计算机信息系统(11页).docVIP

企业内部控制具体规范第xx号——计算机信息系统 （征求意见稿） 第一章 总 则 第一条 为了引导企业充分利用计算机信息系统规范交易行为，提高信息系统的可靠性、稳定性、安全性及数据的完整性和准确性，降低人为因素导致内部控制失效的可能性，形成良好的信息传递渠道，根据国家有关法律法规和《企业内部控制规范——基本规范》，制定本规范。 第二条 本规范所称计算机信息系统是指利用计算机技术对业务和信息进行集成处理的程序、数据和文档等的总称。 第三条 企业在建立并实施计算机信息系统内部控制制度中，至少应当强化对以下关键方面或者关键环节的风险控制，并采取相应的控制措施： （一）权责分配和职责分工应当明确，重大信息系统事项应履行审批程序； （二）信息系统开发、变更和维护流程应当清晰，授权审批程序应当明确； （三）信息系统应当建立访问安全制度，操作权限、信息使用、信息管理应当有明确规定； （四）硬件管理事项和审批程序应当科学合理； （五）会计电算化流程应当规范，会计电算化操作管理、硬件、软件和数据管理、会计电算化档案管理和会计电算化账务处理等制度应当完善。 第二章 岗位分工与授权审批 第四条 企业应当建立计算机信息系统岗位责任制。计算机信息系统岗位一般包括： （一）系统分析：分析用户的信息需求，并据此制定设计或修改程序的方案。 （二）编程：编写计算机程序来执行系统分析员的设计和修改方案。 （三）计算机操作：负责运行并监控应用程序。 （四）数据库管理：综合分析、设计系统中的数据需求，维护组织数据资源。 （五）信息系统库管理：在单独的信息系统库中存储暂时不用的程序和文件，并保留所有版本的数据和程序。 （六）数据控制：负责维护计算机路径代码的注册，确保原始数据经过正确授权，监控信息系统工作流程，协调输入和输出，将输入的错误数据反馈到输入部门并跟踪监控其纠正过程，将输出信息分发给经过授权的用户。 （七）终端：终端用户负责记录交易内容，授权处理数据，并利用系统输出的结果。 系统开发和变更过程中不相容岗位（或职责）一般应包括：开发（或变更）审批、编程、系统上线、监控。 系统访问过程中不相容岗位（或职责）一般应包括：申请、审批、操作、监控。 第五条 企业计算机信息系统战略规划、重要信息系统政策等重大事项应当经由董事会（或者由企业章程规定的经理、厂长办公会等类似的决策、治理机构，以下简称董事会）审批通过后，方可实施。 信息系统战略规划应当与企业业务目标保持一致。信息系统使用部门应该参与信息系统战略规划、重要信息系统政策等的制定。 第六条 企业可以指定专门部门（或岗位，下称归口管理部门）对计算机信息系统实施归口管理，负责信息系统开发、变更、运行、维护等工作。 财会部门负责信息系统中各项业务账务处理的准确性和及时性；财务电算化制度的制定；财务计划的制定和下达；计划价格的确定和修改；财务操作规定等。 生产、销售、仓储及其他部门（下称用户部门）应当根据本部门在信息系统中的职能定位，参与信息系统建设和管理，按照归口管理部门制定的管理标准、规范、规章来操作、管理和运用信息系统。 企业管理层应该明确定义系统归口管理部门和用户部门在保证系统正常安全运行过程中各自承担的职责，制定部门之间的职责分工表。 第三章 信息系统开发、变更与维护控制 第七条　计算机信息系统开发包括自行设计、外购调试和外包合作开发。企业在开发信息系统时，应当充分考虑业务和信息的集成性，优化流程，并将相应的处理规则（交易权限）嵌入到系统程序中，以预防、检查、纠正错误和舞弊行为，确保企业业务活动的真实性、合法性和效益性。 第八条　企业计算机信息系统开发应当遵循以下原则： （一）因地制宜原则：企业应当根据行业特点、企业规模、管理理念、组织结构、核算方法等因素设计适合本单位的计算机信息系统。 （二） 成本效益原则：计算机信息系统的建设应当能起到降低成本、纠正偏差的作用，根据成本效益原则，企业可以选择对重要领域中关键因素进行信息系统改造。 （三）理念与技术并重原则：计算机信息系统建设应当将信息系统技术与信息系统管理理念整合，企业应当倡导全体员工积极参与信息系统建设，正确理解和使用信息系统，提高信息系统运作效率。 第九条 信息系统开发必须经过正式授权，企业应当进行详细备案。具体程序包括:用户部门提出需求；归口管理部门审核；企业负责人授权批准；系统分析人员设计方案；程序员编写代码等。 第十条 企业应当成立项目管理小组，负责信息系统的开发，对项目整个过程实施监控。 对于外包合作开发的项目，企业应当加强对外包第三方的监控。 第十一条 外购调试或外包合作开发等需要进行招投标的信息系统开发项目，企业应当成立招投标小组，并保证招投标小组的独立性。 第十二条 企业应当制定详细的信息系统上线计划。对涉