(cè)試計(jì)劃。在制訂測(cè)試計(jì)劃時(shí)，需考慮以下因素： 審閱地區(qū)公司上報(bào)的ERP系統(tǒng)內(nèi)控自我測(cè)試報(bào)告、ERP系統(tǒng)風(fēng)險(xiǎn)控制文檔（RCD）、ERP系統(tǒng)配置清單、權(quán)限分配等文檔； 統(tǒng)籌考慮安排ERP系統(tǒng)總體控制和應(yīng)用控制兩個(gè)層面的測(cè)試檢查工作。具體請(qǐng)參見(jiàn)附件“XX單位ERP系統(tǒng)測(cè)試計(jì)劃-總

6、體信息控制安排”及“XX單位ERP系統(tǒng)測(cè)試計(jì)劃-應(yīng)用系統(tǒng)控制安排”(四) 測(cè)試檢查 - 4.2.19第9頁(yè)，共63頁(yè)。附件: “XX單位ERP系統(tǒng)測(cè)試計(jì)劃-總體信息控制安排”及“XX單位ERP系統(tǒng)測(cè)試計(jì)劃-應(yīng)用系統(tǒng)控制安排” 是用于編制ERP系統(tǒng)測(cè)試計(jì)劃的模板，分別用于編制ERP系統(tǒng)總體信息控制測(cè)試及應(yīng)用系統(tǒng)控制測(cè)試的測(cè)試計(jì)劃，主要包括如下內(nèi)容： 測(cè)試內(nèi)容：ERP系統(tǒng)總體控制（ITGC）測(cè)試，ERP系統(tǒng)應(yīng)用控制（AC）測(cè)試， ERP系統(tǒng)權(quán)限測(cè)試。 測(cè)試時(shí)間安排：說(shuō)明各項(xiàng)測(cè)試內(nèi)容對(duì)應(yīng)的測(cè)試地點(diǎn)、測(cè)試人員、以及測(cè)試時(shí)間。 所需文檔清單：提供被測(cè)試單位在測(cè)試檢查小組到場(chǎng)前需準(zhǔn)備的控制實(shí)施證據(jù)的清單。

7、(四) 測(cè)試檢查 - 4.2.110第10頁(yè)，共63頁(yè)。2）根據(jù)測(cè)試計(jì)劃開(kāi)展準(zhǔn)備工作 測(cè)試檢查小組：與地區(qū)公司內(nèi)控管理部門溝通測(cè)試要求及計(jì)劃；準(zhǔn)備測(cè)試模板、測(cè)試步驟及權(quán)限測(cè)試工具、獲取地區(qū)公司ERP系統(tǒng)控制規(guī)范（RCD）文檔等。 地區(qū)公司內(nèi)控管理部門：協(xié)調(diào)本單位各部門之間的測(cè)試安排；按照測(cè)試計(jì)劃中所提供的測(cè)試文檔清單進(jìn)行相關(guān)文檔的準(zhǔn)備。(四) 測(cè)試檢查 - 4.2.111第11頁(yè)，共63頁(yè)。3）測(cè)試檢查（一）ERP系統(tǒng)總體控制測(cè)試、及ERP系統(tǒng)配置和權(quán)限測(cè)試 被測(cè)試人員：ERP系統(tǒng)運(yùn)維組（北京歌華大廈）/地區(qū)公司控制執(zhí)行人 測(cè)試工作開(kāi)展： 根據(jù)ERP系統(tǒng)總體控制測(cè)試步驟進(jìn)行系統(tǒng)總體控制測(cè)試。

8、根據(jù)地區(qū)公司配置清單進(jìn)行配置控制測(cè)試。 利用ERP權(quán)限測(cè)試工具，根據(jù)地區(qū)公司職責(zé)分離矩陣、敏感事務(wù)代碼分配規(guī)則、總部后臺(tái)敏感事務(wù)代碼規(guī)則進(jìn)行權(quán)限測(cè)試。 （具體參見(jiàn)權(quán)限測(cè)試部分介紹）(四) 測(cè)試檢查 - 4.2.112第12頁(yè)，共63頁(yè)。(四) 測(cè)試檢查 - 4.2.1 根據(jù)ERP系統(tǒng)總體控制測(cè)試步驟進(jìn)行系統(tǒng)總體控制測(cè)試。我們對(duì)ERP系統(tǒng)總體控制測(cè)試內(nèi)容與步驟進(jìn)行了匯總，供測(cè)試檢查小組在ERP系統(tǒng)總體控制測(cè)試時(shí)參考。具體請(qǐng)參見(jiàn)附件“ERP系統(tǒng)總體控制測(cè)試內(nèi)容與步驟匯總” 13第13頁(yè)，共63頁(yè)。(四) 測(cè)試檢查 - 4.2.1附件：ERP系統(tǒng)總體控制測(cè)試內(nèi)容與步驟匯總該附件中主要包括如下信息：A

9、. 控制措施基本信息，包括：控制編號(hào)、控制描述、控制方法、控制頻率B. 測(cè)試步驟、測(cè)試方法：測(cè)試檢查小組可參考該測(cè)試步驟及測(cè)試方法進(jìn)行測(cè)試。C. 測(cè)試地點(diǎn)： ERP系統(tǒng)總體控制測(cè)試分為總部層面及地區(qū)公司層面，測(cè)試檢查小組需根據(jù)“測(cè)試地點(diǎn)” 進(jìn)行相應(yīng)層面的測(cè)試。D. 控制實(shí)施證據(jù)：測(cè)試檢查小組可參考此列內(nèi)容獲取相應(yīng)的控制實(shí)施證據(jù)；被測(cè)試單位也可參考此列內(nèi)容進(jìn)行相關(guān)控制實(shí)施證據(jù)的準(zhǔn)備工作。 14第14頁(yè)，共63頁(yè)。(四) 測(cè)試檢查 - 4.2.1ERP系統(tǒng)總體控制測(cè)試過(guò)程舉例說(shuō)明：系統(tǒng)變更管理（PC）- 控制點(diǎn)GIT-ERP-17.1：控制措施測(cè)試步驟說(shuō)明用戶申請(qǐng)變更時(shí)應(yīng)提交變更申請(qǐng)，由業(yè)務(wù)部門以

10、及總部ERP運(yùn)維組主管進(jìn)行審批后實(shí)施。1）訪談總部ERP運(yùn)維主管和業(yè)務(wù)部門負(fù)責(zé)人，了解變更活動(dòng)的管理情況，以及變更過(guò)程中涉及到的人員。2）訪談變更活動(dòng)中涉及的相關(guān)人員，了解其工作方法和工作流程。3）確定樣本總體：在生產(chǎn)環(huán)境中執(zhí)行事務(wù)代碼STMS，進(jìn)入傳輸隊(duì)列，單擊Import Overview按鈕，然后選擇生產(chǎn)環(huán)境傳輸隊(duì)列（例：EP1），單擊“Import History按鈕，進(jìn)入傳輸歷史記錄界面，然后選擇”Date“列，單擊”Filters“，篩選條件設(shè)置為審計(jì)期間，查詢出生產(chǎn)系統(tǒng)導(dǎo)入的傳輸請(qǐng)求，將測(cè)試范圍內(nèi)公司的傳輸請(qǐng)求作為全年變更活動(dòng)的發(fā)生總數(shù)，作為樣本總體。訪談對(duì)象：運(yùn)維主管訪談內(nèi)容：

11、變更活動(dòng)的申請(qǐng)、審批情況操作人員：總部ERP系統(tǒng)管理員操作過(guò)程：在生產(chǎn)環(huán)境執(zhí)行STMS單擊Import Overview選擇生產(chǎn)環(huán)境傳輸隊(duì)列在傳輸請(qǐng)求隊(duì)列界面中點(diǎn)import history,查看導(dǎo)入記錄選擇”Date“列，單擊”Filters“,篩選條件設(shè)置為審計(jì)期間查詢出生產(chǎn)系統(tǒng)導(dǎo)入的傳輸請(qǐng)求，將測(cè)試范圍內(nèi)公司的傳輸請(qǐng)求作為樣本總體15第15頁(yè)，共63頁(yè)。(四) 測(cè)試檢查 - 4.2.1系統(tǒng)變更管理（PC）- 控制點(diǎn)GIT-ERP-17.1（續(xù)）：控制措施測(cè)試步驟說(shuō)明用戶申請(qǐng)變更時(shí)應(yīng)提交變更申請(qǐng)，由業(yè)務(wù)部門以及總部ERP運(yùn)維組主管進(jìn)行審批后實(shí)施。4）確定樣本數(shù)量：根據(jù)抽樣原則隨機(jī)抽取xx個(gè)

12、傳輸請(qǐng)求樣本，由于在ERP系統(tǒng)中進(jìn)行變更傳輸時(shí)，有可能將多個(gè)變更申請(qǐng)合并進(jìn)行一次傳輸，所以，需要獲得選中的傳輸請(qǐng)求對(duì)應(yīng)的所有ERP系統(tǒng)變更申請(qǐng)表、ERP系統(tǒng)變更實(shí)施表、ERP系統(tǒng)變更傳輸請(qǐng)求表等表單記錄。5）檢查樣本ERP系統(tǒng)變更申請(qǐng)表內(nèi)容的填寫是否符合要求，是否填寫變更原因及內(nèi)容，受理人是否區(qū)別于申請(qǐng)人，是否經(jīng)過(guò)業(yè)務(wù)部門與總部ERP運(yùn)維組主管的審批。重點(diǎn)檢查內(nèi)容：對(duì)于系統(tǒng)變更，是否在ERP系統(tǒng)變更申請(qǐng)表中填寫變更原因及內(nèi)容，受理人是否區(qū)別于申請(qǐng)人，是否經(jīng)過(guò)業(yè)務(wù)部門與總部ERP運(yùn)維組主管的審批。16第16頁(yè)，共63頁(yè)。在生產(chǎn)環(huán)境執(zhí)行STMS檢查方法：(四) 測(cè)試檢查 - 4.2.117第17頁(yè)

13、，共63頁(yè)。單擊 Import Overview檢查方法（續(xù)）：(四) 測(cè)試檢查 - 4.2.118第18頁(yè)，共63頁(yè)。選擇生產(chǎn)環(huán)境傳輸隊(duì)列點(diǎn)擊 import history檢查方法（續(xù)）：(四) 測(cè)試檢查 - 4.2.119第19頁(yè)，共63頁(yè)。選擇”Date“列，單擊”Filters“,篩選條件設(shè)置為審計(jì)期間檢查方法（續(xù)）：(四) 測(cè)試檢查 - 4.2.120第20頁(yè)，共63頁(yè)。將測(cè)試范圍內(nèi)公司的傳輸請(qǐng)求作為樣本總體檢查方法（續(xù)）：(四) 測(cè)試檢查 - 4.2.121第21頁(yè)，共63頁(yè)?？刂茖?shí)施證據(jù)：(四) 測(cè)試檢查 - 4.2.122第22頁(yè)，共63頁(yè)。(四) 測(cè)試檢查 - 4.2.1根據(jù)

14、地區(qū)公司配置清單進(jìn)行配置控制測(cè)試。 各地區(qū)公司根據(jù)本單位實(shí)際業(yè)務(wù)情況對(duì)2009內(nèi)部控制管理手冊(cè)-信息與溝通中的附件23“ERP/人力資源系統(tǒng)配置清單”進(jìn)行更新，測(cè)試檢查小組需要根據(jù)地區(qū)公司更新后的配置清單進(jìn)行配置控制測(cè)試。23第23頁(yè)，共63頁(yè)?？刂拼胧┑貐^(qū)公司更新后的ERP配置清單在ERP系統(tǒng)中對(duì)采購(gòu)訂單設(shè)置正確的審批策略，確保其符合各地區(qū)公司的相關(guān)政策。1）通過(guò)路徑SPRO物料管理采購(gòu)采購(gòu)訂單采購(gòu)訂單的下達(dá)過(guò)程定義采購(gòu)訂單的審批過(guò)程進(jìn)入“批準(zhǔn)策略”，對(duì)采購(gòu)訂單的審批標(biāo)識(shí)進(jìn)行適當(dāng)配置。組“C5”化工銷售采購(gòu)訂單審批策略的兩種審批標(biāo)識(shí)設(shè)置為：- X未審批 E西北化工銷售業(yè)務(wù)科長(zhǎng)已審批2）通過(guò)路

15、徑SPRO物料管理采購(gòu)采購(gòu)訂單采購(gòu)訂單的下達(dá)過(guò)程定義采購(gòu)訂單的審批過(guò)程進(jìn)入“批準(zhǔn)策略”，對(duì)采購(gòu)訂單的審批策略進(jìn)行適當(dāng)配置。組“C5”化工銷售采購(gòu)訂單審批策略設(shè)置如下：-將采購(gòu)組織6500至6501分配到該審批策略；-將所有采購(gòu)組分配到該審批策略；-將該“化工銷售擴(kuò)銷采購(gòu)訂單”分配給該審批策略；-自定義檢查設(shè)置為“通過(guò)”3）路徑SPRO物料管理采購(gòu)采購(gòu)訂單采購(gòu)訂單的下達(dá)過(guò)程定義采購(gòu)訂單的審批過(guò)程進(jìn)入“發(fā)布標(biāo)識(shí)”，將訂單審批策略的釋放標(biāo)識(shí)的可變性字段設(shè)置為1（不可修改）。組“C5”化工銷售采購(gòu)訂單審批策略的釋放標(biāo)識(shí)“E”的可變性字段設(shè)置為1(不可修改)。配置控制測(cè)試過(guò)程舉例說(shuō)明：MP04.01.0

16、2采購(gòu)方式-KA1(四) 測(cè)試檢查 - 4.2.124第24頁(yè)，共63頁(yè)。根據(jù)配置清單路徑，選擇“定義采購(gòu)訂單的審批過(guò)程”(四) 測(cè)試檢查 - 4.2.1檢查方法：25第25頁(yè)，共63頁(yè)。(四) 測(cè)試檢查 - 4.2.1檢查方法（續(xù)）：1）進(jìn)入“批準(zhǔn)策略”，查看采購(gòu)訂單的審批標(biāo)識(shí)是否進(jìn)行了適當(dāng)配置。26第26頁(yè)，共63頁(yè)。(四) 測(cè)試檢查 - 4.2.1檢查方法（續(xù)）：2）進(jìn)入“批準(zhǔn)策略”，查看采購(gòu)訂單的審批策略是否進(jìn)行了適當(dāng)配置。27第27頁(yè)，共63頁(yè)。(四) 測(cè)試檢查 - 4.2.1檢查方法（續(xù)）：3）進(jìn)入“發(fā)布標(biāo)識(shí)”，查看是否將訂單審批策略的釋放標(biāo)識(shí)”E”的可變性字段設(shè)置為1（不可修改）

17、。28第28頁(yè)，共63頁(yè)。4）測(cè)試檢查（二）ERP系統(tǒng)應(yīng)用控制測(cè)試 被測(cè)試人員：ERP系統(tǒng)應(yīng)用控制執(zhí)行部門（如，銷售部門、財(cái)務(wù)部門、采購(gòu)部門、倉(cāng)儲(chǔ)部門等） 測(cè)試工作開(kāi)展： 根據(jù)2009內(nèi)部控制管理手冊(cè)-監(jiān)督分冊(cè)附錄2.3B“股份公司關(guān)鍵控制抽樣測(cè)試內(nèi)容與步驟”對(duì)ERP系統(tǒng)應(yīng)用控制進(jìn)行測(cè)試，包括： 手工控制測(cè)試 自動(dòng)控制測(cè)試(四) 測(cè)試檢查 - 4.2.129第29頁(yè)，共63頁(yè)。控制措施測(cè)試步驟說(shuō)明獨(dú)立于入庫(kù)信息錄入的人員根據(jù)入庫(kù)單對(duì)SAP中收貨信息進(jìn)行手工復(fù)核以保證其準(zhǔn)確性，并在打印出的收貨記錄清單上進(jìn)行簽字確認(rèn)。1、詢問(wèn)相關(guān)人員有關(guān)獨(dú)立于入庫(kù)信息錄入的人員根據(jù)入庫(kù)單對(duì)SAP中收貨信息進(jìn)行手工

18、復(fù)核的過(guò)程；2、確定樣本量，將測(cè)試期間內(nèi)所有收貨記錄作為樣本總體；3、按照隨機(jī)發(fā)生頻率抽樣原則，抽取所需的收貨記錄清單樣本，檢查是否存在復(fù)核人的簽字確認(rèn)；4、根據(jù)收貨記錄清單樣本，檢查系統(tǒng)中相應(yīng)的物料憑證入庫(kù)信息是否與該收貨記錄清單一致。1.訪談對(duì)象：入庫(kù)信息復(fù)核人員訪談內(nèi)容：了解對(duì)SAP中收貨信息進(jìn)行手工復(fù)核的過(guò)程。2.操作過(guò)程：1）輸入T-code MB51；2）選擇移動(dòng)類型“101收貨”及“工廠/庫(kù)存地”，點(diǎn)擊“執(zhí)行”按鈕；3）查看對(duì)應(yīng)的物料憑證的入庫(kù)數(shù)量,物料類型等。重點(diǎn)檢查內(nèi)容：1） 是否存在收貨記錄清單以及復(fù)核人的簽字確認(rèn)；2）系統(tǒng)中相應(yīng)的物料憑證入庫(kù)信息是否與該收貨記錄清單一致。

19、 手工控制測(cè)試MP05.01.01材料物資入庫(kù)-控制點(diǎn)KA4(四) 測(cè)試檢查 - 4.2.130第30頁(yè)，共63頁(yè)。1檢查方法：(四) 測(cè)試檢查 - 4.2.131第31頁(yè)，共63頁(yè)。2檢查方法（續(xù)）：(四) 測(cè)試檢查 - 4.2.132第32頁(yè)，共63頁(yè)。3檢查方法（續(xù)）：(四) 測(cè)試檢查 - 4.2.133第33頁(yè)，共63頁(yè)。 自動(dòng)控制測(cè)試過(guò)程舉例說(shuō)明:(四) 測(cè)試檢查 - 4.2.1控制措施測(cè)試步驟說(shuō)明對(duì)SAP中設(shè)置了系統(tǒng)內(nèi)訂單審批功能的銷售訂單，由相關(guān)部門人員依據(jù)業(yè)務(wù)情況或經(jīng)財(cái)務(wù)確認(rèn)的客戶到款通知單在系統(tǒng)中對(duì)銷售訂單進(jìn)行審批，只有在SAP系統(tǒng)中執(zhí)行銷售訂單審批之后才能執(zhí)行發(fā)貨操作。1、

20、通過(guò)詢問(wèn)訂單審批人員了解SAP系統(tǒng)內(nèi)訂單的審批過(guò)程。2、在SAP系統(tǒng)內(nèi)隨機(jī)選取一筆未審批的訂單輸入事務(wù)代碼VA03，選擇訂單銷售憑證類型：在系統(tǒng)內(nèi)設(shè)置了訂單審批功能的訂單類型。抽取一筆未進(jìn)行審批的訂單。3、查看處于審批之前是否可以進(jìn)行后續(xù)操作；執(zhí)行訂單的審批功能后，查看是否可以進(jìn)行后續(xù)操作。輸入事務(wù)代碼VL01N，選擇合適裝運(yùn)點(diǎn)，嘗試對(duì)未經(jīng)審批的訂單生成交貨單，是否能生成。輸入事務(wù)代碼VA02，選擇合適裝運(yùn)點(diǎn)，對(duì)訂單執(zhí)行審批后，再使用事務(wù)代碼VL01N，嘗試對(duì)審批的訂單生成交貨單，是否能生成。訪談對(duì)象：訂單審批人員訪談內(nèi)容：了解在系統(tǒng)內(nèi)進(jìn)行審批的訂單類型，系統(tǒng)是否允許對(duì)未經(jīng)審批的訂單執(zhí)行發(fā)貨。

21、操作對(duì)象：訂單審批人員操作內(nèi)容：1、使用事務(wù)碼VA03，選擇設(shè)置了系統(tǒng)內(nèi)審批的銷售憑證類型，抽取一筆未經(jīng)過(guò)審批的訂單。2、使用VL01N,輸入訂單號(hào)以及合適裝運(yùn)點(diǎn)，生成交貨單，察看系統(tǒng)反應(yīng)。3、使用VA02審批抽取的樣本訂單，在使用VL01N生成交貨單，察看系統(tǒng)反應(yīng)。重點(diǎn)檢查內(nèi)容：1、查看未執(zhí)行訂單審批前，對(duì)訂單執(zhí)行生成交貨單的操作，系統(tǒng)是否提示錯(cuò)誤信息。2、查看執(zhí)行完訂單審批后，對(duì)訂單執(zhí)行生成交貨單的操作，系統(tǒng)是否操作成功。KP11.01.04銷售實(shí)施-KA134第34頁(yè)，共63頁(yè)。選擇銷售范圍和設(shè)置了系統(tǒng)內(nèi)審批的銷售憑證類型檢查方法：(四) 測(cè)試檢查 - 4.2.135第35頁(yè)，共63頁(yè)。

22、輸入合適的裝運(yùn)地點(diǎn)，以及抽取的未經(jīng)過(guò)審批的訂單號(hào)，回車，察看系統(tǒng)提示信息，不允許對(duì)未經(jīng)過(guò)審批的訂單生成發(fā)貨單檢查方法（續(xù)）：(四) 測(cè)試檢查 - 4.2.136第36頁(yè)，共63頁(yè)。使用VA02,輸入抽取的未經(jīng)過(guò)審批的訂單號(hào)，對(duì)此訂單進(jìn)行審批。檢查方法（續(xù)）：(四) 測(cè)試檢查 - 4.2.137第37頁(yè)，共63頁(yè)。審批通過(guò)后，再使用VL01N,輸入合適的裝運(yùn)地點(diǎn)，以及抽取的剛審批通過(guò)的訂單號(hào)，回車，系統(tǒng)允許對(duì)經(jīng)過(guò)審批的訂單生成發(fā)貨單檢查方法（續(xù)）：(四) 測(cè)試檢查 - 4.2.138第38頁(yè)，共63頁(yè)。5）與被測(cè)試單位溝通測(cè)試發(fā)現(xiàn)及后續(xù)整改工作 測(cè)試發(fā)現(xiàn)的類型包括： 控制不適用：控制措施在被測(cè)試

23、單位不適用。 無(wú)樣本發(fā)生：控制措施在測(cè)試期間內(nèi)無(wú)樣本發(fā)生。 控制執(zhí)行有例外：控制執(zhí)行有例外細(xì)分為“未按照規(guī)范要求執(zhí)行”、“未執(zhí)行控制措施”和“未執(zhí)行配置控制”。 “未按照規(guī)范要求執(zhí)行”指已執(zhí)行控制措施，但控制執(zhí)行不規(guī)范，例如實(shí)施證據(jù)填寫不完整、不準(zhǔn)確；控制實(shí)際執(zhí)行頻率與控制規(guī)范不符等情況； “未執(zhí)行控制措施”指未執(zhí)行控制規(guī)范中的手工控制或未在系統(tǒng)中實(shí)現(xiàn)自動(dòng)控制；“未執(zhí)行配置控制”指未執(zhí)行控制規(guī)范中的配置控制。控制執(zhí)行無(wú)例外：按照控制規(guī)范有效執(zhí)行控制措施。(四) 測(cè)試檢查 - 4.2.139第39頁(yè)，共63頁(yè)。與被測(cè)試單位關(guān)于測(cè)試發(fā)現(xiàn)的溝通：A. 在總部層面（ERP項(xiàng)目總體維護(hù)組）的總體信息控制

24、測(cè)試、配置控制測(cè)試發(fā)現(xiàn)的問(wèn)題需要與被測(cè)試單位人員進(jìn)行溝通。B. 在總部層面（ERP項(xiàng)目總體維護(hù)組）權(quán)限測(cè)試發(fā)現(xiàn)的問(wèn)題需要與被測(cè)試單位業(yè)務(wù)部門的權(quán)限擁有者及內(nèi)控部門進(jìn)行溝通。C. 在地區(qū)公司層面信息總體控制測(cè)試、應(yīng)用控制測(cè)試發(fā)現(xiàn)的問(wèn)題需要與被測(cè)試單位內(nèi)控部門及相關(guān)控制執(zhí)行人進(jìn)行溝通。D. 上述溝通工作完成后，根據(jù)相關(guān)人員解釋的合理性，判斷是否作為例外事項(xiàng)提出。對(duì)于確定的例外事項(xiàng)需要向被測(cè)試單位提出相應(yīng)整改建議。(四) 測(cè)試檢查 - 4.2.140第40頁(yè)，共63頁(yè)。6）編制并提交被測(cè)試單位的測(cè)試檢查報(bào)告 在測(cè)試工作結(jié)束后，測(cè)試檢查小組需將測(cè)試結(jié)果與溝通內(nèi)容整理匯總形成測(cè)試檢查報(bào)告及整改意見(jiàn)，并提

25、交被測(cè)試單位。具體請(qǐng)參見(jiàn)附件“XX單位ERP系統(tǒng)內(nèi)控測(cè)試檢查報(bào)告及整改意見(jiàn)”(四) 測(cè)試檢查 - 4.2.141第41頁(yè)，共63頁(yè)。附件：XX單位ERP系統(tǒng)內(nèi)控測(cè)試檢查報(bào)告及整改意見(jiàn)該附件是用于編制ERP系統(tǒng)內(nèi)控測(cè)試報(bào)告及整改意見(jiàn)的模板，主要包括如下內(nèi)容：A. 工作背景：描述被測(cè)試單位ERP系統(tǒng)控制規(guī)范執(zhí)行開(kāi)始時(shí)間、ERP系統(tǒng)單軌/雙軌運(yùn)行時(shí)間、上線模塊、測(cè)試時(shí)間等信息。B. 工作方式及范圍：說(shuō)明測(cè)試依據(jù)、抽樣原則、具體測(cè)試范圍（信息系統(tǒng)總體控制測(cè)試領(lǐng)域、應(yīng)用控制測(cè)試所涉及的ERP模塊及相關(guān)業(yè)務(wù)流程名稱、權(quán)限測(cè)試范圍等）C. 工作成果綜述：從總體信息控制測(cè)試、應(yīng)用控制測(cè)試、權(quán)限測(cè)試層面分別按照

26、測(cè)試發(fā)現(xiàn)結(jié)果分類（控制不適用、無(wú)樣本發(fā)生、控制執(zhí)行有例外、控制執(zhí)行無(wú)例外）進(jìn)行概述及統(tǒng)計(jì)。D. 提請(qǐng)管理層關(guān)注事項(xiàng)：針對(duì)測(cè)試結(jié)果說(shuō)明管理層需要關(guān)注的事項(xiàng)并提出相關(guān)建議。(四) 測(cè)試檢查 - 4.2.142第42頁(yè)，共63頁(yè)。測(cè)試檢查經(jīng)驗(yàn)分享 問(wèn)題分析：從地區(qū)公司ERP系統(tǒng)上線以來(lái)，我們已經(jīng)陸續(xù)完成十幾家地區(qū)公司的測(cè)試檢查工作，下面將從以下三方面對(duì)測(cè)試檢查工作中所發(fā)現(xiàn)的問(wèn)題進(jìn)行分析：1）ERP系統(tǒng)總體控制層面2）ERP系統(tǒng)應(yīng)用控制層面3）ERP系統(tǒng)權(quán)限控制層面（具體請(qǐng)參見(jiàn)權(quán)限測(cè)試部分介紹）(四) 測(cè)試檢查 - 4.2.143第43頁(yè)，共63頁(yè)。(四) 測(cè)試檢查 - 4.2.11）ERP系統(tǒng)總體控

27、制層面 舉例說(shuō)明：GIT-ERP-7.2 控制描述：地區(qū)分公司SAP系統(tǒng)信息安全管理負(fù)責(zé)人每季度檢查用戶的賬號(hào)和權(quán)限分配是否符合崗位職責(zé)，是否符合中國(guó)石油SAP系統(tǒng)職責(zé)分離矩陣，檢查是否存在未鎖定的不活動(dòng)帳號(hào)（即超過(guò)90天未登錄的帳號(hào)）并進(jìn)行調(diào)查分析，對(duì)不需要的帳號(hào)和權(quán)限進(jìn)行清理。 發(fā)現(xiàn)問(wèn)題：A. 沒(méi)有執(zhí)行每季度應(yīng)用系統(tǒng)用戶權(quán)限檢查工作；B. 未按照季度檢查結(jié)果填寫ERP應(yīng)用系統(tǒng)用戶權(quán)限檢查表；C. 尚未建立地區(qū)公司層面的中國(guó)石油SAP系統(tǒng)職責(zé)分離矩陣等權(quán)限分配標(biāo)準(zhǔn)，因此信息安全管理負(fù)責(zé)人沒(méi)有對(duì)ERP系統(tǒng)用戶帳號(hào)及權(quán)限分配進(jìn)行每季度檢查；D. 存在多余敏感權(quán)限，沒(méi)有在SAP應(yīng)用系統(tǒng)權(quán)限檢查表中

28、進(jìn)行記錄；E. 系統(tǒng)管理員同時(shí)擁有所有業(yè)務(wù)權(quán)限權(quán)，違背了職責(zé)分離的原則，沒(méi)有在SAP應(yīng)用系統(tǒng)權(quán)限檢查表中進(jìn)行記錄。44第44頁(yè)，共63頁(yè)。(四) 測(cè)試檢查 - 4.2.1我們針對(duì)更多在ERP系統(tǒng)總體控制測(cè)試中發(fā)現(xiàn)的常見(jiàn)問(wèn)題進(jìn)行了匯總，供測(cè)試檢查小組在進(jìn)行ERP系統(tǒng)總體控制測(cè)試時(shí)參考，同時(shí)提請(qǐng)地區(qū)公司在控制執(zhí)行過(guò)程中注意避免出現(xiàn)類似問(wèn)題。具體請(qǐng)參見(jiàn)附件“ERP系統(tǒng)總體控制測(cè)試發(fā)現(xiàn)問(wèn)題匯總”45第45頁(yè)，共63頁(yè)。(四) 測(cè)試檢查 - 4.2.12）ERP系統(tǒng)應(yīng)用控制層面 舉例說(shuō)明：- MP04.01.05/MP04.02.06 結(jié)算付款KA4 控制描述：相關(guān)人員檢查SAP中的GR/IR余額清單,

29、分別對(duì)“貨到票未到”、“票到貨未到”的情況進(jìn)行確認(rèn)并對(duì)超過(guò)一個(gè)月的差異情況及時(shí)處理，在打印出的GR/IR余額清單中注明處理結(jié)果并簽字確認(rèn)。發(fā)現(xiàn)問(wèn)題：未定期對(duì)系統(tǒng)中的GR/IR余額清單進(jìn)行檢查;未保留控制實(shí)施證據(jù)；未在打印出的GR/IR余額清單上簽字確認(rèn)。 46第46頁(yè)，共63頁(yè)。(四) 測(cè)試檢查 - 4.2.1我們針對(duì)更多在ERP系統(tǒng)應(yīng)用控制測(cè)試中發(fā)現(xiàn)的常見(jiàn)問(wèn)題進(jìn)行了匯總，供測(cè)試檢查小組在進(jìn)行ERP系統(tǒng)應(yīng)用控制測(cè)試時(shí)參考，同時(shí)提請(qǐng)地區(qū)公司在控制執(zhí)行過(guò)程中注意避免出現(xiàn)類似問(wèn)題。具體請(qǐng)參見(jiàn)附件“ERP系統(tǒng)應(yīng)用控制測(cè)試發(fā)現(xiàn)問(wèn)題匯總”47第47頁(yè)，共63頁(yè)。測(cè)試檢查經(jīng)驗(yàn)分享 問(wèn)題分析：從地區(qū)公司ERP

30、系統(tǒng)上線以來(lái)，我們已經(jīng)陸續(xù)完成十幾家地區(qū)公司的測(cè)試檢查工作，下面將從以下三方面對(duì)測(cè)試檢查工作中所發(fā)現(xiàn)的問(wèn)題進(jìn)行分析：1）ERP系統(tǒng)總體控制層面2）ERP系統(tǒng)應(yīng)用控制層面3）ERP系統(tǒng)權(quán)限控制層面（具體請(qǐng)參見(jiàn)權(quán)限測(cè)試部分介紹）(四) 測(cè)試檢查 - 4.2.148第48頁(yè)，共63頁(yè)。(四) 測(cè)試檢查 - 4.2.1 問(wèn)題分析：從地區(qū)公司ERP系統(tǒng)上線以來(lái)，我們已經(jīng)陸續(xù)完成十幾家地區(qū)公司的測(cè)試檢查工作，下面將從以下三方面對(duì)測(cè)試檢查工作中所發(fā)現(xiàn)的問(wèn)題進(jìn)行分析：主要包括如下三方面關(guān)注事項(xiàng)及建議：1）對(duì)于總體信息系統(tǒng)控制和應(yīng)用控制存在例外事項(xiàng)的控制點(diǎn)2）ERP項(xiàng)目實(shí)施過(guò)程中的關(guān)注事項(xiàng)3）用戶權(quán)限分配注意事

31、項(xiàng)（具體參見(jiàn)權(quán)限部分的介紹）49第49頁(yè)，共63頁(yè)。1）對(duì)于總體信息系統(tǒng)控制和應(yīng)用控制存在例外事項(xiàng)的控制點(diǎn)在對(duì)ERP-HR及ERP系統(tǒng)已上線地區(qū)公司的測(cè)試檢查過(guò)程中，存在部分控制未完全執(zhí)行和未執(zhí)行任何控制的例外事項(xiàng)，因此建議管理層特別關(guān)注：對(duì)于未按照配置清單進(jìn)行配置的內(nèi)容：需要協(xié)調(diào)ERP項(xiàng)目組盡快執(zhí)行對(duì)于出現(xiàn)例外事項(xiàng)的控制點(diǎn)，建議管理層關(guān)注這些控制點(diǎn)并進(jìn)行有效整改，確保嚴(yán)格按照ERP系統(tǒng)控制規(guī)范和應(yīng)用系統(tǒng)控制規(guī)范執(zhí)行。如有必要，地區(qū)公司內(nèi)控部應(yīng)在各部門確認(rèn)整改完畢后，對(duì)其整改情況組織評(píng)測(cè)，以確?？刂茍?zhí)行的有效性。(四) 測(cè)試檢查 - 4.2.150第50頁(yè)，共63頁(yè)。部分例外是因控制執(zhí)行不規(guī)范

32、造成的，其中重要原因之一是在日常工作中未能正規(guī)嚴(yán)格的執(zhí)行該控制，僅部分執(zhí)行了控制要求，且未對(duì)執(zhí)行實(shí)施證據(jù)表單建立記錄并簽字。對(duì)于這類事項(xiàng)，內(nèi)控部應(yīng)協(xié)調(diào)各業(yè)務(wù)部門，盡快落實(shí)控制實(shí)施證據(jù)及表單，并組織內(nèi)部控制自測(cè)的方式進(jìn)行督促和檢查，確保控制規(guī)范執(zhí)行。對(duì)于在系統(tǒng)上線前確定單軌上線方案，明確原有業(yè)務(wù)系統(tǒng)、財(cái)務(wù)系統(tǒng)與ERP系統(tǒng)的替代關(guān)系或并行處理方式。進(jìn)一步明確控制規(guī)范中部分控制點(diǎn)的執(zhí)行人員，目前部分地區(qū)公司尚未明確專門人員復(fù)核供應(yīng)商主數(shù)據(jù)變更、負(fù)責(zé)復(fù)核取消發(fā)票校驗(yàn)、負(fù)責(zé)復(fù)核收貨入庫(kù)信息、負(fù)責(zé)審批取消物料憑證以及負(fù)責(zé)復(fù)核取消物料憑證等，內(nèi)控部門仍應(yīng)組織業(yè)務(wù)部門做進(jìn)一步的明確。(四) 測(cè)試檢查 - 4.

33、2.151第51頁(yè)，共63頁(yè)。2） ERP項(xiàng)目實(shí)施過(guò)程中的關(guān)注事項(xiàng)對(duì)于正在實(shí)施ERP系統(tǒng)尚未進(jìn)入雙軌階段的地區(qū)公司，在ERP項(xiàng)目實(shí)施過(guò)程中應(yīng)注意以下事項(xiàng)：對(duì)于確保集成測(cè)試、用戶接受測(cè)試中的測(cè)試對(duì)象范圍及參與測(cè)試的用戶范圍的充分性。建議在系統(tǒng)集成測(cè)試及用戶接受測(cè)試中包含系統(tǒng)接口及電子表格的測(cè)試內(nèi)容，確保系統(tǒng)上線后可以滿足業(yè)務(wù)正常運(yùn)行。對(duì)于用戶接受測(cè)試，建議盡快編制用戶接受測(cè)試計(jì)劃，除對(duì)所有可能發(fā)生的業(yè)務(wù)操作及場(chǎng)景進(jìn)行測(cè)試外，還需要關(guān)注參與測(cè)試的用戶范圍是否全面，并由用戶對(duì)測(cè)試結(jié)果進(jìn)行簽字確認(rèn)，從而確保系統(tǒng)上線后能夠充分滿足用戶業(yè)務(wù)需求。(四) 測(cè)試檢查 - 4.2.152第52頁(yè)，共63頁(yè)。ER

34、P上線應(yīng)與內(nèi)控體系建設(shè)同步。建議公司內(nèi)控部門在系統(tǒng)上線前完成相關(guān)內(nèi)控體系建設(shè)，包括但不限于：業(yè)務(wù)流程及跟單、藍(lán)圖與業(yè)務(wù)流程整合掛接、編寫風(fēng)險(xiǎn)控制文檔、建立ERP系統(tǒng)實(shí)施細(xì)則等等，確保系統(tǒng)上線后即存在相關(guān)的控制規(guī)范作為依據(jù)來(lái)執(zhí)行，從而提高數(shù)據(jù)的準(zhǔn)確性及完整性，降低風(fēng)險(xiǎn)發(fā)生的可能性。(四) 測(cè)試檢查 - 4.2.153第53頁(yè)，共63頁(yè)。4.2.1 對(duì)地區(qū)公司開(kāi)展現(xiàn)場(chǎng)或非現(xiàn)場(chǎng)測(cè)試檢查4.2.2 地區(qū)公司根據(jù)測(cè)試檢查報(bào)告開(kāi)展整改4.2.3 對(duì)地區(qū)公司的整改結(jié)果進(jìn)行復(fù)查54(四) 測(cè)試檢查4.2.254第54頁(yè)，共63頁(yè)。地區(qū)公司內(nèi)控管理部門工作要點(diǎn)： 地區(qū)公司內(nèi)控管理部門根據(jù)測(cè)試檢查報(bào)告及整改意見(jiàn)，組織相關(guān)業(yè)務(wù)管理部門和ERP項(xiàng)目組整改 。地區(qū)公司內(nèi)控管理部門編制整改報(bào)告，確保發(fā)現(xiàn)的問(wèn)題都納入了整改范圍；明確整改的期間、所需的樣本數(shù)量；落實(shí)整改的責(zé)任部門。 檢查小組測(cè)試需督促與跟進(jìn)地區(qū)公司的整改工作，就整改過(guò)程中發(fā)現(xiàn)的問(wèn)題給予詳細(xì)指導(dǎo)。 整改完成后，地區(qū)公司內(nèi)控管理部門通過(guò)OA及時(shí)將整改報(bào)告及整改證據(jù)上報(bào)內(nèi)控與風(fēng)險(xiǎn)管理部審閱。具體請(qǐng)參見(jiàn)附件“XX單位ERP系統(tǒng)內(nèi)控測(cè)試整改報(bào)告”(四) 測(cè)試檢查 - 4.2.255第55頁(yè)，共63頁(yè)。(四) 測(cè)試檢查 - 4.2.2附件：XX單位ERP系統(tǒng)內(nèi)控測(cè)試整改報(bào)告該附件是