解决方案上市公司集团公司内控体系建设解决方案.pptxVIP

第一部分ERP环境下的企业管控构建思路第二部分第三部分企业如何利用ERP系统构建内控体系企业智能管控平台设计思路第四部分企业审计业务-内部控制审计及评价 目 录审计业务信息管控风险管控内部控制企业管控的三条管理线1、集团管控体系由三个部分构成，即管控框架、组织体系和多个管控子体系，这三个部分共同构成管控体系。2、由以下核心子体系和其他可选子体系共同构成一个集团的管控体系的根基3、管控框架结合多个子体系,通过制度与流程的衔接构成一个闭环操作的管控体系集团管控体系企业管控条线自身的内部控制建设治理控制宏观管理治理导向集团战略宏观调控母子治理结构价值创造制度输出治理体系优化企业内控体系随业务和信息化建设制度整合与输出约束与监督治理体系的运行内控与风险组织整合业务条线子体系管控条线子体系职能条线子体系营销管控供应链管控品牌管控研发管控财务管控战略管控人力资源管控文化管控内外部监管企业如何进行管控？组织架构发展战略人力资源社会责任企业文化资金活动采购业务资产管理销售业务研究与开发工程项目担保业务业务外包财务报告全面预算内部信息传递合同管理信息系统为了发现已出现的不利事项而进行的控制，它可以为管理层提供有关预防性控制有效性的反馈信息。检查性控制预防性控制为了防止错误和舞弊的发生而采取的控制。为了确保实现有利结果而采取的控制。各种政策、指南和手册等都属于指导性控制。指导性控制为了纠正已发生的不利事项而采取的控制措施。纠正性控制包括一般控制和应用控制:一般控制包括规划与组织控制、系统开发控制、硬软件控制、安全控制、操作控制、数据资源控制、灾难恢复控制和系统维护控制；应用控制旨在对应用处理进行控制。许多应用控制依赖于计算机化的编辑校验，这些校验包括数据的格式、存在性及合理性等，恰当设计的校验有助于确保交易处理的完整性、准确性以及授权和有效性。应用控制包括输入控制、处理控制、输出控制。信息系统控制内部控制的种类及主要作用职责分工控制授权控制内部控制建设必须是以信息化为基础审核批准控制预算控制控制措施财产保护控制会计系统控制内部报告控制经济活动控制绩效考核控制信息技术控制1、向系统管理经理和系统开发经理询问有关系统维护的政策和程序。2、检查系统开发经理对程序变更的审批情况，并确定是否所有程序变更都记录在程序库更新报告和系统日志中。1、检查系统开发过程是否有内部审计人员参与，在结束时内审人员是否进行审查评价。2、检查系统开发周期的文档记录是否准确完整，确认系统开发活动是否符合既定的政策和规划。1、检查员工的分工情况，确定是否贯彻了不相容职责分离的原则。2、查明重要员工休假时，对其工作如何安排，是否违背了不相容职责分离的原则。3、现场观察和询问与组织控制有关的操作。1、向信息技术经理和系统管理经理询问了解灾难恢复计划。2、检查灾难恢复计划测试文件。灾难恢复控制系统开发控制系统维护控制组织控制1、检查各种操作手册。检查操作日志并就出现的事件和采取的行动询问有关操作人员。2、观察一些部门的具体操作，观察IT部门的活动，包括备份、数据下载活动。操作控制1、向IT部门经理和系统管理经理了解和讨论有关备份的政策。2、询问在何种情况下需要恢复系统，检查何时恢复过系统，并检查恢复系统那一天的手工日志和系统日志，确认是否成功恢复。备份与恢复控制1、获取用户访问权和文件权限的打印资料，并向系统管理经理做进一步了解。2、询问操作系统和数据库管理系统的执行设置情况，并与系统管理经理一起核查一些重要参数。访问控制信息系统控制（一般控制）一般控制测试一般控制所采用的控制措施普遍适用于所有的应用系统，为应用系统提供了环境上的保证真实性测试着重用来核实访问系统的人员身份，数据通信和数据交换的真实性。可以通过身份识别码、通行口令、有效的供应商编码及授权清单，进行真实性控制和测试。审计线索测试用于审查应用程序建立了充分的审计线索，包括具有以下方面的证据：应用程序将所有交易记录在交易日志中、将数据值记入正确的账户中、建立完整的交易列表、生成错误文件并报告了所有例外事项。取整错误测试用于测试验证取整过程的正确性。准确性测试用于检查系统只处理符合特定条件的数据。包括范围测试、字段测试和上下限测试取整错误测试准确性测试审计线索测试真实性测试完整性测试用于测试批处理中有无在一条记录中遗漏数据项或在一批记录中丢失记录的情况，测试的种类有字段测试、记录顺序测试和控制总数测试等。完整性测试冗余测试用于测试验证应用程序对每条记录只处理一次，没有重复处理。包括核对批控制总数、记录个数和财务控制总数。冗余测试访问控制测试用于测试验证应用程序，可以防止用户未经授权非法访问数据，可以通过口令、权限表、数据加密、用户定义程序进行访问控制和测试。访问控制测试信息系统控制（应用控制）应用控制测试输入控制包括原始单证