文档及关键控制差距分析——信息系统总体环境（讨论草稿） 公司： 位置： 时间： low：表明虽然短期来看不会造成对影响领域的重大风险，但是需要进行进一步的管理评估以判断该问题对组织整体运行带来的长期影响。 Med：表明如果该问题不在未来3～4个月内解决，可能对影响领域造成重大风险。 High：表明如果该问题不在未来1～2个月内解决，可能对影响领域造成重大风险。 潜在差异 测评模型 关键点对 应 设计无效性/运 控制缺陷/ 重大缺陷/ 测试人 序号 CYCLE 控制层面 流程 流程 流程与步骤 差距描述 管理层的计划 行无效性 实质性漏 2.9.1.2.1 对每一业务流程，相关业务数据的所有权归属业务 部门。各应用系统负责人指派专人负责本系统的安 2.9.1.2.1全和接触权限的分配，并由系统管理员在系统中新 增、删除、变更用户的权限，此过程均需取得系统 责任人的签字。操作系统的所有权归信息中心负责 人。 参照内控手册改进 a.目前各个系统未指定业务部门对数据的所有权。 b.目前无系统负责人分配的记录文档。 a.设计无效性 b.运行无效性 c.运行无效性 IT Control Environment 信息系统 控制环境1IT 信息系统 c.系统负责人负责修改用户权限，无签字确认。 运行无效性 参照内控手册改进 参照内控手册改进 参照内控手册改进 2.9.1.2.2 IT Control Environment 信息系统 控制环境 信息系统的每一岗位均有职责描述，每年人力资源信息部只有一个岗位职责说明，并非信息系统的每一 部协同信息中心对其的岗位职责进行更新，更新后岗位均有职责描述。 的岗位职责描述通过OA发给每个信息系统员工。2 IT 信息系统 2.9.1.2.2 运行无效性 IT Control Environment 信息系统 控制环境 2.9.1.2.33 45 IT IT 信息系统 信息系统 2.9.1.2.3 2.9.1.3.1 无具体职责分工表的文档记录 管理层要保证不相容职务不能由一人担任。 2.9.1.3.1 设计无效性 运行无效性 没有规定信息系统安全培训的时间频率。 信息中心每年还开展专业技能的培训，包括新开发/ 2005年度信息部没有组织本厂信息系统安全培训和记 变更的系统、新公布的信息欧亿·体育（中国）有限公司标准等。专业培训 录 IT Control Environment 信息系统 控制环境 的有关培训欧亿·体育（中国）有限公司存档于信息中心。 信息中心应该建立完整的信息 处理控制体系，如质量控制目 标、质量控制计划和标准操作 流程等。 2.9.1.3.2 在员工工作变更时，按照新的岗位需要相应设置其 2.9.2.3.2权限。员工离职时，应清除其原岗位的工作账户及 密码，所有工作移交完毕且离职单经各相关部门签 字后方可离岗。 IT Control Environment 信息系统 控制环境 人员离岗时无流程保障系统中的帐号和权限及时取消 。 2.9.1.4.1 所有员工必须接受系统安全原则的培训和教育。人 力资源部保存培训的参与情况、培训内容、考核结 果等文档记录。 运行无效性 运行无效性 参照内控手册改进 参照内控手册改进 《2005年度全厂培训工作计划》中没有针对信息部员 工的培训计划。 2005年度没有信息部员工的培训。 IT Control Environment 信息系统 控制环境6 78 IT IT IT 信息系统 信息系统 信息系统 2.9.2.4.1 2.9.2.2.1 IT Control Environment 信息系统 控制环境 2.9.2.2.1信息中心负责人每月检查其所负责方面的工作是否2005年度迄今为止没有执行相关检查。 按公司信息系统工作相关的政策和程序进行。如发 现违规情况，根据政策规定提出处理措施 2.9.2.2.2 运行无效性 参照内控手册改进 制度中没有要求信息化管理领导小组对信息中心和各 业务流程的信息化工作进行检查。 2005年度迄今为止没有执行相关检查。 IT Control Environment 信息系统 控制环境 信息化管理领导小组每季度检查信息中心和各业务 流程的信息化工作。如发现违规情况，根据政策规 定提出处理措施 2..9.2.2.20 Page 1 运行无效性