企业内部控制应用指引信息系统一般控制

企业内部控制应用指引第 16 号
根据企业内部控制应用指引第 16 号，企业应建立健全的内部控制制度，包括但不限于以下方面：
1. 内部审计：建立内部审计部门或委托专业机构进行内部审计，对企业各项业务活动进行全面审计和监督，及时发现和纠正存在的问题。

2. 财务管理：建立完善的财务管理制度，包括资金管理、财务报告、成本控制等方面，确保财务活动合规、透明和有效。

3. 风险管理：建立风险管理制度，对企业可能面临的各类风险进行评估和控制，确保企业经营稳健和可持续发展。

4. 内部监督：建立内部监督机制，对企业各项业务活动进行监督和检查，发现问题及时处理，防止违规行为发生。

5. 信息系统控制：建立信息系统控制制度，确保企业信息系统的安全、稳定和高效运行，防范信息泄露和网络攻击。

企业应根据自身实际情况，结合相关法律法规和行业规范，制定符合企业特点和发展需求的内部控制制度，不断完善和提升内部控制水平，确保企业运营活动的合规性和有效性。

优化信息系统提升管理水平——财政部会计司解读《企业内部控制应用指引第18号——信息系统》一、信息系统内部控制概述《企业内部控制应用指引第18号———信息系统》中所指信息系统，是指企业利用计算机和通信技术，对内部控制进行集成、转化和提升所形成的信息化管理平台。

信息系统内部控制的主要对象是信息系统，由计算机硬件、软件、人员、信息流和运行规程等要素组成。

二、信息系统的开发企业根据发展战略和业务需要进行信息系统建设，首先要确立系统建设目标，根据目标进行系统建设战略规划，再将规划细化为项目建设方案。

选择外购调试或业务外包方式的，应当采用公开招标等形式择优选择供应商或开发单位。

选择自行开发信息系统的，信息系统归口管理部门应当组织企业内部相关业务部门进行需求分析，合理配置人员，明确系统设计、编程、安装调试、验收、上线等全过程的管理要求。

企业信息系统归口管理部门应当加强信息系统开发全过程的跟踪管理，增进开发单位与企业内部业务部门的日常沟通和协调，组织独立于开发单位的专业机构对开发完成的信息系统进行检查验收，并组织系统上线运行。

三、信息系统的运行与维护信息系统的运行与维护主要包含三方面的内容：日常运行维护、系统变更和安全管理。

（一）日常运行维护的关键控制点和主要控制措施日常运行维护的目标是保证系统正常运转，主要工作内容包括系统的日常操作、系统的日常巡检和维修、系统运行状态监控、异常事件的报告和处理等。

这一环节的主要风险是：第一，没有建立规范的信息系统日常运行管理规范，计算机软硬件的内在隐患易于爆发，可能导致企业信息系统出错。

第二，没有执行例行检查，导致一些人为恶意攻击会长期隐藏在系统中，可能造成严重损失。

第三，企业信息系统数据未能定期备份，可能导致损坏后无法恢复，从而造成重大损失。

主要控制措施：第一，企业应制定信息系统使用操作程序、信息管理制度以及各模块子系统的具体操作规范，及时跟踪、发现和解决系统运行中存在的问题，确保信息系统按照规定的程序、制度和操作规范持续稳定运行。

第十九章 《企业内部控制应用指引第18号——信息系统》讲解《企业内部控制应用指引第18号——信息系统》中所指信息系统，是指企业利用计算机和通信技术，对内部控制进行集成、转化和提升所形成的信息化管理平台。

信息系统内部控制的目标是促进企业有效实施内部控制，提高企业现代化管理水平，减少人为操纵因素；同时，增强信息系统的安全性、可靠性和合理性以及相关信息的保密性、完整性和可用性，为建立有效的信息与沟通机制提供支持保障。

信息系统内部控制的主要对象是信息系统，由计算机硬件、软件、人员、信息流和运行规程等要素组成。

信息系统内部控制包括一般控制和应用控制。

一般控制，是指对企业信息系统开发、运行和维护的控制；应用控制，是指利用信息系统对业务处理实施的控制（见图19-1）。

现代企业的运营越来越依赖于信息系统。

比如航空公司的网上订票系统、银行的资金实时结算系统、携程旅行网的客户服务系统等，没有信息系统的支撑，业务开展就会举步维艰、难以为继，企业经营就很可能陷入瘫痪状态。

还有一些新兴产业和新兴企业，其商业模式完全依赖信息系统，比如各种网络公司（新浪、网易、百度）、各种电子商务公司（比如阿里巴巴、卓越公司），没有信息系统，这些企业可能会失去生存之基。

鉴于信息系统在实施内部控制和现代化管理中具有十分独特而重要的作用，加之信息系统本身的复杂性和高风险特征，《企业内部控制应用指引第18号——信息系统》规定，企业负责人对信息系统建设工作负责。

换言之，信息系统建设是“一把手”工程。

只有企业负责人站在战略和全局的高度亲自组织领导信息系统建设工作，才能统一思想、提高认识、加强协调配合，从而推动信息系统建设在整合资源的前提下高效、协调推进。

企业应当重视信息系统在内部控制中的作用，根据内部控制要求，结合组织架构、业务范围、地域分布、技术能力等因素，制定信息系统建设总体规划，加大投入力度，有序组织信息系统开发、运行与维护，优化管理流程，防范经营风险，全面提升企业现代化管理水平。

《企业内部控制应用指引第17号——内部信息传递》一、信息系统内部控制概述《企业内部控制应用指引第18号——信息系统》中所指信息系统，是指企业利用计算机和通信技术，对内部控制进行集成、转化和提升所形成的信息化管理平台。

信息系统内部控制的目标是促进企业有效实施内部控制，提高企业现代化管理水平，减少人为操纵因素；同时，增强信息系统的安全性、可靠性和合理性以及相关信息的保密性、完整性和可用性，为建立有效的信息与沟通机制提供支持保障。

信息系统内部控制的主要对象是信息系统，由计算机硬件、软件、人员、信息流和运行规程等要素组成。

企业信息系统内部控制以及利用信息系统实施内部控制至少应当关注下列方面：1、信息系统缺乏或规划不合理，可能造成信息孤岛或重复建设，导致企业经营管理效率低下；2、系统开发不符合内部控制要求，授权管理不当，可能导致无法利用信息技术实施有效控制；3、系统运行维护和安全措施不到位，可能导致信息泄漏或毁损，系统无法正常运行。

二、信息系统的开发企业根据发展战略和业务需要进行信息系统建设，首先要确立系统建设目标，根据目标进行系统建设战略规划，再将规划细化为项目建设方案。

企业开展信息系统建设，可以根据实际情况，选择自行开发、外购调试或业务外包等方式。

选择外购调试或业务外包方式的，应当采用公开招标等形式择优选择供应商或开发单位。

选择自行开发信息系统的，信息系统归口管理部门应当组织企业内部相关业务部门进行需求分析，合理配置人员，明确系统设计、编程、安装调试、验收、上线等全过程的管理要求。

企业信息系统归口管理部门应当加强信息系统开发全过程的跟踪管理，增进开发单位与企业内部业务部门的日常沟通和协调，组织独立于开发单位的专业机构对开发完成的信息系统进行检查验收，并组织系统上线运行。

（一）制定信息系统开发的战略规划信息系统开发的战略规划是信息化建设的起点。

战略规划是以企业发展战略为依据制定的企业信息化建设的全局性、长期性规划。

企业内部控制应用指引企业内部控制应当遵循全面性、重要性、制衡性、适应性和成本效益原则制定。

对企业的所有业务重新树立，优化内部环境，搞好风险评估，加强控制活动，确保信息畅通，强化内部监督，促进企业实现发展战略。

1、完善制度建设、实施内部控制。

以《企业内部控制规范-基本规范》、《企业内部控制基本规范》、《企业内部控制配套指引》等文件为依据，结合企业实际情况，全面梳理原有管理制度，在符合内部控制要求的前提下，着眼于管理创新、建立适合本企业的内部控制管理体系，明确相关部门人员的指责和权限，推行全面管理，提倡全员参与，建立彼此牵制、彼此连接、彼此制约的内控制度。

2、明确控制目标，优化内部控制环境。

内部控制制度重点是围绕会计核算和会计监督环节来设置的。

一般说来，健全的内部控制制度应能有效预防错误和舞弊的发生。

即使发生了，也容易及时发觉和纠正。

因此，在设计时必须明确控制目标，充分考虑各项内部控制制度是否符合内部控制基本原则，认真检查关键控制点是否进行了控制，所有的控制目标是否已达到。

控制环境是指对建立或实施某项政策发生影响的各种因素，主要反映单位管理者和其他人员对控制的态度、认识和行动。

企业内部控制应当建立在共同的道德规范的基础上，强调沟通和感情的交流，消除管理者和被管理者之间的隔膜，强调每一个人的积极性，形成真正意义上的团队精神。

只有当企业凝聚起来一种文化氛围、企业价值观、企业精神、经营境界和广大员工所认同的道德规范和行为方式，才能为内部控制程序的执行创造良好的人文环境，也只有企业中的每一个员工目标明确，观念相同，内部控制才能更有效。

3、提高会计人员素质。

会计人员素质是加强内部控制的关键，企业要通过科学合理的聘用、培训、轮岗、考核、奖励、晋升、淘汰等办法，提高财会人员整体素质。

在聘用会计人员上，要制定严格的招聘程序，不仅要选择业务能力强的人，更要注意选择那些具有良好的道德观、价值观的人才。

在会计人员安排上，要实行工作岗位轮换制，通过轮换及时发现存在的问题，抑制部分人员的不良动机。

信息系统内部控制：过程控制和环境控制的结合—解读《企业内部控制应用指引第18号—信息系统》信息系统生成与经营和财务有关的信息报告，是集系统、信息和控制于一体的一种应用。

由于所有信息都是数据经过输入、处理、输出形成的，因此对信息的任何控制都是对数据输入、处理、输出的控制。

本文结合财政部等五部委出台的企业内部控制基本规范和《内部控制应用指引第18号—信息系统》，将信息系统内部控制按与输入、处理、输出的关系分为终端用户控制、信息处理控制、持续运行控制、硬件保护控制四项内容。

其中，终端用户控制和信息处理控制是信息系统的实体内容，共同构成数据输入、处理和输出的过程控制，前者是对人的控制，后者是对系统的控制；持续运行控制和硬件保护控制是信息系统运行的必备支撑，共同构成系统运行的环境控制，前者是对软环境的控制，后者是对硬环境的控制。

一、终端用户控制（一）授权使用制度企业应当根据业务性质、重要性程度、涉密情况等因素确定信息系统的安全等级，建立不同等级信息的授权使用制度。

一般来说，企业应通过建立权限控制矩阵来指定信息用户所能执行的功能，即控制终端用户的范围及其可执行的操作。

有些用户只能查询有关数据，有些用户则有权查询和修改数据，而另一些用户甚至还可以修改程序。

在企业整体的权限调整、新终端用户的人员增设、原终端用户的权限修改和岗位调离等情况下需要进行权限变更，但必须经过以下步骤：首先，由终端用户填写权限申请表，陈述理由和要求；部门负责人根据终端用户的工作性质决定审核结果；主管领导根据部门职能和部门负责人的意见决定审核结果；最后，由系统维护人员根据审核意见修改权限控制矩阵的内容。

为确保权限授予的准确、高效和有据可查，在维护之前，系统维护人员应与终端用户和部门负责人确认；维护完毕后，应尽快通知相应终端用户、部门负责人和单位主管领导，并将维护日志与授权申请书归档备查。

（二）用户管理制度1.用户访问控制。

终端用户的访问控制有系统的访问控制和系统程序及数据的访问控制两种方式。

第一章内部环境类应用指引字体：大中小打印：省纸版>> 清晰版>>自定义>>行距：单倍 1.2单倍 1.5倍 1.7倍2倍字体：大中小隐藏：答疑编号手写板序言2010年4月26日，财政部会同证监会、审计署、国资委、银监会、保监会等部门在北京召开联合发布会，隆重发布了《企业内部控制配套指引》（以下简称配套指引）。

该配套指引连同2008年5月发布的《企业内部控制基本规范》，共同构建了中国企业内部控制规范体系，自2011年1月1日起首先在境内外同时上市的公司施行，自2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行；在此基础上，择机在中小板和创业板上市公司施行。

同时，鼓励非上市大中型企业提前执行。

配套指引由21项应用指引（此次发布18项，涉及银行、证券和保险等业务的3项指引暂未发布）、《企业内部控制评价指引》和《企业内部控制审计指引》组成。

关于应用指引的分类应用指引可以划分为三类，即内部环境类指引、控制活动类指引、控制手段类指引，基本涵盖了企业资金流、实物流、人力流和信息流等各项业务和事项。

对比：基本规范五要素：内部环境、风险评估、控制活动、信息与沟通和内部监督。

内部控制基本规范五要素与应用指引对比表内部环境内部环境内部控制应用指引第1号——组织架构风险评估内部控制应用指引第2号——发展战略内部控制应用指引第3号——人力资源内部控制应用指引第4号——社会责任内部控制应用指引第5号——企业文化控制活动控制活动内部控制应用指引第6号——资金活动内部控制应用指引第7号——采购业务内部控制应用指引第8号——资产管理内部控制应用指引第9号——销售业务内部控制应用指引第10号——研究与开发内部控制应用指引第11号——工程项目内部控制应用指引第12号——担保业务内部控制应用指引第13号——业务外包内部控制应用指引第14号——财务报告内部监督控制手段内部控制应用指引第15号——全面预算内部控制应用指引第16号——合同管理信息与沟通内部控制应用指引第17号——内部信息传递内部控制应用指引第18号——信息系统第一章内部环境类应用指引内部环境是企业实施内部控制的基础，支配着企业全体员工的内控意识，影响着全体员工实施控制活动和履行控制责任的态度、认识和行为。