第七章信息传递与信息风险控制精品.pptVIP

美国证券交易委员会（SEC）2003年财务报告内部控制定义： 由公司的首席执行官、首席财务官或者公司行使类似职权的人员设计或监管的，受到公司的董事会、管理层和其他人员影响的，为财务报告的可靠性和满足外部使用的财务报表编制符合公认会计准则提供合理保证的控制程序。 1.审计委员会在财务报告内部控制方面发挥着主要的功能，比如：监督财务报告过程和内部控制有效性，保证财务报告的可靠新。 2.审计委员会在发现和防止财务报告欺诈方面扮演着重要的角色，其职责通常被要求在公司章程中予以明确规定。 信息系统----业务目标 促进企业有效实施内部控制，提高企业现代化管理水平，减少人为操纵因素； 增强信息系统的安全性、可靠性和合理性以及相关信息的保密性、完整性和可用性，为建立有效的信息与沟通机制提供支持保障。 信息系统----基本要求 企业应当重视信息系统在内部控制中的作用，根据内部控制要求，结合组织架构、业务范围、地域分布、技术能力等因素，制定信息系统建设整 体规划，加大投入力度，有序组织信息系统开发、运行与维护，优化管理流程，防范经营风险，全面提升企业现代化管理水平。 企业应当指定专门机构对信息系统建设实施归口管理，明确相关单位的职责权限，建立有效工作机制。企业可委托专业机构从事信息系统的开发、运行和维护工作。 企业负责人对信息系统建设工作负责。 信息系统----控制流程 1.信息系统的开发环节 企业应当根据信息系统建设整体规划提出项目建设方案，明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容，按照规定的权限和程序审批后实施。 企业信息系统归口管理部门应当组织内部各单位提出开发要求和关键控制点，规范开发流程，明确系统设计、编程、安装调试、验收、上线等全过程的管理要求，严格按照建设开发方案、开发流程和相关要求组织开发工作。 方式：自行开发、外购调试、业务外包。 第三节 业务流程信息风险控制 业务流程信息对于支持组织的决策与控制具有重要作用。除了解决组织中经营决策、协调与控制、战略绩效评价等的问题外，业务流程信息也具有分析问题、考察复杂目标与开创新产品的作用 制定信息系统 开发战略规划 选择信息系统 开发方式 信息系统的 运行与维护 系统终结 项目 计划 需求 分析 系统 上线 系统 设计 编程 测试 日常运行维护 系统变更 安全管理 自行 开发 软件产品选型 和供应商选择 服务提供 商选择 外购 调试 选择外包 服务商 签订 外包合同 持续跟踪评价外包 服务商的服务过程 业务 外包 中国“企业内部控制应用指引第18号—信息系统”指出，企业利用信息系统实施内部控制至少应当关注下列风险： 一是信息系统缺乏或规划不合理，可能造成信息孤岛或重复建设，导致企业经营管理效率低下； 二是系统开发不符合内部控制要求，授权管理不当，可能导致无法利用信息技术实施有效控制； 三是系统运行维护和安全措施不到位，可能导致信息泄漏或损，系统无法正常运行。 信息系统----业务风险 信息系统----风险控制措施 企业应当根据业务性质、重要性程度、涉密情况等确定信息系统的安全等级，建立不同等级信息的授权使用制度，采用相应技术手段保证信息系统运行安全有序 企业应当建立信息系统安全保密和泄密责任追究制度 委托专业机构进行系统运行与维护管理的，应当审查该机构的资质，并与其签订服务合同和保密协议。企业应当采取安装安全软件等措施防范信息系统受到病毒等恶意软件的感染和破坏 2.信息系统的运行与维护环节 企业应当建立用户管理制度，加强对重要业务系统的访问权限管理，定期审阅系统账号，避免授权不当或存在非授权账号，禁止不相容职务用户账号的交叉操作 企业应当综合利用防火墙、路由器等网络设备，漏洞扫描、入侵检测等软件技术以及远程访问安全策略等手段，加强网络安全，防范来自网络的攻击和非法侵入 企业对于通过网络传输的涉密或关键数据，应当采取加密措施，确保信息传递的保密性、准确性和完整性 企业应当建立系统数据定期备份制度，明确备份范围、频度、方法、责任人、存放地点、有效性检查等内容 企业应当加强服务器等关键信息设备的管理，建立良好的物理环境，指定专人负责检查，及时处理异常情况 未经授权，任何人不得接触关键信息设备 案例：海空物流公司信息系统 海空物流公司通过GPS（全球卫星系统），实现了对所有运输车辆24小时监控，所有仓库安装了CCTV监视系统，对出入仓库的人员实行指纹身份识别方式，对仓库中进出和存放的货物实行条形码管理。 通过全程动态监控对供应链上每个成员的信息、行为和服务结果检查，鉴别出整个供应链上的冗余行为和非增值行为。 为保证信息系统的安全，对系统的制度严格执行，每月都要进行系统准入核对（system access reconcil