erp系统it一般性控制内部控制矩阵规范范本、格式.docVIP

PAGE / NUMPAGES 11.3 ERP系统IT一般性控制内部控制矩阵 业务目标 业务风险 控制点 适用单位 不相容岗位 控制点分值 控制点相关资料 相关制度索引 会计报表认定 会计报表工程 1存在和发生/真实性。2完整性。3权利与义务。4估价或分摊。5表达和披露。6准确性 1 2 3 4 5 6 1.程序和数据访问 1.1 1.2 2.3 2.4 经营风险：规章制度不健全，导致对系统经管的失控。 1.1总部各部门、分（子）公司依据《中国石油化工股份有限公司经管信息系统应用经管办法（试行）》（以下简称《信息系统应用经管办法》）等，制定程序和数据访问经管制度,主要包括用户权限经管、用户帐号经管、用户登录经管、超级用户经管及第三方人员经管等内容。 总部各部门 分（子）公司 2 程序和数据访问经管制度或规定 1.10.4 2.10.4 1.2用户权限经管 1.1 1.2 2.3 2.4 经营风险：权限设置不当，导致对系统的非法或非授权访问。 1.2.1建立/变更用户帐号和角色，由申请人填写ERP系统用户权限申请表，经相关部门负责人审批后，由应用经管员在系统中建立/维护权限，相关人员进行权限测试并确认，关键用户对角色矩阵实时维护并进行版本经管。 总部各部门 分（子）公司 2 用户变更申请表 用户角色矩阵 1.1 1.2 2.3 2.4 经营风险：未及时锁定或删除岗位变动、离职人员帐号，导致系统存在安全隐患。 1.2.2操作人员由于岗位变动或离开单位，人事部门必须及时通知ERP支持中心，ERP支持中心应用经管员在系统中将该用户进行锁定或删除。 总部各部门 分（子）公司 1 用户变更申请表 人员变动清单 1.3用户帐号经管 1.1 1.2 2.3 2.4 经营风险：未及时审核清理帐户，导致系统存在安全隐患。 1.3.1应用经管员每季度在线检查用户权限使用情况，每半年将系统用户清单，提交相关部门，由关键用户和部门负责人进行审核确认，应用经管员根据审核结果在系统中进行相应的处理。 总部各部门 分（子）公司 2 用户审核签字 1.1 1.2 2.3 2.4 经营风险：账户共享，导致责任不清，导致系统存在安全隐患。 1.3.2应用经管员在系统中为每个操作人员设置独立的用户帐号，不能设置共享用户帐号（查询用户帐号除外）。 总部各部门 分（子）公司 1 1.1 1.2 2.3 2.4 经营风险：用户创建随意，影响系统安全稳定或生产经营。 1.3.3对于数据库层面用户（如系统接口访问用户等），相关部门填写用户申请，由部门负责人签字确认，经信息经管部门审批后，由数据库经管员创建该类用户。 总部各部门 分（子）公司 1 用户申请表 1.1 经营风险：密码规则不当，强度不够，更新不及时，导致对系统的非法或非授权访问。 1.4对于系统登录访问，要设置合理的密码规则，密码长度6位以上，采用数字和字符组合方式，不能使用弱密码；用户密码3个月内必须更新一次；帐号密码重复输入5次错误则暂停登录或系统锁定；系统自动退出帐号登录的最大空闲时间不能超过50分钟。 总部各部门 分（子）公司 2 1.5相关经管员的经管 1.1 经营风险：系统相关经管员岗位设置不合理，导致对系统的非法或非授权访问。 1.5.1应用经管员（BASIS经管员和权限经管员）、系统经管员（操作系统经管员、数据库经管员）、安全经管员必须授权经管，遵循不相容岗位分离原则，不能具有业务操作权限及开发权限；信息经管部门负责人应至少每半年对上述经管员的在职情况进行审查。 总部各部门 分（子）公司 应用经管员 系统经管员 安全经管员 2 经管员授权文件 经管员任职资格半年审核记录 1.1 1.3 经营风险：系统运行状态监控不到位，不能及时发现系统潜在故障或问题，影响系统正常运行。 1.5.2应用经管员负责监控应用系统运行情况、备份情况和日志，并完成监控记录；系统经管员负责监控操作系统、数据库及备份设备运行情况和日志，并完成监控记录；安全经管员每季度对相关经管员的操作日志至少检查一次并记录检查情况。 总部各部门 分（子）公司 应用经管员 系统经管员 安全经管员 2 监控记录 安全员检查记录 1.1 经营风险：生产系统存在开发帐户、关键用户，影响系统安全稳定或生产经营。 1.6生产系统上线投入运行后，锁定生产系统中的开发人员、关键用户的帐号；如果开发人员或关键用户必须在生产系统中诊断问题，需填写ERP系统用户权限申请表（提出申请帐号目的和期限），由相关部门负责人签字确认后由应用经管员进行维护，完成问题诊断任务后锁定该帐号。 总部各部门 分（子）公司 开发人员或关键用户 应用经管员 2 开发人员及关键用户清单 1.7预置帐号的经管 1.1 经营风险：服务器根帐号的密码经管不善，导致对系统的非法或非授权访问。 1