企业内部控制应用指引信息系统一般控制
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
企业内部控制应用指引--信息系统一般控制.txt 时尚,就是让年薪八千的人看上去像年薪十万。我们总是要求男人有孩子一样的眼神,父亲一样的能力。一分钟就可以遇见一个人,一小时喜欢上一个人,一天爱上一个人,但需要花尽一生的时间去忘记一个人。中国的C-SOX 借鉴了美国及日本的法案,并体现了中国一贯喜欢的大而全的特点,并且专门制定了信息系统控制的指引:《企业内部控制应用指引--信息系统一般控制》。
附:信息系统一般控制全文
第一章总则
第一条为了引导企业充分利用信息系统规范交易行为,提高信息系统的可靠性、稳定性、安全性及数据的完整性和准确性,降低人为因素导致内部控制失效的可能性,形成良好的信息传递渠道,根据国家有关法律法规和《企业内部控制基本规范》,制定本指引。
第二条本指引所称信息系统是指利用计算机技术对业务和信息进行集成处理的程序、数据和文档等的总称。
第三条企业至少应当关注涉及信息系统一般控制的下列风险:
(一)信息系统开发与使用违反国家法律法规,可能遭受外部处罚、经济损失和信誉损失。(二)信息系统开发与使用未经适当审核或超越授权审批,可能因重大差错、舞弊、欺诈而导致损失。
(三)信息系统设计功能不科学、维护与变更程序不规范,可能导致企业经营效率与效果低
下。
(四)信息系统外包服务未恰当履行或监控不当,可能导致企业权益受损或违约损失。
(五)信息系统访问安全措施不当,可能导致商业秘密泄露。
(六)信息系统硬件管理不当,可能导致企业资产或股东权益受损。第四条企业在建立与实施信息系统内部控制中,至少应当强化对下列关键方面或者关键环节的控制:
(一)职责分工、权限范围和审批程序应当明确规范,机构设置和人员配备应当科学合理,重大信息系统开发与使用事项应履行审批程序。
(二)信息系统开发、变更和维护流程应当清晰合理。
(三)应当建立访问安全制度,操作权限、信息使用、信息管理应当有明确规定。
(四)硬件管理事项和审批程序应当科学合理。
(五)会计信息系统流程应当规范,会计信息系统操作管理、硬件、软件和数据管理、会计信息化档案管理应当完善。
第二章岗位分工与授权审批第五条企业应当建立计算机信息系统岗位责任制。计算机信息系统岗位一般包括:
(一)系统分析:分析用户的信息需求,并据此制定设计或修改程序的方案。
(二)编程:编写计算机程序来执行系统分析岗位的设计或修改方案。
(三)测试:设计测试方案,对计算机程序是否满足设计或修改方案进行测试,并通过反馈给编程岗位以修改程序并最终满足方案。
(四)程序管理:负责保障并监控应用程序正常运行。
(五)数据库管理:对信息系统中的数据进行存储、处理、管理,维护组织数据资源。
(六)数据控制:负责维护计算机路径代码的注册,确保原始数据经过正确授权,监控信息系统工作流程,协调输入和输出,将输入的错误数据反馈到输入部门并跟踪监控其纠正过程,将输出信息分发给经过授权的用户。
(七)终端操作:终端用户负责记录交易内容,授权处理数据,并利用系统输出的结果。系统开发和变更过程中不相容岗位(或职责)一般应包括:开发(或变更)立项、审批、编程、测试。
系统访问过程中不相容岗位(或职责)一般应包括:申请、审批、操作、监控。第六条企业计算机信息系统战略规划、重要信息系统政策等重大事项应当经由董事会(或者由企业章程规定的经理、厂长办公会等类似的决策、治理机构,以下简称董事会)审批通过后,方可实施。信息系统战略规划应当与企业业务目标保持一致。信息系统使用部门应该参与信息系统战略规划、重要信息系统政策等的制定。
第七条企业可以指定专门部门(或岗位,下称归口管理部门)对计算机信息系统实施归口管理,负责信息系统开发、变更、运行、维护等工作。
财会部门负责信息系统中各项业务账务处理的准确性和及时性;会计电算化制度的制定;财务系统操作规定等。
生产、销售、仓储及其他部门(下称用户部门)应当根据本部门在信息系统中的职能定位,参与信息系统建设,按照归口管理部门制定的管理标准、规范、规章来操作和运用信息系统。企业管理层应该明确定义系统归口管理部门和用户部门(含财会部门)在保证系统正常安全运行过程中各自承担的职责,制定部门之间的职责分工表。
第三章信息系统开发、变更与维护控制第八条计算机信息系统开发包括自行设计、外购调试和外包合作开发。企业在开发信息系统时,应当充分考虑业务和信息的集成性,优化流程,并将相应的处理规则(交易权限)嵌入到系统程序中,以预防、检查、纠正错误和舞弊行为,确保企业业务活动的真实性、合法性和效益性。
第九条企业计算机信息系统开发应当遵循以下原则:
(一)因地制宜原则:企业应当根据行业特点、企业规模、管理理念、组织结构、核算方法等因素设计适合本单位的计算机信息系统。
(二)成本效益原则:计算机信息系统的建设应当能起到降低成本、纠正偏差的作用,根据成本效益原则,企业可以选择对重要领域中关键因素进行信息系统改造。
(三)理念与技术并重原则:计算机信息系统建设应当将信息系统技术与信息系统管理理念整合,企业应当倡导全体员工积极参与信息系统建设,正确理解和使用信息系统,提高信息系统运作效率。
第十条信息系统开发必须经过正式授权。具体程序包括: 用户部门提出需求;归口管理部门审核;企业负责人授权批准;系统分析人员设计方案;程序员编写代码;测试员进行测试;系统最终上线;系统维护等。
第十一条企业应当成立项目管理小组,负责信息系统的开发,对项目整个过程实施监控。对于外包合作开发的项目,企业应当加强对外包第三方的监控。