的20.1 信息系统开发
1.1概述
规定了XX股份有限公司集团总部及其下属公司(下属公司是指XX股份有限公司投资(参股或控股)或托管或由上海XX有限公司托管的公司)有关信息系统开发的相关工作,涉及以下:
1.1.1)公司信息系统开发的立项、可行性研究、决策的流程
1.1.2)已有信息系统基础上的变更和二次开发需求申请、开发及验收交付流程
1.1.3)报表开发的申请、开发及验收交付流程
1.2适用范围
适用于XX股份有限公司集团总部及其下属公司。
1.3相关制度
IT资源管理程序。
1.4职责分工
信息中心:负责对信息系统开发项目立项申请,对信息系统的开发进行需求分析和可行性分析,在项目申请通过后负责选择系统开发商,负责在系统上线运行后建立相应的跟踪评价机制。
项目组:负责编制信息系统设计/开发说明书,负责开发项目的管控,组织系统验收和上线测试,制定上线计划和方案,提出上线申请;负责系统测试、变更、评价。
1.5流程图
1.6控制目标
序号 《内控手册》唯一具体控制目标编号 控制目标 目标类别
1 20.1-CT1 确保建立科学合理的信息系统开发管理体系 经营效率目标
2 20.1-CT2 确保信息系统开发符合公司需求 经营效率目标
3 20.1-CT3 确保信息系统开发计划切实可行 经营效率目标
4 20.1-CT4 确保信息系统开发效果效率达到预期水平 经营效率目标
5 20.1-CT5 确保信息系统开发项目按时完成 经营效率目标
6 20.1-CT6 确保系统运行安全有效 经营效率目标
1.7控制矩阵
风险编号 风险描述 对应控制目标编号 关键控制措施编号 关键控制措施 不相容职务 控制活动类型 对应制度 控制痕迹 会计报表认定 会计报表项目
1存在和发生/真实性;2完整性;3权利与义务;4估价或分摊;5表达和披露
1 2 3 4 5
20.1-R1 公司未针对信息系统的开发项目设定申请审批流程,没有明确的开发文件和项目计划,导致管理混乱,影响信息系统开发项目的顺利实施 20.1-CT1 20.1-CA1 1)公司信息化建设的对口部门是信息中心,负责公司及所属各单位的信息化方案(包括:计算机和网络设备的采购,网络建设、软件选型及二次开发等过程)的审核及审批;2)公司及所属各单位的计算机和网络设备的采购以及信息化项目建设严格按照先申请上报公司审批,经审批后进入商务洽谈等流程 经办/
审批 预防型 IT资源管理程序 IT开发需求申请
20.1-CT1 20.1-CA2 信息中心负责将审批确定后的项目开发文件及项目计划进行归档备案,并设立台账监督项目的实施推进,考核项目计划的履行情况、进行跟踪确认并协调计划修改等事宜,全面把握项目的施行进程,保证项目按时完成。 发现型 IT资源管理程序 项目进度跟踪表
20.1-R2 信息中心未进行项目的开发管理,包括已完成的内容、当前进度与项目实施计划的比较、存在的有可能影响进度的问题、人员、资金的使用情况等,导致项目进度控制不力,影响项目如期完成。 20.1-CT1 20.1-CA2 信息中心负责将审批确定后的项目开发文件及项目计划进行归档备案,并设立台账监督项目的实施推进,考核项目计划的履行情况、进行跟踪确认并协调计划修改等事宜,全面把握项目的施行进程,保证项目按时完成。 预防型 IT资源管理程序 项目开发文件、项目计划书、项目推进情况台账
20.1-R3 公司的信息系统开发计划与公司战略和业务目标不相吻合,导致系统不能满足公司未来发展需要,影响公司发展经营目标的实现 20.1-CT2 20.1-CA1 1)公司信息化建设的对口部门是信息中心,负责公司及所属各单位的信息化方案(包括:计算机和网络设备的采购,网络建设、软件选型及二次开发等过程)的审核及审批;2)公司及所属各单位的计算机和网络设备的采购以及信息化项目建设严格按照先申请上报公司审批,经审批后进入商务洽谈等流程 经办/
审批 预防型 IT资源管理程序 项目调研分析资料
20.1-R4 公司未召集相关业务部门就信息系统的开发需求进行讨论和验证,导致需求不明确,开发成果与业务部门实际需要不符,影响信息系统开发结果的有效性,造成公司人力及资金的浪费。 20.1-CT2 20.1-CA3 系统建设单位根据系统需求规格说明书编制系统设计说明书,项目负责人组织相关技术人员和系统用户部门进行审核确认,确保系统建设单位提供的系统设计说明书中涵盖实际业务需求,同时形成会议纪要 编制/
审核 预防型 IT资源管理程序 IT开发需求申请
20.1-R5 未对信息系统方案进行可行性研究,导致系统开发失败风险 20.1-CT3 20.1-CA4 信息系统立项需先进行可行性研究,并按建设项目立项要求进行立项、审批 编制审批 预防型 IT资源管理程序 项目调研可行性分析资料
20.1-CT3 20.1-CA5 信息系统申报部门进行项目可行性分析,形成可行性分析报告,内容从以下方面进行分析:与公司战略目标相一致、能有效提升管理效率、与业务流程相匹配、能有效防范风险、成本可以被接受等 预防型 IT资源管理程序 项目调研可行性分析资料
20.1-CT3 20.1-CA6 材料上报公司信息中心门审批,经审批后进入商务洽谈等流程 编制/
审批 预防型 IT资源管理程序 项目调研可行性分析资料
20.1-R6 未进行市场调研及系统开发商的比选,导致开发成本上升或系统开发未达预期目标风险 20.1-CT4 20.1-CA7 系统开发应该依据开发资源需求和开发成本评估是自行开发或外包方案经审批通过后,信息中心门负责进行市场调研,针对系统需求,选择适当的系统开发商进行开***况了解,并形成招标初步材料,报系统使用部门及分管领导审议 经办/
审议 预防型 IT资源管理程序 市场调研报告、招投标材料
20.1-R7 公司未明确信息系统开发项目的责任人,导致开发项目失败时无人负责,影响项目后期评估结果的反馈及进一步改进。 20.1-CT4 20.1-CA8 信息系统开发项目应指定项目负责人签署责任意向书,负责全面协调、安排项目工作小组的工作,保证项目顺利开展。 预防型 IT资源管理程序 项目责任书(团队契约)
20.1-R8 系统用户及流程责任人未密切参与应用系统开发及实施工作,导致开发的应用系统不能支持业务流程,造成系统开发失败风险 20.1-CT4 20.1-CA9 合同预审时,招标工作小组相关人员需确认合同条款明确要求系统建设单位提供最基本的系统工程文档,并对合同进行签字确认 经办/
审批/
监督 预防型 IT资源管理程序 合同送审表、合同文件
20.1-CT2 20.1-CA10 招投标工作完成后,项目系统建设单位和系统用户部门及信息中心共同组成项目组,负责项目的建设和管理工作 预防型 IT资源管理程序 项目组人员名单及职责明细表
20.1-CT2 20.1-CA11 系统建设单位与公司项目人员进行需求细化工作,进行需求分析和商讨,并形成相关系统需求规格说明书后签字确认,系统需求规格说明书由双方一式二份双方进行妥善保管至项目完成,作为系统开发、测试及后期工程验收的依据 预防型 IT资源管理程序 系统需求规格说明书
20.1-CT2 20.1-CA12 系统建设单位根据系统需求规格说明书编制系统概要设计说明书,项目负责人组织相关技术人员和系统用户部门进行审核确认,确保系统建设单位提供的系统概要设计说明书中涵盖实际业务需求,同时形成会议纪要 编制/
审核 预防型 IT资源管理程序 系统概要说明书、会议纪要
20.1-R9 公司没有进行适当的质量控制,导致开发的应用系统无法满足业务需求,影响业务流程的持续稳定及相关数据的准确完整 20.1-CT4 20.1-CA13 公司信息中心建立符合公司系统开发需要的开发管理细则,要求严格遵守该规范标准,系统开发和实施各阶段工作成果均得到适当的管理层审核并批准后,方可开始下一阶段工作,并要求用户参与应用系统的开发设计或外购软件的选择及测试等工作 预防型 IT资源管理程序 系统开发细则、系统开发质量标准
20.1-R10 未对项目成果进行有效验收,导致系统与实际需求有偏差,影响业务部门正常使用 20.1-CT4 20.1-CA14 项目初步完成之后***集相关业务部门共同进行验收,确保项目成果符合各部门日常运营需要 执行/
验收 预防型 IT资源管理程序 项目成果验收报告
20.1-R11 公司未对开发方为系统配备的硬件设备和系统软件进行检查验收,无法剔除不合格或多余设备、软件,导致开发成本上升风险 20.1-CT4 20.1-CA15 1)在系统开发招投标阶段,在招投标文件内详细明确系统所需相应软、硬件及相应配置标准,并规定采购方式、方法;2)系统实施阶段,项目组对系统开发阶段的软硬件设施进行分析评估,评估结果为此设备是系统必须且在协议范围外的,需另行商议购买 预防型 IT资源管理程序 系统硬件设备清单、招投标文件
20.1-R12 信息系统开发项目启动前及进行过程中没有进行有效的成本控制,导致开发成本过高 20.1-CT4 20.1-CA16 项目负责人应有效监督项目预算的使用情况,定期检查项目费用使用台账,合理进行成本控制 发现型 IT资源管理程序 费用台账
20.1-R13 未对项目进行有效的时间控制,影响开发项目的推进进程,导致系统无法按时上线。 20.1-CT5 20.1-CA2 信息中心负责将审批确定后的项目开发文件及项目计划进行归档备案,并设立台账监督项目的实施推进,考核项目计划的履行情况、进行跟踪确认并协调计划修改等事宜,全面把握项目的施行进程,保证项目按时完成。 发现型 IT资源管理程序 项目进度跟踪表
20.1-R14
系统实施上线前未进行适当测试,无法预防系统实施时可能出现的问题,导致应用系统无法支持业务流程
20.1-CT4 20.1-CA17 系统上线前,由信息中心和系统用户部门组成专门独立于开发人员的测试小组,并需要严格遵守测试文档模板中的相关参数 预防型 IT资源管理程序 测试小组人员名单
20.1-CT4 20.1-CA18 测试小组负责制定测试计划和测试方案,经过信息中心和系统使用部门负责人的签字审批。测试计划应包含具体的测试内容 编制/
审批 预防型 IT资源管理程序 测试计划、测试方案
20.1-CT4 20.1-CA19 如有数据迁移需求时,项目组需制定专门的数据迁移方案,包括具体数据的转换和验证对比方法,并在上线实施前由测试小组依据数据迁移方案制定相应的测试计划,进行新旧系统的数据迁移一致性对比测试和相关的功能测试 预防型 IT资源管理程序 数据迁移方案
20.1-CT4 20.1-CA20 测试小组负责执行系统测试并形成上线测试报告,并对测试结果进行分析和评审,形成系统上线测试总结报告,并判断系统是否具备上线条件 编制/
评审 预防型 IT资源管理程序 上线测试报告、上线测试总结报告
20.1-CT4 20.1-CA21 信息中心和系统使用部门负责人对上线测试报告和上线测试总结报告进行分析和审阅,签字认可测试结果和结论 编制/
审阅 预防型 IT资源管理程序 上线测试报告、上线测试总结报告
20.1-CT4 20.1-CA22 系统测试均在独立的测试环境中进行,对于无法建立独立测试环境的情况,上线时必须采取相关的控制措施,如选择试点实施上线,制定系统还原计划,实施前备份旧系统数据等方式 预防型 IT资源管理程序 测试计划、测试方案