企業(yè)內(nèi)部控制應(yīng)用指引第17號-內(nèi)部信息傳遞

1、第 PAGE 16 頁 共 NUMPAGES 16 頁八企業(yè)內(nèi)部控制俺應(yīng)用指引第17熬號艾敖內(nèi)部信息傳遞邦一、信息系統(tǒng)內(nèi)奧部控制概述 暗企業(yè)內(nèi)部控制辦應(yīng)用指引第18叭號邦般信息系統(tǒng)中所壩指信息系統(tǒng)，是百指企業(yè)利用計算版機和通信技術(shù)，岸對內(nèi)部控制進行板集成、轉(zhuǎn)化和提罷升所形成的信息巴化管理平臺。按信息系統(tǒng)內(nèi)部控絆制的目標(biāo)是促進班企業(yè)有效實施內(nèi)伴部控制，提高企哎業(yè)現(xiàn)代化管理水佰平，減少人為操矮縱因素；同時，按增強信息系統(tǒng)的傲安全性、可靠性暗和合理性以及相熬關(guān)信息的保密性岸、完整性和可用昂性，為建立有效岸的信息與溝通機瓣制提供支持保障疤。皚信息系統(tǒng)內(nèi)部控巴制的主要對象是霸信息系統(tǒng)，由計傲算機硬件、軟

2、件瓣、人員、信息流巴和運行規(guī)程等要頒素組成。 瓣企業(yè)信息系統(tǒng)內(nèi)俺部控制以及利用疤信息系統(tǒng)實施內(nèi)拌部控制至少應(yīng)當(dāng)絆關(guān)注下列方面：板1、搬信息系統(tǒng)缺乏或邦規(guī)劃不合理，可皚能造成信息孤島霸或重復(fù)建設(shè)，導(dǎo)搬致企業(yè)經(jīng)營管理辦效率低下；啊2、岸系統(tǒng)開發(fā)不符合頒內(nèi)部控制要求，癌授權(quán)管理不當(dāng)，扳可能導(dǎo)致無法利哀用信息技術(shù)實施昂有效控制；佰3、唉系統(tǒng)運行維護和敖安全措施不到位搬，可能導(dǎo)致信息伴泄漏或毀損，系懊統(tǒng)無法正常運行佰。 邦二、信息系統(tǒng)的襖開發(fā) 百企業(yè)根據(jù)發(fā)展戰(zhàn)奧略和業(yè)務(wù)需要進案行信息系統(tǒng)建設(shè)扳，首先要確立系背統(tǒng)建設(shè)目標(biāo)，根靶據(jù)目標(biāo)進行系統(tǒng)疤建設(shè)戰(zhàn)略規(guī)劃，拔再將規(guī)劃細化為奧項目建設(shè)方案。霸企業(yè)開展信息系捌

3、統(tǒng)建設(shè)，可以根奧據(jù)實際情況，選芭擇自行開發(fā)、外昂購調(diào)試或業(yè)務(wù)外矮包等方式。埃選擇外購調(diào)試或礙業(yè)務(wù)外包方式的壩，應(yīng)當(dāng)采用公開瓣招標(biāo)等形式擇優(yōu)皚選擇供應(yīng)商或開哀發(fā)單位。疤選擇自行開發(fā)信隘息系統(tǒng)的，信息礙系統(tǒng)歸口管理部鞍門應(yīng)當(dāng)組織企業(yè)哀內(nèi)部相關(guān)業(yè)務(wù)部挨門進行需求分析霸，合理配置人員扳，明確系統(tǒng)設(shè)計壩、編程、安裝調(diào)艾試、驗收、上線哀等全過程的管理芭要求。骯企業(yè)信息系統(tǒng)歸疤口管理部門應(yīng)當(dāng)半加強信息系統(tǒng)開百發(fā)全過程的跟蹤翱管理，增進開發(fā)襖單位與企業(yè)內(nèi)部斑業(yè)務(wù)部門的日常扒溝通和協(xié)調(diào)，組版織獨立于開發(fā)單安位的專業(yè)機構(gòu)對奧開發(fā)完成的信息笆系統(tǒng)進行檢查驗俺收，并組織系統(tǒng)扳上線運行。按（一）皚制定矮信息系統(tǒng)開發(fā)的暗

4、戰(zhàn)略規(guī)劃信息系佰統(tǒng)開發(fā)的戰(zhàn)略規(guī)岸劃是信息化建設(shè)辦的起點。愛戰(zhàn)略規(guī)劃是以企絆業(yè)發(fā)展戰(zhàn)略為依傲據(jù)制定的企業(yè)信扒息化建設(shè)的全局辦性、長期性規(guī)劃辦。礙制定信息系統(tǒng)戰(zhàn)哎略規(guī)劃的主要風(fēng)版險是：缺乏戰(zhàn)略霸規(guī)劃或規(guī)劃不合矮理，可能造成信按息孤島或重復(fù)建靶設(shè)，導(dǎo)致企業(yè)經(jīng)拌營管理效率低下矮；邦沒有將信息化與吧企業(yè)業(yè)務(wù)需求結(jié)盎合，降低了信息按系統(tǒng)的應(yīng)用價值愛。主要控制措施：瓣第一，企業(yè)必須凹制定信息系統(tǒng)開稗發(fā)的戰(zhàn)略規(guī)劃和柏中長期發(fā)展計劃吧，并在每年制定皚經(jīng)營計劃的同時鞍制定年度信息系敖統(tǒng)建設(shè)計劃，促唉進經(jīng)營管理活動壩與信息系統(tǒng)的協(xié)熬調(diào)統(tǒng)一。哎第二，企業(yè)在制八定信息化戰(zhàn)略過骯程中，要充分調(diào)百動和發(fā)揮信息系按統(tǒng)歸口管理

5、部門阿與業(yè)務(wù)部門的積埃極性，使各部門岸廣泛參與，充分版溝通，提高戰(zhàn)略骯規(guī)劃的科學(xué)性、哀前瞻性和適應(yīng)性埃。艾第三，信息系統(tǒng)百戰(zhàn)略規(guī)劃要與企百業(yè)的組織架構(gòu)、壩業(yè)務(wù)范圍、地域班分布、技術(shù)能力佰等相匹配，避免板相互脫節(jié)。 扮（二）選擇適當(dāng)昂的信息系統(tǒng)開發(fā)板方式信息系統(tǒng)的半開發(fā)建設(shè)是信息哀系統(tǒng)生命周期中翱技術(shù)難哀度最大的環(huán)節(jié)。扳在開發(fā)建設(shè)環(huán)節(jié)般，盎要將企業(yè)的業(yè)務(wù)耙流程、內(nèi)控措施耙、權(quán)限配置、預(yù)皚警指標(biāo)、核算方邦法等固化到信息百系統(tǒng)中，因此開靶發(fā)建設(shè)的好壞直挨接影響信息系統(tǒng)半的成敗。跋開發(fā)建設(shè)主要有邦自行開發(fā)、外購捌調(diào)試、業(yè)務(wù)外包捌等方式霸；板企業(yè)應(yīng)根據(jù)自身氨實際情況合理選矮擇。 疤1自行開發(fā)是暗企業(yè)依托

6、自身力耙量完成整個開發(fā)背過程。其優(yōu)點是班開發(fā)人員熟悉企芭業(yè)情況，可以較翱好地滿足本企業(yè)耙的需求，尤其是氨具有特殊性的業(yè)拔務(wù)需求。般通過自行開發(fā)，唉還可以培養(yǎng)鍛煉翱自己的開發(fā)隊伍班，便于后期的運扮行和維護。其缺翱點是開發(fā)周期較巴長、技術(shù)水平和懊規(guī)范程度較難保艾證，成功率相對半較低。頒2外購調(diào)試的扒基本做法是企業(yè)般購買成熟的商品傲化軟件，通過參搬數(shù)配置和二次開吧發(fā)滿足企業(yè)需求白。其優(yōu)點是開發(fā)敗建設(shè)周期短；成挨功率較高；成熟癌的商品化軟件質(zhì)佰量穩(wěn)定，可靠性敗高；專業(yè)的軟件芭提供商實施經(jīng)驗挨豐富。其缺點是佰難以滿足企業(yè)的背特殊需求；系統(tǒng)埃的后期升級進度敗受制于商品化軟斑件供應(yīng)商產(chǎn)品更胺新?lián)Q代的速度，哀

7、企業(yè)自主權(quán)不強哎，較為被動。 靶外購調(diào)試方式的礙適用條件通常是礙企業(yè)的特殊需求拌較少，市場上已啊有成熟的商品化埃軟件和系統(tǒng)實施百方案。班3業(yè)務(wù)外包信奧息系統(tǒng)的業(yè)務(wù)外耙包是指委托其他扳單位開發(fā)信息系伴統(tǒng)，基本做法是叭企業(yè)將信息系統(tǒng)拜開發(fā)項目外包出背去，由專業(yè)公司岸或科研機構(gòu)負責(zé)按開發(fā)、安裝實施搬，由企業(yè)直接使氨用。癌其優(yōu)點是企業(yè)可芭以充分利用專業(yè)吧公司的專業(yè)優(yōu)勢壩，量體裁衣，構(gòu)般建全面、高效滿艾足企業(yè)需求的個般性化系統(tǒng)；企業(yè)版不必培養(yǎng)、維持頒龐大的開發(fā)隊伍斑，相應(yīng)節(jié)約了人暗力資源成本。其敖缺點是溝通成本氨高，系統(tǒng)開發(fā)方敖難以深刻理解企安業(yè)需求，可能導(dǎo)邦致開發(fā)出的信息背系統(tǒng)與企業(yè)的期翱望產(chǎn)生較大偏

8、差柏；同時，由于外搬包信息系統(tǒng)與系襖統(tǒng)開發(fā)方的專業(yè)挨技能、職業(yè)道德氨和敬業(yè)精神存在斑密切關(guān)系，也要班求企業(yè)必須加大拔對外包項目的監(jiān)暗督力度。俺業(yè)務(wù)外包方式的伴適用條件通常是岸市場上沒有能夠俺滿足企業(yè)需求的挨成熟的商品化軟邦件和解決方案，鞍企業(yè)自身技術(shù)力爸量薄弱或出于成拜本效益原則考慮按不愿意維持龐大岸的開發(fā)隊伍。 挨（三）自行開發(fā)罷方式的關(guān)鍵控制矮點和主要控制措巴施雖然信息系統(tǒng)壩的開發(fā)方式有自哎行開發(fā)、外購調(diào)暗試、業(yè)務(wù)外包等扳多種方式，但基搬本流程大體相似扮，通常包含項目盎計劃、需求分析拜、系統(tǒng)設(shè)計、編板程和測試、上線斑等環(huán)節(jié)。 澳1項目計劃環(huán)半節(jié)戰(zhàn)略規(guī)劃通常矮將完整的信息系隘統(tǒng)分成若干子系背

9、統(tǒng)，并分階段建斑設(shè)不同的子系統(tǒng)柏。比如，制造企瓣業(yè)可以將信息系巴統(tǒng)劃分為財務(wù)管藹理系統(tǒng)、人力資瓣源管理系統(tǒng)、M佰RP系統(tǒng)（銷售胺、采購、庫存、愛生產(chǎn)）、計算機佰輔助設(shè)計和制造藹系統(tǒng)、客戶關(guān)系絆系統(tǒng)、電子商務(wù)疤系統(tǒng)等若干子系稗統(tǒng)。癌項目就是指本階邦段需要建設(shè)的相背對獨立的一個或阿多個子系統(tǒng)。 壩項目計劃通常包皚括項目范圍說明癌、項目進度計劃百、項目質(zhì)量計劃捌、項目資源計劃傲、項目溝通計劃按、風(fēng)險對策計劃班、項目采購計劃埃、需求變更控制按、配置管理計劃叭等內(nèi)容。挨項目計劃環(huán)節(jié)的辦主要風(fēng)險是：信敗息系統(tǒng)建設(shè)缺乏八項目計劃或者計藹劃不當(dāng)，導(dǎo)致項唉目進度滯后、費懊用超支、質(zhì)量低傲下。 挨主要控制措施：壩

10、第一，企業(yè)應(yīng)當(dāng)白根據(jù)信息系統(tǒng)建耙設(shè)整體規(guī)劃提出吧分階段項目的建版設(shè)方案，明確建岸設(shè)目標(biāo)、人員配埃備、職責(zé)分工、癌經(jīng)費保障和進度絆安排等相關(guān)內(nèi)容稗，按照規(guī)定的權(quán)壩限和程序?qū)徟蟀雽嵤０坏诙?，企業(yè)可以埃采用標(biāo)準(zhǔn)的項目敖管理軟件制定項柏目計劃，并加以版跟蹤。在關(guān)鍵環(huán)芭節(jié)進行階段性評懊審，以保證過程斑可控。柏第三，項目關(guān)鍵襖環(huán)節(jié)編制的文檔阿應(yīng)參照GB8癌56788計巴算機軟件產(chǎn)品開翱發(fā)文件編制指南唉等相關(guān)國家標(biāo)扳準(zhǔn)和行業(yè)標(biāo)準(zhǔn)進澳行，以提高項目傲計劃編制水平。芭 擺2需求分析環(huán)芭節(jié)需求分析的目挨的是明確信息系半統(tǒng)需要實現(xiàn)哪些唉功能。耙該項工作是系統(tǒng)跋分析人員和用戶澳單位的管理人員傲、業(yè)務(wù)人員在深皚入調(diào)

11、查的基礎(chǔ)上絆，詳細描述業(yè)務(wù)笆活動涉及的邦各項工作以及用稗戶的各種需求，伴建立未來目標(biāo)系岸統(tǒng)的邏輯模型。把這一環(huán)節(jié)的主要背風(fēng)險是：俺第一，需求本身捌不合理，對信息百系統(tǒng)提出的功能伴、性能、安全性翱等方面的要求不扳符合業(yè)務(wù)處理和按控制的需要。百第二，技術(shù)上不霸可行、經(jīng)濟上成挨本效益倒掛，或矮與國家有關(guān)法規(guī)盎制度存在沖突。絆第三，需求文檔佰表述不準(zhǔn)確、不皚完整，未能真實拔全面地表達企業(yè)背需求，存在表述安缺失、表述不一扒致甚至表述錯誤拜等問題。 主要控制措施：捌第一，信息系統(tǒng)翱歸口管理部門應(yīng)埃當(dāng)組織企業(yè)內(nèi)部昂各有關(guān)部門提出叭開發(fā)需求，加強班系統(tǒng)分析人員和挨有關(guān)部門的管理拔人員、業(yè)務(wù)人員斑的交流，經(jīng)綜合

12、靶分析提煉后形成佰合理的需求。扒第二，編制表述巴清晰、表達準(zhǔn)確敗的需求文檔。俺需求文檔是業(yè)務(wù)巴人員和技術(shù)人員俺共同理解信息系礙統(tǒng)的橋梁，必須骯準(zhǔn)確表述系統(tǒng)建拔設(shè)的目標(biāo)、功能稗和要求。版企業(yè)應(yīng)當(dāng)采用標(biāo)扒準(zhǔn)建模語言，綜版合運用多種建模奧工具和表現(xiàn)手段板，參照GB8捌56788計敗算機軟件產(chǎn)品開岸發(fā)文件編制指南藹等相關(guān)標(biāo)準(zhǔn)，版提高系統(tǒng)需求說艾明書的編寫質(zhì)量翱。礙第三，企業(yè)應(yīng)當(dāng)扮建立健全需求評巴審和需求變更控敗制流程。依據(jù)需案求文檔進行設(shè)計拌（含需求變更設(shè)邦計）前，應(yīng)當(dāng)評拌審其可行性，由板需求提出人和編班制人簽字確認，挨并經(jīng)業(yè)務(wù)部門與壩信息系統(tǒng)歸口管版理部門負責(zé)人審埃批。 拌3系統(tǒng)設(shè)計環(huán)澳節(jié)系統(tǒng)設(shè)計是

13、根凹據(jù)系統(tǒng)需求分析佰階段所確定的目愛標(biāo)系統(tǒng)邏輯模型板，設(shè)計出一個能傲在企業(yè)特定的計白算機和網(wǎng)絡(luò)環(huán)境霸中實現(xiàn)的方案，百即建立信息系統(tǒng)胺的物理模型。哎系統(tǒng)設(shè)計包括總稗體設(shè)計和詳細設(shè)芭計。芭總體設(shè)計的主要阿任務(wù)是：八第一，版設(shè)計系統(tǒng)的模塊邦結(jié)構(gòu)，合理劃分叭子系統(tǒng)邊界和接把口。皚第二，選擇系統(tǒng)昂實現(xiàn)的技術(shù)路線跋，確定系統(tǒng)的技盎術(shù)架構(gòu)，明確系胺統(tǒng)重要組件的內(nèi)叭容和行為特征，笆以及組件之間、矮組件與環(huán)境之間把的接口關(guān)系。敗第三，數(shù)據(jù)庫設(shè)捌計，包括主要的藹數(shù)據(jù)庫表結(jié)構(gòu)設(shè)安計、存儲設(shè)計、昂數(shù)據(jù)權(quán)限和加密襖設(shè)計等。耙第四，設(shè)計系統(tǒng)捌的網(wǎng)絡(luò)拓撲結(jié)構(gòu)擺、系統(tǒng)部署方式氨等。凹詳細設(shè)計的主要艾任務(wù)包括：程序隘說明書編制

14、、數(shù)笆據(jù)編碼規(guī)范設(shè)計胺、輸入輸出界面柏設(shè)計等內(nèi)容。頒系統(tǒng)設(shè)計環(huán)節(jié)的皚主要風(fēng)險是：拔第一，設(shè)計方案暗不能完全滿足用白戶需求，不能實澳現(xiàn)需求文檔規(guī)定絆的目標(biāo)。 矮第二，設(shè)計方案跋未能有效控制建罷設(shè)開發(fā)成本，不把能保證建設(shè)質(zhì)量阿和進度。 八第三，設(shè)計方案矮不全面，導(dǎo)致后鞍續(xù)變更頻繁。霸第四，設(shè)計方案俺沒有考慮信息系拔統(tǒng)建成后對企業(yè)哎內(nèi)部控制的影響暗，導(dǎo)致系統(tǒng)運行傲后衍生新的風(fēng)險跋。 主要控制措施：隘第一，系統(tǒng)設(shè)計艾負責(zé)部門應(yīng)當(dāng)就翱總體設(shè)計方案與半業(yè)務(wù)部門進行溝皚通和討論，說明按方案對用戶需求隘的覆蓋情況；存敖在備選方案的，埃應(yīng)當(dāng)詳細說明各扮方案在成本、建按設(shè)時間和用戶需岸求響應(yīng)上的差異拔；艾信息系統(tǒng)

15、歸口管襖理部門和業(yè)務(wù)部版門應(yīng)當(dāng)對選定的耙設(shè)計方案予以書扒面確認。皚第二，企業(yè)應(yīng)參盎照GB856笆788計算機哀軟件產(chǎn)品開發(fā)文愛件編制指南等搬相關(guān)國家標(biāo)準(zhǔn)和叭行業(yè)標(biāo)準(zhǔn)，提高氨系統(tǒng)設(shè)計說明書佰的編寫質(zhì)量。 矮第三，企業(yè)應(yīng)建暗立設(shè)計評審制度版和設(shè)計變更控制癌流程。熬第四，在系統(tǒng)設(shè)般計時應(yīng)當(dāng)充分考安慮信息系統(tǒng)建成俺后的控制環(huán)境，班將生產(chǎn)經(jīng)營管理氨業(yè)務(wù)流程、關(guān)鍵白控制點和處理規(guī)岸程嵌入系統(tǒng)澳程序，實現(xiàn)手工藹環(huán)境下難以實現(xiàn)巴的控制功能。扳第五，應(yīng)充分考伴慮信息系統(tǒng)環(huán)境頒下的新的控制風(fēng)八險，比如，要通絆過信息系統(tǒng)中的挨權(quán)限管理功能控辦制用戶的操作權(quán)哎限，避免將不相敗容職務(wù)的處理權(quán)壩限授予同一用戶拔。白第六，

16、應(yīng)當(dāng)針對敖不同的數(shù)據(jù)輸入礙方式，強化對進皚入系統(tǒng)數(shù)據(jù)的檢拜查和校驗功能。礙比如，憑證的自阿動平衡校對。靶第七，系統(tǒng)設(shè)計罷時應(yīng)當(dāng)考慮在信瓣息系統(tǒng)中設(shè)置操氨作日志功能，確佰保操作的可審計埃性。對搬異常的或者違背搬內(nèi)部控制要求的扳交易和數(shù)據(jù)，應(yīng)敖當(dāng)設(shè)計系統(tǒng)自動唉報告并跟蹤處理岸機制。挨第八，預(yù)留必要熬的后臺操作通道捌，對于必需的后盎臺操作，應(yīng)當(dāng)加笆強管理，建立規(guī)俺范的操作流程，藹確保足夠的日志熬記錄，保證對后笆臺操作的可監(jiān)控伴性。 皚4編程和測試擺環(huán)節(jié)編程階段是氨將詳細設(shè)計方案傲轉(zhuǎn)換成某種計算凹機編程語言的過矮程。哎編程階段完成之跋后，要進行測試吧，測試主要有以案下目的：敗一是發(fā)現(xiàn)軟件開啊發(fā)過程中的

17、錯誤拜，分析錯誤的性半質(zhì)，確定錯誤的八位置并予以糾正澳。霸二是通過某些系骯統(tǒng)測試，了解系啊統(tǒng)的響應(yīng)時間、暗事務(wù)處理吞吐量板、載荷能力、失挨效恢復(fù)能力以及般系統(tǒng)實用性等指安標(biāo)，以便對整個阿系統(tǒng)做出綜合評瓣價。測試環(huán)節(jié)的扳主要風(fēng)險是：笆編程結(jié)果與設(shè)計埃不符。安各程序員編程風(fēng)昂格差異大，程序版可讀性差，導(dǎo)致搬后期維護困難，拔維護成本高。靶缺乏有效的程序奧版本控制，導(dǎo)致阿重復(fù)修改或修改瓣不一致等問題。柏第四，測試不充扒分。單個模塊正癌常運行但多個模靶塊集成運行時出拔錯，開發(fā)環(huán)境下熬測試正常而生產(chǎn)礙環(huán)境下運行出錯把，開發(fā)人員自測盎正常而業(yè)務(wù)部門白用戶使用時出錯懊，導(dǎo)致系統(tǒng)上線半后可能出現(xiàn)嚴(yán)重皚問題。 主

18、要控制措施：氨第一，礙項目組應(yīng)建立并芭執(zhí)行嚴(yán)格的代碼傲復(fù)查評審制度。懊第二，項目組應(yīng)奧建立并執(zhí)行統(tǒng)一鞍的編程規(guī)范，在艾標(biāo)識符命名、程扒序注釋等方面統(tǒng)皚一風(fēng)格。 背第三，般應(yīng)使用版本控制擺軟件系統(tǒng)（例如安CVS），保證巴所有開發(fā)人員基俺于相同的組件環(huán)阿境開展項目工作背，協(xié)調(diào)開發(fā)人員岸對程序的修改。傲第四，應(yīng)區(qū)分單板元測試、組裝測埃試（集成測試）伴、系統(tǒng)測試、驗挨收測試等不同測擺試類型，建立嚴(yán)耙格的測試工作流癌程，提高最終用按戶在測試工作中百的參與程度，改艾進測試用例的編稗寫質(zhì)量，加強測哀試分析，盡量采般用自動測試工具安提高測試工作的盎質(zhì)量和效率。骯第五，柏具備條件的企業(yè)愛，應(yīng)當(dāng)組織獨立叭于開發(fā)建

19、設(shè)項目罷組的專業(yè)機構(gòu)對傲開發(fā)完成的信息岸系統(tǒng)進行驗收測八試，確保在功能般、性能、控制要阿求和安全性等方礙面符合開發(fā)需求奧。 熬5上線環(huán)節(jié)系熬統(tǒng)上線是將開發(fā)拔出的系統(tǒng)（可執(zhí)扒行的程序和關(guān)聯(lián)礙的數(shù)據(jù)）部署到藹實際運行的計算拜機環(huán)境中，使信頒息系統(tǒng)按照既定礙的用戶需求來運跋轉(zhuǎn)，切實發(fā)揮信翱息系統(tǒng)的作用。熬這一環(huán)節(jié)的主要唉風(fēng)險是：襖第一，柏缺乏完整可行的拔上線計劃，導(dǎo)致挨系統(tǒng)上線混亂無俺序。背第二，人員培訓(xùn)柏不足，不能正確哎使用系統(tǒng)，導(dǎo)致艾業(yè)務(wù)處理錯誤，搬或者未能充分利礙用系統(tǒng)功能，導(dǎo)辦致開發(fā)成本浪費凹。拔第三，初始數(shù)據(jù)愛準(zhǔn)備設(shè)置不合格搬，導(dǎo)致新舊系統(tǒng)哎數(shù)據(jù)不一致、業(yè)芭務(wù)處理錯誤。 主要控制措施：熬第

20、一，企業(yè)應(yīng)當(dāng)版制定信息系統(tǒng)上斑線計劃，并經(jīng)歸岸口管理部門和用板戶部門審核批準(zhǔn)芭。吧上線計劃一般包板括人員培訓(xùn)、數(shù)襖據(jù)準(zhǔn)備、進度安懊排、應(yīng)急預(yù)案等靶內(nèi)容。絆第二，系扳統(tǒng)上線涉及新舊俺系統(tǒng)切換的，企案業(yè)應(yīng)當(dāng)在上線計芭劃中辦明確應(yīng)急預(yù)案，斑保證新系統(tǒng)失效挨時能夠順利切換扳回舊系統(tǒng)。癌第三，系統(tǒng)上線澳涉及數(shù)據(jù)遷移的巴，企業(yè)應(yīng)當(dāng)制定礙詳細的數(shù)據(jù)遷移敗計劃，并對遷移扳結(jié)果進行測試。癌 爸用戶部門應(yīng)當(dāng)參皚與數(shù)據(jù)遷移過程霸，對遷移前后的稗數(shù)據(jù)予以書面確礙認。 扳（四）其他開發(fā)癌方式的關(guān)鍵控制笆點和主要控制措熬施下面介紹其他邦開發(fā)方式（業(yè)務(wù)耙外包、外購調(diào)試稗）的關(guān)鍵控制點班和主要控制措施傲。 背在業(yè)務(wù)外包、外稗

21、購調(diào)試方式下，唉需要采取有針對巴性的控制措施。藹 敗1業(yè)務(wù)外包方暗式的關(guān)鍵控制點皚和主要控制措施俺（1）選擇外包奧服務(wù)商的主要風(fēng)柏險是：由于企業(yè)稗與外包服務(wù)商之艾間本質(zhì)上是一種叭“百委托敖唉代理案”按關(guān)系,合作雙方爸的信息不對稱容稗易誘發(fā)道德風(fēng)險芭，外包服務(wù)商可鞍能會實施損害企邦業(yè)利益的自利行扳為,如偷工減料愛、放松管理、信八息泄密等。 主要控制措施：拔第一，企業(yè)在選熬擇外包服務(wù)商時白要充分考慮服務(wù)暗商的市場信譽、背資質(zhì)條件、財務(wù)矮狀況、服務(wù)能力擺、對本企業(yè)業(yè)務(wù)百的熟悉程度、既伴往承包服務(wù)成功捌案例等因素,對昂外包服務(wù)商進行阿嚴(yán)格篩選。扒第二，企業(yè)可以俺借助外包業(yè)界基襖準(zhǔn)來判斷外包服般務(wù)商的綜

22、合實力凹。澳第三，企業(yè)要嚴(yán)哀格外包服務(wù)審批佰及管控流程,對半信息系統(tǒng)外包業(yè)背務(wù)，原則上應(yīng)采盎用公開招標(biāo)等形氨式選擇外包服務(wù)柏商，并實行集體岸決策審批。 按（2）頒簽訂外包合同巴這一環(huán)節(jié)的主要哀風(fēng)險是：由于合胺同條款不準(zhǔn)確、傲不完善，可能導(dǎo)把致企業(yè)的正當(dāng)權(quán)藹益無法得到有效敗保障。 主要控制措施：霸第一，企業(yè)在與岸外包服務(wù)商簽約骯之前,應(yīng)針對外吧包可能出現(xiàn)的各百種風(fēng)險損失,恰擺當(dāng)擬定合同條款板,對涉及的工作背目標(biāo)、合作范疇吧、責(zé)任劃分、所捌有權(quán)歸屬、付款哎方式、違約賠償暗及合約期限等問癌題做出詳細說明按,并由法律部門哎或法律顧問審查奧把關(guān)。阿第二，開發(fā)過程絆中涉及商業(yè)秘密暗、敏感數(shù)據(jù)的，般企業(yè)應(yīng)當(dāng)

23、與外包佰服務(wù)商簽訂詳細熬的阿“拌保密協(xié)定安”背，以保證數(shù)據(jù)安吧全。絆第三，在合同中跋約定付款事宜時扒,應(yīng)當(dāng)選擇分期阿付款方式，尾款案應(yīng)當(dāng)在系統(tǒng)運行襖一段時間并經(jīng)評頒估驗收后再支付熬。礙第四，應(yīng)在合同澳條款中明確要求礙外包服務(wù)商保持俺專業(yè)技術(shù)服務(wù)團隘隊的穩(wěn)定性。 稗（3）持續(xù)跟蹤拜評價外包服務(wù)商凹的主要風(fēng)險是：搬企業(yè)缺乏外包服按務(wù)跟蹤評價機制佰或跟蹤評價不到敖位，可能導(dǎo)致外板包服務(wù)質(zhì)量水平半不能滿足企業(yè)信捌息系統(tǒng)開發(fā)需求頒。 主要控制措施：靶第一，企業(yè)應(yīng)當(dāng)罷規(guī)范外包服務(wù)評癌價工作流程，明挨確相關(guān)部門的職胺責(zé)權(quán)限，建立外頒包服務(wù)質(zhì)量考核傲評價指標(biāo)體系，骯定期對外包服務(wù)挨商進行考評,公俺布服務(wù)周期的

24、評辦估結(jié)果,現(xiàn)對外凹包服務(wù)水平的跟哀蹤評價。伴第二，必要時，俺可以引入監(jiān)理機柏制，降低外包服巴務(wù)風(fēng)險。 疤2外購調(diào)試方凹式的關(guān)鍵控制點傲和主要控制措施哀在外購調(diào)試方式盎：版（1）奧軟件產(chǎn)品選型和疤供應(yīng)商選擇在外挨購調(diào)試方式下哎的主要風(fēng)險是：哀第一，軟件產(chǎn)品阿選型不當(dāng)，產(chǎn)品氨在功能、性能、擺易用性等方面無笆法滿足企業(yè)需求扒。伴第二，軟件供應(yīng)敖商選擇不當(dāng)，產(chǎn)八品的支持服務(wù)能爸力不足，產(chǎn)品的氨后續(xù)升級缺乏保耙障。 主要控制措施：搬第一，企業(yè)應(yīng)明敗確自身需求，對癌比分析市場上的愛成熟軟件產(chǎn)品，骯合理選擇軟件產(chǎn)扳品的模塊組合和板版本。吧第二，企業(yè)在進霸行軟件產(chǎn)品選型案時應(yīng)廣泛聽取行凹業(yè)專家的意見。爸第三

25、，企業(yè)在選伴擇軟件產(chǎn)品和服胺務(wù)供應(yīng)商時，不八僅要評價其現(xiàn)有奧產(chǎn)品的功能、性凹能，還要考察其暗服務(wù)支持能力和捌后續(xù)產(chǎn)品的升級昂能力。 柏（2）服務(wù)提供埃商選擇大型企業(yè)敖管理信息系統(tǒng)（邦例如ERP系統(tǒng)拔）的外購實施的哀主要風(fēng)險是：服般務(wù)提供商選擇不疤當(dāng)，削弱了外購盎軟件產(chǎn)品的功能伴發(fā)揮，導(dǎo)致無法懊有效滿足用戶需耙求。 阿主要控制措施：般在選擇服務(wù)提供拔商時，不僅要考哀核其對軟件產(chǎn)品佰的熟悉、理解程胺度，也要考核其辦是否深刻理解企熬業(yè)所處行業(yè)的特埃點、是否理解企跋業(yè)的個性化需求安、是否有過相同傲或相近的成功案疤例。 擺三、信息系統(tǒng)的傲運行與維護 把信息系統(tǒng)的運行翱與維護主要包含罷三方面的內(nèi)容：鞍日常

26、運行維護、佰系統(tǒng)變更和安全拜管理。 哎（一）日常運行稗維護的關(guān)鍵控制班點和主要控制措把施日常運行維護半的目標(biāo)是保證系熬統(tǒng)正常運轉(zhuǎn)，主俺要工作內(nèi)容包括爸系統(tǒng)的日常操作岸、系統(tǒng)的日常巡把檢和維修、系統(tǒng)邦運行狀態(tài)監(jiān)控、伴異常事件的報告懊和處理等。這一案環(huán)節(jié)的主要風(fēng)險白是：八第一，沒有建立半規(guī)范的信息系統(tǒng)耙日常運行管理規(guī)昂范，計算機軟硬礙件的內(nèi)在隱患易翱于爆發(fā)，可能導(dǎo)拜致企業(yè)信息系統(tǒng)挨出錯。昂第二，沒有執(zhí)行癌例行檢查，導(dǎo)致艾一些人為惡意攻昂擊會長期隱藏在哀系統(tǒng)中，可能造板成嚴(yán)重損失。板第三，企業(yè)信息哀系統(tǒng)數(shù)據(jù)未能定壩期備份，可能導(dǎo)白致?lián)p壞后無法恢稗復(fù)，從而造成重般大損失。 主要控制措施：耙第一，企業(yè)應(yīng)

27、制氨定信息系統(tǒng)使用安操作程序、信息耙管理制度以及各百模塊子系統(tǒng)的具叭體操作規(guī)范，及靶時跟蹤、發(fā)現(xiàn)和白解決系統(tǒng)運行中拜存在的問題，確哎保信息系統(tǒng)按照罷規(guī)定的程序、制稗度和操作規(guī)范持藹續(xù)穩(wěn)定運行。拜第二，切實做好佰系統(tǒng)運行記錄，背尤其是對于系統(tǒng)唉運行不正?；驘o吧法運行的情況，班應(yīng)對異常現(xiàn)象發(fā)邦生時間和可能的百原因作出詳細記爸錄。擺第三，企業(yè)要重邦視系統(tǒng)運行的日按常維護，在硬件跋方面，日常維護襖主要包括各種設(shè)敖備的保養(yǎng)與安全礙管理、故障的診捌斷與排除、易耗霸品的更換與安裝扳等，這些工作應(yīng)巴由專人負責(zé)。阿第四，配備專業(yè)壩人員負責(zé)處理信襖息系統(tǒng)運行中的盎突發(fā)事件，必要皚時應(yīng)會同系統(tǒng)開暗發(fā)人員或軟硬件半供

28、應(yīng)商共同解決拌。 矮（二）系統(tǒng)變更哀的關(guān)鍵控制點和拔主要控制措施系隘統(tǒng)變更主要包括邦硬件的升級擴容頒、軟件的修改與靶升級等。系統(tǒng)變懊更是為了更好地吧滿足企業(yè)需求，藹但同時應(yīng)加強對頒變更申請、變更俺成本與進度的控扳制。這一環(huán)節(jié)的澳主要風(fēng)險是：笆第一，企業(yè)沒有胺建立嚴(yán)格的變更傲申請、審批、執(zhí)扳行、測試流程，安導(dǎo)致系統(tǒng)隨意變凹更。藹第二，系統(tǒng)變更癌后的效果達不到按預(yù)期目標(biāo)。 主要控制措施：捌第一，企業(yè)應(yīng)當(dāng)扮建立標(biāo)準(zhǔn)流程來澳實施和記錄系統(tǒng)擺變更，保證變更百過程得到適當(dāng)?shù)陌剖跈?quán)與管理層的按批準(zhǔn)，并對變更翱進行測試。拜信息系統(tǒng)變更應(yīng)百當(dāng)嚴(yán)格遵照管理辦流程進行操作。八信息系統(tǒng)操作人絆員不得擅自進行盎軟件的刪

29、除、修瓣改等操作；不得胺擅自升級、改變絆軟件版本；不得奧擅自改變軟件系癌統(tǒng)的環(huán)境配置。挨第二，系統(tǒng)變更跋程序(如軟件升稗級)需要遵循與霸新系統(tǒng)開發(fā)項目襖同樣的驗證和測唉試程序，必要時把還應(yīng)當(dāng)進行額外八測試。藹企業(yè)應(yīng)加強緊急伴變更的控制管理暗。斑第四，企業(yè)應(yīng)加壩強對將變更移植把到生產(chǎn)環(huán)境中的頒控制管理，包括百系統(tǒng)訪問授權(quán)控凹制、數(shù)據(jù)轉(zhuǎn)換控稗制、用戶培訓(xùn)等癌。 叭（三）安全管理巴的關(guān)鍵控制點和扒主要控制措施安搬全管理的目標(biāo)是昂保障信息系統(tǒng)安板全，信息系統(tǒng)安頒全是指信息系統(tǒng)版包含的所有硬件奧、軟件和數(shù)據(jù)受般到保護，不因偶藹然和惡意的原因艾而遭到破壞、更唉改和泄漏，信息叭系統(tǒng)能夠連續(xù)正絆常運行。這一環(huán)

30、礙節(jié)的主要風(fēng)險是柏：襖第一，硬件設(shè)備艾分布物理范圍廣瓣，設(shè)備種類繁多扳，安全管理難度般大，可能導(dǎo)致設(shè)昂備生命周期短。扮第二，業(yè)務(wù)部門敖信息安全意識薄扒弱，對系統(tǒng)和信安息安全缺乏有效半的監(jiān)管手段。少隘數(shù)員工可能惡意昂或非惡意濫用系背統(tǒng)資源，造成系疤統(tǒng)運行效率降低耙。背第三，對系統(tǒng)程癌序的缺陷或漏洞拔安全防護不夠，靶導(dǎo)致遭受黑客攻啊擊，造成信息泄愛露。案第四，對各種計案算機病毒防范清斑理不力，導(dǎo)致系哎統(tǒng)運行不穩(wěn)定甚襖至癱瘓。第五，礙缺乏對信息系統(tǒng)愛操作人員的嚴(yán)密半監(jiān)控，可能導(dǎo)致笆舞弊和利用計算按機犯罪。 氨主要控制措施是稗：礙第一，建立信息絆系統(tǒng)相關(guān)資產(chǎn)的叭管理制度，保證襖電子設(shè)備的安全鞍。硬件和

31、網(wǎng)絡(luò)設(shè)扮備不僅是信息系半統(tǒng)運行的基礎(chǔ)載扳體，也是價值昂哀貴的固定資產(chǎn)。辦企業(yè)應(yīng)在健全設(shè)盎備管理制度的基敗礎(chǔ)上，建立專門巴的電子設(shè)備管控頒制度，對于關(guān)鍵搬信息設(shè)備，未經(jīng)拜授權(quán)，不得接觸八。 跋第二，企業(yè)應(yīng)成半立專門的信息系阿統(tǒng)安全管理機構(gòu)愛，由企業(yè)主要領(lǐng)版導(dǎo)負總責(zé)，對企埃業(yè)的信息安全作鞍出總體規(guī)劃和全叭方位嚴(yán)格管理，俺具體實施工作可按由企業(yè)的信息主邦管部門負責(zé)。企背業(yè)應(yīng)強化全體員案工的安全保密意跋識，昂特別要對重要崗襖位員工進行信息背系統(tǒng)安全保密培版訓(xùn)，并簽署安全班保密協(xié)議。 俺企業(yè)應(yīng)當(dāng)建立信頒息系統(tǒng)安全保密澳制度和泄密責(zé)任骯追究制度。哀 絆第三，企業(yè)應(yīng)當(dāng)挨按照國家相關(guān)法跋律法規(guī)以及信息奧安全技

32、術(shù)標(biāo)準(zhǔn)，拌制定信息系統(tǒng)安礙全實施細則。 芭根據(jù)業(yè)務(wù)性質(zhì)、隘重要程度、涉密擺情況等確定信息哎系統(tǒng)的安全等級班，建立不同等級扮信息的授權(quán)使用芭制度，采用相應(yīng)癌技術(shù)手段保證信叭息系統(tǒng)運行安全跋有序。對于信息板系統(tǒng)的使用者和吧不同安全等級信愛息之間的授權(quán)關(guān)氨系，應(yīng)在系統(tǒng)開班發(fā)建設(shè)階段就形斑成方案并加以設(shè)奧計，在軟件系統(tǒng)扒中預(yù)留這種對應(yīng)壩關(guān)系的設(shè)置功能哀，以便根據(jù)使用扮者崗位職務(wù)的變敗遷進行調(diào)整。 阿企業(yè)應(yīng)當(dāng)有效利敖用IT技術(shù)手段頒，對硬件配置調(diào)扮整、軟件參數(shù)修拌改嚴(yán)加控制。氨企業(yè)可利用操作熬系統(tǒng)、數(shù)據(jù)庫系澳統(tǒng)、應(yīng)用系統(tǒng)提八供的安全機制，疤設(shè)置安全參數(shù)，傲保證系統(tǒng)訪問安盎全；對于重要的扒計算機設(shè)備，企阿

33、業(yè)應(yīng)當(dāng)利用技術(shù)半手段防止員工擅百自安裝、卸載軟愛件或者改變軟件奧系統(tǒng)配置，并定按期對上述情況進敗行檢查。 把第五，企業(yè)委托阿專業(yè)機構(gòu)進行系柏統(tǒng)運行與維護管矮理的，應(yīng)當(dāng)嚴(yán)格凹審查其資質(zhì)條件板、市場聲譽和信懊用狀況等，并與巴其簽訂正式的服奧務(wù)合同和保密協(xié)佰議。 暗第六，企業(yè)應(yīng)當(dāng)盎采取安裝安全軟挨件等措施防范信拜息系統(tǒng)受到病毒阿等惡意軟件的感拔染和破壞。企業(yè)伴應(yīng)當(dāng)特別注重加班強對服務(wù)器等關(guān)啊鍵部位的防護；斑對于存在網(wǎng)絡(luò)應(yīng)巴用的企業(yè)，應(yīng)當(dāng)挨綜合利用防火墻襖、路由器等網(wǎng)絡(luò)藹設(shè)備，采用內(nèi)容斑過濾、漏洞掃描鞍、入侵檢測等軟背件技術(shù)加強網(wǎng)絡(luò)案安全，嚴(yán)密防范稗來自互聯(lián)網(wǎng)的黑昂客攻擊和非法侵八入。叭對于通過互聯(lián)網(wǎng)傲傳輸?shù)纳婷芑蛘甙魂P(guān)鍵業(yè)務(wù)數(shù)據(jù)，扒企業(yè)應(yīng)當(dāng)采取必百要的技術(shù)手段確絆保信息傳遞的保凹密性、準(zhǔn)確性、靶完整性。 熬第七，企業(yè)應(yīng)當(dāng)盎建立系統(tǒng)數(shù)據(jù)定胺期備份制度