企业内部控制应用指引之内部信息传递Word文档下载推荐.docx
《企业内部控制应用指引之内部信息传递Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《企业内部控制应用指引之内部信息传递Word文档下载推荐.docx(12页珍藏版)》请在冰豆网上搜索。
2、系统开发不符合内部操纵要求,授权治理不当,可能导致无法利用信息技术实施有效操纵;
3、系统运行维护和安全措施不到位,可能导致信息泄漏或毁损,系统无法正常运行。
二、信息系统的开发
企业依照进展战略和业务需要进行信息系统建设,首先要确立系统建设目标,依照目标进行系统建设战略规划,再将规划细化为项目建设方案。
企业开展信息系统建设,能够依照实际情况,选择自行开发、外购调试或业务外包等方式。
选择外购调试或业务外包方式的,应当采纳公开招标等形式择优选择供应商或开发单位。
选择自行开发信息系统的,信息系统归口治理部门应当组织企业内部相关业务部门进行需求分析,合理配置人员,明确系统设计、编程、安装调试、验收、上线等全过程的治理要求。
企业信息系统归口治理部门应当加强信息系统开发全过程的跟踪治理,增进开发单位与企业内部业务部门的日常沟通和协调,组织独立于开发单位的专业机构对开发完成的信息系统进行检查验收,并组织系统上线运行。
(一)制定信息系统开发的战略规划信息系统开发的战略规划是信息化建设的起点。
战略规划是以企业进展战略为依据制定的企业信息化建设的全局性、长期性规划。
制定信息系统战略规划的要紧风险是:
缺乏战略规划或规划不合理,可能造成信息孤岛或重复建设,导致企业经营治理效率低下;
没有将信息化与企业业务需求结合,降低了信息系统的应用价值。
要紧操纵措施:
第一,企业必须制定信息系统开发的战略规划和中长期进展打算,并在每年制定经营打算的同时制定年度信息系统建设打算,促进经营治理活动与信息系统的协调统一。
第二,企业在制定信息化战略过程中,要充分调动和发挥信息系统归口治理部门与业务部门的积极性,使各部门广泛参与,充分沟通,提高战略规划的科学性、前瞻性和适应性。
第三,信息系统战略规划要与企业的组织架构、业务范围、地域分布、技术能力等相匹配,幸免相互脱节。
(二)选择适当的信息系统开发方式信息系统的开发建设是信息系统生命周期中技术难度最大的环节。
在开发建设环节,要将企业的业务流程、内控措施、权限配置、预警指标、核算方法等固化到信息系统中,因此开发建设的好坏直接阻碍信息系统的成败。
开发建设要紧有自行开发、外购调试、业务外包等方式;
企业应依照自身实际情况合理选择。
1.自行开发是企业依托自身力量完成整个开发过程。
其优点是开发人员熟悉企业情况,能够较好地满足本企业的需求,尤其是具有专门性的业务需求。
通过自行开发,还能够培养锻炼自己的开发队伍,便于后期的运行和维护。
其缺点是开发周期较长、技术水平和规范程度较难保证,成功率相对较低。
2.外购调试的差不多做法是企业购买成熟的商品化软件,通过参数配置和二次开发满足企业需求。
其优点是开发建设周期短;
成功率较高;
成熟的商品化软件质量稳定,可靠性高;
专业的软件提供商实施经验丰富。
其缺点是难以满足企业的专门需求;
系统的后期升级进度受制于商品化软件供应商产品更新换代的速度,企业自主权不强,较为被动。
外购调试方式的适用条件通常是企业的专门需求较少,市场上已有成熟的商品化软件和系统实施方案。
3.业务外包信息系统的业务外包是指托付其他单位开发信息系统,差不多做法是企业将信息系统开发项目外包出去,由专业公司或科研机构负责开发、安装实施,由企业直接使用。
其优点是企业能够充分利用专业公司的专业优势,量体裁衣,构建全面、高效满足企业需求的个性化系统;
企业不必培养、维持庞大的开发队伍,相应节约了人力资源成本。
其缺点是沟通成本高,系统开发方难以深刻理解企业需求,可能导致开发出的信息系统与企业的期望产生较大偏差;
同时,由于外包信息系统与系统开发方的专业技能、职业道德和敬业精神存在紧密关系,也要求企业必须加大对外包项目的监督力度。
业务外包方式的适用条件通常是市场上没有能够满足企业需求的成熟的商品化软件和解决方案,企业自身技术力量薄弱或出于成本效益原则考虑不情愿维持庞大的开发队伍。
(三)自行开发方式的关键操纵点和要紧操纵措施尽管信息系统的开发方式有自行开发、外购调试、业务外包等多种方式,但差不多流程大体相似,通常包含项目打算、需求分析、系统设计、编程和测试、上线等环节。
1.项目打算环节战略规划通常将完整的信息系统分成若干子系统,并分时期建设不同的子系统。
比如,制造企业能够将信息系统划分为财务治理系统、人力资源治理系统、MRP系统(销售、采购、库存、生产)、计算机辅助设计和制造系统、客户关系系统、电子商务系统等若干子系统。
项目确实是指本时期需要建设的相对独立的一个或多个子系统。
项目打算通常包括项目范围讲明、项目进度打算、项目质量打算、项目资源打算、项目沟通打算、风险对策打算、项目采购打算、需求变更操纵、配置治理打算等内容。
项目打算环节的要紧风险是:
信息系统建设缺乏项目打算或者打算不当,导致项目进度滞后、费用超支、质量低下。
第一,企业应当依照信息系统建设整体规划提出分时期项目的建设方案,明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容,按照规定的权限和程序审批后实施。
第二,企业能够采纳标准的项目治理软件制定项目打算,并加以跟踪。
在关键环节进行时期性评审,以保证过程可控。
第三,项目关键环节编制的文档应参照《GB8567-88计算机软件产品开发文件编制指南》等相关国家标准和行业标准进行,以提高项目打算编制水平。
2.需求分析环节需求分析的目的是明确信息系统需要实现哪些功能。
该项工作是系统分析人员和用户单位的治理人员、业务人员在深入调查的基础上,详细描述业务活动涉及的各项工作以及用户的各种需求,建立以后目标系统的逻辑模型。
这一环节的要紧风险是:
第一,需求本身不合理,对信息系统提出的功能、性能、安全性等方面的要求不符合业务处理和操纵的需要。
第二,技术上不可行、经济上成本效益倒挂,或与国家有关法规制度存在冲突。
第三,需求文档表述不准确、不完整,未能真实全面地表达企业需求,存在表述缺失、表述不一致甚至表述错误等问题。
第一,信息系统归口治理部门应当组织企业内部各有关部门提出开发需求,加强系统分析人员和有关部门的治理人员、业务人员的交流,经综合分析提炼后形成合理的需求。
第二,编制表述清晰、表达准确的需求文档。
需求文档是业务人员和技术人员共同理解信息系统的桥梁,必须准确表述系统建设的目标、功能和要求。
企业应当采纳标准建模语言,综合运用多种建模工具和表现手段,参照《GB8567-88计算机软件产品开发文件编制指南》等相关标准,提高系统需求讲明书的编写质量。
第三,企业应当建立健全需求评审和需求变更操纵流程。
依据需求文档进行设计(含需求变更设计)前,应当评审其可行性,由需求提出人和编制人签字确认,并经业务部门与信息系统归口治理部门负责人审批。
3.系统设计环节系统设计是依照系统需求分析时期所确定的目标系统逻辑模型,设计出一个能在企业特定的计算机和网络环境中实现的方案,即建立信息系统的物理模型。
系统设计包括总体设计和详细设计。
总体设计的要紧任务是:
第一,设计系统的模块结构,合理划分子系统边界和接口。
第二,选择系统实现的技术路线,确定系统的技术架构,明确系统重要组件的内容和行为特征,以及组件之间、组件与环境之间的接口关系。
第三,数据库设计,包括要紧的数据库表结构设计、存储设计、数据权限和加密设计等。
第四,设计系统的网络拓扑结构、系统部署方式等。
详细设计的要紧任务包括:
程序讲明书编制、数据编码规范设计、输入输出界面设计等内容。
系统设计环节的要紧风险是:
第一,设计方案不能完全满足用户需求,不能实现需求文档规定的目标。
第二,设计方案未能有效操纵建设开发成本,不能保证建设质量和进度。
第三,设计方案不全面,导致后续变更频繁。
第四,设计方案没有考虑信息系统建成后对企业内部操纵的阻碍,导致系统运行后衍生新的风险。
第一,系统设计负责部门应当就总体设计方案与业务部门进行沟通和讨论,讲明方案对用户需求的覆盖情况;
存在备选方案的,应当详细讲明各方案在成本、建设时刻和用户需求响应上的差异;
信息系统归口治理部门和业务部门应当对选定的设计方案予以书面确认。
第二,企业应参照《GB8567-88计算机软件产品开发文件编制指南》等相关国家标准和行业标准,提高系统设计讲明书的编写质量。
第三,企业应建立设计评审制度和设计变更操纵流程。
第四,在系统设计时应当充分考虑信息系统建成后的操纵环境,将生产经营治理业务流程、关键操纵点和处理规程嵌入系统程序,实现手工环境下难以实现的操纵功能。
第五,应充分考虑信息系统环境下的新的操纵风险,比如,要通过信息系统中的权限治理功能操纵用户的操作权限,幸免将不相容职务的处理权限授予同一用户。
第六,应当针对不同的数据输入方式,强化对进入系统数据的检查和校验功能。
比如,凭证的自动平衡校对。
第七,系统设计时应当考虑在信息系统中设置操作日志功能,确保操作的可审计性。
对异常的或者违背内部操纵要求的交易和数据,应当设计系统自动报告并跟踪处理机制。
第八,预留必要的后台操作通道,关于必需的后台操作,应当加强治理,建立规范的操作流程,确保足够的日志记录,保证对后台操作的可监控性。
4.编程和测试环节编程时期是将详细设计方案转换成某种计算机编程语言的过程。
编程时期完成之后,要进行测试,测试要紧有以下目的:
一是发觉软件开发过程中的错误,分析错误的性质,确定错误的位置并予以纠正。
二是通过某些系统测试,了解系统的响应时刻、事务处理吞吐量、载荷能力、失效恢复能力以及系统有用性等指标,以便对整个系统做出综合评价。
测试环节的要紧风险是:
第一,编程结果与设计不符。
第二,各程序员编程风格差异大,程序可读性差,导致后期维护困难,维护成本高。
第三,缺乏有效的程序版本操纵,导致重复修改或修改不一致等问题。
第四,测试不充分。
单个模块正常运行但多个模块集成运行时出错,开发环境下测试正常而生产环境下运行出错,开发人员自测正常而业务部门用户使用时出错,导致系统上线后可能出现严峻问题。
第一,项目组应建立并执行严格的代码复查评审制度。
第二,项目组应建立并执行统一的编程规范,在标识符命名、程序注释等方面统一风格。
第三,应使用版本操纵软件系统(例如CVS),保证所有开发人员基于相同的组件环境开展项目工作,协调开发人员对程序的修改。
第四,应区分单元测试、组装测试(集成测试)、系统测试、验收测试等不同测试类型,建立严格的测试工作流程,提高最终用户在测试工作中的参与程度,改进测试用例的编写质量,加强测试分析,尽量采纳自动测试工具提高测试工作的质量和效率。
第五,具备条件的企业,应当组织独立于开发建设项目组的专业机构对开发完成的信息系统进行验收测试,确保在功能、性能、操纵要求和安全性等方面符合开发需求。
5.上线环节系统上线是将开发出的系统(可执行的程序和关联的数据)部署到实际运行的计算机环境中
升级会员 