人力内部控制实施细则.doc

人力资源管理内部控制实施细则 17．1 人力资源管理目标 17．1．1 人力资源业务目标 人力资源业务目标是指企业在岗位职责和人力资源计划、招聘、培训、离职、考核、薪酬等一系列有关人事的活动和程序中应达到的标准.具体事项如图17-1所示。 目标1 及时、合理地配置人力资源，确保员工队伍结构、素质与企业发展目标相适应 目标2 建立高效的激励与约束机制，有效开发和利用人力资源 目标3 建立科学合理的人力资源考核制度，确保能够引导员工实现企业目标 目标4 建立具有竞争力的薪酬制度，保持和吸引优秀人才，并按照国家有关法律法规的要求规范薪酬发放的标准和程序 目标5 规范招聘及离职程序，引入人员聘用竞争机制，加强培训工作，提高员工道德素养和专业胜任能力 图17—1 人力资源业务目标 17．1．2 人力资源财务目标 企业在人力资源管理过程中需达到的财务目标如图17-2所示。 目标1 真实、准确、完整地核算人力资本，确保人力资本无误 目标2 合理有效地控制人力资本，提高人力资本的使用效率 图17-2 人力资源财务目标 17．2 人力资源业务风险 17．2．1 人力资源运营风险 人力资源运营风险是指企业在人力资源管理控制过程中,在岗位职责和人力资源计划、招聘、培训、离职、考核、薪酬等方面存在的风险。具体事项如图17-3所示. 岗位设置不合理、岗位职责不清晰，不相容岗位未按规定实施分离，影响企业的整体发展 内容 内容 内容 1 人力资源配置不及时、不合理，敏感关键、涉密等岗位人员配置不适当，影响企业正常经营 内容 内容 内容 2 员工队伍的专业技能、职业道德、综合素质等与企业业务发展目标不相适应，影响企业长远发展 内容 内容 内容 3 激励和约束机制不健全，人力资本使用效率低，对骨干员工的凝聚力不强，影响员工积极性的发挥 内容 内容 内容 4 人力资源考核政策和薪酬制度不合理，可能导致企业员工流失或者业绩低下 内容 内容 内容 5 员工业务能力或者道德素养无法满足所属岗位的要求，可能导致企业目标无法实现或者发生欺诈、舞弊等损害企业利益的行为 内容 内容 内容 6 图17—3 人力资源运营风险 17．2．2 人力资源财务风险 企业人力资源管理中的财务风险如图17—4所示. 人力资本未按规定核算，导致财务信息失真 内容 内容 内容 1 工资、福利、保险等核算违反国家或企业相关规章制度，导致赔偿、遭受处罚等经济损失，影响声誉 内容 内容 内容 2 图17-4 人力资源财务风险 17．3 人力资源业务流程 17．3．1 招聘流程 招聘流程 业务流程 序号 责任 部门/人 配合/支持 部门 不相容 职责 监督检查 方法 相关 制度 9．作出录用决策 8．组织求职者 进行面试 7．筛选简历并通知 求职者面试 6．发布招聘信息 5．确定招聘时间和日期 4．根据人力资源规划和年度招聘计划确定招聘费用 3．根据招聘的实际需要选择招聘方式和渠道 2．进行职位分析，确定招聘对象的职权和任职资格 1．分析人员需求，进行公司招聘需求分析 10．发出录用通知书 1 人力 资源部 各部门 检查人员招聘是否控制在核定范围之内 《招聘制度》 2 人力 资源部 各部门 检查招聘对象职权和任职资格文件是否符合企业规定 《职位分析管理制度》、 《招聘制度》 3 人力资源部 各部门 审核 审批 检查招聘方式和渠道是否为最优 《招聘制度》 4 人力 资源部 财务部 审核 审批 检查招聘费用是否在预算内 《招聘制度》 5 人力 资源部 各部门 审核 审批 检查招聘信息是否真实、全面、完整 《招聘制度》 6 人力 资源部 财务部 审核 审批 检查下达主要财务预算指标的相关文件 《招聘制度》 7 人力 资源部 检查简历是否符合招聘要求 《招聘制度》 8 人力 资源部 各部门 检查面试结果是否关注求职者的职业道德和专业胜任能力,检查面试记录是否齐全规范 《招聘制度》 9 人力资源总监 人力资源部 检查招聘人员是否符合规定要求 《招聘制度》 10 人力 资源部 检查是否通过有效方式履行告知义务，是否做好相关记录 《招聘制度》 17．3．2 考核流程 考核流程 业务流程 序号 责任 部门/人 配合/支持 部门 不相容 职责 监督检查 方法 相关 制度 1．制订企业绩效 考核计划 2．将绩效考核计划下发到各部门 3．进行绩效考核并上报考核结果 4．整理、汇总各部门绩效考核结果 5．组织进行沟通和评估，修订考核结果 6．编制绩效 考核报告 报告 7．公布绩效 考核结果 1 人力 资源部 各部门 审批 检查绩效考核计划是否按规定程序进行报批 《考核细则》 2 人力 资源部 检查绩效考核办法是否在规定范围内 《考核细则》 3 各部门 人力 资源部 审批 检查绩效考核结果是否准确 《考核细则》 4 人力 资源部 各部门 审批 检查汇总考核结果是否全面、完整 《考核细则》 5 人力 资源部 各部门 审批 检查绩效考核过程是否公正、合理 《考核细则》 6 人力 资源部 审核 审批 检查绩效考核报告是否按规定进行报批 《考核细则》 7 人力 资源部 各部门 检查绩效考核结果是否合理、公平 《考核细则》 17．4 人力资源业务流程相关细则、办法、制度 17．4．1 招聘制度 制度名称 招聘制度 制度编号 受控状态 执行部门 监督部门 生效日期 第1章 总则 第1条 目的 为规范员工招聘录用程序,充分体现公开、公平、公正的原则，保证公司各部门各岗位能及时有效地补充到所需要的人才，以促进公司更快地发展，特制定本制度. 第2条 适用对象 公司所有招聘员工. 第3条 权责单位 人力资源部负责公司员工的招聘工作. 第4条 招聘录用的原则 公司招聘坚持公开招聘、平等竞争、因岗择人、择优录用、人尽其才、才尽其用的原则。 第2章 制订招聘计划 第5条 公司成立招聘组负责对人员进行筛选，其小组成员至少由3人组成，分别为人力资源部人员、用人部门主管、公司领导或聘请外部人力资源专家.对于不同的招聘人员，其面试考官的人员构成是不一样的，具体内容如下表所示. 不同人员的面试考官构成 职位 初试 复试 核定 普通员工 人力资源部人员 人力资源部人员+ 用人部门主管 用人部门主管 基层管理人员 人力资源部主管+ 用人部门主管 部门经理+ 人力资源部经理 部门经理 第6条 对于中高层管理人员及公司所需的特殊人才，面试考官一般由人力资源部经理、总经理、外部聘请的专家组成,总经理拥有对其录用决策的最终决定权。 第3章 招聘需求 第7条 招聘工作一般是从招聘需求的提出开始的，招聘需求由各用人部门提出，其主要包括：需要多少人,需要招聘什么样的人,将在什么时候需要他们等内容。 第8条 各部门、下属子公司根据业务发展、工作需要和人员使用状况向人力资源部提出员工招聘要求，并填写人员需求申请表，报人力资源部审批。 第9条 突发的人员需求.因新增加业务且公司内现缺乏此工种人才或此工种人才不足时，应及时将人员需求上报人力资源部。 第10条 储备人才.为了促进公司目标的实现，需储备一定数量的各类专门人才。例如大学毕业生、专门技术人才等。 第4章 招聘渠道 第11条 公司招聘分为内部招聘和外部招聘。内部招聘是指公司内部员工在获知内部招聘信息后,按规定程序前来应聘，公司对应聘员工进行选拔并对合适的员工予以录用的过程.外部招聘是指在出现职位空缺而内部招聘无法满足需要时，公司从社会中选拔人员的过程。 第12条 内部招聘。所有公司正式员工都可以提出应聘申请，且公司鼓励员工积极推荐优秀人才或提供优秀人才的信息，对于内部推荐的人才可以在同等条件下优先录取，但不降低录用的标准。 第13条 外部招聘。外部招聘的方式主要有通过招聘媒体（报纸、电视、电台）发布招聘信息、参加人才招聘会、职业介绍所等。 第5章 人员甄选 第14条 简历的筛选。招聘信息发布后,公司会收到大量应聘人员的相关资料，人力资源部工作人员对收集到的相关资料进行初步审核，对初步挑选出的合格应聘者，以电话或信函的方式（面试通知书）告知他们前来公司参加下一环节的甄选. 第15条 笔试。根据招聘的实际需要，可在面试之前对应聘者先进行笔试，笔试的内容一般包括以下内容：一般智力测验、专业知识技能、领导能力测验（适用于管理人员)、综合能力测验和个性特征测验。 第16条 面试。面试一般分为初试、复试两个环节,根据招聘职位的不同也会有第三轮甚至第四轮的面试环节,这种情况一般适用于对公司中高层人员的招聘或公司所需特殊人才的招聘。 1．初试,主要是对应聘者基本素质、基本专业技能、价值取向等方面作出一个基本判断。 2．复试,根据第一轮面试结果，人力资源部对符合空缺职位要求的应聘者安排复试，主要是对应聘者与岗位的契合度进行考察，如应聘者对岗位所需技能的掌握程度、胜任该岗位所需具备的综合能力等。 第6章 背景调查 第17条 背景调查是就应聘者与工作有关的一些背景信息进行查证,以进一步确定应聘者任职资格。 第18条 对于经公司甄选合格的人员，在公司决定录用之前，可视情况对其做相关的背景调查,调查的主要内容包括：员工学历水平、工作经历、综合素质等，这样可以在一定程度上降低公司的用人风险。 第7章 人员录用 第19条 员工录用通知。对于通过笔试、面试环节的选拔并经公司考核合格的应聘人员,人力资源部在作出录用决策后的3个工作日内向其发出录用通知；对于未被公司录用的人员，人力资源部也应礼貌地以电话、邮件或者信函（主要是员工录用通知书）的形式予以告知。 第20条 员工报到与试用 1．报到.被录用员工在接到公司的录用通知后，必须在规定的时间内到公司报到。若在发出录用通知后的15天内不能正常按时报到者,公司有权取消其录用资格，特殊情况经批准后可延期报到. 2．试用与转正。 （1）公司新晋人员到人力资源部办理完相关报到手续后，进入试用期阶段，试用期为1～6个月不等.若用人部门负责人认为有必要，也可报请公司相关领导批准，将试用期酌情缩短。 （2）用人部门和人力资源部对试用期内员工的表现进行考核鉴定，考核主要从其工作态度、工作能力、工作业绩三个方面进行。 （3)新晋员工在试用期即将结束时，需填写员工转正申请表，公司根据员工试用期的表现作出相应人事决策。 （4)办理转正手续,同时用人部门和人力资源部要做好为转正员工定岗定级、提供相应待遇、员工职业发展规划等工作。 第8章 附则 第21条 招聘工作的总结与评估主要包括如下三项工作。 1．招聘工作的及时性与有效性。 2．招聘成本评估。 3．对录用人员的评估. 第22条 本制度解释权归公司人力资源部. 第23条 本制度由人力资源部制定，经总经理核准后实施，修改时亦同。 编制日期 审核日期 批准日期 修改标记 修改处数 修改日期 17．4．2 考核细则 细则名称 考核细则 细则编号 受控状态 执行部门 监督部门 生效日期 第1章 总则 第1条 目的 1．通过绩效考核将部门和员工个人的工作表现与公司的战略目标紧密地结合起来，确保公司战略快速而平稳地实现。 2．在绩效考核过程中，促进管理者与员工之间的交流与沟通,形成良好的沟通机制,增强公司凝聚力。 3．通过对员工工作绩效、工作能力等进行客观的评价,为员工薪资调整、职位变动、培训与发展等人力资源管理工作提供有效的依据. 第2条 原则 1．公开的原则：考核过程公开化、制度化。 2．客观性原则：用事实标准说话，切忌带入个人主观因素或武断猜想。 3．沟通的原则:考核人在对被考核者进行绩效考核的过程中，需要与被考核者进行充分沟通，听取被考核者对自己工作的评价与意见，使考核结果公正、合理，促进绩效改善。 4．时效性原则：绩效考核是对考核期内工作成果的综合评价,不应将本考核期之前的表现强加于本次考核结果中，也不能取近期的业绩或比较突出的一两个成果来代替整个考核期的业绩。 第3条 适用范围 公司所有正式员工,但下列人员除外。 1．公司总经理. 2．兼职、特约人员。 3．连续出勤不满6个月者。 4．考核期间休假停职6个月以上者。 第4条 考核结果运用 1．教育培训。 2．合理配置人员。 3．晋升、薪资调整。 4．奖励。 第2章 制订绩效考核计划 第5条 制订绩效考核计划是绩效考核过程的起点，制订绩效考核计划的主要依据是公司目标的落实. 第6条 管理者要与其下属一同协商，以确定计划期内下属的工作任务、工作目标、工作权限、工作完成时间等内容. 第3章 考核实施 第7条 考核频率 本公司的考核分为月度考核、季度考核与年度考核三种，其具体内容如下表所示。 考核实施时间 考核时间 考核类别 考核实施时间 考核结束时间 考核对象 1月1日—12月31日 年度考核 1月10日 1月25日 所有人员 每个季度 季度考核 下个季度第一个月的上旬 所有人员 每月 月度考核 次月的前三天 销售人员 第8条 考核实施主体 1．人力资源部负责组织考核，督促和指导各级主管对其下属员工的考核工作，并对考核中出现的问题给予协调和处理。 2．员工考核由部门经理组织实施;中高层领导考核由总经理组织实施. 3．绩效考核者需要熟练掌握与绩效考评相关的表格、流程、考核制度,做到与被考核者的及时沟通与反馈，公正地完成考核工作。 第9条 考核内容 1．工作绩效表现考核 （1)工作绩效表现考核指对员工按照主要工作职务完成的工作结果或履行职务的结果进行评价. (2)主要工作职务的考核指标一般由考核人依照被考核者的工作目标和任务，结合职位描述的主要职能,经过双方沟通,达成一致后予以确定。 2．整体表现考核 （1）整体表现考核指对影响员工完成工作的行为、表现和素质等方面进行评价. (2）具体对员工的工作能力、工作态度、纪律和其他四个方面进行考核。 （3)此部分内容为通用表现项目，考核指标及评价标准由公司统一制定，适用于所有员工. 3．领导及管理技巧考核 （1）领导及管理技巧考核指对公司具有领导及管理职能的员工在领导能力、培育下属等方面进行的综合评价。 （2）此部分适用于公司领导人员的考核。 第4章 绩效沟通与反馈 第10条 绩效沟通 在评估结束后，部门负责人应与被考核者就考核结果进行面谈，让员工了解自身的优势和不足，从而制订下一阶段的绩效改进计划。 第11条 绩效申诉 1．员工对自己的考核结果不满时，可在考核结束后的一周之内向人力资源部申诉。 2．人力资源部接到员工申诉后，会同员工所在部门的经理对考核者再次进行评估。复评的成绩作为员工最终的考评结果。 第5章 其他事项 第12条 加分事项 1．年度内曾受奖励或惩戒者，其年度考绩应依下列规定增减分数. 2．记大功1次加10分；记功1次加5分；嘉奖1次加2分. 3．记大过1次减10分；记过1次减5分;申诫1次减2分. 第13条 有下列情形之一者，其考绩不得列为一等. 1．曾受任何一种惩戒。 2．因迟到或早退累计扣分10分以上者。 3．请假超过限定日数者。 4．旷工1天以上者。 第14条 有下列情形之一者,其考核不得列入一等至三等。 1．在年度内曾受记过以上处分者. 2．迟到或早退累计20次以上者. 3．旷工两日以上者。 第6章 附则 第15条 本细则自颁布之日起生效，其未尽事宜，另行参照人力资源部制定的相关制度。 第16条 本细则的解释权归公司人力资源部所有。 编制日期 审核日期 批准日期 修改标记 修改处数 修改日期 第18章 信息系统内部控制实施细则 18．1 信息系统管理目标 18．1．1 信息系统业务目标 信息系统业务目标是指企业在开发使用信息系统的过程中,在系统开发、系统使用、系统维护等环节应达到的标准，具体如图18—1所示. 目标1 保证信息系统满足生产经营业务需求 目标2 保证达到信息系统开发预期目标，系统运行安全稳定 目标3 保证系统出现故障能及时恢复，系统具有扩展性和集成性 目标4 保证灾难恢复计划完整、具体 目标5 保证信息系统的可靠性、稳定性、安全性及数据的完整性和准确性 图18—1 信息系统业务目标 18．1．2 信息系统合规目标 信息系统的合规目标是指企业在开发使用信息系统的过程中,为防止违反国家法律法规及内部规章制度的情况出现而制定的工作目标，具体如图18—2所示。 目标1 保证符合国家及监管部门法律法规的有关要求 目标2 保证遵守保护知识产权的有关法律法规，使用合法软件 目标3 保证企业业务活动的真实性、合法性和效益性 图18—2 信息系统合规目标 18．2 信息系统业务风险 18．2．1 信息系统经营风险 信息系统经营风险是指企业建立与实施信息系统内部控制过程中因审批不当、监督不力、管理存在漏洞等原因而可能遭受的各种风险，如图18—3所示. 信息系统开发与使用违反国家法律法规，可能遭受外部处罚、经济损失和信誉损失 内容 内容 内容 1 信息系统开发与使用未经适当审核或超越授权审批，可能因重大差错、舞弊、欺诈而导致损失 内容 内容 内容 2 信息系统功能设计不科学、维护与变更程序不规范，可能导致企业经营效率低下 内容 内容 内容 3 信息系统外包服务未能恰当履行或对其监控不当，可能导致企业权益受损或遭受违约损失 内容 内容 内容 4 信息系统访问安全措施不当，可能导致商业秘密泄露 内容 内容 内容 5 图18-3 信息系统经营风险 18．2．2 信息系统合规风险 企业建立与实施信息系统内部控制过程中的合规风险如图18—4所示. 侵犯知识产权，导致诉讼发生及公司声誉受到损害 内容 内容 内容 1 违反国家和企业会计制度，造成项目资金损失 2 信息技术控制不符合国家法律、法规、公司内部规章制度及监管机构的有关要求，造成损失 3 图18—4 信息系统合规风险 18．3 信息系统业务流程 18．3．1 信息系统开发维护流程 信息系统开发维护流程 业务流程 序号 责任 部门/人 配合/支持部门 不相容 职责 监督检查 方法 相关 制度 7．安装调试系统 8．进行系统维护 5．编写程序代码 6．进行系统测试 4．设计程序方案 3．编制系统开发书 2．信息部经理和总经理审核审批 1．提出信息系统 开发申请 1 使用 部门 信息部 审核审批 检查信息系统开发申请是否符合公司相关要求 《信息系统 管理细则》 2 信息部、总经理 申请 检查信息系统开发申请的审批是否符合相关要求 《信息系统 管理细则》 3 信息部 测试 检查系统开发书编制工作是否详细完备 《信息系统 管理细则》 4 信息部 测试 检查程序方案是否符合公司实际需要 《信息系统 管理细则》 5 信息部 测试 检查程序代码是否存在错误 《信息系统 管理细则》 6 信息部 使用 部门 编写 代码 检查系统测试工作是否彻底、没有遗漏 《信息系统 管理细则》 7 信息部 使用 部门 检查安装调试工作是否符合实际工作要求 《信息系统 管理细则》 8 信息部 使用 部门 检查系统维护工作是否按时按量完成 《信息系统 管理细则》 18．3．2 系统访问安全管理流程 系统访问安全管理流程 业务流程 序号 责任 部门/人 配合/支持 部门 不相容 职责 监督检查 方法 相关 制度 1．提出公司信息 系统账号申请 2．信息部经理审批后编发账号 3．设置安全参数与软件系统环境配置 4．定期检查账号 使用情况 5．加强防火墙等 网络安全方面的管理 1 使用 部门 信息部 审核审批 检查信息系统账号申请是否符合公司相关要求 《账号审批管理办法》 2 信息部 申请 检查账号申请的审批是否符合相关要求 《账号审批管理办法》 3 信息部 使用部门 操作使用 检查安全参数与软件系统环境配置是否符合实际需要 《账号审批管理办法》 4 信息部 使用部门 操作使用 检查是否存在违规使用账号情况 《账号审批管理办法》 5 信息部 测试 检查网络安全工作是否能够保障生产运营的正常进行 《信息系统管理细则》 18．4 信息系统业务流程相关细则、办法、规范、制度 18．4．1 信息系统管理细则 细则名称 信息系统管理细则 细则编号 受控状态 执行部门 监督部门 生效日期 第1章 总则 第1条 目的 为了加强计算机信息系统的管理工作，保障系统有序运行，规范管理部门的业务内容，特制定本细则。 第2条 信息系统的界定 本细则所称信息系统指利用计算机技术对业务和信息进行集成处理的程序、数据和文档等。 第3条 适用部门 本细则适用于本公司内应用信息化管理系统的所有部门和个人. 第2章 相关人员职责 第4条 信息总监是公司信息化管理系统建设的领导者，其主要职责包括： 1．制定公司信息管理战略规划，报总经理和董事会审批； 2．审核信息系统立项申请； 3．组织进行信息系统的开发； 4．组织人员对信息系统的开发结果进行测试，负责系统的远景规划和决策； 5．推广并不断完善公司信息化系统,加快公司信息化管理步伐; 6．引进或组织开发公司信息化管理系统，实现办公自动化; 7．推动信息系统的建设与维护,保证公司内无纸化办公. 第5条 信息部经理是公司信息化管理系统建设的主要执行者,其主要职责包括： 1．根据公司发展战略及经营计划编制部门发展规划及工作计划,上报领导审批后组织实施； 2．主持信息管理软件平台的开发、应用、监督和管理; 3．负责制定公司网络、计算机管理的各项规章制度，上报领导审批后贯彻实施; 4．监督、检查制度的执行情况，适时修订、完善各项制度； 5．组织进行信息系统项目的立项申请工作； 6．进行信息系统的分析和开发; 7．组织人员进行信息系统开发编程工作； 8．协调有关职能部门,安排人员进行相关应用软件的安装调试及有关技术支持，对安装调试中出现的各种问题提出处理意见，并协助其妥善解决; 9．及时编制系统帮助手册,经领导审批后及时下发到相关部门; 10．在使用信息化系统的过程中，安排人员为各职能部门和子公司提供技术指导，促进系统操作技术的有效运用; 11．全面掌握各种交换机设备和服务器的安装、配制技术，管理交换机设备和服务器密码，处理各种网络设备的突发故障； 12．进行程序管理和数据库管理以及数据控制. 第6条 信息部主管是公司信息化管理系统建设的执行者,其主要职责包括: 1．参与编制部门发展规划及工作计划； 2．参与信息系统立项申请工作； 3．组织维护公司服务器的正常运行； 4．负责公司硬件设施、网络设备的维修管理; 5．组织对设备电路及系统进行日常维护、定期检修测试和故障处理，保证设备、电路、系统及网络运行正常完好； 6．参与信息系统立项申请; 7．参与进行信息系统的分析和开发； 8．进行信息系统的开发编程和测试工作; 9．进行相关应用软件的安装调试及有关技术支持； 10．进行程序管理和数据库管理以及数据控制. 第7条 信息部专员是公司信息化管理系统的执行者和维护者,其主要职责包括: 1．为信息系统立项申请搜集资料，进行调研； 2．参与进行信息系统的分析和开发； 3．参与信息系统的开发编程和测试工作； 4．参与进行相关应用软件的安装调试及有关的技术支持; 5．对设备电路及系统进行日常维护、定期检修测试和故障处理。 第8条 信息系统使用部门的主要职责包括： 1．参与制定信息系统战略规划； 2．参与制定重要信息系统政策； 3．负责记录交易内容，授权处理数据，并利用系统输出的结果； 4．接受公司信息部关于信息系统操作的培训； 5．信息系统出现故障，向公司信息部提出维修申请； 6．部门经理负责信息系统操作申请的审批； 7．部门主管或经理负责对内部人员操作情况进行监控。 第3章 信息系统开发管理 第9条 信息系统开发所遵循的原则 1．因地制宜原则 应根据行业特点、公司规模、管理理念、组织结构、核算方法、经营规模等因素设计适合本公司的计算机信息系统。 2．成本效益原则 计算机信息系统的建设应当能起到降低成本、纠正偏差的作用，根据成本效益原则可以选择对重要领域中的关键因素进行信息系统改造。 3．理念与技术并重原则 信息系统建设应当将信息系统技术与信息系统管理理念整合,倡导全体员工积极参与信息系统建设，正确理解和使用信息系统，提高信息系统运作效率. 第10条 信息系统开发包括系统规划、系统分析、系统设计、系统实施、系统维护与评价5个阶段 第11条 系统规划管理 1．系统规划管理阶段参与人员及分工 （1）信息总监做信息系统开发项目的总体规划. （2)信息系统开发项目经理根据总体规划制订开发计划。 （3）系统分析员负责搜集开发资料。 2．系统规划阶段存在的风险及应对策略 （1）市场竞争风险,竞争优势有可能被仿效。应对策略:增加自身特色，提高系统的技术含量和竞争优势。 （2）政治、经济环境和法律、法规风险。应对策略:作详尽的可行性分析,用先进工具进行风险控制。 (3）缺乏高层领导支持.应对策略：培训、沟通、聘请权威专家开办讲座等。 第12条 系统分析管理 1．系统分析管理阶段参与人员及分工 （1）系统分析员进行资料分析。 (2)终端用户对系统提出使用要求. 2．系统分析阶段存在的风险及应对策略 （1）不合理的组织结构可能影响项目小组进行系统分析的效果。应对策略：业务流程重组，对内部进行调整。 （2）用户需求的多样性以及用户的数量和重视程度可能加大系统分析的工作量.应对策略：建立多样性的沟通渠道，加强沟通。 第13条 系统设计管理 1．系统设计管理阶段参与人员及分工 (1)系统设计员进行新系统总体结构框架设计、代码设计、数据库设计、输入/输出设计、处理流程及模块功能的设计。 （2)数据库管理员根据数据的用途、使用要求、统计渠道、安全保密性等决定数据的整体组织形式、表或文件的形式,以及数据的结构、类别、载体、组织方式、保密等级等一系列的问题. 2．系统设计阶段存在的风险及应对策略 (1）开发团队经验不足可能造成信息系统开发时间过长。应对策略：全面考察开发团队，选择有经验的开发人员,并设立有效的监督机制。 （2）系统开发技术过于复杂、技术不成熟或用户需求的多样性以及用户的数量和重视程度可能加大系统分析的工作量.应对策略：加强技术交流，集中精力解决技术难题，尽可能地设计备选方案。 第14条 系统实施管理 1．系统实施管理阶段参与人员及分工 (1）程序设计员进行程序设计和系统的调试、试运行。 (2）数据库管理员进行数据收集,数据格式的标准化和规范化。 (3）终端用户对系统试运行效果提出意见和建议. 2．系统实施阶段存在的风险及应对策略 (1）时间和费用超出预算可能造成信息系统开发的成本过高。应对策略:编制详尽、科学的预算，加强内部成本管理和控制. (2)用户经验不足可能导致系统功能不完整。应对策略：加强教育培训。 第15条 系统维护与评价管理 1．系统维护与评价管理阶段参与人员及分工。 （1)系统维护人员进行日常运行维护和系统的更新维护。 （2）数据库管理员进行数据库和代码维护. 2．系统维护与评价阶段存在的风险及应对策略。 （1)数据是否准确、安全性和保密度是否达标,这直接影响信息系统开发的效果。应对策略：进行合理的系统设计，采用防火墙和加密技术。 (2）系统目标不明确、缺乏软件质量监控可能导致系统功能不健全。应对策略:制定明确目标，加强质量管理. 第4章 信息系统应急管理 第16条 为应付信息系统突发事件而准备的应急物资主要包括以下内容。 1．物质资源准备主要有电源动力,网络通信、生产服务器、数据和软件. 2．在人力资源准备方面,重要的技术岗位要建立双人或多人的备份制度。 3．应急操作手册的编写和维护. 4．建立重要信息系统例行检查制度,对机房环境、动力电源、防雷系统、网络设备等重要系统应每季度全面彻底地检查一次,保证系统完好可用。 第17条 应急措施的实施 1．发生应急事件时，各部门、各岗位要相互支持,相互配合，听从指挥。 2．应急启动工作流程 （1）操作人员应加强监控，一旦发现异常信息，按《应急操作手册》进行初步判断，并立即报告信息部经理或主管。 （2)信息部经理或主管对情况进行判断，判定属于应急事件时,应立即启动应急操作流程. (3）由操作人员按规定的步骤进行操作，并随时向信息部主管报告执行结果。 （4）操作人员处理后未能解决，信息部技术人员应在第一时间赶赴现场进行应急处理,并报告信息部经理. （5)对于短时间内能够解决的问题，应进入应急恢复和总结环节。 （6）对于短时间内不能解决的问题,信息科技部经理要立即报告信息总监。 （7)信息总监根据经验判断是否立即启动应急程序。 （8）若信息总监判断属于重大信息系统问题,应及时将应急方案提交总经理审批。 （9）信息总监组织成立应急领导小组,赶赴现场进行指挥. 3．应急处理工作流程 （1）应急领导小组做好应急事件的通知和预告,组织和协调各项应急处理工作。 （2）参与应急处理的各部门应服从统一领导指挥，全力配合,做好各项应急处理工作。 （3)正常工作时间内发生应急事件时要求应急实施人员5分钟内到达现场，严格按照《应急操作手册》进行应急处理。 （4)节假日、双休日期间发生应急事件时,要求应急实施人员60分钟内到达现场。 （5）公司信息部应急专员应严格按照《应急操作手册》所规定的步骤快捷地实施应急处理,同时记录实施的全过程，认真采集和整理现场第一手资料，做好故障信息日志的保护和应急过程处理步骤的记录. （6）对于应急故障处理期间发生的新问题、新信息,应急实施成员应及时报告现场总指挥。 （7)对于出现超出《应急操作手册》界定的应急事件响应条件的，应急领导小组应组织技术人员研究分析,快速提出解决措施方案。 第18条 应急恢复和总结 1．应急处理结束后，应急实施成员必须尽快恢复系统运行环境，并进行严格的检查和验证。 2．公司信息部相关人员应认真总结应急事件发生的原因、处理过程和经验教训,提出整改措施和方案,形成《应急处理总结报告》并上报信息总监和总经理. 3．根据应急处理的实际情况对《应急操作手册》进行补充完善。 第5章 信息系统维护管理 第19条 公司采用预防性措施确保计算机信息系统的持续运行。常见预防性措施包括但不限于日常检测、设立容错冗余、编制应急预案等. 第20条 信息系统的日常检测由公司信息部维护主管负责，上级主管领导为信息部经理和信息总监. 第21条 信息系统发生故障时，应由公司信息部维修主管制定维修方案，交由信息部经理和信息总监审核和审批后组织人员进行维修。 第22条 信息系统发生紧急情况，应由信息部维修主管制定紧急预案,交由信息部经理和信息总监审核和审批后组织人员实施。 第6章 信息系统安全管理 第23条 信息系统安全包括:软件安全和硬件网络安全。 第24条 公司信息部安全主管应采取有效的方法和技术防止信息系统数据的丢失、损坏以及硬件的破坏、失效等灾难性故障。 第25条 安全主管应对工作站主机共享文件设置不同的权限，经过信息部经理审批后存盘,以后变更必须经信息部经理审批,系统管理员应做好变更日志存盘。 第26条 信息部经理应安排人员对网络系统实行监控、查询，及时做好对故障的有效隔离、排除和恢复工作,以防灾难性网络风暴发生。 第27条 网络系统所有设备的配置、安装、调试必须由信息系统管理员完成，其他人员不得随意拆卸和移动. 第28条 所有上网操作人员必须严格遵守计算机及其他相关设备的操作规程，禁止从事与系统操作无关的工作. 第29条 严禁各工作站主机自行安装软件，特别是游戏软件，禁止在工作用主机上打游戏或进行其他与工作无关的操作。 第30条 所有可能在公司计算机上使用的软盘、光盘、U盘等存贮介质必须经过系统管理员同意并查毒，未经查毒的存贮介质禁止使用,对造成病毒蔓延的有关责任人员，公司将依照相关制度进行经济处罚。 第31条 在公司信息部未解决网络安全（未安装防火墙、高端杀毒软件、入侵检测系统）的情况下,内外网独立运行，所有终端内外网不能混接，严禁用户通过U盘等存贮介质拷贝文件. 第32条 内网服务器和各工作站主机的数据文件，未经公司总经理核准，任何人不得利用软盘、光盘和U盘等存贮介质进行拷贝，不得利用电子邮件等方式对外发送。 第33条 系统管理员有权监督和制止一切违反安全管理规定的行为。 第7章 附则 第34条 本细则由公司信息部会同其他有关部门解释。 第35条 本细则自 年 月 日起实施。 编制日期 审核日期 批准日期 修改标记 修改处数 修改日期 18．4．2 账号审批管理办法 办法名称 账号审批管理办法 办法编号 受控状态 执行部门 监督部门 生效日期 第1条 目的 为了规范公司信息系统账号管理工作,特制定本办法. 第2条 范围 本办法适用于公司信息部以及各用户部门涉及使用信息系统的相关人员。 第3条 公司信息系统中的信息、数据按级别划分，员工可根据其账号的权限进行阅读、使用。 第4条 公司信息部根据员工的职级与权限编发账号，为每位员工设置与之相对应的唯一账号，只允许其使用自己的账号，禁止使用他人账号，否则造成的后果由使用者和账号泄露者共同承担。 第5条 公司员工若需越级使用公司的信息系统，必须经过上级领导授权,以授权书为准,否则视为非法使用，按相关制度进行处理. 第6条 账号申请审批程序 1．使用