1.3ERP系統(tǒng)IT一般性控制內(nèi)部控制矩陣

1、11.3 ERP系系統(tǒng)IT一一般性控制制內(nèi)部控制制矩陣業(yè)務(wù)目標(biāo)業(yè)務(wù)風(fēng)險(xiǎn)控制點(diǎn)適用單位不相容崗位位控制點(diǎn)分值值控制點(diǎn)相關(guān)關(guān)資料相關(guān)制度索索引會(huì)計(jì)報(bào)表認(rèn)認(rèn)定會(huì)計(jì)報(bào)表項(xiàng)項(xiàng)目1存在和發(fā)發(fā)生/真實(shí)實(shí)性;2完整性性;3權(quán)利與與義務(wù);4估價(jià)或或分?jǐn)?5表達(dá)和和披露;6準(zhǔn)確性性1234561.程序和和數(shù)據(jù)訪問(wèn)問(wèn)1.11.22.32.4經(jīng)營(yíng)風(fēng)險(xiǎn)：規(guī)章制度度不健全，導(dǎo)導(dǎo)致對(duì)系統(tǒng)統(tǒng)管理的失失控。1.1總部部各部門(mén)、分（子）公公司依據(jù)中國(guó)石油油化工股份份有限公司司管理信息息系統(tǒng)應(yīng)用用管理辦法法（試行）（以下簡(jiǎn)簡(jiǎn)稱(chēng)信息息系統(tǒng)應(yīng)用用管理辦法法）等，制制定程序和和數(shù)據(jù)訪問(wèn)問(wèn)管理制度度,主要包包括用戶權(quán)權(quán)限管理、用戶帳號(hào)號(hào)管

2、理、用用戶登錄管管理、超級(jí)級(jí)用戶管理理及第三方方人員管理理等內(nèi)容?？偛扛鞑块T(mén)門(mén)分（子）公公司2程序和數(shù)據(jù)據(jù)訪問(wèn)管理理制度或規(guī)規(guī)定1.10.42.10.41.2用戶戶權(quán)限管理理1.11.22.32.4經(jīng)營(yíng)風(fēng)險(xiǎn)：權(quán)限設(shè)置置不當(dāng)，導(dǎo)導(dǎo)致對(duì)系統(tǒng)統(tǒng)的非法或或非授權(quán)訪訪問(wèn)。1.2.11建立/變變更用戶帳帳號(hào)和角色色，由申請(qǐng)請(qǐng)人填寫(xiě)EERP系統(tǒng)統(tǒng)用戶權(quán)限限申請(qǐng)表，經(jīng)經(jīng)相關(guān)部門(mén)門(mén)負(fù)責(zé)人審審批后，由由應(yīng)用管理理員在系統(tǒng)統(tǒng)中建立/維護(hù)權(quán)限限，相關(guān)人人員進(jìn)行權(quán)權(quán)限測(cè)試并并確認(rèn)，關(guān)關(guān)鍵用戶對(duì)對(duì)角色矩陣陣實(shí)時(shí)維護(hù)護(hù)并進(jìn)行版版本管理?？偛扛鞑块T(mén)門(mén)分（子）公公司2用戶變更申申請(qǐng)表用戶角色矩矩陣1.11.22.32.4經(jīng)營(yíng)風(fēng)

3、險(xiǎn)：未及時(shí)鎖鎖定或刪除除崗位變動(dòng)動(dòng)、離職人人員帳號(hào)，導(dǎo)導(dǎo)致系統(tǒng)存存在安全隱隱患。1.2.22操作人員員由于崗位位變動(dòng)或離離開(kāi)單位，人人事部門(mén)必必須及時(shí)通通知ERPP支持中心心，ERPP支持中心心應(yīng)用管理理員在系統(tǒng)統(tǒng)中將該用用戶進(jìn)行鎖鎖定或刪除除?？偛扛鞑块T(mén)門(mén)分（子）公公司1用戶變更申申請(qǐng)表人員變動(dòng)清清單1.3用戶戶帳號(hào)管理理1.11.22.32.4經(jīng)營(yíng)風(fēng)險(xiǎn)：未及時(shí)審審核清理帳帳戶，導(dǎo)致致系統(tǒng)存在在安全隱患患。1.3.11應(yīng)用管理理員每季度度在線檢查查用戶權(quán)限限使用情況況，每半年年將系統(tǒng)用用戶清單，提提交相關(guān)部部門(mén)，由關(guān)鍵用戶戶和部門(mén)負(fù)負(fù)責(zé)人進(jìn)行行審核確認(rèn)認(rèn)，應(yīng)用管管理員根據(jù)據(jù)審核結(jié)果果在系統(tǒng)中

4、中進(jìn)行相應(yīng)應(yīng)的處理?？偛扛鞑块T(mén)門(mén)分（子）公公司2用戶審核簽簽字1.11.22.32.4經(jīng)營(yíng)風(fēng)險(xiǎn)：賬戶共享享，導(dǎo)致責(zé)責(zé)任不清，導(dǎo)導(dǎo)致系統(tǒng)存存在安全隱隱患。1.3.22應(yīng)用管理理員在系統(tǒng)統(tǒng)中為每個(gè)個(gè)操作人員員設(shè)置獨(dú)立立的用戶帳帳號(hào)，不能能設(shè)置共享享用戶帳號(hào)號(hào)（查詢(xún)用用戶帳號(hào)除除外）?？偛扛鞑块T(mén)門(mén)分（子）公公司11.11.22.32.4經(jīng)營(yíng)風(fēng)險(xiǎn)：用戶創(chuàng)建建隨意，影影響系統(tǒng)安安全穩(wěn)定或或生產(chǎn)經(jīng)營(yíng)營(yíng)。1.3.33對(duì)于數(shù)據(jù)據(jù)庫(kù)層面用用戶（如系系統(tǒng)接口訪訪問(wèn)用戶等等），相關(guān)關(guān)部門(mén)填寫(xiě)寫(xiě)用戶申請(qǐng)請(qǐng)，由部門(mén)門(mén)負(fù)責(zé)人簽簽字確認(rèn)，經(jīng)經(jīng)信息管理理部門(mén)審批批后，由數(shù)數(shù)據(jù)庫(kù)管理理員創(chuàng)建該該類(lèi)用戶?？偛扛鞑块T(mén)門(mén)分（子）公公

5、司1用戶申請(qǐng)表表1.1經(jīng)營(yíng)風(fēng)險(xiǎn)：密碼規(guī)則則不當(dāng)，強(qiáng)強(qiáng)度不夠，更更新不及時(shí)時(shí)，導(dǎo)致對(duì)對(duì)系統(tǒng)的非非法或非授授權(quán)訪問(wèn)。1.4對(duì)于于系統(tǒng)登錄錄訪問(wèn)，要要設(shè)置合理理的密碼規(guī)規(guī)則，密碼碼長(zhǎng)度6位位以上，采采用數(shù)字和和字符組合合方式，不不能使用弱弱密碼；用用戶密碼33個(gè)月內(nèi)必必須更新一一次；帳號(hào)號(hào)密碼重復(fù)復(fù)輸入5次次錯(cuò)誤則暫暫停登錄或或系統(tǒng)鎖定定；系統(tǒng)自自動(dòng)退出帳帳號(hào)登錄的的最大空閑閑時(shí)間不能能超過(guò)500分鐘?？偛扛鞑块T(mén)門(mén)分（子）公公司21.5相關(guān)關(guān)管理員的的管理1.1經(jīng)營(yíng)風(fēng)險(xiǎn)：系統(tǒng)相關(guān)關(guān)管理員崗崗位設(shè)置不不合理，導(dǎo)導(dǎo)致對(duì)系統(tǒng)統(tǒng)的非法或或非授權(quán)訪訪問(wèn)。1.5.11應(yīng)用管理理員（BAASIS管管理員和權(quán)權(quán)限管

6、理員員）、系統(tǒng)統(tǒng)管理員（操操作系統(tǒng)管管理員、數(shù)數(shù)據(jù)庫(kù)管理理員）、安安全管理員員必須授權(quán)權(quán)管理，遵遵循不相容容崗位分離離原則，不不能具有業(yè)業(yè)務(wù)操作權(quán)權(quán)限及開(kāi)發(fā)發(fā)權(quán)限；信信息管理部部門(mén)負(fù)責(zé)人人應(yīng)至少每每半年對(duì)上上述管理員員的在職情情況進(jìn)行審審查?？偛扛鞑块T(mén)門(mén)分（子）公公司應(yīng)用管理員員系統(tǒng)管理員員安全管理員員2管理員授權(quán)權(quán)文件管理員任職職資格半年年審核記錄錄1.11.3經(jīng)營(yíng)風(fēng)險(xiǎn)：系統(tǒng)運(yùn)行行狀態(tài)監(jiān)控控不到位，不能及時(shí)發(fā)現(xiàn)系統(tǒng)潛在故障或問(wèn)題，影響系統(tǒng)正常運(yùn)行。1.5.22應(yīng)用管理理員負(fù)責(zé)監(jiān)監(jiān)控應(yīng)用系系統(tǒng)運(yùn)行情情況、備份份情況和日日志，并完完成監(jiān)控記記錄；系統(tǒng)統(tǒng)管理員負(fù)負(fù)責(zé)監(jiān)控操操作系統(tǒng)、數(shù)據(jù)庫(kù)及及備份設(shè)

7、備備運(yùn)行情況況和日志，并并完成監(jiān)控控記錄；安安全管理員員每季度對(duì)對(duì)相關(guān)管理理員的操作作日志至少少檢查一次次并記錄檢檢查情況?？偛扛鞑块T(mén)門(mén)分（子）公公司應(yīng)用管理員員系統(tǒng)管理員員安全管理員員2監(jiān)控記錄安全員檢查查記錄1.1經(jīng)營(yíng)風(fēng)險(xiǎn)：生產(chǎn)系統(tǒng)統(tǒng)存在開(kāi)發(fā)發(fā)帳戶、關(guān)關(guān)鍵用戶，影影響系統(tǒng)安安全穩(wěn)定或或生產(chǎn)經(jīng)營(yíng)營(yíng)。1.6生產(chǎn)產(chǎn)系統(tǒng)上線線投入運(yùn)行行后，鎖定定生產(chǎn)系統(tǒng)統(tǒng)中的開(kāi)發(fā)發(fā)人員、關(guān)關(guān)鍵用戶的的帳號(hào)；如如果開(kāi)發(fā)人人員或關(guān)鍵鍵用戶必須須在生產(chǎn)系系統(tǒng)中診斷斷問(wèn)題，需需填寫(xiě)ERRP系統(tǒng)用用戶權(quán)限申申請(qǐng)表（提提出申請(qǐng)帳帳號(hào)目的和和期限），由由相關(guān)部門(mén)門(mén)負(fù)責(zé)人簽簽字確認(rèn)后后由應(yīng)用管管理員進(jìn)行行維護(hù)，完完成問(wèn)題診診斷任

8、務(wù)后后鎖定該帳帳號(hào)?？偛扛鞑块T(mén)門(mén)分（子）公公司開(kāi)發(fā)人員或或關(guān)鍵用戶戶應(yīng)用管理員員2開(kāi)發(fā)人員及及關(guān)鍵用戶戶清單1.7預(yù)置置帳號(hào)的管管理1.1經(jīng)營(yíng)風(fēng)險(xiǎn)：服務(wù)器根根帳號(hào)的密密碼管理不不善，導(dǎo)致致對(duì)系統(tǒng)的的非法或非非授權(quán)訪問(wèn)問(wèn)。1.7.11系統(tǒng)管理理員在操作作系統(tǒng)安裝裝完成后對(duì)對(duì)服務(wù)器根根帳號(hào)（rroot）密密碼進(jìn)行修修改，并至至少三個(gè)月月更換一次次密碼，密密碼以安全全方式妥善善保存。總部各部門(mén)門(mén)分（子）公公司1ROOT帳帳號(hào)密碼修修改記錄1.1經(jīng)營(yíng)風(fēng)險(xiǎn)：數(shù)據(jù)庫(kù)預(yù)置置帳號(hào)的密密碼管理不不善，導(dǎo)致致對(duì)系統(tǒng)的的非法或非非授權(quán)訪問(wèn)問(wèn)。1.7.22系統(tǒng)管理理員在數(shù)據(jù)據(jù)庫(kù)和SAAP軟件安安裝好后，需用saapd

9、baa的工具修修改SAPP系統(tǒng)預(yù)置置帳號(hào)（SSAPR33，SYSS，SYSSTEM）的的缺省密碼碼，并至少少三個(gè)月更更換一次密密碼，密碼碼以安全方方式妥善保保存?？偛扛鞑块T(mén)門(mén)分（子）公公司1SAPR33、SYSS、SYSSTEM帳帳號(hào)密碼修修改記錄1.1經(jīng)營(yíng)風(fēng)險(xiǎn)：SAP系系統(tǒng)預(yù)置帳帳號(hào)的密碼碼管理不善善，導(dǎo)致對(duì)對(duì)系統(tǒng)的非非法或非授授權(quán)訪問(wèn)。1.7.33應(yīng)用管理理員在SAAP軟件安安裝好每次次創(chuàng)建Cllientt后，須修改SSAP系統(tǒng)統(tǒng)預(yù)置帳號(hào)號(hào)（SAPP*/DDDIC）缺缺省密碼，密密碼以安全全方式妥善善保存。總部各部門(mén)門(mén)分（子）公公司1SAP*、DDICC帳號(hào)密碼碼修改記錄錄1.1經(jīng)營(yíng)風(fēng)險(xiǎn)：

10、業(yè)務(wù)支持持人員的權(quán)權(quán)限分配不不當(dāng)，影響響系統(tǒng)安全全穩(wěn)定或生生產(chǎn)經(jīng)營(yíng)。1.8業(yè)務(wù)務(wù)支持人員員支持權(quán)限限的新建、變更、刪刪除、鎖定定需經(jīng)ERRP支持中中心負(fù)責(zé)人人審核簽字字后由應(yīng)用用管理員在在系統(tǒng)中進(jìn)進(jìn)行分配，業(yè)業(yè)務(wù)支持人人員在生產(chǎn)產(chǎn)系統(tǒng)中只只有相應(yīng)模模塊的顯示示、跟蹤權(quán)權(quán)限，不能能分配業(yè)務(wù)務(wù)操作權(quán)限限、后臺(tái)配配置權(quán)限。總部各部門(mén)門(mén)分（子）公公司業(yè)務(wù)支持人人員應(yīng)用管理員員3業(yè)務(wù)支持人人員名單1.1經(jīng)營(yíng)風(fēng)險(xiǎn)：超級(jí)用戶戶權(quán)限管理理不當(dāng)，影影響系統(tǒng)安安全穩(wěn)定或或生產(chǎn)經(jīng)營(yíng)營(yíng)。1.9超級(jí)級(jí)用戶權(quán)限限必須嚴(yán)格格控制，申申請(qǐng)時(shí)必須須闡明使用用原因，并并經(jīng)ERPP支持中心心負(fù)責(zé)人審審核簽字后后，應(yīng)用管管理員才能能

11、在系統(tǒng)中中進(jìn)行分配配，使用后后要及時(shí)將將權(quán)限回收收?？偛扛鞑块T(mén)門(mén)分（子）公公司2超級(jí)用戶申申請(qǐng)表1.10第第三方人員員管理1.12.2經(jīng)營(yíng)風(fēng)險(xiǎn)：與第三方合合作單位未未簽訂安全全保密協(xié)議議，造成系統(tǒng)統(tǒng)泄密或受受到非法訪訪問(wèn)。1.10.1針對(duì)第第三方合作作單位需要要簽訂安全全保密協(xié)議議?？偛扛鞑块T(mén)門(mén)分（子）公公司1保密協(xié)議（合合同）1.12.2經(jīng)營(yíng)風(fēng)險(xiǎn)：對(duì)第三方合合作單位人人員管理不不到位，影響系統(tǒng)統(tǒng)安全穩(wěn)定定或生產(chǎn)經(jīng)經(jīng)營(yíng)。1.10.2第三方方人員訪問(wèn)問(wèn)系統(tǒng)，需需填寫(xiě)第三三方人員帳帳號(hào)申請(qǐng)表表（需注明明使用期限限和權(quán)限），經(jīng)經(jīng)需求部門(mén)門(mén)負(fù)責(zé)人、信息管理理部門(mén)（責(zé)責(zé)任處（科科）室）負(fù)負(fù)責(zé)人審批批通過(guò)

12、后，由由應(yīng)用管理理員根據(jù)申申請(qǐng)表在系系統(tǒng)中建立立其帳號(hào)。第三方人員員撤離后，其其帳號(hào)需在在系統(tǒng)中進(jìn)進(jìn)行刪除或或鎖定，如如確需訪問(wèn)問(wèn)系統(tǒng)診斷斷問(wèn)題，需需按照用戶戶權(quán)限維護(hù)護(hù)程序經(jīng)審審批后方可可解鎖/創(chuàng)創(chuàng)建;維護(hù)護(hù)完畢后應(yīng)應(yīng)及時(shí)鎖定定或刪除?？偛扛鞑块T(mén)門(mén)分（子）公公司2第三方人員員清單用戶變更申申請(qǐng)表2.程序變變更1.11.21.32.12.32.4經(jīng)營(yíng)風(fēng)險(xiǎn)：規(guī)章制度度不健全，導(dǎo)導(dǎo)致對(duì)系統(tǒng)統(tǒng)管理的失失控。2.1總部部各部門(mén)、分（子）公公司依據(jù)信息系統(tǒng)統(tǒng)應(yīng)用管理理辦法，制制定程序變變更管理制制度,主要要包括客戶戶化開(kāi)發(fā)變變更管理、系統(tǒng)配置置變更管理理、軟件版版本變更管管理等內(nèi)容容。總部各部門(mén)門(mén)分（子

13、）公公司2程序變更管管理制度1.10.32.10.42.2客戶戶化開(kāi)發(fā)變變更管理1.11.32.4經(jīng)營(yíng)風(fēng)險(xiǎn)：客戶化開(kāi)開(kāi)發(fā)的需求求不合理，導(dǎo)致系統(tǒng)故障，不能滿足業(yè)務(wù)需求。合規(guī)風(fēng)險(xiǎn)：重要業(yè)務(wù)務(wù)報(bào)表的編編制不符合合規(guī)定，導(dǎo)導(dǎo)致股份公公司聲譽(yù)受受到損害及及受相關(guān)機(jī)機(jī)構(gòu)處罰。2.2.11對(duì)于功能能增強(qiáng)/表表單/報(bào)表表/系統(tǒng)接接口等客戶戶化開(kāi)發(fā)的的新需求或或者對(duì)已有有客戶化開(kāi)開(kāi)發(fā)的變更更，由需求求變更部門(mén)門(mén)填寫(xiě)系統(tǒng)統(tǒng)開(kāi)發(fā)變更更申請(qǐng)表（簡(jiǎn)簡(jiǎn)要描述功功能需求和和功能說(shuō)明明），經(jīng)提提報(bào)單位的的需求變更更部門(mén)、信信息管理部部門(mén)/ERRP支持中中心負(fù)責(zé)人人審核后報(bào)報(bào)信息系統(tǒng)統(tǒng)管理部審審批。總部各部門(mén)門(mén)分（子）公公司

14、2客戶化開(kāi)發(fā)發(fā)變更申請(qǐng)請(qǐng)表1.11.32.4經(jīng)營(yíng)風(fēng)險(xiǎn)：變更管理理不規(guī)范，客客戶化開(kāi)發(fā)發(fā)、測(cè)試和和傳輸管理理不完善，導(dǎo)導(dǎo)致系統(tǒng)故故障或不能滿足足業(yè)務(wù)需求求。2.2.22信息系統(tǒng)統(tǒng)管理部組組織人員根根據(jù)審批后后的客戶化化開(kāi)發(fā)變更更需求在開(kāi)開(kāi)發(fā)環(huán)境中中進(jìn)行開(kāi)發(fā)發(fā)，完成開(kāi)開(kāi)發(fā)后由提提報(bào)單位的的業(yè)務(wù)人員員在測(cè)試環(huán)環(huán)境中進(jìn)行行測(cè)試，針針對(duì)變更部部分編制測(cè)測(cè)試文檔（包包括測(cè)試場(chǎng)場(chǎng)景和測(cè)試試結(jié)果），經(jīng)經(jīng)業(yè)務(wù)人員員及部門(mén)負(fù)負(fù)責(zé)人簽字字確認(rèn)后，由由提報(bào)單位位的應(yīng)用管管理員按照照傳輸管理理要求傳入入生產(chǎn)系統(tǒng)統(tǒng)。總部各部門(mén)門(mén)分（子）公公司開(kāi)發(fā)人員業(yè)業(yè)務(wù)人員4開(kāi)發(fā)變更測(cè)測(cè)試文檔1.11.32.4經(jīng)營(yíng)風(fēng)險(xiǎn)：客戶化開(kāi)開(kāi)發(fā)變

15、更記記錄不完整整，導(dǎo)致維維護(hù)困難。2.2.33提報(bào)單位位ERP支支持中心組組織需求變變更部門(mén)對(duì)對(duì)客戶化開(kāi)開(kāi)發(fā)變更內(nèi)內(nèi)容進(jìn)行記記錄，包括括更新客戶戶化功能說(shuō)說(shuō)明文檔、技術(shù)說(shuō)明明文檔、測(cè)測(cè)試文檔、用戶手冊(cè)冊(cè)、管理制制度、版本本號(hào)管理等等，由ERRP支持中中心歸檔?？偛扛鞑块T(mén)門(mén)分（子）公公司2相關(guān)開(kāi)發(fā)文文檔2.3系統(tǒng)統(tǒng)配置變更更管理1.11.21.32.4經(jīng)營(yíng)風(fēng)險(xiǎn)：系統(tǒng)配置置變更管理理不完善，導(dǎo)致系統(tǒng)統(tǒng)故障或不不能滿足業(yè)業(yè)務(wù)需求。2.3.11現(xiàn)有系統(tǒng)統(tǒng)配置需進(jìn)進(jìn)行調(diào)整，應(yīng)應(yīng)由需求部部門(mén)填寫(xiě)“系統(tǒng)配置置變更申請(qǐng)請(qǐng)表”，經(jīng)部門(mén)門(mén)負(fù)責(zé)人簽簽字確認(rèn)后后提交信息息管理部門(mén)門(mén)審核。與與ERP推推廣模板有有差異的

16、或或者組織架架構(gòu)、業(yè)務(wù)務(wù)流程發(fā)生生變化的變變更，以及及新增功能能模塊，需需信息系統(tǒng)統(tǒng)管理部門(mén)門(mén)負(fù)責(zé)人審審批并組織織實(shí)施；其其他系統(tǒng)配配置變更,由信息管管理部門(mén)授授權(quán)支持人人員或第三三方人員根根據(jù)審批后后的變更需需求進(jìn)行業(yè)業(yè)務(wù)流程設(shè)設(shè)計(jì)，經(jīng)相相關(guān)業(yè)務(wù)部部門(mén)負(fù)責(zé)人人簽字確認(rèn)認(rèn)后在開(kāi)發(fā)發(fā)環(huán)境進(jìn)行行配置修改改，由被授授權(quán)人員填填寫(xiě)系統(tǒng)配配置變更記記錄，并將將變更記錄錄報(bào)總部EERP支持持中心備案案?？偛扛鞑块T(mén)門(mén)分（子）公公司4配置變更申申請(qǐng)表業(yè)務(wù)流程圖圖與流程描描述1.11.21.32.4經(jīng)營(yíng)風(fēng)險(xiǎn)：系統(tǒng)配置置變更的測(cè)測(cè)試、傳輸輸不完善，導(dǎo)致系統(tǒng)故障或不能滿足業(yè)務(wù)需求。2.3.22凡涉及業(yè)業(yè)務(wù)流程、數(shù)據(jù)

17、庫(kù)變變動(dòng)的配置置變更，由由提報(bào)單位位的業(yè)務(wù)人人員在測(cè)試試環(huán)境中進(jìn)進(jìn)行測(cè)試，針針對(duì)變更部部分編制測(cè)測(cè)試文檔（包包括測(cè)試場(chǎng)場(chǎng)景和測(cè)試試結(jié)果），經(jīng)經(jīng)業(yè)務(wù)部門(mén)門(mén)負(fù)責(zé)人簽簽字確認(rèn)后后，由提報(bào)報(bào)單位的應(yīng)應(yīng)用管理員員按照傳輸輸管理要求求傳入生產(chǎn)產(chǎn)系統(tǒng)?？偛扛鞑块T(mén)門(mén)分（子）公公司業(yè)務(wù)人員應(yīng)用管理員員4配置變更測(cè)測(cè)試文檔1.12.1經(jīng)營(yíng)風(fēng)險(xiǎn)：培訓(xùn)工作作不到位，導(dǎo)導(dǎo)致用戶操操作不熟練練，無(wú)法保保證業(yè)務(wù)處處理的正確確性。2.3.33系統(tǒng)配置置變更后由由ERP支支持中心組組織相關(guān)人人員及時(shí)修修改配置文文檔，并根根據(jù)需要進(jìn)進(jìn)行業(yè)務(wù)人人員培訓(xùn)?？偛扛鞑块T(mén)門(mén)分（子）公公司2配置文檔用戶手冊(cè)培訓(xùn)記錄2.4軟件件補(bǔ)丁和版版本變

18、更管管理1.12.1經(jīng)營(yíng)風(fēng)險(xiǎn)：隨意升級(jí)級(jí)軟件補(bǔ)丁丁或版本，影影響系統(tǒng)安安全穩(wěn)定或或生產(chǎn)經(jīng)營(yíng)營(yíng)。合規(guī)風(fēng)險(xiǎn)：侵犯知識(shí)識(shí)產(chǎn)權(quán)，導(dǎo)導(dǎo)致訴訟及及股份公司司聲譽(yù)受到到損害。2.4.11針對(duì)軟件件補(bǔ)丁/版版本升級(jí)，信信息管理部部門(mén)提出申申請(qǐng)，由信信息系統(tǒng)管管理部負(fù)責(zé)責(zé)人審批后后統(tǒng)一組織織實(shí)施?？偛扛鞑块T(mén)門(mén)分（子）公公司1軟件版本升升級(jí)申請(qǐng)表表1.11.21.32.4經(jīng)營(yíng)風(fēng)險(xiǎn)：補(bǔ)丁/版版本升級(jí)未未經(jīng)測(cè)試，導(dǎo)致系統(tǒng)故障或不能滿足業(yè)務(wù)需求。2.4.22由信息管管理部門(mén)/ERP支支持中心根根據(jù)審批后后的軟件變變更，組織織支持人員員、相關(guān)部部門(mén)關(guān)鍵用用戶提出測(cè)測(cè)試流程清清單，在測(cè)測(cè)試環(huán)境進(jìn)進(jìn)行系統(tǒng)功功能的全面面測(cè)試，

19、測(cè)測(cè)試人員需需在測(cè)試流流程清單上上簽字確認(rèn)認(rèn)，并填寫(xiě)寫(xiě)測(cè)試記錄錄。總部各部門(mén)門(mén)分（子）公公司3流程測(cè)試清清單1.11.21.3經(jīng)營(yíng)風(fēng)險(xiǎn)：測(cè)試內(nèi)容容不全面，導(dǎo)導(dǎo)致補(bǔ)丁/版本升級(jí)級(jí)后系統(tǒng)故故障或不能能滿足業(yè)務(wù)務(wù)需求2.4.33ERP支支持中心負(fù)負(fù)責(zé)人檢查查測(cè)試流程程清單是否否完整，并并簽字確認(rèn)認(rèn)，由應(yīng)用用管理員根根據(jù)補(bǔ)丁/版本升級(jí)級(jí)方案在生生產(chǎn)系統(tǒng)完完成補(bǔ)丁安安裝或者版版本升級(jí)工工作，并進(jìn)進(jìn)行“軟件補(bǔ)丁丁/版本升升級(jí)”記錄。總部各部門(mén)門(mén)分（子）公公司23.程序開(kāi)開(kāi)發(fā)1.21.32.12.22.32.4經(jīng)營(yíng)風(fēng)險(xiǎn)：規(guī)章制度度不健全，導(dǎo)導(dǎo)致對(duì)系統(tǒng)統(tǒng)管理的失失控。3.1總部部各部門(mén)、分（子）公公司依據(jù)信息

20、系統(tǒng)統(tǒng)應(yīng)用管理理辦法，制制定程序開(kāi)開(kāi)發(fā)管理制制度,主要要包括業(yè)務(wù)務(wù)流程設(shè)計(jì)計(jì)管理、客客戶化開(kāi)發(fā)發(fā)和系統(tǒng)配配置管理等等內(nèi)容。總部各部門(mén)門(mén)分（子）公公司2程序開(kāi)發(fā)管管理制度或或規(guī)定1.10.32.10.41.32.12.2經(jīng)營(yíng)風(fēng)險(xiǎn)：業(yè)務(wù)流程程不規(guī)范、設(shè)計(jì)不合合理，導(dǎo)致致系統(tǒng)不能能滿足業(yè)務(wù)務(wù)需求。3.2信息息管理部門(mén)門(mén)負(fù)責(zé)組建建項(xiàng)目組，包包括承擔(dān)系系統(tǒng)實(shí)施的的人員（以以下簡(jiǎn)稱(chēng)咨咨詢(xún)顧問(wèn)）和和關(guān)鍵用戶戶。項(xiàng)目組組根據(jù)ERRP項(xiàng)目可可行性研究究報(bào)告和批批復(fù)進(jìn)行業(yè)業(yè)務(wù)流程設(shè)設(shè)計(jì)，并經(jīng)經(jīng)關(guān)鍵用戶戶、業(yè)務(wù)部部門(mén)負(fù)責(zé)人人簽字確認(rèn)認(rèn)?？偛扛鞑块T(mén)門(mén)分（子）公公司4業(yè)務(wù)流程圖圖與流程描描述1.11.21.32.4經(jīng)營(yíng)

21、風(fēng)險(xiǎn)：客戶化開(kāi)開(kāi)發(fā)的需求求不合理，導(dǎo)導(dǎo)致系統(tǒng)故故障或不能能滿足業(yè)務(wù)務(wù)需求。3.3對(duì)于于功能增強(qiáng)強(qiáng)/表單/報(bào)表/系系統(tǒng)接口等等客戶化開(kāi)開(kāi)發(fā)，由業(yè)業(yè)務(wù)部門(mén)提提出需求，并并編制開(kāi)發(fā)發(fā)需求功能能說(shuō)明書(shū)，其其中需描述述訪問(wèn)權(quán)限限要求。項(xiàng)項(xiàng)目組根據(jù)據(jù)功能說(shuō)明明書(shū)編制客客戶化開(kāi)發(fā)發(fā)清單，提提交相關(guān)部部門(mén)負(fù)責(zé)人人簽字確認(rèn)認(rèn)?？偛扛鞑块T(mén)門(mén)分（子）公公司2客戶化開(kāi)發(fā)發(fā)清單；開(kāi)開(kāi)發(fā)需求功功能說(shuō)明書(shū)書(shū)1.11.21.32.4經(jīng)營(yíng)風(fēng)險(xiǎn)：程序開(kāi)發(fā)不規(guī)范范，導(dǎo)致系系統(tǒng)故障或或不能滿足足業(yè)務(wù)需求求。3.4開(kāi)發(fā)發(fā)人員根據(jù)據(jù)開(kāi)發(fā)需求求功能說(shuō)明明書(shū)在開(kāi)發(fā)發(fā)環(huán)境中完完成開(kāi)發(fā)工工作，將開(kāi)開(kāi)發(fā)結(jié)果提提交業(yè)務(wù)人人員進(jìn)行測(cè)測(cè)試，并經(jīng)經(jīng)業(yè)務(wù)人

22、員員及部門(mén)負(fù)負(fù)責(zé)人簽字字確認(rèn)。總部各部門(mén)門(mén)分（子）公公司3開(kāi)發(fā)測(cè)試記記錄單1.11.21.32.4經(jīng)營(yíng)風(fēng)險(xiǎn)：系統(tǒng)配置置不規(guī)范，導(dǎo)致系統(tǒng)故障或不能滿足業(yè)務(wù)需求。3.5咨詢(xún)?cè)冾檰?wèn)依據(jù)據(jù)簽字確認(rèn)認(rèn)的業(yè)務(wù)流流程設(shè)計(jì)進(jìn)進(jìn)行系統(tǒng)配配置，并編編寫(xiě)配置文文檔；關(guān)鍵鍵用戶對(duì)配配置文檔進(jìn)進(jìn)行審核并并簽字確認(rèn)認(rèn)?？偛扛鞑块T(mén)門(mén)分（子）公公司3配置文檔3.6系統(tǒng)統(tǒng)配置測(cè)試試管理1.11.21.32.4經(jīng)營(yíng)風(fēng)險(xiǎn)：集成測(cè)試試不充分，導(dǎo)導(dǎo)致系統(tǒng)故故障或不能能滿足業(yè)務(wù)務(wù)需求。3.6.11系統(tǒng)配置置完成后，由由咨詢(xún)顧問(wèn)問(wèn)和關(guān)鍵用用戶在測(cè)試試系統(tǒng)進(jìn)行行集成測(cè)試試，記錄測(cè)測(cè)試過(guò)程，并并對(duì)集成測(cè)測(cè)試記錄簽簽字確認(rèn)。總部各部門(mén)門(mén)分（子）

23、公公司2集成測(cè)試文文檔1.11.21.32.4經(jīng)營(yíng)風(fēng)險(xiǎn)：用戶測(cè)試試不充分，導(dǎo)導(dǎo)致系統(tǒng)故故障或不能能滿足業(yè)務(wù)務(wù)需求。3.6.22集成測(cè)試試完成后，由由最終用戶戶在測(cè)試系系統(tǒng)進(jìn)行用用戶接受測(cè)測(cè)試，記錄錄測(cè)試過(guò)程程；并對(duì)接接受測(cè)試記記錄簽字確確認(rèn)?？偛扛鞑块T(mén)門(mén)分（子）公公司2用戶接受測(cè)測(cè)試文檔3.7開(kāi)發(fā)發(fā)測(cè)試環(huán)境境和傳輸管管理1.11.21.32.4經(jīng)營(yíng)風(fēng)險(xiǎn)：開(kāi)發(fā)技術(shù)架架構(gòu)不合理理或傳輸缺缺乏控制，影影響系統(tǒng)安安全穩(wěn)定或或生產(chǎn)經(jīng)營(yíng)營(yíng)。3.7.11客戶化開(kāi)開(kāi)發(fā)、系統(tǒng)統(tǒng)配置、系系統(tǒng)變更工工作遵循“開(kāi)發(fā)系統(tǒng)統(tǒng)至測(cè)試系系統(tǒng)、測(cè)試試系統(tǒng)至生生產(chǎn)系統(tǒng)”的技術(shù)架架構(gòu)完成，并并按照傳輸輸管理規(guī)范范進(jìn)行傳輸輸?？偛扛?/p>

24、部門(mén)門(mén)分（子）公公司1傳輸請(qǐng)求申申請(qǐng)表1.1經(jīng)營(yíng)風(fēng)險(xiǎn)：傳輸管理理不完善，導(dǎo)導(dǎo)致系統(tǒng)故故障或不能能滿足業(yè)務(wù)務(wù)需求。3.7.22測(cè)試系統(tǒng)統(tǒng)和生產(chǎn)系系統(tǒng)上生成成的傳輸請(qǐng)請(qǐng)求需經(jīng)信信息系統(tǒng)管管理部相關(guān)關(guān)處室負(fù)責(zé)責(zé)人審批，并并報(bào)總部EERP支持持中心備案案?？偛扛鞑块T(mén)門(mén)分（子）公公司2傳輸請(qǐng)求申申請(qǐng)表3.8用戶戶操作手冊(cè)冊(cè)編制和培培訓(xùn)1.11.21.3經(jīng)營(yíng)風(fēng)險(xiǎn)：用戶手冊(cè)冊(cè)更新不及及時(shí)，導(dǎo)致致培訓(xùn)不到到位，影響響生產(chǎn)經(jīng)營(yíng)營(yíng)。3.8.11咨詢(xún)顧問(wèn)問(wèn)及關(guān)鍵用用戶按照流流程設(shè)計(jì)和和系統(tǒng)配置置編寫(xiě)并及及時(shí)更新用用戶操作手手冊(cè)?？偛扛鞑块T(mén)門(mén)分（子）公公司1用戶操作手手冊(cè)1.11.21.3經(jīng)營(yíng)風(fēng)險(xiǎn)：培訓(xùn)工作作不到位，

25、導(dǎo)導(dǎo)致用戶操操作不熟練練，無(wú)法保保證業(yè)務(wù)處處理的正確確性。3.8.22信息管理理部門(mén)組織織培訓(xùn)及考考核，業(yè)務(wù)務(wù)人員經(jīng)考考核合格后后方可上崗崗?？偛扛鞑块T(mén)門(mén)分（子）公公司2培訓(xùn)及考核核記錄3.9數(shù)據(jù)據(jù)轉(zhuǎn)換管理理1.22.32.4經(jīng)營(yíng)風(fēng)險(xiǎn)：數(shù)據(jù)收集集和整理不不嚴(yán)謹(jǐn)，導(dǎo)導(dǎo)致系統(tǒng)存存在大量垃垃圾數(shù)據(jù)和和系統(tǒng)數(shù)據(jù)據(jù)失真。合規(guī)風(fēng)險(xiǎn)：系統(tǒng)數(shù)據(jù)據(jù)的收集、提供、使使用、轉(zhuǎn)讓讓違反國(guó)家家法律法規(guī)規(guī)及股份公公司內(nèi)部規(guī)規(guī)章制度等等，導(dǎo)致系系統(tǒng)無(wú)法正正常運(yùn)行。3.9.11業(yè)務(wù)部門(mén)門(mén)組織人員員按照數(shù)據(jù)據(jù)收集模板板收集和整整理相關(guān)業(yè)業(yè)務(wù)數(shù)據(jù)，并并進(jìn)行盤(pán)點(diǎn)點(diǎn)；相關(guān)部部門(mén)負(fù)責(zé)人人須審核收收集的數(shù)據(jù)據(jù)，并在“數(shù)據(jù)簽字字清單”上簽

26、字確確認(rèn)?？偛扛鞑块T(mén)門(mén)分（子）公公司收集人員審審核人員1數(shù)據(jù)簽字清清單1.22.32.4經(jīng)營(yíng)風(fēng)險(xiǎn)：未對(duì)進(jìn)入入系統(tǒng)數(shù)據(jù)據(jù)核對(duì)，導(dǎo)導(dǎo)致系統(tǒng)存存在大量垃垃圾數(shù)據(jù)和和系統(tǒng)數(shù)據(jù)據(jù)失真。合規(guī)風(fēng)險(xiǎn)：系統(tǒng)數(shù)據(jù)據(jù)的收集、提供、使使用、轉(zhuǎn)讓讓違反國(guó)家家法律法規(guī)規(guī)及股份公公司內(nèi)部規(guī)規(guī)章制度等等，導(dǎo)致系系統(tǒng)無(wú)法正正常運(yùn)行。3.9.22業(yè)務(wù)人員員對(duì)導(dǎo)入/補(bǔ)錄入系系統(tǒng)的數(shù)據(jù)據(jù)進(jìn)行核對(duì)對(duì)，核對(duì)結(jié)結(jié)果需經(jīng)部部門(mén)負(fù)責(zé)人人簽字確認(rèn)認(rèn)。總部各部門(mén)門(mén)分（子）公公司操作人員審審核人員1數(shù)據(jù)導(dǎo)入清清單3.10系系統(tǒng)切換和和月結(jié)差異異分析1.1經(jīng)營(yíng)風(fēng)險(xiǎn)：系統(tǒng)切換換方案未經(jīng)經(jīng)確認(rèn)，違違背系統(tǒng)規(guī)規(guī)范管理。3.10.1咨詢(xún)顧顧問(wèn)制定系系統(tǒng)切換方

27、方案，需經(jīng)經(jīng)項(xiàng)目組負(fù)負(fù)責(zé)人簽字字確認(rèn)。總部各部門(mén)門(mén)分（子）公公司1切換方案1.1經(jīng)營(yíng)風(fēng)險(xiǎn)：系統(tǒng)上線線手續(xù)不全全，違背系系統(tǒng)規(guī)范管管理。3.10.2項(xiàng)目組組根據(jù)“ERP系系統(tǒng)上線申申請(qǐng)標(biāo)準(zhǔn)”編制上線線申請(qǐng)報(bào)告告，并提交交總部ERRP項(xiàng)目管管理組審核核。總部各部門(mén)門(mén)分（子）公公司1ERP系統(tǒng)統(tǒng)上線申請(qǐng)請(qǐng)報(bào)告1.21.32.4經(jīng)營(yíng)風(fēng)險(xiǎn)：差異分析析報(bào)告不準(zhǔn)準(zhǔn)確，導(dǎo)致致系統(tǒng)數(shù)據(jù)據(jù)錯(cuò)誤無(wú)法法糾正，影影響系統(tǒng)正正確性。3.10.3相關(guān)部部門(mén)對(duì)系統(tǒng)統(tǒng)并行期間間月結(jié)差異異進(jìn)行分析析，編制差差異分析報(bào)報(bào)告，并提交總總部ERPP項(xiàng)目管理理組審核批批復(fù)。總部各部門(mén)門(mén)分（子）公公司2月結(jié)差異報(bào)報(bào)告4.系統(tǒng)運(yùn)運(yùn)行1.11

28、.3經(jīng)營(yíng)風(fēng)險(xiǎn)：規(guī)章制度度不健全，導(dǎo)導(dǎo)致對(duì)系統(tǒng)統(tǒng)管理的失失控。4.1總部部各部門(mén)、分（子）公公司依據(jù)信息系統(tǒng)統(tǒng)應(yīng)用管理理辦法，制制定系統(tǒng)運(yùn)運(yùn)行管理制制度,主要要包括系統(tǒng)統(tǒng)監(jiān)控機(jī)制制、數(shù)據(jù)導(dǎo)導(dǎo)入管理、后臺(tái)作業(yè)業(yè)管理、數(shù)數(shù)據(jù)備份與與災(zāi)難恢復(fù)復(fù)策略、支支持體系、應(yīng)急預(yù)案案等內(nèi)容?？偛扛鞑块T(mén)門(mén)分（子）公公司2系統(tǒng)運(yùn)行管管理制度或或規(guī)定1.10.32.10.44.2批導(dǎo)導(dǎo)入數(shù)據(jù)管管理1.11.32.3經(jīng)營(yíng)風(fēng)險(xiǎn)：導(dǎo)入數(shù)據(jù)據(jù)未經(jīng)檢查查審核，導(dǎo)導(dǎo)致系統(tǒng)數(shù)數(shù)據(jù)失真。合規(guī)風(fēng)險(xiǎn)：系統(tǒng)數(shù)據(jù)據(jù)的收集、提供、使使用、轉(zhuǎn)讓讓違反國(guó)家家法律法規(guī)規(guī)及股份公公司內(nèi)部規(guī)規(guī)章制度等等，導(dǎo)致系系統(tǒng)無(wú)法正正常運(yùn)行。4.2.11外部數(shù)據(jù)據(jù)導(dǎo)

29、入前，業(yè)業(yè)務(wù)部門(mén)負(fù)負(fù)責(zé)人需對(duì)對(duì)外部數(shù)據(jù)據(jù)審核簽字字，業(yè)務(wù)人人員對(duì)數(shù)據(jù)據(jù)格式進(jìn)行行檢查；保保留導(dǎo)入的的外部數(shù)據(jù)據(jù)以備復(fù)查查（財(cái)務(wù)數(shù)數(shù)據(jù)至少保保留至年結(jié)結(jié)后，業(yè)務(wù)務(wù)數(shù)據(jù)至少少保留至月月結(jié)后）?？偛扛鞑块T(mén)門(mén)分（子）公公司1數(shù)據(jù)導(dǎo)入申申請(qǐng)表1.11.32.3經(jīng)營(yíng)風(fēng)險(xiǎn)：導(dǎo)入數(shù)據(jù)據(jù)模板未經(jīng)檢查審核，導(dǎo)致系統(tǒng)統(tǒng)數(shù)據(jù)紊亂亂。合規(guī)風(fēng)險(xiǎn)：系統(tǒng)數(shù)據(jù)據(jù)的收集、提供、使使用、轉(zhuǎn)讓讓違反國(guó)家家法律法規(guī)規(guī)及股份公公司內(nèi)部規(guī)規(guī)章制度等等，導(dǎo)致系系統(tǒng)無(wú)法正正常運(yùn)行。4.2.22對(duì)周期性性導(dǎo)入的外外部數(shù)據(jù)的的數(shù)據(jù)模板板，需經(jīng)相相關(guān)部門(mén)負(fù)負(fù)責(zé)人審核核簽字，業(yè)業(yè)務(wù)人員在在數(shù)據(jù)導(dǎo)入入系統(tǒng)前需需對(duì)數(shù)據(jù)的的格式進(jìn)行行檢查?？偛扛鞑块T(mén)門(mén)分（子）公公司1數(shù)據(jù)模版審審批簽字4.3后臺(tái)臺(tái)作業(yè)管理理1.11.32.3經(jīng)營(yíng)風(fēng)險(xiǎn)：后臺(tái)作業(yè)業(yè)批處理計(jì)計(jì)劃不合理理，影響系系統(tǒng)正常運(yùn)運(yùn)行。4.3.11信息管理理部門(mén)會(huì)同同相關(guān)部門(mén)門(mén)制定后臺(tái)臺(tái)作業(yè)批處處理計(jì)劃，相相關(guān)責(zé)任人人簽字確認(rèn)認(rèn)，由應(yīng)用用管理員執(zhí)執(zhí)行后臺(tái)作作業(yè)批處理理?？偛扛鞑块T(mén)門(mén)分（子）公公司1后臺(tái)作業(yè)申申請(qǐng)表1.1經(jīng)營(yíng)風(fēng)險(xiǎn)：系統(tǒng)運(yùn)行行狀態(tài)監(jiān)控控不到位，系系