T/UNP 352-2024 企业内控数智化系统建设要求

ICS 35.080
UNSPSC 43.23.23
CCS L 70
团体标准
T/UNP 352—2024
企业内控数智化系统建设要求
Requirements for the construction of intelligent internal control systems inenterprises
2024 - 12 - 05 发布 2024 - 12 - 05 实施
中国联合国采购促进会 发布

目次
前言 ................................................................................. II
引言 ................................................................................ III
1 范围 ............................................................................... 1
2 规范性引用文件 ..................................................................... 1
3 术语和定义和缩略语 ................................................................. 1
术语和定义 ..................................................................... 1
缩略语 ......................................................................... 1
4 系统建设 ........................................................................... 1
系统规划 ....................................................................... 1
系统分析 ....................................................................... 2
系统设计 ....................................................................... 2
系统开发与测试 ................................................................. 2
系统运行与维护 ................................................................. 3
5 系统功能 ........................................................................... 3
基本功能 ....................................................................... 3
数智化功能 ..................................................................... 4
6 系统性能 ........................................................................... 4
可用性 ......................................................................... 4
响应要求 ....................................................................... 4
稳定性 ......................................................................... 4
数据性能 ....................................................................... 4
拓展性 ......................................................................... 5
7 系统安全 ........................................................................... 5
数据安全 ....................................................................... 5
用户访问与权限控制 ............................................................. 5
风险监控与应急响应 ............................................................. 6
系统日志与审计 ................................................................. 6
8 反馈与改进 ......................................................................... 6
用户反馈 ....................................................................... 6
持续改进 ....................................................................... 7
参考文献 .............................................................................. 8
T/UNP 352—2024
II
前言
本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定
起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由深圳市和合信诺大数据科技有限公司提出。
本文件由中国联合国采购促进会归口。
本文件起草单位：深圳市和合信诺大数据科技有限公司、中科企服（深圳）科技有限公司、中科信
泰（深圳）信息技术有限公司。
本文件主要起草人：杨寿姗、周韩，杨凯宇、郑祥、史媛媛、谭艺玲。
T/UNP 352—2024
III
引言
为助力中国企业参与国际贸易，推动企业高质量发展，中国联合国采购促进会依托联合国采购体系，
制定服务于国际贸易的系列标准，这些标准在国际贸易过程中发挥了越来越重要的作用，对促进贸易效
率提升，减少交易成本和不确定性，确保产品质量与安全，增强消费者信心具有重要的意义。
联合国标准产品与服务分类代码（UNSPSC，United Nations Standard Products and Services
Code）是联合国制定的标准，用于高效、准确地对产品和服务进行分类。在全球国际化采购中发挥着至
关重要的作用，它为采购商和供应商提供了一个共同的语言和平台，促进了全球贸易的高效、有序发展。
围绕UNSPSC进行相关产品、技术和服务团体标准的制定，对助力企业融入国际采购，提升国际竞争
力具有十分重要的作用和意义。
本文件采用UNSPSC分类代码由6位组成，对应原分类中的大类、中类和小类并用小数点分割。
本文件UNSPSC代码为“43.23.23”，由3段组成。其中：第1段“43”为大类，表示“信息技术广播
和电信”，第2段为中类，“23”表示“软件”，第3段为小类，“23”表示“数据管理和查询软件”。

T/UNP 352—2024
1
企业内控数智化系统建设要求
1 范围
本文件规定了企业内控数智化系统的系统建设、系统功能、系统性能、系统安全、反馈与改进。
本文件适用于企业内控数智化系统的建设。
2 规范性引用文件
本文件没有规范性引用文件。
3 术语、定义和缩略语
术语和定义
下列术语和定义适用于本文件。
3.1.1
企业内控数智化系统 enterprise internal control digitalization system
利用大数据、人工智能、机器学习等现代信息技术，对企业内部控制活动进行数字化、信息化和智
能化管理的系统。
缩略语
下列缩略语适用于本文件。
SQL：结构化查询语言（Structured Query Language）
XSS：跨站脚本（Cross-Site Scripting）
4 系统建设
系统规划
4.1.1 目标设计
4.1.1.1 宜根据企业战略需求设定清晰的目标，具体涵盖提升内控管理的数字化能力、降低业务运营
风险、优化跨部门协作的效率以及强化数据驱动的决策能力等内容。
4.1.1.2 宜明确短期目标（如模块化功能上线时间）和长期目标（如内控数智化程度的达成标准）。
4.1.2 需求细化
4.1.2.1 在初步需求调研的基础上，进一步细化用户需求，撰写功能需求文档，明确系统支持的具体
功能，包括实时风险监控、异常预警、合规性检查、数据多维分析等。
4.1.2.2 确定非功能需求，包括系统的可靠性、扩展性、安全性和兼容性指标。
4.1.2.3 明确系统核心数据字段（如用户信息、交易记录、风险评估结果）的定义和存储规范。
4.1.3 可行性分析
可行性分析应符合以下要求：
a) 技术层面：评估企业现有技术基础设施（如服务器、网络架构、数据中心）是否支持新系统的
引入及扩展性需求；
b) 经济层面：计算建设预算，分析建设成本与预期收益，确保投入资金符合企业财务规划；
c) 风险层面：列举技术、管理、数据和外部环境可能产生的风险，并建立初步的风险缓解策略。
T/UNP 352—2024
2
4.1.4 资源分配与计划
4.1.4.1 制定项目时间表，将系统规划、开发、测试和实施阶段明确化，设置关键里程碑节点。
4.1.4.2 确认内部团队和外部支持资源（如技术供应商、顾问服务），确保项目开展的资源充足性。
系统分析
4.2.1 业务流程分析
4.2.1.1 梳理企业现有业务流程，识别内控环节的痛点及风险点。
4.2.1.2 利用业务流程建模工具，设计业务流程，确保系统功能与流程无缝对接。
4.2.2 风险分析与应对
4.2.2.1 针对业务连续性、数据安全性和系统稳定性方面的潜在风险，建立具体的监控与缓解方案。
4.2.2.2 建立风险优先级列表，并根据风险严重性制定分步处理计划。
系统设计
4.3.1 架构设计
系统架构宜采用分层设计，系统架构见图1所示层次。
制度管理员工行为管理
应用层监管信息跟踪合规动态分析
支撑层
硬件层
内部检查管理
运维层
网络层
数据源管理管理策略设置数据分类
法律事务管理
平台管理
接口层安全层
图1 系统架构图
4.3.2 接口兼容性设计
4.3.2.1 支持标准化的接口协议，可实现与现有信息系统集成。
4.3.2.2 设计兼容性方案，支持不同操作系统和设备的无缝运行。
系统开发与测试
4.4.1 开发要求
4.4.1.1 按流程进行开发，在每个迭代中逐步实现功能，确保阶段性目标达成。
4.4.1.2 代码开发宜遵守企业代码规范，定期进行代码审查与优化。
T/UNP 352—2024
3
4.4.2 测试要求
测试要求包括但不仅限于：
a) 单元测试：验证每个功能模块的独立正确性；
b) 集成测试：测试模块间的数据交互与逻辑一致性；
c) 压力测试：验证系统在高并发场景下的性能表现，确保响应时间符合要求；
d) 安全测试：模拟攻击场景（如SQL 注入、XSS 攻击），验证系统防护能力。
4.4.3 缺陷修复与优化
针对测试中发现的问题，分类记录，依据优先级进行修复并优化代码效率。
系统运行与维护
4.5.1 系统运行
定期开展运行审计，检查系统在内控逻辑、数据安全和业务连续性方面的表现。
4.5.2 维护与更新
宜具备动态升级能力，支持功能模块的无缝添加与版本升级。
4.5.3 故障应对与支持
建立全天候技术支持服务，提供快速响应机制和多层级问题解决方案。
4.5.4 备份与恢复机制
宜定期备份数据，并设计灾备方案，确保突发故障情况下的数据可恢复性。
5 系统功能
基本功能
5.1.1 制度管理
5.1.1.1 支持制定和修订企业内部控制制度，并提供统一的模板和范例。
5.1.1.2 内置审批流程，确保制度在发布前经过必要的审议和批准。
5.1.1.3 实现制度的版本控制，历史版本可随时追溯。
5.1.1.4 支持多渠道发布和通知。
5.1.2 员工行为管理
5.1.2.1 提供员工行为规范培训。
5.1.2.2 实时监控员工行为，通过数据分析和智能预警技术，发现异常行为并及时预警。
5.1.2.3 实现员工行为数据的自动记录和分析，提供详细的行为评估报告。
5.1.3 内部检查管理
5.1.3.1 制定内部检查计划，分配检查任务。
5.1.3.2 支持检查过程的实时记录，自动生成检查报告和发现问题的整改建议。
5.1.3.3 对检查发现的问题进行跟踪和反馈。
5.1.4 监管信息跟踪
5.1.4.1 实时监测和收集最新的监管政策和法规信息。
5.1.4.2 定期更新监管信息，并通过系统通知相关部门和员工。
5.1.4.3 按最新监管要求，对企业进行合规性检查，并提出改进建议。
T/UNP 352—2024
4
5.1.5 合规动态分析
5.1.5.1 使用大数据分析技术，评估企业合规风险，提供风险评估报告。
5.1.5.2 实时分析企业的合规状态，发现潜在的合规问题。
5.1.5.3 根据分析结果，提出具体的合规改进建议，帮助企业优化合规管理。
5.1.6 法律事务管理
5.1.6.1 对企业的法律事务进行全面登记和管理，包括合同管理、诉讼管理等。
5.1.6.2 提供法律咨询服务，帮助企业解决法律问题。
5.1.6.3 进行法律风险评估，提出法律风险防控措施。
数智化功能
5.2.1 数据源管理
具备数据源管理的功能，包括：
a) 数据库接入功能：添加mysql、redis、oracle 等数据库接入功能；
b) 大数据接入功能：添加hbase 等大数据接入功能；
c) 应用数据接入功能：配置所属网关、匹配规则、上游服务等应用数据接入功能。
5.2.2 管理策略设置
具备管理策略设置的功能，包括：
a) 查看平台已有的策略模板及详情信息；
b) 对多个策略模板进行对比查看；
c) 对策略文件进行分级调整配置；
d) 对相应的策略添加新的字段规则并进行分类分级。
5.2.3 数据查看
具备数据查看的功能，包括：
a) 对静态命中规则分布数据、静态敏感级别分布数据进行查看；
b) 对动态命中规则分布数据、动态敏感级别分布数据进行查看。
5.2.4 平台管理
具备平台管理的功能，包括：
a) 具有对新增用户账户并进行登录的功能；
b) 具有对不同角色用户分配不同的系统权限功能；
c) 具有许可证到期前到期提醒功能。
6 系统性能
可用性
系统的正常运行时间占总运行时间的99.9%以上。
响应要求
系统对用户请求的响应时间确保95%的请求能在1 s 内完成处理。
稳定性
满足以下要求：
a) 系统故障恢复时间：≤12 h；
b) 平均年故障时间：≤24 h。
数据性能
T/UNP 352—2024
5
系统能高效处理大量数据，特别是对于数据的实时分析和批量处理，能在预定的时间内完成处理任
务，数据处理效率满足关键业务流程的需求，防止因数据处理延迟导致的业务风险。
拓展性
满足以下要求：
a) 模块化设计：采用模块化设计，便于扩展和升级；
b) 灵活的参数配置：具备灵活的参数配置功能，能根据企业实际情况进行个性化设置和调整。
7 系统安全
数据安全
7.1.1 数据采集
7.1.1.1 系统宜具备高效、准确的数据采集功能，支持从多个数据源（如财务、生产、销售系统等）
实时采集关键业务数据，并确保数据在采集过程中的安全性。
7.1.1.2 数据采集模块宜支持多样的数据源，包括关系型数据库、文件、API 接口等，并通过加密、认
证等手段保障数据传输过程的安全性。
7.1.1.3 采集的数据应符合安全性要求，确保数据的完整性、准确性和一致性，并防止数据在采集过
程中遭到篡改或丢失。
7.1.1.4 数据采集过程宜进行去重、标准化、格式转换等处理，并加入安全审计与监控机制。
7.1.2 数据处理
7.1.2.1 数据处理模块宜支持数据清洗、分析和存储，并优化处理性能，满足高并发、大规模数据的
快速处理需求，同时确保处理过程中的数据安全，防止数据泄露。
7.1.2.2 数据清洗宜去除冗余、不完整或格式不一致的部分，并确保清洗过程中采取适当的加密和脱
敏措施，确保数据的隐私性和安全性。
7.1.2.3 处理后的数据宜规范化存储，满足查询和分析需求，确保数据在风险评估和决策支持中的有
效利用。
7.1.3 数据隐私保护
7.1.3.1 企业应制定全面的数据隐私保护政策，明确数据保护的范围、责任和流程，涵盖数据的收集、
存储、处理、共享和销毁等各个环节。
7.1.3.2 所有敏感数据在存储和传输过程中宜进行加密处理，采用符合行业标准的加密协议（如AES、
RSA）。
7.1.3.3 处理后的数据宜规范化存储，并采用加密技术进行保护，满足查询和分析需求的同时，确保
数据在使用过程中的安全性和风险防范。
7.1.3.4 企业应定期进行数据隐私保护风险评估和审计，检查数据的访问记录、操作日志等。
用户访问与权限控制
7.2.1 访问控制策略
7.2.1.1 系统宜建立访问控制机制，确保不同级别用户的操作权限得到有效管理。
7.2.1.2 使用基于角色的访问控制，根据不同岗位职责分配权限，确保最小授权原则。
7.2.1.3 除角色权限外，还宜实施细粒度权限控制，如基于功能模块、数据层级、时间段等进行精细
化的权限划分。
7.2.1.4 支持对用户权限的动态调整，及时添加或撤销权限，避免过期权限带来的安全隐患。
7.2.2 身份验证与认证
7.2.2.1 系统支持多因素身份验证机制，确保用户身份的真实性。
7.2.2.2 支持多种身份验证方式（如短信验证、指纹识别、面部识别等）。
7.2.2.3 实现单点登录功能，简化用户操作，提升系统使用便捷性。
T/UNP 352—2024
6
7.2.3 访问记录与监控
7.2.3.1 所有用户的登录、操作、数据访问等活动宜有详细的记录，并实时监控，及时发现潜在的异
常行为。
7.2.3.2 对异常登录（如异地登录、频繁错误密码等）和可疑操作（如大规模数据访问、频繁操作等）
进行自动监控，并向管理员报警。
风险监控与应急响应
7.3.1 风险监控
7.3.1.1 系统宜具备实时监控企业各项业务活动的能力，及时发现和预警潜在风险。
7.3.1.2 根据企业特点设定风险评估指标和阈值，如财务异常、合规性风险、操作违规等。
7.3.1.3 结合大数据和人工智能技术对业务数据进行实时分析，发现潜在风险并生成预警报告。
7.3.1.4 风险宜进行分级处理，根据其严重程度和影响范围采取不同的应急响应措施。
7.3.2 应急响应
7.3.2.1 针对识别出的各类风险，企业宜建立完善的应急响应机制。
7.3.2.2 对常见风险（如系统故障、网络攻击等），宜自动触发应急响应，快速进行故障转移、数据
恢复等操作。
7.3.2.3 对复杂的风险事件，相关负责人宜手动干预，按制定的应急预案进行处理，确保企业快速恢
复正常状态。
7.3.3 风险报告与反馈
7.3.3.1 系统宜自动生成详细的风险评估报告，定期向管理层反馈潜在的风险信息，帮助决策者应对。
7.3.3.2 风险报告宜详细描述异常情况的发生背景、潜在影响及建议的应对策略。
系统日志与审计
7.4.1 日志记录
7.4.1.1 所有关键操作和事件宜有详细的日志记录，确保日志数据不可篡改，并具备完整性。
7.4.1.2 记录宜涵盖所有用户操作的时间、类型、操作对象等，尤其是敏感操作（如数据修改、删除
等）。
7.4.1.3 安全事件、系统异常等也宜记录在案，确保对系统运行的全面监控。
7.4.2 审计要求
7.4.2.1 企业宜定期审计系统日志，确保日志数据的完整性与真实性。
7.4.2.2 日志管理宜遵循规定的保存周期，并定期归档、清理。
7.4.2.3 对异常或违规操作，宜进行详细的审计分析，查找事件原因并提出改进措施。
7.4.2.4 审计报告宜定期生成并提交给相关部门，用于评估系统安全性和合规性。
8 反馈与改进
用户反馈
8.1.1 宜具备用户反馈机制，用户可通过多个渠道（如在线表单、客服热线、邮件等）提交问题和建
议。反馈内容宜包含功能需求和对系统性能的评价，确保多角度收集用户意见。
8.1.2 对用户反馈进行定期分析，并按反馈的紧急程度、影响范围等进行分类。系统自动生成反馈分
析报告，并为各类问题分配优先级，及时传递至相关部门进行处理。
8.1.3 基于用户反馈和分析结果，系统宜形成改进建议并纳入优化计划，具体到功能、界面、操作流
程、性能等方面。建议的实施宜在规定时间内完成，并及时向用户反馈改进情况，建立良好的用户信任。
8.1.4 对已处理的用户反馈和优化建议，系统宜进行持续跟踪，并在适当时机进行智能回访，确保改
进措施得到了用户认可。回访宜包括对新功能的使用效果、系统改进后的体验等方面进行评估。
T/UNP 352—2024
7
持续改进
8.2.1 宜设立持续改进机制，定期对内控系统进行全面审查和评估，识别系统中存在的不足和改进空
间。
8.2.2 改进机制宜包括定期审计、用户反馈、技术发展等多个方面，确保系统与业务需求和技术发展
保持同步。
8.2.3 根据审查结果和反馈建议，系统宜制定明确的改进计划，列出具体的改进措施、责任人、时间
节点等。
8.2.4 改进措施宜包括技术层面的更新、功能层面的优化、用户体验的提升等方面，并确保按期执行。
T/UNP 352—2024
8
参考文献
[1] GB/T 42145—2022 政府网站网页电子文件管理系统建设要求