财务管理与财务报表系统介绍(ppt 33页)

设计有效性： 1、访谈应用系统管理员密码设置规则及有关规 定。 2、登录财务系统“维护工具”新建用户检验系 统是否实现了密码设置控制。取得密码少于6位 和第一位不是字符的提示截屏。 3、登录系统测试用户密码验证3次失败退出系统。 执行有效性： 4、检查操作系统、数据库、应用系统的初始密 码，登录系统，查看系统默认账号的密码是否都 已做了修改（例如“sa”账号初始密码为空）。 5、检查操作系统、数据库、应用系统管理员密 码的设置情况和定期修改记录。 6、抽样检查应用系统管理员的每季度检查普通 用户密码修改情况的记录（可定期发通知要求用 户修改密码，要求用户记录密码修改时间，应用 系统管理员抽样检查）。
4、财务部门负责人应每 半年检查一次系统内的用 户权限设置。
5、查看用户及权限每半年的 审核记录（打印系统用户清单， 相关责任人审核并签字，有与 岗位不符情况，及时变更权限，
写明原因和处理情况）。
结论
设计有 效
执行有 效
穿行有 效
文档编 号
FRE-DA11.1
FRE-DA11.2
FRE-DA11.3
控制活动属性
控 制 执 行 人
控 制 频 率
自 动 / 手 动
预 防 相关制度 性/ 和文档
检
查
性
5
67 8
9
测试结果
穿行 测试 有效
否
设 计 有 效 否
执 行 有 效 否
10 11 12
修 补备 完注
成
时
间
13
1 4
建立完善
的权限管
理机制，
1
在合理的 范围内确 保用户被 授予的系 统权限和 其岗位职 责相符，
4
SOX法案对IT一般性控制的要求
“IT一般性控制”的主要检查评价内容
企业整体层面的IT控制
包括控制环境、风险评估、信息和沟通、监控 信息系统的IT一般性控制
程序和数据访问、程序变更、程序开发、系统运行 IT基础设施、终端用户计算
5
财务管理、财务报表系统IT一般性控制
信息部会同财务部、普安联盟共同设计了现有财务管理系 统、财务报表系统的IT一般性控制矩阵和工作底稿，特别 参考了《中国石油化工股份有限公司财务信息管理系统系 统管理办法》（财信〔2003〕100号文），设计主要原则为 ：在满足SOX法案的前提下，尽可能贴近企业应用的实际情 况，少增加企业填报的工作量。
具体到每个省，可针对具体情况进行判断。主要判断依据，从IT角度，查看 油站日报表、发卡网点预收款进入财务报表的方式，是手工还是依赖IC卡系 统；从财务角度，查看IC卡预收账款占企业总预收款的比例， IC卡销售额 占总销售额的比例。 总部统一实施系统由总部统一设计IT一般性控制矩阵和工作底稿，下发企业 填报；企业特有系统需自己设计IT一般性控制矩阵和工作底稿。
11
IT一般性控制矩阵和工作底稿说明
相关制度和文档：《中国石油化工股份有限公司财务信息 管理系统系统管理办法》中国石化财信〔2003〕100号；《 中国石油化工股份有限公司管理信息系统应用管理办法》 已评审，近期下发。企业需补充自己制定的一些相关管理 办法和规范。
设计、穿行、执行是否有效：有效、无效、未发生、不适用 修补完成时间：如果有缺陷，写明修补完成的计划时间，
3
SOX法案对IT一般性控制的要求
如何界定与财务报告相关的系统
界定相关的主要原则：与财务报告相关，间接或直接为财务报告的生成提供 了有关信息。
毕马威要求，首先应管理层自己判断，一般讲，管理层纳入审计范围的系统 应比毕马威外审的范围大。
ERP系统、财务管理系统、财务报表系统肯定与财务报告相关。 毕马威关于IC卡系统的建议，从中国石化整体讲，IC卡肯定要纳入审计范围，
ERP上线企业－－ERP系统 财务报表系统 12个控制点
ERP未上线企业－－财务管理信息系统 11个控制点 （含今年正在实施ERP的企业）
6
财务管理、财务报表IT一般性控制控制点介绍
序号
控制点名称
一、程序和数据访问
1
用户权限管理
2
用户账号及访问管理
3
密码管理
4
系统管理员管理
5
普通用户管理
6
系统日志管理
控 序制 号目
标
控 制 点
控制点描述
测试步骤
一 数据和程序访问设计有效性：
统
独立的用户账号， 1、访谈应用系统管理
登
不得共享。
员用户帐号设置情况
录
和登录验证过程。
访 用 2、应用系统中用 2、登录系统检查用户
问 户 户帐号不能重复， 帐号唯一性，确认每
机 账 查看系统中是否 个用户拥有独立的用
控制点描述
测试步骤
测试结果
1、建立完善的用户权限 管理制度，明确系统相关 人员分工及岗位职责，确 保用户拥有与其岗位职责 分工相对应的权限。
设计有效性： 1、访谈财务部门负责人有关 权限管理制度及权限申请审批 流程。 2、查看系统“维护工具”中 权限分配功能，取得截屏。
2、用户的增删及其权限 的变更需填写“用户权限 审批表”，并经财务部门 负责人审批确认。
2
SOX法案对IT一般性控制的要求
为什么要对“IT一般性控制”的有效性进行检查评价 2002年7月30日，美国总统布什签发了《萨班斯-奥克 斯利法案(SOX法案) 》，对在美国上市的企业提出了 一系列要求。 2006年4月30日 IT治理协会ITGI发布《IT Control Objectives for SOX，2 Edition》, 对上市公司的 IT控制提出了要求 为保证财务报告的完整性、准确性，SOX法案要求对财 务报告相关的信息系统进行“IT一般性控制”是否有 效的检查评价。
7
第三方人员管理
二、程序变更
8
系统变更管理
三、系统运行
9 ERP报表接口管理
10 报表上报管理
11 系统备份及恢复 12 系统监控、维护及故障处理
财务管理系统
财务报表系统
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
7
1、“用户权限管理”控制矩阵
控制目标
序
编
号
号
控 制 点
1
2
3
一 数据和程序访问
控制点 控制点描述 4
4
加强系 统管理 系统 员管理， 管理 防止不 员管 合规操 理 作。
并应相对稳定，其更换必须经相关 部门负责人审批，并严格办理交接 手续。 2、系统管理员、应用系统管理员 只能处理系统设置、数据库维护、 数据备份与恢复、用户及权限管理 等功能，不能登录帐务系统处理会
2、检查系统中系统管理员的 权限情况，确认系统管理员 没有处理具体业务的权限。
18
4、“应用系统管理员管理”工作底稿
序 号
控制目 标
控 制 点
一 数据和程序访问
控制点描述
测试步骤
1、企业需配备专职或兼职数据库、 设计有效性：
操作系统（统称系统管理员）、应 1、访谈相关部门负责人有关
用系统管理员，系统管理员、应用 系统管理员的管理制度及任
系统管理员要经过授权并明确职责， 用审批流程。
权限要求
日期： 用户姓名 电话
□开户
□变更 帐号停用
时间
财务部门负责人签字
应用系统管理员签字
备注
□销户
15
IT一般性控制矩阵和工作底稿说明
每个控制点需要涵盖的内容：
◆ 控制目标 ◆ 控制点 ◆ 控制点描述 ◆ 控制执行人 ◆ 测试步骤 ◆ 测试结果 ◆ 控制要留下痕迹：测试相关证据文档
16
2、“用户账号及访问管理”工作底稿
FRE-DA11.4
FRE-DA11.5
FRE-DA11.6
FRE-DA11.7
9
IT一般性控制矩阵和工作底稿说明 矩阵和工作底稿中的相同列（4列）：
控制目标：防范风险的目标描述 矩阵中“编号”与工作底稿中“控制点编号” ：
FMIS-DA1 为两张表建立链接关系。
控制点名称：用户权限管理 控制点描述：管理规定及申批流程；信息系统功 能；定期检查情况
执行有效：多个的穿行测试有效。要有一定审计的样本， 随机抽取。
13
IT一般性控制矩阵和工作底稿说明
测试步骤：要合理、充分，要能测出来。测试步骤有很 多：访谈、查制度、系统查询、定期检查、考评相关人 员有无相关能力；设计、执行有效性的步骤分开写。
测试结果：对应测试步骤记录每一步的测试结果，并提 供相应的证据表单。
3
防止密码 设置强度 不够造成 系统泄密 或受到非 法访问。
密码管 理
1、密码规则：密码长度大 于等于6位；密码为数字与 字符的组合；密码需定期 更换。 2、根据密码设置规则，在 系统中实现了控制，当密 码长度小于6位时系统会提 示。密码输入时以掩码形 式录入，防止密码泄露。 3、密码验证超过三次失败 自动退出系统。 4、操作系统、数据库、应 用系统等初始口令的设置 应在系统投用前修改，并 定期更改。 5、应用系统管理员应每季 度检查普通用户密码的修 改情况。
财务管理、财务报表系统 IT一般性控制矩阵和工作底稿
财务管理、财务报表系统IT一般性控制矩阵和工作底稿
SOX法案对IT一般性控制的要求 财务管理、财务报表系统IT一般性控制 各控制点测试结果、测试结论的填报要求
信息部项目处 孙丽华 64998127 sunlih@ 普 安 联 盟 李 军 64999350 13501291151
执行有效性： 3、检查“用户权限审批表” 填写是否及时齐全，按照系统 用户增删及变更总数，随机抽 取**张“用户权限审批表”进
3、系统提供了功能权限、 数据权限等权限分配功能， 保证用户被授予的权限和 其岗位职责相符。
行检查。 4、登录财务系统“维护工具” 查看用户权限，取得截屏，确 认是否和其申请审批的权限相 符。
文档编号： FRE-DA1-1.1………FRE-DA1-1.n 测试相关 记录文档编号。
签字表单－－财务用户权限审批表（样表）。 抽样原则见“内部控制检查评价与考核暂行办法”
14
IT一般性控制矩阵和工作底稿说明
财务用户权限审批表
单位名称： 用户编号 所在部门 岗位职责 申请类型
帐号启用时间
帐号申请 （变更）原因
财 务 部 门 负 责 人
每 半 年
手 动 自 动
《中国石 预 油化工股 防 份有限公 性 司财务信 检 息管理系 查 统系统管 性 理办法》
有效
有 效
有 效
8
1、“用户权限管理”工作底稿
控
序 控制 号 目标
制 点 编
控 制 点
号
一 数据和程序访问
建立完善 的权限管 理机制， 在合理的 范围内确 保用户被 FRE 用户 1 授予的系 - 权限 统权限和 DA1 管理 其岗位职 责相符， 防止对系 统的非授 权访问。
制, 号 有共享账号。
户账号，无共享情况。
2防 及
3、查看系统登录界面
止 访 3、要求必须输入 截屏。
对 问 用户名和密码才
系 管 可登录系统。
执行有效性：
统理
4、抽样检查系统用户
的
4、应用系统管理 账号清单的定期审核
17
3、“密码管理”工作底稿
序 号
控制目标
控制点
一 数据和程序访问
控制点描述
测试步骤
FRE -
DA1
用 户 权 限 管 理
防止对系
统的非授
权访问。
1、建立完善的用户权限管理制度，明 确系统相关人员分工及岗位职责，确 保用户拥有与其岗位职责分工相对应 的权限。 2、用户的增删及其权限的变更需填写 “用户权限审批表”，并经财务部门 负责人审批确认。 3、系统提供了功能权限、数据权限等 权限分配功能，保证用户被授予的权 限和其岗位职责相符。 4、财务部门负责人应每半年检查一次 系统内的用户权限设置。
需整改的问题描述、整改措施等填入“系统整体评估表” 。
12
IT一般性控制矩阵和工作底稿说明
设计有效：检查设计能否有效实现控制目标、防范控制风 险。如检查管理制度、审批流程、系统功能是否能起到防 范风险的目的。
穿行测试有效：以一套真实的例子，把各个测试步骤从头 到尾走一遍，证明整个控制过程有效。察看申请表、签字 申批情况，打印出系统中用户权限设置，查看与填表权限 是否一致。
10
IT一般性控制矩阵和工作底稿说明
控制执行人：控制点的责任人、审批人， 外审时的被访谈人
控制频率：固定频率，如定期检查、备份，按频率准备相关资料 按需发生的，与样本总数有关，关系到抽样数量
自动/手动：自动：系统自动实现的，需截屏 手动：管理规定、签字审批、定期检查，抽样检查
预防性/检查性： 预防性：事先的防范措施，如管理制度、申请审批流程、 系统自动控制功能； 检查性：事后检查的措施，日志定期检查、 帐号定期审核等。
执行有效性： 3、提供应用系统、操作系统、 数据库管理员的清单及授权、
计业务和查询帐务信息。
变更文档。
3、相关部门负责人应每半年对系 4、查看相关部门负责人对系
统管理员、应用系统管理员在职情 统管理员在职情况的每半年