审计 内部控制指引[企业审计管理推荐].pptVIP

（四）反担保财产管理：妥善保管被担保人用于反担保的财产和权利凭证，定期核实财产的存续状况和价值，发现问题及时处理，确保反担保财产安全完整。 （五）担保业务责任追究制度：对在担保中出现重大决策失误、未履行集体审批程序或不按规定执行担保业务的部门及人员，应当严格追究责任人的责任。 （六）担保清理与档案管理：在担保合同到期时，应全面清理用于担保的财产、权利凭证，按照合同约定及时终止担保关系。企业应当指定专人妥善保管担保合同、与担保合同相关的主合同、反担保函或反担保合同，以及抵押、质押权利凭证和有关的原始资料，切实做到担保业务档案完整无缺。 企业内部控制应用指引第21号—信息系统 第一章 总则 目标：促进企业有效实施内部控制，提高企业现代管理水平， 减少人为操纵因素。 定义：本指引所称信息系统，是指企业利用计算机和通信技 术，对内部控制进行集成、转化和提升所形成的信息化 管理平台。 关键风险： （一）缺乏整体规划或者规划不合理，可能导致企业形成信 息孤岛、重复建设、资源浪费： （二）系统开发不符和内部控制要求，授权管理不当，可能 导致无法利用信息技术实施有效控制： （三）系统运行维护和安全措施不到位，可能导致信息泄露 或毁损，系统无法正常运行。 总体要求： 重视信息系统在内部控制建设中的作用，根据企业内部控制要求，结合组织架构、业务范围、地域分布、技术能力等因素、制定信息系统建设整体规划，加大投入力度，有序组织信息系统开发、运行与维护，优化管理流程，防范经营风险，全面提升企业现代化管理水平。企业应当指定专门机构对信息系统建设实施归口管理，明确相关单位的职责权限，建立有效工作机制。企业可以委托专业机构对从事信息系统的开发、运行和维护工作。 例：中国银行2001年，将所属1040个电脑中心，统一电算化系统，反映出4.83亿美元的亏空。说明信息化的重要性。 第二章 信息系统的开发 主要业务流程和关键控制点： （一）整体规划：提出项目建设方案，明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容，按照规定的权限和程序审批后实施。 （二）归口管理：归口管理机构应当组织内部各单位提出开发需求和关键控制点，规范开发流程，明确系统设计、编程、安装调试，验收、上线等全过程的管理要求，严格按照建设方案、开发流程和相关要求组织开发工作。 （三）需求嵌入：应当将生产经营管理全部业务流程、关键控制点和处理规则嵌入系统程序，实现手工环境下难以实现的控制功能。 例：上海医药应收款管理实行“两个锁定”（客户、限额），“三张黄牌”，考核四次达不到一张黄牌，罚款500-5000。三张离职，解决问题再说。 “落实责任、实行追究、经济惩罚、岗位制裁” （四）权限设定：通过信息系统中的权限管理功能控制用户的操作权限，避免将不同职责的处理权限授予同一用户。 （五）数据查验与后台管理：应当针对不同数据的输入方式，考虑对进入系统数据的检查和校验功能：避免后台操作系统数据，对于必须的后台操作，应当加强管理，建立规范的流程制度，对操作情况进行监控或者审计。企业应当在信息系统设置操作日志功能，确保操作的可审计性：对异常的或者违背内部控制要求的交易和数据，应当设计由系统自动报告。 例：昂纳迪尔计算机系统控制，重要业务超过7天，系统自动锁定该业务，业务停止，完成后系统解码才能继续工作。 （六）过程管理：组织开发单位与内部各单位的日常沟通和协调，督促开发单位按照建设方案、计划进度和质量要求完成编程工作，对配备的硬件设备和系统软件进行检查验收，组织系统上线运行等。 例：系统变化与经营结构不配套 人员变动与系统管理脱节 （七）验收测试：确保在功能、性能、控制要求和安全性等方面符合开发需求。 （八）上线准备：培训系统操作和系统管理人员，制定科学的上线计划和新旧系统转换方案，考虑应急预案，确保新旧系统顺利切换和平稳衔接。系统上线涉及数据迁移的，还应指定详细的数据迁移计划。 第三章 信息系统的运行与维护 主要业务流程和关键控制点： （一）管理制度与操作规范：及时跟踪、发现和解决系统运行中存在的问题，确保信息系统按照规定的程序、制度和操作规范持续稳定运行。信息系统操作人员不得擅自进行系统软件的删除、修改的操作，不得擅自升级、改变系统软件版本，不得擅自改变软件系统环境配置。 例