《企业内部控制应用指引之内部信息传递》由会员分享,可在线阅读,更多相关《企业内部控制应用指引之内部信息传递(20页珍藏版)》请在金锄头文库上搜索。
1、企业内部控制制应用指引第第17号内部信息传传递一、信息系统内内部控制概述述 企业内部控制制应用指引第第18号信息系统中中所指信息系系统,是指企企业利用计算算机和通信技技术,对内部部控制进行集集成、转化和和提升所形成成的信息化管管理平台。信息系统内部控控制的目标是是促进企业有有效实施内部部控制,提高高企业现代化化管理水平,减减少人为操纵纵因素;同时时,增强信息息系统的安全全性、可靠性性和合理性以以及相关信息息的保密性、完完整性和可用用性,为建立立有效的信息息与沟通机制制提供支持保保障。信息系统内部控控制的主要对对象是信息系系统,由计算算机硬件、软软件、人员、信信息流和运行行规程等要素素组成。 企
2、业信息系统内内部控制以及及利用信息系系统实施内部部控制至少应应当关注下列列方面:1、信息系统缺缺乏或规划不不合理,可能能造成信息孤孤岛或重复建建设,导致企企业经营管理理效率低下;2、系统开发不不符合内部控控制要求,授授权管理不当当,可能导致致无法利用信信息技术实施施有效控制;3、系统运行维维护和安全措措施不到位,可可能导致信息息泄漏或毁损损,系统无法法正常运行。 二、信息系统的的开发 企业根据发展战战略和业务需需要进行信息息系统建设,首首先要确立系系统建设目标标,根据目标标进行系统建设设战略规划,再再将规划细化化为项目建设设方案。企业开展信息系系统建设,可可以根据实际际情况,选择择自行开发、外
3、外购调试或业业务外包等方方式。选择外购调试或或业务外包方方式的,应当当采用公开招招标等形式择择优选择供应应商或开发单单位。选择自行开发信信息系统的,信信息系统归口口管理部门应应当组织企业业内部相关业业务部门进行行需求分析,合合理配置人员员,明确系统统设计、编程程、安装调试试、验收、上上线等全过程程的管理要求求。企业信息系统归归口管理部门门应当加强信信息系统开发发全过程的跟跟踪管理,增增进开发单位位与企业内部部业务部门的的日常沟通和和协调,组织织独立于开发发单位的专业业机构对开发完成成的信息系统统进行检查验验收,并组织织系统上线运运行。(一)制定信息息系统开发的的战略规划信信息系统开发发的战略规
4、划划是信息化建建设的起点。战略规划是以企企业发展战略略为依据制定定的企业信息息化建设的全全局性、长期期性规划。制定信息系统战战略规划的主主要风险是:缺乏战略规规划或规划不不合理,可能能造成信息孤孤岛或重复建建设,导致企企业经营管理理效率低下;没有将信息息化与企业业业务需求结合合,降低了信信息系统的应应用价值。主要控制措施:第一,企业必须须制定信息系系统开发的战战略规划和中中长期发展计计划,并在每每年制定经营营计划的同时时制定年度信信息系统建设设计划,促进进经营管理活动动与信息系统统的协调统一一。第二,企业在制制定信息化战战略过程中,要要充分调动和和发挥信息系系统归口管理理部门与业务务部门的积极
5、极性,使各部部门广泛参与与,充分沟通通,提高战略略规划的科学学性、前瞻性性和适应性。第三,信息系统统战略规划要要与企业的组组织架构、业业务范围、地地域分布、技技术能力等相相匹配,避免免相互脱节。 (二)选择适当当的信息系统统开发方式信信息系统的开开发建设是信信息系统生命命周期中技术术难度最大的的环节。在开发建设环节节,要将企业业的业务流程程、内控措施施、权限配置置、预警指标标、核算方法法等固化到信信息系统中,因因此开发建设设的好坏直接接影响信息系系统的成败。开发建设设主要有自行行开发、外购购调试、业务务外包等方式式;企业应根据据自身实际情情况合理选择择。 1自行开发是是企业依托自自身力量完成成
6、整个开发过过程。其优点点是开发人员员熟悉企业情情况,可以较较好地满足本本企业的需求求,尤其是具具有特殊性的的业务需求。通过自行开发,还还可以培养锻锻炼自己的开开发队伍,便便于后期的运运行和维护。其其缺点是开发发周期较长、技技术水平和规规范程度较难难保证,成功功率相对较低低。2外购调试的的基本做法是是企业购买成成熟的商品化化软件,通过过参数配置和和二次开发满满足企业需求求。其优点是是开发建设周周期短;成功功率较高;成成熟的商品化化软件质量稳稳定,可靠性高;专专业的软件提提供商实施经经验丰富。其其缺点是难以以满足企业的的特殊需求;系统的后期期升级进度受受制于商品化化软件供应商商产品更新换换代的速度
7、,企企业自主权不不强,较为被被动。 外购调试方式的的适用条件通通常是企业的的特殊需求较较少,市场上上已有成熟的的商品化软件件和系统实施施方案。3业务外包信信息系统的业业务外包是指指委托其他单单位开发信息息系统,基本本做法是企业业将信息系统统开发项目外外包出去,由由专业公司或或科研机构负负责开发、安安装实施,由由企业直接使使用。其优点是企业可可以充分利用用专业公司的的专业优势,量量体裁衣,构构建全面、高高效满足企业业需求的个性性化系统;企企业不必培养、维维持庞大的开开发队伍,相相应节约了人人力资源成本本。其缺点是是沟通成本高高,系统开发发方难以深刻刻理解企业需需求,可能导导致开发出的的信息系统与
8、与企业的期望望产生较大偏偏差;同时,由由于外包信息息系统与系统统开发方的专专业技能、职职业道德和敬敬业精神存在在密切关系,也也要求企业必必须加大对外外包项目的监监督力度。业务外包方式的的适用条件通通常是市场上上没有能够满满足企业需求求的成熟的商商品化软件和和解决方案,企企业自身技术术力量薄弱或或出于成本效效益原则考虑虑不愿意维持持庞大的开发发队伍。 (三)自行开发发方式的关键键控制点和主主要控制措施施虽然信息系系统的开发方方式有自行开开发、外购调调试、业务外外包等多种方方式,但基本本流程大体相相似,通常包包含项目计划划、需求分析析、系统设计计、编程和测测试、上线等等环节。 1项目计划环环节战略
9、规划划通常将完整整的信息系统统分成若干子子系统,并分分阶段建设不不同的子系统统。比如,制制造企业可以以将信息系统统划分为财务务管理系统、人人力资源管理理系统、MRRP系统(销销售、采购、库库存、生产)、计计算机辅助设设计和制造系系统、客户关关系系统、电电子商务系统统等若干子系系统。项目就是指本阶阶段需要建设设的相对独立立的一个或多多个子系统。 项目计划通常包包括项目范围围说明、项目目进度计划、项项目质量计划划、项目资源源计划、项目目沟通计划、风险对策策计划、项目目采购计划、需需求变更控制制、配置管理理计划等内容容。项目计划环节的的主要风险是是:信息系统统建设缺乏项项目计划或者者计划不当,导导致
10、项目进度度滞后、费用用超支、质量量低下。 主要控制措施:第一,企业业应当根据信信息系统建设设整体规划提提出分阶段项项目的建设方方案,明确建建设目标、人人员配备、职职责分工、经经费保障和进进度安排等相相关内容,按按照规定的权权限和程序审审批后实施。第二,企业可以以采用标准的的项目管理软软件制定项目目计划,并加加以跟踪。在在关键环节进进行阶段性评评审,以保证证过程可控。第三,项目关键键环节编制的的文档应参照照GB85567888计算机软件产品品开发文件编编制指南等等相关国家标标准和行业标标准进行,以以提高项目计计划编制水平平。 2需求分析环环节需求分析析的目的是明明确信息系统统需要实现哪哪些功能。
11、该项工作是系统统分析人员和和用户单位的的管理人员、业业务人员在深深入调查的基基础上,详细细描述业务活活动涉及的各各项工作以及及用户的各种种需求,建立立未来目标系系统的逻辑模模型。这一环节的主要要风险是:第一,需求本身身不合理,对对信息系统提提出的功能、性性能、安全性性等方面的要要求不符合业业务处理和控控制的需要。第二,技术上不不可行、经济济上成本效益益倒挂,或与与国家有关法法规制度存在在冲突。第三,需求文档档表述不准确、不不完整,未能能真实全面地地表达企业需需求,存在表表述缺失、表表述不一致甚甚至表述错误误等问题。 主要控制措施:第一,信息系统统归口管理部部门应当组织织企业内部各各有关部门提提
12、出开发需求求,加强系统统分析人员和和有关部门的的管理人员、业业务人员的交交流,经综合合分析提炼后后形成合理的的需求。第二,编制表述述清晰、表达达准确的需求求文档。需求文档是业务务人员和技术术人员共同理理解信息系统统的桥梁,必必须准确表述述系统建设的的目标、功能能和要求。企业应当采用标标准建模语言言,综合运用用多种建模工工具和表现手手段,参照GGB8567788计算算机软件产品品开发文件编编制指南等相关标标准,提高系系统需求说明明书的编写质质量。第三,企业应当当建立健全需需求评审和需需求变更控制制流程。依据据需求文档进进行设计(含含需求变更设设计)前,应应当评审其可可行性,由需需求提出人和和编制
13、人签字字确认,并经经业务部门与与信息系统归归口管理部门门负责人审批批。 3系统设计环环节系统设计计是根据系统统需求分析阶阶段所确定的的目标系统逻逻辑模型,设设计出一个能能在企业特定定的计算机和和网络环境中中实现的方案案,即建立信信息系统的物物理模型。系统设计包括总总体设计和详详细设计。总体设计的主要要任务是:第一,设计系统统的模块结构构,合理划分分子系统边界界和接口。第二,选择系统统实现的技术术路线,确定定系统的技术术架构,明确确系统重要组组件的内容和和行为特征,以以及组件之间间、组件与环环境之间的接接口关系。第三,数据库设设计,包括主主要的数据库库表结构设计计、存储设计计、数据权限限和加密设
14、计计等。第四,设计系统统的网络拓扑扑结构、系统统部署方式等等。详细设计的主要要任务包括:程序说明书书编制、数据据编码规范设设计、输入输输出界面设计计等内容。系统设计环节的的主要风险是是:第一,设计方案案不能完全满满足用户需求求,不能实现现需求文档规规定的目标。 第二,设计方案案未能有效控控制建设开发发成本,不能能保证建设质质量和进度。 第三,设计方案案不全面,导致后续续变更频繁。第四,设计方案案没有考虑信信息系统建成成后对企业内内部控制的影影响,导致系系统运行后衍衍生新的风险险。 主要控制措施:第一,系统设计计负责部门应应当就总体设设计方案与业业务部门进行行沟通和讨论论,说明方案案对用户需求求
15、的覆盖情况况;存在备选选方案的,应应当详细说明明各方案在成成本、建设时时间和用户需需求响应上的的差异;信息系统归口管管理部门和业业务部门应当当对选定的设设计方案予以以书面确认。第二,企业应参参照GB88567888计算机软软件产品开发发文件编制指指南等相关关国家标准和和行业标准,提提高系统设计计说明书的编编写质量。 第三,企业应建建立设计评审制度度和设计变更更控制流程。第四,在系统设设计时应当充充分考虑信息息系统建成后后的控制环境境,将生产经经营管理业务务流程、关键键控制点和处处理规程嵌入入系统程序,实实现手工环境境下难以实现现的控制功能能。第五,应充分考考虑信息系统统环境下的新新的控制风险险,比如,要要通过信息系系统中的权限限管理功能控控制用户的操操作权限,避避免将不相容容职务的处理理权限授予同同一用户。第六,应当针对对不同的数据据输入方式,强强化对进入系系统数据的检检查和校验功功能。比如,凭凭证的自动平平衡校对。第七,系统设计计时应当考虑虑在信息系统统中设置操作作日志功能,确确保操作的可可审计性。对对异常的或者者违背内部控制制要求的交易易和数据,应应当设计系统统自动报告并并跟踪处理机机制。第八,预留必要要的后台操作作通道,对于于必需的后台台操作,应当当加强管理,建建立规范的操操作流程,确确保足够的日日志记录,保保证对后台操操作的可监控控性。 4编程和测试试环节编程阶阶段是
