《企业内部控制》教学课件最终版 19.2第十九章信息系统风险.pptVIP

* * 《企业内部控制》教改课程 * * 《企业内部控制》教改课程 * * 《企业内部控制》教改课程 * * 《企业内部控制》教改课程 1 1 《企业内部控制》教改课程 1 《企业内部控制》 1 企业内部控制 INTERNAL CONTROL OF THE ENTERPRISE 《企业内部控制 应用指引18号—信息系统》 信息系统内部控制 需关注的风险 马琳英副教授 信息系统需要关注的风险 信息系统一般控制的风险 信息系统应用控制的风险 提纲 《企业内部控制应用指引第18号》--信息系统 信息系统内部控制需关注的风险 * 信息系统需要关注的风险 《企业内部控制应用指引18号》—信息系统总则中第三条指出：企业信息系统至少关注下列风险： 信息系统缺失或规划不合理，可能造成信息孤岛或重复建设，导致企业经营管理效率低下。 系统开发不符合内部控制要求，授权管理不当，可能导致无法利用信息技术实施有效控制。 系统运行维护和安全措施不到位，可能导致信息泄露或毁损，系统无法正常运行。 信息系统一般控制的风险 缺乏战略规划或规划不合理，可能造成信息孤岛或重复建设，导致企业经营管理效率低下。 没有将信息化与企业业务需求结合，降低了信息系统的应用价值。 战略规划风险 02 自行开发 01 业务外包 03 外购调试 优点：开发人员熟悉企业情况，可较好满足本企业需求；培养锻炼自己开发队伍，便于后期运行和维护 缺点：开发周期较长、技术水平和规范程度较难保证，成功率相对较低 优点：开发建设周期短；成功率较高；成熟商品化软件质量稳定，可靠性高；专业软件提供商实施经验丰富。 缺点：难以满足企业特殊需求；系统后期升级进度受制于商品化软件供应商产品更新换代速度，企业自主权较为被动 优点：利用专业公司专业优势，构建满足企业需求的个性化系统；不必培养、维持庞大开发队伍，节约了人力资源成本 缺点：沟通成本高，系统开发方难理解企业需求，开发出的信息系统与企业期望有偏差；企业必须加大对外包项目的监督力度，以确保外包信息系统质量 信息系统的三种开发方式 信息系统一般控制的风险 项目计划方面： 信息系统建设缺乏项目计划或者计划不当。导致项目进度滞后、费用超支、质量低下。 开发建设风险-----自行开发方式下 需求分析方面： 1.需求本身不合理。对信息系统提出的功能、性能、安全性等方面要求不符合业务处理和控制需要。 2.技术上不可行、经济上成本效益倒挂，或与国家有关法规制度冲突。 3.需求文档表述不准确、不完整。未能真实全面地表达企业需求，存在表述缺失、表述不一致甚至表述错误等问题。 信息系统一般控制的风险 系统设计方面： 1.设计方案不能完全满足用户需求，不能实现需求文档规定的目标。 2.设计方案未能有效控制建设开发成本，不能保证建设质量和进度。 3.设计方案不全面，导致后续变更频繁。 4.设计方案没有考虑信息系统建成后对内部控制的影响，导致系统运行后衍生新的风险。 开发建设风险-----自行开发方式下 信息系统一般控制的风险 编程和测试方面 1.编程结果与设计不符。 2.各程序员编程风格差异大，程序可读性差，导致后期维护困难，维护成本高。 3.缺乏有效的程序版本控制，导致重复修改或修改不一致等问题。 4.测试不充分。 开发建设风险-----自行开发方式下 信息系统一般控制的风险 上线方面 1.缺乏完整可行的上线计划，导致系统上线混乱无序。 2.人员培训不足，不能正确使用系统，导致业务处理错误，或者未能充分利用系统功能，导致开发成本浪费。 3.初始数据准备设置不合格，导致新旧系统数据不一致、业务处理错误。 开发建设风险-----自行开发方式下 信息系统一般控制的风险 选择外包服务商方面------企业与外包服务商之间本质上是一种“委托—代理”关系，合作双方信息不对称容易诱发道德风险，外包服务商可能会实施损害企业利益自利行为。 开发建设风险-----业务外包方式下 签订外包合同方面----合同条款不准确、不完善，导致企业正当权益无法得到有效保障。 持续跟踪评价外包服务商的服务过程方面---缺乏外包服务跟踪评价机制或跟踪评价不到位，可能导致外包服务质量水平不能满足企业信息系统开发需求。 信息系统一般控制的风险 开发建设风险----外购调试方式下 软件产品选型和供应商选择方面 1. 软件产品选型不当，产品在功能、性能、易用性等方面无法满足企业需求。 2. 软件供应商选择不当，产品的支持服务能力不足，产品的后续升级缺乏保障。 服务供应商选择方面 服务提供商选择不当，削弱了外购软件产品的功能发挥，无法有效满足用户需求。 信息系统一般控制的风险 一、日常维护方面 1. 没有建立规范的信息系统日常运行管理规范，计算机软硬件的内在