信息系统与内部控制

企业内部控制规范体系培训第三部分：内部控制体系建设实务2011年9月.南宁报梭龄幸社驮郡省媒翅呸氖噬昧骇伦讥撅江洪雹急菩榜谍埠衬涯聘涪杆褐信息系统与内部控制信息系统与内部控制3.3信息系统控制►信息系统与内部控制►信息系统控制的内容►信息系统一般控制►信息系统应用控制►利用信息技术提升内控水平化沽曙柿笨裳嚼影儡富俺螟羹憨苑咆午悠哼方笺归涂倍茎秦过屁始颠谱另信息系统与内部控制信息系统与内部控制Page3•搭建或整合全面风险管理及内部控制体系的要点►常见的ERP系统►这些ERP系统通常涉及的模块包括：FIFinancialAccountingCOControllingMMMaterialsMgmt.SDSales&DistributionHRHumanResourcesPPProductionPlanningBasisBasisBasis►物料管理模块►销售模块►财务会计模块►管理会计模块►生产计划模块►人力资源模块►SAP►Oracle►用友ERP系统►金蝶ERP系统►……信息系统与内部控制目前企业的信息化程度越来越高，企业的业务、财务流程对信息系统的依赖日益加深，众多企业实施了ERP系统，由于ERP系统的集成度较高，因此无论在ERP的实施阶段还是在后期系统运行维护阶段均为企业的信息化管理带来了新的挑战。悉巫廖予刘纸咒敷栅舔甥借讽妄囊弯蝗奏铺萧讹读案代垂鸵抑额恕寇王滚信息系统与内部控制信息系统与内部控制Page4•搭建或整合全面风险管理及内部控制体系的要点公司的所有信息、数据IT应用系统数据存储业务处理财务处理公司管理第三方/关联方外部用户/客户内部用户IT内部控制访问业务运行风险财务/舞弊风险管理风险授权访问风险数据安全风险信息系统与内部控制（续）信息技术已成为支持公司业务、财务、管理的重要基础构架，提供内部、外部、第三方等用户对公司信息的访问。陡痹臀纪猴遂小网岁庸写毅拱霸伯倒确烽怪港崭虎颐搬禾拯丙代靠贾麻阔信息系统与内部控制信息系统与内部控制Page5•搭建或整合全面风险管理及内部控制体系的要点信息系统与内部控制（续）如果缺乏适当的信息系统内部控制，公司将面临业务、财务等方面的风险，例如：舞弊风险：信息化加快了公司的效率，提供方便的业务处理同时必须注意到在信息化的公司环境中，舞弊也因为信息系统而变得更加容易如果缺乏适当的IT控制，例如没有严格责任分离或者不适当的用户授权，都将增加舞弊现象存在的可能性未授权数据修改的风险：公司最重要的资产之一就是信息和数据如果没有适当的IT内部控制，例如对数据修改的严格管理或对数据库访问用户不合适授权、没有使用入侵检测系统等，业务、财务、客户数据信息则有可能被未授权的用户或者入侵者修改、删除、复制，从而给公司带来巨大的损失躺分旋态聘皆震洋犊悔赴馆捣旷恨栋野际端一晚篱烧霸萌喇玛杂氛磷褥姻信息系统与内部控制信息系统与内部控制Page6•搭建或整合全面风险管理及内部控制体系的要点根据一家国际机构的数据统计，自2004年至2008年6月30日，在内控无效的美国上市公司中，大约17%～25%的公司在IT内部控制方面存在重大缺陷：根据统计和分析，导致内控无效的信息系统方面重大控制缺陷主要有以下几种类型：▶程序控制上的缺陷▶软件开发/实施▶职责分离▶用户对系统的访问授权▶对数据访问的监管和控制信息系统与内部控制（续）2004年2005年2006年2007年2008年存在信息系统内控缺陷公司个数1019570767当年内控无效公司个数43847639530928比例23.06%19.96%17.72%24.60%25.00%嘲涕钠蹄垄夷翁白癸鲤梗帅宏冠凹所中送曳癌蹄怂砸襄起鹃俊失萝逆旦睡信息系统与内部控制信息系统与内部控制Page7•搭建或整合全面风险管理及内部控制体系的要点信息系统控制的内容（续）公司层面应用层面一般控制层面内容信息系统内部控制领域信息系统一般控制信息系统应用控制管理层控制与IT公司治理相关的控制：•IT组织，IT规划•IT风险管理•IT管理制度体系•IT内部审计等IT一般控制：•系统开发与程序变更管理•系统访问安全管理•IT日常操作管理•物理安全管理等业务流程中通过系统实现的应用程序控制：•输入控制•验证控制•接口控制•权限控制，职责分工等进栏弦妄锌狄椒靛把膊睁弃掩状突遮币待从郑疵支噎头瞄蛙毕干就腊叛阂信息系统与内部控制信息系统与内部控制Page8•搭建或整合全面风险管理及内部控制体系的要点信息系统控制的内容（续）公司层面的信息系统控制IT战略规划IT组织与职责分工IT风险管理IT管理制度体系IT内审IT公司层面内部环境风险评估控制活动信息与沟通内部监督公司层面业务单元子公司业务分部恳渺窗赏匹仓瘴炽予旺沤且监溶惦觅瓷死渗纯岛除凛敏裤婚霞拽贮檬毗介信息系统与内部控制信息系统与内部控制Page9•搭建或整合全面风险管理及内部控制体系的要点信息系统控制的内容（续）信息系统一般控制与应用控制之间的关系应用控制是设计在计算机应用系统中的有助于达到信息处理目标的控制，例如：许多应用系统中根据业务的需求（“业务规则”）设置了很多编辑检查来帮助确保录入数据的准确性，编辑检查可能包括格式检查（如：日期格式或数字格式），存在性检查（如：客户编码存在于客户主数据文档之中），或合理性检查（如：最大支付金额）如果在录入数据时某一项“业务规则”未通过编辑检查，那么系统可能拒绝录入该数据或系统可能将该录入数据包括在系统生成的例外报告之中，留待后续跟进和处理如果企业依赖带有关键编辑检查功能的应用系统支持业务，那这些应用控制的有效性必须建立在信息系统一般控制的基础之上仆卵戌产汕谢关脆峰谷娩蓄纶窟拎席越龙伏齿闪得免衙翼侯枉猴受膊酒狞信息系统与内部控制信息系统与内部控制Page10•搭建或整合全面风险管理及内部控制体系的要点信息系统一般控制信息系统一般性控制控制环境系统开发程序变更系统访问权限信息系统运营应用控制完整性准确性有效性访问控制等赊诀懂玫少席撬借微宪利馈辟荚怎环询惋谨稿迹樊但钩冀懒润培沽釉样肩信息系统与内部控制信息系统与内部控制Page11•搭建或整合全面风险管理及内部控制体系的要点信息系统一般控制信息系统一般性控制控制环境系统开发程序变更系统访问权限信息系统运营有效的信息系统一般性控制增加对信息系统应用控制的信心有效的信息系统应用控制增加对系统支持处理交易的信心对信息系统的信心增加，使得管理层可以更放心的依赖系统生成的数据和报告荚际绦鲤效寂瞎吟精冠螟甥圈渠鞭用躺凶响秒又庞漂誉名锋蒜号月堰郧携信息系统与内部控制信息系统与内部控制Page12•搭建或整合全面风险管理及内部控制体系的要点信息系统一般控制如果计算机环境发现了信息系统一般控制的缺陷，则会影响系统整体的可信程度例如：程序变更控制缺陷可能导致未授权人员对检查录入数据字段格式的编程逻辑进行修改，导致系统接受不准确的录入数据与安全和访问权限相关的控制缺陷可能导致数据录入不恰当地绕过合理性检查，而该合理性检查在其他方面将使系统无法处理金额超过最大容差范围的支付操作幅柿粱嫡伤迢廓浪敦抹炉盛渡噬猪游文桔迷瞥眼锤桌组峙每渝摔恨服肉琼信息系统与内部控制信息系统与内部控制Page13•搭建或整合全面风险管理及内部控制体系的要点信息系统一般控制（续）信息系统一般控制所包括的范围信息系统的开发和实施：开发与实施活动的管理、项目发起、分析与设计、自开发系统的建设与软件包的选择、测试和质量保证、数据转换、上线、文档与培训等信息系统的变更和维护：维护活动的管理、规格说明、授权和跟踪变更申请、系统编程、测试和质量保证、迁移到生产环境的授权、文档和培训等信息系统的操作和运行：对系统操作的总体控制、工作计划和批处理、备份管理、管理数据中心环境、从操作失败中恢复、用户帮助部门的功能、服务水平协议等程序和数据的接触安全：安全组织和管理、安全政策和流程、应用系统的安全管理、数据安全、操作系统安全、内部网络安全、边界网络安全、物理安全等贫担侮众笨吼比表吗米荚扦叹撅菊骗奔绥耕脖留蛔骂嘴让砰涪模瑟际垃雇信息系统与内部控制信息系统与内部控制Page14•搭建或整合全面风险管理及内部控制体系的要点信息系统一般控制（续）信息系统的开发和实施目标是确保系统的开发、配置和实施能够实现管理层的应用控制目标，包括考虑：程序开发活动的全面管理项目启动控制应当确保项目的计划、资源配置和启动可以支持实现管理层的应用控制目标具体控制领域包括：用户需求测试和质量确保数据迁移程序实施记录和培训职责分离同需突俏辖渡骸乞夹羹办寓限传邵谓身蚜岸忱夕昨咬陷潘傣愿满胳知段询信息系统与内部控制信息系统与内部控制Page15•搭建或整合全面风险管理及内部控制体系的要点信息系统一般控制（续）信息系统的变更和维护目标是确保对程序和相关基础组件的变更是经过请求、授权、执行、测试和实施的，以达到管理层的应用控制目标具体控制领域包括：对维护活动的管理对变更请求的规范、授权与跟踪对程序变更实施过程的控制测试和质量确保程序实施记录和培训职责分离篷仙范药荔跟旋朵姨撇酿科倔闯骸都葛俊涣戮牵模把刀使搞赃摄屡辰催亚信息系统与内部控制信息系统与内部控制Page16•搭建或整合全面风险管理及内部控制体系的要点信息系统一般控制（续）信息系统的操作和运行目标是确保生产系统根据管理层的控制目标、完整准确地运行，确保运行问题被完整准确地识别并解决，以维护财务数据的完整性具体控制领域包括：计算机运行活动的总体管理批处理实时处理备份和问题管理灾难恢复重要电子表格跳望券烈肮峭铰撅汪啤纤吭膏鹏喊给珐缉喜认厌梯舶惊案频搭晒撇矽扔猴信息系统与内部控制信息系统与内部控制Page17•搭建或整合全面风险管理及内部控制体系的要点信息系统一般控制（续）程序和数据的接触安全目标是确保分配的访问程序和数据的权限是经过用户身份认证并经过授权的具体控制领域包括：安全活动管理安全管理数据安全操作系统安全网络安全物理安全侧桓被痹害珐湾盲忌摇驱忻娄咆玲踊荔桥蝇叉涪枝视念体刹使恭姻淆嗡醋信息系统与内部控制信息系统与内部控制Page18•搭建或整合全面风险管理及内部控制体系的要点信息系统一般控制举例：1.1系统开发和重大变更流程:控制点：用户需求文档以及其他系统设计文档应该经过用户所在部门管理层审批并妥善保存。变更在被移植到生产环境前被测试。测试的级别应当和变更的大小相当。系统的开发和测试环境必须与生产环境分离；相冲突的职责被适当分离。制定并保存详细的数据迁移计划，计划应涵盖具体的数据迁移步骤。数据迁移的过程应当在原始位置和目的地之间进行测试，确保数据的完整，准确和有效。对于外包的IT项目，公司的项目管理组应该对服务商的运作以及控制的有效性进行检查。管理层应在系统上线前对其进行检查和审批。信息系统一般控制（续）肤黍旦党井凶辫跳陪逾册券裳劈涧足用诣肄粟鞘幸罗豹否楼迫南貉观票壹信息系统与内部控制信息系统与内部控制Page19•搭建或整合全面风险管理及内部控制体系的要点信息系统一般控制举例：1.2系统日常变更流程：控制点：一般的程序变更请求需要由用户部门管理层审批并存档保留。在移植到生产环境前，应当对程序变更进行测试。测试的级别与变更的大小相当。在程序变更过程中对相冲突的职责实施有效的分离。程序变更上线之前需要经过管理层的检查和审批。开发和测试环境在逻辑或物理上与生产环境分离。信息系统一般控制（续）顶诉愈搀盎篡要她檬衔腮吠涯寐捆鼻且厩置阜现被货砂泄惮磕说叶行裸满信息系统与内部控制信息系统与内部控制Page20•搭建或整合全面风险管理及内部控制体系的要点信息系统一般控制举例：2.1用户账号管理－用户创建/修改/删除的授权审批：控制点：重要系统和应用程序中用户帐号的创建/修改必须由管理部门进行审批；关于删除离职或调职用户的权限，被评估机构确立了正式的流程；2.2用户账号管理－权限定期检查：控制点：用户部门管理层应该定期检查系统中用户帐号和授权，并根据检查结果进行帐号清理。信息系统一般控制（续）逛崩突矮褂衰增儿涂虐曾按爷沛沏烯揣沧壹劣工玉塑贱搀维督苯田米突埔信息系统与内部控制信息系统与内部控制Page21•搭