信息系统与内部控制.ppt

企业内部控制规范体系培训第三部分：内部控制体系建设实务2011年9月.南宁,3.3信息系统控制信息系统与内部控制信息系统控制的内容信息系统一般控制信息系统应用控制利用信息技术提升内控水平,常见的erp系统这些erp系统通常涉及的模块包括：,物料管理模块销售模块财务会计模块管理会计模块生产计划模块人力资源模块,saporacle用友erp系统金蝶erp系统,信息系统与内部控制,目前企业的信息化程度越来越高，企业的业务、财务流程对信息系统的依赖日益加深，众多企业实施了erp系统，由于erp系统的集成度较高，因此无论在erp的实施阶段还是在后期系统运行维护阶段均为企业的信息化管理带来了新的挑战。,公司的所有信息、数据,it应用系统,数据存储,业务处理,财务处理,公司管理,第三方/关联方,外部用户/客户,内部用户,it内部控制,访问,业务运行风险,财务/舞弊风险,管理风险,授权访问风险,数据安全风险,信息系统与内部控制（续）,信息技术已成为支持公司业务、财务、管理的重要基础构架，提供内部、外部、第三方等用户对公司信息的访问。,信息系统与内部控制（续）,如果缺乏适当的信息系统内部控制，公司将面临业务、财务等方面的风险，例如：舞弊风险：信息化加快了公司的效率，提供方便的业务处理同时必须注意到在信息化的公司环境中，舞弊也因为信息系统而变得更加容易如果缺乏适当的it控制，例如没有严格责任分离或者不适当的用户授权，都将增加舞弊现象存在的可能性未授权数据修改的风险：公司最重要的资产之一就是信息和数据如果没有适当的it内部控制，例如对数据修改的严格管理或对数据库访问用户不合适授权、没有使用入侵检测系统等，业务、财务、客户数据信息则有可能被未授权的用户或者入侵者修改、删除、复制，从而给公司带来巨大的损失,根据一家国际机构的数据统计，自2004年至2008年6月30日，在内控无效的美国上市公司中，大约17%25%的公司在it内部控制方面存在重大缺陷：,根据统计和分析，导致内控无效的信息系统方面重大控制缺陷主要有以下几种类型：程序控制上的缺陷软件开发/实施职责分离用户对系统的访问授权对数据访问的监管和控制,信息系统与内部控制（续）,信息系统控制的内容（续）,公司层面,应用层面,一般控制层面,内容,信息系统内部控制领域,信息系统一般控制,信息系统应用控制,管理层控制,与it公司治理相关的控制：it组织，it规划it风险管理it管理制度体系it内部审计等,it一般控制：系统开发与程序变更管理系统访问安全管理it日常操作管理物理安全管理等,业务流程中通过系统实现的应用程序控制：输入控制验证控制接口控制权限控制，职责分工等,信息系统控制的内容（续）,公司层面的信息系统控制,it战略规划,it组织与职责分工,it风险管理,it管理制度体系,it内审,信息系统控制的内容（续）,信息系统一般控制与应用控制之间的关系应用控制是设计在计算机应用系统中的有助于达到信息处理目标的控制，例如：许多应用系统中根据业务的需求（“业务规则”）设置了很多编辑检查来帮助确保录入数据的准确性，编辑检查可能包括格式检查（如：日期格式或数字格式），存在性检查（如：客户编码存在于客户主数据文档之中），或合理性检查（如：最大支付金额）如果在录入数据时某一项“业务规则”未通过编辑检查，那么系统可能拒绝录入该数据或系统可能将该录入数据包括在系统生成的例外报告之中，留待后续跟进和处理如果企业依赖带有关键编辑检查功能的应用系统支持业务，那这些应用控制的有效性必须建立在信息系统一般控制的基础之上,信息系统一般控制,信息系统一般性控制控制环境系统开发程序变更系统访问权限信息系统运营,应用控制完整性准确性有效性访问控制等,信息系统一般控制,信息系统一般性控制控制环境系统开发程序变更系统访问权限信息系统运营,有效的信息系统一般性控制增加对信息系统应用控制的信心,有效的信息系统应用控制增加对系统支持处理交易的信心,对信息系统的信心增加，使得管理层可以更放心的依赖系统生成的数据和报告,信息系统一般控制,如果计算机环境发现了信息系统一般控制的缺陷，则会影响系统整体的可信程度例如：程序变更控制缺陷可能导致未授权人员对检查录入数据字段格式的编程逻辑进行修改，导致系统接受不准确的录入数据与安全和访问权限相关的控制缺陷可能导致数据录入不恰当地绕过合理性检查，而该合理性检查在其他方面将使系统无法处理金额超过最大容差范围的支付操作,信息系统一般控制（续）,信息系统一般控制所包括的范围信息系统的开发和实施：开发与实施活动的管理、项目发起、分析与设计、自开发系统的建设与软件包的选择、测试和质量保证、数据转换、上线、文档与培训等信息系统的变更和维护：维护活动的管理、规格说明、授权和跟踪变更申请、系统编程、测试和质量保证、迁移到生产环境的授权、文档和培训等信息系统的操作和运行：对系统操作的总体控制、工作计划和批处理、备份管理、管理数据中心环境、从操作失败中恢复、用户帮助部门的功能、服务水平协议等程序和数据的接触安全：安全组织和管理、安全政策和流程、应用系统的安全管理、数据安全、操作系统安全、内部网络安全、边界网络安全、物理安全等,信息系统一般控制（续）,信息系统的开发和实施目标是确保系统的开发、配置和实施能够实现管理层的应用控制目标，包括考虑：程序开发活动的全面管理项目启动控制应当确保项目的计划、资源配置和启动可以支持实现管理层的应用控制目标具体控制领域包括：用户需求测试和质量确保数据迁移程序实施记录和培训职责分离,信息系统一般控制（续）,信息系统的变更和维护目标是确保对程序和相关基础组件的变更是经过请求、授权、执行、测试和实施的，以达到管理层的应用控制目标具体控制领域包括：对维护活动的管理对变更请求的规范、授权与跟踪对程序变更实施过程的控制测试和质量确保程序实施记录和培训职责分离,信息系统一般控制（续）,信息系统的操作和运行目标是确保生产系统根据管理层的控制目标、完整准确地运行，确保运行问题被完整准确地识别并解决，以维护财务数据的完整性具体控制领域包括：计算机运行活动的总体管理批处理实时处理备份和问题管理灾难恢复重要电子表格,信息系统一般控制（续）,程序和数据的接触安全目标是确保分配的访问程序和数据的权限是经过用户身份认证并经过授权的具体控制领域包括：安全活动管理安全管理数据安全操作系统安全网络安全物理安全,信息系统一般控制举例：1.1系统开发和重大变更流程:控制点：用户需求文档以及其他系统设计文档应该经过用户所在部门管理层审批并妥善保存。变更在被移植到生产环境前被测试。测试的级别应当和变更的大小相当。系统的开发和测试环境必须与生产环境分离；相冲突的职责被适当分离。制定并保存详细的数据迁移计划，计划应涵盖具体的数据迁移步骤。数据迁移的过程应当在原始位置和目的地之间进行测试，确保数据的完整，准确和有效。对于外包的it项目，公司的项目管理组应该对服务商的运作以及控制的有效性进行检查。管理层应在系统上线前对其进行检查和审批。,信息系统一般控制（续）,信息系统一般控制举例：1.2系统日常变更流程：控制点：一般的程序变更请求需要由用户部门管理层审批并存档保留。在移植到生产环境前，应当对程序变更进行测试。测试的级别与变更的大小相当。在程序变更过程中对相冲突的职责实施有效的分离。程序变更上线之前需要经过管理层的检查和审批。开发和测试环境在逻辑或物理上与生产环境分离。,信息系统一般控制（续）,信息系统一般控制举例：2.1用户账号管理用户创建/修改/删除的授权审批：控制点：重要系统和应用程序中用户帐号的创建/修改必须由管理部门进行审批；关于删除离职或调职用户的权限，被评估机构确立了正式的流程；2.2用户账号管理权限定期检查：控制点：用户部门管理层应该定期检查系统中用户帐号和授权，并根据检查结果进行帐号清理。,信息系统一般控制（续）,信息系统一般控制举例：3.1备份管理-备份检查：控制点：对重要数据（包括支持重要财务信息和应用程序的数据）进行适当的备份，并及时检查备份完成情况。3.2问题及应急事件处理：控制点：it运行问题或事件应该及时进行识别、解决、审核和分析。,信息系统一般控制（续）,信息系统应用控制,应用系统是提供业务功能的软件，从而用户可以：与电脑之间产生互动输入和取出数据执行业务处理功能等应用系统能够支持业务活动，并且允许用户更加有效率地履行他们的职责有些应用系统可以被用于访问和修改业务及财务信息，因此，保护对于这些应用程序的访问权限至关重要，从而降低任何与对于关键业务与财务相关数据拥有不合理的访问权限相关的风险,信息系统应用控制类型的划分,信息系统应用控制（续）,实时校验和编辑检查也称为系统录入控制，此类控制主要是系统自动控制。这类控制点的主要作用是确保录入到系统中的数据的准确性，在进行业务录入时系统会对重要字段的合理性、合规性和准确性进行检查，以防止一些非法的或不真实的数据被系统接受，造成系统数据的不真实和大量垃圾数据的产生。,应用程序控制类型实时校验和编辑检查,举例：会计科目维护时系统存在录入控制，对科目代码进行校验，限制过长或过短的科目代码。系统设定了录入信息模板，只能按照模板规定的格式录入信息。,信息系统应用控制（续）,登录权限/岗位分离应用系统中用户的权限设置是否合理，是否按照职责需要进行授权，是否考虑到岗位分离的情况。,应用程序控制类型登陆权限/岗位分离,举例：会计凭证在金蝶k/3系统中的录入，一般此项操作需要一人制单，一人复核及过账。,信息系统应用控制（续）,计算机计算系统根据设定的业务逻辑进行自动计算，此类控制多为系统自动控制。此类控制一般在程序开发时已经嵌入到系统中举例：金蝶k/3系统正确计算物料的当月采购平均单价。k/3系统每月将当月所有入库单自动汇总成本计算单_汇总显示。,应用程序控制类型计算机计算,信息系统应用控制（续）,配置控制：主要关注的是系统中维护的重要参数是否准确，这些参数对于系统的运行和业务处理的正确性起着非常重要的作用，此类控制多属于人工依赖系统控制举例：财务管理部会计进行采购发票勾稽并做外购入库暂估冲回后，k/3系统自动将对应的暂估应付账款进行冲回。系统能根据预先的设置根据科目余额表余额生成资产负债表和利润表。,应用程序控制类型配置控制,信息系统应用控制（续）,自动系统接口/对账例行程序:主要关注不同应用系统之间传输数据的准确性和完整性，一般属于系统自动控制举例：仓管员根据k/3系统销售出库单的出库或退库指令在仓库系统进行出库或退库操作，确认信息由仓库系统上传到k/3系统。,应用程序控制类型自动系统接口/对账例行程序,信息系统应用控制（续）,信息系统应用控制（续）,信息系统应用控制需要考虑的因素应用系统的复杂程度复杂的计算需求或业务规则跨国或复杂的信息系统架构应用技术的采用信息系统所提供的功能信息系统在企业应用的广泛程度信息系统在企业的应用所支持的业务交易业务对系统的依赖程度系统之间的链接,信息系统应用控制（续）,每个应用系统的控制都有所区别：企业的业务性质企业的组织和人员企业的管理需求所采用的技术其他的考虑，如监管要求等应用控制要持续有效，必需有相关的配套支持：政策、制度人员（业务和信息技术）检查和维护机制（包括信息系统一般性控制）,应用系统规划图,应用系统规划图的主要目的是为了匹配业务财务流程与系统的对应关系，以确定评估范围内的系统，样例如下：,信息系统应用控制（续）,通过信息技术提高内控水平,手工流程手工流程是指由某个特定的人员手工所执行的步骤或程序，例如：当存在补提折旧的情况时，资产管理岗必须编制当月补提折旧的总额及明细汇总表交稽核岗进行审查，只有符合公司财务会计政策的补提折旧才能进行账务处理。由于人为操作处理错误可能性的存在，手工流程往往比自动流程更容易出错。,人工业务流程与自动业务流程流程是指为了实现特定的业务目标和经营成果所实施的一系列工作、任务或活动的集合。流程从执行方式上可以分为以下三种：,自动流程自动流程是完全依赖信息系统架构所支持的流程(例如：固定资产折旧额是由系统按照各项固定资产的原值、预计可使用年限、残值率及折旧方法自动计算生成的)。自动流程的一大优点在于，如果自动流程得到合理的保障，将大幅度地降低人为操作处理错误的风险。,通过信息技术提高内控水平（续）,人工业务流程与自动业务流程（续）,手工依赖系统的流程一个手工依赖系统的流程是指虽然某个活动是由特定人员手工执行的，但在一定程度上必须依赖于信息系统才能完成。例如，稽核岗每季度将系统中进行补提折旧操作的日志记录与经过审批的补提折旧总额及明细汇总表进行一一核对，检查该季度是否存在未经稽核却进行补提折旧操作的情况。尽管这个活动由稽核岗手工核对执行，但核对是必须基于系统自动生成的日志记录来完成的。,通过信息技术提高内控水平（续）,人工业务流程与自动业务流程（续）,手工流程存在多方面的限制，如：判断失误执行偏差适当利用信息技术可以提升对业务的管理，如：减少人为判断增加执行的一致性固化业务规则加强对数据的分析能力加强对业务情况的掌握加快对信息的掌握及分析,通过信息技术提高内控水平（续）,但业务流程的信息化仍然存在一定的限制：人员越权合伙同谋,通过信息技术提高内控水平（续）,需要注意的是：并非每个业务流程都能做到自动化，而有些业务流程也不需要做到自动化对整个企业实施技术提升的最终目的是为了促进企业经营目标的实现，并不仅仅是为了内控并不意味需要实施一个全新的系统，可能通过现有系统和管理平台的接合来实现技术的应用不一定意味着内部控制一定得到落实而不会出现缺陷信息技术的应用比会带来新的风险，需要相应的内部控制手段去进行管理,系统自动控制,人工控制,成本效率综合效果,控制,成本,人工控制,效率,系统控制,通过信息技术提高内控水平（续）,企业在建立内部控制时，控制类型的选择直接影响到企业的成本和控制效率的综合效果：人工控制：需要企业投入较多的人力成本，控制实施的效率较低，并且易出错系统自动控制：可以帮助企业节约更多人力成本，并提高控制的效率和可依赖程度因此，企业在内控建设过程中，必须根据自身情况，平衡成本效率和风险控制要求，选择合理的控制组合。,总结,两家公司不会以完全相同的方式通过实施信息系统控制来强化内部控制，必须结合企业的实际情况，不存在标准的控制信息系统一般控制与保持数据完整性和财务报告内部控制中的关键应用控制是相关联的参考国际上的先进框架（如cobit）来完善企业的信息系统一般控制由于企业往往使用多个信息系统，加上系统之间存在很多链接，因此建设和评价信息技术控制有效性时需要考虑不同控制组件之间的相互影响，而不是仅仅评价个别控制活动的有效性在确定信息系统一般控制测试的性质、时间和范围时，应考虑这些信息系统层面程序或控制的质量和有效性（结合其他因素，如固有风险和关键自动控制的范围等）,第39页,附件：cobit简介,信息技术治理：cobit框架,商业目标及it治理目标,效率,应用系统信息基础架构人力,交付与支持,监控与评估,获得与实施,信息,it资源,cobit框架,效果,保密性,完整性,可用性,合规性,ds1定义和管理服务水平ds2管理第三方服务ds3性能管理和容量管理ds4确保服务的连续性ds5确保系统安全ds6确定并分配成本ds7教育和培训用户ds8服务台和紧急事件管理ds9配置管理ds10问题管理ds11数据管理ds12物理环境管理ds13运营管理,me1监控和评价it绩效me2监控和评价内部控制me3确保与法律的符合性me4提供it治理,p01定义it战略计划p02定义it信息架构p03确定技术导向p04定义it过程/组织和关系p05it投资管理p06传递管理目标和方向p07it人力资源管理p08质量管理p09it风险评估及管理p10项目管理,ai1识别自动化解决方案ai2获取并维护应用软件ai3获取并维护技术基础设施ai4保障运营和使用ai5获取it资源ai6变革管理ai7安装/授权解决方案和变更,计划与组织,可靠性,cobit简介,cobit的全称是：controlobjectivesforinformationandrelatedtechnology（信息及相关技术的控制目标）cobit的控制模型已得到全球一百多个国家的大型企业的实践验证，成为国际上信息及相关技术控制的实践标准cobit的控制模型涵盖现行的有关it的国际性准则与规定，cobit4.1版本包含了涉及34个和信息系统管理相关流程的210个控制目标，并区分为以下四个控制域：策划和组织（planningandorganization）获取与实施（acquisitionandimplementation）交付与支持（deliveryandsupport）监控与评价（monitoring&evaluate）,cobitit治理框架,cobit可作为连接业务风险、控制需求和技术问题的纽带，并以控制领域和it业务流程的形式对it治理进行了结构化描述，使其成为可衡量的管理活动cobit:源自业务需求it流程导向的描述，容易被人接受识别了需要进行管理的主要it资源定义了需要进行管理的控制目标能够与其它主流标准相对应，如coso、iso27000是目前主流的it管理及控制标准,it资源需要用普遍接受的it管理流程体系进行管理，而cobit提供了一套具备可实施性的管理框架,cobitit治理框架（续）,cobit结合了众多it管理模型、标准及最佳实践，可以和众多主流标准结合并保持一致,it治理成熟度模型,it成熟度模型制定了一个基准，企业可能根据这基准明确自己的等级，从而了解自身目前的管理成熟度：,it治理成熟度模型,涉及经营需求的各个方面，是一种进行实用性比较的等级制，能以简单方式测定差异，有助于确定有关信息技术管理、安全性使管理部门相对容易地依据等级制对现有的管理体系定位，并确认需要改善管理的地方；企业对自身进行差距分析以确定需要做哪些工作来达到所选级别成熟度等级（0-5）体现出管理体系如何从不存在级发展到优化级的管理过程；增加成熟度意味着增强风险管理与提高管理效率it治理成熟度是测量管理处理发展程度的一种方法，应该发展到什么程度取决于企业的经营需求，体现各个成熟层次的典型模式，协助企业将主要精力投入到关键的管理方面it治理成熟度模型等级有助于专业人员向管理层解释it管理存在的缺陷，并把他们组织的控制惯例与最佳惯例对照起来，从而确定企业的发展目标,cobit框架的目的,cobit框架关注于业务需求的信息上并且合理组织企业it资源，以帮助企业将it与业务融合在一起cobit提供了实施it治理的框架指南,it资源/流程,业务流程,业务目标,提供,为了,以达到,cobit框架的原则,框架的原则是将管理层的it管理职责与其对it管理的期望结合在一起，目标是为了协助it治理实现管理风险的同时交付预期it价值,信息技术治理：cobit框架,商业目标及it治理目标,效率,应用系统信息基础架构人力,交付与支持,监控与评估,获得与实施,信息,it资源,cobit框架,效果,保密性,完整性,可用性,合规性,ds1定义和管理服务水平ds2管理第三方服务ds3性能管理和容量管理ds4确保服务的连续性ds5确保系统安全ds6确定并分配成本ds7教育和培训用户ds8服务台和紧急事件管理ds9配置管理ds10问题管理ds11数据管理ds12物理环境管理ds13运营管理,me1监控和评价it绩效me2监控和评价内部控制me3确保与法律的符合性me4提供it治理,p01定义it战略计划p02定义it信息架构p03确定技术导向p04定义it过程/组织和关系p05it投资管理p06传递管理目标和方向p07it人力资源管理p08质量管理p09it风险评估及管理p10项目管理,ai1识别自动化解决方案ai2获取并维护应用软件ai3获取并维护技术基础设施ai4保障运营和使用ai5获取it资源ai6变革管理ai7安装/授权解决方案和变更,计划与组织,可靠性,cobit框架的原理：cobit方块,cobit框架描述了it流程如何为业务需求的实现提供相应信息，为了清晰阐述这一过程，cobit框架提供了3个重要关键要素，构成了下面的cobit魔方,cobit框架的原理：cobit方块,cobit框架的组成,cobit框架的组成及利用cobit建立it治理,cobit四个控制域：策划和组织（planningandorganization）获取与实施（acquisitionandimplementation）交付与支持（deliveryandsupport）监控与评价（monitoring&evalu