《财务管理财务报表it一般性控制矩阵和底稿.pptx》由会员分享,可在线阅读,更多相关《财务管理财务报表it一般性控制矩阵和底稿.pptx(31页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、1SOXSOX法案对法案对ITIT一般性控制的要求一般性控制的要求p 为什么要对“IT一般性控制”的有效性进行检查评价l2002年7月30日,美国总统布什签发了萨班斯-奥克斯利法案(SOX法案),对在美国上市的企业提出了一系列要求。l2006年4月30日 IT治理协会ITGI发布IT Control Objectives for SOX,2 Edition,对上市公司的IT控制提出了要求l为保证财务报告的完整性、准确性,SOX法案要求对财务报告相关的信息系统进行“IT一般性控制”是否有效的检查评价。第1页/共31页2SOXSOX法案对法案对ITIT一般性控制的要求一般性控制的要求p 如何界定与
2、财务报告相关的系统l界定相关的主要原则:与财务报告相关,间接或直接为财务报告的生成提供了有关信息。l毕马威要求,首先应管理层自己判断,一般讲,管理层纳入审计范围的系统应比毕马威外审的范围大。lERP系统、财务管理系统、财务报表系统肯定与财务报告相关。l毕马威关于IC卡系统的建议,从中国石化整体讲,IC卡肯定要纳入审计范围,具体到每个省,可针对具体情况进行判断。主要判断依据,从IT角度,查看油站日报表、发卡网点预收款进入财务报表的方式,是手工还是依赖IC卡系统;从财务角度,查看IC卡预收账款占企业总预收款的比例,IC卡销售额占总销售额的比例。l总部统一实施系统由总部统一设计IT一般性控制矩阵和工
3、作底稿,下发企业填报;企业特有系统需自己设计IT一般性控制矩阵和工作底稿。第2页/共31页3SOXSOX法案对法案对ITIT一般性控制的要求一般性控制的要求p “IT一般性控制”的主要检查评价内容l 企业整体层面的IT控制包括控制环境、风险评估、信息和沟通、监控l 信息系统的IT一般性控制程序和数据访问、程序变更、程序开发、系统运行IT基础设施、终端用户计算 第3页/共31页4财务管理、财务报表系统财务管理、财务报表系统ITIT一般性控制一般性控制l信息部会同财务部、普安联盟共同设计了现有财务管理系统、财务报表系统的IT一般性控制矩阵和工作底稿,特别参考了中国石油化工股份有限公司财务信息管理系
4、统系统管理办法(财信2003100号文),设计主要原则为:在满足SOX法案的前提下,尽可能贴近企业应用的实际情况,少增加企业填报的工作量。lERP上线企业ERP系统 财务报表系统 12个控制点lERP未上线企业财务管理信息系统 11个控制点 (含今年正在实施ERP的企业)第4页/共31页5财务管理、财务报表财务管理、财务报表ITIT一般性控制控制点介绍一般性控制控制点介绍序序 号号控制点名称控制点名称财务管理系统财务管理系统财务报表系统财务报表系统一、程序和数据访问一、程序和数据访问1 1用户权限管理用户权限管理2 2用户账号及访问管理用户账号及访问管理3 3密码管理密码管理4 4系统管理员管
5、理系统管理员管理5 5普通用户管理普通用户管理6 6系统日志管理系统日志管理7 7第三方人员管理第三方人员管理二、程序变更二、程序变更8 8系统变更管理系统变更管理三、系统运行三、系统运行9 9ERPERP报表接口管理报表接口管理1010报表上报管理报表上报管理1111系统备份及恢复系统备份及恢复1212系统监控、维护及故障处理系统监控、维护及故障处理第5页/共31页61 1、“用户权限管理用户权限管理”控制矩阵控制矩阵序序号号控制目标控制目标控制点控制点控制活动属性控制活动属性相关制度相关制度和文档和文档测试结果测试结果备备注注编编号号控控制制点点控制点描述控制点描述控控制制执执行行人人控控
6、制制频频率率自自动动/手手动动预预防防性性/检检查查性性穿行穿行测试测试有效有效否否设设计计有有效效否否执执行行有有效效否否修修补补完完成成时时间间1 12 23 34 45 56 67 78 89 910101111121213131 14 4一数据和程序访问数据和程序访问1建立完善的权限管理机制,在合理的范围内确保用户被授予的系统权限和其岗位职责相符,防止对系统的非授权访问。FRE-DA1用户权限管理1、建立完善的用户权限管理制度,明确系统相关人员分工及岗位职责,确保用户拥有与其岗位职责分工相对应的权限。2、用户的增删及其权限的变更需填写“用户权限审批表”,并经财务部门负责人审批确认。3、
7、系统提供了功能权限、数据权限等权限分配功能,保证用户被授予的权限和其岗位职责相符。4、财务部门负责人应每半年检查一次系统内的用户权限设置。财务部门负责人每半年手动自动预防性检查性中国石油化工股份有限公司财务信息管理系统系统管理办法有效有效有效第6页/共31页71 1、“用户权限管理用户权限管理”工作底稿工作底稿序序号号控制控制目标目标控控制制点点编编号号控控制制点点控制点描述控制点描述测试步骤测试步骤测试结果测试结果结论结论文档编文档编号号一数据和程序访问数据和程序访问1建立完善的权限管理机制,在合理的范围内确保用户被授予的系统权限和其岗位职责相符,防止对系统的非授权访问。FRE-DA1用户权
8、限管理1、建立完善的用户权限管理制度,明确系统相关人员分工及岗位职责,确保用户拥有与其岗位职责分工相对应的权限。2、用户的增删及其权限的变更需填写“用户权限审批表”,并经财务部门负责人审批确认。3、系统提供了功能权限、数据权限等权限分配功能,保证用户被授予的权限和其岗位职责相符。4、财务部门负责人应每半年检查一次系统内的用户权限设置。设计有效性:1、访谈财务部门负责人有关权限管理制度及权限申请审批流程。2、查看系统“维护工具”中权限分配功能,取得截屏。执行有效性:3、检查“用户权限审批表”填写是否及时齐全,按照系统用户增删及变更总数,随机抽取*张“用户权限审批表”进行检查。4、登录财务系统“维
9、护工具”查看用户权限,取得截屏,确认是否和其申请审批的权限相符。5、查看用户及权限每半年的审核记录(打印系统用户清单,相关责任人审核并签字,有与岗位不符情况,及时变更权限,写明原因和处理情况)。设计有效执行有效穿行有效FRE-DA1-1.1FRE-DA1-1.2FRE-DA1-1.3FRE-DA1-1.4FRE-DA1-1.5FRE-DA1-1.6FRE-DA1-1.7第7页/共31页8ITIT一般性控制矩阵和工作底稿说明一般性控制矩阵和工作底稿说明l矩阵和工作底稿中的相同列(4列):控制目标:防范风险的目标描述矩阵中“编号”与工作底稿中“控制点编号”:FMIS-DA1 为两张表建立链接关系。
10、控制点名称:用户权限管理控制点描述:管理规定及申批流程;信息系统功能;定期检查情况第8页/共31页9ITIT一般性控制矩阵和工作底稿说明一般性控制矩阵和工作底稿说明l控制执行人:控制点的责任人、审批人,外审时的被访谈人l控制频率:固定频率,如定期检查、备份,按频率准备相关资料 按需发生的,与样本总数有关,关系到抽样数量 l自动/手动:自动:系统自动实现的,需截屏 手动:管理规定、签字审批、定期检查,抽样检查l预防性/检查性:预防性:事先的防范措施,如管理制度、申请审批流程、系统自动控制功能;检查性:事后检查的措施,日志定期检查、帐号定期审核等。第9页/共31页10ITIT一般性控制矩阵和工作底
11、稿说明一般性控制矩阵和工作底稿说明l相关制度和文档:中国石油化工股份有限公司财务信息管理系统系统管理办法中国石化财信2003100号;中国石油化工股份有限公司管理信息系统应用管理办法已评审,近期下发。企业需补充自己制定的一些相关管理办法和规范。l设计、穿行、执行是否有效:有效、无效、未发生、不适用l修补完成时间:如果有缺陷,写明修补完成的计划时间,需整改的问题描述、整改措施等填入“系统整体评估表”。第10页/共31页11ITIT一般性控制矩阵和工作底稿说明一般性控制矩阵和工作底稿说明l设计有效:检查设计能否有效实现控制目标、防范控制风险。如检查管理制度、审批流程、系统功能是否能起到防范风险的目
12、的。l穿行测试有效:以一套真实的例子,把各个测试步骤从头到尾走一遍,证明整个控制过程有效。察看申请表、签字申批情况,打印出系统中用户权限设置,查看与填表权限是否一致。l执行有效:多个的穿行测试有效。要有一定审计的样本,随机抽取。第11页/共31页12ITIT一般性控制矩阵和工作底稿说明一般性控制矩阵和工作底稿说明l测试步骤:要合理、充分,要能测出来。测试步骤有很多:访谈、查制度、系统查询、定期检查、考评相关人员有无相关能力;设计、执行有效性的步骤分开写。l测试结果:对应测试步骤记录每一步的测试结果,并提供相应的证据表单。l文档编号:FRE-DA1-1.1FRE-DA1-1.n 测试相关记录文档
13、编号。l签字表单财务用户权限审批表(样表)。l抽样原则见“内部控制检查评价与考核暂行办法”第12页/共31页13ITIT一般性控制矩阵和工作底稿说明一般性控制矩阵和工作底稿说明财务用户权限审批表 单位名称:单位名称:日期:日期:用户编号用户编号用户姓名用户姓名所在部门所在部门电电 话话岗位职责岗位职责申请类型申请类型开户开户 变更变更 销户销户帐号启用时间帐号启用时间帐号停用帐号停用时间时间帐号申请帐号申请(变更)原因(变更)原因权限要求权限要求财务部门负责人签字财务部门负责人签字应用系统管理员签字应用系统管理员签字备注备注第13页/共31页14ITIT一般性控制矩阵和工作底稿说明一般性控制矩
14、阵和工作底稿说明l每个控制点需要涵盖的内容:控制目标 控制点 控制点描述 控制执行人 测试步骤 测试结果 控制要留下痕迹:测试相关证据文档第14页/共31页152 2、“用户账号及访问管理用户账号及访问管理”工作底稿工作底稿序序号号控制目控制目标标控制控制点点控制点描述控制点描述测试步骤测试步骤一数据和程序访问数据和程序访问2健全系统登录访问机制,防止对系统的非授权访问。用户账号及访问管理1、每个用户拥有独立的用户账号,不得共享。2、应用系统中用户帐号不能重复,查看系统中是否有共享账号。3、要求必须输入用户名和密码才可登录系统。4、应用系统管理员应定期审核系统内的用户账号清单。设计有效性:1、
15、访谈应用系统管理员用户帐号设置情况和登录验证过程。2、登录系统检查用户帐号唯一性,确认每个用户拥有独立的用户账号,无共享情况。3、查看系统登录界面截屏。执行有效性:4、抽样检查系统用户账号清单的定期审核记录(打印系统用户账号清单,系统管理员审核并签字)。第15页/共31页163 3、“密码管理密码管理”工作底稿工作底稿序序号号控制目标控制目标控制点控制点控制点描述控制点描述测试步骤测试步骤一一 数据和程序访问数据和程序访问3 3防止密码防止密码设置强度设置强度不够造成不够造成系统泄密系统泄密或受到非或受到非法访问。法访问。密码管密码管理理1 1、密码规则:密码长度大、密码规则:密码长度大于等于
16、于等于6 6位;密码为数字与位;密码为数字与字符的组合;密码需定期字符的组合;密码需定期更换。更换。2 2、根据密码设置规则,在、根据密码设置规则,在系统中实现了控制,当密系统中实现了控制,当密码长度小于码长度小于6 6位时系统会提位时系统会提示。密码输入时以掩码形示。密码输入时以掩码形式录入,防止密码泄露。式录入,防止密码泄露。3 3、密码验证超过三次失败、密码验证超过三次失败自动退出系统。自动退出系统。4 4、操作系统、数据库、应、操作系统、数据库、应用系统等初始口令的设置用系统等初始口令的设置应在系统投用前修改,并应在系统投用前修改,并定期更改。定期更改。5 5、应用系统管理员应每季、应
17、用系统管理员应每季度检查普通用户密码的修度检查普通用户密码的修改情况。改情况。设计有效性:设计有效性:1 1、访谈应用系统管理员密码设置规则及有关规、访谈应用系统管理员密码设置规则及有关规定。定。2 2、登录财务系统、登录财务系统“维护工具维护工具”新建用户检验系新建用户检验系统是否实现了密码设置控制。取得密码少于统是否实现了密码设置控制。取得密码少于6 6位位和第一位不是字符的提示截屏。和第一位不是字符的提示截屏。3 3、登录系统测试用户密码验证、登录系统测试用户密码验证3 3次失败退出系统。次失败退出系统。执行有效性:执行有效性:4 4、检查操作系统、数据库、应用系统的初始密、检查操作系统
18、、数据库、应用系统的初始密码,登录系统,查看系统默认账号的密码是否都码,登录系统,查看系统默认账号的密码是否都已做了修改(例如已做了修改(例如“sasa”账号初始密码为空)。账号初始密码为空)。5 5、检查操作系统、数据库、应用系统管理员密、检查操作系统、数据库、应用系统管理员密码的设置情况和定期修改记录。码的设置情况和定期修改记录。6 6、抽样检查应用系统管理员的每季度检查普通、抽样检查应用系统管理员的每季度检查普通用户密码修改情况的记录(可定期发通知要求用用户密码修改情况的记录(可定期发通知要求用户修改密码,要求用户记录密码修改时间,应用户修改密码,要求用户记录密码修改时间,应用系统管理员
19、抽样检查)。系统管理员抽样检查)。第16页/共31页174 4、“应用系统管理员管理应用系统管理员管理”工作底稿工作底稿序序号号控制目控制目标标控控制制点点控制点描述控制点描述测试步骤测试步骤一数据和程序访问数据和程序访问4加强系统管理员管理,防止不合规操作。系统管理员管理1、企业需配备专职或兼职数据库、操作系统(统称系统管理员)、应用系统管理员,系统管理员、应用系统管理员要经过授权并明确职责,并应相对稳定,其更换必须经相关部门负责人审批,并严格办理交接手续。2、系统管理员、应用系统管理员只能处理系统设置、数据库维护、数据备份与恢复、用户及权限管理等功能,不能登录帐务系统处理会计业务和查询帐务
20、信息。3、相关部门负责人应每半年对系统管理员、应用系统管理员在职情况进行签字审核。设计有效性:1、访谈相关部门负责人有关系统管理员的管理制度及任用审批流程。2、检查系统中系统管理员的权限情况,确认系统管理员没有处理具体业务的权限。执行有效性:3、提供应用系统、操作系统、数据库管理员的清单及授权、变更文档。4、查看相关部门负责人对系统管理员在职情况的每半年签字审核记录。第17页/共31页185 5、“普通用户管理普通用户管理”工作底稿工作底稿序序号号控制目控制目标标控制控制点点控制点描述控制点描述测试步骤测试步骤一数据和程序访问数据和程序访问5加强普通用户帐号的管理,保证业务处理的规范、安全、有
21、效。普 通用 户管理1、根据用户岗位职责分工,分配相对应的操作权限,人员的离职与变动必须对权限进行相应的变更。用户帐号的申请及变更必须经财务部门负责人审核批准,用户岗位变更时应办理交接手续。2、系统内普通用户帐号的注册、注销及权限变更必须通过财务应用系统管理员进行,其它用户无此权限。设计有效性:1、访谈相关部门负责人了解普通用户帐号申请与系统权限分配情况。2、查看普通用户管理的相关管理制度。执行有效性:3、登录财务系统“维护工具”检查普通用户功能权限分配情况,取得截屏,确认普通用户没有新建用户和设置权限的功能。4、查看企业离职、岗位变化人员清单,检查系统中非在职人员、岗位变更人员的用户帐号情况
22、。第18页/共31页196 6、“系统日志管理系统日志管理”工作底稿工作底稿序序号号控制目控制目标标控制控制点点控制点描述控制点描述测试步骤测试步骤一数据和程序访问数据和程序访问6加强系统日志管理,记录应用系统登录及操作活动。系 统日 志管理1、有系统日志管理及审查机制。2、应用系统日志能记录用户登录时间等信息;数据库日志能记录用户新建、删除等信息。3、安全管理员应定期审核应用系统、数据库、操作系统的系统日志。设计有效性:1、访谈安全管理员有关系统日志管理和审核情况。2、检查系统中的日志管理功能,取得截屏。执行有效性:3、抽样检查安全管理员定期审核应用系统、数据库、操作系统日志的记录。第19页
23、/共31页207 7、“第三方人员管理第三方人员管理”工作底稿工作底稿序序号号控制目控制目标标控制控制点点控制点描述控制点描述测试步骤测试步骤一数据和程序访问数据和程序访问7加强对第三方人员授权访问管理。第 三方 人员 管理1、第三方人员需要访问系统时,应填写用户权限审批表,说明账号使用的原因、时间和期限,并由财务部门负责人批准。2、到期应及时删除或锁定第三方人员的账号。设计有效性:1、访谈财务部门负责人有关第三方人员访问系统的情况。执行有效性:2、检查第三方人员的“用户权限审批表”和审批情况。3、检查系统中第三方人员账号情况,在“维护工具”中查看第三方人员帐号及使用情况,确认系统中无应删未删
24、的第三方人员账号。第20页/共31页218 8、“系统变更管理系统变更管理”工作底稿工作底稿序序号号控制目标控制目标控制点控制点控制点描述控制点描述测试步骤测试步骤二二程序变更程序变更8加强系统变 更 管 理,有变更管理制度,变更必须经过严格的审批、测试,使系统的变更在可控范围内,保证应用系统运行和维护的正常进行。系统变更管理1、有变更管理政策及审批流程。软件版本变更由总部相关部门统一组织变更、统一下发企业。企业有软件变更需求必须填报“系统变更审批表”上报总部,不允许自行变更,企业IT人员及相关用户应充分了解该流程。2、所有针对系统应用软件的变更申请、开发、测试、下发、版本都要有总部的审批签字
25、及记录文档。3、对于系统运行环境、系统优化等配置变更,应填写“系统变更审批表”,并经相关部门负责人审批,并严格测试后,方可在系统中更改,以确保系统的平稳运行。4、开发人员不能进入生产环境,不能进行最终的变更操作。设计有效性:1、访谈有关部门负责人有关系统变更流程和管理制度。2、查看变更管理相关制度。执行有效性:3、如果2006年有变更发生,抽样检查系统变更、配置变更的申请、审批、测试及相关记录文档。4、查看进行系统变更的人员记录,确认变更人员不是开发人员。如果是开发人员要有申请审批记录。第21页/共31页229 9、“ERPERP报表接口管理报表接口管理”工作底稿工作底稿序序号号控制目控制目标
26、标控制控制点点控制点描述控制点描述测试步骤测试步骤三三系统运行系统运行9加强ERP报表接口管理工作,保证报表信息抽取的安全和完整。ERP报表接口管理1、对报表数据的抽取及使用有相关规定。2、系统提供了数据抽取的数据来源定义、数据抽取规则等功能;对报表数据的读取和写入有严格的权限控制。3、财务报表系统的运行过程有日志记录。设计有效性:1、访谈报表管理人员有关报表抽取的有关规定。2、查看ERP报表接口的用户手册及相关文档。3、登录系统中的数据抽取,查看数据抽取设置、数据读取机制、数据写入机制等设置功能,取得截屏。执行有效性:4、抽样检查报表抽取的运行日志,取得截屏。第22页/共31页231010、
27、“报表上报管理报表上报管理”工作底稿工作底稿序序号号控制目控制目标标控制控制点点控制点描述控制点描述测试步骤测试步骤三三系统运行系统运行10加强报表上报管理工作,保证报表信息上报的及时、完整。报表上报管理1、对报表上报有相关规定。2、报表上报时执行统一定义的校验公式对报表进行合法性效验,并有详细的校验报告信息。设计有效性:1、访谈报表管理人员有关报表上报的管理规定。2、查看系统报表校验功能,取得截屏。执行有效性:3、抽样检查报表数据上报的校验报告,取得校验报告截屏。第23页/共31页241111、“系统备份及恢复系统备份及恢复”工作底稿工作底稿序序号号控制目标控制目标控制点控制点控制点描述控制
28、点描述测试步骤测试步骤三三系统运行系统运行11加强系统备份及恢复管理,减少因故障发生造成数据丢失 的 风 险,保障财务相关数据的安全和系统的快速恢复能力。系统备份及恢复1、对数据备份策略、备份模式、备份介质存放、备份恢复性测试等有相关的管理规定。2、应用系统提供有备份和恢复的功能。严格控制数据备份、恢复、转入、转出的权限,对备份的数据加强管理,防止被非法拷贝或毁坏。3、至少每月备份一次数据,并检查备份数据的可读性。4、备份介质定期异地存放,备份介质存放要有交接记录、介质访问要有适当授权和访问记录。5、定期测试备份数据的可读性,以保证备份的有效性。6、可能的情况下,每半年对备份进行恢复测试。设计
29、有效性:1、访谈系统管理员有关备份的管理制度和备份方案。2、查看备份管理规定。3、查看系统备份功能和权限控制情况,取得截屏。执行有效性:4、检查备份记录。5、检查介质保存方式和介质的保管、访问记录等。6、抽查备份数据定期可读性测试的记录。7、访谈系统管理员备份恢复的步骤,提供每半年备份恢复测试的记录。第24页/共31页251212、“系统监控、维护及故障处理系统监控、维护及故障处理”工作底稿工作底稿序序号号控制目控制目标标控制控制点点控制点描述控制点描述测试步骤测试步骤三三系统运行系统运行12加强系统运行监控及维护管理,及时解决系统运行问题,保障系统安全稳定运行。系统监控、维护及故障处理1、建
30、立系统监控和维护管理制度,明确问题处理流程。2、系统维护人员对系统运行状况进行监控;系统运行中出现故障时,普通操作人员不能擅自处理,应保护现场,及时与应用系统管理员联系;本单位应用系统管理员不能排除故障时,应报上一级管理部门。3、要详细记录运维和问题处理情况,对故障发生时间、故障情况、解决办法、处理结果及跟踪进行详细记录,并由维护人员或应用系统管理员签字。4、建立应急预案,保证系统问题的及时解决,降低对业务处理的影响。设计有效性:1、访谈相关人员有关问题处理流程和维护制度。2、查看问题处理及维护管理制度。执行有效性:3、检查系统监控记录和用户申报问题记录清单,抽样检查问题处理情况的详细记录。4
31、、检查企业的应急预案,包括应急处理流程、应急处理过程记录等管理规定。第25页/共31页26问题和建议l 财务管理系统、财务报表系统的版本p 目前企业使用的版本主要有两大类:2.X版(2.2、2.3):大多数企业使用3.0版:集中核算版,较少企业使用,权限管理功能较强,密码控制比较弱财务管理信息系统、财务报表系统的IT一般性控制矩阵和底稿主要针对2.x版制定。p 软件功能与矩阵和底稿中描述不一致的,上报总部信息部。第26页/共31页27问题和建议l 缺失资料补填和收集原则对于缺失资料的补填原则:政策制度、重要的授权申批文档必须要补,写现在日期。重复发生的要从现在开始补起来。如“用户权限申批表”,
32、从现在起规范做起来就可以,但要保证检查时有一定样本量,否则,可认定设计有效;但穿行测试、执行有效将无法认定。我们建议,补填和收集资料的过程,能同时起到规范内部管理、检查相关工作作用的;补起来比较容易的;与财务报表关系大的,要补。注意,不要为了通过检查补已过去的某天的资料,先前没有做到,补一个过去的检查记录是没有意义的,资料的收集有太明显的“应付检查式”补的痕迹,绝不是总部内审、毕马威外审想要的。第27页/共31页28问题和建议(小结)对每一控制点检查评价的一般步骤:l看管理制度,访谈“控制执行人”等相关人员p 总部统一制定和下发的相关制度文档已放到门户上。p 企业需补充自己制定的相关文档制度。
33、p 相关人员认真学习这些制度文档,做好被访谈的准备。l查询系统相关功能,看系统内的实现方式,取得截屏。l定期检查记录,要确认线下审批单和系统内的记录是否一致。l如“控制点”描述与企业日常工作基本相符,填好控制矩阵和工作底稿,准备好相关证据表单,并抽样检查。l如“控制点”描述与企业日常工作有差异,可适当调整矩阵和工作底稿的内容,但要慎重。第28页/共31页29问题和建议(小结)毕马威外审初审的工作流程:l要求企业提供内审的资料p 提供人事部门的员工清单、包含姓名、岗位职责、新进员工、离职员工、岗位变动员工、在哪些系统内有账号等信息;p 提供所有信息系统清单及财务报告是否相关的分析报告,包括系统功
34、能、与财务报告的关联情况、系统间的数据交换情况、财务报告是否相关的分析及结论。p 列出信息部门负责人及每一系统的负责人,毕马威将访谈。p 列出系统中的所有用户清单p 提供已做好的矩阵、底稿、自评的结论。第29页/共31页30问题和建议(小结)毕马威外审初审的工作流程:l访谈有关人员,提出需要的文档清单,不满足要求会提出补充文档清单l实地检查、系统测试p 去机房查看网络、服务器、安全等情况p 系统自动控制的查看系统配置,如密码规则肯定会去试。p 手动控制的抽样检查。l 提供缺陷清单p 同企业确认缺陷情况,要求确定整改措施、责任人、整改时间,并跟踪整改情况。第30页/共31页31感谢您的观看。第31页/共31页