《企业内部控制应用指引第 17 号——内部信息传递》一、信息系统内部控制概述 《企业内部控制应用指引第 18 号——信息系统》中所指信息系统,是指企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。信息系统内部控制的目标是促进企业有效实施内部控制,提高企业现代化管理水平,减少人为操纵因素;同时,增强信息系统的安全性、可靠性和合理性以及相关信息的保密性、完整性和可用性,为建立有效的信息与沟通机制提供支持保障。信息系统内部控制的主要对象是信息系统,由计算机硬件、软件、人员、信息流和运行规程等要素组成。 企业信息系统内部控制以及利用信息系统实施内部控制至少应当关注下列方面:1、信息系统缺乏或规划不合理,可能造成信息孤岛或重复建设,导致企业经营管理效率低下;2、系统开发不符合内部控制要求,授权管理不当,可能导致无法利用信息技术实施有效控制;3、系统运行维护和安全措施不到位,可能导致信息泄漏或毁损,系统无法正常运行。 二、信息系统的开发 企业根据进展战略和业务需要进行信息系统建设,首先要确立系统建设目标,根据目标进行系统建设战略规划,再将规划细化为项目建设方案。企业开展信息系统建设,可以根据实际情况,选择自行开发、外购调试或业务外包等方式。选择外购调试或业务外包方式的,应当采纳公开招标等形式择优选择供应商或开发单位。选择自行开发信息系统的,信息系统归口管理部门应当组织企业内部相关业务部门进行需求分析,合理配置人员,明确系统设计、编程、安装调试、验收、上线等全过程的管理要求。企业信息系统归口管理部门应当加强信息系统开发全过程的跟踪管理,增进开发单位与企业内部业务部门的日常沟通和协调,组织独立于开发单位的专业机构对开发完成的信息系统进行检查验收,并组织系统上线运行。(一)制定信息系统开发的战略规划信息系统开发的战略规划是信息化建设的起点。战略规划是以企业进展战略为依据制定的企业信息化建设的全局性、长期性规划。制定信息系统战略规划的主要风险是:缺乏战略规划或规划不合理,可能造成信息孤岛或重复建设,导致企业经营管理效率低下;没有将信息化与企业业务需求结合,降低了信息系统的应用价值。主要控制措施:第一,企业必须制定信息系统开发的战略规划和中长期进展计划,并在每年制定经营计划的同时制定年度信息系统建设计划,促进经营管理活动与信息系统的协调统一。第二,企业在制定信息...
