内部控制制度-信息系统一般控制

内部控制制度——信息系统一般控制第一章总则第一条为了充分利用**公司（以下简称“公司〃）信息系统，规*交易行为,提高信息系统的可靠性、稳定性、平安性及数据的完整性和准确性，降低人为因素导致内部控制失效的可能性，形成良好的信息传递渠道，根据国家有关法律法规和〃企业内部控制根本规*〃，制定本制度第二条本制度所称信息系统是指利用计算机技术对业务和信息进展集成处理的程序、数据和文档等的总称第三条公司在信息系统管理过程中，至少应关注涉及信息系统一般控制的以下风险

（一）信息系统开发与使用违反国家法律法规，可能遭受外部处分、经济损失和信誉损失

（二）信息系统开发与使用未经适当审核或超越授权审批，可能因重大过失、舞弊、欺诈而导致损失（三〕信息系统设计功能不科学、维护与变更程序不规*,可能导致公司经营效率与效果低下

（四）信息系统外包效劳未恰当履行或监控不当，可能导致公司权益受损或违约损失

（五）信息系统访问平安措施不当，可能导致商业秘密泄露

（六）信息系统硬件管理不当，可能导致公司资产或股东权益受损第四条公司在建立与实施信息系统内部控制过程中，至少应强化对以下关键方面或关键环节的控制

（一）职责分工、权限*围和审批程序应明确规*,机构设置和人员配备应科学合理，重大信息系统开发与使用事项应履行审批程序

（二）信息系统开发、变更和维护流程应清晰合理（三〕应建立访问平安制度，操作权限、信息使用、信息管理应有明确规定

（四）硬件管理事项和审批程序应科学合理

（五）会计信息系统流程应规*,会计信息系统操作管理、硬件、软件和数据管理、会计信息化档案管理应完善第二章岗位分工与授权审批第五条公司应建立计算机信息系统岗位责任制计算机信息系统岗位一般包括（一〕系统分析分析用户的信息需求，并据此制定设计或修改程序的方案

（二）编程编写计算机程序来执行系统分析岗位的设计或修改方案

（三）测试设计测试方案，对计算机程序是否满足设计或修改方案进展测试，并通过反应给编程岗位以修改程序并最终满足方案（四〕程序管理负责保障并监控应用程序正常运行（五〕数据库管理对信息系统中的数据进展存储、处理、管理，维护组织数据资源

（六）数据控制负责维护计算机路径代码的注册，确保原始数据经过正确授权，监控信息系统工作流程，协调输入和输出，将输入的错误数据反应到输入部门并跟踪监控其纠正过程，将输出信息分发给经过授权的用户

（七）终端操作终端用户负责记录交易内容，授权处理数据，并利用系统输出的结果系统开发和变更过程中不相容岗位（或职责）一般应包括开发（或变更）立项、审批、编程、测试系统访问过程中不相容岗位（或职责）一般应包括申请、审批、操作、监控第六条公司计算机信息系统战略规划、重要信息系统政策等重大事项应经由董事会审批通过后，方可实施信息系统战略规划应与公司业务目标保持一致信息系统使用部门应该参与信息系统战略规划、重要信息系统政策等的制定第七条公司应指定专门部门（或岗位，下称归口管理部门）对计算机信息系统实施归口管理，负责信息系统开发、变更、运行、维护等工作财会部门负责信息系统中各项业务账务处理的准确性和及时性；会计电算化制度的制定；财务系统操作规定等生产、销售、仓储及其他部门（下称用户部门）应根据本部门在信息系统中的职能定位，参与信息系统建立，按照归口管理部门制定的管理标准、规*、规章来操作和运用信息系统公司管理层应该明确定义系统归口管理部门和用户部门〔含财会部门）在保证系统正常平安运行过程中各自承当的职责,制定部门之间的职责分工表第三章信息系统开发、变更与维护控制第八条计算机信息系统开发包括自行设计、外购调试和外包合作开发公司在开发信息系统时，应充分考虑业务和信息的集成性，优化流程，并将相应的处理规则（交易权限）嵌入到系统程序中，以预防、检查、纠正错误和舞弊行为，确保公司业务活动的真实性、合法性和效益性第九条公司计算机信息系统开发应遵循以下原则（一〕因地制宜原则应根据行业特点、公司规模、管理理念、组织构造、核算方法等因素设计适合本单位的计算机信息系统（二〕本钱效益原则计算机信息系统的建立应能起到降低本钱、纠正偏差的作用，根据本钱效益原则，可以选择对重要领域中关键因素进展信息系统改造

（三）理念与技术并重原则计算机信息系统建立应将信息系统技术与信息系统管理理念整合，应倡导全体员工积极参与信息系统建立，正确理解和使用信息系统，提高信息系统运作效率第十条信息系统开发必须经过正式授权具体程序包括:用户部门提出需求;归口管理部门审核；公司负责人授权批准；系统分析人员设计方案；程序员编写代码；测试员进展测试；系统最终上线；系统维护等第十一条公司应成立工程管理小组，负责信息系统的开发，对工程整个过程实施监控对于外包合作开发的工程，公司应加强对外包第三方的监控第十二条外购调试或外包合作开发等需要进展招投标的信息系统开发工程,公司应保证招投标过程公平、公正、公开第十三条公司应制定详细的信息系统上线方案对涉及新旧系统切换的情形，公司应在上线方案中明确应急预案，保证新系统一旦失效，能够顺利切换回旧的系统状态第十四条新旧系统切换时，如涉及数据迁移，公司应制定详细的数据迁移方案用户部门应积极参与数据迁移过程，对数据迁移结果进展测试，并在测试报告上确认第十五条信息系统在投入使用前应至少完成整体测试和用户验收测试，以确保系统的正常运转第十六条信息系统原设计功能未能正常实现时一，公司应指定相关人员负责详细记录，并及时报告归口管理部门归口管理部门负责系统程序修正和软件参数调整，以实现设计功能第十七条信息系统上线后，发生的功能变更，应参照上款有关系统开发的审批和上线程序执行第十八条公司应积极倡导采用预防性措施，确保计算机信息系统的持续运行常见预防性措施包括但不限于日常检测、设立容错冗余、编制应急预案等第四章信息系统访问平安第十九条公司应制定信息系统工作程序、信息管理制度以及各模块子系统的具体操作规*第二十条计算机信息系统操作人员不得擅自进展系统软件的删除、修改等操作，不得擅自升级、改变系统软件版本，不得擅自改变软件系统环境配置第二十一条公司应对信息系统操作人员的账号、密码和使用权限进展严格规*,建立相应的操作管理制度未经操作培训的人员不得作为操作人员第二十二条公司应建立账号审批制度，加强对重要业务系统的访问权限管理对于发生岗位变化或离岗的用户，公司应及时调整其在系统中的访问权限公司应定期对系统中的账号进展审阅，防止有授权不当或非授权账号存在对于超级用户等特权用户，公司应该严格限制其使用，并对其在系统中的操作全程进展监控使用完毕后，应由不相容岗位对其操作日志进展审阅第二十三条公司应充分利用操作系统、数据库、应用系统自身提供的平安性能，在系统中设置平安参数，以加强系统访问平安制止未经授权人员擅自调整、删除或修改系统中设置的各项参数涉及上网操作的，公司应加强防火墙、路由器等网络平安方面的管理第二十四条公司可以结合实际情况，本着审慎、稳健的原则，将信息系统访问平安事项交由第三方管理在此情形下，公司应加强对第三方的监控第二十五条公司应定期检测信息系统运行情况，及时进展计算机病毒的预防、检查工作，制止用户安装非法防病毒软件和私自卸载公司要求安装的防病毒软件第二十六条信息系统操作人员应在权限*围内进展操作，不得利用他人的口令和密码进入软件系统更换操作人员或密码泄露后，必须及时更改密码操作人员如果离开工作现场，必须在离开前锁定或退出已经运行的程序，防止其他人员利用自身账号操作第二十七条公司应利用计算机信息系统建立信息化平台，规*信息的使用和传递，促进业务流程与信息流程的统一，提高经营管理的效率和效果第二十八条公司应对所有的重要信息进展划分，包括书面形式和电子媒介形式保存的信息公司可以根据信息的重要性程度和泄密风险损失等划分标准，将信息分为绝密类、**类、秘密类和重要类等，并建立不同类别信息的授权使用制度第二十九条公司计算机信息系统应划分为生产、销售、存储等子系统，及时反映和记录交易交易责任部门在其授权*围内对子系统录入信息的真实性、完整性、准确性和及时性负责，并定期检查、核对所录信息第三十条公司财会部门应认真审核采购、生产、销售、仓库等部门与财务相关的关键业务数据，保证会计信息与业务流程在时间、数量和价值上的统一第三十一条公司应建立信息数据变更处理［包括数据导入、数据提取、数据修改等）规*一经发现已输入数据信息有误，必须按照信息系统操作规定加以修正第三十二条公司应建立数据信息定期备份制度和数据批处理或实时处理的处理前自动备份制度并在备份完毕后，将备份介质异地保存第三十三条公司应编制完整、具体的灾难恢复方案同时应定期检测、及时修正该方案第五章硬件管理第三十四条公司应制定计算机信息系统硬件管理制度，对设备的新增、报废、流转等情况建档登记，统一管理第三十五条公司应将计算机硬件设备放置在适宜的物理环境中，由专人负责管理和检查，其他任何人未经授权不得接触计算机信息系统硬件设备对于主要系统效劳器应配备不中断电源供应设备第三十六条硬件设备的更新、扩大、修复等工作应由相关人员提出申请，报上级主管负责人审批第三十七条公司操作人员应严格遵守用电平安，不得在计算机专用线路上使用其他用电设备第三十八条公司应完善计算机信息系统硬件设备异常状况处理制度一经发生异常状况（如冒烟、打火、异常声响等），应立即通知有关部门，并按处理制度进展处理第六章会计信息化及其控制第三十九条公司应加强会计信息化工作，并对其工作流程进展有效控制本制度所称会计信息化是指利用计算机信息技术代替人工进展财务信息处理，以及替代局部由人工完成的对会计信息的分析和判断的过程第四十条公司应建立会计信息化操作管理制度，明确会计信息系统的合法有权使用人员及其操作权限和操作程序，形成分工牵制的控制形式公司出纳人员不得兼任电算化系统管理员，不得兼任记账凭证的审核工作第四十一条公司应建立会计信息系统硬件、软件和数据管理制度，重点关注以下风险和控制点

（一）对正在使用的会计核算软件进展修改、对通用会计软件进展升级和对计算机硬件设备进展更换时，公司应有规*的审批流程，并采取替代性措施确保会计数据的连续性

（二）公司应健全计算机硬件和软件出现故障时进展排除的管理措施，保证会计数据的完整性

（三）确保会计数据平安**,防止对数据的非法修改和删除第四十二条公司应建立信息化会计档案管理制度本制度所称信息化会计档案是指存储在磁性介质或光盘介质的会计数据和计算机打印出来的书面等形式的会计数据，包括记账凭证、会计账簿、会计报表（包括报表格式和计算公式）等数据公司应指定专人负责信息化会计档案的管理，做好防消磁、防火、防潮和防尘等工作；对于存储介质保存的会计档案，应定期检查，防止由于介质损坏而使会计档案丧失第七章附则第四十三条本制度适用于公司及所属公司，包括公司总部、各分公司及全资子公司、控股子公司第四十四条公司及所属公司可以参照本制度制定相关实施细则或具体执行方法，实施细则或执行方法不得违反本制度相关规定实施细则或执行方法经公司总经理办公会批准后执行，并上报公司备案第四十五条本制度由公司董事会负责解释和修订第四十六条本制度自公司董事会审议批准之日起执行，修改时亦同。