財(cái)務(wù)管理、財(cái)務(wù)報(bào)表it一般性控制矩陣和底稿v21(20060823培訓(xùn)下發(fā)稿)

1、財(cái)務(wù)管理、財(cái)務(wù)報(bào)表系統(tǒng)財(cái)務(wù)管理、財(cái)務(wù)報(bào)表系統(tǒng)ITIT一般性控制矩陣和工作底稿一般性控制矩陣和工作底稿中國(guó)石化信息系統(tǒng)管理部中國(guó)石化信息系統(tǒng)管理部2財(cái)務(wù)管理、財(cái)務(wù)報(bào)表系統(tǒng)財(cái)務(wù)管理、財(cái)務(wù)報(bào)表系統(tǒng)ITIT一般性控制矩陣和工作底稿一般性控制矩陣和工作底稿l SOX法案對(duì)法案對(duì)IT一般性控制的要求一般性控制的要求l 財(cái)務(wù)管理、財(cái)務(wù)報(bào)表系統(tǒng)財(cái)務(wù)管理、財(cái)務(wù)報(bào)表系統(tǒng)IT一般性控制一般性控制l 各控制點(diǎn)測(cè)試結(jié)果、測(cè)試結(jié)論的填報(bào)要求各控制點(diǎn)測(cè)試結(jié)果、測(cè)試結(jié)論的填報(bào)要求信息部項(xiàng)目處信息部項(xiàng)目處 孫麗華孫麗華 64998127 普普 安安 聯(lián)聯(lián) 盟盟 李李 軍軍 64999350國(guó)石化信息系

2、統(tǒng)管理部中國(guó)石化信息系統(tǒng)管理部3SOXSOX法案對(duì)法案對(duì)ITIT一般性控制的要求一般性控制的要求p 為什么要對(duì)為什么要對(duì)“ITIT一般性控制一般性控制”的的有效性進(jìn)行檢查評(píng)價(jià)有效性進(jìn)行檢查評(píng)價(jià)l 20022002年年7 7月月3030日，美國(guó)總統(tǒng)布什簽發(fā)了日，美國(guó)總統(tǒng)布什簽發(fā)了薩班斯薩班斯- -奧克奧克斯利法案斯利法案(SOX(SOX法案法案) ) ，對(duì)在美國(guó)上市的企業(yè)提出了，對(duì)在美國(guó)上市的企業(yè)提出了一系列要求。一系列要求。l 20062006年年4 4月月3030日日 IT IT治理協(xié)會(huì)治理協(xié)會(huì)ITGIITGI發(fā)布發(fā)布IT Control IT Control Objectives for

3、SOXObjectives for SOX，2 Edition2 Edition, , 對(duì)上市公司的對(duì)上市公司的ITIT控制提出了要求控制提出了要求l 為保證財(cái)務(wù)報(bào)告的完整性、準(zhǔn)確性，為保證財(cái)務(wù)報(bào)告的完整性、準(zhǔn)確性，SOXSOX法案要求對(duì)財(cái)法案要求對(duì)財(cái)務(wù)報(bào)告相關(guān)的信息系統(tǒng)進(jìn)行務(wù)報(bào)告相關(guān)的信息系統(tǒng)進(jìn)行“IT“IT一般性控制一般性控制”是否有效是否有效的檢查評(píng)價(jià)。的檢查評(píng)價(jià)。中國(guó)石化信息系統(tǒng)管理部中國(guó)石化信息系統(tǒng)管理部4SOXSOX法案對(duì)法案對(duì)ITIT一般性控制的要求一般性控制的要求p 如何界定與財(cái)務(wù)報(bào)告相關(guān)的系統(tǒng)如何界定與財(cái)務(wù)報(bào)告相關(guān)的系統(tǒng)l界定相關(guān)的主要原則：與財(cái)務(wù)報(bào)告相關(guān)，間接或直接為財(cái)務(wù)報(bào)

4、告的生成提供界定相關(guān)的主要原則：與財(cái)務(wù)報(bào)告相關(guān)，間接或直接為財(cái)務(wù)報(bào)告的生成提供了有關(guān)信息。了有關(guān)信息。l畢馬威要求，首先應(yīng)管理層自己判斷，一般講，管理層納入審計(jì)范圍的系統(tǒng)畢馬威要求，首先應(yīng)管理層自己判斷，一般講，管理層納入審計(jì)范圍的系統(tǒng)應(yīng)比畢馬威外審的范圍大。應(yīng)比畢馬威外審的范圍大。lERP系統(tǒng)、財(cái)務(wù)管理系統(tǒng)、財(cái)務(wù)報(bào)表系統(tǒng)肯定與財(cái)務(wù)報(bào)告相關(guān)。系統(tǒng)、財(cái)務(wù)管理系統(tǒng)、財(cái)務(wù)報(bào)表系統(tǒng)肯定與財(cái)務(wù)報(bào)告相關(guān)。l畢馬威關(guān)于畢馬威關(guān)于IC卡系統(tǒng)的建議，從中國(guó)石化整體講，卡系統(tǒng)的建議，從中國(guó)石化整體講，IC卡肯定要納入審計(jì)范圍，卡肯定要納入審計(jì)范圍，具體到每個(gè)省，可針對(duì)具體情況進(jìn)行判斷。主要判斷依據(jù)，從具體到每個(gè)省

5、，可針對(duì)具體情況進(jìn)行判斷。主要判斷依據(jù)，從IT角度，查看角度，查看油站日?qǐng)?bào)表、發(fā)卡網(wǎng)點(diǎn)預(yù)收款進(jìn)入財(cái)務(wù)報(bào)表的方式，是手工還是依賴油站日?qǐng)?bào)表、發(fā)卡網(wǎng)點(diǎn)預(yù)收款進(jìn)入財(cái)務(wù)報(bào)表的方式，是手工還是依賴IC卡系卡系統(tǒng)；從財(cái)務(wù)角度，查看統(tǒng)；從財(cái)務(wù)角度，查看IC卡預(yù)收賬款占企業(yè)總預(yù)收款的比例，卡預(yù)收賬款占企業(yè)總預(yù)收款的比例， IC卡銷(xiāo)售額卡銷(xiāo)售額占總銷(xiāo)售額的比例。占總銷(xiāo)售額的比例。l總部統(tǒng)一實(shí)施系統(tǒng)由總部統(tǒng)一設(shè)計(jì)總部統(tǒng)一實(shí)施系統(tǒng)由總部統(tǒng)一設(shè)計(jì)IT一般性控制矩陣和工作底稿，下發(fā)企業(yè)一般性控制矩陣和工作底稿，下發(fā)企業(yè)填報(bào)；企業(yè)特有系統(tǒng)需自己設(shè)計(jì)填報(bào)；企業(yè)特有系統(tǒng)需自己設(shè)計(jì)IT一般性控制矩陣和工作底稿。一般性控制矩陣和

6、工作底稿。中國(guó)石化信息系統(tǒng)管理部中國(guó)石化信息系統(tǒng)管理部5SOXSOX法案對(duì)法案對(duì)ITIT一般性控制的要求一般性控制的要求p “IT一般性控制一般性控制”的主要檢查的主要檢查評(píng)價(jià)內(nèi)容評(píng)價(jià)內(nèi)容l 企業(yè)整體層面的企業(yè)整體層面的IT控制控制包括控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、信息和溝通、監(jiān)控包括控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、信息和溝通、監(jiān)控l 信息系統(tǒng)的信息系統(tǒng)的IT一般性控制一般性控制程序和數(shù)據(jù)訪問(wèn)、程序變更、程序和數(shù)據(jù)訪問(wèn)、程序變更、程序開(kāi)發(fā)、系統(tǒng)運(yùn)行程序開(kāi)發(fā)、系統(tǒng)運(yùn)行IT基礎(chǔ)設(shè)施基礎(chǔ)設(shè)施、終端用戶計(jì)算終端用戶計(jì)算 中國(guó)石化信息系統(tǒng)管理部中國(guó)石化信息系統(tǒng)管理部6財(cái)務(wù)管理、財(cái)務(wù)報(bào)表系統(tǒng)財(cái)務(wù)管理、財(cái)務(wù)報(bào)表系統(tǒng)ITIT一般性

7、控制一般性控制l 信息部會(huì)同財(cái)務(wù)部、普安聯(lián)盟共同設(shè)計(jì)了現(xiàn)有財(cái)務(wù)管理系信息部會(huì)同財(cái)務(wù)部、普安聯(lián)盟共同設(shè)計(jì)了現(xiàn)有財(cái)務(wù)管理系統(tǒng)、財(cái)務(wù)報(bào)表系統(tǒng)的統(tǒng)、財(cái)務(wù)報(bào)表系統(tǒng)的ITIT一般性控制矩陣和工作底稿，特別一般性控制矩陣和工作底稿，特別參考了參考了中國(guó)石油化工股份有限公司財(cái)務(wù)信息管理系統(tǒng)系中國(guó)石油化工股份有限公司財(cái)務(wù)信息管理系統(tǒng)系統(tǒng)管理辦法統(tǒng)管理辦法（財(cái)信（財(cái)信20032003100100號(hào)文），設(shè)計(jì)主要原則為號(hào)文），設(shè)計(jì)主要原則為：在滿足：在滿足SOXSOX法案的前提下，盡可能貼近企業(yè)應(yīng)用的實(shí)際情法案的前提下，盡可能貼近企業(yè)應(yīng)用的實(shí)際情況，少增加企業(yè)填報(bào)的工作量。況，少增加企業(yè)填報(bào)的工作量。l ERP上線

8、企業(yè)上線企業(yè)ERP系統(tǒng)系統(tǒng) 財(cái)務(wù)報(bào)表系統(tǒng)財(cái)務(wù)報(bào)表系統(tǒng) 12個(gè)控制點(diǎn)個(gè)控制點(diǎn)l ERP未上線企業(yè)財(cái)務(wù)管理信息系統(tǒng)未上線企業(yè)財(cái)務(wù)管理信息系統(tǒng) 11個(gè)控制點(diǎn)個(gè)控制點(diǎn) （含今年正在實(shí)施（含今年正在實(shí)施ERP的企業(yè)）的企業(yè)）中國(guó)石化信息系統(tǒng)管理部中國(guó)石化信息系統(tǒng)管理部7財(cái)務(wù)管理、財(cái)務(wù)報(bào)表財(cái)務(wù)管理、財(cái)務(wù)報(bào)表ITIT一般性控制控制點(diǎn)介紹一般性控制控制點(diǎn)介紹序序 號(hào)號(hào)控制點(diǎn)名稱控制點(diǎn)名稱財(cái)務(wù)管理系統(tǒng)財(cái)務(wù)管理系統(tǒng)財(cái)務(wù)報(bào)表系統(tǒng)財(cái)務(wù)報(bào)表系統(tǒng)一、程序和數(shù)據(jù)訪問(wèn)一、程序和數(shù)據(jù)訪問(wèn)1 1用戶權(quán)限管理用戶權(quán)限管理2 2用戶賬號(hào)及訪問(wèn)管理用戶賬號(hào)及訪問(wèn)管理3 3密碼管理密碼管理4 4系統(tǒng)管理員管理系統(tǒng)管理員管理5 5普通用戶

9、管理普通用戶管理6 6系統(tǒng)日志管理系統(tǒng)日志管理7 7第三方人員管理第三方人員管理二、程序變更二、程序變更8 8系統(tǒng)變更管理系統(tǒng)變更管理三、系統(tǒng)運(yùn)行三、系統(tǒng)運(yùn)行9 9ERPERP報(bào)表接口管理報(bào)表接口管理1010報(bào)表上報(bào)管理報(bào)表上報(bào)管理1111系統(tǒng)備份及恢復(fù)系統(tǒng)備份及恢復(fù)1212系統(tǒng)監(jiān)控、維護(hù)及故障處理系統(tǒng)監(jiān)控、維護(hù)及故障處理中國(guó)石化信息系統(tǒng)管理部中國(guó)石化信息系統(tǒng)管理部81 1、“用戶權(quán)限管理用戶權(quán)限管理”控制矩陣控制矩陣序序號(hào)號(hào)控制目標(biāo)控制目標(biāo)控制點(diǎn)控制點(diǎn)控制活動(dòng)屬性控制活動(dòng)屬性相關(guān)制度相關(guān)制度和文檔和文檔測(cè)試結(jié)果測(cè)試結(jié)果備備注注編編號(hào)號(hào)控控制制點(diǎn)點(diǎn)控制點(diǎn)描述控制點(diǎn)描述控控制制執(zhí)執(zhí)行行人人控控制

10、制頻頻率率自自動(dòng)動(dòng)/ /手手動(dòng)動(dòng)預(yù)預(yù)防防性性/ /檢檢查查性性穿行穿行測(cè)試測(cè)試有效有效否否設(shè)設(shè)計(jì)計(jì)有有效效否否執(zhí)執(zhí)行行有有效效否否修修補(bǔ)補(bǔ)完完成成時(shí)時(shí)間間1 12 23 34 45 56 67 78 89 910101111121213131 14 4一數(shù)據(jù)和程序訪問(wèn)數(shù)據(jù)和程序訪問(wèn)1建立完善的權(quán)限管理機(jī)制，在合理的范圍內(nèi)確保用戶被授予的系統(tǒng)權(quán)限和其崗位職責(zé)相符，防止對(duì)系統(tǒng)的非授權(quán)訪問(wèn)。FRE-DA1用戶權(quán)限管理1、建立完善的用戶權(quán)限管理制度，明確系統(tǒng)相關(guān)人員分工及崗位職責(zé)，確保用戶擁有與其崗位職責(zé)分工相對(duì)應(yīng)的權(quán)限。2、用戶的增刪及其權(quán)限的變更需填寫(xiě)“用戶權(quán)限審批表”，并經(jīng)財(cái)務(wù)部門(mén)負(fù)責(zé)人審批確認(rèn)

11、。3、系統(tǒng)提供了功能權(quán)限、數(shù)據(jù)權(quán)限等權(quán)限分配功能，保證用戶被授予的權(quán)限和其崗位職責(zé)相符。4、財(cái)務(wù)部門(mén)負(fù)責(zé)人應(yīng)每半年檢查一次系統(tǒng)內(nèi)的用戶權(quán)限設(shè)置。財(cái)務(wù)部門(mén)負(fù)責(zé)人每半年手動(dòng)自動(dòng)預(yù)防性檢查性中國(guó)石油化工股份有限公司財(cái)務(wù)信息管理系統(tǒng)系統(tǒng)管理辦法有效有效有效中國(guó)石化信息系統(tǒng)管理部中國(guó)石化信息系統(tǒng)管理部91 1、“用戶權(quán)限管理用戶權(quán)限管理”工作底稿工作底稿序序號(hào)號(hào)控制控制目標(biāo)目標(biāo)控控制制點(diǎn)點(diǎn)編編號(hào)號(hào)控控制制點(diǎn)點(diǎn)控制點(diǎn)描述控制點(diǎn)描述測(cè)試步驟測(cè)試步驟測(cè)試結(jié)果測(cè)試結(jié)果結(jié)論結(jié)論文檔編文檔編號(hào)號(hào)一數(shù)據(jù)和程序訪問(wèn)數(shù)據(jù)和程序訪問(wèn)1建立完善的權(quán)限管理機(jī)制，在合理的范圍內(nèi)確保用戶被授予的系統(tǒng)權(quán)限和其崗位職責(zé)相符，防止對(duì)系統(tǒng)

12、的非授權(quán)訪問(wèn)。FRE-DA1用戶權(quán)限管理1、建立完善的用戶權(quán)限管理制度，明確系統(tǒng)相關(guān)人員分工及崗位職責(zé)，確保用戶擁有與其崗位職責(zé)分工相對(duì)應(yīng)的權(quán)限。2、用戶的增刪及其權(quán)限的變更需填寫(xiě)“用戶權(quán)限審批表”，并經(jīng)財(cái)務(wù)部門(mén)負(fù)責(zé)人審批確認(rèn)。3、系統(tǒng)提供了功能權(quán)限、數(shù)據(jù)權(quán)限等權(quán)限分配功能，保證用戶被授予的權(quán)限和其崗位職責(zé)相符。4、財(cái)務(wù)部門(mén)負(fù)責(zé)人應(yīng)每半年檢查一次系統(tǒng)內(nèi)的用戶權(quán)限設(shè)置。設(shè)計(jì)有效性：1、訪談財(cái)務(wù)部門(mén)負(fù)責(zé)人有關(guān)權(quán)限管理制度及權(quán)限申請(qǐng)審批流程。2、查看系統(tǒng)“維護(hù)工具”中權(quán)限分配功能，取得截屏。執(zhí)行有效性：3、檢查“用戶權(quán)限審批表”填寫(xiě)是否及時(shí)齊全，按照系統(tǒng)用戶增刪及變更總數(shù)，隨機(jī)抽取*張“用戶權(quán)限審批

13、表”進(jìn)行檢查。4、登錄財(cái)務(wù)系統(tǒng)“維護(hù)工具”查看用戶權(quán)限，取得截屏，確認(rèn)是否和其申請(qǐng)審批的權(quán)限相符。5、查看用戶及權(quán)限每半年的審核記錄（打印系統(tǒng)用戶清單，相關(guān)責(zé)任人審核并簽字，有與崗位不符情況，及時(shí)變更權(quán)限，寫(xiě)明原因和處理情況）。設(shè)計(jì)有效執(zhí)行有效穿行有效FRE-DA1-1.1FRE-DA1-1.2FRE-DA1-1.3FRE-DA1-1.4FRE-DA1-1.5FRE-DA1-1.6FRE-DA1-1.7中國(guó)石化信息系統(tǒng)管理部中國(guó)石化信息系統(tǒng)管理部10ITIT一般性控制矩陣和工作底稿說(shuō)明一般性控制矩陣和工作底稿說(shuō)明l 矩陣和工作底稿中的相同列（矩陣和工作底稿中的相同列（4列）：列）：控制目標(biāo)控制

14、目標(biāo)：防范風(fēng)險(xiǎn)的目標(biāo)描述防范風(fēng)險(xiǎn)的目標(biāo)描述矩陣中矩陣中“編號(hào)編號(hào)”與工作底稿中與工作底稿中“控制點(diǎn)編號(hào)控制點(diǎn)編號(hào)” ： FMIS-DA1 為兩張表建立鏈接關(guān)系。為兩張表建立鏈接關(guān)系。控制點(diǎn)名稱：控制點(diǎn)名稱：用戶權(quán)限管理用戶權(quán)限管理控制點(diǎn)描述控制點(diǎn)描述：管理規(guī)定及申批流程；信息系統(tǒng)功：管理規(guī)定及申批流程；信息系統(tǒng)功能；定期檢查情況能；定期檢查情況中國(guó)石化信息系統(tǒng)管理部中國(guó)石化信息系統(tǒng)管理部11ITIT一般性控制矩陣和工作底稿說(shuō)明一般性控制矩陣和工作底稿說(shuō)明l控制執(zhí)行人控制執(zhí)行人：控制點(diǎn)的責(zé)任人、審批人，：控制點(diǎn)的責(zé)任人、審批人， 外審時(shí)的被訪談人外審時(shí)的被訪談人l控制頻率控制頻率：固定頻率，如定

15、期檢查、備份，按頻率準(zhǔn)備相關(guān)資料固定頻率，如定期檢查、備份，按頻率準(zhǔn)備相關(guān)資料 按需發(fā)生的，與樣本總數(shù)有關(guān)，關(guān)系到抽樣數(shù)量按需發(fā)生的，與樣本總數(shù)有關(guān)，關(guān)系到抽樣數(shù)量 l自動(dòng)自動(dòng)/手動(dòng)手動(dòng)：自動(dòng)：系統(tǒng)自動(dòng)實(shí)現(xiàn)的，需截屏：自動(dòng)：系統(tǒng)自動(dòng)實(shí)現(xiàn)的，需截屏 手動(dòng)：管理規(guī)定、簽字審批、定期檢查，抽樣檢查手動(dòng)：管理規(guī)定、簽字審批、定期檢查，抽樣檢查l預(yù)防性預(yù)防性/檢查性檢查性：預(yù)防性：事先的防范措施，如管理制度、申請(qǐng)審批流程、預(yù)防性：事先的防范措施，如管理制度、申請(qǐng)審批流程、 系統(tǒng)自動(dòng)控制功能；系統(tǒng)自動(dòng)控制功能；檢查性：事后檢查的措施，日志定期檢查、檢查性：事后檢查的措施，日志定期檢查、 帳號(hào)定期審核等。帳

16、號(hào)定期審核等。中國(guó)石化信息系統(tǒng)管理部中國(guó)石化信息系統(tǒng)管理部12ITIT一般性控制矩陣和工作底稿說(shuō)明一般性控制矩陣和工作底稿說(shuō)明l 相關(guān)制度和文檔：相關(guān)制度和文檔：中國(guó)石油化工股份有限公司財(cái)務(wù)信息中國(guó)石油化工股份有限公司財(cái)務(wù)信息管理系統(tǒng)系統(tǒng)管理辦法管理系統(tǒng)系統(tǒng)管理辦法中國(guó)石化財(cái)信中國(guó)石化財(cái)信2003100號(hào)；號(hào)；中國(guó)石油化工股份有限公司管理信息系統(tǒng)應(yīng)用管理辦法中國(guó)石油化工股份有限公司管理信息系統(tǒng)應(yīng)用管理辦法已評(píng)審，近期下發(fā)。企業(yè)需補(bǔ)充自己制定的一些相關(guān)管理已評(píng)審，近期下發(fā)。企業(yè)需補(bǔ)充自己制定的一些相關(guān)管理辦法和規(guī)范。辦法和規(guī)范。l 設(shè)計(jì)設(shè)計(jì)、穿行、執(zhí)行是否有效：穿行、執(zhí)行是否有效：有效、無(wú)效、未

17、發(fā)生、不適用有效、無(wú)效、未發(fā)生、不適用l 修補(bǔ)完成時(shí)間：修補(bǔ)完成時(shí)間：如果有缺陷，寫(xiě)明修補(bǔ)完成的計(jì)劃時(shí)間，如果有缺陷，寫(xiě)明修補(bǔ)完成的計(jì)劃時(shí)間，需整改的問(wèn)題描述、整改措施等填入需整改的問(wèn)題描述、整改措施等填入“系統(tǒng)整體評(píng)估表系統(tǒng)整體評(píng)估表”。中國(guó)石化信息系統(tǒng)管理部中國(guó)石化信息系統(tǒng)管理部13ITIT一般性控制矩陣和工作底稿說(shuō)明一般性控制矩陣和工作底稿說(shuō)明l 設(shè)計(jì)有效設(shè)計(jì)有效：檢查設(shè)計(jì)能否有效實(shí)現(xiàn)控制目標(biāo)、防范控制風(fēng)：檢查設(shè)計(jì)能否有效實(shí)現(xiàn)控制目標(biāo)、防范控制風(fēng)險(xiǎn)。如檢查管理制度、審批流程、系統(tǒng)功能是否能起到防險(xiǎn)。如檢查管理制度、審批流程、系統(tǒng)功能是否能起到防范風(fēng)險(xiǎn)的目的。范風(fēng)險(xiǎn)的目的。l 穿行測(cè)試有效

18、穿行測(cè)試有效：以一套真實(shí)的例子，把各個(gè)測(cè)試步驟從頭：以一套真實(shí)的例子，把各個(gè)測(cè)試步驟從頭到尾走一遍，證明整個(gè)控制過(guò)程有效。察看申請(qǐng)表、簽字到尾走一遍，證明整個(gè)控制過(guò)程有效。察看申請(qǐng)表、簽字申批情況，打印出系統(tǒng)中用戶權(quán)限設(shè)置，查看與填表權(quán)限申批情況，打印出系統(tǒng)中用戶權(quán)限設(shè)置，查看與填表權(quán)限是否一致。是否一致。l 執(zhí)行有效執(zhí)行有效：多個(gè)的穿行測(cè)試有效。要有一定審計(jì)的樣本，：多個(gè)的穿行測(cè)試有效。要有一定審計(jì)的樣本，隨機(jī)抽取。隨機(jī)抽取。中國(guó)石化信息系統(tǒng)管理部中國(guó)石化信息系統(tǒng)管理部14ITIT一般性控制矩陣和工作底稿說(shuō)明一般性控制矩陣和工作底稿說(shuō)明l測(cè)試步驟：測(cè)試步驟：要合理、充分，要能測(cè)出來(lái)。測(cè)試步驟

19、有很要合理、充分，要能測(cè)出來(lái)。測(cè)試步驟有很多：訪談、查制度、系統(tǒng)查詢、定期檢查、考評(píng)相關(guān)人多：訪談、查制度、系統(tǒng)查詢、定期檢查、考評(píng)相關(guān)人員有無(wú)相關(guān)能力；設(shè)計(jì)、執(zhí)行有效性的步驟分開(kāi)寫(xiě)。員有無(wú)相關(guān)能力；設(shè)計(jì)、執(zhí)行有效性的步驟分開(kāi)寫(xiě)。l測(cè)試結(jié)果：測(cè)試結(jié)果：對(duì)應(yīng)測(cè)試步驟記錄每一步的測(cè)試結(jié)果，并提對(duì)應(yīng)測(cè)試步驟記錄每一步的測(cè)試結(jié)果，并提供相應(yīng)的證據(jù)表單。供相應(yīng)的證據(jù)表單。l文檔編號(hào)文檔編號(hào)： FRE-DA1-1.1FRE-DA1-1.n 測(cè)試相關(guān)測(cè)試相關(guān)記錄文檔編號(hào)。記錄文檔編號(hào)。l簽字表單財(cái)務(wù)用戶權(quán)限審批表（樣表）。簽字表單財(cái)務(wù)用戶權(quán)限審批表（樣表）。l抽樣原則見(jiàn)抽樣原則見(jiàn)“內(nèi)部控制檢查評(píng)價(jià)與考核暫行

20、辦法內(nèi)部控制檢查評(píng)價(jià)與考核暫行辦法”中國(guó)石化信息系統(tǒng)管理部中國(guó)石化信息系統(tǒng)管理部15ITIT一般性控制矩陣和工作底稿說(shuō)明一般性控制矩陣和工作底稿說(shuō)明財(cái)務(wù)用戶權(quán)限審批表財(cái)務(wù)用戶權(quán)限審批表 單位名稱：?jiǎn)挝幻Q：日期：日期：用戶編號(hào)用戶編號(hào)用戶姓名用戶姓名所在部門(mén)所在部門(mén)電電 話話崗位職責(zé)崗位職責(zé)申請(qǐng)類(lèi)型申請(qǐng)類(lèi)型開(kāi)戶開(kāi)戶 變更變更 銷(xiāo)戶銷(xiāo)戶帳號(hào)啟用時(shí)間帳號(hào)啟用時(shí)間帳號(hào)停用帳號(hào)停用時(shí)間時(shí)間帳號(hào)申請(qǐng)帳號(hào)申請(qǐng)（變更）原因（變更）原因權(quán)限要求權(quán)限要求財(cái)務(wù)部門(mén)負(fù)責(zé)人簽字財(cái)務(wù)部門(mén)負(fù)責(zé)人簽字應(yīng)用系統(tǒng)管理員簽字應(yīng)用系統(tǒng)管理員簽字備注備注中國(guó)石化信息系統(tǒng)管理部中國(guó)石化信息系統(tǒng)管理部16ITIT一般性控制矩陣和工作底稿

21、說(shuō)明一般性控制矩陣和工作底稿說(shuō)明l 每個(gè)控制點(diǎn)需要涵蓋的內(nèi)容：每個(gè)控制點(diǎn)需要涵蓋的內(nèi)容： 控制目標(biāo)控制目標(biāo) 控制點(diǎn)控制點(diǎn) 控制點(diǎn)描述控制點(diǎn)描述 控制執(zhí)行人控制執(zhí)行人 測(cè)試步驟測(cè)試步驟 測(cè)試結(jié)果測(cè)試結(jié)果 控制要留下痕跡：測(cè)試相關(guān)證據(jù)文檔控制要留下痕跡：測(cè)試相關(guān)證據(jù)文檔中國(guó)石化信息系統(tǒng)管理部中國(guó)石化信息系統(tǒng)管理部172 2、“用戶賬號(hào)及訪問(wèn)管理用戶賬號(hào)及訪問(wèn)管理”工作底稿工作底稿序序號(hào)號(hào)控控制制目目標(biāo)標(biāo)控控制制點(diǎn)點(diǎn)控制點(diǎn)描述控制點(diǎn)描述測(cè)試步驟測(cè)試步驟一 數(shù)據(jù)和程序訪問(wèn)數(shù)據(jù)和程序訪問(wèn)2健全系統(tǒng)登錄訪問(wèn)機(jī)制,防止對(duì)系統(tǒng)的非授權(quán)訪問(wèn)。用戶賬號(hào)及訪問(wèn)管理1、每個(gè)用戶擁有獨(dú)立的用戶賬號(hào)，不得共享。2、應(yīng)用系

22、統(tǒng)中用戶帳號(hào)不能重復(fù)，查看系統(tǒng)中是否有共享賬號(hào)。3、要求必須輸入用戶名和密碼才可登錄系統(tǒng)。4、應(yīng)用系統(tǒng)管理員應(yīng)定期審核系統(tǒng)內(nèi)的用戶賬號(hào)清單。設(shè)計(jì)有效性：1、訪談應(yīng)用系統(tǒng)管理員用戶帳號(hào)設(shè)置情況和登錄驗(yàn)證過(guò)程。2、登錄系統(tǒng)檢查用戶帳號(hào)唯一性，確認(rèn)每個(gè)用戶擁有獨(dú)立的用戶賬號(hào)，無(wú)共享情況。3、查看系統(tǒng)登錄界面截屏。執(zhí)行有效性：4、抽樣檢查系統(tǒng)用戶賬號(hào)清單的定期審核記錄（打印系統(tǒng)用戶賬號(hào)清單，系統(tǒng)管理員審核并簽字）。中國(guó)石化信息系統(tǒng)管理部中國(guó)石化信息系統(tǒng)管理部183 3、“密碼管理密碼管理”工作底稿工作底稿序序號(hào)號(hào)控制目標(biāo)控制目標(biāo)控制點(diǎn)控制點(diǎn)控制點(diǎn)描述控制點(diǎn)描述測(cè)試步驟測(cè)試步驟一一 數(shù)據(jù)和程序訪問(wèn)數(shù)據(jù)和

23、程序訪問(wèn)3 3防止密碼防止密碼設(shè)置強(qiáng)度設(shè)置強(qiáng)度不夠造成不夠造成系統(tǒng)泄密系統(tǒng)泄密或受到非或受到非法訪問(wèn)。法訪問(wèn)。密碼管密碼管理理1 1、密碼規(guī)則：密碼長(zhǎng)度大、密碼規(guī)則：密碼長(zhǎng)度大于等于于等于6 6位；密碼為數(shù)字與位；密碼為數(shù)字與字符的組合；密碼需定期字符的組合；密碼需定期更換。更換。2 2、根據(jù)密碼設(shè)置規(guī)則，在、根據(jù)密碼設(shè)置規(guī)則，在系統(tǒng)中實(shí)現(xiàn)了控制，當(dāng)密系統(tǒng)中實(shí)現(xiàn)了控制，當(dāng)密碼長(zhǎng)度小于碼長(zhǎng)度小于6 6位時(shí)系統(tǒng)會(huì)提位時(shí)系統(tǒng)會(huì)提示。密碼輸入時(shí)以掩碼形示。密碼輸入時(shí)以掩碼形式錄入，防止密碼泄露。式錄入，防止密碼泄露。3 3、密碼驗(yàn)證超過(guò)三次失敗、密碼驗(yàn)證超過(guò)三次失敗自動(dòng)退出系統(tǒng)。自動(dòng)退出系統(tǒng)。 4 4

24、、操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)、操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)等初始口令的設(shè)置用系統(tǒng)等初始口令的設(shè)置應(yīng)在系統(tǒng)投用前修改，并應(yīng)在系統(tǒng)投用前修改，并定期更改。定期更改。5 5、應(yīng)用系統(tǒng)管理員應(yīng)每季、應(yīng)用系統(tǒng)管理員應(yīng)每季度檢查普通用戶密碼的修度檢查普通用戶密碼的修改情況。改情況。設(shè)計(jì)有效性：設(shè)計(jì)有效性：1 1、訪談應(yīng)用系統(tǒng)管理員密碼設(shè)置規(guī)則及有關(guān)規(guī)、訪談應(yīng)用系統(tǒng)管理員密碼設(shè)置規(guī)則及有關(guān)規(guī)定。定。2 2、登錄財(cái)務(wù)系統(tǒng)、登錄財(cái)務(wù)系統(tǒng)“維護(hù)工具維護(hù)工具”新建用戶檢驗(yàn)系新建用戶檢驗(yàn)系統(tǒng)是否實(shí)現(xiàn)了密碼設(shè)置控制。取得密碼少于統(tǒng)是否實(shí)現(xiàn)了密碼設(shè)置控制。取得密碼少于6 6位位和第一位不是字符的提示截屏。和第一位不是字符的提示截

25、屏。3 3、登錄系統(tǒng)測(cè)試用戶密碼驗(yàn)證、登錄系統(tǒng)測(cè)試用戶密碼驗(yàn)證3 3次失敗退出系統(tǒng)。次失敗退出系統(tǒng)。執(zhí)行有效性：執(zhí)行有效性：4 4、檢查操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)的初始密、檢查操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)的初始密碼，登錄系統(tǒng)，查看系統(tǒng)默認(rèn)賬號(hào)的密碼是否都碼，登錄系統(tǒng)，查看系統(tǒng)默認(rèn)賬號(hào)的密碼是否都已做了修改（例如已做了修改（例如“sa”sa”賬號(hào)初始密碼為空）。賬號(hào)初始密碼為空）。5 5、檢查操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)管理員密、檢查操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)管理員密碼的設(shè)置情況和定期修改記錄。碼的設(shè)置情況和定期修改記錄。6 6、抽樣檢查應(yīng)用系統(tǒng)管理員的每季度檢查普通、抽樣檢查應(yīng)用系統(tǒng)管理員的每季度

26、檢查普通用戶密碼修改情況的記錄（可定期發(fā)通知要求用用戶密碼修改情況的記錄（可定期發(fā)通知要求用戶修改密碼，要求用戶記錄密碼修改時(shí)間，應(yīng)用戶修改密碼，要求用戶記錄密碼修改時(shí)間，應(yīng)用系統(tǒng)管理員抽樣檢查）。系統(tǒng)管理員抽樣檢查）。中國(guó)石化信息系統(tǒng)管理部中國(guó)石化信息系統(tǒng)管理部194 4、“應(yīng)用系統(tǒng)管理員管理應(yīng)用系統(tǒng)管理員管理”工作底稿工作底稿序序號(hào)號(hào)控制目控制目標(biāo)標(biāo)控控制制點(diǎn)點(diǎn)控制點(diǎn)描述控制點(diǎn)描述測(cè)試步驟測(cè)試步驟一數(shù)據(jù)和程序訪問(wèn)數(shù)據(jù)和程序訪問(wèn)4加強(qiáng)系統(tǒng)管理員管理，防止不合規(guī)操作。系統(tǒng)管理員管理1、企業(yè)需配備專(zhuān)職或兼職數(shù)據(jù)庫(kù)、操作系統(tǒng)（統(tǒng)稱系統(tǒng)管理員）、應(yīng)用系統(tǒng)管理員，系統(tǒng)管理員、應(yīng)用系統(tǒng)管理員要經(jīng)過(guò)授權(quán)并

27、明確職責(zé)，并應(yīng)相對(duì)穩(wěn)定，其更換必須經(jīng)相關(guān)部門(mén)負(fù)責(zé)人審批，并嚴(yán)格辦理交接手續(xù)。2、系統(tǒng)管理員、應(yīng)用系統(tǒng)管理員只能處理系統(tǒng)設(shè)置、數(shù)據(jù)庫(kù)維護(hù)、數(shù)據(jù)備份與恢復(fù)、用戶及權(quán)限管理等功能，不能登錄帳務(wù)系統(tǒng)處理會(huì)計(jì)業(yè)務(wù)和查詢帳務(wù)信息。3、相關(guān)部門(mén)負(fù)責(zé)人應(yīng)每半年對(duì)系統(tǒng)管理員、應(yīng)用系統(tǒng)管理員在職情況進(jìn)行簽字審核。設(shè)計(jì)有效性：1、訪談相關(guān)部門(mén)負(fù)責(zé)人有關(guān)系統(tǒng)管理員的管理制度及任用審批流程。2、檢查系統(tǒng)中系統(tǒng)管理員的權(quán)限情況，確認(rèn)系統(tǒng)管理員沒(méi)有處理具體業(yè)務(wù)的權(quán)限。執(zhí)行有效性：3、提供應(yīng)用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫(kù)管理員的清單及授權(quán)、變更文檔。4、查看相關(guān)部門(mén)負(fù)責(zé)人對(duì)系統(tǒng)管理員在職情況的每半年簽字審核記錄。中國(guó)石化信息系統(tǒng)管

28、理部中國(guó)石化信息系統(tǒng)管理部205 5、“普通用戶管理普通用戶管理”工作底稿工作底稿序序號(hào)號(hào)控控制制目目標(biāo)標(biāo)控控制制點(diǎn)點(diǎn)控制點(diǎn)描述控制點(diǎn)描述測(cè)試步驟測(cè)試步驟一 數(shù)據(jù)和程序訪問(wèn)數(shù)據(jù)和程序訪問(wèn)5加強(qiáng)普通用戶帳號(hào)的管理，保證業(yè)務(wù)處理的規(guī)范、安全、有效。普通用戶管理1、根據(jù)用戶崗位職責(zé)分工，分配相對(duì)應(yīng)的操作權(quán)限，人員的離職與變動(dòng)必須對(duì)權(quán)限進(jìn)行相應(yīng)的變更。用戶帳號(hào)的申請(qǐng)及變更必須經(jīng)財(cái)務(wù)部門(mén)負(fù)責(zé)人審核批準(zhǔn)，用戶崗位變更時(shí)應(yīng)辦理交接手續(xù)。2、系統(tǒng)內(nèi)普通用戶帳號(hào)的注冊(cè)、注銷(xiāo)及權(quán)限變更必須通過(guò)財(cái)務(wù)應(yīng)用系統(tǒng)管理員進(jìn)行，其它用戶無(wú)此權(quán)限。設(shè)計(jì)有效性：1、訪談相關(guān)部門(mén)負(fù)責(zé)人了解普通用戶帳號(hào)申請(qǐng)與系統(tǒng)權(quán)限分配情況。2、查

29、看普通用戶管理的相關(guān)管理制度。執(zhí)行有效性： 3、登錄財(cái)務(wù)系統(tǒng)“維護(hù)工具”檢查普通用戶功能權(quán)限分配情況，取得截屏，確認(rèn)普通用戶沒(méi)有新建用戶和設(shè)置權(quán)限的功能。4、查看企業(yè)離職、崗位變化人員清單，檢查系統(tǒng)中非在職人員、崗位變更人員的用戶帳號(hào)情況。中國(guó)石化信息系統(tǒng)管理部中國(guó)石化信息系統(tǒng)管理部216 6、“系統(tǒng)日志管理系統(tǒng)日志管理”工作底稿工作底稿序序號(hào)號(hào)控控制制目目標(biāo)標(biāo)控控制制點(diǎn)點(diǎn)控制點(diǎn)描述控制點(diǎn)描述測(cè)試步驟測(cè)試步驟一 數(shù)據(jù)和程序訪問(wèn)數(shù)據(jù)和程序訪問(wèn)6加強(qiáng)系統(tǒng)日志管理,記錄應(yīng)用系統(tǒng)登錄及操作活動(dòng)。系統(tǒng)日志管理1、有系統(tǒng)日志管理及審查機(jī)制。2、應(yīng)用系統(tǒng)日志能記錄用戶登錄時(shí)間等信息；數(shù)據(jù)庫(kù)日志能記錄用戶新建

30、、刪除等信息。3、安全管理員應(yīng)定期審核應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)、操作系統(tǒng)的系統(tǒng)日志。設(shè)計(jì)有效性：1、訪談安全管理員有關(guān)系統(tǒng)日志管理和審核情況。2、檢查系統(tǒng)中的日志管理功能，取得截屏。執(zhí)行有效性：3、抽樣檢查安全管理員定期審核應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)、操作系統(tǒng)日志的記錄。中國(guó)石化信息系統(tǒng)管理部中國(guó)石化信息系統(tǒng)管理部227 7、“第三方人員管理第三方人員管理”工作底稿工作底稿序序號(hào)號(hào)控制目控制目標(biāo)標(biāo)控制控制點(diǎn)點(diǎn)控制點(diǎn)描述控制點(diǎn)描述測(cè)試步驟測(cè)試步驟一數(shù)據(jù)和程序訪問(wèn)數(shù)據(jù)和程序訪問(wèn)7加 強(qiáng) 對(duì)第 三 方人 員 授權(quán) 訪 問(wèn)管理。第 三方 人員 管理1、第三方人員需要訪問(wèn)系統(tǒng)時(shí)，應(yīng)填寫(xiě)用戶權(quán)限審批表，說(shuō)明賬號(hào)使用的原因、

31、時(shí)間和期限，并由財(cái)務(wù)部門(mén)負(fù)責(zé)人批準(zhǔn)。2、到期應(yīng)及時(shí)刪除或鎖定第三方人員的賬號(hào)。設(shè)計(jì)有效性：1、訪談財(cái)務(wù)部門(mén)負(fù)責(zé)人有關(guān)第三方人員訪問(wèn)系統(tǒng)的情況。執(zhí)行有效性：2、檢查第三方人員的“用戶權(quán)限審批表”和審批情況。3、檢查系統(tǒng)中第三方人員賬號(hào)情況，在“維護(hù)工具”中查看第三方人員帳號(hào)及使用情況，確認(rèn)系統(tǒng)中無(wú)應(yīng)刪未刪的第三方人員賬號(hào)。中國(guó)石化信息系統(tǒng)管理部中國(guó)石化信息系統(tǒng)管理部238 8、“系統(tǒng)變更管理系統(tǒng)變更管理”工作底稿工作底稿序序號(hào)號(hào)控制目控制目標(biāo)標(biāo)控制點(diǎn)控制點(diǎn)控制點(diǎn)描述控制點(diǎn)描述測(cè)試步驟測(cè)試步驟二二程 序 變程 序 變更更8加強(qiáng)系統(tǒng)變更管理，有變更管理制度，變更必須經(jīng)過(guò)嚴(yán)格的審批、測(cè)試，使系統(tǒng)的變更

32、在可控范圍內(nèi)，保證應(yīng)用系統(tǒng)運(yùn)行和維護(hù)的正常進(jìn)行。系統(tǒng)變更管理1、有變更管理政策及審批流程。軟件版本變更由總部相關(guān)部門(mén)統(tǒng)一組織變更、統(tǒng)一下發(fā)企業(yè)。企業(yè)有軟件變更需求必須填報(bào)“系統(tǒng)變更審批表”上報(bào)總部，不允許自行變更，企業(yè)IT人員及相關(guān)用戶應(yīng)充分了解該流程。2、所有針對(duì)系統(tǒng)應(yīng)用軟件的變更申請(qǐng)、開(kāi)發(fā)、測(cè)試、下發(fā)、版本都要有總部的審批簽字及記錄文檔。3、對(duì)于系統(tǒng)運(yùn)行環(huán)境、系統(tǒng)優(yōu)化等配置變更，應(yīng)填寫(xiě)“系統(tǒng)變更審批表”，并經(jīng)相關(guān)部門(mén)負(fù)責(zé)人審批，并嚴(yán)格測(cè)試后，方可在系統(tǒng)中更改，以確保系統(tǒng)的平穩(wěn)運(yùn)行。4、開(kāi)發(fā)人員不能進(jìn)入生產(chǎn)環(huán)境，不能進(jìn)行最終的變更操作。設(shè)計(jì)有效性：1、訪談?dòng)嘘P(guān)部門(mén)負(fù)責(zé)人有關(guān)系統(tǒng)變更流程和管理

33、制度。2、查看變更管理相關(guān)制度。執(zhí)行有效性：3、如果2006年有變更發(fā)生，抽樣檢查系統(tǒng)變更、配置變更的申請(qǐng)、審批、測(cè)試及相關(guān)記錄文檔。4、查看進(jìn)行系統(tǒng)變更的人員記錄，確認(rèn)變更人員不是開(kāi)發(fā)人員。如果是開(kāi)發(fā)人員要有申請(qǐng)審批記錄。中國(guó)石化信息系統(tǒng)管理部中國(guó)石化信息系統(tǒng)管理部249 9、“ERPERP報(bào)表接口管理報(bào)表接口管理”工作底稿工作底稿序序號(hào)號(hào)控控制制目目標(biāo)標(biāo)控控制制點(diǎn)點(diǎn)控制點(diǎn)描述控制點(diǎn)描述測(cè)試步驟測(cè)試步驟三三 系統(tǒng)運(yùn)行系統(tǒng)運(yùn)行9加強(qiáng)ERP報(bào)表接口管理工作，保證報(bào)表信息抽取的安全和完整。ERP報(bào)表接口管理1、對(duì)報(bào)表數(shù)據(jù)的抽取及使用有相關(guān)規(guī)定。2、系統(tǒng)提供了數(shù)據(jù)抽取的數(shù)據(jù)來(lái)源定義、數(shù)據(jù)抽取規(guī)則等功

34、能；對(duì)報(bào)表數(shù)據(jù)的讀取和寫(xiě)入有嚴(yán)格的權(quán)限控制。3、財(cái)務(wù)報(bào)表系統(tǒng)的運(yùn)行過(guò)程有日志記錄。設(shè)計(jì)有效性：1、訪談報(bào)表管理人員有關(guān)報(bào)表抽取的有關(guān)規(guī)定。2、查看ERP報(bào)表接口的用戶手冊(cè)及相關(guān)文檔。3、登錄系統(tǒng)中的數(shù)據(jù)抽取，查看數(shù)據(jù)抽取設(shè)置、數(shù)據(jù)讀取機(jī)制、數(shù)據(jù)寫(xiě)入機(jī)制等設(shè)置功能，取得截屏。執(zhí)行有效性：4、抽樣檢查報(bào)表抽取的運(yùn)行日志，取得截屏。中國(guó)石化信息系統(tǒng)管理部中國(guó)石化信息系統(tǒng)管理部251010、“報(bào)表上報(bào)管理報(bào)表上報(bào)管理”工作底稿工作底稿序序號(hào)號(hào)控控制制目目標(biāo)標(biāo)控控制制點(diǎn)點(diǎn)控制點(diǎn)描述控制點(diǎn)描述測(cè)試步驟測(cè)試步驟三三 系統(tǒng)運(yùn)行系統(tǒng)運(yùn)行10加強(qiáng)報(bào)表上報(bào)管理工作，保證報(bào)表信息上報(bào)的及時(shí)、完整。報(bào)表上報(bào)管理1、對(duì)報(bào)

35、表上報(bào)有相關(guān)規(guī)定。2、報(bào)表上報(bào)時(shí)執(zhí)行統(tǒng)一定義的校驗(yàn)公式對(duì)報(bào)表進(jìn)行合法性效驗(yàn)，并有詳細(xì)的校驗(yàn)報(bào)告信息。設(shè)計(jì)有效性：1、訪談報(bào)表管理人員有關(guān)報(bào)表上報(bào)的管理規(guī)定。2、查看系統(tǒng)報(bào)表校驗(yàn)功能，取得截屏。執(zhí)行有效性：3、抽樣檢查報(bào)表數(shù)據(jù)上報(bào)的校驗(yàn)報(bào)告，取得校驗(yàn)報(bào)告截屏。中國(guó)石化信息系統(tǒng)管理部中國(guó)石化信息系統(tǒng)管理部261111、“系統(tǒng)備份及恢復(fù)系統(tǒng)備份及恢復(fù)”工作底稿工作底稿序序號(hào)號(hào)控制目控制目標(biāo)標(biāo)控制點(diǎn)控制點(diǎn)控制點(diǎn)描述控制點(diǎn)描述測(cè)試步驟測(cè)試步驟三三系統(tǒng)運(yùn)行系統(tǒng)運(yùn)行11加強(qiáng)系統(tǒng)備份及恢復(fù)管理，減少因故障發(fā)生造成數(shù)據(jù)丟失的風(fēng)險(xiǎn)，保障財(cái)務(wù)相關(guān)數(shù)據(jù)的安全和系統(tǒng)的快速恢復(fù)能力。系統(tǒng)備份及恢復(fù)1、對(duì)數(shù)據(jù)備份策略、備份

36、模式、備份介質(zhì)存放、備份恢復(fù)性測(cè)試等有相關(guān)的管理規(guī)定。2、應(yīng)用系統(tǒng)提供有備份和恢復(fù)的功能。嚴(yán)格控制數(shù)據(jù)備份、恢復(fù)、轉(zhuǎn)入、轉(zhuǎn)出的權(quán)限，對(duì)備份的數(shù)據(jù)加強(qiáng)管理，防止被非法拷貝或毀壞。3、至少每月備份一次數(shù)據(jù)，并檢查備份數(shù)據(jù)的可讀性。4、備份介質(zhì)定期異地存放，備份介質(zhì)存放要有交接記錄、介質(zhì)訪問(wèn)要有適當(dāng)授權(quán)和訪問(wèn)記錄。5、定期測(cè)試備份數(shù)據(jù)的可讀性，以保證備份的有效性。6、可能的情況下，每半年對(duì)備份進(jìn)行恢復(fù)測(cè)試。設(shè)計(jì)有效性：1、訪談系統(tǒng)管理員有關(guān)備份的管理制度和備份方案。2、查看備份管理規(guī)定。3、查看系統(tǒng)備份功能和權(quán)限控制情況，取得截屏。執(zhí)行有效性：4、檢查備份記錄。5、檢查介質(zhì)保存方式和介質(zhì)的保管、訪問(wèn)

37、記錄等。6、抽查備份數(shù)據(jù)定期可讀性測(cè)試的記錄。7、訪談系統(tǒng)管理員備份恢復(fù)的步驟，提供每半年備份恢復(fù)測(cè)試的記錄。中國(guó)石化信息系統(tǒng)管理部中國(guó)石化信息系統(tǒng)管理部271212、“系統(tǒng)監(jiān)控、維護(hù)及故障處理系統(tǒng)監(jiān)控、維護(hù)及故障處理”工作底稿工作底稿序序號(hào)號(hào)控制目控制目標(biāo)標(biāo)控制控制點(diǎn)點(diǎn)控制點(diǎn)描述控制點(diǎn)描述測(cè)試步驟測(cè)試步驟三三系統(tǒng)運(yùn)行系統(tǒng)運(yùn)行12加強(qiáng)系統(tǒng)運(yùn)行監(jiān)控及維護(hù)管理，及時(shí)解決系統(tǒng)運(yùn)行問(wèn)題，保障系統(tǒng)安全穩(wěn)定運(yùn)行。系統(tǒng)監(jiān)控、維護(hù)及故障處理1、建立系統(tǒng)監(jiān)控和維護(hù)管理制度，明確問(wèn)題處理流程。2、系統(tǒng)維護(hù)人員對(duì)系統(tǒng)運(yùn)行狀況進(jìn)行監(jiān)控；系統(tǒng)運(yùn)行中出現(xiàn)故障時(shí)，普通操作人員不能擅自處理，應(yīng)保護(hù)現(xiàn)場(chǎng)，及時(shí)與應(yīng)用系統(tǒng)管理員聯(lián)

38、系；本單位應(yīng)用系統(tǒng)管理員不能排除故障時(shí)，應(yīng)報(bào)上一級(jí)管理部門(mén)。3、要詳細(xì)記錄運(yùn)維和問(wèn)題處理情況，對(duì)故障發(fā)生時(shí)間、故障情況、解決辦法、處理結(jié)果及跟蹤進(jìn)行詳細(xì)記錄，并由維護(hù)人員或應(yīng)用系統(tǒng)管理員簽字。4、建立應(yīng)急預(yù)案，保證系統(tǒng)問(wèn)題的及時(shí)解決，降低對(duì)業(yè)務(wù)處理的影響。設(shè)計(jì)有效性： 1、訪談相關(guān)人員有關(guān)問(wèn)題處理流程和維護(hù)制度。2、查看問(wèn)題處理及維護(hù)管理制度。 執(zhí)行有效性：3、檢查系統(tǒng)監(jiān)控記錄和用戶申報(bào)問(wèn)題記錄清單，抽樣檢查問(wèn)題處理情況的詳細(xì)記錄。4、檢查企業(yè)的應(yīng)急預(yù)案，包括應(yīng)急處理流程、應(yīng)急處理過(guò)程記錄等管理規(guī)定。中國(guó)石化信息系統(tǒng)管理部中國(guó)石化信息系統(tǒng)管理部28問(wèn)題和建議問(wèn)題和建議l 財(cái)務(wù)管理系統(tǒng)財(cái)務(wù)管理系

39、統(tǒng)、財(cái)務(wù)報(bào)表系統(tǒng)、財(cái)務(wù)報(bào)表系統(tǒng)的版本的版本p 目前企業(yè)使用的版本主要有兩大類(lèi)：目前企業(yè)使用的版本主要有兩大類(lèi)：2.X版（版（2.2、2.3）：大多數(shù)企業(yè)使用）：大多數(shù)企業(yè)使用3.0版：集中核算版，較少企業(yè)使用，權(quán)限管理功能版：集中核算版，較少企業(yè)使用，權(quán)限管理功能較強(qiáng)，密碼控制比較弱較強(qiáng)，密碼控制比較弱財(cái)務(wù)管理信息系統(tǒng)、財(cái)務(wù)報(bào)表系統(tǒng)的財(cái)務(wù)管理信息系統(tǒng)、財(cái)務(wù)報(bào)表系統(tǒng)的IT一般性控制一般性控制矩陣和底稿主要針對(duì)矩陣和底稿主要針對(duì)2.x版制定。版制定。p 軟件功能與矩陣和底稿中描述不一致的，上報(bào)總部信軟件功能與矩陣和底稿中描述不一致的，上報(bào)總部信息部。息部。中國(guó)石化信息系統(tǒng)管理部中國(guó)石化信息系統(tǒng)管理

40、部29問(wèn)題和建議問(wèn)題和建議l 缺失資料補(bǔ)填和收集原則缺失資料補(bǔ)填和收集原則對(duì)于缺失資料的補(bǔ)填原則：政策制度、重要的授權(quán)申批文檔必須要對(duì)于缺失資料的補(bǔ)填原則：政策制度、重要的授權(quán)申批文檔必須要補(bǔ)，寫(xiě)現(xiàn)在日期。補(bǔ)，寫(xiě)現(xiàn)在日期。重復(fù)發(fā)生的要從現(xiàn)在開(kāi)始補(bǔ)起來(lái)。如重復(fù)發(fā)生的要從現(xiàn)在開(kāi)始補(bǔ)起來(lái)。如“用戶權(quán)限申批表用戶權(quán)限申批表”，從現(xiàn)在，從現(xiàn)在起規(guī)范做起來(lái)就可以，但要保證檢查時(shí)有一定樣本量，否則，可認(rèn)起規(guī)范做起來(lái)就可以，但要保證檢查時(shí)有一定樣本量，否則，可認(rèn)定設(shè)計(jì)有效；但穿行測(cè)試、執(zhí)行有效將無(wú)法認(rèn)定。我們建議，補(bǔ)填定設(shè)計(jì)有效；但穿行測(cè)試、執(zhí)行有效將無(wú)法認(rèn)定。我們建議，補(bǔ)填和收集資料的過(guò)程，能同時(shí)起到規(guī)范內(nèi)部管理、檢查相關(guān)工作作用和收集資料的過(guò)程，能同時(shí)起到規(guī)范內(nèi)部管理、檢查相關(guān)工作作用的；補(bǔ)起來(lái)比較容易的；與財(cái)務(wù)報(bào)表關(guān)系大的，要補(bǔ)。的；補(bǔ)起來(lái)比較容易的；與財(cái)務(wù)報(bào)表關(guān)系大的，要補(bǔ)。注意，不要為了通過(guò)檢查補(bǔ)已過(guò)去的某天的資料，先前沒(méi)有做到，注意，不要為了通過(guò)檢查補(bǔ)已過(guò)去的某天的資料，先前沒(méi)有做到，補(bǔ)一個(gè)過(guò)去的檢查記錄是沒(méi)有意義的，資料的收集有太明顯的補(bǔ)一個(gè)過(guò)去的檢查記錄是沒(méi)有意義的，資料的收集有太明顯的“應(yīng)應(yīng)付檢查式付檢查式”補(bǔ)的痕跡，絕不是總部?jī)?nèi)審、