(征求意見稿)
第一章 總 則
第一條 為了引導企業充分利用信息系統規范交易行為,提高信息系統的可靠性、穩定性、安全性及數據的完整性和準確性,降低人為因素導致內部控制失效的可能性,形成良好的信息傳遞渠道,根據國家有關法律法規和《企業內部控制基本規范》,制定本指引。
第二條 本指引所稱信息系統是指利用計算機技術對業務和信息進行集成處理的程序、數據和文檔等的總稱。
第三條 企業至少應當關注涉及信息系統一般控制的下列風險:
(一)信息系統開發與使用違反國家法律法規,可能遭受外部處罰、經濟損失和信譽損失。
(二)信息系統開發與使用未經適當審核或超越授權審批,可能因重大差錯、舞弊、欺詐而導致損失。
(三)信息系統設計功能不科學、維護與變更程序不規范,可能導致企業經營效率與效果低下。
(四)信息系統外包服務未恰當履行或監控不當,可能導致企業權益受損或違約損失。
(五)信息系統訪問安全措施不當,可能導致商業秘密泄露。
(六)信息系統硬件管理不當,可能導致企業資產或股東權益受損。
第四條 企業在建立與實施信息系統內部控制中,至少應當強化對下列關鍵方面或者關鍵環節的控制:
(一)職責分工、權限范圍和審批程序應當明確規范,機構設置和人員配備應當科學合理,重大信息系統開發與使用事項應履行審批程序。
(二)信息系統開發、變更和維護流程應當清晰合理。
(三)應當建立訪問安全制度,操作權限、信息使用、信息管理應當有明確規定。
(四)硬件管理事項和審批程序應當科學合理。
(五)會計信息系統流程應當規范,會計信息系統操作管理、硬件、軟件和數據管理、會計信息化檔案管理應當完善。
第二章 崗位分工與授權審批
第五條 企業應當建立計算機信息系統崗位責任制。計算機信息系統崗位一般包括:
(一)系統分析:分析用戶的信息需求,并據此制定設計或修改程序的方案。
(二)編程:編寫計算機程序來執行系統分析崗位的設計或修改方案。
(三)測試:設計測試方案,對計算機程序是否滿足設計或修改方案進行測試,并通過反饋給編程崗位以修改程序并最終滿足方案。
(四)程序管理:負責保障并監控應用程序正常運行。
(五)數據庫管理:對信息系統中的數據進行存儲、處理、管理,維護組織數據資源。
(六)數據控制:負責維護計算機路徑代碼的注冊,確保原始數據經過正確授權,監控信息系統工作流程,協調輸入和輸出,將輸入的錯誤數據反饋到輸入部門并跟蹤監控其糾正過程,將輸出信息分發給經過授權的用戶。
(七)終端操作:終端用戶負責記錄交易內容,授權處理數據,并利用系統輸出的結果。
系統開發和變更過程中不相容崗位(或職責)一般應包括:開發(或變更)立項、審批、編程、測試。
系統訪問過程中不相容崗位(或職責)一般應包括:申請、審批、操作、監控。
第六條 企業計算機信息系統戰略規劃、重要信息系統政策等重大事項應當經由董事會(或者由企業章程規定的經理、廠長辦公會等類似的決策、治理機構,以下簡稱董事會)審批通過后,方可實施。
信息系統戰略規劃應當與企業業務目標保持一致。信息系統使用部門應該參與信息系統戰略規劃、重要信息系統政策等的制定。
第七條 企業可以指定專門部門(或崗位,下稱歸口管理部門)對計算機信息系統實施歸口管理,負責信息系統開發、變更、運行、維護等工作。
財會部門負責信息系統中各項業務賬務處理的準確性和及時性;會計電算化制度的制定;財務系統操作規定等。
生產、銷售、倉儲及其他部門(下稱用戶部門)應當根據本部門在信息系統中的職能定位,參與信息系統建設,按照歸口管理部門制定的管理標準、規范、規章來操作和運用信息系統。
企業管理層應該明確定義系統歸口管理部門和用戶部門(含財會部門)在保證系統正常安全運行過程中各自承擔的職責,制定部門之間的職責分工表。
第三章 信息系統開發、變更與維護控制
第八條 計算機信息系統開發包括自行設計、外購調試和外包合作開發。企業在開發信息系統時,應當充分考慮業務和信息的集成性,優化流程,并將相應的處理規則(交易權限)嵌入到系統程序中,以預防、檢查、糾正錯誤和舞弊行為,確保企業業務活動的真實性、合法性和效益性。
第九條 企業計算機信息系統開發應當遵循以下原則:
(一)因地制宜原則:企業應當根據行業特點、企業規模、管理理念、組織結構、核算方法等因素設計適合本單位的計算機信息系統。
(二)成本效益原則:計算機信息系統的建設應當能起到降低成本、糾正偏差的作用,根據成本效益原則,企業可以選擇對重要領域中關鍵因素進行信息系統改造。
(三)理念與技術并重原則:計算機信息系統建設應當將信息系統技術與信息系統管理理念整合,企業應當倡導全體員工積極參與信息系統建設,正確理解和使用信息系統,提高信息系統運作效率。
第十條 信息系統開發必須經過正式授權。具體程序包括:用戶部門提出需求;歸口管理部門審核;企業負責人授權批準;系統分析人員設計方案;程序員編寫代碼;測試員進行測試;系統最終上線;系統維護等。
第十一條 企業應當成立項目管理小組,負責信息系統的開發,對項目整個過程實施監控。
對于外包合作開發的項目,企業應當加強對外包第三方的監控。
第十二條 外購調試或外包合作開發等需要進行招投標的信息系統開發項目,企業應當保證招投標過程公平、公正、公開。
第十三條 企業應當制定詳細的信息系統上線計劃。對涉及新舊系統切換的情形,企業應當在上線計劃中明確應急預案,保證新系統一旦失效,能夠順利切換回舊的系統狀態。
第十四條 新舊系統切換時,如涉及數據遷移,企業應當制定詳細的數據遷移計劃。
用戶部門應當積極參與數據遷移過程,對數據遷移結果進行測試,并在測試報告上確認。
第十五條 信息系統在投入使用前應當至少完成整體測試和用戶驗收測試,以確保系統的正常運轉。
第十六條 信息系統原設計功能未能正常實現時,企業應當指定相關人員負責詳細記錄,并及時報告歸口管理部門。歸口管理部門負責系統程序修正和軟件參數調整,以實現設計功能。
第十七條 信息系統上線后,發生的功能變更,應當參照上款有關系統開發的審批和上線程序執行。
第十八條 企業應當積極倡導采用預防性措施,確保計算機信息系統的持續運行。常見預防性措施包括但不限于日常檢測、設立容錯冗余、編制應急預案等。
第四章 信息系統訪問安全
第十九條 企業應當制定信息系統工作程序、信息管理制度以及各模塊子系統的具體操作規范。
第二十條 計算機信息系統操作人員不得擅自進行系統軟件的刪除、修改等操作,不得擅自升級、改變系統軟件版本,不得擅自改變軟件系統環境配置。
第二十一條 企業應當對信息系統操作人員的賬號、密碼和使用權限進行嚴格規范,建立相應的操作管理制度。未經操作培訓的人員不得作為操作人員。
第二十二條 企業應當建立賬號審批制度,加強對重要業務系統的訪問權限管理。
對于發生崗位變化或離崗的用戶,企業應當及時調整其在系統中的訪問權限。
企業應當定期對系統中的賬號進行審閱,避免有授權不當或非授權賬號存在。
對于超級用戶等特權用戶,企業應該嚴格限制其使用,并對其在系統中的操作全程進行監控。使用完畢后,應當由不相容崗位對其操作日志進行審閱。
第二十三條 企業應當充分利用操作系統、數據庫、應用系統自身提供的安全性能,在系統中設置安全參數,以加強系統訪問安全。禁止未經授權人員擅自調整、刪除或修改系統中設置的各項參數。
涉及上網操作的,企業應當加強防火墻、路由器等網絡安全方面的管理。
第二十四條 企業可以結合實際情況,本著審慎、穩健的原則,將信息系統訪問安全事項交由第三方管理。在此情形下,企業應當加強對第三方的監控。
第二十五條 企業應當定期檢測信息系統運行情況,及時進行計算機病毒的預防、檢查工作,禁止用戶安裝非法防病毒軟件和私自卸載企業要求安裝的防病毒軟件。
第二十六條 信息系統操作人員應當在權限范圍內進行操作,不得利用他人的口令和密碼進入軟件系統。更換操作人員或密碼泄露后,必須及時更改密碼。操作人員如果離開工作現場,必須在離開前鎖定或退出已經運行的程序,防止其他人員利用自身賬號操作。
第二十七條 企業應當利用計算機信息系統建立信息化平臺,規范信息的使用和傳遞,促進業務流程與信息流程的統一,提高經營管理的效率和效果。
第二十八條 企業應當對所有的重要信息進行密級劃分,包括書面形式和電子媒介形式保存的信息。
企業可以根據信息的重要性程度和泄密風險損失等劃分標準,將信息分為絕密類、機密類、秘密類和重要類等,并建立不同類別信息的授權使用制度。
第二十九條 企業計算機信息系統應當劃分為生產、銷售、存儲等子系統,及時反映和記錄交易。交易責任部門在其授權范圍內對子系統錄入信息的真實性、完整性、準確性和及時性負責,并定期檢查、核對所錄信息。
第三十條 企業財會部門應當認真審核采購、生產、銷售、倉庫等部門與財務相關的關鍵業務數據,保證會計信息與業務流程在時間、數量和價值上的統一。
第三十一條 企業應當建立信息數據變更處理(包括數據導入、數據提取、數據修改等)規范。一經發現已輸入數據信息有誤,必須按照信息系統操作規定加以修正。
第三十二條 企業應當建立數據信息定期備份制度和數據批處理或實時處理的處理前自動備份制度。并在備份完畢后,將備份介質異地保存。
第三十三條 企業應當編制完整、具體的災難恢復計劃。同時應當定期檢測、及時修正該計劃。
第五章 硬件管理
第三十四條 企業應當制定計算機信息系統硬件管理制度,對設備的新增、報廢、流轉等情況建檔登記,統一管理。
第三十五條 企業應當將計算機硬件設備放置在合適的物理環境中,由專人負責管理和檢查,其他任何人未經授權不得接觸計算機信息系統硬件設備。對于主要系統服務器應當配備不中斷電源供給設備。
第三十六條 硬件設備的更新、擴充、修復等工作應當由相關人員提出申請,報上級主管負責人審批。
第三十七條 企業操作人員應當嚴格遵守用電安全,不得在計算機專用線路上使用其他用電設備。
第三十八條 企業應當完善計算機信息系統硬件設備異常狀況處理制度。一經發生異常狀況(如冒煙、打火、異常聲響等),應當立即通知有關部門,并按處理制度進行處理。
第六章 會計信息化及其控制
第三十九條 企業應當加強會計信息化工作,并對其工作流程進行有效控制。
本指引所稱會計信息化是指利用計算機信息技術代替人工進行財務信息處理,以及替代部分由人工完成的對會計信息的分析和判斷的過程。
第四十條 企業應當建立會計信息化操作管理制度,明確會計信息系統的合法有權使用人員及其操作權限和操作程序,形成分工牽制的控制形式。企業出納人員不得兼任電算化系統管理員,不得兼任記賬憑證的審核工作。
第四十一條 企業應當建立會計信息系統硬件、軟件和數據管理制度,重點關注下列風險和控制點:
(一)對正在使用的會計核算軟件進行修改、對通用會計軟件進行升級和對計算機硬件設備進行更換時,企業應有規范的審批流程,并采取替代性措施確保會計數據的連續性。
(二)企業應當健全計算機硬件和軟件出現故障時進行排除的管理措施,保證會計數據的完整性。
(三)確保會計數據安全保密,防止對數據的非法修改和刪除。
第四十二條 企業應當建立信息化會計檔案管理制度。
本指引所稱信息化會計檔案是指存儲在磁性介質或光盤介質的會計數據和計算機打印出來的書面等形式的會計數據,包括記賬憑證、會計賬簿、會計報表(包括報表格式和計算公式)等數據。
企業應當指定專人負責信息化會計檔案的管理,做好防消磁、防火、防潮和防塵等工作;對于存儲介質保存的會計檔案,應當定期檢查,防止由于介質損壞而使會計檔案丟失。
