《信息系统内部控制要点.docx》由会员分享,可在线阅读,更多相关《信息系统内部控制要点.docx(3页珍藏版)》请在课桌文档上搜索。
1、信息系统内部控制要点一、信息系统自身控制设计所谓系统自身控制主要是针对信息系统生命周期中的薄弱环节,系统分析与系统设计,囊括了与程序设计、运行维护、数据处理过程、硬件设备相关的控制制度。在这一部分中,企业根据信息技术实施情况,分析新的控制风险,结合实际情况局部加强内控力度。可以从以下几个方面入手:系统的开发、维护控制;程序编写控制;数据处理控制;系统软件的操作控制;安全控制等。还可以从应用软件中的电算化步骤及相关的人工程序方面处理,如:输入控制;计算机处理控制;数据文件控制;输出控制。应加大对信息系统自身控制的投资力度,对于人员的聘用及培训应严格要求,及时对系统进行维护、升级,以防止潜在风险的
2、趁虚而入。二、加强信息系统业务控制在业务控制部分,将COBIT模型的四个域引入到信息系统内部控制中,根据每个域的不同内容,结合信息系统的每一业务模块进行系统的控制。1 .规划与组织:这个域包含战略和战术,注重于IT怎样才能更好地帮助企业实现业务目标,以及需要从哪些方面对战略和战术进行计划、交流和管理,同时要做好组织规划和技术设施的准备工作;这是对整体方向的一个控制。2 .获取与实施:这个域是通过选择、开发或获取相关的IT解决方案来实现IT战略的同时它的实施需要与业务处理过程紧密结合。除此之外,它还覆盖了系统的维护与更新以保证生命周期的顺利运转。3 ,交付与支持:这个域关注提供所需要的服务,包括
3、从安全服务到培训服务。同时还包括应用系统的数据处理,这属于应用控制的范围。4 .监控:这个域关注IT过程的运行效率是否进行经常性的评估以及检查他们是否满足控制需求。当然,对业务的控制并不是独立存在的,它是建立在系统控制的基础之上的,与系统控制是共存的。三、建立信息系统评价控制作为一个有效的,可实施的内部控制系统,评价系统是必不可少的。有效的自我评价机制应是能进行系统控制与业务控制的业绩考核,并充分的反映其他控制模块的实施情况,如将各责任单位和全体员工实施情况纳入绩效考评。四、加强信息系统内部控制与外界监管的联系建立一个完善的信息系统内部控制制度并不是企业自身所能完全达到的。首先,软件供应商、实施服务机构咨询机构等社会服务机构多方的协助,以建立一个实施性较强的系统性内部控制制度;其次,外部相关监管部门应对企业进行监管;最后,审计机构或会计师事务所也应对企业内部控制的有效性出具审计报告。