内部控制师岗位认证《信息系统的内部控制》

《信息系统的内部控制》——课程讲义内部控制师岗位证书系列课程主讲人：张玉国际内部控制协会中国总部资深专家财政部企业内部控制标准委员会咨询专家中国职协内控师岗位培训项目资深专家中国总会计师协会专家咨询委员会委员讲师简介：张玉中国大陆首位高级国际注册内部控制师、国际注册内部审计师。曾任审计署外交外事审计局局长助理、中国内部审计协会副秘书长、国际内部审计师协会（IIA）理事会理事及国际关系委员会委员。先后在报刊杂志上发表文章90多篇，代表著作有《国际注册内部控制师通用知识与技能指南》、《企业内部控制规范性操作实务》、《美加两国查处舞弊技巧与案例》、《如何遵循SOX404条款—评估内部控制的效果》。现任国际内部控制协会中国总部资深专家、财政部企业内部控制标准委员会咨询专家、中国职协内控师岗位培训项目资深专家、中国总会计师协会专家咨询委员会委员。本书为人社部中国职协内部控制师岗位认证培训教材。由国际内部控制协会ICI中国总部专家主持编写，ICI中方首席代表、中国总会计师协会专家咨询委员会委员张玉女士捉刀力作。这一著作直面企业内部控制难点和重点，为企业内部控制体系建设提供了各项业务控制流程的全套示例，内容上不但对企业内控操作实务完全按国家相关法律法规和部门规章进行了规范，同时吸收和借鉴国际内部控制相关标准和技术指南精髓，较好地解决了企业内部控制标准化实务的可操作性问题。中国职协.内部控制师岗位认证培训教材信息系统应用指引解读信息系统的内部控制现代企业的运营越来越依赖于信息系统，比如航空公司的网上订票系统，银行的资金实时结算系统，电子商务公司的客户服务系统等，离开了信息系统的支持，各项业务难以开展，经营很可能会陷入瘫痪状态。进入21世纪，随着信息技术的发展，信息化浪潮席卷全球，成为时代的主旋律。越来越多的企业利用计算机从事经营管理，推动信息化建设成为增强企业市场竞争力的重要手段。一、信息系统概述信息系统的要素：会计业务系统实例如图：（一）信息系统的业务目标信息系统的业务目标主要包括以下两个方面：（1）促进企业有效实施内部控制，提高企业现代化管理水平，减少人为操纵因素；（2）增强信息系统的安全性、可靠性和合理性以及相关信息的保密性、完整性和可用性，为建立有效的信息与沟通机制提供支持保障。（二）信息系统的主要风险企业利用信息系统实施内部控制，至少应当关注下列风险：（1）缺乏信息系统建设整体规划或规划不当，可能导致重复建设，形成信息孤岛，影响企业发展目标的实现；（2）开发不合理或不符合内部控制要求，可能导致无法利用信息系统实施有效控制；（3）授权管理不当，可能导致非法操作和舞弊；（4）安全维护措施不当，可能导致信息泄漏或毁损，系统无法正常运行。（三）信息系统建设的总体要求信息系统建设的总体要求如下：（1）企业应当重视信息系统在内部控制中的作用，根据内部控制要求，结合组织架构、业务范围、地域分布、技术能力等因素，制定信息系统建设整体规划，加大投入力度，有序组织信息系统开发、运行与维护，优化管理流程，防范经营风险，全面提升企业现代化管理水平。（2）企业应当指定专门机构对信息系统建设实施归口管理，明确相关单位的职责权限，建立有效工作机制。企业可委托专业机构从事信息系统的开发、运行和维护工作。（3）企业负责人对信息系统建设工作负责。二、信息系统内部控制框架信息系统内部控制框架如图：（一）输入控制输入控制主要控制措施如下：（1）针对手工录入、批量导入、接收其他系统数据等不同数据输入方式，分别考虑对进入系统数据的检查和校验功能，确保数据的准确性、有效性和完整性。（2）尽量避免通过后台操作修改和删除数据的情况。对于必需的后台数据操作，企业应当建立规范的操作制度，并对操作情况进行监控或者审计。（3）对于经常性的数据删除和修改，应当在预先设计系统功能中予以考虑，并通过审批、复核等程序加以控制。（4）在重要的信息系统中设置操作日志功能，详细记录系统每个账户的登录时间、重要的操作内容，确保操作的可审计性。（5）对异常的或者违背内部控制要求的交易或者数据，企业应当在系统中设计自动提示报警功能。（二）处理控制主要控制措施如下：（1）建立健全用户管理制度，确保不同权限用户在授权范围内运用信息系统进行业务处理。（2）系统自动记载各个用户的操作日志，详细记录各用户执行的操作，留下审计线索。（3）对信息系统进行定期检测维护，及时发现错误并予以修正。（三）输出控制主要控制措施如下：（1）使用数据勾稽关系校验、数字指纹，保证有关数据的正确性。数字指纹，是采用相应技术手段在输出的信息正文后生成信息摘要附加在正文之后，接收方对接收到的信息用同样的技术手段重新生成信息摘要，检查与接收到的信息摘要是否一致，从而确定信息是否被篡改。（2）综合采用功能权限和数据权限确保经授权的用户才能得到相关输出信息。功能权限确定用户是否可以执行某项输出功能，通常表现为不同职责的用户所能使用的菜单项、按钮组合不同。数据权限决定用户可访问的数据范围，例如普通员工无法看到别人的工资信息，人力资源经理可看到所有员工的工资信息。（3）强化输出资料分发控制，确保资料只能分发给具有相应权限的用户。常用的输出资料分发控制措施有：①打印总数控制，可以在系统中设置各类报表被允许打印的总份数，并记录每次打印的时间和操作人。②信息接收人控制，具有将输出信息作为电子邮件附件发送的信息系统，应当为不同类型的输出资料分别设置接收人名单，控制电子输出信息的发出范围。③设置输出报告发送登记簿，记录报告发送份数、时间、接收人等事项。三、信息系统一般控制的主要风险与控制措施信息系统一般控制框架如图：（一）制定信息系统开发的战略规划（二）选择信息系统开发方式主要控制措施如下：（1）企业必须制定信息系统开发的战略规划和中长期发展计划，并在每年制定经营计划的同时制定年度信息系统建设计划，促进经营管理活动与信息系统的协调统一。（2）企业在制定信息化战略过程中，要充分调动和发挥信息系统归口管理部门与业务部门的积极性，使各部门广泛参与，充分沟通，提高战略规划的科学性、前瞻性和适应性。（3）信息系统战略规划要与企业的组织架构、业务范围、地域分布、技术能力等相匹配，避免相互脱节。（1）自行开发（2）业务外包开发（3）外购调试下面分别阐述信息系统开发建设所采用的自行开发、外包开发和外购调试三种方式的关键控制点和主要控制措施。1、自行开发方式的关键控制点和主要控制措施信息系统自行开发的基本流程：自行开发的业务内容如图：（1）项目计划环节主要控制措施如下：①企业应当根据信息系统建设整体规划提出分阶段项目的建设方案，明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容，按照规定的权限和程序审批后实施。②企业可以采用标准的项目管理软件（如OfficeProject）制定项目计划，并加以跟踪。在关键环节进行阶段性评审，以保证过程可控。③项目关键环节编制的文档应参照《GB8567－88计算机软件产品开发文件编制指南》等相关国家标准和行业标准进行，以提高项目计划编制水平。（2）需求分析环节主要控制措施如下：①信息系统归口管理部门应当组织企业内部各有关部门提出开发需求，加强系统分析人员和有关部门的管理人员、业务人员的交流，经综合分析提炼后形成合理的需求。②编制表述清晰、表达准确的需求文档。需求文档是业务人员和技术人员共同理解信息系统的桥梁，必须准确表述系统建设的目标、功能和要求。③企业应当建立健全需求评审和需求变更控制流程。依据需求文档进行设计（含需求变更设计）前，应当评审其可行性，由需求提出人和编制人签字确认，并经业务部门与信息系统归口管理部门负责人审批。（3）系统设计环节业务系统的操作控制与技术控制的区别见图：主要控制措施如下：①系统设计负责部门应当就总体设计方案与业务部门进行沟通和讨论，说明方案对用户需求的覆盖情况；存在备选方案的，应当详细说明各方案在成本、建设时间和用户需求响应上的差异；信息系统归口管理部门和业务部门应当对选定的设计方案予以书面确认。②企业应参照《GB8567－88计算机软件产品开发文件编制指南》等相关国家标准和行业标准，提高系统设计说明书的编写质量。③企业应建立设计评审制度和设计变更控制流程。④在系统设计时应当充分考虑信息系统建成后的控制环境，将生产经营管理业务流程、关键控制点和处理规程嵌入系统程序，实现手工环境下难以实现的控制功能。⑤企业应充分考虑信息系统环境下的新的控制风险，比如，要通过信息系统中的权限管理功能控制用户的操作权限，避免将不相容职务的处理权限授予同一用户。⑥应当针对不同的数据输入方式，强化对进入系统数据的检查和校验功能。比如，凭证的自动平衡校对。⑦系统设计时应当考虑在信息系统中设置操作日志功能，确保操作的可审计性。对异常的或者违背内部控制要求的交易和数据，应当设计由系统自动报告并设置跟踪处理机制。⑧预留必要的后台操作通道，对于必需的后台操作，应当加强管理，建立规范的操作流程，确保足够的日志记录，保证对后台操作的可监控性。（4）编程和测试环节主要控制措施如下：①项目组应建立并执行严格的代码复查评审制度。②项目组应建立并执行统一的编程规范，在标识符命名、程序注释等方面统一风格。③应使用版本控制软件系统，保证所有开发人员基于相同的组件环境开展项目工作，协调开发人员对程序的修改。④应区分单元测试、组装测试（集成测试）、系统测试、验收测试等不同测试类型，建立严格的测试工作流程，提高最终用户在测试工作中的参与程度，提高测试用例的编写质量，加强测试分析，尽量采用自动测试工具提高测试工作的质量和效率。具备条件的企业，应当组织独立于开发建设项目组的专业机构对开发完成的信息系统进行验收测试，确保在功能、性能、控制要求和安全性等方面符合开发需求。（5）上线环节主要控制措施如下：①企业应当制定信息系统上线计划，并经归口管理部门和用户部门审核批准。上线计划一般包括人员培训、数据准备、进度安排、应急预案等内容。②系统上线涉及新旧系统切换的，企业应当在上线计划中明确应急预案，保证新系统失效时能够顺利切换回旧系统。③系统上线涉及数据迁移的，企业应当制定详细的数据迁移计划，并对迁移结果进行测试。用户部门应当参与数据迁移过程，对迁移前后的数据予以书面确认。、外包开发方式的关键控制点和主要控制措施系统外包开发方式的业务内容如图：（1）选择外包服务商主要的控制措施如下：①在选择外包服务商时要充分考虑服务商的市场信誉、资质条件、财务状况、服务能力、对本企业业务的熟悉程度、既往承包服务成功案例等因素,对外包服务商进行严格筛选。②企业可以借助外包业界基准来判断外包服务商的综合实力。③企业要严格外包服务审批及管控流程,对信息系统外包业务，原则上应采用公开招标等形式选择外包服务商，并实行集体决策审批。（2）签订外包合同主要控制措施如下：①企业在与外包服务商签约之前,应针对外包可能出现的各种风险损失,恰当拟定合同条款,对涉及的工作目标、合作范畴、责任划分、所有权归属、付