《企业内部控制应用指引》-信息系统

企业内部控制应用指引第 10 号研究与开发第一章 总则第一条 为了促进企业自主创新，增强核心竞争力，有效控制研发风 险，实现发展战略，根据有关法律法规和企业内部控制基本规范， 制定本指引。第二条 本指引所称研究与开发，是指企业为获取新产品、新技术、新 工艺等所开展的各种研发活动。第三条 企业开展研发活动至少应当关注下列风险：（一）研究项目未经科学论证或论证不充分，可能导致创新不足或资源 浪费。（二）研发人员配备不合理或研发过程管理不善，可能导致研发成本过 高、舞弊或研发失败。（三）研究成果转化应用不足、保护措施不力，可能导致企业利益受 损。第四条 企业应当重视研发工作，根据发展战略，结合市场开拓和技术 进步要求，科学制定研发计划，强化研发全过程管理，规范研发行为， 促进研发成果的转化和有效利用，不断提升企业自主创新能力。第二章 立项与研究第五条 企业应当根据实际需要，结合研发计划，提出研究项目立项申 请，开展可行性研究，编制可行性研究报告。企业可以组织独立于申请及立项审批之外的专业机构和人员进行评估论 证，出具评估意见。第六条 研究项目应当按照规定的权限和程序进行审批，重大研究项目 应当报经董事会或类似权力机构集体审议决策。审批过程中，应当重点 关注研究项目促进企业发展的必要性、技术的先进性以及成果转化的可 行性。第七条 企业应当加强对研究过程的管理，合理配备专业人员，严格落 实岗位责任制，确保研究过程高效、可控。企业应当跟踪检查研究项目进展情况，评估各阶段研究成果，提供足够 的经费支持，确保项目按期、保质完成，有效规避研究失败风险。企业研究项目委托外单位承担的，应当采用招标、协议等适当方式确定 受托单位，签订外包合同，约定研究成果的产权归属、研究进度和质量 标准等相关内容。第八条 企业与其他单位合作进行研究的，应当对合作单位进行尽职调 查，签订书面合作研究合同，明确双方投资、分工、权利义务、研究成 果产权归属等。第九条 企业应当建立和完善研究成果验收制度，组织专业人员对研究 成果进行独立评审和验收。企业对于通过验收的研究成果，可以委托相关机构进行审查，确认是否 申请专利或作为非专利技术、商业秘密等进行管理。企业对于需要申请 专利的研究成果，应当及时办理有关专利申请手续。第十条 企业应当建立严格的核心研究人员管理制度，明确界定核心研 究人员范围和名册清单，签署符合国家有关法律法规要求的保密协议。 企业与核心研究人员签订劳动合同时，应当特别约定研究成果归属、离 职条件、离职移交程序、离职后保密义务、离职后竞业限制年限及违约 责任等内容。第三章 开发与保护第十一条 企业应当加强研究成果的开发，形成科研、生产、市场一体 化的自主创新机制，促进研究成果转化。研究成果的开发应当分步推进，通过试生产充分验证产品性能，在获得 市场认可后方可进行批量生产。第十二条 企业应当建立研究成果保护制度，加强对专利权、非专利技 术、商业秘密及研发过程中形成的各类涉密图纸、程序、资料的管理， 严格按照制度规定借阅和使用。禁止无关人员接触研究成果。第十三条 企业应当建立研发活动评估制度，加强对立项与研究、开发 与保护等过程的全面评估，认真总结研发管理经验，分析存在的薄弱环 节，完善相关制度和办法，不断改进和提升研发活动的管理水平。企业内部控制应用指引第 18 号信息系统第一章 总则第一条 为了促进企业有效实施内部控制，提高企业现代化管理水平， 减少人为因素，根据有关法律法规和企业内部控制基本规范，制定 本指引。第二条 本指引所称信息系统，是指企业利用计算机和通信技术，对内 部控制进行集成、转化和提升所形成的信息化管理平台。第三条 企业利用信息系统实施内部控制至少应当关注下列风险：（一）信息系统缺乏或规划不合理，可能造成信息孤岛或重复建设，导 致企业经营管理效率低下。（二）系统开发不符合内部控制要求，授权管理不当，可能导致无法利 用信息技术实施有效控制。（三）系统运行维护和安全措施不到位，可能导致信息泄漏或毁损，系 统无法正常运行。第四条 企业应当重视信息系统在内部控制中的作用，根据内部控制要 求，结合组织架构、业务范围、地域分布、技术能力等因素，制定信息 系统建设整体规划，加大投入力度，有序组织信息系统开发、运行与维 护，优化管理流程，防范经营风险，全面提升企业现代化管理水平。 企业应当指定专门机构对信息系统建设实施归口管理，明确相关单位的 职责权限，建立有效工作机制。企业可委托专业机构从事信息系统的开 发、运行和维护工作。企业负责人对信息系统建设工作负责。第二章 信息系统的开发第五条 企业应当根据信息系统建设整体规划提出项目建设方案，明确 建设目标、人员配备、职责分工、经费保障和进度安排等相关内容，按 照规定的权限和程序审批后实施。企业信息系统归口管理部门应当组织内部各单位提出开发需求和关键控 制点，规范开发流程，明确系统设计、编程、安装调试、验收、上线等 全过程的管理要求，严格按照建设方案、开发流程和相关要求组织开发 工作。企业开发信息系统，可以采取自行开发、外购调试、业务外包等方式。 选定外购调试或业务外包方式的，应当采用公开招标等形式择优确定供 应商或开发单位。第六条 企业开发信息系统，应当将生产经营管理业务流程、关键控制 点和处理规则嵌入系统程序，实现手工环境下难以实现的控制功能。 企业在系统开发过程中，应当按照不同业务的控制要求，通过信息系统 中的权限管理功能控制用户的操作权限，避免将不相容职责的处理权限 授予同一用户。企业应当针对不同数据的输入方式，考虑对进入系统数据的检查和校验 功能。对于必需的后台操作，应当加强管理，建立规范的流程制度，对 操作情况进行监控或者审计。企业应当在信息系统中设置操作日志功能，确保操作的可审计性。对异 常的或者违背内部控制要求的交易和数据，应当设计由系统自动报告并 设置跟踪处理机制。第七条 企业信息系统归口管理部门应当加强信息系统开发全过程的跟 踪管理，组织开发单位与内部各单位的日常沟通和协调，督促开发单位 按照建设方案、计划进度和质量要求完成编程工作，对配备的硬件设备 和系统软件进行检查验收，组织系统上线运行等。第八条 企业应当组织独立于开发单位的专业机构对开发完成的信息系 统进行验收测试，确保在功能、性能、控制要求和安全性等方面符合开 发需求。第九条 企业应当切实做好信息系统上线的各项准备工作，培训业务操 作和系统管理人员，制定科学的上线计划和新旧系统转换方案，考虑应 急预案，确保新旧系统顺利切换和平稳衔接。系统上线涉及数据迁移 的，还应制定详细的数据迁移计划。第三章 信息系统的运行与维护第十条 企业应当加强信息系统运行与维护的管理，制定信息系统工作 程序、信息管理制度以及各模块子系统的具体操作规范，及时跟踪、发 现和解决系统运行中存在的问题，确保信息系统按照规定的程序、制度 和操作规范持续稳定运行。企业应当建立信息系统变更管理流程，信息系统变更应当严格遵照管理 流程进行操作。信息系统操作人员不得擅自进行系统软件的删除、修改 等操作；不得擅自升级、改变系统软件版本；不得擅自改变软件系统环 境配置。第十一条 企业应当根据业务性质、重要性程度、涉密情况等确定信息 系统的安全等级，建立不同等级信息的授权使用制度，采用相应技术手 段保证信息系统运行安全有序。企业应当建立信息系统安全保密和泄密责任追究制度。委托专业机构进 行系统运行与维护管理的，应当审查该机构的资质，并与其签订服务合 同和保密协议。企业应当采取安装安全软件等措施防范信息系统受到病毒等恶意软件的 感染和破坏。第十二条 企业应当建立用户管理制度，加强对重要业务系统的访问权 限管理，定期审阅系统账号，避免授权不当或存在非授权账号，禁止不 相容职务用户账号的交叉操作。第十三条 企业应当综合利用防火墙、路由器等网络设备，漏洞扫描、 入侵检测等软件技术以及远程访问安全策略等手段，加强网络安全，防 范来自网络的攻击和非法侵入。企业对于通过网络传输的涉密或关键数据，应当采取加密措施，确保信 息传递的保密性、准确性和完整性。第十四条 企业应当建立系统数据定期备份制度，明确备份范围、频 度、方法、责任人、存放地点、有效性检查等内容。第十五条 企业应当加强服务器等关键信息设备的管理，建立良好的物 理环境，指定专人负责检查，及时处理异常情况。未经授权，任何人不 得接触关键信息设备。