11.3ERP系统IT一般性控制内部控制矩阵

合集下载

ERP系统IT一般性控制内部控制矩阵(制度范本、DOC格式)

ERP系统IT一般性控制内部控制矩阵(制度范本、DOC格式)
总部各部门
分(子)公司
业务支持人员
应用管理员
3
业务支持人员名单
1.1
经营风险:超级用户权限管理不当,影响系统安全稳定或生产经营。
1.9超级用户权限必须严格控制,申请时必须阐明使用原因,并经ERP支持中心负责人审核签字后,应用管理员才能在系统中进行分配,使用后要及时将权限回收。
总部各部门
分(子)公司
2
用户变更申请表
用户角色矩阵
1.1
1.2
2.3
2.4
经营风险:未及时锁定或删除岗位变动、离职人员帐号,导致系统存在安全隐患。
1.2.2操作人员由于岗位变动或离开单位,人事部门必须及时通知ERP支持中心,ERP支持中心应用管理员在系统中将该用户进行锁定或删除。
总部各部门
分(子)公司
分(子)公司
1
SAP*、DDIC帐号密码修改记录
1.1
经营风险:业务支持人员的权限分配不当,影响系统安全稳定或生产经营。
1.8业务支持人员支持权限的新建、变更、删除、锁定需经ERP支持中心负责人审核签字后由应用管理员在系统中进行分配,业务支持人员在生产系统中只有相应模块的显示、跟踪权限,不能分配业务操作权限、后台配置权限。
1.10.4
2.10.4
1.2用户权限管理
1.1
1.2
2.3
2.4
经营风险:权限设置不当,导致对系统的非法或非授权访问。
1.2.1建立/变更用户帐号和角色,由申请人填写ERP系统用户权限申请表,经相关部门负责人审批后,由应用管理员在系统中建立/维护权限,相关人员进行权限测试并确认,关键用户对角色矩阵实时维护并进行版本管理。
1
用户变更申请表
人员变动清单

ERP环境下的公司内部控制

ERP环境下的公司内部控制
管理纵横 I S we e p i n g O V  ̄ I F t h e M a n a g e me 王 颖 唐 山市 燃 气 集 团有 限 公 司 0 6 3 0 0 0
摘要 : 首先 浅述 企业 使 用E B P 系统 的必要 性 , 重 点从 组织 、操作 、 管理制度 以及 系统安 全控 制 阐述E R P 环境 下 的公
权限的用户进行审核后才可在系统 当中进入 下一个处理程序 。其 务部 门对上一个 业务部 门起 监督核查 的作用 。通 过建设 、运用 三, 需进 行安全控制 。可在 每台 电脑上设立桌 面的控 制程序以保 E R P, 有 助于提升企业的核心竞争力 , 增强企业的管理水平 , 为规
护计算机信 息安全 , 并为每一 台电脑设立密码规则 , 并规定定时修 范企业的管理 、堵塞漏洞提、辅助决策 、信息共享提供帮助。因 改开机 的密码 , 密码长度需长于8 位数。除此之外 , 在系统研 发时, 此, 有必要进行E RP 环境下的公司内部控制讨论 , 确保系统更好的


企业 使用E R P 系统 的必 要性
创建的工作 , 按照合同 内容将物料的准确信息完整 输入 到s AP 系
E RP 是E n t e r p i r s e R e s o u r c e P l a n n i n g 的简述 , 即企业 资源计 统。所创建的物料归人到各个项 目当中, 在系统当 中所显示的是 划, 是 能够 实现跨部 门、跨地 区、跨 公司整合信息的企业管理 系 库存和仓储地点描述 , 在 以后的成本费用核算 、出入库操作 中不
统 。E RP以企业资源配置最 优化作为前提 , 将企业 内部的所有 或 可变更 , 避免 了串项情 况的出现。其三 , 在设备模块 , 系统的使用 者 主要 经营活动进行整合 , 帮助企业 内部 不同部 门之间进行信息 使 得设 备资产和固定资产之 间的关联理顺 , 安全生产系统维修订 和数据 分享 , 从而改善业务流程 , 降低成本 , 实现经营的效率化 目 单导入到系统当 中进行维修工单的创建 , 从而建立物资 、维修成 标 可 以从管理 的思想 、软件 产品本 身以及应用系统这三个层次 本、采购管理的实时集成 ; 在人力资源模块 , 系统进行员工信息的 理解E R P; 对于企业而言 , E RP 是综合运用服务器 体系、面 向网络 录入 , 便于职工信息的更新 , 系统成 为报表输 出、工资及奖金发放 通讯和对象技术等等信息成果的软件产 品 E RP 的使 用过程是实 等工作 的一个主要信息平 台; 财务模块是为系统流程之终端, 是业 施企业流程再造 的过程。作为基于企业 自身 内部供应链之 管理思 务 最终的归 口模块 , 系 统实现了报废 、网上挑拨等资产编号之流 想, E RP 在MRP I I 基础上使得 管理 范围得 到扩展 ; E RP 的基本思想 程化 的管理和账务处理 , 实现了对 固定资产的集 中维护和管理 , 大 在于将企 业业务流程 当做紧密相 连的供应链 , 企业 内部是互相协 大提升 了公司的管理 水平和效率 , 推进 了公司固定资产 管理 之精 同作业 的子系统 , 能够对企业 的管理过程 进行有效控制和管理 。 益化 。 当前 , E RP 系统 已经获得广泛的运用 , S AP已成为全球最大 的一个 企业 内部管理软件公司和协同商务解决方案的供应商。 3 、E R P 环境 下公司内部控制的 问题及解决办法 。对于 公司 而言 , E R P 系统的作为全新 的使用系统 , 对于公司全员而言都是全 新 的挑 战。在使用过程 中, 难免存在 问题。例如 , 由于该系统是国

中石化内控-ERP系统IT一般性控制流程

中石化内控-ERP系统IT一般性控制流程

中石化内控-ERP系统IT一般性控制流程1. 概述中石化作为中国最大的石油石化企业之一,其信息系统对企业的管理和业务拓展至关重要。

为了确保信息安全和业务流程的规范,中石化内部建立了完善的内控制度,其中包括ERP系统IT一般性控制流程。

本文将对该流程进行详细地介绍。

2. 流程概述ERP系统IT一般性控制流程主要包括以下几个方面的内容:2.1. 系统权限管理针对不同的职责和业务需求,ERP系统管理员需要对系统用户进行权限管理,包括用户账号、角色、权限等的设定和维护。

在此基础上,采用分层访问控制、用户验证等方式,对不同用户进行权限的限制和控制,避免未经授权的人员进行操作和修改系统数据。

2.2. 安全备份和恢复ERP系统中保存着大量的公司数据,为了避免因机房故障、自然灾害、黑客攻击等因素导致数据丢失,中石化内部建立了完善的备份和恢复机制。

管理员需要定期备份数据,并测试备份数据的恢复情况,确保数据可靠性和安全性。

2.3. 系统审计和日志管理针对所有的系统操作,ERP系统都将自动记录对应的日志信息,管理员可以对这些日志信息进行管理和审计。

系统审计可以发现潜在的风险,帮助管理员及时做出相应的处理。

日志管理则可以方便管理员快速查找和分析系统的操作记录,为管理和决策提供有力支持。

2.4. 安全漏洞和威胁监控ERP系统面临各种安全威胁和漏洞,管理员需要通过监控和巡检,及时发现和处理这些问题。

监控可以包括系统防范机制、网络安全设备、入侵检测系统等方面,管理员可根据监控结果做出相应的改进和优化。

2.5. 系统更新和升级为保护ERP系统的稳定性和安全性,系统更新和升级也是ERP系统管理的重要一环。

管理员需要确保系统的各类补丁和更新及时安装和升级,同时还需要测试新版本的稳定性和兼容性,确保系统的顺利运行。

3. 流程管理为了实现ERP系统IT一般性控制流程,管理员需要对每个细节进行管理,包括以下内容:3.1. 流程建立流程建立是ERP系统IT一般性控制流程实施的第一步,需要管理员根据中石化内部的管理规定和流程要求,制定相应的控制标准和管理流程。

ERP与内部控制

ERP与内部控制

ERP与内部控制ERP的引入,一方面可以帮助企业节省内部控制的人力成本,提高内部控制的效率,但是另一方面也会给企业内控体系带来很多具有IT技术特点的新问题.因而在ERP系统开发与的实施过程中,应当全面考虑,将完善的内部控制体系有步骤地融入ERP环境当中,并将由信息技术带来的风险纳入新的内部控制之中,以便在内部控制方面尽量扬ERP之长,避ERP 之短,为企业引入ERP带来最大的收益。

1。

明确差异,确立ERP系统内部控制体系建立所需要的内部控制框架为了在ERP环境中建立完善有效的内部控制体系,首先需要认识到ERP内部控制与传统内部控制存在差异,并需要从理论上选定适用于企业ERP环境的内部控制框架,并依据该框架建立企业自己的内部控制制度,设计内部控制流程、内部控制点、内部控制检测点等内容.传统的企业内部控制主要包括:管理控制和会计控制,而在我国则特别强调了会计控制;引入ERP之后,内部控制则除了上述两个控制内容外又增加了IT控制.由于ERP中IT技术渗透到整个管理系统中,因而IT控制并非一个与管理控制、会计控制相剥离的独立部分,而是与它们紧密结合、相互作用的部分,需要共同考虑;同时还应当认识到,引进ERP的企业未必能够建立起一个比非ERP环境下更完善有效的内部控制系统,除非它成功地规避了IT 技术本身带来的风险。

为了建立ERP环境下的内部控制系统,企业应当首先确立一个ERP 内部控制的总体框架。

企业内部控制框架可供选择与参考的标准很多,目前受到广泛认可的内部控制框架是美国COSO 1992年提出的内部控制框架。

该框架中,内部控制有3个目标(运营效果效率、财务报告的可靠性、相关法律的遵守)以及5个要素(控制环境、风险评估、控制活动、信息沟通、监督)。

虽然依据COSO的内部控制框架可以帮助企业建立一个较为完整科学的内控体系,但是COSO并非一个针对IT 环境的内控体系,并没有将IT 技术纳入考量的范围之内。

ERP系统企业内部控制分析

ERP系统企业内部控制分析

ERP系统企业内部控制分析摘要:随着市场环境的日趋成熟、市场竞争的日益激烈,ERP系统早已从初期单一的制造业逐步渗透至整个资本市场。

作为一种先进的现代企业管理模式,越来越多的企业在内部控制中采用ERP系统,对于企业的健康持续发展有着重大的意义。

如何建立并不断完善与之相适应的内部控制制度,是企业发展过程中必须解决的焦点问题。

企业管理层必须立足于公司规模、经营领域、发展战略目标等实际情况,不断挖掘、创新ERP系统的应用方式,才能不断降低企业的内部消耗和成本,提高自身的资产能力和市场竞争力。

关键词:ERP系统;内部控制;研究随着现代社会互联网高速发展并开始逐步引入人工智能的大背景下,国家税务总局近年来也进行了一系列大幅度的税法及税收制度改革,其研发的金三系统也全面上线,使当下整个社会都处于网络化、信息化的大数据时代,企业所有的交易税务局都能在第一时间一目了然。

这使得企业必须更加注重自我约束、自我规范的建设,而自我约束、自我规范的建设就必须从企业自身内部控制入手。

1ERP的实施对企业内部控制的作用及影响在企业内控中充分应用ERP系统,使企业内控工作变得智能化和信息化,即能提高企业内控的实施效率,还可以扩大企业内控的经济效益,同时也保障了企业内控各项制度的贯彻执行和各项程序的高效运转。

1.1控制环境。

互联网不仅为企业提供了一个实时了解和掌控其自身内部资源和信息的大平台,并且还能进行移动办公,随时随地处理各类信息,打破空间及时间上的限制,实现各部门之间的资源和信息共享,加快信息传播和交流的速度,从而直接提升了内部控制的质量与效果。

ERP系统自身具有较强的测算、分析和处理功能,能对企业的各种资源进行整合,从而优化企业自身资源的配置,提升资金的利用率。

企业能够通过系统制定出适合自身发展的预警机制,可根据实际运营情况,设置最低及最高库存量,并能够实时更新库存情况,生成合理的采购计划,确保企业运营活动能顺利的开展和进行,避免囤积大量库存,影响资金使用效率。

内部控制手册第3部分-内控矩阵——11,4应用系统IT一般性控制内部控制矩阵

内部控制手册第3部分-内控矩阵——11,4应用系统IT一般性控制内部控制矩阵
经营风险:备份策略和备份方案不完善,应用系统程序备份不及时,导致系统无法恢复。
4.2.2系统管理员适时对系统进行备份,同时检查备份系统的可读性,确认备份是否成功。
总部各部门
分(子)公司
3
系统备份记录
经营风险:数据库、应用系统日志备份不及时,导致系统问题无法追溯或系统无法恢复。
4.2.3系统管理员、应用管理员至少每月对数据库、应用系统的日志进行备份。
总部各部门
分(子)公司
经营风险:系统上线前未经严格测试,系统功能存在问题,导致应用系统不能正常运行。
应用系统上线前,必须由信息管理部门组织测试系统功能,形成测试报告,并经最终用户部门负责人签字确认。
总部各部门
分(子)公司
3
系统功能测试报告
系统初始化管理
合规风险:应用系统数据的收集、整理不规范,未经审核确认,导致系统存在大量垃圾数据或数据失真。
4.3.2应用管理员对应用系统操作日志或记录、安全管理员对直接访问数据库的操作日志至少每月进行一次审核,发现异常情况,及时上报信息管理部门/相关部门负责人,同时查明原因,提出处理意见,记录处理情况。
总部各部门
分(子)公司
应用管理员
安全管理员
3
日志审核记录
经营风险:系统问题处理、故障记录不规范,影响系统稳定运行。
总部各部门
分(子)公司
3
用户帐号清单
密码管理
经营风险:密码设置强度不够或更改不及时,造成系统泄密或受到非法访问
1.4.1操作人员应按照密码管理相关规定,遵循系统密码的长度至少为6位,复杂度为数字与字符的组合,三个月更改一次密码等密码规则设置密码,不得使用最近使用过的密码。应用管理员对操作人员密码定期更换记录进行检查。

信息系统风险评估矩阵清单

信息系统风险评估矩阵清单

预防性

不定期
预防性

每月
预防性

不定期
IT
预防性

不定期
人工
预防性

每月
科技与运营部
人工
预防性

每月
14 IT一般控制
逻辑访问安全管理
ITGC02-R6
15 IT一般控制 16 IT一般控制 17 IT一般控制 18 IT一般控制 19 IT一般控制 20 IT一般控制
逻辑访问安全管理 逻辑访问安全管理 逻辑访问安全管理 逻辑访问安全管理 逻辑访问安全管理 逻辑访问安全管理
根据公司的现状和发展目标,进行信息系统整体规划
每个系统按照性质制定相应的开发规范
业务部门的信息化需求由信息化中心统一管理,需求变 更需执行IT需求申请流程。 数据迁移影响哪些系统,有哪些注意事项需提前沟通, 执行详细计划 业务部门的信息化需求由信息化中心统一管理,项目开 发需执行IT立项流程,需求变更需执行IT需求申请流程 。 设计人员需提供单元测试文档,供开发和运维人员测 试,输出单元测试报告。业务人员和设计人员共同提供 集成测试文档,供业务人员进行集成测试,输出集成测 试报告。 开发人员按照上线要求提供上线清单给系统管理员,系 统管理员负责上传操作。 部署开发环境、测试环境和生产环境,开发通过后发布 到测试环境,测试通过后发布到生产环境 各系统的权限申请必须经过业务部门审核和IT部门的技 术审核 安装操作系统时打齐必要的补丁,根据需要对系统进行 漏洞扫描和防黑加固
ITGC02-R7 ITGC02-R8 ITGC02-R9 ITGC02-R10 ITGC02-R11 ITGC02-R12
21 IT一般控制
逻辑访问安全管理

基础设施it一般性控制内部控制矩阵

基础设施it一般性控制内部控制矩阵
2完整
4估价或分
6准确性
1
2
3
4
5
6
授权访冋和攻击。
1.1
经营风险:未经相关领导授权开通远程接 入网络服务,导致内部网络被非授权访问 和攻击。
1.5远程接入网络申请人依据《网络管理办法》相关要求,填写远程接 入服务申请表和远程用户接入服务安全承诺书,由所在部门负责人确认,
信息管理部门(责任处(科)室)负责人审批并备案。
3
终端用户接入申请 表
2.10.5
1.1
经营风险:未对用户登录网络进行管理, 导致内部网络被非授权访问和攻击。
1.4.2建立用户登录网络认证机制,避免对中国石化内部网络未经授权的
访问。
信息系统管理部 分(子)公司
3
2.10.5
1.1
经营风险:人事部门未及时提供人员离职 交接表,或信息管理部门未及时将离职人 员网络接入服务注销, 导致内部网络被非
安全设备配置检查记录表。
信息系统管理部 分(子)公司
4
安全设备配置检查 记录表
2.10.2
1.1
经营风险:安全管理员未及时对相关日志 审计分析,导致内部网络被非授权访问和 攻击。
1.3.3安全管理员每周对网络设备登录日志、防火墙日志、入侵检测日志
等进行分析审计。
信息系统管理部 分(子)公司
4
网络设备登陆日志 审阅表
4
IP地址分配表 网络拓扑图 网络设备配置记录 表
2.10.5
1.1
经营风险:网络设备密码设置强度不够或 更改不及时,造成公司内部网络被非授权 访问和攻击。
1.2网络设备登录设置合理的密码规则,密码要求长度六位以上,米用 数字和字符组合方式,新密码不得与前五次历史密码相同。网络管理员 必须每六个月修改网络设备登录密码,填写密码更换记录,经安全管理 员确认并在信息管理部门备案。
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
总部各部门
分(子)公司
2
程序变更管理制度
1.10.3
2.10.4
2.2客户化开发变更管理
1.1
1.3
2.4
经营风险:客户化开发的需求不合理,导致系统故障,不能满足业务需求。
合规风险:重要业务报表的编制不符合规定,导致股份公司声誉受到损害及受相关机构处罚。
2.2.1对于功能增强/表单/报表/系统接口等客户化开发的新需求或者对已有客户化开发的变更,由需求变更部门填写系统开发变更申请表(简要描述功能需求和功能说明),经提报单位的需求变更部门、信息管理部门/ERP支持中心负责人审核后报信息系统管理部审批。
1.10.4
2.10.4
1.2用户权限管理
1.1
1.2
2.3
2.4
经营风险:权限设置不当,导致对系统的非法或非授权访问。
1.2.1建立/变更用户帐号和角色,由申请人填写ERP系统用户权限申请表,经相关部门负责人审批后,由应用管理员在系统中建立/维护权限,相关人员进行权限测试并确认,关键用户对角色矩阵实时维护并进行版本管理。
总部各部门
分(子)公司
2
程序开发管理制度或规定
1.10.3
2.10.4
1.3
2.1
2.2
经营风险:业务流程不规范、设计不合理,导致系统不能满足业务需求。
3.2信息管理部门负责组建项目组,包括承担系统实施的人员(以下简称咨询顾问)和关键用户。项目组根据ERP项目可行性研究报告和批复进行业务流程设计,并经关键用户、业务部门负责人签字确认。
总部各部门
分(子)公司
2
客户化开发变更申请表
1.1
1.3
2.4
经营风险:变更管理不规范,客户化开发、测试和传输管理不完善,导致系统故障或不能满足业务需求。
2.2.2信息系统管理部组织人员根据审批后的客户化开发变更需求在开发环境中进行开发,完成开发后由提报单位的业务人员在测试环境中进行测试,针对变更部分编制测试文档(包括测试场景和测试结果),经业务人员及部门负责人签字确认后,由提报单位的应用管理员按照传输管理要求传入生产系统。
总部各部门
分(子)公司
2
相关开发文档
2.3系统配置变更管理
1.1
1.2
1.3
2.4
经营风险:系统配置变更管理不完善,导致系统故障或不能满足业务需求。
2.3.1现有系统配置需进行调整,应由需求部门填写“系统配置变更申请表”,经部门负责人签字确认后提交信息管理部门审核。与ERP推广模板有差异的或者组织架构、业务流程发生变化的变更,以及新增功能模块,需信息系统管理部门负责人审批并组织实施;其他系统配置变更,由信息管理部门授权支持人员或第三方人员根据审批后的变更需求进行业务流程设计,经相关业务部门负责人签字确认后在开发环境进行配置修改,由被授权人员填写系统配置变更记录,并将变更记录报总部ERP支持中心备案。
总部各部门
分(子)公司
应用管理员
系统管理员
安全管理员
2
监控记录
安全员检查记录
1.1
经营风险:生产系统存在开发帐户、关键用户,影响系统安全稳定或生产经营。
1.6生产系统上线投入运行后,锁定生产系统中的开发人员、关键用户的帐号;如果开发人员或关键用户必须在生产系统中诊断问题,需填写ERP系统用户权限申请表(提出申请帐号目的和期限),由相关部门负责人签字确认后由应用管理员进行维护,完成问题诊断任务后锁定该帐号。
1.1
2.1
经营风险:随意升级软件补丁或版本,影响系统安全稳定或生产经营。
合规风险:侵犯知识产权,导致诉讼及股份公司声誉受到损害。
2.4.1针对软件补丁/版本升级,信息管理部门提出申请,由信息系统管理部负责人审批后统一组织实施。
总部各部门
分(子)公司
1
软件版本升级申请表
1.1
1.2
1.3
2.4
经营风险:补丁/版本升级未经测试,导致系统故障或不能满足业务需求。
总部各部门
分(子)公司
2
1.5相关管理员的管理
1.1
经营风险:系统相关管理员岗位设置不合理,导致对系统的非法或非授权访问。
1.5.1应用管理员(BASIS管理员和权限管理员)、系统管理员(操作系统管理员、数据库管理员)、安全管理员必须授权管理,遵循不相容岗位分离原则,不能具有业务操作权限及开发权限;信息管理部门负责人应至少每半年对上述管理员的在职情况进行审查。
第三方人员撤离后,其帐号需在系统中进行删除或锁定,如确需访问系统诊断问题,需按照用户权限维护程序经审批后方可解锁/创建;维护完毕后应及时锁定或删除。
总部各部门
分(子)公司
2
第三方人员清单
用户变更申请表
2.程序变更
1.1
1.2
1.3
2.1
2.3
2.4
经营风险:规章制度不健全,导致对系统管理的失控。
2.1总部各部门、分(子)公司依据《信息系统应用管理办法》,制定程序变更管理制度,主要包括客户化开发变更管理、系统配置变更管理、软件版本变更管理等内容。
总部各部门
分(子)公司
应用管理员
系统管理员
安全管理员
2
管理员授权文件
管理员任职资格半年审核记录
1.1
1.3
经营风险:系统运行状态监控不到位,不能及时发现系统潜在故障或问题,影响系统正常运行。
1.5.2应用管理员负责监控应用系统运行情况、备份情况和日志,并完成监控记录;系统管理员负责监控操作系统、数据库及备份设备运行情况和日志,并完成监控记录;安全管理员每季度对相关管理员的操作日志至少检查一次并记录检查情况。
总部各部门
分(子)公司
4
配置变更申请表
业务流程图与流程描述
1.1
1.2
1.3
2.4
经营风险:系统配置变更的测试、传输不完善,导致系统故障或不能满足业务需求。
2.3.2凡涉及业务流程、数据库变动的配置变更,由提报单位的业务人员在测试环境中进行测试,针对变更部分编制测试文档(包括测试场景和测试结果),经业务部门负责人签字确认后,由提报单位的应用管理员按照传输管理要求传入生产系统。
分(子)公司
2
用户审核签字
1.1
1.2
2.3
2.4
经营风险:账户共享,导致责任不清,导致系统存在安全隐患。
1.3.2应用管理员在系统中为每个操作人员设置独立的用户帐号,不能设置共享用户帐号(查询用户帐号除外)。
总部各部门
分(子)公司
1
1.1
1.2
2.3
2.4
经营风险:用户创建随意,影响系统安全稳定或生产经营。
总部各部门
分(子)公司
业务支持人员
应用管理员
3
业务支持人员名单
1.1
经营风险:超级用户权限管理不当,影响系统安全稳定或生产经营。
1.9超级用户权限必须严格控制,申请时必须阐明使用原因,并经ERP支持中心负责人审核签字后,应用管理员才能在系统中进行分配,使用后要及时将权限回收。
总部各部门
分(子)公司
2
1.1总部各部门、分(子)公司依据《中国石油化工股份有限公司管理信息系统应用管理办法(试行)》(以下简称《信息系统应用管理办法》)等,制定程序和数据访问管理制度,主要包括用户权限管理、用户帐号管理、用户登录管理、超级用户管理及第三方人员管理等内容。
总部各部门
分(子)公司
2
程序和数据访问管理制度或规定
1
用户变更申请表
人员变动清单
1.3用户帐号管理
1.1
1.2
2.3
2.4
经营风险:未及时审核清理帐户,导致系统存在安全隐患。
1.3.1应用管理员每季度在线检查用户权限使用情况,每半年将系统用户清单,提交相关部门,由关键用户和部门负责人进行审核确认,应用管理员根据审核结果在系统中进行相应的处理。
总部各部门
2.4.3ERP支持中心负责人检查测试流程清单是否完整,并签字确认,由应用管理员根据补丁/版本升级方案在生产系统完成补丁安装或者版本升级工作,并进行“软件补丁/版本升级”记录。
总部各部门
分(子)公司
2
3.程序开发
1.2
1.3
2.1
2.2
2.3
2.4
经营风险:规章制度不健全,导致对系统管理的失控。
3.1总部各部门、分(子)公司依据《信息系统应用管理办法》,制定程序开发管理制度,主要包括业务流程设计管理、客户化开发和系统配置管理等内容。
超级用户申请表
1.10第三方人员管理
1.1
2.2
经营风险:与第三方合作单位未签订安全保密协议,造成系统泄密或受到非法访问。
1.10.1针对第三方合作单位需要签订安全保密协议。
总部各部门
分(子)公司
1
保密协议(合同)
1.1
2.2
经营风险:对第三方合作单位人员管理不到位,影响系统安全稳定或生产经营。
1.10.2第三方人员访问系统,需填写第三方人员帐号申请表(需注明使用期限和权限),经需求部门负责人、信息管理部门(责处(科)室)负责人审批通过后,由应用管理员根据申请表在系统中建立其帐号。
11.3 ERP系统IT一般性控制内部控制矩阵
业务目标
业务风险
控制点
适用单位
不相容
岗位
控制点分值
控制点相关资料
相关制度索引
会计报表认定
会计报表项目
1存在和发生/真实性;2完整性;3权利与义务;4估价或分摊;5表达和披露;6准确性
1
2
3
4
5
6
1.程序和数据访问
1.1
1.2
2.3
2.4
经营风险:规章制度不健全,导致对系统管理的失控。
相关文档
最新文档