- 相關推薦
淺談農村信用社信息系統建設內部風險控制
[摘要]隨著信用社業務和信息化進程的迅速推進,信息系統建設成為農村信用社內部管理與控制的重要手段。我們應加強對信息系統建設的內部風險控制,確保農村信用社信息系統建設的安全性和穩定性,保證信息系統的有效運行,全面提高農村信用社信息系統應用水平,實現農村信用社全面風險控制的目標。
[關鍵詞]農村信用社 信息系統 內部風險控制
一、信息系統及項目建設過程中的主要風險
信息系統,是指利用機和通信技術,搜集、儲存并按照特定的規則和方式加工處理有關信息,通過反饋機制對信息的獲取及處理過程加以修正,獲得滿足特定目的的信息化業務處理及管理應用平臺。根據應用系統的功能不同,信息系統分為管理信息系統和業務信息系統。信息系統建設大體分四個階段:項目立項階段、業務需求階段、系統開發階段、上線運行階段。在這四個階段中主要的風險有:
1.項目立項風險。信息系統建設規劃不合理或因論證、評估不充分、不全面而導致立項決策失誤,可能造成項目重復建設,導致內部經營管理效率低下。
2.業務需求風險。業務需求不符合內部控制要求,對原需求申請理解偏差、系統控制功能描述不完整、不清晰等因素,對系統開發進度造成影響,可能導致無法利用信息技術實施有效的風險控制。
3.系統開發風險。系統開發管理不當,沒有按照業務需求進行開發,導致與業務需求出現偏差,未達到風險控制要求。
4.系統上線風險。系統運行維護和安全措施不到位,可能導致信息泄漏或毀損,系統無法正常運行。
二、信息系統項目建設的內部風險控制及措施
農村信用社應當重視信息系統在內部控制中的作用,根據內部控制要求,結合組織架構、業務范圍、地域分布、技術能力等因素,制定信息系統建設整體規劃,加大投入力度,有序組織信息系統開發、運行與維護,優化管理流程,防范經營風險,全面提升農村信用社化管理水平。信息系統建設必須經過正式授權。具體程序包括:信用社內部轄屬部門提出業務需求、業務需求歸口管理部門審核、歸口管理部門分管領導授權批準立項、項目人員形成開發需求、系統分析人員設計方案等。項目建設時應當成立項目管理小組,負責信息系統的開發,對項目整個過程實施監控。
1.項目立項時,必須充分理解原提出需求申請的內容,按規定程序進行充分論證、評估,論證、評估要全面、透徹,既要保證系統功能實現風險控制的合法、合規,又要保證信息系統實現的可行性。應當根據信息系統建設整體規劃提出項目建設方案,明確建設目標、人員配備、職責分工、經費保障和進度安排等相關內容,按照規定的權限和程序審批后實施。
2.需求編寫時,業務需求歸口管理部門應當組織轄屬機構提出開發需求和關鍵控制點,規范需求編寫流程,明確需求說明書的業務風險功能控制、實現目標等,具體內容描述必須完整、正確、清晰。需求評審必須嚴格規范,確保評審內容全面,意見一致。需求變更必須嚴格按規定程序,經充分論證、審批后進行變更,同時必須保證需求說明書版本的及時更新。
(1)信用社應當根據自身特點、規模、管理理念、組織結構、核算方法等因素設計適合本單位的信息管理系統和業務應用系統。(2)信息系統的建設應當能起到降低成本、糾正偏差的作用,根據成本效益原則,信用社可以選擇對重要事項中的關鍵因素進行信息系統的改造。(3)信息系統的建設應當將信息系統與信息系統管理理念整合,信用社應當倡導全體員工積極參與信息系統項目建設,正確理解和使用信息系統,提高信息系統運行效率。(4)信用社開發信息系統,應當將業務流程、關鍵控制點和處理規則嵌入系統程序,實現手工環境下難以實現的控制功能。應當在信息系統中設置操作日志功能,確保操作的可審計性。對異常的或者違背內部控制要求的交易和數據,應當設計由系統自動報告并設置跟蹤處理機制。(5)信息系統業務歸口管理部門應當加強信息系統開發全過程的跟蹤管理,加強與信息科技部門的日常溝通和協調,督促開發單位按照建設方案、計劃進度和質量要求完成編程工作,對配備的硬件設備和系統軟件進行檢查驗收。
4.系統上線時,應當至少完成整體測試和用戶驗收測試,確保系統風險控制的正確性,以保證系統的安全運行。歸口管理部門和科技部門應當切實做好信息系統上線的各項準備工作,培訓業務操作和系統管理人員,制定的上線計劃和新舊系統轉換方案,考慮應急預案,確保新舊系統順利切換和平穩銜接。系統上線涉及數據遷移的,還應制定詳細的數據遷移計劃。信息系統原設計功能未能正常實現時,項目負責人應當指定相關人員負責詳細記錄,并及時報告歸口管理部門。歸口管理部門負責系統業務需求的變更及控制。信息系統上線后,發生的功能變更,應當參照系統開發的審批和上線程序執行。信用社應當采用預防性措施,確保機信息系統的持續運行。具體包括但不限如下措施:
(1)應當加強信息系統運行與維護的管理,制定信息系統工作程序、信息管理制度以及各模塊子系統的具體操作規范,及時跟蹤、發現和解決系統運行中存在的問題,確保信息系統按照規定的程序、制度和操作規范持續穩定運行。
(2)應當建立信息系統變更管理流程,信息系統變更應當嚴格遵照管理流程進行操作。信息系統操作人員不得擅自進行系統軟件的刪除、修改等操作;不得擅自升級、改變系統軟件版本;不得擅自改變軟件系統環境配置。
(3)應當根據業務性質、重要性程度、涉密情況等確定信息系統的安全等級,建立不同等級信息的授權使用制度,采用相應技術手段保證信息系統運行安全有序。應當建立信息系統安全保密和泄密責任追究制度。
(4)應當建立用戶管理制度,加強對重要業務系統的訪問權限管理,定期審閱系統賬號,避免授權不當或存在非授權賬號,禁止不相容職務用戶賬號的交叉操作。
【淺談農村信用社信息系統建設內部風險控制】相關文章:
ERP應用風險與內部控制03-21
淺談加強企業的內部控制03-24
淺談內部審計質量的控制03-22
信息系統內部控制審計初探03-21
企業稅務風險的內部控制研究11-16
內部審計風險的成因與控制對策03-21
淺談如何降低內部審計風險03-23
淺談企業創新與內部控制變化12-07
淺談會計電算化信息系統的內部控制03-01