信息系统管理业务内部控制矩阵

信息系统管理业务内部控制矩阵业务目标业务风险控制点适用单位不相容控制相关点料相关制会计报表认定完存在和发生利真义务;2值价或分摊；5表达和披露；6准确性会计报表项23561・IT整体层面管理经营风险:信息化管理体系不完善，信息化领导小组或ERP指导委员会设置不健全，信息管理部门职责不落实，导致信息化工作受损。股份公司建立完善的信息化管埋体系，设立ERP指会，设立信息系统管理咅部负责股份公司信息化归作；各分（子）公司设立信息化领导小组或、ERP扌会,定期召开会议，听取、总结和指导本单位信息设立信息管理部门负责本单位信息化管理工作，）统和信息资源行使管理职责。昔导委员口管埋丄指导委员、化工作，〈寸信息系总部分（子）公司6ERP指导委员会或信息化领导小组成立文件；会议纪要信息管理部门职责文件1.10.5经营风险:信息化建设中长期规划不符合股份公司经营战略目标，导致盲目建设、投资低效。根据展和司信和分见负限审5股B股份亏息化卜（子1责纟=*批/彷公司发展战略目标和核心业分公司实际，信息系统管理咅匕建设中长期规划，在充分彳」广）公司意见后，组织专家纟1织修改，经信息系统管理咅弓，纳入股份公司中长期发展上务，结合市负责组织正求职能咅冃评审，并市主任审核曼规划。亍信息2编卡『门F根扌區,\息技术发制股份公事业部据专豕意按规定权信息系统管理部5股份公司信息化建设中长期规划1.10.5教育和培训经营风险：信息化培训缺之，导致信息系统效能低下、信息化管理水平不高、、信息化技能缺失。经部门负责人审批后，纳入人事部门年度培训织落实。了计划计并组信息系统管理部分（子）公司2年度培训计划1.10.5经营风险：信息安全教育不足，导致员工信息安全意识薄弱。1.3教育材料孕和培训，并在信息门户或内部网站发布安全教育培训才。…信息系统管理部分（子）公司2安全教育培训材料1.10.5风险IF:经营风险:信息系统风险评估缺失，导致信息系统风险。1.4.1根估管理办年度综合风险评估意见并签、门通过括企业信风险等,息管理咅乏据《中国石油化丄股份有限F法》，信息系统管理部负责鈿风险评估，形成风险评估扌舌报告进行评审，专家组对风釜字；分（子）公司信息管理丈多种形式，组织本单位信息言息系统整体风险、重点系纟形成相关风险评估报告，并耳门负责人审核签字后报信息乏公司信息海年对信艮告，并纟礼险评估扌里部门会同旨系统的风不风险、主丰将风险评旨系统管埋息系1织:良告?可相］（险i阿估I部,允风险评5统进行专家组对是出评审关业务部评估，包基础设施报告经信备案。信息系统管理部分（子）公司4风险评估报告2.10.3信息安全管埋,、.r.-,—.•-»•、.tt»v.»、、t.r、tt>■*—.经营风险：信息安全规划不当，信息安全方案缺失，导致信息系统风险。1.5能咅并根核后各分结合出的审批.1信息系统管理部负责『门、事业部和分（子）艮据专家意见负责组织修亍，正式发布。卜（子）公司信息管理部F自身生产经营管理的需勺问题，负责制订本企业F后报信息系统管理部备勺编制信息安全规划，在征求职公司意见后，组织专家组评审，參改，经信息系统管理部主任审门根据股份公司信息安全规划，崙要，并针对风险评估报告中提/的信息安全方案，经分管经理$案。信息系统管理部分（子）公司4信息安全规划、、信息安全方案2.10.2

业务目标业务风险控制点适用单位控制相控制料礬制会计报表认定完H和縈真表达y估价或分摊；5表达和披露；6准确性会计报表项123456经营风险：系统未确定关键岗位，关键岗位缺乏监管，导致系统存在安全隐患。1.5.2依照理办法》规息系统关键位由信息管主管业务部岗位名录”统关键岗位可《中国石油化丄股,见定，各级信息管理-津岗位名录”，其中涉爭理部门确定，涉及一市门商本单位保密委上的关键岗位人员:芷安全责任书”，并在份有限部门〕步及信业务员会/要与丿E人事艮公司信息系统安全管负责提出本单位的“信訂息系统安全的关键岗信息安全的关键岗位由确定。信息系统关键所在单位签署“信息系「部门备案。总部各部门分（子）公司3信息系统关键岗位名录信息系统关键岗位安全责任书2.10.2经营风险：系统安全岗位设置缺失，导致系统存在安全隐患。1.5.3各级信息管埋部门根据司信息系统安全管理办法》中位分离的原则，设立安全管理应资质，，，并经部门负责人审批:的有:口/贝。安授权C對石油化丄股份有关要求，按照不相安全管理员必须丿）F限公目容岗W有相相信息系统管理部分（子）公司3安全管理员授权书安全管理员资质证书2.10.22..编制年度坝目建议计划.经营风险:年度信息化项目建议计划不符合股份公司经营战略目标,导致盲目建设、投资低效。信息糸职能部结合年统管理司年度司信息按规定科技开部门审统管理门、事度实际部主任投资计管理咅权限审发项目核。手业5，匸审戈了批寸建根据股份部、分（编制年度核，按规、科技开负责编制后，分别议计划，公司信息化子）公司!信息化项定权限审扌发项目计?年度信息4纳入本单上报信息;七建设中长申报的项目建议计划批后，分别划管理。各化项目建议立年度投资系统管理亡目建议计制，由彳労纳入股冬分（子义计划子W建议计吊和总亡十划殳份页案一戈毒系扌公公1，JJ、目关信息系统管理部分（子）公司5信息化建设年度计划1.10.53.坝曰可行性研究和评审经营风险：项目可行性研究报告提出的技术方案不合理,业务流程不规范，系统功能不健全，可研评审不到位，导致系统建设不能满足业务需求。信息管埋部位承担项目报告进行评险分析、投评审意见并,・•・■、》节门会弓可行平审，殳资与丰签字同项目责性研究，专家组对效益、进。任部并组:项目度、门（单位丿委托织专家组对项;需求、目标、扌组织落实等提t!有资格i可行性支术路纟tl可行f$的单生研究戋、风生研究信息系统管理部分（子）公司5可行性研究报告1.10.24•.坝曰立坝审批经营风险:信息化项目缺乏统一归口管理，审批过程不规范，导致重复建设，低效投资。通过可信息技准立项部立项项目，由各事划，须各分（部每年经营管息系统度投资通过可开发部目计划研评审术项目的项目的固定由信息业部审经信息子）公核定的理的需管理咅计划管研评审立项,。了的=，=，毒系了批毒系'司勺限寻要E和于理了的批固定资产投资由信息系统管「由发展计划部.产投资限额（统管理部负责的投资限额以统管理部和发.一般措施及零-额以内，由各，按规定权限发展计划部审;科技开发项目准立项的项目限额（200万元理部报发展计划列入年度投资计200方兀）以审批，报发展计下的信息技术项展计划部会签。星购置的信息扌分（子）公司根审批后报各主管核备案，并纳丿，由信息系统乍，由科技开发乍G及以上制部立项,十划；申请F的信息技十划部备案页目投资计支术项目在艮据当期生爭事业部、'股份公司爭理部报禾弔列入年度1的批竽总沐1；卜E总三产［年斗技丢项信息系统管理部发展计划部科技开发部事业部分（子）公司5立项批文1.10.2经营风险：总体（基础）设计技术方案不合理，业务流程不规范，系统功能不健全，专家组评对批准立项的、管理部委托有资设计，其中投资格的在位按万元及项上进行总体信基糸统在2000万元及以上的项目需组织专家组信息系统管理部3总体（基础）设计评审材料1.10.

业务目标业务风险控制点适用单位岗位控制相关资料相关制会计报表认定值价或分摊；5表达和披露；6准确性会计报表项123456审不到位，导致系统建设不能满足业务需求。对项析、由信划部二丿息、备总体（标、功系统管案。.基础）设1能设计、:理部负责'计进行评审,专评审意坝并签字分审批总体（基础）设计，报发展计5・合冋签订经营风险:承建单位资质及经验欠缺，导致项目建设受损。未经审核，变更信息技术合同标准文本中涉及的权利、义务等条款，导致财务风险。财务风险：交易不真实，影响财务报告。信息管理咅1咨询商、开等工作；涉由物资采购作。依照规签订合同；并由负责人F发及:瑯S定项、签负责纟商及门归1权限］目责彳字确认且织项目责仕部门（单位丿申共应商的资质，开展询比价卜算机服务器、PC机、打印机口管理、信息管理部门配合并按经法律事务部审定的标壬部门（单位）负责完成合同人。查集成、商务n采购开展采准合同技术I及商、事宜尺购］习文,付件,，信息系统管理部物资装备部分（子）公司4合同技术附件1.10.2V固定资产无形资产6.坝目实施经营风险：详细设计技术方案不合理，业务流程不规范，系统功能不健全，审查不到位，导致系统建设不能满足业务需求。项目实计，详目、引与项目需由信目实施力也单位细设计进试点类别相息管理单位根根据合的形J项目、适应i部门纟据审d式可彳推丿的形:组织'查意一技术附件或根据项目广完善项1式，投资彳人员对项见进步彳必总体设计进行详细类别的不同（自主开目、基础设施项目）在500万兀及以上的目详细设计进行审查修改完善深化详细设干发项采取勺项目呈，项殳计。信息系统管理部分（子）公司4项目详细设计1.10.2经营风险：基础数据不完整、不准确、不真实，导致系统无法正常投运或计算出错。项目责任咅的真实、完X」（单位1、录入、噬和准力J负责项目实施，业务部门组织数审核，并进行审查和确认，保证确。―r—•*、v»、>“、*t..»•rr一.->.k_,—r正数扌、.、据信息系统管理部分（子）公司31.10.2用户d损。合规丿产权,受到?刈险：系统安装调试不当，培训缺失，导致系统运行受风险:安装的软件侵犯知识导致诉讼及股份公司声誉损害。信息装调查相管理部门负责对试、用户培训］应软件的合法彳甘项进行性,扌检查，审提供经双:立承担的软硬核和字的测试报告，并检记录。信息系统管理部分（子）公司3系统安装调试和用户培训报告软件验收报告1.10.2经营建设:用。风险：项目监管不力，系统延误，导致系统不能按期投信息管理部门负责纟建设质量、进度、、彳验收报告；项目实方改完善。500万元以下的一般况，只进行竣工验q且织对坝标准执行奄单位根殳信息技攵。..｛目建设的阶段验收，进行」和成本控制等检查，提出扌据阶段验收报告对系统亍［术项目可根据项目具体实丁项目ts阶段企行修E施情信息系统管理部分（子）公司3阶段验收报告1.10.2经营建设:用或,财务丿财务?风险：项目监管不力，系统延误，导致系统不能按期投资金流失。、、风险：未按约定付款，影响报告。项目责交项目存在问规定权任部门实也报题和整限审批（单位）负责至告，内容包括改措施等；根后办理付款。至少每季度向信息管理部:项目进度、、质量、经费吏｛据合同约定填与付款申T吏用、、青，按信息系统管理部分（子）公司经办审批3项目实施报告付款申请1.10.2在建工程货币资金应付账款经营成系纟风险：集成测试不完整，造统评估不准确。信息管埋部门修改见;并根组织对系统进据集成测试评Z价意见责成项目实施单位进行信息系统管理部分（子）公司3集成测试评价意见1.10.2成系统应用维护困难心坝目责提交项手册、户培训仕部门（单位目相关的技丿系统安全和彳教材等资料:J贝丿术文彳吏用扌）。成项目实也档（包括丿授权管理3剋单位负责知识转移，并用户吏用手处理办统维护用信息系统管理部分（子）公司5项目技术文档1.10.2

业务目标业务风险控制点适用单位岗位控制相控制料相关制会计报表认定完存在和发生利真表估价或分摊；5表达和披露；6准确性会计报表项1234567.项目竣工验收~~二....经营风险：单轨运行时间过短，无法完成对系统的准确评价项的稳方请司分形目完项目定运式提并审，由自行（子:成验三成全部的规1单轨连续彳M行3个月吉父项目竣一『核。总部扌H言息系统〃「批复的项）公司信息（1收意见并纟况定急定以上匸验批复管埋曰向管埋签字f曰标仕务后二运行6个月［，由项目贡1收申请，冋啲项目向言1部负责组织］企业信息管1部门负责组亍，投资2000万兀以上，其它项目单M壬部门（单位）以正［时提父项目验收相4息系统管理部提交1项目验收工作。分［理部门提交验收申［织项目验收工作。匸及以上牡轨连续E式行文目关材料1验收申于（子）公R请，由专家组信息系统管理部分（子）公司4项目验收意见1.10.2经营风险：竣丄验收审计报告不严格，导财务风险：未按约亍财务报告。合规风险:违反国家制度，造成项目资I（决算报告或丰致资金外流定付款，影响壬和企业会计金损失。信息管务部门续，按责人审位人员在信息据有关部门负岗位人r理咅］按竣搬份子核后［稽核、技术i责人、员稽江［公1，（。:项〕提,T审;扌核会冋财务咅咅门按规定进行项曰竣丄结验收决算报告或审计报告办理项目转司内部会计制度及有关规定，经财务进行账务处理。相关会计凭证须经7目达到预定的可使用状态时，财务雀供的手续，按照股份公司内部会计制核后，暂估入账。相关会计凭证须纟。吉算。财专资手孕部门负K相容岗吊门应依討度，经空不相容M务部信息系统管理部分（子）公司言息部门财务部门3竣」算扌「验收决艮告1.10.2VVVV在建工程固定资产经营风险法定性和效益和社耸定量评估项目的经济土会效益。对固定后，信提出后^产:息管亍评价•投资2000万兀及以上的试点坝目，通过验收:报部覆字专家组对项目进行后评价，专家组信息系统管理部分（子）公司2后评价报告1.10.28.系统应用和维护.经营风险：由于第二方资质问题或信息管理部门缺乏专人维护