《企业内部控制应用指引第18号——信息系统》 信息系统内部控制概述 《企业内部控制应用指引第18号———信息系统》中所指信息系统，是指企业利用计算机和通信技术，对内部控制进行集成、转化和提升所形成的信息化管理平台。信息系统内部控制的目标是促进企业有效实施内部控制，提高企业现代化管理水平，减少人为操纵因素；同时，增强信息系统的安全性、可靠性和合理性以及相关信息的保密性、完整性和可用性，为建立有效的信息与沟通机制提供支持保障。信息系统内部控制的主要对象是信息系统，由计算机硬件、软件、人员、信息流和运行规程等要素组成 制定信息系统开发的战略规划 选择适当的信息系统开发方式 自行开发方式的关键控制点和主要控制措施 。。。。。 信息系统的运行与维护 。。。。。 信息档案的保管期限不够长 等等 业自行组织技术人员进行系统的设计、编码、测试和维护。这种方式能更好地满足企业的个性化需求，但投资大、周期长，需要有强大的技术团队支持。关键控制点包括：需求分析的准确性，系统设计的合理性，编程质量的控制，以及系统上线前的全面测试。主要控制措施包括设立专门的项目组，确保业务部门和技术部门的有效沟通，定期评估开发进度和质量，以及制定严格的代码审查和测试策略。 2．外购调试 外购调试是购买市场上成熟的产品，根据企业需求进行定制和调整。这种方式成本相对较低，开发周期短，但可能与企业特定业务流程的契合度不高。选择外购时，企业应通过公开招标，比较不同供应商的产品性能、服务质量和价格，签订合同明确售后服务和升级条款。在系统对接和调试过程中，企业需监控供应商的实施进度，确保符合内部控制要求。 3．业务外包 业务外包是指将信息系统开发工作委托给专业服务提供商。外包可以节省企业资源，专注于核心业务，但同时也可能导致信息安全性降低，对外包服务商的依赖增加。企业应选择信誉良好、技术能力强的服务商，签订详尽的外包合同，明确服务内容、标准和责任，确保外包过程中的信息保密和系统稳定性。 三、信息系统的运行与维护 信息系统运行阶段，企业要确保系统的稳定、安全、高效运行，包括硬件设备的维护、软件的更新升级、数据备份与恢复、安全防护等。关键控制点包括权限管理、系统监控、故障处理和应急响应。企业应定期进行系统审计，评估信息系统的效能和风险，及时发现并解决潜在问题。同时，建立健全信息安全制度，防范病毒攻击、黑客入侵等风险。 四、信息档案的管理 信息档案的保管期限是企业信息安全的重要组成部分。企业应根据法律法规和业务需要，确定不同类型信息的保存期限，制定信息分类存储和销毁的政策，确保信息的合规使用。同时，定期对信息系统相关的文档资料进行整理和归档，便于后续查阅和审计。 总结起来，《企业内部控制应用指引第18号——信息系统》强调了企业在信息化建设中应重视内部控制，通过合理规划、选择合适的开发方式、确保系统的稳定运行和信息档案的安全管理，来提升企业的现代化管理水平，降低人为操纵风险，保障信息系统的安全性、可靠性和合理性。企业负责人在信息系统建设中扮演着关键角色，需要站在战略高度，引领并推动信息化进程，以实现企业内外部信息的有效沟通，促进企业持续健康发展。