財(cái)務(wù)管理財(cái)務(wù)報(bào)表it一般性控制矩陣和底稿PPT課件

1、1SOXSOX法案對(duì)法案對(duì)ITIT一般性控制的要求一般性控制的要求p 為什么要對(duì)“IT一般性控制”的有效性進(jìn)行檢查評(píng)價(jià)l 2002年7月30日，美國(guó)總統(tǒng)布什簽發(fā)了薩班斯-奧克斯利法案(SOX法案) ，對(duì)在美國(guó)上市的企業(yè)提出了一系列要求。l 2006年4月30日 IT治理協(xié)會(huì)ITGI發(fā)布IT Control Objectives for SOX，2 Edition, 對(duì)上市公司的IT控制提出了要求l 為保證財(cái)務(wù)報(bào)告的完整性、準(zhǔn)確性，SOX法案要求對(duì)財(cái)務(wù)報(bào)告相關(guān)的信息系統(tǒng)進(jìn)行“IT一般性控制”是否有效的檢查評(píng)價(jià)。第1頁(yè)/共31頁(yè)2SOXSOX法案對(duì)法案對(duì)ITIT一般性控制的要求一般性控制的要求p

2、如何界定與財(cái)務(wù)報(bào)告相關(guān)的系統(tǒng)l界定相關(guān)的主要原則：與財(cái)務(wù)報(bào)告相關(guān)，間接或直接為財(cái)務(wù)報(bào)告的生成提供了有關(guān)信息。l畢馬威要求，首先應(yīng)管理層自己判斷，一般講，管理層納入審計(jì)范圍的系統(tǒng)應(yīng)比畢馬威外審的范圍大。lERP系統(tǒng)、財(cái)務(wù)管理系統(tǒng)、財(cái)務(wù)報(bào)表系統(tǒng)肯定與財(cái)務(wù)報(bào)告相關(guān)。l畢馬威關(guān)于IC卡系統(tǒng)的建議，從中國(guó)石化整體講，IC卡肯定要納入審計(jì)范圍，具體到每個(gè)省，可針對(duì)具體情況進(jìn)行判斷。主要判斷依據(jù)，從IT角度，查看油站日?qǐng)?bào)表、發(fā)卡網(wǎng)點(diǎn)預(yù)收款進(jìn)入財(cái)務(wù)報(bào)表的方式，是手工還是依賴IC卡系統(tǒng)；從財(cái)務(wù)角度，查看IC卡預(yù)收賬款占企業(yè)總預(yù)收款的比例， IC卡銷售額占總銷售額的比例。l總部統(tǒng)一實(shí)施系統(tǒng)由總部統(tǒng)一設(shè)計(jì)IT一般性

3、控制矩陣和工作底稿，下發(fā)企業(yè)填報(bào)；企業(yè)特有系統(tǒng)需自己設(shè)計(jì)IT一般性控制矩陣和工作底稿。第2頁(yè)/共31頁(yè)3SOXSOX法案對(duì)法案對(duì)ITIT一般性控制的要求一般性控制的要求p “IT一般性控制”的主要檢查評(píng)價(jià)內(nèi)容l 企業(yè)整體層面的IT控制包括控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、信息和溝通、監(jiān)控l 信息系統(tǒng)的IT一般性控制程序和數(shù)據(jù)訪問、程序變更、程序開發(fā)、系統(tǒng)運(yùn)行IT基礎(chǔ)設(shè)施、終端用戶計(jì)算 第3頁(yè)/共31頁(yè)4財(cái)務(wù)管理、財(cái)務(wù)報(bào)表系統(tǒng)財(cái)務(wù)管理、財(cái)務(wù)報(bào)表系統(tǒng)ITIT一般性控制一般性控制l 信息部會(huì)同財(cái)務(wù)部、普安聯(lián)盟共同設(shè)計(jì)了現(xiàn)有財(cái)務(wù)管理系統(tǒng)、財(cái)務(wù)報(bào)表系統(tǒng)的IT一般性控制矩陣和工作底稿，特別參考了中國(guó)石油化工股份有限公司

4、財(cái)務(wù)信息管理系統(tǒng)系統(tǒng)管理辦法（財(cái)信2003100號(hào)文），設(shè)計(jì)主要原則為：在滿足SOX法案的前提下，盡可能貼近企業(yè)應(yīng)用的實(shí)際情況，少增加企業(yè)填報(bào)的工作量。l ERP上線企業(yè)ERP系統(tǒng) 財(cái)務(wù)報(bào)表系統(tǒng) 12個(gè)控制點(diǎn)l ERP未上線企業(yè)財(cái)務(wù)管理信息系統(tǒng) 11個(gè)控制點(diǎn) （含今年正在實(shí)施ERP的企業(yè)）第4頁(yè)/共31頁(yè)5財(cái)務(wù)管理、財(cái)務(wù)報(bào)表財(cái)務(wù)管理、財(cái)務(wù)報(bào)表ITIT一般性控制控制點(diǎn)介紹一般性控制控制點(diǎn)介紹序序 號(hào)號(hào)控制點(diǎn)名稱控制點(diǎn)名稱財(cái)務(wù)管理系統(tǒng)財(cái)務(wù)管理系統(tǒng)財(cái)務(wù)報(bào)表系統(tǒng)財(cái)務(wù)報(bào)表系統(tǒng)一、程序和數(shù)據(jù)訪問一、程序和數(shù)據(jù)訪問1 1用戶權(quán)限管理用戶權(quán)限管理2 2用戶賬號(hào)及訪問管理用戶賬號(hào)及訪問管理3 3密碼管理密碼管理

5、4 4系統(tǒng)管理員管理系統(tǒng)管理員管理5 5普通用戶管理普通用戶管理6 6系統(tǒng)日志管理系統(tǒng)日志管理7 7第三方人員管理第三方人員管理二、程序變更二、程序變更8 8系統(tǒng)變更管理系統(tǒng)變更管理三、系統(tǒng)運(yùn)行三、系統(tǒng)運(yùn)行9 9ERPERP報(bào)表接口管理報(bào)表接口管理1010報(bào)表上報(bào)管理報(bào)表上報(bào)管理1111系統(tǒng)備份及恢復(fù)系統(tǒng)備份及恢復(fù)1212系統(tǒng)監(jiān)控、維護(hù)及故障處理系統(tǒng)監(jiān)控、維護(hù)及故障處理第5頁(yè)/共31頁(yè)61 1、“用戶權(quán)限管理用戶權(quán)限管理”控制矩陣控制矩陣序序號(hào)號(hào)控制目標(biāo)控制目標(biāo)控制點(diǎn)控制點(diǎn)控制活動(dòng)屬性控制活動(dòng)屬性相關(guān)制度相關(guān)制度和文檔和文檔測(cè)試結(jié)果測(cè)試結(jié)果備備注注編編號(hào)號(hào)控控制制點(diǎn)點(diǎn)控制點(diǎn)描述控制點(diǎn)描述控控制

6、制執(zhí)執(zhí)行行人人控控制制頻頻率率自自動(dòng)動(dòng)/ /手手動(dòng)動(dòng)預(yù)預(yù)防防性性/ /檢檢查查性性穿行穿行測(cè)試測(cè)試有效有效否否設(shè)設(shè)計(jì)計(jì)有有效效否否執(zhí)執(zhí)行行有有效效否否修修補(bǔ)補(bǔ)完完成成時(shí)時(shí)間間1 12 23 34 45 56 67 78 89 910101111121213131 14 4一數(shù)據(jù)和程序訪問數(shù)據(jù)和程序訪問1建立完善的權(quán)限管理機(jī)制，在合理的范圍內(nèi)確保用戶被授予的系統(tǒng)權(quán)限和其崗位職責(zé)相符，防止對(duì)系統(tǒng)的非授權(quán)訪問。FRE-DA1用戶權(quán)限管理1、建立完善的用戶權(quán)限管理制度，明確系統(tǒng)相關(guān)人員分工及崗位職責(zé)，確保用戶擁有與其崗位職責(zé)分工相對(duì)應(yīng)的權(quán)限。2、用戶的增刪及其權(quán)限的變更需填寫“用戶權(quán)限審批表”，并經(jīng)財(cái)

7、務(wù)部門負(fù)責(zé)人審批確認(rèn)。3、系統(tǒng)提供了功能權(quán)限、數(shù)據(jù)權(quán)限等權(quán)限分配功能，保證用戶被授予的權(quán)限和其崗位職責(zé)相符。4、財(cái)務(wù)部門負(fù)責(zé)人應(yīng)每半年檢查一次系統(tǒng)內(nèi)的用戶權(quán)限設(shè)置。財(cái)務(wù)部門負(fù)責(zé)人每半年手動(dòng)自動(dòng)預(yù)防性檢查性中國(guó)石油化工股份有限公司財(cái)務(wù)信息管理系統(tǒng)系統(tǒng)管理辦法有效有效有效第6頁(yè)/共31頁(yè)71 1、“用戶權(quán)限管理用戶權(quán)限管理”工作底稿工作底稿序序號(hào)號(hào)控制控制目標(biāo)目標(biāo)控控制制點(diǎn)點(diǎn)編編號(hào)號(hào)控控制制點(diǎn)點(diǎn)控制點(diǎn)描述控制點(diǎn)描述測(cè)試步驟測(cè)試步驟測(cè)試結(jié)果測(cè)試結(jié)果結(jié)論結(jié)論文檔編文檔編號(hào)號(hào)一數(shù)據(jù)和程序訪問數(shù)據(jù)和程序訪問1建立完善的權(quán)限管理機(jī)制，在合理的范圍內(nèi)確保用戶被授予的系統(tǒng)權(quán)限和其崗位職責(zé)相符，防止對(duì)系統(tǒng)的非授權(quán)

8、訪問。FRE-DA1用戶權(quán)限管理1、建立完善的用戶權(quán)限管理制度，明確系統(tǒng)相關(guān)人員分工及崗位職責(zé)，確保用戶擁有與其崗位職責(zé)分工相對(duì)應(yīng)的權(quán)限。2、用戶的增刪及其權(quán)限的變更需填寫“用戶權(quán)限審批表”，并經(jīng)財(cái)務(wù)部門負(fù)責(zé)人審批確認(rèn)。3、系統(tǒng)提供了功能權(quán)限、數(shù)據(jù)權(quán)限等權(quán)限分配功能，保證用戶被授予的權(quán)限和其崗位職責(zé)相符。4、財(cái)務(wù)部門負(fù)責(zé)人應(yīng)每半年檢查一次系統(tǒng)內(nèi)的用戶權(quán)限設(shè)置。設(shè)計(jì)有效性：1、訪談財(cái)務(wù)部門負(fù)責(zé)人有關(guān)權(quán)限管理制度及權(quán)限申請(qǐng)審批流程。2、查看系統(tǒng)“維護(hù)工具”中權(quán)限分配功能，取得截屏。執(zhí)行有效性：3、檢查“用戶權(quán)限審批表”填寫是否及時(shí)齊全，按照系統(tǒng)用戶增刪及變更總數(shù)，隨機(jī)抽取*張“用戶權(quán)限審批表”進(jìn)行

9、檢查。4、登錄財(cái)務(wù)系統(tǒng)“維護(hù)工具”查看用戶權(quán)限，取得截屏，確認(rèn)是否和其申請(qǐng)審批的權(quán)限相符。5、查看用戶及權(quán)限每半年的審核記錄（打印系統(tǒng)用戶清單，相關(guān)責(zé)任人審核并簽字，有與崗位不符情況，及時(shí)變更權(quán)限，寫明原因和處理情況）。設(shè)計(jì)有效執(zhí)行有效穿行有效FRE-DA1-1.1FRE-DA1-1.2FRE-DA1-1.3FRE-DA1-1.4FRE-DA1-1.5FRE-DA1-1.6FRE-DA1-1.7第7頁(yè)/共31頁(yè)8ITIT一般性控制矩陣和工作底稿說明一般性控制矩陣和工作底稿說明l矩陣和工作底稿中的相同列（4列）：控制目標(biāo)：防范風(fēng)險(xiǎn)的目標(biāo)描述矩陣中“編號(hào)”與工作底稿中“控制點(diǎn)編號(hào)” ： FMIS-

10、DA1 為兩張表建立鏈接關(guān)系?？刂泣c(diǎn)名稱：用戶權(quán)限管理控制點(diǎn)描述：管理規(guī)定及申批流程；信息系統(tǒng)功能；定期檢查情況第8頁(yè)/共31頁(yè)9ITIT一般性控制矩陣和工作底稿說明一般性控制矩陣和工作底稿說明l控制執(zhí)行人：控制點(diǎn)的責(zé)任人、審批人， 外審時(shí)的被訪談人l控制頻率：固定頻率，如定期檢查、備份，按頻率準(zhǔn)備相關(guān)資料 按需發(fā)生的，與樣本總數(shù)有關(guān)，關(guān)系到抽樣數(shù)量 l自動(dòng)/手動(dòng)：自動(dòng)：系統(tǒng)自動(dòng)實(shí)現(xiàn)的，需截屏 手動(dòng)：管理規(guī)定、簽字審批、定期檢查，抽樣檢查l預(yù)防性/檢查性：預(yù)防性：事先的防范措施，如管理制度、申請(qǐng)審批流程、 系統(tǒng)自動(dòng)控制功能；檢查性：事后檢查的措施，日志定期檢查、 帳號(hào)定期審核等。第9頁(yè)/共31

11、頁(yè)10ITIT一般性控制矩陣和工作底稿說明一般性控制矩陣和工作底稿說明l 相關(guān)制度和文檔：中國(guó)石油化工股份有限公司財(cái)務(wù)信息管理系統(tǒng)系統(tǒng)管理辦法中國(guó)石化財(cái)信2003100號(hào)；中國(guó)石油化工股份有限公司管理信息系統(tǒng)應(yīng)用管理辦法已評(píng)審，近期下發(fā)。企業(yè)需補(bǔ)充自己制定的一些相關(guān)管理辦法和規(guī)范。l 設(shè)計(jì)、穿行、執(zhí)行是否有效：有效、無效、未發(fā)生、不適用l 修補(bǔ)完成時(shí)間：如果有缺陷，寫明修補(bǔ)完成的計(jì)劃時(shí)間，需整改的問題描述、整改措施等填入“系統(tǒng)整體評(píng)估表”。第10頁(yè)/共31頁(yè)11ITIT一般性控制矩陣和工作底稿說明一般性控制矩陣和工作底稿說明l 設(shè)計(jì)有效：檢查設(shè)計(jì)能否有效實(shí)現(xiàn)控制目標(biāo)、防范控制風(fēng)險(xiǎn)。如檢查管理制

12、度、審批流程、系統(tǒng)功能是否能起到防范風(fēng)險(xiǎn)的目的。l 穿行測(cè)試有效：以一套真實(shí)的例子，把各個(gè)測(cè)試步驟從頭到尾走一遍，證明整個(gè)控制過程有效。察看申請(qǐng)表、簽字申批情況，打印出系統(tǒng)中用戶權(quán)限設(shè)置，查看與填表權(quán)限是否一致。l 執(zhí)行有效：多個(gè)的穿行測(cè)試有效。要有一定審計(jì)的樣本，隨機(jī)抽取。第11頁(yè)/共31頁(yè)12ITIT一般性控制矩陣和工作底稿說明一般性控制矩陣和工作底稿說明l測(cè)試步驟：要合理、充分，要能測(cè)出來。測(cè)試步驟有很多：訪談、查制度、系統(tǒng)查詢、定期檢查、考評(píng)相關(guān)人員有無相關(guān)能力；設(shè)計(jì)、執(zhí)行有效性的步驟分開寫。l測(cè)試結(jié)果：對(duì)應(yīng)測(cè)試步驟記錄每一步的測(cè)試結(jié)果，并提供相應(yīng)的證據(jù)表單。l文檔編號(hào)： FRE-DA

13、1-1.1FRE-DA1-1.n 測(cè)試相關(guān)記錄文檔編號(hào)。l簽字表單財(cái)務(wù)用戶權(quán)限審批表（樣表）。l抽樣原則見“內(nèi)部控制檢查評(píng)價(jià)與考核暫行辦法”第12頁(yè)/共31頁(yè)13ITIT一般性控制矩陣和工作底稿說明一般性控制矩陣和工作底稿說明財(cái)務(wù)用戶權(quán)限審批表 單位名稱：?jiǎn)挝幻Q：日期：日期：用戶編號(hào)用戶編號(hào)用戶姓名用戶姓名所在部門所在部門電電 話話崗位職責(zé)崗位職責(zé)申請(qǐng)類型申請(qǐng)類型開戶開戶 變更變更 銷戶銷戶帳號(hào)啟用時(shí)間帳號(hào)啟用時(shí)間帳號(hào)停用帳號(hào)停用時(shí)間時(shí)間帳號(hào)申請(qǐng)帳號(hào)申請(qǐng)（變更）原因（變更）原因權(quán)限要求權(quán)限要求財(cái)務(wù)部門負(fù)責(zé)人簽字財(cái)務(wù)部門負(fù)責(zé)人簽字應(yīng)用系統(tǒng)管理員簽字應(yīng)用系統(tǒng)管理員簽字備注備注第13頁(yè)/共31頁(yè)1

14、4ITIT一般性控制矩陣和工作底稿說明一般性控制矩陣和工作底稿說明l每個(gè)控制點(diǎn)需要涵蓋的內(nèi)容： 控制目標(biāo) 控制點(diǎn) 控制點(diǎn)描述 控制執(zhí)行人 測(cè)試步驟 測(cè)試結(jié)果 控制要留下痕跡：測(cè)試相關(guān)證據(jù)文檔第14頁(yè)/共31頁(yè)152 2、“用戶賬號(hào)及訪問管理用戶賬號(hào)及訪問管理”工作底稿工作底稿序序號(hào)號(hào)控制目控制目標(biāo)標(biāo)控制控制點(diǎn)點(diǎn)控制點(diǎn)描述控制點(diǎn)描述測(cè)試步驟測(cè)試步驟一數(shù)據(jù)和程序訪問數(shù)據(jù)和程序訪問2健全系統(tǒng)登錄訪問機(jī)制,防止對(duì)系統(tǒng)的非授權(quán)訪問。用戶賬號(hào)及訪問管理1、每個(gè)用戶擁有獨(dú)立的用戶賬號(hào)，不得共享。2、應(yīng)用系統(tǒng)中用戶帳號(hào)不能重復(fù)，查看系統(tǒng)中是否有共享賬號(hào)。3、要求必須輸入用戶名和密碼才可登錄系統(tǒng)。4、應(yīng)用系統(tǒng)管

15、理員應(yīng)定期審核系統(tǒng)內(nèi)的用戶賬號(hào)清單。設(shè)計(jì)有效性：1、訪談應(yīng)用系統(tǒng)管理員用戶帳號(hào)設(shè)置情況和登錄驗(yàn)證過程。2、登錄系統(tǒng)檢查用戶帳號(hào)唯一性，確認(rèn)每個(gè)用戶擁有獨(dú)立的用戶賬號(hào)，無共享情況。3、查看系統(tǒng)登錄界面截屏。執(zhí)行有效性：4、抽樣檢查系統(tǒng)用戶賬號(hào)清單的定期審核記錄（打印系統(tǒng)用戶賬號(hào)清單，系統(tǒng)管理員審核并簽字）。第15頁(yè)/共31頁(yè)163 3、“密碼管理密碼管理”工作底稿工作底稿序序號(hào)號(hào)控制目標(biāo)控制目標(biāo)控制點(diǎn)控制點(diǎn)控制點(diǎn)描述控制點(diǎn)描述測(cè)試步驟測(cè)試步驟一一 數(shù)據(jù)和程序訪問數(shù)據(jù)和程序訪問3 3防止密碼防止密碼設(shè)置強(qiáng)度設(shè)置強(qiáng)度不夠造成不夠造成系統(tǒng)泄密系統(tǒng)泄密或受到非或受到非法訪問。法訪問。密碼管密碼管理理1

16、1、密碼規(guī)則：密碼長(zhǎng)度大、密碼規(guī)則：密碼長(zhǎng)度大于等于于等于6 6位；密碼為數(shù)字與位；密碼為數(shù)字與字符的組合；密碼需定期字符的組合；密碼需定期更換。更換。2 2、根據(jù)密碼設(shè)置規(guī)則，在、根據(jù)密碼設(shè)置規(guī)則，在系統(tǒng)中實(shí)現(xiàn)了控制，當(dāng)密系統(tǒng)中實(shí)現(xiàn)了控制，當(dāng)密碼長(zhǎng)度小于碼長(zhǎng)度小于6 6位時(shí)系統(tǒng)會(huì)提位時(shí)系統(tǒng)會(huì)提示。密碼輸入時(shí)以掩碼形示。密碼輸入時(shí)以掩碼形式錄入，防止密碼泄露。式錄入，防止密碼泄露。3 3、密碼驗(yàn)證超過三次失敗、密碼驗(yàn)證超過三次失敗自動(dòng)退出系統(tǒng)。自動(dòng)退出系統(tǒng)。 4 4、操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)、操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)等初始口令的設(shè)置用系統(tǒng)等初始口令的設(shè)置應(yīng)在系統(tǒng)投用前修改，并應(yīng)在系統(tǒng)投用前修改，

17、并定期更改。定期更改。5 5、應(yīng)用系統(tǒng)管理員應(yīng)每季、應(yīng)用系統(tǒng)管理員應(yīng)每季度檢查普通用戶密碼的修度檢查普通用戶密碼的修改情況。改情況。設(shè)計(jì)有效性：設(shè)計(jì)有效性：1 1、訪談應(yīng)用系統(tǒng)管理員密碼設(shè)置規(guī)則及有關(guān)規(guī)、訪談應(yīng)用系統(tǒng)管理員密碼設(shè)置規(guī)則及有關(guān)規(guī)定。定。2 2、登錄財(cái)務(wù)系統(tǒng)、登錄財(cái)務(wù)系統(tǒng)“維護(hù)工具維護(hù)工具”新建用戶檢驗(yàn)系新建用戶檢驗(yàn)系統(tǒng)是否實(shí)現(xiàn)了密碼設(shè)置控制。取得密碼少于統(tǒng)是否實(shí)現(xiàn)了密碼設(shè)置控制。取得密碼少于6 6位位和第一位不是字符的提示截屏。和第一位不是字符的提示截屏。3 3、登錄系統(tǒng)測(cè)試用戶密碼驗(yàn)證、登錄系統(tǒng)測(cè)試用戶密碼驗(yàn)證3 3次失敗退出系統(tǒng)。次失敗退出系統(tǒng)。執(zhí)行有效性：執(zhí)行有效性：4 4

18、、檢查操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)的初始密、檢查操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)的初始密碼，登錄系統(tǒng)，查看系統(tǒng)默認(rèn)賬號(hào)的密碼是否都碼，登錄系統(tǒng)，查看系統(tǒng)默認(rèn)賬號(hào)的密碼是否都已做了修改（例如已做了修改（例如“sasa”賬號(hào)初始密碼為空）。賬號(hào)初始密碼為空）。5 5、檢查操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)管理員密、檢查操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)管理員密碼的設(shè)置情況和定期修改記錄。碼的設(shè)置情況和定期修改記錄。6 6、抽樣檢查應(yīng)用系統(tǒng)管理員的每季度檢查普通、抽樣檢查應(yīng)用系統(tǒng)管理員的每季度檢查普通用戶密碼修改情況的記錄（可定期發(fā)通知要求用用戶密碼修改情況的記錄（可定期發(fā)通知要求用戶修改密碼，要求用戶記錄密碼修改時(shí)間，應(yīng)

19、用戶修改密碼，要求用戶記錄密碼修改時(shí)間，應(yīng)用系統(tǒng)管理員抽樣檢查）。系統(tǒng)管理員抽樣檢查）。第16頁(yè)/共31頁(yè)174 4、“應(yīng)用系統(tǒng)管理員管理應(yīng)用系統(tǒng)管理員管理”工作底稿工作底稿序序號(hào)號(hào)控制目控制目標(biāo)標(biāo)控控制制點(diǎn)點(diǎn)控制點(diǎn)描述控制點(diǎn)描述測(cè)試步驟測(cè)試步驟一數(shù)據(jù)和程序訪問數(shù)據(jù)和程序訪問4加強(qiáng)系統(tǒng)管理員管理，防止不合規(guī)操作。系統(tǒng)管理員管理1、企業(yè)需配備專職或兼職數(shù)據(jù)庫(kù)、操作系統(tǒng)（統(tǒng)稱系統(tǒng)管理員）、應(yīng)用系統(tǒng)管理員，系統(tǒng)管理員、應(yīng)用系統(tǒng)管理員要經(jīng)過授權(quán)并明確職責(zé)，并應(yīng)相對(duì)穩(wěn)定，其更換必須經(jīng)相關(guān)部門負(fù)責(zé)人審批，并嚴(yán)格辦理交接手續(xù)。2、系統(tǒng)管理員、應(yīng)用系統(tǒng)管理員只能處理系統(tǒng)設(shè)置、數(shù)據(jù)庫(kù)維護(hù)、數(shù)據(jù)備份與恢復(fù)、用戶及

20、權(quán)限管理等功能，不能登錄帳務(wù)系統(tǒng)處理會(huì)計(jì)業(yè)務(wù)和查詢帳務(wù)信息。3、相關(guān)部門負(fù)責(zé)人應(yīng)每半年對(duì)系統(tǒng)管理員、應(yīng)用系統(tǒng)管理員在職情況進(jìn)行簽字審核。設(shè)計(jì)有效性：1、訪談相關(guān)部門負(fù)責(zé)人有關(guān)系統(tǒng)管理員的管理制度及任用審批流程。2、檢查系統(tǒng)中系統(tǒng)管理員的權(quán)限情況，確認(rèn)系統(tǒng)管理員沒有處理具體業(yè)務(wù)的權(quán)限。執(zhí)行有效性：3、提供應(yīng)用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫(kù)管理員的清單及授權(quán)、變更文檔。4、查看相關(guān)部門負(fù)責(zé)人對(duì)系統(tǒng)管理員在職情況的每半年簽字審核記錄。第17頁(yè)/共31頁(yè)185 5、“普通用戶管理普通用戶管理”工作底稿工作底稿序序號(hào)號(hào)控制目控制目標(biāo)標(biāo)控制控制點(diǎn)點(diǎn)控制點(diǎn)描述控制點(diǎn)描述測(cè)試步驟測(cè)試步驟一數(shù)據(jù)和程序訪問數(shù)據(jù)和程序訪問

21、5加 強(qiáng) 普通 用 戶帳 號(hào) 的管 理 ，保 證 業(yè)務(wù) 處 理的規(guī)范、安 全 、有效。普 通用 戶管理1、根據(jù)用戶崗位職責(zé)分工，分配相對(duì)應(yīng)的操作權(quán)限，人員的離職與變動(dòng)必須對(duì)權(quán)限進(jìn)行相應(yīng)的變更。用戶帳號(hào)的申請(qǐng)及變更必須經(jīng)財(cái)務(wù)部門負(fù)責(zé)人審核批準(zhǔn)，用戶崗位變更時(shí)應(yīng)辦理交接手續(xù)。2、系統(tǒng)內(nèi)普通用戶帳號(hào)的注冊(cè)、注銷及權(quán)限變更必須通過財(cái)務(wù)應(yīng)用系統(tǒng)管理員進(jìn)行，其它用戶無此權(quán)限。設(shè)計(jì)有效性：1、訪談相關(guān)部門負(fù)責(zé)人了解普通用戶帳號(hào)申請(qǐng)與系統(tǒng)權(quán)限分配情況。2、查看普通用戶管理的相關(guān)管理制度。執(zhí)行有效性： 3、登錄財(cái)務(wù)系統(tǒng)“維護(hù)工具”檢查普通用戶功能權(quán)限分配情況，取得截屏，確認(rèn)普通用戶沒有新建用戶和設(shè)置權(quán)限的功能。

22、4、查看企業(yè)離職、崗位變化人員清單，檢查系統(tǒng)中非在職人員、崗位變更人員的用戶帳號(hào)情況。第18頁(yè)/共31頁(yè)196 6、“系統(tǒng)日志管理系統(tǒng)日志管理”工作底稿工作底稿序序號(hào)號(hào)控制目控制目標(biāo)標(biāo)控制控制點(diǎn)點(diǎn)控制點(diǎn)描述控制點(diǎn)描述測(cè)試步驟測(cè)試步驟一數(shù)據(jù)和程序訪問數(shù)據(jù)和程序訪問6加強(qiáng)系統(tǒng)日志管理,記錄應(yīng)用系統(tǒng)登錄及操作活動(dòng)。系 統(tǒng)日 志管理1、有系統(tǒng)日志管理及審查機(jī)制。2、應(yīng)用系統(tǒng)日志能記錄用戶登錄時(shí)間等信息；數(shù)據(jù)庫(kù)日志能記錄用戶新建、刪除等信息。3、安全管理員應(yīng)定期審核應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)、操作系統(tǒng)的系統(tǒng)日志。設(shè)計(jì)有效性：1、訪談安全管理員有關(guān)系統(tǒng)日志管理和審核情況。2、檢查系統(tǒng)中的日志管理功能，取得截屏。執(zhí)行

23、有效性：3、抽樣檢查安全管理員定期審核應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)、操作系統(tǒng)日志的記錄。第19頁(yè)/共31頁(yè)207 7、“第三方人員管理第三方人員管理”工作底稿工作底稿序序號(hào)號(hào)控制目控制目標(biāo)標(biāo)控制控制點(diǎn)點(diǎn)控制點(diǎn)描述控制點(diǎn)描述測(cè)試步驟測(cè)試步驟一數(shù)據(jù)和程序訪問數(shù)據(jù)和程序訪問7加 強(qiáng) 對(duì)第 三 方人 員 授權(quán) 訪 問管理。第 三方 人員 管理1、第三方人員需要訪問系統(tǒng)時(shí)，應(yīng)填寫用戶權(quán)限審批表，說明賬號(hào)使用的原因、時(shí)間和期限，并由財(cái)務(wù)部門負(fù)責(zé)人批準(zhǔn)。2、到期應(yīng)及時(shí)刪除或鎖定第三方人員的賬號(hào)。設(shè)計(jì)有效性：1、訪談財(cái)務(wù)部門負(fù)責(zé)人有關(guān)第三方人員訪問系統(tǒng)的情況。執(zhí)行有效性：2、檢查第三方人員的“用戶權(quán)限審批表”和審批情況。

24、3、檢查系統(tǒng)中第三方人員賬號(hào)情況，在“維護(hù)工具”中查看第三方人員帳號(hào)及使用情況，確認(rèn)系統(tǒng)中無應(yīng)刪未刪的第三方人員賬號(hào)。第20頁(yè)/共31頁(yè)218 8、“系統(tǒng)變更管理系統(tǒng)變更管理”工作底稿工作底稿序序號(hào)號(hào)控制目控制目標(biāo)標(biāo)控制點(diǎn)控制點(diǎn)控制點(diǎn)描述控制點(diǎn)描述測(cè)試步驟測(cè)試步驟二二程 序 變程 序 變更更8加強(qiáng)系統(tǒng)變更管理，有變更管理制度，變更必須經(jīng)過嚴(yán)格的審批、測(cè)試，使系統(tǒng)的變更在可控范圍內(nèi)，保證應(yīng)用系統(tǒng)運(yùn)行和維護(hù)的正常進(jìn)行。系統(tǒng)變更管理1、有變更管理政策及審批流程。軟件版本變更由總部相關(guān)部門統(tǒng)一組織變更、統(tǒng)一下發(fā)企業(yè)。企業(yè)有軟件變更需求必須填報(bào)“系統(tǒng)變更審批表”上報(bào)總部，不允許自行變更，企業(yè)IT人員及相

25、關(guān)用戶應(yīng)充分了解該流程。2、所有針對(duì)系統(tǒng)應(yīng)用軟件的變更申請(qǐng)、開發(fā)、測(cè)試、下發(fā)、版本都要有總部的審批簽字及記錄文檔。3、對(duì)于系統(tǒng)運(yùn)行環(huán)境、系統(tǒng)優(yōu)化等配置變更，應(yīng)填寫“系統(tǒng)變更審批表”，并經(jīng)相關(guān)部門負(fù)責(zé)人審批，并嚴(yán)格測(cè)試后，方可在系統(tǒng)中更改，以確保系統(tǒng)的平穩(wěn)運(yùn)行。4、開發(fā)人員不能進(jìn)入生產(chǎn)環(huán)境，不能進(jìn)行最終的變更操作。設(shè)計(jì)有效性：1、訪談?dòng)嘘P(guān)部門負(fù)責(zé)人有關(guān)系統(tǒng)變更流程和管理制度。2、查看變更管理相關(guān)制度。執(zhí)行有效性：3、如果2006年有變更發(fā)生，抽樣檢查系統(tǒng)變更、配置變更的申請(qǐng)、審批、測(cè)試及相關(guān)記錄文檔。4、查看進(jìn)行系統(tǒng)變更的人員記錄，確認(rèn)變更人員不是開發(fā)人員。如果是開發(fā)人員要有申請(qǐng)審批記錄。第21

26、頁(yè)/共31頁(yè)229 9、“ERPERP報(bào)表接口管理報(bào)表接口管理”工作底稿工作底稿序序號(hào)號(hào)控制目控制目標(biāo)標(biāo)控制控制點(diǎn)點(diǎn)控制點(diǎn)描述控制點(diǎn)描述測(cè)試步驟測(cè)試步驟三三系統(tǒng)運(yùn)行系統(tǒng)運(yùn)行9加強(qiáng)ERP報(bào)表接口管理工作，保證報(bào)表信息抽取的安全和完整。ERP報(bào)表接口管理1、對(duì)報(bào)表數(shù)據(jù)的抽取及使用有相關(guān)規(guī)定。2、系統(tǒng)提供了數(shù)據(jù)抽取的數(shù)據(jù)來源定義、數(shù)據(jù)抽取規(guī)則等功能；對(duì)報(bào)表數(shù)據(jù)的讀取和寫入有嚴(yán)格的權(quán)限控制。3、財(cái)務(wù)報(bào)表系統(tǒng)的運(yùn)行過程有日志記錄。設(shè)計(jì)有效性：1、訪談報(bào)表管理人員有關(guān)報(bào)表抽取的有關(guān)規(guī)定。2、查看ERP報(bào)表接口的用戶手冊(cè)及相關(guān)文檔。3、登錄系統(tǒng)中的數(shù)據(jù)抽取，查看數(shù)據(jù)抽取設(shè)置、數(shù)據(jù)讀取機(jī)制、數(shù)據(jù)寫入機(jī)制等設(shè)置

27、功能，取得截屏。執(zhí)行有效性：4、抽樣檢查報(bào)表抽取的運(yùn)行日志，取得截屏。第22頁(yè)/共31頁(yè)231010、“報(bào)表上報(bào)管理報(bào)表上報(bào)管理”工作底稿工作底稿序序號(hào)號(hào)控制目控制目標(biāo)標(biāo)控制控制點(diǎn)點(diǎn)控制點(diǎn)描述控制點(diǎn)描述測(cè)試步驟測(cè)試步驟三三系統(tǒng)運(yùn)行系統(tǒng)運(yùn)行10加強(qiáng)報(bào)表上報(bào)管理工作，保證報(bào)表信息上報(bào)的及時(shí)、完整。報(bào) 表上 報(bào)管理1、對(duì)報(bào)表上報(bào)有相關(guān)規(guī)定。2、報(bào)表上報(bào)時(shí)執(zhí)行統(tǒng)一定義的校驗(yàn)公式對(duì)報(bào)表進(jìn)行合法性效驗(yàn)，并有詳細(xì)的校驗(yàn)報(bào)告信息。設(shè)計(jì)有效性：1、訪談報(bào)表管理人員有關(guān)報(bào)表上報(bào)的管理規(guī)定。2、查看系統(tǒng)報(bào)表校驗(yàn)功能，取得截屏。執(zhí)行有效性：3、抽樣檢查報(bào)表數(shù)據(jù)上報(bào)的校驗(yàn)報(bào)告，取得校驗(yàn)報(bào)告截屏。第23頁(yè)/共31頁(yè)241

28、111、“系統(tǒng)備份及恢復(fù)系統(tǒng)備份及恢復(fù)”工作底稿工作底稿序序號(hào)號(hào)控制目控制目標(biāo)標(biāo)控制點(diǎn)控制點(diǎn)控制點(diǎn)描述控制點(diǎn)描述測(cè)試步驟測(cè)試步驟三三系統(tǒng)運(yùn)行系統(tǒng)運(yùn)行11加強(qiáng)系統(tǒng)備份及恢復(fù)管理，減少因故障發(fā)生造成數(shù)據(jù)丟失的風(fēng)險(xiǎn)，保障財(cái)務(wù)相關(guān)數(shù)據(jù)的安全和系統(tǒng)的快速恢復(fù)能力。系統(tǒng)備份及恢復(fù)1、對(duì)數(shù)據(jù)備份策略、備份模式、備份介質(zhì)存放、備份恢復(fù)性測(cè)試等有相關(guān)的管理規(guī)定。2、應(yīng)用系統(tǒng)提供有備份和恢復(fù)的功能。嚴(yán)格控制數(shù)據(jù)備份、恢復(fù)、轉(zhuǎn)入、轉(zhuǎn)出的權(quán)限，對(duì)備份的數(shù)據(jù)加強(qiáng)管理，防止被非法拷貝或毀壞。3、至少每月備份一次數(shù)據(jù)，并檢查備份數(shù)據(jù)的可讀性。4、備份介質(zhì)定期異地存放，備份介質(zhì)存放要有交接記錄、介質(zhì)訪問要有適當(dāng)授權(quán)和訪問記錄

29、。5、定期測(cè)試備份數(shù)據(jù)的可讀性，以保證備份的有效性。6、可能的情況下，每半年對(duì)備份進(jìn)行恢復(fù)測(cè)試。設(shè)計(jì)有效性：1、訪談系統(tǒng)管理員有關(guān)備份的管理制度和備份方案。2、查看備份管理規(guī)定。3、查看系統(tǒng)備份功能和權(quán)限控制情況，取得截屏。執(zhí)行有效性：4、檢查備份記錄。5、檢查介質(zhì)保存方式和介質(zhì)的保管、訪問記錄等。6、抽查備份數(shù)據(jù)定期可讀性測(cè)試的記錄。7、訪談系統(tǒng)管理員備份恢復(fù)的步驟，提供每半年備份恢復(fù)測(cè)試的記錄。第24頁(yè)/共31頁(yè)251212、“系統(tǒng)監(jiān)控、維護(hù)及故障處理系統(tǒng)監(jiān)控、維護(hù)及故障處理”工作底稿工作底稿序序號(hào)號(hào)控制目控制目標(biāo)標(biāo)控制控制點(diǎn)點(diǎn)控制點(diǎn)描述控制點(diǎn)描述測(cè)試步驟測(cè)試步驟三三系統(tǒng)運(yùn)行系統(tǒng)運(yùn)行12加

30、強(qiáng)系統(tǒng)運(yùn)行監(jiān)控及維護(hù)管理，及時(shí)解決系統(tǒng)運(yùn)行問題，保障系統(tǒng)安全穩(wěn)定運(yùn)行。系統(tǒng)監(jiān)控、維護(hù)及故障處理1、建立系統(tǒng)監(jiān)控和維護(hù)管理制度，明確問題處理流程。2、系統(tǒng)維護(hù)人員對(duì)系統(tǒng)運(yùn)行狀況進(jìn)行監(jiān)控；系統(tǒng)運(yùn)行中出現(xiàn)故障時(shí)，普通操作人員不能擅自處理，應(yīng)保護(hù)現(xiàn)場(chǎng)，及時(shí)與應(yīng)用系統(tǒng)管理員聯(lián)系；本單位應(yīng)用系統(tǒng)管理員不能排除故障時(shí)，應(yīng)報(bào)上一級(jí)管理部門。3、要詳細(xì)記錄運(yùn)維和問題處理情況，對(duì)故障發(fā)生時(shí)間、故障情況、解決辦法、處理結(jié)果及跟蹤進(jìn)行詳細(xì)記錄，并由維護(hù)人員或應(yīng)用系統(tǒng)管理員簽字。4、建立應(yīng)急預(yù)案，保證系統(tǒng)問題的及時(shí)解決，降低對(duì)業(yè)務(wù)處理的影響。設(shè)計(jì)有效性： 1、訪談相關(guān)人員有關(guān)問題處理流程和維護(hù)制度。2、查看問題處理及維護(hù)管理制度。 執(zhí)行有效性：3、檢查系統(tǒng)監(jiān)控記錄和用戶申報(bào)問題記錄清單，抽樣檢查問題處理情況的詳細(xì)記錄。4、檢查企業(yè)的應(yīng)急預(yù)案，包括應(yīng)急處理流程、應(yīng)急處理過程記錄等管理規(guī)定。第25頁(yè)/共31頁(yè)26問題和建議l 財(cái)務(wù)管理系統(tǒng)、財(cái)務(wù)報(bào)表系統(tǒng)的版本p 目前企業(yè)使用的版本主要有兩大類：2.X版（2.2、2.3）：大多數(shù)企業(yè)使用3.0版：集中核算版，較少企業(yè)使用，權(quán)限管理功能較強(qiáng)，密碼控制比較弱財(cái)務(wù)管理信息系統(tǒng)、財(cái)務(wù)報(bào)表系統(tǒng)的IT一般性控制矩陣和底稿主要針對(duì)2.x版制定。p