骨科跟台人员培训资料（PPT31页)

化信息系统提升管理水平——财政部会计司解读《企业内部控制应用指引第18号——信息系统》一、信息系统内部控制概述《企业内部控制应用指引第18号———信息系统》中所指信息系统，是指企业利用计算机和通信技术，对内部控制进行集成、转化和提升所形成的信息化管理平台。信息系统内部控制的目标是促进企业有效实施内部控制，提高企业现代化管理水平，减少人为操纵因素；同时，增强信息系统的安全性、可靠性和合理性以及相关信息的保密性、完整性和可用性，为建立有效的信息与沟通机制提供支持保障。信息系统内部控制的主要对象是信息系统，由计算机硬件、软件、人员、信息流和运行规程等要素组成。现代企业的运营越来越依赖于信息系统。比如航空公司的网上订票系统、银行的资金实时结算系统、携程旅行网的客户服务系统等，没有信息系统的支撑，业务开展就举步维艰、难以为继，企业经营就很可能陷入瘫痪状态。还有一些新兴产业和新兴企业，其商业模式完全依赖信息系统，比如各种网络公司（新浪、网易、百度）、各种电子商务公司（比如阿里巴巴、卓越公司），没有信息系统，这些企业可能失去生存之基。同时应当看到，企业信息系统内部控制以及利用信息系统实施内部控制也面临诸多风险，至少应当关注下列方面：一是信息系统缺乏或规划不合理，可能造成信息孤岛或重复建设，导致企业经营管理效率低下；二是系统开发不符合内部控制要求，授权管理不当，可能导致无法利用信息技术实施有效控制；三是系统运行维护和安全措施不到位，可能导致信息泄漏或毁损，系统无法正常运行。鉴于信息系统在实施内部控制和现代化管理中具有十分独特而重要的作用，加之信息系统本身的复杂性和高风险特征，《企业内部控制应当指引第18号——信息系统》规定，企业负责人对信息系统建设工作负责。换言之，信息系统建设是“一把手”工程。只有企业负责人站在战略和全局的高度亲自组织领导信息系统建设工作，才能统一思想、提高认识、加强协调配合，从而推动信息系统建设在整合资源的前提下高效、协调推进。企业应当重视信息系统在内部控制中的作用，根据内部控制要求，结合组织架构、业务范围、地域分布、技术能力等因素，制定信息系统建设总体规划，加大投入力度，有序组织信息系统开发、运行与维护，优化管理流程，防范经营风险，全面提升企业现代化管理水平。二、信息系统的开发企业根据发展战略和业务需要进行信息系统建设，首先要确立系统建设目标，根据目标进行系统建设战略规划，再将规划细化为项目建设方案。企业开展信息系统建设，可以根据实际情况，采取自行开发、外购调试或业务外包等方式。选择外购调试或业务外包方式的，应当采用公开招标等形式择优选择供应商或开发单位。选择自行开发信息系统的，信息系统归口管理部门应当组织企业内部相关业务部门进行需求分析，合理配置人员，明确系统设计、编程、安装调试、验收、上线等全过程的管理要求。企业信息系统归口管理部门应当加强信息系统开发全过程的跟踪管理，增进开发单位与企业内部业务部门的日常沟通和协调，组织独立于开发单位的专业机构对开发完成的信息系统进行检查验收，并组织系统上线运行。（一）制定信息系统开发的战略规划信息系统开发的战略规划是信息化建设的起点，战略规划是以企业发展战略为依据制定的企业信息化建设的全局性、长期性规划。制定信息系统战略规划的主要风险是：第一，缺乏战略规划或规划不合理，可能造成信息孤岛或重复建设，导致企业经营管理效率低下。第二，没有将信息化与企业业务需求结合，降低了信息系统的应用价值。信息孤岛现象是不少企业信息系统建设中存在的普遍问题，根源在于这些企业往往忽视战略规划的重要性，缺乏整体观念和整合意识，常常陷于头痛医头，脚痛医脚，这就导致有的企业财务管理信息系统、销售管理信息系统、生产管理信息系统、人力资源管理系统、办公自动化系统等各自为政、孤立存在的现象，削弱了信息系统的协同效用，甚至引发系统冲突。主要控制措施：第一，企业必须制定信息系统开发的战略规划和中长期发展计划，并在每年制定经营计划的同时制定年度信息系统建设计划，促进经营管理活动与信息系统的协调统一。第二，企业在制定信息化战略过程中，要充分调动和发挥信息系统归口管理部门与业务部门的积极性，使各部门广泛参与，充分沟通，提高战略规划的科学性、前瞻性和适应性。第三，信息系统战略规划要与企业的组织架构、业务范围、地域分布、技术能力等相匹配，避免相互脱节。（二）选择适当的信息系统开发方式信息系统的开发建设是信息系统生命周期中技术难度最大的环节。在开发建设环节，要将企业的业务流程、内控措施、权限配置、预警指标、核算方法等固化到信息系统中，因此开发建设的好坏直接影响信息系统的成败。开发建设主要有自行开发、外购调试、业务外包等方式。各种开发方式有各自的优缺点和适用条件，企业应根据自身实际情况合理选择。1．自行开发自行开发是企业依托自身力量完成整个开发过程。其优点是开发人员熟悉企业情况，可以较好地满足本企业的需求，尤其是具有特殊性的业务需求。通过自行开发，还可以培养锻炼自己的开发队伍，便于后期的运行和维护。其缺点是开发周期较长、技术水平和规范程度较难保证，成功率相对较低。因此，自行开发方式的适用条件通常是企业自身技术力量雄厚，而且市场上没有能够满足企业需求的成熟的商品化软件和解决方案。比如百度的搜索引擎系统就偏重于自行开发。2．外购调试外购调式的基本做法是企业购买成熟的商品化软件，通过参数配置和二次开发满足企业需求。其优点是开发建设周期短；成功率较高；成熟的商品化软件质量稳定，可靠性高；专业的软件提供商实施经验丰富。其缺点是难以满足企业的特殊需求；系统的后期升级进度受制于商品化软件供应商产品更新换代的速度，企业自主权不强，较为被动。外购调试方式的适用条件通常是企业的特殊需求较少，市场上已有成熟的商品化软件和系统实施方案。比如大部分企业的财务管理系统、ERP系统、人力资源管理系统等多采用外购调试方式。3．业务外包信息系统的业务外包是指委托其他单位开发信息系统，基本做法是企业将信息系统开发项目外包出去，由专业公司或科研机构负责开发、安装实施，由企业直接使用。其优点是企业可以充分利用专业公司的专业优势，量体裁衣，构建全面、高效满足企业需求的个性化系统；企业不必培养、维持庞大的开发队伍，相应节约了人力资源成本。其缺点是沟通成本高，系统开发方难以深刻理解企业需求，可能导致开发出的信息系统与企业的期望产生较大偏差；同时，由于外包信息系统与系统开发方的专业技能、职业道德和敬业精神存在密切关系，也要求企业必须加大对外包项目的监督力度。业务外包方式的适用条件通常是市场上没有能够满足企业需求的成熟的商品化软件和解决方案，企业自身技术力量薄弱或出于成本效益原则考虑不愿意维持庞大的开发队伍。（三）自行开发方式的关键控制点和主要控制措施虽然信息系统的开发方式有自行开发、外购调试、业务外包等多种方式，但基本流程大体相似，通常包含项目计划、需求分析、系统设计、编程和测试、上线等环节。1．项目计划环节战略规划通常将完整的信息系统分成若干子系统，并分阶段建设不同的子系统。比如，制造企业可以将信息系统划分为财务管理系统、人力资源管理系统、MRP系统（销售、采购、库存、生产）、计算机辅助设计和制造系统、客户关系系统、电子商务系统等若干子系统。项目就是指本阶段需要建设的相对独立的一个或多个子系统。项目计划通常包括项目范围说明、项目进度计划、项目质量计划、项目资源计划、项目沟通计划、风险对策计划、项目采购计划、需求变更控制、配置管理计划等内容。项目计划不是完全静止、一成不变的，在项目启动阶段，可以先制定一个较为原则的项目计划，确定项目主要内容和重大事项，然后根据项目的大小和性质以及项目进展情况进行调整、充实和完善。项目计划环节的主要风险是：信息系统建设缺乏项目计划或者计划不当，导致项目进度滞后、费用超支、质量低下。主要控制措施：第一，企业应当根据信息系统建设整体规划提出分阶段项目的建设方案，明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容，按照规定的权限和程序审批后实施。第二，企业可以采用标准的项目管理软件（比如OfficeProject）制定项目计划，并加以跟踪。在关键环节进行阶段性评审，以保证过程可控。第三，项目关键环节编制的文档应参照《GB8567－88计算机软件产品开发文件编制指南》等相关国家标准和行业标准进行，以提高项目计划编制水平。2．需求分析环节需求分析的目的是明确信息系统需要实现哪些功能。该项工作是系统分析人员和用户单位的管理人员、业务人员在深入调查的基础上，详细描述业务活动涉及的各项工作以及用户的各种需求，从而建立未来目标系统的逻辑模型。这一环节的主要风险是：第一，需求本身不合理，对信息系统提出的功能、性能、安全性等方面的要求不符合业务处理和控制的需要。第二，技术上不可行、经济上成本效益倒挂，或与国家有关法规制度存在冲突。第三，需求文档表述不准确、不完整，未能真实全面地表达企业需求，存在表述缺失、表述不一致甚至表述错误等问题。主要控制措施：第一，信息系统归口管理部门应当组织企业内部各有关部门提出开发需求，加强系统分析人员和有关部门的管理人员、业务人员的交流，经综合分析提炼后形成合理的需求。第二，编制表述清晰、表达准确的需求文档。需求文档是业务人员和技术人员共同理解信息系统的桥梁，必须准确表述系统建设的目标、功能和要求。企业应当采用标准建模语言(例如UML)，综合运用多种建模工具和表现手段，参照《GB8567－88计算机软件产品开发文件编制指南》等相关标准，提高系统需求说明书的编写质量。第三，企业应当建立健全需求评审和需求变更控制流程。依据需求文档进行设计（含需求变更设计）前，应当评审其可行性，由需求提出人和编制人签字确认，并经业务部门与信息系统归口管理部门负责人审批。3．系统设计环节系统设计是根据系统需求分析阶段所确定的目标系统逻辑模型，设计出一个能在企业特定的计算机和网络环境中实现的方案，即建立信息系统的物理模型。系统设计包括总体设计和详细设计。总体设计的主要任务是：第一，设计系统的模块结构，合理划分子系统边界和接口。第二，选择系统实现的技术路线，确定系统的技术架构，明确系统重要组件的内容和行为特征，以及组件之间、组件与环境之间的接口关系。第三，数据库设计，包括主要的数据库表结构设计、存储设计、数据权限和加密设计等。第四，设计系统的网络拓扑结构、系统部署方式等。详细设计的主要任务包括：程序说明书编制、数据编码规范设计、输入输出界面设计等内容。系统设计环节的主要风险是：第一，设计方案不能完全满足用户需求，不能实现需求文档规定的目标。第二，设计方案未能有效控制建设开发成本，不能保证建设质量和进度。第三，设计方案不全面，导致后续变更频繁。第四，设计方案没有考虑信息系统建成后对企业内部控制的影响，导致系统运行后衍生新的风险。主要控制措施：第一，系统设计负责部门应当就总体设计方案与业务部门进行沟通和讨论，说明方案对用户需求的覆盖情况；存在备选方案的，应当详细说明各方案在成本、建设时间和用户需求响应上的差异；信息系统归口管理部门和业务部门应当对选定的设计方案予以书面确认。第二，企业应参照《GB8567－88计算机软件产品开发文件编制指南》等相关国家标准和行业标准，提高系统设计说明书的编写质量。第三，企业应建立设计评审制度和设计变更控制流程。第四，在系统设计时应当充分考虑信息系统建成后的控制环境，将生产经营管理业务流程、关键控制点和处理规程嵌入系统程序，实现手工环境下难以实现的控制功能，例如：对于某一财务软件，当输入支出凭证时，可以让计算机自动检查银行存款余额，防止透支。第五，应充分考虑信息系统环境下的新的控制风险，比如，要通过信息系统中的权限管理功能控制用户的操作权限，避免将不相容职务的处理权限授予同一用户。第六，应当针对不同的数据输入方式，强化对进入系统数据的检查和校验功能。比如，凭证的自动平衡校对。第七，系统设计时应当考虑在信息系统中设置操作日志功能，确保操作的可审计性。对异常的或者违背内部控制要求的交易和数据，应当设计由系统自动报告并设置