恒信移动-控制矩阵-IT信息系统管理
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
事中 事中 事中 事中
控制方式
控制频率
(手工/自动/半自 (随时/每日/月度/季
涉及制度
涉及重要文档
动控制)
度/半年度/年度)
编号
半自动
随时
手工 手工 自动 手工 手工
随时 随时 随时 随时 随时
缺陷 表现类型
重要性
描述
描述
建议 主责部门
建议
辅助部门
业务处理未经授权 信息传递不准确
如果相关业务的处理 高 未经合理授权审批, 将可能导致相关人员 非法处理业务,给企 业造成重大损失。 如果系统输出信息未 中 传递给授权用户,或 者信息经过篡改,将 可能导致敏感信息被 非授权用户获取,也 可能影响信息的准确 性、完整性,无法满 足用户的需求。
监管要求或最佳实践
公司名称: 恒 信移动商务股 份有限公司 一级流程名称:信息系统管理
一级流程简称:IT
二级流程
编号 IT03
名称 信息系统操作
三级流程
编号 IT03.01
名称 输入控制
控制目标 编号 IT.T01
IT03.02 处理控制 IT03.02 输出控制
IT.T02 IT.T03
返回目录
控制目标
描述
确保进入系统的数据 的准确性、完整性、 及时性。
据,应当采取加密措
施,确保信息传递的
保密性、准确性和完
整性。
IT.SC01
信息系统管理部门针对不 同数据的输入方式,考虑 对进入系统数据的检查和 校验功能。
IT.SC02 IT.SC03 IT.SC04 IT.SC05 IT.SC06
尽量避免通过后台操作修 改和删除数据的情况。对 于必需的后台操作,信息 系统管理部门建立规范的 流程制度,对操作情况进 对于经常性的数据删除和 修改,信息系统管理部门 在系统功能中予以考虑, 并通过审批、复核等程序 加以控制。 信息系统管理部门在系统 中设置操作日志功能,详 细记录系统每个账户的登 录时间、重要的操作内 容,确保操作的可审计 企业建立健全用户管理制 度,确保不同权限用户在 授权范围内运用信息系统 进行业务处理。
软件工程师 信息系统管理部
辅助部门及岗位
控制类型 (事前/事中/事
后)
事前
事中
信息系统管理部软件工程师在设 计系统功能时针对经常性的数据 删除和修改设置审批、复核等程 序加以控制,如财务系统中冲销 重制的会计凭证需经过相关负责 信息系统管理部软件工程师在信 息系统开发时设置操作日志功 能,以详细记录系统每个账户的 登录时间、重要的操作内容等; 对于异常的或者违背内部控制要 用户部门相关责任人根据业务的 实际情况在系统中进行业务处 理,并经用户部门相关领导审批 。
分类
章节条款
内容
标准控制编号
标准化控制
企业内部控制应用指 企业内部控制应用指 企业应当针对不同数
引
引第18号第六条
据的输入方式,考虑
对进入系统数据的检
查和校验功能。对于
必需的后台操作,应
当加强管理,建立规
范的流程制度,对操
作情况进行监控或者
审计。
企业应当在信息系统
中设置操作日志功
能,确保操作的可审
计性。对异常的或者
否
IT.AC03 输入控制
否
IT.AC04 输入控制
否
IT.AC05 处理控制
否
IT.AC06 输出控制
否
关键控制 一般控制 关键控制 关键控制 关键控制
本地化控制
主责任部门及岗位
信息系统管理部软件工程师在系 统开发时针对不同数据的输入方 式设置进入系统数据的检查和校 验功能,如录入的记账凭证借贷 不平衡则无法保存数据并生成记 账凭证等。 信息系统管理部不允许通过后台 操作对数据进行修改和删除等操 作。
编号 IT.R01
风险名称 输入数据不准确
风险
描述
如果进入系统的数据 中 不准确、不完整、不 及时,将可能导致输 出结果错误,甚至给 企业造成财产损失。
风险评级
确保相关业务的处理 经过合理授权审批, 保证业务的正常运行 。
确保输出信息的准确 性、完整性,且传递 给授权用户。
IT.R02 IT.R03
违背内部控制要求的
交易和数据,应当设
计由系统自动报告并
设置跟踪处理机制。
企业内部控制应用指 企业内部控制应用指 企业应当建立用户管
引
引第18号—信息系统 理制度,加强对重要
第十二条
业务系统的访问权限
管理,定期审阅系统
账号,避免授权不当 企业内部控制应用指 企业内部控制应用指 企业对于通过网络传
引
引第18号第十三条 输的涉密或关键数
软件工程师
软件工程师
用户部门相关责任人 用户部门相关领导
信息系统管理部门软件工程师在 系统开发时设置功能权限和数据 权限确保经授权的用户才能得到 相关输出信息; 相关部门分发资料时,相关责任 人采取打印权限控制、信息接收 人控制(如通过邮件来选择接收 人)、登记簿(如记录报告发送
软件工程师 相关部门相关责任人
信息系统管理部门在系统 开发时设置功能权限和数 据权限确保经授权的用户 才能得到相关输出信息; 相关部门分发资料时,采 取打印总数控制、信息接 收人控制和登记簿等形式 以确保资料发给恰当的用
本地控制编号 控制活动名称 IT.AC01 输入控制
控制活动
是否与财报相关Biblioteka 控制重要性否一般控制
IT.AC02 输入控制