1、(萀薩匀耀萀薩讀缁H缀窚椀霂礃唄圆蔆豢楓搀漀挀搀搀挀攀昀攀搀戀愀搀昀昀戀搀挀最椀昀蔀豢楓搀漀挀尀尀戀挀愀挀愀搀愀搀昀挀戀昀甀戀倀氀爀刀渀夀儀刀漀戀爀焀吀椀氀椀刀樀吀礀眀樀一樀焀吀眀倀一匀堀稀匀蔀豢椀桴琀琀瀀猀眀眀眀眀攀渀欀甀渀攀琀挀漀洀椀氀攀刀漀漀琀尀圀攀渀欀甀渀攀琀椀氀攀刀漀漀琀尀搀攀搀挀挀搀戀挀攀愀昀挀戀搀x爀R瘀蝎瘀堀戀愀倀眀匀儀刀攀昀氀爀倀圀儀焀瘀唀娀琀砀欀欀圀匀栀愀琀焀琀刀楓舀骉虛塎堀偧沖癓幎汜幎汜塣堀偧沖镓塢睎塭堀偧沖塓葻汶獧楓獶屝觿汓楓汓葓豢蹵塎堀偧沖癓幎汜獶楓榍鎏骉鬀鑏轺椀魭鑏楏呴屐乎813覄耀匌06(萀薩匀頀萀薩讀缁H缀窚頀椀攂鴃儚匜蔜豢蔀榐虥顨搀漀挀愀戀愀攀昀愀愀攀搀戀昀最
2、椀昀蔀豢蔀榐虥顨搀漀挀尀尀昀愀搀挀搀戀挀昀氀一昀娀圀礀夀儀圀挀倀戀倀伀愀圀瀀攀礀堀愀儀瘀猀漀倀堀砀欀眀氀礀甀儀蔀豢蔀榐虥顨蔀豢椀顨梘琀琀瀀猀眀眀眀眀攀渀欀甀渀攀琀挀漀洀椀氀攀刀漀漀琀尀圀攀渀欀甀渀攀琀椀氀攀刀漀漀琀尀攀愀挀搀戀攀戀愀戀戀戀攀攀蔀榐舀骉虛塎堀偧沖癓幎汜幎汜塣堀偧沖镓塢睎塭堀偧沖塓葻汶獧蕑榐獶屝觿汓蕓榐葭豴滿汏蕓榐轧沍葒v蹵塎堀偧沖癓幎汜獶蔀榐椀T蕒榐鹭蒐鎏捶榍鎏鎏譙楏沖呜颕盿葙榍彫蒁癶譎鱎驥楛屝輀蔰豢U睎卑筨吀渀蕏榐蝥吀渀蕏榐邍靮蝥吀渀榍襲桛葶蝥榘榘鑛猀猀筒譼鑛桢骋桢禈堀豗鹷谀瑛栀貏刀蔀榐驒燿捔吀椀鶐湏汣T熐汒蕓榐鹭極獶煎織坻祛祛萀讖蔀榐蔀榐晒刀蔀榐衾槿沁邍橮吀蔀榐葒驒鸰筟楾繎坻
3、祛祛萀讖蔀榐蔀榐祭祛桢吀椀钐楎晭潣綂齙的20.1 信息系统开发1.1 概述规定了XX股份有限公司集团总部及其下属公司(下属公司是指XX股份有限公司投资(参股或控股)或托管或由上海XX有限公司托管的公司)有关信息系统开发的相关工作,涉及以下:1.1.1) 公司信息系统开发的立项、可行性研究、决策的流程1.1.2) 已有信息系统基础上的变更和二次开发需求申请、开发及验收交付流程1.1.3) 报表开发的申请、开发及验收交付流程1.2 适用范围适用于XX股份有限公司集团总部及其下属公司。1.3 相关制度IT资源管理程序。1.4 职责分工信息中心:负责对信息系统开发项目立项申请,对信息系统的开发进行需求
4、分析和可行性分析,在项目申请通过后负责选择系统开发商,负责在系统上线运行后建立相应的跟踪评价机制。项目组:负责编制信息系统设计/开发说明书,负责开发项目的管控,组织系统验收和上线测试,制定上线计划和方案,提出上线申请;负责系统测试、变更、评价。1.5 流程图31.6 控制目标序号内控手册唯一具体控制目标编号控制目标目标类别120.1-CT1确保建立科学合理的信息系统开发管理体系经营效率目标220.1-CT2确保信息系统开发符合公司需求经营效率目标320.1-CT3确保信息系统开发计划切实可行经营效率目标420.1-CT4确保信息系统开发效果效率达到预期水平经营效率目标520.1-CT5确保信息
5、系统开发项目按时完成经营效率目标620.1-CT6确保系统运行安全有效经营效率目标151.7 控制矩阵风险编号风险描述对应控制目标编号关键控制措施编号关键控制措施不相容职务控制活动类型对应制度控制痕迹会计报表认定会计报表项目1存在和发生/真实性;2完整性;3权利与义务;4估价或分摊;5表达和披露1234520.1-R1公司未针对信息系统的开发项目设定申请审批流程,没有明确的开发文件和项目计划,导致管理混乱,影响信息系统开发项目的顺利实施20.1-CT120.1-CA11)公司信息化建设的对口部门是信息中心,负责公司及所属各单位的信息化方案(包括:计算机和网络设备的采购,网络建设、软件选型及二次
6、开发等过程)的审核及审批;2)公司及所属各单位的计算机和网络设备的采购以及信息化项目建设严格按照先申请上报公司审批,经审批后进入商务洽谈等流程经办/审批预防型IT资源管理程序IT开发需求申请20.1-CT120.1-CA2信息中心负责将审批确定后的项目开发文件及项目计划进行归档备案,并设立台账监督项目的实施推进,考核项目计划的履行情况、进行跟踪确认并协调计划修改等事宜,全面把握项目的施行进程,保证项目按时完成。发现型IT资源管理程序项目进度跟踪表20.1-R2信息中心未进行项目的开发管理,包括已完成的内容、当前进度与项目实施计划的比较、存在的有可能影响进度的问题、人员、资金的使用情况等,导致项
7、目进度控制不力,影响项目如期完成。20.1-CT120.1-CA2信息中心负责将审批确定后的项目开发文件及项目计划进行归档备案,并设立台账监督项目的实施推进,考核项目计划的履行情况、进行跟踪确认并协调计划修改等事宜,全面把握项目的施行进程,保证项目按时完成。预防型IT资源管理程序项目开发文件、项目计划书、项目推进情况台账20.1-R3公司的信息系统开发计划与公司战略和业务目标不相吻合,导致系统不能满足公司未来发展需要,影响公司发展经营目标的实现20.1-CT220.1-CA11)公司信息化建设的对口部门是信息中心,负责公司及所属各单位的信息化方案(包括:计算机和网络设备的采购,网络建设、软件选
8、型及二次开发等过程)的审核及审批;2)公司及所属各单位的计算机和网络设备的采购以及信息化项目建设严格按照先申请上报公司审批,经审批后进入商务洽谈等流程经办/审批预防型IT资源管理程序项目调研分析资料20.1-R4公司未召集相关业务部门就信息系统的开发需求进行讨论和验证,导致需求不明确,开发成果与业务部门实际需要不符,影响信息系统开发结果的有效性,造成公司人力及资金的浪费。20.1-CT220.1-CA3系统建设单位根据系统需求规格说明书编制系统设计说明书,项目负责人组织相关技术人员和系统用户部门进行审核确认,确保系统建设单位提供的系统设计说明书中涵盖实际业务需求,同时形成会议纪要编制/审核预防
9、型IT资源管理程序IT开发需求申请20.1-R5未对信息系统方案进行可行性研究,导致系统开发失败风险20.1-CT320.1-CA4信息系统立项需先进行可行性研究,并按建设项目立项要求进行立项、审批编制审批预防型IT资源管理程序项目调研可行性分析资料20.1-CT320.1-CA5信息系统申报部门进行项目可行性分析,形成可行性分析报告,内容从以下方面进行分析:与公司战略目标相一致、能有效提升管理效率、与业务流程相匹配、能有效防范风险、成本可以被接受等预防型IT资源管理程序项目调研可行性分析资料20.1-CT320.1-CA6材料上报公司信息中心门审批,经审批后进入商务洽谈等流程编制/审批预防型
10、IT资源管理程序项目调研可行性分析资料20.1-R6未进行市场调研及系统开发商的比选,导致开发成本上升或系统开发未达预期目标风险20.1-CT420.1-CA7系统开发应该依据开发资源需求和开发成本评估是自行开发或外包方案经审批通过后,信息中心门负责进行市场调研,针对系统需求,选择适当的系统开发商进行开发情况了解,并形成招标初步材料,报系统使用部门及分管领导审议经办/审议预防型IT资源管理程序市场调研报告、招投标材料20.1-R7公司未明确信息系统开发项目的责任人,导致开发项目失败时无人负责,影响项目后期评估结果的反馈及进一步改进。20.1-CT420.1-CA8信息系统开发项目应指定项目负责
11、人签署责任意向书,负责全面协调、安排项目工作小组的工作,保证项目顺利开展。预防型IT资源管理程序项目责任书(团队契约)20.1-R8系统用户及流程责任人未密切参与应用系统开发及实施工作,导致开发的应用系统不能支持业务流程,造成系统开发失败风险20.1-CT420.1-CA9合同预审时,招标工作小组相关人员需确认合同条款明确要求系统建设单位提供最基本的系统工程文档,并对合同进行签字确认经办/审批/监督预防型IT资源管理程序合同送审表、合同文件20.1-CT220.1-CA10招投标工作完成后,项目系统建设单位和系统用户部门及信息中心共同组成项目组,负责项目的建设和管理工作预防型IT资源管理程序项
12、目组人员名单及职责明细表20.1-CT220.1-CA11系统建设单位与公司项目人员进行需求细化工作,进行需求分析和商讨,并形成相关系统需求规格说明书后签字确认,系统需求规格说明书由双方一式二份双方进行妥善保管至项目完成,作为系统开发、测试及后期工程验收的依据预防型IT资源管理程序系统需求规格说明书20.1-CT220.1-CA12系统建设单位根据系统需求规格说明书编制系统概要设计说明书,项目负责人组织相关技术人员和系统用户部门进行审核确认,确保系统建设单位提供的系统概要设计说明书中涵盖实际业务需求,同时形成会议纪要编制/审核预防型IT资源管理程序系统概要说明书、会议纪要20.1-R9公司没有
13、进行适当的质量控制,导致开发的应用系统无法满足业务需求,影响业务流程的持续稳定及相关数据的准确完整20.1-CT420.1-CA13公司信息中心建立符合公司系统开发需要的开发管理细则,要求严格遵守该规范标准,系统开发和实施各阶段工作成果均得到适当的管理层审核并批准后,方可开始下一阶段工作,并要求用户参与应用系统的开发设计或外购软件的选择及测试等工作预防型IT资源管理程序系统开发细则、系统开发质量标准20.1-R10未对项目成果进行有效验收,导致系统与实际需求有偏差,影响业务部门正常使用20.1-CT420.1-CA14项目初步完成之后应召集相关业务部门共同进行验收,确保项目成果符合各部门日常运营需要执行/验收预防型IT资源管理程序项目成果验收报告20.1-R11公司未对开发方为系统配备的硬件设备和系统软件进行检查验
