内部控制手册-201信息系统开发.doc

《内部控制手册-201信息系统开发.doc》由会员分享，可在线阅读，更多相关《内部控制手册-201信息系统开发.doc（14页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、的20.1 信息系统开发1.1 概述规定了XX股份有限公司集团总部及其下属公司（下属公司是指XX股份有限公司投资（参股或控股）或托管或由上海XX有限公司托管的公司）有关信息系统开发的相关工作，涉及以下:1.1.1) 公司信息系统开发的立项、可行性研究、决策的流程1.1.2) 已有信息系统基础上的变更和二次开发需求申请、开发及验收交付流程1.1.3) 报表开发的申请、开发及验收交付流程1.2 适用范围适用于XX股份有限公司集团总部及其下属公司。1.3 相关制度IT资源管理程序。1.4 职责分工信息中心：负责对信息系统开发项目立项申请，对信息系统的开发进行需求分析和可行性分析，在项目申请通过后负责

2、选择系统开发商，负责在系统上线运行后建立相应的跟踪评价机制。项目组：负责编制信息系统设计/开发说明书，负责开发项目的管控，组织系统验收和上线测试，制定上线计划和方案，提出上线申请；负责系统测试、变更、评价。1.5 流程图1.6 控制目标序号内控手册唯一具体控制目标编号控制目标目标类别120.1-CT1确保建立科学合理的信息系统开发管理体系经营效率目标220.1-CT2确保信息系统开发符合公司需求经营效率目标320.1-CT3确保信息系统开发计划切实可行经营效率目标420.1-CT4确保信息系统开发效果效率达到预期水平经营效率目标520.1-CT5确保信息系统开发项目按时完成经营效率目标620.

3、1-CT6确保系统运行安全有效经营效率目标1.7 控制矩阵风险编号风险描述对应控制目标编号关键控制措施编号关键控制措施不相容职务控制活动类型对应制度控制痕迹会计报表认定会计报表项目1存在和发生/真实性；2完整性；3权利与义务；4估价或分摊；5表达和披露1234520.1-R1公司未针对信息系统的开发项目设定申请审批流程，没有明确的开发文件和项目计划，导致管理混乱，影响信息系统开发项目的顺利实施20.1-CT120.1-CA11）公司信息化建设的对口部门是信息中心，负责公司及所属各单位的信息化方案（包括：计算机和网络设备的采购，网络建设、软件选型及二次开发等过程）的审核及审批；2）公司及所属各单

4、位的计算机和网络设备的采购以及信息化项目建设严格按照先申请上报公司审批，经审批后进入商务洽谈等流程经办/审批预防型IT资源管理程序IT开发需求申请20.1-CT120.1-CA2信息中心负责将审批确定后的项目开发文件及项目计划进行归档备案，并设立台账监督项目的实施推进，考核项目计划的履行情况、进行跟踪确认并协调计划修改等事宜，全面把握项目的施行进程，保证项目按时完成。发现型IT资源管理程序项目进度跟踪表20.1-R2信息中心未进行项目的开发管理,包括已完成的内容、当前进度与项目实施计划的比较、存在的有可能影响进度的问题、人员、资金的使用情况等，导致项目进度控制不力，影响项目如期完成。20.1-

5、CT120.1-CA2信息中心负责将审批确定后的项目开发文件及项目计划进行归档备案，并设立台账监督项目的实施推进，考核项目计划的履行情况、进行跟踪确认并协调计划修改等事宜，全面把握项目的施行进程，保证项目按时完成。预防型IT资源管理程序项目开发文件、项目计划书、项目推进情况台账20.1-R3公司的信息系统开发计划与公司战略和业务目标不相吻合，导致系统不能满足公司未来发展需要，影响公司发展经营目标的实现20.1-CT220.1-CA11）公司信息化建设的对口部门是信息中心，负责公司及所属各单位的信息化方案（包括：计算机和网络设备的采购，网络建设、软件选型及二次开发等过程）的审核及审批；2）公司及

6、所属各单位的计算机和网络设备的采购以及信息化项目建设严格按照先申请上报公司审批，经审批后进入商务洽谈等流程经办/审批预防型IT资源管理程序项目调研分析资料20.1-R4公司未召集相关业务部门就信息系统的开发需求进行讨论和验证，导致需求不明确，开发成果与业务部门实际需要不符，影响信息系统开发结果的有效性，造成公司人力及资金的浪费。20.1-CT220.1-CA3系统建设单位根据系统需求规格说明书编制系统设计说明书，项目负责人组织相关技术人员和系统用户部门进行审核确认，确保系统建设单位提供的系统设计说明书中涵盖实际业务需求，同时形成会议纪要编制/审核预防型IT资源管理程序IT开发需求申请20.1-

7、R5未对信息系统方案进行可行性研究，导致系统开发失败风险20.1-CT320.1-CA4信息系统立项需先进行可行性研究，并按建设项目立项要求进行立项、审批编制审批预防型IT资源管理程序项目调研可行性分析资料20.1-CT320.1-CA5信息系统申报部门进行项目可行性分析，形成可行性分析报告，内容从以下方面进行分析：与公司战略目标相一致、能有效提升管理效率、与业务流程相匹配、能有效防范风险、成本可以被接受等预防型IT资源管理程序项目调研可行性分析资料20.1-CT320.1-CA6材料上报公司信息中心门审批，经审批后进入商务洽谈等流程编制/审批预防型IT资源管理程序项目调研可行性分析资料20.

8、1-R6未进行市场调研及系统开发商的比选，导致开发成本上升或系统开发未达预期目标风险20.1-CT420.1-CA7系统开发应该依据开发资源需求和开发成本评估是自行开发或外包方案经审批通过后，信息中心门负责进行市场调研，针对系统需求，选择适当的系统开发商进行开发情况了解，并形成招标初步材料，报系统使用部门及分管领导审议经办/审议预防型IT资源管理程序市场调研报告、招投标材料20.1-R7公司未明确信息系统开发项目的责任人，导致开发项目失败时无人负责，影响项目后期评估结果的反馈及进一步改进。20.1-CT420.1-CA8信息系统开发项目应指定项目负责人签署责任意向书，负责全面协调、安排项目工作

9、小组的工作，保证项目顺利开展。预防型IT资源管理程序项目责任书（团队契约）20.1-R8系统用户及流程责任人未密切参与应用系统开发及实施工作，导致开发的应用系统不能支持业务流程，造成系统开发失败风险20.1-CT420.1-CA9合同预审时，招标工作小组相关人员需确认合同条款明确要求系统建设单位提供最基本的系统工程文档，并对合同进行签字确认经办/审批/监督预防型IT资源管理程序合同送审表、合同文件20.1-CT220.1-CA10招投标工作完成后，项目系统建设单位和系统用户部门及信息中心共同组成项目组，负责项目的建设和管理工作预防型IT资源管理程序项目组人员名单及职责明细表20.1-CT220

10、.1-CA11系统建设单位与公司项目人员进行需求细化工作，进行需求分析和商讨，并形成相关系统需求规格说明书后签字确认，系统需求规格说明书由双方一式二份双方进行妥善保管至项目完成，作为系统开发、测试及后期工程验收的依据预防型IT资源管理程序系统需求规格说明书20.1-CT220.1-CA12系统建设单位根据系统需求规格说明书编制系统概要设计说明书，项目负责人组织相关技术人员和系统用户部门进行审核确认，确保系统建设单位提供的系统概要设计说明书中涵盖实际业务需求，同时形成会议纪要编制/审核预防型IT资源管理程序系统概要说明书、会议纪要20.1-R9公司没有进行适当的质量控制，导致开发的应用系统无法满

11、足业务需求，影响业务流程的持续稳定及相关数据的准确完整20.1-CT420.1-CA13公司信息中心建立符合公司系统开发需要的开发管理细则，要求严格遵守该规范标准，系统开发和实施各阶段工作成果均得到适当的管理层审核并批准后，方可开始下一阶段工作，并要求用户参与应用系统的开发设计或外购软件的选择及测试等工作预防型IT资源管理程序系统开发细则、系统开发质量标准20.1-R10未对项目成果进行有效验收，导致系统与实际需求有偏差，影响业务部门正常使用20.1-CT420.1-CA14项目初步完成之后应召集相关业务部门共同进行验收，确保项目成果符合各部门日常运营需要执行/验收预防型IT资源管理程序项目成

12、果验收报告20.1-R11公司未对开发方为系统配备的硬件设备和系统软件进行检查验收，无法剔除不合格或多余设备、软件，导致开发成本上升风险20.1-CT420.1-CA151）在系统开发招投标阶段，在招投标文件内详细明确系统所需相应软、硬件及相应配置标准，并规定采购方式、方法；2）系统实施阶段，项目组对系统开发阶段的软硬件设施进行分析评估，评估结果为此设备是系统必须且在协议范围外的，需另行商议购买预防型IT资源管理程序系统硬件设备清单、招投标文件20.1-R12信息系统开发项目启动前及进行过程中没有进行有效的成本控制，导致开发成本过高20.1-CT420.1-CA16项目负责人应有效监督项目预算

13、的使用情况，定期检查项目费用使用台账，合理进行成本控制发现型IT资源管理程序费用台账20.1-R13未对项目进行有效的时间控制，影响开发项目的推进进程，导致系统无法按时上线。20.1-CT520.1-CA2信息中心负责将审批确定后的项目开发文件及项目计划进行归档备案，并设立台账监督项目的实施推进，考核项目计划的履行情况、进行跟踪确认并协调计划修改等事宜，全面把握项目的施行进程，保证项目按时完成。发现型IT资源管理程序项目进度跟踪表20.1-R14系统实施上线前未进行适当测试，无法预防系统实施时可能出现的问题，导致应用系统无法支持业务流程20.1-CT420.1-CA17系统上线前，由信息中心和

14、系统用户部门组成专门独立于开发人员的测试小组，并需要严格遵守测试文档模板中的相关参数预防型IT资源管理程序测试小组人员名单20.1-CT420.1-CA18测试小组负责制定测试计划和测试方案，经过信息中心和系统使用部门负责人的签字审批。测试计划应包含具体的测试内容编制/审批预防型IT资源管理程序测试计划、测试方案20.1-CT420.1-CA19如有数据迁移需求时，项目组需制定专门的数据迁移方案，包括具体数据的转换和验证对比方法，并在上线实施前由测试小组依据数据迁移方案制定相应的测试计划，进行新旧系统的数据迁移一致性对比测试和相关的功能测试预防型IT资源管理程序数据迁移方案20.1-CT420

15、.1-CA20测试小组负责执行系统测试并形成上线测试报告，并对测试结果进行分析和评审，形成系统上线测试总结报告，并判断系统是否具备上线条件编制/评审预防型IT资源管理程序上线测试报告、上线测试总结报告20.1-CT420.1-CA21信息中心和系统使用部门负责人对上线测试报告和上线测试总结报告进行分析和审阅，签字认可测试结果和结论编制/审阅预防型IT资源管理程序上线测试报告、上线测试总结报告20.1-CT420.1-CA22系统测试均在独立的测试环境中进行，对于无法建立独立测试环境的情况，上线时必须采取相关的控制措施，如选择试点实施上线，制定系统还原计划，实施前备份旧系统数据等方式预防型IT资源管理程序测试计划、测试方案