信息技術(shù)在內(nèi)部控制中的應(yīng)用

信息技術(shù)在內(nèi)部控制中的應(yīng)用第1頁(yè)引言內(nèi)部控制一直是企業(yè)管理，尤其財(cái)會(huì)領(lǐng)域關(guān)注的熱門話題。然而直至今天，國(guó)內(nèi)外企業(yè)，尤其是一些知名企業(yè)的一系列財(cái)務(wù)造假舞弊丑聞，暴露了企業(yè)（包括上市公司）在內(nèi)部控制方面依舊存在嚴(yán)重問(wèn)題。從巴林銀行倒閉事件看信息化內(nèi)部管控>>1995年2月26日，巴林銀行被英國(guó)央行宣布倒閉，作為一家擁有232年歷史，曾經(jīng)排名世界前三的貴族銀行，連伊麗莎白女王也是它的長(zhǎng)期客戶。>>它的破產(chǎn)不僅震驚英倫三島，而且極大地震動(dòng)了全世界的金融界，導(dǎo)致英鎊匯率和銀行股票的大幅下滑，同時(shí)也波及到其他金融市場(chǎng)，引起了世界股市的下挫。>>10天后，這家擁有悠久歷史的銀行以1英鎊的象征性價(jià)格被荷蘭國(guó)際集團(tuán)收購(gòu)。從一個(gè)錯(cuò)誤賬號(hào)和一個(gè)員工冒險(xiǎn)引起的連鎖反應(yīng)>>1992年巴林銀行有一個(gè)賬號(hào)為“99905”的“錯(cuò)誤賬號(hào)”，專門處理交易過(guò)程中因疏忽造成的差錯(cuò)，如將買入誤為賣出等等。新加坡巴林期貨公司的差錯(cuò)記錄均進(jìn)入這一賬號(hào)，并發(fā)往倫敦總部。>>1992年夏天，倫敦總部的清算負(fù)責(zé)人喬丹·鮑塞要求員工尼克·里森另外開設(shè)一個(gè)“錯(cuò)誤賬戶”，以記錄小額差錯(cuò)，并自行處理，以省卻倫敦的麻煩。受新加坡華人文化影響，里森新開了一個(gè)“88888”的錯(cuò)誤賬戶。>>數(shù)周之后，巴林總部換了一套新的電腦系統(tǒng)，重新決定新加坡巴林期貨公司的所有差錯(cuò)記錄仍經(jīng)由“99905”賬戶向倫敦報(bào)告。>>“88888”差錯(cuò)賬戶因此擱置不用，但卻成為一個(gè)真正的錯(cuò)誤賬戶留存在電腦之中。這個(gè)被人疏忽的賬戶后來(lái)就成為里森造假的工具。>>從此，該賬戶一直被里森用來(lái)吸收其他差錯(cuò)業(yè)務(wù)。隨著里森的職務(wù)提升，該賬戶虧損數(shù)額也日趨增長(zhǎng)至600萬(wàn)英鎊，以致無(wú)法用個(gè)人收入填平，這時(shí)他已經(jīng)不敢向總部報(bào)告這個(gè)情況了。在這種情況下，里森被迫嘗試以自營(yíng)收入來(lái)彌補(bǔ)虧損。幸運(yùn)的是，到1993年7月，他操作的日經(jīng)期貨交易獲得成功，“88888”賬戶居然由于自營(yíng)獲利而轉(zhuǎn)虧為盈。>>然而，在隨后的一年中，里森看好日本經(jīng)濟(jì)能走出衰退。于是大量買進(jìn)日經(jīng)225指數(shù)期貨合約和看漲期權(quán)。然而“人算不如天算”,到1995年1月，已經(jīng)損失高達(dá)2.1億英鎊。>>這時(shí)的情況雖然糟糕，但如果及時(shí)發(fā)現(xiàn)，還不至于能撼動(dòng)巴林銀行。然而，里森為了反敗為勝，瘋狂補(bǔ)倉(cāng)，以“杠桿效應(yīng)”放大了幾十倍的期貨合約。>>在隨后一個(gè)月，日經(jīng)股價(jià)指數(shù)急劇下挫，里森的損失則激增至令人咋舌的8.6億英鎊。>>所有這些交易均進(jìn)入“88888”賬戶。為維持?jǐn)?shù)額如此巨大的交易，每天需要3000—4000萬(wàn)英鎊。>>令人吃驚的時(shí)，巴林總部到此時(shí)依舊沒(méi)有發(fā)現(xiàn)問(wèn)題，竟然接受里森的各種理由，照付不誤。2月中旬，巴林總部轉(zhuǎn)至新加坡5億多英鎊，已超過(guò)了其47000萬(wàn)英鎊的股本資金。令人感到諷刺的是：>>3月2日凌晨，里森被捕，隨后被新加坡法庭以非法投機(jī)并致使巴林銀行倒閉的財(cái)務(wù)欺詐罪名判處里森有期徒刑6年6個(gè)月，因其在獄中表現(xiàn)良好，提前于1999年7月3日獲釋出獄。>>尼克·里森在獄中完成的《我如何弄垮巴林銀行》一書，并在他出獄之后被拍成了電影。>>故事總是在不斷重復(fù)上演的。2006年3月，因擅自從事石油衍生品期權(quán)交易導(dǎo)致5.5億美元巨虧的中國(guó)航油新加坡公司總裁陳久霖入獄。>>當(dāng)然，當(dāng)事人情況和里森不一樣，更多是決策上的失誤，但是，在越權(quán)從事石油金融衍生產(chǎn)品投機(jī)過(guò)程中，陳久霖竟然同時(shí)具有授權(quán)、執(zhí)行、檢查與監(jiān)督功能，沒(méi)有遇到任何阻攔與障礙，足見中航油在職能分工方面存在的嚴(yán)重問(wèn)題。>>2008年1月，因期貨交易員杰羅姆·凱維埃爾在未經(jīng)授權(quán)情況下大量購(gòu)買歐洲股指期貨，形成49億歐元（約71億美元）的巨額虧空，創(chuàng)下世界銀行業(yè)迄今為止因員工違規(guī)操作而蒙受的單筆金額損失紀(jì)錄，觸發(fā)了法國(guó)乃至整個(gè)歐洲的金融震蕩，并波及全球股市，引發(fā)暴跌。如何加強(qiáng)企業(yè)管理中的監(jiān)管、授權(quán)、風(fēng)險(xiǎn)評(píng)價(jià)？這需要內(nèi)部控制不斷實(shí)踐和完善；更需要通過(guò)信息技術(shù)將企業(yè)內(nèi)部控制進(jìn)行“落地”。將內(nèi)部控制和信息化技術(shù)有機(jī)結(jié)合，實(shí)現(xiàn)業(yè)務(wù)和事項(xiàng)的自動(dòng)控制、提前預(yù)警，減少或消除因?yàn)槿藶椴僮饕蛩?，或者管理人員非理性的決策，這應(yīng)該是企業(yè)內(nèi)部控制基本規(guī)范實(shí)施的主要思路。目錄1內(nèi)部控制與信息化應(yīng)用2內(nèi)部控制與流程管理3內(nèi)部控制與風(fēng)險(xiǎn)管理4內(nèi)部控制與信息安全5內(nèi)部控制信息化系統(tǒng)實(shí)施內(nèi)部控制與信息化應(yīng)用學(xué)習(xí)目標(biāo)1了解內(nèi)部控制的基本概念2了解內(nèi)部控制的發(fā)展歷程和變化過(guò)程3把握內(nèi)部控制與信息化建設(shè)的關(guān)系4了解信息技術(shù)對(duì)內(nèi)部控制的影響什么是內(nèi)部控制？美國(guó)審計(jì)準(zhǔn)則委員會(huì)（ASB）對(duì)內(nèi)部控制提出了如下定義：“內(nèi)部控制是在一定的環(huán)境下，單位為了提高經(jīng)營(yíng)效率、充分有效地獲得和使用各種資源，達(dá)到既定管理目標(biāo)，而在單位內(nèi)部實(shí)施的各種制約和調(diào)節(jié)的組織、計(jì)劃、程序和方法?！?008年我國(guó)頒布的《企業(yè)內(nèi)部控制基本規(guī)范》在借鑒國(guó)外先進(jìn)理念的基礎(chǔ)上，立足我國(guó)企業(yè)實(shí)際情況，將內(nèi)部控制定義為：由企業(yè)董事會(huì)、監(jiān)事會(huì)、經(jīng)理層和全體員工實(shí)施的、旨在實(shí)現(xiàn)控制目標(biāo)的過(guò)程。內(nèi)部控制的目標(biāo)是合理保證企業(yè)經(jīng)營(yíng)管理合法合規(guī)，資產(chǎn)安全，財(cái)務(wù)報(bào)告及相關(guān)信息真實(shí)、完整，提高經(jīng)營(yíng)效率和效果，促進(jìn)企業(yè)實(shí)現(xiàn)發(fā)展戰(zhàn)略。內(nèi)部控制的發(fā)展歷程相關(guān)內(nèi)容1.內(nèi)部牽制階段（1940年度以前）內(nèi)部牽制是指以提供有效的組織和經(jīng)營(yíng)，并防止錯(cuò)誤和其他非法業(yè)務(wù)發(fā)生的業(yè)務(wù)流程設(shè)計(jì)。內(nèi)部牽制是以不相容職務(wù)分離為主要內(nèi)容的流程設(shè)計(jì)，是內(nèi)控的最初形式。2.內(nèi)部控制制度階段（20世紀(jì)40－80年代）內(nèi)部控制由早期的比較單一的內(nèi)部牽制演變?yōu)樯婕敖M織結(jié)構(gòu)、崗位職責(zé)、人員素質(zhì)、業(yè)務(wù)處理程序和內(nèi)部審計(jì)等比較嚴(yán)密的內(nèi)部控制制度體系，分為內(nèi)部會(huì)計(jì)控制和內(nèi)部管理控制兩個(gè)部分。3.內(nèi)部控制結(jié)構(gòu)階段（20世紀(jì)80－90年代）企業(yè)內(nèi)部控制結(jié)構(gòu)包括為合理保證企業(yè)特定目標(biāo)的實(shí)現(xiàn)而建立的各種政策和程序，由控制環(huán)境、會(huì)計(jì)系統(tǒng)和控制程序三個(gè)要素組成?？刂骗h(huán)境包括組織結(jié)構(gòu)設(shè)計(jì)、職責(zé)權(quán)限確定、管理者的經(jīng)營(yíng)風(fēng)格和員工的素質(zhì)等；會(huì)計(jì)系統(tǒng)包括對(duì)各項(xiàng)經(jīng)濟(jì)業(yè)務(wù)的確認(rèn)、計(jì)量、記錄和報(bào)告等；控制程序包括授權(quán)批準(zhǔn)、不相容職務(wù)相互分離、對(duì)資產(chǎn)限制接近和對(duì)經(jīng)濟(jì)業(yè)務(wù)獨(dú)立審核等。4.內(nèi)部控制整合框架階段（20世紀(jì)90年代－今）1992年美國(guó)反虛假財(cái)務(wù)報(bào)告委員會(huì)所屬的發(fā)起組織委員會(huì)（COSO）《內(nèi)部控制整合框架》指出，內(nèi)部控制是由企業(yè)董事會(huì)、經(jīng)理層和其他員工實(shí)施的，為營(yíng)運(yùn)的效率效果、財(cái)務(wù)報(bào)告的可靠性、相關(guān)法令的遵循等目標(biāo)的達(dá)成而提供合理保證的過(guò)程，包括五個(gè)要素：①控制環(huán)境；②風(fēng)險(xiǎn)評(píng)估；③控制活動(dòng)；④信息與溝通；⑤監(jiān)控。5.風(fēng)險(xiǎn)管理整合框架階段（2004年以后）第4和第5階段，有時(shí)候也統(tǒng)稱內(nèi)部控制的整合框架階段2004年美國(guó)COSO委員會(huì)頒布的《企業(yè)風(fēng)險(xiǎn)管理——整體框架》指出，全面風(fēng)險(xiǎn)管理是一個(gè)過(guò)程，它由一個(gè)主體的董事會(huì)、管理當(dāng)局和其他人員實(shí)施，應(yīng)用于戰(zhàn)略制定并貫穿于企業(yè)之中，旨在識(shí)別可能會(huì)影響主體的潛在事項(xiàng)，管理風(fēng)險(xiǎn)以使其在該主體的風(fēng)險(xiǎn)容量之內(nèi)，并為主體目標(biāo)的實(shí)現(xiàn)提供合理保證，包括八個(gè)要素：①內(nèi)部環(huán)境；②目標(biāo)設(shè)定；③事項(xiàng)識(shí)別；④風(fēng)險(xiǎn)評(píng)估；⑤風(fēng)險(xiǎn)應(yīng)對(duì)；⑥控制活動(dòng)；⑦信息與溝通；⑧監(jiān)控。八個(gè)要素相關(guān)關(guān)聯(lián)，貫穿于風(fēng)險(xiǎn)管理全過(guò)程。在全球內(nèi)部控制規(guī)范化的趨勢(shì)下，隨著資本市場(chǎng)在我國(guó)迅速發(fā)展，我國(guó)政府和企業(yè)管理者也開始日益重視企業(yè)內(nèi)部控制建設(shè)，1999年修訂的《會(huì)計(jì)法》第一次以法律形式對(duì)建立健全內(nèi)部控制提出原則性要求。薩班斯法案2001年12月，美國(guó)最大的能源公司——安然公司，突然申請(qǐng)破產(chǎn)保護(hù)，此后，公司丑聞不斷，規(guī)模也“屢創(chuàng)新高”，特別是2002年6月的世界通信會(huì)計(jì)丑聞事件，徹底打擊了投資者對(duì)資本市場(chǎng)的信心。為了改變這一局面，美國(guó)國(guó)會(huì)和政府加速通過(guò)了《薩班斯法案》，法案的第一句話就是“遵守證券法律以提高公司披露的準(zhǔn)確性和可靠性，從而保護(hù)投資者及其他目的”。隨著全球化不斷深入，企業(yè)面臨的內(nèi)外部環(huán)境日趨復(fù)雜多變，單純依賴會(huì)計(jì)控制已經(jīng)難以應(yīng)對(duì)企業(yè)所面臨的風(fēng)險(xiǎn)。尤其是中航油新加坡公司案件發(fā)生后，2004年年底到2005年上半年，國(guó)務(wù)院陸續(xù)就強(qiáng)化企業(yè)內(nèi)部控制問(wèn)題做出重要批示。自2008年以來(lái)，《企業(yè)內(nèi)部控制基本規(guī)范》、《企業(yè)內(nèi)部控制配套指引》、《行政事業(yè)單位內(nèi)部控制規(guī)范（試行）》、《行政事業(yè)單位內(nèi)部控制報(bào)告管理制度（試行）》等內(nèi)部控制制度規(guī)范不斷出臺(tái)，企業(yè)及行政事業(yè)單位的內(nèi)部控制工作都有了可遵循的指引。內(nèi)部控制的特點(diǎn)>>內(nèi)部控制是管理的一部分，是一種管理理念、工具和手段。大到整個(gè)企業(yè)的經(jīng)營(yíng)活動(dòng)內(nèi)部審計(jì)，小到員工的考勤制度，都屬于內(nèi)部控制范圍；>>內(nèi)部控制是動(dòng)態(tài)的管理過(guò)程，而不是靜態(tài)的管理制度。通過(guò)有效執(zhí)行內(nèi)控制度來(lái)實(shí)現(xiàn)企業(yè)的目標(biāo)，同時(shí)，根據(jù)內(nèi)外部環(huán)境變化對(duì)內(nèi)部控制進(jìn)行調(diào)整和改進(jìn)；>>內(nèi)部控制需要全員的共同參與，必須融入企業(yè)的日常管理和業(yè)務(wù)活動(dòng)；>>內(nèi)部控制的核心理念是“目標(biāo)——風(fēng)險(xiǎn)——控制”。在實(shí)現(xiàn)發(fā)展目標(biāo)的過(guò)程中，對(duì)面臨的各種不確定因素，進(jìn)行風(fēng)險(xiǎn)防范。內(nèi)部控制整合框架（三目標(biāo)和五要素）企業(yè)建立與實(shí)施內(nèi)部控制，應(yīng)當(dāng)遵循的原則：（一）全面性原則。內(nèi)部控制應(yīng)當(dāng)貫穿決策、執(zhí)行和監(jiān)督全過(guò)程，覆蓋企業(yè)及其所屬單位的各種業(yè)務(wù)和事項(xiàng)。（二）重要性原則。內(nèi)部控制應(yīng)當(dāng)在全面控制的基礎(chǔ)上，關(guān)注重要業(yè)務(wù)事項(xiàng)和高風(fēng)險(xiǎn)領(lǐng)域。（三）制衡性原則。內(nèi)部控制應(yīng)當(dāng)在治理結(jié)構(gòu)、機(jī)構(gòu)設(shè)置及權(quán)責(zé)分配、業(yè)務(wù)流程等方面形成相互制約、相互監(jiān)督，同時(shí)兼顧運(yùn)營(yíng)效率。（四）適應(yīng)性原則。內(nèi)部控制應(yīng)當(dāng)與企業(yè)經(jīng)營(yíng)規(guī)模、業(yè)務(wù)范圍、競(jìng)爭(zhēng)狀況和風(fēng)險(xiǎn)水平等相適應(yīng)，并隨著情況的變化及時(shí)加以調(diào)整。（五）成本效益原則。內(nèi)部控制應(yīng)當(dāng)權(quán)衡實(shí)施成本與預(yù)期效益，以適當(dāng)?shù)某杀緦?shí)現(xiàn)有效控制。信息技術(shù)與內(nèi)部控制企業(yè)應(yīng)當(dāng)運(yùn)用信息技術(shù)加強(qiáng)內(nèi)部控制，建立與經(jīng)營(yíng)管理相適應(yīng)的信息系統(tǒng)，促進(jìn)內(nèi)部控制流程與信息系統(tǒng)的有機(jī)結(jié)合，實(shí)現(xiàn)對(duì)業(yè)務(wù)和事項(xiàng)的自動(dòng)控制，減少或消除人為操縱因素。20世紀(jì)70年代起，系統(tǒng)論和控制論迅速向會(huì)計(jì)領(lǐng)域滲透，人們逐漸建立起內(nèi)部控制是一個(gè)控制系統(tǒng)的概念，并將控制環(huán)境、會(huì)計(jì)系統(tǒng)和控制程序作為內(nèi)部控制系統(tǒng)的三要素，我們可以把內(nèi)部控制系統(tǒng)看做一個(gè)由一系列點(diǎn)、線、面、體組成的整體。點(diǎn)：控制點(diǎn)是內(nèi)部控制系統(tǒng)中最基本的要素，表現(xiàn)為一個(gè)業(yè)務(wù)處理流程中的控制環(huán)節(jié)。例如銷售控制流程中的銷售價(jià)格、銷售折扣、銷售數(shù)量。線：控制線是內(nèi)部控制系統(tǒng)中控制點(diǎn)與控制點(diǎn)之間的信息傳遞，表現(xiàn)為內(nèi)部控制流程。面：控制面是控制點(diǎn)與控制線的有機(jī)結(jié)合，表現(xiàn)為內(nèi)部控制的控制層面，例如戰(zhàn)略控制層面、管理控制層面和業(yè)務(wù)控制層面。體：控制體是控制點(diǎn)線面的集成，表現(xiàn)為內(nèi)部控制的子集，例如財(cái)務(wù)報(bào)告內(nèi)部控制、全面預(yù)算內(nèi)部控制等。在信息化環(huán)境下，內(nèi)部控制系統(tǒng)的本質(zhì)并沒(méi)有發(fā)生變化，只是利用信息資源和信息技術(shù)工具，通過(guò)傳統(tǒng)環(huán)境下無(wú)法實(shí)現(xiàn)的一些控制模式，由董事會(huì)、管理層和其他人員共同參與企業(yè)的風(fēng)險(xiǎn)管理和內(nèi)部控制活動(dòng)，實(shí)現(xiàn)內(nèi)部控制的轉(zhuǎn)化、集成和提升。信息化環(huán)境下的內(nèi)部控制系統(tǒng)，是對(duì)人工控制、制度控制、信息技術(shù)工具控制的集成和整合。信息技術(shù)對(duì)內(nèi)部控制理論的影響我們大家已經(jīng)知道，內(nèi)部控制由控制環(huán)境、風(fēng)險(xiǎn)評(píng)價(jià)、控制活動(dòng)、信息與溝通和監(jiān)控五個(gè)相互關(guān)聯(lián)的要素構(gòu)成。在信息化環(huán)境下，內(nèi)部控制框架雖然沒(méi)有發(fā)生根本性變化，但是，從五要素的角度，信息技術(shù)對(duì)內(nèi)部控制的影響卻無(wú)處不在。信息技術(shù)對(duì)控制環(huán)境的影響控制環(huán)境是對(duì)企業(yè)內(nèi)部控制系統(tǒng)有重大影響的各種因素的集合體，包括治理結(jié)構(gòu)、企業(yè)文件、機(jī)構(gòu)設(shè)置、權(quán)責(zé)分配、人力資源等方面。在信息化環(huán)境下，企業(yè)組織機(jī)構(gòu)趨于扁平化，內(nèi)部控制層級(jí)明顯減少，企業(yè)決策者各執(zhí)行者能快速溝通；同時(shí)信息充分共享，切實(shí)做到全員參與。信息技術(shù)對(duì)風(fēng)險(xiǎn)評(píng)價(jià)的影響隨著信息技術(shù)水平的提高，風(fēng)險(xiǎn)的識(shí)別和風(fēng)險(xiǎn)的預(yù)測(cè)、防范變得更加標(biāo)準(zhǔn)化和快捷化，風(fēng)險(xiǎn)控制更加易于落地；但是，同時(shí)，企業(yè)風(fēng)險(xiǎn)評(píng)價(jià)也面臨新的內(nèi)容。例如德意志銀行的“錯(cuò)付”和胖手指事件。2008年9月15日上午10：00，擁有158年歷史的美國(guó)第四大投資銀行——雷曼兄弟公司向法院申請(qǐng)破產(chǎn)保護(hù)，消息轉(zhuǎn)瞬間通過(guò)電視、網(wǎng)絡(luò)傳遍全球各個(gè)角落。令人匪夷所思的是，在如此明朗的情況下，德國(guó)國(guó)家發(fā)展銀行卻在當(dāng)天的10：10，居然按照外匯如期協(xié)議的交易，通過(guò)計(jì)算機(jī)自動(dòng)付款系統(tǒng)，向雷曼即將凍結(jié)的銀行賬戶轉(zhuǎn)入了5億歐元。毫無(wú)疑問(wèn)，5億歐元將是肉包子打狗有去無(wú)回。轉(zhuǎn)賬風(fēng)波曝光后，德國(guó)社會(huì)各界大為震驚，輿論嘩然。因?yàn)榇饲耙惶欤嘘P(guān)雷曼破產(chǎn)的消息已經(jīng)滿天飛，德國(guó)國(guó)家發(fā)展銀行應(yīng)該知道交易的巨大風(fēng)險(xiǎn)，并事先做好防范措施才對(duì)。一家法律事務(wù)所受財(cái)政部的委托，帶著這個(gè)問(wèn)題進(jìn)駐銀行進(jìn)行全面調(diào)查。法律事務(wù)所的調(diào)查員先后詢問(wèn)了銀行各個(gè)部門的數(shù)十名職員，從調(diào)查報(bào)告中我們可以看出：有人習(xí)慣于系統(tǒng)的自動(dòng)化，沒(méi)有收到風(fēng)險(xiǎn)評(píng)估報(bào)告就不考慮突發(fā)的情況；有人獲取了信息，想當(dāng)然的認(rèn)為相關(guān)環(huán)境責(zé)任人應(yīng)該知道，所以也就不用專門去告知和提醒；有人把責(zé)任推卸給同事，甚至推卸給信息化系統(tǒng)；還有人發(fā)現(xiàn)了情況，卻拘泥于流程……胖手指事件所謂胖手指事件是指由于人手在鍵盤上的操作錯(cuò)誤，導(dǎo)致股票、外匯等金融市場(chǎng)大盤失控，引發(fā)急劇波動(dòng)。通常是交易員輸錯(cuò)數(shù)字、點(diǎn)錯(cuò)菜單等等，這常常造成數(shù)以億計(jì)的巨額虧損。2005年，日本一個(gè)笨手笨腳的交易員本來(lái)想要以610,000日元（約4,19萬(wàn)人民幣）賣出1股股票，結(jié)果以1日元賣了610,000股股票，讓公司損失18.5億人民幣；2016年，一名交易員將1,600萬(wàn)美元輸入成了160億美元，引發(fā)道瓊斯指數(shù)在不到一小時(shí)內(nèi)，暴跌了9%……信息技術(shù)對(duì)控制活動(dòng)的影響控制活動(dòng)是企業(yè)根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果，為實(shí)現(xiàn)控制目標(biāo)而制定并執(zhí)行的控制措施，將風(fēng)險(xiǎn)控制在可承受訪問(wèn)之內(nèi)。信息技術(shù)的應(yīng)用豐富了控制工具和控制手段。通過(guò)信息技術(shù)，可以實(shí)現(xiàn)從事后控制到事中控制和事前控制；實(shí)時(shí)控制可以將不符合規(guī)則的行為在發(fā)生之前就予以拒絕；信息技術(shù)的高效性，可以將人從傳統(tǒng)控制中解脫出來(lái)，更多專注在潛在風(fēng)險(xiǎn)事件控制上。信息技術(shù)對(duì)信息與溝通的影響企業(yè)在經(jīng)營(yíng)管理中，需要及時(shí)準(zhǔn)確收集、傳遞各種信息，確保信息與溝通水平。電子郵件、即時(shí)通訊、數(shù)字證書、電子報(bào)表等信息化工具讓信息與溝通非常流暢。企業(yè)信息系統(tǒng)、辦公系統(tǒng)讓各部門銜接起來(lái)，實(shí)現(xiàn)業(yè)財(cái)一體化處理，讓會(huì)計(jì)核算從事后靜態(tài)核算轉(zhuǎn)變?yōu)槭轮袆?dòng)態(tài)核算；開放的信息工具讓企業(yè)內(nèi)部和相關(guān)方有效溝通，實(shí)現(xiàn)大數(shù)據(jù)的獲取、挖掘分析和有效運(yùn)用。信息技術(shù)給溝通帶來(lái)的是翻天覆地的變化（當(dāng)然也包括懂王的推特治國(guó)O（∩_∩）O）。信息技術(shù)對(duì)監(jiān)控的影響監(jiān)控是指企業(yè)對(duì)內(nèi)部控制建立與實(shí)施進(jìn)行監(jiān)督檢查，評(píng)價(jià)內(nèi)部控制有效性，及時(shí)發(fā)現(xiàn)內(nèi)部控制缺陷，以便不斷改進(jìn)和優(yōu)化內(nèi)部控制水平。信息技術(shù)可以對(duì)內(nèi)部控制全過(guò)程記錄和預(yù)警，可進(jìn)行追溯和分析，及時(shí)排除可能的問(wèn)題；可以進(jìn)行商業(yè)智能化的監(jiān)督和預(yù)測(cè)，實(shí)現(xiàn)內(nèi)部控制能力的持續(xù)改進(jìn)。重點(diǎn)回顧內(nèi)部控制的定義：美國(guó)審計(jì)準(zhǔn)則委員會(huì)（ASB）：“內(nèi)部控制是在一定的環(huán)境下，單位為了提高經(jīng)營(yíng)效率、充分有效地獲得和使用各種資源，達(dá)到既定管理目標(biāo)，而在單位內(nèi)部實(shí)施的各種制約和調(diào)節(jié)的組織、計(jì)劃、程序和方法?！薄镀髽I(yè)內(nèi)部控制基本規(guī)范》：由企業(yè)董事會(huì)、監(jiān)事會(huì)、經(jīng)理層和全體員工實(shí)施的、旨在實(shí)現(xiàn)控制目標(biāo)的過(guò)程。內(nèi)部控制的目標(biāo)是合理保證企業(yè)經(jīng)營(yíng)管理合法合規(guī)，資產(chǎn)安全，財(cái)務(wù)報(bào)告及相關(guān)信息真實(shí)、完整，提高經(jīng)營(yíng)效率和效果，促進(jìn)企業(yè)實(shí)現(xiàn)發(fā)展戰(zhàn)略。內(nèi)部控制的發(fā)展歷程1.內(nèi)部牽制階段（1940年度以前）2.內(nèi)部控制制度階段（20世紀(jì)40－80年代）3.內(nèi)部控制結(jié)構(gòu)階段（20世紀(jì)80－90年代）4.內(nèi)部控制整合框架階段（20世紀(jì)90年代－今）5.風(fēng)險(xiǎn)管理整合框架階段（2004年以后）內(nèi)部控制整合框架（三目標(biāo)和五要素）信息技術(shù)與內(nèi)部控制在信息化環(huán)境下，內(nèi)部控制系統(tǒng)的本質(zhì)并沒(méi)有發(fā)生變化，只是利用信息資源和信息技術(shù)工具，對(duì)人工控制、制度控制、信息技術(shù)工具控制，董事會(huì)、管理層和其他人員共同參與，實(shí)現(xiàn)內(nèi)部控制的轉(zhuǎn)化、集成和提升。信息技術(shù)對(duì)五要素的影響信息技術(shù)對(duì)控制活動(dòng)、風(fēng)險(xiǎn)評(píng)估、控制環(huán)境、信息與溝通、監(jiān)控五要素，內(nèi)部控制全過(guò)程都產(chǎn)生的巨大影響。內(nèi)部控制與流程管理學(xué)習(xí)目標(biāo)1了解流程和流程再造的基本概念2了解信息化環(huán)境下流程再造的基本原則3掌握流程再造加強(qiáng)內(nèi)部控制的主要過(guò)程4學(xué)會(huì)使用信息化工具來(lái)繪制流程圖流程管理規(guī)范企業(yè)的管理體系有人說(shuō)，麥當(dāng)勞的成功經(jīng)驗(yàn)就是其國(guó)際化的流程管理體系。據(jù)統(tǒng)計(jì)，麥當(dāng)勞的員工流失率是52%，但是依然能夠做的很優(yōu)秀，究其原因，在于良好的流程和系統(tǒng)環(huán)境，即使人員流失，核心競(jìng)爭(zhēng)力依然存在。華為在國(guó)際化過(guò)程中，曾經(jīng)銷售額年年增長(zhǎng)，而毛利率卻逐年下降，人均效益只有IBM的1/6，通過(guò)堅(jiān)持不懈的流程變革，解決了因流程僵化、各部門各自為政、作業(yè)不規(guī)范等各方面問(wèn)題，成為流程管理的標(biāo)桿。流程，簡(jiǎn)而言之，就是工作流轉(zhuǎn)的過(guò)程業(yè)務(wù)在把一個(gè)到多個(gè)輸入轉(zhuǎn)化為對(duì)客戶有價(jià)值的輸出活動(dòng)中，需要多個(gè)部門、多個(gè)崗位的參與和配合，各個(gè)部門、崗位之間的承接、流轉(zhuǎn)，就是業(yè)務(wù)活動(dòng)的過(guò)程。例如某房地產(chǎn)企業(yè)的業(yè)務(wù)流程：流程的要素不同的流程有不同的呈現(xiàn)方式，但是歸結(jié)起來(lái)，基本包括了六個(gè)要素：>>流程的輸入資源>>流程的若干活動(dòng)>>活動(dòng)的相互作用（先后串并，也就是流程的結(jié)構(gòu)）>>輸出結(jié)果>>顧客>>最終流程創(chuàng)造的價(jià)值流程的作用流程控制，是通過(guò)建立科學(xué)、高效、規(guī)范的業(yè)務(wù)流程管理體系，從而為企業(yè)控制目標(biāo)的實(shí)現(xiàn)提供合理保障的一種系統(tǒng)化方法。一般來(lái)說(shuō)，流程控制能夠?yàn)槠髽I(yè)帶來(lái)以下重要作用：>>提高企業(yè)運(yùn)行效率。流程直觀呈現(xiàn)業(yè)務(wù)活動(dòng)誰(shuí)來(lái)做、做什么，怎么做、有何憑證，有效規(guī)范業(yè)務(wù)活動(dòng)的執(zhí)行程序、執(zhí)行標(biāo)準(zhǔn)和相關(guān)責(zé)任人；>>降低企業(yè)運(yùn)營(yíng)成本。通過(guò)流程控制將業(yè)務(wù)運(yùn)行過(guò)程中的常規(guī)工作進(jìn)行梳理，將不必要、不重要的環(huán)節(jié)進(jìn)行簡(jiǎn)化，對(duì)不合理、執(zhí)行不到位的環(huán)節(jié)進(jìn)行分析、監(jiān)控和不斷優(yōu)化，能夠有效降低業(yè)務(wù)和管理成本；>>支持企業(yè)戰(zhàn)略和經(jīng)營(yíng)目標(biāo)的實(shí)現(xiàn)。流程控制有助于強(qiáng)化企業(yè)的風(fēng)險(xiǎn)控制和管理，便于建立目標(biāo)和業(yè)績(jī)管理體系，響應(yīng)市場(chǎng)和客戶需求，提升企業(yè)的反應(yīng)能力。同時(shí)，流程執(zhí)行過(guò)程中的資料和數(shù)據(jù)信息也為企業(yè)科學(xué)決策提供支撐；>>實(shí)現(xiàn)企業(yè)的知識(shí)管理。流程是深化和加強(qiáng)管理的有效工具，是企業(yè)管理經(jīng)驗(yàn)傳承的重要載體，好的流程管理體系有利于新員工快速熟悉和掌握工作內(nèi)容、程序和方法，降低因員工流失給企業(yè)帶來(lái)的影響。進(jìn)入計(jì)算機(jī)、互聯(lián)網(wǎng)時(shí)代以來(lái)，現(xiàn)代企業(yè)面臨著內(nèi)外部的巨大挑戰(zhàn)，個(gè)性化的客戶需求、日益殘酷的市場(chǎng)競(jìng)爭(zhēng)和環(huán)境的頻繁變化，在信息技術(shù)發(fā)展的大時(shí)代背景下，傳統(tǒng)企業(yè)業(yè)務(wù)流程的弊端被暴露無(wú)遺。業(yè)務(wù)流程再造這種思想適應(yīng)了企業(yè)重新審視和提高效率的要求。信息技術(shù)的發(fā)展和應(yīng)用為業(yè)務(wù)流程再造提供了強(qiáng)有力的支持：>>柔性制造、精良生產(chǎn)、準(zhǔn)時(shí)制造和全面質(zhì)量管理等多種基于信息技術(shù)的先進(jìn)制造技術(shù)和現(xiàn)代管理系統(tǒng)日趨完善，為流程再造提供堅(jiān)實(shí)的實(shí)施基礎(chǔ)；>>用信息技術(shù)武裝起來(lái)的員工整體素質(zhì)明顯提高，為流程再造提供實(shí)施成功的必要前提；>>信息技術(shù)能夠有效保障企業(yè)實(shí)施業(yè)務(wù)流程再造，控制流程重新設(shè)計(jì)過(guò)程中的風(fēng)險(xiǎn)?；ヂ?lián)網(wǎng)和新媒體為信息溝通提供保障，數(shù)據(jù)分析、建模方便企業(yè)重新設(shè)計(jì)流程，信息技術(shù)是組織結(jié)構(gòu)扁平化和子系統(tǒng)之間的協(xié)作更為通暢。信息化環(huán)境下流程再造的內(nèi)涵1990年，美國(guó)麻省理工學(xué)院計(jì)算機(jī)教授MichaelHammer在《哈佛商業(yè)評(píng)論》上發(fā)表了《再造不是自動(dòng)化，而是重新開始》一文首次提出流程再造概念：很多習(xí)以為常的做法（流程）已經(jīng)沒(méi)有存在的價(jià)值，我們應(yīng)該刪除不必要的過(guò)程而進(jìn)行流程的改進(jìn)和優(yōu)化。業(yè)務(wù)流程再造是以企業(yè)流程為改裝對(duì)象和中心，以關(guān)心客戶需求和滿意度為目標(biāo)，利用先進(jìn)的信息技術(shù)，結(jié)合現(xiàn)代化的管理手段，對(duì)現(xiàn)有企業(yè)的業(yè)務(wù)流程進(jìn)行基本的再思考和徹底性的再設(shè)計(jì)，從而實(shí)現(xiàn)經(jīng)營(yíng)在成本、質(zhì)量、服務(wù)、速度和效益等方面的顯著改善。信息化環(huán)境下流程再造的基本原則1.圍繞結(jié)果而不是任務(wù)進(jìn)行生產(chǎn)組織過(guò)去由多人流水式完成的工作可以組合成一個(gè)單一的工作/項(xiàng)目，由一個(gè)或一組人完成，降低工作傳遞的效率損失，提高反映速度、滿足個(gè)性需求；2.讓需要過(guò)程結(jié)果的人來(lái)執(zhí)行這個(gè)過(guò)程過(guò)程和人員結(jié)合更加密切，使工作通過(guò)企業(yè)各種過(guò)程后產(chǎn)生大家需要的結(jié)果；3.將信息處理過(guò)程和產(chǎn)生信息過(guò)程合并收集數(shù)據(jù)的人應(yīng)同時(shí)處理他們，而不是命令或協(xié)調(diào)別人來(lái)處理，減少信息處理過(guò)程中的錯(cuò)誤；4.用集中處理的方式對(duì)待地理上的分散資源IT技術(shù)使集中式和分散式處理兼而有之的過(guò)程處理更加合理，企業(yè)分散在各處的活動(dòng)集中并行處理，增強(qiáng)企業(yè)對(duì)過(guò)程的總體控制力度；5.將并行的活動(dòng)聯(lián)系起來(lái)而不是匯總他們的結(jié)果將并行的活動(dòng)結(jié)果匯總，會(huì)讓工作重復(fù)、拖拉，通過(guò)信息技術(shù)手段將他們聯(lián)系起來(lái)，在工作開展的過(guò)程中不斷協(xié)調(diào)彼此；6.將決策加入工作處理的環(huán)節(jié)，并在過(guò)程中建立控制決策應(yīng)該在工作處理過(guò)程中做出，選用教育程度更高的勞動(dòng)力與輔助決策的技術(shù)，降低組織層級(jí)，讓組織積極快速地做出響應(yīng)；7.從源頭獲取信息/數(shù)據(jù)信息/數(shù)據(jù)應(yīng)該在它產(chǎn)生的時(shí)候存入企業(yè)的信息系統(tǒng)中，而且應(yīng)該避免過(guò)多的分割和過(guò)多的版本，避免產(chǎn)生大量無(wú)用和過(guò)期數(shù)據(jù)，從而降低信息系統(tǒng)的復(fù)雜度。業(yè)務(wù)流程再造的主要流程分析原有流程，及時(shí)發(fā)現(xiàn)問(wèn)題·新環(huán)境帶來(lái)的流程障礙·市場(chǎng)變化，關(guān)鍵環(huán)境和各環(huán)節(jié)的重要程度發(fā)生變化·市場(chǎng)、技術(shù)變化，帶來(lái)新的可行性設(shè)計(jì)改進(jìn)方案，并進(jìn)行評(píng)估·群策群力、集思廣益，鼓勵(lì)組織成員創(chuàng)新，設(shè)計(jì)更加科學(xué)合理的流程·從成本、效益、風(fēng)險(xiǎn)等方面全面評(píng)估，優(yōu)選方案形成系統(tǒng)的業(yè)務(wù)流程再造方案·配套相應(yīng)的組織結(jié)構(gòu)、人力資源配置、業(yè)務(wù)規(guī)范、溝通渠道，形成以流程改進(jìn)為核心的系統(tǒng)性方案組織實(shí)施與持續(xù)改進(jìn)·實(shí)施業(yè)務(wù)流程再造方案，會(huì)觸及原有的利益格局，必須堅(jiān)定克服阻力，同時(shí)積極宣傳，達(dá)成共識(shí)，在推進(jìn)過(guò)程中不斷改進(jìn)完善從業(yè)務(wù)流程再造加強(qiáng)內(nèi)部控制機(jī)制由于流程再造從根本上改變了企業(yè)的風(fēng)險(xiǎn)分布以及重大和重要的風(fēng)險(xiǎn)點(diǎn)，因此，強(qiáng)化內(nèi)部控制的主要思路就是要重新識(shí)別和評(píng)估企業(yè)所面臨的風(fēng)險(xiǎn)點(diǎn)，針對(duì)重大和重要風(fēng)險(xiǎn)點(diǎn)設(shè)計(jì)與實(shí)施關(guān)鍵的內(nèi)部控制活動(dòng)。1.建立健全以風(fēng)險(xiǎn)為導(dǎo)向的內(nèi)部控制機(jī)制目前，我國(guó)企業(yè)內(nèi)部控制機(jī)制尚未明確界定風(fēng)險(xiǎn)管理在內(nèi)部控制機(jī)制中的核心地位，很多企業(yè)的內(nèi)部控制還缺乏主導(dǎo)方向，沒(méi)有達(dá)到實(shí)施效果。建立以風(fēng)險(xiǎn)為導(dǎo)向的內(nèi)部控制機(jī)制是提高內(nèi)部控制效率，提升企業(yè)市場(chǎng)競(jìng)爭(zhēng)力和抵御風(fēng)險(xiǎn)能力的迫切需要。2.充分發(fā)揮“軟控制”的作用“硬控制”是指內(nèi)部控制中無(wú)論何時(shí)何地、無(wú)論是誰(shuí)都必須遵守的規(guī)定，而“軟控制”則更多是精神方面的管理風(fēng)格、企業(yè)文化和內(nèi)部控制意識(shí)，需要靠理念、習(xí)慣和員工價(jià)值觀來(lái)維系。通過(guò)流程再造，提倡充分授權(quán)，可以強(qiáng)化軟控制作用，達(dá)到更加好的控制效果。3.將流程各個(gè)環(huán)節(jié)關(guān)鍵控制點(diǎn)集中到一個(gè)地方完成，能夠降低內(nèi)部控制成本流程再造將原來(lái)位于不同地區(qū)的不同部門的人集合在一起，打破部門界限建立一個(gè)項(xiàng)目小組負(fù)責(zé)一個(gè)流程或循環(huán)的全部工作，方便進(jìn)行風(fēng)險(xiǎn)評(píng)價(jià)，并將關(guān)鍵控制點(diǎn)集中在一個(gè)地方完成。4.在一些非重要的控制環(huán)節(jié)，可以讓那些需要得到流程產(chǎn)出的人親自執(zhí)行相關(guān)流程一些重復(fù)、非重要的控制環(huán)節(jié)，例如一些非重要的采購(gòu)、活動(dòng)，傳統(tǒng)的精細(xì)分工顯得笨重且緩慢，讓需要得到流程產(chǎn)出的人親自執(zhí)行相關(guān)流程，可以大大消除和原有工作界面之間的摩擦，降低交易成本，同時(shí)提高運(yùn)營(yíng)效率。企業(yè)案例分析某集團(tuán)公司在實(shí)施內(nèi)部控制之前，存在多種問(wèn)題：1.管理層缺乏戰(zhàn)略思維，導(dǎo)致采購(gòu)觀念落后企業(yè)一直把采購(gòu)當(dāng)做例行性的工作，供應(yīng)商評(píng)價(jià)并未融入整體的內(nèi)部控制系統(tǒng)，缺乏雙贏的思維，為了追求自身利益，要么忽視產(chǎn)品質(zhì)量，要么拖欠供應(yīng)商貨款，造成采購(gòu)商品質(zhì)量問(wèn)題頻發(fā)，而良好的產(chǎn)品供應(yīng)商又不愿與之合作。2.形式化的采購(gòu)管理模式，使得采購(gòu)流程不暢傳統(tǒng)企業(yè)職能分工中，采購(gòu)部門作為單獨(dú)的職能部門，相對(duì)獨(dú)立地開展工作。缺乏和其他部門的直接溝通，也容易滋生腐敗和浪費(fèi)現(xiàn)象。3.采購(gòu)周期長(zhǎng)，延遲需求部門工作，影響工作高效運(yùn)轉(zhuǎn)由于采購(gòu)中的計(jì)劃、審批等環(huán)節(jié)眾多，使得整個(gè)過(guò)程完成需要等候很長(zhǎng)時(shí)間，且相關(guān)審批人員往往身兼多職，貌似互相監(jiān)督和牽制，實(shí)際是相關(guān)管理者忙于各方面的工作，并不真正了解前端情況，更多是走形式，人人有責(zé)，也就無(wú)法追責(zé)。4.庫(kù)存管理問(wèn)題突出部分庫(kù)存商品庫(kù)存量居高不下，與流動(dòng)資金周轉(zhuǎn)要求之間的矛盾突出；同時(shí)入庫(kù)手續(xù)的繁雜與實(shí)踐要求緊迫之間的矛盾同樣突出。5.信息管理問(wèn)題重重電腦供應(yīng)不足，軟件版本陳舊，且大量軟件無(wú)法滿足需求或者無(wú)法正常使用，受成本資金和技能培訓(xùn)不足影響，要么不能用，要么不會(huì)用，信息化平臺(tái)建設(shè)無(wú)法滿足企業(yè)發(fā)展需要；同時(shí)管理層對(duì)信息化管理缺乏足夠認(rèn)識(shí)，只是盲目跟風(fēng)，很多數(shù)據(jù)表單管理不規(guī)范，信息孤島現(xiàn)象嚴(yán)重，缺乏長(zhǎng)遠(yuǎn)發(fā)展規(guī)劃。流程再造方案依托信息技術(shù)，以內(nèi)部控制流程為基礎(chǔ)，以數(shù)據(jù)管理為中心，最大程度實(shí)現(xiàn)數(shù)據(jù)的規(guī)范管理和信息共享，非關(guān)鍵環(huán)節(jié)減少控制程序，是流程合理化，降低成本，滿足內(nèi)外部客戶需要。信息化流程管控的主要工作程序流程控制的核心在于流程梳理、缺陷識(shí)別、優(yōu)化和持續(xù)改進(jìn)。通常來(lái)說(shuō)，企業(yè)實(shí)施信息化流程控制主要工作程序是這樣的：核算管理流程梳理中需要注意的問(wèn)題1.加強(qiáng)款項(xiàng)收付、有價(jià)證券管理，盡可能納入統(tǒng)一核算，避免小金庫(kù)、挪用、甚至偷逃問(wèn)題發(fā)生。2.財(cái)產(chǎn)物資的收發(fā)、增減和使用作為會(huì)計(jì)核算中經(jīng)常性業(yè)務(wù)，應(yīng)納入成本考核、內(nèi)部管控的重要依據(jù)。3.債權(quán)債務(wù)的發(fā)生和結(jié)算，尤其是各種應(yīng)收和預(yù)付款項(xiàng)，及時(shí)核算和監(jiān)控，對(duì)于相關(guān)問(wèn)題需及時(shí)預(yù)防和糾正。4.資本、基金的增減，以國(guó)家政策、有法律效力的合同/協(xié)議和公司高層決議為依據(jù)，避免因盲從個(gè)別領(lǐng)導(dǎo)、未經(jīng)規(guī)范程序處理。5.經(jīng)營(yíng)成果的計(jì)算和處理，例如利潤(rùn)的計(jì)算、所得稅的計(jì)算、利潤(rùn)分配等，這部分的核算涉及所有者和國(guó)家利益，更應(yīng)嚴(yán)格處理。資金管理梳理過(guò)程中需要注意的問(wèn)題1.強(qiáng)化企業(yè)集團(tuán)賬戶管理，避免因賬戶數(shù)量龐大、開設(shè)標(biāo)準(zhǔn)不統(tǒng)一、集中化程度不高造成的經(jīng)營(yíng)風(fēng)險(xiǎn)，實(shí)現(xiàn)資金的集中有效運(yùn)作。2.加強(qiáng)資金收付的集中管理，可以全面控制資金流向，整合企業(yè)自己集中優(yōu)勢(shì)，提高資金使用效率，降低資金風(fēng)險(xiǎn)。3.實(shí)現(xiàn)票據(jù)從購(gòu)買、領(lǐng)用到保管的全面管控，使整個(gè)企業(yè)票據(jù)信息有據(jù)可查、隨時(shí)動(dòng)態(tài)監(jiān)控，這對(duì)于“零現(xiàn)金”企業(yè)集團(tuán)意義尤為重要。稅務(wù)管理梳理過(guò)程中需要注意的問(wèn)題1.對(duì)于稅務(wù)管理中不受地域限制、可遠(yuǎn)程操作、可標(biāo)準(zhǔn)化處理涉稅咨詢、納稅申報(bào)、網(wǎng)上辦理業(yè)務(wù)，可以納入集中管理。2.開具發(fā)票屬地化管理，但是進(jìn)項(xiàng)發(fā)票適合集中管理，尤其是通過(guò)金稅三期的發(fā)票查驗(yàn)平臺(tái)，對(duì)各類發(fā)票集中查驗(yàn)認(rèn)證。3.實(shí)施納稅申報(bào)管理，通過(guò)集中的信息化處理，解決納稅申報(bào)的準(zhǔn)確性和效率問(wèn)題。4.資金收付渠道管理，合理選擇合作銀行、第三方收付渠道。綜合考慮業(yè)務(wù)網(wǎng)絡(luò)、資金調(diào)撥效率、成本費(fèi)用、服務(wù)水平等因素。數(shù)據(jù)報(bào)表管理梳理過(guò)程中需要注意的問(wèn)題1.進(jìn)行數(shù)據(jù)報(bào)表管理梳理時(shí)對(duì)數(shù)據(jù)報(bào)表進(jìn)行規(guī)范化、標(biāo)準(zhǔn)化的調(diào)整和優(yōu)化。例如財(cái)務(wù)狀況、現(xiàn)金流量相關(guān)財(cái)務(wù)報(bào)表的及時(shí)生成、分析。2.數(shù)據(jù)的集中管理，便于數(shù)據(jù)的規(guī)范管理、共享、分析、備份，全面提高業(yè)務(wù)效率，有利于各方及時(shí)了解經(jīng)營(yíng)狀況，降低經(jīng)營(yíng)風(fēng)險(xiǎn)。3.數(shù)據(jù)和報(bào)表的規(guī)范、集中管理，有利于滿足財(cái)政、工商、稅務(wù)、審計(jì)部門監(jiān)督企業(yè)經(jīng)營(yíng)管理。會(huì)計(jì)檔案管理梳理過(guò)程中需要注意的問(wèn)題《企業(yè)會(huì)計(jì)信息化工作規(guī)范》中要求，有條件的企業(yè)應(yīng)積極推動(dòng)電子檔案相關(guān)工作開展，企業(yè)內(nèi)部生成的會(huì)計(jì)憑證、賬簿和輔助性會(huì)計(jì)資料，同時(shí)滿足下列條件的，可以不輸出紙面資料：（1）所記載的事項(xiàng)屬于本企業(yè)重復(fù)發(fā)生的日常業(yè)務(wù)。（2）由企業(yè)信息系統(tǒng)自動(dòng)生成。（3）可及時(shí)在企業(yè)信息系統(tǒng)中以人類可讀形式查詢和輸出。（4）企業(yè)信息系統(tǒng)具有防止相關(guān)數(shù)據(jù)被篡改的有效機(jī)制。（5）企業(yè)對(duì)相關(guān)數(shù)據(jù)建立了電子備份制度，能有效防范自然災(zāi)害、意外事故和人為破壞的影響。（6）企業(yè)對(duì)電子和紙面會(huì)計(jì)資料建立了完善的索引體系。流程圖繪制工具通過(guò)Visio連接形狀和模板快速創(chuàng)建圖表，可以提高工作效率，方便使用圖表交流，并與多人共享圖表。需要注意的是，Visio在Office2007中是和Word、Excel整合在一起的，在Office2016、Office2019中卻不包含Visio，而是單獨(dú)購(gòu)買的。Visio2019啟動(dòng)界面借助模板快速進(jìn)行流程繪制Visio2019工作界面使用Visio繪制流程圖的總體思路1.熟悉業(yè)務(wù)環(huán)節(jié)；2.將相關(guān)圖形拖到對(duì)應(yīng)業(yè)務(wù)環(huán)節(jié)；3.圖形和線條具有吸附性，方便圖形和線條的連接；4.完善說(shuō)明和必要的標(biāo)注；5.編號(hào)、下發(fā)。流程圖標(biāo)準(zhǔn)符號(hào)符號(hào)名稱含義端點(diǎn)、中斷標(biāo)準(zhǔn)流程的開始與結(jié)束，每一流程圖只有一個(gè)起點(diǎn)進(jìn)程要執(zhí)行的處理判斷決策或判斷文檔以文件的方式輸入/輸出流向表示執(zhí)行的方向與順序數(shù)據(jù)表示數(shù)據(jù)的輸入/輸出聯(lián)系同一流程圖中從一個(gè)進(jìn)程到另一個(gè)進(jìn)程的交叉引用系統(tǒng)內(nèi)處理框標(biāo)準(zhǔn)流程的事項(xiàng)在某一個(gè)系統(tǒng)內(nèi)操作時(shí)所用的圖形多聯(lián)式單據(jù)或報(bào)表某一個(gè)操作生成多張單據(jù)或報(bào)表時(shí)使用系統(tǒng)數(shù)據(jù)標(biāo)示直接從系統(tǒng)出來(lái)的數(shù)據(jù)標(biāo)示流向表示執(zhí)行的方向與順序，可以雙向循環(huán)執(zhí)行時(shí)用的連接符曲線連接線兩個(gè)操作不在一水平線上時(shí)，用曲線連接案例演示：利用Visio2019繪制業(yè)務(wù)流程圖重點(diǎn)回顧流程就是工作流轉(zhuǎn)的過(guò)程業(yè)務(wù)在把一個(gè)到多個(gè)輸入轉(zhuǎn)化為對(duì)客戶有價(jià)值的輸出活動(dòng)中，需要多個(gè)部門、多個(gè)崗位的參與和配合，各個(gè)部門、崗位之間的承接、流轉(zhuǎn)，就是業(yè)務(wù)活動(dòng)的過(guò)程。例如某房地產(chǎn)企業(yè)的業(yè)務(wù)流程：信息化環(huán)境下流程再造的內(nèi)涵業(yè)務(wù)流程再造是以企業(yè)流程為改裝對(duì)象和中心，以關(guān)心客戶需求和滿意度為目標(biāo)，利用先進(jìn)的信息技術(shù)，結(jié)合現(xiàn)代化的管理手段，對(duì)現(xiàn)有企業(yè)的業(yè)務(wù)流程進(jìn)行基本的再思考和徹底性的再設(shè)計(jì)，從而實(shí)現(xiàn)經(jīng)營(yíng)在成本、質(zhì)量、服務(wù)、速度和效益等方面的顯著改善。業(yè)務(wù)流程再造的主要流程分析原有流程，及時(shí)發(fā)現(xiàn)問(wèn)題·新環(huán)境帶來(lái)的流程障礙·市場(chǎng)變化，關(guān)鍵環(huán)境和各環(huán)節(jié)的重要程度發(fā)生變化·市場(chǎng)、技術(shù)變化，帶來(lái)新的可行性設(shè)計(jì)改進(jìn)方案，并進(jìn)行評(píng)估·群策群力、集思廣益，鼓勵(lì)組織成員創(chuàng)新，設(shè)計(jì)更加科學(xué)合理的流程·從成本、效益、風(fēng)險(xiǎn)等方面全面評(píng)估，優(yōu)選方案形成系統(tǒng)的業(yè)務(wù)流程再造方案·配套相應(yīng)的組織結(jié)構(gòu)、人力資源配置、業(yè)務(wù)規(guī)范、溝通渠道，形成以流程改進(jìn)為核心的系統(tǒng)性方案組織實(shí)施與持續(xù)改進(jìn)·實(shí)施業(yè)務(wù)流程再造方案，會(huì)觸及原有的利益格局，必須堅(jiān)定克服阻力，同時(shí)積極宣傳，達(dá)成共識(shí)，在推進(jìn)過(guò)程中不斷改進(jìn)完善從業(yè)務(wù)流程再造加強(qiáng)內(nèi)部控制機(jī)制由于流程再造從根本上改變了企業(yè)的風(fēng)險(xiǎn)分布以及重大和重要的風(fēng)險(xiǎn)點(diǎn)，因此，強(qiáng)化內(nèi)部控制的主要思路就是要重新識(shí)別和評(píng)估企業(yè)所面臨的風(fēng)險(xiǎn)點(diǎn)，針對(duì)重大和重要風(fēng)險(xiǎn)點(diǎn)設(shè)計(jì)與實(shí)施關(guān)鍵的內(nèi)部控制活動(dòng)。信息化流程管控的主要工作程序流程控制的核心在于流程梳理、缺陷識(shí)別、優(yōu)化和持續(xù)改進(jìn)。通常來(lái)說(shuō)，企業(yè)實(shí)施信息化流程控制主要工作程序是這樣的：內(nèi)部控制與風(fēng)險(xiǎn)管理學(xué)習(xí)目標(biāo)1了解內(nèi)部控制與風(fēng)險(xiǎn)管理的聯(lián)系2學(xué)習(xí)風(fēng)險(xiǎn)管理體系構(gòu)架，了解基本識(shí)別方法3了解EAS風(fēng)險(xiǎn)管理系統(tǒng)進(jìn)行內(nèi)部風(fēng)險(xiǎn)管控的解決方案4掌握使用Excel工具進(jìn)行分工協(xié)作和風(fēng)險(xiǎn)預(yù)警的方法2007年英國(guó)諾森羅克銀行擠兌事件2008年美國(guó)第四大投資銀行雷曼兄弟公司破產(chǎn)2009年美國(guó)通用汽車公司破產(chǎn)2020年中行原油寶多頭穿倉(cāng)，客戶不僅本金賠光還要向銀行補(bǔ)齊高額欠款在企業(yè)管理過(guò)程中，受本性驅(qū)使,僅僅依靠管理者的理智,無(wú)法約束貪婪和避免不可承受的風(fēng)險(xiǎn)。企業(yè)的長(zhǎng)遠(yuǎn)發(fā)展，必須立足在從根本制度上實(shí)現(xiàn)效益和風(fēng)險(xiǎn)之間的平衡。風(fēng)險(xiǎn)管理的驅(qū)動(dòng)因素風(fēng)險(xiǎn)管理投資者提高風(fēng)險(xiǎn)管理透明度，掌握企業(yè)風(fēng)險(xiǎn)管理情況，公司風(fēng)險(xiǎn)管理不力會(huì)導(dǎo)致投資者采取懲罰性措施，愿意為風(fēng)險(xiǎn)管理完善的企業(yè)溢價(jià)投資。董事會(huì)從董事會(huì)角度來(lái)說(shuō)，風(fēng)險(xiǎn)管理方面最大價(jià)值在于建立一個(gè)正式流程，并提供獨(dú)立客觀的評(píng)價(jià)；面對(duì)未來(lái)的挑戰(zhàn)包括如何管理合規(guī)風(fēng)險(xiǎn)、識(shí)別新興風(fēng)險(xiǎn)、及提升風(fēng)險(xiǎn)管理水平。管理層企業(yè)面臨更多的風(fēng)險(xiǎn)，管理者需承擔(dān)更多的責(zé)任；更好整合風(fēng)險(xiǎn)管理與業(yè)務(wù)管理工作，風(fēng)險(xiǎn)管理的挑戰(zhàn)包括建立系統(tǒng)的風(fēng)險(xiǎn)管理方案、明確責(zé)任與角色、及將風(fēng)險(xiǎn)文化融入到企業(yè)中。法律法規(guī)企業(yè)必須關(guān)注與經(jīng)營(yíng)相關(guān)的各種法律法規(guī)，對(duì)每一項(xiàng)經(jīng)營(yíng)行為加以合法性的審視，不致于使企業(yè)蒙受財(cái)務(wù)、人才、時(shí)間、名譽(yù)的損失，保證企業(yè)生產(chǎn)經(jīng)營(yíng)活動(dòng)的合法性。業(yè)務(wù)提升企業(yè)以最經(jīng)濟(jì)的方法預(yù)防潛在的損失，在風(fēng)險(xiǎn)事故實(shí)際發(fā)生之前，使整個(gè)風(fēng)險(xiǎn)管理計(jì)劃、方案得到最合理執(zhí)行。內(nèi)部控制與企業(yè)風(fēng)險(xiǎn)管理之間的聯(lián)系內(nèi)部控制的實(shí)質(zhì)是風(fēng)險(xiǎn)控制，風(fēng)險(xiǎn)包含內(nèi)部風(fēng)險(xiǎn)和外部風(fēng)險(xiǎn)，對(duì)內(nèi)部風(fēng)險(xiǎn)的控制即內(nèi)部控制，從這一概念來(lái)說(shuō)，風(fēng)險(xiǎn)管理是內(nèi)部控制的重要內(nèi)容，企業(yè)風(fēng)險(xiǎn)管理包含內(nèi)部控制，但兩者之間的關(guān)系并不是簡(jiǎn)單的相互關(guān)系，兩者之間存在著相互依存的、不可分離的內(nèi)在聯(lián)系。全面風(fēng)險(xiǎn)管理框架1.內(nèi)部環(huán)境治理結(jié)構(gòu)、組織架構(gòu)、授權(quán)與責(zé)任、風(fēng)險(xiǎn)偏好、人力資源政策、風(fēng)險(xiǎn)管理文化等2.目標(biāo)設(shè)定戰(zhàn)略目標(biāo)、經(jīng)營(yíng)目標(biāo)、報(bào)告目標(biāo)、合規(guī)目標(biāo)3.事項(xiàng)識(shí)別事件識(shí)別方法、事件分類、風(fēng)險(xiǎn)與機(jī)會(huì)4.風(fēng)險(xiǎn)評(píng)估固有風(fēng)險(xiǎn)與剩余風(fēng)險(xiǎn)評(píng)估（可能性與影響程度）、風(fēng)險(xiǎn)敞口5.風(fēng)險(xiǎn)應(yīng)對(duì)風(fēng)險(xiǎn)回避、風(fēng)險(xiǎn)降低、風(fēng)險(xiǎn)分擔(dān)、風(fēng)險(xiǎn)承擔(dān)6.控制活動(dòng)企業(yè)層面控制、業(yè)務(wù)流程層面控制、IT一般控制與應(yīng)用控制7.信息與溝通收集與傳遞內(nèi)部信息、外部信息8.監(jiān)控獨(dú)立監(jiān)控、持續(xù)監(jiān)控、自我評(píng)價(jià)、缺陷改進(jìn)內(nèi)部控制與企業(yè)風(fēng)險(xiǎn)管理之間的聯(lián)系主要表現(xiàn)在：1.組成部分重合內(nèi)部控制與風(fēng)險(xiǎn)管理的組成要素中，其中控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息與溝通以及監(jiān)督這五個(gè)要素是重合的。2.最終目標(biāo)相同內(nèi)部控制與風(fēng)險(xiǎn)管理的目標(biāo)都包括：經(jīng)營(yíng)目標(biāo)、合規(guī)性目標(biāo)、報(bào)告目標(biāo)。3.參與主體相同內(nèi)部控制與風(fēng)險(xiǎn)管理都是全員參與的過(guò)程，最終責(zé)任人都是管理者，且兩者的實(shí)施主體、過(guò)程也是一致的。4.風(fēng)險(xiǎn)防范是內(nèi)部控制的一個(gè)重要目標(biāo)，有了風(fēng)險(xiǎn)防范的目標(biāo)，內(nèi)部控制才顯得十分重要，其也才有發(fā)揮作用的廣大空間。5.內(nèi)部控制的一個(gè)基本作用是控制風(fēng)險(xiǎn)；風(fēng)險(xiǎn)管理是指在企業(yè)生產(chǎn)經(jīng)營(yíng)過(guò)程中，對(duì)企業(yè)可能面臨的風(fēng)險(xiǎn)進(jìn)行識(shí)別、評(píng)估和控制，最終目標(biāo)也是控制風(fēng)險(xiǎn)。風(fēng)險(xiǎn)管理體系構(gòu)架監(jiān)管與制衡制衡就是相互牽制，相互制約。內(nèi)部控制的基本假設(shè)是：兩個(gè)人有意識(shí)地犯同樣錯(cuò)誤的概率要遠(yuǎn)少于一個(gè)人；兩個(gè)人有意識(shí)地合伙舞弊的可能性要遠(yuǎn)少于一個(gè)人。也就是說(shuō)，不能由某一個(gè)人完成兩項(xiàng)作業(yè)。不能由某一個(gè)崗位同時(shí)履行兩項(xiàng)職責(zé)。如會(huì)計(jì)中的出納與記賬，不能由一個(gè)人承擔(dān)。因此，相互制衡是建立和實(shí)施內(nèi)部控制的核心理念。當(dāng)權(quán)力失去制約，必然滋生腐敗控制方法——典型不相容職務(wù)1.授權(quán)VS批準(zhǔn)2.審批VS執(zhí)行3.執(zhí)行VS記錄4.執(zhí)行VS審核5.保管VS記錄6.保管VS清查注意建立財(cái)務(wù)信息安全管理制度1.注意財(cái)務(wù)信息管理內(nèi)部分工和牽制（1）授權(quán)、執(zhí)行、記錄某項(xiàng)經(jīng)濟(jì)活動(dòng)的職務(wù)分離；（2）保管、記錄、核對(duì)資產(chǎn)信息的職務(wù)分析；（3）審批、出納、會(huì)計(jì)記錄人員明確分工，不得同時(shí)監(jiān)管；（4）采購(gòu)、驗(yàn)收、保管人員適度分離。2.注意現(xiàn)金、票據(jù)、印簽等相關(guān)安全管理（1）用于零星支付的現(xiàn)金、銀行票據(jù)必須放入保險(xiǎn)柜中，保險(xiǎn)柜只能由出納人員使用；（2）庫(kù)存現(xiàn)金不得超過(guò)規(guī)定限額，取送巨額現(xiàn)金，必須加強(qiáng)看護(hù)力量；（3）發(fā)票購(gòu)買、開具、保管專人負(fù)責(zé)，注意開票系統(tǒng)的安全管理和數(shù)據(jù)備份，開票系統(tǒng)計(jì)算機(jī)最好專用；（4）開票系統(tǒng)、財(cái)務(wù)管理系統(tǒng)、涉稅系統(tǒng)，一般情況下不得重新安裝，出現(xiàn)問(wèn)題聯(lián)系服務(wù)單位。風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)的識(shí)別是風(fēng)險(xiǎn)管理的重要環(huán)節(jié)。只有在意識(shí)到各種風(fēng)險(xiǎn)的基礎(chǔ)上，才能夠預(yù)測(cè)危險(xiǎn)可能造成的危害，從而選擇處理風(fēng)險(xiǎn)的有效手段。常見風(fēng)險(xiǎn)識(shí)別方法1.生產(chǎn)流程分析法生產(chǎn)流程分析法是對(duì)企業(yè)整個(gè)生產(chǎn)經(jīng)營(yíng)過(guò)程進(jìn)行全面分析，對(duì)其中各個(gè)環(huán)節(jié)逐項(xiàng)分析可能遭遇的風(fēng)險(xiǎn)，找出各種潛在的風(fēng)險(xiǎn)因素。生產(chǎn)流程分析法可分為風(fēng)險(xiǎn)列舉法和流程圖法。>>風(fēng)險(xiǎn)列舉法指風(fēng)險(xiǎn)管理部門根據(jù)該企業(yè)的生產(chǎn)流程，列舉出各個(gè)生產(chǎn)環(huán)節(jié)的所有風(fēng)險(xiǎn)。>>流程圖法指企業(yè)風(fēng)險(xiǎn)管理部門將整個(gè)企業(yè)生產(chǎn)過(guò)程一切環(huán)節(jié)系統(tǒng)化、順序化，制成流程圖，從而便于發(fā)現(xiàn)企業(yè)面臨的風(fēng)險(xiǎn)。2.財(cái)務(wù)表格分析法財(cái)務(wù)表格分析法是通過(guò)對(duì)企業(yè)的資產(chǎn)負(fù)債表、損益表、營(yíng)業(yè)報(bào)告書及其他有關(guān)資料進(jìn)行分析，從而識(shí)別和發(fā)現(xiàn)企業(yè)現(xiàn)有的財(cái)產(chǎn)、責(zé)任等面臨的風(fēng)險(xiǎn)。風(fēng)險(xiǎn)分析在進(jìn)行了風(fēng)險(xiǎn)辨識(shí)后，我們就要進(jìn)行風(fēng)險(xiǎn)估算，風(fēng)險(xiǎn)估算從以下幾個(gè)方面評(píng)估風(fēng)險(xiǎn)清單中的每一個(gè)風(fēng)險(xiǎn)：>>建立一個(gè)尺度，以反映風(fēng)險(xiǎn)發(fā)生的可能性；>>描述風(fēng)險(xiǎn)的后果；>>估算風(fēng)險(xiǎn)對(duì)項(xiàng)目及產(chǎn)品的影響；>>標(biāo)注風(fēng)險(xiǎn)預(yù)測(cè)的整體精確度，以免產(chǎn)生誤解。風(fēng)險(xiǎn)管理信息化解決方案以某軟件廠商的EAS風(fēng)險(xiǎn)管理系統(tǒng)通過(guò)風(fēng)險(xiǎn)管理范圍，構(gòu)建企業(yè)自上而下的風(fēng)控組織體系，以明確內(nèi)控職責(zé)，規(guī)范內(nèi)部控制管理機(jī)制。以重要會(huì)計(jì)科目為主線，結(jié)合EAS集團(tuán)報(bào)表體系，提供財(cái)務(wù)報(bào)告合規(guī)解決方案。符合內(nèi)部控制基本規(guī)范要求；符合港交所企業(yè)管治常規(guī)守則；符合薩班斯法案302.404條規(guī)定。幫助企業(yè)建立以風(fēng)險(xiǎn)為導(dǎo)向的標(biāo)準(zhǔn)化、規(guī)范化的內(nèi)部控制體系，以業(yè)務(wù)流程為中心，對(duì)企業(yè)各項(xiàng)業(yè)務(wù)與管理活動(dòng)實(shí)施有效的監(jiān)控。>>在既定的使命或愿景范圍內(nèi)，管理當(dāng)局制訂戰(zhàn)略目標(biāo)、選擇戰(zhàn)略，并在企業(yè)內(nèi)自上而下設(shè)定相應(yīng)的目標(biāo)，力求實(shí)現(xiàn)企業(yè)四種類型的目標(biāo)。>>使目標(biāo)與企業(yè)的風(fēng)險(xiǎn)容量相協(xié)調(diào)事項(xiàng)識(shí)別>>事項(xiàng)是源于內(nèi)部或外部的影響戰(zhàn)略實(shí)施或目標(biāo)實(shí)現(xiàn)的事故或事件，正面/負(fù)面影響，或者兩者兼而有之。>>事項(xiàng)庫(kù)提供收集、整理、識(shí)別、分析企業(yè)經(jīng)營(yíng)過(guò)程中的各類風(fēng)險(xiǎn)與機(jī)會(huì)事項(xiàng)，并提供建立目標(biāo)、風(fēng)險(xiǎn)與關(guān)鍵KPI的關(guān)聯(lián)，使企業(yè)形成完整的管理監(jiān)控體系如果沒(méi)有相應(yīng)的風(fēng)險(xiǎn)管理系統(tǒng)，其實(shí)我們熟知的Excel軟件，同樣能完成一些流程分工和風(fēng)險(xiǎn)識(shí)別、預(yù)警。設(shè)置數(shù)據(jù)有效性和數(shù)據(jù)保護(hù)通過(guò)if函數(shù)和and/or函數(shù)的嵌套，預(yù)警涉稅風(fēng)險(xiǎn)通過(guò)if函數(shù)和and/or函數(shù)的嵌套，預(yù)警涉稅風(fēng)險(xiǎn)案例演示：綜合運(yùn)用數(shù)據(jù)驗(yàn)證、數(shù)據(jù)保護(hù)和函數(shù)進(jìn)行進(jìn)銷存協(xié)作管理重點(diǎn)回顧內(nèi)部控制與企業(yè)風(fēng)險(xiǎn)管理之間的聯(lián)系主要表現(xiàn)在：1.組成部分重合內(nèi)部控制與風(fēng)險(xiǎn)管理的組成要素中，其中控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息與溝通以及監(jiān)督這五個(gè)要素是重合的。2.最終目標(biāo)相同內(nèi)部控制與風(fēng)險(xiǎn)管理的目標(biāo)都包括：經(jīng)營(yíng)目標(biāo)、合規(guī)性目標(biāo)、報(bào)告目標(biāo)。3.參與主體相同內(nèi)部控制與風(fēng)險(xiǎn)管理都是全員參與的過(guò)程，最終責(zé)任人都是管理者，且兩者的實(shí)施主體、過(guò)程也是一致的。風(fēng)險(xiǎn)管理體系構(gòu)架案例分析當(dāng)權(quán)力失去制約，必然滋生腐敗控制方法——典型不相容職務(wù)1.授權(quán)VS批準(zhǔn)2.審批VS執(zhí)行3.執(zhí)行VS記錄4.執(zhí)行VS審核5.保管VS記錄6.保管VS清查了解EAS風(fēng)險(xiǎn)管理系統(tǒng)以重要會(huì)計(jì)科目為主線，進(jìn)行內(nèi)部風(fēng)險(xiǎn)管控的解決方案。如果沒(méi)有相應(yīng)的風(fēng)險(xiǎn)管理系統(tǒng)，其實(shí)我們熟知的Excel軟件，同樣能完成一些流程分工和風(fēng)險(xiǎn)識(shí)別、預(yù)警。內(nèi)部控制與信息安全學(xué)習(xí)目標(biāo)1了解企業(yè)信息安全的層次框架體系基本內(nèi)容2了解企業(yè)信息安全內(nèi)部控制需要注意的問(wèn)題3掌握使用Windows以及第三方工具保證財(cái)務(wù)數(shù)據(jù)信息安全的方法4掌握使用ERP實(shí)施信息安全控制的原理我國(guó)“互聯(lián)網(wǎng)+”背景下，企業(yè)信息安全問(wèn)題不斷凸顯，急需加強(qiáng)信息安全內(nèi)部控制>>2012年，“三通一達(dá)”（中通、申通、圓通和韻達(dá)）等多家快遞公司客戶信息慘遭泄漏，數(shù)百萬(wàn)客戶信息在網(wǎng)上叫賣；>>2013年，東軟集團(tuán)20余名核心技術(shù)員工涉嫌泄漏公司核心機(jī)密被公安機(jī)關(guān)批捕，造成東軟集團(tuán)價(jià)值約4000萬(wàn)元的經(jīng)濟(jì)損失；>>2016年，12306用戶信息泄漏，包括用戶名、密碼、身份證號(hào)碼和郵箱等內(nèi)容的約13萬(wàn)余條用戶信息在網(wǎng)絡(luò)上瘋傳；>>2020年，涉疫情詐騙、醫(yī)托詐騙等等，不斷“推陳出新”……信息安全問(wèn)題在各個(gè)領(lǐng)域引起了高度重視，但是，很多企業(yè)對(duì)信息的保護(hù)措施遠(yuǎn)遠(yuǎn)不夠。為保障信息安全，加強(qiáng)內(nèi)部控制，企業(yè)需要從威脅企業(yè)信息安全的信息存儲(chǔ)、信息傳輸和信息使用三個(gè)層面，都需要建立信息安全內(nèi)部控制機(jī)制，對(duì)“人”、設(shè)備和各種信息數(shù)據(jù)進(jìn)行有效控制。企業(yè)信息安全的層次框架體系層次層面目標(biāo)安全屬性威脅保護(hù)手段系統(tǒng)安全設(shè)備安全對(duì)網(wǎng)絡(luò)與信息系統(tǒng)的硬件設(shè)施的保護(hù)。機(jī)密性、可用性、完整性、可靠性電磁泄露、通信干擾、信號(hào)注入、人為破壞、自然災(zāi)害、設(shè)備故障加擾處理、電磁屏蔽、數(shù)據(jù)校驗(yàn)、容錯(cuò)、冗余、系統(tǒng)備份運(yùn)行安全對(duì)網(wǎng)絡(luò)與信息系統(tǒng)的運(yùn)行過(guò)程和運(yùn)行狀態(tài)的保護(hù)。真實(shí)性、可控性、可用性、可審查性、可靠性非法使用資源、系統(tǒng)漏洞、網(wǎng)絡(luò)阻塞、網(wǎng)絡(luò)病毒、越權(quán)訪問(wèn)、非法控制系統(tǒng)、黑客攻擊、拒絕服務(wù)攻擊、軟件質(zhì)量差、系統(tǒng)崩潰防火墻與物理隔離、漏洞掃描、應(yīng)急響應(yīng)、病毒防治、訪問(wèn)控制、入侵檢測(cè)、源路由過(guò)濾、降級(jí)使用、數(shù)據(jù)備份信息安全數(shù)據(jù)安全在數(shù)據(jù)收集、處理過(guò)程中保障信息依據(jù)授權(quán)使用，不被冒充、竊取、篡改、抵賴。機(jī)密性、真實(shí)性、完整性、不可否認(rèn)性竊取、偽造、密鑰截獲、篡改、冒充、抵賴、攻擊密鑰加密、認(rèn)證、非對(duì)稱密鑰、完整性驗(yàn)證、鑒別、數(shù)字簽名、秘密共享內(nèi)容安全對(duì)信息在網(wǎng)絡(luò)內(nèi)流動(dòng)中的選擇性阻斷，以保證信息流動(dòng)的可控能力。機(jī)密性、真實(shí)性、可控性、可用性、完整性、可靠性可對(duì)系統(tǒng)造成威脅的腳本病毒；垃圾類郵件；導(dǎo)致社會(huì)不穩(wěn)定的有害信息，等等密文解析或形態(tài)解析、流動(dòng)信息的裁剪、信息的阻斷、信息的替換、信息的過(guò)濾、系統(tǒng)的控制企業(yè)信息安全隱患來(lái)源物理因素：硬件故障設(shè)備老化不小心的疏忽，例如靜電自然災(zāi)害如：地震、臺(tái)風(fēng)等盜竊、欺詐監(jiān)聽供電故障人或動(dòng)物破壞……技術(shù)因素：病毒和其他惡意程序黑客入侵和攻擊系統(tǒng)漏洞、程序Bug后門系統(tǒng)沒(méi)有進(jìn)行安全配置缺乏安全意識(shí)缺乏專業(yè)人員不良習(xí)慣……企業(yè)信息安全內(nèi)部控制計(jì)算機(jī)專人專用，手機(jī)安全管理；培養(yǎng)員工信息安全意識(shí)和基本病毒防御技能：>>及時(shí)打好系統(tǒng)補(bǔ)丁，安裝防火墻和殺毒軟件；>>軟件和資源只從正規(guī)渠道或可信賴的資源站點(diǎn)下載；>>不輕易掃描未知來(lái)源的二維碼，不隨意點(diǎn)擊不明鏈接；>>不輕易安裝未知應(yīng)用程序；>>定期更換密碼，為企業(yè)不同信息系統(tǒng)設(shè)置不同密碼；>>學(xué)會(huì)使用加密功能和加密工具保護(hù)信息安全。企業(yè)數(shù)據(jù)安全管理安全存儲(chǔ)·盡可能采用兩種或兩種以上備份方式·不要將數(shù)據(jù)存在同一硬盤完整一致·注意備份數(shù)據(jù)的版本·做好備份數(shù)據(jù)的記錄安全訪問(wèn)·備份數(shù)據(jù)的計(jì)算機(jī)設(shè)置密碼·盡可能禁止備份用計(jì)算機(jī)使用軟驅(qū)、Usb口財(cái)務(wù)數(shù)據(jù)常見文件類型在財(cái)務(wù)工作過(guò)程中，我們常常可以見到這樣一些文件類型：·XLSExcel工作簿文件·DOCWord文檔文件·PPTPowerPoint·TXT文本文件財(cái)務(wù)數(shù)據(jù)常見文件安全管理>>避免使用優(yōu)盤、移動(dòng)硬盤傳輸數(shù)據(jù)；>>通過(guò)網(wǎng)盤、微云、onedrive云端數(shù)據(jù)信息共享；>>對(duì)文件進(jìn)行只讀、修改權(quán)限進(jìn)行控制>>在Windows和第三方工具基礎(chǔ)上對(duì)文件進(jìn)行隱藏、加密、清除>>利用Windows和第三方軟件工具建立信息安全機(jī)制>>利用軟件工具進(jìn)行數(shù)據(jù)備份和還原系統(tǒng)信息安全機(jī)制財(cái)務(wù)信息管理的系統(tǒng)性信息安全機(jī)制，通過(guò)辦公自動(dòng)化系統(tǒng)、ERP軟件實(shí)現(xiàn)企業(yè)各種信息安全管理機(jī)制。以用友U8為例，看管理軟件的信息安全內(nèi)部控制>>U8內(nèi)控解決方案遵循內(nèi)部控制與風(fēng)險(xiǎn)管理框架，貫穿控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息和溝通、監(jiān)控五要素。>>軟件設(shè)計(jì)遵循《企業(yè)內(nèi)部控制基本規(guī)范及十七個(gè)具體細(xì)則》，對(duì)貨幣資金、固定資產(chǎn)、對(duì)外投資、工程項(xiàng)目、采購(gòu)與付款、籌資、銷售與收款、成本費(fèi)用、擔(dān)保、子公司經(jīng)濟(jì)業(yè)務(wù)等提供控制措施，給出基于ERP的控制手段和完整解決方案。應(yīng)用特點(diǎn)ERP系統(tǒng)支持在業(yè)務(wù)活動(dòng)高風(fēng)險(xiǎn)發(fā)生之處采取各控制措施及手段。支持把企業(yè)內(nèi)控流程通過(guò)ERP系統(tǒng)進(jìn)行配置和固化。建立完整的IT系統(tǒng)安全策略及控制體系，并通過(guò)國(guó)家信息部軟件安全測(cè)評(píng)機(jī)構(gòu)的安全性測(cè)試認(rèn)證。提供內(nèi)部審計(jì)系統(tǒng)：支持系統(tǒng)安全性審查、以及歷史記錄分析；支持業(yè)務(wù)處理及操作歷史追溯和統(tǒng)計(jì)分析。內(nèi)部控制在軟件中實(shí)現(xiàn)>>業(yè)務(wù)運(yùn)作的全程管理與信息共享。>>規(guī)范的業(yè)務(wù)流程和嚴(yán)格的操作，有效預(yù)防風(fēng)險(xiǎn)事件的發(fā)生。>>重大、關(guān)鍵、意外事件的上通下達(dá)，提高企業(yè)發(fā)現(xiàn)風(fēng)險(xiǎn)、評(píng)估風(fēng)險(xiǎn)的能力，有效地防范經(jīng)營(yíng)風(fēng)險(xiǎn)。>>經(jīng)營(yíng)評(píng)價(jià)的科學(xué)透明和及時(shí)可得。>>關(guān)鍵業(yè)績(jī)指標(biāo)的多維度反映。>>責(zé)權(quán)利明確，既能夠讓不同部門的人員參與內(nèi)部控制管理，又能對(duì)其權(quán)限進(jìn)行靈活控制，以保證公司經(jīng)營(yíng)過(guò)程的安全。>>與供應(yīng)商、渠道及客戶上下游協(xié)同運(yùn)作。系統(tǒng)管理及安全－管理員權(quán)限分離不同業(yè)務(wù)、不同部門的用戶角色管理數(shù)據(jù)卸出與還原完善自動(dòng)備份計(jì)劃系統(tǒng)記錄查詢與追溯>>安全策略變更查詢可查詢安全策略設(shè)置的變化歷史，查詢系統(tǒng)內(nèi)用戶、角色擁有的功能權(quán)限和部分重要數(shù)據(jù)權(quán)限的變化情況>>賬套數(shù)據(jù)操作歷史可查詢賬套級(jí)數(shù)據(jù)的操作情況，如對(duì)新建賬套、備份/輸出賬套、語(yǔ)言擴(kuò)展、年度結(jié)轉(zhuǎn)、數(shù)據(jù)卸除等>>功能操作日志分析可查詢各種業(yè)務(wù)操作的詳細(xì)日志設(shè)置不相容權(quán)限規(guī)則，保證內(nèi)部牽制與監(jiān)督業(yè)務(wù)數(shù)據(jù)操作日志－聯(lián)查表體變化明細(xì)>>提供多種單據(jù)、檔案的關(guān)鍵操作的記錄與查詢，以便對(duì)各類重要業(yè)務(wù)進(jìn)行審計(jì)追溯（業(yè)務(wù)數(shù)據(jù)操作日志）>>提供對(duì)各個(gè)業(yè)務(wù)參數(shù)變化的記錄與查詢（業(yè)務(wù)參數(shù)變更查詢）>>支持選項(xiàng)設(shè)置是否記錄日志>>支持聯(lián)查刪除信息和表體變化明細(xì)還有更多關(guān)于審計(jì)和信息安全措施，建議大家專門進(jìn)行用友ERP軟件的學(xué)習(xí)。重點(diǎn)回顧企業(yè)信息安全的層次框架體系層次層面目標(biāo)安全屬性威脅保護(hù)手段系統(tǒng)安全設(shè)備安全對(duì)網(wǎng)絡(luò)與信息系統(tǒng)的硬件設(shè)施的保護(hù)。機(jī)密性、可用性、完整性、可靠性電磁泄露、通信干擾、信號(hào)注入、人為破壞、自然災(zāi)害、設(shè)備故障加擾處理、電磁屏蔽、數(shù)據(jù)校驗(yàn)、容錯(cuò)、冗余、系統(tǒng)備份運(yùn)行安全對(duì)網(wǎng)絡(luò)與信息系統(tǒng)的運(yùn)行過(guò)程和運(yùn)行狀態(tài)的保護(hù)。真實(shí)性、可控性、可用性、可審查性、可靠性非法使用資源、系統(tǒng)漏洞、網(wǎng)絡(luò)阻塞、網(wǎng)絡(luò)病毒、越權(quán)訪問(wèn)、非法控制系統(tǒng)、黑客攻擊、拒絕服務(wù)攻擊、軟件質(zhì)量差、系統(tǒng)崩潰防火墻與物理隔離、漏洞掃描、應(yīng)急響應(yīng)、病毒防治、訪問(wèn)控制、入侵檢測(cè)、源路由過(guò)濾、降級(jí)使用、數(shù)據(jù)備份信息安全數(shù)據(jù)安全在數(shù)據(jù)收集、處理過(guò)程中保障信息依據(jù)授權(quán)使用，不被冒充、竊取、篡改、抵賴。機(jī)密性、真實(shí)性、完整性、不可否認(rèn)性竊取、偽造、密鑰截獲、篡改、冒充、抵賴、攻擊密鑰加密、認(rèn)證、非對(duì)稱密鑰、完整性驗(yàn)證、鑒別、數(shù)字簽名、秘密共享內(nèi)容安全對(duì)信息在網(wǎng)絡(luò)內(nèi)流動(dòng)中的選擇性阻斷，以保證信息流動(dòng)的可控能力。機(jī)密性、真實(shí)性、可控性、可用性、完整性、可靠性可對(duì)系統(tǒng)造成威脅的腳本病毒；垃圾類郵件；導(dǎo)致社會(huì)不穩(wěn)定的有害信息，等等密文解析或形態(tài)解析、流動(dòng)信息的裁剪、信息的阻斷、信息的替換、信息的過(guò)濾、系統(tǒng)的控制企業(yè)信息安全隱患來(lái)源以及預(yù)防措施物理因素硬件故障設(shè)備老化不小心的疏忽，例如靜電自然災(zāi)害如：地震、臺(tái)風(fēng)等盜竊、欺詐監(jiān)聽供電故障人或動(dòng)物破壞……技術(shù)因素病毒和其他惡意程序黑客入侵和攻擊系統(tǒng)漏洞、程序Bug后門系統(tǒng)沒(méi)有進(jìn)行安全配置缺乏安全意識(shí)缺乏專業(yè)人員不良習(xí)慣……企業(yè)信息安全內(nèi)部控制計(jì)算機(jī)專人專用，手機(jī)安全管理；培養(yǎng)員工信息安全意識(shí)和基本病毒防御技能：>>及時(shí)打好系統(tǒng)補(bǔ)丁，安裝防火墻和殺毒軟件；>>軟件和資源只從正規(guī)渠道或可信賴的資源站點(diǎn)下載；>>不輕易掃描未知來(lái)源的二維碼，不隨意點(diǎn)擊不明鏈接；>>不輕易安裝未知應(yīng)用程序；>>定期更換密碼，為企業(yè)不同信息系統(tǒng)設(shè)置不同密碼；>>學(xué)會(huì)使用加密功能和加密工具保護(hù)信息安全。財(cái)務(wù)數(shù)據(jù)常見文件安全管理方法>>避免使用優(yōu)盤、移動(dòng)硬盤傳輸數(shù)據(jù)；>>通過(guò)網(wǎng)盤、微云、onedrive云端數(shù)據(jù)信息共享；>>對(duì)文件進(jìn)行只讀、修改權(quán)限進(jìn)行控制；>>在Windows和第三方工具基礎(chǔ)上對(duì)文件進(jìn)行隱藏、加密、清除；>>借助Windows本地安全策略設(shè)置賬戶安全、本地策略、系統(tǒng)防火墻、軟件限制策略、數(shù)據(jù)備份；>>借助第三方工具進(jìn)行一鍵數(shù)據(jù)備份和恢復(fù)。財(cái)務(wù)信息管理的系統(tǒng)性信息安全機(jī)制，通過(guò)辦公自動(dòng)化系統(tǒng)、ERP軟件實(shí)現(xiàn)企業(yè)各種信息安全管理機(jī)制。>>U8內(nèi)控解決方案遵循內(nèi)部控制與風(fēng)險(xiǎn)管理框架，貫穿控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息和溝通、監(jiān)控五要素。>>軟件設(shè)計(jì)遵循《企業(yè)內(nèi)部控制基本規(guī)范及十七個(gè)具體細(xì)則》，對(duì)貨幣資金、固定資產(chǎn)、對(duì)外投資、工程項(xiàng)目、采購(gòu)與付款、籌資、銷售與收款、成本費(fèi)用、擔(dān)保、子公司經(jīng)濟(jì)業(yè)務(wù)等提供控制措施，給出基于ERP的控制手段和完整解決方案。內(nèi)部控制信息化系統(tǒng)實(shí)施學(xué)習(xí)目標(biāo)1了解《企業(yè)內(nèi)部控制應(yīng)用指引》關(guān)于信息系統(tǒng)的指導(dǎo)2了解現(xiàn)階段信息系統(tǒng)實(shí)施內(nèi)部控制主要問(wèn)題3理解內(nèi)部控制信息系統(tǒng)開發(fā)過(guò)程4把握內(nèi)部控制信息系統(tǒng)實(shí)施的關(guān)鍵控制點(diǎn)和主要控制措施企業(yè)內(nèi)部控制應(yīng)用指引——第18號(hào)——信息系統(tǒng)企業(yè)內(nèi)部控制應(yīng)用指引是用于指導(dǎo)企業(yè)按照內(nèi)控原則和內(nèi)控“五要素”建立健全本企業(yè)內(nèi)部控制指導(dǎo)文件。在《企業(yè)內(nèi)部控制配套指引》乃至整個(gè)內(nèi)部控制規(guī)范體系中占居主體地位。其中第18號(hào)文件立足于信息技術(shù)應(yīng)用對(duì)內(nèi)部控制進(jìn)行集成、轉(zhuǎn)化和提升，指導(dǎo)企業(yè)有效實(shí)施內(nèi)部控制，減少人為因素，提高企業(yè)現(xiàn)代化管理水平?！镀髽I(yè)內(nèi)部控制應(yīng)用指引第18號(hào)———信息系統(tǒng)》中所指信息系統(tǒng)，是指企業(yè)利用計(jì)算機(jī)和通信技術(shù)，對(duì)內(nèi)部控制進(jìn)行集成、轉(zhuǎn)化和提升所形成的信息化管理平臺(tái)。信息系統(tǒng)內(nèi)部控制的目標(biāo)是促進(jìn)企業(yè)有效實(shí)施內(nèi)部控制，提高企業(yè)現(xiàn)代化管理水平，減少人為操縱因素；同時(shí)，增強(qiáng)信息系統(tǒng)的安全性、可靠性和合理性以及相關(guān)信息的保密性、完整性和可用性，為建立有效的信息與溝通機(jī)制提供支持保障。信息系統(tǒng)內(nèi)部控制的主要對(duì)象是信息系統(tǒng)，由計(jì)算機(jī)硬件、軟件、人員、信息流和運(yùn)行規(guī)程等要素組成?，F(xiàn)階段，信息系統(tǒng)實(shí)施內(nèi)部控制主要問(wèn)題>>信息系統(tǒng)缺乏或規(guī)劃不合理，可能造成信息孤島或重復(fù)建設(shè)，導(dǎo)致企業(yè)經(jīng)營(yíng)管理效率低下；>>系統(tǒng)開發(fā)不符合內(nèi)部控制要求，授權(quán)管理不當(dāng)，可能導(dǎo)致無(wú)法利用信息技術(shù)實(shí)施有效控制；>>系統(tǒng)運(yùn)行維護(hù)和安全措施不到位，可能導(dǎo)致信息泄漏或毀損，系統(tǒng)無(wú)法正常運(yùn)行。信息系統(tǒng)實(shí)施內(nèi)部控制的必要前提信息系統(tǒng)建設(shè)是“一把手”工程。只有企業(yè)負(fù)責(zé)人站在戰(zhàn)略和全局的高度親自組織領(lǐng)導(dǎo)信息系統(tǒng)建設(shè)工作，才能統(tǒng)一思想、提高認(rèn)識(shí)、加強(qiáng)協(xié)調(diào)配合，從而推動(dòng)信息系統(tǒng)建設(shè)在整合資源的前提下高效、協(xié)調(diào)推進(jìn)。內(nèi)部控制信息系統(tǒng)開發(fā)企業(yè)根據(jù)發(fā)展戰(zhàn)略和業(yè)務(wù)需要進(jìn)行信息系統(tǒng)建設(shè)，首先要確立系統(tǒng)建設(shè)目標(biāo)，根據(jù)目標(biāo)進(jìn)行系統(tǒng)建設(shè)戰(zhàn)略規(guī)劃，再將規(guī)劃細(xì)化為項(xiàng)目建設(shè)方案。根據(jù)實(shí)際情況，選擇自行開發(fā)、外購(gòu)調(diào)試或業(yè)務(wù)外包等方式，并加強(qiáng)全過(guò)程的跟蹤管理，力求內(nèi)部控制信息系統(tǒng)的有效實(shí)施。內(nèi)部控制信息系統(tǒng)開發(fā)過(guò)程制定規(guī)劃戰(zhàn)略規(guī)劃是以企業(yè)發(fā)展戰(zhàn)略為依據(jù)制定的企業(yè)信息化建設(shè)的全局性、長(zhǎng)期性規(guī)劃。制定信息系統(tǒng)戰(zhàn)略規(guī)劃的主要風(fēng)險(xiǎn)是：1.缺乏戰(zhàn)略規(guī)劃或規(guī)劃不合理，可能造成信息孤島或重復(fù)建設(shè)，各個(gè)子系統(tǒng)各自為政，導(dǎo)致企業(yè)經(jīng)營(yíng)管理效率低下；2.沒(méi)有將信息化與企業(yè)業(yè)務(wù)需求結(jié)合，降低了信息系統(tǒng)的應(yīng)用價(jià)值。主要控制措施：1.企業(yè)必須制定信息系統(tǒng)開發(fā)的戰(zhàn)略規(guī)劃和中長(zhǎng)期發(fā)展計(jì)劃，并在每年制定經(jīng)營(yíng)計(jì)劃的同時(shí)制定年度信息系統(tǒng)建設(shè)計(jì)劃，促進(jìn)經(jīng)營(yíng)管理活動(dòng)與信息系統(tǒng)的協(xié)調(diào)統(tǒng)一；2.要充分調(diào)動(dòng)和發(fā)揮信息系統(tǒng)歸口管理部門與業(yè)務(wù)部門的積極性，做到廣泛參與，充分溝通，提高戰(zhàn)略規(guī)劃的科學(xué)性、前瞻性和適應(yīng)性；3.信息系統(tǒng)戰(zhàn)略規(guī)劃要與企業(yè)的組織架構(gòu)、業(yè)務(wù)范圍、地域分布、技術(shù)能力等相匹配，避免相互脫節(jié)。選擇開發(fā)方式信息系統(tǒng)的開發(fā)建設(shè)是信息系統(tǒng)生命周期中技術(shù)難度最大的環(huán)節(jié)。在開發(fā)建設(shè)環(huán)節(jié)，要將企業(yè)的業(yè)務(wù)流程、內(nèi)控措施、權(quán)限配置、預(yù)警指標(biāo)、核算方法等固化到信息系統(tǒng)中，因此開發(fā)建設(shè)的好壞直接影響信息系統(tǒng)的成敗。企業(yè)根據(jù)自身情況選擇自行開發(fā)、外購(gòu)調(diào)試、業(yè)務(wù)外包等方式。自行開發(fā)方式的關(guān)鍵控制點(diǎn)和主要控制措施1.項(xiàng)目計(jì)劃環(huán)節(jié)根據(jù)企業(yè)戰(zhàn)略規(guī)劃將內(nèi)控信息化系統(tǒng)分成財(cái)務(wù)管理、人力資源管理、進(jìn)銷存管理、客戶管理若干子系統(tǒng)（如有現(xiàn)有系統(tǒng)則需要規(guī)劃相應(yīng)業(yè)務(wù)和數(shù)據(jù)接口），確定項(xiàng)目范圍、項(xiàng)目進(jìn)度、質(zhì)量計(jì)劃、資源計(jì)劃、溝通計(jì)劃、風(fēng)險(xiǎn)對(duì)策、項(xiàng)目采購(gòu)計(jì)劃、需求變更控制、配置管理計(jì)劃等內(nèi)容。項(xiàng)目計(jì)劃環(huán)節(jié)的主要風(fēng)險(xiǎn)是：信息系統(tǒng)建設(shè)缺乏項(xiàng)目計(jì)劃或者計(jì)劃不當(dāng)，導(dǎo)致項(xiàng)目進(jìn)度滯后、費(fèi)用超支、質(zhì)量低下。主要控制措施：（1）企業(yè)應(yīng)當(dāng)根據(jù)信息系統(tǒng)建設(shè)整體規(guī)劃提出分階段項(xiàng)目的建設(shè)方案，明確建設(shè)目標(biāo)、人員配備、職責(zé)分工、經(jīng)費(fèi)保障和進(jìn)度安排等相關(guān)內(nèi)容，按照規(guī)定的權(quán)限和程序?qū)徟髮?shí)施；（2）企業(yè)可選擇項(xiàng)目管理軟件（如Project）制定項(xiàng)目計(jì)劃，并加以跟蹤。在關(guān)鍵環(huán)節(jié)和里程碑進(jìn)行階段評(píng)審，確保過(guò)程可控；（3）項(xiàng)目關(guān)鍵環(huán)節(jié)編制的文檔軟件開發(fā)標(biāo)準(zhǔn)進(jìn)行，以提高項(xiàng)目計(jì)劃編制水平。2.需求分析環(huán)節(jié)明確需要實(shí)現(xiàn)的功能。在針對(duì)不同層面人員（覆蓋戰(zhàn)略層、管理層、作業(yè)層、內(nèi)控層、技術(shù)層）深入調(diào)查基礎(chǔ)上，詳細(xì)描述業(yè)務(wù)活動(dòng)涉及的各項(xiàng)工作以及需求，建立未來(lái)目標(biāo)系統(tǒng)的邏輯模型。需求分析環(huán)境主要風(fēng)險(xiǎn)是：（1）需求本身不合理，對(duì)信息系統(tǒng)提出的功能、性能、安全性等方面的要求不符合業(yè)務(wù)處理和控制的需要；（2）技術(shù)上不可行、經(jīng)濟(jì)上成本效益倒掛，或與國(guó)家有關(guān)法規(guī)制度存在沖突；（3）需求文檔表述不準(zhǔn)確、不完整，未能真實(shí)全面地表達(dá)企業(yè)需求，存在表述缺失、表述不一致甚至表述錯(cuò)誤等問(wèn)題。主要控制措施：（1）信息系統(tǒng)歸口管理部門應(yīng)當(dāng)組織企業(yè)內(nèi)部各有關(guān)部門提出開發(fā)需求，加強(qiáng)內(nèi)部溝通，經(jīng)綜合分析形成合理的需求；（2）編制表述清晰、表達(dá)準(zhǔn)確的需求文檔。需求文檔是業(yè)務(wù)人員和技術(shù)人員共同理解信息系統(tǒng)的橋梁，必須準(zhǔn)確表述系統(tǒng)建設(shè)的目標(biāo)、功能和要求；（3）企業(yè)應(yīng)當(dāng)建立健全需求評(píng)審和需求變更控制流程，評(píng)審其可行性，由需求提出人和編制人簽字確認(rèn)，并經(jīng)業(yè)務(wù)部門與信息系統(tǒng)歸口管理部門負(fù)責(zé)人審批。3.系統(tǒng)設(shè)計(jì)環(huán)節(jié)根據(jù)需求分析階段所確定的目標(biāo)系統(tǒng)邏輯模型，設(shè)計(jì)出一個(gè)能在企業(yè)特定的計(jì)算機(jī)和網(wǎng)絡(luò)環(huán)境中實(shí)現(xiàn)的方案，即建立信息系統(tǒng)的物理模型。系統(tǒng)設(shè)計(jì)包括總體設(shè)計(jì)和詳細(xì)設(shè)計(jì)?？傮w設(shè)計(jì)主要設(shè)計(jì)系統(tǒng)的模塊結(jié)構(gòu)，包括子系統(tǒng)邊界和接口，并進(jìn)行數(shù)據(jù)庫(kù)設(shè)計(jì)，確定系統(tǒng)部署方式等；詳細(xì)設(shè)計(jì)的主要是進(jìn)行程序說(shuō)明書編制、數(shù)據(jù)編碼規(guī)范、輸入輸出界面設(shè)計(jì)等內(nèi)容。系統(tǒng)設(shè)計(jì)環(huán)節(jié)的主要風(fēng)險(xiǎn)是：（1）設(shè)計(jì)方案不能完全滿足用戶需求，不能實(shí)現(xiàn)需求文檔規(guī)定的目標(biāo)；（2）設(shè)計(jì)方案未能有效控制建設(shè)開發(fā)成本，不能保證建設(shè)質(zhì)量和進(jìn)度；（3）設(shè)計(jì)方案不全面，導(dǎo)致后續(xù)變更頻繁；（4）設(shè)計(jì)方案沒(méi)有考慮信息系統(tǒng)建成后對(duì)企業(yè)內(nèi)部控制的影響，導(dǎo)致系統(tǒng)運(yùn)行后衍生新的風(fēng)險(xiǎn)。主要控制措施：（1）系統(tǒng)設(shè)計(jì)負(fù)責(zé)部門應(yīng)當(dāng)就總體設(shè)計(jì)方案與業(yè)務(wù)部門進(jìn)行溝通和討論，說(shuō)明方案對(duì)用戶需求的覆蓋情況，注意設(shè)定可能情況的預(yù)案，相關(guān)人員予以書面確認(rèn)；（2）按照軟件開發(fā)標(biāo)準(zhǔn)，提高系統(tǒng)設(shè)計(jì)說(shuō)明書的編寫質(zhì)量；（3）建立設(shè)計(jì)評(píng)審制度和設(shè)計(jì)變更控制流程；（4）應(yīng)當(dāng)充分考慮信息系統(tǒng)建成后的控制環(huán)境，將業(yè)務(wù)流程、關(guān)鍵控制點(diǎn)和處理規(guī)程嵌入系統(tǒng)程序，實(shí)現(xiàn)手工環(huán)境下難以實(shí)現(xiàn)的控制功能，例如：數(shù)據(jù)范圍的設(shè)定，防止誤操作和越權(quán)操作。（5）應(yīng)充分考慮信息系統(tǒng)環(huán)境下的新的控制風(fēng)險(xiǎn)，比如，要通過(guò)信息系統(tǒng)中的權(quán)限管理功能控制用戶的操作權(quán)限，避免將不相容職務(wù)的處理權(quán)限授予同一用戶；（6）應(yīng)當(dāng)針對(duì)不同的數(shù)據(jù)輸入方式，強(qiáng)化對(duì)進(jìn)入系統(tǒng)數(shù)據(jù)的檢查和校驗(yàn)功能；（7）利用操作日志功能，確保操作的可審計(jì)、可監(jiān)控、可追溯。4.編程和測(cè)試環(huán)節(jié)實(shí)施設(shè)計(jì)方案并通過(guò)測(cè)試實(shí)現(xiàn)糾錯(cuò)，以及評(píng)價(jià)系統(tǒng)性能，例如系統(tǒng)負(fù)載能力、反映速度、安全機(jī)制。編程和測(cè)試環(huán)節(jié)的主要風(fēng)險(xiǎn)是：（1）編程結(jié)果與設(shè)計(jì)不符；（2）各程序員編程風(fēng)格差異大，程序可讀性差，導(dǎo)致后期維護(hù)困難，維護(hù)成本高；（3）缺乏有效的版本控制，導(dǎo)致重復(fù)修改或修改不一致等問(wèn)題；（4）測(cè)試不充分，單個(gè)模塊正常運(yùn)行但多個(gè)模塊集