11.1信息系统管理业务内部控制矩阵.pdf

《11.1信息系统管理业务内部控制矩阵.pdf》由会员分享，可在线阅读，更多相关《11.1信息系统管理业务内部控制矩阵.pdf（4页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、业务内部控制矩阵业务内部控制矩阵会计报表认定会计报表认定业务目标业务目标业务风险业务风险控制点控制点适用单位适用单位不相容不相容岗位岗位控制点控制点分值分值控制点控制点相关资料相关资料1 1 存在和发生存在和发生/真实性；真实性；2 2 完整性；完整性；相关制度相关制度3 3 权利与义务；权利与义务；4 4 估价或分摊；估价或分摊；5 5会计报表工程会计报表工程索引索引表达和披露；表达和披露；6 6 准确性准确性123456经营风险：信息化管理体系不完善，信息化领导小组或 ERP 指导委员会设置不健全，信息管理部门职责不落实，导致信息化工作受损。1.IT1.IT 整体层面管理整体层面管理61.

2、1 股份公司建立完善的信息化管理体系，设立 ERP 指导委员会，设立信 总部息系统管理部负责股份公司信息化归口管理工作；各分子公司设立信分子公司息化领导小组或 ERP 指导委员会，定期召开会议，听取、总结和指导本单位信息化工作，设立信息管理部门负责本单位信息化管理工作，对信息系统和信息资源行使管理职责。经营风险：信息化建设中长期规划不符合 1.2 根据股份公司开展战略目标和核心业务，结合信息技术开展和股份公司股份公司经营战略目标，导致盲目建设、实际，信息系统管理部负责组织编制股份公司信息化建设中长期规划，在投资低效。充分征求职能部门、事业部和分子公司意见后，组织专家组评审，并根据专家意见负责组

3、织修改，经信息系统管理部主任审核，按规定权限审批后，纳入股份公司中长期开展规划。经营风险：信息化培训缺乏，导致信息系 各级信息管理部门负责编制年度信息化培训方案，经部门负责人审批后，统效能低下、信息化管理水平不高、信息 纳入人事部门年度培训方案,并组织落实。化技能缺失。经营风险：信息平安教育缺乏，导致员工 各级信息管理部门配合人事部门开展全员信息平安教育和培训，并在信息信息平安意识薄弱。门户或内部网站发布平安教育培训材料。信息系统管理部5ERP 指导委员会或信息化领导小组成立文件；会议纪要信息管理部门职责文件股份公司信息化建设中长期规划信息系统管理部分子公司信息系统管理部分子公司224年度培训

4、方案平安教育培训材料风险评估报告经营风险：信息系统风险评估缺失，导致 根据?中国石油化工股份信息系统风险评估管理方法?，信息系统管理部负 信息系统管理部信息系统风险。责每年对信息系统进行年度综合风险评估，形成风险评估报告，并组织专分子公司家组对风险评估报告进行评审，专家组对风险评估报告提出评审意见并签字；分子公司信息管理部门会同相关业务部门，通过多种形式，组织本单位信息系统的风险评估，包括企业信息系统整体风险、重点系统风险、主要根底设施风险等，形成相关风险评估报告，并将风险评估报告经信息管理部门负责人审核签字后报信息系统管理部备案。经营风险：信息平安规划不当，信息平安 信息系统管理部负责编制信

5、息平安规划，在征求职能部门、事业部和分 子信息系统管理部方案缺失，导致信息系统风险。公司意见后，组织专家组评审，并根据专家意见负责组织修改，经信息系分子公司统管理部主任审核后，正式发布。各分子公司信息管理部门根据股份公司信息平安规划，结合自身生产经营管理的需要，并针对风险评估报告中提出的问题，负责制订本企业的信息平安方案，经分管经理审批后报信息系统管理部备案。经营风险：系统未确定关键岗位，关键岗 依照?中国石油化工股份信息系统平安管理方法?规定，各级信息管理部门 总部各部门位缺乏监管，导致系统存在平安隐患。负责提出本单位的“信息系统关键岗位名录，其中涉及信息系统平安的分子公司关键岗位由信息管理

6、部门确定，涉及业务信息平安的关键岗位由主管业务部门商本单位保密委员会确定。“信息系统关键岗位名录上的关键岗位人员要与所在单位签署“信息系统关键岗位平安责任书，并在人事部门备案。经营风险：系统平安岗位设置缺失，导致 各级信息管理部门根据?中国石油化工股份信息系统平安管理方法?中的有 信息系统管理部系统存在平安隐患。关要求，按照不相容岗位别离的原那么，设立平安管理员。平安管理员必分子公司须具有相应资质，并经部门负责人审批授权。4信息平安规划信息平安方案3信息系统关键岗位名录信息系统关键岗位平安责任书平安管理员授权书平安管理员资质证书3会计报表认定会计报表认定业务目标业务目标业务风险业务风险控制点控

7、制点适用单位适用单位不相容不相容岗位岗位控制点控制点分值分值控制点控制点相关资料相关资料1 1 存在和发生存在和发生/真实性；真实性；2 2 完整性；完整性；相关制度相关制度3 3 权利与义务；权利与义务；4 4 估价或分摊；估价或分摊；5 5会计报表工程会计报表工程索引索引表达和披露；表达和披露；6 6 准确性准确性123456经营风险：年度信息化工程建议方案不符合股份公司经营战略目标，导致盲目建设、投资低效。2.2.编制年度工程建议方案编制年度工程建议方案2.1 信息系统管理部根据股份公司信息化建设中长期规划和职能部门、事业 信息系统管理部部、分子公司申报的工程建议方案，结合年度实际，编制

8、年度信息化分子公司工程建议方案，由信息系统管理部主任审核，按规定权限审批后，分别纳入股份公司年度投资方案、科技开发工程方案管理。各分子公司信息管理部门负责编制年度信息化工程建议方案预案，按规定权限审批后，分别纳入本单位年度投资建议方案、科技开发工程建议方案，上报信息系统管理部和总部相关部门审核。3.3.工程可行性研究和评审工程可行性研究和评审经营风险：工程可行性研究报告提出的技 3.1 信息管理部门会同工程责任部门(单位)委托有资格的单位承当工程可行 信息系统管理部术方案不合理，业务流程不标准，系统功 性研究，并组织专家组对工程可行性研究报告进行评审，专家组对工程需分子公司能不健全，可研评审不

9、到位，导致系统建 求、目标、技术路线、风险分析、投资与效益、进度、组织落实等提出可设不能满足业务需求。行性研究评审意见并签字。经营风险：信息化工程缺乏统一归口管4.1 通过可研评审的固定资产投资限额 200 万元 及以上的信息技术工程，信息系统管理部理，审批过程不标准，导致重复建设，低 由信息系统管理部报开展方案部立项，批准立项的工程，由开展方案部列开展方案部效投资。入年度投资方案；申请总部立项的固定资产投资限额200 万元以下的 科技开发部信息技术工程，由信息系统管理部负责审批，报开展方案部备案；由各事事业部业部审批的投资限额以下的信息技术工程投资方案，须经信息系统管理部分子公司和开展方案部

10、会签。各分子公司一般措施及零星购置的信息技术工程在总部每年核定的限额以内，由各分子公司根据当期生产经营管理的需要，按规定权限审批后报各主管事业部、信息系统管理部和开展方案部审核备案，并纳入股份公司年度投资方案管理。通过可研评审的科技开发工程，由信息系统管理部报科技开发部立项，批准立项的工程，由科技开发部列入年度工程方案。经营风险：总体根底 设计技术方案不 4.2 对批准立项的、投资在 500 万元及以上的工程，信息系统管理部委托 信息系统管理部合理，业务流程不标准，系统功能不健全，有资格的单位按要求对工程进行总体根底设计，其中投资在 2000 万元专家组评审不到位，导致系统建设不能满 及以上的

11、工程需组织专家组对工程总体根底设计进行评审，专家组对足业务需求。工程需求分析、目标、功能设计、投资概算等提出评审意见并签字，由信息系统管理部负责审批总体根底设计，报开展方案部备案。经营风险：承建单位资质及经验欠缺，导 信息管理部门负责组织工程责任部门(单位)审查集成商、咨询商、开发商及 信息系统管理部致工程建设受损。未经审核，变更信息技 供给商的资质，开展询比价、商务谈判等工作；涉及有关计算机效劳器、物资装备部术合同标准文本中涉及的权利、义务等条 PC 机、打印机采购事宜，由物资采购部门归口管理、信息管理部门配合开 分子公司款，导致财务风险。展采购工作。依照规定权限并按经法律事务部审定的标准合

12、同文本签订合财务风险：交易不真实，影响财务报告。同；工程责任部门(单位)负责完成合同技术附件，并由负责人签字确认。经营风险：详细设计技术方案不合理，业 6.1 工程实施单位根据合同技术附件或总体设计进行详细设计，详细设计的 信息系统管理部务流程不标准，系统功能不健全，审查不 形式可根据工程类别的不同自主开发工程、引进试点工程、推广完善工分子公司到位，导致系统建设不能满足业务需求。程、根底设施工程采取与工程类别相适应的形式，投资在 500 万元及以上的工程需由信息管理部门组织人员对工程详细设计进行审查，工程实施单位根据审查意见进一步修改完善深化详细设计。经营风险：根底数据不完整、不准确、不 6.

13、2 工程责任部门(单位)负责工程实施，业务部门组织数据的收集、整理、信息系统管理部真实，导致系统无法正常投运或计算出录入、审核，并进行审查和确认，保证数据的真实、完整和准确。分子公司错。5信息化建设年度方案5可行性研究报告5立项批文3总体根底设计评审材料4合同技术附件固定资产无形资产4工程详细设计3会计报表认定会计报表认定业务目标业务目标业务风险业务风险控制点控制点适用单位适用单位不相容不相容岗位岗位控制点控制点分值分值控制点控制点相关资料相关资料1 1 存在和发生存在和发生/真实性；真实性；2 2 完整性；完整性；相关制度相关制度3 3 权利与义务；权利与义务；4 4 估价或分摊；估价或分摊

14、；5 5会计报表工程会计报表工程索引索引表达和披露；表达和披露；6 6 准确性准确性1234563工程实施报告付款申请在建工程货币资金应付账款4工程验收意见经营风险：系统安装调试不当，用户培训 6.3 信息管理部门负责对工程实施单位承当的软硬件系统安装调试、用户培 信息系统管理部缺失，导致系统运行受损。训进行检查，审核和确认测试报告，并检查相应软件的合法性，提供经双分子公司合规风险：安装的软件侵犯知识产权，导 方签字的检查记录。致诉讼及股份公司声誉受到损害。经营风险：工程监管不力，系统建设延误，6.4 信息管理部门负责组织对工程建设的阶段验收，进行工程建设质量、进导致系统不能按期投用。度、标准

15、执行和本钱控制等检查，提出阶段验收报告；工程实施单位根据阶段验收报告对系统进行修改完善。500 万元以下的一般信息技术工程可根据工程具体实施情况，只进行竣工验收。经营风险：工程监管不力，系统建设延误，6.5 工程责任部门(单位)负责至少每季度向信息管理部门提交工程实施报导致系统不能按期投用或资金流失。告，内容包括工程进度、质量、经费使用、存在问题和整改措施等；根据财务风险：未按约定付款，影响财务报告。合同约定填写付款申请，按规定权限审批后办理付款。信息系统管理部分子公司3系统安装调试和用户培训报告软件验收报告阶段验收报告3信息系统管理部经办分子公司审批经营风险：集成测试不完整，造成系统评 6.

16、6 信息管理部门组织对系统进行集成测试，形成集成测试评价意见；并根 信息系统管理部估不准确。据集成测试评价意见责成工程实施单位进行修改完善。分子公司经营风险：技术文档不完整、造成系统应 6.7 工程责任部门(单位)责成工程实施单位负责知识转移，并提交工程相关 信息系统管理部用维护困难的技术文档包括用户使用手册、系统维护手册、系统平安和使用授权管分子公司理方法、应急处理方法及用户培训教材等资料。经营风险：单轨运行时间过短，无法完成 7.1 工程完成全部的规定目标任务后，投资 2000 万元及以上的工程单轨连对系统的准确评价续稳定运行 6 个月以上，其它工程单轨连续稳定运行 3 个月以上，由工程责

17、任部门(单位)以正式行文方式提交工程竣工验收申请，同时提交工程验收相关材料一并审核。总部批复的工程向信息系统管理部提交验收申请，由信息系统管理部负责组织工程验收工作。分(子)公司自行批复的工程向企业信息管理部门提交验收申请，由分(子)公司信息管理部门负责组织工程验收工作。专家组形成验收意见并签字。经营风险：竣工验收决算报告或审计报告 7.2 信息管理部门会同财务部门按规定进行工程竣工结算。财务部门按竣工不严格，导致资金外流验收决算报告或审计报告办理工程转资手续，按股份公司内部会计制度及财务风险：未按约定付款，影响财务报告。有关规定，经财务部门负责人审核后，进行账务处理。相关会计凭证须经合规风险

18、：违反国家和企业会计制度，造 不相容岗位人员稽核。成工程资金损失。在信息技术工程到达预定的可使用状态时，财务部门应依据有关部门提供的手续，按照股份公司内部会计制度，经部门负责人审核后，暂估入账。相关会计凭证须经不相容岗位人员稽核。经营风险：后评价报告缺失，无法定性和 7.3 对固定资产投资 2000 万元及以上的试点工程，通过验收后，信息管理定量评估工程的经济效益和社会效益。部门组织专家组对工程进行后评价，专家组提出后评价报告并签字。经营风险：由于第三方资质问题或信息管理部门缺乏专人维护，系统维护质量受损。信息系统管理部分子公司35集成测试评价意见工程技术文档财务部信息部门信息系统管理部 财务

19、部门分子公司3竣工验收决算报告在建工程固定资产信息系统管理部分子公司2后评价报告8.1 需委托维护的信息系统，信息管理部门负责审查系统效劳商资质，并签 信息系统管理部订系统维护效劳合同以及平安保密协议；由信息管理部门自行维护的，那分子公司么指定专人负责维护，制定岗位职责。4系统维护效劳合同及平安保密协议系统维护相关岗位职责说明会计报表认定会计报表认定业务目标业务目标业务风险业务风险控制点控制点适用单位适用单位不相容不相容岗位岗位控制点控制点分值分值控制点控制点相关资料相关资料1 1 存在和发生存在和发生/真实性；真实性；2 2 完整性；完整性；相关制度相关制度3 3 权利与义务；权利与义务；4

20、 4 估价或分摊；估价或分摊；5 5会计报表工程会计报表工程索引索引表达和披露；表达和披露；6 6 准确性准确性123456经营风险：数据维护、用户管理等制度缺失，系统日常维护、用户培训等欠缺，造成工作受损。合规风险：软件使用侵犯知识产权，导致诉讼及股份公司声誉受到损害。经营风险：系统功能陈旧，导致不能满足业务需求。8.2 工程责任部门(单位)负责业务流程、业务工作标准、数据维护、用户管 信息系统管理部理、数据使用平安、知识产权合法性使用及相关制度的制定和落实等工作。分子公司信息管理部门负责组织日常软硬件系统维护、合法软件使用情况检查和关键用户与一般用户的培训、考核等工作。9.1 工程责任部门(单位)负责对业务流程与系统模型进行适时评价，并根据 信息系统管理部评价和修正意见，提出应用软件的升级申请，责任部门(单位)负责人须签字 分子公司确认。升级申请纳入方案后组织实施。6相关系统运维制度或规定用户培训记录应用软件升级申请系统软、硬件升级申请3经营风险：系统升级不当，造成系统工作 9.2 信息管理部门负责组织对系统软、硬件进行适时评价，并根据评价意见 信息系统管理部不正常。提出系统软、硬件升级申请，信息管理部门负责人须签字确认。升级申请分子公司纳入方案后组织实施。3