公司内部控制手册通用计算机控制管理
PAGE\*MERGEFORMAT18

公司内部控制手册通用计算机控制管理




通用计算机控制管理流程
通用计算机控制管理流程

一、流程概览


二、不兼容职责表
ABCDEFA×××××B××××C××DEF“×”表示不相兼容的职责

附注
开发人员
最终用户
计算机操作人员
数据库管理员
系统管理员
安全管理员







第一节：信息资源规划

1.流程综述
本流程描述了**公司针对信息系统规划执行的相关控制，确保信息系统的战略、规划和预算与实体业务和战略目标保持一致。

2.相关部门涉及的职责
系统主管部门：负责承担公司信息化发展战略的规划，具体信息基础架构及系统的建设、运维、信息安全及开发变更的管理职能，具体包括
公司信息化建设的整体规划及阶段实施方案的制订，信息化建设项目的立项审批，信息系统硬件设备的采购，并对用于信息化建设的资金提出
使用意见。

3.流程图
无。


4.风险控制矩阵
风险编号风险控制目标编号控制目标控制活动编号控制活动控制活动责任部门相关制度相关报告或表单HJGC-GC-RI-101缺乏信息系统建设规划、规划不合理或未能制定及核准信息系统的长期及短期预算，导致系统建设无法满足业务需要，或造成信息孤岛或重复建设，导致不能满足企业经营管理需要或企业经营管理效率低下。HJGC-GC-CO-101信息系统的规划和预算与实体业务和战略目标保持一致。HJGC-GC-CA-101年度信息系统建设计划
系统主管部门应在每年工作计划中明确第二年的信息系统安排，如涉及相关计划和安排，应编制信息化建设项目方案及制定信息建设预算。系统主管部门无年度信息系统建设计划HJGC-GC-CA-102信息化建设项目方案的拟定与审批
系统主管部门根据年度计划提出信息化项目建设方案，明确建设目标、人员配备、经费保障和进度安排等相关内容，按照规定的权限和程序审批后由系统主管部门牵头相关业务部门实施。系统主管部门无项目建设方案HJGC-GC-CA-103信息化建设预算的制定与审批
根据信息化年度计划，系统主管部门负责制定相应信息化建设预算，按照规定的权限和程序审批后，递交计划财务部纳入公司全面预算范围。系统主管部门无信息化预算年度预算5.相关制度
制度名称生效日期无
6.相关报告/表单
年度信息系统建设计划
项目建设方案
信息化预算年度预算





第二节：系统开发与变更管理

1.流程综述
本流程主要包含信息系统的开发、变更及测试验收、数据迁移管理以及相关审批。

2.相关部门涉及的职责
系统主管部门：负责系统的规划及信息项目管理，包括系统开发、变更立项审批、开发测试过程管理与监督、上线审批等。具体系统使用部门
负责系统需求确认、系统开发实施过程中的业务流程指导、用户验收测试与确认等。

3.流程图
无。


4.风险控制矩阵
风险编号风险控制目标编号控制目标控制活动编号控制活动控制活动责任部门相关制度相关报告或表单HJGC-GC-RI-201信息系统开发变更没有严格遵循开发变更流程，可能导致系统在非受控的状态下被修改的风险。HJGC-GC-CO-201系统的购买、实施、开发、变更等均符合公司管理层的意愿及实际业务需要。HJGC-GC-CA-201系统采购和开发的核准机制
公司对所有购买或开发系统的议案进行核准，与开发商或系统供应商、实施商签订正式的服务合同。只有经批准的软件开发项目才能正式启动，根据规定的权限和流程履行审批手续。系统主管部门无无HJGC-GC-CA-202系统变更审批机制
公司系统主管部门提出系统变更需求，系统变更需求应经恰当的审批后实施。系统主管部门无系统变更需求文档HJGC-GC-RI-202系统未及时安装补丁或升级,导致可以利用系统漏洞对系统进行入侵,从而影响业务数据甚至影响整体业务运行。HJGC-GC-CO-202现有应用系统和数据库的必要修改均能及时实施。HJGC-GC-CA-203系统补丁更新管理
系统主管部门系统管理人员应及时安装补丁，跟踪软件商发布的补丁。系统主管部门无无HJGC-GC-RI-203信息系统变更未实施足够的测试计划，可能无法确保新系统功能得到恰当实施并符合管理层意愿。HJGC-GC-CO-203系统变更遵循正式的变更管理流程。HJGC-GC-CA-204系统变更的验收测试机制
系统变更上线前，系统主管部门应联系软件商进行用户验收测试，并及时处理测试中发现的问题，递交办公室进行备案。只有通过验收测试的变更可以发布至生产环境。系统主管部门无系统测试报告HJGC-GC-CA-205系统数据迁移管理
如系统变更涉及数据迁移的，由系统主管部门的系统管理员及业务部门共同对迁移结果进行检查，确保数据迁移的完整性和准确性。系统主管部门无无