信息系統(tǒng)管理業(yè)務內部控制矩陣

1、11.1信息系統(tǒng)治理業(yè)務內部限制矩陣業(yè)務目標業(yè)務風險限制點適用單位不相容 崗位限制點 分值限制點 相關資料相關制度 索引會計報表認定1存在和發(fā)生/真實性；2完整性;3權利與義務；4估價或分攤；, 表達和披露；6準確性會計報表工程1234561. IT整體層卸雪埋1.1經營風險：信息化治理體系不完善, 信息 化領導小組或 ERP指導委員會設置不健 全,信息治理部門責任不落實,導致信息化工作受損.1.1股份公司建立完善的信息化治理體系,設立ERP指導委員會,設立信息系統(tǒng)治理部負責股份公司信息化歸口治理工作；各分子公司設立信息 化領導小組或 ERP指導委員會,定期召開會議,聽取、總結和指導本單位 信

2、息化工作,設立信息治理部門負責本單位信息化治理工作,對信息系統(tǒng) 和信息資源行使治理責任.總部分子公司6ERP指導委員會 或信息化領導 小組成立文件； 會議紀要 信息治理部門職 責文件1.10.51.12.2經營風險：信息化建設中長期規(guī)劃不符合 股份公司經營戰(zhàn)略目標,導致盲目建設、 投資低效.1.2根據股份公司開展戰(zhàn)略目標和核心業(yè)務,結合信息技術開展和股份公司實際,信息系統(tǒng)治理部負責組織編制股份公司信息化建設中長期規(guī)劃,在 充分征求職能部門、事業(yè)部和分子公司意見后,組織專家組評審,并 根據專家意見負責組織修改,經信息系統(tǒng)治理部主任審核,按規(guī)定權限審 批后,納入股份公司中長期開展規(guī)劃.信息系統(tǒng)治理

3、部5股份公司信息化 建設中長期規(guī)劃1.10.51.3教育和培訓1.1經營風險：信息化培訓缺乏,導致信息系 統(tǒng)效能低下、信息化治理水平不高、信息 化技能缺失.1.3.1各級信息治理部門負責編制年度信息化培訓方案,經部門負責人審批后,納入人事部門年度培訓方案,并組織落實.信息系統(tǒng)治理部 分子公司2年度培訓方案1.10.51.1經營風險：信息平安教育缺乏,導致員工 信息平安意識薄弱.1.3.2各級信息治理部門配合人事部門開展全員信息平安教育和培訓,并在信息門戶或內部網站發(fā)布平安教育培訓材料.信息系統(tǒng)治理部 分子公司2平安教育培訓 材料1.10.51.4風險評估1.12.2經營風險：信息系統(tǒng)風險評估缺

4、失,導致 信息系統(tǒng)風險.1.4.1根據?中國石油化工股份信息系統(tǒng)風險評估治理方法?,信息系統(tǒng)治理部負責每年對信息系統(tǒng)進行年度綜合風險評估,形成風險評估 報告,并組織專家組對風險評估報告進行評審,專家組對風險評估報告提 出評審意見并簽字；分子公司信息治理部門會同相關業(yè)務部門,通過 多種形式,組織本單位信息系統(tǒng)的風險評估,包括企業(yè)信息系統(tǒng)整體風險、 重點系統(tǒng)風險、主要根底設施風險等,形成相關風險評估報告,并將風險 評估報告經信息治理部門負責人審核簽字后報信息系統(tǒng)治理部備案.信息系統(tǒng)治理部 分子公司4風險評估報告2.10.31.5信息平安治理1.12.2經營風險：信息平安規(guī)劃不當,信息平安 方案缺失

5、,導致信息系統(tǒng)風險.1.5.1信息系統(tǒng)治理部負責編制信息平安規(guī)劃,在征求職能部門、事業(yè)部和分子公司意見后,組織專家組評審,并根據專家意見負責組織修改, 經信息系統(tǒng)治理部主任審核后,正式發(fā)布.各分子公司信息治理部門根據股份公司信息平安規(guī)劃,結合自身生產 經營治理的需要,并針對風險評估報告中提出的問題,負責制訂本企業(yè)的 信息平安方案,經分管經理審批后報信息系統(tǒng)治理部備案.信息系統(tǒng)治理部 分子公司4信息平安規(guī)劃 信息平安方案2.10.21.12.2經營風險：系統(tǒng)未確定關鍵崗位, 關鍵崗 位缺乏監(jiān)管,導致系統(tǒng)存在平安隱患.1.5.2依照?中國石油化工股份信息系統(tǒng)平安治理方法?規(guī)定,各級信息治理部門負責

6、提出本單位的“信息系統(tǒng)關鍵崗位名錄,其中涉及信息系統(tǒng)平安的關鍵崗位由信息治理部門確定,涉及業(yè)務信息平安的關鍵崗 位由主管業(yè)務部門商本單位保密委員會確定.“信息系統(tǒng)關鍵崗位名錄上的關鍵崗位人員要與所在單位簽署“信息系統(tǒng)關鍵崗位平安責任書,并在人事部門備案.總部各部門 分子公司3信息系統(tǒng)關鍵 崗位名錄信息系統(tǒng)關鍵 崗位平安責任 書2.10.21.12.2經營風險：系統(tǒng)平安崗位設置缺失,導致 系統(tǒng)存在平安隱患.1.5.3各級信息治理部門根據?中國石油化工股份信息系統(tǒng)平安管 理方法?中的有關要求,根據不相容崗位別離的原那么,設立平安治理員.平安治理員必須具有相應資質,并經部門負責人審批授權.信息系統(tǒng)治

7、理部 分子公司3平安治理員授 權書平安治理員資 質證書2.10.22.編制年度工程建議方案業(yè)務目標業(yè)務風險限制點適用單位不相容 崗位限制點 分值限制點 相關資料相關制度 索引會計報表認定1存在和發(fā)生/其實性；2完整性;3權利與義務；4估價或分攤；, 表達和披露；6準確性會計報表工程1234561.12.2經營風險：年度信息化工程建議方案不符 合股份公司經營戰(zhàn)略目標,導致盲目建 設、投資低效.2.1信息系統(tǒng)治理部根據股份公司信息化建設中長期規(guī)劃和職能部門、事業(yè)部、分子公司申報的工程建議方案,結合年度實際,編制年度信息化 工程建議方案,由信息系統(tǒng)治理部主任審核,按規(guī)定權限審批后,分別納 入股份公司

8、年度投資方案、科技開發(fā)工程方案治理.各分子公司信息 治理部門負責編制年度信息化工程建議方案預案,按規(guī)定權限審批后,分 別納入本單位年度投資建議方案、科技開發(fā)工程建議方案,上報信息系統(tǒng) 治理部和總部相關部門審核.信息系統(tǒng)治理部 分子公司5信息化建設年 度方案1.10.53.工程可行性研究和評審1.11.2經營風險：工程可仃性研究報告提出的技術方案不合理,業(yè)務流程不標準, 系統(tǒng)功 能不健全,可研評審不到位, 導致系統(tǒng)建 設不能滿足業(yè)務需求.3.1信息治理部門會同工程責任部門單位委托有資格的單位承擔工程可行性研究,并組織專家組對工程可行性研究報告進行評審,專家組對工程 需求、目標、技術路線、風險分析

9、、投資與效益、進度、組織落實等提出 可行性研究評審意見并簽字.信息系統(tǒng)治理部 分子公司5可彳丁性研究報 告1.10.24.工程立項審批1.11.2經營風險：信息化工程缺乏統(tǒng)一歸口管理,審批過程不標準,導致重復建設,低效投資.4.1通過可研評審的固定資產投資限額200萬元及以上的信息技術工程,由信息系統(tǒng)治理部報開展方案部立項,批準立項的工程,由開展方案部列入年度投資方案； 申請總部立項的固定資產投資限額200萬元以下的信息技術工程,由信息系統(tǒng)治理部負責審批,報開展方案部備案；由各事業(yè) 部審批的投資限額以下的信息技術工程投資方案,須經信息系統(tǒng)治理部和 開展方案部會簽.各分子公司一般舉措及零星購置的

10、信息技術工程在總部每年核定的限額以內,由各分子公司根據當期生產經營治理的需要,按規(guī)定權限審 批后報各主管事業(yè)部、信息系統(tǒng)治理部和開展方案部審核備案,并納入股 份公司年度投資方案治理.通過可研評審的科技開發(fā)工程,由信息系統(tǒng)治理部報科技開發(fā)部立項,批 準立項的工程,由科技開發(fā)部列入年度工程方案.信息系統(tǒng)治理部 開展方案部 科技開發(fā)部 事業(yè)部分子公司5立項批文1.10.21.11.2經營風險：總體根底設計技術方案不 合理,業(yè)務流程不標準,系統(tǒng)功能不健全, 專家組評審不到位,導致系統(tǒng)建設不能滿 足業(yè)務需求.4.2對批準立項的、投資在500萬元及以上的工程, 信息系統(tǒng)治理部委托有 資格的單位按要求對工程

11、進行總體根底設計,其中投資在2000萬元及以上的工程需組織專家組對工程總體根底設計進行評審,專家組對項 目需求分析、目標、功能設計、投資概算等提出評審意見并簽字,由信息 系統(tǒng)治理部負責審批總體根底設計,報開展方案部備案.信息系統(tǒng)治理部3總體根底設 計評審材料1.10.25.合同簽訂1.11.2經營風險：承建單位資質及經驗欠缺,導致工程建設受損.未經審核,變更信息技 術合同標準文本中涉及的權利、義務等條款,導致財務風險.財務風險： 交易不真實,影響財務報告.5.1信息治理部門負責組織工程責任部門單位審查集成商、咨詢商、開發(fā)商及供應商的資質,開展詢比價、商務談判等工作；涉及有關計算機效勞 器、PC

12、機、打印機采購事宜,由物資采購部門歸口治理、信息治理部門配 合開展采購工作.依照規(guī)定權限并按經法律事務部審定的標準合同文本簽 訂合同；工程責任部門 單位負責完成合同技術附件,并由負責人簽字確 認.信息系統(tǒng)治理部 物資裝備部 分子公司4合同技術附件1.10.2V固定資產 無形資產6.工程實施1.11.2經營風險：詳細設計技術方案不合理, 業(yè) 務流程不標準,系統(tǒng)功能不健全,審查不 到位,導致系統(tǒng)建設不能滿足業(yè)務需求.6.1工程實施單位根據合同技術附件或總體設計進行詳細設計,詳細設計的形式可根據工程類別的不同自主開發(fā)工程、引進試點工程、推廣完善項目、根底設施工程采取與工程類別相適應的形式,投資在50

13、0萬兀及以上的工程需由信息治理部門組織人員對工程詳細設計進行審查,工程實施單位根據審查意見進一步修改完善深化詳細設計.信息系統(tǒng)治理部 分子公司4工程詳細設計1.10.21.11.2經營風險：根底數據不完整、不準確、不真實,導致系統(tǒng)無法正常投運或計算出 錯.6.2工程責任部門單位負責工程實施,業(yè)務部門組織數據的收集、整理、 錄入、審核,并進行審查和確認,保證數據的真實、完整和準確.信息系統(tǒng)治理部 分子公司31.10.2業(yè)務目標業(yè)務風險限制點適用單位不相容 崗位限制點 分值限制點 相關資料相關制度 索引會計報表認定j會計報表工程1存在和發(fā)生/其實性；2完整性;3權利與義務；4估價或分攤；, 表達和

14、披露；6準確性1234561.11.22.1經營風險：系統(tǒng)安裝調試不當,用戶培訓 缺失,導致系統(tǒng)運行受損.合規(guī)風險：安裝的軟件侵犯知識產權,導致訴訟及股份公司聲譽受到損害.6.3信息治理部門負責對工程實施單位承擔的軟硬件系統(tǒng)安裝調試、用戶培訓進行檢查,審核和確認測試報告,并檢查相應軟件的合法性,提供經雙方簽字的檢查記錄.信息系統(tǒng)治理部 分子公司3系統(tǒng)安裝調試 和用戶培訓報 告軟件驗收報告1.10.21.11.2經營風險：工程監(jiān)管不力,系統(tǒng)建設延誤, 導致系統(tǒng)不能按期投用.6.4信息治理部門負責組織對工程建設的階段驗收,進行工程建設質量、 進度、標準執(zhí)行和本錢限制等檢查,提出階段驗收報告；工程實

15、施單位根據 階段驗收報告對系統(tǒng)進行修改完善.500萬元以下的一般信息技術工程可根據工程具體實施情況,只進行竣工驗收.信息系統(tǒng)治理部 分子公司3階段驗收報告1.10.21.11.2經營風險：工程監(jiān)管不力,系統(tǒng)建設延誤, 導致系統(tǒng)不能按期投用或資金流失.財務風險：未按約定付款,影響財務報告.6.5工程責任部門單位負責至少每季度向信息治理部門提交工程實施報 告,內容包括工程進度、質量、經費使用、存在問題和整改舉措等；根據 合同約定填寫付款申請,按規(guī)定權限審批后辦理付款.信息系統(tǒng)治理部 分子公司經辦 審批3工程實施報告 付款朝#1.10.2V在建工程 貨幣資金 應付賬款1.11.2經營風險：集成測試不

16、完整,造成系統(tǒng)評 估不準確.6.6信息治理部門組織對系統(tǒng)進行集成測試,形成集成測試評價意見；并根據集成測試評價意見責成工程實施單位進行修改完善.信息系統(tǒng)治理部 分子公司3集成測試評價 意見1.10.21.11.2經營風險：技術文檔不完整、造成系統(tǒng)應 用維護困難6.7工程責任部門單位責成工程實施單位負責知識轉移,并提交工程相關的技術文檔包括用戶使用手冊、系統(tǒng)維護手冊、系統(tǒng)平安和使用授權管理方法、應急處理方法及用戶培訓教材等資料.信息系統(tǒng)治理部 分子公司5工程技術文檔1.10.27.工程竣工驗收1.11.2經營風險：單軌運行時間過短, 無法完成 對系統(tǒng)的準確評價7.1工程完成全部的規(guī)定目標任務后,

17、投資2000萬元及以上的工程單軌連續(xù)穩(wěn)定運行 6個月以上,其它工程單軌連續(xù)穩(wěn)定運行3個月以上,由工程責任部門單位以正式行文方式提交工程竣工驗收申請,同時提交工程驗 收相關材料一并審核.總部批復的工程向信息系統(tǒng)治理部提交驗收申請,由信息系統(tǒng)治理部負責組織工程驗收工作.分子公司自行批復的工程向企業(yè)信息治理部門提交驗收申請,由分 子公司信息治理部門負責組織項 目驗收工作.專家組形成驗收意見并簽字.信息系統(tǒng)治理部 分子公司4工程驗收意見1.10.21.11.2經營風險：竣工驗收決算報告或審計報告不嚴格,導致資金外流財務風險：未按約定付款,影響財務報告.合規(guī)風險：違反國家和企業(yè)會計制度,造成工程資金損失

18、.7.2信息治理部門會同財務部門按規(guī)定進行工程竣工結算.財務部門按竣工驗收決算報告或審計報告辦理工程轉資手續(xù),按股份公司內部會計制度及有關規(guī)定,經財務部門負責人審核后,進行賬務處理.相關會計憑證須經不相容崗位人員稽核.在信息技術工程到達預定的可使用狀態(tài)時,財務部門應依據有關部門提供 的手續(xù),根據股份公司內部會計制度,經部門負責人審核后,暫估入賬. 相關會計憑證須經不相容崗位人員稽核.財務部信息系統(tǒng)治理部 分子公司信息部門 財務部門3竣工驗收決算 報告1.10.2VVVV在建工程 固定資產1.11.2經營風險：后評價報告缺失,無法定性和 定量評估工程的經濟效益和社會效益.7.3對固定資產投資 2000萬元及以上的試點工程,通過驗收后,信息治理 部門組織專家組對工程進行后評價,專家組提出后評價報告并簽字.信息系統(tǒng)治理部 分子公司2后評價報告1.10.28.系統(tǒng)應用和維護1.11.2經營風險：由于第三方資質問題或信息管 理部門缺乏專人維護,系統(tǒng)維護質量受 損.8.1需委托維護的信息系統(tǒng),信息治理部門負責審查系統(tǒng)效勞商資質,并簽訂系統(tǒng)維護效勞合同以及平安保密協(xié)議；由信息治理部門自行維護的,那么 指定專人負責維護,制定崗位責任.信息系統(tǒng)治理部 分子公司4系統(tǒng)維護效勞 合同及平安保 密協(xié)議系統(tǒng)維護相