1、財務(wù)管理和財務(wù)報告系統(tǒng)的信息技術(shù)總控制矩陣和工作文件。財務(wù)管理和財務(wù)報告系統(tǒng)的信息技術(shù)總控制矩陣和工作底稿，SOX法案對信息技術(shù)總控制的要求，財務(wù)管理和財務(wù)報告系統(tǒng)信息技術(shù)總控制控制點的測試結(jié)果和測試結(jié)論的報告要求，孫鋰華64998127，信息部項目部，李俊649993503。薩班斯法案對信息技術(shù)總體控制的要求，為什么我們要檢查和評估“信息技術(shù)總體控制”的有效性？2002年7月30日，美國總統(tǒng)布什簽署了薩班斯-奧克斯利法案，對在美國上市的企業(yè)提出了一系列要求。2006年4月30日，信息技術(shù)治理協(xié)會ITGI發(fā)布了信息技術(shù)控制目標(biāo)SOX 2版，對上市公司信息技術(shù)控制提出了

2、要求。為了確保財務(wù)報告的完整性和準(zhǔn)確性，薩班斯法案要求對與財務(wù)報告相關(guān)的信息系統(tǒng)進行檢查，并評估“信息技術(shù)總體控制”的有效性。4，SOX法案對IT的一般控制要求，如何定義與財務(wù)報告系統(tǒng)相關(guān)的主要原則定義：與財務(wù)報告相關(guān)，間接或直接為財務(wù)報告的生成提供相關(guān)信息。畢馬威要求管理層首先做出判斷。一般來說，管理層納入審計范圍的體系應(yīng)大于畢馬威的外部審計范圍。企業(yè)資源規(guī)劃系統(tǒng)、財務(wù)管理系統(tǒng)和財務(wù)報告系統(tǒng)都與財務(wù)報告息息相關(guān)。根據(jù)畢馬威對IC卡制度的建議，從中石化整體來看，IC卡必須納入審計范圍，具體到各省，可以根據(jù)具體情況進行判斷。判斷的主要依據(jù)是從信息技術(shù)的角度來看，是人工還是依靠IC卡系統(tǒng)將加油站的

3、日報表和發(fā)卡網(wǎng)點的預(yù)付款錄入財務(wù)報表；從財務(wù)角度出發(fā)，檢查IC卡預(yù)收款占企業(yè)預(yù)收款總額的比例，以及IC卡銷售額占總銷售額的比例。該系統(tǒng)由總部統(tǒng)一實施。一般信息技術(shù)控制矩陣和工作底稿由總部設(shè)計，分發(fā)給企業(yè)填寫；企業(yè)專用系統(tǒng)需要設(shè)計自己的信息技術(shù)通用控制矩陣和工作文件。5。5、SOX法案對IT總控制的要求，“IT總控制”的主要檢查和評估內(nèi)容，企業(yè)整體層面的IT控制包括控制環(huán)境、風(fēng)險評估、信息和溝通、IT總控制程序和監(jiān)控信息系統(tǒng)的數(shù)據(jù)訪問、程序變更、程序開發(fā)、系統(tǒng)運行和最終用戶計算的IT基礎(chǔ)設(shè)施，6。財務(wù)管理和財務(wù)報告系統(tǒng)的信息技術(shù)一般控制。信息產(chǎn)業(yè)部會同財政部和浦安聯(lián)盟，參照中國石油化工股份有限公

4、司財務(wù)信息管理系統(tǒng)系統(tǒng)管理辦法(財信2003100號)，設(shè)計了現(xiàn)有財務(wù)管理系統(tǒng)和財務(wù)報告系統(tǒng)的信息技術(shù)總控矩陣和工作底稿。主要設(shè)計原則是：在滿足SOX法案的前提下，盡可能貼近企業(yè)應(yīng)用的實際情況，減少企業(yè)報告的工作量。12個ERP線上企業(yè)的ERP系統(tǒng)和財務(wù)報告系統(tǒng)控制點，11個非ERP線上企業(yè)(包括今年實施ERP的企業(yè))的ERP財務(wù)管理信息系統(tǒng)控制點，7個。財務(wù)管理和財務(wù)報告的信息技術(shù)一般控制點介紹，8，1。“用戶權(quán)限管理”的控制矩陣，9，1。“用戶權(quán)利管理”工作文件，10。信息技術(shù)總控矩陣和工作底稿描述，矩陣和工作底稿同列(4列):控制目標(biāo)：風(fēng)險防范目標(biāo)描述矩陣中的“編號”和工作底稿中的“控制

5、點編號”:FMIS DA1建立兩個表的鏈接關(guān)系。控制點名稱：用戶權(quán)限管理控制點描述：管理規(guī)定和審批流程；信息系統(tǒng)功能；定期檢查，11。信息技術(shù)總控制矩陣和工作底稿的描述，控制執(zhí)行者：控制點的負(fù)責(zé)人和批準(zhǔn)人，外部審核時被訪談?wù)叩目刂祁l率：固定頻率，如定期檢查和備份，根據(jù)頻率準(zhǔn)備相關(guān)數(shù)據(jù)，與樣本總數(shù)和樣本數(shù)有關(guān)。自動：由系統(tǒng)自動實現(xiàn)，需要手動截圖：管理規(guī)定、手動檢查能力：事后檢查措施、定期日志檢查、定期賬戶審計等。12、it總控矩陣及工作底稿、相關(guān)系統(tǒng)及文件說明：中國石化集團公司財務(wù)信息管理系統(tǒng)系統(tǒng)管理辦法中國石化財新2003100號；中國石油化工股份有限公司管理信息系統(tǒng)應(yīng)用管理辦法已于近日頒布實

6、施。企業(yè)需要補充一些自己制定的相關(guān)管理措施和規(guī)范。設(shè)計、運行和實施是否有效：有效、無效、未發(fā)生、不適用。修復(fù)完成時間：如果有缺陷，請說明修復(fù)完成的計劃時間，并填寫“系統(tǒng)總體評估表”說明需要糾正的問題和糾正措施。13，信息技術(shù)總控制矩陣和工作底稿，有效設(shè)計：檢查設(shè)計是否能有效實現(xiàn)控制目標(biāo)和預(yù)防控制風(fēng)險。例如，檢查管理系統(tǒng)、審批流程和系統(tǒng)功能是否能夠防范風(fēng)險。走查測試是有效的：通過一組實例，整個控制過程被證明是有效的。檢查申請表，簽字并申請批準(zhǔn)，打印出系統(tǒng)中的用戶權(quán)限設(shè)置，并檢查是否與填寫表格的權(quán)限一致。執(zhí)行有效：多個演練測試有效。應(yīng)該有一定的審計樣本，應(yīng)該隨機選擇。it一般控制矩陣和工作底稿的描

7、述，測試步驟：合理、充分且可測量。測試步驟有很多：面試、系統(tǒng)檢查、系統(tǒng)查詢、定期檢查和對相關(guān)人員能力的評估；設(shè)計和執(zhí)行有效性的步驟是分開編寫的。測試結(jié)果：記錄測試步驟對應(yīng)的每一步的測試結(jié)果，并提供相應(yīng)的證據(jù)表格。文件編號：相關(guān)試驗記錄的文件編號。簽名表財務(wù)用戶許可審批表(樣表)。抽樣原則見內(nèi)部控制檢查、評價和檢查暫行辦法，15。信息技術(shù)一般控制矩陣和工作文件的描述，財務(wù)用戶權(quán)利的批準(zhǔn)表，16。信息技術(shù)通用控制矩陣和工作文件的描述，以及每個控制點涵蓋的內(nèi)容：控制目標(biāo)、控制點、控制執(zhí)行者的測試步驟、測試結(jié)果、留下痕跡的控制、測試相關(guān)證據(jù)文件的描述，17。2.關(guān)于“用戶帳戶和訪問管理”的工作文件，1

8、8，3，“密碼管理”，19，4，“應(yīng)用系統(tǒng)管理員管理”，20，5，“普通用戶管理”，21，6，“系統(tǒng)日志管理”，22，7，“第三方人員”25，10，“報告提交管理”工作文件，26，11，“系統(tǒng)備份和恢復(fù)”工作文件，27，12，“系統(tǒng)監(jiān)控、維護和故障排除”工作文件，28，“問題和建議”，財務(wù)管理系統(tǒng)和財務(wù)報告系統(tǒng)的版本目前，企業(yè)使用的版本有兩種主要類型第十版(財務(wù)管理信息系統(tǒng)和財務(wù)報告系統(tǒng)的2個信息技術(shù)總控制矩陣和文件主要是為第二版開發(fā)的。如果軟件功能與矩陣和手稿中的描述不一致，應(yīng)上報總部信息部。29、問題和建議、缺失數(shù)據(jù)的填寫和收集原則缺失數(shù)據(jù)的填寫原則：政策和制度、重要的授權(quán)申請文件必須填寫

9、，并寫下當(dāng)前日期。從現(xiàn)在開始，重復(fù)發(fā)生的事情應(yīng)該彌補。例如，“用戶權(quán)限申請表”可以從現(xiàn)在開始標(biāo)準(zhǔn)化，但必須確保在檢查過程中有一定的樣本量，否則，設(shè)計可以被認(rèn)為是有效的；但是，將不會認(rèn)識到演練測試和執(zhí)行是有效的。我們建議填寫和收集數(shù)據(jù)的過程可以同時起到規(guī)范內(nèi)部管理和檢查相關(guān)工作的作用；化妝更容易；如果與財務(wù)報表有很大關(guān)系，則應(yīng)予以補充。注意：不要為了通過檢查而補充過去某一天的數(shù)據(jù)，這是以前沒有做過的。補充過去的檢查記錄是沒有意義的。數(shù)據(jù)的收集有太明顯的“應(yīng)付檢查”的痕跡，這絕對不是總部內(nèi)部審計和畢馬威外部審計想要的。30、問題和建議(摘要)、檢查和評估各控制點的一般步驟：查看管理體系、訪談“控制

10、執(zhí)行者”和其他相關(guān)人員，總部制定和發(fā)布的相關(guān)體系文件已放在門戶網(wǎng)站上。企業(yè)需要補充自己的相關(guān)文件系統(tǒng)。相關(guān)人員應(yīng)仔細(xì)研究這些系統(tǒng)文件，并為面試做好準(zhǔn)備。查詢系統(tǒng)的相關(guān)功能，查看系統(tǒng)中的實現(xiàn)模式，并獲取截圖。定期檢查記錄，確認(rèn)離線審批單是否與系統(tǒng)中的記錄一致。如果“控制點”的描述與企業(yè)的日常工作基本一致，填寫控制矩陣和工作底稿，準(zhǔn)備相關(guān)的證據(jù)表格，并進行抽樣檢查。如果“控制點”的描述與企業(yè)的日常工作不同，矩陣和工作底稿的內(nèi)容可以適當(dāng)調(diào)整，但要小心。31、問題與建議(摘要)、畢馬威外部審計工作流程：要求企業(yè)提供內(nèi)部審計數(shù)據(jù)，并提供人事部門員工名單，包括姓名、工作職責(zé)、新員工、離職員工、工作變動員工、哪些系統(tǒng)有賬號；提供所有信息系統(tǒng)的列表和關(guān)于財務(wù)報告是否相關(guān)的分析報告，包括系統(tǒng)功能、與財務(wù)報告的關(guān)聯(lián)、系統(tǒng)之間的數(shù)據(jù)交換、關(guān)于財務(wù)報告是否相關(guān)的分析和結(jié)論。列出信息部門的負(fù)責(zé)人和每個系統(tǒng)的負(fù)責(zé)人，畢馬威將對其進行面試。列出系統(tǒng)中的所有用戶，并提供完整的矩陣、論文和自我評估結(jié)論。32、問題和建議