公司信息系統內部控制管理制度.doc
下載文檔
上傳人:職z****i
編號:1118504
2024-09-07
8頁
29.50KB
1、公司信息系統內部控制管理制度編 制: 審 核: 批 準: 版 本 號: ESZAQDGF001 編 制: 審 核: 批 準: 版 本 號: 內部控制制度信息系統一般控制第一章 總 則第一條 為了充分利用某某公司(以下簡稱“公司”)信息系統,規范交易行為,提高信息系統的可靠性、穩定性、安全性及數據的完整性和準確性,降低人為因素導致內部控制失效的可能性,形成良好的信息傳遞渠道,根據國家有關法律法規和企業內部控制基本規范,制定本制度。 第二條 本制度所稱信息系統是指利用計算機技術對業務和信息進行集成處理的程序、數據和文檔等的總稱。第三條 公司在信息系統管理過程中,至少應關注涉及信息系統一般控制的下列2、風險:(一)信息系統開發與使用違反國家法律法規,可能遭受外部處罰、經濟損失和信譽損失。(二)信息系統開發與使用未經適當審核或超越授權審批,可能因重大差錯、舞弊、欺詐而導致損失。(三)信息系統設計功能不科學、維護與變更程序不規范,可能導致公司經營效率與效果低下。(四)信息系統外包服務未恰當履行或監控不當,可能導致公司權益受損或違約損失。(五)信息系統訪問安全措施不當,可能導致商業秘密泄露。(六)信息系統硬件管理不當,可能導致公司資產或股東權益受損。第四條 公司在建立與實施信息系統內部控制過程中,至少應強化對下列關鍵方面或關鍵環節的控制:(一)職責分工、權限范圍和審批程序應明確規范,機構設置和人員3、配備應科學合理,重大信息系統開發與使用事項應履行審批程序。(二)信息系統開發、變更和維護流程應清晰合理。(三)應建立訪問安全制度,操作權限、信息使用、信息管理應有明確規定。(四)硬件管理事項和審批程序應科學合理。(五)會計信息系統流程應規范,會計信息系統操作管理、硬件、軟件和數據管理、會計信息化檔案管理應完善。第二章 崗位分工與授權審批第五條 公司應建立計算機信息系統崗位責任制。計算機信息系統崗位一般包括:(一)系統分析:分析用戶的信息需求,并據此制定設計或修改程序的方案。(二)編程:編寫計算機程序來執行系統分析崗位的設計或修改方案。(三)測試:設計測試方案,對計算機程序是否滿足設計或修改方案4、進行測試,并通過反饋給編程崗位以修改程序并最終滿足方案。(四)程序管理:負責保障并監控應用程序正常運行。(五)數據庫管理:對信息系統中的數據進行存儲、處理、管理,維護組織數據資源。(六)數據控制:負責維護計算機路徑代碼的注冊,確保原始數據經過正確授權,監控信息系統工作流程,協調輸入和輸出,將輸入的錯誤數據反饋到輸入部門并跟蹤監控其糾正過程,將輸出信息分發給經過授權的用戶。(七)終端操作:終端用戶負責記錄交易內容,授權處理數據,并利用系統輸出的結果。系統開發和變更過程中不相容崗位(或職責)一般應包括:開發(或變更)立項、審批、編程、測試。系統訪問過程中不相容崗位(或職責)一般應包括:申請、審批、5、操作、監控。第六條 公司計算機信息系統戰略規劃、重要信息系統政策等重大事項應經由董事會審批通過后,方可實施。信息系統戰略規劃應與公司業務目標保持一致。信息系統使用部門應該參與信息系統戰略規劃、重要信息系統政策等的制定。第七條 公司應指定專門部門(或崗位,下稱歸口管理部門)對計算機信息系統實施歸口管理,負責信息系統開發、變更、運行、維護等工作。財會部門負責信息系統中各項業務賬務處理的準確性和及時性;會計電算化制度的制定;財務系統操作規定等。生產、銷售、倉儲及其他部門(下稱用戶部門)應根據本部門在信息系統中的職能定位,參與信息系統建設,按照歸口管理部門制定的管理標準、規范、規章來操作和運用信息系統6、。公司管理層應該明確定義系統歸口管理部門和用戶部門(含財會部門)在保證系統正常安全運行過程中各自承擔的職責,制定部門之間的職責分工表。第三章 信息系統開發、變更與維護控制第八條 計算機信息系統開發包括自行設計、外購調試和外包合作開發。公司在開發信息系統時,應充分考慮業務和信息的集成性,優化流程,并將相應的處理規則(交易權限)嵌入到系統程序中,以預防、檢查、糾正錯誤和舞弊行為,確保公司業務活動的真實性、合法性和效益性。第九條 公司計算機信息系統開發應遵循以下原則:(一)因地制宜原則:應根據行業特點、公司規模、管理理念、組織結構、核算方法等因素設計適合本單位的計算機信息系統。(二)成本效益原則:計7、算機信息系統的建設應能起到降低成本、糾正偏差的作用,根據成本效益原則,可以選擇對重要領域中關鍵因素進行信息系統改造。(三)理念與技術并重原則:計算機信息系統建設應將信息系統技術與信息系統管理理念整合,應倡導全體員工積極參與信息系統建設,正確理解和使用信息系統,提高信息系統運作效率。第十條 信息系統開發必須經過正式授權。具體程序包括:用戶部門提出需求;歸口管理部門審核;公司負責人授權批準;系統分析人員設計方案;程序員編寫代碼;測試員進行測試;系統最終上線;系統維護等。第十一條 公司應成立項目管理小組,負責信息系統的開發,對項目整個過程實施監控。對于外包合作開發的項目,公司應加強對外包第三方的監控8、。第十二條 外購調試或外包合作開發等需要進行招投標的信息系統開發項目,公司應保證招投標過程公平、公正、公開。第十三條 公司應制定詳細的信息系統上線計劃。對涉及新舊系統切換的情形,公司應在上線計劃中明確應急預案,保證新系統一旦失效,能夠順利切換回舊的系統狀態。第十四條 新舊系統切換時,如涉及數據遷移,公司應制定詳細的數據遷移計劃。用戶部門應積極參與數據遷移過程,對數據遷移結果進行測試,并在測試報告上確認。第十五條 信息系統在投入使用前應至少完成整體測試和用戶驗收測試,以確保系統的正常運轉。第十六條 信息系統原設計功能未能正常實現時,公司應指定相關人員負責詳細記錄,并及時報告歸口管理部門。歸口管理9、部門負責系統程序修正和軟件參數調整,以實現設計功能。第十七條 信息系統上線后,發生的功能變更,應參照上款有關系統開發的審批和上線程序執行。第十八條 公司應積極倡導采用預防性措施,確保計算機信息系統的持續運行。常見預防性措施包括但不限于日常檢測、設立容錯冗余、編制應急預案等。第四章 信息系統訪問安全第十九條 公司應制定信息系統工作程序、信息管理制度以及各模塊子系統的具體操作規范。第二十條 計算機信息系統操作人員不得擅自進行系統軟件的刪除、修改等操作,不得擅自升級、改變系統軟件版本,不得擅自改變軟件系統環境配置。第二十一條 公司應對信息系統操作人員的賬號、密碼和使用權限進行嚴格規范,建立相應的操作10、管理制度。未經操作培訓的人員不得作為操作人員。第二十二條 公司應建立賬號審批制度,加強對重要業務系統的訪問權限管理。對于發生崗位變化或離崗的用戶,公司應及時調整其在系統中的訪問權限。公司應定期對系統中的賬號進行審閱,避免有授權不當或非授權賬號存在。對于超級用戶等特權用戶,公司應該嚴格限制其使用,并對其在系統中的操作全程進行監控。使用完畢后,應由不相容崗位對其操作日志進行審閱。第二十三條 公司應充分利用操作系統、數據庫、應用系統自身提供的安全性能,在系統中設置安全參數,以加強系統訪問安全。禁止未經授權人員擅自調整、刪除或修改系統中設置的各項參數。涉及上網操作的,公司應加強防火墻、路由器等網絡安全11、方面的管理。第二十四條 公司可以結合實際情況,本著審慎、穩健的原則,將信息系統訪問安全事項交由第三方管理。在此情形下,公司應加強對第三方的監控。第二十五條 公司應定期檢測信息系統運行情況,及時進行計算機病毒的預防、檢查工作,禁止用戶安裝非法防病毒軟件和私自卸載公司要求安裝的防病毒軟件。第二十六條 信息系統操作人員應在權限范圍內進行操作,不得利用他人的口令和密碼進入軟件系統。更換操作人員或密碼泄露后,必須及時更改密碼。操作人員如果離開工作現場,必須在離開前鎖定或退出已經運行的程序,防止其他人員利用自身賬號操作。第二十七條 公司應利用計算機信息系統建立信息化平臺,規范信息的使用和傳遞,促進業務流程12、與信息流程的統一,提高經營管理的效率和效果。第二十八條 公司應對所有的重要信息進行密級劃分,包括書面形式和電子媒介形式保存的信息。公司可以根據信息的重要性程度和泄密風險損失等劃分標準,將信息分為絕密類、機密類、秘密類和重要類等,并建立不同類別信息的授權使用制度。第二十九條 公司計算機信息系統應劃分為生產、銷售、存儲等子系統,及時反映和記錄交易。交易責任部門在其授權范圍內對子系統錄入信息的真實性、完整性、準確性和及時性負責,并定期檢查、核對所錄信息。第三十條 公司財會部門應認真審核采購、生產、銷售、倉庫等部門與財務相關的關鍵業務數據,保證會計信息與業務流程在時間、數量和價值上的統一。第三十一條 13、公司應建立信息數據變更處理(包括數據導入、數據提取、數據修改等)規范。一經發現已輸入數據信息有誤,必須按照信息系統操作規定加以修正。第三十二條 公司應建立數據信息定期備份制度和數據批處理或實時處理的處理前自動備份制度。并在備份完畢后,將備份介質異地保存。第三十三條 公司應編制完整、具體的災難恢復計劃。同時應定期檢測、及時修正該計劃。第五章 硬件管理第三十四條 公司應制定計算機信息系統硬件管理制度,對設備的新增、報廢、流轉等情況建檔登記,統一管理。第三十五條 公司應將計算機硬件設備放置在合適的物理環境中,由專人負責管理和檢查,其他任何人未經授權不得接觸計算機信息系統硬件設備。對于主要系統服務器應14、配備不中斷電源供給設備。第三十六條 硬件設備的更新、擴充、修復等工作應由相關人員提出申請,報上級主管負責人審批。第三十七條 公司操作人員應嚴格遵守用電安全,不得在計算機專用線路上使用其他用電設備。第三十八條 公司應完善計算機信息系統硬件設備異常狀況處理制度。一經發生異常狀況(如冒煙、打火、異常聲響等),應立即通知有關部門,并按處理制度進行處理。第六章 會計信息化及其控制第三十九條 公司應加強會計信息化工作,并對其工作流程進行有效控制。本制度所稱會計信息化是指利用計算機信息技術代替人工進行財務信息處理,以及替代部分由人工完成的對會計信息的分析和判斷的過程。第四十條 公司應建立會計信息化操作管理制15、度,明確會計信息系統的合法有權使用人員及其操作權限和操作程序,形成分工牽制的控制形式。公司出納人員不得兼任電算化系統管理員,不得兼任記賬憑證的審核工作。第四十一條 公司應建立會計信息系統硬件、軟件和數據管理制度,重點關注下列風險和控制點:(一)對正在使用的會計核算軟件進行修改、對通用會計軟件進行升級和對計算機硬件設備進行更換時,公司應有規范的審批流程,并采取替代性措施確保會計數據的連續性。(二)公司應健全計算機硬件和軟件出現故障時進行排除的管理措施,保證會計數據的完整性。(三)確保會計數據安全保密,防止對數據的非法修改和刪除。第四十二條 公司應建立信息化會計檔案管理制度。本制度所稱信息化會計檔16、案是指存儲在磁性介質或光盤介質的會計數據和計算機打印出來的書面等形式的會計數據,包括記賬憑證、會計賬簿、會計報表(包括報表格式和計算公式)等數據。公司應指定專人負責信息化會計檔案的管理,做好防消磁、防火、防潮和防塵等工作;對于存儲介質保存的會計檔案,應定期檢查,防止由于介質損壞而使會計檔案丟失。第七章 附 則第四十三條 本制度適用于公司及所屬公司,包括公司總部、各分公司及全資子公司、控股子公司。第四十四條 公司及所屬公司可以參照本制度制定相關實施細則或具體執行辦法,實施細則或執行辦法不得違反本制度相關規定。實施細則或執行辦法經公司總經理辦公會批準后執行,并上報公司備案。第四十五條 本制度由公司董事會負責解釋和修訂。第四十六條 本制度自公司董事會審議批準之日起執行,修改時亦同。