XX公司信息系统管理内部控制业务流程

XX公司信息系统管理内部控制业务流程一、业务目标1战略目标1.1保证公司信息系统平安运行和信息流的有效传递，促进信息资源共享，标准信息管理，利用信息系统提高工作效率和管理水平，提高公司核心竞争力。2经营目标合理规划建设信息系统，防止重复建设和资源浪费，保证信息系统建设的优质、高效和低本钱。保护公司信息化系统的平安、促进公司信息化系统的应用和开展，保证公司信息化软件系统的正常运行。加强网站的管理、使用、维护，发挥网站的正面引导作用。3财务目标确保通过信息系统生成的资料真实、准确、完整，报告可靠。4合规目标遵守知识产权的有关法律法规，使用合法软件。符合合同法等国家法律、法规和公司内部规章制度。二、业务风险1战略风险信息系统管理制度设计不合理或控制不当，使信息系统不能平安运行、信息流不能有效传递，从而降低公司的核心竞争力。经营风险信息系统建设工程不符合公司经营目标，重复建设、低效投资。技术方案不合理、不标准，系统功能存在问题，导致系统不能满足规划需求。信息系统平安问题导致网络故障、病毒侵袭、非法入侵及泄密等，或系统灾难无法及时恢复。未经审核，擅自变更相关合同标准文本中涉及的权利、义务条款，承当违约风险。系统陈旧，导致不能满足需求。财务风险信息系统建设、维护费用资料不完整、不准确、不真实，不能正确核算建设本钱或费用。合规风险侵犯知识产权，导致诉讼争议及公司声誉受到损害。相关合同违反合同法等国家法律、法规和公司内部规章制度的要求,造成损失。信息系统管理流程设计不合理或控制不当，使对外披露的信息失真而受到外部监管机构的处分。三、业务流程步骤与控制点1信息系统的建设编制、审定工程建议书综合管理部根据相关职能部门提出的要求，会同相关部门结合公司开展需要进行有关建设信息系统的分析和调查，初步确定有关信息系统建设工程建议书，并提交给领导审批。经审批同意后，综合管理部组织相关业务部门进行讨论，如有必要应实地考察。经讨论的工程建议书，交公司领导审批。工程投资金额不超过净资产2%工程须报董事长审批，超过净资产2%工程应由董事会批准。组织编制、审定工程解决方案工程建议书获审定后，综合管理部组织公司方案财务部等相关业务部门成立工程组，由工程组开展工程前期工作，协同有关软件供应商编制工程解决方案。工程解决方案如需委托编制，工程组应拟定合同文本，送法律参谋审核后报公司分管领导、总经理、董事长审批，并由董事长或其书面委托人员签订。外协单位按委托合同规定及时编制工程解决方案，并由工程组聘请有关专家对工程解决方案进行专家独立评审。工程组参与审查工程解决方案。方案财务部拟定资金筹措方案，经财务总监审批，资金筹措方案纳入解决方案内。工程组将经审查的工程解决方案、工程建设请示报告和专家独立评审报告送公司相关领导和董事长或董事会审批。工程实施一般工程由工程组具体组织实施工程方案。重大或重要的工程应选择外协单位配合执行。工程组提出重大工程招标方案，送公司分管领导、总经理、董事长审核签字。董事长审定招标方案，并由工程组负责组织实施，选定具有相应资格的外协单位。审计监察室参与审核招标方案，并对招〔投〕标过程的公开、公平、公正性实施监督并签字。法律参谋对招标方案提出法律意见。工程组起草外协单位合作合同的文本，交法律参谋审核。公司分管领导、总经理、董事长审批合同文本，并由董事长或其书面委托人员签订，催促合同执行。外协单位按合同规定执行信息系统的设计、软件的采购等，工程组监督、配合外协单位保质、高效地完成外协工作。工程验收在信息系统建设到达预定使用目标，工程组组织有关部门验收。重大工程应同时聘请具备相关资质的外部独立单位参与验收。验收部门现场操作、试用信息系统，并填写阶段性的验收报告，报公司分管领导、财务总监、总经理审批。方案财务部根据验收报告和合同，支付阶段进度款。各部门操作、试用信息系统至少三个月〔或根据合同规定实行期限〕，随时向综合管理部信息中心反应信息系统的运行情况。综合管理部信息中心应将各部门反应的资料进行整理、汇总，测试完毕到达既定的标准，填写验收报告，并向方案财务部申请按合同支付相应尾款。如验收不合格，应及时通知方案财务部暂停付款，并通知外协单位及时维护。验收合格后一年内支付尾款。综合管理部信息中心在获得软件后，必须做好多套备份。2信息系统的日常维护建立健全信息系统管理制度，公司设立信息中心，归口综合管理部管理，信息中心应配备具有相应专业能力的人员。电脑机房管理实行专人负责制，机房应严格遵守公司有关管理制度及要求。信息设备的维护、维修公司使用的电脑由信息中心进行定期检查、维护，一般每个月维护一次并安排专人负责或协调供应商进行信息设备的维护、维修工作。设备发生故障，使用部门和使用人作简易处理仍不能排除故障的，要及时向信息中心申请维修，说明设备故障情况，填写维修记录单，经使用人、使用部门主管签字后交综合管理部。信息中心人员接到信息设备的维护、维修报告后，要及时进行维护、维修。属于保修期内设备需要进行硬件维修的，由维修人员检查后报信息中心，统一联系保修单位维修或更换。信息设备的使用人要检查维护、维修情况和设备修复情况，验收后签字确认。信息中心应做好备用及闲置设备的管理，对淘汰的电脑及设备应进行适当的回收、分拣处理，具体见固定资产处置业务流程。信息设备采购、验收公司需用部门提出有关信息设备的采购、升级和更新报告，经公司分管领导审批后送公司信息中心评估。信息中心对报告进行评估后提出采购或升级、更新方案，按照比质、比价的原那么询价，编制询价报告，形成设备采购请示报告，报公司分管领导同意、总经理审批并确定供应商，当采购数量大、费用高〔10万元以上〕时，还需经董事长审批。采购金额五万元以上的，采用招标的方式进行采购。信息中心草拟采购合同，法律参谋审核。信息中心将采购合同与法律参谋的审核意见报分管领导、董事长审批，由董事长或授权人员签订。信息中心根据采购合同采购。信息中心组织相关部门进行验收，编制验收报告，由验收人员签字。信息中心存档、保管相应软件和说明，并将采购情况报告公司分管领导。方案财务部根据采购合同、发票及验收报告，经财务总监、总经理审批后付款。信息中心通知公司使用部门领取信息设备，并详细登记领用情况。信息中心统一建立实物台帐，每一台设备由使用人或使用部门负责保管，使用部门、使用人在实物登记表或设备到货清单上签字确认。未经公司信息中心同意，任何人不得擅自安装、拆卸或改变网络设备，不得损坏、破坏网络设备。网络及网络平安管理建立健全网络及网络平安管理制度信息中心设置专人负责电脑网络及网站的管理，从网络技术上积极采取平安防范措施和监控措施，防止泄密和外来黑客攻击，保证网络正常、平安运行，及时排除网络故障。信息中心组织制定网络平安管理方案，网络平安管理人员负责网络平安工程施工管理、验收和网络平安维护。网络平安设备的配置和规那么设置由网络平安管理人员协同产品供应商进行，并由网络平安管理人员控制掌握。网络平安设备的配置和规那么设置更改，由公司网络平安管理人员负责，其它人员不得改动。凡需安装电脑网络终端设备，进入电脑网络的用户，由信息中心统一安排联网。信息中心组织公司信息系统工作人员学习网络平安相关的法律法规，进行网络平安知识培训，提高工作人员的维护网络平安的警惕性和自觉性。网络平安管理人员负责对本网络的用户进行平安教育和培训，使其具备根本的网络平安知识。公司职工如发现网络运行不正常，应及时通报信息中心进行处理。网络平安管理人员负责协助信息设备用户正确安装、使用软件、病毒防火墙，并按说明定期进行防火墙升级。信息中心统一购置电脑杀毒软件，并定期升级更新。电脑感染病毒，电脑用户不能杀除的，须即时通知信息中心进行处理。电脑入网前必须到公司信息中办理登记手续方可接入。未经许可，不得私自将电脑接入。建立健全数据备份管理制度信息中心安排系统维护人员负责建立数据备份系统，防止系统、数据的丧失。由网络系统管理员负责将以下信息存储于磁介质及光盘上，并认真填写备份日志，记录下备份的内容、时间：网络效劳器端操作系统、系统及应用软件、数据库信息、网站信息、文档数据库、共享资源平台，CM0S数据。文件效劳器实行双硬盘同时工作，硬盘要做镜像备份。系统维护人员应按照公司有关规定时间进行备份。备份数据及相关的数据档案统一保存在信息中心。未经领导批准不得外借。数据备份和数据存储用的磁介质要严格管理、妥善保存。一旦发生数据丧失或数据破坏等情况，必须由系统维护人员进行备份数据的恢复，以免造成不必要的麻烦或更大的损失；如遇效劳器遭受攻击或网络病毒，造成数据丧失或系统崩溃，需要进行数据恢复，需由网络管理员执行恢复程序。同时将具体情况做记录。建立健全信息系统保密管理制度：信息网络的系统软件、应用软件及信息数据要实施保密措施，严格按照保密等级实施保护。不得向非公司工作人员透露内部网登录用户名和密码，做好各个应用系统的用户名和密码的保密工作。系统软件应对访问权限严格限制，对不同的操作人员、不同的信息等级分设密码。系统管理员密码绝对保密，根据用户需求严格控制、合理分配用户权限。使用者由信息中心分配各自的操作密码，严格防止非授权人员接触和修改已存储数据。除系统管理员以及授权人外，其他人不得进入效劳器对已存储数据进行查询或修改。软件系统实施及维护管理软件系统维护由于业务政策变化、数据破坏等因素，需对软件的内容、数据进行修改维护时，由业务主管部门负责人提出修改意见，送达信息中心，信息中心系统管理人员进行修改维护，同时作好相应的维护记录。系统维护员必须定期检测软件运行情况，及时进行电脑病毒的预防、检查工作。发现潜在危险及时通知操作人员中止软件运行，尽快处理。程序修正与软件数据调整、数据的修正与恢复按照公司有关规定执行。3网站管理公司外网由信息中心负责或协调公司选定的网络公司进行维护、修改和上传信息。公司信息中心网站管理人员每天定时〔六次以上〕登录网站论坛，维护、整理网站内容。公司各部门分别管理业务相关的论坛板块，不定时登录论坛，对具倾向性、普遍性的问题的帖子及时作出回复。如用户发出的帖子内容与论坛板块不符时，一般由信息中心负责通知相关部门处理。信息中心根据信息量多少，不定时收集网站论坛相关信息，报送公司相关领导。网管人员应及时更新网站内容，保证网站及时、快捷地反映公司动态。如公司内外网站需新建或改版，由信息中心联系网络公司，按照公司要求，制定网站建设或改版方案，经公司分管领导、总经理审查批准后实施。公司信息中心参与网站制作方案的制定和功能设计。4建立健全信息收集、传递、上传管理制度信息收集公司各部门指定一至二名专〔兼〕职信息员，负责公司信息收集、传递和上传。各部门需传递的信息须经部门负责人审批后传递至公司信息中心。信息中心每周星期一必须对上周信息进行汇总，假设需通过外网发布信息，须由信息中心经公司分管领导、总经理审批并签字。公司信息中心负责国家相关政策、行业信息〔包括竞争对手信息、新技术信息、市场信息〕的收集和公司生产经营信息的汇总、分类等。并将收集的信息进行编辑，每月编制一期?情报通讯?，以书面或电子邮件方式报送相关领导和部门。信息收集部门或人员在传递信息的过程中应保证信息的平安。信息中心与各部门、分公司的信息传递以书面、电子邮件等方式进行，并做好传递中的信息平安。信息管理人员应做好信息备份工作，保证系统遭破坏后，公司信息不会丧失。信息管理人员应对信息保密，不得将数据库内敏感信息和保密信息外泄。公司规定信息资源共享的等级和范围，明确各密级信息的使用权限，信息中心在电脑系统设置用户存取资格检查和身份识别功能，重要信息采取加密措施。各部门均分配专门的电子邮箱，实现无纸化传递不保密文件，各部门负责人应在每个工作日的上、下班时间检查电子邮件，并进行处理。信息人员在对信息进行加工时，要对其实质内容加以鉴别，力求真实准确，分清其轻重缓急，认真处理，并反复分析、综合。信息中心负责每半年召开一次公司信息工作例会。各部门需要通过公司外网发布的信息，须经公司分管领导批准同意后由信息中心上传至外网。5 信息系统管理监督及检查对信息系统管理情况进行专项检查，也可结合内部审计和外部审计期间检查、审计等工作进行。对信息系统管理情况进行专项检查的内容包括但不限于：信息系统管理业务相关岗位及人员的设置情况。重点检查有关信息系统管理是否存在不相容职务混岗的情况。信息系统管理业务不相容岗位一般包括：信息设备采购的申请与审批；信息设备采购的询价与确定供应商；信息设备的保管与清查；信息设备采购的审批、执行与相关会计记录；设备登记实物账与登记价值账；软件的使用与维护；信息资源上传的申请与审批等。信息系统管理授权批准制度的执行情况。重点检查对外披露信息的授权批准手续是否健全，是否存在越权审批行为。信息系统管理决策责任制的建立及执行情况。重点检查责任制度是否健全，奖惩措施是否落实到位。信息系统管理制度的执行情况。重点检查信息的收集、传递、上传是否经过授权批准，是否按规定及时处理有关的信息资料。各类款项支付制度的执行情况。重点检查信息系统建设工程款、材料设备款及其他费用的支付是否符合相关法规、制度和合同的要求。综合管理部作为公司信息系统归口管理部门，每年12月底前至少一次检查公司各部门信息系统管理制度执行情况。每年末对信息收集、传递工作进行评比，对传递信息及时、质量高、数量足等信息工作成绩突出的集体或个人给予一定的精神和物质奖励。审计监察室应在信息系统管理的过程中进行不定期或定期的检查，并将检查情况和有问题单位的整改情况上报董事会。董事会对审计监察室上报的检查情况通报各部门，对存在以下问题的单位，在公司内部通报批评，下达整改通知，有关单位应采取有效措施进行整改，确属相关人职工作不力的，视其情节，采取教育、赔偿、经济处分、通报批评、调离岗位、行政处