财务管理、财务报表it一般性控制矩阵和底稿

1、财务管理、财务报表系统IT一般性控制矩阵和工作底稿财务管理、财务报表系统IT一般性控制矩阵和工作底稿 SOX法案对IT一般性控制的要求 财务管理、财务报表系统IT一般性控制 各控制点测试结果、测试结论的填报要求信息部项目处 孙丽华 普 安 联 盟 李 军 64999350 2SOX法案对IT一般性控制的要求 为什么要对“IT一般性控制”的有效性进行检查评价2002年7月30日，美国总统布什签发了萨班斯-奥克斯利法案(SOX法案) ，对在美国上市的企业提出了一系列要求。2006年4月30日 IT治理协会ITGI发布IT Control Objectives for SOX，2 Edition,

2、对上市公司的IT控制提出了要求为保证财务报告的完整性、准确性，SOX法案要求对财务报告相关的信息系统进行“IT一般性控制”是否有效的检查评价。3SOX法案对IT一般性控制的要求 如何界定与财务报告相关的系统界定相关的主要原则：与财务报告相关，间接或直接为财务报告的生成提供了有关信息。毕马威要求，首先应管理层自己判断，一般讲，管理层纳入审计范围的系统应比毕马威外审的范围大。ERP系统、财务管理系统、财务报表系统肯定与财务报告相关。毕马威关于IC卡系统的建议，从中国石化整体讲，IC卡肯定要纳入审计范围，具体到每个省，可针对具体情况进行判断。主要判断依据，从IT角度，查看油站日报表、发卡网点预收款进

3、入财务报表的方式，是手工还是依赖IC卡系统；从财务角度，查看IC卡预收账款占企业总预收款的比例， IC卡销售额占总销售额的比例。总部统一实施系统由总部统一设计IT一般性控制矩阵和工作底稿，下发企业填报；企业特有系统需自己设计IT一般性控制矩阵和工作底稿。4SOX法案对IT一般性控制的要求 “IT一般性控制”的主要检查评价内容 企业整体层面的IT控制包括控制环境、风险评估、信息和沟通、监控 信息系统的IT一般性控制程序和数据访问、程序变更、程序开发、系统运行IT基础设施、终端用户计算 5财务管理、财务报表系统IT一般性控制信息部会同财务部、普安联盟共同设计了现有财务管理系统、财务报表系统的IT一

4、般性控制矩阵和工作底稿，特别参考了中国石油化工股份有限公司财务信息管理系统系统管理办法（财信2003100号文），设计主要原则为：在满足SOX法案的前提下，尽可能贴近企业应用的实际情况，少增加企业填报的工作量。ERP上线企业ERP系统 财务报表系统 12个控制点ERP未上线企业财务管理信息系统 11个控制点 （含今年正在实施ERP的企业）6财务管理、财务报表IT一般性控制控制点介绍71、“用户权限管理”控制矩阵81、“用户权限管理”工作底稿9IT一般性控制矩阵和工作底稿说明矩阵和工作底稿中的相同列（4列）：控制目标：防范风险的目标描述矩阵中“编号”与工作底稿中“控制点编号” ： FMIS-DA

5、1 为两张表建立链接关系。控制点名称：用户权限管理控制点描述：管理规定及申批流程；信息系统功能；定期检查情况10IT一般性控制矩阵和工作底稿说明控制执行人：控制点的责任人、审批人， 外审时的被访谈人控制频率：固定频率，如定期检查、备份，按频率准备相关资料 按需发生的，与样本总数有关，关系到抽样数量 自动/手动：自动：系统自动实现的，需截屏 手动：管理规定、签字审批、定期检查，抽样检查预防性/检查性：预防性：事先的防范措施，如管理制度、申请审批流程、 系统自动控制功能；检查性：事后检查的措施，日志定期检查、 帐号定期审核等。11IT一般性控制矩阵和工作底稿说明相关制度和文档：中国石油化工股份有限

6、公司财务信息管理系统系统管理办法中国石化财信2003100号；中国石油化工股份有限公司管理信息系统应用管理办法已评审，近期下发。企业需补充自己制定的一些相关管理办法和规范。设计、穿行、执行是否有效：有效、无效、未发生、不适用修补完成时间：如果有缺陷，写明修补完成的计划时间，需整改的问题描述、整改措施等填入“系统整体评估表”。12IT一般性控制矩阵和工作底稿说明设计有效：检查设计能否有效实现控制目标、防范控制风险。如检查管理制度、审批流程、系统功能是否能起到防范风险的目的。穿行测试有效：以一套真实的例子，把各个测试步骤从头到尾走一遍，证明整个控制过程有效。察看申请表、签字申批情况，打印出系统中用

7、户权限设置，查看与填表权限是否一致。执行有效：多个的穿行测试有效。要有一定审计的样本，随机抽取。13IT一般性控制矩阵和工作底稿说明测试步骤：要合理、充分，要能测出来。测试步骤有很多：访谈、查制度、系统查询、定期检查、考评相关人员有无相关能力；设计、执行有效性的步骤分开写。测试结果：对应测试步骤记录每一步的测试结果，并提供相应的证据表单。文档编号： FRE-DA1-1.1FRE-DA1-1.n 测试相关记录文档编号。签字表单财务用户权限审批表（样表）。抽样原则见“内部控制检查评价与考核暂行办法”14IT一般性控制矩阵和工作底稿说明财务用户权限审批表 15IT一般性控制矩阵和工作底稿说明每个控制

8、点需要涵盖的内容： 控制目标 控制点 控制点描述 控制执行人 测试步骤 测试结果 控制要留下痕迹：测试相关证据文档162、“用户账号及访问管理”工作底稿173、“密码管理”工作底稿184、“应用系统管理员管理”工作底稿195、“普通用户管理”工作底稿206、“系统日志管理”工作底稿217、“第三方人员管理”工作底稿228、“系统变更管理”工作底稿239、“ERP报表接口管理”工作底稿2410、“报表上报管理”工作底稿2511、“系统备份及恢复”工作底稿2612、“系统监控、维护及故障处理”工作底稿27问题和建议 财务管理系统、财务报表系统的版本 目前企业使用的版本主要有两大类：2.X版（2.2

9、、2.3）：大多数企业使用3.0版：集中核算版，较少企业使用，权限管理功能较强，密码控制比较弱财务管理信息系统、财务报表系统的IT一般性控制矩阵和底稿主要针对2.x版制定。 软件功能与矩阵和底稿中描述不一致的，上报总部信息部。28问题和建议 缺失资料补填和收集原则对于缺失资料的补填原则：政策制度、重要的授权申批文档必须要补，写现在日期。重复发生的要从现在开始补起来。如“用户权限申批表”，从现在起规范做起来就可以，但要保证检查时有一定样本量，否则，可认定设计有效；但穿行测试、执行有效将无法认定。我们建议，补填和收集资料的过程，能同时起到规范内部管理、检查相关工作作用的；补起来比较容易的；与财务报

10、表关系大的，要补。注意，不要为了通过检查补已过去的某天的资料，先前没有做到，补一个过去的检查记录是没有意义的，资料的收集有太明显的“应付检查式”补的痕迹，绝不是总部内审、毕马威外审想要的。29问题和建议（小结）对每一控制点检查评价的一般步骤：看管理制度，访谈“控制执行人”等相关人员 总部统一制定和下发的相关制度文档已放到门户上。 企业需补充自己制定的相关文档制度。 相关人员认真学习这些制度文档，做好被访谈的准备。查询系统相关功能，看系统内的实现方式，取得截屏。定期检查记录，要确认线下审批单和系统内的记录是否一致。如“控制点”描述与企业日常工作基本相符，填好控制矩阵和工作底稿，准备好相关证据表单，并抽样检查。如“控制点”描述与企业日常工作有差异，可适当调整矩阵和工作底稿的内容，但要慎重。30问题和建议（小结）毕马威外审初审的工作流程：要求企业提供内审的资料 提供人事部门的员工清单、包含姓名、岗位职责、新进员工、离职员工、岗位变动员工、在哪些系统内有账号等信息； 提供所有信息系统清单及财务报告是否相关的分析报告，包括系统功能、与财务报告的关联情况、系统间的数据交换情况、财务报告是否相关的分析及结论。 列出信息部门负责人及每一系统的负责人，毕马威将访谈。 列出系统中的所有用户清单 提供已做好的矩阵、底稿、