梅雁吉祥:信息系统内部控制指引2017-08-15
广东梅雁吉祥水电股份有限公司
信息系统内部控制指引
第一章 总则
第一条 为促进广东梅雁吉祥水电股份有限公司(以下简称“公司”)增强信息系统的安
全性、可靠性和合理性以及相关信息的保密性、完整性和可用性,为建立有效的信息与沟通机
制提供支持保障,减少人为操纵因素,有效实施内部控制,提高公司现代化管理水平,根据有
关法律法规和《企业内部控制基本规范》、《企业内部控制应用指引第 18 号——信息系统》
的要求以及《公司章程》的规定,结合公司实际情况,制定本指引。
第二条 本指引适用于公司及控股子公司。
第三条 本指引所称信息系统,是指公司利用计算机和通信技术,对内部控制进行集成、
转化和提升所形成的信息化管理平台。
公司信息系统内部控制的主要对象是信息系统,由计算机硬件、软件、人员、信息流和运
行规程等要素组成。
第四条 公司利用信息系统实施内部控制至少应当关注下列风险:
(一)信息系统缺乏或规划不合理,可能造成信息孤岛或重复建设,导致公司经营管理效
率低下。
(二)系统开发不符合内部控制要求,授权管理不当,可能导致无法利用信息技术实施有
效控制。
(三)系统运行维护和安全措施不到位,可能导致信息泄漏或毁损,系统无法正常运行。
第五条 公司应当重视信息系统在内部控制中的作用,根据内部控制要求,结合组织架构、
业务范围、地域分布、技术能力等因素,制定信息系统建设总体规划,加大投入力度,有序组
织信息系统开发、运行与维护,优化管理流程,防范经营风险,全面提升公司现代化管理水平。
第六条 公司总经理对信息系统建设工作负责,指定专门机构对信息系统建设实施归口管
理,明确相关单位的职责权限,建立有效工作机制。公司可委托专业机构从事信息系统的开发、
1
�运行和维护工作。
第二章 信息系统的开发
第七条 公司应当根据发展战略制定信息系统开发的战略规划和中长期发展计划,在制定
信息化战略过程中,要充分调动和发挥信息系统归口管理部门与业务部门的积极性,使各部门
广泛参与,充分沟通,提高战略规划的科学性、前瞻性和适应性。
公司应当在每年根据发展战略制定经营计划的同时按需要制定年度信息系统建设计划,以
公司业务发展需要为导向进行信息系统建设,提出项目建设方案,明确建设目标、人员配备、
职责分工、经费保障和进度安排等相关内容,按照规定的权限和程序审批后实施,促进经营管
理活动与信息系统的协调统一。
公司信息系统归口管理部门应当组织内部各单位提出开发需求和关键控制点,规范开发流
程,明确系统设计、编程、安装调试、验收、上线等全过程的管理要求,严格按照建设方案、
开发流程和相关要求组织开发工作。
第八条 公司开发信息系统,可以采取自行开发、外购调试、业务外包等方式。选定外购
调试或业务外包方式的,应当采用公开招标等形式择优确定供应商或开发单位。
第九条 公司开发信息系统,应当将生产经营管理的业务流程、关键控制点、处理规则、
权限配置、预警指标、核算方法等嵌入系统程序,固化到信息系统中,实现手工环境下难以实
现的控制功能。
公司在系统开发过程中,应当按照不同业务的控制要求,通过信息系统中的权限管理功能
控制用户的操作权限,避免将不相容职责的处理权限授予同一用户。
公司应当针对不同数据的输入方式,考虑对进入系统数据的检查和校验功能。对于必需的
后台操作,应当加强管理,建立规范的流程制度,对操作情况进行监控或者审计。
公司应当在信息系统中设置操作日志功能,确保操作的可审计性。对异常的或者违背内部
控制要求的交易和数据,应当设计由系统自动报告并设置跟踪处理机制。
第十条 公司信息系统归口管理部门应当加强对信息系统开发项目的计划、需求分析、系
统设计、编程和测试、上线等环节的全过程跟踪管理,组织开发单位与内部各单位的日常沟通
2
�和协调,督促开发单位按照建设方案、计划进度和质量要求完成编程工作,对配备的硬件设备
和系统软件进行检查验收,组织系统上线运行等。
第十一条 编程工作完成后,公司应组织对信息系统进行测试,测试时应区分单元测试、
组装测试(集成测试)、系统测试、验收测试等不同测试类型,建立严格的测试工作流程,提
高最终用户在测试工作中的参与程度。
必要时,公司应当组织独立于开发单位的专业机构对开发完成的信息系统进行验收测试,
确保在功能、性能、控制要求和安全性等方面符合开发需求。
第十二条 公司应当制定信息系统上线计划,并经归口管理部门和用户部门审核批准。上
线计划一般应包括人员培训、数据准备、进度安排、应急预案等内容。
系统上线涉及新旧系统切换的,公司应当在上线计划中明确应急预案,保证新系统失效时
能够顺利切换回旧系统。
系统上线涉及数据迁移的,公司应当制定详细的数据迁移计划,并对迁移结果进行测试。
用户部门应当参与数据迁移过程,对迁移前后的数据予以书面确认。
3
�
