信息系统控制几点体会.docVIP

信息系统控制几点体会 　　摘 要：已经建立内部控制体系的企业都知道信息系统控制是内部控制的重点，也是PCAOB（美国上市公司会计监管委员会）加强对上市公司监管的关键领域之一，实施信息系统控制的目的是为了更好地保护企业的信息资产，提高信息系统对业务的支撑力度，增强企业信息系统的运行效力。本文就信息系统控制建设，推进信息系统控制措施的实施，提出了几个观点。 　　关键词：企业 信息系统控制 管理 　　中图分类号：TP273 文献标识码：A 文章编号：1003-9082（2014）04-0021-01 　　一、信息系统控制概述 　　企业的内部控制体系建设，通常包括信息层面和业务层面两个方面，信息层面的内部控制要求统称为信息系统控制。信息系统控制又分为两个层面来建立和实施，即：信息系统总体控制和信息系统应用控制。 　　1.信息系统总体控制是指企业在信息系统的开发、实施、运行、维护及管理等方面的控制。信息系统总体控制通常包括企业控制环境、信息安全、信息项目建设管理、系统变更管理、系统日常运作、最终用户操作等内容。 　　2.信息系统应用控制是指应用系统中的电算化步骤以及用以控制不同种类交易处理的系统外人工操作程序。信息系统应用控制通常包括人事管理软件、财务管理软件、物资管理软件、销售管理软件等所涵盖的控制。 　　通俗的讲信息系统总体控制就是信息系统项目建设及其运行维护的过程控制要求的总体，而信息系统应用控制就是应用系统已经实现的功能步骤及使用人员的日常操作过程。 　　信息系统总体控制和信息系统应用控制密不可分、相辅相成。前者为体，后者为用，两者共同保证信息控制的有效性。 　　二、信息系统控制建设的必要内容 　　1.编制信息系统控制建设实施方案 　　信息系统控制的建立是一个系统工程，必须由企业信息管理部门负责组织编写实施方案，方案应明确企业各部门的工作职责，将信息系统控制建设划分成若干工作阶段，并明确各时段工作内容和工作成果。 　　方案还应明确建立建设领导小组和工作组。领导小组负责协调解决信息系统控制建设过程中的疑难问题，工作小组完成信息系统控制建设各个时段工作的跟进监督，并给领导小组定期汇报工作。 　　另外，方案应明确信息管理部门负责组织制定信息系统控制的各项管理制度，应用系统隶属部门负责本专业的应用系统日常运行维护管理，企业的信息管理部门是信息系统控制建设总顾问，应该全程参与建设工作。 　　企业各部门按照实施方案，严格履行建设职责，确保各个时段工作内容准确按时完成，顺利推进信息系统控制建设任务。 　　2.建立三类管理制度 　　“没有规矩不成方圆”，中国的上市企业大部分规模巨大，地域广阔，分公司众多，信息应用系统分散，种类繁多，涉及部门多，如果没有统一的管理制度，很难将信息系统控制落到实处，将直接影响信息系统控制运行的有效性。为了达到控制要求，企业应建立统一的信息系统控制管理制度。 　　首先，企业根据自身特点，建立信息系统总体控制管理办法。它是信息系统总体控制体系的纲要性文件，制定了企业信息系统总体控制体系建设与完善的相关原则和策略，它必须包括控制环境、信息安全、项目建设管理、系统变更管理、信息系统日常运作、最终用户操作等内容。 　　其次，企业还需制定应用系统控制管理办法。它是在信息系统总体控制管理办法的指导下，制定的用于指导企业信息系统日常运行、维护和运营管理的具体流程与实施细则。它应该涵盖数据信息的安全性、完整性、准确性和有效性的控制要求及控制程序。安全性控制包括物理安全、逻辑安全、网络安全、病毒防护、第三方安全管理等内容；完整性控制包括所有的建议经过处理且只处理一次、不允许数据的重复录入与处理；准确性控制包括所有的数据是正确和合理的；有效性控制包括交易被适当授权、系统不接受虚假交易、例外情况被发现和处理。 　　企业还应该建立相应的考核激励制度。它应该包括应用系统项目建设、上线运行、更新升级、日常运维等过程中的高效能奖励，应用系统出现问题时的责任追溯惩罚机制，以及对应用系统的管理员、操作员的考核奖惩机制。 　　三、信息系统控制有效执行的必要保障 　　1.完善信息系统控制执行的机制建设，保障执行有力 　　主要是围绕保障控制活动的实施，建立并运行一整套立足激励与约束、目标明确的工作制度、程序和办法，具体解决“如何自觉执行、保障执行、督促执行和提高执行力”的问题。根据信息系统控制的内容，信息系统控制执行机制应当包括：宣传培训机制、监督检查机制、责任机制和奖惩机制。四个机制相互联系、相辅相成，共同构成信息系统控制执行的保障机制。 　　宣传培训机制是旨在提升信息系统控制宣传培训工作质量和效果、营造和活跃氛围、为控制执行提供群众基础和智力支持的一整套制度、办法和运行程序。 　　监督检查机制是