内部控制制度-信息系统一般控制.pdf

内部控制制度 ——信息系统一般控制 第一章 总 则 第一条 为了充分利用某某公司 （以下简称 “公司”）信息系统， 规范交易行 为，提高信息系统的可靠性、 稳定性、 安全性及数据的完整性和准确性， 降低人 为因素导致内部控制失效的可能性， 形成良好的信息传递渠道， 根据国家有关法 律法规和《企业内部控制基本规范》 ，制定本制度。 第二条 本制度所称信息系统是指利用计算机技术对业务和信息进行集成处 理的程序、数据和文档等的总称。 第三条 公司在信息系统管理过程中，至少应关注涉及信息系统一般控制的 下列风险： （一）信息系统开发与使用违反国家法律法规， 可能遭受外部处罚、 经济损 失和信誉损失。 （二）信息系统开发与使用未经适当审核或超越授权审批， 可能因重大差错、 舞弊、欺诈而导致损失。 （三）信息系统设计功能不科学、 维护与变更程序不规范， 可能导致公司经 营效率与效果低下。 （四）信息系统外包服务未恰当履行或监控不当， 可能导致公司权益受损或 违约损失。 （五）信息系统访问安全措施不当，可能导致商业秘密泄露。 （六）信息系统硬件管理不当，可能导致公司资产或股东权益受损。 第四条 公司在建立与实施信息系统内部控制过程中，至少应强化对下列关 键方面或关键环节的控制： （一）职责分工、 权限范围和审批程序应明确规范， 机构设置和人员配备应 科学合理，重大信息系统开发与使用事项应履行审批程序。 （二）信息系统开发、变更和维护流程应清晰合理。 （三）应建立访问安全制度， 操作权限、信息使用、信息管理应有明确规定。 （四）硬件管理事项和审批程序应科学合理。 （五）会计信息系统流程应规范， 会计信息系统操作管理、 硬件、软件和数 据管理、会计信息化档案管理应完善。 第二章 岗位分工与授权审批 第五条 公司应建立计算机信息系统岗位责任制。计算机信息系统岗位一般 包括： （一）系统分析：分析用户的信息需求， 并据此制定设计或修改程序的方案。 （二）编程：编写计算机程序来执行系统分析岗位的设计或修改方案。 （三）测试：设计测试方案， 对计算机程序是否满足设计或修改方案进行测 试，并通过反馈给编程岗位以修改程序并最终满足方案。 （四）程序管理：负责保障并监控应用程序正常运行。 （五）数据库管理：对信息系统中的数据进行存储、处理、管理，维护组织 数据资源。 （六）数据控制： 负责维护计算机路径代码的注册， 确保原始数据经过正确 授权， 监控信息系统工作流程， 协调输入和输出， 将输入的错误数据反馈到输入 部门并跟踪监控其纠正过程，将输出信息分发给经过授权的用户。 （七）终端操作： 终端用户负责记录交易内容， 授权处理数据， 并利用系统 输出的结果。 系统开发和变更过程中不相容岗位 （或职责）一般应包括：开发 （或 变更）立项、审批、编程、测试。系统访问过程中不相容岗位（或职责）一般应 包括：申请、审批、操作、监控。 第六条 公司计算机信息系统战略规划、重要信息系统政策等重大事项应经 由董事会审批通过后， 方可实施。信息系统战略规划应与公司业务目标保持一致。 信息系统使用部门应该参与信息系统战略规划、重要信息系统政策等的制定。 第七条