公司内部控制具体规范第xx号--计算机信息系统(1).docx

计算机信息系统内部控制是指企业为了确保计算机信息系统安全、有效运行，以及保障信息处理的准确性和完整性，而采取的一系列制度化管理措施和操作规程。内部控制的具体规范通常包括组织架构、岗位分工、授权审批、风险评估、系统开发、变更管理、安全保密、监督评价等几个方面。 组织架构方面，企业需要建立明确的计算机信息系统管理结构，包括董事会、归口管理部门、用户部门及各个具体岗位的设立和职责划分。董事会或决策机构需审批重大信息系统事项，确保信息系统的战略规划与企业业务目标一致，并且用户部门也参与信息系统的建设和管理，明确各自承担的职责。 岗位分工与授权审批是内部控制的关键环节，要求明确各岗位的职责，确保不相容的职责由不同人员执行，例如系统开发和变更过程中，应避免同一人员同时负责开发、审批、监控等环节。同时，对于信息系统的访问安全、操作权限、信息使用和管理也应有明确规定，防止信息泄露和滥用。 信息系统的开发、变更与维护是确保信息系统持续有效的重要因素。信息系统的开发应遵循因地制宜、成本效益、理念与技术并重的原则，通过自行设计、外购调试或外包合作开发等方式进行。开发过程中应有详细的备案记录，并进行正式授权。项目管理小组负责监控整个开发过程，特别是外包第三方的监控。此外，企业应制定信息系统上线计划，包括系统回退计划，以应对新旧系统切换时可能出现的风险。 安全保密措施是保证信息系统正常运行的基础，应包括硬件管理、访问安全制度、数据控制等。硬件管理应科学合理，信息系统的访问安全制度应确保操作权限、信息使用、信息管理等方面的明确规定。数据控制则需确保数据路径代码的注册正确性，监控信息系统工作流程，及时反馈并纠正错误数据。 企业还需制定监督评价机制，对内部控制的有效性进行定期评估和监督，及时发现并纠正内部控制的缺陷和不足，确保内部控制系统的持续改进和优化。