ARP系统内控工作程序-测试检查阶段课件.ppt

1、ERP系统建设内部控制工作程序（四）测试检查阶段4.2.1 对地区公司开展现场或非现场测试检查4.2.2 地区公司根据测试检查报告开展整改4.2.3 对地区公司的整改结果进行复查阶段一.项目准备 阶段二.蓝图设计 阶段三.系统配置 阶段四.测试检查阶段六. 上线审批阶段五.流程完善ERPERP系统建设内部控制工作程序系统建设内部控制工作程序目录(四) 测试检查地区公司内控管理部门 内控与风险管理部 地区公司业务管理部门 ERP项目组 4.2.1提交测试检查申请 安排组织现场或非现场测试检查，形成测试报告及整改意见 4.2.2牵头组织问题整改并将结果上报内控与风险管理部参与整改 参与整改 4.2

2、.3审阅地区公司整改报告，组织复查 执行部门工作内容编号4.2.1 对地区公司开展现场或非现场测试检查4.2.2 地区公司根据测试检查报告开展整改4.2.3 对地区公司的整改结果进行复查4(四) 测试检查4.2.11.地区公司内控管理部门工作要点：(1) ERP系统内控自我测试检查及问题整改完成，且ERP系统双轨运行30天后，地区公司内控管理部门向内控与风险管理部提出ERP系统内控测试检查申请。具体请参见附件“XX单位ERP系统内控测试检查申请”(四) 测试检查 - 4.2.1附件： XX单位ERP系统内控测试检查申请该附件是股份内控与风险管理部下发的用于编制ERP系统内控测试检查申请的模板，

3、其中包括如下主要内容：1）蓝图设计和系统实现工作的完成情况2）ERP系统计划双轨运行时间3）ERP系统相关控制要求的执行起始时间4）是否具备内控测试检查的条件5）提供内控测试检查申请相关附件，包括：u ERP系统权限清理报告：说明开展权限自测及整改的情况；u 控制点适用性情况说明书：从ERP系统控制文档、配置清单、权限相关文档三方面分别说明控制点适用情况，对于不适用情况的原因进行详细说明。并且附上地区公司风险控制文档。(四) 测试检查 - 4.2.1(四) 测试检查 - 4.2.11.地区公司内控管理部门工作要点：(2) 内控与风险管理部收到地区公司的测试检查申请后，组织安排现场或非现场的测试

4、检查。现场测试检查：指测试检查小组根据测试计划，在地区公司现场开展ERP系统应用控制文档访谈，及开展现场抽样测试工作。非现场测试检查：指测试检查小组根据测试计划，在股份公司总部（非地区公司现场）开展ERP系统应用控制测试，地区公司根据要求通过传真或邮递方式提交所测试内容的证据。测试检查工作执行程序如下：1）测试检查小组编制测试计划2）地区公司内控管理部门根据测试计划开展准备工作3）测试检查（一）ERP系统总体控制测试、及ERP系统配置和权限测试4）测试检查（二）ERP系统应用控制测试5）与被测试单位沟通测试发现及后续整改工作6）编制并提交被测单位的测试检查报告(四) 测试检查 - 4.2.11

5、）测试检查小组编制测试计划测试检查小组应在测试检查工作前与地区公司进行沟通，并依据2009内控管理手册-信息与沟通分册第2.5节“ERP/人力资源系统总体控制（试行）” 和地区公司经审阅的ERP系统控制规范形成ERP系统测试计划。在制订测试计划时，需考虑以下因素：u 审阅地区公司上报的ERP系统内控自我测试报告、ERP系统风险控制文档（RCD）、ERP系统配置清单、权限分配等文档；u 统筹考虑安排ERP系统总体控制和应用控制两个层面的测试检查工作。具体请参见附件“XX单位ERP系统测试计划-总体信息控制安排”及“XX单位ERP系统测试计划-应用系统控制安排”(四) 测试检查 - 4.2.1附件

6、: “XX单位ERP系统测试计划-总体信息控制安排”及“XX单位ERP系统测试计划-应用系统控制安排” 是用于编制ERP系统测试计划的模板，分别用于编制ERP系统总体信息控制测试及应用系统控制测试的测试计划，主要包括如下内容：u 测试内容：ERP系统总体控制（ITGC）测试，ERP系统应用控制（AC）测试， ERP系统权限测试。u 测试时间安排：说明各项测试内容对应的测试地点、测试人员、以及测试时间。u 所需文档清单：提供被测试单位在测试检查小组到场前需准备的控制实施证据的清单。(四) 测试检查 - 4.2.12）根据测试计划开展准备工作u 测试检查小组：与地区公司内控管理部门沟通测试要求及计

7、划；准备测试模板、测试步骤及权限测试工具、获取地区公司ERP系统控制规范（RCD）文档等。u 地区公司内控管理部门：协调本单位各部门之间的测试安排；按照测试计划中所提供的测试文档清单进行相关文档的准备。(四) 测试检查 - 4.2.13）测试检查（一）ERP系统总体控制测试、及ERP系统配置和权限测试u 被测试人员：ERP系统运维组（北京歌华大厦）/地区公司控制执行人u 测试工作开展： 根据ERP系统总体控制测试步骤进行系统总体控制测试。 根据地区公司配置清单进行配置控制测试。 利用ERP权限测试工具，根据地区公司职责分离矩阵、敏感事务代码分配规则、总部后台敏感事务代码规则进行权限测试。 （具

8、体参见权限测试部分介绍）(四) 测试检查 - 4.2.1(四) 测试检查 - 4.2.1 根据ERP系统总体控制测试步骤进行系统总体控制测试。我们对ERP系统总体控制测试内容与步骤进行了汇总，供测试检查小组在ERP系统总体控制测试时参考。具体请参见附件“ERP系统总体控制测试内容与步骤汇总” (四) 测试检查 - 4.2.1附件：ERP系统总体控制测试内容与步骤汇总该附件中主要包括如下信息：A. 控制措施基本信息，包括：控制编号、控制描述、控制方法、控制频率B. 测试步骤、测试方法：测试检查小组可参考该测试步骤及测试方法进行测试。C. 测试地点： ERP系统总体控制测试分为总部层面及地区公司层

9、面，测试检查小组需根据“测试地点” 进行相应层面的测试。D. 控制实施证据：测试检查小组可参考此列内容获取相应的控制实施证据；被测试单位也可参考此列内容进行相关控制实施证据的准备工作。 (四) 测试检查 - 4.2.1ERP系统总体控制测试过程举例说明：系统变更管理（PC）- 控制点GIT-ERP-17.1：控制措施测试步骤说明用户申请变更时应提交变更申请，由业务部门以及总部ERP运维组主管进行审批后实施。1）访谈总部ERP运维主管和业务部门负责人，了解变更活动的管理情况，以及变更过程中涉及到的人员。2）访谈变更活动中涉及的相关人员，了解其工作方法和工作流程。3）确定样本总体：在生产环境中执行

10、事务代码STMS，进入传输队列，单击Import Overview按钮，然后选择生产环境传输队列（例：EP1），单击“Import History按钮，进入传输历史记录界面，然后选择”Date“列，单击”Filters“，筛选条件设置为审计期间，查询出生产系统导入的传输请求，将测试范围内公司的传输请求作为全年变更活动的发生总数，作为样本总体。访谈对象：运维主管访谈内容：变更活动的申请、审批情况操作人员：总部ERP系统管理员操作过程：1.在生产环境执行STMS2.单击Import Overview3.选择生产环境传输队列4.在传输请求队列界面中点import history,查看导入记录5.选择

11、”Date“列，单击”Filters“,筛选条件设置为审计期间6.查询出生产系统导入的传输请求，将测试范围内公司的传输请求作为样本总体(四) 测试检查 - 4.2.1系统变更管理（PC）- 控制点GIT-ERP-17.1（续）：控制措施测试步骤说明用户申请变更时应提交变更申请，由业务部门以及总部ERP运维组主管进行审批后实施。4）确定样本数量：根据抽样原则随机抽取xx个传输请求样本，由于在ERP系统中进行变更传输时，有可能将多个变更申请合并进行一次传输，所以，需要获得选中的传输请求对应的所有ERP系统变更申请表、ERP系统变更实施表、ERP系统变更传输请求表等表单记录。5）检查样本ERP系统变

12、更申请表内容的填写是否符合要求，是否填写变更原因及内容，受理人是否区别于申请人，是否经过业务部门与总部ERP运维组主管的审批。重点检查内容：对于系统变更，是否在ERP系统变更申请表中填写变更原因及内容，受理人是否区别于申请人，是否经过业务部门与总部ERP运维组主管的审批。在生产环境执行STMS检查方法：(四) 测试检查 - 4.2.1单击 Import Overview检查方法（续）：(四) 测试检查 - 4.2.1选择生产环境传输队列点击 import history检查方法（续）：(四) 测试检查 - 4.2.1选择”Date“列，单击”Filters“,筛选条件设置为审计期间检查方法（续

13、）：(四) 测试检查 - 4.2.1将测试范围内公司的传输请求作为样本总体检查方法（续）：(四) 测试检查 - 4.2.1控制实施证据：(四) 测试检查 - 4.2.1(四) 测试检查 - 4.2.1 根据地区公司配置清单进行配置控制测试。 各地区公司根据本单位实际业务情况对2009内部控制管理手册-信息与沟通中的附件23“ERP/人力资源系统配置清单”进行更新，测试检查小组需要根据地区公司更新后的配置清单进行配置控制测试。控制措施地区公司更新后的ERP配置清单在ERP系统中对采购订单设置正确的审批策略，确保其符合各地区公司的相关政策。1）通过路径SPRO物料管理采购采购订单采购订单的下达过程

14、定义采购订单的审批过程进入“批准策略”，对采购订单的审批标识进行适当配置。组“C5”化工销售采购订单审批策略的两种审批标识设置为：- X未审批- E西北化工销售业务科长已审批2）通过路径SPRO物料管理采购采购订单采购订单的下达过程定义采购订单的审批过程进入“批准策略”，对采购订单的审批策略进行适当配置。组“C5”化工销售采购订单审批策略设置如下：-将采购组织6500至6501分配到该审批策略；-将所有采购组分配到该审批策略；-将该“化工销售扩销采购订单”分配给该审批策略；-自定义检查设置为“通过”3）路径SPRO物料管理采购采购订单采购订单的下达过程定义采购订单的审批过程进入“发布标识”，将

15、订单审批策略的释放标识的可变性字段设置为1（不可修改）。组“C5”化工销售采购订单审批策略的释放标识“E”的可变性字段设置为1(不可修改)。配置控制测试过程举例说明：MP04.01.02采购方式-KA1(四) 测试检查 - 4.2.1根据配置清单路径，选择“定义采购订单的审批过程”(四) 测试检查 - 4.2.1检查方法：(四) 测试检查 - 4.2.1检查方法（续）：1）进入“批准策略”，查看采购订单的审批标识是否进行了适当配置。(四) 测试检查 - 4.2.1检查方法（续）：2）进入“批准策略”，查看采购订单的审批策略是否进行了适当配置。(四) 测试检查 - 4.2.1检查方法（续）：3）

16、进入“发布标识”，查看是否将订单审批策略的释放标识”E”的可变性字段设置为1（不可修改）。4）测试检查（二）ERP系统应用控制测试u 被测试人员：ERP系统应用控制执行部门（如，销售部门、财务部门、采购部门、仓储部门等）u 测试工作开展： 根据2009内部控制管理手册-监督分册附录2.3B“股份公司关键控制抽样测试内容与步骤”对ERP系统应用控制进行测试，包括： 手工控制测试 自动控制测试(四) 测试检查 - 4.2.1控制措施测试步骤说明独立于入库信息录入的人员根据入库单对SAP中收货信息进行手工复核以保证其准确性，并在打印出的收货记录清单上进行签字确认。1、询问相关人员有关独立于入库信息录

17、入的人员根据入库单对SAP中收货信息进行手工复核的过程；2、确定样本量，将测试期间内所有收货记录作为样本总体；3、按照随机发生频率抽样原则，抽取所需的收货记录清单样本，检查是否存在复核人的签字确认；4、根据收货记录清单样本，检查系统中相应的物料凭证入库信息是否与该收货记录清单一致。1.访谈对象：入库信息复核人员访谈内容：了解对SAP中收货信息进行手工复核的过程。2.操作过程：1）输入T-code MB51；2）选择移动类型“101收货”及“工厂/库存地”，点击“执行”按钮；3）查看对应的物料凭证的入库数量,物料类型等。重点检查内容：1） 是否存在收货记录清单以及复核人的签字确认；2）系统中相应

18、的物料凭证入库信息是否与该收货记录清单一致。 手工控制测试MP05.01.01材料物资入库-控制点KA4(四) 测试检查 - 4.2.11检查方法：(四) 测试检查 - 4.2.12检查方法（续）：(四) 测试检查 - 4.2.13检查方法（续）：(四) 测试检查 - 4.2.1 自动控制测试过程举例说明:(四) 测试检查 - 4.2.1控制措施测试步骤说明对SAP中设置了系统内订单审批功能的销售订单，由相关部门人员依据业务情况或经财务确认的客户到款通知单在系统中对销售订单进行审批，只有在SAP系统中执行销售订单审批之后才能执行发货操作。1、通过询问订单审批人员了解SAP系统内订单的审批过程。

19、2、在SAP系统内随机选取一笔未审批的订单a)输入事务代码VA03，选择订单销售凭证类型：在系统内设置了订单审批功能的订单类型。抽取一笔未进行审批的订单。3、查看处于审批之前是否可以进行后续操作；执行订单的审批功能后，查看是否可以进行后续操作。a)输入事务代码VL01N，选择合适装运点，尝试对未经审批的订单生成交货单，是否能生成。b)输入事务代码VA02，选择合适装运点，对订单执行审批后，再使用事务代码VL01N，尝试对审批的订单生成交货单，是否能生成。访谈对象：订单审批人员访谈内容：了解在系统内进行审批的订单类型，系统是否允许对未经审批的订单执行发货。操作对象：订单审批人员操作内容：1、使用

20、事务码VA03，选择设置了系统内审批的销售凭证类型，抽取一笔未经过审批的订单。2、使用VL01N,输入订单号以及合适装运点，生成交货单，察看系统反应。3、使用VA02审批抽取的样本订单，在使用VL01N生成交货单，察看系统反应。重点检查内容：1、查看未执行订单审批前，对订单执行生成交货单的操作，系统是否提示错误信息。2、查看执行完订单审批后，对订单执行生成交货单的操作，系统是否操作成功。KP11.01.04销售实施-KA1选择销售范围和设置了系统内审批的销售凭证类型检查方法：(四) 测试检查 - 4.2.1输入合适的装运地点，以及抽取的未经过审批的订单号，回车，察看系统提示信息，不允许对未经过

21、审批的订单生成发货单检查方法（续）：(四) 测试检查 - 4.2.1使用VA02,输入抽取的未经过审批的订单号，对此订单进行审批。检查方法（续）：(四) 测试检查 - 4.2.1审批通过后，再使用VL01N,输入合适的装运地点，以及抽取的刚审批通过的订单号，回车，系统允许对经过审批的订单生成发货单检查方法（续）：(四) 测试检查 - 4.2.15）与被测试单位沟通测试发现及后续整改工作u 测试发现的类型包括： 控制不适用：控制措施在被测试单位不适用。 无样本发生：控制措施在测试期间内无样本发生。 控制执行有例外：控制执行有例外细分为“未按照规范要求执行”、“未执行控制措施”和“未执行配置控制”

22、。 “未按照规范要求执行”指已执行控制措施，但控制执行不规范，例如实施证据填写不完整、不准确；控制实际执行频率与控制规范不符等情况； “未执行控制措施”指未执行控制规范中的手工控制或未在系统中实现自动控制；“未执行配置控制”指未执行控制规范中的配置控制。 控制执行无例外：按照控制规范有效执行控制措施。(四) 测试检查 - 4.2.1与被测试单位关于测试发现的沟通：A. 在总部层面（ERP项目总体维护组）的总体信息控制测试、配置控制测试发现的问题需要与被测试单位人员进行沟通。B. 在总部层面（ERP项目总体维护组）权限测试发现的问题需要与被测试单位业务部门的权限拥有者及内控部门进行沟通。C. 在

23、地区公司层面信息总体控制测试、应用控制测试发现的问题需要与被测试单位内控部门及相关控制执行人进行沟通。D. 上述沟通工作完成后，根据相关人员解释的合理性，判断是否作为例外事项提出。对于确定的例外事项需要向被测试单位提出相应整改建议。(四) 测试检查 - 4.2.16）编制并提交被测试单位的测试检查报告u 在测试工作结束后，测试检查小组需将测试结果与沟通内容整理汇总形成测试检查报告及整改意见，并提交被测试单位。具体请参见附件“XX单位ERP系统内控测试检查报告及整改意见”(四) 测试检查 - 4.2.1附件：XX单位ERP系统内控测试检查报告及整改意见该附件是用于编制ERP系统内控测试报告及整改

24、意见的模板，主要包括如下内容：A. 工作背景：描述被测试单位ERP系统控制规范执行开始时间、ERP系统单轨/双轨运行时间、上线模块、测试时间等信息。B. 工作方式及范围：说明测试依据、抽样原则、具体测试范围（信息系统总体控制测试领域、应用控制测试所涉及的ERP模块及相关业务流程名称、权限测试范围等）C. 工作成果综述：从总体信息控制测试、应用控制测试、权限测试层面分别按照测试发现结果分类（控制不适用、无样本发生、控制执行有例外、控制执行无例外）进行概述及统计。D. 提请管理层关注事项：针对测试结果说明管理层需要关注的事项并提出相关建议。(四) 测试检查 - 4.2.12.测试检查经验分享(1)

25、 问题分析：从地区公司ERP系统上线以来，我们已经陆续完成十几家地区公司的测试检查工作，下面将从以下三方面对测试检查工作中所发现的问题进行分析：1）ERP系统总体控制层面2）ERP系统应用控制层面3）ERP系统权限控制层面（具体请参见权限测试部分介绍）(四) 测试检查 - 4.2.1(四) 测试检查 - 4.2.11）ERP系统总体控制层面u 举例说明：GIT-ERP-7.2 GIT-ERP-7.2 控制描述控制描述：地区分公司SAP系统信息安全管理负责人每季度检查用户的账号和权限分配是否符合岗位职责，是否符合中国石油SAP系统职责分离矩阵，检查是否存在未锁定的不活动帐号（即超过90天未登录的

26、帐号）并进行调查分析，对不需要的帐号和权限进行清理。 发现问题：发现问题：A. 没有执行每季度应用系统用户权限检查工作；B. 未按照季度检查结果填写ERP应用系统用户权限检查表；C. 尚未建立地区公司层面的中国石油SAP系统职责分离矩阵等权限分配标准，因此信息安全管理负责人没有对ERP系统用户帐号及权限分配进行每季度检查；D. 存在多余敏感权限，没有在SAP应用系统权限检查表中进行记录；E. 系统管理员同时拥有所有业务权限权，违背了职责分离的原则，没有在SAP应用系统权限检查表中进行记录。(四) 测试检查 - 4.2.1我们针对更多在ERP系统总体控制测试中发现的常见问题进行了汇总，供测试检查

27、小组在进行ERP系统总体控制测试时参考，同时提请地区公司在控制执行过程中注意避免出现类似问题。具体请参见附件“ERP系统总体控制测试发现问题汇总”(四) 测试检查 - 4.2.12）ERP系统应用控制层面u 举例说明：- MP04.01.05/- MP04.01.05/MP04.02.06MP04.02.06 结算付款结算付款KA4 KA4 控制描述：控制描述：相关人员检查SAP中的GR/IR余额清单,分别对“货到票未到”、“票到货未到”的情况进行确认并对超过一个月的差异情况及时处理，在打印出的GR/IR余额清单中注明处理结果并签字确认。发现问题：A. 未定期对系统中的GR/IR余额清单进行检

28、查;B. 未保留控制实施证据；C. 未在打印出的GR/IR余额清单上签字确认。 (四) 测试检查 - 4.2.1我们针对更多在ERP系统应用控制测试中发现的常见问题进行了汇总，供测试检查小组在进行ERP系统应用控制测试时参考，同时提请地区公司在控制执行过程中注意避免出现类似问题。具体请参见附件“ERP系统应用控制测试发现问题汇总”2.测试检查经验分享(1) 问题分析：从地区公司ERP系统上线以来，我们已经陆续完成十几家地区公司的测试检查工作，下面将从以下三方面对测试检查工作中所发现的问题进行分析：1）ERP系统总体控制层面2）ERP系统应用控制层面3）ERP系统权限控制层面（具体请参见权限测试

29、部分介绍）(四) 测试检查 - 4.2.1(四) 测试检查 - 4.2.1(2) 问题分析：从地区公司ERP系统上线以来，我们已经陆续完成十几家地区公司的测试检查工作，下面将从以下三方面对测试检查工作中所发现的问题进行分析：主要包括如下三方面关注事项及建议：1）对于总体信息系统控制和应用控制存在例外事项的控制点2）ERP项目实施过程中的关注事项3）用户权限分配注意事项（具体参见权限部分的介绍）1）对于总体信息系统控制和应用控制存在例外事项的控制点在对ERP-HR及ERP系统已上线地区公司的测试检查过程中，存在部分控制未完全执行和未执行任何控制的例外事项，因此建议管理层特别关注：u对于未按照配置

30、清单进行配置的内容：需要协调ERP项目组尽快执行u对于出现例外事项的控制点，建议管理层关注这些控制点并进行有效整改，确保严格按照ERP系统控制规范和应用系统控制规范执行。如有必要，地区公司内控部应在各部门确认整改完毕后，对其整改情况组织评测，以确保控制执行的有效性。(四) 测试检查 - 4.2.1u部分例外是因控制执行不规范造成的，其中重要原因之一是在日常工作中未能正规严格的执行该控制，仅部分执行了控制要求，且未对执行实施证据表单建立记录并签字。对于这类事项，内控部应协调各业务部门，尽快落实控制实施证据及表单，并组织内部控制自测的方式进行督促和检查，确保控制规范执行。u对于在系统上线前确定单轨

31、上线方案，明确原有业务系统、财务系统与ERP系统的替代关系或并行处理方式。u进一步明确控制规范中部分控制点的执行人员，目前部分地区公司尚未明确专门人员复核供应商主数据变更、负责复核取消发票校验、负责复核收货入库信息、负责审批取消物料凭证以及负责复核取消物料凭证等，内控部门仍应组织业务部门做进一步的明确。(四) 测试检查 - 4.2.12） ERP项目实施过程中的关注事项对于正在实施对于正在实施ERPERP系统尚未进入双轨阶段的地区公司，在系统尚未进入双轨阶段的地区公司，在ERPERP项目实施过程项目实施过程中应注意以下事项：中应注意以下事项：u对于确保集成测试、用户接受测试中的测试对象范围及参

32、与测试的用户范围的充分性。建议在系统集成测试及用户接受测试中包含系统接口及电子表格的测试内容，确保系统上线后可以满足业务正常运行。对于用户接受测试，建议尽快编制用户接受测试计划，除对所有可能发生的业务操作及场景进行测试外，还需要关注参与测试的用户范围是否全面，并由用户对测试结果进行签字确认，从而确保系统上线后能够充分满足用户业务需求。(四) 测试检查 - 4.2.1uERP上线应与内控体系建设同步。建议公司内控部门在系统上线前完成相关内控体系建设，包括但不限于：业务流程及跟单、蓝图与业务流程整合挂接、编写风险控制文档、建立ERP系统实施细则等等，确保系统上线后即存在相关的控制规范作为依据来执行

33、，从而提高数据的准确性及完整性，降低风险发生的可能性。(四) 测试检查 - 4.2.14.2.1 对地区公司开展现场或非现场测试检查4.2.2 地区公司根据测试检查报告开展整改4.2.3 对地区公司的整改结果进行复查54(四) 测试检查4.2.21.地区公司内控管理部门工作要点：(1) 地区公司内控管理部门根据测试检查报告及整改意见，组织相关业务管理部门和ERP项目组整改 。地区公司内控管理部门编制整改报告，确保发现的问题都纳入了整改范围；明确整改的期间、所需的样本数量；落实整改的责任部门。(2) 检查小组测试需督促与跟进地区公司的整改工作，就整改过程中发现的问题给予详细指导。(3) 整改完成

34、后，地区公司内控管理部门通过OA及时将整改报告及整改证据上报内控与风险管理部审阅。具体请参见附件“XX单位ERP系统内控测试整改报告”(四) 测试检查 - 4.2.2(四) 测试检查 - 4.2.2附件：XX单位ERP系统内控测试整改报告该附件是股份内控与风险管理部下发的用于编制ERP系统内控测试整改报告的模板，主要包括如下内容：1) 说明整改范围，包括：u总体信息系统控制：包括系统项目建设管理活动、变更管理控制活动、信息安全控制活动以及信息系统日常运作活动。u应用系统控制：说明涉及整改的ERP系统上线模块。u权限控制：包括总体信息系统控制层面和应用系统控制层面的权限控制。2) 针对上述三方面

35、分别汇报整改情况：需说明测试发现的例外事项数以及整改完成情况，对于未整改完成的例外事项需进行详细说明。3) 提供详细整改情况的附件：分别针对上述三方面描述每个例外事项的测试发现及整改情况。4.2.1 对地区公司开展现场或非现场测试检查4.2.2 地区公司根据测试检查报告开展整改4.2.3 对地区公司的整改结果进行复查57(四) 测试检查4.2.31.地区公司内控管理部门工作要点：(1) 内控与风险管理部对地区公司上报的整改报告进行审阅，并组织检查测试小组对地区公司的整改情况进行抽样复查，确认测试检查中发现的所有例外事项均整改到位，控制措施有效执行，并形成复查报告提交内控与风险管理部审阅。ERP

36、系统复查：指由检查测试小组对测试检查发现问题进行重新测试，验证被测试单位是否有效完成整改工作。具体请参见附件“XX单位ERP系统内控测试复查报告”(四) 测试检查 - 4.2.3(四) 测试检查 - 4.2.3附件：XX单位ERP系统内控测试复查报告该附件是股份内控与风险管理部下发的用于编制ERP系统内控测试复查报告的模板，主要包括如下内容：1) 对被测试单位整改测试情况的总体概述2) 复查时间：说明内控测试复查的起始时间和结束时间3) 复查内容：说明内控测试复查的范围以及所复查的例外事项数量4) 复查方式：说明复查测试的样本量5) 复查结论：说明所有例外事项是否已整改完毕(四) 测试检查 -

37、 4.2.3u复查与测试检查的差异：比较内容复查测试检查测试内容对测试检查发现的问题进行重新测试对测试范围内的ERP系统控制规范中所有控制点进行测试测试样本量1个样本1-5个样本测试方式非现场测试现场测试报告模板见附件：XX单位ERP系统内控测试复查报告见附件：XX单位ERP系统内控测试检查报告及整改意见要点回顾1、对地区公司开展现场或非现场测试检查 测试检查申请的前提条件，如何编写测试检查申请报告 测试检查的内容及测试方法2、地区公司根据测试检查报告开展整改 测试发现问题的整改 以往测试检查经验分享 如何编制整改报告3、对地区公司的整改结果进行复查 复查工作开展的前提及形式复查工作开展的前提及形式 如何编制复查报告如何编制复查报告