企业内控手册之信息化管理流程-手册模板.docx

内部控制手册（下册） 控制活动第XX号—信息化管理 1 控制目标 信息化管理的控制目标是是企业利用信息技术实施有效控制，完善信息化管理，对内部控制实行集成、转化和提升，提高企业现代化管理水平，减少人为因素的管控目标。 2 流程目录与制度 2.1 流程目录需要与本单位手册上册确认的流程框架保持一致，可在建设期间根据实际情况对目录进行微调 流程编号 二级流程 三级流程 四级流程 2.2相关规章制度必须是企业现有已发布的制度；与RCD之间保持一致 · 《制度名称》（文号） 3 工作界面与不相容职责 3.1 工作界面1、 需以本单位角度为出发，结合集团公司要求识别各业务流程工作事项，分清各工作界面的业务事项在上级单位、本单位和所属成员单位之间的职责。 2、 如所建设单位为板块公司、事业部或支持服务机构，可将“XX公司”列删除。 3、 如所建设一级流程不涉及任何与上下单位衔接的工作，工作界面各列将调整为事项“提出部门”、“相关部门”、“XX决策机构”，体现该事项在本单位内部的决策过程。 4、 各项填列说明： （1）“事项名称”一栏，按照流程内容中涉及的本单位与上级或下级单位“审核审批事项和报备”事项名称进行填写。如：50万以下资金支付申请；50-100万资金支付申请；100万以上资金支付申请。 （2）“所属成员单位”一栏，请填写相关事项的所属成员单位名称。如是对下属单位的通用要求，可以“所属成员单位”代替。 （3）“XX公司”一栏，填写本单位需“审核审批”事项的具体内容。 （4）“产业板块、支持服务机构”、“集团公司”栏，请填写相关事项对应的板块单位、集团公司需“审核审批报备”具体内容。 事项 所属成员单位 XX公司 产业板块、支持服务机构 集团公司 3.2 不相容职责根据《企业内部控制基本规范》要求，以下8个基本不兼容的职责必须分离。本模板仅提供参考，还需要与RCD之间保持关联 · 应用系统管理员与数据库管理员职责分离 · 应用系统管理员与操作系统管理员职责分离 · 系统管理员与系统使用人员职责分离 · 系统开发人员与维护人员职责分离 · 系统开发人员与系统使用人员职责分离 4 主要关注风险 流程编号 二级流程 主要关注风险 Ÿ 信息化规划的编制未明确重点关注问题，未经过详尽调研分析，可能导致规划编制方向不准确，不全面，企业发展战略无法实现。 Ÿ 项目未进行可行性分析和成本与收益分析，可能导致信息系统成本与收益不相符，造成资源浪费。需求本身不合理，未包括对信息系统提出的功能、性能、安全性等方面的要求，可能导致最终交付信息系统无法满足公司需要，导致业务无法正常开展。 Ÿ 信息系统建设缺乏项目计划或者计划不当，信息系统建设或维护的质量要求不明确、质量监控不到位，可能导致信息系统在应用中出现质量偏差或开发失败，系统无法有效支持业务开展。 Ÿ 开发环境和用户接收测试的环境未分离，可能导致生产数据删除、篡改。数据迁移未制定详细的计划，且未在迁移前进行测试，可能导致数据迁移失败，系统无法有效满足业务需求。 Ÿ 系统上线未制定回退机制，上线未进行试运行，可能导致系统上线不能正常运行，影响公司正常运作。 Ÿ 新开发的信息系统未进行验收，不能保证信息系统的有效运行，影响公司的正常运作。 Ÿ 公司信息系统数据未能定期备份，可能导致系统损坏后无法恢复，给公司造成重大损失。 Ÿ 未建立有效变更程序，可能导致变更过程缺乏计划，无法保证变更活动有效开展。 Ÿ 机房环境未进行有效保护，可能导致计算机设备丢失或数据损坏。 Ÿ 未制定应急预案，可能导致公司在突发事件发生后，无法及时有效的组织和减少突发事件给公司带来的损失。 Ÿ 未进行信息安全风险评估，无法防范和化解信息安全风险，或者将风险控制在可接受的水平，从而最大限度地保障网络和信息安全。 Ÿ 涉密机未进行有效加密，可能导致公司机密信息泄露，影响企业企业核心竞争力。 7 内部控制手册（下册） 5 流程图与控制矩阵 5.1 LCXX.XX XXXX 5.1.1 LCXX.XX.XX XXXX 内部控制手册（下册） 2）控制矩阵 业务流程名称： 业务流程编码： 最后更新时间： 版本：01 控制目标 风险点编号 风险点描述 控制 编号 控制活动描述 关键控制/ 一般控制 人工/ 自动 预防性/ 检查性 控制频率 责任部门/ 岗位 实施证据 制度索引 合法合规 资产安全 财务报告 经与 营效 效果 率 内部控制手册（下册） 5.1.2 流程编号 流程名称 1）流程图 内部控制手册（下册） 2）控制矩阵 业务流程名称： 业务流程编码： 最后更新时间： 版本： 控制目标 风险点编号 风险点描述 控制 编号 控制活动描述 关键控制/ 一般控制 人工/ 自动 预防性/ 检查性 控制频率 责任部门/ 岗位 实施证据 制度索引 合法合规 资产安全 财务报告 经与 营效 效果 率 内部控制手册（下册） 6 权限指引 1、本表是以本建设单位为核心，反应不同权限事项中，不同单位、部门或机构所行使的权力； 2、该表重点描述事项在本单位内部的权限划分，上、下单位不必进行部门扩展，仅作为单位体现该事项在该单位的最高权限； 3、该表最高层级描述至集团公司，下至所属各级单位。如不涉及集团公司决策权限或下属单位上报事项的，可删除该列 4、审批权限必须与RCD保持一致 业务事项 集团公司 XX公司 所属成员单位 XX决策机构 XX决策机构 XX部门 XX部门 相关部门 说明：决（决策）；审（各职能部门“审核”）；提（各职能部门“提出”）；核（所属成员单位“审核”）；申（各成员单位“提出申请”）。