当前位置:文档之家 › 内部控制制度-信息系统[德勤2011年5月]

内部控制制度-信息系统[德勤2011年5月]

  • 格式:pdf
  • 大小:530.99 KB
  • 文档页数:26

下载文档原格式

  / 26

合集下载

信息管理内部控制制度

信息管理内部控制制度

信息管理内部控制制度是指为了保障企业信息的安全性、完整性和可靠性,建立起的一套规范和规定,以规范信息管理过程中的各项行为、流程和操作。

下面将对信息管理内部控制制度进行详细的介绍。

一、制度目的和背景信息管理内部控制制度的目的是为了确保企业的信息安全和数据的准确性,以避免信息泄露、丢失或错误导致的潜在风险和损失。

随着信息技术的快速发展和应用,企业信息管理的重要性日益凸显,因此建立健全的信息管理内部控制制度是每个企业必不可少的任务。

二、制度范围和适用对象制度适用于企业内部所有与信息管理相关的部门和人员,包括但不限于IT部门、信息安全部门、数据管理部门以及其他涉及信息管理的职能部门。

制度范围包括信息资源的采集、存储、处理、传输、共享和销毁等全过程。

三、制度原则和要求1.信息保密原则:所有涉及企业的敏感信息都应进行保密处理,包括但不限于客户信息、商业机密、技术资料等。

2.信息完整性原则:确保信息的准确性、完整性和一致性,防止信息被篡改或丢失。

3.信息可用性原则:对于正常业务运营所需的信息,应确保其可及性和及时性,避免信息不可用带来的影响。

4.责任和权限分明原则:每个岗位和人员在信息管理中应明确其责任和权限,并加以相应的限制和制约。

5.风险管理原则:对于信息管理过程中可能存在的风险和问题,需要进行风险评估和管理,并采取相应的防范和控制措施。

四、制度内容和控制要点1.信息资源采集和存储控制:对于企业采集到的各类信息资源,要进行分类、归档和存储,同时建立合理的权限控制机制,确保只有有权限的人员可以访问和修改相关信息。

2.信息处理和传输控制:对于信息的处理和传输过程,要确保数据的准确性和完整性,防止信息在传输过程中被篡改或丢失。

此外,对于敏感信息的传输,需要采用加密等技术手段进行保护。

3.信息共享和交流控制:对于企业内部涉及信息共享和交流的活动,要建立明确的权限控制机制,确保信息只在有限的范围内共享,并且在共享过程中要注意保密。

内部控制体系的信息系统管理

内部控制体系的信息系统管理

内部控制体系的信息系统管理内部控制体系是指组织在实现目标过程中通过一系列相互关联的控制措施,保障资产安全、业务运行有效性和合规性的整体机制。

而信息系统管理则是指对组织内部信息系统的规划、实施、监控与维护。

在现代企业中,信息系统已经成为企业运营和管理的重要组成部分,因此内部控制体系的信息系统管理也显得尤为重要。

一、内部控制体系建立的重要性内部控制体系的建立对企业的长期稳健运营具有重大作用。

首先,内部控制体系可以帮助企业有效管理组织活动,规范各项业务流程,确保资源的合理利用和优化。

其次,内部控制体系可以减少企业面临的各种风险,如信息泄露、欺诈行为等,提高企业内外部的信任度。

最后,内部控制体系有助于防止违法行为的发生,维护企业的声誉,确保合规性。

二、内部控制体系的要素内部控制体系的建立需要包含以下要素:1. 控制环境:企业内部管理层面对控制环境的设定和维护非常重要。

包括明确的组织结构、分工合作的职责、有效的内部沟通机制以及中高层对内部控制的重视程度等。

2. 风险评估:企业需要通过风险评估的手段来确定潜在的风险和漏洞,并采取相应的控制措施进行管理,以避免风险的发生。

3. 控制活动:这一要素包括各种控制措施和操作程序,目的是确保各项业务活动的规范和有效进行,如审批制度、业务流程规范等。

4. 信息与沟通:信息的准确性和及时性对内部控制体系至关重要,确保信息的安全性、保密性以及合规性。

同时,内部沟通机制的畅通有助于企业内部各级之间的信息共享和问题解决。

5. 监控措施:监控措施是内部控制体系的重要组成部分,通过监控可以及时发现潜在问题,对异常状况进行纠正,确保内部控制的有效性和可持续性。

三、内部控制体系的信息系统管理内部控制体系的信息系统管理是指将信息系统的规划、实施、监控与维护纳入到内部控制体系中,以确保企业信息系统运行的安全性和有效性。

1. 信息系统规划:在内部控制体系中,企业需要明确信息系统的目标和需求,并进行规划。

信息系统内部控制

信息系统内部控制

信息系统内部控制在当今数字化的时代,信息系统已经成为企业和组织运营的核心基础设施。

从日常的业务流程管理到关键的决策支持,信息系统都发挥着至关重要的作用。

然而,伴随着信息系统的广泛应用,各种风险也随之而来。

为了保障信息系统的安全、可靠和有效运行,信息系统内部控制就显得尤为重要。

信息系统内部控制是指为了保证信息系统的安全性、完整性、准确性和可用性,而采取的一系列管理和技术措施。

它涵盖了信息系统的规划、开发、实施、运行和维护等各个阶段,旨在预防和发现潜在的风险和问题,确保信息系统能够为组织的目标实现提供有力的支持。

首先,让我们来了解一下信息系统内部控制的目标。

其主要目标包括:保障信息系统的安全性,防止未经授权的访问、篡改和破坏;确保信息的完整性和准确性,避免数据丢失、错误和重复;提高信息系统的可用性,保证系统能够在需要的时候正常运行;促进合规性,使信息系统的运作符合法律法规和内部政策的要求;以及实现业务目标,通过有效的信息系统支持业务流程的高效运作,提高组织的竞争力。

为了实现这些目标,信息系统内部控制需要从多个方面入手。

在组织架构方面,要明确信息系统相关的职责和权限,建立有效的沟通和协调机制。

例如,设立专门的信息安全部门,负责制定和执行信息安全策略,同时与其他部门密切合作,共同保障信息系统的安全。

在人员管理方面,要对信息系统的用户进行培训和教育,提高他们的安全意识和操作技能。

比如,教导员工如何识别网络钓鱼邮件,如何设置强密码等。

同时,对信息系统的关键岗位人员进行严格的背景审查,确保其可靠性。

在访问控制方面,要建立完善的身份认证和授权机制。

只有经过授权的人员才能访问特定的信息资源,并且其操作权限要根据工作需要进行严格的限制。

比如,财务人员只能访问和操作与财务相关的信息,而不能越权访问其他部门的敏感数据。

在数据管理方面,要建立数据备份和恢复机制,定期对数据进行备份,并测试备份数据的可恢复性。

同时,要加强数据的质量管理,确保数据的准确性和一致性。

信息管理内部控制制度(3篇)

信息管理内部控制制度(3篇)

信息管理内部控制制度第一节总则第一条为了加强公司信息管理的内部控制,保证信息数据的准确性和安全性,结合本公司的具体情况制定本制度。

第二条本制度所称信息是指本公司通过信息化系统所产生的信息数据数据。

第三条本制度制定的目的是为防止公司信息系统被非授权地访问、使用、泄露、分解、修改和毁坏,从而保证信息的保密性、完整性、可用性、可追责性,保障信息系统能正确实施、安全运行。

第四条信息管理工作必须在加强宏观控制和微观执行的基础上,严格执行保密纪律,以提高企业效益和管理效率,服务于企业总体的经营管理为宗旨。

第二节分工及授权第五条对操作人员授权,主要是对存取权限进行控制。

设多级安全保密措施,系统密匙的源代码和目的代码,应置于严格保密之下,从信息系统处理方面对信息提供保护,通过用户____口令的检查,来识别操作者的权限;利用权限控制用户限制该用户不应了解的数据。

操作权限的分配,以达到相互控制的目的,明确各自的责任。

第六条本公司信息系统针对不同部门、不同人员、不同分工进行授权。

不同人员的对同一数据的权限不同。

根据实际情况,人员对数据又分为管理权限、操作权限、查看权限等。

对人员新增授权需经授权人员所在部门主管审批后方可对其授权。

第七条为了保证信息数据完整性、可追溯性,信息系统所有用户对信息数据没有删除权限,只有作废权限。

第八条信息部门需要加强信息监督管理,发现违规信息及时清理或截图上报。

第三节控制措施第九条建立严格的信息流程,不同节点的操作人员不同。

不得有一个人具有一个流程的全部操作权限。

第十条对数据库进行严密的加密算法,保证数据的保密性;对数据库进行异地备份,保证数据的安全性。

确实需要查询以前数据或对以前发生的数据进行存取的,由需求部门以书面的形式提出,经有权机构或人员批准后,由办公室与有关部门相结合,对相关人员暂时授权,对历史数据进行处理。

处理完成后,对其权限及时收回。

第四节监督检查第十一条信息管理由公司各部门行使监督检查权。

内部控制信息系统安全管理制度(5篇)

内部控制信息系统安全管理制度(5篇)

内部控制信息系统安全管理制度第一章总则3第二章系统管理人员的职责3第三章机房管理制度4第四章系统管理员工作细则4第五章安全保密管理员工作细则7第六章密钥管理员工作细则9第七章计算机信息系统应急预案10第八章附则10第一章总则第1条依据《中华人民共和国保守国家秘密法》和有关保密规定,为进一步加强中船信息公司计算机信息系统安全保密管理,并结合用户单位的实际情况,制定本制度。

第2条计算机信息系统包括:涉密计算机信息系统和非涉密计算机信息系统。

其中,涉密计算机信息系统指以计算机或者计算机网络为主体,按照一定的应用目标和规则构成的处理涉密信息的人机系统。

第3条涉密计算机信息系统的保密工作坚持积极防范、突出重点,既确保国家秘密安全又有利于信息化发展的方针。

第4条涉密计算机信息系统的安全保密工作实行分级保护与分类管理相结合、行政管理与技术防范相结合、防范外部与控制内部相结合的原则。

第5条涉密计算机信息系统的安全保密管理,坚持“谁使用,谁负责”的原则,同时实行主要领导负责制。

第二章系统管理人员的职责第6条用户单位的涉密计算机信息系统的管理由用户保密单位负责,具体技术工作由中船信息承担,设置以下安全管理岗位:系统管理员、安全保密管理员、密钥管理员。

第7条系统管理员负责信息系统和网络系统的运行维护管理,主要职责是:信息系统主机的日常运行维护;信息系统的系统安装、备份、维护;信息系统数据库的备份管理;应用系统访问权限的管理;网络设备的管理;网络的线路保障;网络服务器平台的运行管理,网络病毒入侵防范。

第8条安全保密管理员负责网络信息系统的安全保密技术管理,主要职责是:网络信息安全策略管理;网络信息系统安全检查;涉密计算机的安全管理;网络信息系统的安全审计管理;违规外联的监控。

第9条密钥管理员负责密钥的管理,主要职责是:身份认证系统的管理;密钥的制作;密钥的更换;密钥的销毁。

第10条对涉密计算机信息系统安全管理人员的管理要遵循“从不单独原则”、“责任分散原则”和“最小权限原则”。

内部控制信息系统安全管理制度

内部控制信息系统安全管理制度

第一章总则第一条为加强公司内部控制,保障信息系统安全,防范和降低信息风险,确保公司业务正常运行,特制定本制度。

第二条本制度适用于公司内部所有信息系统及其相关人员。

第三条本制度遵循以下原则:1. 预防为主、防治结合原则;2. 安全可靠、分级管理原则;3. 依法合规、持续改进原则;4. 安全责任到人原则。

第二章组织机构与职责第四条公司设立信息系统安全管理部门,负责公司信息系统的安全管理工作。

第五条信息系统安全管理部门的主要职责:1. 制定和修订公司信息系统安全管理制度;2. 监督和检查公司信息系统安全状况;3. 组织开展信息系统安全培训;4. 负责信息系统安全事件的调查和处理;5. 协调公司内部及外部资源,保障信息系统安全。

第六条各部门应按照本制度要求,落实信息系统安全管理工作,确保信息系统安全。

第三章信息系统安全管理制度第七条信息系统安全管理制度应包括以下内容:1. 系统安全策略:明确公司信息系统的安全目标和要求,制定相应的安全策略;2. 访问控制:建立严格的用户身份验证和权限管理机制,确保用户访问系统资源的合法性和合理性;3. 安全配置:定期检查和评估系统配置,确保系统安全;4. 数据安全:采取加密、备份、恢复等措施,保障公司数据安全;5. 网络安全:加强网络安全防护,防止网络攻击和入侵;6. 软件安全:定期更新软件补丁,防范软件漏洞;7. 事件响应:建立信息系统安全事件响应机制,及时处理安全事件;8. 安全审计:定期进行安全审计,确保信息系统安全。

第八条公司应定期对信息系统进行安全评估,根据评估结果制定改进措施,持续提升信息系统安全水平。

第四章安全教育与培训第九条公司应定期开展信息系统安全教育和培训,提高员工的安全意识和技能。

第十条培训内容应包括:1. 信息系统安全基础知识;2. 信息系统安全管理制度;3. 信息系统安全操作规范;4. 安全事件应急处理。

第五章奖励与惩罚第十一条公司对在信息系统安全管理工作中表现突出的个人或集体给予奖励。

内部控制信息系统安全管理制度

内部控制信息系统安全管理制度内部控制是指组织为了保护和增强组织资产、完善业务程序、确保企业运营的有效性和效率、合规性以及财务报告的可靠性而采取的一系列措施和制度。

信息系统安全管理制度是内部控制的重要组成部分,其主要目标是确保组织的信息系统能够安全运行,防范各类安全威胁的发生。

本文将就内部控制信息系统安全管理制度展开详细阐述。

一、信息系统安全管理制度的基本原则1. 统一管理原则:建立统一的信息系统安全管理部门,负责全局安全的规划、设计和实施。

2. 分级管理原则:根据信息系统的级别和敏感程度,将其分为不同的等级,实行相应的安全管理措施。

3. 完整性原则:确保信息系统中的数据完整、准确和可靠。

4. 保密性原则:对组织的机密信息和敏感数据进行严格保密,避免信息泄露。

5. 可用性原则:保证信息系统的可用性,确保用户能够方便地获取所需的信息。

二、信息系统安全管理制度的组成要素1. 安全政策:组织应制定明确的安全政策,明确信息系统安全的目标和要求,确保安全政策与组织的战略和运营目标相一致。

2. 安全组织:建立专门的信息系统安全管理部门,负责制定安全策略、规范和标准,监督和检查信息系统安全的执行情况。

3. 安全风险管理:组织应建立完善的安全风险管理机制,对信息系统可能面临的安全风险进行定期评估和控制。

4. 安全培训和意识:组织应定期对员工进行信息安全培训,提高员工的安全意识和技能,避免因员工的错误行为而导致安全事件发生。

5. 安全控制措施:制定明确的安全控制措施,包括物理控制、技术控制和组织控制,确保信息系统的安全性。

6. 安全事件管理:建立完善的安全事件管理机制,能够及时发现和处理安全事件,并对事件进行事后的分析和改进。

7. 安全检查与审计:定期对信息系统进行安全检查和审计,发现潜在的安全问题并追溯事件的原因,以便采取相应的纠正措施。

三、信息系统安全管理制度的实施步骤1. 制定安全策略:根据组织的需求和安全风险评估结果,制定适合组织的安全策略和规范。

德勤:内部控制制度信息系统

德勤:内部控制制度信息系统一、本文概述1、背景介绍:随着科技的发展和企业的复杂化,内部控制在企业管理中的地位日益重要。

1、背景介绍:随着科技的发展和企业的复杂化,内部控制在企业管理中的地位日益重要。

为了适应这一趋势,许多企业开始引入内部控制信息系统,以提高内部控制的效率和准确性。

德勤作为全球领先的管理咨询公司之一,也积极参与了这一领域的研究和实践。

本文将介绍德勤的内部控制制度信息系统,包括其背景、目标和实施效果等方面。

2、关键词:内部控制、信息系统、德勤、企业管理、科技发展3、文章结构:(1)德勤内部控制制度信息系统的背景介绍(2)德勤内部控制制度信息系统的目标和实施效果(3)德勤内部控制制度信息系统的优势和局限性(4)德勤内部控制制度信息系统的实施经验和启示4、文章内容:(1)德勤内部控制制度信息系统的背景介绍随着科技的发展和企业的复杂化,内部控制在企业管理中的地位日益重要。

为了适应这一趋势,许多企业开始引入内部控制信息系统,以提高内部控制的效率和准确性。

德勤作为全球领先的管理咨询公司之一,也积极参与了这一领域的研究和实践。

本文将介绍德勤的内部控制制度信息系统,包括其背景、目标和实施效果等方面。

(2)德勤内部控制制度信息系统的目标和实施效果德勤内部控制制度信息系统的目标是建立一个集中化、自动化、透明化的内部控制平台,以提高内部控制的效率和准确性。

该系统通过集成各种内部控制工具和方法,实现了对内部控制流程的全面覆盖和自动化处理。

同时,该系统还具有强大的数据分析功能,可以帮助企业更好地了解自身的内部控制状况,并及时发现和解决问题。

实施效果方面,德勤内部控制制度信息系统取得了显著的成绩。

该系统不仅提高了内部控制的效率和准确性,还为企业带来了许多其他的好处。

例如,该系统提高了企业内部的沟通和协作效率,减少了人工干预和错误,增加了数据的可靠性和透明度。

此外,该系统还可以与企业的其他信息系统无缝集成,实现了数据共享和协同工作。

内部控制信息系统安全管理制度

内部控制信息系统安全管理制度第一章总则为了加强内部控制信息系统安全管理,确保信息系统的可用性、可靠性和保密性,维护企业利益和客户权益,制定本制度。

第二章目的本制度的目的是为内部控制信息系统进行全面的安全管理,以保护企业的机密信息和客户的个人隐私,防范各类网络攻击和安全风险。

第三章适用范围本制度适用于企业内部所有使用电脑和网络的员工,涵盖企业内部所有的信息系统。

第四章信息系统安全管理责任1. 信息系统负责人负责制定信息系统安全管理策略和制度,并监控实施情况;2. 各部门负责人负责推动和执行信息系统安全管理制度;3. IT部门负责系统的维护和安全防护措施的部署;4. 各员工有义务遵守信息系统安全管理制度的规定,并积极参与相关培训。

第五章信息系统安全管理内容1. 网络安全1.1. 网络接入应控制1.2. 系统登录认证应安全1.3. 网络安全设备应有效1.4. 系统审计应及时1.5. 安全事件应跟踪1.6. 网络漏洞应筛查1.7. 安全策略应完善2. 信息安全2.1. 信息加密应控制2.2. 信息传输应加密2.3. 信息备份应完善2.4. 信息存储应保护2.5. 信息销毁应彻底3. 系统安全3.1. 系统软件应更新3.2. 系统补丁应打上3.3. 系统配置应合理3.4. 系统日志应保存3.5. 系统监控应及时4. 权限管理4.1. 用户权限应控制4.2. 系统管理员权限应授权4.3. 特权账号应保护4.4. 授权申请应规范4.5. 权限审批应严格5. 外部合作安全5.1. 合作方安全应审核5.2. 合作安全合同应签订5.3. 合作方行为应监控5.4. 业务数据应加密传输5.5. 业务数据备份应规范第六章信息系统安全事件处理1. 信息系统安全事件应及时上报2. 响应措施应立即启动3. 信息系统安全事件的原因和影响应进行调查分析4. 安全防范措施应及时调整完善5. 信息系统应进行全面的修复和恢复6. 相关应急措施应规范第七章信息系统安全培训与检查1. 各部门应定期组织信息系统安全培训2. 信息系统安全检查应定期进行3. 发现问题应及时整改4. 定期组织信息系统安全演练第八章法律责任1. 未经授权擅自访问、篡改、破坏信息系统的行为将承担法律责任;2. 违反信息系统安全管理制度的行为将受到相应的纪律处分;3. 泄露企业机密信息和客户隐私将承担法律责任;4. 对企业造成损失的行为将承担法律责任。

内部控制信息系统安全管理制度模版(2篇)

内部控制信息系统安全管理制度模版第一章总则第一条为了加强企业内部控制信息系统的安全管理,防止信息泄露、系统瘫痪等安全风险的产生,保护企业利益和客户利益,制定本制度。

第二条本制度适用于企业的内部控制信息系统安全管理。

第三条企业的内部控制信息系统安全管理应遵循“科学规划、严格执行、持续监督、及时改进”的原则。

第四条企业应建立健全内部控制信息系统安全管理制度,明确相关的工作职责、权限和流程。

第五条企业应建立安全风险评估和应急响应机制,严格按照相关规定进行评估和响应。

第六条企业应加强对人员的培训和教育,提高员工的安全意识和防范能力。

第七条企业应定期检查和评估内部控制信息系统的安全性,及时发现和解决安全问题。

第二章内部控制信息系统的建设和维护第八条企业应按照国家相关法律法规的要求,建设和维护内部控制信息系统。

第九条企业应制定详细的内部控制信息系统建设和维护方案,并严格执行。

第十条企业应购买和使用正版软件,不得使用盗版或未经授权的软件。

第十一条企业应建立完备的设备管理制度,对内部控制信息系统的硬件设备进行管理和维护。

第十二条企业应加强对网络设备的管理,确保网络设备的安全和可靠运行。

第十三条企业应建立合理的系统备份和恢复机制,确保数据和系统的安全性和可靠性。

第三章安全管理责任第十四条企业应明确安全管理的责任机构和责任人,并给予相应的授权和支持。

第十五条安全管理责任人应具备相关的安全知识和专业能力,负责制定安全管理制度和工作计划。

第十六条安全管理责任人应组织安全培训和教育,提高员工的安全意识和防范能力。

第十七条安全管理责任人应建立完备的安全监控和报告机制,及时发现和解决安全问题。

第十八条安全管理责任人应定期评估和改进安全管理制度,并报告上级领导。

第四章信息安全风险评估第十九条企业应建立信息安全风险评估机制,定期对内部控制信息系统的安全风险进行评估和分析。

第二十条信息安全风险评估应包括系统架构、业务流程、岗位职责、技术安全等方面的风险评估。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

企业应当运用信息技术加强内部控制,建立与经营管理相 适应的信息系统,促进内部控制流程与信息系统的有机结合, 实现对业务和事项的自动控制,减少或消除人为操纵因素。 ——《企业内部控制基本规范》第一章第七条 企业开发信息系统,应当将生产经营管理业务流程、关键 控制点和处理规则嵌入系统程序,实现手工环境下难以实现的 控制功能。 企业在系统开户的操作权限,避免将 不相容职责的处理权限授予同一用户。 ——《企业内部控制应用指引第18号》第二章第六条
保证应用系统业务处理的完整 保证应用系统业务处理的完整 性: 性:
•业务流程中有关控制点在系统 •业务流程中有关控制点在系统 中的映射关系; 中的映射关系; •应用系统的输入环节,处理环 •应用系统的输入环节,处理环 节和输出环节的控制; 节和输出环节的控制; •应用系统接口的完整性(实 •应用系统接口的完整性(实 时,定时,脱机)控制。 时,定时,脱机)控制。
系统管理层面 信息化所 带来的新风险
•数据处理完整性 •系统优化 •系统有效性 •系统可用性 •输入/输出管理 •信息技术安全
新业务流程处理层面 外包服务层面
•管理的有效性 •预期效益的确定 •执行能力与风险监督 •策略变更 •整合与再造 •新产品与服务 •意外事件管理 •外部事件应对


4
议程 1 2 企业信息化带来的风险和挑战 解读《企业内部控制应用指引-信息系统》 IT控制框架体系及案例分析 - 公司层面控制 3 - 应用控制 - 计算机整体控制
14
内容
事件简述
事件后果 根本原因分析 风险类型
应用控制案例分析(续)
案例三 主题 内容 利用职务便利充值废卡侵占公司资产 近日,北京市丰台区检察院以犯职务侵占罪,对利用职务便利、侵占公司 财产的李某提起公诉。李某为公司信息部操作员,平日他发现办公室里常 有一些废弃的消费卡。他便琢磨将这些废卡“利用”起来,于是利用虚构 的或已经调走的人员身份,进入公司电脑系统,修改数据给这些废卡“充 了值”。 经查,李某自2007年9月2日起,私自向14张公司的消费卡中共计充入人民 币49,860元,同时,李某以消费或办假退货的方式,侵占人民币48,254.89 元 嫌疑人李某以虚构的户名和编码进入系统,从而篡改消费卡数据进行职务 侵占行为,得逞于公司给予信息录入员权限过大
10
公司层面控制案例分析
案例一 主题
美国HPL技术公司财务舞弊案 HPL技术公司是美国硅谷的一家软件制造商,其董事会主席兼首席执行官 Lapejian在公司上市第一年就采用各种手段虚构了80%的销售收入,其股票已被 纳斯达克摘牌。在连续5个季度内,Lepejian伪造了数十张来自佳能公司和微电 公司的订货单,对信息技术驾轻就熟的Lepejian轻易地从以往与上述两个客户 的真实订货单中提取了相关负责人的签名,在电脑上将其粘贴至伪造的订货单 上。之后,他又修改了HPL一台传真机的程序,将伪造的订货单以佳能公司和微 电公司的名义发至HPL的另外一台传真机。Lepejian接着伪造发运凭证:他为每 份假订单起草了一份电子邮件,并以佳能公司和微电公司的名义向HPL发出电子 邮件,确认HPL发出的软件已经运抵佳能公司和微电公司。 Lepejian自导自演的骗局最终被戳穿。就在HPL对外公布其财务报告后不久,该 公司董事会收到了佳能公司法律顾问的质疑报告。报告指出佳能公司与HPL的大 部分款项往来是不存在的。至此,Lepejian的阴谋彻底败露。 公司缺乏对管理层的监督以及审核,对信息系统数据的真实性以及有效性没有 进行验证,相关业务单据没有进行职责分离的复核审批。 公司层面控制
4
企业风险管理信息化之路
解读《企业内部控制应用指引-信息系统》

热点要求
企业应当根据信息系统建设整体规 划提出项目建设方案,明确建设目 标、人员配备、职责分工、经费保 障和进度安排等相关内容,按照规 定的权限和程序审批后实施 企业应当组织独立于开发单位的 专业机构对开发完成的信息系统 进行验收测试
系统缺失
对于必需的后台操作,应当加强管 理,建立规范的流程制度,对操作 情况进行监控或者审计
规划不合理 开发授权不当 维护或安全措施不到位
制定科学的上线计划和新旧系统 转换方案,考虑应急预案,确保 新旧系统顺利切换和平稳衔接
信息系统归口管理部门应当加强信 息系统开发全过程的跟踪管理
企业应当加强信息系统运行与维 护的管理,制定信息系统工作程 序、信息管理制度以及各模块子 系统的具体操作规范
企业应当建立反舞弊机制,坚持惩防并举、重在预防的 原则,明确反舞弊工作的重点领域、关键环节和有关机构在反 舞弊工作中的职责权限,规范舞弊案件的举报、调查、处理、 报告和补救程序。 企业至少应当将下列情形作为反舞弊工作的重点: (一)未经授权或者采取其他不法方式侵占、挪用企业资 产,牟取不当利益。 (二)在财务会计报告和信息披露等方面存在的虚假记载 、误导性陈述或者重大遗漏等。 (三)董事、监事、经理及其他高级管理人员滥用职权。 (四)相关机构或人员串通舞弊。 ——《企业内部控制基本规范》第五章第四十二条
公司层面的IT控制一般体现在如下几个方面:
9
IT控制框架-公司层面控制
公司层面控制(CLC)
• • • • • 公司的价值观 企业所处监管环境 信息与沟通 风险评估 监控
企业应当将内部控制相关信息在企业内部各管理级次、责 任单位、业务环节之间,以及企业与外部投资者、债权人、客 户、供应商、中介机构和监管部门等有关方面之间进行沟通和 反馈。信息沟通过程中发现的问题,应当及时报告并加以解决。 重要信息应当及时传递给董事会、监事会和经理层。 ——《企业内部控制基本规范》第五章第四十条
13
应用控制案例分析
案例二 主题
中国黄金第一案 据了解,2006年5月起,某用户用2.7万在某国有银行开设了黄金买卖账户。在一次 交易中,他们以每克145元的价格居然委托购买成功,而当时市场价大约为每克160 元。于是,该用户开始输入远低于即时正常黄金价格的买入价格,最低探到每克 142元也能成交。2006年6月29日至7月8日间,两人总共操作126笔买卖,狂赚2100 多万元。 2006年7月12日,银行找到该用户,认为其操作具有明显恶意性质,应予以取消。 据了解,警方曾接到银行报案,但没有立案。此后,银行强行从账户上划走了2195 余万元。2007年4月,该用户递交了民事起诉状。接到起诉状后,银行对用户进行 了反诉。据该用户的律师介绍,庭审中,审判员专门询问银行,为何能用远低于市 场价的价格达成交易?银行方面律师解释,是用户采取了违规操作才达成交易。审 判员随即问道,既然违规,为何银行交易系统能够接受呢?律师表示可能是由于系 统出现了故障,法庭要求原告方尽早提交系统故障的详细说明。 银行方代理律师认为,客户交易的主观恶意很明显。用户律师则认为,该用户持有 合法身份,按照正常语音提示逐步操作,完全符合章程中的规定。输入的交易命令 得到了系统的认可,最终产生了交易后果,在这个过程中并不存在违规现象。银行 方面在没有经过该用户同意的情况下,没有依照法律程序,就单方面划走2100多万 元,这才应当被视为违规操作。 在舆论层面,银行更多的处于负面的环境中。 系统对业务操作中一些明显违反业务逻辑的操作没有任何的控制防范功能。 应用控制
应用控制(AC)
业务流程中内嵌的信息系统 相关控制,以保证信息处理 的完整性,准确性,有效性 和保密性等。应用系统控制 的例子包括: • • • • • 授权 审批 职责分离 系统编辑控制 系统计算
公司层面控制
应用系统控制
计算机整体控制(GCC)
• • • • • • • 信息安全 信息系统日常运作 数据库实施与维护 应用系统实施与维护 系统软件支持 网络支持 …
内容
事件简述
事件后果
根本原因分析 控制层面
11
IT控制框架-应用控制
应用系统控制解决方案 应用控制 应用系统访问控制 认证 认证 认证 授权 认证 授权 授权 授权 管理 职责分工 管理 管理 职责分工 管理 流程和系统的完整性控制 输入控制 输入控制 输出控制 输出控制 输出控制 输出控制 处理控制 处理控制 处理控制 处理控制 接口控制 接口控制 接口控制 接口控制 数据质量控制 数据质量规范 数据质量规范 数据转换 数据转换 数据监控 数据监控
6
议程 1 2 企业信息化带来的风险和挑战 解读《企业内部控制应用指引-信息系统》 IT控制框架体系及案例分析 - 公司层面控制 3 - 应用控制 - 计算机整体控制
4
企业风险管理信息化之路
IT控制框架
公司层面控制(CLC)
• • • • • 公司的价值观 企业所处监管环境 信息与沟通 风险评估 监控
3
信息化给企业带来的新风险
组织管理层面
•运营策略 •风险识别 •组织沟通 •信息流程 •跨部门协调
人员管理层面
•企业文化与价值 •人为错误 •组织结构 •服务能力 •专业技能 •员工舞弊
流程管理层面
•流程的效益与正确性 •效率及效果的衡量 •法律法规的遵行情形 •变更管理的有效性 •运营中断的损失 •持续改进/监督与应变
分析和提高数据质量: 分析和提高数据质量:
•数据质量标准规范; •数据质量标准规范; •数据转换,数据传递和数据 •数据转换,数据传递和数据 差异分析; 差异分析; •定期,及时的数据处理监控。 •定期,及时的数据处理监控。
12
IT控制框架-应用控制
应用控制(AC)
业务流程中内嵌的信息系 统相关控制,以保证信息 处理的完整性,准确性, 有效性和保密性等。应用 系统控制的例子包括: • • • • • 授权 审批 职责分离 系统编辑控制 系统计算
内部控制培训-信息系统
德勤华永会计师事务所有限公司 2011年05月
议程 1 2 企业信息化带来的风险和挑战 解读《企业内部控制应用指引-信息系统》 IT控制框架体系及案例分析