ERP系统IT一般性控制流程

1、11.3 ERP系统IT 一般性控制流程一、业务目标1 经营目标1.1 保证系统长期稳定、平安、高效运行。1.2 保证系统数据的准确性、实时性和完整性。1.3 保证业务流程的通流效率，为企业的经营和开展提 供技术支撑。2 合规目标2.1 遵守保护知识产权的有关法律法规，使用合法软件。2.2 信息技术合同符合合同法等股份公司制度、国家法 律和法规。2.3 系统数据的收集、提供、使用和转让符合股份公司 有关制度以及国家平安、保护知识产权、合同法等 法律、法规的要求。2.4 业务系统的生成报表、合并报表编制过程的真实性、 完整性、可靠性符合国家规定及上市地监管机构要 求。二、业务风险1经营风险1.1

2、 规章制度不健全，导致系统管理失控。1.2 技术方案不合理，业务流程不规，系统功能存在 问题，导致系统不能满足业务需求。1.3 系统登录访问机制不健全、用户权限管理不规等， 导致对系统的非法或非授权访问。1.4 数据收集、转换和清理的管理不完善，导致系统存 在大量垃圾数据和系统数据失真。1.5 变更管理不规，客户化开发、测试和传输管理不完 善，导致系统故障、影响系统正常运作或系统功能 不能满足业务需求。1.6 系统运行状态监控不到位，系统潜在故障处理不及 时，支持体系不健全，影响系统正常运行。1.7 上线方案不合理，导致系统上线失败。1.8 上线月结差异分析报告不准确，导致系统数据错误 无法纠

3、正，影响系统正确性。1.9 备份策略和备份方案不完善，导致数据丧失或数据、 系统无法恢复。1.10 培训工作不到位，导致用户操作不熟练，无法保证 业务处理的正确性。1.11 没有建立完善的应急预案，影响到业务处理。2 合规风险2.1 侵犯知识产权，导致诉讼及股份公司声誉受到损害。2.2 系统数据的收集、提供、使用、转让违反国家法律 法规及股份公司部规章制度等，导致系统无法正常 运行。2.3 重要业务报表的编制不符合规定，导致股份公司声 誉受到损害及受相关机构处分。三、业务流程步骤与控制点1程序和数据访问1.1 总部各部门、分子公司依据?中国石油化工股份管理信息系统应用管理方法 试行? 以 下简

4、称 ?信息系统应用管理方法? 等，制定程序和 数据访问管理制度 , 主要包括用户权限管理、 用户帐 号管理、用户登录管理、超级用户管理及第三方人 员管理等容。1.2 用户权限管理1.2.1 建立/变更用户帐号和角色，由申请人填写ERP系统 用户权限申请表，经相关部门负责人审批后，由应 用管理员在系统中建立 / 维护权限，相关人员进行权 限测试并确认，关键用户对角色矩阵实时维护并进 行版本管理。1.2.2 操作人员由于岗位变动或离开单位，人事部门必须及时通知ERP支持中心，ERP支持中心应用管理员在系统中将该用户进行锁定或删除。1.3 用户帐号管理1.3.1 应用管理员每季度在线检查用户权限使用

5、情况，至 少每半年将系统用户清单提交相关部门，由关键用 户和部门负责人审核确认，应用管理员根据审核结 果在系统中进行相应处理。1.3.2 应用管理员在系统中为每个操作人员设置独立的用 户帐号，不能设置共享用户帐号查询用户帐号除 外。1.3.3 对于数据库层面用户 如系统接口访问用户等 ，相 关部门填写用户申请，由部门负责人签字确认，经 信息管理部门审批后，由数据库管理员创立该类用 户。1.4 对于系统登录访问，要设置合理的密码规那么，密码 长度 6 位以上，采用数字和字符组合方式，不能使 用弱密码；用户密码 3 个月必须更新一次；帐号密 码重复输入 5 次错误那么暂停登录或系统锁定；系统 自动

6、退出帐号登录的最大空闲时间不能超过 50 分 钟。1.5 相关管理员的管理1.5.1 应用管理员 BASIS 管理员和权限管理员 、系统管 理员操作系统管理员、 数据库管理员 、平安管理 员必须授权管理，遵循不相容岗位别离原那么，并且不能具有业务操作权限及开发权限；信息管理部门 负责人应至少每半年对上述管理员的在职情况进行 审查。1.5.2 应用管理员负责监控应用系统运行情况、备份情况 和日志，并完成监控记录；系统管理员负责监控操 作系统、数据库及备份设备运行情况和日志，并完 成监控记录；平安管理员每季度对相关管理员的操 作日志至少检查一次并记录检查情况。1.6 生产系统上线投入运行后，锁定生

7、产系统中的开发 人员、关键用户的帐号；如果开发人员或关键用户 必须在生产系统中诊断问题，需填写ERP系统用户权限申请表 提出申请帐号目的和期限 ，由相关部 门负责人签字确认后由应用管理员进行维护，完成 问题诊断任务后锁定该帐号。1.7 预置帐号的管理1.7.1 系统管理员在操作系统安装完成后对效劳器根帐号 root 密码进行修改，并至少三个月更换一次密 码，密码以平安方式妥善保存。1.7.2 系统管理员在数据库和 SAP软件安装好后，需用sapdba的工具修改 SAP系统预置帐号SAPR3 SYSSYSTEM的缺省密码，并至少三个月更换一次密码，密码以平安方式妥善保存。1.7.3 应用管理员在

8、SAP软件安装好每次创立 Client后，须修改SAP系统预置帐号SAP*/DDIC缺省密码， 密码以平安方式妥善保存。1.8 业务支持人员支持权限的新建、变更、删除、锁定需经ERP支持中心负责人审核签字后由应用管理员在系统中进行分配，业务支持人员在生产系统中只 有相应模块的显示、跟踪权限，不能分配业务操作 权限、后台配置权限。1.9 超级用户权限必须严格控制，申请时必须说明使用原因，并经ERP支持中心负责人审核签字后，应用管理员才能在系统中进行分配，使用后要及时将权 限回收。1.10 第三方人员管理1.10.1 针对第三方合作单位需要签订平安保密协议。1.10.2 第三方人员访问系统，需填写

9、第三方人员帐号申请 表需注明使用期限和权限 ，经需求部门负责人、 信息管理部门责任处科室负责人审批通过 后，由应用管理员根据申请表在系统中建立其帐号。 第三方人员撤离后，其帐号需在系统中进行删除或 锁定，如确需访问系统诊断问题，需按照用户权限 维护程序经审批前方可解锁 /创立; 维护完毕后应及 时锁定或删除。2. 程序变更2.1 总部各部门、分子公司依据?信息系统应用管 理方法?，制定程序变更管理制度 , 主要包括客户化 开发变更管理、系统配置变更管理、软件版本变更 管理等容。2.2 客户化开发变更管理。2.2.1 对于功能增强 /表单/ 报表/系统接口等客户化开发 的新需求或者对已有客户化开

10、发的变更，由需求变 更部门填写系统开发变更申请表简要描述功能需 求和功能说明 ，经提报单位的需求变更部门、 信息 管理部门 /ERP 支持中心负责人审核后报信息系统 管理部审批。2.2.2 信息系统管理部组织人员根据审批后的客户化开 发变更需求在开发环境中进行开发，完成开发后由 提报单位的业务人员在测试环境中进行测试，针对 变更局部编制测试文档包括测试场景和测试结 果，经业务人员及部门负责人签字确认后， 由提报 单位的应用管理员按照传输管理要求传入生产系 统。223 提报单位ERP支持中心组织需求变更部门对客户化开发变更容进行记录，包括更新客户化功能说明文档、技术说明文档、测试文档等，由ERP

11、支持中心归档。2.3 系 统配置变更管理2.3.1 现有系统配置需进行调整，应由需求部门填写“系 统配置变更申请表 ，经部门负责人签字确认后提交 信息管理部门审核。与 ERP推广模板有差异的或者 组织架构、业务流程发生变化的变更，以及新增功 能模块，需信息系统管理部负责人审批并组织实施； 其他系统配置变更，由信息管理部门授权支持人员 或第三方人员根据审批后的变更需求进行业务流程 设计，经相关部门负责人签字确认后在开发环境进 行配置修改， 由被授权人员填写系统配置变更记录， 并将变更记录报总部 ERP支持中心备案。2.3.2 凡涉及业务流程、数据库变动的配置变更，由提报 单位的业务人员在测试环境

12、中进行测试，针对变更 局部编制测试文档 包括测试场景和测试结果 ，经 业务部门负责人签字确认后，应用管理员按照传输 管理要求传入生产系统。233系统配置变更后由 ERP支持中心组织相关人员及时修改配置文档，并根据需要编写用户手册，进行业 务人员培训。2.4 软件补丁和版本变更管理2.4.1 针对软件补丁 / 版本升级，信息管理部门提出申请， 由信息系统管理部负责人审批后统一组织实施。2.4.2 由信息管理部门 /ERP 支持中心根据审批后的软件 变更，组织支持人员、相关部门关键用户提出测试 流程清单，在测试环境进行系统功能的全面测试， 测试人员需在测试流程清单上签字确认，并填写测 试记录。24

13、3ERP支持中心负责人检查测试流程清单是否完整，并在签字确认后， 由应用管理员根据补丁 / 版本升级 方案在生产系统完成补丁安装或者版本升级工作， 并进行软件补丁 / 版本升级记录。3. 程序开发3.1 总部各部门、分子公司依据?信息系统应用管 理方法?，制定程序开发管理制度 , 主要包括业务流 程设计管理、客户化开发和系统配置管理等容。3.2 信息管理部门负责组建工程组，包括承当系统实施 的人员以下简称咨询参谋和关键用户。工程组 根据ERP工程可行性研究报告和批复进行业务流程 设计，并经关键用户、业务部门负责人签字确认。3.3 对于功能增强 / 表单/ 报表/系统接口等客户化开发， 由业务部

14、门提出需求， 并编制开发需求功能说明书， 其中需描述访问权限要求。工程组根据功能说明书 编制客户化开发清单，提交相关部门负责人签字确 认。3.4 开发人员根据开发需求功能说明书在开发环境中完 成开发工作，将开发结果提交业务人员进行测试， 并经业务人员及部门负责人签字确认。3.5 咨询参谋依据签字确认的业务流程设计进行系统配 置，并编写配置文档；关键用户对配置文档进行审 核并签字确认。3.6 系统配置测试管理3.6.1 系统配置完成后，由咨询参谋和关键用户在测试系 统进行集成测试，记录测试过程，并对集成测试记 录签字确认。3.6.2 集成测试完成后，由最终用户在测试系统进行用户 接受测试，记录测

15、试过程，并对接受测试记录签字 确认。3.7 开发测试环境和传输管理3.7.1 客户化开发、系统配置、系统变更工作遵循“开发 系统至测试系统、测试系统至生产系统的技术架 构完成，并按照传输管理规进行传输。3.7.2 测试系统和生产系统上生成的传输请求需经信息系统管理部相关处室负责人审批，并报总部ERP支持中心备案。3.8用户操作手册编制和培训咨询参谋及关键用户按照流程设计和系统配置编写 并及时更新用户操作手册。信息管理部门组织培训及考核，业务人员经考核合 格前方可上岗。3.9数据转换管理业务部门组织人员按照数据收集模板收集和整理相关业务数据，并进行盘点；相关部门负责人须审核 收集的数据，并在“数

16、据签字清单上签字确认。业务人员对导入 / 补录入系统的数据进行核对， 核对 结果需经部门负责人签字确认。3.10系统切换和月结差异分析咨询参谋制定系统切换方案，需经工程组负责人签 字确认。工程组根据“ ERP系统上线申请标准编制上线申请报告，并提交总部 ERP工程管理组审核。相关部门对系统并行期间月结差异进行分析，编制 差异分析报告，并提交总部 ERP工程管理组审核批 复。4.系统运行4.1总部各部门、分子公司依据?信息系统应用管 理方法?，制定系统运行管理制度 , 主要包括系统监控机制、数据导入管理、后台作业管理、数据备份 与灾难恢复策略、支持体系、应急预案等容。4.2 批导入数据管理4.2

17、.1 外部数据导入前，业务部门负责人需对外部数据审 核签字，业务人员对数据格式进行检查；保存导入 的外部数据以备复查财务数据保存至年结后，业 务数据保存至月结后 。4.2.2 对周期性导入的外部数据的数据模板，需经相关部 门负责人审核签字，业务人员在数据导入系统前需 对数据的格式进行检查。4.3 后台作业管理4.3.1 信息管理部门会同相关部门制定后台作业批处理计 划，相关责任人签字确认，由应用管理员执行后台 作业批处理。4.3.2 应用管理员每天监控后台作业的运行情况，批处理 运行结束后应检查运行日志，对出现的问题及时处 理并记录备案。4.4 数据备份管理4.4.1 系统管理员详细记录备份硬件的配置参数，每天监 控备份硬件的运行情况并进行日志记录。4.4.2 应用管理员每日检查系统数据备份日志，确认每日 数据备份是否成功，并记录备份异常情况；至少每季度进行一次数据全备份。系统管理员对数据备份介质每季度进行一次可读 性测试并记录，每年至少进行一次恢复性测试并记 录。系统管理员对备份设备中的备份介质至少每四年