XX公司信息系统管理内部控制业务流程 .docx

《XX公司信息系统管理内部控制业务流程 .docx》由会员分享，可在线阅读，更多相关《XX公司信息系统管理内部控制业务流程 .docx（10页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精品名师归纳总结XX公司信息系统治理内部掌握业务流程一、 业务目标1 战略目标1.1 保证公司信息系统平安运行和信息流的有效传递，促进信息资源共享，标准信息治理，利用信息系统提高工作效率和治理水平，提高公司核心竞争力。2 经营目标2.1 合理规划建设信息系统，防止重复建设和资源铺张,保证信息系统建设的优质、高效和低本钱。2.2 爱护公司信息化系统的平安、促进公司信息化系统的应用和开展，保证公司信息化软件系统的正常运行。2.3 加强网站的治理、使用、爱护，发挥网站的正面引导作用。3 财务目标3.1 确保通过信息系统生成的资料真实、精确、完整，报告牢靠。4 合规目标4.1 遵守学问产权的有关法律法

2、规，使用合法软件。4.2 符合合同法等国家法律、法规和公司内部规章制度。二、 业务风险1 战略风险1.1 信 息 系 统 管 理 制 度 设 计 不 合 理 或 控 制 不 当 ， 使 信 息 系 统 不 能平安运行、信息流不能有效传递，从而降低公司的核心竞争力。2 经营风险2.1 信息系统建设工程不符合公司经营目标，重复建设、低效投资。2.2 技术方案不合理、不标准，系统功能存在问题，导致系统不能满意规划需求。2.3 信息系统平安问题导致网络故障、病毒侵袭、非法入侵及泄密等，或系统灾难无法准时复原。2.4 未经审核，擅自变更相关合同标准文本中涉及的权益、义务条款，承当违约风险。2.5 系统陈

3、旧，导致不能满意需求。3 财务风险3.1 信息系统建设、爱护费用资料不完整、不精确、不真实，不能正确核算建设本钱或可编辑资料 - - - 欢迎下载精品名师归纳总结费用。4 合规风险4.1 侵害学问产权，导致诉讼争议及公司声誉受到损害。4.2 相关合同违反合同法等国家法律、法规和公司内部规章制度的要求,造成缺失。4.3 信息系统治理流程设计不合理或掌握不当，使对外披露的信息失真而受到外部监管机构的处分。三、 业务流程步骤与掌握点1 信息系统的建设1.1 编制、审定工程建议书1.1.1 综合治理部依据相关职能部门提出的要求， 会同相关部门结合公司开展需要进行有关建设信息系统的分析和调查，初步确定有

4、关信息系统建设工程建议书，并提交给领导审批。1.1.2 经审批同意后， 综合治理部组织相关业务部门进行争论， 如有必要应实的考察。 经争论的工程建议书，交公司领导审批。1.1.3 工程投资金额不超过净资产2%工程须报董事长审批，超过净资产2%工程应由董事会批准。1.2 组织编制、审定工程解决方案1.2.1 工程建议书获审定后，综合治理部组织公司方案财务部等相关业务部门成立工程组，由工程组开展工程前期工作，协同有关软件供应商编制工程解决方案。1.2.2 工程解决方案如需托付编制，工程组应拟定合同文本，送法律参谋审核后报公司分管领导、总经理、董事长审批，并由董事长或其书面托付人员签订。1.2.2.

5、1 外协单位按托付合同规定准时编制工程解决方案，并由工程组聘请有关专家对工程解决方案进行专家独立评审。工程组参加审查工程解决方案。1.2.3 方案财务部拟定资金筹措方案， 经财务总监审批， 资金筹措方案纳入解决方案内。1.2.4 工程组将经审查的工程解决方案、工程建设请示报告和专家独立评审报告送公司相关领导和董事长或董事会审批。1.3 工程实施1.3.1 一般工程由工程组具体组织实施工程方案。1.3.2 重大或重要的工程应挑选外协单位协作执行。1.3.2.1 工程组提出重大工程招标方案，送公司分管领导、总经理、董事长审核签字。可编辑资料 - - - 欢迎下载精品名师归纳总结1.3.2.2 董事

6、长审定招标方案， 并由工程组负责组织实施， 选定具有相应资格的外协单位。1.3.2.3 审计监察室参加审核招标方案，并对招投标过程的公开、公正、公正性实施监督并签字。法律参谋对招标方案提出法律看法。1.3.2.4 工程组起草外协单位合作合同的文本，交法律参谋审核。1.3.2.5 公司分管领导、总经理、董事长审批合同文本，并由董事长或其书面托付人员签订，督促合同执行。1.3.2.6 外协单位按合同规定执行信息系统的设计、软件的选购等，工程组监督、协作外协单位保质、高效的完成外协工作。1.4 工程验收1.4.1 在信息系统建设到达预定使用目标，工程组组织有关部门验收。重大工程应同时聘请具备相关资质

7、的外部独立单位参加验收。1.4.2 验收部门现场操作、 试用信息系统， 并填写阶段性的验收报告， 报公司分管领导、财务总监、总经理审批。1.4.3 方案财务部依据验收报告和合同，支付阶段进度款。1.4.4 各部门操作、 试用信息系统至少三个月 或依据合同规定实行期限 ，随时向综合治理部信息中心反应信息系统的运行情形。 综合治理部信息中心应将各部门反应的资料进行整理、汇总，测试完毕到达既定的标准，填写验收报告，并向方案财务部申请按合同支付相应尾款。如验收不合格，应准时通知方案财务部暂停付款，并通知外协单位准时爱护。验收合格后一年内支付尾款。1.4.5 综合治理部信息中心在获得软件后，必需做好多套

8、备份。2 信息系统的日常爱护2.1 建立健全信息系统治理制度，公司设立信息中心，归口综合治理部治理，信息中心应配备具有相应专业才能的人员。2.2 电脑机房治理实行专人负责制，机房应严格遵守公司有关治理制度及要求。2.3 信息设备的爱护、修理2.3.1 公司使用的电脑由信息中心进行定期检查、爱护，一般每个月爱护一次并支配专人负责或和谐供应商进行信息设备的爱护、修理工作。2.3.2 设备发生故障，使用部门和使用人作简易处理仍不能排除故障的，要准时向信息中心申请修理，说明设备故障情形，填写修理记录单，经使用人、使用部门主管签字后交综合可编辑资料 - - - 欢迎下载精品名师归纳总结治理部。2.3.3

9、 信息中心人员接到信息设备的爱护、修理报告后，要准时进行爱护、修理。2.3.4 属于保修期内设备需要进行硬件修理的，由修理人员检查后报信息中心，统一联系保修单位修理或更换。2.3.5 信息设备的使用人要检查爱护、修理情形和设备修复情形，验收后签字确认。2.3.6 信息中心应做好备用及闲置设备的治理， 对剔除的电脑及设备应进行适当的回收、分拣处理，具体见固定资产处置业务流程。2.4 信息设备选购、验收2.4.1 公司需用部门提出有关信息设备的选购、 升级和更新报告， 经公司分管领导审批后送公司信息中心评估。2.4.2 信息中心对报告进行评估后提出选购或升级、更新方案， 依据比质、 比价的原那么询

10、价，编制询价报告，形成设备选购请示报告，报公司分管领导同意、总经理审批并确定供应商，当选购数量大、费用高 10 万元以上时，仍需经董事长审批。选购金额五万元以上的， 采纳招标的方式进行选购。2.4.3 信息中心草拟选购合同，法律参谋审核。2.4.4 信息中心将选购合同与法律参谋的审核看法报分管领导、董事长审批， 由董事长或授权人员签订。2.4.5 信息中心依据选购合同选购。2.4.6 信息中心组织相关部门进行验收， 编制验收报告， 由验收人员签字。 信息中心存档、保管相应软件和说明， 并将选购情形报告公司分管领导。方案财务部依据选购合同、 发票及验收报告，经财务总监、总经理审批后付款。2.4.

11、7 信息中心通知公司使用部门领取信息设备，并具体登记领用情形。2.4.8 信息中心统一建立实物台帐， 每一台设备由使用人或使用部门负责保管， 使用部门、使用人在实物登记表或设备到货清单上签字确认。未经公司信息中心同意， 任何人不得擅自安装、拆卸或转变网络设备，不得损坏、破坏网络设备。2.5 网络及网络平安治理2.5.1 建立健全网络及网络平安治理制度2.5.1.1 信息中心设置专人负责电脑网络及网站的治理，从网络技术上积极实行平安防范措施和监控措施，防止泄密和外来黑客攻击，保证网络正常、平安运行，准时排除网络故障。可编辑资料 - - - 欢迎下载精品名师归纳总结信息中心组织制定网络平安治理方案

12、，网络平安治理人员负责网络平安工程施工治理、验收和网络平安爱护。2.5.1.2 网络平安设备的配置和规那么设置由网络平安治理人员协同产品供应商进行，并由网络平安治理人员掌握把握。 网络平安设备的配置和规那么设置更换， 由公司网络平安治理人员负责，其它人员不得改动。凡需安装电脑网络终端设备，进入电脑网络的用户，由信息中心统一支配联网。2.5.1.3 信息中心组织公司信息系统工作人员学习网络平安相关的法律法规，进行网络平安学问培训，提高工作人员的爱护网络平安的小心性和自觉性。2.5.1.4 网络平安治理人员负责对本网络的用户进行平安训练和培训，使其具备根本的网络平安学问。公司职工如发觉网络运行不正

13、常，应准时通报信息中心进行处理。2.5.1.5 网络平安治理人员负责帮助信息设备用户正确安装、使用软件、病毒防火墙，并 按说明定期进行防火墙升级。 信息中心统一购置电脑杀毒软件，并定期升级更新。 电脑感染病毒，电脑用户不能杀除的，须即时通知信息中心进行处理。2.5.1.6 电脑入网前必需到公司信息中办理登记手续方可接入。未经许可，不得私自将电脑接入。2.5.2 建立健全数据备份治理制度2.5.2.1 信息中心支配系统爱护人员负责建立数据备份系统，防止系统、数据的丢失。2.5.2.2 由网络系统治理员负责将以下信息储备于磁介质及光盘上，并仔细填写备份日志，记录下备份的内容、时间：网络效劳器端操作

14、系统、系统及应用软件、数据库信息、网站信息、文档数据库、共享资源平台， CM0S 数据。2.5.2.3 文件效劳器实行双硬盘同时工作，硬盘要做镜像备份。系统爱护人员应依据公司有关规定时间进行备份。2.5.2.4 备份数据及相关的数据档案统一储存在信息中心。未经领导批准不得外借。数据备份和数据储备用的磁介质要严格治理、妥当储存。2.5.2.5 一旦发生数据丢失或数据破坏等情形，必需由系统爱护人员进行备份数据的恢复，以免造成不必要的麻烦或更大的缺失。 如遇效劳器遭受攻击或网络病毒， 造成数据丢失或系统崩溃，需要进行数据复原，需由网络治理员执行复原程序。同时将具体情形做记录。2.5.3 建立健全信息

15、系统保密治理制度：信息网络的系统软件、应用软件及信息数据要实施保密措施，严格依据保密等级实施爱护。可编辑资料 - - - 欢迎下载精品名师归纳总结2.5.3.1 不得向非公司工作人员透露内部网登录用户名和密码，做好各个应用系统的用户名和密码的保密工作。2.5.3.2 系统软件应对拜访权限严格限制， 对不同的操作人员、 不同的信息等级分设密码。系统治理员密码肯定保密，依据用户需求严格掌握、合理安排用户权限。2.5.3.3 使用者由信息中心安排各自的操作密码， 严格防止非授权人员接触和修改已储备数据。除系统治理员以及授权人外，其他人不得进入效劳器对已储备数据进行查询或修改。2.6 软件系统实施及爱

16、护治理2.6.1 软件系统爱护2.6.1.1 由于业务政策变化、数据破坏等因素，需对软件的内容、数据进行修改爱护时， 由业务主管部门负责人提出修改看法，送达信息中心，信息中心系统治理人员进行修改爱护， 同时作好相应的爱护记录。2.6.1.2 系统爱护员必需定期检测软件运行情形，准时进行电脑病毒的预防、检查工作。发觉潜在危急准时通知操作人员中止软件运行，尽快处理。2.6.2 程序修正与软件数据调整、数据的修正与复原依据公司有关规定执行。3 网站治理3.1 公司外网由信息中心负责或和谐公司选定的网络公司进行爱护、修改和上传信息。3.2 公司信息中心网站治理人员每天定时六次以上登录网站论坛，爱护、整

17、理网站内容。公司各部门分别治理业务相关的论坛板块，不定时登录论坛，对具倾向性、普遍性的问题的帖子准时作出回复。 如用户发出的帖子内容与论坛板块不符时， 一般由信息中心负责通知相关部门处理。3.3 信息中心依据信息量多少，不定时收集网站论坛相关信息，报送公司相关领导。网管人员应准时更新网站内容，保证网站准时、快捷的反映公司动态。3.4 如公司内外网站需新建或改版，由信息中心联系网络公司，依据公司要求，制定网站建设或改版方案， 经公司分管领导、 总经理审查批准后实施。 公司信息中心参加网站制作方案的制定和功能设计。4 建立健全信息收集、传递、上传治理制度4.1 信息收集4.1.1 公司各部门指定一

18、至二名专兼职信息员，负责公司信息收集、传递和上传。4.1.2 各部门需传递的信息须经部门负责人审批后传递至公司信息中心。可编辑资料 - - - 欢迎下载精品名师归纳总结4.1.3 信息中心每周星期一必需对上周信息进行汇总，假设需通过外网发布信息， 须由信息中心经公司分管领导、总经理审批并签字。4.1.4 公司信息中心负责国家相关政策、行业信息包括竞争对手信息、新技术信息、市 场信息的收集和公司生产经营信息的汇总、分类等。并将收集的信息进行编辑，每月编制一期.情报通讯 .，以书面或电子邮件方式报送相关领导和部门。4.2 信息收集部门或人员在传递信息的过程中应保证信息的平安。4.2.1 信息中心与

19、各部门、 分公司的信息传递以书面、电子邮件等方式进行，并做好传递中的信息平安。4.2.2 信息治理人员应做好信息备份工作，保证系统遭破坏后，公司信息不会丢失。4.2.3 信息治理人员应对信息保密， 不得将数据库内敏锐信息和保密信息外泄。 公司规定信息资源共享的等级和范畴， 明确各密级信息的使用权限， 信息中心在电脑系统设置用户存取资格检查和身份识别功能，重要信息实行加密措施。4.2.4 各部门均安排特的的电子邮箱， 实现无纸化传递不保密文件， 各部门负责人应在每个工作日的上、下班时间检查电子邮件，并进行处理。4.3 信息人员在对信息进行加工时，要对其实质内容加以鉴别，力求真实精确，分清其轻重缓

20、急，仔细处理，并反复分析、综合。4.4 信息中心负责每半年召开一次公司信息工作例会。4.5 各部门需要通过公司外网发布的信息，须经公司分管领导批准同意后由信息中心上传至外网。5 信息系统治理监督及检查5.1 对信息系统治理情形进行专项检查，也可结合内部审计和外部审计期间检查、审计等工作进行。5.2 对信息系统治理情形进行专项检查的内容包括但不限于：5.2.1 信息系统治理业务相关岗位及人员的设置情形。 重点检查有关信息系统治理是否存在不相容职务混岗的情形。 信息系统治理业务不相容岗位一般包括： 信息设备选购的申请与审批。信息设备选购的询价与确定供应商。信息设备的保管与清查。信息设备选购的审批、

21、执行 与相关会计记录。 设备登记实物账与登记价值账。 软件的使用与爱护。 信息资源上传的申请与审批等。5.2.2 信息系统治理授权批准制度的执行情形。 重点检查对外披露信息的授权批准手续是可编辑资料 - - - 欢迎下载精品名师归纳总结否健全，是否存在越权审批行为。5.2.3 信息系统治理决策责任制的建立及执行情形。 重点检查责任制度是否健全， 奖惩措施是否落实到位。5.2.4 信息系统治理制度的执行情形。 重点检查信息的收集、 传递、上传是否经过授权批准，是否按规定准时处理有关的信息资料。5.2.5 各类款项支付制度的执行情形。 重点检查信息系统建设工程款、 材料设备款及其他费用的支付是否符

22、合相关法规、制度和合同的要求。5.3 综合治理部作为公司信息系统归口治理部门，每年 12 月底前至少一次检查公司各部门信息系统治理制度执行情形。每年末对信息收集、传递工作进行评比，对传递信息准时、质 量高、数量足等信息工作成果突出的集体或个人赐予肯定的精神和物质嘉奖。5.4 审计监察室应在信息系统治理的过程中进行不定期或定期的检查，并将检查情形和有问题单位的整改情形上报董事会。5.5 董事会对审计监察室上报的检查情形通报各部门，对存在以下问题的单位，在公司内部通报批判， 下达整改通知， 有关单位应实行有效措施进行整改， 确属相关人职工作不力的， 视其情节，实行训练、赔偿、经济处分、通报批判、调

23、离岗位、行政处分等措施，直至移交公安机关依法处理。5.5.1 连续一个月不报信息和迟报、漏报、虚报重要信息两次以上的部门。5.5.2 未经答应进入电脑信息网络或者使用电脑信息网络资源。5.5.3 未经答应对电脑信息网络功能进行删除、修改或者增加。5.5.4 未经答应对电脑信息网络中储备、 处理或者传输的数据和应用程序进行删除、 修改或者增加。5.5.5 成心制作、 传播电脑病毒等破坏性程序， 危害电脑网络及信息系统的平安，干扰公司信息流通。5.5.6 利用公司网络从事危害公司利益和发表不适当的言论，发布网络信息危害国家平安、泄露国家隐秘，侵害国家、社会、集体的利益和公民的合法权益。5.5.7

24、在局域网上干扰网络用户、破坏网络效劳和破坏网络设备的活动。5.5.8 拜访宣扬封建迷信、 淫秽、色情、赌博、暴力、凶杀、恐惧、教唆犯罪等违法网站。5.5.9 未经授权侵入电脑网络中心系统和他人电脑系统，解密网络和他人电脑的加密文件。可编辑资料 - - - 欢迎下载精品名师归纳总结5.5.10 未经信息中心批准擅自更换设置终端用户。5.4.11越权浏览信息，越权修改、删除、增加信息内容。四、相关制度目录1 财政部内部会计掌握标准选购与付款试行2 企业会计准那么第 4 号固定资产3 XX公司合同治理制度4 XX公司资产治理制度5 XX公司网络及网络平安治理制度6 XX公司电脑机房治理制度7 XX公司网站治理制度8 XX公司信息系统治理制度9 XX公司平安治理制度10 XX公司软件系统实施及爱护治理制度11 XX公司数据备份治理制度五、主要掌握点相关资料1 信息系统建设有关工程建议书、可行性争论报告、投资方案、专家独立评审报告、验收报告2 有关合同标准文本3 信息质量反应记录4 信息上传、发布审核表5 信息设备、软件修理、爱护记录可编辑资料 - - - 欢迎下载