2017高級會計實務基礎知識：信息系統(tǒng)控制

來源：東奧會計在線責編：彭帥2017-09-11 11:15:13

　高級會計師考試已經圓滿落下帷幕，但是備考不能停下腳步，準備報考2018年高會考試的朋友現(xiàn)在就應著手準備了。東奧小編每天為大家整理高級會計實務知識點，希望大能夠順利備考。

　　【內容導航】：

1.信息系統(tǒng)開發(fā)、運行與維護過程中的主要風險

2.信息系統(tǒng)開發(fā)環(huán)節(jié)的關鍵控制點及控制措施

3.信息系統(tǒng)運行與維護環(huán)節(jié)的關鍵控制點及控制措施

【所屬章節(jié)】：

本知識點屬于《高級會計實務》科目第六章企業(yè)內部控制第二節(jié)企業(yè)內部控制體系建設

【知識點】：信息系統(tǒng)控制

　　信息系統(tǒng)控制

　　信息系統(tǒng)，是指企業(yè)利用計算機和通信技術，對內部控制進行集成、轉化和提升所形成的信息化管理平臺。企業(yè)應當重視信息系統(tǒng)在內部控制中的作用，根據內部控制要求，結合組織架構、業(yè)務范圍、地域分布、技術能力等因素，制定信息系統(tǒng)建設整體規(guī)劃，加大投入力度，有序組織信息系統(tǒng)開發(fā)、運行與維護，優(yōu)化管理流程，防范經營風險，全面提升企業(yè)現(xiàn)代化管理水平。

　　1.信息系統(tǒng)開發(fā)、運行與維護過程中的主要風險

　　(1)信息系統(tǒng)缺乏或規(guī)劃不合理，可能造成信息孤島或重復建設，導致企業(yè)經營管理效率低下。

　　(2)系統(tǒng)開發(fā)不符合內部控制要求，授權管理不當，可能導致無法利用信息技術實施有效控制。

　　(3)系統(tǒng)運行維護和安全措施不到位，可能導致信息泄漏或毀損，系統(tǒng)無法正常運行。

　　2.信息系統(tǒng)開發(fā)環(huán)節(jié)的關鍵控制點及控制措施

　　(1)企業(yè)應當根據信息系統(tǒng)建設整體規(guī)劃提出項目建設方案，明確建設目標、人員配備、職責分工、經費保障和進度安排等相關內容，按照規(guī)定的權限和程序審批后實施。

　　(2)企業(yè)可以采取自行開發(fā)、外購調試、業(yè)務外包等方式開發(fā)信息系統(tǒng)。選定外購調試或業(yè)務外包方式的，應當采用公開招標等形式擇優(yōu)確定供應商或開發(fā)單位。

　　(3)企業(yè)開發(fā)信息系統(tǒng)，應當將生產經營管理業(yè)務流程、關鍵控制點和處理規(guī)則嵌入系統(tǒng)程序，實現(xiàn)手工環(huán)境下難以實現(xiàn)的控制功能。企業(yè)應當在信息系統(tǒng)中設置操作日志功能，確保操作的可審計性。對異常的或者違背內部控制要求的交易和數(shù)據，應當設計由系統(tǒng)自動報告并設置跟蹤處理機制。

　　(4)企業(yè)信息系統(tǒng)歸口管理部門應當加強信息系統(tǒng)開發(fā)全過程的跟蹤管理，組織開發(fā)單位與內部各單位的日常溝通和協(xié)調，督促開發(fā)單位按照建設方案、計劃進度和質量要求完成編程工作，對配備的硬件設備和系統(tǒng)軟件進行檢查驗收，組織系統(tǒng)上線運行等。

　　(5)企業(yè)應當組織獨立于開發(fā)單位的專業(yè)機構對開發(fā)完成的信息系統(tǒng)進行驗收測試，確保在功能、性能、控制要求和安全性等方面符合開發(fā)需求。

　　(6)企業(yè)應當切實做好信息系統(tǒng)上線的各項準備工作，培訓業(yè)務操作和系統(tǒng)管理人員，制定科學的上線計劃和新舊系統(tǒng)轉換方案，考慮應急預案，確保新舊系統(tǒng)順利切換和平穩(wěn)銜接。系統(tǒng)上線涉及數(shù)據遷移的，還應制訂詳細的數(shù)據遷移計劃。

　　3.信息系統(tǒng)運行與維護環(huán)節(jié)的關鍵控制點及控制措施

　　(1)企業(yè)應當加強信息系統(tǒng)運行與維護的管理，制定信息系統(tǒng)工作程序、信息管理制度以及各模塊子系統(tǒng)的具體操作規(guī)范，及時跟蹤、發(fā)現(xiàn)和解決系統(tǒng)運行中存在的問題，確保信息系統(tǒng)按照規(guī)定的程序、制度和操作規(guī)范持續(xù)穩(wěn)定運行。

　　(2)企業(yè)應當建立信息系統(tǒng)變更管理流程，信息系統(tǒng)變更應當嚴格遵照管理流程進行操作。信息系統(tǒng)操作人員不得擅自進行系統(tǒng)軟件的刪除、修改等操作;不得擅自升級、改變系統(tǒng)軟件版本;不得擅自改變軟件系統(tǒng)環(huán)境配置。

　　(3)企業(yè)應當根據業(yè)務性質、重要性程度、涉密情況等確定信息系統(tǒng)的安全等級，建立不同等級信息的授權使用制度，采用相應技術手段保證信息系統(tǒng)運行安全有序。企業(yè)應當建立信息系統(tǒng)安全保密和泄密責任追究制度。

　　(4)企業(yè)應當建立用戶管理制度，加強對重要業(yè)務系統(tǒng)的訪問權限管理，定期審閱系統(tǒng)賬號，避免授權不當或存在非授權賬號，禁止不相容職務用戶賬號的交叉操作。

　　(5)企業(yè)應當綜合利用防火墻、路由器等網絡設備，漏洞掃描、入侵檢測等軟件技術以及遠程訪問安全策略等手段，加強網絡安全，防范來自網絡的攻擊和非法侵入。對于通過網絡傳輸?shù)纳婷芑蜿P鍵數(shù)據，應采取加密措施，確保信息傳遞的保密性、準確性和完整性。

　　(6)企業(yè)應當建立系統(tǒng)數(shù)據定期備份制度，明確備份范圍、頻度、方法、責任人、存放地點、有效性檢查等內容。

　　(7)企業(yè)應當加強服務器等關鍵信息設備的管理，建立良好的物理環(huán)境，指定專人負責檢查，及時處理異常情況。未經授權，任何人不得接觸關鍵信息設備。

　　【案例題6-16】A國有大型企業(yè)集團公司(以下簡稱A公司)為加強內部控制制度建設，聘請某會計師事務所在年報審計時對公司所屬B、C、D、E 4家全資子公司內部控制制度的健全性和有效性進行檢查與評價。檢查中發(fā)現(xiàn)以下問題：

　　(1)B公司對外投資決策失控。經查，該項投資發(fā)生于2004年6月，當時B公司董事長譚某經朋友介紹認識了自稱是境外甲金融投資公司(以下簡稱甲公司)總經理的廖某，雙方約定，由B公司向甲公司投入1000萬元用于投資，期限1年，收益率20%?？紤]到這項投資能給本公司帶來巨額回報，為避免錯失良機，譚某指令財會部先將1000萬元資金匯往甲公司，之后再向董事會補辦報批手續(xù)、補簽投資協(xié)議。財會部匯出資金后向對方核實是否收到匯款時卻始終找不到廖某。后經查實，甲公司純系子虛烏有。

　　(2)C公司對外擔保管理松弛。2009年3月，C公司為乙公司提供100萬元貸款擔保，公司風險管理部李某根據總經理指示辦理此事。由于李某對擔保業(yè)務不熟悉，C公司也沒有相應的管理制度，因此，李某僅憑感覺認為乙公司董事長是本公司總經理的親屬，不會出問題，于是辦理了擔保手續(xù)。此后，乙公司破產，C公司承擔連帶責任。

　　(3)D公司工程項目管理混亂。2009年5月，D公司開工建設職工活動中心，2010年6月份完工。工程原定總投資3500萬元，決算金額為3950萬元。據查，該工程由D公司工會提出申請，由工會有關人員進行可行性研究，經D公司董事會審批同意并授權由工會主席張某具體負責工程項目的實施和對工程價款支付的審批。隨后，張某私自決定將工程交由某個體施工隊承建。在工程即將完工時，施工隊負責人向張某提出，職工活動中心應有配套健身設施，建議增建保齡球館。張某認為這一建議可取，指示工會有關人員提出工程項目變更申請，經其簽字批準后實施。在工程完工后，由工會有關人員辦理了竣工驗收手續(xù)，由財務部門將交付使用資產登記入賬。職工活動中心交付使用后，發(fā)現(xiàn)包括保齡球道在內的多項工程設施存在嚴重質量問題。

　　(4)E公司重大設備采購控制不嚴。2009年5月，E公司決定從國外引進兩臺具有世界領先水平的生產設備。經某客戶推薦和聯(lián)系，E公司指派一副總經理帶隊赴國外丙公司實地考察?？疾炱陂g，考察團僅觀看了所要采購設備的圖片和影視資料，未進行實地考察和技術測試。雙方代表經過談判，并經各自公司授權批準，簽訂了采購合同。6月15日，E公司按照合同約定一次性支付了設備款。8月初，兩臺設備運抵E公司，并在啟封、安裝后立即投入生產。但在生產過程中，這兩臺設備多次出現(xiàn)故障。后經專家鑒定，這兩臺設備系國外淘汰多年的舊機器，丙公司僅僅更換了一些零部件、重新噴涂了油漆就將其出售給了E公司，其實際價值不及售價的十分之一。該事務所在工作結束后，向A公司管理層通報了內部控制制度評價情況。針對所屬全資子公司在內部控制方面存在的問題，A公司召開由集團公司領導、各部門負責人和各子公司負責人參加的專門會議進行研究。在討論過程中，有關人員發(fā)言要點如下：

　　A公司董事長王某：這幾個公司內部控制薄弱給企業(yè)和國家財產造成重大損失，教訓極其深刻，值得反思。集團公司和各子公司要切實建立健全內部控制制度，不要怕程序復雜，也不要怕審批繁瑣，只要能搞好內部控制，花多大代價都值得。

　　A公司總會計師趙某：第一，要強化內部審計，在集團公司財會部增設審計處，專門負責對會計和內部控制制度執(zhí)行情況的監(jiān)督。審計處接受財會部領導，但重大問題可以直接向我匯報。第二，嚴格審批權限，各子公司均實行“一支筆”審批，所有財務收支，無論是工程支出還是日常零星開支，都由各子公司董事長審批。

　　A公司財會部經理孫某：第一，建議加強對工程項目的預算管理，實行剛性預算，超預算的工程支出一律不予批準;第二，落實固定資產采購責任制，建議由各子公司技術部全權負責辦理采購事宜，并建立嚴格的責任追究機制。

　　要求：

　　1.根據財政部、證監(jiān)會和審計署等五部委聯(lián)合發(fā)布了《企業(yè)內部控制基本規(guī)范》，連同發(fā)布的《企業(yè)內部控制配套指引》的要求，從內部控制角度，分析、判斷并指出B公司、C公司、D公司、E公司內部控制中存在哪些薄弱環(huán)節(jié)?

　　2.根據財政部、證監(jiān)會和審計署等五部委聯(lián)合發(fā)布了《企業(yè)內部控制基本規(guī)范》，連同發(fā)布的《企業(yè)內部控制配套指引》的要求，從內部控制角度，分析、判斷A公司董事長王某、總會計師趙某、財會部經理孫某在會議發(fā)言中的觀點有哪些不當之處?簡要說明理由?！緟⒖即鸢讣胺治觥?/p>

　　1.(1)B公司內部控制中存在下列薄弱環(huán)節(jié)：

　　①投資決策控制存在缺陷，未履行集體審議聯(lián)簽等決策審批程序[或：未履行集體決策審批程序]。

　　或：對重大資金支付(或：重大投資項目)，未實行集體決策審批。

　　②未對投資項目進行分析論證[或：可行性研究][或：資信調查][或：實地考察] 。

　?、圪Y產投出環(huán)節(jié)的控制存在缺陷，財會部在明知沒有簽訂投資合同的情況下仍支付對外投資資金，把關不嚴。

　　或：資產投出環(huán)節(jié)把關控制不嚴。

　　(2)C公司內部控制中存在下列薄弱環(huán)節(jié)：

　?、倏刂骗h(huán)境存在薄弱環(huán)節(jié)，由不熟悉擔保業(yè)務的李某負責辦理擔保業(yè)務，不符合控制環(huán)境中有關員工勝任能力的要求。

　　或：李某對擔保業(yè)務不熟悉，不應當承辦擔保業(yè)務。

　?、趰徫环止た刂拼嬖谌毕?，由李某一人辦理擔保業(yè)務的全過程不符合崗位分工和不相容崗位相互分離的要求。

　　或：單位不得由同一部門或個人辦理擔保全過程業(yè)務。

　?、蹞Q策控制存在缺陷，沒有制定擔保政策和授權批準制度[或：未實行集體決策審批]。