【精编_推荐】基础设施IT一般性控制内部控制矩阵
合集下载
11.3ERP系统IT一般性控制内部控制矩阵
总部各部门
分(子)公司
2
程序变更管理制度
1.10.3
2.10.4
2.2客户化开发变更管理
1.1
1.3
2.4
经营风险:客户化开发的需求不合理,导致系统故障,不能满足业务需求。
合规风险:重要业务报表的编制不符合规定,导致股份公司声誉受到损害及受相关机构处罚。
2.2.1对于功能增强/表单/报表/系统接口等客户化开发的新需求或者对已有客户化开发的变更,由需求变更部门填写系统开发变更申请表(简要描述功能需求和功能说明),经提报单位的需求变更部门、信息管理部门/ERP支持中心负责人审核后报信息系统管理部审批。
1.10.4
2.10.4
1.2用户权限管理
1.1
1.2
2.3
2.4
经营风险:权限设置不当,导致对系统的非法或非授权访问。
1.2.1建立/变更用户帐号和角色,由申请人填写ERP系统用户权限申请表,经相关部门负责人审批后,由应用管理员在系统中建立/维护权限,相关人员进行权限测试并确认,关键用户对角色矩阵实时维护并进行版本管理。
总部各部门
分(子)公司
2
程序开发管理制度或规定
1.10.3
2.10.4
1.3
2.1
2.2
经营风险:业务流程不规范、设计不合理,导致系统不能满足业务需求。
3.2信息管理部门负责组建项目组,包括承担系统实施的人员(以下简称咨询顾问)和关键用户。项目组根据ERP项目可行性研究报告和批复进行业务流程设计,并经关键用户、业务部门负责人签字确认。
总部各部门
分(子)公司
2
客户化开发变更申请表
1.1
1.3
2.4
经营风险:变更管理不规范,客户化开发、测试和传输管理不完善,导致系统故障或不能满足业务需求。
分(子)公司
2
程序变更管理制度
1.10.3
2.10.4
2.2客户化开发变更管理
1.1
1.3
2.4
经营风险:客户化开发的需求不合理,导致系统故障,不能满足业务需求。
合规风险:重要业务报表的编制不符合规定,导致股份公司声誉受到损害及受相关机构处罚。
2.2.1对于功能增强/表单/报表/系统接口等客户化开发的新需求或者对已有客户化开发的变更,由需求变更部门填写系统开发变更申请表(简要描述功能需求和功能说明),经提报单位的需求变更部门、信息管理部门/ERP支持中心负责人审核后报信息系统管理部审批。
1.10.4
2.10.4
1.2用户权限管理
1.1
1.2
2.3
2.4
经营风险:权限设置不当,导致对系统的非法或非授权访问。
1.2.1建立/变更用户帐号和角色,由申请人填写ERP系统用户权限申请表,经相关部门负责人审批后,由应用管理员在系统中建立/维护权限,相关人员进行权限测试并确认,关键用户对角色矩阵实时维护并进行版本管理。
总部各部门
分(子)公司
2
程序开发管理制度或规定
1.10.3
2.10.4
1.3
2.1
2.2
经营风险:业务流程不规范、设计不合理,导致系统不能满足业务需求。
3.2信息管理部门负责组建项目组,包括承担系统实施的人员(以下简称咨询顾问)和关键用户。项目组根据ERP项目可行性研究报告和批复进行业务流程设计,并经关键用户、业务部门负责人签字确认。
总部各部门
分(子)公司
2
客户化开发变更申请表
1.1
1.3
2.4
经营风险:变更管理不规范,客户化开发、测试和传输管理不完善,导致系统故障或不能满足业务需求。
ERP系统IT一般性控制内部控制矩阵(制度范本、DOC格式)
总部各部门
分(子)公司
业务支持人员
应用管理员
3
业务支持人员名单
1.1
经营风险:超级用户权限管理不当,影响系统安全稳定或生产经营。
1.9超级用户权限必须严格控制,申请时必须阐明使用原因,并经ERP支持中心负责人审核签字后,应用管理员才能在系统中进行分配,使用后要及时将权限回收。
总部各部门
分(子)公司
2
用户变更申请表
用户角色矩阵
1.1
1.2
2.3
2.4
经营风险:未及时锁定或删除岗位变动、离职人员帐号,导致系统存在安全隐患。
1.2.2操作人员由于岗位变动或离开单位,人事部门必须及时通知ERP支持中心,ERP支持中心应用管理员在系统中将该用户进行锁定或删除。
总部各部门
分(子)公司
分(子)公司
1
SAP*、DDIC帐号密码修改记录
1.1
经营风险:业务支持人员的权限分配不当,影响系统安全稳定或生产经营。
1.8业务支持人员支持权限的新建、变更、删除、锁定需经ERP支持中心负责人审核签字后由应用管理员在系统中进行分配,业务支持人员在生产系统中只有相应模块的显示、跟踪权限,不能分配业务操作权限、后台配置权限。
1.10.4
2.10.4
1.2用户权限管理
1.1
1.2
2.3
2.4
经营风险:权限设置不当,导致对系统的非法或非授权访问。
1.2.1建立/变更用户帐号和角色,由申请人填写ERP系统用户权限申请表,经相关部门负责人审批后,由应用管理员在系统中建立/维护权限,相关人员进行权限测试并确认,关键用户对角色矩阵实时维护并进行版本管理。
1
用户变更申请表
人员变动清单
分(子)公司
业务支持人员
应用管理员
3
业务支持人员名单
1.1
经营风险:超级用户权限管理不当,影响系统安全稳定或生产经营。
1.9超级用户权限必须严格控制,申请时必须阐明使用原因,并经ERP支持中心负责人审核签字后,应用管理员才能在系统中进行分配,使用后要及时将权限回收。
总部各部门
分(子)公司
2
用户变更申请表
用户角色矩阵
1.1
1.2
2.3
2.4
经营风险:未及时锁定或删除岗位变动、离职人员帐号,导致系统存在安全隐患。
1.2.2操作人员由于岗位变动或离开单位,人事部门必须及时通知ERP支持中心,ERP支持中心应用管理员在系统中将该用户进行锁定或删除。
总部各部门
分(子)公司
分(子)公司
1
SAP*、DDIC帐号密码修改记录
1.1
经营风险:业务支持人员的权限分配不当,影响系统安全稳定或生产经营。
1.8业务支持人员支持权限的新建、变更、删除、锁定需经ERP支持中心负责人审核签字后由应用管理员在系统中进行分配,业务支持人员在生产系统中只有相应模块的显示、跟踪权限,不能分配业务操作权限、后台配置权限。
1.10.4
2.10.4
1.2用户权限管理
1.1
1.2
2.3
2.4
经营风险:权限设置不当,导致对系统的非法或非授权访问。
1.2.1建立/变更用户帐号和角色,由申请人填写ERP系统用户权限申请表,经相关部门负责人审批后,由应用管理员在系统中建立/维护权限,相关人员进行权限测试并确认,关键用户对角色矩阵实时维护并进行版本管理。
1
用户变更申请表
人员变动清单
信息系统管理业务内部控制矩阵
1信息系统管理业务内部控制矩阵11、1信息系统管理业务内部控制矩阵业务目标业务风险控制点适用单位不相容岗位控制点分值控制点相关资料相关制度索引会计报表认定会计报表项目1存在和发生/真实性;2完整性;3权利与义务;4估价或分摊;5表达和披露;6准确性1234561、IT整体层面管理1、1经营风险:信息化管理体系不完善,信息化领导小组或ERP指导委员会设置不健全,信息管理部门职责不落实,导致信息化工作受损。
1、1股份公司建立完善的信息化管理体系,设立ERP指导委员会,设立信息系统管理部负责股份公司信息化归口管理工作;各分(子)公司设立信息化领导小组或ERP指导委员会,定期召开会议,听取、总结和指导本单位信息化工作,设立信息管理部门负责本单位信息化管理工作,对信息系统和信息资源行使管理职责。
总部分(子)公司6ERP指导委员会或信息化领导小组成立文件;会议纪要信息管理部门职责文件1、10、51、12、2经营风险:信息化建设中长期规划不符合股份公司经营战略目标,导致盲目建设、投资低效。
1、2根据股份公司发展战略目标和核心业务,结合信息技术发展和股份公司实际,信息系统管理部负责组织编制股份公司信息化建设中长期规划,在充分征求职能部门、事业部和分(子)公司意见后,组织专家组评审,并根据专家意见负责组织修改,经信息系统管理部主任审核,按规定权限审批后,纳入股份公司中长期发展规划。
信息系统管理部5股份公司信息化建设中长期规划1、10、51、3教育和培训1、1经营风险:信息化培训缺乏,导致信息系统效能低下、信息化管理水平不高、信息化技能缺失。
1、3、1各级信息管理部门负责编制年度信息化培训计划,经部门负责人审批后,纳入人事部门年度培训计划,并组织落实。
信息系统管理部分(子)公司2年度培训计划1、10、51、1经营风险:信息安全教育不足,导致员工信息安全意识薄弱。
1、3、2各级信息管理部门配合人事部门开展全员信息安全教育和培训,并在信息门户或内部网站发布安全教育培训材料。
内部控制手册第3部分-内控矩阵——11,4应用系统IT一般性控制内部控制矩阵
经营风险:备份策略和备份方案不完善,应用系统程序备份不及时,导致系统无法恢复。
4.2.2系统管理员适时对系统进行备份,同时检查备份系统的可读性,确认备份是否成功。
总部各部门
分(子)公司
3
系统备份记录
经营风险:数据库、应用系统日志备份不及时,导致系统问题无法追溯或系统无法恢复。
4.2.3系统管理员、应用管理员至少每月对数据库、应用系统的日志进行备份。
总部各部门
分(子)公司
经营风险:系统上线前未经严格测试,系统功能存在问题,导致应用系统不能正常运行。
应用系统上线前,必须由信息管理部门组织测试系统功能,形成测试报告,并经最终用户部门负责人签字确认。
总部各部门
分(子)公司
3
系统功能测试报告
系统初始化管理
合规风险:应用系统数据的收集、整理不规范,未经审核确认,导致系统存在大量垃圾数据或数据失真。
4.3.2应用管理员对应用系统操作日志或记录、安全管理员对直接访问数据库的操作日志至少每月进行一次审核,发现异常情况,及时上报信息管理部门/相关部门负责人,同时查明原因,提出处理意见,记录处理情况。
总部各部门
分(子)公司
应用管理员
安全管理员
3
日志审核记录
经营风险:系统问题处理、故障记录不规范,影响系统稳定运行。
总部各部门
分(子)公司
3
用户帐号清单
密码管理
经营风险:密码设置强度不够或更改不及时,造成系统泄密或受到非法访问
1.4.1操作人员应按照密码管理相关规定,遵循系统密码的长度至少为6位,复杂度为数字与字符的组合,三个月更改一次密码等密码规则设置密码,不得使用最近使用过的密码。应用管理员对操作人员密码定期更换记录进行检查。
4.2.2系统管理员适时对系统进行备份,同时检查备份系统的可读性,确认备份是否成功。
总部各部门
分(子)公司
3
系统备份记录
经营风险:数据库、应用系统日志备份不及时,导致系统问题无法追溯或系统无法恢复。
4.2.3系统管理员、应用管理员至少每月对数据库、应用系统的日志进行备份。
总部各部门
分(子)公司
经营风险:系统上线前未经严格测试,系统功能存在问题,导致应用系统不能正常运行。
应用系统上线前,必须由信息管理部门组织测试系统功能,形成测试报告,并经最终用户部门负责人签字确认。
总部各部门
分(子)公司
3
系统功能测试报告
系统初始化管理
合规风险:应用系统数据的收集、整理不规范,未经审核确认,导致系统存在大量垃圾数据或数据失真。
4.3.2应用管理员对应用系统操作日志或记录、安全管理员对直接访问数据库的操作日志至少每月进行一次审核,发现异常情况,及时上报信息管理部门/相关部门负责人,同时查明原因,提出处理意见,记录处理情况。
总部各部门
分(子)公司
应用管理员
安全管理员
3
日志审核记录
经营风险:系统问题处理、故障记录不规范,影响系统稳定运行。
总部各部门
分(子)公司
3
用户帐号清单
密码管理
经营风险:密码设置强度不够或更改不及时,造成系统泄密或受到非法访问
1.4.1操作人员应按照密码管理相关规定,遵循系统密码的长度至少为6位,复杂度为数字与字符的组合,三个月更改一次密码等密码规则设置密码,不得使用最近使用过的密码。应用管理员对操作人员密码定期更换记录进行检查。
信息资源管理业务内部控制矩阵
总部各部门
分(子)公司
经营风险:系统上线前未经严格测试,系统功能存在问题,导致应用系统不能正常运行。
应用系统上线前,必须由信息管理部门组织测试系统功能,形成测试报告,并经最终用户部门负责人签字确认。
总部各部门
分(子)公司
3
系统功能测试报告
系统初始化管理
合规风险:应用系统数据的收集、整理不规范,未经审核确认,导致系统存在大量垃圾数据或数据失真。
经营风险:备份策略和备份方案不完善,应用系统程序备份不及时,导致系统无法恢复。
4.2.2系统管理员适时对系统进行备份,同时检查备份系统的可读性,确认备份是否成功。
总部各部门
分(子)公司
3
系统备份记录
经营风险:数据库、应用系统日志备份不及时,导致系统问题无法追溯或系统无法恢复。
4.2.3系统管理员、应用管理员至少每月对数据库、应用系统的日志进行备份。
2.6.4
2.14.20
经营风险:系统变更管理不规范,导致应用系统运行和维护的无法正常进行。
总部统一建设的应用系统,系统变更必须填写系统变更审批表上报信息系统管理部和总部相关部门,由总部统一组织升级、测试和变更,各分(子)公司不得自行变更。各分(子)公司自建系统或客户化开发的变更,必须经过分(子)公司信息管理部门和相关部门负责人审批。
总部各部门、分(子)公司依据《中国石油化工股份有限公司管理信息系统应用管理办法(试行)》(以下简称《信息系统应用管理办法》),及相关应用系统管理办法实施程序和数据访问管理,包括用户权限管理、用户帐号及访问管理、密码管理、系统管理员、应用管理员、安全管理员(主要职责是承担对系统管理员、应用管理员的监管,负责审查系统管理员、应用管理员在系统中的操作)管理、第三方人员管理等。
分(子)公司
经营风险:系统上线前未经严格测试,系统功能存在问题,导致应用系统不能正常运行。
应用系统上线前,必须由信息管理部门组织测试系统功能,形成测试报告,并经最终用户部门负责人签字确认。
总部各部门
分(子)公司
3
系统功能测试报告
系统初始化管理
合规风险:应用系统数据的收集、整理不规范,未经审核确认,导致系统存在大量垃圾数据或数据失真。
经营风险:备份策略和备份方案不完善,应用系统程序备份不及时,导致系统无法恢复。
4.2.2系统管理员适时对系统进行备份,同时检查备份系统的可读性,确认备份是否成功。
总部各部门
分(子)公司
3
系统备份记录
经营风险:数据库、应用系统日志备份不及时,导致系统问题无法追溯或系统无法恢复。
4.2.3系统管理员、应用管理员至少每月对数据库、应用系统的日志进行备份。
2.6.4
2.14.20
经营风险:系统变更管理不规范,导致应用系统运行和维护的无法正常进行。
总部统一建设的应用系统,系统变更必须填写系统变更审批表上报信息系统管理部和总部相关部门,由总部统一组织升级、测试和变更,各分(子)公司不得自行变更。各分(子)公司自建系统或客户化开发的变更,必须经过分(子)公司信息管理部门和相关部门负责人审批。
总部各部门、分(子)公司依据《中国石油化工股份有限公司管理信息系统应用管理办法(试行)》(以下简称《信息系统应用管理办法》),及相关应用系统管理办法实施程序和数据访问管理,包括用户权限管理、用户帐号及访问管理、密码管理、系统管理员、应用管理员、安全管理员(主要职责是承担对系统管理员、应用管理员的监管,负责审查系统管理员、应用管理员在系统中的操作)管理、第三方人员管理等。
信息系统管理业务内部控制矩阵
信息系统管理业务内部控制矩阵
业务目标
业务风险
控制点
适用单位
不相容
岗位
控制点分值
控制点
相关资料
相关制度索引
会计报表认定
会计报表项目
1存在和发生/真实性;2完整性;3权利与义务;4估价或分摊;5表达和披露;6准确性
1
2
3
4
5
6
1. IT整体层面管理
经营风险:信息化管理体系不完善,信息化领导小组或ERP指导委员会设置不健全,信息管理部门职责不落实,导致信息化工作受损。
1.5.2依照《中国石油化工股份有限公司信息系统安全管理办法》规定,各级信息管理部门负责提出本单位的“信息系统关键岗位名录”,其中涉及信息系统安全的关键岗位由信息管理部门确定,涉及业务信息安全的关键岗位由主管业务部门商本单位保密委员会确定。“信息系统关键岗位名录”上的关键岗位人员要与所在单位签署“信息系统关键岗位安全责任书”,并在人事部门备案。
信息系统管理部
分(子)公司
5
信息化建设年度计划
1.10.5
3. 项目可行性研究和评审
经营风险:项目可行性研究报告提出的技术方案不合理,业务流程不规范,系统功能不健全,可研评审不到位,导致系统建设不能满足业务需求。
信息管理部门会同项目责任部门(单位)委托有资格的单位承担项目可行性研究,并组织专家组对项目可行性研究报告进行评审,专家组对项目需求、目标、技术路线、风险分析、投资与效益、进度、组织落实等提出可行性研究评审意见并签字。
1.10.5
经营风险:信息安全教育不足,导致员工信息安全意识薄弱。
1.3.2各级信息管理部门配合人事部门开展全员信息安全教育和培训,并在信息门户或内部网站发布安全教育培训材料。
业务目标
业务风险
控制点
适用单位
不相容
岗位
控制点分值
控制点
相关资料
相关制度索引
会计报表认定
会计报表项目
1存在和发生/真实性;2完整性;3权利与义务;4估价或分摊;5表达和披露;6准确性
1
2
3
4
5
6
1. IT整体层面管理
经营风险:信息化管理体系不完善,信息化领导小组或ERP指导委员会设置不健全,信息管理部门职责不落实,导致信息化工作受损。
1.5.2依照《中国石油化工股份有限公司信息系统安全管理办法》规定,各级信息管理部门负责提出本单位的“信息系统关键岗位名录”,其中涉及信息系统安全的关键岗位由信息管理部门确定,涉及业务信息安全的关键岗位由主管业务部门商本单位保密委员会确定。“信息系统关键岗位名录”上的关键岗位人员要与所在单位签署“信息系统关键岗位安全责任书”,并在人事部门备案。
信息系统管理部
分(子)公司
5
信息化建设年度计划
1.10.5
3. 项目可行性研究和评审
经营风险:项目可行性研究报告提出的技术方案不合理,业务流程不规范,系统功能不健全,可研评审不到位,导致系统建设不能满足业务需求。
信息管理部门会同项目责任部门(单位)委托有资格的单位承担项目可行性研究,并组织专家组对项目可行性研究报告进行评审,专家组对项目需求、目标、技术路线、风险分析、投资与效益、进度、组织落实等提出可行性研究评审意见并签字。
1.10.5
经营风险:信息安全教育不足,导致员工信息安全意识薄弱。
1.3.2各级信息管理部门配合人事部门开展全员信息安全教育和培训,并在信息门户或内部网站发布安全教育培训材料。
内部控制手册第3部分-内控矩阵(C)——1,4一般物资采购业务控制矩阵
6.4分(子)公司制订必检物资目录。对必检物资,分(子)公司物资供应部门组织质量检验,由质量检验部门判定质量状况,出具质量检验报告书;对验证放行物资,分(子)公司物资供应部门检查质量保证书、商检证书或合格证等证明文件。仓储保管人员对符合合同要求的合格物资办理验收入库。
分(子)公司
4
必检物资目录
质量检验报告
6.3物资供应部门根据生产建设进度需要和物资特性,选择合理的运输工具和运输方式,负责办理运输、投保、报关、商检等事宜。
物资装备部(国际事业公司)
分(子)公司
3
运输、投保、报关、商检等相关单据
1.9.11
1.2
2.2
经营风险:采购物资质量不能满足生产要求,影响生产。
财务风险:交易不真实,影响财务报告。
总部直接集中采购物资,各分(子)公司直接下载调拨单或采购合同。
物资装备部(国际事业公司)
分(子)公司
5
框架协议或采购合同
1.9.11
1.12.1
2.10.1
√
存货
1.5
2.2
经营风险:重复审批、工作效率低下
财务风险:交易不真实,影响财务报告。
5.2各分(子)公司对总部直接集中采购年度供应协议项下的调拨单或合同、总部组织集中采购和企业自行采购框架协议项下的合同须履行物资供应部门内部审批手续。
4
商情分析报告
1.9.11
5.框架协议和采购合同签订与审批
1.4
2.2
3.1
3.2
经营风险:权利、义务表述不清或未按规定签署合同,导致损失。
财务风险:交易不真实,影响财务报告。
合规风险:合同违反国家有关法律法规。
5.1物资供应部门根据确定的供应商、价格等内容,拟订框架协议或采购合同,准确描述条款,明确双方权利、义务和违约责任,按照规定权限签署框架协议或采购合同。【ERP】上网采购物资通过接口下载询比价信息和上传采购订单;非上网采购物资依据询价单、框架协议创建采购订单(独家采购、寄售采购和委托加工采购除外),完善采购订单条款后,按规定权限审批。电子商务和ERP系统内的同一采购订单须保持一致。
分(子)公司
4
必检物资目录
质量检验报告
6.3物资供应部门根据生产建设进度需要和物资特性,选择合理的运输工具和运输方式,负责办理运输、投保、报关、商检等事宜。
物资装备部(国际事业公司)
分(子)公司
3
运输、投保、报关、商检等相关单据
1.9.11
1.2
2.2
经营风险:采购物资质量不能满足生产要求,影响生产。
财务风险:交易不真实,影响财务报告。
总部直接集中采购物资,各分(子)公司直接下载调拨单或采购合同。
物资装备部(国际事业公司)
分(子)公司
5
框架协议或采购合同
1.9.11
1.12.1
2.10.1
√
存货
1.5
2.2
经营风险:重复审批、工作效率低下
财务风险:交易不真实,影响财务报告。
5.2各分(子)公司对总部直接集中采购年度供应协议项下的调拨单或合同、总部组织集中采购和企业自行采购框架协议项下的合同须履行物资供应部门内部审批手续。
4
商情分析报告
1.9.11
5.框架协议和采购合同签订与审批
1.4
2.2
3.1
3.2
经营风险:权利、义务表述不清或未按规定签署合同,导致损失。
财务风险:交易不真实,影响财务报告。
合规风险:合同违反国家有关法律法规。
5.1物资供应部门根据确定的供应商、价格等内容,拟订框架协议或采购合同,准确描述条款,明确双方权利、义务和违约责任,按照规定权限签署框架协议或采购合同。【ERP】上网采购物资通过接口下载询比价信息和上传采购订单;非上网采购物资依据询价单、框架协议创建采购订单(独家采购、寄售采购和委托加工采购除外),完善采购订单条款后,按规定权限审批。电子商务和ERP系统内的同一采购订单须保持一致。
ERP系统IT一般性控制内部矩阵
分(子)公司
2
用户审核签字
1.1
1.2
2.3
2.4
经营风险:账户共享,导致责任不清,导致系统存在安全隐患。
1.3.2应用管理员在系统中为每个操作人员设置独立的用户帐号,不能设置共享用户帐号(查询用户帐号除外)。
总部各部门
分(子)公司
1
1.1
1.2
2.3
2.4
经营风险:用户创建随意,影响系统安全稳定或生产经营。
总部各部门
分(子)公司
应用管理员
系统管理员
安全管理员
2
监控记录
安全员检查记录
1.1
经营风险:生产系统存在开发帐户、关键用户,影响系统安全稳定或生产经营。
1.6生产系统上线投入运行后,锁定生产系统中的开发人员、关键用户的帐号;如果开发人员或关键用户必须在生产系统中诊断问题,需填写ERP系统用户权限申请表(提出申请帐号目的和期限),由相关部门负责人签字确认后由应用管理员进行维护,完成问题诊断任务后锁定该帐号。
1.10.4
2.10.4
1.2用户权限理
1.1
1.2
2.3
2.4
经营风险:权限设置不当,导致对系统的非法或非授权访问。
1.2.1建立/变更用户帐号和角色,由申请人填写ERP系统用户权限申请表,经相关部门负责人审批后,由应用管理员在系统中建立/维护权限,相关人员进行权限测试并确认,关键用户对角色矩阵实时维护并进行版本管理。
总部各部门
分(子)公司
2
用户变更申请表
用户角色矩阵
1.1
1.2
2.3
2.4
经营风险:未及时锁定或删除岗位变动、离职人员帐号,导致系统存在安全隐患。
1.2.2操作人员由于岗位变动或离开单位,人事部门必须及时通知ERP支持中心,ERP支持中心应用管理员在系统中将该用户进行锁定或删除。
2
用户审核签字
1.1
1.2
2.3
2.4
经营风险:账户共享,导致责任不清,导致系统存在安全隐患。
1.3.2应用管理员在系统中为每个操作人员设置独立的用户帐号,不能设置共享用户帐号(查询用户帐号除外)。
总部各部门
分(子)公司
1
1.1
1.2
2.3
2.4
经营风险:用户创建随意,影响系统安全稳定或生产经营。
总部各部门
分(子)公司
应用管理员
系统管理员
安全管理员
2
监控记录
安全员检查记录
1.1
经营风险:生产系统存在开发帐户、关键用户,影响系统安全稳定或生产经营。
1.6生产系统上线投入运行后,锁定生产系统中的开发人员、关键用户的帐号;如果开发人员或关键用户必须在生产系统中诊断问题,需填写ERP系统用户权限申请表(提出申请帐号目的和期限),由相关部门负责人签字确认后由应用管理员进行维护,完成问题诊断任务后锁定该帐号。
1.10.4
2.10.4
1.2用户权限理
1.1
1.2
2.3
2.4
经营风险:权限设置不当,导致对系统的非法或非授权访问。
1.2.1建立/变更用户帐号和角色,由申请人填写ERP系统用户权限申请表,经相关部门负责人审批后,由应用管理员在系统中建立/维护权限,相关人员进行权限测试并确认,关键用户对角色矩阵实时维护并进行版本管理。
总部各部门
分(子)公司
2
用户变更申请表
用户角色矩阵
1.1
1.2
2.3
2.4
经营风险:未及时锁定或删除岗位变动、离职人员帐号,导致系统存在安全隐患。
1.2.2操作人员由于岗位变动或离开单位,人事部门必须及时通知ERP支持中心,ERP支持中心应用管理员在系统中将该用户进行锁定或删除。
(内部管理)信息系统管理业务内部控制矩阵
1.1
1.2
2.1
经营风险:系统安装调试不当,用户培训缺失,导致系统运行受损。
合规风险:安装的软件侵犯知识产权,导致诉讼及股份公司声誉受到损害。
6.3信息管理部门负责对项目实施单位承担的软硬件系统安装调试、用户培训进行检查,审核和确认测试报告,并检查相应软件的合法性,提供经双方签字的检查记录。
信息系统管理部
(内部管理)信息系统管理业务内部控制矩阵
1.1
2.2
经营风险:年度信息化项目建议计划不符合股份公司经营战略目标,导致盲目建设、投资低效。
2.1信息系统管理部根据股份公司信息化建设中长期规划和职能部门、事业部、分(子)公司申报的项目建议计划,结合年度实际,编制年度信息化项目建议计划,由信息系统管理部主任审核,按规定权限审批后,分别纳入股份公司年度投资计划、科技开发项目计划管理。各分(子)公司信息管理部门负责编制年度信息化项目建议计划预案,按规定权限审批后,分别纳入本单位年度投资建议计划、科技开发项目建议计划,上报信息系统管理部和总部相关部门审核。
各分(子)公司一般措施及零星购置的信息技术项目在总部每年核定的限额以内,由各分(子)公司根据当期生产经营管理的需要,按规定权限审批后报各主管事业部、信息系统管理部和发展计划部审核备案,并纳入股份公司年度投资计划管理。
通过可研评审的科技开发项目,由信息系统管理部报科技开发部立项,批准立项的项目,由科技开发部列入年度项目计划。
信息系统管理部
分(子)公司
经办
审批
3
项目实施报建工程
货币资金
应付账款
1.1
1.2
经营风险:集成测试不完整,造成系统评估不准确。
6.6信息管理部门组织对系统进行集成测试,形成集成测试评价意见;并根据集成测试评价意见责成项目实施单位进行修改完善。
1.2
2.1
经营风险:系统安装调试不当,用户培训缺失,导致系统运行受损。
合规风险:安装的软件侵犯知识产权,导致诉讼及股份公司声誉受到损害。
6.3信息管理部门负责对项目实施单位承担的软硬件系统安装调试、用户培训进行检查,审核和确认测试报告,并检查相应软件的合法性,提供经双方签字的检查记录。
信息系统管理部
(内部管理)信息系统管理业务内部控制矩阵
1.1
2.2
经营风险:年度信息化项目建议计划不符合股份公司经营战略目标,导致盲目建设、投资低效。
2.1信息系统管理部根据股份公司信息化建设中长期规划和职能部门、事业部、分(子)公司申报的项目建议计划,结合年度实际,编制年度信息化项目建议计划,由信息系统管理部主任审核,按规定权限审批后,分别纳入股份公司年度投资计划、科技开发项目计划管理。各分(子)公司信息管理部门负责编制年度信息化项目建议计划预案,按规定权限审批后,分别纳入本单位年度投资建议计划、科技开发项目建议计划,上报信息系统管理部和总部相关部门审核。
各分(子)公司一般措施及零星购置的信息技术项目在总部每年核定的限额以内,由各分(子)公司根据当期生产经营管理的需要,按规定权限审批后报各主管事业部、信息系统管理部和发展计划部审核备案,并纳入股份公司年度投资计划管理。
通过可研评审的科技开发项目,由信息系统管理部报科技开发部立项,批准立项的项目,由科技开发部列入年度项目计划。
信息系统管理部
分(子)公司
经办
审批
3
项目实施报建工程
货币资金
应付账款
1.1
1.2
经营风险:集成测试不完整,造成系统评估不准确。
6.6信息管理部门组织对系统进行集成测试,形成集成测试评价意见;并根据集成测试评价意见责成项目实施单位进行修改完善。
财务管理、财务报表系统it一般性控制矩阵和底稿
财务管理信息系统IT一般性控制矩阵
单位名称: 控制点 序号 控制目标 1 一 数据和程序访问 建立完善的权限 管理机制,在合 理的范围内确保 用户被授予的系 账号及权 FMIS-DA1 统权限和其岗位 限管理 职责相符,防止 对系统的非授权 访问。 1、建立完善的用户权限管理制度,明确系统相关人员分工 及岗位职责,确保用户拥有与其岗位职责分工相对应的权 限;用户的增删及其权限的变更需经财务部门负责人审批 确认。 财务部门 2、对软件功能使用权限、数据访问权限、科目使用权限、 每半年 负责人 报表使用权限、综合查询权限及其他权限等进行控制,保 证用户被授予的权限和其岗位职责相符。 3、财务部门负责人应每半年检查一次系统内的用户权限设 置。 1、每个用户拥有独立的用户账号,不得混用。同一用户不 允许拥有多个账号。 2、应用系统中用户帐号不能重复。 财务应用 3、用户登录时除对用户密码进行验证外,还要检查系统登 系统管理 每季度 录时间,限制用户登录已封帐的会计期间。 员 4、财务部门负责人应每季度检查一次系统内的用户账号清 单。 编号 2 控制点 3 控制点描述 4 控制 执行人 5 控制活动属性 控制 频率 6 自动/ 预防性/ 手动 检查性 7 8 相关制度和文档 9 穿行测试 有效否 10 测试结果 设计 有效否 11 执行 有效否 12 修补完 备注 成时间 13 14
自动
预防性 检查性
《中国石油化工 股份有限公司财 务信息管理系统 系统管理办法》
控制点 序号 控制目标 1 编号 2 控制点 3 控制点描述 4 控制 执行人 5
控制活动属性 控制 频率 6 自动/ 预防性/ 手动 检查性 7 8 相关制度和文档 9 穿行测试 有效否 10
测试结果 设计 有效否 11 执行 有效否 12 修补完 备注 成时间 13 14
单位名称: 控制点 序号 控制目标 1 一 数据和程序访问 建立完善的权限 管理机制,在合 理的范围内确保 用户被授予的系 账号及权 FMIS-DA1 统权限和其岗位 限管理 职责相符,防止 对系统的非授权 访问。 1、建立完善的用户权限管理制度,明确系统相关人员分工 及岗位职责,确保用户拥有与其岗位职责分工相对应的权 限;用户的增删及其权限的变更需经财务部门负责人审批 确认。 财务部门 2、对软件功能使用权限、数据访问权限、科目使用权限、 每半年 负责人 报表使用权限、综合查询权限及其他权限等进行控制,保 证用户被授予的权限和其岗位职责相符。 3、财务部门负责人应每半年检查一次系统内的用户权限设 置。 1、每个用户拥有独立的用户账号,不得混用。同一用户不 允许拥有多个账号。 2、应用系统中用户帐号不能重复。 财务应用 3、用户登录时除对用户密码进行验证外,还要检查系统登 系统管理 每季度 录时间,限制用户登录已封帐的会计期间。 员 4、财务部门负责人应每季度检查一次系统内的用户账号清 单。 编号 2 控制点 3 控制点描述 4 控制 执行人 5 控制活动属性 控制 频率 6 自动/ 预防性/ 手动 检查性 7 8 相关制度和文档 9 穿行测试 有效否 10 测试结果 设计 有效否 11 执行 有效否 12 修补完 备注 成时间 13 14
自动
预防性 检查性
《中国石油化工 股份有限公司财 务信息管理系统 系统管理办法》
控制点 序号 控制目标 1 编号 2 控制点 3 控制点描述 4 控制 执行人 5
控制活动属性 控制 频率 6 自动/ 预防性/ 手动 检查性 7 8 相关制度和文档 9 穿行测试 有效否 10
测试结果 设计 有效否 11 执行 有效否 12 修补完 备注 成时间 13 14
内部控制手册第3部分-内控矩阵(C)——11,1信息系统管理业务内部控制矩阵
信息系统管理部
分(子)公司
4
项目详细设计
1.10.2
1.1
1.2
经营风险:基础数据不完整、不准确、不真实,导致系统无法正常投运或计算出错。
6.2项目责任部门(单位)负责项目实施,业务部门组织数据的收集、整理、录入、审核,并进行审查和确认,保证数据的真实、完整和准确。
信息系统管理部
分(子)公司
3
1.10.2
1.4.1根据《中国石油化工股份有限公司信息系统风险评估管理办法》,信息系统管理部负责每年对信息系统进行年度综合风险评估,形成风险评估报告,并组织专家组对风险评估报告进行评审,专家组对风险评估报告提出评审意见并签字;分(子)公司信息管理部门会同相关业务部门,通过多种形式,组织本单位信息系统的风险评估,包括企业信息系统整体风险、重点系统风险、主要基础设施风险等,形成相关风险评估报告,并将风险评估报告经信息管理部门负责人审核签字后报信息系统管理部备案。
信息系统管理部
分(子)公司
3
安全管理员授权书
安全管理员资质证书
2.10.2
2.编制年度项目建议计划
1.1
2.2
经营风险:年度信息化项目建议计划不符合股份公司经营战略目标,导致盲目建设、投资低效。
2.1信息系统管理部根据股份公司信息化建设中长期规划和职能部门、事业部、分(子)公司申报的项目建议计划,结合年度实际,编制年度信息化项目建议计划,由信息系统管理部主任审核,按规定权限审批后,分别纳入股份公司年度投资计划、科技开发项目计划管理。各分(子)公司信息管理部门负责编制年度信息化项目建议计划预案,按规定权限审批后,分别纳入本单位年度投资建议计划、科技开发项目建议计划,上报信息系统管理部和总部相关部门审核。
1.1股份公司建立完善的信息化管理体系,设立ERP指导委员会,设立信息系统管理部负责股份公司信息化归口管理工作;各分(子)公司设立信息化领导小组或ERP指导委员会,定期召开会议,听取、总结和指导本单位信息化工作,设立信息管理部门负责本单位信息化管理工作,对信息系统和信息资源行使管理职责。
分(子)公司
4
项目详细设计
1.10.2
1.1
1.2
经营风险:基础数据不完整、不准确、不真实,导致系统无法正常投运或计算出错。
6.2项目责任部门(单位)负责项目实施,业务部门组织数据的收集、整理、录入、审核,并进行审查和确认,保证数据的真实、完整和准确。
信息系统管理部
分(子)公司
3
1.10.2
1.4.1根据《中国石油化工股份有限公司信息系统风险评估管理办法》,信息系统管理部负责每年对信息系统进行年度综合风险评估,形成风险评估报告,并组织专家组对风险评估报告进行评审,专家组对风险评估报告提出评审意见并签字;分(子)公司信息管理部门会同相关业务部门,通过多种形式,组织本单位信息系统的风险评估,包括企业信息系统整体风险、重点系统风险、主要基础设施风险等,形成相关风险评估报告,并将风险评估报告经信息管理部门负责人审核签字后报信息系统管理部备案。
信息系统管理部
分(子)公司
3
安全管理员授权书
安全管理员资质证书
2.10.2
2.编制年度项目建议计划
1.1
2.2
经营风险:年度信息化项目建议计划不符合股份公司经营战略目标,导致盲目建设、投资低效。
2.1信息系统管理部根据股份公司信息化建设中长期规划和职能部门、事业部、分(子)公司申报的项目建议计划,结合年度实际,编制年度信息化项目建议计划,由信息系统管理部主任审核,按规定权限审批后,分别纳入股份公司年度投资计划、科技开发项目计划管理。各分(子)公司信息管理部门负责编制年度信息化项目建议计划预案,按规定权限审批后,分别纳入本单位年度投资建议计划、科技开发项目建议计划,上报信息系统管理部和总部相关部门审核。
1.1股份公司建立完善的信息化管理体系,设立ERP指导委员会,设立信息系统管理部负责股份公司信息化归口管理工作;各分(子)公司设立信息化领导小组或ERP指导委员会,定期召开会议,听取、总结和指导本单位信息化工作,设立信息管理部门负责本单位信息化管理工作,对信息系统和信息资源行使管理职责。
it一般性控制矩阵和底稿_终稿
款手续。 8.系统升级
信息系统管理部 财务部门
付款手续。
8.1项目责任部门(单位)负责对业务流程与系统模型进行适时 分(子)公司 评价,并根据评价和修正意见,提出应用软件的升级申请,
2 8.1检查应用软件的升级 申请是否有项目责任部
项目责任部门(单位)负责人须签字确认。升级申请纳入计划
门负责人签字。
况检查、应急处理、数据备份和恢复、对关键用户与一般用 信息系统管理部 户进行培训和培训考核等工作,检查运行维护记录,应急事
应急事故处理记录是否 有当事人及负责人签字
故处理记录由当事人及负责人签字。
。
7.4信息部门根据合同规定和系统维护运行服务情况,办理付 分(子)公司 信息部门 5 7.4检查是否按规定办理
见。
善6.。项目竣工验收
6.1项目责任单位责成项目实施单位负责技术转移,提交项目 分(子)公司
2 6.1检查项目技术报告及
技术报告及相应的技术文档(包括用户使用手册、系统维护
技术文档。
手册、系统安全和使用授权管理办法、应急处理办法及用户 6.2项目试运行后,信息部门负责组织专家组进行项目竣工验 分(子)公司 信息部门 6 6.2检查专家验收意见及
5.1项目责任部门(单位)负责优化业务功能和业务流程,提出 分(子)公司
4 5.1检查业务解决方案及
业务解决方案,并由负责人签字确认;在此基础上,根据开 信息系统管理部
负责人签字,检查专家
发实施合同,项目实施单位(即开发实施合同中的乙方),
组对项目详细设计评审
按要求对项目进行详细设计;信息部门组织专家组对项目详
2 6.3检查后评价报告及专 家签字。
评价报告并签字。 7.系统应用和维护
erp系统it一般性控制介绍
一 程序和数据访问
控制点
控制点描 述
测试步 骤
测试结 果
结论
文档编 号
加强用户 权限管理, 1 防止对系 统的非授 权访问
ERP-DA1
用户权限维 护
1、制定ERP系统用
户权限管理制度; 1、访谈权限
2、建立/变更用户 管理员关于权
帐户和角色,由申 限维护的执行
请人填写“ERP系 情况,考察是
统用户权限申请
记录单以及相应人
护 后才能在生产系统中启用;
限
4、业务人员由于岗位变动或离开单位,业 管
务部门填写“ERP系统用户权限申请表”锁 定帐户,经业务部门领导审核后,由权限管
理 员
员的签字; 3、抽查建立/变更 的权限和角色是否
理员在系统中将该用户进行锁定。
经业务部门测试。
一、程序和数据访问
1、加强用户权限管理,防止对系统的非授权访问
密条款。
一、程序和数据访问
4、加强对第三方人员授权访问的管理
编号
控制 点
控制点描述
执行人
频 率
测试步骤
1、建立第三方人员账户申请表,
1、审阅第三方
经总部/企业的业务需求部门或
人员的账户申
信息部门负责人审批,其中要明
请表是否有相
第三 确该账户的使用期限,外部人员
应人员的审批
ERP 方人 撤离后或到期时该账户必须锁定 - 员的 或删除;
ERP -
DA5
开发 人员 和关 键用 户的 权限 管理
户进行锁定; 2、如果开发用户或关键用户需要到 系统中诊断问题,应填写ERP系统用 户权限申请表(提出申请帐户目的 和期限),经相关部门负责人签字 确认后由权限管理员进行维护; 3、BASIS管理员需对开发人员帐户 在系统中的操作进行监控,保存其
控制点
控制点描 述
测试步 骤
测试结 果
结论
文档编 号
加强用户 权限管理, 1 防止对系 统的非授 权访问
ERP-DA1
用户权限维 护
1、制定ERP系统用
户权限管理制度; 1、访谈权限
2、建立/变更用户 管理员关于权
帐户和角色,由申 限维护的执行
请人填写“ERP系 情况,考察是
统用户权限申请
记录单以及相应人
护 后才能在生产系统中启用;
限
4、业务人员由于岗位变动或离开单位,业 管
务部门填写“ERP系统用户权限申请表”锁 定帐户,经业务部门领导审核后,由权限管
理 员
员的签字; 3、抽查建立/变更 的权限和角色是否
理员在系统中将该用户进行锁定。
经业务部门测试。
一、程序和数据访问
1、加强用户权限管理,防止对系统的非授权访问
密条款。
一、程序和数据访问
4、加强对第三方人员授权访问的管理
编号
控制 点
控制点描述
执行人
频 率
测试步骤
1、建立第三方人员账户申请表,
1、审阅第三方
经总部/企业的业务需求部门或
人员的账户申
信息部门负责人审批,其中要明
请表是否有相
第三 确该账户的使用期限,外部人员
应人员的审批
ERP 方人 撤离后或到期时该账户必须锁定 - 员的 或删除;
ERP -
DA5
开发 人员 和关 键用 户的 权限 管理
户进行锁定; 2、如果开发用户或关键用户需要到 系统中诊断问题,应填写ERP系统用 户权限申请表(提出申请帐户目的 和期限),经相关部门负责人签字 确认后由权限管理员进行维护; 3、BASIS管理员需对开发人员帐户 在系统中的操作进行监控,保存其
it一般性控制介绍(06.8.22)
• 检查密码更新记录。 • .获取相关文档。
• 关键点 – 设备登录控制措施;密码结构;过期密码不可用性
17
二、网络管理
• 控制目标8
–企业网络的互联接口有安全保障措 施,以防止未经授权的外部人员接 触公司信息系统与资源。
18
二、网络管理
• ITI-NW5网络互联安全管理 1 .依照网络互联管理制度,规范企业网络互联管理。 2 .企业与外部网连接需及时申报并在总部进行备案。 • 测试步骤 – 设计有效性: • 获取《中国石化网络管理办法》和《中国石化互联网接口管理规 范》。 – 执行有效性: • 访谈信息安全管理负责人网络互联管理制度执行情况。 • 查看网络互联实施方案和《中国石化企业与外部网连接及变更申 请表》。 • 查看网络互联相关记录。 • 关键点 – 《中国石化企业与外部网连接及变更申请表》,总部备案。
• 控制目标11
–对机房环境、设备、人员进行有效 的监控管理,为信息系统提供可靠 的机房环境。
27
三、机房管理
• ITI-CR1机房及机房员工岗位管理 1 .制定机房管理规章制度,明确机房管理要求。 2 .应明确机房管理人员,实现对机房的有效管理。 • 测试步骤 – 设计有效性: • 访谈信息部门相关负责人了解机房管理制度,获取管理制度文 档; • 访谈机房管理人员,了解其岗位职责,获取岗位工作职责文档。 – 执行有效性: • 确认机房由机房管理员管理,机房管理员了解其岗位职责。 • 关键点 – 有否机房管理制度、岗位职责 – 机房管理员是否了解机房管理制度和岗位职责。
• 关键点
– 值班员是否了解机房环境巡检情况。巡检内容有严重缺失。 – 抽样的巡检记录样本完整性。
30
一、信息安全
二、网络管理
• 关键点 – 设备登录控制措施;密码结构;过期密码不可用性
17
二、网络管理
• 控制目标8
–企业网络的互联接口有安全保障措 施,以防止未经授权的外部人员接 触公司信息系统与资源。
18
二、网络管理
• ITI-NW5网络互联安全管理 1 .依照网络互联管理制度,规范企业网络互联管理。 2 .企业与外部网连接需及时申报并在总部进行备案。 • 测试步骤 – 设计有效性: • 获取《中国石化网络管理办法》和《中国石化互联网接口管理规 范》。 – 执行有效性: • 访谈信息安全管理负责人网络互联管理制度执行情况。 • 查看网络互联实施方案和《中国石化企业与外部网连接及变更申 请表》。 • 查看网络互联相关记录。 • 关键点 – 《中国石化企业与外部网连接及变更申请表》,总部备案。
• 控制目标11
–对机房环境、设备、人员进行有效 的监控管理,为信息系统提供可靠 的机房环境。
27
三、机房管理
• ITI-CR1机房及机房员工岗位管理 1 .制定机房管理规章制度,明确机房管理要求。 2 .应明确机房管理人员,实现对机房的有效管理。 • 测试步骤 – 设计有效性: • 访谈信息部门相关负责人了解机房管理制度,获取管理制度文 档; • 访谈机房管理人员,了解其岗位职责,获取岗位工作职责文档。 – 执行有效性: • 确认机房由机房管理员管理,机房管理员了解其岗位职责。 • 关键点 – 有否机房管理制度、岗位职责 – 机房管理员是否了解机房管理制度和岗位职责。
• 关键点
– 值班员是否了解机房环境巡检情况。巡检内容有严重缺失。 – 抽样的巡检记录样本完整性。
30
一、信息安全
二、网络管理
.2信息资源管理业务内部控制矩阵
分(子)公司
10
1.10.1
6.信息授权
1.1
1.2
经营风险:部门信息授权不当,导致信息泄密或贻误工作。
6.1信息管理部门依据股份公司有关信息资源管理的规定,按照各部门管理职责及部门间共享信息需求目录,通过信息平台对各部门实施信息授权。
信息系统管理部
分(子)公司
信息管理部门
相关部门
5
1.10.4
1.1
未经审核,变更信息购入、转让合同示范文本中有关权利、义务的条款,导致损失。
3.2外购信息的订购、采集由信息管理部门统一归口管理。外购信息源由信息管理部门和相关部门综合考虑信息的权威性、时效性和提供方式,按外购信息需求目录逐一确定。
总部各部门
分(子)公司
8
1.10.1
4.信息分级
1.2
2.1
经营风险:信息分级不当,导致信息送达不当,贻误工作。
2.1信息管理部门组织汇总各部门需要其他部门提供的信息和需外购的信息,编制部门间共享信息需求目录和外购信息需求目录,分别反馈各部门核对确认。总部部门间共享信息需求目录由股份公司副总裁审核批准;分(子)公司部门间共享信息需求目录由分(子)公司分管副经理审核批准。
信息系统管理部
分(子)公司
5
部门间共享信息需求目录
总部各部门
分(子)公司
12
部门信息密级目录列表
1.10.4
5.信息集中和信息整合
1.1
1.2
1.3
经营风险:信息平台功能欠缺,信息集成度不够,信息处理不当,导致信息质量下降。
5.1信息管理部门负责建立内部公共信息平台,实施信息集中和信息整合,采用统一标准接入、存储、处理和发布各类信息。
10
1.10.1
6.信息授权
1.1
1.2
经营风险:部门信息授权不当,导致信息泄密或贻误工作。
6.1信息管理部门依据股份公司有关信息资源管理的规定,按照各部门管理职责及部门间共享信息需求目录,通过信息平台对各部门实施信息授权。
信息系统管理部
分(子)公司
信息管理部门
相关部门
5
1.10.4
1.1
未经审核,变更信息购入、转让合同示范文本中有关权利、义务的条款,导致损失。
3.2外购信息的订购、采集由信息管理部门统一归口管理。外购信息源由信息管理部门和相关部门综合考虑信息的权威性、时效性和提供方式,按外购信息需求目录逐一确定。
总部各部门
分(子)公司
8
1.10.1
4.信息分级
1.2
2.1
经营风险:信息分级不当,导致信息送达不当,贻误工作。
2.1信息管理部门组织汇总各部门需要其他部门提供的信息和需外购的信息,编制部门间共享信息需求目录和外购信息需求目录,分别反馈各部门核对确认。总部部门间共享信息需求目录由股份公司副总裁审核批准;分(子)公司部门间共享信息需求目录由分(子)公司分管副经理审核批准。
信息系统管理部
分(子)公司
5
部门间共享信息需求目录
总部各部门
分(子)公司
12
部门信息密级目录列表
1.10.4
5.信息集中和信息整合
1.1
1.2
1.3
经营风险:信息平台功能欠缺,信息集成度不够,信息处理不当,导致信息质量下降。
5.1信息管理部门负责建立内部公共信息平台,实施信息集中和信息整合,采用统一标准接入、存储、处理和发布各类信息。
内控矩阵的编写方法演示文稿
情形二建议答案:
现在是14页\一共有44页\编辑于星期三
*
情形三: 固定资产每年盘点一次,但此次评估期间内未进行过盘点。 “控制活动是否发生变化”、“控制设计是否有效”、“控制执行是否有效”三栏如何填写?
内控推广自评问卷填写练习(续)
现在是15页\一共有44页\编辑于星期三
*
控制活动是否发生变化 (是/否)
内控推广自评问卷填写练习(续)
现在是17页\一共有44页\编辑于星期三
*
内控推广自评问卷填写练习—情形四建议答案
控制目标编号
控制目标
控制活动编号
关键控制活动描述
控制责任部门
本公司控制活动与控制责任部门是否相同 (是/否) [1]
本公司控制活动描述 [2]
TLHL-PU-CO-1101
加强和完善付款流程和控制,审核程序 企业应当加强采购付款的管理,完善付款流程,明确付款审核人的责任和权力,严格审核采购预算、合同、相关单据凭证、审批程序等相关内容,审核无误后按照合同规定及时办理付款。
控制责任部门和责任岗位:负责实施或监督控制活动的部门和岗位,责任部门具体到业务部门、决策机构;责任岗位具体到部门岗位或决策机构成员。
相关文档和相关制度:相关文档是控制活动的记录、即控制活动的载体。相关制度即规定控制活动并以书面方式予以呈现的文件。
控制活动属性信息:包括控制活动属性(预防性/检查性)、控制方式(手工/系统)、执行频率(每天/每周/每月/…)
内控矩阵的编写方法演示文稿
现在是1页\一共有44页\编辑于星期三
内控矩阵的编写方法ppt课件
现在是2页\一共有44页\编辑于星期三
*
内部控制矩阵是什么? 内部控制矩阵是对企业内部控制的整理,能够系统化地展现企业所需要达到的控制状态和企业的控制现状,并可以直观地显示出两者间的差距。同时,内控矩阵也可以详细地记录企业控制活动的关键属性信息,帮助内控的实施者、管理者、监督者了解、执行和检查控制活动。 内部控制矩阵有哪些组成分? 控制目标 关键控制活动 责任部门和责任人 相关文档和相关制度 控制活动的属性、方式和频率
现在是14页\一共有44页\编辑于星期三
*
情形三: 固定资产每年盘点一次,但此次评估期间内未进行过盘点。 “控制活动是否发生变化”、“控制设计是否有效”、“控制执行是否有效”三栏如何填写?
内控推广自评问卷填写练习(续)
现在是15页\一共有44页\编辑于星期三
*
控制活动是否发生变化 (是/否)
内控推广自评问卷填写练习(续)
现在是17页\一共有44页\编辑于星期三
*
内控推广自评问卷填写练习—情形四建议答案
控制目标编号
控制目标
控制活动编号
关键控制活动描述
控制责任部门
本公司控制活动与控制责任部门是否相同 (是/否) [1]
本公司控制活动描述 [2]
TLHL-PU-CO-1101
加强和完善付款流程和控制,审核程序 企业应当加强采购付款的管理,完善付款流程,明确付款审核人的责任和权力,严格审核采购预算、合同、相关单据凭证、审批程序等相关内容,审核无误后按照合同规定及时办理付款。
控制责任部门和责任岗位:负责实施或监督控制活动的部门和岗位,责任部门具体到业务部门、决策机构;责任岗位具体到部门岗位或决策机构成员。
相关文档和相关制度:相关文档是控制活动的记录、即控制活动的载体。相关制度即规定控制活动并以书面方式予以呈现的文件。
控制活动属性信息:包括控制活动属性(预防性/检查性)、控制方式(手工/系统)、执行频率(每天/每周/每月/…)
内控矩阵的编写方法演示文稿
现在是1页\一共有44页\编辑于星期三
内控矩阵的编写方法ppt课件
现在是2页\一共有44页\编辑于星期三
*
内部控制矩阵是什么? 内部控制矩阵是对企业内部控制的整理,能够系统化地展现企业所需要达到的控制状态和企业的控制现状,并可以直观地显示出两者间的差距。同时,内控矩阵也可以详细地记录企业控制活动的关键属性信息,帮助内控的实施者、管理者、监督者了解、执行和检查控制活动。 内部控制矩阵有哪些组成分? 控制目标 关键控制活动 责任部门和责任人 相关文档和相关制度 控制活动的属性、方式和频率
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息系统管理部
分(子)公司
安全管理员
网络管理员
5
密码变更记录
2.10.5
1.3网络互联安全管理
1.1
经营风险:网络互联接口处未部署安全设备,导致内部网络被非授权访问和攻击。
1.3.1总部和分(子)公司依据《网络管理办法》相关要求,在关键网络互联接口处部署安全设备,信息管理部门授权专人负责安全设备的管理,并备有安全设备配置文档。分(子)公司与外部网互联情况上报信息系统管理部备案。
经营风险:用户未经授权即可接入网络,导致内部网络被非授权访问和攻击。
1.4.1用户终端接入网络需填写申请表,由申请人所在部门确认,信息管理部门(责任处(科)室)负责人批准并备案。申请表内容应包含终端接入安全责任条款。
信息系统管理部
分(子)公司
3
终端用户接入申请表
2.10.5
1.1
经营风险:未对用户登录网络进行管理,导致内部网络被非授权访问和攻击。
2.10.5
1.1
经营风险:未编制网络运行维护技术文档或文档未妥善保管,导致网络运行维护缺乏技术资料等重要依据。
1.1.3各级信息管理部门负责编制网络运行维护的相关技术文档,包括网络拓扑图、IP地址分配表以及网络设备配置文件等,由专人负责整理和保存。
信息系统管理部
分(子)公司
4
IP地址分配表
网络拓扑图
1.4.2建立用户登录网络认证机制,避免对中国石化内部网络未经授权的访问。
信息系统管理部
分(子)公司
3
2.10.5
1.1
经营风险:人事部门未及时提供人员离职交接表,或信息管理部门未及时将离职人员网络接入服务注销,导致内部网络被非授权访问和攻击。
1.4.3根据人事部门提供的人员离职交接表,信息管理部门应及时注销该用户的网络接入服务。
合规风险:信息基础设施的使用未遵守保护知识产权、合同法等有关国家法律、法规,股份公司声誉受到损害,受到相关部门处罚。
1.1.1总部和分(子)公司依据《中国石油化工股份有限公司网络管理办法》(以下简称《网络管理办法》)及相关管理制度和工作流程实施对网络的管理,包括网络运行维护管理、网络互联管理、网络设备密码管理、网络管理员管理、远程接入网络管理、病毒防护管理等。
网络设备配置记录表
2.10.5
1.1
经营风险:网络设备密码设置强度不够或更改不及时,造成公司内部网络被非授权访问和攻击。
1.2网络设备登录设置合理的密码规则,密码要求长度六位以上,采用数字和字符组合方式,新密码不得与前五次历史密码相同。网络管理员必须每六个月修改网络设备登录密码,填写密码更换记录,经安全管理员确认并在信息管理部门备案。
2.10.2
1.1
经营风险:安全管理员未及时对相关日志审计分析,导致内部网络被非授权访问和攻击。
1.3.3安全管理员每周对网络设备登录日志、防火墙日志、入侵检测日志等进行分析审计。
信息系统管理部
分(子)公司
4
网络设备登陆日志审阅表
防火墙日志审阅表
入侵检测日志审阅表
2.10.2
1.4终端用户接入管理
1.1
信息系统管理部
分(子)公司
申请部门信息管理部门
3
远程用户接入服务申请表
远程用户接入服务安全承诺书
2.10.5
1.1
经营风险:未在内部网络部署防病毒系统或未及时升级,导致内部网络被病毒侵害。
1.6依据《网络管理办法》相关要求,网络管理员负责部署防病毒系统并及时进行版本和病毒特征库升级;安全管理员每周对防病毒系统日志等进行分析审计。
信息系统管理部
分(子)公司
4
安全设备配置文档
与外部网互联备案记录表
2.10.2
1.1
经营风险:安全管理员未及时发现安全设备规则存在的漏洞,导致内部网络被非授权访问和攻击。
1.3.2安全管理员每季度对安全设备的规则进行复核、确认、检查,填写安全设备配置检查记录表。
信息系统管理部
分(子)公司
4
安全设备配置检查记录表
2.10.7
1.1
经营风险:未建立服务器档案,导致服务器运行维护缺乏配置参数等重要依据。
2.2系统管理员须建立服务器档案,内容包括设备的详细硬件配置、设备唯一性标记和设备用途等信息。
信息系统管理部
分(子)公司
4
服务器档案
2.10.7
2.3服务器操作系统管理
1.1
经营风险:随意创建操作系统用户,导致系统管理混乱,影响系统运行,存在安全隐患。
信息系统管理部
分(子)公司
5
网络管理办法
2.10.5
1.1
经营风险:网络相关管理人员配备不到位,导致网络管理存在安全隐患。
1.1.2各级信息管理部门依据《网络管理办法》及相应岗位职责,配备网络管理员部
分(子)公司
安全管理员
网络管理员
3
网络管理员、安全管理员授权文档
信息系统管理部
分(子)公司
人事部
信息系统管理部
分(子)公司
3
离职人员交接表
2.10.5
1.1
经营风险:未经相关领导授权开通远程接入网络服务,导致内部网络被非授权访问和攻击。
1.5远程接入网络申请人依据《网络管理办法》相关要求,填写远程接入服务申请表和远程用户接入服务安全承诺书,由所在部门负责人确认,信息管理部门(责任处(科)室)负责人审批并备案。
2.3.1操作系统用户须填写操作系统用户申请表,经信息管理部门(责任处(科)室)负责人审批后,由系统管理员创建。
信息系统管理部
分(子)公司
3
操作系统用户申请表
2.10.7
1.1
经营风险:操作系统用户授权超期未锁定或删除,导致信息泄密或系统安全存在隐患。
2.3.2系统管理员每半年检查操作系统用户授权情况并记录,对超期使用帐号的用户进行锁定或删除。
信息系统管理部
分(子)公司
网络管理员
安全管理员
3
防病毒系统日志审阅记录表
2.10.5
2.10.2
2.服务器管理
1.1
经营风险::服务器相关管理人员配备不到位,导致系统运行管理存在隐患。
2.1各级信息管理部门配备系统管理员,由信息管理部门(责任处(科)室)负责人审批。
信息系统管理部
分(子)公司
3
系统管理员任命材料
11.5基础设施IT一般性控制内部控制矩阵
业务目标
业务风险
控制点
适用单位
不相容
岗位
控制点分值
控制点相关资料
相关制度索引
会计报表认定
会计报表项目
1存在和发生/真实性;2完整性;3权利与义务;4估价或分摊;5表达和披露;6准确性
1
2
3
4
5
6
1.网络管理
1.1网络基础管理
1.1
2.1
2.2
经营风险:网络管理制度不健全,导致网络管理存在漏洞。
分(子)公司
安全管理员
网络管理员
5
密码变更记录
2.10.5
1.3网络互联安全管理
1.1
经营风险:网络互联接口处未部署安全设备,导致内部网络被非授权访问和攻击。
1.3.1总部和分(子)公司依据《网络管理办法》相关要求,在关键网络互联接口处部署安全设备,信息管理部门授权专人负责安全设备的管理,并备有安全设备配置文档。分(子)公司与外部网互联情况上报信息系统管理部备案。
经营风险:用户未经授权即可接入网络,导致内部网络被非授权访问和攻击。
1.4.1用户终端接入网络需填写申请表,由申请人所在部门确认,信息管理部门(责任处(科)室)负责人批准并备案。申请表内容应包含终端接入安全责任条款。
信息系统管理部
分(子)公司
3
终端用户接入申请表
2.10.5
1.1
经营风险:未对用户登录网络进行管理,导致内部网络被非授权访问和攻击。
2.10.5
1.1
经营风险:未编制网络运行维护技术文档或文档未妥善保管,导致网络运行维护缺乏技术资料等重要依据。
1.1.3各级信息管理部门负责编制网络运行维护的相关技术文档,包括网络拓扑图、IP地址分配表以及网络设备配置文件等,由专人负责整理和保存。
信息系统管理部
分(子)公司
4
IP地址分配表
网络拓扑图
1.4.2建立用户登录网络认证机制,避免对中国石化内部网络未经授权的访问。
信息系统管理部
分(子)公司
3
2.10.5
1.1
经营风险:人事部门未及时提供人员离职交接表,或信息管理部门未及时将离职人员网络接入服务注销,导致内部网络被非授权访问和攻击。
1.4.3根据人事部门提供的人员离职交接表,信息管理部门应及时注销该用户的网络接入服务。
合规风险:信息基础设施的使用未遵守保护知识产权、合同法等有关国家法律、法规,股份公司声誉受到损害,受到相关部门处罚。
1.1.1总部和分(子)公司依据《中国石油化工股份有限公司网络管理办法》(以下简称《网络管理办法》)及相关管理制度和工作流程实施对网络的管理,包括网络运行维护管理、网络互联管理、网络设备密码管理、网络管理员管理、远程接入网络管理、病毒防护管理等。
网络设备配置记录表
2.10.5
1.1
经营风险:网络设备密码设置强度不够或更改不及时,造成公司内部网络被非授权访问和攻击。
1.2网络设备登录设置合理的密码规则,密码要求长度六位以上,采用数字和字符组合方式,新密码不得与前五次历史密码相同。网络管理员必须每六个月修改网络设备登录密码,填写密码更换记录,经安全管理员确认并在信息管理部门备案。
2.10.2
1.1
经营风险:安全管理员未及时对相关日志审计分析,导致内部网络被非授权访问和攻击。
1.3.3安全管理员每周对网络设备登录日志、防火墙日志、入侵检测日志等进行分析审计。
信息系统管理部
分(子)公司
4
网络设备登陆日志审阅表
防火墙日志审阅表
入侵检测日志审阅表
2.10.2
1.4终端用户接入管理
1.1
信息系统管理部
分(子)公司
申请部门信息管理部门
3
远程用户接入服务申请表
远程用户接入服务安全承诺书
2.10.5
1.1
经营风险:未在内部网络部署防病毒系统或未及时升级,导致内部网络被病毒侵害。
1.6依据《网络管理办法》相关要求,网络管理员负责部署防病毒系统并及时进行版本和病毒特征库升级;安全管理员每周对防病毒系统日志等进行分析审计。
信息系统管理部
分(子)公司
4
安全设备配置文档
与外部网互联备案记录表
2.10.2
1.1
经营风险:安全管理员未及时发现安全设备规则存在的漏洞,导致内部网络被非授权访问和攻击。
1.3.2安全管理员每季度对安全设备的规则进行复核、确认、检查,填写安全设备配置检查记录表。
信息系统管理部
分(子)公司
4
安全设备配置检查记录表
2.10.7
1.1
经营风险:未建立服务器档案,导致服务器运行维护缺乏配置参数等重要依据。
2.2系统管理员须建立服务器档案,内容包括设备的详细硬件配置、设备唯一性标记和设备用途等信息。
信息系统管理部
分(子)公司
4
服务器档案
2.10.7
2.3服务器操作系统管理
1.1
经营风险:随意创建操作系统用户,导致系统管理混乱,影响系统运行,存在安全隐患。
信息系统管理部
分(子)公司
5
网络管理办法
2.10.5
1.1
经营风险:网络相关管理人员配备不到位,导致网络管理存在安全隐患。
1.1.2各级信息管理部门依据《网络管理办法》及相应岗位职责,配备网络管理员部
分(子)公司
安全管理员
网络管理员
3
网络管理员、安全管理员授权文档
信息系统管理部
分(子)公司
人事部
信息系统管理部
分(子)公司
3
离职人员交接表
2.10.5
1.1
经营风险:未经相关领导授权开通远程接入网络服务,导致内部网络被非授权访问和攻击。
1.5远程接入网络申请人依据《网络管理办法》相关要求,填写远程接入服务申请表和远程用户接入服务安全承诺书,由所在部门负责人确认,信息管理部门(责任处(科)室)负责人审批并备案。
2.3.1操作系统用户须填写操作系统用户申请表,经信息管理部门(责任处(科)室)负责人审批后,由系统管理员创建。
信息系统管理部
分(子)公司
3
操作系统用户申请表
2.10.7
1.1
经营风险:操作系统用户授权超期未锁定或删除,导致信息泄密或系统安全存在隐患。
2.3.2系统管理员每半年检查操作系统用户授权情况并记录,对超期使用帐号的用户进行锁定或删除。
信息系统管理部
分(子)公司
网络管理员
安全管理员
3
防病毒系统日志审阅记录表
2.10.5
2.10.2
2.服务器管理
1.1
经营风险::服务器相关管理人员配备不到位,导致系统运行管理存在隐患。
2.1各级信息管理部门配备系统管理员,由信息管理部门(责任处(科)室)负责人审批。
信息系统管理部
分(子)公司
3
系统管理员任命材料
11.5基础设施IT一般性控制内部控制矩阵
业务目标
业务风险
控制点
适用单位
不相容
岗位
控制点分值
控制点相关资料
相关制度索引
会计报表认定
会计报表项目
1存在和发生/真实性;2完整性;3权利与义务;4估价或分摊;5表达和披露;6准确性
1
2
3
4
5
6
1.网络管理
1.1网络基础管理
1.1
2.1
2.2
经营风险:网络管理制度不健全,导致网络管理存在漏洞。