《财务管理、财务报表it一般性控制矩阵和底稿v21资料教程》由会员分享,可在线阅读,更多相关《财务管理、财务报表it一般性控制矩阵和底稿v21资料教程(32页珍藏版)》请在金锄头文库上搜索。
1、财务管理、财务报表系统IT一般性控制矩阵和工作底稿,2,财务管理、财务报表系统IT一般性控制矩阵和工作底稿,SOX法案对IT一般性控制的要求 财务管理、财务报表系统IT一般性控制 各控制点测试结果、测试结论的填报要求,信息部项目处 孙丽华 64998127 普 安 联 盟 李 军 64999350 13501291151,3,SOX法案对IT一般性控制的要求,为什么要对“IT一般性控制”的有效性进行检查评价 2002年7月30日,美国总统布什签发了萨班斯-奥克斯利法案(SOX法案) ,对在美国上市的企业提出了一系列要求。 2006年4月30日 IT治理协会ITGI发布IT Control Ob
2、jectives for SOX,2 Edition, 对上市公司的IT控制提出了要求 为保证财务报告的完整性、准确性,SOX法案要求对财务报告相关的信息系统进行“IT一般性控制”是否有效的检查评价。,5,SOX法案对IT一般性控制的要求,“IT一般性控制”的主要检查评价内容 企业整体层面的IT控制 包括控制环境、风险评估、信息和沟通、监控 信息系统的IT一般性控制 程序和数据访问、程序变更、程序开发、系统运行 IT基础设施、终端用户计算,6,财务管理、财务报表系统IT一般性控制,信息部会同财务部、普安联盟共同设计了现有财务管理系统、财务报表系统的IT一般性控制矩阵和工作底稿,特别参考了中国石
3、油化工股份有限公司财务信息管理系统系统管理办法(财信2003100号文),设计主要原则为:在满足SOX法案的前提下,尽可能贴近企业应用的实际情况,少增加企业填报的工作量。 ERP上线企业ERP系统 财务报表系统 12个控制点 ERP未上线企业财务管理信息系统 11个控制点 (含今年正在实施ERP的企业),7,财务管理、财务报表IT一般性控制控制点介绍,8,1、“用户权限管理”控制矩阵,9,1、“用户权限管理”工作底稿,10,IT一般性控制矩阵和工作底稿说明,矩阵和工作底稿中的相同列(4列): 控制目标:防范风险的目标描述 矩阵中“编号”与工作底稿中“控制点编号” : FMIS-DA1 为两张表
4、建立链接关系。 控制点名称:用户权限管理 控制点描述:管理规定及申批流程;信息系统功能;定期检查情况,11,IT一般性控制矩阵和工作底稿说明,控制执行人:控制点的责任人、审批人, 外审时的被访谈人 控制频率:固定频率,如定期检查、备份,按频率准备相关资料 按需发生的,与样本总数有关,关系到抽样数量 自动/手动:自动:系统自动实现的,需截屏 手动:管理规定、签字审批、定期检查,抽样检查 预防性/检查性: 预防性:事先的防范措施,如管理制度、申请审批流程、 系统自动控制功能; 检查性:事后检查的措施,日志定期检查、 帐号定期审核等。,12,IT一般性控制矩阵和工作底稿说明,相关制度和文档:中国石油
5、化工股份有限公司财务信息管理系统系统管理办法中国石化财信2003100号;中国石油化工股份有限公司管理信息系统应用管理办法已评审,近期下发。企业需补充自己制定的一些相关管理办法和规范。 设计、穿行、执行是否有效:有效、无效、未发生、不适用 修补完成时间:如果有缺陷,写明修补完成的计划时间,需整改的问题描述、整改措施等填入“系统整体评估表”。,13,IT一般性控制矩阵和工作底稿说明,设计有效:检查设计能否有效实现控制目标、防范控制风险。如检查管理制度、审批流程、系统功能是否能起到防范风险的目的。 穿行测试有效:以一套真实的例子,把各个测试步骤从头到尾走一遍,证明整个控制过程有效。察看申请表、签字
6、申批情况,打印出系统中用户权限设置,查看与填表权限是否一致。 执行有效:多个的穿行测试有效。要有一定审计的样本,随机抽取。,14,IT一般性控制矩阵和工作底稿说明,测试步骤:要合理、充分,要能测出来。测试步骤有很多:访谈、查制度、系统查询、定期检查、考评相关人员有无相关能力;设计、执行有效性的步骤分开写。 测试结果:对应测试步骤记录每一步的测试结果,并提供相应的证据表单。 文档编号: FRE-DA1-1.1FRE-DA1-1.n 测试相关记录文档编号。 签字表单财务用户权限审批表(样表)。 抽样原则见“内部控制检查评价与考核暂行办法”,15,IT一般性控制矩阵和工作底稿说明,财务用户权限审批表
7、,16,IT一般性控制矩阵和工作底稿说明,每个控制点需要涵盖的内容: 控制目标 控制点 控制点描述 控制执行人 测试步骤 测试结果 控制要留下痕迹:测试相关证据文档,17,2、“用户账号及访问管理”工作底稿,18,3、“密码管理”工作底稿,19,4、“应用系统管理员管理”工作底稿,20,5、“普通用户管理”工作底稿,21,6、“系统日志管理”工作底稿,22,7、“第三方人员管理”工作底稿,23,8、“系统变更管理”工作底稿,24,9、“ERP报表接口管理”工作底稿,25,10、“报表上报管理”工作底稿,26,11、“系统备份及恢复”工作底稿,27,12、“系统监控、维护及故障处理”工作底稿,2
8、8,问题和建议,财务管理系统、财务报表系统的版本 目前企业使用的版本主要有两大类: 2.X版(2.2、2.3):大多数企业使用 3.0版:集中核算版,较少企业使用,权限管理功能较强,密码控制比较弱 财务管理信息系统、财务报表系统的IT一般性控制矩阵和底稿主要针对2.x版制定。 软件功能与矩阵和底稿中描述不一致的,上报总部信息部。,29,问题和建议,缺失资料补填和收集原则 对于缺失资料的补填原则:政策制度、重要的授权申批文档必须要补,写现在日期。 重复发生的要从现在开始补起来。如“用户权限申批表”,从现在起规范做起来就可以,但要保证检查时有一定样本量,否则,可认定设计有效;但穿行测试、执行有效将
9、无法认定。我们建议,补填和收集资料的过程,能同时起到规范内部管理、检查相关工作作用的;补起来比较容易的;与财务报表关系大的,要补。 注意,不要为了通过检查补已过去的某天的资料,先前没有做到,补一个过去的检查记录是没有意义的,资料的收集有太明显的“应付检查式”补的痕迹,绝不是总部内审、毕马威外审想要的。,30,问题和建议(小结),对每一控制点检查评价的一般步骤: 看管理制度,访谈“控制执行人”等相关人员 总部统一制定和下发的相关制度文档已放到门户上。 企业需补充自己制定的相关文档制度。 相关人员认真学习这些制度文档,做好被访谈的准备。 查询系统相关功能,看系统内的实现方式,取得截屏。 定期检查记
10、录,要确认线下审批单和系统内的记录是否一致。 如“控制点”描述与企业日常工作基本相符,填好控制矩阵和工作底稿,准备好相关证据表单,并抽样检查。 如“控制点”描述与企业日常工作有差异,可适当调整矩阵和工作底稿的内容,但要慎重。,31,问题和建议(小结),毕马威外审初审的工作流程: 要求企业提供内审的资料 提供人事部门的员工清单、包含姓名、岗位职责、新进员工、离职员工、岗位变动员工、在哪些系统内有账号等信息; 提供所有信息系统清单及财务报告是否相关的分析报告,包括系统功能、与财务报告的关联情况、系统间的数据交换情况、财务报告是否相关的分析及结论。 列出信息部门负责人及每一系统的负责人,毕马威将访谈。 列出系统中的所有用户清单 提供已做好的矩阵、底稿、自评的结论。,32,问题和建议(小结),毕马威外审初审的工作流程: 访谈有关人员,提出需要的文档清单,不满足要求会提出补充文档清单 实地检查、系统测试 去机房查看网络、服务器、安全等情况 系统自动控制的查看系统配置,如密码规则肯定会去试。 手动控制的抽样检查。 提供缺陷清单 同企业确认缺陷情况,要求确定整改措施、责任人、整改时间,并跟踪整改情况。,
