《公司治理風(fēng)險(xiǎn)管理和內(nèi)部控制》第六章信息與溝通課件

第六章信息與溝通第一節(jié)內(nèi)部信息傳遞 第二節(jié)

信息系統(tǒng) 第三節(jié)溝通 目錄第六章信息與溝通目錄案例引入：信息混亂，車毀人亡2008年4月28日凌晨4時(shí)48分，山東膠濟(jì)鐵路王家段，限速80公里/時(shí)處，時(shí)速達(dá)131公里的北京—青島T195次列車，第9—17號(hào)車廂突然脫軌，侵入了并行的另一條鐵軌。和正常運(yùn)行的對(duì)開5034次列車相撞，造成71人死亡，416人受傷?，F(xiàn)已證實(shí)，事故線路是一條呈“S”型臨時(shí)線路，而超速被認(rèn)為是這起事故的直接原因。但超速背后是信息的傳遞混亂。行經(jīng)此段的列車限速一月內(nèi)竟數(shù)次更改，而且指令傳達(dá)不暢通，規(guī)章制度形同虛設(shè)。事發(fā)前幾天濟(jì)南鐵路局曾發(fā)文限速，但又迅速取消限速。潛伏巨大危險(xiǎn)的臨時(shí)鐵路，兒戲般的調(diào)度管理，層層的疏忽與失職，最終導(dǎo)致了中國(guó)鐵路史上最重大的慘禍之一。事后相關(guān)部門總結(jié)信息滯漏不暢是造成事故的主要原因。案例引入：信息混亂，車毀人亡2008年4月28日凌晨4時(shí)484.28事件表明：有效的信息與溝通對(duì)于企業(yè)的成功是至關(guān)重要的。每個(gè)企業(yè)都要識(shí)別和獲取與管理該主體相關(guān)的廣泛的信息。這些信息以保證員工能履行內(nèi)部控制和風(fēng)險(xiǎn)管理職責(zé)的形式和時(shí)機(jī)傳遞給員工。4.28事件表明：有效的信息與溝通對(duì)于企業(yè)的成功是第一節(jié)

內(nèi)部信息傳遞《公司治理風(fēng)險(xiǎn)管理和內(nèi)部控制》第六章信息與溝通課件內(nèi)部信息傳遞一、內(nèi)部信息傳遞的定義按照《企業(yè)內(nèi)部控制應(yīng)用指引第17號(hào)——內(nèi)部信息傳遞》的規(guī)定，內(nèi)部信息傳遞是企業(yè)內(nèi)部管理層級(jí)之間以報(bào)告為載體和形式傳遞生產(chǎn)經(jīng)營(yíng)管理信息的過程。信息在企業(yè)內(nèi)部進(jìn)行有目的的、及時(shí)的、準(zhǔn)確的、安全的傳遞，對(duì)貫徹企業(yè)發(fā)展戰(zhàn)略、正確識(shí)別生產(chǎn)經(jīng)營(yíng)中的風(fēng)險(xiǎn)、及時(shí)糾正操作錯(cuò)誤、提高決策質(zhì)量具有重要作用。內(nèi)部信息傳遞一、內(nèi)部信息傳遞的定義內(nèi)部信息傳遞二、信息的內(nèi)涵信息是對(duì)人有用的、能夠影響人們行為的數(shù)據(jù)。信息是數(shù)據(jù)的含義，是人們對(duì)數(shù)據(jù)的理解，是數(shù)據(jù)加工后的結(jié)果。數(shù)據(jù)是信息的載體，沒有數(shù)據(jù)便沒有信息，因此信息不能單獨(dú)存在。要想獲得信息就要先獲得載荷信息的數(shù)據(jù)，對(duì)其加工才能獲得信息。內(nèi)部信息傳遞二、信息的內(nèi)涵內(nèi)部信息傳遞戰(zhàn)略性策略性操作性交易數(shù)據(jù)信息加工與篩選高層管理中層管理基層管理內(nèi)部信息傳遞戰(zhàn)略性策略性操作性交易數(shù)據(jù)信息加工與篩選高層管理內(nèi)部信息傳遞信息還有下列特征：

1共享性2可傳遞性3可編碼性4具有價(jià)值內(nèi)部信息傳遞信息還有下列特征：內(nèi)部信息傳遞三、內(nèi)部信息傳遞基本流程內(nèi)部信息傳遞流程是根據(jù)企業(yè)生產(chǎn)經(jīng)營(yíng)管理的特點(diǎn)來確定，其形式千差萬別，沒有一個(gè)最優(yōu)的方案。對(duì)企業(yè)最為重要的、最普遍的信息傳遞形式就是內(nèi)部報(bào)告，亦稱內(nèi)部管理報(bào)告。內(nèi)部報(bào)告時(shí)指企業(yè)在管理控制系統(tǒng)中為企業(yè)內(nèi)部各級(jí)管理層以定期或非定期的形式記錄和反映企業(yè)內(nèi)部管理信息的各種圖表和文字資料的總稱。一般來說，內(nèi)部信息傳遞至少包括兩個(gè)階段，一是信息形成階段，二是信息使用階段。

內(nèi)部信息傳遞三、內(nèi)部信息傳遞基本流程內(nèi)部信息傳遞建立內(nèi)部報(bào)告及指標(biāo)體系搜集整理內(nèi)外部信息形成內(nèi)部報(bào)告審核內(nèi)部報(bào)告通過內(nèi)部報(bào)告在規(guī)定的范圍內(nèi)流轉(zhuǎn)內(nèi)部報(bào)告使用和保管定期全面評(píng)估內(nèi)部報(bào)告形成階段內(nèi)部報(bào)告使用階段未通過內(nèi)部信息傳遞建立內(nèi)部報(bào)告及指標(biāo)體系搜集整理內(nèi)外部信息形成內(nèi)部?jī)?nèi)部信息傳遞四、內(nèi)部信息傳遞的總體要求（了解）（一）及時(shí)有效性原則及時(shí)有效性原則是指在信息傳遞過程中，必須做到在經(jīng)濟(jì)業(yè)務(wù)發(fā)生時(shí)及時(shí)進(jìn)行數(shù)據(jù)搜集，盡快進(jìn)行信息加工，形成有效形式并盡快傳輸?shù)街付ǖ攸c(diǎn)和信息使用者。內(nèi)部信息傳遞四、內(nèi)部信息傳遞的總體要求（了解）內(nèi)部信息傳遞四、內(nèi)部信息傳遞的總體要求（二）反饋性原則反饋性原則是指在信息傳遞過程中，相同口徑的信息能夠頻繁地往返于信息使用者和信息提供者之間，把決策執(zhí)行情況的信息及時(shí)反饋給信息使用者，幫助信息使用者證實(shí)或者修正先前的期望，以便其進(jìn)一步?jīng)Q策的活動(dòng)。內(nèi)部信息傳遞四、內(nèi)部信息傳遞的總體要求沃爾瑪超市：啤酒加尿布的故事一般看來，啤酒和尿布是顧客群完全不同的商品。但是沃爾瑪一年內(nèi)數(shù)據(jù)挖掘顯示，在居民區(qū)中尿布賣得好的店面，啤酒也賣得好。原因很簡(jiǎn)單，一般太太讓先生下樓買尿布的時(shí)候，先生們一般都會(huì)犒勞自己兩聽啤酒。因此啤酒和尿布一起購買的機(jī)會(huì)是最多的。這是一個(gè)現(xiàn)代商場(chǎng)智能化信息分析系統(tǒng)發(fā)現(xiàn)的秘密，這個(gè)故事標(biāo)志著數(shù)據(jù)挖掘開始進(jìn)入商業(yè)領(lǐng)域。沃爾瑪超市：啤酒加尿布的故事一般看來，啤酒和尿布內(nèi)部信息傳遞四、內(nèi)部信息傳遞的總體要求（三）預(yù)測(cè)性原則預(yù)測(cè)性原則是指企業(yè)傳遞和使用的經(jīng)營(yíng)決策信息需要具備預(yù)測(cè)性的功能。信息預(yù)測(cè)性的功能在于提供提高決策水平所需的那種發(fā)現(xiàn)差別、分析和解釋差別，從而在差別中減少不確定的信息。

內(nèi)部信息傳遞四、內(nèi)部信息傳遞的總體要求麥當(dāng)勞和肯德基之爭(zhēng)麥當(dāng)勞和肯德基在中國(guó)的發(fā)展可謂是一日千里，這兩家店在中國(guó)發(fā)展得如此迅猛，就是順應(yīng)了中國(guó)發(fā)展的潮流和社會(huì)的變革。這兩家公司有著不同的發(fā)展模式，麥當(dāng)勞是全球快餐業(yè)的老大，但是在中國(guó)的業(yè)務(wù)卻沒有肯德基做得好。麥當(dāng)勞最先在中國(guó)進(jìn)行快餐市場(chǎng)的調(diào)研考察，但是它依據(jù)信息做出了兩個(gè)錯(cuò)誤的判斷：麥當(dāng)勞和肯德基之爭(zhēng)麥當(dāng)勞和肯德基在中國(guó)的發(fā)展可謂是一日第一，中國(guó)人民的餐飲習(xí)慣。中華民族是吃貫穿于所有政治經(jīng)濟(jì)文化活動(dòng)之中的一個(gè)民族，做工作要吃飯，體現(xiàn)親情也要吃飯，大眾的消遣娛樂還是歸結(jié)到吃上，所以中國(guó)人民對(duì)吃非常講究，也非常重視。所以麥當(dāng)勞認(rèn)為快餐在中國(guó)難以做大。第二，快餐的口味問題。中華民族保留著很多有關(guān)吃的傳統(tǒng)，食物種類豐富多彩，口味南北迥異，廣東人喜歡煲湯，湖北人湖南人喜歡吃辣，上海人喜歡吃甜，山西人喜歡吃酸，北京人喜歡吃咸，東北人喜歡吃亂燉。而快餐的口味十分單一，做不到口味豐富多彩。而人們的口味一旦形成就會(huì)是非常頑固的一種習(xí)慣，這種習(xí)慣會(huì)導(dǎo)致人們對(duì)快餐的抵制和排斥。因此，麥當(dāng)勞對(duì)中國(guó)市場(chǎng)沒有信心，認(rèn)為中國(guó)是沒有希望的市場(chǎng)，于是放棄在中國(guó)的投資。第一，中國(guó)人民的餐飲習(xí)慣。中華民族是吃貫穿于所有政治經(jīng)濟(jì)文化幾年之后，肯德基進(jìn)入中國(guó)市場(chǎng)調(diào)研，他們得出一個(gè)相反的結(jié)論：第一，中國(guó)的社會(huì)在發(fā)展，中國(guó)人的觀念在改變，飲食結(jié)構(gòu)也在悄然地發(fā)生變化，生活的快節(jié)奏，求新求異將成為中國(guó)人民的生活主流，在這樣的大前提下進(jìn)入中國(guó)快餐市場(chǎng)，肯定會(huì)迎合時(shí)代的發(fā)展，是非常好的一個(gè)時(shí)機(jī)。第二，中國(guó)人民傳統(tǒng)的飲食習(xí)慣也在改變，傳統(tǒng)口味吃了很多年，人們樂于追求新穎的口味，這也是迎合中國(guó)人飲食結(jié)構(gòu)多樣性的一種改革。所以肯德基做出的決策就是可以進(jìn)入中國(guó)市場(chǎng)。當(dāng)然這兩家公司都沒有想到在美國(guó)稱之為垃圾食品的快餐，在中國(guó)迅速成為時(shí)尚，成為大眾消費(fèi)的食品，出現(xiàn)舉家吃快餐的熱鬧場(chǎng)面。因此肯德基先在中國(guó)紅火發(fā)展起來。麥當(dāng)勞看到后業(yè)不甘示弱，于是人們看到非常有趣的現(xiàn)象，只要有肯德基的地方，斜對(duì)面就一定有麥當(dāng)勞。幾年之后，肯德基進(jìn)入中國(guó)市場(chǎng)調(diào)研，他們得出一個(gè)相反的結(jié)論：內(nèi)部信息傳遞四、內(nèi)部信息傳遞的總體要求（四）真實(shí)準(zhǔn)確性原則真實(shí)準(zhǔn)確性原則是指企業(yè)內(nèi)部傳遞的信息符合事件或事物的客觀實(shí)際，包括范圍的真實(shí)準(zhǔn)確性、內(nèi)容的真實(shí)準(zhǔn)確性和標(biāo)準(zhǔn)的真實(shí)準(zhǔn)確性。內(nèi)部信息傳遞四、內(nèi)部信息傳遞的總體要求內(nèi)部信息傳遞四、內(nèi)部信息傳遞的總體要求（五）安全保密性原則安全保密性原則，又稱“內(nèi)部性原則”，是指內(nèi)部信息傳遞的服務(wù)對(duì)象僅限于內(nèi)部利益相關(guān)者，即企業(yè)管理當(dāng)局，因而具有一定的商業(yè)機(jī)密特征。內(nèi)部信息傳遞四、內(nèi)部信息傳遞的總體要求相關(guān)鏈接：普華永道發(fā)布2010年度全球信息安全調(diào)查報(bào)告。報(bào)告顯示，中國(guó)企業(yè)信息安全事故發(fā)生率遠(yuǎn)遠(yuǎn)高于世界平均水平。據(jù)調(diào)查報(bào)告中的數(shù)據(jù)顯示，網(wǎng)絡(luò)事故、數(shù)據(jù)事故及系統(tǒng)事故是三大中國(guó)企業(yè)常見的信息安全事故，發(fā)生率分別為51%、45%、和40%。而相同事故在全球范圍內(nèi)的發(fā)生率則為25%、27%與23%。也就是說，中國(guó)企業(yè)發(fā)生信息安全事故的概率是世界平均水平的2倍左右。而這個(gè)數(shù)據(jù)與2009年相比仍呈現(xiàn)一定程度的上升趨勢(shì)。傅毓敏（普華永道風(fēng)險(xiǎn)管理和內(nèi)部控制部門合伙人）表示，從全球范圍來看，中國(guó)企業(yè)在信息安全硬件的投入水平并不低，在有些領(lǐng)域甚至處于世界領(lǐng)先水平。但中國(guó)企業(yè)對(duì)信息安全管理人員及流程方面重視遠(yuǎn)遠(yuǎn)不足。與大多數(shù)跨國(guó)公司相比，中國(guó)企業(yè)對(duì)于在公司內(nèi)使用聊天軟件、社交網(wǎng)絡(luò)等領(lǐng)域管理松散，監(jiān)察監(jiān)測(cè)系統(tǒng)缺位，這些都是導(dǎo)致中國(guó)企業(yè)泄密等信息安全事故高發(fā)的重要原因。

相關(guān)鏈接：普華永道發(fā)布2010年度全球信息安全調(diào)查報(bào)告。報(bào)告內(nèi)部信息傳遞四、內(nèi)部信息傳遞的總體要求（六）成本效益原則成本效益原則是經(jīng)濟(jì)管理活動(dòng)中廣泛適應(yīng)性的要求。因?yàn)槿魏我豁?xiàng)活動(dòng)，只有當(dāng)收益大于成本時(shí)才是可行的，某項(xiàng)信息是否值得傳遞，首先就必須滿足這個(gè)約束條件。內(nèi)部信息傳遞四、內(nèi)部信息傳遞的總體要求內(nèi)部信息傳遞五、內(nèi)部信息傳遞各環(huán)節(jié)的主要風(fēng)險(xiǎn)點(diǎn)及控制措施（掌握）（一）建立內(nèi)部報(bào)告和指標(biāo)體系（二）搜集整理內(nèi)外部信息（三）編制及審核內(nèi)部報(bào)告（四）內(nèi)部報(bào)告?zhèn)鬟f（五）內(nèi)部報(bào)告使用和保管（六）內(nèi)部報(bào)告的評(píng)估內(nèi)部信息傳遞五、內(nèi)部信息傳遞各環(huán)節(jié)的主要風(fēng)險(xiǎn)點(diǎn)及控制措施（掌（一）建立內(nèi)部報(bào)告和指標(biāo)體系主要風(fēng)險(xiǎn)是：指標(biāo)體系的設(shè)計(jì)未能結(jié)合企業(yè)的發(fā)展戰(zhàn)略；內(nèi)部報(bào)告或指標(biāo)體不完整或過于復(fù)雜；指標(biāo)體系缺乏調(diào)整機(jī)制；指標(biāo)信息難以獲得或獲取的成本過高主要管控措施：第一，企業(yè)應(yīng)認(rèn)真研究企業(yè)的發(fā)展戰(zhàn)略、風(fēng)險(xiǎn)控制要求和業(yè)績(jī)考核標(biāo)準(zhǔn)，根據(jù)各管理層級(jí)對(duì)信息的需求和詳略程度，建立一套級(jí)次分明的內(nèi)部報(bào)告指標(biāo)體系。企業(yè)明確的戰(zhàn)略目標(biāo)和具體的戰(zhàn)略規(guī)劃為內(nèi)部報(bào)告控制目標(biāo)的確定提供了依據(jù)。第二，企業(yè)內(nèi)部報(bào)告指標(biāo)確定后，應(yīng)進(jìn)行細(xì)化，層層分解，使企業(yè)中各責(zé)任中心及其各相關(guān)職能部門都有自己明確的目標(biāo)，以利于控制風(fēng)險(xiǎn)并進(jìn)行業(yè)績(jī)考核。（一）建立內(nèi)部報(bào)告和指標(biāo)體系主要風(fēng)險(xiǎn)是：指標(biāo)體系的設(shè)計(jì)未能結(jié)第三，當(dāng)內(nèi)部控制指標(biāo)體系不適應(yīng)企業(yè)決策要求時(shí)，需進(jìn)行調(diào)整第四，根據(jù)成本效應(yīng)原則，考察獲取信息的難度和設(shè)置相應(yīng)內(nèi)部報(bào)告指標(biāo)的必要性第三，當(dāng)內(nèi)部控制指標(biāo)體系不適應(yīng)企業(yè)決策要求時(shí)，需進(jìn)行調(diào)整內(nèi)部報(bào)告分類1.根據(jù)部門的性質(zhì)內(nèi)部報(bào)告可分為：（1）工作總結(jié)和工作計(jì)劃報(bào)告：每周、每月、每季、半年和年度由下級(jí)部門或下級(jí)員工向上級(jí)部門或員工上報(bào)。（2）銷售報(bào)表：這些報(bào)表每天上報(bào)銷售部負(fù)責(zé)人，每周或每月上報(bào)財(cái)務(wù)總監(jiān)或企業(yè)負(fù)責(zé)人。（3）費(fèi)用報(bào)表：各部門或有關(guān)個(gè)人要建立費(fèi)用控制臺(tái)賬管理費(fèi)用，不能盲目開支。（4）成本報(bào)表：生產(chǎn)部門應(yīng)當(dāng)建立成本控制臺(tái)賬，生產(chǎn)部門有關(guān)領(lǐng)導(dǎo)應(yīng)當(dāng)天天看、天天分析，并于每周或每月上報(bào)財(cái)務(wù)總監(jiān)或企業(yè)負(fù)責(zé)人。（5）采購報(bào)表：這些報(bào)表每天上報(bào)采購部負(fù)責(zé)人，每周或每月上報(bào)財(cái)務(wù)總監(jiān)或企業(yè)負(fù)責(zé)人。

內(nèi)部報(bào)告分類1.根據(jù)部門的性質(zhì)內(nèi)部報(bào)告可分為：（6）資金報(bào)表：資金收支結(jié)構(gòu)日?qǐng)?bào)、借款明細(xì)表、貸款擔(dān)保抵押表、貸款情況表、銀行賬戶及印鑒管理表、銀行對(duì)賬單、資金盤點(diǎn)表、銀行存款余額調(diào)節(jié)表、資金需求狀況表。財(cái)務(wù)總監(jiān)應(yīng)該重點(diǎn)關(guān)注這些信息，并不定期檢查。企業(yè)負(fù)責(zé)人應(yīng)該關(guān)注資金需求狀況等。（7）資產(chǎn)報(bào)表：行政部應(yīng)當(dāng)建立資產(chǎn)管理臺(tái)賬對(duì)企業(yè)資產(chǎn)進(jìn)行全面跟蹤管理，每月進(jìn)行盤點(diǎn)核實(shí)。財(cái)務(wù)部應(yīng)當(dāng)定期與行政部核對(duì)資產(chǎn)。（8）人事報(bào)表：包括人事變動(dòng)分析表和薪資變動(dòng)分析表。（9）投資報(bào)表：每月對(duì)企業(yè)投資情況向企業(yè)負(fù)責(zé)人進(jìn)行分析報(bào)告。（10）分析報(bào)表：在以上報(bào)表的基礎(chǔ)上通過文字進(jìn)行說明，詳細(xì)分析前因后果，包括財(cái)務(wù)分析報(bào)告。

（6）資金報(bào)表：資金收支結(jié)構(gòu)日?qǐng)?bào)、借款明細(xì)表、貸款擔(dān)保抵押表2.根據(jù)內(nèi)部報(bào)告的內(nèi)容可分下面兩類報(bào)告：（1）完成計(jì)劃情況的報(bào)告。包括綜合類和單項(xiàng)經(jīng)濟(jì)指標(biāo)報(bào)告。綜合類報(bào)告的內(nèi)容有：獲利能力、收入、費(fèi)用、應(yīng)收賬款、存貨、現(xiàn)金流量等；單項(xiàng)經(jīng)濟(jì)指標(biāo)報(bào)告的內(nèi)容較多，如銀行存款、產(chǎn)量、日銷量等。（2）調(diào)查分析報(bào)告。一般是指專業(yè)人員根據(jù)管理層的要求，對(duì)管理政策執(zhí)行過程中出現(xiàn)的異常進(jìn)行調(diào)查、分析，給出的描述異常情況及原因等內(nèi)容的報(bào)告。

2.根據(jù)內(nèi)部報(bào)告的內(nèi)容可分下面兩類報(bào)告：（二）搜集整理內(nèi)外部信息企業(yè)應(yīng)當(dāng)廣泛收集、分析、整理內(nèi)外部信息，并通過內(nèi)部報(bào)告?zhèn)鬟f到企業(yè)內(nèi)部相關(guān)管理層級(jí)，以便及時(shí)采取應(yīng)對(duì)策略。企業(yè)可以通過行業(yè)協(xié)會(huì)組織、社會(huì)中介機(jī)構(gòu)、業(yè)務(wù)往來單位、市場(chǎng)調(diào)查、來信來訪、網(wǎng)絡(luò)媒體以及有關(guān)監(jiān)管部門等渠道，獲取外部信息；通過財(cái)務(wù)會(huì)計(jì)資料、經(jīng)營(yíng)管理資料、調(diào)研報(bào)告、專項(xiàng)信息、內(nèi)部刊物、辦公網(wǎng)絡(luò)等渠道，獲取內(nèi)部信息。該環(huán)節(jié)的主要風(fēng)險(xiǎn)是：收集的內(nèi)外部信息不足或過多；內(nèi)容準(zhǔn)確性差；獲取內(nèi)外部信息的成本過高。（二）搜集整理內(nèi)外部信息企業(yè)應(yīng)當(dāng)廣泛收集、分析、整理內(nèi)外部信主要管控措施：第一，根據(jù)特定服務(wù)對(duì)象的需求，選擇信息收集過程中重點(diǎn)關(guān)注的信息類型和內(nèi)容。第二，對(duì)信息進(jìn)行審核和鑒別，對(duì)已經(jīng)篩選的資料作進(jìn)一步的檢查，確定其真實(shí)性和合理性。企業(yè)應(yīng)當(dāng)檢查信息在事實(shí)與時(shí)間上有無差錯(cuò)，是否合乎邏輯，其來源單位、資料份數(shù)、指標(biāo)等是否完整。第三，企業(yè)應(yīng)當(dāng)在收集信息的過程中考慮獲取信息的便利性及其獲取成本高低。主要管控措施：（三）編制及審核內(nèi)部報(bào)告企業(yè)內(nèi)部報(bào)告因報(bào)告類型不同、反映的信息特點(diǎn)不同，內(nèi)部報(bào)告的格式不盡一致。一般情況下，企業(yè)內(nèi)部報(bào)告應(yīng)當(dāng)包括報(bào)告名、文件號(hào)、執(zhí)行范圍、內(nèi)容、起草或制定部門、報(bào)送和抄送部門及時(shí)效要求等。該環(huán)節(jié)的主要風(fēng)險(xiǎn)是：內(nèi)部報(bào)告未能根據(jù)各內(nèi)部使用單位的需求進(jìn)行編制，內(nèi)容不完整或難以理解，編制不及時(shí)，未經(jīng)審核即向有關(guān)部門傳遞。（三）編制及審核內(nèi)部報(bào)告企業(yè)內(nèi)部報(bào)告因報(bào)告類型不同、反映的信主要管控措施：第一，企業(yè)內(nèi)部報(bào)告的編制單位應(yīng)緊緊圍繞內(nèi)部報(bào)告使用者的信息需求，以內(nèi)部報(bào)告指標(biāo)體系為基礎(chǔ)，內(nèi)容全面、簡(jiǎn)潔明了、通俗易懂，便于企業(yè)各管理層級(jí)和全體員工掌握相關(guān)信息，正確履行職責(zé)。第二，企業(yè)應(yīng)合理設(shè)計(jì)內(nèi)部報(bào)告編制程序，提高編制效率，保證內(nèi)部報(bào)告能在第一時(shí)間提供給相關(guān)管理部門。對(duì)于重大突發(fā)事件應(yīng)以速度優(yōu)先，盡可能快的編制出內(nèi)部報(bào)告，向董事會(huì)報(bào)告。第三，企業(yè)應(yīng)當(dāng)建立內(nèi)部報(bào)告審核制度，設(shè)定審核權(quán)限，確保內(nèi)部報(bào)告信息質(zhì)量。企業(yè)必須對(duì)崗位與職責(zé)分工進(jìn)行控制，內(nèi)部報(bào)告的起草與審核崗位分離，內(nèi)部報(bào)告在傳遞前必須經(jīng)簽發(fā)部門負(fù)責(zé)人審核。對(duì)于重要信息，企業(yè)應(yīng)當(dāng)委派專門人員對(duì)其傳遞過程進(jìn)行復(fù)核，確保信息正確的傳遞給使用者。主要管控措施：（四）內(nèi)部報(bào)告?zhèn)鬟f該環(huán)節(jié)的主要風(fēng)險(xiǎn)是：缺乏內(nèi)部報(bào)告?zhèn)鬟f流程，內(nèi)部報(bào)告誤傳遞或丟失，內(nèi)部報(bào)告?zhèn)鬟f系統(tǒng)中斷。主要管控措施：第一，企業(yè)應(yīng)當(dāng)制定內(nèi)部報(bào)告?zhèn)鬟f制度。企業(yè)可根據(jù)信息的重要性、內(nèi)容等特征，確定不同的流轉(zhuǎn)環(huán)節(jié)。第二，企業(yè)應(yīng)嚴(yán)格按設(shè)定的傳遞流程進(jìn)行流轉(zhuǎn)。企業(yè)各管理層對(duì)內(nèi)部報(bào)告的流轉(zhuǎn)應(yīng)做好記錄，對(duì)于未按照流轉(zhuǎn)制度進(jìn)行操作的事件，應(yīng)當(dāng)調(diào)查原因，并做相應(yīng)處理。第三，企業(yè)應(yīng)及時(shí)更新信息系統(tǒng)，確保內(nèi)部報(bào)告有效安全的傳遞。（四）內(nèi)部報(bào)告?zhèn)鬟f該環(huán)節(jié)的主要風(fēng)險(xiǎn)是：缺乏內(nèi)部報(bào)告?zhèn)鬟f流程，（五）內(nèi)部報(bào)告使用和保管該環(huán)節(jié)的主要風(fēng)險(xiǎn)是：第一，企業(yè)管理層在決策時(shí)并沒有使用內(nèi)部報(bào)告提供的信息，內(nèi)部報(bào)告未能用于風(fēng)險(xiǎn)識(shí)別和控制，商業(yè)秘密通過企業(yè)內(nèi)部報(bào)告被泄露。第二，企業(yè)缺少內(nèi)部報(bào)告的保管制度，內(nèi)部報(bào)告的保管存放雜亂無序，對(duì)重要資料的保管期限過短，保密措施不嚴(yán)。（五）內(nèi)部報(bào)告使用和保管該環(huán)節(jié)的主要風(fēng)險(xiǎn)是：主要管控措施：第一，企業(yè)應(yīng)當(dāng)建立內(nèi)部報(bào)告保管制度。指定專人按類別保管，規(guī)定其保管年限。對(duì)影響重大的內(nèi)部報(bào)告，應(yīng)當(dāng)永久保管。有條件的企業(yè)應(yīng)當(dāng)建立電子內(nèi)部報(bào)告保管庫，分性質(zhì)，按照類別、時(shí)間、保管年限、影響程序及保密要求等分門別類地儲(chǔ)存電子內(nèi)部報(bào)告。第二，企業(yè)應(yīng)當(dāng)制定嚴(yán)格的內(nèi)部報(bào)告保密制度，明確保密內(nèi)容、保密措施、密級(jí)程度和傳遞范圍，防止泄露商業(yè)秘密。有關(guān)公司商業(yè)秘密的重要文件要由企業(yè)較高級(jí)別的管理人員負(fù)責(zé)，具體至少由兩人共同管理，放置在專用保險(xiǎn)箱內(nèi)。查閱保密文件，必須經(jīng)該高層管理人員同意，由兩人分別開啟相應(yīng)的鎖具方可打開。主要管控措施：（六）內(nèi)部報(bào)告的評(píng)估該環(huán)節(jié)主要風(fēng)險(xiǎn)點(diǎn)：企業(yè)缺乏完善的內(nèi)部報(bào)告評(píng)價(jià)體系，對(duì)各信息傳遞環(huán)節(jié)和傳遞方式控制不嚴(yán)，針對(duì)傳遞不及時(shí)、信息不準(zhǔn)確的內(nèi)部報(bào)告缺乏相應(yīng)的懲戒機(jī)制。主要管控措施：第一，企業(yè)應(yīng)建立并完善企業(yè)對(duì)內(nèi)部報(bào)告的評(píng)估制度，嚴(yán)格按照評(píng)估制度對(duì)內(nèi)部報(bào)告進(jìn)行合理評(píng)估，至少每年度對(duì)內(nèi)部報(bào)告進(jìn)行一次評(píng)估，重點(diǎn)關(guān)注內(nèi)部報(bào)告的及時(shí)性，內(nèi)部信息傳遞的有效性和安全性。第二，為保證信息傳遞的及時(shí)準(zhǔn)確，企業(yè)必須執(zhí)行獎(jiǎng)懲機(jī)制。對(duì)經(jīng)常不能及時(shí)或準(zhǔn)確傳遞信息的相關(guān)人員應(yīng)當(dāng)進(jìn)行批評(píng)和教育，并與績(jī)效考核體系掛鉤。（六）內(nèi)部報(bào)告的評(píng)估該環(huán)節(jié)主要風(fēng)險(xiǎn)點(diǎn)：企業(yè)缺乏完善的內(nèi)部第二節(jié)

信息系統(tǒng)（不做要求）《公司治理風(fēng)險(xiǎn)管理和內(nèi)部控制》第六章信息與溝通課件信息系統(tǒng)一、信息系統(tǒng)的定義按照《企業(yè)內(nèi)部控制應(yīng)用指引第18號(hào)——信息系統(tǒng)》的規(guī)定，信息系統(tǒng)是指企業(yè)利用計(jì)算機(jī)和通信技術(shù)，對(duì)內(nèi)部控制進(jìn)行集成、轉(zhuǎn)化和提升所形成的信息化管理平臺(tái)。現(xiàn)代企業(yè)的運(yùn)營(yíng)越來越依賴于信息系統(tǒng)。比如航空公司的網(wǎng)上訂票系統(tǒng)、銀行的資金實(shí)時(shí)結(jié)算系統(tǒng)、攜程旅行網(wǎng)的客戶服務(wù)系統(tǒng)等，沒有信息系統(tǒng)的支撐，業(yè)務(wù)開展就舉步維艱、難以為繼，企業(yè)經(jīng)營(yíng)就很可能陷入癱瘓狀態(tài)。還有一些新興產(chǎn)業(yè)和新興企業(yè)，其商業(yè)模式完全依賴信息系統(tǒng)，各種網(wǎng)絡(luò)公司（新浪、網(wǎng)易、百度）、各種電子商務(wù)公司（比如阿里巴巴、卓越公司），沒有信息系統(tǒng)，這些企業(yè)可能失去生存之基。信息系統(tǒng)一、信息系統(tǒng)的定義信息系統(tǒng)內(nèi)部控制的目標(biāo)是促進(jìn)企業(yè)有效實(shí)施內(nèi)部控制，提高企業(yè)現(xiàn)代化管理水平，減少人為操縱因素；同時(shí)，增強(qiáng)信息系統(tǒng)的安全性、可靠性和合理性以及相關(guān)信息的保密性、完整性和可用性，為建立有效的信息與溝通機(jī)制提供支持保障。信息系統(tǒng)內(nèi)部控制的主要對(duì)象是信息系統(tǒng)，由計(jì)算機(jī)硬件、軟件、人員、信息流和運(yùn)行規(guī)程等要素組成。制造企業(yè)可以將信息系統(tǒng)劃分為財(cái)務(wù)管理系統(tǒng)、人力資源管理系統(tǒng)、MRP系統(tǒng)（銷售、采購、庫存、生產(chǎn)）、計(jì)算機(jī)輔助設(shè)計(jì)和制造系統(tǒng)、客戶關(guān)系系統(tǒng)、電子商務(wù)系統(tǒng)等若干子系統(tǒng)。

《企業(yè)內(nèi)部控制應(yīng)當(dāng)指引第18號(hào)——信息系統(tǒng)》規(guī)定，企業(yè)負(fù)責(zé)人對(duì)信息系統(tǒng)建設(shè)工作負(fù)責(zé)。換言之，信息系統(tǒng)建設(shè)是“一把手”工程。信息系統(tǒng)內(nèi)部控制的目標(biāo)是促進(jìn)企業(yè)有效實(shí)施內(nèi)部控制，提高企業(yè)現(xiàn)2010-3-28chiguohua0913@東財(cái)池國(guó)華案例鏈接

日本瑞穗證券公司因錯(cuò)誤操作損失300億日元2005年12月8日東京股票市場(chǎng)上，日本四大金融集團(tuán)之一的瑞穗金融集團(tuán)下屬瑞穗證券公司因錯(cuò)誤操作嘉克姆公司股票造成公司損失約300億日元(120日元約合1美元)。瑞穗證券公司操盤手當(dāng)天將“以61萬日元的價(jià)格出售1股股票”操作為“以1日元的價(jià)格出售61萬股股票”，這時(shí)操作屏上市場(chǎng)價(jià)格欄中出現(xiàn)了輸入有誤的警告，但由于這一警告經(jīng)常出現(xiàn)，操盤手忽視警告繼續(xù)操作。

2010-3-28chiguohua0913@2010-3-28chiguohua0913@東財(cái)池國(guó)華受錯(cuò)誤操作影響，嘉克姆股票馬上從開盤價(jià)每股67.2萬日元暴跌至當(dāng)日停盤價(jià)57.2萬日元。由于拋售61萬股的預(yù)約已被認(rèn)可，嘉克姆股票實(shí)際上以接近停盤價(jià)被成交，而非1日元。另外，嘉克姆公司實(shí)際發(fā)行股票數(shù)量只有1.45萬股，瑞穗證券公司預(yù)約售出的股票數(shù)量是其發(fā)行量的42倍，屬于賣空行為。瑞穗證券公司必須大量買入嘉克姆公司股票，以使交易成立。因此，嘉克姆股票又馬上急漲至每股77.2萬日元結(jié)束當(dāng)天交易。瑞穗證券公司總裁福田真8日表示，公司已經(jīng)損失270億日元，預(yù)計(jì)最終經(jīng)濟(jì)損失將超過300億日元。這一因操作錯(cuò)誤帶來的損失規(guī)模是史無前例的。2010-3-28chiguohua0913@2010-3-28chiguohua0913@東財(cái)池國(guó)華日本首相小泉純一郎9日對(duì)瑞穗證券公司操作過失一事發(fā)表講話時(shí)說，希望采取萬全之策防止此類事件重演。同一天，日本經(jīng)濟(jì)財(cái)政金融大臣與謝野馨在記者會(huì)上表示，必須徹底查明為什么沒能防止這種人為錯(cuò)誤出現(xiàn)的原因，必須最大限度地維持證券市場(chǎng)的穩(wěn)定。日本金融廳表示要考慮對(duì)瑞穗證券公司進(jìn)行處分，同時(shí)也要求有關(guān)方面查明證券交易系統(tǒng)是否存在問題。2010-3-28chiguohua0913@信息系統(tǒng)二、信息系統(tǒng)的生命周期（一）系統(tǒng)規(guī)劃期（二）系統(tǒng)開發(fā)期（三）系統(tǒng)運(yùn)行與維護(hù)期信息系統(tǒng)二、信息系統(tǒng)的生命周期信息系統(tǒng)信息系統(tǒng)信息系統(tǒng)三、信息系統(tǒng)的開發(fā)方式（一）自行開發(fā)自行開發(fā)是企業(yè)依托自身力量完成整個(gè)開發(fā)過程。優(yōu)點(diǎn)：開發(fā)人員熟悉企業(yè)情況；培養(yǎng)鍛煉自己的開發(fā)隊(duì)伍。缺點(diǎn)：開發(fā)周期較長(zhǎng)；技術(shù)水平和規(guī)范程度較難保證；成功率相對(duì)較低。適用條件：企業(yè)自身技術(shù)力量雄厚，而且市場(chǎng)上沒有能夠滿足企業(yè)需求的成熟的商品化軟件和解決方案。百度的搜索引擎系統(tǒng)就偏重于自行開發(fā)。信息系統(tǒng)三、信息系統(tǒng)的開發(fā)方式信息系統(tǒng)三、信息系統(tǒng)的開發(fā)方式（二）外購調(diào)試外購調(diào)式的基本做法是企業(yè)購買成熟的商品化軟件，通過參數(shù)配置和二次開發(fā)滿足企業(yè)需求。優(yōu)點(diǎn)：開發(fā)建設(shè)周期短；成功率較高；成熟的商品化軟件質(zhì)量穩(wěn)定，可靠性高；專業(yè)的軟件提供商實(shí)施經(jīng)驗(yàn)豐富。缺點(diǎn)：系統(tǒng)的后期升級(jí)進(jìn)度受制于商品化軟件供應(yīng)商產(chǎn)品更新?lián)Q代的速度，企業(yè)自主權(quán)不強(qiáng)，較為被動(dòng)。適用條件：企業(yè)的特殊需求較少，市場(chǎng)上已有成熟的商品化軟件和系統(tǒng)實(shí)施方案。大部分企業(yè)的財(cái)務(wù)管理系統(tǒng)、ERP系統(tǒng)、人力資源管理系統(tǒng)、教學(xué)管理系統(tǒng)等多采用外購調(diào)試方式。信息系統(tǒng)三、信息系統(tǒng)的開發(fā)方式信息系統(tǒng)三、信息系統(tǒng)的開發(fā)方式（三）業(yè)務(wù)外包信息系統(tǒng)的業(yè)務(wù)外包是指委托其他單位開發(fā)信息系統(tǒng)。優(yōu)點(diǎn)：充分利用專業(yè)公司的專業(yè)優(yōu)勢(shì)；節(jié)約了人力資源成本。缺點(diǎn)：溝通成本高；要求企業(yè)必須加大對(duì)外包項(xiàng)目的監(jiān)督力度。適用條件：市場(chǎng)上沒有能夠滿足企業(yè)需求的成熟的商品化軟件和解決方案，企業(yè)自身技術(shù)力量薄弱或出于成本效益原則考慮不愿意維持龐大的開發(fā)隊(duì)伍。信息系統(tǒng)三、信息系統(tǒng)的開發(fā)方式江蘇電力:將財(cái)務(wù)信息化進(jìn)行到底“江蘇省電力公司的信息化歷程和實(shí)踐，是以會(huì)計(jì)信息化為基礎(chǔ)，財(cái)務(wù)信息化為核心，實(shí)現(xiàn)公司全面管理的信息化?！苯K電力總經(jīng)理費(fèi)圣英在接受《中國(guó)會(huì)計(jì)報(bào)》記者采訪時(shí)，用精煉的一句話道出了該企業(yè)財(cái)務(wù)信息化的實(shí)踐論和方法論。江蘇電力作為一家擁有上千億資產(chǎn)的省級(jí)電網(wǎng)公司，在全面推進(jìn)財(cái)務(wù)信息化、以及財(cái)務(wù)信息化與企業(yè)信息化的全面融合方面已遠(yuǎn)遠(yuǎn)地走在了前面。江蘇電力:將財(cái)務(wù)信息化進(jìn)行到底“江蘇省電力公司的信息化歷1.從會(huì)計(jì)信息化到財(cái)務(wù)信息化“要實(shí)現(xiàn)財(cái)務(wù)對(duì)企業(yè)管理的統(tǒng)籌作用，就必須要有一套高效的財(cái)務(wù)管理系統(tǒng)?！辟M(fèi)圣英一直認(rèn)為，財(cái)務(wù)管理在整個(gè)企業(yè)管理中處于核心地位，要以信息系統(tǒng)建設(shè)為手段強(qiáng)化財(cái)務(wù)控制，提高經(jīng)營(yíng)管理水平。由江蘇電力自主研發(fā)的FMIS（財(cái)務(wù)管理信息化系統(tǒng)）就在這樣的背景下誕生了。江蘇電力的會(huì)計(jì)信息化早在1992年就已開始，最初使用的是較為成熟的電算化軟件。1995年起，公司系統(tǒng)開始自主研發(fā)可在全系統(tǒng)運(yùn)行的財(cái)務(wù)軟件。在不斷實(shí)踐中，江蘇電力又探索出了“預(yù)算管理、內(nèi)部控制、會(huì)計(jì)核算三位一體的信息化管理模式”。公司在核算型信息系統(tǒng)的基礎(chǔ)上，納入基于預(yù)算管理、流程控制的全面管理，形成全面的財(cái)務(wù)管理信息系統(tǒng)。

1.從會(huì)計(jì)信息化到財(cái)務(wù)信息化“要實(shí)現(xiàn)財(cái)務(wù)對(duì)企業(yè)管理的統(tǒng)籌作用2.基于FMIS（財(cái)務(wù)管理信息系統(tǒng)）的財(cái)務(wù)內(nèi)部控制江蘇電力有著嚴(yán)格的預(yù)算管理，對(duì)資金的管理要求非常細(xì)化。根據(jù)規(guī)定，其下轄的市縣級(jí)公司，20萬元以上的資金需求需要提前一個(gè)月上報(bào)，20萬元以內(nèi)的需要一周以內(nèi)上報(bào)。江蘇電力的13個(gè)市（地級(jí)）供電公司、58個(gè)縣（區(qū)）供電公司等分公司的資金預(yù)算管理全部都是通過FMIS實(shí)現(xiàn)?；贔MIS平臺(tái)，公司預(yù)算控制、資金管理、財(cái)務(wù)分析等各方面的財(cái)務(wù)管理職能都得以在系統(tǒng)中運(yùn)轉(zhuǎn)實(shí)現(xiàn)。在從核算型系統(tǒng)向管理型系統(tǒng)逐步延伸的過程中，F(xiàn)MIS將內(nèi)部控制管理規(guī)定中的部門職責(zé)、標(biāo)準(zhǔn)流程、政策法規(guī)、權(quán)限金額等一系列內(nèi)容全部“固化”在系統(tǒng)程序中，從而達(dá)到內(nèi)部控制標(biāo)準(zhǔn)對(duì)各項(xiàng)經(jīng)濟(jì)業(yè)務(wù)約束的“自動(dòng)”實(shí)現(xiàn)。

2.基于FMIS（財(cái)務(wù)管理信息系統(tǒng)）的財(cái)務(wù)內(nèi)部控制江蘇電力有3.各系統(tǒng)和諧相融

江蘇電力整個(gè)信息系統(tǒng)包括了公司財(cái)務(wù)會(huì)計(jì)、生產(chǎn)、物流、營(yíng)銷、人力資源等21個(gè)子系統(tǒng)，各部門可以即時(shí)、方便地調(diào)取各個(gè)系統(tǒng)的資料。這得益于江蘇電力自主探索實(shí)踐的“集中集成”的信息化之路。

“企業(yè)信息化必須將財(cái)務(wù)管理系統(tǒng)與企業(yè)其他管理系統(tǒng)整合在一個(gè)平臺(tái)上，實(shí)現(xiàn)信息互通，資源共享，江蘇電力是通過‘集中集成’實(shí)現(xiàn)這一目標(biāo)的?！辟M(fèi)圣英告訴《中國(guó)會(huì)計(jì)報(bào)》。

“我們的目標(biāo)是，在不久的將來借助信息化的手段讓企業(yè)的全部信息都實(shí)現(xiàn)陽光化透明化，最終接受整個(gè)社會(huì)的監(jiān)督?！?.各系統(tǒng)和諧相融江蘇電力整個(gè)信息系統(tǒng)包括了公司財(cái)務(wù)會(huì)信息系統(tǒng)四、信息技術(shù)過程控制體系（COBIT）國(guó)際信息系統(tǒng)審計(jì)與控制協(xié)會(huì)（ISACA）提出《信息和相關(guān)技術(shù)的控制目標(biāo)》（COBIT）。COBIT是一個(gè)基于IT治理概念的、面向IT建設(shè)過程中的IT治理實(shí)現(xiàn)指南和審計(jì)標(biāo)準(zhǔn)，被認(rèn)為是COSO框架的補(bǔ)充框架。COBIT的目標(biāo)是為信息系統(tǒng)設(shè)計(jì)提供具有高度可靠性和可操作性的、公認(rèn)的信息安全和控制評(píng)價(jià)標(biāo)準(zhǔn)。案例6-1中化集團(tuán)運(yùn)用COBIT的IT治理之道信息系統(tǒng)四、信息技術(shù)過程控制體系（COBIT）信息系統(tǒng)信息系統(tǒng)信息系統(tǒng)五、信息系統(tǒng)開發(fā)的主要風(fēng)險(xiǎn)點(diǎn)及其控制措施（自閱）（一）信息系統(tǒng)開發(fā)的主要風(fēng)險(xiǎn)點(diǎn)1．信息系統(tǒng)規(guī)劃時(shí)期的主要風(fēng)險(xiǎn)點(diǎn)案例6-2國(guó)內(nèi)電力企業(yè)的“信息孤島”和國(guó)家電網(wǎng)公司的“SG186工程”2．信息系統(tǒng)自行開發(fā)方式的主要風(fēng)險(xiǎn)點(diǎn)成本過高、產(chǎn)品不能滿足企業(yè)需要。3．其他開發(fā)方式的主要風(fēng)險(xiǎn)點(diǎn)業(yè)務(wù)外包：外包商選擇不當(dāng)，導(dǎo)致信息泄密、成本增加等外購：產(chǎn)品不適合企業(yè)，供應(yīng)商的服務(wù)能力有限。信息系統(tǒng)五、信息系統(tǒng)開發(fā)的主要風(fēng)險(xiǎn)點(diǎn)及其控制措施（自閱）信息系統(tǒng)五、信息系統(tǒng)開發(fā)的主要風(fēng)險(xiǎn)點(diǎn)及其控制措施（二）信息系統(tǒng)開發(fā)的關(guān)鍵控制措施1．系統(tǒng)規(guī)劃2．自行開發(fā)加強(qiáng)信息系統(tǒng)的管控工作3．其他開發(fā)方式的主要控制措施

選擇信譽(yù)好的外包商或供應(yīng)商信息系統(tǒng)五、信息系統(tǒng)開發(fā)的主要風(fēng)險(xiǎn)點(diǎn)及其控制措施信息系統(tǒng)六、信息系統(tǒng)運(yùn)營(yíng)與維護(hù)的主要風(fēng)險(xiǎn)點(diǎn)及其控制措施（一）日常運(yùn)行維護(hù)的關(guān)鍵控制點(diǎn)和主要控制措施這一環(huán)節(jié)的主要風(fēng)險(xiǎn)是：第一，沒有建立規(guī)范的信息系統(tǒng)日常運(yùn)行管理規(guī)范，計(jì)算機(jī)軟硬件的內(nèi)在隱患易于爆發(fā)，可能導(dǎo)致企業(yè)信息系統(tǒng)出錯(cuò)。第二，沒有執(zhí)行例行檢查，導(dǎo)致一些人為惡意攻擊會(huì)長(zhǎng)期隱藏在系統(tǒng)中，可能造成嚴(yán)重?fù)p失。第三，企業(yè)信息系統(tǒng)數(shù)據(jù)未能定期備份，可能導(dǎo)致?lián)p壞后無法恢復(fù)，從而造成重大損失。信息系統(tǒng)六、信息系統(tǒng)運(yùn)營(yíng)與維護(hù)的主要風(fēng)險(xiǎn)點(diǎn)及其控制措施主要控制措施：第一，企業(yè)應(yīng)制定信息系統(tǒng)使用操作程序、信息管理制度以及各模塊子系統(tǒng)的具體操作規(guī)范，及時(shí)跟蹤、發(fā)現(xiàn)和解決系統(tǒng)運(yùn)行中存在的問題，確保信息系統(tǒng)按照規(guī)定的程序、制度和操作規(guī)范持續(xù)穩(wěn)定運(yùn)行。第二，切實(shí)做好系統(tǒng)運(yùn)行記錄，尤其是對(duì)于系統(tǒng)運(yùn)行不正?；驘o法運(yùn)行的情況，應(yīng)將異?，F(xiàn)象、發(fā)生時(shí)間和可能的原因作出詳細(xì)記錄。第三，企業(yè)要重視系統(tǒng)運(yùn)行的日常維護(hù)，在硬件方面，日常維護(hù)主要包括各種設(shè)備的保養(yǎng)與安全管理、故障的診斷與排除、易耗品的更換與安裝等，這些工作應(yīng)由專人負(fù)責(zé)。主要控制措施：（二）系統(tǒng)變更的關(guān)鍵控制點(diǎn)和主要控制措施系統(tǒng)變更主要包括硬件的升級(jí)擴(kuò)容、軟件的修改與升級(jí)等。這一環(huán)節(jié)的主要風(fēng)險(xiǎn)是：第一，企業(yè)沒有建立嚴(yán)格的變更申請(qǐng)、審批、執(zhí)行、測(cè)試流程，導(dǎo)致系統(tǒng)隨意變更。第二，系統(tǒng)變更后的效果達(dá)不到預(yù)期目標(biāo)。主要控制措施：保證變更過程得到適當(dāng)?shù)氖跈?quán)與管理層的批準(zhǔn)，并對(duì)變更進(jìn)行測(cè)試。信息系統(tǒng)操作人員不得擅自進(jìn)行軟件的刪除、修改、升級(jí)、改變軟件版本、改變軟件系統(tǒng)的環(huán)境配置。（二）系統(tǒng)變更的關(guān)鍵控制點(diǎn)和主要控制措施（三）安全管理的關(guān)鍵控制點(diǎn)和主要控制措施這一環(huán)節(jié)的主要風(fēng)險(xiǎn)是：第一，硬件設(shè)備分布物理范圍廣，設(shè)備種類繁多，安全管理難度大，可能導(dǎo)致設(shè)備生命周期短。第二，業(yè)務(wù)部門信息安全意識(shí)薄弱，對(duì)系統(tǒng)和信息安全缺乏有效的監(jiān)管手段，可能導(dǎo)致舞弊和利用計(jì)算機(jī)犯罪。第三，對(duì)系統(tǒng)程序的缺陷或漏洞安全防護(hù)不夠，導(dǎo)致遭受黑客攻擊，造成信息泄露。第四，對(duì)各種計(jì)算機(jī)病毒防范清理不力，導(dǎo)致系統(tǒng)運(yùn)行不穩(wěn)定甚至癱瘓。（三）安全管理的關(guān)鍵控制點(diǎn)和主要控制措施主要控制措施：第一，建立信息系統(tǒng)相關(guān)資產(chǎn)的管理制度，保證電子設(shè)備的安全。第二，企業(yè)應(yīng)成立專門的信息系統(tǒng)安全管理機(jī)構(gòu)。企業(yè)應(yīng)當(dāng)按照國(guó)家相關(guān)法律法規(guī)以及信息安全技術(shù)標(biāo)準(zhǔn)，制定信息系統(tǒng)安全實(shí)施細(xì)則。第四，企業(yè)應(yīng)當(dāng)有效利用IT技術(shù)手段，對(duì)硬件配置調(diào)整、軟件參數(shù)修改嚴(yán)加控制?！獢?shù)據(jù)加密、授權(quán)控制第五，企業(yè)委托專業(yè)機(jī)構(gòu)進(jìn)行系統(tǒng)運(yùn)行與維護(hù)管理的，應(yīng)當(dāng)嚴(yán)格審查其資質(zhì)條件、市場(chǎng)聲譽(yù)和信用狀況等，并與其簽訂正式的服務(wù)合同和保密協(xié)議。第六，企業(yè)應(yīng)當(dāng)采取安裝安全軟件等措施防范信息系統(tǒng)受到病毒等惡意軟件的感染和破壞。——防火墻、病毒防護(hù)主要控制措施：第一，建立信息系統(tǒng)相關(guān)資產(chǎn)的管理制度，保證電子第七，企業(yè)應(yīng)當(dāng)建立系統(tǒng)數(shù)據(jù)定期備份制度，明確備份范圍、頻度、方法、責(zé)任人、存放地點(diǎn)、有效性檢查等內(nèi)容。第八，企業(yè)應(yīng)當(dāng)建立信息系統(tǒng)開發(fā)、運(yùn)行與維護(hù)等環(huán)節(jié)的崗位責(zé)任制度和不相容職務(wù)分離制度。系統(tǒng)開發(fā)和變更過程中不相容崗位（或職責(zé)）一般應(yīng)包括：開發(fā)（或變更）立項(xiàng)、審批、編程、測(cè)試。系統(tǒng)訪問過程中不相容崗位（或職責(zé)）一般應(yīng)包括：申請(qǐng)、審批、操作、監(jiān)控。第九，企業(yè)應(yīng)積極開展信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估工作，定期對(duì)信息系統(tǒng)進(jìn)行安全評(píng)估，及時(shí)發(fā)現(xiàn)系統(tǒng)安全問題并加以整改。第七，企業(yè)應(yīng)當(dāng)建立系統(tǒng)數(shù)據(jù)定期備份制度，明確備份范圍、頻度、CSDN泄密案CSDN創(chuàng)立于1999年，是中國(guó)最大的中文IT知識(shí)服務(wù)集團(tuán)。目前，網(wǎng)站擁有2000萬注冊(cè)用戶、50萬注冊(cè)企業(yè)及合作伙伴，日訪問量約2000萬次。國(guó)內(nèi)程序員社區(qū)CSDN的安全系統(tǒng)2011年12月遭到黑客攻擊，CSDN數(shù)據(jù)庫中的600萬用戶的登錄名及密碼遭到泄露。隨后，天涯社區(qū)、世紀(jì)佳緣、開心網(wǎng)等十余家國(guó)內(nèi)知名網(wǎng)站近5000萬用戶的信息在網(wǎng)上被黑客公布。CSDN回應(yīng)稱，經(jīng)過初步分析，該庫系2009年CSDN作為備份所用。北京警方對(duì)CSDN網(wǎng)站開展了調(diào)查，發(fā)現(xiàn)其未落實(shí)國(guó)家信息安全等級(jí)保護(hù)制度，安全管理制度和技術(shù)保護(hù)措施落實(shí)不到位是造成用戶信息泄露的主要原因。安恒信息技術(shù)公司給CSDN提供的審計(jì)報(bào)告顯示，由于CSDN網(wǎng)站開源系統(tǒng)等第三方系統(tǒng)存在第三方系統(tǒng)漏洞、已停用的老系統(tǒng)、應(yīng)用程序漏洞、系統(tǒng)后臺(tái)認(rèn)證等四大問題，使其網(wǎng)站存在安全風(fēng)險(xiǎn)，泄露了大量信息。CSDN泄密案C（四）系統(tǒng)終結(jié)的關(guān)鍵控制點(diǎn)和主要控制措施系統(tǒng)終結(jié)是信息系統(tǒng)生命周期的最后一個(gè)階段，在該階段信息系統(tǒng)將停止運(yùn)行。停止運(yùn)行的原因通常有：企業(yè)破產(chǎn)或被兼并、原有信息系統(tǒng)被新的信息系統(tǒng)代替。這一環(huán)節(jié)的主要風(fēng)險(xiǎn)是，第一，因經(jīng)營(yíng)條件發(fā)生劇變，數(shù)據(jù)可能泄密。第二，信息檔案的保管期限不夠長(zhǎng)。主要控制措施：第一，要做好善后工作，不管因何種情況導(dǎo)致系統(tǒng)停止運(yùn)行，都應(yīng)將廢棄系統(tǒng)中有價(jià)值或者涉密的信息進(jìn)行銷毀、轉(zhuǎn)移。第二，嚴(yán)格按照國(guó)家有關(guān)法規(guī)制度和對(duì)電子檔案的管理規(guī)定（比如審計(jì)準(zhǔn)則對(duì)審計(jì)證據(jù)保管年限的要求），妥善保管相關(guān)信息檔案。（四）系統(tǒng)終結(jié)的關(guān)鍵控制點(diǎn)和主要控制措施第三節(jié)

溝通《公司治理風(fēng)險(xiǎn)管理和內(nèi)部控制》第六章信息與溝通課件溝通一、溝通的內(nèi)涵溝通是把信息提供給適當(dāng)?shù)娜藛T，以便他們能夠履行與經(jīng)營(yíng)、財(cái)務(wù)報(bào)告和合規(guī)相關(guān)的職責(zé)。溝通是技術(shù)性的，已經(jīng)在管理工作中得到廣泛的應(yīng)用，但比技術(shù)更有意義的是企業(yè)組織內(nèi)外部的有效交流。溝通可分為正式溝通和非正式溝通（按渠道劃分）、內(nèi)部溝通和外部溝通（按對(duì)象劃分）溝通一、溝通的內(nèi)涵溝通二、內(nèi)部溝通方式電子溝通（互聯(lián)網(wǎng)、電子郵件、電話傳真/方便快捷、但不太安全)書面溝通（內(nèi)部報(bào)告、員工手冊(cè)、內(nèi)部刊物、教育培訓(xùn)資料/規(guī)范、準(zhǔn)確、但成本高)口頭溝通（會(huì)議、講座/迅速、靈活，但易失真）企業(yè)員工應(yīng)當(dāng)采取電子溝通、書面溝通、口頭溝通等多種方式，實(shí)現(xiàn)所需的內(nèi)部信息、外部信息在企業(yè)內(nèi)部準(zhǔn)確、及時(shí)地傳遞和分享，確保董事會(huì)、管理層和企業(yè)員工之間有效溝通。案例6-7中國(guó)五礦的戰(zhàn)略質(zhì)詢會(huì)制度

溝通二、內(nèi)部溝通方式中國(guó)五礦的戰(zhàn)略質(zhì)詢會(huì)制度

任何戰(zhàn)略方案,如果沒有督促和考核,就很難實(shí)施和完成。五礦在實(shí)施階段采取兩個(gè)辦法:一個(gè)是季度考核督促,一個(gè)是年度考核督促。前者是戰(zhàn)略質(zhì)詢會(huì),主要在板塊和職能部門層面。后者為平衡計(jì)分卡,最終細(xì)化到職工層面。所謂戰(zhàn)略質(zhì)詢會(huì),是每季度舉行的一次跟蹤、檢查、研討五礦集團(tuán)戰(zhàn)略實(shí)施工作的重要會(huì)議,由集團(tuán)公司總裁辦公會(huì)成員和戰(zhàn)略委員會(huì)委員全體參加。

中國(guó)五礦的戰(zhàn)略質(zhì)詢會(huì)制度任

戰(zhàn)略質(zhì)詢會(huì)最初針對(duì)的是各個(gè)板塊。其程序一般是:首先由經(jīng)營(yíng)單位領(lǐng)導(dǎo)人對(duì)上一個(gè)季度的情況———經(jīng)營(yíng)完成的情況、戰(zhàn)略推進(jìn)的情況、存在的問題、下一步的工作措施、有哪些需要集團(tuán)公司支持的方面———進(jìn)行匯報(bào);匯報(bào)完以后,由企劃部門、財(cái)務(wù)、人事和投資等部門進(jìn)行質(zhì)詢,對(duì)經(jīng)營(yíng)單位提出來的問題和要求給予回答;最后由集團(tuán)公司領(lǐng)導(dǎo)對(duì)他們進(jìn)行質(zhì)詢,總裁進(jìn)行總結(jié)。質(zhì)詢會(huì)結(jié)束以后,要寫出戰(zhàn)略質(zhì)詢會(huì)的紀(jì)要,進(jìn)一步推動(dòng)落實(shí)。戰(zhàn)略質(zhì)詢會(huì)最初針對(duì)的是各個(gè)板塊。其程序一般是:內(nèi)部溝通向上溝通一般員工——部門主管管理層——董事會(huì)特殊渠道：一般員工——高管企業(yè)應(yīng)在實(shí)際工作中嘗試精簡(jiǎn)信息系統(tǒng)的處理程序，使信息在企業(yè)內(nèi)部更快地傳遞。對(duì)于重要緊急的信息，可以越級(jí)向董事會(huì)、監(jiān)事會(huì)或經(jīng)理層直接報(bào)告，便于相關(guān)負(fù)責(zé)人迅速做出決策。向下溝通董事會(huì)——管理層——部門主管——一般員工平行溝通采購部門——生產(chǎn)部門——銷售部門——財(cái)務(wù)部門內(nèi)部溝通向上溝通相關(guān)鏈接：波音公司在1994年以前遇到一些困難，總裁康迪上任后，經(jīng)常邀請(qǐng)高級(jí)經(jīng)理們到自己的家中共進(jìn)晚餐，然后在屋外圍著個(gè)大火坑講述有關(guān)波音的故事?？档险?qǐng)這些經(jīng)理們把不好的故事寫下來扔到火里燒掉，以此埋葬波音歷史上的“陰暗”面。只保留那些振奮人心的故事，以此鼓舞士氣。

愛立信是一個(gè)“百年老店”，每年公司的員工都會(huì)有一次與人力資源經(jīng)理或主管經(jīng)理的個(gè)人面談時(shí)間，在上級(jí)的幫助下制定個(gè)人發(fā)展計(jì)劃，以跟上公司業(yè)務(wù)發(fā)展，甚至超越公司發(fā)展步伐。該公司認(rèn)為，一個(gè)企業(yè)要保持領(lǐng)先的地位，最重要的一點(diǎn)是員工的整體素質(zhì)能夠保持領(lǐng)先。

在惠普公司，總裁的辦公室從來沒有門，員工受到頂頭上司的不公正待遇或看到公司發(fā)生問題時(shí)，可以直接提出，還可越級(jí)反映。這種企業(yè)文化使得人與人之間相處時(shí)，