信息技术在内部控制中的应用

信息技术在内部控制中的应用第1页引言内部控制一直是企业管理，尤其财会领域关注的热门话题。然而直至今天，国内外企业，尤其是一些知名企业的一系列财务造假舞弊丑闻，暴露了企业（包括上市公司）在内部控制方面依旧存在严重问题。从巴林银行倒闭事件看信息化内部管控>>1995年2月26日，巴林银行被英国央行宣布倒闭，作为一家拥有232年历史，曾经排名世界前三的贵族银行，连伊丽莎白女王也是它的长期客户。>>它的破产不仅震惊英伦三岛，而且极大地震动了全世界的金融界，导致英镑汇率和银行股票的大幅下滑，同时也波及到其他金融市场，引起了世界股市的下挫。>>10天后，这家拥有悠久历史的银行以1英镑的象征性价格被荷兰国际集团收购。从一个错误账号和一个员工冒险引起的连锁反应>>1992年巴林银行有一个账号为“99905”的“错误账号”，专门处理交易过程中因疏忽造成的差错，如将买入误为卖出等等。新加坡巴林期货公司的差错记录均进入这一账号，并发往伦敦总部。>>1992年夏天，伦敦总部的清算负责人乔丹·鲍塞要求员工尼克·里森另外开设一个“错误账户”，以记录小额差错，并自行处理，以省却伦敦的麻烦。受新加坡华人文化影响，里森新开了一个“88888”的错误账户。>>数周之后，巴林总部换了一套新的电脑系统，重新决定新加坡巴林期货公司的所有差错记录仍经由“99905”账户向伦敦报告。>>“88888”差错账户因此搁置不用，但却成为一个真正的错误账户留存在电脑之中。这个被人疏忽的账户后来就成为里森造假的工具。>>从此，该账户一直被里森用来吸收其他差错业务。随着里森的职务提升，该账户亏损数额也日趋增长至600万英镑，以致无法用个人收入填平，这时他已经不敢向总部报告这个情况了。在这种情况下，里森被迫尝试以自营收入来弥补亏损。幸运的是，到1993年7月，他操作的日经期货交易获得成功，“88888”账户居然由于自营获利而转亏为盈。>>然而，在随后的一年中，里森看好日本经济能走出衰退。于是大量买进日经225指数期货合约和看涨期权。然而“人算不如天算”,到1995年1月，已经损失高达2.1亿英镑。>>这时的情况虽然糟糕，但如果及时发现，还不至于能撼动巴林银行。然而，里森为了反败为胜，疯狂补仓，以“杠杆效应”放大了几十倍的期货合约。>>在随后一个月，日经股价指数急剧下挫，里森的损失则激增至令人咋舌的8.6亿英镑。>>所有这些交易均进入“88888”账户。为维持数额如此巨大的交易，每天需要3000—4000万英镑。>>令人吃惊的时，巴林总部到此时依旧没有发现问题，竟然接受里森的各种理由，照付不误。2月中旬，巴林总部转至新加坡5亿多英镑，已超过了其47000万英镑的股本资金。令人感到讽刺的是：>>3月2日凌晨，里森被捕，随后被新加坡法庭以非法投机并致使巴林银行倒闭的财务欺诈罪名判处里森有期徒刑6年6个月，因其在狱中表现良好，提前于1999年7月3日获释出狱。>>尼克·里森在狱中完成的《我如何弄垮巴林银行》一书，并在他出狱之后被拍成了电影。>>故事总是在不断重复上演的。2006年3月，因擅自从事石油衍生品期权交易导致5.5亿美元巨亏的中国航油新加坡公司总裁陈久霖入狱。>>当然，当事人情况和里森不一样，更多是决策上的失误，但是，在越权从事石油金融衍生产品投机过程中，陈久霖竟然同时具有授权、执行、检查与监督功能，没有遇到任何阻拦与障碍，足见中航油在职能分工方面存在的严重问题。>>2008年1月，因期货交易员杰罗姆·凯维埃尔在未经授权情况下大量购买欧洲股指期货，形成49亿欧元（约71亿美元）的巨额亏空，创下世界银行业迄今为止因员工违规操作而蒙受的单笔金额损失纪录，触发了法国乃至整个欧洲的金融震荡，并波及全球股市，引发暴跌。如何加强企业管理中的监管、授权、风险评价？这需要内部控制不断实践和完善；更需要通过信息技术将企业内部控制进行“落地”。将内部控制和信息化技术有机结合，实现业务和事项的自动控制、提前预警，减少或消除因为人为操作因素，或者管理人员非理性的决策，这应该是企业内部控制基本规范实施的主要思路。目录1内部控制与信息化应用2内部控制与流程管理3内部控制与风险管理4内部控制与信息安全5内部控制信息化系统实施内部控制与信息化应用学习目标1了解内部控制的基本概念2了解内部控制的发展历程和变化过程3把握内部控制与信息化建设的关系4了解信息技术对内部控制的影响什么是内部控制？美国审计准则委员会（ASB）对内部控制提出了如下定义：“内部控制是在一定的环境下，单位为了提高经营效率、充分有效地获得和使用各种资源，达到既定管理目标，而在单位内部实施的各种制约和调节的组织、计划、程序和方法。”2008年我国颁布的《企业内部控制基本规范》在借鉴国外先进理念的基础上，立足我国企业实际情况，将内部控制定义为：由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规，资产安全，财务报告及相关信息真实、完整，提高经营效率和效果，促进企业实现发展战略。内部控制的发展历程相关内容1.内部牵制阶段（1940年度以前）内部牵制是指以提供有效的组织和经营，并防止错误和其他非法业务发生的业务流程设计。内部牵制是以不相容职务分离为主要内容的流程设计，是内控的最初形式。2.内部控制制度阶段（20世纪40－80年代）内部控制由早期的比较单一的内部牵制演变为涉及组织结构、岗位职责、人员素质、业务处理程序和内部审计等比较严密的内部控制制度体系，分为内部会计控制和内部管理控制两个部分。3.内部控制结构阶段（20世纪80－90年代）企业内部控制结构包括为合理保证企业特定目标的实现而建立的各种政策和程序，由控制环境、会计系统和控制程序三个要素组成。控制环境包括组织结构设计、职责权限确定、管理者的经营风格和员工的素质等；会计系统包括对各项经济业务的确认、计量、记录和报告等；控制程序包括授权批准、不相容职务相互分离、对资产限制接近和对经济业务独立审核等。4.内部控制整合框架阶段（20世纪90年代－今）1992年美国反虚假财务报告委员会所属的发起组织委员会（COSO）《内部控制整合框架》指出，内部控制是由企业董事会、经理层和其他员工实施的，为营运的效率效果、财务报告的可靠性、相关法令的遵循等目标的达成而提供合理保证的过程，包括五个要素：①控制环境；②风险评估；③控制活动；④信息与沟通；⑤监控。5.风险管理整合框架阶段（2004年以后）第4和第5阶段，有时候也统称内部控制的整合框架阶段2004年美国COSO委员会颁布的《企业风险管理——整体框架》指出，全面风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制定并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证，包括八个要素：①内部环境；②目标设定；③事项识别；④风险评估；⑤风险应对；⑥控制活动；⑦信息与沟通；⑧监控。八个要素相关关联，贯穿于风险管理全过程。在全球内部控制规范化的趋势下，随着资本市场在我国迅速发展，我国政府和企业管理者也开始日益重视企业内部控制建设，1999年修订的《会计法》第一次以法律形式对建立健全内部控制提出原则性要求。萨班斯法案2001年12月，美国最大的能源公司——安然公司，突然申请破产保护，此后，公司丑闻不断，规模也“屡创新高”，特别是2002年6月的世界通信会计丑闻事件，彻底打击了投资者对资本市场的信心。为了改变这一局面，美国国会和政府加速通过了《萨班斯法案》，法案的第一句话就是“遵守证券法律以提高公司披露的准确性和可靠性，从而保护投资者及其他目的”。随着全球化不断深入，企业面临的内外部环境日趋复杂多变，单纯依赖会计控制已经难以应对企业所面临的风险。尤其是中航油新加坡公司案件发生后，2004年年底到2005年上半年，国务院陆续就强化企业内部控制问题做出重要批示。自2008年以来，《企业内部控制基本规范》、《企业内部控制配套指引》、《行政事业单位内部控制规范（试行）》、《行政事业单位内部控制报告管理制度（试行）》等内部控制制度规范不断出台，企业及行政事业单位的内部控制工作都有了可遵循的指引。内部控制的特点>>内部控制是管理的一部分，是一种管理理念、工具和手段。大到整个企业的经营活动内部审计，小到员工的考勤制度，都属于内部控制范围；>>内部控制是动态的管理过程，而不是静态的管理制度。通过有效执行内控制度来实现企业的目标，同时，根据内外部环境变化对内部控制进行调整和改进；>>内部控制需要全员的共同参与，必须融入企业的日常管理和业务活动；>>内部控制的核心理念是“目标——风险——控制”。在实现发展目标的过程中，对面临的各种不确定因素，进行风险防范。内部控制整合框架（三目标和五要素）企业建立与实施内部控制，应当遵循的原则：（一）全面性原则。内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项。（二）重要性原则。内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域。（三）制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。（四）适应性原则。内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。（五）成本效益原则。内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。信息技术与内部控制企业应当运用信息技术加强内部控制，建立与经营管理相适应的信息系统，促进内部控制流程与信息系统的有机结合，实现对业务和事项的自动控制，减少或消除人为操纵因素。20世纪70年代起，系统论和控制论迅速向会计领域渗透，人们逐渐建立起内部控制是一个控制系统的概念，并将控制环境、会计系统和控制程序作为内部控制系统的三要素，我们可以把内部控制系统看做一个由一系列点、线、面、体组成的整体。点：控制点是内部控制系统中最基本的要素，表现为一个业务处理流程中的控制环节。例如销售控制流程中的销售价格、销售折扣、销售数量。线：控制线是内部控制系统中控制点与控制点之间的信息传递，表现为内部控制流程。面：控制面是控制点与控制线的有机结合，表现为内部控制的控制层面，例如战略控制层面、管理控制层面和业务控制层面。体：控制体是控制点线面的集成，表现为内部控制的子集，例如财务报告内部控制、全面预算内部控制等。在信息化环境下，内部控制系统的本质并没有发生变化，只是利用信息资源和信息技术工具，通过传统环境下无法实现的一些控制模式，由董事会、管理层和其他人员共同参与企业的风险管理和内部控制活动，实现内部控制的转化、集成和提升。信息化环境下的内部控制系统，是对人工控制、制度控制、信息技术工具控制的集成和整合。信息技术对内部控制理论的影响我们大家已经知道，内部控制由控制环境、风险评价、控制活动、信息与沟通和监控五个相互关联的要素构成。在信息化环境下，内部控制框架虽然没有发生根本性变化，但是，从五要素的角度，信息技术对内部控制的影响却无处不在。信息技术对控制环境的影响控制环境是对企业内部控制系统有重大影响的各种因素的集合体，包括治理结构、企业文件、机构设置、权责分配、人力资源等方面。在信息化环境下，企业组织机构趋于扁平化，内部控制层级明显减少，企业决策者各执行者能快速沟通；同时信息充分共享，切实做到全员参与。信息技术对风险评价的影响随着信息技术水平的提高，风险的识别和风险的预测、防范变得更加标准化和快捷化，风险控制更加易于落地；但是，同时，企业风险评价也面临新的内容。例如德意志银行的“错付”和胖手指事件。2008年9月15日上午10：00，拥有158年历史的美国第四大投资银行——雷曼兄弟公司向法院申请破产保护，消息转瞬间通过电视、网络传遍全球各个角落。令人匪夷所思的是，在如此明朗的情况下，德国国家发展银行却在当天的10：10，居然按照外汇如期协议的交易，通过计算机自动付款系统，向雷曼即将冻结的银行账户转入了5亿欧元。毫无疑问，5亿欧元将是肉包子打狗有去无回。转账风波曝光后，德国社会各界大为震惊，舆论哗然。因为此前一天，有关雷曼破产的消息已经满天飞，德国国家发展银行应该知道交易的巨大风险，并事先做好防范措施才对。一家法律事务所受财政部的委托，带着这个问题进驻银行进行全面调查。法律事务所的调查员先后询问了银行各个部门的数十名职员，从调查报告中我们可以看出：有人习惯于系统的自动化，没有收到风险评估报告就不考虑突发的情况；有人获取了信息，想当然的认为相关环境责任人应该知道，所以也就不用专门去告知和提醒；有人把责任推卸给同事，甚至推卸给信息化系统；还有人发现了情况，却拘泥于流程……胖手指事件所谓胖手指事件是指由于人手在键盘上的操作错误，导致股票、外汇等金融市场大盘失控，引发急剧波动。通常是交易员输错数字、点错菜单等等，这常常造成数以亿计的巨额亏损。2005年，日本一个笨手笨脚的交易员本来想要以610,000日元（约4,19万人民币）卖出1股股票，结果以1日元卖了610,000股股票，让公司损失18.5亿人民币；2016年，一名交易员将1,600万美元输入成了160亿美元，引发道琼斯指数在不到一小时内，暴跌了9%……信息技术对控制活动的影响控制活动是企业根据风险评估结果，为实现控制目标而制定并执行的控制措施，将风险控制在可承受访问之内。信息技术的应用丰富了控制工具和控制手段。通过信息技术，可以实现从事后控制到事中控制和事前控制；实时控制可以将不符合规则的行为在发生之前就予以拒绝；信息技术的高效性，可以将人从传统控制中解脱出来，更多专注在潜在风险事件控制上。信息技术对信息与沟通的影响企业在经营管理中，需要及时准确收集、传递各种信息，确保信息与沟通水平。电子邮件、即时通讯、数字证书、电子报表等信息化工具让信息与沟通非常流畅。企业信息系统、办公系统让各部门衔接起来，实现业财一体化处理，让会计核算从事后静态核算转变为事中动态核算；开放的信息工具让企业内部和相关方有效沟通，实现大数据的获取、挖掘分析和有效运用。信息技术给沟通带来的是翻天覆地的变化（当然也包括懂王的推特治国O（∩_∩）O）。信息技术对监控的影响监控是指企业对内部控制建立与实施进行监督检查，评价内部控制有效性，及时发现内部控制缺陷，以便不断改进和优化内部控制水平。信息技术可以对内部控制全过程记录和预警，可进行追溯和分析，及时排除可能的问题；可以进行商业智能化的监督和预测，实现内部控制能力的持续改进。重点回顾内部控制的定义：美国审计准则委员会（ASB）：“内部控制是在一定的环境下，单位为了提高经营效率、充分有效地获得和使用各种资源，达到既定管理目标，而在单位内部实施的各种制约和调节的组织、计划、程序和方法。”《企业内部控制基本规范》：由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规，资产安全，财务报告及相关信息真实、完整，提高经营效率和效果，促进企业实现发展战略。内部控制的发展历程1.内部牵制阶段（1940年度以前）2.内部控制制度阶段（20世纪40－80年代）3.内部控制结构阶段（20世纪80－90年代）4.内部控制整合框架阶段（20世纪90年代－今）5.风险管理整合框架阶段（2004年以后）内部控制整合框架（三目标和五要素）信息技术与内部控制在信息化环境下，内部控制系统的本质并没有发生变化，只是利用信息资源和信息技术工具，对人工控制、制度控制、信息技术工具控制，董事会、管理层和其他人员共同参与，实现内部控制的转化、集成和提升。信息技术对五要素的影响信息技术对控制活动、风险评估、控制环境、信息与沟通、监控五要素，内部控制全过程都产生的巨大影响。内部控制与流程管理学习目标1了解流程和流程再造的基本概念2了解信息化环境下流程再造的基本原则3掌握流程再造加强内部控制的主要过程4学会使用信息化工具来绘制流程图流程管理规范企业的管理体系有人说，麦当劳的成功经验就是其国际化的流程管理体系。据统计，麦当劳的员工流失率是52%，但是依然能够做的很优秀，究其原因，在于良好的流程和系统环境，即使人员流失，核心竞争力依然存在。华为在国际化过程中，曾经销售额年年增长，而毛利率却逐年下降，人均效益只有IBM的1/6，通过坚持不懈的流程变革，解决了因流程僵化、各部门各自为政、作业不规范等各方面问题，成为流程管理的标杆。流程，简而言之，就是工作流转的过程业务在把一个到多个输入转化为对客户有价值的输出活动中，需要多个部门、多个岗位的参与和配合，各个部门、岗位之间的承接、流转，就是业务活动的过程。例如某房地产企业的业务流程：流程的要素不同的流程有不同的呈现方式，但是归结起来，基本包括了六个要素：>>流程的输入资源>>流程的若干活动>>活动的相互作用（先后串并，也就是流程的结构）>>输出结果>>顾客>>最终流程创造的价值流程的作用流程控制，是通过建立科学、高效、规范的业务流程管理体系，从而为企业控制目标的实现提供合理保障的一种系统化方法。一般来说，流程控制能够为企业带来以下重要作用：>>提高企业运行效率。流程直观呈现业务活动谁来做、做什么，怎么做、有何凭证，有效规范业务活动的执行程序、执行标准和相关责任人；>>降低企业运营成本。通过流程控制将业务运行过程中的常规工作进行梳理，将不必要、不重要的环节进行简化，对不合理、执行不到位的环节进行分析、监控和不断优化，能够有效降低业务和管理成本；>>支持企业战略和经营目标的实现。流程控制有助于强化企业的风险控制和管理，便于建立目标和业绩管理体系，响应市场和客户需求，提升企业的反应能力。同时，流程执行过程中的资料和数据信息也为企业科学决策提供支撑；>>实现企业的知识管理。流程是深化和加强管理的有效工具，是企业管理经验传承的重要载体，好的流程管理体系有利于新员工快速熟悉和掌握工作内容、程序和方法，降低因员工流失给企业带来的影响。进入计算机、互联网时代以来，现代企业面临着内外部的巨大挑战，个性化的客户需求、日益残酷的市场竞争和环境的频繁变化，在信息技术发展的大时代背景下，传统企业业务流程的弊端被暴露无遗。业务流程再造这种思想适应了企业重新审视和提高效率的要求。信息技术的发展和应用为业务流程再造提供了强有力的支持：>>柔性制造、精良生产、准时制造和全面质量管理等多种基于信息技术的先进制造技术和现代管理系统日趋完善，为流程再造提供坚实的实施基础；>>用信息技术武装起来的员工整体素质明显提高，为流程再造提供实施成功的必要前提；>>信息技术能够有效保障企业实施业务流程再造，控制流程重新设计过程中的风险。互联网和新媒体为信息沟通提供保障，数据分析、建模方便企业重新设计流程，信息技术是组织结构扁平化和子系统之间的协作更为通畅。信息化环境下流程再造的内涵1990年，美国麻省理工学院计算机教授MichaelHammer在《哈佛商业评论》上发表了《再造不是自动化，而是重新开始》一文首次提出流程再造概念：很多习以为常的做法（流程）已经没有存在的价值，我们应该删除不必要的过程而进行流程的改进和优化。业务流程再造是以企业流程为改装对象和中心，以关心客户需求和满意度为目标，利用先进的信息技术，结合现代化的管理手段，对现有企业的业务流程进行基本的再思考和彻底性的再设计，从而实现经营在成本、质量、服务、速度和效益等方面的显著改善。信息化环境下流程再造的基本原则1.围绕结果而不是任务进行生产组织过去由多人流水式完成的工作可以组合成一个单一的工作/项目，由一个或一组人完成，降低工作传递的效率损失，提高反映速度、满足个性需求；2.让需要过程结果的人来执行这个过程过程和人员结合更加密切，使工作通过企业各种过程后产生大家需要的结果；3.将信息处理过程和产生信息过程合并收集数据的人应同时处理他们，而不是命令或协调别人来处理，减少信息处理过程中的错误；4.用集中处理的方式对待地理上的分散资源IT技术使集中式和分散式处理兼而有之的过程处理更加合理，企业分散在各处的活动集中并行处理，增强企业对过程的总体控制力度；5.将并行的活动联系起来而不是汇总他们的结果将并行的活动结果汇总，会让工作重复、拖拉，通过信息技术手段将他们联系起来，在工作开展的过程中不断协调彼此；6.将决策加入工作处理的环节，并在过程中建立控制决策应该在工作处理过程中做出，选用教育程度更高的劳动力与辅助决策的技术，降低组织层级，让组织积极快速地做出响应；7.从源头获取信息/数据信息/数据应该在它产生的时候存入企业的信息系统中，而且应该避免过多的分割和过多的版本，避免产生大量无用和过期数据，从而降低信息系统的复杂度。业务流程再造的主要流程分析原有流程，及时发现问题·新环境带来的流程障碍·市场变化，关键环境和各环节的重要程度发生变化·市场、技术变化，带来新的可行性设计改进方案，并进行评估·群策群力、集思广益，鼓励组织成员创新，设计更加科学合理的流程·从成本、效益、风险等方面全面评估，优选方案形成系统的业务流程再造方案·配套相应的组织结构、人力资源配置、业务规范、沟通渠道，形成以流程改进为核心的系统性方案组织实施与持续改进·实施业务流程再造方案，会触及原有的利益格局，必须坚定克服阻力，同时积极宣传，达成共识，在推进过程中不断改进完善从业务流程再造加强内部控制机制由于流程再造从根本上改变了企业的风险分布以及重大和重要的风险点，因此，强化内部控制的主要思路就是要重新识别和评估企业所面临的风险点，针对重大和重要风险点设计与实施关键的内部控制活动。1.建立健全以风险为导向的内部控制机制目前，我国企业内部控制机制尚未明确界定风险管理在内部控制机制中的核心地位，很多企业的内部控制还缺乏主导方向，没有达到实施效果。建立以风险为导向的内部控制机制是提高内部控制效率，提升企业市场竞争力和抵御风险能力的迫切需要。2.充分发挥“软控制”的作用“硬控制”是指内部控制中无论何时何地、无论是谁都必须遵守的规定，而“软控制”则更多是精神方面的管理风格、企业文化和内部控制意识，需要靠理念、习惯和员工价值观来维系。通过流程再造，提倡充分授权，可以强化软控制作用，达到更加好的控制效果。3.将流程各个环节关键控制点集中到一个地方完成，能够降低内部控制成本流程再造将原来位于不同地区的不同部门的人集合在一起，打破部门界限建立一个项目小组负责一个流程或循环的全部工作，方便进行风险评价，并将关键控制点集中在一个地方完成。4.在一些非重要的控制环节，可以让那些需要得到流程产出的人亲自执行相关流程一些重复、非重要的控制环节，例如一些非重要的采购、活动，传统的精细分工显得笨重且缓慢，让需要得到流程产出的人亲自执行相关流程，可以大大消除和原有工作界面之间的摩擦，降低交易成本，同时提高运营效率。企业案例分析某集团公司在实施内部控制之前，存在多种问题：1.管理层缺乏战略思维，导致采购观念落后企业一直把采购当做例行性的工作，供应商评价并未融入整体的内部控制系统，缺乏双赢的思维，为了追求自身利益，要么忽视产品质量，要么拖欠供应商货款，造成采购商品质量问题频发，而良好的产品供应商又不愿与之合作。2.形式化的采购管理模式，使得采购流程不畅传统企业职能分工中，采购部门作为单独的职能部门，相对独立地开展工作。缺乏和其他部门的直接沟通，也容易滋生腐败和浪费现象。3.采购周期长，延迟需求部门工作，影响工作高效运转由于采购中的计划、审批等环节众多，使得整个过程完成需要等候很长时间，且相关审批人员往往身兼多职，貌似互相监督和牵制，实际是相关管理者忙于各方面的工作，并不真正了解前端情况，更多是走形式，人人有责，也就无法追责。4.库存管理问题突出部分库存商品库存量居高不下，与流动资金周转要求之间的矛盾突出；同时入库手续的繁杂与实践要求紧迫之间的矛盾同样突出。5.信息管理问题重重电脑供应不足，软件版本陈旧，且大量软件无法满足需求或者无法正常使用，受成本资金和技能培训不足影响，要么不能用，要么不会用，信息化平台建设无法满足企业发展需要；同时管理层对信息化管理缺乏足够认识，只是盲目跟风，很多数据表单管理不规范，信息孤岛现象严重，缺乏长远发展规划。流程再造方案依托信息技术，以内部控制流程为基础，以数据管理为中心，最大程度实现数据的规范管理和信息共享，非关键环节减少控制程序，是流程合理化，降低成本，满足内外部客户需要。信息化流程管控的主要工作程序流程控制的核心在于流程梳理、缺陷识别、优化和持续改进。通常来说，企业实施信息化流程控制主要工作程序是这样的：核算管理流程梳理中需要注意的问题1.加强款项收付、有价证券管理，尽可能纳入统一核算，避免小金库、挪用、甚至偷逃问题发生。2.财产物资的收发、增减和使用作为会计核算中经常性业务，应纳入成本考核、内部管控的重要依据。3.债权债务的发生和结算，尤其是各种应收和预付款项，及时核算和监控，对于相关问题需及时预防和纠正。4.资本、基金的增减，以国家政策、有法律效力的合同/协议和公司高层决议为依据，避免因盲从个别领导、未经规范程序处理。5.经营成果的计算和处理，例如利润的计算、所得税的计算、利润分配等，这部分的核算涉及所有者和国家利益，更应严格处理。资金管理梳理过程中需要注意的问题1.强化企业集团账户管理，避免因账户数量庞大、开设标准不统一、集中化程度不高造成的经营风险，实现资金的集中有效运作。2.加强资金收付的集中管理，可以全面控制资金流向，整合企业自己集中优势，提高资金使用效率，降低资金风险。3.实现票据从购买、领用到保管的全面管控，使整个企业票据信息有据可查、随时动态监控，这对于“零现金”企业集团意义尤为重要。税务管理梳理过程中需要注意的问题1.对于税务管理中不受地域限制、可远程操作、可标准化处理涉税咨询、纳税申报、网上办理业务，可以纳入集中管理。2.开具发票属地化管理，但是进项发票适合集中管理，尤其是通过金税三期的发票查验平台，对各类发票集中查验认证。3.实施纳税申报管理，通过集中的信息化处理，解决纳税申报的准确性和效率问题。4.资金收付渠道管理，合理选择合作银行、第三方收付渠道。综合考虑业务网络、资金调拨效率、成本费用、服务水平等因素。数据报表管理梳理过程中需要注意的问题1.进行数据报表管理梳理时对数据报表进行规范化、标准化的调整和优化。例如财务状况、现金流量相关财务报表的及时生成、分析。2.数据的集中管理，便于数据的规范管理、共享、分析、备份，全面提高业务效率，有利于各方及时了解经营状况，降低经营风险。3.数据和报表的规范、集中管理，有利于满足财政、工商、税务、审计部门监督企业经营管理。会计档案管理梳理过程中需要注意的问题《企业会计信息化工作规范》中要求，有条件的企业应积极推动电子档案相关工作开展，企业内部生成的会计凭证、账簿和辅助性会计资料，同时满足下列条件的，可以不输出纸面资料：（1）所记载的事项属于本企业重复发生的日常业务。（2）由企业信息系统自动生成。（3）可及时在企业信息系统中以人类可读形式查询和输出。（4）企业信息系统具有防止相关数据被篡改的有效机制。（5）企业对相关数据建立了电子备份制度，能有效防范自然灾害、意外事故和人为破坏的影响。（6）企业对电子和纸面会计资料建立了完善的索引体系。流程图绘制工具通过Visio连接形状和模板快速创建图表，可以提高工作效率，方便使用图表交流，并与多人共享图表。需要注意的是，Visio在Office2007中是和Word、Excel整合在一起的，在Office2016、Office2019中却不包含Visio，而是单独购买的。Visio2019启动界面借助模板快速进行流程绘制Visio2019工作界面使用Visio绘制流程图的总体思路1.熟悉业务环节；2.将相关图形拖到对应业务环节；3.图形和线条具有吸附性，方便图形和线条的连接；4.完善说明和必要的标注；5.编号、下发。流程图标准符号符号名称含义端点、中断标准流程的开始与结束，每一流程图只有一个起点进程要执行的处理判断决策或判断文档以文件的方式输入/输出流向表示执行的方向与顺序数据表示数据的输入/输出联系同一流程图中从一个进程到另一个进程的交叉引用系统内处理框标准流程的事项在某一个系统内操作时所用的图形多联式单据或报表某一个操作生成多张单据或报表时使用系统数据标示直接从系统出来的数据标示流向表示执行的方向与顺序，可以双向循环执行时用的连接符曲线连接线两个操作不在一水平线上时，用曲线连接案例演示：利用Visio2019绘制业务流程图重点回顾流程就是工作流转的过程业务在把一个到多个输入转化为对客户有价值的输出活动中，需要多个部门、多个岗位的参与和配合，各个部门、岗位之间的承接、流转，就是业务活动的过程。例如某房地产企业的业务流程：信息化环境下流程再造的内涵业务流程再造是以企业流程为改装对象和中心，以关心客户需求和满意度为目标，利用先进的信息技术，结合现代化的管理手段，对现有企业的业务流程进行基本的再思考和彻底性的再设计，从而实现经营在成本、质量、服务、速度和效益等方面的显著改善。业务流程再造的主要流程分析原有流程，及时发现问题·新环境带来的流程障碍·市场变化，关键环境和各环节的重要程度发生变化·市场、技术变化，带来新的可行性设计改进方案，并进行评估·群策群力、集思广益，鼓励组织成员创新，设计更加科学合理的流程·从成本、效益、风险等方面全面评估，优选方案形成系统的业务流程再造方案·配套相应的组织结构、人力资源配置、业务规范、沟通渠道，形成以流程改进为核心的系统性方案组织实施与持续改进·实施业务流程再造方案，会触及原有的利益格局，必须坚定克服阻力，同时积极宣传，达成共识，在推进过程中不断改进完善从业务流程再造加强内部控制机制由于流程再造从根本上改变了企业的风险分布以及重大和重要的风险点，因此，强化内部控制的主要思路就是要重新识别和评估企业所面临的风险点，针对重大和重要风险点设计与实施关键的内部控制活动。信息化流程管控的主要工作程序流程控制的核心在于流程梳理、缺陷识别、优化和持续改进。通常来说，企业实施信息化流程控制主要工作程序是这样的：内部控制与风险管理学习目标1了解内部控制与风险管理的联系2学习风险管理体系构架，了解基本识别方法3了解EAS风险管理系统进行内部风险管控的解决方案4掌握使用Excel工具进行分工协作和风险预警的方法2007年英国诺森罗克银行挤兑事件2008年美国第四大投资银行雷曼兄弟公司破产2009年美国通用汽车公司破产2020年中行原油宝多头穿仓，客户不仅本金赔光还要向银行补齐高额欠款在企业管理过程中，受本性驱使,仅仅依靠管理者的理智,无法约束贪婪和避免不可承受的风险。企业的长远发展，必须立足在从根本制度上实现效益和风险之间的平衡。风险管理的驱动因素风险管理投资者提高风险管理透明度，掌握企业风险管理情况，公司风险管理不力会导致投资者采取惩罚性措施，愿意为风险管理完善的企业溢价投资。董事会从董事会角度来说，风险管理方面最大价值在于建立一个正式流程，并提供独立客观的评价；面对未来的挑战包括如何管理合规风险、识别新兴风险、及提升风险管理水平。管理层企业面临更多的风险，管理者需承担更多的责任；更好整合风险管理与业务管理工作，风险管理的挑战包括建立系统的风险管理方案、明确责任与角色、及将风险文化融入到企业中。法律法规企业必须关注与经营相关的各种法律法规，对每一项经营行为加以合法性的审视，不致于使企业蒙受财务、人才、时间、名誉的损失，保证企业生产经营活动的合法性。业务提升企业以最经济的方法预防潜在的损失，在风险事故实际发生之前，使整个风险管理计划、方案得到最合理执行。内部控制与企业风险管理之间的联系内部控制的实质是风险控制，风险包含内部风险和外部风险，对内部风险的控制即内部控制，从这一概念来说，风险管理是内部控制的重要内容，企业风险管理包含内部控制，但两者之间的关系并不是简单的相互关系，两者之间存在着相互依存的、不可分离的内在联系。全面风险管理框架1.内部环境治理结构、组织架构、授权与责任、风险偏好、人力资源政策、风险管理文化等2.目标设定战略目标、经营目标、报告目标、合规目标3.事项识别事件识别方法、事件分类、风险与机会4.风险评估固有风险与剩余风险评估（可能性与影响程度）、风险敞口5.风险应对风险回避、风险降低、风险分担、风险承担6.控制活动企业层面控制、业务流程层面控制、IT一般控制与应用控制7.信息与沟通收集与传递内部信息、外部信息8.监控独立监控、持续监控、自我评价、缺陷改进内部控制与企业风险管理之间的联系主要表现在：1.组成部分重合内部控制与风险管理的组成要素中，其中控制环境、风险评估、控制活动、信息与沟通以及监督这五个要素是重合的。2.最终目标相同内部控制与风险管理的目标都包括：经营目标、合规性目标、报告目标。3.参与主体相同内部控制与风险管理都是全员参与的过程，最终责任人都是管理者，且两者的实施主体、过程也是一致的。4.风险防范是内部控制的一个重要目标，有了风险防范的目标，内部控制才显得十分重要，其也才有发挥作用的广大空间。5.内部控制的一个基本作用是控制风险；风险管理是指在企业生产经营过程中，对企业可能面临的风险进行识别、评估和控制，最终目标也是控制风险。风险管理体系构架监管与制衡制衡就是相互牵制，相互制约。内部控制的基本假设是：两个人有意识地犯同样错误的概率要远少于一个人；两个人有意识地合伙舞弊的可能性要远少于一个人。也就是说，不能由某一个人完成两项作业。不能由某一个岗位同时履行两项职责。如会计中的出纳与记账，不能由一个人承担。因此，相互制衡是建立和实施内部控制的核心理念。当权力失去制约，必然滋生腐败控制方法——典型不相容职务1.授权VS批准2.审批VS执行3.执行VS记录4.执行VS审核5.保管VS记录6.保管VS清查注意建立财务信息安全管理制度1.注意财务信息管理内部分工和牵制（1）授权、执行、记录某项经济活动的职务分离；（2）保管、记录、核对资产信息的职务分析；（3）审批、出纳、会计记录人员明确分工，不得同时监管；（4）采购、验收、保管人员适度分离。2.注意现金、票据、印签等相关安全管理（1）用于零星支付的现金、银行票据必须放入保险柜中，保险柜只能由出纳人员使用；（2）库存现金不得超过规定限额，取送巨额现金，必须加强看护力量；（3）发票购买、开具、保管专人负责，注意开票系统的安全管理和数据备份，开票系统计算机最好专用；（4）开票系统、财务管理系统、涉税系统，一般情况下不得重新安装，出现问题联系服务单位。风险识别风险的识别是风险管理的重要环节。只有在意识到各种风险的基础上，才能够预测危险可能造成的危害，从而选择处理风险的有效手段。常见风险识别方法1.生产流程分析法生产流程分析法是对企业整个生产经营过程进行全面分析，对其中各个环节逐项分析可能遭遇的风险，找出各种潜在的风险因素。生产流程分析法可分为风险列举法和流程图法。>>风险列举法指风险管理部门根据该企业的生产流程，列举出各个生产环节的所有风险。>>流程图法指企业风险管理部门将整个企业生产过程一切环节系统化、顺序化，制成流程图，从而便于发现企业面临的风险。2.财务表格分析法财务表格分析法是通过对企业的资产负债表、损益表、营业报告书及其他有关资料进行分析，从而识别和发现企业现有的财产、责任等面临的风险。风险分析在进行了风险辨识后，我们就要进行风险估算，风险估算从以下几个方面评估风险清单中的每一个风险：>>建立一个尺度，以反映风险发生的可能性；>>描述风险的后果；>>估算风险对项目及产品的影响；>>标注风险预测的整体精确度，以免产生误解。风险管理信息化解决方案以某软件厂商的EAS风险管理系统通过风险管理范围，构建企业自上而下的风控组织体系，以明确内控职责，规范内部控制管理机制。以重要会计科目为主线，结合EAS集团报表体系，提供财务报告合规解决方案。符合内部控制基本规范要求；符合港交所企业管治常规守则；符合萨班斯法案302.404条规定。帮助企业建立以风险为导向的标准化、规范化的内部控制体系，以业务流程为中心，对企业各项业务与管理活动实施有效的监控。>>在既定的使命或愿景范围内，管理当局制订战略目标、选择战略，并在企业内自上而下设定相应的目标，力求实现企业四种类型的目标。>>使目标与企业的风险容量相协调事项识别>>事项是源于内部或外部的影响战略实施或目标实现的事故或事件，正面/负面影响，或者两者兼而有之。>>事项库提供收集、整理、识别、分析企业经营过程中的各类风险与机会事项，并提供建立目标、风险与关键KPI的关联，使企业形成完整的管理监控体系如果没有相应的风险管理系统，其实我们熟知的Excel软件，同样能完成一些流程分工和风险识别、预警。设置数据有效性和数据保护通过if函数和and/or函数的嵌套，预警涉税风险通过if函数和and/or函数的嵌套，预警涉税风险案例演示：综合运用数据验证、数据保护和函数进行进销存协作管理重点回顾内部控制与企业风险管理之间的联系主要表现在：1.组成部分重合内部控制与风险管理的组成要素中，其中控制环境、风险评估、控制活动、信息与沟通以及监督这五个要素是重合的。2.最终目标相同内部控制与风险管理的目标都包括：经营目标、合规性目标、报告目标。3.参与主体相同内部控制与风险管理都是全员参与的过程，最终责任人都是管理者，且两者的实施主体、过程也是一致的。风险管理体系构架案例分析当权力失去制约，必然滋生腐败控制方法——典型不相容职务1.授权VS批准2.审批VS执行3.执行VS记录4.执行VS审核5.保管VS记录6.保管VS清查了解EAS风险管理系统以重要会计科目为主线，进行内部风险管控的解决方案。如果没有相应的风险管理系统，其实我们熟知的Excel软件，同样能完成一些流程分工和风险识别、预警。内部控制与信息安全学习目标1了解企业信息安全的层次框架体系基本内容2了解企业信息安全内部控制需要注意的问题3掌握使用Windows以及第三方工具保证财务数据信息安全的方法4掌握使用ERP实施信息安全控制的原理我国“互联网+”背景下，企业信息安全问题不断凸显，急需加强信息安全内部控制>>2012年，“三通一达”（中通、申通、圆通和韵达）等多家快递公司客户信息惨遭泄漏，数百万客户信息在网上叫卖；>>2013年，东软集团20余名核心技术员工涉嫌泄漏公司核心机密被公安机关批捕，造成东软集团价值约4000万元的经济损失；>>2016年，12306用户信息泄漏，包括用户名、密码、身份证号码和邮箱等内容的约13万余条用户信息在网络上疯传；>>2020年，涉疫情诈骗、医托诈骗等等，不断“推陈出新”……信息安全问题在各个领域引起了高度重视，但是，很多企业对信息的保护措施远远不够。为保障信息安全，加强内部控制，企业需要从威胁企业信息安全的信息存储、信息传输和信息使用三个层面，都需要建立信息安全内部控制机制，对“人”、设备和各种信息数据进行有效控制。企业信息安全的层次框架体系层次层面目标安全属性威胁保护手段系统安全设备安全对网络与信息系统的硬件设施的保护。机密性、可用性、完整性、可靠性电磁泄露、通信干扰、信号注入、人为破坏、自然灾害、设备故障加扰处理、电磁屏蔽、数据校验、容错、冗余、系统备份运行安全对网络与信息系统的运行过程和运行状态的保护。真实性、可控性、可用性、可审查性、可靠性非法使用资源、系统漏洞、网络阻塞、网络病毒、越权访问、非法控制系统、黑客攻击、拒绝服务攻击、软件质量差、系统崩溃防火墙与物理隔离、漏洞扫描、应急响应、病毒防治、访问控制、入侵检测、源路由过滤、降级使用、数据备份信息安全数据安全在数据收集、处理过程中保障信息依据授权使用，不被冒充、窃取、篡改、抵赖。机密性、真实性、完整性、不可否认性窃取、伪造、密钥截获、篡改、冒充、抵赖、攻击密钥加密、认证、非对称密钥、完整性验证、鉴别、数字签名、秘密共享内容安全对信息在网络内流动中的选择性阻断，以保证信息流动的可控能力。机密性、真实性、可控性、可用性、完整性、可靠性可对系统造成威胁的脚本病毒；垃圾类邮件；导致社会不稳定的有害信息，等等密文解析或形态解析、流动信息的裁剪、信息的阻断、信息的替换、信息的过滤、系统的控制企业信息安全隐患来源物理因素：硬件故障设备老化不小心的疏忽，例如静电自然灾害如：地震、台风等盗窃、欺诈监听供电故障人或动物破坏……技术因素：病毒和其他恶意程序黑客入侵和攻击系统漏洞、程序Bug后门系统没有进行安全配置缺乏安全意识缺乏专业人员不良习惯……企业信息安全内部控制计算机专人专用，手机安全管理；培养员工信息安全意识和基本病毒防御技能：>>及时打好系统补丁，安装防火墙和杀毒软件；>>软件和资源只从正规渠道或可信赖的资源站点下载；>>不轻易扫描未知来源的二维码，不随意点击不明链接；>>不轻易安装未知应用程序；>>定期更换密码，为企业不同信息系统设置不同密码；>>学会使用加密功能和加密工具保护信息安全。企业数据安全管理安全存储·尽可能采用两种或两种以上备份方式·不要将数据存在同一硬盘完整一致·注意备份数据的版本·做好备份数据的记录安全访问·备份数据的计算机设置密码·尽可能禁止备份用计算机使用软驱、Usb口财务数据常见文件类型在财务工作过程中，我们常常可以见到这样一些文件类型：·XLSExcel工作簿文件·DOCWord文档文件·PPTPowerPoint·TXT文本文件财务数据常见文件安全管理>>避免使用优盘、移动硬盘传输数据；>>通过网盘、微云、onedrive云端数据信息共享；>>对文件进行只读、修改权限进行控制>>在Windows和第三方工具基础上对文件进行隐藏、加密、清除>>利用Windows和第三方软件工具建立信息安全机制>>利用软件工具进行数据备份和还原系统信息安全机制财务信息管理的系统性信息安全机制，通过办公自动化系统、ERP软件实现企业各种信息安全管理机制。以用友U8为例，看管理软件的信息安全内部控制>>U8内控解决方案遵循内部控制与风险管理框架，贯穿控制环境、风险评估、控制活动、信息和沟通、监控五要素。>>软件设计遵循《企业内部控制基本规范及十七个具体细则》，对货币资金、固定资产、对外投资、工程项目、采购与付款、筹资、销售与收款、成本费用、担保、子公司经济业务等提供控制措施，给出基于ERP的控制手段和完整解决方案。应用特点ERP系统支持在业务活动高风险发生之处采取各控制措施及手段。支持把企业内控流程通过ERP系统进行配置和固化。建立完整的IT系统安全策略及控制体系，并通过国家信息部软件安全测评机构的安全性测试认证。提供内部审计系统：支持系统安全性审查、以及历史记录分析；支持业务处理及操作历史追溯和统计分析。内部控制在软件中实现>>业务运作的全程管理与信息共享。>>规范的业务流程和严格的操作，有效预防风险事件的发生。>>重大、关键、意外事件的上通下达，提高企业发现风险、评估风险的能力，有效地防范经营风险。>>经营评价的科学透明和及时可得。>>关键业绩指标的多维度反映。>>责权利明确，既能够让不同部门的人员参与内部控制管理，又能对其权限进行灵活控制，以保证公司经营过程的安全。>>与供应商、渠道及客户上下游协同运作。系统管理及安全－管理员权限分离不同业务、不同部门的用户角色管理数据卸出与还原完善自动备份计划系统记录查询与追溯>>安全策略变更查询可查询安全策略设置的变化历史，查询系统内用户、角色拥有的功能权限和部分重要数据权限的变化情况>>账套数据操作历史可查询账套级数据的操作情况，如对新建账套、备份/输出账套、语言扩展、年度结转、数据卸除等>>功能操作日志分析可查询各种业务操作的详细日志设置不相容权限规则，保证内部牵制与监督业务数据操作日志－联查表体变化明细>>提供多种单据、档案的关键操作的记录与查询，以便对各类重要业务进行审计追溯（业务数据操作日志）>>提供对各个业务参数变化的记录与查询（业务参数变更查询）>>支持选项设置是否记录日志>>支持联查删除信息和表体变化明细还有更多关于审计和信息安全措施，建议大家专门进行用友ERP软件的学习。重点回顾企业信息安全的层次框架体系层次层面目标安全属性威胁保护手段系统安全设备安全对网络与信息系统的硬件设施的保护。机密性、可用性、完整性、可靠性电磁泄露、通信干扰、信号注入、人为破坏、自然灾害、设备故障加扰处理、电磁屏蔽、数据校验、容错、冗余、系统备份运行安全对网络与信息系统的运行过程和运行状态的保护。真实性、可控性、可用性、可审查性、可靠性非法使用资源、系统漏洞、网络阻塞、网络病毒、越权访问、非法控制系统、黑客攻击、拒绝服务攻击、软件质量差、系统崩溃防火墙与物理隔离、漏洞扫描、应急响应、病毒防治、访问控制、入侵检测、源路由过滤、降级使用、数据备份信息安全数据安全在数据收集、处理过程中保障信息依据授权使用，不被冒充、窃取、篡改、抵赖。机密性、真实性、完整性、不可否认性窃取、伪造、密钥截获、篡改、冒充、抵赖、攻击密钥加密、认证、非对称密钥、完整性验证、鉴别、数字签名、秘密共享内容安全对信息在网络内流动中的选择性阻断，以保证信息流动的可控能力。机密性、真实性、可控性、可用性、完整性、可靠性可对系统造成威胁的脚本病毒；垃圾类邮件；导致社会不稳定的有害信息，等等密文解析或形态解析、流动信息的裁剪、信息的阻断、信息的替换、信息的过滤、系统的控制企业信息安全隐患来源以及预防措施物理因素硬件故障设备老化不小心的疏忽，例如静电自然灾害如：地震、台风等盗窃、欺诈监听供电故障人或动物破坏……技术因素病毒和其他恶意程序黑客入侵和攻击系统漏洞、程序Bug后门系统没有进行安全配置缺乏安全意识缺乏专业人员不良习惯……企业信息安全内部控制计算机专人专用，手机安全管理；培养员工信息安全意识和基本病毒防御技能：>>及时打好系统补丁，安装防火墙和杀毒软件；>>软件和资源只从正规渠道或可信赖的资源站点下载；>>不轻易扫描未知来源的二维码，不随意点击不明链接；>>不轻易安装未知应用程序；>>定期更换密码，为企业不同信息系统设置不同密码；>>学会使用加密功能和加密工具保护信息安全。财务数据常见文件安全管理方法>>避免使用优盘、移动硬盘传输数据；>>通过网盘、微云、onedrive云端数据信息共享；>>对文件进行只读、修改权限进行控制；>>在Windows和第三方工具基础上对文件进行隐藏、加密、清除；>>借助Windows本地安全策略设置账户安全、本地策略、系统防火墙、软件限制策略、数据备份；>>借助第三方工具进行一键数据备份和恢复。财务信息管理的系统性信息安全机制，通过办公自动化系统、ERP软件实现企业各种信息安全管理机制。>>U8内控解决方案遵循内部控制与风险管理框架，贯穿控制环境、风险评估、控制活动、信息和沟通、监控五要素。>>软件设计遵循《企业内部控制基本规范及十七个具体细则》，对货币资金、固定资产、对外投资、工程项目、采购与付款、筹资、销售与收款、成本费用、担保、子公司经济业务等提供控制措施，给出基于ERP的控制手段和完整解决方案。内部控制信息化系统实施学习目标1了解《企业内部控制应用指引》关于信息系统的指导2了解现阶段信息系统实施内部控制主要问题3理解内部控制信息系统开发过程4把握内部控制信息系统实施的关键控制点和主要控制措施企业内部控制应用指引——第18号——信息系统企业内部控制应用指引是用于指导企业按照内控原则和内控“五要素”建立健全本企业内部控制指导文件。在《企业内部控制配套指引》乃至整个内部控制规范体系中占居主体地位。其中第18号文件立足于信息技术应用对内部控制进行集成、转化和提升，指导企业有效实施内部控制，减少人为因素，提高企业现代化管理水平。《企业内部控制应用指引第18号———信息系统》中所指信息系统，是指企业利用计算机和通信技术，对内部控制进行集成、转化和提升所形成的信息化管理平台。信息系统内部控制的目标是促进企业有效实施内部控制，提高企业现代化管理水平，减少人为操纵因素；同时，增强信息系统的安全性、可靠性和合理性以及相关信息的保密性、完整性和可用性，为建立有效的信息与沟通机制提供支持保障。信息系统内部控制的主要对象是信息系统，由计算机硬件、软件、人员、信息流和运行规程等要素组成。现阶段，信息系统实施内部控制主要问题>>信息系统缺乏或规划不合理，可能造成信息孤岛或重复建设，导致企业经营管理效率低下；>>系统开发不符合内部控制要求，授权管理不当，可能导致无法利用信息技术实施有效控制；>>系统运行维护和安全措施不到位，可能导致信息泄漏或毁损，系统无法正常运行。信息系统实施内部控制的必要前提信息系统建设是“一把手”工程。只有企业负责人站在战略和全局的高度亲自组织领导信息系统建设工作，才能统一思想、提高认识、加强协调配合，从而推动信息系统建设在整合资源的前提下高效、协调推进。内部控制信息系统开发企业根据发展战略和业务需要进行信息系统建设，首先要确立系统建设目标，根据目标进行系统建设战略规划，再将规划细化为项目建设方案。根据实际情况，选择自行开发、外购调试或业务外包等方式，并加强全过程的跟踪管理，力求内部控制信息系统的有效实施。内部控制信息系统开发过程制定规划战略规划是以企业发展战略为依据制定的企业信息化建设的全局性、长期性规划。制定信息系统战略规划的主要风险是：1.缺乏战略规划或规划不合理，可能造成信息孤岛或重复建设，各个子系统各自为政，导致企业经营管理效率低下；2.没有将信息化与企业业务需求结合，降低了信息系统的应用价值。主要控制措施：1.企业必须制定信息系统开发的战略规划和中长期发展计划，并在每年制定经营计划的同时制定年度信息系统建设计划，促进经营管理活动与信息系统的协调统一；2.要充分调动和发挥信息系统归口管理部门与业务部门的积极性，做到广泛参与，充分沟通，提高战略规划的科学性、前瞻性和适应性；3.信息系统战略规划要与企业的组织架构、业务范围、地域分布、技术能力等相匹配，避免相互脱节。选择开发方式信息系统的开发建设是信息系统生命周期中技术难度最大的环节。在开发建设环节，要将企业的业务流程、内控措施、权限配置、预警指标、核算方法等固化到信息系统中，因此开发建设的好坏直接影响信息系统的成败。企业根据自身情况选择自行开发、外购调试、业务外包等方式。自行开发方式的关键控制点和主要控制措施1.项目计划环节根据企业战略规划将内控信息化系统分成财务管理、人力资源管理、进销存管理、客户管理若干子系统（如有现有系统则需要规划相应业务和数据接口），确定项目范围、项目进度、质量计划、资源计划、沟通计划、风险对策、项目采购计划、需求变更控制、配置管理计划等内容。项目计划环节的主要风险是：信息系统建设缺乏项目计划或者计划不当，导致项目进度滞后、费用超支、质量低下。主要控制措施：（1）企业应当根据信息系统建设整体规划提出分阶段项目的建设方案，明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容，按照规定的权限和程序审批后实施；（2）企业可选择项目管理软件（如Project）制定项目计划，并加以跟踪。在关键环节和里程碑进行阶段评审，确保过程可控；（3）项目关键环节编制的文档软件开发标准进行，以提高项目计划编制水平。2.需求分析环节明确需要实现的功能。在针对不同层面人员（覆盖战略层、管理层、作业层、内控层、技术层）深入调查基础上，详细描述业务活动涉及的各项工作以及需求，建立未来目标系统的逻辑模型。需求分析环境主要风险是：（1）需求本身不合理，对信息系统提出的功能、性能、安全性等方面的要求不符合业务处理和控制的需要；（2）技术上不可行、经济上成本效益倒挂，或与国家有关法规制度存在冲突；（3）需求文档表述不准确、不完整，未能真实全面地表达企业需求，存在表述缺失、表述不一致甚至表述错误等问题。主要控制措施：（1）信息系统归口管理部门应当组织企业内部各有关部门提出开发需求，加强内部沟通，经综合分析形成合理的需求；（2）编制表述清晰、表达准确的需求文档。需求文档是业务人员和技术人员共同理解信息系统的桥梁，必须准确表述系统建设的目标、功能和要求；（3）企业应当建立健全需求评审和需求变更控制流程，评审其可行性，由需求提出人和编制人签字确认，并经业务部门与信息系统归口管理部门负责人审批。3.系统设计环节根据需求分析阶段所确定的目标系统逻辑模型，设计出一个能在企业特定的计算机和网络环境中实现的方案，即建立信息系统的物理模型。系统设计包括总体设计和详细设计。总体设计主要设计系统的模块结构，包括子系统边界和接口，并进行数据库设计，确定系统部署方式等；详细设计的主要是进行程序说明书编制、数据编码规范、输入输出界面设计等内容。系统设计环节的主要风险是：（1）设计方案不能完全满足用户需求，不能实现需求文档规定的目标；（2）设计方案未能有效控制建设开发成本，不能保证建设质量和进度；（3）设计方案不全面，导致后续变更频繁；（4）设计方案没有考虑信息系统建成后对企业内部控制的影响，导致系统运行后衍生新的风险。主要控制措施：（1）系统设计负责部门应当就总体设计方案与业务部门进行沟通和讨论，说明方案对用户需求的覆盖情况，注意设定可能情况的预案，相关人员予以书面确认；（2）按照软件开发标准，提高系统设计说明书的编写质量；（3）建立设计评审制度和设计变更控制流程；（4）应当充分考虑信息系统建成后的控制环境，将业务流程、关键控制点和处理规程嵌入系统程序，实现手工环境下难以实现的控制功能，例如：数据范围的设定，防止误操作和越权操作。（5）应充分考虑信息系统环境下的新的控制风险，比如，要通过信息系统中的权限管理功能控制用户的操作权限，避免将不相容职务的处理权限授予同一用户；（6）应当针对不同的数据输入方式，强化对进入系统数据的检查和校验功能；（7）利用操作日志功能，确保操作的可审计、可监控、可追溯。4.编程和测试环节实施设计方案并通过测试实现纠错，以及评价系统性能，例如系统负载能力、反映速度、安全机制。编程和测试环节的主要风险是：（1）编程结果与设计不符；（2）各程序员编程风格差异大，程序可读性差，导致后期维护困难，维护成本高；（3）缺乏有效的版本控制，导致重复修改或修改不一致等问题；（4）测试不充分，单个模块正常运行但多个模块集