内部审计用友软件客服中心176号工程师2010年05月20日环境:Win2003+Sp2操作系统SqlServer2000+Sp4数据库U890版本软件补丁:CP-U890-9349-100517-GL内容概要设置系统安全账号安全授权审查业务处理追溯业务操作时效性审查设置操作日志启用选项参数设置不相容权限设置内部审计-设置操作日志启用:用友ERP-U8管理软件可以记录多种关键单据档案的重要变化过程、业务系统参数的变更情况,企业可以根据自身内控实际情况的需要,通过本功能设置哪些单据/档案的哪些操作需要记录日志,设置以后如果发生了这些操作就可以在【业务处理追溯】中的数据操作汇总分析和明细追溯中查看日志,以便日后进行审计追溯。内部审计-设置注意:当勾选操作日志启用选项中的总账,总账的选项中同步删除外部凭证就是灰色的不能选择,整理凭证也无法操作;参数设置:用于设置客商、存货档案可以维护档案的方式,是需要通过申请+审批方式,还是可以直接编辑。内部审计-设置启用了“新增客户申请”时,可以选择是否还能在客户档案上直接增加新客户,如果不勾选则只能通过“新增客户申请"来增加存货档案;如果不启用"新增客户申请",则此项自动勾选启用了"新增存货申请"时,可以选择是否还能在存货档案上直接增加新存货,如果不勾选则只能通过"新增存货申请"来增加存货档案;如果不启用"新增存货申请",则此项自动勾选注意:如果不勾选则只能通过《采购管理》中的"供应商供货审批表"来增加供应商档案。如果不勾选则只能通过《采购管理》中的"供应商供货变更审批表"来修改供应商档案。内部审计-设置注意:当启用了新增客户或存货申请才能看到客户或存货的维护申请节点内部审计-设置不相容权限设置:本功能基于U8精细的权限控制体系,可以协助企业保证部门、岗位及其职责权限的合理分工,坚持不相容职务相互分离,确保不同部门和岗位之间权责分明、相互制约、相互监督。内部审计-设置注意:总账中的这2个不相容权限,就算不启用或者删除了记录,在操作过程中还是一样会有提示操作不成功;例如:增加一个规则,控制填制凭证和出纳签字不能为同一个人,在进行出纳签字的时候如果制单人和做出纳签字的人相同就不能签字系统安全安全策略变更记录账套数据操作历史清退站点日志查询功能操作日志分析内部审计-系统安全安全策略变更记录:提供系统中安全策略变化的详细情况,比如密码最小使用天数、登录密码的安全级别等密码策略、登录、清退控制等设置的变化。可选择不同的安全策略项目查询其设置值的变化情况。内部审计-系统安全账套数据操作历史:对于登录账套的所有年度,提供这些账套数据相关管理操作的历史记录,包括升级数据库、建账、引入、输出、年度账清空、语言扩展、账套修改、账套备份等等。清退站点日志查询:提供当前账套所有年度在使用过程中被清退的情况记录,包括管理员在系统管理中手工清退、同一账号同时在多处登录而自动清退前一登录(启用相应安全策略)、因超过指定时限无操作而强制清退(启用相应安全策略)等情况。内部审计-系统安全功能操作日志分析:提供用户登录企业门户后进行各种功能操作的历史记录。您可以通过本报表对系统中用户账号登录企业门户进行各种公共或业务操作的情况进行分析,以便审查用户在ERP系统中的工作情况,也便于对有疑问的业务进行审计追溯。可以按具体模块过滤按具体功能查询,显示的是权限列表◇账号安全系统账号管理审查登录认证失败历史非在职人员账号查询◇授权审查权限变更追溯权责分配审计查询不合规授权查询不合规业务操作查询◇业务处理追溯业务参数变更查询数据操作汇总分析数据操作明细追溯业务处理追溯-基础档案、财务会计、供应链、生产制造◇业务时效性审查内部审计-账号安全系统账号管理审查:本报表提供系统内各操作员账号信息的变化历史,包括账号的增加、修改、删除、启用、注销等。登录认证失败历史:提供用户登录时口令认证失败的事件记录。您可以通过本报表对系统中用户账号登录认证成败的情况进行审查,便于发现异常登录情况(比如暴力破解),也有助于设置合理的登录口令最多输入次数。非在职人员账号查询:对于本账套内目前不在职、但还对应有登录账号的人员,他们及其对应操作员的信息可以在本报表中查询出来。您可以通过本报表对系统中的登录账号进行审阅,及时核查离岗人员的账号是否已注销,从而减少安全漏洞、降低安全隐患。内部审计-授权审查授权审查包括:权限变更追溯,权责分配审计查询,不合规授权查询,不合规业务操作查询权限变更追溯:查询系统内各账号的权限变化的轨迹,包括功能权限和一些关键的数据权限。您可以通过本报表了解用户和角色的权限变化情况,对操作员拥有的权限进行审计追溯,也可协助发现和追查违规业务及舞弊行为。权责分配审计查询:合理、明确的权责分配是建立并实施内部控制的基本前提,本报表支持查询操作员的权限与对应人员的岗位、任职等情况,用以审查系统中用户的权限与职责是否相符,避免授权不当,确保不同部门、岗位之间权责分明并有利于相互制约、相互监督。不合规授权查询:根据已定义且“启用”的不相容权限规则,系统中操作员拥有的权限如果违反了这些规则,可以通过本报表查看;也支持在已有规则以外、自定义不相容权限来查看操作员的授权是否满足内部控制的要求。不合规业务操作查询:根据已定义且"启用"的不相容权限规则,系统中操作员如果执行过违反这些规则的操作,可以通过本报表查看;也支持在已有规则以外、自己指定不相容权限对应的功能来查看操作员的业务操作是否满足内部控制的要求。内部审计-业务处理追溯业务参数变更查询:记录账套内各个业务系统的参数设置的变化轨迹。可以通过本报表掌握本年度内所有业务系统的参数设置的变化情况,以便审查业务系统的业务流程、业务模式、控制方式等情况,从而确认系统的运行是否始终满足公司对业务的控制要求。内部审计-业务处理追溯数据操作汇总分析:提供账套内关键档案和各个业务系统的关键单据的重要操作的历史情况,比如采购订单的变更、审核,凭证的作废、签字、记帐等等。您可以通过本报表了解关键业务数据的重要变化情况、追溯业务处理的明细过程,从而审查各业务是否符合内部控制的要求联查删除日志:可以打开该行对应的已删除的单据/档案,查看删除时的数据信息联查表体变化明细:可以查看该行对应的那次修改或变更操作对单据表体产生数据的影响,包括增行、删行、修改行(上下两行分别显示修改前、修改后的明细状况)、未修改等情况,比如。内部审计-业务处理追溯数据操作明细追溯:本报表是【数据操作汇总分析】的分类展示,按照业务对象(即档案/单据类型)分别展示,以便有针对性地快速查询某种类型的业务对象的数据操作日志。业务处理追溯-基础档案、财务会计、供应链、生产制造业务处理追溯中,关键档案的重要操作的历史情况,财务供应链生产制造等相关凭证、单据操作都会记录在这些报表中;在过滤条件中录入每页显示行数内部审计-业务操作时效性检查业务时效性审查:包括应收业务时效性审查、应付业务时效性审查、合同业务时效性审查、销售业务时效性审查、采购业务时效性审查、委外业务时效性审查、库存业务时效性审查、生产业务时效性审查、工序委外业务时效性审查本表提供登录帐套多个业务系统重要单据的时效性审查报表,包括应收、应付、合同、销售、采购、委外、工序委外、库存、生产等系统。您可以通过本报表查看相应系统中重要单据的制单、修改、审核操作是否在正常时间点执行,并可按正常、提前、滞后情况进行分类统计,以便审查各业务处理的时效性;
