内控讲义信息系统.ppt

《内控讲义信息系统.ppt》由会员分享，可在线阅读，更多相关《内控讲义信息系统.ppt（27页珍藏版）》请在课桌文档上搜索。

1、第二节 信息系统,第六章 信息与沟通,信息系统,一、信息系统的定义按照企业内部控制应用指引第18号信息系统的规定，信息系统是指企业利用计算机和通信技术，对内部控制进行集成、转化和提升所形成的信息化管理平台。现代企业的运营越来越依赖于信息系统。比如航空公司的网上订票系统、银行的资金实时结算系统、携程旅行网的客户服务系统等，没有信息系统的支撑，业务开展就举步维艰、难以为继，企业经营就很可能陷入瘫痪状态。还有一些新兴产业和新兴企业，其商业模式完全依赖信息系统，各种网络公司（新浪、网易、百度）、各种电子商务公司（比如阿里巴巴、卓越公司），没有信息系统，这些企业可能失去生存之基。,信息系统内部控制的目标

2、是促进企业有效实施内部控制，提高企业现代化管理水平，减少人为操纵因素；同时，增强信息系统的安全性、可靠性和合理性以及相关信息的保密性、完整性和可用性，为建立有效的信息与沟通机制提供支持保障。信息系统内部控制的主要对象是信息系统，由计算机硬件、软件、人员、信息流和运行规程等要素组成。制造企业可以将信息系统划分为财务管理系统、人力资源管理系统、MRP系统（销售、采购、库存、生产）、计算机辅助设计和制造系统、客户关系系统、电子商务系统等若干子系统。企业内部控制应当指引第18号信息系统规定，企业负责人对信息系统建设工作负责。换言之，信息系统建设是“一把手”工程。,信息系统,二、信息系统的生命周期（一）

3、系统规划期（二）系统开发期（三）系统运行与维护期,信息系统,可行性分析,总体规划,系统分析,系统设计,系统实施,维护和评价,初步调查,可行性研究,审批,开发计划,审查,详细调查,逻辑设计,审查,总体设计,详细设计,编程调试,系统转换,系统维护,总体规划,系统评价,开发请求,审查,验收,1 系统规划,任务：对企业的环境、目标及现行系统的状况进行初步调查，根据企业目标和发展战略，确定信息系统的发展战略，对建设新系统的需求做出分析和预测，同时考虑建设新系统所受的各种约束，研究建设新系统的必要性和可能性。根据需要与可能，给出拟建系统的备选方案。对这些方案进行可行性分析，写出可行性分析报告。可行性分析报

4、告审议通过后，将新系统建设方案及实施计划编写成系统设计任务书。成果：可行性研究报告，系统建设任务书。,2 系统分析,任务：根据系统设计任务书所确定的范围，对现行系统进行详细调查，描述现行系统的业务流程，指出现行系统的局限性和不足之处，确定新系统的基本目标和逻辑功能要求，即提出新系统的逻辑模型。这个阶段又称为逻辑设计阶段。这个阶段是整个系统建设的关键阶段，也是信息系统建设与一般工程项目的重要区别所在。系统分析阶段的工作成果体现在系统说明书中，这是系统建设的必备文件。它既是给用户看的，也是下一阶段的工作依据。因此，系统说明书既要通俗，又要准确。用户通过系统说明书可以了解未来系统的功能，判断是不是其

5、所要求的系统。系统说明书一旦讨论通过，就是系统设计的依据，也是将来验收系统的依据。成果：系统分析说明书。,3 系统设计,任务：根据系统说明书中规定的功能要求，考虑实际条件，具体设计实现逻辑模型的技术方案，也即设计新系统的物理模型。这个阶段又称为物理设计阶段。这个阶段又可分为总体设计和详细设计两个阶段。成果：系统设计说明书。系统分析解决新系统“做什么”的问题，系统设计阶段解决新系统“怎么做”的问题。,4 系统实施,任务：是将设计的系统付诸实施的阶段。这一阶段的任务包括计算机等设备的购置、安装和调试，程序的编写和调试，人员培训，数据文件转换，系统调试与转换等。这个阶段的特点是几个互相联系、互相制约

6、的任务同时展开，必须精心安排、合理组织。系统实施是按实施计划分阶段完成的，每个阶段应写出实施进度报告。系统测试之后写出系统测试分析报告。成果：计算机软件系统、程序说明、系统测试报告、用户手册、操作手册。,5 系统运行维护,任务：系统投入运行后，需要经常进行维护和评价，记录系统运行的情况，根据一定的规格对系统进行必要的修改，评价系统的工作质量和经济效益。成果：验收报告、运行记录、维护记录、评价报告。,信息系统不相容职务,一般而言，信息系统不相容职务涉及的人员可以分为三类：系统开发建设人员、系统管理和维护人员、系统操作使用人员。开发人员在运行阶段不能操作使用信息系统，否则就可能掌握其中的涉密数据，

7、进行非法利用；系统管理和维护人员承担密码保管、授权、系统变更等关键任务，如果允许其使用信息系统，就可能较为容易地篡改数据，从而达到侵吞财产或滥用计算机信息的目的。此外，信息系统使用人员也需要区分不同岗位，包括业务数据录入、数据检查、业务批准等，在他们之间也应有必要的相互牵制。企业应建立用户管理制度，加强对重要业务系统的访问权限管理，避免将不相容职责授予同一用户。企业应当采用密码控制等技术手段进行用户身份识别。对于重要的业务系统，应当采用数字证书、生物识别等可靠性强的技术手段识别用户身份。对于发生岗位变化或离岗的用户，用户部门应当及时通知系统管理人员调整其在系统中的访问权限或者关闭账号。企业应当

8、定期对系统中的账号进行审阅，避免存在授权不当或非授权账号问题。,信息系统,三、信息系统的开发方式（一）自行开发自行开发是企业依托自身力量完成整个开发过程。优点：开发人员熟悉企业情况；培养锻炼自己的开发队伍。缺点：开发周期较长；技术水平和规范程度较难保证；成功率相对较低。适用条件：企业自身技术力量雄厚，而且市场上没有能够满足企业需求的成熟的商品化软件和解决方案。百度的搜索引擎系统就偏重于自行开发。,信息系统,三、信息系统的开发方式（二）外购调试外购调式的基本做法是企业购买成熟的商品化软件，通过参数配置和二次开发满足企业需求。优点：开发建设周期短；成功率较高；成熟的商品化软件质量稳定，可靠性高；专

9、业的软件提供商实施经验丰富。缺点：系统的后期升级进度受制于商品化软件供应商产品更新换代的速度，企业自主权不强，较为被动。适用条件：企业的特殊需求较少，市场上已有成熟的商品化软件和系统实施方案。大部分企业的财务管理系统、ERP系统、人力资源管理系统等多采用外购调试方式。,信息系统,三、信息系统的开发方式（三）业务外包信息系统的业务外包是指委托其他单位开发信息系统。优点：充分利用专业公司的专业优势；节约了人力资源成本。缺点：沟通成本高；要求企业必须加大对外包项目的监督力度。适用条件：市场上没有能够满足企业需求的成熟的商品化软件和解决方案，企业自身技术力量薄弱或出于成本效益原则考虑不愿意维持庞大的开

10、发队伍。,江苏电力:将财务信息化进行到底,“江苏省电力公司的信息化历程和实践，是以会计信息化为基础，财务信息化为核心，实现公司全面管理的信息化。”江苏电力总经理费圣英在接受中国会计报记者采访时，用精炼的一句话道出了该企业财务信息化的实践论和方法论。江苏电力作为一家拥有上千亿资产的省级电网公司，在全面推进财务信息化、以及财务信息化与企业信息化的全面融合方面已远远地走在了前面。,1.从会计信息化到财务信息化,“要实现财务对企业管理的统筹作用，就必须要有一套高效的财务管理系统。”费圣英一直认为，财务管理在整个企业管理中处于核心地位，要以信息系统建设为手段强化财务控制，提高经营管理水平。由江苏电力自主

11、研发的FMIS（财务管理信息化系统）就在这样的背景下诞生了。江苏电力的会计信息化早在1992年就已开始，最初使用的是较为成熟的电算化软件。1995年起，公司系统开始自主研发可在全系统运行的财务软件。在不断实践中，江苏电力又探索出了“预算管理、内部控制、会计核算三位一体的信息化管理模式”。公司在核算型信息系统的基础上，纳入基于预算管理、流程控制的全面管理，形成全面的财务管理信息系统。,2.基于FMIS（财务管理信息系统）的财务内部控制,江苏电力有着严格的预算管理，对资金的管理要求非常细化。根据规定，其下辖的市县级公司，20万元以上的资金需求需要提前一个月上报，20万元以内的需要一周以内上报。江苏

12、电力的13个市（地级）供电公司、58个县（区）供电公司等分公司的资金预算管理全部都是通过FMIS实现。基于FMIS平台，公司预算控制、资金管理、财务分析等各方面的财务管理职能都得以在系统中运转实现。在从核算型系统向管理型系统逐步延伸的过程中，FMIS将内部控制管理规定中的部门职责、标准流程、政策法规、权限金额等一系列内容全部“固化”在系统程序中，从而达到内部控制标准对各项经济业务约束的“自动”实现。,3.各系统和谐相融,江苏电力整个信息系统包括了公司财务会计、生产、物流、营销、人力资源等21个子系统，各部门可以即时、方便地调取各个系统的资料。这得益于江苏电力自主探索实践的“集中集成”的信息化之

13、路。“企业信息化必须将财务管理系统与企业其他管理系统整合在一个平台上，实现信息互通，资源共享，江苏电力是通过集中集成实现这一目标的。”费圣英告诉中国会计报。“我们的目标是，在不久的将来借助信息化的手段让企业的全部信息都实现阳光化透明化，最终接受整个社会的监督。”,信息系统,四、信息技术过程控制体系（COBIT）Control Objectives for Information and related Technology国际信息系统审计与控制协会（ISACA）提出信息和相关技术的控制目标（COBIT）。COBIT是一个基于IT治理概念的、面向IT建设过程中的IT治理实现指南和审计标准，被认为

14、是COSO框架的补充框架。COBIT的目标是为信息系统设计提供具有高度可靠性和可操作性的、公认的信息安全和控制评价标准。,道 案例6-1 中化集团运用COBIT的IT治理之道,让中化集团技术部赵宇翔工程师记忆犹新的是，2005年上半年的一天，技术部突然接到江西九江分公司打来的电话，该分公司突然不明原因断网，请求集团技术支持。由于造成断网的原因很多，在没有系统监控的状态下，只能挨个关键点排查，从北京的交换机，到网络运营商，再到九江的交换机等，最后才发现原来是当地某施工单位不慎把电缆挖断造成。作为财富全球500强企业和中国重要国有骨干企业，中化集团业务包括石油、化工、化肥、金融以及房地产等多元化业

15、务，下属超过100家的各种大小型公司，在海外还有四大集团。,COBIT的优点,COBIT是一个非常有用的工具，可以帮助企业在管理层、IT与审计之间交流的鸿沟上搭建桥梁，提供了彼此沟通的共同语言。几乎每个机构都可以从COBIT中获益，来决定基于IT过程及他们所支持的商业功能的合理控制。当我们知道这些业务功能是什么，其对企业的影响到什么程度时，就能对这些事件进行良好的分类。所有的信息系统审计、控制及安全专业人员应该考虑采用COBIT原则。,通过实施COBIT，增加了管理层对控制的感知及支持。COBIT帮助管理层懂得如何控制影响、业务功能。COBIT提供的实施工具集包括优秀的案例资料（提供模板业务过

16、程，使得优秀范例能够迅速移植），有助于向管理层很好地表述IT管理概念。管理层在基于最佳控制实践基础上做出正确决策的能力亦得到了提高。COBIT使IT管理工作简易并量化，减轻对复杂信息系统管理工作的难度。对于那些不具有广博IT知识的人来讲，是一个认清信息技术的有价值的工具。它也使得信息系统审计师具有与IT专业人员相同的专业广度，并且可以询问IT工程相关的问题。,COBIT提供了一种国际通用的IT管理及问题解决方案，普遍适用于各种不同的业务项目和审计，并且既包容了当前的情况，也提供将来可能会使用到的指导方针。COBIT有助于提高信息系统审计师的影响力，依据COBIT出具的信息系统审计报告，更容易得到管理层的肯定。COBIT框架可以能够帮助决定过程责任，提高IT治理水平。通过应用该框架进行责任分析，可以做到基于角色的IT管理，定义过程措施，确保客户利益。,总之，COBIT模型实现了企业战略与IT战略的互动，并形成持续改进的良性循环机制，为企业提供了具有一定参考价值的解决方案。因此，针对我国信息化存在的问题，借鉴COBIT的IT治理思想和框架，科学、系统地对信息及相关技术进行管理，逐步试行建立IT治理机制，对推动我国信息技术的发展和应用具有十分重要的现实意义。,谢谢大家！,