企业内部控制应用指引第十八号——信息系统(解读)
内控指引18之制度详解――信息系统
内控指引18之制度详解――信息系统第18章企业内部控制――信息系统管理18.3信息系统开发、变更与维护控制18.3.2信息系统研发、更改与保护管理制度信息系统开发变更与维护管理制度对进行该工作的各个事项进行了规范,为相关工作人员提供了指导。
下面是某企业的信息系统开发、变更与维护管理制度,供读者参考。
信息系统研发、更改与保护管理制度第1章总则第1条为了提升企业的经营绩效与工作效率,提高企业信息系统的可靠性、稳定性与安全性,特制订本制度。
第2条本制度适用于信息部以及各用户部门涉及使用企业信息系统的相关人员。
第2章系统研发与更改第3条企业信息系统开发所遵循的原则1.因地制宜原则应当根据行业特点、企业规模、管理理念、非政府结构、核算方法等因素设计适宜本单位的计算机信息系统。
2.成本效益原则计算机信息系统的建设应能够起著降低成本、制止偏差的促进作用,根据成本效益原则,企业可以挑选对关键领域中的关键因素展开信息系统改建。
3.理念与技术并重原则信息系统建设应将信息系统技术与信息系统管理理念资源整合,提倡全体员工积极参与信息系统建设,正确理解和采用信息系统,提升信息系统的运作效率。
第4条项目部人员在信息系统开发中要将相应的交易权限嵌入到系统程序中,以便检查、纠正错误和舞弊行为。
第5条系统研发任务书内容1.信息系统名称。
12.信息系统必须达至的技术性能。
3.信息系统的操作方式环境。
4.开发信息系统的具体工作计划。
5.开发信息系统的人员与协作单位。
6.开发信息系统的费用预算。
第6条所挑选的外包合作开发信息系统的机构必须存有合作开发信息系统的经验,并强化对其的监控力度。
第7条测试专员需将系统测试中所出现的问题记录成册,定期交予信息部经理。
第8条在信息系统安装调试前的必要工作如下。
1.制订应急预案,以保证崭新系统出现故障时能乌返回旧有系统。
2.必须顺利完成整体测试和用户验收测试后才可以加装调试。
第9条新旧系统切换时,进行数据迁移必须建立数据迁移计划并对迁移结果进行测试。
财政部会计司解读《企业内部控制应用指引第18号——信息系统》-精简
优化信息系统提升管理水平——财政部会计司解读《企业内部控制应用指引第18号——信息系统》一、信息系统内部控制概述《企业内部控制应用指引第18号———信息系统》中所指信息系统,是指企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。
信息系统内部控制的主要对象是信息系统,由计算机硬件、软件、人员、信息流和运行规程等要素组成。
二、信息系统的开发企业根据发展战略和业务需要进行信息系统建设,首先要确立系统建设目标,根据目标进行系统建设战略规划,再将规划细化为项目建设方案。
选择外购调试或业务外包方式的,应当采用公开招标等形式择优选择供应商或开发单位。
选择自行开发信息系统的,信息系统归口管理部门应当组织企业内部相关业务部门进行需求分析,合理配置人员,明确系统设计、编程、安装调试、验收、上线等全过程的管理要求。
企业信息系统归口管理部门应当加强信息系统开发全过程的跟踪管理,增进开发单位与企业内部业务部门的日常沟通和协调,组织独立于开发单位的专业机构对开发完成的信息系统进行检查验收,并组织系统上线运行。
三、信息系统的运行与维护信息系统的运行与维护主要包含三方面的内容:日常运行维护、系统变更和安全管理。
(一)日常运行维护的关键控制点和主要控制措施日常运行维护的目标是保证系统正常运转,主要工作内容包括系统的日常操作、系统的日常巡检和维修、系统运行状态监控、异常事件的报告和处理等。
这一环节的主要风险是:第一,没有建立规范的信息系统日常运行管理规范,计算机软硬件的内在隐患易于爆发,可能导致企业信息系统出错。
第二,没有执行例行检查,导致一些人为恶意攻击会长期隐藏在系统中,可能造成严重损失。
第三,企业信息系统数据未能定期备份,可能导致损坏后无法恢复,从而造成重大损失。
主要控制措施:第一,企业应制定信息系统使用操作程序、信息管理制度以及各模块子系统的具体操作规范,及时跟踪、发现和解决系统运行中存在的问题,确保信息系统按照规定的程序、制度和操作规范持续稳定运行。
内部控制指引-18号ppt
①信息系统固有的脆弱性和缺陷
④信息系统开发和运行风险
②信息系统的舞弊
13
③信息系统应用和管理的问题
信息系统风险分析
硬件的 脆弱性
信息系统硬件组件的安全 隐患多数来源于设计,主 要表现为物理安全方面的 问题。
软件系统 的脆弱性
网络和通
软件系统的安全隐患来
信协议
源于设计和软件工程实
施中的遗留问题。 互联网是一个没有明确物理界限的网
第四部分
1
2
3
4
概述 信息系统风险分析
风险控制点
信息系统主要风险控制措施
23
信息系统主要风险控制措施
信息系统控制类型
1
会计信息系统控制
5
2
信息安全控制
信息系统的开
发过程的控制
3
24信息系统的运源自4行与维护控制信息系统主要风险控制措施
一般控制在 人员控制、 逻辑访问控 制、设备和 业务连续性 这些方面进 行控制。
10
第一部分
为了保证信息的 质量、可信和安 全,人们已经意 识到企业管理的 关键要素之一就 是要保证IT的价值 、管理与IT有关的 风险、增加对信
息控制要求。
11
概述
信息系统已经成为许多企业 日常运营的主要工作平台, 业务过程对信息技术的依赖
也日趋严重。
信息系统及蕴含 在系统中的信息 已成为企业的隐 性资产,成为企 业核心竞争能力 的重要组成部分。
②
企业开发信息系统 应当将生产经营管 理业务流程、关键 控制点和处理规则 嵌入系统程序,实 现手工环境下难实 现的控制功能。
MIN
SEC
MIN
SEC
MIN
SEC
财政部会计司解读《企业内部控制应用指引第18号——信息系统》
2010年07月09日第07版优化信息系统提升管理水平———财政部会计司解读《企业内部控制应用指引第18号———信息系统》作者:来源:字数:10890一、信息系统内部控制概述《企业内部控制应用指引第18号—————信息系统》中所指信息系统,是指企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。
信息系统内部控制的目标是促进企业有效实施内部控制,提高企业现代化管理水平,减少人为操纵因素;同时,增强信息系统的安全性、可靠性和合理性以及相关信息的保密性、完整性和可用性,为建立有效的信息与沟通机制提供支持保障。
信息系统内部控制的主要对象是信息系统,由计算机硬件、软件、人员、信息流和运行规程等要素组成。
现代企业的运营越来越依赖于信息系统。
比如航空公司的网上订票系统、银行的资金实时结算系统、携程旅行网的客户服务系统等,没有信息系统的支撑,业务开展就举步维艰、难以为继,企业经营就很可能陷入瘫痪状态。
还有一些新兴产业和新兴企业,其商业模式完全依赖信息系统,比如各种网络公司(新浪、网易、百度)、各种电子商务公司(比如阿里巴巴、卓越公司),没有信息系统,这些企业可能会失去生存之基。
同时应当看到,企业信息系统内部控制以及利用信息系统实施内部控制也面临诸多风险,至少应当关注下列方面:一是信息系统缺乏或规划不合理,可能造成信息孤岛或重复建设,导致企业经营管理效率低下;二是系统开发不符合内部控制要求,授权管理不当,可能导致无法利用信息技术实施有效控制;三是系统运行维护和安全措施不到位,可能导致信息泄漏或毁损,系统无法正常运行。
鉴于信息系统在实施内部控制和现代化管理中具有十分独特而重要的作用,加之信息系统本身的复杂性和高风险特征,《企业内部控制应用指引第18号———信息系统》规定,企业负责人对信息系统建设工作负责。
换言之,信息系统建设是“一把手”工程。
只有企业负责人站在战略和全局的高度亲自组织领导信息系统建设工作,才能统一思想、提高认识、加强协调配合,从而推动信息系统建设在整合资源的前提下高效、协调推进。
会计信息系统内部控制制度构建——基于《企业内部控制应用指引第18号——信息系统》
大 中 型企 业 执 行 。
21 0 0年 4月 1 , 政 部 又 再 次 会 同证 监 会 、 计 署 、 51 财 3 审 国资 委 、 监 会 、 监 会 等 部 门 发 布 了 《 业 内部 控 制 配 套 指 引 》 该 银 保 企 ,
本 文 基 于 《 业 内部 控 制 应 用 指 引 》 企 业 内 部 控 制 应 用 企 中《
指引第 1 8号 — — 信 息 系 统 》 从 会 计 信 息 系 统 的 概 述 、 发 、 , 开 运 行 与 维护 3 方 面 论 述 会 计 信 息 系 统 内部 控 制 制 度 的 构 建 个
2 0年 1 01 1月
中 国 管 理 信 息 化
Chn a a e n no ma inz t n iaM n g me t f r t ia i I o o
No . 2 0 v . 01 Vo .3. . 11 No21
第 1 卷 第 2 期 3 1
会 计信 息 系统 内部控制制度构建
[ 关键词 ]内部控制 : 会计信息 系统 ; 内部人控 制
d i1 .9 9ji n 17 o:0 3 6 /.s . 6 3—0 9 . 0 0 2 .0 s 14 2 1 . 10 3
[ 中图分类 号]F 3 ;2 3 [ 2 2 F 3 7 一 142 1 ) 1 0 0 — 2 6 3 O 9 (0 0 2 — 0 5 0
起 首 先 在 境 内 外 同 时上 市 的 公 司施 行 , 0 2年 1月 1 日起 扩 大 计 信 息 系 统 开发 过 程 中财 务 部 门 要 与 负 责 开 发 的 单 位 保 持 沟 通 21
《企业内部控制应用指引第18号——信息系统》解读 财政部会计司
建 设 , 致 企 业 经 营 管 理 效 率 低 下 。 二 ,没 有 将 信 息 化 与 导 第
2 1 0 财务与会计 57 0 1 6.
南鸯 骠
企业 业务 需 求结 合, 降低 了信息 系统 的应用价 值。信息孤 岛
已有成 熟的商品化软件和系统 实施方案 。比如大部分 企业的
同时应当看 到 , 企业 信息系 统 内部控 制以及 利用信息 系 统实 施 内部控 制也 面 临诸 多风 险,至少应 当关注 下 列方 面:
一
是信 息 系统 缺 乏 或 规 划不 合 理 , 能 造 成信 息 孤 岛或 重 可
单 位与企 业 内部业务 部 门的 日常 沟 通和 协调 , 组织 独立于 开
企 业 负 责 人 对 信 息 系 统 建 设 工 作 负 责 。换 言 之 , 系 统 建 信
划 是 以 企 业 发 展 战 略 为 依 据 制 定 的 企 业 信 息 化 建 设 的 全 局
性 、长期性 规 划 。 制定 信息 系统 战略 规划 的主要 风 险是 :第
一
,
缺 乏 战略规 划或 规划 不合 理 , 可能 造成信 息孤 岛或重 复
财 政 部 会 计 司
一
、
信息系统 内部控制概述
设 是“ 一把手 ” 工程 。 只有企 业负责人 站在 战略和 全局 的高度
亲 自组织 领导信 息系统 建设 工作 , 才能统 一思想 、 高认 识、 提
《 业 内部 控制 应用指 引第 1 号 —— 信 息系 统 中所 指 企 8 信 息系 统,是指企 业 利用计 算机 和通 信 技术 , 内部 控制 进 对 行 集成 、 化和 提 升所 形成 的信息化 管理 平 台。信息 系统 内 转
基于_18号指引_构建会计信息系统内部控制体系_黄锡远
全国中文核心期刊·财会月刊□2011.9上旬·59·□基于“18号指引”构建会计信息系统内部控制体系【摘要】内部控制是企业进行经济管理活动的一种重要管理手段。
2010年5月,财政部印发了《企业内部控制应用指引第18号———信息系统》。
本文通过分析当前会计信息系统内部控制体系建构的三种主要模式及其存在的主要问题,提出了会计信息系统内部控制体系的架构。
【关键词】内部控制会计信息系统内部控制体系黄锡远(广西财经学院南宁530003)基于计算机环境下,为提高会计信息质量,需要对会计数据的输入、处理和会计信息的输出等实施控制。
因此,如何科学、合理构建会计信息系统内部控制体系,以便对会计信息系统实施有效的控制,保证系统的正常运行,是会计工作者普遍关心的问题。
随着会计的发展和网络信息技术的普及应用,这一问题更为突出。
为此,2010年5月,财政部印发了《企业内部控制应用指引第18号———信息系统》(以下简称“18号指引”)。
“18号指引”为企业会计信息系统内部控制体系的构建提出了规范性的指导意见,其体系由目标控制、规划控制、开发控制、运行控制、风险控制、评价控制等六部分组成。
同时,对每一构成部分提出了相应的具体控制措施。
从而,使企业建立会计信息系统内部控制体系有了统一的规范性指导文件,进一步提高我国企业会计信息系统内部控制体系的建设质量。
企业应当根据“18号指引”,结合自身特点,制定、完善会计信息系统内部控制体系,充分发挥内部控制作用,加强内部控制制度执行力,提高企业的经济效益。
基于“18号指引”视角,笔者在这里讨论会计信息系统内部控制体系的架构问题。
一、当前会计信息系统内部控制体系及其主要缺陷1.企业内部控制体系建构模式。
纵观我国内部控制标准体系建设的历史发展,因长期以来所形成的体制这一客观原因,导致有关企业内部控制的指导原则、指引、规范出自不同的政府部门或机构,最终使内部控制规范存在形式多样、标准不一的状况。
《企业内部控制应用指引——第 18 号》(财会[2010]11 号)
![《企业内部控制应用指引——第 18 号》(财会[2010]11 号)](https://img.taocdn.com/s3/m/4e8e31d3b14e852458fb5766.png)
保监会关于印发《保险公司内部控制基本准则》的通知保监发〔2010〕69号各保险公司、各保监局:为加强保险公司内部控制建设,提高保险公司风险防范能力和经营管理水平,促进保险公司合规、稳健、有效经营,我会制定了《保险公司内部控制基本准则》。
现予印发,请遵照执行。
保监会二○一○年八月十日保险公司内部控制基本准则第一章总则第一条为加强保险公司内部控制建设,提高保险公司风险防范能力和经营管理水平,促进保险公司合规、稳健、有效经营,保护保险公司和被保险人等其他利益相关者合法权益,依据《保险法》、《企业内部控制基本规范》和其他相关规定,制定本准则。
第二条本准则所称内部控制,是指保险公司各层级的机构和人员,依据各自的职责,采取适当措施,合理防范和有效控制经营管理中的各种风险,防止公司经营偏离发展战略和经营目标的机制和过程。
第三条保险公司内部控制的目标包括:(一)行为合规性目标。
保证保险公司的经营管理行为遵守法律法规、监管规定、行业规范、公司内部管理制度和诚信准则。
(二)资产安全性目标。
保证保险公司资产安全可靠,防止公司资产被非法使用、处置和侵占。
(三)信息真实性目标。
保证保险公司财务报告、偿付能力报告等业务、财务及管理信息的真实、准确、完整。
(四)经营有效性目标。
增强保险公司决策执行力,提高管理效率,改善经营效益。
(五)战略保障性目标。
保障保险公司实现发展战略,促进稳健经营和可持续发展,保护股东、被保险人及其他利益相关者的合法权益。
第四条保险公司建立和实施内部控制,应当遵循以下原则:(一)全面和重点相统一。
保险公司应当建立全面、系统、规范化的内部控制体系,覆盖所有业务流程和操作环节,贯穿经营管理全过程。
在全面管理的基础上,对公司重要业务事项和高风险领域实施重点控制。
(二)制衡和协作相统一。
保险公司内部控制应当在组织架构、岗位设置、权责分配、业务流程等方面,通过适当的职责分离、授权和层级审批等机制,形成合理制约和有效监督。
解读《企业内部控制应用指引第18号—信息系统》
信息系统内部控制:过程控制和环境控制的结合—解读《企业内部控制应用指引第18号—信息系统》信息系统生成与经营和财务有关的信息报告,是集系统、信息和控制于一体的一种应用。
由于所有信息都是数据经过输入、处理、输出形成的,因此对信息的任何控制都是对数据输入、处理、输出的控制。
本文结合财政部等五部委出台的企业内部控制基本规范和《内部控制应用指引第18号—信息系统》,将信息系统内部控制按与输入、处理、输出的关系分为终端用户控制、信息处理控制、持续运行控制、硬件保护控制四项内容。
其中,终端用户控制和信息处理控制是信息系统的实体内容,共同构成数据输入、处理和输出的过程控制,前者是对人的控制,后者是对系统的控制;持续运行控制和硬件保护控制是信息系统运行的必备支撑,共同构成系统运行的环境控制,前者是对软环境的控制,后者是对硬环境的控制。
一、终端用户控制(一)授权使用制度企业应当根据业务性质、重要性程度、涉密情况等因素确定信息系统的安全等级,建立不同等级信息的授权使用制度。
一般来说,企业应通过建立权限控制矩阵来指定信息用户所能执行的功能,即控制终端用户的范围及其可执行的操作。
有些用户只能查询有关数据,有些用户则有权查询和修改数据,而另一些用户甚至还可以修改程序。
在企业整体的权限调整、新终端用户的人员增设、原终端用户的权限修改和岗位调离等情况下需要进行权限变更,但必须经过以下步骤:首先,由终端用户填写权限申请表,陈述理由和要求;部门负责人根据终端用户的工作性质决定审核结果;主管领导根据部门职能和部门负责人的意见决定审核结果;最后,由系统维护人员根据审核意见修改权限控制矩阵的内容。
为确保权限授予的准确、高效和有据可查,在维护之前,系统维护人员应与终端用户和部门负责人确认;维护完毕后,应尽快通知相应终端用户、部门负责人和单位主管领导,并将维护日志与授权申请书归档备查。
(二)用户管理制度1.用户访问控制。
终端用户的访问控制有系统的访问控制和系统程序及数据的访问控制两种方式。
优化信息系统提升管理水平
优化信息系统提升管理水平——财政部会计司解读《企业内部控制应用指引第18号——信息系统》一、信息系统内部控制概述《企业内部控制应用指引第18号———信息系统》中所指信息系统,是指企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。
信息系统内部控制的目标是促进企业有效实施内部控制,提高企业现代化管理水平,减少人为操纵因素;同时,增强信息系统的安全性、可靠性和合理性以及相关信息的保密性、完整性和可用性,为建立有效的信息与沟通机制提供支持保障。
信息系统内部控制的主要对象是信息系统,由计算机硬件、软件、人员、信息流和运行规程等要素组成。
现代企业的运营越来越依赖于信息系统。
比如航空公司的网上订票系统、银行的资金实时结算系统、携程旅行网的客户服务系统等,没有信息系统的支撑,业务开展就举步维艰、难以为继,企业经营就很可能陷入瘫痪状态。
还有一些新兴产业和新兴企业,其商业模式完全依赖信息系统,比如各种网络公司(新浪、网易、百度)、各种电子商务公司(比如阿里巴巴、卓越公司),没有信息系统,这些企业可能失去生存之基。
同时应当看到,企业信息系统内部控制以及利用信息系统实施内部控制也面临诸多风险,至少应当关注下列方面:一是信息系统缺乏或规划不合理,可能造成信息孤岛或重复建设,导致企业经营管理效率低下;二是系统开发不符合内部控制要求,授权管理不当,可能导致无法利用信息技术实施有效控制;三是系统运行维护和安全措施不到位,可能导致信息泄漏或毁损,系统无法正常运行。
鉴于信息系统在实施内部控制和现代化管理中具有十分独特而重要的作用,加之信息系统本身的复杂性和高风险特征,《企业内部控制应当指引第18号——信息系统》规定,企业负责人对信息系统建设工作负责。
换言之,信息系统建设是“一把手”工程。
只有企业负责人站在战略和全局的高度亲自组织领导信息系统建设工作,才能统一思想、提高认识、加强协调配合,从而推动信息系统建设在整合资源的前提下高效、协调推进。
内部控制应用指引讲解——信息系统20120803
企业应当切实做好信息系统上线的各项准备工作,培训业务 操作和系统管理人员,制定科学的上线计划和新旧系统转换 方案,考虑应急预案,确保新旧系统顺利切换和平稳衔接。 系统上线涉及数据迁移的,还应制定详细的数据迁移计划。
内部控制应用指引讲解-信息系统
12
2
2012-8-3
信息系统的运行和维护控制
企业应当根据业务性质、重要性程度、涉密情况等确 定信息系统的安全等级,建立不同等级信息的授权使 用制度,采用相应技术手段保证信息系统运行安全有 序。
企业应当建立用户管理制度,加强对重要业务系统的 访问权限管理,定期审阅系统账号,避免授权不当或 存在非授权账号,禁止不相容职务用户账号的交叉操 作。
2000年,进入法国兴业银行。 5年中,在银行内部不同的中台部门工作。 2005年,银行风险套利部门的交易员。 构筑他的“期货投机帝国”。
内部控制应用指引讲解-信息系统
17
建立一个 投资组合 A,虚构另 一个投资
组合B
隐藏了数 额巨大的 投机性头寸
欺诈手段
从表面上看A、 B相互对冲,
盗用操作 人员刮泥 的IT系统 权限,用于取消特定 的加强偶一行为;伪 造虚构操作的数据
2012-8-3
内部控制应用指引讲解 ——信息系统
主讲人:宋航
上海国家会计学院版权所有
1
企业内部控制基本规范
课程引言
企业 内部 控制 评价 指引
企业内部控制应用指引
内部环境类 组织架构 发展战略 人力资源 社会责任 企业文化
控制活动类 资金活动 采购业务 资产管理 销售业务 研究与开发 工程项目 担保业务 业务外包
内部控制 企业内部控制应用指引第 17、18号 精品
企业内部控制应用指引第 17、18号企业内部控制应用指引第 17 号——内部信息传递第一章总则第一条为了促进企业生产经营管理信息在内部各管理层级之间的有效沟通和充分利用,根据《企业内部控制基本规范》,制定本指引。
第二条本指引所称内部信息传递,是指企业内部各管理层级之间通过内部报告形式传递生产经营管理信息的过程。
第三条企业内部信息传递至少应当关注下列风险:(一)内部报告系统缺失、功能不健全、内容不完整,可能影响生产经营有序运行。
(二)内部信息传递不通畅、不及时,可能导致决策失误、相关政策措施难以落实。
(三)内部信息传递中泄露商业秘密,可能削弱企业核心竞争力。
第四条企业应当加强内部报告管理,全面梳理内部信息传递过程中的薄弱环节,建立科学的内部信息传递机制,明确内部信息传递的内容、保密要求及密级分类、传递方式、传递范围以及各管理层级的职责权限等,促进内部报告的有效利用,充分发挥内部报告的作用。
第二章内部报告的形成第五条企业应当根据发展战略、风险控制和业绩考核要求,科学规范不同级次内部报告的指标体系,采用经营快报等多种形式,全面反映与企业生产经营管理相关的各种内外部信息。
内部报告指标体系的设计应当与全面预算管理相结合,并随着环境和业务的变化不断进行修订和完善。
设计内部报告指标体系时,应当关注企业成本费用预算的执行情况。
内部报告应当简洁明了、通俗易懂、传递及时,便于企业各管理层级和全体员工掌握相关信息,正确履行职责。
第六条企业应当制定严密的内部报告流程,充分利用信息技术,强化内部报告信息集成和共享,将内部报告纳入企业统一信息平台,构建科学的内部报告网络体系。
企业内部各管理层级均应当指定专人负责内部报告工作,重要信息应及时上报,并可以直接报告高级管理人员。
企业应当建立内部报告审核制度,确保内部报告信息质量。
第七条企业应当关注市场环境、政策变化等外部信息对企业生产经营管理的影响,广泛收集、分析、整理外部信息,并通过内部报告传递到企业内部相关管理层级,以便采取应对策略。
企业内部控制应用指引第十八号——信息系统(解读)
企业内部控制应用指引第18号——信息系统【案例导入】忽略了安全需求的ERPA企业是国内一家从事制造建筑工程施工车辆的公司。
该企业从九十年代就开始准备ERP项目,并在二十世纪九十年代后期选定了软件,开始实施包括财务、分销和制造在内的整合的ERP系统。
为此,A公司专门成立了ERP实施小组,在专业咨询公司的协助下,经过一段时间的需求分析、流程设计、用户培训,实施工作进入了紧张的上线前数据准备的关键阶段。
这时候,采购部门对敏感的采购信息在系统中的安全性提出了质疑,包括对相关采购数据的输入、修改、批准、查询、报告、打印等,提出了一系列要求。
整个采购部门有几十个从事采购相关业务的工作人员,分管几十个大类、数以万计的不同物品的相关采购工作。
根据内控的要求,不同大类物品的采购价格和数量,以及到货时间等诸如此类的定单信息和供应商信息,对其他无关部门,甚至同部门的其他采购人员,都是保密的。
在这样的内控要求下,ERP用户权限的设定,不是仅在功能模块的菜单上设定权限,就能符合岗位隔离的要求的。
不少安全要求,具体到需要对数据库内的数据表的字段做出相应的权限设定。
岗位隔离的要求,形成了一个极其复杂的安全需求矩阵。
在系统实施工作的后期阶段,提出这样的安全要求,对ERP实施小组无疑是个难题。
由于事先准备不足,ERP系统的功能、需求分析、流程设计、项目实施的资源,都没有充分考虑公司内控和信息安全的要求。
上述信息安全和岗位隔离的要求,对采购模块的实施,形成了难以逾越的障碍,并且直接导致:1.采购模块没有和其他模块一起集成上线。
2.应付账款模块、库存管理模块、成本计算功能的应用,都受到了很大的制约。
3.该ERP系统的实施,没能达到产供销财务一体化的目标。
其实,该公司内其他部门也有类似的信息安全的考虑和内控的要求,只不过没有采购部门反应强烈而已。
这些问题深深困扰着A企业……1.在系统分析阶段,开发人员和A企业在哪方面存在重大的失误?2.如果你是A企业的CIO,面对上述问题,你会做出什么样的决策?3.在信息系统的建设过程中,要经历哪些阶段?公司的领导和各部门都起什么作用?一、本指引的现实和长远意义优化信息系统提升管理水平——财政部会计司解读《企业内部控制应用指引第18号——信息系统》《企业内部控制应用指引第18号———信息系统》中所指信息系统,是指企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。
第17、18号——内部信息传递、信息系统
《企业内部控制应用指引》第17号---内部信息传递主要内容:(一)本指引的意义(二)内部信息传递概述(三)内部报告形成(四)内部报告使用一、本指引的意义1、内部信息传递是提高企业管理能力的重要抓手。
2、内部信息传递是提升企业市竞争能力的重要支撑。
3、内部信息传递是有效实施内部控制的重要保证。
二、内部信息传递的总体要求(一)收集和传递相关信息一般应遵循以下原则。
1、真实准确性。
2、及时有效性。
3、遵守保密原则。
(二)内部信息传递。
1、概念本指引所称的内部信息传递,是指企业内部各管理层级之间通过内部报告形式传递生产经营管理信息的过程。
内部报告,是由企业内部编制,在企业内部传递,为企业董事会、管理层和相关人员所使用,满足企业决策与控制需要,实现企业战略目标的信息报告。
2、内部信息传递的流程与职责分工企业各部管理层均应当指定专人负责内部报告工作,重要信息可以直接报告高级管理人员。
3、主要风险点。
(1)内部报告系统缺失、功能不健全、内部不完整。
--内部报告的信息量非常大,必须要建立一套完整的内部报告系统,或者由于系统执行不好等原因。
(2)内部信息传递不通畅、不及时。
--内部信息可能传递不出去。
(3)内部信息传递中泄露商业秘密。
--如有些成本的信息非常敏感,还有财务、技术信息等都是非常重要的。
不能随意传到外面去。
三、内部信息传递流程1、根据传递介质不同,可将信息传递分为:--口头传递。
--书面传递。
--电子传递。
2、根据企业内部各部门信息获取渠道的不同,可将内部信息传递的方式分为:--自上而下。
--自下而上。
--平行传递。
3、内部信息传递流程。
四、内部信息传递流程的主要风险点及管控措施(一)建立内部报告指标体系◆ 该环节的主要风险是:指标体系的设计未能结合企业的发展战略,指标体系级次混乱,与全面预算管理要求相脱节,并且一旦设定后未能根据环境和业务变化有所调整。
◆ 主要管控措施:第一,企业应认真研究企业的发展战略、风险控制要求和业绩考核标准,根据各管理层级对信息的需求和详略程度,建立一套级次分明的内部报告指标体系。
《公司战略与风险管理》知识点内部控制应用指引18
2014年《公司战略与风险管理》知识点:内部控制应用指引18知识点:内部控制应用指引十八、信息系统《企业内部控制应用指引第18号——信息系统》所称信息系统,是指企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。
(一)利用信息系统实施内部控制需关注的主要风险(1)信息系统缺乏或规划不合理,可能造成信息孤岛或重复建设,导致企业经营管理效率低下。
(2)系统开发不符合内部控制要求,授权管理不当,可能导致无法利用信息技术实施有效控制。
(3)系统运行维护和安全措施不到位,可能导致信息泄露或毁损,系统无法正常运行。
(二)内部控制要求与措施1.信息系统的开发(1)提出项目建设方案,按照规定的权限和程序审批后实施。
企业开发信息系统,可以采取自行开发、外购调试、业务外包等方式。
选定外购调试或业务外包方式的,应当采用公开招标等形式择优确定供应商或开发单位。
(2)【开发信息系统的一些要求】应当将生产经营管理业务流程、关键控制点和处理规则嵌入系统程序,实现手工环境下难以实现的控制功能。
按照不同业务的控制要求,通过信息系统中的权限管理功能控制用户的操作权限,避免将不相容职责的处理权限授予同一用户。
针对不同数据的输入方式,考虑对进入系统数据的检查和校验功能。
对于必需的后台操作,应当加强管理。
在信息系统中设置操作日志功能,确保操作的可审计性。
对异常的或者违背内部控制要求的交易和数据,应当设计由系统自动报告并设置跟踪处理机制。
(3)企业信息系统归口管理部门应当加强信息系统开发全过程的跟踪管理。
(4)企业应当组织独立于开发单位的专业机构对开发完成的信息系统进行验收测试。
(5)企业应当切实做好信息系统上线工作。
2.信息系统的运行与维护。
(1)企业应当加强信息系统运行与维护的管理。
企业应当建立信息系统变更管理流程。
信息系统操作人员不得擅自进行系统软件的删除、修改等操作;不得擅自升级、改变系统软件版本;不得擅自改变软件系统环境配置。
信息系统内部控制过程控制和环境控制结合解读
信息系统内部控制过程控制和环境控制的结合—解读《企业内部控制应用指引第18号—信息系统》信息系统生成与经营和财务有关的信息报告,是集系统、信息和控制于一体的一种应用。
由于所有信息都是数据经过输入、处理、输出形成的,因此对信息的任何控制都是对数据输入、处理、输出的控制。
本文结合财政部等五部委出台的企业内部控制基本规范和《内部控制应用指引第18号—信息系统》,将信息系统内部控制按与输入、处理、输出的关系分为终端用户控制、信息处理控制、持续运行控制、硬件保护控制四项内容。
其中,终端用户控制和信息处理控制是信息系统的实体内容,共同构成数据输入、处理和输出的过程控制,前者是对人的控制,后者是对系统的控制;持续运行控制和硬件保护控制是信息系统运行的必备支撑,共同构成系统运行的环境控制,前者是对软环境的控制,后者是对硬环境的控制。
一、终端用户控制二、(一)授权使用制度企业应当根据业务性质、重要性程度、涉密情况等因素确定信息系统的安全等级,建立不同等级信息的授权使用制度。
一般来说,企业应通过建立权限控制矩阵来指定信息用户所能执行的功能,即控制终端用户的范围及其可执行的操作。
有些用户只能查询有关数据,有些用户则有权查询和修改数据,而另一些用户甚至还可以修改程序。
在企业整体的权限调整、新终端用户的人员增设、原终端用户的权限修改和岗位调离等情况下需要进行权限变更,但必须经过以下步骤:首先,由终端用户填写权限申请表,陈述理由和要求;部门负责人根据终端用户的工作性质决定审核结果;主管领导根据部门职能和部门负责人的意见决定审核结果;最后,由系统维护人员根据审核意见修改权限控制矩阵的内容。
为确保权限授予的准确、高效和有据可查,在维护之前,系统维护人员应与终端用户和部门负责人确认;维护完毕后,应尽快通知相应终端用户、部门负责人和单位主管领导,并将维护日志与授权申请书归档备查。
(二)用户管理制度1.用户访问控制。
终端用户的访问控制有系统的访问控制和系统程序及数据的访问控制两种方式。
会计信息系统内部控制制度构建_基于_企业内部控制应用指引第18号_信息系统_
2008年5月22日,财政部、证监会、审计署、银监会、保监会联合发布了我国第一部《企业内部控制基本规范》,这套规范从2009年7月1日起在上市公司范围内实施,鼓励非上市的其他大中型企业执行。
2010年4月15日,财政部又再次会同证监会、审计署、国资委、银监会、保监会等部门发布了《企业内部控制配套指引》,该配套指引由《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》3部分组成,从2011年1月1日起首先在境内外同时上市的公司施行,2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行,在此基础之上,择机在中小板和创业板上市公司施行,鼓励非上市大中型企业提前执行。
至此,一套基本规范加一套指引共同构建了我国企业内部控制的规范体系。
本文基于《企业内部控制应用指引》中《企业内部控制应用指引第18号———信息系统》,从会计信息系统的概述、开发、运行与维护3个方面论述会计信息系统内部控制制度的构建。
一、会计信息系统的界定信息系统是信息内部传递和信息对外报告的技术手段,企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。
会计信息系统是一个对会计数据进行采集、存储、加工、传输并输出大量会计信息的系统,可以利用传统的手工业务处理程序,也可以利用会计电算化处理程序完成。
本文主要界定的是利用会计电算化处理程序下内部控制制度的构建问题。
二、会计信息系统的开发阶段内部控制制度构建(一)建立、完善内部控制环境,消除内部人控制现象内控环境的建立是从上至下的思想变革,是全员参与,责任层层传递和落实的过程。
管理者的观念起到决定性作用,影响到企业的内部控制制度能否顺利实施,也影响着内部控制的效率和效果。
企业可以将董事会作为内部控制系统的核心,发挥董事会的监控、引导和监督的作用与职能。
在会计信息系统开发阶段,要重视培养管理层的内控观念和信息观念,使其理解企业信息化建设、内部控制和企业发展三者之间的辩证统一的关系,转变思想,消除人为控制因素。
内部控制指引18流程图——信息系统
第18章企业内部控制流程——信息系统
18.1 信息系统开发控制18.1.3 信息系统自行开发流程1.信息系统自行开发流程与风险控制图
2.信息系统自行开发流程控制表
18.1.4 信息系统开发招标流程1.信息系统开发招标流程与风险控制图
2.信息系统开发招标流程控制表
18.2 信息系统运行与维护控制18.2.2 信息化会计档案的管理流程1.信息化会计档案的管理流程与风险控制图
2.信息化会计档案的管理流程控制表
18.2.3 会计信息管理人员操作流程1.会计信息管理人员操作流程与风险控制图
2.会计信息管理人员操作流程控制表。
内部控制指引18流程图——信息系统
第18章企业内部控制流程——信息系统
18.1 信息系统开发控制18.1.3 信息系统自行开发流程1.信息系统自行开发流程与风险控制图
2.信息系统自行开发流程控制表
18.1.4 信息系统开发招标流程1.信息系统开发招标流程与风险控制图
2.信息系统开发招标流程控制表
18.2 信息系统运行与维护控制18.2.2 信息化会计档案的管理流程1.信息化会计档案的管理流程与风险控制图
2.信息化会计档案的管理流程控制表
18.2.3 会计信息管理人员操作流程1.会计信息管理人员操作流程与风险控制图
2.会计信息管理人员操作流程控制表。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
企业内部控制应用指引第18号——信息系统【案例导入】忽略了安全需求的ERPA企业是国内一家从事制造建筑工程施工车辆的公司。
该企业从九十年代就开始准备ERP项目,并在二十世纪九十年代后期选定了软件,开始实施包括财务、分销和制造在内的整合的ERP系统。
为此,A公司专门成立了ERP实施小组,在专业咨询公司的协助下,经过一段时间的需求分析、流程设计、用户培训,实施工作进入了紧张的上线前数据准备的关键阶段。
这时候,采购部门对敏感的采购信息在系统中的安全性提出了质疑,包括对相关采购数据的输入、修改、批准、查询、报告、打印等,提出了一系列要求。
整个采购部门有几十个从事采购相关业务的工作人员,分管几十个大类、数以万计的不同物品的相关采购工作。
根据内控的要求,不同大类物品的采购价格和数量,以及到货时间等诸如此类的定单信息和供应商信息,对其他无关部门,甚至同部门的其他采购人员,都是保密的。
在这样的内控要求下,ERP用户权限的设定,不是仅在功能模块的菜单上设定权限,就能符合岗位隔离的要求的。
不少安全要求,具体到需要对数据库内的数据表的字段做出相应的权限设定。
岗位隔离的要求,形成了一个极其复杂的安全需求矩阵。
在系统实施工作的后期阶段,提出这样的安全要求,对ERP实施小组无疑是个难题。
由于事先准备不足,ERP系统的功能、需求分析、流程设计、项目实施的资源,都没有充分考虑公司内控和信息安全的要求。
上述信息安全和岗位隔离的要求,对采购模块的实施,形成了难以逾越的障碍,并且直接导致:1.采购模块没有和其他模块一起集成上线。
2.应付账款模块、库存管理模块、成本计算功能的应用,都受到了很大的制约。
3.该ERP系统的实施,没能达到产供销财务一体化的目标。
其实,该公司内其他部门也有类似的信息安全的考虑和内控的要求,只不过没有采购部门反应强烈而已。
这些问题深深困扰着A企业……1.在系统分析阶段,开发人员和A企业在哪方面存在重大的失误?2.如果你是A企业的CIO,面对上述问题,你会做出什么样的决策?3.在信息系统的建设过程中,要经历哪些阶段?公司的领导和各部门都起什么作用?一、本指引的现实和长远意义优化信息系统提升管理水平——财政部会计司解读《企业内部控制应用指引第18号——信息系统》《企业内部控制应用指引第18号———信息系统》中所指信息系统,是指企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。
信息系统内部控制的目标是促进企业有效实施内部控制,提高企业现代化管理水平,减少人为操纵因素;同时,增强信息系统的安全性、可靠性和合理性以及相关信息的保密性、完整性和可用性,为建立有效的信息与沟通机制提供支持保障。
信息系统内部控制的主要对象是信息系统,由计算机硬件、软件、人员、信息流和运行规程等要素组成。
现代企业的运营越来越依赖于信息系统。
比如航空公司的网上订票系统、银行的资金实时结算系统、携程旅行网的客户服务系统等,没有信息系统的支撑,业务开展就举步维艰、难以为继,企业经营就很可能陷入瘫痪状态。
还有一些新兴产业和新兴企业,其商业模式完全依赖信息系统,比如各种网络公司(新浪、网易、百度)、各种电子商务公司(比如阿里巴巴、卓越公司),没有信息系统,这些企业可能失去生存之基。
同时应当看到,企业信息系统内部控制以及利用信息系统实施内部控制也面临诸多风险,至少应当关注下列方面:一是信息系统缺乏或规划不合理,可能造成信息孤岛或重复建设,导致企业经营管理效率低下;二是系统开发不符合内部控制要求,授权管理不当,可能导致无法利用信息技术实施有效控制;三是系统运行维护和安全措施不到位,可能导致信息泄漏或毁损,系统无法正常运行。
鉴于信息系统在实施内部控制和现代化管理中具有十分独特而重要的作用,加之信息系统本身的复杂性和高风险特征,《企业内部控制应当指引第18号——信息系统》规定,企业负责人对信息系统建设工作负责。
换言之,信息系统建设是“一把手”工程。
只有企业负责人站在战略和全局的高度亲自组织领导信息系统建设工作,才能统一思想、提高认识、加强协调配合,从而推动信息系统建设在整合资源的前提下高效、协调推进。
企业应当重视信息系统在内部控制中的作用,根据内部控制要求,结合组织架构、业务范围、地域分布、技术能力等因素,制定信息系统建设总体规划,加大投入力度,有序组织信息系统开发、运行与维护,优化管理流程,防范经营风险,全面提升企业现代化管理水平。
二、本指引的框架结构该指引分为3章,共15条,主要说明对信息系统实施内部控制,重视在内部控制中的作用;根据信息系统建设整体规划提出项目建设方案,开发信息系统;企业应当加强信息系统运行与维护的管理,制定信息系统工作程序、信息管理制度以及各模块子系统的具体操作规范;具体框架结构如下表:三、本指引主要内容解读【解读】随着社会信息化进程的迅速推进,信息系统成为不少企业内部管理与控制的关键工具。
因此,信息系统的可靠性、安全性已经直接影响着审计工作效率和质量。
在此背景下,《审计署2006至2010年审计工作发展规划》提出“逐步开展对关系国计民生的重大行业、部门的联网审计和信息系统审计,全面提高计算机应用水平”。
信息系统开发、运行与维护过程中的主要风险企业应当关注与信息系统有关的下列风险:1.信息系统缺乏或规划不合理,可能造成信息孤岛或重复建设,导致企业经营管理效率低下。
2.系统开发不符合内部控制要求,授权管理不当,可能导致无法利用信息技术实施有效控制。
3.系统运行维护和安全措施不到位,可能导致信息泄漏或毁损,系统无法正常运行。
第二章信息系统的开发第五条企业应当根据信息系统建设整体规划提出项目建设方案,明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容,按照规定的权限和程序审批后实施。
企业信息系统归口管理部门应当组织内部各单位提出开发需求和关键控制点,规范开发流程,明确系统设计、编程、安装调试、验收、上线等全过程的管理要求,严格按照建设方案、开发流程和相关要求组织开发工作。
企业开发信息系统,可以采取自行开发、外购调试、业务外包等方式。
选定外购调试或业务外包方式的,应当采用公开招标等形式择优确定供应商或开发单位。
第六条企业开发信息系统,应当将生产经营管理业务流程、关控制点和处理规则嵌入系统程序,实现手工环境下难以实现的控制功能。
企业在系统开发过程中,应当按照不同业务的控制要求,通过信息系统中的权限管理功能控制用户的操作权限,避免将不相容职责的处理权限授予同一用户企业应当针对不同数据的输入方式,考虑对进入系统数据的检查和校验功能。
对于必需的后台操作,应当加强管理,建立规范的流程制度,对操作情况进行监控或者审计。
企业应当在信息系统中设置操作日志功能,确保操作的可审计性。
对异常的或者违背内部控制要求的交易和数据,应当设计由系统自动报告并设置跟踪处理机制。
第七条企业信息系统归口管理部门应当加强信息系统开发全过程的跟踪管理,组织开发单位与内部各单位的日常沟通和协调,督促开发单位按照建设方案、计划进度和质量要求完成编程工作,对配备的硬件设备和系统软件进行检查验收,组织系统上线运行等。
第八条企业应当组织独立于开发单位的专业机构对开发完成的信息系统进行验收测试,确保在功能、性能、控制要求和安全性等方面符合开发需求。
第九条企业应当切实做好信息系统上线的各项准备工作,培训业务操作和系统管理人员,制定科学的上线计划和新旧系统转换方案,考虑应急预案,确保新旧系统顺利切换和平稳衔接。
系统上线涉及数据迁移的,还应制定详细的数据迁移计划。
【解读】企业根据发展战略和业务需要进行信息系统建设,首先要确立系统建设目标,根据目标进行系统建设战略规划,再将规划细化为项目建设方案。
企业开展信息系统建设,可以根据实际情况,采取自行开发、外购调试或业务外包等方式。
选择外购调试或业务外包方式的,应当采用公开招标等形式择优选择供应商或开发单位。
选择自行开发信息系统的,信息系统归口管理部门应当组织企业内部相关业务部门进行需求分析,合理配置人员,明确系统设计、编程、安装调试、验收、上线等全过程的管理要求。
企业信息系统归口管理部门应当加强信息系统开发全过程的跟踪管理,增进开发单位与企业内部业务部门的日常沟通和协调,组织独立于开发单位的专业机构对开发完成的信息系统进行检查验收,并组织系统上线运行。
(一)制定信息系统开发的战略规划信息系统开发的战略规划是信息化建设的起点,战略规划是以企业发展战略为依据制定的企业信息化建设的全局性、长期性规划。
制定信息系统战略规划的主要风险是:第一,缺乏战略规划或规划不合理,可能造成信息孤岛或重复建设,导致企业经营管理效率低下。
第二,没有将信息化与企业业务需求结合,降低了信息系统的应用价值。
信息孤岛现象是不少企业信息系统建设中存在的普遍问题,根源在于这些企业往往忽视战略规划的重要性,缺乏整体观念和整合意识,常常陷于头痛医头,脚痛医脚,这就导致有的企业财务管理信息系统、销售管理信息系统、生产管理信息系统、人力资源管理系统、办公自动化系统等各自为政、孤立存在的现象,削弱了信息系统的协同效用,甚至引发系统冲突。
主要控制措施:第一,企业必须制定信息系统开发的战略规划和中长期发展计划,并在每年制定经营计划的同时制定年度信息系统建设计划,促进经营管理活动与信息系统的协调统一。
第二,企业在制定信息化战略过程中,要充分调动和发挥信息系统归口管理部门与业务部门的积极性,使各部门广泛参与,充分沟通,提高战略规划的科学性、前瞻性和适应性。
第三,信息系统战略规划要与企业的组织架构、业务范围、地域分布、技术能力等相匹配,避免相互脱节。
(二)选择适当的信息系统开发方式信息系统的开发建设是信息系统生命周期中技术难度最大的环节。
在开发建设环节,要将企业的业务流程、内控措施、权限配置、预警指标、核算方法等固化到信息系统中,因此开发建设的好坏直接影响信息系统的成败。
开发建设主要有自行开发、外购调试、业务外包等方式。
各种开发方式有各自的优缺点和适用条件,企业应根据自身实际情况合理选择。
1.自行开发自行开发是企业依托自身力量完成整个开发过程。
其优点是开发人员熟悉企业情况,可以较好地满足本企业的需求,尤其是具有特殊性的业务需求。
通过自行开发,还可以培养锻炼自己的开发队伍,便于后期的运行和维护。
其缺点是开发周期较长、技术水平和规范程度较难保证,成功率相对较低。
因此,自行开发方式的适用条件通常是企业自身技术力量雄厚,而且市场上没有能够满足企业需求的成熟的商品化软件和解决方案。
比如百度的搜索引擎系统就偏重于自行开发。
2.外购调试外购调式的基本做法是企业购买成熟的商品化软件,通过参数配置和二次开发满足企业需求。
其优点是开发建设周期短;成功率较高;成熟的商品化软件质量稳定,可靠性高;专业的软件提供商实施经验丰富。