业务流程步骤与控制点
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
11.3 ERP系统IT一般性控制流程①
一、业务目标
1 经营目标
1.1 保证系统长期稳定、安全、高效运行。
1.2 保证系统数据的准确性、实时性和完整性。
1.3 保证业务流程的通流效率,为企业的经营和发展提
供技术支撑。
2 合规目标
2.1 遵守保护知识产权的有关法律法规,使用合法软件。
2.2 信息技术合同符合合同法等股份公司制度、国家法律
和法规。
2.3 系统数据的收集、提供、使用和转让符合股份公司有
关制度以及国家安全、保护知识产权、合同法等法
律、法规的要求。
2.4 业务系统的生成报表、合并报表编制过程的真实性、
完整性、可靠性符合国家规定及上市地监管机构要
求。
二、业务风险
1 经营风险
①本流程适用于股份公司ERP单轨运行企业ERP系统IT
一般性控制。
1.1 规章制度不健全,导致系统管理失控。
1.2 技术方案不合理,业务流程不规范,系统功能存在
问题,导致系统不能满足业务需求。
1.3 系统登录访问机制不健全、用户权限管理不规范等,
导致对系统的非法或非授权访问。
1.4 数据收集、转换和清理的管理不完善,导致系统存在
大量垃圾数据和系统数据失真。
1.5 变更管理不规范,客户化开发、测试和传输管理不
完善,导致系统故障、影响系统正常运作或系统功
能不能满足业务需求。
1.6 系统运行状态监控不到位,系统潜在故障处理不及
时,支持体系不健全,影响系统正常运行。
1.7 上线方案不合理,导致系统上线失败。
1.8 上线月结差异分析报告不准确,导致系统数据错误无
法纠正,影响系统正确性。
1.9 备份策略和备份方案不完善,导致数据丢失或数据、
系统无法恢复。
1.10 培训工作不到位,导致用户操作不熟练,无法保证
业务处理的正确性。
1.11 没有建立完善的应急预案,影响到业务处理。
2 合规风险
2.1 侵犯知识产权,导致诉讼及股份公司声誉受到损害。
2.2 系统数据的收集、提供、使用、转让违反国家法律法
规及股份公司内部规章制度等,导致系统无法正常
运行。
2.3 重要业务报表的编制不符合规定,导致股份公司声
誉受到损害及受相关机构处罚。
三、业务流程步骤与控制点
1 程序和数据访问
1.1 总部各部门、分(子)公司依据《中国石油化工股
份有限公司管理信息系统应用管理办法(试行)》(以
下简称《信息系统应用管理办法》)等,制定程序和
数据访问管理制度,主要包括用户权限管理、用户帐
号管理、用户登录管理、超级用户管理及第三方人
员管理等内容。
1.2 用户权限管理
1.2.1 建立/变更用户帐号和角色,由申请人填写ERP系
统用户权限申请表,经相关部门负责人审批后,由
应用管理员在系统中建立/维护权限,相关人员进行
权限测试并确认,关键用户对角色矩阵实时维护并
进行版本管理。
1.2.2 操作人员由于岗位变动或离开单位,人事部门必须
及时通知ERP支持中心,ERP支持中心应用管理
员在系统中将该用户进行锁定或删除。
1.3 用户帐号管理
1.3.1 应用管理员每季度在线检查用户权限使用情况,至
少每半年将系统用户清单提交相关部门,由关键用
户和部门负责人审核确认,应用管理员根据审核结
果在系统中进行相应处理。
1.3.2 应用管理员在系统中为每个操作人员设置独立的用
户帐号,不能设置共享用户帐号(查询用户帐号除
外)。
1.3.3 对于数据库层面用户(如系统接口访问用户等),相
关部门填写用户申请,由部门负责人签字确认,经
信息管理部门审批后,由数据库管理员创建该类用
户。
1.4 对于系统登录访问,要设置合理的密码规则,密码
长度6位以上,采用数字和字符组合方式,不能使
用弱密码;用户密码3个月内必须更新一次;帐号
密码重复输入5次错误则暂停登录或系统锁定;系
统自动退出帐号登录的最大空闲时间不能超过50
分钟。
1.5 相关管理员的管理
1.5.1 应用管理员(BASIS管理员和权限管理员)、系统
管理员(操作系统管理员、数据库管理员)、安全管
理员必须授权管理,遵循不相容岗位分离原则,并
且不能具有业务操作权限及开发权限;信息管理部
门负责人应至少每半年对上述管理员的在职情况进
行审查。
1.5.2 应用管理员负责监控应用系统运行情况、备份情况
和日志,并完成监控记录;系统管理员负责监控操
作系统、数据库及备份设备运行情况和日志,并完
成监控记录;安全管理员每季度对相关管理员的操
作日志至少检查一次并记录检查情况。
1.6 生产系统上线投入运行后,锁定生产系统中的开发
人员、关键用户的帐号;如果开发人员或关键用户
必须在生产系统中诊断问题,需填写ERP系统用
户权限申请表(提出申请帐号目的和期限),由相关
部门负责人签字确认后由应用管理员进行维护,完
成问题诊断任务后锁定该帐号。
1.7 预置帐号的管理
1.7.1 系统管理员在操作系统安装完成后对服务器根帐号
(root)密码进行修改,并至少三个月更换一次密
码,密码以安全方式妥善保存。
1.7.2 系统管理员在数据库和SAP软件安装好后,需用
sapdba的工具修改SAP系统预置帐号(SAPR3,