杭齿前进:内控制度-《信息系统》2018-04-11
杭州前进齿轮箱集团
类别 业务流程层面内部控制
股份有限公司
名称 应用手册-信息系统
版本号 V1.0 2018-03
1. 目的
为增强信息系统的安全性、可靠性、合理性,以及相关信息的保密性、完整性
与可用性,建立有效的信息沟通机制,减少人为操纵因素,有效实施内部控制,提
高公司现代化管理水平,根据国家有关法律法规、《企业内部控制基本规范》及公司
《企业层面内部控制-基本制度》,特制定本应用手册。
2. 适用范围
本应用手册适用于公司信息系统的建设、运行与维护管理,子公司参照执行。
3. 定义
3.1 子公司:是指被本公司控制的全资子公司和控股子公司。
3.2 信息系统:是指公司利用计算机和通信技术,对内部控制进行集成、转化和提
升所形成的信息化管理平台。信息系统内部控制的主要对象是信息系统,由计算机
硬件、软件、人员、信息流和运行管理标准等要素组成。
4. 职责与授权
4.1 组织架构
股东大会
投资评审小组 董事会
预算管理委员 总经理
会
重大合同评审 主管副总经理、总会计师
小朱会
应用部门 计划财务部 企业管理信息部 审计法务部 装备厂
1 / 13
� 杭州前进齿轮箱集团
类别 业务流程层面内部控制
股份有限公司
名称 应用手册-信息系统
版本号 V1.0 2018-03
公司信息系统管理组织架构如上。
4.2 职责分工
4.2.1 董事会
A. 批准公司信息化发展规划;
B. 批准公司年度信息化费用预算;
C. 授权董事长、总经理进行信息系统建设的决策实施;
D. 批准预算外重大信息系统项目立项申请。
4.2.2 董事长
A. 联签公司信息化发展规划;
B. 联签预算外重大信息系统项目立项申请;
C. 联签预算外重大信息系统项目付款申请。
4.2.3 总经理
A. 审核公司信息化发展规划;
B. 审核公司年度信息化费用预算;
C. 在授权范围内,审核或审批信息系统立项;
D. 在授权范围内,审批信息系统重大合同;
E. 在授权范围内,审批信息系统付款申请。
F. 组织协调信息系统建设中的重大事项。
4.2.4 投资评审小组
A.评审公司年度信息化费用预算;
B.评审重大信息系统项目的立项。
4.2.5 招标工作小组
A. 组织信息系统项目招标文件的编制与发布;
2 / 13
� 杭州前进齿轮箱集团
类别 业务流程层面内部控制
股份有限公司
名称 应用手册-信息系统
版本号 V1.0 2018-03
B. 组织信息系统招标项目的开标、评标、议标等工作。
4.2.6 预算管理委员会
A. 审核重大信息系统项目投资预算。
4.2.7 重大合同评审小组
A. 评审重大信息系统项目合同。
4.2.8 总会计师
A. 审核公司年度信息化费用预算;
B. 审核或批准信息系统招标申请;
C. 审签信息系统合同;
D. 在授权范围内,审核信息系统付款申请。
4.2.9 主管副总经理
A. 组织编制公司信息化发展规划;
B. 审核公司年度信息化费用预算;
C. 在授权范围内,审核或审批信息系统立项申请;
D. 审核或批准信息系统招标申请;
E. 审核或联签信息系统合同;
F. 审核信息系统付款申请;
G. 组织协调信息系统建设中的重要事项。
4.2.10 计划财务部
A. 审核信息系统合同;
B. 审核信息系统项目付款申请,按合同规定支付项目款项;
C. 参与信息系统项目的验收。
4.2.11 企业管理信息部
3 / 13
� 杭州前进齿轮箱集团
类别 业务流程层面内部控制
股份有限公司
名称 应用手册-信息系统
版本号 V1.0 2018-03
A. 负责编制年度信息系统建设计划及费用预算;
B. 依据公司业务需求,提出信息系统建设立项申请,组织信息系统项目的选型
与调研;
C. 办理信息系统项目招标申请;
D. 草拟、签订信息系统合同;
E. 负责信息系统的开发、实施、推广应用与日常维护、管理;
F. 依据合同及项目实施情况,提出信息系统项目支付款的申请;
G. 组织信息系统项目各阶段的验收;
H. 负责信息系统数据的备份管理;
I. 负责网络、服务器、交换机、终端电脑等的维护;
J. 负责防火墙、VPN、入侵检测等安全设备的维护;
K. 负责信息系统运行及使用情况的监督;
L. 负责对信息系统的使用者提供技术支持服务;
M. 根据业务及管理的需要负责进行信息系统的二次开发;
N. 负责对信息系统用户提供操作培训,提高用户使用信息系统的技能;
O. 负责制定信息系统管理制度及措施;
P. 负责建立、维护信息系统无形资产台账等。
4.2.12 审计法务部
A. 审查信息系统项目招标文件合同条款及协议。
4.2.13 装备厂
A. 参与信息系统项目的验收;
B. 负责建立、维护信息系统固定资产台账、档案及设备技术资料的管理。
4.2.14 应用部门
A. 参与信息系统项目建设,提出本部门信息系统业务需求;
4 / 13
� 杭州前进齿轮箱集团
类别 业务流程层面内部控制
股份有限公司
名称 应用手册-信息系统
版本号 V1.0 2018-03
B. 配合企业管理信息部负责信息系统在本部门的实施及推广应用;
C. 按规定的程序、制度及操作规范使用信息系统,完成日常业务及应用操作,
确保信息系统业务数据的及时性、准确性、完整性;
D. 负责职责范围内的信息系统基础数据维护;
E. 将信息系统使用过程中存在的问题及时反馈给企业管理信息部,以便及时
处理。
5 / 13
� 杭州前进齿轮箱集团
类别 业务流程层面内部控制
股份有限公司
名称 应用手册-信息系统
版本号 V1.0 2018-03
4.3 授权与审批权限
总会计师 企管
股东 预算管理 投资评 主管副总
项目 授权金额 董事会 董事长 总经理 (财务负 信息部 经办人员
大会 委员会 审小组 经理
责人) 主管领导
年度
批准 批准 审核 审核 评审 审核 审核 编制
信息化预算
预算内 100 万元以下 审批 审核 申请
预算内 100 万元及以上 审批 审核 审核 申请
项目
预算外 5 万元以下 审批 审批 审核 申请
立项
预算外 5 万元-100 万元 审批 审核 审核 审核 申请
预算外 100 万元及以上 联签 审批 评审 审核 审核 审核 申请
项目 5 万元-50 万元 审批 审批 审核 申请
招标 50 万元及以上 审批 审核 审核 审核 申请
合同
按照《内部控制应用手册——合同》4.3 授权与审批的规定执行
签订
预算内 30 万元以下 审批 审核 审核 申请
预算内 30 万元及以上 审批 审核 审核 审核 申请
付款
预算外 100 万元以下 审批 审核 审核 审核 申请
预算外 100 万元及以上 联签 审批 审核 审核 审核 申请
备注:预算外是指预算项目实施的总支出在年度预算总额之内,项目或项目实施内容根据公司实际发展需要有较大变化的情况。
6 / 13
� 杭州前进齿轮箱集团
类别 业务流程层面内部控制
股份有限公司
名称 应用手册-信息系统
版本号 V1.0 2018-03
5. 管理控制程序
5.1 信息化发展规划
公司主管副总经理组织相关部门,以企业发展战略为依据制订企业信息化发展规划,
提交公司管理层审批后,组织实施。
5.2 年度信息化计划及费用预算
每年 10 月底,企业管理信息部根据公司信息化发展规划,结合信息化现状编制下年
度的信息化建设计划及费用预算,按照“1.3 授权与审批权限”中列示的“年度信息化预
算”逐级审批后执行。
5.3 信息系统建设
5.3.1 项目立项申请
企业管理信息部根据公司信息化发展规划(年度计划)或业务部门提出的需求,会
同相关部门对信息系统建设项目的可行性进行调研、分析(必要时可引进外部机构做评
估分析),在此基础上提出信息系统立项申请。公司年度信息化费用预算内的项目,按“1.3
授权与审批权限”中列示的“项目立项”进行审批;年度信息化费用预算外的重大项目,
需经投资评审小组立项评估后,按“1.3 授权与审批权限”中列示的“项目立项”进行审
批。
5.3.2 项目实施
项目立项申请获批后,公司信息化主管副总经理组织成立相关部门组成的项目组,
由项目组开展项目的调研、选型等工作。信息系统项目实施须制订详细的项目实施方案,
并经主管副总经理批准。重大或重要项目选择外部合作单位配合执行,预算在 5 万元以
上的外部合作项目原则上实施招标。
5.3.2.1 招标流程
7 / 13
� 杭州前进齿轮箱集团
类别 业务流程层面内部控制
股份有限公司
名称 应用手册-信息系统
版本号 V1.0 2018-03
A. 由企业管理信息部提出信息系统项目招标申请,公司招标工作小组按照公司有关
招标管理制度组织招标。
B. 评标、议标结果按“1.3 授权与审批权限”中列示的“项目招标”程序进行审批。
5.3.2.2 合同签订与执行
A. 企业管理信息部根据招标文件的实质性内容,在规定期限内负责与中标单位订立
书面合同,明确双方的权力、义务和违约责任。
B. 企业管理信息部拟定合同后,按照内部控制《应用手册—合同》“4.3”的规定履
行相应的评审和审批程序。
C. 企业管理信息部负责项目合同签署授权文件及正式签署合同的存档,以便于合同
执行情况的跟踪与检查、合同档案管理及项目款项支付办理等事宜。
D. 合同签订后,中标单位须制订详细的项目实施方案与计划,经双方确认后按合同
规定执行信息系统项目的开发、安装、调试、培训、上线等实施工作。有新旧系
统切换的,在进行数据迁移时必须建立数据迁移计划并对迁移结果进行测试。企
业管理信息部负责项目全过程的跟踪管理,组织中标单位与公司内部各相关部门
进行详细需求调研、日常沟通和协调,监督、配合中标单位保质、高效地完成项
目建设工作。
E. 合同执行过程中,如遇信息系统项目需求变更,则由需求部门提出书面申请,经
部门主管领导审核、企业管理信息部主管领导(重大变更由公司信息化主管副总
经理)批准后方可实施。
5.3.2.3 项目验收
A. 信 息 系 统 建 设 项 目 达 到 阶 段 性 预 定 目 标 后 , 由 企业管理信息部组 织 验 收
组进行阶段性验收。重大项目可同时聘请具备相关资质的外部独立单
位参与验收。
8 / 13
� 杭州前进齿轮箱集团
类别 业务流程层面内部控制
股份有限公司
名称 应用手册-信息系统
版本号 V1.0 2018-03
B. 验 收 组 现 场 操 作 、 试 用 信 息 系 统 , 并 填 写 阶 段 性 验 收 报 告 , 验 收 报 告
须经验收组组长及成员签字确认。
C. 计 划 财 务 部 根 据 验 收 报 告 和 合 同 , 支 付 阶 段 进 度 款 。
D. 信 息 系 统 正 式 运 行 前 须 经 各 应 用 部 门 操 作 、 试 运 行 至 少 三 个 月 ( 或 根
据合同规定的试行期限),各应用部门须向企业管理信息部及时反馈
试 运 行 中 出 现 的 问 题 ,企 业 管 理 信 息 部 将 各 部 门 反 馈 的 问 题 进 行 整 理 、
汇总,并提交合作单位及时改进、完善。试运行结束后,企业管理信
息部组织项目终验收。若终验收合格,企业管理信息部按合同向计划
财务部申请支付相应款项;若终验收不合格,则要求合作单位制订改
进措施,并组织落实。
E. 信息系统项目实施完成后,企业管理信息部及时将与项目相关的资料进行归档。
5.4 信息系统运行与维护
5.4.1 信息系统日常维护
A. 企 业 管 理 信 息 部 负 责 信 息 系 统 操 作 手 册 、 规 范 、 管 理 制 度 的 编 制 , 并
及时跟踪、发现和解决系统运行中出现的问题,确保信息系统按照规
定的程序、制度和操作规范持续稳定运行。
B. 企 业 管 理 信 息 部 信 息 系 统 管 理 员 负 责 信 息 系 统 的 日 常 维 护 与 管 理 , 当
信息系统发生故障时,须及时处理,解决故障问题。必要时寻求信息
系统供应商或服务商帮助解决,并对故障现象、发生时间及发生的原
因及处理方法作出详细记录。
C. 企 业 管 理 信 息 部 网 络 管 理 员 负 责 信 息 系 统 各 硬 件 系 统 的 保 养 、 安 全 管
理、故障诊断与排除、易耗品的更换与安装等,保证设备正常运行。
D. 信息系统使用人员不能从事信息系统的开发、程序修改及维护工作,也不能进入
数据库修改数据;信息系统管理员不能从事信息系统应用操作。
9 / 13
� 杭州前进齿轮箱集团
类别 业务流程层面内部控制
股份有限公司
名称 应用手册-信息系统
版本号 V1.0 2018-03
E. 信息系统使用严格的授权控制,开发人员、维护人员及使用人员的权限需经过企
业管理信息部主管领导及公司主管副总经理的审批,并确保在满足功能使用的前
提下权限最小化。
5.4.2 信 息 系 统 变 更 管 理
A. 企业管理信息部负责公司信息系统的升级管理,软件大版本升级需经过测试、验
证后方可运行。
B. 信息系统使用人员不得擅自进行软件删除、修改等操作;不得擅自升级、改变软
件版本;不得擅自改变软件系统的环境配置。
5.4.3 信息系统安全管理
A. 公司建立信息系统安全应急预案,对信息系统安全突发事件进行应急处理。公司
总经理对信息系统的安全负全面领导责任,主管副总经理对信息系统的安全负具
体领导责任,企业管理信息部负责信息系统安全措施的落实,以及日常监督、排
查与处理。
B. 公司建立信息系统安全保密及泄密责任追究制度,对公司重要岗位员工进行信息
系统安全保密培训,并签署安全保密协议。
C. 对于委托专业机构进行信息系统运维管理的,企业管理信息部对其资质条件、市
场声誉和信用状况等进行严格的审查,并负责与其签订正式的服务合同和保密协
议。
D. 公司建立计算机机房管理制度,对进出机房、机房设备、机房环境等进行严格的
管控。
(1) 机房设立专门的管理员,无关人员严禁入内,确保不会因为人为因素造成
数据丢失、设备被盗、设备被滥用等问题的发生。特殊情况下第三方人员因工作
需要必须进入机房的,须经企业管理信息部主管领导批准,并在机房管理员的陪
同下进行操作,未经许可不得擅自对设备进行任何操作。同时做好出入机房的登
记记录。
10 / 13
� 杭州前进齿轮箱集团
类别 业务流程层面内部控制
股份有限公司
名称 应用手册-信息系统
版本号 V1.0 2018-03
(2) 机房作为硬件设备的重要环境,除了做好防雷、防静电、防火、防电磁辐
射等控制外,机房管理员每日巡查一次机房,对机房温度、湿度、UPS 电源工
作情况进行监控,确保机房安全,避免因机房原因造成数据丢失。
(3) 服务器、交换机、防火墙、存储设备等是信息系统运行的关键硬件设备,
依据配置管理的要求,建立明确的配置项,未经许可不得随意更改设备的配置项,
以保证硬件设备的良好运转,避免由于硬件原因造成数据丢失等问题的发生。
E. 公司建立网络安全控制机制,在外部网络边界处安装高性能硬件防火墙,并设置
严格的访问策略,将绝大部分外网攻击阻挡在门外; 在外网入口内安装入侵检测
系统,实时监测可能的攻击行为,实现绝大多数攻击行为的可审查性。
F. 公司对电脑终端接入互联网实施严格的控制,终端电脑由上网管理软件通过账号、
密码登录后,方能入网。
G. 公司建立信息安全管理制度,对信息系统用户账号密码、病毒防范、数据备份等
进行严格的管控。
(1) 对信息系统帐号、密码及安全访问进行控制。所有信息系统均带身份认证,
操作人员须录入用户名、密码才能访问系统,并依据设定的权限,处理权限范围
内的相关事务。企业管理信息部负责公司信息系统账号、权限的统一分配,员工
申请帐号或变更权限均需部门领导审核、企业管理信息部主管领导(或公司主管
信息化的副总经理)批准后,由信息系统管理员实施。员工离职、退休或调动时,
人力资源部应及时通知企业管理信息部,企业管理信息部根据人力资源部的通
知,及时注销员工信息系统账号或变更用户权限。
(2) 公司所有服务器、交换机、防火墙等网络设备的登陆帐号、密码由网络管
理员负责管理,并定期更改密码,严禁其他人员登录网络设备;公司信息系统管
理员账号、密码分别由信息系统管理员负责管理,并定期更改密码。网络管理员、
信息系统管理员离职、退休或调离岗位后,须立即更换新的管理员密码。
(3) 公司所有服务器及终端电脑上部署网络版防病毒软件,并及时更新病毒
库,确保能够随时查杀最新病毒和木马。
11 / 13
� 杭州前进齿轮箱集团
类别 业务流程层面内部控制
股份有限公司
名称 应用手册-信息系统
版本号 V1.0 2018-03
(4) 公司信息系统数据均实施安全的异地备份,利用备份一体机及备份软件,
每晚定时自动将信息系统数据完全备份到异地机房,每个信息系统数据保留 5 天
备份,确保系统一旦被破坏,能利用备份数据迅速恢复正常运行。
H. 公司建立门户网站管理制度,所有对外公布的信息均按类别经公司办公室/技术中
心/证券投资部主管领导审核(重大信息提交公司领导审核)后确定是否在网站上
披露,不得泄露企业商务、技术或其它方面的秘密,以免损害企业利益。
I. 企业管理信息部定期对信息系统进行安全评估,及时发现信息系统安全隐患并加
以改正。
J. 对于废弃的信息系统中的有价值的信息,企业管理信息部按公司有关规定做好信
息的销毁、迁移或存档工作。
6. 相关文件和记录
《计算机机房管理制度》
《办公电子设备管理办法》
《计算机信息网络安全管理办法》
《网络及信息安全应急预案》
《PDM 系统管理规定》
《公司门户网站管理规定》
《杭齿集团网络智能办公系统(OA)管理规定 》
7. 附件: 流程图
12 / 13
� 杭州前进齿轮箱集团
类别 业务流程层面内部控制
股份有限公司
名称 应用手册-信息系统
版本号 V1.0 2018-03
<信息系统项目一级流程图>
公司招标 投资评审 企业管理信
管理层 计划财务部 装备厂 业务部门 外部机构
工作小组 小组 息部
项目开始
年度计划
需求申请
立项申请
N
是否重大
项目
Y
项目可行性
项目可行性
分析
分析
项目审批 项目评审
Y
≥5万元 组织招标 合同签订
N
项目开发与 项目开发与
实施 实施
组织项目 参与项目 参与项目 参与项目 参与项目
验收 验收 验收 验收 验收
项目付款
项目
运行维护
项目结束
13 / 13
�
