财务管理丶财务报表it一般性控制矩阵和底稿.pdf

财务管理、财务报表系统 IT一般性控制矩阵和工作底稿 财务管理、财务报表系统IT一般性控制矩阵和工作底稿  SOX法案对IT一般性控制的要求  财务管理、财务报表系统IT一般性控制  各控制点测试结果、测试结论的填报要求 sunlih@ 中国石化信息系统管理部 2 SOX法案对IT一般性控制的要求  为什么要对“IT一般性控制”的有效性进行检查评价  2002年7月30日，美国总统布什签发了《萨班斯-奥克 斯利法案(SOX法案) 》，对在美国上市的企业提出了 一系列要求。  2006年4月30日 IT治理协会ITGI发布《IT Control Objectives for SOX，2 Edition》, 对上市公司的 IT控制提出了要求  为保证财务报告的完整性、准确性，SOX法案要求对财 务报告相关的信息系统进行“IT一般性控制”是否有 效的检查评价。 中国石化信息系统管理部 3 SOX法案对IT一般性控制的要求  如何界定与财务报告相关的系统  界定相关的主要原则：与财务报告相关，间接或直接为财务报告的生成提供 了有关信息。  毕马威要求，首先应管理层自己判断，一般讲，管理层纳入审计范围的系统 应比毕马威外审的范围大。  ERP系统、财务管理系统、财务报表系统肯定与财务报告相关。  毕马威关于IC卡系统的建议，从中国石化整体讲，IC卡肯定要纳入审计范 围，具体到每个省，可针对具体情况进行判断。主要判断依据，从IT角度， 查看油站日报表、发卡网点预收款进入财务报表的方式，是手工还是依赖IC 卡系统；从财务角度，查看IC卡预收账款占企业总预收款的比例， IC卡销 售额占总销售额的比例。  总部统一实施系统由总部统一设计IT一般性控制矩阵和工作底稿，下发企业 填报；企业特有系统需自己设计IT一般性控制矩阵和工作底稿。 中国石化信息系统管理部 4 SOX法案对IT一般性控制的要求  “IT一般性控制”的主要检查评价内容  企业整体层面的IT控制 包括控制环境、风险评估、信息和沟通、监控  信息系统的IT一般性控制 程序和数据访问、程序变更、程序开发、系统运行 IT基础设施、终端用户计算 中国石化信息系统管理部 5 财务管理、财务报表系统IT一般性控制  信息部会同财务部、普安联盟共同设计了现有财务管理系 统、财务报表系统的IT一般性控制矩阵和工作底稿，特别 参考了《中国石油化工股份有限公司财务信息管理系统系 统管理办法》（财信〔2003〕100号文），设计主要原则为 ：在满足SOX法案的前提下，尽可能贴近企业应用的实际情 况，少增加企业填报的工作量。  ERP上线企业－－ERP系统 财务报表系统 12个控制点  ERP未上线企业－－财务管理信息系统 11个控制点 （含今年正在实施ERP 的企业） 中国石化信息系统管理部 6 财务管理、财务报表IT一般性控制控制点介绍 序 号 控制点名称 财务管理系统 财务报