（高职）19.4第十九章信息系统内控方法及措施（石会颖校对）ppt课件.ppt

19.4第十九章信息系统内控方法及措施（石会颖校对）企业内部控制INTERNAL CONTROL OF THE ENTERPRISE企业内部控制应用指引18号信息系统信息系统内部控制方法及措施 马琳英副教授信息系统内部控制的方法信息系统一般控制的措施信息系统应用控制的措施提纲企业内部控制应用指引第18号-信息系统信息系统内部控制方法及措施授权控制内部监督实物保管控制不相容职务分离控制信息系统内部控制的方法 方法归口管理控制n 对信息系统开发全过程跟踪管理。 n 组织企业内部相关业务部门进行需求分析。 n 组织独立于开发单位的专业机构对开发完成的信息系统检查验收。 n 组织信息系统上线运行。信息系统归口管理部门的主要职责n 明确系统设计、编程、安装调试、验收、上线等全过程的管理要求。n 增进开发单位与企业内部业务部门的日常沟通和协调。n 企业成立专门的信息系统安全管理机构，具体实施工作由信息系统归口管理部门负责。信息系统内部控制的方法不相容职务分离控制信息系统不相容职务涉及的人员可以分为三类：系统开发建设人员、系统管理和维护人员、系统操作使用人员。系统开发建设人员与系统操作使用人员系统管理和维护人员与系统操作使用人员系统操作使用人员不同岗位-业务数据录入、数据检查、业务批准等信息系统内部控制的方法授权控制信息系统应用控制体现授权控制的方面-l后台操作修改和删除数据需经授权l不同授权用户在授权范围内运用信息系统进行业务处理l经授权用户才能得到相关输出信息信息系统自行开发方式下，需要按照规定的权限和程序审批后实施的文件-l信息系统开发的战略规划和中长期发展规划 l自行开发方式的项目计划及项目建设方案 l系统需求说明书l信息系统设计方案 l信息系统测试制度，规范测试流程l信息系统上线计划系统变更方面-信息系统内部控制的方法信息系统数据定期备份：数据正本与备份存放于不同地点，综合采用磁盘、磁带、光盘等备份存储介质。实物保管控制信息系统安全管理方面，建立专门的电子设备管控制度，对于关键信息设备，未经授权，不得接触。信息系统内部控制的方法内部监督体现在信息系统应用控制中-n进入系统数据的检查和校验n后台操作的监控n信息系统定期检测维护n输出资料分发控制信息系统内部控制的方法l制定信息系统开发战略规划和中长期发展计划，每年制定经营计划同时制定年度信息系统建设计划，促进经营管理活动与信息系统的协调统一。l充分调动信息系统归口管理部门与业务部门的积极性，提高战略规划的科学性、前瞻性和适应性。信息系统一般控制的措施l信息系统战略规划要与企业组织架构、业务范围、地域分布、技术能力等相匹配，避免相互脱节。系统规划阶段信息系统开发的战略规划管控措施提出分阶段项目建设方案，明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容，按照规定的权限和程序审批后实施采用标准的项目管理软件制定项目计划，并加以跟踪。在关键环节进行阶段性评审，以保证过程可控项目关键环节编制的文档应参照相关国家标准和行业标准进行系统开发阶段信息系统自行开发的管控措施项目计划 环节信息系统一般控制的措施编制表述清晰、表达准确的需求文档。需求分析 环节信息系统归口管理部门应当组织企业内部各有关部门提出开发需求，加强系统分析人员和有关部门人员交流，综合分析提炼后形成合理需求。建立健全需求评审和需求变更控制流程。信息系统一般控制的措施l系统设计负责部门就总体设计方案与业务部门进行沟通和讨论，说明方案对用户需求的覆盖情况；信息系统归口管理部门和业务部门应当对选定的设计方案予以书面确认。l参照GB856788计算机软件产品开发文件编制指南等相关国家标准和行业标准，提高系统设计说明书的编写质量。l建立设计评审制度和设计变更控制流程。系统设计 环节l系统设计时应充分考虑信息系统建成后的控制环境，将生产经营管理业务流程、关键控制点和处理规程嵌入系统程序，实现手工环境下难以实现的控制功能。l充分考虑信息系统环境下新的控制风险。l针对不同数据输入方式，强化对进入系统数据的检查和校验功能。l考虑在信息系统中设置操作日志功能，确保操作的可审计性。l预留必要后台操作通道，对于必需的后台操作，应当加强管理，保证对后台操作可监控性。信息系统一般控制的措施l使用版本控制软件系统，保证所有开发人员基于相同的组件环境开展项目工作，协调开发人员对程序的修改。l建立严格测试工作流程，提高最终用户在测试工作中的参与程度，改进测试用例的编写质量，加强测试分析。编程和测试 环节l建立并执行严格的代码复查评审制度。l建立并执行统一的编程规范，在标识符命名、程序注释等方面统一风格。信息系统一般控制的措施n系统上线涉及数据迁移的，应当制定详细的数据迁移计划，并对迁移结果进行测试。n制定信息系统上线计划，并经归口管理部门和用户部门审核批准。上线计划一般包括人员培训、数据准备、进度安排、应急预案等内容。n系统上线涉及新旧系统切换的，应当在上线计划中明确应急预案，保证新系统失效时能够顺利切换回旧系统。上线环节信息系统一般控制的措施严格外包服务审批及管控流程，原则上应采用公开招标等形式选择外包服务商，并实行集体决策审批。信息系统业务外包方式的管控措施选择外包服务商环节对外包服务商进行严格筛选。充分考虑服务商的市场信誉、资质条件、财务状况、服务能力、对本企业业务的熟悉程度、既往承包服务成功案例等因素。借助外包业界基准来判断外包服务商的综合实力。信息系统一般控制的措施u 合同中约定付款事宜时，选择分期付款方式，尾款应当在系统运行一段时间并经评估验收后再支付。u 在合同条款中明确要求外包服务商保持专业技术服务团队的稳定性。签订外包合同环节u 与外包服务商签约之前，应针对外包可能出现的各种风险损失，恰当拟定合同条款，对涉及的工作目标、合作范畴、责任划分、所有权归属、付款方式、违约赔偿及合约期限等问题做出详细说明，并由法律部门或法律顾问审查把关。u 开发过程中涉及商业秘密、敏感数据的，与外包服务商签订详细的“保密协定” 。信息系统一般控制的措施l 必要时，引入监理机制，降低外包服务风险。持续跟踪评价外包服务环节l 规范外包服务评价工作流程，明确相关部门的职责权限，建立外包服务质量考核评价指标体系，定期对外包服务商进行考评，公布服务周期的评估结果，对外包服务水平的跟踪评价。信息系统一般控制的措施选择软件产品和服务供应商时，不仅要评价其现有产品的功能、性能，还要考察其服务支持能力和后续产品的升级能力。信息系统外购调试方式的管控措施软件产品选型和供应商选择环节明确自身需求，对比分析市场上成熟软件产品，合理选择软件产品的模块组合和版本。进行软件产品选型时应广泛听取行业专家的意见。信息系统一般控制的措施选择服务提供商时，不仅要考核其对软件产品的熟悉、理解程度，也要考核其是否深刻理解企业所处行业的特点、是否理解企业个性化需求、是否有过相同或相近的成功案例。服务供应商选择环节信息系统一般控制的措施系统运行和维护阶段日常维护环节l制定信息系统使用操作程序、信息管理制度以及各模块子系统的具体操作规范，及时跟踪、发现和解决系统运行中存在的问题，确保信息系统持续稳定运行。l做好系统运行记录，尤其是对于系统运行不正常或无法运行的情况。l 重视系统运行的日常维护。l配备专业人员负责处理信息系统运行中突发事件，必要时会同系统开发人员或软硬件供应商共同解决。信息系统一般控制的措施u 建立标准流程来实施和记录系统变更，保证变更过程得到适当的授权与管理层的批准，并对变更进行测试。u 系统变更程序需要遵循与新系统开发项目同样的验证和测试程序，必要时进行额外测试。u 加强紧急变更的控制管理。u 加强对将变更移植到生产环境中的控制管理。系统变更环节信息系统一般控制的措施l按照国家相关法律法规以及信息安全技术标准，制定信息系统安全实施细则。l有效利用IT技术手段，对硬件配置调整、软件参数修改严加控制。l委托专业机构进行系统运行与维护管理的，应严格审查其资质条件等，并与其签订正式的服务合同和保密协议。安全管理环节l建立信息系统相关资产的管理制度，保证电子设备的安全。l成立专门的信息系统安全管理机构，由企业主要领导负总责，对企业信息安全作出总体规划和全方位严格管理，具体实施工作可由企业的信息主管部门负责。信息系统一般控制的措施l建立信息系统开发、运行与维护等环节的岗位责任制度和不相容职务分离制度，防范利用计算机舞弊和犯罪。l积极开展信息系统风险评估工作，定期对信息系统进行安全评估，及时发现系统安全问题并加以整改。安全管理环节l采取安装安全软件等措施防范信息系统受到病毒等恶意软件的感染和破坏。l建立系统数据定期备份制度，明确备份范围、频度、方法、责任人、存放地点、有效性检查等内容。信息系统一般控制的措施2.严格按照国家有关法规制度和对电子档案的管理规定，妥善保管相关信息档案。系统终结阶段1.做好善后工作，不管因何种情况导致系统停止运行，都应将废弃系统中有价值或者涉密的信息进行销毁、转移。信息系统终结的管控措施信息系统一般控制的措施信息系统应用控制的措施输入控制环节1.针对不同数据输入方式，考虑对进入系统数据的检查和校验功能，确保数据准确性、有效性和完整性。2.尽量避免通过后台操作修改和删除数据。3.对经常性的数据删除和修改，在系统功能中考虑，并通过审批、复核等程序加以控制。4.重要信息系统设置操作日志功能，确保操作的可审计性。5.系统中设计自动报告功能，监控异常或违背内控要求的数据。强化输出资料分发控制，确保资料只能分发给具有相应权限的用户。处理控制环节使用数据勾稽关系校验、数据指纹，保证有关数据正确性。综合采用功能权限和数据权限确保经授权用户才能得到相关输出信息。信息系统应用控制的措施主要风险管控措施对信息系统定期检测维护，及时发现错误并修正。输出控制环节建立健全用户管理制度。系统自动记载各个用户操作日志，详细记录各用户操作，留下审计线索。信息系统应用控制的措施谢 谢 聆 听 ！ 再见