(十八)信息系统——《企业内部控制应用指引第18号-信息系统》
《企业内部控制应用指引第18号-信息系统》所称信息系统。是指企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。
利用信息系统实施内部控制需关注的主要风险包括:
(1)信息系统缺乏或规划不合理,可能造成信息孤岛或重复建设,导致企业经营管理效率低下。
(2)系统开发不符合内部控制要求,授权管理不当,可能导致无法利用信息技术实施有效控制。
(3)系统运行维护和安全措施不到位,可能导致信息泄露或毁损,系统无法正常运行。
|
关键控制点 |
控制措施 |
|
信息系统 的开发 |
(1)企业应当根据信息系统建设整体规划提出项目建设方案,明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容,按照规定的权限和程序审批后实施 (2)企业开发信息系统.应当将生产经营管理业务流程、关键控制点和处理规则嵌入系统程序.实现手工环境下难以实现的控制功能 (3)企业信息系统归口管理部门应当加强信息系统开发全过程的跟踪管理,组织开发单位与内部各单位的日常沟通和协调 (4)企业应当组织独立于开发单位的专业机构对开发完成的信息系统进行验收测试,确保在功能、性能、控制要求和安全性等方面符合开发需求 (5)企业应当切实做好信息系统上线的各项准备工作,培训业务操作和系统管理人员.制订科学的上线计划和新旧系统转换方案、考虑应急预案.确保新旧系统顺利切换和平稳衔接 |
|
信息系统的 运行与维护 |
(1)企业应当加强信息系统运行与维护的管理.制定信息系统工作程序、信息管理制度以及各模块子系统的具体操作规范.及时跟踪、发现和解决系统运行中存在的问题,确保信息系统按照规定的程序、制度和操作规范持续稳定运行 (2)企业应当根据业务性质、重要性程度、涉密情况等确定信息系统的安全等级。建立不同等级信息的授权使用制度,采用相应技术手段保证信息系统运行安全有序 (3)企业应当建立用户管理制度.加强对重要业务系统的访问权限管理,定期审阅系统账号,避免授权不当或存在非授权账号,禁止不相容职务用户账号的交叉操作 (4)企业应当综合利用防火墙、路由器等网络设备.漏洞扫描、入侵检测等软件技术以及远程访问安全策略等手段,加强网络安全.防范来自网络的攻击和非法侵入 (5)企业应当建立系统数据定期备份制度,明确备份范围、频度、方法、责任人、存放地点、有效性检查等内容 (6)企业应当加强服务器等关键信息设备的管理,建立良好的物理环境,指定专人负责检查。及时处理异常情况 |
【提示】企业开发信息系统。可以采取自行开发、外购调试、业务外包等方式。选定外购调试或业务外包方式的,应当采用公开招标等形式择优确定供应商或开发单位。
【例题15·多选题】下列属于利用信息系统实施内部控制需关注的主要风险的有( )。
A.内部报告系统缺失、功能不健全、内容不完整.可能影响生产经营有序运行
B.信息系统缺乏或规划不合理。可能造成信息孤岛或重复建设.导致企业经营管理效率低下
C.系统开发不符合内部控制要求,授权管理不当,可能导致无法利用信息技术实施有效控制
D.系统运行维护和安全措施不到位,可能导致信息泄露或毁损,系统无法正常运行
【答案】BCD
【解析】利用信息系统实施内部控制需关注的主要风险包括:
(1)信息系统缺乏或规划不合理.可能造成信息孤岛或重复建设.导致企业经营管理效率低下。
(2)系统开发不符合内部控制要求,授权管理不当,可能导致无法利用信息技术实施有效控制。
(3)系统运行维护和安全措施不到位,可能导致信息泄露或毁损,系统无法正常运行。
