信息系统控制几点体会

摘 要：已经建立内部控制体系的企业都知道信息系统控制是内部控制的重点，也是PCAOB（美国上市公司会计监管委员会）加强对上市公司监管的关键领域之一，实施信息系统控制的目的是为了更好地保护企业的信息资产，提高信息系统对业务的支撑力度，增强企业信息系统的运行效力。本文就信息系统控制建设，推进信息系统控制措施的实施，提出了几个观点。

关键词：企业 信息系统控制 管理

中图分类号：TP273 文献标识码：A 文章编号：1003-9082（2014）04-0021-01

一、信息系统控制概述

企业的内部控制体系建设，通常包括信息层面和业务层面两个方面，信息层面的内部控制要求统称为信息系统控制。信息系统控制又分为两个层面来建立和实施，即：信息系统总体控制和信息系统应用控制。

1.信息系统总体控制是指企业在信息系统的开发、实施、运行、维护及管理等方面的控制。信息系统总体控制通常包括企业控制环境、信息安全、信息项目建设管理、系统变更管理、系统日常运作、最终用户操作等内容。

2.信息系统应用控制是指应用系统中的电算化步骤以及用以控制不同种类交易处理的系统外人工操作程序。信息系统应用控制通常包括人事管理软件、财务管理软件、物资管理软件、销售管理软件等所涵盖的控制。

通俗的讲信息系统总体控制就是信息系统项目建设及其运行维护的过程控制要求的总体，而信息系统应用控制就是应用系统已经实现的功能步骤及使用人员的日常操作过程。

信息系统总体控制和信息系统应用控制密不可分、相辅相成。前者为体，后者为用，两者共同保证信息控制的有效性。

二、信息系统控制建设的必要内容

1.编制信息系统控制建设实施方案

信息系统控制的建立是一个系统工程，必须由企业信息管理部门负责组织编写实施方案，方案应明确企业各部门的工作职责，将信息系统控制建设划分成若干工作阶段，并明确各时段工作内容和工作成果。

方案还应明确建立建设领导小组和工作组。领导小组负责协调解决信息系统控制建设过程中的疑难问题，工作小组完成信息系统控制建设各个时段工作的跟进监督，并给领导小组定期汇报工作。

另外，方案应明确信息管理部门负责组织制定信息系统控制的各项管理制度，应用系统隶属部门负责本专业的应用系统日常运行维护管理，企业的信息管理部门是信息系统控制建设总顾问，应该全程参与建设工作。

企业各部门按照实施方案，严格履行建设职责，确保各个时段工作内容准确按时完成，顺利推进信息系统控制建设任务。

2.建立三类管理制度

“没有规矩不成方圆”，中国的上市企业大部分规模巨大，地域广阔，分公司众多，信息应用系统分散，种类繁多，涉及部门多，如果没有统一的管理制度，很难将信息系统控制落到实处，将直接影响信息系统控制运行的有效性。为了达到控制要求，企业应建立统一的信息系统控制管理制度。

首先，企业根据自身特点，建立信息系统总体控制管理办法。它是信息系统总体控制体系的纲要性文件，制定了企业信息系统总体控制体系建设与完善的相关原则和策略，它必须包括控制环境、信息安全、项目建设管理、系统变更管理、信息系统日常运作、最终用户操作等内容。

其次，企业还需制定应用系统控制管理办法。它是在信息系统总体控制管理办法的指导下，制定的用于指导企业信息系统日常运行、维护和运营管理的具体流程与实施细则。它应该涵盖数据信息的安全性、完整性、准确性和有效性的控制要求及控制程序。安全性控制包括物理安全、逻辑安全、网络安全、病毒防护、第三方安全管理等内容；完整性控制包括所有的建议经过处理且只处理一次、不允许数据的重复录入与处理；准确性控制包括所有的数据是正确和合理的；有效性控制包括交易被适当授权、系统不接受虚假交易、例外情况被发现和处理。

企业还应该建立相应的考核激励制度。它应该包括应用系统项目建设、上线运行、更新升级、日常运维等过程中的高效能奖励，应用系统出现问题时的责任追溯惩罚机制，以及对应用系统的管理员、操作员的考核奖惩机制。

三、信息系统控制有效执行的必要保障

1.完善信息系统控制执行的机制建设，保障执行有力

主要是围绕保障控制活动的实施，建立并运行一整套立足激励与约束、目标明确的工作制度、程序和办法，具体解决“如何自觉执行、保障执行、督促执行和提高执行力”的问题。根据信息系统控制的内容，信息系统控制执行机制应当包括：宣传培训机制、监督检查机制、责任机制和奖惩机制。四个机制相互联系、相辅相成，共同构成信息系统控制执行的保障机制。

宣传培训机制是旨在提升信息系统控制宣传培训工作质量和效果、营造和活跃氛围、为控制执行提供群众基础和智力支持的一整套制度、办法和运行程序。

监督检查机制是为促使信息系统控制活动有效运行而采取的旨在跟踪检查评价、发现并整改问题、纠正并规范控制行为、提升企业各级人员执行能力的一整套制度、办法和运行程序。

责任机制是以信息系统控制组织体系为基础，旨在明确责任、落实责任、纠正过失，构建清晰、严明的工作责任环境，促进控制责任到位和执行能力提升的一整套制度、办法和运行程序。

奖惩机制是以考核为基础，以利益驱动为手段，旨在奖优罚劣和调动积极性，促进责任意识转换为实际执行能力，形成努力实现控制目标内在动力的一整套制度、办法和运行程序。

2.重点关注信息系统控制制度中三个方面的控制程序

一是针对“信息系统项目建设”管理，前期要认真编制立项申请、可行性研究报告、设计说明书，中期要认真组织项目实施、数据移植前的测试，后期组织好系统上线审批、系统培训、系统变更管理。而且，项目建设全程必须确保测试环境要与生产环境分离。

二是针对“信息安全”控制，要及时检查并确保登录系统验证机制健全、服务器配置安全、账号设置符合职责分离要求、口令设置符合规则、用户操作监控有效、严格控制对数据的直接访问、机房管理有效、网络监控有效、病毒防护及时，信息安全管理员定期将不符情况报知相关负责人，并及时解决问题。

三是针对“日常维护”控制，必须定期如实填写机房设备巡检记录、备份记录、批处理作业调度记录、问题记录日志、问题分类汇总月报等控制证据表单，针对发现的问题，必须按照管理制度规定时限改正处理完毕。

3.必须处理好几个关系

首先，必须确立一个正确的观点，即：执行信息系统控制并不是信息管理部门的一个部门的事，而是企业所有部门及员工必须共同遵守的准则。因为信息收集、整理、传递时时刻刻在发生，信息系统控制无处不在，他们必须遵从信息系统控制体系要求。

其次，必须明确自己的角色定位，如实履行职责。在信息系统控制工作中，不同的角色，所拥有的权限和承担的责任是不同的，每个人必须清楚自己在整个信息系统控制链条中负责哪几环节？实际工作中不能越权，也不能懒于执行应有的控制。例如：应用系统管理员额外掌握数据库管理员的账号和密码，可以从数据库底层直接修改数据，这是最常犯的权限职责设置错误。

再次，必须处理好与其它管理体系的关系。信息系统控制的执行和设定除了符合信息系统的控制要求外，还要紧密联系实际，灵活处理与其他管理体系（HSE体系等）的关系，针对同一控制事项，不必重复建立控制文本，可以选用多个管理体系的管理要求并集，规避重复执行控制要求。另外，灾害情况下可以执行应急预案，并非教条式执行信息系统的某些控制。例如：机房失火，消防员不必填写机房出入登记表，直接投入抢险工作。

参考文献

[1]中国石油天然气集团公司编. 中国石油员工基本知识读本（四）.北京：石油工业出版社，2012.

推荐访问： 几点 信息系统 体会 控制