《《企業(yè)內(nèi)部控制應(yīng)用指引》-信息系統(tǒng)》由會員分享，可在線閱讀，更多相關(guān)《《企業(yè)內(nèi)部控制應(yīng)用指引》-信息系統(tǒng)（8頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、企業(yè)內(nèi)部控制應(yīng)用指引第 10 號——研究與開發(fā) 第一章 總則 第一條 為了促進企業(yè)自主創(chuàng)新，增強核心競爭力，有效控制研發(fā)風 險，實現(xiàn)發(fā)展戰(zhàn)略，根據(jù)有關(guān)法律法規(guī)和《企業(yè)內(nèi)部控制基本規(guī)范》， 制定本指引。 第二條 本指引所稱研究與開發(fā)，是指企業(yè)為獲取新產(chǎn)品、新技術(shù)、新 工藝等所開展的各種研發(fā)活動。 第三條 企業(yè)開展研發(fā)活動至少應(yīng)當關(guān)注下列風險： （一）研究項目未經(jīng)科學(xué)論證或論證不充分，可能導(dǎo)致創(chuàng)新不足或資源 浪費。 （二）研發(fā)人員配備不合理或研發(fā)過程管理不善，可能導(dǎo)致研發(fā)成本過 高、舞弊或研發(fā)失敗。 （三）研究成果轉(zhuǎn)化應(yīng)用不足、保護措施不力，可能導(dǎo)致企業(yè)利益受 損。 第四條 企業(yè)應(yīng)

2、當重視研發(fā)工作，根據(jù)發(fā)展戰(zhàn)略，結(jié)合市場開拓和技術(shù) 進步要求，科學(xué)制定研發(fā)計劃，強化研發(fā)全過程管理，規(guī)范研發(fā)行為， 促進研發(fā)成果的轉(zhuǎn)化和有效利用，不斷提升企業(yè)自主創(chuàng)新能力。 第二章 立項與研究 第五條 企業(yè)應(yīng)當根據(jù)實際需要，結(jié)合研發(fā)計劃，提出研究項目立項申 請，開展可行性研究，編制可行性研究報告。 企業(yè)可以組織獨立于申請及立項審批之外的專業(yè)機構(gòu)和人員進行評估論 證，出具評估意見。 第六條 研究項目應(yīng)當按照規(guī)定的權(quán)限和程序進行審批，重大研究項目 應(yīng)當報經(jīng)董事會或類似權(quán)力機構(gòu)集體審議決策。審批過程中，應(yīng)當重點 關(guān)注研究項目促進企業(yè)發(fā)展的必要性、技術(shù)的先進性以及成果轉(zhuǎn)化的可 行性。 第七條

3、企業(yè)應(yīng)當加強對研究過程的管理，合理配備專業(yè)人員，嚴格落 實崗位責任制，確保研究過程高效、可控。 企業(yè)應(yīng)當跟蹤檢查研究項目進展情況，評估各階段研究成果，提供足夠 的經(jīng)費支持，確保項目按期、保質(zhì)完成，有效規(guī)避研究失敗風險。 企業(yè)研究項目委托外單位承擔的，應(yīng)當采用招標、協(xié)議等適當方式確定 受托單位，簽訂外包合同，約定研究成果的產(chǎn)權(quán)歸屬、研究進度和質(zhì)量 標準等相關(guān)內(nèi)容。 第八條 企業(yè)與其他單位合作進行研究的，應(yīng)當對合作單位進行盡職調(diào) 查，簽訂書面合作研究合同，明確雙方投資、分工、權(quán)利義務(wù)、研究成 果產(chǎn)權(quán)歸屬等。 第九條 企業(yè)應(yīng)當建立和完善研究成果驗收制度，組織專業(yè)人員對研究 成果進行獨立評審和

4、驗收。 企業(yè)對于通過驗收的研究成果，可以委托相關(guān)機構(gòu)進行審查，確認是否 申請專利或作為非專利技術(shù)、商業(yè)秘密等進行管理。企業(yè)對于需要申請 專利的研究成果，應(yīng)當及時辦理有關(guān)專利申請手續(xù)。 第十條 企業(yè)應(yīng)當建立嚴格的核心研究人員管理制度，明確界定核心研 究人員范圍和名冊清單，簽署符合國家有關(guān)法律法規(guī)要求的保密協(xié)議。 企業(yè)與核心研究人員簽訂勞動合同時，應(yīng)當特別約定研究成果歸屬、離 職條件、離職移交程序、離職后保密義務(wù)、離職后競業(yè)限制年限及違約 責任等內(nèi)容。 第三章 開發(fā)與保護 第十一條 企業(yè)應(yīng)當加強研究成果的開發(fā)，形成科研、生產(chǎn)、市場一體 化的自主創(chuàng)新機制，促進研究成果轉(zhuǎn)化。 研究成果的開發(fā)

5、應(yīng)當分步推進，通過試生產(chǎn)充分驗證產(chǎn)品性能，在獲得 市場認可后方可進行批量生產(chǎn)。 第十二條 企業(yè)應(yīng)當建立研究成果保護制度，加強對專利權(quán)、非專利技 術(shù)、商業(yè)秘密及研發(fā)過程中形成的各類涉密圖紙、程序、資料的管理， 嚴格按照制度規(guī)定借閱和使用。禁止無關(guān)人員接觸研究成果。 第十三條 企業(yè)應(yīng)當建立研發(fā)活動評估制度，加強對立項與研究、開發(fā) 與保護等過程的全面評估，認真總結(jié)研發(fā)管理經(jīng)驗，分析存在的薄弱環(huán) 節(jié)，完善相關(guān)制度和辦法，不斷改進和提升研發(fā)活動的管理水平。 企業(yè)內(nèi)部控制應(yīng)用指引第 18 號——信息系統(tǒng) 第一章 總則 第一條 為了促進企業(yè)有效實施內(nèi)部控制，提高企業(yè)現(xiàn)代化管理水平， 減少人為因素，

6、根據(jù)有關(guān)法律法規(guī)和《企業(yè)內(nèi)部控制基本規(guī)范》，制定 本指引。 第二條 本指引所稱信息系統(tǒng)，是指企業(yè)利用計算機和通信技術(shù)，對內(nèi) 部控制進行集成、轉(zhuǎn)化和提升所形成的信息化管理平臺。 第三條 企業(yè)利用信息系統(tǒng)實施內(nèi)部控制至少應(yīng)當關(guān)注下列風險： （一）信息系統(tǒng)缺乏或規(guī)劃不合理，可能造成信息孤島或重復(fù)建設(shè)，導(dǎo) 致企業(yè)經(jīng)營管理效率低下。 （二）系統(tǒng)開發(fā)不符合內(nèi)部控制要求，授權(quán)管理不當，可能導(dǎo)致無法利 用信息技術(shù)實施有效控制。 （三）系統(tǒng)運行維護和安全措施不到位，可能導(dǎo)致信息泄漏或毀損，系 統(tǒng)無法正常運行。 第四條 企業(yè)應(yīng)當重視信息系統(tǒng)在內(nèi)部控制中的作用，根據(jù)內(nèi)部控制要 求，結(jié)合組織架構(gòu)、業(yè)務(wù)范圍

7、、地域分布、技術(shù)能力等因素，制定信息 系統(tǒng)建設(shè)整體規(guī)劃，加大投入力度，有序組織信息系統(tǒng)開發(fā)、運行與維 護，優(yōu)化管理流程，防范經(jīng)營風險，全面提升企業(yè)現(xiàn)代化管理水平。 企業(yè)應(yīng)當指定專門機構(gòu)對信息系統(tǒng)建設(shè)實施歸口管理，明確相關(guān)單位的 職責權(quán)限，建立有效工作機制。企業(yè)可委托專業(yè)機構(gòu)從事信息系統(tǒng)的開 發(fā)、運行和維護工作。 企業(yè)負責人對信息系統(tǒng)建設(shè)工作負責。 第二章 信息系統(tǒng)的開發(fā) 第五條 企業(yè)應(yīng)當根據(jù)信息系統(tǒng)建設(shè)整體規(guī)劃提出項目建設(shè)方案，明確 建設(shè)目標、人員配備、職責分工、經(jīng)費保障和進度安排等相關(guān)內(nèi)容，按 照規(guī)定的權(quán)限和程序?qū)徟髮嵤? 企業(yè)信息系統(tǒng)歸口管理部門應(yīng)當組織內(nèi)部各單位提出開發(fā)需求和關(guān)

8、鍵控 制點，規(guī)范開發(fā)流程，明確系統(tǒng)設(shè)計、編程、安裝調(diào)試、驗收、上線等 全過程的管理要求，嚴格按照建設(shè)方案、開發(fā)流程和相關(guān)要求組織開發(fā) 工作。 企業(yè)開發(fā)信息系統(tǒng)，可以采取自行開發(fā)、外購調(diào)試、業(yè)務(wù)外包等方式。 選定外購調(diào)試或業(yè)務(wù)外包方式的，應(yīng)當采用公開招標等形式擇優(yōu)確定供 應(yīng)商或開發(fā)單位。 第六條 企業(yè)開發(fā)信息系統(tǒng)，應(yīng)當將生產(chǎn)經(jīng)營管理業(yè)務(wù)流程、關(guān)鍵控制 點和處理規(guī)則嵌入系統(tǒng)程序，實現(xiàn)手工環(huán)境下難以實現(xiàn)的控制功能。 企業(yè)在系統(tǒng)開發(fā)過程中，應(yīng)當按照不同業(yè)務(wù)的控制要求，通過信息系統(tǒng) 中的權(quán)限管理功能控制用戶的操作權(quán)限，避免將不相容職責的處理權(quán)限 授予同一用戶。 企業(yè)應(yīng)當針對不同數(shù)據(jù)的輸入方式，考慮

9、對進入系統(tǒng)數(shù)據(jù)的檢查和校驗 功能。對于必需的后臺操作，應(yīng)當加強管理，建立規(guī)范的流程制度，對 操作情況進行監(jiān)控或者審計。 企業(yè)應(yīng)當在信息系統(tǒng)中設(shè)置操作日志功能，確保操作的可審計性。對異 常的或者違背內(nèi)部控制要求的交易和數(shù)據(jù)，應(yīng)當設(shè)計由系統(tǒng)自動報告并 設(shè)置跟蹤處理機制。 第七條 企業(yè)信息系統(tǒng)歸口管理部門應(yīng)當加強信息系統(tǒng)開發(fā)全過程的跟 蹤管理，組織開發(fā)單位與內(nèi)部各單位的日常溝通和協(xié)調(diào)，督促開發(fā)單位 按照建設(shè)方案、計劃進度和質(zhì)量要求完成編程工作，對配備的硬件設(shè)備 和系統(tǒng)軟件進行檢查驗收，組織系統(tǒng)上線運行等。 第八條 企業(yè)應(yīng)當組織獨立于開發(fā)單位的專業(yè)機構(gòu)對開發(fā)完成的信息系 統(tǒng)進行驗收測試，確保在功

10、能、性能、控制要求和安全性等方面符合開 發(fā)需求。 第九條 企業(yè)應(yīng)當切實做好信息系統(tǒng)上線的各項準備工作，培訓(xùn)業(yè)務(wù)操 作和系統(tǒng)管理人員，制定科學(xué)的上線計劃和新舊系統(tǒng)轉(zhuǎn)換方案，考慮應(yīng) 急預(yù)案，確保新舊系統(tǒng)順利切換和平穩(wěn)銜接。系統(tǒng)上線涉及數(shù)據(jù)遷移 的，還應(yīng)制定詳細的數(shù)據(jù)遷移計劃。 第三章 信息系統(tǒng)的運行與維護 第十條 企業(yè)應(yīng)當加強信息系統(tǒng)運行與維護的管理，制定信息系統(tǒng)工作 程序、信息管理制度以及各模塊子系統(tǒng)的具體操作規(guī)范，及時跟蹤、發(fā) 現(xiàn)和解決系統(tǒng)運行中存在的問題，確保信息系統(tǒng)按照規(guī)定的程序、制度 和操作規(guī)范持續(xù)穩(wěn)定運行。 企業(yè)應(yīng)當建立信息系統(tǒng)變更管理流程，信息系統(tǒng)變更應(yīng)當嚴格遵照管理 流程進

11、行操作。信息系統(tǒng)操作人員不得擅自進行系統(tǒng)軟件的刪除、修改 等操作；不得擅自升級、改變系統(tǒng)軟件版本；不得擅自改變軟件系統(tǒng)環(huán) 境配置。 第十一條 企業(yè)應(yīng)當根據(jù)業(yè)務(wù)性質(zhì)、重要性程度、涉密情況等確定信息 系統(tǒng)的安全等級，建立不同等級信息的授權(quán)使用制度，采用相應(yīng)技術(shù)手 段保證信息系統(tǒng)運行安全有序。 企業(yè)應(yīng)當建立信息系統(tǒng)安全保密和泄密責任追究制度。委托專業(yè)機構(gòu)進 行系統(tǒng)運行與維護管理的，應(yīng)當審查該機構(gòu)的資質(zhì)，并與其簽訂服務(wù)合 同和保密協(xié)議。 企業(yè)應(yīng)當采取安裝安全軟件等措施防范信息系統(tǒng)受到病毒等惡意軟件的 感染和破壞。 第十二條 企業(yè)應(yīng)當建立用戶管理制度，加強對重要業(yè)務(wù)系統(tǒng)的訪問權(quán) 限管理，定期審閱

12、系統(tǒng)賬號，避免授權(quán)不當或存在非授權(quán)賬號，禁止不 相容職務(wù)用戶賬號的交叉操作。 第十三條 企業(yè)應(yīng)當綜合利用防火墻、路由器等網(wǎng)絡(luò)設(shè)備，漏洞掃描、 入侵檢測等軟件技術(shù)以及遠程訪問安全策略等手段，加強網(wǎng)絡(luò)安全，防 范來自網(wǎng)絡(luò)的攻擊和非法侵入。 企業(yè)對于通過網(wǎng)絡(luò)傳輸?shù)纳婷芑蜿P(guān)鍵數(shù)據(jù)，應(yīng)當采取加密措施，確保信 息傳遞的保密性、準確性和完整性。 第十四條 企業(yè)應(yīng)當建立系統(tǒng)數(shù)據(jù)定期備份制度，明確備份范圍、頻 度、方法、責任人、存放地點、有效性檢查等內(nèi)容。 第十五條 企業(yè)應(yīng)當加強服務(wù)器等關(guān)鍵信息設(shè)備的管理，建立良好的物 理環(huán)境，指定專人負責檢查，及時處理異常情況。未經(jīng)授權(quán)，任何人不 得接觸關(guān)鍵信息設(shè)備。