2010-企业内部控制应用指引第18号——信息系统
内控指引18之制度详解――信息系统
内控指引18之制度详解――信息系统第18章企业内部控制――信息系统管理18.3信息系统开发、变更与维护控制18.3.2信息系统研发、更改与保护管理制度信息系统开发变更与维护管理制度对进行该工作的各个事项进行了规范,为相关工作人员提供了指导。
下面是某企业的信息系统开发、变更与维护管理制度,供读者参考。
信息系统研发、更改与保护管理制度第1章总则第1条为了提升企业的经营绩效与工作效率,提高企业信息系统的可靠性、稳定性与安全性,特制订本制度。
第2条本制度适用于信息部以及各用户部门涉及使用企业信息系统的相关人员。
第2章系统研发与更改第3条企业信息系统开发所遵循的原则1.因地制宜原则应当根据行业特点、企业规模、管理理念、非政府结构、核算方法等因素设计适宜本单位的计算机信息系统。
2.成本效益原则计算机信息系统的建设应能够起著降低成本、制止偏差的促进作用,根据成本效益原则,企业可以挑选对关键领域中的关键因素展开信息系统改建。
3.理念与技术并重原则信息系统建设应将信息系统技术与信息系统管理理念资源整合,提倡全体员工积极参与信息系统建设,正确理解和采用信息系统,提升信息系统的运作效率。
第4条项目部人员在信息系统开发中要将相应的交易权限嵌入到系统程序中,以便检查、纠正错误和舞弊行为。
第5条系统研发任务书内容1.信息系统名称。
12.信息系统必须达至的技术性能。
3.信息系统的操作方式环境。
4.开发信息系统的具体工作计划。
5.开发信息系统的人员与协作单位。
6.开发信息系统的费用预算。
第6条所挑选的外包合作开发信息系统的机构必须存有合作开发信息系统的经验,并强化对其的监控力度。
第7条测试专员需将系统测试中所出现的问题记录成册,定期交予信息部经理。
第8条在信息系统安装调试前的必要工作如下。
1.制订应急预案,以保证崭新系统出现故障时能乌返回旧有系统。
2.必须顺利完成整体测试和用户验收测试后才可以加装调试。
第9条新旧系统切换时,进行数据迁移必须建立数据迁移计划并对迁移结果进行测试。
财政部会计司解读《企业内部控制应用指引第18号——信息系统》-精简
优化信息系统提升管理水平——财政部会计司解读《企业内部控制应用指引第18号——信息系统》一、信息系统内部控制概述《企业内部控制应用指引第18号———信息系统》中所指信息系统,是指企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。
信息系统内部控制的主要对象是信息系统,由计算机硬件、软件、人员、信息流和运行规程等要素组成。
二、信息系统的开发企业根据发展战略和业务需要进行信息系统建设,首先要确立系统建设目标,根据目标进行系统建设战略规划,再将规划细化为项目建设方案。
选择外购调试或业务外包方式的,应当采用公开招标等形式择优选择供应商或开发单位。
选择自行开发信息系统的,信息系统归口管理部门应当组织企业内部相关业务部门进行需求分析,合理配置人员,明确系统设计、编程、安装调试、验收、上线等全过程的管理要求。
企业信息系统归口管理部门应当加强信息系统开发全过程的跟踪管理,增进开发单位与企业内部业务部门的日常沟通和协调,组织独立于开发单位的专业机构对开发完成的信息系统进行检查验收,并组织系统上线运行。
三、信息系统的运行与维护信息系统的运行与维护主要包含三方面的内容:日常运行维护、系统变更和安全管理。
(一)日常运行维护的关键控制点和主要控制措施日常运行维护的目标是保证系统正常运转,主要工作内容包括系统的日常操作、系统的日常巡检和维修、系统运行状态监控、异常事件的报告和处理等。
这一环节的主要风险是:第一,没有建立规范的信息系统日常运行管理规范,计算机软硬件的内在隐患易于爆发,可能导致企业信息系统出错。
第二,没有执行例行检查,导致一些人为恶意攻击会长期隐藏在系统中,可能造成严重损失。
第三,企业信息系统数据未能定期备份,可能导致损坏后无法恢复,从而造成重大损失。
主要控制措施:第一,企业应制定信息系统使用操作程序、信息管理制度以及各模块子系统的具体操作规范,及时跟踪、发现和解决系统运行中存在的问题,确保信息系统按照规定的程序、制度和操作规范持续稳定运行。
《企业内部控制应用指引》第三章控制手段类指引
第三章控制手段类指引控制手段类指引偏重于“工具”性质,往往涉及企业整体业务或管理。
此类指引有4项,包括全面预算、合同管理、内部信息传递和信息系统等指引。
一、内部控制应用指引第15号——全面预算全面预算是企业对一定期间经营活动、投资活动、财务活动等作出的预算安排。
企业要想使全面预算管理达到预期的效果,必须要特别关注和防范预算管理中的风险,主要包括:不编制预算或预算不健全,可能导致企业经营缺乏约束或盲目发展;预算目标不合理、编制不科学,可能导致企业资源浪费或发展目标难以实现;预算缺乏刚性、执行不力、考核不严,可能导致预算管理流于形式。
为此,全面预算应用指引要求企业在加强全面预算工作的组织领导,明确预算管理体制以及各预算执行单位的职责权限、授权批准程序和工作协调机制的基础上,着重做到以下几点:1.企业应当建立和完善预算编制工作制。
2.企业应当根据发展战略和年度生产经营计划,综合考虑预算期内经济政策、市场环境等因素,按照上下结合、分级编制、逐级汇总的程序,编制年度全面预算。
3.企业应当加强对预算执行的管理。
4.企业应当建立严格的预算执行考核制度。
二、内部控制应用指引第16号——合同管理1.合同管理中常见的风险:(1)企业未订立合同、未经授权对外订立合同、合同对方主体资格未达要求、合同内容存在重大疏漏和欺诈,会导致企业合法权益受到侵害;(2)合同未全面履行或监控不当;(3)合同纠纷处理不当,则会损害企业利益、信誉和形象。
2.针对合同管理的风险的应对措施:(1)企业对外发生经济行为,除即时结清方式外,应当订立书面合同。
(2)企业应当根据协商、谈判结果,拟定合同文本,明确双方的权利义务和违约责任,并严格进行审核。
(3)企业应当按照规定的权限和程序与对方当事人签署合同。
(4)企业应当加强合同信息安全保密工作。
(5)企业应当遵循诚实信用原则严格履行合同,对合同履行实施有效监控。
(6)企业应当建立合同履行情况评估制度,至少于每年年末对合同履行的总体情况和重大合同履行的具体情况进行分析评估,对分析评估中发现的不足或问题应及时加以改进。
财政部会计司解读《企业内部控制应用指引第18号——信息系统》
2010年07月09日第07版优化信息系统提升管理水平———财政部会计司解读《企业内部控制应用指引第18号———信息系统》作者:来源:字数:10890一、信息系统内部控制概述《企业内部控制应用指引第18号—————信息系统》中所指信息系统,是指企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。
信息系统内部控制的目标是促进企业有效实施内部控制,提高企业现代化管理水平,减少人为操纵因素;同时,增强信息系统的安全性、可靠性和合理性以及相关信息的保密性、完整性和可用性,为建立有效的信息与沟通机制提供支持保障。
信息系统内部控制的主要对象是信息系统,由计算机硬件、软件、人员、信息流和运行规程等要素组成。
现代企业的运营越来越依赖于信息系统。
比如航空公司的网上订票系统、银行的资金实时结算系统、携程旅行网的客户服务系统等,没有信息系统的支撑,业务开展就举步维艰、难以为继,企业经营就很可能陷入瘫痪状态。
还有一些新兴产业和新兴企业,其商业模式完全依赖信息系统,比如各种网络公司(新浪、网易、百度)、各种电子商务公司(比如阿里巴巴、卓越公司),没有信息系统,这些企业可能会失去生存之基。
同时应当看到,企业信息系统内部控制以及利用信息系统实施内部控制也面临诸多风险,至少应当关注下列方面:一是信息系统缺乏或规划不合理,可能造成信息孤岛或重复建设,导致企业经营管理效率低下;二是系统开发不符合内部控制要求,授权管理不当,可能导致无法利用信息技术实施有效控制;三是系统运行维护和安全措施不到位,可能导致信息泄漏或毁损,系统无法正常运行。
鉴于信息系统在实施内部控制和现代化管理中具有十分独特而重要的作用,加之信息系统本身的复杂性和高风险特征,《企业内部控制应用指引第18号———信息系统》规定,企业负责人对信息系统建设工作负责。
换言之,信息系统建设是“一把手”工程。
只有企业负责人站在战略和全局的高度亲自组织领导信息系统建设工作,才能统一思想、提高认识、加强协调配合,从而推动信息系统建设在整合资源的前提下高效、协调推进。
会计信息系统内部控制制度构建——基于《企业内部控制应用指引第18号——信息系统》
大 中 型企 业 执 行 。
21 0 0年 4月 1 , 政 部 又 再 次 会 同证 监 会 、 计 署 、 51 财 3 审 国资 委 、 监 会 、 监 会 等 部 门 发 布 了 《 业 内部 控 制 配 套 指 引 》 该 银 保 企 ,
本 文 基 于 《 业 内部 控 制 应 用 指 引 》 企 业 内 部 控 制 应 用 企 中《
指引第 1 8号 — — 信 息 系 统 》 从 会 计 信 息 系 统 的 概 述 、 发 、 , 开 运 行 与 维护 3 方 面 论 述 会 计 信 息 系 统 内部 控 制 制 度 的 构 建 个
2 0年 1 01 1月
中 国 管 理 信 息 化
Chn a a e n no ma inz t n iaM n g me t f r t ia i I o o
No . 2 0 v . 01 Vo .3. . 11 No21
第 1 卷 第 2 期 3 1
会 计信 息 系统 内部控制制度构建
[ 关键词 ]内部控制 : 会计信息 系统 ; 内部人控 制
d i1 .9 9ji n 17 o:0 3 6 /.s . 6 3—0 9 . 0 0 2 .0 s 14 2 1 . 10 3
[ 中图分类 号]F 3 ;2 3 [ 2 2 F 3 7 一 142 1 ) 1 0 0 — 2 6 3 O 9 (0 0 2 — 0 5 0
起 首 先 在 境 内 外 同 时上 市 的 公 司施 行 , 0 2年 1月 1 日起 扩 大 计 信 息 系 统 开发 过 程 中财 务 部 门 要 与 负 责 开 发 的 单 位 保 持 沟 通 21
《企业内部控制应用指引第18号——信息系统》解读 财政部会计司
建 设 , 致 企 业 经 营 管 理 效 率 低 下 。 二 ,没 有 将 信 息 化 与 导 第
2 1 0 财务与会计 57 0 1 6.
南鸯 骠
企业 业务 需 求结 合, 降低 了信息 系统 的应用价 值。信息孤 岛
已有成 熟的商品化软件和系统 实施方案 。比如大部分 企业的
同时应当看 到 , 企业 信息系 统 内部控 制以及 利用信息 系 统实 施 内部控 制也 面 临诸 多风 险,至少应 当关注 下 列方 面:
一
是信 息 系统 缺 乏 或 规 划不 合 理 , 能 造 成信 息 孤 岛或 重 可
单 位与企 业 内部业务 部 门的 日常 沟 通和 协调 , 组织 独立于 开
企 业 负 责 人 对 信 息 系 统 建 设 工 作 负 责 。换 言 之 , 系 统 建 信
划 是 以 企 业 发 展 战 略 为 依 据 制 定 的 企 业 信 息 化 建 设 的 全 局
性 、长期性 规 划 。 制定 信息 系统 战略 规划 的主要 风 险是 :第
一
,
缺 乏 战略规 划或 规划 不合 理 , 可能 造成信 息孤 岛或重 复
财 政 部 会 计 司
一
、
信息系统 内部控制概述
设 是“ 一把手 ” 工程 。 只有企 业负责人 站在 战略和 全局 的高度
亲 自组织 领导信 息系统 建设 工作 , 才能统 一思想 、 高认 识、 提
《 业 内部 控制 应用指 引第 1 号 —— 信 息系 统 中所 指 企 8 信 息系 统,是指企 业 利用计 算机 和通 信 技术 , 内部 控制 进 对 行 集成 、 化和 提 升所 形成 的信息化 管理 平 台。信息 系统 内 转
《企业内部控制应用指引——第 18 号》(财会[2010]11 号)
![《企业内部控制应用指引——第 18 号》(财会[2010]11 号)](https://img.taocdn.com/s3/m/4e8e31d3b14e852458fb5766.png)
保监会关于印发《保险公司内部控制基本准则》的通知保监发〔2010〕69号各保险公司、各保监局:为加强保险公司内部控制建设,提高保险公司风险防范能力和经营管理水平,促进保险公司合规、稳健、有效经营,我会制定了《保险公司内部控制基本准则》。
现予印发,请遵照执行。
保监会二○一○年八月十日保险公司内部控制基本准则第一章总则第一条为加强保险公司内部控制建设,提高保险公司风险防范能力和经营管理水平,促进保险公司合规、稳健、有效经营,保护保险公司和被保险人等其他利益相关者合法权益,依据《保险法》、《企业内部控制基本规范》和其他相关规定,制定本准则。
第二条本准则所称内部控制,是指保险公司各层级的机构和人员,依据各自的职责,采取适当措施,合理防范和有效控制经营管理中的各种风险,防止公司经营偏离发展战略和经营目标的机制和过程。
第三条保险公司内部控制的目标包括:(一)行为合规性目标。
保证保险公司的经营管理行为遵守法律法规、监管规定、行业规范、公司内部管理制度和诚信准则。
(二)资产安全性目标。
保证保险公司资产安全可靠,防止公司资产被非法使用、处置和侵占。
(三)信息真实性目标。
保证保险公司财务报告、偿付能力报告等业务、财务及管理信息的真实、准确、完整。
(四)经营有效性目标。
增强保险公司决策执行力,提高管理效率,改善经营效益。
(五)战略保障性目标。
保障保险公司实现发展战略,促进稳健经营和可持续发展,保护股东、被保险人及其他利益相关者的合法权益。
第四条保险公司建立和实施内部控制,应当遵循以下原则:(一)全面和重点相统一。
保险公司应当建立全面、系统、规范化的内部控制体系,覆盖所有业务流程和操作环节,贯穿经营管理全过程。
在全面管理的基础上,对公司重要业务事项和高风险领域实施重点控制。
(二)制衡和协作相统一。
保险公司内部控制应当在组织架构、岗位设置、权责分配、业务流程等方面,通过适当的职责分离、授权和层级审批等机制,形成合理制约和有效监督。
解读《企业内部控制应用指引第18号—信息系统》
信息系统内部控制:过程控制和环境控制的结合—解读《企业内部控制应用指引第18号—信息系统》信息系统生成与经营和财务有关的信息报告,是集系统、信息和控制于一体的一种应用。
由于所有信息都是数据经过输入、处理、输出形成的,因此对信息的任何控制都是对数据输入、处理、输出的控制。
本文结合财政部等五部委出台的企业内部控制基本规范和《内部控制应用指引第18号—信息系统》,将信息系统内部控制按与输入、处理、输出的关系分为终端用户控制、信息处理控制、持续运行控制、硬件保护控制四项内容。
其中,终端用户控制和信息处理控制是信息系统的实体内容,共同构成数据输入、处理和输出的过程控制,前者是对人的控制,后者是对系统的控制;持续运行控制和硬件保护控制是信息系统运行的必备支撑,共同构成系统运行的环境控制,前者是对软环境的控制,后者是对硬环境的控制。
一、终端用户控制(一)授权使用制度企业应当根据业务性质、重要性程度、涉密情况等因素确定信息系统的安全等级,建立不同等级信息的授权使用制度。
一般来说,企业应通过建立权限控制矩阵来指定信息用户所能执行的功能,即控制终端用户的范围及其可执行的操作。
有些用户只能查询有关数据,有些用户则有权查询和修改数据,而另一些用户甚至还可以修改程序。
在企业整体的权限调整、新终端用户的人员增设、原终端用户的权限修改和岗位调离等情况下需要进行权限变更,但必须经过以下步骤:首先,由终端用户填写权限申请表,陈述理由和要求;部门负责人根据终端用户的工作性质决定审核结果;主管领导根据部门职能和部门负责人的意见决定审核结果;最后,由系统维护人员根据审核意见修改权限控制矩阵的内容。
为确保权限授予的准确、高效和有据可查,在维护之前,系统维护人员应与终端用户和部门负责人确认;维护完毕后,应尽快通知相应终端用户、部门负责人和单位主管领导,并将维护日志与授权申请书归档备查。
(二)用户管理制度1.用户访问控制。
终端用户的访问控制有系统的访问控制和系统程序及数据的访问控制两种方式。
18项《企业内部控制应用指引》《企业内部控制评价指引》和《企业内部控制审计指引》
附件1:企业内部控制应用指引企业内部控制应用指引第1号——组织架构第一章总则第一条为了促进企业实现发展战略,优化治理结构、管理体制和运行机制,建立现代企业制度,根据《中华人民共和国公司法》等有关法律法规和《企业内部控制基本规范》,制定本指引。
第二条本指引所称组织架构,是指企业按照国家有关法律法规、股东(大)会决议和企业章程,结合本企业实际,明确股东(大)会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。
第三条企业至少应当关注组织架构设计与运行中的下列风险:(一)治理结构形同虚设,缺乏科学决策、良性运行机制和执行力,可能导致企业经营失败,难以实现发展战略。
(二)内部机构设计不科学,权责分配不合理,可能导致机构重叠、职能交叉或缺失、推诿扯皮,运行效率低下。
第二章组织架构的设计第四条企业应当根据国家有关法律法规的规定,明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序,确保决策、执行和监督相互分离,形成制衡。
董事会对股东(大)会负责,依法行使企业的经营决策权。
可按照股东(大)会的有关决议,设立战略、审计、提名、薪酬与考核等专门委员会,明确各专门委员会的职责权限、任职资格、议事规则和工作程序,为董事会科学决策提供支持。
监事会对股东(大)会负责,监督企业董事、经理和其他高级管理人员依法履行职责。
经理层对董事会负责,主持企业的生产经营管理工作。
经理和其他高级管理人员的职责分工应当明确。
董事会、监事会和经理层的产生程序应当合法合规,其人员构成、知识结构、能力素质应当满足履行职责的要求。
第五条企业的重大决策、重大事项、重要人事任免及大额资金支付业务等,应当按照规定的权限和程序实行集体决策审批或者联签制度。
任何个人不得单独进行决策或者擅自改变集体决策意见。
重大决策、重大事项、重要人事任免及大额资金支付业务的具体标准由企业自行确定。
第六条企业应当按照科学、精简、高效、透明、制衡的原则,综合考虑企业性质、发展战略、文化理念和管理要求等因素,合理设置内部职能机构,明确各机构的职责权限,避免职能交叉、缺失或权责过于集中,形成各司其职、各负其责、相互制约、相互协调的工作机制。
企业内部控制应用指引之内部信息传递
《企业内部操纵应用指引第17号——内部信息传递》一、信息系统内部操纵概述《企业内部操纵应用指引第18号——信息系统》中所指信息系统,是指企业利用计算机和通信技术,对内部操纵进行集成、转化和提升所形成的信息化治理平台。
信息系统内部操纵的目标是促进企业有效实施内部操纵,提高企业现代化治理水平,减少人为操纵因素;同时,增强信息系统的安全性、可靠性和合理性以及相关信息的保密性、完整性和可用性,为建立有效的信息与沟通机制提供支持保障。
信息系统内部操纵的要紧对象是信息系统,由计算机硬件、软件、人员、信息流和运行规程等要素组成。
企业信息系统内部操纵以及利用信息系统实施内部操纵至少应当关注下列方面:1、信息系统缺乏或规划不合理,可能造成信息孤岛或重复建设,导致企业经营治理效率低下;2、系统开发不符合内部操纵要求,授权治理不当,可能导致无法利用信息技术实施有效操纵;3、系统运行维护和安全措施不到位,可能导致信息泄漏或毁损,系统无法正常运行。
二、信息系统的开发企业依照进展战略和业务需要进行信息系统建设,首先要确立系统建设目标,依照目标进行系统建设战略规划,再将规划细化为项目建设方案。
企业开展信息系统建设,能够依照实际情况,选择自行开发、外购调试或业务外包等方式。
选择外购调试或业务外包方式的,应当采纳公开招标等形式择优选择供应商或开发单位。
选择自行开发信息系统的,信息系统归口治理部门应当组织企业内部相关业务部门进行需求分析,合理配置人员,明确系统设计、编程、安装调试、验收、上线等全过程的治理要求。
企业信息系统归口治理部门应当加强信息系统开发全过程的跟踪治理,增进开发单位与企业内部业务部门的日常沟通和协调,组织独立于开发单位的专业机构对开发完成的信息系统进行检查验收,并组织系统上线运行。
(一)制定信息系统开发的战略规划信息系统开发的战略规划是信息化建设的起点。
战略规划是以企业进展战略为依据制定的企业信息化建设的全局性、长期性规划。
财政部解读《内控指引18号—信息系统》
优化信息系统提升管理水平——财政部会计司解读《企业内部控制应用指引第18号——信息系统》一、信息系统内部控制概述《企业内部控制应用指引第18号———信息系统》中所指信息系统,是指企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。
信息系统内部控制的目标是促进企业有效实施内部控制,提高企业现代化管理水平,减少人为操纵因素;同时,增强信息系统的安全性、可靠性和合理性以及相关信息的保密性、完整性和可用性,为建立有效的信息与沟通机制提供支持保障。
信息系统内部控制的主要对象是信息系统,由计算机硬件、软件、人员、信息流和运行规程等要素组成。
现代企业的运营越来越依赖于信息系统。
比如航空公司的网上订票系统、银行的资金实时结算系统、携程旅行网的客户服务系统等,没有信息系统的支撑,业务开展就举步维艰、难以为继,企业经营就很可能陷入瘫痪状态。
还有一些新兴产业和新兴企业,其商业模式完全依赖信息系统,比如各种网络公司(新浪、网易、百度)、各种电子商务公司(比如阿里巴巴、卓越公司),没有信息系统,这些企业可能失去生存之基。
同时应当看到,企业信息系统内部控制以及利用信息系统实施内部控制也面临诸多风险,至少应当关注下列方面:一是信息系统缺乏或规划不合理,可能造成信息孤岛或重复建设,导致企业经营管理效率低下;二是系统开发不符合内部控制要求,授权管理不当,可能导致无法利用信息技术实施有效控制;三是系统运行维护和安全措施不到位,可能导致信息泄漏或毁损,系统无法正常运行。
鉴于信息系统在实施内部控制和现代化管理中具有十分独特而重要的作用,加之信息系统本身的复杂性和高风险特征,《企业内部控制应当指引第18号——信息系统》规定,企业负责人对信息系统建设工作负责。
换言之,信息系统建设是“一把手”工程。
只有企业负责人站在战略和全局的高度亲自组织领导信息系统建设工作,才能统一思想、提高认识、加强协调配合,从而推动信息系统建设在整合资源的前提下高效、协调推进。
内控制度审计-信息系统指引
企业应当针对不同数据的输入方式,考虑对进入系统数据的检 查和校验功能。对于必需的后台操作,应当加强管理,建立规 范的流程制度,对操作情况进行监控或者审计。
企业应当在信息系统中设置操作日志功能,确保操作的可审计 性。对异常的或者违背内部控制要求的交易和数据,应当设计 由系统自动报告并设置跟踪处理机制。
计司解读《企业内部控制应用指引第18号——信息系统》 控制措施
第一,企业必须制定信息系统开发的战略规划和中长期 发展计划,并在每年制定经营计划的同时制定年度信息 系统建设计划,促进经营管理活动与信息系统的协调统 一。 第二,企业在制定信息化战略过程中,要充分调动和发 挥信息系统归口管理部门与业务部门的积极性,使各部 门广泛参与,充分沟通,提高战略规划的科学性、前瞻 第三,信息系统战略规划要与企业的组织架构、业务范 围、地域分布、技术能力等相匹配,避免相互脱节。 第一,企业应当根据信息系统建设整体规划提出分阶段 项目的建设方案,明确建设目标、人员配备、职责分工 、经费保障和进度安排等相关内容,按照规定的权限和 第二,企业可以采用标准的项目管理软件(比如Office Project)制定项目计划,并加以跟踪。在关键环节进行 阶段性评审,以保证过程可控。 第三,项目关键环节编制的文档应参照《GB8567-88 计算机软件产品开发文件编制指南》等相关国家标准和 行业标准进行,以提高项目计划编制水平。 第一,信息系统归口管理部门应当组织企业内部各有关 部门提出开发需求,加强系统分析人员和有关部门的管 理人员、业务人员的交流,经综合分析提炼后形成合理 的需求。 第二,编制表述清晰、表达准确的需求文档。需求文档 是业务人员和技术人员共同理解信息系统的桥梁,必须 准确表述系统建设的目标、功能和要求。企业应当采用 标准建模语言(例如UML),综合运用多种建模工具和表 现手段,参照《GB8567-88计算机软件产品开发文件 编制指南》等相关标准,提高系统需求说明书的编写质 第三,企业应当建立健全需求评审和需求变更控制流程 。依据需求文档进行设计(含需求变更设计)前,应当 评审其可行性,由需求提出人和编制人签字确认,并经 业务部门与信息系统归口管理部门负责人审批。 第一,系统设计负责部门应当就总体设计方案与业务部 门进行沟通和讨论,说明方案对用户需求的覆盖情况; 存在备选方案的,应当详细说明各方案在成本、建设时 间和用户需求响应上的差异;信息系统归口管理部门和 业务部门应当对选定的设计方案予以书面确认。 第二,企业应参照《GB8567-88计算机软件产品开发 文件编制指南》等相关国家标准和行业标准,提高系统 设计说明书的编写质量。 第三,企业应建立设计评审制度和设计变更控制流程。
第17、18号——内部信息传递、信息系统
《企业内部控制应用指引》第17号---内部信息传递主要内容:(一)本指引的意义(二)内部信息传递概述(三)内部报告形成(四)内部报告使用一、本指引的意义1、内部信息传递是提高企业管理能力的重要抓手。
2、内部信息传递是提升企业市竞争能力的重要支撑。
3、内部信息传递是有效实施内部控制的重要保证。
二、内部信息传递的总体要求(一)收集和传递相关信息一般应遵循以下原则。
1、真实准确性。
2、及时有效性。
3、遵守保密原则。
(二)内部信息传递。
1、概念本指引所称的内部信息传递,是指企业内部各管理层级之间通过内部报告形式传递生产经营管理信息的过程。
内部报告,是由企业内部编制,在企业内部传递,为企业董事会、管理层和相关人员所使用,满足企业决策与控制需要,实现企业战略目标的信息报告。
2、内部信息传递的流程与职责分工企业各部管理层均应当指定专人负责内部报告工作,重要信息可以直接报告高级管理人员。
3、主要风险点。
(1)内部报告系统缺失、功能不健全、内部不完整。
--内部报告的信息量非常大,必须要建立一套完整的内部报告系统,或者由于系统执行不好等原因。
(2)内部信息传递不通畅、不及时。
--内部信息可能传递不出去。
(3)内部信息传递中泄露商业秘密。
--如有些成本的信息非常敏感,还有财务、技术信息等都是非常重要的。
不能随意传到外面去。
三、内部信息传递流程1、根据传递介质不同,可将信息传递分为:--口头传递。
--书面传递。
--电子传递。
2、根据企业内部各部门信息获取渠道的不同,可将内部信息传递的方式分为:--自上而下。
--自下而上。
--平行传递。
3、内部信息传递流程。
四、内部信息传递流程的主要风险点及管控措施(一)建立内部报告指标体系◆ 该环节的主要风险是:指标体系的设计未能结合企业的发展战略,指标体系级次混乱,与全面预算管理要求相脱节,并且一旦设定后未能根据环境和业务变化有所调整。
◆ 主要管控措施:第一,企业应认真研究企业的发展战略、风险控制要求和业绩考核标准,根据各管理层级对信息的需求和详略程度,建立一套级次分明的内部报告指标体系。
企业内部控制基本规范及三个指引——第十八章信息系统
第十八章信息系统第十八章信息系统信息系统,是指企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。
企业利用信息系统实施内部控制至少应当关注下列风险:1.信息系统缺乏或规划不合理,可能造成信息孤岛或重复建设,导致企业经营管理效率低下。
2.系统开发不符合内部控制要求,授权管理不当,可能导致无法利用信息技术实施有效控制。
3.系统运行维护和安全措施不到位,可能导致信息泄漏或毁损,系统无法正常运行。
第一节关键内部控制一、岗位分工与授权审批(一)企业应当建立计算机信息系统岗位责任制。
计算机信息系统岗位一般包括:1.系统分析:分析用户的信息需求,并据此制定设计或修改程序的方案。
2.编程:编写计算机程序来执行系统分析岗位的设计或修改方案。
3.测试:设计测试方案,对计算机程序是否满足设计或修改方案进行测试,通过反馈给编程岗位以修改程序并最终满足方案。
4.程序管理:负责保障并监控应用程序正常运行。
5.数据库管理:对信息系统中的数据进行存储、处理、管理,维护组织数据资源。
6.数据控制:负责维护计算机路径代码的注册,确保原始数据经过正确授权,监控信息系统工作流程,协调输入和输出,将输入的错误数据反馈到输入部门并跟踪监控其纠正过程,将输出信息分发给经过授权的用户。
7.终端操作:终端用户负责记录交易内容,授权处理数据,并利用系统输出的结果。
系统开发和变更过程中不相容岗位(或职责)一般应包括:开发(或变更)立项、审批、编程、测试;系统访问过程中不相容岗位(或职责)一般应包括:申请、审批、操作、监控,即这几个职位中是不能够由同一人兼任的。
(二)企业计算机信息系统战略规划、重要信息系统政策等重大事项应当经由董事会(或者由企业章程规定的经理、厂长办公会等类似的决策、治理机构,以下简称董事会)审批通过后,方可实施。
信息系统战略规划应当与企业业务目标保持一致。
信息系统使用部门应该参与信息系统战略规划、重要信息系统政策等的制定。
18项《企业内部控制应用指引》《企业内部控制评价指引》和《企业内部控制审计指引》
附件1:企业内部控制应用指引企业内部控制应用指引第1号——组织架构第一章总则第一条为了促进企业实现发展战略,优化治理结构、管理体制和运行机制,建立现代企业制度,根据《中华人民共和国公司法》等有关法律法规和《企业内部控制基本规范》,制定本指引。
第二条本指引所称组织架构,是指企业按照国家有关法律法规、股东(大)会决议和企业章程,结合本企业实际,明确股东(大)会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。
第三条企业至少应当关注组织架构设计与运行中的下列风险:(一)治理结构形同虚设,缺乏科学决策、良性运行机制和执行力,可能导致企业经营失败,难以实现发展战略。
(二)内部机构设计不科学,权责分配不合理,可能导致机构重叠、职能交叉或缺失、推诿扯皮,运行效率低下。
第二章组织架构的设计第四条企业应当根据国家有关法律法规的规定,明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序,确保决策、执行和监督相互分离,形成制衡。
董事会对股东(大)会负责,依法行使企业的经营决策权。
可按照股东(大)会的有关决议,设立战略、审计、提名、薪酬与考核等专门委员会,明确各专门委员会的职责权限、任职资格、议事规则和工作程序,为董事会科学决策提供支持。
监事会对股东(大)会负责,监督企业董事、经理和其他高级管理人员依法履行职责。
经理层对董事会负责,主持企业的生产经营管理工作。
经理和其他高级管理人员的职责分工应当明确。
董事会、监事会和经理层的产生程序应当合法合规,其人员构成、知识结构、能力素质应当满足履行职责的要求。
第五条企业的重大决策、重大事项、重要人事任免及大额资金支付业务等,应当按照规定的权限和程序实行集体决策审批或者联签制度。
任何个人不得单独进行决策或者擅自改变集体决策意见。
重大决策、重大事项、重要人事任免及大额资金支付业务的具体标准由企业自行确定。
第六条企业应当按照科学、精简、高效、透明、制衡的原则,综合考虑企业性质、发展战略、文化理念和管理要求等因素,合理设置内部职能机构,明确各机构的职责权限,避免职能交叉、缺失或权责过于集中,形成各司其职、各负其责、相互制约、相互协调的工作机制。
会计信息系统内部控制制度构建_基于_企业内部控制应用指引第18号_信息系统_
2008年5月22日,财政部、证监会、审计署、银监会、保监会联合发布了我国第一部《企业内部控制基本规范》,这套规范从2009年7月1日起在上市公司范围内实施,鼓励非上市的其他大中型企业执行。
2010年4月15日,财政部又再次会同证监会、审计署、国资委、银监会、保监会等部门发布了《企业内部控制配套指引》,该配套指引由《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》3部分组成,从2011年1月1日起首先在境内外同时上市的公司施行,2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行,在此基础之上,择机在中小板和创业板上市公司施行,鼓励非上市大中型企业提前执行。
至此,一套基本规范加一套指引共同构建了我国企业内部控制的规范体系。
本文基于《企业内部控制应用指引》中《企业内部控制应用指引第18号———信息系统》,从会计信息系统的概述、开发、运行与维护3个方面论述会计信息系统内部控制制度的构建。
一、会计信息系统的界定信息系统是信息内部传递和信息对外报告的技术手段,企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。
会计信息系统是一个对会计数据进行采集、存储、加工、传输并输出大量会计信息的系统,可以利用传统的手工业务处理程序,也可以利用会计电算化处理程序完成。
本文主要界定的是利用会计电算化处理程序下内部控制制度的构建问题。
二、会计信息系统的开发阶段内部控制制度构建(一)建立、完善内部控制环境,消除内部人控制现象内控环境的建立是从上至下的思想变革,是全员参与,责任层层传递和落实的过程。
管理者的观念起到决定性作用,影响到企业的内部控制制度能否顺利实施,也影响着内部控制的效率和效果。
企业可以将董事会作为内部控制系统的核心,发挥董事会的监控、引导和监督的作用与职能。
在会计信息系统开发阶段,要重视培养管理层的内控观念和信息观念,使其理解企业信息化建设、内部控制和企业发展三者之间的辩证统一的关系,转变思想,消除人为控制因素。
《公司战略与风险管理》知识点内部控制应用指引18
2014年《公司战略与风险管理》知识点:内部控制应用指引18知识点:内部控制应用指引十八、信息系统《企业内部控制应用指引第18号——信息系统》所称信息系统,是指企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。
(一)利用信息系统实施内部控制需关注的主要风险(1)信息系统缺乏或规划不合理,可能造成信息孤岛或重复建设,导致企业经营管理效率低下。
(2)系统开发不符合内部控制要求,授权管理不当,可能导致无法利用信息技术实施有效控制。
(3)系统运行维护和安全措施不到位,可能导致信息泄露或毁损,系统无法正常运行。
(二)内部控制要求与措施1.信息系统的开发(1)提出项目建设方案,按照规定的权限和程序审批后实施。
企业开发信息系统,可以采取自行开发、外购调试、业务外包等方式。
选定外购调试或业务外包方式的,应当采用公开招标等形式择优确定供应商或开发单位。
(2)【开发信息系统的一些要求】应当将生产经营管理业务流程、关键控制点和处理规则嵌入系统程序,实现手工环境下难以实现的控制功能。
按照不同业务的控制要求,通过信息系统中的权限管理功能控制用户的操作权限,避免将不相容职责的处理权限授予同一用户。
针对不同数据的输入方式,考虑对进入系统数据的检查和校验功能。
对于必需的后台操作,应当加强管理。
在信息系统中设置操作日志功能,确保操作的可审计性。
对异常的或者违背内部控制要求的交易和数据,应当设计由系统自动报告并设置跟踪处理机制。
(3)企业信息系统归口管理部门应当加强信息系统开发全过程的跟踪管理。
(4)企业应当组织独立于开发单位的专业机构对开发完成的信息系统进行验收测试。
(5)企业应当切实做好信息系统上线工作。
2.信息系统的运行与维护。
(1)企业应当加强信息系统运行与维护的管理。
企业应当建立信息系统变更管理流程。
信息系统操作人员不得擅自进行系统软件的删除、修改等操作;不得擅自升级、改变系统软件版本;不得擅自改变软件系统环境配置。
内部控制指引18流程图——信息系统
第18章企业内部控制流程——信息系统
18.1 信息系统开发控制18.1.3 信息系统自行开发流程1.信息系统自行开发流程与风险控制图
2.信息系统自行开发流程控制表
《信息系统管理制度》
《信息系统开发管理办法》
《企业内部控制应用指引》
《信息系统开发任务书》
《信息系统设计方案》
信息部、财务部、生产部、销售部、仓储部
总经理、运营总监、编程员、设计员、测试员、信息部人员
18.1.4 信息系统开发招标流程1.信息系统开发招标流程与风险控制图
2.信息系统开发招标流程控制表
《信息系统管理制度》
《信息系统开发招标管理规定》
《中华人民共和国合同法》
《中华人民共和国招标投标法》
《信息系统招标广告》
《信息系统开发招标书》
《信息系统开发中标通知书》
项目管理小组、信息部
总经理、项目管理小组组长及成员18.2 信息系统运行与维护控制18.2.2 信息化会计档案的管理流程1.信息化会计档案的管理流程与风险控制图
2.信息化会计档案的管理流程控制表
《信息系统管理制度》
《信息化会计档案管理制度》
《企业内部控制应用指引》
《记账凭证》
《会计账簿》
会计报表
信息部、财务部
信息部经理、会计档案管理员、财务部经理、会计
18.2.3 会计信息管理人员操作流程1.会计信息管理人员操作流程与风险控制图
2.会计信息管理人员操作流程控制表
《信息系统管理制度》
《会计信息化操作管理制度》
《企业内部控制应用指引》
会计报表
《记账凭证》
财务部、信息部
财务总监、财务部经理、会计信息主管、会计信息操作员。
吕鹏老师总结:18个应用指引
吕鹏老师总结:18个应用指引吕鹏老师总结:18个应用指引18个应用指引是公司战略考试中非常重要的内容,吕鹏老师对相关内容进行了总结,希望帮助大家学习~内部控制应用指引第1号——组织结构企业在设计组织结构时应遵守的四大原则:1、按照国家法律法规、企业章程,建立规范的公司治理结构,明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序,确保决策、执行及监督等方面的职责权限互相分离,形成制衡。
2、企业应当按照科学、精简、高效、透明、制衡的原则,综合考虑企业性质、发展战略、文化理念和管理要求等因素,合理设置内部职能机构,明确各机构的职责权限,避免职能交叉、缺失或权责过于集中,形成各司其职、各负其责、相互制约、相互协调的工作机制。
3、企业应当根据组织结构的设计规范,对现有治理结构和内部机构设置进行全面梳理,确保企业治理结构、内部职能机构设置和运行机制等符合现代企业制度要求。
4、企业拥有子公司的,应当建立科学的投资管控制度,通过合法有效的形式履行出资人职责、维护出资人权益,重点关注子公司特别是异地、境外子公司的发展战略、年度财务预决算、重大投融资、重大担保、大额资金使用、主要资产处置、重要人事任免、内部控制体系建设等重要事项。
“三重一大”,即:重大决策、重大事项、重要人事任免,大额资金使用。
内部控制应用指引第2号——战略发展战略发展——风险:1、缺乏明确的发展战略或实施不到位而导致企业盲目发展,难以形成竞争优势,丧失发展机遇和动力的风险;2、发展战略过于激进,脱离企业实际能力或偏离主业导致企业过度扩张,甚至经营失败的风险;3、发展战略因主观原因频繁变动导致企业资源浪费,甚至危及企业的生存和持续发展的风险。
战略发展——应对措施:1、要求企业在董事会下设战略委员会,或指定相关机构负责发展战略管理工作,履行相应职责。
2、进行充分调查研究、科学分析预测和广泛征求意见的基础上制定发展目标。
3、战略规划应根据企业的发展目标制定,明确发展的阶段性和发展程度,确定每个发展阶段的具体目标、工作任务和实施路径。
企业内部控制应用指引第18号--信息系统
企业内部控制应用指引第18号--信息系统文章属性•【制定机关】财政部,中国证券监督管理委员会,审计署,中国银行业监督管理委员会(已撤销),中国保险监督管理委员会(已撤销)•【公布日期】2010.04.15•【文号】财会[2010]11号•【施行日期】2010.04.15•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】企业正文企业内部控制应用指引第18号--信息系统(财政部、中国证券监督管理委员会、审计署、中国银行业监督管理委员会、中国保险监督管理委员会财会[2010]11号2010年4月15日)第一章总则第一条为了促进企业有效实施内部控制,提高企业现代化管理水平,减少人为因素,根据有关法律法规和《企业内部控制基本规范》,制定本指引。
第二条本指引所称信息系统,是指企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。
第三条企业利用信息系统实施内部控制至少应当关注下列风险:(一)信息系统缺乏或规划不合理,可能造成信息孤岛或重复建设,导致企业经营管理效率低下。
(二)系统开发不符合内部控制要求,授权管理不当,可能导致无法利用信息技术实施有效控制。
(三)系统运行维护和安全措施不到位,可能导致信息泄漏或毁损,系统无法正常运行。
第四条企业应当重视信息系统在内部控制中的作用,根据内部控制要求,结合组织架构、业务范围、地域分布、技术能力等因素,制定信息系统建设整体规划,加大投入力度,有序组织信息系统开发、运行与维护,优化管理流程,防范经营风险,全面提升企业现代化管理水平。
企业应当指定专门机构对信息系统建设实施归口管理,明确相关单位的职责权限,建立有效工作机制。
企业可委托专业机构从事信息系统的开发、运行和维护工作。
企业负责人对信息系统建设工作负责。
第二章信息系统的开发第五条企业应当根据信息系统建设整体规划提出项目建设方案,明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容,按照规定的权限和程序审批后实施。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
企业内部控制应用指引第18号——信息系统
颁布时间:2010-5-8
发文单位:财政部
第一章总则
第一条为了促进企业有效实施内部控制,提高企业现代化管理水平,减少人为因素,根据有关法律法规和《企业内部控制基本规范》,制定本指引。
第二条本指引所称信息系统,是指企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。
第三条企业利用信息系统实施内部控制至少应当关注下列风险:
(一)信息系统缺乏或规划不合理,可能造成信息孤岛或重复建设,导致企业经营管理效率低下。
(二)系统开发不符合内部控制要求,授权管理不当,可能导致无法利用信息技术实施有效控制。
(三)系统运行维护和安全措施不到位,可能导致信息泄漏或损,系统无法正常运行。
第四条企业应当重视信息系统在内部控制中的作用,根据内部控制要求,结合组织架构、业务范围、地域分布、技术能力等因素,制定信息系统建设整体规划,加大投入力度,有序组织信息系统开发、运行与维护,优化管理流程,防范经营风险,全面提升企业现代化管理水平。
企业应当指定专门机构对信息系统建设实施归口管理,明确相关位的职责权限,建立有效工作机制。
企业可委托专业机构从事信息系统的开发、运行和维护工作。
企业负责人对信息系统建设工作负责。
第二章信息系统的开发
第五条企业应当根据信息系统建设整体规划提出项目建设方案,明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容,按照规定的权限和程序审批后实施。
企业信息系统归口管理部门应当组织内部各单位提出开发需求和关键控制点,规范开发流程,明确系统设计、编程、安装调试、验收、上线等全过程的管理要求,严格按照建设方案、开发流程和相关要求组织开发工作。
企业开发信息系统,可以采取自行开发、外购调试、业务外包等方式。
选定外购调试或业务外包方式的,应当采用公开招标等形式择优确定供应商或开发单位。
第六条企业开发信息系统,应当将生产经营管理业务流程、关键控制点和处理规则嵌入系统程序,实现手工环境下难以实现的控制功能。
企业在系统开发过程中,应当按照不同业务的控制要求,通过信息系统中的权限管理功能控制用户的操作权限,避免将不相容职责的处理权限授予同一用户。
企业应当针对不同数据的输入方式,考虑对进入系统数据的检查和校验功能。
对于必需的后台操作,应当加强管理,建立规范的流程制度,对操作情况进行监控或者审计。
企业应当在信息系统中设置操作日志功能,确保操作的可审计性。
对异常的或者违背内部控制要求的交易和数据,应当设计由系统自动报告并设置跟踪处理机制。
第七条企业信息系统归口管理部门应当加强信息系统开发全过程的跟踪管理,组织开发单位与内部各单位的日常沟通和协调,督促开发单位按照建设方案、计划进度和质量要求完成编程工作,对配备的硬件设备和系统软件进行检查验收,组织系统上线运行等
第八条企业应当组织独立于开发单位的专业机构对开发完成的信息系统进行验收测试,确保在功能、性能、控制要求和安全性等方面符合开发需求。
第九条企业应当切实做好信息系统上线的各项准备工作,培训业务操作和系统管理人员,制定科学的上线计划和新旧系统转换方案,考虑应急预案,确保新旧系统顺利切换和平稳衔接。
系统上线涉及数据迁移的,还应制定详细的数据迁移计划。
第三章信息系统的运行与维护
第十条企业应当加强信息系统运行与维护的管理,制定信息系统工作程序、信息管理制度以及各模块子系统的具体操作规范,及时跟踪、发现和解决系统运行中存在的问题,确保信息系统按照规定的程序、制度和操作规范持续稳定运行。
企业应当建立信息系统变更管理流程,信息系统变更应当严格遵照管理流程进行操作。
信息系统操作人员不得擅自进行系统软件的删除、修改等操作;不得擅自升级、改变系统软件版本;不得擅自改变软件系统环境配置。
第十一条企业应当根据业务性质、重要性程度、涉密情况等确定信息系统的安全等级,建立不同等级信息的授权使用制度,采用相应技术手段保证信息系统运行安全有序。
企业应当建立信息系统安全保密和泄密责任追究制度。
委托专业机构进行系统运行与维护管理的,应当审查该机构的资质,并与其签订服务合同和保密协议。
企业应当采取安装安全软件等措施防范信息系统受到病毒等恶意软件的感染和破坏。
第十二条企业应当建立用户管理制度,加强对重要业务系统的访问权限管理,定期审阅系统账号,避免授权不当或存在非授权账号,禁止不相容职务用户账号的交叉操作。
第十三条企业应当综合利用防火墙、路由器等网络设备,漏洞扫描、入侵检测等软件技术以及远程访问安全策略等手段,加强网络安全,防范来自网络的攻击和非法侵入。
企业对于通过网络传输的涉密或关键数据,应当采取加密措施,确保信息传递的保密性、准确性和完整性。
第十四条企业应当建立系统数据定期备份制度,明确备份范围、频度、方法、责任人、存放地点、有效性检查等内容。
第十五条企业应当加强服务器等关键信息设备的管理,建立良好的物理环境,指定专人负责检查,及时处理异常情况。
未经授权,任何人不得接触关键信息设备。