内部控制手册第3部分-内控矩阵(C) - 11,1信息系统管理业务内部控制矩阵 - 图文

11.1信息系统管理业务内部控制矩阵

业务目标 业务风险 控制点 1.1 经营风险：信息化管理体系不完善，信息化领导小组或ERP指导委员会设置不健全，信息管理部门职责不落实，导致信息化工作受损。 1. IT整体层面管理 1.1股份公司建立完善的信息化管理体系，设立ERP指导委员会息系统管理部负责股份公司信息化归口管理工作；各分（子）公息化领导小组或ERP指导委员会，定期召开会议，听取、总结和位信息化工作，设立信息管理部门负责本单位信息化管理工作，统和信息资源行使管理职责。 1.1 2.2 经营风险：信息化建设中长期规划不符合1.2根据股份公司发展战略目标和核心业务，结合信息技术发展和股份公司经营战略目标，导致盲目建设、实际，信息系统管理部负责组织编制股份公司信息化建设中长期投资低效。 充分征求职能部门、事业部和分（子）公司意见后，组织专家组根据专家意见负责组织修改，经信息系统管理部主任审核，按规批后，纳入股份公司中长期发展规划。 经营风险：信息化培训缺乏，导致信息系统效能低下、信息化管理水平不高、信息化技能缺失。 经营风险：信息安全教育不足，导致员工信息安全意识薄弱。 1.1 1.3教育和培训 1.3.1各级信息管理部门负责编制年度信息化培训计划，经部门负后，纳入人事部门年度培训计划,并组织落实。 1.1 1.1 2.2 1.3.2各级信息管理部门配合人事部门开展全员信息安全教育和培信息门户或内部网站发布安全教育培训材料。 1.1 2.2 1.1 2.2 1.1 2.2 1.4风险评估 经营风险：信息系统风险评估缺失，导致1.4.1根据《中国石油化工股份有限公司信息系统风险评估管理信息系统风险。 息系统管理部负责每年对信息系统进行年度综合风险评估，形成报告，并组织专家组对风险评估报告进行评审，专家组对风险评出评审意见并签字；分（子）公司信息管理部门会同相关业务部多种形式，组织本单位信息系统的风险评估，包括企业信息系统重点系统风险、主要基础设施风险等，形成相关风险评估报告，评估报告经信息管理部门负责人审核签字后报信息系统管理部备 1.5信息安全管理 经营风险：信息安全规划不当，信息安全1.5.1信息系统管理部负责编制信息安全规划，在征求职能部门、方案缺失，导致信息系统风险。 分（子）公司意见后，组织专家组评审，并根据专家意见负责组经信息系统管理部主任审核后，正式发布。 各分（子）公司信息管理部门根据股份公司信息安全规划，结合经营管理的需要，并针对风险评估报告中提出的问题，负责制订信息安全方案，经分管经理审批后报信息系统管理部备案。 经营风险：系统未确定关键岗位，关键岗1.5.2依照《中国石油化工股份有限公司信息系统安全管理办法》位缺乏监管，导致系统存在安全隐患。 级信息管理部门负责提出本单位的“信息系统关键岗位名录”，其中系统安全的关键岗位由信息管理部门确定，涉及业务信息安全的由主管业务部门商本单位保密委员会确定。“信息系统关键岗位名键岗位人员要与所在单位签署“信息系统关键岗位安全责任书”，并门备案。 经营风险：系统安全岗位设置缺失，导致1.5.3各级信息管理部门根据《中国石油化工股份有限公司信息系系统存在安全隐患。 理办法》中的有关要求，按照不相容岗位分离的原则，设立安全安全管理员必须具有相应资质，并经部门负责人审批授权。 2. 编制年度项目建议计划

业务目标 业务风险 控制点 1.1 2.2 经营风险：年度信息化项目建议计划不符合股份公司经营战略目标，导致盲目建设、投资低效。 1.1 1.2 1.1 1.2 1.1 1.2 1.1 1.2 1.1 1.2 1.1 1.2 1.1 1.2 2.1 2.1信息系统管理部根据股份公司信息化建设中长期规划和职能部、分（子）公司申报的项目建议计划，结合年度实际，编制年项目建议计划，由信息系统管理部主任审核，按规定权限审批后入股份公司年度投资计划、科技开发项目计划管理。各分（子）管理部门负责编制年度信息化项目建议计划预案，按规定权限审别纳入本单位年度投资建议计划、科技开发项目建议计划，上报管理部和总部相关部门审核。 3. 项目可行性研究和评审 经营风险：项目可行性研究报告提出的技3.1信息管理部门会同项目责任部门(单位)委托有资格的单位承担术方案不合理，业务流程不规范，系统功性研究，并组织专家组对项目可行性研究报告进行评审，专家组能不健全，可研评审不到位，导致系统建求、目标、技术路线、风险分析、投资与效益、进度、组织落实设不能满足业务需求。 行性研究评审意见并签字。 4.项目立项审批 经营风险：信息化项目缺乏统一归口管4.1通过可研评审的固定资产投资限额（200万元）及以上的信息理，审批过程不规范，导致重复建设，低由信息系统管理部报发展计划部立项，批准立项的项目，由发展效投资。 入年度投资计划；申请总部立项的固定资产投资限额（200万元信息技术项目，由信息系统管理部负责审批，报发展计划部备案业部审批的投资限额以下的信息技术项目投资计划，须经信息系和发展计划部会签。 各分（子）公司一般措施及零星购置的信息技术项目在总部每年额以内，由各分（子）公司根据当期生产经营管理的需要，按规批后报各主管事业部、信息系统管理部和发展计划部审核备案，份公司年度投资计划管理。 通过可研评审的科技开发项目，由信息系统管理部报科技开发部准立项的项目，由科技开发部列入年度项目计划。 经营风险：总体（基础）设计技术方案不4.2对批准立项的、投资在500万元及以上的项目，信息系统管理合理，业务流程不规范，系统功能不健全，资格的单位按要求对项目进行总体（基础）设计，其中投资在20专家组评审不到位，导致系统建设不能满以上的项目需组织专家组对项目总体（基础）设计进行评审，专足业务需求。 目需求分析、目标、功能设计、投资概算等提出评审意见并签字 系统管理部负责审批总体（基础）设计，报发展计划部备案。 5.合同签订 经营风险：承建单位资质及经验欠缺，导5.1信息管理部门负责组织项目责任部门(单位)审查集成商、咨询致项目建设受损。未经审核，变更信息技商及供应商的资质，开展询比价、商务谈判等工作；涉及有关计术合同标准文本中涉及的权利、义务等条器、PC机、打印机采购事宜，由物资采购部门归口管理、信息管款，导致财务风险。 合开展采购工作。依照规定权限并按经法律事务部审定的标准合财务风险： 交易不真实，影响财务报告。 订合同；项目责任部门(单位)负责完成合同技术附件，并由负责人 6.项目实施 经营风险：详细设计技术方案不合理，业6.1项目实施单位根据合同技术附件或总体设计进行详细设计，详务流程不规范，系统功能不健全，审查不形式可根据项目类别的不同（自主开发项目、引进试点项目、推到位，导致系统建设不能满足业务需求。 目、基础设施项目）采取与项目类别相适应的形式，投资在500上的项目需由信息管理部门组织人员对项目详细设计进行审查，单位根据审查意见进一步修改完善深化详细设计。 经营风险：基础数据不完整、不准确、不6.2项目责任部门(单位)负责项目实施，业务部门组织数据的收集真实，导致系统无法正常投运或计算出录入、审核，并进行审查和确认，保证数据的真实、完整和准确错。 经营风险：系统安装调试不当，用户培训6.3信息管理部门负责对项目实施单位承担的软硬件系统安装调缺失，导致系统运行受损。 训进行检查，审核和确认测试报告，并检查相应软件的合法性，合规风险：安装的软件侵犯知识产权，导方签字的检查记录。 致诉讼及股份公司声誉受到损害。

业务目标 业务风险 控制点 1.1 1.2 1.1 1.2 经营风险：项目监管不力，系统建设延误，6.4信息管理部门负责组织对项目建设的阶段验收，进行项目建导致系统不能按期投用。 度、标准执行和成本控制等检查，提出阶段验收报告；项目实施阶段验收报告对系统进行修改完善。 500万元以下的一般信息技术项目可根据项目具体实施情况，只验收。 经营风险：项目监管不力，系统建设延误，6.5项目责任部门(单位)负责至少每季度向信息管理部门提交项导致系统不能按期投用或资金流失。 告，内容包括项目进度、质量、经费使用、存在问题和整改措施财务风险：未按约定付款，影响财务报告。 合同约定填写付款申请，按规定权限审批后办理付款。 1.1 1.2 1.1 1.2 经营风险：集成测试不完整，造成系统评6.6信息管理部门组织对系统进行集成测试，形成集成测试评价估不准确。 据集成测试评价意见责成项目实施单位进行修改完善。 经营风险：技术文档不完整、造成系统应6.7项目责任部门(单位)责成项目实施单位负责知识转移，并提交用维护困难 的技术文档（包括用户使用手册、系统维护手册、系统安全和使理办法、应急处理办法及用户培训教材等资料）。 1.1 1.2 1.1 1.2 1.1 1.2 1.1 1.2 7.项目竣工验收 经营风险：单轨运行时间过短，无法完成7.1项目完成全部的规定目标任务后，投资2000万元及以上的项对系统的准确评价 续稳定运行6个月以上，其它项目单轨连续稳定运行3个月以上责任部门(单位)以正式行文方式提交项目竣工验收申请，同时提交相关材料一并审核。总部批复的项目向信息系统管理部提交验收信息系统管理部负责组织项目验收工作。分(子)公司自行批复的项信息管理部门提交验收申请，由分(子)公司信息管理部门负责组织工作。专家组形成验收意见并签字。 经营风险：竣工验收决算报告或审计报告7.2信息管理部门会同财务部门按规定进行项目竣工结算。财务部不严格，导致资金外流 验收决算报告或审计报告办理项目转资手续，按股份公司内部会财务风险：未按约定付款，影响财务报告。 有关规定，经财务部门负责人审核后，进行账务处理。相关会计合规风险：违反国家和企业会计制度，造不相容岗位人员稽核。 成项目资金损失。 在信息技术项目达到预定的可使用状态时，财务部门应依据有关的手续，按照股份公司内部会计制度，经部门负责人审核后，暂相关会计凭证须经不相容岗位人员稽核。 经营风险：后评价报告缺失，无法定性和7.3对固定资产投资2000万元及以上的试点项目，通过验收后，定量评估项目的经济效益和社会效益。 部门组织专家组对项目进行后评价，专家组提出后评价报告并签 经营风险：由于第三方资质问题或信息管理部门缺乏专人维护，系统维护质量受损。 8.系统应用和维护 8.1需委托维护的信息系统，信息管理部门负责审查系统服务商订系统维护服务合同以及安全保密协议；由信息管理部门自行维指定专人负责维护，制定岗位职责。 1.1 1.2 2.1 1.1 1.2 经营风险：数据维护、用户管理等制度缺失，系统日常维护、用户培训等欠缺，造成工作受损。 合规风险：软件使用侵犯知识产权，导致诉讼及股份公司声誉受到损害。 经营风险：系统功能陈旧，导致不能满足业务需求。 8.2项目责任部门(单位)负责业务流程、业务工作标准、数据维护理、数据使用安全、知识产权合法性使用及相关制度的制定和落信息管理部门负责组织日常软硬件系统维护、合法软件使用情况键用户与一般用户的培训、考核等工作。 9.系统升级 9.1项目责任部门(单位)负责对业务流程与系统模型进行适时评价评价和修正意见，提出应用软件的升级申请，责任部门(单位)负责确认。升级申请纳入计划后组织实施。

业务目标 业务风险 控制点 1.1 1.2 经营风险：系统升级不当，造成系统工作9.2信息管理部门负责组织对系统软、硬件进行适时评价，并根据不正常。 提出系统软、硬件升级申请，信息管理部门负责人须签字确认。纳入计划后组织实施。