企业内控应用手册之信息系统-风险控制矩阵.xls

1、风风险险控控制制矩矩阵阵编编制制说说明明一一、编编制制风风险险控控制制矩矩阵阵的的目目的的编制风险控制矩阵旨在梳理企业内部控制相关的业务流程的控制目标及控制活动，为企业提出内控管理改善建议，使公司能够采取针对性的改进措施，从而达成管理风险和健全公司内部控制体系的最终目标。二二、风风险险控控制制矩矩阵阵的的使使用用对对象象风险控制矩阵的使用对象是各关键业务流程/子流程的直接负责人员（包括部门经理、流程/子流程具体执行人员等）。风险控制矩阵详细描述内部控制的控制目标、与控制目标相对应的风险及标准控制活动，进而对比现有业务活动与标准控制活动之间的差异，识别出公司的内控缺陷，并提出相应的改善建议。具体

2、填列请参见下述第三部分。三三、风风险险控控制制矩矩阵阵主主表表关关键键字字段段定定义义D D列列：控控制制目目标标控制目标是指内部控制总体目标在各个业务流程中的具体反映。因此本列的控制目标是以每一个业务流程下的子流程为范围（具体化）。F F列列：风风险险点点风险点用于说明未达成控制目标可能导致的风险。此列内容应与风险清单所载的保持一致。H H列列：标标准准控控制制活活动动即根据已有的公司规章制度或相关内部控制指引中所规范的业务流程，描述实际工作中应遵循的标准的控制活动。标准控制活动的描述要全面详细、语言精炼，一般要求在控制活动中明确出“谁执行、执行什么活动、如何执行”等信息。如果一个控制目标存

3、在多个控制活动，用户可自行在风险控制矩阵中添加行用于放置新的控制活动。标准的控制活动应是由国家法律法规、公司制度等明文规定的、必须遵循的活动，主要包括但不限于：1.授权审批控制2.异常报告、文档编辑记录控制3.数据传递、数据转换控制4.业绩考核指标5.独立复核控制6.核对控制7.职责分离控制8.系统接触控制9.系统设置、会计科目的系统设置I I列列：现现有有控控制制活活动动此列填写公司当前业务流程的实际操作情况，同样需要明确指出“谁执行、执行什么活动、如何执行”等信息。J J列列：重重要要性性程程度度判断该控制活动是否为关键控制活动。对会计科目、披露事项和业务流程尤为重要的控制活动，选关键控制

4、；若否，则请选一般控制。K K列列：制制度度公司目前已制定的、涉及该控制活动的相关制度及规定。L L列列：文文档档公司目前在该控制活动中涉及的相关文档。M M列列：责责任任部部门门及及岗岗位位实施该控制活动的部门及岗位。N N列列：控控制制形形式式如果该控制活动是由公司信息系统控制，控制形式选择“自动控制”，否则请选择“手工控制”。K K列列：执执行行频频率率指所对应的控制活动的执行频率，该部分将用于测试阶段样本量的计算。执行频率分为“每日多次”、“每日”、“每周”、“每月”、“每季”、“每年”、“业务发生时”。S S列列：合合规规对对比比内内容容对应企业内部控制基本规范及相关配套指引的相关条

5、款内容。U U列列：内内控控缺缺陷陷通过将现有控制活动与内控指引、标准控制活动参照进行对比后（即有可能与标准控制活动一致或存在偏差），如果目前存在偏差且此偏差可能导致公司内部控制不到位，则此偏差属于内部控制缺陷，公司需要对其进行加以整改。此处填列的为缺陷的概括说明。V V列列：缺缺陷陷描描述述对缺陷的具体情况加以详述。W W列列：整整改改建建议议针对内控缺陷提出的整改建议，供公司参考。X X列列：缺缺陷陷等等级级根据内控缺陷的评价标准对识别出的内控缺陷评为“重大“、”重要“或”一般“。流流程程简简称称说说明明流流程程名名称称流流程程简简称称组织架构OSOS发展战略STST人力资源HRHR社会责

6、任SRSR企业文化CCCC全面预算BUBU信息传递ICIC关联交易RPTRPT信息系统ITIT内部审计AUAU筹资管理FINFIN资金运营管理TRTR投资管理IMIM固定资产管理FAFA无形资产管理IAIA采购业务PUPU担保业务GRGR财务报告FRFR合同管理CONCON业务外包BPOBPO税务管理TXTX项目开发管理DMDM工程项目管理PMPM成本管理EMEM品牌及营销管理BMBM物业管理FMFM编编号号规规则则说说明明规规则则名名称称编编号号规规则则控制目标编号规则流程简称+CO+顺序号举例：资金运营管理流程第一个控制目标：TR-CO-01风险点编号规则流程简称+R+顺序号举例：资金运营

7、管理流程第一个风险点：TR-R-01控制活动编号规则流程简称+CA+顺序号举例：资金运营管理流程第一个控制活动：TR-CA-01控制运行有效性测试底稿编号规则流程简称+T+顺序号举例：资金运营管理流程第一个测试底稿：TR-T-01控制缺陷编号规则流程简称+CD+顺序号举例：资金运营管理流程第一个控制缺陷：TR-CD-01增值建议编号规则流程简称+VA+顺序号举例：资金运营管理流程第一个增值建议：TR-VA-01编制风险控制矩阵旨在梳理企业内部控制相关的业务流程的控制目标及控制活动，为企业提出内控管理改善建议，使公司能够采取针对性的改进措施，从而达成管理风险和健全公司内部控制体系的最终目标。风险

8、控制矩阵的使用对象是各关键业务流程/子流程的直接负责人员（包括部门经理、流程/子流程具体执行人员等）。风险控制矩阵详细描述内部控制的控制目标、与控制目标相对应的风险及标准控制活动，进而对比现有业务活动与标准控制活动之间的差异，识别出公司的内控缺陷，并提出相应的改善建议。具体填列请参见下述第三部分。H H列列：标标准准控控制制活活动动即根据已有的公司规章制度或相关内部控制指引中所规范的业务流程，描述实际工作中应遵循的标准的控制活动。标准控制活动的描述要全面详细、语言精炼，一般要求在控制活动中明确出“谁执行、执行什么活动、如何执行”等信息。如果一个控制目标存在多个控制活动，用户可自行在风险控制矩阵

9、中添加行用于放置新的控制活动。标准的控制活动应是由国家法律法规、公司制度等明文规定的、必须遵循的活动，主要包括但不限于：1.授权审批控制2.异常报告、文档编辑记录控制3.数据传递、数据转换控制4.业绩考核指标5.独立复核控制6.核对控制7.职责分离控制8.系统接触控制9.系统设置、会计科目的系统设置I I列列：现现有有控控制制活活动动此列填写公司当前业务流程的实际操作情况，同样需要明确指出“谁执行、执行什么活动、如何执行”等信息。J J列列：重重要要性性程程度度判断该控制活动是否为关键控制活动。对会计科目、披露事项和业务流程尤为重要的控制活动，选关键控制；若否，则请选一般控制。N N列列：控控

10、制制形形式式如果该控制活动是由公司信息系统控制，控制形式选择“自动控制”，否则请选择“手工控制”。K K列列：执执行行频频率率指所对应的控制活动的执行频率，该部分将用于测试阶段样本量的计算。执行频率分为“每日多次”、“每日”、“每周”、“每月”、“每季”、“每年”、“业务发生时”。U U列列：内内控控缺缺陷陷通过将现有控制活动与内控指引、标准控制活动参照进行对比后（即有可能与标准控制活动一致或存在偏差），如果目前存在偏差且此偏差可能导致公司内部控制不到位，则此偏差属于内部控制缺陷，公司需要对其进行加以整改。此处填列的为缺陷的概括说明。风风险险控控制制矩矩阵阵公公司司名名称称：机机关关本本部部流

11、流程程名名称称：信信息息系系统统子子流流程程名名称称控控制制目目标标及及对对应应风风险险 控控制制活活动动控控制制目目标标编编号号控控制制目目标标风风险险点点编编号号风风险险点点控控制制活活动动编编号号标标准准控控制制活活动动现现有有控控制制活活动动重重要要性性程程度度信信息息系系统统规规划划与与开开发发IT-CO-01信息系统整体规划工作科学合理，并经管理层授权。IT-R-01信息系统建设缺乏项目规划或者规划不当，导致信息系统的战略、规划和预算与实体业务和战略目标未能保持一致。IT-CA-01企业信息管理部门制定信息系统战略及中长期规划，并经管理层审批通过，以支持实体的整体业务战略和信息系统

12、要求。管理层定期根据长期及短期计划定期监督信息系统战略及中长期规划执行情况。信信息息系系统统战战略略规规划划公司定期制定三年IT战略规划，由信息管理部负责组织制定和修订，并层层上报给部门领导、分管副总经理、总经理审批，最后由信息管理部负责落实工作发展规划，协助公司的整体发展策略。一般IT-CA-02企业信息管理部门按照公司信息系统战略及中长期规划，制定年度信息系统工作计划，并经授权领导审批。下属企业的年度信息系统工作计划报集团公司授权领导审核并批准。信信息息系系统统年年度度工工作作计计划划的的审审批批和和评评估估公司信息管理部根据三年IT战略规划，于年末制定下一年度的信息系统年度工作计划及投入

13、预算，预算方案包括：软硬件投入、网络投入、运维投入、服务投入等各个方面，由部门领导、分管副总经理、总经理层层审批。每年末，信息管理部相关岗位部门工作总结，对年度工作计划执行情况实施回顾与自我评价，报相关领导审阅。关键IT-CO-02部门职能边界清晰，岗位职责明确。IT-R-02职责权限划分不清晰，容易造成工作遗漏或重复。IT-CA-03信息系统管理部门按功能设立有部门经理、系统开发团队及技术支持团队；由部门经理统筹安排各类信息系统资源的开发、维护工作，下属各岗位人员的职责范围及要求已于公司岗位职责说明内明确规定，并于招聘、考核相关岗位人员时遵照执行。部部门门设设置置及及人人员员职职责责公司信息

14、管理部作为成本管理中心下的二级部门，负责信息系统规划、采购、变更、日常运行维护、安全管理等工作。部门内部设置一名部门经理，统筹安排各类信息系统相关的各项工作，对下属各岗位的职责分工进行明确的划分。一般IT-CO-03系统开发外包服务商经严格筛选，确保价格和质量符合公司要求，并签订合同，确保外包业务合法合规。IT-R-03外包服务商未经过经严格筛选，缺乏严格的外包服务审批和管控流程。IT-CA-04管理当局在选择外包服务商时关注其服务商的市场信誉、资质条件、财务状况、服务能力、对企业业务的熟悉程度、既往承包服务成功案例等因素，对外包服务商进行严格筛选。无.本部未采用外包商一般IT-CA-05管理

15、当局严格执行企业外包服务审批及管控流程，对信息系统外包业务，采用公开招标等形式选择外包服务商，并实行集体决策审批。无.本部未采用外包商一般IT-R-04企业未建立外包服务质量考核评价指标体系，未能对外包服务进行有效评价。IT-CA-06管理当局为规范外包服务评价工作流程，明确了相关部门的职责权限，建立外包服务质量考核评价指标体系，定期对外包服务商进行考评，并公布服务周期的评估结果，实现外包服务水平的跟踪评价。无.本部未采用外包商一般第7页，共30页制制度度文文档档责责任任部部门门及及岗岗位位控控制制形形式式执执行行频频率率xx地产（集团）股份有限公司信息化管理制度三年IT战略规划成本管理中心/

16、信息管理部手工控制每年xx地产（集团）股份有限公司信息化管理制度信息系统年度工作计划信息系统年度工作总结成本管理中心/信息管理部手工控制每年无信息管理部岗位职责成本管理中心/信息管理部手工控制业务发生时无采购审批外购商采购合同成本管理中心/信息管理部手工控制业务发生时无无成本管理中心/信息管理部手工控制业务发生时无无成本管理中心/信息管理部手工控制业务发生时 控控制制活活动动 控控制制活活动动控控制制活活动动编编号号标标准准控控制制活活动动现现有有控控制制活活动动IT-CA-01企业信息管理部门制定信息系统战略及中长期规划，并经管理层审批通过，以支持实体的整体业务战略和信息系统要求。管理层定期

17、根据长期及短期计划定期监督信息系统战略及中长期规划执行情况。信信息息系系统统战战略略规规划划公司定期制定三年IT战略规划，由信息管理部负责组织制定和修订，并层层上报给部门领导、分管副总经理、总经理审批，最后由信息管理部负责落实工作发展规划，协助公司的整体发展策略。IT-CA-02企业信息管理部门按照公司信息系统战略及中长期规划，制定年度信息系统工作计划，并经授权领导审批。下属企业的年度信息系统工作计划报集团公司授权领导审核并批准。信信息息系系统统年年度度工工作作计计划划的的审审批批和和评评估估公司信息管理部根据三年IT战略规划，于年末制定下一年度的信息系统年度工作计划及投入预算，预算方案包括：

18、软硬件投入、网络投入、运维投入、服务投入等各个方面，由部门领导、分管副总经理、总经理层层审批。每年末，信息管理部相关岗位部门工作总结，对年度工作计划执行情况实施回顾与自我评价，报相关领导审阅。IT-CA-03信息系统管理部门按功能设立有部门经理、系统开发团队及技术支持团队；由部门经理统筹安排各类信息系统资源的开发、维护工作，下属各岗位人员的职责范围及要求已于公司岗位职责说明内明确规定，并于招聘、考核相关岗位人员时遵照执行。部部门门设设置置及及人人员员职职责责公司信息管理部作为成本管理中心下的二级部门，负责信息系统规划、采购、变更、日常运行维护、安全管理等工作。部门内部设置一名部门经理，统筹安排

19、各类信息系统相关的各项工作，对下属各岗位的职责分工进行明确的划分。IT-CA-04管理当局在选择外包服务商时关注其服务商的市场信誉、资质条件、财务状况、服务能力、对企业业务的熟悉程度、既往承包服务成功案例等因素，对外包服务商进行严格筛选。无.本部未采用外包商IT-CA-05管理当局严格执行企业外包服务审批及管控流程，对信息系统外包业务，采用公开招标等形式选择外包服务商，并实行集体决策审批。无.本部未采用外包商IT-CA-06管理当局为规范外包服务评价工作流程，明确了相关部门的职责权限，建立外包服务质量考核评价指标体系，定期对外包服务商进行考评，并公布服务周期的评估结果，实现外包服务水平的跟踪评

20、价。无.本部未采用外包商第8页，共30页控控制制运运行行有有效效性性测测试试合合规规对对比比（企企业业内内部部控控制制规规范范及及配配套套指指引引）测测试试底底稿稿编编号号测测试试结结论论条条款款规规定定内内容容无无企业内部控制应用指引第18号信息系统第五条第五条企业应当根据信息系统建设整体规划提出项目建设方案，明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容，按照规定的权限和程序审批后实施。IT-T-010 企业内部控制应用指引第18号信息系统第五条第五条企业应当根据信息系统建设整体规划提出项目建设方案，明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容，按照规定的

21、权限和程序审批后实施。无无企业内部控制应用指引第18号信息系统第七条企业信息系统归口管理部门应当加强信息系统开发全过程的跟踪管理，组织开发单位与内部各单位的日常沟通和协调，督促开发单位按照建设方案、计划进度和质量要求完成编程工作，对配备的硬件设备和系统软件进行检查验收，组织系统上线运行等。无无无无无无无无无无无无 控控制制活活动动控控制制活活动动编编号号标标准准控控制制活活动动现现有有控控制制活活动动IT-CA-01企业信息管理部门制定信息系统战略及中长期规划，并经管理层审批通过，以支持实体的整体业务战略和信息系统要求。管理层定期根据长期及短期计划定期监督信息系统战略及中长期规划执行情况。信信

22、息息系系统统战战略略规规划划公司定期制定三年IT战略规划，由信息管理部负责组织制定和修订，并层层上报给部门领导、分管副总经理、总经理审批，最后由信息管理部负责落实工作发展规划，协助公司的整体发展策略。IT-CA-02企业信息管理部门按照公司信息系统战略及中长期规划，制定年度信息系统工作计划，并经授权领导审批。下属企业的年度信息系统工作计划报集团公司授权领导审核并批准。信信息息系系统统年年度度工工作作计计划划的的审审批批和和评评估估公司信息管理部根据三年IT战略规划，于年末制定下一年度的信息系统年度工作计划及投入预算，预算方案包括：软硬件投入、网络投入、运维投入、服务投入等各个方面，由部门领导、

23、分管副总经理、总经理层层审批。每年末，信息管理部相关岗位部门工作总结，对年度工作计划执行情况实施回顾与自我评价，报相关领导审阅。IT-CA-03信息系统管理部门按功能设立有部门经理、系统开发团队及技术支持团队；由部门经理统筹安排各类信息系统资源的开发、维护工作，下属各岗位人员的职责范围及要求已于公司岗位职责说明内明确规定，并于招聘、考核相关岗位人员时遵照执行。部部门门设设置置及及人人员员职职责责公司信息管理部作为成本管理中心下的二级部门，负责信息系统规划、采购、变更、日常运行维护、安全管理等工作。部门内部设置一名部门经理，统筹安排各类信息系统相关的各项工作，对下属各岗位的职责分工进行明确的划分

24、。IT-CA-04管理当局在选择外包服务商时关注其服务商的市场信誉、资质条件、财务状况、服务能力、对企业业务的熟悉程度、既往承包服务成功案例等因素，对外包服务商进行严格筛选。无.本部未采用外包商IT-CA-05管理当局严格执行企业外包服务审批及管控流程，对信息系统外包业务，采用公开招标等形式选择外包服务商，并实行集体决策审批。无.本部未采用外包商IT-CA-06管理当局为规范外包服务评价工作流程，明确了相关部门的职责权限，建立外包服务质量考核评价指标体系，定期对外包服务商进行考评，并公布服务周期的评估结果，实现外包服务水平的跟踪评价。无.本部未采用外包商第9页，共30页内内部部控控制制缺缺陷陷

25、控控制制缺缺陷陷编编号号内内控控缺缺陷陷缺缺陷陷描描述述整整改改建建议议缺缺陷陷等等级级无无无无无无无无无无无无无无无无无无无无无无无无无无无无无无 控控制制活活动动控控制制活活动动编编号号标标准准控控制制活活动动现现有有控控制制活活动动IT-CA-01企业信息管理部门制定信息系统战略及中长期规划，并经管理层审批通过，以支持实体的整体业务战略和信息系统要求。管理层定期根据长期及短期计划定期监督信息系统战略及中长期规划执行情况。信信息息系系统统战战略略规规划划公司定期制定三年IT战略规划，由信息管理部负责组织制定和修订，并层层上报给部门领导、分管副总经理、总经理审批，最后由信息管理部负责落实工作

26、发展规划，协助公司的整体发展策略。IT-CA-02企业信息管理部门按照公司信息系统战略及中长期规划，制定年度信息系统工作计划，并经授权领导审批。下属企业的年度信息系统工作计划报集团公司授权领导审核并批准。信信息息系系统统年年度度工工作作计计划划的的审审批批和和评评估估公司信息管理部根据三年IT战略规划，于年末制定下一年度的信息系统年度工作计划及投入预算，预算方案包括：软硬件投入、网络投入、运维投入、服务投入等各个方面，由部门领导、分管副总经理、总经理层层审批。每年末，信息管理部相关岗位部门工作总结，对年度工作计划执行情况实施回顾与自我评价，报相关领导审阅。IT-CA-03信息系统管理部门按功能

27、设立有部门经理、系统开发团队及技术支持团队；由部门经理统筹安排各类信息系统资源的开发、维护工作，下属各岗位人员的职责范围及要求已于公司岗位职责说明内明确规定，并于招聘、考核相关岗位人员时遵照执行。部部门门设设置置及及人人员员职职责责公司信息管理部作为成本管理中心下的二级部门，负责信息系统规划、采购、变更、日常运行维护、安全管理等工作。部门内部设置一名部门经理，统筹安排各类信息系统相关的各项工作，对下属各岗位的职责分工进行明确的划分。IT-CA-04管理当局在选择外包服务商时关注其服务商的市场信誉、资质条件、财务状况、服务能力、对企业业务的熟悉程度、既往承包服务成功案例等因素，对外包服务商进行严

28、格筛选。无.本部未采用外包商IT-CA-05管理当局严格执行企业外包服务审批及管控流程，对信息系统外包业务，采用公开招标等形式选择外包服务商，并实行集体决策审批。无.本部未采用外包商IT-CA-06管理当局为规范外包服务评价工作流程，明确了相关部门的职责权限，建立外包服务质量考核评价指标体系，定期对外包服务商进行考评，并公布服务周期的评估结果，实现外包服务水平的跟踪评价。无.本部未采用外包商第10页，共30页日日常常运运行行维维护护IT-CO-04信息系统日常运行管理制度规范，例行检查到位，数据备份。IT-R-05没有建立规范的信息系统日常运行管理规范，计算机软硬件的内在隐患易于爆发，可能导致

29、企业信息系统出错。IT-CA-07企业应制定信息系统使用操作程序、信息管理制度以及各模块子系统的具体操作规范，及时跟踪、发现和解决系统运行中存在的问题，确保信息系统按照规定的程序、制度和操作规范持续稳定运行。信信息息系系统统的的制制度度管管理理公司制定了保利地产信息化管理制度，对信息管理部的部门职能与权限、本部信息化管理流程、对下属子公司信息化管理流程以及考核制度等相关方面的内容作出了明确规定。一般IT-CA-08切实做好系统运行记录，尤其是对于系统运行不正常或无法运行的情况，应对异常现象发生时间和可能的原因作出详细记录。异异常常情情况况的的记记录录公司信息系统已经设置并启用了自动记录日志功能

30、，能将用户的所有操作活动全部予以保留，系统管理员会定期对系统的日志进行复核。一般IT-CA-09企业要重视系统运行的日常维护，在硬件方面，日常维护主要包括各种设备的保养与安全管理、故障的诊断与排除、易耗品的更换与安装等，这些工作应由专人负责。信信息息系系统统的的日日常常维维护护公司信息管理部负责公司信息系统的日常维护，各部门在使用信息系统时如果发生系统故障，通过电话说明故障原因，信息管理部及时安排人员进行处理，如无法解决，及时联系系统提供商。一般IT-R-06企业信息系统数据未能定期备份，可能导致损坏后无法恢复，从而造成重大损失。IT-CA-10管理当局建立系统数据定期备份制度，明确备份范围、

31、频度、方法、责任人、存放地点、有效性检查等内容。系系统统数数据据备备份份机机制制公司的信息系统均采用异地备份的方式，机务系统每日实施信息的异地备份。一般风风险险控控制制矩矩阵阵公公司司名名称称：机机关关本本部部流流程程名名称称：信信息息系系统统子子流流程程名名称称控控制制目目标标及及对对应应风风险险 控控制制活活动动控控制制目目标标编编号号控控制制目目标标风风险险点点编编号号风风险险点点控控制制活活动动编编号号标标准准控控制制活活动动现现有有控控制制活活动动重重要要性性程程度度第11页，共30页xx地产（集团）股份有限公司信息化管理制度无成本管理中心/信息管理部手工控制业务发生时xx地产（集团

32、）股份有限公司信息化管理制度系统日志成本管理中心/信息管理部系统控制每周xx地产（集团）股份有限公司信息化管理制度系统维护记录成本管理中心/信息管理部手工控制业务发生时xx地产（集团）股份有限公司信息化管理制度数据备份成本管理中心/信息管理部系统控制每日 控控制制活活动动控控制制活活动动编编号号标标准准控控制制活活动动现现有有控控制制活活动动IT-CA-07企业应制定信息系统使用操作程序、信息管理制度以及各模块子系统的具体操作规范，及时跟踪、发现和解决系统运行中存在的问题，确保信息系统按照规定的程序、制度和操作规范持续稳定运行。信信息息系系统统的的制制度度管管理理公司制定了保利地产信息化管理制

33、度，对信息管理部的部门职能与权限、本部信息化管理流程、对下属子公司信息化管理流程以及考核制度等相关方面的内容作出了明确规定。IT-CA-08切实做好系统运行记录，尤其是对于系统运行不正常或无法运行的情况，应对异常现象发生时间和可能的原因作出详细记录。异异常常情情况况的的记记录录公司信息系统已经设置并启用了自动记录日志功能，能将用户的所有操作活动全部予以保留，系统管理员会定期对系统的日志进行复核。IT-CA-09企业要重视系统运行的日常维护，在硬件方面，日常维护主要包括各种设备的保养与安全管理、故障的诊断与排除、易耗品的更换与安装等，这些工作应由专人负责。信信息息系系统统的的日日常常维维护护公司

34、信息管理部负责公司信息系统的日常维护，各部门在使用信息系统时如果发生系统故障，通过电话说明故障原因，信息管理部及时安排人员进行处理，如无法解决，及时联系系统提供商。IT-CA-10管理当局建立系统数据定期备份制度，明确备份范围、频度、方法、责任人、存放地点、有效性检查等内容。系系统统数数据据备备份份机机制制公司的信息系统均采用异地备份的方式，机务系统每日实施信息的异地备份。制制度度文文档档责责任任部部门门及及岗岗位位控控制制形形式式执执行行频频率率 控控制制活活动动第12页，共30页无无企业内部控制应用指引第18号信息系统第十条企业内部控制基本规范第一章总则第七条第十条企业应当加强信息系统运行

35、与维护的管理，制定信息系统工作程序、信息管理制度以及各模块子系统的具体操作规范，及时跟踪、发现和解决系统运行中存在的问题，确保信息系统按照规定的程序、制度和操作规范持续稳定运行。企业应当运用信息技术加强内部控制，建立与经营管理相适应的信息系统，促进内部控制流程与信息系统的有机结合，实现对业务和事项的自动控制，减少或消除人为操纵因素。无无企业内部控制应用指引第18号信息系统第六条第六条企业应当在信息系统中设置操作日志功能，确保操作的可审计性。对异常的或者违背内部控制要求的交易和数据，应当设计由系统自动报告并设置跟踪处理机制。无无企业内部控制应用指引第18号信息系统第十五条第十五条企业应当加强服务

36、器等关键信息设备的管理，建立良好的物理环境，指定专人负责检查，及时处理异常情况。未经授权，任何人不得接触关键信息设备。无无企业内部控制应用指引第18号信息系统第十四条第十四条企业应当建立系统数据定期备份制度，明确备份范围、频度、方法、责任人、存放地点、有效性检查等内容。控控制制活活动动控控制制活活动动编编号号标标准准控控制制活活动动现现有有控控制制活活动动IT-CA-07企业应制定信息系统使用操作程序、信息管理制度以及各模块子系统的具体操作规范，及时跟踪、发现和解决系统运行中存在的问题，确保信息系统按照规定的程序、制度和操作规范持续稳定运行。信信息息系系统统的的制制度度管管理理公司制定了保利地

37、产信息化管理制度，对信息管理部的部门职能与权限、本部信息化管理流程、对下属子公司信息化管理流程以及考核制度等相关方面的内容作出了明确规定。IT-CA-08切实做好系统运行记录，尤其是对于系统运行不正常或无法运行的情况，应对异常现象发生时间和可能的原因作出详细记录。异异常常情情况况的的记记录录公司信息系统已经设置并启用了自动记录日志功能，能将用户的所有操作活动全部予以保留，系统管理员会定期对系统的日志进行复核。IT-CA-09企业要重视系统运行的日常维护，在硬件方面，日常维护主要包括各种设备的保养与安全管理、故障的诊断与排除、易耗品的更换与安装等，这些工作应由专人负责。信信息息系系统统的的日日常

38、常维维护护公司信息管理部负责公司信息系统的日常维护，各部门在使用信息系统时如果发生系统故障，通过电话说明故障原因，信息管理部及时安排人员进行处理，如无法解决，及时联系系统提供商。IT-CA-10管理当局建立系统数据定期备份制度，明确备份范围、频度、方法、责任人、存放地点、有效性检查等内容。系系统统数数据据备备份份机机制制公司的信息系统均采用异地备份的方式，机务系统每日实施信息的异地备份。控控制制运运行行有有效效性性测测试试合合规规对对比比（企企业业内内部部控控制制规规范范及及配配套套指指引引）测测试试底底稿稿编编号号测测试试结结论论条条款款规规定定内内容容第13页，共30页无无无无无无无无无无

39、无无无无无无无无无无 控控制制活活动动控控制制活活动动编编号号标标准准控控制制活活动动现现有有控控制制活活动动IT-CA-07企业应制定信息系统使用操作程序、信息管理制度以及各模块子系统的具体操作规范，及时跟踪、发现和解决系统运行中存在的问题，确保信息系统按照规定的程序、制度和操作规范持续稳定运行。信信息息系系统统的的制制度度管管理理公司制定了保利地产信息化管理制度，对信息管理部的部门职能与权限、本部信息化管理流程、对下属子公司信息化管理流程以及考核制度等相关方面的内容作出了明确规定。IT-CA-08切实做好系统运行记录，尤其是对于系统运行不正常或无法运行的情况，应对异常现象发生时间和可能的原

40、因作出详细记录。异异常常情情况况的的记记录录公司信息系统已经设置并启用了自动记录日志功能，能将用户的所有操作活动全部予以保留，系统管理员会定期对系统的日志进行复核。IT-CA-09企业要重视系统运行的日常维护，在硬件方面，日常维护主要包括各种设备的保养与安全管理、故障的诊断与排除、易耗品的更换与安装等，这些工作应由专人负责。信信息息系系统统的的日日常常维维护护公司信息管理部负责公司信息系统的日常维护，各部门在使用信息系统时如果发生系统故障，通过电话说明故障原因，信息管理部及时安排人员进行处理，如无法解决，及时联系系统提供商。IT-CA-10管理当局建立系统数据定期备份制度，明确备份范围、频度、

41、方法、责任人、存放地点、有效性检查等内容。系系统统数数据据备备份份机机制制公司的信息系统均采用异地备份的方式，机务系统每日实施信息的异地备份。内内部部控控制制缺缺陷陷控控制制缺缺陷陷编编号号内内控控缺缺陷陷缺缺陷陷描描述述整整改改建建议议缺缺陷陷等等级级第14页，共30页IT-CO-05确保灾难发生或遇突发事件时，关键业务流程及其信息系统能够及时、准确的得以恢复IT-R-07缺乏明确的灾难应对、系统恢复计划、演练，不利于公司的持续经营。IT-CA-11企业应当制定标准的灾难恢复计划，并经过适当的授权审批。灾灾难难恢恢复复计计划划的的制制定定及及审审批批公司需制定信息管理应急制度。具体内容包括但

42、不仅限于：明确应急工作涉及的责任部门、岗位，并界定其职责分工和权限范围；应急机制启动的基本条件或标志性事件；规范应急处理工作的标准流程；应急工作报告机制；应急工作责任机制等。一般IT-CA-12配备专业人员负责处理信息系统运行中的突发事件，必要时应会同系统开发人员或软硬件供应商共同解决。突突发发事事件件的的处处理理机机制制在条件成熟时，成本管理中心可以定期进行紧急应变及系统恢复演练，并根据测试结果改进信息管理相关工作。一般系系统统变变更更IT-CO-06系统软件设置及权限的变更流程科学合理，经过管理层授权。IT-R-08企业没有建立严格的变更申请、审批、执行、测试流程，导致系统随意变更。系统变

43、更后的效果达不到预期目标。IT-CA-13企业应当建立标准流程来实施和记录系统变更，保证变更过程得到适当的授权与管理层的批准，并对变更进行测试。信息系统变更应当严格遵照管理流程进行操作。信息系统操作人员不得擅自进行软件的删除、修改等操作；不得擅自升级、改变软件版本；不得擅自改变软件系统的环境配置系系统统变变更更管管理理由于公司的信息系统均通过外购调试的采购方式，当各职能部门出现系统变更需求时，直接联系系统供应商进行系统变更调试，并未在系统实施前通过信息管理部的审核并签署意见，缺乏规范固化的系统变更流程。一般风风险险控控制制矩矩阵阵公公司司名名称称：机机关关本本部部流流程程名名称称：信信息息系系

44、统统子子流流程程名名称称控控制制目目标标及及对对应应风风险险 控控制制活活动动控控制制目目标标编编号号控控制制目目标标风风险险点点编编号号风风险险点点控控制制活活动动编编号号标标准准控控制制活活动动现现有有控控制制活活动动重重要要性性程程度度第15页，共30页xx地产（集团）股份有限公司信息化管理制度无成本管理中心/信息管理部系统控制业务发生时xx地产（集团）股份有限公司信息化管理制度无成本管理中心/信息管理部系统控制业务发生时xx地产（集团）股份有限公司信息化管理制度无成本管理中心/信息管理部手工控制业务发生时 控控制制活活动动控控制制活活动动编编号号标标准准控控制制活活动动现现有有控控制制

45、活活动动IT-CA-11企业应当制定标准的灾难恢复计划，并经过适当的授权审批。灾灾难难恢恢复复计计划划的的制制定定及及审审批批公司需制定信息管理应急制度。具体内容包括但不仅限于：明确应急工作涉及的责任部门、岗位，并界定其职责分工和权限范围；应急机制启动的基本条件或标志性事件；规范应急处理工作的标准流程；应急工作报告机制；应急工作责任机制等。IT-CA-12配备专业人员负责处理信息系统运行中的突发事件，必要时应会同系统开发人员或软硬件供应商共同解决。突突发发事事件件的的处处理理机机制制在条件成熟时，成本管理中心可以定期进行紧急应变及系统恢复演练，并根据测试结果改进信息管理相关工作。IT-CA-1

46、3企业应当建立标准流程来实施和记录系统变更，保证变更过程得到适当的授权与管理层的批准，并对变更进行测试。信息系统变更应当严格遵照管理流程进行操作。信息系统操作人员不得擅自进行软件的删除、修改等操作；不得擅自升级、改变软件版本；不得擅自改变软件系统的环境配置系系统统变变更更管管理理由于公司的信息系统均通过外购调试的采购方式，当各职能部门出现系统变更需求时，直接联系系统供应商进行系统变更调试，并未在系统实施前通过信息管理部的审核并签署意见，缺乏规范固化的系统变更流程。制制度度文文档档责责任任部部门门及及岗岗位位控控制制形形式式执执行行频频率率 控控制制活活动动第16页，共30页无无企业内部控制应用

47、指引第18号信息系统第四条、第十条第四条企业应当重视信息系统在内部控制中的作用，根据内部控制要求，结合组织架构、业务范围、地域分布、技术能力等因素，制定信息系统建设整体规划，加大投入力度，有序组织信息系统开发、运行与维护，优化管理流程，防范经营风险，全面提升企业现代化管理水平。第十条企业应当加强信息系统运行与维护的管理，制定信息系统工作程序、信息管理制度以及各模块子系统的具体操作规范，及时跟踪、发现和解决系统运行中存在的问题，确保信息系统按照规定的程序、制度和操作规范持续稳定运行。无无企业内部控制应用指引第18号信息系统第四条、第十条第四条企业应当重视信息系统在内部控制中的作用，根据内部控制要

48、求，结合组织架构、业务范围、地域分布、技术能力等因素，制定信息系统建设整体规划，加大投入力度，有序组织信息系统开发、运行与维护，优化管理流程，防范经营风险，全面提升企业现代化管理水平。第十条企业应当加强信息系统运行与维护的管理，制定信息系统工作程序、信息管理制度以及各模块子系统的具体操作规范，及时跟踪、发现和解决系统运行中存在的问题，确保信息系统按照规定的程序、制度和操作规范持续稳定运行。无无企业内部控制应用指引第18号信息系统第九条第九条企业应当切实做好信息系统上线的各项准备工作，培训业务操作和系统管理人员，制定科学的上线计划和新旧系统转换方案，考虑应急预案，确保新旧系统顺利切换和平稳衔接。

49、系统上线涉及数据迁移的，还应制定详细的数据迁移计划。控控制制活活动动控控制制活活动动编编号号标标准准控控制制活活动动现现有有控控制制活活动动IT-CA-11企业应当制定标准的灾难恢复计划，并经过适当的授权审批。灾灾难难恢恢复复计计划划的的制制定定及及审审批批公司需制定信息管理应急制度。具体内容包括但不仅限于：明确应急工作涉及的责任部门、岗位，并界定其职责分工和权限范围；应急机制启动的基本条件或标志性事件；规范应急处理工作的标准流程；应急工作报告机制；应急工作责任机制等。IT-CA-12配备专业人员负责处理信息系统运行中的突发事件，必要时应会同系统开发人员或软硬件供应商共同解决。突突发发事事件件

50、的的处处理理机机制制在条件成熟时，成本管理中心可以定期进行紧急应变及系统恢复演练，并根据测试结果改进信息管理相关工作。IT-CA-13企业应当建立标准流程来实施和记录系统变更，保证变更过程得到适当的授权与管理层的批准，并对变更进行测试。信息系统变更应当严格遵照管理流程进行操作。信息系统操作人员不得擅自进行软件的删除、修改等操作；不得擅自升级、改变软件版本；不得擅自改变软件系统的环境配置系系统统变变更更管管理理由于公司的信息系统均通过外购调试的采购方式，当各职能部门出现系统变更需求时，直接联系系统供应商进行系统变更调试，并未在系统实施前通过信息管理部的审核并签署意见，缺乏规范固化的系统变更流程。