文档介绍:山财培训网:孟宪胜企业内部控制案例分析第 20 讲信息系统一、什么是信息系统信息系统,是指企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。二、风险识别?企业利用信息系统实施内部控制至少应当关注下列风险: ?(一)信息系统缺乏或规划不合理,可能造成信息孤岛或重复建设,导致企业经营管理效率低下。?(二)系统开发不符合内部控制要求,授权管理不当,可能导致无法利用信息技术实施有效控制。?(三)系统运行维护和安全措施不到位, 可能导致信息泄漏或毁损,系统无法正常运行。三、信息系统的开发 ,明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容, 按照规定的权限和程序审批后实施。?企业开发信息系统,可以采取自行开发、外购调试、业务外包等方式。选定外购调试或业务外包方式的,应当采用公开招标等形式择优确定供应商或开发单位。三、信息系统的开发? ,应当将生产经营管理业务流程、关键控制点和处理规则嵌入系统程序,实现手工环境下难以实现的控制功能。? ,应当按照不同业务的控制要求,通过信息系统中的权限管理功能控制用户的操作权限, 避免将不相容职责的处理权限授予同一用户。三、信息系统的开发? ,确保操作的可审计性。对异常的或者违背内部控制要求的交易和数据,应当设计由系统自动报告并设置跟踪处理机制。三、信息系统的开发? ,以确保在功能、性能、控制要求和安全性等方面符合开发需求。三、信息系统的开发? ,培训业务操作和系统管理人员,制定科学的上线计划和新旧系统转换方案,考虑应急预案,确保新旧系统顺利切换和平稳衔接。系统上线涉及数据迁移的,还应制定详细的数据迁移计划。四、信息系统的运行与维护? ,信息系统变更应当严格遵照管理流程进行操作。?信息系统操作人员不得擅自进行系统软件的删除、修改等操作;不得擅自升级、改变系统软件版本;不得擅自改变软件系统环境配置。四、信息系统的运行与维护? , 加强对重要业务系统的访问权限管理,定期审阅系统账号,避免授权不当或存在非授权账号,禁止不相容职务用户账号的交叉操作。