财务管理财务报表it一般性控制矩阵和底稿v21(20060823培训下发稿).ppt

财务管理、财务报表系统IT一般性控制矩阵和工作底稿 财务管理、财务报表系统IT一般性控制矩阵和工作底稿 SOX法案对IT一般性控制的要求 财务管理、财务报表系统IT一般性控制 各控制点测试结果、测试结论的填报要求 SOX法案对IT一般性控制的要求 SOX法案对IT一般性控制的要求 SOX法案对IT一般性控制的要求 财务管理、财务报表系统IT一般性控制 财务管理、财务报表IT一般性控制控制点介绍 1、“用户权限管理”控制矩阵 1、“用户权限管理”工作底稿 IT一般性控制矩阵和工作底稿说明 IT一般性控制矩阵和工作底稿说明 IT一般性控制矩阵和工作底稿说明 IT一般性控制矩阵和工作底稿说明 IT一般性控制矩阵和工作底稿说明 IT一般性控制矩阵和工作底稿说明 IT一般性控制矩阵和工作底稿说明 2、“用户账号及访问管理”工作底稿 3、“密码管理”工作底稿 4、“应用系统管理员管理”工作底稿 5、“普通用户管理”工作底稿 6、“系统日志管理”工作底稿 7、“第三方人员管理”工作底稿 8、“系统变更管理”工作底稿 9、“ERP报表接口管理”工作底稿 10、“报表上报管理”工作底稿 11、“系统备份及恢复”工作底稿 12、“系统监控、维护及故障处理”工作底稿 问题和建议（小结） 毕马威外审初审的工作流程： 要求企业提供内审的资料 提供人事部门的员工清单、包含姓名、岗位职责、新进员工、离职员工、岗位变动员工、在哪些系统内有账号等信息； 提供所有信息系统清单及财务报告是否相关的分析报告，包括系统功能、与财务报告的关联情况、系统间的数据交换情况、财务报告是否相关的分析及结论。 列出信息部门负责人及每一系统的负责人，毕马威将访谈。 列出系统中的所有用户清单 提供已做好的矩阵、底稿、自评的结论。 问题和建议（小结） 毕马威外审初审的工作流程： 访谈有关人员，提出需要的文档清单，不满足要求会提出补充文档清单 实地检查、系统测试 去机房查看网络、服务器、安全等情况 系统自动控制的查看系统配置，如密码规则肯定会去试。 手动控制的抽样检查。 提供缺陷清单 同企业确认缺陷情况，要求确定整改措施、责任人、整改时间，并跟踪整改情况。 8月3日－－8月18日，同毕马威一起到浙江石油摸底检查，了解了毕马威外审的一些基本流程。 尽可能讲清楚三点： 1、SOX法案对IT一般性控制的要求，外审检查流程、步骤、检查内容。如果企业存在财务报告相关的自建系统，指导和帮助企业设计IT一般性控制矩阵和工作底稿。 2、按照SOX法案要求，总部设计财务管理、财务报表系统IT一般性控制矩阵和工作底稿的情况，矩阵和底稿内容与企业执行情况有差异时，企业可根据本企业实际情况修改完善上述矩阵和工作底稿。 3、逐控制点讲一下如何填报矩阵和工作底稿中的测试结果、测试结论，应收集、补填哪些文档资料。 IT系统与财务报告流程是紧密联系的，目前多依赖信息系统、电子表格出具财务报告。 与财务报告相关的重要法案、法规一览表 2002年7月30日 美国总统布什签发了《萨班斯-奥克斯利法案(SOX法案) 》 2002年8月29日 美国证券交易委员会根据《SOX法案》第302条款的要求，颁布 对有关条款的最终条例 2003年6月5日 美国证券交易委员会根据《SOX法案》第404条款的要求，颁布对有关条款的最终条例和对第 302条款的补充修订 2004年3月9日 美国上市公司会计监管委员会（PCAOB）发布第2号审计准则 2004年5月12日 美国ITGI发布《IT Control Objectives for SOX》 2004年6月17日 美国证交会批准 PCAOB 发布第2号审计准则 2006年4月30日 ITGI发布《IT Control Objectives for SOX，2 Edition》 ITGI: IT Governance Institute IT治理协会 SEC:美国证券交易委员会 PCAOB:美国上市公司会计监管委员会 1、以一个控制点为例，讲讲IT一般性控制矩阵、工作底稿的结构，主要解释表头每一项的含义。 2、矩阵是一张控制点的整体情况表，通过编号索引指向工作底稿。 1、工作底稿是支撑“矩阵”中测试结论成立的测试步骤、测试结果、测试结论的测试表。 1、检查企业用户密码设置情况，如果不是数字与字符的组合，过于简单，都要求用户进行修改。 2、取得密码少于6位不通过的系统截屏。 3、回去查系统默认账号的口令是不是都改了。按sox规定，这一项不改是较大漏洞。 数据库、操作系统管理员可由同一人担任，应用系统管理员另外一人担任。 上述管理员不可以进行具体业务操作。 1、如有更换需有审批记录，并有交接记录。 2、取得应用系统管理员的权限