当前位置:文档之家 › 内部控制制度-信息系统[德勤2011年5月]

内部控制制度-信息系统[德勤2011年5月]

  • 格式:pdf
  • 大小:530.99 KB
  • 文档页数:26

下载文档原格式

  / 26
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

管理用户帐号并对用户的访 管理用户帐号并对用户的访 问进行规范 问进行规范
•用户职能识别控制; •用户职能识别控制; •应用系统权限设计控制; •应用系统权限设计控制; •实际的权限分配是复核用户 •实际的权限分配是复核用户 的职能的; 的职能的; •流程处理过程中,系统内部 •流程处理过程中,系统内部 的职责和权限分工 的职责和权限分工
计算机整体控制
操作系统/ 数据/ 网络/ 应用系统…
• 公司层面管理: • 应用系统控制: • 计算机整体控制:
Company Level Control(CLC); Application Control(AC); General Computer control(GCC);
8
IT控制框架-公司层面控制 • 公司层面IT控制(CLC)
4
企业风险管理信息化之路
解读《企业内部控制应用指引-信息系统》

热点要求
企业应当根据信息系统建设整体规 划提出项目建设方案,明确建设目 标、人员配备、职责分工、经费保 障和进度安排等相关内容,按照规 定的权限和程序审批后实施 企业应当组织独立于开发单位的 专业机构对开发完成的信息系统 进行验收测试
系统缺失
对于必需的后台操作,应当加强管 理,建立规范的流程制度,对操作 情况进行监控或者审计
规划不合理 开发授权不当 维护或安全措施不到位
制定科学的上线计划和新旧系统 转换方案,考虑应急预案,确保 新旧系统顺利切换和平稳衔接
信息系统归口管理部门应当加强信 息系统开发全过程的跟踪管理
企业应当加强信息系统运行与维 护的管理,制定信息系统工作程 序、信息管理制度以及各模块子 系统的具体操作规范
应用控制(AC)
业务流程中内嵌的信息系统 相关控制,以保证信息处理 的完整性,准确性,有效性 和保密性等。应用系统控制 的例子包括: • • • • • 授权 审批 职责分离 系统编辑控制 系统计算
公司层面控制
应用系统控制
计算机整体控制(GCC)
• • • • • • • 信息安全 信息系统日常运作 数据库实施与维护 应用系统实施与维护 系统软件支持 网络支持 …
3
信息化给企业带来的新风险
组织管理层面
•运营策略 •风险识别 •组织沟通 •信息流程 •跨部门协调
人员管理层面
•企业文化与价值 •人为错误 •组织结构 •服务能力 •专业技能 •员工舞弊
流程管理层面
•流程的效益与正确性 •效率及效果的衡量 •法律法规的遵行情形 •变更管理的有效性 •运营中断的损失 •持续改进/监督与应变
内容
事件简述
事件后果
根本原因分析 控制层面
11
IT控制框架-应用控制
应用系统控制解决方案 应用控制 应用系统访问控制 认证 认证 认证 授权 认证 授权 授权 授权 管理 职责分工 管理 管理 职责分工 管理 流程和系统的完整性控制 输入控制 输入控制 输出控制 输出控制 输出控制 输出控制 处理控制 处理控制 处理控制 处理控制 接口控制 接口控制 接口控制 接口控制 数据质量控制 数据质量规范 数据质量规范 数据转换 数据转换 数据监控 数据监控
10
公司层面控制案例分析
案例一 主题
美国HPL技术公司财务舞弊案 HPL技术公司是美国硅谷的一家软件制造商,其董事会主席兼首席执行官 Lapejian在公司上市第一年就采用各种手段虚构了80%的销售收入,其股票已被 纳斯达克摘牌。在连续5个季度内,Lepejian伪造了数十张来自佳能公司和微电 公司的订货单,对信息技术驾轻就熟的Lepejian轻易地从以往与上述两个客户 的真实订货单中提取了相关负责人的签名,在电脑上将其粘贴至伪造的订货单 上。之后,他又修改了HPL一台传真机的程序,将伪造的订货单以佳能公司和微 电公司的名义发至HPL的另外一台传真机。Lepejian接着伪造发运凭证:他为每 份假订单起草了一份电子邮件,并以佳能公司和微电公司的名义向HPL发出电子 邮件,确认HPL发出的软件已经运抵佳能公司和微电公司。 Lepejian自导自演的骗局最终被戳穿。就在HPL对外公布其财务报告后不久,该 公司董事会收到了佳能公司法律顾问的质疑报告。报告指出佳能公司与HPL的大 部分款项往来是不存在的。至此,Lepejian的阴谋彻底败露。 公司缺乏对管理层的监督以及审核,对信息系统数据的真实性以及有效性没有 进行验证,相关业务单据没有进行职责分离的复核审批。 公司层面控制
系统管理层面 信息化所 带来的新风险
•数据处理完整性 •系统优化 •系统有效性 •系统可用性 •输入/输出管理 •信息技术安全
新业务流程处理层面 外包服务层面
•管理的有效性 •预期效益的确定 •执行能力与风险监督 •策略变更 •整合与再造 •新产品与服务 •意外事件管理 •外部事件应对


4
议程 1 2 企业信息化带来的风险和挑战 解读《企业内部控制应用指引-信息系统》 IT控制框架体系及案例分析 - 公司层面控制 3 - 应用控制 - 计算机整体控制
13
应用控制案例分析
案例二 主题
中国黄金第一案 据了解,2006年5月起,某用户用2.7万在某国有银行开设了黄金买卖账户。在一次 交易中,他们以每克145元的价格居然委托购买成功,而当时市场价大约为每克160 元。于是,该用户开始输入远低于即时正常黄金价格的买入价格,最低探到每克 142元也能成交。2006年6月29日至7月8日间,两人总共操作126笔买卖,狂赚2100 多万元。 2006年7月12日,银行找到该用户,认为其操作具有明显恶意性质,应予以取消。 据了解,警方曾接到银行报案,但没有立案。此后,银行强行从账户上划走了2195 余万元。2007年4月,该用户递交了民事起诉状。接到起诉状后,银行对用户进行 了反诉。据该用户的律师介绍,庭审中,审判员专门询问银行,为何能用远低于市 场价的价格达成交易?银行方面律师解释,是用户采取了违规操作才达成交易。审 判员随即问道,既然违规,为何银行交易系统能够接受呢?律师表示可能是由于系 统出现了故障,法庭要求原告方尽早提交系统故障的详细说明。 银行方代理律师认为,客户交易的主观恶意很明显。用户律师则认为,该用户持有 合法身份,按照正常语音提示逐步操作,完全符合章程中的规定。输入的交易命令 得到了系统的认可,最终产生了交易后果,在这个过程中并不存在违规现象。银行 方面在没有经过该用户同意的情况下,没有依照法律程序,就单方面划走2100多万 元,这才应当被视为违规操作。 在舆论层面,银行更多的处于负面的环境中。 系统对业务操作中一些明显违反业务逻辑的操作没有任何的控制防范功能。 应用控制
6
议程 1 2 企业信息化带来的风险和挑战 解读《企业内部控制应用指引-信息系统》 IT控制框架体系及案例分析 - 公司层面控制 3 - 应用控制 - 计算机整体控制
4
企业风险管理信息化之路
IT控制框架
公司层面控制(CLC)
• • • • • 公司的价值观 企业所处监管环境 信息与沟通 风险评估 监控
公司层面的IT控制一般体现在如下几个方面:
9
IT控制框架-公司层面控制
公司层面控制(CLC)
• • • • • 公司的价值观 企业所处监管环境 信息与沟通 风险评估 监控
企业应当将内部控制相关信息在企业内部各管理级次、责 任单位、业务环节之间,以及企业与外部投资者、债权人、客 户、供应商、中介机构和监管部门等有关方面之间进行沟通和 反馈。信息沟通过程中发现的问题,应当及时报告并加以解决。 重要信息应当及时传递给董事会、监事会和经理层。 ——《企业内部控制基本规范》第五章第四十条
14
内容
事件简述
事件后果 根本原因分析 风险类型
应用控制案例分析(续)
案例三 主题 内容 利用职务便利充值废卡侵占公司资产 近日,北京市丰台区检察院以犯职务侵占罪,对利用职务便利、侵占公司 财产的李某提起公诉。李某为公司信息部操作员,平日他发现办公室里常 有一些废弃的消费卡。他便琢磨将这些废卡“利用”起来,于是利用虚构 的或已经调走的人员身份,进入公司电脑系统,修改数据给这些废卡“充 了值”。 经查,李某自2007年9月2日起,私自向14张公司的消费卡中共计充入人民 币49,860元,同时,李某以消费或办假退货的方式,侵占人民币48,254.89 元 嫌疑人李某以虚构的户名和编码进入系统,从而篡改消费卡数据进行职务 侵占行为,得逞于公司给予信息录入员权限过大
内部控制培训-信息系统
德勤华永会计师事务所有限公司 2011年05月
议程 1 2 企业信息化带来的风险和挑战 解读《企业内部控制应用指引-信息系统》 IT控制框架体系及案例分析
- 公司层面控制
3
- 应用控制 - 计算机整体控制
4
企业风险管理信息化之路
2
企业内部控制框架中来自信息系统控制的挑战
根据德勤的专业调查,在内部控制遵循项目的进展过程中,通常可能面临的各 种各样的挑战如下所示: 是否有适当的审计委员会? 财务结账和报告流程及系统是否有效?* 是否有能力评价外包服务机构的内部控制?* 是否存在有效的内部审计部门? 在复杂的跨地域的经营环境中是否存在监控? 是否有足够的能力理解会计准则的要求? 管理者评价财务报告内部控制的经验是否足够? 语言沟通方面是否成为限制? 信息系统控制是否存在?* 应用系统控制的设计和测试是否可以有效进行?* 跨地域评价内部控制的复杂性。* 是否存在有效防范欺诈的程序?* 注释:与信息系统控制相关的挑战如上图*号所示。可以看出,与财务报告相关 的信息系统控制如果没有进行规范管理,将是引发重大缺陷的主要原因之一。
保证应用系统业务处理的完整 保证应用系统业务处理的完整 性: 性:
•业务流程中有关控制点在系统 •业务流程中有关控制点在系统 中的映射关系; 中的映射关系; •应用系统的输入环节,处理环 •应用系统的输入环节,处理环 节和输出环节的控制; 节和输出环节的控制; •应用系统接口的完整性(实 •应用系统接口的完整性(实 时,定时,脱机)控制。 时,定时,脱机)控制。
企业应当运用信息技术加强内部控制,建立与经营管理相 适应的信息系统,促进内部控制流程与信息系统的有机结合, 实现对业务和事项的自动控制,减少或消除人为操纵因素。 ——《企业内部控制基本规范》第一章第七条 企业开发信息系统,应当将生产经营管理业务流程、关键 控制点和处理规则嵌入系统程序,实现手工环境下难以实现的 控制功能。 企业在系统开发过程中,应当按照不同业务的控制要求, 通过信息系统中的权限管理功能控制用户的操作权限,避免将 不相容职责的处理权限授予同一用户。 ——《企业内部控制应用指引第18号》第二章第六条
分析和提高数据质量: 分析和提高数据质量:
•数据质量标准规范; •数据质量标准规范; •数据转换,数据传递和数据 •数据转换,数据传递和数据 差异分析; 差异分析; •定期,及时的数据处理监控。 •定期,及时的数据处理监控。
12
Baidu Nhomakorabea
IT控制框架-应用控制
应用控制(AC)
业务流程中内嵌的信息系 统相关控制,以保证信息 处理的完整性,准确性, 有效性和保密性等。应用 系统控制的例子包括: • • • • • 授权 审批 职责分离 系统编辑控制 系统计算
企业应当建立反舞弊机制,坚持惩防并举、重在预防的 原则,明确反舞弊工作的重点领域、关键环节和有关机构在反 舞弊工作中的职责权限,规范舞弊案件的举报、调查、处理、 报告和补救程序。 企业至少应当将下列情形作为反舞弊工作的重点: (一)未经授权或者采取其他不法方式侵占、挪用企业资 产,牟取不当利益。 (二)在财务会计报告和信息披露等方面存在的虚假记载 、误导性陈述或者重大遗漏等。 (三)董事、监事、经理及其他高级管理人员滥用职权。 (四)相关机构或人员串通舞弊。 ——《企业内部控制基本规范》第五章第四十二条
事件简述
事件后果
根本原因分析
控制层面
应用控制
15
应用控制案例分析(续)
案例四 主题 内容 公司关键商业信息外泄被对手占得先机 张连起曾为某大型国企集团做过咨询服务,该企业的产品实行上网竞价。 然而,令其备受困扰的是,竞争对手总能报出比他们的底线价格更低的价 格。后来检查发现,问题的关键在于这家企业的ERP系统对接触信息的人员 和权限控制不严,很多重要的财务数据,包括预算数据等,可以为一般工 作人员看到,这就造成了公司关键产品成本的详细信息外泄。

相关主题