ARP系統(tǒng)內(nèi)控工作程序-測試檢查階段課件(PPT 63頁)

1、ERP系統(tǒng)建設(shè)內(nèi)部控制工作程序（四）測試檢查階段1第1頁，共63頁。4.2.1 對地區(qū)公司開展現(xiàn)場或非現(xiàn)場測試檢查4.2.2 地區(qū)公司根據(jù)測試檢查報告開展整改4.2.3 對地區(qū)公司的整改結(jié)果進(jìn)行復(fù)查階段一.項目準(zhǔn)備 階段二.藍(lán)圖設(shè)計 階段三.系統(tǒng)配置 階段四.測試檢查階段六. 上線審批階段五.流程完善ERP系統(tǒng)建設(shè)內(nèi)部控制工作程序目錄2第2頁，共63頁。(四) 測試檢查地區(qū)公司內(nèi)控管理部門 內(nèi)控與風(fēng)險管理部 地區(qū)公司業(yè)務(wù)管理部門 ERP項目組 4.2.1提交測試檢查申請 安排組織現(xiàn)場或非現(xiàn)場測試檢查，形成測試報告及整改意見 4.2.2牽頭組織問題整改并將結(jié)果上報內(nèi)控與風(fēng)險管理部參與整改 參與整

2、改 4.2.3審閱地區(qū)公司整改報告，組織復(fù)查 執(zhí)行部門工作內(nèi)容編號3第3頁，共63頁。4.2.1 對地區(qū)公司開展現(xiàn)場或非現(xiàn)場測試檢查4.2.2 地區(qū)公司根據(jù)測試檢查報告開展整改4.2.3 對地區(qū)公司的整改結(jié)果進(jìn)行復(fù)查4(四) 測試檢查4.2.14第4頁，共63頁。地區(qū)公司內(nèi)控管理部門工作要點： ERP系統(tǒng)內(nèi)控自我測試檢查及問題整改完成，且ERP系統(tǒng)雙軌運行30天后，地區(qū)公司內(nèi)控管理部門向內(nèi)控與風(fēng)險管理部提出ERP系統(tǒng)內(nèi)控測試檢查申請。具體請參見附件“XX單位ERP系統(tǒng)內(nèi)控測試檢查申請”(四) 測試檢查 - 4.2.15第5頁，共63頁。附件： XX單位ERP系統(tǒng)內(nèi)控測試檢查申請該附件是股份內(nèi)控

3、與風(fēng)險管理部下發(fā)的用于編制ERP系統(tǒng)內(nèi)控測試檢查申請的模板，其中包括如下主要內(nèi)容：1）藍(lán)圖設(shè)計和系統(tǒng)實現(xiàn)工作的完成情況2）ERP系統(tǒng)計劃雙軌運行時間3）ERP系統(tǒng)相關(guān)控制要求的執(zhí)行起始時間4）是否具備內(nèi)控測試檢查的條件5）提供內(nèi)控測試檢查申請相關(guān)附件，包括： ERP系統(tǒng)權(quán)限清理報告：說明開展權(quán)限自測及整改的情況； 控制點適用性情況說明書：從ERP系統(tǒng)控制文檔、配置清單、權(quán)限相關(guān)文檔三方面分別說明控制點適用情況，對于不適用情況的原因進(jìn)行詳細(xì)說明。并且附上地區(qū)公司風(fēng)險控制文檔。(四) 測試檢查 - 4.2.16第6頁，共63頁。(四) 測試檢查 - 4.2.1地區(qū)公司內(nèi)控管理部門工作要點： 內(nèi)控與

4、風(fēng)險管理部收到地區(qū)公司的測試檢查申請后，組織安排現(xiàn)場或非現(xiàn)場的測試檢查?，F(xiàn)場測試檢查：指測試檢查小組根據(jù)測試計劃，在地區(qū)公司現(xiàn)場開展ERP系統(tǒng)應(yīng)用控制文檔訪談，及開展現(xiàn)場抽樣測試工作。非現(xiàn)場測試檢查：指測試檢查小組根據(jù)測試計劃，在股份公司總部（非地區(qū)公司現(xiàn)場）開展ERP系統(tǒng)應(yīng)用控制測試，地區(qū)公司根據(jù)要求通過傳真或郵遞方式提交所測試內(nèi)容的證據(jù)。7第7頁，共63頁。測試檢查工作執(zhí)行程序如下：1）測試檢查小組編制測試計劃2）地區(qū)公司內(nèi)控管理部門根據(jù)測試計劃開展準(zhǔn)備工作3）測試檢查（一）ERP系統(tǒng)總體控制測試、及ERP系統(tǒng)配置和權(quán)限測試4）測試檢查（二）ERP系統(tǒng)應(yīng)用控制測試5）與被測試單位溝通測試發(fā)

5、現(xiàn)及后續(xù)整改工作6）編制并提交被測單位的測試檢查報告(四) 測試檢查 - 4.2.18第8頁，共63頁。1）測試檢查小組編制測試計劃測試檢查小組應(yīng)在測試檢查工作前與地區(qū)公司進(jìn)行溝通，并依據(jù)2009內(nèi)控管理手冊-信息與溝通分冊第2.5節(jié)“ERP/人力資源系統(tǒng)總體控制（試行）” 和地區(qū)公司經(jīng)審閱的ERP系統(tǒng)控制規(guī)范形成ERP系統(tǒng)測試計劃。在制訂測試計劃時，需考慮以下因素： 審閱地區(qū)公司上報的ERP系統(tǒng)內(nèi)控自我測試報告、ERP系統(tǒng)風(fēng)險控制文檔（RCD）、ERP系統(tǒng)配置清單、權(quán)限分配等文檔； 統(tǒng)籌考慮安排ERP系統(tǒng)總體控制和應(yīng)用控制兩個層面的測試檢查工作。具體請參見附件“XX單位ERP系統(tǒng)測試計劃-總

6、體信息控制安排”及“XX單位ERP系統(tǒng)測試計劃-應(yīng)用系統(tǒng)控制安排”(四) 測試檢查 - 4.2.19第9頁，共63頁。附件: “XX單位ERP系統(tǒng)測試計劃-總體信息控制安排”及“XX單位ERP系統(tǒng)測試計劃-應(yīng)用系統(tǒng)控制安排” 是用于編制ERP系統(tǒng)測試計劃的模板，分別用于編制ERP系統(tǒng)總體信息控制測試及應(yīng)用系統(tǒng)控制測試的測試計劃，主要包括如下內(nèi)容： 測試內(nèi)容：ERP系統(tǒng)總體控制（ITGC）測試，ERP系統(tǒng)應(yīng)用控制（AC）測試， ERP系統(tǒng)權(quán)限測試。 測試時間安排：說明各項測試內(nèi)容對應(yīng)的測試地點、測試人員、以及測試時間。 所需文檔清單：提供被測試單位在測試檢查小組到場前需準(zhǔn)備的控制實施證據(jù)的清單。

7、(四) 測試檢查 - 4.2.110第10頁，共63頁。2）根據(jù)測試計劃開展準(zhǔn)備工作 測試檢查小組：與地區(qū)公司內(nèi)控管理部門溝通測試要求及計劃；準(zhǔn)備測試模板、測試步驟及權(quán)限測試工具、獲取地區(qū)公司ERP系統(tǒng)控制規(guī)范（RCD）文檔等。 地區(qū)公司內(nèi)控管理部門：協(xié)調(diào)本單位各部門之間的測試安排；按照測試計劃中所提供的測試文檔清單進(jìn)行相關(guān)文檔的準(zhǔn)備。(四) 測試檢查 - 4.2.111第11頁，共63頁。3）測試檢查（一）ERP系統(tǒng)總體控制測試、及ERP系統(tǒng)配置和權(quán)限測試 被測試人員：ERP系統(tǒng)運維組（北京歌華大廈）/地區(qū)公司控制執(zhí)行人 測試工作開展： 根據(jù)ERP系統(tǒng)總體控制測試步驟進(jìn)行系統(tǒng)總體控制測試。

8、根據(jù)地區(qū)公司配置清單進(jìn)行配置控制測試。 利用ERP權(quán)限測試工具，根據(jù)地區(qū)公司職責(zé)分離矩陣、敏感事務(wù)代碼分配規(guī)則、總部后臺敏感事務(wù)代碼規(guī)則進(jìn)行權(quán)限測試。 （具體參見權(quán)限測試部分介紹）(四) 測試檢查 - 4.2.112第12頁，共63頁。(四) 測試檢查 - 4.2.1 根據(jù)ERP系統(tǒng)總體控制測試步驟進(jìn)行系統(tǒng)總體控制測試。我們對ERP系統(tǒng)總體控制測試內(nèi)容與步驟進(jìn)行了匯總，供測試檢查小組在ERP系統(tǒng)總體控制測試時參考。具體請參見附件“ERP系統(tǒng)總體控制測試內(nèi)容與步驟匯總” 13第13頁，共63頁。(四) 測試檢查 - 4.2.1附件：ERP系統(tǒng)總體控制測試內(nèi)容與步驟匯總該附件中主要包括如下信息：A

9、. 控制措施基本信息，包括：控制編號、控制描述、控制方法、控制頻率B. 測試步驟、測試方法：測試檢查小組可參考該測試步驟及測試方法進(jìn)行測試。C. 測試地點： ERP系統(tǒng)總體控制測試分為總部層面及地區(qū)公司層面，測試檢查小組需根據(jù)“測試地點” 進(jìn)行相應(yīng)層面的測試。D. 控制實施證據(jù)：測試檢查小組可參考此列內(nèi)容獲取相應(yīng)的控制實施證據(jù)；被測試單位也可參考此列內(nèi)容進(jìn)行相關(guān)控制實施證據(jù)的準(zhǔn)備工作。 14第14頁，共63頁。(四) 測試檢查 - 4.2.1ERP系統(tǒng)總體控制測試過程舉例說明：系統(tǒng)變更管理（PC）- 控制點GIT-ERP-17.1：控制措施測試步驟說明用戶申請變更時應(yīng)提交變更申請，由業(yè)務(wù)部門以

10、及總部ERP運維組主管進(jìn)行審批后實施。1）訪談總部ERP運維主管和業(yè)務(wù)部門負(fù)責(zé)人，了解變更活動的管理情況，以及變更過程中涉及到的人員。2）訪談變更活動中涉及的相關(guān)人員，了解其工作方法和工作流程。3）確定樣本總體：在生產(chǎn)環(huán)境中執(zhí)行事務(wù)代碼STMS，進(jìn)入傳輸隊列，單擊Import Overview按鈕，然后選擇生產(chǎn)環(huán)境傳輸隊列（例：EP1），單擊“Import History按鈕，進(jìn)入傳輸歷史記錄界面，然后選擇”Date“列，單擊”Filters“，篩選條件設(shè)置為審計期間，查詢出生產(chǎn)系統(tǒng)導(dǎo)入的傳輸請求，將測試范圍內(nèi)公司的傳輸請求作為全年變更活動的發(fā)生總數(shù)，作為樣本總體。訪談對象：運維主管訪談內(nèi)容：

11、變更活動的申請、審批情況操作人員：總部ERP系統(tǒng)管理員操作過程：在生產(chǎn)環(huán)境執(zhí)行STMS單擊Import Overview選擇生產(chǎn)環(huán)境傳輸隊列在傳輸請求隊列界面中點import history,查看導(dǎo)入記錄選擇”Date“列，單擊”Filters“,篩選條件設(shè)置為審計期間查詢出生產(chǎn)系統(tǒng)導(dǎo)入的傳輸請求，將測試范圍內(nèi)公司的傳輸請求作為樣本總體15第15頁，共63頁。(四) 測試檢查 - 4.2.1系統(tǒng)變更管理（PC）- 控制點GIT-ERP-17.1（續(xù)）：控制措施測試步驟說明用戶申請變更時應(yīng)提交變更申請，由業(yè)務(wù)部門以及總部ERP運維組主管進(jìn)行審批后實施。4）確定樣本數(shù)量：根據(jù)抽樣原則隨機(jī)抽取xx個

12、傳輸請求樣本，由于在ERP系統(tǒng)中進(jìn)行變更傳輸時，有可能將多個變更申請合并進(jìn)行一次傳輸，所以，需要獲得選中的傳輸請求對應(yīng)的所有ERP系統(tǒng)變更申請表、ERP系統(tǒng)變更實施表、ERP系統(tǒng)變更傳輸請求表等表單記錄。5）檢查樣本ERP系統(tǒng)變更申請表內(nèi)容的填寫是否符合要求，是否填寫變更原因及內(nèi)容，受理人是否區(qū)別于申請人，是否經(jīng)過業(yè)務(wù)部門與總部ERP運維組主管的審批。重點檢查內(nèi)容：對于系統(tǒng)變更，是否在ERP系統(tǒng)變更申請表中填寫變更原因及內(nèi)容，受理人是否區(qū)別于申請人，是否經(jīng)過業(yè)務(wù)部門與總部ERP運維組主管的審批。16第16頁，共63頁。在生產(chǎn)環(huán)境執(zhí)行STMS檢查方法：(四) 測試檢查 - 4.2.117第17頁

13、，共63頁。單擊 Import Overview檢查方法（續(xù)）：(四) 測試檢查 - 4.2.118第18頁，共63頁。選擇生產(chǎn)環(huán)境傳輸隊列點擊 import history檢查方法（續(xù)）：(四) 測試檢查 - 4.2.119第19頁，共63頁。選擇”Date“列，單擊”Filters“,篩選條件設(shè)置為審計期間檢查方法（續(xù)）：(四) 測試檢查 - 4.2.120第20頁，共63頁。將測試范圍內(nèi)公司的傳輸請求作為樣本總體檢查方法（續(xù)）：(四) 測試檢查 - 4.2.121第21頁，共63頁。控制實施證據(jù)：(四) 測試檢查 - 4.2.122第22頁，共63頁。(四) 測試檢查 - 4.2.1根據(jù)

14、地區(qū)公司配置清單進(jìn)行配置控制測試。 各地區(qū)公司根據(jù)本單位實際業(yè)務(wù)情況對2009內(nèi)部控制管理手冊-信息與溝通中的附件23“ERP/人力資源系統(tǒng)配置清單”進(jìn)行更新，測試檢查小組需要根據(jù)地區(qū)公司更新后的配置清單進(jìn)行配置控制測試。23第23頁，共63頁?？刂拼胧┑貐^(qū)公司更新后的ERP配置清單在ERP系統(tǒng)中對采購訂單設(shè)置正確的審批策略，確保其符合各地區(qū)公司的相關(guān)政策。1）通過路徑SPRO物料管理采購采購訂單采購訂單的下達(dá)過程定義采購訂單的審批過程進(jìn)入“批準(zhǔn)策略”，對采購訂單的審批標(biāo)識進(jìn)行適當(dāng)配置。組“C5”化工銷售采購訂單審批策略的兩種審批標(biāo)識設(shè)置為：- X未審批 E西北化工銷售業(yè)務(wù)科長已審批2）通過路

15、徑SPRO物料管理采購采購訂單采購訂單的下達(dá)過程定義采購訂單的審批過程進(jìn)入“批準(zhǔn)策略”，對采購訂單的審批策略進(jìn)行適當(dāng)配置。組“C5”化工銷售采購訂單審批策略設(shè)置如下：-將采購組織6500至6501分配到該審批策略；-將所有采購組分配到該審批策略；-將該“化工銷售擴(kuò)銷采購訂單”分配給該審批策略；-自定義檢查設(shè)置為“通過”3）路徑SPRO物料管理采購采購訂單采購訂單的下達(dá)過程定義采購訂單的審批過程進(jìn)入“發(fā)布標(biāo)識”，將訂單審批策略的釋放標(biāo)識的可變性字段設(shè)置為1（不可修改）。組“C5”化工銷售采購訂單審批策略的釋放標(biāo)識“E”的可變性字段設(shè)置為1(不可修改)。配置控制測試過程舉例說明：MP04.01.0

16、2采購方式-KA1(四) 測試檢查 - 4.2.124第24頁，共63頁。根據(jù)配置清單路徑，選擇“定義采購訂單的審批過程”(四) 測試檢查 - 4.2.1檢查方法：25第25頁，共63頁。(四) 測試檢查 - 4.2.1檢查方法（續(xù)）：1）進(jìn)入“批準(zhǔn)策略”，查看采購訂單的審批標(biāo)識是否進(jìn)行了適當(dāng)配置。26第26頁，共63頁。(四) 測試檢查 - 4.2.1檢查方法（續(xù)）：2）進(jìn)入“批準(zhǔn)策略”，查看采購訂單的審批策略是否進(jìn)行了適當(dāng)配置。27第27頁，共63頁。(四) 測試檢查 - 4.2.1檢查方法（續(xù)）：3）進(jìn)入“發(fā)布標(biāo)識”，查看是否將訂單審批策略的釋放標(biāo)識”E”的可變性字段設(shè)置為1（不可修改）

17、。28第28頁，共63頁。4）測試檢查（二）ERP系統(tǒng)應(yīng)用控制測試 被測試人員：ERP系統(tǒng)應(yīng)用控制執(zhí)行部門（如，銷售部門、財務(wù)部門、采購部門、倉儲部門等） 測試工作開展： 根據(jù)2009內(nèi)部控制管理手冊-監(jiān)督分冊附錄2.3B“股份公司關(guān)鍵控制抽樣測試內(nèi)容與步驟”對ERP系統(tǒng)應(yīng)用控制進(jìn)行測試，包括： 手工控制測試 自動控制測試(四) 測試檢查 - 4.2.129第29頁，共63頁。控制措施測試步驟說明獨立于入庫信息錄入的人員根據(jù)入庫單對SAP中收貨信息進(jìn)行手工復(fù)核以保證其準(zhǔn)確性，并在打印出的收貨記錄清單上進(jìn)行簽字確認(rèn)。1、詢問相關(guān)人員有關(guān)獨立于入庫信息錄入的人員根據(jù)入庫單對SAP中收貨信息進(jìn)行手工

18、復(fù)核的過程；2、確定樣本量，將測試期間內(nèi)所有收貨記錄作為樣本總體；3、按照隨機(jī)發(fā)生頻率抽樣原則，抽取所需的收貨記錄清單樣本，檢查是否存在復(fù)核人的簽字確認(rèn)；4、根據(jù)收貨記錄清單樣本，檢查系統(tǒng)中相應(yīng)的物料憑證入庫信息是否與該收貨記錄清單一致。1.訪談對象：入庫信息復(fù)核人員訪談內(nèi)容：了解對SAP中收貨信息進(jìn)行手工復(fù)核的過程。2.操作過程：1）輸入T-code MB51；2）選擇移動類型“101收貨”及“工廠/庫存地”，點擊“執(zhí)行”按鈕；3）查看對應(yīng)的物料憑證的入庫數(shù)量,物料類型等。重點檢查內(nèi)容：1） 是否存在收貨記錄清單以及復(fù)核人的簽字確認(rèn)；2）系統(tǒng)中相應(yīng)的物料憑證入庫信息是否與該收貨記錄清單一致。

19、 手工控制測試MP05.01.01材料物資入庫-控制點KA4(四) 測試檢查 - 4.2.130第30頁，共63頁。1檢查方法：(四) 測試檢查 - 4.2.131第31頁，共63頁。2檢查方法（續(xù)）：(四) 測試檢查 - 4.2.132第32頁，共63頁。3檢查方法（續(xù)）：(四) 測試檢查 - 4.2.133第33頁，共63頁。 自動控制測試過程舉例說明:(四) 測試檢查 - 4.2.1控制措施測試步驟說明對SAP中設(shè)置了系統(tǒng)內(nèi)訂單審批功能的銷售訂單，由相關(guān)部門人員依據(jù)業(yè)務(wù)情況或經(jīng)財務(wù)確認(rèn)的客戶到款通知單在系統(tǒng)中對銷售訂單進(jìn)行審批，只有在SAP系統(tǒng)中執(zhí)行銷售訂單審批之后才能執(zhí)行發(fā)貨操作。1、

20、通過詢問訂單審批人員了解SAP系統(tǒng)內(nèi)訂單的審批過程。2、在SAP系統(tǒng)內(nèi)隨機(jī)選取一筆未審批的訂單輸入事務(wù)代碼VA03，選擇訂單銷售憑證類型：在系統(tǒng)內(nèi)設(shè)置了訂單審批功能的訂單類型。抽取一筆未進(jìn)行審批的訂單。3、查看處于審批之前是否可以進(jìn)行后續(xù)操作；執(zhí)行訂單的審批功能后，查看是否可以進(jìn)行后續(xù)操作。輸入事務(wù)代碼VL01N，選擇合適裝運點，嘗試對未經(jīng)審批的訂單生成交貨單，是否能生成。輸入事務(wù)代碼VA02，選擇合適裝運點，對訂單執(zhí)行審批后，再使用事務(wù)代碼VL01N，嘗試對審批的訂單生成交貨單，是否能生成。訪談對象：訂單審批人員訪談內(nèi)容：了解在系統(tǒng)內(nèi)進(jìn)行審批的訂單類型，系統(tǒng)是否允許對未經(jīng)審批的訂單執(zhí)行發(fā)貨。

21、操作對象：訂單審批人員操作內(nèi)容：1、使用事務(wù)碼VA03，選擇設(shè)置了系統(tǒng)內(nèi)審批的銷售憑證類型，抽取一筆未經(jīng)過審批的訂單。2、使用VL01N,輸入訂單號以及合適裝運點，生成交貨單，察看系統(tǒng)反應(yīng)。3、使用VA02審批抽取的樣本訂單，在使用VL01N生成交貨單，察看系統(tǒng)反應(yīng)。重點檢查內(nèi)容：1、查看未執(zhí)行訂單審批前，對訂單執(zhí)行生成交貨單的操作，系統(tǒng)是否提示錯誤信息。2、查看執(zhí)行完訂單審批后，對訂單執(zhí)行生成交貨單的操作，系統(tǒng)是否操作成功。KP11.01.04銷售實施-KA134第34頁，共63頁。選擇銷售范圍和設(shè)置了系統(tǒng)內(nèi)審批的銷售憑證類型檢查方法：(四) 測試檢查 - 4.2.135第35頁，共63頁。

22、輸入合適的裝運地點，以及抽取的未經(jīng)過審批的訂單號，回車，察看系統(tǒng)提示信息，不允許對未經(jīng)過審批的訂單生成發(fā)貨單檢查方法（續(xù)）：(四) 測試檢查 - 4.2.136第36頁，共63頁。使用VA02,輸入抽取的未經(jīng)過審批的訂單號，對此訂單進(jìn)行審批。檢查方法（續(xù)）：(四) 測試檢查 - 4.2.137第37頁，共63頁。審批通過后，再使用VL01N,輸入合適的裝運地點，以及抽取的剛審批通過的訂單號，回車，系統(tǒng)允許對經(jīng)過審批的訂單生成發(fā)貨單檢查方法（續(xù)）：(四) 測試檢查 - 4.2.138第38頁，共63頁。5）與被測試單位溝通測試發(fā)現(xiàn)及后續(xù)整改工作 測試發(fā)現(xiàn)的類型包括： 控制不適用：控制措施在被測試

23、單位不適用。 無樣本發(fā)生：控制措施在測試期間內(nèi)無樣本發(fā)生。 控制執(zhí)行有例外：控制執(zhí)行有例外細(xì)分為“未按照規(guī)范要求執(zhí)行”、“未執(zhí)行控制措施”和“未執(zhí)行配置控制”。 “未按照規(guī)范要求執(zhí)行”指已執(zhí)行控制措施，但控制執(zhí)行不規(guī)范，例如實施證據(jù)填寫不完整、不準(zhǔn)確；控制實際執(zhí)行頻率與控制規(guī)范不符等情況； “未執(zhí)行控制措施”指未執(zhí)行控制規(guī)范中的手工控制或未在系統(tǒng)中實現(xiàn)自動控制；“未執(zhí)行配置控制”指未執(zhí)行控制規(guī)范中的配置控制。控制執(zhí)行無例外：按照控制規(guī)范有效執(zhí)行控制措施。(四) 測試檢查 - 4.2.139第39頁，共63頁。與被測試單位關(guān)于測試發(fā)現(xiàn)的溝通：A. 在總部層面（ERP項目總體維護(hù)組）的總體信息控制

24、測試、配置控制測試發(fā)現(xiàn)的問題需要與被測試單位人員進(jìn)行溝通。B. 在總部層面（ERP項目總體維護(hù)組）權(quán)限測試發(fā)現(xiàn)的問題需要與被測試單位業(yè)務(wù)部門的權(quán)限擁有者及內(nèi)控部門進(jìn)行溝通。C. 在地區(qū)公司層面信息總體控制測試、應(yīng)用控制測試發(fā)現(xiàn)的問題需要與被測試單位內(nèi)控部門及相關(guān)控制執(zhí)行人進(jìn)行溝通。D. 上述溝通工作完成后，根據(jù)相關(guān)人員解釋的合理性，判斷是否作為例外事項提出。對于確定的例外事項需要向被測試單位提出相應(yīng)整改建議。(四) 測試檢查 - 4.2.140第40頁，共63頁。6）編制并提交被測試單位的測試檢查報告 在測試工作結(jié)束后，測試檢查小組需將測試結(jié)果與溝通內(nèi)容整理匯總形成測試檢查報告及整改意見，并提

25、交被測試單位。具體請參見附件“XX單位ERP系統(tǒng)內(nèi)控測試檢查報告及整改意見”(四) 測試檢查 - 4.2.141第41頁，共63頁。附件：XX單位ERP系統(tǒng)內(nèi)控測試檢查報告及整改意見該附件是用于編制ERP系統(tǒng)內(nèi)控測試報告及整改意見的模板，主要包括如下內(nèi)容：A. 工作背景：描述被測試單位ERP系統(tǒng)控制規(guī)范執(zhí)行開始時間、ERP系統(tǒng)單軌/雙軌運行時間、上線模塊、測試時間等信息。B. 工作方式及范圍：說明測試依據(jù)、抽樣原則、具體測試范圍（信息系統(tǒng)總體控制測試領(lǐng)域、應(yīng)用控制測試所涉及的ERP模塊及相關(guān)業(yè)務(wù)流程名稱、權(quán)限測試范圍等）C. 工作成果綜述：從總體信息控制測試、應(yīng)用控制測試、權(quán)限測試層面分別按照

26、測試發(fā)現(xiàn)結(jié)果分類（控制不適用、無樣本發(fā)生、控制執(zhí)行有例外、控制執(zhí)行無例外）進(jìn)行概述及統(tǒng)計。D. 提請管理層關(guān)注事項：針對測試結(jié)果說明管理層需要關(guān)注的事項并提出相關(guān)建議。(四) 測試檢查 - 4.2.142第42頁，共63頁。測試檢查經(jīng)驗分享 問題分析：從地區(qū)公司ERP系統(tǒng)上線以來，我們已經(jīng)陸續(xù)完成十幾家地區(qū)公司的測試檢查工作，下面將從以下三方面對測試檢查工作中所發(fā)現(xiàn)的問題進(jìn)行分析：1）ERP系統(tǒng)總體控制層面2）ERP系統(tǒng)應(yīng)用控制層面3）ERP系統(tǒng)權(quán)限控制層面（具體請參見權(quán)限測試部分介紹）(四) 測試檢查 - 4.2.143第43頁，共63頁。(四) 測試檢查 - 4.2.11）ERP系統(tǒng)總體控

27、制層面 舉例說明：GIT-ERP-7.2 控制描述：地區(qū)分公司SAP系統(tǒng)信息安全管理負(fù)責(zé)人每季度檢查用戶的賬號和權(quán)限分配是否符合崗位職責(zé)，是否符合中國石油SAP系統(tǒng)職責(zé)分離矩陣，檢查是否存在未鎖定的不活動帳號（即超過90天未登錄的帳號）并進(jìn)行調(diào)查分析，對不需要的帳號和權(quán)限進(jìn)行清理。 發(fā)現(xiàn)問題：A. 沒有執(zhí)行每季度應(yīng)用系統(tǒng)用戶權(quán)限檢查工作；B. 未按照季度檢查結(jié)果填寫ERP應(yīng)用系統(tǒng)用戶權(quán)限檢查表；C. 尚未建立地區(qū)公司層面的中國石油SAP系統(tǒng)職責(zé)分離矩陣等權(quán)限分配標(biāo)準(zhǔn)，因此信息安全管理負(fù)責(zé)人沒有對ERP系統(tǒng)用戶帳號及權(quán)限分配進(jìn)行每季度檢查；D. 存在多余敏感權(quán)限，沒有在SAP應(yīng)用系統(tǒng)權(quán)限檢查表中

28、進(jìn)行記錄；E. 系統(tǒng)管理員同時擁有所有業(yè)務(wù)權(quán)限權(quán)，違背了職責(zé)分離的原則，沒有在SAP應(yīng)用系統(tǒng)權(quán)限檢查表中進(jìn)行記錄。44第44頁，共63頁。(四) 測試檢查 - 4.2.1我們針對更多在ERP系統(tǒng)總體控制測試中發(fā)現(xiàn)的常見問題進(jìn)行了匯總，供測試檢查小組在進(jìn)行ERP系統(tǒng)總體控制測試時參考，同時提請地區(qū)公司在控制執(zhí)行過程中注意避免出現(xiàn)類似問題。具體請參見附件“ERP系統(tǒng)總體控制測試發(fā)現(xiàn)問題匯總”45第45頁，共63頁。(四) 測試檢查 - 4.2.12）ERP系統(tǒng)應(yīng)用控制層面 舉例說明：- MP04.01.05/MP04.02.06 結(jié)算付款KA4 控制描述：相關(guān)人員檢查SAP中的GR/IR余額清單,

29、分別對“貨到票未到”、“票到貨未到”的情況進(jìn)行確認(rèn)并對超過一個月的差異情況及時處理，在打印出的GR/IR余額清單中注明處理結(jié)果并簽字確認(rèn)。發(fā)現(xiàn)問題：未定期對系統(tǒng)中的GR/IR余額清單進(jìn)行檢查;未保留控制實施證據(jù)；未在打印出的GR/IR余額清單上簽字確認(rèn)。 46第46頁，共63頁。(四) 測試檢查 - 4.2.1我們針對更多在ERP系統(tǒng)應(yīng)用控制測試中發(fā)現(xiàn)的常見問題進(jìn)行了匯總，供測試檢查小組在進(jìn)行ERP系統(tǒng)應(yīng)用控制測試時參考，同時提請地區(qū)公司在控制執(zhí)行過程中注意避免出現(xiàn)類似問題。具體請參見附件“ERP系統(tǒng)應(yīng)用控制測試發(fā)現(xiàn)問題匯總”47第47頁，共63頁。測試檢查經(jīng)驗分享 問題分析：從地區(qū)公司ERP

30、系統(tǒng)上線以來，我們已經(jīng)陸續(xù)完成十幾家地區(qū)公司的測試檢查工作，下面將從以下三方面對測試檢查工作中所發(fā)現(xiàn)的問題進(jìn)行分析：1）ERP系統(tǒng)總體控制層面2）ERP系統(tǒng)應(yīng)用控制層面3）ERP系統(tǒng)權(quán)限控制層面（具體請參見權(quán)限測試部分介紹）(四) 測試檢查 - 4.2.148第48頁，共63頁。(四) 測試檢查 - 4.2.1 問題分析：從地區(qū)公司ERP系統(tǒng)上線以來，我們已經(jīng)陸續(xù)完成十幾家地區(qū)公司的測試檢查工作，下面將從以下三方面對測試檢查工作中所發(fā)現(xiàn)的問題進(jìn)行分析：主要包括如下三方面關(guān)注事項及建議：1）對于總體信息系統(tǒng)控制和應(yīng)用控制存在例外事項的控制點2）ERP項目實施過程中的關(guān)注事項3）用戶權(quán)限分配注意事

31、項（具體參見權(quán)限部分的介紹）49第49頁，共63頁。1）對于總體信息系統(tǒng)控制和應(yīng)用控制存在例外事項的控制點在對ERP-HR及ERP系統(tǒng)已上線地區(qū)公司的測試檢查過程中，存在部分控制未完全執(zhí)行和未執(zhí)行任何控制的例外事項，因此建議管理層特別關(guān)注：對于未按照配置清單進(jìn)行配置的內(nèi)容：需要協(xié)調(diào)ERP項目組盡快執(zhí)行對于出現(xiàn)例外事項的控制點，建議管理層關(guān)注這些控制點并進(jìn)行有效整改，確保嚴(yán)格按照ERP系統(tǒng)控制規(guī)范和應(yīng)用系統(tǒng)控制規(guī)范執(zhí)行。如有必要，地區(qū)公司內(nèi)控部應(yīng)在各部門確認(rèn)整改完畢后，對其整改情況組織評測，以確?？刂茍?zhí)行的有效性。(四) 測試檢查 - 4.2.150第50頁，共63頁。部分例外是因控制執(zhí)行不規(guī)范

32、造成的，其中重要原因之一是在日常工作中未能正規(guī)嚴(yán)格的執(zhí)行該控制，僅部分執(zhí)行了控制要求，且未對執(zhí)行實施證據(jù)表單建立記錄并簽字。對于這類事項，內(nèi)控部應(yīng)協(xié)調(diào)各業(yè)務(wù)部門，盡快落實控制實施證據(jù)及表單，并組織內(nèi)部控制自測的方式進(jìn)行督促和檢查，確?？刂埔?guī)范執(zhí)行。對于在系統(tǒng)上線前確定單軌上線方案，明確原有業(yè)務(wù)系統(tǒng)、財務(wù)系統(tǒng)與ERP系統(tǒng)的替代關(guān)系或并行處理方式。進(jìn)一步明確控制規(guī)范中部分控制點的執(zhí)行人員，目前部分地區(qū)公司尚未明確專門人員復(fù)核供應(yīng)商主數(shù)據(jù)變更、負(fù)責(zé)復(fù)核取消發(fā)票校驗、負(fù)責(zé)復(fù)核收貨入庫信息、負(fù)責(zé)審批取消物料憑證以及負(fù)責(zé)復(fù)核取消物料憑證等，內(nèi)控部門仍應(yīng)組織業(yè)務(wù)部門做進(jìn)一步的明確。(四) 測試檢查 - 4.

33、2.151第51頁，共63頁。2） ERP項目實施過程中的關(guān)注事項對于正在實施ERP系統(tǒng)尚未進(jìn)入雙軌階段的地區(qū)公司，在ERP項目實施過程中應(yīng)注意以下事項：對于確保集成測試、用戶接受測試中的測試對象范圍及參與測試的用戶范圍的充分性。建議在系統(tǒng)集成測試及用戶接受測試中包含系統(tǒng)接口及電子表格的測試內(nèi)容，確保系統(tǒng)上線后可以滿足業(yè)務(wù)正常運行。對于用戶接受測試，建議盡快編制用戶接受測試計劃，除對所有可能發(fā)生的業(yè)務(wù)操作及場景進(jìn)行測試外，還需要關(guān)注參與測試的用戶范圍是否全面，并由用戶對測試結(jié)果進(jìn)行簽字確認(rèn)，從而確保系統(tǒng)上線后能夠充分滿足用戶業(yè)務(wù)需求。(四) 測試檢查 - 4.2.152第52頁，共63頁。ER

34、P上線應(yīng)與內(nèi)控體系建設(shè)同步。建議公司內(nèi)控部門在系統(tǒng)上線前完成相關(guān)內(nèi)控體系建設(shè)，包括但不限于：業(yè)務(wù)流程及跟單、藍(lán)圖與業(yè)務(wù)流程整合掛接、編寫風(fēng)險控制文檔、建立ERP系統(tǒng)實施細(xì)則等等，確保系統(tǒng)上線后即存在相關(guān)的控制規(guī)范作為依據(jù)來執(zhí)行，從而提高數(shù)據(jù)的準(zhǔn)確性及完整性，降低風(fēng)險發(fā)生的可能性。(四) 測試檢查 - 4.2.153第53頁，共63頁。4.2.1 對地區(qū)公司開展現(xiàn)場或非現(xiàn)場測試檢查4.2.2 地區(qū)公司根據(jù)測試檢查報告開展整改4.2.3 對地區(qū)公司的整改結(jié)果進(jìn)行復(fù)查54(四) 測試檢查4.2.254第54頁，共63頁。地區(qū)公司內(nèi)控管理部門工作要點： 地區(qū)公司內(nèi)控管理部門根據(jù)測試檢查報告及整改意見，組織相關(guān)業(yè)務(wù)管理部門和ERP項目組整改 。地區(qū)公司內(nèi)控管理部門編制整改報告，確保發(fā)現(xiàn)的問題都納入了整改范圍；明確整改的期間、所需的樣本數(shù)量；落實整改的責(zé)任部門。 檢查小組測試需督促與跟進(jìn)地區(qū)公司的整改工作，就整改過程中發(fā)現(xiàn)的問題給予詳細(xì)指導(dǎo)。 整改完成后，地區(qū)公司內(nèi)控管理部門通過OA及時將整改報告及整改證據(jù)上報內(nèi)控與風(fēng)險管理部審閱。具體請參見附件“XX單位ERP系統(tǒng)內(nèi)控測試整改報告”(四) 測試檢查 - 4.2.255第55頁，共63頁。(四) 測試檢查 - 4.2.2附件：XX單位ERP系統(tǒng)內(nèi)控測試整改報告該附件是