「解读《企业内部控制应用指引第18号——信息系统》」.pdf
「解读《企业内部控制应用指引第18号——信息系统》」--第1页
优化信息系统提升管理水平
——财政部会计司解读《企业内部控制应用指引第18号——信息系统》
一、信息系统内部控制概述
《企业内部控制应用指引第18号———信息系统》中所指信息系统,是指
企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化
管理平台。信息系统内部控制的目标是促进企业有效实施内部控制,提高企业现
代化管理水平,减少人为操纵因素;同时,增强信息系统的安全性、可靠性和合
理性以及相关信息的保密性、完整性和可用性,为建立有效的信息与沟通机制提
供支持保障。信息系统内部控制的主要对象是信息系统,由计算机硬件、软件、
人员、信息流和运行规程等要素组成。
现代企业的运营越来越依赖于信息系统。比如航空公司的网上订票系统、银
行的资金实时结算系统、携程旅行网的客户服务系统等,没有信息系统的支撑,
业务开展就举步维艰、难以为继,企业经营就很可能陷入瘫痪状态。还有一些新
兴产业和新兴企业,其商业模式完全依赖信息系统,比如各种网络公司(新浪、网
易、百度)、各种电子商务公司(比如阿里巴巴、卓越公司),没有信息系统,这
些企业可能失去生存之基。
同时应当看到,企业信息系统内部控制以及利用信息系统实施内部控制也面
临诸多风险,至少应当关注下列方面:一是信息系统缺乏或规划不合理,可能造成
信息孤岛或重复建设,导致企业经营管理效率低下;二是系统开发不符合内部控
制要求,授权管理不当,可能导致无法利用信息技术实施有效控制;三是系统运行
维护和安全措施不到位,可能导致信息泄漏或毁损,系统无法正常运行。
鉴于信息系统在实施内部控制和现代化管理中具有十分独特而重要的作用,
加之信息系统本身的复杂性和高风险特征,《企业内部控制应当指引第18号
——信息系统》规定,企业负责人对信息系统建设工作负责。换言之,信息系统
「解读《企业内部控制应用指引第18号——信息系统》」--第1页
「解读《企业内部控制应用指引第18号——信息系统》」--第2页
建设是一把手“”工程。只有企业负责人站在战略和全局的高度亲自组织领导信息
系统建设工作,才能统一思想、提高认识、加强协调配合,从而推动信息系统建
设在整合资源的前提下高效、协调推进。企业应当重视信息系统在内部控制中的
作用,根据内部控制要求,结合组织架构、业务范围、地域分布、技术能力等因
素,制定信息系统建设总体规划,加大投入力度,有序组织信息系统开发、运行
与维护,优化管理流程,防范经营风险,全面提升企业现代化管理水平。
二、信息系统的开发
企业根据发展战略和业务需要进行信息系统建设,首先要确立系统建设目标,
根据目标进行系统建设战略规划,再将规划细化为项目建设方案。企业开展信息
系统建设,可以根据实际情况,采取自行开发、外购调试或业务外包等方式。选
择外购调试或业务外包方式的,应当采用公开招标等形式择优选择供应商或开发
单位。选择自行开发信息系统的,信息系统归口管理部门应当组织企业内部相关
业务部门进行需求分析,合理配置人员,明确系统设计、编程、安装调试、验收、
上线等全过程的管理要求。企业信息系统归口管理部门应当加强信息系统开发全
过程的跟踪管理,增进开发单位与企业内部业务部门的日常沟通和协调,组织独
立于开发单位的专业机构对开发完成的信息系统进行检查验收,并组织系统上线
运行。
(一)制定信息系统开发的战略规划
信息系统开发的战略规划是信息化建设的起点,战略规划是以企业发展战略
为依据制定的企业信息化建设的全局性、长期性规划。制定信息系统战略规划的
主要风险是:第一,缺乏战略规划或规划不合理,可能造成信息孤岛或重复建设,
导致企业经营管理效率低下。第二,