ARP系统内控工作程序-测试检查阶段

1、ERP系统建设内部控制工作程序 （四）测试检查阶段,4.2.1 对地区公司开展现场或非现场测试检查 4.2.2 地区公司根据测试检查报告开展整改 4.2.3 对地区公司的整改结果进行复查,阶段一.项目准备,阶段二.蓝图设计,阶段三.系统配置,阶段四.测试检查,阶段六. 上线审批,阶段五.流程完善,ERP系统建设内部控制工作程序,目录,(四) 测试检查,执行部门,工作内容编号,4.2.1 对地区公司开展现场或非现场测试检查 4.2.2 地区公司根据测试检查报告开展整改 4.2.3 对地区公司的整改结果进行复查,4,(四) 测试检查4.2.1,地区公司内控管理部门工作要点：,ERP系统内控自我测试

2、检查及问题整改完成，且ERP系统双轨运行30天后，地区公司内控管理部门向内控与风险管理部提出ERP系统内控测试检查申请。 具体请参见附件“XX单位ERP系统内控测试检查申请”,(四) 测试检查 - 4.2.1,附件： XX单位ERP系统内控测试检查申请 该附件是股份内控与风险管理部下发的用于编制ERP系统内控测试检查申请的模板，其中包括如下主要内容： 1）蓝图设计和系统实现工作的完成情况 2）ERP系统计划双轨运行时间 3）ERP系统相关控制要求的执行起始时间 4）是否具备内控测试检查的条件 5）提供内控测试检查申请相关附件，包括： ERP系统权限清理报告：说明开展权限自测及整改的情况； 控制

3、点适用性情况说明书：从ERP系统控制文档、配置清单、权限相关文档三方面分别说明控制点适用情况，对于不适用情况的原因进行详细说明。并且附上地区公司风险控制文档。,(四) 测试检查 - 4.2.1,(四) 测试检查 - 4.2.1,地区公司内控管理部门工作要点：,内控与风险管理部收到地区公司的测试检查申请后，组织安排现场或非现场的测试检查。 现场测试检查：指测试检查小组根据测试计划，在地区公司现场开展ERP系统应用控制文档访谈，及开展现场抽样测试工作。 非现场测试检查：指测试检查小组根据测试计划，在股份公司总部（非地区公司现场）开展ERP系统应用控制测试，地区公司根据要求通过传真或邮递方式提交所测

4、试内容的证据。,测试检查工作执行程序如下： 1）测试检查小组编制测试计划 2）地区公司内控管理部门根据测试计划开展准备工作 3）测试检查（一）ERP系统总体控制测试、及ERP系统配置和权限测试 4）测试检查（二）ERP系统应用控制测试 5）与被测试单位沟通测试发现及后续整改工作 6）编制并提交被测单位的测试检查报告,(四) 测试检查 - 4.2.1,1）测试检查小组编制测试计划 测试检查小组应在测试检查工作前与地区公司进行沟通，并依据2009内控管理手册-信息与沟通分册第2.5节“ERP/人力资源系统总体控制（试行）” 和地区公司经审阅的ERP系统控制规范形成ERP系统测试计划。在制订测试计划

5、时，需考虑以下因素： 审阅地区公司上报的ERP系统内控自我测试报告、ERP系统风险控制文档（RCD）、ERP系统配置清单、权限分配等文档； 统筹考虑安排ERP系统总体控制和应用控制两个层面的测试检查工作。 具体请参见附件“XX单位ERP系统测试计划-总体信息控制安排”及“XX单位ERP系统测试计划-应用系统控制安排”,(四) 测试检查 - 4.2.1,附件: “XX单位ERP系统测试计划-总体信息控制安排”及“XX单位ERP系统测试计划-应用系统控制安排” 是用于编制ERP系统测试计划的模板，分别用于编制ERP系统总体信息控制测试及应用系统控制测试的测试计划，主要包括如下内容： 测试内容：ER

6、P系统总体控制（ITGC）测试，ERP系统应用控制（AC）测试， ERP系统权限测试。 测试时间安排：说明各项测试内容对应的测试地点、测试人员、以及测试时间。 所需文档清单：提供被测试单位在测试检查小组到场前需准备的控制实施证据的清单。,(四) 测试检查 - 4.2.1,2）根据测试计划开展准备工作 测试检查小组：与地区公司内控管理部门沟通测试要求及计划；准备测试模板、测试步骤及权限测试工具、获取地区公司ERP系统控制规范（RCD）文档等。 地区公司内控管理部门：协调本单位各部门之间的测试安排；按照测试计划中所提供的测试文档清单进行相关文档的准备。,(四) 测试检查 - 4.2.1,3）测试检

7、查（一）ERP系统总体控制测试、及ERP系统配置和权限测试 被测试人员：ERP系统运维组（北京歌华大厦）/地区公司控制执行人 测试工作开展： 根据ERP系统总体控制测试步骤进行系统总体控制测试。 根据地区公司配置清单进行配置控制测试。 利用ERP权限测试工具，根据地区公司职责分离矩阵、敏感事务代码分配规则、总部后台敏感事务代码规则进行权限测试。 （具体参见权限测试部分介绍）,(四) 测试检查 - 4.2.1,(四) 测试检查 - 4.2.1,根据ERP系统总体控制测试步骤进行系统总体控制测试。 我们对ERP系统总体控制测试内容与步骤进行了汇总，供测试检查小组 在ERP系统总体控制测试时参考。

8、具体请参见附件“ERP系统总体控制测试内容与步骤汇总”,(四) 测试检查 - 4.2.1,附件：ERP系统总体控制测试内容与步骤汇总 该附件中主要包括如下信息： A. 控制措施基本信息，包括：控制编号、控制描述、控制方法、控制频率 B. 测试步骤、测试方法：测试检查小组可参考该测试步骤及测试方法进行测试。 C. 测试地点： ERP系统总体控制测试分为总部层面及地区公司层面，测试检查小组需根据“测试地点” 进行相应层面的测试。 D. 控制实施证据：测试检查小组可参考此列内容获取相应的控制实施证据；被测试单位也可参考此列内容进行相关控制实施证据的准备工作。,(四) 测试检查 - 4.2.1,ERP

9、系统总体控制测试过程举例说明： 系统变更管理（PC）- 控制点GIT-ERP-17.1：,(四) 测试检查 - 4.2.1,系统变更管理（PC）- 控制点GIT-ERP-17.1（续）：,检查方法：,(四) 测试检查 - 4.2.1,检查方法（续）：,(四) 测试检查 - 4.2.1,检查方法（续）：,(四) 测试检查 - 4.2.1,检查方法（续）：,(四) 测试检查 - 4.2.1,检查方法（续）：,(四) 测试检查 - 4.2.1,控制实施证据：,(四) 测试检查 - 4.2.1,(四) 测试检查 - 4.2.1,根据地区公司配置清单进行配置控制测试。 各地区公司根据本单位实际业务情况对

10、2009内部控制管理手册-信息与沟通中的附件23“ERP/人力资源系统配置清单”进行更新，测试检查小组需要根据地区公司更新后的配置清单进行配置控制测试。,配置控制测试过程举例说明： MP04.01.02采购方式-KA1,(四) 测试检查 - 4.2.1,(四) 测试检查 - 4.2.1,检查方法：,(四) 测试检查 - 4.2.1,检查方法（续）：,1）进入“批准策略”，查看采购订单的审批标识是否进行了适当配置。,(四) 测试检查 - 4.2.1,检查方法（续）：,2）进入“批准策略”，查看采购订单的审批策略是否进行了适当配置。,(四) 测试检查 - 4.2.1,检查方法（续）：,3）进入“发

11、布标识”，查看是否将订单审批策略的释放标识”E”的可变性字段设置为1（不可修改）。,4）测试检查（二）ERP系统应用控制测试 被测试人员：ERP系统应用控制执行部门（如，销售部门、财务部门、采购部门、仓储部门等） 测试工作开展： 根据2009内部控制管理手册-监督分册附录2.3B“股份公司关键控制抽 样测试内容与步骤”对ERP系统应用控制进行测试，包括： 手工控制测试 自动控制测试,(四) 测试检查 - 4.2.1,手工控制测试 MP05.01.01材料物资入库-控制点KA4,(四) 测试检查 - 4.2.1,检查方法：,(四) 测试检查 - 4.2.1,检查方法（续）：,(四) 测试检查 -

12、 4.2.1,检查方法（续）：,(四) 测试检查 - 4.2.1,自动控制测试过程举例说明:,(四) 测试检查 - 4.2.1,KP11.01.04销售实施-KA1,检查方法：,(四) 测试检查 - 4.2.1,检查方法（续）：,(四) 测试检查 - 4.2.1,检查方法（续）：,(四) 测试检查 - 4.2.1,检查方法（续）：,(四) 测试检查 - 4.2.1,5）与被测试单位沟通测试发现及后续整改工作 测试发现的类型包括： 控制不适用：控制措施在被测试单位不适用。 无样本发生：控制措施在测试期间内无样本发生。 控制执行有例外：控制执行有例外细分为“未按照规范要求执行”、“未执行控制措施”

13、和“未执行配置控制”。 “未按照规范要求执行”指已执行控制措施，但控制执行不规范，例如实施证据填写不完整、不准确；控制实际执行频率与控制规范不符等情况； “未执行控制措施”指未执行控制规范中的手工控制或未在系统中实现自动控制；“未执行配置控制”指未执行控制规范中的配置控制。 控制执行无例外：按照控制规范有效执行控制措施。,(四) 测试检查 - 4.2.1,与被测试单位关于测试发现的沟通： A. 在总部层面（ERP项目总体维护组）的总体信息控制测试、配置控制测试发现的问题需要与被测试单位人员进行沟通。 B. 在总部层面（ERP项目总体维护组）权限测试发现的问题需要与被测试单位业务部门的权限拥有者

14、及内控部门进行沟通。 C. 在地区公司层面信息总体控制测试、应用控制测试发现的问题需要与被测试单位内控部门及相关控制执行人进行沟通。 D. 上述沟通工作完成后，根据相关人员解释的合理性，判断是否作为例外事项提出。对于确定的例外事项需要向被测试单位提出相应整改建议。,(四) 测试检查 - 4.2.1,6）编制并提交被测试单位的测试检查报告 在测试工作结束后，测试检查小组需将测试结果与沟通内容整理汇总形成测试检查报告及整改意见，并提交被测试单位。 具体请参见附件“XX单位ERP系统内控测试检查报告及整改意见”,(四) 测试检查 - 4.2.1,附件：XX单位ERP系统内控测试检查报告及整改意见 该

15、附件是用于编制ERP系统内控测试报告及整改意见的模板，主要包括如下内容： A. 工作背景：描述被测试单位ERP系统控制规范执行开始时间、ERP系统单轨/双轨运行时间、上线模块、测试时间等信息。 B. 工作方式及范围：说明测试依据、抽样原则、具体测试范围（信息系统总体控制测试领域、应用控制测试所涉及的ERP模块及相关业务流程名称、权限测试范围等） C. 工作成果综述：从总体信息控制测试、应用控制测试、权限测试层面分别按照测试发现结果分类（控制不适用、无样本发生、控制执行有例外、控制执行无例外）进行概述及统计。 D. 提请管理层关注事项：针对测试结果说明管理层需要关注的事项并提出相关建议。,(四)

16、 测试检查 - 4.2.1,测试检查经验分享,问题分析：从地区公司ERP系统上线以来，我们已经陆续完成十几家地区公司的测试检查工作，下面将从以下三方面对测试检查工作中所发现的问题进行分析： 1）ERP系统总体控制层面 2）ERP系统应用控制层面 3）ERP系统权限控制层面（具体请参见权限测试部分介绍）,(四) 测试检查 - 4.2.1,(四) 测试检查 - 4.2.1,1）ERP系统总体控制层面 举例说明： GIT-ERP-7.2 控制描述：地区分公司SAP系统信息安全管理负责人每季度检查用户的账号和权限分配是否符合岗位职责，是否符合中国石油SAP系统职责分离矩阵，检查是否存在未锁定的不活动帐

17、号（即超过90天未登录的帐号）并进行调查分析，对不需要的帐号和权限进行清理。 发现问题：A. 没有执行每季度应用系统用户权限检查工作；B. 未按照季度检查结果填写ERP应用系统用户权限检查表；C. 尚未建立地区公司层面的中国石油SAP系统职责分离矩阵等权限分配标准，因此信息安全管理负责人没有对ERP系统用户帐号及权限分配进行每季度检查；D. 存在多余敏感权限，没有在SAP应用系统权限检查表中进行记录；E. 系统管理员同时拥有所有业务权限权，违背了职责分离的原则，没有在SAP应用系统权限检查表中进行记录。,(四) 测试检查 - 4.2.1,我们针对更多在ERP系统总体控制测试中发现的常见问题进行

18、了汇总，供测试检查小组在进行ERP系统总体控制测试时参考，同时提请地区公司在控制执行过程中注意避免出现类似问题。 具体请参见附件“ERP系统总体控制测试发现问题汇总”,(四) 测试检查 - 4.2.1,2）ERP系统应用控制层面 举例说明： - MP04.01.05/MP04.02.06 结算付款KA4 控制描述：相关人员检查SAP中的GR/IR余额清单,分别对“货到票未到”、“票到货未到”的情况进行确认并对超过一个月的差异情况及时处理，在打印出的GR/IR余额清单中注明处理结果并签字确认。 发现问题： 未定期对系统中的GR/IR余额清单进行检查; 未保留控制实施证据； 未在打印出的GR/IR

19、余额清单上签字确认。,(四) 测试检查 - 4.2.1,我们针对更多在ERP系统应用控制测试中发现的常见问题进行了汇总，供测试检查小组在进行ERP系统应用控制测试时参考，同时提请地区公司在控制执行过程中注意避免出现类似问题。 具体请参见附件“ERP系统应用控制测试发现问题汇总”,测试检查经验分享,问题分析：从地区公司ERP系统上线以来，我们已经陆续完成十几家地区公司的测试检查工作，下面将从以下三方面对测试检查工作中所发现的问题进行分析： 1）ERP系统总体控制层面 2）ERP系统应用控制层面 3）ERP系统权限控制层面（具体请参见权限测试部分介绍）,(四) 测试检查 - 4.2.1,(四) 测

20、试检查 - 4.2.1,问题分析：从地区公司ERP系统上线以来，我们已经陆续完成十几家地区公司的测试检查工作，下面将从以下三方面对测试检查工作中所发现的问题进行分析： 主要包括如下三方面关注事项及建议： 1）对于总体信息系统控制和应用控制存在例外事项的控制点 2）ERP项目实施过程中的关注事项 3）用户权限分配注意事项（具体参见权限部分的介绍）,1）对于总体信息系统控制和应用控制存在例外事项的控制点 在对ERP-HR及ERP系统已上线地区公司的测试检查过程中，存在部分控制未完全执行和未执行任何控制的例外事项，因此建议管理层特别关注：,对于未按照配置清单进行配置的内容：需要协调ERP项目组尽快执

21、行 对于出现例外事项的控制点，建议管理层关注这些控制点并进行有效整改，确保严格按照ERP系统控制规范和应用系统控制规范执行。如有必要，地区公司内控部应在各部门确认整改完毕后，对其整改情况组织评测，以确保控制执行的有效性。,(四) 测试检查 - 4.2.1,部分例外是因控制执行不规范造成的，其中重要原因之一是在日常工作中未能正规严格的执行该控制，仅部分执行了控制要求，且未对执行实施证据表单建立记录并签字。对于这类事项，内控部应协调各业务部门，尽快落实控制实施证据及表单，并组织内部控制自测的方式进行督促和检查，确保控制规范执行。 对于在系统上线前确定单轨上线方案，明确原有业务系统、财务系统与ERP

22、系统的替代关系或并行处理方式。 进一步明确控制规范中部分控制点的执行人员，目前部分地区公司尚未明确专门人员复核供应商主数据变更、负责复核取消发票校验、负责复核收货入库信息、负责审批取消物料凭证以及负责复核取消物料凭证等，内控部门仍应组织业务部门做进一步的明确。,(四) 测试检查 - 4.2.1,2） ERP项目实施过程中的关注事项 对于正在实施ERP系统尚未进入双轨阶段的地区公司，在ERP项目实施过程中应注意以下事项： 对于确保集成测试、用户接受测试中的测试对象范围及参与测试的用户范围的充分性。建议在系统集成测试及用户接受测试中包含系统接口及电子表格的测试内容，确保系统上线后可以满足业务正常运

23、行。对于用户接受测试，建议尽快编制用户接受测试计划，除对所有可能发生的业务操作及场景进行测试外，还需要关注参与测试的用户范围是否全面，并由用户对测试结果进行签字确认，从而确保系统上线后能够充分满足用户业务需求。,(四) 测试检查 - 4.2.1,ERP上线应与内控体系建设同步。建议公司内控部门在系统上线前完成相关内控体系建设，包括但不限于：业务流程及跟单、蓝图与业务流程整合挂接、编写风险控制文档、建立ERP系统实施细则等等，确保系统上线后即存在相关的控制规范作为依据来执行，从而提高数据的准确性及完整性，降低风险发生的可能性。,(四) 测试检查 - 4.2.1,4.2.1 对地区公司开展现场或非

24、现场测试检查 4.2.2 地区公司根据测试检查报告开展整改 4.2.3 对地区公司的整改结果进行复查,54,(四) 测试检查4.2.2,地区公司内控管理部门工作要点：,地区公司内控管理部门根据测试检查报告及整改意见，组织相关业务管理部门和ERP项目组整改 。地区公司内控管理部门编制整改报告，确保发现的问题都纳入了整改范围；明确整改的期间、所需的样本数量；落实整改的责任部门。 检查小组测试需督促与跟进地区公司的整改工作，就整改过程中发现的问题给予详细指导。 整改完成后，地区公司内控管理部门通过OA及时将整改报告及整改证据上报内控与风险管理部审阅。 具体请参见附件“XX单位ERP系统内控测试整改报告”,(四) 测试检查 - 4.2.2,(四) 测试检查 - 4.2.2,附件：XX单位ERP系统内控测试整改报告 该附件是股份内控与风险管理部下发的用于编制ERP系统内控测试整改报告的模板，主要包 括如下内容： 说明整改范围，包括： 总体信息系统控制：包括系统项目建设管理活动、变更管理控制活动、信息安全控制活动以及信息系统日常运作活动。 应用系统控制：说明涉及整改的ERP系统上线模块。 权限控制：包括总体信息系统控制