财政部会计司解读《企业内部控制应用指引第18号——信息系统》-精简.pdfVIP

优化信息系统提升管理水平

——财政部会计司解读《企业内部控制应用指引第18号——信息系统》

一、信息系统内部控制概述

《企业内部控制应用指引第18号———信息系统》中所指信息系统，是指企业利用

计算机和通信技术，对内部控制进行集成、转化和提升所形成的信息化管理平台。信息系

统内部控制的主要对象是信息系统，由计算机硬件、软件、人员、信息流和运行规程等要

素组成。

二、信息系统的开发

企业根据发展战略和业务需要进行信息系统建设，首先要确立系统建设目标，根据目

标进行系统建设战略规划，再将规划细化为项目建设方案。

选择外购调试或业务外包方式的，应当采用公开招标等形式择优选择供应商或开发单

位。选择自行开发信息系统的，信息系统归口管理部门应当组织企业内部相关业务部门进

行需求分析，合理配置人员，明确系统设计、编程、安装调试、验收、上线等全过程的管

理要求。企业信息系统归口管理部门应当加强信息系统开发全过程的跟踪管理，增进开发

单位与企业内部业务部门的日常沟通和协调，组织独立于开发单位的专业机构对开发完成

的信息系统进行检查验收，并组织系统上线运行。

三、信息系统的运行与维护

信息系统的运行与维护主要包含三方面的内容：日常运行维护、系统变更和安全管理。

（一）日常运行维护的关键控制点和主要控制措施

日常运行维护的目标是保证系统正常运转，主要工作内容包括系统的日常操作、系统

的日常巡检和维修、系统运行状态监控、异常事件的报告和处理等。这一环节的主要风险

是：第一，没有建立规范的信息系统日常运行管理规范，计算机软硬件的内在隐患易于爆

发，可能导致企业信息系统出错。第二，没有执行例行检查，导致一些人为恶意攻击会长

期隐藏在系统中，可能造成严重损失。第三，企业信息系统数据未能定期备份，可能导致

损坏后无法恢复，从而造成重大损失。

主要控制措施：第一，企业应制定信息系统使用操作程序、信息管理制度以及各模块

子系统的具体操作规范，及时跟踪、发现和解决系统运行中存在的问题，确保信息系统按

照规定的程序、制度和操作规范持续稳定运行。第二，切实做好系统运行记录，尤其是对

于系统运行不正常或无法运行的情况，应将异常现象、发生时间和可能的原因作出详细记

录。第三，企业要重视系统运行的日常维护，在硬件方面，日常维护主要包括各种设备的

保养与安全管理、故障的诊断与排除、易耗品的更换与安装等，这些工作应由专人负责。

第四，配备专业人员负责处理信息系统运行中的突发事件，必要时应会同系统开发人员或

软硬件供应商共同解决。

（二）系统变更的关键控制点和主要控制措施

系统变更主要包括硬件的升级扩容、软件的修改与升级等。系统变更是为了更好地满

足企业需求，但同时应加强对变更申请、变更成本与进度的控制。这一环节的主要风险是：

第一，企业没有建立严格的变更申请、审批、执行、测试流程，导致系统随意变更。第二，

系统变更后的效果达不到预期目标。

主要控制措施：第一，企业应当建立标准流程来实施和记录系统变更，保证变更过程

得到适当的授权与管理层的批准，并对变更进行测试。信息系统变更应当严格遵照管理流

程进行操作。信息系统操作人员不得擅自进行软件的删除、修改等操作；不得擅自升级、

改变软件版本；不得擅自改变软件系统的环境配置。第二，系统变更程序(如软件升级)需

要遵循与新系统开发项目同样的验证和测试程序，必要时还应当进行额外测试。第三，企

业应加强紧急变更的控制管理。第四，企业应加强对将变更移植到生产环境中的控制管理，

包括系统访问授权控制、数据转换控制、用户培训等。

（三）安全管理的关键控制点和主要控制措施

安全管理的目标是保障信息系统安全，信息系统安全是指信息系统包含的所有硬件、

软件和数据受到保护，不因偶然和恶意的原因而遭到破坏、更改和泄漏，信息系统能够连

续正常运行。这一环节的主要风险是：第一，硬件设备分布物理范围广，设备种类繁多，

安全管理难度大，可能导致设备生命周期短。第二，业务部门信息安全意识薄弱，对系统

和信息安全缺乏有效的监管手段。少数员工可能恶意或非恶意滥用系统资源，造成系统运

行效率降低。第三，对系统程序的缺陷或漏洞安全防护不够，导致遭受黑客攻击，造成信

息泄露。第四，对各种计算机病毒防范清理不力，导致系统运行不稳定甚至瘫痪。第五，

缺乏对信息系统操作人员的严密监控，可能导致舞弊和利用计算机犯罪。

主要控制措施是：

第一，建立信息系统相关