財(cái)務(wù)管理、財(cái)務(wù)報(bào)表it一般性控制矩陣和底稿v

1、財(cái)務(wù)管理和財(cái)務(wù)報(bào)告系統(tǒng)的信息技術(shù)總控制矩陣和工作文件。財(cái)務(wù)管理和財(cái)務(wù)報(bào)告系統(tǒng)的信息技術(shù)總控制矩陣和工作底稿，SOX法案對(duì)信息技術(shù)總控制的要求，財(cái)務(wù)管理和財(cái)務(wù)報(bào)告系統(tǒng)信息技術(shù)總控制控制點(diǎn)的測(cè)試結(jié)果和測(cè)試結(jié)論的報(bào)告要求，孫鋰華64998127，信息部項(xiàng)目部，李俊649993503。薩班斯法案對(duì)信息技術(shù)總體控制的要求，為什么我們要檢查和評(píng)估“信息技術(shù)總體控制”的有效性？2002年7月30日，美國(guó)總統(tǒng)布什簽署了薩班斯-奧克斯利法案，對(duì)在美國(guó)上市的企業(yè)提出了一系列要求。2006年4月30日，信息技術(shù)治理協(xié)會(huì)ITGI發(fā)布了信息技術(shù)控制目標(biāo)SOX 2版，對(duì)上市公司信息技術(shù)控制提出了

2、要求。為了確保財(cái)務(wù)報(bào)告的完整性和準(zhǔn)確性，薩班斯法案要求對(duì)與財(cái)務(wù)報(bào)告相關(guān)的信息系統(tǒng)進(jìn)行檢查，并評(píng)估“信息技術(shù)總體控制”的有效性。4，SOX法案對(duì)IT的一般控制要求，如何定義與財(cái)務(wù)報(bào)告系統(tǒng)相關(guān)的主要原則定義：與財(cái)務(wù)報(bào)告相關(guān)，間接或直接為財(cái)務(wù)報(bào)告的生成提供相關(guān)信息。畢馬威要求管理層首先做出判斷。一般來(lái)說(shuō)，管理層納入審計(jì)范圍的體系應(yīng)大于畢馬威的外部審計(jì)范圍。企業(yè)資源規(guī)劃系統(tǒng)、財(cái)務(wù)管理系統(tǒng)和財(cái)務(wù)報(bào)告系統(tǒng)都與財(cái)務(wù)報(bào)告息息相關(guān)。根據(jù)畢馬威對(duì)IC卡制度的建議，從中石化整體來(lái)看，IC卡必須納入審計(jì)范圍，具體到各省，可以根據(jù)具體情況進(jìn)行判斷。判斷的主要依據(jù)是從信息技術(shù)的角度來(lái)看，是人工還是依靠IC卡系統(tǒng)將加油站的

3、日?qǐng)?bào)表和發(fā)卡網(wǎng)點(diǎn)的預(yù)付款錄入財(cái)務(wù)報(bào)表；從財(cái)務(wù)角度出發(fā)，檢查IC卡預(yù)收款占企業(yè)預(yù)收款總額的比例，以及IC卡銷售額占總銷售額的比例。該系統(tǒng)由總部統(tǒng)一實(shí)施。一般信息技術(shù)控制矩陣和工作底稿由總部設(shè)計(jì)，分發(fā)給企業(yè)填寫；企業(yè)專用系統(tǒng)需要設(shè)計(jì)自己的信息技術(shù)通用控制矩陣和工作文件。5。5、SOX法案對(duì)IT總控制的要求，“IT總控制”的主要檢查和評(píng)估內(nèi)容，企業(yè)整體層面的IT控制包括控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、信息和溝通、IT總控制程序和監(jiān)控信息系統(tǒng)的數(shù)據(jù)訪問、程序變更、程序開發(fā)、系統(tǒng)運(yùn)行和最終用戶計(jì)算的IT基礎(chǔ)設(shè)施，6。財(cái)務(wù)管理和財(cái)務(wù)報(bào)告系統(tǒng)的信息技術(shù)一般控制。信息產(chǎn)業(yè)部會(huì)同財(cái)政部和浦安聯(lián)盟，參照中國(guó)石油化工股份有限公

4、司財(cái)務(wù)信息管理系統(tǒng)系統(tǒng)管理辦法(財(cái)信2003100號(hào))，設(shè)計(jì)了現(xiàn)有財(cái)務(wù)管理系統(tǒng)和財(cái)務(wù)報(bào)告系統(tǒng)的信息技術(shù)總控矩陣和工作底稿。主要設(shè)計(jì)原則是：在滿足SOX法案的前提下，盡可能貼近企業(yè)應(yīng)用的實(shí)際情況，減少企業(yè)報(bào)告的工作量。12個(gè)ERP線上企業(yè)的ERP系統(tǒng)和財(cái)務(wù)報(bào)告系統(tǒng)控制點(diǎn)，11個(gè)非ERP線上企業(yè)(包括今年實(shí)施ERP的企業(yè))的ERP財(cái)務(wù)管理信息系統(tǒng)控制點(diǎn)，7個(gè)。財(cái)務(wù)管理和財(cái)務(wù)報(bào)告的信息技術(shù)一般控制點(diǎn)介紹，8，1?！坝脩魴?quán)限管理”的控制矩陣，9，1?！坝脩魴?quán)利管理”工作文件，10。信息技術(shù)總控矩陣和工作底稿描述，矩陣和工作底稿同列(4列):控制目標(biāo)：風(fēng)險(xiǎn)防范目標(biāo)描述矩陣中的“編號(hào)”和工作底稿中的“控制

5、點(diǎn)編號(hào)”:FMIS DA1建立兩個(gè)表的鏈接關(guān)系?？刂泣c(diǎn)名稱：用戶權(quán)限管理控制點(diǎn)描述：管理規(guī)定和審批流程；信息系統(tǒng)功能；定期檢查，11。信息技術(shù)總控制矩陣和工作底稿的描述，控制執(zhí)行者：控制點(diǎn)的負(fù)責(zé)人和批準(zhǔn)人，外部審核時(shí)被訪談?wù)叩目刂祁l率：固定頻率，如定期檢查和備份，根據(jù)頻率準(zhǔn)備相關(guān)數(shù)據(jù)，與樣本總數(shù)和樣本數(shù)有關(guān)。自動(dòng)：由系統(tǒng)自動(dòng)實(shí)現(xiàn)，需要手動(dòng)截圖：管理規(guī)定、手動(dòng)檢查能力：事后檢查措施、定期日志檢查、定期賬戶審計(jì)等。12、it總控矩陣及工作底稿、相關(guān)系統(tǒng)及文件說(shuō)明：中國(guó)石化集團(tuán)公司財(cái)務(wù)信息管理系統(tǒng)系統(tǒng)管理辦法中國(guó)石化財(cái)新2003100號(hào)；中國(guó)石油化工股份有限公司管理信息系統(tǒng)應(yīng)用管理辦法已于近日頒布實(shí)

6、施。企業(yè)需要補(bǔ)充一些自己制定的相關(guān)管理措施和規(guī)范。設(shè)計(jì)、運(yùn)行和實(shí)施是否有效：有效、無(wú)效、未發(fā)生、不適用。修復(fù)完成時(shí)間：如果有缺陷，請(qǐng)說(shuō)明修復(fù)完成的計(jì)劃時(shí)間，并填寫“系統(tǒng)總體評(píng)估表”說(shuō)明需要糾正的問題和糾正措施。13，信息技術(shù)總控制矩陣和工作底稿，有效設(shè)計(jì)：檢查設(shè)計(jì)是否能有效實(shí)現(xiàn)控制目標(biāo)和預(yù)防控制風(fēng)險(xiǎn)。例如，檢查管理系統(tǒng)、審批流程和系統(tǒng)功能是否能夠防范風(fēng)險(xiǎn)。走查測(cè)試是有效的：通過(guò)一組實(shí)例，整個(gè)控制過(guò)程被證明是有效的。檢查申請(qǐng)表，簽字并申請(qǐng)批準(zhǔn)，打印出系統(tǒng)中的用戶權(quán)限設(shè)置，并檢查是否與填寫表格的權(quán)限一致。執(zhí)行有效：多個(gè)演練測(cè)試有效。應(yīng)該有一定的審計(jì)樣本，應(yīng)該隨機(jī)選擇。it一般控制矩陣和工作底稿的描

7、述，測(cè)試步驟：合理、充分且可測(cè)量。測(cè)試步驟有很多：面試、系統(tǒng)檢查、系統(tǒng)查詢、定期檢查和對(duì)相關(guān)人員能力的評(píng)估；設(shè)計(jì)和執(zhí)行有效性的步驟是分開編寫的。測(cè)試結(jié)果：記錄測(cè)試步驟對(duì)應(yīng)的每一步的測(cè)試結(jié)果，并提供相應(yīng)的證據(jù)表格。文件編號(hào)：相關(guān)試驗(yàn)記錄的文件編號(hào)。簽名表財(cái)務(wù)用戶許可審批表(樣表)。抽樣原則見內(nèi)部控制檢查、評(píng)價(jià)和檢查暫行辦法，15。信息技術(shù)一般控制矩陣和工作文件的描述，財(cái)務(wù)用戶權(quán)利的批準(zhǔn)表，16。信息技術(shù)通用控制矩陣和工作文件的描述，以及每個(gè)控制點(diǎn)涵蓋的內(nèi)容：控制目標(biāo)、控制點(diǎn)、控制執(zhí)行者的測(cè)試步驟、測(cè)試結(jié)果、留下痕跡的控制、測(cè)試相關(guān)證據(jù)文件的描述，17。2.關(guān)于“用戶帳戶和訪問管理”的工作文件，1

8、8，3，“密碼管理”，19，4，“應(yīng)用系統(tǒng)管理員管理”，20，5，“普通用戶管理”，21，6，“系統(tǒng)日志管理”，22，7，“第三方人員”25，10，“報(bào)告提交管理”工作文件，26，11，“系統(tǒng)備份和恢復(fù)”工作文件，27，12，“系統(tǒng)監(jiān)控、維護(hù)和故障排除”工作文件，28，“問題和建議”，財(cái)務(wù)管理系統(tǒng)和財(cái)務(wù)報(bào)告系統(tǒng)的版本目前，企業(yè)使用的版本有兩種主要類型第十版(財(cái)務(wù)管理信息系統(tǒng)和財(cái)務(wù)報(bào)告系統(tǒng)的2個(gè)信息技術(shù)總控制矩陣和文件主要是為第二版開發(fā)的。如果軟件功能與矩陣和手稿中的描述不一致，應(yīng)上報(bào)總部信息部。29、問題和建議、缺失數(shù)據(jù)的填寫和收集原則缺失數(shù)據(jù)的填寫原則：政策和制度、重要的授權(quán)申請(qǐng)文件必須填寫

9、，并寫下當(dāng)前日期。從現(xiàn)在開始，重復(fù)發(fā)生的事情應(yīng)該彌補(bǔ)。例如，“用戶權(quán)限申請(qǐng)表”可以從現(xiàn)在開始標(biāo)準(zhǔn)化，但必須確保在檢查過(guò)程中有一定的樣本量，否則，設(shè)計(jì)可以被認(rèn)為是有效的；但是，將不會(huì)認(rèn)識(shí)到演練測(cè)試和執(zhí)行是有效的。我們建議填寫和收集數(shù)據(jù)的過(guò)程可以同時(shí)起到規(guī)范內(nèi)部管理和檢查相關(guān)工作的作用；化妝更容易；如果與財(cái)務(wù)報(bào)表有很大關(guān)系，則應(yīng)予以補(bǔ)充。注意：不要為了通過(guò)檢查而補(bǔ)充過(guò)去某一天的數(shù)據(jù)，這是以前沒有做過(guò)的。補(bǔ)充過(guò)去的檢查記錄是沒有意義的。數(shù)據(jù)的收集有太明顯的“應(yīng)付檢查”的痕跡，這絕對(duì)不是總部?jī)?nèi)部審計(jì)和畢馬威外部審計(jì)想要的。30、問題和建議(摘要)、檢查和評(píng)估各控制點(diǎn)的一般步驟：查看管理體系、訪談“控制

10、執(zhí)行者”和其他相關(guān)人員，總部制定和發(fā)布的相關(guān)體系文件已放在門戶網(wǎng)站上。企業(yè)需要補(bǔ)充自己的相關(guān)文件系統(tǒng)。相關(guān)人員應(yīng)仔細(xì)研究這些系統(tǒng)文件，并為面試做好準(zhǔn)備。查詢系統(tǒng)的相關(guān)功能，查看系統(tǒng)中的實(shí)現(xiàn)模式，并獲取截圖。定期檢查記錄，確認(rèn)離線審批單是否與系統(tǒng)中的記錄一致。如果“控制點(diǎn)”的描述與企業(yè)的日常工作基本一致，填寫控制矩陣和工作底稿，準(zhǔn)備相關(guān)的證據(jù)表格，并進(jìn)行抽樣檢查。如果“控制點(diǎn)”的描述與企業(yè)的日常工作不同，矩陣和工作底稿的內(nèi)容可以適當(dāng)調(diào)整，但要小心。31、問題與建議(摘要)、畢馬威外部審計(jì)工作流程：要求企業(yè)提供內(nèi)部審計(jì)數(shù)據(jù)，并提供人事部門員工名單，包括姓名、工作職責(zé)、新員工、離職員工、工作變動(dòng)員工、哪些系統(tǒng)有賬號(hào)；提供所有信息系統(tǒng)的列表和關(guān)于財(cái)務(wù)報(bào)告是否相關(guān)的分析報(bào)告，包括系統(tǒng)功能、與財(cái)務(wù)報(bào)告的關(guān)聯(lián)、系統(tǒng)之間的數(shù)據(jù)交換、關(guān)于財(cái)務(wù)報(bào)告是否相關(guān)的分析和結(jié)論。列出信息部門的負(fù)責(zé)人和每個(gè)系統(tǒng)的負(fù)責(zé)人，畢馬威將對(duì)其進(jìn)行面試。列出系統(tǒng)中的所有用戶，并提供完整的矩陣、論文和自我評(píng)估結(jié)論。32、問題和建議