擔(dān)保公司內(nèi)部控制-信息化建設(shè).ppt

1、擔(dān)保公司信息化建設(shè)對(duì)內(nèi)部控制作用,一、走進(jìn)內(nèi)部控制基本概念闡述 二、信息化建設(shè)對(duì)內(nèi)部控制的作用 三、信息化建設(shè)對(duì)內(nèi)部控制的主要風(fēng)險(xiǎn)及管控措施 四、信息化建設(shè)對(duì)反舞弊的作用 五、問題與討論,主要內(nèi)容,第一部分 走進(jìn)內(nèi)部控制 -基本概念闡述,經(jīng)營(yíng)回報(bào)與風(fēng)險(xiǎn),經(jīng)營(yíng)回報(bào),公司管理層,什么是風(fēng)險(xiǎn)？,風(fēng)險(xiǎn)是某一事件或行為對(duì)企業(yè)經(jīng)濟(jì)利益可能的威脅 商業(yè)風(fēng)險(xiǎn)和管理風(fēng)險(xiǎn),管理風(fēng)險(xiǎn),管理風(fēng)險(xiǎn)習(xí)慣上分為以下五類：,財(cái)務(wù)和經(jīng)營(yíng)信息不足 政策、計(jì)劃、程序、法律和標(biāo)準(zhǔn)貫徹失敗 資產(chǎn)流失 資源浪費(fèi)和無效使用 不能達(dá)到企業(yè)的目的和目標(biāo),風(fēng)險(xiǎn)如何最小化？,內(nèi)部控制如何降低風(fēng)險(xiǎn)？,暴露的金額,發(fā)生的 可能性,風(fēng)險(xiǎn)的大小,內(nèi)部控制

2、的重要性,有效的 內(nèi)部控制,風(fēng)險(xiǎn)與經(jīng)營(yíng)回報(bào)的良好平衡,第二部分 信息化建設(shè)對(duì)內(nèi)部控制的作用,擔(dān)保企業(yè)應(yīng)當(dāng)重視信息系統(tǒng)在內(nèi)部控制中的作用，根據(jù)內(nèi)部控制要求，結(jié)合組織架構(gòu)、業(yè)務(wù)范圍、地域分布、技術(shù)能力等因素，制定信息系統(tǒng)建設(shè)整體規(guī)劃，加大投入力度，有序組織信息系統(tǒng)開發(fā)、運(yùn)行與維護(hù)，優(yōu)化管理流程，防范經(jīng)營(yíng)風(fēng)險(xiǎn)，全面提升企業(yè)現(xiàn)代化管理水平。 二、企業(yè)應(yīng)當(dāng)指定專門機(jī)構(gòu)對(duì)信息系統(tǒng)建設(shè)實(shí)施歸口管理，明確相關(guān)單位的職責(zé)權(quán)限，建立有效工作機(jī)制。企業(yè)可委托專業(yè)機(jī)構(gòu)從事信息系統(tǒng)的開發(fā)、運(yùn)行和維護(hù)工作。企業(yè)負(fù)責(zé)人對(duì)信息系統(tǒng)建設(shè)工作負(fù)責(zé)。,一、加強(qiáng)信息傳遞的重要意義,1、內(nèi)部信息傳遞是提高擔(dān)保企業(yè)管理能力的重要抓手 在

3、第一時(shí)間收集、掌握重要信息，是擔(dān)保企業(yè)管理層尤其是高管團(tuán)隊(duì)管理水平的重要標(biāo)志。管理層要指揮、駕馭擔(dān)保企業(yè)實(shí)現(xiàn)發(fā)展戰(zhàn)略和經(jīng)營(yíng)目標(biāo)，必須擁有和掌握豐富的信息資源。,一、加強(qiáng)信息傳遞的重要意義,2、內(nèi)部信息傳遞是提升企業(yè)市場(chǎng)競(jìng)爭(zhēng)力的重要支撐。 現(xiàn)代市場(chǎng)競(jìng)爭(zhēng)異常激烈，外部環(huán)境瞬息萬變。企業(yè)作為市場(chǎng)經(jīng)濟(jì)的主體和細(xì)胞，只有全面、充分地用好用足信息傳遞，才能應(yīng)對(duì)國內(nèi)國際激烈的市場(chǎng)競(jìng)爭(zhēng)，才能應(yīng)對(duì)后金融危機(jī)時(shí)期的各種風(fēng)險(xiǎn)和挑戰(zhàn)。,一、加強(qiáng)信息傳遞的重要意義,3、內(nèi)部信息傳遞是有效實(shí)施內(nèi)部控制的重要保證 信息與溝通是建立與實(shí)施內(nèi)部控制的重要條件。內(nèi)部信息傳遞作為信息與溝通的重要方式，在建立與實(shí)施內(nèi)部控制中具有不可

4、或缺的重要作用。 如果沒有科學(xué)、快速、上傳下達(dá)的信息傳遞機(jī)制，內(nèi)部控制就難以有效實(shí)施，內(nèi)部控制的缺陷也得不到反映和揭示，內(nèi)部控制的重大風(fēng)險(xiǎn)也無法及時(shí)防范和管控。,內(nèi)部信息傳遞的總體要求,一、真實(shí)準(zhǔn)確性 二、及時(shí)有效性 三、遵守保密原則,內(nèi)部信息傳遞流程,擔(dān)保企業(yè)的內(nèi)部控制活動(dòng)離不開信息的溝通和傳遞。擔(dān)保企業(yè)在經(jīng)營(yíng)管理過程中，需要不斷按某種形式辯識(shí)、取得確切的信息，并進(jìn)行傳遞和溝通，以使各部門人員能夠履行各自的職責(zé)。 根據(jù)傳播介質(zhì)的不同，可分為口頭傳遞、書面?zhèn)鬟f和電子傳遞等。根據(jù)內(nèi)部各部門獲取渠道的不同，可將內(nèi)部信息傳遞方式分為自上而下、自下而上和平行傳遞三種方式。,信息化內(nèi)部控制建設(shè)遵循的原則

5、,全面性原則。 審慎性原則。 及時(shí)性原則。 獨(dú)立性原則。 適度性原則。,內(nèi)控制度的建設(shè),職責(zé)分離、權(quán)責(zé)制衡的業(yè)務(wù)流程控制,一項(xiàng)任務(wù)不能由某一個(gè)人從頭到尾地完成，各個(gè)環(huán)節(jié)相對(duì)獨(dú)立，有利于內(nèi)部控制制度的實(shí)施。 例如： 項(xiàng)目保前調(diào)查和項(xiàng)目評(píng)審相分離； 法律文件的審查，重要物權(quán)憑證保管，由獨(dú)立于業(yè)務(wù)部門的其它部門負(fù)責(zé)。 設(shè)定“項(xiàng)目受理保前調(diào)查反擔(dān)保物價(jià)值評(píng)估項(xiàng)目評(píng)審法律文件的制作與審核簽約辦理反擔(dān)保法律手續(xù)放款保后檢查項(xiàng)目還款債務(wù)追償項(xiàng)目終止注銷抵/質(zhì)押物登記”等主要業(yè)務(wù)流程,基于內(nèi)部控制的擔(dān)保企業(yè)業(yè)務(wù)系統(tǒng)的全面風(fēng)險(xiǎn)管控,擔(dān)保企業(yè)信息化建設(shè)是“一把手”工程,企業(yè)應(yīng)當(dāng)指定專門機(jī)構(gòu)對(duì)信息系統(tǒng)建設(shè)實(shí)施歸口管

6、理，明確相關(guān)單位的職責(zé)權(quán)限，建立有效工作機(jī)制。企業(yè)可委托專業(yè)機(jī)構(gòu)從事信息系統(tǒng)的開發(fā)、運(yùn)行和維護(hù)工作。 企業(yè)負(fù)責(zé)人對(duì)信息系統(tǒng)建設(shè)工作負(fù)責(zé)。,擔(dān)保企業(yè)信息系統(tǒng)開發(fā)實(shí)施步驟,1、擔(dān)保企業(yè)信息系統(tǒng)歸口管理部門應(yīng)當(dāng)組織內(nèi)部各單位提出開發(fā)需求和關(guān)鍵控制點(diǎn)，規(guī)范開發(fā)流程，明確系統(tǒng)設(shè)計(jì)、編程、安裝調(diào)試、驗(yàn)收、上線等全過程的管理要求，嚴(yán)格按照建設(shè)方案、開發(fā)流程和相關(guān)要求組織開發(fā)工作。 2、擔(dān)保企業(yè)在系統(tǒng)開發(fā)過程中，應(yīng)當(dāng)按照不同業(yè)務(wù)的控制要求，通過信息系統(tǒng)中的權(quán)限管理功能控制用戶的操作權(quán)限，避免將不相容職責(zé)的處理權(quán)限授予同一用戶。,擔(dān)保企業(yè)信息系統(tǒng)開發(fā)實(shí)施步驟,3、擔(dān)保企業(yè)應(yīng)當(dāng)針對(duì)不同數(shù)據(jù)的輸入方式，考慮對(duì)進(jìn)入系

7、統(tǒng)數(shù)據(jù)的檢查和校驗(yàn)功能。對(duì)于必需的后臺(tái)操作，應(yīng)當(dāng)加強(qiáng)管理，建立規(guī)范的流程制度，對(duì)操作情況進(jìn)行監(jiān)控或者審計(jì)。 4、擔(dān)保企業(yè)應(yīng)當(dāng)在信息系統(tǒng)中設(shè)置操作日志功能，確保操作的可審計(jì)性。對(duì)異常的或者違背內(nèi)部控制要求的交易和數(shù)據(jù)，應(yīng)當(dāng)設(shè)計(jì)由系統(tǒng)自動(dòng)報(bào)告并設(shè)置跟蹤處理機(jī)制。,擔(dān)保企業(yè)信息系統(tǒng)開發(fā)實(shí)施步驟,企業(yè)信息系統(tǒng)歸口管理部門應(yīng)當(dāng)加強(qiáng)信息系統(tǒng)開發(fā)全過程的跟蹤管理，組織開發(fā)單位與內(nèi)部各單位的日常溝通和協(xié)調(diào)，督促開發(fā)單位按照建設(shè)方案、計(jì)劃進(jìn)度和質(zhì)量要求完成編程工作，對(duì)配備的硬件設(shè)備和系統(tǒng)軟件進(jìn)行檢查驗(yàn)收，組織系統(tǒng)上線運(yùn)行等。 企業(yè)應(yīng)當(dāng)組織獨(dú)立于開發(fā)單位的專業(yè)機(jī)構(gòu)對(duì)開發(fā)完成的信息系統(tǒng)進(jìn)行驗(yàn)收測(cè)試，確保在功能、性能

8、、控制要求和安全性等方面符合開發(fā)需求。,案例1,某法院接到訴狀，貸款人王某狀告A銀行因多計(jì)利息天數(shù)損害了自己的利益。王某提出，貸款合同中約定采取等額本息還款方式，首月和末月的利息按實(shí)際貸款天數(shù)計(jì)算，其余各月按整月計(jì)算。但銀行多算了首月的貸款天數(shù)，在首期扣款時(shí)多計(jì)利息，導(dǎo)致后期的貸款本金額被多計(jì)，增加了貸款人的利息支出。王某貸款10萬，利息起算日為2009年1月28日，首次還款日2009年2月16日，根據(jù)人民銀行的利息規(guī)則，全年按360天計(jì)算，每月按30天算。從1月28日到2月16日一共18天。按合同，首月利息按18天算。但銀行實(shí)際按33天算，將整個(gè)2月份全部計(jì)算利息，多計(jì)利息15天。,分析,該

9、案例屬于典型程序處理錯(cuò)誤，由于利息計(jì)算程序的計(jì)息規(guī)則和合同不一致，導(dǎo)致程序在計(jì)算貸款的首期利息時(shí)多計(jì)算了計(jì)息天數(shù)，引起糾紛。所以銀行應(yīng)該進(jìn)行程序算法的復(fù)核，確保程序設(shè)置與貸款合同以及國家的相關(guān)規(guī)定一致。,擔(dān)保企業(yè)信息系統(tǒng)開發(fā)實(shí)施步驟,擔(dān)保企業(yè)應(yīng)當(dāng)切實(shí)做好信息系統(tǒng)上線的各項(xiàng)準(zhǔn)備工作，培訓(xùn)業(yè)務(wù)操作和系統(tǒng)管理人員，制定科學(xué)的上線計(jì)劃和新舊系統(tǒng)轉(zhuǎn)換方案，考慮應(yīng)急預(yù)案，確保新舊系統(tǒng)順利切換和平穩(wěn)銜接。系統(tǒng)上線涉及數(shù)據(jù)遷移的，還應(yīng)制定詳細(xì)的數(shù)據(jù)遷移計(jì)劃。,擔(dān)保企業(yè)信息系統(tǒng)日常管理,擔(dān)保企業(yè)應(yīng)當(dāng)建立用戶管理制度，加強(qiáng)對(duì)重要業(yè)務(wù)系統(tǒng)的訪問權(quán)限管理，定期審閱系統(tǒng)賬號(hào)，避免授權(quán)不當(dāng)或存在非授權(quán)賬號(hào)，禁止不相容職務(wù)

10、用戶賬號(hào)的交叉操作。,案例2,A會(huì)計(jì)師事務(wù)所對(duì)B公司進(jìn)行信息系統(tǒng)審計(jì)時(shí)，發(fā)現(xiàn)B公司綜合業(yè)務(wù)系統(tǒng)的56個(gè)帳號(hào)中，有4個(gè)系統(tǒng)管理員帳號(hào)，其中3個(gè)系統(tǒng)管理員帳號(hào)均為軟件開發(fā)商的系統(tǒng)維護(hù)人員。該系統(tǒng)管理員用戶擁有登陸業(yè)務(wù)管理，統(tǒng)計(jì)報(bào)表等權(quán)限，并且可以操作后臺(tái)程序。因此，如果軟件開發(fā)商的系統(tǒng)維護(hù)人員通過后臺(tái)舞弊，B公司將承受重大損失。,擔(dān)保企業(yè)信息系統(tǒng)日常管理,企業(yè)應(yīng)當(dāng)綜合利用防火墻、路由器等網(wǎng)絡(luò)設(shè)備，漏洞掃描、入侵檢測(cè)等軟件技術(shù)以及遠(yuǎn)程訪問安全策略等手段，加強(qiáng)網(wǎng)絡(luò)安全，防范來自網(wǎng)絡(luò)的攻擊和非法侵入。 企業(yè)對(duì)于通過網(wǎng)絡(luò)傳輸?shù)纳婷芑蜿P(guān)鍵數(shù)據(jù)，應(yīng)當(dāng)采取加密措施，確保信息傳遞的保密性、準(zhǔn)確性和完整性。,案例3

11、,據(jù)香港文匯報(bào)報(bào)道，位于英國和美國加州的計(jì)算機(jī)保安公司M86 Security發(fā)現(xiàn)，英國一家銀行約3000個(gè)客戶計(jì)算機(jī)受“Zeus v3”(宙斯3代)入侵，自7月5日起共被黑客盜去67.5萬英鎊。 “宙斯3代”利用微軟網(wǎng)絡(luò)瀏覽器Internet Explorer和文件閱讀器Adobe Reader等軟件的保安漏洞，感染個(gè)人計(jì)算機(jī)。,分析,該銀行的客戶機(jī)應(yīng)該經(jīng)常更新系統(tǒng)補(bǔ)丁程序，加強(qiáng)客戶機(jī)操作的審計(jì)。,擔(dān)保企業(yè)信息系統(tǒng)日常管理,擔(dān)保企業(yè)應(yīng)當(dāng)建立系統(tǒng)數(shù)據(jù)定期備份制度，明確備份范圍、頻度、方法、責(zé)任人、存放地點(diǎn)、有效性檢查等內(nèi)容。 擔(dān)保企業(yè)應(yīng)當(dāng)加強(qiáng)服務(wù)器等關(guān)鍵信息設(shè)備的管理，建立良好的物理環(huán)境，指定

12、專人負(fù)責(zé)檢查，及時(shí)處理異常情況。未經(jīng)授權(quán)，任何人不得接觸關(guān)鍵信息設(shè)備。,案例4,去年底一度讓人心慌慌的CSDN泄密事件風(fēng)波還未完全平復(fù)，近來一份疑似90萬1號(hào)店注冊(cè)用戶信息被盜賣又揪起了網(wǎng)民的心。 雖然1號(hào)店官方并未對(duì)此作出回應(yīng)，這份網(wǎng)上叫賣的90萬1號(hào)店注冊(cè)用戶信息真?zhèn)芜€有待證實(shí)，但幾乎是在同一時(shí)間，眾多1號(hào)店用戶的賬戶發(fā)生了種種離奇的盜刷現(xiàn)象，這難免進(jìn)一步加劇網(wǎng)民對(duì)這份包括地址、手機(jī)號(hào)碼等詳細(xì)個(gè)人信息的名單真實(shí)性的擔(dān)憂。 其實(shí)，除了1號(hào)店外，不少電商網(wǎng)站也被“泄密”陰影所籠罩。早在今年的3月，當(dāng)當(dāng)網(wǎng)多名用戶就遭遇“盜刷”現(xiàn)象，一些用戶的賬戶余額被洗劫一空。,分析,該案例應(yīng)該是內(nèi)部信息被內(nèi)部

13、人士倒賣的例子，嚴(yán)重影響了企業(yè)的形象。還會(huì)帶來相關(guān)的訴訟。所以加強(qiáng)內(nèi)部接觸敏感信息崗位的控制非常有必要。技術(shù)上也可以增加文檔防拷貝和修改的功能。,擔(dān)保企業(yè)信息系統(tǒng)的運(yùn)行與維護(hù),信息系統(tǒng)的運(yùn)行與維護(hù)主要包含三個(gè)方面的內(nèi)容：日常運(yùn)行維護(hù)、系統(tǒng)變更和安全管理 一、日常運(yùn)行維護(hù)的目標(biāo)是保證系統(tǒng)正常運(yùn)轉(zhuǎn)，主要工作包含系統(tǒng)的日常操作、系統(tǒng)的日常巡檢和維護(hù)、系統(tǒng)運(yùn)行狀態(tài)的監(jiān)控、異常事件的報(bào)告和處理。,擔(dān)保企業(yè)信息系統(tǒng)的運(yùn)行與維護(hù),系統(tǒng)變更的關(guān)鍵控制點(diǎn)和主要管控措施 系統(tǒng)變更主要包含硬件的升級(jí)擴(kuò)容、軟件的修改和升級(jí)等。系統(tǒng)變更是為了更好地滿足企業(yè)需求，但同時(shí)應(yīng)該加強(qiáng)對(duì)變更的申請(qǐng)、變更成本與進(jìn)度的控制。 該環(huán)節(jié)

14、主要風(fēng)險(xiǎn)是：1、企業(yè)沒有建立嚴(yán)格的變更申請(qǐng)、審批、執(zhí)行、測(cè)試流程，導(dǎo)致隨意變更。2、系統(tǒng)變更后沒有效果評(píng)估。 該環(huán)節(jié)主要措施是：1、企業(yè)應(yīng)該建立標(biāo)準(zhǔn)流程來實(shí)施和記錄變更，保證變更得到了授權(quán)。 2、系統(tǒng)變更的程序應(yīng)該得到充分的測(cè)試。 3、企業(yè)應(yīng)該加強(qiáng)緊急變更的管理。 4、企業(yè)應(yīng)該加強(qiáng)對(duì)變更移植到生產(chǎn)環(huán)境中的控制管理。,案例4,A通訊公司某員工利用工作便利進(jìn)入充值卡數(shù)據(jù)庫，對(duì)7000張價(jià)值35萬元的作廢充值卡非法激活，并在市場(chǎng)上低價(jià)銷售。 分析：擁有信息系統(tǒng)的企業(yè)，一般都比較注重外部安全威脅，注意加強(qiáng)病毒、木馬及黑客的防護(hù)，往往忽視對(duì)內(nèi)部員工的防范。因此，企業(yè)應(yīng)當(dāng)完善信息系統(tǒng)的管理措施，避免將不相

15、容的操作權(quán)限授予同一員工。,第三部分 信息化建設(shè)對(duì)內(nèi)部控制的主要風(fēng)險(xiǎn)及管控措施,1、信息系統(tǒng)缺乏或規(guī)劃不合理，可能造成信息孤島或重復(fù)建設(shè)，導(dǎo)致企業(yè)經(jīng)營(yíng)管理效率低下。 2、系統(tǒng)開發(fā)不符合內(nèi)部控制要求，授權(quán)管理不當(dāng)，可能導(dǎo)致無法利用信息技術(shù)實(shí)施有效控制。 3、系統(tǒng)運(yùn)行維護(hù)和安全措施不到位，可能導(dǎo)致信息泄漏或毀損，系統(tǒng)無法正常運(yùn)行。建議公司出臺(tái)信息系統(tǒng)安全管理制度，杜絕可能的風(fēng)險(xiǎn)，具體可以參考信息系統(tǒng)安全管理制度內(nèi)部控制-信息系統(tǒng)安全管理制度.doc,案例5,2004年5月，某大型企業(yè)研發(fā)中心發(fā)現(xiàn)某國外競(jìng)爭(zhēng)對(duì)手領(lǐng)先一步完成了產(chǎn)品的設(shè)計(jì)開發(fā)，該研發(fā)中心領(lǐng)導(dǎo)一下就懵了。產(chǎn)品的設(shè)計(jì)開發(fā)可是該企業(yè)的重大研發(fā)

16、項(xiàng)目，該企業(yè)想依托A產(chǎn)品完成產(chǎn)品線的轉(zhuǎn)換，大筆資金投入到該項(xiàng)目，眾多研發(fā)人員也付出了艱辛的勞動(dòng)。企業(yè)在項(xiàng)目立項(xiàng)及開發(fā)過程中，還從未聽說有哪家單位也在進(jìn)行A產(chǎn)品的開發(fā)，為什么競(jìng)爭(zhēng)對(duì)手開發(fā)速度如此之快？,案例5,情況匯報(bào)給企業(yè)老總后，老總的第一反應(yīng)就是內(nèi)部人員泄密，隨即下令該項(xiàng)目所有人員停止開發(fā)，迅速離開工作崗位，并向公安部門報(bào)案。公安部門技術(shù)人員到達(dá)現(xiàn)場(chǎng)后，發(fā)現(xiàn)該研發(fā)中心保密工作存在重大疏漏：設(shè)計(jì)人員電腦與普通工作人員電腦連在同一個(gè)局域網(wǎng)內(nèi)、計(jì)算機(jī)端口允許人員將資料隨意拷出、設(shè)計(jì)人員將某些機(jī)密文件設(shè)成共享、打印資料隨意帶出、所有電腦都可以上互聯(lián)網(wǎng)經(jīng)過檢查，公安部門初步判定為內(nèi)部人員泄密，但是要查

17、出是誰將資料泄密，難度太大。最終該案不了了之，企業(yè)也只能對(duì)研發(fā)中心領(lǐng)導(dǎo)進(jìn)行降職處罰，該企業(yè)付出的1000余萬元研發(fā)費(fèi)用、眾多研發(fā)人員的辛勤勞動(dòng)全部付諸東流。,分析,某大型企業(yè)研發(fā)中心，因?yàn)閮?nèi)部人員泄密，付出了1000余萬元研發(fā)費(fèi)用、眾多研發(fā)人員辛勤勞動(dòng)全部付諸東流的慘痛代價(jià)。讓我們看看公安部門技術(shù)人員到達(dá)現(xiàn)場(chǎng)后發(fā)現(xiàn)的問題：設(shè)計(jì)人員電腦與普通工作人員電腦連在同一個(gè)局域網(wǎng)內(nèi)、所有電腦都可以上互聯(lián)網(wǎng)、機(jī)密文件設(shè)成共享、打印資料隨意帶出、計(jì)算機(jī)端口允許人員將資料隨意拷出以上的種種現(xiàn)象，充分的表現(xiàn)出了該企業(yè)的信息防護(hù)體系是多么的脆弱與混亂 。 所以信息系統(tǒng)安全管理制度很重要，執(zhí)行更重要。,信息化建設(shè)對(duì)內(nèi)

18、部控制的主要風(fēng)險(xiǎn)及管控措施,4、內(nèi)部報(bào)告系統(tǒng)缺失、功能不健全、內(nèi)容不完整，可能影響生產(chǎn)經(jīng)營(yíng)有序運(yùn)行。 5、內(nèi)部信息傳遞不通暢、甚至失真，可能導(dǎo)致決策失誤、相關(guān)政策措施難以落實(shí)。 6、內(nèi)部信息傳遞中泄露商業(yè)秘密，可能削弱企業(yè)核心競(jìng)爭(zhēng)力。,案例6,在1910年，某部隊(duì)一次命令傳遞的過程是這樣的： 少校對(duì)值班軍官：明晚8點(diǎn)鐘左右，哈雷彗星將可能在這個(gè)地區(qū)看到，這種彗星每隔76年才能看見一次。命令所有士兵著野戰(zhàn)服在操場(chǎng)上集合，我將向他們解釋這一罕見的現(xiàn)象。如果下雨的話，就在禮堂集合，我為他們放一部有關(guān)彗星的影片。 值班軍官對(duì)上尉：根據(jù)少校的命令，明晚8點(diǎn)，76年出現(xiàn)一次的哈雷彗星將在操場(chǎng)上空出現(xiàn)。如果

19、下雨的話，就讓士兵穿著野戰(zhàn)服列隊(duì)前往禮堂，這一罕見的現(xiàn)象將在那里出現(xiàn)。,案例,上尉對(duì)中尉：根據(jù)少校的命令，明晚8點(diǎn)，非凡的哈雷彗星將身穿野戰(zhàn)服在禮堂中出現(xiàn)。如果操場(chǎng)上下雨，少將將下達(dá)另一個(gè)命令，這種命令每隔76年才會(huì)出現(xiàn)一次。 中尉對(duì)上士：明晚8點(diǎn)，少校將帶著哈雷彗星在禮堂中出現(xiàn)，這是每隔76年才有的事。如果下雨的話，少校將命令彗星穿上野戰(zhàn)服到操場(chǎng)上去。 上士對(duì)士兵：在明晚8點(diǎn)下雨的時(shí)候，著名的76歲的哈雷將軍將在少校的陪同下，身著野戰(zhàn)服，開著他那彗星牌汽車，經(jīng)過操場(chǎng)前往禮堂。,分析,這個(gè)故事傳遞我們一個(gè)信息就是：信息在傳遞過程中會(huì)存在失真的問題。 如何避免這樣的情況發(fā)生呢？信息系統(tǒng)在設(shè)計(jì)時(shí)要

20、求錄入完整的信息，流程上增加信息復(fù)核的崗位。,信息化建設(shè)對(duì)內(nèi)部控制的主要風(fēng)險(xiǎn)及管控措施,1、擔(dān)保企業(yè)應(yīng)當(dāng)根據(jù)發(fā)展戰(zhàn)略、風(fēng)險(xiǎn)控制和業(yè)績(jī)考核要求，科學(xué)規(guī)范不同級(jí)次內(nèi)部報(bào)告的指標(biāo)體系，采用經(jīng)營(yíng)快報(bào)等多種形式，全面反映與企業(yè)生產(chǎn)經(jīng)營(yíng)管理相關(guān)的各種內(nèi)外部信息。 2、擔(dān)保企業(yè)應(yīng)當(dāng)制定嚴(yán)密的內(nèi)部報(bào)告流程，充分利用信息技術(shù)，強(qiáng)化內(nèi)部報(bào)告信息集成和共享，將內(nèi)部報(bào)告納入企業(yè)統(tǒng)一信息平臺(tái)，構(gòu)建科學(xué)的內(nèi)部報(bào)告網(wǎng)絡(luò)體系。,信息化建設(shè)對(duì)內(nèi)部控制的主要風(fēng)險(xiǎn)及管控措施,3、擔(dān)保企業(yè)內(nèi)部各管理層級(jí)均應(yīng)當(dāng)指定專人負(fù)責(zé)內(nèi)部報(bào)告工作，重要信息應(yīng)及時(shí)上報(bào)，并可以直接報(bào)告高級(jí)管理人員。 4、擔(dān)保企業(yè)應(yīng)當(dāng)建立內(nèi)部報(bào)告審核制度，確保內(nèi)部報(bào)告

21、信息質(zhì)量。,信息化建設(shè)對(duì)內(nèi)部控制的主要風(fēng)險(xiǎn)及管控措施,5、擔(dān)保企業(yè)應(yīng)當(dāng)關(guān)注市場(chǎng)環(huán)境、政策變化等外部信息對(duì)企業(yè)生產(chǎn)經(jīng)營(yíng)管理的影響，廣泛收集、分析、整理外部信息，并通過內(nèi)部報(bào)告?zhèn)鬟f到企業(yè)內(nèi)部相關(guān)管理層級(jí)，以便采取應(yīng)對(duì)策略。,信息化建設(shè)對(duì)內(nèi)部控制的主要風(fēng)險(xiǎn)及管控措施,6、擔(dān)保企業(yè)應(yīng)當(dāng)拓寬內(nèi)部報(bào)告渠道，通過落實(shí)獎(jiǎng)勵(lì)措施等多種有效方式，廣泛收集合理化建議。 7、擔(dān)保企業(yè)應(yīng)當(dāng)重視和加強(qiáng)反舞弊機(jī)制建設(shè),通過設(shè)立員工信箱、投訴熱線等方式，鼓勵(lì)員工及企業(yè)利益相關(guān)方舉報(bào)和投訴企業(yè)內(nèi)部的違法違規(guī)、舞弊和其他有損企業(yè)形象的行為。,擔(dān)保企業(yè)要做信息化規(guī)劃,擔(dān)保企業(yè)有條件的應(yīng)該成立獨(dú)立的信息化部門，制定本公司的信息化規(guī)劃

22、，避免信息化建設(shè)盲目無序。沒有條件的也可以把這個(gè)工作外包給專業(yè)公司。 擔(dān)保企業(yè)要自己梳理自己的管理流程和業(yè)務(wù)流程，信息化就是管理優(yōu)化的一個(gè)過程，并不是辦公的無紙化。 擔(dān)保企業(yè)一定要加強(qiáng)信息安全的建設(shè)，要有專業(yè)的人才隊(duì)伍。,擔(dān)保公司信息化規(guī)劃的例子,詳細(xì)見文檔IT發(fā)展與戰(zhàn)略20091220.ppt,第四部分 信息化建設(shè)對(duì)反舞弊的作用,舞弊是指以故意的行為獲得不公平的或者非法的收益，主要存在 以下領(lǐng)域：虛假財(cái)務(wù)報(bào)告、資產(chǎn)的不適當(dāng)處置、不恰當(dāng)?shù)氖杖牒椭С?、故意的不?dāng)關(guān)聯(lián)方交易、稅務(wù)欺詐、貪污以及收受賄賂和回扣等方面。,第四部分 信息化建設(shè)對(duì)反舞弊的作用,有效的反舞弊機(jī)制，是企業(yè)防范、發(fā)現(xiàn)和處理舞弊行

23、為、優(yōu)化內(nèi)部環(huán)境的重要制度安排。 有效的信息溝通是反舞弊程序和控制成功的關(guān)鍵。 擔(dān)保企業(yè)應(yīng)當(dāng)建立反舞弊機(jī)制，堅(jiān)持懲防并舉、重在預(yù)防的原則，明確反舞弊工作的重點(diǎn)領(lǐng)域、關(guān)鍵環(huán)節(jié)和有關(guān)機(jī)構(gòu)在反舞弊工作中的職責(zé)權(quán)限，規(guī)范舞弊案件的舉報(bào)、調(diào)查、處理、報(bào)告和補(bǔ)救程序。,反舞弊的主要風(fēng)險(xiǎn),忽視了對(duì)員工的道德準(zhǔn)則體系的培訓(xùn)，內(nèi)部審計(jì)監(jiān)察不嚴(yán)，內(nèi)部人員未經(jīng)授權(quán)或者采取其他不法方式侵占、挪用企業(yè)資產(chǎn)，在財(cái)務(wù)會(huì)計(jì)報(bào)告和信息披露等方面存在的虛假記錄、誤導(dǎo)性陳述或者重大遺漏等，董事、監(jiān)事、經(jīng)理及其他高管人員濫用職權(quán)，相關(guān)機(jī)構(gòu)或人員串通舞弊，企業(yè)對(duì)舉報(bào)人的保護(hù)力度小，信訪事務(wù)處理不及時(shí)，缺乏相應(yīng)的舞弊風(fēng)險(xiǎn)評(píng)估機(jī)制。,反舞

24、弊的主要措施,第一，企業(yè)應(yīng)當(dāng)重視和加強(qiáng)反舞弊機(jī)制建設(shè)，對(duì)員工進(jìn)行道德準(zhǔn)則培訓(xùn)，通過設(shè)立員工信箱、投訴熱線等方式，鼓勵(lì)員工及企業(yè)利益相關(guān)方舉報(bào)和投訴企業(yè)內(nèi)部的違法違規(guī)、舞弊和其他有損企業(yè)形象的行為。 第二，企業(yè)應(yīng)通過審計(jì)委員會(huì)對(duì)信訪、內(nèi)部審計(jì)、監(jiān)察、接受舉報(bào)過程中收集的信息進(jìn)行復(fù)查，監(jiān)督管理層對(duì)財(cái)務(wù)報(bào)告施加不當(dāng)影響的行為、管理層進(jìn)行的重大不尋常交易、以及企業(yè)各管理層級(jí)的批準(zhǔn)、授權(quán)、認(rèn)證等，防止企業(yè)資產(chǎn)侵占、資金挪用、虛假財(cái)務(wù)報(bào)告、濫用職權(quán)等現(xiàn)象的發(fā)生。,反舞弊的主要措施,第三、擔(dān)保企業(yè)應(yīng)當(dāng)建立反舞弊情況通報(bào)制度。企業(yè)應(yīng)定期召開反舞弊情況通報(bào)會(huì)，由審計(jì)部門通報(bào)反舞弊工作情況，分析反舞弊形勢(shì)，評(píng)價(jià)現(xiàn)

25、有的反舞弊控制措施和程序。 第四、擔(dān)保企業(yè)應(yīng)當(dāng)建立舉報(bào)人保護(hù)制度，設(shè)立舉報(bào)責(zé)任主體、舉報(bào)程序，明確舉報(bào)投訴處理程序，并做好投訴記錄的保存。切實(shí)落實(shí)舉報(bào)人保護(hù)制度是舉報(bào)投訴制度有效運(yùn)行的關(guān)鍵。,第四部分 信息化建設(shè)對(duì)反舞弊的作用,業(yè)務(wù)系統(tǒng)本身就是一個(gè)流程軟件，是按一定業(yè)務(wù)規(guī)則實(shí)現(xiàn)的信息化平臺(tái)，本身就有一定的反舞弊作用。 系統(tǒng)任何的操作都有日志，可以查到操作者和操作的時(shí)間。 系統(tǒng)的權(quán)限管理也是按內(nèi)控要求設(shè)置的，只要各盡其職，也可以杜絕舞弊行為。 系統(tǒng)提供匿名舉報(bào)的方式保護(hù)舉報(bào)人。,問題與討論,考試題,【多選題】 1、企業(yè)內(nèi)部信息傳遞至少應(yīng)當(dāng)關(guān)注下列風(fēng)險(xiǎn)( )。 A.內(nèi)部報(bào)告系統(tǒng)缺失、功能不健全、內(nèi)

26、容不完整，可能影響生產(chǎn)經(jīng)營(yíng)有序運(yùn)行 B.內(nèi)部信息傳遞不通暢、不及時(shí)，可能導(dǎo)致決策失誤、相關(guān)政策措施難以落實(shí) C.內(nèi)部信息傳遞中泄露商業(yè)秘密，可能削弱企業(yè)核心競(jìng)爭(zhēng)力 D.企業(yè)未能指定專門機(jī)構(gòu)對(duì)信息系統(tǒng)建設(shè)實(shí)施歸口管理，明確相關(guān)單位的職責(zé)權(quán)限，建立有效工作機(jī)制,【多選題】,【多選題】 2、管理風(fēng)險(xiǎn)有那些？( )。 A.財(cái)務(wù)和經(jīng)營(yíng)信息不足 B.政策、計(jì)劃、程序、法律和標(biāo)準(zhǔn)貫徹失敗 C.資產(chǎn)流失 D.資源浪費(fèi)和無效使用,【多選題】,3、風(fēng)險(xiǎn)如何最小化? A、加強(qiáng)系統(tǒng)的內(nèi)部控制 B、當(dāng)可能的風(fēng)險(xiǎn)較大時(shí)，尋求較大的回報(bào) C、對(duì)可能的損失再擔(dān)保 D、規(guī)避有風(fēng)險(xiǎn)的業(yè)務(wù),【多選題】,4、信息化內(nèi)部控制建設(shè)遵循的原則？ A、全面性原