当前课程知识点:内部控制与风险管理 > 第四讲 控制活动 > 408信息技术控制 > 408信息技术控制
大家好
下面我们再来谈一谈信息技术控制的问题
随着现代信息技术的快速发展
和企业的生产经营活动的日益复杂化
企业的生产经营和各项管理活动
越来越依赖信息系统
你比如说
航空和铁路的网上订票系统
银行资金的实时结算系统等等
可以说 没有信息系统的支持
那么企业经营很可能就陷入瘫痪
还有一些新兴产业
其商业模式完全依赖信息系统
你比如说
各种网络公司和电子商务企业
如果没有信息系统
企业很可能就失去生存的基础
因此 信息系统的控制
在现代企业的内部控制与风险管理当中
使用得越来越普遍
信息技术是用于处理数据和传递信息
所采用的各种技术的总称
信息技术控制是应用管理学 计算机科学
和通信技术而建立并实施的一种控制
一般由计算机的硬件 软件 人员 信息流
和运行的规程等要素来构成
信息系统控制能够提高业务的处理的效率
减少和消除人为的操纵因素
如同我们前面讲过的预算管理一样
信息技术控制可防范 化解和控制很多风险
同时自身又可能产生很多新的风险
你比如说 系统的安全风险
数据的泄密风险
遭到非法操作的风险等等
信息系统是企业利用计算机和通信技术
对内部控制进行集成 转化和提升
而形成的一个信息化的管理平台
信息系统自身具有复杂性和高风险特征
因此 企业在扩大使用信息技术控制的同时
还要加强对信息系统的开发与维护
访问和变更
数据的输入和输出
文件的储存和保管
网络安全等方面的风险的加强控制
以保证系统安全可靠
信息系统的控制对象
是信息系统的开发 维护 运行
和使用过程当中的相关风险
主要包括
一是信息系统缺乏规划或者是规划不合理
可能造成信息孤岛或者是重复建设
或者是运行效率低下
二是系统开发不符合内部控制的要求
授权管理不当
可能导致无法利用信息技术来实施有效的控制
三是系统运行维护和安全措施不到位
可能导致信息泄密或者是数据毁损
系统无法正常地运行
这是信息系统控制
所面临的一些主要的风险
针对信息系统控制所面临的主要风险
信息系统的控制
我们一般可以分成一般控制和应用控制
一般控制是为了保证信息系统的安全
对整个信息系统及外部各种环境要素所实施的
对所有的应用和控制模块
具有普遍影响的控制措施
一般控制的政策和程序
通常与多个应用系统有关
你比如说
程序的开发 程序的变更
程序和数据的访问
以及计算机的运行等方面
这是一般控制
常见的一般控制有
数据中心和网络运行控制
系统软件的购置 修改和维护控制
接触或访问权限的控制等等
这都属于一般性的控制
应用控制是针对具体业务的控制
侧重于信息的采集和处理的
完整 准确 授权和有效性等等
常见的应用控制
一般包括输入控制 处理控制和输出控制等等
你比如说 将输入数据汇总后与总额核对
以便发现数据是否存在录入的错误
对数据的合理性进行测试
对例外报告进行人工干预等等
都属于应用控制
我们以开车为例
一般控制要求车辆状况良好
要进行定期的维护保养
更换机油 更换轮胎 加油等等
这属于一般性的控制
应用控制就要求开车人 驾驶员
要遵守交通规则
要谨慎驾驶
要妥善地处置
系统的开发与维护 访问与变更
数据的输入和输出
文件的储存与保管
网络安全等等这些具体环节的风险控制
因为时间关系
我们在这里就不再一一展开了
感兴趣的同学可以对照教材
和相关的内部控制的配套指引
来自主地学习
下面我们来看一看
国家电网公司的风控信息系统
是如何设计和运行的
各位领导 按照公司内控体系建设方案
为支撑内控成果落地和风险管理工作
实现内部控制在线管理
公司于2013年初
启动了全面风险与内部控制管理信息系统建设
以下简称风控信息系统
下面简要汇报风控信息系统建设情况
本次汇报分成三部分
首先汇报一下风控信息系统总体情况
2010年 基于SG186信息化建设要求
公司提出基于业务类系统和管控类系统
建设一个企业级综合管理平台
推动企业各类管理要素的一体化融合
和管理体系的系统运行
基于此 2013年
在信通部主导 财务部配合下
公司参考国际领先实务
坚持自主开发 灵活开放的设计原则
推进了风控信息系统的技术选型和建设工作
作为信息集成与综合应用平台
公司风控信息系统
集成了内控评价
风险预警 流程监控
管理分析 知识共享
综合查询 成果发布
工作组织等八大核心性功能
能响应不同管理层级
不同板块 不同专业
以及各级管理人员对风险管理
和内部控制工作管理的需要
公司风控信息系统的整体设计理念
是围绕公司战略目标
以风险为导向
融流程 职责 制度 标准
考核等要素为一体
通过动态监控与评价改进
推动公司管理的持续提升
风控信息系统是企业级信息系统
具有开放性和可拓展性
项目建设共分为六个阶段
2013年末已经完成了
系统一期开发的全部工作
具备正式上线和部署条件
目前 公司总部及二十七家省公司
正在同步开展内控成果数据导入工作
按照设计方案 公司风控信息系统
已完成了内部环境 计划任务
全流程导航 风险管理
内控管理 报表图表等六大模块的开发
六大模块集中在四个功能区内
包括综合展示区
公共信息区 成果应用区
个人服务区
该系统支撑管理标准的维护和发布
专业管理监控
综合分析动态展示
个人信息集成管理
下面
介绍公司风控信息系统的主要功能与应用
一是作为管理标准的维护与发布平台
该系统具备流程 制度 风险 授权等
管理标准的发布与在线维护功能
截至目前公司内控建设成果
约150余册 共计1801万字
均已导入系统并发布
公司各级员工可以快速查询
和应用内部控制管理办法及五规范
所有管理信息
均是动态关联和对象化管理
系统支持批量导入
修改和动态管理
大大减少了后期手册维护的工作量
公司各级员工在主页中
点击内控规范类页签
可以生成 查看并导出
内部控制管理办法 规范 手册等各类成果
以合同管理专业手册为例
选择专业类型 合同管理
点击内控流程手册
系统能在线生成并导出
合同管理专业的内控流程手册文档
展示与流程相关的风险 控制 制度
岗责 表单等管理信息
接下来点击流程类页签
在弹出的全业务流程框架图中
目前集中了公司电脑投资
工程 营销 财务
物资等十大业务流程
公司各级员工可以按照专业条线进行逐级钻取
掌握本专业业务流程详细信息
下一步随着公司内控流程建设的拓展
还可逐步实现其它业务流程的在线管理
在主页的风险类
授权类
制度类等页签中
目前也集成了公司相关的管理信息
下一步随着需求的细化和功能的深化
这些区域可以拓展
并支撑各业务部门开展流程管理
风险管理 授权管理
和制度管理等工作
二是作为专业管理与监控平台
作为专业管理与监控平台
系统可以支撑各业务部门管理
并监控流程运行结果
和内控工作运行效果
如图 我们以物资部门为例
通过点击全业务流程框架中
物资服务采购一级流程
可以查看对应的二级流程
该二级流程是按照左列所示的全业务生命周期
全景展示了物资专业采购的流程全貌
和业务逻辑
右边列示二级流程相关的衔接流程
形成端到端的流程闭环
便于业务部门跨专业开展工作
点击二级流程
规划与计划管理
钻取到对应的三级流程逻辑图
进一步点击物资服务批次采购计划管理
进入到末端流程的动态流程图
全景展示末级流程图
可为物资部门提供流程信息查询
数据维护 同步推送等功能
同时 点击衔接流程
基建部的施工队伍选择管理流程
可直接穿透该末级流程进行查看
物资部对物资服务批次采购计划管理流程
进行修改后
系统将修改结果
推送到相关衔接部门
如基建部 提示对方更新流程信息
该系统还可维护和展示
组织部门体系
点击基建部 参见队伍选择岗
从岗位视角查看该岗位关联的流程
风险 控制 职责等管理要素
并可对该岗位关联信息进行维护和管理
该系统还能实时在线维护
并导出岗位授权表和基本授权表
便于各部门内部对权限的分配管理
使每一个员工了解本岗位及权限
同时利用内置的不相容职责规则
系统可自动检测岗位
是否存在职责冲突
并在动态流程图中
以红色SOD标志进行预警
提示部门领导 该岗位存在授权风险
如图中
国网总部物资部计划处计划管理岗所显示
该岗位申请和复审存在职责冲突
三级五大建设涉及到公司业务 流程
组织机构和职责等调整
利用系统中的流程监控
和多维度统计分析功能
可帮助各专业实时分析掌握
基层单位的内控流程运行情况和标准化率
巩固三级五大建设成果
三是作为综合分析动态展示平台
该系统可按照不同管理者的个性化需求
综合利用内控基础管理数据
定制化开发各类管理图表
为不同的管理者提供决策支持
如图 在综合信息地图中
系统根据评价数据
动态显示各单位的缺陷和风险信息
以省公司模拟数据为例
在综合信息地图中
会以红色显示缺陷信息
点击还可进一步查看缺陷的详细信息
系统为不同层级 不同用户
订制化开发功能操作区
如图中为公司领导的个性化主页
该图为省公司领导的个性化主页
系统还提供了风险热力图
展示不同专业的风险分布情况
流程标准化情况统计表以柱状图
展示不同单位的流程标准化率
并可钻取查看详细信息
缺陷信息统计表以饼图形式
多维度展示各专业的内控评估缺陷分布
缺陷整改情况等信息
下一步
还可以根据各单位 各专业的需求
灵活增加报表类型和展现形式
支撑部门的专业化管理和公司的管理决策
该系统内嵌的计划器模块
可以从计划发起
分解 审批 执行
跟踪等环节强化工作的全过程管理
如以内控评价工作为例
支持公司员工按照总体评价计划
有效组织并执行评价程序
反馈评价结果
监督整改计划执行等全过程管理
总部各业务部门也可利用评价模块
对本专业的流程执行 制度建设
授权管理等情况进行评价
查找管理缺陷 推动专业改进
该系统支持对各类评价
及缺陷整改信息的自动筛选和整合提炼
在线生成内控评价报告
四是 作为个人信息集成管理平台
该系统最大的亮点
是用BPA技术开发了动态流程图
通过泳道图形式
将每个工作步骤清晰地对应到标准岗位
展示总部 省 市 县
跨层级 跨专业的流程全貌
同时在每个流程步骤中
动态流程图将岗位和风险
控制 职责 表单等管理要素动态关联
点击任意管理要素小图标
可通过该管理要素角度
关联查看其他管理要素信息
并且各要素都是动态维护更新的
用户在流程图中
通过简单地拖拽流程步骤
就能快捷地将该步骤及所有关联要素
迁移到对应的职能带
形成新的流程图
点击职能带上的具体岗位
如物资部计划处计划管理岗
可以弹出该岗位相关的所有流程步骤
控制 审批事项
制度 风险 职责等信息
点击右上角的按钮
可以在线生成和导出
物资部计划处计划管理岗的岗位手册
岗位手册以结构化的形式
展示该岗位的职责 流程图及流程步骤
风险清单 岗位权限等信息
便于员工全面快速的掌握本岗位工作标准
提高业务技能和工作效率
以上是风控信息系统一期建设的主要功能
下一部结合实施与应用情况
系统将进一步拓展应用
加快开发风险管理模块
流程监控和预警模块
推进与其他系统的集成 共享
建设成为公司级的综合管理平台
满足公司各专业 各单位管理需要
谢谢大家
-00-1课程介绍
--00-1课程介绍
-00-2学习目标
--html
-00-3思维导图
--html
-学习目标
--html
-思维导图
--html
-导入案例
--html
-101内部控制与风险管理重要意义及其价值
-102学习前的摸底测试视频案例
-103内部控制的概念及特征
-103内部控制的概念及特征--作业
-104内部控制与风险管理的关系
-105内部控制的产生及发展
-105内部控制的产生及发展--作业
-106内部控制的总体目标及其层次结构
-106内部控制的总体目标及其层次结构--作业
-107设定内部控制目标应考虑的因素
-107设定内部控制目标应考虑的因素--作业
-108内部控制目标设定
-- 108内部控制目标设定
-108内部控制目标设定--作业
-109内部控制要素
-- 109内部控制要素
-109内部控制要素--作业
-110内部控制原则
-- 110内部控制原则
-110内部控制原则--作业
-111中国内部控制规范体系
-112内部控制固有局限性
-112内部控制固有局限性--作业
-113内部控制的认知误区
-114 内部控制建设的思路和方法
-115国家电网公司内控建设经验
-小结
--html
-案例讨论
--html
-学习目标
--html
-思维导图
--html
-导入案例
--html
-200第一讲学习效果测试视频
-201内部环境概述
-201内部环境概述--作业
-202组织架构概述
-- 202组织架构概述
-202组织架构概述--作业
-203组织架构设计的主要风险及其控制
-203组织架构设计的主要风险及其控制--作业
-204组织架构运行的主要风险及其控制
-204组织架构运行的主要风险及其控制--作业
-205发展战略概述
-205发展战略概述--作业
-206战略制定中的主要风险及其控制
-206战略制定中的主要风险及其控制--作业
-207战略实施中的主要风险及其控制
-207战略实施中的主要风险及其控制--作业
-课堂之外
--html
--html
--html
--html
--html
--html
-208人力资源概述
-208人力资源概述--作业
-209人力资源政策与实践的主要风险及其控制
-209人力资源政策与实践的主要风险及其控制--作业
-210企业社会责任概述
-210企业社会责任概述--作业
-211企业社会责任主要风险及其控制
-211企业社会责任主要风险及其控制--作业
-212企业文化概述
-- 212企业文化概述
-212企业文化概述--作业
-213企业文化主要风险及其控制
-213企业文化主要风险及其控制--作业
-214企业并购中的文化冲突风险及其控制
-214企业并购中的文化冲突风险及其控制--作业
-小结
--html
--html
-案例讨论
--html
-第一、二讲单元测试--作业
-学习目标
--html
-思维导图
--html
-导入案例
--html
-301风险的概念
--301风险的概念
-302风险的特征
--302风险的特征
-303风险的分类
--303风险的分类
-304风险识别的原理及注意事项
-305风险识别的方法和技术
-306风险分析
-307风险计量
--307风险计量
-308风险应对策略
-309风险应对方案
-小结
--html
-案例讨论
--html
-学习目标
--html
-思维导图
--html
-导入案例
--html
-401控制活动的概念和类型
-401控制活动的概念和类型--作业
-402不相容职务相分离控制和授权审批控制
-402不相容职务相分离控制和授权审批控制--作业
-403会计系统控制
-403会计系统控制--作业
-404资产保护控制和运营分析控制
-404资产保护控制和运营分析控制--作业
-405绩效考评控制
-- 405绩效考评控制
-405绩效考评控制--作业
-406全面预算控制
-- 406全面预算控制
-406全面预算控制--作业
-407预算管理案例
-- 407预算管理案例
-408信息技术控制
-- 408信息技术控制
-408信息技术控制--作业
-小结
--html
-案例讨论
--html
-学习目标
--html
-思维导图
--html
-导入案例
--html
-501信息与沟通概述
-501信息与沟通概述--作业
-502沟通中的主要障碍
-502沟通中的主要障碍--作业
-503如何提高沟通的效率效果
-503如何提高沟通的效率效果--作业
-504职场沟通的视频案例
-505如何建立信息与沟通机制
-505如何建立信息与沟通机制--作业
-小结
--html
-案例讨论
--html
-第三、四、五讲单元测试--作业
-学习目标
--html
-思维导图
--html
-导入案例
--html
-601业务活动控制的基本思路
-601业务活动控制的基本思路--作业
-602业务活动流程设计
-602业务活动流程设计--作业
-603关键控制的判断和设置
-603关键控制的判断和设置--作业
-604货币资金内部控制
--html
-604货币资金内部控制--作业
-605存货业务内部控制
--html
-605存货业务内部控制--作业
-606固定资产业务控制
--html
-606固定资产业务控制--作业
-607无形资产业务内部控制
--html
-607无形资产业务内部控制--作业
-小结
--html
-案例讨论
--html
-学习目标
--html
-思维导图
--html
-导入案例
--html
-701采购业务内部控制
--html
-701采购业务内部控制--作业
-702销售业务内部控制
--html
-702销售业务内部控制--作业
-703投资业务内部控制
--html
-703投资业务内部控制--作业
-704融资业务内部控制
--html
-704融资业务内部控制--作业
-小结
--html
-案例讨论
--html
-学习目标
--html
-思维导图
--html
-导入案例
--html
-801担保业务内部控制
--html
-802工程项目内部控制
--html
-803财务报告内部控制
--html
-804对子公司和分支机构的控制
-小结
--html
-案例讨论
--html
-学习目标
--html
-思维导图
--html
-导入案例
--html
-901内部监督及其实施流程
-901内部监督及其实施流程--作业
-902建立风险导向的内部监督模式
-902建立风险导向的内部监督模式--作业
-903内部控制缺陷
-903内部控制缺陷--作业
-904内部控制有效性
-904内部控制有效性--作业
-905内部控制评价
-905内部控制评价--作业
-906内部控制评价案例
--html
-906内部控制评价案例--作业
-小结
--html
-案例讨论
--html
-学习目标
--html
-思维导图
--html
-导入案例
--html
-1001COSO2013版内部控制整合框架
-1002组织的风险管理国际标准(ISO31000)
-1003风险智能管理框架
-1004“互联网+”环境下的内部控制
-小结
--html
-案例讨论
--html
-课程学习目标
--html
-课程思维导图
--html
-课程串讲
--串讲视频(中)
--串讲视频(下)
-课程串讲--作业
-学习效果测试案例
--学习效果测试案例
-各讲导入案例参考答案
--html
-各讲案例讨论参考答案
--html
-与学员代表互动
--与学员代表互动
--html
-模拟考试一
--期末模拟考试一
-模拟考试二
--期末模拟考试二
-期末考试--作业
