内部控制制度-信息系统[德勤2011年5月].pdf

内部控制培训信息系统德勤华永会计师事务所有限公司2011年05月议程议程21企业信息化带来的风险和挑战2解读企业内部控制应用指引信息系统3IT控制框架体系及案例分析-公司层面控制-应用控制-计算机整体控制4企业风险管理信息化之路3企业内部控制框架中来自信息系统控制的挑战企业内部控制框架中来自信息系统控制的挑战根据德勤的专业调查，在内部控制遵循项目的进展过程中，通常可能面临的各种各样的挑战如下所示：?是否有适当的审计委员会？?财务结账和报告流程及系统是否有效？*?是否有能力评价外包服务机构的内部控制？*?是否存在有效的内部审计部门？?在复杂的跨地域的经营环境中是否存在监控？?是否有足够的能力理解会计准则的要求？?管理者评价财务报告内部控制的经验是否足够？?语言沟通方面是否成为限制？?信息系统控制是否存在？*?应用系统控制的设计和测试是否可以有效进行？*?跨地域评价内部控制的复杂性。*?是否存在有效防范欺诈的程序？*注释：与信息系统控制相关的挑战如上图*号所示。可以看出，与财务报告相关的信息系统控制如果没有进行规范管理，将是引发重大缺陷的主要原因之一。组织管理层面组织管理层面运营策略风险识别组织沟通信息流程跨部门协调流程管理层面流程管理层面流程的效益与正确性效率及效果的衡量法律法规的遵行情形变更管理的有效性运营中断的损失持续改进/监督与应变人员管理层面人员管理层面企业文化与价值人为错误组织结构服务能力专业技能员工舞弊系统管理层面系统管理层面数据处理完整性系统优化系统有效性系统可用性输入/输出管理信息技术安全信息化所带来的新风险信息化所带来的新风险信息化所带来的新风险信息化所带来的新风险外包服务层面外包服务层面管理的有效性预期效益的确定执行能力与风险监督新业务流程处理层面新业务流程处理层面策略变更整合与再造新产品与服务意外事件管理外部事件应对信息化给企业带来的新风险信息化给企业带来的新风险4议程议程1企业信息化带来的风险和挑战2解读企业内部控制应用指引信息系统3IT控制框架体系及案例分析-公司层面控制-应用控制-计算机整体控制4企业风险管理信息化之路系统缺失规划不合理开发授权不当维护或安全措施不到位系统缺失规划不合理开发授权不当维护或安全措施不到位系统缺失规划不合理开发授权不当维护或安全措施不到位系统缺失规划不合理开发授权不当维护或安全措施不到位企业应当根据信息系统建设整体规划提出项目建设方案，明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容，按照规定的权限和程序审批后实施解读企业内部控制应用指引信息系统解读企业内部控制应用指引信息系统企业应当根据信息系统建设整体规划提出项目建设方案，明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容，按照规定的权限和程序审批后实施对于必需的后台操作，应当加强管理，建立规范的流程制度，对操作情况进行监控或者审计对于必需的后台操作，应当加强管理，建立规范的流程制度，对操作情况进行监控或者审计信息系统归口管理部门应当加强信息系统开发全过程的跟踪管理信息系统归口管理部门应当加强信息系统开发全过程的跟踪管理企业应当加强信息系统运行与维护的管理，制定信息系统工作程序、信息管理制度以及各模块子系统的具体操作规范企业应当加强信息系统运行与维护的管理，制定信息系统工作程序、信息管理制度以及各模块子系统的具体操作规范制定科学的上线计划和新旧系统转换方案，考虑应急预案，确保新旧系统顺利切换和平稳衔接制定科学的上线计划和新旧系统转换方案，考虑应急预案，确保新旧系统顺利切换和平稳衔接企业应当组织独立于开发单位的专业机构对开发完成的信息系统进行验收测试企业应当组织独立于开发单位的专业机构对开发完成的信息系统进行验收测试热点要求6议程议程1企业信息化带来的风险和挑战2解读企业内部控制应用指引信息系统3IT控制框架体系及案例分析-公司层面控制-应用控制-计算机整体控制4企业风险管理信息化之路IT控制框架IT控制框架应用控制(AC)应用控制(AC)业务流程中内嵌的信息系统相关控制，以保证信息处理的完整性，准确性，有效性和保密性等。应用系统控制的例子包括：授权 审批 职责分离 系统编辑控制 系统计算公司层面控制(CLC)公司层面控制(CLC)公司的价值观 企业所处监管环境 信息与沟通 风险评估 监控计算机整体控制操作系统/数据/网络/应用系统公司层面控制应用系统控制计算机整体控制(GCC)计算机整体控制(GCC)信息安全 信息系统日常运作 数据库实施与维护 应用系统实施与维护 系统软件支持 网络支持 公司层面管理：Company Level Control(CLC);应用系统控制：Application Control(AC);计算机整体控制：General Computer control(GCC);8IT控制框架公司层面控制IT控制框架公司层面控制9 公司层面IT控制（CLC）公司层面的IT控制一般体现在如下几个方面：IT控制框架公司层面控制IT控制框架公司层面控制公司层面控制(CLC)公司层面控制(CLC)公司的价值观 企业所处监管环境 信息与沟通 风险评估 监控企业应当将内部控制相关信息在企业内部各管理级次、责任单位、业务环节之间，以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。信息沟通过程中发现的问题，应当及时报告并加以解决。重要信息应当及时传递给董事会、监事会和经理层。企业内部控制基本规范第五章第四十条10企业应当建立反舞弊机制，坚持惩防并举、重在预防的原则，明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限，规范舞弊案件的举报、调查、处理、报告和补救程序。企业至少应当将下列情形作为反舞弊工作的重点：（一）未经授权或者采取其他不法方式侵占、挪用企业资产，牟取不当利益。（二）在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等。（三）董事、监事、经理及其他高级管理人员滥用职权。（四）相关机构或人员串通舞弊。企业内部控制基本规范第五章第四十二条公司层面控制案例分析公司层面控制案例分析案例一案例一内容内容主题美国HPL技术公司财务舞弊案事件简述HPL技术公司是美国硅谷的一家软件制造商，其董事会主席兼首席执行官Lapejian在公司上市第一年就采用各种手段虚构了80%的销售收入，其股票已被纳斯达克摘牌。在连续5个季度内，Lepejian伪造了数十张来自佳能公司和微电公司的订货单，对信息技术驾轻就熟的Lepejian轻易地从以往与上述两个客户的真实订货单中提取了相关负责人的签名，在电脑上将其粘贴至伪造的订货单上。之后，他又修改了HPL一台传真机的程序，将伪造的订货单以佳能公司和微电公司的名义发至HPL的另外一台传真机。Lepejian接着伪造发运凭证：他为每份假订单起草了一份电子邮件，并以佳能公司和微电公司的名义向HPL发出电子邮件，确认HPL发出的软件已经运抵佳能公司和微电公司。事件后果Lepejian自导自演的骗局最终被戳穿。就在HPL对外公布其财务报告后不久，该公司董事会收到了佳能公司法律顾问的质疑报告。报告指出佳能公司与HPL的大部分款项往来是不存在的。至此，Lepejian的阴谋彻底败露。根本原因分析公司缺乏对管理层的监督以及审核，对信息系统数据的真实性以及有效性没有进行验证，相关业务单据没有进行职责分离的复核审批。控制层面公司层面控制11IT控制框架应用控制IT控制框架应用控制12应用系统控制解决方案应用系统控制解决方案应用系统访问控制应用系统访问控制认证认证授权授权管理管理数据质量控制数据质量控制流程和系统的完整性控制流程和系统的完整性控制输入控制输入控制输出控制输出控制处理控制处理控制接口控制接口控制应用控制应用控制应用系统访问控制应用系统访问控制数据质量控制数据质量控制流程和系统的完整性控制流程和系统的完整性控制管理用户帐号并对用户的访问进行规范管理用户帐号并对用户的访问进行规范用户职能识别控制；应用系统权限设计控制；实际的权限分配是复核用户的职能的；流程处理过程中，系统内部的职责和权限分工管理用户帐号并对用户的访问进行规范管理用户帐号并对用户的访问进行规范用户职能识别控制；应用系统权限设计控制；实际的权限分配是复核用户的职能的；流程处理过程中，系统内部的职责和权限分工输入控制输入控制处理控制处理控制输出控制输出控制接口控制接口控制保证应用系统业务处理的完整性：保证应用系统业务处理的完整性：业务流程中有关控制点在系统中的映射关系；应用系统的输入环节，处理环节和输出环节的控制；应用系统接口的完整性（实时，定时，脱机）控制。保证应用系统业务处理的完整性：保证应用系统业务处理的完整性：业务流程中有关控制点在系统中的映射关系；应用系统的输入环节，处理环节和输出环节的控制；应用系统接口的完整性（实时，定时，脱机）控制。数据质量规范数据质量规范数据转换数据转换数据监控数据监控分析和提高数据质量：分析和提高数据质量：数据质量标准规范；数据转换，数据传递和数据差异分析；定期，及时的数据处理监控。分析和提高数据质量：分析和提高数据质量：数据质量标准规范；数据转换，数据传递和数据差异分析；定期，及时的数据处理监控。认证认证授权授权管理管理职责分工职责分工IT控制框架应用控制IT控制框架应用控制13企业开发信息系统，应当将生产经营管理业务流程、关键控制点和处理规则嵌入系统程序，实现手工环境下难以实现的控制功能。企业在系统开发过程中，应当按照不同业务的控制要求，通过信息系统中的权限管理功能控制用户的操作权限，避免将不相容职责的处理权限授予同一用户。企业内部控制应用指引第18号第二章第六条应用控制(AC)应用控制(AC)业务流程中内嵌的信息系统相关控制，以保证信息处理的完整性，准确性，有效性和保密性等。应用系统控制的例子包括：授权 审批 职责分离 系统编辑控制 系统计算企业应当运用信息技术加强内部控制，建立与经营管理相适应的信息系统，促进内部控制流程与信息系统的有机结合，实现对业务和事项的自动控制，减少或消除人为操纵因素。企业内部控制基本规范第一章第七条案例二案例二内容内容主题中国黄金第一案事件简述据了解，2006年5月起，某用户用2.7万在某国有银行开设了黄金买卖账户。在一次交易中，他们以每克145元的价格居然委托购买成功，而当时市场价大约为每克160元。于是，该用户开始输入远低于即时正常黄金价格的买入价格，最低探到每克142元也能成交。2006年6月29日至7月8日间，两人总共操作126笔买卖，狂赚2100多万元。2006年7月12日，银行找到该用户，认为其操作具有明显恶意性质，应予以取消。据了解，警方曾接到银行报案，但没有立案。此后，银行强行从账户上划走了2195余万元。2007年4月，该用户递交了民事起诉状。接到起诉状后，银行对用户进行了反诉。据该用户的律师介绍，庭审中，审判员专门询问银行，为何能用远低于市场价的价格达成交易？银行方面律师解释，是用户采取了违规操作才达成交易。审判员随即问道，既然违规，为何银行交易系统能够接受呢？律师表示可能是由于系统出现了故障，法庭要求原告方尽早提交系统故障的详细说明。银行方代理律师认为，客户交易的主观恶意很明显。用户律师则认为，该用户持有合法身份，按照正常语音提示逐步操作，完全符合章程中的规定。输入的交易命令得到了系统的认可，最终产生了交易后果，在这个过程中并不存在违规现象。银行方面在没有经过该用户同意的情况下，没有依照法律程序，就单方面划走2100多万元，这才应当被视为违规操作。事件后果在舆论层面，银行更多的处于负面的环境中。根本原因分析系统对业务操作中一些明显违反业务逻辑的操作没有任何的控制防范功能。风险类型应用控制14应用控制案例分析应用控制案例分析案例三案例三内容内容主题利用职务便利充值废卡侵占公司资产事件简述近日，北京市丰台区检察院以犯职务侵占罪，对利用职务便利、侵占公司财产的李某提起公诉。李某为公司信息部操作员，平日他发现办公室里常有一些废弃的消费卡。他便琢磨将这些废卡“利用”起来，于是利用虚构的或已经调走的人员身份，进入公司电脑系统，修改数据给这些废卡“充了值”。事件后果经查，李某自2007年9月2日起，私自向14张公司的消费卡中共计充入人民币49,860元，同时，李某以消费或办假退货的方式，侵占人民币48,254.89元根本原因分析嫌疑人李某以虚构的户名和编码进入系统，从而篡改消费卡数据进行职务侵占行为，得逞于公司给予信息录入员权限过大控制层面应用控制15应用控制案例分析（续）应用控制案例分析（续）案例四案例四内容内容主题公司关键商业信息外泄被对手占得先机事件简述张连起曾为某大型国企集团做过咨询服务，该企业的产品实行上网竞价。然而，令其备受困扰的是，竞争对手总能报出比他们的底线价格更低的价格。后来检查发现，问题的关键在于这家企业的ERP系统对接触信息的人员和权限控制不严，很多重要的财务数据，包括预算数据等，可以为一般工作人员看到，这就造成了公司关键产品成本的详细信息外泄。事件后果公司关键产品成本的详细信息外泄，总被对手占得先机。根本原因分析公司没有健全的制度来保护其信息安全，ERP中的权限控制不严格造成了机密信息的外泄。控制层面应用控制16应用控制案例分析（续）应用控制案例分析（续）案例五案例五内容内容主题诺基亚经理借报销骗公司四百万获刑事件简述诺基亚公司原人力资源经理曹威利用离职员工名义，假报销478万余元，并将钱款据为己有。曹某承认自己假借离职员工王某之名，在公司报销各项费用达400余万元。事件后果法院最后判决，曹威无视国法，以非法占有为目的，利用职务之便，将本单位钱款非法据为己有，数额巨大，其行为已构成职务侵占罪。鉴于曹威系自首，且积极退赔部分赃款，法院依法对其减轻处罚。根本原因分析由于曹某是诺基亚公司的人力资源经理，所以她可以自由进入系统修改人员信息。在修改相关信息后，她开设了银行账户，私自利用自己的审批权限，在一年多时间里，违规审批报销，并把这些钱据为己有。控制层面应用控制；17应用控制案例分析（续）应用控制案例分析（续）IT控制框架计算机整体控制IT控制框架计算机整体控制18信息系统总体控制解决方案信息系统总体控制解决方案信息系统总体控制解决方案信息系统总体控制解决方案逻辑安全工具和技術提供程序、资料和其他信息资源的接触控制并得到适当的监管物理访问限制的实施逻辑安全工具和技術提供程序、资料和其他信息资源的接触控制并得到适当的监管物理访问限制的实施和监控确保只有授权应用系统变更应用系统变更操作系统变更操作系统变更数据库变更信息系统安全信息系统安全一般安全管理一般安全管理操作系统安全管理操作系统安全管理数据库安全管理数据库安全管理网络安全管理网络安全管理防病毒安全管理防病毒安全管理应用系统安全管理应用系统安全管理物理安全管理物理安全管理信息系统操作信息系统操作批处理批处理备份备份信息化用户支撑体系信息化用户支撑体系紧急应变及系统恢复紧急应变及系统恢复计算机整体控制计算机整体控制信息系统安全信息系统安全信息系统安全信息系统安全一般安全管理一般安全管理信息系统操作信息系统操作操作系统安全管理操作系统安全管理数据库安全管理数据库安全管理网络安全管理网络安全管理应用系统安全管理应用系统安全管理防病毒安全管理防病毒安全管理物理安全管理物理安全管理逻辑安全工具和技術提供程序、资料和其他信息资源的接触控制并得到适当的监管物理访问限制的实施和监控确保只有授权人员能取用信息资源程序、资料和其他信息资源不受电脑病毒威胁软件只能在软件许可及管理层授权的条件下在公司的电脑系统上安装和使用逻辑安全工具和技術提供程序、资料和其他信息资源的接触控制并得到适当的监管物理访问限制的实施和监控确保只有授权人员能取用信息资源程序、资料和其他信息资源不受电脑病毒威胁软件只能在软件许可及管理层授权的条件下在公司的电脑系统上安装和使用批处理批处理备份备份用户支持体系用户支持体系紧急应变及系统恢复紧急应变及系统恢复适时完成所有用以执行批处理和实时交易和产生相关报告的生产程序仅执行有效的生产程序数据资料会根据法规和公司政策给予保留以供查阅计算机处理环境服务的质量水平切合或超越管理层的需要使用者能得到合适的系统使用培训适时完成所有用以执行批处理和实时交易和产生相关报告的生产程序仅执行有效的生产程序数据资料会根据法规和公司政策给予保留以供查阅计算机处理环境服务的质量水平切合或超越管理层的需要使用者能得到合适的系统使用培训变更管理变更管理应用系统变更应用系统变更操作系统变更操作系统变更网络变更网络变更数据库变更数据库变更对现有应用系统、数据库的修改需要适当的进行，经过修改的应用系统需符合管理层的意愿对网络和系统软件参数的设置、配置的调整需要适当的进行，经过修改的应用系统需符合管理层的意愿实施和监控应用系统、数据库、系统软件、网络的变更，包括该软件的升级和更新对现有应用系统、数据库的修改需要适当的进行，经过修改的应用系统需符合管理层的意愿对网络和系统软件参数的设置、配置的调整需要适当的进行，经过修改的应用系统需符合管理层的意愿实施和监控应用系统、数据库、系统软件、网络的变更，包括该软件的升级和更新IT控制框架计算机整体控制IT控制框架计算机整体控制19计算机整体控制(GCC)计算机整体控制(GCC)信息安全 信息系统日常运作 数据库实施与维护 应用系统实施与维护 系统软件支持 网络支持 企业应当建立用户管理制度，加强对重要业务系统的访问权限管理，定期审阅系统账号，避免授权不当或存在非授权账号，禁止不相容职务用户账号的交叉操作。企业内部控制应用指引第18号第三章第十二条企业信息系统归口管理部门应当组织内部各单位提出开发需求和关键控制点，规范开发流程，明确系统设计、编程、安装调试、验收、上线等全过程的管理要求，严格按照建设方案、开发流程和相关要求组织开发工作。企业内部控制应用指引第18号第二章第五条企业应当综合利用防火墙、路由器等网络设备，漏洞扫描、入侵检测等软件技术以及远程访问安全策略等手段，加强网络安全，防范来自网络的攻击和非法侵入。企业对于通过网络传输的涉密或关键数据，应当采取加密措施，确保信息传递的保密性、准确性和完整性。企业内部控制应用指引第18号第三章第十三条案例六案例六内容内容主题新系统的不当实施导致银行交易混乱事件简述在日本的某外资银行，外包开发的新系统上线后，约27.5万宗公用事业款项的交易遭重复扣数，或在完成交易后未有更新月结纪录。涉及日圆储蓄户口、美元储蓄户口、活期存款户口、国际贷款卡和透支户口。事件后果新任行政总裁在国会委员会上道歉，并解雇了14名职员，包括8名总经理级人员。根本原因分析对新系统上线前的测试不充分，所设计的测试场景的复杂度和实际业务的复杂度无法匹配。控制层面计算机整体控制；20计算机整体控制案例分析计算机整体控制案例分析案例六案例六内容内容主题网通营业厅网络瘫痪导致业务停办事件简述某日下午3点，位于海淀区皂君庙的中国网通营业厅的网络系统出现故障，无法办理业务，直到下午5点才恢复正常。故障发生后，该营业厅内电脑上的网通主页显示“该页无法显示”。营业厅一层的近30个窗口和柜台暂停办理业务，窗口贴出“系统故障，暂时无法收费”的通知，但仍有人在排队等候，还有近百人等在客户等候区，其中一些人已等了一个多小时。事件后果由于多家媒体对该事件进行了报道，导致该公司的形象受到负面影响根本原因分析系统瘫痪是由于该网点网络出现故障所致，而由于缺乏对灾备方案的演练，导致应急系统无法在合理的时间内接管业务。控制层面计算机整体控制21计算机整体控制案例分析（续）计算机整体控制案例分析（续）案例七案例七内容内容主题黑客入侵搜狐媒体服务器，获取游戏服务器数据库管理员的用户名和密码后盗取游戏点数事件简述武汉市公安机关接到报案，北京搜狐互联网信息服务有限公司称发现黑客入侵，“天龙八部”游戏数据库多出80多个异常游戏账号，公司怀疑有黑客入侵公司网络游戏系统，对核心数据进行修改，窃取游戏点数牟利。事件后果武汉市中级人民法院近日一审宣判一起盗卖游戏币案，网民夏彪、付强因盗卖游戏币非法获利76万元，分别获刑12年、10年，各处罚金3万元。根本原因分析他们采取的犯罪手段不复杂：先按正常手续向搜狐指定账号充值5元，获得100个游戏币后，再以管理员的身份登陆，在数据库里将100改成 10000，并将所盗游戏币在他人网店贩卖。控制层面计算机整体控制22计算机整体控制案例分析（续）计算机整体控制案例分析（续）23计算机整体控制与应用控制的关系计算机整体控制与应用控制的关系23信息系统总体控制薄弱信息系统总体控制完善计算机整体控制应用控制计算机整体控制1、良好的信息系统总体控制可以为应用控制的有效性提供有力的保障2、由计算机系统提供的自动控制优于手工控制某些应用控制的有效性取决于GCC的有效性应用控制议程议程1企业信息化带来的风险和挑战2解读企业内部控制应用指引信息系统3IT控制框架体系及案例分析-公司层面控制-应用控制-计算机整体控制4企业风险管理信息化之路实现风险管理信息化的路线图实现风险管理信息化的路线图企业信息化的成熟度企业风险及内控工作的成熟度4、风险智能管理阶段风险智能管理阶段3、自动化风险管理阶段自动化风险管理阶段2、自动化管控阶段自动化管控阶段1、初始阶段初始阶段识别当前软件中的重要控制点并进行测试采用简单的工具，对重要的数据，比如财务数据和业务数据，进行分析引入系统化的框架体系，全面识别企业使用的ERP系统中存在的自动化控制点并对其有效性进行测试采用信息平台，对企业的风险管理流程，包括风险识别，风险评估，内控测试等环节，进行固化和自动化将企业的风险管理系统和ERP系统进行有效的集成，形成风险管理和业务运营的有机融合251、初始阶段2、自动化管控阶段3、自动化风险管理阶段4、风险智能管理阶段企业尚未形成系统的内部控制体系，内控管理比较零散；企业尚未形成流程化的风险管理机制；企业尚未采用复杂的信息系统，比如ERP系统，来提升业务运营的效率；企业已经形成了较为标准的内部控制体系；企业已经实施了复杂的ERP软件来覆盖各项主要业务运作；企业可以通过使用ERP系统中的自动控制点来提升内部控制的效果和效率；企业尚未形成标准的风险管理流程；企业形成了标准的风险管理流程，能常态化地，可持续地开展风险识别，风险评估和风险应对工作；企业通过信息系统实现了上述风险管理流程的自动化；企业风险管理系统中的风险点和ERP系统中的自动控制点尚未实现对接。因此，无法实现风险级别和控制点有效性等相关信息的实时互动；信息化已经成为企业贯穿内控，风险管理和合规工作的平台；风险管理工作已从事后的分析转变为事中和事前的警示，即从被动的风险分析转变为主动的风险预警；风险管理工作可以从宏观层面演变为涉及单笔交易的微观层面；集成化的信息平台横跨内控和风险管理，并形成信息的实时互动；低回报的风险管理低回报的风险管理高回报的风险管理高回报的风险管理风险管理信息化的成熟度模型风险管理信息化的成熟度模型26