内控管理信息系统培训讲义简化版

《内控管理信息系统培训讲义简化版》由会员分享，可在线阅读，更多相关《内控管理信息系统培训讲义简化版（218页珍藏版）》请在装配图网上搜索。

1、内控管理-信息系统培训讲义(简化版)信息系统控制培训讲义信息系统控制培训讲义内控管理-信息系统培训讲义(简化版)目录目录n第一章-背景知识n第二章-信息系统总体控制（简称GCC )n第三章-信息系统应用控制（简称AC ）n第四章电子表格控制 n第五章信息系统内控关注要点内控管理-信息系统培训讲义(简化版)背景知识背景知识n萨班尼斯奥克斯莱法案(Sarbanes-Oxley，简称SOx法案 ) n美国安然与世通事件引发保护投资者利益的广泛讨论，上市公司财务信息披露情况的法律遵循性备受关注，2002年美国国会出台了萨班斯-奥克斯利法案 （Sarbanes-Oxley法案，简称SOx法案），法案中4

2、04条款对上市公司建立与财务报告相关的内部控制并维持其有效性提出了明确要求，管理层每年需对内控体系的运行效果进行评估，外部审计师要对内部控制体系和控制效果进行测试并出具审计意见。内控管理-信息系统培训讲义(简化版)背景知识背景知识n内控体系建设要求企业除了有正确完整的财务报表外，还要有确保报表正确而完整的控制体系。n由于目前公司的各个与财务数据相关的主要业务流程都有相应的信息系统支持，对信息系统控制的一致性和有效性方面的薄弱，将降低数据和自动控制的可依赖性，增加管理层和审计师在测试方面的工作量，从而对整个内控体系的有效性产生负面影响。n因此信息系统控制体系建设是公司内控体系建设的重要内容 。内

3、控管理-信息系统培训讲义(简化版)信息系统与财务报告之间的关系信息系统与财务报告之间的关系 n 内控管理-信息系统培训讲义(简化版)公司层面控制公司层面控制企业道德规范企业道德规范公司行为方式公司行为方式公司组织架构公司组织架构沟通流程沟通流程业务活动控制业务活动控制业务活动控制业务活动控制 财务相关应用系统控制财务相关应用系统控制信息系统总体控制信息系统总体控制IT IT 基础设施基础设施数据库数据库操作系统操作系统公司层面控制公司层面控制业务活动控制业务活动控制信息系统总体控制信息系统总体控制内控项目组内控项目组 信息系统信息系统应用控制应用控制 信息系统信息系统总体控制总体控制( (GC

4、C) 中国石油的中国石油的SOxSOx项目分为公司层面控制，业务活动控制、项目分为公司层面控制，业务活动控制、 信信息系统控制三个层面的内容息系统控制三个层面的内容SOxSOx内控体系包括三个层面的内容，内控体系包括三个层面的内容，目前中国石油分为三个项目组来完目前中国石油分为三个项目组来完成相关内控体系的建设，成相关内控体系的建设，GCCGCC项目项目组是其中的重要组成部分组是其中的重要组成部分内控管理-信息系统培训讲义(简化版)目录目录n第一章-背景知识n第二章-信息系统总体控制（简称GCC )n第三章-信息系统应用控制（简称AC ）n第四章电子表格控制 n第五章信息系统内控关注要点内控管

5、理-信息系统培训讲义(简化版)信息系统控制信息系统控制n信息系统控制包含的主要内容 n信息系统总体控制（General Computer Control，简称GCC ） n信息系统应用控制（Application Control，简称AC ）n电子表格控制 内控管理-信息系统培训讲义(简化版)信息系统总体控制信息系统总体控制n信息系统总体控制(简称GCC), GCC所指的是内部控制中对信息系统相关部分的控制，保证由信息系统支持的流程控制是可靠的、生成的数据和报告是可信的。GCC涵盖了IT管理和运营所涉及的各个方面 n信息系统总体控制是内控体系建设一项基础性工作，信息系统总体控制为企业信息系统管

6、理提出了新标准内控管理-信息系统培训讲义(简化版)GCCGCC涵盖了涵盖了ITIT管理和运营所涉及的各个方面管理和运营所涉及的各个方面n系统控制环境：总体环境、信息与沟通、风险评估、监控等n项目建设管理：开发方法论、项目立项审批、项目启动阶段、项目需求分析、项目设计、系统开发实施、系统符合性检查、数据移植、系统上线、项目验收、上线后审阅、用户培训、项目文档管理等n变更管理：应用系统日常变更、系统环境日常变更、紧急变更管理等n系统日常运作：机房环境控制、系统日常运作监控、批处理作业调度管理、数据备份与恢复、问题管理等n信息安全：信息安全组织、逻辑安全、物理安全、网络安全、计算机病毒防护、外部第三

7、方信息安全管理、信息安全事件响应等 信息系统总体控制信息系统总体控制信息系统控制环境信息系统控制环境信信息息安安全全信信息息系系统统日日常常运运作作变变更更管管理理项项目目建建设设管管理理最最终终用用户户操操作作n最终用户操作：最终用户计算机操作安全制度、电子表格管理等内控管理-信息系统培训讲义(简化版)GCCGCC规定是规定是GCCGCC体系的纲领性文件体系的纲领性文件nGCC规定是中国石油信息系统总体控制体系的重要组成部分，是GCC体系的纲要性文件，制定了与中国石油信息系统总体控制相关的政策和制度n描述了中国石油GCC总体政策、适应范围及制定、审批、发布、维护、更新流程n明确了中国石油在总

8、体控制环境、信息安全、项目建设管理、系统变更、信息系统日常运作、最终用户操作等方面的总体规定和要求中国石油天然气股份有限公司中国石油天然气股份有限公司信息系统总体控制规定信息系统总体控制规定2005年年9 9月月内控管理-信息系统培训讲义(简化版)中国石油已经建立起符合内部控制及未来外审需要的信息系中国石油已经建立起符合内部控制及未来外审需要的信息系统总体控制体系统总体控制体系nGCC控制矩阵：是针对每个控制目标确定一个或多个控制点，对每个控制点的控制频率、控制类型等控制属性进行定义，并尽量明确其现行的制度文档GCC实施要求实施要求 GCC控制控制矩阵矩阵测试计划测试计划与测试方案与测试方案相

9、关表相关表单单内控管理-信息系统培训讲义(简化版)20062006年中国石油下发年中国石油下发信息系统总体控制实施要求信息系统总体控制实施要求 ， GCCGCC实施要实施要求是对求是对GCCGCC规定的细化，用于指导日常的信息技术管理和运营维护规定的细化，用于指导日常的信息技术管理和运营维护GCC实施实施要求要求GCC控制控制矩阵矩阵测试计划测试计划与测试方案与测试方案相关表单相关表单n实施要求实施要求 涵盖了涵盖了ITIT管理和运营所涉及的各个方面管理和运营所涉及的各个方面n控制环境控制环境信息技术组织人力资源管理信息沟通风险评估监控n信息安全信息安全信息安全组织逻辑安全物理安全网络安全病毒

10、防护第三方管理安全事件响应n项目建设管理项目建设管理项目立项项目立项审批商业软件及硬件的外购项目建设方法论项目启动需求分析项目设计系统开发实施系统测试数据移植系统上线项目验收和上线后审阅项目管理项目培训管理项目文档管理项目问题管理项目变更管理n系统变更系统变更日常变更紧急变更n信息系统日常运作信息系统日常运作机房环境控制日常监控批处理作业管理备份与恢复问题管理n最终用户操作最终用户操作最终用户操作安全制度电子表格管理内控管理-信息系统培训讲义(简化版)为确保为确保GCCGCC体系实施的统一性和高效率，实施要求规定了体系实施的统一性和高效率，实施要求规定了GCCGCC表单表单GCC实施实施要求要

11、求GCC控制控制矩阵矩阵测试计划测试计划与测试方案与测试方案相关相关表单表单GCC领域领域表单数量表单数量总体管理1控制环境1信息安全19项目建设管理1系统变更4信息系统日常运作14最终用户操作343合计合计内控管理-信息系统培训讲义(简化版)并根据控制矩阵和实施要求的相关要求，制定了测试计并根据控制矩阵和实施要求的相关要求，制定了测试计划和测试方案划和测试方案GCC实施要求实施要求GCC控制矩阵控制矩阵测试计划测试计划与测试方案与测试方案相关表单相关表单内控管理-信息系统培训讲义(简化版)任务单任务单是依据实施要求中对各是依据实施要求中对各级部门和岗位需要完成的级部门和岗位需要完成的GCC相

12、关相关工作的要求而编制工作的要求而编制任务单明确了这些任务单明确了这些岗位应完成哪些岗位应完成哪些GCCGCC任务，并说明了任务，并说明了该任务的执行频率及需留下的证据该任务的执行频率及需留下的证据n公司层面涉及：公司层面涉及：信息管理部门、财务部门、规划计划部信息管理部门、财务部门、规划计划部门、法律部门、人事部门、销售部门、门、法律部门、人事部门、销售部门、物资部门等重要岗位的物资部门等重要岗位的GCCGCC任务单任务单GCC_GCC_信息系统总体控制实施要求信息系统总体控制实施要求_ _按岗位按岗位同时，为便于各单位的执行，同时，为便于各单位的执行， 为促进为促进GCCGCC体系的实施，

13、为涉及到的体系的实施，为涉及到的每个岗位制定了一整套每个岗位制定了一整套GCCGCC任务单，明确了这些岗位应完成哪些任务单，明确了这些岗位应完成哪些GCCGCC任务，并说明了该任务的执行频率及需留下的证据任务，并说明了该任务的执行频率及需留下的证据内控管理-信息系统培训讲义(简化版)公司层面，共确定了公司层面，共确定了2424个岗位的个岗位的209209项项GCCGCC任务任务n需要说明的是，这里列出的岗位与实际的需要说明的是，这里列出的岗位与实际的组织机构岗位和人员并不一一对应，存在组织机构岗位和人员并不一一对应，存在一人多岗和一岗多人的情况一人多岗和一岗多人的情况nGCC_GCC_信息系统

14、总体控制实施要求信息系统总体控制实施要求_ _按岗位按岗位小计：227岗位岗位需完成的需完成的GCC任务数任务数信息技术部门负责人23财务部门信息管理负责人16规划计划部负责人1人事部负责人1业务部门主管领导24信息安全管理负责人8应用系统负责人23应用系统管理员12操作系统管理员3数据库管理员2机房负责人7网络管理负责人10网络管理员9帮助热线支持人员4项目指导委员会4项目管理办公室3项目经理19项目开发人员1系统上线操作人员1程序保管人员3变更实施人员8电子表格负责人7电子表格开发人员2一般员工18小计：209内控管理-信息系统培训讲义(简化版)GCCGCC各相关岗位和人员应根据以下的步骤

15、和方法来执行具各相关岗位和人员应根据以下的步骤和方法来执行具体的体的GCCGCC任务任务1 1从“岗位人员对照表”中明确自己的岗位角色2 2在“GCC任务单”中查看本岗位需要完成哪些任务3 3对具体某些任务，到“实施要求”对应章节中查看其详细内容和要求4 4执行“实施要求”要求，根据需要填写表单，并注意表单填写的注意事项5 5每月将其相关的GCC证据提交给本部门文档管理人员，由文档管理人员统一归档“岗位人员对照表”GCC任务单”“GCC实施要求”“GCC相关表单”“归档文件清单”所需的相关文档内控管理-信息系统培训讲义(简化版)以以“信息安全管理负责人信息安全管理负责人”为例为例1 1从“岗位

16、人员对照表”中明确自己的岗位角色2 2在GCC任务单中查看本岗位需要完成哪些任务3 3对具体某些任务，到“实施要求”对应章节中查看其详细内容和要求4 4执行“实施要求”要求，根据需要填写表单，并注意表单填写的注意事项5 5每月将其相关的GCC证据提交给本部门文档管理人员，由文档管理人员统一归档内控管理-信息系统培训讲义(简化版)信息系统总体控制要求及关注要点信息系统总体控制要求及关注要点信息系统安全子领域信息系统日常运作子领域变更管理子领域项目建设管理子领域控制环境子领域内控管理-信息系统培训讲义(简化版) 信息安全子领域信息安全子领域注：黄色表示注：黄色表示风险级别：高，我将在后面详细，我将

17、在后面详细解释。解释。内控管理-信息系统培训讲义(简化版)控制措施描述：控制措施描述：信息安全管理负责人定期（每六个月）审核本单位信息系统总体控制活动的职责分离状况，填写职责分离检查表，将不符情况报相关负责人。控制措施：制度和流程AQ1信息安全子领域控制要求及关注要点信息安全子领域控制要求及关注要点控制要求：控制要求：根据GCC实施要求的要求，确定1、特权用户需填写特权用户备案登记表。2、了解职责分离的情况。3、该控制点与GCC其他控制点均有关联，因此，该控制点要求对其他所有的控制点的职责分离情况进行归纳和总结。内控管理-信息系统培训讲义(简化版)控制措施：制度和流程AQ1信息安全子领域控制要

18、求及关注要点信息安全子领域控制要求及关注要点风险描述：风险描述：职责不分离会引发一人兼任多职的舞弊行为，造成无法对其活动进行有效的监控和稽核。风险级别：高主要例外情况：主要例外情况：1、职责分离检查表中各项内容的填写未发现不符合控制要求的情况，但实际上却存在职责不分离，即一人兼多职的问题。2、应用系统管理员具备对操作系统和数据库的特权访问的情况。内控管理-信息系统培训讲义(简化版)控制措施描述：控制措施描述：应用系统、数据库、操作系统（含网络操作系统）及网络设备的帐号及权限的申请、变更及撤销需要经过有效的审批或授权，审批时应对照职责分离矩阵进行检查，确保用户权限申请和变更符合职责分离要求。控制

19、措施：逻辑安全AQ2信息安全子领域控制要求及关注要点信息安全子领域控制要求及关注要点控制要求：控制要求：通过现有应用系统来检查表单：对通用角色与系统终端用户对照表中的任何变更严格按照申请、变更和撤销的流程执行。明确应用系统相关的临时权限及其对应的角色，对临时权限管理应遵循用户帐号及权限管理的规定。是否填写了用户帐号及权限管理表及主数据变更申请表。通过表单来检查现有应用系统：对照用户帐号及权限管理表检查应用系统中的实际情况，检查系统实际情况是否与表单一致。检查职责分离情况：对照职责分离矩阵检查现有应用系统和表单中是否存在职责不分离的情况。内控管理-信息系统培训讲义(简化版)控制措施：逻辑安全AQ

20、2主要例外情况：主要例外情况：1、账户新增与撤销、岗位与角色变动没有填写相应的用户帐号及权限管理表。2、用户帐号及权限管理表的申请、审批和授权存在问题。信息安全子领域控制要求及关注要点信息安全子领域控制要求及关注要点风险描述：风险描述： 应用系统终端用户权限申请审批控制是权限正确分配的基本控制之一，未执行该控制或者控制执行不到位，将有可能导致应用系统实际权限分配不符合控制要求，如果审计同时发现系统实际的权限存在问题，则将加大产生实质性漏洞的风险。风险级别：高内控管理-信息系统培训讲义(简化版)控制措施描述：控制措施描述：应用系统负责人每三个月审核应用系统的用户账号和用户权限设置。控制措施：逻辑

21、安全AQ4信息安全子领域控制要求及关注要点信息安全子领域控制要求及关注要点控制要求：控制要求：应用系统权限检查结果应与应用系统权限检查表的内容保持一致。对已撤销权限的用户帐号应加强管理，提供相应的表单作为支持证据。内控管理-信息系统培训讲义(简化版)控制措施：逻辑安全AQ4主要例外情况：主要例外情况：1、应用系统权限检查表的检查结果与系统中实际的检查结果不一致。体现在临时授权、多余权限没有填写用户帐号及权限检查表。2、系统中已经被撤销的用户帐号没有填写对应的用户帐号及权限检查表。信息安全子领域控制要求及关注要点信息安全子领域控制要求及关注要点风险描述：风险描述： 临时权限、多余权限和多余账号具

22、备对所有会计科目产生重大影响的风险，因此，多余权限和账号的管理要遵循信息系统总体控制的要求。如果审计同时发现系统实际的权限存在问题，则将加大产生实质性漏洞的风险。风险级别：高内控管理-信息系统培训讲义(简化版)控制措施描述：控制措施描述：应用系统负责人每三个月审核数据库管理员和操作系统管理员的账号及权限设置。控制措施：逻辑安全AQ5信息安全子领域控制要求及关注要点信息安全子领域控制要求及关注要点控制要求：控制要求：登录到操作系统，检查所有的操作系统用户及其权限。登录到数据库系统，检查各个库的用户及其权限。获取相关管理员和负责人对操作系统数据库的账号及权限理解和认识，关注其风险意识。内控管理-信

23、息系统培训讲义(简化版)控制措施：逻辑安全AQ5主要例外情况：主要例外情况：1、操作系统及数据库权限检查表与系统不一致，对于操作系统及数据库中的账号没有进行登记和管理。2、不熟悉操作系统及数据库中的特权账号和特权组。对某些具有特权权限的账户没有进行管理，没有填写相应的特权用户备案登记表。信息安全子领域控制要求及关注要点信息安全子领域控制要求及关注要点风险描述：风险描述： 账号通常是高风险的，也是最容易遭受攻击或被忽略的控制点。授权则会对该风险点可能造成的危害程度产生直接影响。对操作系统和数据库的账号和权限的控制是应用系统和业务流程控制过程的基础。账号和权限问题会导致实质性缺陷。风险级别：中内控

24、管理-信息系统培训讲义(简化版)控制措施描述：控制措施描述：信息安全管理负责人在操作系统管理员协助下，每年审核服务器操作系统设置是否符合标准配置方案。控制措施：逻辑安全AQ7、AQ8、AQ9信息安全子领域控制要求及关注要点信息安全子领域控制要求及关注要点控制要求：控制要求：严格按照服务器安全配置检查表对操作系统进行配置检查。例如，应删除或关闭不用的用户帐号和组账号。获取相关管理员和负责人对操作系统安全配置的了解程度，关注其风险意识。内控管理-信息系统培训讲义(简化版)控制措施：逻辑安全AQ7、AQ8、AQ9主要例外情况：主要例外情况： 服务器安全配置检查表的填写与系统中实际情况不符。没有按照服

25、务器安全配置检查表逐项对操作系统进行安全配置和安全检查。例如，没有删除多余用户帐号和组账号，没有关闭不必要的服务，没有对操作系统中的账号和权限进行分析和检查，使用特权账号执行终端登录等。信息安全子领域控制要求及关注要点信息安全子领域控制要求及关注要点风险描述：风险描述： 该项控制是信息系统安全控制中最基本、重要的监督性控制之一，如果配置不符合要求，则意味着检查控制也失效，个别系统管理人员不知道如何检查或者对标准理解模糊，可能会对系统的安全性产生重大的隐患。风险级别：高内控管理-信息系统培训讲义(简化版)控制措施描述：控制措施描述：用户需要直接访问系统中的数据时，应提出申请，由用户主管领导和应用

26、系统负责人进行审批后执行。控制措施：逻辑安全AQ11信息安全子领域控制要求及关注要点信息安全子领域控制要求及关注要点控制要求：控制要求：对所有涉及数据直接访问的申请严格按照GCC关于数据直接访问的要求加以执行。获取相关管理员和负责人对操作系统安全配置的了解程度，着重考察其风险意识。内控管理-信息系统培训讲义(简化版)控制措施：逻辑安全AQ11主要例外情况：主要例外情况：对于数据库直接访问没有填写对应的数据直接访问申请表。没有建立数据直接访问的风险意识。信息安全子领域控制要求及关注要点信息安全子领域控制要求及关注要点风险描述：风险描述： 数据直接访问需要通过有效的方式加以检查和控制，检查的目的是

27、控制敏感数据被恶意访问、篡改和伪造。控制的目的是提供有效的监督和管理手段。数据直接访问的随意性管理会导致实质性漏洞。风险级别：高内控管理-信息系统培训讲义(简化版)控制措施描述：控制措施描述：机房负责人授权需要经常进出机房的人员，并记录在授权人员名单中。控制措施：物理安全AQ12信息安全子领域控制要求及关注要点信息安全子领域控制要求及关注要点控制要求：控制要求：对于机房长期授权人员的任何变动应进行及时的更新和归档。对机房的物理访问应加以控制和记录，例如门禁系统、授权管理、陪同机制、登记机制等。内控管理-信息系统培训讲义(简化版)控制措施：物理安全AQ12主要例外情况：主要例外情况： 对进出机房

28、的长期授权人员的管理控制措施不足，在长期授权人员发生变动后，没有及时更新机房授权人员名单。信息安全子领域控制要求及关注要点信息安全子领域控制要求及关注要点风险描述：风险描述： 机房授权访问属于物理层面的接触，物理访问很容易得到验证，但却很难被管理。容易产生无人管理，或授权混乱的情况。风险级别：中内控管理-信息系统培训讲义(简化版)控制措施描述：控制措施描述：用户申请远程登录帐号时，填写远程登录帐号申请表并提交给用户主管领导和网络管理负责人审批后方可实施。控制措施：网络安全AQ15信息安全子领域控制要求及关注要点信息安全子领域控制要求及关注要点控制要求：控制要求：对所有跨边界网络访问生产网的情况

29、进行一次集中的检查。检查是否使用物理隔离技术。获取相关管理员和负责人对网络风险的认知程度。内控管理-信息系统培训讲义(简化版)控制措施：网络安全AQ15主要例外情况：主要例外情况：1、没有对远程接入访问的情况进行有效的管理。没有对远程访问进行审批和授权。2、不了解远程访问，无法对远程访问进行有效的管理。信息安全子领域控制要求及关注要点信息安全子领域控制要求及关注要点风险描述：风险描述： 远程访问通常属于授权却未登记，并未进行有效的管理。远程访问通常不容易被查证，但却很容易对系统产生严重的危害，原因是远程访问通常具有较高的权限。风险级别：中内控管理-信息系统培训讲义(简化版)控制措施描述：控制措

30、施描述：安装Windows操作系统的服务器和个人计算机，应安装统一的防病毒软件。及时更新防病毒软件商发布的最新病毒库。定期（至少每月）进行病毒扫描。控制措施：病毒防范AQ18信息安全子领域控制要求及关注要点信息安全子领域控制要求及关注要点控制要求：控制要求：使用统一的防病毒软件，采用集中管理的模式。管理员应定期更新和升级病毒管理服务器的病毒库、引擎版本。管理员应对客户端扫描制定策略，并跟踪可能对系统产生严重影响的病毒。内控管理-信息系统培训讲义(简化版)控制措施描述：控制措施描述：第三方需要访问中国石油应用系统生产环境时，应填写用户帐号及权限管理表，说明帐号使用的时间和期限，并得到相关业务部门

31、主管领导的批准。访问结束或访问期限到期，应用系统管理员应及时收回相应的访问权限。控制措施：供应商管理（外包服务）AQ17控制要求：涉及到任何第三方的访问(包括外包服务)应严格按照GCC的实施要求的要求进行控制。严格审查外包服务合同，确定服务等级协议(SLA) 。SLA通常作为一种控制手段。加强对外包服务商实施工作的可控性和可监管，加强对对应管理员的培训。信息系统安全子领域控制要求及关注要点信息系统安全子领域控制要求及关注要点主要例外情况：主要例外情况：1、发现名实不符，具体实施工作通常是由外包服务商提供，而不是通过相应的管理员进行操作。2、相关管理员和负责人对其所负责的工作不熟悉，不能对外包商

32、的工作进行有效的控制。3、没有合理的监控机制，相关负责人和主管领导对外包服务不甚了解，不清楚外包商何时、何地对应用系统进行了何种变更。内控管理-信息系统培训讲义(简化版)控制措施：病毒防范AQ18信息安全子领域控制要求及关注要点信息安全子领域控制要求及关注要点风险描述：风险描述： 病毒会导致以下情况的发生：关键系统的可用性降低，敏感数据被窃取、篡改或伪造，应用系统可靠性降低等。风险级别：高主要例外情况：主要例外情况：1、未使用统一的防病毒软件。2、所使用的防病毒软件的病毒库未进行及时的更新。3、防病毒软件未进行定期扫描内控管理-信息系统培训讲义(简化版)信息系统总体控制要求及关注要点信息系统总

33、体控制要求及关注要点信息系统安全子领域信息系统日常运作子领域变更管理子领域项目建设管理子领域控制环境子领域内控管理-信息系统培训讲义(简化版)信息系统日常运作子领域主要控制措施控制要求及关注要点信息系统日常运作子领域主要控制措施控制要求及关注要点注：黄色表示出现例外注：黄色表示出现例外情况的风险级别情况的风险级别- -高高. .我我将在后面详细解释。将在后面详细解释。控制子领域控制子领域控制点编号控制点编号出现例外控制点出现例外控制点信息系统日信息系统日常运作常运作GCC-YW-1GCC-YW-1GCC-YW-2GCC-YW-2GCC-YW-3GCC-YW-3GCC-YW-4GCC-YW-4G

34、CC-YW-5GCC-YW-5GCC-YW-6GCC-YW-6GCC-YW-7GCC-YW-7GCC-YW-8GCC-YW-8GCC-YW-9GCC-YW-9内控管理-信息系统培训讲义(简化版)控制措施描述：控制措施描述：机房负责人指定人员每天对设备运行状况进行巡检，检查人员对检查结果签字确认。控制措施：系统日常运作监控YW1控制要求：测试相关人员是否每天对机房进行巡检，如何检查，以及是否在设备巡检记录表进行记录。主要例外情况：主要例外情况：1、检查人没有签字确认2、设备巡检记录表中显示某天某巡检人员进行了巡检，但是检查AQ13的机房出入记录发现，该巡检人员当天并没有进入机房。信息系统日常运作

35、子领域控制要求及关注要点信息系统日常运作子领域控制要求及关注要点内控管理-信息系统培训讲义(简化版)控制措施：系统日常运作监控YW1信息系统日常运作子领域控制要求及关注要点信息系统日常运作子领域控制要求及关注要点风险描述：风险描述： 对机房关键通讯及计算机设备进行巡检，是保证信息系统正常运行并防范来自外界环境损害的基本控制之一，为执行该控制或者控制执行不到位，将有可能导致通讯和信息系统遭到外界环境因素的损害，给整个信息系统带来风险。机房巡检记录表是机房巡检的关键证据，如果记录表没有检查人签字确认，将导致审计师无法有效地对该等控制点实施测试，也将影响到管理层实施检查的有效性。风险级别：高内控管理

36、-信息系统培训讲义(简化版)控制措施描述：控制措施描述：应用系统管理员应每周检查应用系统日志，审查是否有错误信息或异常登录信息。控制措施：系统日常运作监控YW2控制要求：通过日志审查确立应用系统的运行状况。检查应用系统的日志是否存在漏洞。主要例外情况：主要例外情况：1、应用系统日志保存不完整2、某些系统没有日志功能，如FA5.0以及部分财务关联复杂系统。信息系统日常运作子领域控制要求及关注要点信息系统日常运作子领域控制要求及关注要点内控管理-信息系统培训讲义(简化版)控制措施：系统日常运作监控YW2信息系统日常运作子领域控制要求及关注要点信息系统日常运作子领域控制要求及关注要点风险描述：风险描

37、述： 日志是应用系统检查的一项基本证据，是供审计师进行测试的主要依据，如果日志记录不完整、不完善，将导致审计师无法有效地对该等控制点实施测试，也将影响到管理层实施检查的有效性；再者，日志检查表是对每周检查结果的记录，采取一次性打印的方式很大程度上说明没有有效执行控制。风险级别：高内控管理-信息系统培训讲义(简化版)控制措施描述：控制措施描述：网络管理员每周检查防火墙日志，对检查结果签字确认。控制措施：系统日常运作监控YW3控制要求：查看防火墙日志的报警级别的配置查看防火墙的日志记录。主要例外情况：主要例外情况：1、防火墙日志保存不完整2、发现防火墙日志中的异常情况报警之后，没有填写问题记录日志

38、表信息系统日常运作子领域控制要求及关注要点信息系统日常运作子领域控制要求及关注要点内控管理-信息系统培训讲义(简化版)控制措施：系统日常运作监控YW3信息系统日常运作子领域控制要求及关注要点信息系统日常运作子领域控制要求及关注要点风险描述：风险描述： 防火墙日志通常会如实记录所有对外部网络的连接和访问情况，通过日志可以很快地查看本地网络是否遭受探测、渗透和入侵。日志证据是审计师进行测试的主要依据，如果日志记录不完整、不完善，将导致审计师无法有效地对该等控制点实施测试，也将影响到管理层实施检查的有效性。风险级别：高内控管理-信息系统培训讲义(简化版)控制措施描述：控制措施描述：应用系统负责人指定

39、人员根据应用系统的重要程度，制订备份和恢复策略，填写备份作业清单及备份作业详细说明书，并经过应用系统负责人审批。控制措施：备份与恢复YW6控制要求：审查应用系统备份方案或策略。查看备份相关表单的填制是否规范、合理和完整。主要例外情况：主要例外情况：1、备份作业清单中的备份作业在备份作业详细说明书中没有体现。2、备份作业清单中的备份频率与备份作业详细说明书中的备份频率不一致。3、备份作业清单中的备份作业编号与备份作业详细说明书中的编号不一致。4、备份作业详细说明书中的“异常情况通告”填写为“无异常情况”，实际上应该填写为出现异常情况的处理方式，如“通知应用系统负责人”。信息系统日常运作子领域控制

40、要求及关注要点信息系统日常运作子领域控制要求及关注要点内控管理-信息系统培训讲义(简化版)控制措施：备份与恢复YW6信息系统日常运作子领域控制要求及关注要点信息系统日常运作子领域控制要求及关注要点风险描述：风险描述： 备份和恢复策略的管理是保证业务数据完整、有效的重要措施，备份作业清单及备份作业详细说明书是备份和恢复策略管理的基本证据，是供审计师进行测试的主要依据，如果填写不完整或不能体现实际的备份情况，将导致备份管理混乱，并对审计师的判断产生重大影响。风险级别：中内控管理-信息系统培训讲义(简化版)控制措施描述：控制措施描述：应用系统负责人指定人员依据备份策略，执行备份操作，并对执行结果进行

41、检查。控制措施：备份与恢复YW7控制要求：检查数据库及生产系统的备份频率、方式、介质等。检查备份操作是否保留有证据。主要例外情况：主要例外情况：1、检查备份日志，发现备份日志与备份作业记录表记录的情况不一致。如备份日志中显示没有进行备份，但是备份作业记录表中记录为“正常”。2、备份日志保存不完整，导致无法检查备份作业记录表与系统实际是否一致。信息系统日常运作子领域控制要求及关注要点信息系统日常运作子领域控制要求及关注要点内控管理-信息系统培训讲义(简化版)控制措施：备份与恢复YW7信息系统日常运作子领域控制要求及关注要点信息系统日常运作子领域控制要求及关注要点风险描述：风险描述： 只有按照已经

42、制定备份和恢复策略进行业务数据备份和恢复工作并进行备份作业记录表和记录备份、恢复日志才能保证业务数据完整、有效，备份作业记录表和备份、恢复日志是供审计师进行测试的主要依据，如果填写或记录不完整，将导致审计师无法有效地对该等控制点实施测试，也将影响到管理层实施检查的有效性。风险级别：高内控管理-信息系统培训讲义(简化版)控制措施描述：控制措施描述：应用系统负责人指定人员每年，或备份方法、步骤或环境发生重大变化时，进行恢复性测试，应用系统负责人对测试结果签字确认。控制措施：备份与恢复YW8控制要求：针对备份策略的变化，及环境发生变化，检查是否执行了备份恢复测试。获取相关管理员和负责任对备份恢复测试

43、的理解程度。主要例外情况：主要例外情况：系统发生重大变更时，没有进行备份恢复性测试。如FMIS安装清欠模块，没有进行备份恢复性测试。信息系统日常运作子领域控制要求及关注要点信息系统日常运作子领域控制要求及关注要点内控管理-信息系统培训讲义(简化版)控制措施：备份与恢复YW8信息系统日常运作子领域控制要求及关注要点信息系统日常运作子领域控制要求及关注要点风险描述：风险描述： 对备份数据进行恢复性测试是保证备份有效性的主要措施， 备份恢复测记录表是供审计师进行测试的主要依据，如果填写或记录不完整，将导致审计师无法有效地对该等控制点实施测试，也将影响到管理层实施检查的有效性。风险级别：低内控管理-信

44、息系统培训讲义(简化版)控制措施描述：控制措施描述：帮助热线支持人员定期分类汇总当月发生的问题，形成书面分析报告，向本部门主管领导汇报。控制措施：问题管理YW9控制要求：确认各应用系统的热线帮助人员。确认问题管理是否系统化，热线帮助人员是否具有主动、积极的态度。主要例外情况：主要例外情况：1、有问题发生，但是没有填写问题记录日志表，如发现备份不成功，在备份作业记录表中选择了“转问题处理”这一选项，但是实际没有填写问题记录日志表2、问题分类汇总月报表中的问题数量与当月问题记录日志表中的问题总数不一致3、负责人没有在问题分类汇总月报表上签字。信息系统日常运作子领域控制要求及关注要点信息系统日常运作

45、子领域控制要求及关注要点内控管理-信息系统培训讲义(简化版)控制措施：问题管理YW9信息系统日常运作子领域控制要求及关注要点信息系统日常运作子领域控制要求及关注要点风险描述：风险描述： 有效的问题管理流程将保证公司信息系统和业务流程有效的运转，问题记录日志表是供审计师进行测试的主要依据，如果填写或记录不完整，将导致审计师无法有效地对该等控制点实施测试，也将影响到管理层实施检查的有效性。风险级别：中内控管理-信息系统培训讲义(简化版)信息系统总体控制要求及关注要点信息系统总体控制要求及关注要点信息系统安全子领域信息系统日常运作子领域变更管理子领域项目建设管理子领域控制环境子领域内控管理-信息系统

46、培训讲义(简化版)变更管理子领域变更管理子领域注：黄色表示出现例外注：黄色表示出现例外情况的风险级别情况的风险级别- -高高. .我我将在后面详细解释。将在后面详细解释。内控管理-信息系统培训讲义(简化版)控制措施描述：控制措施描述：用户申请变更时应提交变更申请，由主管领导和应用系统负责人（或信息技术部门负责人）进行审批后实施。控制措施：变更申请BG1变更管理子领域控制要求和关注要点变更管理子领域控制要求和关注要点控制要求：控制要求：表单的规范填写和审批。系统中实际发生的变更活动的管理，例如，通过日志检查、应用系统模块查看、访问和使用方式等。内控管理-信息系统培训讲义(简化版)控制措施：变更申

47、请BG1主要例外情况：主要例外情况：变更申请表与变更统计表不一致；变更申请表填写不规范，例如，缺少“变更预期时间”，未选择“变更受理”等内容。变更管理子领域控制要求和关注要点变更管理子领域控制要求和关注要点风险描述：风险描述： 对于系统变更活动如果没有有效的申请、审批流程等控制，将导致审计师无法有效地对该等控制点实施测试，也将影响到管理层实施检查的有效性。另外，也无法对变更实施统一的、有效的管理。风险级别：中 内控管理-信息系统培训讲义(简化版)控制措施描述：控制措施描述：负责变更实施及测试的信息技术人员建立与生产环境相隔离的开发/测试环境，并在其中进行变更的开发及测试。控制措施：变更实施BG

48、3变更管理子领域控制要求和关注要点变更管理子领域控制要求和关注要点控制要求：控制要求：物理上接触测试环境和生产环境。逻辑上访问测试环境和生产环境。内控管理-信息系统培训讲义(简化版)控制措施：变更实施BG3主要例外情况：主要例外情况：变更过程中开发和测试环境与生产环境之间未进行有效的隔离。变更管理子领域控制要求和关注要点变更管理子领域控制要求和关注要点风险描述：风险描述： 开发、测试与生产环境未进行有效的隔离可能会导致：开发人员在应用系统中安装后门程序，导致应用系统自身的安全控制失效；开发与生产环境未分离会导致开发环境的不确定性进而影响到生产系统的可靠性、稳定性和安全性。风险级别：高内控管理-

49、信息系统培训讲义(简化版)控制措施描述：控制措施描述：变更申请人的主管领导、应用系统负责人（或信息技术部门负责人）共同审核程序版本的准确性，确定是否可以上线。控制措施：变更上线BG4变更管理子领域控制要求和关注要点变更管理子领域控制要求和关注要点控制要求：控制要求：检查上线申请与审批的流程及证据。检查上线测试的流程和状况。内控管理-信息系统培训讲义(简化版)控制措施：变更上线BG4主要例外情况：主要例外情况：1、变更上线未经过充分的测试。2、变更上线未经过审批，或未留下证据。变更管理子领域控制要求和关注要点变更管理子领域控制要求和关注要点风险描述：风险描述： 变更上线若未经过充分的测试，将会对

50、生产系统产生无法预料的影响。轻则影响应用系统的功能和性能，严重的可能导致整个应用系统崩溃。未经充分测试和审批的变更上线属于实质性漏洞。风险级别：高内控管理-信息系统培训讲义(简化版)信息系统总体控制要求及关注要点信息系统总体控制要求及关注要点信息系统安全子领域信息系统日常运作子领域变更管理子领域项目建设管理子领域控制环境子领域内控管理-信息系统培训讲义(简化版)项目建设管理子领域项目建设管理子领域注：黄色表示出现例外注：黄色表示出现例外情况的风险级别情况的风险级别- -高高. .我我将在后面详细解释。将在后面详细解释。内控管理-信息系统培训讲义(简化版)风险分析：风险分析： 项目建设属于高风险

51、的领域，其中所涉及的KF1至KF9共9个点理论上均属于高风险控制点。在实际测试中，我们发现用户对项目建设管理的整个生命周期和关键控制点未做到有效的控制，体现在某些控制没有实施，控制证据不足。同时，未理解项目建设中可能存在重大隐患的控制点。 以上所列问题会影响到对整体项目及应用系统的控制，或是对整体项目是否成功产生实质性的影响。同时，会影响到外审对该控制领域的判断。也会对财务报告产生重大影响。 在项目建设中，应重点关注项目计划、上线测试、项目变更、环境分离等控制点。项目建设管理子领域风险分析项目建设管理子领域风险分析内控管理-信息系统培训讲义(简化版)控制措施描述：控制措施描述：项目经理应组织制

52、订项目的总体计划，应包括项目范围、进度管理、人员需求、沟通管理等基本内容。控制措施：方法论及项目审批KF1控制要求：分析项目的总体计划、成本控制、质量控制、人员组织等信息。考察项目经理的背景以及是否经过相关培训。了解项目管理的目标、方法和流程。主要例外情况：主要例外情况：1、资产系统5.0升级到资产系统6.0项目没有制定专门的项目总体计划，而是把其他文档（如资产信息集中管理项目的工作计划表）作为替代，2、项目总体计划中缺少项目范围、人员需求、沟通管理等基本内容，或者缺少项目经理的签名和审批意见。项目建设管理子领域控制要求及关注要点项目建设管理子领域控制要求及关注要点内控管理-信息系统培训讲义(

53、简化版)控制措施描述：控制措施描述：项目立项由项目建设单位根据自身业务需求提出申请，本单位信息技术部门和规划计划部门负责审批。控制措施：方法论及项目审批KF2控制要求：分析业务目标和预期收益。主要例外情况：主要例外情况：可行性研究报告中缺少：项目目标与范围、现状与需求分析、技术方案、系统设计、组织机构与定员、实施计划、实施投资估算、实施风险与效益分析中的一项或几项。项目建设管理子领域控制要求及关注要点项目建设管理子领域控制要求及关注要点内控管理-信息系统培训讲义(简化版)控制措施描述：控制措施描述：需求分析报告完成后，项目经理组织项目组与各相关方共同讨论该报告，各方确认报告内容后，在报告上签字

54、。控制措施：系统开发KF3控制要求：分析业务需求、概要设计和详细设计等内容。报告是否执行了有效的、全面的审批。主要例外情况：主要例外情况：需求分析报告缺少业务部门负责人或者项目经理的签字项目建设管理子领域控制要求及关注要点项目建设管理子领域控制要求及关注要点内控管理-信息系统培训讲义(简化版)控制措施描述：控制措施描述：系统应经过用户接受测试，用户要对测试结果进行签字确认。控制措施：测试KF5控制要求：用户对应用系统功能的熟悉程度，对性能的接受度。检查测试实施证据是否完整。主要例外情况：主要例外情况：1、没有进行用户接受测试2、用户对测试结果没有签字项目建设管理子领域控制要求及关注要点项目建设

55、管理子领域控制要求及关注要点内控管理-信息系统培训讲义(简化版)控制措施描述：控制措施描述：数据移植应进行测试，确保数据移植的准确性和完整性，由用户对数据移植的测试结果进行确认并签名。控制措施：数据移植KF6控制要求：分析数据移植方案或策略。检查数据移植的相关证据。主要例外情况：主要例外情况：1.没有进行数据移植测试2.对数据移植的测试结果没有签字确认项目建设管理子领域控制要求及关注要点项目建设管理子领域控制要求及关注要点内控管理-信息系统培训讲义(简化版)控制措施描述：控制措施描述：在上线前，项目经理要提交系统上线计划和上线申请表给信息技术部门和业务部门管理层审批，系统上线操作人员负责将最后

56、版本的系统程序移植到生产环境。控制措施：上线KF7控制要求：分析上线方案或策略。上线回退机制的分析。考察上线申请与审批。主要例外情况：主要例外情况：1.没有编制上线计划和上线申请表；2.上线计划和上线申请表的内容不完整；3.上线计划和上线申请表中没有相关人员的审批签字。项目建设管理子领域控制要求及关注要点项目建设管理子领域控制要求及关注要点内控管理-信息系统培训讲义(简化版)控制措施描述：控制措施描述：项目进程中出现变更需求时，应填写变更申请单，由项目经理决定是否变更，或逐级上报项目管理办公室和项目指导委员会进行审批。控制措施：项目变更KF8控制要求：明确项目建设子领域的变更与变更活动子领域的

57、差异。对比项目概要设计与应用系统实际情况。项目变更实施证据。主要例外情况：主要例外情况：检查项目阶段报告，发现系统开发过程中发生了某些变更，如增加系统模块或者修改现有模块的功能，属于项目开发过程中的变更，但是没有填写相应的变更申请表。项目建设管理子领域控制要求及关注要点项目建设管理子领域控制要求及关注要点内控管理-信息系统培训讲义(简化版)控制措施描述：控制措施描述：在项目的执行过程中，应确保开发、测试和生产环境的隔离，项目经理应对项目执行过程中是否符合环境隔离要求进行审阅，并将审阅结果反映在项目阶段报告中。控制措施：项目管理KF9控制要求：考察测试、开发和生产的物理环境。考察测试、开发和生产

58、的逻辑环境。主要例外情况：主要例外情况：1.没有做到测试环境和开发环境、生产环境的分离，2.项目经理没有对环境分离情况进行审阅，阶段报告中没有体现环境分离的相关内容。项目建设管理子领域控制要求及关注要点项目建设管理子领域控制要求及关注要点内控管理-信息系统培训讲义(简化版)信息系统总体控制要求及关注要点信息系统总体控制要求及关注要点信息系统安全子领域信息系统日常运作子领域变更管理子领域项目建设管理子领域控制环境子领域内控管理-信息系统培训讲义(简化版)检查结果：检查结果： 对环境控制子领域的检查结果未发现实质性漏洞。控制环境子领域控制环境子领域内控管理-信息系统培训讲义(简化版)目录目录n第一

59、章-背景知识n第二章-信息系统总体控制（简称GCC )n第三章-信息系统应用控制（简称AC ）n第四章电子表格控制 n第五章信息系统内控关注要点内控管理-信息系统培训讲义(简化版)信息系统应用控制信息系统应用控制n一、应用系统控制介绍n二、应用系统控制措施管理规范n三、等级一系统主要控制措施实施细则及关注要点n四、复杂财务关联信息系统主要控制措施实施细则及关注要点n五、应用系统权限管理基本情况及关注要点内控管理-信息系统培训讲义(简化版)信息系统应用控制信息系统应用控制n信息系统应用控制（Application Control，简称AC ）nAC所指的是：业务流程中内嵌的信息系统相关控制，信息

60、系统应用的潜在风险直接影响业务流程中的信息控制目标。信息系统应用控制包含的主要内容有 ： n（1）完整性（2）准确性：（3）有效性:（4）接触控制内控管理-信息系统培训讲义(简化版)信息系统应用控制信息系统应用控制n（1）完整性:所有的交易都经过处理，且只处理一次；不允许数据的重复录入和处理；例外情况的发现和解决。n （2）准确性：所有的数据（包括金额和账户）是正确和合理的；例外情况被及时发现以保证交易被记录在正确的会计期间。n （3）有效性:交易被适当授权；系统不接受虚假交易；异常情况被发现和处理。n （4）接触控制:未经授权，不得对系统或数据进行修改；数据保密性；物理设备的保护。内控管理-

61、信息系统培训讲义(简化版)财务关联信息应用系统（关键应用系统）财务关联信息应用系统（关键应用系统）n公司内部有各类应用信息系统，应对公司应用的信息系统进行判断，界定是否属于与财务相关的关键应用系统： （1）该应用系统用于进行有关重要交易事项的生成、授权、记录、处理或报告； （2）该系统是否生成关键的表单和数据供财务部门使用，直接作为记账依据或生成财务报表； （3）该系统是否生成关键的表单和数据为其他作为记账依据或生成财务报表的系统使用； （4）对应用系统的依赖程度，即是否有来自系统的计算结果，应用系统中是否存在相应的计算、检查、核对过程的控制； （5）上述应用控制是否是唯一依赖的控制措施，是否

62、存在手工控制可以达到控制目标，弥补风险。内控管理-信息系统培训讲义(简化版)财务关联信息应用系统（关键应用系统）财务关联信息应用系统（关键应用系统）n符合以上判断条件的与财务报告相关的关键应用系统应按照AC进行控制，控制分为5类：n访问控制、职责分离、输入控制、处理控制、输出控制。内控管理-信息系统培训讲义(简化版)财务关联信息应用系统（关键应用系统）财务关联信息应用系统（关键应用系统）n信息系统应用控制财务资产 产品销售物资采购存货管理人力资源与业绩考核内控管理-信息系统培训讲义(简化版)财务关联信息应用系统（关键应用系统）财务关联信息应用系统（关键应用系统）等级一系统等级二系统等级三系统重

63、要的与财务内部控制相关应用系统与财务内部控制间接相关系统，该类应用系统生成的数据作为财务记账处理或为财务系统所使用除等级一系统和等级二系统外的系统n财务FMIS5.0/6.0/7.0- 总部资金管理系统- 资产管理系5.0/6.0/7.0 - 其他财务系统系统等级系统等级系统说明系统说明系统名称系统名称- 复杂的采购，销售，工资系统- 简单的采购，销售类等系统n 其他信息系统应用控制和信息系统总体控制测试范围内控管理-信息系统培训讲义(简化版)系统相关控制措施分类FMIS6.0/7.0 系统系统系统相关控制措施分类系统相关控制措施分类业务流程名称总数权限控制信息系统总体控制其他系统控制账务体系

64、结构与维护账务体系结构与维护10103 34 43 3会计业务处理会计业务处理20203 34 41313对外财务报告（地区公司）对外财务报告（地区公司）19193 34 41212总计总计49499 912122828 内控管理-信息系统培训讲义(简化版)FA6.0/7.0 系统系统系统相关控制措施分类系统相关控制措施分类业务流程名称总数权限控制信息系统总体控制其他系统控制主数据定义与维护主数据定义与维护7 72 24 41 1转资转资9 92 24 43 3折旧（直线法）折旧（直线法）12122 24 46 6报废管理报废管理8 82 24 42 2总计总计36368 816161212系

65、统相关控制措施分类系统相关控制措施分类内控管理-信息系统培训讲义(简化版)复杂财务关联信息系统复杂财务关联信息系统系统相关控制措施分类系统相关控制措施分类业务流程名称总数权限控制信息系统总体控制其他系统控制物资采购物资采购14142 24 48 8存货管理存货管理18182 24 41212销售管理销售管理17172 24 41111人力资源与业绩考核人力资源与业绩考核15152 24 49 9总计总计64648 816164040 系统相关控制措施分类内控管理-信息系统培训讲义(简化版)信息系统应用控制信息系统应用控制n一、应用系统控制介绍n二、应用系统控制措施管理规范n三、等级一系统主要控

66、制措施实施细则及关注要点n四、复杂财务关联信息系统主要控制措施实施细则及关注要点n五、应用系统权限管理基本情况及关注要点内控管理-信息系统培训讲义(简化版)应用系统控制措施管理规范应用系统控制措施管理规范应用系统关键控制文档应用系统划分规范及工作指引应用系统用户权限管理工作规范应用系统用户权限设置与测试方案应用系统业务变更管理流程信息系统应用控制测试方法与标准内控管理-信息系统培训讲义(简化版)信息系统应用控制信息系统应用控制n一、应用系统控制介绍n二、应用系统控制措施管理规范n三、等级一系统主要控制措施实施细则及关注要点n四、复杂财务关联信息系统主要控制措施实施细则及关注要点n五、应用系统权限管理基本情况及关注要点内控管理-信息系统培训讲义(简化版)等级一系统主要控制措施实施细则及关注要点等级一系统主要控制措施实施细则及关注要点n（一）FMIS6.0/7.0 主要控制措施实施细则及关注要点n会计业务处理流程n地区公司对外财务报告流程n帐务体系定义与维护流程n（二）FMIS6.0/7.0 报表公式初始化测试内控管理-信息系统培训讲义(简化版)等级一系统主要控制措施实施细则及关注要点等级