企业内部控制电子资料处理循环.docx
- 文档编号:29078793
- 上传时间:2023-07-20
- 格式:DOCX
- 页数:24
- 大小:50.59KB
企业内部控制电子资料处理循环.docx
《企业内部控制电子资料处理循环.docx》由会员分享,可在线阅读,更多相关《企业内部控制电子资料处理循环.docx(24页珍藏版)》请在冰豆网上搜索。
企业内部控制电子资料处理循环
ThismanuscriptwasrevisedbytheofficeonDecember10,2020.
企业内部控制电子资料处理循环
内部控制制度
《电子资料处理循环》
文件管制等级:
□管制文件 □非管制文件
文件履历纪要页
文 件 发 行 单 位
文 件 管 制 等 级
管理代表
□管制文件
□非管制文件
文 件 履 历 纪 录
版次
修 订 内 容
核准
权责
编撰
日期
0
第1版(新发行)
1.
总则
1.1.制定目的
为促使本公司「内部控制」(InternalControl)之「电子资料处理循环」(ElectronicData)程序,能有所遵循,特订定本文件,俾利各相关单位遵循。
1.2.适用范围
凡本公司有关「内部控制」之「电子资料处理循环」作业程序与控制重点,悉依照本文件之规范办理。
1.3.权责单位
资讯单位为本文件之权责单位,权责单位主管经承认单位授权,负责本文件之管制,并确保依据本文件之规范作业。
2.电子资料处理循环
2.1.循环图
【见】(资料1)「电子资料处理循环图」。
2.2.循环作业
本循环之各项作业:
1)组织及职责作业(CE101),另订之。
2)系统开发及修废作业(CE102),另订之。
3)系统应用文书管理作业(CE103),另订之。
4)系统使用管理作业(CE104),另订之。
5)资料输出入管理作业(CE105),另订之。
6)资料处理作业(CE106),另订之。
7)档案及设备之安全作业(CE107),另订之。
8)软硬体设备管理作业(CE108),另订之。
9)系统复原及测试作业(CE109),另订之。
10)电脑机房管理作业(CE110),另订之。
11)网路系统管理作业(CE111),另订之。
12)其他相关庶务管理作业(CE112),另订之。
3.附则
3.1.制修废与颁布实施
本文件属於管理文件,经『经营会』审议後,呈请董事长核准承认後,交由权责单位颁布公告实施;修订或废止时亦同。
3.2.编号、版本、日期、页次/页数
本文件之项类、标题、编号、版本、实施日期、公司名称、文件页次/页数等项,见本文件之页首与页尾。
3.3.附件
3.3.1.相关资料
(资料1)「电子资料处理循环图」
(资料1)「电子资料处理循环图」
其他相关循环
CE101
←------
--------
------→
组织及
职责
|
|
CE102
|
CE107
系统开发及修废
←------
---┼---
------→
档案及设备之安全
|
|
|
CE103
|
CE108
系统应用文书管理
←------
---┼---
------→
软硬体设备管理
|
|
|
CE104
|
CE109
系统使用管理
←------
---┼---
------→
系统复原及测试
|
|
|
CE105
|
CE110
资料输出入管理
←------
---┼---
------→
电脑机房管理
|
|
|
CE106
|
CE111
资料处理
←------
---┼---
------→
网路系统管理
|
|
↓
CE112
其他相关庶务管理
第2節作业程序
1.设立目的
为因应公司长期发展之需要,指导公司电脑化,并规划企业管理与资讯应用相结合之管理资讯系统,以期提供即时正确之资讯,协助决策单位提昇管理绩效。
确定公司之软、硬体规划标准政策,以保公司之长期发展及电子资料处理之一致性。
资讯单位除依使用单位提出之需求作应用系统开发维护操作外,应规划评估新的电脑技术和应用,以提昇资讯系统之效率。
2.组织及职责
本公司资讯单位设主管、程式设计师与系统管理师等。
1)主管
(A)依公司政策,研拟短、中、长期电脑化作业之整体规划与整合。
(B)资讯业务之规划、执行、协调、督导及审核。
(C)资讯处理作业及控制办法之拟订。
(D)所属人员之管理,训练及考核。
(E)与其他单位之业务协调与沟通。
(F)系统文件、手册制作规划。
(G)新系统之评估、规划、分析、设计。
(H)资讯单位之预算编列和执行控制。
(I)电脑应用系统密码设定维护。
(J)其他上级交办事项。
2)程式设计师
(A)电脑资讯系统规划、分析、与设计。
(B)应用系统程式之开发、管理和维护。
(C)系统文件,操作手册之编制,维护和管理。
(D)使用单位之问题排除及软硬体技术支援。
(E)内部新进人员电脑教育训练。
(F)其他上级交办事项。
3)系统管理师
(A)电脑安全控制与管理。
(B)相关作业系统、应用系统、资料档案及资料库之管理及维护。
(C)资料档案与系统程式备份。
(D)硬体设备之维护。
(E)机房电脑及相关周边之安全与清洁。
(F)使用单位之问题排除及软硬体技术支援。
(G)资讯单位相关资源之维护管理。
(H)其他上级交办事项。
4)各单位电脑使用人员
(A)各单位使用电脑系统之人员,负责审查输入资料之凭证是否合於规定,并负责检查填写,登录有无错误。
(B)各单位使用电脑系统之人员,必需经由权责单位主管授权後,始可执行应用系统之日常交易资料输入与更正。
(C)严禁员工使用非法或XX的应用软体。
第3節控制要点
1)资讯单位之人员,是否依职责完成各项工作。
2)对已提出辞呈之资讯单位人员,是否避免允许其离职前接近敏感程式或档案。
3)员工离职时,该人员以前经手的一切文件、磁带、磁碟及磁片…等,是否盘点清楚并完作移交手续;员工离职後,该员曾接触之密码是否做适当的调整。
第4節作业程序
1.系统开发
1)使用单位对於现行系统功能需要变更或重新开发系统,应提出「系统开发/修改/废止申请单」,并将需求内容及要点详列於申请单中,经该单位直属主管提出需求申请,迳交资讯单位处理。
2)资讯单位收到申请单後,由单位主管指派资讯工程师处理。
3)系统分析及设计资讯人员进行系统功能之确认,并划分子系统且描述子系统之输出入规格及作业流程;若该系统开发後将会影响到其他单位之作业时,资讯单位主管或资讯工程师须与相关单位主管讨论会签後,再由资讯单位主管决定自行开发、外包或购买合法软体。
4)程式开发完成後,应会同相单位依照各项需求功能进行测试,若无问题则相关单位应於「系统开发/修改/废止申请单」上签认,并执行次一阶段作业。
2.系统修改
1)使用单位对於现行系统功能需要变更或重新开发系统,应提出「系统开发/修改/废止申请单」,并将需求内容及作要点详列於申请单中,经该单位直属主管提出需求申请,迳交资讯单位处理。
2)资讯单位收到申请单後,由单位主管指派资讯工程师处理。
3)资讯工程师依据修改内容及作业要点进行可行性分析,若须修改的内容有影响至其他单位之作业时,资讯单位主管或资讯工程师须与相关单位管讨论会签後,再由单位主管决定自行修改、外包或购买。
4)系统修改完成後,得会同相关单位依照各项需求功能进行测试,若无问题则请相关单位主管於原「系统开发/修改/废止申请单」上签名,并进行应用软体更新作业。
3.系统废止
1)当资讯单位或使用单位发现系统已不合时宜欲终止时,应填具「系统开发/修改/废止申请单」,并将其原因详列於申请单中,经各单位主管签核後,交由资讯单位处理。
2)资讯单位收到申请单後,由单位主管指派资讯工程师处理。
3)资讯工程师依据系统内容及作业要点进行分析,若该系统牵涉到其他单位时,资讯单位主管或资讯工程师须与相关单位主管讨论并会签意见。
4.资料备份
系统开发/修改完成後,须将原始程式及档案备份至磁带或磁片…等备份媒体上,并将备份的内容及备份媒体的编号,记录在「原始程式及相关档案备份纪录表」内。
5.作业期限
资讯单位依大、小型系统分别订工期,并依工期进行程式之新增及修改,若有多项需求同时申请时,资讯单位得依其重要性适时调整其工期,并记录在「系统开发/修改/废止进度管制表」内。
6.其他
1)未经许可,所有软体严禁拷贝。
2)系统外包厂商开发、修改及维护时,其所订合约应妥善保管。
软体版本如有更新时,应将旧版删除或加以管理,并将处理情形做成记录备查。
3)系统上线前均应逐一测试。
4)系统测试时,非经许可不可用线上实际之资料,须在测试区进行测试,待测试完成後,再正式开放给使用者使用。
系统测试完成上线时,应知会主要使用单位。
5)系统开发时,须撰写相关资料档案及文件,并留存备查。
6)系统修改时,须将相关文件一并随之修改,并留存备查。
7)资讯单位须制作操作手册,并随程式之修改更新之,并留存备查,且由资讯单位教导使用者如何使用新系统。
第5節控制重点
1)应用系统开发、修改、废止,是否依规定进行申请、验收及废止程序。
2)原始程式及相关档案是否依规定进行备份,并完成纪录。
3)应用系统开发、修改是否依时限完成。
4)应用系统开发、修改、废止等之相关合约、档案及文件有无妥善保管。
5)外购软体是否合法。
第6節相关资料
「系统开发/修改/废止申请单」、「原始程式及相关档案备份纪录表」、「系统开发/修改/废止进度管制表」等。
第7節作业程序
1)资讯单位自行开发之系统,应具备「系统应用说明书」,其内容应依下列大纲叙述:
(A)系统功能介绍。
(B)档案说明。
(C)事务作业流程图。
(D)系统模组架构表。
(E)程式名称一览表。
(F)操作说明。
2)资讯单位所有文书或档案,应指派专人保管存档。
3)系统或程式变更时,相关文书或手册应随即更新抽换。
4)所有系统文书之保管人於离职前,应依人事管理相关规定作业,并於完成离职手续後方可离职。
第8節控制重点
1)系统应用文书之编制应按照既定之标准。
2)确保所有系统说明文件均已按照既定之标准编制,足以供系统设计人员维护现有系统。
第9節相关资料
「系统应用说明书」等。
第10節作业程序
1.系统使用控制
1)所有新电脑系统使用者,须依其工作职掌以「系统使用需求申请/变更表」向资讯单位提出建置电脑系统识别码之申请,该项申请须经权责单位主管核准为之。
2)电脑系统使用者如有职务调动或离职,该项人事异动应知会资讯单位取消或更改其电脑系统使用识别码。
3)个人之电脑系统使用识别码及密码不得告知或提供他人使用,密码如有外泄,应即更换其密码。
4)个人之电脑使用者注册档,应不定期由专人复核以确保使用者确实存在,且无不当的使用情形。
5)个人之电脑系统识别码及密码,应存在经特别保护之档案,以防止XX之存取发生,且识别码及密码之建置应有适当控制,以避免遭不当引用而损及公司的重要档案。
2.程式的存取
原始程式档案应作权限管制,以防止系统或程式设计人员或使用者不当地更新原始程式档案,而对公司资源造成损害。
3.资料的存在
1)如紧急资料主档有变更需求时,应由使用单位主管核准後,以「系统开发/修改/废止申请单」向资讯单位提出申请。
2)目前正在上线正常运作中之资料,需经资讯单位主管的认可,才能编修与校正。
第11節控制重点
1)应有适当措施以预防公司机密或重要资料,遭XX之揭露及蓄意或非故意的取用。
2)应能保护公司重要资料不遭蓄意或非故意更改或毁损,并及时侦测公司重要资料遭不当的揭露或取用。
第12節相关资料
「系统使用需求申请/变更表」、「系统开发/修改/废止申请单」等。
第13節作业程序
1.输入控制
1)对於所有赖以输入电脑之凭证输入,电脑要会产生唯一性之编号,并做对此笔资料的唯一识别。
2)资料处理时,可能发生之故障与疏忽或原始资料之错误而使主档资料受损者,均应在程式中详为防范与补救。
3)输入之资料能由程式执行资料校核者,应厘订检查与控制方法,纳入程式设计范围之内,才能发现问题避免错误。
4)错误资料及资料输入错误之更正,须填具「资料库修改申请单」经适当程序,并经权责主管核准;错误资料更正後,应能确定资料已经更正无误,并回覆「资料库修改申请单」後留下纪录,送交权责主管覆核。
2.输出控制
1)各操作人员之报表列印权限,经由相关单位主管会同资讯单位主管核定,始能执行列印作业。
2)凡属非定期,重要性及特殊需求之报表,应由需求单位填写「资料需求申请单」,并经权责主管核准後,送请资讯单位或相关单位专人执行。
3)输出资料使用後若无保存需要,应经适当毁弃处理。
4)输出资料若发现错误,应及时通知资讯单位人员做必要更正,并重新执行资料处理作业。
第14節控制重点
1)确保输入电脑之资料有适当的凭证及授权。
2)於电脑系统中设定输入检核之功能以确保输入程序之正确性及完整性。
3)确保各种资料之机密及资讯输出能满足使用者之需求。
第15節相关资料
「资料库修改申请单」、「资料需求申请单」等。
第16節作业程序
1)各项电脑系统操作程序皆需依操作手册实施。
2)各电脑系统维护由专人维护。
3)电脑操作或维护时,所发生之重要问题事件,应记载於「电脑维护日志」上。
4)资料处理执行时,应做一般检核控制,以避免人为错误。
5)资料处理过程中,因错误或不可抗拒之因素,导致需重新处理时,应即时复原,以确保资料处理之正确性。
第17節控制重点
1)电脑系统操作程序是否依操作手册实施。
2)确保系统正常运作,防止操作错误并确保资料处理的可靠性、正确性、及时性。
第18節相关资料
「电脑维护日志」等。
第19節作业程序
1.档案管理
硬碟内之系统目录档案应定期整理,并将不需之档案或目录由专人负责施以消除或重整作业,以节省磁碟机使用空间并增加系统运作效能。
2.备份制作
1)根据各使用档案资料之重要性,制作资料备份或复原回存。
2)系统应每日备份,并实施月备份。
3)於「资料备份日志表」上,详细记录备份资料之操作日期、起迄时间、资料内容、磁带编号。
4)资讯单位主管,应定期检视备份制作之完整性。
3.媒体保存及管理
1)更新後及所有日常备份完成之媒体,应分别存放於隔不同楼层的防潮箱中。
2)所有媒体之存放地点皆应有防火、防潮、防水及防尘装置、灭火设备,并定期实施检测以确保储存之安全性。
第20節控制重点
1.机房环境控制
1)电脑机房应有适当的消防设备据以保护各项设备。
2)机房应保持适当之温度及湿度,设有独立之空调设备,并设置温湿度计,以随时监控机房环境。
2.设备实体安全管理
1)机房内应设置电力设备,如稳压器、不断电设备等,以确保电路稳定及供作紧急处理用。
2)机房应随时记录机器运转状况,对机器停止原因、维修次数、更换零件等,均应详细记录以利追踪。
3)网路工作站及单机式或可携带式电脑等,皆应有病毒侦测软体之程式,以避免档案遭受损害。
4)定期对机房之各项安全控制设施实行检测并记录测试结果,由资讯单位主管定期覆核。
5)电脑机房及其他敏感地区(如档案、磁带/磁碟储存区及通讯设备区等)严禁闲人进入,非资讯单位主管允许绝不能携出或带入不相关东西。
6)有关硬体设备都列入资产管理,并编列维护费用以确保机器正常运转。
第21節相关资料
「资料备份日志表」等。
第22節作业程序
1.硬体
1)由各需求单位提出,经该单位主管核准,并经资讯单位主管会签,呈董事长核准後始可采购。
2)硬体的安装、维护、由资讯单位负责。
3)硬体的保管,由各保管人自行负责。
4)硬体发生故障时,须将故障处理情形记录於「故障维修纪录表」内并备查。
2.软体
1)系统软体之请购需求,由需求单位填写「软体需求单」後交资讯单位,由资讯单位评估购买。
2)软体的安装、维护,由资讯单位负责。
3)使用者所建立的资料,由各使用者自行备份。
4)软体发生问题时,须将问题处理情形记录於「故障维修纪录表」内并备查。
3.防毒软体
1)为避免PC硬碟中之档案,因感染病毒而造成系统或资料损毁,於PC上均须安装防毒软体;防毒软体的安装、设定、维护及档案…等资料均应妥善保存。
4.PC移转作业
1)PC进行移转作业时,应依相关资产管理规定为之,若属单位内移转,则由单位主管自行决定硬碟资料是否保留;若属跨单位移转,则为防止机密资料外泄,一律重新安装硬碟。
第23節控制重点
1)软硬体相关设备,是否依相关资产管理规定确实保管好。
2)各项设备装置故障时,是否做成记录,并述明现象、发生原因及采取措施…等。
3)防毒软体是否确实安装及正常运作。
4)PC跨单位移转时,是否完成硬碟重新安装作业。
5)硬体送修,是否依相关规定为之。
第24節相关资料
「故障维修纪录表」、「软体需求单」等。
第25節作业程序
1)尽速切断灾变来源,以减少电脑设备损失。
2)尽速恢复可用设备之运转。
3)调用及运用备份设备或资料进行灾变回复。
4)速通知使用单位进行时差性资料之补建工作。
5)如遇重大灾变致影响业务活动时,应就系统之重要性逐一复原并予以测试。
6)资讯单位应适当模拟灾变情况之复原对策、计划,并每半年需予执行演练一次,以确保灾害复原之正确性。
第26節控制重点
1)为避免灾变发生,需随时注意可能造成灾变因素之环境。
2)资料备份系统档案应放置安全环境下,以因应突发状况。
3)系统复原应经适当测试,以确保复原。
第27節作业程序
1)机房内禁止吸菸、进用食物及饮料。
2)机房内不得有易燃物或散置垃圾及私人物品,以保持清洁。
3)非资讯单位人员不得任意进入机房。
4)机房大门平时须上锁。
5)机房中所有机器设备均应由资讯单位人员或由资讯单位人员陪同下,依规定启动及操作。
6)空调系统管理、电力系统管理
(A)温度范围:
15~25℃。
(B)湿度范围:
40﹪~60﹪。
(C)以UPS确保电力供应之稳定。
(D)保养、维修,依相关保养维修规定作业之。
第28節控制重点
1)电脑机房是否依规定进行管制。
2)空调系统是否定期检查及保养。
3)电力系统是否定期检查及保养。
第29節作业程序
1.网路及其周边设备管理
1)网路设备(例如:
电脑主机、伺服器、Router、Switch、Hub…等)应安装稳压及不断电电力系统装置(UPS),以避免电压不稳及不预期之断电时,造成资料之流失。
2)须建立「网路系统配置图」、「网路设备配置图」及「网路使用者端配置图」并随时更新,以供维护人员查阅,并定期对於各线路检测,以保持网路之畅通。
3)启动设备时应注意运转是否正常。
4)网路设备须依「网路设备检查项目及程序」,每月定期检查并填立「网路设备检查纪录表」,以预防问题之发生。
5)网路设备如发生故障时,应将其处理情况记录於「故障维修纪录表」内,以供查阅。
2.作业系统及应用软体之建立及维护
1)作业系统及应用软体之建立由资讯单位负责,必要时可由专业厂商协助。
2)作业系统或应用软体建立时之相关文件及档案须妥善保管,并建立「网路作业系统/应用软体维护纪录表」。
3)作业系统及应用软体更新前,须经资讯单位主管同意後进行更新,并将更新之内容记录於「网路作业系统/应用软体维护纪录表」内。
4)作业系统或应用软体因故停止使用前,须经资讯单位主管同意後进行处理,并将处理结果记录於「网路作业系统/应用软体维护纪录表」内备查。
3.使用者权限管理
1)有网路作业需求或须调整使用权限者,须向资讯单位提出「网路帐号使用权限申请单」,经资讯单位主管审核同意後,交由资讯工程师完成使用者权限设定。
2)研发单位专属之作业系统,因其作业性质较为特殊及安全上的考量,使用者之管理权限由研发单位自行管理。
3)使用者密码关系到资料安全与防护,严禁张贴於电脑或电脑萤幕上。
4)资讯单位须建立「网路使用者权限一览表」,并对所设定之权限详述之。
4.档案资料管理
1)须建立「磁碟档案配置表」、「系统软体配置表」并随时更新,以供维护人员查阅。
2)当操作者输入资料错误或系统本身问题,造成资料错误且程式不予许修改时,得由资讯单位或需求单位提出「资料库修改申请单」,并将修改原因详列於申请单,经该单位主管签核後,迳交资讯单位处理。
3)资讯单位收到申请单後,由单位主管指派资讯工程师处理。
资讯工程师依据修改内容及作业要点进行分析,若该资料库修改将影响到其它单位之作业时,资讯单位主管或资讯工程师须与相关单位主管讨论会签後完成修改,并将处理结果记录於原「资料库修改申请单」中备查。
4)硬碟资料,若经使用单位或资讯单位人员判定短期内不再使用,则可由资讯单位或使用单位提出「历史资料清除申请单」。
5)资讯单位收到申请单後,由单位主管指派资讯工程师处理。
资讯工程师依据修改内容及作业要点进行分析,若该资料库修改将影响到其它单位之作业,资讯单位主管或资讯工程师须与相关单位主管讨论会签後,由资讯单位将资料转入备份(如磁碟、磁带…等),并将磁碟资料予以删除,其处理结果记录於原「历史资料清除申请单」中备查。
5.网路安全防护
为避免档案因感染病毒而造成系统或资料损毁,於主机及伺服器上均须安装防毒软体,防毒软体的安装及设定及维护及档案资料均须妥善保存。
6.网路主机、伺服器之资料备份
1)每日做一次Differentialbackup,每星期做一次fullbackup,每月并将重要资料做成CD片永久保存。
2)备份媒体须妥善保管,己存有资料之备份媒体则须放置於安全的地方。
3)网路主机、伺服器之资料备份之安装、设定及操作程序等,须详载於「主机/伺服器备份/回复之安装、设定及操作程序」内。
。
7.系统回复作业
1)当系统或应用程式发生异常或错误且已无法回复时,得采行本作业。
2)回复前立即要求线上使用者退出系统。
3)资讯单位依「主机/伺服器备份/回复之安装、设定及操作程序」进行回复作业。
4)资料回复作业完成後,若须补建资料,应知会相关单位补建。
第30節控制重点
1)各项设备装置是否定期检查,并做成纪录。
2)各项设备装置故障时,是否做成纪录并述明现象、发生原因及采取措施…等。
3)网路系统使用者之使用权限,有无依照规定程序完成申请手续并经核准。
4)现有的网路使用者权限设定是否有不当之处。
5)对网路系统之档案资料修改清除时,是否依规定程序办理。
6)网路磁碟空间是否足够,过期资料是否适时完成清理。
7)防火墙及防毒软体是否正常运作。
8)资料备份是否正常运作。
9)备份媒体(如磁带、CD片…等)是否妥善保存。
第31節相关资料
「网路系统配置图」、「网路设备配置图」、「网路使用者端配置图」、「网路设备检查项目及程序」、「网路设备检查纪录表」、「故障维修纪录表」、「网路作业系统/应用软体维护纪录表」、「网路帐号使用权限申请单」、「网路使用者权限一览表」、「磁碟档案配置表」、「系统软体配置表」、「资料库修改申请单」、「历史资料清除申请单」
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 企业内部 控制 电子 资料 处理 循环