信息系统管理风险内控管理办法讲义

信息系统管理风险内控管理办法讲义内控制度体系：一个根本制度八个专项内部控制方法

内部控制根本制度法律风险机关运转风险预算编制风险预算执行风险公共关系风险信息系统管理风险岗位利益冲突风险政策制定风险定义：指在信息系统建立管理过程中，因相关管理制度、工作机制和标准标准不完善或执行不到位，在信息系统建立、流程管理、数据应用管理和信息平安等方面存在隐患，导致系统建立碎片化、系统运行不稳定、信息平安不可靠、信息化管理决策能力弱化，系统无法有效发挥业务支撑与管控作用的可能性。目标：综合运用信息化建立管理制度、标准标准和内部控制方法，将信息系统管理风险防控措施贯穿于信息系统建立、管理与应用全过程，对信息系统建立、管理和应用进展全程控制；将内控理念和控制活动、措施嵌入信息系统，对业务流程运行进展实时监控，最大限度减少人为操纵因素，确保系统运行协同、业务流程固化、业务管理衔接以及信息共享、数据平安。

信息系统管理风险的定义、目标信息系统管理风险的内容、分类四项内容

分类：制度流程风险、岗位职责风险、廉政风险、外部风险

重大风险、一般风险信息系统流程控制风险信息系统流建立风险数据应用与管理风险信息系统平安管理风险信息系统管理风险防控机制〔一〕：职责

内控委：制度制定，定级追责，改进措施内控办：检查考评，调查处理，催促落实数字中心：组织实施，发现问题，及时提示各单位：持续防控，及时报告，协助调查

信息系统管理风险防控机制〔二〕：流程

发现问题应对措施各单位应在第一时间报告内控办和数字中心。数字中心会同有关单位及时采取应对措施，最大程度防止或减少负面影响；在分清责任的根底上，深入查找风险事件发生的原因，提出解决方案、风险定级和责任追究建议，向内控办报告，并有针对性地制定或完善制度措施。分析原因解决方案完善制度问题防范第二局部信息系统建立管理风险防控信息系统建立管理风险是指信息系统建立未遵循一体化指导思想和信息化建立相关制度、标准标准，导致信息系统建立脱离统筹规划、过程管理不标准、标准不统一、信息不共享、业务不协同，造成流程固化与控制能力弱化，影响信息系统在财政管理中的整体效用。重大风险是指因不执行财政信息化建立规划和年度方案，擅自开发、推广信息系统，导致财政资金的重大浪费。一般风险是指系统建立与管理某些环节不到位，导致系统功能不完善、运维响应不及时等情况，一定程度上影响信息系统建立和应用，对业务工作的正常开展带来一定的负面影响。

信息系统建立管理风险防控的内容：总体建立规划：数财办编制总体规划，报数字财政建立领导小组审批年度工程方案：各单位上报工程方案，数财办组织评审论证，报数字财政建立领导小组审批，数字中心列入预算建立实施：各单位提供业务需求，数字中心组织开展需求分析、系统设计、开发、测试、试运行、验收、实施等运维管理：数字中心统一组织开展各信息系统的运行维护管理政府采购：各单位提出业务需求，数字中心编制采购文件组织采购信息系统建立管理风险防控的流程信息系统建立管理风险防控的流程总体建立规划风险防控措施：1.加强财政信息化总体建立规划的研究，既立足解决当前业务管理需求，更着眼于信息化开展方针政策和财政改革开展要求，增强规划的前瞻性、科学性和持续有效性。2.各单位结合财政改革开展要求，及时向数财办提供业务管理规划相关资料，确保总体建立规划能充分表达各单位业务改革的推进要求。3.各单位不得自行制定、执行本单位业务管理信息系统建立规划，应将本单位业务管理需求全部纳入总体建立规划。4.信息系统建立应严格执行总体建立规划，各单位依据总体建立规划提出年度信息化建立规划。信息系统建立管理风险防控的流程年度方案风险防控措施：1.各单位提出信息系统建立的详细业务需求，清晰设定业务流程，对本单位相近、类似的业务需求进展归类申报，经单位负责人审批并盖章后提交数财办；业务需求涉及多个单位的，应明确一个牵头单位。2.数字中心综合分析业务需求，结合总体建立规划和信息系统建立成果，按照一体化建立要求整合需求，确定合理的需求实现方式，确立建立工程。3.信息系统工程建立方案实行专家评审机制，数财办组织信息系统工程方案审核时，评审人员可由财政内部或外部专家组成。4.数字中心严格按照批准的年度工程方案组织开展信息系统建立，不得在年度工程方案外开展信息系统建立。信息系统建立管理风险防控的流程政府采购风险防控措施：1.数字中心负责编制采购文件，相关单位及时提供相关业务材料，审核业务内容是否全面、准确。2.采购文件内容应清晰具体，确保投标单位能准确理解业务需求和技术要求；在资质要求、评标标准等方面不得含有倾向性内容。3.各单位认真编制信息系统升级改造需求，数字中心根据升级改造需求合理编制采购文件。4.参与采购人员必须严格遵守相关规定，不得发表任何可能影响专家评审的言论，现场发言仅限于对业务需求和技术要求的释疑。信息系统建立管理风险防控的流程系统建立与实施风险防控措施：1.信息系统上线运行前必须进展试运行并通过验收。2.数字中心综合分析信息系统实施的业务与技术要求，制定详细的实施方案；相关单位提供信息系统实施所需的相关数据资料。3.数字中心会同业务部门负责信息系统的推广实施、实施系统版本管理和向用户单位分发软件，版本更换要履行规定程序。第三局部信息系统流程控制管理风险防控信息系统流程控制风险是指业务流程未完全固化在业务生产系统和办公自动化系统中、固化在信息系统中的业务流程未完全实现有效控制、业务处理未完全通过信息系统执行，导致信息系统支撑促进内部控制工作能力弱化的可能性。重大风险：因业务流程未固化在业务生产系统和办公自动化系统中，或固化在信息系统中的业务流程未实现有效控制，或业务处理未通过信息系统固化的流程进展等情形发生，严重影响内部控制效果。一般风险：因业务流程在业务生产系统和办公自动化系统中固化程度不够，或固化在信息系统中的业务流程控制不完善，导致内部控制目标某些方面或环节失效。

信息系统流程管理内容业务管理流程化设计控制措施与预警机制设置信息系统实现信息系统流程应用业务管理流程化设计风险防控措施：1.对于手工操作存在管理风险的财政业务，必须通过信息系统固化流程。2.各单位应按照业务实现的时间顺序和逻辑顺序，对需要通过信息系统固化的业务流程进展全面梳理、分析和细化，科学设定业务流程各环节，确保各环节既覆盖业务管理全过程又利于倒查问题根源。3.各单位应将整理好的业务流程形成书面材料。4.各单位应切实结合财政管理和改革的实际需要，审慎处理流程变更，防止流程变更的随意性。假设确需变更，要充分考虑与原有业务的衔接。控制措施与预警条件设定风险防控措施：1.各单位应结合本单位业务和流程，全面梳理所涉及的不相容岗位，明确各个环节的岗位设置及职责。2.各单位应对不相容岗位〔职责〕实施别离措施，明确细化职责，形成各司其职、各负其责、横向与纵向相互制约监视的工作机制。3.各单位应建立授权管理体系,明确各岗位的授权主体、范围与权限，科学分配权利，确保各岗位人员在授权范围内开展工作，切实到达分事行权、分岗设权、分级授权的要求。4.各单位应根据控制措施，合理设置预警条件。5.各单位应制定书面的岗位职责说明及授权控制说明。信息系统实现风险防控措施：1.各单位提出需要通过信息系统实现的业务流程及其控制活动、控制措施等，形成业务需求方案，经单位负责人审批并盖章后提交数字中心。2.数字中心对业务需求进展分析。假设业务需求不符合信息系统开发设计要求，数字中心提出改进建议并退回；单位将业务需求修改完善后重新提交。3.数字中心按照需求将业务流程固化在信息系统中，并将控制活动、控制措施等嵌入信息系统，确保授权处理无误，不相容岗位相互别离，实现操作过程留痕，责任可追溯，最大限度减少人为操纵因素。4.业务流程发生变更后，各单位要及时形成流程变更书面材料，经单位负责人审批同意后提交数字中心。5.数字中心应及时受理各单位的变更需求，并做好分析研究；对于符合要求的变更申请，应抓紧组织相关功能模块的改造工作。信息系统流程应用风险防控措施：1.各单位应建立健全规章制度，确保财政业务通过信息系统处理，实现内部控制的程序化和常态化。2.数字中心制定信息系统操作规程，加强培训，确保各单位正确应用信息系统。3.数字中心应强化技术监控，通过自动报告、跟踪处理、日志管理等机制，及时发现异常或违背内部控制要求的操作，妥善进展处置并向内控办报告。第四局部数据应用与管理风险防控数据应用与管理风险是指在数据收集、存储、处理和应用过程中，由于不主动提供数据、违规操作数据、越权使用数据、提供的数据不标准等原因，导致信息化数据分析利用和辅助决策能力弱化的可能性。重大风险：由于单位间信息不共享或不该共享的数据共享、数据不贯穿等，导致相关单位无法正常开展工作；或者由于数据失真、使用不当，导致决策出现失误；或者由于数据保管不当、越权使用数据，导致数据丧失或信息泄漏。一般风险：由于单位间信息未完全共享、数据未完全贯穿，加重相关单位工作负担，一定程度上影响工作效率。

数据规划风险防控措施：1.各单位应树立数据共享意识，视共享为常态、不共享为例外，主动共享数据，并保证数据的准确、完整。2.数字中心会同各单位依据实际财政业务制定统一的数据标准，明确数据来源、类型、层次、口径、平安等级、用户范围、访问权限等信息。数据标准制定要科学合理，涵盖财政业务的各个方面，具有指导性和约束力。3.各单位按照统一的数据标准，结合自身业务开展规划，梳理本单位的数据和从外部获取的业务管理需要的数据，形本钱单位信息资源目录体系。4.各单位根据工作需要及时更新本单位信息资源目录体系，并提交数字中心。数据搜集风险防控措施：1.各单位严格按照数据规划，结合实际工作需要，提出数据收集需求，并与数据生产方做好衔接。2.数字中心根据各单位提出的数据收集需求，分析整理，统筹安排，开展数据收集工作，并做好技术实现和效劳保障。3.各单位应主动公开、共享业务数据，做到及时更新和长期输出，并配合数字中心做好数据集中管理工作。4.数字中心从外单位收集数据时，各单位应主动协调配合，推进收集工作开展。数据应用风险防控措施：1.数字中心建立标准的数据应用机制，加强权限管理，实现流程控制，确保数据准确、平安。2.各单位根据工作实际，提出数据应用需求，明确数据类型、层次及口径，并说明应用范围和具体用途。数据应用需求经单位负责人审批并盖章后提交数字中心。3.数字中心对收到的数据应用需求进展分析，对不符合标准标准的，退回需求单位修改完善后重新提交。对符合标准标准的，做好数据准备，明确数据来源，核对数据口径，设计应用规那么，进展数据使用授权，实现数据应用。4.各单位严格按照授权使用数据，并将使用情况和效果反响数字中心。5.各单位在数据复制转移过程中，要严格执行有关保密规定，实现操作过程留痕、责任可追溯，最大限度减少人为操纵风险。第五局部信息系统平安管理风险防控信息系统平安风险是指在信息系统建立、应用与运行维护过程中，由于管理制度不健全、信息平安意识淡薄、平安防护技术或管理措施不到位，导致系统权限被冒用，重要信息泄漏、篡改的可能性；或信息系统自身抵御外部攻击能力不强，突发事故处理机制不到位，造成信息系统瘫痪、业务中断、数据丧失等可能性。重大风险：因技术防护措施或管理严重缺失导致业务系统长时间无法恢复，敏感信息泄漏、丧失，系统瘫痪、业务中断等平安事件发生，对信息平安、财政业务开展造成较大损失。一般风险：因平安防护技术措施或管理制度不到位导致一般信息泄漏、系统暂停运行等平安事件发生，对财政业务开展造成影响和一定损失。

信息系统平安管理内容信息系统建立平安管理信息系统运行平安管理信息系统运维平安管理信息系统平安审计管理系统灾备和应急管理信息系统建立平安防控措施：1.完善信息系统建立平安管理制度和技术标准，数字中心负责信息系统的平安规划、建立和平安标准、标准的制定以及非涉密信息系统的平安管理，各单位负责提出信息系统的建立平安需求和平安等级定级建议，明确操作人员及其权限。2.各单位提出信息系统业务需求方案时，应评估业务系统和数据的平安需求，按照等级保护的标准、要求，提出系统定级建议。数字中心审核确定非涉密信息系统的平安保护等级。3.数字中心按照等级保护的标准要求，结合各单位提出的平安需求，进展信息系统平安设计、建立和测试。4.系统建立过程中，加强系统平安管理功能与性能审查、测试。5.加强信息平安教育，组织信息平安培训，增强信息平安意识。信息系统运行平安防控措施：1.数字中心要进一步强化IT根底架构运行监控管理平台建立，完善监控管理手段，提高信息系统和根底软硬件资源环境运行故障的事前预警能力。各单位应及时将发现的信息系统运行异常通知数字中心，并配合进展异常情况调查和处置。2.系统上线运行后，应按照国家有关规定和标准，定期对非涉密信息系统开展等级保护测评，对不符合要求的事项，及时进展整改。3.后勤效劳中心应配合数字中心做好信息系统运行资源环境的保障工作，保证系统运行的连续性。如因特殊情况要求断电、断水时，应事先通知数字中心，在收到数字中心确认回复前方可实施。信息系统运维平安防控措施：1.由数字中心统一负责信息系统运行维护工作的组织管理。业务人员的运行维护需求应向数字中心提出，数字中心负责响应和协调安排解决。2.信息系统的所有运行维护操作都必须进展完整记录。3.标准业务系统上线、开放权限等变更操作流程，加强对后台设备和数据操作权限和操作行为的管理与审计，加强对业务系统操作人员的平安管理，标准平安操作行为。4.严格执行机房管理制度，进出机房的运维人员应完整填写相关登记表，详细说明要解决的故障，所涉及的设备、信息系统和数据，经审批前方可进入机房。信息系统平安审计防控措施：1.数字中心组织系统开发建立时，应做好审计系统的设计。加强对后台效劳器、数据、网络、平安等设备、系统运维操作的审计和对系统用户业务操作行为的审计。保证审计进程无法被中断，审计信息完整、不可更改，做到事后可追溯。2.各单位指定专人担任与本单位业务相关的应用系统的审计员，加强对应用系统的平安审计和业务审计。信息系统应用流程信息系统应用风险防控措施：1.信息系统上线运行前，应对业务人员进展操作与平安管理培训。2.加强个人计算机、IP地址、邮箱账号、应用系统账号、电子印章、数字证书USBKey等的管理。3.进一步强化身份认证与授权管理，省财政厅主导建立的业务系统必须使用财政数字证书，加强退职、退休、临时调出以及借调入厅等人员的数字证书及介质USBKey、电子印章等资源的回收和注销。4.加强平安教育和管理，标准使用计算机和业务系统。制止随意更改计算机配置和参数、安装来历不明的软件、导入未经平安检查的文件和数据、连接其他网络和设备等。5.按照系统授权进展平安操作，