18财政部会计司解读企业内控指引之信息系统
内控指引18之制度详解――信息系统
内控指引18之制度详解――信息系统第18章企业内部控制――信息系统管理18.3信息系统开发、变更与维护控制18.3.2信息系统研发、更改与保护管理制度信息系统开发变更与维护管理制度对进行该工作的各个事项进行了规范,为相关工作人员提供了指导。
下面是某企业的信息系统开发、变更与维护管理制度,供读者参考。
信息系统研发、更改与保护管理制度第1章总则第1条为了提升企业的经营绩效与工作效率,提高企业信息系统的可靠性、稳定性与安全性,特制订本制度。
第2条本制度适用于信息部以及各用户部门涉及使用企业信息系统的相关人员。
第2章系统研发与更改第3条企业信息系统开发所遵循的原则1.因地制宜原则应当根据行业特点、企业规模、管理理念、非政府结构、核算方法等因素设计适宜本单位的计算机信息系统。
2.成本效益原则计算机信息系统的建设应能够起著降低成本、制止偏差的促进作用,根据成本效益原则,企业可以挑选对关键领域中的关键因素展开信息系统改建。
3.理念与技术并重原则信息系统建设应将信息系统技术与信息系统管理理念资源整合,提倡全体员工积极参与信息系统建设,正确理解和采用信息系统,提升信息系统的运作效率。
第4条项目部人员在信息系统开发中要将相应的交易权限嵌入到系统程序中,以便检查、纠正错误和舞弊行为。
第5条系统研发任务书内容1.信息系统名称。
12.信息系统必须达至的技术性能。
3.信息系统的操作方式环境。
4.开发信息系统的具体工作计划。
5.开发信息系统的人员与协作单位。
6.开发信息系统的费用预算。
第6条所挑选的外包合作开发信息系统的机构必须存有合作开发信息系统的经验,并强化对其的监控力度。
第7条测试专员需将系统测试中所出现的问题记录成册,定期交予信息部经理。
第8条在信息系统安装调试前的必要工作如下。
1.制订应急预案,以保证崭新系统出现故障时能乌返回旧有系统。
2.必须顺利完成整体测试和用户验收测试后才可以加装调试。
第9条新旧系统切换时,进行数据迁移必须建立数据迁移计划并对迁移结果进行测试。
财政部解读18项企业内控指引
财政部会计司解读企业内控指引全面提升企业经营管理水平的重要举措 (1)—财政部会计司司长刘玉廷解读《企业内部控制配套指引》 (1)财政部会计司解读企业内控指引第1号-—组织架构 (18)财政部会计司解读企业内控指引第2号—-发展战略 (24)财政部会计司解读企业内控指引第3号——人力资源 (31)财政部会计司解读企业内控指引第4号-—社会责任 (37)财政部会计司解读企业内控指引第5号—-企业文化 (43)财政部会计司解读企业内控指引第6号——资金活动 (48)财政部会计司解读企业内控指引第7号-—采购业务 (63)财政部会计司解读企业内控指引第8号—-资产管理 (69)财政部会计司解读企业内控指引第9号——销售业务 (79)财政部会计司解读企业内控指引第10号——研究与开发 (84)财政部会计司解读企业内控指引第11号—-工程项目 (88)财政部会计司解读企业内控指引第12号——担保业务 (97)财政部会计司解读企业内控指引第13号-—业务外包 (104)财政部会计司解读企业内控指引第14号——财务报告 (109)财政部会计司解读企业内控指引第15号——全面预算 (116)财政部会计司解读企业内控指引第16号——合同管理 (126)财政部会计司解读企业内控指引第17号—-内部信息传递 (131)财政部会计司解读企业内控指引第18号—-信息系统 (137)全面提升企业经营管理水平的重要举措—财政部会计司司长刘玉廷解读《企业内部控制配套指引》4月26日,财政部会同证监会、审计署、国资委、银监会、保监会等部门在北京召开联合发布会,隆重发布了《企业内部控制配套指引》(以下简称配套指引)。
该配套指引连同2008年5月发布的《企业内部控制基本规范》,共同构建了中国企业内部控制规范体系,自2011年1月1日起首先在境内外同时上市的公司施行,自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行;在此基础上,择机在中小板和创业板上市公司施行。
财政部会计司解读《企业内部控制应用指引第18号——信息系统》-精简
优化信息系统提升管理水平——财政部会计司解读《企业内部控制应用指引第18号——信息系统》一、信息系统内部控制概述《企业内部控制应用指引第18号———信息系统》中所指信息系统,是指企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。
信息系统内部控制的主要对象是信息系统,由计算机硬件、软件、人员、信息流和运行规程等要素组成。
二、信息系统的开发企业根据发展战略和业务需要进行信息系统建设,首先要确立系统建设目标,根据目标进行系统建设战略规划,再将规划细化为项目建设方案。
选择外购调试或业务外包方式的,应当采用公开招标等形式择优选择供应商或开发单位。
选择自行开发信息系统的,信息系统归口管理部门应当组织企业内部相关业务部门进行需求分析,合理配置人员,明确系统设计、编程、安装调试、验收、上线等全过程的管理要求。
企业信息系统归口管理部门应当加强信息系统开发全过程的跟踪管理,增进开发单位与企业内部业务部门的日常沟通和协调,组织独立于开发单位的专业机构对开发完成的信息系统进行检查验收,并组织系统上线运行。
三、信息系统的运行与维护信息系统的运行与维护主要包含三方面的内容:日常运行维护、系统变更和安全管理。
(一)日常运行维护的关键控制点和主要控制措施日常运行维护的目标是保证系统正常运转,主要工作内容包括系统的日常操作、系统的日常巡检和维修、系统运行状态监控、异常事件的报告和处理等。
这一环节的主要风险是:第一,没有建立规范的信息系统日常运行管理规范,计算机软硬件的内在隐患易于爆发,可能导致企业信息系统出错。
第二,没有执行例行检查,导致一些人为恶意攻击会长期隐藏在系统中,可能造成严重损失。
第三,企业信息系统数据未能定期备份,可能导致损坏后无法恢复,从而造成重大损失。
主要控制措施:第一,企业应制定信息系统使用操作程序、信息管理制度以及各模块子系统的具体操作规范,及时跟踪、发现和解决系统运行中存在的问题,确保信息系统按照规定的程序、制度和操作规范持续稳定运行。
内部控制指引18流程图——信息系统
第18章企业内部控制流程——信息系统
18.1 信息系统开发控制18.1.3 信息系统自行开发流程1.信息系统自行开发流程与风险控制图
2.信息系统自行开发流程控制表
18.1.4 信息系统开发招标流程1.信息系统开发招标流程与风险控制图
2.信息系统开发招标流程控制表
18.2 信息系统运行与维护控制18.2.2 信息化会计档案的管理流程1.信息化会计档案的管理流程与风险控制图
2.信息化会计档案的管理流程控制表
18.2.3 会计信息管理人员操作流程1.会计信息管理人员操作流程与风险控制图
2.会计信息管理人员操作流程控制表。
财政部会计司解读公司内部控制审计指引.doc
财政部会计司解读企业内部控制审计指引1 规范内控审计行为促进内控有效实施——财政部会计司、中注协解读《企业内部控制审计指引》实施企业内部控制注册会计师审计,是促进企业尤其是上市公司扎实贯彻《企业内部控制基本规范》和《企业内部控制配套指引》的重要制度安排,是注册会计师行业开拓执业领域、进一步做大做强新的增长点。
为了规范注册会计师内部控制审计业务,明确工作要求,保证执业质量,根据《企业内部控制基本规范》、《中国注册会计师鉴证业务基本准则》及相关执业准则,财政部制定了《企业内部控制审计指引》(以下简称审计指引)。
财政部等五部委制定的《企业内部控制基本规范》和《企业内部控制应用指引》是注册会计师衡量企业内部控制是否有效的基础标准。
注册会计师在执行内部控制审计时,除遵守审计指引外,还应当遵守中国注册会计师相关执业准则。
审计指引共7章35条,并附有4份不同意见类型的内部控制审计报告,阐明了什么是内部控制审计、如何执行内部控制审计工作等问题。
本文对审计指引的几个重点问题进行解读。
一、内部控制审计概述(一)实施内部控制审计的必要性内部控制作为企业的一项重要管理活动,主要试图解决三方面的基本问题,即财务报告及相关信息的可靠性、资产的安全完整以及对法律法规的遵循;与此同时,促进提高经营的效率效果,并促进实现企业的发展战略。
安然、世通等一系列公司财务报表舞弊事件发生后,人们认识到健全有效的内部控制对预防此类事件的发生至关重要。
各国政府监管机构、企业界和会计职业界对内部控制的重视程度也进一步提升,从注重财务报告本身可靠性转向注重对保证财务报告可靠性机制的建设,也就是通过过程的有效保证结果的有效。
资本市场上的投资者甚至社会公众要求企业披露其与内部控制相关的信息,并要求经过注册会计师审计以增强信息的可靠性。
但是,在财务报表审计中,只有在以下两种情况下才强制要求对内部控制进行测试:在评估认定层次重大错报风险时,预期控制的运行是有效的(即在确定实质性程序的性质、时间安排和范围时,注册会计师拟信赖控制运行的有效性);或者仅实施实质性程序并不能够提供认定层次充分、适当的审计证据。
财政部会计司解读《企业内部控制应用指引第18号——信息系统》
2010年07月09日第07版优化信息系统提升管理水平———财政部会计司解读《企业内部控制应用指引第18号———信息系统》作者:来源:字数:10890一、信息系统内部控制概述《企业内部控制应用指引第18号—————信息系统》中所指信息系统,是指企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。
信息系统内部控制的目标是促进企业有效实施内部控制,提高企业现代化管理水平,减少人为操纵因素;同时,增强信息系统的安全性、可靠性和合理性以及相关信息的保密性、完整性和可用性,为建立有效的信息与沟通机制提供支持保障。
信息系统内部控制的主要对象是信息系统,由计算机硬件、软件、人员、信息流和运行规程等要素组成。
现代企业的运营越来越依赖于信息系统。
比如航空公司的网上订票系统、银行的资金实时结算系统、携程旅行网的客户服务系统等,没有信息系统的支撑,业务开展就举步维艰、难以为继,企业经营就很可能陷入瘫痪状态。
还有一些新兴产业和新兴企业,其商业模式完全依赖信息系统,比如各种网络公司(新浪、网易、百度)、各种电子商务公司(比如阿里巴巴、卓越公司),没有信息系统,这些企业可能会失去生存之基。
同时应当看到,企业信息系统内部控制以及利用信息系统实施内部控制也面临诸多风险,至少应当关注下列方面:一是信息系统缺乏或规划不合理,可能造成信息孤岛或重复建设,导致企业经营管理效率低下;二是系统开发不符合内部控制要求,授权管理不当,可能导致无法利用信息技术实施有效控制;三是系统运行维护和安全措施不到位,可能导致信息泄漏或毁损,系统无法正常运行。
鉴于信息系统在实施内部控制和现代化管理中具有十分独特而重要的作用,加之信息系统本身的复杂性和高风险特征,《企业内部控制应用指引第18号———信息系统》规定,企业负责人对信息系统建设工作负责。
换言之,信息系统建设是“一把手”工程。
只有企业负责人站在战略和全局的高度亲自组织领导信息系统建设工作,才能统一思想、提高认识、加强协调配合,从而推动信息系统建设在整合资源的前提下高效、协调推进。
《企业内部控制应用指引第18号——信息系统》解读 财政部会计司
建 设 , 致 企 业 经 营 管 理 效 率 低 下 。 二 ,没 有 将 信 息 化 与 导 第
2 1 0 财务与会计 57 0 1 6.
南鸯 骠
企业 业务 需 求结 合, 降低 了信息 系统 的应用价 值。信息孤 岛
已有成 熟的商品化软件和系统 实施方案 。比如大部分 企业的
同时应当看 到 , 企业 信息系 统 内部控 制以及 利用信息 系 统实 施 内部控 制也 面 临诸 多风 险,至少应 当关注 下 列方 面:
一
是信 息 系统 缺 乏 或 规 划不 合 理 , 能 造 成信 息 孤 岛或 重 可
单 位与企 业 内部业务 部 门的 日常 沟 通和 协调 , 组织 独立于 开
企 业 负 责 人 对 信 息 系 统 建 设 工 作 负 责 。换 言 之 , 系 统 建 信
划 是 以 企 业 发 展 战 略 为 依 据 制 定 的 企 业 信 息 化 建 设 的 全 局
性 、长期性 规 划 。 制定 信息 系统 战略 规划 的主要 风 险是 :第
一
,
缺 乏 战略规 划或 规划 不合 理 , 可能 造成信 息孤 岛或重 复
财 政 部 会 计 司
一
、
信息系统 内部控制概述
设 是“ 一把手 ” 工程 。 只有企 业负责人 站在 战略和 全局 的高度
亲 自组织 领导信 息系统 建设 工作 , 才能统 一思想 、 高认 识、 提
《 业 内部 控制 应用指 引第 1 号 —— 信 息系 统 中所 指 企 8 信 息系 统,是指企 业 利用计 算机 和通 信 技术 , 内部 控制 进 对 行 集成 、 化和 提 升所 形成 的信息化 管理 平 台。信息 系统 内 转
解读《企业内部控制应用指引第18号—信息系统》
信息系统内部控制:过程控制和环境控制的结合—解读《企业内部控制应用指引第18号—信息系统》信息系统生成与经营和财务有关的信息报告,是集系统、信息和控制于一体的一种应用。
由于所有信息都是数据经过输入、处理、输出形成的,因此对信息的任何控制都是对数据输入、处理、输出的控制。
本文结合财政部等五部委出台的企业内部控制基本规范和《内部控制应用指引第18号—信息系统》,将信息系统内部控制按与输入、处理、输出的关系分为终端用户控制、信息处理控制、持续运行控制、硬件保护控制四项内容。
其中,终端用户控制和信息处理控制是信息系统的实体内容,共同构成数据输入、处理和输出的过程控制,前者是对人的控制,后者是对系统的控制;持续运行控制和硬件保护控制是信息系统运行的必备支撑,共同构成系统运行的环境控制,前者是对软环境的控制,后者是对硬环境的控制。
一、终端用户控制(一)授权使用制度企业应当根据业务性质、重要性程度、涉密情况等因素确定信息系统的安全等级,建立不同等级信息的授权使用制度。
一般来说,企业应通过建立权限控制矩阵来指定信息用户所能执行的功能,即控制终端用户的范围及其可执行的操作。
有些用户只能查询有关数据,有些用户则有权查询和修改数据,而另一些用户甚至还可以修改程序。
在企业整体的权限调整、新终端用户的人员增设、原终端用户的权限修改和岗位调离等情况下需要进行权限变更,但必须经过以下步骤:首先,由终端用户填写权限申请表,陈述理由和要求;部门负责人根据终端用户的工作性质决定审核结果;主管领导根据部门职能和部门负责人的意见决定审核结果;最后,由系统维护人员根据审核意见修改权限控制矩阵的内容。
为确保权限授予的准确、高效和有据可查,在维护之前,系统维护人员应与终端用户和部门负责人确认;维护完毕后,应尽快通知相应终端用户、部门负责人和单位主管领导,并将维护日志与授权申请书归档备查。
(二)用户管理制度1.用户访问控制。
终端用户的访问控制有系统的访问控制和系统程序及数据的访问控制两种方式。
财政部解读18项企业内部管理指引
财政部解读18项企业内部管理指引
财政部最近发布了18项企业内部管理指引,并解读了这些指
引的关键要点。
这些指引意在提高企业的内部管理水平,加强企业
的财务监督和风险防范能力。
以下是这些指引的主要内容和要点:
1. 财务制度建设:企业应建立健全的财务制度,包括会计制度、财务报告制度等,以规范财务管理行为。
2. 资金管理:企业应加强资金计划和预测管理,合理安排资金
使用,确保资金的合理流动和利用。
3. 财务风险防范:企业应制定风险管理制度和措施,及时发现、分析和应对财务风险,以保障企业的财务安全。
4. 内部控制:企业应建立健全的内部控制制度,包括风险管理、业务流程控制、信息系统控制等,以规范企业的运营活动。
5. 财务会计核算:企业应按照会计准则进行财务会计核算,确
保财务数据的准确性和可靠性。
6. 报告披露:企业应及时、准确地披露财务信息和相关信息,增加信息透明度,保护投资者的权益。
这些指引为企业提供了明确的内部管理要求和操作指南,有助于企业提高财务管理水平和运营效率。
企业应认真履行这些指引,并注重日常实践中的不断改进和完善。
请注意,以上内容仅为财政部对18项企业内部管理指引的解读,具体实施还需根据实际情况和相关法律法规进行判断和调整。
财政部会计司解读《企业内部控制应用指引第18号——信息系统》.doc
优化信息系统提升管理水平——财政部会计司解读《企业内部控制应用指引第18号——信息系统》一、信息系统内部控制概述《企业内部控制应用指引第18号———信息系统》中所指信息系统,是指企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。
信息系统内部控制的目标是促进企业有效实施内部控制,提高企业现代化管理水平,减少人为操纵因素;同时,增强信息系统的安全性、可靠性和合理性以及相关信息的保密性、完整性和可用性,为建立有效的信息与沟通机制提供支持保障。
信息系统内部控制的主要对象是信息系统,由计算机硬件、软件、人员、信息流和运行规程等要素组成。
现代企业的运营越来越依赖于信息系统。
比如航空公司的网上订票系统、银行的资金实时结算系统、携程旅行网的客户服务系统等,没有信息系统的支撑,业务开展就举步维艰、难以为继,企业经营就很可能陷入瘫痪状态。
还有一些新兴产业和新兴企业,其商业模式完全依赖信息系统,比如各种网络公司(新浪、网易、百度)、各种电子商务公司(比如阿里巴巴、卓越公司),没有信息系统,这些企业可能失去生存之基。
同时应当看到,企业信息系统内部控制以及利用信息系统实施内部控制也面临诸多风险,至少应当关注下列方面:一是信息系统缺乏或规划不合理,可能造成信息孤岛或重复建设,导致企业经营管理效率低下;二是系统开发不符合内部控制要求,授权管理不当,可能导致无法利用信息技术实施有效控制;三是系统运行维护和安全措施不到位,可能导致信息泄漏或毁损,系统无法正常运行。
鉴于信息系统在实施内部控制和现代化管理中具有十分独特而重要的作用,《企业内部控制应当指引第18号——加之信息系统本身的复杂性和高风险特征,信息系统》规定,企业负责人对信息系统建设工作负责。
换言之,信息系统建设是“一把手”工程。
只有企业负责人站在战略和全局的高度亲自组织领导信息系统建设工作,才能统一思想、提高认识、加强协调配合,从而推动信息系统建设在整合资源的前提下高效、协调推进。
财政部会计司解读《企业内部控制应用指引》完全版
财政部会计司解读《企业内部控制应用指引》系列目录财政部会计司解读《企业内部控制应用指引第1号——组织架构》 (2)财政部会计司解读《企业内部控制应用指引第2号——发展战略》 (14)财政部会计司解读《企业内部控制应用指引第3号——人力资源》 (28)财政部会计司解读《企业内部控制应用指引第4号——社会责任》 (39)财政部会计司解读《企业内部控制应用指引第5号——企业文化》 (51)财政部会计司解读《企业内部控制应用指引第6号——资金活动》 (60)财政部会计司解读《企业内部控制应用指引第7号——采购业务》 (86)财政部会计司解读《企业内部控制应用指引第8号——资产管理》 (97)财政部会计司解读《企业内部控制应用指引第9号——销售业务》 (117)财政部会计司解读《企业内部控制应用指引第1号——组织架构》发布时间:2010-05-10健全组织架构奠定内控基础《企业内部控制应用指引第1号——组织架构》指出,组织架构是指企业按照国家有关法律法规、股东(大)会决议、企业章程,结合本企业实际,明确董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。
其中,核心是完善公司治理结构、管理体制和运行机制问题。
为什么要制定组织架构指引?该指引的主要内容有哪些?对组织架构的设计和运行等提出了哪些要求?本文就此进行解读。
一、关于组织架构指引的现实和长远意义一个现代企业,无论是处于新建、重组改制还是存续状态,要实现发展战略,就必须把建立和完善组织架构放在首位或重中之重。
否则,其他方面都无从谈起。
第一,建立和完善组织架构可以促进企业建立现代企业制度。
一个企业怎样才能永远保持成功呢?这就要靠制度。
这个制度就是现代企业制度。
它是以完善的企业法人制度为基础,以有限责任制度为保证,以公司制企业为主要形式,以产权清晰、权责明确、政企分开、管理科学为条件的现代企业制度。
可见,现代企业制度的核心是组织架构问题;或者,一个实施现代企业制度的企业,应当具备科学完善的组织架构。
财政部会计司、中注协解读《企业内部控制审计指引》
财政部会计司、中注协解读《企业内部控制审计指引》规范内控审计行为促进内控有效实施-—财政部会计司、中注协解读《企业内部控制审计指引》实施企业内部控制注册会计师审计,是促进企业尤其是上市公司扎实贯彻《企业内部控制基本规范》和《企业内部控制配套指引》的重要制度安排,是注册会计师行业开拓执业领域、进一步做大做强新的增长点.为了规范注册会计师内部控制审计业务,明确工作要求,保证执业质量,根据《企业内部控制基本规范》、《中国注册会计师鉴证业务基本准则》及相关执业准则,财政部制定了《企业内部控制审计指引》(以下简称审计指引).财政部等五部委制定的《企业内部控制基本规范》和《企业内部控制应用指引》是注册会计师衡量企业内部控制是否有效的基础标准.注册会计师在执行内部控制审计时,除遵守审计指引外,还应当遵守中国注册会计师相关执业准则.审计指引共7章35条,并附有4份不同意见类型的内部控制审计报告,阐明了什么是内部控制审计、如何执行内部控制审计工作等问题。
本文对审计指引的几个重点问题进行解读。
一、内部控制审计概述(一)实施内部控制审计的必要性内部控制作为企业的一项重要管理活动,主要试图解决三方面的基本问题,即财务报告及相关信息的可靠性、资产的安全完整以及对法律法规的遵循;与此同时,促进提高经营的效率效果,并促进实现企业的发展战略.安然、世通等一系列公司财务报表舞弊事件发生后,人们认识到健全有效的内部控制对预防此类事件的发生至关重要。
各国政府监管机构、企业界和会计职业界对内部控制的重视程度也进一步提升,从注重财务报告本身可靠性转向注重对保证财务报告可靠性机制的建设,也就是通过过程的有效保证结果的有效。
资本市场上的投资者甚至社会公众要求企业披露其与内部控制相关的信息,并要求经过注册会计师审计以增强信息的可靠性。
但是,在财务报表审计中,只有在以下两种情况下才强制要求对内部控制进行测试:在评估认定层次重大错报风险时,预期控制的运行是有效的(即在确定实质性程序的性质、时间安排和范围时,注册会计师拟信赖控制运行的有效性);或者仅实施实质性程序并不能够提供认定层次充分、适当的审计证据.可见,注册会计师对内部控制的了解和测试不足以对内部控制发表意见,难以满足信息使用者的需求。
财政部解读《内控指引18号—信息系统》
优化信息系统提升管理水平——财政部会计司解读《企业内部控制应用指引第18号——信息系统》一、信息系统内部控制概述《企业内部控制应用指引第18号———信息系统》中所指信息系统,是指企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。
信息系统内部控制的目标是促进企业有效实施内部控制,提高企业现代化管理水平,减少人为操纵因素;同时,增强信息系统的安全性、可靠性和合理性以及相关信息的保密性、完整性和可用性,为建立有效的信息与沟通机制提供支持保障。
信息系统内部控制的主要对象是信息系统,由计算机硬件、软件、人员、信息流和运行规程等要素组成。
现代企业的运营越来越依赖于信息系统。
比如航空公司的网上订票系统、银行的资金实时结算系统、携程旅行网的客户服务系统等,没有信息系统的支撑,业务开展就举步维艰、难以为继,企业经营就很可能陷入瘫痪状态。
还有一些新兴产业和新兴企业,其商业模式完全依赖信息系统,比如各种网络公司(新浪、网易、百度)、各种电子商务公司(比如阿里巴巴、卓越公司),没有信息系统,这些企业可能失去生存之基。
同时应当看到,企业信息系统内部控制以及利用信息系统实施内部控制也面临诸多风险,至少应当关注下列方面:一是信息系统缺乏或规划不合理,可能造成信息孤岛或重复建设,导致企业经营管理效率低下;二是系统开发不符合内部控制要求,授权管理不当,可能导致无法利用信息技术实施有效控制;三是系统运行维护和安全措施不到位,可能导致信息泄漏或毁损,系统无法正常运行。
鉴于信息系统在实施内部控制和现代化管理中具有十分独特而重要的作用,加之信息系统本身的复杂性和高风险特征,《企业内部控制应当指引第18号——信息系统》规定,企业负责人对信息系统建设工作负责。
换言之,信息系统建设是“一把手”工程。
只有企业负责人站在战略和全局的高度亲自组织领导信息系统建设工作,才能统一思想、提高认识、加强协调配合,从而推动信息系统建设在整合资源的前提下高效、协调推进。
财政部解读18项企业内控指引解读
财政部会计司解读企业内控指引全面提升企业经营管理水平的重要举措 (1)—财政部会计司司长刘玉廷解读《企业内部控制配套指引》 (1)财政部会计司解读企业内控指引第1号——组织架构 (19)财政部会计司解读企业内控指引第2号——发展战略 (25)财政部会计司解读企业内控指引第3号——人力资源 (32)财政部会计司解读企业内控指引第4号——社会责任 (38)财政部会计司解读企业内控指引第5号——企业文化 (44)财政部会计司解读企业内控指引第6号——资金活动 (49)财政部会计司解读企业内控指引第7号——采购业务 (63)财政部会计司解读企业内控指引第8号——资产管理 (69)财政部会计司解读企业内控指引第9号——销售业务 (80)财政部会计司解读企业内控指引第10号——研究与开发 (85)财政部会计司解读企业内控指引第11号——工程项目 (89)财政部会计司解读企业内控指引第12号——担保业务 (98)财政部会计司解读企业内控指引第13号——业务外包 (104)财政部会计司解读企业内控指引第14号——财务报告 (109)财政部会计司解读企业内控指引第15号——全面预算 (117)财政部会计司解读企业内控指引第16号——合同管理 (126)财政部会计司解读企业内控指引第17号——内部信息传递 (131)财政部会计司解读企业内控指引第18号——信息系统 (137)全面提升企业经营管理水平的重要举措—财政部会计司司长刘玉廷解读《企业内部控制配套指引》4月26日,财政部会同证监会、审计署、国资委、银监会、保监会等部门在北京召开联合发布会,隆重发布了《企业内部控制配套指引》(以下简称配套指引)。
该配套指引连同2008年5月发布的《企业内部控制基本规范》,共同构建了中国企业内部控制规范体系,自2011年1月1日起首先在境内外同时上市的公司施行,自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行;在此基础上,择机在中小板和创业板上市公司施行。
内控制度审计-信息系统指引
企业应当针对不同数据的输入方式,考虑对进入系统数据的检 查和校验功能。对于必需的后台操作,应当加强管理,建立规 范的流程制度,对操作情况进行监控或者审计。
企业应当在信息系统中设置操作日志功能,确保操作的可审计 性。对异常的或者违背内部控制要求的交易和数据,应当设计 由系统自动报告并设置跟踪处理机制。
计司解读《企业内部控制应用指引第18号——信息系统》 控制措施
第一,企业必须制定信息系统开发的战略规划和中长期 发展计划,并在每年制定经营计划的同时制定年度信息 系统建设计划,促进经营管理活动与信息系统的协调统 一。 第二,企业在制定信息化战略过程中,要充分调动和发 挥信息系统归口管理部门与业务部门的积极性,使各部 门广泛参与,充分沟通,提高战略规划的科学性、前瞻 第三,信息系统战略规划要与企业的组织架构、业务范 围、地域分布、技术能力等相匹配,避免相互脱节。 第一,企业应当根据信息系统建设整体规划提出分阶段 项目的建设方案,明确建设目标、人员配备、职责分工 、经费保障和进度安排等相关内容,按照规定的权限和 第二,企业可以采用标准的项目管理软件(比如Office Project)制定项目计划,并加以跟踪。在关键环节进行 阶段性评审,以保证过程可控。 第三,项目关键环节编制的文档应参照《GB8567-88 计算机软件产品开发文件编制指南》等相关国家标准和 行业标准进行,以提高项目计划编制水平。 第一,信息系统归口管理部门应当组织企业内部各有关 部门提出开发需求,加强系统分析人员和有关部门的管 理人员、业务人员的交流,经综合分析提炼后形成合理 的需求。 第二,编制表述清晰、表达准确的需求文档。需求文档 是业务人员和技术人员共同理解信息系统的桥梁,必须 准确表述系统建设的目标、功能和要求。企业应当采用 标准建模语言(例如UML),综合运用多种建模工具和表 现手段,参照《GB8567-88计算机软件产品开发文件 编制指南》等相关标准,提高系统需求说明书的编写质 第三,企业应当建立健全需求评审和需求变更控制流程 。依据需求文档进行设计(含需求变更设计)前,应当 评审其可行性,由需求提出人和编制人签字确认,并经 业务部门与信息系统归口管理部门负责人审批。 第一,系统设计负责部门应当就总体设计方案与业务部 门进行沟通和讨论,说明方案对用户需求的覆盖情况; 存在备选方案的,应当详细说明各方案在成本、建设时 间和用户需求响应上的差异;信息系统归口管理部门和 业务部门应当对选定的设计方案予以书面确认。 第二,企业应参照《GB8567-88计算机软件产品开发 文件编制指南》等相关国家标准和行业标准,提高系统 设计说明书的编写质量。 第三,企业应建立设计评审制度和设计变更控制流程。
第17、18号——内部信息传递、信息系统
《企业内部控制应用指引》第17号---内部信息传递主要内容:(一)本指引的意义(二)内部信息传递概述(三)内部报告形成(四)内部报告使用一、本指引的意义1、内部信息传递是提高企业管理能力的重要抓手。
2、内部信息传递是提升企业市竞争能力的重要支撑。
3、内部信息传递是有效实施内部控制的重要保证。
二、内部信息传递的总体要求(一)收集和传递相关信息一般应遵循以下原则。
1、真实准确性。
2、及时有效性。
3、遵守保密原则。
(二)内部信息传递。
1、概念本指引所称的内部信息传递,是指企业内部各管理层级之间通过内部报告形式传递生产经营管理信息的过程。
内部报告,是由企业内部编制,在企业内部传递,为企业董事会、管理层和相关人员所使用,满足企业决策与控制需要,实现企业战略目标的信息报告。
2、内部信息传递的流程与职责分工企业各部管理层均应当指定专人负责内部报告工作,重要信息可以直接报告高级管理人员。
3、主要风险点。
(1)内部报告系统缺失、功能不健全、内部不完整。
--内部报告的信息量非常大,必须要建立一套完整的内部报告系统,或者由于系统执行不好等原因。
(2)内部信息传递不通畅、不及时。
--内部信息可能传递不出去。
(3)内部信息传递中泄露商业秘密。
--如有些成本的信息非常敏感,还有财务、技术信息等都是非常重要的。
不能随意传到外面去。
三、内部信息传递流程1、根据传递介质不同,可将信息传递分为:--口头传递。
--书面传递。
--电子传递。
2、根据企业内部各部门信息获取渠道的不同,可将内部信息传递的方式分为:--自上而下。
--自下而上。
--平行传递。
3、内部信息传递流程。
四、内部信息传递流程的主要风险点及管控措施(一)建立内部报告指标体系◆ 该环节的主要风险是:指标体系的设计未能结合企业的发展战略,指标体系级次混乱,与全面预算管理要求相脱节,并且一旦设定后未能根据环境和业务变化有所调整。
◆ 主要管控措施:第一,企业应认真研究企业的发展战略、风险控制要求和业绩考核标准,根据各管理层级对信息的需求和详略程度,建立一套级次分明的内部报告指标体系。
财政部解读18项企业内控指引
财政部会计司解读企业内控指引全面提升企业经营管理水平的重要举措 (1)—财政部会计司司长刘玉廷解读《企业内部控制配套指引》 (1)财政部会计司解读企业内控指引第1号——组织架构 (25)财政部会计司解读企业内控指引第2号——发展战略 (33)财政部会计司解读企业内控指引第3号——人力资源 (43)财政部会计司解读企业内控指引第4号——社会责任 (51)财政部会计司解读企业内控指引第5号——企业文化 (59)财政部会计司解读企业内控指引第6号——资金活动 (66)财政部会计司解读企业内控指引第7号——采购业务 (85)财政部会计司解读企业内控指引第8号——资产管理 (92)财政部会计司解读企业内控指引第9号——销售业务 (106)财政部会计司解读企业内控指引第10号——研究与开发 (113)财政部会计司解读企业内控指引第11号——工程项目 (118)财政部会计司解读企业内控指引第12号——担保业务 (131)财政部会计司解读企业内控指引第13号——业务外包 (139)财政部会计司解读企业内控指引第14号——财务报告 (145)财政部会计司解读企业内控指引第15号——全面预算 (153)财政部会计司解读企业内控指引第16号——合同管理 (166)财政部会计司解读企业内控指引第17号——内部信息传递 (173)财政部会计司解读企业内控指引第18号——信息系统 (179)全面提升企业经营管理水平的重要举措—财政部会计司司长刘玉廷解读《企业内部控制配套指引》4月26日,财政部会同证监会、审计署、国资委、银监会、保监会等部门在北京召开联合发布会,隆重发布了《企业内部控制配套指引》(以下简称配套指引)。
该配套指引连同2008年5月发布的《企业内部控制基本规范》,共同构建了中国企业内部控制规范体系,自2011年1月1日起首先在境内外同时上市的公司施行,自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行;在此基础上,择机在中小板和创业板上市公司施行。
企业内部控制应用指引第18号
一、信息系统内部控制概述《企业内部控制应用指引第18号—信息系统》中所指信息系统,是指企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。
信息系统内部控制的目标是促进企业有效实施内部控制,提高企业现代化管理水平,减少人为操纵因素;同时,增强信息系统的安全性、可靠性和合理性以及相关信息的保密性、完整性和可用性,为建立有效的信息与沟通机制提供支持保障。
信息系统内部控制的主要对象是信息系统,由计算机硬件、软件、人员、信息流和运行规程等要素组成。
现代企业的运营越来越依赖于信息系统。
比如航空公司的网上订票系统、银行的资金实时结算系统、携程旅行网的客户服务系统等,没有信息系统的支撑,业务开展就举步维艰、难以为继,企业经营就很可能陷入瘫痪状态。
还有一些新兴产业和新兴企业,其商业模式完全依赖信息系统,比如各种网络公司(新浪、网易、百度)、各种电子商务公司(比如阿里巴巴、卓越公司),没有信息系统,这些企业可能会失去生存之基。
同时应当看到,企业信息系统内部控制以及利用信息系统实施内部控制也面临诸多风险,至少应当关注下列方面:一是信息系统缺乏或规划不合理,可能造成信息孤岛或重复建设,导致企业经营管理效率低下;二是系统开发不符合内部控制要求,授权管理不当,可能导致无法利用信息技术实施有效控制;三是系统运行维护和安全措施不到位,可能导致信息泄漏或毁损,系统无法正常运行。
鉴于信息系统在实施内部控制和现代化管理中具有十分独特而重要的作用,加之信息系统本身的复杂性和高风险特征,《企业内部控制应用指引第18号—信息系统》规定,企业负责人对信息系统建设工作负责。
换言之,信息系统建设是“一把手”工程。
只有企业负责人站在战略和全局的高度亲自组织领导信息系统建设工作,才能统一思想、提高认识、加强协调配合,从而推动信息系统建设在整合资源的前提下高效、协调推进。
企业应当重视信息系统在内部控制中的作用,根据内部控制要求,结合组织架构、业务范围、地域分布、技术能力等因素,制定信息系统建设总体规划,加大投入力度,有序组织信息系统开发、运行与维护,优化管理流程,防范经营风险,全面提升企业现代化管理水平。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
优化信息系统提升管理水平——财政部会计司解读《企业内部控制应用指引第18号——信息系统》一、信息系统内部控制概述《企业内部控制应用指引第18号———信息系统》中所指信息系统,是指企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。
信息系统内部控制的目标是促进企业有效实施内部控制,提高企业现代化管理水平,减少人为操纵因素;同时,增强信息系统的安全性、可靠性和合理性以及相关信息的保密性、完整性和可用性,为建立有效的信息与沟通机制提供支持保障。
信息系统内部控制的主要对象是信息系统,由计算机硬件、软件、人员、信息流和运行规程等要素组成。
现代企业的运营越来越依赖于信息系统。
比如航空公司的网上订票系统、银行的资金实时结算系统、携程旅行网的客户服务系统等,没有信息系统的支撑,业务开展就举步维艰、难以为继,企业经营就很可能陷入瘫痪状态。
还有一些新兴产业和新兴企业,其商业模式完全依赖信息系统,比如各种网络公司(新浪、网易、百度)、各种电子商务公司(比如阿里巴巴、卓越公司),没有信息系统,这些企业可能失去生存之基。
同时应当看到,企业信息系统内部控制以及利用信息系统实施内部控制也面临诸多风险,至少应当关注下列方面:一是信息系统缺乏或规划不合理,可能造成信息孤岛或重复建设,导致企业经营管理效率低下;二是系统开发不符合内部控制要求,授权管理不当,可能导致无法利用信息技术实施有效控制;三是系统运行维护和安全措施不到位,可能导致信息泄漏或毁损,系统无法正常运行。
鉴于信息系统在实施内部控制和现代化管理中具有十分独特而重要的作用,加之信息系统本身的复杂性和高风险特征,《企业内部控制应当指引第18号——信息系统》规定,企业负责人对信息系统建设工作负责。
换言之,信息系统建设是“一把手”工程。
只有企业负责人站在战略和全局的高度亲自组织领导信息系统建设工作,才能统一思想、提高认识、加强协调配合,从而推动信息系统建设在整合资源的前提下高效、协调推进。
企业应当重视信息系统在内部控制中的作用,根据内部控制要求,结合组织架构、业务范围、地域分布、技术能力等因素,制定信息系统建设总体规划,加大投入力度,有序组织信息系统开发、运行与维护,优化管理流程,防范经营风险,全面提升企业现代化管理水平。
二、信息系统的开发企业根据发展战略和业务需要进行信息系统建设,首先要确立系统建设目标,根据目标进行系统建设战略规划,再将规划细化为项目建设方案。
企业开展信息系统建设,可以根据实际情况,采取自行开发、外购调试或业务外包等方式。
选择外购调试或业务外包方式的,应当采用公开招标等形式择优选择供应商或开发单位。
选择自行开发信息系统的,信息系统归口管理部门应当组织企业内部相关业务部门进行需求分析,合理配置人员,明确系统设计、编程、安装调试、验收、上线等全过程的管理要求。
企业信息系统归口管理部门应当加强信息系统开发全过程的跟踪管理,增进开发单位与企业内部业务部门的日常沟通和协调,组织独立于开发单位的专业机构对开发完成的信息系统进行检查验收,并组织系统上线运行。
(一)制定信息系统开发的战略规划信息系统开发的战略规划是信息化建设的起点,战略规划是以企业发展战略为依据制定的企业信息化建设的全局性、长期性规划。
制定信息系统战略规划的主要风险是:第一,缺乏战略规划或规划不合理,可能造成信息孤岛或重复建设,导致企业经营管理效率低下。
第二,没有将信息化与企业业务需求结合,降低了信息系统的应用价值。
信息孤岛现象是不少企业信息系统建设中存在的普遍问题,根源在于这些企业往往忽视战略规划的重要性,缺乏整体观念和整合意识,常常陷于头痛医头,脚痛医脚,这就导致有的企业财务管理信息系统、销售管理信息系统、生产管理信息系统、人力资源管理系统、办公自动化系统等各自为政、孤立存在的现象,削弱了信息系统的协同效用,甚至引发系统冲突。
主要控制措施:第一,企业必须制定信息系统开发的战略规划和中长期发展计划,并在每年制定经营计划的同时制定年度信息系统建设计划,促进经营管理活动与信息系统的协调统一。
第二,企业在制定信息化战略过程中,要充分调动和发挥信息系统归口管理部门与业务部门的积极性,使各部门广泛参与,充分沟通,提高战略规划的科学性、前瞻性和适应性。
第三,信息系统战略规划要与企业的组织架构、业务范围、地域分布、技术能力等相匹配,避免相互脱节。
(二)选择适当的信息系统开发方式信息系统的开发建设是信息系统生命周期中技术难度最大的环节。
在开发建设环节,要将企业的业务流程、内控措施、权限配置、预警指标、核算方法等固化到信息系统中,因此开发建设的好坏直接影响信息系统的成败。
开发建设主要有自行开发、外购调试、业务外包等方式。
各种开发方式有各自的优缺点和适用条件,企业应根据自身实际情况合理选择。
1.自行开发自行开发是企业依托自身力量完成整个开发过程。
其优点是开发人员熟悉企业情况,可以较好地满足本企业的需求,尤其是具有特殊性的业务需求。
通过自行开发,还可以培养锻炼自己的开发队伍,便于后期的运行和维护。
其缺点是开发周期较长、技术水平和规范程度较难保证,成功率相对较低。
因此,自行开发方式的适用条件通常是企业自身技术力量雄厚,而且市场上没有能够满足企业需求的成熟的商品化软件和解决方案。
比如百度的搜索引擎系统就偏重于自行开发。
2.外购调试外购调式的基本做法是企业购买成熟的商品化软件,通过参数配置和二次开发满足企业需求。
其优点是开发建设周期短;成功率较高;成熟的商品化软件质量稳定,可靠性高;专业的软件提供商实施经验丰富。
其缺点是难以满足企业的特殊需求;系统的后期升级进度受制于商品化软件供应商产品更新换代的速度,企业自主权不强,较为被动。
外购调试方式的适用条件通常是企业的特殊需求较少,市场上已有成熟的商品化软件和系统实施方案。
比如大部分企业的财务管理系统、ERP系统、人力资源管理系统等多采用外购调试方式。
3.业务外包信息系统的业务外包是指委托其他单位开发信息系统,基本做法是企业将信息系统开发项目外包出去,由专业公司或科研机构负责开发、安装实施,由企业直接使用。
其优点是企业可以充分利用专业公司的专业优势,量体裁衣,构建全面、高效满足企业需求的个性化系统;企业不必培养、维持庞大的开发队伍,相应节约了人力资源成本。
其缺点是沟通成本高,系统开发方难以深刻理解企业需求,可能导致开发出的信息系统与企业的期望产生较大偏差;同时,由于外包信息系统与系统开发方的专业技能、职业道德和敬业精神存在密切关系,也要求企业必须加大对外包项目的监督力度。
业务外包方式的适用条件通常是市场上没有能够满足企业需求的成熟的商品化软件和解决方案,企业自身技术力量薄弱或出于成本效益原则考虑不愿意维持庞大的开发队伍。
(三)自行开发方式的关键控制点和主要控制措施虽然信息系统的开发方式有自行开发、外购调试、业务外包等多种方式,但基本流程大体相似,通常包含项目计划、需求分析、系统设计、编程和测试、上线等环节。
1.项目计划环节战略规划通常将完整的信息系统分成若干子系统,并分阶段建设不同的子系统。
比如,制造企业可以将信息系统划分为财务管理系统、人力资源管理系统、MRP系统(销售、采购、库存、生产)、计算机辅助设计和制造系统、客户关系系统、电子商务系统等若干子系统。
项目就是指本阶段需要建设的相对独立的一个或多个子系统。
项目计划通常包括项目范围说明、项目进度计划、项目质量计划、项目资源计划、项目沟通计划、风险对策计划、项目采购计划、需求变更控制、配置管理计划等内容。
项目计划不是完全静止、一成不变的,在项目启动阶段,可以先制定一个较为原则的项目计划,确定项目主要内容和重大事项,然后根据项目的大小和性质以及项目进展情况进行调整、充实和完善。
项目计划环节的主要风险是:信息系统建设缺乏项目计划或者计划不当,导致项目进度滞后、费用超支、质量低下。
主要控制措施:第一,企业应当根据信息系统建设整体规划提出分阶段项目的建设方案,明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容,按照规定的权限和程序审批后实施。
第二,企业可以采用标准的项目管理软件(比如Office Project)制定项目计划,并加以跟踪。
在关键环节进行阶段性评审,以保证过程可控。
第三,项目关键环节编制的文档应参照《GB8567-88计算机软件产品开发文件编制指南》等相关国家标准和行业标准进行,以提高项目计划编制水平。
2.需求分析环节需求分析的目的是明确信息系统需要实现哪些功能。
该项工作是系统分析人员和用户单位的管理人员、业务人员在深入调查的基础上,详细描述业务活动涉及的各项工作以及用户的各种需求,从而建立未来目标系统的逻辑模型。
这一环节的主要风险是:第一,需求本身不合理,对信息系统提出的功能、性能、安全性等方面的要求不符合业务处理和控制的需要。
第二,技术上不可行、经济上成本效益倒挂,或与国家有关法规制度存在冲突。
第三,需求文档表述不准确、不完整,未能真实全面地表达企业需求,存在表述缺失、表述不一致甚至表述错误等问题。
主要控制措施:第一,信息系统归口管理部门应当组织企业内部各有关部门提出开发需求,加强系统分析人员和有关部门的管理人员、业务人员的交流,经综合分析提炼后形成合理的需求。
第二,编制表述清晰、表达准确的需求文档。
需求文档是业务人员和技术人员共同理解信息系统的桥梁,必须准确表述系统建设的目标、功能和要求。
企业应当采用标准建模语言(例如UML),综合运用多种建模工具和表现手段,参照《GB8567-88计算机软件产品开发文件编制指南》等相关标准,提高系统需求说明书的编写质量。
第三,企业应当建立健全需求评审和需求变更控制流程。
依据需求文档进行设计(含需求变更设计)前,应当评审其可行性,由需求提出人和编制人签字确认,并经业务部门与信息系统归口管理部门负责人审批。
3.系统设计环节系统设计是根据系统需求分析阶段所确定的目标系统逻辑模型,设计出一个能在企业特定的计算机和网络环境中实现的方案,即建立信息系统的物理模型。
系统设计包括总体设计和详细设计。
总体设计的主要任务是:第一,设计系统的模块结构,合理划分子系统边界和接口。
第二,选择系统实现的技术路线,确定系统的技术架构,明确系统重要组件的内容和行为特征,以及组件之间、组件与环境之间的接口关系。
第三,数据库设计,包括主要的数据库表结构设计、存储设计、数据权限和加密设计等。
第四,设计系统的网络拓扑结构、系统部署方式等。
详细设计的主要任务包括:程序说明书编制、数据编码规范设计、输入输出界面设计等内容。
系统设计环节的主要风险是:第一,设计方案不能完全满足用户需求,不能实现需求文档规定的目标。
第二,设计方案未能有效控制建设开发成本,不能保证建设质量和进度。