企业信息化制度(通用8篇)
企业信息化制度 篇1
信息化管理制度
第一章 总则
第一条为使公司在管理上跟上时代的发展,借助网络及计算机等现代化的环境及工具,创造及巩固企业信息化发展的软环境及硬环境,提高工作及管理效率,特制定《信息化管理制度》。
第二条信息化工程是一个长期的系统管理工程,必须做好系统测试、运行及维护工作,系统持续改善。
第二章 信息化工作管理
第三条严格按企业发展规划及信息化发展计划开展工作。
第四条协助宣传部门搞好企业信息化宣传材料的准备工作,针对不同层次做到由浅入深。
第五条搞好企业信息化发展的外部环境,与各级政府及组织保持良好的关系,尽力争取经济政策上的支持。
第六条搞好公司各应用系统的选型、采购工作,软件的选型要从公司实际需求出发,强调软件原厂商及实施商的技术实力与发展软件产品的适应性,追求软件的性价比。实施时,与软件原厂商、实施商、技术依托单位保持密切联系;发挥各业务部门的主观能动性,树立服务思想。硬件采购追求性价比、实用性、安全性及扩充性等,并做好验收等把关工作。
第七条系统的软、硬件维护、管理及调配由信息中心组织
实施,归口管理。维护工作做到系统正常运行,管理工作做到账
物一致,调配工作做到按需分配,充分发挥系统软、硬件的效率。
第八条办好企业网站,维护企业网页,保障网络安全。
第九条严禁拆换网络计算机及相关设备的零部件。
第十条搞好网络管理工作,公司内部网必须把好用户及密
码关,合理分配IP地址,搞好虚网划分及管理工作。
第十一条各部门对硬件设备的使用,必须按相关设备操作
规程进行;软件的使用严格按操作指南进行,不得任意删改系统
文件及他人文件。
第十二条计算机信息系统的保密管理实行领导负责制,指
定专人管理,制订相应的管理制度,对涉密的计算机要严格审查。
第十三条网络及其他单元系统用机的软件安装及维护必
须由信息中心相关管理人员确认以后进行。
第十四条信息系统要尽量减少信息孤岛,开发的平台应结
合网络系统实际来定,避免孤立行事,将开发纳入信息化发展正
常渠道。
第十五条信息中心负责和协助搞好企业计算机及相关设
备的调研、选型、采购、实施、管理、维护、调配等工作。
第十六条信息中心负责和协助处理各部门在使用网络及
计算机过程中遇到的问题。
第十七条严格按需求或计划采购计算机及相关设备,验收
时严格按合同设备配置清单执行,认真作好验收记录,对不合格
品负责退换。
第十八条主管部门负责做好设备的入库或转固定资产工
作。
第三章 内部计算机安全防范管理
第十九条凡配有计算机的部门须建立健全必要的安全防
范管理制度,认真落实安全防范措施,并负责对使用和管理计算
机的人员进行教育管理。
第二十条计算机管理和使用人员必须严格执行各项管理
制度,完善计算机台帐,计算机软件未经批准,不得擅自带出和
外借,自觉做好保密、防盗和防病毒工作,更不得用计算机从事
任何违法活动。
第二十一条加强计算机室内火种、电源的管理,不得擅自
动明火,禁止存放易燃易爆物品,使用电源必须保证安全。
第二十二条计算机部位的安全防护措施必须完善,人员离
开后关窗锁门。
第二十三条外来人员未经主管领导同意不得擅自进入计
算机室或操作计算机。
第二十四条各部门重点检查安全管理制度是否健全,管理
人员是否落实,防范措施是否完善,对存在的隐患要立即进行整
改。
第四章 信息保密管理
第二十五条依据公司保密管理办法,公司计算机管理应建
立相应的保密制度,应采取以下计算机保密方法:
1.同密级文件存放于不同计算机中;
2.设置进入计算机的密码;
3.设置进入计算机文件的密码或口令;
4.对计算机文件、数据进行加密处理。
5.为保密需要,定期或不定期地更换不同保密方法或密码口
令。
6.经申请并获得批准,才能查询、打印有关计算机保密资料。
第五章 信息化网络安全管理
第二十六条计算机安全管理由主管部门负责。第二十七条计算机操作人员要加强自身修养,遵守职业道
德和工作纪律。
第二十八条计算机操作人员要熟练掌握紧急情况下采取
应急措施的方法和步骤。
第二十九条各部门计算机操作人员应经常进行病毒检测。
第三十条发现病毒应立即采取措施进行病毒清理,新发现的病毒类型和重大安全事故应及时上报。
第三十一条操作人员要遵守工作纪律,严格按工作权限进
行操作,严禁利用计算机技术超越权限访问或私自修改他人信
息。
第三十二条严禁利用计算机技术制造和传播病毒,严禁攻
击和非法访问服务器。
第三十三条在网络通讯和系统内部互相传递媒体介质时,进行病毒检测后方可传送,对于外来的、未经检测的软件和数据
一律不准上机和上网。
第三十四条计算机管理人员要坚持原则,遵守国家保密法
和信息工作纪律,认真履行工行职责,确保不泄密。
第三十五条对需要长期保存的数据,应做双重备份,以防
止数据丢失。
第六章 附则
第四十条本管理办法由信息中心负责解释。
第四十一条本管理办法自发布之日起施行。
企业信息化制度 篇2
1. 会计信息化
会计信息化作为信息社会对企业财务信息管理提出的新要求, 是信息技术与会计内在融合的一种主要形式。它是网络环境下企业领导者获取信息的主要渠道, 有助于增强企业的竞争力, 解决会计电算化存在的“孤岛”现象, 提高会计管理决策能力和企业管理水平。
2. 会计信息化的特征
首先, 集成性。会计信息系统不仅包括会计管理信息系统和会计决策支持系统, 同时还包括基本的会计运算系统, 通过系统之间的相互融合, 相互集成, 为企业管理信息化的实现奠定了重要的基础。
其次, 开放性。随着信息技术和网络的快速发展, 会计信息化的开放性和资源共享性表现的淋漓尽致。数据可以通过网络实现企业内部、企业与外部之间的相互交换, 实现企业的开放性发展。
再次, 渐进性。会计信息化作为电算化的发展的高级阶段, 是一个从初级到高级不断发展的过程, 在不同的发展阶段和发展时期, 会计信息化具有不同的表现, 在内容上也实现了内在的创新和发展。
二、会计信息化背景下企业内部控制存在的问题
1. 开放的网络环境侵蚀着内部控制壁垒
网络环境无疑给会计信息化的深入发展注入的新的活力, 但也不可避免的受到其深远的影响。随着信息技术和网络的快速发展, 会计信息化的开放性和资源共享性表现的淋漓尽致, 数据在自由交换的同时, 会计信息系统内部控制也面临着一些新的问题, 其内部控制壁垒受到了严峻挑战。例如:在数据传输的过程中, 有可能会被非法拦截、修改或者窃取, 同时一些病毒也会通过网络进行传播, 对企业内部控制系统造成冲击。
2. 原始数据操作的准确性失真
在会计信息化的背景下, 数据是在程序控制下运行的, 对数据源进行加工处理之后, 存储在磁性介质上。通常情况下, 电脑中的原始数据是通过人工实现录入的, 一旦原始数据出现问题, 那么整个企业会计核算环节中的数据都可以出现失真的情况, 这样就很容易为企业内控制度的完善造成阻碍作用, 不利于企业的健康运行。
3. 会计核算的范围逐步扩大
会计信息化技术的运用使会计部门的组成人员结构发生变化, 由原来的财务、会计人员转变为由财务、会计人员和计算机操作员、网络系统维护员、网络系统管理员等组成。在信息化的发展背景下, 会计业务处理的范围逐步增大, 这也在一定程度上加大了会计核算的整体难度, 造成了企业内部控制制度的方法和范围更为复杂。
三、会计信息化背景下优化内部控制的对策
1. 不断优化内部控制环境
首先, 加大处罚力度。就目前来看, 我国还没有针对会计信息化舞弊的专门法律, 在一定程度上加大了个人或者公司进行舞弊的动机, 严重影响了企业的健康成长。所以, 必须加大对舞弊的处罚力度, 增加制造虚假问题的成本, 为良好内控制度的建立奠定前提;其次, 凸显内部审计的作用。不断提高审计的重要性, 提高审计部门的权威, 不断明确审计的目标和范围, 提出有针对性的措施和改进意见;再次, 优化公司组织控制结构。为了避免多头领导、全责不清的问题, 公司可以采用中立的组织结构, 引入弹性化的人力资源管理方式。
2. 完善企业风险管理机制
首先, 不断优化企业风险控制成本分析系统。通过对成本体系的分析, 对各种预期成本进行核算, 进而更好地评估和识别风险, 积极采取行动管理风险, 进而对管理的效果进行检查和监督;其次, 不断创新企业会计控制, 健全预算和责任控制。通过借助信息资源和信息技术, 及时对顾客信息、供求状况进行整理和收集, 通过模型分析, 进行敏感度分析, 完善投资决策, 确保企业内部控制制度的优化运行。
3. 完善监督管理机制
首先, 积极完善审计法规, 提高审计技术。不仅要完善原有的技术规范, 统一网络技术管理规范, 升级计算机系统软件, 针对企业信息化环境, 加强审计专业人才的培养;其次, 我们要加强内部控制理论研究, 将内部控制置于企业管理的重要位置上, 积极探索其在企业管理中的重要作用, 改变人们对内部控制的错误认识, 提高人们对它的重视程度, 切实发挥内部控制在企业发展中的重要作用, 重新找回人们对会计管理的信心。
摘要:对于一个企业而言, 内部控制的主要目标就是要在控制企业内部各个环节的基础上实现经营效益的提升。内部控制的完善与否在很大程度上直接关系着企业未来发展的好坏, 必须高度重视。随着会计信息化的深入发展, 内部控制不仅有着良好的发展机遇, 同时也面临着严峻的挑战。企业必须不断改进内部控制系统, 力图更好地预防会计信息化带来的各种风险, 确保企业的有效运行。
关键词:会计信息化,内控制度,优化
参考文献
[1]杨凯, 余剑梅.企事业单位会计信息化建设与内部控制规范实施[J].经济视角 (下) , 2011 (11) .
[2]杨鸽.探讨会计信息化背景下企业内部控制[J].现代经济信息, 2010 (21) .
[3]陈玉荣.基于公司治理的企业内部控制研究[J].理论探讨, 2005 (06) .
[4]贺欣.内部控制研究范畴的经济学思考——内部控制研究的投资者及管理者视角[J].财会通讯 (学术版) , 2006 (03) .
浅谈企业信息化下内控制度的建设 篇3
【关键词】企业信息化;内部控制
一、引言
内部控制是组织为了使其资产安全能够得到保证,并且确保信息的完整与正确,同时促进组织的经营管理政策能够得到有效的实施,提高组织的经营效率,控制组织的经营风险,防止舞弊行为发生,从而实现组织目标的一种非常重要的管理制度或管理方法。
在当今企业的实际运作中,内部控制作用的发挥较多地依赖于企业信息化作用的发挥,灵活应用企业信息化,发挥其优越性,对内部控制起到积极作用。然而,信息技术在企业的应用和发展中也增加了企业内部控制的发展与完善,为企业内部控制带来了一系列新的问题和挑战,使得企业中现有的内部控制制度或体系不能满足企业信息化的需要。内部控制制度是社会经济发展到一定阶段的产物,企业内部控制制度的完善与否,直接关系到企业的成败。因此,建立一整套适合信息化条件下企业信息系统的内部控制制度显得尤为重要。
二、企业信息化对内部控制制度的影响
信息化环境下,各类现代化技术的设计水平与应用实践效能实现了快速的提升,在给各类企业的发展实践带来较大优势便利的同时,也给企业内部控制制度的高效运行及科学设置营造了更具挑战性且复杂的发展环境。长期以来,企业内部控制的控制范围比较狭窄,许多企业的内部控制制度仅针对会计部门,现有的内部控制对企业的信息化建设而言无多少参考价值;另一方面,在信息化建设过程中,企业中各具优势的信息化技术的科学运用使得企业内部的控制制度涵盖的内容更广泛,但企业在进行信息化建设内部控制时,往往会全盘套用传统的企业内部控制制度,未就企业信息系统建设的内部控制环境做深入的全面调研,不能对内部控制任务与岗位职责进行有针对性的分离或随环境的变化而进行及时调整,最终使得内部控制措施得不到切实有效的落实,导致现有的内部控制制度失效,同时也必然会令信息化下企业承担与面临的风险因素越来越多。
从另一层面来看,信息化技术作为一种基于信息化环境下产生的具有强大功能的工具,不仅为企业在内部控制制度的实践中提供了合理的引导,也极大地提升了企业内部各项管理工作的效率及内部控制制度的规范化水平。
三、企业内部控制制度存在的问题
内部控制制度在改善企业管理,提高经济效率,促进企业长远发展等方面发挥着积极的作用。我国虽然根据企业的实际情况,并结合国际先进经验,发布了《企业内部控制基本规范》等一系列的内部控制制度,但尚提出权威性很高的企业内部控制标准,对内部控制的完整性、合理性以及有效性更是缺乏一个公认的标准体系。
此外,根据《企业内部控制基本规范》等内部控制标准,结合企业自身业务的特点,编制出适合于企业内部的综合、简捷、有效、明确的各层级的内部控制策略,并进而与业务流程相辅相成,有利于内部控制制度的执行。但是,不同的企业对内部控制的认识程度以及重视程度不同,绝大多数企业还未意识内部控制的重要性,对内部控制存在很多误解,使得内部控制不能得到有效实施。
四、完善企业信息化环境下内部控制制度的对策
在信息产业发达的今天,完善的内部控制制度可以防止企业内部工作上的错误、失误以及舞弊行为,保护企业营运的安全性,对促进依法治企具有积极的意义。为了将内部控制制度贯彻执行和落实到位,加强企业内控制度的建设,促进企业经营的规范运作,笔者认为应从以上几方面入手。
1.建立安全管理控制制度。为了保证信息处理质量,减少产生差错和事故的概率,应加强对信息化管理制度的建设,主要用来规范每一个操作人员的行为以及各自之间的权限限制。因此,管理方式和对象的改变,也给内部控制下的制度赋予了新的内涵。从内容上来看,主要包括以下几项:
(1)安全保密制度。制定口令或密码的使用和管理办法以及机房、保卫、数据资料安全等方面应遵循的制度。
(2)操作规程。应制定一套完整而严格的操作规程来控制操作程式,操作规程应明确职责、操作程式和注意事项,防止操作错误发生。
2.建立风险管理制度。内部控制的真正价值在于能够帮助组织降低其所承受的风险。在信息化环境下,业务流程的改变、系统的开放性、信息的分散性和数据的共享性极大地扩展了内部控制的内容,而新的技术也带来了新的风险。因此,企业除了要建立传统的风险管理机制外,还要结合信息化的特点及其对内部控制的影响,建立基于信息化的风险管理制度。如建立一套信息网络系统安全政策和制度;定期对系统安全政策与制度的实施效果进行评价等。
3.建立企业信息系统的内部控制监督机制。信息系统控制是企业为了保证信息系统完整性、安全性、可用性而采取的控制措施,其控制对象包括计算机软硬件、网络系统、技术、数据和相关人员等。信息化环境使内部控制系统具有了人工控制与程序控制相结合的特点。企业内部控制体系的程序化使内部控制在一定程度上具有了对信息的依赖性,同时还增加了由于差错得不到及时有效控制而反复发生的可能性。所以,信息化环境下的内控系统更需要制定一系列的监督机制以保障其正确、有效地运行,提高内部控制的执行力度。
4.加强对企业内部控制制度的评审。企业内部控制制度评审是由审计机构通过对企业内部控制系统的健全性、符合性和有效性进行审查、分析和评价,进而提出不断改进和完善企业内部控制的建议和意见,以促进企业加强经营管理,提高经济效益,保障企业健康、持续、科学发展的审核评价活动。随着企业信息化的发展,企业内部控制制度固有的局限性会日益突出。建立对企业内部控制制度的评审是企业适应内外部环境,进行现代化管理的必然选择。
五、总结
信息化环境是知识经济社会企业所共处的环境,完善的信息化内部控制有助于企业科学决策、加强管理、堵塞漏洞、降低风险、降低成本和提高效益,而内部控制制度是落实内部控制各项控制措施的主要方式。因此,企业在充分利用信息技术的同时,要与时俱进,充分认识信息化条件下内部控制环境的改变,在了解自身管理水平、管理基础、所处行业特点等基础上,结合自身状况及法规要求,不断调整和完善内部控制制度,以保证企业持续、稳定、健康的发展。
作者简介:孙莉(1984—),女,湖北武汉人,大学本科,助理工程师,主要从事企业信息化工作。
企业信息安全管理制度 篇4
关键字: 密码 数据 机房 ISO27001 作者:亚远景科技有限公司 转载请注明出处
一、计算机设备管理制度
1.计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境,禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。
2.非本单位技术人员对我单位的设备、系统等进行维修、维护时,必须由本单位相关技术人员现场全程监督。计算机设备送外维修,须经有关部门负责人批准。
3.严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电插拨计算机外部设备接口,计算机出现故障时应及时向电脑负责部门报告,不允许私自处理或找非本单位技术人员进行维修及操作。
二、操作员安全管理制度
(一).操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和一般操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置;
(二).系统管理操作代码的设置与管理
1、系统管理操作代码必须经过经营管理者授权取得;
2、系统管理员负责各项应用系统的环境生成、维护,负责一般操作代码的生成和维护,负责故障恢复等管理及维护;
3、系统管理员对业务系统进行数据整理、故障恢复等操作,必须有其上级授权;
4、系统管理员不得使用他人操作代码进行业务操作;
5、系统管理员调离岗位,上级管理员(或相关负责人)应及时注销其代码并生成新的系统管理员代码;
(三).一般操作代码的设置与管理
1、一般操作码由系统管理员根据各类应用系统操作要求生成,应按每操作用户一码设置。
2、操作员不得使用他人代码进行业务操作。
3、操作员调离岗位,系统管理员应及时注销其代码并生成新的操作员代码。
三、密码与权限管理制度
1.密码设置应具有安全性、保密性,不能使用简单的代码和标记。密码是保护系统和数据安全的控制代码,也是保护用户自身权益的控制代码。密码分设为用户密码和操作密码,用户密码是登陆系统时所设的密码,操作密码是进入各应用系统的操作员密码。密码设置不应是名字、生日,重复、顺序、规律数字等容易猜测的数字和字符串;
2.密码应定期修改,间隔时间不得超过一个月,如发现或怀疑密码遗失或泄漏应立即修改,并在相应登记簿记录用户名、修改时间、修改人等内容。
3.服务器、路由器等重要设备的超级用户密码由运行机构负责人指定专人(不参与系统开发和维护的人员)设置和管理,并由密码设置人员将密码装入密码信封,在骑缝处加盖个人名章或签字后交给密码管理人员存档并登记。如遇特殊情况需要启用封存的密码,必须经过相关部门负责人同意,由密码使用人员向密码管理人员索取,使用完毕后,须立即更改并封存,同时在“密码管理登记簿”中登记。
4.系统维护用户的密码应至少由两人共同设置、保管和使用。
5.有关密码授权工作人员调离岗位,有关部门负责人须指定专人接替并对密码立即修改或用户删除,同时在“密码管理登记簿”中登记。
四、数据安全管理制度
1.存放备份数据的介质必须具有明确的标识。备份数据必须异地存放,并明确落实异地备份数据的管理职责;
2.注意计算机重要信息资料和数据存储介质的存放、运输安全和保密管理,保证存储介质的物理安全。
3.任何非应用性业务数据的使用及存放数据的设备或介质的调拨、转让、废弃或销毁必须严格按照程序进行逐级审批,以保证备份数据安全完整。
4.数据恢复前,必须对原环境的数据进行备份,防止有用数据的丢失。数据恢复过程中要严格按照数据恢复手册执行,出现问题时由技术部门进行现场技术支持。数据恢复后,必须进行验证、确认,确保数据恢复的完整性和可用性。
5.数据清理前必须对数据进行备份,在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保存,并确保可以随时使用。数据清理的实施应避开业务高峰期,避免对联机业务运行造成影响。
6.需要长期保存的数据,数据管理部门需与相关部门制定转存方案,根据转存方案和查询使用方法要在介质有效期内进行转存,防止存储介质过期失效,通过有效的查询、使用方法保证数据的完整性和可用性。转存的数据必须有详细的文档记录。
7.非本单位技术人员对本公司的设备、系统等进行维修、维护时,必须由本公司相关技术人员现场全程监督。计算机设备送外维修,须经设备管理机构负责人批准。送修前,需将设备存储介质内应用软件和数据等涉经营管理的信息备份后删除,并进行登记。对修复的设备,设备维修人员应对设备进行验收、病毒检测和登记。
8.管理部门应对报废设备中存有的程序、数据资料进行备份后清除,并妥善处理废弃无用的资料和介质,防止泄密。
9.运行维护部门需指定专人负责计算机病毒的防范工作,建立本单位的计算机病毒防治管理制度,经常进行计算机病毒检查,发现病毒及时清除。
10.营业用计算机未经有关部门允许不准安装其它软件、不准使用来历不明的载体(包括软盘、光盘、移动硬盘等)。
五、机房管理制度
1.进入主机房至少应当有两人在场,并登记“机房出入管理登记簿”,记录出入机房时间、人员和操作内容。
2.IT部门人员进入机房必须经领导许可,其他人员进入机房必须经IT部门领导许可,并有有关人员陪同。值班人员必须如实记录来访人员名单、进出机房时间、来访内容等。非IT部门工作人员原则上不得进入中心对系统进行操作。如遇特殊情况必须操作时,经IT部门负责人批准同意后有关人员监督下进行。对操作内容进行记录,由操作人和监督人签字后备查。
3.保持机房整齐清洁,各种机器设备按维护计划定期进行保养,保持清洁光亮。
4.工作人员进入机房必须更换干净的工作服和拖鞋。
5.机房内严禁吸烟、吃东西、会客、聊天等。不得进行与业务无关的活动。严禁携带液体和食品进入机房,严禁携带与上机无关的物品,特别是易燃、易爆、有腐蚀等危险品进入机房。
6.机房工作人员严禁违章操作,严禁私自将外来软件带入机房使用。
7.严禁在通电的情况下拆卸,移动计算机等设备和部件。
8.定期检查机房消防设备器材。
9.机房内不准随意丢弃储蓄介质和有关业务保密数据资料,对废弃储蓄介质和业务保密资料要及时销毁(碎纸),不得作为普通垃圾处理。严禁机房内的设备、储蓄介质、资料、工具等私自出借或带出。
10.主机设备主要包括:服务器和业务操作用PC机等。在计算机机房中要保持恒温、恒湿、电压稳定,做好静电防护和防尘等项工作,保证主机系统的平稳运行。服务器等所在的主机要实行严格的门禁管理制度,及时发现和排除主机故障,根据业务应用要求及运行操作规范,确保业务系统的正常工作。
11.定期对空调系统运行的各项性能指标(如风量、温升、湿度、洁净度、温度上升率等)进行测试,并做好记录,通过实际测量各项参数发现问题及时解决,保证机房空调的正常运行。
12.计算机机房后备电源(UPS)除了电池自动检测外,每年必须充放电一次到两次。
一、机房管理制度
1、路由器、交换机和服务器以及通信设备是网络的关键设备,须放置计算机机房内,不得自行配置或更换,更不能挪作它用。
2、计算机房要保持清洁、卫生,并由专人7*24负责管理和维护(包括温度、湿度、电力系统、网络设备等),无关人员未经管理人员批准严禁进入机房。
3、严禁易燃易爆和强磁物品及其它与机房工作无关的物品进入机房。
4、建立机房登记制度,对本地局域网络、广域网的运行,建立档案。未发生故障或故障隐患时当班人员不可对中继、光纤、网线及各种设备进行任何调试,对所发生的故障、处理过程和结果等做好详细登记。
5、网管人员应做好网络安全工作,服务器的各种帐号严格保密。监控网络上的数据流,从中检测出攻击的行为并给予响应和处理。
6、做好操作系统的补丁修正工作。
7、网管人员统一管理计算机及其相关设备,完整保存计算机及其相关设备的驱动程序、保修卡及重要随机文件。
8、计算机及其相关设备的报废需经过管理部门或专职人员鉴定,确认不符合使用要求后方可申请报废。
9、制定数据管理制度。对数据实施严格的安全与保密管理,防止系统数据的非法生成、变更、泄露、丢失及破坏。当班人员应在数据库的系统认证、系统授权、系统完整性、补丁和修正程序方面实时修改。
二、计算机病毒防范制度
1、网络管理人员应有较强的病毒防范意识,定期进行病毒检测(特别是邮件服务器),发现病毒立即处理并通知管理部门或专职人员。
2、采用国家许可的正版防病毒软件并及时更新软件版本。
3、未经上级管理人员许可,当班人员不得在服务器上安装新软件,若确为需要安装,安装前应进行病毒例行检测。
4、经远程通信传送的程序或数据,必须经过检测确认无病毒后方可使用。
三、数据保密及数据备份制度
1、根据数据的保密规定和用途,确定使用人员的存取权限、存取方式和审批手续。
2、禁止泄露、外借和转移专业数据信息。
3、制定业务数据的更改审批制度,未经批准不得随意更改业务数据。
4、每周五当班人员制作数据的备份并异地存放,确保系统一旦发生故障时能够快速恢复,备份数据不得更改。
5、业务数据必须定期、完整、真实、准确地转储到不可更改的介质上,并要求集中和异地保存,保存期限至少2年。
6、备份的数据必须指定专人负责保管,由管理人员按规定的方法同数据保管员进行数据的交接。交接后的备份数据应在指定的数据保管室或指定的场所保管。
8、备份数据资料保管地点应有防火、防热、防潮、防尘、防磁、防盗设施。
网络安全管理员的职责
一、网络安全管理员主要负责全公司网络(包含局域网、广域网)的系统安全性。
二、负责日常操作系统、网管系统、邮件系统的安全补丁、漏洞检测及修补、病毒防治等工作。
三、网络安全管理员应经常保持对最新技术的掌握,实时了解INTERNET的动向,做到预防为主。
四、良好周密的日志记录以及细致的分析经常是预测攻击,定位攻击,以及遭受攻击后追查攻击者的有力武器。察觉到网络处于被攻击状态后,网络安全管理员应确定其身份,并对其发出警告,提前制止可能的网络犯罪,若对方不听劝告,在保护系统安全的情况下可做善意阻击并向主管领导汇报。
五、在做好本职工作的同时,应协助机房管理人员进行机房管理,严格按照机房制度执行日常维护。
六、每月安全管理人员应向主管人员提交当月值班及事件记录,并对系统记录文件保存收档,以备查阅。具体文件及方法如下:在NT中是使用Administrative Tools菜单中Event Viewer查看系统的SYSTEM、SECURITY、APPLICATION日志文件。对Netware而言,错误日志是SYS$LOG.ERR文件,通过syscon菜单中supervisor options下view file server errorlog观察记录,另外文卷错误日志文件是各文卷中的VOL$LOG.LOG以及事务跟踪处理系统错误日志文件SYS:文卷中的TTS$LOG.ERR文件。Unix中各项日志包括/usr/adm目录下的系统错误登记文件message、使用su命令的记录文件sulog、每个用户记录上次注册时间的登记文件lastlog、系统中注册用户的有关信息文件wtmp、每个用户所执行命令的内容项文件acct以及/etc目录下当前注册用户的有关信息文件utmp和其他应用程序产生的日志文件。对于其中的一些日志文件,可以采用who或w命令查看当前系统的登录使用者(XENIX系统中还可以用whodo命令确定当前用户的行为);last命令查看以前的登录情况,这些命令都可以合并使用grep进行条件控制选择过滤;用find查看文件及其属主,特别监控具有根访问权的进程及文件以及检查开机文件/etc/inetd.conf、/etc/rc.local、/etc/passwd和corn或at运行的文件,并用corntab -l 与corntab -r命令对用户的corntab文件进行列出与删除管理;使用ls -lR生成主检查表,并定期生成新表,使用diff命令进行比较,并使检查通过的新表成为新的主检查表,直到下一次检查为止。强烈建议在inetd.conf中注释掉所有的r打头的命令文件,以及去掉/etc/hosts.equiv中的所有项并不允许用户设立个人的.rhosts文件,使可信主机不予设立或为空以加强系统的安全。
一、机房管理制度
服务器机房由网络维护员专门负责管理。其它人员不得入内。机房钥匙不得转借他人。
网络维护员负责局域网的防毒和杀毒工作。并经常为服务器及其计算机设备进行病毒检查。
网络维护员要确保机房内各设备正常工作,出现故障应及时处理。如不能及时处理应向部门经理报告。
机房内保持环境清洁,地面、窗台和窗户无灰尖。并经常为服务器及交换机等设备除尘。保持室内空气干燥流通。
在原有设备的基础上,为了更好的利有现有打印机的资源。使用上实现分片共享。
服务器和交换机等设备无特殊情况不得随意关闭,所有设备必须接UPS保护电池,以防止突然停电对设备造成损坏和资料丢失。
二、局域网管理制度
1、局域网管理工作由网络维护员负责。
2、出现问题、故障或发现病毒,及时通知网络维护员。由网络维护员及时处理和排除,并做记录。
3、网络客户如果确实要进行如上操作,可向网络维护员说明,获得同意后方可操作。
4、严禁在计算机有未杀的情况下发送电子邮件和拷贝文件到其它客户机上。
5、除网络维护员外,其它人员不得在服务器上任意安装和删除软件,不得随意更改服务器和交换机上的各项系统设置。
6、网络客户机上的操作人员不得更改计算机上的各系统设置。网络客户机不得使用盗版的软件和计算机游戏软件。
7、需要对局域网做大的改动时,须向部门经理请示,征得批准后方可进行。
8、上班期间不准上网聊天或玩游戏。网上客户机不得装载任何游戏软件或下载软件。下载软件须经信息资源部批准方可下载。
一、服务器机房由机房主管人员和管理人员专门负责管理。其它人员未经允许不得入内。机房钥匙不得转借他人。
二、机房管理人员负责校园网的防毒和杀毒工作。并经常为服务器及其微机设备进行病毒检查。
三、机房管理人员要确保机房内各设备正常工作,出现故障应及时处理。如不能及时处理应向主管和部门负责人报告。
四、机房内保持环境清洁,地面、窗台和窗户无灰尖。并经常为服务器及交换机等设备除尘。保持室内空气干燥流通。
五、服务器和交换机等设备无特殊情况不得随意关闭,所有设备必须接UPS保护电池,以防止突然停电对设备造成损坏和资料丢失。
六、机房应做好防潮、防尘、防水、防热、防火、防盗等工作。下班人员离开前应切断电源,关好门窗,以确保安全。
七、机房主管人员对所管机房的微机及设备负全部责任。未经机房主管人员同意,任何人不准自行使用,移动和调换。
八、机房管理人员要坚守值班岗位,密切监视校园网网络的工作情况,防止黑客袭击,做好每天的数据备份,不得无故脱离岗,并做好交接班记录。
九、机房管理人员要注意保密工作,不得随意泄露学校秘密信息。
国有企业信息披露内控制度 篇5
1.1 根据中国证券监督管理委员会有关上市公司信息披露的要求和《上市公司治理准则》、《深圳证券交易所股票上市规则》,以及《公司章程》规定,为规范公司信息披露行为,确保信息真实、准确、完整、及时,特制定本制度。
1.2 本制度所指信息主要包括:
1.2.1 公司依法公开对外发布的定期报告,包括季度报告、半报告、报告;
1.2.2 公司依法公开对外发布的临时报告,包括股东大会决议公告、董事会决议公告、监事会决议公告、收购、出售资产公告、关联交易公告、补充公告、整改公告和其他重大事项公告等;以及深圳证券交易所认为需要披露的其他事项;
1.2.3 公司发行新股刊登的招股说明书、配股刊登的配股说明书、股票上市公告书和发行可转债公告书;
1.2.4 公司向中国证券监督管理委员会、中国证监会南京特派办、深圳证券交易所、无锡市国有资产管理办公室、无锡市上市公司办公室或其他有关政府部门报送的可能对公司股票价格产生重大影响的报告、请示等文件;
1.2.5 新闻媒体关于公司重大决策和经营情况的报道。
1.3 董事会秘书是公司信息披露的具体执行人和与深圳证券交易所的指定联络人,协调和组织公司的信息披露事项,包括健全和完善信息披露制度,确保公司真实、准确、完整、及时地进行信息披露。信息披露的基本原则
2.1 公司应当履行以下信息披露的基本义务:
2.1.1 公司应及时披露所有对公司股票价格可能产生重大影响的信息,并在第一时间报送深圳证券交易所;
2.1.2 在公司的信息公开披露前,本公司董事、监事、高级管理人员及其他知情人员有责任确保将该信息的知情者控制在最小范围内;
2.1.3 确保信息披露的内容真实、准确、完整、及时,没有虚假、严重误导性陈述或重大遗漏;
共6页
第1页
2.1.4 公司及其董事、监事、高级管理人员不得泄漏内幕信息,不得进行内幕交易或配合他人操纵证券交易价格。
2.2 公司各部门按行业管理要求向上级主管部门报送的报表、材料等信息,相关职能部门应切实履行信息保密义务,防止在公司公开信息披露前泄露。职能部门认为报送的信息较难保密的,应同时报董事会秘书,由董事会秘书根据有关信息披露的规定决定是否向所有股东披露。
2.3 公司公开披露信息的指定报纸为:《中国证券报》、《证券时报》、香港《大公报》。指定网站为:http:// 公司应公开披露的信息,如需在其他公共传媒披露的,不得先于指定报纸和指定网站,不得以新闻发布会或答记者问等形式代替公司的正式公告。信息披露的审批程序
3.1 公开信息披露的内部审批程序:
3.1.1 公开信息披露的信息文稿均由董事会秘书撰稿或审核;
3.1.2 董事会秘书应按有关法律、法规和公司章程的规定,在履行法定审批程序后披露定期报告和股东大会决议、董事会会议决议、监事会会议决议;
3.1.3 董事会秘书应履行以下审批手续后方可公开披露除股东大会决议、董事会决议、监事会决议以外的临时报告:
3.1.3.1 以董事会名义发布的临时报告应提交董事长审核签字; 3.1.3.2 以监事会名义发布的临时报告应提交监事会主席审核签字;
3.1.3.3 在董事会授权范围内,总经理有权审批的经营事项需公开披露的,该事项的公告应先提交总经理审核,再提交董事长审核批准,并以公司名义发布;
3.1.3.4 董事会授权范围内,全资子公司总经理有权审批的经营事项需公开披露的,该事项的公告应先提交全资子公司总经理审核签字,再提交公司总经理审核同意,最后提交公司董事长审核批准,并以公司名义发布;
3.1.3.5 控股子公司、参股子公司的重大经营事项需公开披露的,该事项的公告应先提交公司派出的该控股公司董事长或该参股公司董事审核签字,再提交公司总经理审核同意,最后提交公司董事长审核批准,并以公司名义发布。
3.1.4 公司向中国证券监督管理委员会、中国证监会南京特派办、深圳证券交易所、无锡市国有资产管理办公室、无锡市上市公司办公室或其他有关政府部门递交的报告、请示等文件和在新闻媒体上登载的涉及公司重大决策和经济数据的宣传性信息文稿应提交公司总经理或董事长最终签发。
共6页
第2页 定期报告的披露
4.1 公司应按《公开发行证券公司信息披露编报规则》的内容与格式公开披露的定期报告:
4.1.1 季度报告:公司应在每个会计前三个月、九个月结束后的三十日内编制完成季度报告,在公司的指定报纸上刊载季度报告正文,在公司的指定网站上刊载季度报告全文(包括正文及附录),但第一季度报告的披露时间不得早于上一报告;
4.1.2 半报告:公司应当于每个会计的前六个月结束后二个月内编制完成半报告,在公司的指定报纸上刊登半报告摘要,在公司的指定网站上登载半报告全文;
4.1.3 报告:公司应当在每个会计结束之日起四个月内编制完成报告,在公司的指定报纸上披露报告摘要,同时在公司的指定网站上披露其全文。主要临时报告的披露
5.1 应公开披露的临时报告事项: 5.1.1 关联交易事项:
5.1.1.1 关联交易是指公司及公司控股子公司与公司的关联人发生的转移资源或义务的事项,包括但不限于下列事项:
a 购买或销售商品;b 购买或销售除商品以外的其他资产;c 提供或接受劳务;d 代理;e 租赁;f 提供资金(包括以现金或实物形式);g 担保;h 管理方面的合同;i 研究与开发项目的转移;j 许可协议;k 赠与;l 债务重组;m 非货币性交易;n 关联双方共同投资;o 深圳证券交易所认为应当属于关联交易的其他事项。
5.1.1.2 当关联交易金额达到如下标准时应向董事会秘书及时报告:
a 关联交易金额达到300万元以上时;b 与关联人就同一标的或与同一关联人在连续12个月内累计达到300万元以上时。
5.1.1.3 公司及公司持有50%以上股份的控股子公司遵照上述标准执行;公司的参股公司以其交易标的乘以公司参股比例或协议分红比例后的数额对照上述标准执行。
5.1.2 重大事项
5.1.2.1 重大事项包括但不限于:
a 收购、出售资产;b 重大担保事项;c 重要合同:借贷、委托经营、委托理财、赠与、承包、租赁等;d 大额银行退票;e 重大经营性或非经营性亏损;f 遭受重大
共6页
第3页
损失;g 重大投资行为;h 可能依法承担的赔偿责任;i 重大行政处罚;j 重大仲裁、诉讼事项。
5.1.2.2 重大事项达到或在连续12个月内累计达到如下标准时应及时向董事会秘书报告:
a 所涉资产总额占公司最近一期经审计的总资产值的l0%以上;
b 发生的净利润或亏损的绝对值(按上经审计的财务报告)占公司最近一期经审计的上一净利润或亏损绝对值的l0%以上,且绝对金额在100万元以上;
c 所涉交易金额(承担债务、费用等一并计算)占公司最近一期经审计的净资产总额10%以上。
5.1.2.3 公司及公司持有50%以上股份的控股子公司遵照上述标准执行;公司参股子公司按所涉金额乘以参股比例后的数额对照上述标准执行。
5.1.3 其他重要事项
5.1.3.1 其他重要事项包括但不限于:
a 公司章程、注册地址、注册资本、名称的变更; b 经营范围的重大变化;
c 订立上述5.1.2.1.c项以外的重要合同; d 发生重大债务或未清偿到期债务; e 变更募集资金投资项目;
f 直接或间接持有另一上市公司发行在外的普通股5%以上;
g 持有公司5%以上股份的股东,其持有的股份增减变化达到5%以上; h 公司第一大股东发生变更;
i 公司董事长、三分之一董事或总经理发生变动;
j 生产经营环境发生重要变化,包括全部或主要业务停顿、生产资料采购、产品销售方式或渠道发生重大变化;
k 减资、合并、分立、解散或申请破产的决定;
l 新的法律、法规、规章、政策可能对公司的经营产生显著影响; m 更换为公司审计的会计师事务所; n 股东大会、董事会决议依法被法院撤销;
o 法院裁定禁止对公司有控制权股东转让其所持上市公司股票; p 持有公司5%以上股份的股东所持股份被质押; q 公司进入破产、清算状态; r 公司预计出现资不抵债;
共6页
第4页
s 获悉主要债务人出现资不抵债或进入破产程序,公司对相应的债权未提取足额坏帐准备的;
t 因涉嫌违反证券法规被中国证监会调查或正受到中国证监会处罚的(公司就违规事项公告时,应当事先报告中国证监会);
u 接受证券监管部门专项检查和巡回检查后的整改方案;
v 董事会预计公司业绩与其披露过的盈利预测有重大差异时,而且导致该差异的因素尚未披露的;
w 公司股票交易发生异常波动时;
x 在任何公共传播媒介中出现的消息可能对公司股票的市场价格产生误导性影响时;
5.1.3.2 公司发生以上其他重大事项时,公司持有50%以上股份的控股子公司发生以上c、d、f、j、k、g、r、s事项时,应及时报告董事会秘书。责任与处罚
6.1 公司有关部门应当向董事会秘书提供信息披露所需的资料和信息。公司作出重大决定之前,应从信息披露角度征询董事会秘书意见。
6.2 公司各部门(包括各分公司)、各子公司发生符合本制度第九条规定事项时,需按以下时点及时向董事会秘书报告,董事会秘书按照《深圳证券交易所股票上市规则》的有关规定,及时公开披露:
6.2.1 事项发生后的第一时间;
6.2.2 公司与有关当事人有实质性的接触,或该事项有实质性进展时;
6.2.3 公司与有关当事人签署协议时,或该协议发生重大变更、中止或者解除、终止时;
6.2.4 事项获有关部门批准或已披露的事项被有关部门否决时; 6.2.5 事项实施完毕时。
6.3 公司各部门(包括各分公司)、各子公司在报告本制度第九条规定事项时,应附上以下文件:
6.3.1 所涉事项的协议书;
6.3.2 董事会决议(或有权决定的有关书面文件); 6.3.3 所涉事项的政府批文; 6.3.4 所涉资产的财务报表;
6.3.5 中介机构对所涉资产的意见书(评估报告或审计报告)。
共6页
第5页
6.4 公司本部各部门(包括各分公司)、各子公司当发生符合本制度第九条规定事项时,应在规定时间内及时报告董事会秘书,同时提供相关材料。
6.5 公司本部各部门(包括各分公司)、各子公司按公开信息披露要求所提供的经营、财务等信息应按公司制度履行相应的审批手续,确保信息的真实性、准确性和完整性。
6.6 公司各部门由部门负责人负责信息披露工作,全资子公司、控股子公司应指定专人负责信息披露工作,参股子公司的有关信息披露工作归由公司投资部门负责。
6.7 公司各部门(包括各分公司)、各子公司发生本制度第九条规定事项而未报告的,造成公司信息披露不及时而出现重大错误或疏漏,给公司或投资者造成损失的,公司将对相关的责任人给予行政及经济处分。
6.8 凡违反本制度擅自披露信息的,公司将对相关的责任人按泄露公司机密给予行政及经济处分,并且有权视情形追究相关责任人的法律责任。
6.9 信息披露不准确给公司或投资者造成损失的,公司将对相关的审核责任人给予行政及经济处分.并且有权视情形追究相关责任人的法律责任。不能查明造成错误的原因,则由所有审核人承担连带责任。
6.10 全资子公司、控股子公司指定的信息披露负责人应是有能力组织完成信息披露的人员,信息披露负责人的名单及其通讯方式应报公司董事会秘书;若信息披露负责人变更的,应于变更后的二个工作日内报公司董事会秘书。附则
7.1 本制度未尽事宜,遵照现行《股票上市规则》及有关上市公司信息披露的法律、法规的规定执行。
7.2 本制度所称“以上”含本数。7.3 本制度由公司董事会负责解释。
7.4 本制度经公司董事会审议批准后生效,修改时亦同。
共6页
企业信息化制度 篇6
第一条 为贯彻好《中华人民共和国保密法》和《计算机信息系统保密管理暂行规定》,加强×××公司及各所属单位计算机网络信息安全管理,结合工作实际,制定本制度。
第二条 保密委员会负责计算机信息系统的保密、监督和管理工作。第三条 计算机信息系统应当采取有效的保密措施,配置合格的保密专用设备,防泄密、防窃密。所采取的保密措施应与所处理信息的密级要求相一致。
第四条 涉密信息和数据必须按照保密规定进行采集、存储、处理、传递、使用和销毁。未采取技术安全保密措施的数据库不得联网。
第五条 国家秘密信息不得在与国际网络联网的计算机信息系统中存储、处理、传递,做到“上网不涉密,涉密不上网”。
第六条 涉密信息处理场所应当根据涉密程度和有关规定设立控制区,未经管理部门批准,无关人员不得进入。涉密信息处理场所应当定期或者根据需要进行保密技术检查。
第七条 计算机信息系统应采取相应的防电磁信息泄漏的保密措施。计算机信息系统的其它物理安全要求应符合国家有关保密标准。
第八条 计算机信息系统的保密管理应实行领导负责制,由使用计算机信息系统的主管领导负责本单位的计算机信息系统的保密工作,并指定有关机构和人员具体承办。
第九条 计算机信息系统的使用单位应根据系统所处理的信息涉密等级和重要性制订相应的管理制度。
第十条 计算机信息系统的系统安全保密管理人员应经过严格审查,并保持相对稳定。
第十一条 发现计算机信息系统泄密后,应及时采取补救措施,并按有关规定及时向上级报告。
第十二条 违反本规定泄露国家秘密,依据《中华人民共和国保守国家秘密法》及其实施办法进行处理,并追究部门领导的责任。
第十三条 本制度适用于×××公司本部及各所属单位。
企业信息化制度 篇7
一、信息化的条件下企业内部控制所发生的变化
在信息技术被运用于企业管理的同时, 必然会对企业的内部控制制度产生一定的影响, 下面将对信息化条件下企业内部控制所发生几个主要的变化展开相关的论述。
(一)内部控制由局部的控制转变为对整体的控制
在传统的企业内部控制过程中,仅仅是针对企业的内部财务状况、 经营情况或是资源的使用情况等方面进行有关的审计控制。 而在信息化的条件下,企业的内部控制发生了改变,由局部的控制转变为对整体的控制。 这是因为在信息化的环境下,企业的内部控制是对企业整体进行相关的控制, 即利用信息技术对企业整体的业务流程进行控制以及利用信息技术实现企业与客户之间的沟通与资源共享。 这与传统的内部控制之间存在着一些差异, 不仅是对企业内部的各个部门之间实施控制, 而且还能够对企业与客户或者是监管部门之间的控制活动进行协调。 由此可见,在信息化的环境中,企业的内部控制由局部的控制转为整体的控制对于企业整体的发展来说,是十分有利的。
(二)内部控制由事后的控制转变为实时的控制
在传统的内部控制中,企业一般是在某项活动结束后,组织专业的审计人员对活动进行审核,从而对活动进行监督管理,但是这种内部控制制度只能够对企业进行活动后所出现的问题进行改进, 但是这些问题却很难避免。 这就导致了传统的内部控制难以及时的掌握活动的信息,对与活动中出现的问题及时的进行补救,而在信息化的环境中,企业利用信息技术对内部控制进行控制管理, 就能够使企业随时的掌握企业进行活动时的情况, 及时的发现活动中所出现的问题并进行及时的补救。
除此之外, 信息化的环境还为企业的各个部门之间的相互协调与信息交流提供了一个良好的平台。 这是因为在企业的内部实施全面的信息化管理后,企业的各个部门能够同时获取所需要的信息,同时企业的管理者能够及时的掌握和了解企业各个部门运行状况, 针对不同的运行状况,及时的做出相应的调整。 在信息化的环境中,企业中的每个人员都能够及时的了解企业的运营状态。 由此可见,利用信息技术对企业实施内部控制,可以由事后控制转为事前、事中、事后的共同控制,这有利于企业及时发现管理中所出现的问题,从而及时的进行改进,促使企业在未来能够得到更快更好的发展。
(三)内部控制由外在的控制转变为自我的控制
在传统的内部控制活动中,对企业内部所实施的控制,是由企业的管理者发出指令,一级监督一级进行完成的。 但是这种外在的控制,却不利于管理者与员工进行自我管理与创造。 而在信息化的环境中,由于企业的信息在企业的内部实现了共享, 使得企业的管理者在对下级的工作进行监督管理的同时, 其实际的操作以及控制管理活动都能够被企业中的员工进行及时的掌握, 为了避免管理者在实行监督的过程中出现错误,就需要管理者进行自我控制。
除此之外,在信息化的环境中,企业中的员工不必时时刻刻向上级汇报工作或是接收上级的指令, 只需要按照计算机上的操作要求完成相关的操作后,就能够完成相应的工作内容。 这就需要员工在日常的工作中实现自我控制与管理, 这样才能够使企业中的员工有更多的时间参与到企业中的创造性工作中, 同时还能够有机会了解到企业整体运营情况与发展动态,并及时的掌握企业所发布的最新信息。 由此可见, 在信息化的环境中,企业内部控制由外在的控制转为内部的控制,有利于企业员工提高自我责任意识,并积极的发挥创造能力。
二、如何在信息化的环境下构建完善的企业内部控制制度
信息化的环境促使企业内部控制发生了一些变化, 那么应当如何在信息化的环境下构建完善的企业内部控制制度呢?
(一)在信息化环境下,建立完善的企业信息系统
在信息化的环境中, 建立完善的企业信息系统对于构建完善的企业内部控制制度来说,是十分必要的。 这是因为对企业而言,完善的企业信息系统,能够将企业的所有信息与业务同时集中的展示出来,这样就使得企业中的管理人员能够及时的对这些信息与业务进行了解和掌握,从而及时发现其中可能出现的风险与问题,在此基础上建立完善的企业内部控制制度,对企业内部加强控制管理,从而促使企业能够得到更好的发展。 只有先构建完善的企业信息系统,才能构建完善的企业内部控制制度,完善的企业信息系统是构建内部控制制度的基础。
(二)在信息化环境下,加强对企业内部信息的监管
除了要建立完善的企业信息系统, 加强对企业内部控制制度的监管,也是促使企业构建完善的内部控制制度的一个重要因素。 这是因为在信息化的环境中, 企业所有的信息与业务活动都输入到企业的信息系统中, 因此对企业内部实施有效的控制就要依赖企业信息系统的安全性以及控制执行的有效性。 这就需要企业内部的管理人员在保证企业信息系统的安全的同时,加强对企业内部信息的监管,这样才能够创建一个安全的内部信息系统,从而促使企业构建完善的内部控制制度。
(三)促使企业中的管理者重视建立有效的内部控制信息系统
促使企业中的管理者重视建立有效的内部控制信息系统, 也是在信息化环境中,构建完善企业内部控制制度的一个影响因素。 这是因为企业管理者对内部控制信息系统建立的重视程度, 很大程度上决定了企业的内部控制制度是否能够有效的实施。 企业管理者不重视建立有效的内部控制信息系统就会导致, 企业中的一些员工认为企业的内部控制信息系统的建立,主要与建立信息系统的技术人员有关,其他的工作人员不需要过多的参与进来。 实际上,这种想法是错误的,企业内部有效的内部控制信息系统的建立需要企业中所有员工的共同参与,只有全体的员工都积极的参与到内控系统的建立中来, 才能够促使企业的内部控制制度能够在所有的员工中得到有效的实施, 才能够促使企业的建立有效的内控信息系统, 进而构建完善而又有效的内部控制制度。 由此可见,企业中的管理者重视建立有效的内部控制信息系统,对于企业构建完善的内部控制制度, 进而促使企业实施有效的内部控制来说,是十分重要的。
三、结束语
现今的社会中,企业逐步实现信息化已经成为一种必然的趋势,如何利用信息技术是企业内部控制制度更加完善是一个应当思考的问题。 本文主要论述的是信息化对企业内部控制的影响以及如何在信息化的环境下构建更加的完善的企业内部控制制度。 企业只有构建完善的内部控制制度,加强内部控制监管,才能够在未来得到更快更好的发展。
参考文献
[1]杨琦.信息技术对企业内部控制影响分析与对策[J].审计与经济研究,2009
[2]陈志斌.信息化生态环境下企业内部控制框架研究[J].会计研究,2010
[3]章铁生.信息技术条件下的内部控制规范:国际实践与启示[J].会计研究,2010
企业信息化制度 篇8
关键词:中小企业;信息系统;制度问题;分析与对策
一、问题的提出
随着我国中小企业开始实现信息化管理,运用信息系统来对企业生产进行管理,一方面,提高企业管理效率和科学性,使企业的生产、存储、财务、成本、控制都得到大幅度改善;另一方面,在实际运行中不可避免地引发各种问题,其中包括信息安全性问题,即存储在计算机或在传输中的文件和数据遭受到破坏和滥用,而且这种活动对企业的影响非常严重,例如,电子商务公司网站出现故障,每天损失将数额巨大。如何保障信息系统安全,对于企业来说非常重要。目前,我国中小企业中,经常由于信息管理系统内部制度不完善和管理疏忽、松懈以及信息系统监管不到位,出现数据丢失或者数据信息反应迟钝,使管理者不能及时得到有效的信息,因此保障中小企业信息系统安全是非常必要的。
目前,关于中小企业信息系统的文章主要集中在如何构建中小企业信息系统,涉及信息系统管理制度则很少,或在构建中提到制度设计,但没有作为一个研究重点,其他相似文献基本是从技术角度探讨。从中小企业实际成本收益考虑,由于运用相应信息技术不高,都是基础软件系统,因此有必要对中小企业面临的信息管理制度进行详细分析。
二、中小型企业信息系统制度方面分析
根据Laudon的观点,企业信息系统面临的威胁按照来源分为六类:硬件故障、软件故障、人为因素、数据、服务及设备被偷盗,都是中小企业面临的问题,但Laudon仅从单个信息系统角度进行分析,没有把企业信息管理系统的制度考虑进去。我国许多中小企业信息系统建设上尽管设置了制度,但很大程度上都是形同虚设或者存在缺失,容易导致中小企业信息系统实际操作上面临效率和安全的问题,下面具体从制度方面进行分析。
在中小型企业中,存在着正式制度与非正式制度。正式制度是人们有意识建立起来并以正式方式加以确定的各种制度,主要包括法律制度、企业制度安排等;而非正式制度,是人们在长期社会生活中逐步形成的习惯习俗、文化传统、价值观念,是形态等对人们行为产生非正式约束的规则,是对人们行为不成文的限制。
(一)正式制度分析
在中小企业中,正式制度包括国家信息系统法律规定和企业信息管理制度方面,我国1994年通过的《中华人民共和国计算机信息系统安全保护条例》,从信息交换角度来保护整个信息系统安全,而对于企业自身信息系统安全只是规定各企业可根据自身情况自行制定,并没有对企业实际业务中关于信息系统安全进行规定,所以中小企业信息系统安全法规制度的建立基本都是从企业各自实际出发,各企业的标准不一。
从企业建立信息管理制度来说,一般大型企业有明确规定制度,包括维护、人员素质等方面都有明确规定,能够有效防范信息系统存在的安全隐患,并能够及时进行相应信息反馈,对企业信息安全起到积极作用。而对于中小企业来说,由于企业自身比较小,信息管理系统人员比较缺乏,只能根据自身人员情况来确定其系统的安全程度。其次在效率方面,由于人员缺乏以及其计算机操作应用存在的不规范,信息交换、反馈也相对比较落后。再次中小企业虽然有一定的信息管理制度规范,却监管不到位,主要是中小企业的机构比较小,维护人员、计算机使用都是由使用人员一人来完成,容易导致有制度也难以执行,这是制约中小企业信息系统数据安全的主要原因。
(二)非正式制度分析
在非正式制度中,意识形态处于核心地位,它不仅蕴含价值观念、伦理规范、道德观念和风俗习性,而且在形式上构成某种非正式制度的“先验”模式。公司员工的思想和传统操作方法在一定程度上影响企业信息管理系统运行效果。
在中小企业管理信息系统中,由于员工意识不强,对于信息系统的维护、使用存在一定的松懈,信息操作员经常没有定期维护计算机及信息管理系统,只在产生问题时才处理,很容易导致企业数据损失,如信息备份不完全的话,可能由于人为操作或者计算机病毒的侵入会造成整个系统数据损失。非正式制度因素对中小企业信息管理系统影响也是非常大的。
三、加强信息管理系统管理制度建设的对策
在加强制度建设中,主要从国家信息系统的法律制度建设、企业信息制度的设置与执行,再次就是信息系统中操作人员与管理人员意识的改变三个层次来考虑。
第一,首先在我国信息管理系统法律规范中,不仅应该对信息交换中安全问题进行规范,而且公司对其管理系统的安全达到最低标准,这个标准是指从各因素方面来确定信息管理系统的一个安全性的最低标准值,不仅能够使信息安全从法律依据上得到一个基本的系统安全标准,而且也能对公司信息管理系统起到强制规范性的作用。
第二,加强中小企业信息系统安全管理制度是保障中小企业信息系统安全极为重要的一个方面。在信息系统运行过程中,信息系统管理部门应制定严格的服务器日常维护、巡视和记录制度、客户机维护、操作制度、用户管理制度、人员培训制度等等,并严格按照制度实施奖惩,从企业内部制度上认识到信息管理系统安全的重要性。
第三,企业信息化是一项复杂的系统工程,企业领导层要高度重视,并应设立一个既懂信息系统、又懂业务流程的复合型信息主管职位。在国外大学、大企业的CIO(首席信息主管),相当于企业级的领导,直接参与企业重大问题决策。一个合格的CIO既能充分调动网络技术人员的积极性,又能把握企业信息化发展全局,随时为领导提供参考意见,对公司信息管理信息系统制度改善、监督、反馈上能起到重要的作用,因此在中小企业中也应设立CIO职位,使信息化系统成为企业运行中的一个非常重要的部分。
第四,加强信息系统人员培训,使其对计算机信息系统操作、安全等方面了解能够熟练掌握。信息系统人员包括操作人员以及维护人员,定期对信息系统人员进行培训,有助于其了解信息系统最新发展,使其不断了解信息系统安全重要性,使其操作、维护的规范化不断得到改善,从而减少非制度性因素所产生的信息系统安全问题。
四、结论
在中小企业信息管理系统中,很多问题是由于中小企业的制度方面造成的,在企业内部加强其监管,使中小企业信息管理制度得到很好执行是非常必要的。另外,加强员工的素质培养,使其能够具有很好的业务水平,使信息管理系统得到很好的运行,并能够使管理层及时了解到企业的信息,保证企业的顺利运行。完善国家信息管理系统法律,是保证企业信息制度建立的重要标准,使中小企业达到基本信息系统风险管理水平,从而从制度上使其信息管理系统得到很好保护。
参考文献:
1、KennethC,LaudonJaneP,Laudon.管理信息系统——管理数字化公司(第8版)[M].清华大学出版社,2005.
2、王霞,张永,彭智才.如何保障中小企业信息系统安全[J].资源方法,2004(9).
3、刘仁勇,王卫平.企业信息安全管理研究[J].学术研究,2007(6).
4、卢现祥.新制度经济学[M].武汉大学出版社,2003.