内控流程参考——信息系统.docxVIP

第 18 章 企业内部控制流程——信息系统 信息系统与审批控制 信息系统战略规划流程 信息系统战略规划如开始 信息系统战略规划如 开始 果未与企业业务目标 1 下达企业 业务目标 提出信息系统 战略规划项目 D1 保持一致，可能导致 开发的信息系统没有 2 参与 实际利用价值 进行可行性分析 如果信息系统战略规 拟定项目 框架要求 划方法不适合企业的 实际情况，可能导致信息系统无法顺利完 3 选择信息系统战略规划方法 4 D2 成 起草信息系统 战略规划方案 参与 如果信息系统战略规 5 对方案进行 评价和仿真 进行仿真 划未经适当审核或超 越授权审批，可能会 审批 6 撰写信息系统 战略规划报告 D3 产生重大差错或舞 弊、欺诈行为，从而 组织开发 信息系统 进行开发 使企业遭受损失 结束 信息系统战略规划流程与风险控制 不相容责任部门/责任人的职责分工与审批权限划分 业务风险 董事会 信息化领导小组 信息部 用户部门 阶 段 信息系统战略规划流程控制控制事项 信息系统战略规划流程控制 控制事项 详细描述及说明 1．信息化领导小组根据企业业务目标以及实际情况提出信息系统战略规划项目 D1 2．信息化领导小组应组织评价专家组对项目进行可行性分析，主要成员包括外部聘请的 专家及企业信息部、使用部门等相关人员 3．信息系统战略规划方法的选择是通过定性研究确定可能较为适合本企业情况的方法， 这需要依靠评价专家组对企业实际情况进行研究，从几类方法中选出几种有代表性的方法 阶 D2 或组合 段 4．选出两种以上方法以后，就按照这些方法分别做出战略规划方案。不同的方法最后形 控 成的文档是不同的，但是都会包括信息系统的模型描述 制 5．信息部按照上述方案中的描述，就可以使用信息系统定量仿真软件对该方案所规划信 息系统进行仿真计算 D3 6．仿真结束后，信息化领导小组组织评价专家组和信息部结合不同方案中信息系统预计 的设备、开发、部署等费用预算，以及对不同方案之间实施难度、风险等因素的综合考虑， 选择其中的一种方案作为最终方案。最后，撰写最终的战略规划方案文档和项目总结报告 相 应建 信息系统管理制度 关 规范 规 参照 《企业内部控制应用指引》 范 规范 《信息系统战略规划方案》 文件资料 《信息系统战略规划总结报告》 责任部门 董事会、信息化领导小组、信息部、财务部、生产部、销售部、仓储部 及责任人 信息部经理、信息规划专员 重要信息系统政策制定流程 重要信息系统政策制定流程与风险控制不相容责任部门 重要信息系统政策制定流程与风险控制 不相容责任部门/责任人的职责分工与审批权限划分 阶 业务风险 董事会 信息部 使用部门 段 重要信息系统政策制 开始 定申请如果未经审批 1 或越权审批，可能导 审批 致企业经济损失 提出重要信息系 统政策制定申请 2 组织编制重要 信息系统政策 D1 如果职责分工、权限 3 召开重要信息系统 政策编制研讨会 参与 范围和审批程序不规 范、机构设置和人员 配备不合理、重要信 整理、汇总各部门 提出的建议和意见 息系统制定未能按照 未通过 4 审批程序进行编制， 起草《重要 审批 信息系统政策》 可能会产生重大差错 D2 通过 或舞弊、欺诈行为， 从使企业遭受损失 下达正式《重要信息 系统政策》 资料归档 结束 重要信息系统政策制定流程控制控制事项 重要信息系统政策制定流程控制 控制事项 详细描述及说明 1．为规范重要信息系统的开发和使用，信息部根据企业要求和实际工作需要，提出重要 信息系统政策制定申请 D1 阶 2．经董事会审批通过后，信息部组织编制重要信息系统政策，相关政策符合国家和企业 段 的相关规定 控 3．信息部为了更好地编制重要信息系统政策，组织召开研讨会，并邀请生产部、销售部、 制 财务部、人力资源部、采购部、仓储部等使用部门的相关人员参加 D2 4．信息部根据会议结果，起草重要信息系统政策，提交董事会审批，审批通过后，下达 正式的重要信息系统政策，审批未通过，重新召开会议讨论 相 应建 信息系统管理制度 关 规范 《重要信息系统政策编制细则》 规 参照 《企业内部控制应用指引》 范 规范 文件资料 重要信息系统政策 责任部门 董事会、信息部、生产部、采购部、销售部、人力资源部、财务部等使用部门 及责任人 信息部人员、各信息使用部门人员 系统开发与维护控制 信息系统自行开发流程 信息系统自行开发流程与风险控制不相容责任部门 信息系统自行开发流程与风险控制 不相容责任部门/责任人的职责分工与审批权限划分 阶 业务风险 总经理 运营总监 信息部人员 用户部门 段 如果信息系统开发与 开始 使用未经适当审核或 2 审批 审核 受理该项申请 超越授权审批，可能 1 提出信息系 统开发申请 会产生重大差