解读《企业内部控制应用指引第18号—信息系统》
内控指引18之制度详解――信息系统
内控指引18之制度详解――信息系统第18章企业内部控制――信息系统管理18.3信息系统开发、变更与维护控制18.3.2信息系统研发、更改与保护管理制度信息系统开发变更与维护管理制度对进行该工作的各个事项进行了规范,为相关工作人员提供了指导。
下面是某企业的信息系统开发、变更与维护管理制度,供读者参考。
信息系统研发、更改与保护管理制度第1章总则第1条为了提升企业的经营绩效与工作效率,提高企业信息系统的可靠性、稳定性与安全性,特制订本制度。
第2条本制度适用于信息部以及各用户部门涉及使用企业信息系统的相关人员。
第2章系统研发与更改第3条企业信息系统开发所遵循的原则1.因地制宜原则应当根据行业特点、企业规模、管理理念、非政府结构、核算方法等因素设计适宜本单位的计算机信息系统。
2.成本效益原则计算机信息系统的建设应能够起著降低成本、制止偏差的促进作用,根据成本效益原则,企业可以挑选对关键领域中的关键因素展开信息系统改建。
3.理念与技术并重原则信息系统建设应将信息系统技术与信息系统管理理念资源整合,提倡全体员工积极参与信息系统建设,正确理解和采用信息系统,提升信息系统的运作效率。
第4条项目部人员在信息系统开发中要将相应的交易权限嵌入到系统程序中,以便检查、纠正错误和舞弊行为。
第5条系统研发任务书内容1.信息系统名称。
12.信息系统必须达至的技术性能。
3.信息系统的操作方式环境。
4.开发信息系统的具体工作计划。
5.开发信息系统的人员与协作单位。
6.开发信息系统的费用预算。
第6条所挑选的外包合作开发信息系统的机构必须存有合作开发信息系统的经验,并强化对其的监控力度。
第7条测试专员需将系统测试中所出现的问题记录成册,定期交予信息部经理。
第8条在信息系统安装调试前的必要工作如下。
1.制订应急预案,以保证崭新系统出现故障时能乌返回旧有系统。
2.必须顺利完成整体测试和用户验收测试后才可以加装调试。
第9条新旧系统切换时,进行数据迁移必须建立数据迁移计划并对迁移结果进行测试。
财政部会计司解读《企业内部控制应用指引第18号——信息系统》-精简
优化信息系统提升管理水平——财政部会计司解读《企业内部控制应用指引第18号——信息系统》一、信息系统内部控制概述《企业内部控制应用指引第18号———信息系统》中所指信息系统,是指企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。
信息系统内部控制的主要对象是信息系统,由计算机硬件、软件、人员、信息流和运行规程等要素组成。
二、信息系统的开发企业根据发展战略和业务需要进行信息系统建设,首先要确立系统建设目标,根据目标进行系统建设战略规划,再将规划细化为项目建设方案。
选择外购调试或业务外包方式的,应当采用公开招标等形式择优选择供应商或开发单位。
选择自行开发信息系统的,信息系统归口管理部门应当组织企业内部相关业务部门进行需求分析,合理配置人员,明确系统设计、编程、安装调试、验收、上线等全过程的管理要求。
企业信息系统归口管理部门应当加强信息系统开发全过程的跟踪管理,增进开发单位与企业内部业务部门的日常沟通和协调,组织独立于开发单位的专业机构对开发完成的信息系统进行检查验收,并组织系统上线运行。
三、信息系统的运行与维护信息系统的运行与维护主要包含三方面的内容:日常运行维护、系统变更和安全管理。
(一)日常运行维护的关键控制点和主要控制措施日常运行维护的目标是保证系统正常运转,主要工作内容包括系统的日常操作、系统的日常巡检和维修、系统运行状态监控、异常事件的报告和处理等。
这一环节的主要风险是:第一,没有建立规范的信息系统日常运行管理规范,计算机软硬件的内在隐患易于爆发,可能导致企业信息系统出错。
第二,没有执行例行检查,导致一些人为恶意攻击会长期隐藏在系统中,可能造成严重损失。
第三,企业信息系统数据未能定期备份,可能导致损坏后无法恢复,从而造成重大损失。
主要控制措施:第一,企业应制定信息系统使用操作程序、信息管理制度以及各模块子系统的具体操作规范,及时跟踪、发现和解决系统运行中存在的问题,确保信息系统按照规定的程序、制度和操作规范持续稳定运行。
内部控制指引18流程图——信息系统
第18章企业内部控制流程——信息系统
18.1 信息系统开发控制18.1.3 信息系统自行开发流程1.信息系统自行开发流程与风险控制图
2.信息系统自行开发流程控制表
18.1.4 信息系统开发招标流程1.信息系统开发招标流程与风险控制图
2.信息系统开发招标流程控制表
18.2 信息系统运行与维护控制18.2.2 信息化会计档案的管理流程1.信息化会计档案的管理流程与风险控制图
2.信息化会计档案的管理流程控制表
18.2.3 会计信息管理人员操作流程1.会计信息管理人员操作流程与风险控制图
2.会计信息管理人员操作流程控制表。
优化信息系统提升管理水平
优化信息系统提升管理水平——财政部会计司解读《企业内部控制应用指引第18号——信息系统》一、信息系统内部控制概述《企业内部控制应用指引第18号———信息系统》中所指信息系统,是指企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。
信息系统内部控制的目标是促进企业有效实施内部控制,提高企业现代化管理水平,减少人为操纵因素;同时,增强信息系统的安全性、可靠性和合理性以及相关信息的保密性、完整性和可用性,为建立有效的信息与沟通机制提供支持保障。
信息系统内部控制的主要对象是信息系统,由计算机硬件、软件、人员、信息流和运行规程等要素组成。
现代企业的运营越来越依赖于信息系统。
比如航空公司的网上订票系统、银行的资金实时结算系统、携程旅行网的客户服务系统等,没有信息系统的支撑,业务开展就举步维艰、难以为继,企业经营就很可能陷入瘫痪状态。
还有一些新兴产业和新兴企业,其商业模式完全依赖信息系统,比如各种网络公司(新浪、网易、百度)、各种电子商务公司(比如阿里巴巴、卓越公司),没有信息系统,这些企业可能失去生存之基。
同时应当看到,企业信息系统内部控制以及利用信息系统实施内部控制也面临诸多风险,至少应当关注下列方面:一是信息系统缺乏或规划不合理,可能造成信息孤岛或重复建设,导致企业经营管理效率低下;二是系统开发不符合内部控制要求,授权管理不当,可能导致无法利用信息技术实施有效控制;三是系统运行维护和安全措施不到位,可能导致信息泄漏或毁损,系统无法正常运行。
鉴于信息系统在实施内部控制和现代化管理中具有十分独特而重要的作用,加之信息系统本身的复杂性和高风险特征,《企业内部控制应当指引第18号——信息系统》规定,企业负责人对信息系统建设工作负责。
财政部会计司解读《企业内部控制应用指引第18号——信息系统》
2010年07月09日第07版优化信息系统提升管理水平———财政部会计司解读《企业内部控制应用指引第18号———信息系统》作者:来源:字数:10890一、信息系统内部控制概述《企业内部控制应用指引第18号—————信息系统》中所指信息系统,是指企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。
信息系统内部控制的目标是促进企业有效实施内部控制,提高企业现代化管理水平,减少人为操纵因素;同时,增强信息系统的安全性、可靠性和合理性以及相关信息的保密性、完整性和可用性,为建立有效的信息与沟通机制提供支持保障。
信息系统内部控制的主要对象是信息系统,由计算机硬件、软件、人员、信息流和运行规程等要素组成。
现代企业的运营越来越依赖于信息系统。
比如航空公司的网上订票系统、银行的资金实时结算系统、携程旅行网的客户服务系统等,没有信息系统的支撑,业务开展就举步维艰、难以为继,企业经营就很可能陷入瘫痪状态。
还有一些新兴产业和新兴企业,其商业模式完全依赖信息系统,比如各种网络公司(新浪、网易、百度)、各种电子商务公司(比如阿里巴巴、卓越公司),没有信息系统,这些企业可能会失去生存之基。
同时应当看到,企业信息系统内部控制以及利用信息系统实施内部控制也面临诸多风险,至少应当关注下列方面:一是信息系统缺乏或规划不合理,可能造成信息孤岛或重复建设,导致企业经营管理效率低下;二是系统开发不符合内部控制要求,授权管理不当,可能导致无法利用信息技术实施有效控制;三是系统运行维护和安全措施不到位,可能导致信息泄漏或毁损,系统无法正常运行。
鉴于信息系统在实施内部控制和现代化管理中具有十分独特而重要的作用,加之信息系统本身的复杂性和高风险特征,《企业内部控制应用指引第18号———信息系统》规定,企业负责人对信息系统建设工作负责。
换言之,信息系统建设是“一把手”工程。
只有企业负责人站在战略和全局的高度亲自组织领导信息系统建设工作,才能统一思想、提高认识、加强协调配合,从而推动信息系统建设在整合资源的前提下高效、协调推进。
信息系统内部控制过程控制和环境控制结合解读
信息系统内部控制过程控制和环境控制的结合—解读《企业内部控制应用指引第18号—信息系统》信息系统生成与经营和财务有关的信息报告,是集系统、信息和控制于一体的一种应用。
由于所有信息都是数据经过输入、处理、输出形成的,因此对信息的任何控制都是对数据输入、处理、输出的控制。
本文结合财政部等五部委出台的企业内部控制基本规范和《内部控制应用指引第18号—信息系统》,将信息系统内部控制按与输入、处理、输出的关系分为终端用户控制、信息处理控制、持续运行控制、硬件保护控制四项内容。
其中,终端用户控制和信息处理控制是信息系统的实体内容,共同构成数据输入、处理和输出的过程控制,前者是对人的控制,后者是对系统的控制;持续运行控制和硬件保护控制是信息系统运行的必备支撑,共同构成系统运行的环境控制,前者是对软环境的控制,后者是对硬环境的控制。
一、终端用户控制二、(一)授权使用制度企业应当根据业务性质、重要性程度、涉密情况等因素确定信息系统的安全等级,建立不同等级信息的授权使用制度。
一般来说,企业应通过建立权限控制矩阵来指定信息用户所能执行的功能,即控制终端用户的范围及其可执行的操作。
有些用户只能查询有关数据,有些用户则有权查询和修改数据,而另一些用户甚至还可以修改程序。
在企业整体的权限调整、新终端用户的人员增设、原终端用户的权限修改和岗位调离等情况下需要进行权限变更,但必须经过以下步骤:首先,由终端用户填写权限申请表,陈述理由和要求;部门负责人根据终端用户的工作性质决定审核结果;主管领导根据部门职能和部门负责人的意见决定审核结果;最后,由系统维护人员根据审核意见修改权限控制矩阵的内容。
为确保权限授予的准确、高效和有据可查,在维护之前,系统维护人员应与终端用户和部门负责人确认;维护完毕后,应尽快通知相应终端用户、部门负责人和单位主管领导,并将维护日志与授权申请书归档备查。
(二)用户管理制度1.用户访问控制。
终端用户的访问控制有系统的访问控制和系统程序及数据的访问控制两种方式。
《企业内部控制应用指引第18号——信息系统》解读 财政部会计司
建 设 , 致 企 业 经 营 管 理 效 率 低 下 。 二 ,没 有 将 信 息 化 与 导 第
2 1 0 财务与会计 57 0 1 6.
南鸯 骠
企业 业务 需 求结 合, 降低 了信息 系统 的应用价 值。信息孤 岛
已有成 熟的商品化软件和系统 实施方案 。比如大部分 企业的
同时应当看 到 , 企业 信息系 统 内部控 制以及 利用信息 系 统实 施 内部控 制也 面 临诸 多风 险,至少应 当关注 下 列方 面:
一
是信 息 系统 缺 乏 或 规 划不 合 理 , 能 造 成信 息 孤 岛或 重 可
单 位与企 业 内部业务 部 门的 日常 沟 通和 协调 , 组织 独立于 开
企 业 负 责 人 对 信 息 系 统 建 设 工 作 负 责 。换 言 之 , 系 统 建 信
划 是 以 企 业 发 展 战 略 为 依 据 制 定 的 企 业 信 息 化 建 设 的 全 局
性 、长期性 规 划 。 制定 信息 系统 战略 规划 的主要 风 险是 :第
一
,
缺 乏 战略规 划或 规划 不合 理 , 可能 造成信 息孤 岛或重 复
财 政 部 会 计 司
一
、
信息系统 内部控制概述
设 是“ 一把手 ” 工程 。 只有企 业负责人 站在 战略和 全局 的高度
亲 自组织 领导信 息系统 建设 工作 , 才能统 一思想 、 高认 识、 提
《 业 内部 控制 应用指 引第 1 号 —— 信 息系 统 中所 指 企 8 信 息系 统,是指企 业 利用计 算机 和通 信 技术 , 内部 控制 进 对 行 集成 、 化和 提 升所 形成 的信息化 管理 平 台。信息 系统 内 转
《企业内部控制应用指引——第 18 号》(财会[2010]11 号)
![《企业内部控制应用指引——第 18 号》(财会[2010]11 号)](https://img.taocdn.com/s3/m/4e8e31d3b14e852458fb5766.png)
保监会关于印发《保险公司内部控制基本准则》的通知保监发〔2010〕69号各保险公司、各保监局:为加强保险公司内部控制建设,提高保险公司风险防范能力和经营管理水平,促进保险公司合规、稳健、有效经营,我会制定了《保险公司内部控制基本准则》。
现予印发,请遵照执行。
保监会二○一○年八月十日保险公司内部控制基本准则第一章总则第一条为加强保险公司内部控制建设,提高保险公司风险防范能力和经营管理水平,促进保险公司合规、稳健、有效经营,保护保险公司和被保险人等其他利益相关者合法权益,依据《保险法》、《企业内部控制基本规范》和其他相关规定,制定本准则。
第二条本准则所称内部控制,是指保险公司各层级的机构和人员,依据各自的职责,采取适当措施,合理防范和有效控制经营管理中的各种风险,防止公司经营偏离发展战略和经营目标的机制和过程。
第三条保险公司内部控制的目标包括:(一)行为合规性目标。
保证保险公司的经营管理行为遵守法律法规、监管规定、行业规范、公司内部管理制度和诚信准则。
(二)资产安全性目标。
保证保险公司资产安全可靠,防止公司资产被非法使用、处置和侵占。
(三)信息真实性目标。
保证保险公司财务报告、偿付能力报告等业务、财务及管理信息的真实、准确、完整。
(四)经营有效性目标。
增强保险公司决策执行力,提高管理效率,改善经营效益。
(五)战略保障性目标。
保障保险公司实现发展战略,促进稳健经营和可持续发展,保护股东、被保险人及其他利益相关者的合法权益。
第四条保险公司建立和实施内部控制,应当遵循以下原则:(一)全面和重点相统一。
保险公司应当建立全面、系统、规范化的内部控制体系,覆盖所有业务流程和操作环节,贯穿经营管理全过程。
在全面管理的基础上,对公司重要业务事项和高风险领域实施重点控制。
(二)制衡和协作相统一。
保险公司内部控制应当在组织架构、岗位设置、权责分配、业务流程等方面,通过适当的职责分离、授权和层级审批等机制,形成合理制约和有效监督。
企业内部控制应用指引企业内部控制应用指引第18号——信息系统
企业内部控制应用指引企业内部控制应用指引第18号——信
息系统
佚名
【期刊名称】《冶金财会》
【年(卷),期】2012(000)006
【摘要】第一章总则第一条为了促进企业有效实施内部控制,提高企业现代化管理水平,减少人为因素,根据有关法律法规和《企业内部控制基本规范》,制定本指引.
第二条本指引所称信息系统,是指企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台. 第三条企业利用信息系统实施内部控制至少应当关注下列风险: (一)信息系统缺乏或规划不合理,可能造成信息孤岛或重复建设,导致企业经营管理效率低下.
【总页数】2页(P45-46)
【正文语种】中文
【相关文献】
1.企业内部控制应用指引企业内部控制应用指引第7号——采购业务 [J],
2.企业内部控制应用指引企业内部控制应用指引第9号——销售业务 [J],
3.企业内部控制应用指引企业内部控制应用指引第10号——研究与开发 [J],
4.企业内部控制应用指引企业内部控制应用指引第11号——工程项目 [J],
5.企业内部控制应用指引企业内部控制应用指引第12号——担保业务 [J],
因版权原因,仅展示原文概要,查看原文内容请购买。
财政部解读《内控指引18号—信息系统》
优化信息系统提升管理水平——财政部会计司解读《企业内部控制应用指引第18号——信息系统》一、信息系统内部控制概述《企业内部控制应用指引第18号———信息系统》中所指信息系统,是指企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。
信息系统内部控制的目标是促进企业有效实施内部控制,提高企业现代化管理水平,减少人为操纵因素;同时,增强信息系统的安全性、可靠性和合理性以及相关信息的保密性、完整性和可用性,为建立有效的信息与沟通机制提供支持保障。
信息系统内部控制的主要对象是信息系统,由计算机硬件、软件、人员、信息流和运行规程等要素组成。
现代企业的运营越来越依赖于信息系统。
比如航空公司的网上订票系统、银行的资金实时结算系统、携程旅行网的客户服务系统等,没有信息系统的支撑,业务开展就举步维艰、难以为继,企业经营就很可能陷入瘫痪状态。
还有一些新兴产业和新兴企业,其商业模式完全依赖信息系统,比如各种网络公司(新浪、网易、百度)、各种电子商务公司(比如阿里巴巴、卓越公司),没有信息系统,这些企业可能失去生存之基。
同时应当看到,企业信息系统内部控制以及利用信息系统实施内部控制也面临诸多风险,至少应当关注下列方面:一是信息系统缺乏或规划不合理,可能造成信息孤岛或重复建设,导致企业经营管理效率低下;二是系统开发不符合内部控制要求,授权管理不当,可能导致无法利用信息技术实施有效控制;三是系统运行维护和安全措施不到位,可能导致信息泄漏或毁损,系统无法正常运行。
鉴于信息系统在实施内部控制和现代化管理中具有十分独特而重要的作用,加之信息系统本身的复杂性和高风险特征,《企业内部控制应当指引第18号——信息系统》规定,企业负责人对信息系统建设工作负责。
换言之,信息系统建设是“一把手”工程。
只有企业负责人站在战略和全局的高度亲自组织领导信息系统建设工作,才能统一思想、提高认识、加强协调配合,从而推动信息系统建设在整合资源的前提下高效、协调推进。
《企业内部控制应用指引》解读及运用讲义
第一章内部环境类应用指引字体:大中小打印:省纸版>> 清晰版>>自定义>>行距:单倍 1.2单倍 1.5倍 1.7倍2倍字体:大中小隐藏:答疑编号手写板序言2010年4月26日,财政部会同证监会、审计署、国资委、银监会、保监会等部门在北京召开联合发布会,隆重发布了《企业内部控制配套指引》(以下简称配套指引)。
该配套指引连同2008年5月发布的《企业内部控制基本规范》,共同构建了中国企业内部控制规范体系,自2011年1月1日起首先在境内外同时上市的公司施行,自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行;在此基础上,择机在中小板和创业板上市公司施行。
同时,鼓励非上市大中型企业提前执行。
配套指引由21项应用指引(此次发布18项,涉及银行、证券和保险等业务的3项指引暂未发布)、《企业内部控制评价指引》和《企业内部控制审计指引》组成。
关于应用指引的分类应用指引可以划分为三类,即内部环境类指引、控制活动类指引、控制手段类指引,基本涵盖了企业资金流、实物流、人力流和信息流等各项业务和事项。
对比:基本规范五要素:内部环境、风险评估、控制活动、信息与沟通和内部监督。
内部控制基本规范五要素与应用指引对比表内部环境内部环境内部控制应用指引第1号——组织架构风险评估内部控制应用指引第2号——发展战略内部控制应用指引第3号——人力资源内部控制应用指引第4号——社会责任内部控制应用指引第5号——企业文化控制活动控制活动内部控制应用指引第6号——资金活动内部控制应用指引第7号——采购业务内部控制应用指引第8号——资产管理内部控制应用指引第9号——销售业务内部控制应用指引第10号——研究与开发内部控制应用指引第11号——工程项目内部控制应用指引第12号——担保业务内部控制应用指引第13号——业务外包内部控制应用指引第14号——财务报告内部监督控制手段内部控制应用指引第15号——全面预算内部控制应用指引第16号——合同管理信息与沟通内部控制应用指引第17号——内部信息传递内部控制应用指引第18号——信息系统第一章内部环境类应用指引内部环境是企业实施内部控制的基础,支配着企业全体员工的内控意识,影响着全体员工实施控制活动和履行控制责任的态度、认识和行为。
内控第19章
(二)选择适当的信息系统开发方 式 1.自行开发
自行开发是企业依托自身力量完成整个开发过程。 其优点:开发人员熟悉企业情况,可以较好地满足本企 业的需求,尤其是具有特殊性的业务需求。通过自行开 发,还可以培养锻炼自己的开发队伍,便于后期的运行 和维护。 其缺点:开发周期较长、技术水平和规范程度较难保证, 成功率相对较低。 其适用条件:企业自身技术力量雄厚,而且市场上没有 能够满足企业2.外购调试
外购调试的基本做法是企业购买成熟的商品化软件,通 过参数配置和二次开发满足企业需求。 其优点:开发建设周期短;成功率较高;成熟的商品化 软件质量稳定,可靠性高;专业的软件提供商实施经验 丰富。 其缺点:难以满足企业的特殊需求;系统的后期升级进 度受制于商品化软件供应商产品更新换代的速度,企业 自主权不强,较为被动。 其适用条件:企业的特殊需求较少,市场上已有成熟的 商品化软件和系统实施方案。比如大部分企业的财务管 理系统、ERP系统、人力资源管理系统等多采用外购调 试方式。
4.编程和测试环节
该环节的主要风险:(1)编程结果与设计不符。(2) 各程序员编程风格差异大,程序可读性差,导致后期维 护困难,维护成本高。(3)缺乏有效的程序版本控制, 导致重复修改或修改不一致等问题。(4)测试不充分。 主要管控措施:(1)项目组应建立并执行严格的代码 复查评审制度。(2)企业应参照《GB8567-88计算机 软件产品开发文件编制指南》等相关国家标准和行业标 准,提高系统设计说明书的编写质量。(3)企业应建 立设计评审制度和设计变更控制流程。(4)在系统设 计时应当充分考虑信息系统建成后的控制环境,将生产 经营管理业务流程、关键控制点和处理规程嵌入系统程 序,实现手工环境下难以实现的控制功能。
(3)持续跟踪评价外包服务商的服务过程
内控制度审计-信息系统指引
企业应当针对不同数据的输入方式,考虑对进入系统数据的检 查和校验功能。对于必需的后台操作,应当加强管理,建立规 范的流程制度,对操作情况进行监控或者审计。
企业应当在信息系统中设置操作日志功能,确保操作的可审计 性。对异常的或者违背内部控制要求的交易和数据,应当设计 由系统自动报告并设置跟踪处理机制。
计司解读《企业内部控制应用指引第18号——信息系统》 控制措施
第一,企业必须制定信息系统开发的战略规划和中长期 发展计划,并在每年制定经营计划的同时制定年度信息 系统建设计划,促进经营管理活动与信息系统的协调统 一。 第二,企业在制定信息化战略过程中,要充分调动和发 挥信息系统归口管理部门与业务部门的积极性,使各部 门广泛参与,充分沟通,提高战略规划的科学性、前瞻 第三,信息系统战略规划要与企业的组织架构、业务范 围、地域分布、技术能力等相匹配,避免相互脱节。 第一,企业应当根据信息系统建设整体规划提出分阶段 项目的建设方案,明确建设目标、人员配备、职责分工 、经费保障和进度安排等相关内容,按照规定的权限和 第二,企业可以采用标准的项目管理软件(比如Office Project)制定项目计划,并加以跟踪。在关键环节进行 阶段性评审,以保证过程可控。 第三,项目关键环节编制的文档应参照《GB8567-88 计算机软件产品开发文件编制指南》等相关国家标准和 行业标准进行,以提高项目计划编制水平。 第一,信息系统归口管理部门应当组织企业内部各有关 部门提出开发需求,加强系统分析人员和有关部门的管 理人员、业务人员的交流,经综合分析提炼后形成合理 的需求。 第二,编制表述清晰、表达准确的需求文档。需求文档 是业务人员和技术人员共同理解信息系统的桥梁,必须 准确表述系统建设的目标、功能和要求。企业应当采用 标准建模语言(例如UML),综合运用多种建模工具和表 现手段,参照《GB8567-88计算机软件产品开发文件 编制指南》等相关标准,提高系统需求说明书的编写质 第三,企业应当建立健全需求评审和需求变更控制流程 。依据需求文档进行设计(含需求变更设计)前,应当 评审其可行性,由需求提出人和编制人签字确认,并经 业务部门与信息系统归口管理部门负责人审批。 第一,系统设计负责部门应当就总体设计方案与业务部 门进行沟通和讨论,说明方案对用户需求的覆盖情况; 存在备选方案的,应当详细说明各方案在成本、建设时 间和用户需求响应上的差异;信息系统归口管理部门和 业务部门应当对选定的设计方案予以书面确认。 第二,企业应参照《GB8567-88计算机软件产品开发 文件编制指南》等相关国家标准和行业标准,提高系统 设计说明书的编写质量。 第三,企业应建立设计评审制度和设计变更控制流程。
浅析企业内部控制信息系统的实施
浅析企业内部控制信息系统的实施企业建立内部控制信息系统和应关注的问题,介绍了企业实施ERP的过程。
标签:内部控制信息系统实施为了加强和规范企业内部控制,提高企业经营管理水平和风险防范能力,促进企业可持续发展,财政部等五部委联合出台了《企业内部控制基本规范》。
为了促进企业有效实施内部控制,《企业内部控制应用指引第18号——信息系统》进一步明确信息系统是信息内部传递和信息对外报告的技术手段,是企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。
通过信息系统实现强化内部控制,减少人为因素,提高控制的效率和效果的目标。
一、信息系统的建立和应关注的问题企业资源计划系统(Enterprise Resource Planning,简称ERP)以业务流程为主线,对人、财、物等资源进行全面整合,是一种可以实现跨地区、跨部门甚至跨公司整合实时信息的企业管理信息系统,实质上是高度集成和标准化的企业管理系统。
ERP系统主要有财务管理、物流管理和人力资源管理等三大功能,在企业资源最优化配置的前提下,整合企业内部主要乃至所有的经营活动,包括财务会计、管理会计、计划管理、采购管理、销售管理等主要功能模块,以达到效率化经营的目标。
ERP系统是目前大型国有企业首选的信息管理系统,并已在企业中成功实施。
在实施ERP信息系统时应关注的问题主要是日常运行维护、系统变更和安全管理。
1.日常运行维护是系统正常运转的保证,包括系统的日常操作、系统的日常巡检和维修、系统运行状态监控、异常事件的报告和处理等。
为保证系统正常运转,企业应制定信息系统使用操作程序、信息管理制度以及各模块子系统的具体操作规范,确保信息系统按照规定的程序、制度和操作规范持续稳定运行,切实做好系统运行记录,对异常现象发生时间和可能的原因作出详细记录,系统运行的日常维护、设备的保养与安全管理、故障的诊断与排除、易耗品的更换与安装等应由专人负责。
2.系统变更主要包括硬件的升级扩容、软件的修改与升级等。
第17、18号——内部信息传递、信息系统
《企业内部控制应用指引》第17号---内部信息传递主要内容:(一)本指引的意义(二)内部信息传递概述(三)内部报告形成(四)内部报告使用一、本指引的意义1、内部信息传递是提高企业管理能力的重要抓手。
2、内部信息传递是提升企业市竞争能力的重要支撑。
3、内部信息传递是有效实施内部控制的重要保证。
二、内部信息传递的总体要求(一)收集和传递相关信息一般应遵循以下原则。
1、真实准确性。
2、及时有效性。
3、遵守保密原则。
(二)内部信息传递。
1、概念本指引所称的内部信息传递,是指企业内部各管理层级之间通过内部报告形式传递生产经营管理信息的过程。
内部报告,是由企业内部编制,在企业内部传递,为企业董事会、管理层和相关人员所使用,满足企业决策与控制需要,实现企业战略目标的信息报告。
2、内部信息传递的流程与职责分工企业各部管理层均应当指定专人负责内部报告工作,重要信息可以直接报告高级管理人员。
3、主要风险点。
(1)内部报告系统缺失、功能不健全、内部不完整。
--内部报告的信息量非常大,必须要建立一套完整的内部报告系统,或者由于系统执行不好等原因。
(2)内部信息传递不通畅、不及时。
--内部信息可能传递不出去。
(3)内部信息传递中泄露商业秘密。
--如有些成本的信息非常敏感,还有财务、技术信息等都是非常重要的。
不能随意传到外面去。
三、内部信息传递流程1、根据传递介质不同,可将信息传递分为:--口头传递。
--书面传递。
--电子传递。
2、根据企业内部各部门信息获取渠道的不同,可将内部信息传递的方式分为:--自上而下。
--自下而上。
--平行传递。
3、内部信息传递流程。
四、内部信息传递流程的主要风险点及管控措施(一)建立内部报告指标体系◆ 该环节的主要风险是:指标体系的设计未能结合企业的发展战略,指标体系级次混乱,与全面预算管理要求相脱节,并且一旦设定后未能根据环境和业务变化有所调整。
◆ 主要管控措施:第一,企业应认真研究企业的发展战略、风险控制要求和业绩考核标准,根据各管理层级对信息的需求和详略程度,建立一套级次分明的内部报告指标体系。
《公司战略与风险管理》知识点内部控制应用指引18
2014年《公司战略与风险管理》知识点:内部控制应用指引18知识点:内部控制应用指引十八、信息系统《企业内部控制应用指引第18号——信息系统》所称信息系统,是指企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。
(一)利用信息系统实施内部控制需关注的主要风险(1)信息系统缺乏或规划不合理,可能造成信息孤岛或重复建设,导致企业经营管理效率低下。
(2)系统开发不符合内部控制要求,授权管理不当,可能导致无法利用信息技术实施有效控制。
(3)系统运行维护和安全措施不到位,可能导致信息泄露或毁损,系统无法正常运行。
(二)内部控制要求与措施1.信息系统的开发(1)提出项目建设方案,按照规定的权限和程序审批后实施。
企业开发信息系统,可以采取自行开发、外购调试、业务外包等方式。
选定外购调试或业务外包方式的,应当采用公开招标等形式择优确定供应商或开发单位。
(2)【开发信息系统的一些要求】应当将生产经营管理业务流程、关键控制点和处理规则嵌入系统程序,实现手工环境下难以实现的控制功能。
按照不同业务的控制要求,通过信息系统中的权限管理功能控制用户的操作权限,避免将不相容职责的处理权限授予同一用户。
针对不同数据的输入方式,考虑对进入系统数据的检查和校验功能。
对于必需的后台操作,应当加强管理。
在信息系统中设置操作日志功能,确保操作的可审计性。
对异常的或者违背内部控制要求的交易和数据,应当设计由系统自动报告并设置跟踪处理机制。
(3)企业信息系统归口管理部门应当加强信息系统开发全过程的跟踪管理。
(4)企业应当组织独立于开发单位的专业机构对开发完成的信息系统进行验收测试。
(5)企业应当切实做好信息系统上线工作。
2.信息系统的运行与维护。
(1)企业应当加强信息系统运行与维护的管理。
企业应当建立信息系统变更管理流程。
信息系统操作人员不得擅自进行系统软件的删除、修改等操作;不得擅自升级、改变系统软件版本;不得擅自改变软件系统环境配置。
《企业内部控制应用指引第18号——信息系统》新解
一、单选题1、为了促进企业有效实施内部控制,提高企业现代化管理水平,减少人为因素,根据有关法律法规和(),制定《企业内部控制应用指引第18号——信息系统》。
A、《企业内部控制基本规范》B、《公司法》C、《合同法》D、《物权法》【正确答案】A【您的答案】【答案解析】为了促进企业有效实施内部控制,提高企业现代化管理水平,减少人为因素,根据有关法律法规和《企业内部控制基本规范》,制定《企业内部控制应用指引第18号——信息系统》。
2、()是指企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。
A、人力资源B、企业文化C、资金活动D、信息系统【正确答案】D【您的答案】【答案解析】信息系统是指企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。
3、企业可委托专业机构从事信息系统的开发、运行和维护工作。
()对信息系统建设工作负责。
A、前台人员B、销售人员C、企业负责人D、出纳【正确答案】C【您的答案】【答案解析】企业可委托专业机构从事信息系统的开发、运行和维护工作。
企业负责人对信息系统建设工作负责。
4、企业应当指定专门机构对信息系统建设实施(),明确相关单位的职责权限,建立有效工作机制。
A、分层管理B、弹性管理C、归口管理D、不定期管理【正确答案】C【您的答案】【答案解析】企业应当指定专门机构对信息系统建设实施归口管理,明确相关单位的职责权限,建立有效工作机制。
5、企业应当建立信息系统变更管理流程,信息系统变更应当严格遵照管理流程进行操作。
下列说法不正确的是()。
A、信息系统操作人员不得擅自进行系统软件的删除、修改等操作B、信息系统操作人员不得擅自升级、改变系统软件版本C、信息系统操作人员不得擅自改变软件系统环境配置D、信息系统操作人员可以随意改变软件系统环境配置【正确答案】D【您的答案】【答案解析】信息系统操作人员不得擅自改变软件系统环境配置,所以选项D不正确。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息系统内部控制:过程控制和环境控制的结合—解读《企业内部控制应用指引第18号—信息系统》信息系统生成与经营和财务有关的信息报告,是集系统、信息和控制于一体的一种应用。
由于所有信息都是数据经过输入、处理、输出形成的,因此对信息的任何控制都是对数据输入、处理、输出的控制。
本文结合财政部等五部委出台的企业内部控制基本规范和《内部控制应用指引第18号—信息系统》,将信息系统内部控制按与输入、处理、输出的关系分为终端用户控制、信息处理控制、持续运行控制、硬件保护控制四项内容。
其中,终端用户控制和信息处理控制是信息系统的实体内容,共同构成数据输入、处理和输出的过程控制,前者是对人的控制,后者是对系统的控制;持续运行控制和硬件保护控制是信息系统运行的必备支撑,共同构成系统运行的环境控制,前者是对软环境的控制,后者是对硬环境的控制。
一、终端用户控制(一)授权使用制度企业应当根据业务性质、重要性程度、涉密情况等因素确定信息系统的安全等级,建立不同等级信息的授权使用制度。
一般来说,企业应通过建立权限控制矩阵来指定信息用户所能执行的功能,即控制终端用户的范围及其可执行的操作。
有些用户只能查询有关数据,有些用户则有权查询和修改数据,而另一些用户甚至还可以修改程序。
在企业整体的权限调整、新终端用户的人员增设、原终端用户的权限修改和岗位调离等情况下需要进行权限变更,但必须经过以下步骤:首先,由终端用户填写权限申请表,陈述理由和要求;部门负责人根据终端用户的工作性质决定审核结果;主管领导根据部门职能和部门负责人的意见决定审核结果;最后,由系统维护人员根据审核意见修改权限控制矩阵的内容。
为确保权限授予的准确、高效和有据可查,在维护之前,系统维护人员应与终端用户和部门负责人确认;维护完毕后,应尽快通知相应终端用户、部门负责人和单位主管领导,并将维护日志与授权申请书归档备查。
(二)用户管理制度1.用户访问控制。
终端用户的访问控制有系统的访问控制和系统程序及数据的访问控制两种方式。
系统访问控制用来防止终端用户非法进入系统。
企业应通过密码识别、生物识别、数字签名、个人标识号、身份卡及终端标识码等技术防止非法终端通过信息线路访问系统,并采取关闭终端、失败后没收ATM卡等措施限制非法用户尝试访问系统的次数。
系统程序及数据访问控制用来防止终端用户不经授权修改程序和数据。
企业可将关键程序及数据存储在非法入侵者无法接近的信息系统库,或在存储和传输过程中采用加密技术来保护敏感数据;同时,在销毁机密数据时须谨慎行事,应采用碎纸机等方式彻底销毁数据。
2.职责分离控制。
企业应尽可能实现以下职能的分离:①系统分析:系统分析员分析用户的信息需求,并据此制定设计或修改程序的方案;②编程:程序员编写程序来执行系统分析员的设计和修改方案;③计算机操作:操作员负责运行并监控应用程序;④数据库管理:数据库管理员综合分析和设计过程中的数据需求,维护数据资源;⑤信息系统库管理:信息系统库管理员在单独的信息系统库中存储暂时不用的程序和文件,并保留所有版本的数据和程序;⑥数据控制:数据控制小组负责维护计算机路径代码的注册、确保原始数据经过正确授权、监控信息系统工作流程、与系统维护人员并行安全控制、协调输入和输出、将输入的错误数据反馈到输入部门并跟踪监控其纠正过程、将输出信息分发给经过授权的用户;⑦终端:终端用户记录交易内容,授权处理数据,并使用系统输出的结果。
在信息系统中,最关键的职责分离是程序开发与其他职能的分离。
由于系统分析员、计算机程序员、数据库管理员和系统信息库管理员了解程序和数据的细节,因此一旦应用测试完成并交给操作部门后,就不得再进入系统访问程序或数据库;同样,计算机操作员也无权了解程序逻辑和数据库结构的细节。
企业应在操作人员之间轮换岗位,以避免同一个操作员总是负责同一个应用程序的运行;同时,只要有可能,不管是批处理还是实时处理,应用程序运行时应有两名合格的操作员值班。
此外,数据控制小组从控制观点出发监控计算机操作员工作,故应确保数据控制小组在组织上与计算机操作部门相互独立。
二、信息处理控制(一)系统开发控制1.规则内嵌制度。
企业可通过调试所购通用系统或者直接自行设计的方式来构建信息系统,但无论采用何种形式,均应充分考虑业务和信息的集成性,并将相应的处理规则嵌入到系统中。
AICPA(美国注册会计师协会)担保服务特别委员会指出:“会计师必须摒弃原来那种‘错误—检查—纠正’的模式,转到通过设计而保证可靠性的模式上来,这样,信息系统才能为决策者提供连续可靠的信息”。
会计人员选择介入信息系统设计的时机和程度是非常重要的。
在信息技术开发完毕后再指出不足,其价值有限,如果能够在应用安装之前将有用的控制嵌入,则意义就会大不相同。
预防风险应当比检查并纠正错误和舞弊更重要,防止错弊就是要在系统应用之前将控制嵌入到系统的记录、维护和报告过程中去。
2.分工合作制度。
信息系统开发应分割成不同的部分,由不同分析员和程序员完成,这是为了防止整个系统被一个人完整掌握;应由不同开发人员非互换的交叉检查,这是为了互提建议、互相监督,以减少或避免软件缺陷;应吸收信息使用部门参与,这是因为系统最终是为信息用户服务的,他们的需要是系统开发的意义,也只有他们的需要才能为系统开发指明方向;应吸收内部审计部门参与,这是因为系统运行的过程就是控制执行的过程,担负内部控制监督评价职能的内部审计部门无论是设计之初,还是在应用之时,都应实时关注内部控制制度的状况。
3.数据测试制度。
测试数据是用来测试程序中每个逻辑路径的一组业务事件。
测试数据的正确结果应该独立于所测试的系统而得出,然后与所测试系统的测试结果相比较,如果相符则可认定其程序正确。
数据控制小组负责检查测试过程和测试结果,以保证测试是充分的,而且系统已准备就绪。
(二)数据录入控制1. 数据迁移计划。
初始数据的正确与否直接影响信息处理结果的真实性。
因此,在新旧系统交接之时,一方面应重新设计账户体系,对新系统中不需要的一些原账户进行归并,余额为零的账户进行清理,长期挂账的账户进行调整,但无论数据如何导入,都应严格遵守会计准则和会计制度的有关规定,确保数据的完整性和准确性,禁止借机任意更改历史数据;另一方面,应遵守国家有关规定,按指定期限妥善保管历史资料,并对数据导入工作的整体方案及执行过程和结果、账户的调整清理情况及其对报表的影响进行详细记录,以备查考。
2. 用户部门负责制。
由于数据库管理的系统集成性,所有数据只需录入一次。
因此,首先,应确保各类事件只能由相应的用户部门单独触发,任何其他部门不能发起此类事件,亦不能修改非本部门录入的数据;有关的信息处理只能由指定的用户部门授权后进行,任何其他部门无权执行该授权。
其次,各用户部门应当按照属性录入各事件,事件数据以原始、未经处理的方式存放于数据库中,按信息用户的需求进行准确报告。
对数据库的管理,一方面,应严格遵循授权、记录和保管不相容的原则,准确按职能划分事件属性。
例如,客户主文件由销售部门维护,外部供应商主文件由采购部门维护,物料主文件由储运部门维护,科目主文件由财务部门维护,内部供应商主文件由人力资源部门维护。
另一方面,应根据数据特性及信息使用者的需求清晰界定各主文件的内容,避免遗漏项目和错误归类。
例如,不应由采购部门和销售部门维护物料主文件。
3.数据校验制度。
在将数据录入系统时,可采用闭环校验或键校验方式,并通过程序内设的编辑检查功能对数据内容的完整性、合理性和准确性进行控制。
闭环校验是指根据输入的数据项搜索要更新的记录,并显示该记录的其他数据,使数据录入人员能验证更新记录的正确性。
键校验又称重键入,即系统对两个数据员录入的同一数据进行比较,并将不同的地方高亮显示,由第二位录入员验证并纠正不同之处。
编辑检查是通过内设在系统程序中的字段或类型检查、校验位检查、控制总数检查等实现对数据完整性、合理性和准确性的验证。
系统应建立反馈机制,当出现错误或异常情况时,终端用户可通过计算机屏幕上的错误/异常提示得到警报,及时纠正输入中的错误;数据控制小组可通过监控错误/异常情况报告察觉问题并采取措施。
为防止不慎破坏文件或不适当地使用文件,可采用文件外部标识、文件内部标识、锁定程序、只读文件标记和文件保护环等文件安全控制措施来验证是否更新了正确的文件。
(三)跟踪处理机制1.保留审计线索。
为确保信息的可追溯性,对每次批处理或一定期限(如每天)的实时处理,企业应打印交易列表,以提供完整、详细的主文件更新信息;同时,应将每次处理时系统按顺序自动生成的唯一的交易参考号和相关的总账记录及原始凭证之间建立索引。
2.实施文档控制。
企业应通过建立描述信息系统各个方面的标准化文档来辅助和控制系统的开发、运行和维护。
标准化文档包括系统文档、程序文档、数据文档、运行文档和操作手册等,其中,运行文档又包括应用程序修改日志、系统访问日志、系统数据和程序库访问日志、系统使用日志、操作员/控制台日志以及错误日志等。
同时,企业对详细记录系统情况的各种文档应建立定期备份和实时监控制度,以预防和查处非法操作。
尤其应对计算机操作员在控制台上输入的所有命令的备份(一般称为操作员/控制台日志)作定期检查,以预防、检查和纠正错误及舞弊。
另外,企业应妥善保管各类文档,以防落入不法之徒手中。
三、持续运行控制(一)定期备份制度信息系统会面临许多风险,为确保其持续运行,企业应积极采用预防性措施(如进行日常检测、设立容错冗余、编制意外计划等),使系统停工时间最小化。
日常检测,是指对系统及其组件进行常规性检测,发现问题后及时调整系统或更换组件。
企业应委派专人负责定期检测系统及其组件,并建立使用状态用户报告制度,以及时发现问题并及时解决。
设立容错冗余,是指进行软件备份,即企业应建立程序、数据、文档的定期备份制度和数据批处理或实时处理的处理前自动备份(即交易日志)制度。
冗余是工程学术语,是指为确保系统持续运行而采取的双保险容错措施。
为便于文件重建,应对程序、数据和文档定期备份,并在远离计算机设备和操作的地方至少保存一套;同时,应通过磁盘映射、重算处理程序及数据批处理中的“检查点”和实时处理的“交易日志”建立自动备份。
编制意外计划,是指单位应制定完整、具体的灾难恢复计划,以备意外事件发生后恢复系统之需。
同时,单位应定期检测、及时修正该计划,并将其最新版本存放在该系统之外。
切实可行的灾难恢复计划,还应具体指明应付突发事件的人员分工、必经程序及恢复场所。
(二)安全防护制度企业应安装病毒检查程序对系统进行监控,出现病毒立即清除;同时,针对病毒种类繁多、毒性增强的特点,应实时关注最新的防毒措施,确保有备无患。
四、硬件保护控制信息系统是企业的神经系统,一旦破坏,企业将陷入瘫痪。