内部控制与风险管理辅导资料十二主 题:第6章 我国的内部控制与企业风险管理(第1-3节)
学习时间:2020年12月14日-12月20日
内 容:
第6章 我国的内部控制与企业风险管理
这周我们将学习第六章中的第1-3节,这部分重点介绍信息、沟通、信息系统总体控制等问题。希望通过下边的内容能够加深同学们对我国的内部控制与企业风险管理的理解。
“不忘初心、牢记使命”主题理论学习:
每周文摘:守初心,就是要牢记全心全意为人民服务的根本宗旨,以坚定的理想信念坚守初心,牢记人民对美好生活的向往就是我们的奋斗目标;以真挚的人民情怀滋养内心,时刻不忘我们党来自人民、根植人民,人民群众的支持和拥护是我们胜利前进的不竭力量源泉;以牢固的公仆意识践行初心,永远铭记人民是共产党的衣食父母,共产党人是人民的勤务员,永远不能脱离群众、轻视群众、漠视群众疾苦。
摘选自《在“不忘初心、牢记使命”主题教育工作会议上的讲话》6.1 信息
6.1.1 关注要点
(1)内外部信息的获取
A 为了随时掌握有关市场状况、竞争状况、政策变化,公司应该完善获取外部相关信息的机制。
B 为了保证公司目标的达成,企业应该建立重要内部信息的获取和沟通机制,重要信息应得到及时确认并向上级汇报。
(2)保证各级管理人员得到足够的信息
A 为了保证决策的有效性,各级管理人员能够及时得到他们履行职责所需要的内、外部信息
B 向不同级别的管理人员汇报详细程度不同的信息
C 对信息进行适当的汇总,以满足进一步详查的需要
D 为了有效监控有关事件和活动,并对经济、行业因素和控制问题进行迅速反应,应及时获取和传递信息
(3)对信息管理进行总体规划
A 由专门的部门对生产的信息需求持续进行识别和跟踪。
B 由相应的管理层决定信息的需求和优先次序。
C 订立与战略决策相关的长期信息技术总体规划。
(4)管理层应对信息系统的建设提供必要支持
管理层应为建立或改进信息系统提供足够的、必要的资源,并采取相应的控制措施。
6.1.2 主要措施和程序
(1)内部信息收集与传递
A 内部政策信息收集与传递
B 企业价值观、道德和行为期望。
C 公司的战略性经营目标。
D 财务政策及程序。
E 人力资源政策。
(2)其他内部信息的收集与传递
A 财务信息
B 综合信息
C 经营信息
D 员工提供的信息
E 规章制度信息
F 信息系统产生的信息
(3)外部信息的收集与传递
A 法律法规信息
B 政策信息和监管机构信息
C 从客户、供应商、经营伙伴、投资者处获得的信息
(4)信息报告
A 例行报告
B 实时报告
C 专题报告
D 综合报告
(5)信息技术总体规划
6.1.3 对应的主要文档型记录
相关的信息收集、传递文档6.2 沟通
6.2.1 关注要点
(1)让员工了解其职责及职责的有效性
A 采取适当的沟通方式,保证沟通的目的的实现。
B 员工应清楚他们的行为要达到的目标,以及他们的工作对于实现这些目标的作用。
C 员工应清楚个人职责与他人职责的相互影响。
(2)公司内部保证充分沟通
主要包括公司沟通信息的完整性和及时性,内部沟通的充分性等
(3)畅通的沟通渠道
公司应建立畅通的沟通渠道,保证相关方的建议、投诉和收到的其他情况得到有效的记录、汇报、处理、反馈和跟踪
(4)公开透明的职业道德规范
A 针对重要信息应由相应的管理人员与外部交流。
B 供应商、客户及其他第三方合作者应清楚在合作的过程中,公司员工应遵循的职业道德规范。
C 强调员工在于外部机构交流合作过程中应遵循的职业道德规范。
D 对于员工的不当行为应有相应的汇报和惩处机制。
(5)管理层对于外部信息应采取及时有效的应对措施
A 公司应积极进行客户满意度调查,并采取适当的措施。
B 对与客户进行交易的财务数据应严格把关,如果发现错误应及时纠正。
C 保证所获取的信息并非失真信息。
D 对于投诉信息,管理层应认真对待。
6.2.2 措施和程序
(1)内部沟通
A 明确的职责和有效的控制
B 内部沟通与交流。
(2)外部沟通
A 对外职业道德规范的宣传
B 与客户沟通
C 与供应商沟通
D 与律师沟通
E 与股东、监管者、外部审计师的沟通
6.2.3 对应的主要文档型记录
(1)员工岗位职责描述
(2)绩效考核文档资料
(3)财务报告
(4)审计意见书
(5)客户调查问卷
(6)会议纪要
(7)公司年报6.3 信息系统总体控制
6.3.1 关注要点
(1)信息系统控制环境
(2)信息安全
(3)信息系统项目建设管理
(4)信息系统变更管理
(5)信息系统日常运作
(6)最终用户操作
6.3.2 主要措施和程序
(1)信息系统控制环境
A 总体信息控制环境
A1 公司制定信息技术总体规划,定期进行审阅和调整。
A2 首席信息官领导下的公司信息管理部门作为公司信息化建设的主管部门,负责企业信息化建设,以及指导、监督各级信息技术部门工作,建立纵向汇报、沟通和监控机制。
A3 各级信息技术部门的岗位设置从安全和内部控制与风险管理的角度,考虑职责分离的要求,可在重要工作岗位建立员工储备机制。
A4 各级信息技术部门根据自身信息系统的特点和人员配置情况,制定相关的信息技术培训计划并切实执行。
B 信息与沟通
B1 各级信息技术部门识别所属单位信息系统中的信息资产,确定受保护的信息资产清单,并进行分级,明确各信息资产的相关负责人。
B2 各级信息技术部门应明确信息技术内部控制职责,负责在其管理范围内进行各项信息技术管理政策、制度和标准的宣传和贯彻工作,定期评估执行情况并解决发现的问题。
C 风险评估
D 监控
(2)信息安全
A 信息安全管理组织
公司建立信息安全组织框架,并建立完善的汇报机制
B 逻辑安全
B1 对信息系统的访问,执行访问控制原则
B2 公司建立用户权限申请、更改、撤销的管理流
B3 公司制定口令规则,对用户的口令及口令的使用进行管理
B4 公司建立用户账号和权限是审核流程
B5 根据系统的重要程度,对用户的系统活动采取不同的监控措施,并及时报告异常活动
B6 公司建立服务器操作系统的设置和变更管理流程,并定期审核
B7 公司建立应用系统数据直接访问的申请和审批管理流程。
C 物理安全
D 网络安全
E 计算机病毒防护
F 第三方安全管理
G 信息安全事件响应
(3)信息系统项目建设管理
A 项目立项
建立项目立项审批流程,建立商业软件、硬件和服务购买的管理流程
B 项目建设
B1 按照系统开发生命周期法分阶段进行
B2 建立系统开发各阶段的管理制度
B3 需求分析和项目设计文档得到业务部门的审批,关键的测试结果由最终用户签字认可
B4 测试后的系统源代码应有保护措施
B5 在系统上线时,采取控制措施,保证数据的准确性和完整性
B6 建立项目验收流程,验收完毕后由用户签署项目验收报告
C 项目管理
制定并实施项目培训计划,文档的及时收集和整理,定期向管理层汇报,建立醒目变更管理流程
(4)信息系统变更管理
A 变更管理
B 日常变更
B1 建立应用系统变更和系统环境变更的管理流程
B2 完整记录并更新应用系统变更和系统环境变更的相关文档。
C 紧急变更
C1 所有紧急变更应妥善记录以便事后审阅
C2 紧急变更完成后补录相关变更程序记录
(5)信息系统日常运作
A 机房环境控制
B 系统日常运作控制
C 备份与恢复
D 问题管理
(6)最终用户操作
6.3.3 对应的主要文档性记录
(1)公司信息技术总体规划
(2)下属单位信息技术年度工作计划
(3)部门、岗位职责描述
(4)信息资产清单
(5)会议纪要
(6)信息技术培训计划、培训记录等
(7)员工遵守企业信息安全规定的声明
(8)与第三方达成合同或协议本周要求掌握的内容如下:
基本理念:信息的关注要点及主要措施和程序,沟通的关注要点及主要措施和程序,信息系统总体控制的关注要点及信息安全、信息系统变更管理及日常运作。习题:
【例题1·单选题】企业应当编制对外投资( ),它一般应包括:项目的必要性和依据、投资条件的初步分析、投资估算和资金筹措设想、经济效益和社会效益初步估算等内容。
A.可行性研究报告
B.建议书
C.评估报告
D.决策建议书
【答案】B【例题2·单选题】销售退货增加的存货,由( )根据验收情况编制退货接收报告,报告应包括所退货物的品种、名称、客户的名称等,并交由相关的主管部门进行审核。
A.财务部门
B.销售部门
C.接收部门
D.仓储部门
【答案】B