（十八）信息系统
信息系统是指企业利用计算机和通信技术，对内部控制进行集成、转化和提升所形成的信息化管理平台。
1.利用信息系统实施内部控制需关注的主要风险
（1）信息系统缺乏或规划不合理，可能造成信息孤岛或重复建设，导致企业经营管理效率低下。
（2）系统开发不符合内部控制要求，授权管理不当，可能导致无法利用信息技术实施有效控制。
（3）系统运行维护和安全措施不到位，可能导致信息泄露或毁损，系统无法正常运行。
2.内部控制要求与措施
企业应当重视信息系统在内部控制中的作用，根据内部控制要求，结合组织结构、业务范围、地域分布、技术能力等因素，制定信息系统建设整体规划，加大投入力度，有序组织信息系统开发、运行与维护，优化管理流程，防范经营风险，全面提升企业现代化管理水平。
（1）信息系统的开发。
①企业应当根据信息系统建设整体规划提出项目建设方案，按照规定的权限和程序审批后实施。企业开发信息系统，可以采取自行开发、外购调试、业务外包等方式。选定外购调试或业务外包方式的，应当采用公开招标等形式择优确定供应商或开发单位。
②企业开发信息系统，应当将生产经营管理业务流程、关键控制点和处理规则嵌入系统程序，实现手工环境下难以实现的控制功能。企业在系统开发过程中，应当按照不同业务的控制要求，通过信息系统中的权限管理功能控制用户的操作权限，避免将不相容职责的处理权限授予同一用户。
③企业信息系统归口管理部门应当加强信息系统开发全过程的跟踪管理，组织开发单位与内部各单位的日常沟通和协调。
④企业应当组织独立于开发单位的专业机构对开发完成的信息系统进行验收测试， 确保在功能、性能、控制要求和安全性等方面符合开发需求。
⑤企业应当切实做好信息系统上线的各项准备工作，培训业务操作和系统管理人员， 制订科学的上线计划和新旧系统转换方案、考虑应急预案，确保新旧系统顺利切换和平稳衔接。
（2）信息系统的运行与维护。
①企业应当加强信息系统运行与维护的管理。信息系统操作人员不得擅自进行系统软件的删除、修改等操作；不得擅自升级、改变系统软件版本；不得擅自改变软件系统环境配置。
②企业应当根据业务性质、重要性程度、涉密情况等确定信息系统的安全等级，建立不同等级信息的授权使用制度。企业应当建立信息系统安全保密和泄密责任追究制度。委托专业机构进行系统运行与维护管理的，应当审查该机构的资质，并与其签订服务合同和保密协议。
③企业应当建立用户管理制度，加强对重要业务系统的访问权限管理，定期审阅系统账号，避免授权不当或存在非授权账号，禁止不相容职务用户账号的交叉操作。
④企业应当综合利用防火墙、路由器等设备，漏洞扫描、入侵检测等软件技术以及远程访问安全策略等手段，加强网络安全，防范来自网络的攻击和非法侵入。
⑤企业应当建立系统数据定期备份制度，明确备份范围、频度、方法、责任人、存放地点、有效性检查等内容。
⑥企业应当加强服务器等关键信息设备的管理，建立良好的物理环境，指定专人负责检查，及时处理异常情况。未经授权，任何人不得接触关键信息设备。