1、11.3 ERP系統IT一般性控制流程一、 業務目標1經營目標1.1 保證系統長長期穩定、安安全、高效運運行。1.2保證系系統數據的準準確性、實時時性和完整性性。1.3保證業業務流程的通通流效率，為為企業的經營營和發展提供供技術支撐。2合規目標2.1 遵守保護知知識產權的有有關法律法規規，使用合法法軟件。2.2 信息技術合合同符合合同同法等股份公公司制度、國國家法律和法法規。2.3 系統數據的的收集、提供供、使用和轉轉讓符合股份份公司有關制制度以及國家家安全、保護護知識產權、合合同法等法律律、法規的要要求。2.4 業務系統的的生成報表、合合并報表編制制過程的真實實性、完整性性、可靠性符符合國家

2、規定定及上市地監監管機構要求求。二、 業務務風險1 經營風險本流程適用于于股份公司EERP單軌運運行企業ERRP系統ITT一般性控制制。1.1 規章制度不不健全，導致致系統管理失失控。1.2 技術方案不不合理，業務務流程不規范范，系統功能能存在問題，導致系統統不能滿足業業務需求。1.3系統登登錄訪問機制制不健全、用用戶權限管理理不規范等，導致對系統的非非法或非授權權訪問。1.4 數據收集、轉轉換和清理的的管理不完善善，導致系統統存在大量垃垃圾數據和系系統數據失真真。1.5變更管管理不規范，客客戶化開發、測測試和傳輸管管理不完善，導導致系統故障障、影響系統統正常運作或或系統功能不不能滿足業務務需

3、求。1.6 系統運行狀狀態監控不到到位，系統潛潛在故障處理理不及時，支支持體系不健健全，影響系系統正常運行行。1.7 上線方案不不合理，導致致系統上線失失敗。1.8 上線月結差異異分析報告不不準確，導致致系統數據錯錯誤無法糾正正，影響系統統正確性。1.9備份策策略和備份方方案不完善，導導致數據丟失失或數據、系系統無法恢復復。1.10培訓訓工作不到位位，導致用戶戶操作不熟練練，無法保證證業務處理的的正確性。1.11 沒有建立立完善的應急急預案，影響響到業務處理理。2合規風險2.1 侵犯知識產產權，導致訴訴訟及股份公公司聲譽受到到損害。2.2 系統數據的的收集、提供供、使用、轉轉讓違反國家家法律法

4、規及及股份公司內內部規章制度度等，導致系系統無法正常常運行。2.3重要業業務報表的編編制不符合規規定，導致股股份公司聲譽譽受到損害及及受相關機構構處罰。三、 業業務流程步驟驟與控制點1程序和數據據訪問1.1總部各各部門、分（子子）公司依據據中國石油油化工股份有有限公司管理理信息系統應應用管理辦法法（試行）（以以下簡稱信信息系統應用用管理辦法）等等，制定程序序和數據訪問問管理制度,主要包括用用戶權限管理理、用戶帳號號管理、用戶戶登錄管理、超超級用戶管理理及第三方人人員管理等內內容。1.2用戶權權限管理1.2.1建建立/變更用用戶帳號和角色，由由申請人填寫寫ERP系統統用戶權限申申請表，經相相關部

5、門負責責人審批后，由由應用管理員員在系統中建建立/維護權權限，相關人人員進行權限限測試并確認認，關鍵用戶戶對角色矩陣陣實時維護并并進行版本管管理。1.2.2操操作人員由于于崗位變動或或離開單位，人人事部門必須須及時通知EERP支持中中心，ERPP支持中心應應用管理員在在系統中將該該用戶進行鎖鎖定或刪除。1.3用戶帳帳號管理1.3.1應應用管理員每每季度在線檢檢查用戶權限限使用情況，至至少每半年將將系統用戶清清單提交相關關部門，由關鍵用戶和和部門負責人人審核確認，應應用管理員根根據審核結果果在系統中進進行相應處理理。1.3.2應應用管理員在在系統中為每每個操作人員員設置獨立的的用戶帳號，不不能設

6、置共享享用戶帳號（查查詢用戶帳號號除外）。1.3.3對對于數據庫層層面用戶（如如系統接口訪訪問用戶等），相相關部門填寫寫用戶申請，由由部門負責人人簽字確認，經經信息管理部部門審批后，由由數據庫管理理員創建該類類用戶。1.4對于系系統登錄訪問問，要設置合合理的密碼規規則，密碼長長度6位以上上，采用數字字和字符組合合方式，不能能使用弱密碼碼；用戶密碼碼3個月內必必須更新一次次；帳號密碼重復復輸入5次錯錯誤則暫停登登錄或系統鎖鎖定；系統自自動退出帳號號登錄的最大大空閑時間不不能超過500分鐘。1.5相關管管理員的管理理1.5.1應應用管理員（BBASIS管管理員和權限限管理員）、系系統管理員（操操作

7、系統管理理員、數據庫庫管理員）、安安全管理員必必須授權管理理，遵循不相相容崗位分離離原則，并且且不能具有業業務操作權限限及開發權限限；信息管理理部門負責人人應至少每半半年對上述管管理員的在職職情況進行審審查。1.5.2應應用管理員負負責監控應用用系統運行情情況、備份情情況和日志，并并完成監控記記錄；系統管管理員負責監監控操作系統統、數據庫及及備份設備運運行情況和日日志，并完成成監控記錄；安全管理員員每季度對相相關管理員的的操作日志至至少檢查一次次并記錄檢查查情況。1.6生產系系統上線投入入運行后，鎖鎖定生產系統統中的開發人人員、關鍵用用戶的帳號；如果開開發人員或關關鍵用戶必須須在生產系統統中診

8、斷問題題，需填寫EERP系統用用戶權限申請請表（提出申申請帳號目的和期期限），由相相關部門負責責人簽字確認認后由應用管管理員進行維維護，完成問問題診斷任務務后鎖定該帳帳號。1.7預置帳帳號的管理1.7.1系系統管理員在在操作系統安安裝完成后對對服務器根帳帳號（rooot）密碼進進行修改，并并至少三個月月更換一次密密碼，密碼以以安全方式妥妥善保存。1.7.2系系統管理員在在數據庫和SSAP軟件安安裝好后，需用sapddba的工具具修改SAPP系統預置帳帳號（SAPPR3，SYYS，SYSSTEM）的的缺省密碼，并并至少三個月月更換一次密密碼，密碼以以安全方式妥妥善保存。1.7.3 應用管理理員在

9、SAPP軟件安裝好好每次創建CClientt后，須修改SAAP系統預置置帳號（SAPP*/DDIIC）缺省密密碼，密碼以以安全方式妥妥善保存。1.8業務支支持人員支持持權限的新建建、變更、刪刪除、鎖定需需經ERP支支持中心負責責人審核簽字字后由應用管管理員在系統統中進行分配配，業務支持持人員在生產產系統中只有有相應模塊的的顯示、跟蹤蹤權限，不能能分配業務操操作權限、后后臺配置權限限。1.9 超級用戶戶權限必須嚴嚴格控制，申申請時必須闡闡明使用原因因，并經ERRP支持中心心負責人審核核簽字后，應應用管理員才才能在系統中中進行分配，使使用后要及時時將權限回收收。1.10第三三方人員管理理1.10.

10、1針對第三方方合作單位需需要簽訂安全全保密協議。1.10.2第三方人員員訪問系統，需需填寫第三方方人員帳號申請表（需需注明使用期期限和權限），經經需求部門負負責人、信息息管理部門（責責任處（科）室室）負責人審審批通過后，由應用管理員根據申請表在系統中建立其帳號。第三方人員撤離離后，其帳號號需在系統中中進行刪除或或鎖定，如確確需訪問系統統診斷問題，需需按照用戶權權限維護程序序經審批后方方可解鎖/創創建;維護完完畢后應及時時鎖定或刪除除。2.程序變更更2.1總部各各部門、分（子子）公司依據據信息系統統應用管理辦辦法，制定定程序變更管管理制度,主主要包括客戶戶化開發變更更管理、系統統配置變更管管理、

11、軟件版版本變更管理理等內容。2.2客戶化化開發變更管管理。2.2.1 對于功能能增強/表單單/報表/系系統接口等客客戶化開發的的新需求或者者對已有客戶戶化開發的變變更，由需求求變更部門填填寫系統開發發變更申請表表（簡要描述述功能需求和和功能說明），經經提報單位的的需求變更部部門、信息管管理部門/EERP支持中中心負責人審審核后報信息息系統管理部部審批。2.2.2 信息系統統管理部組織織人員根據審審批后的客戶戶化開發變更更需求在開發發環境中進行行開發，完成成開發后由提提報單位的業業務人員在測測試環境中進進行測試，針針對變更部分分編制測試文文檔（包括測測試場景和測測試結果），經經業務人員及及部門負

12、責人人簽字確認后后，由提報單單位的應用管管理員按照傳傳輸管理要求求傳入生產系系統。2.2.3 提報單位位ERP支持持中心組織需需求變更部門門對客戶化開開發變更內容容進行記錄，包包括更新客戶戶化功能說明明文檔、技術術說明文檔、測測試文檔等，由由ERP支持持中心歸檔。2.3系統統配置變更管管理2.3.1 現有系統統配置需進行行調整，應由由需求部門填填寫“系統配置變變更申請表”，經部門負負責人簽字確確認后提交信信息管理部門門審核。與EERP推廣模模板有差異的的或者組織架架構、業務流流程發生變化化的變更，以以及新增功能能模塊，需信信息系統管理理部負責人審審批并組織實實施；其他系系統配置變更更，由信息管

13、管理部門授權權支持人員或或第三方人員員根據審批后后的變更需求求進行業務流流程設計，經經相關部門負負責人簽字確確認后在開發發環境進行配配置修改，由由被授權人員員填寫系統配配置變更記錄錄，并將變更更記錄報總部部ERP支持持中心備案。2.3.2凡凡涉及業務流流程、數據庫庫變動的配置置變更，由提提報單位的業業務人員在測測試環境中進進行測試，針針對變更部分分編制測試文文檔（包括測測試場景和測測試結果），經經業務部門負負責人簽字確確認后，應用用管理員按照照傳輸管理要要求傳入生產產系統。2.3.3系系統配置變更更后由ERPP支持中心組組織相關人員員及時修改配配置文檔，并并根據需要編編寫用戶手冊冊，進行業務務

14、人員培訓。2.4軟件補補丁和版本變變更管理2.4.1針針對軟件補丁丁/版本升級級，信息管理理部門提出申申請，由信息息系統管理部部負責人審批批后統一組織織實施。2.4.2由由信息管理部部門/ERPP支持中心根根據審批后的的軟件變更，組組織支持人員員、相關部門門關鍵用戶提提出測試流程程清單，在測測試環境進行行系統功能的的全面測試，測測試人員需在在測試流程清清單上簽字確確認，并填寫寫測試記錄。2.4.3EERP支持中中心負責人檢檢查測試流程程清單是否完完整，并在簽簽字確認后，由由應用管理員員根據補丁/版本升級方方案在生產系系統完成補丁丁安裝或者版版本升級工作作，并進行軟軟件補丁/版版本升級記錄錄。3

15、.程序開發發3.1總部各各部門、分（子子）公司依據據信息系統統應用管理辦辦法，制定定程序開發管管理制度,主主要包括業務務流程設計管管理、客戶化化開發和系統統配置管理等等內容。3.2信息管管理部門負責責組建項目組組，包括承擔擔系統實施的的人員（以下下簡稱咨詢顧顧問）和關鍵鍵用戶。項目目組根據ERRP項目可行行性研究報告告和批復進行行業務流程設設計，并經關關鍵用戶、業業務部門負責責人簽字確認認。3.3對于功功能增強/表表單/報表/系統接口等等客戶化開發發，由業務部部門提出需求求，并編制開開發需求功能能說明書，其其中需描述訪訪問權限要求求。項目組根根據功能說明明書編制客戶戶化開發清單單，提交相關關部

16、門負責人人簽字確認。3.4開發人人員根據開發發需求功能說說明書在開發發環境中完成成開發工作，將將開發結果提提交業務人員員進行測試，并并經業務人員員及部門負責責人簽字確認認。3.5咨詢顧顧問依據簽字字確認的業務務流程設計進進行系統配置置，并編寫配配置文檔；關關鍵用戶對配配置文檔進行行審核并簽字字確認。3.6系統配配置測試管理理3.6.1系系統配置完成成后，由咨詢詢顧問和關鍵鍵用戶在測試試系統進行集集成測試，記記錄測試過程程，并對集成成測試記錄簽簽字確認。3.6.2集集成測試完成成后，由最終終用戶在測試試系統進行用用戶接受測試試，記錄測試試過程，并對對接受測試記記錄簽字確認認。3.7開發測測試環境

17、和傳傳輸管理3.7.1客客戶化開發、系系統配置、系系統變更工作作遵循“開發系統至至測試系統、測測試系統至生生產系統”的技術架構構完成，并按按照傳輸管理理規范進行傳傳輸。3.7.2測測試系統和生生產系統上生生成的傳輸請請求需經信息息系統管理部部相關處室負負責人審批，并并報總部ERRP支持中心心備案。3.8用戶操操作手冊編制制和培訓3.8.1咨咨詢顧問及關關鍵用戶按照照流程設計和和系統配置編編寫并及時更更新用戶操作作手冊。3.8.2信信息管理部門門組織培訓及及考核，業務務人員經考核核合格后方可可上崗。3.9數據轉轉換管理3.9.1業業務部門組織織人員按照數數據收集模板板收集和整理理相關業務數數據，

18、并進行行盤點；相關關部門負責人人須審核收集集的數據，并并在“數據簽字清清單”上簽字確認認。3.9.2業業務人員對導導入/補錄入入系統的數據據進行核對，核核對結果需經經部門負責人人簽字確認。3.10系統統切換和月結結差異分析3.10.1咨詢顧問制制定系統切換換方案，需經經項目組負責責人簽字確認認。3.10.2項目組根據據“ERP系統統上線申請標標準”編制上線申申請報告，并并提交總部EERP項目管管理組審核。3.10.3相關部門對對系統并行期期間月結差異異進行分析，編編制差異分析析報告，并提提交總部ERRP項目管理理組審核批復復。4.系統運行行4.1總部各各部門、分（子子）公司依據據信息系統統應用

19、管理辦辦法，制定定系統運行管管理制度,主主要包括系統統監控機制、數數據導入管理理、后臺作業業管理、數據據備份與災難難恢復策略、支支持體系、應應急預案等內內容。4.2批導入入數據管理4.2.1外外部數據導入入前，業務部部門負責人需需對外部數據據審核簽字，業業務人員對數數據格式進行行檢查；保留留導入的外部部數據以備復復查（財務數數據保留至年年結后，業務務數據保留至至月結后）。4.2.2對對周期性導入入的外部數據據的數據模板板，需經相關關部門負責人人審核簽字，業業務人員在數數據導入系統統前需對數據據的格式進行行檢查。4.3后臺作作業管理4.3.1信信息管理部門門會同相關部部門制定后臺臺作業批處理理計劃，相關關責任人簽字字確認，由應應用管理員執執行后臺作業業批處理。4.3.2應