已阅读5页,还剩27页未读, 继续免费阅读
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
财务管理、财务报表系统IT一般性控制矩阵和工作底稿,2,财务管理、财务报表系统IT一般性控制矩阵和工作底稿,SOX法案对IT一般性控制的要求财务管理、财务报表系统IT一般性控制各控制点测试结果、测试结论的填报要求,信息部项目处孙丽华64998127sunlih普安联盟李军6499935013501291151,3,SOX法案对IT一般性控制的要求,为什么要对“IT一般性控制”的有效性进行检查评价2002年7月30日,美国总统布什签发了萨班斯-奥克斯利法案(SOX法案),对在美国上市的企业提出了一系列要求。2006年4月30日IT治理协会ITGI发布ITControlObjectivesforSOX,2Edition,对上市公司的IT控制提出了要求为保证财务报告的完整性、准确性,SOX法案要求对财务报告相关的信息系统进行“IT一般性控制”是否有效的检查评价。,4,SOX法案对IT一般性控制的要求,如何界定与财务报告相关的系统界定相关的主要原则:与财务报告相关,间接或直接为财务报告的生成提供了有关信息。毕马威要求,首先应管理层自己判断,一般讲,管理层纳入审计范围的系统应比毕马威外审的范围大。ERP系统、财务管理系统、财务报表系统肯定与财务报告相关。毕马威关于IC卡系统的建议,从中国石化整体讲,IC卡肯定要纳入审计范围,具体到每个省,可针对具体情况进行判断。主要判断依据,从IT角度,查看油站日报表、发卡网点预收款进入财务报表的方式,是手工还是依赖IC卡系统;从财务角度,查看IC卡预收账款占企业总预收款的比例,IC卡销售额占总销售额的比例。总部统一实施系统由总部统一设计IT一般性控制矩阵和工作底稿,下发企业填报;企业特有系统需自己设计IT一般性控制矩阵和工作底稿。,5,SOX法案对IT一般性控制的要求,“IT一般性控制”的主要检查评价内容企业整体层面的IT控制包括控制环境、风险评估、信息和沟通、监控信息系统的IT一般性控制程序和数据访问、程序变更、程序开发、系统运行IT基础设施、终端用户计算,6,财务管理、财务报表系统IT一般性控制,信息部会同财务部、普安联盟共同设计了现有财务管理系统、财务报表系统的IT一般性控制矩阵和工作底稿,特别参考了中国石油化工股份有限公司财务信息管理系统系统管理办法(财信2003100号文),设计主要原则为:在满足SOX法案的前提下,尽可能贴近企业应用的实际情况,少增加企业填报的工作量。ERP上线企业ERP系统财务报表系统12个控制点ERP未上线企业财务管理信息系统11个控制点(含今年正在实施ERP的企业),7,财务管理、财务报表IT一般性控制控制点介绍,8,1、“用户权限管理”控制矩阵,9,1、“用户权限管理”工作底稿,10,IT一般性控制矩阵和工作底稿说明,矩阵和工作底稿中的相同列(4列):控制目标:防范风险的目标描述矩阵中“编号”与工作底稿中“控制点编号”:FMIS-DA1为两张表建立链接关系。控制点名称:用户权限管理控制点描述:管理规定及申批流程;信息系统功能;定期检查情况,11,IT一般性控制矩阵和工作底稿说明,控制执行人:控制点的责任人、审批人,外审时的被访谈人控制频率:固定频率,如定期检查、备份,按频率准备相关资料按需发生的,与样本总数有关,关系到抽样数量自动/手动:自动:系统自动实现的,需截屏手动:管理规定、签字审批、定期检查,抽样检查预防性/检查性:预防性:事先的防范措施,如管理制度、申请审批流程、系统自动控制功能;检查性:事后检查的措施,日志定期检查、帐号定期审核等。,12,IT一般性控制矩阵和工作底稿说明,相关制度和文档:中国石油化工股份有限公司财务信息管理系统系统管理办法中国石化财信2003100号;中国石油化工股份有限公司管理信息系统应用管理办法已评审,近期下发。企业需补充自己制定的一些相关管理办法和规范。设计、穿行、执行是否有效:有效、无效、未发生、不适用修补完成时间:如果有缺陷,写明修补完成的计划时间,需整改的问题描述、整改措施等填入“系统整体评估表”。,13,IT一般性控制矩阵和工作底稿说明,设计有效:检查设计能否有效实现控制目标、防范控制风险。如检查管理制度、审批流程、系统功能是否能起到防范风险的目的。穿行测试有效:以一套真实的例子,把各个测试步骤从头到尾走一遍,证明整个控制过程有效。察看申请表、签字申批情况,打印出系统中用户权限设置,查看与填表权限是否一致。执行有效:多个的穿行测试有效。要有一定审计的样本,随机抽取。,14,IT一般性控制矩阵和工作底稿说明,测试步骤:要合理、充分,要能测出来。测试步骤有很多:访谈、查制度、系统查询、定期检查、考评相关人员有无相关能力;设计、执行有效性的步骤分开写。测试结果:对应测试步骤记录每一步的测试结果,并提供相应的证据表单。文档编号:FRE-DA1-1.1FRE-DA1-1.n测试相关记录文档编号。签字表单财务用户权限审批表(样表)。抽样原则见“内部控制检查评价与考核暂行办法”,15,IT一般性控制矩阵和工作底稿说明,财务用户权限审批表,16,IT一般性控制矩阵和工作底稿说明,每个控制点需要涵盖的内容:控制目标控制点控制点描述控制执行人测试步骤测试结果控制要留下痕迹:测试相关证据文档,17,2、“用户账号及访问管理”工作底稿,18,3、“密码管理”工作底稿,19,4、“应用系统管理员管理”工作底稿,20,5、“普通用户管理”工作底稿,21,6、“系统日志管理”工作底稿,22,7、“第三方人员管理”工作底稿,23,8、“系统变更管理”工作底稿,24,9、“ERP报表接口管理”工作底稿,25,10、“报表上报管理”工作底稿,26,11、“系统备份及恢复”工作底稿,27,12、“系统监控、维护及故障处理”工作底稿,28,问题和建议,财务管理系统、财务报表系统的版本目前企业使用的版本主要有两大类:2.X版(2.2、2.3):大多数企业使用3.0版:集中核算版,较少企业使用,权限管理功能较强,密码控制比较弱财务管理信息系统、财务报表系统的IT一般性控制矩阵和底稿主要针对2.x版制定。软件功能与矩阵和底稿中描述不一致的,上报总部信息部。,29,问题和建议,缺失资料补填和收集原则对于缺失资料的补填原则:政策制度、重要的授权申批文档必须要补,写现在日期。重复发生的要从现在开始补起来。如“用户权限申批表”,从现在起规范做起来就可以,但要保证检查时有一定样本量,否则,可认定设计有效;但穿行测试、执行有效将无法认定。我们建议,补填和收集资料的过程,能同时起到规范内部管理、检查相关工作作用的;补起来比较容易的;与财务报表关系大的,要补。注意,不要为了通过检查补已过去的某天的资料,先前没有做到,补一个过去的检查记录是没有意义的,资料的收集有太明显的“应付检查式”补的痕迹,绝不是总部内审、毕马威外审想要的。,30,问题和建议(小结),对每一控制点检查评价的一般步骤:看管理制度,访谈“控制执行人”等相关人员总部统一制定和下发的相关制度文档已放到门户上。企业需补充自己制定的相关文档制度。相关人员认真学习这些制度文档,做好被访谈的准备。查询系统相关功能,看系统内的实现方式,取得截屏。定期检查记录,要确认线下审批单和系统内的记录是否一致。如“控制点”描述与企业日常工作基本相符,填好控制矩阵和工作底稿,准备好相关证据表单,并抽样检查。如“控制点”描述与企业日常工作有差异,可适当调整矩阵和工作底稿的内容,但要慎重。,31,问题和建议(小结),毕马威外审初审的工作流程:要求企业提供内审的资料提供人事部门的员工清单、包含姓名、岗位职责、新进员工、离职员工、岗位变动员工、在哪些系统内有账号等信息;提供所有信息系统清单及财务报告是否相关的分析报告,包括系统功能、与财务报告的关联情况、系统间的数据交换情况、财务报告是否相关的分析及结论。列出信息部门负责人及每一系统的负责人,毕马威将访谈。列出系统中的所有用户清单提供已做好的矩
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
评论
0/150
提交评论