第五章信息与沟通

1、案例引入案例引入 济南铁路局：信息混乱济南铁路局：信息混乱 车毁人亡车毁人亡 2008 2008年年4 4月月2828日凌晨日凌晨4 4时时4848分，山东分，山东胶济铁路王村段，限速胶济铁路王村段，限速8080公里公里/ /时处，时时处，时速达速达131131公里的北京公里的北京青岛青岛T195T195次列车，次列车，第第9-179-17号车厢突然脱轨，侵入了并行的号车厢突然脱轨，侵入了并行的另一条铁轨。和正常运行的对开另一条铁轨。和正常运行的对开50345034次次列车相撞，造成列车相撞，造成7171人死亡，人死亡，416416人受伤。人受伤。 现已证实，事故线路是一条呈现已证实，事故线路

2、是一条呈“S S”型临时型临时线路，而线路，而超速被认为是这起事故的直接原因超速被认为是这起事故的直接原因。但超速的背后是但超速的背后是信息传递混乱信息传递混乱。行经此段的列。行经此段的列车限速一月内竟数次更改，而且令不畅通，规车限速一月内竟数次更改，而且令不畅通，规章制度形同虚设。章制度形同虚设。 事发前几天济南铁路局曾发文限速，但又事发前几天济南铁路局曾发文限速，但又迅速取消限速。潜伏巨大危险的临时铁路，儿迅速取消限速。潜伏巨大危险的临时铁路，儿戏般的调度管理，层层的疏忽与失职，最终导戏般的调度管理，层层的疏忽与失职，最终导致了中国铁路史上最重大的惨祸之一。致了中国铁路史上最重大的惨祸之一

3、。 事后国家安监总局局长王君说：这次事故事后国家安监总局局长王君说：这次事故充分暴露了一些铁路营运企业安全生产认识不到充分暴露了一些铁路营运企业安全生产认识不到位、领导不到位、责任不到位、隐患排查不到位位、领导不到位、责任不到位、隐患排查不到位和监督管理不到位的严重问题。反映了基层安全和监督管理不到位的严重问题。反映了基层安全意识薄弱，信息滞漏失误，现场管理存在严重漏意识薄弱，信息滞漏失误，现场管理存在严重漏洞，导致这次风险事故的发生。假如在事故产生洞，导致这次风险事故的发生。假如在事故产生前的任一信息，按规定能够及时正确地传达到客前的任一信息，按规定能够及时正确地传达到客车司机，司机采取及时

4、有效措施，就可避免该项车司机，司机采取及时有效措施，就可避免该项风险事故的产生。风险事故的产生。 可见，可见，信息滞漏不畅是造成事故的主要原信息滞漏不畅是造成事故的主要原因因。操作人员责任不到位是造成事故的源头操作人员责任不到位是造成事故的源头。领领导风险意志薄弱是导致风险产生的根源导风险意志薄弱是导致风险产生的根源。 本章概要第一节信息控制第一节信息控制第二节沟通第二节沟通第三节第三节 coso新框架中信息与新框架中信息与沟通的原则与要素沟通的原则与要素第五章信息与沟通第五章信息与沟通企业内部控制学（第二版）89 一、什么是信息系统一、什么是信息系统(一一) )信息的定义信息的定义( (二二

5、) )信息系统的定义信息系统的定义二、信息系统控制标准二、信息系统控制标准企业内部控制学（第二版）90表表51COBIT51COBIT的的4 4个控制域的个控制域的3434个处理过程个处理过程规划与组织规划与组织获取与实施获取与实施服务与支持服务与支持监控与评估监控与评估定义定义IT战略规划战略规划确定自动化的解决方案确定自动化的解决方案定义并管理服务水平定义并管理服务水平过程监控过程监控定义信息体系结构定义信息体系结构获取并维护应用程序软获取并维护应用程序软件件管理第三方的服务管理第三方的服务评价内部控制的适当性评价内部控制的适当性确定技术方向确定技术方向获取并维护技术基础设获取并维护技术基

6、础设施施管理性能与容量管理性能与容量获取独立保证获取独立保证定义定义IT组织与关系组织与关系程序开发与维护程序开发与维护确保服务的连续性确保服务的连续性提供独立的审计提供独立的审计管理管理IT投资投资程序安装与鉴定程序安装与鉴定确保系统安全确保系统安全传达管理目标和方向传达管理目标和方向更新管理更新管理确定并分配成本确定并分配成本人力资源管理人力资源管理 教育并培训客户教育并培训客户确保与外部需求一致确保与外部需求一致 信息技术咨询信息技术咨询风险评估风险评估 配置管理配置管理项目管理项目管理 处理问题和突发事件处理问题和突发事件质量管理质量管理 数据管理数据管理 设施管理设施管理企业内部控制

7、学（第二版）91 三、内部控制信息披露规范三、内部控制信息披露规范1.公司年度报告中的监事会报告以及管理层陈述2.招股说明书中的管理层对内部控制的自我评估3.注册会计师对企业内部控制的评估报告及其结论性意见4.上市公司所发布的单独的内部控制自我评估报告企业内部控制学（第二版）92 一、内部沟通一、内部沟通二、外部沟通二、外部沟通 1. 1.与投资者和债权人的沟通与投资者和债权人的沟通 2. 2.与客户、供应商的沟通与客户、供应商的沟通3.3.与监管机构的沟通与监管机构的沟通4. 4.与中介机构的沟通与中介机构的沟通原原则则要要素素（关关注注点点）1企业获取或生成和使用相关的高质量信息，以支持内

8、部控制其他要素发挥效用1识别信息需求2获取内部、外部数据来源3将相关数据处理成信息4在处理过程中保持信息质量5考虑成本效益2在企业内部沟通的内部控制信息，必须能够支持内部控制的其他要素发挥效用6沟通内部控制信息7与董事会沟通8提供彼此独立的沟通渠道9选择沟通方式3企业就影响内部控制其他要素发挥效用的事项与外部方进行沟通10与外部各方沟通11实现入站通讯12与董事会沟通13提供彼此独立的沟通渠道14选择沟通方式一、信息的类型与来源 信息信息是指信息系统辨识、衡量、处是指信息系统辨识、衡量、处理及报告的标的，来源于企业内部或外理及报告的标的，来源于企业内部或外部，包括获取的行业、经济、监控，以部，

9、包括获取的行业、经济、监控，以及内部生产经营管理、财务等方面的信及内部生产经营管理、财务等方面的信息。息。 企业应准确识别、全面收集、不断完善企业应准确识别、全面收集、不断完善获取信息的机制，随时掌握市场、竞争获取信息的机制，随时掌握市场、竞争对手、行业变化等动态，并及时、有效对手、行业变化等动态，并及时、有效地传达给相关负责人员，使其有足够的地传达给相关负责人员，使其有足够的信息处理经营业务，对变化迅速地作出信息处理经营业务，对变化迅速地作出反映。反映。会计信息会计信息生产经营信息生产经营信息资本运作信息资本运作信息人员变动信息人员变动信息销售信息销售信息技术创新信息技术创新信息综合管理信息

10、综合管理信息财务分析财务分析生产计划生产计划营销方案营销方案会议总结会议总结人力资源计划人力资源计划经济形势信息经济形势信息政策法规信息政策法规信息行业动态信息行业动态信息监管要求信息监管要求信息客户信用信息客户信用信息科技进步信息科技进步信息社会文化信息社会文化信息 非正式非正式 客观客观主观主观内部内部外部外部正式正式信息来源信息来源 内部控制活动所需要的信息来自于内部控制活动所需要的信息来自于企业内部企业内部及外部的、与企业经营管理相关的财务及非财务及外部的、与企业经营管理相关的财务及非财务信息信息。也即，内部控制中的信息搜集活动涵盖了。也即，内部控制中的信息搜集活动涵盖了企业内部及外部

11、，主观及客观，正式与非正式，企业内部及外部，主观及客观，正式与非正式，并影响企业内部环境、风险评估、控制活动及内并影响企业内部环境、风险评估、控制活动及内部监督的信息。部监督的信息。 因此，确定信息的搜集内容时，应在内部控因此，确定信息的搜集内容时，应在内部控制覆盖的信息范围内，结合上文信息结构中对信制覆盖的信息范围内，结合上文信息结构中对信息需求分析来进行。即在与内控相关的信息范围息需求分析来进行。即在与内控相关的信息范围内，根据不同的信息需求搜集不同的信息。内，根据不同的信息需求搜集不同的信息。 二、信息的搜集与传递（一）内部信息的搜集与传递（一）内部信息的搜集与传递 通过财务会计资料、经

12、营管理资料、调研报告、通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道，获取内部信专项信息、内部刊物、办公网络等渠道，获取内部信息。息。 1.1.企业价值观及经营战略内部信息的搜集与传递企业价值观及经营战略内部信息的搜集与传递 （1 1）企业价值观、道德和行为期望。）企业价值观、道德和行为期望。 （2 2）公司的战略性经营目标。）公司的战略性经营目标。 （3 3）财务政策及程序。）财务政策及程序。 （4 4）人力资源政策。）人力资源政策。 2.2.其他内部信息的搜集与传递其他内部信息的搜集与传递&（1 1）财务信息。）财务信息。 &（2 2）经营信息

13、。）经营信息。 &（3 3）规章制度信息。）规章制度信息。 &（4 4）综合信息。）综合信息。 &（5 5）员工提供的信息。）员工提供的信息。 &（6 6）信息系统产生的信息。）信息系统产生的信息。 （二）外部信息的搜集与传递（二）外部信息的搜集与传递 根据基本规范第三十九条的规定，外部信息的搜集根据基本规范第三十九条的规定，外部信息的搜集渠道主要有行业协会组织、社会中介机构、业务往来渠道主要有行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管单位、市场调查、来信来访、网络媒体以及有关监管部门等。部门等。 搜集方式：搜集方式：&a

14、mp;（1 1）调查）调查&（2 2）网络查询）网络查询&（3 3）咨询）咨询&（4 4）交换和接收）交换和接收&（5 5）采访）采访 三、对信息技术的利用 企业内部控制基本规范企业内部控制基本规范第四十一条第四十一条指出指出企业应当利用信息技术促进信息的集企业应当利用信息技术促进信息的集成与共享，充分发挥信息技术在信息与沟成与共享，充分发挥信息技术在信息与沟通中的作用通中的作用。 企业应当加强对信息系统开发与维护企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证存与保管、

15、网络安全等方面的控制，保证信息系统安全稳定运行。信息系统安全稳定运行。 随着企业信息集成与共享的实现，企业价值随着企业信息集成与共享的实现，企业价值链中各环节的资源能够得到优化利用，而与之链中各环节的资源能够得到优化利用，而与之对应的是，信息技术对内部控制也将产生重大对应的是，信息技术对内部控制也将产生重大影响，影响，企业的内部控制系统必将随着信息技术企业的内部控制系统必将随着信息技术的更新而改变的更新而改变。 在这之中，内部控制系统的变化主要体现在这之中，内部控制系统的变化主要体现为内部控制模式、手段和形式、内容等的变化为内部控制模式、手段和形式、内容等的变化。其中内部控制模式的变化主要体现

16、在。其中内部控制模式的变化主要体现在由固定由固定控制向动态控制转变控制向动态控制转变上。上。 一、信息系统一、信息系统 信息逐渐被人们当作一种战略资源，企业信息逐渐被人们当作一种战略资源，企业内部各部门之间以及企业之间都会发生大规模内部各部门之间以及企业之间都会发生大规模的信息交换，不同部门或不同企业间的信息需的信息交换，不同部门或不同企业间的信息需要协同，信息系统的重要性日益增加。随着整要协同，信息系统的重要性日益增加。随着整个社会信息化进程的加快，企业的日常经营管个社会信息化进程的加快，企业的日常经营管理活动越来越离不开信息系统的支持。理活动越来越离不开信息系统的支持。 完善的信息系统是企

17、业建立有效的内部控完善的信息系统是企业建立有效的内部控制体系的前提。制体系的前提。 2010-3-28不同机构的内控相关指引对信息系统的规定不同机构的内控相关指引对信息系统的规定 上海证券交易所上市上海证券交易所上市公司内部控制指引公司内部控制指引对信息系统管理制度包括的内容进行了明确：1信息处理部门与使用部门权责的划分；2信息处理部门的功能及职责划分；3系统开发及程序修改的控制；4程序及资料的存取、数据处理的控制；5档案、设备、信息的安全控制；6在本所网站或公司网站上进行公开信息披露活动的控制。深圳证券交易所上市深圳证券交易所上市公司内部控制指引公司内部控制指引没有明确提出要求，但也有所涉及

18、。中央企业全面风险管中央企业全面风险管理指引理指引提出了“风险管理信息系统”的概念，要求企业应将信息技术应用于风险管理的各项工作，建立涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统，包括信息的采集、存储、加工、分析、测试、传递、报告、披露等。商业银行内部控制指商业银行内部控制指引引第二十三条商业银行应当实现业务操作和管理的电子化，促进各项业务的电子数据处理系统的整合，做到业务数据的集中处理。第二十四条商业银行应当实现经营管理的信息化，建立贯穿各级机构、覆盖各个业务领域的数据库和管理信息系统，做到及时、准碗提供经营管理所需要的各种数据，并及时、真实、准确地向中国银监会及其派出机构报送

19、监管报表资料和对外披露信息。第二十五条商业银行应当建立有效的信息交流和反馈机制，确保董事会、监事会、高级管理层及时了解本行的经营和风险状况，确保每一项信息均能够传递给相关的员工，各个部门和员工的有关信息均能够顺畅反馈。 1 1、信息系统的定义、信息系统的定义l 按照企业内部控制应用指引第18号信息系统的规定，信息系统是指企业利用计算机和通信技术，对内部控制进行集成、转化和提升所形成的信息化管理平台。信信息息系系统统广广义义来说，信息系统（InformationSystem）是指能够完成对信息收集、组织、存贮、加工、传递和控制等职能的系统，其目的是为一个组织机构提供信息服务以支持管理决策活动。从

20、狭狭义义的角度来看，信息系统可以理解为计算机系统，是基于计算机技术、通信技术和软件技术，且融合了各种现代管理理论、现代管理方法，多级管理人员为一体，对所有形态（包括原始数据、已分析的数据、知识和专家经验）和所有形式（文字、视频和声音）的信息进行收集、组织、存贮、处理和显示，最终为某个组织整体的管理与决策服务的一个人机结合的信息处理系统。信息系统内部控制的目标是促进企业有效实施内部控制，提高信息系统内部控制的目标是促进企业有效实施内部控制，提高企业现代化管理水平，减少人为操纵因素；同时，增强信息系企业现代化管理水平，减少人为操纵因素；同时，增强信息系统的安全性、可靠性和合理性以及相关信息的保密性

21、、完整性统的安全性、可靠性和合理性以及相关信息的保密性、完整性和可用性，为建立有效的信息与沟通机制提供支持保障。和可用性，为建立有效的信息与沟通机制提供支持保障。信息系统内部控制的主要对象是信息系统，由计算机硬件、软信息系统内部控制的主要对象是信息系统，由计算机硬件、软件、人员、信息流和运行规程等要素组成。件、人员、信息流和运行规程等要素组成。制造企业可以将信息系统划分为财务管理系统、人力资源管理制造企业可以将信息系统划分为财务管理系统、人力资源管理系统、系统、MRPMRP系统（销售、采购、库存、生产）、计算机辅助设系统（销售、采购、库存、生产）、计算机辅助设计和制造系统、客户关系系统、电子商

22、务系统等若干子系统。计和制造系统、客户关系系统、电子商务系统等若干子系统。 企业内部控制应当指引第18号信息系统规定，企业负责人对信息系统建设工作负责。换言之，信息系统建设是“一把手”工程。 2 2、信息系统的生命周期、信息系统的生命周期l（一）系统规划期（一）系统规划期l（二）系统开发期（二）系统开发期l（三）系统运行与维护期（三）系统运行与维护期系统规划系统分析系统设计系统实施系统运行维护系统规划报告可行性项目建议书系统分析报告系统设计报告系统说明书和使用说明书规划人员分析员设计员程序员系统管理员信息系统规划期信息系统开发期信息系统运行与维护期二、信息系统的控制点二、信息系统的控制点&am

23、p;1 1开发与维护开发与维护&2 2访问与变更访问与变更&3 3数据输入与输出数据输入与输出&4 4文件存储与保管文件存储与保管&5 5网络安全网络安全(1)(1)信息系统开发的主要风险点及其控制措施信息系统开发的主要风险点及其控制措施 （一）信息系统开发的主要风险点（一）信息系统开发的主要风险点1信息系统规划时期的主要风险点信息系统规划时期的主要风险点2信息系统自行开发方式的主要风险点信息系统自行开发方式的主要风险点l成本过高、产品不能满足企业需要。成本过高、产品不能满足企业需要。3其他开发方式的主要风险点其他开发方式的主要风险点l业务外包：外包商选择不当，

24、导致信息泄密、成本业务外包：外包商选择不当，导致信息泄密、成本增加等增加等l外购：产品不适合企业，供应商的服务能力有限。外购：产品不适合企业，供应商的服务能力有限。（二）信息系统开发的关键控制措施（二）信息系统开发的关键控制措施 1系统规划系统规划2自行开发自行开发l加强信息系统的管控工作加强信息系统的管控工作 3其他开发方式的主要控制措施其他开发方式的主要控制措施 l选择信誉好的外包商或供应商选择信誉好的外包商或供应商(2)(2)信息系统运营与维护的主要风险点及其控制措施信息系统运营与维护的主要风险点及其控制措施 （一）日常运行维护的关键控制点和主要控制措施（一）日常运行维护的关键控制点和主

25、要控制措施 这一环节的主要风险是：这一环节的主要风险是：第一，没有建立规范的信息系统日常运行管理规范，第一，没有建立规范的信息系统日常运行管理规范，计算机软硬件的内在隐患易于爆发，可能导致企业计算机软硬件的内在隐患易于爆发，可能导致企业信息系统出错。信息系统出错。第二，没有执行例行检查，导致一些人为恶意攻击会第二，没有执行例行检查，导致一些人为恶意攻击会长期隐藏在系统中，可能造成严重损失。长期隐藏在系统中，可能造成严重损失。第三，企业信息系统数据未能定期备份，可能导致损第三，企业信息系统数据未能定期备份，可能导致损坏后无法恢复，从而造成重大损失。坏后无法恢复，从而造成重大损失。 主要控制措施：

26、主要控制措施：第一，企业应制定信息系统使用操作程序、信息管理制度以第一，企业应制定信息系统使用操作程序、信息管理制度以及各模块子系统的具体操作规范，及时跟踪、发现和解决及各模块子系统的具体操作规范，及时跟踪、发现和解决系统运行中存在的问题，确保信息系统按照规定的程序、系统运行中存在的问题，确保信息系统按照规定的程序、制度和操作规范持续稳定运行。制度和操作规范持续稳定运行。第二，切实做好系统运行记录，尤其是对于系统运行不正常第二，切实做好系统运行记录，尤其是对于系统运行不正常或无法运行的情况，应将异常现象、发生时间和可能的原或无法运行的情况，应将异常现象、发生时间和可能的原因作出详细记录。因作出

27、详细记录。第三，企业要重视系统运行的日常维护，在硬件方面，日常第三，企业要重视系统运行的日常维护，在硬件方面，日常维护主要包括各种设备的保养与安全管理、故障的诊断与维护主要包括各种设备的保养与安全管理、故障的诊断与排除、易耗品的更换与安装等，这些工作应由专人负责。排除、易耗品的更换与安装等，这些工作应由专人负责。（二）系统变更的关键控制点和主要控制措施（二）系统变更的关键控制点和主要控制措施 系统变更主要包括硬件的升级扩容、软件的修改与升级系统变更主要包括硬件的升级扩容、软件的修改与升级等。等。这一环节的主要风险是：第一，企业没有建立严格的变这一环节的主要风险是：第一，企业没有建立严格的变更申

28、请、审批、执行、测试流程，导致系统随意变更。更申请、审批、执行、测试流程，导致系统随意变更。第二，系统变更后的效果达不到预期目标。第二，系统变更后的效果达不到预期目标。 主要控制措施：保证变更过程得到适当的授权与管理层主要控制措施：保证变更过程得到适当的授权与管理层的批准，并对变更进行测试。信息系统操作人员不得擅的批准，并对变更进行测试。信息系统操作人员不得擅自进行软件的删除、修改、升级、改变软件版本、改变自进行软件的删除、修改、升级、改变软件版本、改变软件系统的环境配置。软件系统的环境配置。(3)(3)安全管理的关键控制点和主要控制措施安全管理的关键控制点和主要控制措施 这一环节的主要风险是

29、：这一环节的主要风险是：第一，硬件设备分布物理范围广，设备种类繁多，安全管理难度大，第一，硬件设备分布物理范围广，设备种类繁多，安全管理难度大，可能导致设备生命周期短。可能导致设备生命周期短。第二，业务部门信息安全意识薄弱，对系统和信息安全缺乏有效的监第二，业务部门信息安全意识薄弱，对系统和信息安全缺乏有效的监管手段，可能导致舞弊和利用计算机犯罪。管手段，可能导致舞弊和利用计算机犯罪。第三，对系统程序的缺陷或漏洞安全防护不够，导致遭受黑客攻击，第三，对系统程序的缺陷或漏洞安全防护不够，导致遭受黑客攻击，造成信息泄露。造成信息泄露。第四，对各种计算机病毒防范清理不力，导致系统运行不稳定甚至瘫第四

30、，对各种计算机病毒防范清理不力，导致系统运行不稳定甚至瘫痪。痪。主要控制措施：主要控制措施：第一，建立信息系统相关资产的管理制度，保证电子设备的安全。第一，建立信息系统相关资产的管理制度，保证电子设备的安全。第二，企业应成立专门的信息系统安全管理机构。企业应当按照国第二，企业应成立专门的信息系统安全管理机构。企业应当按照国家相关法律法规以及信息安全技术标准，制定信息系统安全实施细家相关法律法规以及信息安全技术标准，制定信息系统安全实施细则。则。 第四，企业应当有效利用第四，企业应当有效利用IT技术手段，对硬件配置调整、软件参数技术手段，对硬件配置调整、软件参数修改严加控制。修改严加控制。数据加

31、密、授权控制数据加密、授权控制第五，企业委托专业机构进行系统运行与维护管理的，应当严格审第五，企业委托专业机构进行系统运行与维护管理的，应当严格审查其资质条件、市场声誉和信用状况等，并与其签订正式的服务合查其资质条件、市场声誉和信用状况等，并与其签订正式的服务合同和保密协议。同和保密协议。第六，企业应当采取安装安全软件等措施防范信息系统受到病毒等第六，企业应当采取安装安全软件等措施防范信息系统受到病毒等恶意软件的感染和破坏。恶意软件的感染和破坏。防火墙、病毒防护防火墙、病毒防护第七，企业应当建立系统数据定期备份制度，明确备份范围、频第七，企业应当建立系统数据定期备份制度，明确备份范围、频度、方

32、法、责任人、存放地点、有效性检查等内容。度、方法、责任人、存放地点、有效性检查等内容。 第八，企业应当建立信息系统开发、运行与维护等环节的岗位责第八，企业应当建立信息系统开发、运行与维护等环节的岗位责任制度和不相容职务分离制度。任制度和不相容职务分离制度。 系统开发和变更过程中不相容岗位（或职责）一般应包括系统开发和变更过程中不相容岗位（或职责）一般应包括：开发（或变更）立项、审批、编程、测试。：开发（或变更）立项、审批、编程、测试。 系统访问过程中不相容岗位（或职责）一般应包括：申请系统访问过程中不相容岗位（或职责）一般应包括：申请、审批、操作、监控。、审批、操作、监控。第九，企业应积极开展

33、信息系统风险评估工作，定期对信息系统第九，企业应积极开展信息系统风险评估工作，定期对信息系统进行安全评估，及时发现系统安全问题并加以整改。进行安全评估，及时发现系统安全问题并加以整改。 (4)(4)系统终结的关键控制点和主要控制措施系统终结的关键控制点和主要控制措施系统终结是信息系统生命周期的最后一个阶段，在该阶段信息系统将系统终结是信息系统生命周期的最后一个阶段，在该阶段信息系统将停止运行。停止运行的原因通常有：企业破产或被兼并、原有信息系停止运行。停止运行的原因通常有：企业破产或被兼并、原有信息系统被新的信息系统代替。统被新的信息系统代替。 这一环节的主要风险是，这一环节的主要风险是，第一

34、，因经营条件发生剧变，数据可第一，因经营条件发生剧变，数据可能泄密。第二，信息档案的保管期限不够长。能泄密。第二，信息档案的保管期限不够长。 主要控制措施：主要控制措施：第一，要做好善后工作，不管因何种情况导致系统停止运行，都应将第一，要做好善后工作，不管因何种情况导致系统停止运行，都应将废弃系统中有价值或者涉密的信息进行销毁、转移。废弃系统中有价值或者涉密的信息进行销毁、转移。第二，严格按照国家有关法规制度和对电子档案的管理规定（比如审第二，严格按照国家有关法规制度和对电子档案的管理规定（比如审计准则对审计证据保管年限的要求），妥善保管相关信息档案。计准则对审计证据保管年限的要求），妥善保管

35、相关信息档案。信息技术过程控制体系（信息技术过程控制体系（COBITCOBIT）l国际信息系统审计与控制协会（国际信息系统审计与控制协会（ISACA）提）提出出信息和相关技术的控制目标信息和相关技术的控制目标（COBIT）。）。lCOBIT是一个基于是一个基于IT治理概念的、面向治理概念的、面向IT建建设过程中的设过程中的IT治理实现指南和审计标准，被认治理实现指南和审计标准，被认为是为是COSO框架的补充框架。框架的补充框架。lCOBIT的目标是为信息系统设计提供具有高的目标是为信息系统设计提供具有高度可靠性和可操作性的、公认的信息安全和控度可靠性和可操作性的、公认的信息安全和控制评价标准。

36、制评价标准。信 息IT 资 源取 得 与 实 施应 用 系 统 、 信 息 、 基 础 设 施 、 人 员交 付 与 支 持监 督 与 评 价规 划 与 组 织有 效 性 /时 效 性 /保 密 性 /完 整性 /可 得 性 /符 合 性 /可 靠 性C O BIT商 业 目 标IT 治 理 目 标P O 1确 定 战 略 IT 规 划P O 2确 定 信 息 体 系P O 3确 定 技 术 方 向P O 4确 定 IT 流 程 、 组织 及 关 系P O 5IT 投 资 管 理P O 6沟 通 管 理 目 标 与方 向P O 7IT 人 力 资 源 管 理P O 8质 量 管 理P O 9I

37、T 风 险 评 价 与 管理P O 10项 目 管 理M E1监 督 与 评 价 IT 绩 效M E2监 督 与 评 价 内 部 控制M E3保 证 监 管 性 一 致M E4提 供 IT 治 理A I1确 认 自 动 化 方 案A I2取 得 并 维 护 应 用 软 件A I3取 得 并 维 护 技 术 基 础 设 施A I4推 动 运 行 与 使 用A I5取 得 IT 资 源A I6变 更 管 理A I7安 装 与 认 定 方 案 和 变 更D S 1确 定 与 管 理 服 务 水 平D S 2第 三 方 服 务 管 理D S 3绩 效 与 容 量 管 理D S 4保 证 不 间 断 服

38、 务D S 5保 证 系 统 安 全D S 6识 别 并 分 配 成 本D S 7教 育 并 培 训 用 户D S 8服 务 平 台 与 突 发 事件 管 理D S 9配 置 管 理D S 10问 题 管 理D S 11数 据 管 理D S 12物 理 环 境 管 理D S 13操 作 管 理 内部控制信息披露建立在董事会和管理层对内部控制的评价的基础上。 内部控制信息披露就是管理层依据一定的内部控制信息披露就是管理层依据一定的标准定期对本单位内部控制设计和执行的有效性标准定期对本单位内部控制设计和执行的有效性进行自我评估，并以某种方式提供给外部信息使进行自我评估，并以某种方式提供给外部信息使

39、用者。用者。 内部控制报告信息披露可以包含在董事会报告或者其他报告中，也可以单独提供，即所谓的内部控制报告。l沟通是把信息提供给适当的人员，以便沟通是把信息提供给适当的人员，以便他们能够履行与经营、财务报告和合规他们能够履行与经营、财务报告和合规相关的职责。相关的职责。l沟通是技术性的，已经在管理工作中得沟通是技术性的，已经在管理工作中得到广泛的应用，但比技术更有意义的是到广泛的应用，但比技术更有意义的是企业组织内外部的有效交流。企业组织内外部的有效交流。& 信息沟通按沟通的对象可以分为内部信息沟通和外部信息沟通。内内部部沟沟通通 企业应当采取互联网络、电子邮件、电话传真、信息快报、例

40、行会议、专题报告、调查研究、员工手册、教育培训、内部刊物等多种方式，实现所需的内部信息、外部信息在企业内部准确、及时地传递和共享，确保董事会、管理层和企业员工之间有效沟通。外外部部沟沟通通 1.与投资者和债权人的沟通 2.与客户、供应商的沟通 3.与监管机构的沟通 4.与中介机构的沟通一、内部沟通方式一、内部沟通方式 充分的内部沟通对于企业控制环境、充分的内部沟通对于企业控制环境、控制作业、风险评估等各方面都起着至关重要的控制作业、风险评估等各方面都起着至关重要的作用，企业所采取的沟通方式要能够达到顺畅沟作用，企业所采取的沟通方式要能够达到顺畅沟通的目的，使员工们了解自己应承担的责任、应通的目

41、的，使员工们了解自己应承担的责任、应实现的目标，以及这些目标对企业的影响。实现的目标，以及这些目标对企业的影响。u电子沟通电子沟通 u书面沟通书面沟通 u口头沟通口头沟通 u电子沟通电子沟通（互联网、电子邮件、电话传真（互联网、电子邮件、电话传真/方便快方便快捷、但不太安全捷、但不太安全)u书面沟通书面沟通（内部报告、员工手册、内部刊物、教（内部报告、员工手册、内部刊物、教育培训资料育培训资料/规范、准确、但成本高规范、准确、但成本高)u口头沟通（口头沟通（会议、讲座会议、讲座/ 迅速、灵活，但易失真迅速、灵活，但易失真）u企业员工应当采取电子沟通、书面沟通、口头沟企业员工应当采取电子沟通、书

42、面沟通、口头沟通等多种方式，实现所需的内部信息、外部信息通等多种方式，实现所需的内部信息、外部信息在企业内部准确、及时地传递和分享，确保董事在企业内部准确、及时地传递和分享，确保董事会、管理层和企业员工之间有效沟通。会、管理层和企业员工之间有效沟通。内部沟通 向上沟通向上沟通 一般员工一般员工部门主管部门主管 管理层管理层董事会董事会 特殊渠道：一般员工特殊渠道：一般员工高管高管 企业应在实际工作中尝试精简信息系统的处理程序，使信企业应在实际工作中尝试精简信息系统的处理程序，使信息在企业内部更快地传递。对于重要紧急的信息，可以越息在企业内部更快地传递。对于重要紧急的信息，可以越级向董事会、监事

43、会或经理层直接报告，便于相关负责人级向董事会、监事会或经理层直接报告，便于相关负责人迅速做出决策。迅速做出决策。 向下沟通向下沟通 董事会董事会管理层管理层部门主管部门主管一般员工一般员工 平行沟通平行沟通 采购部门采购部门 生产部门生产部门 销售部门销售部门 财务部门财务部门内部沟通应当重点关注以下方面： 1.1.明确的职责和有效的控制明确的职责和有效的控制 2.2.内部沟通与交流内部沟通与交流二、外部沟通方式二、外部沟通方式 企业有责任建立良好的外部沟通渠道，对企业有责任建立良好的外部沟通渠道，对外部有关方面的建议、投诉和收到的其他外部有关方面的建议、投诉和收到的其他信息进行记录，并及时予以处理、反馈。信息进行记录，并及时予以处理、反馈。 有效的外部沟通既可以扩大企业的影响力有效的外部沟通既可以扩大企业的影响力，又可以是企业获得很多有效内部控制的，又可以是企业获得很多有效内部控制的重要信息。重要信息。 外部沟通应当重点关注以下方面： r1 1与投资者