内部控制手册-信息系统开发.doc

18.1 信息系统开发1.1 概述规定了XXX股份有限公司及其下属公司有关信息系统开发的相关工作，涉及公司信息系统开发的立项、可行性研究、决策以及在已有信息系统基础上的变更和二次开发需求申请、开发及验收交付的工作流程，旨在确保公司信息系统的适用性及稳定性。1.2 适用范围适用于XXX股份有限公司及其下属公司。1.3 相关制度暂缺，建议补充相关制度。1.4 职责分工暂缺，建议补充相应的职责分工。1.5 流程图21.6 控制矩阵风险编号风险描述控制措施编号控制类型控制措施应用系统控制控制频率（随时/日/周/月/季/年）控制实施证据对应制度/管理办法应用系统控制所属模块系统控制措施18.1-R1信息系统某些权限设置不合理18.1-C1预防性明确ERP系统权限设置，系统开发或升级时应根据总经理、分管领导至各职能部门负责人权限依次进行设置。ERP系统权限设置应与公司授权体系相对应。各级系统审核人员应对录入人员的工作进行复核确认，各职能部门之间应定期进行数据核对。发生人员变动时，系统管理人员应及时对权限设置情况进行调整。年信息系统建设方案18.1-PR1公司未制定信息系统开发申请审批流程，缺少规范性文件及项目开发计划，可能导致公司信息系统开发管理混乱，影响信息系统开发项目正常开展18.1-C2A预防性1）公司信息化建设的对口部门是行政人事部下属办公室，负责公司及所属各单位的信息化方案（包括：计算机和网络设备的采购，网络建设、软件选型及二次开发等过程）的审核及审批；2）公司及所属各单位的计算机和网络设备的采购以及信息化项目建设。严格执行先立项、形成材料上报公司审批，经审批后进入商务洽谈等流程年信息化建设方案；项目计划书18.1-C2B发现性行政人事部下属办公室负责将审批确定后的项目开发文件及项目计划进行归档备案，并设立台帐监督项目的实施推进，考核项目计划的履行情况、进行跟踪确认并协调计划修改等事宜，全面把握项目的施行进程，保证项目按时完成年项目开发文件；项目计划书；项目推进情况台账18.1-PR2公司的信息系统开发计划与公司战略发展目标不匹配，可能导致开发的信息系统无法适应公司的发展需要，影响公司持续稳定经营的目标18.1-C3预防性1）公司信息化建设的对口部门是行政人事部下属办公室，负责公司及所属各单位的信息化方案（包括：计算机和网络设备的采购，网络建设、软件选型及二次开发等过程）的审核及审批；2）公司及所属各单位的计算机和网络设备的采购以及信息化项目建设严格按照先立项、形成材料上报公司审批，经审批后进入商务洽谈等流程年信息化建设方案18.1-PR3公司未召集各相关业务部门就信息系统开发进行讨论及验证，可能导致系统开发需求不明确，开发成果与业务部门实际需要不符，影响信息系统开发成果的有效性，造成公司资源浪费18.1-C4预防性系统建设单位根据系统需求规格说明书编制系统概要设计说明书，项目负责人组织相关技术人员和系统用户部门进行审核确认，确保系统建设单位提供的系统概要设计说明书中涵盖实际业务需求，同时形成会议纪要年系统概要设计说明书18.1-PR4未对信息系统开发方案进行可行性研究，可能导致所开发的系统缺乏可操作性，造成公司资金损失18.1-C5A预防性信息系统立项需先进行可行性研究，并按建设项目立项要求进行立项、审批年可行性研究报告18.1-C5B预防性信息系统申报部门进行项目可行性分析，形成可行性分析报告，内容从以下方面进行分析：与公司战略目标相一致、能有效提升管理效率、与业务流程相匹配、能有效防范风险、成本可以被接受等年可行性研究报告18.1-C5C预防性材料上报公司行政人事部下属办公室审批，经审批后进入商务洽谈等流程年可行性研究报告18.1-PR5未进行市场调查及系统开发商的招标评选，可能导致系统开发商缺乏资质以及相应的开发能力，造成系统开发失败18.1-C6预防性系统开发外包方案经审批通过后，行政人事部下属办公室负责进行市场调研，针对系统需求，选择适当的系统开发商进行开发情况了解，并形成招标初步材料，报系统使用部门及分管领导审议年招投标材料18.1-PR6公司未明确信息系统开发项目的责任人，可能导致开发项目责任不明确，影响项目评审及意见反馈工作18.1-C7预防性信息系统开发项目应指定项目负责人签署责任意向书，负责全面协调、安排项目工作小组的工作，保证项目的顺利开展。年项目负责人责任意向书18.1-PR7系统用户及相关业务流程负责人未密切参与应用系统开发及实施工作，可能导致开发的应用系统不能支持业务操作，造成系统开发失败18.1-C8A预防性合同预审时，招标工作小组相关人员需确认合同条款明确要求系统建设单位提供最基本的系统工程文档，并对合同进行签字确认年合同送审表；合同文件18.1-C8B预防性招投标工作完成后，项目系统建设单位和系统用户部门及行政人事部下属办公室共同组成项目组，负责项目的建设和管理工作年项目组人员名单及职责明细表18.1-C8C预防性系统建设单位与公司项目人员进行需求细化工作，进行需求分析和商讨，并形成相关系统需求规格说明书后签字确认，系统需求规格说明书由双方一式二份双方进行妥善保管至项目完成，作为系统开发、测试及后期工程验收的依据年系统需求规格说明书18.1-C8D预防性系统建设单位根据系统需求规格说明书编制系统概要设计说明书，项目负责人组织相关技术人员和系统用户部门进行审核确认，确保系统建设单位提供的系统概要设计说明书中涵盖实际业务需求，同时形成会议纪要年系统概要说明书18.1-PR8未对信息系统开发工作进行持续监督及质量控制，可能导致开发的应用系统无法满足业务需求，影响业务流程的持续稳定及相关数据的准确完整18.1-C9预防性公司行政人事部下属办公室建立符合公司系统开发需要的开发管理细则，要求严格遵守该规范标准，系统开发和实施各阶段工作成果均得到适当的管理层审核并批准后，方可开始下一阶段工作，并要求用户参与应用系统的开发设计或外购软件的选择及测试等工作年系统开发细则；系统开发质量标准18.1-PR9未对信息系统开发成果进行有效验证，可能导致系统与实际需求存在偏差，影响业务部门正常使用18.1-C10预防性项目初步完成之后应召集相关业务部门共同进行验收，确保项目成果符合各部门日常运营需要年项目成果验收报告18.1-PR10公司未对系统开发商就系统配备的硬件设备和系统软件进行检查验收，无法剔除不合格或多余设备、软件，可能导致开发成本的增加18.1-C11预防性1）在系统开发招投标阶段，在招投标文件内详细明确系统所需相应软、硬件及相应配置标准，并规定采购方式、方法；2）系统实施阶段，项目组对系统开发阶段的软硬件设施进行分析评估，评估结果为此设备是系统必须且在协议范围外的，需另行商议购买年系统硬件设备清单；招投标文件18.1-PR11信息系统开发项目启动前未制定开发预算，开发过程中没有进行有效的成本控制，可能导致系统开发成本过高，造成公司资金使用风险18.1-C12发现性项目负责人应有效监督项目预算的使用情况，定期检查项目费用使用台帐，合理进行成本控制。年费用台账18.1-PR12未对项目实施进度进行合理安排及有效控制，可能导致项目无法按期完工，造成信息系统无法按时上线18.1-C13发现性行政人事部下属办公室负责将审批确定后的项目开发文件及项目计划进行归档备案，并设立台帐监督项目的实施推进，考核项目计划的履行情况、进行跟踪确认并协调计划修改等事宜，全面把握项目的施行进程，保证项目按时完成。年项目进度跟踪表18.1-PR13系统实施上线前未进行适当测试，无法预防系统实施时可能出现的问题，可能导致系统运行失败，影响公司正常生产经营18.1-C14A预防性系统上线前，由系统建设单位和系统用户部门组成专门独立于开发人员的测试小组，并需要严格遵守测试文档模板中的相关参数年18.1-C14B预防性测试小组负责制定测试计划和测试方案，经过行政人事部下属办公室和系统相关部门负责人的签字审批。测试计划应包含具体的测试内容年测试计划；测试方案18.1-C14C预防性如有数据迁移需求时，项目组需制定专门的数据迁移方案，包括具体数据的转换和验证对比方法，并在上线实施前由测试小组依据数据迁移方案制定相应的测试计划，进行新旧系统的数据迁移一致性对比测试和相关的功能测试年数据迁移方案18.1-C14D预防性测试小组负责执行系统测试并形成上线测试报告，并对测试结果进行分析和评审，形成系统上线测试总结报告，并判断系统是否具备上线条件年上线测试报告；上线测试总结报告18.1-C14E预防性系统所有者和系统相关部门负责人对上线测试报告和上线测试总结报告进行分析和审阅，签字认可测试结果和结论年上线测试报告；上线测试总结报告18.1-C14F预防性系统测试均在独立的测试环境中进行，对于无法建立独立测试环境的情况，上线时必须采取相关的控制措施，如选择试点实施上线，制定系统还原计划，实施前备份旧系统数据等方式年16