企业控制体系建设十二.pdfVIP

(三)报告使用环节的关键控制点及控制措施

1.企业各级管理人员应当充分利用报告管理和指导企业的生产经营活动，及时反

映全面预算执行情况，协调企业相关部门和各单位的运营进度，严格和责任追

究，确保企业实现发展目标。

2.企业应当有效利用报告进行风险评估，准确识别和系统分析企业生产经营活动

中的内外部风险，确定风险应对策略，实现对风险的有效控制。对于报告反映出的生产

经营管理中存在的突出问题和重大风险，应当启动应急预案。

3.企业应当制定严格的报告制度，明确内容、措施、密级程度和传

递范围，防止商业。

4.企业应当建立报告的评估制度，定期对报告的形成和使用进行全面评估，

重点关注报告的及时性、安全性和有效性。

十三、信息系统控制

信息系统，是指企业利用计算机和通信技术，对控制进行集成、转化和提升所形成

的管理平台。

信息系统控制的目标是促进企业有效实施控制，提高企业现代化管理水平，减

少人为因素；同时，增强信息系统的安全性、可靠性和合理性以及相关信息的性、

完整性和可用性，为建立有效的信息与沟通机制支持保障。信息系统控制的主要对

象是信息系统，由计算机硬件、软件、人员、信息流和运行规程等要素组成。

(一)信息系统开发、运行与过程中的主要风险

1.信息系统缺乏或规划不合理，可能造成信息孤岛或重复建设，导致企业经营管理效

率低下。

2.系统开发不符合控制要求，管理不当，可能导致无法利用实施有

效控制。

3.系统运行和安全措施，可能导致信息泄漏或毁损，系统无法正常运行。

企业应当重视信息系统在控制中的作用，根据控制要求，结合组织架构、业务

范围、地域分布、技术能力等因素，制定信息系统建设整体规划，加大投入，有序组织

信息系统开发、运行与，优化管理流程，防范经营风险，全面提升企业现代化管理水平。

企业应当指定专门机构对信息系统建设实施归口管理，明确相关单位的职责权限，建立

有效工作机制。企业可委托专业机构从事信息系统的开发、运行和工作。

企业对信息系统建设工作负责。换言之，信息系统建设是“”工程。只有

企业站在战略和全局的高度亲自组织信息系统建设工作，才能统一思想、提高认

识、加强协调配合，从而推动信息系统建设在整合资源的前提下高效、协调推进。

(二)信息系统开发环节的关键控制点及控制措施

1.企业应当根据信息系统建设整体规划提出项目建设方案，明确建设目标、人员配备、

职责分工、保障和进度安排等相关内容，按照规定的权限和程序后实施。

企业信息系统归口管理部门应当组织各单位提出开发需求和关键控制点，规范开发

流程，明确系统设计、编程、安装调试、验收、上线等全过程的管理要求，严格按照建设方

案、开发流程和相关要求组织开发工作。

2.企业可以采取自行开发、外购调试、业务外包等方式开发信息系统。选定外购调试

或业务外包方式的，应当采用公开招标等形式择优确定供应商或开发单位。

3.企业开发信息系统，应当将生产经营管理业务流程、关键控制点和处理规则嵌入系

统程序，实现手工环境下难以实现的控制功能。企业应当在信息系统中设置操作日志功能，

确保操作的可审计性。对异常的或者违背控制要求的和数据，应当设计由系统自动

报告并设置处理机制。

企业在系统开发过程中，应当按照不同业务的控制要求，通过信息系统中的权限管理功

能控制用户的操作权限，避免将不相容职责的处理权限授予同一用户。企业应当针对不同数

据的输入方式，考虑对进入系统数据的检查和校验功能。对于必需的操作，应当加强管

理，建立规范的流程制度，作情况进行或者审计。企业应当在信息系统中设置操作

日志功能，确保操作的可审计性。对异常的或者违背控制要求的和数据，应当设计

由系统自动报告并设置处理机制。

4.企业信息系统归口管理部门应当加强信息系统开发全过程的