益陽(yáng)市財(cái)政局信息系統(tǒng)管理風(fēng)險(xiǎn)防控辦法(試行

1、附件7：益陽(yáng)市財(cái)政局信息系統(tǒng)管理風(fēng)險(xiǎn)防控辦法（試行）第一章 總則第一條 為加強(qiáng)信息系統(tǒng)管理內(nèi)部控制，有效防控財(cái)政信息系統(tǒng)管理風(fēng)險(xiǎn)，提高信息系統(tǒng)建設(shè)與管理的規(guī)范性、科學(xué)性和信息化對(duì)財(cái)政業(yè)務(wù)管理的支撐與流程控制能力，根據(jù)益陽(yáng)市財(cái)政局信息化建設(shè)管理相關(guān)制度和益陽(yáng)市財(cái)政局內(nèi)部控制基本制度有關(guān)規(guī)定，結(jié)合工作實(shí)際，制定本辦法。第二條 本辦法所稱(chēng)信息系統(tǒng)管理風(fēng)險(xiǎn)是指在信息系統(tǒng)建設(shè)和運(yùn)行維護(hù)過(guò)程中，未完全遵循信息化建設(shè)制度、規(guī)劃和標(biāo)準(zhǔn)或安全措施不到位、運(yùn)行維護(hù)不規(guī)范，導(dǎo)致系統(tǒng)碎片化、系統(tǒng)故障、數(shù)據(jù)丟失、信息泄露、信息化輔助管理決策能力弱化的可能性。第三條 信息系統(tǒng)建設(shè)堅(jiān)持歸口管理，實(shí)行統(tǒng)籌規(guī)劃、統(tǒng)一建設(shè)，從財(cái)

2、政改革發(fā)展的全局出發(fā)，協(xié)調(diào)配合、分工合作、整合資源、實(shí)現(xiàn)一體化，同時(shí)，強(qiáng)化流程控制，將業(yè)務(wù)流程固化在業(yè)務(wù)生產(chǎn)系統(tǒng)和辦公自動(dòng)化系統(tǒng)中，健全信息系統(tǒng)預(yù)警機(jī)制，加強(qiáng)風(fēng)險(xiǎn)揭示和自動(dòng)控制，發(fā)揮信息化建設(shè)對(duì)財(cái)政業(yè)務(wù)管理和輔助決策的支撐與促進(jìn)作用。第四條 信息系統(tǒng)管理風(fēng)險(xiǎn)主要包括信息系統(tǒng)建設(shè)管理風(fēng)險(xiǎn)、流程控制風(fēng)險(xiǎn)、數(shù)據(jù)應(yīng)用與管理風(fēng)險(xiǎn)和信息安全風(fēng)險(xiǎn)四個(gè)方面。根據(jù)風(fēng)險(xiǎn)事件的情節(jié)輕重、影響范圍和程度，分為重大風(fēng)險(xiǎn)和一般風(fēng)險(xiǎn)兩個(gè)等級(jí)；按照風(fēng)險(xiǎn)來(lái)源和性質(zhì)，分為制度流程風(fēng)險(xiǎn)、崗位職責(zé)風(fēng)險(xiǎn)、廉政風(fēng)險(xiǎn)和外部風(fēng)險(xiǎn)四種類(lèi)型。重大風(fēng)險(xiǎn)：是指發(fā)生的風(fēng)險(xiǎn)事件對(duì)信息系統(tǒng)管理產(chǎn)生重大負(fù)面影響，或者嚴(yán)重?fù)p害國(guó)家或部門(mén)利益的可能性。一般風(fēng)險(xiǎn)

3、：是指發(fā)生的風(fēng)險(xiǎn)事件對(duì)信息系統(tǒng)管理產(chǎn)生一定的負(fù)面影響，或者對(duì)國(guó)家或部門(mén)利益造成一定損失的可能性。制度流程風(fēng)險(xiǎn)：是指由于缺乏信息系統(tǒng)管理制度流程規(guī)定，或制度流程設(shè)計(jì)不合理、執(zhí)行不到位，導(dǎo)致信息系統(tǒng)管理不規(guī)范、不科學(xué)的可能性。崗位職責(zé)風(fēng)險(xiǎn)：是指由于崗位職責(zé)設(shè)定不明確、授權(quán)管理不到位，或履行崗位職責(zé)不作為、違背制度流程亂作為，導(dǎo)致信息系統(tǒng)管理不規(guī)范，影響工作質(zhì)量與進(jìn)度的可能性。廉政風(fēng)險(xiǎn)：是指信息系統(tǒng)建設(shè)管理人員憑借手中的權(quán)力，利用工作之便在信息系統(tǒng)管理工作中違反廉政規(guī)定謀求私利的可能性。外部風(fēng)險(xiǎn)：是指因外部客觀環(huán)境發(fā)生重大變化或外部信息不真實(shí)、不準(zhǔn)確，或者信息系統(tǒng)建設(shè)管理的外部參與單位履行職責(zé)不到位

4、，導(dǎo)致信息系統(tǒng)建設(shè)管理不規(guī)范、影響工作質(zhì)量與進(jìn)度的可能性。第五條 信息系統(tǒng)管理風(fēng)險(xiǎn)內(nèi)部控制的目標(biāo)是，綜合運(yùn)用信息化建設(shè)管理制度、標(biāo)準(zhǔn)規(guī)范和內(nèi)部控制方法，將信息系統(tǒng)管理風(fēng)險(xiǎn)防控措施貫穿于信息系統(tǒng)建設(shè)、管理與應(yīng)用全過(guò)程，對(duì)信息系統(tǒng)建設(shè)、管理和應(yīng)用進(jìn)行全程控制；將內(nèi)控理念和控制活動(dòng)、措施嵌入信息系統(tǒng)，對(duì)業(yè)務(wù)流程運(yùn)行進(jìn)行實(shí)時(shí)監(jiān)控，最大限度減少人為操縱因素，確保系統(tǒng)運(yùn)行協(xié)同、業(yè)務(wù)流程固化、業(yè)務(wù)管理銜接以及信息共享、數(shù)據(jù)安全。第六條 本辦法適用于局內(nèi)各科室、單位。第七條 信息系統(tǒng)管理風(fēng)險(xiǎn)內(nèi)部控制職責(zé)分工： （一）內(nèi)部控制委員會(huì)（以下簡(jiǎn)稱(chēng)內(nèi)控委）負(fù)責(zé)審定信息系統(tǒng)管理內(nèi)部控制政策制度，審定信息系統(tǒng)管理風(fēng)險(xiǎn)事件

5、定級(jí)和責(zé)任追究建議，提出加強(qiáng)和改進(jìn)措施。（二）內(nèi)部控制委員會(huì)辦公室（以下簡(jiǎn)稱(chēng)內(nèi)控辦）負(fù)責(zé)組織對(duì)信息系統(tǒng)管理內(nèi)部控制制度進(jìn)行有效性檢查、考核和評(píng)價(jià)，組織對(duì)信息系統(tǒng)管理風(fēng)險(xiǎn)事件進(jìn)行調(diào)查，研究提出處理意見(jiàn)并向內(nèi)控委報(bào)告。督促落實(shí)內(nèi)控委決定，定期通報(bào)信息系統(tǒng)管理內(nèi)部控制制度執(zhí)行情況及重大風(fēng)險(xiǎn)事件。（三）信息科負(fù)責(zé)信息系統(tǒng)管理內(nèi)部控制的組織實(shí)施，及時(shí)發(fā)現(xiàn)信息系統(tǒng)管理風(fēng)險(xiǎn)防控中存在的問(wèn)題，提示有關(guān)單位，并向內(nèi)控辦報(bào)告。定期向內(nèi)控辦報(bào)送信息系統(tǒng)管理風(fēng)險(xiǎn)防控情況。（四）各科室、單位對(duì)本單位的信息系統(tǒng)管理的重點(diǎn)業(yè)務(wù)環(huán)節(jié)實(shí)施持續(xù)、有效的風(fēng)險(xiǎn)防控，及時(shí)向內(nèi)控辦和信息科報(bào)告本單位信息系統(tǒng)管理風(fēng)險(xiǎn)防控及異常情況，積極協(xié)

6、助專(zhuān)項(xiàng)檢查和調(diào)查。第八條 信息系統(tǒng)管理風(fēng)險(xiǎn)事件發(fā)生后，各單位應(yīng)在第一時(shí)間報(bào)告內(nèi)控辦和信息科。信息科會(huì)同有關(guān)單位及時(shí)采取應(yīng)對(duì)措施，最大程度避免或減少負(fù)面影響；在分清責(zé)任的基礎(chǔ)上，深入查找風(fēng)險(xiǎn)事件發(fā)生的原因，提出解決方案、風(fēng)險(xiǎn)定級(jí)和責(zé)任追究建議，向內(nèi)控辦報(bào)告，并有針對(duì)性地制定或完善制度措施。第九條 各科室、單位及其干部職工執(zhí)行本辦法的情況納入考核指標(biāo)體系。第二章 信息系統(tǒng)建設(shè)管理內(nèi)部控制第十條 信息系統(tǒng)建設(shè)管理風(fēng)險(xiǎn)是指信息系統(tǒng)建設(shè)未遵循財(cái)政信息化建設(shè)歸口管理要求、一體化指導(dǎo)思想和信息化建設(shè)相關(guān)制度、標(biāo)準(zhǔn)規(guī)范，導(dǎo)致信息系統(tǒng)建設(shè)脫離統(tǒng)籌規(guī)劃、過(guò)程管理不規(guī)范、標(biāo)準(zhǔn)不統(tǒng)一、信息不共享、業(yè)務(wù)不協(xié)同，造成流程

7、固化與控制能力弱化，影響信息系統(tǒng)在財(cái)政管理中的整體效用。其中，重大風(fēng)險(xiǎn)是指因違背財(cái)政信息化建設(shè)歸口管理要求，不執(zhí)行財(cái)政信息化建設(shè)規(guī)劃和年度計(jì)劃，擅自開(kāi)發(fā)、推廣信息系統(tǒng)，導(dǎo)致信息系統(tǒng)重復(fù)建設(shè)、碎片化；或因業(yè)務(wù)需求不細(xì)化、流程不清晰，導(dǎo)致信息系統(tǒng)功能與性能?chē)?yán)重缺失，未能有效支撐財(cái)政管理和流程管控，影響財(cái)政發(fā)展與改革及信息化一體化建設(shè)效果，造成較大負(fù)面影響。一般風(fēng)險(xiǎn)是指執(zhí)行歸口管理的某些環(huán)節(jié)不到位，導(dǎo)致系統(tǒng)功能與性能不完善、運(yùn)維響應(yīng)不及時(shí)等情況，一定程度上影響信息系統(tǒng)建設(shè)和應(yīng)用，對(duì)業(yè)務(wù)工作的正常開(kāi)展帶來(lái)一定的負(fù)面影響。第十一條 信息系統(tǒng)建設(shè)管理應(yīng)遵循以下工作流程：（一）總體規(guī)劃。信息科根據(jù)國(guó)家和省信

8、息化發(fā)展方針政策、財(cái)政改革與事業(yè)發(fā)展要求，結(jié)合工作實(shí)際，研究擬定財(cái)政信息化建設(shè)總體規(guī)劃，經(jīng)局信息化工作領(lǐng)導(dǎo)小組辦公室（以下簡(jiǎn)稱(chēng)“信息科”）審議后報(bào)局信息化工作領(lǐng)導(dǎo)小組審批。（二）年度計(jì)劃。各科室、單位根據(jù)財(cái)政信息化建設(shè)總體規(guī)劃，結(jié)合本部門(mén)業(yè)務(wù)管理需要，編制年度財(cái)政信息化建設(shè)項(xiàng)目需求建議書(shū)報(bào)信息科；信息科匯總并組織審核項(xiàng)目申報(bào)計(jì)劃，編制年度項(xiàng)目計(jì)劃；報(bào)請(qǐng)信息化領(lǐng)導(dǎo)小組審批。（三）政府采購(gòu)。信息科根據(jù)項(xiàng)目建設(shè)計(jì)劃和進(jìn)度安排，編制采購(gòu)文件，組織開(kāi)展政府采購(gòu)工作。（四）建設(shè)實(shí)施。信息科組織開(kāi)展需求調(diào)研、系統(tǒng)設(shè)計(jì)、開(kāi)發(fā)、測(cè)試、試運(yùn)行、驗(yàn)收、實(shí)施等工作，并組織做好信息系統(tǒng)建設(shè)與實(shí)施過(guò)程的監(jiān)督管理；各單位配

9、合做好相關(guān)工作。（五）運(yùn)維管理。信息科統(tǒng)一組織開(kāi)展各信息系統(tǒng)的運(yùn)行維護(hù)管理。第十二條 信息系統(tǒng)建設(shè)管理風(fēng)險(xiǎn)主要體現(xiàn)在歸口管理、總體建設(shè)規(guī)劃、年度項(xiàng)目計(jì)劃、政府采購(gòu)、設(shè)計(jì)開(kāi)發(fā)、驗(yàn)收管理、組織實(shí)施、運(yùn)行維護(hù)等過(guò)程或環(huán)節(jié)。第十三條 歸口管理的風(fēng)險(xiǎn)與防控。（一）歸口管理風(fēng)險(xiǎn)點(diǎn)：1各科室、單位自行組織信息系統(tǒng)建設(shè)與實(shí)施，導(dǎo)致信息系統(tǒng)建設(shè)碎片化、標(biāo)準(zhǔn)不統(tǒng)一、業(yè)務(wù)不銜接、信息不共享，影響信息系統(tǒng)一體化建設(shè)。2未建立財(cái)政信息化建設(shè)聯(lián)席會(huì)議制度，導(dǎo)致信息系統(tǒng)建設(shè)中的技術(shù)與業(yè)務(wù)脫節(jié)，影響系統(tǒng)建設(shè)質(zhì)量。3各科室、單位不執(zhí)行財(cái)政信息化建設(shè)聯(lián)席會(huì)議及信息科專(zhuān)題會(huì)議決議，或執(zhí)行不到位，導(dǎo)致信息系統(tǒng)建設(shè)進(jìn)度滯后、成果不符合

10、會(huì)議決議要求。4各科室、單位未按規(guī)定履行會(huì)商、會(huì)簽、審批程序，自行印發(fā)信息系統(tǒng)建設(shè)和推廣實(shí)施相關(guān)工作文件，導(dǎo)致信息系統(tǒng)建設(shè)與實(shí)施政出多門(mén)、多頭管理。（二）歸口管理風(fēng)險(xiǎn)事件類(lèi)型：風(fēng)險(xiǎn)類(lèi)型風(fēng)險(xiǎn)點(diǎn)風(fēng)險(xiǎn)等級(jí)責(zé)任主體制度流程風(fēng)險(xiǎn)自行組織信息系統(tǒng)建設(shè)與實(shí)施，造成系統(tǒng)碎片化重大各科室、單位自行印發(fā)信息系統(tǒng)建設(shè)與推廣實(shí)施相關(guān)文件，造成系統(tǒng)建設(shè)多頭管理重大各科室、單位未建立財(cái)政信息化建設(shè)聯(lián)席會(huì)議制度一般局領(lǐng)導(dǎo)、信息科信息化重大問(wèn)題不進(jìn)行集體研究重大局領(lǐng)導(dǎo)、各科室、單位財(cái)政信息化重大問(wèn)題集體研究制度執(zhí)行不到位一般各科室、單位崗位職責(zé)風(fēng)險(xiǎn)不執(zhí)行或選擇性執(zhí)行財(cái)政信息化工作聯(lián)席會(huì)議和信息科專(zhuān)題會(huì)議決議，造成系統(tǒng)建設(shè)進(jìn)度

11、滯后重大各科室、單位（三）歸口管理風(fēng)險(xiǎn)防控措施：1各科室、單位在信息系統(tǒng)建設(shè)工作中，負(fù)責(zé)提出詳細(xì)業(yè)務(wù)需求，配合信息科開(kāi)展系統(tǒng)需求調(diào)研、測(cè)試驗(yàn)收、組織實(shí)施等工作中的業(yè)務(wù)協(xié)調(diào)，不得自行組織信息系統(tǒng)建設(shè)與實(shí)施。2信息科綜合分析各科室、單位提出的業(yè)務(wù)需求，根據(jù)總體建設(shè)規(guī)劃，研究提出信息系統(tǒng)建設(shè)計(jì)劃，統(tǒng)一組織信息系統(tǒng)設(shè)計(jì)開(kāi)發(fā)、推廣實(shí)施與運(yùn)維管理。3建立完善財(cái)政信息化建設(shè)聯(lián)席會(huì)議制度，加強(qiáng)技術(shù)與業(yè)務(wù)部門(mén)的配合。4各科室、單位嚴(yán)格執(zhí)行財(cái)政信息化工作聯(lián)席會(huì)議制度和重大問(wèn)題集體研究制度，嚴(yán)格落實(shí)會(huì)議決議，重大問(wèn)題提請(qǐng)信息科研究，必要時(shí)上報(bào)信息化工作領(lǐng)導(dǎo)小組。5各科室、單位按規(guī)定履行會(huì)商、會(huì)簽、審批程序后，方可印

12、發(fā)信息系統(tǒng)建設(shè)與推廣實(shí)施相關(guān)工作文件。第十四條 總體建設(shè)規(guī)劃的風(fēng)險(xiǎn)與防控。（一）總體建設(shè)規(guī)劃風(fēng)險(xiǎn)點(diǎn)：1財(cái)政信息化總體建設(shè)規(guī)劃缺失，導(dǎo)致信息系統(tǒng)建設(shè)缺乏統(tǒng)籌安排，出現(xiàn)分散建設(shè)和隨意建設(shè)情況。2各科室、單位自行制定并執(zhí)行本科室、單位業(yè)務(wù)管理信息化規(guī)劃，導(dǎo)致與總體建設(shè)規(guī)劃和一體化建設(shè)要求不相容甚至相悖。3各科室、單位執(zhí)行總體建設(shè)規(guī)劃不嚴(yán)格，過(guò)分強(qiáng)調(diào)特殊性和獨(dú)立性，要求一項(xiàng)業(yè)務(wù)建立一個(gè)系統(tǒng)，導(dǎo)致業(yè)務(wù)分割、重復(fù)建設(shè)、系統(tǒng)孤立和信息孤島。（二）總體建設(shè)規(guī)劃風(fēng)險(xiǎn)事件類(lèi)型：風(fēng)險(xiǎn)類(lèi)型風(fēng)險(xiǎn)點(diǎn)風(fēng)險(xiǎn)等級(jí)責(zé)任主體制度流程風(fēng)險(xiǎn)財(cái)政信息化總體建設(shè)規(guī)劃缺失，導(dǎo)致出現(xiàn)分散、隨意建設(shè)的情況重大局領(lǐng)導(dǎo)、各科室、單位各單位自行制定并

13、執(zhí)行本單位業(yè)務(wù)管理信息化規(guī)劃重大各科室、單位信息系統(tǒng)總體建設(shè)規(guī)劃未完全覆蓋業(yè)務(wù)管理需求一般各科室、單位崗位職責(zé)風(fēng)險(xiǎn)未嚴(yán)格執(zhí)行信息系統(tǒng)總體建設(shè)規(guī)劃一般各科室、單位（三）總體建設(shè)規(guī)劃風(fēng)險(xiǎn)防控措施：1加強(qiáng)財(cái)政信息化總體建設(shè)規(guī)劃的研究，既立足解決當(dāng)前業(yè)務(wù)管理需求，更著眼于國(guó)家信息化發(fā)展方針政策和財(cái)政改革發(fā)展要求，增強(qiáng)規(guī)劃的前瞻性、科學(xué)性和持續(xù)有效性。2各科室、單位結(jié)合財(cái)政改革發(fā)展要求，及時(shí)向信息科提供業(yè)務(wù)管理規(guī)劃相關(guān)資料，確保總體建設(shè)規(guī)劃能充分體現(xiàn)各單位業(yè)務(wù)改革的推進(jìn)要求。3各科室、單位不得自行制定、執(zhí)行本單位業(yè)務(wù)管理信息系統(tǒng)建設(shè)規(guī)劃，應(yīng)配合信息科將本單位業(yè)務(wù)管理需求全部納入總體建設(shè)規(guī)劃。4信息系統(tǒng)建

14、設(shè)應(yīng)嚴(yán)格執(zhí)行總體建設(shè)規(guī)劃（上級(jí)部門(mén)要求的緊急業(yè)務(wù)事項(xiàng)除外），各單位依據(jù)總體建設(shè)規(guī)劃提出年度信息化建設(shè)業(yè)務(wù)需求；信息科依據(jù)總體建設(shè)規(guī)劃綜合分析業(yè)務(wù)需求，提出信息系統(tǒng)項(xiàng)目立項(xiàng)并組織建設(shè)。第十五條 年度項(xiàng)目計(jì)劃的風(fēng)險(xiǎn)與防控。（一）年度項(xiàng)目計(jì)劃編制工作流程：1各科室、單位提出信息化建設(shè)項(xiàng)目業(yè)務(wù)需求建議書(shū)。2信息科匯總并審核信息化建設(shè)項(xiàng)目申報(bào)計(jì)劃，編制年度項(xiàng)目計(jì)劃。3局信息化領(lǐng)導(dǎo)小組審批年度項(xiàng)目計(jì)劃。（二）年度項(xiàng)目計(jì)劃風(fēng)險(xiǎn)點(diǎn)：1各科室、單位提出的業(yè)務(wù)需求不詳細(xì)，業(yè)務(wù)流程不清晰，或未對(duì)本單位相近、類(lèi)似的業(yè)務(wù)需求進(jìn)行歸類(lèi)整理，導(dǎo)致年度項(xiàng)目計(jì)劃編制的業(yè)務(wù)依據(jù)不充分，影響年度項(xiàng)目計(jì)劃的科學(xué)性和合理性。2信息科對(duì)

15、業(yè)務(wù)需求和立項(xiàng)申請(qǐng)審核不嚴(yán)格，信息科審批年度項(xiàng)目計(jì)劃不嚴(yán)格，導(dǎo)致年度項(xiàng)目計(jì)劃不合理。3年度項(xiàng)目計(jì)劃執(zhí)行不嚴(yán)格，在計(jì)劃外開(kāi)展信息系統(tǒng)建設(shè)，影響信息系統(tǒng)的統(tǒng)籌管理和一體化推進(jìn)。（三）年度項(xiàng)目計(jì)劃編制和執(zhí)行風(fēng)險(xiǎn)事件類(lèi)型：風(fēng)險(xiǎn)類(lèi)型風(fēng)險(xiǎn)點(diǎn)風(fēng)險(xiǎn)等級(jí)責(zé)任主體制度流程風(fēng)險(xiǎn)信息化項(xiàng)目審批依據(jù)不全面一般局信息化領(lǐng)導(dǎo)小組、信息科崗位職責(zé)風(fēng)險(xiǎn)在年度項(xiàng)目計(jì)劃外開(kāi)展信息系統(tǒng)建設(shè)，影響信息系統(tǒng)的統(tǒng)籌管理和一體化推進(jìn)重大各科室、單位提出的業(yè)務(wù)需求不完整、不具體，業(yè)務(wù)流程不清晰一般各科室、單位崗位職責(zé)風(fēng)險(xiǎn)對(duì)業(yè)務(wù)需求研究不充分，導(dǎo)致提出的立項(xiàng)申請(qǐng)不合理一般各科室、單位項(xiàng)目經(jīng)費(fèi)測(cè)算不合理一般相關(guān)科室、單位、信息科崗位職責(zé)風(fēng)險(xiǎn)業(yè)務(wù)需

16、求和立項(xiàng)申請(qǐng)審核不嚴(yán)格一般信息科未對(duì)重大財(cái)政信息化項(xiàng)目進(jìn)行專(zhuān)家評(píng)審論證一般相關(guān)科室、單位、信息科未對(duì)本單位業(yè)務(wù)需求進(jìn)行歸類(lèi)整理，類(lèi)似需求重復(fù)申報(bào)一般各科室、單位未綜合審核意見(jiàn)和專(zhuān)家評(píng)審論證意見(jiàn)，導(dǎo)致信息化年度項(xiàng)目計(jì)劃的編制不合理一般信息科年度項(xiàng)目計(jì)劃審批不嚴(yán)格一般局信息化領(lǐng)導(dǎo)小組、信息科（四）年度項(xiàng)目計(jì)劃風(fēng)險(xiǎn)防控措施：1各科室、單位提出信息系統(tǒng)建設(shè)的詳細(xì)業(yè)務(wù)需求，清晰設(shè)定業(yè)務(wù)流程，對(duì)本單位相近、類(lèi)似的業(yè)務(wù)需求進(jìn)行歸類(lèi)申報(bào)，經(jīng)單位負(fù)責(zé)人審批并蓋章后提交信息科；業(yè)務(wù)需求涉及多個(gè)單位的，應(yīng)明確一個(gè)牽頭單位，業(yè)務(wù)需求的確定如存在爭(zhēng)議，應(yīng)提請(qǐng)信息科研究；信息科綜合分析業(yè)務(wù)需求，結(jié)合總體建設(shè)規(guī)劃和信息系統(tǒng)

17、建設(shè)成果，按照一體化建設(shè)要求整合需求，確定合理的需求實(shí)現(xiàn)方式，確立建設(shè)項(xiàng)目并提出立項(xiàng)申請(qǐng)。2信息科健全信息系統(tǒng)立項(xiàng)審批流程，明確立項(xiàng)審批依據(jù)和立項(xiàng)條件。3信息系統(tǒng)立項(xiàng)實(shí)行專(zhuān)家評(píng)審機(jī)制，重大項(xiàng)目須進(jìn)行評(píng)審論證。4信息科嚴(yán)格按照批準(zhǔn)的年度項(xiàng)目計(jì)劃組織開(kāi)展信息系統(tǒng)建設(shè)，不得在年度項(xiàng)目計(jì)劃外開(kāi)展信息系統(tǒng)建設(shè)。第十六條 政府采購(gòu)的風(fēng)險(xiǎn)與防控。（一）政府采購(gòu)流程：1信息科編制項(xiàng)目政府采購(gòu)文件。2相關(guān)單位審核確認(rèn)采購(gòu)文件中的業(yè)務(wù)內(nèi)容。3信息科會(huì)同紀(jì)檢監(jiān)察、相關(guān)科室、單位組織開(kāi)展政府采購(gòu)。（二）政府采購(gòu)風(fēng)險(xiǎn)點(diǎn)：1.采購(gòu)文件編制不規(guī)范，采購(gòu)需求不清晰、不具體，導(dǎo)致投標(biāo)單位不能準(zhǔn)確理解信息系統(tǒng)建設(shè)任務(wù)與要求或無(wú)法

18、準(zhǔn)確估算建設(shè)成本，造成無(wú)法采購(gòu)到合格的承建單位。2.采購(gòu)文件在對(duì)承建單位的資質(zhì)要求和評(píng)標(biāo)標(biāo)準(zhǔn)等方面具有不合理的傾向性?xún)?nèi)容，存在廉政風(fēng)險(xiǎn)隱患。3.信息系統(tǒng)升級(jí)改造的采購(gòu)文件編制不合理，造成承建單位頻繁更換，無(wú)法保證系統(tǒng)架構(gòu)、功能與性能設(shè)計(jì)的延續(xù)性，甚至可能推翻原有系統(tǒng)。4.采購(gòu)參與人員不遵守政府采購(gòu)管理規(guī)定，與供應(yīng)商或采購(gòu)代理機(jī)構(gòu)惡意串通，泄漏采購(gòu)相關(guān)信息或干預(yù)采購(gòu)過(guò)程、向評(píng)標(biāo)專(zhuān)家施加影響，導(dǎo)致采購(gòu)結(jié)果無(wú)法達(dá)到公平、公正要求，并引發(fā)廉政風(fēng)險(xiǎn)。（三）政府采購(gòu)風(fēng)險(xiǎn)事件類(lèi)型：風(fēng)險(xiǎn)類(lèi)型風(fēng)險(xiǎn)點(diǎn)風(fēng)險(xiǎn)等級(jí)責(zé)任主體制度流程風(fēng)險(xiǎn)信息系統(tǒng)升級(jí)改造的采購(gòu)文件編制不合理，造成承建單位頻繁更換一般各科室、單位崗位職責(zé)風(fēng)險(xiǎn)

19、未進(jìn)行政府采購(gòu)組織信息系統(tǒng)建設(shè)重大各科室、單位政府采購(gòu)文件編制不規(guī)范，采購(gòu)需求不清晰、不具體，導(dǎo)致無(wú)法采購(gòu)到合適的承建單位一般信息科、各科室、單位采購(gòu)過(guò)程中未按規(guī)定邀請(qǐng)有關(guān)部門(mén)監(jiān)督一般信息科廉政風(fēng)險(xiǎn)采購(gòu)過(guò)程中，未依法、依規(guī)、依程序，有失公開(kāi)、公平、公正重大各科室、單位（四）政府采購(gòu)風(fēng)險(xiǎn)防控措施：1信息科負(fù)責(zé)編制采購(gòu)文件，相關(guān)單位及時(shí)提供相關(guān)業(yè)務(wù)材料，審核業(yè)務(wù)內(nèi)容是否全面、準(zhǔn)確。2采購(gòu)文件內(nèi)容應(yīng)清晰具體，確保投標(biāo)單位能準(zhǔn)確理解業(yè)務(wù)需求和技術(shù)要求；在承建單位資質(zhì)要求、評(píng)標(biāo)標(biāo)準(zhǔn)等方面不得含有傾向性?xún)?nèi)容。3各科室、單位認(rèn)真編制信息系統(tǒng)升級(jí)改造需求，信息科根據(jù)升級(jí)改造需求合理編制采購(gòu)文件，避免承建單位的

20、頻繁更換。4參與采購(gòu)人員必須嚴(yán)格遵守相關(guān)規(guī)定，不得發(fā)表任何可能影響專(zhuān)家評(píng)審的言論，現(xiàn)場(chǎng)發(fā)言?xún)H限于對(duì)業(yè)務(wù)需求和技術(shù)要求的釋疑。第十七條 設(shè)計(jì)開(kāi)發(fā)的風(fēng)險(xiǎn)與防控。（一）信息系統(tǒng)設(shè)計(jì)開(kāi)發(fā)流程：1調(diào)研業(yè)務(wù)需求和編制業(yè)務(wù)需求方案。2業(yè)務(wù)需求評(píng)審。3編制技術(shù)設(shè)計(jì)方案，包括概要設(shè)計(jì)、詳細(xì)設(shè)計(jì)、數(shù)據(jù)庫(kù)設(shè)計(jì)等。4技術(shù)設(shè)計(jì)方案評(píng)審。5程序開(kāi)發(fā)。6測(cè)試與修改完善。（二）信息系統(tǒng)設(shè)計(jì)開(kāi)發(fā)風(fēng)險(xiǎn)點(diǎn)：1相關(guān)科室、單位未提供信息系統(tǒng)建設(shè)所需的業(yè)務(wù)資料，或不積極回應(yīng)需求調(diào)研中的問(wèn)題，導(dǎo)致需求調(diào)研不充分，業(yè)務(wù)需求方案編制不完善，無(wú)法全面、準(zhǔn)確反映業(yè)務(wù)管理要求。2編制系統(tǒng)升級(jí)改造項(xiàng)目的業(yè)務(wù)需求時(shí)，未考慮與原有信息系統(tǒng)業(yè)務(wù)功能的延續(xù)性

21、，導(dǎo)致對(duì)原有信息系統(tǒng)的顛覆性改造，甚至完全推翻重建，導(dǎo)致工期延長(zhǎng)、信息系統(tǒng)建設(shè)質(zhì)量降低、投資浪費(fèi)。3未按規(guī)定進(jìn)行需求和設(shè)計(jì)方案評(píng)審，或評(píng)審組織不嚴(yán)格、不規(guī)范，導(dǎo)致信息系統(tǒng)功能和性能設(shè)計(jì)達(dá)不到預(yù)期要求。4信息系統(tǒng)設(shè)計(jì)開(kāi)發(fā)未嚴(yán)格執(zhí)行財(cái)政信息化建設(shè)標(biāo)準(zhǔn)規(guī)范，導(dǎo)致與其他信息系統(tǒng)之間無(wú)法通暢交換數(shù)據(jù)和共享信息，形成信息孤島。5信息系統(tǒng)測(cè)試用例設(shè)計(jì)覆蓋面不全，測(cè)試不嚴(yán)格，無(wú)法充分測(cè)試系統(tǒng)各流程、各環(huán)節(jié)，導(dǎo)致信息系統(tǒng)功能與性能隱藏缺陷，影響穩(wěn)定運(yùn)行。6相關(guān)科室、單位缺乏對(duì)需求的全局考慮，導(dǎo)致在信息系統(tǒng)建設(shè)過(guò)程中頻繁增加或變更業(yè)務(wù)需求，變更程序不規(guī)范，嚴(yán)重影響信息系統(tǒng)建設(shè)質(zhì)量，甚至顛覆原系統(tǒng)設(shè)計(jì)。（三）信息系

22、統(tǒng)設(shè)計(jì)開(kāi)發(fā)風(fēng)險(xiǎn)事件類(lèi)型：風(fēng)險(xiǎn)類(lèi)型風(fēng)險(xiǎn)點(diǎn)風(fēng)險(xiǎn)等級(jí)責(zé)任主體制度流程風(fēng)險(xiǎn)系統(tǒng)設(shè)計(jì)開(kāi)發(fā)未遵循信息化建設(shè)管理標(biāo)準(zhǔn)規(guī)范一般信息科升級(jí)改造項(xiàng)目業(yè)務(wù)需求未考慮與原有系統(tǒng)業(yè)務(wù)功能的延續(xù)一般相關(guān)科室、單位崗位職責(zé)風(fēng)險(xiǎn)未提供系統(tǒng)建設(shè)所需的業(yè)務(wù)資料一般各科室、單位未按規(guī)定進(jìn)行需求和設(shè)計(jì)方案評(píng)審或評(píng)審組織不嚴(yán)格、不規(guī)范一般信息科未認(rèn)真進(jìn)行業(yè)務(wù)需求調(diào)研，調(diào)研內(nèi)容不充分一般相關(guān)科室、單位需求變更的提出較隨意一般各科室、單位未認(rèn)真分析研究變更需求，提出的處理意見(jiàn)不合理一般各科室、信息科各科室、單位配合不到位，導(dǎo)致系統(tǒng)建設(shè)進(jìn)度嚴(yán)重滯后一般各科室、單位未按測(cè)試方案進(jìn)行測(cè)試一般信息科系統(tǒng)測(cè)試方案不規(guī)范，用例設(shè)計(jì)覆蓋面不全一般各科室

23、、信息科（四）信息系統(tǒng)設(shè)計(jì)開(kāi)發(fā)風(fēng)險(xiǎn)防控措施：1信息系統(tǒng)設(shè)計(jì)開(kāi)發(fā)應(yīng)嚴(yán)格遵循財(cái)政信息化建設(shè)管理相關(guān)規(guī)定和標(biāo)準(zhǔn)規(guī)范。2建立健全信息系統(tǒng)建設(shè)協(xié)調(diào)機(jī)制，在業(yè)務(wù)需求調(diào)研、設(shè)計(jì)開(kāi)發(fā)等工作中，加強(qiáng)業(yè)務(wù)與技術(shù)部門(mén)間的溝通配合。3信息系統(tǒng)升級(jí)改造業(yè)務(wù)需求的提出，應(yīng)充分延續(xù)系統(tǒng)已有功能，升級(jí)改造需求應(yīng)明確說(shuō)明哪些是對(duì)原有業(yè)務(wù)管理的調(diào)整，哪些是新增業(yè)務(wù)需求。4嚴(yán)格控制業(yè)務(wù)需求變更。在信息系統(tǒng)建設(shè)過(guò)程中如出現(xiàn)需求變更情況，相關(guān)單位應(yīng)提出書(shū)面申請(qǐng)，經(jīng)單位負(fù)責(zé)人審批后提交信息科；信息科組織相關(guān)單位和承建單位對(duì)變更需求進(jìn)行分析研究，提出處理意見(jiàn)。5加強(qiáng)信息系統(tǒng)設(shè)計(jì)開(kāi)發(fā)的過(guò)程管理，可采購(gòu)有資質(zhì)的監(jiān)理單位進(jìn)行監(jiān)督檢查，相關(guān)單位要

24、配合開(kāi)展相關(guān)工作。第十八條 驗(yàn)收管理的風(fēng)險(xiǎn)與防控。（一）信息系統(tǒng)驗(yàn)收管理流程：1承建單位向信息科提出驗(yàn)收申請(qǐng)。2信息科組織對(duì)信息系統(tǒng)驗(yàn)收條件進(jìn)行審查，制定驗(yàn)收方案。3信息科組建專(zhuān)家組進(jìn)行系統(tǒng)驗(yàn)收，相關(guān)單位派人參加。4驗(yàn)收專(zhuān)家組提出驗(yàn)收意見(jiàn)。（二）信息系統(tǒng)驗(yàn)收管理風(fēng)險(xiǎn)點(diǎn)：1相關(guān)科室、單位自行組織信息系統(tǒng)驗(yàn)收，導(dǎo)致項(xiàng)目管理不規(guī)范，信息系統(tǒng)功能、性能及可靠性無(wú)法保證。2承建單位提出驗(yàn)收申請(qǐng)后，未及時(shí)予以回應(yīng)，導(dǎo)致驗(yàn)收工作滯后，影響信息系統(tǒng)按期上線運(yùn)行和業(yè)務(wù)正常開(kāi)展。3驗(yàn)收條件設(shè)定不全面，驗(yàn)收審查不嚴(yán)格，驗(yàn)收專(zhuān)家成員構(gòu)成不合理，驗(yàn)收程序未按照相關(guān)規(guī)定執(zhí)行，導(dǎo)致未達(dá)到驗(yàn)收條件的信息系統(tǒng)可能通過(guò)驗(yàn)收，為信

25、息系統(tǒng)安全、可靠運(yùn)行帶來(lái)隱患。4相關(guān)科室、單位未按要求提交用戶(hù)報(bào)告，或用戶(hù)報(bào)告未對(duì)信息系統(tǒng)功能與性能做出客觀評(píng)價(jià)，影響項(xiàng)目驗(yàn)收進(jìn)程和驗(yàn)收結(jié)果的真實(shí)性。5受系統(tǒng)承建單位的請(qǐng)托，在系統(tǒng)不具備驗(yàn)收條件時(shí)組織通過(guò)驗(yàn)收，引發(fā)廉政風(fēng)險(xiǎn)。（三）信息系統(tǒng)驗(yàn)收管理風(fēng)險(xiǎn)事件類(lèi)型：風(fēng)險(xiǎn)類(lèi)型風(fēng)險(xiǎn)點(diǎn)風(fēng)險(xiǎn)等級(jí)責(zé)任主體制度流程風(fēng)險(xiǎn)各科室、單位未通過(guò)信息科自行組織驗(yàn)收一般各科室、單位項(xiàng)目驗(yàn)收指標(biāo)制定不全面、不準(zhǔn)確一般各科室、信息科驗(yàn)收專(zhuān)家成員構(gòu)成不合理一般信息科崗位職責(zé)風(fēng)險(xiǎn)提出驗(yàn)收申請(qǐng)后，未及時(shí)組織驗(yàn)收一般信息科驗(yàn)收程序未嚴(yán)格按照相關(guān)規(guī)定執(zhí)行一般信息科各科室、單位未及時(shí)提供項(xiàng)目驗(yàn)收用戶(hù)報(bào)告，影響項(xiàng)目驗(yàn)收整體工作進(jìn)度一般各科室

26、、單位廉政風(fēng)險(xiǎn)受項(xiàng)目承建單位請(qǐng)托，將不符合驗(yàn)收條件的系統(tǒng)通過(guò)驗(yàn)收重大各科室、單位、信息科（四）信息系統(tǒng)驗(yàn)收管理風(fēng)險(xiǎn)防控措施：1信息科負(fù)責(zé)組織信息系統(tǒng)驗(yàn)收工作，按照國(guó)家相關(guān)法律法規(guī)規(guī)定的程序和要求進(jìn)行。2信息科收到承建單位驗(yàn)收申請(qǐng)后，及時(shí)組織對(duì)信息系統(tǒng)是否具備驗(yàn)收條件進(jìn)行審查，并通知相關(guān)單位準(zhǔn)備用戶(hù)報(bào)告；相關(guān)單位對(duì)信息系統(tǒng)功能與性能、應(yīng)用情況做出客觀真實(shí)評(píng)價(jià)，按時(shí)出具用戶(hù)報(bào)告。3不斷完善信息系統(tǒng)驗(yàn)收條件、評(píng)價(jià)標(biāo)準(zhǔn)和驗(yàn)收指標(biāo)體系，確保驗(yàn)收結(jié)論真實(shí)可靠。4信息科負(fù)責(zé)組建驗(yàn)收專(zhuān)家組，專(zhuān)家組成員應(yīng)覆蓋財(cái)政內(nèi)外、技術(shù)與業(yè)務(wù)領(lǐng)域。第十九條 信息系統(tǒng)組織實(shí)施的風(fēng)險(xiǎn)與防控。（一）信息系統(tǒng)組織實(shí)施風(fēng)險(xiǎn)點(diǎn)：1未經(jīng)過(guò)

27、試運(yùn)行和驗(yàn)收的信息系統(tǒng)直接上線運(yùn)行，信息系統(tǒng)功能與性能未經(jīng)過(guò)檢驗(yàn)，導(dǎo)致信息系統(tǒng)上線后不能穩(wěn)定運(yùn)行，加大運(yùn)維成本。2業(yè)務(wù)與技術(shù)部門(mén)之間溝通協(xié)調(diào)不充分，信息系統(tǒng)建設(shè)前期準(zhǔn)備不到位，導(dǎo)致信息系統(tǒng)上線后運(yùn)行不暢，問(wèn)題頻發(fā)，影響業(yè)務(wù)開(kāi)展。3推廣實(shí)施的信息系統(tǒng)，缺乏明確的實(shí)施方案，造成相關(guān)方無(wú)所依從，影響信息系統(tǒng)推廣實(shí)施進(jìn)度，降低實(shí)施質(zhì)量。4信息系統(tǒng)版本和軟件分發(fā)沒(méi)有歸口管理，導(dǎo)致系統(tǒng)應(yīng)用與維護(hù)混亂，難以統(tǒng)一升級(jí)。（二）信息系統(tǒng)組織實(shí)施風(fēng)險(xiǎn)事件類(lèi)型：風(fēng)險(xiǎn)類(lèi)型風(fēng)險(xiǎn)點(diǎn)風(fēng)險(xiǎn)等級(jí)責(zé)任主體制度流程風(fēng)險(xiǎn)各科室、單位自行推廣實(shí)施系統(tǒng),造成系統(tǒng)建設(shè)與管理混亂重大各科室、單位風(fēng)險(xiǎn)類(lèi)型風(fēng)險(xiǎn)點(diǎn)風(fēng)險(xiǎn)等級(jí)責(zé)任主體制度流程風(fēng)險(xiǎn)未經(jīng)過(guò)

28、試運(yùn)行和驗(yàn)收的系統(tǒng)直接上線運(yùn)行一般各科室、單位系統(tǒng)試運(yùn)行時(shí)間短、不充分，未反應(yīng)出問(wèn)題與不足一般各科室、單位、信息科系統(tǒng)版本和軟件分發(fā)管理混亂，未執(zhí)行歸口管理重大各科室、單位、信息科崗位職責(zé)風(fēng)險(xiǎn)業(yè)務(wù)、技術(shù)部門(mén)溝通協(xié)調(diào)不足，未對(duì)系統(tǒng)問(wèn)題及時(shí)修改完善一般各科室、單位、信息科對(duì)于需要推廣的系統(tǒng)，未制定科學(xué)合理的實(shí)施方案一般各科室、單位、信息科未根據(jù)試點(diǎn)中發(fā)現(xiàn)的系統(tǒng)缺陷，研究提出系統(tǒng)完善意見(jiàn)一般各科室、單位、信息科（三）信息系統(tǒng)組織實(shí)施風(fēng)險(xiǎn)防控措施：1信息系統(tǒng)上線運(yùn)行前必須進(jìn)行試運(yùn)行并通過(guò)驗(yàn)收。2信息科綜合分析信息系統(tǒng)實(shí)施的業(yè)務(wù)與技術(shù)要求，制定詳細(xì)的實(shí)施方案；相關(guān)單位提供信息系統(tǒng)實(shí)施所需的相關(guān)數(shù)據(jù)資料。

29、3信息科負(fù)責(zé)信息系統(tǒng)的推廣實(shí)施、實(shí)施系統(tǒng)版本管理和向用戶(hù)單位分發(fā)軟件，版本更換要履行規(guī)定程序。第二十條 運(yùn)行維護(hù)管理的風(fēng)險(xiǎn)與防控。（一）信息系統(tǒng)運(yùn)行維護(hù)管理風(fēng)險(xiǎn)點(diǎn)：1采購(gòu)的運(yùn)維單位對(duì)信息系統(tǒng)不熟悉，無(wú)法履行應(yīng)盡義務(wù)，導(dǎo)致信息系統(tǒng)運(yùn)行故障無(wú)法及時(shí)排除。2運(yùn)行維護(hù)工作未按規(guī)定程序執(zhí)行，存在信息泄漏、丟失、篡改等安全隱患。3各科室、單位自行選擇運(yùn)維單位開(kāi)展信息系統(tǒng)運(yùn)維工作，導(dǎo)致運(yùn)維管理不規(guī)范、信息不安全，甚至引發(fā)廉政風(fēng)險(xiǎn)。（二）信息系統(tǒng)運(yùn)行維護(hù)管理風(fēng)險(xiǎn)事件類(lèi)型：風(fēng)險(xiǎn)類(lèi)型風(fēng)險(xiǎn)點(diǎn)風(fēng)險(xiǎn)等級(jí)責(zé)任主體制度流程風(fēng)險(xiǎn)系統(tǒng)日常維護(hù)工作未交信息科負(fù)責(zé)一般各科室、單位各科室、單位自行選擇運(yùn)維單位開(kāi)展系統(tǒng)運(yùn)維工作重大各科

30、室、單位崗位職責(zé)風(fēng)險(xiǎn)系統(tǒng)運(yùn)維方案制定不夠科學(xué)合理一般信息科未根據(jù)系統(tǒng)使用情況，及時(shí)提出系統(tǒng)運(yùn)行及使用中存在的問(wèn)題一般各科室、單位未根據(jù)系統(tǒng)改進(jìn)建議，及時(shí)完善系統(tǒng)運(yùn)行維護(hù)工作一般信息科（三）信息系統(tǒng)運(yùn)行維護(hù)管理風(fēng)險(xiǎn)防控措施：1健全和完善財(cái)政局運(yùn)維服務(wù)管理辦法，制定相關(guān)實(shí)施細(xì)則，規(guī)范運(yùn)維工作程序，明確運(yùn)維工作范圍。2信息科負(fù)責(zé)組織信息系統(tǒng)運(yùn)維工作，嚴(yán)格按照財(cái)政局相關(guān)制度辦法開(kāi)展，確保信息系統(tǒng)安全可靠運(yùn)行。相關(guān)單位應(yīng)配合做好運(yùn)維工作的監(jiān)督與評(píng)價(jià)。3采購(gòu)運(yùn)行維護(hù)單位時(shí)，針對(duì)信息系統(tǒng)情況定性和定量設(shè)定條件，確保運(yùn)維單位能夠勝任運(yùn)維工作。4各單位根據(jù)信息系統(tǒng)使用情況，及時(shí)向信息科反饋信息系統(tǒng)存在的問(wèn)題。第

31、三章 信息系統(tǒng)流程控制管理內(nèi)部控制第二十一條 信息系統(tǒng)流程控制風(fēng)險(xiǎn)是指業(yè)務(wù)流程未完全固化在業(yè)務(wù)生產(chǎn)系統(tǒng)中、固化在信息系統(tǒng)中的業(yè)務(wù)流程未完全實(shí)現(xiàn)有效控制、業(yè)務(wù)處理未完全通過(guò)信息系統(tǒng)執(zhí)行，導(dǎo)致信息系統(tǒng)支撐促進(jìn)內(nèi)部控制工作能力弱化的可能性。其中，重大風(fēng)險(xiǎn)是指因業(yè)務(wù)流程未固化在業(yè)務(wù)生產(chǎn)系統(tǒng)中，或固化在信息系統(tǒng)中的業(yè)務(wù)流程未實(shí)現(xiàn)有效控制，或業(yè)務(wù)處理未通過(guò)信息系統(tǒng)固化的流程進(jìn)行等情形發(fā)生，嚴(yán)重影響內(nèi)部控制效果。一般風(fēng)險(xiǎn)是指因業(yè)務(wù)流程在業(yè)務(wù)生產(chǎn)系統(tǒng)中固化程度不夠，或固化在信息系統(tǒng)中的業(yè)務(wù)流程控制不完善，導(dǎo)致內(nèi)部控制目標(biāo)某些方面或環(huán)節(jié)失效。第二十二條 流程控制風(fēng)險(xiǎn)主要體現(xiàn)在業(yè)務(wù)管理流程化設(shè)計(jì)、控制措施與預(yù)警機(jī)

32、制設(shè)定、信息系統(tǒng)實(shí)現(xiàn)、信息系統(tǒng)流程應(yīng)用等方面。第二十三條 信息系統(tǒng)固化和管控業(yè)務(wù)流程的程序：1各科室、單位梳理完善業(yè)務(wù)流程。2各科室、單位明確業(yè)務(wù)流程各環(huán)節(jié)控制活動(dòng)、控制措施等。3各科室、單位提出業(yè)務(wù)流程固化和管理控制的業(yè)務(wù)需求。4信息科綜合分析業(yè)務(wù)需求。5信息科負(fù)責(zé)通過(guò)信息系統(tǒng)實(shí)現(xiàn)業(yè)務(wù)流程固化和管理控制。第二十四條 業(yè)務(wù)管理流程化設(shè)計(jì)風(fēng)險(xiǎn)與防控。（一）業(yè)務(wù)管理流程化設(shè)計(jì)風(fēng)險(xiǎn)點(diǎn)：1對(duì)于手工操作存在管理風(fēng)險(xiǎn)的財(cái)政業(yè)務(wù)，各科室、單位未提出通過(guò)信息系統(tǒng)進(jìn)行流程固化和管理控制，仍采取手工方式操作，增加了業(yè)務(wù)管理活動(dòng)事前防范、事中控制、事后監(jiān)督的難度，存在內(nèi)控漏洞。2各科室、單位對(duì)需要通過(guò)信息系統(tǒng)固化的

33、業(yè)務(wù)流程梳理不全面、分析不系統(tǒng)、優(yōu)化不合理，導(dǎo)致業(yè)務(wù)流程通過(guò)信息系統(tǒng)固化后，難以有效發(fā)揮控制作用。3各科室、單位業(yè)務(wù)流程變更頻繁，影響信息系統(tǒng)穩(wěn)定運(yùn)行，不利于信息系統(tǒng)操作責(zé)任追溯。（二）業(yè)務(wù)管理流程化設(shè)計(jì)風(fēng)險(xiǎn)事件類(lèi)型：風(fēng)險(xiǎn)類(lèi)型風(fēng)險(xiǎn)點(diǎn)風(fēng)險(xiǎn)等級(jí)責(zé)任主體制度流程風(fēng)險(xiǎn)對(duì)手工操作存在管理風(fēng)險(xiǎn)的財(cái)政業(yè)務(wù)，未通過(guò)信息系統(tǒng)進(jìn)行流程固化和管理控制，引發(fā)重大責(zé)任事故重大各科室、單位業(yè)務(wù)流程變更過(guò)于頻繁，影響系統(tǒng)的穩(wěn)定性一般各科室、單位崗位職責(zé)風(fēng)險(xiǎn)業(yè)務(wù)流程梳理不全面、分析不系統(tǒng)、優(yōu)化不合理一般各科室、單位業(yè)務(wù)流程各環(huán)節(jié)設(shè)定不合理一般各科室、單位（三）業(yè)務(wù)管理流程化設(shè)計(jì)風(fēng)險(xiǎn)防控措施：1對(duì)于手工操作存在管理風(fēng)險(xiǎn)的財(cái)政業(yè)

34、務(wù)，必須通過(guò)信息系統(tǒng)固化流程。2各科室、單位應(yīng)按照業(yè)務(wù)實(shí)現(xiàn)的時(shí)間順序和邏輯順序，對(duì)需要通過(guò)信息系統(tǒng)固化的業(yè)務(wù)流程進(jìn)行全面梳理、分析和細(xì)化，科學(xué)設(shè)定業(yè)務(wù)流程各環(huán)節(jié)，確保各環(huán)節(jié)既覆蓋業(yè)務(wù)管理全過(guò)程又利于倒查問(wèn)題根源。 3各科室、單位應(yīng)將整理好的業(yè)務(wù)流程形成書(shū)面材料。4各科室、單位應(yīng)切實(shí)結(jié)合財(cái)政管理和改革的實(shí)際需要，審慎處理流程變更，避免流程變更的隨意性。若確需變更，要充分考慮與原有業(yè)務(wù)的銜接。第二十五條 控制措施與預(yù)警機(jī)制設(shè)定風(fēng)險(xiǎn)與防控。（一）控制措施與預(yù)警條件設(shè)定風(fēng)險(xiǎn)點(diǎn)：1各科室、單位對(duì)于業(yè)務(wù)流程的各環(huán)節(jié)未設(shè)置控制措施和預(yù)警機(jī)制，導(dǎo)致內(nèi)部控制無(wú)法實(shí)現(xiàn)。2各科室、單位對(duì)業(yè)務(wù)流程各環(huán)節(jié)授權(quán)控制不合理

35、，對(duì)關(guān)鍵環(huán)節(jié)未設(shè)置不相容崗位（職責(zé)）或不相容崗位（職責(zé)）分離措施不到位，導(dǎo)致一人可以操作流程的多個(gè)環(huán)節(jié)，無(wú)法形成相互制約、相互監(jiān)督的工作機(jī)制。3各科室、單位對(duì)各項(xiàng)控制措施未設(shè)置預(yù)警機(jī)制或設(shè)置不合理，導(dǎo)致信息系統(tǒng)自動(dòng)控制、風(fēng)險(xiǎn)揭示能力弱化。（二）控制措施與預(yù)警條件設(shè)定風(fēng)險(xiǎn)事件類(lèi)型：風(fēng)險(xiǎn)類(lèi)型風(fēng)險(xiǎn)點(diǎn)風(fēng)險(xiǎn)等級(jí)責(zé)任主體制度流程風(fēng)險(xiǎn)對(duì)業(yè)務(wù)流程關(guān)鍵環(huán)節(jié)未設(shè)置不相容崗位（職責(zé)）或不相容崗位（職責(zé)）分離措施不到位，出現(xiàn)重大責(zé)任事故重大各科室、單位崗位職責(zé)風(fēng)險(xiǎn)對(duì)業(yè)務(wù)流程某些環(huán)節(jié)未設(shè)置授權(quán)或授權(quán)不合理，出現(xiàn)重大責(zé)任事故重大各科室、單位控制措施未設(shè)置預(yù)警機(jī)制或設(shè)置不合理一般各科室、單位（三）控制措施與預(yù)警條件設(shè)定風(fēng)險(xiǎn)

36、防控措施：1各科室、單位應(yīng)結(jié)合本單位業(yè)務(wù)和流程，全面梳理所涉及的不相容崗位，明確各個(gè)環(huán)節(jié)的崗位設(shè)置及職責(zé)。2各科室、單位應(yīng)對(duì)不相容崗位（職責(zé)）實(shí)施分離措施，明確細(xì)化職責(zé)，形成各司其職、各負(fù)其責(zé)、橫向與縱向相互制約監(jiān)督的工作機(jī)制。3各科室、單位應(yīng)建立授權(quán)管理體系,明確各崗位的授權(quán)主體、范圍與權(quán)限，科學(xué)分配權(quán)利，確保各崗位人員在授權(quán)范圍內(nèi)開(kāi)展工作，切實(shí)達(dá)到分事行權(quán)、分崗設(shè)權(quán)、分級(jí)授權(quán)的要求。4各科室、單位應(yīng)根據(jù)控制措施，合理設(shè)置預(yù)警條件。5各科室、單位應(yīng)制定書(shū)面的崗位職責(zé)說(shuō)明及授權(quán)控制說(shuō)明。第二十六條 信息系統(tǒng)實(shí)現(xiàn)風(fēng)險(xiǎn)與防控。（一）信息系統(tǒng)實(shí)現(xiàn)風(fēng)險(xiǎn)點(diǎn)：1信息科對(duì)各科室、單位提出的需求調(diào)研不深入，理

37、解不準(zhǔn)確，導(dǎo)致系統(tǒng)功能不完善、授權(quán)管理功能弱化等，造成信息系統(tǒng)強(qiáng)化流程控制、風(fēng)險(xiǎn)揭示和自動(dòng)控制能力弱化。2業(yè)務(wù)流程發(fā)生變更后，各科室、單位未提出流程變更申請(qǐng)，導(dǎo)致新的內(nèi)部控制措施失效。3各科室、單位提出流程變更申請(qǐng)，信息科未及時(shí)通過(guò)信息系統(tǒng)實(shí)現(xiàn)，導(dǎo)致信息系統(tǒng)不能按時(shí)實(shí)現(xiàn)新的控制，影響財(cái)政業(yè)務(wù)順利開(kāi)展。4信息科對(duì)流程變更的信息化實(shí)現(xiàn)考慮不周全，影響上下游業(yè)務(wù)正常開(kāi)展，導(dǎo)致業(yè)務(wù)中斷的可能性。（二）信息系統(tǒng)實(shí)現(xiàn)風(fēng)險(xiǎn)事件類(lèi)型：風(fēng)險(xiǎn)類(lèi)型風(fēng)險(xiǎn)點(diǎn)風(fēng)險(xiǎn)等級(jí)責(zé)任主體制度流程風(fēng)險(xiǎn)信息系統(tǒng)未按要求實(shí)現(xiàn)業(yè)務(wù)流程和管理控制的固化，出現(xiàn)重大責(zé)任事故重大信息科變更流程時(shí)，未提出需求變更申請(qǐng)一般各科室、單位崗位職責(zé)風(fēng)險(xiǎn)對(duì)業(yè)務(wù)

38、需求調(diào)研不深入、分析不全面一般信息科變更流程后，仍使用原有系統(tǒng)進(jìn)行業(yè)務(wù)操作一般各科室、單位未根據(jù)流程變更需求及時(shí)完善信息系統(tǒng)一般信息科流程變更的信息化實(shí)現(xiàn)未達(dá)到預(yù)期效果一般信息科（三）信息系統(tǒng)實(shí)現(xiàn)風(fēng)險(xiǎn)防控措施：1各科室、單位提出需要通過(guò)信息系統(tǒng)實(shí)現(xiàn)的業(yè)務(wù)流程及其控制活動(dòng)、控制措施等，形成業(yè)務(wù)需求方案，經(jīng)單位負(fù)責(zé)人審批并蓋章后提交信息科。2信息科對(duì)業(yè)務(wù)需求進(jìn)行分析。若業(yè)務(wù)需求不符合信息系統(tǒng)開(kāi)發(fā)設(shè)計(jì)要求，信息科提出改進(jìn)建議并退回；單位將業(yè)務(wù)需求修改完善后重新提交。3信息科按照需求將業(yè)務(wù)流程固化在信息系統(tǒng)中，并將控制活動(dòng)、控制措施等嵌入信息系統(tǒng)，確保授權(quán)處理無(wú)誤，不相容崗位相互分離，實(shí)現(xiàn)操作過(guò)程留痕

39、，責(zé)任可追溯，最大限度減少人為操縱因素。4業(yè)務(wù)流程發(fā)生變更后，各科室、單位要及時(shí)形成流程變更書(shū)面材料，經(jīng)單位負(fù)責(zé)人審批同意后提交信息科。5信息科應(yīng)及時(shí)受理各科室、單位的變更需求，并做好分析研究；對(duì)于符合要求的變更申請(qǐng)，應(yīng)抓緊組織相關(guān)功能模塊的改造工作。第二十七條 信息系統(tǒng)流程應(yīng)用的風(fēng)險(xiǎn)與防控。（一）信息系統(tǒng)流程應(yīng)用風(fēng)險(xiǎn)點(diǎn)：1各科室、單位未通過(guò)已固化流程的信息系統(tǒng)開(kāi)展財(cái)政業(yè)務(wù)工作，導(dǎo)致信息系統(tǒng)固化流程和管理控制作用無(wú)法有效發(fā)揮。2操作人員未經(jīng)授權(quán)擅自進(jìn)入信息系統(tǒng)后臺(tái)操作，導(dǎo)致繞過(guò)流程控制的風(fēng)險(xiǎn)。3與外部相關(guān)單位惡意串通，繞開(kāi)流程進(jìn)行后臺(tái)操作，竊取財(cái)政業(yè)務(wù)信息，謀取利益，存在廉政風(fēng)險(xiǎn)。（二）信息系

40、統(tǒng)流程應(yīng)用風(fēng)險(xiǎn)事件類(lèi)型：風(fēng)險(xiǎn)類(lèi)型風(fēng)險(xiǎn)點(diǎn)風(fēng)險(xiǎn)等級(jí)責(zé)任主體制度流程風(fēng)險(xiǎn)未通過(guò)已有信息系統(tǒng)開(kāi)展相應(yīng)財(cái)政業(yè)務(wù)一般各科室、單位未制定系統(tǒng)使用操作規(guī)程一般信息科技術(shù)監(jiān)控措施不到位一般信息科崗位職責(zé)風(fēng)險(xiǎn)未經(jīng)授權(quán)擅自進(jìn)入信息系統(tǒng)后臺(tái)操作，造成重大責(zé)任事故重大各科室、單位廉政風(fēng)險(xiǎn)繞開(kāi)流程進(jìn)行后臺(tái)操作，竊取財(cái)政業(yè)務(wù)信息，謀取利益重大各科室、單位（三） 信息系統(tǒng)流程應(yīng)用風(fēng)險(xiǎn)防控措施：1各科室、單位應(yīng)建立健全規(guī)章制度，確保財(cái)政業(yè)務(wù)通過(guò)信息系統(tǒng)處理，實(shí)現(xiàn)內(nèi)部控制的程序化和常態(tài)化。2信息科制定信息系統(tǒng)操作規(guī)程，加強(qiáng)培訓(xùn)，確保各科室、單位正確應(yīng)用信息系統(tǒng)。3信息科應(yīng)強(qiáng)化技術(shù)監(jiān)控，通過(guò)自動(dòng)報(bào)告、跟蹤處理、日志管理等機(jī)制，及時(shí)

41、發(fā)現(xiàn)異?；蜻`背內(nèi)部控制要求的操作，妥善進(jìn)行處置并向內(nèi)控辦報(bào)告。第四章 數(shù)據(jù)應(yīng)用與管理內(nèi)部控制第二十八條 數(shù)據(jù)應(yīng)用與管理風(fēng)險(xiǎn)是指在數(shù)據(jù)規(guī)劃、數(shù)據(jù)收集、數(shù)據(jù)管理、數(shù)據(jù)應(yīng)用過(guò)程中，由于不主動(dòng)提供數(shù)據(jù)、違規(guī)操作數(shù)據(jù)、越權(quán)使用數(shù)據(jù)、提供的數(shù)據(jù)不規(guī)范等原因，導(dǎo)致信息化數(shù)據(jù)分析利用和輔助決策能力弱化的可能性。其中，重大風(fēng)險(xiǎn)是指由于單位間信息不共享或不該共享的數(shù)據(jù)共享、數(shù)據(jù)不貫通等，導(dǎo)致相關(guān)單位無(wú)法正常開(kāi)展工作；或者由于數(shù)據(jù)失真、使用不當(dāng)，導(dǎo)致決策出現(xiàn)失誤；或者由于數(shù)據(jù)保管不當(dāng)、越權(quán)使用數(shù)據(jù)，導(dǎo)致數(shù)據(jù)丟失或信息泄漏。一般風(fēng)險(xiǎn)是指由于單位間信息未完全共享、數(shù)據(jù)未完全貫通，加重相關(guān)單位工作負(fù)擔(dān)，一定程度上影響工作

42、效率。第二十九條 數(shù)據(jù)應(yīng)用與管理遵循以下流程：（一）數(shù)據(jù)規(guī)劃。信息科會(huì)同各單位按照財(cái)政改革和發(fā)展需要，通過(guò)科學(xué)規(guī)劃和設(shè)計(jì)，建立面向?qū)嶋H財(cái)政業(yè)務(wù)的數(shù)據(jù)標(biāo)準(zhǔn)和信息資源目錄體系。（二）數(shù)據(jù)收集。按照各單位提出的數(shù)據(jù)收集需求，信息科收集財(cái)政業(yè)務(wù)管理需要的各類(lèi)數(shù)據(jù)并進(jìn)行集中管理。（三）數(shù)據(jù)管理。按照各單位提出的數(shù)據(jù)存儲(chǔ)需求，信息科對(duì)收集到的各類(lèi)數(shù)據(jù)進(jìn)行篩選、分類(lèi)、調(diào)整，并實(shí)現(xiàn)安全存儲(chǔ)、有效管理。（四）數(shù)據(jù)應(yīng)用。信息科對(duì)各單位提出數(shù)據(jù)應(yīng)用需求進(jìn)行技術(shù)實(shí)現(xiàn)，提供技術(shù)檢索、展現(xiàn)及分析工具。第三十條 數(shù)據(jù)應(yīng)用與管理風(fēng)險(xiǎn)主要體現(xiàn)在數(shù)據(jù)規(guī)劃、數(shù)據(jù)收集、數(shù)據(jù)管理和數(shù)據(jù)應(yīng)用等工作過(guò)程與環(huán)節(jié)。第三十一條 數(shù)據(jù)規(guī)劃的風(fēng)險(xiǎn)與

43、防控。（一）數(shù)據(jù)規(guī)劃流程：1信息科制定數(shù)據(jù)標(biāo)準(zhǔn)。2各科室、單位按照數(shù)據(jù)標(biāo)準(zhǔn)梳理業(yè)務(wù)數(shù)據(jù)，形成本單位信息資源目錄體系。3信息科審核匯總各科室、單位信息資源目錄體系，形成財(cái)政信息資源目錄體系。（二）數(shù)據(jù)規(guī)劃風(fēng)險(xiǎn)點(diǎn)：1缺少數(shù)據(jù)共享意識(shí)，不愿主動(dòng)提供數(shù)據(jù)，導(dǎo)致上下游業(yè)務(wù)運(yùn)行不暢，加重工作負(fù)擔(dān)，或造成輔助決策無(wú)數(shù)據(jù)可依。2數(shù)據(jù)共享失誤，將不能共享的數(shù)據(jù)進(jìn)行共享，或應(yīng)授權(quán)訪問(wèn)的信息未設(shè)防，導(dǎo)致信息泄漏，帶來(lái)重大安全隱患。3各科室、單位信息資源目錄體系不完整、不清晰，有關(guān)約定未遵循統(tǒng)一的數(shù)據(jù)標(biāo)準(zhǔn)，造成財(cái)政局信息資源目錄體系編制不科學(xué)、不合理，無(wú)法起到實(shí)際指導(dǎo)作用。（三）數(shù)據(jù)規(guī)劃風(fēng)險(xiǎn)事件類(lèi)型：風(fēng)險(xiǎn)類(lèi)型風(fēng)險(xiǎn)點(diǎn)風(fēng)

44、險(xiǎn)等級(jí)責(zé)任主體制度流程風(fēng)險(xiǎn)信息資源目錄體系不完整、不清晰、數(shù)據(jù)標(biāo)準(zhǔn)不統(tǒng)一、不完善一般信息科、各科室、單位崗位職責(zé)風(fēng)險(xiǎn)數(shù)據(jù)共享出現(xiàn)錯(cuò)誤，將不能共享的數(shù)據(jù)共享，造成重大泄密事件重大各科室、單位未明確數(shù)據(jù)可共享的范圍，造成泄密事件重大各科室、單位缺少數(shù)據(jù)共享意識(shí)，不愿主動(dòng)提供數(shù)據(jù)一般各科室、單位（四）數(shù)據(jù)規(guī)劃風(fēng)險(xiǎn)防控措施：1各科室、單位應(yīng)樹(shù)立數(shù)據(jù)共享意識(shí)，建立數(shù)據(jù)共享機(jī)制，視共享為常態(tài)、不共享為例外，主動(dòng)共享數(shù)據(jù)，并保證數(shù)據(jù)的真實(shí)、準(zhǔn)確、完整、及時(shí)。2信息科會(huì)同各科室、單位依據(jù)實(shí)際財(cái)政業(yè)務(wù)制定統(tǒng)一的數(shù)據(jù)標(biāo)準(zhǔn)，明確數(shù)據(jù)來(lái)源、類(lèi)型、層次、口徑、安全等級(jí)、用戶(hù)范圍、訪問(wèn)權(quán)限等信息。數(shù)據(jù)標(biāo)準(zhǔn)制定要科學(xué)合理，

45、涵蓋財(cái)政業(yè)務(wù)的各個(gè)方面，具有指導(dǎo)性和約束力。3各科室、單位按照統(tǒng)一的數(shù)據(jù)標(biāo)準(zhǔn)，結(jié)合自身業(yè)務(wù)發(fā)展規(guī)劃，梳理本單位的數(shù)據(jù)和從外部獲取的業(yè)務(wù)管理需要的數(shù)據(jù)，形成本單位信息資源目錄體系。信息資源目錄體系經(jīng)單位負(fù)責(zé)人審批并蓋章后提交信息科。4信息科綜合各科室、單位信息資源目錄體系，統(tǒng)籌規(guī)劃，科學(xué)分析，研究制定財(cái)政局信息資源目錄體系。5各科室、單位根據(jù)工作需要及時(shí)更新本單位信息資源目錄體系，并提交信息科。信息科按照各科室、單位信息資源目錄體系變更情況修改完善財(cái)政局信息資源目錄體系，確保數(shù)據(jù)信息真實(shí)、準(zhǔn)確、完整、及時(shí)。第三十二條 數(shù)據(jù)收集的風(fēng)險(xiǎn)與防控。（一）數(shù)據(jù)收集流程：1各科室、單位提出數(shù)據(jù)收集需求。2信

46、息科按照數(shù)據(jù)收集需求收集數(shù)據(jù)，并將收集結(jié)果反饋相關(guān)單位。（二）數(shù)據(jù)收集風(fēng)險(xiǎn)點(diǎn)：1各科室、單位不結(jié)合本職工作實(shí)際，不主動(dòng)溝通協(xié)調(diào)獲取外部部門(mén)或單位數(shù)據(jù)，導(dǎo)致信息不對(duì)稱(chēng)、精細(xì)化管理弱化。2各科室、單位對(duì)內(nèi)分享數(shù)據(jù)，只提供短期或臨時(shí)數(shù)據(jù)，分享數(shù)據(jù)缺乏持續(xù)性，導(dǎo)致數(shù)據(jù)斷層、斷檔，影響他人決策使用。3從外部搜集數(shù)據(jù)時(shí)，由于溝通協(xié)調(diào)不夠，無(wú)法獲取所需要的數(shù)據(jù)，導(dǎo)致數(shù)據(jù)不全。（三）數(shù)據(jù)收集風(fēng)險(xiǎn)事件類(lèi)型：風(fēng)險(xiǎn)類(lèi)型風(fēng)險(xiǎn)點(diǎn)風(fēng)險(xiǎn)等級(jí)責(zé)任主體制度流程風(fēng)險(xiǎn)各科室、單位只提供短期或臨時(shí)數(shù)據(jù)，分享數(shù)據(jù)缺乏持續(xù)性一般各科室、單位風(fēng)險(xiǎn)類(lèi)型風(fēng)險(xiǎn)點(diǎn)風(fēng)險(xiǎn)等級(jí)責(zé)任主體制度流程風(fēng)險(xiǎn)收集數(shù)據(jù)時(shí)，技術(shù)實(shí)現(xiàn)和服務(wù)保障執(zhí)行不到位一般信息科崗位職

47、責(zé)風(fēng)險(xiǎn)未按數(shù)據(jù)規(guī)劃提出數(shù)據(jù)收集需求一般各科室、單位收集數(shù)據(jù)時(shí)，相關(guān)單位未協(xié)調(diào)配合一般各科室、單位外部風(fēng)險(xiǎn)由于溝通協(xié)調(diào)不夠，外部單位不愿意提供數(shù)據(jù)一般各科室、單位（四）數(shù)據(jù)收集風(fēng)險(xiǎn)防控措施：1各科室、單位嚴(yán)格按照數(shù)據(jù)規(guī)劃，結(jié)合實(shí)際工作需要，提出數(shù)據(jù)收集需求，數(shù)據(jù)收集需求經(jīng)單位負(fù)責(zé)人審批并蓋章后提交信息科。數(shù)據(jù)收集需求涉及多個(gè)單位時(shí)，應(yīng)明確牽頭單位，需求確定如存在爭(zhēng)議，應(yīng)提請(qǐng)信息科研究解決。2信息科根據(jù)各科室、單位提出的數(shù)據(jù)收集需求，分析整理，統(tǒng)籌安排，開(kāi)展數(shù)據(jù)收集工作，并做好技術(shù)實(shí)現(xiàn)和服務(wù)保障。3各科室、單位應(yīng)主動(dòng)公開(kāi)、共享業(yè)務(wù)數(shù)據(jù)，做到及時(shí)更新和長(zhǎng)期輸出，并配合信息科做好數(shù)據(jù)收集工作。4信息科

48、從局外單位收集數(shù)據(jù)時(shí)，各科室、單位應(yīng)主動(dòng)協(xié)調(diào)配合，推進(jìn)收集工作開(kāi)展。第三十三條 數(shù)據(jù)管理的風(fēng)險(xiǎn)與防控。（一）數(shù)據(jù)管理流程：1各科室、單位提出數(shù)據(jù)規(guī)范存儲(chǔ)需求。2信息科按照各科室、單位數(shù)據(jù)存儲(chǔ)需求處理并存儲(chǔ)數(shù)據(jù)，并將處理結(jié)果反饋相關(guān)單位。（二）數(shù)據(jù)管理風(fēng)險(xiǎn)點(diǎn)：1缺少有效的數(shù)據(jù)管理機(jī)制，如授權(quán)機(jī)制、查詢(xún)機(jī)制，造成數(shù)據(jù)管理混亂，存儲(chǔ)無(wú)序。 2存檔入庫(kù)數(shù)據(jù)未經(jīng)分類(lèi)處理及必要的清洗，導(dǎo)致數(shù)據(jù)冗余或口徑不對(duì)、降低數(shù)據(jù)使用效率。3未按安全等級(jí)分類(lèi)存儲(chǔ)數(shù)據(jù)，如在業(yè)務(wù)專(zhuān)網(wǎng)上承載涉密數(shù)據(jù)，導(dǎo)致重大信息安全隱患。4未建立數(shù)據(jù)備份與恢復(fù)機(jī)制，導(dǎo)致數(shù)據(jù)丟失。5利用數(shù)據(jù)管理之便，竊取財(cái)政信息，謀取私利，引發(fā)廉政風(fēng)險(xiǎn)。（三

49、）數(shù)據(jù)管理風(fēng)險(xiǎn)事件類(lèi)型：風(fēng)險(xiǎn)類(lèi)型風(fēng)險(xiǎn)點(diǎn)風(fēng)險(xiǎn)等級(jí)責(zé)任主體制度流程風(fēng)險(xiǎn)未按安全等級(jí)分類(lèi)存儲(chǔ)數(shù)據(jù)，造成失密事故重大各科室、單位未建立數(shù)據(jù)備份與恢復(fù)機(jī)制，導(dǎo)致數(shù)據(jù)丟失重大各科室、單位缺少有效的數(shù)據(jù)管理機(jī)制一般各科室、單位崗位職責(zé)風(fēng)險(xiǎn)存檔入庫(kù)數(shù)據(jù)未經(jīng)分類(lèi)處理及必要的清洗一般各科室、單位數(shù)據(jù)未經(jīng)分類(lèi)便存檔入庫(kù)一般各科室、單位廉政風(fēng)險(xiǎn)利用數(shù)據(jù)管理之便，竊取財(cái)政信息，謀取私利重大各科室、單位（四）數(shù)據(jù)管理風(fēng)險(xiǎn)防控措施：1信息科建立規(guī)范的數(shù)據(jù)管理機(jī)制，加強(qiáng)使用授權(quán)，優(yōu)化存儲(chǔ)查詢(xún)，確保數(shù)據(jù)的規(guī)范性和準(zhǔn)確性。2各單位根據(jù)業(yè)務(wù)實(shí)際，提出數(shù)據(jù)存儲(chǔ)需求，明確數(shù)據(jù)存儲(chǔ)數(shù)量、時(shí)間和訪問(wèn)權(quán)限等，經(jīng)單位負(fù)責(zé)人審批并蓋章后提交信息

50、科。3信息科對(duì)收到的數(shù)據(jù)存儲(chǔ)需求進(jìn)行分析，對(duì)不符合標(biāo)準(zhǔn)規(guī)范的，退回需求單位修改完善后重新提交。對(duì)符合標(biāo)準(zhǔn)規(guī)范的，通過(guò)篩選、分類(lèi)、調(diào)整等處理程序，剔除冗余、補(bǔ)充遺漏，完成數(shù)據(jù)存儲(chǔ)。4信息科按照安全保密措施妥善保管數(shù)據(jù)，建立目錄索引，控制訪問(wèn)權(quán)限，確保數(shù)據(jù)安全。第三十四條 數(shù)據(jù)應(yīng)用的風(fēng)險(xiǎn)與防控。（一）數(shù)據(jù)應(yīng)用流程：1各單位提出數(shù)據(jù)應(yīng)用需求。2信息科綜合分析應(yīng)用需求，實(shí)現(xiàn)數(shù)據(jù)應(yīng)用。（二）數(shù)據(jù)應(yīng)用風(fēng)險(xiǎn)點(diǎn)：1共享數(shù)據(jù)不可用或可用性不強(qiáng)，無(wú)法達(dá)到預(yù)期使用效果，增加了數(shù)據(jù)綜合利用的難度，不利于業(yè)務(wù)管理水平提高。2數(shù)據(jù)引用不正確，造成決策分析失誤。3在數(shù)據(jù)復(fù)制轉(zhuǎn)移過(guò)程中，未遵照保密規(guī)定進(jìn)行違規(guī)操作，造成信息泄

51、漏等重大風(fēng)險(xiǎn)。4利用數(shù)據(jù)應(yīng)用的機(jī)會(huì)，蓄意竊取財(cái)政信息，謀取私利，存在廉政風(fēng)險(xiǎn)。（三）數(shù)據(jù)應(yīng)用風(fēng)險(xiǎn)事件類(lèi)型：風(fēng)險(xiǎn)類(lèi)型風(fēng)險(xiǎn)點(diǎn)風(fēng)險(xiǎn)等級(jí)責(zé)任主體制度流程風(fēng)險(xiǎn)數(shù)據(jù)使用授權(quán)不正確，發(fā)生泄密事件重大各科室、單位共享數(shù)據(jù)不可用或可用性不強(qiáng)一般各科室、單位崗位職責(zé)風(fēng)險(xiǎn)在數(shù)據(jù)復(fù)制轉(zhuǎn)換過(guò)程中，未遵照保密規(guī)定進(jìn)行違規(guī)操作，發(fā)生泄密事件重大各科室、單位數(shù)據(jù)引用不合理、使用不正確一般各科室、單位廉政風(fēng)險(xiǎn)蓄意竊取數(shù)據(jù)，謀取私利重大各科室、單位（四）數(shù)據(jù)應(yīng)用風(fēng)險(xiǎn)防控措施：1信息科建立規(guī)范的數(shù)據(jù)應(yīng)用機(jī)制，加強(qiáng)權(quán)限管理，實(shí)現(xiàn)流程控制，確保數(shù)據(jù)真實(shí)、準(zhǔn)確、完整、及時(shí)。2各科室、單位根據(jù)工作實(shí)際，提出數(shù)據(jù)應(yīng)用需求，明確數(shù)據(jù)類(lèi)型、層次

52、及口徑，并說(shuō)明應(yīng)用范圍和具體用途。數(shù)據(jù)應(yīng)用需求經(jīng)單位負(fù)責(zé)人審批并蓋章后提交信息科。3信息科對(duì)收到的數(shù)據(jù)應(yīng)用需求進(jìn)行分析，對(duì)不符合標(biāo)準(zhǔn)規(guī)范的，退回需求單位修改完善后重新提交。對(duì)符合標(biāo)準(zhǔn)規(guī)范的，做好數(shù)據(jù)準(zhǔn)備，明確數(shù)據(jù)來(lái)源，核對(duì)數(shù)據(jù)口徑，設(shè)計(jì)應(yīng)用規(guī)則，進(jìn)行數(shù)據(jù)使用授權(quán)，實(shí)現(xiàn)數(shù)據(jù)應(yīng)用。4各科室、單位嚴(yán)格按照授權(quán)使用數(shù)據(jù)，并將使用情況和效果反饋信息科。5各科室、單位在數(shù)據(jù)復(fù)制轉(zhuǎn)移過(guò)程中，要嚴(yán)格執(zhí)行有關(guān)保密規(guī)定，實(shí)現(xiàn)操作過(guò)程留痕、責(zé)任可追溯，最大限度減少人為操縱風(fēng)險(xiǎn)。第五章 信息系統(tǒng)安全管理內(nèi)部控制第三十五條 信息系統(tǒng)安全風(fēng)險(xiǎn)是指在信息系統(tǒng)建設(shè)、應(yīng)用與運(yùn)行維護(hù)過(guò)程中，由于管理制度不健全、信息安全意識(shí)淡薄、

53、安全防護(hù)技術(shù)或管理措施不到位，導(dǎo)致系統(tǒng)權(quán)限被冒用，存在重要信息泄漏、篡改的可能性；或信息系統(tǒng)自身抵御外部攻擊能力不強(qiáng)，突發(fā)事件處理機(jī)制不到位，造成信息系統(tǒng)癱瘓、業(yè)務(wù)中斷、數(shù)據(jù)丟失等可能性。其中，重大風(fēng)險(xiǎn)是指因技術(shù)防護(hù)措施或管理嚴(yán)重缺失導(dǎo)致業(yè)務(wù)系統(tǒng)長(zhǎng)時(shí)間無(wú)法恢復(fù)，涉密、敏感信息泄漏、丟失，系統(tǒng)癱瘓、業(yè)務(wù)中斷等安全事件發(fā)生，對(duì)國(guó)家安全、財(cái)政業(yè)務(wù)開(kāi)展造成較大損失。一般風(fēng)險(xiǎn)是指因安全防護(hù)技術(shù)措施或管理制度不到位導(dǎo)致一般信息泄漏、系統(tǒng)暫停運(yùn)行等安全事件發(fā)生，對(duì)財(cái)政業(yè)務(wù)開(kāi)展造成影響和一定損失。第三十六條 信息系統(tǒng)安全管理風(fēng)險(xiǎn)主要體現(xiàn)信息系統(tǒng)建設(shè)安全管理、信息系統(tǒng)運(yùn)行安全管理、信息系統(tǒng)運(yùn)維安全管理、信息系統(tǒng)

54、應(yīng)用安全管理、信息系統(tǒng)安全審計(jì)管理、信息系統(tǒng)災(zāi)備與應(yīng)急管理等方面。第三十七條 信息系統(tǒng)建設(shè)安全管理風(fēng)險(xiǎn)與防控。（一）信息系統(tǒng)建設(shè)安全管理風(fēng)險(xiǎn)點(diǎn)：1信息系統(tǒng)建設(shè)安全管理制度不完善，安全責(zé)任主體不明確，出現(xiàn)安全與管理越位或缺位，安全管理、安全檢查缺失，安全技術(shù)標(biāo)準(zhǔn)執(zhí)行混亂或執(zhí)行不力。2信息系統(tǒng)建設(shè)安全管理制度和安全技術(shù)標(biāo)準(zhǔn)執(zhí)行不嚴(yán)，安全管理責(zé)任沒(méi)有落實(shí)或落實(shí)不到位，導(dǎo)致出現(xiàn)安全風(fēng)險(xiǎn)。3信息系統(tǒng)立項(xiàng)時(shí)，各科室、單位未提出安全保密需求或安全需求不明確，未確定信息系統(tǒng)安全等級(jí)保護(hù)級(jí)別；系統(tǒng)建設(shè)時(shí)，缺乏安全設(shè)計(jì)或安全設(shè)計(jì)不完善，存在安全隱患或漏洞。4信息系統(tǒng)安全教育和培訓(xùn)不足，信息安全意識(shí)欠缺，導(dǎo)致在系統(tǒng)建設(shè)時(shí)安全考慮不足。（二）信息系統(tǒng)建設(shè)安全管理風(fēng)險(xiǎn)事件類(lèi)型：風(fēng)險(xiǎn)類(lèi)型風(fēng)險(xiǎn)點(diǎn)風(fēng)險(xiǎn)等級(jí)責(zé)任主體制度流程風(fēng)險(xiǎn)系統(tǒng)正式運(yùn)行前未按分級(jí)保護(hù)或等級(jí)保護(hù)相關(guān)要求對(duì)信息系統(tǒng)進(jìn)行安全定級(jí)、檢測(cè)和測(cè)評(píng)重大信息科、辦公室各科室、單位之間信息系統(tǒng)安全建設(shè)與管理的責(zé)任主體不明確重大各科室、單位信息系統(tǒng)安全建設(shè)和管理制度不完善一般信息科、辦公室崗位職責(zé)風(fēng)險(xiǎn)系統(tǒng)建設(shè)前未