第五章信息与沟通

案例引入济南铁路局：信息混乱车毁人亡•2008年4月28日凌晨4时48分，山东胶济铁路王村段，限速80公里/时处，时速达131公里的北京—青岛T195次列车，第9-17号车厢突然脱轨，侵入了并行的另一条铁轨。和正常运行的对开5034次列车相撞，造成71人死亡，416人受伤。•现已证实，事故线路是一条呈“S”型临时线路，而超速被认为是这起事故的直接原因。但超速的背后是信息传递混乱。行经此段的列车限速一月内竟数次更改，而且令不畅通，规章制度形同虚设。•事发前几天济南铁路局曾发文限速，但又迅速取消限速。潜伏巨大危险的临时铁路，儿戏般的调度管理，层层的疏忽与失职，最终导致了中国铁路史上最重大的惨祸之一。•事后国家安监总局局长王君说：这次事故充分暴露了一些铁路营运企业安全生产认识不到位、领导不到位、责任不到位、隐患排查不到位和监督管理不到位的严重问题。反映了基层安全意识薄弱，信息滞漏失误，现场管理存在严重漏洞，导致这次风险事故的发生。假如在事故产生前的任一信息，按规定能够及时正确地传达到客车司机，司机采取及时有效措施，就可避免该项风险事故的产生。•可见，信息滞漏不畅是造成事故的主要原因。操作人员责任不到位是造成事故的源头。领导风险意志薄弱是导致风险产生的根源。•本章概要第一节信息控制第二节沟通第三节coso新框架中信息与沟通的原则与要素第五章信息与沟通第一节信息控制企业内部控制学（第二版）89一、什么是信息系统(一)信息的定义(二)信息系统的定义二、信息系统控制标准企业内部控制学（第二版）90表5—1COBIT的4个控制域的34个处理过程规划与组织获取与实施服务与支持监控与评估定义IT战略规划确定自动化的解决方案定义并管理服务水平过程监控定义信息体系结构获取并维护应用程序软件管理第三方的服务评价内部控制的适当性确定技术方向获取并维护技术基础设施管理性能与容量获取独立保证定义IT组织与关系程序开发与维护确保服务的连续性提供独立的审计管理IT投资程序安装与鉴定确保系统安全传达管理目标和方向更新管理确定并分配成本人力资源管理教育并培训客户确保与外部需求一致信息技术咨询风险评估配置管理项目管理处理问题和突发事件质量管理数据管理设施管理运营管理企业内部控制学（第二版）91三、内部控制信息披露规范1.公司年度报告中的监事会报告以及管理层陈述2.招股说明书中的管理层对内部控制的自我评估3.注册会计师对企业内部控制的评估报告及其结论性意见4.上市公司所发布的单独的内部控制自我评估报告第二节沟通企业内部控制学（第二版）92一、内部沟通二、外部沟通1.与投资者和债权人的沟通2.与客户、供应商的沟通3.与监管机构的沟通4.与中介机构的沟通第三节coso新框架中信息与沟通的原则与要素原则要素（关注点）1企业获取或生成和使用相关的高质量信息，以支持内部控制其他要素发挥效用1识别信息需求2获取内部、外部数据来源3将相关数据处理成信息4在处理过程中保持信息质量5考虑成本效益2在企业内部沟通的内部控制信息，必须能够支持内部控制的其他要素发挥效用6沟通内部控制信息7与董事会沟通8提供彼此独立的沟通渠道9选择沟通方式3企业就影响内部控制其他要素发挥效用的事项与外部方进行沟通10与外部各方沟通11实现入站通讯12与董事会沟通13提供彼此独立的沟通渠道14选择沟通方式一、信息的类型与来源•信息是指信息系统辨识、衡量、处理及报告的标的，来源于企业内部或外部，包括获取的行业、经济、监控，以及内部生产经营管理、财务等方面的信息。•企业应准确识别、全面收集、不断完善获取信息的机制，随时掌握市场、竞争对手、行业变化等动态，并及时、有效地传达给相关负责人员，使其有足够的信息处理经营业务，对变化迅速地作出反映。•会计信息•生产经营信息•资本运作信息•人员变动信息•销售信息•技术创新信息•综合管理信息•财务分析•生产计划•营销方案•会议总结•人力资源计划•经济形势信息•政策法规信息•行业动态信息•监管要求信息•客户信用信息•科技进步信息•社会文化信息非正式•客观主观内部外部正式信息来源•内部控制活动所需要的信息来自于企业内部及外部的、与企业经营管理相关的财务及非财务信息。也即，内部控制中的信息搜集活动涵盖了企业内部及外部，主观及客观，正式与非正式，并影响企业内部环境、风险评估、控制活动及内部监督的信息。•因此，确定信息的搜集内容时，应在内部控制覆盖的信息范围内，结合上文信息结构中对信息需求分析来进行。即在与内控相关的信息范围内，根据不同的信息需求搜集不同的信息。二、信息的搜集与传递（一）内部信息的搜集与传递通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道，获取内部信息。1.企业价值观及经营战略内部信息的搜集与传递•（1）企业价值观、道德和行为期望。•（2）公司的战略性经营目标。•（3）财务政策及程序。•（4）人力资源政策。2.其他内部信息的搜集与传递（1）财务信息。（2）经营信息。（3）规章制度信息。（4）综合信息。（5）员工提供的信息。（6）信息系统产生的信息。（二）外部信息的搜集与传递根据基本规范第三十九条的规定，外部信息的搜集渠道主要有行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等。搜集方式：（1）调查（2）网络查询（3）咨询（4）交换和接收（5）采访三、对信息技术的利用•《企业内部控制基本规范》第四十一条指出企业应当利用信息技术促进信息的集成与共享，充分发挥信息技术在信息与沟通中的作用。•企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全稳定运行。．随着企业信息集成与共享的实现，企业价值链中各环节的资源能够得到优化利用，而与之对应的是，信息技术对内部控制也将产生重大影响，企业的内部控制系统必将随着信息技术的更新而改变。•在这之中，内部控制系统的变化主要体现为内部控制模式、手段和形式、内容等的变化。其中内部控制模式的变化主要体现在由固定控制向动态控制转变上。一、信息系统•信息逐渐被人们当作一种战略资源，企业内部各部门之间以及企业之间都会发生大规模的信息交换，不同部门或不同企业间的信息需要协同，信息系统的重要性日益增加。随着整个社会信息化进程的加快，企业的日常经营管理活动越来越离不开信息系统的支持。•完善的信息系统是企业建立有效的内部控制体系的前提。2010-3-28不同机构的内控相关指引对信息系统的规定《上海证券交易所上市公司内部控制指引》对信息系统管理制度包括的内容进行了明确：1．信息处理部门与使用部门权责的划分；2．信息处理部门的功能及职责划分；3．系统开发及程序修改的控制；4．程序及资料的存取、数据处理的控制；5．档案、设备、信息的安全控制；6．在本所网站或公司网站上进行公开信息披露活动的控制。《深圳证券交易所上市公司内部控制指引》没有明确提出要求，但也有所涉及。《中央企业全面风险管理指引》提出了“风险管理信息系统”的概念，要求企业应将信息技术应用于风险管理的各项工作，建立涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统，包括信息的采集、存储、加工、分析、测试、传递、报告、披露等。《商业银行内部控制指引》第二十三条商业银行应当实现业务操作和管理的电子化，促进各项业务的电子数据处理系统的整合，做到业务数据的集中处理。第二十四条商业银行应当实现经营管理的信息化，建立贯穿各级机构、覆盖各个业务领域的数据库和管理信息系统，做到及时、准碗提供经营管理所需要的各种数据，并及时、真实、准确地向中国银监会及其派出机构报送监管报表资料和对外披露信息。第二十五条商业银行应当建立有效的信息交流和反馈机制，确保董事会、监事会、高级管理层及时了解本行的经营和风险状况，确保每一项信息均能够传递给相关的员工，各个部门和员工的有关信息均能够顺畅反馈。•1、信息系统的定义按照《企业内部控制应用指引第18号——信息系统》的规定，信息系统是指企业利用计算机和通信技术，对内部控制进行集成、转化和提升所形成的信息化管理平台。信息系统广义来说，信息系统（Information System）是指能够完成对信息收集、组织、存贮、加工、传递和控制等职能的系统，其目的是为一个组织机构提供信息服务以支持管理决策活动。从狭义的角度来看，信息系统可以理解为计算机系统，是基于计算机技术、通信技术和软件技术，且融合了各种现代管理理论、现代管理方法，多级管理人员为一体，对所有形态（包括原始数据、已分析的数据、知识和专家经验）和所有形式（文字、视频和声音）的信息进行收集、组织、存贮、处理和显示，最终为某个组织整体的管理与决策服务的一个人机结合的信息处理系统。•信息系统内部控制的目标是促进企业有效实施内部控制，提高企业现代化管理水平，减少人为操纵因素；同时，增强信息系统的安全性、可靠性和合理性以及相关信息的保密性、完整性和可用性，为建立有效的信息与沟通机制提供支持保障。•信息系统内部控制的主要对象是信息系统，由计算机硬件、软件、人员、信息流和运行规程等要素组成。•制造企业可以将信息系统划分为财务管理系统、人力资源管理系统、MRP系统（销售、采购、库存、生产）、计算机辅助设计和制造系统、客户关系系统、电子商务系统等若干子系统。《企业内部控制应当指引第18号——信息系统》规定，企业负责人对信息系统建设工作负责。换言之，信息系统建设是“一把手”工程。•2、信息系统的生命周期（一）系统规划期（二）系统开发期（三）系统运行与维护期系统规划系统分析系统设计系统实施系统运行维护系统规划报告可行性项目建议书系统分析报告系统设计报告系统说明书和使用说明书规划人员分析员设计员程序员系统管理员信息系统规划期信息系统开发期信息系统运行与维护期二、信息系统的控制点1．开发与维护2．访问与变更3．数据输入与输出4．文件存储与保管5．网络安全(1)信息系统开发的主要风险点及其控制措施（一）信息系统开发的主要风险点1．信息系统规划时期的主要风险点2．信息系统自行开发方式的主要风险点成本过高、产品不能满足企业需要。3．其他开发方式的主要风险点业务外包：外包商选择不当，导致信息泄密、成本增加等外购：产品不适合企业，供应商的服务能力有限。（二）信息系统开发的关键控制措施1．系统规划2．自行开发加强信息系统的管控工作3．其他开发方式的主要控制措施选择信誉好的外包商或供应商(2)信息系统运营与维护的主要风险点及其控制措施（一）日常运行维护的关键控制点和主要控制措施•这一环节的主要风险是：第一，没有建立规范的信息系统日常运行管理规范，计算机软硬件的内在隐患易于爆发，可能导致企业信息系统出错。第二，没有执行例行检查，导致一些人为恶意攻击会长期隐藏在系统中，可能造成严重损失。第三，企业信息系统数据未能定期备份，可能导致损坏后无法恢复，从而造成重大损失。•主要控制措施：第一，企业应制定信息系统使用操作程序、信息管理制度以及各模块子系统的具体操作规范，及时跟踪、发现和解决系统运行中存在的问题，确保信息系统按照规定的程序、制度和操作规范持续稳定运行。第二，切实做好系统运行记录，尤其是对于系统运行不正常或无法运行的情况，应将异常现象、发生时间和可能的原因作出详细记录。第三，企业要重视系统运行的日常维护，在硬件方面，日常维护主要包括各种设备的保养与安全管理、故障的诊断与排除、易耗品的更换与安装等，这些工作应由专人负责。（二）系统变更的关键控制点和主要控制措施–系统变更主要包括硬件的升级扩容、软件的修改与升级等。–这一环节的主要风险是：第一，企业没有建立严格的变更申请、审批、执行、测试流程，导致系统随意变更。第二，系统变更后的效果达不到预期目标。–主要控制措施：保证变更过程得到适当的授权与管理层的批准，并对变更进行测试。信息系统操作人员不得擅自进行软件的删除、修改、升级、改变软件版本、改变软件系统的环境配置。(3)安全管理的关键控制点和主要控制措施•这一环节的主要风险是：第一，硬件设备分布物理