11.3ERP系统IT一般性控制内部控制矩阵(1).doc

ERP系统IT一般性控制内部控制矩阵
业务目标
业务风险
控制点
适用单位
不相容
岗位
控制点分值
控制点相关资料
相关制度索引
会计报表认定
会计报表项目
1存在和发生/真实性;2完整性;3权利与义务;4估价或分摊;5表达和披露;6准确性
1
2
3
4
5
6







经营风险:规章制度不健全,导致对系统管理的失控。
、分(子)公司依据《中国石油化工股份有限公司管理信息系统应用管理办法(试行)》(以下简称《信息系统应用管理办法》)等,制定程序和数据访问管理制度,主要包括用户权限管理、用户帐号管理、用户登录管理、超级用户管理及第三方人员管理等内容。
总部各部门
分(子)公司

2
程序和数据访问管理制度或规定









经营风险:权限设置不当,导致对系统的非法或非授权访问。
,由申请人填写ERP系统用户权限申请表,经相关部门负责人审批后,由应用管理员在系统中建立/维护权限,相关人员进行权限测试并确认,关键用户对角色矩阵实时维护并进行版本管理。
总部各部门
分(子)公司

2
用户变更申请表
用户角色矩阵




经营风险:未及时锁定或删除岗位变动、离职人员帐号,导致系统存在安全隐患。
,人事部门必须及时通知ERP支持中心,ERP支持中心应用管理员在系统中将该用户进行锁定或删除。
总部各部门
分(子)公司

1
用户变更申请表
人员变动清单







经营风险:未及时审核清理帐户,导致系统存在安全隐患。
,每半年将系统用户清单,提交相关部门,由关键用户和部门负责人进行审核确认,应用管理员根据审核结果在系统中进行相应的处理。
总部各部门
分(子)公司

2
用户审核签字




经营风险:账户共享,导致责任不清,导致系统存在安全隐患。
,不能设置共享用户帐号(查询用户帐号除外)。
总部各部门
分(子)公司

1




经营风险:用户创建随意,影响系统安全稳定或生产经营。
(如系统接口访问用户等),相关部门填写用户申请,由部门负责人签字确认,经信息管理部门审批后,由数据库管理员创建该类用户。
总部各部门
分(子)公司
1
用户申请表

经营风险:密码规则不当,强度不够,更新不及时,导致对系统的非法或非授权访问。
,要设置合理的密码规则,密码长度6位以上,采用数字和字符组合方式,不能使用弱密码;用户密码3个月内必须更新一次;帐号密码重复输入5次错误则暂停登录或系统锁定;系统自动退出帐号登录的最大空闲时间不能超过50分钟。
总部各部门
分(