《企业内部控制》教学课件最终版 19.4第十九章信息系统内控方法及措施.pptVIP

* * 《企业内部控制》教改课程 * * 《企业内部控制》教改课程 * * 《企业内部控制》教改课程 * * 《企业内部控制》教改课程 * * 《企业内部控制》教改课程 * * 《企业内部控制》教改课程 * * 《企业内部控制》教改课程 系统设计负责部门就总体设计方案与业务部门进行沟通和讨论，说明方案对用户需求的覆盖情况；信息系统归口管理部门和业务部门应当对选定的设计方案予以书面确认。 参照《GB8567－88计算机软件产品开发文件编制指南》等相关国家标准和行业标准，提高系统设计说明书的编写质量。 建立设计评审制度和设计变更控制流程。 系统设计 环节 系统设计时应充分考虑信息系统建成后的控制环境，将生产经营管理业务流程、关键控制点和处理规程嵌入系统程序，实现手工环境下难以实现的控制功能。 充分考虑信息系统环境下新的控制风险。 针对不同数据输入方式，强化对进入系统数据的检查和校验功能。 考虑在信息系统中设置操作日志功能，确保操作的可审计性。 预留必要后台操作通道，对于必需的后台操作，应当加强管理，保证对后台操作可监控性。 信息系统一般控制的措施 使用版本控制软件系统，保证所有开发人员基于相同的组件环境开展项目工作，协调开发人员对程序的修改。 建立严格测试工作流程，提高最终用户在测试工作中的参与程度，改进测试用例的编写质量，加强测试分析。 编程和测试 环节 建立并执行严格的代码复查评审制度。 建立并执行统一的编程规范，在标识符命名、程序注释等方面统一风格。 信息系统一般控制的措施 系统上线涉及数据迁移的，应当制定详细的数据迁移计划，并对迁移结果进行测试。 制定信息系统上线计划，并经归口管理部门和用户部门审核批准。上线计划一般包括人员培训、数据准备、进度安排、应急预案等内容。 系统上线涉及新旧系统切换的，应当在上线计划中明确应急预案，保证新系统失效时能够顺利切换回旧系统。 上线环节 信息系统一般控制的措施 严格外包服务审批及管控流程，原则上应采用公开招标等形式选择外包服务商，并实行集体决策审批。 信息系统业务外包方式的管控措施 选择外包服务商环节 对外包服务商进行严格筛选。充分考虑服务商的市场信誉、资质条件、财务状况、服务能力、对本企业业务的熟悉程度、既往承包服务成功案例等因素。 借助外包业界基准来判断外包服务商的综合实力。 信息系统一般控制的措施 合同中约定付款事宜时，选择分期付款方式，尾款应当在系统运行一段时间并经评估验收后再支付。 在合同条款中明确要求外包服务商保持专业技术服务团队的稳定性。 签订外包合同环节 与外包服务商签约之前，应针对外包可能出现的各种风险损失，恰当拟定合同条款，对涉及的工作目标、合作范畴、责任划分、所有权归属、付款方式、违约赔偿及合约期限等问题做出详细说明，并由法律部门或法律顾问审查把关。 开发过程中涉及商业秘密、敏感数据的，与外包服务商签订详细的“保密协定” 。 信息系统一般控制的措施 必要时，引入监理机制，降低外包服务风险。 持续跟踪评价外包服务环节 规范外包服务评价工作流程，明确相关部门的职责权限，建立外包服务质量考核评价指标体系，定期对外包服务商进行考评，公布服务周期的评估结果，对外包服务水平的跟踪评价。 信息系统一般控制的措施 选择软件产品和服务供应商时，不仅要评价其现有产品的功能、性能，还要考察其服务支持能力和后续产品的升级能力。 信息系统外购调试方式的管控措施 软件产品选型和供应商选择环节 明确自身需求，对比分析市场上成熟软件产品，合理选择软件产品的模块组合和版本。 进行软件产品选型时应广泛听取行业专家的意见。 信息系统一般控制的措施 选择服务提供商时，不仅要考核其对软件产品的熟悉、理解程度，也要考核其是否深刻理解企业所处行业的特点、是否理解企业个性化需求、是否有过相同或相近的成功案例。 服务供应商选择环节 信息系统一般控制的措施 系统运行和维护阶段 日常维护环节 制定信息系统使用操作程序、信息管理制度以及各模块子系统的具体操作规范，及时跟踪、发现和解决系统运行中存在的问题，确保信息系统持续稳定运行。 做好系统运行记录，尤其是对于系统运行不正常或无法运行的情况。 重视系统运行的日常维护。 配备专业人员负责处理信息系统运行中突发事件，必要时会同系统开发人员或软硬件供应商共同解决。 信息系统一般控制的措施 建立标准流程来实施和记录系统变更，保证变更过程得到适当的授权与管理层的批准，并对变更进行测试。 系统变更程序需要遵循与新系统开发项目同样的验证和测试程序，必要时进行额外测试。 加强紧急变更的控制管理。 加强对将变更移植到生产环境中的控制管理。 系统变更环节 信息系统一般控制的措施 按照国家相关法律法规以及信息安全技术标准，制定信息系统安全实施细则。 有效利用IT技术手段，对硬件