欢迎来到应试网校!

|

高级会计师

400-003-6399

咨询热线:010-68319220

高级会计师讲义——信息系统控制

来源:应试网校点击量:978发表于:2016-05-27 09:24:05

信息系统,是指企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台

信息系统内部控制的目标是促进企业有效实施内部控制,提高企业现代化管理水平,减少人为操纵因素;同时,增强信息系统的安全性、可靠性和合理性以及相关信息的保密性、完整性和可用性,为建立有效的信息与沟通机制提供支持保障。信息系统内部控制的主要对象是信息系统,由计算机硬件、软件、人员、信息流和运行规程等要素组成。

(一)信息系统开发、运行与维护过程中的主要风险

1.信息系统缺乏或规划不合理,可能造成信息孤岛或重复建设,导致企业经营管理效率低下。

2.系统开发不符合内部控制要求,授权管理不当,可能导致无法利用信息技术实施有效控制。

3.系统运行维护和安全措施不到位,可能导致信息泄漏或毁损,系统无法正常运行。

企业应当重视信息系统在内部控制中的作用,根据内部控制要求,结合组织架构、业务范围、地域分布、技术能力等因素,制定信息系统建设整体规划,加大投入力度,有序组织信息系统开发、运行与维护,优化管理流程,防范经营风险,全面提升企业现代化管理水平。

企业应当指定专门机构对信息系统建设实施归口管理,明确相关单位的职责权限,建立有效工作机制。企业可委托专业机构从事信息系统的开发、运行和维护工作。

企业负责人对信息系统建设工作负责。换言之,信息系统建设是“一把手”工程。只有企业负责人站在战略和全局的高度亲自组织领导信息系统建设工作,才能统一思想、提高认识、加强协调配合,从而推动信息系统建设在整合资源的前提下高效、协调推进。

(二)信息系统开发环节的关键控制点及控制措施

1.企业应当根据信息系统建设整体规划提出项目建设方案,明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容,按照规定的权限和程序审批后实施。

企业信息系统归口管理部门应当组织内部各单位提出开发需求和关键控制点,规范开发流程,明确系统设计、编程、安装调试、验收、上线等全过程的管理要求,严格按照建设方案、开发流程和相关要求组织开发工作。

2.企业可以采取自行开发、外购调试、业务外包等方式开发信息系统。选定外购调试或业务外包方式的,应当采用公开招标等形式择优确定供应商或开发单位。

3.企业开发信息系统,应当将生产经营管理业务流程、关键控制点和处理规则嵌入系统程序,实现手工环境下难以实现的控制功能。企业应当在信息系统中设置操作日志功能,确保操作的可审计性。对异常的或者违背内部控制要求的交易和数据,应当设计由系统自动报告并设置跟踪处理机制。

企业在系统开发过程中,应当按照不同业务的控制要求,通过信息系统中的权限管理功能控制用户的操作权限,避免将不相容职责的处理权限授予同一用户。企业应当针对不同数据的输入方式,考虑对进入系统数据的检查和校验功能。对于必需的后台操作,应当加强管理,建立规范的流程制度,对操作情况进行监控或者审计。企业应当在信息系统中设置操作日志功能,确保操作的可审计性。对异常的或者违背内部控制要求的交易和数据,应当设计由系统自动报告并设置跟踪处理机制。

4企业信息系统归口管理部门应当加强信息系统开发全过程的跟踪管理,组织开发单位与内部各单位的日常沟通和协调,督促开发单位按照建设方案、计划进度和质量要求完成编程工作,对配备的硬件设备和系统软件进行检查验收,组织系统上线运行等。

5.企业应当组织独立于开发单位的专业机构对开发完成的信息系统进行验收测试,确保在功能、性能、控制要求和安全性等方面符合开发需求。

6.企业应当切实做好信息系统上线的各项准备工作,培训业务操作和系统管理人员,制定科学的上线计划和新旧系统转换方案,考虑应急预案,确保新旧系统顺利切换和平稳衔接。系统上线涉及数据迁移的,还应制定详细的数据迁移计划。

(三)信息系统运行与维护环节的关键控制点及控制措施

1.企业应当加强信息系统运行与维护的管理,制定信息系统工作程序、信息管理制度以及各模块子系统的具体操作规范,及时跟踪、发现和解决系统运行中存在的问题,确保信息系统按照规定的程序、制度和操作规范持续稳定运行。

2.企业应当建立信息系统变更管理流程,信息系统变更应当严格遵照管理流程进行操作。信息系统操作人员不得擅自进行系统软件的删除、修改等操作;不得擅自升级、改变系统软件版本;不得擅自改变软件系统环境配置。

3企业应当根据业务性质、重要性程度、涉密情况等确定信息系统的安全等级,建立不同等级信息的授权使用制度,采用相应技术手段保证信息系统运行安全有序。企业应当建立信息系统安全保密和泄密责任追究制度

委托专业机构进行系统运行与维护管理的,应当审查该机构的资质,并与其签订服务合同和保密协议。企业应当采取安装安全软件等措施防范信息系统受到病毒等恶意软件的感染和破坏。

4企业应当建立用户管理制度,加强对重要业务系统的访问权限管理,定期审阅系统账号,避免授权不当或存在非授权账号,禁止不相容职务用户账号的交叉操作

一般而言,信息系统不相容职务涉及的人员可以分为三类:系统开发建设人员、系统管理和维护人员、系统操作使用人员。开发人员在运行阶段不能操作使用信息系统,否则就可能掌握其中的涉密数据,进行非法利用;系统管理和维护人员担任密码保管、授权、系统变更等关键任务,如果允许其使用信息系统,就可能较为容易地篡改数据,从而达到侵吞财产或滥用计算机信息的目的。此外,信息系统使用人员也需要区分不同岗位,包括业务数据录入、数据检查、业务批准等,在他们之间也应有必要的相互牵制。企业应建立用户管理制度,加强对重要业务系统的访问权限管理,避免将不相容职责授予同一用户。企业应当采用密码控制等技术手段进行用户身份识别。

5.企业应当综合利用防火墙、路由器等网络设备,漏洞扫描、入侵检测等软件技术以及远程访问安全策略等手段,加强网络安全,防范来自网络的攻击和非法侵入。对于通过网络传输的涉密或关键数据,应采取加密措施,确保信息传递的保密性、准确性和完整性

6企业应当建立系统数据定期备份制度,明确备份范围、频度、方法、责任人、存放地点、有效性检查等内容。

7.企业应当加强服务器等关键信息设备的管理,建立良好的物理环境,指定专人负责检查,及时处理异常情况。未经授权,任何人不得接触关键信息设备

 

需要说明的是,由于企业所面临的客观环境和自身的经营管理活动比较复杂,本节仅对企业常见的、一般性生产经营过程的主要风险及控制点作出说明。企业在建设与实施内部控制的过程中,应当遵循内部控制的基本原则,从企业战略和经营目标出发,全面识别和评估相关风险,梳理关键业务流程,根据风险评估的结果,制定和执行相应控制措施。

问:对于《企业内部控制配套指引》尚未规范的领域,应如何处理?

答:由于企业所面临的客观环境和自身的经营管理活动比较复杂,目前的《企业内部控制配套指引》仅对企业常见的、一般性生产经营过程的主要方面和环节进行了规范。在建设与实施内部控制的过程中,对于《企业内部控制配套指引》尚未规范的业务领域,企业应当遵循《企业内部控制基本规范》的原则和要求,按照内部控制建设与实施的基本原理和一般方法,从企业经营目标出发,识别和评估相关风险,梳理关键业务流程,根据风险评估的结果,制定和执行相应控制措施

 

 

【我要纠错】责任编辑:管理员




课程试听

更多

高级会计师班次报名

班次详情
  • 班次:精品班

    优惠价:1999元

  • 班次:2020VIP必过班

    优惠价:3499元

  • 班次:面授班

    优惠价:5999元

  • 班次:1元优享课

    优惠价:1元

  • 班次:2020高会通关班(精品论文3篇)

    优惠价:21999元

  • 班次:2020高会通关班(精品论文2篇)

    优惠价:18999元

  • 班次:2020高会通关班(1篇精品+1篇权威)

    优惠价:23999元

  • 班次:2020面授通关班 北京/上海/深圳

    优惠价:25999元

1 2 3 4 5 6 7 8
应试网校官方微信
400-0036-399
010-68319220
关注微博