內(nèi)部控制制度信息系統(tǒng)一般控制

1、內(nèi)部控制制度信息系統(tǒng)一般控制內(nèi)部控制制度信息系統(tǒng)一般控制第一章 總 則第一條 為了充分利用某某公司（以下簡稱“公司” ）信息系統(tǒng)，規(guī)范交易行 為，提高信息系統(tǒng)的可靠性、穩(wěn)定性、安全性及數(shù)據(jù)的完整性和準(zhǔn)確性，降低人 為因素導(dǎo)致內(nèi)部控制失效的可能性， 形成良好的信息傳遞渠道， 根據(jù)國家有關(guān)法 律法規(guī)和企業(yè)內(nèi)部控制基本規(guī)范 ，制定本制度。第二條 本制度所稱信息系統(tǒng)是指利用計算機(jī)技術(shù)對業(yè)務(wù)和信息進(jìn)行集成處 理的程序、數(shù)據(jù)和文檔等的總稱。第三條 公司在信息系統(tǒng)管理過程中，至少應(yīng)關(guān)注涉及信息系統(tǒng)一般控制的 下列風(fēng)險：（一）信息系統(tǒng)開發(fā)與使用違反國家法律法規(guī)， 可能遭受外部處罰、 經(jīng)濟(jì)損 失和信譽損失。（二

2、）信息系統(tǒng)開發(fā)與使用未經(jīng)適當(dāng)審核或超越授權(quán)審批， 可能因重大差錯、 舞弊、欺詐而導(dǎo)致?lián)p失。（三）信息系統(tǒng)設(shè)計功能不科學(xué)、 維護(hù)與變更程序不規(guī)范， 可能導(dǎo)致公司經(jīng) 營效率與效果低下。（四）信息系統(tǒng)外包服務(wù)未恰當(dāng)履行或監(jiān)控不當(dāng)， 可能導(dǎo)致公司權(quán)益受損或 違約損失。（五）信息系統(tǒng)訪問安全措施不當(dāng)，可能導(dǎo)致商業(yè)秘密泄露。（六）信息系統(tǒng)硬件管理不當(dāng)，可能導(dǎo)致公司資產(chǎn)或股東權(quán)益受損。 第四條 公司在建立與實施信息系統(tǒng)內(nèi)部控制過程中，至少應(yīng)強化對下列關(guān) 鍵方面或關(guān)鍵環(huán)節(jié)的控制：（一）職責(zé)分工、 權(quán)限范圍和審批程序應(yīng)明確規(guī)范， 機(jī)構(gòu)設(shè)置和人員配備應(yīng) 科學(xué)合理，重大信息系統(tǒng)開發(fā)與使用事項應(yīng)履行審批程序。（二）信

3、息系統(tǒng)開發(fā)、變更和維護(hù)流程應(yīng)清晰合理。（三）應(yīng)建立訪問安全制度， 操作權(quán)限、 信息使用、信息管理應(yīng)有明確規(guī)定。（四）硬件管理事項和審批程序應(yīng)科學(xué)合理。（五）會計信息系統(tǒng)流程應(yīng)規(guī)范，會計信息系統(tǒng)操作管理、硬件、軟件和數(shù) 據(jù)管理、會計信息化檔案管理應(yīng)完善。第二章 崗位分工與授權(quán)審批第五條 公司應(yīng)建立計算機(jī)信息系統(tǒng)崗位責(zé)任制。計算機(jī)信息系統(tǒng)崗位一般 包括：（一）系統(tǒng)分析：分析用戶的信息需求， 并據(jù)此制定設(shè)計或修改程序的方案。（二）編程：編寫計算機(jī)程序來執(zhí)行系統(tǒng)分析崗位的設(shè)計或修改方案。（三）測試：設(shè)計測試方案， 對計算機(jī)程序是否滿足設(shè)計或修改方案進(jìn)行測 試，并通過反饋給編程崗位以修改程序并最終滿足方

4、案。（四）程序管理：負(fù)責(zé)保障并監(jiān)控應(yīng)用程序正常運行。（五）數(shù)據(jù)庫管理：對信息系統(tǒng)中的數(shù)據(jù)進(jìn)行存儲、處理、管理，維護(hù)組織 數(shù)據(jù)資源。（六）數(shù)據(jù)控制： 負(fù)責(zé)維護(hù)計算機(jī)路徑代碼的注冊， 確保原始數(shù)據(jù)經(jīng)過正確 授權(quán)，監(jiān)控信息系統(tǒng)工作流程， 協(xié)調(diào)輸入和輸出， 將輸入的錯誤數(shù)據(jù)反饋到輸入 部門并跟蹤監(jiān)控其糾正過程，將輸出信息分發(fā)給經(jīng)過授權(quán)的用戶。（七）終端操作：終端用戶負(fù)責(zé)記錄交易內(nèi)容，授權(quán)處理數(shù)據(jù)，并利用系統(tǒng) 輸出的結(jié)果。系統(tǒng)開發(fā)和變更過程中不相容崗位 （或職責(zé)）一般應(yīng)包括： 開發(fā)（或 變更）立項、審批、編程、測試。系統(tǒng)訪問過程中不相容崗位（或職責(zé)）一般應(yīng) 包括：申請、審批、操作、監(jiān)控。第六條 公司計算

5、機(jī)信息系統(tǒng)戰(zhàn)略規(guī)劃、重要信息系統(tǒng)政策等重大事項應(yīng)經(jīng) 由董事會審批通過后， 方可實施。信息系統(tǒng)戰(zhàn)略規(guī)劃應(yīng)與公司業(yè)務(wù)目標(biāo)保持一致。 信息系統(tǒng)使用部門應(yīng)該參與信息系統(tǒng)戰(zhàn)略規(guī)劃、重要信息系統(tǒng)政策等的制定。第七條 公司應(yīng)指定專門部門（或崗位，下稱歸口管理部門）對計算機(jī)信息 系統(tǒng)實施歸口管理，負(fù)責(zé)信息系統(tǒng)開發(fā)、變更、運行、維護(hù)等工作。財會部門負(fù) 責(zé)信息系統(tǒng)中各項業(yè)務(wù)賬務(wù)處理的準(zhǔn)確性和及時性； 會計電算化制度的制定； 財 務(wù)系統(tǒng)操作規(guī)定等。生產(chǎn)、銷售、倉儲及其他部門（下稱用戶部門）應(yīng)根據(jù)本部 門在信息系統(tǒng)中的職能定位， 參與信息系統(tǒng)建設(shè)， 按照歸口管理部門制定的管理 標(biāo)準(zhǔn)、規(guī)范、 規(guī)章來操作和運用信息系統(tǒng)。

6、 公司管理層應(yīng)該明確定義系統(tǒng)歸口管 理部門和用戶部門 （含財會部門） 在保證系統(tǒng)正常安全運行過程中各自承擔(dān)的職責(zé)，制定部門之間的職責(zé)分工表。第三章 信息系統(tǒng)開發(fā)、變更與維護(hù)控制第八條 計算機(jī)信息系統(tǒng)開發(fā)包括自行設(shè)計、外購調(diào)試和外包合作開發(fā)。公 司在開發(fā)信息系統(tǒng)時， 應(yīng)充分考慮業(yè)務(wù)和信息的集成性， 優(yōu)化流程， 并將相應(yīng)的 處理規(guī)則（交易權(quán)限）嵌入到系統(tǒng)程序中， 以預(yù)防、檢查、糾正錯誤和舞弊行為， 確保公司業(yè)務(wù)活動的真實性、合法性和效益性。第九條 公司計算機(jī)信息系統(tǒng)開發(fā)應(yīng)遵循以下原則：（一）因地制宜原則：應(yīng)根據(jù)行業(yè)特點、公司規(guī)模、管理理念、組織結(jié)構(gòu)、 核算方法等因素設(shè)計適合本單位的計算機(jī)信息系統(tǒng)。

7、（二）成本效益原則： 計算機(jī)信息系統(tǒng)的建設(shè)應(yīng)能起到降低成本、 糾正偏差 的作用，根據(jù)成本效益原則，可以選擇對重要領(lǐng)域中關(guān)鍵因素進(jìn)行信息系統(tǒng)改造。（三）理念與技術(shù)并重原則： 計算機(jī)信息系統(tǒng)建設(shè)應(yīng)將信息系統(tǒng)技術(shù)與信息 系統(tǒng)管理理念整合， 應(yīng)倡導(dǎo)全體員工積極參與信息系統(tǒng)建設(shè)， 正確理解和使用信 息系統(tǒng)，提高信息系統(tǒng)運作效率。第十條 信息系統(tǒng)開發(fā)必須經(jīng)過正式授權(quán)。具體程序包括：用戶部門提出需 求；歸口管理部門審核；公司負(fù)責(zé)人授權(quán)批準(zhǔn)；系統(tǒng)分析人員設(shè)計方案；程序員 編寫代碼；測試員進(jìn)行測試；系統(tǒng)最終上線；系統(tǒng)維護(hù)等。第十一條 公司應(yīng)成立項目管理小組，負(fù)責(zé)信息系統(tǒng)的開發(fā)，對項目整個過 程實施監(jiān)控。對于外包

8、合作開發(fā)的項目，公司應(yīng)加強對外包第三方的監(jiān)控。第十二條 外購調(diào)試或外包合作開發(fā)等需要進(jìn)行招投標(biāo)的信息系統(tǒng)開發(fā)項 目，公司應(yīng)保證招投標(biāo)過程公平、公正、公開。第十三條 公司應(yīng)制定詳細(xì)的信息系統(tǒng)上線計劃。對涉及新舊系統(tǒng)切換的情 形，公司應(yīng)在上線計劃中明確應(yīng)急預(yù)案， 保證新系統(tǒng)一旦失效， 能夠順利切換回 舊的系統(tǒng)狀態(tài)。第十四條 新舊系統(tǒng)切換時，如涉及數(shù)據(jù)遷移，公司應(yīng)制定詳細(xì)的數(shù)據(jù)遷移 計劃。用戶部門應(yīng)積極參與數(shù)據(jù)遷移過程， 對數(shù)據(jù)遷移結(jié)果進(jìn)行測試， 并在測試 報告上確認(rèn)。第十五條 信息系統(tǒng)在投入使用前應(yīng)至少完成整體測試和用戶驗收測試，以 確保系統(tǒng)的正常運轉(zhuǎn)。第十六條 信息系統(tǒng)原設(shè)計功能未能正常實現(xiàn)時，

9、公司應(yīng)指定相關(guān)人員負(fù)責(zé) 詳細(xì)記錄， 并及時報告歸口管理部門。 歸口管理部門負(fù)責(zé)系統(tǒng)程序修正和軟件參 數(shù)調(diào)整，以實現(xiàn)設(shè)計功能。第十七條 信息系統(tǒng)上線后，發(fā)生的功能變更，應(yīng)參照上款有關(guān)系統(tǒng)開發(fā)的 審批和上線程序執(zhí)行。第十八條 公司應(yīng)積極倡導(dǎo)采用預(yù)防性措施，確保計算機(jī)信息系統(tǒng)的持續(xù)運 行。常見預(yù)防性措施包括但不限于日常檢測、設(shè)立容錯冗余、編制應(yīng)急預(yù)案等。第四章 信息系統(tǒng)訪問安全第十九條 公司應(yīng)制定信息系統(tǒng)工作程序、信息管理制度以及各模塊子系統(tǒng) 的具體操作規(guī)范。第二十條 計算機(jī)信息系統(tǒng)操作人員不得擅自進(jìn)行系統(tǒng)軟件的刪除、修改等 操作，不得擅自升級、改變系統(tǒng)軟件版本，不得擅自改變軟件系統(tǒng)環(huán)境配置。第二十

10、一條 公司應(yīng)對信息系統(tǒng)操作人員的賬號、密碼和使用權(quán)限進(jìn)行嚴(yán)格 規(guī)范，建立相應(yīng)的操作管理制度。未經(jīng)操作培訓(xùn)的人員不得作為操作人員。第二十二條 公司應(yīng)建立賬號審批制度，加強對重要業(yè)務(wù)系統(tǒng)的訪問權(quán)限管 理。對于發(fā)生崗位變化或離崗的用戶，公司應(yīng)及時調(diào)整其在系統(tǒng)中的訪問權(quán)限。 公司應(yīng)定期對系統(tǒng)中的賬號進(jìn)行審閱， 避免有授權(quán)不當(dāng)或非授權(quán)賬號存在。 對于 超級用戶等特權(quán)用戶， 公司應(yīng)該嚴(yán)格限制其使用， 并對其在系統(tǒng)中的操作全程進(jìn) 行監(jiān)控。使用完畢后，應(yīng)由不相容崗位對其操作日志進(jìn)行審閱。第二十三條 公司應(yīng)充分利用操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)自身提供的安全 性能，在系統(tǒng)中設(shè)置安全參數(shù)， 以加強系統(tǒng)訪問安全。 禁止

11、未經(jīng)授權(quán)人員擅自調(diào) 整、刪除或修改系統(tǒng)中設(shè)置的各項參數(shù)。涉及上網(wǎng)操作的，公司應(yīng)加強防火墻、 路由器等網(wǎng)絡(luò)安全方面的管理。第二十四條 公司可以結(jié)合實際情況，本著審慎、穩(wěn)健的原則，將信息系統(tǒng) 訪問安全事項交由第三方管理。在此情形下，公司應(yīng)加強對第三方的監(jiān)控。第二十五條 公司應(yīng)定期檢測信息系統(tǒng)運行情況，及時進(jìn)行計算機(jī)病毒的預(yù) 防、檢查工作，禁止用戶安裝非法防病毒軟件和私自卸載公司要求安裝的防病毒 軟件。第二十六條 信息系統(tǒng)操作人員應(yīng)在權(quán)限范圍內(nèi)進(jìn)行操作，不得利用他人的 口令和密碼進(jìn)入軟件系統(tǒng)。 更換操作人員或密碼泄露后， 必須及時更改密碼。 操 作人員如果離開工作現(xiàn)場， 必須在離開前鎖定或退出已經(jīng)運

12、行的程序， 防止其他 人員利用自身賬號操作。第二十七條 公司應(yīng)利用計算機(jī)信息系統(tǒng)建立信息化平臺，規(guī)范信息的使用 和傳遞，促進(jìn)業(yè)務(wù)流程與信息流程的統(tǒng)一，提高經(jīng)營管理的效率和效果。第二十八條 公司應(yīng)對所有的重要信息進(jìn)行密級劃分，包括書面形式和電子 媒介形式保存的信息。 公司可以根據(jù)信息的重要性程度和泄密風(fēng)險損失等劃分標(biāo) 準(zhǔn)，將信息分為絕密類、機(jī)密類、秘密類和重要類等，并建立不同類別信息的授 權(quán)使用制度。第二十九條 公司計算機(jī)信息系統(tǒng)應(yīng)劃分為生產(chǎn)、銷售、存儲等子系統(tǒng)，及 時反映和記錄交易。交易責(zé)任部門在其授權(quán)范圍內(nèi)對子系統(tǒng)錄入信息的真實性、 完整性、準(zhǔn)確性和及時性負(fù)責(zé)，并定期檢查、核對所錄信息。第三

13、十條 公司財會部門應(yīng)認(rèn)真審核采購、生產(chǎn)、銷售、倉庫等部門與財務(wù) 相關(guān)的關(guān)鍵業(yè)務(wù)數(shù)據(jù)，保證會計信息與業(yè)務(wù)流程在時間、數(shù)量和價值上的統(tǒng)一。第三十一條 公司應(yīng)建立信息數(shù)據(jù)變更處理（包括數(shù)據(jù)導(dǎo)入、數(shù)據(jù)提取、數(shù) 據(jù)修改等） 規(guī)范。一經(jīng)發(fā)現(xiàn)已輸入數(shù)據(jù)信息有誤， 必須按照信息系統(tǒng)操作規(guī)定加 以修正。第三十二條 公司應(yīng)建立數(shù)據(jù)信息定期備份制度和數(shù)據(jù)批處理或?qū)崟r處理的 處理前自動備份制度。并在備份完畢后，將備份介質(zhì)異地保存。第三十三條 公司應(yīng)編制完整、具體的災(zāi)難恢復(fù)計劃。同時應(yīng)定期檢測、及 時修正該計劃。第五章 硬件管理第三十四條 公司應(yīng)制定計算機(jī)信息系統(tǒng)硬件管理制度，對設(shè)備的新增、報 廢、流轉(zhuǎn)等情況建檔登記，

14、統(tǒng)一管理。第三十五條 公司應(yīng)將計算機(jī)硬件設(shè)備放置在合適的物理環(huán)境中，由專人負(fù) 責(zé)管理和檢查， 其他任何人未經(jīng)授權(quán)不得接觸計算機(jī)信息系統(tǒng)硬件設(shè)備。 對于主 要系統(tǒng)服務(wù)器應(yīng)配備不中斷電源供給設(shè)備。第三十六條 硬件設(shè)備的更新、擴(kuò)充、修復(fù)等工作應(yīng)由相關(guān)人員提出申請， 報上級主管負(fù)責(zé)人審批。第三十七條 公司操作人員應(yīng)嚴(yán)格遵守用電安全，不得在計算機(jī)專用線路上 使用其他用電設(shè)備。第三十八條 公司應(yīng)完善計算機(jī)信息系統(tǒng)硬件設(shè)備異常狀況處理制度。一經(jīng) 發(fā)生異常狀況（如冒煙、打火、異常聲響等） ，應(yīng)立即通知有關(guān)部門，并按處理 制度進(jìn)行處理。第六章 會計信息化及其控制第三十九條 公司應(yīng)加強會計信息化工作，并對其工作流

15、程進(jìn)行有效控制。 本制度所稱會計信息化是指利用計算機(jī)信息技術(shù)代替人工進(jìn)行財務(wù)信息處理， 以 及替代部分由人工完成的對會計信息的分析和判斷的過程。第四十條 公司應(yīng)建立會計信息化操作管理制度，明確會計信息系統(tǒng)的合法 有權(quán)使用人員及其操作權(quán)限和操作程序， 形成分工牽制的控制形式。 公司出納人 員不得兼任電算化系統(tǒng)管理員，不得兼任記賬憑證的審核工作。第四十一條 公司應(yīng)建立會計信息系統(tǒng)硬件、軟件和數(shù)據(jù)管理制度，重點關(guān) 注下列風(fēng)險和控制點：（一）對正在使用的會計核算軟件進(jìn)行修改、 對通用會計軟件進(jìn)行升級和對 計算機(jī)硬件設(shè)備進(jìn)行更換時， 公司應(yīng)有規(guī)范的審批流程， 并采取替代性措施確保 會計數(shù)據(jù)的連續(xù)性。（二）公司應(yīng)健全計算機(jī)硬件和軟件出現(xiàn)故障時進(jìn)行排除的管理措施， 保證 會計數(shù)據(jù)的完整性。（三）確保會計數(shù)據(jù)安全保密，防止對數(shù)據(jù)的非法修改和刪除。第四十二條 公司應(yīng)建立信息化會計檔案管理制度。本制度所稱信息化會計 檔案是指存儲在磁性介質(zhì)或光盤介質(zhì)的會計數(shù)據(jù)和計算機(jī)打印出來的書面等形 式的會計數(shù)據(jù)， 包括記賬憑證、 會計賬簿、會計報表（包括報表格式和計算公式） 等數(shù)據(jù)。公司應(yīng)指定專人負(fù)責(zé)信息化會計檔案的管理，做好防消磁、防火、防