it一般性控制檢查動員

1、1 ITIT一般性一般性控制檢查動員控制檢查動員信息系統(tǒng)管理部信息系統(tǒng)管理部2006.7.252006.7.252一、一、SOXSOX法案與法案與ITIT控制控制二、二、ITIT一般性控制檢查評價內(nèi)容和方法一般性控制檢查評價內(nèi)容和方法三、幾點要求三、幾點要求 3 20012001年美國安然、世通等公司因一系列丑聞而破產(chǎn)，連年美國安然、世通等公司因一系列丑聞而破產(chǎn)，連帶安然外部審計師安達(dá)信會計師事務(wù)所的破產(chǎn)，導(dǎo)致美國出帶安然外部審計師安達(dá)信會計師事務(wù)所的破產(chǎn)，導(dǎo)致美國出臺臺薩班斯法案薩班斯法案。法案。法案302302條款、條款、404404條款對內(nèi)部控制提出條款對內(nèi)部控制提出了嚴(yán)格監(jiān)管要求。了嚴(yán)

2、格監(jiān)管要求。103103條款條款: : 審計師必須保留所有的審計相關(guān)記錄（包括審計師必須保留所有的審計相關(guān)記錄（包括電子文件）七年以上，即刻生效電子文件）七年以上，即刻生效302302條款條款: : CEO CEO和和CFOCFO必須簽署報告，保證財務(wù)報告的完必須簽署報告，保證財務(wù)報告的完整性和準(zhǔn)確性，即刻生效整性和準(zhǔn)確性，即刻生效404404條款條款: : CEO CEO、 CFOCFO和外部審計師必須審核財務(wù)報表內(nèi)和外部審計師必須審核財務(wù)報表內(nèi)控的有效性，即刻生效控的有效性，即刻生效409409條款條款: : 公司必須及時披露財務(wù)狀況的重大變動公司必須及時披露財務(wù)狀況的重大變動一、一、SO

3、XSOX法案與法案與ITIT控制控制 4一、一、SOXSOX法案與法案與ITIT控制控制 使上市公司符合使上市公司符合薩班斯奧克斯利法薩班斯奧克斯利法案案（Sarbanes-Oxley ActSarbanes-Oxley Act，簡稱，簡稱SOXSOX法案）法案）302302、404404等條款的要求，是對上市公司等條款的要求，是對上市公司ITIT控控制的挑戰(zhàn)。制的挑戰(zhàn)。 5與財務(wù)報告相關(guān)的重要法案、法規(guī)一覽表與財務(wù)報告相關(guān)的重要法案、法規(guī)一覽表20022002年年7 7月月3030日日 美國總統(tǒng)布什簽發(fā)了美國總統(tǒng)布什簽發(fā)了薩班斯薩班斯- -奧克斯利法案奧克斯利法案(SOX(SOX法案法案)

4、) 20022002年年8 8月月2929日日 美國證券交易委員會根據(jù)美國證券交易委員會根據(jù)SOXSOX法案第法案第302302條款的要求，頒布條款的要求，頒布 對有關(guān)對有關(guān)條款的最終條例條款的最終條例20032003年年6 6月月5 5日日 美國證券交易委員會根據(jù)美國證券交易委員會根據(jù)SOXSOX法案第法案第404404條條款款的要求，頒布的要求，頒布對有關(guān)對有關(guān)條款的最終條例和對第條款的最終條例和對第 302302條款的補(bǔ)充修訂條款的補(bǔ)充修訂20042004年年3 3月月9 9日日 美國美國上市公司會計監(jiān)管委員會上市公司會計監(jiān)管委員會（PCAOBPCAOB）發(fā)布第發(fā)布第2 2號審計準(zhǔn)則號審

5、計準(zhǔn)則20042004年年5 5月月1212日日 美國美國ITGIITGI發(fā)布發(fā)布IT Control Objectives for SOXIT Control Objectives for SOX20042004年年6 6月月1717日日 美國證交會批準(zhǔn)美國證交會批準(zhǔn) PCAOB PCAOB 發(fā)布第發(fā)布第2 2號審計準(zhǔn)則號審計準(zhǔn)則20062006年年4 4月月3030日日 ITGIITGI發(fā)布發(fā)布IT Control Objectives for SOXIT Control Objectives for SOX，2 Edition2 Edition一、一、SOXSOX法案與法案與ITIT控制

6、控制 6SOXSOX法案法案第第404404條款條款管理層對內(nèi)部控制的評價管理層對內(nèi)部控制的評價 l管理層必須建立與財務(wù)報告相關(guān)的內(nèi)部控制體系管理層必須建立與財務(wù)報告相關(guān)的內(nèi)部控制體系l每年報告每年報告管理層聲明建立與財務(wù)報告相關(guān)的內(nèi)部控制的責(zé)任管理層聲明建立與財務(wù)報告相關(guān)的內(nèi)部控制的責(zé)任自我驗證與評價與財務(wù)報告相關(guān)的內(nèi)部控制的有效性自我驗證與評價與財務(wù)報告相關(guān)的內(nèi)部控制的有效性自我評價經(jīng)外部審計師查證并出具獨立審計意見自我評價經(jīng)外部審計師查證并出具獨立審計意見生效日期生效日期“提前申報人提前申報人” ” ：20042004年年1111月月1515日之后第一個財務(wù)年日之后第一個財務(wù)年度年度結(jié)束

7、時（原為度年度結(jié)束時（原為20042004年年6 6月月1515日）日）外國公司外國公司：2006年年7月月15日之后第一個財務(wù)年度結(jié)束時日之后第一個財務(wù)年度結(jié)束時（原為（原為2005年年4月月15日）日）一、一、SOXSOX法案與法案與ITIT控制控制7 PCAOBPCAOB第第2 2號審計準(zhǔn)則號審計準(zhǔn)則對外部審計師的要求對外部審計師的要求 PCAOBPCAOB第第2 2號審計準(zhǔn)則要求外部審計師，對上市公司管號審計準(zhǔn)則要求外部審計師，對上市公司管理層與財務(wù)報告相關(guān)的內(nèi)部控制進(jìn)行獨立審計，并正式出理層與財務(wù)報告相關(guān)的內(nèi)部控制進(jìn)行獨立審計，并正式出具一份審計師具一份審計師 404 404 審計報

8、告，其中包括兩個評價意見審計報告，其中包括兩個評價意見: :1 1、對上市公司管理層評價結(jié)論的意見、對上市公司管理層評價結(jié)論的意見2 2、對上市公司與財務(wù)報告相關(guān)內(nèi)部控制有效性的獨立意見對上市公司與財務(wù)報告相關(guān)內(nèi)部控制有效性的獨立意見一、一、SOXSOX法案與法案與ITIT控制控制 8 美國上市公司會計監(jiān)管委員會（美國上市公司會計監(jiān)管委員會（PCAOBPCAOB）配）配合合SOXSOX法案頒布第法案頒布第2 2號審計準(zhǔn)則，在涉及財務(wù)報號審計準(zhǔn)則，在涉及財務(wù)報告相關(guān)的內(nèi)部控制審計時指出，信息技術(shù)是內(nèi)告相關(guān)的內(nèi)部控制審計時指出，信息技術(shù)是內(nèi)部控制的一個不可缺少的部份。部控制的一個不可缺少的部份。

9、一、一、SOXSOX法案與法案與ITIT控制控制 9美國上市公司在各業(yè)務(wù)流程中存在的控制缺陷、顯著缺陷和實質(zhì)性美國上市公司在各業(yè)務(wù)流程中存在的控制缺陷、顯著缺陷和實質(zhì)性漏洞所占的比例（漏洞所占的比例（數(shù)據(jù)來源：畢馬威數(shù)據(jù)來源：畢馬威 404404學(xué)會于學(xué)會于20052005年年2 2月進(jìn)行的調(diào)查月進(jìn)行的調(diào)查）：）： 一、一、SOXSOX法案與法案與ITIT控制控制 控制缺陷控制缺陷顯著缺陷顯著缺陷實質(zhì)性漏洞實質(zhì)性漏洞信息技術(shù)控制信息技術(shù)控制36%22%21%收入確認(rèn)收入確認(rèn)13%10%6%固定資產(chǎn)固定資產(chǎn)10%7%9%財務(wù)報告和結(jié)賬財務(wù)報告和結(jié)賬9%16%12%采購付款采購付款9%13%12%

10、人力資源（工資和福利費用）人力資源（工資和福利費用）8%6%15%公司層面的控制公司層面的控制3%4%9%其他其他12%22%16%10 美國證監(jiān)會要求各個上市公司在建立內(nèi)控體美國證監(jiān)會要求各個上市公司在建立內(nèi)控體系的時候要遵循相應(yīng)的內(nèi)控框架。其中系的時候要遵循相應(yīng)的內(nèi)控框架。其中COSOCOSO的的內(nèi)部控制內(nèi)部控制-整體框架整體框架已成為遵從已成為遵從SOXSOX法案最法案最流行的內(nèi)控框架，但是流行的內(nèi)控框架，但是COSOCOSO并沒有涉及如何設(shè)計并沒有涉及如何設(shè)計和實施和實施ITIT控制；有關(guān)控制；有關(guān)ITIT控制的標(biāo)準(zhǔn)是控制的標(biāo)準(zhǔn)是COBITCOBIT。 一、一、SOXSOX法案與法案與

11、ITIT控制控制 11三、幾點說明和要求三、幾點說明和要求19921992年，年，COSOCOSO頒布了頒布了內(nèi)部控制內(nèi)部控制整體框架整體框架報告。報告。1220042004年年9 9月，結(jié)合月，結(jié)合SOXSOX法案法案COSOCOSO頒布了頒布了企業(yè)風(fēng)險管理企業(yè)風(fēng)險管理總體框架總體框架提出八要素：提出八要素： 內(nèi)部環(huán)境內(nèi)部環(huán)境、目標(biāo)制定、目標(biāo)制定、 事項識別、事項識別、風(fēng)險評估風(fēng)險評估、 風(fēng)險反應(yīng)、風(fēng)險反應(yīng)、控制活動控制活動、 信息與溝通信息與溝通、監(jiān)控監(jiān)控。一、一、SOXSOX法案與法案與ITIT控制控制 13信息技術(shù)是信息技術(shù)是SOXSOX整體要求不可或缺的一部分整體要求不可或缺的一部分

12、 對對ITIT控制的標(biāo)準(zhǔn)就是控制的標(biāo)準(zhǔn)就是COBITCOBIT（Control Objectives for Control Objectives for Information and Related TechnologyInformation and Related Technology，信息及相關(guān)技術(shù)控制目，信息及相關(guān)技術(shù)控制目標(biāo)），是一個國際通用的標(biāo)），是一個國際通用的ITIT治理方法論和治理方法論和ITIT控制模型。由美國信息控制模型。由美國信息系統(tǒng)審計和控制協(xié)會系統(tǒng)審計和控制協(xié)會ISACAISACA（Information System Audit and Information

13、System Audit and Control AssociatesControl Associates）下屬的）下屬的ITIT治理協(xié)會治理協(xié)會ITGIITGI（IT Governance IT Governance InstituteInstitute）于）于19961996年發(fā)布第年發(fā)布第1 1版本，版本，19981998年第年第2 2版本，版本，20002000年發(fā)布第年發(fā)布第3 3版本，版本，20052005年發(fā)布年發(fā)布4.04.0版本。版本。 ITGIITGI于于20042004年年5 5月提出了月提出了“IT Control Objectives for IT Control O

14、bjectives for Sarbanes-Oxley”Sarbanes-Oxley”，于，于20062006年年4 4月提出了第二版。月提出了第二版。 一、一、SOXSOX法案與法案與ITIT控控制制 144 4 個域個域 規(guī)劃與組織域規(guī)劃與組織域(PO1-10)(PO1-10) 獲得與實施域獲得與實施域(AI1-7)(AI1-7) 交付與支持域交付與支持域(DS1-13)(DS1-13) 監(jiān)控和評估域監(jiān)控和評估域(ME1-4)(ME1-4) 34 34 個流程個流程7 7 個業(yè)務(wù)需求指標(biāo)：個業(yè)務(wù)需求指標(biāo)： 有效性、高效性、有效性、高效性、 保密性、完整性、保密性、完整性、 可用性、一致性

15、、可用性、一致性、 可靠性可靠性4 4 種資源種資源一一、SOXSOX法案與法案與ITIT控制控制COBIT 4.0COBIT 4.0三維架構(gòu)三維架構(gòu)15ITGI“IT CotrolITGI“IT Cotrol Objectives for SOX Objectives for SOX，2 Edition ”2 Edition ”IT Control Objectives for Sarbanes-OxleyCobitPCAOB IT 一般性控制一般性控制Cobit 4.0流程流程系統(tǒng)開發(fā)系統(tǒng)開發(fā)系統(tǒng)變更系統(tǒng)變更計算機(jī)操作計算機(jī)操作系統(tǒng)和數(shù)據(jù)訪問系統(tǒng)和數(shù)據(jù)訪問1.1.獲取和維護(hù)應(yīng)用軟件獲取和維

16、護(hù)應(yīng)用軟件AI22. 2. 獲取和維護(hù)技術(shù)基礎(chǔ)設(shè)施獲取和維護(hù)技術(shù)基礎(chǔ)設(shè)施AI33.3.定義定義ITIT流程、組織和關(guān)系流程、組織和關(guān)系PO44.4.安裝、解決方案和變更安裝、解決方案和變更AI75.5.變更管理變更管理AI66.6.定義和管理服務(wù)級別定義和管理服務(wù)級別DS17.7.第三方服務(wù)管理第三方服務(wù)管理DS28.8.系統(tǒng)安全保證系統(tǒng)安全保證DS59.9.配置管理配置管理DS910.10.問題和事件管理問題和事件管理DS8、DS1011.11.數(shù)據(jù)管理數(shù)據(jù)管理DS1112.12.物理環(huán)境和操作管理物理環(huán)境和操作管理DS12、DS1316ITGI“IT CotrolITGI“IT Cotro

17、l Objectives for SOX Objectives for SOX，2 Edition ”2 Edition ”IT Services財務(wù)財務(wù)業(yè)務(wù)過程業(yè)務(wù)過程生產(chǎn)生產(chǎn)業(yè)務(wù)過程業(yè)務(wù)過程后勤后勤業(yè)務(wù)過程業(yè)務(wù)過程業(yè)務(wù)過程業(yè)務(wù)過程ExecutiveManagement公司層面控制公司層面控制涉及公司的特性和文化。IT控制環(huán)境是公司整個控制環(huán)境的一個部分?？刂瓢ǎ簯?zhàn)略和計劃政策和程序風(fēng)險評估教育培訓(xùn)質(zhì)量保證內(nèi)部審計應(yīng)用控制應(yīng)用控制內(nèi)嵌在業(yè)務(wù)過程應(yīng)用的控制，直接支持財務(wù)控制目標(biāo)。主要對財務(wù)應(yīng)用系統(tǒng)進(jìn)行此類控制，包括像SAP、Oracle這樣的大系統(tǒng)或一些小系統(tǒng)?？刂瓢ǎ和暾跃_性授權(quán)性公

18、布/披露ITIT一般性控制一般性控制內(nèi)嵌在IT過程中的控制，IT過程提供一個可靠的操作環(huán)境和支持應(yīng)用控制實現(xiàn)有效操作?？刂瓢ǎ合到y(tǒng)開發(fā)系統(tǒng)變更 系統(tǒng)和數(shù)據(jù)訪問計算機(jī)操作17ITIT一般性控制一般性控制 “IT “IT一般性控制一般性控制”檢查評價是針對檢查評價是針對ITIT系統(tǒng)控制點而進(jìn)系統(tǒng)控制點而進(jìn)行的，由行的，由ITIT專業(yè)人員負(fù)責(zé)，主要是對專業(yè)人員負(fù)責(zé)，主要是對ITIT系統(tǒng)在安全性、可系統(tǒng)在安全性、可靠性和合理性等方面的設(shè)計及運行實施有效性進(jìn)行檢查和靠性和合理性等方面的設(shè)計及運行實施有效性進(jìn)行檢查和評價。評價。 “ “應(yīng)用控制應(yīng)用控制”檢查評價是針對業(yè)務(wù)流程而進(jìn)行的，由檢查評價是針對業(yè)

19、務(wù)流程而進(jìn)行的，由相關(guān)業(yè)務(wù)人員負(fù)責(zé)，針對業(yè)務(wù)流程控制點，檢查評價相關(guān)業(yè)務(wù)人員負(fù)責(zé)，針對業(yè)務(wù)流程控制點，檢查評價ITIT應(yīng)應(yīng)用系統(tǒng)（如用系統(tǒng)（如ERPERP系統(tǒng)）操作的合法性、規(guī)范性等進(jìn)行檢查系統(tǒng)）操作的合法性、規(guī)范性等進(jìn)行檢查和評價；和評價；ITIT專業(yè)人員可根據(jù)需要配合工作。專業(yè)人員可根據(jù)需要配合工作。18ITIT在內(nèi)控和財務(wù)報告生成過程的職責(zé)包括在內(nèi)控和財務(wù)報告生成過程的職責(zé)包括： 理解企業(yè)的內(nèi)控和財務(wù)報告生成過程理解企業(yè)的內(nèi)控和財務(wù)報告生成過程 畫出支持內(nèi)控和財務(wù)報告生成過程的畫出支持內(nèi)控和財務(wù)報告生成過程的ITIT系統(tǒng)流程圖系統(tǒng)流程圖 識別這些與財務(wù)報告生成相關(guān)的識別這些與財務(wù)報告生成

20、相關(guān)的ITIT系統(tǒng)的風(fēng)險系統(tǒng)的風(fēng)險 設(shè)計并實施能有助于降低可識別風(fēng)險的控制環(huán)節(jié)，并且持設(shè)計并實施能有助于降低可識別風(fēng)險的控制環(huán)節(jié)，并且持續(xù)有效地實施監(jiān)控續(xù)有效地實施監(jiān)控 準(zhǔn)備完整的文檔并對準(zhǔn)備完整的文檔并對ITIT控制進(jìn)行測試控制進(jìn)行測試 確保確保ITIT控制對內(nèi)控和財務(wù)報告生成過程的同步更新控制對內(nèi)控和財務(wù)報告生成過程的同步更新 持續(xù)監(jiān)控持續(xù)監(jiān)控ITIT控制的有效性控制的有效性 -摘自摘自ITGI“IT CotrolITGI“IT Cotrol Objectives for SOX Objectives for SOX，2 Edition ”2 Edition ”ITGI“IT Cotrol

21、ITGI“IT Cotrol Objectives for SOX Objectives for SOX，2 Edition ”2 Edition ”19ITGI“IT CotrolITGI“IT Cotrol Objectives for SOX Objectives for SOX，2 Edition ”2 Edition ”附件附件B B：ITIT一般性控制一般性控制 表表9-129-12：控制環(huán)境、信息和溝通、風(fēng)險評估、監(jiān)控控制環(huán)境、信息和溝通、風(fēng)險評估、監(jiān)控 表表13-25:13-25:獲得和開發(fā)應(yīng)用軟件、獲得技術(shù)基礎(chǔ)設(shè)施、開發(fā)和維獲得和開發(fā)應(yīng)用軟件、獲得技術(shù)基礎(chǔ)設(shè)施、開發(fā)和維護(hù)的制

22、度和過程、安裝和測試、變更管理、定義和管理服務(wù)層次、護(hù)的制度和過程、安裝和測試、變更管理、定義和管理服務(wù)層次、第三方服務(wù)管理、系統(tǒng)安全標(biāo)準(zhǔn)、配置管理、問題和事件管理、第三方服務(wù)管理、系統(tǒng)安全標(biāo)準(zhǔn)、配置管理、問題和事件管理、數(shù)據(jù)管理、操作管理、終端用戶計算機(jī)系統(tǒng)等數(shù)據(jù)管理、操作管理、終端用戶計算機(jī)系統(tǒng)等 20一、一、SOXSOX法案與法案與ITIT控制控制二、二、ITIT一般性控制檢查評價內(nèi)容和方法一般性控制檢查評價內(nèi)容和方法三、幾點要求三、幾點要求 21信息技術(shù)一般性控制信息技術(shù)一般性控制(IT General Controls)(IT General Controls) ITIT一般性控制檢

23、查評價圍繞與財務(wù)報告生成相關(guān)并產(chǎn)生影響的一般性控制檢查評價圍繞與財務(wù)報告生成相關(guān)并產(chǎn)生影響的信息系統(tǒng)開展，如信息系統(tǒng)開展，如ERPERP系統(tǒng)。其主要檢查系統(tǒng)。其主要檢查評價評價內(nèi)容包括：內(nèi)容包括：1.1.整體層面的整體層面的ITIT控制（控制（Entity LevelEntity Level）2.2.程序和數(shù)據(jù)訪問程序和數(shù)據(jù)訪問 (Access to Programs and Data)(Access to Programs and Data)3.3.程序變更程序變更 (Program Changes)(Program Changes)4.4.程序開發(fā)程序開發(fā) (Program Develop

24、ment)(Program Development)5.5.系統(tǒng)運行系統(tǒng)運行/ /計算機(jī)操作計算機(jī)操作 (Computer Operations)(Computer Operations)6.6.終端用戶計算終端用戶計算 (End-user Computing)(End-user Computing) 二、二、ITIT一般性控制檢查評價內(nèi)容和方法一般性控制檢查評價內(nèi)容和方法 221.1.整體層面的整體層面的ITIT控制（控制（Entity LevelEntity Level）包括：包括： 控制環(huán)境（控制環(huán)境（ITIT戰(zhàn)略規(guī)劃與計劃、戰(zhàn)略規(guī)劃與計劃、ITIT組織與關(guān)系、教組織與關(guān)系、教育和培訓(xùn)等

25、）育和培訓(xùn)等） 信息與溝通信息與溝通 風(fēng)險評估風(fēng)險評估 監(jiān)控監(jiān)控信息技術(shù)一般性控制信息技術(shù)一般性控制(IT General Controls) 232.2.程序和數(shù)據(jù)訪問程序和數(shù)據(jù)訪問(Access to Programs and Data)(Access to Programs and Data)包括（不限于下列控制內(nèi)容）：包括（不限于下列控制內(nèi)容）：實施有效的實施有效的信息信息安全安全政策政策措施措施及向員工的推廣執(zhí)行；及向員工的推廣執(zhí)行；防止未經(jīng)授權(quán)訪問防止未經(jīng)授權(quán)訪問（網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫及應(yīng)用層面）；（網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫及應(yīng)用層面）； 對用戶的增刪、修改都經(jīng)過管理層授權(quán)；對用戶

26、的增刪、修改都經(jīng)過管理層授權(quán)；定期對系統(tǒng)中用戶的訪問權(quán)限進(jìn)行審閱；定期對系統(tǒng)中用戶的訪問權(quán)限進(jìn)行審閱；職權(quán)分離職權(quán)分離等。等。信息技術(shù)一般性控制信息技術(shù)一般性控制(IT General Controls) 243.3.程序變更程序變更(Program Changes)(Program Changes)包括（不限于下列控制點內(nèi)容）：包括（不限于下列控制點內(nèi)容）： 有關(guān)變更管理制度有關(guān)變更管理制度 系統(tǒng)或應(yīng)用程序的變更都經(jīng)過適當(dāng)?shù)墓芾韺拥氖跈?quán)；系統(tǒng)或應(yīng)用程序的變更都經(jīng)過適當(dāng)?shù)墓芾韺拥氖跈?quán)； 變更后發(fā)布到生產(chǎn)環(huán)境運行之前經(jīng)過了測試、校驗和審批；變更后發(fā)布到生產(chǎn)環(huán)境運行之前經(jīng)過了測試、校驗和審批； 版

27、本管理；版本管理； 不相容職責(zé)不相容職責(zé)等。等。 信息技術(shù)一般性控制信息技術(shù)一般性控制(IT General Controls) 254.4.程序開發(fā)程序開發(fā)(Program Development)(Program Development)包括（不限于下列控制點內(nèi)容）：包括（不限于下列控制點內(nèi)容）： 程序開發(fā)項目管理制度的建立及執(zhí)行；程序開發(fā)項目管理制度的建立及執(zhí)行； 應(yīng)用系統(tǒng)及硬件基礎(chǔ)架構(gòu)的開發(fā)應(yīng)用系統(tǒng)及硬件基礎(chǔ)架構(gòu)的開發(fā)/ /采購應(yīng)經(jīng)過適當(dāng)級別的采購應(yīng)經(jīng)過適當(dāng)級別的ITIT部門部門和和公司業(yè)務(wù)管理層的審批公司業(yè)務(wù)管理層的審批 ； 程序開發(fā)、實施過程進(jìn)行了充分的測試，并且該測試結(jié)果經(jīng)過用戶

28、程序開發(fā)、實施過程進(jìn)行了充分的測試，并且該測試結(jié)果經(jīng)過用戶簽字和管理層的批準(zhǔn)；簽字和管理層的批準(zhǔn)； 數(shù)據(jù)遷移過程中有足夠的控制保證數(shù)據(jù)的準(zhǔn)確性及完整性。數(shù)據(jù)遷移過程中有足夠的控制保證數(shù)據(jù)的準(zhǔn)確性及完整性。 文檔管理文檔管理注：適用于注：適用于20062006年年1 1月月1 1日起新開發(fā)投用的系統(tǒng)日起新開發(fā)投用的系統(tǒng)信息技術(shù)一般性控制信息技術(shù)一般性控制(IT General Controls) 265.5.系統(tǒng)運行系統(tǒng)運行(Computer Operations)(Computer Operations)包括（不限于下列控制點內(nèi)容）：包括（不限于下列控制點內(nèi)容）： 批處理任務(wù)的設(shè)定及實施；批處

29、理任務(wù)的設(shè)定及實施； 系統(tǒng)和數(shù)據(jù)定期備份，確保重要數(shù)據(jù)在需要時可以恢復(fù)；系統(tǒng)和數(shù)據(jù)定期備份，確保重要數(shù)據(jù)在需要時可以恢復(fù)； 備份介質(zhì)進(jìn)行定期恢復(fù)測試，確保備份介質(zhì)的質(zhì)量及系統(tǒng)和數(shù)據(jù)備份介質(zhì)進(jìn)行定期恢復(fù)測試，確保備份介質(zhì)的質(zhì)量及系統(tǒng)和數(shù)據(jù)的可恢復(fù)性；的可恢復(fù)性； 備份介質(zhì)訪問權(quán)限的控制；備份介質(zhì)訪問權(quán)限的控制； 建立問題管理流程，以及時記錄、分析、解決與生成財務(wù)報表有建立問題管理流程，以及時記錄、分析、解決與生成財務(wù)報表有關(guān)的系統(tǒng)和應(yīng)用程序的問題和錯誤；關(guān)的系統(tǒng)和應(yīng)用程序的問題和錯誤； 設(shè)置相應(yīng)的應(yīng)急程序，以防系統(tǒng)出現(xiàn)故障等。設(shè)置相應(yīng)的應(yīng)急程序，以防系統(tǒng)出現(xiàn)故障等。信息技術(shù)一般性控制信息技術(shù)一般

30、性控制(IT General Controls) 276.6.終端用戶計算終端用戶計算 (End-user Computing)(End-user Computing) 指與財務(wù)報告數(shù)據(jù)生成有關(guān)、并對數(shù)據(jù)按公式進(jìn)行加指與財務(wù)報告數(shù)據(jù)生成有關(guān)、并對數(shù)據(jù)按公式進(jìn)行加工處理的工處理的excelexcel、accessaccess、vbvb等電子表格、小程序等。終等電子表格、小程序等。終端用戶計算提高了日常工作的質(zhì)量和速度，但也帶來了端用戶計算提高了日常工作的質(zhì)量和速度，但也帶來了風(fēng)險，其處理的數(shù)據(jù)易產(chǎn)生未經(jīng)授權(quán)的訪問和非法修改風(fēng)險，其處理的數(shù)據(jù)易產(chǎn)生未經(jīng)授權(quán)的訪問和非法修改等風(fēng)險。等風(fēng)險。 因此，管

31、理層應(yīng)制定相關(guān)制度和措施來確保終端用因此，管理層應(yīng)制定相關(guān)制度和措施來確保終端用戶計算環(huán)境下的戶計算環(huán)境下的ITIT一般性控制有效性，包括對影響財務(wù)一般性控制有效性，包括對影響財務(wù)報表的重要電子表格等進(jìn)行有關(guān)授權(quán)制度、公式訪問保報表的重要電子表格等進(jìn)行有關(guān)授權(quán)制度、公式訪問保護(hù)、測試、備份、文檔等管理。護(hù)、測試、備份、文檔等管理。信息技術(shù)一般性控制信息技術(shù)一般性控制(IT General Controls) 286.6.終端用戶計算終端用戶計算(End-user Computing)(End-user Computing)包括（不限于下列控制點內(nèi)容）：包括（不限于下列控制點內(nèi)容）： 訪問管理訪

32、問管理-影響財務(wù)報表的重要電子表格和其他用戶自影響財務(wù)報表的重要電子表格和其他用戶自編程序如果存放于單機(jī)環(huán)境，則應(yīng)由相關(guān)部門設(shè)定密碼保編程序如果存放于單機(jī)環(huán)境，則應(yīng)由相關(guān)部門設(shè)定密碼保護(hù)，防止非授權(quán)人員進(jìn)行訪問；如果存放在文檔服務(wù)器上，護(hù)，防止非授權(quán)人員進(jìn)行訪問；如果存放在文檔服務(wù)器上，需建立訪問控制措施。需建立訪問控制措施。 變更管理變更管理-相關(guān)部門在影響財務(wù)報表的重要電子表格模相關(guān)部門在影響財務(wù)報表的重要電子表格模板需要進(jìn)行變更時，應(yīng)對完整性和準(zhǔn)確性進(jìn)行測試，并在板需要進(jìn)行變更時，應(yīng)對完整性和準(zhǔn)確性進(jìn)行測試，并在測試通過后在測試文檔上書面確認(rèn)。在測試結(jié)果通過主管測試通過后在測試文檔上書面

33、確認(rèn)。在測試結(jié)果通過主管人員的審批后，方可使用更新后的電子表格模板。人員的審批后，方可使用更新后的電子表格模板。信息技術(shù)一般性控制信息技術(shù)一般性控制(IT General Controls) 296.6.終端用戶計算終端用戶計算 (End-user Computing)(End-user Computing) 開發(fā)管理開發(fā)管理-重要電子表格模板在開發(fā)過程中，其輸入、重要電子表格模板在開發(fā)過程中，其輸入、處理及輸出，必須由用戶對完整性和準(zhǔn)確性進(jìn)行測試，處理及輸出，必須由用戶對完整性和準(zhǔn)確性進(jìn)行測試，并在測試通過后在測試文檔上書面確認(rèn)；測試結(jié)果通過并在測試通過后在測試文檔上書面確認(rèn)；測試結(jié)果通過主

34、管人員的審批后，方可使用新開發(fā)的電子表格模板。主管人員的審批后，方可使用新開發(fā)的電子表格模板。 備份管理備份管理-公司或部門應(yīng)建立文檔服務(wù)器（例如網(wǎng)絡(luò)共公司或部門應(yīng)建立文檔服務(wù)器（例如網(wǎng)絡(luò)共享目錄）或其他備份介質(zhì)，相關(guān)人員定期對影響財務(wù)報享目錄）或其他備份介質(zhì)，相關(guān)人員定期對影響財務(wù)報表的重要電子表格和其他用戶自編程序在文檔服務(wù)器或表的重要電子表格和其他用戶自編程序在文檔服務(wù)器或其他介質(zhì)上進(jìn)行備份保存。其他介質(zhì)上進(jìn)行備份保存。信息技術(shù)一般性控制信息技術(shù)一般性控制(IT General Controls) 30二、二、ITIT一般性控制檢查評價內(nèi)容和方法一般性控制檢查評價內(nèi)容和方法31二、二、I

35、TIT一般性控制檢查評價內(nèi)容和方法一般性控制檢查評價內(nèi)容和方法32二、二、ITIT一般性控制檢查評價內(nèi)容和方法一般性控制檢查評價內(nèi)容和方法ITIT一般性控制檢查評價過程一般性控制檢查評價過程1.1.界定界定ITIT系統(tǒng)范圍系統(tǒng)范圍 按照本單位企業(yè)財務(wù)報告生成過程，畫出支持財務(wù)報告生按照本單位企業(yè)財務(wù)報告生成過程，畫出支持財務(wù)報告生成過程的成過程的ITIT系統(tǒng)關(guān)系圖，界定進(jìn)行系統(tǒng)關(guān)系圖，界定進(jìn)行ITIT一般性控制檢查評價的一般性控制檢查評價的ITIT系統(tǒng)（包括電子表格等）范圍。系統(tǒng)（包括電子表格等）范圍。2.2.識別確定控制點，設(shè)計生成識別確定控制點，設(shè)計生成“控制矩陣控制矩陣”和和“工作底稿工

36、作底稿” 針對所界定的針對所界定的ITIT系統(tǒng)范圍，識別確定這些與財務(wù)報告生成系統(tǒng)范圍，識別確定這些與財務(wù)報告生成相關(guān)的相關(guān)的ITIT服務(wù)活動為了實現(xiàn)控制目標(biāo)、防范風(fēng)險的控制點。服務(wù)活動為了實現(xiàn)控制目標(biāo)、防范風(fēng)險的控制點。 對控制點進(jìn)行描述，設(shè)計生成本單位對控制點進(jìn)行描述，設(shè)計生成本單位“ITIT一般性控制矩陣一般性控制矩陣”（以下簡稱（以下簡稱“控制矩陣控制矩陣”）、）、“ITIT一般性控制工作底稿一般性控制工作底稿”（以（以下簡稱下簡稱“工作底稿工作底稿”）和相應(yīng)的表單等文檔。）和相應(yīng)的表單等文檔。33二、二、ITIT一般性控制檢查評價內(nèi)容和方法一般性控制檢查評價內(nèi)容和方法ITIT一般性控

37、制檢查評價過程一般性控制檢查評價過程3.3.進(jìn)行檢查評價進(jìn)行檢查評價 按按“工作底稿工作底稿”要求對控制點進(jìn)行穿行測試、設(shè)計有效性要求對控制點進(jìn)行穿行測試、設(shè)計有效性及實施有效性檢查評價，形成并保留相應(yīng)的測試文檔，并將測及實施有效性檢查評價，形成并保留相應(yīng)的測試文檔，并將測試檢查結(jié)果按要求填寫到試檢查結(jié)果按要求填寫到工作底稿工作底稿和和控制矩陣控制矩陣中。中。4.4.對存在缺陷的修補(bǔ)和再測試對存在缺陷的修補(bǔ)和再測試 對檢查中發(fā)現(xiàn)的問題，被檢查單位應(yīng)及時制定整改方案，對檢查中發(fā)現(xiàn)的問題，被檢查單位應(yīng)及時制定整改方案，并認(rèn)真組織落實，整改后進(jìn)行再測試，形成并保留再測試文檔，并認(rèn)真組織落實，整改后進(jìn)

38、行再測試，形成并保留再測試文檔，整改情況及結(jié)果須在整改情況及結(jié)果須在2 2個月內(nèi)向股份公司內(nèi)控辦進(jìn)行反饋。個月內(nèi)向股份公司內(nèi)控辦進(jìn)行反饋。34二、二、ITIT一般性控制檢查評價內(nèi)容和方法一般性控制檢查評價內(nèi)容和方法“控制矩陣控制矩陣”和和“工作底稿工作底稿” “控制矩陣控制矩陣”是指關(guān)于某一與財務(wù)報告生成相關(guān)的是指關(guān)于某一與財務(wù)報告生成相關(guān)的ITIT服務(wù)活動控服務(wù)活動控制點集合的綜合情況表。內(nèi)容包括控制目標(biāo)、控制點編號和描述、控制點集合的綜合情況表。內(nèi)容包括控制目標(biāo)、控制點編號和描述、控制點活動屬性（控制頻度、控制類型、執(zhí)行人等）、測試結(jié)果、修補(bǔ)制點活動屬性（控制頻度、控制類型、執(zhí)行人等）、測

39、試結(jié)果、修補(bǔ)情況等，并有索引指向工作底稿文檔。情況等，并有索引指向工作底稿文檔。 “ “工作底稿工作底稿”是指對應(yīng)是指對應(yīng)“控制矩陣控制矩陣”各控制點進(jìn)行各控制點進(jìn)行ITIT一般性控制一般性控制測試檢查用所設(shè)計的一組工作底稿和相應(yīng)的表單。內(nèi)容包括控制目標(biāo)、測試檢查用所設(shè)計的一組工作底稿和相應(yīng)的表單。內(nèi)容包括控制目標(biāo)、控制點編號、名稱和描述、測試步驟、測試結(jié)果、測試結(jié)論和測試文控制點編號、名稱和描述、測試步驟、測試結(jié)果、測試結(jié)論和測試文檔編號等。檔編號等。35二、二、ITIT一般性控制檢查評價內(nèi)容和方法一般性控制檢查評價內(nèi)容和方法ERPERP系統(tǒng)系統(tǒng)ITIT一般性控制矩陣一般性控制矩陣單位名稱：

40、單位名稱：序序號號控制控制目標(biāo)目標(biāo)控制點控制點控制活動屬性控制活動屬性相關(guān)制相關(guān)制度和文度和文檔檔測試結(jié)果測試結(jié)果備備注注編號編號控控制制點點控制點描述控制點描述控制控制執(zhí)行執(zhí)行人人控控制制頻頻率率自自動動/ /手手動動預(yù)防性預(yù)防性/ /檢查檢查性性穿行測穿行測試有效試有效否否設(shè)計設(shè)計有效有效否否執(zhí)行執(zhí)行有效有效否否修補(bǔ)修補(bǔ)完完成時成時間間1 12 23 34 45 56 67 78 89 910101111121213131 14 4一一程序和數(shù)據(jù)訪問程序和數(shù)據(jù)訪問1加強(qiáng)用戶權(quán)限管理，防止對系統(tǒng)的非授權(quán)訪問ERP-DA1用戶權(quán)限維護(hù)1、制定ERP系統(tǒng)用戶權(quán)限管理制度；2、建立/變更用戶帳戶和

41、角色，由申請人填寫“ERP系統(tǒng)用戶權(quán)限申請表”，經(jīng)相應(yīng)負(fù)責(zé)人部門領(lǐng)導(dǎo)審批后，由權(quán)限管理員在系統(tǒng)中建立/維護(hù)權(quán)限，提交申請人進(jìn)行權(quán)限測試并填寫測試記錄；3、無論是已有角色的分配，還是建立一個新的角色，都需關(guān)鍵用戶進(jìn)行測試并填寫測試記錄，測試通過并經(jīng)相應(yīng)負(fù)責(zé)人部門負(fù)責(zé)人簽字后才能在生產(chǎn)系統(tǒng)中啟用；4、業(yè)務(wù)人員由于崗位變動或離開單位，業(yè)務(wù)部門填寫“ERP系統(tǒng)用戶權(quán)限申請表”鎖定帳戶，經(jīng)業(yè)務(wù)部門領(lǐng)導(dǎo)審核后，由權(quán)限管理員在系統(tǒng)中將該用戶進(jìn)行鎖定。相關(guān)部門負(fù)責(zé)人；權(quán)限管理員按需手動檢查性ERP系統(tǒng)用戶權(quán)限管理制度；ERP系統(tǒng)用戶權(quán)限申請表36二、二、ITIT一般性控制檢查評價內(nèi)容和方法一般性控制檢查評價內(nèi)

42、容和方法 ERPERP系統(tǒng)系統(tǒng)ITIT一般性控制工作底稿一般性控制工作底稿被測試單位：被測試單位：測試人：測試人： 復(fù)核人：復(fù)核人：測試時間：測試時間：序序號號控制目控制目標(biāo)標(biāo)控制點控制點編號編號控控制制點點控制點描述控制點描述測試步驟測試步驟測試結(jié)測試結(jié)果果結(jié)論結(jié)論文檔編號文檔編號一程序和數(shù)據(jù)訪問程序和數(shù)據(jù)訪問1加強(qiáng)用戶權(quán)限管理，防止對系統(tǒng)的非授權(quán)訪問ERP-DA1用戶權(quán)限維護(hù)1、制定ERP系統(tǒng)用戶權(quán)限管理制度；2、建立/變更用戶帳戶和角色，由申請人填寫“ERP系統(tǒng)用戶權(quán)限申請表”，經(jīng)相應(yīng)負(fù)責(zé)人部門領(lǐng)導(dǎo)審批后，由權(quán)限管理員在系統(tǒng)中建立/維護(hù)權(quán)限，提交申請人進(jìn)行權(quán)限測試并填寫測試記錄；3、無論

43、是已有角色的分配，還是建立一個新的角色，都需關(guān)鍵用戶進(jìn)行測試并填寫測試記錄，測試通過并經(jīng)相應(yīng)負(fù)責(zé)人部門負(fù)責(zé)人簽字后才能在生產(chǎn)系統(tǒng)中啟用；4、業(yè)務(wù)人員由于崗位變動或離開單位，業(yè)務(wù)部門填寫“ERP系統(tǒng)用戶權(quán)限申請表”鎖定帳戶，經(jīng)業(yè)務(wù)部門領(lǐng)導(dǎo)審核后，由權(quán)限管理員在系統(tǒng)中將該用戶進(jìn)行鎖定。1、訪談權(quán)限管理員關(guān)于權(quán)限維護(hù)的執(zhí)行情況，考察是否與制度相符合；2、抽查用戶權(quán)限維護(hù)是否有對應(yīng)的權(quán)限維護(hù)申請表審批記錄單以及相應(yīng)人員的簽字；3、抽查建立/變更的權(quán)限和角色是否經(jīng)業(yè)務(wù)部門測試。ERP-DA1-1.1ERP-DA1-1.n37二、二、ITIT一般性控制檢查評價內(nèi)容和方法一般性控制檢查評價內(nèi)容和方法 信息部

44、根據(jù)信息部根據(jù)SOXSOX要求，針對企業(yè)共性的要求，針對企業(yè)共性的ITIT服務(wù)活動設(shè)計了整體層面服務(wù)活動設(shè)計了整體層面的的ITIT控制、控制、ITIT基礎(chǔ)設(shè)施、基礎(chǔ)設(shè)施、ERPERP系統(tǒng)、財務(wù)報表系統(tǒng)、財務(wù)管理信息系統(tǒng)系統(tǒng)、財務(wù)報表系統(tǒng)、財務(wù)管理信息系統(tǒng)和終端用戶計算和終端用戶計算6 6套通用的套通用的“控制矩陣控制矩陣”、“工作底稿工作底稿”和相應(yīng)表單模和相應(yīng)表單模板。板。 適用于適用于ERPERP單軌運行企業(yè)的為整體層面的單軌運行企業(yè)的為整體層面的ITIT控制、控制、ITIT基礎(chǔ)設(shè)施、基礎(chǔ)設(shè)施、ERPERP系統(tǒng)、財務(wù)報表系統(tǒng)和終端用戶計算系統(tǒng)、財務(wù)報表系統(tǒng)和終端用戶計算5 5套套“控制矩陣

45、控制矩陣”、“工作底工作底稿稿”和相應(yīng)的表單模板。和相應(yīng)的表單模板。 適用非適用非ERPERP企業(yè)的為整體層面的企業(yè)的為整體層面的ITIT控制、控制、ITIT基礎(chǔ)設(shè)施、財務(wù)管理信基礎(chǔ)設(shè)施、財務(wù)管理信息系統(tǒng)和終端用戶計算息系統(tǒng)和終端用戶計算4 4套套“控制矩陣控制矩陣”、“工作底稿工作底稿”和相應(yīng)的表單和相應(yīng)的表單模板。模板。 具體使用時，各企業(yè)應(yīng)在界定出的與財務(wù)報告生成具體使用時，各企業(yè)應(yīng)在界定出的與財務(wù)報告生成過程相關(guān)并產(chǎn)過程相關(guān)并產(chǎn)生影響的生影響的ITIT系統(tǒng)基礎(chǔ)上，根據(jù)實際情況作適當(dāng)增補(bǔ)、剪裁和調(diào)整。系統(tǒng)基礎(chǔ)上，根據(jù)實際情況作適當(dāng)增補(bǔ)、剪裁和調(diào)整。38一、一、SOXSOX法案與法案與IT

46、IT控制控制二、二、ITIT一般性控制檢查評價內(nèi)容和方法一般性控制檢查評價內(nèi)容和方法三、幾點說明和要求三、幾點說明和要求 39三、幾點說明和要求三、幾點說明和要求1. IT1. IT一般性控制與一般性控制與11.111.1和和11.211.2兩個業(yè)務(wù)流程檢查的關(guān)系兩個業(yè)務(wù)流程檢查的關(guān)系 中國石化于中國石化于20032003年制定年制定內(nèi)部控制手冊內(nèi)部控制手冊時，明確將有時，明確將有關(guān)關(guān)ITIT的的2 2個業(yè)務(wù)流程（個業(yè)務(wù)流程（11.111.1信息系統(tǒng)管理業(yè)務(wù)流程和信息系統(tǒng)管理業(yè)務(wù)流程和11.211.2信信息資源管理業(yè)務(wù)流程息資源管理業(yè)務(wù)流程）納入其中，以提高中國石化的）納入其中，以提高中國石化

47、的ITIT治理治理水平。水平。 11.1 11.1流程是根據(jù)流程是根據(jù) COBIT COBIT 與中國石化信息化實際相結(jié)合與中國石化信息化實際相結(jié)合而制訂的而制訂的，主要體現(xiàn)信息系統(tǒng)項目的全生命周期管理，防范，主要體現(xiàn)信息系統(tǒng)項目的全生命周期管理，防范系統(tǒng)實施和運行風(fēng)險。系統(tǒng)實施和運行風(fēng)險。 11.211.2流程主要針對生產(chǎn)經(jīng)營類信息資源的管理，為加強(qiáng)流程主要針對生產(chǎn)經(jīng)營類信息資源的管理，為加強(qiáng)信息共享和信息安全而制定的。信息共享和信息安全而制定的。 40流程圖：流程圖：2222個控制步驟個控制步驟11.111.1信息系統(tǒng)管理業(yè)務(wù)流程信息系統(tǒng)管理業(yè)務(wù)流程編制中長期規(guī)劃和編制中長期規(guī)劃和年度項目

48、建議計劃年度項目建議計劃（2 2個控制步驟）個控制步驟）項目可行性研究項目可行性研究和評審和評審 （2 2個控制步驟）個控制步驟） 項目立項審批項目立項審批（2 2個控制步驟）個控制步驟）合同簽訂合同簽訂（1 1個控制步驟）個控制步驟） 項目實施項目實施 （6 6個控制步驟）個控制步驟）項目竣工驗收項目竣工驗收（3 3個控制步驟）個控制步驟）系統(tǒng)應(yīng)用和維護(hù)系統(tǒng)應(yīng)用和維護(hù)（4 4個控制步驟）個控制步驟）系統(tǒng)升級系統(tǒng)升級（2 2個控制步驟）個控制步驟）41流程圖：流程圖：1111個控制步驟個控制步驟11.211.2信息資源管理業(yè)務(wù)流程信息資源管理業(yè)務(wù)流程確定各部門信息和確定各部門信息和需求需求 （

49、1 1個控制步驟）個控制步驟）匯總各部門需部門匯總各部門需部門外提供的信息需求外提供的信息需求 （1 1個控制步驟）個控制步驟） 落實部門間共享信落實部門間共享信息源和外購信息源息源和外購信息源 （2 2個控制步驟）個控制步驟）信息分級信息分級 （2 2個控制步驟）個控制步驟） 信息集中和信息整合信息集中和信息整合 （1 1個控制步驟）個控制步驟）信息授權(quán)信息授權(quán) （1 1個控制步驟）個控制步驟）信息使用和共享信息使用和共享 （2 2個控制步驟）個控制步驟）信息質(zhì)量反饋信息質(zhì)量反饋 （1 1個控制步驟）個控制步驟）42三、幾點說明和要求三、幾點說明和要求 今年是今年是SOXSOX法案生效的第一

50、年。按照法案生效的第一年。按照中國石化內(nèi)控檢查評價與考中國石化內(nèi)控檢查評價與考核辦法核辦法規(guī)定，除對規(guī)定，除對11.111.1和和11.211.2業(yè)務(wù)流程進(jìn)行常規(guī)的檢查外，增加了按業(yè)務(wù)流程進(jìn)行常規(guī)的檢查外，增加了按SOXSOX法案要求的對法案要求的對與財務(wù)報告生成過程相關(guān)并產(chǎn)生影響的與財務(wù)報告生成過程相關(guān)并產(chǎn)生影響的ITIT系統(tǒng)進(jìn)行系統(tǒng)進(jìn)行ITIT一般性控制檢查評價工作。一般性控制檢查評價工作。 兩者的差異還在于兩者的差異還在于“適用范圍適用范圍”。11.111.1流程適用于流程適用于ERPERP層層/MES/MES層層/PCS/PCS層三層架構(gòu)中屬于固定資產(chǎn)投資的各類層三層架構(gòu)中屬于固定資產(chǎn)

51、投資的各類ITIT系統(tǒng)建設(shè)，控制點涉及面系統(tǒng)建設(shè)，控制點涉及面廣，但不包括廣，但不包括“終端用戶計算終端用戶計算” 這類這類“小應(yīng)用系統(tǒng)小應(yīng)用系統(tǒng)”內(nèi)容；而內(nèi)容；而ITIT一般一般性控制僅針對性控制僅針對與財務(wù)報告生成過程相關(guān)并產(chǎn)生影響的與財務(wù)報告生成過程相關(guān)并產(chǎn)生影響的ITIT系統(tǒng)（主要屬系統(tǒng)（主要屬ERPERP層面）。層面）。 當(dāng)然當(dāng)然ITIT一般性控制也是對一般性控制也是對11.111.1業(yè)務(wù)流程中關(guān)于與財務(wù)報告生成有關(guān)業(yè)務(wù)流程中關(guān)于與財務(wù)報告生成有關(guān)的的ITIT系統(tǒng)系統(tǒng)某些控制活動的細(xì)化，兩者互為補(bǔ)充。某些控制活動的細(xì)化，兩者互為補(bǔ)充。43三、幾點說明和要求三、幾點說明和要求2.2.認(rèn)

52、真做好認(rèn)真做好ITIT系統(tǒng)范圍的界定工作系統(tǒng)范圍的界定工作 按照按照SOXSOX法案要求，為保證財務(wù)報告的準(zhǔn)確、安全、完整和合規(guī)性，法案要求，為保證財務(wù)報告的準(zhǔn)確、安全、完整和合規(guī)性，必須對與財務(wù)報告生成過程相關(guān)并產(chǎn)生影響的必須對與財務(wù)報告生成過程相關(guān)并產(chǎn)生影響的ITIT系統(tǒng)進(jìn)行系統(tǒng)進(jìn)行“ITIT一般性一般性控制控制”檢查評價。所以，合理、準(zhǔn)確地界定檢查評價。所以，合理、準(zhǔn)確地界定ITIT系統(tǒng)范圍是每個企業(yè)必系統(tǒng)范圍是每個企業(yè)必須認(rèn)真考慮的一個問題。須認(rèn)真考慮的一個問題。 ITIT一般性控制檢查評價是圍繞與財務(wù)報告生成過程相關(guān)并產(chǎn)生影一般性控制檢查評價是圍繞與財務(wù)報告生成過程相關(guān)并產(chǎn)生影響的信

53、息系統(tǒng)開展。響的信息系統(tǒng)開展。一般的做法，按照企業(yè)財務(wù)報告生成過程，畫出一般的做法，按照企業(yè)財務(wù)報告生成過程，畫出支持財務(wù)報告生成過程的支持財務(wù)報告生成過程的ITIT系統(tǒng)關(guān)系圖，然后進(jìn)行界定，確定出系統(tǒng)關(guān)系圖，然后進(jìn)行界定，確定出ITIT一一般性控制檢查評價的般性控制檢查評價的ITIT系統(tǒng)（包括電子表格等）范圍；財務(wù)報告生成系統(tǒng)（包括電子表格等）范圍；財務(wù)報告生成不依賴于計算機(jī)計算結(jié)果的不依賴于計算機(jī)計算結(jié)果的ITIT系統(tǒng)則可以不計在內(nèi)。系統(tǒng)則可以不計在內(nèi)。44二、二、ITIT一般性控制檢查評價內(nèi)容和方法一般性控制檢查評價內(nèi)容和方法45二、二、ITIT一般性控制檢查評價內(nèi)容和方法一般性控制檢查

54、評價內(nèi)容和方法46三、幾點說明和要求三、幾點說明和要求 企業(yè)所界定出進(jìn)行企業(yè)所界定出進(jìn)行ITIT一般性控制檢查評價的一般性控制檢查評價的ITIT系統(tǒng)系統(tǒng)（包括電子表格等），如果超出了信息部提出的（包括電子表格等），如果超出了信息部提出的ERPERP、財務(wù)報表系統(tǒng)、財務(wù)管理信息系統(tǒng)的范圍，則請仿照財務(wù)報表系統(tǒng)、財務(wù)管理信息系統(tǒng)的范圍，則請仿照相應(yīng)的模板進(jìn)行控制矩陣、工作底稿的設(shè)計。相應(yīng)的模板進(jìn)行控制矩陣、工作底稿的設(shè)計。47三、幾點說明和要求三、幾點說明和要求 3. 3.重視規(guī)章制度的建設(shè)和執(zhí)行重視規(guī)章制度的建設(shè)和執(zhí)行 健全的規(guī)章制度，行之有效的管理辦法，是信息系統(tǒng)建設(shè)、投運、健全的規(guī)章制度，行

55、之有效的管理辦法，是信息系統(tǒng)建設(shè)、投運、平穩(wěn)運行的重要保證。在平穩(wěn)運行的重要保證。在ITIT一般性控制檢查評價中，我們將涉及到一一般性控制檢查評價中，我們將涉及到一系列的管理制度和辦法，這就要求各企業(yè)充分重視規(guī)章制度的建設(shè)，系列的管理制度和辦法，這就要求各企業(yè)充分重視規(guī)章制度的建設(shè)，并隨著需求的變化和發(fā)展，不斷修訂和完善。在這方面我們不少企業(yè)并隨著需求的變化和發(fā)展，不斷修訂和完善。在這方面我們不少企業(yè)做得較好，有豐富的經(jīng)驗。做得較好，有豐富的經(jīng)驗。 同時，更要強(qiáng)調(diào)執(zhí)行。制度建立不容易，制度的執(zhí)行更不容易，同時，更要強(qiáng)調(diào)執(zhí)行。制度建立不容易，制度的執(zhí)行更不容易，這次這次ITIT一般性控制檢查評價

56、工作，就是對我們以往制度建設(shè)和執(zhí)行情一般性控制檢查評價工作，就是對我們以往制度建設(shè)和執(zhí)行情況的一次綜合性檢查和考核。況的一次綜合性檢查和考核。48三、幾點說明和要求三、幾點說明和要求 4. 4.重視文檔記錄重視文檔記錄 整個試點檢查過程中，請注意必須保留所有評價工作的底稿和整個試點檢查過程中，請注意必須保留所有評價工作的底稿和記記錄錄，其中應(yīng)包括，其中應(yīng)包括測試地點、測試時間、測試人、復(fù)核人、測試流程、測試地點、測試時間、測試人、復(fù)核人、測試流程、控制點、測試方法、所選樣本、測試結(jié)果、測試結(jié)論及整改建議等，控制點、測試方法、所選樣本、測試結(jié)果、測試結(jié)論及整改建議等，匯總、分析企業(yè)的內(nèi)控缺陷并形成書面評價報告，并認(rèn)真將測試檢查匯總、分析企業(yè)的內(nèi)控缺陷并形成書面評價報告，并認(rèn)真將測試檢查評價文檔編號裝訂成冊。評價文檔編號裝訂成冊。 對與財務(wù)報告生成相關(guān)的對與財務(wù)報告生成相關(guān)的ITIT系統(tǒng)的系統(tǒng)的ITIT一般性控制測試檢查評價記一般性控制測試檢查評價記錄是錄是SOXSOX法案對管理層評價有效性的一項證據(jù)，因為有關(guān)的內(nèi)控記錄法案對管理層評價有效性的一項證據(jù)，因為有關(guān)的內(nèi)控記錄不充分是財務(wù)報