财务管理与财务报表系统介绍

1、中国石化信息系统管理部中国石化信息系统管理部财务管理、财务报表系统财务管理、财务报表系统itit一般性控制矩阵和工作底稿一般性控制矩阵和工作底稿中国石化信息系统管理部中国石化信息系统管理部财务管理、财务报表系统财务管理、财务报表系统itit一般性控制矩阵和工作底稿一般性控制矩阵和工作底稿l sox法案对法案对it一般性控制的要求一般性控制的要求l 财务管理、财务报表系统财务管理、财务报表系统it一般性控制一般性控制l 各控制点测试结果、测试结论的填报要求各控制点测试结果、测试结论的填报要求信息部项目处信息部项目处 孙丽华孙丽华 64998127 普普 安安 联联 盟盟 李李 军军 649993

2、50 135012911512中国石化信息系统管理部中国石化信息系统管理部soxsox法案对法案对itit一般性控制的要求一般性控制的要求p 为什么要对为什么要对“it“it一般性控制一般性控制”的的有效性进行检查评价有效性进行检查评价l 20022002年年7 7月月3030日，美国总统布什签发了日，美国总统布什签发了萨班斯萨班斯- -奥克奥克斯利法案斯利法案(sox(sox法案法案) ) ，对在美国上市的企业提出了，对在美国上市的企业提出了一系列要求。一系列要求。l 20062006年年4 4月月3030日日 it it治理协会治理协会itgiitgi发布发布it control it c

3、ontrol objectives for soxobjectives for sox，2 edition2 edition, , 对上市公司的对上市公司的itit控制提出了要求控制提出了要求l 为保证财务报告的完整性、准确性，为保证财务报告的完整性、准确性，soxsox法案要求对财法案要求对财务报告相关的信息系统进行务报告相关的信息系统进行“it“it一般性控制一般性控制”是否有效是否有效的检查评价。的检查评价。3中国石化信息系统管理部中国石化信息系统管理部soxsox法案对法案对itit一般性控制的要求一般性控制的要求p 如何界定与财务报告相关的系统如何界定与财务报告相关的系统l界定相关的

4、主要原则：与财务报告相关，间接或直接为财务报告的生成提供界定相关的主要原则：与财务报告相关，间接或直接为财务报告的生成提供了有关信息。了有关信息。l毕马威要求，首先应管理层自己判断，一般讲，管理层纳入审计范围的系统毕马威要求，首先应管理层自己判断，一般讲，管理层纳入审计范围的系统应比毕马威外审的范围大。应比毕马威外审的范围大。lerp系统、财务管理系统、财务报表系统肯定与财务报告相关。系统、财务管理系统、财务报表系统肯定与财务报告相关。l毕马威关于毕马威关于ic卡系统的建议，从中国石化整体讲，卡系统的建议，从中国石化整体讲，ic卡肯定要纳入审计范围，卡肯定要纳入审计范围，具体到每个省，可针对具

5、体情况进行判断。主要判断依据，从具体到每个省，可针对具体情况进行判断。主要判断依据，从it角度，查看角度，查看油站日报表、发卡网点预收款进入财务报表的方式，是手工还是依赖油站日报表、发卡网点预收款进入财务报表的方式，是手工还是依赖ic卡系卡系统；从财务角度，查看统；从财务角度，查看ic卡预收账款占企业总预收款的比例，卡预收账款占企业总预收款的比例， ic卡销售额卡销售额占总销售额的比例。占总销售额的比例。l总部统一实施系统由总部统一设计总部统一实施系统由总部统一设计it一般性控制矩阵和工作底稿，下发企业一般性控制矩阵和工作底稿，下发企业填报；企业特有系统需自己设计填报；企业特有系统需自己设计i

6、t一般性控制矩阵和工作底稿。一般性控制矩阵和工作底稿。4中国石化信息系统管理部中国石化信息系统管理部soxsox法案对法案对itit一般性控制的要求一般性控制的要求p “it一般性控制一般性控制”的主要检查的主要检查评价内容评价内容l 企业整体层面的企业整体层面的it控制控制包括控制环境、风险评估、信息和沟通、监控包括控制环境、风险评估、信息和沟通、监控l 信息系统的信息系统的it一般性控制一般性控制程序和数据访问、程序变更、程序和数据访问、程序变更、程序开发、系统运行程序开发、系统运行it基础设施基础设施、终端用户计算终端用户计算 5中国石化信息系统管理部中国石化信息系统管理部财务管理、财务

7、报表系统财务管理、财务报表系统itit一般性控制一般性控制l 信息部会同财务部、普安联盟共同设计了现有财务管理系信息部会同财务部、普安联盟共同设计了现有财务管理系统、财务报表系统的统、财务报表系统的itit一般性控制矩阵和工作底稿，特别一般性控制矩阵和工作底稿，特别参考了中国石油化工股份有限公司财务信息管理系统系参考了中国石油化工股份有限公司财务信息管理系统系统管理办法（财信统管理办法（财信20032003100100号文），设计主要原则为号文），设计主要原则为：在满足：在满足soxsox法案的前提下，尽可能贴近企业应用的实际情法案的前提下，尽可能贴近企业应用的实际情况，少增加企业填报的工作量

8、。况，少增加企业填报的工作量。l erp上线企业上线企业erp系统系统 财务报表系统财务报表系统 12个控制点个控制点l erp未上线企业财务管理信息系统未上线企业财务管理信息系统 11个控制点个控制点 （含今年正在实施（含今年正在实施erp的企业）的企业）6中国石化信息系统管理部中国石化信息系统管理部财务管理、财务报表财务管理、财务报表itit一般性控制控制点介绍一般性控制控制点介绍序序 号号控制点名称控制点名称财务管理系统财务管理系统财务报表系统财务报表系统一、程序和数据访问一、程序和数据访问1 1用户权限管理用户权限管理2 2用户账号及访问管理用户账号及访问管理3 3密码管理密码管理4

9、4系统管理员管理系统管理员管理5 5普通用户管理普通用户管理6 6系统日志管理系统日志管理7 7第三方人员管理第三方人员管理二、程序变更二、程序变更8 8系统变更管理系统变更管理三、系统运行三、系统运行9 9erperp报表接口管理报表接口管理1010报表上报管理报表上报管理1111系统备份及恢复系统备份及恢复1212系统监控、维护及故障处理系统监控、维护及故障处理7中国石化信息系统管理部中国石化信息系统管理部1 1、“用户权限管理用户权限管理”控制矩阵控制矩阵序序号号控制目标控制目标控制点控制点控制活动属性控制活动属性相关制度相关制度和文档和文档测试结果测试结果备备注注编编号号控控制制点点控

10、制点描述控制点描述控控制制执执行行人人控控制制频频率率自自动动/ /手手动动预预防防性性/ /检检查查性性穿行穿行测试测试有效有效否否设设计计有有效效否否执执行行有有效效否否修修补补完完成成时时间间1 12 23 34 45 56 67 78 89 910101111121213131 14 4一数据和程序访问数据和程序访问1建立完善的权限管理机制，在合理的范围内确保用户被授予的系统权限和其岗位职责相符，防止对系统的非授权访问。fre-da1用户权限管理1、建立完善的用户权限管理制度，明确系统相关人员分工及岗位职责，确保用户拥有与其岗位职责分工相对应的权限。2、用户的增删及其权限的变更需填写“

11、用户权限审批表”，并经财务部门负责人审批确认。3、系统提供了功能权限、数据权限等权限分配功能，保证用户被授予的权限和其岗位职责相符。4、财务部门负责人应每半年检查一次系统内的用户权限设置。财务部门负责人每半年手动自动预防性检查性中国石油化工股份有限公司财务信息管理系统系统管理办法有效有效有效8中国石化信息系统管理部中国石化信息系统管理部1 1、“用户权限管理用户权限管理”工作底稿工作底稿序序号号控制控制目标目标控控制制点点编编号号控控制制点点控制点描述控制点描述测试步骤测试步骤测试结果测试结果结论结论文档编文档编号号一数据和程序访问数据和程序访问1建立完善的权限管理机制，在合理的范围内确保用户

12、被授予的系统权限和其岗位职责相符，防止对系统的非授权访问。fre-da1用户权限管理1、建立完善的用户权限管理制度，明确系统相关人员分工及岗位职责，确保用户拥有与其岗位职责分工相对应的权限。2、用户的增删及其权限的变更需填写“用户权限审批表”，并经财务部门负责人审批确认。3、系统提供了功能权限、数据权限等权限分配功能，保证用户被授予的权限和其岗位职责相符。4、财务部门负责人应每半年检查一次系统内的用户权限设置。设计有效性：1、访谈财务部门负责人有关权限管理制度及权限申请审批流程。2、查看系统“维护工具”中权限分配功能，取得截屏。执行有效性：3、检查“用户权限审批表”填写是否及时齐全，按照系统用

13、户增删及变更总数，随机抽取*张“用户权限审批表”进行检查。4、登录财务系统“维护工具”查看用户权限，取得截屏，确认是否和其申请审批的权限相符。5、查看用户及权限每半年的审核记录（打印系统用户清单，相关责任人审核并签字，有与岗位不符情况，及时变更权限，写明原因和处理情况）。设计有效执行有效穿行有效fre-da1-1.1fre-da1-1.2fre-da1-1.3fre-da1-1.4fre-da1-1.5fre-da1-1.6fre-da1-1.79中国石化信息系统管理部中国石化信息系统管理部itit一般性控制矩阵和工作底稿说明一般性控制矩阵和工作底稿说明l 矩阵和工作底稿中的相同列（矩阵和工作

14、底稿中的相同列（4列）：列）：控制目标控制目标：防范风险的目标描述防范风险的目标描述矩阵中矩阵中“编号编号”与工作底稿中与工作底稿中“控制点编号控制点编号” ： fmis-da1 为两张表建立链接关系。为两张表建立链接关系。控制点名称：控制点名称：用户权限管理用户权限管理控制点描述控制点描述：管理规定及申批流程；信息系统功：管理规定及申批流程；信息系统功能；定期检查情况能；定期检查情况10中国石化信息系统管理部中国石化信息系统管理部itit一般性控制矩阵和工作底稿说明一般性控制矩阵和工作底稿说明l控制执行人控制执行人：控制点的责任人、审批人，：控制点的责任人、审批人， 外审时的被访谈人外审时的

15、被访谈人l控制频率控制频率：固定频率，如定期检查、备份，按频率准备相关资料固定频率，如定期检查、备份，按频率准备相关资料 按需发生的，与样本总数有关，关系到抽样数量按需发生的，与样本总数有关，关系到抽样数量 l自动自动/手动手动：自动：系统自动实现的，需截屏：自动：系统自动实现的，需截屏 手动：管理规定、签字审批、定期检查，抽样检查手动：管理规定、签字审批、定期检查，抽样检查l预防性预防性/检查性检查性：预防性：事先的防范措施，如管理制度、申请审批流程、预防性：事先的防范措施，如管理制度、申请审批流程、 系统自动控制功能；系统自动控制功能；检查性：事后检查的措施，日志定期检查、检查性：事后检查

16、的措施，日志定期检查、 帐号定期审核等。帐号定期审核等。11中国石化信息系统管理部中国石化信息系统管理部itit一般性控制矩阵和工作底稿说明一般性控制矩阵和工作底稿说明l 相关制度和文档：中国石油化工股份有限公司财务信息相关制度和文档：中国石油化工股份有限公司财务信息管理系统系统管理办法管理系统系统管理办法中国石化财信中国石化财信2003100号；号；中国石油化工股份有限公司管理信息系统应用管理办法中国石油化工股份有限公司管理信息系统应用管理办法已评审，近期下发。企业需补充自己制定的一些相关管理已评审，近期下发。企业需补充自己制定的一些相关管理办法和规范。办法和规范。l 设计设计、穿行、执行是

17、否有效：穿行、执行是否有效：有效、无效、未发生、不适用有效、无效、未发生、不适用l 修补完成时间：修补完成时间：如果有缺陷，写明修补完成的计划时间，如果有缺陷，写明修补完成的计划时间，需整改的问题描述、整改措施等填入需整改的问题描述、整改措施等填入“系统整体评估表系统整体评估表”。12中国石化信息系统管理部中国石化信息系统管理部itit一般性控制矩阵和工作底稿说明一般性控制矩阵和工作底稿说明l 设计有效设计有效：检查设计能否有效实现控制目标、防范控制风：检查设计能否有效实现控制目标、防范控制风险。如检查管理制度、审批流程、系统功能是否能起到防险。如检查管理制度、审批流程、系统功能是否能起到防范

18、风险的目的。范风险的目的。l 穿行测试有效穿行测试有效：以一套真实的例子，把各个测试步骤从头：以一套真实的例子，把各个测试步骤从头到尾走一遍，证明整个控制过程有效。察看申请表、签字到尾走一遍，证明整个控制过程有效。察看申请表、签字申批情况，打印出系统中用户权限设置，查看与填表权限申批情况，打印出系统中用户权限设置，查看与填表权限是否一致。是否一致。l 执行有效执行有效：多个的穿行测试有效。要有一定审计的样本，：多个的穿行测试有效。要有一定审计的样本，随机抽取。随机抽取。13中国石化信息系统管理部中国石化信息系统管理部itit一般性控制矩阵和工作底稿说明一般性控制矩阵和工作底稿说明l测试步骤：测

19、试步骤：要合理、充分，要能测出来。测试步骤有很要合理、充分，要能测出来。测试步骤有很多：访谈、查制度、系统查询、定期检查、考评相关人多：访谈、查制度、系统查询、定期检查、考评相关人员有无相关能力；设计、执行有效性的步骤分开写。员有无相关能力；设计、执行有效性的步骤分开写。l测试结果：测试结果：对应测试步骤记录每一步的测试结果，并提对应测试步骤记录每一步的测试结果，并提供相应的证据表单。供相应的证据表单。l文档编号文档编号： fre-da1-1.1fre-da1-1.n 测试相关测试相关记录文档编号。记录文档编号。l签字表单财务用户权限审批表（样表）。签字表单财务用户权限审批表（样表）。l抽样原

20、则见抽样原则见“内部控制检查评价与考核暂行办法内部控制检查评价与考核暂行办法”14中国石化信息系统管理部中国石化信息系统管理部itit一般性控制矩阵和工作底稿说明一般性控制矩阵和工作底稿说明财务用户权限审批表财务用户权限审批表 单位名称：单位名称：日期：日期：用户编号用户编号用户姓名用户姓名所在部门所在部门电电 话话岗位职责岗位职责申请类型申请类型开户开户 变更变更 销户销户帐号启用时间帐号启用时间帐号停用帐号停用时间时间帐号申请帐号申请（变更）原因（变更）原因权限要求权限要求财务部门负责人签字财务部门负责人签字应用系统管理员签字应用系统管理员签字备注备注15中国石化信息系统管理部中国石化信息

21、系统管理部itit一般性控制矩阵和工作底稿说明一般性控制矩阵和工作底稿说明l 每个控制点需要涵盖的内容：每个控制点需要涵盖的内容： 控制目标控制目标 控制点控制点 控制点描述控制点描述 控制执行人控制执行人 测试步骤测试步骤 测试结果测试结果 控制要留下痕迹：测试相关证据文档控制要留下痕迹：测试相关证据文档16中国石化信息系统管理部中国石化信息系统管理部2 2、“用户账号及访问管理用户账号及访问管理”工作底稿工作底稿序序号号控控制制目目标标控控制制点点控制点描述控制点描述测试步骤测试步骤一 数据和程序访问数据和程序访问2健全系统登录访问机制,防止对系统的非授权访问。用户账号及访问管理1、每个用

22、户拥有独立的用户账号，不得共享。2、应用系统中用户帐号不能重复，查看系统中是否有共享账号。3、要求必须输入用户名和密码才可登录系统。4、应用系统管理员应定期审核系统内的用户账号清单。设计有效性：1、访谈应用系统管理员用户帐号设置情况和登录验证过程。2、登录系统检查用户帐号唯一性，确认每个用户拥有独立的用户账号，无共享情况。3、查看系统登录界面截屏。执行有效性：4、抽样检查系统用户账号清单的定期审核记录（打印系统用户账号清单，系统管理员审核并签字）。17中国石化信息系统管理部中国石化信息系统管理部3 3、“密码管理密码管理”工作底稿工作底稿序序号号控制目标控制目标控制点控制点控制点描述控制点描述

23、测试步骤测试步骤一一 数据和程序访问数据和程序访问3 3防止密码防止密码设置强度设置强度不够造成不够造成系统泄密系统泄密或受到非或受到非法访问。法访问。密码管密码管理理1 1、密码规则：密码长度大、密码规则：密码长度大于等于于等于6 6位；密码为数字与位；密码为数字与字符的组合；密码需定期字符的组合；密码需定期更换。更换。2 2、根据密码设置规则，在、根据密码设置规则，在系统中实现了控制，当密系统中实现了控制，当密码长度小于码长度小于6 6位时系统会提位时系统会提示。密码输入时以掩码形示。密码输入时以掩码形式录入，防止密码泄露。式录入，防止密码泄露。3 3、密码验证超过三次失败、密码验证超过三

24、次失败自动退出系统。自动退出系统。 4 4、操作系统、数据库、应、操作系统、数据库、应用系统等初始口令的设置用系统等初始口令的设置应在系统投用前修改，并应在系统投用前修改，并定期更改。定期更改。5 5、应用系统管理员应每季、应用系统管理员应每季度检查普通用户密码的修度检查普通用户密码的修改情况。改情况。设计有效性：设计有效性：1 1、访谈应用系统管理员密码设置规则及有关规、访谈应用系统管理员密码设置规则及有关规定。定。2 2、登录财务系统、登录财务系统“维护工具维护工具”新建用户检验系新建用户检验系统是否实现了密码设置控制。取得密码少于统是否实现了密码设置控制。取得密码少于6 6位位和第一位不

25、是字符的提示截屏。和第一位不是字符的提示截屏。3 3、登录系统测试用户密码验证、登录系统测试用户密码验证3 3次失败退出系统。次失败退出系统。执行有效性：执行有效性：4 4、检查操作系统、数据库、应用系统的初始密、检查操作系统、数据库、应用系统的初始密码，登录系统，查看系统默认账号的密码是否都码，登录系统，查看系统默认账号的密码是否都已做了修改（例如已做了修改（例如“sa”“sa”账号初始密码为空）。账号初始密码为空）。5 5、检查操作系统、数据库、应用系统管理员密、检查操作系统、数据库、应用系统管理员密码的设置情况和定期修改记录。码的设置情况和定期修改记录。6 6、抽样检查应用系统管理员的每

26、季度检查普通、抽样检查应用系统管理员的每季度检查普通用户密码修改情况的记录（可定期发通知要求用用户密码修改情况的记录（可定期发通知要求用户修改密码，要求用户记录密码修改时间，应用户修改密码，要求用户记录密码修改时间，应用系统管理员抽样检查）。系统管理员抽样检查）。18中国石化信息系统管理部中国石化信息系统管理部4 4、“应用系统管理员管理应用系统管理员管理”工作底稿工作底稿序序号号控制目控制目标标控控制制点点控制点描述控制点描述测试步骤测试步骤一数据和程序访问数据和程序访问4加强系统管理员管理，防止不合规操作。系统管理员管理1、企业需配备专职或兼职数据库、操作系统（统称系统管理员）、应用系统管

27、理员，系统管理员、应用系统管理员要经过授权并明确职责，并应相对稳定，其更换必须经相关部门负责人审批，并严格办理交接手续。2、系统管理员、应用系统管理员只能处理系统设置、数据库维护、数据备份与恢复、用户及权限管理等功能，不能登录帐务系统处理会计业务和查询帐务信息。3、相关部门负责人应每半年对系统管理员、应用系统管理员在职情况进行签字审核。设计有效性：1、访谈相关部门负责人有关系统管理员的管理制度及任用审批流程。2、检查系统中系统管理员的权限情况，确认系统管理员没有处理具体业务的权限。执行有效性：3、提供应用系统、操作系统、数据库管理员的清单及授权、变更文档。4、查看相关部门负责人对系统管理员在职

28、情况的每半年签字审核记录。19中国石化信息系统管理部中国石化信息系统管理部5 5、“普通用户管理普通用户管理”工作底稿工作底稿序序号号控控制制目目标标控控制制点点控制点描述控制点描述测试步骤测试步骤一 数据和程序访问数据和程序访问5加强普通用户帐号的管理，保证业务处理的规范、安全、有效。普通用户管理1、根据用户岗位职责分工，分配相对应的操作权限，人员的离职与变动必须对权限进行相应的变更。用户帐号的申请及变更必须经财务部门负责人审核批准，用户岗位变更时应办理交接手续。2、系统内普通用户帐号的注册、注销及权限变更必须通过财务应用系统管理员进行，其它用户无此权限。设计有效性：1、访谈相关部门负责人了

29、解普通用户帐号申请与系统权限分配情况。2、查看普通用户管理的相关管理制度。执行有效性： 3、登录财务系统“维护工具”检查普通用户功能权限分配情况，取得截屏，确认普通用户没有新建用户和设置权限的功能。4、查看企业离职、岗位变化人员清单，检查系统中非在职人员、岗位变更人员的用户帐号情况。20中国石化信息系统管理部中国石化信息系统管理部6 6、“系统日志管理系统日志管理”工作底稿工作底稿序序号号控控制制目目标标控控制制点点控制点描述控制点描述测试步骤测试步骤一 数据和程序访问数据和程序访问6加强系统日志管理,记录应用系统登录及操作活动。系统日志管理1、有系统日志管理及审查机制。2、应用系统日志能记录

30、用户登录时间等信息；数据库日志能记录用户新建、删除等信息。3、安全管理员应定期审核应用系统、数据库、操作系统的系统日志。设计有效性：1、访谈安全管理员有关系统日志管理和审核情况。2、检查系统中的日志管理功能，取得截屏。执行有效性：3、抽样检查安全管理员定期审核应用系统、数据库、操作系统日志的记录。21中国石化信息系统管理部中国石化信息系统管理部7 7、“第三方人员管理第三方人员管理”工作底稿工作底稿序序号号控制目控制目标标控制控制点点控制点描述控制点描述测试步骤测试步骤一数据和程序访问数据和程序访问7加 强 对第 三 方人 员 授权 访 问管理。第 三方 人员 管理1、第三方人员需要访问系统时

31、，应填写用户权限审批表，说明账号使用的原因、时间和期限，并由财务部门负责人批准。2、到期应及时删除或锁定第三方人员的账号。设计有效性：1、访谈财务部门负责人有关第三方人员访问系统的情况。执行有效性：2、检查第三方人员的“用户权限审批表”和审批情况。3、检查系统中第三方人员账号情况，在“维护工具”中查看第三方人员帐号及使用情况，确认系统中无应删未删的第三方人员账号。22中国石化信息系统管理部中国石化信息系统管理部8 8、“系统变更管理系统变更管理”工作底稿工作底稿序序号号控制目控制目标标控制点控制点控制点描述控制点描述测试步骤测试步骤二二程 序 变程 序 变更更8加强系统变更管理，有变更管理制度

32、，变更必须经过严格的审批、测试，使系统的变更在可控范围内，保证应用系统运行和维护的正常进行。系统变更管理1、有变更管理政策及审批流程。软件版本变更由总部相关部门统一组织变更、统一下发企业。企业有软件变更需求必须填报“系统变更审批表”上报总部，不允许自行变更，企业it人员及相关用户应充分了解该流程。2、所有针对系统应用软件的变更申请、开发、测试、下发、版本都要有总部的审批签字及记录文档。3、对于系统运行环境、系统优化等配置变更，应填写“系统变更审批表”，并经相关部门负责人审批，并严格测试后，方可在系统中更改，以确保系统的平稳运行。4、开发人员不能进入生产环境，不能进行最终的变更操作。设计有效性：

33、1、访谈有关部门负责人有关系统变更流程和管理制度。2、查看变更管理相关制度。执行有效性：3、如果2006年有变更发生，抽样检查系统变更、配置变更的申请、审批、测试及相关记录文档。4、查看进行系统变更的人员记录，确认变更人员不是开发人员。如果是开发人员要有申请审批记录。23中国石化信息系统管理部中国石化信息系统管理部9 9、“erp“erp报表接口管理报表接口管理”工作底稿工作底稿序序号号控控制制目目标标控控制制点点控制点描述控制点描述测试步骤测试步骤三三 系统运行系统运行9加强erp报表接口管理工作，保证报表信息抽取的安全和完整。erp报表接口管理1、对报表数据的抽取及使用有相关规定。2、系统

34、提供了数据抽取的数据来源定义、数据抽取规则等功能；对报表数据的读取和写入有严格的权限控制。3、财务报表系统的运行过程有日志记录。设计有效性：1、访谈报表管理人员有关报表抽取的有关规定。2、查看erp报表接口的用户手册及相关文档。3、登录系统中的数据抽取，查看数据抽取设置、数据读取机制、数据写入机制等设置功能，取得截屏。执行有效性：4、抽样检查报表抽取的运行日志，取得截屏。24中国石化信息系统管理部中国石化信息系统管理部1010、“报表上报管理报表上报管理”工作底稿工作底稿序序号号控控制制目目标标控控制制点点控制点描述控制点描述测试步骤测试步骤三三 系统运行系统运行10加强报表上报管理工作，保证

35、报表信息上报的及时、完整。报表上报管理1、对报表上报有相关规定。2、报表上报时执行统一定义的校验公式对报表进行合法性效验，并有详细的校验报告信息。设计有效性：1、访谈报表管理人员有关报表上报的管理规定。2、查看系统报表校验功能，取得截屏。执行有效性：3、抽样检查报表数据上报的校验报告，取得校验报告截屏。25中国石化信息系统管理部中国石化信息系统管理部1111、“系统备份及恢复系统备份及恢复”工作底稿工作底稿序序号号控制目控制目标标控制点控制点控制点描述控制点描述测试步骤测试步骤三三系统运行系统运行11加强系统备份及恢复管理，减少因故障发生造成数据丢失的风险，保障财务相关数据的安全和系统的快速恢

36、复能力。系统备份及恢复1、对数据备份策略、备份模式、备份介质存放、备份恢复性测试等有相关的管理规定。2、应用系统提供有备份和恢复的功能。严格控制数据备份、恢复、转入、转出的权限，对备份的数据加强管理，防止被非法拷贝或毁坏。3、至少每月备份一次数据，并检查备份数据的可读性。4、备份介质定期异地存放，备份介质存放要有交接记录、介质访问要有适当授权和访问记录。5、定期测试备份数据的可读性，以保证备份的有效性。6、可能的情况下，每半年对备份进行恢复测试。设计有效性：1、访谈系统管理员有关备份的管理制度和备份方案。2、查看备份管理规定。3、查看系统备份功能和权限控制情况，取得截屏。执行有效性：4、检查备

37、份记录。5、检查介质保存方式和介质的保管、访问记录等。6、抽查备份数据定期可读性测试的记录。7、访谈系统管理员备份恢复的步骤，提供每半年备份恢复测试的记录。26中国石化信息系统管理部中国石化信息系统管理部1212、“系统监控、维护及故障处理系统监控、维护及故障处理”工作底稿工作底稿序序号号控制目控制目标标控制控制点点控制点描述控制点描述测试步骤测试步骤三三系统运行系统运行12加强系统运行监控及维护管理，及时解决系统运行问题，保障系统安全稳定运行。系统监控、维护及故障处理1、建立系统监控和维护管理制度，明确问题处理流程。2、系统维护人员对系统运行状况进行监控；系统运行中出现故障时，普通操作人员不

38、能擅自处理，应保护现场，及时与应用系统管理员联系；本单位应用系统管理员不能排除故障时，应报上一级管理部门。3、要详细记录运维和问题处理情况，对故障发生时间、故障情况、解决办法、处理结果及跟踪进行详细记录，并由维护人员或应用系统管理员签字。4、建立应急预案，保证系统问题的及时解决，降低对业务处理的影响。设计有效性： 1、访谈相关人员有关问题处理流程和维护制度。2、查看问题处理及维护管理制度。 执行有效性：3、检查系统监控记录和用户申报问题记录清单，抽样检查问题处理情况的详细记录。4、检查企业的应急预案，包括应急处理流程、应急处理过程记录等管理规定。27中国石化信息系统管理部中国石化信息系统管理部

39、问题和建议问题和建议l 财务管理系统财务管理系统、财务报表系统、财务报表系统的版本的版本p 目前企业使用的版本主要有两大类：目前企业使用的版本主要有两大类：2.x版（版（2.2、2.3）：大多数企业使用）：大多数企业使用3.0版：集中核算版，较少企业使用，权限管理功能版：集中核算版，较少企业使用，权限管理功能较强，密码控制比较弱较强，密码控制比较弱财务管理信息系统、财务报表系统的财务管理信息系统、财务报表系统的it一般性控制一般性控制矩阵和底稿主要针对矩阵和底稿主要针对2.x版制定。版制定。p 软件功能与矩阵和底稿中描述不一致的，上报总部信软件功能与矩阵和底稿中描述不一致的，上报总部信息部。息

40、部。28中国石化信息系统管理部中国石化信息系统管理部问题和建议问题和建议l 缺失资料补填和收集原则缺失资料补填和收集原则对于缺失资料的补填原则：政策制度、重要的授权申批文档必须要对于缺失资料的补填原则：政策制度、重要的授权申批文档必须要补，写现在日期。补，写现在日期。重复发生的要从现在开始补起来。如重复发生的要从现在开始补起来。如“用户权限申批表用户权限申批表”，从现在起，从现在起规范做起来就可以，但要保证检查时有一定样本量，否则，可认定规范做起来就可以，但要保证检查时有一定样本量，否则，可认定设计有效；但穿行测试、执行有效将无法认定。我们建议，补填和设计有效；但穿行测试、执行有效将无法认定。我们建议，补填和收集资料的过程，能同时起到规范内部管理、检查相关工作作用的收集资料的过程，能同时起到规范内部管理、检查相关工作作用的；补起来比较容易的；与财务报表关系大的，要补。；补起来比较容易的；与财务报表关系大的，要补。注意，不要为了通过检查补已过去的某天的资料，先前没有做到，注意，不要为了通过检查补已过去的某天的资料，先前没有做到，补一个过去的检查记录是没有意义的，资料的收集有太明显的补一个过去的检查记录是没有意义的，资料的收集有太明显的“应付应付检查式检查式”补的痕迹，绝不是总部内审、