益阳市财政局信息系统管理风险防控办法(试行(DOC47页)45031174255.doc

《益阳市财政局信息系统管理风险防控办法(试行(DOC47页)45031174255.doc》由会员分享，可在线阅读，更多相关《益阳市财政局信息系统管理风险防控办法(试行(DOC47页)45031174255.doc（59页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Evaluation Warning: The document was created with Spire.Doc for .NET.附件7：益阳市财政政局信息系系统管理风风险防控办办法（试行行）第一章 总则第一条 为加强信信息系统管管理内部控控制，有效效防控财政政信息系统统管理风险险，提高信信息系统建建设与管理理的规范性性、科学性性和信息化化对财政业业务管理的的支撑与流流程控制能能力，根据据益阳市财财政局信息息化建设管管理相关制制度和益益阳市财政政局内部控控制基本制制度有关关规定，结结合工作实实际，制定定本办法。第二条 本办法所所称信息系系统管理风风险是指在在信息系统统建设和运运行维护过

2、过程中，未未完全遵循循信息化建建设制度、规规划和标准准或安全措措施不到位位、运行维维护不规范范，导致系系统碎片化化、系统故故障、数据据丢失、信信息泄露、信信息化辅助助管理决策策能力弱化化的可能性性。第三条 信息系统统建设坚持持归口管理理，实行统统筹规划、统统一建设，从从财政改革革发展的全全局出发，协协调配合、分分工合作、整整合资源、实实现一体化化，同时，强强化流程控控制，将业业务流程固固化在业务务生产系统统和办公自自动化系统统中，健全全信息系统统预警机制制，加强风风险揭示和和自动控制制，发挥信信息化建设设对财政业业务管理和和辅助决策策的支撑与与促进作用用。第四条 信息系统统管理风险险主要包括括

3、信息系统统建设管理理风险、流流程控制风风险、数据据应用与管管理风险和和信息安全全风险四个个方面。根根据风险事事件的情节节轻重、影影响范围和和程度，分分为重大风风险和一般般风险两个个等级；按按照风险来来源和性质质，分为制制度流程风风险、岗位位职责风险险、廉政风风险和外部部风险四种种类型。重大风险：是指发生生的风险事事件对信息息系统管理理产生重大大负面影响响，或者严严重损害国国家或部门门利益的可可能性。一般风险：是指发生生的风险事事件对信息息系统管理理产生一定定的负面影影响，或者者对国家或或部门利益益造成一定定损失的可可能性。制度流程风风险：是指指由于缺乏乏信息系统统管理制度度流程规定定，或制度度

4、流程设计计不合理、执执行不到位位，导致信信息系统管管理不规范范、不科学学的可能性性。岗位职责风风险：是指指由于岗位位职责设定定不明确、授授权管理不不到位，或或履行岗位位职责不作作为、违背背制度流程程乱作为，导导致信息系系统管理不不规范，影影响工作质质量与进度度的可能性性。廉政风险：是指信息息系统建设设管理人员员凭借手中中的权力，利利用工作之之便在信息息系统管理理工作中违违反廉政规规定谋求私私利的可能能性。外部风险：是指因外外部客观环环境发生重重大变化或或外部信息息不真实、不不准确，或或者信息系系统建设管管理的外部部参与单位位履行职责责不到位，导导致信息系系统建设管管理不规范范、影响工工作质量与

5、与进度的可可能性。第五条 信息系统统管理风险险内部控制制的目标是是，综合运运用信息化化建设管理理制度、标标准规范和和内部控制制方法，将将信息系统统管理风险险防控措施施贯穿于信信息系统建建设、管理理与应用全全过程，对对信息系统统建设、管管理和应用用进行全程程控制；将将内控理念念和控制活活动、措施施嵌入信息息系统，对对业务流程程运行进行行实时监控控，最大限限度减少人人为操纵因因素，确保保系统运行行协同、业业务流程固固化、业务务管理衔接接以及信息息共享、数数据安全。第六条 本办法适适用于局内内各科室、单单位。第七条 信息系统统管理风险险内部控制制职责分工工： （一）内部部控制委员员会（以下下简称内控

6、控委）负责责审定信息息系统管理理内部控制制政策制度度，审定信信息系统管管理风险事事件定级和和责任追究究建议，提提出加强和和改进措施施。（二）内部部控制委员员会办公室室（以下简简称内控办办）负责组组织对信息息系统管理理内部控制制制度进行行有效性检检查、考核核和评价，组组织对信息息系统管理理风险事件件进行调查查，研究提提出处理意意见并向内内控委报告告。督促落落实内控委委决定，定定期通报信信息系统管管理内部控控制制度执执行情况及及重大风险险事件。（三）信息息科负责信信息系统管管理内部控控制的组织织实施，及及时发现信信息系统管管理风险防防控中存在在的问题，提提示有关单单位，并向向内控办报报告。定期期向

7、内控办办报送信息息系统管理理风险防控控情况。（四）各科科室、单位位对本单位位的信息系系统管理的的重点业务务环节实施施持续、有有效的风险险防控，及及时向内控控办和信息息科报告本本单位信息息系统管理理风险防控控及异常情情况，积极极协助专项项检查和调调查。第八条 信息系统统管理风险险事件发生生后，各单单位应在第第一时间报报告内控办办和信息科科。信息科科会同有关关单位及时时采取应对对措施，最最大程度避避免或减少少负面影响响；在分清清责任的基基础上，深深入查找风风险事件发发生的原因因，提出解解决方案、风风险定级和和责任追究究建议，向向内控办报报告，并有有针对性地地制定或完完善制度措措施。第九条 各科室、

8、单单位及其干干部职工执执行本办法法的情况纳纳入考核指指标体系。第二章 信息系统统建设管理理内部控制制第十条 信息系统统建设管理理风险是指指信息系统统建设未遵遵循财政信信息化建设设归口管理理要求、一一体化指导导思想和信信息化建设设相关制度度、标准规规范，导致致信息系统统建设脱离离统筹规划划、过程管管理不规范范、标准不不统一、信信息不共享享、业务不不协同，造造成流程固固化与控制制能力弱化化，影响信信息系统在在财政管理理中的整体体效用。其中，重大大风险是指指因违背财财政信息化化建设归口口管理要求求，不执行行财政信息息化建设规规划和年度度计划，擅擅自开发、推推广信息系系统，导致致信息系统统重复建设设、

9、碎片化化；或因业业务需求不不细化、流流程不清晰晰，导致信信息系统功功能与性能能严重缺失失，未能有有效支撑财财政管理和和流程管控控，影响财财政发展与与改革及信信息化一体体化建设效效果，造成成较大负面面影响。一般风险是是指执行归归口管理的的某些环节节不到位，导导致系统功功能与性能能不完善、运运维响应不不及时等情情况，一定定程度上影影响信息系系统建设和和应用，对对业务工作作的正常开开展带来一一定的负面面影响。第十一条 信息系统统建设管理理应遵循以以下工作流流程：（一）总体体规划。信信息科根据据国家和省省信息化发发展方针政政策、财政政改革与事事业发展要要求，结合合工作实际际，研究拟拟定财政信信息化建设

10、设总体规划划，经局信信息化工作作领导小组组办公室（以以下简称“信息科”）审议后后报局信息息化工作领领导小组审审批。（二）年度度计划。各各科室、单单位根据财财政信息化化建设总体体规划，结结合本部门门业务管理理需要，编编制年度财财政信息化化建设项目目需求建议议书报信息息科；信息息科汇总并并组织审核核项目申报报计划，编编制年度项项目计划；报请信息息化领导小小组审批。（三）政府府采购。信信息科根据据项目建设设计划和进进度安排，编编制采购文文件，组织织开展政府府采购工作作。（四）建设设实施。信信息科组织织开展需求求调研、系系统设计、开开发、测试试、试运行行、验收、实实施等工作作，并组织织做好信息息系统建

11、设设与实施过过程的监督督管理；各各单位配合合做好相关关工作。（五）运维维管理。信信息科统一一组织开展展各信息系系统的运行行维护管理理。第十二条 信息系统统建设管理理风险主要要体现在归归口管理、总总体建设规规划、年度度项目计划划、政府采采购、设计计开发、验验收管理、组组织实施、运运行维护等等过程或环环节。第十三条 归口管理理的风险与与防控。（一）归口口管理风险险点：1各科室室、单位自自行组织信信息系统建建设与实施施，导致信信息系统建建设碎片化化、标准不不统一、业业务不衔接接、信息不不共享，影影响信息系系统一体化化建设。2未建立立财政信息息化建设联联席会议制制度，导致致信息系统统建设中的的技术与业

12、业务脱节，影影响系统建建设质量。3各科室室、单位不不执行财政政信息化建建设联席会会议及信息息科专题会会议决议，或或执行不到到位，导致致信息系统统建设进度度滞后、成成果不符合合会议决议议要求。4各科室室、单位未未按规定履履行会商、会会签、审批批程序，自自行印发信信息系统建建设和推广广实施相关关工作文件件，导致信信息系统建建设与实施施政出多门门、多头管管理。（二）归口口管理风险险事件类型型：风险类型风险点风险等级责任主体制度流程风险自行组织信信息系统建建设与实施施，造成系系统碎片化化重大各科室、单单位自行印发信信息系统建建设与推广广实施相关关文件，造造成系统建建设多头管管理重大各科室、单单位未建立

13、财政政信息化建建设联席会会议制度一般局领导、信信息科信息化重大大问题不进进行集体研研究重大局领导、各各科室、单单位财政信息化化重大问题题集体研究究制度执行行不到位一般各科室、单单位岗位职责风险不执行或选选择性执行行财政信息息化工作联联席会议和和信息科专专题会议决决议，造成成系统建设设进度滞后后重大各科室、单单位（三）归口口管理风险险防控措施施：1各科室室、单位在在信息系统统建设工作作中，负责责提出详细细业务需求求，配合信信息科开展展系统需求求调研、测测试验收、组组织实施等等工作中的的业务协调调，不得自自行组织信信息系统建建设与实施施。2信息科科综合分析析各科室、单单位提出的的业务需求求，根据总

14、总体建设规规划，研究究提出信息息系统建设设计划，统统一组织信信息系统设设计开发、推推广实施与与运维管理理。3建立完完善财政信信息化建设设联席会议议制度，加加强技术与与业务部门门的配合。4各科室室、单位严严格执行财财政信息化化工作联席席会议制度度和重大问问题集体研研究制度，严严格落实会会议决议，重重大问题提提请信息科科研究，必必要时上报报信息化工工作领导小小组。5各科室室、单位按按规定履行行会商、会会签、审批批程序后，方方可印发信信息系统建建设与推广广实施相关关工作文件件。第十四条 总体建设设规划的风风险与防控控。（一）总体体建设规划划风险点：1财政信信息化总体体建设规划划缺失，导导致信息系系统

15、建设缺缺乏统筹安安排，出现现分散建设设和随意建建设情况。2各科室室、单位自自行制定并并执行本科科室、单位位业务管理理信息化规规划，导致致与总体建建设规划和和一体化建建设要求不不相容甚至至相悖。3各科室室、单位执执行总体建建设规划不不严格，过过分强调特特殊性和独独立性，要要求一项业业务建立一一个系统，导导致业务分分割、重复复建设、系系统孤立和和信息孤岛岛。（二）总体体建设规划划风险事件件类型：风险类型风险点风险等级责任主体制度流程风险财政信息化化总体建设设规划缺失失，导致出出现分散、随随意建设的的情况重大局领导、各各科室、单单位各单位自行行制定并执执行本单位位业务管理理信息化规规划重大各科室、单

16、单位信息系统总总体建设规规划未完全全覆盖业务务管理需求求一般各科室、单单位岗位职责风险未严格执行行信息系统统总体建设设规划一般各科室、单单位（三）总体体建设规划划风险防控控措施：1加强财财政信息化化总体建设设规划的研研究，既立立足解决当当前业务管管理需求，更更着眼于国国家信息化化发展方针针政策和财财政改革发发展要求，增增强规划的的前瞻性、科科学性和持持续有效性性。2各科室室、单位结结合财政改改革发展要要求，及时时向信息科科提供业务务管理规划划相关资料料，确保总总体建设规规划能充分分体现各单单位业务改改革的推进进要求。3各科室室、单位不不得自行制制定、执行行本单位业业务管理信信息系统建建设规划，

17、应应配合信息息科将本单单位业务管管理需求全全部纳入总总体建设规规划。4信息系系统建设应应严格执行行总体建设设规划（上上级部门要要求的紧急急业务事项项除外），各各单位依据据总体建设设规划提出出年度信息息化建设业业务需求；信息科依依据总体建建设规划综综合分析业业务需求，提提出信息系系统项目立立项并组织织建设。第十五条 年度项目目计划的风风险与防控控。（一）年度度项目计划划编制工作作流程：1各科室室、单位提提出信息化化建设项目目业务需求求建议书。2信息科科汇总并审审核信息化化建设项目目申报计划划，编制年年度项目计计划。3局信息息化领导小小组审批年年度项目计计划。（二）年度度项目计划划风险点：1各科室

18、室、单位提提出的业务务需求不详详细，业务务流程不清清晰，或未未对本单位位相近、类类似的业务务需求进行行归类整理理，导致年年度项目计计划编制的的业务依据据不充分，影影响年度项项目计划的的科学性和和合理性。2信息科科对业务需需求和立项项申请审核核不严格，信信息科审批批年度项目目计划不严严格，导致致年度项目目计划不合合理。3年度项项目计划执执行不严格格，在计划划外开展信信息系统建建设，影响响信息系统统的统筹管管理和一体体化推进。（三）年度度项目计划划编制和执执行风险事事件类型：风险类型风险点风险等级责任主体制度流程风险信息化项目目审批依据据不全面一般局信息化领领导小组、信信息科岗位职责风险在年度项目

19、目计划外开开展信息系系统建设，影影响信息系系统的统筹筹管理和一一体化推进进重大各科室、单单位提出的业务务需求不完完整、不具具体，业务务流程不清清晰一般各科室、单单位岗位职责风险对业务需求求研究不充充分，导致致提出的立立项申请不不合理一般各科室、单单位项目经费测测算不合理理一般相关科室、单单位、信息息科岗位职责风险业务需求和和立项申请请审核不严严格一般信息科未对重大财财政信息化化项目进行行专家评审审论证一般相关科室、单单位、信息息科未对本单位位业务需求求进行归类类整理，类类似需求重重复申报一般各科室、单单位未综合审核核意见和专专家评审论论证意见，导导致信息化化年度项目目计划的编编制不合理理一般信

20、息科年度项目计计划审批不不严格一般局信息化领领导小组、信信息科（四）年度度项目计划划风险防控控措施：1各科室室、单位提提出信息系系统建设的的详细业务务需求，清清晰设定业业务流程，对对本单位相相近、类似似的业务需需求进行归归类申报，经经单位负责责人审批并并盖章后提提交信息科科；业务需需求涉及多多个单位的的，应明确确一个牵头头单位，业业务需求的的确定如存存在争议，应应提请信息息科研究；信息科综综合分析业业务需求，结结合总体建建设规划和和信息系统统建设成果果，按照一一体化建设设要求整合合需求，确确定合理的的需求实现现方式，确确立建设项项目并提出出立项申请请。2信息科科健全信息息系统立项项审批流程程，

21、明确立立项审批依依据和立项项条件。3信息系系统立项实实行专家评评审机制，重重大项目须须进行评审审论证。4信息科科严格按照照批准的年年度项目计计划组织开开展信息系系统建设，不不得在年度度项目计划划外开展信信息系统建建设。第十六条 政府采购购的风险与与防控。（一）政府府采购流程程：1信息科科编制项目目政府采购购文件。2相关单单位审核确确认采购文文件中的业业务内容。3信息科科会同纪检检监察、相相关科室、单单位组织开开展政府采采购。（二）政府府采购风险险点：1.采购文文件编制不不规范，采采购需求不不清晰、不不具体，导导致投标单单位不能准准确理解信信息系统建建设任务与与要求或无无法准确估估算建设成成本，

22、造成成无法采购购到合格的的承建单位位。2.采购文文件在对承承建单位的的资质要求求和评标标标准等方面面具有不合合理的倾向向性内容，存存在廉政风风险隐患。3.信息系系统升级改改造的采购购文件编制制不合理，造造成承建单单位频繁更更换，无法法保证系统统架构、功功能与性能能设计的延延续性，甚甚至可能推推翻原有系系统。4.采购参参与人员不不遵守政府府采购管理理规定，与与供应商或或采购代理理机构恶意意串通，泄泄漏采购相相关信息或或干预采购购过程、向向评标专家家施加影响响，导致采采购结果无无法达到公公平、公正正要求，并并引发廉政政风险。（三）政府府采购风险险事件类型型：风险类型风险点风险等级责任主体制度流程风

23、险信息系统升升级改造的的采购文件件编制不合合理，造成成承建单位位频繁更换换一般各科室、单单位岗位职责风险未进行政府府采购组织织信息系统统建设重大各科室、单单位政府采购文文件编制不不规范，采采购需求不不清晰、不不具体，导导致无法采采购到合适适的承建单单位一般信息科、各各科室、单单位采购过程中中未按规定定邀请有关关部门监督督一般信息科廉政风险采购过程中中，未依法法、依规、依依程序，有有失公开、公公平、公正正重大各科室、单单位（四）政府府采购风险险防控措施施：1信息科科负责编制制采购文件件，相关单单位及时提提供相关业业务材料，审审核业务内内容是否全全面、准确确。2采购文文件内容应应清晰具体体，确保投

24、投标单位能能准确理解解业务需求求和技术要要求；在承承建单位资资质要求、评评标标准等等方面不得得含有倾向向性内容。3各科室室、单位认认真编制信信息系统升升级改造需需求，信息息科根据升升级改造需需求合理编编制采购文文件，避免免承建单位位的频繁更更换。4参与采采购人员必必须严格遵遵守相关规规定，不得得发表任何何可能影响响专家评审审的言论，现现场发言仅仅限于对业业务需求和和技术要求求的释疑。第十七条 设计开发发的风险与与防控。（一）信息息系统设计计开发流程程：1调研业业务需求和和编制业务务需求方案案。2业务需需求评审。3编制技技术设计方方案，包括括概要设计计、详细设设计、数据据库设计等等。4技术设设计

25、方案评评审。5程序开开发。6测试与与修改完善善。（二）信息息系统设计计开发风险险点：1相关科科室、单位位未提供信信息系统建建设所需的的业务资料料，或不积积极回应需需求调研中中的问题，导导致需求调调研不充分分，业务需需求方案编编制不完善善，无法全全面、准确确反映业务务管理要求求。2编制系系统升级改改造项目的的业务需求求时，未考考虑与原有有信息系统统业务功能能的延续性性，导致对对原有信息息系统的颠颠覆性改造造，甚至完完全推翻重重建，导致致工期延长长、信息系系统建设质质量降低、投投资浪费。3未按规规定进行需需求和设计计方案评审审，或评审审组织不严严格、不规规范，导致致信息系统统功能和性性能设计达达不

26、到预期期要求。4信息系系统设计开开发未严格格执行财政政信息化建建设标准规规范，导致致与其他信信息系统之之间无法通通畅交换数数据和共享享信息，形形成信息孤孤岛。5信息系系统测试用用例设计覆覆盖面不全全，测试不不严格，无无法充分测测试系统各各流程、各各环节，导导致信息系系统功能与与性能隐藏藏缺陷，影影响稳定运运行。6相关科科室、单位位缺乏对需需求的全局局考虑，导导致在信息息系统建设设过程中频频繁增加或或变更业务务需求，变变更程序不不规范，严严重影响信信息系统建建设质量，甚甚至颠覆原原系统设计计。（三）信息息系统设计计开发风险险事件类型型：风险类型风险点风险等级责任主体制度流程风险系统设计开开发未遵

27、循循信息化建建设管理标标准规范一般信息科升级改造项项目业务需需求未考虑虑与原有系系统业务功功能的延续续一般相关科室、单单位岗位职责风险未提供系统统建设所需需的业务资资料一般各科室、单单位未按规定进进行需求和和设计方案案评审或评评审组织不不严格、不不规范一般信息科未认真进行行业务需求求调研，调调研内容不不充分一般相关科室、单单位需求变更的的提出较随随意一般各科室、单单位未认真分析析研究变更更需求，提提出的处理理意见不合合理一般各科室、信信息科各科室、单单位配合不不到位，导导致系统建建设进度严严重滞后一般各科室、单单位未按测试方方案进行测测试一般信息科系统测试方方案不规范范，用例设设计覆盖面面不全

28、一般各科室、信信息科（四）信息息系统设计计开发风险险防控措施施：1信息系系统设计开开发应严格格遵循财政政信息化建建设管理相相关规定和和标准规范范。2建立健健全信息系系统建设协协调机制，在在业务需求求调研、设设计开发等等工作中，加加强业务与与技术部门门间的沟通通配合。3信息系系统升级改改造业务需需求的提出出，应充分分延续系统统已有功能能，升级改改造需求应应明确说明明哪些是对对原有业务务管理的调调整，哪些些是新增业业务需求。4严格控控制业务需需求变更。在在信息系统统建设过程程中如出现现需求变更更情况，相相关单位应应提出书面面申请，经经单位负责责人审批后后提交信息息科；信息息科组织相相关单位和和承建

29、单位位对变更需需求进行分分析研究，提提出处理意意见。5加强信信息系统设设计开发的的过程管理理，可采购购有资质的的监理单位位进行监督督检查，相相关单位要要配合开展展相关工作作。第十八条 验收管理理的风险与与防控。（一）信息息系统验收收管理流程程：1承建单单位向信息息科提出验验收申请。2信息科科组织对信信息系统验验收条件进进行审查，制制定验收方方案。3信息科科组建专家家组进行系系统验收，相相关单位派派人参加。4验收专专家组提出出验收意见见。（二）信息息系统验收收管理风险险点：1相关科科室、单位位自行组织织信息系统统验收，导导致项目管管理不规范范，信息系系统功能、性性能及可靠靠性无法保保证。2承建单

30、单位提出验验收申请后后，未及时时予以回应应，导致验验收工作滞滞后，影响响信息系统统按期上线线运行和业业务正常开开展。3验收条条件设定不不全面，验验收审查不不严格，验验收专家成成员构成不不合理，验验收程序未未按照相关关规定执行行，导致未未达到验收收条件的信信息系统可可能通过验验收，为信信息系统安安全、可靠靠运行带来来隐患。4相关科科室、单位位未按要求求提交用户户报告，或或用户报告告未对信息息系统功能能与性能做做出客观评评价，影响响项目验收收进程和验验收结果的的真实性。5受系统统承建单位位的请托，在在系统不具具备验收条条件时组织织通过验收收，引发廉廉政风险。（三）信息息系统验收收管理风险险事件类型

31、型：风险类型风险点风险等级责任主体制度流程风险各科室、单单位未通过过信息科自自行组织验验收一般各科室、单单位项目验收指指标制定不不全面、不不准确一般各科室、信信息科验收专家成成员构成不不合理一般信息科岗位职责风险提出验收申申请后，未未及时组织织验收一般信息科验收程序未未严格按照照相关规定定执行一般信息科各科室、单单位未及时时提供项目目验收用户户报告，影影响项目验验收整体工工作进度一般各科室、单单位廉政风险受项目承建建单位请托托，将不符符合验收条条件的系统统通过验收收重大各科室、单单位、信息息科（四）信息息系统验收收管理风险险防控措施施：1信息科科负责组织织信息系统统验收工作作，按照国国家相关法

32、法律法规规规定的程序序和要求进进行。2信息科科收到承建建单位验收收申请后，及及时组织对对信息系统统是否具备备验收条件件进行审查查，并通知知相关单位位准备用户户报告；相相关单位对对信息系统统功能与性性能、应用用情况做出出客观真实实评价，按按时出具用用户报告。3不断完完善信息系系统验收条条件、评价价标准和验验收指标体体系，确保保验收结论论真实可靠靠。4信息科科负责组建建验收专家家组，专家家组成员应应覆盖财政政内外、技技术与业务务领域。第十九条 信息系统统组织实施施的风险与与防控。（一）信息息系统组织织实施风险险点：1未经过过试运行和和验收的信信息系统直直接上线运运行，信息息系统功能能与性能未未经过

33、检验验，导致信信息系统上上线后不能能稳定运行行，加大运运维成本。2业务与与技术部门门之间沟通通协调不充充分，信息息系统建设设前期准备备不到位，导导致信息系系统上线后后运行不畅畅，问题频频发，影响响业务开展展。3推广实实施的信息息系统，缺缺乏明确的的实施方案案，造成相相关方无所所依从，影影响信息系系统推广实实施进度，降降低实施质质量。4信息系系统版本和和软件分发发没有归口口管理，导导致系统应应用与维护护混乱，难难以统一升升级。（二）信息息系统组织织实施风险险事件类型型：风险类型风险点风险等级责任主体制度流程风险各科室、单单位自行推推广实施系系统,造成系统统建设与管管理混乱重大各科室、单单位风险类

34、型风险点风险等级责任主体制度流程风险未经过试运运行和验收收的系统直直接上线运运行一般各科室、单单位系统试运行行时间短、不不充分，未未反应出问问题与不足足一般各科室、单单位、信息息科系统版本和和软件分发发管理混乱乱，未执行行归口管理理重大各科室、单单位、信息息科岗位职责风险业务、技术术部门沟通通协调不足足，未对系系统问题及及时修改完完善一般各科室、单单位、信息息科对于需要推推广的系统统，未制定定科学合理理的实施方方案一般各科室、单单位、信息息科未根据试点点中发现的的系统缺陷陷，研究提提出系统完完善意见一般各科室、单单位、信息息科（三）信息息系统组织织实施风险险防控措施施：1信息系系统上线运运行前

35、必须须进行试运运行并通过过验收。2信息科科综合分析析信息系统统实施的业业务与技术术要求，制制定详细的的实施方案案；相关单单位提供信信息系统实实施所需的的相关数据据资料。3信息科科负责信息息系统的推推广实施、实实施系统版版本管理和和向用户单单位分发软软件，版本本更换要履履行规定程程序。第二十条 运行维护护管理的风风险与防控控。（一）信息息系统运行行维护管理理风险点：1采购的的运维单位位对信息系系统不熟悉悉，无法履履行应尽义义务，导致致信息系统统运行故障障无法及时时排除。2运行维维护工作未未按规定程程序执行，存存在信息泄泄漏、丢失失、篡改等等安全隐患患。3各科室室、单位自自行选择运运维单位开开展信

36、息系系统运维工工作，导致致运维管理理不规范、信信息不安全全，甚至引引发廉政风风险。（二）信息息系统运行行维护管理理风险事件件类型：风险类型风险点风险等级责任主体制度流程风风险系统日常维维护工作未未交信息科科负责一般各科室、单单位各科室、单单位自行选选择运维单单位开展系系统运维工工作重大各科室、单单位岗位职责风风险系统运维方方案制定不不够科学合合理一般信息科未根据系统统使用情况况，及时提提出系统运运行及使用用中存在的的问题一般各科室、单单位未根据系统统改进建议议，及时完完善系统运运行维护工工作一般信息科（三）信息息系统运行行维护管理理风险防控控措施：1健全和和完善财政政局运维服服务管理办办法，制

37、定定相关实施施细则，规规范运维工工作程序，明明确运维工工作范围。2信息科科负责组织织信息系统统运维工作作，严格按按照财政局局相关制度度办法开展展，确保信信息系统安安全可靠运运行。相关关单位应配配合做好运运维工作的的监督与评评价。3采购运运行维护单单位时，针针对信息系系统情况定定性和定量量设定条件件，确保运运维单位能能够胜任运运维工作。4各单位位根据信息息系统使用用情况，及及时向信息息科反馈信信息系统存存在的问题题。第三章 信息系统统流程控制制管理内部部控制第二十一条条 信息系统统流程控制制风险是指指业务流程程未完全固固化在业务务生产系统统中、固化化在信息系系统中的业业务流程未未完全实现现有效控

38、制制、业务处处理未完全全通过信息息系统执行行，导致信信息系统支支撑促进内内部控制工工作能力弱弱化的可能能性。其中，重大大风险是指指因业务流流程未固化化在业务生生产系统中中，或固化化在信息系系统中的业业务流程未未实现有效效控制，或或业务处理理未通过信信息系统固固化的流程程进行等情情形发生，严严重影响内内部控制效效果。一般风险是是指因业务务流程在业业务生产系系统中固化化程度不够够，或固化化在信息系系统中的业业务流程控控制不完善善，导致内内部控制目目标某些方方面或环节节失效。第二十二条条 流程控制制风险主要要体现在业业务管理流流程化设计计、控制措措施与预警警机制设定定、信息系系统实现、信信息系统流流

39、程应用等等方面。第二十三条条 信息系统统固化和管管控业务流流程的程序序：1各科室室、单位梳梳理完善业业务流程。2各科室室、单位明明确业务流流程各环节节控制活动动、控制措措施等。3各科室室、单位提提出业务流流程固化和和管理控制制的业务需需求。4信息科科综合分析析业务需求求。5信息科科负责通过过信息系统统实现业务务流程固化化和管理控控制。第二十四条条 业务管理理流程化设设计风险与与防控。（一）业务务管理流程程化设计风风险点：1对于手手工操作存存在管理风风险的财政政业务，各各科室、单单位未提出出通过信息息系统进行行流程固化化和管理控控制，仍采采取手工方方式操作，增增加了业务务管理活动动事前防范范、事

40、中控控制、事后后监督的难难度，存在在内控漏洞洞。2各科室室、单位对对需要通过过信息系统统固化的业业务流程梳梳理不全面面、分析不不系统、优优化不合理理，导致业业务流程通通过信息系系统固化后后，难以有有效发挥控控制作用。3各科室室、单位业业务流程变变更频繁，影影响信息系系统稳定运运行，不利利于信息系系统操作责责任追溯。（二）业务务管理流程程化设计风风险事件类类型：风险类型风险点风险等级责任主体制度流程风险对手工操作作存在管理理风险的财财政业务，未未通过信息息系统进行行流程固化化和管理控控制，引发发重大责任任事故重大各科室、单单位业务流程变变更过于频频繁，影响响系统的稳稳定性一般各科室、单单位岗位职

41、责风险业务流程梳梳理不全面面、分析不不系统、优优化不合理理一般各科室、单单位业务流程各各环节设定定不合理一般各科室、单单位（三）业务务管理流程程化设计风风险防控措措施：1对于手手工操作存存在管理风风险的财政政业务，必必须通过信信息系统固固化流程。2各科室室、单位应应按照业务务实现的时时间顺序和和逻辑顺序序，对需要要通过信息息系统固化化的业务流流程进行全全面梳理、分分析和细化化，科学设设定业务流流程各环节节，确保各各环节既覆覆盖业务管管理全过程程又利于倒倒查问题根根源。 3各科室室、单位应应将整理好好的业务流流程形成书书面材料。4各科室室、单位应应切实结合合财政管理理和改革的的实际需要要，审慎处

42、处理流程变变更，避免免流程变更更的随意性性。若确需需变更，要要充分考虑虑与原有业业务的衔接接。第二十五条条 控制措施施与预警机机制设定风风险与防控控。（一）控制制措施与预预警条件设设定风险点点：1各科室室、单位对对于业务流流程的各环环节未设置置控制措施施和预警机机制，导致致内部控制制无法实现现。2各科室室、单位对对业务流程程各环节授授权控制不不合理，对对关键环节节未设置不不相容岗位位（职责）或或不相容岗岗位（职责责）分离措措施不到位位，导致一一人可以操操作流程的的多个环节节，无法形形成相互制制约、相互互监督的工工作机制。3各科室室、单位对对各项控制制措施未设设置预警机机制或设置置不合理，导导致

43、信息系系统自动控控制、风险险揭示能力力弱化。（二）控制制措施与预预警条件设设定风险事事件类型：风险类型风险点风险等级责任主体制度流程风险对业务流程程关键环节节未设置不不相容岗位位（职责）或或不相容岗岗位（职责责）分离措措施不到位位，出现重重大责任事事故重大各科室、单单位岗位职责风险对业务流程程某些环节节未设置授授权或授权权不合理，出出现重大责责任事故重大各科室、单单位控制措施未未设置预警警机制或设设置不合理理一般各科室、单单位（三）控制制措施与预预警条件设设定风险防防控措施：1各科室室、单位应应结合本单单位业务和和流程，全全面梳理所所涉及的不不相容岗位位，明确各各个环节的的岗位设置置及职责。2

44、各科室室、单位应应对不相容容岗位（职职责）实施施分离措施施，明确细细化职责，形形成各司其其职、各负负其责、横横向与纵向向相互制约约监督的工工作机制。3各科室室、单位应应建立授权权管理体系系,明确各岗岗位的授权权主体、范范围与权限限，科学分分配权利，确确保各岗位位人员在授授权范围内内开展工作作，切实达达到分事行行权、分岗岗设权、分分级授权的的要求。4各科室室、单位应应根据控制制措施，合合理设置预预警条件。5各科室室、单位应应制定书面面的岗位职职责说明及及授权控制制说明。第二十六条条 信息系统统实现风险险与防控。（一）信息息系统实现现风险点：1信息科科对各科室室、单位提提出的需求求调研不深深入，理

45、解解不准确，导导致系统功功能不完善善、授权管管理功能弱弱化等，造造成信息系系统强化流流程控制、风风险揭示和和自动控制制能力弱化化。2业务流流程发生变变更后，各各科室、单单位未提出出流程变更更申请，导导致新的内内部控制措措施失效。3各科室室、单位提提出流程变变更申请，信信息科未及及时通过信信息系统实实现，导致致信息系统统不能按时时实现新的的控制，影影响财政业业务顺利开开展。4信息科科对流程变变更的信息息化实现考考虑不周全全，影响上上下游业务务正常开展展，导致业业务中断的的可能性。（二）信息息系统实现现风险事件件类型：风险类型风险点风险等级责任主体制度流程风险信息系统未未按要求实实现业务流流程和管

46、理理控制的固固化，出现现重大责任任事故重大信息科变更流程时时，未提出出需求变更更申请一般各科室、单单位岗位职责风险对业务需求求调研不深深入、分析析不全面一般信息科变更流程后后，仍使用用原有系统统进行业务务操作一般各科室、单单位未根据流程程变更需求求及时完善善信息系统统一般信息科流程变更的的信息化实实现未达到到预期效果果一般信息科（三）信息息系统实现现风险防控控措施：1各科室室、单位提提出需要通通过信息系系统实现的的业务流程程及其控制制活动、控控制措施等等，形成业业务需求方方案，经单单位负责人人审批并盖盖章后提交交信息科。2信息科科对业务需需求进行分分析。若业业务需求不不符合信息息系统开发发设计要求求，信息科科提出改进进建议并退退回；单位位将业务需需求修改完完善后重新新提交。