电力行业内部控制

通、充分利用。

2. 实现企业信息管理工作的规范化、制度化、科学化。 3. 为企业管理层了解情况、科学决策、指导工作提供信息。 4. 内部报告得到妥善保管，避免泄露商业机密。 二、 主要风险

1. 信息收集的范围不明确，信息收集缺乏针对性，收集不充分、不准确，信息有误，导致企业决策失误。

2. 未建立内部报告流程，导致主要信息不能及时传递，或各部门信息不对称，影响企业经营效率和决策。

3. 未建立内部报告保密制度，导致内部报告泄密，对公司造成不必要的经济损失，影响公司核心竞争力。

4. 未及时对内部报告进行归档，导致相关信息泄漏或遗失。 三、 信息传递业务流程 （一）信息

信息指企业生产、经营、管理、改革、发展以及国家政策、市场环境等方面的内容。企业可以根据其实际情况对信息进行分类并建立信息传递业务流程。例如，信息可以分为外部信息及内部信息两类。1、外部信息主要包括宏观社会环境信息、科学技术发展信息、市场信息等，如国内政治经济形势、社会文化状况、生产所需要的设备、原料、能源等物资的供应和来源分布、市场需求信息、竞争信息等。

2、内部信息主要包括公司管理、生产活动、经济、技术、财务、人事等信息，如计划执行、生产调度、设备运行、安全管理、财务状况、经营成果等情况。 （二） 键节点及控制方法 1. 内外部信息收集 （1）电力企业应积极关注市场环境、政策变化等外部信息对企业生产经营管理的影响，通过期刊杂志、政府文件、行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道，及时获取外部信息；通过公司计划和总结、财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络、各项信息记录等渠道，及时获取内部信息。通过整理分析内外部信息，以内部报告形式及时传递到内部相关管理层级，以便采取应对策略。

（2）电力企业应对收集的内外部信息进行筛选，确保信息具有真实性、客观性和时效性，根据公司制定的不同级次内部报告指标要求对信息进行分析，提取有效数据，形成内部报告。内部报告要内容完整、重点突出、时效性强，对于重大事项应详细反映事项的发展过程及变化趋势。

2. 内部报告编制与审批

（1）电力企业应建立内部报告审核制度，根据内部报告类型不同，设置不同的审核权限。内部报告的起草与审核岗位应由不同人员担任，确保不相容岗位分离。部门负责人应对本部门起草的内部报告真实性、准确性负责，报告中涉及其他部门的，应传递至相关部门进行会审，确保信息完整准确。

（2）内部报告经审核无误后应在规定的时间内以办公系统、电子邮件、会议等方式，区分内部报告类型报送管理层。 3. 内部报告传递与使用

（1）企业应制定内部报告传递制度，明确各层级在内部报告传递中的职责与权限，根据信息的重要性、内容等特征确定不同的流转程序。指定专人对内部报告的流转情况进行跟踪和记录，对于未按照传递制度进行操作的事件，应当调查原因，并做相应处理。对于重大突

发事件，可直接向董事会或类似权力机构呈报内部报告。

（2）相关领导应对内部报告进行审阅、批示，企业管理层及各部门应充分利用报告内容指导经营决策及生产经营活动。对于内部报告反映出的问题应当及时解决，有效利用内部报告准确识别和系统分析公司生产经营活动中的内外部风险，确定风险应对策略，涉及突出问题和重大风险的，应当启动应急预案。 4. 内部报告保密及归档

（1）企业应制定内部报告保密制度，明确保密内容、保密措施、密级程度和传递范围，防止泄露商业秘密，保密信息报送过程中形成的草稿、修改稿等在收发传递过程中应及时记录、归档或销毁。相关人员需查阅保密文件时，应履行审批程序。

（2）企业应制定内部报告归档保管制度，指定专人按类别保管内部报告。对影响较大、金额较高的内部报告（如公司重大重组方案、公司债券发行方案等）应严格保管，对影响重大的内部报告（如公司章程及修订记录、公司股东登记表等）应永久保存。 四、 监督评价

1. 内部报告编制与审批

检查内部报告内容是否内容完整、重点突出、具有时效性。内部报告编制过程中是否经过相关负责人审核、是否经过部门会审。 2. 内部报告保密及归档

（1）检查是否制定内部报告保密制度，对于保密信息报送过程中形成的草稿、修改稿等是否及时记录、归档或销毁。相关人员需查阅保密文件时，是否履行审批程序。 （2）检查是否制定内部报告归档保管制度，对各类别内部报告进行妥善保管。 第二节 信息系统

《指南》所称信息系统特指企业利用计算机和通信技术，对内部控制进行集成、转化和提升所形成的信息化管理平台。

现代企业的运营与管理非常依靠信息系统，缺乏信息系统的支撑，企业发展会受到阻碍。电力企业使用的信息系统种类繁多，对业务开展影响巨大，因此如何全面利用信息和数据，如何安全管理信息系统、如何运行维护信息系统成为重要问题。在电力行业中，信息技术成为电力工业发、输、配、变、用等各领域电力生产运营的基础保障，信息和数据成为电力企业生产、管理、运行、决策、服务等各项工作的重要依据，成为电力规划、设计、建设、运营等各业务高效运行的主要纽带；企业信息资源成为电力企业除人（技术）、财（资金）、物（含设备和电能）之外的第四大资源。因此，加强信息系统内部控制对电力行业尤为重要。 一、 控制目标

1.设置专门信息化管理部门，明确职责，负责公司信息化总体规划、系统项目实施、系统变更管理、系统运维管理、系统安全管理等工作。

2.优化信息化建设资源，避免信息孤岛，避免因信息系统项目论证不充分、信息系统实施方案与实际需求不符等造成项目失败及资源浪费。

3.在自我开发和外购的方式中，采取有效适当的方式实施信息系统。

4.确保系统开发需求文档充分体现业务处理和内部控制需要，设计方案能够满足业务和控制需求。针对不同数据的输入方式，考虑实现对进入系统数据的检查和校验功能。

5.编写完整可行的上线计划，按照计划进行系统上线工作，确保新旧信息系统顺利切换和平稳衔接。

6.加强信息系统开发全过程的跟踪管理，确保系统在功能、性能、控制要求和安全性等方面符合开发需求。

7.确保信息系统按照规定的程序、制度和操作规范持续稳定运行，保证信息系统运行安全，对信息系统进行访问权限管理，对信息系统变更严格遵照管理流程进行操作。

8.确保信息系统能够抵抗病毒等恶意软件的感染和破坏，加强服务器等关键信息设备的管理，通过数据定期备份机制确保系统数据可用性。 二、 主要风险

1.缺乏信息系统的专业管理部门和人员，未制订信息技术长期规划或规划不合理，导致企业信息化工作滞后于业务发展。

2.实施的系统开发项目没有经过充分论证，信息系统开发方式选择不当，导致形成信息孤岛或系统重复建设，信息系统对业务支持不足和投资浪费。 3.信息系统建设缺乏项目计划或者计划不当，信息系统需求分析不符合业务处理和控制的需要，需求表达不明确，有关需求未经评审，设计变更频繁，导致项目进度滞后、费用超支。

4.缺乏完整可行的上线计划，信息系统配置不符合设计方案，数据迁移不完整、不准确，导致信息系统无法正常稳定运行。

5.未对信息系统开发全过程进行跟踪管理，导致系统开发偏离业务需求。

6.信息系统验收不全面，上线未经有效测试，导致系统功能异常无法满足开发需求。 7.未制订日常运维管理规范或规范不健全，未定期对系统运维状况加以检查，未定期妥善备份数据，信息系统运行维护措施不到位，导致信息泄漏或损坏，系统运转异常或损坏后无法恢复，造成重大损失。

8.未建立信息系统变更管理制度，未规定合理的变更审批流程，导致变更管理混乱，系统变更影响系统正常业务和控制功能，影响系统数据的完整性、准确性和安全性。

9.企业员工信息安全意识薄弱，企业对系统和信息安全缺乏有效的监管手段，未确立信息安全管理制度，未明确组织及相关人员的安全职责，信息系统权限和工作职责不符，人员职责及系统权限不符合不相容职责分离的原则，需报废的计算机存储设备及其中所存储的数据处理不当，导致敏感信息和数据得不到有效保护，信息系统管理人员和操作人员非法利用其持有的不适当系统权限从事舞弊活动。

10.信息系统存在程序漏洞或网络防护不当，防病毒软件未及时更新，导致系统受到病毒等恶意软件的感染和破坏，黑客入侵或被不法人员利用盗取信息。 三、关键节点及控制方法 1.信息系统规划

（1）企业应设置信息系统管理部门，制定信息系统相关的管理制度，负责信息系统开发、运维、变更和安全管理等工作。

（2）信息系统管理部门应制定与企业整体战略目标一致的信息系统战略规划，并履行相关审批程序。信息系统管理部门结合企业实际情况、信息化发展需求及公司信息化总体方案等，制定年度信息化建设的重点工作安排。 2.信息系统开发上线 （1）企业应指派信息系统管理部门或委托有资质的机构对信息化项目进行可行性研究，编制项目可行性研究报告并组织相关部门进行论证，对需向国家申报的项目应履行相关审批程序。在项目可研阶段，信息系统管理部门应重点识别项目开发过程中的风险，并制定相应的控制措施。

（2）信息系统管理部门应进行软件选型，确定自行研发或外购。对于外购的项目，需对服务商进行严格筛选，原则上应采用公开招标的形式选择服务商，招标应由相关部门共同参与，应有完整的招标文件并签订合同。

（3）对于自行研发的信息系统，信息系统管理部门应成立专门项目组，编制系统开发总体方案，明确系统需求、功能模块、系统架构、人员配备、职责分工、项目整体计划等相关内容，按照规定程序审批后实施。对于外购的信息系统，信息系统管理部门、相关业务部

门与系统服务提供商应组建项目组，编制项目实施总体方案，明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容，按照规定程序审批后实施。

（4）项目负责人应负责根据项目的具体情况组织编写项目实施计划，与项目实施人员共同讨论项目计划的可行性，项目实施计划应由项目组和企业内部相关部门共同确认才可实施。项目组应在项目实施计划中明确新旧系统切换时的方法及应急预案，保证新系统失效时能够顺利切换回旧系统。项目实施计划中还需明确项目各阶段的目标、人员、分工和进度安排等内容，并由项目负责人按照计划对项目进度进行跟踪管理，以保证过程可控，目标可实现。

（5）信息系统管理部门应组织企业内部相关部门提出系统需求，系统需求应经需求方负责人确认。项目组会同相关业务人员对系统需求进行分析和提炼，形成项目需求和设计方案，确保满足业务流程需求、业务规则要求和风险控制要求。项目组应与企业内部相关部门沟通讨论，说明设计方案对用户需求的覆盖情况。

（6）项目组应在项目实施过程中组织开展单元测试和系统测试工作，制定测试文档，以确保项目实施结果符合功能设计要求，并在测试基础上对设计方案提出改进建议。

（7）系统上线时，项目组应制定信息系统上线计划，在制定计划时考虑可能发生的风险并在计划中进行风险规避。对于涉及系统上线数据迁移的，项目组需制定详细的数据迁移计划，并对迁移结果进行测试。

（8）项目完成后，信息系统管理部门、相关业务部门应对项目进行验收，并在验收报告上签字确认。

3.信息系统日常运维

（1）信息系统管理部门应制定信息系统巡检制度，通过定期巡视机房，检查系统运行报告或日志监测服务器、数据库及网络设备的运行情况，并填写巡检日志，对发现的问题及时解决或报告。

（2）信息系统管理部门应根据业务频率和数据重要性明确数据备份策略，包括备份范围、频率、方法、责任人、存放地点、有效性检查等内容。进行数据备份时，应合理采用磁盘、磁带、光盘等备份存储介质。数据正本与备份应分别存放在不同地方，防止因火灾、水灾、地震等事故导致备份数据无法恢复。另外，应进行数据恢复性测试，以确保备份数据文件的可用性。恢复性测试应至少每年一次。当系统软硬件环境发生重大变化时，也应当进行恢复性测试工作。

（3）信息系统管理部门应制定信息系统相关的应急预案，定期组织相关部门和人员开展应急演练，并对演练中出现的问题进行总结，编制应急演练报告，不断改进应急预案。系统发生重大故障时，根据故障严重程度启动相关应急预案，故障处理完毕后，信息系统管理部门应在规定时间内编写专项报告并在企业内部汇报。

（4）信息系统管理部门应采取统一安装杀毒软件等措施，防范信息系统受到病毒等恶意软件的感染和破坏。对于接入企业内部网络的计算机，应统一安装规定的杀毒软件，并启用杀毒软件自动更新功能。应限制智能手机、平板电脑、PDA等个人设备接入企业内部网络。

4.信息系统变更

（1）信息系统管理部门应建立系统变更申请、审批、执行、测试流程。在对实施系统变更时，由需求方提交变更申请，按照程序经过适当审批后才可实施变更，需求方应对变更后的系统功能进行测试。 （2）对于需要进行程序开发的系统变更，信息系统管理部门应建立单独的系统开发（变更）环境、系统测试环境和系统生产环境。不得在生产环境中进行系统程序的开发、变更和测试工作。做好各环境的权限控制，严格限制可将变更程序从开发、测试环境中迁移至生产