高级会计师

（十三）信息系统

信息系统，是指企业利用计算机和通信技术，对内部控制进行集成、转化和提升所形成的信息化管理平台。信息系统内部控制包括一般控制和应用控制。前者指对企业信息系统开发、运行和维护的控制；后者指利用信息系统对业务处理实施的控制，包括输入、处理和输出控制。

1.信息系统开发运行与维护过程中主要风险

（1）信息系统缺乏或规划不合理，可能造成信息孤岛或重复建设，导致企业经营管理效率低下。
（2）系统开发不符合内部控制要求，授权管理不当，可能导致无法利用信息技术实施有效控制。
（3）系统运行维护和安全措施不到位，可能导致信息泄漏或毁损，系统无法正常运行。

2.信息系统开发环节的关键控制点及控制措施

（1）根据信息系统建设整体规划提出项目建设方案，按照规定的权限和程序审批后实施。
（2）采取多种方式开发信息系统；
（3）注重信息系统与业务的结合及可审计性；
（4）加强信息系统开发的全过程跟踪管理；
（5）注重信息系统的验收及后续培训工作。应当组织独立于开发单位的专业机构对开发完成的信息系统进行验收测试。

3.信息系统运行与维护环节的关键控制点及控制措施

（1）加强信息系统运行与维护的管理，确保信息系统按照规定的程序、制度和操作规范持续稳定运行。
（2）建立信息系统变更管理流程，信息系统操作人员不得擅自进行系统软件的删除、修改等操作；不得擅自升级、改变系统软件版本；不得擅自改变软件系统环境配置。
（3）根据业务性质、重要性程度、涉密情况等确定信息系统的安全等级，建立不同等级信息的授权使用制度，建立信息系统安全保密和泄密责任追究制度。
（4）建立用户管理制度，加强对重要业务系统的访问权限管理，定期审阅系统账号，避免授权不当或存在非授权账号，禁止不相容职务用户账号的交叉操作。
（5）加强网络安全管理。
（6）建立系统数据定期备份制度。
（7）注重关键设备的日常维护与检查。未经授权，任何人不得接触关键信息设备。