公司商贸内部控制手册 计算机整体控制 试用版.doc

IT部门信息系统整体控制 一、流程概览 本流程主要描述了羽犀商贸有限公司关于计算机整体环境的相关控制。 羽犀商贸有限公司的计算机整体环境控制主要包括信息系统规划、信息系统运作、信息安全和信息系统开发和变更管理等流程。 二、不兼容职责表 ? A B C D E F G H I J K A × × × × × × × × × B × × C × × × × × D × × E × × F × G × × H × × × I × × J × K X：表示相互冲突的职责 A：业务用户 B：信息系统安全管理 C：用户权限管理 D：服务器操作系统维护 E：数据库管理 F：网络维护与安全管理 G：系统数据备份管理 H：信息系统开发 I：系统测试 J：用户验收测试 K：系统变更上线  第一节：信息系统规划 流程综述 本流程描述了羽犀商贸针对信息系统规划执行的相关控制，确保信息系统的战略、规划和预算与实体业务和战略目标保持一致。 相关部门职责描述 羽犀商贸综合管理部负责承担公司信息化发展战略的规划，具体信息基础架构及系统的建设、运维、信息安全及开发变更的管理职能，具体包括公司信息化建设的整体规划及阶段实施方案的制订，信息化建设项目的可行性分析、立项论证及项目管理，信息系统硬件设备的选型与采购，并对用于信息化建设的资金提出使用意见。 流程 控制矩阵 风险编号 风险 控制目标编号 控制目标 控制活动编号 控制活动 手工/系统 控制 控制活动责任 部门/岗位 SGDL-GCC-R-101 缺乏正式的信息系统建设规划，导致系统建设无法满足业务需要，给业务发展造成瓶颈。 SGDL-GCC-CO-101 信息系统的战略、规划和预算与实体业务和战略目标保持一致。 SGDL-GCC-CA-101 制定信息化建设长短期计划 羽犀商贸对信息化建设制定了长期和短期计划，以支持实体的整体业务战略和信息系统要求。公司管理层根据长期及短期计划监督IT基础环境、信息系统等的建设。 手工 综合管理部/部门领导 SGDL-GCC-R-102 信息系统规划不合理，可能造成信息孤岛或重复建设，导致企业经营管理效率低下。 SGDL-GCC-CO-101 信息系统的战略、规划和预算与实体业务和战略目标保持一致。 SGDL-GCC-CA-101 制定信息化建设长短期计划 羽犀商贸对信息化建设制定了长期和短期计划，以支持实体的整体业务战略和信息系统要求。公司管理层根据长期及短期计划监督IT基础环境、信息系统等的建设。 手工 综合管理部/部门领导 SGDL-GCC-R-102 信息系统规划不合理，可能造成信息孤岛或重复建设，导致企业经营管理效率低下。 SGDL-GCC-CO-101 信息系统的战略、规划和预算与实体业务和战略目标保持一致。 SGDL-GCC-CA-102 评估IT规划执行情况 管理层、综合管理部及相关业务部门定期回顾IT规划的执行情况，并评估信息系统水平与业务实际需求的差距，及时调整更新系统建设规划。 手工 综合管理部/部门领导 SGDL-GCC-R-103 管理层未能制定及核准信息系统的战略与长期及短期预算，以支持实体的整体业务战略和信息系统要求，导致信息系统建设及运维无法获得足够支持，影响公司战略的实现。 SGDL-GCC-CO-101 信息系统的战略、规划和预算与实体业务和战略目标保持一致。 SGDL-GCC-CA-103 建立信息化建设资金审批机制 信息化发展规划、IT预算及信息化项目费用等均需经过羽犀商贸管理层的批准，信息化建设可以得到有效地资金及其他支持和保障。 手工 综合管理部/部门领导 5.0相关报告/表单 信息化发展规划 （待拟） 第二节：信息系统运作 流程综述 本流程主要包括运维制度的制定、人员培训、用户支持、信息系统运作环境巡检、批处理任务设置与监控、数据备份管理等。 2.0 相关部门职责描述 羽犀商贸综合管理部负责公司信息系统运行维护及日常管理制度的制订，并监督各信息系统运维岗位及系统管理人员落实和执行信息系统运作相关内部控制活动。对于非综合管理部直接管理的系统，各业务部门系统运维管理岗位人员须参照综合管理部制定的系统运维标准和规范开展系统日常运维工作。 3.0 流程图 4.0控制矩阵 风险编号 风险 控制目标编号 控制目标 控制活动编号 控制活动 手工/系统 控制 控制活动责任 部门/岗位 SGDL-GCC-R-201 缺乏系统运行维护的管理规范、操作指引，难以保证IT人员进行日常运维时有指导规范／制度可供遵循，给