企业内控应用手册之信息系统-风险控制矩阵

,,,,,,,,,,,,,,,,,,,,,,,,

,风险控制矩阵,,,,,,,,,,,,,,,,,,,,,,

,,,,,,,,,,,,,,,,,,,,,,,,

,公司名称：,机关本部,,,,,,,,,,,,,,,,,,,,,

,流程名称：,信息系统,,,,,,,,,,,,,,,,,,,,,

,,,,,,,,,,,,,,,,,,,,,,,,

,子流程名称,控制目标及对应风险,,,,控制活动,,,,,,,,,控制运行有效性测试,,合规对比（企业内部控制规范及配套指引）,,内部控制缺陷,,,,

,,控制目标编号,控制目标,风险点编号,风险点,控制活动编号,标准控制活动,现有控制活动,重要性程度,制度,文档,责任部门及岗位,控制形式,执行频率,测试底稿编号,测试结论,条款,规定内容,控制缺陷编号,内控缺陷,缺陷描述,整改建议,缺陷等级

,信息系统规划与开发,IT-CO-01,信息系统整体规划工作科学合理，并经管理层授权。,IT-R-01,信息系统建设缺乏项目规划或者规划不当，导致信息系统的战略、规划和预算与实体业务和战略目标未能保持一致。,IT-CA-01,企业信息管理部门制定信息系统战略及中长期规划，并经管理层审批通过，以支持实体的整体业务战略和信息系统要求。管理层定期根据长期及短期计划定期监督信息系统战略及中长期规划执行情况。,"信息系统战略规划

公司定期制定三年IT战略规划，由信息管理部负责组织制定和修订，并层层上报给部门领导、分管副总经理、总经理审批，最后由信息管理部负责落实工作发展规划，协助公司的整体发展策略。",一般,《xx地产（集团）股份有限公司信息化管理制度》,三年IT战略规划,成本管理中心/信息管理部,手工控制,每年,无,无,"企业内部控制应用指引第18号——信息系统

第五条","第五条

企业应当根据信息系统建设整体规划提出项目建设方案，明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容，按照规定的权限和程序审批后实施。",无,无,无,无,无

,,,,,,IT-CA-02,"企业信息管理部门按照公司信息系统战略及中长期规划，制定年度信息系统工作计划，并经授权领导审批。

下属企业的年度信息系统工作计划报集团公司授权领导审核并批准。","信息系统年度工作计划的审批和评估

公司信息管理部根据三年IT战略规划，于年末制定下一年度的信息系统年度工作计划及投入预算，预算方案包括：软硬件投入、网络投入、运维投入、服务投入等各个方面，由部门领导、分管副总经理、总经理层层审批。

每年末，信息管理部相关岗位部门工作总结，对年度工作计划执行情况实施回顾与自我评价，报相关领导审阅。",关键,《xx地产（集团）股份有限公司信息化管理制度》,"信息系统年度工作计划

信息系统年度工作总结",成本管理中心/信息管理部,手工控制,每年,IT-T-01,0,"企业内部控制应用指引第18号——信息系统

第五条","第五条

企业应当根据信息系统建设整体规划提出项目建设方案，明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容，按照规定的权限和程序审批后实施。",无,无,无,无,无

,,IT-CO-02,部门职能边界清晰，岗位职责明确。,IT-R-02,职责权限划分不清晰，容易造成工作遗漏或重复。,IT-CA-03,信息系统管理部门按功能设立有部门经理、系统开发团队及技术支持团队；由部门经理统筹安排各类信息系统资源的开发、维护工作，下属各岗位人员的职责范围及要求已于公司《岗位职责说明》内明确规定，并于招聘、考核相关岗位人员时遵照执行。,"部门设置及人员职责

公司信息管理部作为成本管理中心下的二级部门，负责信息系统规划、采购、变更、日常运行维护、安全管理等工作。

部门内部设置一名部门经理，统筹安排各类信息系统相关的各项工作，对下属各岗位的职责分工进行明确的划分。",一般,无,信息管理部岗位职责,成本管理中心/信息管理部,手工控制,业务发生时,无,无,"企业内部控制应用指引第18号——信息系统

第七条",企业信息系统归口管理部门应当加强信息系统开发全过程的跟踪管理，组织开发单位与内部各单位的日常沟通和协调，督促开发单位按照建设方案、计划进度和质量要求完成编程工作，对配备的硬件设备和系统软件进行检查验收，组织系统上线运行等。,无,无,无,无,无

,,IT-CO-03,系统开发外包服务商经严格筛选，确保价格和质量符合公司要求，并签订合同，确保外包业务合法合规。,IT-R-03,外包服务商未经过经严格筛选，缺乏严格的外包服务审批和管控流程。,IT-CA-04,管理当局在选择外包服务商时关注其服务商的市场信誉、资质条件、财务状况、服务能力、对企业业务的熟悉程度、既往承包服务成功案例等因素，对外包服务商进行严格筛选。,无.本部未采用外包商,一般,无,"采购审批

外购商采购合同",成本管理中心/信息管理部,手工控制,业务发生时,无,无,无,无,无,无,无,无,无

,,,,,,IT-CA-05,管理当局严格执行企业外包服务审批及管控流程，对信息系统外包业务，采用公开招标等形式选择外包服务商，并实行集体决策审批。,无.本部未采用外包商,一般,无,无,成本管理中心/信息管理部,手工控制,业务发生时,无,无,无,无,无,无,无,无,无

,,,,IT-R-04,企业未建立外包服务质量考核评价指标体系，未能对外包服务进行有效评价。,IT-CA-06,管理当局为规范外包服务评价工作流程，明确了相关部门的职责权限，建立外包服务质量考核评价指标体系，定期对外包服务商进行考评，并公布服务周期的评估结果，实现外包服务水平的跟踪评价。,无.本部未采用外包商,一般,无,无,成本管理中心/信息管理部,手工控制,业务发生时,无,无,无,无,无,无,无,无,无

,日常运行维护,IT-CO-04,信息系统日常运行管理制度规范，例行检查到位，数据备份。,IT-R-05,没有建立规范的信息系统日常运行管理规范，计算机软硬件的内在隐患易于爆发，可能导致企业信息系统出错。,IT-CA-07,企业应制定信息系统使用操作程序、信息管理制度以及各模块子系统的具体操作规范，及时跟踪、发现和解决系统运行中存在的问题，确保信息系统按照规定的程序、制度和操作规范持续稳定运行。,"信息系统的制度管理

公司制定了《保利地产信息化管理制度》，对信息管理部的部门职能与权限、本部信息化管理流程、对下属子公司信息化管理流程以及考核制度等相关方面的内容作出了明确规定。",一般,《xx地产（集团）股份有限公司信息化管理制度》,无,成本管理中心/信息管理部,手工控制,业务发生时,无,无,"企业内部控制应用指引第18号——信息系统

第十条

企业内部控制基本规范第一章——总则

第七条","第十条

企业应当加强信息系统运行与维护的管理，制定信息系统工作程序、信息管理制度以及各模块子系统的具体操作规范，及时跟踪、发现和解决系统运行中存在的问题，确保信息系统按照规定的程序、制度和操作规范持续稳定运行。

企业应当运用信息技术加强内部控制，建立与经营管理相适应的信息系统，促进内部控制流程与信息系统的有机结合，实现对业务和事项的自动控制，减少或消除人为操纵因素。",无,无,无,无,无

,,,,,没有执行例行检查，导致一些人为恶意攻击会长期隐藏在系统中，可能造成严重损失。,IT-CA-08,切实做好系统运行记录，尤其是对于系统运行不正常或无法运行的情况，应对异常现象发生时间和可能的原因作出详细记录。,"异常情况的记录

公司信息系统已经设置并启用了自动记录日志功能，能将用户的所有操作活动全部予以保留，系统管理员会定期对系统的日志进行复核。",一般,《xx地产（集团）股份有限公司信息化管理制度》,系统日志,成本管理中心/信息管理部,系统控制,每周,无,无,"企业内部控制应用指引第18号——信息系统

第六条","第六条

企业应当在信息系统中设置操作日志功能，确保操作的可审计性。对异常的或者违背内部控制要求的交易和数据，应当设计由系统自动报告并设置跟踪处理机制。",无,无,无,无,无

,,,,,,IT-CA-09,企业要重视系统运行的日常维护，在硬件方面，日常维护主要包括各种设备的保养与安全管理、故障的诊断与排除、易耗品的更换与安装等，这些工作应由专人负责。,"信息系统的日常维护

公司信息管理部负责公司信息系统的日常维护，各部门在使用信息系统时如果发生系统故障，通过电话说明故障原因，信息管理部及时安排人员进行处理，如无法解决，及时联系系统提供商。",一般,《xx地产（集团）股份有限公司信息化管理制度》,系统维护记录,成本管理中心/信息管理部,手工控制,业务发生时,无,无,"企业内部控制应用指引第18号——信息系统

第十五条","第十五条

企业应当加强服务器等关键信息设备的管理，建立良好的物理环境，指定专人负责检查，及时处理异常情况。未经授权，任何人不得接触关键信息设备。",无,无,无,无,无

,,,,IT-R-06,企业信息系统数据未能定期备份，可能导致损坏后无法恢复，从而造成重大损失。,IT-CA-10,管理当局建立系统数据定期备份制度，明确备份范围、频度、方法、责任人、存放地点、有效性检查等内容。,"系统数据备份机制

公司的信息系统均采用异地备份的方式，机务系统每日实施信息的异地备份。",一般,《xx地产（集团）股份有限公司信息化管理制度》,数据备份,成本管理中心/信息管理部,系统控制,每日,无,无,"企业内部控制应用指引第18号——信息系统

第十四条","第十四条

企业应当建立系统数据定期备份制度，明确备份范围、频度、方法、责任人、存放地点、有效性检查等内容。",无,无,无,无,无

,,IT-CO-05,确保灾难发生或遇突发事件时，关键业务流程及其信息系统能够及时、准确的得以恢复,IT-R-07,缺乏明确的灾难应对、系统恢复计划、演练，不利于公司的持续经营。,IT-CA-11,企业应当制定标准的灾难恢复计划，并经过适当的授权审批。,"灾难恢复计划的制定及审批

公司需制定信息管理应急制度。具体内容包括但不仅限于：明确应急工作涉及的责任部门、岗位，并界定其职责分工和权限范围；应急机制启动的基本条件或标志性事件；规范应急处理工作的标准流程；应急工作报告机制；应急工作责任机制等。",一般,《xx地产（集团）股份有限公司信息化管理制度》,无,成本管理中心/信息管理部,系统控制,业务发生时,无,无,"企业内部控制应用指引第18号——信息系统

第四条、第十条","第四条

企业应当重视信息系统在内部控制中的作用，根据内部控制要求，结合组织架构、业务范围、地域分布、技术能力等因素，制定信息系统建设整体规划，加大投入力度，有序组织信息系统开发、运行与维护，优化管理流程，防范经营风险，全面提升企业现代化管理水平。

第十条

企业应当加强信息系统运行与维护的管理，制定信息系统工作程序、信息管理制度以及各模块子系统的具体操作规范，及时跟踪、发现和解决系统运行中存在的问题，确保信息系统按照规定的程序、制度和操作规范持续稳定运行。",无,无,无,无,无

,,,,,,IT-CA-12,配备专业人员负责处理信息系统运行中的突发事件，必要时应会同系统开发人员或软硬件供应商共同解决。,"突发事件的处理机制

在条件成熟时，成本管理中心可以定期进行紧急应变及系统恢复演练，并根据测试结果改进信息管理相关工作。",一般,《xx地产（集团）股份有限公司信息化管理制度》,无,成本管理中心/信息管理部,系统控制,业务发生时,无,无,"企业内部控制应用指引第18号——信息系统

第四条、第十条","第四条

企业应当重视信息系统在内部控制中的作用，根据内部控制要求，结合组织架构、业务范围、地域分布、技术能力等因素，制定信息系统建设整体规划，加大投入力度，有序组织信息系统开发、运行与维护，优化管理流程，防范经营风险，全面提升企业现代化管理水平。

第十条

企业应当加强信息系统运行与维护的管理，制定信息系统工作程序、信息管理制度以及各模块子系统的具体操作规范，及时跟踪、发现和解决系统运行中存在的问题，确保信息系统按照规定的程序、制度和操作规范持续稳定运行。",无,无,无,无,无

,系统变更,IT-CO-06,系统软件设置及权限的变更流程科学合理，经过管理层授权。,IT-R-08,企业没有建立严格的变更申请、审批、执行、测试流程，导致系统随意变更。系统变更后的效果达不到预期目标。,IT-CA-13,企业应当建立标准流程来实施和记录系统变更，保证变更过程得到适当的授权与管理层的批准，并对变更进行测试。信息系统变更应当严格遵照管理流程进行操作。信息系统操作人员不得擅自进行软件的删除、修改等操作；不得擅自升级、改变软件版本；不得擅自改变软件系统的环境配置,"系统变更管理

由于公司的信息系统均通过外购调试的采购方式，当各职能部门出现系统变更需求时，直接联系系统供应商进行系统变更调试，并未在系统实施前通过信息管理部的审核并签署意见，缺乏规范固化的系统变更流程。",一般,《xx地产（集团）股份有限公司信息化管理制度》,无,成本管理中心/信息管理部,手工控制,业务发生时,无,无,"企业内部控制应用指引第18号——信息系统

第九条","第九条

企业应当切实做好信息系统上线的各项准备工作，培训业务操作和系统管理人员，制定科学的上线计划和新旧系统转换方案，考虑应急预案，确保新旧系统顺利切换和平稳衔接。系统上线涉及数据迁移的，还应制定详细的数据迁移计划。",IT-CD-01,系统变更审批管理流程有待规范,由于公司的信息系统均通过外购调试的采购方式，当各职能部门出现系统变更需求时，直接联系系统提供商进行系统变更调试，并未在系统实施前经过信息管理部的审核并签署意见，缺乏规范固化的系统变更流程，令系统变更导致的系统崩溃等不良后果更易发生。,建议公司加强对系统变更审核审批流程的管理，将信息管理部的审核意见作为必要节点固化在系统变更流程中。公司应对信息系统的变更确立明确的审批要求及操作流程，并据此落实执行。具体来说，信息系统的变更应由职能部门提出需求并填写申请单，交由信息管理部对系统变更的可行性签署意见，再按所在部门的部门经理、分管部门的领导逐级审阅并签字批准，在得到适当授权后，应由系统管理员进行系统操作变更。,一般缺陷

,,,,,,IT-CA-14,系统变更程序（如软件升级）需要遵循与新系统开发项目同样的验证和测试程序，必要时还应当进行额外测试。,"系统变更测试

在变更正式转入生产环境之前，会由软件供应商及系统管理维护人员，在搭建的测试系统中系统测试和用户验收测试。测试成功后，方能转入正式的生产环境。",一般,无,无,成本管理中心/信息管理部,系统控制,业务发生时,无,无,"企业内部控制应用指引第18号——信息系统

第八条","第八条

企业应当组织独立于开发单位的专业机构对开发完成的信息系统进行验收测试，确保在功能、性能、控制要求和安全性等方面符合开发需求。",无,无,无,无,无

,,,,,,IT-CA-15,企业应加强对将变更移植到生产环境中的控制管理，包括系统访问授权控制、数据转换控制、用户培训等。,"系统变更的控制管理

公司在系统软件变更移植到生产环境中前，并未对变更后的访问权限设置、数据转换控制等内容进行测试，相应的访问权限表也未根据变更后及时更新。",一般,无,访问权限表,成本管理中心/信息管理部,系统控制,业务发生时,无,无,"企业内部控制应用指引第18号——信息系统

第九条","第九条

企业应当切实做好信息系统上线的各项准备工作，培训业务操作和系统管理人员，制定科学的上线计划和新旧系统转换方案，考虑应急预案，确保新旧系统顺利切换和平稳衔接。系统上线涉及数据迁移的，还应制定详细的数据迁移计划。",IT-CD-02,系统变更后的访问控制管理有待加强,公司在系统软件变更移植到生产环境中之前，并未对变更后的访问权限设置、数据转换控制等内容进行测试，相应的访问权限表也未根据变更后及时更新。,"建议公司通过以下方面加强对访问权限控制的管理：

1.建立系统变更实施的规范化程序。公司应要求开发单位提交测评报告，包括对系统变更后的访问权限设置、数据转换控制等方面进行全面的评价。公司应将开发单位提交测评报告固化为真正实施系统变更之前的一个必要节点；

2.系统软件变更后，须对变更后的用户访问权限设置从系统中导出来，交由有关部门进行核实，修正由于系统变更造成的权限分配不当情况。

3.建立用户权限定期复核的机制，定期（如每半年/每年）将所有应用系统用户权限导出来，交给部门负责人和职能部门负责人复核，清理、修正不恰当权限分配情况。",一般缺陷

,安全管理,IT-CO-07,信息系统相关的硬件设备、信息档案等被妥善保管。,IT-R-09,硬件设备分布物理范围广，设备种类繁多，安全管理难度大，可能导致设备生命周期短。,IT-CA-16,建立信息系统相关资产的管理制度，保证电子设备的安全。硬件和网络设备不仅是信息系统运行的基础载体，也是价值昂贵的固定资产。企业应在健全设备管理制度的基础上，建立专门的电子设备管控制度，对于关键信息设备，未经授权，不得接触。,"建立信息系统资产管理制度

为有效管理机房，促进各信息系统在机房安全的，稳定的，高效的运行，公司制定了《保利地产信息化管理制度》，其中对机房的管理进行了规定，规范机房环境管理，出入制度，设备管理等方面的工作。信息管理部需参照此制度加强信息系统相关资产的管理，保障公司各项设备的安全。",一般,《xx地产（集团）股份有限公司信息化管理制度》,无,成本管理中心/信息管理部,手工控制,业务发生时,无,无,无,无,无,无,无,无,无

,,,,IT-R-10,信息系统安全管理职责不明确，安全管理不到位，使得信息系统遭到非法访问或病毒袭击，导致信息系统安全受到威胁，影响日常业务运转。,IT-CA-17,企业应成立专门的信息系统安全管理机构，由企业主要领导负总责，对企业的信息安全作出总体规划和全方位严格管理，具体实施工作可由企业的信息主管部门负责。企业应强化全体员工的安全保密意识，特别要对重要岗位员工进行信息系统安全保密培训，并签署安全保密协议。企业应当建立信息系统安全保密制度和泄密责任追究制度。,"明确信息系统安全管理机构

公司成本管理中心下设信息管理部，负责信息技术部日常工作及部门人员日常管理；负责批准建设与完善公司信息化管理体系，制定和规范信息化建设、实施和安全标准；负责信息化规划、信息化预算、项目立项；负责公司信息技术应用及推广，协调各部门进行信息化建设。信息技术部员工须签订保密协议以保障公司信息系统的安全。",一般,《xx地产（集团）股份有限公司信息化管理制度》,保密协议,成本管理中心/信息管理部,手工控制,业务发生时,无,无,无,无,无,无,无,无,无

,,,,,,IT-CA-18,企业应当按照国家相关法律法规以及信息安全技术标准，制定信息系统安全实施细则。根据业务性质、重要程度、涉密情况等确定信息系统的安全等级，建立不同等级信息的授权使用制度，采用相应技术手段保证信息系统运行安全有序。对于信息系统的使用者和不同安全等级信息之间的授权关系，应在系统开发建设阶段就形成方案并加以设计，在软件系统中预留这种对应关系的设置功能，以便根据使用者岗位职务的变迁进行调整。,"信息系统授权管理

公司建立了《访问控制管理》，通过控制用户权限来实现控制办公网系统和应用系统访问权限的分配，防止非法访问。",关键,《xx地产（集团）股份有限公司信息化管理制度》,访问权限表,成本管理中心/信息管理部,系统控制,业务发生时,IT-T-02,0,"企业内部控制应用指引第18号——信息系统

第六条、第十一条","第六条

企业开发信息系统，应当将生产经营管理业务流程、关键控制点和处理规则嵌入系统程序，实现手工环境下难以实现的控制功能。

企业在系统开发过程中，应当按照不同业务的控制要求，通过信息系统中的权限管理功能控制用户的操作权限，避免将不相容职责的处理权限授予同一用户。

第十一条

企业应当根据业务性质、重要性程度、涉密情况等确定信息系统的安全等级，建立不同等级信息的授权使用制度，采用相应技术手段保证信息系统运行安全有序。

企业应当建立信息系统安全保密和泄密责任追究制度。委托专业机构进行系统运行与维护管理的，应当审查该机构的资质，并与其签订服务合同和保密协议。

企业应当采取安装安全软件等措施防范信息系统受到病毒等恶意软件的感染和破坏。",无,无,无,无,无

,,IT-CO-08,信息系统包含的所有硬件、软件和数据受保护，能够连续正常运行。,,,IT-CA-19,企业应当采取安装安全软件等措施防范信息系统受到病毒等恶意软件的感染和破坏。,"安装信息系统安全软件

公司统一购买趋势杀毒软件，由系统服务器自动下载更新补丁，每日定时进行数据更新。除杀毒软件外，其他软件的安装必须经过管理层的审核，并安装正版软件。",一般,《xx地产（集团）股份有限公司信息化管理制度》,无,成本管理中心/信息管理部,系统控制,业务发生时,无,无,"企业内部控制应用指引第18号——信息系统

第十三条","企业应当综合利用防火墙、路由器等网络设备，漏洞扫描、入侵检测等软件技术以及远程访问安全策略等手段，加强网络安全，防范来自网络的攻击和非法侵入。

企业对于通过网络传输的涉密或关键数据，应当采取加密措施，确保信息传递的保密性、准确性和完整性。",无,无,无,无,无

,,,,,,IT-CA-20,企业应当建立信息系统开发、运行与维护等环节的岗位责任制度和不相容职务分离制度，防范利用计算机舞弊和犯罪。,"不相容职责分离

公司建立了计算机信息管理制度来规范计算机信息系统的规划，开发，安全，应用，维护等工作，特别就使用人员的管理做出了具体规定，如使用人员未经批准不得修改系统数据等，以防止部门员工利用职权进行舞弊和犯罪。",一般,无,无,成本管理中心/信息管理部,手工控制,业务发生时,无,无,无,无,无,无,无,无,无

,,IT-CO-09,建立统一的用户管理机制。,IT-R-11,未建立统一的用户管理机制，造成对用户的身份识别不唯一，影响系统权限管理。,IT-CA-21,企业应建立用户管理制度，加强对重要业务系统的访问权限管理，避免将不相容职责授予同一用户。企业应当采用密码控制等技术手段进行用户身份识别。对于重要的业务系统，应当采用数字证书、生物识别等可靠性强的技术手段识别用户身份。,"建立用户管理机制

公司信息管理部根据其业务职能，在不同业务系统中，嵌入访问权限逻辑，不同的员工在不同系统中设立独立的用户帐号和密码，制定密码的设置规则，加强密码加密安全。但对于员工在多个信息系统中有访问权限，并未建立统一登录管理，而是不同系统采用不同的身份识别，因此信息管理部并未对公司员工账户进行统一的管理。",一般,《xx地产（集团）股份有限公司信息化管理制度》,"用户登录截图

密码设置规则截图",成本管理中心/信息管理部,系统控制,业务发生时,无,无,"企业内部控制应用指引第18号——信息系统

第十二条",企业应当建立用户管理制度，加强对重要业务系统的访问权限管理，定期审阅系统账号，避免授权不当或存在非授权账号，禁止不相容职务用户账号的交叉操作。,IT-CD-03,缺乏统一的用户身份识别管理体系,公司信息管理部根据其业务职能，在不同业务系统中，嵌入访问权限逻辑，不同的员工在不同系统中设立独立的用户帐号和密码，但对于员工在多个信息系统中有访问权限，并未建立统一登录管理，而是不同系统采用不同的身份识别，因此信息管理部并未对公司员工账户进行统一的管理。,"建议公司在以下几方面加强对用户身份识别的管理：

1.建立统一登录管理，对于同一公司员工在不同系统中的登录账号和密码须采用统一登录管理，一个员工只能有一套身份识别的用户名和密码。

2.在身份识别方面，加强对密码设置的管理，对于大于三次输入错误的用户名或密码，进行自动锁屏设置。

3.根据唯一的身份识别技术，定期核对从系统中导出用户的访问权限，加强对用户的日常管理。",重要缺陷

,,,,,,IT-CA-22,对于发生岗位变化或离岗的用户，用户部门应当及时通知系统管理人员调整其在系统中的访问权限或者关闭账号。企业应当定期对系统中的账号进行审阅，避免存在授权不当或非授权账号。对于超级用户，企业应当严格规定其使用条件和操作程序，并对其在系统中的操作全程进行监控或审计。,"用户注销管理

公司本部的人力资源部在办理好离职/岗位变动员工审批后，在人事系统中对员工账户进行注销，并通知信息管理部的系统管理员进行注销帐号操作。

尚未建立对其下属子公司人员离职管理机制，子公司员工离职缺乏向总公司上报机制，而公司本部信息管理部并未建立定期对子公司用户情况进行核对与检查，造成公司存在离职人员权限未能及时取消的现象。",一般,《xx地产（集团）股份有限公司信息化管理制度》,员工离职帐号关闭截图,成本管理中心/信息管理部,系统控制,业务发生时,无,无,无,无,IT-CD-04,用户注销管理不及时,尚未建立对其下属分子公司人员离职管理机制，分子公司员工离职缺乏向总公司上报机制，而公司本部信息管理部并未建立定期对子公司用户情况进行核对与检查，造成公司存在离职人员权限未能及时注销的现象。,"建议公司通过以下措施加强对账户注销相关的管理机制：

1.员工办理离职手续时，由员工持离职交接表到系统管理员处，由系统管理员审核、取消其权限并签字确认。

2.人力资源部每月对人员变动情况（入职、调职、离职）进行统计并发送至信息管理部，系统管理员检查离职人员的账户是否已在系统中注销或禁用，对仍未注销或禁用的账户及时处理。

3.系统管理员定期对用户权限进行复核，若发现连续三个月闲置的账号，则进行清理；若发现不合理权限设置，则进行相应的处理。",一般缺陷

,,,,,,,,,,,,,,,,,,,,,,,,

,,,,,,,,,,,,,,,,,,,,,,,,

,,,,,,,,,,,,,,,,,,,,,,,,

,,,,,,,,,,,,,,,,,,,,,,,,

,,,,,,,,,,,,,,,,,,,,,,,,

,,,,,,,,,,,,