会计信息系统-ERP基础第08章信息技术环境下企业内部控制

1、第八章 信息技术环境下企业内部控制 目 录引例 与导入32.基于信息系统的内部控制体系43.信息系统的风险管理与控制3教学目标321.信息技术环境下内部控制4.内部控制应用指引信息系统总结与习题教学目标3了解信息化环境内部控制发生了变化掌握如何利用信息系统建立内部控制体系的方式和方法了解信息技术过程控制体系(COBIT)目的：在现代信息技术环境下的内部控制？了解内部控制应用指引18号信息系统引例4学习本章回答：信息技术给内部控制带来的变化？信息系统控制？ 自从1948年诺伯特维纳发表了著名的控制论关于在动物和机器中控制和通讯的科学一书以来，控制论的思想和方法已经渗透到了几乎所有自然科学和社会科

2、学领域。 信息技术的飞速发展和广泛应用给企业运营带来了新的变革，同时也带来了新的风险。如果把信息技术环境比作公路，那么内部控制系统就是“交通规则”和“监控”，企业经营及业务流程就是跑在高速公路上的汽车。如果没有“交通规则”和“监控”的规范与保障，即使是再好的高速公路，“汽车”也不能安全、高速地在公路上行驶。因此，构建基于信息技术环境的企业内部控制系统成为每一个信息化企业首先要面临的重大问题。构建管理系统的“交通规则”和“监控”1.信息技术环境下内部控制51.信息技术环境下内部控制6内部控制的信息化环境分析1）企业组织特征2）业务流程再造3）信息流程的变化 信息技术改变了内部控制的环境，但是内部

3、控制说到底是由人来执行并受人的因素影响，保证组织内所有成员具有较高的道德、诚信和能力的人力资源政策与实践是内部控制有效的关键因素之一。实践表明，基于环境现状构建内部控制机制是一种被动做法，因此，应该越来越重视将道德规范、行为准则、能力素质的建设直接纳入内部控制结构的内容中来，更加强调“软控制”的作用。在信息技术环境下，企业尤其应该注重培养组织中人员的信息观念，理解企业信息化建设和管理改革、内部控制创新之间的关系。1)组织控制2)流程控制3)信息系统控制1.信息技术环境下内部控制7信息技术环境下的控制活动信息技术环境下控制活动的结构2.基于信息系统的内部控制体系82.基于信息系统的内部控制体系公

4、司内控体系框架核心要素原则控制环境1.组织关于诚信道德的承诺说明；2.董事会具有管理独立性及对内控的监督责任；3.管理当局建立组织结构与报告规范，接受监督以实现组织目标；4.组织对人才发展与胜任能力的承诺；5.全员内控责任制风险评估6.明晰目标以识别评估风险；7.风险识别、分析与管控；8.评估潜在的舞弊风险；9.识别评估严重影响内控体系的变革控制活动10.选择建立控制活动以降低风险至可接受水平；11.选择开发信息技术进行基本控制；12.控制活动的实施策略与程序信息与沟通13.获取和使用相关信息；14.内控运行所必需的组织内部沟通；15.影响内控运行的组织外部沟通监督活动16.组织对内控实施持续

5、及个别评估；17.评估内部控制缺陷并监督整改COSO内部控制框架17项原则2.基于信息系统的内部控制体系基于信息系统的内部控制体系建设2.基于信息系统的内部控制体系基于信息系统的内部控制体系建设（2）业务流程及制度框架梳理方法一般来说，企业的各种业务流程可以划分为三个层级。一级流程：一般以管理职能划分，例如人力资源管理等。二级流程：在一级流程的基础上，按照业务管理条线划分，例如人力资源管理可以划分为人力资源规划管理、人力资源配置管理、绩效管理等。三级流程：在二级流程的基础上，进一步划分到具体的业务单元，例如人力资源规划管理可以划分为机构调整及部门职能的制定流程、年度人力资源计划制定流程及员工岗

6、位职责制定流程等。部门负责人访谈。通过部门负责人访谈划分出该部门主责的一级流程和二级流程。部门职员访谈。访谈的内容为该职员负责的具体工作内容、主要职责及可参照的企业现有制度。通过部门基层职员的访谈，将二级流程进一步细分成三级流程。部门负责人及职员确认并修订。将已划分出的三级业务流程交给部门负责人和基层职员进行确认，并完成最终修订。优化。根据企业现有的流程与智库进行合规对标、管理规范对标，找出对本流程具有规范或指导性作用的建议，对现有流程进行优化。业务流程梳理的具体方法为：2.基于信息系统的内部控制体系基于信息系统的内部控制体系建设符号操作名称简介说明控制点提示表示该步骤为控制点，框中数字为控制

7、点编号缺陷提示若存在流程控制点缺陷，在关键控制点旁加上缺陷提示语表8-3流程图控制符号流程中的控制点识别方法：假设去掉这个流程步骤，若该流程仍能完整地进行下去，则该步骤为控制点；若该流程到此卡住无法再进行下去，则该步骤不是控制点，仅为一般步骤。例如某个流程中存在几个审核、审批步骤，去掉某一个或某几个审核、审批步骤，该流程都能继续进行下去，但会存在风险隐患，因此，这类审核、审批步骤就是控制点。2.基于信息系统的内部控制体系基于信息系统的内部控制体系建设（4）流程文档编制流程文档是内部控制体系中的基础文档，包含以下内容：流程名称，即该流程的全称。流程责任部门与责任岗位，即该流程的主责部门及该流程的

8、主责岗位，这里可由客户填写。流程目标，指本流程应达到的经营、管理或风险控制目标，用一两句话进行概括性描述。流程适用范围，指本流程适用的集团、公司、部门或管理条线等。流程相关制度，指本流程对应的集团或子分公司已制定的能够对本流程起到规范或指导性作用的内控制度。除了要列示制度名称和编号外，还应对该制度对于本流程的指导性内容进行简述。流程图和流程描述。 2.基于信息系统的内部控制体系基于信息系统的内部控制体系建设2.基于信息系统的内部控制体系供应商的评选流程控制控制事项详细描述及说明阶段控制D11采购部通过不同途径，如面谈、调查问卷等收集供应商信息，主要包括供应商信誉、供货能力等方面的信息D22采购

9、部和使用部门依据收集到的供应商信息，参照企业比质、比价采购制度等相关文件，对供应商进行比质与比价3采购部根据比质与比价结果，参照供应商选定标准，提出候选供应商名单，报采购部经理审核D34采购部通过采购物资的分类，根据实际需要，判断是否需要组织现场评审。需要进行现场评审的，采购部组织现场评审，请购部门、生产部门、财务部门、仓储部门以及质检部门等相关部门参与；对无需现场评审的供应商，可直接提出其等级排序名单5现场评审后，采购部汇总评价结果，并编写现场评审报告6采购部根据采购部经理的审核结果确定供应商名单，并报采购部经理审核、总经理审批责任部门及责任人采购部、财务部、生产部、仓储部总经理、采购部经理

10、、采购主管、采购专员基于信息系统的内部控制体系建设3.信息系统的风险管理与控制163.信息系统的风险管理与控制17信息技术应用给企业带来的风险信息技术应用给企业带来的风险1）信息安全风险2）计算机交易授权风险3）传统职责分离失效引致的风险4）信息系统潜在错误导致差错重复发生的风险5）信息系统脆弱性引发的风险 3.信息系统的风险管理与控制18信息技术过程控制体系(COBIT)3.信息系统的风险管理与控制19信息系统内部控制目标与控制类型信息系统控制框架3.信息系统的风险管理与控制20信息系统内部控制目标与控制类型一般控制一般控制即整体控制。实施一般控制的目的是为了确保信息系统的开发、实施、运行能

11、在有序的、被控制的状态下进行。一般控制作用于所有的应用系统，成为围绕应用系统的保护层。（1）高层管理控制（2）系统开发与维护控制（3）数据资源管理控制（4）质量管理控制（5）安全管理控制（6）信息系统外包的管理控制（7）运行管理控制3.信息系统的风险管理与控制21信息系统内部控制目标与控制类型（1）输入控制输入正确的数据是系统正确处理的关键，计算机领域有句名言“输入的是垃圾输出的仍然是垃圾”，可见在计算机环境下，输入控制何等重要。输入控制是为保证输入系统的数据正确、完整和可靠而实施的控制。其具体包括：原始单据审核控制数据输入正确性控制数据输入完整性控制数据逻辑控制错误纠正控制3.信息系统的风险

12、管理与控制22信息系统内部控制目标与控制类型（2）处理控制处理控制是为了保证数据处理的正确性和完整性而实施的控制。数据输入计算机以后，则按照程序对数据进行加工处理，在处理过程中很少有人工干预，数据处理的正确与否，其结果是否可靠，在很大程度上依赖于数据的正确性和可靠性，以及应用程序的正确性和可靠性。如果程序逻辑有误、用错文件或记录、处理非法数据等同样会导致处理结果的不正确，因此，必须设置处理控制措施。处理控制有些是人工实施，有些被写入计算机程序实施自动控制，具体包括如下措施：处理权限控制数据有效性检验审计踪迹控制备份与恢复控制3.信息系统的风险管理与控制23信息系统内部控制目标与控制类型（3）输

13、出控制输出控制的主要目的是保证输出信息的正确性，并且要确保输出的信息只能提供给经过授权的使用者。输出控制主要包括以下内容：输出数据的正确性控制输出数据审核控制输出权限控制输出信息的分发控制差错更正控制3.信息系统的风险管理与控制24信息系统内部控制目标与控制类型3）预防性、检查性和矫正性控制按照内部控制程序执行的时间点也可以分为预防性、检查性和矫正性三种控制。预防性控制可以在错误和欺诈发生之前加以预防，是一种事前的观念。不过，基于成本效益原则的考虑以及实务上的限制，预防性控制很难完全防止所有的问题。企业在设计控制程序时，必须加入适当的检查性控制，以便在错误和欺诈发生时，能够迅速察觉，并立即通知

14、相关的人员采取补救或改正的行动，检查性控制是一种事中的观念。矫正性控制可以对已有的错误进行补救或者更正，以确保组织顺利的运作，达成既定的目标。矫正性控制包括三个程序：第一，找出造成问题的成因，可能由检查性控制提供相关的信息；第二，改正已发生的错误或欺诈；第三，修改现有的控制制度或程序，以消除或降低未来发生类似问题的可能性。 3.信息系统的风险管理与控制25信息系统内部控制目标与控制类型4.内部控制应用指引信息系统264.内部控制应用指引信息系统27指引的意义及框架项目内容总则明确了指引的目标和制定依据；界定了指引规范的信息系统的定义；明确企业利用信息系统实施内部控制主要面临的风险；规范了应对信

15、息系统建设的总体要求开发明确提出了信息系统应当考虑的因素，建设方案的制度安排，信息系统开发建设的方式；明确了提出了内部控制应该嵌入信息系统开发；规范了信息系统开发的管理；明确了信息系统验收和测试规范运行与维护明确提出了信息系统运行与维护应当考虑的因素，运行与维护管理制度；明确了具体重大信息系统安全的风险因素；明确了与信息系统相关的内部控制问题企业内部控制应用指引第18号信息系统共3章15条表8-5 主要内容框架4.内部控制应用指引信息系统28指引的主要内容企业要根据实际情况，采取自行开发、外购调试或业务外包等方式。外购调试或业务外包方式，应当采用公开招标等形式择优选择供应商或开发单位。自行开发

16、信息系统，应当组织企业内部相关业务部门进行需求分析，合理配置人员，明确系统设计、编程、安装调试、验收、上线等全过程的管理要求，并且应当加强信息系统开发全过程的跟踪管理，增进开发单位与企业内部业务部门的日常沟通和协调，组织独立于开发单位的专业机构对开发完成的信息系统进行检查验收，并组织系统上线运行。自行开发企业依托自身力量完成整个开发过程。自行开发方式的适用条件通常是企业自身技术力量雄厚，而且市场上没有能够满足企业需求的成熟的商品化软件和解决方案。外购调试外购调式的基本做法是企业购买成熟的商品化软件，通过参数配置和二次开发满足企业需求。比如大部分企业的财务管理系统、ERP系统、人力资源管理系统等

17、多采用外购调试方式。外购调试方式的适用条件通常是企业的特殊需求较少，市场上已有成熟的商品化软件和服务。业务外包信息系统的业务外包是指委托其他单位开发信息系统，基本做法是企业将信息系统开发项目外包出去，由专业公司或科研机构负责开发、安装实施，由企业直接使用。同时，由于外包信息系统与系统开发方的专业技能、职业道德和敬业精神存在密切关系，也要求企业必须加大对外包项目的监督力度。业务外包方式的适用条件通常是市场上没有能够满足企业需求的成熟的商品化软件和解决方案，企业自身技术力量薄弱或出于成本效益原则考虑不愿意维持庞大的开发队伍。 4.内部控制应用指引信息系统29指引的意义及框架方式优点缺点自行开发1.开发人员熟悉企业情况，可满足企业特殊的业务需求；2.培养锻炼自己的开发队伍，便于后期的运行和维护1.开发周期较长；2.技术水平和规范程度较难保证；3.