内控管理信息系统

内控管理信息系统（共6篇）

篇1：内控管理信息系统

第 1 页

征信机构信息系统安全及内控机制

—、征信机构信息系统安全等级(一）征信系统的数据安全管理

电子数据安全是征信系统安全管理的重要组成部分需要构建全方位、立体化的征信系统信息安全管理机制。

1.网络访问控制

目前，个人信用信息基础数据库和企业信用信息基础数据库等业务客户端系统同其他大部分业务系统一样，都支持Telnet协议的远程登录方式。网络中任意终端设备在安装相对应的客户端后，理论上即具有远程登录主机的条件。征信机构实行互联网、办公网和业务网物理隔离的三网分离管理模式，网络访问控制清晰且严格，但同一网络间存在计算机互访的条件，如控制不当将为远程入侵留下隐患，直接威胁到数据通信和数据存储机密性的安全。加强网络访问控制，关键是阻止未授权终端接入。在各个使用征信系统业务终端的金融机构的交换机和路由设备中设定多层访问控制列表及划定虚拟局域网，通过授权将指定的业务终端绑定。

2.加强身份认证

身份认证是登录征信系统的必要程序，此要素出现缺陷，将直接影响到数据使用的 可控性。而强身份认证则是在其基础上贯彻强化原则，明确各项规章制度在安全管理方面的要求。首先，要强化用户的资格管理。这是经身份认证并登录系统进行操作的基础。用户的建立须经过岗前培训，具备相关从业资格，签订岗位安全责任状、保密责任书及 协议等一系列制度要求的程序。其次，要强化用户的口令管理。用户代码及口令是身份 认证的体现方式，一个用户代码只限一个用户使用，用户在接到分配的用户代码后，应 立即登录系统并修改口令，勤更换，并仅限持有该用户代码的本人掌握。最后，要强化 用户的制约管理。合理设定兼岗用户，及时撤销停止使用的用户权限，负责保管密封口 令的管理人员不得拥有各级身份认证权限。强身份认证亦可通过安全证书、USB Key(硬 件数字证书载体）、智能卡芯片等方式实现，其作用不仅体现在有效防止用户名及密码被 盗用方面，更体现在对发生安全风险的责任认定方面。第 2 页

3.数据通信机密性

征信系统采集的各类征信数据信息因与各个机构分别进行沟通协调，导致征信数据 信息在通信过程中的加密方式采取不同标准。采用密押设备来统一保证征信数据信息的 通信机密性。密押设备应统一定制配发，拥有防撬检测电路，确保密钥及密码算法不会 暴露于物理安全的环境之外。密押设备由各征信系统运行部门指定专人配置、维护和保 管。可以说，密押设备的应用能有效地保护征信数据信息的通信安全，并与网络访问控 制的安全要素息息相关。

4.数据存储机密性

数据存储是数据以某种格式记录在计算机内部或外部存储介质上。与其他安全管理 要素相比，强身认证对其保护作用更加明显。对存储在计算机内部的数据，主要是服 务器中的数据，要按规定将系统服务器主备机在中心机房安全摆放，设置双M以上门禁； 未经主管部门领导批准，非机房工作人员不得进人机房。系统管理员进行系统维护时，应有业务主管或操作员在场，严格控制对数据库的直接操作，并对维护内容作详细记录。

对于存储在计算机外部介质中的数据，如磁盘、U盘、光盘、本地设备等，要严格 管理、妥善保存，并实行数据加密制度。征信系统及其导出数据使用的存储介质，应进 行严格的病毒检査，防止计算机病毒侵入，禁止在征信系统终端设备上使用非征信系统 专用的存储介质，禁止在征信系统及其相关的设备上安装与系统运行无关的软件，最大 限度地保证数据存储机密性不受影响。

(二）我国《征信机构管理办法》对征信系统安全等级的规定根据《中华人民共和国中国人民银行法》《征信业管理条例》等法律法规，中国人民 银行制定了《征信机构管理办法》，自2013年12月20日起施行。《征信机构管理办法》 明确要求设立个人征信机构，应当经中国人民银行批准，且信用信息系统应当符合国家 信息安全保护等级二级或二级以上标准。

根据我国《信息安全等级保护管理办法》第二章，等级划分与保护规定：第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社□第六章信息主体权益保护 第 3 页

会秩序和公共利益造成损害，但不损害国家安全。对于第二级国家的监督管理要求为，第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家 信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。

知识链接：中国金融新闻网—11315全国企业征信系统—我国社会征信新模式。我国信息安全等级保护等级划分和监管方式

1.信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中 的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和 其他组织的合法权益的危害程度等因素确定。信息系统的安全保护等级分为以下五级：

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损 害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国 家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者 对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

2.信息系统运营、使用单位依据《征信机构管理办法》和相关技术标准对信息系统 进行保护，国家有关信息安全监管部门对其信息安全等级保护工作进行监督管理。

第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。

第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。第 4 页

第三級信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。

第四级信息系铳运营、使用单位应当依据国家有关管理规范、技术标准和业务专门 需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制 监督、检查。

需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。

二、征信机构内控机制

内控机制建设就是一个组织为了实现既定目标，防范和减少风险的发生，由全体成 员共同参与，对内部业务流程进行全过程的介入和监控，采取权力分解、相互制衡手段，制定出完备的制度保证的过程。征信机构是征信体系建设的核心机构，在信用体系的建 设中承担重要的职责，其客观公正的评估有赖于内部有效的管理机制。

(一）我国征信机构内控机的相关规定 1.《征信业管理条例》相关规定

2013年3月15日开始实施的《征信业管理条例》第6条规定，设立经营个人征信业 务的征信机构，应当符合《中华人民共和国公司法》规定的公司设立条件和下列条件，并经国务院征信业监督管理部门批准：（1)主要股东信誉良好，最近3年无重大违法违 规记录；（2)注册资本不少于人民币5 000万元；（3)有符合国务院征信业监督管理部 门规定的保障信息安全的设施、设备和制度、措施；（4)拟任董事、监事和高级管理人 员符合该条例第8条规定的任职条件；（5)国务院征信业监督管理部门规定的其他审慎 性条件。第8条规定，经营个人征信业务的征信机构的董事、监事和高级管理人员，应当 熟悉与征信业务相关的法律法规，具有履行职责所需的征信业从业经验和管理能力，最近3年无重大违法违规记录，并取得国务院征信业监督管理部门核准的任职资格。

2.《征信机构管理办法》 第 5 页

2013年I2月20日起实施的《征信机构管理办法》第6条规定，设立个人征信机构，除应当符合《征信业管理条例》第6条规定外，还应当具备以下条件：（1)有健全的组 织机构；（2)有完善的业务操作、信息安全管理、合规性管理等内控制度；（3)个人信 用信息系统符合国家信息安全保护等级二级或二级以上标准。

对于征信机构的业务开拓以及跨域经营等内容，则充分尊重了企业的自主经营权，促使征信机构发挥经营的积极性和主动性。

(二）西方国际征信机构内控机制

征信机构运营模式可以大致划分为两种类型：以美、英为代表的市场主导型和欧洲 大陆大多数国家所采纳的政府主导型，其内控机制和管理模式则呈现不同的特点。

1.美国征信机构的市场化的内控模式

美国征信机构组织模式，是蝕立于政府之外的第三方私营机构，将个人信息进行收集、加工后，有偿提供给信息需求者，并且依据市场的需求来完善自己的经营与管理模 式，提升运营效率。具有以下几个特点：首先，征信机构私有化。个人征信机构都是由 私营的工商企业、征信专业公司、授信机构共同发挥作用的征信主体。其次，独立性强。征信机构既与政府隔离，同时又与其拖市场主体相分离，作为真正意义上的第三方存在。最后，按市场化原则运作。征信机构伴随着信用交易的市场需求产生而产生，随着市场 信用交易规模的发展而发展。其公司机制为公司制形式，以营利为目的，以股东利益最 大化为前提，股东出资比例决定公司投票权比例，一切决策按照商业化目的进行，服务 的范围不受限制。

美国《公平信用报告法》规定，作为个人征信机构，必须同时具备下列5项基本特 征：A.消费者信用调查和生产调查报告时期日常业务；B.专门从事收集消费者信用调查 或评价消费者信用价值；C.从事有偿服务、以营利为目的；D.服务的目的是向第三方提 供消费者信用调查报告；E.向全国市场提供公开的服务，不仅仅向关系企业提供报告 服务。第 6 页

在全球征信机构中，像益百利、环联、邓百氏等大型的征信机构全部采用公司制的 治理架构，并且，有些征信公司已经是上市公司。美国征信机构市场化的运作机制，政 府并没有对其具体的内控机制进行明确的法律规定。

2.以德国为代表的征信机构组织模式

以德国为代表的公共征信模式又称为政府主导的征信模式，即主要是依靠政府的力 量建立征信机构，政府通过行政手段强制要求个人或企业向征信机构提供其信用信息或 数据，从而建立个人信用信息数据库，并通过法律形式保障信息或数据的真实性。其特 点如下：A.具有一定的强制性。通过法律与决议的形式保证个人信用信息的可得性与真 实性。B.公私征信机构并存。公共与私营征信机构并立，且互为补充。C.垄断与竞争并 存。既有公共征信机构对个人基本信用信息的垄断，又有私营机构间的竞争。

政府主导的征信机构征信模式，虽然体现政府对于征信机构数据的来源和分享有一 定的强制性，但是对征信机构的日常运行管理，则干预较少。

篇2：内控管理信息系统

摘要：随着电算化会计信息系统的进一步推广普及，如何完善电算化环境下单位内部控制系统，充分发挥A1s在现代企业治理和资本市场监管中的积极作用，特别是《企业内部控制基本规范》出台后，单位内控系统怎样紧跟基本规范的步伐，是当前会计电算化工作中的一个重要课题。本文通过对电算化环境下内控系统的特点分析，结合基本规范中关于单位内控系统的设计原则，提出若干基本规范实施后电算化环境下单位内部控制系统的建议。

关键词：新规范;电算化会计;内部控制

内部控制缺失对资本市场造成的影响有目共睹，如何规范企业的内部控制，使其真正起到应有的作用，一直是外界所期待的。6月28日，财政部、证监会、审计署、银监会、保监会等五部分联合发布了《企业内部控制基本规范》。《基本规范》自7月1日起首先在上市公司范围内施行。该规范被称为中国的“萨班斯法案”，其颁布标志着我国对企业内部控制的重视已上升到一个新的高度，实在施将对我国企业的内部控制将产生重要影响。

鉴于我国目前信息技术的逐步普及，新规范也对电算化会计中的内部控制的实施提出更高的要求。新内部控制规范方法中第七条中规定，新内部控制规范中的信息系统控制要求企业结合实际情况和计算机信息技术应用程度，建立与本企业经营治理业务相适应的信息化控制流程，进步业务处理效率，减少和消除人为操纵因素，同时加强对计算机信息系统开发与维护、访问与变更、数据输进与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全、有效运用。电算化会计信息系统的内部控制则是内部会计控制的特殊形式，也是内部会计控制深层次的发展。如何使电算化会计中的内控适应新规范的要求?

一、电算化会计内部控制特点及轻易产生的题目

1、会计业务处理主体发生变化

手工环境下，凭证的审核、记账、过账、对账、结账和报表编制等都是由会计和出纳职员亲身完成，在这个过程中，会计职员和其他相关职员存在大量信息交流与人工的相互校对、审验;在电算化环境下，会计职员之间的联系则转变为人与计算机的交互，操纵员的身份识别及授权控制等都有别于手工会计信息系统，除了原始单据的取得或填制主要是外部天生，制单、审核、记账、过账、对账、结账和报表编制等核算环节几乎全部在计算机系统内部完成，核算的自动化程度大大进步。

2、口令密码是实现会计操纵的唯一密码

手工环境下，任何操纵都会有签字，也就是都有责任人。电算化环境下，操纵员都有各自的授权范围和口令，假如只要有正确的密码口令，就能进行操纵，而不会留下操纵人的手迹。这就意味着，密码口令被泄露，其他知道的人都可以进行数据的操纵，就可能影响数据的真实性。

3、数据输进是电算化会计控制的重点

在电算化系统中，所有数据都源于凭证库，当凭证输进后，系统将自动进行多项业务处理。一旦输进操纵不当，将会引发日记账、明细账、总账、乃至会计报表等一系列的错误。因而，数据输进操纵不当的题目控制将是整个会计电算化业务处理程序中最关键的控制环节。

4、电算化系统的“单点录进”与“数据共享”产生的数据风险

实行计算机记账后，AIS数据几乎全部由系统各站点分散录进，且系统各站点可以实现共享，这无疑对于进步信息的利用率大有好处，但这也带来一个新的课题，那就是系统存在的可能由于局部站点数据输进或操纵错误带来的系统整体错误的发生。

二、结合新规范，企业应采取的措施

1、企业的内部会计控制须遵循新规范所要求的基本原则

新规范中规定了企业内部控制的基本原则，即正当性原则、全面性原则、重要性原则、有效性原则、制衡性原则、适应性原则、本钱效益原则。这些基本原则是企业制定会计内部控制的指南针，企业要结合自己的实际情况，特别是信息化环境下，根据企业计算机技术的应用程度制定适合企业情况的会计内部控制制度，在制度完善的条件下，更要做到有法可依，有法必依。

2、健全完善电算化环境下数据级权限与金额级权限的授权分配方案

传统的.核算型软件由于仅局限于财务职员操纵软件，从而使得软件权限分配方案非常简单，但随着ERP时代的到来，企业内部几乎所有部分和职员都有可能参与到软件实施中，面对多部分的授权局面，治理型和决策支持型软件均提供了强大的授权方案，按照权限级次不同，我们主要把电算化环境下的软件操纵权分为三个级别，即功能级权限、数据级权限和金额级权限。功能级权限主要用于对操纵员进行功能级权限的分配，比如授权某人具有总账模块“制单”权限，数据级权限用于对操纵员进行字段级和记录级权限的分配，比如授权某人在总账模块仅能编制收款和付款凭证的权限，金额级权限是在数据级权限的基础上，对权限的金额级控制，比如限制某人仅编制单笔金额不超过1万元的凭证。数据级和金额级权限都是对功能级权限的细化，主要目的是为了更好的落实内控，然而笔者通过调查发现，很多单位固然实施了治理型或者决策型软件，但却因没有充分利用好系统提供的强大的权限设置功能而使得系统应有的内控措施没有很好的发挥，大量投资购置的治理系统并没有真正发挥在现代治理中应有的作用，终极导致单位内控的风险增高。所以，本人以为全面把握现代治理软件的操纵，充分利用好系统提供的强大的权限设置方案，构建电算化环境下缜密的内控系统也是目前内控工作改进的重要内容。

3、完善数据操纵治理制度，加强信息安全

操纵治理制度是针对每一个上机操纵会计软件的职员而制订的，主要用来规范每一个操纵职员的行为以及各自之间的权限限制。除了软件对操纵方面作了一定的内部控制设计以外，制订并严格操纵治理制度，将会有效地保证会计软件的安全运行;同时，也有利于内部控制制度的执行。操纵治理制度从内容上来看，一般包括以下几项：

(1)操纵职员的工作职责和工作权限。尽管软件一般都已有用户治理功能，但其用户治理的设置是由人工进行的，这就需要从制度上对操纵职员的工作职责和工作权限加以规定，用来在用户治理的设置和具体的操纵中执行。

(2)预防原始凭证和记账凭证等会计数据未经审核而输进计算机的措施。如规定原始凭证必须经有关审核职员审核并签章后才能输进计算等。

(3)预防已输进计算机的原始凭证和记账凭证等未经核对而登记机内账簿的措施。如规定已输进计算机的凭证需由审核职员核对并签章后方可登记机内账簿等。

(4)建立必要的上机操纵记录制度。使用日志的形式记录下每个会计操纵职员的机号、登录日期及时间、所做的操纵等情况，并经常性查看日志，检查有无异常情况，监视系统操纵。

(5)根据会计电算化系统的业务要求和不相容职务相分离的原则，设立各个电脑操纵岗位，如系统维护员、系统治理员、数据审核、数据复核、会计档案治理员等，明确岗位职责和操纵权限，使每个操纵职员只能在自己的操纵权限范围内进行工作，保证会计电算化系统能够正常顺利的工作，确保会计数据的安全、正确、可靠。

三、结束语

篇3：内控管理信息系统

由于它是对企业业务信息化系统进行监控的系统, 为了保证功能的有效性, 它应该建立在一个独立于业务信息化系统物理环境的另一环境中, 避免受到业务信息化系统的影响。如建立在不同的服务器中, 操作系统等物理环境也尽量避免相同。但另一方面, 它要实现对业务信息化系统的有效监控, 须从业务信息化系统中获得业务数据。因此, 它又是与业务信息化系统底层数据相通的系统。

二、内控管理信息化系统应满足日常较常规的内控制度、流程风险控制矩阵、风险事件、内控缺陷等方面的管理, 实现内控管理的系统化和自动化

为实现这些功能, 系统应具备以下功能。

1. 具备内控组织架构体系建立和维护功能。

该系统应能够根据企业实际建立包括风险管理委员会、内控管理部门、内控执行人等内控管理机构及人员的组织体系, 并能按企业需要进行调整和维护。

2. 具备将内控管理相关的制度、流程、风险清单、风险控制矩阵、内控手册等文档有效归集和分类, 并分别管理的系统功能。

操作人员可以将制度、流程、风险清单、风险控制矩阵等文档, 上传至系统中, 以便于各业务人员查询并参照执行。这些管理应体现以下两种关联功能。 (1) 文档之间的关联性。即在制度、流程、风险等文档间建立相互关联性, 以方便实现智能查询。如当使用人员查询流程时, 系统应自动列出与该流程有关的制度、风险等, 反之亦然。 (2) 文档与岗位的关联性。即应能将文档与业务岗位建立关联, 以便于各岗位方便、快捷地查询到与本岗位有关的文档。

3. 具备对日常风险事件的记录、统计、分析等动态管理功能。

对于日常发生的风险事件, 系统应提供对事件登记、处理、应对措施、造成损失等记录功能, 并能根据记录的情况进行动态统计和分析, 以利于企业进一步优化内控管理手段, 提高内控管理效果。

4. 具备对内控缺陷的管理功能。

包括内控缺陷登记、处理、整改情况记录、整改方案及报告的归集等, 以便于企业进行日常的内控缺陷管理。

三、内控管理信息化系统应具备内控目标和指标管理功能, 有助于企业实现内控管理目标

以下为可参考的相关功能设计。

1. 企业根据风险承受程度在系统中建立内控管理目标, 如某公司某某年度经营目标。

2. 围绕内控管理目标建立各项管理指标, 如常用的资产负债率、存货周转率等财务指标。

3. 将管理指标进行量化, 并设立指标承受度, 如资产负债表最大值不能超过75%。

4. 系统从企业业务系统中采集业务和财务数据, 并根据采集来的数据进行指标计算, 若指标超过承受度时, 应及时提醒相关岗位进行分析和处理, 起到实时预警的效果。

四、内控管理信息化系统应具备IT监控的功能, 实现对业务系统的实时监控、预警等控制效果

这部分IT监控功能如下。

1. 不相容岗位的监控功能。

在内控管理信息化系统中设立不相容权限规则, 将业务信息化系统的各项权限分为相容和不相容两类, 如果在业务信息化系统中将不相容权限分配给同一岗位, 即触发了预警功能, 系统将采取相应的限制措施。例如, 系统管理员在ERP系统中将财务凭证录入权限与审核权限授于同一会计岗位时, ERP系统将不能有效保存, 并提醒操作员触发了不相容岗位规则。

2. 业务控制的监控和预警功能。

监控和预警的范围应能够覆盖ERP系统的绝大部分系统功能, 如到期债务的监控与提醒、低于安全库存的监控与预警、应收款超过指标值的监控和预警及未按内控流程执行的监控与预警等等。这些监控与预警功能均可在内控管理信息化系统中设计和实现, 具体的实现方式如下。

(1) 按管理需求在内控管理信息化系统中设计监控点和触发条件。如, 针对企业银行贷款记录设计监控点, 触发条件为银行贷款到期日前五天, 提醒的岗位为融资岗。

(2) 系统定期从ERP业务系统中获得业务数据, 并按照设置的监控点和触发条件去验证是否符合条件。如果条件触发, 则将提醒信息发给融资岗。

(3) 融资岗收到提醒信息后, 及时履行还款业务。系统在产生还款记录后, 会自动消除该笔贷款的预警功能。

为了便于不同企业实现不同要求的监控目的, 系统应能提供功能强大的监控设计功能。例如, 设计触发条件即可以通过绝对值又可以通过相对值来设计, 还可以指定业务信息化系统的数据库字段来设计;设计时可以指定需要提醒的业务岗位, 而不是群发信息。

3. 按指定的内控流程穿行测试功能。

穿行测试是查找内控缺陷, 检验内控措施是否有效的重要手段。因此, 系统是否能按指定的内控流程去测试相关的业务数据, 并列出不符合测试条件的数据样本就显得尤其重要。这种自动化技术手段是企业进行内控自我评价的重要而有效的技术手段。

当然, 优秀的内控管理信息化系统应包括更多强大而实用的功能, 以帮助内控管理人员进行更有效、快捷的内控管理操作, 从而实现提升企业管理水平, 加强企业竞争力的最终目的。

摘要：文章所说的内控管理信息化系统是企业为实现内控管理系统化、自动化而借助IT手段的一种信息化系统工具。它的主要作用是帮助企业进行内控日常事务管理, 并对业务信息化系统 (如ERP系统) 进行监控, 实现事前、事中控制效果。文章结合其使用和实践情况, 浅谈该类系统应具备的功能和作用。

篇4：内控管理信息系统

摘 要：良好的内控体系是企业顺利实现经营目标的保证。业务流程管理是企业信息化的主要组成部分。文章通过分析和比较，指出了内控业务流程管理信息系统对现代企业高效内控体系建立的必要性，并详细给出了基于Aris相关产品平台的内控业务流程管理信息系统的设计与构建过程。

关键词：内控；业务流程管理；内控业务流程管理系统；ARIS

中图分类号：TP319 文献标识码：A 文章编号：1006-8937（2016）08-0003-02

1 概 述

随着ISO9000等认证系统的颁布和安然等公司财务虚假报告的曝光，现代企业对内控的要求逐渐提高。出于保障业务活动有效， 保护资产安全和保证会计资料真实合法的考虑，国内外大型企业开始越来越重视内控体系建设[1]。

根据我国2008年发布的《企业内部控制基本规范》，“信息与沟通”作为内控框架的五要素之一，对内部控制的效果起到重要作用。而衡量内控体系先进与否的标准中，也包括，是否建立起相应的内控信息系统，实现对业务流程的自动控制[2]。

业务流程重组（Business Process Re-engineering， BPR）的概念由迈克尔·哈默于1990年提出[3]。BPR的目标在于流程的重新设计和再造，但由于业务流程重组项目的成功率不高，所以建立在BPR基础上，强调循环的、可持续思想的业务流程管理（Business Process Management，BPM），能够更好地适应企业业务流程不断调整变更的需求，并提高企业的应变能力。

先进的企业业务流程管理系统不仅是企业内控制度的组成和支撑，也是衡量内控体系先进性的重要标准。通过对内控相关系统的整合和在统一的信息系统上进行流程规划与管理，实现了内控信息系统对业务流程的统一管理，又提升了信息系统对内控管理工作的支持力度。因此，内控业务流程管理信息系统对现代企业高效内控体系的建立十分必要。

2 业务流程管理建模方法和平台选择

企业信息流程建模是指对企业现有业务流程的分析，提出改造方案，并用计算机软件实现。常用的业务流程建模方法有：流程图建模法（Process Map Modeling）， IDEF方法（Integrated Definition Function Modeling）， Petri网，以及ARIS集成信息系统体系结构（Architecture of Integrated Information System）。其中ARIS方法和工具由德国萨尔大学的A.W.Scheer教授提出，其设计理念是提出一个整合框架及尽量用模型来描述企业流程。AIRS系统不仅有完善的理论体系，还有强大的工具作为支持，为企业信息流程建模起到了一定的促进作用。[4]

在以上提到的业务流程建模方法中，ARIS平台具有全球销量第一的流程建模工具和流程管理工具，出色的流程分析能力，以及开放式接口[5]，已被众多大型企业采用。本文以基于Aris平台的内控业务流程管理信息系统为例，介绍了企业内控业务流程管理系统的设计和实现过程。

3 系统设计构建

3.1 企业业务架构总体设计

业务架构总体设计是以业务建模模块的流程设计功能为起点，将满足财务报告风险的内控手册通过流程建模的方式保存在系统中。在此基础上，利用业务发布模块实现基于公司内网的手册发布。最后，通过业务建模模块与内控审计测试模块的手册数据同步，完成内控审计测试模块的数据初始化，支持审计测试人员在该系统上进行审计测试的过程管理与报告。如图1所示。

3.2 主要业务模块及其功能

企业内控业务流程管理系统的主要组成模块有以下几个部分。

3.2.1 业务建模模块

主要负责对业务流程进行可视化建模。并通过中央服务器提供集中服务的模式，为业务建模提供集中建模的应用平台。

3.2.2 业务发布模块

主要负责对已完成建模的业务流程进行网上发布，并提供一个集成的浏览门户入口，供一般用户进行业务流程浏览与查询。

3.3.3 内控审计测试模块

主要负责对在业务流程建模模块中所设计与识别的风险控制点、相关测试人员，提供基于工作流的审计测试管理服务

基本功能，见表1。

3.3 数据架构

内控业务流程管理系统各个模块之间的数据通过同步机制保证共享数据的一致性与完整性。各模块之间数据关系，如图2所示。

在业务建模模块完成建模之后，业务发布模块通过发布功能从建模数据库中同步出需要发布的数据信息，并创建相应的数据实例供门户用户调用与浏览查询。当内控控制测试项目组确定内控测试范围后，内控审计测试模块通过xml数据交换方式将需要审计测试的数据信息同步到内控审计测试模块并生成数据实例，供审计测试用户记录测试结果与统计查询。

3.4 系统基础设施构成

本文设计的内控业务流程管理系统的建设基于标准三层结构设计的系统架构，如图3所示。

3.4.1 客户操作端

既有基于建模终端的客户端访问软件，也有基于WEB方式的IE客户端访问机制。

3.4.2 应用服务端

基于应用服务器集群的服务管理软件，包括建模服务器管理软件、发布服务器管理软件、内控测试服务器管理软件。

3.4.3 数据库服务端

基于集中数据库管理的服务器管理软件以及中央存储设备。

4 结 语

本文通过分析和比较，指出了基于Aris平台业务流程管理系统对构建企业内部控制体系的重要作用，以及该使用系统进行设计和实现的过程。希望本文的研究能对进行内控业务流程管理系统建设的相关单位有借鉴意义。

参考文献：

[1] 胡兴华.试析国际先进水平内控体系的构建[J].中国总会计师，2009，

（74）.

[2] 于增彪.现代企业内控制度：概念界定与设计思路[J].会计研究，2001，

（11）.

[3] Ryan KL Ko.A computer scientist's introductory guide to business，

process management（BPM） [M].New York NY， USA：ACM，2009.

[4] 陆颖，许晓兵，崔荣波.业务流程管理中建模方法比较研究[J].科技与管 理，2010，（6）.

篇5：内控信息披露的影响因素

研究发现，我国上市公司内部控制信息披露受到财务报告质量以及财务状况是否异常的显著影响。

关键词：萨班斯法案;内部控制;信息披露;多元回归

一、导论

从上市公司内部控制信息披露的实际情况看，绝大多数上市公司在披露内控信息时都是笼统带过、只说好话， 信息含量较低，总体披露质量不尽如人意;董事会(审计委员会)编制的内部控制自我评估报告和会计师事务所的核实评价意见更是没有，我国上市公司对内部控制披露重视程度比较低。

究竟是什么原因导致了我国上市公司内控信息的披露状况如此不尽如人意?带着这个疑问作者研究了深圳上市的563家公司年报中内控信息披露情况。

二、研究设计

(一)样本选取与数据说明

本文以X年563家深圳证券交易所上市公司的截面数据为研究对象，实证检验强制性披露要求下我国上市公司的执行和内控披露质量情况。

本研究将企业内部控制信息披露完整性分为8个指标值进行分析，分别为企业内部控制机构设置、企业内部控制的完善和建立、企业内部控制有效性承诺、企业内部控制环境、企业内部控制风险评估、企业内部控制措施、企业内部控制信息沟通、企业内部控制监督检查。

内控信息披露指标包含4个以上的作者认为披露质量较高。

采用深市X年上市公司所有披露内部控制信息的563家信息资料，按公司性质将它们分为22个行业，包括：电力、煤气及水的生产和供应业20家;建筑业10家;电子业24家;批发和零售贸易业29家;信息技术业和计算机应用服务业32家;医药产业36家;食品饮料业22家;综合行业29家;机械设备业93家;文化传播业3家;农林牧业11家;印刷造纸业12家;社会服务业22家;家具制造业2家;交通运输、仓储业17家;房地产行业24家;纺织业27家;采掘业7家;金融、保险业6家;金属非金属业55家;石化塑胶业73家;其他制造业9家。

本文中所用的财务数据均来自深圳证券交易所提供的上市公司年报，相关数据的处理和检验都是通过SPSS13.0统计软件进行的。

(二)研究假设

在非完全有效的资本市场上根据信息经济学的信号传递理论，高质量或者有好消息的公司通过传递信号(披露信息)可将其与其他公司区别开来;市场也会对此作出积极反映，通常这些公司的股票价格会上升，而那些不披露信息的公司则被认为是低质量的或不好的消息，其股价预期会下降。

此作者选用ROE(权益报酬率)作为衡量公司的盈利能力。

因此，提出假设1：ROE越高的上市公司，其对外披露内部控制信息的越完善，披露的动机越强。

根据我国相关证券法规的规定，上市公司如果财务状况出现异常，其股票交易将被特别处理(即ST)，以提醒投资者注意。

为了证实上市公司的年度财务报告是否可靠、公允，以向外界提供真实的财务信息，上市公司的年度财务报告须经注册会计师审计并出具审计报告。

如果一家上市公司的年度财务报告被出具了非标准无保留审计意见，可能间接地反映出该公司内部控制存有某种不足。

因此，年度财务报告被注册会计师出具了非标准审计意见的上市公司，其对外披露内部控制信息的可能性会显著降低。

提出假设2：财务状况异常致使其股票交易被证监会特别处理的、以及被注册会计师出具了非标准无保留意见的上市公司其披露内部控制信息的自觉性较差。

本人对X年深市563家公司年报中内控信息披露的整理，内控披露标准采用各个公司上述八项披露指标值个数的平均数整理，总资产自然对数按照公司总资产自然对数的平均值整理。

基于统计分析可以得出：内控信息披露与公司规模之间的关系相关性较小。

这也与方红星()对上市公司的实证研究的结论相同。

所以提出假设3：公司规模对上市公司内部控制信息披露决策没有显著影响。

(三)研究方法

根据蔡吉甫(2005)建立的回归方程，因为我国有试点地进行了股权分置改革，X年好多公司已经或者正在进行着此项改革，所以对于非流通股和国有股对内控的`影响予以剔除。

将蔡吉甫建立的回归方程中的因变量ROA用ROE替换来反应公司的盈利能力。

作者依据上述的研究假设，建立下列回归方程进行实证检验。

NKPL为内部控制信息披露变量，根据披露规范，根据上述内控信息披露八个指标设计的设计，当上市公司披露了其中4个及以上的指标时，内部控制信息时取1，否则取0。

ROE为净资产净利率，反映公司的盈利能力。

ST为特别处理变量，虚拟变量，当公司被中国证监会特别处理时取1，否则取0。

sjyj为审计意见变量，虚拟变量，当上市公司的年度财务报告审计意见为标准无保留意见时取1，其它取0。

Lnasset为公司的规模变量。

用总资产的自然对数表示。

从上表2中可以发现，ROE比较好的上市公司会被注册会计师出具标准的无保留审计意见二者明显存在正相关关系，当然这类公司内控信息的披露质量也与注册会计师出具审计报告的意见是正相关的。

相反，被中国证监会特别处理的上市公司通常会与注册会计师出具非标准无保留审计意见二者是负相关的，其对外披露内部控制信息的积极性明显不高。

上述结论与前述内部控制信息披露的信息经济学的理论基础是相符的。

三、实证检验的多元回归分析

多元回归结果如下：

表3列出了模型Logistic的回归结果。

从变量的回归系数来看，变量ROE的系数为1.118，Wald值为6.51统计显著，且为正，表明盈利能力越强的上市公司越有可能选择披露内部控制信息。

变量sjyj的系数0.013为正，显著性有些差。

仍可以说明年度财务报告不存在质量问题的上市公司披露内部控制信息有很高的积极性。

ST变量系数-2.141为负，且统计系数Wald值显著，这一结果意味着，财务状况异常的上市公司缺乏对外披露内部控制信息的动力。

此实证结果与研究假设相符。

表3Logistic的回归结果

四、结论

从以上研究可知：大部分的上市公司都能披露自己的内控信息，但是披露质量并不高。

同时我国上市公司内部控制信息披露受到公司盈利能力、公司财务状况的显著影响。

可以认为经营业绩越好及财务报告质量越高的上市公司越有披露内部控制信息的动力;而因财务状况异常致使其股票交易被证监会特别处理的上市公司，其披露内部控制信息的概率较低。

本文研究结论基本上可以证明研究的假设。

因此从披露的内容上看应该规范上市公司详细披露内部控制信息的形式。

本文仅仅选用了X年深交所一年的面板数据，深指引规定下上市公司的年报已经披露完毕，对于指引实施前后深交所内部控制信息的披露情况和质量值得进一步研究。

篇6：国家税务局内控机制工作信息

经过市、县两级国税机关近半年的有效工作，内控机制建设的各项工作基本完成，工作目标基本实现，截止10月中旬，全市国税系统内控机制已全面运行。

一、推行内控机制建设的基本做法

（一）党组高度重视，深入宣传发动。市局党组把推行内控机制建设做为新形势下全面提升全系统税收执法和行政管理水平，积极应对税收执法和行政管理权力运行中的各类风险，保证权力的正确行使的一项极为重要的、具有战略意义的工作提上党组工作日程，进行了专门研究部署；市局党组主要领导撰写了题为《推行内控机制建设 保证“两权”正确运行”》专题调研文章，主抓内控机制建设工作的领导撰写了题为《对构建风险管理导向型税收执法体制的思考》专题调研文章，以指导全系统内控机制建设工作的开展；市、县（区）两级国税机关分别召开中层干部会议和职工大会，认真传达学习总局领导、省局领导关于推行内控机制建设的讲话精神和调研文章，深入宣传动员，广泛开展了以“熟悉内控、理解内控、掌握内控”为主题的宣传动员活动，统一思想认识，增强了干部职工参与内控机制建设的积极性和主动性。

（二）理清工作思路，明确工作责任。在认真学习、广泛动员的基础上，市、县（区）两级制定了《内控机制建设实施意见》，市局排出了《内控机制建设工作推进日程表》，明确了推行内控机制建设的指导思想、工作定位、工作内容、目标任务、方法步骤和时间要求；市、县（区）两级成立了主要领导任组长、党组成员任副组长、机关部门负责人为成员的“内控机制建设工作领导小组”，下设由监察室、法规科、人事科、办公室有关人员组成的办公室，并签订了内控机制建设责任书，通过领导机制和工作机制的建立，明确了领导层、各职能部门和下属单位在内控机制建设工作中的职责和任务，使内控机制建设延伸到各个层次、岗位和业务环节，确保工作的有序开展。

（三）梳理权力事项，优化运行流程。内控机制建设工作推开以后，市局、县（区）机关各部门、各单位、各基层分局对各类权力事项进行了一次系统的清理、确认，尤其是对税收执法权的关键环节、重点部位、重点岗位以及内部行政管理的人、财、物各环节的权力进行了进一步的科学界定，明确权力行使的依据、权力运行的规则和范围。在此基础上形成了《武威市国家税务局部门岗位职权职责一览表》和《武威市国家税务局机关部门工作流程图》两个内控文本，通过对岗位职责的规范和完善，对部门权力运行轨迹进行了全面系统的规范和明晰，明确各岗位在处理有关业务时所具有的

权力和责任，实现权力、岗位、责任的有机结合，形成完备的权责体系。

（四）排查运行风险，完善制度体系。在梳理权力事项、优化运行流程的基础上，市局、县（区）从领导班子权力运行、部门权力权力运行、岗位权力运行、基层分局权力运行四个层面，认真排查确定了每一项权力运行中存在的制度机制风险、决策制定风险、税源监管风险、岗位职责风险、业务操作风险、纪律廉政风险等各方面的隐患和风险点，形成了《武威市国税局权力运行内部控制风险源点及防范控措施一览表

（一）》、《武威市国家税务局重点内控职位廉政风险及防控措施一览表

（二）》、《武威市国家税务局重点内控项目责任风险及防控措施一览表

（三）》三个内控文本，从每个岗位、重点职位、重点项目三个方面各有侧重地进行了风险排查，并有针对性地制定出防范措施。在进行全面排查风险的基础上，对本系统税收规范性文件和相关制度进行了一次系统地清理、审定、规范、修订。

二、内控机制建设的主要特点

我局内控机制建设工作始终坚持学习借鉴、立足实际、体现特点、注重实效、推进管理的原则进行。

（一）三级机关同步推进。市局党组确定了推行内控机制建设以“预警在先，防范在前”为首要工作理念和以“最大限度地减少权力不规范运行及权力运行中监督制约缺失的

可能和条件”为主要出发点的总体指导思想，全系统全面动员，共同参与，市局机关、县（区）局机关、基层分局同步推进，以达到内控机制建设延伸到各个层次、岗位和业务环节，预控风险覆盖权力运行全过程、各个环节、全方位的目标。各区县局在推行工作中，各有特点。民勤县国税局采取自己找、互相帮、领导提、集中评、组织审等方法认真排查风险，注重构建前期预防防线、中期监控防线、后期管理防线，并将风险点逐级签字确认，明确防控责任，形成岗位有风险，风险有人控，人人内控，人人受控的内控预防体系；天祝县国税局以《工作流程图》为基本内容，制作了《科室（分局）工作轨迹图》、《岗位风险提示卡》、形成“一册一图一卡三单”为特色的内控文本。

（二）抓实两个基础环节。一是抓实优化运行程序这一基础环节。在内部行政管理权运行流程上，侧重体现出下一道程序对上一道程序的控制，每道程序之间互相制衡；在税收执法权运行流程上，全市国税系统从为纳税人减负，提升运行效率的原则出发，按照“简化流程、减少环节、精减资料、缩短时间、统一表单”的要求，共清理兼并各类业务流程41个，减少审批环节24个，减少报送资料79份，缩短办理时限的业务18种，统一表证单书85种，形成严密高效的权力运行流程。二是抓实风险排查这一基础环节。引入风险管理是内控机制建设的核心理念之一。因此，我们在推行工

作中，贯彻全面排查、突出重点的原则。首先从领导班子、职能部门、履职岗位、权力事项四个方位进行廉政风险和责任风险的基础性排查，形成《武威市国税局权力运行内部控制风险源点及防范控措施一览表

（一）》；完成基础性排查后，把党组成员、中层领导、分局长做为重点职位进行重点排查，形成表

（二）文本；再围绕对决策权、自由裁量权、行政审批权、人事权、财务管理权、税收管理权和税收稽查权等方面确定出27个重点内控项目进行重点排查，形成表

（三）文本，体现出按部门、分岗位、按职位、分项目全面排查、突出重点的原则。全系统共排查确定“两权”运行风险点583个，其中：税收执法风险点398个，行政管理风险点185个；市局机关排查确定一级风险点55个，二级风险点50个；县区局排查确定一级风险点139个，二级风险点166个；三级风险点173个。

（三）突出一个核心环节。良好的内控机制最终要通过科学的制度体系表现出来。因此，我们在推行工作中，党组高度重视，突出了制度建设这个核心环节。按照促生内在的制约力的要求，市局机关对本系统税收规范性文件和相关制度进行了一次系统地清理、审定、规范、修订，经过对口科室修订、有关部门审核、分管领导把关、有关会议讨论、局长办公会议审定的程序运行后，将原来95项制度审定为44项，提高了制度文本的规范性、可行性，以提高制度的执行

力，形成了新的内控制度体系。三县一区国税局也高度重视，对本级制定的规章制度进行了系统地清理修定。

（四）凸现一个重点领域。市局党组清醒地认识到，内控的根本目的是最大限度地减少权力不规范运行及权力运行中监督制约缺失的可能和条件，而国税系统“两权”运行的重点主体是两级领导班子和领导干部。因此，我们在推行内控机制建设工作时，把领导班子和领导干部的权力运行做为重点领域进行控制，一是在排查风险时，把市、县两级领导班子权力运行做为一个重点对象进行排查，从行政决策、税收执法、行政管理、廉政自律4个大类18个项目进行排查，做为一级防控风险，并确定直接防控责任人员和协助防控部门。二是把把党组成员、中层领导、分局长做为重点职位进行重点排查和重点防控。三是把决策、审批、处罚、人事、财务、资产等权力事项做为关键节点凸现出来。

二、内控机制建设取得的主要成效

（一）更新了管理理念。内控机制建设工作的推行，首先使全市国税系统的领导层认识到，推行内控机制建设是全面提升国税系统税收执法和行政管理水平的重要举措，并确定了实行风险导向型管理的重要理念。其次，全系统干部职工认识风险、防范风险的意识大大提高，广大干部职工清楚地意识到风险就在身边，防范风险就是对自己最好的保护，干部职工主动认识风险、认真排查风险、积极规避化解风险 的意识和能力明显增强。

（二）新建了一个管理机制。内控机制建设工作中，针对排查确定的风险源点，对国税系统“两权”运行实行风险预警管理机制。市局制定印发了《武威市国家税务局税收执法权和行政管理权监督制约预警报告办法》，对“两权”运行中4类事项实行预警上报，37种事项实行预警告知，明确风险防控的主体和责任，建立起了有效的风险防御和化解机制；区、县国税局建立了以预警信息员定期采集上报预警信息为主要特征的风险预警管理机制。通过对风险预警信息的上报和告知，建立起日常的风险发现、处置、化解机制，体现出以风险导向型管理机制为目标的管理理念的重大转变。

（三）健全了三个机制。一是健全了对权力运行的控制机制。通过优化运行流程、重建制度体系，使每一项权力的运行轨迹都按照“决策—执行—监督”、“审批—办理—监管”的要求运行，确保每项权力不重复、不交叉，环环相扣，过程控制。二是健全加强了权力运行的监督制约机制。市局党组注重把合理分权、超前防范、监控制约、相互监督，制度之间相互衔接、相互配套的内控要求体现在制度构建上，把监督制约首先落实在制度上；在此基础上，市局党组着力营造领导班子重视监督、欢迎监督、接受监督，干部群众敢于监督、愿意监督的监督氛围，建立了畅通的信息反馈收集机制，改进政务公开和监督的方式渠道，在内部网站设立“政

务公开栏”，改进了“局长信箱”的运行流程，开展了“我为税收建言献策”活动，广开言路，畅通渠道，确保让干部职工的意见和建议随时直达决策层，充分保障干部职工的知情权、建议权、监督权，切实保护群众参与政务、参与监督的积极性，着力改变单纯的上级监督下级、少数人监督多数人的局面；在税收执法权监督上，通过建立《武威市国税局税收执法回访工作制度》等措施的落实，拓宽外部监督渠道，实施税收执法权监督主体的重心外移。三是建立了良好的执行力保障机制。通过制定《武威市国税局机关内控机制运行考核评价办法（试行）》、《武威市国家税务局绩效考核管理办法》、《执法责任考核办法》、《执法过错责任追究办法》、《武威市国家税务局纪检监察案件调查处理工作规程》，加大评价考核和问责问效，增强机关各部门、各单位防控“两权”运行风险的责任心，以切实提高全系统“两权”运行内控机制的执行力。

四、需不断完善之处

由于内控机制建设工作是一项复杂系统的工作，没有固定的模式，没有成熟的经验，仍需要在实践中不断完善，探索创新。

（一）需要不断进行动态校正。特别是查找风险源点、风险描述、预警指标设置、预警信息的发现、处置等是一个动态的过程，不是一成不变的，尚需根据税收工作环境的不

断变化尤其是各方面工作考核评价要求的变化定期或不定期地进行动态校正，以保证准确性和可行性。

（二）必须着力构建内控的长效机制。内控机制建设的目的在于形成具有内生制约力的管理机制，这是一项长期的、系统的、复杂的工作过程，不可能一蹴而就，需要把制度、资源、执行力等各方面统一整合，不断优化，经过前期、中期、后期的持续改进，才能真正形成配置科学、程序严密、运行高效、制约有力的权力运行机制，才能真正为提升管理水平发挥效能和作用。

（三）重在抓好机制运行。内控机制，制度体系是支撑，实时监控是核心，关联制约是重点，风险管理是抓手，执行力是手段。因此，如何制定更为科学的、切实可行的内控机制运行考核评价办法，提高执行力，确保内控机制的长效运行是一个难点，需要不断探索研究，加以完善。