内部控制指引18流程图——信息系统

内控指引18之制度详解――信息系统第18章企业内部控制――信息系统管理18．3信息系统开发、变更与维护控制18．3．2信息系统研发、更改与保护管理制度信息系统开发变更与维护管理制度对进行该工作的各个事项进行了规范，为相关工作人员提供了指导。

下面是某企业的信息系统开发、变更与维护管理制度，供读者参考。

信息系统研发、更改与保护管理制度第1章总则第1条为了提升企业的经营绩效与工作效率,提高企业信息系统的可靠性、稳定性与安全性,特制订本制度。

第2条本制度适用于信息部以及各用户部门涉及使用企业信息系统的相关人员。

第2章系统研发与更改第3条企业信息系统开发所遵循的原则1.因地制宜原则应当根据行业特点、企业规模、管理理念、非政府结构、核算方法等因素设计适宜本单位的计算机信息系统。

2.成本效益原则计算机信息系统的建设应能够起著降低成本、制止偏差的促进作用,根据成本效益原则,企业可以挑选对关键领域中的关键因素展开信息系统改建。

3.理念与技术并重原则信息系统建设应将信息系统技术与信息系统管理理念资源整合,提倡全体员工积极参与信息系统建设,正确理解和采用信息系统,提升信息系统的运作效率。

第4条项目部人员在信息系统开发中要将相应的交易权限嵌入到系统程序中,以便检查、纠正错误和舞弊行为。

第5条系统研发任务书内容1.信息系统名称。

12.信息系统必须达至的技术性能。

3.信息系统的操作方式环境。

4.开发信息系统的具体工作计划。

5.开发信息系统的人员与协作单位。

6.开发信息系统的费用预算。

第6条所挑选的外包合作开发信息系统的机构必须存有合作开发信息系统的经验,并强化对其的监控力度。

第7条测试专员需将系统测试中所出现的问题记录成册,定期交予信息部经理。

第8条在信息系统安装调试前的必要工作如下。

1.制订应急预案,以保证崭新系统出现故障时能乌返回旧有系统。

2.必须顺利完成整体测试和用户验收测试后才可以加装调试。

第9条新旧系统切换时,进行数据迁移必须建立数据迁移计划并对迁移结果进行测试。

附件1：企业内部控制应用指引企业内部控制应用指引第1号——组织架构第一章总则第一条为了促进企业实现发展战略，优化治理结构、管理体制和运行机制，建立现代企业制度，根据《中华人民共和国公司法》等有关法律法规和《企业内部控制基本规范》，制定本指引。

第二条本指引所称组织架构，是指企业按照国家有关法律法规、股东（大）会决议和企业章程，结合本企业实际，明确股东（大）会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。

第三条企业至少应当关注组织架构设计与运行中的下列风险：（一）治理结构形同虚设，缺乏科学决策、良性运行机制和执行力，可能导致企业经营失败，难以实现发展战略。

（二）内部机构设计不科学，权责分配不合理，可能导致机构重叠、职能交叉或缺失、推诿扯皮，运行效率低下。

第二章组织架构的设计第四条企业应当根据国家有关法律法规的规定，明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序，确保决策、执行和监督相互分离，形成制衡。

董事会对股东（大）会负责，依法行使企业的经营决策权。

可按照股东（大）会的有关决议，设立战略、审计、提名、薪酬与考核等专门委员会，明确各专门委员会的职责权限、任职资格、议事规则和工作程序，为董事会科学决策提供支持。

监事会对股东（大）会负责，监督企业董事、经理和其他高级管理人员依法履行职责。

经理层对董事会负责，主持企业的生产经营管理工作。

经理和其他高级管理人员的职责分工应当明确。

董事会、监事会和经理层的产生程序应当合法合规，其人员构成、知识结构、能力素质应当满足履行职责的要求。

第五条企业的重大决策、重大事项、重要人事任免及大额资金支付业务等，应当按照规定的权限和程序实行集体决策审批或者联签制度。

任何个人不得单独进行决策或者擅自改变集体决策意见。

重大决策、重大事项、重要人事任免及大额资金支付业务的具体标准由企业自行确定。

第六条企业应当按照科学、精简、高效、透明、制衡的原则，综合考虑企业性质、发展战略、文化理念和管理要求等因素，合理设置内部职能机构，明确各机构的职责权限，避免职能交叉、缺失或权责过于集中，形成各司其职、各负其责、相互制约、相互协调的工作机制。

企业内部控制指引——工程项目内控流程图·表【说明】这是企业内部控制指引关于工程项目最为全面的内控流程图表，一共18张图标，一一对应，全部为word版本，可编辑可修改。

具体包括以下几个方面，欢迎大家使用。

1．工程立项控制2．工程招标控制3．工程概预算控制4．工程质量控制5．工程进度控制6．工程验收控制1．工程立项控制1．1工程项目业务流程1．工程项目业务流程与风险控制图（如图1所示）工程项目事项未经严格审批，可能导致企业遭受经济损失；工程项目违反国家法律法规，可能遭受外部处罚、经济损失和信誉损失工程项目概预算编制不当和执行不力，可能造成工程项目建造成本的增加根据需要履行组织进行工程214监督、控制接下页参与编制并工程项目成本失控，可能造成企业经营管理效益和效率低下；企业《工程项目变更申请》未经相关部门或中介机构（如工程监理、财务监理等）的审核，可能给企业造成经济损失3 5重大工程项目变更资料不进行及时、准确的整理保存，可能导致资料遗失，进而给企业带来损失；工程项目会计处理和相关信息不合法、不真实完整，可能导致企业资产账实不符或资产损失提出单项接上页786表1 工程项目业务流程控制表2. 工程立项流程与风险控制图（如图2所示）提出工程 汇总论证 组织编制项目1345672指示相关 启动工程项表2 工程立项流程控制表1．2工程项目审批流程工程项目审批流程与风险控制图（如图3所示）工程项目决策失误，可能造成资产损失或资源浪费工程项目未经适当审批或超越授权审批，可能因重大差错、舞弊、欺诈而导致资产损失记载工程项目各环节业务开展情况的记录和凭证不全面，有虚报现象，可能导致企业资产账实不符或资产损失管部门审批汇总论证究报告》《工程项1345672指示相关启动工程项表3 工程项目审批流程控制表2．工程招标控制工程项目招标流程工程招标流程与风险控制图（如图4所示）招标决策失误，可能造成工程招标失败损失或资源浪费招标未经适当审批或超越授权审批，可能产生重大差错或舞弊、欺诈行为，从而使企业遭受工程建设损失记载工程项目各环节业务开展情况的记录和凭证不全面，有虚报现象，可能导致企业资产账实不符或资产损失提出工程管部门审批研究招标文组织招标活讨论实施方1345672整理招标文表4 工程招标流程控制表3．工程概预算控制工程项目概预算编制流程工程概预算编制流程与风险控制图（如图5所示）如果工程项目概预算编制不当，可能造成工程项目建造成本的增加或因概预算编制的依据、内容和标准不明确、不规范而导致实际支出严重超支如果工程项目预算编制未经相关部门的充分论证，可能导致预算编制缺乏合理性、可行性，从而使得预算额度偏差较大，造成预算编制成本增加12出具概算分析意见3 4修正预算外部单位编4． 工程质量控制工程项目质量控制流程工程项目质量控制流程与风险控制图（如图6所示）9进行竣工质量修复对现场施工质制定施工质进行施工准备进行核准确进行工序质量134872资料汇总65表6 工程项目质量控制流程控制表5．工程进度控制工程项目进度控制流程与风险控制图（如图7所示）9 8编制施工进度提交开工申下达开工指13 45672资料汇总表7 工程项目进度控制流程控制表6．工程验收控制6.1 工程竣工验收流程工程竣工验收流程与风险控制图（如图8所示）工程项目竣工验收不及时，可能造成工程建设成本增加；未经审批就办理工程移交手续，可能给企业带来经济损失竣工验收未经严格审核、审批，可能因重大差错、舞弊、欺诈而导致资产损失工程项目竣工时，转入固定资产的相关信息不合法、不真实、不完整，可能导致企业资产账实不符或资产损失办理工程编制《工程项1组织单项将竣工材料组织全面对不合格处否是23546财务部将工程项目转入固定资产结束项目投入使用7表8 工程竣工验收流程控制表6.2 工程项目后评估流程工程项目后评估流程与风险控制图（如图9所示）后评估实施方案申请未经严格审批，可能因重大差错、舞弊、欺诈而导致经济损失不进行工程项目的后评估，可能导致工程项目违规操作不被发现，进而导致不能及时消除问题，增加问题解决成本；评估报告的论证不规范、论据不充分，可能导致企业对工程项目不能有效评估，进而影响评估质量，增加评估成本制定《工程项目后1234表9 工程项目后评估流程控制表。

附件1：企业内部控制应用指引企业内部控制应用指引第1号——组织架构第一章总则第一条为了促进企业实现发展战略，优化治理结构、管理体制和运行机制，建立现代企业制度，根据《中华人民共和国公司法》等有关法律法规和《企业内部控制基本规范》，制定本指引。

第二条本指引所称组织架构，是指企业按照国家有关法律法规、股东（大）会决议和企业章程，结合本企业实际，明确股东（大）会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。

第三条企业至少应当关注组织架构设计与运行中的下列风险：（一）治理结构形同虚设，缺乏科学决策、良性运行机制和执行力，可能导致企业经营失败，难以实现发展战略。

（二）内部机构设计不科学，权责分配不合理，可能导致机构重叠、职能交叉或缺失、推诿扯皮，运行效率低下。

第二章组织架构的设计第四条企业应当根据国家有关法律法规的规定，明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序，确保决策、执行和监督相互分离，形成制衡。

董事会对股东（大）会负责，依法行使企业的经营决策权。

可按照股东（大）会的有关决议，设立战略、审计、提名、薪酬与考核等专门委员会，明确各专门委员会的职责权限、任职资格、议事规则和工作程序，为董事会科学决策提供支持。

监事会对股东（大）会负责，监督企业董事、经理和其他高级管理人员依法履行职责。

经理层对董事会负责，主持企业的生产经营管理工作。

经理和其他高级管理人员的职责分工应当明确。

董事会、监事会和经理层的产生程序应当合法合规，其人员构成、知识结构、能力素质应当满足履行职责的要求。

第五条企业的重大决策、重大事项、重要人事任免及大额资金支付业务等，应当按照规定的权限和程序实行集体决策审批或者联签制度。

任何个人不得单独进行决策或者擅自改变集体决策意见。

重大决策、重大事项、重要人事任免及大额资金支付业务的具体标准由企业自行确定。

第六条企业应当按照科学、精简、高效、透明、制衡的原则，综合考虑企业性质、发展战略、文化理念和管理要求等因素，合理设置内部职能机构，明确各机构的职责权限，避免职能交叉、缺失或权责过于集中，形成各司其职、各负其责、相互制约、相互协调的工作机制。

信息系统内部控制：过程控制和环境控制的结合—解读《企业内部控制应用指引第18号—信息系统》信息系统生成与经营和财务有关的信息报告，是集系统、信息和控制于一体的一种应用。

由于所有信息都是数据经过输入、处理、输出形成的，因此对信息的任何控制都是对数据输入、处理、输出的控制。

本文结合财政部等五部委出台的企业内部控制基本规范和《内部控制应用指引第18号—信息系统》，将信息系统内部控制按与输入、处理、输出的关系分为终端用户控制、信息处理控制、持续运行控制、硬件保护控制四项内容。

其中，终端用户控制和信息处理控制是信息系统的实体内容，共同构成数据输入、处理和输出的过程控制，前者是对人的控制，后者是对系统的控制；持续运行控制和硬件保护控制是信息系统运行的必备支撑，共同构成系统运行的环境控制，前者是对软环境的控制，后者是对硬环境的控制。

一、终端用户控制（一）授权使用制度企业应当根据业务性质、重要性程度、涉密情况等因素确定信息系统的安全等级，建立不同等级信息的授权使用制度。

一般来说，企业应通过建立权限控制矩阵来指定信息用户所能执行的功能，即控制终端用户的范围及其可执行的操作。

有些用户只能查询有关数据，有些用户则有权查询和修改数据，而另一些用户甚至还可以修改程序。

在企业整体的权限调整、新终端用户的人员增设、原终端用户的权限修改和岗位调离等情况下需要进行权限变更，但必须经过以下步骤：首先，由终端用户填写权限申请表，陈述理由和要求；部门负责人根据终端用户的工作性质决定审核结果；主管领导根据部门职能和部门负责人的意见决定审核结果；最后，由系统维护人员根据审核意见修改权限控制矩阵的内容。

为确保权限授予的准确、高效和有据可查，在维护之前，系统维护人员应与终端用户和部门负责人确认；维护完毕后，应尽快通知相应终端用户、部门负责人和单位主管领导，并将维护日志与授权申请书归档备查。

（二）用户管理制度1.用户访问控制。

终端用户的访问控制有系统的访问控制和系统程序及数据的访问控制两种方式。

18项《企业内部控制应用指引》《企业内部控制评价指引》和《企业内部控制审计指引》附件1：企业内部控制应用指引企业内部控制应用指引第1号，组织架构第一章总则第一条为了促进企业实现发展战略，优化治理结构、管理体制和运行机制，建立现代企业制度，根据《中华人民共和国公司法》等有关法律法规和《企业内部控制基本规范》，制定本指引。

第二条本指引所称组织架构，是指企业按照国家有关法律法规、股东（大）会决议和企业章程，结合本企业实际，明确股东（大）会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。

第三条企业至少应当关注组织架构设计与运行中的下列风险：（一）治理结构形同虚设，缺乏科学决策、良性运行机制和执行力，可能导致企业经营失败，难以实现发展战略。

（二）内部机构设计不科学，权责分配不合理，可能导致机构重叠、职能交叉或缺失、推诿扯皮，运行效率低下。

第二章组织架构的设计第四条企业应当根据国家有关法律法规的规定，明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序，确保决策、执行和监督相互分离，形成制衡。

董事会对股东（大）会负责，依法行使企业的经营决策权。

可按照股东（大）会的有关决议，设立战略、审计、提名、薪酬与考核等专门委员会，明确各专门委员会的职责权限、任职资格、议事规则和工作程序，为董事会科学决策提供支持。

监事会对股东（大）会负责，监督企业董事、经理和其他高级管理人员依法履行职责。

经理层对董事会负责，主持企业的生产经营管理工作。

经理和其他高级管理人员的职责分工应当明确。

董事会、监事会和经理层的产生程序应当合法合规，其人员构成、知识结构、能力素质应当满足履行职责的要求。

第五条企业的重大决策、重大事项、重要人事任免及大额资金支付业务等，应当按照规定的权限和程序实行集体决策审批或者联签制度。

任何个人不得单独进行决策或者擅自改变集体决策意见。

重大决策、重大事项、重要人事任免及大额资金支付业务的具体标准由企业自行确定。

第18章企业内部控制流程——信息系统
18．1 信息系统开发控制18．1．3 信息系统自行开发流程1．信息系统自行开发流程与风险控制图
2．信息系统自行开发流程控制表
18．1．4 信息系统开发招标流程1．信息系统开发招标流程与风险控制图
2．信息系统开发招标流程控制表
18．2 信息系统运行与维护控制18．2．2 信息化会计档案的管理流程1．信息化会计档案的管理流程与风险控制图
2．信息化会计档案的管理流程控制表
18．2．3 会计信息管理人员操作流程1．会计信息管理人员操作流程与风险控制图
2．会计信息管理人员操作流程控制表。

第1章 企业内部控制流程——信息系统1．1 信息系统与审批控制1．1．1 信息系统战略规划流程1．信息系统战略规划流程与风险控制图信息系统战略规划流程与风险控制业务风险不相容责任部门/责任人的职责分工与审批权限划分阶段 董事会信息化领导小组信息部用户部门D1D2D3开始信息系统战略规划如果未与企业业务目标保持一致，可能导致开发的信息系统没有实际利用价值如果信息系统战略规划未经适当审核或超越授权审批，可能会产生重大差错或舞弊、欺诈行为，从而使企业遭受损失如果信息系统战略规划方法不适合企业的实际情况，可能导致信息系统无法顺利完成下达企业 业务目标参与审提出信息系统 战略规划项目进行可行性分析拟定项目框架要求选择信息系统 战略规划方法起草信息系统 战略规划方案 参与对方案进行 评价和仿真 进行仿真撰写信息系统 战略规划报告 组织开发信息系统结束进行开发1234562．信息系统战略规划流程控制表1．1．2 重要信息系统政策制定流程1．重要信息系统政策制定流程与风险控制图重要信息系统政策制定流程与风险控制业务风险不相容责任部门/责任人的职责分工与审批权限划分阶段 董事会信息部 使用部门D1D2开始 结束重要信息系统政策制定申请如果未经审批或越权审批，可能导致企业经济损失如果职责分工、权限范围和审批程序不规范、机构设置和人员配备不合理、重要信息系统制定未能按照审批程序进行编制，可能会产生重大差错或舞弊、欺诈行为，从使企业遭受损失提出重要信息系统政策制定申请 1通过未通过审批组织编制重要 信息系统政策 起草《重要 信息系统政策》 召开重要信息系统 政策编制研讨会参与整理、汇总各部门提出的建议和意见审批234下达正式《重要信息系统政策》资料归档2．重要信息系统政策制定流程控制表1．2 系统开发与维护控制1．2．1 信息系统自行开发流程1．信息系统自行开发流程与风险控制图信息系统自行开发流程与风险控制业务风险不相容责任部门/责任人的职责分工与审批权限划分阶段 总经理运营总监信息部人员用户部门D1 D2D3开始如果信息系统开发与使用未经适当审核或超越授权审批，可能会产生重大差错或舞弊、欺诈行为，从而使企业遭受损失如果信息系统访问安全措施不当，可能导致商业秘密泄露如果信息系统开发与使用违反国家法律、法规，企业可能遭受外部处罚、经济损失和信誉损失提出信息系统开发申请审结束1审受理该项申请分析需求 编制《系统开发任务书》32审审设计程序方案 编写程序代码进行系统测试安装、调试系统使用授权开始使用7456892．信息系统自行开发流程控制表1．2．2 信息系统开发招标流程1．信息系统开发招标流程与风险控制图信息系统开发招标流程与风险控制业务风险不相容责任部门/责任人的职责分工与审批权限划分阶段总经理信息部/用户部门项目管理小组外包商D1D2D3开始结束如果信息系统开发招标违反国家法律、法规，企业可能遭受外部处罚、经济损失和信誉损失如果信息系统开发招标、评标不规范，可能导致徇私舞弊的行为或商业秘密泄露，从而造成企业经济损失如果信息系统开发招标过程违反法律、法规和企业的规章制度，企业可能会受到有关部门的处罚，从而造成资产损失审索取资格审查文件资料归档确定采用招标方式选择外包合作商参与评标发布招标广告2填报资格审查文件进行资格审查发售招标书34接收标书发送投标书组织评标选取中标者审发布中标通知接到中标通知书谈判并签订合同签订合同561782．信息系统开发招标流程控制表。

附件1：企业内部控制应用指引企业内部控制应用指引第1号——组织架构第一章总则第一条为了促进企业实现发展战略，优化治理结构、管理体制和运行机制，建立现代企业制度，根据《中华人民共和国公司法》等有关法律法规和《企业内部控制基本规范》，制定本指引。

第二条本指引所称组织架构，是指企业按照国家有关法律法规、股东（大）会决议和企业章程，结合本企业实际，明确股东（大）会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。

第三条企业至少应当关注组织架构设计与运行中的下列风险：（一）治理结构形同虚设，缺乏科学决策、良性运行机制和执行力，可能导致企业经营失败，难以实现发展战略。

（二）内部机构设计不科学，权责分配不合理，可能导致机构重叠、职能交叉或缺失、推诿扯皮，运行效率低下。

第二章组织架构的设计第四条企业应当根据国家有关法律法规的规定，明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序，确保决策、执行和监督相互分离，形成制衡。

董事会对股东（大）会负责，依法行使企业的经营决策权。

可按照股东（大）会的有关决议，设立战略、审计、提名、薪酬与考核等专门委员会，明确各专门委员会的职责权限、任职资格、议事规则和工作程序，为董事会科学决策提供支持。

监事会对股东（大）会负责，监督企业董事、经理和其他高级管理人员依法履行职责。

经理层对董事会负责，主持企业的生产经营管理工作。

经理和其他高级管理人员的职责分工应当明确。

董事会、监事会和经理层的产生程序应当合法合规，其人员构成、知识结构、能力素质应当满足履行职责的要求。

第五条企业的重大决策、重大事项、重要人事任免及大额资金支付业务等，应当按照规定的权限和程序实行集体决策审批或者联签制度。

任何个人不得单独进行决策或者擅自改变集体决策意见。

重大决策、重大事项、重要人事任免及大额资金支付业务的具体标准由企业自行确定。

第六条企业应当按照科学、精简、高效、透明、制衡的原则，综合考虑企业性质、发展战略、文化理念和管理要求等因素，合理设置内部职能机构，明确各机构的职责权限，避免职能交叉、缺失或权责过于集中，形成各司其职、各负其责、相互制约、相互协调的工作机制。