一级循环名称2.1_系统安全性二级循环名称2.1.1_管理员权限分离三级循环名称关键控制点系统管理员只负责账户增加和维护,无实际业务操作权限。系统管理员帐号与一般业务操作员帐号相区分。专有帐号负责备份计划。备份计划日志完善,且对备份且支持异地备份。专用帐号方可使用备份数据。2.1.2_数据备份2.1.3_安全策略与登录控制2.2_账号安全性2.2.1_系统账号管理2.1.3.1_安全安全策略变更系统内有详细日志。策略账套级数据的操作情况有详细日志,如对新建账套、备份/输出账套、语言扩展、年度结转、登录和登出等。2.1.3.2_登录系统未使用一定时间,界面自动锁定控制。不允许修改登录日期。用户不能同时多处登录。操作员只能接触到授权范围内的的操作界面。系统内用户及角色账号的维护有详细日志。初始帐号密码设置复杂。首次登录系统强制要求变更密码。变更后密码强制要求设置复杂。用户登录多次认证失败自行锁定。用户登录时因口令错误而认证失败的有详细日志。系统内无已经离职人员的帐号。权限增加有申请记录。权限变更有变更记录。通过检查账套中人员的岗位职务与其对应操作员的授权情况,员工的权责是匹配的。设置不相容权限规则。控制不相容权限授权。不合规授权有记录。不合规业务操作有记录。针对不同的销售区域设置不同的产品编码以防止串货。销售培训、广告传播和宣传产品价格信息的接触得到充分控制。客户的档案资料的录入维护有专人负责。客户进行统一授信额度管理。应收款管理2.2.2_登录认证失败历史2.2.3_非在职人员账号2.3.1_权限增加2.3.2_权限变更2.3.3_权责分配2.3.4_不相容权限2.3_授权审查2.4_业务处理2.4.1_业务操作销售门店管理pos机模块门店装修会员系统管理生产店间转货次品和残料的报废外协生产采购供应商新进有考核机制供应商的录入有职责分离供应商的进行评估、考核。供应商淘汰和黑名单制度。系统内无议比价资料合同审核产品入库财务月结后没有当月未输单据错误输入数据的修改bom变化成本核算车间在制品的成本核算出口收汇团购费用报销固定资产预算2.5_档案审核2.5.1_档案审核内控资产分类合同。证据来源访谈访谈访谈访谈和系统检查访谈访谈和系统检查访谈和系统检查访谈和系统检查访谈和系统检查访谈和系统检查访谈和系统检查访谈和系统检查访谈和系统检查访谈访谈和系统检查访谈访谈访谈访谈访谈访谈访谈访谈访谈访谈访谈访谈访谈和系统检查访谈和系统检查访谈和系统检查访谈和系统检查该程序是否设置(是/否)否是不适用是是是是是是否是是是否是是是是是是否否否是是是否是是否是是否得到控制存在控制缺失201010调研结论管理员帐号4个,厂商帐号1个,均有实际业务操作的权限。存在控制弱点建议管理员帐号与一般业务操作帐号相区分。不适用后台系统自动备份。存在控制弱点备份数据均保管在服务器,未有第二份备份。得到控制得到控制得到控制得到控制得到控制存在控制缺失允许同一帐号异地同时登录。得到控制得到控制帐号为年月+三位流水号,密码与帐号一致,导致容易被猜测。存在控制缺失没有强制要求变更密码。变更后的密码强制要求为6位以上且必须含有密码得到控制。得到控制3次认证失败,半个小时内不能使用。存在控制弱点得到控制存在控制弱点由于人事离职的离职未全部交IT进行审核。得到控制得到控制存在控制缺失未设置不相容岗位分离控制:对权限的设置为高一级审核人有低一级的所有作业权限(即复核人有录存在控制缺失入的权限)。存在控制缺失得到控制得到控制产品编码设置不佳:不容易对渠道产生的串货进行存在控制弱点控管。存在控制缺失系统内未体现。成品仓库的入库单和审核人均为录入人。市场部的所有人员均可获知产品的所有价格,易导存在控制弱点致公司资料泄密被同行获知。业务员和会计负责进行供应商资料的录入和审核,存在控制缺失未进行职责的分离.访谈当日发现系统内有重复的供应商名录。存在控制弱点系统内有类似模块,尚未启用。存在控制弱点对于信用额度外的销售未有系统控制如果存在误删除,会将备份数据恢复到临时库,比对后,方可使用备份数据。日志有保留7天,7天后自动覆盖。日志有保留7天,7天后自动覆盖。访谈不适用存在控制弱点访谈访谈和系统检查访谈访谈访谈不适用不适用不适用否否存在控制缺失存在控制弱点存在控制缺失存在控制缺失存在控制缺失访谈访谈和系统检查访谈和系统检查访谈和系统检查访谈和系统检查访谈访谈否否否否否否存在控制缺失存在控制缺失存在控制弱点存在控制弱点存在控制缺失存在控制缺失访谈访谈访谈访谈是是是是得到控制得到控制得到控制得到控制存在控制缺失存在控制缺失存在控制缺失存在控制弱点访谈访谈否否存在控制弱点存在控制缺失加盟店未启用pos机系统,无法实时监控门店的存货和销售情况,故存在由于无法实时掌握门店库存及时调整生产计划。门店现在采用手工帐,每月将销售数据以U盘存储送至总部,总部将数据录入系统。门店每天将库存数据以传真或者手机短信的方式与总部确认。系统内未设置此流程,门店装修没有入系统,采用纸面作业。会员系统尚未启用,各门店的会员资料保留在各门店。积点的管理也是各门店自行操作。加盟店之间进行转货,采用线下操作模式次品和残料的报废处置未在系统内体现。外协的产品送货单上未标识所属订单号。系统内委外无合同。收货可以大于实际订单的30%的。收货组不进行填制而是由质检进行填制。只对面料有质检,其他无质检。退货没有验退单。质检单无法打印。(供应部无法打印。)系统内有类似模块,尚未启用。业务员和会计负责进行供应商资料的录入和审核,未进行职责的分离,访谈当日发现系统内有重复的供应商名录。系统内有类似模块,尚未启用。系统内有类似模块,尚未启用。议比价采用线下操作模式,系统内未体现,系统内的核价单为最后的价格。对应业务员起草,有格式模板,缺乏法务等的审核。财务和法务未审核。非格式合同也财务和法务未审核。产品为先入库后验收。系统内有质检单,但是单据的数值不真实合理,未规定具体的。单次采购入库按照流水线进行处理,而非特定的如供应商+XXX,导致查看物料,无法获知具体的料月结采用单据的输入日期。输入错误的数据,有进行修改和删除。算实际成本,而非标准成本结算,所以工艺单变更无问题,根据工单和领料单来和算单位产品成本。成本是加权平均。根据工艺单单号在制转出,多领少领会在月底进行摊销。没有启用这个模块。团购不入账。费用申请审核这个系统内没有做,都是线下操作。财务不对任何出库、入库进行审核。系统上线前的资产未按照系统进行归类,导致1人下保管多项资产,影响资产报废(无法确认报废资产)以及盘点资产的差异的责任追究。系统内预算模块未启用。尚未启动合同管理模块,合同管理都是线下操作。201010检查后改进建议