【正文】 控制措施 （ 1） 權(quán)責(zé)分配和職責(zé)分工應(yīng)當(dāng)明確，重大信息系統(tǒng)事項應(yīng)履行審批程序； （ 2） 信息系統(tǒng)開發(fā)、變更和維護流程應(yīng)當(dāng)清晰，授權(quán)審批程序應(yīng)當(dāng)明確； （ 3） 信息系統(tǒng)應(yīng)當(dāng)建立訪問安全制度，操 作權(quán)限、信息使用、信息管理應(yīng)當(dāng)有明確規(guī)定； （ 4） 硬件管理事項和審批程序應(yīng)當(dāng)科學(xué)合理； （ 5） 會計電算化流程應(yīng)當(dāng)規(guī)范，會計電算化操作管理、硬件、軟件和數(shù)據(jù)管理、會計電算化檔案管理和會計電算化賬務(wù)處理等制度應(yīng)當(dāng)完善。 7 關(guān)鍵控制點 （ 1）程序變更控制： 權(quán)責(zé)分配和職責(zé)分工應(yīng)當(dāng)明確，重大信息系統(tǒng)事項應(yīng)履行審批程序； 信息系統(tǒng)開發(fā)、變更和維護流程應(yīng)當(dāng)清晰，授權(quán)審批程序應(yīng)當(dāng)明確； （ 2）數(shù)據(jù)管理 企業(yè)應(yīng)當(dāng)建立信息數(shù)據(jù)變更處理（包括數(shù)據(jù)導(dǎo)入、數(shù)據(jù)提取、數(shù)據(jù)修改等）規(guī)范。一經(jīng)發(fā)現(xiàn)已輸入數(shù)據(jù) 信息有誤，必須按照信息系統(tǒng)操作規(guī)定加以修正，不得使用非軟件系統(tǒng)提供的方法處理信息數(shù)據(jù)。 企業(yè)應(yīng)當(dāng)建立數(shù)據(jù)信息定期備份制度和數(shù)據(jù)批處理或?qū)崟r處理前自動備份制度（交易日志）。企業(yè)至少應(yīng)當(dāng)在遠(yuǎn)離計算機設(shè)備和操作的地方保存一套備份和交易日志，以備丟失或損壞時重建。 企業(yè)應(yīng)當(dāng)編制完整、具體的災(zāi)難恢復(fù)計劃，以備意外事件發(fā)生后恢復(fù)系統(tǒng)之需。同時應(yīng)當(dāng)定期檢測、及時修正該計劃，并將其最新版本存放在系統(tǒng)之外。 （ 3）用戶賬號管理控制 企業(yè)應(yīng)當(dāng)建立賬號審批制度，加強對重要業(yè)務(wù)系統(tǒng)的訪問權(quán)限管理 。 對于發(fā)生崗位變化 或離崗的用戶，企業(yè)應(yīng)當(dāng)及時調(diào)整其在系統(tǒng)中的訪問權(quán)限。 企業(yè)應(yīng)當(dāng)定期對系統(tǒng)中的賬號進行審閱，避免有授權(quán)不當(dāng)或冗余賬號存在。 對于特權(quán)用戶，企業(yè)應(yīng)該對其在系統(tǒng)中的操作進行監(jiān)控，并定期審閱監(jiān)控日志。 IT 系統(tǒng)的操作和管理的崗位分離 通常情況下，以下崗位需要分離：程序設(shè)計、日常操作、系統(tǒng)管理、資料保管。主要包括以下幾個方面： 252。 IT 系統(tǒng)的應(yīng)用層和后臺管理必須嚴(yán)格分開。根據(jù)薩班斯法案 404 條款的要求，數(shù)據(jù)庫、操作系統(tǒng)可以是一個人負(fù)責(zé)，但是應(yīng)用系統(tǒng)與數(shù)據(jù)庫管理員這樣的前臺操作 8 和后臺管理一定不能是同一個 人。否則應(yīng)用系統(tǒng)維護人員修改數(shù)據(jù)時，又能從后臺數(shù)據(jù)庫的行為日志里清除數(shù)據(jù)，從而增加了很多風(fēng)險。 252。 從事數(shù)據(jù)的輸入、處理的人員與從事數(shù)據(jù)輸出、報送和管理的人員必須分離。 252。 ERP 系統(tǒng)的系統(tǒng)管理員、帳套主管必須與從事數(shù)據(jù)輸入、處理的人員分離。 252。 系統(tǒng)中單獨設(shè)置權(quán)限主管，只能設(shè)置權(quán)限，而不能從事其他操作。 （ 4）權(quán)限控制 信息系統(tǒng)應(yīng)當(dāng)建立訪問安全制度，操作權(quán)限、信息使用、信息管理應(yīng)當(dāng)有明確規(guī)定。 （ 5）密碼策略 信息系統(tǒng)操作人員應(yīng)當(dāng)在權(quán)限范圍內(nèi)進行操作，不得利用他人的口令和密碼進入軟件系統(tǒng)。更換操作 人員或密碼泄密后，必須及時更改密碼。操作人員如果離開工作現(xiàn)場，必須在離開前鎖定或退出已經(jīng)運行的程序，防止其他人員越權(quán)操作或散發(fā)不當(dāng)信息。 U8 控制合規(guī)說明 （ 1）程序變更控制： U8 提供補丁更新系統(tǒng)，配合企業(yè)程序變更流程，支持由補丁更新服務(wù)端統(tǒng)一定制整個企業(yè) U8 的補丁下載更新策略。 并能控制所有 U8 客戶端和服務(wù)端的補丁程序升級變更。 補丁更新服務(wù)端可以查詢各客戶端的程序變更情況。 并提供補丁安裝同步校驗，用以控制補丁更新同步性，保證系統(tǒng)運行、數(shù)據(jù)處理的一致性。 可以查詢 每臺客戶端的補丁下載情況。 可以查詢每臺客戶端的補丁安裝情況。 9 提供補丁更新系統(tǒng)的運行日志。 （ 2）數(shù)據(jù)管理 U8 支持企業(yè)根據(jù)需求制定賬套備份計劃，支持設(shè)置計劃編號、名稱，按每天、周、月的頻率備份，支持年度賬或整個賬套備份。 并提供備份日志，包括計劃編號、賬套號、年度、備份日期和時間。 提供賬套、年度賬的不定時輸出功能。 提供賬套、年度賬的引入功能，用以支持企業(yè)的備份數(shù)據(jù)恢復(fù)。 提供系統(tǒng)的功能操作日志。 提供核心業(yè)務(wù)基礎(chǔ)數(shù)據(jù)的新增、修改的變更歷史查詢，包括存貨檔案、客商檔案。 提供核心交易數(shù)據(jù)的變更歷史查詢，包括銷售訂單、出口訂單、委外訂單、生產(chǎn)訂單、采購訂單、物料清單。 （ 3）用戶賬號管理控制 U8 支持企業(yè) “人 崗位 機構(gòu) ”的組織體系搭建， “人 系統(tǒng)用戶 系統(tǒng)角色 ”的權(quán)限模型。 實現(xiàn)企業(yè)系統(tǒng)管理員、賬套主管、普通用戶的權(quán)限分離、權(quán)責(zé)分配和職責(zé)分工。 提供系統(tǒng)用戶的新增、修改、刪除、注銷，通過用戶列表可以查詢用戶狀態(tài)、到最后使用 U8 的時間。 （ 4）權(quán)限控制 U8 支持企業(yè)安全制度的執(zhí)行，根據(jù)不同角色，為其授予不同的系統(tǒng)使用權(quán)限，包括菜單功能權(quán)限、數(shù)據(jù)的查詢、修 改、輸出等權(quán)限。 U8 支持企業(yè)對商業(yè)敏感的數(shù)據(jù)統(tǒng)一控制數(shù)據(jù)權(quán)限。如價格、金額等。 支持按不同的存貨分類、客戶、供應(yīng)商、部門、倉庫控制對數(shù)據(jù)的訪問或修改等權(quán)限。 10 也能控制到某一種具體類型的業(yè)務(wù)單據(jù)、工資表或基礎(chǔ)檔案的字段和記錄權(quán)限。 可以控制處理同種業(yè)務(wù)的操作員之間互相訪問數(shù)據(jù)的權(quán)限。 設(shè)置用戶可使用的金額級別，對業(yè)務(wù)對象提供金額級權(quán)限控制，如采購訂單的金額審核額度、科目的制單金額額度。 （ 5） 密碼策略 用戶使用初始密碼登錄時強制修改密碼控制； 新增用戶初始密碼控制； 密碼 最小長度控制； 密碼最長使用天數(shù)控制； 密碼最小使用天數(shù)控制； 登錄時密碼的最多輸入次數(shù)控制； 強制密碼歷史記憶密碼個數(shù)控制； 登錄密碼的安全級別控制； 拒絕客戶端用戶修改密碼控制。 企業(yè)內(nèi)控具體規(guī)范 —銷售及收款業(yè)務(wù) 控制目標(biāo) （ 1） 加強對銷售與收款業(yè)務(wù)的內(nèi)部控制 （ 2） 規(guī)范銷售與收款行為 （ 3） 防范銷售與收款過程中的差錯和舞弊 控制措施 （ 1） 權(quán)責(zé)分配和職責(zé)分工明確，機構(gòu)和人員配備合理； （ 2） 嚴(yán)密的銷售合同、發(fā)貨、收入確認(rèn)、收 款業(yè)務(wù)流程； （ 3） 客戶擋案完備、銷售政策和信用管理應(yīng)當(dāng)科學(xué)合理； 11 （ 4） 明確銷售收入的確認(rèn)條件、銷售成本的結(jié)轉(zhuǎn)方法； （ 5） 應(yīng)收賬款的催收管理、往來款項定期核對； （ 6） 明確壞賬準(zhǔn)備的計提依據(jù)、壞賬核銷的審批程序； （ 7） 銷售退回及驗收管理。 關(guān)鍵控制點 （ 8） 銷售訂單的控制內(nèi)容 ? 營銷部門承接客戶訂單，訂單應(yīng)連續(xù)編號。 ? 相關(guān)被授權(quán)人員復(fù)核所有訂單。 （ 9） 銷售計劃控制的內(nèi)容 ? 對于單一企業(yè)，銷售部編制銷售計劃，然后由其他管理人員執(zhí)行審批。 ? 月末 /隨時，進行銷售計 劃執(zhí)行情況分析并上報給主管。（） （ 10） 信用控制的內(nèi)容 ? 信用檔案的建立與客戶信用等級的劃分及調(diào)整職責(zé)分離； 252。 客戶資料信息應(yīng)遵循動態(tài)管理和專人負(fù)責(zé)的原則。 252。 客戶資料中的關(guān)鍵信息的修改需要保留歷史記錄。 ? 信用管理小組根據(jù)客戶信用等級和企業(yè)信用政策，擬定客戶信用具體限額和相應(yīng)支付方式。 ? 信用檢查的執(zhí)行。企業(yè)會在銷售計劃環(huán)節(jié)、或者銷售訂單環(huán)節(jié)、或者銷售發(fā)貨環(huán)節(jié)、或者銷售開票環(huán)節(jié)執(zhí)行信用檢查。 ? 制定客戶信用情況分析報表。 （ 11） 銷售價格控制的內(nèi)容 ? 公司的相關(guān)機構(gòu)定期研究市場并據(jù)此制 定產(chǎn)品銷售指導(dǎo)價格，形成公司產(chǎn)品價目表。 12 ? 其他產(chǎn)品價格由價格領(lǐng)導(dǎo)小組負(fù)責(zé)制訂或調(diào)整。 ? 價格領(lǐng)導(dǎo)小組簽字授予營銷部門某些產(chǎn)品價格浮動權(quán)，明確價格浮動范圍；營銷部門可根據(jù)實際將價格浮動權(quán)向下分配，明確權(quán)限執(zhí)行人。 ? 銷售部按照指導(dǎo)價格及浮動權(quán)限執(zhí)行，執(zhí)行過程中需要受到控制，即實際經(jīng)濟業(yè)務(wù)發(fā)生的銷售價格受到最低價控制等。 ? 價格變動的歷史信息保留記錄。 （ 12） 開票及收款控制的內(nèi)容 ? 財務(wù)部門根據(jù)客戶付款情況開具到款通知單。 ? 營銷部門被授權(quán)人員根據(jù)購銷合 同及財務(wù)部門開具的到款通知單或經(jīng)授權(quán)批準(zhǔn)的賒銷憑證批準(zhǔn)開具注明有效期限的發(fā)