信息资源管理业务内部控制矩阵
内部控制手册第3部分-内控矩阵(C)——11,3ERP系统IT一般性控制内部控制矩阵
分(子)公司
2
程序开发管理制度或规定
1.10.3
2.10.4
1.3
2.1
2.2
经营风险:业务流程不规范、设计不合理,导致系统不能满足业务需求。
3.2信息管理部门负责组建项目组,包括承担系统实施的人员(以下简称咨询顾问)和关键用户。项目组根据ERP项目可行性研究报告和批复进行业务流程设计,并经关键用户、业务部门负责人签字确认。
总部各部门
分(子)公司
2
客户化开发变更申请表
1.1
1.3
2.4
经营风险:变更管理不规范,客户化开发、测试和传输管理不完善,导致系统故障或不能满足业务需求。
2.2.2信息系统管理部组织人员根据审批后的客户化开发变更需求在开发环境中进行开发,完成开发后由提报单位的业务人员在测试环境中进行测试,针对变更部分编制测试文档(包括测试场景和测试结果),经业务人员及部门负责人签字确认后,由提报单位的应用管理员按照传输管理要求传入生产系统。
1.1总部各部门、分(子)公司依据《中国石油化工股份有限公司管理信息系统应用管理办法(试行)》(以下简称《信息系统应用管理办法》)等,制定程序和数据访问管理制度,主要包括用户权限管理、用户帐号管理、用户登录管理、超级用户管理及第三方人员管理等内容。
总部各部门
分(子)公司
2
程序和数据访问管理制度或规定
第三方人员撤离后,其帐号需在系统中进行删除或锁定,如确需访问系统诊断问题,需按照用户权限维护程序经审批后方可解锁/创建;维护完毕后应及时锁定或删除。
总部各部门
分(子)公司
2
第三方人员清单
用户变更申请表
2.程序变更
1.1
1.2
1.3
内控矩阵的编写方法
绘制主要业务流程图
定义:使用特定符号和图形来表示实体单位的业务处理程序,显示文件凭证在组织机构内部的产生、传递、检查和保持及其相互关系。流程图的特点优点:直观显示内部控制的特征,同时便于修改。因此,流程图便于公司管理层形象地了解内部控制是如何运行的,有助于发现内部控制中的不足之处。缺点:需要较为娴熟的技术,对内部控制的某些弱点有时很难在图上准确地表达出来。流程图绘制工具:Microsoft Visio 2010(安装)
内控推广自评问卷填写练习(续)
控制活动是否发生变化
(是/否)
控制设计
是
附注
否
是
未发生
固定资产每年盘点一次,但此次评估期间内未进行过盘点。
内控推广自评问卷填写练习(续)
情形三建议答案:
情形四:各单位在填写”采购与付款“活动推广问卷时,假如出现以下情形:1、关键控制活动描述中,没有“交合同审计审核签字”环节;2、在控制执行环节中,没有经公司领导审批就进行了付款。推广问卷各个栏目如何填写?
财务处
否
由供应处根据发票及合同填写合同汇款申请单,经供应处负责人审核,验收部门及使用部门确认签字后,交财务处材料会计,材料会计根据发票入账情况及合同进行审核签字,交合同审计审核签字(删除),再由财务负责人审核签字,交公司分管领导及公司主要负责人审批,最后由财务处负责人审批,交材料会计做付款账务处理。
内控推广自评问卷填写练习(续)
情形二:固定资产12月进行了全面盘点。盘盈盘亏均按照公司政策进行了处理,但对于分支机构和控股子公司固定资产报废,从12月起改为原值金额大于200,000元的需报控股公司相关部门审批。“控制活动是否发生变化”、“控制设计是否有效”、“控制执行是否有效”三栏如何填写?
ERP系统IT一般性控制内部控制矩阵(制度范本、DOC格式)
分(子)公司
业务支持人员
应用管理员
3
业务支持人员名单
1.1
经营风险:超级用户权限管理不当,影响系统安全稳定或生产经营。
1.9超级用户权限必须严格控制,申请时必须阐明使用原因,并经ERP支持中心负责人审核签字后,应用管理员才能在系统中进行分配,使用后要及时将权限回收。
总部各部门
分(子)公司
2
用户变更申请表
用户角色矩阵
1.1
1.2
2.3
2.4
经营风险:未及时锁定或删除岗位变动、离职人员帐号,导致系统存在安全隐患。
1.2.2操作人员由于岗位变动或离开单位,人事部门必须及时通知ERP支持中心,ERP支持中心应用管理员在系统中将该用户进行锁定或删除。
总部各部门
分(子)公司
分(子)公司
1
SAP*、DDIC帐号密码修改记录
1.1
经营风险:业务支持人员的权限分配不当,影响系统安全稳定或生产经营。
1.8业务支持人员支持权限的新建、变更、删除、锁定需经ERP支持中心负责人审核签字后由应用管理员在系统中进行分配,业务支持人员在生产系统中只有相应模块的显示、跟踪权限,不能分配业务操作权限、后台配置权限。
1.10.4
2.10.4
1.2用户权限管理
1.1
1.2
2.3
2.4
经营风险:权限设置不当,导致对系统的非法或非授权访问。
1.2.1建立/变更用户帐号和角色,由申请人填写ERP系统用户权限申请表,经相关部门负责人审批后,由应用管理员在系统中建立/维护权限,相关人员进行权限测试并确认,关键用户对角色矩阵实时维护并进行版本管理。
1
用户变更申请表
人员变动清单
信息管理内部控制制度模板范文(六篇)
信息管理内部控制制度模板范文第一章总则第一条为规范和加强公司的信息管理,确保信息的安全、准确、完整、及时,提高信息的获取、处理、传递和利用的效率,严格控制信息系统的风险,特制订本制度。
第二条本制度适用于公司及所有部门、分支机构、子公司以及各级人员的信息管理活动。
第三条信息管理活动指包括信息系统建设、信息资源管理、信息技术应用、信息安全保障等全部与信息管理相关的工作。
第四条信息管理应坚持服务于业务、科学管理、信息化建设与管理相结合的原则。
第五条信息管理活动应依法、合规、规范进行,强调风险管理和内部控制的要求,并不断完善和提高信息管理水平,促进信息化建设与管理的协调发展。
第六条公司应制定完整的信息管理制度体系,包括本制度、信息安全管理制度、标准与规范等制度。
第七条公司的信息管理活动应坚持公正、公平、公开的原则,依法、依规进行。
第八条公司应建立和完善信息管理组织体系,确保信息管理工作的有效开展。
第九条公司应完善信息管理的相关培训体系,提高员工的信息管理能力。
第十条公司应采用先进的信息技术手段,提高信息管理的效率和质量。
第二章组织与责任第十一条公司应设立信息管理部门,负责公司的信息管理工作。
第十二条信息管理部门的职责包括:组织制定公司的信息管理制度、规范公司的信息管理活动、协调各部门的信息管理工作、建立和完善信息管理体系、提供信息技术支持、进行信息安全保障等。
第十三条信息管理部门应建立有效的工作机制,确保信息管理工作的正常开展。
第十四条公司应设立信息管理委员会,负责决策公司的信息管理政策、规划和重大事项。
第十五条信息管理委员会的成员由公司的高级管理人员和相关专家组成,通过常务委员会决策,履行决策、协调、指导的职责。
第十六条所有部门、分支机构、子公司应配备专职或兼职的信息管理人员,负责本部门、分支机构、子公司的信息管理工作,协助信息管理部门完成信息管理任务。
第十七条信息管理人员应具备相应的专业知识和能力,参加相关的培训,不断提高信息管理水平。
信息系统管理业务内部控制矩阵
1信息系统管理业务内部控制矩阵11、1信息系统管理业务内部控制矩阵业务目标业务风险控制点适用单位不相容岗位控制点分值控制点相关资料相关制度索引会计报表认定会计报表项目1存在和发生/真实性;2完整性;3权利与义务;4估价或分摊;5表达和披露;6准确性1234561、IT整体层面管理1、1经营风险:信息化管理体系不完善,信息化领导小组或ERP指导委员会设置不健全,信息管理部门职责不落实,导致信息化工作受损。
1、1股份公司建立完善的信息化管理体系,设立ERP指导委员会,设立信息系统管理部负责股份公司信息化归口管理工作;各分(子)公司设立信息化领导小组或ERP指导委员会,定期召开会议,听取、总结和指导本单位信息化工作,设立信息管理部门负责本单位信息化管理工作,对信息系统和信息资源行使管理职责。
总部分(子)公司6ERP指导委员会或信息化领导小组成立文件;会议纪要信息管理部门职责文件1、10、51、12、2经营风险:信息化建设中长期规划不符合股份公司经营战略目标,导致盲目建设、投资低效。
1、2根据股份公司发展战略目标和核心业务,结合信息技术发展和股份公司实际,信息系统管理部负责组织编制股份公司信息化建设中长期规划,在充分征求职能部门、事业部和分(子)公司意见后,组织专家组评审,并根据专家意见负责组织修改,经信息系统管理部主任审核,按规定权限审批后,纳入股份公司中长期发展规划。
信息系统管理部5股份公司信息化建设中长期规划1、10、51、3教育和培训1、1经营风险:信息化培训缺乏,导致信息系统效能低下、信息化管理水平不高、信息化技能缺失。
1、3、1各级信息管理部门负责编制年度信息化培训计划,经部门负责人审批后,纳入人事部门年度培训计划,并组织落实。
信息系统管理部分(子)公司2年度培训计划1、10、51、1经营风险:信息安全教育不足,导致员工信息安全意识薄弱。
1、3、2各级信息管理部门配合人事部门开展全员信息安全教育和培训,并在信息门户或内部网站发布安全教育培训材料。
信息管理内部控制制度模板(五篇)
信息管理内部控制制度模板以下是一个信息管理内部控制制度的模板:1. 内部控制概述- 1.1 内部控制的定义和目标- 1.2 内部控制的重要性和作用- 1.3 内部控制的基本原则2. 信息管理内部控制职责和权限- 2.1 内部控制的责任分工- 2.2 内部控制的决策权限3. 信息资产保护控制- 3.1 信息资产的分类和重要性评估- 3.2 信息安全政策和规程- 3.3 信息安全风险评估和控制- 3.4 信息资产的备份和恢复- 3.5 信息资产的访问控制4. 数据完整性和准确性控制- 4.1 数据收集和录入的控制- 4.2 数据处理和修改的控制- 4.3 数据存储和传输的控制5. 信息系统和技术控制- 5.1 信息系统的安全控制- 5.2 网络和通信设备的安全控制- 5.3 数据库和文件系统的安全控制- 5.4 信息系统的性能和可用性控制6. 内部审计和监督控制- 6.1 内部审计的目标和作用- 6.2 内部审计的程序和方法- 6.3 内部审计报告的使用和追踪7. 监督和反馈控制- 7.1 监督和反馈的渠道和机制- 7.2 监督和反馈的周期和频率- 7.3 监督和反馈的结果和效果8. 内部控制问题的解决和改进- 8.1 内部控制问题的分析和评估- 8.2 内部控制的改进计划- 8.3 内部控制的改进执行和监督以上是一个信息管理内部控制制度的基本模板,根据具体的情况可以对各部分进行修改和补充。
同时,根据企业的实际情况,可以增加其他需要强调的部分。
信息管理内部控制制度模板(二)抱歉,由于篇幅限制,我无法为您提供____字的信息管理内部控制制度模板。
但我可以为您提供一个简单的模板作为参考。
请参考以下内容:信息管理内部控制制度模板(三)一、引言本文档旨在规范和指导组织内部信息管理的相关控制措施,以确保信息的保密性、完整性和可用性,并帮助组织合规经营。
本制度适用于所有相关人员,包括但不限于员工、合作伙伴和供应商。
内控矩阵、流程图、内控手册-内部控制“三大利器”
发、跟踪与更新进行规范。
应对制度进行何种处理;并对制度
的落实和转化情况进行跟踪;
4.制度能够适时地得到更新,更新
内容可供单独查询,制度更新以标
准版本号标识;
5.制度得到妥善的归档与保管。
复核内控自评问卷
填写完内控自评问卷后,要进行自我复核,关注下列几方面要点:
1、是否参照同类型公司的自评问卷填写的?
自评问卷各个栏目如何填写?
情形四:答案
控制 目标 编号
TLHL -PUCO1101
控制目标
控制制,审核程 PU-CA序 企业应当加强采 1101 购付款的管理,完 善付款流程,明确 付款审核人的责任 和权力,严格审核 采购预算、合同、 相关单据凭证、审 批程序等相关内容, 审核无误后按照合 同规定及时办理付 款。
怎样填写内控自评问卷
如果评估时发现控制设计 存在缺陷或问题,请回答 “否”,并需要在“附注 [5]”列中对控制设计存在 的问题进行具体描述。
自评人根据自己对相关控制活动的检查 填写“是”或“否”,填写时自评人需 要确保所有相关交易都已严格执行相关 控制活动并如实填写。当“控制设计是 否有效”栏为“否”时,请在“控制执 行是否有效”栏填写“不适用”。当 “控制执行是否有效”栏为“否”时, 请在“附注[5]”列中对控制执行存在的 问题进行具体描述。
2、对照内部控制配套指引,是否存在本单位有该项业务,而自评问卷中没有 体现该项业务及相应的控制目标、关键控制活动,如有,要在问卷中进行补 充,并标注。
3、对于自评问卷中已经体现了该项业务及相应的控制目标,是否存在该项业 务的关键控制活动未能全部涵盖,若未能涵盖的,在问卷中找到对应的控制 目标,进行补充描述,并标注。
02 PART TWO
信息管理风险控制矩阵
CA-IT-11
CA-IT-12
《企业内部控制应用指引第18号-信息系统》第三 章第十二条:企业应当建立用户管理制度,加强对 重要业务系统的访问权限管理,定期审阅系统账 号,避免授权不当或存在非授权账号,禁止不相容 职务用户账号的交叉操作。
CA-IT-13
《企业内部控制应用指引第18号-信息系统》第三 章第十二条:企业应当建立用户管理制度,加强对 重要业务系统的访问权限管理,定期审阅系统账 号,避免授权不当或存在非授权账号,禁止不相容 职务用户账号的交叉操作。
CA-IT-10
、涉密情况等确定信息系统的安全等级,建立不同 等级信息的授权使用制度,采用相应技术手段保证 信息系统运行安全有序。 企业应当建立信息系统安全保密和泄密责任追究制 度。委托专业机构进行系统运行与维护管理的,应 当审查该机构的资质,并与其签订服务合同和保密 协议。 企业应当采取安装安全软件等措施防范信息系统受 到病毒等恶意软件的感染和破坏。
CO-IT-13
帐号及其密码得 到有效保护,保 护公司信息不被 泄露或者不当修 改
IT-06
运营风 险
系统管 理员权 限管理 风险
系统管理号及其 权限被分配给了 不适当的人员, 可能导致应用系 统中出现未经授 权操作
公司未对收费结算系统系统管理员帐号 进行恰当管理,帐号权限分配不恰当。 如将管理员权限分配给已调离的原收费
CO-IT-11
系统帐号权限分 配过程合理,经 过恰当授权,分 配结果符合业务
需要
IT-04
运营风 险
系统访 问权限 复核风 险
未定期复核吸取 账号权限管理, 可能导致系统帐 号及其权限被分 配给了不适当的 人员,泄漏公司 重要信息
公司尚没有建立机制,定期对OA系统、 金蝶财务系统和收费结算系统的帐号及 其权限进行复核,确认是否存在闲置帐 号、是否存在不恰当的权限设置,并将 复核记录进行留档管理。
信息资源管理业务内部控制矩阵
分(子)公司
经营风险:系统上线前未经严格测试,系统功能存在问题,导致应用系统不能正常运行。
应用系统上线前,必须由信息管理部门组织测试系统功能,形成测试报告,并经最终用户部门负责人签字确认。
总部各部门
分(子)公司
3
系统功能测试报告
系统初始化管理
合规风险:应用系统数据的收集、整理不规范,未经审核确认,导致系统存在大量垃圾数据或数据失真。
经营风险:备份策略和备份方案不完善,应用系统程序备份不及时,导致系统无法恢复。
4.2.2系统管理员适时对系统进行备份,同时检查备份系统的可读性,确认备份是否成功。
总部各部门
分(子)公司
3
系统备份记录
经营风险:数据库、应用系统日志备份不及时,导致系统问题无法追溯或系统无法恢复。
4.2.3系统管理员、应用管理员至少每月对数据库、应用系统的日志进行备份。
2.6.4
2.14.20
经营风险:系统变更管理不规范,导致应用系统运行和维护的无法正常进行。
总部统一建设的应用系统,系统变更必须填写系统变更审批表上报信息系统管理部和总部相关部门,由总部统一组织升级、测试和变更,各分(子)公司不得自行变更。各分(子)公司自建系统或客户化开发的变更,必须经过分(子)公司信息管理部门和相关部门负责人审批。
总部各部门、分(子)公司依据《中国石油化工股份有限公司管理信息系统应用管理办法(试行)》(以下简称《信息系统应用管理办法》),及相关应用系统管理办法实施程序和数据访问管理,包括用户权限管理、用户帐号及访问管理、密码管理、系统管理员、应用管理员、安全管理员(主要职责是承担对系统管理员、应用管理员的监管,负责审查系统管理员、应用管理员在系统中的操作)管理、第三方人员管理等。
企业内控应用手册之信息系统-风险控制矩阵
IT-CA-04 管理当局在选择外包服务商时关注其服 务商的市场信誉、资质条件、财务状况 、服务能力、对企业业务的熟悉程度、 既往承包服务成功案例等因素,对外包 服务商进行严格筛选。
IT-CA-05 管理当局严格执行企业外包服务审批及 管控流程,对信息系统外包业务,采用 公开招标等形式选择外包服务商,并实 行集体决策审批。
开发、维护工作,下属各岗位人员的职 责范围及要求已于公司《岗位职责说明 》内明确规定,并于招聘、考核相关岗 位人员时遵照执行。
常运行维护、安全管理等工作。 部门内部设置一名部门经理,统筹安排各类 信息系统相关的各项工作,对下属各岗位的 职责分工进行明确的划分。
控制活动内部控制缺陷 缺陷描述 无
无
无
IT-CA-04 管理当局在选择外包服务商时关注其服 无.本部未采用外包商
IT-CA-02 企业信息管理部门按照公司信息系统战 信息系统年度工作计划的审批和评估
无
无
无
略及中长期规划,制定年度信息系统工 作计划,并经授权领导审批。 下属企业的年度信息系统工作计划报集 团公司授权领导审核并批准。
公司信息管理部根据三年IT战略规划,于年 末制定下一年度的信息系统年度工作计划及 投入预算,预算方案包括:软硬件投入、网 络投入、运维投入、服务投入等各个方面,
无.本部未采用外包商 无.本部未采用外包商 无.本部未采用外包商
一般 一般 一般
第1页,共24页
控制活动
控制活动 编号
标准控制活动
IT-CA-01 企业信息管理部门制定信息系统战略及
中长期规划,并经管理层审批通过,以
支持实体的整体业务战略和信息系统要
求。管理层定期根据长期及短期计划定
期监督信息系统战略及中长期规划执行
(内部管理)信息系统管理业务内部控制矩阵
1.2
2.1
经营风险:系统安装调试不当,用户培训缺失,导致系统运行受损。
合规风险:安装的软件侵犯知识产权,导致诉讼及股份公司声誉受到损害。
6.3信息管理部门负责对项目实施单位承担的软硬件系统安装调试、用户培训进行检查,审核和确认测试报告,并检查相应软件的合法性,提供经双方签字的检查记录。
信息系统管理部
(内部管理)信息系统管理业务内部控制矩阵
1.1
2.2
经营风险:年度信息化项目建议计划不符合股份公司经营战略目标,导致盲目建设、投资低效。
2.1信息系统管理部根据股份公司信息化建设中长期规划和职能部门、事业部、分(子)公司申报的项目建议计划,结合年度实际,编制年度信息化项目建议计划,由信息系统管理部主任审核,按规定权限审批后,分别纳入股份公司年度投资计划、科技开发项目计划管理。各分(子)公司信息管理部门负责编制年度信息化项目建议计划预案,按规定权限审批后,分别纳入本单位年度投资建议计划、科技开发项目建议计划,上报信息系统管理部和总部相关部门审核。
各分(子)公司一般措施及零星购置的信息技术项目在总部每年核定的限额以内,由各分(子)公司根据当期生产经营管理的需要,按规定权限审批后报各主管事业部、信息系统管理部和发展计划部审核备案,并纳入股份公司年度投资计划管理。
通过可研评审的科技开发项目,由信息系统管理部报科技开发部立项,批准立项的项目,由科技开发部列入年度项目计划。
信息系统管理部
分(子)公司
经办
审批
3
项目实施报建工程
货币资金
应付账款
1.1
1.2
经营风险:集成测试不完整,造成系统评估不准确。
6.6信息管理部门组织对系统进行集成测试,形成集成测试评价意见;并根据集成测试评价意见责成项目实施单位进行修改完善。
信息管理内部控制制度范本(六篇)
信息管理内部控制制度范本公司名称:XXX公司信息管理内部控制制度范本(二)摘要:本文旨在建立起一个完善的信息管理内部控制制度,以确保公司的信息资产安全和有效管理。
该制度包括信息安全政策、访问控制、信息备份与恢复、数据完整性与准确性等内容,旨在提高公司信息管理的透明度和效率。
一、信息安全政策1. 公司应制定明确的信息安全政策,包括保护公司信息资产、保障信息的机密性、完整性和可用性等内容。
2. 公司应向员工进行信息安全意识培训,确保他们了解信息安全政策和操作规程,从而保证信息的安全。
3. 公司应定期对信息安全政策进行评估和更新,并及时通知员工有关变更。
二、访问控制1. 公司应确保只有经授权的员工才可以访问敏感信息。
为此,公司应建立适当的身份验证和访问控制机制。
2. 公司应为每个员工分配唯一的账号和密码,并定期更改密码,以防止非授权人员访问公司信息系统。
3. 公司应制定访问权限管理流程,确保员工只能访问他们所需的信息,且及时取消无关权限。
三、信息备份与恢复1. 公司应定期对重要数据进行备份,确保数据在发生意外情况时可以快速恢复。
2. 公司应将备份数据存储在安全的地方,并定期测试备份恢复的可行性。
3. 公司应建立完善的灾备计划,以应对自然灾害、系统故障等情况,保证数据的安全和可恢复性。
四、数据完整性与准确性1. 公司应建立数据输入和处理的检查机制,确保数据的准确性和完整性。
2. 公司应制定数据管理流程,规范数据的录入、修改和删除操作,避免数据被误操作或篡改。
3. 公司应定期进行数据清理和归档,确保数据库的稳定和性能。
总结:以上所述的信息管理内部控制制度是基于公司信息资产安全的需要而制定的,旨在促进公司信息管理的有效性和规范性。
公司应定期评估和改进此制度,确保其持续有效和适应公司不断变化的需求。
信息管理内部控制制度范本(三)抱歉,我不能提供长达____字的文本。
以下是一个信息管理内部控制制度范本的简要概述:信息管理内部控制制度范本(四)一、制度目的与基本原则1.1 目的:确保信息管理的准确性、完整性、及时性,并防范信息泄露和误用。
内部控制手册第 部分 内控矩阵 C —— 信息资源管理业务内部控制矩阵
10
1.10.1
6.信息授权
1.1
1.2
经营风险:部门信息授权不当,导致信息泄密或贻误工作。
6.1信息管理部门依据股份公司有关信息资源管理的规定,按照各部门管理职责及部门间共享信息需求目录,通过信息平台对各部门实施信息授权。
信息系统管理部
分(子)公司
信息管理部门
相关部门
5
1.10.4
1.1
信息系统管理部
分(子)公司
6
信息平台使用和运维季度报告
1.10.1
8.信息质量反馈
1.1
1.3
经营风险:信息使用问题未及时反馈提交,导致信息共享信息质量欠佳。
8.1信息使用部门针对信息的准确性、时效性、完整性和一致性提出意见,由信息管理部门及时汇总后分别送达相关信息提供部门,协助和督促信息提供部门不断提高共享信息的质量。
外购信息需求目录
1.10.1
3.落实部门间共享信息源和外购信息源
1.1
1.2
经营风险:部门间共享信息源不落实,导致信息提供落空。
3.1信息管理部门协助信息需求部门落实部门间共享信息源,信息提供部门负责按审核后的部门间共享信息需求目录提供共享信息。
信息系统管理部
分(子)公司
7
1.10.1
1.1
1.2
经营风险:外购信息源不落实,导致信息提供落空。
1.2各部门依据业务职责梳理各种外部信息需求,包括需要其他部门提供的信息和需外购的信息,形成相应的部门信息需求目录,并明确信息内容、信息提供频率和信息提供方式等。部门信息需求目录由部门负责人签字确认。
总部各部门
分(子)公司
7
部门信息需求目录
1.10.1
内控项目_内控矩阵_资金活动流程_股份公司
XXX内控项目_内部控制矩阵_资金活动流程_股份公司
说明
1、主要内容
内部控制矩阵主要包括以下内容:
1)流程环节的内部控制
2)职责分离和审批权限表
2、编制依据
内部控制矩阵在形成的过程中参考/考虑了如下方面:
1)2010年4月发布的《企业内部控制配套指引》。
2)对公司流程的理解过程中识别的内控问题。
3)公司现有的内控制度和内控实践。
4)行业内控先进实践。
3、有关内控专业术语的解释
1)控制类型:内控基本规范阐述的内部控制目标类型主要有五个,即合法合规、资产安全、财务报告及相关信息真实完整、经营
效率和效果、发展战略。
2)控制目标:指企业在经营活动中通过行使控制而达到的期望的结果和目的,以满足内控基本规范阐述的内部控制的五个主要目
标。
3)关键控制/非关键控制:关键控制,指能够通过单一控制满足多个控制目标,或能够防止发生重大错报可能的控制点。
非关键控
制,指能保证管理层的指令得到有效的执行的政策和程序,但不满足关键控制要求的控制点。
4)预防性/发现性:预防性,指在风险发生之前,为避免风险采取的措施;发现性,指事后做的、为及时发现问题而采取的措施。
5)人工控制/自动控制:人工控制是指由被授权的人员执行的、不依赖于系统功能的控制;自动控制是指设置在系统内部的、由系
统自动完成的控制。
6)控制频率:是指控制发生的频次,例如每年、每季、每月、每周、每天、每天多次、按需等。
4、内部控制矩阵中描述的相关授权人的审批权限参见职责分离和审批权限表。
(1)流程环节的关键控制点
(2)职责分离和审批权限表。
信息管理内部控制制度模板(6篇)
信息管理内部控制制度模板以下是一个信息管理内部控制制度的模板:1. 内部控制概述- 1.1 内部控制的定义和目标- 1.2 内部控制的重要性和作用- 1.3 内部控制的基本原则2. 信息管理内部控制职责和权限- 2.1 内部控制的责任分工- 2.2 内部控制的决策权限3. 信息资产保护控制- 3.1 信息资产的分类和重要性评估- 3.2 信息安全政策和规程- 3.3 信息安全风险评估和控制- 3.4 信息资产的备份和恢复- 3.5 信息资产的访问控制4. 数据完整性和准确性控制- 4.1 数据收集和录入的控制- 4.2 数据处理和修改的控制- 4.3 数据存储和传输的控制5. 信息系统和技术控制- 5.1 信息系统的安全控制- 5.2 网络和通信设备的安全控制- 5.3 数据库和文件系统的安全控制- 5.4 信息系统的性能和可用性控制6. 内部审计和监督控制- 6.1 内部审计的目标和作用- 6.2 内部审计的程序和方法- 6.3 内部审计报告的使用和追踪7. 监督和反馈控制- 7.1 监督和反馈的渠道和机制- 7.2 监督和反馈的周期和频率- 7.3 监督和反馈的结果和效果8. 内部控制问题的解决和改进- 8.1 内部控制问题的分析和评估- 8.2 内部控制的改进计划- 8.3 内部控制的改进执行和监督以上是一个信息管理内部控制制度的基本模板,根据具体的情况可以对各部分进行修改和补充。
同时,根据企业的实际情况,可以增加其他需要强调的部分。
信息管理内部控制制度模板(二)以下是一个信息管理内部控制制度的范本:1. 背景和目的:本制度旨在确保信息管理活动的有效性和合规性,保护机构的信息资产,防止信息泄露和滥用。
2. 范围:本制度适用于所有与机构信息资产相关的活动和人员,并包括但不限于信息采集、存储、处理、传输和销毁。
3. 职责与权限:- 信息管理部门负责策划和实施信息管理活动,并确保其符合相关法律法规和机构政策。
11.1信息系统管理业务内部控制矩阵
信息系统管理部
分〔子〕公司
2
平安教育培训材料
经营风险:信息系统风险评估缺失,导致信息系统风险。
根据?中国石油化工股份信息系统风险评估管理方法?,信息系统管理部负责每年对信息系统进行年度综合风险评估,形成风险评估报告,并组织专家组对风险评估报告进行评审,专家组对风险评估报告提出评审意见并签字;分〔子〕公司信息管理部门会同相关业务部门,通过多种形式,组织本单位信息系统的风险评估,包括企业信息系统整体风险、重点系统风险、主要根底设施风险等,形成相关风险评估报告,并将风险评估报告经信息管理部门负责人审核签字后报信息系统管理部备案。
信息系统管理部
5
股份公司信息化建设中长期规划
经营风险:信息化培训缺乏,导致信息系统效能低下、信息化管理水平不高、信息化技能缺失。
各级信息管理部门负责编制年度信息化培训方案,经部门负责人审批后,纳入人事部门年度培训方案,并组织落实。
信息系统管理部
分〔子〕公司
2
年度培训方案
经营风险:信息平安教育缺乏,导致员工信息平安意识薄弱。
信息系统管理部
分〔子〕公司
5
可行性研究报告
经营风险:信息化工程缺乏统一归口管理,审批过程不标准,导致重复建设,低效投资。
4.1通过可研评审的固定资产投资限额〔200万元〕及以上的信息技术工程,由信息系统管理部报开展方案部立项,批准立项的工程,由开展方案部列入年度投资方案;申请总部立项的固定资产投资限额〔200万元〕以下的信息技术工程,由信息系统管理部负责审批,报开展方案部备案;由各事业部审批的投资限额以下的信息技术工程投资方案,须经信息系统管理部和开展方案部会签。
信息资源管理业务内部控制矩阵
分(子)公司
5
平衡报表;
加油站通讯情况表
4.3系统监控、维护及故障处置
经营风险:系统运行缺乏有效监控,影响系统安然不变运行。
系统办理员对应用系统、后台作业、操作系统、数据库、效劳器等运行状况进行监控,并填报系统运行监控陈述。
总部各部分
分(子)公司
3
系统运行监控陈述
经营风险:系统日志审核不到位,导致系统问题不克不及及时处置,影响系统不变运行。
总部各部分
分(子)公司
5
程序和数据拜候办理制度
1.2 用户权限办理
经营风险:用户权限办理不尺度,导致对系统的不法或非授权拜候。
1.2.1新进员工及岗位变更人员按照用户权限相关办理方法填写用户权限审批表,经相关部分负责人审批后,由应用办理员在系统中新增、变更或锁定用户权限。
总部各部分
分(子)公司
3
用户权限审批表
经营风险:数据库用户权限办理不尺度,导致对系统的不法或非授权拜候。
对于数据库用户权限,相关人员填写用户权限审批表,经相关部分负责人审批后,由系统办理员在数据库中新增、变更或锁定用户权限。
总部各部分
分(子)公司
3
用户权限审批表
经营风险:系统登录控制功能不健全,导致对系统的不法或非授权拜候。
操作人员拜候应用系统时,必需输入用户帐号和暗码。
总部各部分
分(子)公司
3
应急预案培训记录
经营风险:应用系统数据的收集、提供不及时、不准确,导致应用系统不克不及满足出产经营办理业务需求。
4.4. 炼化企业使用MES系统进行主物料的日平衡、旬确认、月结算,公用工程进行旬月平衡,实现出产监控办理,满足出产调剂的要求,为ERP和出产营运指挥等系统提供数据撑持;油品发卖企业使用加油卡系统对所属加油站数据上传情况进行跟踪,催促油站及时通讯,确保数据及时上送。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
分(子)公司
3
应急预案培训记录
经营风险:应用系统数据的收集、提供不及时、不准确,导致应用系统不能满足生产经营管理业务需求。
. 炼化企业使用MES系统进行主物料的日平衡、旬确认、月结算,公用工程进行旬月平衡,实现生产监控管理,满足生产调度的要求,为ERP和生产营运指挥等系统提供数据支持;油品销售企业使用加油卡系统对所属加油站数据上传情况进行跟踪,督促油站及时通讯,确保数据及时上送。
3
介质存放及访问记录
经营风险:备份数据可读性测试不及时,导致系统数据丢失,系统无法恢复。
4.2.5系统管理员至少每半年对备份数据进行一次可读性测试。
总部各部门
分(子)公司
3
可读性测试记录
经营风险:备份数据恢复性测试不及时,导致系统数据丢失,系统无法恢复。
4.2.6系统管理员至少每年对备份数据进行一次恢复性测试。
应用系统IT一般性控制内部控制矩阵
业务目标
业务风险
控制点
适用单位
不相容
岗位
控制点分值
控制点相关资料
相关制度索引
会计报表认定
会计报表项目
1存在和发生/真实性;2完整性;3权利与义务;4估价或分摊;5表达和披露;6准确性
1
2
3
4
5
6
1.程序和数据访问
经营风险:程序和数据访问制度不健全,导致信息系统应用管理不规范、运维不及时。
2.6.4
2.14.20
经营风险:系统变更管理不规范,导致应用系统运行和维护的无法正常进行。
总部统一建设的应用系统,系统变更必须填写系统变更审批表上报信息系统管理部和总部相关部门,由总部统一组织升级、测试和变更,各分(子)公司不得自行变更。各分(子)公司自建系统或客户化开发的变更,必须经过分(子)公司信息管理部门和相关部门负责人审批。
总部各部门
分(子)公司
3
用户权限审批表
2.程序变更
经营风险:程序变更制度不健全,导致信息系统应用管理不规范、运维不及时。
总部各部门、分(子)公司依据《信息系统应用管理办法》及相关应用系统管理办法实施系统变更管理,包括变更申请审批、变更测试和变更版本管理等。
总部各部门
分(子)公司
4
程序变更管理制度
1.10.3
总部各部门
分(子)公司
4
恢复性测试记录
系统监控、维护及故障处理
经营风险:系统运行缺乏有效监控,影响系统安全稳定运行。
4.3.1系统管理员对应用系统、后台作业、操作系统、数据库、服务器等运行状况进行监控,并填报系统运行监控报告。
总部各部门
分(子)公司
3
系统运行监控报告
经营风险:系统日志审核不到位,导致系统问题不能及时处理,影响系统稳定运行。
总部各部门
分(子)公司
3
用户帐号清单
密码管理
经营风险:密码设置强度不够或更改不及时,造成系统泄密或受到非法访问
1.4.1操作人员应按照密码管理相关规定,遵循系统密码的长度至少为6位,复杂度为数字与字符的组合,三个月更改一次密码等密码规则设置密码,不得使用最近使用过的密码。应用管理员对操作人员密码定期更换记录进行检查。
总部各部门
分(子)公司
3
密码更换检查记录
经营风险:系统、应用管理员密码设置强度不够或更改不及时,造成系统泄密或受到非法访问
1.4.2系统管理员、应用管理员应在系统投用前修改操作系统、数据库、应用系统的超级用户初始密码。上述密码至少三个月更换一次,安全管理员对定期更换记录进行检查。
总部各部门
分(子)公司
总部各部门
分(子)公司
系统管理员
应用管理员
安全管理员
4
信息系统岗位授权文档;
在职情况审查记录
经营风险:安全管理员监督不到位,系统安全收到威胁。
1.5.2安全管理员至少每季度对系统管理员、应用管理员的操作日志或记录进行检查,提出审核意见,并报相关部门负责人。
总部各部门
分(子)公司
系统管理员
应用管理员
安全管理员
总部各部门
分(子)公司
系统管理员
应用管理员
3
日志备份记录
经营风险:备份介质管理不规范,导致备份数据丢失、泄密,系统无法恢复。
4.2.4应用管理员(系统管理员)每月将备份介质与生产服务器异地存放,并由专人管理。备份介质存放要有记录,介质访问人员须经相关部门负责人授权并填写访问记录。
总部各部门
分(子)公司
2.14.20
数据备份及恢复
经营风险:备份策略和备份方案不完善,数据备份不及时、不成功,导致系统数据丢失,系统无法恢复。
4.2.1应用管理员(系统管理员)至少每月做一次数据全备份,并检查数据备份日志,确认备份是否成功。对备份异常情况进行记录,同时检查备份数据的可读性。
总部各部门
分(子)公司
3
数据备份日志或记录
4.3.3对系统运行出现的故障,相关人员需填报问题处理记录单,详细记录问题处理情况,其中包括故障发生时间、故障情况、解决办法、处理结果及问题跟踪记录等,并审核确认。
总部各部门
分(子)公司
3
问题处理记录单
经营风险:未制定应急预案或培训不到位,员工不能及时正确处理突发事件或故障,影响系统安全稳定运行。
4.3.4系统应用部门会同信息管理部门制订系统应急预案,并至少每年对业务人员、系统管理员、应用管理员进行一次系统应急预案的培训。
总部各部门
分(子)公司
3
系统变更申请表
经营风险:系统变更管理不规范,未经审批、测试,导致应用系统运行和维护的无法正常进行。
变更的应用程序移植到生产系统前,相关部门必须组织人员进行系统测试和最终用户测试,测试不能在生产环境中进行。
总部各部门
分(子)公司
3
测试记录
经营风险:系统变更版本管理、文档管理不规范导致应用系统运行和维护的无法正常进行。
分(子)公司
3
用户权限审批表
经营风险:数据库用户权限管理不规范,导致对系统的非法或非授权访问。
1.2.2对于数据库用户权限,相关人员填写用户权限审批表,经相关部门负责人审批后,由系统管理员在数据库中新增、变更或锁定用户权限。总部各部门分(源自)公司3用户权限审批表
用户帐号及访问管理
经营风险:系统登录控制功能不健全,导致对系统的非法或非授权访问。
系统管理员
应用管理员
安全管理员
3
管理员更换密码记录
系统管理员、应用管理员、安全管理员管理
经营风险:系统、应用管理员岗位设置不合理、授权不规范,导致对系统的非法或非授权访问。
1.5.1系统需配备专职或兼职系统管理员、应用管理员和安全管理员。安全管理员、系统管理员、应用管理员必须经相关部门负责人授权并遵循不相容岗位分离原则,且不得拥有应用系统的业务操作权限。相关部门负责人至少每半年对上述管理员在职情况进行审查。
总部各部门、分(子)公司依据《中国石油化工股份有限公司管理信息系统应用管理办法(试行)》(以下简称《信息系统应用管理办法》),及相关应用系统管理办法实施程序和数据访问管理,包括用户权限管理、用户帐号及访问管理、密码管理、系统管理员、应用管理员、安全管理员(主要职责是承担对系统管理员、应用管理员的监管,负责审查系统管理员、应用管理员在系统中的操作)管理、第三方人员管理等。
1.3.1操作人员访问应用系统时,必须输入用户帐号和密码。
总部各部门
分(子)公司
2
用户登录截屏
经营风险:账户共享,导致责任不清;系统账户审核清理不及时,导致对系统的非法或非授权访问。
1.3.2应用管理员在系统中为每个操作人员设置独立的用户帐号,不能设置共享用户帐号(查询用户帐号除外)。应用管理员至少每半年打印一次用户帐号权限清单,并由相关部门负责人审核。
5
数据导入确认单
4.系统运行
经营风险:系统运行制度不健全,导致信息系统应用管理不规范、运维不及时。
总部各部门、分(子)公司依据《信息系统应用管理办法》及相关应用系统管理办法实施系统运行管理,包括系统备份及恢复、系统监控、维护及故障处理等。
总部各部门
分(子)公司
5
系统运行管理制度
1.10.3
2.6.4
总部各部门
分(子)公司
经营风险:系统上线前未经严格测试,系统功能存在问题,导致应用系统不能正常运行。
应用系统上线前,必须由信息管理部门组织测试系统功能,形成测试报告,并经最终用户部门负责人签字确认。
总部各部门
分(子)公司
3
系统功能测试报告
系统初始化管理
合规风险:应用系统数据的收集、整理不规范,未经审核确认,导致系统存在大量垃圾数据或数据失真。
总部各部门
分(子)公司
5
程序和数据访问管理制度
1.10.3
2.6.4
2.14.20
用户权限管理
经营风险:用户权限管理不规范,导致对系统的非法或非授权访问。
.1新进员工及岗位变动人员按照用户权限相关管理办法填写用户权限审批表,经相关部门负责人审批后,由应用管理员在系统中新增、变更或锁定用户权限。
总部各部门
经营风险:备份策略和备份方案不完善,应用系统程序备份不及时,导致系统无法恢复。
4.2.2系统管理员适时对系统进行备份,同时检查备份系统的可读性,确认备份是否成功。
总部各部门
分(子)公司
3
系统备份记录
经营风险:数据库、应用系统日志备份不及时,导致系统问题无法追溯或系统无法恢复。
4.2.3系统管理员、应用管理员至少每月对数据库、应用系统的日志进行备份。
总部各部门
分(子)公司
5
平衡报表;
加油站通讯情况表
3.3.1相关部门按照数据收集模板组织人员收集、整理业务数据,并由相关部门责任人审核确认。