益阳市财政局信息系统管理风险防控办法(试行

89 附件 7 益阳市财政局信息系统管理风险防控办法 试行 第一章 总则 第一条 为加强信息系统管理内部控制 有效防控财政信 息系统管理风险 提高信息系统建设与管理的规范性 科学性 和信息化对财政业务管理的支撑与流程控制能力 根据益阳市 财政局信息化建设管理相关制度和 益阳市财政局内部控制基 本制度 有关规定 结合工作实际 制定本办法 第二条 本办法所称信息系统管理风险是指在信息系统建 设和运行维护过程中 未完全遵循信息化建设制度 规划和标 准或安全措施不到位 运行维护不规范 导致系统碎片化 系 统故障 数据丢失 信息泄露 信息化辅助管理决策能力弱化 的可能性 第三条 信息系统建设坚持归口管理 实行统筹规划 统 一建设 从财政改革发展的全局出发 协调配合 分工合作 整合资源 实现一体化 同时 强化流程控制 将业务流程固 化在业务生产系统和办公自动化系统中 健全信息系统预警机 制 加强风险揭示和自动控制 发挥信息化建设对财政业务管 理和辅助决策的支撑与促进作用 90 第四条 信息系统管理风险主要包括信息系统建设管理风 险 流程控制风险 数据应用与管理风险和信息安全风险四个 方面 根据风险事件的情节轻重 影响范围和程度 分为重大 风险和一般风险两个等级 按照风险来源和性质 分为制度流 程风险 岗位职责风险 廉政风险和外部风险四种类型 重大风险 是指发生的风险事件对信息系统管理产生重大 负面影响 或者严重损害国家或部门利益的可能性 一般风险 是指发生的风险事件对信息系统管理产生一定 的负面影响 或者对国家或部门利益造成一定损失的可能性 制度流程风险 是指由于缺乏信息系统管理制度流程规定 或制度流程设计不合理 执行不到位 导致信息系统管理不规 范 不科学的可能性 岗位职责风险 是指由于岗位职责设定不明确 授权管理 不到位 或履行岗位职责不作为 违背制度流程乱作为 导致 信息系统管理不规范 影响工作质量与进度的可能性 廉政风险 是指信息系统建设管理人员凭借手中的权力 利用工作之便在信息系统管理工作中违反廉政规定谋求私利的 可能性 外部风险 是指因外部客观环境发生重大变化或外部信息 不真实 不准确 或者信息系统建设管理的外部参与单位履行 职责不到位 导致信息系统建设管理不规范 影响工作质量与 进度的可能性 91 第五条 信息系统管理风险内部控制的目标是 综合运用 信息化建设管理制度 标准规范和内部控制方法 将信息系统 管理风险防控措施贯穿于信息系统建设 管理与应用全过程 对信息系统建设 管理和应用进行全程控制 将内控理念和控 制活动 措施嵌入信息系统 对业务流程运行进行实时监控 最大限度减少人为操纵因素 确保系统运行协同 业务流程固 化 业务管理衔接以及信息共享 数据安全 第六条 本办法适用于局内各科室 单位 第七条 信息系统管理风险内部控制职责分工 一 内部控制委员会 以下简称内控委 负责审定信息 系统管理内部控制政策制度 审定信息系统管理风险事件定级 和责任追究建议 提出加强和改进措施 二 内部控制委员会办公室 以下简称内控办 负责组 织对信息系统管理内部控制制度进行有效性检查 考核和评价 组织对信息系统管理风险事件进行调查 研究提出处理意见并 向内控委报告 督促落实内控委决定 定期通报信息系统管理 内部控制制度执行情况及重大风险事件 三 信息科负责信息系统管理内部控制的组织实施 及 时发现信息系统管理风险防控中存在的问题 提示有关单位 并向内控办报告 定期向内控办报送信息系统管理风险防控情 况 四 各科室 单位对本单位的信息系统管理的重点业务 92 环节实施持续 有效的风险防控 及时向内控办和信息科报告 本单位信息系统管理风险防控及异常情况 积极协助专项检查 和调查 第八条 信息系统管理风险事件发生后 各单位应在第一 时间报告内控办和信息科 信息科会同有关单位及时采取应对 措施 最大程度避免或减少负面影响 在分清责任的基础上 深 入查找风险事件发生的原因 提出解决方案 风险定级和责 任追 究建议 向内控办报告 并有针对性地制定或完善制度措 施 第九条 各科室 单位及其干部职工执行本办法的情况纳 入考核指标体系 第二章 信息系统建设管理内部控制 第十条 信息系统建设管理风险是指信息系统建设未遵循 财政信息化建设归口管理要求 一体化指导思想和信息化建设 相关制度 标准规范 导致信息系统建设脱离统筹规划 过程 管理不规范 标准不统一 信息不共享 业务不协同 造成流 程固化与控制能力弱化 影响信息系统在财政管理中的整体效 用 其中 重大风险是指因违背财政信息化建设归口管理要求 不执行财政信息化建设规划和年度计划 擅自开发 推广信息 系统 导致信息系统重复建设 碎片化 或因业务需求不细化 流程不清晰 导致信息系统功能与性能严重缺失 未能有效支 93 撑财政管理和流程管控 影响财政发展与改革及信息化一体化 建设效果 造成较大负面影响 一般风险是指执行归口管理的某些环节不到位 导致系统 功能与性能不完善 运维响应不及时等情况 一定程度上影响 信息系统建设和应用 对业务工作的正常开展带来一定的负面 影响 第十一条 信息系统建设管理应遵循以下工作流程 一 总体规划 信息科根据国家和省信息化发展方针政 策 财政改革与事业发展要求 结合工作实际 研究拟定财政 信息化建设总体规划 经局信息化工作领导小组办公室 以下 简称 信息科 审议后报局信息化工作领导小组审批 二 年度计划 各科室 单位根据财政信息化建设总体 规划 结合本部门业务管理需要 编制年度财政信息化建设项 目需求建议书报信息科 信息科汇总并组织审核项目申报计划 编制年度项目计划 报请信息化领导小组审批 三 政府采购 信息科根据项目建设计划和进度安排 编制采购文件 组织开展政府采购工作 四 建设实施 信息科组织开展需求调研 系统设计 开发 测试 试运行 验收 实施等工作 并组织做好信息系 统建设与实施过程的监督管理 各单位配合做好相关工作 五 运维管理 信息科统一组织开展各信息系统的运行 维护管理 94 第十二条 信息系统建设管理风险主要体现在归口管理 总体建设规划 年度项目计划 政府采购 设计开发 验收管 理 组织实施 运行维护等过程或环节 第十三条 归口管理的风险与防控 一 归口管理风险点 1 各科室 单位自行组织信息系统建设与实施 导致信息 系统建设碎片化 标准不统一 业务不衔接 信息不共享 影 响信息系统一体化建设 2 未建立财政信息化建设联席会议制度 导致信息系统建 设中的技术与业务脱节 影响系统建设质量 3 各科室 单位不执行财政信息化建设联席会议及信息科 专题会议决议 或执行不到位 导致信息系统建设进度滞后 成果不符合会议决议要求 4 各科室 单位未按规定履行会商 会签 审批程序 自 行印发信息系统建设和推广实施相关工作文件 导致信息系统 建设与实施政出多门 多头管理 二 归口管理风险事件类型 风险 类型 风险点 风险等 级 责任主体 自行组织信息系统建设与实施 造成系统碎片 化 重大各科室 单位 自行印发信息系统建设与推广实施相关文件 造成系统建设多头管理 重大各科室 单位 制度 流程 风险 未建立财政信息化建设联席会议制度一般局领导 信息科 95 信息化重大问题不进行集体研究重大 局领导 各科室 单 位 财政信息化重大问题集体研究制度执行不到位一般各科室 单位 岗位 职责 风险 不执行或选择性执行财政信息化工作联席会议 和信息科专题会议决议 造成系统建设进度滞 后 重大各科室 单位 三 归口管理风险防控措施 1 各科室 单位在信息系统建设工作中 负责提出详细业 务需求 配合信息科开展系统需求调研 测试验收 组织实施 等工作中的业务协调 不得自行组织信息系统建设与实施 2 信息科综合分析各科室 单位提出的业务需求 根据总 体建设规划 研究提出信息系统建设计划 统一组织信息系统 设计开发 推广实施与运维管理 3 建立完善财政信息化建设联席会议制度 加强技术与业 务部门的配合 4 各科室 单位严格执行财政信息化工作联席会议制度和 重大问题集体研究制度 严格落实会议决议 重大问题提请信 息科研究 必要时上报信息化工作领导小组 5 各科室 单位按规定履行会商 会签 审批程序后 方 可印发信息系统建设与推广实施相关工作文件 第十四条 总体建设规划的风险与防控 一 总体建设规划风险点 1 财政信息化总体建设规划缺失 导致信息系统建设缺乏 96 统筹安排 出现分散建设和随意建设情况 2 各科室 单位自行制定并执行本科室 单位业务管理信 息化规划 导致与总体建设规划和一体化建设要求不相容甚至 相悖 3 各科室 单位执行总体建设规划不严格 过分强调特殊 性和独立性 要求一项业务建立一个系统 导致业务分割 重 复建设 系统孤立和信息孤岛 二 总体建设规划风险事件类型 风险类型风险点风险等级责任主体 财政信息化总体建设规划缺失 导 致出现分散 随意建设的情况 重大 局领导 各科室 单位 各单位自行制定并执行本单位业务 管理信息化规划 重大各科室 单位 制度流程 风险 信息系统总体建设规划未完全覆盖 业务管理需求 一般各科室 单位 岗位职责 风险 未严格执行信息系统总体建设规划一般各科室 单位 三 总体建设规划风险防控措施 1 加强财政信息化总体建设规划的研究 既立足解决当前 业务管理需求 更着眼于国家信息化发展方针政策和财政改革 发展要求 增强规划的前瞻性 科学性和持续有效性 2 各科室 单位结合财政改革发展要求 及时向信息科提 供业务管理规划相关资料 确保总体建设规划能充分体现各单 位业务改革的推进要求 97 3 各科室 单位不得自行制定 执行本单位业务管理信息 系统建设规划 应配合信息科将本单位业务管理需求全部纳入 总体建设规划 4 信息系统建设应严格执行总体建设规划 上级部门要求 的紧急业务事项除外 各单位依据总体建设规划提出年度信息 化建设业务需求 信息科依据总体建设规划综合分析业务需求 提出信息系统项目立项并组织建设 第十五条 年度项目计划的风险与防控 一 年度项目计划编制工作流程 1 各科室 单位提出信息化建设项目业务需求建议书 2 信息科汇总并审核信息化建设项目申报计划 编制年度 项目计划 3 局信息化领导小组审批年度项目计划 二 年度项目计划风险点 1 各科室 单位提出的业务需求不详细 业务流程不清晰 或未对本单位相近 类似的业务需求进行归类整理 导致年度 项目计划编制的业务依据不充分 影响年度项目计划的科学性 和合理性 2 信息科对业务需求和立项申请审核不严格 信息科审批 年度项目计划不严格 导致年度项目计划不合理 3 年度项目计划执行不严格 在计划外开展信息系统建设 影响信息系统的统筹管理和一体化推进 98 三 年度项目计划编制和执行风险事件类型 风险 类型 风险点风险等级责任主体 制度 流程 风险 信息化项目审批依据不全面一般 局信息化领导小 组 信息科 在年度项目计划外开展信息系统建设 影响信息 系统的统筹管理和一体化推进 重大各科室 单位岗位 职责 风险 提出的业务需求不完整 不具体 业务流程不清 晰 一般各科室 单位 对业务需求研究不充分 导致提出的立项申请不 合理 一般各科室 单位岗位 职责 风险 项目经费测算不合理一般 相关科室 单位 信息科 业务需求和立项申请审核不严格一般信息科 未对重大财政信息化项目进行专家评审论证一般 相关科室 单位 信息科 未对本单位业务需求进行归类整理 类似需求重 复申报 一般各科室 单位 未综合审核意见和专家评审论证意见 导致信息 化年度项目计划的编制不合理 一般信息科 岗位 职责 风险 年度项目计划审批不严格一般 局信息化领导小 组 信息科 四 年度项目计划风险防控措施 1 各科室 单位提出信息系统建设的详细业务需求 清晰 设定业务流程 对本单位相近 类似的业务需求进行归类申报 经单位负责人审批并盖章后提交信息科 业务需求涉及多个单 位的 应明确一个牵头单位 业务需求的确定如存在争议 应 99 提请信息科研究 信息科综合分析业务需求 结合总体建设规 划和信息系统建设成果 按照一体化建设要求整合需求 确定 合理的需求实现方式 确立建设项目并提出立项申请 2 信息科健全信息系统立项审批流程 明确立项审批依据 和立项条件 3 信息系统立项实行专家评审机制 重大项目须进行评审 论证 4 信息科严格按照批准的年度项目计划组织开展信息系统 建设 不得在年度项目计划外开展信息系统建设 第十六条 政府采购的风险与防控 一 政府采购流程 1 信息科编制项目政府采购文件 2 相关单位审核确认采购文件中的业务内容 3 信息科会同纪检监察 相关科室 单位组织开展政府采 购 二 政府采购风险点 1 采购文件编制不规范 采购需求不清晰 不具体 导致 投标单位不能准确理解信息系统建设任务与要求或无法准确估 算建设成本 造成无法采购到合格的承建单位 2 采购文件在对承建单位的资质要求和评标标准等方面具 有不合理的倾向性内容 存在廉政风险隐患 3 信息系统升级改造的采购文件编制不合理 造成承建单 100 位频繁更换 无法保证系统架构 功能与性能设计的延续性 甚至可能推翻原有系统 4 采购参与人员不遵守政府采购管理规定 与供应商或采 购代理机构恶意串通 泄漏采购相关信息或干预采购过程 向 评标专家施加影响 导致采购结果无法达到公平 公正要求 并引发廉政风险 三 政府采购风险事件类型 风险类型风险点风险等级责任主体 制度流程 风险 信息系统升级改造的采购文件编制不合理 造 成承建单位频繁更换 一般各科室 单位 未进行政府采购组织信息系统建设重大各科室 单位 政府采购文件编制不规范 采购需求不清晰 不具体 导致无法采购到合适的承建单位 一般 信息科 各科室 单位 岗位职责 风险 采购过程中未按规定邀请有关部门监督一般信息科 廉政风险 采购过程中 未依法 依规 依程序 有失公 开 公平 公正 重大各科室 单位 四 政府采购风险防控措施 1 信息科负责编制采购文件 相关单位及时提供相关业务 材料 审核业务内容是否全面 准确 2 采购文件内容应清晰具体 确保投标单位能准确理解业 务需求和技术要求 在承建单位资质要求 评标标准等方面不 得含有倾向性内容 3 各科室 单位认真编制信息系统升级改造需求 信息科 101 根据升级改造需求合理编制采购文件 避免承建单位的频繁更 换 4 参与采购人员必须严格遵守相关规定 不得发表任何可 能影响专家评审的言论 现场发言仅限于对业务需求和技术要 求的释疑 第十七条 设计开发的风险与防控 一 信息系统设计开发流程 1 调研业务需求和编制业务需求方案 2 业务需求评审 3 编制技术设计方案 包括概要设计 详细设计 数据库 设计等 4 技术设计方案评审 5 程序开发 6 测试与修改完善 二 信息系统设计开发风险点 1 相关科室 单位未提供信息系统建设所需的业务资料 或不积极回应需求调研中的问题 导致需求调研不充分 业务 需求方案编制不完善 无法全面 准确反映业务管理要求 2 编制系统升级改造项目的业务需求时 未考虑与原有信 息系统业务功能的延续性 导致对原有信息系统的颠覆性改造 甚至完全推翻重建 导致工期延长 信息系统建设质量降低 投资浪费 102 3 未按规定进行需求和设计方案评审 或评审组织不严格 不规范 导致信息系统功能和性能设计达不到预期要求 4 信息系统设计开发未严格执行财政信息化建设标准规范 导致与其他信息系统之间无法通畅交换数据和共享信息 形成 信息孤岛 5 信息系统测试用例设计覆盖面不全 测试不严格 无法 充分测试系统各流程 各环节 导致信息系统功能与性能隐藏 缺陷 影响稳定运行 6 相关科室 单位缺乏对需求的全局考虑 导致在信息系 统建设过程中频繁增加或变更业务需求 变更程序不规范 严 重影响信息系统建设质量 甚至颠覆原系统设计 三 信息系统设计开发风险事件类型 风险类型风险点风险等级责任主体 系统设计开发未遵循信息化建设管理标 准规范 一般信息科 制度流程 风险升级改造项目业务需求未考虑与原有系 统业务功能的延续 一般相关科室 单位 未提供系统建设所需的业务资料一般各科室 单位 未按规定进行需求和设计方案评审或评 审组织不严格 不规范 一般信息科 未认真进行业务需求调研 调研内容不 充分 一般相关科室 单位 需求变更的提出较随意一般各科室 单位 未认真分析研究变更需求 提出的处理 意见不合理 一般各科室 信息科 各科室 单位配合不到位 导致系统建 设进度严重滞后 一般各科室 单位 岗位职责 风险 未按测试方案进行测试一般信息科 103 系统测试方案不规范 用例设计覆盖面 不全 一般各科室 信息科 四 信息系统设计开发风险防控措施 1 信息系统设计开发应严格遵循财政信息化建设管理相关 规定和标准规范 2 建立健全信息系统建设协调机制 在业务需求调研 设 计开发等工作中 加强业务与技术部门间的沟通配合 3 信息系统升级改造业务需求的提出 应充分延续系统已 有功能 升级改造需求应明确说明哪些是对原有业务管理的调 整 哪些是新增业务需求 4 严格控制业务需求变更 在信息系统建设过程中如出现 需求变更情况 相关单位应提出书面申请 经单位负责人审批 后提交信息科 信息科组织相关单位和承建单位对变更需求进 行分析研究 提出处理意见 5 加强信息系统设计开发的过程管理 可采购有资质的监 理单位进行监督检查 相关单位要配合开展相关工作 第十八条 验收管理的风险与防控 一 信息系统验收管理流程 1 承建单位向信息科提出验收申请 2 信息科组织对信息系统验收条件进行审查 制定验收方 案 3 信息科组建专家组进行系统验收 相关单位派人参加 4 验收专家组提出验收意见 104 二 信息系统验收管理风险点 1 相关科室 单位自行组织信息系统验收 导致项目管理 不规范 信息系统功能 性能及可靠性无法保证 2 承建单位提出验收申请后 未及时予以回应 导致验收 工作滞后 影响信息系统按期上线运行和业务正常开展 3 验收条件设定不全面 验收审查不严格 验收专家成员 构成不合理 验收程序未按照相关规定执行 导致未达到验收 条件的信息系统可能通过验收 为信息系统安全 可靠运行带 来隐患 4 相关科室 单位未按要求提交用户报告 或用户报告未 对信息系统功能与性能做出客观评价 影响项目验收进程和验 收结果的真实性 5 受系统承建单位的请托 在系统不具备验收条件时组织 通过验收 引发廉政风险 三 信息系统验收管理风险事件类型 风险类型风险点风险等级责任主体 各科室 单位未通过信息科自行组织 验收 一般各科室 单位 项目验收指标制定不全面 不准确一般各科室 信息科 制度流程 风险 验收专家成员构成不合理一般信息科 提出验收申请后 未及时组织验收一般信息科 验收程序未严格按照相关规定执行一般信息科 岗位职责 风险 各科室 单位未及时提供项目验收用 户报告 影响项目验收整体工作进度 一般各科室 单位 105 廉政风险 受项目承建单位请托 将不符合验收 条件的系统通过验收 重大 各科室 单位 信息科 四 信息系统验收管理风险防控措施 1 信息科负责组织信息系统验收工作 按照国家相关法律 法规规定的程序和要求进行 2 信息科收到承建单位验收申请后 及时组织对信息系统 是否具备验收条件进行审查 并通知相关单位准备用户报告 相关单位对信息系统功能与性能 应用情况做出客观真实评价 按时出具用户报告 3 不断完善信息系统验收条件 评价标准和验收指标体系 确保验收结论真实可靠 4 信息科负责组建验收专家组 专家组成员应覆盖财政内 外 技术与业务领域 第十九条 信息系统组织实施的风险与防控 一 信息系统组织实施风险点 1 未经过试运行和验收的信息系统直接上线运行 信息系 统功能与性能未经过检验 导致信息系统上线后不能稳定运行 加大运维成本 2 业务与技术部门之间沟通协调不充分 信息系统建设前 期准备不到位 导致信息系统上线后运行不畅 问题频发 影 响业务开展 3 推广实施的信息系统 缺乏明确的实施方案 造成相关 方无所依从 影响信息系统推广实施进度 降低实施质量 106 4 信息系统版本和软件分发没有归口管理 导致系统应用 与维护混乱 难以统一升级 二 信息系统组织实施风险事件类型 风险类型风险点风险等级责任主体 制度流程 风险 各科室 单位自行推广实施系统 造成系统建 设与管理混乱 重大各科室 单位 风险类型风险点风险等级责任主体 未经过试运行和验收的系统直接上线运行一般各科室 单位 系统试运行时间短 不充分 未反应出问题与 不足 一般各科室 单位 信息科 制度流程 风险 系统版本和软件分发管理混乱 未执行归口管 理 重大各科室 单位 信息科 业务 技术部门沟通协调不足 未对系统问题 及时修改完善 一般各科室 单位 信息科 对于需要推广的系统 未制定科学合理的实施 方案 一般各科室 单位 信息科 岗位职责 风险 未根据试点中发现的系统缺陷 研究提出系统 完善意见 一般各科室 单位 信息科 三 信息系统组织实施风险防控措施 1 信息系统上线运行前必须进行试运行并通过验收 2 信息科综合分析信息系统实施的业务与技术要求 制定 详 细的实施方案 相关单位提供信息系统实施所需的相关数据资 料 3 信息科负责信息系统的推广实施 实施系统版本管理和 向用户单位分发软件 版本更换要履行规定程序 第二十条 运行维护管理的风险与防控 一 信息系统运行维护管理风险点 107 1 采购的运维单位对信息系统不熟悉 无法履行应尽义务 导致信息系统运行故障无法及时排除 2 运行维护工作未按规定程序执行 存在信息泄漏 丢失 篡改等安全隐患 3 各科室 单位自行选择运维单位开展信息系统运维工作 导致运维管理不规范 信息不安全 甚至引发廉政风险 二 信息系统运行维护管理风险事件类型 风险类 型 风险点风险等级责任主体 系统日常维护工作未交信息科负责一般各科室 单位 制度流 程风险 各科室 单位自行选择运维单位开展系 统运维工作 重大各科室 单位 系统运维方案制定不够科学合理一般信息科 未根据系统使用情况 及时提出系统运 行及使用中存在的问题 一般各科室 单位 岗位职 责风险 未根据系统改进建议 及时完善系统运 行维护工作 一般信息科 三 信息系统运行维护管理风险防控措施 1 健全和完善财政局运维服务管理办法 制定相关实施细 则 规范运维工作程序 明确运维工作范围 2 信息科负责组织信息系统运维工作 严格按照财政局相 关制度办法开展 确保信息系统安全可靠运行 相关单位应配 合做好运维工作的监督与评价 108 3 采购运行维护单位时 针对信息系统情况定性和定量设 定条件 确保运维单位能够胜任运维工作 4 各单位根据信息系统使用情况 及时向信息科反馈信息 系统存在的问题 第三章 信息系统流程控制管理内部控制 第二十一条 信息系统流程控制风险是指业务流程未完全 固化在业务生产系统中 固化在信息系统中的业务流程未完全 实现有效控制 业务处理未完全通过信息系统执行 导致信息 系统支撑促进内部控制工作能力弱化的可能性 其中 重大风险是指因业务流程未固化在业务生产系统中 或固化在信息系统中的业务流程未实现有效控制 或业务处理 未 通过信息系统固化的流程进行等情形发生 严重影响内部控 制效 果 一般风险是指因业务流程在业务生产系统中固化程度不够 或固化在信息系统中的业务流程控制不完善 导致内部控制目 标某些方面或环节失效 第二十二条 流程控制风险主要体现在业务管理流程化设 计 控制措施与预警机制设定 信息系统实现 信息系统流程 应用等方面 第二十三条 信息系统固化和管控业务流程的程序 1 各科室 单位梳理完善业务流程 109 2 各科室 单位明确业务流程各环节控制活动 控制措施 等 3 各科室 单位提出业务流程固化和管理控制的业务需求 4 信息科综合分析业务需求 5 信息科负责通过信息系统实现业务流程固化和管理控制 第二十四条 业务管理流程化设计风险与防控 一 业务管理流程化设计风险点 1 对于手工操作存在管理风险的财政业务 各科室 单位 未提出通过信息系统进行流程固化和管理控制 仍采取手工方 式操作 增加了业务管理活动事前防范 事中控制 事后监督 的难度 存在内控漏洞 2 各科室 单位对需要通过信息系统固化的业务流程梳理 不全面 分析不系统 优化不合理 导致业务流程通过信息系 统固化后 难以有效发挥控制作用 3 各科室 单位业务流程变更频繁 影响信息系统稳定运 行 不利于信息系统操作责任追溯 二 业务管理流程化设计风险事件类型 风险类型风险点风险等级责任主体 制度流程 风险 对手工操作存在管理风险的财政业务 未通过信息系统进行流程固化和管理 控制 引发重大责任事故 重大各科室 单位 110 业务流程变更过于频繁 影响系统的 稳定性 一般各科室 单位 业务流程梳理不全面 分析不系统 优化不合理 一般各科室 单位 岗位职责 风险 业务流程各环节设定不合理一般各科室 单位 三 业务管理流程化设计风险防控措施 1 对于手工操作存在管理风险的财政业务 必须通过信息 系统固化流程 2 各科室 单位应按照业务实现的时间顺序和逻辑顺序 对需要通过信息系统固化的业务流程进行全面梳理 分析和细 化 科学设定业务流程各环节 确保各环节既覆盖业务管理全 过程又利于倒查问题根源 3 各科室 单位应将整理好的业务流程形成书面材料 4 各科室 单位应切实结合财政管理和改革的实际需要 审慎处理流程变更 避免流程变更的随意性 若确需变更 要 充分考虑与原有业务的衔接 第二十五条 控制措施与预警机制设定风险与防控 一 控制措施与预警条件设定风险点 1 各科室 单位对于业务流程的各环节未设置控制措施和 预警机制 导致内部控制无法实现 2 各科室 单位对业务流程各环节授权控制不合理 对关 键环节未设置不相容岗位 职责 或不相容岗位 职责 分离 措施不到位 导致一人可以操作流程的多个环节 无法形成相 111 互制约 相互监督的工作机制 3 各科室 单位对各项控制措施未设置预警机制或设置不 合理 导致信息系统自动控制 风险揭示能力弱化 二 控制措施与预警条件设定风险事件类型 风险类型风险点风险等级责任主体 制度流程 风险 对业务流程关键环节未设置不相容岗位 职责 或不相容岗位 职责 分离措施 不到位 出现重大责任事故 重大各科室 单位 对业务流程某些环节未设置授权或授权不 合理 出现重大责任事故 重大各科室 单位 岗位职责 风险 控制措施未设置预警机制或设置不合理一般各科室 单位 三 控制措施与预警条件设定风险防控措施 1 各科室 单位应结合本单位业务和流程 全面梳理所涉 及的不相容岗位 明确各个环节的岗位设置及职责 2 各科室 单位应对不相容岗位 职责 实施分离措施 明确细化职责 形成各司其职 各负其责 横向与纵向相互制 约监督的工作机制 3 各科室 单位应建立授权管理体系 明确各岗位的授权 主体 范围与权限 科学分配权利 确保各岗位人员在授权范 围内开展工作 切实达到分事行权 分岗设权 分级授权的要 求 4 各科室 单位应根据控制措施 合理设置预警条件 5 各科室 单位应制定书面的岗位职责说明及授权控制说 明 112 第二十六条 信息系统实现风险与防控 一 信息系统实现风险点 1 信息科对各科室 单位提出的需求调研不深入 理解不 准确 导致系统功能不完善 授权管理功能弱化等 造成信息 系统强化流程控制 风险揭示和自动控制能力弱化 2 业务流程发生变更后 各科室 单位未提出流程变更申 请 导致新的内部控制措施失效 3 各科室 单位提出流程变更申请 信息科未及时通过信 息系统实现 导致信息系统不能按时实现新的控制 影响财政 业务顺利开展 4 信息科对流程变更的信息化实现考虑不周全 影响上下 游业务正常开展 导致业务中断的可能性 二 信息系统实现风险事件类型 风险类型风险点风险等级责任主体 信息系统未按要求实现业务流程和管 理控制的固化 出现重大责任事故 重大信息科 制度流程 风险 变更流程时 未提出需求变更申请一般各科室 单位 对业务需求调研不深入 分析不全面一般信息科 变更流程后 仍使用原有系统进行业 务操作 一般各科室 单位 未根据流程变更需求及时完善信息系 统 一般信息科 岗位职责 风险 流程变更的信息化实现未达到预期效 果 一般信息科 113 三 信息系统实现风险防控措施 1 各科室 单位提出需要通过信息系统实现的业务流程及 其控制活动 控制措施等 形成业务需求方案 经单位负责人 审批并盖章后提交信息科 2 信息科对业务需求进行分析 若业务需求不符合信息系 统开发设计要求 信息科提出改进建议并退回 单位将业务需 求修改完善后重新提交 3 信息科按照需求将业务流程固化在信息系统中 并将控 制活动 控制措施等嵌入信息系统 确保授权处理无误 不相 容岗位相互分离 实现操作过程留痕 责任可追溯 最大限度 减少人为操纵因素 4 业务流程发生变更后 各科室 单位要及时形成流程变 更书面材料 经单位负责人审批同意后提交信息科 5 信息科应及时受理各科室 单位的变更需求 并做好分 析研究 对于符合要求的变更申请 应抓紧组织相关功能模块 的改造工作 第二十七条 信息系统流程应用的风险与防控 一 信息系统流程应用风险点 1 各科室 单位未通过已固化流程的信息系统开展财政业 务工作 导致信息系统固化流程和管理控制作用无法有效发挥 2 操作人员未经授权擅自进入信息系统后台操作 导致绕 114 过流程控制的风险 3 与外部相关单位恶意串通 绕开流程进行后台操作 窃 取财政业务信息 谋取利益 存在廉政风险 二 信息系统流程应用风险事件类型 风险类型风险点风险等级责任主体 未通过已有信息系统开展相应财政 业务 一般各科室 单位 未制定系统使用操作规程一般信息科 制度流程 风险 技术监控措施不到位一般信息科 岗位职责 风险 未经授权擅自进入信息系统后台操 作 造成重大责任事故 重大各科室 单位 廉政风险 绕开流程进行后台操作 窃取财政 业务信息 谋取利益 重大各科室 单位 三 信息系统流程应用风险防控措施 1 各科室 单位应建立健全规章制度 确保财政业务通过 信息系统处理 实现内部控制的程序化和常态化 2 信息科制定信息系统操作规程 加强培训 确保各科室 单位正确应用信息系统 3 信息科应强化技术监控 通过自动报告 跟踪处理 日 志管理等机制 及时发现异常或违背内部控制要求的操作 妥 善进行处置并向内控办报告 115 第四章 数据应用与管理内部控制 第二十八条 数据应用与管理风险是指在数据规划 数据 收集 数据管理 数据应用过程中 由于不主动提供数据 违 规操作数据 越权使用数据 提供的数据不规范等原因 导致 信息化数据分析利用和辅助决策能力弱化的可能性 其中 重大风险是指由于单位间信息不共享或不该共享的 数据共享 数据不贯通等 导致相关单位无法正常开展工作 或者由于数据失真 使用不当 导致决策出现失误 或者由于 数据保管不当 越权使用数据 导致数据丢失或信息泄漏 一般风险是指由于单位间信息未完全共享 数据未完全贯 通 加重相关单位工作负担 一定程度上影响工作效率 第二十九条 数据应用与管理遵循以下流程 一 数据规划 信息科会同各单位按照财政改革和发展 需要 通过科学规划和设计 建立面向实际财政业务的数据标 准和信息资源目录体系 二 数据收集 按照各单位提出的数据收集需求 信息 科收集财政业务管理需要的各类数据并进行集中管理 三 数据管理 按照各单位提出的数据存储需求 信息 科对收集到的各类数据进行筛选 分类 调整 并实现安全存 储 有效管理 四 数据应用 信息科对各单位提出数据应用需求进行 116 技术实现 提供技术检索 展现及分析工具 第三十条 数据应用与管理风险主要体现在数据规划 数 据收集 数据管理和数据应用等工作过程与环节 第三十一条 数据规划的风险与防控 一 数据规划流程 1 信息科制定数据标准 2 各科室 单位按照数据标准梳理业务数据 形成本单位 信息资源目录体系 3 信息科审核汇总各科室 单位信息资源目录体系 形成 财政信息资源目录体系 二 数据规划风险点 1 缺少数据共享意识 不愿主动提供数据 导致上下游业 务运行不畅 加重工作负担 或造成辅助决策无数据可依 2 数据共享失误 将不能共享的数据进行共享 或应授权 访问的信息未设防 导致信息泄漏 带来重大安全隐患 3 各科室 单位信息资源目录体系不完整 不清晰 有关 约定未遵循统一的数据标准 造成财政局信息资源目录体系编 制不科学 不合理 无法起到实际指导作用 三 数据规划风险事件类型 风险类型风险点风险等级责任主体 制度流程 风险 信息资源目录体系不完整 不清晰 数据标准不统一 不完善 一般 信息科 各科室 单位 117 风险类型风险点风险等级责任主体 数据共享出现错误 将不能共享的数 据共享 造成重大泄密事件 重大各科室 单位 未明确数据可共享的范围 造成泄密 事件 重大各科室 单位 岗位职责 风险 缺少数据共享意识 不愿主动提供数 据 一般各科室 单位 四 数据规划风险防控措施 1 各科室 单位应树立数据共享意识 建立数据共享机制 视共享为常态 不共享为例外 主动共享数据 并保证数据的 真实 准确 完整 及时 2 信息科会同各科室 单位依据实际财政业务制定统一的 数据标准 明确数据来源 类型 层次 口径 安全等级 用 户范围 访问权限等信息 数据标准制定要科学合理 涵盖财 政业务的各个方面 具有指导性和约束力 3 各科室 单位按照统一的数据标准 结合自身业务发展 规划 梳理本单位的数据和从外部获取的业务管理需要的数据 形成本单位信息资源目录体系 信息资源目录体系经单位负责 人审批并盖章后提交信息科 4 信息科综合各科室 单位信息资源目录体系 统筹规划 科学分析 研究制定财政局信息资源目录体系 5 各科室 单位根据工作需要及时更新本单位信息资源目 录体系 并提交信息科 信息科按照各科室 单位信息资源目 录体系变更情况修改完善财政局信息资源目录体系 确保数据 118 信息真实 准确 完整 及时 第三十二条 数据收集的风险与防控 一 数据收集流程 1 各科室 单位提出数据收集需求 2 信息科按照数据收集需求收集数据 并将收集结果反馈 相关单位 二 数据收集风险点 1 各科室 单位不结合本职工作实际 不主动沟通协调获 取外部部门或单位数据 导致信息不对称 精细化管理弱化 2 各科室 单位对内分享数据 只提供短期或临时数据 分享数据缺乏持续性 导致数据断层 断档 影响他人决策使 用 3 从外部搜集数据时 由于沟通协调不够 无法获取所需 要的数据 导致数据不全 三 数据收集风险事件类型 风险类型风险点风险等级责任主体 制度流程 风险 各科室 单位只提供短期或临时数 据 分享数据缺乏持续性 一般各科室 单位 风险类型风险点风险等级责任主体 制度流程 风险 收集数据时 技术实现和服务保障 执行不到位 一般信息科 未按数据规划提出数据收集需求一般各科室 单位 岗位职责 风险 收集数据时 相关单位未协调配合一般各科室 单位 119 外部风险 由于沟通协调不够 外部单位不愿 意提供数据 一般各科室 单位 四 数据收集风险防控措施 1 各科室 单位严格按照数据规划 结合实际工作需要 提出数据收集需求 数据收集需求经单位负责人审批并盖章后 提交信息科 数据收集需求涉及多个单位时 应明确牵头单位 需求确定如存在争议 应提请信息科研究解决 2 信息科根据各科室 单位提出的数据收集需求 分析整 理 统筹安排 开展数据收集工作 并做好技术实现和服务保 障 3 各科室 单位应主动公开 共享业务数据 做到及时更 新和长期输出 并配合信息科做好数据收集工作 4 信息科从局外单位收集数据时 各科室 单位应主动协 调配合 推进收集工作开展 第三十三条 数据管理的风险与防控 一 数据管理流程 1 各科室 单位提出数据规范存储需求 2 信息科按照各科室 单位数据存储需求处理并存储数据 并将处理结果反馈相关单位 二 数据管理风险点 1 缺少有效的数据管理机制 如授权机制 查询机制 造 成数据管理混乱 存储无序 120 2 存档入库数据未经分类处理及必要的清洗 导致数据冗 余或口径不对 降低数据使用效率 3 未按安全等级分类存储数据 如在业务专网上承载涉密 数据 导致重大信息安全隐患 4 未建立数据备份与恢复机制 导致数据丢失 5 利用数据管理之便 窃取财政信息 谋取私利 引发廉 政风险 三 数据管理风险事件类型 风险类型风险点风险等级责任主体 未按安全等级分类存储数据 造成 失密事故 重大各科室 单位 未建立数据备份与恢复机制 导致 数据丢失 重大各科室 单位 制度流程 风险 缺少有效的数据管理机制一般各科室 单位 存档入库数据未经分类处理及必要 的清洗 一般各科室 单位 岗位职责 风险 数据未经分类便存档入库一般各科室 单位 廉政风险 利用数据管理之便 窃取财政信息 谋取私利 重大各科室 单位 四 数据管理风险防控措施 1 信息科建立规范的数据管理机制 加强使用授权 优化 存储查询 确保数据的规范性和准确性 2 各单位根据业务实际 提出数据存储需求 明确数据存 储数量 时间和访问权限等 经单位负责人审批并盖章后提交 信息科 3 信息科对收到的数据存储需求进行分析 对不符合标准 121 规范的 退回需求单位修改完善后重新提交 对符合标准规范 的 通过筛选 分类 调整等处理程序 剔除冗余 补充遗漏 完成数据存储 4 信息科按照安全保密措施妥善保管数据 建立目录索引 控制访问权限 确保数据安全 第三十四条 数据应用的风险与防控 一 数据应用流程 1 各单位提出数据应用需求 2 信息科综合分析应用需求 实现数据应用 二 数据应用风险点 1 共享数据不可用或可用性不强 无法达到预期使用效果 增加了数据综合利用的难度 不利于业务管理水平提高 2 数据引用不正确 造成决策分析失误 3 在数据复制转移过程中 未遵照保密规定进行违规操作 造成信息泄漏等重大风险 4 利用数据应用的机会 蓄意窃取财政信息 谋取私利 存在廉政风险 三 数据应用风险事件类型 风险类型风险点风险等级责任主体 制度流程 风险 数据使用授权不正确 发生泄密事件重大各科室 单位 122 共享数据不可用或可用性不强一般各科室 单位 在数据复制转换过程中 未遵照保密 规定进行违规操作 发生泄密事件 重大各科室 单位 岗位职责 风险 数据引用不合理 使用不正确一般各科室 单位 廉政风险蓄意窃取数据 谋取私利重大各科室 单位 四 数据应用风险防控措施 1 信息科建立规范的数据应用机制 加强权限管理 实现 流程控制 确保数据真实 准确 完整 及时 2 各科室 单位根据工作实际 提出数据应用需求 明确 数据类型 层次及口径 并说明应用范围和具体用途 数据应 用需求经单位负责人审批并盖章后提交信息科 3 信息科对收到的数据应用需求进行分析 对不符合标准 规范的 退回需求单位修改完善后重新提交 对符合标准规范 的 做好数据准备 明确数据来源 核对数据口径 设计应用 规则 进行数据使用授权 实现数据应用 4 各科室 单位严格按照授权使用数据 并将使用情况和 效果反馈信息科 5 各科室 单位在数据复制转移过程中 要严格执行有关 保密规定 实现操作过程留痕 责任可追溯 最大限度减少人 为操纵风险 123 第五章 信息系统安全管理内部控制 第三十五条 信息系统安全风险是指在信息系统建设 应 用与运行维护过程中 由于管理制度不健全 信息安全意识淡 薄 安全防护技术或管理措施不到位 导致系统权限被冒用 存在重要信息泄漏 篡改的可能性 或信息系统自身抵御外部 攻击能力不强 突发事件处理机制不到位 造成信息系统瘫痪 业务中断 数据丢失等可能性 其中 重大风险是指因技术防护措施或管理严重缺失导致 业务系统长时间无法恢复 涉密 敏感信息泄漏 丢失 系统 瘫痪 业务中断等安全事件发生 对国家安全 财政业务开展 造成较大损失 一般风险是指因安全防护技术措施或管理制度不到位导致 一般信息泄漏 系统暂停运行等安全事件发生 对财政业务开 展造成影响和一定损失 第三十六条 信息系统安全管理风险主要体现信息系统建 设安全管理 信息系统运行安全管理 信息系统运维安全管理 信息系统应用安全管理 信息系统安全审计管理 信息系统灾 备与应急管理等方面 第三十七条 信息系统建设安全管理风险与防控 一 信息系统建设安全管理风险点 1 信息系统建设安全管理制度不完善 安全责任主体不明 124 确 出现安全与管理越位或缺位 安全管理 安全检查缺失 安全技术标准执行混乱或执行不力 2 信息系统建设安全管理制度和安全技术标准执行不严 安全管理责任没有落实或落实不到位 导致出现安全风险 3 信息系统立项时 各科室 单位未提出安全保密需求或 安全需求不明确 未确定信息系统安全等级保护级别 系统建 设时 缺乏安全设计或安全设计不完善 存在安全隐患或漏洞 4 信息系统安全教育和培训不足 信息安全意识欠缺 导 致在系统建设时安全考虑不足 二 信息系统建设安全管理风险事件类型 风险类型风险点风险等级责任主体 系统正式运行前未按分级保护或等级 保护相关要求对信息系统进行安全定 级 检测和测评 重大信息科 办公室 各科室 单位之间信息系统安全建设 与管理的责任主体不明确 重大各科室 单位 制度流程 风险 信息系统安全建设和管理制度不完善一般信息科 办公室 系统建设前未提出安全需求或系统建 设时未考虑安全功能的实现 重大各科室 单位 未严格执行信息系统安全建设制度一般各科室 单位 岗位职责 风险 信息系统安全需求不明确或实现的安 全功能不完善 一般各科室 单位 三 信息系统建设安全管理风险防控措施 1 完善信息系统建设安全管理制度和技术标准 建立分工 125 明确 责任明晰的信息系统建设管理安全责任制 办公室负责 涉密信息系统的安全保密管理 信息科负责信息系统的安全规 划 建设和安全标准 规范的制定以及非涉密信息系统的安全 管理 各科室 单位负责提出信息系统的建设安全需求和安全 等级保护定级建议 明确操作人员及其权限 未经信息科确定 各科室 单位不得发布与信息安全相关的标准 规范 2 各科室 单位提出信息系统业务需求方案时 应评估业 务系统和数据的安全需求 按照国家分级和等级保护的标准要 求 提出系统定级建议 办公室负责审核确定涉密信息系统的 安全保护等级 信息科审核确定非涉密信息系统的安全保护等 级 3 信息科按照国家分级和等级保护的标准要求 依据信息 系统确定的安全定级和安全需求 进行信息系统安全设计 建 设和测试 4 系统建设过程中 加强系统安全管理功能与性能审查 测试 5 加强信息安全保密教育 组织信息安全培训 增强信息 安全意识 第三十八条 信息系统运行安全管理风险与防控 一 信息系统运行安全管理风险点 1 信息系统和相应的基础软 硬件环境运行监控管理手段 不完善 对故障的事前预警能力不高 信息系统或基础软 硬 126 件环境出现的故障得不到及时发现和解决 存在业务中断的安 全隐患 2 信息系统未按照涉密等级要求部署在正确的网段上 造 成高密级的信息在低密级网段上运转 存在秘密信息泄漏的风 险 3 涉密信息系统上线运行后 没有按照确定的涉密等级加 载涉密信息 导致低密级信息系统加载高密级的信