收藏
下载资源 加入VIP免费专享

公司信息系统管理内部控制业务流程.docx

上传人:小飞机 文档编号:3083052 上传时间:2023-03-10 格式:DOCX 页数:13 大小:44.25KB
返回 下载 相关 举报
公司信息系统管理内部控制业务流程.docx_第1页
第1页 / 共13页
公司信息系统管理内部控制业务流程.docx_第2页
第2页 / 共13页
公司信息系统管理内部控制业务流程.docx_第3页
第3页 / 共13页
公司信息系统管理内部控制业务流程.docx_第4页
第4页 / 共13页
公司信息系统管理内部控制业务流程.docx_第5页
第5页 / 共13页
亲,该文档总共13页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述

《公司信息系统管理内部控制业务流程.docx》由会员分享,可在线阅读,更多相关《公司信息系统管理内部控制业务流程.docx(13页珍藏版)》请在三一办公上搜索。

1、公司信息系统管理内部控制业务流程XX公司信息系统管理内部控制业务流程 一、 业务目标 1 战略目标 1.1 保证公司信息系统安全运行和信息流的有效传递,促进信息资源共享,规范信息管理,利用信息系统提高工作效率和管理水平,提高公司核心竞争力。 2 经营目标 2.1 合理规划建设信息系统,避免重复建设和资源浪费,保证信息系统建设的优质、高效和低成本。 2.2 保护公司信息化系统的安全、促进公司信息化系统的应用和发展,保证公司信息化软件系统的正常运行。 2.3 加强网站的管理、使用、维护,发挥网站的正面引导作用。 3 财务目标 3.1 确保通过信息系统生成的资料真实、准确、完整,报告可靠。 4 合规

2、目标 4.1 遵守知识产权的有关法律法规,使用合法软件。 4.2 符合合同法等国家法律、法规和公司内部规章制度。 二、 业务风险 1 战略风险 1.1 信息系统管理制度设计不合理或控制不当,使信息系统不能 安全运行、信息流不能有效传递,从而降低公司的核心竞争力。 2 经营风险 2.1 信息系统建设项目不符合公司经营目标,重复建设、低效投资。 2.2 技术方案不合理、不规范,系统功能存在问题,导致系统不能满足规划需求。 2.3 信息系统安全问题导致网络故障、病毒侵袭、非法入侵及泄密等,或系统灾难无法及时恢复。 2.4 未经审核,擅自变更相关合同标准文本中涉及的权利、义务条款,承担违约风险。 2.

3、5 系统陈旧,导致不能满足需求。 3 财务风险 3.1 信息系统建设、维护费用资料不完整、不准确、不真实,不能正确核算建设成本或 1 / 9 费用。 4 合规风险 4.1 侵犯知识产权,导致诉讼争议及公司声誉受到损害。 4.2 相关合同违反合同法等国家法律、法规和公司内部规章制度的要求,造成损失。 4.3 信息系统管理流程设计不合理或控制不当,使对外披露的信息失真而受到外部监管机构的处罚。 三、 业务流程步骤与控制点 1 信息系统的建设 1.1 编制、审定项目建议书 1.1.1 综合管理部根据相关职能部门提出的要求,会同相关部门结合公司发展需要进行有关建设信息系统的分析和调查,初步确定有关信息

4、系统建设项目建议书,并提交给领导审批。 1.1.2 经审批同意后,综合管理部组织相关业务部门进行讨论,如有必要应实地考察。经讨论的项目建议书,交公司领导审批。 1.1.3 项目投资金额不超过净资产 2%项目须报董事长审批,超过净资产2%项目应由董事会批准。 1.2 组织编制、审定项目解决方案 1.2.1 项目建议书获审定后,综合管理部组织公司计划财务部等相关业务部门成立项目组,由项目组开展项目前期工作,协同有关软件供应商编制项目解决方案。 1.2.2 项目解决方案如需委托编制,项目组应拟定合同文本,送法律顾问审核后报公司分管领导、总经理、董事长审批,并由董事长或其书面委托人员签订。 1.2.2

5、.1 外协单位按委托合同规定及时编制项目解决方案,并由项目组聘请有关专家对项目解决方案进行专家独立评审。项目组参与审查项目解决方案。 1.2.3 计划财务部拟定资金筹措方案,经财务总监审批,资金筹措方案纳入解决方案内。 1.2.4 项目组将经审查的项目解决方案、项目建设请示报告和专家独立评审报告送公司相关领导和董事长或董事会审批。 1.3 项目实施 1.3.1 一般项目由项目组具体组织实施项目方案。 1.3.2 重大或重要的项目应选择外协单位配合执行。 1.3.2.1 项目组提出重大项目招标方案,送公司分管领导、总经理、董事长审核签字。 2 / 9 1.3.2.2 董事长审定招标方案,并由项目

6、组负责组织实施,选定具有相应资格的外协单位。 1.3.2.3 审计监察室参与审核招标方案,并对招标过程的公开、公平、公正性实施监督并签字。法律顾问对招标方案提出法律意见。 1.3.2.4 项目组起草外协单位合作合同的文本,交法律顾问审核。 1.3.2.5 公司分管领导、总经理、董事长审批合同文本,并由董事长或其书面委托人员签订,督促合同执行。 1.3.2.6 外协单位按合同规定执行信息系统的设计、软件的采购等,项目组监督、配合外协单位保质、高效地完成外协工作。 1.4 项目验收 1.4.1 在信息系统建设达到预定使用目标,项目组组织有关部门验收。重大项目应同时聘请具备相关资质的外部独立单位参与

7、验收。 1.4.2 验收部门现场操作、试用信息系统,并填写阶段性的验收报告,报公司分管领导、财务总监、总经理审批。 1.4.3 计划财务部根据验收报告和合同,支付阶段进度款。 1.4.4 各部门操作、试用信息系统至少三个月,随时向综合管理部信息中心反馈信息系统的运行情况。综合管理部信息中心应将各部门反馈的资料进行整理、汇总,测试完毕达到既定的标准,填写验收报告,并向计划财务部申请按合同支付相应尾款。如验收不合格,应及时通知计划财务部暂停付款,并通知外协单位及时维护。验收合格后一年内支付尾款。 1.4.5 综合管理部信息中心在获得软件后,必须做好多套备份。 2 信息系统的日常维护 2.1 建立健

8、全信息系统管理制度,公司设立信息中心,归口综合管理部管理,信息中心应配备具有相应专业能力的人员。 2.2 计算机机房管理实行专人负责制,机房应严格遵守公司有关管理制度及要求。 2.3 信息设备的维护、维修 2.3.1 公司使用的计算机由信息中心进行定期检查、维护,一般每个月维护一次并安排专人负责或协调供应商进行信息设备的维护、维修工作。 2.3.2 设备发生故障,使用部门和使用人作简易处理仍不能排除故障的,要及时向信息中心申请维修,说明设备故障情况,填写维修记录单,经使用人、使用部门主管签字后交综合 3 / 9 管理部。 2.3.3 信息中心人员接到信息设备的维护、维修报告后,要及时进行维护、

9、维修。 2.3.4 属于保修期内设备需要进行硬件维修的,由维修人员检查后报信息中心,统一联系保修单位维修或更换。 2.3.5 信息设备的使用人要检查维护、维修情况和设备修复情况,验收后签字确认。 2.3.6 信息中心应做好备用及闲置设备的管理,对淘汰的计算机及设备应进行适当的回收、分拣处理,具体见固定资产处置业务流程。 2.4 信息设备采购、验收 2.4.1 公司需用部门提出有关信息设备的采购、升级和更新报告,经公司分管领导审批后送公司信息中心评估。 2.4.2 信息中心对报告进行评估后提出采购或升级、更新计划,按照比质、比价的原则询价,编制询价报告,形成设备采购请示报告,报公司分管领导同意、

10、总经理审批并确定供应商,当采购数量大、费用高时,还需经董事长审批。采购金额五万元以上的,采用招标的方式进行采购。 2.4.3 信息中心草拟采购合同,法律顾问审核。 2.4.4 信息中心将采购合同与法律顾问的审核意见报分管领导、董事长审批,由董事长或授权人员签订。 2.4.5 信息中心根据采购合同采购。 2.4.6 信息中心组织相关部门进行验收,编制验收报告,由验收人员签字。信息中心存档、保管相应软件和说明,并将采购情况报告公司分管领导。计划财务部根据采购合同、发票及验收报告,经财务总监、总经理审批后付款。 2.4.7 信息中心通知公司使用部门领取信息设备,并详细登记领用情况。 2.4.8 信息

11、中心统一建立实物台帐,每一台设备由使用人或使用部门负责保管,使用部门、使用人在实物登记表或设备到货清单上签字确认。未经公司信息中心同意,任何人不得擅自安装、拆卸或改变网络设备,不得损坏、破坏网络设备。 2.5 网络及网络安全管理 2.5.1 建立健全网络及网络安全管理制度 2.5.1.1 信息中心设置专人负责计算机网络及网站的管理,从网络技术上积极采取安全防范措施和监控措施,防止泄密和外来黑客攻击,保证网络正常、安全运行,及时排除网络故障。 4 / 9 信息中心组织制定网络安全管理方案,网络安全管理人员负责网络安全工程施工管理、验收和网络安全维护。 2.5.1.2 网络安全设备的配置和规则设置

12、由网络安全管理人员协同产品供应商进行,并由网络安全管理人员控制掌握。网络安全设备的配置和规则设置更改,由公司网络安全管理人员负责,其它人员不得改动。凡需安装计算机网络终端设备,进入计算机网络的用户,由信息中心统一安排联网。 2.5.1.3 信息中心组织公司信息系统工作人员学习网络安全相关的法律法规,进行网络安全知识培训,提高工作人员的维护网络安全的警惕性和自觉性。 2.5.1.4 网络安全管理人员负责对本网络的用户进行安全教育和培训,使其具备基本的网络安全知识。公司员工如发现网络运行不正常,应及时通报信息中心进行处理。 2.5.1.5 网络安全管理人员负责协助信息设备用户正确安装、使用软件、病

13、毒防火墙,并按说明定期进行防火墙升级。信息中心统一购买电脑杀毒软件,并定期升级更新。电脑感染病毒,计算机用户不能杀除的,须即时通知信息中心进行处理。 2.5.1.6 计算机入网前必须到公司信息中办理登记手续方可接入。未经许可,不得私自将计算机接入。 2.5.2 建立健全数据备份管理制度 2.5.2.1 信息中心安排系统维护人员负责建立数据备份系统,防止系统、数据的丢失。 2.5.2.2 由网络系统管理员负责将以下信息存储于磁介质及光盘上,并认真填写备份日志,记录下备份的内容、时间:网络服务器端操作系统、系统及应用软件、数据库信息、网站信息、文档数据库、共享资源平台,CM0S 数据。 2.5.2

14、.3 文件服务器实行双硬盘同时工作,硬盘要做镜像备份。系统维护人员应按照公司有关规定时间进行备份。 2.5.2.4 备份数据及相关的数据档案统一保存在信息中心。未经领导批准不得外借。数据备份和数据存储用的磁介质要严格管理、妥善保存。 2.5.2.5 一旦发生数据丢失或数据破坏等情况,必须由系统维护人员进行备份数据的恢复,以免造成不必要的麻烦或更大的损失;如遇服务器遭受攻击或网络病毒,造成数据丢失或系统崩溃,需要进行数据恢复,需由网络管理员执行恢复程序。同时将具体情况做记录。 2.5.3 建立健全信息系统保密管理制度:信息网络的系统软件、应用软件及信息数据要实施保密措施,严格按照保密等级实施保护

15、。 5 / 9 2.5.3.1 不得向非公司工作人员透露内部网登录用户名和密码,做好各个应用系统的用户名和密码的保密工作。 2.5.3.2 系统软件应对访问权限严格限制,对不同的操作人员、不同的信息等级分设密码。系统管理员密码绝对保密,根据用户需求严格控制、合理分配用户权限。 2.5.3.3 使用者由信息中心分配各自的操作密码,严格防止非授权人员接触和修改已存储数据。除系统管理员以及授权人外,其他人不得进入服务器对已存储数据进行查询或修改。 2.6 软件系统实施及维护管理 2.6.1 软件系统维护 2.6.1.1 由于业务政策变化、数据破坏等因素,需对软件的内容、数据进行修改维护时,由业务主管

16、部门负责人提出修改意见,送达信息中心,信息中心系统管理人员进行修改维护,同时作好相应的维护记录。 2.6.1.2 系统维护员必须定期检测软件运行情况,及时进行计算机病毒的预防、检查工作。发现潜在危险及时通知操作人员中止软件运行,尽快处理。 2.6.2 程序修正与软件数据调整、数据的修正与恢复按照公司有关规定执行。 3 网站管理 3.1 公司外网由信息中心负责或协调公司选定的网络公司进行维护、修改和上传信息。 3.2 公司信息中心网站管理人员每天定时登录网站论坛,维护、整理网站内容。公司各部门分别管理业务相关的论坛板块,不定时登录论坛,对具倾向性、普遍性的问题的帖子及时作出回复。如用户发出的帖子

17、内容与论坛板块不符时,一般由信息中心负责通知相关部门处理。 3.3 信息中心根据信息量多少,不定时收集网站论坛相关信息,报送公司相关领导。网管人员应及时更新网站内容,保证网站及时、快捷地反映公司动态。 3.4 如公司内外网站需新建或改版,由信息中心联系网络公司,按照公司要求,制定网站建设或改版方案,经公司分管领导、总经理审查批准后实施。公司信息中心参与网站制作方案的制定和功能设计。 4 建立健全信息收集、传递、上传管理制度 4.1 信息收集 4.1.1 公司各部门指定一至二名专职信息员,负责公司信息收集、传递和上传。 4.1.2 各部门需传递的信息须经部门负责人审批后传递至公司信息中心。 6

18、/ 9 4.1.3 信息中心每周星期一必须对上周信息进行汇总,若需通过外网发布信息,须由信息中心经公司分管领导、总经理审批并签字。 4.1.4 公司信息中心负责国家相关政策、行业信息的收集和公司生产经营信息的汇总、分类等。 并将收集的信息进行编辑,每月编制一期情报通讯,以书面或电子邮件方式报送相关领导和部门。 4.2 信息收集部门或人员在传递信息的过程中应保证信息的安全。 4.2.1 信息中心与各部门、分公司的信息传递以书面、电子邮件等方式进行,并做好传递中的信息安全。 4.2.2 信息管理人员应做好信息备份工作,保证系统遭破坏后,公司信息不会丢失。 4.2.3 信息管理人员应对信息保密,不得

19、将数据库内敏感信息和保密信息外泄。公司规定信息资源共享的等级和范围,明确各密级信息的使用权限,信息中心在计算机系统设置用户存取资格检查和身份识别功能,重要信息采取加密措施。 4.2.4 各部门均分配专门的电子邮箱,实现无纸化传递不保密文件,各部门负责人应在每个工作日的上、下班时间检查电子邮件,并进行处理。 4.3 信息人员在对信息进行加工时,要对其实质内容加以鉴别,力求真实准确,分清其轻重缓急,认真处理,并反复分析、综合。 4.4 信息中心负责每半年召开一次公司信息工作例会。 4.5 各部门需要通过公司外网发布的信息,须经公司分管领导批准同意后由信息中心上传至外网。 5 信息系统管理监督及检查

20、 5.1 对信息系统管理情况进行专项检查,也可结合内部审计和外部审计期间检查、审计等工作进行。 5.2 对信息系统管理情况进行专项检查的内容包括但不限于: 5.2.1 信息系统管理业务相关岗位及人员的设置情况。重点检查有关信息系统管理是否存在不相容职务混岗的情况。信息系统管理业务不相容岗位一般包括:信息设备采购的申请与审批;信息设备采购的询价与确定供应商;信息设备的保管与清查;信息设备采购的审批、执行与相关会计记录;设备登记实物账与登记价值账;软件的使用与维护;信息资源上传的申请与审批等。 5.2.2 信息系统管理授权批准制度的执行情况。重点检查对外披露信息的授权批准手续是 7 / 9 否健全

21、,是否存在越权审批行为。 5.2.3 信息系统管理决策责任制的建立及执行情况。重点检查责任制度是否健全,奖惩措施是否落实到位。 5.2.4 信息系统管理制度的执行情况。重点检查信息的收集、传递、上传是否经过授权批准,是否按规定及时处理有关的信息资料。 5.2.5 各类款项支付制度的执行情况。重点检查信息系统建设工程款、材料设备款及其他费用的支付是否符合相关法规、制度和合同的要求。 5.3 综合管理部作为公司信息系统归口管理部门,每年12月底前至少一次检查公司各部门信息系统管理制度执行情况。每年末对信息收集、传递工作进行评比,对传递信息及时、质量高、数量足等信息工作成绩突出的集体或个人给予一定的

22、精神和物质奖励。 5.4 审计监察室应在信息系统管理的过程中进行不定期或定期的检查,并将检查情况和有问题单位的整改情况上报董事会。 5.5 董事会对审计监察室上报的检查情况通报各部门,对存在以下问题的单位,在公司内部通报批评,下达整改通知,有关单位应采取有效措施进行整改,确属相关人员工作不力的,视其情节,采取教育、赔偿、经济处罚、通报批评、调离岗位、行政处分等措施,直至移交公安机关依法处理。 5.5.1 连续一个月不报信息和迟报、漏报、虚报重要信息两次以上的部门。 5.5.2 未经允许进入计算机信息网络或者使用计算机信息网络资源。 5.5.3 未经允许对计算机信息网络功能进行删除、修改或者增加

23、。 5.5.4 未经允许对计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加。 5.5.5 故意制作、传播计算机病毒等破坏性程序,危害计算机网络及信息系统的安全,干扰公司信息流通。 5.5.6 利用公司网络从事危害公司利益和发表不适当的言论,发布网络信息危害国家安全、泄露国家秘密,侵犯国家、社会、集体的利益和公民的合法权益。 5.5.7 在局域网上干扰网络用户、破坏网络服务和破坏网络设备的活动。 5.5.8 访问宣扬封建迷信、淫秽、色情、赌博、暴力、凶杀、恐怖、教唆犯罪等违法网站。 5.5.9 未经授权侵入计算机网络中心系统和他人计算机系统,解密网络和他人计算机的加密文件

24、。 8 / 9 5.5.10 未经信息中心批准擅自更改设置终端用户。 5.4.11 越权浏览信息,越权修改、删除、增加信息内容。 四、相关制度目录 1 财政部内部会计控制规范采购与付款(试行) 2 企业会计准则第4号固定资产 3 XX公司合同管理制度 4 XX公司资产管理制度 5 XX公司网络及网络安全管理制度 6 XX公司计算机机房管理制度 7 XX公司网站管理制度 8 XX公司信息系统管理制度 9 XX公司安全管理制度 10 XX公司软件系统实施及维护管理制度 11 XX公司数据备份管理制度 五、主要控制点相关资料 1 信息系统建设有关项目建议书、可行性研究报告、投资计划、专家独立评审报告、验收报告 2 有关合同标准文本 3 信息质量反馈记录 4 信息上传、发布审核表 5 信息设备、软件维修、维护记录 9 / 9

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 生活休闲 > 在线阅读


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号