企業內部控制應用指引之內部信息傳遞?企業內部操縱應用指引第17號——內部信息傳遞?一、信息系統內部操縱概述?企業內部操縱應用指引第18號——信息系統?中所指信息系統，是指企業利用運算機和通信技術，對內部操縱進行集成、轉化和提升所形成的信息化治理平臺。完整性和可用性，為建立有效的信息與溝通機制提供支持保證。規程等要素組成。企業信息系統內部操縱以及利用信息系統實施內部操縱至少應當關注以下方面：1率低下；2效操縱；3、系統運行愛護和安全措施不到位，可能導致信息泄漏或毀損，系統無法正常運行。二、信息系統的開發進行系統建設戰略規劃，再將規劃細化為項目建設方案。式。位。求。企業信息系統歸口治理部門應當加強信息系統開發全過程的跟蹤治理統進行檢查驗收，并組織系統上線運行?！惨弧持贫ㄐ畔⑾到y開發的戰略規劃信息系統開發的戰略規劃是信息化建設的起點。戰略規劃是以企業進展戰略為依據制定的企業信息化建設的全局性、長期性規劃。系統的應用價值。要緊操縱措施：算的同時制定年度信息系統建設打算，促進經營治理活動與信息系統的和諧統一。配，幸免相互脫節。〔二〕選擇適當的信息系統開發方式信息系統的開發建設是信息系統生命周期中技術難度最大的環節。在開發建設環節，要將企業的業務流程、內控措施、權限配置、預警指標、核算方法等固化到信息系統中，因此開發建設的好壞直截了當阻礙信息系統的成敗。開發建設要緊有自行開發、外購調試、業務外包等方式；企業應依照自身實際情形合理選擇。發周期較長、技術水平和規范程度較難保證，成功率相對較低。外購調試的差不多做法是企業購買成熟的商品化軟件，通過參數配置和二次開發滿外購調試方式的適用條件通常是企業的專門需求較少，市場上已有成熟的商品化軟件和系統實施方案。3．當使用。業務外包方式的適用條件通常是市場上沒有能夠滿足企業需求的成熟的商品化軟件和〔三〕自行開發方式的關鍵操縱點和要緊操縱措施盡管信息系統的開發方式有自行開發、外購調試、業務外包等多種方式，但差不多流程大體相似，通常包含項目打算、需求分析、系統設計、編程和測試、上線等環節。MRP系統〔銷售、采購、庫存、生產項目確實是指本時期需要建設的相對獨立的一個或多個子系統。溝通打算、風險計策打算、項目采購打算、需求變更操縱、配置治理打算等內容。滯后、費用超支、質量低下。時期性評審，以保證過程可控。第三，項目關鍵環節編制的文檔應參照?GB8567－88運算機軟件產品開發文件編制指南?等相關國家標準和行業標準進行，以提高項目打算編制水平。需求分析環節需求分析的目的是明確信息系統需要實現哪些功能。描述業務活動涉及的各項工作以及用戶的各種需求，建立以后目標系統的邏輯模型。這一環節的要緊風險是：務處理和操縱的需要。第二，技術上不可行、經濟上成本效益倒掛，或與國家有關法規制度存在沖突。第三，需求文檔表述不準確、不完整，未能真實全面地表達企業需求，存在表述缺失、表述不一致甚至表述錯誤等問題。要緊操縱措施：析人員和有關部門的治理人員、業務人員的交流，經綜合分析提煉后形成合理的需求。第二，編制表述清晰、表達準確的需求文檔。需求文檔是業務人員和技術人員共同明白得信息系統的橋梁目標、功能和要求。企業應當采納標準建模語言，綜合運用多種建模工具和表現手段，參照運算機軟件產品開發文件編制指南?等相關標準，提高系統需求說明書的編寫質量。出一個能在企業特定的運算機和網絡環境中實現的方案，即建立信息系統的物理模型。系統設計包括總體設計和詳細設計?？傮w設計的要緊任務是：第一，設計系統的模塊結構，合理劃分子系統邊界和接口。為特點，以及組件之間、組件與環境之間的接口關系。第四，設計系統的網絡拓撲結構、系統部署方式等。詳細設計的要緊任務包括：程序說明書編制、數據編碼規范設計、輸入輸出界面設計等內容。系統設計環節的要緊風險是：第一，設計方案不能完全滿足用戶需求，不能實現需求文檔規定的目標。第二，設計方案未能有效操縱建設開發成本，不能保證建設質量和進度。第三，設計方案不全面，導致后續變更頻繁。新的風險。要緊操縱措施：響應上的差異；信息系統歸口治理部門和業務部門應當對選定的設計方案予以書面確認。第二，企業應參照?GB8567－88運算機軟件產品開發文件編制指南?等相關國家標準和行業標準，提高系統設計說明書的編寫質量。第三，企業應建立設計評審制度和設計變更操縱流程。程、關鍵操縱點和處理規程嵌入系統程序，實現手工環境下難以實現的操縱功能。理功能操縱用戶的操作權限，幸免將不相容職務的處理權限授予同一用戶。第六，應當針對不同的數據輸入方式，強化對進入系統數據的檢查和校驗功能。比如，憑證的自動平穩校對。專門的或者違抗內部操縱要求的交易和數據，應當設計系統自動報告并跟蹤處理機制。作流程，確保足夠的日志記錄，保證對后臺操作的可監控性。編程時期完成之后，要進行測試，測試要緊有以下目的：一是發覺軟件開發過程中的錯誤，分析錯誤的性質，確定錯誤的位置并予以糾正。能力以及系統有用性等指標，以便對整個系統做出綜合評判。測試環節的要緊風險是：第一，編程結果與設計不符。第二，各程序員編程風格差異大，程序可讀性差，導致后期愛護困難，愛護成本高。第三，缺乏有效的程序版本操縱，導致重復修改或修改不一致等問題?？赡茱@現嚴峻問題。要緊操縱措施：第一，項目組應建立并執行嚴格的代碼復查評審制度。第三，應使用版本操縱軟件系統〔例如CVS開展項目工作，和諧開發人員對程序的修改。第四，應區分單元測試、組裝測試〔集成測試系統進行驗收測試，確保在功能、性能、操縱要求和安全性等方面符合開發需求。行的運算機環境中，使信息系統按照既定的用戶需求來運轉，切實發揮信息系統的作用。這一環節的要緊風險是：第一，缺乏完整可行的上線打算，導致系統上線紛亂無序。功能，導致開發成本白費。第三，初始數據預備設置不合格，導致新舊系統數據不一致、業務處理錯誤。要緊操縱措施：打算一樣包括人員培訓、數據預備、進度安排、應急預案等內容。統失效時能夠順利切換回舊系統。行測試。用戶部門應當參與數據遷移過程，對遷移前后的數據予以書面確認。〔四〕其他開發方式的關鍵操縱點和要緊操縱措施下面介紹其他開發方式〔業務外包、外購調試〕的關鍵操縱點和要緊操縱措施。在業務外包、外購調試方式下，需要采取有針對性的操縱措施。1．業務外包方式的關鍵操縱點和要緊操縱措施1．業務外包方式的關鍵操縱點和要緊操縱措施〔1〕選擇外包服務商的要緊風險是：由于企業與外包服務商之間本質上是一種〝托付—代理〞關系,合作雙方的信息不對稱容易誘發道德風險，外包服務商可能會實施損害企業利益的自利行為,如偷工減料、放松治理、信息泄密等。要緊操縱措施：第二，企業能夠借助外包業界基準來判定外包服務商的綜合實力。第三，企業要嚴格外包服務審批及管控流程,對信息系統外包業務，原那么上應采納公布招標等形式選擇外包服務商，并實行集體決策審批。〔2〕簽訂外包合同這一環節的要緊風險是：由于合同條款不準確、不完善，可能導致企業的正當權益無法得到有效保證。要緊操縱措施：密協定〞，以保證數據安全。第三，在合同中約定付款事宜時,應當選擇分期付款方式，尾款應當在系統運行一段時刻并經評估驗收后再支付。第四，應在合同條款中明確要求外包服務商保持專業技術服務團隊的穩固性?！?〕連續跟蹤評判外包服務商的要緊風險是：企業缺乏外包服務跟蹤評判機制或跟蹤評判不到位，可能導致外包服務質量水平不能滿足企業信息系統開發需求。要緊操縱措施：第一，企業應當規范外包服務評判工作流程，明確相關部門的職責權限，建立外包服務務水平的跟蹤評判。第二，必要時，能夠引入監理機制，降低外包服務風險。2．外購調試方式的關鍵操縱點和要緊操縱措施在外購調試方式：2．外購調試方式的關鍵操縱點和要緊操縱措施在外購調試方式：〔1〕軟件產品選型和供應商選擇在外購調試方式下的要緊風險是：第一，軟件產品選型不當，產品在功能、性能、易用性等方面無法滿足企業需求。要緊操縱措施：塊組合和版本。第二，企業在進行軟件產品選型時應廣泛聽取行業專家的意見。要考察其服務支持能力和后續產品的升級能力?！?〕服務提供商選擇大型企業治理信息系統〔例如ERP系統〕的外購實施的要緊風險是：服務提供商選擇不當，削弱了外購軟件產品的功能發揮，導致無法有效滿足用戶需求。三、信息系統的運行與愛護信息系統的運行與愛護要緊包含三方面的內容：日常運行愛護、系統變更和安全治理。門事件的報告和處理等。這一環節的要緊風險是：可能導致企業信息系統出錯。缺失。要緊操縱措施：第一，企業應制定信息系統使用操作程序、信息治理制度以及各模塊子系統的具體操作和操作規范連續穩固運行。門現象發生時刻和可能的緣故作出詳細記錄。養與安全治理、故障的診斷與排除、易耗品的更換與安裝等，這些工作應由專人負責?；蜍浻布坦餐鉀Q。本與進度的操縱。這一環節的要緊風險是：第一，企業沒有建立嚴格的變更申請、審批、執行、測試流程，導致系統隨意變更。第二，系統變更后的成效達不到預期目標。要緊操縱措施：治理層的批準，并對變更進行測試。信息系統變更應當嚴格遵照治理流程進行操作刪除、修改等操作；不得擅自升級、改變軟件版本；不得擅自改變軟件系統的環境配置。必要時還應當進行額外測試。第四，企業應加強緊急變更的操縱治理。據轉換操縱、用戶培訓等。遭到破壞、更換和泄漏，信息系統能夠連續正常運行。這一環節的要緊風險是：周期短?？赡軔阂饣蚍菒阂鉃E用系統資源，造成系統運行效率降低。第三，對系統程序的缺陷或漏洞安全防護不夠，導致遭受黑客攻擊，造成信息泄露。信息系統操作人員的嚴密監控，可能導致舞弊和利用運算機犯罪。要緊操縱措施是：上，建立專門的電子設備管操縱度，關于關鍵信息設備，未經授權，不得接觸。企業應當建立信息系統安全保密制度和泄密責任追究制度。專門要對重要崗位職員進行信息系統安全保密培訓，并簽署安全保密協議。企業應當建立信息系統安全保密制度和泄密責任追究制度。細那么。第五，企業應當有效利用IT技術手段，對硬件配置調整、軟件參數修改嚴加操縱。企業可利用操作系統、數據庫系統、應用系統提供的安全機制，設置安全參數，保證系或者改變軟件系統配置，并定期對上述情形進行檢查。聲譽和信用狀況等，并與其簽訂正式的服務合同和保密協議。絡安全，嚴密防范來自互聯網的黑客攻擊和非法侵入。關于通過互聯網傳輸的涉密或者關鍵業務數據傳遞的保密性、準確性、完整性。非法利用；系統，就可能較為容易地篡改數據，從而達到侵吞財產或濫用運算機信息的目的。準等，在他們之間也應有必要的相互牽制。應當采納數字證書、生物識別等可靠性強的技術手段識別用戶身份