内部控制手册-20.1 信息系统开发.doc

PAGE / NUMPAGES 的20.1 信息系统开发 概述 规定了XX股份有限公司集团总部及其下属公司（下属公司是指XX股份有限公司投资（参股或控股）或托管或由上海XX有限公司托管的公司）有关信息系统开发的相关工作，涉及以下: 公司信息系统开发的立项、可行性研究、决策的流程 已有信息系统基础上的变更和二次开发需求申请、开发及验收交付流程 报表开发的申请、开发及验收交付流程 适用范围 适用于XX股份有限公司集团总部及其下属公司。 相关制度 IT资源管理程序。 职责分工 信息中心：负责对信息系统开发项目立项申请，对信息系统的开发进行需求分析和可行性分析，在项目申请通过后负责选择系统开发商，负责在系统上线运行后建立相应的跟踪评价机制。 项目组：负责编制信息系统设计/开发说明书，负责开发项目的管控，组织系统验收和上线测试，制定上线计划和方案，提出上线申请；负责系统测试、变更、评价。 流程图 控制目标 序号 《内控手册》唯一具体控制目标编号 控制目标 目标类别 1 20.1-CT1 确保建立科学合理的信息系统开发管理体系 经营效率目标 2 20.1-CT2 确保信息系统开发符合公司需求 经营效率目标 3 20.1-CT3 确保信息系统开发计划切实可行 经营效率目标 4 20.1-CT4 确保信息系统开发效果效率达到预期水平 经营效率目标 5 20.1-CT5 确保信息系统开发项目按时完成 经营效率目标 6 20.1-CT6 确保系统运行安全有效 经营效率目标 控制矩阵 风险编号 风险描述 对应控制目标编号 关键控制措施编号 关键控制措施 不相容职务 控制活动类型 对应制度 控制痕迹 会计报表认定 会计报表项目 1存在和发生/真实性；2完整性；3权利与义务；4估价或分摊；5表达和披露 1 2 3 4 5 20.1-R1 公司未针对信息系统的开发项目设定申请审批流程，没有明确的开发文件和项目计划，导致管理混乱，影响信息系统开发项目的顺利实施 20.1-CT1 20.1-CA1 1）公司信息化建设的对口部门是信息中心，负责公司及所属各单位的信息化方案（包括：计算机和网络设备的采购，网络建设、软件选型及二次开发等过程）的审核及审批；2）公司及所属各单位的计算机和网络设备的采购以及信息化项目建设严格按照先申请上报公司审批，经审批后进入商务洽谈等流程 经办/ 审批 预防型 IT资源管理程序 IT开发需求申请 　 　 　 　 　 　 20.1-CT1 20.1-CA2 信息中心负责将审批确定后的项目开发文件及项目计划进行归档备案，并设立台账监督项目的实施推进，考核项目计划的履行情况、进行跟踪确认并协调计划修改等事宜，全面把握项目的施行进程，保证项目按时完成。 　 发现型 IT资源管理程序 项目进度跟踪表 　 　 　 　 　 　 20.1-R2 信息中心未进行项目的开发管理,包括已完成的内容、当前进度与项目实施计划的比较、存在的有可能影响进度的问题、人员、资金的使用情况等，导致项目进度控制不力，影响项目如期完成。 20.1-CT1 20.1-CA2 信息中心负责将审批确定后的项目开发文件及项目计划进行归档备案，并设立台账监督项目的实施推进，考核项目计划的履行情况、进行跟踪确认并协调计划修改等事宜，全面把握项目的施行进程，保证项目按时完成。 　 预防型 IT资源管理程序 项目开发文件、项目计划书、项目推进情况台账 　 　 　 　 　 　 20.1-R3 公司的信息系统开发计划与公司战略和业务目标不相吻合，导致系统不能满足公司未来发展需要，影响公司发展经营目标的实现 20.1-CT2 20.1-CA1 1）公司信息化建设的对口部门是信息中心，负责公司及所属各单位的信息化方案（包括：计算机和网络设备的采购，网络建设、软件选型及二次开发等过程）的审核及审批；2）公司及所属各单位的计算机和网络设备的采购以及信息化项目建设严格按照先申请上报公司审批，经审批后进入商务洽谈等流程 经办/ 审批 预防型 IT资源管理程序 项目调研分析资料 　 　 　 　 　 　 20.1-R4 公司未召集相关业务部门就信息系统的开发需求进行讨论和验证，导致需求不明确，开发成果与业务部门实际需要不符，影响信息系统开发结果的有效性，造成公司人力及资金的浪费。 20.1-CT2 20.1-CA3 系统建设单位根据系统需求规格说明书编制系统设计说明书，项目负责人组织相关技术人员和系统用户部门进行审核确认，确保系统建设单位提供的系统设计说明书中涵盖实际业务需求，同时形成会议纪要 编制/ 审核 预防型 IT资源管理程序 IT开发需求申请 　 　 　 　 　 　 20.1-R5 未对信息系统方案进行可行性研究，导致系统开发失败风险 20.1-CT3 20.1-CA4 信息系统立项需先进行可行性研