企业内部控制制度之信息系统管理

第三节流程描述目的为了规范**面业股份有限公司（以下简称公司）信息系统的管理，提高企业现代化管理水平，减少人为操纵因素，增强信息系统的安全性、可靠性和合理性,以及相关信息的保密性、完整性和可用性，建立有效的信息与沟通机制提供支持保障。适用范围**面业股份有限公司及子公司。术语与定义信息系统：指公司利用计算机和通信技术，对内部控制进行集成、转化和提升所形成的信息化管理平台。关键控制活动战略规划公司应当按照《内部控制手册•发展战略管理》的规定，在制定公司发展战略时，制定信息系统开发建设规划。项目计划信息系统归口管理部门（为企管部）应根据信息系统建设战略规划组织编制信息系统建设立项建议书，明确建设目标、开发建设方式、人员配备、职责分工、经费预算和进度安排等相关内容。信息系统归口管理部门组织使用部门等相关部门对立项建议开展可行性分析，出具可行性分析报告并作为决策的依据。立项建议经归口管理部门负责人审核后，应根据项目决策权限履行以下审批手续：（1）金额在5万元以下的，报分管领导审批；（2）金额在5万元（含）以上，且在10万元以下的，经分管领导审核后，报总经理审批；（3）金额在10万元（含）以上，且在100万元以下的，依次经分管领导、总经理审核后，报董事长审批；（4）金额100万元（含）以上且未达到股东大会决策权限的，依次经分管领导、总经理、董事长审核后，报董事会审批；（5）金额达到下列标准之一的,应经董事会审议通过后,提交股东大会审议：1）交易涉及的资产总额（同时存在帐面值和评估值的，以高者为准）占上市公司最近一期经审计总资产的50%以上；2）交易的成交金额（包括承担的债务和费用）占上市公司最近一期经审计净资产的50％以上，且绝对金额超过5000万元。立项通过审批后，由信息系统归口管理部门信息主管制定详细的实施计划，明确信息系统开发建设过程中各环节的目标、进度、措施等，加强监督、组织、协调。实施计划报部门负责人审核，分管领导审批。需求分析各相关部门根据业务需要提出需求，明确信息系统需要实现的功能，确保信息系统的功能、性能、安全性等符合业务处理和控制的需要。信息系统归口管理部门应汇总、梳理各相关部门提出的需求，编制表述清晰、表达准确的信息系统需求分析报告，详细描述业务活动涉及的各项工作以及用户的各种需求。由公司分管领导组织各需求部门、相关技术人员对信息系统需求分析报告进行评审，必要时可征求专业机构或专业人员的意见。评审完成后编制评审报告，涉及金额在1万元以下的，由信息系统归口管理部门负责人审批；涉及金额在1万元（含）以上的，报分管领导审批。以业务外包方式进行信息系统开发信息系统归口管理部门应组织相关部门对服务商的市场信誉、资质条件、持续服务能力和质量、对公司所处行业和业务的熟悉程度、成功案例等情况进行调查,对外包服务商进行严格筛选，调查完成后编制调查报告并提出初步意见。必要时可向专业人士或机构咨询。信息系统外包业务属于招标范围的，应当按《内部控制手册•招标管理》进行招标。不属于招标范围的，可采取询比价或直接与供应商谈判等方式初步确定供应商及价格，在调查报告中提出初步意见，报归口管理部门负责人审核、分管领导审核、总经理审批。业务外包的合同谈判和拟定、审批、签署按《内部控制手册•合同管理》的规定执行。开发过程中涉及商业秘密、敏感数据的，公司应当在外包服务商签订详细的保密协议，以保证数据安全。信息系统归口管理部门应当加强业务外包过程管理，建立与外包服务商的沟通与协调机制，加强日常监督，一旦发现偏离合同目标等情况，应及时要求承包方调整改进，及时、有效解决业务外包过程存在的问题。外购信息系统信息系统归口管理部门应根据需求分析合理选择系统软件产品的模块组合和版本。信息系统归口管理部门应对市场的成熟系统软件产品和供应商的市场信誉、资质条件、质量、持续服务能力、后续产品的升级能力、业界评价、口碑进行调查。在筛选供应商和系统软件产品时，应当与供应商进行充分的沟通，以便详细了解供应商产品的功能、性能、安全性、价格是否能够满足公司的需求，外购大型或重要系统软件时可广泛听取行业专家的意见。外购信息系统属于招标范围的，应当按《内部控制手册•招标管理》进行招标。不属于招标范围的，可采取询比价或直接与供应商谈判等方式初步确定供应商及价格，在调查报告中提出初步意见，报归口管理部门负责人审核、分管领导审核、总经理审批。系统上线信息系统归口管理部门应编制试运行计划，由信息系统归口管理部门组织各使用部门负责人集体决策后实施。试运行达到《试运行计划》规定的终止条件时，由各使用部门反馈意见，归口管理部门收集、整理组织相关使用部门、专业技人员等（必要时可聘请专家）进行验收，出具验收报告，报公司分管领导审核。试运行验收合格后，由供方单位制定信息系统上线计划，报归口管理部门信息主管审核（需与各使用部门负责人进行沟通），报归口管理部门负责人审核，分管领导审批。上线计划一般包括人员培训、数据准备、进度安排、应急预案等内容。信息系统归口管理部门组织参与试运行单位进行相关工作部署，根据试运行计划对相关用户和信息技术人员进行培训。系统上线涉及数据由外部往公司内部迁移的，由外部单位负责数据迁移，信息系统归口管理部门负责人指派专人全程跟随；如果涉及数据是在公司内部迁移的，由供应商或企管部软件工程师指导操作，由使用人自行备份关键数据。日常运行维护信息系统归口管理部门应当根据各系统设备运行环境要求及公司的具体情况为各系统设备提供合适的工作环境，确保设备正常、安全运转。信息系统的保养记录软件：由系统负责人（即企管部相关软件工程师）每日对数据进行备份，并保留七天后存入数据盘。企管部信息主管每周对其工作进行检查；（2）硬件：由企管部硬件工程师每日早上检查机房，并对检查情况进行记录。信息系统归口管理部门应监督、指导使用人员正确使用和管理信息系统。信息系统使用人员不得私自安装与工作无关的软件，维护人员应定期对各部门信息系统使用情况进行检查。信息系统出现故障时，由使用部门在ERP系统中提出申请，编制《ERP系统故障报告单》，使用部门负责人审核后软件工程师及时进行处理，如软件需委外维修的，需由软件工程师进行鉴定后，报信息主管后联系服务商联系进行维修，并按《内部控制手册•合同管理》的规定与其签订委外维修合同；如硬件需委外维修的，需由硬件工程师进行鉴定后，与服务商联系进行维修。归口管理部门应建立用户管理制度，根据工作岗位需求严格控制重要业务系统的访问权限。根据数据的保密性和用途，确定拥有系统权限人员的存取权限、存取方式和审批手续。合理分配用户权限，对不同岗位用户、不同信息等级分别设定口令。各业务部门相关人员如因业务需要，需开通额外权限的，需报部门负责人审核，分管领导审批后，由企管部相关软件工程师负责开通。禁止不相容岗位用户账号的交叉操作。系统管理员账号与业务账号分离。公司应与信息系统管理关键岗位人员签订保密协议或合同条款。系统数据应当定期进行备份，避免数据丢失造成损失。信息系统归口管理部门应督促各终端用户定时对关键数据进行备份。系统变更信息系统变更由使用部门提出申请并编制系统变更方案，确保系统变更顺利、安全的进行，信息系统变更方案应当由信息系统归口管理部门软件工程师对其方案进行评估后报使用部门负责人审核，需按本手册4.1-4.6中的规定重新履行各流程及审批手续。安全管理信息系统归口管理部门应加强信息系统安全管理，确保公司信息安全。信息系统的维护人员选择必须经过严格筛选。建立机房及网络、信息系统安全的操作规范，加强计算机及网络安全工作，做好公司局域网、互联网的运行监控，确保网络安全和信息安全。采取严格的安全防范措施，包括病毒防治软件、防火墙技术和上网行为管理系统等。信息系统归口管理部门应做好杀毒软件的维护和升级工作，定期在公司范围内发布病毒防治的相关信息，监督指导员工进行计算机病毒防护的升级工作。建立用户管理制度，根据工作岗位需求严格控制重要业务系统的访问权限。根据数据的保密性和用途，确定拥有系统权限人员的存取权限、存取方式和审批手续。合理分配用户权限，对不同岗位用户、不同信息等级分别设定口令。定期审阅系统账号，避免授权不当或存在非授权账号，禁止不相容岗位用户账号的交叉操作。通过网络传输的涉密或关键数据，应当采取加密措施，确保信息传递的保密性、准确性和完整性。

第四节流程图第五节权限表审批事项供方单位信息系统归口管理部门使用部门分管领导总经理董事长董事会股东大会相关人员负责人相关人员负责人信息系统建设立项金额在5万元以下的/组织编制①审核②//审批③////金额在5万元（含）以上，且在10万元以下的/组织编制①组织可行性分析②参与可行性分析③/审核④审批⑤///金额在10万元（含）以上，且在100万元以下的/组织编制①组织可行性分析②参与可行性分析③/审核④审核⑤审批⑥//金额100万元（含）以上且未达到股东大会决策权限的/组织编制①组织可行性分析②参与可行性分析③/审核④审核⑤审核⑥审批⑦/金额达到下列标准之一的,应经董事会审议通过后,提交股东大会审议：①交易涉及的资产总额（同时存在账面值和评估值的，以高者为准）占上市公司最近一期经审计总资产的50%以上；②交易的成交金额（包括承担的债务和费用）占上市公司最近一期经审计净资产的50％以上，且绝对金额超过5000万元。/组织编制①组织可行性分析②参与可行性分析③/审核④审核⑤/审议⑥审批⑦信息系统建设实施计划/制定①审核②//审批③////信息系统需求分析涉及金额在1万元以下的/汇总需求②审批④提出需求①/组织评审③////涉及金额在1万元（含）以上的/汇总需求②/提出需求①/组织评审③审批④////供应商及价格的确定（注：属于招标范围的按《招标管理制度》执行）不属于招标范围的信息系统外购及业务外包/组织调查、询价①审核②//审核③审批④///信息系统试运行计划/编制①组织进行集体决策②/参与集体决策③/////信息系统的验收/收集、整理意见②验收并出具验收报告③反馈意见①/审核④////信息系统上线计划制定①审核②审核③//审批④////日常维护（