11.3ERP系統(tǒng)IT一般性控制內(nèi)部控制矩陣.docVIP

11.3ERP系統(tǒng)IT一般性控制內(nèi)部控制矩陣2008年C11.3111.3ERP系統(tǒng)IT一般性控制內(nèi)部控制矩陣業(yè)務(wù)目標(biāo)業(yè)務(wù)風(fēng)險(xiǎn)控制點(diǎn)適用單位不相容崗位控制點(diǎn)分值控制點(diǎn)相關(guān)資料相關(guān)制度索引會(huì)計(jì)報(bào)表認(rèn)定會(huì)計(jì)報(bào)表項(xiàng)目1存在和發(fā)生/真實(shí)性；2完整性；3權(quán)利與義務(wù)；4估價(jià)或分?jǐn)偅?表達(dá)和披露；6準(zhǔn)確性1234561.程序和數(shù)據(jù)訪(fǎng)問(wèn)1.11.22.32.4經(jīng)營(yíng)風(fēng)險(xiǎn)：規(guī)章制度不健全，導(dǎo)致對(duì)系統(tǒng)管理的失控。1.1總部各部門(mén)、分（子）公司依據(jù)中國(guó)石油化工股份有限公司管理信息系統(tǒng)應(yīng)用管理辦法（試行）（以下簡(jiǎn)稱(chēng)信息系統(tǒng)應(yīng)用管理辦法）等，制定程序和數(shù)據(jù)訪(fǎng)問(wèn)管理制度,主要包括用戶(hù)權(quán)限管理、用戶(hù)帳號(hào)管理、用戶(hù)登錄管理、超級(jí)用戶(hù)管理及第三方人員管理等內(nèi)容?？偛扛鞑块T(mén)分（子）公司2程序和數(shù)據(jù)訪(fǎng)問(wèn)管理制度或規(guī)定1.10.42.10.41.2用戶(hù)權(quán)限管理1.11.22.32.4經(jīng)營(yíng)風(fēng)險(xiǎn)：權(quán)限設(shè)置不當(dāng)，導(dǎo)致對(duì)系統(tǒng)的非法或非授權(quán)訪(fǎng)問(wèn)。1.2.1建立/變更用戶(hù)帳號(hào)和角色，由申請(qǐng)人填寫(xiě)ERP系統(tǒng)用戶(hù)權(quán)限申請(qǐng)表，經(jīng)相關(guān)部門(mén)負(fù)責(zé)人審批后，由應(yīng)用管理員在系統(tǒng)中建立/維護(hù)權(quán)限，相關(guān)人員進(jìn)行權(quán)限測(cè)試并確認(rèn)，關(guān)鍵用戶(hù)對(duì)角色矩陣實(shí)時(shí)維護(hù)并進(jìn)行版本管理?？偛扛鞑块T(mén)分（子）公司2用戶(hù)變更申請(qǐng)表用戶(hù)角色矩陣1.11.22.32.4經(jīng)營(yíng)風(fēng)險(xiǎn)：未及時(shí)鎖定或刪除崗位變動(dòng)、離職人員帳號(hào)，導(dǎo)致系統(tǒng)存在安全隱患。1.2.2操作人員由于崗位變動(dòng)或離開(kāi)單位，人事部門(mén)必須及時(shí)通知ERP支持中心，ERP支持中心應(yīng)用管理員在系統(tǒng)中將該用戶(hù)進(jìn)行鎖定或刪除?？偛扛鞑块T(mén)分（子）公司1用戶(hù)變更申請(qǐng)表人員變動(dòng)清單1.3用戶(hù)帳號(hào)管理1.11.22.32.4經(jīng)營(yíng)風(fēng)險(xiǎn)：未及時(shí)審核清理帳戶(hù)，導(dǎo)致系統(tǒng)存在安全隱患。1.3.1應(yīng)用管理員每季度在線(xiàn)檢查用戶(hù)權(quán)限使用情況，每半年將系統(tǒng)用戶(hù)清單，提交相關(guān)部門(mén)，由關(guān)鍵用戶(hù)和部門(mén)負(fù)責(zé)人進(jìn)行審核確認(rèn)，應(yīng)用管理員根據(jù)審核結(jié)果在系統(tǒng)中進(jìn)行相應(yīng)的處理。總部各部門(mén)分（子）公司2用戶(hù)審核簽字1.11.22.32.4經(jīng)營(yíng)風(fēng)險(xiǎn)：賬戶(hù)共享，導(dǎo)致責(zé)任不清，導(dǎo)致系統(tǒng)存在安全隱患。1.3.2應(yīng)用管理員在系統(tǒng)中為每個(gè)操作人員設(shè)置獨(dú)立的用戶(hù)帳號(hào)，不能設(shè)置共享用戶(hù)帳號(hào)（查詢(xún)用戶(hù)帳號(hào)除外）。總部各部門(mén)分（子）公司11.11.22.32.4經(jīng)營(yíng)風(fēng)險(xiǎn)：用戶(hù)創(chuàng)建隨意，影響系統(tǒng)安全穩(wěn)定或生產(chǎn)經(jīng)營(yíng)。1.3.3對(duì)于數(shù)據(jù)庫(kù)層面用戶(hù)（如系統(tǒng)接口訪(fǎng)問(wèn)用戶(hù)等），相關(guān)部門(mén)填寫(xiě)用戶(hù)申請(qǐng)，由部門(mén)負(fù)責(zé)人簽字確認(rèn)，經(jīng)信息管理部門(mén)審批后，由數(shù)據(jù)庫(kù)管理員創(chuàng)建該類(lèi)用戶(hù)?？偛扛鞑块T(mén)分（子）公司1用戶(hù)申請(qǐng)表1.1經(jīng)營(yíng)風(fēng)險(xiǎn)：密碼規(guī)則不當(dāng)，強(qiáng)度不夠，更新不及時(shí)，導(dǎo)致對(duì)系統(tǒng)的非法或非授權(quán)訪(fǎng)問(wèn)。1.4對(duì)于系統(tǒng)登錄訪(fǎng)問(wèn)，要設(shè)置合理的密碼規(guī)則，密碼長(zhǎng)度6位以上，采用數(shù)字和字符組合方式，不能使用弱密碼；用戶(hù)密碼3個(gè)月內(nèi)必須更新一次；帳號(hào)密碼重復(fù)輸入5次錯(cuò)誤則暫停登錄或系統(tǒng)鎖定；系統(tǒng)自動(dòng)退出帳號(hào)登錄的最大空閑時(shí)間不能超過(guò)50分鐘?？偛扛鞑块T(mén)分（子）公司21.5相關(guān)管理員的管理1.1經(jīng)營(yíng)風(fēng)險(xiǎn)：系統(tǒng)相關(guān)管理員崗位設(shè)置不合理，導(dǎo)致對(duì)系統(tǒng)的非法或非授權(quán)訪(fǎng)問(wèn)。1.5.1應(yīng)用管理員（BASIS管理員和權(quán)限管理員）、系統(tǒng)管理員（操作系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員）、安全管理員必須授權(quán)管理，遵循不相容崗位分離原則，不能具有業(yè)務(wù)操作權(quán)限及開(kāi)發(fā)權(quán)限；信息管理部門(mén)負(fù)責(zé)人應(yīng)至少每半年對(duì)上述管理員的在職情況進(jìn)行審查?？偛扛鞑块T(mén)分（子）公司應(yīng)用管理員系統(tǒng)管理員安全管理員2管理員授權(quán)文件管理員任職資格半年審核記錄1.11.3經(jīng)營(yíng)風(fēng)險(xiǎn)：系統(tǒng)運(yùn)行狀態(tài)監(jiān)控不到位，不能及時(shí)發(fā)現(xiàn)系統(tǒng)潛在故障或問(wèn)題，影響系統(tǒng)正常運(yùn)行。1.5.2應(yīng)用管理員負(fù)責(zé)監(jiān)控應(yīng)用系統(tǒng)運(yùn)行情況、備份情況和日志，并完成監(jiān)控記錄；系統(tǒng)管理員負(fù)責(zé)監(jiān)控操作系統(tǒng)、數(shù)據(jù)庫(kù)及備份設(shè)備運(yùn)行情況和日志，并完成監(jiān)控記錄；安全管理員每季度對(duì)相關(guān)管理員的操作日志至少檢查一次并記錄檢查情況?？偛扛鞑块T(mén)分（子）公司應(yīng)用管理員系統(tǒng)管理員安全管理員2監(jiān)控記錄安全員檢查記錄1.1經(jīng)營(yíng)風(fēng)險(xiǎn)：生產(chǎn)系統(tǒng)存在開(kāi)發(fā)帳戶(hù)、關(guān)鍵用戶(hù)，影響系統(tǒng)安全穩(wěn)定或生產(chǎn)經(jīng)營(yíng)。1.6生產(chǎn)系統(tǒng)上線(xiàn)投入運(yùn)行后，鎖定生產(chǎn)系統(tǒng)中的開(kāi)發(fā)人員、關(guān)鍵用戶(hù)的帳號(hào)；如果開(kāi)發(fā)人員或關(guān)鍵用戶(hù)必須在生產(chǎn)系統(tǒng)中診斷問(wèn)題，需填寫(xiě)ERP系統(tǒng)用戶(hù)權(quán)限申請(qǐng)表（提出申請(qǐng)帳號(hào)目的和期限），由相關(guān)部門(mén)負(fù)責(zé)人簽字確認(rèn)后由應(yīng)用管理員進(jìn)行維護(hù)，完成問(wèn)題診斷任務(wù)后鎖定該帳號(hào)。總部各部門(mén)分（子）公司開(kāi)發(fā)人員或關(guān)鍵用戶(hù)應(yīng)用管理員2開(kāi)發(fā)人員及關(guān)鍵用戶(hù)清單11.3ERP系統(tǒng)IT一般性控制內(nèi)部控制矩陣2008年C11.32業(yè)務(wù)目標(biāo)業(yè)務(wù)風(fēng)險(xiǎn)控制點(diǎn)適用單位不相容崗位控制點(diǎn)分值控制點(diǎn)相關(guān)資料相關(guān)制度索引會(huì)計(jì)報(bào)表認(rèn)定會(huì)計(jì)報(bào)表項(xiàng)目1存在和發(fā)生/真實(shí)性；2完整性；3權(quán)利與義務(wù)；4估價(jià)或分?jǐn)偅?表達(dá)和披露；6準(zhǔn)確性1234561.7預(yù)置帳號(hào)的管理1.1經(jīng)營(yíng)風(fēng)險(xiǎn)：服務(wù)器根帳號(hào)的密碼管理不善，導(dǎo)致對(duì)系統(tǒng)的非法或非授權(quán)訪(fǎng)問(wèn)。1.7.1系統(tǒng)管理員在操作系統(tǒng)安裝完成后對(duì)服務(wù)器根帳號(hào)（root）密碼進(jìn)行修改，并至少三個(gè)月更換一次密碼，密碼以安全方式妥善保存。總部各部門(mén)分（子）公司1ROOT帳號(hào)密碼修改記錄1.1經(jīng)營(yíng)風(fēng)險(xiǎn)：數(shù)據(jù)庫(kù)預(yù)置帳號(hào)的密碼管理不善，導(dǎo)致對(duì)系統(tǒng)的非法或非授權(quán)訪(fǎng)問(wèn)。1.7.2系統(tǒng)管理員在數(shù)據(jù)庫(kù)和SAP軟件安裝好后，需用sapdba的工具修改SAP系統(tǒng)預(yù)置帳號(hào)（SAPR3，SYS，SYSTEM）的缺省密碼，并至少三個(gè)月更換一次密碼，密碼以安全方式妥善保存。總部各部門(mén)分（子）公司1SAPR3、SYS、SYSTEM帳號(hào)密碼修改記錄1.1經(jīng)營(yíng)風(fēng)險(xiǎn)：SAP系統(tǒng)預(yù)置帳號(hào)的密碼管理不善，導(dǎo)致對(duì)系統(tǒng)的非法或非授權(quán)訪(fǎng)問(wèn)。1.7.3應(yīng)用管理員在SAP軟件安裝好每次創(chuàng)建Client后，須修改SAP系統(tǒng)預(yù)置帳號(hào)（SAP*/DDIC）缺省密碼，密碼以安全方式妥善保存?？偛扛鞑块T(mén)分（子）公司1SAP*、DDIC帳號(hào)密碼修改記錄1.1經(jīng)營(yíng)風(fēng)險(xiǎn)：業(yè)務(wù)支持人員的權(quán)限分配不當(dāng)，影響系統(tǒng)安全穩(wěn)定或生產(chǎn)經(jīng)營(yíng)。1.8業(yè)務(wù)支持人員支持權(quán)限的新建、變更、刪除、鎖定需經(jīng)ERP支持中心負(fù)責(zé)人審核簽字后由應(yīng)用管理員在系統(tǒng)中進(jìn)行分配，業(yè)務(wù)支持人員在生產(chǎn)系統(tǒng)中只有相應(yīng)模塊的顯示、跟蹤權(quán)限，不能分配業(yè)務(wù)操作權(quán)限、后臺(tái)配置權(quán)限?？偛扛鞑块T(mén)分（子）公司業(yè)務(wù)支持人員應(yīng)用管理員3業(yè)務(wù)支持人員名單1.1經(jīng)營(yíng)風(fēng)險(xiǎn)：超級(jí)用戶(hù)權(quán)限管理不當(dāng)，影響系統(tǒng)安全穩(wěn)定或生產(chǎn)經(jīng)營(yíng)。1.9超級(jí)用戶(hù)權(quán)限必須嚴(yán)格控制，申請(qǐng)時(shí)必須闡明使用原因，并經(jīng)ERP支持中心負(fù)責(zé)人審核簽字后，應(yīng)用管理員才能在系統(tǒng)中進(jìn)行分配，使用后要及時(shí)將權(quán)限回收。總部各部門(mén)分（子）公司2超級(jí)用戶(hù)申請(qǐng)表1.10第三方人員管理1.12.2經(jīng)營(yíng)風(fēng)險(xiǎn)：與第三方合作單位未簽訂安全保密協(xié)議，造成系統(tǒng)泄密或受到非法訪(fǎng)問(wèn)。1.10.1針對(duì)第三方合作單位需要簽訂安全保密協(xié)議?？偛扛鞑块T(mén)分（子）公司1保密協(xié)議（合同）1.12.2經(jīng)營(yíng)風(fēng)險(xiǎn)：對(duì)第三方合作單位人員管理不到位，影響系統(tǒng)安全穩(wěn)定或生產(chǎn)經(jīng)營(yíng)。1.10.2第三方人員訪(fǎng)問(wèn)系統(tǒng)，需填寫(xiě)第三方人員帳號(hào)申請(qǐng)表（需注明使用期限和權(quán)限），經(jīng)需求部門(mén)負(fù)責(zé)人、信息管理部門(mén)（責(zé)任處（科）室）負(fù)責(zé)人審批通過(guò)后，由應(yīng)用管理員根據(jù)申請(qǐng)表在系統(tǒng)中建立其帳號(hào)。第三方人員撤離后，其帳號(hào)需在系統(tǒng)中進(jìn)行刪除或鎖定，如確需訪(fǎng)問(wèn)系統(tǒng)診斷問(wèn)題，需按照用戶(hù)權(quán)限維護(hù)程序經(jīng)審批后方可解鎖/創(chuàng)建；維護(hù)完畢后應(yīng)及時(shí)鎖定或刪除?？偛扛鞑块T(mén)分（子）公司2第三方人員清單用戶(hù)變更申請(qǐng)表2.程序變更1.11.21.32.12.32.4經(jīng)營(yíng)風(fēng)險(xiǎn)：規(guī)章制度不健全，導(dǎo)致對(duì)系統(tǒng)管理的失控。2.1總部各部門(mén)、分（子）公司依據(jù)信息系統(tǒng)應(yīng)用管理辦法，制定程序變更管理制度,主要包括客戶(hù)化開(kāi)發(fā)變更管理、系統(tǒng)配置變更管理、軟件版本變更管理等內(nèi)容。總部各部門(mén)分（子）公司2程序變更管理制度1.10.32.10.42.2客戶(hù)化開(kāi)發(fā)變更管理1.11.32.4經(jīng)營(yíng)風(fēng)險(xiǎn)：客戶(hù)化開(kāi)發(fā)的需求不合理，導(dǎo)致系統(tǒng)故障，不能滿(mǎn)足業(yè)務(wù)需求。合規(guī)風(fēng)險(xiǎn)：重要業(yè)務(wù)報(bào)表的編制不符合規(guī)定，導(dǎo)致股份公司聲譽(yù)受到損害及受相關(guān)機(jī)構(gòu)處罰。2.2.1對(duì)于功能增強(qiáng)/表單/報(bào)表/系統(tǒng)接口等客戶(hù)化開(kāi)發(fā)的新需求或者對(duì)已有客戶(hù)化開(kāi)發(fā)的變更，由需求變更部門(mén)填寫(xiě)系統(tǒng)開(kāi)發(fā)變更申請(qǐng)表（簡(jiǎn)要描述功能需求和功能說(shuō)明），經(jīng)提報(bào)單位的需求變更部門(mén)、信息管理部門(mén)/ERP支持中心負(fù)責(zé)人審核后報(bào)信息系統(tǒng)管理部審批。總部各部門(mén)分（子）公司2客戶(hù)化開(kāi)發(fā)變更申請(qǐng)表1.11.32.4經(jīng)營(yíng)風(fēng)險(xiǎn)：變更管理不規(guī)范，客戶(hù)化開(kāi)發(fā)、測(cè)試和傳輸管理不完善，導(dǎo)致系統(tǒng)故障或不能滿(mǎn)足業(yè)務(wù)需求。2.2.2信息系統(tǒng)管理部組織人員根據(jù)審批后的客戶(hù)化開(kāi)發(fā)變更需求在開(kāi)發(fā)環(huán)境中進(jìn)行開(kāi)發(fā)，完成開(kāi)發(fā)后由提報(bào)單位的業(yè)務(wù)人員在測(cè)試環(huán)境中進(jìn)行測(cè)試，針對(duì)變更部分編制測(cè)試文檔（包括測(cè)試場(chǎng)景和測(cè)試結(jié)果），經(jīng)業(yè)務(wù)人員及部門(mén)負(fù)責(zé)人簽字確認(rèn)后，由提報(bào)單位的應(yīng)用管理員按照傳輸管理要求傳入生產(chǎn)系統(tǒng)?？偛扛鞑块T(mén)分（子）公司開(kāi)發(fā)人員業(yè)務(wù)人員4開(kāi)發(fā)變更測(cè)試文檔1.11.32.4經(jīng)營(yíng)風(fēng)險(xiǎn)：客戶(hù)化開(kāi)發(fā)變更記錄不完整，導(dǎo)致維護(hù)困難。2.2.3提報(bào)單位ERP支持中心組織需求變更部門(mén)對(duì)客戶(hù)化開(kāi)發(fā)變更內(nèi)容進(jìn)行記錄，包括更新客戶(hù)化功能說(shuō)明文檔、技術(shù)說(shuō)明文檔、測(cè)試文檔、用戶(hù)手冊(cè)、管理制度、版本號(hào)管理等，由ERP支持中心歸檔。總部各部門(mén)分（子）公司2相關(guān)開(kāi)發(fā)文檔11.3ERP系統(tǒng)IT一般性控制內(nèi)部控制矩陣2008年C11.33業(yè)務(wù)目標(biāo)業(yè)務(wù)風(fēng)險(xiǎn)控制點(diǎn)適用單位不相容崗位控制點(diǎn)分值控制點(diǎn)相關(guān)資料相關(guān)制度索引會(huì)計(jì)報(bào)表認(rèn)定會(huì)計(jì)報(bào)表項(xiàng)目1存在和發(fā)生/真實(shí)性；2完整性；3權(quán)利與義務(wù)；4估價(jià)或分?jǐn)偅?表達(dá)和披露；6準(zhǔn)確性1234562.3系統(tǒng)配置變更管理1.11.21.32.4經(jīng)營(yíng)風(fēng)險(xiǎn)：系統(tǒng)配置變更管理不完善，導(dǎo)致系統(tǒng)故障或不能滿(mǎn)足業(yè)務(wù)需求。2.3.1現(xiàn)有系統(tǒng)配置需進(jìn)行調(diào)整，應(yīng)由需求部門(mén)填寫(xiě)“系統(tǒng)配置變更申請(qǐng)表”，經(jīng)部門(mén)負(fù)責(zé)人簽字確認(rèn)后提交信息管理部門(mén)審核。與ERP推廣模板有差異的或者組織架構(gòu)、業(yè)務(wù)流程發(fā)生變化的變更，以及新增功能模塊，需信息系統(tǒng)管理部門(mén)負(fù)責(zé)人審批并組織實(shí)施；其他系統(tǒng)配置變更,由信息管理部門(mén)授權(quán)支持人員或第三方人員根據(jù)審批后的變更需求進(jìn)行業(yè)務(wù)流程設(shè)計(jì)，經(jīng)相關(guān)業(yè)務(wù)部門(mén)負(fù)責(zé)人簽字確認(rèn)后在開(kāi)發(fā)環(huán)境進(jìn)行配置修改，由被授權(quán)人員填寫(xiě)系統(tǒng)配置變更記錄，并將變更記錄報(bào)總部ERP支持中心備案?？偛扛鞑块T(mén)分（子）公司4配置變更申請(qǐng)表業(yè)務(wù)流程圖與流程描述1.11.21.32.4經(jīng)營(yíng)風(fēng)險(xiǎn)：系統(tǒng)配置變更的測(cè)試、傳輸不完善，導(dǎo)致系統(tǒng)故障或不能滿(mǎn)足業(yè)務(wù)需求。2.3.2凡涉及業(yè)務(wù)流程、數(shù)據(jù)庫(kù)變動(dòng)的配置變更，由提報(bào)單位的業(yè)務(wù)人員在測(cè)試環(huán)境中進(jìn)行測(cè)試，針對(duì)變更部分編制測(cè)試文檔（包括測(cè)試場(chǎng)景和測(cè)試結(jié)果），經(jīng)業(yè)務(wù)部門(mén)負(fù)責(zé)人簽字確認(rèn)后，由提報(bào)單位的應(yīng)用管理員按照傳輸管理要求傳入生產(chǎn)系統(tǒng)?？偛扛鞑块T(mén)分（子）公司業(yè)務(wù)人員應(yīng)用管理員4配置變更測(cè)試文檔1.12.1經(jīng)營(yíng)風(fēng)險(xiǎn)：培訓(xùn)工作不到位，導(dǎo)致用戶(hù)操作不熟練，無(wú)法保證業(yè)務(wù)處理的正確性。2.3.3系統(tǒng)配置變更后由ERP支持中心組織相關(guān)人員及時(shí)修改配置文檔，并根據(jù)需要進(jìn)行業(yè)務(wù)人員培訓(xùn)?？偛扛鞑块T(mén)分（子）公司2配置文檔用戶(hù)手冊(cè)培訓(xùn)記錄2.4軟件補(bǔ)丁和版本變更管理1.12.1經(jīng)營(yíng)風(fēng)險(xiǎn)：隨意升級(jí)軟件補(bǔ)丁或版本，影響系統(tǒng)安全穩(wěn)定或生產(chǎn)經(jīng)營(yíng)。合規(guī)風(fēng)險(xiǎn)：侵犯知識(shí)產(chǎn)權(quán)，導(dǎo)致訴訟及股份公司聲譽(yù)受到損害。2.4.1針對(duì)軟件補(bǔ)丁/版本升級(jí)，信息管理部門(mén)提出申請(qǐng)，由信息系統(tǒng)管理部負(fù)責(zé)人審批后統(tǒng)一組織實(shí)施。總部各部門(mén)分（子）公司1軟件版本升級(jí)申請(qǐng)表1.11.21.32.4經(jīng)營(yíng)風(fēng)險(xiǎn)：補(bǔ)丁/版本升級(jí)未經(jīng)測(cè)試，導(dǎo)致系統(tǒng)故障或不能滿(mǎn)足業(yè)務(wù)需求。2.4.2由信息管理部門(mén)/ERP支持中心根據(jù)審批后的軟件變更，組織支持人員、相關(guān)部門(mén)關(guān)鍵用戶(hù)提出測(cè)試流程清單，在測(cè)試環(huán)境進(jìn)行系統(tǒng)功能的全面測(cè)試，測(cè)試人員需在測(cè)試流程清單上簽字確認(rèn)，并填寫(xiě)測(cè)試記錄?？偛扛鞑块T(mén)分（子）公司3流程測(cè)試清單1.11.21.3經(jīng)營(yíng)風(fēng)險(xiǎn)：測(cè)試內(nèi)容不全面，導(dǎo)致補(bǔ)丁/版本升級(jí)后系統(tǒng)故障或不能滿(mǎn)足業(yè)務(wù)需求2.4.3ERP支持中心負(fù)責(zé)人檢查測(cè)試流程清單是否完整，并簽字確認(rèn)，由應(yīng)用管理員根據(jù)補(bǔ)丁/版本升級(jí)方案在生產(chǎn)系統(tǒng)完成補(bǔ)丁安裝或者版本升級(jí)工作，并進(jìn)行“軟件補(bǔ)丁/版本升級(jí)”記錄。總部各部門(mén)分（子）公司23.程序開(kāi)發(fā)1.21.32.12.22.32.4經(jīng)營(yíng)風(fēng)險(xiǎn)：規(guī)章制度不健全，導(dǎo)致對(duì)系統(tǒng)管理的失控。3.1總部各部門(mén)、分（子）公司依據(jù)信息系統(tǒng)應(yīng)用管理辦法，制定程序開(kāi)發(fā)管理制度,主要包括業(yè)務(wù)流程設(shè)計(jì)管理、客戶(hù)化開(kāi)發(fā)和系統(tǒng)配置管理等內(nèi)容?？偛扛鞑块T(mén)分（子）公司2程序開(kāi)發(fā)管理制度或規(guī)定1.10.32.10.41.32.12.2經(jīng)營(yíng)風(fēng)險(xiǎn)：業(yè)務(wù)流程不規(guī)范、設(shè)計(jì)不合理，導(dǎo)致系統(tǒng)不能滿(mǎn)足業(yè)務(wù)需求。3.2信息管理部門(mén)負(fù)責(zé)組建項(xiàng)目組，包括承擔(dān)系統(tǒng)實(shí)施的人員（以下簡(jiǎn)稱(chēng)咨詢(xún)顧問(wèn)）和關(guān)鍵用戶(hù)。項(xiàng)目組根據(jù)ERP項(xiàng)目可行性研究報(bào)告和批復(fù)進(jìn)行業(yè)務(wù)流程設(shè)計(jì)，并經(jīng)關(guān)鍵用戶(hù)、業(yè)務(wù)部門(mén)負(fù)責(zé)人簽字確認(rèn)。總部各部門(mén)分（子）公司4業(yè)務(wù)流程圖與流程描述1.11.21.32.4經(jīng)營(yíng)風(fēng)險(xiǎn)：客戶(hù)化開(kāi)發(fā)的需求不合理，導(dǎo)致系統(tǒng)故障或不能滿(mǎn)足業(yè)務(wù)需求。3.3對(duì)于功能增強(qiáng)/表單/報(bào)表/系統(tǒng)接口等客戶(hù)化開(kāi)發(fā)，由業(yè)務(wù)部門(mén)提出需求，并編制開(kāi)發(fā)需求功能說(shuō)明書(shū)，其中需描述訪(fǎng)問(wèn)權(quán)限要求。項(xiàng)目組根據(jù)功能說(shuō)明書(shū)編制客戶(hù)化開(kāi)發(fā)清單，提交相關(guān)部門(mén)負(fù)責(zé)人簽字確認(rèn)。總部各部門(mén)分（子）公司2客戶(hù)化開(kāi)發(fā)清單；開(kāi)發(fā)需求功能說(shuō)明書(shū)1.11.21.32.4經(jīng)營(yíng)風(fēng)險(xiǎn)：程序開(kāi)發(fā)不規(guī)范，導(dǎo)致系統(tǒng)故障或不能滿(mǎn)足業(yè)務(wù)需求。3.4開(kāi)發(fā)人員根據(jù)開(kāi)發(fā)需求功能說(shuō)明書(shū)在開(kāi)發(fā)環(huán)境中完成開(kāi)發(fā)工作，將開(kāi)發(fā)結(jié)果提交業(yè)務(wù)人員進(jìn)行測(cè)試，并經(jīng)業(yè)務(wù)人員及部門(mén)負(fù)責(zé)人簽字確認(rèn)?？偛扛鞑块T(mén)分（子）公司3開(kāi)發(fā)測(cè)試記錄單11.3ERP系統(tǒng)IT一般性控制內(nèi)部控制矩陣2008年C11.34業(yè)務(wù)目標(biāo)業(yè)務(wù)風(fēng)險(xiǎn)控制點(diǎn)適用單位不相容崗位控制點(diǎn)分值控制點(diǎn)相關(guān)資料相關(guān)制度索引會(huì)計(jì)報(bào)表認(rèn)定會(huì)計(jì)報(bào)表項(xiàng)目1存在和發(fā)生/真實(shí)性；2完整性；3權(quán)利與義務(wù)；4估價(jià)或分?jǐn)偅?表達(dá)和披露；6準(zhǔn)確性1234561.11.21.32.4經(jīng)營(yíng)風(fēng)險(xiǎn)：系統(tǒng)配置不規(guī)范，導(dǎo)致系統(tǒng)故障或不能滿(mǎn)足業(yè)務(wù)需求。3.5咨詢(xún)顧問(wèn)依據(jù)簽字確認(rèn)的業(yè)務(wù)流程設(shè)計(jì)進(jìn)行系統(tǒng)配置，并編寫(xiě)配置文檔；關(guān)鍵用戶(hù)對(duì)配置文檔進(jìn)行審核并簽字確認(rèn)?？偛扛鞑块T(mén)分（子）公司3配置文檔3.6系統(tǒng)配置測(cè)試管理1.11.21.32.4經(jīng)營(yíng)風(fēng)險(xiǎn)：集成測(cè)試不充分，導(dǎo)致系統(tǒng)故障或不能滿(mǎn)足業(yè)務(wù)需求。3.6.1系統(tǒng)配置完成后，由咨詢(xún)顧問(wèn)和關(guān)鍵用戶(hù)在測(cè)試系統(tǒng)進(jìn)行集成測(cè)試，記錄測(cè)試過(guò)程，并對(duì)集成測(cè)試記錄簽字確認(rèn)?？偛扛鞑块T(mén)分（子）公司2集成測(cè)試文檔1.11.21.32.4經(jīng)營(yíng)風(fēng)險(xiǎn)：用戶(hù)測(cè)試不充分，導(dǎo)致系統(tǒng)故障或不能滿(mǎn)足業(yè)務(wù)需求。3.6.2集成測(cè)試完成后，由最終用戶(hù)在測(cè)試系統(tǒng)進(jìn)行用戶(hù)接受測(cè)試，記錄測(cè)試過(guò)程；并對(duì)接受測(cè)試記錄簽字確認(rèn)。總部各部門(mén)分（子）公司2用戶(hù)接受測(cè)試文檔3.7開(kāi)發(fā)測(cè)試環(huán)境和傳輸管理1.11.21.32.4經(jīng)營(yíng)風(fēng)險(xiǎn)：開(kāi)發(fā)技術(shù)架構(gòu)不合理或傳輸缺乏控制，影響系統(tǒng)安全穩(wěn)定或生產(chǎn)經(jīng)營(yíng)。3.7.1客戶(hù)化開(kāi)發(fā)、系統(tǒng)配置、系統(tǒng)變更工作遵循“開(kāi)發(fā)系統(tǒng)至測(cè)試系統(tǒng)、測(cè)試系統(tǒng)至生產(chǎn)系統(tǒng)”的技術(shù)架構(gòu)完成，并按照傳輸管理規(guī)范進(jìn)行傳輸?？偛扛鞑块T(mén)分（子）公司1傳輸請(qǐng)求申請(qǐng)表1.1經(jīng)營(yíng)風(fēng)險(xiǎn)：傳輸管理不完善，導(dǎo)致系統(tǒng)故障或不能滿(mǎn)足業(yè)務(wù)需求。3.7.2測(cè)試系統(tǒng)和生產(chǎn)系統(tǒng)上生成的傳輸請(qǐng)求需經(jīng)信息系統(tǒng)管理部相關(guān)處室負(fù)責(zé)人審批，并報(bào)總部ERP支持中心備案。總部各部門(mén)分（子）公司2傳輸請(qǐng)求申請(qǐng)表3.8用戶(hù)操作手冊(cè)編制和培訓(xùn)1.11.21.3經(jīng)營(yíng)風(fēng)險(xiǎn)：用戶(hù)手冊(cè)更新不及時(shí)，導(dǎo)致培訓(xùn)不到位，影響生產(chǎn)經(jīng)營(yíng)。3.8.1咨詢(xún)顧問(wèn)及關(guān)鍵用戶(hù)按照流程設(shè)計(jì)和系統(tǒng)配置編寫(xiě)并及時(shí)更新用戶(hù)操作手冊(cè)?？偛扛鞑块T(mén)分（子）公司1用戶(hù)操作手冊(cè)1.11.21.3經(jīng)營(yíng)風(fēng)險(xiǎn)：培訓(xùn)工作不到位，導(dǎo)致用戶(hù)操作不熟練，無(wú)法保證業(yè)務(wù)處理的正確性。3.8.2信息管理部門(mén)組織培訓(xùn)及考核，業(yè)務(wù)人員經(jīng)考核合格后方可上崗?？偛扛鞑块T(mén)分（子）公司2培訓(xùn)及考核記錄3.9數(shù)據(jù)轉(zhuǎn)換管理1.22.32.4經(jīng)營(yíng)風(fēng)險(xiǎn)：數(shù)據(jù)收集和整理不嚴(yán)謹(jǐn)，導(dǎo)致系統(tǒng)存在大量垃圾數(shù)據(jù)和系統(tǒng)數(shù)據(jù)失真。合規(guī)風(fēng)險(xiǎn)：系統(tǒng)數(shù)據(jù)的收集、提供、使用、轉(zhuǎn)讓違反國(guó)家法律法規(guī)及股份公司內(nèi)部規(guī)章制度等，導(dǎo)致系統(tǒng)無(wú)法正常運(yùn)行。3.9.1業(yè)務(wù)部門(mén)組織人員按照數(shù)據(jù)收集模板收集和整理相關(guān)業(yè)務(wù)數(shù)據(jù)，并進(jìn)行盤(pán)點(diǎn)；相關(guān)部門(mén)負(fù)責(zé)人須審核收集的數(shù)據(jù)，并在“數(shù)據(jù)簽字清單”上簽字確認(rèn)?？偛扛鞑块T(mén)分（子）公司收集人員審核人員1數(shù)據(jù)簽字清單1.22.32.4經(jīng)營(yíng)風(fēng)險(xiǎn)：未對(duì)進(jìn)入系統(tǒng)數(shù)據(jù)核對(duì)，導(dǎo)致系統(tǒng)存在大量垃圾數(shù)據(jù)和系統(tǒng)數(shù)據(jù)失真。合規(guī)風(fēng)險(xiǎn)：系統(tǒng)數(shù)據(jù)的收集、提供、使用、轉(zhuǎn)讓違反國(guó)家法律法規(guī)及股份公司內(nèi)部規(guī)章制度等，導(dǎo)致系統(tǒng)無(wú)法正常運(yùn)行。3.9.2業(yè)務(wù)人員對(duì)導(dǎo)入/補(bǔ)錄入系統(tǒng)的數(shù)據(jù)進(jìn)行核對(duì)，核對(duì)結(jié)果需經(jīng)部門(mén)負(fù)責(zé)人簽字確認(rèn)?？偛扛鞑块T(mén)分（子）公司操作人員審核人員1數(shù)據(jù)導(dǎo)入清單3.10系統(tǒng)切換和月結(jié)差異分析1.1經(jīng)營(yíng)風(fēng)險(xiǎn)：系統(tǒng)切換方案未經(jīng)確認(rèn)，違背系統(tǒng)規(guī)范管理。3.10.1咨詢(xún)顧問(wèn)制定系統(tǒng)切換方案，需經(jīng)項(xiàng)目組負(fù)責(zé)人簽字確認(rèn)?？偛扛鞑块T(mén)分（子）公司1切換方案1.1經(jīng)營(yíng)風(fēng)險(xiǎn)：系統(tǒng)上線(xiàn)手續(xù)不全，違背系統(tǒng)規(guī)范管理。3.10.2項(xiàng)目組根據(jù)“ERP系統(tǒng)上線(xiàn)申請(qǐng)標(biāo)準(zhǔn)”編制上線(xiàn)申請(qǐng)報(bào)告，并提交總部ERP項(xiàng)目管理組審核。總部各部門(mén)分（子）公司1ERP系統(tǒng)上線(xiàn)申請(qǐng)報(bào)告1.21.32.4經(jīng)營(yíng)風(fēng)險(xiǎn)：差異分析報(bào)告不準(zhǔn)確，導(dǎo)致系統(tǒng)數(shù)據(jù)錯(cuò)誤無(wú)法糾正，影響系統(tǒng)正確性。3.10.3相關(guān)部門(mén)對(duì)系統(tǒng)并行期間月結(jié)差異進(jìn)行分析，編制差異分析報(bào)告，并提交總部ERP項(xiàng)目管理組審核批復(fù)。總部各部門(mén)分（子）公司2月結(jié)差異報(bào)告11.3ERP系統(tǒng)IT一般性控制內(nèi)部控制矩陣2008年C11.35業(yè)務(wù)目標(biāo)業(yè)務(wù)風(fēng)險(xiǎn)控制點(diǎn)適用單位不相容崗位控制點(diǎn)分值控制點(diǎn)相關(guān)資料相關(guān)制度索引會(huì)計(jì)報(bào)表認(rèn)定會(huì)計(jì)報(bào)表項(xiàng)目1存在和發(fā)生/真實(shí)性；2完整性；3權(quán)利與義務(wù)；4估價(jià)或分?jǐn)偅?表達(dá)和披露；6準(zhǔn)確性1234564.系統(tǒng)運(yùn)行1.11.3經(jīng)營(yíng)風(fēng)險(xiǎn)：規(guī)章制度不健全，導(dǎo)致對(duì)系統(tǒng)管理的失控。4.1總部各部門(mén)、分（子）公司依據(jù)信息系統(tǒng)應(yīng)用管理辦法，制定系統(tǒng)運(yùn)行管理制度,主要包括系統(tǒng)監(jiān)控機(jī)制、數(shù)據(jù)導(dǎo)入管理、后臺(tái)作業(yè)管理、數(shù)據(jù)備份與災(zāi)難恢復(fù)策略、支持體系、應(yīng)急預(yù)案等內(nèi)容。總部各部門(mén)分（子）公司2系統(tǒng)運(yùn)行管理制度或規(guī)定1.10.32.10.44.2批導(dǎo)入數(shù)據(jù)管理1.11.32.3經(jīng)營(yíng)風(fēng)險(xiǎn)：導(dǎo)入數(shù)據(jù)未經(jīng)檢查審核，導(dǎo)致系統(tǒng)數(shù)據(jù)失真。合規(guī)風(fēng)險(xiǎn)：系統(tǒng)數(shù)據(jù)的收集、提供、使用、轉(zhuǎn)讓違反國(guó)家法律法規(guī)及股份公司內(nèi)部規(guī)章制度等，導(dǎo)致系統(tǒng)無(wú)法正常運(yùn)行。4.2.1外部數(shù)據(jù)導(dǎo)入前，業(yè)務(wù)部門(mén)負(fù)責(zé)人需對(duì)外部數(shù)據(jù)審核簽字，業(yè)務(wù)人員對(duì)數(shù)據(jù)格式進(jìn)行檢查；保留導(dǎo)入的外部數(shù)據(jù)以備復(fù)查（財(cái)務(wù)數(shù)據(jù)至少保留至年結(jié)后，業(yè)務(wù)數(shù)據(jù)至少保留至月結(jié)后）。總部各部門(mén)分（子）公司1數(shù)據(jù)導(dǎo)入申請(qǐng)表1.11.32.3經(jīng)營(yíng)風(fēng)險(xiǎn)：導(dǎo)入數(shù)據(jù)模板未經(jīng)檢查審核，導(dǎo)致系統(tǒng)數(shù)據(jù)紊亂。合規(guī)風(fēng)險(xiǎn)：系統(tǒng)數(shù)據(jù)的收集、提供、使用、轉(zhuǎn)讓違反國(guó)家法律法規(guī)及股份公司內(nèi)部規(guī)章制度等，導(dǎo)致系統(tǒng)無(wú)法正常運(yùn)行。4.2.2對(duì)周期性導(dǎo)入的外部數(shù)據(jù)的數(shù)據(jù)模板，需經(jīng)相關(guān)部門(mén)負(fù)責(zé)人審核簽字，業(yè)務(wù)人員在數(shù)據(jù)導(dǎo)入系統(tǒng)前需對(duì)數(shù)據(jù)的格式進(jìn)行檢查?？偛扛鞑块T(mén)分（子）公司1數(shù)據(jù)模版審批簽字4.3后臺(tái)作業(yè)管理1.11.32.3經(jīng)營(yíng)風(fēng)險(xiǎn)：后臺(tái)作業(yè)批處理計(jì)劃不合理，影響系統(tǒng)正常運(yùn)行。4.3.1信息管理部門(mén)會(huì)同相關(guān)部門(mén)制定后臺(tái)作業(yè)批處理計(jì)劃，相關(guān)責(zé)任人簽