《益阳市财政局信息系统管理风险防控办法(试行(DOC47页).doc》由会员分享,可在线阅读,更多相关《益阳市财政局信息系统管理风险防控办法(试行(DOC47页).doc(48页珍藏版)》请在三一办公上搜索。
1、附件7:益阳市财政局信息系统管理风险防控办法(试行)第一章 总则第一条 为加强信息系统管理内部控制,有效防控财政信息系统管理风险,提高信息系统建设与管理的规范性、科学性和信息化对财政业务管理的支撑与流程控制能力,根据益阳市财政局信息化建设管理相关制度和益阳市财政局内部控制基本制度有关规定,结合工作实际,制定本办法。第二条 本办法所称信息系统管理风险是指在信息系统建设和运行维护过程中,未完全遵循信息化建设制度、规划和标准或安全措施不到位、运行维护不规范,导致系统碎片化、系统故障、数据丢失、信息泄露、信息化辅助管理决策能力弱化的可能性。第三条 信息系统建设坚持归口管理,实行统筹规划、统一建设,从财
2、政改革发展的全局出发,协调配合、分工合作、整合资源、实现一体化,同时,强化流程控制,将业务流程固化在业务生产系统和办公自动化系统中,健全信息系统预警机制,加强风险揭示和自动控制,发挥信息化建设对财政业务管理和辅助决策的支撑与促进作用。第四条 信息系统管理风险主要包括信息系统建设管理风险、流程控制风险、数据应用与管理风险和信息安全风险四个方面。根据风险事件的情节轻重、影响范围和程度,分为重大风险和一般风险两个等级;按照风险来源和性质,分为制度流程风险、岗位职责风险、廉政风险和外部风险四种类型。重大风险:是指发生的风险事件对信息系统管理产生重大负面影响,或者严重损害国家或部门利益的可能性。一般风险
3、:是指发生的风险事件对信息系统管理产生一定的负面影响,或者对国家或部门利益造成一定损失的可能性。制度流程风险:是指由于缺乏信息系统管理制度流程规定,或制度流程设计不合理、执行不到位,导致信息系统管理不规范、不科学的可能性。岗位职责风险:是指由于岗位职责设定不明确、授权管理不到位,或履行岗位职责不作为、违背制度流程乱作为,导致信息系统管理不规范,影响工作质量与进度的可能性。廉政风险:是指信息系统建设管理人员凭借手中的权力,利用工作之便在信息系统管理工作中违反廉政规定谋求私利的可能性。外部风险:是指因外部客观环境发生重大变化或外部信息不真实、不准确,或者信息系统建设管理的外部参与单位履行职责不到位
4、,导致信息系统建设管理不规范、影响工作质量与进度的可能性。第五条 信息系统管理风险内部控制的目标是,综合运用信息化建设管理制度、标准规范和内部控制方法,将信息系统管理风险防控措施贯穿于信息系统建设、管理与应用全过程,对信息系统建设、管理和应用进行全程控制;将内控理念和控制活动、措施嵌入信息系统,对业务流程运行进行实时监控,最大限度减少人为操纵因素,确保系统运行协同、业务流程固化、业务管理衔接以及信息共享、数据安全。第六条 本办法适用于局内各科室、单位。第七条 信息系统管理风险内部控制职责分工: (一)内部控制委员会(以下简称内控委)负责审定信息系统管理内部控制政策制度,审定信息系统管理风险事件
5、定级和责任追究建议,提出加强和改进措施。(二)内部控制委员会办公室(以下简称内控办)负责组织对信息系统管理内部控制制度进行有效性检查、考核和评价,组织对信息系统管理风险事件进行调查,研究提出处理意见并向内控委报告。督促落实内控委决定,定期通报信息系统管理内部控制制度执行情况及重大风险事件。(三)信息科负责信息系统管理内部控制的组织实施,及时发现信息系统管理风险防控中存在的问题,提示有关单位,并向内控办报告。定期向内控办报送信息系统管理风险防控情况。(四)各科室、单位对本单位的信息系统管理的重点业务环节实施持续、有效的风险防控,及时向内控办和信息科报告本单位信息系统管理风险防控及异常情况,积极协
6、助专项检查和调查。第八条 信息系统管理风险事件发生后,各单位应在第一时间报告内控办和信息科。信息科会同有关单位及时采取应对措施,最大程度避免或减少负面影响;在分清责任的基础上,深入查找风险事件发生的原因,提出解决方案、风险定级和责任追究建议,向内控办报告,并有针对性地制定或完善制度措施。第九条 各科室、单位及其干部职工执行本办法的情况纳入考核指标体系。第二章 信息系统建设管理内部控制第十条 信息系统建设管理风险是指信息系统建设未遵循财政信息化建设归口管理要求、一体化指导思想和信息化建设相关制度、标准规范,导致信息系统建设脱离统筹规划、过程管理不规范、标准不统一、信息不共享、业务不协同,造成流程
7、固化与控制能力弱化,影响信息系统在财政管理中的整体效用。其中,重大风险是指因违背财政信息化建设归口管理要求,不执行财政信息化建设规划和年度计划,擅自开发、推广信息系统,导致信息系统重复建设、碎片化;或因业务需求不细化、流程不清晰,导致信息系统功能与性能严重缺失,未能有效支撑财政管理和流程管控,影响财政发展与改革及信息化一体化建设效果,造成较大负面影响。一般风险是指执行归口管理的某些环节不到位,导致系统功能与性能不完善、运维响应不及时等情况,一定程度上影响信息系统建设和应用,对业务工作的正常开展带来一定的负面影响。第十一条 信息系统建设管理应遵循以下工作流程:(一)总体规划。信息科根据国家和省信
8、息化发展方针政策、财政改革与事业发展要求,结合工作实际,研究拟定财政信息化建设总体规划,经局信息化工作领导小组办公室(以下简称“信息科”)审议后报局信息化工作领导小组审批。(二)年度计划。各科室、单位根据财政信息化建设总体规划,结合本部门业务管理需要,编制年度财政信息化建设项目需求建议书报信息科;信息科汇总并组织审核项目申报计划,编制年度项目计划;报请信息化领导小组审批。(三)政府采购。信息科根据项目建设计划和进度安排,编制采购文件,组织开展政府采购工作。(四)建设实施。信息科组织开展需求调研、系统设计、开发、测试、试运行、验收、实施等工作,并组织做好信息系统建设与实施过程的监督管理;各单位配
9、合做好相关工作。(五)运维管理。信息科统一组织开展各信息系统的运行维护管理。第十二条 信息系统建设管理风险主要体现在归口管理、总体建设规划、年度项目计划、政府采购、设计开发、验收管理、组织实施、运行维护等过程或环节。第十三条 归口管理的风险与防控。(一)归口管理风险点:1各科室、单位自行组织信息系统建设与实施,导致信息系统建设碎片化、标准不统一、业务不衔接、信息不共享,影响信息系统一体化建设。2未建立财政信息化建设联席会议制度,导致信息系统建设中的技术与业务脱节,影响系统建设质量。3各科室、单位不执行财政信息化建设联席会议及信息科专题会议决议,或执行不到位,导致信息系统建设进度滞后、成果不符合
10、会议决议要求。4各科室、单位未按规定履行会商、会签、审批程序,自行印发信息系统建设和推广实施相关工作文件,导致信息系统建设与实施政出多门、多头管理。(二)归口管理风险事件类型:风险类型风险点风险等级责任主体制度流程风险自行组织信息系统建设与实施,造成系统碎片化重大各科室、单位自行印发信息系统建设与推广实施相关文件,造成系统建设多头管理重大各科室、单位未建立财政信息化建设联席会议制度一般局领导、信息科信息化重大问题不进行集体研究重大局领导、各科室、单位财政信息化重大问题集体研究制度执行不到位一般各科室、单位岗位职责风险不执行或选择性执行财政信息化工作联席会议和信息科专题会议决议,造成系统建设进度
11、滞后重大各科室、单位(三)归口管理风险防控措施:1各科室、单位在信息系统建设工作中,负责提出详细业务需求,配合信息科开展系统需求调研、测试验收、组织实施等工作中的业务协调,不得自行组织信息系统建设与实施。2信息科综合分析各科室、单位提出的业务需求,根据总体建设规划,研究提出信息系统建设计划,统一组织信息系统设计开发、推广实施与运维管理。3建立完善财政信息化建设联席会议制度,加强技术与业务部门的配合。4各科室、单位严格执行财政信息化工作联席会议制度和重大问题集体研究制度,严格落实会议决议,重大问题提请信息科研究,必要时上报信息化工作领导小组。5各科室、单位按规定履行会商、会签、审批程序后,方可印
12、发信息系统建设与推广实施相关工作文件。第十四条 总体建设规划的风险与防控。(一)总体建设规划风险点:1财政信息化总体建设规划缺失,导致信息系统建设缺乏统筹安排,出现分散建设和随意建设情况。2各科室、单位自行制定并执行本科室、单位业务管理信息化规划,导致与总体建设规划和一体化建设要求不相容甚至相悖。3各科室、单位执行总体建设规划不严格,过分强调特殊性和独立性,要求一项业务建立一个系统,导致业务分割、重复建设、系统孤立和信息孤岛。(二)总体建设规划风险事件类型:风险类型风险点风险等级责任主体制度流程风险财政信息化总体建设规划缺失,导致出现分散、随意建设的情况重大局领导、各科室、单位各单位自行制定并
13、执行本单位业务管理信息化规划重大各科室、单位信息系统总体建设规划未完全覆盖业务管理需求一般各科室、单位岗位职责风险未严格执行信息系统总体建设规划一般各科室、单位(三)总体建设规划风险防控措施:1加强财政信息化总体建设规划的研究,既立足解决当前业务管理需求,更着眼于国家信息化发展方针政策和财政改革发展要求,增强规划的前瞻性、科学性和持续有效性。2各科室、单位结合财政改革发展要求,及时向信息科提供业务管理规划相关资料,确保总体建设规划能充分体现各单位业务改革的推进要求。3各科室、单位不得自行制定、执行本单位业务管理信息系统建设规划,应配合信息科将本单位业务管理需求全部纳入总体建设规划。4信息系统建
14、设应严格执行总体建设规划(上级部门要求的紧急业务事项除外),各单位依据总体建设规划提出年度信息化建设业务需求;信息科依据总体建设规划综合分析业务需求,提出信息系统项目立项并组织建设。第十五条 年度项目计划的风险与防控。(一)年度项目计划编制工作流程:1各科室、单位提出信息化建设项目业务需求建议书。2信息科汇总并审核信息化建设项目申报计划,编制年度项目计划。3局信息化领导小组审批年度项目计划。(二)年度项目计划风险点:1各科室、单位提出的业务需求不详细,业务流程不清晰,或未对本单位相近、类似的业务需求进行归类整理,导致年度项目计划编制的业务依据不充分,影响年度项目计划的科学性和合理性。2信息科对
15、业务需求和立项申请审核不严格,信息科审批年度项目计划不严格,导致年度项目计划不合理。3年度项目计划执行不严格,在计划外开展信息系统建设,影响信息系统的统筹管理和一体化推进。(三)年度项目计划编制和执行风险事件类型:风险类型风险点风险等级责任主体制度流程风险信息化项目审批依据不全面一般局信息化领导小组、信息科岗位职责风险在年度项目计划外开展信息系统建设,影响信息系统的统筹管理和一体化推进重大各科室、单位提出的业务需求不完整、不具体,业务流程不清晰一般各科室、单位岗位职责风险对业务需求研究不充分,导致提出的立项申请不合理一般各科室、单位项目经费测算不合理一般相关科室、单位、信息科岗位职责风险业务需
16、求和立项申请审核不严格一般信息科未对重大财政信息化项目进行专家评审论证一般相关科室、单位、信息科未对本单位业务需求进行归类整理,类似需求重复申报一般各科室、单位未综合审核意见和专家评审论证意见,导致信息化年度项目计划的编制不合理一般信息科年度项目计划审批不严格一般局信息化领导小组、信息科(四)年度项目计划风险防控措施:1各科室、单位提出信息系统建设的详细业务需求,清晰设定业务流程,对本单位相近、类似的业务需求进行归类申报,经单位负责人审批并盖章后提交信息科;业务需求涉及多个单位的,应明确一个牵头单位,业务需求的确定如存在争议,应提请信息科研究;信息科综合分析业务需求,结合总体建设规划和信息系统
17、建设成果,按照一体化建设要求整合需求,确定合理的需求实现方式,确立建设项目并提出立项申请。2信息科健全信息系统立项审批流程,明确立项审批依据和立项条件。3信息系统立项实行专家评审机制,重大项目须进行评审论证。4信息科严格按照批准的年度项目计划组织开展信息系统建设,不得在年度项目计划外开展信息系统建设。第十六条 政府采购的风险与防控。(一)政府采购流程:1信息科编制项目政府采购文件。2相关单位审核确认采购文件中的业务内容。3信息科会同纪检监察、相关科室、单位组织开展政府采购。(二)政府采购风险点:1.采购文件编制不规范,采购需求不清晰、不具体,导致投标单位不能准确理解信息系统建设任务与要求或无法
18、准确估算建设成本,造成无法采购到合格的承建单位。2.采购文件在对承建单位的资质要求和评标标准等方面具有不合理的倾向性内容,存在廉政风险隐患。3.信息系统升级改造的采购文件编制不合理,造成承建单位频繁更换,无法保证系统架构、功能与性能设计的延续性,甚至可能推翻原有系统。4.采购参与人员不遵守政府采购管理规定,与供应商或采购代理机构恶意串通,泄漏采购相关信息或干预采购过程、向评标专家施加影响,导致采购结果无法达到公平、公正要求,并引发廉政风险。(三)政府采购风险事件类型:风险类型风险点风险等级责任主体制度流程风险信息系统升级改造的采购文件编制不合理,造成承建单位频繁更换一般各科室、单位岗位职责风险
19、未进行政府采购组织信息系统建设重大各科室、单位政府采购文件编制不规范,采购需求不清晰、不具体,导致无法采购到合适的承建单位一般信息科、各科室、单位采购过程中未按规定邀请有关部门监督一般信息科廉政风险采购过程中,未依法、依规、依程序,有失公开、公平、公正重大各科室、单位(四)政府采购风险防控措施:1信息科负责编制采购文件,相关单位及时提供相关业务材料,审核业务内容是否全面、准确。2采购文件内容应清晰具体,确保投标单位能准确理解业务需求和技术要求;在承建单位资质要求、评标标准等方面不得含有倾向性内容。3各科室、单位认真编制信息系统升级改造需求,信息科根据升级改造需求合理编制采购文件,避免承建单位的
20、频繁更换。4参与采购人员必须严格遵守相关规定,不得发表任何可能影响专家评审的言论,现场发言仅限于对业务需求和技术要求的释疑。第十七条 设计开发的风险与防控。(一)信息系统设计开发流程:1调研业务需求和编制业务需求方案。2业务需求评审。3编制技术设计方案,包括概要设计、详细设计、数据库设计等。4技术设计方案评审。5程序开发。6测试与修改完善。(二)信息系统设计开发风险点:1相关科室、单位未提供信息系统建设所需的业务资料,或不积极回应需求调研中的问题,导致需求调研不充分,业务需求方案编制不完善,无法全面、准确反映业务管理要求。2编制系统升级改造项目的业务需求时,未考虑与原有信息系统业务功能的延续性
21、,导致对原有信息系统的颠覆性改造,甚至完全推翻重建,导致工期延长、信息系统建设质量降低、投资浪费。3未按规定进行需求和设计方案评审,或评审组织不严格、不规范,导致信息系统功能和性能设计达不到预期要求。4信息系统设计开发未严格执行财政信息化建设标准规范,导致与其他信息系统之间无法通畅交换数据和共享信息,形成信息孤岛。5信息系统测试用例设计覆盖面不全,测试不严格,无法充分测试系统各流程、各环节,导致信息系统功能与性能隐藏缺陷,影响稳定运行。6相关科室、单位缺乏对需求的全局考虑,导致在信息系统建设过程中频繁增加或变更业务需求,变更程序不规范,严重影响信息系统建设质量,甚至颠覆原系统设计。(三)信息系
22、统设计开发风险事件类型:风险类型风险点风险等级责任主体制度流程风险系统设计开发未遵循信息化建设管理标准规范一般信息科升级改造项目业务需求未考虑与原有系统业务功能的延续一般相关科室、单位岗位职责风险未提供系统建设所需的业务资料一般各科室、单位未按规定进行需求和设计方案评审或评审组织不严格、不规范一般信息科未认真进行业务需求调研,调研内容不充分一般相关科室、单位需求变更的提出较随意一般各科室、单位未认真分析研究变更需求,提出的处理意见不合理一般各科室、信息科各科室、单位配合不到位,导致系统建设进度严重滞后一般各科室、单位未按测试方案进行测试一般信息科系统测试方案不规范,用例设计覆盖面不全一般各科室
23、、信息科(四)信息系统设计开发风险防控措施:1信息系统设计开发应严格遵循财政信息化建设管理相关规定和标准规范。2建立健全信息系统建设协调机制,在业务需求调研、设计开发等工作中,加强业务与技术部门间的沟通配合。3信息系统升级改造业务需求的提出,应充分延续系统已有功能,升级改造需求应明确说明哪些是对原有业务管理的调整,哪些是新增业务需求。4严格控制业务需求变更。在信息系统建设过程中如出现需求变更情况,相关单位应提出书面申请,经单位负责人审批后提交信息科;信息科组织相关单位和承建单位对变更需求进行分析研究,提出处理意见。5加强信息系统设计开发的过程管理,可采购有资质的监理单位进行监督检查,相关单位要
24、配合开展相关工作。第十八条 验收管理的风险与防控。(一)信息系统验收管理流程:1承建单位向信息科提出验收申请。2信息科组织对信息系统验收条件进行审查,制定验收方案。3信息科组建专家组进行系统验收,相关单位派人参加。4验收专家组提出验收意见。(二)信息系统验收管理风险点:1相关科室、单位自行组织信息系统验收,导致项目管理不规范,信息系统功能、性能及可靠性无法保证。2承建单位提出验收申请后,未及时予以回应,导致验收工作滞后,影响信息系统按期上线运行和业务正常开展。3验收条件设定不全面,验收审查不严格,验收专家成员构成不合理,验收程序未按照相关规定执行,导致未达到验收条件的信息系统可能通过验收,为信
25、息系统安全、可靠运行带来隐患。4相关科室、单位未按要求提交用户报告,或用户报告未对信息系统功能与性能做出客观评价,影响项目验收进程和验收结果的真实性。5受系统承建单位的请托,在系统不具备验收条件时组织通过验收,引发廉政风险。(三)信息系统验收管理风险事件类型:风险类型风险点风险等级责任主体制度流程风险各科室、单位未通过信息科自行组织验收一般各科室、单位项目验收指标制定不全面、不准确一般各科室、信息科验收专家成员构成不合理一般信息科岗位职责风险提出验收申请后,未及时组织验收一般信息科验收程序未严格按照相关规定执行一般信息科各科室、单位未及时提供项目验收用户报告,影响项目验收整体工作进度一般各科室
26、、单位廉政风险受项目承建单位请托,将不符合验收条件的系统通过验收重大各科室、单位、信息科(四)信息系统验收管理风险防控措施:1信息科负责组织信息系统验收工作,按照国家相关法律法规规定的程序和要求进行。2信息科收到承建单位验收申请后,及时组织对信息系统是否具备验收条件进行审查,并通知相关单位准备用户报告;相关单位对信息系统功能与性能、应用情况做出客观真实评价,按时出具用户报告。3不断完善信息系统验收条件、评价标准和验收指标体系,确保验收结论真实可靠。4信息科负责组建验收专家组,专家组成员应覆盖财政内外、技术与业务领域。第十九条 信息系统组织实施的风险与防控。(一)信息系统组织实施风险点:1未经过
27、试运行和验收的信息系统直接上线运行,信息系统功能与性能未经过检验,导致信息系统上线后不能稳定运行,加大运维成本。2业务与技术部门之间沟通协调不充分,信息系统建设前期准备不到位,导致信息系统上线后运行不畅,问题频发,影响业务开展。3推广实施的信息系统,缺乏明确的实施方案,造成相关方无所依从,影响信息系统推广实施进度,降低实施质量。4信息系统版本和软件分发没有归口管理,导致系统应用与维护混乱,难以统一升级。(二)信息系统组织实施风险事件类型:风险类型风险点风险等级责任主体制度流程风险各科室、单位自行推广实施系统,造成系统建设与管理混乱重大各科室、单位风险类型风险点风险等级责任主体制度流程风险未经过
28、试运行和验收的系统直接上线运行一般各科室、单位系统试运行时间短、不充分,未反应出问题与不足一般各科室、单位、信息科系统版本和软件分发管理混乱,未执行归口管理重大各科室、单位、信息科岗位职责风险业务、技术部门沟通协调不足,未对系统问题及时修改完善一般各科室、单位、信息科对于需要推广的系统,未制定科学合理的实施方案一般各科室、单位、信息科未根据试点中发现的系统缺陷,研究提出系统完善意见一般各科室、单位、信息科(三)信息系统组织实施风险防控措施:1信息系统上线运行前必须进行试运行并通过验收。2信息科综合分析信息系统实施的业务与技术要求,制定详细的实施方案;相关单位提供信息系统实施所需的相关数据资料。
29、3信息科负责信息系统的推广实施、实施系统版本管理和向用户单位分发软件,版本更换要履行规定程序。第二十条 运行维护管理的风险与防控。(一)信息系统运行维护管理风险点:1采购的运维单位对信息系统不熟悉,无法履行应尽义务,导致信息系统运行故障无法及时排除。2运行维护工作未按规定程序执行,存在信息泄漏、丢失、篡改等安全隐患。3各科室、单位自行选择运维单位开展信息系统运维工作,导致运维管理不规范、信息不安全,甚至引发廉政风险。(二)信息系统运行维护管理风险事件类型:风险类型风险点风险等级责任主体制度流程风险系统日常维护工作未交信息科负责一般各科室、单位各科室、单位自行选择运维单位开展系统运维工作重大各科
30、室、单位岗位职责风险系统运维方案制定不够科学合理一般信息科未根据系统使用情况,及时提出系统运行及使用中存在的问题一般各科室、单位未根据系统改进建议,及时完善系统运行维护工作一般信息科(三)信息系统运行维护管理风险防控措施:1健全和完善财政局运维服务管理办法,制定相关实施细则,规范运维工作程序,明确运维工作范围。2信息科负责组织信息系统运维工作,严格按照财政局相关制度办法开展,确保信息系统安全可靠运行。相关单位应配合做好运维工作的监督与评价。3采购运行维护单位时,针对信息系统情况定性和定量设定条件,确保运维单位能够胜任运维工作。4各单位根据信息系统使用情况,及时向信息科反馈信息系统存在的问题。第
31、三章 信息系统流程控制管理内部控制第二十一条 信息系统流程控制风险是指业务流程未完全固化在业务生产系统中、固化在信息系统中的业务流程未完全实现有效控制、业务处理未完全通过信息系统执行,导致信息系统支撑促进内部控制工作能力弱化的可能性。其中,重大风险是指因业务流程未固化在业务生产系统中,或固化在信息系统中的业务流程未实现有效控制,或业务处理未通过信息系统固化的流程进行等情形发生,严重影响内部控制效果。一般风险是指因业务流程在业务生产系统中固化程度不够,或固化在信息系统中的业务流程控制不完善,导致内部控制目标某些方面或环节失效。第二十二条 流程控制风险主要体现在业务管理流程化设计、控制措施与预警机
32、制设定、信息系统实现、信息系统流程应用等方面。第二十三条 信息系统固化和管控业务流程的程序:1各科室、单位梳理完善业务流程。2各科室、单位明确业务流程各环节控制活动、控制措施等。3各科室、单位提出业务流程固化和管理控制的业务需求。4信息科综合分析业务需求。5信息科负责通过信息系统实现业务流程固化和管理控制。第二十四条 业务管理流程化设计风险与防控。(一)业务管理流程化设计风险点:1对于手工操作存在管理风险的财政业务,各科室、单位未提出通过信息系统进行流程固化和管理控制,仍采取手工方式操作,增加了业务管理活动事前防范、事中控制、事后监督的难度,存在内控漏洞。2各科室、单位对需要通过信息系统固化的
33、业务流程梳理不全面、分析不系统、优化不合理,导致业务流程通过信息系统固化后,难以有效发挥控制作用。3各科室、单位业务流程变更频繁,影响信息系统稳定运行,不利于信息系统操作责任追溯。(二)业务管理流程化设计风险事件类型:风险类型风险点风险等级责任主体制度流程风险对手工操作存在管理风险的财政业务,未通过信息系统进行流程固化和管理控制,引发重大责任事故重大各科室、单位业务流程变更过于频繁,影响系统的稳定性一般各科室、单位岗位职责风险业务流程梳理不全面、分析不系统、优化不合理一般各科室、单位业务流程各环节设定不合理一般各科室、单位(三)业务管理流程化设计风险防控措施:1对于手工操作存在管理风险的财政业
34、务,必须通过信息系统固化流程。2各科室、单位应按照业务实现的时间顺序和逻辑顺序,对需要通过信息系统固化的业务流程进行全面梳理、分析和细化,科学设定业务流程各环节,确保各环节既覆盖业务管理全过程又利于倒查问题根源。 3各科室、单位应将整理好的业务流程形成书面材料。4各科室、单位应切实结合财政管理和改革的实际需要,审慎处理流程变更,避免流程变更的随意性。若确需变更,要充分考虑与原有业务的衔接。第二十五条 控制措施与预警机制设定风险与防控。(一)控制措施与预警条件设定风险点:1各科室、单位对于业务流程的各环节未设置控制措施和预警机制,导致内部控制无法实现。2各科室、单位对业务流程各环节授权控制不合理
35、,对关键环节未设置不相容岗位(职责)或不相容岗位(职责)分离措施不到位,导致一人可以操作流程的多个环节,无法形成相互制约、相互监督的工作机制。3各科室、单位对各项控制措施未设置预警机制或设置不合理,导致信息系统自动控制、风险揭示能力弱化。(二)控制措施与预警条件设定风险事件类型:风险类型风险点风险等级责任主体制度流程风险对业务流程关键环节未设置不相容岗位(职责)或不相容岗位(职责)分离措施不到位,出现重大责任事故重大各科室、单位岗位职责风险对业务流程某些环节未设置授权或授权不合理,出现重大责任事故重大各科室、单位控制措施未设置预警机制或设置不合理一般各科室、单位(三)控制措施与预警条件设定风险
36、防控措施:1各科室、单位应结合本单位业务和流程,全面梳理所涉及的不相容岗位,明确各个环节的岗位设置及职责。2各科室、单位应对不相容岗位(职责)实施分离措施,明确细化职责,形成各司其职、各负其责、横向与纵向相互制约监督的工作机制。3各科室、单位应建立授权管理体系,明确各岗位的授权主体、范围与权限,科学分配权利,确保各岗位人员在授权范围内开展工作,切实达到分事行权、分岗设权、分级授权的要求。4各科室、单位应根据控制措施,合理设置预警条件。5各科室、单位应制定书面的岗位职责说明及授权控制说明。第二十六条 信息系统实现风险与防控。(一)信息系统实现风险点:1信息科对各科室、单位提出的需求调研不深入,理
37、解不准确,导致系统功能不完善、授权管理功能弱化等,造成信息系统强化流程控制、风险揭示和自动控制能力弱化。2业务流程发生变更后,各科室、单位未提出流程变更申请,导致新的内部控制措施失效。3各科室、单位提出流程变更申请,信息科未及时通过信息系统实现,导致信息系统不能按时实现新的控制,影响财政业务顺利开展。4信息科对流程变更的信息化实现考虑不周全,影响上下游业务正常开展,导致业务中断的可能性。(二)信息系统实现风险事件类型:风险类型风险点风险等级责任主体制度流程风险信息系统未按要求实现业务流程和管理控制的固化,出现重大责任事故重大信息科变更流程时,未提出需求变更申请一般各科室、单位岗位职责风险对业务
38、需求调研不深入、分析不全面一般信息科变更流程后,仍使用原有系统进行业务操作一般各科室、单位未根据流程变更需求及时完善信息系统一般信息科流程变更的信息化实现未达到预期效果一般信息科(三)信息系统实现风险防控措施:1各科室、单位提出需要通过信息系统实现的业务流程及其控制活动、控制措施等,形成业务需求方案,经单位负责人审批并盖章后提交信息科。2信息科对业务需求进行分析。若业务需求不符合信息系统开发设计要求,信息科提出改进建议并退回;单位将业务需求修改完善后重新提交。3信息科按照需求将业务流程固化在信息系统中,并将控制活动、控制措施等嵌入信息系统,确保授权处理无误,不相容岗位相互分离,实现操作过程留痕
39、,责任可追溯,最大限度减少人为操纵因素。4业务流程发生变更后,各科室、单位要及时形成流程变更书面材料,经单位负责人审批同意后提交信息科。5信息科应及时受理各科室、单位的变更需求,并做好分析研究;对于符合要求的变更申请,应抓紧组织相关功能模块的改造工作。第二十七条 信息系统流程应用的风险与防控。(一)信息系统流程应用风险点:1各科室、单位未通过已固化流程的信息系统开展财政业务工作,导致信息系统固化流程和管理控制作用无法有效发挥。2操作人员未经授权擅自进入信息系统后台操作,导致绕过流程控制的风险。3与外部相关单位恶意串通,绕开流程进行后台操作,窃取财政业务信息,谋取利益,存在廉政风险。(二)信息系
40、统流程应用风险事件类型:风险类型风险点风险等级责任主体制度流程风险未通过已有信息系统开展相应财政业务一般各科室、单位未制定系统使用操作规程一般信息科技术监控措施不到位一般信息科岗位职责风险未经授权擅自进入信息系统后台操作,造成重大责任事故重大各科室、单位廉政风险绕开流程进行后台操作,窃取财政业务信息,谋取利益重大各科室、单位(三) 信息系统流程应用风险防控措施:1各科室、单位应建立健全规章制度,确保财政业务通过信息系统处理,实现内部控制的程序化和常态化。2信息科制定信息系统操作规程,加强培训,确保各科室、单位正确应用信息系统。3信息科应强化技术监控,通过自动报告、跟踪处理、日志管理等机制,及时
41、发现异常或违背内部控制要求的操作,妥善进行处置并向内控办报告。第四章 数据应用与管理内部控制第二十八条 数据应用与管理风险是指在数据规划、数据收集、数据管理、数据应用过程中,由于不主动提供数据、违规操作数据、越权使用数据、提供的数据不规范等原因,导致信息化数据分析利用和辅助决策能力弱化的可能性。其中,重大风险是指由于单位间信息不共享或不该共享的数据共享、数据不贯通等,导致相关单位无法正常开展工作;或者由于数据失真、使用不当,导致决策出现失误;或者由于数据保管不当、越权使用数据,导致数据丢失或信息泄漏。一般风险是指由于单位间信息未完全共享、数据未完全贯通,加重相关单位工作负担,一定程度上影响工作
42、效率。第二十九条 数据应用与管理遵循以下流程:(一)数据规划。信息科会同各单位按照财政改革和发展需要,通过科学规划和设计,建立面向实际财政业务的数据标准和信息资源目录体系。(二)数据收集。按照各单位提出的数据收集需求,信息科收集财政业务管理需要的各类数据并进行集中管理。(三)数据管理。按照各单位提出的数据存储需求,信息科对收集到的各类数据进行筛选、分类、调整,并实现安全存储、有效管理。(四)数据应用。信息科对各单位提出数据应用需求进行技术实现,提供技术检索、展现及分析工具。第三十条 数据应用与管理风险主要体现在数据规划、数据收集、数据管理和数据应用等工作过程与环节。第三十一条 数据规划的风险与
43、防控。(一)数据规划流程:1信息科制定数据标准。2各科室、单位按照数据标准梳理业务数据,形成本单位信息资源目录体系。3信息科审核汇总各科室、单位信息资源目录体系,形成财政信息资源目录体系。(二)数据规划风险点:1缺少数据共享意识,不愿主动提供数据,导致上下游业务运行不畅,加重工作负担,或造成辅助决策无数据可依。2数据共享失误,将不能共享的数据进行共享,或应授权访问的信息未设防,导致信息泄漏,带来重大安全隐患。3各科室、单位信息资源目录体系不完整、不清晰,有关约定未遵循统一的数据标准,造成财政局信息资源目录体系编制不科学、不合理,无法起到实际指导作用。(三)数据规划风险事件类型:风险类型风险点风
44、险等级责任主体制度流程风险信息资源目录体系不完整、不清晰、数据标准不统一、不完善一般信息科、各科室、单位岗位职责风险数据共享出现错误,将不能共享的数据共享,造成重大泄密事件重大各科室、单位未明确数据可共享的范围,造成泄密事件重大各科室、单位缺少数据共享意识,不愿主动提供数据一般各科室、单位(四)数据规划风险防控措施:1各科室、单位应树立数据共享意识,建立数据共享机制,视共享为常态、不共享为例外,主动共享数据,并保证数据的真实、准确、完整、及时。2信息科会同各科室、单位依据实际财政业务制定统一的数据标准,明确数据来源、类型、层次、口径、安全等级、用户范围、访问权限等信息。数据标准制定要科学合理,
45、涵盖财政业务的各个方面,具有指导性和约束力。3各科室、单位按照统一的数据标准,结合自身业务发展规划,梳理本单位的数据和从外部获取的业务管理需要的数据,形成本单位信息资源目录体系。信息资源目录体系经单位负责人审批并盖章后提交信息科。4信息科综合各科室、单位信息资源目录体系,统筹规划,科学分析,研究制定财政局信息资源目录体系。5各科室、单位根据工作需要及时更新本单位信息资源目录体系,并提交信息科。信息科按照各科室、单位信息资源目录体系变更情况修改完善财政局信息资源目录体系,确保数据信息真实、准确、完整、及时。第三十二条 数据收集的风险与防控。(一)数据收集流程:1各科室、单位提出数据收集需求。2信息科按照数据收集需求收集数据,并将收集结果反馈相关单位。(二)数据收集风险点:1各科室、单位不结合本职工作实际,不主动沟通协调获取外部部门或单位数据,导致信息不对称、精细化管理弱化。2各科室、单位对内分享数据,只提供短期或临时数据,分享数据缺乏持续性,导致数据断层、断档,影响他人决策使用。3从外部搜集数据时,由于沟通协调不够,无法
