it一般性控制检查动员

1、1 ITIT一般性一般性控制检查动员控制检查动员信息系统管理部信息系统管理部2006.7.252006.7.252一、一、SOXSOX法案与法案与ITIT控制控制二、二、ITIT一般性控制检查评价内容和方法一般性控制检查评价内容和方法三、几点要求三、几点要求 3 20012001年美国安然、世通等公司因一系列丑闻而破产，连年美国安然、世通等公司因一系列丑闻而破产，连带安然外部审计师安达信会计师事务所的破产，导致美国出带安然外部审计师安达信会计师事务所的破产，导致美国出台台萨班斯法案萨班斯法案。法案。法案302302条款、条款、404404条款对内部控制提出条款对内部控制提出了严格监管要求。了严

2、格监管要求。103103条款条款: : 审计师必须保留所有的审计相关记录（包括审计师必须保留所有的审计相关记录（包括电子文件）七年以上，即刻生效电子文件）七年以上，即刻生效302302条款条款: : CEO CEO和和CFOCFO必须签署报告，保证财务报告的完必须签署报告，保证财务报告的完整性和准确性，即刻生效整性和准确性，即刻生效404404条款条款: : CEO CEO、 CFOCFO和外部审计师必须审核财务报表内和外部审计师必须审核财务报表内控的有效性，即刻生效控的有效性，即刻生效409409条款条款: : 公司必须及时披露财务状况的重大变动公司必须及时披露财务状况的重大变动一、一、SO

3、XSOX法案与法案与ITIT控制控制 4一、一、SOXSOX法案与法案与ITIT控制控制 使上市公司符合使上市公司符合萨班斯奥克斯利法萨班斯奥克斯利法案案（Sarbanes-Oxley ActSarbanes-Oxley Act，简称，简称SOXSOX法案）法案）302302、404404等条款的要求，是对上市公司等条款的要求，是对上市公司ITIT控控制的挑战。制的挑战。 5与财务报告相关的重要法案、法规一览表与财务报告相关的重要法案、法规一览表20022002年年7 7月月3030日日 美国总统布什签发了美国总统布什签发了萨班斯萨班斯- -奥克斯利法案奥克斯利法案(SOX(SOX法案法案)

4、) 20022002年年8 8月月2929日日 美国证券交易委员会根据美国证券交易委员会根据SOXSOX法案第法案第302302条款的要求，颁布条款的要求，颁布 对有关对有关条款的最终条例条款的最终条例20032003年年6 6月月5 5日日 美国证券交易委员会根据美国证券交易委员会根据SOXSOX法案第法案第404404条条款款的要求，颁布的要求，颁布对有关对有关条款的最终条例和对第条款的最终条例和对第 302302条款的补充修订条款的补充修订20042004年年3 3月月9 9日日 美国美国上市公司会计监管委员会上市公司会计监管委员会（PCAOBPCAOB）发布第发布第2 2号审计准则号审

5、计准则20042004年年5 5月月1212日日 美国美国ITGIITGI发布发布IT Control Objectives for SOXIT Control Objectives for SOX20042004年年6 6月月1717日日 美国证交会批准美国证交会批准 PCAOB PCAOB 发布第发布第2 2号审计准则号审计准则20062006年年4 4月月3030日日 ITGIITGI发布发布IT Control Objectives for SOXIT Control Objectives for SOX，2 Edition2 Edition一、一、SOXSOX法案与法案与ITIT控制

6、控制 6SOXSOX法案法案第第404404条款条款管理层对内部控制的评价管理层对内部控制的评价 l管理层必须建立与财务报告相关的内部控制体系管理层必须建立与财务报告相关的内部控制体系l每年报告每年报告管理层声明建立与财务报告相关的内部控制的责任管理层声明建立与财务报告相关的内部控制的责任自我验证与评价与财务报告相关的内部控制的有效性自我验证与评价与财务报告相关的内部控制的有效性自我评价经外部审计师查证并出具独立审计意见自我评价经外部审计师查证并出具独立审计意见生效日期生效日期“提前申报人提前申报人” ” ：20042004年年1111月月1515日之后第一个财务年日之后第一个财务年度年度结束

7、时（原为度年度结束时（原为20042004年年6 6月月1515日）日）外国公司外国公司：2006年年7月月15日之后第一个财务年度结束时日之后第一个财务年度结束时（原为（原为2005年年4月月15日）日）一、一、SOXSOX法案与法案与ITIT控制控制7 PCAOBPCAOB第第2 2号审计准则号审计准则对外部审计师的要求对外部审计师的要求 PCAOBPCAOB第第2 2号审计准则要求外部审计师，对上市公司管号审计准则要求外部审计师，对上市公司管理层与财务报告相关的内部控制进行独立审计，并正式出理层与财务报告相关的内部控制进行独立审计，并正式出具一份审计师具一份审计师 404 404 审计报

8、告，其中包括两个评价意见审计报告，其中包括两个评价意见: :1 1、对上市公司管理层评价结论的意见、对上市公司管理层评价结论的意见2 2、对上市公司与财务报告相关内部控制有效性的独立意见对上市公司与财务报告相关内部控制有效性的独立意见一、一、SOXSOX法案与法案与ITIT控制控制 8 美国上市公司会计监管委员会（美国上市公司会计监管委员会（PCAOBPCAOB）配）配合合SOXSOX法案颁布第法案颁布第2 2号审计准则，在涉及财务报号审计准则，在涉及财务报告相关的内部控制审计时指出，信息技术是内告相关的内部控制审计时指出，信息技术是内部控制的一个不可缺少的部份。部控制的一个不可缺少的部份。

9、一、一、SOXSOX法案与法案与ITIT控制控制 9美国上市公司在各业务流程中存在的控制缺陷、显著缺陷和实质性美国上市公司在各业务流程中存在的控制缺陷、显著缺陷和实质性漏洞所占的比例（漏洞所占的比例（数据来源：毕马威数据来源：毕马威 404404学会于学会于20052005年年2 2月进行的调查月进行的调查）：）： 一、一、SOXSOX法案与法案与ITIT控制控制 控制缺陷控制缺陷显著缺陷显著缺陷实质性漏洞实质性漏洞信息技术控制信息技术控制36%22%21%收入确认收入确认13%10%6%固定资产固定资产10%7%9%财务报告和结账财务报告和结账9%16%12%采购付款采购付款9%13%12%

10、人力资源（工资和福利费用）人力资源（工资和福利费用）8%6%15%公司层面的控制公司层面的控制3%4%9%其他其他12%22%16%10 美国证监会要求各个上市公司在建立内控体美国证监会要求各个上市公司在建立内控体系的时候要遵循相应的内控框架。其中系的时候要遵循相应的内控框架。其中COSOCOSO的的内部控制内部控制-整体框架整体框架已成为遵从已成为遵从SOXSOX法案最法案最流行的内控框架，但是流行的内控框架，但是COSOCOSO并没有涉及如何设计并没有涉及如何设计和实施和实施ITIT控制；有关控制；有关ITIT控制的标准是控制的标准是COBITCOBIT。 一、一、SOXSOX法案与法案与

11、ITIT控制控制 11三、几点说明和要求三、几点说明和要求19921992年，年，COSOCOSO颁布了颁布了内部控制内部控制整体框架整体框架报告。报告。1220042004年年9 9月，结合月，结合SOXSOX法案法案COSOCOSO颁布了颁布了企业风险管理企业风险管理总体框架总体框架提出八要素：提出八要素： 内部环境内部环境、目标制定、目标制定、 事项识别、事项识别、风险评估风险评估、 风险反应、风险反应、控制活动控制活动、 信息与沟通信息与沟通、监控监控。一、一、SOXSOX法案与法案与ITIT控制控制 13信息技术是信息技术是SOXSOX整体要求不可或缺的一部分整体要求不可或缺的一部分

12、 对对ITIT控制的标准就是控制的标准就是COBITCOBIT（Control Objectives for Control Objectives for Information and Related TechnologyInformation and Related Technology，信息及相关技术控制目，信息及相关技术控制目标），是一个国际通用的标），是一个国际通用的ITIT治理方法论和治理方法论和ITIT控制模型。由美国信息控制模型。由美国信息系统审计和控制协会系统审计和控制协会ISACAISACA（Information System Audit and Information

13、System Audit and Control AssociatesControl Associates）下属的）下属的ITIT治理协会治理协会ITGIITGI（IT Governance IT Governance InstituteInstitute）于）于19961996年发布第年发布第1 1版本，版本，19981998年第年第2 2版本，版本，20002000年发布第年发布第3 3版本，版本，20052005年发布年发布4.04.0版本。版本。 ITGIITGI于于20042004年年5 5月提出了月提出了“IT Control Objectives for IT Control O

14、bjectives for Sarbanes-Oxley”Sarbanes-Oxley”，于，于20062006年年4 4月提出了第二版。月提出了第二版。 一、一、SOXSOX法案与法案与ITIT控控制制 144 4 个域个域 规划与组织域规划与组织域(PO1-10)(PO1-10) 获得与实施域获得与实施域(AI1-7)(AI1-7) 交付与支持域交付与支持域(DS1-13)(DS1-13) 监控和评估域监控和评估域(ME1-4)(ME1-4) 34 34 个流程个流程7 7 个业务需求指标：个业务需求指标： 有效性、高效性、有效性、高效性、 保密性、完整性、保密性、完整性、 可用性、一致性

15、、可用性、一致性、 可靠性可靠性4 4 种资源种资源一一、SOXSOX法案与法案与ITIT控制控制COBIT 4.0COBIT 4.0三维架构三维架构15ITGI“IT CotrolITGI“IT Cotrol Objectives for SOX Objectives for SOX，2 Edition ”2 Edition ”IT Control Objectives for Sarbanes-OxleyCobitPCAOB IT 一般性控制一般性控制Cobit 4.0流程流程系统开发系统开发系统变更系统变更计算机操作计算机操作系统和数据访问系统和数据访问1.1.获取和维护应用软件获取和维

16、护应用软件AI22. 2. 获取和维护技术基础设施获取和维护技术基础设施AI33.3.定义定义ITIT流程、组织和关系流程、组织和关系PO44.4.安装、解决方案和变更安装、解决方案和变更AI75.5.变更管理变更管理AI66.6.定义和管理服务级别定义和管理服务级别DS17.7.第三方服务管理第三方服务管理DS28.8.系统安全保证系统安全保证DS59.9.配置管理配置管理DS910.10.问题和事件管理问题和事件管理DS8、DS1011.11.数据管理数据管理DS1112.12.物理环境和操作管理物理环境和操作管理DS12、DS1316ITGI“IT CotrolITGI“IT Cotro

17、l Objectives for SOX Objectives for SOX，2 Edition ”2 Edition ”IT Services财务财务业务过程业务过程生产生产业务过程业务过程后勤后勤业务过程业务过程业务过程业务过程ExecutiveManagement公司层面控制公司层面控制涉及公司的特性和文化。IT控制环境是公司整个控制环境的一个部分。控制包括：战略和计划政策和程序风险评估教育培训质量保证内部审计应用控制应用控制内嵌在业务过程应用的控制，直接支持财务控制目标。主要对财务应用系统进行此类控制，包括像SAP、Oracle这样的大系统或一些小系统。控制包括：完整性精确性授权性公

18、布/披露ITIT一般性控制一般性控制内嵌在IT过程中的控制，IT过程提供一个可靠的操作环境和支持应用控制实现有效操作。控制包括：系统开发系统变更 系统和数据访问计算机操作17ITIT一般性控制一般性控制 “IT “IT一般性控制一般性控制”检查评价是针对检查评价是针对ITIT系统控制点而进系统控制点而进行的，由行的，由ITIT专业人员负责，主要是对专业人员负责，主要是对ITIT系统在安全性、可系统在安全性、可靠性和合理性等方面的设计及运行实施有效性进行检查和靠性和合理性等方面的设计及运行实施有效性进行检查和评价。评价。 “ “应用控制应用控制”检查评价是针对业务流程而进行的，由检查评价是针对业

19、务流程而进行的，由相关业务人员负责，针对业务流程控制点，检查评价相关业务人员负责，针对业务流程控制点，检查评价ITIT应应用系统（如用系统（如ERPERP系统）操作的合法性、规范性等进行检查系统）操作的合法性、规范性等进行检查和评价；和评价；ITIT专业人员可根据需要配合工作。专业人员可根据需要配合工作。18ITIT在内控和财务报告生成过程的职责包括在内控和财务报告生成过程的职责包括： 理解企业的内控和财务报告生成过程理解企业的内控和财务报告生成过程 画出支持内控和财务报告生成过程的画出支持内控和财务报告生成过程的ITIT系统流程图系统流程图 识别这些与财务报告生成相关的识别这些与财务报告生成

20、相关的ITIT系统的风险系统的风险 设计并实施能有助于降低可识别风险的控制环节，并且持设计并实施能有助于降低可识别风险的控制环节，并且持续有效地实施监控续有效地实施监控 准备完整的文档并对准备完整的文档并对ITIT控制进行测试控制进行测试 确保确保ITIT控制对内控和财务报告生成过程的同步更新控制对内控和财务报告生成过程的同步更新 持续监控持续监控ITIT控制的有效性控制的有效性 -摘自摘自ITGI“IT CotrolITGI“IT Cotrol Objectives for SOX Objectives for SOX，2 Edition ”2 Edition ”ITGI“IT Cotrol

21、ITGI“IT Cotrol Objectives for SOX Objectives for SOX，2 Edition ”2 Edition ”19ITGI“IT CotrolITGI“IT Cotrol Objectives for SOX Objectives for SOX，2 Edition ”2 Edition ”附件附件B B：ITIT一般性控制一般性控制 表表9-129-12：控制环境、信息和沟通、风险评估、监控控制环境、信息和沟通、风险评估、监控 表表13-25:13-25:获得和开发应用软件、获得技术基础设施、开发和维获得和开发应用软件、获得技术基础设施、开发和维护的制

22、度和过程、安装和测试、变更管理、定义和管理服务层次、护的制度和过程、安装和测试、变更管理、定义和管理服务层次、第三方服务管理、系统安全标准、配置管理、问题和事件管理、第三方服务管理、系统安全标准、配置管理、问题和事件管理、数据管理、操作管理、终端用户计算机系统等数据管理、操作管理、终端用户计算机系统等 20一、一、SOXSOX法案与法案与ITIT控制控制二、二、ITIT一般性控制检查评价内容和方法一般性控制检查评价内容和方法三、几点要求三、几点要求 21信息技术一般性控制信息技术一般性控制(IT General Controls)(IT General Controls) ITIT一般性控制检

23、查评价围绕与财务报告生成相关并产生影响的一般性控制检查评价围绕与财务报告生成相关并产生影响的信息系统开展，如信息系统开展，如ERPERP系统。其主要检查系统。其主要检查评价评价内容包括：内容包括：1.1.整体层面的整体层面的ITIT控制（控制（Entity LevelEntity Level）2.2.程序和数据访问程序和数据访问 (Access to Programs and Data)(Access to Programs and Data)3.3.程序变更程序变更 (Program Changes)(Program Changes)4.4.程序开发程序开发 (Program Develop

24、ment)(Program Development)5.5.系统运行系统运行/ /计算机操作计算机操作 (Computer Operations)(Computer Operations)6.6.终端用户计算终端用户计算 (End-user Computing)(End-user Computing) 二、二、ITIT一般性控制检查评价内容和方法一般性控制检查评价内容和方法 221.1.整体层面的整体层面的ITIT控制（控制（Entity LevelEntity Level）包括：包括： 控制环境（控制环境（ITIT战略规划与计划、战略规划与计划、ITIT组织与关系、教组织与关系、教育和培训等

25、）育和培训等） 信息与沟通信息与沟通 风险评估风险评估 监控监控信息技术一般性控制信息技术一般性控制(IT General Controls) 232.2.程序和数据访问程序和数据访问(Access to Programs and Data)(Access to Programs and Data)包括（不限于下列控制内容）：包括（不限于下列控制内容）：实施有效的实施有效的信息信息安全安全政策政策措施措施及向员工的推广执行；及向员工的推广执行；防止未经授权访问防止未经授权访问（网络、操作系统、数据库及应用层面）；（网络、操作系统、数据库及应用层面）； 对用户的增删、修改都经过管理层授权；对用户

26、的增删、修改都经过管理层授权；定期对系统中用户的访问权限进行审阅；定期对系统中用户的访问权限进行审阅；职权分离职权分离等。等。信息技术一般性控制信息技术一般性控制(IT General Controls) 243.3.程序变更程序变更(Program Changes)(Program Changes)包括（不限于下列控制点内容）：包括（不限于下列控制点内容）： 有关变更管理制度有关变更管理制度 系统或应用程序的变更都经过适当的管理层的授权；系统或应用程序的变更都经过适当的管理层的授权； 变更后发布到生产环境运行之前经过了测试、校验和审批；变更后发布到生产环境运行之前经过了测试、校验和审批； 版

27、本管理；版本管理； 不相容职责不相容职责等。等。 信息技术一般性控制信息技术一般性控制(IT General Controls) 254.4.程序开发程序开发(Program Development)(Program Development)包括（不限于下列控制点内容）：包括（不限于下列控制点内容）： 程序开发项目管理制度的建立及执行；程序开发项目管理制度的建立及执行； 应用系统及硬件基础架构的开发应用系统及硬件基础架构的开发/ /采购应经过适当级别的采购应经过适当级别的ITIT部门部门和和公司业务管理层的审批公司业务管理层的审批 ； 程序开发、实施过程进行了充分的测试，并且该测试结果经过用户

28、程序开发、实施过程进行了充分的测试，并且该测试结果经过用户签字和管理层的批准；签字和管理层的批准； 数据迁移过程中有足够的控制保证数据的准确性及完整性。数据迁移过程中有足够的控制保证数据的准确性及完整性。 文档管理文档管理注：适用于注：适用于20062006年年1 1月月1 1日起新开发投用的系统日起新开发投用的系统信息技术一般性控制信息技术一般性控制(IT General Controls) 265.5.系统运行系统运行(Computer Operations)(Computer Operations)包括（不限于下列控制点内容）：包括（不限于下列控制点内容）： 批处理任务的设定及实施；批处

29、理任务的设定及实施； 系统和数据定期备份，确保重要数据在需要时可以恢复；系统和数据定期备份，确保重要数据在需要时可以恢复； 备份介质进行定期恢复测试，确保备份介质的质量及系统和数据备份介质进行定期恢复测试，确保备份介质的质量及系统和数据的可恢复性；的可恢复性； 备份介质访问权限的控制；备份介质访问权限的控制； 建立问题管理流程，以及时记录、分析、解决与生成财务报表有建立问题管理流程，以及时记录、分析、解决与生成财务报表有关的系统和应用程序的问题和错误；关的系统和应用程序的问题和错误； 设置相应的应急程序，以防系统出现故障等。设置相应的应急程序，以防系统出现故障等。信息技术一般性控制信息技术一般

30、性控制(IT General Controls) 276.6.终端用户计算终端用户计算 (End-user Computing)(End-user Computing) 指与财务报告数据生成有关、并对数据按公式进行加指与财务报告数据生成有关、并对数据按公式进行加工处理的工处理的excelexcel、accessaccess、vbvb等电子表格、小程序等。终等电子表格、小程序等。终端用户计算提高了日常工作的质量和速度，但也带来了端用户计算提高了日常工作的质量和速度，但也带来了风险，其处理的数据易产生未经授权的访问和非法修改风险，其处理的数据易产生未经授权的访问和非法修改等风险。等风险。 因此，管

31、理层应制定相关制度和措施来确保终端用因此，管理层应制定相关制度和措施来确保终端用户计算环境下的户计算环境下的ITIT一般性控制有效性，包括对影响财务一般性控制有效性，包括对影响财务报表的重要电子表格等进行有关授权制度、公式访问保报表的重要电子表格等进行有关授权制度、公式访问保护、测试、备份、文档等管理。护、测试、备份、文档等管理。信息技术一般性控制信息技术一般性控制(IT General Controls) 286.6.终端用户计算终端用户计算(End-user Computing)(End-user Computing)包括（不限于下列控制点内容）：包括（不限于下列控制点内容）： 访问管理访

32、问管理-影响财务报表的重要电子表格和其他用户自影响财务报表的重要电子表格和其他用户自编程序如果存放于单机环境，则应由相关部门设定密码保编程序如果存放于单机环境，则应由相关部门设定密码保护，防止非授权人员进行访问；如果存放在文档服务器上，护，防止非授权人员进行访问；如果存放在文档服务器上，需建立访问控制措施。需建立访问控制措施。 变更管理变更管理-相关部门在影响财务报表的重要电子表格模相关部门在影响财务报表的重要电子表格模板需要进行变更时，应对完整性和准确性进行测试，并在板需要进行变更时，应对完整性和准确性进行测试，并在测试通过后在测试文档上书面确认。在测试结果通过主管测试通过后在测试文档上书面

33、确认。在测试结果通过主管人员的审批后，方可使用更新后的电子表格模板。人员的审批后，方可使用更新后的电子表格模板。信息技术一般性控制信息技术一般性控制(IT General Controls) 296.6.终端用户计算终端用户计算 (End-user Computing)(End-user Computing) 开发管理开发管理-重要电子表格模板在开发过程中，其输入、重要电子表格模板在开发过程中，其输入、处理及输出，必须由用户对完整性和准确性进行测试，处理及输出，必须由用户对完整性和准确性进行测试，并在测试通过后在测试文档上书面确认；测试结果通过并在测试通过后在测试文档上书面确认；测试结果通过主

34、管人员的审批后，方可使用新开发的电子表格模板。主管人员的审批后，方可使用新开发的电子表格模板。 备份管理备份管理-公司或部门应建立文档服务器（例如网络共公司或部门应建立文档服务器（例如网络共享目录）或其他备份介质，相关人员定期对影响财务报享目录）或其他备份介质，相关人员定期对影响财务报表的重要电子表格和其他用户自编程序在文档服务器或表的重要电子表格和其他用户自编程序在文档服务器或其他介质上进行备份保存。其他介质上进行备份保存。信息技术一般性控制信息技术一般性控制(IT General Controls) 30二、二、ITIT一般性控制检查评价内容和方法一般性控制检查评价内容和方法31二、二、I

35、TIT一般性控制检查评价内容和方法一般性控制检查评价内容和方法32二、二、ITIT一般性控制检查评价内容和方法一般性控制检查评价内容和方法ITIT一般性控制检查评价过程一般性控制检查评价过程1.1.界定界定ITIT系统范围系统范围 按照本单位企业财务报告生成过程，画出支持财务报告生按照本单位企业财务报告生成过程，画出支持财务报告生成过程的成过程的ITIT系统关系图，界定进行系统关系图，界定进行ITIT一般性控制检查评价的一般性控制检查评价的ITIT系统（包括电子表格等）范围。系统（包括电子表格等）范围。2.2.识别确定控制点，设计生成识别确定控制点，设计生成“控制矩阵控制矩阵”和和“工作底稿工

36、作底稿” 针对所界定的针对所界定的ITIT系统范围，识别确定这些与财务报告生成系统范围，识别确定这些与财务报告生成相关的相关的ITIT服务活动为了实现控制目标、防范风险的控制点。服务活动为了实现控制目标、防范风险的控制点。 对控制点进行描述，设计生成本单位对控制点进行描述，设计生成本单位“ITIT一般性控制矩阵一般性控制矩阵”（以下简称（以下简称“控制矩阵控制矩阵”）、）、“ITIT一般性控制工作底稿一般性控制工作底稿”（以（以下简称下简称“工作底稿工作底稿”）和相应的表单等文档。）和相应的表单等文档。33二、二、ITIT一般性控制检查评价内容和方法一般性控制检查评价内容和方法ITIT一般性控

37、制检查评价过程一般性控制检查评价过程3.3.进行检查评价进行检查评价 按按“工作底稿工作底稿”要求对控制点进行穿行测试、设计有效性要求对控制点进行穿行测试、设计有效性及实施有效性检查评价，形成并保留相应的测试文档，并将测及实施有效性检查评价，形成并保留相应的测试文档，并将测试检查结果按要求填写到试检查结果按要求填写到工作底稿工作底稿和和控制矩阵控制矩阵中。中。4.4.对存在缺陷的修补和再测试对存在缺陷的修补和再测试 对检查中发现的问题，被检查单位应及时制定整改方案，对检查中发现的问题，被检查单位应及时制定整改方案，并认真组织落实，整改后进行再测试，形成并保留再测试文档，并认真组织落实，整改后进

38、行再测试，形成并保留再测试文档，整改情况及结果须在整改情况及结果须在2 2个月内向股份公司内控办进行反馈。个月内向股份公司内控办进行反馈。34二、二、ITIT一般性控制检查评价内容和方法一般性控制检查评价内容和方法“控制矩阵控制矩阵”和和“工作底稿工作底稿” “控制矩阵控制矩阵”是指关于某一与财务报告生成相关的是指关于某一与财务报告生成相关的ITIT服务活动控服务活动控制点集合的综合情况表。内容包括控制目标、控制点编号和描述、控制点集合的综合情况表。内容包括控制目标、控制点编号和描述、控制点活动属性（控制频度、控制类型、执行人等）、测试结果、修补制点活动属性（控制频度、控制类型、执行人等）、测

39、试结果、修补情况等，并有索引指向工作底稿文档。情况等，并有索引指向工作底稿文档。 “ “工作底稿工作底稿”是指对应是指对应“控制矩阵控制矩阵”各控制点进行各控制点进行ITIT一般性控制一般性控制测试检查用所设计的一组工作底稿和相应的表单。内容包括控制目标、测试检查用所设计的一组工作底稿和相应的表单。内容包括控制目标、控制点编号、名称和描述、测试步骤、测试结果、测试结论和测试文控制点编号、名称和描述、测试步骤、测试结果、测试结论和测试文档编号等。档编号等。35二、二、ITIT一般性控制检查评价内容和方法一般性控制检查评价内容和方法ERPERP系统系统ITIT一般性控制矩阵一般性控制矩阵单位名称：

40、单位名称：序序号号控制控制目标目标控制点控制点控制活动属性控制活动属性相关制相关制度和文度和文档档测试结果测试结果备备注注编号编号控控制制点点控制点描述控制点描述控制控制执行执行人人控控制制频频率率自自动动/ /手手动动预防性预防性/ /检查检查性性穿行测穿行测试有效试有效否否设计设计有效有效否否执行执行有效有效否否修补修补完完成时成时间间1 12 23 34 45 56 67 78 89 910101111121213131 14 4一一程序和数据访问程序和数据访问1加强用户权限管理，防止对系统的非授权访问ERP-DA1用户权限维护1、制定ERP系统用户权限管理制度；2、建立/变更用户帐户和

41、角色，由申请人填写“ERP系统用户权限申请表”，经相应负责人部门领导审批后，由权限管理员在系统中建立/维护权限，提交申请人进行权限测试并填写测试记录；3、无论是已有角色的分配，还是建立一个新的角色，都需关键用户进行测试并填写测试记录，测试通过并经相应负责人部门负责人签字后才能在生产系统中启用；4、业务人员由于岗位变动或离开单位，业务部门填写“ERP系统用户权限申请表”锁定帐户，经业务部门领导审核后，由权限管理员在系统中将该用户进行锁定。相关部门负责人；权限管理员按需手动检查性ERP系统用户权限管理制度；ERP系统用户权限申请表36二、二、ITIT一般性控制检查评价内容和方法一般性控制检查评价内

42、容和方法 ERPERP系统系统ITIT一般性控制工作底稿一般性控制工作底稿被测试单位：被测试单位：测试人：测试人： 复核人：复核人：测试时间：测试时间：序序号号控制目控制目标标控制点控制点编号编号控控制制点点控制点描述控制点描述测试步骤测试步骤测试结测试结果果结论结论文档编号文档编号一程序和数据访问程序和数据访问1加强用户权限管理，防止对系统的非授权访问ERP-DA1用户权限维护1、制定ERP系统用户权限管理制度；2、建立/变更用户帐户和角色，由申请人填写“ERP系统用户权限申请表”，经相应负责人部门领导审批后，由权限管理员在系统中建立/维护权限，提交申请人进行权限测试并填写测试记录；3、无论

43、是已有角色的分配，还是建立一个新的角色，都需关键用户进行测试并填写测试记录，测试通过并经相应负责人部门负责人签字后才能在生产系统中启用；4、业务人员由于岗位变动或离开单位，业务部门填写“ERP系统用户权限申请表”锁定帐户，经业务部门领导审核后，由权限管理员在系统中将该用户进行锁定。1、访谈权限管理员关于权限维护的执行情况，考察是否与制度相符合；2、抽查用户权限维护是否有对应的权限维护申请表审批记录单以及相应人员的签字；3、抽查建立/变更的权限和角色是否经业务部门测试。ERP-DA1-1.1ERP-DA1-1.n37二、二、ITIT一般性控制检查评价内容和方法一般性控制检查评价内容和方法 信息部

44、根据信息部根据SOXSOX要求，针对企业共性的要求，针对企业共性的ITIT服务活动设计了整体层面服务活动设计了整体层面的的ITIT控制、控制、ITIT基础设施、基础设施、ERPERP系统、财务报表系统、财务管理信息系统系统、财务报表系统、财务管理信息系统和终端用户计算和终端用户计算6 6套通用的套通用的“控制矩阵控制矩阵”、“工作底稿工作底稿”和相应表单模和相应表单模板。板。 适用于适用于ERPERP单轨运行企业的为整体层面的单轨运行企业的为整体层面的ITIT控制、控制、ITIT基础设施、基础设施、ERPERP系统、财务报表系统和终端用户计算系统、财务报表系统和终端用户计算5 5套套“控制矩阵

45、控制矩阵”、“工作底工作底稿稿”和相应的表单模板。和相应的表单模板。 适用非适用非ERPERP企业的为整体层面的企业的为整体层面的ITIT控制、控制、ITIT基础设施、财务管理信基础设施、财务管理信息系统和终端用户计算息系统和终端用户计算4 4套套“控制矩阵控制矩阵”、“工作底稿工作底稿”和相应的表单和相应的表单模板。模板。 具体使用时，各企业应在界定出的与财务报告生成具体使用时，各企业应在界定出的与财务报告生成过程相关并产过程相关并产生影响的生影响的ITIT系统基础上，根据实际情况作适当增补、剪裁和调整。系统基础上，根据实际情况作适当增补、剪裁和调整。38一、一、SOXSOX法案与法案与IT

46、IT控制控制二、二、ITIT一般性控制检查评价内容和方法一般性控制检查评价内容和方法三、几点说明和要求三、几点说明和要求 39三、几点说明和要求三、几点说明和要求1. IT1. IT一般性控制与一般性控制与11.111.1和和11.211.2两个业务流程检查的关系两个业务流程检查的关系 中国石化于中国石化于20032003年制定年制定内部控制手册内部控制手册时，明确将有时，明确将有关关ITIT的的2 2个业务流程（个业务流程（11.111.1信息系统管理业务流程和信息系统管理业务流程和11.211.2信信息资源管理业务流程息资源管理业务流程）纳入其中，以提高中国石化的）纳入其中，以提高中国石化

47、的ITIT治理治理水平。水平。 11.1 11.1流程是根据流程是根据 COBIT COBIT 与中国石化信息化实际相结合与中国石化信息化实际相结合而制订的而制订的，主要体现信息系统项目的全生命周期管理，防范，主要体现信息系统项目的全生命周期管理，防范系统实施和运行风险。系统实施和运行风险。 11.211.2流程主要针对生产经营类信息资源的管理，为加强流程主要针对生产经营类信息资源的管理，为加强信息共享和信息安全而制定的。信息共享和信息安全而制定的。 40流程图：流程图：2222个控制步骤个控制步骤11.111.1信息系统管理业务流程信息系统管理业务流程编制中长期规划和编制中长期规划和年度项目

48、建议计划年度项目建议计划（2 2个控制步骤）个控制步骤）项目可行性研究项目可行性研究和评审和评审 （2 2个控制步骤）个控制步骤） 项目立项审批项目立项审批（2 2个控制步骤）个控制步骤）合同签订合同签订（1 1个控制步骤）个控制步骤） 项目实施项目实施 （6 6个控制步骤）个控制步骤）项目竣工验收项目竣工验收（3 3个控制步骤）个控制步骤）系统应用和维护系统应用和维护（4 4个控制步骤）个控制步骤）系统升级系统升级（2 2个控制步骤）个控制步骤）41流程图：流程图：1111个控制步骤个控制步骤11.211.2信息资源管理业务流程信息资源管理业务流程确定各部门信息和确定各部门信息和需求需求 （

49、1 1个控制步骤）个控制步骤）汇总各部门需部门汇总各部门需部门外提供的信息需求外提供的信息需求 （1 1个控制步骤）个控制步骤） 落实部门间共享信落实部门间共享信息源和外购信息源息源和外购信息源 （2 2个控制步骤）个控制步骤）信息分级信息分级 （2 2个控制步骤）个控制步骤） 信息集中和信息整合信息集中和信息整合 （1 1个控制步骤）个控制步骤）信息授权信息授权 （1 1个控制步骤）个控制步骤）信息使用和共享信息使用和共享 （2 2个控制步骤）个控制步骤）信息质量反馈信息质量反馈 （1 1个控制步骤）个控制步骤）42三、几点说明和要求三、几点说明和要求 今年是今年是SOXSOX法案生效的第一

50、年。按照法案生效的第一年。按照中国石化内控检查评价与考中国石化内控检查评价与考核办法核办法规定，除对规定，除对11.111.1和和11.211.2业务流程进行常规的检查外，增加了按业务流程进行常规的检查外，增加了按SOXSOX法案要求的对法案要求的对与财务报告生成过程相关并产生影响的与财务报告生成过程相关并产生影响的ITIT系统进行系统进行ITIT一般性控制检查评价工作。一般性控制检查评价工作。 两者的差异还在于两者的差异还在于“适用范围适用范围”。11.111.1流程适用于流程适用于ERPERP层层/MES/MES层层/PCS/PCS层三层架构中属于固定资产投资的各类层三层架构中属于固定资产

51、投资的各类ITIT系统建设，控制点涉及面系统建设，控制点涉及面广，但不包括广，但不包括“终端用户计算终端用户计算” 这类这类“小应用系统小应用系统”内容；而内容；而ITIT一般一般性控制仅针对性控制仅针对与财务报告生成过程相关并产生影响的与财务报告生成过程相关并产生影响的ITIT系统（主要属系统（主要属ERPERP层面）。层面）。 当然当然ITIT一般性控制也是对一般性控制也是对11.111.1业务流程中关于与财务报告生成有关业务流程中关于与财务报告生成有关的的ITIT系统系统某些控制活动的细化，两者互为补充。某些控制活动的细化，两者互为补充。43三、几点说明和要求三、几点说明和要求2.2.认

52、真做好认真做好ITIT系统范围的界定工作系统范围的界定工作 按照按照SOXSOX法案要求，为保证财务报告的准确、安全、完整和合规性，法案要求，为保证财务报告的准确、安全、完整和合规性，必须对与财务报告生成过程相关并产生影响的必须对与财务报告生成过程相关并产生影响的ITIT系统进行系统进行“ITIT一般性一般性控制控制”检查评价。所以，合理、准确地界定检查评价。所以，合理、准确地界定ITIT系统范围是每个企业必系统范围是每个企业必须认真考虑的一个问题。须认真考虑的一个问题。 ITIT一般性控制检查评价是围绕与财务报告生成过程相关并产生影一般性控制检查评价是围绕与财务报告生成过程相关并产生影响的信

53、息系统开展。响的信息系统开展。一般的做法，按照企业财务报告生成过程，画出一般的做法，按照企业财务报告生成过程，画出支持财务报告生成过程的支持财务报告生成过程的ITIT系统关系图，然后进行界定，确定出系统关系图，然后进行界定，确定出ITIT一一般性控制检查评价的般性控制检查评价的ITIT系统（包括电子表格等）范围；财务报告生成系统（包括电子表格等）范围；财务报告生成不依赖于计算机计算结果的不依赖于计算机计算结果的ITIT系统则可以不计在内。系统则可以不计在内。44二、二、ITIT一般性控制检查评价内容和方法一般性控制检查评价内容和方法45二、二、ITIT一般性控制检查评价内容和方法一般性控制检查

54、评价内容和方法46三、几点说明和要求三、几点说明和要求 企业所界定出进行企业所界定出进行ITIT一般性控制检查评价的一般性控制检查评价的ITIT系统系统（包括电子表格等），如果超出了信息部提出的（包括电子表格等），如果超出了信息部提出的ERPERP、财务报表系统、财务管理信息系统的范围，则请仿照财务报表系统、财务管理信息系统的范围，则请仿照相应的模板进行控制矩阵、工作底稿的设计。相应的模板进行控制矩阵、工作底稿的设计。47三、几点说明和要求三、几点说明和要求 3. 3.重视规章制度的建设和执行重视规章制度的建设和执行 健全的规章制度，行之有效的管理办法，是信息系统建设、投运、健全的规章制度，行

55、之有效的管理办法，是信息系统建设、投运、平稳运行的重要保证。在平稳运行的重要保证。在ITIT一般性控制检查评价中，我们将涉及到一一般性控制检查评价中，我们将涉及到一系列的管理制度和办法，这就要求各企业充分重视规章制度的建设，系列的管理制度和办法，这就要求各企业充分重视规章制度的建设，并随着需求的变化和发展，不断修订和完善。在这方面我们不少企业并随着需求的变化和发展，不断修订和完善。在这方面我们不少企业做得较好，有丰富的经验。做得较好，有丰富的经验。 同时，更要强调执行。制度建立不容易，制度的执行更不容易，同时，更要强调执行。制度建立不容易，制度的执行更不容易，这次这次ITIT一般性控制检查评价

56、工作，就是对我们以往制度建设和执行情一般性控制检查评价工作，就是对我们以往制度建设和执行情况的一次综合性检查和考核。况的一次综合性检查和考核。48三、几点说明和要求三、几点说明和要求 4. 4.重视文档记录重视文档记录 整个试点检查过程中，请注意必须保留所有评价工作的底稿和整个试点检查过程中，请注意必须保留所有评价工作的底稿和记记录录，其中应包括，其中应包括测试地点、测试时间、测试人、复核人、测试流程、测试地点、测试时间、测试人、复核人、测试流程、控制点、测试方法、所选样本、测试结果、测试结论及整改建议等，控制点、测试方法、所选样本、测试结果、测试结论及整改建议等，汇总、分析企业的内控缺陷并形成书面评价报告，并认真将测试检查汇总、分析企业的内控缺陷并形成书面评价报告，并认真将测试检查评价文档编号装订成册。评价文档编号装订成册。 对与财务报告生成相关的对与财务报告生成相关的ITIT系统的系统的ITIT一般性控制测试检查评价记一般性控制测试检查评价记录是录是SOXSOX法案对管理层评价有效性的一项证据，因为有关的内控记录法案对管理层评价有效性的一项证据，因为有关的内控记录不充分是财务报