CPA教材精讲-内部信息传递

CPA 教材精讲-内部信息传递

内部信息传递是指企业内部各管理层级之间通过内部报告形式传递生产经营管理信息的过程。

1. 内部信息传递需关注的主要风险

(1)内部报告系统缺失、功能不健全、内容不完整，可能影响生产经营有序运行。

(2)内部信息传递不通畅、不及时，可能导致决策失误、相关政策措施难以落实。

(3)内部信息传递中泄露商业秘密，可能削弱企业核心竞争力。

2. 内部控制要求与措施

(1)内部报告的形成。

①企业应当根据发展战略、风险控制和业绩考核要求，科学规范不同级次内部报告的指标体系，采用经营快报等多种形式，全面反映与企业生产经营管理相关的各种内外部信息。内部报告指标体系的设计应当与全面预算管理相结合，并随着环境和业务的变化不断进行修订和完善。设计内部报告指标体系时，应当关注企业成本费用预算的执行情况。内部报告应当简洁明了、通俗易懂、传递及时，便于企业各管理层级和全体员工掌握相关信息，正确履行职责。

②企业应当制定严密的内部报告流程，充分利用信息技术，强化内部报告信息集成和共享，将内部报告纳入企业统一信息平台，构建科学的内部报告网络体系。企业内部各管理层级均应当指定专人负责内部报告工作，重要信息应及时上报。并可以直接报告高级管理人员。企业应当建立内部报告审核制度，确保内部报告信息质量。

③企业应当关注市场环境、政策变化等外部信息对企业生产经营管理的影响，广泛收集、分析、整理外部信息，并通过内部报告传递到企业内部相关管理层级。以便采取应对策略。

④企业应当拓宽内部报告渠道，通过落实奖励措施等多种有效方式，广泛收集合理化建议。企业应当重视和加强反舞弊机制建设，通过设立员工信箱、投诉热线等方式，鼓励员工及企业利益相关方举报和投诉企业内部的违法违规、舞弊和其他有损企业形象的行为。

(2)内部报告的使用

①企业各级管理人员应当充分利用内部报告管理和指导企业的生产经营活动，及时反映全面预算执行情况，协调企业内部相关部门和各单位的运营进度，严格绩效考核和责任追究，确保企业实现发展目标。

②企业应当有效利用内部报告进行风险评估，准确识别和系统分析企业生产经营活动中的内外部

风险，确定风险应对策略，实现对风险的有效控制。企业对于内部报告反映出的问题应当及时解决; 涉及突出问题和重大风险的，应当启动应急预案。

③企业应当制定严格的内部报告保密制度，明确保密内容、保密措施、密级程度和传递范围，防止泄露商业秘密。

④企业应当建立内部报告的评估制度，定期对内部报告的形成和使用进行全面评估，重点关注内部报告的及时性、安全性和有效性。

(四) 信息系统

1. 利用信息系统实施内部控制需关注的主要风险

(1)信息系统缺乏或规划不合理，可能造成信息孤岛或重复建设，导致企业经营管理效率低下。

(2)系统开发不符合内部控制要求，授权管理不当，可能导致无法利用信息技术实施有效控制。

(3)系统运行维护和安全措施不到位，可能导致信息泄露或毁损，系统无法正常运行。

2. 内部控制要求与措施

企业应当指定专门机构对信息系统建设实施归口管理，明确相关单位的职责权限，建立有效工作机制。企业可委托专业机构从事信息系统的开发、运行和维护工作。企业负责人对信息系统建设工作负责。

(1)信息系统的开发

①企业应当根据信息系统建设整体规划提出项目建设方案，按照规定的权限和程序审批后实施。企业开发信息系统，可以采取自行开发、外购调试、业务外包等方式。选定外购调试或业务外包方式的，应当采用公开招标等形式择优确定供应商或开发单位。

②企业在系统开发过程中，应当按照不同业务的控制要求，通过信息系统中的权限管理功能控制用户的操作权限，避免将不相容职责的处理权限授予同一用户。

③企业信息系统归口管理部门应当加强信息系统开发全过程的跟踪管理，组织开发单位与内部各单位的日常沟通和协调。

④企业应当组织独立于开发单位的专业机构对开发完成的信息系统进行验收测试，确保在功能、性能、控制要求和安全性等方面符合开发需求。

⑤企业应当切实做好信息系统上线的各项准备工作，培训业务操作和系统管理人员，制订科学的上线计划和新旧系统转换方案、考虑应急预案，确保新旧系统顺利切换和平稳衔接。

(2)信息系统的运行与维护

①企业应当建立信息系统变更管理流程，信息系统变更应当严格遵照管理流程进行操作。信息系统操作人员不得擅自进行系统软件的删除、修改等操作; 不得擅自升级、改变系统软件版本; 不得擅自改变软件系统环境配置。

②企业应当根据业务性质、重要性程度、涉密情况等确定信息系统的安全等级，建立不同等级信息的授权使用制度。

企业应当建立信息系统安全保密和泄密责任追究制度。

委托专业机构进行系统运行与维护管理的，应当审查该机构的资质，并与其签订服务合同和保密协议。

企业应当采取安装安全软件等措施防范信息系统受到病毒等恶意软件的感染和破坏。

③企业应当建立用户管理制度，加强对重要业务系统的访问权限管理，定期审阅系统账号，避免授权不当或存在非授权账号，禁止不相容职务用户账号的交叉操作。

④企业应当综合利用防火墙、路由器等网络设备，漏洞扫描、入侵检测等软件技术以及远程访问安全策略等手段，加强网络安全，防范来自网络的攻击和非法侵入。企业对于通过网络传输的涉密或关键数据，应当采取加密措施，确保信息传递的保密性、准确性和完整性。

⑤企业应当建立系统数据定期备份制度，明确备份范围、频度、方法、责任人、存放地点、有效性检查等内容。

⑥企业应当加强服务器等关键信息设备的管理，建立良好的物理环境，指定专人负责检查，及时处理异常情况。未经授权，任何人不得接触关键信息设备。

CPA 教材精讲-内部信息传递

内部信息传递是指企业内部各管理层级之间通过内部报告形式传递生产经营管理信息的过程。

1. 内部信息传递需关注的主要风险

(1)内部报告系统缺失、功能不健全、内容不完整，可能影响生产经营有序运行。

(2)内部信息传递不通畅、不及时，可能导致决策失误、相关政策措施难以落实。

(3)内部信息传递中泄露商业秘密，可能削弱企业核心竞争力。

2. 内部控制要求与措施

(1)内部报告的形成。

①企业应当根据发展战略、风险控制和业绩考核要求，科学规范不同级次内部报告的指标体系，采用经营快报等多种形式，全面反映与企业生产经营管理相关的各种内外部信息。内部报告指标体系的设计应当与全面预算管理相结合，并随着环境和业务的变化不断进行修订和完善。设计内部报告指标体系时，应当关注企业成本费用预算的执行情况。内部报告应当简洁明了、通俗易懂、传递及时，便于企业各管理层级和全体员工掌握相关信息，正确履行职责。

②企业应当制定严密的内部报告流程，充分利用信息技术，强化内部报告信息集成和共享，将内部报告纳入企业统一信息平台，构建科学的内部报告网络体系。企业内部各管理层级均应当指定专人负责内部报告工作，重要信息应及时上报。并可以直接报告高级管理人员。企业应当建立内部报告审核制度，确保内部报告信息质量。

③企业应当关注市场环境、政策变化等外部信息对企业生产经营管理的影响，广泛收集、分析、整理外部信息，并通过内部报告传递到企业内部相关管理层级。以便采取应对策略。

④企业应当拓宽内部报告渠道，通过落实奖励措施等多种有效方式，广泛收集合理化建议。企业应当重视和加强反舞弊机制建设，通过设立员工信箱、投诉热线等方式，鼓励员工及企业利益相关方举报和投诉企业内部的违法违规、舞弊和其他有损企业形象的行为。

(2)内部报告的使用

①企业各级管理人员应当充分利用内部报告管理和指导企业的生产经营活动，及时反映全面预算执行情况，协调企业内部相关部门和各单位的运营进度，严格绩效考核和责任追究，确保企业实现发展目标。

②企业应当有效利用内部报告进行风险评估，准确识别和系统分析企业生产经营活动中的内外部

风险，确定风险应对策略，实现对风险的有效控制。企业对于内部报告反映出的问题应当及时解决; 涉及突出问题和重大风险的，应当启动应急预案。

③企业应当制定严格的内部报告保密制度，明确保密内容、保密措施、密级程度和传递范围，防止泄露商业秘密。

④企业应当建立内部报告的评估制度，定期对内部报告的形成和使用进行全面评估，重点关注内部报告的及时性、安全性和有效性。

(四) 信息系统

1. 利用信息系统实施内部控制需关注的主要风险

(1)信息系统缺乏或规划不合理，可能造成信息孤岛或重复建设，导致企业经营管理效率低下。

(2)系统开发不符合内部控制要求，授权管理不当，可能导致无法利用信息技术实施有效控制。

(3)系统运行维护和安全措施不到位，可能导致信息泄露或毁损，系统无法正常运行。

2. 内部控制要求与措施

企业应当指定专门机构对信息系统建设实施归口管理，明确相关单位的职责权限，建立有效工作机制。企业可委托专业机构从事信息系统的开发、运行和维护工作。企业负责人对信息系统建设工作负责。

(1)信息系统的开发

①企业应当根据信息系统建设整体规划提出项目建设方案，按照规定的权限和程序审批后实施。企业开发信息系统，可以采取自行开发、外购调试、业务外包等方式。选定外购调试或业务外包方式的，应当采用公开招标等形式择优确定供应商或开发单位。

②企业在系统开发过程中，应当按照不同业务的控制要求，通过信息系统中的权限管理功能控制用户的操作权限，避免将不相容职责的处理权限授予同一用户。

③企业信息系统归口管理部门应当加强信息系统开发全过程的跟踪管理，组织开发单位与内部各单位的日常沟通和协调。

④企业应当组织独立于开发单位的专业机构对开发完成的信息系统进行验收测试，确保在功能、性能、控制要求和安全性等方面符合开发需求。

⑤企业应当切实做好信息系统上线的各项准备工作，培训业务操作和系统管理人员，制订科学的上线计划和新旧系统转换方案、考虑应急预案，确保新旧系统顺利切换和平稳衔接。

(2)信息系统的运行与维护

①企业应当建立信息系统变更管理流程，信息系统变更应当严格遵照管理流程进行操作。信息系统操作人员不得擅自进行系统软件的删除、修改等操作; 不得擅自升级、改变系统软件版本; 不得擅自改变软件系统环境配置。

②企业应当根据业务性质、重要性程度、涉密情况等确定信息系统的安全等级，建立不同等级信息的授权使用制度。

企业应当建立信息系统安全保密和泄密责任追究制度。

委托专业机构进行系统运行与维护管理的，应当审查该机构的资质，并与其签订服务合同和保密协议。

企业应当采取安装安全软件等措施防范信息系统受到病毒等恶意软件的感染和破坏。

③企业应当建立用户管理制度，加强对重要业务系统的访问权限管理，定期审阅系统账号，避免授权不当或存在非授权账号，禁止不相容职务用户账号的交叉操作。

④企业应当综合利用防火墙、路由器等网络设备，漏洞扫描、入侵检测等软件技术以及远程访问安全策略等手段，加强网络安全，防范来自网络的攻击和非法侵入。企业对于通过网络传输的涉密或关键数据，应当采取加密措施，确保信息传递的保密性、准确性和完整性。

⑤企业应当建立系统数据定期备份制度，明确备份范围、频度、方法、责任人、存放地点、有效性检查等内容。

⑥企业应当加强服务器等关键信息设备的管理，建立良好的物理环境，指定专人负责检查，及时处理异常情况。未经授权，任何人不得接触关键信息设备。