内控应用指引解读18——信息系统.pdf

财政部会计司解读

《企业内部控制应用指引第18号———信息系统》

一、信息系统内部控制概述

《企业内部控制应用指引第18号—————信息系统》中所指信息系统，是指企业利用

计算机和通信技术，对内部控制进行集成、转化和提升所形成的信息化管理平台。信息系统内部

控制的目标是促进企业有效实施内部控制，提高企业现代化管理水平，减少人为操纵因素；同时，

增强信息系统的安全性、可靠性和合理性以及相关信息的必威体育官网网址性、完整性和可用性，为建立有效

的信息与沟通机制提供支持保障。信息系统内部控制的主要对象是信息系统，由计算机硬件、软

件、人员、信息流和运行规程等要素组成。

现代企业的运营越来越依赖于信息系统。比如航空公司的网上订票系统、银行的资金实时

结算系统、携程旅行网的客户服务系统等，没有信息系统的支撑，业务开展就举步维艰、难以为

继，企业经营就很可能陷入瘫痪状态。还有一些新兴产业和新兴企业，其商业模式完全依赖信息

系统，比如各种网络公司（新浪、网易、百度）、各种电子商务公司（比如阿里巴巴、卓越公司），

没有信息系统，这些企业可能会失去生存之基。

同时应当看到，企业信息系统内部控制以及利用信息系统实施内部控制也面临诸多风险，

至少应当关注下列方面：一是信息系统缺乏或规划不合理，可能造成信息孤岛或重复建设，导致

企业经营管理效率低下；二是系统开发不符合内部控制要求，授权管理不当，可能导致无法利用

信息技术实施有效控制；三是系统运行维护和安全措施不到位，可能导致信息泄漏或毁损，系统

无法正常运行。

鉴于信息系统在实施内部控制和现代化管理中具有十分独特而重要的作用，加之信息系统

本身的复杂性和高风险特征，《企业内部控制应用指引第18号———信息系统》规定，企业负

责人对信息系统建设工作负责。换言之，信息系统建设是一“把手”工程。

只有企业负责人站在战略和全局的高度亲自组织领导信息系统建设工作，才能统一思想、

提高认识、加强协调配合，从而推动信息系统建设在整合资源的前提下高效、协调推进。企业应

当重视信息系统在内部控制中的作用，根据内部控制要求，结合组织架构、业务范围、地域分布、

技术能力等因素，制定信息系统建设总体规划，加大投入力度，有序组织信息系统开发、运行与

维护，优化管理流程，防范经营风险，全面提升企业现代化管理水平。

二、信息系统的开发

企业根据发展战略和业务需要进行信息系统建设，首先要确立系统建设目标，根据目标进

行系统建设战略规划，再将规划细化为项目建设方案。企业开展信息系统建设，可以根据实际情

况，选择自行开发、外购调试或业务外包等方式。选择外购调试或业务外包方式的，应当采用公

开招标等形式择优选择供应商或开发单位。选择自行开发信息系统的，信息系统归口管理部门应

当组织企业内部相关业务部门进行需求分析，合理配置人员，明确系统设计、编程、安装调试、

验收、上线等全过程的管理要求。企业信息系统归口管理

部门应当加强信息系统开发全过程的跟踪管理，增进开发单位与企业内部业务部门的日常沟通和

协调，组织独立于开发单位的专业机构对开发完成的信息系统进行检查验收，并组织系统上线运

行。

（一）制定信息系统开发的战略规划信息系统开发的战略规划是信息化建设的起点，战略

规划是以企业发展战略为依据制定的企业信息化建设的全局性、长期性规划。制定信息系统战略

规划的主要风险是：第一，缺乏战略规划或规划不合理，可能造成信息孤岛或重复建设，导致企

业经营管理效率低下。第二，没有将信息化与企业业务需求结合，降低了信息系统的应用价值。

信息孤岛现象是不少企业信息系统建设中存在的普遍问题，根源在于这些企业往往忽视战略规划

的重要性，缺乏整体观念和整合意识，常常陷于头痛医头、脚痛医脚“”，这就导致有的企业财务

管理信息系统、销售管理信息系统、生产管理信息系统、人力资源管理系统、办公自动化系统等

各自为政、孤立存在的现象，削弱了信息系统的协同效用，甚至引发系统冲突。

主要控制措施：第一，企业必须制定信息系统开发的战略规划和中长期发展计划，并在每

年制定经营计划的同时制定年度信息系统建设计划，促进经营管理活动与信息系统的协调统一。

第二，企业在制定信息化战略过程中，要充分调动和发挥信息系统归口管理部门与业务部门的积

极性，使各部门广泛参与，充分沟通，提高战略规划的科学性、前瞻性和适应性。第三，信息系

统战略规划要与企业的组织架构、业务范围、地域分布、技术