U890 产品培训—U8 内控方案用友软件股份有限公司U8 平台 颜伟芝2009 年 8 月 3 日背景完善 U8 系统管理安全内部控制 -“ 内部审计”产品系统安全性账号安全性授权审查业务处理业务处理业务时效性总体课程安排总体课程安排内部控制的标准与立法1 、 1985 年成立了一个反财务舞弊委员会( Treadway 委员会)。2 、在 Treadway 委员会结束其使命之后,该委员会的五个发起组织联合成立了一个新的委员会—— COSO ( The Committee of Sponsoring Organizations of the TreadwayCommittee )3 、 COSO 继续研究并于 1992 年发布了一份关于内部控制的纲领性文件,即《内部控制 - 整体框架》( Internal Control-Integrated Framework )。4 、 2001 年年底以来,美国爆发了以安然、世通、施乐等公司财务舞弊案为代表的会计丑闻,由此导致美国通过了《萨班尼斯——奥克斯利法》( THE SARBANES-OXLEYACT )5 、 SEC 认为 COSO 的《内部控制 - 整体框架》、还有相关国家的权威文件,如加拿大的COCO ( 1 )或英国的 Turnbull ( 2 )的相关规定都是认可的(二者都是以美国 COSO 的报告为蓝本)。根据萨班斯法案第 404 条款,上市公司应当每年对公司的内部控制情况进行评估,对公司的内部治理提出了严苛的要求,COSOCOSO 内部控制的定义内部控制的定义内部控制的作用内部控制的作用★国际资本市场大力强化内部控制,许多国家通过立法强化企业内部控制,内部控制日益成为企业进入资本市场的“入门证”和“通行证” 。★许多企业管理松弛、内控弱化、风险频发,资产流失、营私舞弊、损失浪费等问题还比较突出,内部控制作为公司治理的关键环节和经营管理的重要举措,在企业发展壮大中具有举足轻重的作用。★各级领导高度重视内部控制制度建设,多次强调和批示要求健全内控机制,财政部、国资委、证监会、审计署、银监会、保监会联合发起成立企业内部控制标准委员会,开展一系列内部控制科研课题 。内部控制必要性我国的企业内部控制规范我国的企业内部控制规范我国的企业内部控制规范我国的企业内部控制规范具体规范具体规范财务报表项目相关规范财务报表项目相关规范财务报表编报相关规范财务报表编报相关规范制 度 支 持 制 度 支 持 货币资金货币资金采购与付款采购与付款存 货 存 货 对外投资对外投资工程项目工程项目固定资产固定资产无形资产无形资产资产减值资产减值销售与收款销售与收款筹 资 筹 资 衍生工具衍生工具成本费用成本费用担 保 担 保 合 同 合 同 对子公司的控制对子公司的控制企业合并与分立企业合并与分立服务外包服务外包财务报告编制财务报告编制关联交易关联交易公允价值公允价值信息披露信息披露预 算 预 算 人力资源政策人力资源政策内部审计内部审计中介机构聘用中介机构聘用计算机信息系统计算机信息系统征求意见征求意见 征求意见征求意见 征求意见征求意见 征求意见征求意见征求意见征求意见 征求意见征求意见征求意见征求意见 征求意见征求意见征求意见征求意见 征求意见征求意见 征求意见征求意见征求意见征求意见征求意见征求意见征求意见征求意见征求意见征求意见征求意见征求意见待起草待起草待起草待起草待起草待起草待起草待起草待起草待起草待起草待起草待起草待起草待起草待起草待起草待起草待起草待起草U8 内控解决方案遵循 COSO 内控与风险管理框架:控制环境、风险评估、控制活动、信息和沟通、监控。U8 详细解读《企业内部控制基本规范及十七个具体细则》,对货币资金、固定资产、对外投资、工程项目、采购与付款、筹资、销售与收款、成本费用、担保、子公司经济业务等提供控制措施,给出基于 ERP 的控制手段和完整解决方案。U8 内控解决方案遵循 COSO 内控与风险管理框架:控制环境、风险评估、控制活动、信息和沟通、监控。U8 详细解读《企业内部控制基本规范及十七个具体细则》,对货币资金、固定资产、对外投资、工程项目、采购与付款、筹资、销售与收款、成本费用、担保、子公司经济业务等提供控制措施,给出基于 ERP 的控制手段和完整解决方案。U8 内控方案整体框架审计追溯审计追溯审计追溯审计追溯U8V890内部控制— U8V890内部控制— 内 部 审 计内 部 审 计U890 内控改进框架U8 内控方案——价值体现背景完善 U8 系统管理及系统安全内部控制 -“ 内部审计”产品系统安全性账号安全性授权审查业务处理业务处理业务时效性总体课程安排总体课程安排完善 U8 系统管理及安全不相容权限控制管理员权限分离安全管理员 sadmin管理员类型的用户配置 admin 账号信息数据卸出与还原完善自动备份计划角色导入完善 U8 系统管理及安全 - 管理员权限分离安全管理员 sadminSadmin 负责系统安全方面的工作可以进行安全策略设置可以进行数据卸出与还原完善 U8 系统管理及安全 - 管理员权限分离区分管理员类型的用户划分“普通用户”与“管理员用户”两种类型管理员类型的用户可以分担 admin 的工作,各司其职。完善 U8 系统管理及安全 - 管理员权限分离区分管理员类型的用户根据授权不同,管理员用户登录系统管理后可用的菜单不同完善 U8 系统管理及安全 - 数据卸出与还原 数据卸出 数据还原Admin 卸出工作流数据完善 U8 系统管理及安全 - 完善自动备份计划完善自动备份计划支持异地备份备份计划列表完善,增加“创建人”备份计划日志完善,增加“是否成功”、“备份路径”等信息完善 U8 系统管理及安全 - 角色导入角色导入安全策略与登录控制内控改进安全策略与登录控制门户自动锁定控制不允许修改登录日期控制用户不能同时多处登录背景完善 U8 系统管理及系统安全内部控制 -“ 内部审计”产品系统安全性账号安全性授权审查业务处理业务处理业务时效性总体课程安排总体课程安排内部控制( 产品组名称 ) 内部审计( 产品模块名 ) 设置 选项 操作日志启用选项 不相容权限设置 系统安全 安全策略变更记录 账套数据操作历史 清退站点日志查询 功能操作日志分析 账号安全 系统账号管理审查 登录认证失败历史 非在职人员账号查询 授权审查 权限变更追溯 权责分配审计查询 不合规授权查询 不合规业务操作查询 业务处理追溯 业务参数变更查询 数据操作汇总分析 内部审计菜单 基础档案 客户档案 会计科目 供应商档案 存货档案 批次档案 供应商存货对照表 财务会计 总帐 凭证 …… …… 业务操作时效性审查 应收业务时效性审查 应付业务时效性审查 合同业务时效性审查 销售业务时效性审查 采购业务时效性审查 委外业务时效性审查 工序委外业务时效性审查 库存业务时效性审查 生产业务时效性审查 内部审计菜单安全策略变更查询可查询安全策略设置的变化历史安全策略变更查询账套数据操作历史 可查询账套级数据的操作情况,如对新建账套、备份 / 输出账套、语言扩展、年度结转、数据卸除等账套数据操作历史清退站点日志查询可查询清退站点操作的情况清退站点日志查询功能操作日志分析可查询各种业务操作的详细日志功能操作日志分析背景完善 U8 系统管理及系统安全内部控制 -“ 内部审计”产品系统安全性账号安全性授权审查业务处理业务处理业务时效性总体课程安排总体课程安排系统账号管理审查可查看系统内用户及角色账号的维护情况系统账号管理审查登录认证失败历史 可查询用户登录时因口令错误而认证失败的记录登录认证失败历史非在职人员账号查询 可查看系统内已经不在职但又还有登录账号的人员的情况非在职人员账号查询背景完善 U8 系统管理及系统安全内部控制 -“ 内部审计”产品系统安全性账号安全性授权审查业务处理业务处理业务时效性总体课程安排总体课程安排权限变更追溯 可查询系统内用户、角色拥有的功能权限和部分重要数据权限的变化情况权限变更追溯权责分配审计查询 可查看当前账套中人员的岗位职务与其对应操作员的授权情况,以审查员工的权责是否匹配权责分配审计查询设置不相容权限规则控制不相容权限授权不合规授权查询不合规业务操作查询不相容权限审计设置不相容权限规则不相容权限审计 - 设置规则控制不相容权限授权 当权限变化时,对“启用”的规则根据“控制方式”进行判断 : 当“强制控制”时,给出相应提示,不允许授权,需要调整权限直到没有操作员的授权违反此规则; 当“检查提示”时,给出相应提示,但仍允许继续授权; 不相容权限审计 - 控制权限不合规授权查询不相容权限审计 - 不合规授权审计不合规授权查询Unit 2 不相容权限审计 - 不合规授权审计不合规业务操作查询不相容权限审计 - 不合规业务操作审计不合规业务操作查询Unit 2 不相容权限审计 - 不合规业务操作审计背景完善 U8 系统管理及系统安全内部控制 -“ 内部审计”产品系统安全性账号安全性授权审查业务处理业务处理业务时效性总体课程安排总体课程安排提供多种单据、档案的关键操作的记录与查询,以便对各类重要业务进行审计追溯 ( 业务数据操作日志 )提供对各个业务参数变化的记录与查询 ( 业务参数变更查询 )支持选项设置是否记录日志支持联查删除信息和表体变化明细业务处理追溯数据操作日志明细表业务数据操作日志 - 明细表数据操作日志明细表 - 联查表体变化明细业务数据操作日志 - 联查表体变化明细业务数据操作日志 - 联查删除信息数据操作日志明细表 - 联查删除信息业务数据操作日志 - 联查删除信息数据操作日志明细表 - 联查删除信息联查的已删单据单据编辑界面数据操作日志明细表 - 删除关键字业务数据操作日志删除关键字数据操作日志汇总分析业务数据操作日志 - 汇总分析各种单据 / 档案类型各种操作类型业务参数变更查询业务参数变更查询启用选项业务处理追溯 - 启用选项各种单据 / 档案类型,当执行各种类型的操作时,是否要记录日志业务处理追溯支持的范围业务处理追溯支持的范围背景完善 U8 系统管理及系统安全内部控制 -“ 内部审计”产品系统安全性账号安全性授权审查业务处理业务处理业务时效性总体课程安排总体课程安排业务操作时效性审查 可查看各类业务是否在对应业务时间处理,是否存在提前或滞后的情况Unit 3 业务操作时效性审查背景完善 U8 系统管理及系统安全内部控制 -“ 内部审计”产品系统安全性账号安全性授权审查业务处理业务处理业务时效性其它总体课程安排总体课程安排其他功能内控改进数据权限查看用户拥有的全部权限字段级权限支持设置默认值基础档案审核完善增加客户维护申请数据权限内控改进数据权限查看用户拥有的全部权限字段级权限支持设置默认值显示权限的各种来源显示所有来源角色的权限的总合显示权限的各种来源数据权限内控改进数据权限查看用户拥有的全部权限字段级权限支持设置默认值档案审核内控改进基础档案审核完善增加客户维护申请
