企業(yè)內(nèi)部控制應(yīng)用指引第17號(hào)-內(nèi)部信息傳遞

1、.：.；第12頁 共12頁一、信息系統(tǒng)內(nèi)部控制概述 中所指信息系統(tǒng)，是指企業(yè)利用計(jì)算機(jī)和通訊技術(shù)，對(duì)內(nèi)部控制進(jìn)展集成、轉(zhuǎn)化和提升所構(gòu)成的信息化管理平臺(tái)。信息系統(tǒng)內(nèi)部控制的目的是促進(jìn)企業(yè)有效實(shí)施內(nèi)部控制，提高企業(yè)現(xiàn)代化管理程度，減少人為支配要素；同時(shí)，加強(qiáng)信息系統(tǒng)的平安性、可靠性和合理性以及相關(guān)信息的嚴(yán)密性、完好性和可用性，為建立有效的信息與溝通機(jī)制提供支持保證。信息系統(tǒng)內(nèi)部控制的主要對(duì)象是信息系統(tǒng)，由計(jì)算機(jī)硬件、軟件、人員、信息流和運(yùn)轉(zhuǎn)規(guī)程等要素組成。 企業(yè)信息系統(tǒng)內(nèi)部控制以及利用信息系統(tǒng)實(shí)施內(nèi)部控制至少該當(dāng)關(guān)注以下方面：1、信息系統(tǒng)缺乏或規(guī)劃不合理，能夠呵斥信息孤島或反復(fù)建立，導(dǎo)致企業(yè)運(yùn)營管

2、理效率低下；2、系統(tǒng)開發(fā)不符合內(nèi)部控制要求，授權(quán)管理不當(dāng)，能夠?qū)е聼o法利用信息技術(shù)實(shí)施有效控制；3、系統(tǒng)運(yùn)轉(zhuǎn)維護(hù)和平安措施不到位，能夠?qū)е滦畔⒆呗┗驓p，系統(tǒng)無法正常運(yùn)轉(zhuǎn)。 二、信息系統(tǒng)的開發(fā) 企業(yè)根據(jù)開展戰(zhàn)略和業(yè)務(wù)需求進(jìn)展信息系統(tǒng)建立，首先要確立系統(tǒng)建立目的，根據(jù)目的進(jìn)展系統(tǒng)建立戰(zhàn)略規(guī)劃，再將規(guī)劃細(xì)化為工程建立方案。企業(yè)開展信息系統(tǒng)建立，可以根據(jù)實(shí)踐情況，選擇自行開發(fā)、外購調(diào)試或業(yè)務(wù)外包等方式。選擇外購調(diào)試或業(yè)務(wù)外包方式的，該當(dāng)采用公開招標(biāo)等方式擇優(yōu)選擇供應(yīng)商或開發(fā)單位。選擇自行開發(fā)信息系統(tǒng)的，信息系統(tǒng)歸口管理部門該當(dāng)組織企業(yè)內(nèi)部相關(guān)業(yè)務(wù)部門進(jìn)展需求分析，合理配置人員，明確系統(tǒng)設(shè)計(jì)、編程、安

3、裝調(diào)試、驗(yàn)收、上線等全過程的管理要求。企業(yè)信息系統(tǒng)歸口管理部門該當(dāng)加強(qiáng)信息系統(tǒng)開發(fā)全過程的跟蹤管理，增進(jìn)開發(fā)單位與企業(yè)內(nèi)部業(yè)務(wù)部門的日常溝通和協(xié)調(diào)，組織獨(dú)立于開發(fā)單位的專業(yè)機(jī)構(gòu)對(duì)開發(fā)完成的信息系統(tǒng)進(jìn)展檢查驗(yàn)收，并組織系統(tǒng)上線運(yùn)轉(zhuǎn)。一制定信息系統(tǒng)開發(fā)的戰(zhàn)略規(guī)劃信息系統(tǒng)開發(fā)的戰(zhàn)略規(guī)劃是信息化建立的起點(diǎn)。戰(zhàn)略規(guī)劃是以企業(yè)開展戰(zhàn)略為根據(jù)制定的企業(yè)信息化建立的全局性、長期性規(guī)劃。制定信息系統(tǒng)戰(zhàn)略規(guī)劃的主要風(fēng)險(xiǎn)是：缺乏戰(zhàn)略規(guī)劃或規(guī)劃不合理，能夠呵斥信息孤島或反復(fù)建立，導(dǎo)致企業(yè)運(yùn)營管理效率低下；沒有將信息化與企業(yè)業(yè)務(wù)需求結(jié)合，降低了信息系統(tǒng)的運(yùn)用價(jià)值。主要控制措施：第一，企業(yè)必需制定信息系統(tǒng)開發(fā)的戰(zhàn)略規(guī)劃和

4、中長期開展方案，并在每年制定運(yùn)營方案的同時(shí)制定年度信息系統(tǒng)建立方案，促進(jìn)運(yùn)營管理活動(dòng)與信息系統(tǒng)的協(xié)調(diào)一致。第二，企業(yè)在制定信息化戰(zhàn)略過程中，要充分調(diào)動(dòng)和發(fā)揚(yáng)信息系統(tǒng)歸口管理部門與業(yè)務(wù)部門的積極性，使各部門廣泛參與，充分溝通，提高戰(zhàn)略規(guī)劃的科學(xué)性、前瞻性和順應(yīng)性。第三，信息系統(tǒng)戰(zhàn)略規(guī)劃要與企業(yè)的組織架構(gòu)、業(yè)務(wù)范圍、地域分布、技術(shù)才干等相匹配，防止相互脫節(jié)。 二選擇適當(dāng)?shù)男畔⑾到y(tǒng)開發(fā)方式信息系統(tǒng)的開發(fā)建立是信息系統(tǒng)生命周期中技術(shù)難度最大的環(huán)節(jié)。在開發(fā)建立環(huán)節(jié)，要將企業(yè)的業(yè)務(wù)流程、內(nèi)控措施、權(quán)限配置、預(yù)警目的、核算方法等固化到信息系統(tǒng)中，因此開發(fā)建立的好壞直接影響信息系統(tǒng)的成敗。開發(fā)建立主要有自行開

5、發(fā)、外購調(diào)試、業(yè)務(wù)外包等方式；企業(yè)應(yīng)根據(jù)本身實(shí)踐情況合理選擇。 1自行開發(fā)是企業(yè)依托本身力量完成整個(gè)開發(fā)過程。其優(yōu)點(diǎn)是開發(fā)人員熟習(xí)企業(yè)情況，可以較好地滿足本企業(yè)的需求，尤其是具有特殊性的業(yè)務(wù)需求。經(jīng)過自行開發(fā)，還可以培育鍛煉本人的開發(fā)隊(duì)伍，便于后期的運(yùn)轉(zhuǎn)和維護(hù)。其缺陷是開發(fā)周期較長、技術(shù)程度和規(guī)范程度較難保證，勝利率相對(duì)較低。2外購調(diào)試的根本做法是企業(yè)購買成熟的商品化軟件，經(jīng)過參數(shù)配置和二次開發(fā)滿足企業(yè)需求。其優(yōu)點(diǎn)是開發(fā)建立周期短；勝利率較高；成熟的商品化軟件質(zhì)量穩(wěn)定，可靠性高；專業(yè)的軟件提供商實(shí)施閱歷豐富。其缺陷是難以滿足企業(yè)的特殊需求；系統(tǒng)的后期晉級(jí)進(jìn)度受制于商品化軟件供應(yīng)商產(chǎn)品更新?lián)Q代的

6、速度，企業(yè)自主權(quán)不強(qiáng)，較為被動(dòng)。 外購調(diào)試方式的適用條件通常是企業(yè)的特殊需求較少，市場(chǎng)上已有成熟的商品化軟件和系統(tǒng)實(shí)施方案。3業(yè)務(wù)外包信息系統(tǒng)的業(yè)務(wù)外包是指委托其他單位開發(fā)信息系統(tǒng)，根本做法是企業(yè)將信息系統(tǒng)開發(fā)工程外包出去，由專業(yè)公司或科研機(jī)構(gòu)擔(dān)任開發(fā)、安裝實(shí)施，由企業(yè)直接運(yùn)用。其優(yōu)點(diǎn)是企業(yè)可以充分利用專業(yè)公司的專業(yè)優(yōu)勢(shì)，量體裁衣，構(gòu)建全面、高效滿足企業(yè)需求的個(gè)性化系統(tǒng)；企業(yè)不用培育、維持龐大的開發(fā)隊(duì)伍，相應(yīng)節(jié)約了人力資源本錢。其缺陷是溝通本錢高，系統(tǒng)開發(fā)方難以深化了解企業(yè)需求，能夠?qū)е麻_發(fā)出的信息系統(tǒng)與企業(yè)的期望產(chǎn)生較大偏向；同時(shí)，由于外包信息系統(tǒng)與系統(tǒng)開發(fā)方的專業(yè)技藝、職業(yè)品德和敬業(yè)精神存

7、在親密關(guān)系，也要求企業(yè)必需加大對(duì)外包工程的監(jiān)視力度。業(yè)務(wù)外包方式的適用條件通常是市場(chǎng)上沒有可以滿足企業(yè)需求的成熟的商品化軟件和處理方案，企業(yè)本身技術(shù)力量薄弱或出于本錢效益原那么思索不情愿維持龐大的開發(fā)隊(duì)伍。 三自行開發(fā)方式的關(guān)鍵控制點(diǎn)和主要控制措施雖然信息系統(tǒng)的開發(fā)方式有自行開發(fā)、外購調(diào)試、業(yè)務(wù)外包等多種方式，但根本流程大體類似，通常包含工程方案、需求分析、系統(tǒng)設(shè)計(jì)、編程和測(cè)試、上線等環(huán)節(jié)。 1工程方案環(huán)節(jié)戰(zhàn)略規(guī)劃通常將完好的信息系統(tǒng)分成假設(shè)干子系統(tǒng)，并分階段建立不同的子系統(tǒng)。比如，制造企業(yè)可以將信息系統(tǒng)劃分為財(cái)務(wù)管理系統(tǒng)、人力資源管理系統(tǒng)、MRP系統(tǒng)銷售、采購、庫存、消費(fèi)、計(jì)算機(jī)輔助設(shè)計(jì)和制

8、造系統(tǒng)、客戶關(guān)系系統(tǒng)、電子商務(wù)系統(tǒng)等假設(shè)干子系統(tǒng)。工程就是指本階段需求建立的相對(duì)獨(dú)立的一個(gè)或多個(gè)子系統(tǒng)。 工程方案通常包括工程范圍闡明、工程進(jìn)度方案、工程質(zhì)量方案、工程資源方案、工程溝通方案、風(fēng)險(xiǎn)對(duì)策方案、工程采購方案、需求變卦控制、配置管理方案等內(nèi)容。工程方案環(huán)節(jié)的主要風(fēng)險(xiǎn)是：信息系統(tǒng)建立缺乏工程方案或者方案不當(dāng)，導(dǎo)致工程進(jìn)度滯后、費(fèi)用超支、質(zhì)量低下。 主要控制措施：第一，企業(yè)該當(dāng)根據(jù)信息系統(tǒng)建立整體規(guī)劃提出分階段工程的建立方案，明確建立目的、人員配備、職責(zé)分工、經(jīng)費(fèi)保證和進(jìn)度安排等相關(guān)內(nèi)容，按照規(guī)定的權(quán)限和程序?qū)徟髮?shí)施。第二，企業(yè)可以采用規(guī)范的工程管理軟件制定工程方案，并加以跟蹤。在關(guān)鍵

9、環(huán)節(jié)進(jìn)展階段性評(píng)審，以保證過程可控。第三，工程關(guān)鍵環(huán)節(jié)編制的文檔應(yīng)參照等相關(guān)國家規(guī)范和行業(yè)規(guī)范進(jìn)展，以提高工程方案編制程度。 2需求分析環(huán)節(jié)需求分析的目的是明確信息系統(tǒng)需求實(shí)現(xiàn)哪些功能。該項(xiàng)任務(wù)是系統(tǒng)分析人員和用戶單位的管理人員、業(yè)務(wù)人員在深化調(diào)查的根底上，詳細(xì)描畫業(yè)務(wù)活動(dòng)涉及的各項(xiàng)任務(wù)以及用戶的各種需求，建立未來目的系統(tǒng)的邏輯模型。這一環(huán)節(jié)的主要風(fēng)險(xiǎn)是：第一，需求本身不合理，對(duì)信息系統(tǒng)提出的功能、性能、平安性等方面的要求不符合業(yè)務(wù)處置和控制的需求。第二，技術(shù)上不可行、經(jīng)濟(jì)上本錢效益倒掛，或與國家有關(guān)法規(guī)制度存在沖突。第三，需求文檔表述不準(zhǔn)確、不完好，未能真實(shí)全面地表達(dá)企業(yè)需求，存在表述缺失、

10、表述不一致甚至表述錯(cuò)誤等問題。 主要控制措施：第一，信息系統(tǒng)歸口管理部門該當(dāng)組織企業(yè)內(nèi)部各有關(guān)部門提出開發(fā)需求，加強(qiáng)系統(tǒng)分析人員和有關(guān)部門的管理人員、業(yè)務(wù)人員的交流，經(jīng)綜合分析提煉后構(gòu)成合理的需求。第二，編制表述明晰、表達(dá)準(zhǔn)確的需求文檔。需求文檔是業(yè)務(wù)人員和技術(shù)人員共同了解信息系統(tǒng)的橋梁，必需準(zhǔn)確表述系統(tǒng)建立的目的、功能和要求。企業(yè)該當(dāng)采用規(guī)范建模言語，綜合運(yùn)用多種建模工具和表現(xiàn)手段，參照等相關(guān)規(guī)范，提高系統(tǒng)需求闡明書的編寫質(zhì)量。第三，企業(yè)該當(dāng)建立健全需求評(píng)審和需求變卦控制流程。根據(jù)需求文檔進(jìn)展設(shè)計(jì)含需求變卦設(shè)計(jì)前，該當(dāng)評(píng)審其可行性，由需求提出人和編制人簽字確認(rèn)，并經(jīng)業(yè)務(wù)部門與信息系統(tǒng)歸口管理

11、部門擔(dān)任人審批。 3系統(tǒng)設(shè)計(jì)環(huán)節(jié)系統(tǒng)設(shè)計(jì)是根據(jù)系統(tǒng)需求分析階段所確定的目的系統(tǒng)邏輯模型，設(shè)計(jì)出一個(gè)能在企業(yè)特定的計(jì)算機(jī)和網(wǎng)絡(luò)環(huán)境中實(shí)現(xiàn)的方案，即建立信息系統(tǒng)的物理模型。系統(tǒng)設(shè)計(jì)包括總體設(shè)計(jì)和詳細(xì)設(shè)計(jì)?？傮w設(shè)計(jì)的主要義務(wù)是：第一，設(shè)計(jì)系統(tǒng)的模塊構(gòu)造，合理劃分子系統(tǒng)邊境和接口。第二，選擇系統(tǒng)實(shí)現(xiàn)的技術(shù)道路，確定系統(tǒng)的技術(shù)架構(gòu)，明確系統(tǒng)重要組件的內(nèi)容和行為特征，以及組件之間、組件與環(huán)境之間的接口關(guān)系。第三，數(shù)據(jù)庫設(shè)計(jì)，包括主要的數(shù)據(jù)庫表構(gòu)造設(shè)計(jì)、存儲(chǔ)設(shè)計(jì)、數(shù)據(jù)權(quán)限和加密設(shè)計(jì)等。第四，設(shè)計(jì)系統(tǒng)的網(wǎng)絡(luò)拓?fù)錁?gòu)造、系統(tǒng)部署方式等。詳細(xì)設(shè)計(jì)的主要義務(wù)包括：程序闡明書編制、數(shù)據(jù)編碼規(guī)范設(shè)計(jì)、輸入輸出界面設(shè)計(jì)等內(nèi)

12、容。系統(tǒng)設(shè)計(jì)環(huán)節(jié)的主要風(fēng)險(xiǎn)是：第一，設(shè)計(jì)方案不能完全滿足用戶需求，不能實(shí)現(xiàn)需求文檔規(guī)定的目的。 第二，設(shè)計(jì)方案未能有效控制建立開發(fā)本錢，不能保證建立質(zhì)量和進(jìn)度。 第三，設(shè)計(jì)方案不全面，導(dǎo)致后續(xù)變卦頻繁。第四，設(shè)計(jì)方案沒有思索信息系統(tǒng)建成后對(duì)企業(yè)內(nèi)部控制的影響，導(dǎo)致系統(tǒng)運(yùn)轉(zhuǎn)后衍生新的風(fēng)險(xiǎn)。 主要控制措施：第一，系統(tǒng)設(shè)計(jì)擔(dān)任部門該當(dāng)就總體設(shè)計(jì)方案與業(yè)務(wù)部門進(jìn)展溝通和討論，闡明方案對(duì)用戶需求的覆蓋情況；存在備選方案的，該當(dāng)詳細(xì)闡明各方案在本錢、建立時(shí)間和用戶需求呼應(yīng)上的差別；信息系統(tǒng)歸口管理部門和業(yè)務(wù)部門該當(dāng)對(duì)選定的設(shè)計(jì)方案予以書面確認(rèn)。第二，企業(yè)應(yīng)參照等相關(guān)國家規(guī)范和行業(yè)規(guī)范，提高系統(tǒng)設(shè)計(jì)闡明書的

13、編寫質(zhì)量。 第三，企業(yè)應(yīng)建立設(shè)計(jì)評(píng)審制度和設(shè)計(jì)變卦控制流程。第四，在系統(tǒng)設(shè)計(jì)時(shí)該當(dāng)充分思索信息系統(tǒng)建成后的控制環(huán)境，將消費(fèi)運(yùn)營管理業(yè)務(wù)流程、關(guān)鍵控制點(diǎn)和處置規(guī)程嵌入系統(tǒng)程序，實(shí)現(xiàn)手工環(huán)境下難以實(shí)現(xiàn)的控制功能。第五，應(yīng)充分思索信息系統(tǒng)環(huán)境下的新的控制風(fēng)險(xiǎn)，比如，要經(jīng)過信息系統(tǒng)中的權(quán)限管理功能控制用戶的操作權(quán)限，防止將不相容職務(wù)的處置權(quán)限授予同一用戶。第六，該當(dāng)針對(duì)不同的數(shù)據(jù)輸入方式，強(qiáng)化對(duì)進(jìn)入系統(tǒng)數(shù)據(jù)的檢查和校驗(yàn)功能。比如，憑證的自動(dòng)平衡校正。第七，系統(tǒng)設(shè)計(jì)時(shí)該當(dāng)思索在信息系統(tǒng)中設(shè)置操作日志功能，確保操作的可審計(jì)性。對(duì)異常的或者違背內(nèi)部控制要求的買賣和數(shù)據(jù)，該當(dāng)設(shè)計(jì)系統(tǒng)自動(dòng)報(bào)告并跟蹤處置機(jī)制。第

14、八，預(yù)留必要的后臺(tái)操作通道，對(duì)于必需的后臺(tái)操作，該當(dāng)加強(qiáng)管理，建立規(guī)范的操作流程，確保足夠的日志記錄，保證對(duì)后臺(tái)操作的可監(jiān)控性。 4編程和測(cè)試環(huán)節(jié)編程階段是將詳細(xì)設(shè)計(jì)方案轉(zhuǎn)換成某種計(jì)算機(jī)編程言語的過程。編程階段完成之后，要進(jìn)展測(cè)試，測(cè)試主要有以下目的：一是發(fā)現(xiàn)軟件開發(fā)過程中的錯(cuò)誤，分析錯(cuò)誤的性質(zhì)，確定錯(cuò)誤的位置并予以糾正。二是經(jīng)過某些系統(tǒng)測(cè)試，了解系統(tǒng)的呼應(yīng)時(shí)間、事務(wù)處置吞吐量、載荷才干、失效恢復(fù)才干以及系統(tǒng)適用性等目的，以便對(duì)整個(gè)系統(tǒng)做出綜合評(píng)價(jià)。測(cè)試環(huán)節(jié)的主要風(fēng)險(xiǎn)是：編程結(jié)果與設(shè)計(jì)不符。各程序員編程風(fēng)格差別大，程序可讀性差，導(dǎo)致后期維護(hù)困難，維護(hù)本錢高。缺乏有效的程序版本控制，導(dǎo)致反復(fù)修正

15、或修正不一致等問題。第四，測(cè)試不充分。單個(gè)模塊正常運(yùn)轉(zhuǎn)但多個(gè)模塊集成運(yùn)轉(zhuǎn)時(shí)出錯(cuò)，開發(fā)環(huán)境下測(cè)試正常而消費(fèi)環(huán)境下運(yùn)轉(zhuǎn)出錯(cuò)，開發(fā)人員自測(cè)正常而業(yè)務(wù)部門用戶運(yùn)用時(shí)出錯(cuò)，導(dǎo)致系統(tǒng)上線后能夠出現(xiàn)嚴(yán)重問題。 主要控制措施：第一，工程組應(yīng)建立并執(zhí)行嚴(yán)厲的代碼復(fù)查評(píng)審制度。第二，工程組應(yīng)建立并執(zhí)行一致的編程規(guī)范，在標(biāo)識(shí)符命名、程序注釋等方面一致風(fēng)格。 第三，應(yīng)運(yùn)用版本控制軟件系統(tǒng)例如CVS，保證一切開發(fā)人員基于一樣的組件環(huán)境開展工程任務(wù)，協(xié)調(diào)開發(fā)人員對(duì)程序的修正。第四，應(yīng)區(qū)分單元測(cè)試、組裝測(cè)試集成測(cè)試、系統(tǒng)測(cè)試、驗(yàn)收測(cè)試等不同測(cè)試類型，建立嚴(yán)厲的測(cè)試任務(wù)流程，提高最終用戶在測(cè)試任務(wù)中的參與程度，改良測(cè)試用例的

16、編寫質(zhì)量，加強(qiáng)測(cè)試分析，盡量采用自動(dòng)測(cè)試工具提高測(cè)試任務(wù)的質(zhì)量和效率。第五，具備條件的企業(yè)，該當(dāng)組織獨(dú)立于開發(fā)建立工程組的專業(yè)機(jī)構(gòu)對(duì)開發(fā)完成的信息系統(tǒng)進(jìn)展驗(yàn)收測(cè)試，確保在功能、性能、控制要求和平安性等方面符合開發(fā)需求。 5上線環(huán)節(jié)系統(tǒng)上線是將開發(fā)出的系統(tǒng)可執(zhí)行的程序和關(guān)聯(lián)的數(shù)據(jù)部署到實(shí)踐運(yùn)轉(zhuǎn)的計(jì)算機(jī)環(huán)境中，使信息系統(tǒng)按照既定的用戶需求來運(yùn)轉(zhuǎn)，真實(shí)發(fā)揚(yáng)信息系統(tǒng)的作用。這一環(huán)節(jié)的主要風(fēng)險(xiǎn)是：第一，缺乏完好可行的上線方案，導(dǎo)致系統(tǒng)上線混亂無序。第二，人員培訓(xùn)缺乏，不能正確運(yùn)用系統(tǒng)，導(dǎo)致業(yè)務(wù)處置錯(cuò)誤，或者未能充分利用系統(tǒng)功能，導(dǎo)致開發(fā)本錢浪費(fèi)。第三，初始數(shù)據(jù)預(yù)備設(shè)置不合格，導(dǎo)致新舊系統(tǒng)數(shù)據(jù)不一致、業(yè)務(wù)

17、處置錯(cuò)誤。 主要控制措施：第一，企業(yè)該當(dāng)制定信息系統(tǒng)上線方案，并經(jīng)歸口管理部門和用戶部門審核同意。上線方案普通包括人員培訓(xùn)、數(shù)據(jù)預(yù)備、進(jìn)度安排、應(yīng)急預(yù)案等內(nèi)容。第二，系統(tǒng)上線涉及新舊系統(tǒng)切換的，企業(yè)該當(dāng)在上線方案中明確應(yīng)急預(yù)案，保證新系統(tǒng)失效時(shí)可以順利切換回舊系統(tǒng)。第三，系統(tǒng)上線涉及數(shù)據(jù)遷移的，企業(yè)該當(dāng)制定詳細(xì)的數(shù)據(jù)遷移方案，并對(duì)遷移結(jié)果進(jìn)展測(cè)試。 用戶部門該當(dāng)參與數(shù)據(jù)遷移過程，對(duì)遷移前后的數(shù)據(jù)予以書面確認(rèn)。 四其他開發(fā)方式的關(guān)鍵控制點(diǎn)和主要控制措施下面引見其他開發(fā)方式業(yè)務(wù)外包、外購調(diào)試的關(guān)鍵控制點(diǎn)和主要控制措施。 在業(yè)務(wù)外包、外購調(diào)試方式下，需求采取有針對(duì)性的控制措施。 1業(yè)務(wù)外包方式的關(guān)鍵

18、控制點(diǎn)和主要控制措施1選擇外包效力商的主要風(fēng)險(xiǎn)是：由于企業(yè)與外包效力商之間本質(zhì)上是一種“委托代理關(guān)系,協(xié)作雙方的信息不對(duì)稱容易誘發(fā)品德風(fēng)險(xiǎn)，外包效力商能夠會(huì)實(shí)施損害企業(yè)利益的自利行為,如偷工減料、放松管理、信息泄密等。 主要控制措施：第一，企業(yè)在選擇外包效力商時(shí)要充分思索效力商的市場(chǎng)信譽(yù)、資質(zhì)條件、財(cái)務(wù)情況、效力才干、對(duì)本企業(yè)業(yè)務(wù)的熟習(xí)程度、既往承包效力勝利案例等要素,對(duì)外包效力商進(jìn)展嚴(yán)厲挑選。第二，企業(yè)可以借助外包業(yè)界基準(zhǔn)來判別外包效力商的綜合實(shí)力。第三，企業(yè)要嚴(yán)厲外包效力審批及管控流程,對(duì)信息系統(tǒng)外包業(yè)務(wù)，原那么上應(yīng)采用公開招標(biāo)等方式選擇外包效力商，并實(shí)行集體決策審批。 2簽署外包合同這一

19、環(huán)節(jié)的主要風(fēng)險(xiǎn)是：由于合同條款不準(zhǔn)確、不完善，能夠?qū)е缕髽I(yè)的正當(dāng)權(quán)益無法得到有效保證。 主要控制措施：第一，企業(yè)在與外包效力商簽約之前,應(yīng)針對(duì)外包能夠出現(xiàn)的各種風(fēng)險(xiǎn)損失,恰當(dāng)擬定合同條款,對(duì)涉及的任務(wù)目的、協(xié)作范疇、責(zé)任劃分、一切權(quán)歸屬、付款方式、違約賠償及合約期限等問題做出詳細(xì)闡明,并由法律部門或法律顧問審查把關(guān)。第二，開發(fā)過程中涉及商業(yè)、敏感數(shù)據(jù)的，企業(yè)該當(dāng)與外包效力商簽署詳細(xì)的“嚴(yán)密協(xié)定，以保證數(shù)據(jù)平安。第三，在合同中商定付款事宜時(shí),應(yīng)中選擇分期付款方式，尾款該當(dāng)在系統(tǒng)運(yùn)轉(zhuǎn)一段時(shí)間并經(jīng)評(píng)價(jià)驗(yàn)收后再支付。第四，應(yīng)在合同條款中明確要求外包效力商堅(jiān)持專業(yè)技術(shù)效力團(tuán)隊(duì)的穩(wěn)定性。 3繼續(xù)跟蹤評(píng)價(jià)外

20、包效力商的主要風(fēng)險(xiǎn)是：企業(yè)缺乏外包效力跟蹤評(píng)價(jià)機(jī)制或跟蹤評(píng)價(jià)不到位，能夠?qū)е峦獍Я|(zhì)量程度不能滿足企業(yè)信息系統(tǒng)開發(fā)需求。 主要控制措施：第一，企業(yè)該當(dāng)規(guī)范外包效力評(píng)價(jià)任務(wù)流程，明確相關(guān)部門的職責(zé)權(quán)限，建立外包效力質(zhì)量考核評(píng)價(jià)目的體系，定期對(duì)外包效力商進(jìn)展考評(píng),公布效力周期的評(píng)價(jià)結(jié)果,現(xiàn)對(duì)外包效力程度的跟蹤評(píng)價(jià)。第二，必要時(shí)，可以引入監(jiān)理機(jī)制，降低外包效力風(fēng)險(xiǎn)。 2外購調(diào)試方式的關(guān)鍵控制點(diǎn)和主要控制措施在外購調(diào)試方式：1軟件產(chǎn)品選型和供應(yīng)商選擇在外購調(diào)試方式下的主要風(fēng)險(xiǎn)是：第一，軟件產(chǎn)品選型不當(dāng)，產(chǎn)品在功能、性能、易用性等方面無法滿足企業(yè)需求。第二，軟件供應(yīng)商選擇不當(dāng)，產(chǎn)品的支持效力才干缺乏，

21、產(chǎn)品的后續(xù)晉級(jí)缺乏保證。 主要控制措施：第一，企業(yè)應(yīng)明確本身需求，對(duì)比分析市場(chǎng)上的成熟軟件產(chǎn)品，合理選擇軟件產(chǎn)品的模塊組合和版本。第二，企業(yè)在進(jìn)展軟件產(chǎn)品選型時(shí)應(yīng)廣泛聽取行業(yè)專家的意見。第三，企業(yè)在選擇軟件產(chǎn)品和效力供應(yīng)商時(shí)，不僅要評(píng)價(jià)其現(xiàn)有產(chǎn)品的功能、性能，還要調(diào)查其效力支持才干和后續(xù)產(chǎn)品的晉級(jí)才干。 2效力提供商選擇大型企業(yè)管理信息系統(tǒng)例如ERP系統(tǒng)的外購實(shí)施的主要風(fēng)險(xiǎn)是：效力提供商選擇不當(dāng)，減弱了外購軟件產(chǎn)品的功能發(fā)揚(yáng)，導(dǎo)致無法有效滿足用戶需求。 主要控制措施：在選擇效力提供商時(shí)，不僅要考核其對(duì)軟件產(chǎn)品的熟習(xí)、了解程度，也要考核其能否深化了解企業(yè)所處行業(yè)的特點(diǎn)、能否了解企業(yè)的個(gè)性化需求、

22、能否有過一樣或相近的勝利案例。 三、信息系統(tǒng)的運(yùn)轉(zhuǎn)與維護(hù) 信息系統(tǒng)的運(yùn)轉(zhuǎn)與維護(hù)主要包含三方面的內(nèi)容：日常運(yùn)轉(zhuǎn)維護(hù)、系統(tǒng)變卦和平安管理。 一日常運(yùn)轉(zhuǎn)維護(hù)的關(guān)鍵控制點(diǎn)和主要控制措施日常運(yùn)轉(zhuǎn)維護(hù)的目的是保證系統(tǒng)正常運(yùn)轉(zhuǎn)，主要任務(wù)內(nèi)容包括系統(tǒng)的日常操作、系統(tǒng)的日常巡檢和維修、系統(tǒng)運(yùn)轉(zhuǎn)形狀監(jiān)控、異常事件的報(bào)告和處置等。這一環(huán)節(jié)的主要風(fēng)險(xiǎn)是：第一，沒有建立規(guī)范的信息系統(tǒng)日常運(yùn)轉(zhuǎn)管理規(guī)范，計(jì)算機(jī)軟硬件的內(nèi)在隱患易于迸發(fā)，能夠?qū)е缕髽I(yè)信息系統(tǒng)出錯(cuò)。第二，沒有執(zhí)行例行檢查，導(dǎo)致一些人為惡意攻擊會(huì)長期隱藏在系統(tǒng)中，能夠呵斥嚴(yán)重?fù)p失。第三，企業(yè)信息系統(tǒng)數(shù)據(jù)未能定期備份，能夠?qū)е聯(lián)p壞后無法恢復(fù)，從而呵斥艱苦損失。 主

23、要控制措施：第一，企業(yè)應(yīng)制定信息系統(tǒng)運(yùn)用操作程序、信息管理制度以及各模塊子系統(tǒng)的詳細(xì)操作規(guī)范，及時(shí)跟蹤、發(fā)現(xiàn)和處理系統(tǒng)運(yùn)轉(zhuǎn)中存在的問題，確保信息系統(tǒng)按照規(guī)定的程序、制度和操作規(guī)范繼續(xù)穩(wěn)定運(yùn)轉(zhuǎn)。第二，真實(shí)做好系統(tǒng)運(yùn)轉(zhuǎn)記錄，尤其是對(duì)于系統(tǒng)運(yùn)轉(zhuǎn)不正?；驘o法運(yùn)轉(zhuǎn)的情況，應(yīng)對(duì)異常景象發(fā)生時(shí)間和能夠的緣由作出詳細(xì)記錄。第三，企業(yè)要注重系統(tǒng)運(yùn)轉(zhuǎn)的日常維護(hù)，在硬件方面，日常維護(hù)主要包括各種設(shè)備的保養(yǎng)與平安管理、缺點(diǎn)的診斷與排除、易耗品的改換與安裝等，這些任務(wù)應(yīng)由專人擔(dān)任。第四，配備專業(yè)人員擔(dān)任處置信息系統(tǒng)運(yùn)轉(zhuǎn)中的突發(fā)事件，必要時(shí)應(yīng)會(huì)同系統(tǒng)開發(fā)人員或軟硬件供應(yīng)商共同處理。 二系統(tǒng)變卦的關(guān)鍵控制點(diǎn)和主要控制措施系

24、統(tǒng)變卦主要包括硬件的晉級(jí)擴(kuò)容、軟件的修正與晉級(jí)等。系統(tǒng)變卦是為了更好地滿足企業(yè)需求，但同時(shí)應(yīng)加強(qiáng)對(duì)變卦懇求、變卦本錢與進(jìn)度的控制。這一環(huán)節(jié)的主要風(fēng)險(xiǎn)是：第一，企業(yè)沒有建立嚴(yán)厲的變卦懇求、審批、執(zhí)行、測(cè)試流程，導(dǎo)致系統(tǒng)隨意變卦。第二，系統(tǒng)變卦后的效果達(dá)不到預(yù)期目的。 主要控制措施：第一，企業(yè)該當(dāng)建立規(guī)范流程來實(shí)施和記錄系統(tǒng)變卦，保證變卦過程得到適當(dāng)?shù)氖跈?quán)與管理層的同意，并對(duì)變卦進(jìn)展測(cè)試。信息系統(tǒng)變卦該當(dāng)嚴(yán)厲遵看管理流程進(jìn)展操作。信息系統(tǒng)操作人員不得擅自進(jìn)展軟件的刪除、修正等操作；不得擅自晉級(jí)、改動(dòng)軟件版本；不得擅自改動(dòng)軟件系統(tǒng)的環(huán)境配置。第二，系統(tǒng)變卦程序(如軟件晉級(jí))需求遵照與新系統(tǒng)開發(fā)工程同

25、樣的驗(yàn)證和測(cè)試程序，必要時(shí)還該當(dāng)進(jìn)展額外測(cè)試。企業(yè)應(yīng)加強(qiáng)緊急變卦的控制管理。第四，企業(yè)應(yīng)加強(qiáng)對(duì)將變卦移植到消費(fèi)環(huán)境中的控制管理，包括系統(tǒng)訪問授權(quán)控制、數(shù)據(jù)轉(zhuǎn)換控制、用戶培訓(xùn)等。 三平安管理的關(guān)鍵控制點(diǎn)和主要控制措施平安管理的目的是保證信息系統(tǒng)平安，信息系統(tǒng)平安是指信息系統(tǒng)包含的一切硬件、軟件和數(shù)據(jù)遭到維護(hù)，不因偶爾和惡意的緣由而遭到破壞、更改和走漏，信息系統(tǒng)可以延續(xù)正常運(yùn)轉(zhuǎn)。這一環(huán)節(jié)的主要風(fēng)險(xiǎn)是：第一，硬件設(shè)備分布物理范圍廣，設(shè)備種類繁多，平安管理難度大，能夠?qū)е略O(shè)備生命周期短。第二，業(yè)務(wù)部門信息平安認(rèn)識(shí)薄弱，對(duì)系統(tǒng)和信息平安缺乏有效的監(jiān)管手段。少數(shù)員工能夠惡意或非惡意濫用系統(tǒng)資源，呵斥系統(tǒng)運(yùn)

26、轉(zhuǎn)效率降低。第三，對(duì)系統(tǒng)程序的缺陷或破綻平安防護(hù)不夠，導(dǎo)致蒙受黑客攻擊，呵斥信息泄露。第四，對(duì)各種計(jì)算機(jī)病毒防備清理不力，導(dǎo)致系統(tǒng)運(yùn)轉(zhuǎn)不穩(wěn)定甚至癱瘓。第五，缺乏對(duì)信息系統(tǒng)操作人員的嚴(yán)密監(jiān)控，能夠?qū)е挛璞缀屠糜?jì)算機(jī)犯罪。 主要控制措施是：第一，建立信息系統(tǒng)相關(guān)資產(chǎn)的管理制度，保證電子設(shè)備的平安。硬件和網(wǎng)絡(luò)設(shè)備不僅是信息系統(tǒng)運(yùn)轉(zhuǎn)的根底載體，也是價(jià)值昂貴的固定資產(chǎn)。企業(yè)應(yīng)在健全設(shè)備管理制度的根底上，建立專門的電子設(shè)備管控制度，對(duì)于關(guān)鍵信息設(shè)備，未經(jīng)授權(quán)，不得接觸。 第二，企業(yè)應(yīng)成立專門的信息系統(tǒng)平安管理機(jī)構(gòu)，由企業(yè)主要指點(diǎn)負(fù)總責(zé)，對(duì)企業(yè)的信息平安作出總體規(guī)劃和全方位嚴(yán)厲管理，詳細(xì)實(shí)施任務(wù)可由企業(yè)的

27、信息主管部門擔(dān)任。企業(yè)應(yīng)強(qiáng)化全體員工的平安嚴(yán)密認(rèn)識(shí)，特別要對(duì)重要崗位員工進(jìn)展信息系統(tǒng)平安嚴(yán)密培訓(xùn)，并簽署平安嚴(yán)密協(xié)議。 企業(yè)該當(dāng)建立信息系統(tǒng)平安嚴(yán)密制度和泄密責(zé)任清查制度。 第三，企業(yè)該當(dāng)按照國家相關(guān)法律法規(guī)以及信息平安技術(shù)規(guī)范，制定信息系統(tǒng)平安實(shí)施細(xì)那么。 根據(jù)業(yè)務(wù)性質(zhì)、重要程度、涉密情況等確定信息系統(tǒng)的平安等級(jí)，建立不同等級(jí)信息的授權(quán)運(yùn)用制度，采用相應(yīng)技術(shù)手段保證信息系統(tǒng)運(yùn)轉(zhuǎn)平安有序。對(duì)于信息系統(tǒng)的運(yùn)用者和不同平安等級(jí)信息之間的授權(quán)關(guān)系，應(yīng)在系統(tǒng)開發(fā)建立階段就構(gòu)成方案并加以設(shè)計(jì)，在軟件系統(tǒng)中預(yù)留這種對(duì)應(yīng)關(guān)系的設(shè)置功能，以便根據(jù)運(yùn)用者崗位職務(wù)的變化進(jìn)展調(diào)整。 企業(yè)該當(dāng)有效利用IT技術(shù)手段，對(duì)

28、硬件配置調(diào)整、軟件參數(shù)修正嚴(yán)加控制。企業(yè)可利用操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、運(yùn)用系統(tǒng)提供的平安機(jī)制，設(shè)置平安參數(shù)，保證系統(tǒng)訪問平安；對(duì)于重要的計(jì)算機(jī)設(shè)備，企業(yè)該當(dāng)利用技術(shù)手段防止員工擅自安裝、卸載軟件或者改動(dòng)軟件系統(tǒng)配置，并定期對(duì)上述情況進(jìn)展檢查。 第五，企業(yè)委托專業(yè)機(jī)構(gòu)進(jìn)展系統(tǒng)運(yùn)轉(zhuǎn)與維護(hù)管理的，該當(dāng)嚴(yán)厲審查其資質(zhì)條件、市場(chǎng)聲譽(yù)和信譽(yù)情況等，并與其簽署正式的效力合同和嚴(yán)密協(xié)議。 第六，企業(yè)該當(dāng)采取安裝平安軟件等措施防備信息系統(tǒng)遭到病毒等惡意軟件的感染和破壞。企業(yè)該當(dāng)特別注重加強(qiáng)對(duì)效力器等關(guān)鍵部位的防護(hù)；對(duì)于存在網(wǎng)絡(luò)運(yùn)用的企業(yè)，該當(dāng)綜合利用防火墻、路由器等網(wǎng)絡(luò)設(shè)備，采用內(nèi)容過濾、破綻掃描、入侵檢測(cè)等軟件技術(shù)加強(qiáng)網(wǎng)絡(luò)平安，嚴(yán)密防備互聯(lián)網(wǎng)的黑客攻擊和非法侵入。對(duì)于經(jīng)過互聯(lián)網(wǎng)傳輸?shù)纳婷芑蛘哧P(guān)鍵業(yè)務(wù)數(shù)據(jù)，企業(yè)該當(dāng)采取必要的技術(shù)手段確保信息傳送的嚴(yán)密性、準(zhǔn)確性、完好性。 第七，企業(yè)該當(dāng)建立系統(tǒng)數(shù)據(jù)定期備份制度，明確備份范圍、頻度、方法、責(zé)