ERP系统IT一般性控制内部控制矩阵制度范本格式_第1页
ERP系统IT一般性控制内部控制矩阵制度范本格式_第2页
ERP系统IT一般性控制内部控制矩阵制度范本格式_第3页
ERP系统IT一般性控制内部控制矩阵制度范本格式_第4页
ERP系统IT一般性控制内部控制矩阵制度范本格式_第5页
已阅读5页,还剩7页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、11.3ERP系统IT一般性控制内部控制矩阵不相容t-u冈位会计报表认定会计报表项目业务目标业务风险控制点适用单位控制占八、分值控制点相关资料相关制度索引1存在和发生/真实性;2完整性;3权利与义务;4估价或分摊;5表达和披露;6准确性1234561.程序和数据访问1.11.22.32.4经营风险:规章制度不健全,导致对系统管理的失控。1.1总部各部门、分(子)公司依据中国石油化工股份有限公司管理信息系统应用管理办法(试行)(以下简称信息系统应用管理办法)等,制定程序和数据访问管理制度,主要包括用户权限管理、用户帐号管理、用户登录管理、超级用户管理及第三方人员管理等内容。总部各部门分(子)公司

2、2程序和数据访问管理制度或规定1.10.42.10.41.2用户权限管理1.11.22.32.4经营风险:权限设置不当,导致对系统的非法或非授权访问。1.2.1建立/变更用户帐号和角色,由申请人填写ERP系统用户权限申请表,经相关部门负责人审批后,由应用管理员在系统中建立/维护权限,相关人员进行权限测试并确认,关键用户对角色矩阵实时维护并进行版本管理。总部各部门分(子)公司2用户变更申请表用户角色矩阵1.11.22.32.4经营风险:未及时锁定或删除岗位变动、离职人员帐号,导致系统存在安全隐患。1.2.2操作人员由于岗位变动或离开单位,人事部门必须及时通知ERP支持中心,ERP支持中心应用管理

3、员在系统中将该用户进行锁定或删除。总部各部门分(子)公司1用户变更申请表人员变动清单1.3用户帐号管理1.11.22.32.4经营风险:未及时审核清理帐户,导致系统存在安全隐患。1.3.1应用管理员每季度在线检查用户权限使用情况,每半年将系统用户清单,提交相关部门,由关键用户和部门负责人进行审核确认,应用管理员根据审核结果在系统中进行相应的处理。总部各部门分(子)公司2用户审核签字业务业务风险控制点适用不相容控制点控制点相相关制度会计报表认定会计报1存在和发咛/真实性;2兀整性;3权利目标单位t-u冈位分值关资料索引义务;4估价或分摊;5表达和披露;6准确性表项目1234561.11.22.3

4、2.4经营风险:账户共享,导致责任不清,导致系统存在安全隐患。1.3.2应用管理员在系统中为每个操作人员设置独立的用户帐号,不能设置共享用户帐号(查询用户帐号除外)。总部各部门分(子)公司11.11.22.32.4经营风险:用户创建随意,影响系统安全稳定或生产经营。1.3.3对于数据库层向用户(如系统接口访问用户等),相关部门填写用户申请,由部门负责人签字确认,经信息管理部门审批后,由数据库管理员创建该类用户。总部各部门分(子)公司1用户申请表1.1经营风险:密码规则不当,强度不够,更新不及时,导致对系统的非法或非授权访问。1.4对于系统登录访问,要设置合理的密码规则,密码长度6位以上,采用数

5、字和字符组合方式,不能使用弱密码;用户密码3个月内必须更新次;IK号密码重复输入5次错误则暂停登录或系统锁定;系统自动退出帐号登录的最大空闲时间不能超过50分钟。总部各部门分(子)公司21.5相关管理员的管理1.1经营风险:系统相关管理员岗位设置不合理,导致对系统的非法或非授权访问。1.5.1应用管理员(BASIS管理员和权限管理员)、系统管理员(操作系统管理员、数据库管理员)、安全管理员必须授权管理,遵循不相容岗位分离原则,不能具有业务操作权限及开发权限;信息管理部门负责人应至少每半年对上述管理员的在职情况进行审查。总部各部门分(子)公司应用管理员系统管理员安全管理曷2管理员授权文件管理员任

6、职资格半年审核记录1.11.3经营风险:系统运行状态监控不到位,不能及时发现系统潜在故障或问题.影响系1.5.2应用管理员负责监控应用系统运行情况、备份情况和日志,并完成监控记录;系统管理员负责监控操作系统、数据库及备份设备总部各部门分(子)公司应用管理员系2监控记录安全员检查记录会计报表认定业务目标业务风险控制点适用单位不相容t-u冈位控制占八、分值控制点相关资料相关制度索引1存在和发生/真实性;2完整性;3权利与义务;4估价或分摊;5表达和披露;6准确性会计报表项目123456统正常运行。运行情况和日志,并完成监控记录;安全管理员每季度对相关管理员的操作日志至少检查一次并记录检查情况。统管

7、理员安全管理员1.1经营风险:生产系统存在开发帐户、关键用户,影响系统安全稳定或生产经营。1.6生产系统上线投入运行后,锁定生产系统中的开发人员、关键用户的帐号;如果开发人员或关键用户必须在生产系统中诊断问题,需填写ERP系统用户权限申请表(提出申请帐号目的和期限),由相关部门负责人签字确认后由应用管理员进行维护,完成问题诊断任务后锁定该帐号。总部各部门分(子)公司开发人员或关键用户应用管理员2开发人员及关键用户清单1.7预置帐号的管理1.1经营风险:服务器根帐号的密码管理不善,导致对系统的非法或非授权访问。1.7.1系统管理员在操作系统安装完成后对服务器根帐号(root)密码进行修改,并至少

8、三个月更k次密码,密码以安全方式妥善保存。总部各部门分(子)公司1ROOT帐号密码修改记录1.1经营风险:数1.7.2系统管理员在数总部彳SAPR3、据库预置帐号的密码管理不据库和SAP软件安装好后,需用sapdba的工部门分(子)1SYS、SYSTEM善,导致对系统的非法或非授权访问。具修改SAP系统预置帐号(SAPR3,SYS,SYSTEM)的缺省密码,并至少三个月更换一次密码,密码以安全方式宓善保存。公司帐号密码修改记录1.1经营风险:1.7.3应用管理员在总部各SAP*、SAP系统预置帐号的密码管理不善,导致对系统的非法或非授权访问。SAP软件安装好每次创建Client后,须修改SAP

9、系统预置帐号(SAP*/DDIC)缺省密码,密码以安全方式妥善保存。部门分(子)公司1DDIC帐号密码修改记录会计报表认定业务目标业务风险控制点适用单位不相容t-u冈位控制占八、分值控制点相关资料相关制度索引1存在和发生/真实性;2完整性;3权利与义务;4估价或分摊;5表达和披露;6准确性会计报表项目1234561.1经营风险:业务支持人员的权限分配不当,影响系统安全稳定或生产经营。1.8业务支持人员支持权限的新建、变更、删除、锁定需经ERP支持中心负责人审核签字后由应用管理员在系统中进行分配,业务支持人员在生产系统中只有相应模块的显示、跟踪权限,不能分配业务操作权限、后台配置权限。总部各部门

10、分(子)公司业务支持人员应用管理员3业务支持人员名单1.1经营风险:超级用户权限管理不当,影响系统安全稳定或生产经营。1.9超级用户权限必须严格控制,申请时必须阐明使用原因,并经ERP支持中心负责人审核签字后,应用管理员才能在系统中进行分配,使用后要及时将权限回收。总部彳部门分(子)公司2超级用户申请表1.10第三方人员管理1.12.2经营风险:与第三方合作单位未签订安全保密协议,造成系统泄密或受到非法访问。1.10.1针对第三方合作单位需要签订安全保密协议。总部各部门分(子)公司1保密协议(合同)1.12.2经营风险:对第三方合作单位人员管理不到位,影响系统安全稳定或生产经营。1.10.2第

11、三方人员访问系统,需填写第三方人员帐号申请表(需注明使用期限和权限),经需求部门负责人、信息管理部门(责任处(科)室)负责人审批通过后,由应用管理员根据申请表在系统中建立其帐号。第三方人员撤离后,其帐号需在系统中进行删除或锁定,如确需访问系统诊断问题,需按照用户权限维护程序经审批后方可解锁/创建;维护完毕后应及时锁室或删除。总部各部门分(子)公司2第三方人员清单用户变更申请表业务业务风险控制点适用不相容控制点控制点相相关制度会计报表认定会计报1存在和发咛/真实性;2整性;3权利兀目标单位t-u冈位分值关资料索引义务;4估价或分摊;5表达和披露;6准确性表项目1234562.程序变更1.11.2

12、1.32.12.32.4经营风险:规章制度不健全,导致对系统管理的失控。2.1总部各部门、分(子)公司依据信息系统应用管理办法,制定程序变更管理制度,主要包括客户化开发变更管理、系统配置变更管理、软件版本变更管理等内容。总部各部门分(子)公司2程序变更管理制度1.10.32.10.42.2客户化开发变更管理1.11.32.4经营风险:客户化开发的需求不合理,导致系统故障,不能满足业务需求。合规风险:重要业务报表的编制不符合规定,导致股份公司声誉受到损害及受相关机构处罚。2.2.1对于功能增强/表单/报表/系统接口等客户化开发的新需求或者对已有客户化开发的变更,由需求变更部门填写系统开发变更申请

13、表(简要描述功能需求和功能说明),经提报单位的需求变更部门、信息管理部门/ERP支持中心负责人审核后报信息系统管理部审批。总部各部门分(子)公司2客户化开发变更申请表1.11.32.4经营风险:变更管理不规范,客户化开发、测试和传输管理不完善,导致系统故障或不能满足业务需求。2.2.2信息系统管理部组织人员根据审批后的客户化开发变更需求在开发环境中进行开发,完成开发后由提报单位的业务人员在测试环境中进行测试,针对变更部分编制测试文档(包括测试场景和测试结果),经业务人员及部门负责人签字确认后,由提报单位的应用管理员按照传输管理要求传入生产系统。总部各部门分(子)公司开发人员业务人员4开发变更测

14、试文档1.11.32.4经营风险:客户化开发变更记录不完整,导致维护困难。2.2.3提报单位ERP支持中心组织需求变更部门对客户化开发变更内容进行记录,包括更新客户化功能说明文档、技术说明文档、测试文档、用户手册、管理制唐、版本号管理等.由总部各部门分(子)公司2相关开发文档业务业务风险控制点适用不相容控制点控制点相相关制度会计报表认定会计报1存在和发生/真实性;2整性;3权利兀目标单位t-u冈位分值关资料索引义务;4估价或分摊;5表达和披露;6准确性表项目123456ERP支持中心归档。2.3系统配置变更管理1.11.21.32.4经营风险:系统配置变更管理不完善,导致系统故障或不能满足业务

15、需求。2.3.1现有系统配置需进行调整,应由需求部门填写“系统配置变更申请表”,经部门负责人签字确认后提交信息管理部门审核。与ERP推广模板有差异的或者组织架构、业务流程发生变化的变更,以及新增功能模块,需信息系统管理部门负责人审批并组织实施;其他系统配置变更,由信息管理部门授权支持人员或第三方人员根据审批后的变更需求进行业务流程设计,经相关业务部门负责人签字确认后在开发环境进行配置修改,由被授权人员填写系统配置变更记录,并将变更记录报总部ERP支持中心备案。总部各部门分(子)公司4配置变更申请表业务流程图与流程描述1.11.21.32.4经营风险:系统配置变更的测试、传输不完善,导致系统故障

16、或不能满足业务需求。2.3.2凡涉及业务流程、数据库变动的配置变更,由提报单位的业务人员在测试环境中进行测试,针对变更部分编制测试文档(包括测试场景和测试结果),经业务部门负责人签字确认后,由提报单位的应用管理员按照传输管理要求传入生产系统。总部各部门分(子)公司业务人员应用管理员4配置变更测试文档1.12.1经营风险:培训工作不到位,导致用户操作不熟练,无法保证业务处理的正确性。2.3.3系统配置变更后由ERP支持中心组织相关人员及时修改配置文档,并根据需要进行业务人员培训。总部各部门分(子)公司2配置文档用户手册培训记录业务业务风险控制点适用不相容控制点控制点相相关制度会计报表认定会计报1

17、存在和发咛/真实性;2整性;3权利兀目标单位t-u冈位分值关资料索引义务;4估价或分摊;5表达和披露;6准确性表项目1234562.4软件补丁和版本变更管理1.12.1经营风险:随意升级软件补丁或版本,影响系统安全稳定或生产经营。合规风险:侵犯知识产权,导致诉讼及股份公司声誉受到损害。2.4.1针对软件补丁/版本升级,信息管理部门提出申请,由信息系统管理部负责人审批后统一组织实施。总部各部门分(子)公司1软件版本升级申请表1.11.21.32.4经营风险:补丁/版本升级未经测试,导致系统故障或不能满足业务需求。2.4.2由信息管理部门/ERP支持中心根据审批后的软件变更,组织支持人员、相关部门

18、关键用户提出测试流程清单,在测试环境进行系统功能的全面测试,测试人员需在测试流程清单上签字确认,并填写测试记录。总部各部门分(子)公司3流程测试清单1.11.21.3经营风险:测试内容不全面,导致补丁/版本升级后系统故障或不能满足业务需求2.4.3ERP支持中心负责人检查测试流程清单是否完整,并签字确认,由应用管理员根据补丁/版本升级方案在生产系统完成补丁安装或者版本升级工作,并进行“软件补丁/版本升级”记录。总部各部门分(子)公司23.程序开发1.21.32.12.22.32.4经营风险:规章制度不健全,导致对系统管理的失控。3.1总部各部门、分(子)公司依据信息系统应用管理办法,制定程序开

19、发管理制度,主要包括业务流程设计管理、客户化开发和系统配置管理等内容。总部各部门分(子)公司2程序开发管理制度或规定1.10.32.10.41.32.12.2经营风险:业务流程不规范、设计不合理,导致系统不能满足业务需求。3.2信息管理部门负责组建项目组,包括承担系统实施的人员(以下简称咨询顾问)和关键用户。项目组根据ERP项目可行性研夯报告和总部各部门分(子)公司4业务流程图与流程描述业务业务风险控制点适用不相容控制点控制点相相关制度会计报表认定会计报1存在和发咛/真实性;2整性;3权利兀目标单位t-u冈位分值关资料索引义务;4估价或分摊;5表达和披露;6准确性表项目123456批复进行业务

20、流程设计,并经关键用户、业务部门负责人签字确认。1.11.21.32.4经营风险:客户化开发的需求不合理,导致系统故障或不能满足业务需求。3.3对于功能增强/表单/报表/系统接口等客户化开发,由业务部门提出需求,并编制开发需求功能说明书,其中需描述访问权限要求。项目组根据功能说明书编制客户化开发清单,提交相关部门负责人签字确认。总部各部门分(子)公司2客户化开发清单;开发需求功能说明书1.11.21.32.4经营风险:程序开发不规范,导致系统故障或不能满足业务需求。3.4开发人员根据开发需求功能说明书在开发环境中完成开发工作,将开发结果提交业务人员进行测试,并经业务人员及部门负责人签字确认。总

21、部各部门分(子)公司3开发测试记录单1.11.21.32.4经营风险:系统配置不规范,导致系统故障或不能满足业务需求。3.5咨询顾问依据签字确认的业务流程设计进行系统配置,并编写配置文档;关键用户对配置文档进行审核并签字确认。总部各部门分(子)公司3配置文档3.6系统配置测试管理1.11.21.32.4经营风险:集成测试不充分,导致系统故障或不能满足业务需求。3.6.1系统配置完成后,由咨询顾问和关键用户在测试系统进行集成测试,记录测试过程,并对集成测试记录签字确认。总部各部门分(子)公司2集成测试文档1.11.21.32.4经营风险:用户测试不充分,导致系统故障或不能满足业务需求。3.6.2

22、集成测试完成后,由最终用户在测试系统进行用户接受测试,记录测试过程;并对接受测试记录签字确认。总部各部门分(子)公司2用户接受测试文档3.7开发测试环境和传输管理1.11.21.324经营风险:开发技术架构不合理或传输缺士控制,影响3.7.1客户化开发、系统配置、系统变更工作遵循“开发系统至测试系统、测试豕统至生产豕总部各部门分(子)公司1传输请求申请表会计报表认定会计报表项目业务目标业务风险控制点适用单位不相容t-u冈位控制占八、分值控制点相关资料相关制度索引1存在和发生/真实性;2完整性;3权利与义务;4估价或分摊;5表达和披露;6准确性123456系统安全稳定或生产经营。统”的技术架构完

23、成,并按照传输管理规范进行传输。1.1经营风险:传输管理不完善,导致系统故障或不能满足业务需求。3.7.2测试系统和生产系统上生成的传输请求需经信息系统管理部相关处室负责人审批,并报总部ERP支持中心备案。总部各部门分(子)公司2传输请求申请表3.8用户操作手册编制和培训1.11.21.3经营风险:用户手册更新不及时,导致培训不到位,影响生产经营。3.8.1咨询顾问及关键用户按照流程设计和系统配置编写并及时更新用户操作手册。总部各部门分(子)公司1用户操作手册1.11.21.3经营风险:培训工作不到位,导致用户操作不熟练,无法保证业务处理的正确性。3.8.2信息管理部门组织培训及考核,业务人员

24、经考核合格后方可上t-u冈。总部各部门分(子)公司2培训及考核记录3.9数据转换管理1.22.32.4经营风险:数据收集和整理不严谨,导致系统存在大量垃圾数据和系统数据失真。合规风险:系统数据的收集、提供、使用、转让违反国家法律法规及股份公司内部规章制度等,导致系统无法正常运行。3.9.1业务部门组织人员按照数据收集模板收集和整理相关业务数据,并进行盘点;相关部门负责人须审核收集的数据,并在“数据签字清单”上签字确认。总部各部门分(子)公司收集人员审核人员1数据签字清单1.22.32.4经营风险:未对进入系统数据核对,导致系统存在大量垃圾数据和系统数据失真。3.9.2业务人员对导入/补录入系统

25、的数据进行核对,核对结果需经部门负责人签字确认。总部各部门分(子)公司操作人员审核1数据导入清单会计报表认定业务目标业务风险控制点适用单位不相容t-u冈位控制占八、分值控制点相关资料相关制度索引1存在和发生/真实性;2完整性;3权利与义务;4估价或分摊;5表达和披露;6准确性会计报表项目123456合规风险:系统数据的收集、提供、使用、转让违反国家法律法规及股份公司内部规章制度等,导致系统无法正常运行。人员3.10系统切换和月结差异分析1.1经营风险:系统切换方案未经确认,违背系统规范管理。3.10.1咨询顾问制定系统切换方案,需经项目组负责人签字确认。总部各部门分(子)公司1切换方案1.1经

26、营风险:系统上线手续不全,违背系统规范管理。3.10.2项目组根据“ERP系统上线申请标准”编制上线申请报告,并提交总部ERP项目管理组审核。总部各部门分(子)公司1ERP系统上线申请报告1.21.32.4经营风险:差异分析报告不准确,导致系统数据错误无法纠正,影响系统正确性。3.10.3相关部门对系统并行期间月结差异进行分析,编制差异分析报告,并提交总部ERP项目管理组审核批复。总部各部门分(子)公司2月结差异报告4.系统运行1.11.3经营风险:规章制度不健全,导致对系统管理的失控。4.1总部各部门、分(子)公司依据信息系统应用管理办法,制定系统运行管理制度,主要包括系统监控机制、数据导入

27、管理、后台作业管理、数据备份与灾难恢复策略、支持体系、应急预案等内容。总部各部门分(子)公司2系统运行管理制度或规定1.10.32.10.44.2批导入数据管理1.11.32.3经营风险:导入数据未经检查审核,导致系统数据失真。合规风险:系4.2.1外部数据导入前,业务部门负责人需对外部数据审核签字,业务人员对数据格式进行检查;保留导入的外部数据以备复杳(财齐数据总部各部门分(子)公司1数据导入申请表会计报表认定会计报表项目业务目标业务风险控制点适用单位不相容t-u冈位控制占八、分值控制点相关资料相关制度索引1存在和发生/真实性;2完整性;3权利与义务;4估价或分摊;5表达和披露;6准确性12

28、3456统数据的收集、提供、使用、转让违反国家法律法规及股份公司内部规章制度等,导致系统无法正常运行。至少保留至年结后,业务数据至少保留至月结后)。1.11.32.3经营风险:导入数据模板未经检查审核,导致系统数据紊乱。合规风险:系统数据的收集、提供、使用、转让违反国家法律法规及股份公司内部规章制度等,导致系统无法正常运行。4.2.2对周期性导入的外部数据的数据模板,需经相关部门负责人审核签字,业务人员在数据导入系统前需对数据的格式进行检查。总部各部门分(子)公司1数据模版审批签字4.3后台作业管理1.11.32.3经营风险:后台作业批处理计划不合理,影响系统正常运行。4.3.1信息管理部门会同相关部门制定后台作业批处理计划,相关责任人签字确认,由应用管理员执行后台作业批处理。总部各部门分(子)公司1后台作业申请表1.1经营风

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论