XX公司信息系統管理內部控制業務流程一、業務目標1戰略目標1.1保證公司信息系統安全運行和信息流的有效傳遞，促進信息資源共享，規范信息管理，利用信息系統提高工作效率和管理水平，提高公司核心競爭力。2經營目標合理規劃建設信息系統，避免重復建設和資源浪費，保證信息系統建設的優質、高效和低成本。保護公司信息化系統的安全、促進公司信息化系統的應用和發展，保證公司信息化軟件系統的正常運行。加強網站的管理、使用、維護，發揮網站的正面引導作用。3財務目標確保通過信息系統生成的資料真實、準確、完整，報告可靠。4合規目標遵守知識產權的有關法律法規，使用合法軟件。符合合同法等國家法律、法規和公司內部規章制度。二、業務風險1戰略風險1.1信息系統管理制度設計不合理或控制不當，使信息系統不能安全運行、信息流不能有效傳遞，從而降低公司的核心競爭力。2經營風險信息系統建設項目不符合公司經營目標，重復建設、低效投資。技術方案不合理、不規范，系統功能存在問題，導致系統不能滿足規劃需求。信息系統安全問題導致網絡故障、病毒侵襲、非法入侵及泄密等，或系統災難無法及時恢復。未經審核，擅自變更相關合同標準文本中涉及的權利、義務條款，承擔違約風險。系統陳舊，導致不能滿足需求。財務風險信息系統建設、維護費用資料不完整、不準確、不真實，不能正確核算建設成本或費用。合規風險侵犯知識產權，導致訴訟爭議及公司聲譽受到損害。相關合同違反合同法等國家法律、法規和公司內部規章制度的要求，造成損失。信息系統管理流程設計不合理或控制不當，使對外披露的信息失真而受到外部監管機構的處罰。三、業務流程步驟與控制點1信息系統的建設編制、審定項目建議書綜合管理部根據相關職能部門提出的要求，會同相關部門結合公司發展需要進行有關建設信息系統的分析和調查，初步確定有關信息系統建設項目建議書，并提交給領導審批。經審批同意后，綜合管理部組織相關業務部門進行討論，如有必要應實地考察。經討論的項目建議書，交公司領導審批。項目投資金額不超過凈資產2%項目須報董事長審批，超過凈資產2%項目應由董事會批準。組織編制、審定項目解決方案項目建議書獲審定后，綜合管理部組織公司計劃財務部等相關業務部門成立項目組，由項目組開展項目前期工作，協同有關軟件供應商編制項目解決方案。項目解決方案如需委托編制，項目組應擬定合同文本，送法律顧問審核后報公司分管領導、總經理、董事長審批，并由董事長或其書面委托人員簽訂。外協單位按委托合同規定及時編制項目解決方案，并由項目組聘請有關專家對項目解決方案進行專家獨立評審。項目組參與審查項目解決方案。計劃財務部擬定資金籌措方案，經財務總監審批，資金籌措方案納入解決方案內。項目組將經審查的項目解決方案、項目建設請示報告和專家獨立評審報告送公司相關領導和董事長或董事會審批。項目實施一般項目由項目組具體組織實施項目方案。重大或重要的項目應選擇外協單位配合執行。項目組提出重大項目招標方案，送公司分管領導、總經理、董事長審核簽字。董事長審定招標方案，并由項目組負責組織實施，選定具有相應資格的外協單位。審計監察室參與審核招標方案，并對招（投）標過程的公開、公平、公正性實施監督并簽字。法律顧問對招標方案提出法律意見。項目組起草外協單位合作合同的文本，交法律顧問審核。公司分管領導、總經理、董事長審批合同文本，并由董事長或其書面委托人員簽訂，督促合同執行。外協單位按合同規定執行信息系統的設計、軟件的采購等，項目組監督、配合外協單位保質、高效地完成外協工作項目驗收在信息系統建設達到預定使用目標，項目組組織有關部門驗收。重大項目應同時聘請具備相關資質的外部獨立單位參與驗收。驗收部門現場操作、試用信息系統，并填寫階段性的驗收報告，報公司分管領導、財務總監、總經理審批。計劃財務部根據驗收報告和合同，支付階段進度款。各部門操作、試用信息系統至少三個月（或根據合同規定實行期限），隨時向綜合管理部信息中心反饋信息系統的運行情況。綜合管理部信息中心應將各部門反饋的資料進行整理、匯總，測試完畢達到既定的標準，填寫驗收報告，并向計劃財務部申請按合同支付相應尾款。如驗收不合格，應及時通知計劃財務部暫停付款，并通知外協單位及時維護。驗收合格后一年內支付尾款。綜合管理部信息中心在獲得軟件后，必須做好多套備份。2信息系統的日常維護建立健全信息系統管理制度，公司設立信息中心，歸口綜合管理部管理，信息中心應配備具有相應專業能力的人員。計算機機房管理實行專人負責制，機房應嚴格遵守公司有關管理制度及要求。信息設備的維護、維修公司使用的計算機由信息中心進行定期檢查、維護，一般每個月維護一次并安排專人負責或協調供應商進行信息設備的維護、維修工作。設備發生故障，使用部門和使用人作簡易處理仍不能排除故障的，要及時向信息中心申請維修，說明設備故障情況，填寫維修記錄單，經使用人、使用部門主管簽字后交綜合管理部。信息中心人員接到信息設備的維護、維修報告后，要及時進行維護、維修。屬于保修期內設備需要進行硬件維修的，由維修人員檢查后報信息中心，統一聯系保修單位維修或更換。信息設備的使用人要檢查維護、維修情況和設備修復情況，驗收后簽字確認。信息中心應做好備用及閑置設備的管理，對淘汰的計算機及設備應進行適當的回收、分揀處理，具體見固定資產處置業務流程。信息設備采購、驗收公司需用部門提出有關信息設備的采購、升級和更新報告，經公司分管領導審批后送公司信息中心評估。信息中心對報告進行評估后提出采購或升級、更新計劃，按照比質、比價的原則詢價，編制詢價報告，形成設備采購請示報告，報公司分管領導同意、總經理審批并確定供應商，當采購數量大、費用高（10萬元以上）時，還需經董事長審批。采購金額五萬元以上的，采用招標的方式進行采購。信息中心草擬采購合同，法律顧問審核。信息中心將采購合同與法律顧問的審核意見報分管領導、董事長審批，由董事長或授權人員簽訂。信息中心根據采購合同采購。信息中心組織相關部門進行驗收，編制驗收報告，由驗收人員簽字。信息中心存檔、保管相應軟件和說明，并將采購情況報告公司分管領導。計劃財務部根據采購合同、發票及驗收報告，經財務總監、總經理審批后付款。信息中心通知公司使用部門領取信息設備，并詳細登記領用情況。信息中心統一建立實物臺帳，每一臺設備由使用人或使用部門負責保管，使用部門、使用人在實物登記表或設備到貨清單上簽字確認。未經公司信息中心同意，任何人不得擅自安裝、拆卸或改變網絡設備，不得損壞、破壞網絡設備。網絡及網絡安全管理建立健全網絡及網絡安全管理制度信息中心設置專人負責計算機網絡及網站的管理，從網絡技術上積極采取安全防范措施和監控措施，防止泄密和外來黑客攻擊，保證網絡正常、安全運行，及時排除網絡故障。信息中心組織制定網絡安全管理方案，網絡安全管理人員負責網絡安全工程施工管理、驗收和網絡安全維護。網絡安全設備的配置和規則設置由網絡安全管理人員協同產品供應商進行，并由網絡安全管理人員控制掌握。網絡安全設備的配置和規則設置更改，由公司網絡安全管理人員負責，其它人員不得改動。凡需安裝計算機網絡終端設備，進入計算機網絡的用戶，由信息中心統一安排聯網。信息中心組織公司信息系統工作人員學習網絡安全相關的法律法規，進行網絡安全知識培訓，提高工作人員的維護網絡安全的警惕性和自覺性。網絡安全管理人員負責對本網絡的用戶進行安全教育和培訓，使其具備基本的網絡安全知識。公司員工如發現網絡運行不正常，應及時通報信息中心進行處理。網絡安全管理人員負責協助信息設備用戶正確安裝、使用軟件、病毒防火墻，并按說明定期進行防火墻升級。信息中心統一購買電腦殺毒軟件，并定期升級更新。電腦感染病毒，計算機用戶不能殺除的，須即時通知信息中心進行處理。計算機入網前必須到公司信息中辦理登記手續方可接入。未經許可，不得私自將計算機接入。建立健全數據備份管理制度信息中心安排系統維護人員負責建立數據備份系統，防止系統、數據的丟失。由網絡系統管理員負責將以下信息存儲于磁介質及光盤上,并認真填寫備份日志,記錄下備份的內容、時間：網絡服務器端操作系統、系統及應用軟件、數據庫信息、網站信息、文檔數據庫、共享資源平臺，CM0S數據。文件服務器實行雙硬盤同時工作，硬盤要做鏡像備份。系統維護人員應按照公司有關規定時間進行備份。備份數據及相關的數據檔案統一保存在信息中心。未經領導批準不得外借。數據備份和數據存儲用的磁介質要嚴格管理、妥善保存。一旦發生數據丟失或數據破壞等情況，必須由系統維護人員進行備份數據的恢復,以免造成不必要的麻煩或更大的損失；如遇服務器遭受攻擊或網絡病毒，造成數據丟失或系統崩潰，需要進行數據恢復，需由網絡管理員執行恢復程序。同時將具體情況做記錄。建立健全信息系統保密管理制度：信息網絡的系統軟件、應用軟件及信息數據要實施保密措施，嚴格按照保密等級實施保護。不得向非公司工作人員透露內部網登錄用戶名和密碼，做好各個應用系統的用戶名和密碼的保密工作。系統軟件應對訪問權限嚴格限制，對不同的操作人員、不同的信息等級分設密碼。系統管理員密碼絕對保密，根據用戶需求嚴格控制、合理分配用戶權限。使用者由信息中心分配各自的操作密碼，嚴格防止非授權人員接觸和修改已存儲數據。除系統管理員以及授權人外，其他人不得進入服務器對已存儲數據進行查詢或修改。軟件系統實施及維護管理軟件系統維護由于業務政策變化、數據破壞等因素，需對軟件的內容、數據進行修改維護時,由業務主管部門負責人提出修改意見，送達信息中心，信息中心系統管理人員進行修改維護，同時作好相應的維護記錄。系統維護員必須定期檢測軟件運行情況，及時進行計算機病毒的預防、檢查工作。發現潛在危險及時通知操作人員中止軟件運行，盡快處理。程序修正與軟件數據調整、數據的修正與恢復按照公司有關規定執行。3網站管理公司外網由信息中心負責或協調公司選定的網絡公司進行維護、修改和上傳信息。公司信息中心網站管理人員每天定時（六次以上）登錄網站論壇，維護、整理網站內容。公司各部門分別管理業務相關的論壇板塊，不定時登錄論壇，對具傾向性、普遍性的問題的帖子及時作出回復。如用戶發出的帖子內容與論壇板塊不符時，一般由信息中心負責通知相關部門處理。信息中心根據信息量多少，不定時收集網站論壇相關信息，報送公司相關領導。網管人員應及時更新網站內容，保證網站及時、快捷地反映公司動態。如公司內外網站需新建或改版，由信息中心聯系網絡公司，按照公司要求，制定網站建設或改版方案，經公司分管領導、總經理審查批準后實施。公司信息中心參與網站制作方案的制定和功能設計。4建立健全信息收集、傳遞、上傳管理制度信息收集公司各部門指定一至二名專（兼）職信息員，負責公司信息收集、傳遞和上傳。各部門需傳遞的信息須經部門負責人審批后傳遞至公司信息中心。信息中心每周星期一必須對上周信息進行匯總，若需通過外網發布信息，須由信息中心經公司分管領導、總經理審批并簽字。公司信息中心負責國家相關政策、行業信息（包括競爭對手信息、新技術信息、市場信息）的收集和公司生產經營信息的匯總、分類等。并將收集的信息進行編輯，每月編制一期《情報通訊》，以書面或電子郵件方式報送相關領導和部門。信息收集部門或人員在傳遞信息的過程中應保證信息的安全。信息中心與各部門、分公司的信息傳遞以書面、電子郵件等方式進行，并做好傳遞中的信息安全。信息管理人員應做好信息備份工作，保證系統遭破壞后，公司信息不會丟失。信息管理人員應對信息保密，不得將數據庫內敏感信息和保密信息外泄。公司規定信息資源共享的等級和范圍，明確各密級信息的使用權限，信息中心在計算機系統設置用戶存取資格檢查和身份識別功能，重要信息采取加密措施。各部門均分配專門的電子郵箱，實現無紙化傳遞不保密文件，各部門負責人應在每個工作日的上、下班時間檢查電子郵件，并進行處理。信息人員在對信息進行加工時，要對其實質內容加以鑒別，力求真實準確，分清其輕重緩急，認真處理，并反復分析、綜合。信息中心負責每半年召開一次公司信息工作例會。各部門需要通過公司外網發布的信息，須經公司分管領導批準同意后由信息中心上傳至外網。5信息系統管理監督及檢查對信息系統管理情況進行專項檢查，也可結合內部審計和外部審計期間檢查、審計等工作進行。對信息系統管理情況進行專項檢查的內容包括但不限于：信息系統管理業務相關崗位及人員的設置情況。重點檢查有關信息系統管理是否存在不相容職務混崗的情況。信息系統管理業務不相容崗位一般包括：信息設備采購的申請與審批；信息設備采購的詢價與確定供應商；信息設備的保管與清查；信息設備采購的審批、執行與相關會計記錄；設備登記實物賬與登記價值賬；軟件的使用與維護；信息資源上傳的申請與審批等。信息系統管理授權批準制度的執行情況。重點檢查對外披露信息的授權批準手續是否健全，是否存在越權審批行為。信息系統管理決策責任制的建立及執行情況。重點檢查責任制度是否健全，獎懲措施是否落實到位。信息系統管理制度的執行情況。重點檢查信息的收集、傳遞、上傳是否經過授權批準，是否按規定及時處理有關的信息資料。各類款項支付制度的執行情況。重點檢查信息系統建設工程款、材料設備款及其他費用的支付是否符合相關法規、制度和合同的要求。綜合管理部作為公司信息系統歸口管理部門，每年12月底前至少一次檢查公司各部門信息系統管理制度執行情況。每年末對信息收集、傳遞工作進行評比，對傳遞信息及時、質量高、數量足等信息工作成績突出的集體或個人給予一定的精神和物質獎勵。審計監察室應在信息系統管理的過程中進行不定期或定期的檢查，并將檢查情況和有問題單位的整改情況上報董事會。董事會對審計監察室上報的檢查情況通報各部門，對存在以下問題的單位，在公司內部通報批評，下達整改通知，有關單位應采取有效措施進行整改，確屬相關人員工作不力的，視其情節，采取教育、賠償、經濟處罰、通報批評、調離崗位、行政處分等措施，直至移交公安機關依法