《精编》企业内部控制应用指引之内部信息传递

《《精编》企业内部控制应用指引之内部信息传递》由会员分享，可在线阅读，更多相关《《精编》企业内部控制应用指引之内部信息传递（11页珍藏版）》请在金锄头文库上搜索。

1、企业内部控制应用指引第17号内部信息传递一、信息系统内部控制概述 企业内部控制应用指引第18号信息系统中所指信息系统，是指企业利用计算机和通信技术，对内部控制进行集成、转化和提升所形成的信息化管理平台。信息系统内部控制的目标是促进企业有效实施内部控制，提高企业现代化管理水平，减少人为操纵因素；同时，增强信息系统的安全性、可靠性和合理性以及相关信息的保密性、完整性和可用性，为建立有效的信息与沟通机制提供支持保障。信息系统内部控制的主要对象是信息系统，由计算机硬件、软件、人员、信息流和运行规程等要素组成。 企业信息系统内部控制以及利用信息系统实施内部控制至少应当关注下列方面：1、信息系统缺乏或规划

2、不合理，可能造成信息孤岛或重复建设，导致企业经营管理效率低下；2、系统开发不符合内部控制要求，授权管理不当，可能导致无法利用信息技术实施有效控制；3、系统运行维护和安全措施不到位，可能导致信息泄漏或毁损，系统无法正常运行。 二、信息系统的开发 企业根据发展战略和业务需要进行信息系统建设，首先要确立系统建设目标，根据目标进行系统建设战略规划，再将规划细化为项目建设方案。企业开展信息系统建设，可以根据实际情况，选择自行开发、外购调试或业务外包等方式。选择外购调试或业务外包方式的，应当采用公开招标等形式择优选择供应商或开发单位。选择自行开发信息系统的，信息系统归口管理部门应当组织企业内部相关业务部门

3、进行需求分析，合理配置人员，明确系统设计、编程、安装调试、验收、上线等全过程的管理要求。企业信息系统归口管理部门应当加强信息系统开发全过程的跟踪管理，增进开发单位与企业内部业务部门的日常沟通和协调，组织独立于开发单位的专业机构对开发完成的信息系统进行检查验收，并组织系统上线运行。（一）制定信息系统开发的战略规划信息系统开发的战略规划是信息化建设的起点。战略规划是以企业发展战略为依据制定的企业信息化建设的全局性、长期性规划。制定信息系统战略规划的主要风险是：缺乏战略规划或规划不合理，可能造成信息孤岛或重复建设，导致企业经营管理效率低下；没有将信息化与企业业务需求结合，降低了信息系统的应用价值。主

4、要控制措施：第一，企业必须制定信息系统开发的战略规划和中长期发展计划，并在每年制定经营计划的同时制定年度信息系统建设计划，促进经营管理活动与信息系统的协调统一。第二，企业在制定信息化战略过程中，要充分调动和发挥信息系统归口管理部门与业务部门的积极性，使各部门广泛参与，充分沟通，提高战略规划的科学性、前瞻性和适应性。第三，信息系统战略规划要与企业的组织架构、业务范围、地域分布、技术能力等相匹配，避免相互脱节。 （二）选择适当的信息系统开发方式信息系统的开发建设是信息系统生命周期中技术难度最大的环节。在开发建设环节，要将企业的业务流程、内控措施、权限配置、预警指标、核算方法等固化到信息系统中，因此

5、开发建设的好坏直接影响信息系统的成败。开发建设主要有自行开发、外购调试、业务外包等方式；企业应根据自身实际情况合理选择。 1自行开发是企业依托自身力量完成整个开发过程。其优点是开发人员熟悉企业情况，可以较好地满足本企业的需求，尤其是具有特殊性的业务需求。通过自行开发，还可以培养锻炼自己的开发队伍，便于后期的运行和维护。其缺点是开发周期较长、技术水平和规范程度较难保证，成功率相对较低。2外购调试的基本做法是企业购买成熟的商品化软件，通过参数配置和二次开发满足企业需求。其优点是开发建设周期短；成功率较高；成熟的商品化软件质量稳定，可靠性高；专业的软件提供商实施经验丰富。其缺点是难以满足企业的特殊需

6、求；系统的后期升级进度受制于商品化软件供应商产品更新换代的速度，企业自主权不强，较为被动。 外购调试方式的适用条件通常是企业的特殊需求较少，市场上已有成熟的商品化软件和系统实施方案。3业务外包信息系统的业务外包是指委托其他单位开发信息系统，基本做法是企业将信息系统开发项目外包出去，由专业公司或科研机构负责开发、安装实施，由企业直接使用。其优点是企业可以充分利用专业公司的专业优势，量体裁衣，构建全面、高效满足企业需求的个性化系统；企业不必培养、维持庞大的开发队伍，相应节约了人力资源成本。其缺点是沟通成本高，系统开发方难以深刻理解企业需求，可能导致开发出的信息系统与企业的期望产生较大偏差；同时，由

7、于外包信息系统与系统开发方的专业技能、职业道德和敬业精神存在密切关系，也要求企业必须加大对外包项目的监督力度。业务外包方式的适用条件通常是市场上没有能够满足企业需求的成熟的商品化软件和解决方案，企业自身技术力量薄弱或出于成本效益原则考虑不愿意维持庞大的开发队伍。 （三）自行开发方式的关键控制点和主要控制措施虽然信息系统的开发方式有自行开发、外购调试、业务外包等多种方式，但基本流程大体相似，通常包含项目计划、需求分析、系统设计、编程和测试、上线等环节。 1项目计划环节战略规划通常将完整的信息系统分成若干子系统，并分阶段建设不同的子系统。比如，制造企业可以将信息系统划分为财务管理系统、人力资源管理

8、系统、MRP系统（销售、采购、库存、生产）、计算机辅助设计和制造系统、客户关系系统、电子商务系统等若干子系统。项目就是指本阶段需要建设的相对独立的一个或多个子系统。 项目计划通常包括项目范围说明、项目进度计划、项目质量计划、项目资源计划、项目沟通计划、风险对策计划、项目采购计划、需求变更控制、配置管理计划等内容。项目计划环节的主要风险是：信息系统建设缺乏项目计划或者计划不当，导致项目进度滞后、费用超支、质量低下。 主要控制措施：第一，企业应当根据信息系统建设整体规划提出分阶段项目的建设方案，明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容，按照规定的权限和程序审批后实施。第二，企

9、业可以采用标准的项目管理软件制定项目计划，并加以跟踪。在关键环节进行阶段性评审，以保证过程可控。第三，项目关键环节编制的文档应参照GB856788计算机软件产品开发文件编制指南等相关国家标准和行业标准进行，以提高项目计划编制水平。 2需求分析环节需求分析的目的是明确信息系统需要实现哪些功能。该项工作是系统分析人员和用户单位的管理人员、业务人员在深入调查的基础上，详细描述业务活动涉及的各项工作以及用户的各种需求，建立未来目标系统的逻辑模型。这一环节的主要风险是：第一，需求本身不合理，对信息系统提出的功能、性能、安全性等方面的要求不符合业务处理和控制的需要。第二，技术上不可行、经济上成本效益倒挂，

10、或与国家有关法规制度存在冲突。第三，需求文档表述不准确、不完整，未能真实全面地表达企业需求，存在表述缺失、表述不一致甚至表述错误等问题。 主要控制措施：第一，信息系统归口管理部门应当组织企业内部各有关部门提出开发需求，加强系统分析人员和有关部门的管理人员、业务人员的交流，经综合分析提炼后形成合理的需求。第二，编制表述清晰、表达准确的需求文档。需求文档是业务人员和技术人员共同理解信息系统的桥梁，必须准确表述系统建设的目标、功能和要求。企业应当采用标准建模语言，综合运用多种建模工具和表现手段，参照GB856788计算机软件产品开发文件编制指南等相关标准，提高系统需求说明书的编写质量。第三，企业应当

11、建立健全需求评审和需求变更控制流程。依据需求文档进行设计（含需求变更设计）前，应当评审其可行性，由需求提出人和编制人签字确认，并经业务部门与信息系统归口管理部门负责人审批。 3系统设计环节系统设计是根据系统需求分析阶段所确定的目标系统逻辑模型，设计出一个能在企业特定的计算机和网络环境中实现的方案，即建立信息系统的物理模型。系统设计包括总体设计和详细设计。总体设计的主要任务是：第一，设计系统的模块结构，合理划分子系统边界和接口。第二，选择系统实现的技术路线，确定系统的技术架构，明确系统重要组件的内容和行为特征，以及组件之间、组件与环境之间的接口关系。第三，数据库设计，包括主要的数据库表结构设计、

12、存储设计、数据权限和加密设计等。第四，设计系统的网络拓扑结构、系统部署方式等。详细设计的主要任务包括：程序说明书编制、数据编码规范设计、输入输出界面设计等内容。系统设计环节的主要风险是：第一，设计方案不能完全满足用户需求，不能实现需求文档规定的目标。 第二，设计方案未能有效控制建设开发成本，不能保证建设质量和进度。 第三，设计方案不全面，导致后续变更频繁。第四，设计方案没有考虑信息系统建成后对企业内部控制的影响，导致系统运行后衍生新的风险。 主要控制措施：第一，系统设计负责部门应当就总体设计方案与业务部门进行沟通和讨论，说明方案对用户需求的覆盖情况；存在备选方案的，应当详细说明各方案在成本、建

13、设时间和用户需求响应上的差异；信息系统归口管理部门和业务部门应当对选定的设计方案予以书面确认。第二，企业应参照GB856788计算机软件产品开发文件编制指南等相关国家标准和行业标准，提高系统设计说明书的编写质量。 第三，企业应建立设计评审制度和设计变更控制流程。第四，在系统设计时应当充分考虑信息系统建成后的控制环境，将生产经营管理业务流程、关键控制点和处理规程嵌入系统程序，实现手工环境下难以实现的控制功能。第五，应充分考虑信息系统环境下的新的控制风险，比如，要通过信息系统中的权限管理功能控制用户的操作权限，避免将不相容职务的处理权限授予同一用户。第六，应当针对不同的数据输入方式，强化对进入系统

14、数据的检查和校验功能。比如，凭证的自动平衡校对。第七，系统设计时应当考虑在信息系统中设置操作日志功能，确保操作的可审计性。对异常的或者违背内部控制要求的交易和数据，应当设计系统自动报告并跟踪处理机制。第八，预留必要的后台操作通道，对于必需的后台操作，应当加强管理，建立规范的操作流程，确保足够的日志记录，保证对后台操作的可监控性。 4编程和测试环节编程阶段是将详细设计方案转换成某种计算机编程语言的过程。编程阶段完成之后，要进行测试，测试主要有以下目的：一是发现软件开发过程中的错误，分析错误的性质，确定错误的位置并予以纠正。二是通过某些系统测试，了解系统的响应时间、事务处理吞吐量、载荷能力、失效恢

15、复能力以及系统实用性等指标，以便对整个系统做出综合评价。测试环节的主要风险是：第一， 编程结果与设计不符。第二， 各程序员编程风格差异大，程序可读性差，导致后期维护困难，维护成本高。第三， 缺乏有效的程序版本控制，导致重复修改或修改不一致等问题。第四，测试不充分。单个模块正常运行但多个模块集成运行时出错，开发环境下测试正常而生产环境下运行出错，开发人员自测正常而业务部门用户使用时出错，导致系统上线后可能出现严重问题。 主要控制措施：第一，项目组应建立并执行严格的代码复查评审制度。第二，项目组应建立并执行统一的编程规范，在标识符命名、程序注释等方面统一风格。 第三，应使用版本控制软件系统（例如CVS），保证所有开发人员基于相同的组件环境开展项目工作，协调开发人员对程序的修改。第四，应区分单元测试、组装测试（集成测试）、系统测试、验收测试等不同测试类型，建立严格的测试工作流程，提高最终用户在测试工作中的参与程度，改进测试用例的编写质量，加强测试分析，尽量采用自动测试工具提高测试工作的质量和效率。第五，具备条件的企业，应当组织独立于开发建设项目组的专业机构对开发完成的信息系统进行验收测试，确保在功能、性能、控制要求和安全性等方面符合开发需求。 5上线环节系统上线是将开发出的系统（可执行的程序和关联的数据）部署到实际运行的计算机环境中，使信息系统按照既定的用户需求来运转，