erp系统it一般性控制工作底稿
ERP系统IT一般性控制内部控制矩阵(制度范本、DOC格式)
分(子)公司
业务支持人员
应用管理员
3
业务支持人员名单
1.1
经营风险:超级用户权限管理不当,影响系统安全稳定或生产经营。
1.9超级用户权限必须严格控制,申请时必须阐明使用原因,并经ERP支持中心负责人审核签字后,应用管理员才能在系统中进行分配,使用后要及时将权限回收。
总部各部门
分(子)公司
2
用户变更申请表
用户角色矩阵
1.1
1.2
2.3
2.4
经营风险:未及时锁定或删除岗位变动、离职人员帐号,导致系统存在安全隐患。
1.2.2操作人员由于岗位变动或离开单位,人事部门必须及时通知ERP支持中心,ERP支持中心应用管理员在系统中将该用户进行锁定或删除。
总部各部门
分(子)公司
分(子)公司
1
SAP*、DDIC帐号密码修改记录
1.1
经营风险:业务支持人员的权限分配不当,影响系统安全稳定或生产经营。
1.8业务支持人员支持权限的新建、变更、删除、锁定需经ERP支持中心负责人审核签字后由应用管理员在系统中进行分配,业务支持人员在生产系统中只有相应模块的显示、跟踪权限,不能分配业务操作权限、后台配置权限。
1.10.4
2.10.4
1.2用户权限管理
1.1
1.2
2.3
2.4
经营风险:权限设置不当,导致对系统的非法或非授权访问。
1.2.1建立/变更用户帐号和角色,由申请人填写ERP系统用户权限申请表,经相关部门负责人审批后,由应用管理员在系统中建立/维护权限,相关人员进行权限测试并确认,关键用户对角色矩阵实时维护并进行版本管理。
1
用户变更申请表
人员变动清单
中石化内控-ERP系统IT一般性控制流程
中石化内控-ERP系统IT一般性控制流程1. 概述中石化作为中国最大的石油石化企业之一,其信息系统对企业的管理和业务拓展至关重要。
为了确保信息安全和业务流程的规范,中石化内部建立了完善的内控制度,其中包括ERP系统IT一般性控制流程。
本文将对该流程进行详细地介绍。
2. 流程概述ERP系统IT一般性控制流程主要包括以下几个方面的内容:2.1. 系统权限管理针对不同的职责和业务需求,ERP系统管理员需要对系统用户进行权限管理,包括用户账号、角色、权限等的设定和维护。
在此基础上,采用分层访问控制、用户验证等方式,对不同用户进行权限的限制和控制,避免未经授权的人员进行操作和修改系统数据。
2.2. 安全备份和恢复ERP系统中保存着大量的公司数据,为了避免因机房故障、自然灾害、黑客攻击等因素导致数据丢失,中石化内部建立了完善的备份和恢复机制。
管理员需要定期备份数据,并测试备份数据的恢复情况,确保数据可靠性和安全性。
2.3. 系统审计和日志管理针对所有的系统操作,ERP系统都将自动记录对应的日志信息,管理员可以对这些日志信息进行管理和审计。
系统审计可以发现潜在的风险,帮助管理员及时做出相应的处理。
日志管理则可以方便管理员快速查找和分析系统的操作记录,为管理和决策提供有力支持。
2.4. 安全漏洞和威胁监控ERP系统面临各种安全威胁和漏洞,管理员需要通过监控和巡检,及时发现和处理这些问题。
监控可以包括系统防范机制、网络安全设备、入侵检测系统等方面,管理员可根据监控结果做出相应的改进和优化。
2.5. 系统更新和升级为保护ERP系统的稳定性和安全性,系统更新和升级也是ERP系统管理的重要一环。
管理员需要确保系统的各类补丁和更新及时安装和升级,同时还需要测试新版本的稳定性和兼容性,确保系统的顺利运行。
3. 流程管理为了实现ERP系统IT一般性控制流程,管理员需要对每个细节进行管理,包括以下内容:3.1. 流程建立流程建立是ERP系统IT一般性控制流程实施的第一步,需要管理员根据中石化内部的管理规定和流程要求,制定相应的控制标准和管理流程。
erp工作计划(工作计划)
erp工作计划(工作计划)
工作计划。
1. 目标,实施ERP系统,提高公司管理效率和业务流程优化。
2. 时间安排:
确定ERP系统需求和选型,本月初至下月中。
系统实施前的准备工作,下月中至下月底。
ERP系统实施,下月底开始。
系统测试和调试,下月底至下下月初。
培训员工和系统上线,下下月初至中旬。
3. 任务分工:
确定ERP系统需求和选型,由IT部门负责,需要与各部门
沟通确认需求。
系统实施前的准备工作,由项目组负责,包括数据清理、系
统集成等。
ERP系统实施,由外部技术团队负责,协助内部团队进行系
统搭建。
系统测试和调试,由IT部门负责,同时需要各部门的参与。
培训员工和系统上线,由培训部门负责,需要协助IT部门
进行系统上线。
4. 风险控制:
系统实施可能会导致业务中断,需要提前做好备份和应急预案。
员工对新系统的接受度不高,需要进行充分的培训和沟通。
5. 成果评估:
实施后对ERP系统的使用情况进行跟踪和评估,收集用户反馈并及时调整。
对系统的运行情况进行监控,确保系统稳定运行并能够提升公司管理效率。
6. 工作计划执行情况的监督和检查:
每周召开项目进展会议,对工作计划的执行情况进行监督和检查。
随时关注各部门对ERP系统的需求和反馈,及时调整工作计划和实施方案。
以上为ERP工作计划,希望能够顺利实施并取得预期效果。
11.3ERP系统IT一般性控制流程
11.3 ERP系统IT一般性控制流程①一、业务目标1 经营目标1.1 保证系统长期稳定、安全、高效运行。
1.2 保证系统数据的准确性、实时性和完整性。
1.3 保证业务流程的通流效率,为企业的经营和发展提供技术支撑。
2 合规目标2.1 遵守保护知识产权的有关法律法规,使用合法软件。
2.2 信息技术合同符合合同法等股份公司制度、国家法律和法规。
2.3 系统数据的收集、提供、使用和转让符合股份公司有关制度以及国家安全、保护知识产权、合同法等法律、法规的要求。
2.4 业务系统的生成报表、合并报表编制过程的真实性、完整性、可靠性符合国家规定及上市地监管机构要求。
二、业务风险1 经营风险①本流程适用于股份公司ERP单轨运行企业ERP系统IT一般性控制。
1.1 规章制度不健全,导致系统管理失控。
1.2 技术方案不合理,业务流程不规范,系统功能存在问题,导致系统不能满足业务需求。
1.3 系统登录访问机制不健全、用户权限管理不规范等,导致对系统的非法或非授权访问。
1.4 数据收集、转换和清理的管理不完善,导致系统存在大量垃圾数据和系统数据失真。
1.5 变更管理不规范,客户化开发、测试和传输管理不完善,导致系统故障、影响系统正常运作或系统功能不能满足业务需求。
1.6 系统运行状态监控不到位,系统潜在故障处理不及时,支持体系不健全,影响系统正常运行。
1.7 上线方案不合理,导致系统上线失败。
1.8 上线月结差异分析报告不准确,导致系统数据错误无法纠正,影响系统正确性。
1.9 备份策略和备份方案不完善,导致数据丢失或数据、系统无法恢复。
1.10 培训工作不到位,导致用户操作不熟练,无法保证业务处理的正确性。
1.11 没有建立完善的应急预案,影响到业务处理。
2 合规风险2.1 侵犯知识产权,导致诉讼及股份公司声誉受到损害。
2.2 系统数据的收集、提供、使用、转让违反国家法律法规及股份公司内部规章制度等,导致系统无法正常运行。
erp工作计划(工作计划)
erp工作计划(工作计划)
工作计划。
项目名称,ERP系统实施项目。
项目目标,成功实施ERP系统,提高企业管理效率和运营效果。
时间安排:
1. 系统需求分析阶段(1个月)。
收集各部门需求,制定需求分析报告。
与供应商对接,确认系统功能和定制需求。
2. 系统实施准备阶段(2个月)。
确定实施计划和时间表。
培训内部员工,准备数据迁移和系统测试。
3. 系统实施阶段(3个月)。
数据迁移和系统部署。
系统测试和调试。
内部员工培训和系统上线。
4. 系统运行和优化阶段(持续)。
监控系统运行情况,及时解决问题。
收集用户反馈,进行系统优化和改进。
责任分工:
项目经理负责整体项目管理和进度把控。
各部门经理配合需求分析和内部员工培训。
IT部门负责系统实施和运行维护。
供应商负责系统定制和技术支持。
风险控制:
加强沟通,及时发现和解决问题。
提前做好备份和应急预案。
做好用户培训和系统测试,减少上线风险。
以上为ERP系统实施项目的工作计划,希望能够顺利完成项目,提升企业管理水平和运营效率。
erp工作计划(工作计划)
erp工作计划(工作计划)
工作计划。
目标,实施ERP系统,提高公司运营效率和管理水平。
时间安排:
第一阶段(1-2个月):
确定ERP系统需求,包括财务、人力资源、采购、库存等模块。
研究市场上的ERP系统供应商,选择最适合公司需求的系统。
与供应商进行洽谈,确定合作关系,签订合同。
第二阶段(3-4个月):
进行ERP系统的定制开发,确保系统符合公司实际业务流程。
对公司员工进行ERP系统的培训,确保他们能够熟练操作新系
统。
进行系统的测试和调试,解决可能出现的问题和bug。
第三阶段(5-6个月):
正式上线ERP系统,逐步替代原有的管理系统。
进行系统的监控和维护,确保系统稳定运行。
收集员工对新系统的反馈意见,及时调整和优化系统。
预期成果:
公司各部门之间的信息共享更加高效,协同工作效率得到提升。
公司管理层能够通过ERP系统实时掌握公司运营情况,做出更
科学的决策。
公司成本控制和资源利用效率得到提高,提升公司整体竞争力。
erp工作计划(工作计划)
erp工作计划(工作计划)
工作计划。
1. 目标,实施ERP系统,提高企业管理效率和运营效果。
2. 时间安排:
月初,确定ERP系统实施时间表和里程碑。
第一周,进行ERP系统的需求分析和评估。
第二周至第四周,选择合适的ERP系统供应商并进行谈判。
第五周至第六周,ERP系统的定制和开发。
第七周至第八周,ERP系统的测试和培训。
第九周,正式上线ERP系统。
3. 资源调配:
指定项目经理负责ERP系统实施项目。
需要IT团队的支持进行系统开发和测试。
需要财务、人力资源等部门的配合进行需求分析和培训。
4. 任务分工:
项目经理负责整体项目管理和进度控制。
IT团队负责ERP系统的开发和测试。
各部门负责人负责本部门的需求分析和培训。
5. 风险管理:
需要充分沟通,减少实施过程中的误解和偏差。
需要严格把控项目进度,避免延误上线时间。
需要充分培训员工,避免系统上线后出现操作问题。
6. 预期成果:
ERP系统能够有效提高企业管理效率和运营效果。
员工能够熟练操作ERP系统,提高工作效率。
项目能够按时完成并顺利上线。
7. 审核和评估:
每周进行项目进度汇报和风险评估。
上线后进行ERP系统的效果评估和员工满意度调查。
以上为ERP系统实施的工作计划,希望能够顺利完成项目并取得预期成果。
erp系统it一般性控制介绍
业 务 部 门 负 责 人
半 年 一 次
设计有效性: 设计有效性: 1、访谈权限管理员关于用户权限和 角色分配情况, 角色分配情况 , 审核权限和角色是 否按照业务部门要求进行分配; 否按照业务部门要求进行分配; 执行有效性: 执行有效性: 1、抽查用户帐户清单是否至少半年 提交业务部门审核一次; 提交业务部门审核一次; 用户登陆截屏; 2、用户登陆截屏; 查看系统用户帐号清单。 3、查看系统用户帐号清单。 S_ALR_87101203 4 、 运行事务码 S_ALR_87101203 , 检查系统是否存在超过半年没有 登录的账户。 登录的账户。
设计有效性: 设计有效性: 1、访谈信息部门安全管理员关于用户登录管理的相关规定, 访谈信息部门安全管理员关于用户登录管理的相关规定, 审阅用户登录规定是否符合用户登录和认证的管理目标, 审阅用户登录规定是否符合用户登录和认证的管理目标,能 否达到控制风险的目的; 否达到控制风险的目的; 2、每个人拥有独立的用户帐号,不能共享。 每个人拥有独立的用户帐号,不能共享。 执行有效性: 执行有效性: 1、检查系统登录的配置,包括密码长度至少6位,密码的错 检查系统登录的配置,包括密码长度至少6 误次数是否设定为5 误次数是否设定为5次,系统的空闲时间是否设定为10分钟。 系统的空闲时间是否设定为10分钟。 10分钟 RZ10,检查子系统参数文件参数 检查子系统参数文件参数: 运行事务码 RZ10,检查子系统参数文件参数: login/min_password_lng=6 login/password_expiration_time=180 login/fails_to_user_lock=5 rdisp/gui_auto_logout=600 2、密码设置情况截屏(包括长度设置、时效、复杂度控制、 密码设置情况截屏(包括长度设置、时效、复杂度控制、 定期更改设置) 定期更改设置)
ERP系统管理作业指导书
1.1.7各部门经理根据ERP初始实施时的操作手册,结合本部门实际情况组织制定出本模块操作规范,说明本模块主要业务流程、各流程操作步骤、各进程操作方法、以及操作注意事项和常见问题解答,用于各岗位操作参考书和培训新进员工,并在使用过程中使系统不断趋向完善。
5、保证数据的及时性、准确性,所有数据的更新修改应在接到通知后立即进行,并将修改结果知会相关人员,最多不能延误超过半日,不能影响下层业务处。
6、跟踪订单执行情况,监督、催促下游环节及时处理订单,以免延误,并及时将情况反馈给部门主管。
1.2.3生产制造管理模块(技术部、生产部):
1.2.3.1物料清单以及存货编码数据主管(技术部经理):
5、计划有变动时,及时调整并维护,重运作MRP物料需求计划,并将调整结果向下游用户作正式的文字通知;
6、当受到下游供应部等反馈的运算单据错误置疑通知后,必须在第一时间积极配合要求部门查清问题,如有误马上协助解决;
7、根据生产实际,按客户订单数量进行自制件及采购件的余量控制;
8、负责调整及完善生产任务单,在确定无误后下达生产任务单;
主要职责:
1、系统开具采购发票。
3、接到经生产部确认的生产领料单、退料单等通知后,当日输入完成(蓝字、红字)系统出库单、其它出库单并审核;
4、及时办理产成品的入库手续,并确认审核、不能因延误影响销售出库;
5、发现自身操作失误应及时通知受影响部门,并采取相应措施及时纠正;、
6、需要做系统出入库等各项单据需及时处理,不能影响正常业务进行,造成公司经济损失;
4、负责分配、指导、监督仓储数据管理员的工作,确保库存数据的准确、确保出入库控制的及时性和准确性;
ERP系统IT一般性控制内部矩阵
2
用户审核签字
1.1
1.2
2.3
2.4
经营风险:账户共享,导致责任不清,导致系统存在安全隐患。
1.3.2应用管理员在系统中为每个操作人员设置独立的用户帐号,不能设置共享用户帐号(查询用户帐号除外)。
总部各部门
分(子)公司
1
1.1
1.2
2.3
2.4
经营风险:用户创建随意,影响系统安全稳定或生产经营。
总部各部门
分(子)公司
应用管理员
系统管理员
安全管理员
2
监控记录
安全员检查记录
1.1
经营风险:生产系统存在开发帐户、关键用户,影响系统安全稳定或生产经营。
1.6生产系统上线投入运行后,锁定生产系统中的开发人员、关键用户的帐号;如果开发人员或关键用户必须在生产系统中诊断问题,需填写ERP系统用户权限申请表(提出申请帐号目的和期限),由相关部门负责人签字确认后由应用管理员进行维护,完成问题诊断任务后锁定该帐号。
1.10.4
2.10.4
1.2用户权限理
1.1
1.2
2.3
2.4
经营风险:权限设置不当,导致对系统的非法或非授权访问。
1.2.1建立/变更用户帐号和角色,由申请人填写ERP系统用户权限申请表,经相关部门负责人审批后,由应用管理员在系统中建立/维护权限,相关人员进行权限测试并确认,关键用户对角色矩阵实时维护并进行版本管理。
总部各部门
分(子)公司
2
用户变更申请表
用户角色矩阵
1.1
1.2
2.3
2.4
经营风险:未及时锁定或删除岗位变动、离职人员帐号,导致系统存在安全隐患。
1.2.2操作人员由于岗位变动或离开单位,人事部门必须及时通知ERP支持中心,ERP支持中心应用管理员在系统中将该用户进行锁定或删除。
财务管理、财务报表系统it一般性控制矩阵和底稿
单位名称: 控制点 序号 控制目标 1 一 数据和程序访问 建立完善的权限 管理机制,在合 理的范围内确保 用户被授予的系 账号及权 FMIS-DA1 统权限和其岗位 限管理 职责相符,防止 对系统的非授权 访问。 1、建立完善的用户权限管理制度,明确系统相关人员分工 及岗位职责,确保用户拥有与其岗位职责分工相对应的权 限;用户的增删及其权限的变更需经财务部门负责人审批 确认。 财务部门 2、对软件功能使用权限、数据访问权限、科目使用权限、 每半年 负责人 报表使用权限、综合查询权限及其他权限等进行控制,保 证用户被授予的权限和其岗位职责相符。 3、财务部门负责人应每半年检查一次系统内的用户权限设 置。 1、每个用户拥有独立的用户账号,不得混用。同一用户不 允许拥有多个账号。 2、应用系统中用户帐号不能重复。 财务应用 3、用户登录时除对用户密码进行验证外,还要检查系统登 系统管理 每季度 录时间,限制用户登录已封帐的会计期间。 员 4、财务部门负责人应每季度检查一次系统内的用户账号清 单。 编号 2 控制点 3 控制点描述 4 控制 执行人 5 控制活动属性 控制 频率 6 自动/ 预防性/ 手动 检查性 7 8 相关制度和文档 9 穿行测试 有效否 10 测试结果 设计 有效否 11 执行 有效否 12 修补完 备注 成时间 13 14
自动
预防性 检查性
《中国石油化工 股份有限公司财 务信息管理系统 系统管理办法》
控制点 序号 控制目标 1 编号 2 控制点 3 控制点描述 4 控制 执行人 5
控制活动属性 控制 频率 6 自动/ 预防性/ 手动 检查性 7 8 相关制度和文档 9 穿行测试 有效否 10
测试结果 设计 有效否 11 执行 有效否 12 修补完 备注 成时间 13 14
erp工作计划(工作计划)
erp工作计划(工作计划)
工作计划。
日期,2022年1月1日至2022年12月31日。
目标,实施ERP系统,提高企业管理效率和业务流程优化。
计划:
1. 确定需求,与各部门负责人和员工沟通,了解他们对ERP系统的需求和期望,明确系统应具备的功能和特性。
2. 系统选择,根据需求确定适合的ERP系统,进行市场调研和比较,选择最适合企业的系统。
3. 系统实施,与ERP系统供应商合作,制定实施计划,包括系统部署、数据迁移、培训等,确保系统能够顺利上线。
4. 测试和调试,在系统上线前进行全面测试和调试,确保系统运行稳定、功能完善。
5. 培训和推广,组织员工培训,让他们熟悉并掌握ERP系统的使用方法,推广系统在企业内部的应用。
6. 运营和维护,建立ERP系统的运营和维护机制,确保系统长期稳定运行,不断优化系统,满足企业不断变化的需求。
7. 评估和改进,定期对ERP系统进行评估,收集用户反馈,发现问题并及时改进,确保系统始终能够满足企业管理需求。
8. 风险管理,及时发现和解决ERP系统运行中的问题和风险,确保系统安全可靠。
9. 成本控制,合理控制ERP系统实施和运营的成本,确保企业获得最大的投资回报。
10. 沟通和协调,与各部门密切合作,确保ERP系统的顺利实施和运营,提高企业管理效率和业务流程优化。
负责人,XXX(姓名)。
批准人,XXX(姓名)。
日期,2021年12月31日。
2021年年度注册会计师全国统一考试审计简答和综合题
2021年年度注册会计师全国统一考试审计简答和综合题注册会计师全国统一考试《审计》练习试卷(机考)A卷三、简答题1.(本小题6分。
)ABC会计师事务所是一家新成立会计师事务所,其质量控制制度部分内容摘录以下:(1)经主任会计师指派,副主任会计师能够分管会计师事务所质量控制工作,并对会计师事务所质量控制制度负担最终责任。
(2)实施项目质量控制复核范围为上市企业审计项目中被评定为高风险审计项目。
(3)假如项目组组员和项目质量控制复核人员发生意见分歧,应该经过向技术部进行书面咨询,或和会计师事务所负责风险控制合作人进行讨论等方法给予处理。
在分歧还未处理前,不得出具审计汇报。
(4)以三年为周期,选择每一位合作人已完成一个项目进行检验。
假如合作人在连续两次检验中被评为优异,以后可每隔五年检验一次。
(5)会计师事务所建立专门系统用于统计对用户关系和具体业务接收和保持评定。
该系统中统计信息无需纳入业务工作底稿。
(6)项目组应该自鉴证业务汇报日起六十日内将业务工作底稿归档。
归档后,项目组需要删除或增加业务工作底稿,须经主任会计师同意。
针对上述第(1)至(6)项,逐项指出ABC会计师事务所业务质量控制制度是否符合质量控制准则和审计准则要求,并简明说明理由。
答案:第(1)项不符合要求。
会计师事务所主任会计师对质量控制负担最终责任。
第(2)项不符合要求。
全部上市企业审计项目均应实施质量控制复核。
第(3)项符合要求。
重大问题分歧未处理前不应出具审计汇报。
第(4)项不符合要求。
业务检验周期不得超出3年,每3年最少应检验每个合作人业务一次。
第(5)项不符合要求。
归档后,能够增加和修改,但不能删除或废弃审计工作底稿。
2.(本小题6分,能够选择汉字或英文解答,如使用英文解答,须全部使用英文,答题正确,增加5分,最高得分为11分。
)上市企业甲企业系ABC会计师事务所常年审计用户。
在对甲企业财务报表审计中,ABC会计师事务所碰到下列和职业道德相关事项:(1)A注册会计师在至期间担任甲企业财务报表审计项目经理,并签署了和甲企业审计汇报。
ERP系统控制规范工作
地区公司内控部门应在系统蓝图确定后即组织开展ERP系统相关RCD文档的编 制工作,系统双轨运行前应完成所有受ERP系统影响的流程的控制文档、根据 系统建设方案确定的接口相关控制文档以及记录ERP系统中实际配置的配置清 单,一并提交股份公司内控与风险管理部审阅。内控与风险管理部依据内控手 册以及各地区公司的实际业务对文档进行审阅。下发审阅意见后,地区公司内 控部门组织各相关业务部门对审阅意见进行反馈,ERP系统相关RCD文档需在 系统双轨运行前定稿,并开始执行。
(1) ERP控制规范建设整体框架
内控与风险管理部
新疆/大 港/塔里木
山东销售/华北 销售
兰州石化/锦西石化 /东北化工销售
西气东输 管道
三家油田公司 控制文档
审阅蓝图模板
山东/华北销售 ERP控制文档
审阅蓝图模板
兰州/锦西石化/东 北化销ERP控制文档
审阅蓝图模板
西气东输/管道 ERP控制文档
审阅蓝图模板
实现方式二:在系统中直接创建销售订单,通过审批销售订单来保证每一笔销 售单经过授权。
系统功能设置方面
例如:部分公司对于销售订单采用系统内审批,部分公司对销售订单实行系统 外审批。
1. ERP系统内控工作开展
3) 多个业务模块
由于多业务、多板块等特点,ERP、HR系统实施涉及了ERP系统的全部模块(包括 BASIS),各地区公司实施的SAP系统模块包括存货和采购(MM)、销售(SD)、总账 (FI)、成本管理(CO)、生产计划(PP)、设备维护(PM)、项目管理(PS)、人力资源 (HR)共8个模块,涉及的业务流程包括采购、销售、存货、成本、会计业务处理、 工程、设备、生产、人力资源等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1、检查ERP项目可行性研究报告是否经发展计 划部审批; 2、访谈企业信息部门ERP建设项目组织,了解 所实施的功能模块及各模块参与的关键用户; 3、检查业务流程图与流程描述是否完整; 4、检查流程图与流程描述是否经由关键用户、 业务部门领导签字确认。
1、访谈ERP支持中心负责人了解支持人员情 况; 2、检查支持人员的权限设置是否合理; 3、抽查系统中支持人员的操作日志。
序号
控制目标
控制点编号
控制点
控制点描述
测试步骤
测试结果
结论
ERP-DA8
1、访谈总部信息部负责人,了解与第三方合作 第三方合 针对第三方人员需要签订保密协议,第三方人员在没有得 的情况; 作保密协 到中国石化同意的情况下不得向任何其他企业或个人透露 2、检查是否在与第三方合作协议中有保密条款 议 中石化的任何企业信息。 。
4
加强对第三方人 员授权访问的管 理 ERP-DA9
1、建立第三方人员帐户申请表,经总部/企业的业务需求 部门或信息部门负责人审批,其中要明确该帐户的使用期 第三方人 限,外部人员撤离后或到期时该帐户必须锁定或删除; 员的访问 2、实施顾问撤离后,其帐户需在系统中进行删除或锁 管理 定,如在维护期需要支持,按照用户权限维护流程经相关 部门负责人审批后方可解锁。
序号 三
控制目标 程序开发管理
控制点编号
控制点
控制点描述
测试步骤
测试结果
结论
8
加强项目可研和 立项的管理,保 证设计功能满足 业务管理需求
ERP-PD1
1、总部信息部组织相关部门提出年度ERP建设计划,经总 部ERP项目指导委员会审核后,总部信息部组织相关企业 项目立项 编制ERP项目可行性研究报告,经相关部门组成的专家组 和详细设 审核后报发展计划部审批立项; 计管理 2、实施顾问和关键用户根据ERP项目可行性研究报告和批 复进行功能设计,完成流程图与流程描述,交由业务部门 领导审核签字。
序号
控制目标
控制点编号
控制点
控制点描述
测试步骤 1、访谈信息部门或ERP支持中心负责人了解系 统配置变更管理制度和变更情况; 2、抽查系统配置变更申请单是否报总部信息部 /总部ERP支持中心审批。
测试结果
结论
ERP-PC4
1、由信息部门/ERP支持中心制定系统配置变更管理制 系统配置 度,明确变更流程; 变更申请 2、需求变更部门填写“系统配置变更申请表”,相关业 管理 务部门负责人审批后提交企业信息部门,由企业信息部门 提交到总部信息部/总部ERP支持中心负责人审批。 总部信息部/ERP支持中心确定变更需求是否合理,批准后 系统配置 将授权总部/企业支持人员或第三方人员根据变更需求进 变更流程 行流程设计,流程图和流程描述经相关业务部门签字确认 管理 后在开发集团进行配置修改,由被授权人员填写系统配置 变更记录。
ERP-PC5 6 加强系统配置变 更管理和相应文 档管理
1、访谈信息部门/ERP支持中心ERP系统变更情 况,检查系统配置变更授权记录; 2、检查系统配置变更流程图和流程描述是否经 业务部门签字确认。
ERP-PC6
1、访谈检查系统配置变更是否经业务人员测 凡涉及业务流程、数据库变动的配置变更,需由业务人员 系统配置 试; 在测试集团进行测试,业务人员编制测试场景,并记录测 变更测试 2、检查系统配置变更测试记录清单是否经业务 试结果,测试记录经业务部门负责人审核后提交BASIS人 管理 部门负责人审核。 员将变更内容传输至生产系统中。 系统配置 配置变更后由企业ERP支持中心组织相关人员修改配置文 变更记录 档和用户手册,并进行版本管理和组织培训工作,相关文 1、抽查系统配置变更后的配置文档。 管理 档由总部ERP支持中心归档。 软件版本 由总部业务部门/企业信息部门提出的软件补丁、版本升 变更申请 级申请,必须由总部信息部审查批准后统一组织安排。 管理
ERP-DA1 加强用户权限管 理,防止对系统 的非授权访问
1
1、检查是否制定ERP系统用户权限管理制度; 2、访谈权限管理员关于权限维护的执行情况, 考察是否与制度相符合; 3、抽查用户权限和角色维护(新建、变更、删 除、锁定)是否有对应的权限维护申请表审批 记录单以及相应人员(申请人、业务部门负责 人、测试人员、权限管理员)的签字; 4、抽查建立/变更的权限和角色是否经业务部 门测试。
1、访谈信息部门/ERP支持中心了解软件补丁和 版本升级情况,审核每次软件补丁安装、版本 升级是否组织人员对系统设计流程全部进行测 试; 2、检查测试流程清单是否经测试人员签字确 认; 3、抽查测试记录。
ERP-PC10
1、ERP支持中心负责人检查测试流程清单是否完整,并在 “软件版本记录表”签字确认后,由BASIS管理员根据补 1、检查软件版本记录表是否经ERP支持中心负 软件版本 丁/版本升级方案在生产系统完成补丁安装或者版本升级 责人签字; 变更记录 工作; 2、检查版本变更记录。 管理 2、由BASIS管理员在“软件版本记录表”中对版本变更进 行记录。
1、访谈安全管理员关于超级用户管理的相关制 度,检查超级用户管理制度是否达到控制风险 1、BASIS管理员负责系统运行情况的监控和系统日志管 的目的; 理,并进行系统监控记录; Basis管 2、列出系统中的所有超级用户,将此清单与目 2、BASIS管理员在生产系统中只分配系统监控的只读权 理员的管 前的系统管理员岗位进行对照; 限; 理 3、检查BASIS管理员的系统监控记录; 3、安全管理员每季度对BASIS管理员的操作日志至少检查 4、在系统中检查BASIS管理员的权限是否有业 一次并记录检查情况。 务操作、系统开发权限; 5、抽查安全管理员检查BASIS操作的记录。
1、访谈总部信息部负责人、总部ERP支持中心 主任了解系统变更管理制度及系统的变更情 况; 2、检查系统开发变更是否经ERP项目立项或经 相关人员(需求部门负责人、总部信息部/ERP 支持中心)审批。
5
加强开发变更管 理和相应文档管 理 ERP-PC2
由总部信息部/ERP支持中心组织人员根据变更需求在开发 集团中进行开发,完成开发后由提报单位的需求变更部门 开发变更 在测试集团中进行测试,针对变更部分要编制测试文档, 环境管理 包括测试场景和测试结果,经相关业务部门签字确认后, 由提报单位BASIS人员按照传输管理要求传入生产系统。
ERP系统IT一般性控制工作底稿
被测试单位: 序号 控制目标 控制点编号 控制点 测试人: 控制点描述 复核人: 测试步骤 测试时间: 测试结果 结论
一 程序和数据访问 1、制定ERP系统用户权限管理制度; 2、建立/变更用户帐户和角色,由申请人填写“ERP系统 用户权限申请表”,经相应业务部门负责人审批后,由权 限管理员在系统中建立/维护权限,提交申请人进行权限 测试并填写测试记录; 用户权限 3、无论是已有角色的分配,还是建立一个新的角色,都 维护 需关键用户进行测试并填写测试记录,测试通过并经相应 业务部门负责人签字后才能在生产系统中启用; 4、业务人员由于岗位变动或离开单位,业务部门填写“ ERP系统用户权限申请表”锁定帐户,经业务部门领导审 核后,由权限管理员在系统中将该用户进行锁定。 权限管理员每季度在线检查用户权限使用情况,半年至少 打印一次用户帐户清单,提交业务部门审核,权限管理员 用户帐户 根据业务部门负责人审核意见在系统中进行调整并记录权 管理 限维护结果,对于半年未使用的用户根据业务部门负责人 意见进行必要的锁定。
1、访谈权限管理员,了解生产系统中开发用户 、关键用户是否锁定其帐户; 2、在生产系统中抽查开发人员、关键用户是否 设有帐户; 3、如果开发人员、关键用户在系统中有开发权 限,检查其权限申请表及其操作日志记录。
3
加强系统超级用 户的管理,建立 完善的系统安全 机制ቤተ መጻሕፍቲ ባይዱ
ERP-DA6
1、要求操作系统管理员在操作系统安装完成后对服务器 根帐户(root)密码进行修改,并至少三个月定期更换一 次密码; 2、数据库管理员在数据库和SAP软件安装好后需修改SAP 预置帐户 系统预置帐户(SAPR3,SYS,SYSTEM)的缺省密码,并至 的管理 少三个月定期更换一次密码; 3、系统管理员需每天跟踪预置帐户的操作并至少保存一 个月的操作日志记录; 4、安全管理员每季度需对操作系统管理员、数据库管理 员、权限管理员操作日志至少检查一次并记录。
1、审阅第三方人员的帐户申请表是否有相应人 员的审批签字; 2、检查已撤离的第三方人员帐户是否已经锁定 或删除。
二
程序变更管理
ERP-PC1
1、总部信息部/ERP支持中心制定客户化开发变更管理制 度; 2、对于功能增强/表单/报表/系统接口等客户化开发的新 开发变更 需求或者对已有客户化开发的变更,由需要变更部门填写 需求管理 “系统开发变更申请表”,其中需简要描述功能需求和功 能说明,经提报单位的需求部门负责人审核后报总部信息 部/ERP支持中心审批。
ERP-DA2
1、访谈权限管理员关于用户权限和角色分配情 况; 2、抽查用户帐户清单是否至少半年提交业务部 门审核一次。
2
健全系统登录访 问机制,防止密 码强度不够造成 密码泄露等问题 发生
ERP-DA3
1、密码规则:长度6位以上,数字+字母;用户密码3个月 内必须更新一次;帐户密码重复输入5次错误则暂停登录 系统登录 或系统锁定;如果用户10分钟不进行任何操作,系统应自 访问控制 动退出该帐户; 2、系统中不应设置共享用户(查询用户除外)。
1、访谈信息部门安全管理员关于用户登录管理 的相关规定,审阅用户登录规定是否符合用户 登录和认证的管理目标,能否达到控制风险的 目的; 2、检查系统登录的配置,包括密码的错误次数 是否设定为5次,系统的空闲时间是否设定为10 分钟。
序号
控制目标
控制点编号
控制点
控制点描述
测试步骤