目前，对于信息系统内部控制设计的概念，业内还没有一个统一权威的定义。中天恒3C框架认为，信息系统内部控制设计是在遵循国家和企业信息系统相关法规制度的基础上，以国家监管部门制定的内部控制规范及其应用指引为依据，结合企业的信息系统发展的实际情况，用系统控制的技术和方法，构建企业自身信息系统内部控制体系的一个动态过程。简单说，信息系统内部控制设计，是信息系统内部控制建设的首要环节，是构建信息系统内部控制体系的过程。

设计范围及基本流程

《企业内部控制应用指引第18号——信息系统》(以下简称《信息系统指引》)第二条规定：“本指引所称信息系统，是指企业利用计算机和通信技术，对内部控制进行集成、转化和提升所形成的信息化管理平台。”《信息系统指引》界定了信息系统的定义，描述了信息系统中的风险，明确了信息系统的开发、运行与维护方面的控制措施，对优化企业信息系统管理制度具有重要意义。

信息系统内部控制设计是一个复杂的系统工程，基本流程包括设计准备、设计实施、试行及完善等。根据设计操作需要，在基本流程的基础上，还要有多层次具体的流程，每个具体流程中需明确工作内容、方法、步骤以及相应的表单等，要突出信息系统内部控制设计的特色。

企业应当重视信息系统在内部控制中的作用，根据内部控制要求，结合组织架构、业务范围、地域分布、技术能力等因素，制定信息系统建设整体规划，加大投入力度，有序组织信息系统开发、运行与维护，优化管理流程，防范经营风险，全面提升企业现代化管理水平。

描述现状

描述现状，就是梳理信息系统方面的内部管理制度或相关文件，梳理信息系统现状业务流程，编制信息系统内部管理制度或相关文件情况表、编制信息系统业务流程目录、绘制信息系统业务流程图等信息系统内部控制设计的基础性工作。

1、梳理描述制度文件。梳理描述制度文件应重点关注有无信息系统方面的相关制度以及是否完善和充分执行、有无具体可控的操作文件或表单等等。

2、梳理描述现状业务流程。企业信息系统业务流程到底怎么样、包括哪些环节，因企业而异。当然，企业信息系统复杂多样，信息系统内部管理制度、业务流程千差万别，因此，本阶段设计在总体上必须体现指引要求，在具体业务流程设计上则要体现不同企业信息系统的自身特点，不能简单照抄照搬。

3、确定业务流程目录。在梳理信息系统管理制度和业务流程现状的基础上，根据内部控制设计的要求，编制信息系统业务流程目录，绘制信息系统业务流程图。

本阶段设计工作成果是形成《信息系统内部管理制度或相关文件情况表》、《信息系统流程目录》、《信息系统业务流程图表》等。

风险评估

信息系统风险评估的基本程序：识别信息系统风险，并进行具体描述;分析信息系统风险，编制信息系统风险分析表;评价信息系统风险，编制信息系统风险评价表;确定信息系统风险应对策略;提出信息系统重大风险解决方案。在实践中，信息系统风险分析及其评价是合在一起进行的，信息系统重大风险解决方案的制定要看企业是否需要，也可在信息系统内部控制设计完成之后单独进行。

1、识别并描述风险。评估信息系统风险，首先，要把信息系统具体风险识别出来，然后整理出整体层面的风险。信息系统具体风险是多种多样的，也因企业而有所不同。

按照《信息系统指引》要求，在评估信息系统风险时，至少应当关注下列风险：信息系统缺乏或规划不合理，可能造成信息孤岛或重复建设、资源浪费，导致企业经营管理效率低下;系统开发不符合内部控制要求，授权管理不当，可能导致无法利用信息技术实施有效控制;系统运行维护和安全措施不到位，可能导致信息泄漏或毁损，系统无法正常运行。

上述风险提示主要包括前期规划立项、信息系统开发、后期运行维护三个方面：

(一)规划立项阶段，该阶段风险主要包括：信息系统规划立项与企业的行业特点、规模、管理理念、组织结构、核算方法等因素不适应;信息系统规划立项不够科学、合理和可行;信息系统的建设未能起到降低成本、纠正偏差的作用等。

(二)系统开发阶段，该阶段风险主要包括：信息系统开发与自身内部控制要求不相适应，未按照规定的职责权限和程序审批后实施;企业信息系统开发需求和关键控制点不明确，开发方式选择不规范;信息系统开发过程管理、试运行、上线准备工作不到位等。

(三)运行维护阶段，该阶段风险主要包括：信息系统工作程序、信息管理制度以及各模块子系统的具体操作规范不明确，跟踪、发现和解决系统运行中存在的问题不及时;没有确定信息系统的安全等级、建立不同等级信息的授权使用制度，没有建立用户管理制度、加强对重要业务系统的访问权限管理;疏于防范来自网络的攻击和非法侵入，缺乏系统数据定期备份制度，服务器等关键信息设备的管理工作疏忽。

企业应根据指引中的提示，结合企业信息系统的实际情况，识别并具体描述信息系统方面可能存在的风险。信息系统具体风险描述因所识别出的风险而不同，将具体信息系统风险与信息系统流程结合是个比较好的做法。

2、分析风险。信息系统风险分析的内容很多，一般应从成因和结果两个方面进行，并编制信息系统风险分析表。信息系统控制的风险主要来自系统故障、系统关联方、企业内部人员和企业外部。

3、评价风险。信息系统风险评价应从发生可能性和影响程度两个维度进行，根据评价结果进行风险排序和等级划分，并编制信息系统风险评价表。

4、选择风险应对策略。信息系统风险应对是根据风险评价的结果，针对不同等级风险选择不同风险应对策略的过程，一般有规避、降低、转移、接受等策略，要编制信息系统风险应对表。

5、编制风险数据库或绘制风险图谱。依据信息系统风险评估的结果，编制信息系统层面的风险数据库，或绘制风险图谱。信息系统层面数据库的基本要素包括业务流程、风险描述、风险分析、风险排序、应对策略、剩余风险等，也可以加上内部控制设计完成后的控制措施、控制部门或岗位等。风险图谱一般适用于公司层面的风险描述。

本阶段设计工作成果是形成《信息系统风险及其描述表》、《信息系统整体层面风险清单》、《信息系统风险分析表》、《信息系统风险评价表》、《信息系统风险应对策略表》、《信息系统风险解决方案》等。

信息系统内部控制设计流程

设计信息系统控制，就是在评估信息系统风险的基础上，对信息系统内部控制进行设计的过程，是信息系统内部控制设计的关键环节，基本程序包括：确定信息系统关键控制;明确信息系统控制目标;提出信息系统控制措施;设计信息系统控制证据;完善信息系统相关制度;绘制信息系统控制流程图;编制信息系统控制矩阵。

1、设计关键控制点。企业在构建与实施信息系统内部控制过程中，要针对信息系统风险评估的结果，确定信息系统的一般控制点和关键控制点，并编制信息系统控制要点表。确定一般控制点和关键控制是件很困难的事，要根据企业实际情况确定，也因人们的专业判断而有所差别。

2、设计控制目标。信息系统控制目标就是要保证信息系统合法、安全、有效、可靠，从而有效控制信息系统中可能存在的风险。实际工作中，信息系统内部控制目标应根据识别出来的具体风险来设计，不能固定化、模式化。

3、设计控制措施。企业在构建与实施信息系统内部控制过程中，要强化对信息系统控制点，尤其是关键控制点的风险控制，并采取相应的控制措施。企业信息系统控制措施要与信息系统相融合，嵌入到信息系统流程当中。

4、设计控制证据。为了信息系统内部控制能够有效实施，需要制定必要的表单，为信息系统过程留下控制证据。信息系统业务相关表单很多，包括信息系统规划、信息系统建设方案、信息系统建设验收报告、信息系统运行与维护记录等。

5、优化控制制度。企业信息系统管理控制制度不是新建的一套独立制度，而是将内部控制思想嵌入到信息系统制度中去。信息系统制度到底制定多少个，内容到底包括哪些，这因企业而不同。从务实的角度考虑，不宜过多，可制定一个统一的信息系统理制度，内容至少应明确信息系统的立项、开发以及运行维护等环节的职责和审批权限。

6、绘制控制流程图。根据信息系统流程、风险点、控制点及其相关的控制措施，结合具体单位实际情况绘制信息系统内部控制流程图。特别要强调的是，应把信息系统内部控制流程和信息系统流程整合在一起，并在图中标示风险点和控制点。

7、编制控制矩阵。信息系统控制矩阵是对信息系统流程图中风险点、控制措施和控制证据等要素的详细说明与描述，是信息系统内部控制设计结果的集中体现，也是企业内部控制管理手册的重要组成部分。实际上是上述工作的综合汇总。

本阶段设计工作成果是形成《信息系统控制控制要点及关键控制表》、《信息系统内部控制目标表》、《信息系统内部控制措施表》、《信息系统控制证据表》、《信息系统制度完善建议表》、《信息系统控制流程图》、《信息系统控制矩阵》等。