基础-六章企业控制.pdfVIP

第六章企业控制

第二节企业控制

三、企业业务层面控制

（十三）信息系统控制

信息系统，是指企业利用计算机和通信技术，对控制进行集成、转化和提升所形成

的信息化管理平台。企业应当重视信息系统在控制中的作用，根据控制要求，结合

组织架构、业务范围、地域分布、技术能力等因素，制定信息系统建设整体规划，加大投入

，有序组织信息系统开发、运行与，优化管理流程，防范经营风险，全面提升企业

现代化管理水平。

1.信息系统开发、运行与过程中的主要风险

（1）信息系统缺乏或规划不合理，可能造成信息孤岛或重复建设，导致企业经营管理效

率低下。

（2）系统开发不符合控制要求，管理不当，可能导致无法利用实施有

效控制。

（3）系统运行和安全措施，可能导致信息泄漏或毁损，系统无法正常运行。

2.信息系统开发环节的关键控制点及控制措施

（1）企业应当根据信息系统建设整体规划提出项目建设方案，明确建设目标、人员配备、

职责分工、经费保障和进度安排等相关内容，按照规定的权限和程序后实施。

（2）企业可以采取自行开发、外购调试、业务外包等方式开发信息系统。选定外购调试

或业务外包方式的，应当采用公开招标等形式择优确定供应商或开发单位。

（3）企业开发信息系统，应当将生产经营管理业务流程、关键控制点和处理规则嵌入系

统程序，实现手工环境下难以实现的控制功能。企业应当在信息系统中设置操作日志功能，

确保操作的可审计性。对异常的或者违背控制要求的和数据，应当设计由系统自动

报告并设置处理机制。

（4）企业信息系统归口管理部门应当加强信息系统开发全过程的管理，组织开发单

位与各单位的日常沟通和协调，督促开发单位按照建设方案、进度和质量要求完成

编程工作，对配备的硬件设备和系统软件进行检查验收，组织系统上线运行等。

（5）企业应当组织独立于开发单位的专业机构对开发完成的信息系统进行验收测试，确

保在功能、性能、控制要求和安全性等方面符合开发需求。

（6）企业应当切实做好信息系统上线的各项准备工作，培训业务操作和系统管理人员，

制定科学的上线和新旧系统转换方案，考虑应急预案，确保新旧系统顺利切换和平稳衔

接。系统上线涉及数据迁移的，还应制订详细的数据迁移。

3.信息系统运行与环节的关键控制点及控制措施

（1）企业应当加强信息系统运行与的管理，制定信息系统工作程序、信息管理制度

以及各模块子系统的具体操作规范，及时、发现和解决系统运行中存在的问题，确保信

息系统按照规定的程序、制度和操作规范持续稳定运行。

（2）企业应当建立信息系统变更管理流程，信息系统变更应当严格遵照管理流程进行操

作。信息系统操作人员不得擅自进行系统软件的删除、修改等操作；不得擅自升级、改变系

统软件版本；不得擅自改变软件系统环境配置。

（3）企业应当根据业务性质、重要性程度、涉密情况等确定信息系统的安全等级，建立

不同等级信息的使用制度，采用相应技术保证信息系统运行安全有序。企业应当建

立信息系统安全和泄密责任制度。

（4）企业应当建立用户管理制度，加强对重要业务系统的权限管理，定期审阅系统

账号，避免