担保公司内部控制-信息化建设.ppt

《担保公司内部控制-信息化建设.ppt》由会员分享，可在线阅读，更多相关《担保公司内部控制-信息化建设.ppt（68页珍藏版）》请在三一办公上搜索。

1、担保公司信息化建设对内部控制作用,一、走进内部控制基本概念阐述二、信息化建设对内部控制的作用三、信息化建设对内部控制的主要风险及管控措施四、信息化建设对反舞弊的作用五、问题与讨论,主要内容,第一部分 走进内部控制-基本概念阐述,经营回报与风险,经营回报,公司管理层,什么是风险？,风险是某一事件或行为对企业经济利益可能的威胁商业风险和管理风险,管理风险,管理风险习惯上分为以下五类：,财务和经营信息不足政策、计划、程序、法律和标准贯彻失败资产流失资源浪费和无效使用不能达到企业的目的和目标,风险如何最小化？,内部控制如何降低风险？,暴露的金额,发生的可能性,风险的大小,内部控制的重要性,有效的内部控

2、制,风险与经营回报的良好平衡,第二部分 信息化建设对内部控制的作用,担保企业应当重视信息系统在内部控制中的作用，根据内部控制要求，结合组织架构、业务范围、地域分布、技术能力等因素，制定信息系统建设整体规划，加大投入力度，有序组织信息系统开发、运行与维护，优化管理流程，防范经营风险，全面提升企业现代化管理水平。二、企业应当指定专门机构对信息系统建设实施归口管理，明确相关单位的职责权限，建立有效工作机制。企业可委托专业机构从事信息系统的开发、运行和维护工作。企业负责人对信息系统建设工作负责。,一、加强信息传递的重要意义,1、内部信息传递是提高担保企业管理能力的重要抓手 在第一时间收集、掌握重要信息

3、，是担保企业管理层尤其是高管团队管理水平的重要标志。管理层要指挥、驾驭担保企业实现发展战略和经营目标，必须拥有和掌握丰富的信息资源。,一、加强信息传递的重要意义,2、内部信息传递是提升企业市场竞争力的重要支撑。现代市场竞争异常激烈，外部环境瞬息万变。企业作为市场经济的主体和细胞，只有全面、充分地用好用足信息传递，才能应对国内国际激烈的市场竞争，才能应对后金融危机时期的各种风险和挑战。,一、加强信息传递的重要意义,3、内部信息传递是有效实施内部控制的重要保证信息与沟通是建立与实施内部控制的重要条件。内部信息传递作为信息与沟通的重要方式，在建立与实施内部控制中具有不可或缺的重要作用。如果没有科学、

4、快速、上传下达的信息传递机制，内部控制就难以有效实施，内部控制的缺陷也得不到反映和揭示，内部控制的重大风险也无法及时防范和管控。,内部信息传递的总体要求,一、真实准确性二、及时有效性三、遵守保密原则,内部信息传递流程,担保企业的内部控制活动离不开信息的沟通和传递。担保企业在经营管理过程中，需要不断按某种形式辩识、取得确切的信息，并进行传递和沟通，以使各部门人员能够履行各自的职责。根据传播介质的不同，可分为口头传递、书面传递和电子传递等。根据内部各部门获取渠道的不同，可将内部信息传递方式分为自上而下、自下而上和平行传递三种方式。,信息化内部控制建设遵循的原则,全面性原则。审慎性原则。及时性原则。

5、独立性原则。适度性原则。,内控制度的建设,职责分离、权责制衡的业务流程控制,一项任务不能由某一个人从头到尾地完成，各个环节相对独立，有利于内部控制制度的实施。例如：项目保前调查和项目评审相分离；法律文件的审查，重要物权凭证保管，由独立于业务部门的其它部门负责。设定“项目受理保前调查反担保物价值评估项目评审法律文件的制作与审核签约办理反担保法律手续放款保后检查项目还款债务追偿项目终止注销抵/质押物登记”等主要业务流程,基于内部控制的担保企业业务系统的全面风险管控,担保企业信息化建设是“一把手”工程,企业应当指定专门机构对信息系统建设实施归口管理，明确相关单位的职责权限，建立有效工作机制。企业可委

6、托专业机构从事信息系统的开发、运行和维护工作。企业负责人对信息系统建设工作负责。,担保企业信息系统开发实施步骤,1、担保企业信息系统归口管理部门应当组织内部各单位提出开发需求和关键控制点，规范开发流程，明确系统设计、编程、安装调试、验收、上线等全过程的管理要求，严格按照建设方案、开发流程和相关要求组织开发工作。2、担保企业在系统开发过程中，应当按照不同业务的控制要求，通过信息系统中的权限管理功能控制用户的操作权限，避免将不相容职责的处理权限授予同一用户。,担保企业信息系统开发实施步骤,3、担保企业应当针对不同数据的输入方式，考虑对进入系统数据的检查和校验功能。对于必需的后台操作，应当加强管理，

7、建立规范的流程制度，对操作情况进行监控或者审计。4、担保企业应当在信息系统中设置操作日志功能，确保操作的可审计性。对异常的或者违背内部控制要求的交易和数据，应当设计由系统自动报告并设置跟踪处理机制。,担保企业信息系统开发实施步骤,企业信息系统归口管理部门应当加强信息系统开发全过程的跟踪管理，组织开发单位与内部各单位的日常沟通和协调，督促开发单位按照建设方案、计划进度和质量要求完成编程工作，对配备的硬件设备和系统软件进行检查验收，组织系统上线运行等。企业应当组织独立于开发单位的专业机构对开发完成的信息系统进行验收测试，确保在功能、性能、控制要求和安全性等方面符合开发需求。,案例1,某法院接到诉状

8、，贷款人王某状告A银行因多计利息天数损害了自己的利益。王某提出，贷款合同中约定采取等额本息还款方式，首月和末月的利息按实际贷款天数计算，其余各月按整月计算。但银行多算了首月的贷款天数，在首期扣款时多计利息，导致后期的贷款本金额被多计，增加了贷款人的利息支出。王某贷款10万，利息起算日为2009年1月28日，首次还款日2009年2月16日，根据人民银行的利息规则，全年按360天计算，每月按30天算。从1月28日到2月16日一共18天。按合同，首月利息按18天算。但银行实际按33天算，将整个2月份全部计算利息，多计利息15天。,分析,该案例属于典型程序处理错误，由于利息计算程序的计息规则和合同不一

9、致，导致程序在计算贷款的首期利息时多计算了计息天数，引起纠纷。所以银行应该进行程序算法的复核，确保程序设置与贷款合同以及国家的相关规定一致。,担保企业信息系统开发实施步骤,担保企业应当切实做好信息系统上线的各项准备工作，培训业务操作和系统管理人员，制定科学的上线计划和新旧系统转换方案，考虑应急预案，确保新旧系统顺利切换和平稳衔接。系统上线涉及数据迁移的，还应制定详细的数据迁移计划。,担保企业信息系统日常管理,担保企业应当建立用户管理制度，加强对重要业务系统的访问权限管理，定期审阅系统账号，避免授权不当或存在非授权账号，禁止不相容职务用户账号的交叉操作。,案例2,A会计师事务所对B公司进行信息系

10、统审计时，发现B公司综合业务系统的56个帐号中，有4个系统管理员帐号，其中3个系统管理员帐号均为软件开发商的系统维护人员。该系统管理员用户拥有登陆业务管理，统计报表等权限，并且可以操作后台程序。因此，如果软件开发商的系统维护人员通过后台舞弊，B公司将承受重大损失。,担保企业信息系统日常管理,企业应当综合利用防火墙、路由器等网络设备，漏洞扫描、入侵检测等软件技术以及远程访问安全策略等手段，加强网络安全，防范来自网络的攻击和非法侵入。企业对于通过网络传输的涉密或关键数据，应当采取加密措施，确保信息传递的保密性、准确性和完整性。,案例3,据香港文汇报报道，位于英国和美国加州的计算机保安公司M86 S

11、ecurity发现，英国一家银行约3000个客户计算机受“Zeus v3”(宙斯3代)入侵，自7月5日起共被黑客盗去67.5万英镑。“宙斯3代”利用微软网络浏览器Internet Explorer和文件阅读器Adobe Reader等软件的保安漏洞，感染个人计算机。,分析,该银行的客户机应该经常更新系统补丁程序，加强客户机操作的审计。,担保企业信息系统日常管理,担保企业应当建立系统数据定期备份制度，明确备份范围、频度、方法、责任人、存放地点、有效性检查等内容。担保企业应当加强服务器等关键信息设备的管理，建立良好的物理环境，指定专人负责检查，及时处理异常情况。未经授权，任何人不得接触关键信息设备

12、。,案例4,去年底一度让人心慌慌的CSDN泄密事件风波还未完全平复，近来一份疑似90万1号店注册用户信息被盗卖又揪起了网民的心。虽然1号店官方并未对此作出回应，这份网上叫卖的90万1号店注册用户信息真伪还有待证实，但几乎是在同一时间，众多1号店用户的账户发生了种种离奇的盗刷现象，这难免进一步加剧网民对这份包括地址、手机号码等详细个人信息的名单真实性的担忧。其实，除了1号店外，不少电商网站也被“泄密”阴影所笼罩。早在今年的3月，当当网多名用户就遭遇“盗刷”现象，一些用户的账户余额被洗劫一空。,分析,该案例应该是内部信息被内部人士倒卖的例子，严重影响了企业的形象。还会带来相关的诉讼。所以加强内部接

13、触敏感信息岗位的控制非常有必要。技术上也可以增加文档防拷贝和修改的功能。,担保企业信息系统的运行与维护,信息系统的运行与维护主要包含三个方面的内容：日常运行维护、系统变更和安全管理一、日常运行维护的目标是保证系统正常运转，主要工作包含系统的日常操作、系统的日常巡检和维护、系统运行状态的监控、异常事件的报告和处理。,担保企业信息系统的运行与维护,系统变更的关键控制点和主要管控措施系统变更主要包含硬件的升级扩容、软件的修改和升级等。系统变更是为了更好地满足企业需求，但同时应该加强对变更的申请、变更成本与进度的控制。该环节主要风险是：1、企业没有建立严格的变更申请、审批、执行、测试流程，导致随意变更

14、。2、系统变更后没有效果评估。该环节主要措施是：1、企业应该建立标准流程来实施和记录变更，保证变更得到了授权。2、系统变更的程序应该得到充分的测试。3、企业应该加强紧急变更的管理。4、企业应该加强对变更移植到生产环境中的控制管理。,案例4,A通讯公司某员工利用工作便利进入充值卡数据库，对7000张价值35万元的作废充值卡非法激活，并在市场上低价销售。分析：拥有信息系统的企业，一般都比较注重外部安全威胁，注意加强病毒、木马及黑客的防护，往往忽视对内部员工的防范。因此，企业应当完善信息系统的管理措施，避免将不相容的操作权限授予同一员工。,第三部分 信息化建设对内部控制的主要风险及管控措施,1、信息

15、系统缺乏或规划不合理，可能造成信息孤岛或重复建设，导致企业经营管理效率低下。2、系统开发不符合内部控制要求，授权管理不当，可能导致无法利用信息技术实施有效控制。3、系统运行维护和安全措施不到位，可能导致信息泄漏或毁损，系统无法正常运行。建议公司出台信息系统安全管理制度，杜绝可能的风险，具体可以参考信息系统安全管理制度内部控制-信息系统安全管理制度.doc,案例5,2004年5月，某大型企业研发中心发现某国外竞争对手领先一步完成了产品的设计开发，该研发中心领导一下就懵了。产品的设计开发可是该企业的重大研发项目，该企业想依托A产品完成产品线的转换，大笔资金投入到该项目，众多研发人员也付出了艰辛的劳

16、动。企业在项目立项及开发过程中，还从未听说有哪家单位也在进行A产品的开发，为什么竞争对手开发速度如此之快？,案例5,情况汇报给企业老总后，老总的第一反应就是内部人员泄密，随即下令该项目所有人员停止开发，迅速离开工作岗位，并向公安部门报案。公安部门技术人员到达现场后，发现该研发中心保密工作存在重大疏漏：设计人员电脑与普通工作人员电脑连在同一个局域网内、计算机端口允许人员将资料随意拷出、设计人员将某些机密文件设成共享、打印资料随意带出、所有电脑都可以上互联网经过检查，公安部门初步判定为内部人员泄密，但是要查出是谁将资料泄密，难度太大。最终该案不了了之，企业也只能对研发中心领导进行降职处罚，该企业付

17、出的1000余万元研发费用、众多研发人员的辛勤劳动全部付诸东流。,分析,某大型企业研发中心，因为内部人员泄密，付出了1000余万元研发费用、众多研发人员辛勤劳动全部付诸东流的惨痛代价。让我们看看公安部门技术人员到达现场后发现的问题：设计人员电脑与普通工作人员电脑连在同一个局域网内、所有电脑都可以上互联网、机密文件设成共享、打印资料随意带出、计算机端口允许人员将资料随意拷出以上的种种现象，充分的表现出了该企业的信息防护体系是多么的脆弱与混乱。所以信息系统安全管理制度很重要，执行更重要。,信息化建设对内部控制的主要风险及管控措施,4、内部报告系统缺失、功能不健全、内容不完整，可能影响生产经营有序运

18、行。5、内部信息传递不通畅、甚至失真，可能导致决策失误、相关政策措施难以落实。6、内部信息传递中泄露商业秘密，可能削弱企业核心竞争力。,案例6,在1910年，某部队一次命令传递的过程是这样的：少校对值班军官：明晚8点钟左右，哈雷彗星将可能在这个地区看到，这种彗星每隔76年才能看见一次。命令所有士兵着野战服在操场上集合，我将向他们解释这一罕见的现象。如果下雨的话，就在礼堂集合，我为他们放一部有关彗星的影片。值班军官对上尉：根据少校的命令，明晚8点，76年出现一次的哈雷彗星将在操场上空出现。如果下雨的话，就让士兵穿着野战服列队前往礼堂，这一罕见的现象将在那里出现。,案例,上尉对中尉：根据少校的命令

19、，明晚8点，非凡的哈雷彗星将身穿野战服在礼堂中出现。如果操场上下雨，少将将下达另一个命令，这种命令每隔76年才会出现一次。中尉对上士：明晚8点，少校将带着哈雷彗星在礼堂中出现，这是每隔76年才有的事。如果下雨的话，少校将命令彗星穿上野战服到操场上去。上士对士兵：在明晚8点下雨的时候，著名的76岁的哈雷将军将在少校的陪同下，身着野战服，开着他那彗星牌汽车，经过操场前往礼堂。,分析,这个故事传递我们一个信息就是：信息在传递过程中会存在失真的问题。如何避免这样的情况发生呢？信息系统在设计时要求录入完整的信息，流程上增加信息复核的岗位。,信息化建设对内部控制的主要风险及管控措施,1、担保企业应当根据发

20、展战略、风险控制和业绩考核要求，科学规范不同级次内部报告的指标体系，采用经营快报等多种形式，全面反映与企业生产经营管理相关的各种内外部信息。2、担保企业应当制定严密的内部报告流程，充分利用信息技术，强化内部报告信息集成和共享，将内部报告纳入企业统一信息平台，构建科学的内部报告网络体系。,信息化建设对内部控制的主要风险及管控措施,3、担保企业内部各管理层级均应当指定专人负责内部报告工作，重要信息应及时上报，并可以直接报告高级管理人员。4、担保企业应当建立内部报告审核制度，确保内部报告信息质量。,信息化建设对内部控制的主要风险及管控措施,5、担保企业应当关注市场环境、政策变化等外部信息对企业生产经

21、营管理的影响，广泛收集、分析、整理外部信息，并通过内部报告传递到企业内部相关管理层级，以便采取应对策略。,信息化建设对内部控制的主要风险及管控措施,6、担保企业应当拓宽内部报告渠道，通过落实奖励措施等多种有效方式，广泛收集合理化建议。7、担保企业应当重视和加强反舞弊机制建设,通过设立员工信箱、投诉热线等方式，鼓励员工及企业利益相关方举报和投诉企业内部的违法违规、舞弊和其他有损企业形象的行为。,担保企业要做信息化规划,担保企业有条件的应该成立独立的信息化部门，制定本公司的信息化规划，避免信息化建设盲目无序。没有条件的也可以把这个工作外包给专业公司。担保企业要自己梳理自己的管理流程和业务流程，信息

22、化就是管理优化的一个过程，并不是办公的无纸化。担保企业一定要加强信息安全的建设，要有专业的人才队伍。,担保公司信息化规划的例子,详细见文档IT发展与战略20091220.ppt,第四部分 信息化建设对反舞弊的作用,舞弊是指以故意的行为获得不公平的或者非法的收益，主要存在 以下领域：虚假财务报告、资产的不适当处置、不恰当的收入和支出、故意的不当关联方交易、税务欺诈、贪污以及收受贿赂和回扣等方面。,第四部分 信息化建设对反舞弊的作用,有效的反舞弊机制，是企业防范、发现和处理舞弊行为、优化内部环境的重要制度安排。有效的信息沟通是反舞弊程序和控制成功的关键。担保企业应当建立反舞弊机制，坚持惩防并举、重

23、在预防的原则，明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限，规范舞弊案件的举报、调查、处理、报告和补救程序。,反舞弊的主要风险,忽视了对员工的道德准则体系的培训，内部审计监察不严，内部人员未经授权或者采取其他不法方式侵占、挪用企业资产，在财务会计报告和信息披露等方面存在的虚假记录、误导性陈述或者重大遗漏等，董事、监事、经理及其他高管人员滥用职权，相关机构或人员串通舞弊，企业对举报人的保护力度小，信访事务处理不及时，缺乏相应的舞弊风险评估机制。,反舞弊的主要措施,第一，企业应当重视和加强反舞弊机制建设，对员工进行道德准则培训，通过设立员工信箱、投诉热线等方式，鼓励员工及企

24、业利益相关方举报和投诉企业内部的违法违规、舞弊和其他有损企业形象的行为。第二，企业应通过审计委员会对信访、内部审计、监察、接受举报过程中收集的信息进行复查，监督管理层对财务报告施加不当影响的行为、管理层进行的重大不寻常交易、以及企业各管理层级的批准、授权、认证等，防止企业资产侵占、资金挪用、虚假财务报告、滥用职权等现象的发生。,反舞弊的主要措施,第三、担保企业应当建立反舞弊情况通报制度。企业应定期召开反舞弊情况通报会，由审计部门通报反舞弊工作情况，分析反舞弊形势，评价现有的反舞弊控制措施和程序。第四、担保企业应当建立举报人保护制度，设立举报责任主体、举报程序，明确举报投诉处理程序，并做好投诉记

25、录的保存。切实落实举报人保护制度是举报投诉制度有效运行的关键。,第四部分 信息化建设对反舞弊的作用,业务系统本身就是一个流程软件，是按一定业务规则实现的信息化平台，本身就有一定的反舞弊作用。系统任何的操作都有日志，可以查到操作者和操作的时间。系统的权限管理也是按内控要求设置的，只要各尽其职，也可以杜绝舞弊行为。系统提供匿名举报的方式保护举报人。,问题与讨论,考试题,【多选题】1、企业内部信息传递至少应当关注下列风险()。A.内部报告系统缺失、功能不健全、内容不完整，可能影响生产经营有序运行B.内部信息传递不通畅、不及时，可能导致决策失误、相关政策措施难以落实C.内部信息传递中泄露商业秘密，可能

26、削弱企业核心竞争力D.企业未能指定专门机构对信息系统建设实施归口管理，明确相关单位的职责权限，建立有效工作机制,【多选题】,【多选题】2、管理风险有那些？()。A.财务和经营信息不足B.政策、计划、程序、法律和标准贯彻失败C.资产流失D.资源浪费和无效使用,【多选题】,3、风险如何最小化?A、加强系统的内部控制B、当可能的风险较大时，寻求较大的回报C、对可能的损失再担保D、规避有风险的业务,【多选题】,4、信息化内部控制建设遵循的原则？A、全面性原则。B、审慎性原则。C、及时性原则。D、独立性原则。E、适度性原则。,【多选题】,5、下面那些属于内控制度的建设？A、AB角制度B、审保偿分离制度C

27、、项目评审制度D、独立评委制度,【多选题】,6、担保企业信息系统上线有那些准备工作？A、培训业务操作和系统管理人员B、制定科学的上线计划和新旧系统转换方案，考虑应急预案，确保新旧系统顺利切换和平稳衔接.C、系统上线涉及数据迁移的，还应制定详细的数据迁移计划D、采购设备。,【多选题】,7、信息化建设对内部控制的主要风险有哪些？A、信息系统缺乏或规划不合理，可能造成信息孤岛或重复建设，导致企业经营管理效率低下。B、系统开发不符合内部控制要求，授权管理不当，可能导致无法利用信息技术实施有效控制。C、系统运行维护和安全措施不到位，可能导致信息泄漏或毁损，系统无法正常运行。D、内部信息传递中泄露商业秘密

28、，可能削弱企业核心竞争力。【答案】ABCD,【多选题】,8、反舞弊的主要措施有那些？A、企业应当重视和加强反舞弊机制建设，对员工进行道德准则培训，通过设立员工信箱、投诉热线等方式，鼓励员工及企业利益相关方举报和投诉企业内部的违法违规、舞弊和其他有损企业形象的行为。B、企业应通过审计委员会对信访、内部审计、监察、接受举报过程中收集的信息进行复查，监督管理层对财务报告施加不当影响的行为、管理层进行的重大不寻常交易、以及企业各管理层级的批准、授权、认证等，防止企业资产侵占、资金挪用、虚假财务报告、滥用职权等现象的发生。,反舞弊的主要措施有那些？,C、担保企业应当建立反舞弊情况通报制度。企业应定期召开反舞弊情况通报会，由审计部门通报反舞弊工作情况，分析反舞弊形势，评价现有的反舞弊控制措施和程序。D、担保企业应当建立举报人保护制度，设立举报责任主体、举报程序，明确举报投诉处理程序，并做好投诉记录的保存。切实落实举报人保护制度是举报投诉制度有效运行的关键。,讨论题,1、信息系统的运行与维护主要包含哪些内容？2、担保企业信息系统开发实施步骤？,