企业内部控制规范之信息系统

PAGE6PAGE企业内部控制规范信息系统1岗位责任与授权审批制度1．1计算机信息系统岗位责任制度制度名称计算机信息系统岗位责任制度编号受控状态执行部门监督部门考证部门第1条目的为了明确计算机信息系统相关部门和岗位的职责、权限，确保计算机信息系统管理不相容岗位能相互分离、制约和监督，特制定本制度。第2条范围计算机信息系统管理的岗位一般包括系统分析、编程、测试、程序管理、数据库管理、数据控制和终端操作。第3条不相容岗位1.系统开发和变更过程中不相容岗位一般应包括开发立项、审批、编程、测试。2.系统访问过程中不相容岗位一般应包括申请、审批、操作、监控。第4条董事会的主要职责1.审议计算机信息系统战略规划。2.审议重要信息系统政策。3.审议重大信息系统立项申请。第5条总经理的主要职责1.审核计算机信息系统战略规划。2.审核重要信息系统政策。3.审批一般信息系统政策。4.审核和审批信息系统立项申请。第6条信息总监的主要职责1.制定公司信息管理战略规划，报总经理和董事会审批。2.审核信息系统立项申请。3.组织进行信息系统的开发。4.组织相关人员对信息系统的开发结果进行测试。5.推广并不断完善公司信息化系统，加快公司信息化管理步伐。6.引进或组织开发公司信息化管理系统，实现办公自动化。7.推动信息系统的建设与维护，保证公司内无纸化办公。第7条信息部经理的主要职责1.根据公司发展战略及经营计划，编制部门发展规划及工作计划，上报领导审批后组织实施。2.主持信息管理软件平台的开发、应用、监督和管理。3.负责制定公司网络、计算机管理的各项规章制度，上报领导审批通过后贯彻实施。4.监督、检查制度的执行情况，适时修订、完善各项制度。5.组织进行信息系统项目的立项申请工作。6.进行信息系统的分析和开发。7.组织相关人员进行信息系统开发编程工作。8.协调有关职能部门，安排人员进行相关应用软件的安装调试及有关技术支持，对安装调试中出现的各种问题提出处理意见，并协助其妥善解决。9.及时编制系统帮助手册，经领导审批后，及时下发到各相关部门。10.信息化系统在使用过程中，安排人员为各职能部门和子公司提供技术指导，促进系统操作技术的有效运用。11.全面掌握各种交换机设备和服务器的安装、配制技术，管理交换机设备和服务器密码，处理各种网络设备的突发性故障。12.进行程序管理和数据库管理以及数据控制。第8条信息部主管的主要职责1.参与编制部门发展规划及工作计划。2.参与信息系统立项申请工作。3.组织维护公司服务器的正常运行。4.负责公司硬件设施、网络设备的维修管理。5.组织对设备电路及系统进行日常维护、定期检修测试和故障处理，保证设备、电路、系统及网络运行完好。6.参与信息系统立项申请。7.参与进行信息系统的分析和开发。8.进行信息系统开发编程盒测试工作。9.进行相关应用软件的安装调试及有关技术支持。10.进行程序管理和数据库管理以及数据控制。第9条信息部专员的主要职责1.为信息系统立项申请收集资料，进行调研。2.参与进行信息系统的分析和开发。3.参与信息系统开发编程和测试工作。4.参与进行相关应用软件的安装调试及有关技术支持。5.对设备电路及系统进行日常维护、定期检修测试和故障处理。第10条信息系统使用部门的主要职责1.参与制定信息系统战略规划。2.参与制定重要信息系统政策。3.负责记录交易内容，授权处理数据，并利用系统输出的结果。4.接受信息部关于信息系统操作的培训。5.信息系统出现故障，向信息部提出维修申请。6.部门经理负责信息系统操作申请的审批。7.部门主管或经理负责对内部人员操作情况进行监控。第11条本制度由信息部会同公司其他有关部门解释。第12条本制度的配套办法由信息部会同公司其他有关部门另行制定。第13条本制度自年月日起实施。编制日期审核日期批准日期修改标记修改处数修改日期2信息系统的开发管控规范2．1信息系统开发管理制度制度名称信息系统开发管理制度编号受控状态执行部门监督部门考证部门第1条目的为了防止系统在开发过程中可能出现错误和偏差，使系统设计合理、正确，特制定本制度。第2条范围信息系统开发包括系统规划、系统分析、系统设计、系统实施、系统维护与评价五个阶段。第3条系统规划管理1.系统规划管理阶段的参与人员及分工（1）信息总监做信息系统开发项目的总体规划。（2）信息系统开发项目经理根据总体规划制订开发计划。（3）系统分析员负责搜集开发资料。2.系统规划阶段存在的风险及应对策略（1）市场竞争风险，竞争优势有可能被仿效。应对策略:增加自身特色，提高系统的技术含量和竞争优势。（2）政治、经济环境和法律、法规风险。应对策略:做详尽的可行性分析，采用先进工具进行风险控制。（3）缺乏高层领导支持。应对策略:培训、沟通或聘请权威专家开办讲座等。第4条系统分析管理1.系统分析管理阶段的参与人员及分工（1）系统分析员进行资料分析。（2）终端用户对系统提出使用要求。2.系统分析阶段存在的风险及应对策略（1）不合理的组织结构可能影响项目小组进行系统分析的效果。应对策略:业务流程重组，对内部进行调整。（2）用户需求的多样性以及用户的数量和重视程度可能加大系统分析工作的工作量。应对策略:建立多样性的沟通渠道，加强沟通。第5条系统设计管理1.系统设计管理阶段的参与人员及分工（1）系统设计员进行设计新系统总体结构框架设计、代码设计、数据库设计、输入/输出设计、处理流程及模块功能的设计。（2）数据库管理员根据数据的不同用途、使用要求、统计渠道、安全保密性等，决定数据的整体组织形式、表或文件的形式，以及决定数据的结构、类别、载体、组织方式、保密等级等一系列的问题。2.系统设计阶段存在的风险及应对策略（1）开发团队经验不足可能造成信息系统开发时间过长。应对策略:全面考察开发团队，选择有经验的开发人员，并设立有效的监督机制。第6条系统实施管理1.系统实施管理阶段的参与人员及分工（1）程序设计员进行程序设计和系统调试与试运行。（2）数据库管理员进行数据收集，并负责数据格式的标准化和规范化操作。（3）终端用户对系统试运行效果提出意见和建议。2.系统实施阶段存在的风险及应对策略（1）时间和费用超出预算可能造成信息系统开发成本过高。应对策略:编制详尽、科学的预算，加强内部成本管理和控制。（2）用户经验不足可能导致系统功能不完整。应对策略:加强教育培训。第7条系统维护与评价管理1.系统维护与评价管理阶段的参与人员及分工（1）系统维护人员进行日常运行维护和系统的更新维护。（2）数据库管理员进行数据库和代码维护。2.系统维护与评价阶段存在的风险及应对策略（1）数据是否准确、安全，这直接影响信息系统开发的效果。应对策略:进行合理的系统设计，采用防火墙和加密技术。（2）系统目标不明确、缺乏软件质量监控，可能导致系统功能不健全。应对策略:制定明确的目标，加强质量管理。第8条本制度由信息部会同公司其他有关部门解释。第9条本制度的配套办法由信息部会同公司其他有关部门另行制定。第10条本制度自年月日起实施。编制日期审核日期批准日期修改标记修改处数修改日期3信息系统的运行与维护管控规范3．1硬件设备日常管理方法制度名称硬件设备日常管理方法编号受控状态执行部门监督部门考证部门第1章总则第1条为了加强信息系统的硬件管理，保证企业信息系统的稳定运行，特制定本方法。第2条本方法适用于信息部与各用户部门涉及使用企业信息系统的相关人员。第2章硬件采购第4条硬件设备的购买申请由使用部门提出并填制“硬件设备请购单”，“硬件设备请购单”的内容应包括硬件设备名称、规格、型号、单价、总额、主要制造厂商以及购置原因等。第5条“硬件设备请购单”由所在部门经理审核后提交至信息部经理审批，单件设备价格在5万元以上或总批量价格在10万元以上的应提交至信息总监和总经理审核与审批。第6条总经理审批签字后送交采购部进行采购。第7条购买回的硬件必须经由信息部相关人员检测，以确认其符合产品标准，若不符合则由采购人员联系厂家退换。第8条购买回的硬件需注意保存好其使用说明书、驱动程序及保修书。第9条经检测完好的硬件由信息部人员统一贴上标签。第10条所贴标签内容1.硬件名称、编号。2.硬件购买日期。3.硬件使用部门、人员或保管人。第3章硬件的使用第11条企业的硬件设施由授权人员使用，未经授权的人员一律不得使用。第12条使用硬件时禁止在硬件周围抽烟、吃零食、嗑瓜子等，以防对硬件造成污染或损伤。第13条未经允许禁止移动硬件的位置，移动硬件时需得到信息部的批准并在信息部的监督下进行，否则造成的后果由当事人承担。第14条任何人禁止更换硬件上的标签与硬件的部件，发现后将按公司相应规定进行处罚。第4章硬件的保管、报修、维护第15条使用部门需指派专人对硬件进行保管，没有指派专人的，视部门经理为保管人。第16条硬件保管人因离职、调动等发生变化时，信息部工作人员要及时更新信息。第17条当硬件出现问题时，及时联系信息部人员，禁止私自修理、拆卸硬件。第18条信息部人员应对出现问题的硬件进行检查并联系厂商进行维修。第19条修理或维护过的硬件由信息部修理或维护人员与保管人共同填写“硬件维护记录表”，并加以保存；信息部人员需将此条信息记入《硬件管理档案》，并定期由信息部经理及运营总监审核。第20条信息部人员应定期对硬件进行检查和维护，以确保其性能的稳定。第21条硬件设备因老化、损耗及其他原因报废时，由信息部工作人员进行检测后填写“硬件报废单”，经审批通过后进行报废处理，同时将信息记入档案。第5章附则第22条本方法由信息部会同公司其他有关部门解释。第23条本方法的配套办法由信息部会同公司其他有关部门另行制定。第24条本方法自年月日起实施。编制日期审核日期批准日期修改标记修改处数修改日期3．2信息化会计档案管理制度制度名称信息化会计档案管理制度编号受控状态执行部门监督部门考证部门第1条为了保证会计信息化工作的顺利开展，保障信息化会计档案的安全与完整，现根据国家相关法规，结合本企业的实际情况，特制定本制度。第2条本制度所称的会计信息化是指利用计算机信息技术代替人工进行财务信息处理，以及替代部分由人工完成的对会计信息进行分析和判断的过程。第3条本制度所称的信息化会计档案是指存储在磁性介质或光盘介质的会计数据和计算机打印出来的书面等形式的会计数据，包括记账凭证、会计账簿、会计报表（包括报表格式和计算公式）等数据。1.会计凭证类数据:原始凭证、记账凭证、汇总凭证、其他会计凭证。2.会计账簿类数据:总账、明细账、日记账、固定资产卡片、辅助账簿、其他会计账簿。3.财务报告类数据:季度、年度财务报告，包括会计报表、附表、附注及财务情况说明书、其他财务报告。4.其他类数据:银行存款余额调节表、银行对账单、其他应当保存的会计核算专业资料，会计档案移交清册，会计档案保管清册、会计档案销毁清册。第4条电算审查人员负责信息化会计档案的管理，其日常工作归会计信息主管（一般由会计主管兼任）监督检查。第5条信息化会计档案按会计档案管理的规定执行，会计电算化系统开发的全套文件档案资料视同会计档案进行管理，保存期限为截止系统停止使用或重大更改后3年。第6条存储于磁带、磁盘等磁介质中的资料（包括会计凭证、科目余额、科目名称及编码、会计电算化的取数公式、计算公式等程序或数据资料），在没有打印成书面文件之前要妥善保管；在有关资料已有书面文件的前提下，软盘储存文件的保存期为2年以上。第7条信息化会计档案的存放要做到防消磁、防火、防潮、防盗、防尘、防高温、防虫害；会计数据的备份软盘要存放在两个不同的地点，并定期复制。第8条本制度由财务部会同公司其他有关部门解释。第9条本制度的配套办法由财务部会同公司其他有关部门另行制定。第10条本制度自年月日起实施。编制日期审核日期批准日期修改标记修改处数修改日期4信息系统管理相关文件资料 4．1信息系统应急预案内控文本名称信息系统应急预案编号一、信息系统应急预案处理机构公司成立信息安全领导小组，由信息部经理任组长，信息部主管和行政部主管等为领导小组成员，信息安全岗由各部门系统管理员担任，网络安全岗由信息部网络安全管理员担任，计算机硬件安全岗由信息部硬件管理员担任。二、预案的启动在发生网络与信息安全事故时，应立即启动应急预案。三、黑客攻击或软件系统遭破坏性攻击时的应急预案1.重要的软件系统平时必须存有备份，与软件系统相对应的数据必须有多日的备份，并将它们保存于安全处。2.当值班人员通过入侵监测系统发现有黑客正在进行攻击时，应立即向信息安全领导小组日常应急办公室报告；软件遭破坏性攻击（包括严重病毒）时，应将系统停止运行。3.管理员首先要将被攻击（或病毒感染）的服务器等设备从网络中隔离出来，以保护现场，同时向信息安全领导小组通报情况。4.日常应急办公室负责恢复与重建被攻击或被破坏的系统，恢复系统数据，并及时追查非法信息来源。5.事态严重的应立即向信息部总监和信息安全领导小组组长报告，并根据指示向公安部门报警。四、数据库发生故障时的应急预案1.一旦数据库崩溃，值班人员应立即进行数据及系统修复，修复困难的，可向信息安全领导小组汇报情况，以取得相应的技术支持。2.无法修复的，应立即向软硬件提供商请求支援。在取得相应技术支援也无法修复的，应及时向信息安全领导小组组长报告，在业务操作可弥补的情况下，利用最近备份的数据进行恢复。五、网络线路中断或硬件设备出现故障时的应急预案1.网络主线路、备用线路有一条中断或硬件设备出现故障，网络管理员应立即启动备用线路或备用设备继续工作，同时向信息安全领导小组报告。2.网络管理员要迅速判断故障节点，查明故障原因，并及时予以恢复。如中断属电信运行商原因的，应立即与电信运行商的维护部门联系，要求尽快恢复。3.如果主线路、备用线路同时中断，或者出现故障的硬件设备一时无法修复的，网络管理员应在判断故障节点、查明故障原因后，尽快处理解决，同时向信息安全领导小组汇报。自己一时无法处理解决的，经信息安全领导小组组长同意后，通告各部门暂停业务操作，并立即向网络维护商请求援助解决。六、外部电中断后的应急预案1.外部电中断后，机房值班人员应立即向硬件管理员汇报情况。2.如因局内线路故障，请物业管理部门迅速恢复。3.如果是供电局的原因，应由办公室立即与供电局联系，请供电局迅速恢复供电；如果供电局告知需长时间停电，应做如下安排。（1）预计停电4小时以内，由UPS供电。（2）预计停电4~24小时，应关掉非关键设备，确保各主机、路由器、交换机供电。（3）预计停电超过24小时，白天工作时间要保证关键设备的运行，晚上所有设备应停机。（4）预计停电超过72小时，应联系安装小型发电机自行发电。七、发生火灾时的应急预案1.发生火灾，应遵循下列原则（1）保证人员安全。（2）保证关键设备、数据安全。（3）保证一般设备安全。2.人员灭火和疏散的程序（1）值班人员应首先切断所有电源，同时电话报警。（2）灭火值班人员应戴好防毒面具，从最近的位置取出灭火器进行灭火。（3）其他人员按照预先确定的路线迅速有序地撤出。八、发生自然灾害后的应急预案1.一旦发生自然灾害，导致设备损坏，灾害发生部门应向信息安全领导小组请求支援。2.信息安全领导小组接到支援请求后，应在4小时内派遣人员携带有关设备赶到现场。3.支援小组帮助灾害发生部门恢复系统和网络，并配置受损的硬件设备。4．2会计信息系统使用人员权限说明书内控文本名称会计信息系统使用人员权限说明书编号一、财务总监权限1.根据国家宏观经济政策和公司的发展要求，不断修正和完善会计信息系统整体功能。2.及时组织技术人员解决软件在运行中所发生的技术问题。3.有权对软件源程序进行编译或对程序进行加密。4.有权制止软件的非法拷贝和传播。5.有权拒绝来历不明的软件或带有病毒的软件在会计信息系统中运行。6.有权对有关人员的操作权限进行设置和调整。二、财务部经理权限1.运用信息系统资源和分析模块，结合公司的实际经营情况，对公司的财务状况进行简要分析，为公司领导的经营决策提供依据。2.负责指导相关人员正确掌握会计软件的使用方法。3.有权对系统操作员的工作进行检查和监督。4.有权拒绝来历不明的软件或带有病毒的软件在会计电算化系统中的运行。5.有权对有关人员的操作权限进行设置和调整。三、财务部主管权限1.在会计信息系统软件的运行阶段，负责日常的维护和管理，帮助系统操作员熟练掌握操作技能。2.检查督促系统操作员对数据的备份情况。3.检查各操作员操作的日志记载情况，对计算机开机、关机和运行情况进行检查，防止非法调用和操作。4.为保证会计软件的正常运行和数据的保密与安全，不得进入数据库直接对会计数据进行修改。5.对于系统内发生计算机病毒等情况需运用杀毒软件消除病毒，并向负责计算机安全的公安机关反映。6.为保守公司经济秘密和会计数据的安全，不得将公司会计数据以任何形式带出或对外提供。7.有权设置属于本岗位权限范围内的操作