《公司治理风险管理和内部控制》第六章信息与沟通课件.ppt

《《公司治理风险管理和内部控制》第六章信息与沟通课件.ppt》由会员分享，可在线阅读，更多相关《《公司治理风险管理和内部控制》第六章信息与沟通课件.ppt（78页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第六章 信息与沟通第一节 内部信息传递 第二节 信息系统第三节 沟通案例引入：信息混乱，车毁人亡信息混乱，车毁人亡2008年4月28日凌晨4时48分，山东胶济铁路王家段，限速80公里/时处，时速达131公里的北京青岛T195次列车，第917号车厢突然脱轨，侵入了并行的另一条铁轨。和正常运行的对开5034次列车相撞，造成71人死亡，416人受伤。现已证实，事故线路是一条呈“S”型临时线路，而超速被认为是这起事故的直接原因。但超速背后是信息的传递混乱。行经此段的列车限速一月内竟数次更改，而且指令传达不畅通，规章制度形同虚设。事发前几天济南铁路局曾发文限速，但又迅速取消限速。潜伏巨大危险的临时铁路，

2、儿戏般的调度管理，层层的疏忽与失职，最终导致了中国铁路史上最重大的惨祸之一。事后相关部门总结信息滞漏不畅是造成事故的主要原因。4.28事件表明：有效的信息与沟通对于企业的成功是至关重要的。每个企业都要识别和获取与管理该主体相关的广泛的信息。这些信息以保证员工能履行内部控制和风险管理职责的形式和时机传递给员工。第一节内部信息传递内部信息传递一、内部信息传递的定义l按照企业内部控制应用指引第17号内部信息传递的规定，内部信息传递是企业内部管理层级之间以报告为载体和形式传递生产经营管理信息的过程。l信息在企业内部进行有目的的、及时的、准确的、安全的传递，对贯彻企业发展战略、正确识别生产经营中的风险、

3、及时纠正操作错误、提高决策质量具有重要作用。内部信息传递二、信息的内涵l信息是对人有用的、能够影响人们行为的数据。l信息是数据的含义，是人们对数据的理解，是数据加工后的结果。数据是信息的载体，没有数据便没有信息，因此信息不能单独存在。要想获得信息就要先获得载荷信息的数据，对其加工才能获得信息。内部信息传递战略性策略性操作性交易数据信息加工与筛选高层管理中层管理基层管理内部信息传递p信息还有下列特征：p1 共享性p2可传递性p3 可编码性p4 具有价值内部信息传递三、内部信息传递基本流程 l内部信息传递流程是根据企业生产经营管理的特点来确定，其形式千差万别，没有一个最优的方案。l对企业最为重要的

4、、最普遍的信息传递形式就是内部报告，亦称内部管理报告。内部报告时指企业在管理控制系统中为企业内部各级管理层以定期或非定期的形式记录和反映企业内部管理信息的各种图表和文字资料的总称。l一般来说，内部信息传递至少包括两个阶段，一是信息形成阶段，二是信息使用阶段。内部信息传递建立内部报告及指标体系搜集整理内外部信息形成内部报告审核内部报告通过内部报告在规定的范围内流转内部报告使用和保管定期全面评估 内部报告形成阶段 内部报告使用阶段未通过内部信息传递四、内部信息传递的总体要求（了解）l（一）及时有效性原则l及时有效性原则是指在信息传递过程中，必须做到在经济业务发生时及时进行数据搜集，尽快进行信息加工

5、，形成有效形式并尽快传输到指定地点和信息使用者。内部信息传递四、内部信息传递的总体要求 l（二）反馈性原则l反馈性原则是指在信息传递过程中，相同口径的信息能够频繁地往返于信息使用者和信息提供者之间，把决策执行情况的信息及时反馈给信息使用者，帮助信息使用者证实或者修正先前的期望，以便其进一步决策的活动。沃尔玛超市：啤酒加尿布的故事沃尔玛超市：啤酒加尿布的故事一般看来，啤酒和尿布是顾客群完全不同的商品。但是沃尔玛一年内数据挖掘显示，在居民区中尿布卖得好的店面，啤酒也卖得好。原因很简单，一般太太让先生下楼买尿布的时候，先生们一般都会犒劳自己两听啤酒。因此啤酒和尿布一起购买的机会是最多的。这是一个现代

6、商场智能化信息分析系统发现的秘密，这个故事标志着数据挖掘开始进入商业领域。内部信息传递四、内部信息传递的总体要求 l（三）预测性原则l预测性原则是指企业传递和使用的经营决策信息需要具备预测性的功能。信息预测性的功能在于提供提高决策水平所需的那种发现差别、分析和解释差别，从而在差别中减少不确定的信息。麦当劳和肯德基之争麦当劳和肯德基在中国的发展可谓是一日千里，这两家店在中国发展得如此迅猛，就是顺应了中国发展的潮流和社会的变革。这两家公司有着不同的发展模式，麦当劳是全球快餐业的老大，但是在中国的业务却没有肯德基做得好。麦当劳最先在中国进行快餐市场的调研考察，但是它依据信息做出了两个错误的判断：第一

7、，中国人民的餐饮习惯。中华民族是吃贯穿于所有政治经济文化活动之中的一个民族，做工作要吃饭，体现亲情也要吃饭，大众的消遣娱乐还是归结到吃上，所以中国人民对吃非常讲究，也非常重视。所以麦当劳认为快餐在中国难以做大。第二，快餐的口味问题。中华民族保留着很多有关吃的传统，食物种类丰富多彩，口味南北迥异，广东人喜欢煲汤，湖北人湖南人喜欢吃辣，上海人喜欢吃甜，山西人喜欢吃酸，北京人喜欢吃咸，东北人喜欢吃乱炖。而快餐的口味十分单一，做不到口味丰富多彩。而人们的口味一旦形成就会是非常顽固的一种习惯，这种习惯会导致人们对快餐的抵制和排斥。因此，麦当劳对中国市场没有信心，认为中国是没有希望的市场，于是放弃在中国的

8、投资。几年之后，肯德基进入中国市场调研，他们得出一个相反的结论：第一，中国的社会在发展，中国人的观念在改变，饮食结构也在悄然地发生变化，生活的快节奏，求新求异将成为中国人民的生活主流，在这样的大前提下进入中国快餐市场，肯定会迎合时代的发展，是非常好的一个时机。第二，中国人民传统的饮食习惯也在改变，传统口味吃了很多年，人们乐于追求新颖的口味，这也是迎合中国人饮食结构多样性的一种改革。所以肯德基做出的决策就是可以进入中国市场。当然这两家公司都没有想到在美国称之为垃圾食品的快餐，在中国迅速成为时尚，成为大众消费的食品，出现举家吃快餐的热闹场面。因此肯德基先在中国红火发展起来。麦当劳看到后业不甘示弱，

9、于是人们看到非常有趣的现象，只要有肯德基的地方，斜对面就一定有麦当劳。内部信息传递四、内部信息传递的总体要求 l（四）真实准确性原则l真实准确性原则是指企业内部传递的信息符合事件或事物的客观实际，包括范围的真实准确性、内容的真实准确性和标准的真实准确性。内部信息传递四、内部信息传递的总体要求 l（五）安全保密性原则l安全保密性原则，又称“内部性原则”，是指内部信息传递的服务对象仅限于内部利益相关者，即企业管理当局，因而具有一定的商业机密特征。相关链接：普华永道发布2010年度全球信息安全调查报告。报告显示，中国企业信息安全事故发生率远远高于世界平均水平。据调查报告中的数据显示，网络事故、数据事

10、故及系统事故是三大中国企业常见的信息安全事故，发生率分别为51%、45%、和40%。而相同事故在全球范围内的发生率则为25%、27%与23%。也就是说，中国企业发生信息安全事故的概率是世界平均水平的2倍左右。而这个数据与2009年相比仍呈现一定程度的上升趋势。傅毓敏（普华永道风险管理和内部控制部门合伙人）表示，从全球范围来看，中国企业在信息安全硬件的投入水平并不低，在有些领域甚至处于世界领先水平。但中国企业对信息安全管理人员及流程方面重视远远不足。与大多数跨国公司相比，中国企业对于在公司内使用聊天软件、社交网络等领域管理松散，监察监测系统缺位，这些都是导致中国企业泄密等信息安全事故高发的重要原

11、因。内部信息传递四、内部信息传递的总体要求 l（六）成本效益原则l成本效益原则是经济管理活动中广泛适应性的要求。因为任何一项活动，只有当收益大于成本时才是可行的，某项信息是否值得传递，首先就必须满足这个约束条件。内部信息传递五、内部信息传递各环节的主要风险点及控制措施（掌握）l（一）建立内部报告和指标体系l（二）搜集整理内外部信息l（三）编制及审核内部报告l（四）内部报告传递l（五）内部报告使用和保管l（六）内部报告的评估（一）建立内部报告和指标体系主要风险是：指标体系的设计未能结合企业的发展战略；内部报告或指标体不完整或过于复杂；指标体系缺乏调整机制；指标信息难以获得或获取的成本过高主要管控

12、措施：第一，企业应认真研究企业的发展战略、风险控制要求和业绩考核标准，根据各管理层级对信息的需求和详略程度，建立一套级次分明的内部报告指标体系。企业明确的战略目标和具体的战略规划为内部报告控制目标的确定提供了依据。第二，企业内部报告指标确定后，应进行细化，层层分解，使企业中各责任中心及其各相关职能部门都有自己明确的目标，以利于控制风险并进行业绩考核。第三，当内部控制指标体系不适应企业决策要求时，需进行调整第四，根据成本效应原则，考察获取信息的难度和设置相应内部报告指标的必要性内部报告分类1.根据部门的性质内部报告可分为：（1）工作总结和工作计划报告：每周、每月、每季、半年和年度由下级部门或下级

13、员工向上级部门或员工上报。（2）销售报表：这些报表每天上报销售部负责人，每周或每月上报财务总监或企业负责人。（3）费用报表：各部门或有关个人要建立费用控制台账管理费用，不能盲目开支。（4）成本报表：生产部门应当建立成本控制台账，生产部门有关领导应当天天看、天天分析，并于每周或每月上报财务总监或企业负责人。（5）采购报表：这些报表每天上报采购部负责人，每周或每月上报财务总监或企业负责人。（6）资金报表：资金收支结构日报、借款明细表、贷款担保抵押表、贷款情况表、银行账户及印鉴管理表、银行对账单、资金盘点表、银行存款余额调节表、资金需求状况表。财务总监应该重点关注这些信息，并不定期检查。企业负责人应

14、该关注资金需求状况等。（7）资产报表：行政部应当建立资产管理台账对企业资产进行全面跟踪管理，每月进行盘点核实。财务部应当定期与行政部核对资产。（8）人事报表：包括人事变动分析表和薪资变动分析表。（9）投资报表：每月对企业投资情况向企业负责人进行分析报告。（10）分析报表：在以上报表的基础上通过文字进行说明，详细分析前因后果，包括财务分析报告。2.根据内部报告的内容可分下面两类报告：（1）完成计划情况的报告。包括综合类和单项经济指标报告。综合类报告的内容有：获利能力、收入、费用、应收账款、存货、现金流量等；单项经济指标报告的内容较多，如银行存款、产量、日销量等。（2）调查分析报告。一般是指专业人

15、员根据管理层的要求，对管理政策执行过程中出现的异常进行调查、分析，给出的描述异常情况及原因等内容的报告。（二）搜集整理内外部信息企业应当广泛收集、分析、整理内外部信息，并通过内部报告传递到企业内部相关管理层级，以便及时采取应对策略。企业可以通过行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道，获取外部信息；通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道，获取内部信息。该环节的主要风险是：收集的内外部信息不足或过多；内容准确性差；获取内外部信息的成本过高。主要管控措施：第一，根据特定服务对象的需求，选择信息收集过程中重点关

16、注的信息类型和内容。第二，对信息进行审核和鉴别，对已经筛选的资料作进一步的检查，确定其真实性和合理性。企业应当检查信息在事实与时间上有无差错，是否合乎逻辑，其来源单位、资料份数、指标等是否完整。第三，企业应当在收集信息的过程中考虑获取信息的便利性及其获取成本高低。（三）编制及审核内部报告企业内部报告因报告类型不同、反映的信息特点不同，内部报告的格式不尽一致。一般情况下，企业内部报告应当包括报告名、文件号、执行范围、内容、起草或制定部门、报送和抄送部门及时效要求等。该环节的主要风险是：内部报告未能根据各内部使用单位的需求进行编制，内容不完整或难以理解，编制不及时，未经审核即向有关部门传递。主要管

17、控措施：第一，企业内部报告的编制单位应紧紧围绕内部报告使用者的信息需求，以内部报告指标体系为基础，内容全面、简洁明了、通俗易懂，便于企业各管理层级和全体员工掌握相关信息，正确履行职责。第二，企业应合理设计内部报告编制程序，提高编制效率，保证内部报告能在第一时间提供给相关管理部门。对于重大突发事件应以速度优先，尽可能快的编制出内部报告，向董事会报告。第三，企业应当建立内部报告审核制度，设定审核权限，确保内部报告信息质量。企业必须对岗位与职责分工进行控制，内部报告的起草与审核岗位分离，内部报告在传递前必须经签发部门负责人审核。对于重要信息，企业应当委派专门人员对其传递过程进行复核，确保信息正确的传

18、递给使用者。（四）内部报告传递该环节的主要风险是：缺乏内部报告传递流程，内部报告误传递或丢失，内部报告传递系统中断。主要管控措施：第一，企业应当制定内部报告传递制度。企业可根据信息的重要性、内容等特征，确定不同的流转环节。第二，企业应严格按设定的传递流程进行流转。企业各管理层对内部报告的流转应做好记录，对于未按照流转制度进行操作的事件，应当调查原因，并做相应处理。第三，企业应及时更新信息系统，确保内部报告有效安全的传递。（五）内部报告使用和保管该环节的主要风险是：第一，企业管理层在决策时并没有使用内部报告提供的信息，内部报告未能用于风险识别和控制，商业秘密通过企业内部报告被泄露。第二，企业缺少

19、内部报告的保管制度，内部报告的保管存放杂乱无序，对重要资料的保管期限过短，保密措施不严。主要管控措施：第一，企业应当建立内部报告保管制度。指定专人按类别保管，规定其保管年限。对影响重大的内部报告，应当永久保管。有条件的企业应当建立电子内部报告保管库，分性质，按照类别、时间、保管年限、影响程序及保密要求等分门别类地储存电子内部报告。第二，企业应当制定严格的内部报告保密制度，明确保密内容、保密措施、密级程度和传递范围，防止泄露商业秘密。有关公司商业秘密的重要文件要由企业较高级别的管理人员负责，具体至少由两人共同管理，放置在专用保险箱内。查阅保密文件，必须经该高层管理人员同意，由两人分别开启相应的锁

20、具方可打开。（六）内部报告的评估 该环节主要风险点：企业缺乏完善的内部报告评价体系，对各信息传递环节和传递方式控制不严，针对传递不及时、信息不准确的内部报告缺乏相应的惩戒机制。主要管控措施：第一，企业应建立并完善企业对内部报告的评估制度，严格按照评估制度对内部报告进行合理评估，至少每年度对内部报告进行一次评估，重点关注内部报告的及时性，内部信息传递的有效性和安全性。第二，为保证信息传递的及时准确，企业必须执行奖惩机制。对经常不能及时或准确传递信息的相关人员应当进行批评和教育，并与绩效考核体系挂钩。第二节信息系统（不做要求）信息系统一、信息系统的定义l按照企业内部控制应用指引第18号信息系统的规

21、定，信息系统是指企业利用计算机和通信技术，对内部控制进行集成、转化和提升所形成的信息化管理平台。l现代企业的运营越来越依赖于信息系统。比如航空公司的网上订票系统、银行的资金实时结算系统、携程旅行网的客户服务系统等，没有信息系统的支撑，业务开展就举步维艰、难以为继，企业经营就很可能陷入瘫痪状态。还有一些新兴产业和新兴企业，其商业模式完全依赖信息系统，各种网络公司（新浪、网易、百度）、各种电子商务公司（比如阿里巴巴、卓越公司），没有信息系统，这些企业可能失去生存之基。信息系统内部控制的目标是促进企业有效实施内部控制，提高企业现代化信息系统内部控制的目标是促进企业有效实施内部控制，提高企业现代化管理

22、水平，减少人为操纵因素；同时，增强信息系统的安全性、可靠性和管理水平，减少人为操纵因素；同时，增强信息系统的安全性、可靠性和合理性以及相关信息的保密性、完整性和可用性，为建立有效的信息与沟合理性以及相关信息的保密性、完整性和可用性，为建立有效的信息与沟通机制提供支持保障。通机制提供支持保障。信息系统内部控制的主要对象是信息系统，由计算机硬件、软件、人员、信息系统内部控制的主要对象是信息系统，由计算机硬件、软件、人员、信息流和运行规程等要素组成。信息流和运行规程等要素组成。制造企业可以将信息系统划分为财务管理系统、人力资源管理系统、制造企业可以将信息系统划分为财务管理系统、人力资源管理系统、MR

23、P系统（销售、采购、库存、生产）、计算机辅助设计和制造系统、客户关系统（销售、采购、库存、生产）、计算机辅助设计和制造系统、客户关系系统、电子商务系统等若干子系统。系系统、电子商务系统等若干子系统。企业内部控制应当指引第企业内部控制应当指引第18号号信息系统信息系统规定，企业负责人对信规定，企业负责人对信息系统建设工作负责。换言之，信息系统建设是息系统建设工作负责。换言之，信息系统建设是“一把手一把手”工程。工程。信息系统二、信息系统的生命周期l（一）系统规划期l（二）系统开发期l（三）系统运行与维护期信息系统信息系统三、信息系统的开发方式l（一）自行开发l自行开发是企业依托自身力量完成整个开

24、发过程。l优点：开发人员熟悉企业情况；培养锻炼自己的开发队伍。l缺点：开发周期较长；技术水平和规范程度较难保证；成功率相对较低。l适用条件：企业自身技术力量雄厚，而且市场上没有能够满足企业需求的成熟的商品化软件和解决方案。l百度的搜索引擎系统就偏重于自行开发。百度的搜索引擎系统就偏重于自行开发。信息系统三、信息系统的开发方式l（二）外购调试l外购调式的基本做法是企业购买成熟的商品化软件，通过参数配置和二次开发满足企业需求。l优点：开发建设周期短；成功率较高；成熟的商品化软件质量稳定，可靠性高；专业的软件提供商实施经验丰富。l缺点：系统的后期升级进度受制于商品化软件供应商产品更新换代的速度，企业

25、自主权不强，较为被动。l适用条件：企业的特殊需求较少，市场上已有成熟的商品化软件和系统实施方案。大部分企业的财务管理系统、ERP系统、人力资源管理系统、教学管理系统等多采用外购调试方式。信息系统三、信息系统的开发方式l（三）业务外包l信息系统的业务外包是指委托其他单位开发信息系统。l优点：充分利用专业公司的专业优势；节约了人力资源成本。l缺点：沟通成本高；要求企业必须加大对外包项目的监督力度。l适用条件：市场上没有能够满足企业需求的成熟的商品化软件和解决方案，企业自身技术力量薄弱或出于成本效益原则考虑不愿意维持庞大的开发队伍。江苏电力江苏电力:将财务信息化进行到底将财务信息化进行到底“江苏省电

26、力公司的信息化历程和实践，是以会计信息化为基江苏省电力公司的信息化历程和实践，是以会计信息化为基础，财务信息化为核心，实现公司全面管理的信息化。础，财务信息化为核心，实现公司全面管理的信息化。”江苏江苏电力总经理电力总经理费圣英费圣英在接受在接受中国会计报中国会计报记者采访时，用精炼记者采访时，用精炼的一句话道出了该企业财务信息化的实践论和方法论。的一句话道出了该企业财务信息化的实践论和方法论。江苏电力作为一家拥有上千亿资产的省级电网公司，在全面推江苏电力作为一家拥有上千亿资产的省级电网公司，在全面推进财务信息化、以及财务信息化与企业信息化的全面融合方面进财务信息化、以及财务信息化与企业信息化

27、的全面融合方面已远远地走在了前面。已远远地走在了前面。1.从会计信息化到财务信息化“要实现财务对企业管理的统筹作用，就必须要有一套高效的要实现财务对企业管理的统筹作用，就必须要有一套高效的财务管理系统财务管理系统。”费圣英一直认为，财务管理在整个企业管理费圣英一直认为，财务管理在整个企业管理中处于核心地位，要以信息系统建设为手段强化财务控制，提中处于核心地位，要以信息系统建设为手段强化财务控制，提高经营管理水平。由江苏电力自主研发的高经营管理水平。由江苏电力自主研发的FMISFMIS（财务管理信息（财务管理信息化系统）就在这样的背景下诞生了。化系统）就在这样的背景下诞生了。江苏电力的会计信息化

28、早在江苏电力的会计信息化早在19921992年就已开始，最初使用的是较年就已开始，最初使用的是较为成熟的电算化软件。为成熟的电算化软件。19951995年起，公司系统开始自主研发可在年起，公司系统开始自主研发可在全系统运行的财务软件。全系统运行的财务软件。在不断实践中，江苏电力又探索出了在不断实践中，江苏电力又探索出了“预算管理、内部控制、预算管理、内部控制、会计核算三位一体的信息化管理模式会计核算三位一体的信息化管理模式”。公司在核算型信息系公司在核算型信息系统的基础上，纳入基于预算管理、流程控制的全面管理，形成统的基础上，纳入基于预算管理、流程控制的全面管理，形成全面的财务管理信息系统全面

29、的财务管理信息系统。2.基于FMIS（财务管理信息系统）的财务内部控制江苏电力有着严格的预算管理，对资金的管理要求非常细化。江苏电力有着严格的预算管理，对资金的管理要求非常细化。根据规定，其下辖的市县级公司，根据规定，其下辖的市县级公司，2020万元以上的资金需求需要万元以上的资金需求需要提前一个月上报，提前一个月上报，2020万元以内的需要一周以内上报。江苏电力万元以内的需要一周以内上报。江苏电力的的1313个市（地级）供电公司、个市（地级）供电公司、5858个县（区）供电公司等分公司个县（区）供电公司等分公司的资金预算管理全部都是通过的资金预算管理全部都是通过FMISFMIS实现。基于实现

30、。基于FMISFMIS平台，公司平台，公司预算控制、资金管理、财务分析等各方面的财务管理职能都得预算控制、资金管理、财务分析等各方面的财务管理职能都得以在系统中运转实现。以在系统中运转实现。在从核算型系统向管理型系统逐步延伸的过程中，在从核算型系统向管理型系统逐步延伸的过程中，FMISFMIS将内部将内部控制管理规定中的部门职责、标准流程、政策法规、权限金额控制管理规定中的部门职责、标准流程、政策法规、权限金额等一系列内容全部等一系列内容全部“固化固化”在系统程序在系统程序中，从而达到内部控制中，从而达到内部控制标准对各项经济业务约束的标准对各项经济业务约束的“自动自动”实现。实现。3.各系统

31、和谐相融 江苏电力整个信息系统包括了公司财务会计、生产、物流、江苏电力整个信息系统包括了公司财务会计、生产、物流、营销、人力资源等营销、人力资源等2121个子系统，各部门可以即时、方便地调个子系统，各部门可以即时、方便地调取各个系统的资料。这得益于江苏电力自主探索实践的取各个系统的资料。这得益于江苏电力自主探索实践的“集集中集成中集成”的信息化之路。的信息化之路。“企业信息化必须将财务管理系统与企业其他管理系统整合企业信息化必须将财务管理系统与企业其他管理系统整合在一个平台上，实现信息互通，资源共享，江苏电力是通过在一个平台上，实现信息互通，资源共享，江苏电力是通过集中集成集中集成实现这一目标

32、的。实现这一目标的。”费圣英告诉费圣英告诉中国会计报中国会计报。“我们的目标是，在不久的将来借助信息化的手段让企业的我们的目标是，在不久的将来借助信息化的手段让企业的全部信息都实现阳光化透明化，最终全部信息都实现阳光化透明化，最终接受整个社会的监督接受整个社会的监督。”信息系统四、信息技术过程控制体系（COBIT）国际信息系统审计与控制协会（ISACA）提出信息和相关技术的控制目标（COBIT）。lCOBIT是一个基于IT治理概念的、面向IT建设过程中的IT治理实现指南和审计标准，被认为是COSO框架的补充框架。lCOBIT的目标是为信息系统设计提供具有高度可靠性和可操作性的、公认的信息安全和

33、控制评价标准。l案例案例6-1 中化集团运用中化集团运用COBIT的的IT治理之道治理之道 信息系统信息系统五、信息系统开发的主要风险点及其控制措施（自阅）l（一）信息系统开发的主要风险点l1信息系统规划时期的主要风险点l案例案例6-2 国内电力企业的国内电力企业的“信息孤岛信息孤岛”和国家电网公司的和国家电网公司的“SG186工程工程”l2信息系统自行开发方式的主要风险点l成本过高、产品不能满足企业需要。l3其他开发方式的主要风险点l业务外包：外包商选择不当，导致信息泄密、成本增加等l外购：产品不适合企业，供应商的服务能力有限。信息系统五、信息系统开发的主要风险点及其控制措施 l（二）信息系

34、统开发的关键控制措施 l1系统规划l2自行开发l加强信息系统的管控工作 l3其他开发方式的主要控制措施 l选择信誉好的外包商或供应商信息系统六、信息系统运营与维护的主要风险点及其控制措施（一）日常运行维护的关键控制点和主要控制措施这一环节的主要风险是：第一，没有建立规范的信息系统日常运行管理规范，计算机软硬件的内在隐患易于爆发，可能导致企业信息系统出错。第二，没有执行例行检查，导致一些人为恶意攻击会长期隐藏在系统中，可能造成严重损失。第三，企业信息系统数据未能定期备份，可能导致损坏后无法恢复，从而造成重大损失。主要控制措施：第一，企业应制定信息系统使用操作程序、信息管理制度以及各模块子系统的具

35、体操作规范，及时跟踪、发现和解决系统运行中存在的问题，确保信息系统按照规定的程序、制度和操作规范持续稳定运行。第二，切实做好系统运行记录，尤其是对于系统运行不正常或无法运行的情况，应将异常现象、发生时间和可能的原因作出详细记录。第三，企业要重视系统运行的日常维护，在硬件方面，日常维护主要包括各种设备的保养与安全管理、故障的诊断与排除、易耗品的更换与安装等，这些工作应由专人负责。（二）系统变更的关键控制点和主要控制措施系统变更主要包括硬件的升级扩容、软件的修改与升级等。这一环节的主要风险是：第一，企业没有建立严格的变更申请、审批、执行、测试流程，导致系统随意变更。第二，系统变更后的效果达不到预期

36、目标。主要控制措施：保证变更过程得到适当的授权与管理层的批准，并对变更进行测试。信息系统操作人员不得擅自进行软件的删除、修改、升级、改变软件版本、改变软件系统的环境配置。（三）安全管理的关键控制点和主要控制措施这一环节的主要风险是：第一，硬件设备分布物理范围广，设备种类繁多，安全管理难度大，可能导致设备生命周期短。第二，业务部门信息安全意识薄弱，对系统和信息安全缺乏有效的监管手段，可能导致舞弊和利用计算机犯罪。第三，对系统程序的缺陷或漏洞安全防护不够，导致遭受黑客攻击，造成信息泄露。第四，对各种计算机病毒防范清理不力，导致系统运行不稳定甚至瘫痪。主要控制措施：第一，建立信息系统相关资产的管理制

37、度，保证电子设备的安全。第二，企业应成立专门的信息系统安全管理机构。企业应当按照国家相关法律法规以及信息安全技术标准，制定信息系统安全实施细则。第四，企业应当有效利用IT技术手段，对硬件配置调整、软件参数修改严加控制。数据加密、授权控制第五，企业委托专业机构进行系统运行与维护管理的，应当严格审查其资质条件、市场声誉和信用状况等，并与其签订正式的服务合同和保密协议。第六，企业应当采取安装安全软件等措施防范信息系统受到病毒等恶意软件的感染和破坏。防火墙、病毒防护第七，企业应当建立系统数据定期备份制度，明确备份范围、频度、方法、责任人、存放地点、有效性检查等内容。第八，企业应当建立信息系统开发、运行

38、与维护等环节的岗位责任制度和不相容职务分离制度。系统开发和变更过程中不相容岗位（或职责）一般应包括：开发（或变更）立项、审批、编程、测试。系统访问过程中不相容岗位（或职责）一般应包括：申请、审批、操作、监控。第九，企业应积极开展信息系统风险评估工作，定期对信息系统进行安全评估，及时发现系统安全问题并加以整改。CSDN泄密案CSDN创立于1999年，是中国最大的中文IT知识服务集团。目前，网站拥有2000万注册用户、50万注册企业及合作伙伴，日访问量约2000万次。国内程序员社区CSDN的安全系统2011年12月遭到黑客攻击，CSDN数据库中的600万用户的登录名及密码遭到泄露。随后，天涯社区、

39、世纪佳缘、开心网等十余家国内知名网站近5000万用户的信息在网上被黑客公布。CSDN回应称，经过初步分析，该库系2009年CSDN作为备份所用。北京警方对CSDN网站开展了调查，发现其未落实国家信息安全等级保护制度，安全管理制度和技术保护措施落实不到位是造成用户信息泄露的主要原因。安恒信息技术公司给CSDN提供的审计报告显示，由于CSDN网站开源系统等第三方系统存在第三方系统漏洞、已停用的老系统、应用程序漏洞、系统后台认证等四大问题，使其网站存在安全风险，泄露了大量信息。（四）系统终结的关键控制点和主要控制措施系统终结是信息系统生命周期的最后一个阶段，在该阶段信息系统将停止运行。停止运行的原因

40、通常有：企业破产或被兼并、原有信息系统被新的信息系统代替。这一环节的主要风险是，第一，因经营条件发生剧变，数据可能泄密。第二，信息档案的保管期限不够长。主要控制措施：第一，要做好善后工作，不管因何种情况导致系统停止运行，都应将废弃系统中有价值或者涉密的信息进行销毁、转移。第二，严格按照国家有关法规制度和对电子档案的管理规定（比如审计准则对审计证据保管年限的要求），妥善保管相关信息档案。第三节沟通沟通一、沟通的内涵 l沟通是把信息提供给适当的人员，以便他们能够履行与经营、财务报告和合规相关的职责。l沟通是技术性的，已经在管理工作中得到广泛的应用，但比技术更有意义的是企业组织内外部的有效交流。l沟

41、通可分为正式沟通和非正式沟通（按渠道划分）、内部沟通和外部沟通（按对象划分）沟通二、内部沟通方式 u电子沟通（互联网、电子邮件、电话传真/方便快捷、但不太安全)u书面沟通（内部报告、员工手册、内部刊物、教育培训资料/规范、准确、但成本高)u口头沟通（会议、讲座/迅速、灵活，但易失真）u企业员工应当采取电子沟通、书面沟通、口头沟通等多种方式，实现所需的内部信息、外部信息在企业内部准确、及时地传递和分享，确保董事会、管理层和企业员工之间有效沟通。l案例案例6-7 中国五矿的战略质询会制度中国五矿的战略质询会制度 中国五矿的战略质询会制度 任何战略方案任何战略方案,如果没有督促和考核如果没有督促和考

42、核,就很难实施和完成。就很难实施和完成。五矿在实施阶段采取两个办法五矿在实施阶段采取两个办法:一个是季度考核督促一个是季度考核督促,一个是一个是年度考核督促。前者是年度考核督促。前者是战略质询会战略质询会,主要在板块和职能部门层主要在板块和职能部门层面。后者为面。后者为平衡计分卡平衡计分卡,最终细化到职工层面。最终细化到职工层面。所谓战略质询会所谓战略质询会,是每季度举行的一次跟踪、检查、研讨是每季度举行的一次跟踪、检查、研讨五矿集团战略实施工作的重要会议五矿集团战略实施工作的重要会议,由集团公司总裁办公会成由集团公司总裁办公会成员和战略委员会委员全体参加。员和战略委员会委员全体参加。战略质询

43、会最初针对的是各个板块。其程序一般是战略质询会最初针对的是各个板块。其程序一般是:首先由首先由经营单位领导人经营单位领导人对上一个季度的情况对上一个季度的情况经营完成的经营完成的情况、战略推进的情况、存在的问题、下一步的工作措施、有情况、战略推进的情况、存在的问题、下一步的工作措施、有哪些需要集团公司支持的方面哪些需要集团公司支持的方面进行汇报进行汇报;汇报完以后汇报完以后,由由企划部门、财务、人事和投资等部门企划部门、财务、人事和投资等部门进行质询进行质询,对经营单位提出来的问题和要求给予回答对经营单位提出来的问题和要求给予回答;最后由最后由集团公司领导集团公司领导对他们进行质询对他们进行质

44、询,总裁进行总结。质询会总裁进行总结。质询会结束以后结束以后,要写出战略质询会的纪要要写出战略质询会的纪要,进一步推动落实。进一步推动落实。内部沟通向上沟通一般员工部门主管管理层董事会特殊渠道：一般员工高管 企业应在实际工作中尝试精简信息系统的处理程序，使信息在企业内部更快地传递。对于重要紧急的信息，可以越级向董事会、监事会或经理层直接报告，便于相关负责人迅速做出决策。向下沟通董事会管理层部门主管一般员工平行沟通采购部门生产部门销售部门财务部门相关链接：波音公司在1994年以前遇到一些困难，总裁康迪上任后，经常邀请高级经理们到自己的家中共进晚餐，然后在屋外围着个大火坑讲述有关波音的故事。康迪请

45、这些经理们把不好的故事写下来扔到火里烧掉，以此埋葬波音历史上的“阴暗”面。只保留那些振奋人心的故事，以此鼓舞士气。爱立信是一个“百年老店”，每年公司的员工都会有一次与人力资源经理或主管经理的个人面谈时间，在上级的帮助下制定个人发展计划，以跟上公司业务发展，甚至超越公司发展步伐。该公司认为，一个企业要保持领先的地位，最重要的一点是员工的整体素质能够保持领先。在惠普公司，总裁的办公室从来没有门，员工受到顶头上司的不公正待遇或看到公司发生问题时，可以直接提出，还可越级反映。这种企业文化使得人与人之间相处时，彼此之间都能做到互相尊重，消除了对抗和内讧。沃尔玛的成功与沟通 沃尔玛公司的股东大会是全美最大

46、的股东大会，每次大会沃尔玛公司的股东大会是全美最大的股东大会，每次大会公司都尽可能让更多的商店经理和员工参加，让他们看到公司公司都尽可能让更多的商店经理和员工参加，让他们看到公司全貌，做到心中有数。全貌，做到心中有数。萨姆萨姆沃尔顿在每次股东大会结束后，都和妻子邀请所有沃尔顿在每次股东大会结束后，都和妻子邀请所有出席会议的员工约出席会议的员工约2500人到自己的家里举办野餐会，在野餐人到自己的家里举办野餐会，在野餐会上与众多员工聊天，大家一起畅所欲言，讨论公司的现在和会上与众多员工聊天，大家一起畅所欲言，讨论公司的现在和未来。为保持整个组织信息渠道的通畅，他们还与各工作团队未来。为保持整个组织

47、信息渠道的通畅，他们还与各工作团队成员全面注重收集中工的想法和意见，通常还带领所有人参加成员全面注重收集中工的想法和意见，通常还带领所有人参加“沃尔玛公司联欢会沃尔玛公司联欢会”等。等。萨姆萨姆沃尔顿认为让员工们了解公司业务进展情况，与员工沃尔顿认为让员工们了解公司业务进展情况，与员工共享信息，是让员工最大限度地干好其本职工作的重要途径，共享信息，是让员工最大限度地干好其本职工作的重要途径，是与员工沟通和联络感情的核心。而沃尔玛也正是借用共享信是与员工沟通和联络感情的核心。而沃尔玛也正是借用共享信息和分担责任，适应了员工的沟通与交流需求，达到了自己的息和分担责任，适应了员工的沟通与交流需求，达

48、到了自己的目的：使员工产生责任感和参与感，意识到自己的工作在公司目的：使员工产生责任感和参与感，意识到自己的工作在公司的重要性，感觉自己得到了公司的尊重和信任，积极主动地努的重要性，感觉自己得到了公司的尊重和信任，积极主动地努力争取更好的成绩。力争取更好的成绩。没有沟通，企业管理者的领导就难以发挥积极作用，没有顺畅的沟通，企业就谈不上机敏的应变。沟通三、外部沟通方式 l1与投资者和债权人的沟通l投资者和债权人是企业资本的提供者，也是企业风险的主要承担者。因此，企业有必要向他们及时报告企业的战略规划、垒营方针、投融资计划、年度预算、经营成果、财务状况、利润分配方案以及重大担保、合并分立、资产重组

49、等方面的信息。沟通三、外部沟通方式 l2与客户的沟通l客户是企业产品和服务的接受者或消费者，企业经营目标的实现依赖于客户的配合。企业可以通过客户座谈会、走访客户等多种形式，定期听取客户对消费偏好、销售政策、产品质量、售后服务、货款结算等方面的意见和建议，收集客户需求和客户的意见，妥善解决可能存在的控制不当问题。CH为什么陷入困境CH是某软件公司的老板，公司虽然规模很小，但是产品质量还不错，就是营销能力不足，订单一般都是通过各地的一些咨询公司、培训公司获得。每次合作时，CH总是认为这些咨询公司、培训公司只是帮助公司获得市场信息，并不能保障把项目拿下来。所以，在与他们的谈判中，总是毫不退让，咨询公

50、司、培训公司与公司的矛盾日益加深，时间一长，他们都不会把信息给公司，公司的经营处于艰难的境地。沟通三、外部沟通方式 l3与供应商的沟通l供应商处于供应链的上游，对企业的经营活动有很强的制约能力。企业可以通过供需见面会、订货会、业务洽谈会等多种形式与供应商就供货渠道、产品质量、技术性能、交易价格、信用政策、结算方式等问题进行沟通，及时发现可能存在的控制不当问题。沟通三、外部沟通方式 l4与中介机构的沟通 l外部审计师对企业的财务报告进行审计工作，通过一系列完善的审计程序经常能够发现企业日常经营以及财务报告中存在的问题。企业应当定期与外部审计师进行会晤，听取外部审计师有关财务报表审计、内部控制等方