业务流程步骤与控制点模板.doc

11.3 ERP系统IT通常性控制步骤① 一、 业务目标 1 经营目标 1.1 确保系统长久稳定、安全、高效运行。 1.2 确保系统数据正确性、实时性和完整性。 1.3 确保业务步骤通流效率，为企业经营和发展提供技术支撑。 2 合规目标 2.1 遵守保护知识产权相关法律法规，使用正当软件。 2.2 信息技术协议符合协议法等股份企业制度、国家法律和法规。 2.3 系统数据搜集、提供、使用和转让符合股份企业相关制度和国家安全、保护知识产权、协议法等法律、法规要求。 2.4 业务系统生成报表、合并报表编制过程真实性、完整性、可靠性符合国家要求及上市地监管机构要求。 二、 业务风险 1 经营风险 ①本步骤适适用于股份企业ERP单轨运行企业ERP系统IT通常性控制。 1.1 规章制度不健全，造成系统管理失控。 1.2 技术方案不合理，业务步骤不规范，系统功效存在 问题，造成系统不能满足业务需求。 1.3 系统登录访问机制不健全、用户权限管理不规范等， 造成对系统非法或非授权访问。 1.4 数据搜集、转换和清理管理不完善，造成系统存在大量垃圾数据和系统数据失真。 1.5 变更管理不规范，用户化开发、测试和传输管理不完善，造成系统故障、影响系统正常运作或系统功效不能满足业务需求。 1.6 系统运行状态监控不到位，系统潜在故障处理不立即，支持体系不健全，影响系统正常运行。 1.7 上线方案不合理，造成系统上线失败。 1.8 上线月结差异分析汇报不正确，造成系统数据错误无法纠正，影响系统正确性。 1.9 备份策略和备份方案不完善，造成数据丢失或数据、系统无法恢复。 1.10 培训工作不到位，造成用户操作不熟练，无法确保业务处理正确性。 1.11 没有建立完善应急预案，影响到业务处理。 2 合规风险 2.1 侵犯知识产权，造成诉讼及股份企业声誉受到损害。 2.2 系统数据搜集、提供、使用、转让违反国家法律法规及股份企业内部规章制度等，造成系统无法正常运行。 2.3 关键业务报表编制不符合要求，造成股份企业声誉受到损害及受相关机构处罚。 三、 业务步骤步骤和控制点 1 程序和数据访问 1.1 总部各部门、分（子）企业依据《中国石油化工股份管理信息系统应用管理措施（试行）》（以下简称《信息系统应用管理措施》）等，制订程序和数据访问管理制度,关键包含用户权限管理、用户帐号管理、用户登录管理、超级用户管理及第三方人员管理等内容。 1.2 用户权限管理 1.2.1 建立/变更用户帐号和角色，由申请人填写ERP系统用户权限申请表，经相关部门责任人审批后，由应用管理员在系统中建立/维护权限，相关人员进行权限测试并确定，关键用户对角色矩阵实时维护并进行版本管理。 1.2.2 操作人员因为岗位变动或离开单位，人事部门必需立即通知ERP支持中心，ERP支持中心应用管理员在系统中将该用户进行锁定或删除。 1.3 用户帐号管理 1.3.1 应用管理员每三个月在线检验用户权限使用情况，最少每六个月将系统用户清单提交相关部门，由关键用户和部门责任人审核确定，应用管理员依据审核结果在系统中进行对应处理。 1.3.2 应用管理员在系统中为每个操作人员设置独立用户帐号，不能设置共享用户帐号（查询用户帐号除外）。 1.3.3 对于数据库层面用户（如系统接口访问用户等），相关部门填写用户申请，由部门责任人签字确定，经信息管理部门审批后，由数据库管理员创建该类用户。 1.4 对于系统登录访问，要设置合理密码规则，密码长度6位以上，采取数字和字符组合方法，不能使用弱密码；用户密码3个月内必需更新一次；帐号密码反复输入5次错误则暂停登录或系统锁定；系统自动退出帐号登录最大空闲时间不能超出50分钟。 1.5 相关管理员管理 1.5.1 应用管理员（BASIS管理员和权限管理员）、系统管理员（操作系统管理员、数据库管理员）、安全管理员必需授权管理，遵照不相容岗位分离标准，而且不能含有业务操作权限及开发权限；信息管理部门责任人应最少每六个月对上述管理员在职情况进行审查。 1.5.2 应用管理员负责监控应用系统运行情况、备份情况和日志，并完成监控统计；系统管理员负责监控操作系统、数据库及备份设备运行情况和日志，并完成监控统计；安全管理员每三个月对相关管理员操作日志最少检验一次并统计检验情况。 1.6 生产系统上线投入运行后，锁定生产系统中开发人员、关键用户帐号；假如开发人员或关键用户必需在生产系统中诊疗问题，需填写ERP系统用户权限申请表（提出申请帐号目标和期限），由相关部门责任人签字确定后由应用管理员进行维护，完成问题诊疗任务后锁定该帐号。 1.7 预置帐号管理 1.7.1 系统管理员在操作系统安装完成后对服务器根帐号（root）密码进行修改，并最少三个月更换一次密码，密码以安全方法妥善保留。 1.7.2 系统管理员在数据库和SAP软件安装好后，需用sapdba工具修改SAP系统预置帐号（SAPR3，SYS，SYSTEM）缺省密码，并最少三个月更换一次密码，密码以安全方法妥善保留。 1.7.3 应用管理员在SAP软件安装好每次创建Client后，须修改SAP系统预置帐号（SAP*/DDIC）缺省密码，密码以安全方法妥善保留。 1.8 业务支持人员支持权限新建、变更、删除、锁定需经ERP支持中心责任人审核签字后由应用管理员在系统中进行分配，业务支持人员在生产系统中只有对应模块显示、跟踪权限，不能分配业务操作权限、后台配置权限。 1.9 超级用户权限必需严格控制，申请时必需说明使用原因，并经ERP支持中心责任人审核签字后，应用管理员才能在系统中进行分配，使用后要立即将权限回收。 1.10 第三方人员管理 1.10.1 针对第三方合作单位需要签署安全保密协议。 1.10.2 第三方人员访问系统，需填写第三方人员帐号申请表（需注明使用期限和权限），经需求部门责任人、信息管理部门（责任处（科）室）责任人审批经过后，由应用管理员依据申请表在系统中建立其帐号。 第三方人员撤离后，其帐号需在系统中进行删除或锁定，如确需访问系统诊疗问题，需根据用户权限维护程序经审批后方可解锁/创建;维护完成后应立即锁定或删除。 2. 程序变更 2.1 总部各部门、分（子）企业依据《信息系统应用管理措施》，制订程序变更管理制度,关键包含用户化开发变更管理、系统配置变更管理、软件版本变更管理等内容。 2.2 用户化开发变更管理。 2.2.1 对于功效增强/表单/报表/系统接口等用户化开发新需求或对已经有用户化开发变更，由需求变更部门填写系统开发变更申请表（简明描述功效需求和功效说明），经提报单位需求变更部门、信息管理部门/ERP支持中心责任人审核后报信息系统管理部审批。 2.2.2 信息系统管理部组织人员依据审批后用户化开发变更需求在开发环境中进行开发，完成开发后由提报单位业务人员在测试环境中进行测试，针对变更部分编制测试文档（包含测试场景和测试结果），经业务人员及部门责任人签字确定后，由提报单位应用管理员根据传输管理要求传入生产系统。 2.2.3 提报单位ERP支持中心组织需求变更部门对用户化开发变更内容进行统计，包含更新用户化功效说明文档、技术说明文档、测试文档等，由ERP支持中心归档。 2.3 系统配置变更管理 2.3.1 现有系统配置需进行调整，应由需求部门填写“系统配置变更申请表”，经部门责任人签字确定后提交信息管理部门审核。和ERP推广模板有差异或组织架构、业务步骤发生改变变更，和新增功效模块，需信息系统管理部责任人审批并组织实施；其它系统配置变更，由信息管理部门授权支持人员或第三方人员依据审批后变更需求进行业务步骤设计，经相关部门责任人签字确定后在开发环境进行配置修改，由被授权人员填写系统配置变更统计，并将变更统计报总部ERP支持中心立案。 2.3.2 凡包含业务步骤、数据库变动配置变更，由提报单位业务人员在测试环境中进行测试，针对变更部分编制测试文档（包含测试场景和测试结果），经业务部门责任人签字确定后，应用管理员根据传输管理要求传入生产系统。 2.3.3 系统配置变更后由ERP支持中心组织相关人员立即修改配置文档，并依据需要编写用户手册，进行业务人员培训。 2.4 软件补丁和版本变更管理 2.4.1 针对软件补丁/版本升级，信息管理部门提出申请，由信息系统管理部责任人审批后统一组织实施。 2.4.2 由信息管理部门/ERP支持中心依据审批后软件变更，组织支持人员、相关部门关键用户提出测试步骤清单，在测试环境进行系统功效全方面测试，测试人员需在测试步骤清单上签字确定，并填写测试统计。 2.4.3 ERP支持中心责任人检验测试步骤清单是否完整，并在签字确定后，由应用管理员依据补丁/版本升级方案在生产系统完成补丁安装或版本升级工作，并进行软件补丁/版本升级统计。 3. 程序开发 3.1 总部各部门、分（子）企业依据《信息系统应用管理措施》，制订程序开发管理制度,关键包含业务步骤设计管理、用户化开发和系统配置管理等内容。 3.2 信息管理部门负责组建项目组，包含负担系统实施人员（以下简称咨询顾问）和关键用户。项目组依据ERP项目可行性研究汇报和批复进行业务步骤设计，并经关键用户、业务部门责任人签字确定。 3.3 对于功效增强/表单/报表/系统接口等用户化开发，由业务部门提出需求，并编制开发需求功效说明书，其中需描述访问权限要求。项目组依据功效说明书编制用户化开发清单，提交相关部门责任人签字确定。 3.4 开发人员依据开发需求功效说明书在开发环境中完成开发工作，将开发结果提交业务人员进行测试，并经业务人员及部门责任人签字确定。 3.5 咨询顾问依据签字确定业务步骤设计进行系统配置，并编写配置文档；关键用户对配置文档进行审核并签字确定。 3.6 系统配置测试管理 3.6.1 系统配置完成后，由咨询顾问和关键用户在测试系统进行集成测试，统计测试过程，并对集成测试统计签字确定。 3.6.2 集成测试完成后，由最终用户在测试系统进行用户接收测试，统计测试过程，并对接收测试统计签字确定。 3.7 开发测试环境和传输管理 3.7.1 用户化开发、系统配置、系统变更工作遵照“开发系统至测试系统、测试系统至生产系统”技术架构完成，并根据传输管理规范进行传输。 3.7.2 测试系统和生产系统上生成传输请求需经信息系统管理部相关处室责任人审批，并报总部ERP支持中心立案。 3.8 用户操作手册编制和培训 3.8.1 咨询顾问及关键用户根据步骤设计和系统配置编写并立即更新用户操作手册。 3.8.2 信息管理部门组织培训及考评，业务人员经考评合格后方可上岗。 3.9 数据转换管理 3.9.1 业务部门组织人员根据数据搜集模板搜集和整理相关业务数据，并进行盘点；相关部门责任人须审核搜集数据，并在“数据签字清单”上签字确定。 3.9.2 业务人员对导入/补录入系统数据进行查对，查对结果需经部门责任人签字确定。 3.10 系统切换和月结差异分析 3.10.1 咨询顾问制订系统切换方案，需经项目组责任人签字确定。 3.10.2 项目组依据“ERP系统上线申请标准”编制上线申请汇报，并提交总部ERP项目管理组审核。 3.10.3 相关部门对系统并行期间月结差异进行分析，编制差异分析汇报，并提交总部ERP项目管理组审核批复。 4. 系统运行 4.1 总部各部门、分（子）企业依据《信息系统应用管理措施》，制订系统运行管理制度,关键包含系统监控机制、数据导入管理、后台作业管理、数据备份和灾难恢复策略、支持体系、应急预案等内容。 4.2 批导入数据管理 4.2.1 外部数据导入前，业务部门责任人需对外部数据审核签字，业务人员对数据格式进行检验；保留导入外部数据以备复查（财务数据保留至年结后，业务数据保留至月结后）。 4.2.2 对周期性导入外部数据数据模板，需经相关部门责任人审核签字，业务人员在数据导入系统前需对数据格式进行检验。 4.3 后台作业管理 4.3.1 信息管理部门会同相关部门制订后台作业批处理计划，相关责任人签字确定，由应用管理员实施后台作业批处理。 4.3.2 应用管理员天天监控后台作业运行情况，批处理运行结束后应检验运行日志，对出现问题立即处理并统计立案。 4.4 数据备份管理 4.4.1 系统管理员具体统计备份硬件配置参数，天天监控备份硬件运行情况并进行日志统计。 4.4.2 应用管理员每日检验系统数据备份日志，确定每日数据备份是否成功，并统计备份异常情况；最少每三个月进行一次数据全备份。 4.4.3 系统管理员对数据备份介质每三个月进行一次可读性测试并统计，每十二个月最少进行一次恢复性测试并统计。 4.4.4 系统管理员对备份设备中备份介质最少每四年更换一次，并统计备份介质更换情况。 4.5 ERP支持中心对监控中发觉警告和异常情况和业务人员申报问题，要根据问题处理步骤进行受理、处理、跟踪，并对问题处理过程进行统计。 4.6 信息管理部门会同相关部门最少每十二个月对关键用户、业务人员、系统管理员（操作系统管理员、数据库管理员）、应用管理员进行系统应急预案培训工作，并对培训进行统计。 四、 相关制度目录（制度后标号为《内部控制手册配套规章制度汇编》目录索引号） 1 中国石油化工股份管理信息系统应用管理措施（试行）（石化股份信[]330号）----1.10.3 2 中国石油化工股份ERP项目管理措施（试行）(石化股份信项〔〕20号) ----2.10.4