内部控制制度-信息系统一般控制

内部控制制度

——信息系统一般控制

第一章总则

第一条为了充分利用某某公司（以下简称“公司”）信息系统，规范交易行为，提高信息系统的可靠性、稳定性、安全性及数据的完整性和准确性，降低人为因素导致内部控制失效的可能性，形成良好的信息传递渠道，根据国家有关法律法规和《企业内部控制基本规范》，制定本制度。

第二条本制度所称信息系统是指利用计算机技术对业务和信息进行集成处理的程序、数据和文档等的总称。

第三条公司在信息系统管理过程中，至少应关注涉及信息系统一般控制的下列风险：

（一）信息系统开发与使用违反国家法律法规，可能遭受外部处罚、经济损失和信誉损失。

（二）信息系统开发与使用未经适当审核或超越授权审批，可能因重大差错、舞弊、欺诈而导致损失。

（三）信息系统设计功能不科学、维护与变更程序不规范，可能导致公司经营效率与效果低下。

（四）信息系统外包服务未恰当履行或监控不当，可能导致公司权益受损或违约损失。

（五）信息系统访问安全措施不当，可能导致商业秘密泄露。

（六）信息系统硬件管理不当，可能导致公司资产或股东权益受损。

第四条公司在建立与实施信息系统内部控制过程中，至少应强化对下列关键方面或关键环节的控制：

（一）职责分工、权限范围和审批程序应明确规范，机构设置和人员配备应科学合理，重大信息系统开发与使用事项应履行审批程序。

（二）信息系统开发、变更和维护流程应清晰合理。

（三）应建立访问安全制度，操作权限、信息使用、信息管理应有明确规定。

（四）硬件管理事项和审批程序应科学合理。

（五）会计信息系统流程应规范，会计信息系统操作管理、硬件、软件和数据管理、会计信息化档案管理应完善。

第二章岗位分工与授权审批

第五条公司应建立计算机信息系统岗位责任制。计算机信息系统岗位一般包括：

（一）系统分析：分析用户的信息需求，并据此制定设计或修改程序的方案。

（二）编程：编写计算机程序来执行系统分析岗位的设计或修改方案。

（三）测试：设计测试方案，对计算机程序是否满足设计或修改方案进行测试，并通过反馈给编程岗位以修改程序并最终满足方案。

（四）程序管理：负责保障并监控应用程序正常运行。

（五）数据库管理：对信息系统中的数据进行存储、处理、管理，维护组织数据资源。

（六）数据控制：负责维护计算机路径代码的注册，确保原始数据经过正确授权，监控信息系统工作流程，协调输入和输出，将输入的错误数据反馈到输入部门并跟踪监控其纠正过程，将输出信息分发给经过授权的用户。

（七）终端操作：终端用户负责记录交易内容，授权处理数据，并利用系统输出的结果。系统开发和变更过程中不相容岗位（或职责）一般应包括：开发（或变更）立项、审批、编程、测试。系统访问过程中不相容岗位（或职责）一般应包括：申请、审批、操作、监控。

第六条公司计算机信息系统战略规划、重要信息系统政策等重大事项应经由董事会审批通过后，方可实施。信息系统战略规划应与公司业务目标保持一致。信息系统使用部门应该参与信息系统战略规划、重要信息系统政策等的制定。

第七条公司应指定专门部门（或岗位，下称归口管理部门）对计算机信息系统实施归口管理，负责信息系统开发、变更、运行、维护等工作。财会部门负责信息系统中各项业务账务处理的准确性和及时性；会计电算化制度的制定；财务系统操作规定等。生产、销售、仓储及其他部门（下称用户部门）应根据本部门在信息系统中的职能定位，参与信息系统建设，按照归口管理部门制定的管理标准、规范、规章来操作和运用信息系统。公司管理层应该明确定义系统归口管理部门和用户部门（含财会部门）在保证系统正常安全运行过程中各自承担的职

责，制定部门之间的职责分工表。

第三章信息系统开发、变更与维护控制第八条计算机信息系统开发包括自行设计、外购调试和外包合作开发。公司在开发信息系统时，应充分考虑业务和信息的集成性，优化流程，并将相应的处理规则（交易权限）嵌入到系统程序中，以预防、检查、纠正错误和舞弊行为，确保公司业务活动的真实性、合法性和效益性。

第九条公司计算机信息系统开发应遵循以下原则：

（一）因地制宜原则：应根据行业特点、公司规模、管理理念、组织结构、核算方法等因素设计适合本单位的计算机信息系统。

（二）成本效益原则：计算机信息系统的建设应能起到降低成本、纠正偏差的作用，根据成本效益原则，可以选择对重要领域中关键因素进行信息系统改造。

（三）理念与技术并重原则：计算机信息系统建设应将信息系统技术与信息系统管理理念整合，应倡导全体员工积极参与信息系统建设，正确理解和使用信息系统，提高信息系统运作效率。

第十条信息系统开发必须经过正式授权。具体程序包括：用户部门提出需求；归口管理部门审核；公司负责人授权批准；系统分析人员设计方案；程序员编写代码；测试员进行测试；系统最终上线；系统维护等。

第十一条公司应成立项目管理小组，负责信息系统的开发，对项目整个过程实施监控。对于外包合作开发的项目，公司应加强对外包第三方的监控。

第十二条外购调试或外包合作开发等需要进行招投标的信息系统开发项目，公司应保证招投标过程公平、公正、公开。

第十三条公司应制定详细的信息系统上线计划。对涉及新旧系统切换的情形，公司应在上线计划中明确应急预案，保证新系统一旦失效，能够顺利切换回旧的系统状态。

第十四条新旧系统切换时，如涉及数据迁移，公司应制定详细的数据迁移计划。用户部门应积极参与数据迁移过程，对数据迁移结果进行测试，并在测试报告上确认。

第十五条信息系统在投入使用前应至少完成整体测试和用户验收测试，以确保系统的正常运转。

第十六条信息系统原设计功能未能正常实现时，公司应指定相关人员负责详细记录，并及时报告归口管理部门。归口管理部门负责系统程序修正和软件参数调整，以实现设计功能。

第十七条信息系统上线后，发生的功能变更，应参照上款有关系统开发的审批和上线程序执行。

第十八条公司应积极倡导采用预防性措施，确保计算机信息系统的持续运行。常见预防性措施包括但不限于日常检测、设立容错冗余、编制应急预案等。

第四章信息系统访问安全

第十九条公司应制定信息系统工作程序、信息管理制度以及各模块子系统的具体操作规范。

第二十条计算机信息系统操作人员不得擅自进行系统软件的删除、修改等操作，不得擅自升级、改变系统软件版本，不得擅自改变软件系统环境配置。

第二十一条公司应对信息系统操作人员的账号、密码和使用权限进行严格规范，建立相应的操作管理制度。未经操作培训的人员不得作为操作人员。

第二十二条公司应建立账号审批制度，加强对重要业务系统的访问权限管理。对于发生岗位变化或离岗的用户，公司应及时调整其在系统中的访问权限。公司应定期对系统中的账号进行审阅，避免有授权不当或非授权账号存在。对于超级用户等特权用户，公司应该严格限制其使用，并对其在系统中的操作全程进行监控。使用完毕后，应由不相容岗位对其操作日志进行审阅。

第二十三条公司应充分利用操作系统、数据库、应用系统自身提供的安全性能，在系统中设置安全参数，以加强系统访问安全。禁止未经授权人员擅自调整、删除或修改系统中设置的各项参数。涉及上网操作的，公司应加强防火墙、路由器等网络安全方面的管理。

第二十四条公司可以结合实际情况，本着审慎、稳健的原则，将信息系统访问安全事项交由第三方管理。在此情形下，公司应加强对第三方的监控。

第二十五条公司应定期检测信息系统运行情况，及时进行计算机病毒的预防、检查工作，禁止用户安装非法防病毒软件和私自卸载公司要求安装的防病毒软件。

第二十六条信息系统操作人员应在权限范围内进行操作，不得利用他人的