《中铁建工集团有限公司内部控制手册》

中铁建工集团有限公司2011年内部控制手册概述1.1概念信息与沟通是公司及时、准确地收集、传递与内部控制相关的信息，确保信息在公司内部、公司与外部之间进行有效沟通，以促使职责的履行。信息是指与公司经营相关的财务及非财务信息，不仅包括内部产生的信息，还包括与公司经营决策和对外报告相关的外部信息。畅通的沟通渠道和机制使员工能及时取得他们在执行、管理和控制公司经营过程中所需的信息。公司建立符合发展战略并与经营管理活动一体化的信息系统，为风险管理提供足够的信息资源和顺畅的沟通渠道。1.2构成要素1.2.1信息采集公司应当对收集的各种内部信息和外部信息进行合理筛选、核对、整合，提高信息的有用性，即公司应持续不断地识别、收集、整理与归纳来自内部与外部、经营与管理的各种信息，针对不同的信息来源和信息类型，明确各种信息的收集人员、收集方式、传递程序、报告途径和加工与处理要求，确保经营管理各种信息资源得到及时、准确、完整收集。按信息来源不同，可将公司内部控制重点关注的信息分为内部信息和外部信息两类。内部信息主要包括：财务信息、经营信息、规章制度信息、综合信息等。主要获取渠道有：机关职能部门的调研报告；财务会计资料；经营管理资料；专项信息；信息员搜集、反映的情况；群众来信来访、员工直接向上级沟通的信息；内部刊物；办公网络；各种会议提案、记录、纪要等。外部信息主要包括：国家法律法规，国内外监管机构信息，以及客户、供应商、竞争对手的信息等。主要获取渠道有：国家部委和外部监管方的文件；期刊杂志；社会中介机构；网络媒体；公司采购及业务部门收集的市场调查信息；各子、分公司提供的信息；外部来信来访；业务往来单位；行业协会组织等多种渠道。获取信息并向管理层报告公司应完善获取外部相关信息的机制，随时掌握有关市场环境、竞争对手的动态、政策变化以及环境的变化等；建立重要内部信息的获取和沟通机制，重要信息应得到及时确认并向上级汇报，以保证公司目标的达成。及时向适当人员汇报足够的信息公司各级管理人员应能够及时得到相关信息，以判断需要采取的应对措施；应按规定向不同级别的管理人员汇报详细程度不同的信息；对信息进行适当的汇总，以满足进一步详查的需要；及时获取和传递信息，以利于有效监控有关事件和活动，并对经济、行业因素和控制问题进行迅速反应。建立信息技术总体规划公司应指定专门部门负责识别和跟踪不断产生的信息需求；信息的需求和优先次序由具有完全责任的管理层来决定；订立与战略决策相联系的长期信息技术总体规划。管理层对信息系统的支持态度管理层应为建立或改进信息系统提供足够的、必要的资源，并采取相应的控制措施。1.2.2沟通信息沟通是指内部控制相关信息在企业内部各管理级次、责任单位、业务环节之间，以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。有效沟通的建立需要从沟通环境、沟通渠道、沟通方式及沟通反馈等多方面着手。有效沟通的特点表现为：沟通频率高、方式随意；沟通深入且平等；具有沟通所需的物质条件；完善的沟通制度和系统；全方位的信息共享。建立横向和纵向相互通畅、贯穿整个公司的信息沟通渠道，确保公司目标、风险策略、风险现状、控制措施、员工职责、经营状况、市场变化等各种信息在公司内部得到有效传递。建立适当的渠道，与公司的相关方如供应商、客户、律师、股东、监管机构、外部审计师等，就相关信息进行必要的外部沟通。向员工传达其职责和控制责任的有效性公司采取的沟通方式应能实现沟通的目的；员工应清楚他们的行为要达到的目标，以及他们的工作对于实现这些目标的作用；员工应清楚自己的职责与他人的职责的相互影响。内部沟通充分内部沟通的充分性，信息的完整性和及时性，以及使人们有效履行职责的信息充足性。沟通渠道畅通有效公司应建立畅通的沟通渠道，保证相关的建议、投诉和收到的其他情况得到有效的记录、汇报、处理、反馈和跟踪。外部相关方了解公司职业道德规范的程度公司应建立公开透明的职业道德规范，针对重要信息应由相应的管理人员与外部交流；将员工应遵循的职业道德规范告知供应商、客户和其他相关方，并强调其重要性；强调员工在与外部机构交流合作过程中应遵循的职业道德规范；对于员工的不当行为应有相应的惩处机制。管理层对于外部信息采取及时和适当的应对措施公司应及时调查投资者、股东反馈的信息并予以应对；对与客户进行交易的财务数据应严格把关，如果发现错误应及时纠正；保证公司所获取的信息并非失真信息；对于投诉信息，公司管理层应认真对待。1.2.3信息系统信息系统是指公司利用计算机和通信技术，对内部控制进行集成、转化和提升所形成的信息化平台。信息系统总体控制信息系统总体控制适用于公司在信息系统的开发、实施、运行、维护及管理等方面的控制，它可以更好地保护公司的信息资产，可以提高信息系统对业务的支撑力度，增强公司信息系统的运行效力。信息系统总体控制通常包括控制环境、招标管理、项目建设、项目验收、系统运维、信息系统安全管理、信息技术标准管理等。信息系统应用控制信息系统应用控制包括应用软件中的电算化步骤以及控制不同种类交易处理的相关手工操作程序。这些控制结合在一起，可以保证系统中的财务和其他信息的安全性、完整性、准确性和有效性。信息系统总体控制和应用控制是相互关联的。信息系统总体控制是信息系统应用控制的基础，信息系统应用控制依赖于信息系统总体控制，两者共同保证信息处理的完整性和准确性。1.2.4反舞弊机制 舞弊是一种采取不正当和欺骗的手段，有意识地违反既定的公众认可的规则以损害或谋取组织经济利益的行为。公司应当建立反舞弊机制，坚持惩防并举、重在预防的原则，明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限，规范舞弊案件的举报、调查、处理、报告和补救程序。公司应当建立举报投诉制度和举报人保护制度，设置举报专线，明确举报投诉处理程序、办理时限和办结要求，确保举报、投诉成为公司有效掌握信息的重要途径。举报投诉制度和举报人保护制度应当及时传达至全体员工。反舞弊机制不仅需要满足合法性要求，而且应该具有预防性和及时性，受到公司管理层的直接监督和重视。它强调审计、监察等部门的作用，主要包括进行舞弊风险识别、分析、评估并测试反舞弊控制设计和执行的有效性、执行舞弊违规调查并提出整改意见等工作。公司应当将下列情形作为反舞弊工作的重点：管理层应当设计、实施有效的公司反舞弊控制和程序，针对各类舞弊行为，采取适当的措施。董事会和监事会应对公司反舞弊的控制和程序进行监督。建立并推行诚信与道德价值观。建立举报热线和检举揭发机制及举报人保护制度。招聘和晋升时进行背景调查。建立舞弊调查程序并实施恰当的补救措施。风险分析中应包含舞弊风险的内容。为减少已识别的舞弊风险，应该设计并实施有效的控制活动。对反舞弊相关信息进行收集和分享，并对员工进行适当培训。管理层对反舞弊控制和程序的效果进行持续监控和定期评估。2信息采集2.1内控关注要点2.1.1获取信息并向管理层报告公司应完善获取外部相关信息的机制，随时掌握有关市场环境、竞争对手的动态、政策变化以及环境的变化等。公司应建立重要内部信息的获取和沟通机制，重要信息应得到及时确认并向上级汇报，以保证公司目标的达成。2.1.2及时向适当的人员汇报足够的信息各级管理人员能够及时得到相关信息，以判断需要采取的应对措施。向不同级别的管理人员汇报详细程度不同的信息。对信息进行适当的汇总，以满足进一步详查的需要。及时获取和传递信息，以利于有效监控有关事件和活动，并对经济、行业因素和控制问题进行迅速反应。2.1.3建立信息技术总体规划指定专门部门负责识别和跟踪不断产生的信息需求。信息的需求和优先次序由具有完全责任的管理层来决定。订立与战略决策相联系的长期信息技术总体规划。2.1.4管理层对信息系统的支持态度管理层应为建立或改进信息系统提供足够的、必要的资源，并采取相应的控制措施。2.2措施2.2.1内部信息收集与传递内部政策信息收集与传递企业价值观、道德和行为期望公司应制定统一的企业精神和核心经营管理理念、企业宗旨，并通过广泛深入地宣讲，引导员工实践执行。公司应制定高级管理人员和普通员工诚信与道德价值观规范，并利用公司网络平台等形式持续不断宣传。公司应在每年的工作会议上宣讲诚信与道德价值观的内容，对员工提出遵守诚信与道德价值观规范的要求。公司目前的具体实施措施为：公司在《中铁建工集团有限公司章程》中明确公司经营宗旨：“公司遵守法律、法规，遵守社会公德和商业道德，坚持科学发展观，秉承“追求卓越、勇于跨越”的企业精神，自主经营,诚实守信，接受政府和社会公众的监督，努力提高经济效益，实现国有资产的保值增值，承担社会责任。”公司党委组织召开由董事长、总经理和党委书记主讲的报告会和专题党课，组织机关中层以上干部以及学习实践活动，提高领导层的思想认识；建立并启用了中铁建工集团有限公司协同工作平台，使公司员工能随时了解公司各项规章制度、发展动态等信息，宣传诚信与道德价值规范，实行资源共享。公司在每年的工作会议上都宣讲、强调诚信、敬业等职业道德内容，对员工提出努力拼搏、艰苦奋斗、廉洁自律等须遵守的职业道德规范要求。公司的战略性经营目标公司应在年度工作会议上提出战略性经营目标，并通过与高级管理人员签订业绩合同的方式将经营目标层层分解。公司目前的具体实施措施为：公司制定《中铁建工集团有限公司计划工作管理办法》规范年度经营生产目标、计划和任务制定、实施的管理过程；梳理《年度经营生产计划管理流程》、《年度、季度施工生产计划编制流程》、《工程任务额三年滚动计划流程》，《子分公司年度经营生产业绩考核流程》规范年度生产、经营的目标、计划和任务制定、实施、考核评价的管理过程，明确提出集团公司年度的经营生产目标计划制定工作程序。战略规划部负责每年年初将工作会确定的目标分解到总部机关各部门。财务政策及程序公司应制定和完善统一的财务、会计、资产和资金等方面的管理制度、办法和工作规范，并宣贯执行。财务会计政策发生变更时，应按权限经过相关审批后通过文件形式下发（或转发国家部门的文件），并明确文件生效日期。财务会计政策及核算体系应以会计核算办法或手册等形式发布。公司目前的具体实施措施为：公司制定并颁布《中铁建工集团有限公司财务管理办法》、《中铁建工集团有限公司会计核算办法》、《中铁建工集团有限公司资金管理办法》《中铁建工集团有限公司财务会计工作综合考核评比办法》等规章制度规范财务工作。公司按照股份公司会计核算办法规范会计政策相关的流程，包括《会计记账、结账流程》、《关联交易管理流程》。人力资源政策公司应通过部门岗位职责描述，对各岗位职责进行规范，使员工理解自己的职责和工作程序。公司应通过宣贯和制定并执行绩效考核办法，敦促员工正常履行自己的职责。公司目前的具体实施措施为：公司依照《中铁建工集团有限公司章程》并结合实际工作需要设立职能部门，根据机构设置及定员编制，制定了组织机构图；编写《集团总部组织结构设置流程》、《总部机关岗位说明书编制修改流程》、《中铁建工集团有限公司机关岗位管理制度》，明确部门职能设置程序并制定岗位标准。各职能部门根据岗（职）位说明书、业务流程图等内部管理制度或相关文件，使员工了解和掌握组织架构设计及权责分配情况，正确履行职责。针对绩效考核，公司制定《中铁建工集团有限公司机关绩效考核办法》等办法规范公司绩效考核工作。其他内部信息的收集与传递公司各部门应对收集、产生的各种信息进行必要的加工与分析，提供详细程度不同的信息报表以满足各级别管理人员决策需求。财务信息各子、分公司应在公司规定的时间内报送财务报表。财务部应定期进行财务分析，将主要财务指标数据对比同期和预算，对指标异常情况进行深度分析并及时预警；同时应分公司、分项目进行经济活动分析，并定期召开经济活动分析会。公司目前的具体实施措施为：公司按照业务现状梳理《财务报表编制及报告流程》、《财务报表分析流程》、《财务统计信息提供流程》，规范子分公司财务信息提供的及时性、有效性；过程中输出《决算报表》、《中铁建工集团xx月财务快报》、《经济活动分析》等文档。经营信息各子、分公司应按照统计报表的要求每月（或每周）自下而上地提供统计数据和分析资料，公司统计归口管理部门对各子、分公司报送的统计资料进行审核、汇总、分析，形成月、季、年度公司统计分析报告，上报公司管理层，形成简报上报上级单位。公司目前的具体实施措施为：市场营销方面，公司制定《中铁建工集团统计工作管理办法》和配套的《统计管理流程》、《统计执法检查及考核工作流程》，每月编制《统计信息》，分专业归档集团公司统计年报表，编制年度《统计资料汇编》，根据公司每年下发的《统计年报和定期统计报表编制要求的通知》，确保子、分公司的经营统计信息及时有效上报和下达。工程管理方面，公司制定《中铁建工集团施工生产调度管理办法》、《年度经营生产计划管理流程》、《年度、季度施工生产计划编制流程》、《工程任务额三年滚动计划流程》对集团公司所属各单位工程项目进行管理，确保施工生产计划、进度信息有效传递到集团公司，并及时交流反馈信息。安全、质量、环境保护管理方面，公司制定《中铁建工集团施工现场标准化管理手册》（中铁建工程〔2009〕196号）、《中铁建工集团安全质量保证金管理暂行办法》（中铁建工安〔2007〕48号）、《中铁建工集团有限公司安全生产奖惩办法》（中铁建工安〔2009〕147号)、《中铁建工集团安全技术管理》（管理手册）、《中铁建工集团有限公司工程质量管理奖惩办法》（中铁建工程〔2007〕10号）、《中铁建工集团质量管理》（管理手册）、《中铁建工集团能源管理和节能减排工作暂行办法》（中铁建工程〔2008〕259号）、《中铁建工集团节能减排评价考核办法》（中铁建工安〔2010〕47号）、《中铁建工集团事故隐患排查整改制度》(中铁建工安〔2008〕228号)、《中铁建工集团施工生产安全事故应急救援预案》（中铁建工安〔2008〕213号）、《中铁建工集团有限公司安全质量事故责任追究办法》（中铁建工安〔2009〕35号）和《安全、质量及节能环保定期检查工作流程》、《重点工程、关键工序服务指导及检查控制流程》、《安全、质量及环保事故应急响应及调查处理程序》等相关办法或制度确保集团公司所属各单位安全、质量、环境保护策划、执行及事故信息及时有效传递到集团公司。规章制度信息规章制度制定单位应对下列事项进行全面论证：制度制定的依据和规范的对象；该制度解决的主要问题；该项制度的安排与其他相关制度的衔接；制度颁发实施的条件与时机；执行中需要注意的问题。在形成制度正式文稿之前通过公司内部网络征求职能部门和所属单位的意见，相关的部门通过发布邮件征求意见稿，在广泛吸收意见的基础上完善，最后由管理层签发执行。公司目前的具体实施措施为：公司按照公司法及公司章程的有关规定，对公司制度的编制实行分级管理和按照内容归口管理。制度的制定则先由负责有关事项的部门或机构起草文件，并征得相关部门的认可，经部门主要领导、分管领导审核通过后，若该制度需经总经理或总经理办公会审议的公司具体规章，则通过总经理或总经理办公会审议，若需经董事会通过的基本管理制度，则经董事会审议通过后实施。综合信息内控审计部门应搜集内部审计方面的相关信息，收集违规、舞弊的信息，对于重大、紧急情况要严格执行重大情况报送制度，及时报送公司管理层。公司办公室应对公司重要综合管理信息进行收集、编发，开展专题调研，及时掌握中铁建工集团有限公司本部及子、分公司的工作动态，为管理层决策提供参考信息。各子、分公司应对其职权范围内的管理信息进行收集、编发和制度制定，开展专题调研，及时掌握所属范围内的工作动态，并按照公司的信息需求及时提供信息。公司目前的具体实施措施为：公司董事会办公室制定《中铁建工集团有限公司信息披露管理办法》，梳理《信息披露管理流程》，对集团公司重要事项上报、披露进行规范；制定《中铁建工集团有限公司重大事项内部报告制度》，对重大事项内部报告的对象、途径和内容进行明确规定；内控审计部门收集公司各部门、各单位生产经营管理相关信息，跟踪各单位工作重点、难点，作为实施审计项目的参考。定期发布审计工作动态，包括审计工作的重大部署、重要活动的进展情况，以及与其工作有关的新事物、新动向。向企业决策层、管理层和相关部门报送审计报告，反映审计工作成果和审计中发现的问题及提出的审计建议。集团公司办公室通过“情况通报”的方式对上级领导和集团公司主要领导的重要讲话、主要会议精神和全局性的调研报告等在集团公司内部信息平台上发布；对二级单位好的经验材料以“参阅材料”进行编发；对集团和各单位的日常重要信息以《建工信息》形式进行发布。员工提供的信息公司应设立举报电话、网上举报中心和电子举报信箱并对外公布，设立专门的举报接待室，在员工比较集中的地方设立举报信箱，以给员工提供信息举报、不服处分或处理申诉的渠道，并明确承诺给予保护和奖励。公司应组织开展合理化建议活动，听取员工的合理化建议和意见，并对被采纳的建议实施奖励。符合公司规定且能够公开的上述各类信息应在公司内部办公信息平台发布，公司各职能部门，各子、分公司根据各自权限共享这些信息。公司目前的具体实施措施为：公司纪委、监察部制定《中铁建工集团有限公司纪检监察信访举报工作实施细则》，梳理《信访举报和案件检查流程》，对员工或群众提供信息举报、不服处分或处理申诉的处理进行规范。公司开展听取员工建议的活动以及采纳的合理性的建议，可以发布在“中铁建工集团有限公司协同工作平台（OA系统）”上。公司通过每年一度的职工代表大会征集议案并按照程序进行处理。公司信息化部负责对公司内部办公信息平台和知识系统的使用、权限管理进行规范。公司各职能部门，各子、分公司根据各自权限共享这些信息和知识。2.2.2外部信息的收集与传递法律法规信息公司各部门及各子、分公司应在各自业务范围内搜集相关法律法规等信息，主要来源有国家部委文件、期刊杂志、互联网、专业法律信息服务商及中介机构等，并通过公司内部网络发布。国外法规信息的变化应通过互联网查询随时关注，或聘请当地律师提供，由法律事务部归集整理做成备忘录，在公司内部网络发布或交给相关部门。公司目前的具体实施措施为：公司法务合约部随时对法律法规、地方性法规、自治条例、单行条例和规章进行搜集整理并发布。公司梳理《法律法规管理评价流程》，设计标准文本格式的《法律法规清单》和《中铁建工集团有限公司法律、法规清单》，规范公司各部门、子、分公司及项目部搜集、识别、应用国家法律法规的工作程序。公司通过内部知识平台发布《中铁建工集团有限公司法律、法规清单》，各部门、所属各单位通过内部网络及时更新应用法律。政策信息和监管机构信息公司各部门及各子、分公司应搜集国家相关政策、国内外监管机构的各种信息，并通过公司内部网络发布。公司目前的具体实施措施为：公司法务合约部及战略规划部对国家相关政策、国内外监管机构相关信息进行搜集整理。公司梳理《法律法规管理评价流程》，设计标准文本格式的《法律法规清单》和《中铁建工法律、法规清单》，规范公司各部门、子、分公司及项目部搜集、识别、应用国家相关政策的工作程序。公司通过内部知识平台发布《中铁建工法律、法规清单》，各部门、所属各单位通过内部网络及时更新应用相关政策。行业信息公司各部门及各子、分公司应通过期刊杂志、互联网、市场调查、参加行业协会交流活动等方式搜集行业相关信息，并通过公司内部网络发布。公司目前的具体实施措施为：公司由经营开发部牵头，对各部门和子、分公司通过各种渠道搜集的行业信息进行集中整理，并且通过内部协同工作平台进行发布，确保行业信息顺利传递。战略规划部根据内外部环境的变化以及公司发展的需要，及时搜集对公司长远发展具有重大影响的战略性信息，及时发布在内网上。对于需要深入解析的，则形成专门的报告报集团公司有关领导。竞争对手信息公司各部门及子、分公司通过市场调查、互联网、参加行业协会交流活动或与客户沟通交流等方式搜集竞争对手相关信息，并经整理后传递至相关部门。公司目前的具体实施措施为：公司由经营开发部专职人员，将通过多种渠道搜集的竞争对手信息及时上报，由经营开发相关部门进行汇总分析，形成有效信息，及时上报到和下达。战略规划部也根据内外部环境的变化以及公司发展的需要，及时搜集对公司长远发展具有重大影响的竞争对手信息，及时发布在内网上。对于需要深入解析的，则形成专门的报告报集团公司有关领导。从客户、供应商、经营伙伴、投资者处获得的信息公司及各子、分公司采购部门、销售部门或其他业务部门应通过供需见面会或谈判、签订合同等形式搜集产品信息、市场需求信息、竞争对手信息等，经分析整理后及时传递至相关部门。公司领导应通过各种渠道从经营伙伴、投资者处获得的相关信息，以工作例会或外事简报等方式进行发布。公司目前的具体实施措施为：公司根据《客户信息管理管理流程》和《客户拜访管理流程》，要求各部门和子、分公司将通过多种渠道搜集的客户信息及时上报，由经营开发相关部门进行汇总分析，形成有效信息，及时上报到公司领导层。并根据具体情况及时安排相关部门、人员有效地执行客户拜访管理计划，对客户进行拜访，充分掌握客户信息和相关项目信息。公司领导通过各类形式的交流会议、行业协会讨论或者与经营伙伴、投资者的商务洽谈获得工程项目相关信息，以交班会、经营分析会等方式进行发布。2.2.3信息报告例行报告各级人员应按照公司分级管理的组织结构和岗位职责，定期向上级反映其管辖部门或其所在岗位的工作情况。职能部门向上级请示、报告工作时，应先向相应的分管领导请示、报告，再根据请示报告类别，按照行政级别或业务级别管理体制向对口的上级请示、报告。正常情况下不越级请示、报告工作。公司目前的具体实施措施为：公司目前梳理的业务流程中包含所有相关报告程序，如信息披露模块的《重大事项内部报告管理流程》；安全质量环保模块的《安全、质量及节能环保报表管理流程》、《节能减排统计报告管理流程》；财务管理模块的《财务报表编制及报告流程》规范职能部门向上级请示、例行报告时的工作程序，确保请示报告程序合规。实时报告公司应按照事件应急管理、事故责任追究等相关制度的有关规定，形成重大信息传递机制。公司目前的具体实施措施为：公司制定《中铁建工集团事故隐患排查整改制度》、《中国中铁建工集团有限公司督查工作管理办法》、《中铁建工集团有限公司安全质量事故责任追究办法》、《中铁建工集团施工生产安全事故应急救援预案》等相关制度规定突发事件应急管理和事故责任追究；梳理《突发事故（事件）舆论应对流程》和《安全、质量及环保事故应急响应及调查处理程序流程》进一步规范突发事件应急管理、事故责任追究的处置程序。专题报告公司应根据业务需要，成立各类领导小组、工作组或由相应业务部门就某一事项及时向上级领导汇报情况。公司目前的具体实施措施为：公司制定《中铁建工集团有限公司总经理工作规则》和《总经理办公会议流程》，规范总经理专题会议的工作程序；制定《效能监察工作流程》，形成效能监察专题报告向主管领导汇报。综合报告公司各部门应定期向上级领导全面汇报本部门的工作情况，主要包括工作总结、计划安排等内容。公司目前的具体实施措施为：公司每周召开机关交班会，定期举行集团公司经营分析会，由各部门定期向上级领导汇报部门工作情况。公司定期召开年度职工代表大会，汇报公司年度工作情况，包括工作总结，下一年度工作计划安排等。2.2.4信息化总体规划公司应成立信息化工作领导小组，组长由总经理担任，副组长由信息工作主管副总经理及有关领导担任，成员由公司各部门正职组成。信息化工作领导小组根据公司整体发展战略，审批确定公司信息化发展总体目标和战略规划，研究决定公司重大信息化建设项目的立项、可行性研究和开发研制工作，并对实施过程中的重大问题进行协调解决。对于重大信息技术项目，信息化工作领导小组可以委托专家小组进行项目技术论证。公司目前的具体实施措施为：公司由分管信息化工作的副总全面主持信息化工作，遇到重大信息化项目时成立信息化领导小组，由总经理担任小组组长。根据公司整体发展战略，公司每五年制定一次信息化子战略和信息化五年规划，确定公司信息化发展总体目标和战略规划。每年年初根据《中铁建工集团信息化战略》和业务需求提出下一年度信息化项目的申请，由信息化领导小组研究决定公司重大信息化建设项目的立项、可行性研究和开发研制，并对实施过程中的重大问题进行协调解决。3沟通3.1内控关注要点3.1.1向员工传达其职责和控制责任的有效性沟通方式应能实现沟通的目的。员工应清楚他们的行为要达到的目标，以及他们的工作对于实现这些目标的作用。员工应清楚自己的职责与他人的职责的相互影响。3.1.2内部沟通充分内部沟通的充分性，信息的完整性和及时性，以及使人们有效履行职责的信息充足性。3.1.3沟通渠道畅通有效公司应建立畅通的沟通渠道，保证相关的建议、投诉和收到的其他情况得到有效的记录、汇报、处理、反馈和跟踪。3.1.4外部相关方了解公司职业道德规范的程度公司应建立公开透明的职业道德规范，针对重要信息应由相应的管理人员与外部交流。将员工应遵循的职业道德规范告知供应商、客户和其他相关方，并强调其重要性。强调员工在与外部机构交流合作过程中应遵循的职业道德规范。对于员工的不当行为应有相应的回报和惩处机制。3.1.5管理层对于外部信息采取及时和适当的应对措施及时调查股东反馈的信息并予以应对。对与客户进行交易的财务数据应严格把关，如果发现错误应及时纠正。保证所获取的信息并非失真信息。对于投诉信息，管理层应认真对待。3.2措施3.2.1内部沟通明确的职责和有效的控制公司人力资源部应组织新员工的培训，各部门应定期组织员工开展岗位培训，使员工清楚其行为要达到的目标及自己的职责与他人的职责如何相互影响。人力资源部应根据公司制定的各种绩效考核办法组织对各级别员工的绩效考核，并及时将考核结果反馈被考核人，有效检查各级别员工对其职责的理解和有效性控制。公司目前的具体实施措施为：（1）公司制定《中铁建工集团有限公司员工教育培训管理办法》等相关规章制度，对培训内容和培训方式进行了规定，并对培训结果的考察做出了要求。根据该管理办法，公司有计划地组织管理人员从事学习和培训，努力提高公司管理人员的综合素质、履职能力和工作水平。（2）公司每年制定培训工作计划，有针对性地组织业务和知识培训，确保员工技术素质和业务能力达到岗位要求。每年末，中铁建工集团有限公司及各子、分公司提出第二年培训需求，填写《中铁建工集团有限公司员工教育需求调查表》送人力资源部。人力资源部根据培训需求编制《中铁建工集团有限公司xx年员工教育培训计划》，报集团公司领导审批后，由相关部门组织实施。培训内容主要包括持证上岗培训、专业知识技能培训，提高性培训，企业文化建设和职业道德培训等。（3）公司对培训效果进行评估，保存培训记录。培训结束后，培训主办部门征求员工对培训工作的评价意见，从中寻找培训工作不足，并填写相应记录，并通过考试、日常工作考核来反映培训的有效性。每一次培训结束后，由培训主办部门负责填写《培训班登记表》，以反映培训计划的完成情况，并将相关记录按规定存档。（4）公司制定《中铁建工集团公司有限公司绩效考核办法》并且梳理《集团公司本部员工绩效考核流程》规范本部员工业绩考核过程；制定《中铁建工集团公司岗位绩效工资》、《中铁建工集团公司本部员工带薪年休假管理办法》并且梳理《月度考勤及绩效工资计算流程》、《薪酬计发流程》等流程规范员工绩效薪酬计算和发放工作。内部报告指标体系公司应根据发展战略、风险控制和业绩考核要求，科学规范不同级次内部报告的指标体系，采用经营快报等多种形式，全面反映与公司生产经营管理相关的各种内外部信息。内部报告指标体系在设计时应与全面预算管理相结合，关注公司成本费用预算的执行情况，并随着环境和业务的变化不断进行修订和完善。公司目前的具体实施措施为：公司转发了《中国中铁股份公司财务预算管理办法》，制定了《中铁建工集团财务预算管理办法》、《中铁建工集团有限公司财务会计工作综合考核评比办法》、《中铁建工集团有限公司清理清收工作综合考核评比办法》，并且按照业务现状梳理《年度财务预算编制流程》、《年度资金预算编制流程》、《投资预算编制及调整流程》、《公司职能部门费用预算管理流程》、《财务报表编制和报告流程》，规范集团公司总部、子分公司财务预算报告、财务决算报告和财务快报上报的及时性、有效性；过程中输出《年度主要财务指标预报表》、《财务预算报表》、《决算报表》、《建工集团xx月财务快报》等文档，形成系统的内部财务指标报告体系。公司制定《中铁建工集团有限公司计划工作管理办法》并按照业务现状梳理《年度经营生产计划管理流程》、《年度、季度施工生产计划编制流程》、《工程任务额三年滚动计划流程》、《年度固定资产投资计划制定流程》及《固定资产购置计划审批流程》，规范集团公司年度经营生产计划及时有效上报到公司高层；公司制定《中铁建工集团统计工作管理办法》、《统计管理流程》、《统计执法检查及考核工作流程》、每月编制《统计信息》，分专业归档集团公司统计年报表，编制年度《统计资料汇编》，确保子、分公司的经营统计信息及时有效上报到集团公司，形成系统的内部经营指标报告体系。内部报告流程公司应制定严密的内部报告流程，并充分利用信息技术，强化内部报告信息集成和共享，将内部报告纳入公司统一信息平台，形成科学的内部报告网络体系。公司内部各管理层级均应指定专人负责内部报告工作，对于重要信息及时上报，并可以直接报告高级管理人员。公司目前的具体实施措施为：公司严格执行财政部《会计报告条例》，每年下发财务决算编制通知，对相关事项安排布置、统一规范要求。公司制定《年度财务预算编制流程》、《公司职能部门费用预算管理流程》、《财务报表编制及报告流程》，《年度经营生产计划管理流程》、《子分公司年度经营生产业绩考核流程》、《年度、季度施工生产计划编制流程》、《工程任务额三年滚动计划流程》规范集团公司内部报告流程。内部报告渠道公司应拓宽内部报告渠道，通过落实奖励措施等多种有效方式，广泛收集合理化建议。公司管理层应定期向董事会就最新的业绩、发展、风险、重要事件或事故等问题进行汇报。公司管理层应定期或不定期召开各种会议，及时与相关职能部门领导、各子、分公司负责人就项目投资、运营等情况进行沟通、交流。财务部门应定期和各部门及各子、分公司交流和通报财务状况、经营成果、预算执行情况等。员工除了通过正常的向其直属上级汇报工作的沟通渠道外，还应通过各种方式与本单位主要领导进行直接沟通。公司各职能部门负责人的联系方式可以公布在通信录上，员工可以通过电话、邮件、面谈等方式与其直接进行沟通、交流。公司员工可以通过书信、电话、走访等形式，向纪委、监察部反映违规违纪问题及有关意见、建议和要求。同时，公司应规定对信访件的处理时限及查报结果的要求，对信访举报属实，查处后为公司挽回或减少重大损失的，将酌情奖励举报人。围绕舞弊等职业道德话题，公司纪委、监察部和审计部应不定期与不同层级员工进行面谈，以提高员工的职业道德水平，减少职业舞弊等情况的发生。公司应组织开展合理化建议活动，鼓励员工对公司投资、管理、技术等方面提出的合理化建议，并对有突出贡献的单位和个人给予适当的奖励。公司目前的具体实施措施为：公司制定了《中铁建工集团有限公司董事会决策事项管理办法（试行）》、《中铁建工集团有限公司重大事项内部报告制度》规范董事会重要决策事件和紧急事项汇报、处理程序；制定《董事会流程》、《决策事项执行与跟踪管理流程》对公司重要事项进行审议、跟踪和反馈。公司制定《中铁建工集团有限公司重大事项内部报告制度》规范重大事项内部报告的渠道。其中，集团公司董事会统一领导和管理重大事项内部报告工作，董事长全面负责公司的重大事项内部报告工作，董事会秘书具体组织和协调公司的重大事项的内部报告工作。集团公司董事会办公室是重大事项内部报告工作的归口管理部门，具体承担重大事项内部报告工作。各子公司董事会办事机构、各分公司指定的专门机构具体承担本公司重大事项报告工作。公司管理层每周举行小型工作交班会，公司副总和机关各部门负责人参加；每月举行一次大型的工作交班会，集团公司领导班子成员和机关各部门负责人全部参加；各所属单位也定期召开交班会，通报经营情况，协调解决有关问题，确定本阶段的主要工作安排；通过建立各种类型的会议机制，如总经理办公会议、党政联席会议、总经理专题会议、项目分析会等进行各类管理信息交流，确保信息在公司内有效传递与执行；建立并启用了中铁建工集团有限公司协同工作平台，使公司员工能随时了解公司各项规章制度、发展动态等信息，并进行有效沟通与资源共享。公司鼓励员工反映违规违纪问题及有关意见、建议和要求，由纪委、监察部制定《中铁建工集团有限公司查办案件工作实施办法》、《中铁建工集团有限公司纪检监察信访举报工作实施细则》，梳理《信访举报和案件检查流程》，对员工或群众提供信息举报、不服处分或处理申诉进行处理。内部报告保密制度公司应制定严格的内部报告保密制度，明确保密内容、保密措施、密级程度和传递范围，防止泄露商业秘密。公司目前的具体实施措施为：公司制定《中铁建工集团有限公司重大事项内部报告制度》规范重大事项内部报告保密工作。集团公司按行业管理要求向银行、税务、工商、统计、国资委、外管局等外部使用人报送的材料、报表等含有公司规定的重大事项的，必须事先征求集团公司董事会办公室意见。如果确因工作需要提前向特定对象透露尚未发布的法定披露信息和其他股价敏感信息的，则必须设定尽可能少的透露内容和最小范围的透露对象，有必要时，需与透露对象签订保密协议条款约定其在该保密内容未发布前负有的保密义务和泄密的法律责任。内部报告评估制度公司应建立内部报告的评估制度，定期对内部报告的形成和使用进行全面评估，重点关注内部报告的及时性、安全性和有效性。公司目前的具体实施措施为：公司制定《中铁建工集团有限公司重大事项内部报告制度》，规范重大事项内部报告评价工作，对内部报告的及时性、安全性和有效性进行评价。针对报告及时性，集团公司或所属各子分公司发生的符合规定的重大事项，应当于中标通知书发布或合同签署前7个工作日报告；集团公司或所属各子分公司发生的关联（连）交易事项，达到规定标准的，应当在合同签署前7个工作日报告；集团公司或所属各子分公司发生的重大诉讼、仲裁事项，达到规定标准的，应当及时报告。针对报告有效性和安全性，报告义务人对本部门或本公司日常联系人所报告事项及相关资料的真实性、准确性和完整性负责；由于报告义务人的失职，对应报告重大事项瞒报、少报、漏报或导致重大事项泄漏的，集团公司将追究相关报告义务人的责任；由此给集团公司带来不良影响或损失的，集团公司还将根据公司遭受损失的程度向其提出适当的赔偿要求；情节严重的，移交司法机关处理。3.2.2外部沟通对外职业道德规范的宣传公司应统一对外形象、标识，积极参与社会公益事业，以实际行动宣传公司精神和经营理念，并在国内外影响较大的报刊、杂志上进行公司形象和产品品牌的宣传。公司应通过电视、报纸等各种新闻媒体深入报道各单位涌现出来的各种先进事迹、先进人物和先进管理经验，对公司干部、员工爱岗敬业、无私奉献的精神进行宣传报道。公司各业务部门员工应在同客户、供应商或中介机构的日常工作交往中，向客户、供应商或中介机构解释公司的道德规范。公司应鼓励员工在发现其他公司员工的不当行为时，及时向公司适当人员汇报。公司目前的具体实施措施为：公司制定《中铁建工集团有限公司章程》、《中铁建工集团党委关于进一步加强宣传报道工作的意见》和《中铁建工集团宣传报道奖励办法》等制度规范集团公司对外宣传口径和渠道。公司编制《中铁建工集团有限公司》、《中铁建工集团项目文化建设VI指导手册》，《中铁建工集团铁路站房项目文化标准化建设VI手册》等标准统一中铁建工对外形象、标识，规范员工行为、礼仪，加强对集团公司企业文化的宣贯工作。公司通过会议、内部刊物或者网络平台等途径宣传公司道德规范，要求员工在实际业务工作中解释公司的道德规范，并鼓励员工在发现其他公司员工的不当行为时，及时向公司有关人员汇报。与客户沟通公司及各子、分公司应通过定期与客户进行座谈和走访，听取客户对产品、服务等方面的意见和建议，收集客户需求和客户对业务单位的意见，强化售后服务，并制定相应政策，解决业务工作中存在的问题。公司应设立专职人员处理在生产经营活动中的商务纠纷。公司目前的具体实施措施为：公司制定《质量、环境、职业健康安全管理手册》，阐述了集团公司的管理体系方针、目标，识别并规定了集团公司的质量、环境与职业健康安全管理体系过程，同时阐述了对顾客的承诺、遵守法律法规的承诺和持续改进的承诺。公司制定《中铁建工集团有限公司法律事务管理办法》，梳理《集团公司法律事务处理流程》、《仲裁案件处理流程》指导处理生产经营活动中的纠纷案件；由集团公司主管领导组织会商提出指导意见。与供应商沟通公司及各子、分公司产品采购或服务需求部门应通过供需见面会或谈判、签订合同等形式与供应商就产品或服务的设计、质量、市场需求等问题进行沟通。此外，公司应与学校、国家研究室等建立良好的合作关系，就重要的项目研究共同合作。公司目前的具体实施措施为：公司制定《中铁建工集团有限公司物资集中采购管理办法》、《中铁建工集团有限公司物资集中采购考核办法》，梳理《物资供方管理流程》、《物资集中采购招标流程》、《办公用品管理流程》，规范集团公司及子分公司与供应商之间关于产品采购谈判、签订合同的合规性。针对战略制定、科研课题等，公司通过合规途径聘请学校、国家研究机构人员进行合作，进一步提高建工集团的管理水平。与律师的沟通公司法律事务部负责公司法律顾问的聘用工作，公司投资项目运作、投资协议拟定签署等事项应及时与律师进行信息沟通。公司应聘请律师参与有关重大项目服务和法律纠纷的处理，并随时与律师沟通处理进展情况。公司目前的具体实施措施为：公司法务合约部在参与企业投资项目运作、投资协议拟定签署、大型设备采购、大型设备租赁等事项的项目立项、合同评审过程中必要时与外部律师进行沟通，对方案、合同条款的法律合规性进行把控。公司制定《中铁建工集团有限公司外聘律师管理办法》，梳理《诉讼案件管理流程》确定纠纷案件代理人、外聘律师人选，并与其共同对纠纷案件进行处理；梳理《外聘律师选聘流程》指导分子公司对纠纷案件代理人、外聘律师的选择。与外部审计师的沟通公司管理层不定期与外部审计师召开会议，传达当前公司所做出的重要决定，以保证项目高效实施。财务部负责与外部审计师定期或不定期进行会晤和讨论，听取外部审计师有关财务报告审计、内部控制审计等方面的建议。公司目前的具体实施措施为：公司每年进行两次外部审计，选取正规外部审计机构进行专业审计；财务部负责组织外部审计活动，与外部审计师定期或不定期进行会晤和讨论，听取外部审计师有关财务报告审计、内部控制审计等方面的建议，形成财务审计报告和内部控制审计报告。与行业协会沟通公司各相关部门定期或不定期与行业协会沟通，获取行业信息，以保持行业竞争地位。公司目前的具体实施措施为：公司战略规划部作为集团公司协会管理的归口管理部门，是协会业务工作的总牵头部门。涉及到各相关部门、学会及协会的工作，主要由以下部门具体负责：公司技术中心负责与科技相关的上级、地方有关部门、学会和行业协会的日常沟通与联系工作，并积极参加相关科技活动；安质环保部负责和上级、地方的安全、质量有关的学会协会的沟通；公司党委工作部负责与新闻媒体的沟通联系工作；公司财务部在实际工作中与注册会计师协会进行沟通联系；管理学院与相关学会、协会沟通联系，负责申报集团公司个人奖项工作；工会与相关学会、协会沟通联系，负责申报集团公司的企业奖项工作。4信息系统4.1信息系统总体控制4.1.1内控关注要点信息系统控制环境总体控制环境：控制环境是进行有效内部控制的基础，包括信息系统建设整体规划的制定和修订、信息技术管理组织结构、员工教育和培训等。信息与沟通：各项信息技术管理政策、制度和规范的宣贯、执行和维护等。风险评估：包括公司和业务层面的信息技术风险的识别、评估和风险的防范，并要定期回顾风险评估结果等。监控：包括公司信息技术活动的定期监督和检查，提出改进建议，采取相应的改进措施等。信息安全信息安全管理组织：包括信息安全管理机制、信息系统安全保密和泄密责任追究制度、员工的信息安全培训以及员工入职签署遵守公司信息安全规定的声明等。逻辑安全：包括系统登录验证机制、用户帐号管理、口令规则、一般用户权限管理、管理员用户权限的管理、用户权限的职责分离、服务器操作系统安全设置及变更的管理和检查，以及数据的直接访问管理等。物理安全：包括进入机房的人员管理、进入机房的登记、敏感纸质系统文件的管理等。网络安全：包括出口的访问控制、防火墙设计、安装、培植及变更的流程和接触控制、外部网络的连接满足业务需求并记录、防火墙日志的检查、远程登录的申请和审批、财务数据通过传输时的加密、内部网络设计的审批及资料的存档、网络设计变更的管理流程等。计算机病毒防护：包括防病毒软件的安装、病毒定义文件的更新、定期的硬盘扫描等。第三方安全管理：包括合同中的安全条款以及第三方接触信息资源的审批、监控等。信息系统变更管理系统变更应包括对应用系统的升级、修改、补丁安装等改变系统功能的活动，以及对操作系统升级和补丁安装、操作系统环境配置变化、防火墙配置修改等。公司应根据系统变更对业务的影响程度，界定变更活动的优先级别，并对变更活动进行跟踪。禁止一切未经授权的系统变更行为。信息系统日常操作机房环境控制：包括机房的建筑标准、布线、温度、电源、防火等。信息系统日常运维制度与操作规范：公司应制定信息系统工作程序、信息管理制度以及各模块子系统的具体操作规范，及时跟踪、发现和解决系统运行中存在的问题，确保信息系统按照规定的程序、制度和操作规范持续稳定运行。系统日常运作监控：包括制定信息系统工作程序、信息管理制度以及各模块子系统的具体操作规范、每天对应用系统、网络设备、机房状况进行的巡检，以及检查结果的记录等。备份与恢复：包括备份的审批、执行、恢复、测试、记录等。问题管理：包括问题的解答、汇总、报告、存档等。最终用户操作最终用户计算机操作安全制度：包括用户计算机操作的安全制度及员工遵守该制度的声明等。电子表格管理：包括确定支持财务报告及披露的电子表格的清单和分类，电子表格的开发、测试、使用、变更、存储、备份、安全等。4.1.2措施信息系统控制环境总体信息控制环境公司应制定信息系统建设总体规划，定期进行审阅和调整。公司信息系统归口管理部门作为公司信息化建设的主管部门，应对信息系统建设实施归口管理，负责公司信息化建设，以及指导、监督各级信息系统归口管理部门工作，建立纵向汇报、沟通和监控机制。各级信息系统归口管理部门的岗位设置应从安全和内部控制与风险管理的角度，考虑职责分离的要求，并在重要工作岗位建立员工储备机制。各级信息系统归口管理部门应根据自身信息系统的特点和人员配置情况，制定相关的信息技术培训计划并切实执行。公司目前的具体实施措施为：公司在战略规划报告中提出，集团公司信息化战略实施规划是：完成基础建设、建设数据中心、完善平台、实施“五统一”、落实整体推进。以此来逐步推进企业信息化建设的总体战略目标的实现，即通过信息化推动集团公司管理现代化，实现集团公司管理组织扁平，业务流程简捷，企业资源共享，精细管理生产，标准规范透明，协调同步高效，市场应变敏捷的现代化管理目标。集团将以“分步实施，阶段审核”的方式来推进企业信息化建设。公司制定《中铁建工集团有限公司计算机信息系统管理暂行办法》，规定信息化部是集团公司信息化建设归口管理的职能部门，信息化部负责全集团公司计算机及网络信息管理方面的具体工作。各子、分公司成立信息化建设领导小组，设置相应的计算机及网络管理机构并配置专职工作人员，负责推进信息化建设规划的实施，监督计算机及网络信息的规范使用，处理网络及终端故障。公司制定《信息化培训管理暂行办法》，将信息技术培训计划纳入年度培训计划，并且配合信息技术培训评价工作，确保培训效果。信息与沟通各级信息系统归口管理部门应明确信息技术内部控制职责，负责在其管理范围内进行各项信息技术管理政策、制度和标准的宣传和贯彻工作，定期评估执行情况并解决发现的问题。公司目前的具体实施措施为：公司制定《信息技术标准管理》和《系统升级流程》，规定信息化部及时掌握国际上和国内信息科技动态，及时将先进的信息技术引入、应用到生产和经营管理过程中，及时提出升级改造方案，规范集团公司信息化建设的有序健康发展。风险评估公司信息系统归口管理部门应对公司及业务层面的主要信息技术风险进行评估，并每年定期审阅信息技术风险评估结果。当发生重大的信息技术应用或者组织结构变动时，公司信息系统归口管理部门应对变动情况进行风险评估，必要时调整相关风险防范措施。公司目前的具体实施措施为：公司制定《信息系统安全风险评估流程》，对财务信息系统、协同工作平台、人力资源信息系统和工程项目综合管理信息系统运行维护存在的风险进行评估。一旦发现信息系统运行中的问题，各类信息系统归口管理部门及时对因问题导致的系统异常情况进行风险评估，并调整相关风险防范措施。监控在公司范围内，公司应建立信息技术总体控制执行情况的测试、监督和审查制度，并根据执行情况做相应改进。公司目前的具体实施措施为：针对信息系统安全，公司制定《中铁建工集团有限公司计算机信息系统管理暂行办法》和《信息系统安全监控流程》，规定信息化部负责信息安全管理，从管理和技术两个方面保证信息系统安全。加强对因特网和其他对外接口的安全管理和监控，随时监控信息系统安全状态，及时处理突发的安全故障，保障信息系统正常运行。针对信息系统中不相容岗位职责分离、权限审批等执行情况，公司组织测试，并根据检查情况做相应改进。信息安全信息安全管理组织公司应建立信息安全组织架构，并建立完善的汇报机制。公司总部和所属单位等各级信息系统归口管理部门应设立信息安全管理负责人，负责本单位的信息安全培训及信息技术日常工作的安全监督和检查。公司应建立信息系统安全保密和泄密责任追究制度。委托专业机构进行系统运行维护管理的，应当审查该机构的资质，并与其签订服务合同和保密协议。公司目前的具体实施措施为：公司制定《中铁建工集团有限公司计算机网络安全管理暂行规定》和《巡检与监控流程》对信息安全进行控制。《中铁建工集团有限公司计算机网络安全管理暂行规定》规定由信息化部负责信息安全管理，从管理和技术两个方面保证信息系统安全。加强对因特网和其他对外接口的安全管理和监控，随时监控信息系统安全状态，及时处理突发的安全故障，保障信息系统正常运行。《中铁建工集团有限公司计算机网络设备管理暂行办法》规定：接入企业网络的所有设备，由信息化部负责管理，接入设备的调整，包括新设、调整、删减必须经过审批；公司对外信息发布服务器信息更新必须经过相关部门审批；所有涉及公司企业机密、企业安全的信息不允许存入与公司企业网有物理连接的计算机，所有其他敏感信息不允许在公司企业网内进行信息共享。逻辑安全对信息系统（包括网络系统、操作系统、数据库和应用系统等）进行访问时，应执行访问控制原则，通过安全的登录验证机制，确保只有合法的用户才能访问适用的系统。公司应制定系统用户权限管理工作相关规范，依据该规范对用户权限需求和实际分配情况进行分析，并合理设置，为定期的测试提供规范和依据。权限日常管理方面公司应建立用户权限申请、更改、撤销的管理流程，对用户权限的申请、审批、变更、删除进行管理。用户和权限应根据职责分离和最合适权限原则进行分配和设置。所属单位应根据实际工作的需要定义不同的数据权限，以财务报告相关的内部控制与风险管理为依据，从关键业务流程和关键控制措施出发，明确责任中心、凭证类型及重要会计科目、报表的权限设置。公司应制定口令规则，对用户的口令及口令的使用进行管理，包括对口令设定、重新申请、口令强度、变更周期和口令管理做出明确规定。公司应建立服务器操作系统的设置和变更管理流程，并对设置进行定期审核。公司应建立应用系统数据直接访问的申请和审批管理流程，防止未授权的数据直接访问。公司目前的具体实施措施为：公司制定《中铁建工集团有限公司协同工作平台（OA系统）管理办法》，规定用户及其权限的申请、设置及变更，由集团公司信息化部按照发起部门提交的《集团公司协同工作平台设置（变更）申请表》进行实施，OA平台的用户权限和各模块、栏目的信息发布、浏览和删除等经各自主管和信息化部部长同意后方可由网络管理员设置权限。部门发布的信息必须经过本部门负责人的审核，以个人名义发布的信息由发布人负责。计算机网络管理员登录核心网络设备（路由器、防火墙、核心交换机、代理服务器等）通过密码确认身份，密码复杂度应在8位及以上，同时包含大小写字母、数字及符号，通常应每三个月更新一次。若遇计算机网络维护管理人员变更应及时变更以上密码。密码变更，须经信息化管理部门负责人确认。物理安全所有机房应采取必需的保护措施，保证进出机房的安全控制，保护措施包括电子门禁、警卫、密码、门锁等。公司应建立进入机房的安全访问和登记管理机制。公司目前的具体实施措施为：公司制定《中铁建工集团有限公司计算机机房管理暂行规定》对机房、管理范围、记录信息表、机房进出登记、机房设备检查、检查记录等程序予以规定。例如，《中铁建工集团有限公司计算机机房管理暂行规定》规定，所有进入机房非网络信息化部管理人员必须经过授权，并由信息化部网络管理人员陪同，网络管理人员必须完整填写登记表。例如，《中铁建工集团有限公司计算机机房管理暂行规定》，规定机房钥匙只配给网络管理员和信息部门负责人。网络管理员妥善保管机房钥匙，新配钥匙要经信息部门负责人同意。除网络管理员和信息部门人员外，其他人员不得随意进入机房。其他人员确因工作需要进入机房须经信息化部门负责人或管理员同意，并予以登记;任何人不得随意移动、拆卸、更改机房设备位置、线路走线。确因工作需要而改动，须经信息部门负责人同意。网络设备技术资料、维护仪表、工具、软件要妥善保管，不得外借；进入机房的网络管理人员任务完成后，要检查并确认网络设备、电源及空调设备运行正常并锁好机房门后，方可离开。网络安全公司应建立网络设计和变更管理流程，各级信息系统归口管理部门负责本单位网络设计文档的归档管理工作。公司应建立边界网络出口的登记管理机制，内部网络与外部机构网络之间的连接经过审批和登记管理，并且边界网络出口的设置与业务需求相匹配，只允许合法的数据流通过这些连接。在网络的内部边界和外部边界等位置，公司应采取有效的措施实施访问控制（如进行路由过滤、配置防火墙等）。建立控制策略的设置和变更管理流程，并进行定期审核。公司应建立远程访问的管理制度，保证远程访问的安全。远程登录方式安全可靠。建立远程登录账号的申请和变更管理流程，并定期审核远程登录用户账号。在外部网络中传输涉密或关键数据时应采取适当的加密措施。公司目前的具体实施措施为：公司制定《中铁建工集团有限公司计算机网络安全管理暂行规定》：集团公司各局域网络应建立基于域的安全管理策略。登录集团公司各局域网用户要经过规范的审批流程后，由计算机网络域管理员进行设置，并保存书面记录。局域网用户发生变动时要予以及时变更。在集团公司CA条件下，职员登录公司局域网一般应通过数字证书方式来确认身份，并根据角色设定不同的访问权限。在不具备集团公司CA条件下，职员登录公司局域网必须通过登录域密码来确认身份。密码的复杂度应保持8位及以上，同时包含大小写字母和数字，帐户锁定阀值设置为7。登录域密码每半年强制更新一次。计算机网络管理员登录核心网络设备（路由器、防火墙、核心交换机、代理服务器等）通过密码确认身份，密码复杂度应在8位及以上，同时包含大小写字母、数字及符号，通常应每三个月更新一次。若遇计算机网络维护管理人员变更应及时变更以上密码。密码变更，须经信息化管理部门负责人确认。计算机病毒防护公司应制定计算机防病毒规定，确定防病毒软件的安装范围。定期更新病毒库，定期扫描系统。公司目前的具体实施措施为：公司制定《中铁建工集团有限公司计算机网络安全管理暂行规定》：集团公司系统内规模较大局域网内一般应设置防计算机病毒服务器，局域网计算机设备安装客户端，对病毒进行统一管理和监控。计算机管理员应经常通过防病毒服务器查看局域网内病毒情况及防病毒服务器对局域网内计算机终端及应用服务器的病毒监控情况，出现问题要及时处理。系统内对于规模较小局域网在未设防计算机病毒服务器的情况下，局域网计算机终端必须安装防病毒软件并及时更新。第三方安全管理第三方服务合同中应包括有关遵循公司安全规定的条款，并对第三方在合同执行过程中的安全行为按照合同的要求进行监督。公司应建立第三方访问应用系统的申请流程，严格监控第三方对应用系统的访问。公司应建立第三方远程登录账号的申请流程，严格监控第三方对内部网络的远程登录。公司目前的具体实施措施为：公司制定《中铁建工集团有限公司协同工作平台（OA系统）管理办法》和《中铁建工集团有限公司计算机网络安全管理暂行规定》：企业网用户的调整，包括增加、删除、修改等必须经过审批；接入企业网络的所有设备，由信息化部负责管理，接入设备的调整，包括新设、调整、删减必须经过审批。信息系统变更管理系统变更应包括对应用系统的升级、修改、补丁安装等改变系统功能的活动，以及对操作系统升级和补丁安装、操作系统环境配置变化、防火墙配置修改等。公司应根据系统变更对业务的影响程度，界定变更活动的优先级别，并对变更活动进行跟踪。禁止一切未经授权的系统变更行为。公司目前的具体实施措施为：公司建立《系统升级流程》，信息系统变更严格遵照管理流程进行操作。信息系统操作人员不得擅自进行系统软件的删除、修改等损伤；不得擅自升级、改变系统软件版本；不得擅自改变软件系统环境配置。信息系统修改或切换需经过信息化部部长审批，新交换设备的接入、既有设备的端口设置调整必须经信息化部部长授权，并填写交换设备设置记录表后归档保存。新旧系统切换时，进行数据迁移必须建立数据迁移计划并对迁移结果进行测试。安装后的信息系统功能变更时，重新按照系统开发的有关程序进行。应用系统升级如由需求部门提出的需填写变更申请表，交信息化部受理。信息化部对变更需求进行审核，评估其安全性、稳定性和可操作性，评估通过后由信息化部制定升级计划，安排升级时间，如是系统大型软件升级，信息化部组织编制技术方案，安排人员进行实施，并组织需求部门对实施结果进行测试，上线运行。信息系统日常运作机房环境控制公司应根据机房重要程度配备必要的环境控制设备以加强服务器等关键信息设备的管理，包括空调、温度计、湿度计、消防报警设备、防雷和防静电设备、不间断电源系统等。公司目前的具体实施措施为：公司制定《中铁建工集团有限公司计算机机房管理暂行规定》对机房、管理范围、记录信息表、机房进出登记、机房设备检查、检查记录等程序予以规定。例如，《中铁建工集团有限公司计算机机房管理暂行规定》规定，机房应设置空调设备、灭火设施及UPS电源，UPS在市电断电情况下至少能保证四个小时的网络设备正常工作用电；计算机网络管理员每天上班进入机房首先检查窗户、物品、电源和设备有无异常情况。若发现异常情况立即向信息部门负责人汇报；机房内应定期打扫卫生，保持环境整洁。机房应装设适当的空气调节设备，使机房的温度控制在18℃-25℃之间、相对湿度控制在30%-70%之间。计算机网络管理员每天要检查机房温度和湿度，并将温度、湿度记录于网络管理日志中；严禁将易燃、易爆和腐蚀性物品带入机房。机房内严禁明火和吸烟。信息系统日常运维制度与操作规范公司应制定信息系统工作程序、信息管理制度以及各模块子系统的具体操作规范，及时跟踪、发现和解决系统运行中存在的问题，确保信息系统按照规定的程序、制度和操作规范持续稳定运行。公司目前的具体实施措施为：公司信息化部及有关部门制定《中铁建工集团有限公司协同工作平台（OA系统）管理办法》、《中铁建工集团有限公司视频会议系统使用管理暂行办法》、《中铁建工集团有限公司档案管理系统管理暂行办法》、《中铁建工集团有限公司财务信息系统内部控制管理暂行办法》、《中铁建工集团有限公司人力资源信息管理系统管理办法》、《中铁建工集团有限公司项目管理系统管理办法》、《中铁建工集团有限公司网站网页管理暂行办法》，对各模块子系统的具体操作进行规范。及时跟踪、发现和解决系统运行中存在的问题，确保信息系统按照规定的程序、制度和操作规范持续稳定运行。系统日常运作监控公司应安排相关人员定期对设备运行状况进行巡查，及时处理异常情况。公司应安排相关人员定期检查关键系统和设备的系统日志（如关键的应用系统、防火墙等），审查是否有错误信息或异常情况等。公司目前的具体实施措施为：公司制定《中铁建工集团有限公司计算机终端设备和机房管理管理暂行办法》和《巡检与监控流程》：信息化部负责公司网络及终端的维护维修工作。计算机网络管理员每天上班进入机房首先应检查窗户、物品、电源和设备有无异常情况。若发现异常情况立即向信息化部门负责人汇报。机房必须设置专职管理人员（以下称管理员），全面负责机房内各类设备、软硬件系统的安全维护和管理工作，并应建立网络管理日志。计算机终端使用人不得自行删除、修改终端设备的配置文件和程序，严禁使用反汇编软件、后门软件和端口扫描软件等黑客程序。禁止访问非法网站，避免感染病毒程序。计算机软件系统出现故障，由使用人直接通知计算机维护人员。计算机维护人员根据故障情况及影响程度，确定优先权顺序对问题进行处理，并填写《计算机及相关设备故障处理单》。备份与恢复公司应根据用系统的重要程度，制定系统备份和恢复策略，包括备份数据内容、备份方式、备份频度、操作方法、备份及恢复操作步骤、备份介质存放地点、有效性检查等。备份和恢复策略进行定期审阅。系统管理员应依据策略执行备份作业，定期进行备份存储介质的恢复性测试。公司目前的具体实施措施为：公司信息化部制定《中铁建工集团有限公司计算机网络安全管理暂行规定》和《备份与恢复流程》对数据备份、备份数据的保存、备份数据的有效性验证、备份数据恢复等程序进行了规定。例如，《中铁建工集团有限公司计算机网络安全管理暂行规定》，规定集团公司各应用系统均应建立数据备份机制。根据数据的重要程度，采用实时热备、远程镜像、磁盘阵列、磁带库等备份方式，建立灾难备份机制。要积极创造条件，在建设集团公司数据中心的同时，尽量建立集团公司异地数据备份中心。问题管理公司应建立信息技术问题管理流程及升级汇报制度，按照问题的影响程度，对其进行分级，并根据问题的级别上报至相应的管理层。公司目前的具体实施措施为：公司信息化部制定《突发事件处理流程》对故障发现与报告、故障处置授权、故障处置、故障处理情况记录程序予以规定。例如，故障发现与报告规定，发现公司企业网网络故障时，必须第一时间通知信息化部负责人，填写“网络故障应急处理表”，并调动一切可调动人员立即进行故障处理。信息化部所有职员在网络出现故障时，必须停止所有其他工作，全部参与网络故障恢复工作。最终用户操作公司应制定最终用户计算机操作安全制度及员工遵守该制度的声明，并要求员工签署相应的保密协议。公司目前的具体实施措施为：公司执行《中国铁路工程集团有限公司财务信息系统内部控制管理暂行办法》，建立财务管理信息系统授权批准制度，明确岗位人员权限与职责，防止计算机犯罪行为发生。各岗人员经领导授权批准后进行相关岗位工作，并在进入系统前予以加密设置，严禁未经授权批准非法进入系统程序。公司信息化部制定《中铁建工集团有限公司协同工作平台（OA系统）管理办法》，规定各部门发布信息必须经部门负责人审核同意。各部门上网公布的各类行政、党务，经营、工程和科研信息、知识等不应涉及企业秘密。同时国家有关法规禁止传播的各类信息(内部通知、通报、汇报材料、涉及政治或技术经济机密的材料等)也一律不得上网。原则上各部门人员只允许在本部门管理的知识目录下发布信息。跨部门的知识信息发布应征得知识目录主管部门同意。公司信息化部制定《中铁建工集团有限公司计算机网络安全管理暂行规定》和《中铁建工集团有限公司协同工作平台（OA系统）管理办法》对密码、密码分类、密码复杂性、密码管理、终端用户密码管理进行了规定。例如，终端用户密码管理：终端用户账户发生变动（修改密码、用户变更、用户删除）时，要填写用户账户变更审批记录表，并经申请人单位主管批准，管理员进行设置前，必须经过信息化部部长授权。4.2信息系统应用控制4.2.1内控关注要点完整性所有的交易都应经过处理，且只处理一次。不允许数据的重复录入和处理。例外情况的发现和解决。准确性所有的数据（包括金额和账户）应是正确和合理的。例外情况应当被及时发现以保证交易被记录在正确的会计期间。有效性交易应被适当授权。系统不接受虚假交易。例外情况应被发现和处理。接触控制未经授权，不得对数据进行修改。数据的保密性。物理设备的保护。4.2.2措施权限控制公司应建立用户账号和权限的审核流程，对用户获得的权限有正式的文档进行记录，定期审核用户账号和权限的实际设置，定期检查系统职责分离设置是否正确，纠正错误的权限分配，关闭无人使用的用户账号，并及时维护相关文档。公司应根据系统的重要程度，对用户的系统活动采取不同的监控措施，并及时报告异常活动。在日常管理工作中，公司应定期检查用户在系统中的访问权限，主要检查以下事项：发生变动（定期或临时）后，检查所有用户权限的设置情况；对于拥有关键权限的所有用户，增加检查密度；在应用系统的用户权限发生变动时，按照相关的流程进行变更处理。公司目前的具体实施措施为：公司执行《中国铁路工程集团有限公司财务信息系统内部控制管理暂行办法》，要求财务管理信息系统软件设置系统维护功能，具备用户权限管理、数据备份与恢复等基本功能。其中用户管理权限规定系统各部分分步操作管理权限，系统能对所有上机操作人员自动判断分类，拒绝、警示非法操作并加以记录。公司信息化部制定《中铁建工集团有限公司协同工作平台(OA系统)管理办法》和《协同工作平台管理流程》，规定：用户账户密码由信息化部部长统一授权管理。账户密码设置操作人凭由信息化部部长签字的“协同工作平台账号变更申请表”进行密码设置，并记录新、旧账号和密码，保证记录媒体的安全。密码调整完毕后，密码设置记录表在操作人签字后存档，并至少保存至第二年年底。输入（源头）控制公司应针对手工录入、批量导入、接收其他系统数据等不同数据来源，设置各种输入校验以确保数据的准确性、有效性和完整性，如使用循环冗余校验码、检查数据取值的合理性、参照完整性检查、合计数与明细数一致性检查、借贷平衡检查等。公司目前的具体实施措施为：公司执行《中国铁路工程集团有限公司财务信息系统内部控制管理暂行办法》，保证输入数据及操作的准确性、安全性，同时应保证系统的易扩充性和易操作性。其中，保证输入数据及操作的准确性。在易出现错误和失误的地方，建立尽可能完善的检错和纠错系统，进行重点防护；保证输入数据及操作的安全性。要有一套完善的管理制度和技术方法，防止系统被非法使用，数据丢失及非法改动，此外还应有系统破坏后的恢复功能等；保证系统的易扩充性。系统在运行周期内，随环境条件的变化系统随之进行改变，要求对系统的修改和扩充能够非常容易地进行，保证系统的易操作性。财务管理信息系统必须尽可能地方便使用，要具有友好的界面，准确简明的操作提示，简单方便的操作过程，并要求使用财务专业术语，使财务人员一学即会。公司制定《资金中心支付结算流程》，通过录入-复核-审批环节确保录入数据的准确性。系统处理控制公司应设置处理权限控制、合理性检验控制、业务时序控制、审计跟踪控制、备份及恢复控制以确保系统按规定对数据进行处理，包括能够对经济业务进行正常处理，业务数据在处理过程中没有丢失、增加、重复或不恰当的改变，处理中错误能够发现并得到及时更正。公司目前的具体实施措施为：公司执行《中国铁路工程集团有限公司财务信息系统内部控制管理暂行办法》，对数据访问实现严格的权限控制，并具有防止越权操作的技术措施；保证系统对输入的数据、存储、处理、传递使用和销毁，按照国家有关保密规定进行，并在各项操作中有相应的密码识别。涉密系统还应有严格的数据加密措施；设置系统日志管理功能，系统日志管理提供独立于操作系统的电子文档、查询日志记录功能，包括：上机人员姓名、访问时间（年月日时分）、所用微机编号、查询内容、利用方式（阅读、修改、拷贝、打印），并提供详情查询功能。输出控制公司应设置相应控制以检查输出的正确性，相关控制措施包括合计数控制、抽样统计控制、数据稽核控制等。公司应根据不同业务内容设置输出操作的执行权限。公司应设置输出资料分发控制以使资料只能分发给有权接受资料的人。公司目前的具体实施措施为：公司在实际工作中对输出信息进行一定的审核，系统操作人员输入信息后，应由有审核资格人员对相关信息进行分析稽核，只有确认无误的信息才能最终输出分放到相应人员。4.3内部控制与全面风险管理信息平台4.3.1目的通过整体水平控制、流程预警、数字预警和风险快报四大功能优势，实现对公司风险管理和内部控制情