基本规范要求企业应当利用信息技术促进信息的集成与共享,充分发挥信息技术在信息与沟通中的作用。企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全稳定运行。
我们理解信息需要借助信息系统加以识别、获取、分析、处理及报告,信息系统就是为企业管理人员提供必要信息的系统,是指利用计算机技术对业务和信息进行集成处理的程序、数据和文档等的总称。信息系统对于满足企业经营、报告和合规性方面的作用越来越重要,因此加强对信息系统的控制成为管理层关注的焦点。总体来说,信息系统的控制可分为一般控制及应用控制。
信息系统一般控制是指与多个应用系统有关的政策和程序,有助于保证信息系统持续恰当地运行(包括信息的完整性和数据的安全性),支持应用控制作用的有效发挥,通常包括数据中心和网络运行控制,系统软件的购置、修改及维护控制,接触或访问权限控制,应用系统的购置、开发及维护控制。
信息系统应用控制是指主要在业务流程层次运行的人工或自动化程序,与用于生成、记录、处理、报告交易或其他财务数据的程序相关,通常包括检查数据计算准确性,审核账户和试算平衡表,设置对输入数据和数字序号的自动检查,以及对例外报告进行人工干预。
就信息系统一般控制而言,在实际工作中,企业至少应当关注涉及信息系统一般控制的信息系统开发与使用违反国家法律法规,可能遭受外部处罚、经济损失和信誉损失;信息系统开发与使用未经适当审核或超越授权审批,可能因重大差错、舞弊、欺诈而导致损失;信息系统设计功能不科学、维护与变更程序不规范,可能导致企业经营效率与效果低下;信息系统外包服务未恰当履行或监控不当,可能导致企业权益受损或违约损失;信息系统访问安全措施不当,可能导致商业秘密泄露;信息系统硬件管理不当,可能导致企业资产或股东权益受损等方面的风险。
针对信息系统一般控制中容易出现的风险问题,企业在建立与实施信息系统内部控制中,至少应当强化对下列关键方面或者关键环节的控制:
一是职责分工、权限范围和审批程序应当明确规范,机构设置和人员配备应当科学合理,重大信息系统开发与使用事项应履行审批程序。
具体来说,企业应当建立计算机信息系统岗位责任制,计算机信息系统岗位一般包括:系统分析:分析用户的信息需求,并据此制定设计或修改程序的方案。编程:编写计算机程序来执行系统分析岗位的设计或修改方案。测试:设计测试方案,对计算机程序是否满足设计或修改方案进行测试,并通过反馈给编程岗位以修改程序并最终满足方案。程序管理:负责保障并监控应用程序正常运行。数据库管理:对信息系统中的数据进行存储、处理、管理,维护组织数据资源。数据控制:负责维护计算机路径代码的注册,确保原始数据经过正确授权,监控信息系统工作流程,协调输入和输出,将输入的错误数据反馈到输入部门并跟踪监控其纠正过程,将输出信息分发给经过授权的用户。终端操作:终端用户负责记录交易内容,授权处理数据,并利用系统输出的结果。
系统开发和变更过程中不相容岗位(或职责)一般应包括:开发(或变更)立项、审批、编程、测试。系统访问过程中不相容岗位(或职责)一般应包括:申请、审批、操作、监控。
企业计算机信息系统战略规划、重要信息系统政策等重大事项应当经由董事会(或者由企业章程规定的经理、厂长办公会等类似的决策、治理机构)审批通过后,方可实施。信息系统战略规划应当与企业业务目标保持一致。信息系统使用部门应该参与信息系统战略规划、重要信息系统政策等的制定。
企业可以指定专门部门(或岗位,下称归口管理部门)对计算机信息系统实施归口管理,负责信息系统开发、变更、运行、维护等工作。
财会部门负责信息系统中各项业务账务处理的准确性和及时性;会计电算化制度的制定;财务系统操作规定等。
生产、销售、仓储及其他部门(下称用户部门)应当根据本部门在信息系统中的职能定位,参与信息系统建设,按照归口管理部门制定的管理标准、规范、规章来操作和运用信息系统。
企业管理层应该明确定义系统归口管理部门和用户部门(含财会部门)在保证系统正常安全运行过程中各自承担的职责,制定部门之间的职责分工表。
二是信息系统开发、变更和维护流程应当清晰合理。具体控制政策和措施包括:
计算机信息系统开发包括自行设计、外购调试和外包合作开发。企业在开发信息系统时,应当充分考虑业务和信息的集成性,优化流程,并将相应的处理规则(交易权限)嵌入到系统程序中,以预防、检查、纠正错误和舞弊行为,确保企业业务活动的真实性、合法性和效益性。
企业计算机信息系统开发应当遵循以下原则:
因地制宜原则:企业应当根据行业特点、企业规模、管理理念、组织结构、核算方法等因素设计适合本单位的计算机信息系统。
成本效益原则:计算机信息系统的建设应当能起到降低成本、纠正偏差的作用,根据成本效益原则,企业可以选择对重要领域中关键因素进行信息系统改造。
理念与技术并重原则:计算机信息系统建设应当将信息系统技术与信息系统管理理念整合,企业应当倡导全体员工积极参与信息系统建设,正确理解和使用信息系统,提高信息系统运作效率。
信息系统开发必须经过正式授权。具体程序包括:用户部门提出需求;归口管理部门审核;企业负责人授权批准;系统分析人员设计方案;程序员编写代码;测试员进行测试;系统最终上线;系统维护等。
企业应当成立项目管理小组,负责信息系统的开发,对项目整个过程实施监控。对于外包合作开发的项目,企业应当加强对外包第三方的监控。外购调试或外包合作开发等需要进行招投标的信息系统开发项目,企业应当保证招投标过程公平、公正、公开。
企业应当制定详细的信息系统上线计划。对涉及新旧系统切换的情形,企业应当在上线计划中明确应急预案,保证新系统一旦失效,能够顺利切换回旧的系统状态。新旧系统切换时,如涉及数据迁移,企业应当制定详细的数据迁移计划。用户部门应当积极参与数据迁移过程,对数据迁移结果进行测试,并在测试报告上确认。信息系统在投入使用前应当至少完成整体测试和用户验收测试,以确保系统的正常运转。信息系统原设计功能未能正常实现时,企业应当指定相关人员负责详细记录,并及时报告归口管理部门。归口管理部门负责系统程序修正和软件参数调整,以实现设计功能。信息系统上线后,发生的功能变更,应当参照上款有关系统开发的审批和上线程序执行。企业应当积极倡导采用预防性措施,确保计算机信息系统的持续运行。常见预防性措施包括但不限于日常检测、设立容错冗余、编制应急预案等。
三是应当建立访问安全制度,操作权限、信息使用、信息管理应当有明确规定。具体控制政策和措施:企业应当制定信息系统工作程序、信息管理制度以及各模块子系统的具体操作规范。计算机信息系统操作人员不得擅自进行系统软件的删除、修改等操作,不得擅自升级、改变系统软件版本,不得擅自改变软件系统环境配置。企业应当对信息系统操作人员的账号、密码和使用权限进行严格规范,建立相应的操作管理制度。未经操作培训的人员不得作为操作人员。
企业应当建立账号审批制度,加强对重要业务系统的访问权限管理。对于发生岗位变化或离岗的用户,企业应当及时调整其在系统中的访问权限。企业应当定期对系统中的账号进行审阅,避免有授权不当或非授权账号存在。对于超级用户等特权用户,企业应该严格限制其使用,并对其在系统中的操作全程进行监控。使用完毕后,应当由不相容岗位对其操作日志进行审阅。
企业应当充分利用操作系统、数据库、应用系统自身提供的安全性能,在系统中设置安全参数,以加强系统访问安全。禁止未经授权人员擅自调整、删除或修改系统中设置的各项参数。涉及上网操作的,企业应当加强防火墙、路由器等网络安全方面的管理。
企业可以结合实际情况,本着审慎、稳健的原则,将信息系统访问安全事项交由第三方管理。在此情形下,企业应当加强对第三方的监控。
企业应当定期检测信息系统运行情况,及时进行计算机病毒的预防、检查工作,禁止用户安装非法防病毒软件和私自卸载企业要求安装的防病毒软件。
信息系统操作人员应当在权限范围内进行操作,不得利用他人的口令和密码进入软件系统。更换操作人员或密码泄露后,必须及时更改密码。操作人员如果离开工作现场,必须在离开前锁定或退出已经运行的程序,防止其他人员利用自身账号操作。
企业应当利用计算机信息系统建立信息化平台,规范信息的使用和传递,促进业务流程与信息流程的统一,提高经营管理的效率和效果。
企业应当对所有的重要信息进行密级划分,包括书面形式和电子媒介形式保存的信息。企业可以根据信息的重要性程度和泄密风险损失等划分标准,将信息分为绝密类、机密类、秘密类和重要类等,并建立不同类别信息的授权使用制度。
企业计算机信息系统应当划分为生产、销售、存储等子系统,及时反映和记录交易。交易责任部门在其授权范围内对子系统录入信息的真实性、完整性、准确性和及时性负责,并定期检查、核对所录信息。
企业财会部门应当认真审核采购、生产、销售、仓库等部门与财务相关的关键业务数据,保证会计信息与业务流程在时间、数量和价值上的统一。
企业应当建立信息数据变更处理(包括数据导入、数据提取、数据修改等)规范。一经发现已输入数据信息有误,必须按照信息系统操作规定加以修正。
企业应当建立数据信息定期备份制度和数据批处理或实时处理的处理前自动备份制度。并在备份完毕后,将备份介质异地保存。企业应当编制完整、具体的灾难恢复计划。同时应当定期检测、及时修正该计划。
四是硬件管理事项和审批程序应当科学合理。具体的控制政策和措施:企业应当制定计算机信息系统硬件管理制度,对设备的新增、报废、流转等情况建档登记,统一管理。企业应当将计算机硬件设备放置在合适的物理环境中,由专人负责管理和检查,其他任何人未经授权不得接触计算机信息系统硬件设备。对于主要系统服务器应当配备不中断电源供给设备。硬件设备的更新、扩充、修复等工作应当由相关人员提出申请,报上级主管负责人审批。企业操作人员应当严格遵守用电安全,不得在计算机专用线路上使用其他用电设备。企业应当完善计算机信息系统硬件设备异常状况处理制度。一经发生异常状况(如冒烟、打火、异常声响等),应当立即通知有关部门,并按处理制度进行处理。
五是会计信息系统流程应当规范,会计信息系统操作管理、硬件、软件和数据管理、会计信息化档案管理应当完善。具体控制政策和措施:企业应当加强会计信息化工作,并对其工作流程进行有效控制。企业应当建立会计信息化操作管理制度,明确会计信息系统的合法有权使用人员及其操作权限和操作程序,形成分工牵制的控制形式。企业出纳人员不得兼任电算化系统管理员,不得兼任记账凭证的审核工作。
企业应当建立会计信息系统硬件、软件和数据管理制度,重点关注下列风险和控制点:对正在使用的会计核算软件进行修改、对通用会计软件进行升级和对计算机硬件设备进行更换时,企业应有规范的审批流程,并采取替代性措施确保会计数据的连续性。企业应当健全计算机硬件和软件出现故障时进行排除的管理措施,保证会计数据的完整性。确保会计数据安全保密,防止对数据的非法修改和删除。
企业应当建立信息化会计档案管理制度。企业应当指定专人负责信息化会计档案的管理,做好防消磁、防火、防潮和防尘等工作;对于存储介质保存的会计档案,应当定期检查,防止由于介质损坏而使会计档案丢失。
在我国企业的实践中,信息系统的一般控制包括以下几方面内容:信息系统的控制环境;系统的购买、开发和实施;系统的变更及维护;系统的安全管理;系统的操作及运行。
就信息系统的应用控制而言,信息系统的应用控制主要关注数据的获取和处理的完整性、准确性、授权的有效性。为了能够达到以上目标,企业应采取以下控制政策和措施:
职责分离。内部控制的关键就在于不相容职务的分离,职责分离的基本要求就是业务活动的批准、记录、经办尽可能做到相互独立,在信息系统的管理中,也要这样做。
人工控制。人工控制最首要的一点就是有效授权,系统使用人员根据控制程序、各项规章制度判断业务活动的合理性、合法性和有效性,保证录入系统的交易活动或修改数据都经过授权;其次是对系统应用人员的培训,使他们能够熟练、准确有效地使用系统。
自动控制。信息系统可以通过对数据类型的校验、重复输入校验、系统匹配等方式对应用系统的输入、处理和输出进行有效控制。
数据保密。在使用信息系统过程中,企业可根据员工所承担的责任,分配其可登陆查阅相关信息的权限。