1信息與溝通2目標思政目標：以積極態(tài)度分享信息，提升溝通能力學(xué)習(xí)目標1.了解信息與溝通的基本原則。2.掌握信息與溝通的要件。3.熟悉信息與溝通的各種渠道。4.掌握財務(wù)報告內(nèi)部控制的主要風(fēng)險點及其控制措施。5.掌握管理報告內(nèi)部控制的主要風(fēng)險點和控制措施，理解內(nèi)部信息傳遞的重要性。6.掌握信息系統(tǒng)內(nèi)部控制的主要風(fēng)險點及其控制措施，理解信息系統(tǒng)在內(nèi)部控制的作用。3講課主要內(nèi)容一、信息與溝通概述二、財務(wù)報告的內(nèi)部控制三、管理報告的內(nèi)部控制四、信息系統(tǒng)的內(nèi)部控制4一、信息與溝通概述有效的溝通信息與溝通是企業(yè)及時、準確地收集、傳遞與內(nèi)部控制相關(guān)的信息，確保信息在企業(yè)內(nèi)部、企業(yè)與外部之間進行有效溝通，是實施內(nèi)部控制的重要條件。有效的溝通從廣義上說是信息的自上而下、橫向以及自下而上的傳遞。所有員工必須從管理層得到清楚的信息，認真履行控制職責。員工必須理解自身在整個內(nèi)控系統(tǒng)中的位置，理解個人行為與其他員工工作的相關(guān)性。員工必須有向上傳遞重要信息的途徑。同時，與外部諸如客戶、供應(yīng)商、管理當局和股東之間也需要有效的溝通。有效的溝通必須在以全方位方式進行，既有內(nèi)部溝通也有外部溝通：高級管理層和員工之間、管理層與董事會及董事會下轄的委員會之間、企業(yè)與外界各方(比如股東、債權(quán)人、客戶、供應(yīng)商、監(jiān)管機構(gòu)、律師、注冊會計師)之間。信息與溝通的要件（基本要求）信息與溝通的要件包括4項：信息質(zhì)量、溝通制度、信息系統(tǒng)、反舞弊機制。1.信息質(zhì)量。信息是企業(yè)各類業(yè)務(wù)事項屬性的標識，是確保企業(yè)經(jīng)營管理活動順利開展的基礎(chǔ)。企業(yè)日常生產(chǎn)經(jīng)營需要收集各種內(nèi)部信息和外部信息，并對這些信息進行合理篩選、核對、整合，提高信息的有用性。2.溝通制度。信息的價值必須通過傳遞和使用才能體現(xiàn)。企業(yè)應(yīng)當建立信息溝通制度，將內(nèi)部控制相關(guān)信息在企業(yè)內(nèi)部各管理級次、責任單位、業(yè)務(wù)環(huán)節(jié)之間，以及企業(yè)與外部投資者、債權(quán)人、客戶、供應(yīng)商、中介機構(gòu)和監(jiān)管部門等有關(guān)方面之間進行溝通和反饋。重要信息須及時傳遞給董事會、監(jiān)事會和經(jīng)理層。3.信息系統(tǒng)。企業(yè)運用信息技術(shù)加強內(nèi)部控制，建立與經(jīng)營管理相適應(yīng)的信息系統(tǒng)，促進內(nèi)部控制流程與信息系統(tǒng)的有機結(jié)合，實現(xiàn)對業(yè)務(wù)和事項的自動控制，減少或消除人為操縱因素。4.反舞弊機制。企業(yè)應(yīng)當建立反舞弊機制，堅持懲防并舉、重在預(yù)防的原則，明確反舞弊工作的重點領(lǐng)域、關(guān)鍵環(huán)節(jié)和有關(guān)機構(gòu)在反舞弊工作中的職責權(quán)限，規(guī)范舞弊案件的舉報、調(diào)查、處理、報告和補救程序。如何獲取內(nèi)外信息企業(yè)可以通過財務(wù)會計資料、經(jīng)營管理資料、調(diào)研報告、專項信息、內(nèi)部刊物、辦公網(wǎng)絡(luò)等渠道，獲取內(nèi)部信息。企業(yè)可以通過行業(yè)協(xié)會組織、社會中介機構(gòu)、業(yè)務(wù)往來單位、市場調(diào)查、來信來訪、網(wǎng)絡(luò)媒體以及有關(guān)監(jiān)管部門等渠道，獲取外部信息。從內(nèi)部或外部來源獲得的經(jīng)營性信息，包括財務(wù)和非財務(wù)的，都與企業(yè)的經(jīng)營目標相關(guān)。財務(wù)信息一方面用于實現(xiàn)報告目標而編制財務(wù)報表，另一方面用于滿足經(jīng)營決策而編制的管理報告，如監(jiān)控企業(yè)的經(jīng)營業(yè)績、分配資源等?？煽康呢攧?wù)信息是企業(yè)進行計劃、定價、評估供應(yīng)商績效、評估合資企業(yè)和戰(zhàn)略合作伙伴以及其他管理活動的基礎(chǔ)。同樣，經(jīng)營信息也是企業(yè)編報財務(wù)報告和其他報告的前提，包括日常信息，如采購、銷售和其他交易等，也包括競爭者的新品發(fā)布和經(jīng)濟環(huán)境的變化信息。反舞弊機制舞弊是指企業(yè)董事、監(jiān)事、經(jīng)理、其他高級管理人員、員工或第三方使用欺騙手段獲取不當或非法利益的故意行為，它是需要企業(yè)重點加以控制的領(lǐng)域之一。反舞弊工作的重點領(lǐng)域包括：1.未經(jīng)授權(quán)或者采取其他不法方式侵占、挪用企業(yè)資產(chǎn)，謀取不當利益；2.在財務(wù)會計報告和信息披露等方面存在虛假記載、誤導(dǎo)性陳述或者重大遺漏等；3.董事、監(jiān)事、經(jīng)理及其他高級管理人員濫用職權(quán)；4.相關(guān)機構(gòu)或人員串通舞弊。為確保反舞弊工作落到實處，企業(yè)應(yīng)當建立舉報投訴制度和舉報人保護制度，設(shè)置舉報專線，明確舉報投訴處理程序、辦理時限和辦結(jié)要求，確保舉報、投訴成為企業(yè)有效掌握信息的重要途徑。舉報投訴制度和舉報人保護制度應(yīng)當及時傳達至全體員工。練習(xí)實例1：（多選題）甲公司在加強風(fēng)險管理過程中采取了下列做法，其中符合我國《企業(yè)內(nèi)部控制基本規(guī)范》關(guān)于信息與溝通要素要求的有()。A.加強法制教育，建立健全法律顧問制度和重大法律糾紛案件備案制度B.建立反舞弊機制，堅持懲防并舉、重在預(yù)防的原則C.建立舉報投訴制度和舉報人保護制度D.建立重大風(fēng)險預(yù)警機制和突發(fā)事件應(yīng)急處理機制實例2：（判斷題）有效的溝通包括所有員工必須從管理層得到清楚的信息，認真履行控制職責，不一定包括員工必須有向上傳遞重要信息的途徑。（

）實例3：（多選題）下列屬于內(nèi)部控制要素中信息與溝通的有()。A.反舞弊機制B.舉報投訴制度C.舉報人保護制度D.缺陷認定機制

企業(yè)風(fēng)險管理中的信息流動溝通的渠道溝通是信息系統(tǒng)的一部分，包括內(nèi)部溝通與外部溝通。1.內(nèi)部溝通企業(yè)可以利用會議、報告、培訓(xùn)、調(diào)查、訪談、信件、內(nèi)刊、手冊、展板等正式渠道溝通，也可以利用旅游、晚會、節(jié)慶、微信、QQ等非正式渠道溝通。溝通過程中發(fā)現(xiàn)的問題，應(yīng)及時報告并加以解決。2.外部溝通（1）與投資者溝通（2）與債權(quán)人的溝通（3）與客戶溝通（4）與供應(yīng)商溝通（5）與監(jiān)管機構(gòu)溝通（6）與外部審計師溝通（7）與律師溝通（8）公共關(guān)系協(xié)調(diào)練習(xí)【實例4】(單選題）企業(yè)應(yīng)當建立反舞弊機制。下列不應(yīng)當作為企業(yè)反舞弊工作重點的是（）。A、未經(jīng)授權(quán)或者采取其他不法方式侵占、挪用企業(yè)資產(chǎn)，牟取不當利益B、與企業(yè)的關(guān)聯(lián)方進行交易C、董事、監(jiān)事、經(jīng)理及其他高級管理人員濫用職權(quán)D、相關(guān)機構(gòu)或人員串通舞弊【實例5】（判斷題）建立反舞弊機制，實施舉報投訴制度和舉報人保護制度，及時傳達至全體中層以上員工，確保舉報、投訴成為公司有效掌握信息的重要途徑。13二、財務(wù)報告內(nèi)部控制財務(wù)報告內(nèi)部控制及其目標財務(wù)報告內(nèi)部控制是指由公司的董事會、監(jiān)事會、經(jīng)理層及全體員工實施的旨在合理保證財務(wù)報告及相關(guān)信息真實、完整而設(shè)計和運行的內(nèi)部控制，以及用于保護資產(chǎn)安全的內(nèi)部控制中與財務(wù)報告可靠性目標相關(guān)的控制。企業(yè)進行財務(wù)報告內(nèi)部控制的目的是規(guī)范企業(yè)財務(wù)報告，確認財務(wù)報告編制方法的合規(guī)性和一致性，以保證財務(wù)報告的真實和完整。財務(wù)報告內(nèi)部控制的政策和程序1.保存充分、適當?shù)挠涗?，準確、公允地反映企業(yè)的交易和事項；2.合理保證按照適用的財務(wù)報告編制基礎(chǔ)的規(guī)定編制財務(wù)報表；3.合理保證收入和支出的發(fā)生以及資產(chǎn)的取得、使用或處置經(jīng)過適當授權(quán)；4.合理保證及時防止或發(fā)現(xiàn)并糾正未經(jīng)授權(quán)的、對財務(wù)報表有重大影響的交易和事項。財務(wù)報告的業(yè)務(wù)流程制定財務(wù)報告編制方案確定重大事項的會計處理清查資產(chǎn)核實債務(wù)結(jié)賬編制個別財務(wù)報告和合并財務(wù)報告審核審計對外提供制定財務(wù)分析制度編寫財務(wù)分析報告整改落實通過財務(wù)報告編制階段的主要風(fēng)險1/21.制定財務(wù)報告編制方案的風(fēng)險會計政策未能有效更新，不符合有關(guān)法律法規(guī)；重要會計政策、會計估計變更未經(jīng)審批，導(dǎo)致會計政策使用不當；會計政策未能有效貫徹、執(zhí)行；各部門職責、分工不清，導(dǎo)致數(shù)據(jù)傳遞出現(xiàn)差錯、遺漏、格式不一致等；各步驟時間安排不明確，導(dǎo)致整體編制進度延后，違反相關(guān)報送要求等2.確定重大事項的會計處理的風(fēng)險重大事項，如債務(wù)重組、非貨幣性交易、公允價值的計量、收購兼并、資產(chǎn)減值等的會計處理不合理，會導(dǎo)致會計信息無法如實反映企業(yè)實際情況。財務(wù)報告編制階段的主要風(fēng)險2/23.清查資產(chǎn)核實債務(wù)的風(fēng)險資產(chǎn)、負債賬實不符，虛增或虛減資產(chǎn)、負債；資產(chǎn)計價方法隨意變更；提前、推遲甚至不確認資產(chǎn)、負債等。4.結(jié)賬的風(fēng)險賬務(wù)處理存在錯誤，導(dǎo)致賬證、賬賬不符；虛列或隱瞞收入，推遲或提前確認收入；隨意改變費用、成本的確認標準或計量方法，虛列、多列、不列或者少列費用、成本；結(jié)賬的時間、程序不符合相關(guān)規(guī)定；關(guān)賬后又隨意打開已關(guān)閉的會計期間等。5.編制財務(wù)報告的風(fēng)險提供虛假財務(wù)報告，誤導(dǎo)財務(wù)報告使用者，造成決策失誤，干擾市場秩序；報表數(shù)據(jù)不完整、不準確；報表種類不完整；附注內(nèi)容不完整；合并報表的合并范圍不完整；合并內(nèi)部交易和事項不完整；合并抵銷分錄不準確等。財務(wù)報告對外提供階段的主要風(fēng)險1.財務(wù)報告對外提供前的審核的風(fēng)險在財務(wù)報告對外提供前未按規(guī)定程序進行審核，對內(nèi)容的真實性、完整性以及格式的合規(guī)性等審核不充分等。2.財務(wù)報告對外提供前的審計的風(fēng)險財務(wù)報告對外提供前未經(jīng)審計，審計機構(gòu)不符合相關(guān)法律法規(guī)的規(guī)定，審計機構(gòu)與企業(yè)串通舞弊等。3.財務(wù)報告的對外提供的風(fēng)險對外提供未遵循相關(guān)法律法規(guī)的規(guī)定，導(dǎo)致承擔相應(yīng)的法律責任；對外提供的財務(wù)報告的編制基礎(chǔ)、編制依據(jù)、編制原則和方法不一致，影響各方做出對企業(yè)情況的判斷和經(jīng)濟決策；未能及時對外報送財務(wù)報告，導(dǎo)致財務(wù)報告信息的使用價值降低，同時也違反有關(guān)法律法規(guī)；財務(wù)報告在對外提供前提前泄露或使不應(yīng)知曉的對象獲悉，導(dǎo)致發(fā)生內(nèi)幕交易等，使投資者或企業(yè)本身蒙受損失。財務(wù)報告分析利用階段的主要風(fēng)險1.制定財務(wù)分析制度的風(fēng)險制定的財務(wù)分析制度不符合企業(yè)的實際情況，財務(wù)分析制度未充分利用企業(yè)現(xiàn)有資源，財務(wù)分析的流程和要求不明確，財務(wù)分析制度未經(jīng)審批等。2.編寫財務(wù)分析報告的風(fēng)險財務(wù)分析報告的目的不正確或者不明確，財務(wù)分析方法不正確；財務(wù)分析報告的內(nèi)容不完整，未對本期生產(chǎn)經(jīng)營活動中發(fā)生的重大事項做專門分析；財務(wù)分析局限于財會部門，未充分利用相關(guān)部門的資源，影響質(zhì)量和可用性；財務(wù)分析報告未經(jīng)審核等。3.整改落實的風(fēng)險財務(wù)分析報告的內(nèi)容傳遞不暢，未能及時使有關(guān)各部門獲悉；各部門對財務(wù)分析報告不夠重視，未對其中的意見進行整改落實。財務(wù)報告中內(nèi)部控制的要求與措施1/4（1）財務(wù)報告的編制：（8個）①企業(yè)編制財務(wù)報告，應(yīng)當重點關(guān)注會計政策和會計估計，對財務(wù)報告產(chǎn)生重大影響的交易和事項的處理應(yīng)當按照規(guī)定的權(quán)限和程序進行審批。企業(yè)在編制年度財務(wù)報告前，應(yīng)當進行必要的資產(chǎn)清查、減值測試和債權(quán)債務(wù)核實。②企業(yè)應(yīng)當按照國家統(tǒng)一的會計準則制度規(guī)定，根據(jù)登記完整、核對無誤的會計賬簿記錄和其他有關(guān)資料編制財務(wù)報告，做到內(nèi)容完整、數(shù)字真實、計算準確，不得漏報或者隨意進行取舍。③企業(yè)財務(wù)報告列示的資產(chǎn)、負債、所有者權(quán)益金額應(yīng)當真實可靠。各項資產(chǎn)計價方法不得隨意變更，如有減值，應(yīng)當合理計提減值準備，嚴禁虛增或虛減資產(chǎn)。各項負債應(yīng)當反映企業(yè)的現(xiàn)時義務(wù)，不得提前、推遲或不確認負債，嚴禁虛增或虛減負債。所有者權(quán)益應(yīng)當反映企業(yè)資產(chǎn)扣除負債后由所有者享有的剩余權(quán)益，由實收資本、資本公積、留存收益等構(gòu)成。企業(yè)應(yīng)當做好所有者權(quán)益保值、增值工作，嚴禁虛假出資、抽逃出資、資本不實。財務(wù)報告中內(nèi)部控制的要求與措施2/4④企業(yè)財務(wù)報告應(yīng)當如實列示當期收入、費用和利潤。各項收入的確認應(yīng)當遵循規(guī)定的標準，不得虛列或者隱瞞收入，推遲或提前確認收入。各項費用、成本的確認應(yīng)當符合規(guī)定，不得隨意改變費用、成本的確認標準或計量方法，虛列、多列、不列或者少列費用、成本。利潤由收入減去費用后的凈額、直接計入當期利潤的利得和損失等構(gòu)成。不得隨意調(diào)整利潤的計算、分配方法，編造虛假利潤。⑤企業(yè)財務(wù)報告列示的各種現(xiàn)金流量由經(jīng)營活動、投資活動和籌資活動的現(xiàn)金流量構(gòu)成，應(yīng)當按照規(guī)定劃清各類交易和事項的現(xiàn)金流量的界限。⑥附注是財務(wù)報告的重要組成部分，對反映企業(yè)財務(wù)狀況、經(jīng)營成果、現(xiàn)金流量的報表中需要說明的事項，作出真實、完整、清晰的說明。企業(yè)應(yīng)當按照國家統(tǒng)一的會計制度編制附注。財務(wù)報告中內(nèi)部控制的要求與措施3/4⑦企業(yè)集團應(yīng)當編制合并財務(wù)報表，明確合并財務(wù)報表的合并范圍和合并方法，如實反映企業(yè)集團的財務(wù)狀況、經(jīng)營成果和現(xiàn)金流量。⑧企業(yè)編制財務(wù)報告，應(yīng)當充分利用信息技術(shù)，提高工作效率和工作質(zhì)量，減少或避免編制差錯和人為調(diào)整因素（2）財務(wù)報告的對外提供：（3個）①企業(yè)應(yīng)當依照法律法規(guī)和國家統(tǒng)一的會計準則制度的規(guī)定，及時對外提供財務(wù)報告。②企業(yè)財務(wù)報告編制完成后，應(yīng)當裝訂成冊，加蓋公章，由企業(yè)負責人、總會計師或分管會計工作的負責人、財會部門負責人簽名并蓋章。③財務(wù)報告須經(jīng)注冊會計師審計的，注冊會計師及其所在的事務(wù)所出具的審計報告，應(yīng)當隨同財務(wù)報告一并提供。企業(yè)對外提供的財務(wù)報告應(yīng)當及時整理歸檔，并按有關(guān)規(guī)定妥善保存。財務(wù)報告中內(nèi)部控制的要求與措施4/4（3）財務(wù)報告的分析利用：（5個）①企業(yè)應(yīng)當重視財務(wù)報告分析工作，定期召開財務(wù)分析會議，充分利用財務(wù)報告反映的綜合信息，全面分析企業(yè)的經(jīng)營管理狀況和存在的問題，不斷提高經(jīng)營管理水平。企業(yè)財務(wù)分析會議應(yīng)吸收有關(guān)部門負責人參加?？倳嫀熁蚍止軙嫻ぷ鞯呢撠熑藨?yīng)當在財務(wù)分析和利用工作中發(fā)揮主導(dǎo)作用。②企業(yè)應(yīng)當分析企業(yè)的資產(chǎn)分布、負債水平和所有者權(quán)益結(jié)構(gòu)，通過資產(chǎn)負債率、流動比率、資產(chǎn)周轉(zhuǎn)率等指標分析企業(yè)的償債能力和營運能力；分析企業(yè)凈資產(chǎn)的增減變化，了解和掌握企業(yè)規(guī)模和凈資產(chǎn)的不斷變化過程。③企業(yè)應(yīng)當分析各項收入、費用的構(gòu)成及其增減變動情況，通過凈資產(chǎn)收益率、每股收益等指標，分析企業(yè)的盈利能力和發(fā)展能力，了解和掌握當期利潤增減變化的原因和未來發(fā)展趨勢。④企業(yè)應(yīng)當分析經(jīng)營活動、投資活動、籌資活動現(xiàn)金流量的運轉(zhuǎn)情況，重點關(guān)注現(xiàn)金流量能否保證生產(chǎn)經(jīng)營過程的正常運行，防止現(xiàn)金短缺或閑置。⑤企業(yè)定期的財務(wù)分析應(yīng)當形成分析報告，構(gòu)成內(nèi)部報告的組成部分。財務(wù)分析報告結(jié)果應(yīng)當及時傳遞給企業(yè)內(nèi)部有關(guān)管理層級，充分發(fā)揮財務(wù)報告在企業(yè)生產(chǎn)經(jīng)營管理中的重要作用。練習(xí)【實例6】(多選題）下列關(guān)于財務(wù)報告內(nèi)部控制的說法中，正確的有（）。A.財務(wù)報告內(nèi)部控制包括旨在合理保證財務(wù)報告及相關(guān)信息真實、完整而設(shè)計和運行的內(nèi)部控制B.財務(wù)報告內(nèi)部控制包括用于保護資產(chǎn)安全的內(nèi)部控制中與財務(wù)報告可靠性目標相關(guān)的控制C.財務(wù)報告內(nèi)部控制是公司的董事會、監(jiān)事會、經(jīng)理層實施的控制D.被審計單位所有的內(nèi)部控制都屬于財務(wù)報告內(nèi)部控制【實例7】（單選題）在編制財務(wù)報告前，企業(yè)應(yīng)當確認的是（）A對當期有重大影響的主要事項B對后期有重大影響的主要事項C對前期有重大影響的主要事項D對前后一個時期有重大影響的主要事項案例：*ST圍海財務(wù)報表編制與披露1/4浙江省圍海建設(shè)集團股份有限公司（以下簡稱*ST圍海）是國內(nèi)一家民營水利上市企業(yè)（證券代碼：002586），專注于海洋與水生態(tài)工程建設(shè)，有30余家子公司，2011年6月在深圳證券交易所上市。自2019年起，*ST圍海便亂象迭起，經(jīng)歷了“搶”公章、報警、多名高管集體辭職等慘烈的“內(nèi)斗”，深陷大股東違規(guī)擔保和資金占用泥潭，其內(nèi)部控制問題也不斷暴露，財務(wù)報表披露存在嚴重問題。（一）董事、監(jiān)事對財務(wù)報表不保證2020年4月30公告的2019年年報顯示：由于公司資金違規(guī)占用、內(nèi)控失效等諸多問題，*ST圍海的監(jiān)事王志強和董事張晨旺表示，不能保證2019年年度報告內(nèi)容真實、準確、完整?！岸聫埑客荒鼙ＷC2019年年度報告內(nèi)容真實、準確、完整。理由為：1.對2019年年度報告中提到的對千年商譽計提7億減值本人表示反對；2.公司聘請的立信會計師事務(wù)所出具的無法表示意見不能給本人提供有效依據(jù)?！薄氨O(jiān)事王志強不能保證2019年年度報告內(nèi)容真實、準確、完整。理由為：由于公司2019年度財務(wù)報告被審計單位出具了無法表示意見的審計報告，資金違規(guī)占用公司還在自查，存在不確定性，故本人無法保證2019年年度報告內(nèi)容的真實、準確、完整?！卑咐?ST圍海財務(wù)報表編制與披露2/4（二）審計師解釋發(fā)表無法表示意見的原因2020年4月30日，立信會計師事務(wù)所向深交所出具的專項說明中指出，因為公司在內(nèi)控中的重大缺陷，造成了審計機構(gòu)對部分年報內(nèi)容無法表示意見。這些情況包括：第一、公司2018年、2019年未履行審批決策程序以定期存單質(zhì)押方式為控股股東子公司和關(guān)聯(lián)方融資進行擔保。截至2019年12月31日，已質(zhì)押的定期存單合計6億元，銀行回函顯示已被劃轉(zhuǎn)至銀行保證金專用賬戶。上市公司對此全額計提了減值準備。第二、截至2019年12月31日上市公司為控股股東及其關(guān)聯(lián)方提供的涉訴違規(guī)對外擔保累計金額為7.18億元。除上述所述6億元定期存單質(zhì)押擔保外，公司對其中涉及訴訟或仲裁的擔保事項按照擔保金額的50%計提了預(yù)計擔保損失5911.19萬元。第三、公司因涉嫌信息披露違法違規(guī)，于2019年7月12日收到證監(jiān)會《調(diào)查通知書》（甬證調(diào)查字2019051號），目前該案件尚在調(diào)查之中，未出具最終結(jié)論。第四、公司2019年對其2017年收購上海千年城市規(guī)劃工程設(shè)計股份有限公司89.45975%股權(quán)形成的商譽7.01億元全額計提了減值準備。第五、公司于2020年4月20日收到證監(jiān)會寧波監(jiān)管局《監(jiān)管提示函》（甬證監(jiān)函［2020］27號），上市公司可能涉嫌存在資金通過上市公司項目部員工或勞務(wù)公司等中間方被控股股東及相關(guān)方占用的情況，涉及累計發(fā)生金額初步統(tǒng)計達5.02億元。案例：*ST圍海財務(wù)報表編制與披露3/4（三）寧波證監(jiān)會對*ST圍海發(fā)的監(jiān)管函2020年5月，寧波證監(jiān)會向*ST圍海、公司控股股東及實控人等出具的《行政監(jiān)管措施決定書》（寧波證監(jiān)局[2020]30號、[2020]31號、[2020]32號、[2020]33號、[2020]35號），經(jīng)檢查發(fā)現(xiàn)存在以下違規(guī)行為：1.2019年商譽減值測試的資產(chǎn)組發(fā)生變更，而公司管理層未就該資產(chǎn)組變更提供合理性依據(jù)。2.在預(yù)計商譽相關(guān)資產(chǎn)組未來現(xiàn)金流量時，未以企業(yè)管理層批準的最新財務(wù)預(yù)算或預(yù)測數(shù)據(jù)等為基礎(chǔ)，且預(yù)測的部分指標依據(jù)不充分。3.2019年度商譽減值信息披露不準確、不完整。4.公司披露的商譽減值計提事項未見管理層提請董事會審議的過程。5.2019年業(yè)績預(yù)告修正公告披露不及時。5.公司與控股股東存在共用綜合管理信息系統(tǒng)的情況。6.董事會會議記錄不完整。78.內(nèi)幕信息知情人登記管理不規(guī)范。案例：*ST圍海財務(wù)報表編制與披露4/4（四）公司實際控制人被立案偵查2020年9月11日，*ST圍海公告，公司實際控制人之一馮全宏因涉嫌挪用資金，被寧波市公安局高新技術(shù)開發(fā)區(qū)分局認為符合刑事立案標準，已被立案偵查。主要涉嫌6億元違規(guī)擔保。一是2018年11月至2019年3月，公司實際控制人之一、時任董事長馮全宏曾以*ST圍海名義，為“兄弟公司”圍海貿(mào)易及控股股東圍海控股的關(guān)聯(lián)方朗佐貿(mào)易等主債務(wù)人獲取長安銀行寶雞支行的4.6億元承兌匯票提供擔保。二是

2019年3月，馮全宏又將*ST圍海子公司圍海工程在寶雞支行的1.4億元存單作為對朗佐貿(mào)易開立承兌匯票的擔保。兩者合計金額達6億元，此舉也被認為是違規(guī)擔保行為。根據(jù)銀行回函顯示，這筆錢已被劃轉(zhuǎn)至銀行保證金專用賬戶。圍海股份全額計提了減值準備。資料來源：根據(jù)新浪財經(jīng)、騰訊新聞相關(guān)信息整理要求：1.分析*ST圍海財務(wù)報告編寫存在的問題，并提出應(yīng)對措施2.分析*ST圍海財務(wù)報告對外報出問題存在的問題，并提出應(yīng)對措施30三、管理報告內(nèi)部控制管理報告管理報告是企業(yè)根據(jù)內(nèi)部生產(chǎn)經(jīng)營管理需要而編制的，供內(nèi)部管理者及員工使用的報告。管理報告通常包含財務(wù)信息和非財務(wù)信息，以企業(yè)內(nèi)部傳遞的形式，為企業(yè)治理層、管理層和相關(guān)人員進行經(jīng)營投資決策、維護內(nèi)部控制有效運行和實現(xiàn)企業(yè)戰(zhàn)略目標提供重要的信息?！镀髽I(yè)內(nèi)部控制應(yīng)用指引第17號——內(nèi)部信息傳遞》突出強調(diào)了企業(yè)管理報告的形成、使用和評估，提出了內(nèi)部信息傳遞應(yīng)當關(guān)注的主要風(fēng)險以及相應(yīng)的管控措施。企業(yè)進行管理報告內(nèi)部控制，目的在于促進管理報告的有效利用，充分發(fā)揮管理報告的作用。管理報告與財務(wù)報告不同1.管理報告沒有統(tǒng)一的格式和規(guī)范，根據(jù)企業(yè)（或組織）內(nèi)部的管理需要來提供。相對于報告形式，更注重報告實質(zhì)內(nèi)容；2.管理報告遵循問題導(dǎo)向。根據(jù)企業(yè)（或組織）內(nèi)部需要解決的具體管理問題來組織、編制、審批、報送和使用；3.管理報告提供的信息不僅僅包括財務(wù)信息，也包括非財務(wù)信息；不僅僅包括內(nèi)部信息，也可能包括外部信息；不僅僅包括結(jié)果信息，也可以包括過程信息，更應(yīng)包括剖析原因、提出改進意見和建議的信息；4.管理報告如果涉及會計業(yè)績的報告，比如責任中心報告，其主要的報告格式應(yīng)該是邊際貢獻格式，不是財務(wù)會計準則中規(guī)范的對外財務(wù)報告格式。管理報告信息傳遞流程建立管理報告相關(guān)指標收集整理企業(yè)內(nèi)外部信息形成管理報告審核管理報告未通過管理報告在規(guī)定范圍內(nèi)流轉(zhuǎn)有效使用管理報告定期全面評估通過保存管理報告通過管理報告形成階段管理報告使用階段管理報告內(nèi)部控制的主要風(fēng)險1.建立內(nèi)部報告指標體系風(fēng)險指標體系的設(shè)計未能結(jié)合企業(yè)的發(fā)展戰(zhàn)略，指標體系級次混亂，與全面預(yù)算管理要求相脫節(jié)，且設(shè)定后未能根據(jù)環(huán)境和業(yè)務(wù)變化有所調(diào)整等。2.收集內(nèi)外部信息企業(yè)收集的內(nèi)外部信息過于散亂，不能突出重點；內(nèi)容準確性差，據(jù)此信息進行的決策容易誤導(dǎo)經(jīng)營活動；獲取內(nèi)外部信息的成本過高，違反了成本效益原則等。3.編制及審核內(nèi)部報告風(fēng)險企業(yè)內(nèi)部報告未能根據(jù)各內(nèi)部使用單位的需求進行編制，內(nèi)容不完整，編制不及時，未經(jīng)審核即向有關(guān)部門傳遞等。管理報告內(nèi)部控制的主要措施1/21.建立內(nèi)部報告指標體系企業(yè)應(yīng)認真研究企業(yè)的發(fā)展戰(zhàn)略、風(fēng)險控制要求和業(yè)績考核標準，根據(jù)各管理層級對信息的需求和詳略程度，建立一套級次分明的內(nèi)部報告指標體系；企業(yè)內(nèi)部報告指標確定后，應(yīng)進行細化，層層分解，使企業(yè)中各責任中心及各相關(guān)職能部門都有自己明確的目標，以利于控制風(fēng)險并進行業(yè)績考核；內(nèi)部報告需要依據(jù)全面預(yù)算的標準進行信息反饋，將預(yù)算控制的過程和結(jié)果向企業(yè)管理層報告，以有效控制預(yù)算執(zhí)行情況、明確相關(guān)責任、科學(xué)考核業(yè)績，并根據(jù)新的環(huán)境和業(yè)務(wù)調(diào)整決策部署，更好地規(guī)劃和控制企業(yè)的資產(chǎn)和收益，實現(xiàn)資源的最有效配置和管理的協(xié)同效應(yīng)。管理報告內(nèi)部控制的主要措施2/22.收集內(nèi)外部信息企業(yè)應(yīng)當根據(jù)特定服務(wù)對象的需求，選擇信息收集過程中重點關(guān)注的信息類型和內(nèi)容；對信息進行審核和鑒別，對已經(jīng)篩選的資料作進一步的檢查，確定其真實性和合理性；在收集信息的過程中考慮獲取信息的便利性及獲取成本高低，如果需要較大代價獲取信息，則應(yīng)當權(quán)衡其成本與信息的使用價值，確保所獲取的信息符合成本效益原則。3.編制及審核內(nèi)部報告企業(yè)內(nèi)部報告的編制單位應(yīng)緊緊圍繞內(nèi)部報告使用者的信息需求，以內(nèi)部報告指標體系為基礎(chǔ)，編制內(nèi)容全面、簡潔明了、通俗易懂的內(nèi)部報告，便于企業(yè)各管理層級和全體員工掌握相關(guān)信息，正確履行職責；企業(yè)應(yīng)合理設(shè)計內(nèi)部報告編制程序，提高編制效率，保證內(nèi)部報告能在第一時間提供給相關(guān)管理部門；應(yīng)當建立內(nèi)部報告審核制度，設(shè)定審核權(quán)限，確保內(nèi)部報告信息質(zhì)量。企業(yè)必須對崗位與職責分工進行控制，內(nèi)部報告的起草與審核崗位分離，內(nèi)部報告在傳遞前必須經(jīng)簽發(fā)部門負責人審核。對于重要信息，應(yīng)當委派專門人員對其傳遞過程進行復(fù)核，確保信息正確傳遞給使用者。管理報告信息使用階段的主要風(fēng)險1.構(gòu)建內(nèi)部報告流轉(zhuǎn)體系及渠道風(fēng)險企業(yè)缺乏內(nèi)部報告?zhèn)鬟f流程，內(nèi)部報告未按傳遞流程進行傳遞流轉(zhuǎn)，內(nèi)部報告流轉(zhuǎn)不及時等。2.內(nèi)部報告有效使用及保密要求風(fēng)險企業(yè)管理層在決策時并沒有使用內(nèi)部報告提供的信息，內(nèi)部報告未能用于風(fēng)險識別和控制，商業(yè)秘密通過企業(yè)內(nèi)部報告被泄露等。3.內(nèi)部報告的保管風(fēng)險企業(yè)缺少內(nèi)部報告的保管制度，內(nèi)部報告的保管存放雜亂無序，對重要資料的保管期限過短，保密措施不嚴等。4.內(nèi)部報告評估風(fēng)險企業(yè)缺乏完善的內(nèi)部報告評價體系，對各信息傳遞環(huán)節(jié)和傳遞方式控制不嚴，針對傳遞不及時、信息不準確的內(nèi)部報告缺乏相應(yīng)的懲戒機制等。管理報告信息使用階段的主要措施1/21.構(gòu)建內(nèi)部報告流轉(zhuǎn)體系及渠道企業(yè)應(yīng)當制定內(nèi)部報告?zhèn)鬟f制度。企業(yè)可根據(jù)信息的重要性、內(nèi)容等特征，確定不同的流轉(zhuǎn)環(huán)節(jié)；應(yīng)嚴格按設(shè)定的傳遞流程進行流轉(zhuǎn)，各管理層對內(nèi)部報告的流轉(zhuǎn)應(yīng)做好記錄，對于未按照流轉(zhuǎn)制度進行操作的事件，應(yīng)當調(diào)查原因，并做相應(yīng)處理；企業(yè)應(yīng)及時更新信息系統(tǒng)，確保內(nèi)部報告有效安全地傳遞。企業(yè)應(yīng)在實際工作中嘗試精簡信息系統(tǒng)的處理程序，使信息在企業(yè)內(nèi)部更快地傳遞。對于重要緊急的信息，可以越級向董事會、監(jiān)事會或經(jīng)理層直接報告，便于相關(guān)負責人迅速做出決策。2.內(nèi)部報告有效使用及保密要求企業(yè)在預(yù)算控制、生產(chǎn)經(jīng)營管理決策和業(yè)績考核時應(yīng)充分使用內(nèi)部報告提供的信息；企業(yè)管理層應(yīng)通過內(nèi)部報告提供的信息對企業(yè)生產(chǎn)經(jīng)營管理中存在的風(fēng)險進行評估，準確識別和系統(tǒng)分析企業(yè)生產(chǎn)經(jīng)營活動中的內(nèi)外部風(fēng)險，涉及突出問題和重大風(fēng)險的，應(yīng)當啟動應(yīng)急預(yù)案；企業(yè)應(yīng)從內(nèi)部信息傳遞的時間、空間、節(jié)點、流程等方面建立控制，通過職責分離、授權(quán)接觸、監(jiān)督和檢查等手段防止商業(yè)秘密泄露。管理報告信息使用階段的主要措施2/23.內(nèi)部報告的保管企業(yè)應(yīng)當建立內(nèi)部報告保管制度，各部門應(yīng)當指定專人按類別保管相應(yīng)的內(nèi)部報告；為了便于內(nèi)部報告的查閱、對比分析，改善內(nèi)部報告的格式，提高內(nèi)部報告的有用性，企業(yè)應(yīng)按類別保管內(nèi)部報告，對影響較大、金額較高的一般要嚴格保管，如企業(yè)重大重組方案、債券發(fā)行方案等；企業(yè)對不同類別的報告應(yīng)按影響程度規(guī)定其保管年限，只有超過保管年限的內(nèi)部報告方可銷毀。對影響重大的內(nèi)部報告，應(yīng)當永久保管，如公司章程及相應(yīng)的修改、公司股東登記表等。有條件的企業(yè)應(yīng)當建立電子內(nèi)部報告保管庫，區(qū)分性質(zhì)，按照類別、時間、保管年限、影響程序及保密要求等分門別類地儲存電子內(nèi)部報告；企業(yè)應(yīng)當制定嚴格的內(nèi)部報告保密制度，明確保密內(nèi)容、保密措施、密級程度和傳遞范圍，防止泄露商業(yè)秘密。有關(guān)公司商業(yè)秘密的重要文件要由企業(yè)較高級別的管理人員負責，具體至少由兩人共同管理，放置在專用保險箱內(nèi)。查閱保密文件必須經(jīng)該高層管理人員同意，由兩人分別開啟相應(yīng)的鎖具方可打開。4.內(nèi)部報告評估企業(yè)應(yīng)建立并完善企業(yè)對內(nèi)部報告的評估制度，嚴格按照評估制度對內(nèi)部報告進行合理評估，考核內(nèi)部報告在企業(yè)生產(chǎn)經(jīng)營活動中所起的真實作用；為保證信息傳遞的及時準確，企業(yè)必須執(zhí)行獎懲機制。對經(jīng)常不能及時或準確傳遞信息的相關(guān)人員應(yīng)當進行批評和教育，并與績效考核體系掛鉤。練習(xí)【實例8】(判斷題）企業(yè)內(nèi)部各管理層均應(yīng)當指定專人負責管理報告工作。（）41四、信息系統(tǒng)內(nèi)部控制信息系統(tǒng)內(nèi)部控制及其目標信息系統(tǒng)指企業(yè)利用計算機和通信技術(shù)，對內(nèi)部控制進行集成、轉(zhuǎn)化和提升所形成的信息化管理平臺。信息系統(tǒng)內(nèi)部控制的主要對象是信息系統(tǒng)，由計算機硬件、軟件、人員、信息流和運行規(guī)程等要素組成。信息技術(shù)環(huán)境下，人工控制的基本原理與方式不會發(fā)生實質(zhì)性改變，但對于自動控制，需要從信息技術(shù)一般控制審計、信息技術(shù)應(yīng)用控制審計以及公司層面信息技術(shù)控制審計三方面進行考慮。信息系統(tǒng)內(nèi)部控制的目的是促進企業(yè)有效實施內(nèi)部控制，提高企業(yè)現(xiàn)代化管理水平，減少人為操縱因素，增強信息系統(tǒng)的安全性、可靠性、合理性以及相關(guān)信息的保密性、完整性和可用性，為建立有效的信息與溝通機制提供支持保障。息技術(shù)一般控制、應(yīng)用控制和公司層面控制1/21.信息技術(shù)一般控制信息系統(tǒng)一般控制是指為了保證信息系統(tǒng)的安全，對整個信息系統(tǒng)以及外部各種環(huán)境要素實施的、對所有的應(yīng)用或控制模塊具有普遍影響的控制措施一般控制包括程序開發(fā)、程序變更、程序和數(shù)據(jù)訪問以及計算機運行四個方面。信息技術(shù)一般控制的風(fēng)險與財務(wù)報表層次的重大錯報風(fēng)險相關(guān)。2.信息技術(shù)應(yīng)用控制信息技術(shù)應(yīng)用控制關(guān)注的要素包括：完整性、準確性、存在和發(fā)生等。例如，確保錄入數(shù)據(jù)準確性的檢查、編輯檢查、存在檢查（客戶編碼是否存在于客戶主數(shù)據(jù)文檔之中）、合理性檢查（如最大支付金額）。如果應(yīng)用控制發(fā)現(xiàn)異常，那么系統(tǒng)可能拒絕錄入該數(shù)據(jù)或生成例外報告，留待后續(xù)跟進和處理。息技術(shù)一般控制、應(yīng)用控制和公司層面控制2/23.公司層面信息技術(shù)控制公司層面信息技術(shù)控制包括公司對于信息技術(shù)的重視程度和依賴程度、信息技術(shù)復(fù)雜性、對于外部信息技術(shù)資源的使用和管理情況、信息技術(shù)風(fēng)險偏好等。公司層面信息技術(shù)控制是公司信息技術(shù)整體控制環(huán)境，決定了信息技術(shù)一般控制和信息技術(shù)應(yīng)用控制的風(fēng)險基調(diào)；信息技術(shù)一般控制是基礎(chǔ)，信息技術(shù)一般控制的有效與否會直接關(guān)系到信息技術(shù)應(yīng)用控制的有效性是否能夠信任。信息系統(tǒng)開發(fā)階段的主要風(fēng)險1/31.制定信息系統(tǒng)開發(fā)的戰(zhàn)略規(guī)劃缺乏戰(zhàn)略規(guī)劃或規(guī)劃不合理，可能造成信息孤島或重復(fù)建設(shè)，導(dǎo)致企業(yè)經(jīng)營管理效率低下；未將信息化與企業(yè)業(yè)務(wù)需求結(jié)合，降低了信息系統(tǒng)的應(yīng)用價值等。信息孤島現(xiàn)象是不少企業(yè)在信息系統(tǒng)建設(shè)中存在的普遍問題，根源在于這些企業(yè)往往忽視戰(zhàn)略規(guī)劃的重要性，缺乏整體觀念和整合意識，導(dǎo)致部分企業(yè)的財務(wù)管理信息系統(tǒng)、銷售管理信息系統(tǒng)、生產(chǎn)管理信息系統(tǒng)、人力資源管理系統(tǒng)、辦公自動化系統(tǒng)等孤立存在，削弱了信息系統(tǒng)的協(xié)同效用，甚至引發(fā)了系統(tǒng)沖突等。2.外購調(diào)試方式的主要風(fēng)險包括：對于軟件產(chǎn)品選型和供應(yīng)商選擇環(huán)節(jié)，軟件產(chǎn)品選型不當，產(chǎn)品在功能、性能、易用性等方面無法滿足企業(yè)需求；軟件供應(yīng)商選擇不當，產(chǎn)品的支持服務(wù)能力不足，產(chǎn)品的后續(xù)升級缺乏保障。對于服務(wù)提供商選擇環(huán)節(jié)，服務(wù)提供商選擇不當，削弱了外購軟件產(chǎn)品的功能發(fā)揮，導(dǎo)致無法有效滿足用戶需求等信息系統(tǒng)開發(fā)階段的主要風(fēng)險2/33.自行開發(fā)方式的主要風(fēng)險包括：對于項目計劃環(huán)節(jié)，信息系統(tǒng)建設(shè)缺乏項目計劃或者計劃不當，導(dǎo)致項目進度滯后、費用超支、質(zhì)量低下等。對于需求分析環(huán)節(jié)，需求本身不合理，對信息系統(tǒng)提出的功能、性能、安全性等方面的要求不符合業(yè)務(wù)處理和控制的需要；技術(shù)上不可行，經(jīng)濟上成本效益倒掛，或與國家有關(guān)法規(guī)制度存在沖突；需求文檔表述不準確、不完整，未能真實全面地表達企業(yè)需求，存在表述缺失、表述不一致甚至表述錯誤等問題等。對于系統(tǒng)設(shè)計環(huán)節(jié)，設(shè)計方案不能完全滿足用戶需求，不能實現(xiàn)需求文檔規(guī)定的目標；設(shè)計方案未能有效控制建設(shè)開發(fā)成本，不能保證建設(shè)質(zhì)量和進度；設(shè)計方案不全面，導(dǎo)致后續(xù)變更頻繁；設(shè)計方案沒有考慮信息系統(tǒng)建成后對企業(yè)內(nèi)部控制的影響，導(dǎo)致系統(tǒng)運行后衍生新的風(fēng)險。信息系統(tǒng)開發(fā)階段的主要風(fēng)險3/3對于編程和測試環(huán)節(jié)，編程結(jié)果與設(shè)計不符；各程序員編程風(fēng)格差異大，程序可讀性差，導(dǎo)致后期維護困難，維護成本高；缺乏有效的程序版本控制，導(dǎo)致重復(fù)修改或修改不一致等問題；測試不充分，單個模塊正常運行但多個模塊集成運行時出錯，開發(fā)環(huán)境下測試正常而生產(chǎn)環(huán)境下運行出錯，開發(fā)人員自測正常而業(yè)務(wù)部門用戶使用時出錯，導(dǎo)致系統(tǒng)上線后可能出現(xiàn)嚴重問題等。對于上線環(huán)節(jié)，缺乏完整可行的上線計劃，導(dǎo)致系統(tǒng)上線混亂無序；人員培訓(xùn)不足，不能正確使用系統(tǒng)，導(dǎo)致業(yè)務(wù)處理錯誤，或者未能充分利用系統(tǒng)功能，導(dǎo)致開發(fā)成本浪費；初始數(shù)據(jù)準備設(shè)置不合格，導(dǎo)致新舊系統(tǒng)數(shù)據(jù)不一致、業(yè)務(wù)處理錯誤。信息系統(tǒng)開發(fā)階段的主要控制措施1/71.制定信息系統(tǒng)開發(fā)的戰(zhàn)略規(guī)劃企業(yè)必須制定信息系統(tǒng)開發(fā)的戰(zhàn)略規(guī)劃和中長期發(fā)展計劃，并在每年制定經(jīng)營計劃的同時制定年度信息系統(tǒng)建設(shè)計劃，促進經(jīng)營管理活動與信息系統(tǒng)的協(xié)調(diào)統(tǒng)一；企業(yè)在制定信息化戰(zhàn)略過程中，要充分調(diào)動和發(fā)揮信息系統(tǒng)歸口管理部門與業(yè)務(wù)部門的積極性，促使各部門廣泛參與，充分溝通，提高戰(zhàn)略規(guī)劃的科學(xué)性、前瞻性和適應(yīng)性；信息系統(tǒng)戰(zhàn)略規(guī)劃要與企業(yè)的組織架構(gòu)、業(yè)務(wù)范圍、地域分布、技術(shù)能力等相匹配，避免相互脫節(jié)。信息系統(tǒng)開發(fā)階段的主要控制措施2/72.外購調(diào)試對于軟件產(chǎn)品選型和供應(yīng)商選擇環(huán)節(jié)，企業(yè)應(yīng)明確自身需求，對比分析市場上的成熟軟件產(chǎn)品，合理選擇軟件產(chǎn)品的模塊組合和版本；企業(yè)在軟件產(chǎn)品選型時應(yīng)廣泛聽取行業(yè)專家的意見；企業(yè)在選擇軟件產(chǎn)品和服務(wù)供應(yīng)商時，不僅要評價其現(xiàn)有產(chǎn)品的功能、性能，還要考察其服務(wù)支持能力和后續(xù)產(chǎn)品的升級能力。對于服務(wù)提供商選擇環(huán)節(jié)，企業(yè)在選擇服務(wù)提供商時，不僅要考核其對軟件產(chǎn)品的熟悉、理解程度，也要考核其是否深刻理解企業(yè)所處行業(yè)的特點、是否理解企業(yè)的個性化需求、是否有過相同或相近的成功案例。信息系統(tǒng)開發(fā)階段的主要控制措施3/73.自行開發(fā)對于項目計劃環(huán)節(jié)，企業(yè)應(yīng)當根據(jù)信息系統(tǒng)建設(shè)整體規(guī)劃提出分階段項目的建設(shè)方案，明確建設(shè)目標、人員配備、職責分工、經(jīng)費保障和進度安排等相關(guān)內(nèi)容，按照規(guī)定的權(quán)限和程序?qū)徟髮嵤?；企業(yè)可以采用標準的項目管理軟件制定項目計劃，并加以跟蹤，如OfficeProject等；項目關(guān)鍵環(huán)節(jié)編制的文檔應(yīng)參照《GB/T8567－1988計算機軟件產(chǎn)品開發(fā)文件編制指南》等相關(guān)國家標準和行業(yè)標準進行，以提高項目計劃編制水平。對于需求分析環(huán)節(jié)，信息系統(tǒng)歸口管理部門應(yīng)當組織企業(yè)內(nèi)部各有關(guān)部門提出開發(fā)需求，加強系統(tǒng)分析人員和有關(guān)部門的管理人員、業(yè)務(wù)人員的交流，經(jīng)綜合分析提煉后形成合理的需求；編制表述清晰、表達準確的需求文檔；企業(yè)應(yīng)當建立健全需求評審和需求變更控制流程。信息系統(tǒng)開發(fā)階段的主要控制措4/7對于系統(tǒng)設(shè)計環(huán)節(jié)，系統(tǒng)設(shè)計負責部門應(yīng)當就總體設(shè)計方案與業(yè)務(wù)部門進行溝通和討論，說明方案對用戶需求的覆蓋情況；企業(yè)應(yīng)參照《GB/T8567－1988計算機軟件產(chǎn)品開發(fā)文件編制指南》等相關(guān)國家標準和行業(yè)標準，提高系統(tǒng)設(shè)計說明書的編寫質(zhì)量；應(yīng)建立設(shè)計評審制度和設(shè)計變更控制流程；在系統(tǒng)設(shè)計時應(yīng)當充分考慮信息系統(tǒng)建成后的控制環(huán)境，將生產(chǎn)經(jīng)營管理業(yè)務(wù)流程、關(guān)鍵控制點和處理規(guī)程嵌入系統(tǒng)程序，實現(xiàn)手工環(huán)境下難以實現(xiàn)的控制功能，比如對于某一財務(wù)軟件，當輸入支出憑證時，可以讓系統(tǒng)自動檢查銀行存款余額，以防透支；應(yīng)充分考慮信息系統(tǒng)環(huán)境下新的控制風(fēng)險，比如要通過信息系統(tǒng)中的權(quán)限管理功能控制用戶的操作權(quán)限，避免將不相容職務(wù)的處理權(quán)限授予同一用戶；應(yīng)當針對不同的數(shù)據(jù)輸入方式，強化對進入系統(tǒng)數(shù)據(jù)的檢查和校驗功能；系統(tǒng)設(shè)計時應(yīng)當考慮在信息系統(tǒng)中設(shè)置操作日志功能，確保操作的可審計性；預(yù)留必要的后臺操作通道，對于必需的后臺操作，應(yīng)當加強管理，建立規(guī)范的操作流程，確保足夠的日志記錄，保證后臺操作的可監(jiān)控性。信息系統(tǒng)開發(fā)階段的主要控制措5/7對于編程和測試環(huán)節(jié)，項目組應(yīng)建立并執(zhí)行嚴格的代碼復(fù)查評審制度；項目組應(yīng)建立并執(zhí)行統(tǒng)一的編程規(guī)范，在標識符命名、程序注釋等方面統(tǒng)一風(fēng)格；應(yīng)使用版本控制軟件系統(tǒng)，保證所有開發(fā)人員基于相同的組件環(huán)境開展項目工作，協(xié)調(diào)開發(fā)人員對程序的修改；應(yīng)區(qū)分單元測試、組裝測試、系統(tǒng)測試、驗收測試等不同測試類型，建立嚴格的測試工作流程，提高最終用戶在測試工作中的參與程度，改進測試用例的編寫質(zhì)量，加強測試分析，盡量采用自動測試工具提高測試工作的質(zhì)量和效率。對于上線環(huán)節(jié)，企業(yè)應(yīng)當制定信息系統(tǒng)上線計劃，并經(jīng)歸口管理部門和用戶部門審核批準；系統(tǒng)上線涉及新舊系統(tǒng)切換的，企業(yè)應(yīng)當在上線計劃中明確應(yīng)急預(yù)案，保證新系統(tǒng)失效時能夠順利切換回舊系統(tǒng)；系統(tǒng)上線涉及數(shù)據(jù)遷移的，企業(yè)應(yīng)當制定詳細的數(shù)據(jù)遷移計劃，并對遷移結(jié)果進行測試。用戶部門應(yīng)當參與數(shù)據(jù)遷移過程，對遷移前后的數(shù)據(jù)予以書面確認。信息系統(tǒng)開發(fā)階段的主要控制措6/74.業(yè)務(wù)外包對于選擇外包服務(wù)商環(huán)節(jié)，企業(yè)在選擇外包服務(wù)商時要充分考慮服務(wù)商的市場信譽、資質(zhì)條件、財務(wù)狀況、服務(wù)能力、對本企業(yè)業(yè)務(wù)的熟悉程度、既往承包服務(wù)成功案例等因素，對外包服務(wù)商進行嚴格篩選；企業(yè)可以借助外包業(yè)界基準來判斷外包服務(wù)商的綜合實力；企業(yè)要嚴格外包服務(wù)審批及管控流程，對信息系統(tǒng)外包業(yè)務(wù)，原則上應(yīng)采用公開招標等形式選擇外包服務(wù)商，并實行集體決策審批。信息系統(tǒng)開發(fā)階段的主要控制措7/7對于簽訂外包合同環(huán)節(jié)，企業(yè)在與外包服務(wù)商簽約之前，應(yīng)針對外包可能出現(xiàn)的各種風(fēng)險損失，恰當擬定合同條款，對涉及的工作目標、合作范疇、責任劃分、所有權(quán)歸屬、付款方式、違約賠償及合約期限等問題做出詳細說明，并由法律部門或法律顧問審查把關(guān)；開發(fā)過程中涉及商業(yè)秘密、敏感數(shù)據(jù)的，企業(yè)應(yīng)當與外包服務(wù)商簽訂詳細的“保密協(xié)定”，以保證數(shù)據(jù)安全；在合同中約定付款事宜時，應(yīng)當選擇分期付款方式，尾款應(yīng)當在系統(tǒng)運行一段時間并經(jīng)評估驗收后再支付；應(yīng)在合同條款中明確要求外包服務(wù)商保持專業(yè)技術(shù)服務(wù)團隊的穩(wěn)定性。對于持續(xù)跟蹤評價外包服務(wù)商的服務(wù)過程的環(huán)節(jié)，企業(yè)應(yīng)當規(guī)范外包服務(wù)評價工作流程，明確相關(guān)部門的職責權(quán)限，建立外包服務(wù)質(zhì)量考核評價指標體系，定期對外包服務(wù)商進行考評，并公布服務(wù)周期的評估結(jié)果，實現(xiàn)外包服務(wù)水平的跟蹤評價；必要時，可以引入監(jiān)理機制，降低外包服務(wù)風(fēng)險。信息系統(tǒng)的運行與維護階段的主要風(fēng)險1/21.日常運行維護主要風(fēng)險包括：沒有建立規(guī)范的信息系統(tǒng)日常運行管理規(guī)范，計算機軟硬件的內(nèi)在隱患易于爆發(fā)，可能導(dǎo)致企業(yè)信息系統(tǒng)出錯；沒有執(zhí)行例行檢查，導(dǎo)致一些惡意攻擊長期隱藏在系統(tǒng)中，可能造成嚴重損失；企業(yè)信息系統(tǒng)數(shù)據(jù)未能定期備份，可能導(dǎo)致?lián)p壞后無法恢復(fù)，從而造成重大損失等。2.系統(tǒng)變更主要風(fēng)險包括：企業(yè)沒有建立嚴格的變更申請、審批、執(zhí)行、測試流程，導(dǎo)致系統(tǒng)隨意變更；系統(tǒng)變更后的效果達不到預(yù)期目標等。信息系統(tǒng)的