内部信息传递与信息系统控制概述

第一节　内部信息传递与信息系统控制概述

内部信息传递，是指企业内部各管理层级之间通过内部报告形式传递生产经营管理信息的过程。

信息系统，是指企业利用计算机和通信技术，对内部控制进行集成、转化和提升所形成的信息化管理平台。其主要对象是信息系统，由计算机硬件、软件、人员、信息流和运行规程等要素组成。

一、控制目标

（一）内部信息传递

企业内部信息有来自业务第一线人员根据市场或业务工作整理的信息，也有来自管理人员根据相关内部信息对所负责部门形成的指示或情况通报。信息的来源、内容、提供者、传递方式和渠道等各不相同，但均应围绕下列总体目标：

（1）作为提供企业管理能力的重要抓手；

（2）作为提升企业市场竞争力的重要支撑；

（3）保证内部控制的有效实施。

（二）信息系统内部控制的目标

信息系统内部控制的目标主要是：

（1）促进企业有效实施内部控制，提高企业现代化管理水平，减少人为操纵因素；

（2）增强信息系统的安全性、可靠性和合理性以及相关信息的保密性、完整性和可用性，为建立有效的信息与沟通机制提供支持保障。

二、内部信息传递与信息系统控制重点

（一）内部信息传递

企业在建立并实施计算机信息系统内部控制制度中，应至少强化对以下关键方面或者关键环节的风险控制，并采取相应的控制措施：

（1）内部报告系统缺失、功能不健全、内容不完整，可能影响生产经营有序运行；

（2）内部信息传递不通畅、不及时，可能导致决策失误、相关政策措施难以落实；

（3）内部信息传递中泄露商业秘密，可能削弱企业核心竞争力。

企业应当加强内部报告管理，全面梳理内部信息传递过程中的薄弱环节，建立科学的内部信息传递机制，明确内部信息传递的内容、保密要求及密级分类、传递方式、传递范围以及各管理层级的职责权限等，促进内部报告的有效利用，充分发挥内部报告的作用。

（二）信息系统

（1）信息系统缺乏或规划不合理，可能造成信息孤岛或重复建设，导致企业经营管理效率低下；

（2）系统开发不符合内部控制要求，授权管理不当，可能导致无法利用信息技术实施有效控制；

（3）系统运行维护和安全措施不到位，可能导致信息泄漏或毁损，系统无法正常运行。

企业应重视信息系统在内部控制中的作用，根据内部控制要求，结合组织架构、业务范围、地域分布、技术能力等因素，制定信息系统建设整体规划，加大投入力度，有序组织信息系统开发、运行与维护，优化管理流程，防范经营风险，全面提升企业现代化管理水平。

企业应指定专门机构对信息系统建设实施归口管理，明确相关单位的职责权限，建立有效工作机制。企业可委托专业机构从事信息系统的开发、运行和维护工作。

企业负责人对信息系统建设工作负责。

三、职责分工与授权批准

企业应建立内部信息传递与信息系统岗位责任制。

（一）内部信息传递

内部信息传递岗位一般包括：

收集整理、编制审核、利用、保管、评估。

（二）计算机信息系统

企业应当建立信息系统开发、运行与维护等环节的岗位责任制度和不相容职务分离制度，防范利用计算机舞弊和犯罪。一般而言，信息系统不相容职务可以分为三类：

系统开发建设、系统管理和维护、系统操作使用。

开发人员在运行阶段不能操作使用信息系统，否则就可能掌握其中的涉密数据，进行非法利用；系统管理和维护人员担任密码保管、授权、系统变更等关键任务，如果允许其使用信息系统，就可能较为容易地篡改数据，从而达到侵吞财产或滥用计算机信息的目的。

信息系统使用人员也需要区分不同岗位，包括业务数据录入、数据检查、业务批准等，在他们之间也应有必要的相互牵制。

企业应建立用户管理制度，加强对重要业务系统的访问权限管理，避免将不相容职责授予同一用户。企业应当采用密码控制等技术手段进行用户身份识别。对于重要的业务系统，应当采用数字证书、生物识别等可靠性强的技术手段识别用户身份。对于发生岗位变化或离岗的用户，用户部门应当及时通知系统管理人员调整其在系统中的访问权限或者关闭账号。企业应当定期对系统中的账号进行审阅，避免存在授权不当或非授权账号。对于超级用户，企业应当严格规定其使用条件和操作程序，并对其在系统中的操作全程进行监控或审计。

计算机信息系统不相容职务包括：

（1）系统分析

（2）编程

（3）计算机数据录入

（4）计算机数据检查

（5）业务批准

（6）数据库管理

（7）信息系统库管理

（8）数据控制

企业计算机信息系统战略规划、重要信息系统政策等重大事项应当经由董事会（或者由企业章程规定的经理、厂长办公会等类似的决策、治理机构（简称董事会））审批通过后，方可实施。

信息系统战略规划应当与企业业务目标保持一致。信息系统使用部门应参与信息系统战略规划、重要信息系统政策等的制定。

企业可以指定专门部门（或岗位，即归口管理部门）对计算机信息系统实施归口管理，负责信息系统开发、变更、运行、维护等工作。

财会部门负责信息系统中各项业务账务处理的准确性和及时性、会计电算化制度的制定、财务计划的制定和下达、计划价格的确定和修改、财务操作规定等工作。

生产、销售、仓储及其他部门（即用户部门）应当根据本部门在信息系统中的职能定位，参与信息系统建设和管理，按照归口管理部门制定的管理标准、规范、规章来操作、管理和运用信息系统。

企业管理层应该明确定义系统归口管理部门和用户部门在保证系统正常安全运行过程中各自承担的职责，制定部门之间的职责分工表。信息系统内部控制框架如图14-1所示。

图14-1　信息系统内部控制框架