信息系統(tǒng)管理業(yè)務(wù)內(nèi)部控制矩陣

1、11.1信息系統(tǒng)治理業(yè)務(wù)內(nèi)部限制矩陣業(yè)務(wù)目標業(yè)務(wù)風險限制點適用單位不相容 崗位限制點 分值限制點 相關(guān)資料相關(guān)制度 索引會計報表認定1存在和發(fā)生/真實性；2完整性;3權(quán)利與義務(wù)；4估價或分攤；, 表達和披露；6準確性會計報表工程1234561. IT整體層卸雪埋1.1經(jīng)營風險：信息化治理體系不完善, 信息 化領(lǐng)導(dǎo)小組或 ERP指導(dǎo)委員會設(shè)置不健 全,信息治理部門責任不落實,導(dǎo)致信息化工作受損.1.1股份公司建立完善的信息化治理體系,設(shè)立ERP指導(dǎo)委員會,設(shè)立信息系統(tǒng)治理部負責股份公司信息化歸口治理工作；各分子公司設(shè)立信息 化領(lǐng)導(dǎo)小組或 ERP指導(dǎo)委員會,定期召開會議,聽取、總結(jié)和指導(dǎo)本單位 信

2、息化工作,設(shè)立信息治理部門負責本單位信息化治理工作,對信息系統(tǒng) 和信息資源行使治理責任.總部分子公司6ERP指導(dǎo)委員會 或信息化領(lǐng)導(dǎo) 小組成立文件； 會議紀要 信息治理部門職 責文件1.10.51.12.2經(jīng)營風險：信息化建設(shè)中長期規(guī)劃不符合 股份公司經(jīng)營戰(zhàn)略目標,導(dǎo)致盲目建設(shè)、 投資低效.1.2根據(jù)股份公司開展戰(zhàn)略目標和核心業(yè)務(wù),結(jié)合信息技術(shù)開展和股份公司實際,信息系統(tǒng)治理部負責組織編制股份公司信息化建設(shè)中長期規(guī)劃,在 充分征求職能部門、事業(yè)部和分子公司意見后,組織專家組評審,并 根據(jù)專家意見負責組織修改,經(jīng)信息系統(tǒng)治理部主任審核,按規(guī)定權(quán)限審 批后,納入股份公司中長期開展規(guī)劃.信息系統(tǒng)治理

3、部5股份公司信息化 建設(shè)中長期規(guī)劃1.10.51.3教育和培訓(xùn)1.1經(jīng)營風險：信息化培訓(xùn)缺乏,導(dǎo)致信息系 統(tǒng)效能低下、信息化治理水平不高、信息 化技能缺失.1.3.1各級信息治理部門負責編制年度信息化培訓(xùn)方案,經(jīng)部門負責人審批后,納入人事部門年度培訓(xùn)方案,并組織落實.信息系統(tǒng)治理部 分子公司2年度培訓(xùn)方案1.10.51.1經(jīng)營風險：信息平安教育缺乏,導(dǎo)致員工 信息平安意識薄弱.1.3.2各級信息治理部門配合人事部門開展全員信息平安教育和培訓(xùn),并在信息門戶或內(nèi)部網(wǎng)站發(fā)布平安教育培訓(xùn)材料.信息系統(tǒng)治理部 分子公司2平安教育培訓(xùn) 材料1.10.51.4風險評估1.12.2經(jīng)營風險：信息系統(tǒng)風險評估缺

4、失,導(dǎo)致 信息系統(tǒng)風險.1.4.1根據(jù)?中國石油化工股份信息系統(tǒng)風險評估治理方法?,信息系統(tǒng)治理部負責每年對信息系統(tǒng)進行年度綜合風險評估,形成風險評估 報告,并組織專家組對風險評估報告進行評審,專家組對風險評估報告提 出評審意見并簽字；分子公司信息治理部門會同相關(guān)業(yè)務(wù)部門,通過 多種形式,組織本單位信息系統(tǒng)的風險評估,包括企業(yè)信息系統(tǒng)整體風險、 重點系統(tǒng)風險、主要根底設(shè)施風險等,形成相關(guān)風險評估報告,并將風險 評估報告經(jīng)信息治理部門負責人審核簽字后報信息系統(tǒng)治理部備案.信息系統(tǒng)治理部 分子公司4風險評估報告2.10.31.5信息平安治理1.12.2經(jīng)營風險：信息平安規(guī)劃不當,信息平安 方案缺失

5、,導(dǎo)致信息系統(tǒng)風險.1.5.1信息系統(tǒng)治理部負責編制信息平安規(guī)劃,在征求職能部門、事業(yè)部和分子公司意見后,組織專家組評審,并根據(jù)專家意見負責組織修改, 經(jīng)信息系統(tǒng)治理部主任審核后,正式發(fā)布.各分子公司信息治理部門根據(jù)股份公司信息平安規(guī)劃,結(jié)合自身生產(chǎn) 經(jīng)營治理的需要,并針對風險評估報告中提出的問題,負責制訂本企業(yè)的 信息平安方案,經(jīng)分管經(jīng)理審批后報信息系統(tǒng)治理部備案.信息系統(tǒng)治理部 分子公司4信息平安規(guī)劃 信息平安方案2.10.21.12.2經(jīng)營風險：系統(tǒng)未確定關(guān)鍵崗位, 關(guān)鍵崗 位缺乏監(jiān)管,導(dǎo)致系統(tǒng)存在平安隱患.1.5.2依照?中國石油化工股份信息系統(tǒng)平安治理方法?規(guī)定,各級信息治理部門負責

6、提出本單位的“信息系統(tǒng)關(guān)鍵崗位名錄,其中涉及信息系統(tǒng)平安的關(guān)鍵崗位由信息治理部門確定,涉及業(yè)務(wù)信息平安的關(guān)鍵崗 位由主管業(yè)務(wù)部門商本單位保密委員會確定.“信息系統(tǒng)關(guān)鍵崗位名錄上的關(guān)鍵崗位人員要與所在單位簽署“信息系統(tǒng)關(guān)鍵崗位平安責任書,并在人事部門備案.總部各部門 分子公司3信息系統(tǒng)關(guān)鍵 崗位名錄信息系統(tǒng)關(guān)鍵 崗位平安責任 書2.10.21.12.2經(jīng)營風險：系統(tǒng)平安崗位設(shè)置缺失,導(dǎo)致 系統(tǒng)存在平安隱患.1.5.3各級信息治理部門根據(jù)?中國石油化工股份信息系統(tǒng)平安管 理方法?中的有關(guān)要求,根據(jù)不相容崗位別離的原那么,設(shè)立平安治理員.平安治理員必須具有相應(yīng)資質(zhì),并經(jīng)部門負責人審批授權(quán).信息系統(tǒng)治

7、理部 分子公司3平安治理員授 權(quán)書平安治理員資 質(zhì)證書2.10.22.編制年度工程建議方案業(yè)務(wù)目標業(yè)務(wù)風險限制點適用單位不相容 崗位限制點 分值限制點 相關(guān)資料相關(guān)制度 索引會計報表認定1存在和發(fā)生/其實性；2完整性;3權(quán)利與義務(wù)；4估價或分攤；, 表達和披露；6準確性會計報表工程1234561.12.2經(jīng)營風險：年度信息化工程建議方案不符 合股份公司經(jīng)營戰(zhàn)略目標,導(dǎo)致盲目建 設(shè)、投資低效.2.1信息系統(tǒng)治理部根據(jù)股份公司信息化建設(shè)中長期規(guī)劃和職能部門、事業(yè)部、分子公司申報的工程建議方案,結(jié)合年度實際,編制年度信息化 工程建議方案,由信息系統(tǒng)治理部主任審核,按規(guī)定權(quán)限審批后,分別納 入股份公司

8、年度投資方案、科技開發(fā)工程方案治理.各分子公司信息 治理部門負責編制年度信息化工程建議方案預(yù)案,按規(guī)定權(quán)限審批后,分 別納入本單位年度投資建議方案、科技開發(fā)工程建議方案,上報信息系統(tǒng) 治理部和總部相關(guān)部門審核.信息系統(tǒng)治理部 分子公司5信息化建設(shè)年 度方案1.10.53.工程可行性研究和評審1.11.2經(jīng)營風險：工程可仃性研究報告提出的技術(shù)方案不合理,業(yè)務(wù)流程不標準, 系統(tǒng)功 能不健全,可研評審不到位, 導(dǎo)致系統(tǒng)建 設(shè)不能滿足業(yè)務(wù)需求.3.1信息治理部門會同工程責任部門單位委托有資格的單位承擔工程可行性研究,并組織專家組對工程可行性研究報告進行評審,專家組對工程 需求、目標、技術(shù)路線、風險分析

9、、投資與效益、進度、組織落實等提出 可行性研究評審意見并簽字.信息系統(tǒng)治理部 分子公司5可彳丁性研究報 告1.10.24.工程立項審批1.11.2經(jīng)營風險：信息化工程缺乏統(tǒng)一歸口管理,審批過程不標準,導(dǎo)致重復(fù)建設(shè),低效投資.4.1通過可研評審的固定資產(chǎn)投資限額200萬元及以上的信息技術(shù)工程,由信息系統(tǒng)治理部報開展方案部立項,批準立項的工程,由開展方案部列入年度投資方案； 申請總部立項的固定資產(chǎn)投資限額200萬元以下的信息技術(shù)工程,由信息系統(tǒng)治理部負責審批,報開展方案部備案；由各事業(yè) 部審批的投資限額以下的信息技術(shù)工程投資方案,須經(jīng)信息系統(tǒng)治理部和 開展方案部會簽.各分子公司一般舉措及零星購置的

10、信息技術(shù)工程在總部每年核定的限額以內(nèi),由各分子公司根據(jù)當期生產(chǎn)經(jīng)營治理的需要,按規(guī)定權(quán)限審 批后報各主管事業(yè)部、信息系統(tǒng)治理部和開展方案部審核備案,并納入股 份公司年度投資方案治理.通過可研評審的科技開發(fā)工程,由信息系統(tǒng)治理部報科技開發(fā)部立項,批 準立項的工程,由科技開發(fā)部列入年度工程方案.信息系統(tǒng)治理部 開展方案部 科技開發(fā)部 事業(yè)部分子公司5立項批文1.10.21.11.2經(jīng)營風險：總體根底設(shè)計技術(shù)方案不 合理,業(yè)務(wù)流程不標準,系統(tǒng)功能不健全, 專家組評審不到位,導(dǎo)致系統(tǒng)建設(shè)不能滿 足業(yè)務(wù)需求.4.2對批準立項的、投資在500萬元及以上的工程, 信息系統(tǒng)治理部委托有 資格的單位按要求對工程

11、進行總體根底設(shè)計,其中投資在2000萬元及以上的工程需組織專家組對工程總體根底設(shè)計進行評審,專家組對項 目需求分析、目標、功能設(shè)計、投資概算等提出評審意見并簽字,由信息 系統(tǒng)治理部負責審批總體根底設(shè)計,報開展方案部備案.信息系統(tǒng)治理部3總體根底設(shè) 計評審材料1.10.25.合同簽訂1.11.2經(jīng)營風險：承建單位資質(zhì)及經(jīng)驗欠缺,導(dǎo)致工程建設(shè)受損.未經(jīng)審核,變更信息技 術(shù)合同標準文本中涉及的權(quán)利、義務(wù)等條款,導(dǎo)致財務(wù)風險.財務(wù)風險： 交易不真實,影響財務(wù)報告.5.1信息治理部門負責組織工程責任部門單位審查集成商、咨詢商、開發(fā)商及供應(yīng)商的資質(zhì),開展詢比價、商務(wù)談判等工作；涉及有關(guān)計算機效勞 器、PC

12、機、打印機采購事宜,由物資采購部門歸口治理、信息治理部門配 合開展采購工作.依照規(guī)定權(quán)限并按經(jīng)法律事務(wù)部審定的標準合同文本簽 訂合同；工程責任部門 單位負責完成合同技術(shù)附件,并由負責人簽字確 認.信息系統(tǒng)治理部 物資裝備部 分子公司4合同技術(shù)附件1.10.2V固定資產(chǎn) 無形資產(chǎn)6.工程實施1.11.2經(jīng)營風險：詳細設(shè)計技術(shù)方案不合理, 業(yè) 務(wù)流程不標準,系統(tǒng)功能不健全,審查不 到位,導(dǎo)致系統(tǒng)建設(shè)不能滿足業(yè)務(wù)需求.6.1工程實施單位根據(jù)合同技術(shù)附件或總體設(shè)計進行詳細設(shè)計,詳細設(shè)計的形式可根據(jù)工程類別的不同自主開發(fā)工程、引進試點工程、推廣完善項目、根底設(shè)施工程采取與工程類別相適應(yīng)的形式,投資在50

13、0萬兀及以上的工程需由信息治理部門組織人員對工程詳細設(shè)計進行審查,工程實施單位根據(jù)審查意見進一步修改完善深化詳細設(shè)計.信息系統(tǒng)治理部 分子公司4工程詳細設(shè)計1.10.21.11.2經(jīng)營風險：根底數(shù)據(jù)不完整、不準確、不真實,導(dǎo)致系統(tǒng)無法正常投運或計算出 錯.6.2工程責任部門單位負責工程實施,業(yè)務(wù)部門組織數(shù)據(jù)的收集、整理、 錄入、審核,并進行審查和確認,保證數(shù)據(jù)的真實、完整和準確.信息系統(tǒng)治理部 分子公司31.10.2業(yè)務(wù)目標業(yè)務(wù)風險限制點適用單位不相容 崗位限制點 分值限制點 相關(guān)資料相關(guān)制度 索引會計報表認定j會計報表工程1存在和發(fā)生/其實性；2完整性;3權(quán)利與義務(wù)；4估價或分攤；, 表達和

14、披露；6準確性1234561.11.22.1經(jīng)營風險：系統(tǒng)安裝調(diào)試不當,用戶培訓(xùn) 缺失,導(dǎo)致系統(tǒng)運行受損.合規(guī)風險：安裝的軟件侵犯知識產(chǎn)權(quán),導(dǎo)致訴訟及股份公司聲譽受到損害.6.3信息治理部門負責對工程實施單位承擔的軟硬件系統(tǒng)安裝調(diào)試、用戶培訓(xùn)進行檢查,審核和確認測試報告,并檢查相應(yīng)軟件的合法性,提供經(jīng)雙方簽字的檢查記錄.信息系統(tǒng)治理部 分子公司3系統(tǒng)安裝調(diào)試 和用戶培訓(xùn)報 告軟件驗收報告1.10.21.11.2經(jīng)營風險：工程監(jiān)管不力,系統(tǒng)建設(shè)延誤, 導(dǎo)致系統(tǒng)不能按期投用.6.4信息治理部門負責組織對工程建設(shè)的階段驗收,進行工程建設(shè)質(zhì)量、 進度、標準執(zhí)行和本錢限制等檢查,提出階段驗收報告；工程實

15、施單位根據(jù) 階段驗收報告對系統(tǒng)進行修改完善.500萬元以下的一般信息技術(shù)工程可根據(jù)工程具體實施情況,只進行竣工驗收.信息系統(tǒng)治理部 分子公司3階段驗收報告1.10.21.11.2經(jīng)營風險：工程監(jiān)管不力,系統(tǒng)建設(shè)延誤, 導(dǎo)致系統(tǒng)不能按期投用或資金流失.財務(wù)風險：未按約定付款,影響財務(wù)報告.6.5工程責任部門單位負責至少每季度向信息治理部門提交工程實施報 告,內(nèi)容包括工程進度、質(zhì)量、經(jīng)費使用、存在問題和整改舉措等；根據(jù) 合同約定填寫付款申請,按規(guī)定權(quán)限審批后辦理付款.信息系統(tǒng)治理部 分子公司經(jīng)辦 審批3工程實施報告 付款朝#1.10.2V在建工程 貨幣資金 應(yīng)付賬款1.11.2經(jīng)營風險：集成測試不

16、完整,造成系統(tǒng)評 估不準確.6.6信息治理部門組織對系統(tǒng)進行集成測試,形成集成測試評價意見；并根據(jù)集成測試評價意見責成工程實施單位進行修改完善.信息系統(tǒng)治理部 分子公司3集成測試評價 意見1.10.21.11.2經(jīng)營風險：技術(shù)文檔不完整、造成系統(tǒng)應(yīng) 用維護困難6.7工程責任部門單位責成工程實施單位負責知識轉(zhuǎn)移,并提交工程相關(guān)的技術(shù)文檔包括用戶使用手冊、系統(tǒng)維護手冊、系統(tǒng)平安和使用授權(quán)管理方法、應(yīng)急處理方法及用戶培訓(xùn)教材等資料.信息系統(tǒng)治理部 分子公司5工程技術(shù)文檔1.10.27.工程竣工驗收1.11.2經(jīng)營風險：單軌運行時間過短, 無法完成 對系統(tǒng)的準確評價7.1工程完成全部的規(guī)定目標任務(wù)后,

17、投資2000萬元及以上的工程單軌連續(xù)穩(wěn)定運行 6個月以上,其它工程單軌連續(xù)穩(wěn)定運行3個月以上,由工程責任部門單位以正式行文方式提交工程竣工驗收申請,同時提交工程驗 收相關(guān)材料一并審核.總部批復(fù)的工程向信息系統(tǒng)治理部提交驗收申請,由信息系統(tǒng)治理部負責組織工程驗收工作.分子公司自行批復(fù)的工程向企業(yè)信息治理部門提交驗收申請,由分 子公司信息治理部門負責組織項 目驗收工作.專家組形成驗收意見并簽字.信息系統(tǒng)治理部 分子公司4工程驗收意見1.10.21.11.2經(jīng)營風險：竣工驗收決算報告或?qū)徲媹蟾娌粐栏?導(dǎo)致資金外流財務(wù)風險：未按約定付款,影響財務(wù)報告.合規(guī)風險：違反國家和企業(yè)會計制度,造成工程資金損失

18、.7.2信息治理部門會同財務(wù)部門按規(guī)定進行工程竣工結(jié)算.財務(wù)部門按竣工驗收決算報告或?qū)徲媹蟾孓k理工程轉(zhuǎn)資手續(xù),按股份公司內(nèi)部會計制度及有關(guān)規(guī)定,經(jīng)財務(wù)部門負責人審核后,進行賬務(wù)處理.相關(guān)會計憑證須經(jīng)不相容崗位人員稽核.在信息技術(shù)工程到達預(yù)定的可使用狀態(tài)時,財務(wù)部門應(yīng)依據(jù)有關(guān)部門提供 的手續(xù),根據(jù)股份公司內(nèi)部會計制度,經(jīng)部門負責人審核后,暫估入賬. 相關(guān)會計憑證須經(jīng)不相容崗位人員稽核.財務(wù)部信息系統(tǒng)治理部 分子公司信息部門 財務(wù)部門3竣工驗收決算 報告1.10.2VVVV在建工程 固定資產(chǎn)1.11.2經(jīng)營風險：后評價報告缺失,無法定性和 定量評估工程的經(jīng)濟效益和社會效益.7.3對固定資產(chǎn)投資 2000萬元及以上的試點工程,通過驗收后,信息治理 部門組織專家組對工程進行后評價,專家組提出后評價報告并簽字.信息系統(tǒng)治理部 分子公司2后評價報告1.10.28.系統(tǒng)應(yīng)用和維護1.11.2經(jīng)營風險：由于第三方資質(zhì)問題或信息管 理部門缺乏專人維護,系統(tǒng)維護質(zhì)量受 損.8.1需委托維護的信息系統(tǒng),信息治理部門負責審查系統(tǒng)效勞商資質(zhì),并簽訂系統(tǒng)維護效勞合同以及平安保密協(xié)議；由信息治理部門自行維護的,那么 指定專人負責維護,制定崗位責任.信息系統(tǒng)治理部 分子公司4系統(tǒng)維護效勞 合同及平安保 密協(xié)議系統(tǒng)維護相