信息传递与信息风险控制.pptVIP

第三节 业务流程信息风险控制 业务流程信息对于支持组织的决策与控制具有重要作用。除了解决组织中经营决策、协调与控制、战略绩效评价等的问题外，业务流程信息也具有分析问题、考察复杂目标与开创新产品的作用 第三十一页，共五十六页。 信息系统----业务目标 促进企业有效实施内部控制，提高企业现代化管理水平，减少人为操纵因素； 增强信息系统的安全性、可靠性和合理性以及相关信息的保密性、完整性和可用性，为建立有效的信息与沟通机制提供支持保障。 第三十二页，共五十六页。 信息系统----基本要求 企业应当重视信息系统在内部控制中的作用，根据内部控制要求，结合组织架构、业务范围、地域分布、技术能力等因素，制定信息系统建设整 体规划，加大投入力度，有序组织信息系统开发、运行与维护，优化管理流程，防范经营风险，全面提升企业现代化管理水平。 企业应当指定专门机构对信息系统建设实施归口管理，明确相关单位的职责权限，建立有效工作机制。企业可委托专业机构从事信息系统的开发、运行和维护工作。 企业负责人对信息系统建设工作负责。 第三十三页，共五十六页。 信息系统----控制流程 制定信息系统 开发战略规划 选择信息系统 开发方式 信息系统的 运行与维护 系统终结 项目 计划 需求 分析 系统 上线 系统 设计 编程 测试 日常运行维护 系统变更 安全管理 自行 开发 软件产品选型 和供应商选择 服务提供 商选择 外购 调试 选择外包 服务商 签订 外包合同 持续跟踪评价外包 服务商的服务过程 业务 外包 第三十四页，共五十六页。 中国“企业内部控制应用指引第18号—信息系统”指出，企业利用信息系统实施内部控制至少应当关注下列风险： 一是信息系统缺乏或规划不合理，可能造成信息孤岛或重复建设，导致企业经营管理效率低下； 二是系统开发不符合内部控制要求，授权管理不当，可能导致无法利用信息技术实施有效控制； 三是系统运行维护和安全措施不到位，可能导致信息泄漏或损，系统无法正常运行。 信息系统----业务风险 第三十五页，共五十六页。 1.信息系统的开发环节 企业应当根据信息系统建设整体规划提出项目建设方案，明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容，按照规定的权限和程序审批后实施。 企业信息系统归口管理部门应当组织内部各单位提出开发要求和关键控制点，规范开发流程，明确系统设计、编程、安装调试、验收、上线等全过程的管理要求，严格按照建设开发方案、开发流程和相关要求组织开发工作。 方式：自行开发、外购调试、业务外包。 信息系统----风险控制措施 第三十六页，共五十六页。 企业应当根据业务性质、重要性程度、涉密情况等确定信息系统的安全等级，建立不同等级信息的授权使用制度，采用相应技术手段保证信息系统运行安全有序 企业应当建立信息系统安全保密和泄密责任追究制度 委托专业机构进行系统运行与维护管理的，应当审查该机构的资质，并与其签订服务合同和保密协议。企业应当采取安装安全软件等措施防范信息系统受到病毒等恶意软件的感染和破坏 2.信息系统的运行与维护环节 第三十七页，共五十六页。 企业应当建立用户管理制度，加强对重要业务系统的访问权限管理，定期审阅系统账号，避免授权不当或存在非授权账号，禁止不相容职务用户账号的交叉操作 企业应当综合利用防火墙、路由器等网络设备，漏洞扫描、入侵检测等软件技术以及远程访问安全策略等手段，加强网络安全，防范来自网络的攻击和非法侵入 第三十八页，共五十六页。 企业对于通过网络传输的涉密或关键数据，应当采取加密措施，确保信息传递的保密性、准确性和完整性 企业应当建立系统数据定期备份制度，明确备份范围、频度、方法、责任人、存放地点、有效性检查等内容 企业应当加强服务器等关键信息设备的管理，建立良好的物理环境，指定专人负责检查，及时处理异常情况 未经授权，任何人不得接触关键信息设备 第三十九页，共五十六页。 案例：海空物流公司信息系统 海空物流公司通过GPS（全球卫星系统），实现了对所有运输车辆24小时监控，所有仓库安装了CCTV监视系统，对出入仓库的人员实行指纹身份识别方式，对仓库中进出和存放的货物实行条形码管理。 通过全程动态监控对供应链上每个成员的信息、行为和服务结果检查，鉴别出整个供应链上的冗余行为和非增值行为。 为保证信息系统的安全，对系统的制度严格执行，每月都要进行系统准入核对（system access reconciliation）。 第四十页，共五十六页。 第7章 信息传递与信息风险控制 第一节 信息传递与信息风险控制概述 第二节 财务报告内部控制 第三节 业务流程信息控制 第四节 信息传递与信息风险控制案例 第一页，共五十六页。 信息