1、- 1 -谢家集区财政局信息系统管理风险内部控制办法(试行)第一章 总则第一条 为加强信息系统管理内部控制,有效防控财政信息系统管理风险,提高信息系统建设与管理的规范性、科学性和信息化对财政业务管理的支撑与流程控制能力,参照相关信息化建设管理制度和谢家集区财政局内部控制基本制度(试行)有关规定,结合工作实际,制定本办法。第二条 本办法所称信息系统管理风险,是指在信息系统建设管理过程中,因相关管理制度、工作机制和标准规范不完善或执行不到位,在信息系统建设、业务流程控制、数据应用管理和信息安全等方面存在隐患,系统运行不稳定、业务操作不受控、信息安全不可靠、信息化辅助管理决策能力弱化,系统无法有效发
2、挥业务支撑与流程管控作用的可能性。第三条 信息系统管理风险主要包括信息系统建设管理风险、流程控制风险、数据应用与管理风险和信息安全风险四个方面。- 2 -根据风险事件的情节轻重、影响范围和程度,分为重大风险和一般风险两个等级;按照风险来源和性质,分为制度流程风险、岗位职责风险、廉政风险和外部风险四种类型。重大风险:是指发生的风险事件对信息系统管理产生重大负面影响,或者严重损害公共利益或部门利益的可能性。一般风险:是指发生的风险事件对信息系统管理产生一定的负面影响,或者对公共利益或部门利益造成一定损失的可能性。制度流程风险:是指由于缺乏信息系统管理制度流程规定,或制度流程设计不合理、执行不到位,
3、导致信息系统管理不规范、不科学的可能性。岗位职责风险:是指由于岗位职责设定不明确、授权管理不到位,或履行岗位职责不作为、违背制度流程乱作为,导致信息系统管理不规范,影响工作质量与进度的可能性。廉 政 风 险 :是 指 信 息 系 统 建 设 管 理 人 员 凭 借 手 中 的 权 力 ,利用 工 作 之 便 在 信 息 系 统 管 理 工 作 中 违 反 廉 政 规 定 谋 求 私 利 的 可能 性 。外 部 风 险 :是 指 因 外 部 客 观 环 境 发 生 重 大 变 化 或 外 部 信 息 不真 实 、不 准 确 ,或 者 信 息 系 统 建 设 管 理 的 外 部 参 与 单 位 履
4、 行 职 责不 到 位 ,导 致 信 息 系 统 建 设 管 理 不 规 范 、影 响 工 作 质 量 与 进 度 的可 能 性 。第四条 信息系统管理风险内部控制的目标是,综合运用信- 3 -息化建设管理制度、标准规范和内部控制方法,将信息系统管理风险防控措施贯穿于信息系统建设、管理与应用全过程,对信息系统建设、管理和应用进行全程控制;将内控理念和控制活动、措施嵌入信息系统,对业务流程运行进行实时监控,最大限度减少人为操纵因素,确保系统运行协同、业务流程固化、业务管理衔接以及信息共享、数据安全。第五条 本办法适用于区财政局机关各岗位和局属二级机构。第六条 财政局建立完善信息系统管理风险防控机
5、制,通过明确各岗位在信息系统建设与应用中的职责分工,加强信息系统管理内部控制,有效防控信息系统管理风险。(一)财政局内部控制委员会(以下简称局内控委)负责审定信息系统管理内部控制政策制度,审定信息系统管理风险事件定级和责任追究建议,提出加强和改进措施。(二)财政局内部控制委员会办公室(以下简称局内控办)负责组织对信息系统管理内部控制制度进行有效性检查、考核和评价,组织对信息系统管理风险事件进行调查,研究提出科里意见并向局内控委报告。督促落实局内控委决定,定期通报信息系统管理内部控制制度执行情况及重大风险事件。(三)局办公室负责信息系统管理内部控制的组织实施,及时发现信息系统管理风险防控中存在的
6、问题并提示有关科室单- 4 -位,并向局内控办报告。定期向局内控办报送信息系统管理风险防控情况。(四)各岗位对本科室单位的信息系统管理的重点业务环节实施持续、有效的风险防控,及时向局内控办和局办公室报告本科室单位信息系统管理风险防控及异常情况,积极协助专项检查和调查。第七条 信息系统管理风险事件发生后,各岗位应在第一时间报告局内控办和局办公室。局办公室会同有关科室单位及时采取应对措施,最大程度避免或减少负面影响;在分清责任的基础上,深入查找风险事件发生的原因,提出解决方案、风险定级和责任追究建议,向局内控办报告,并有针对性地制定或完善制度措施。第八条 各岗位及其干部职工执行本办法的情况纳入考核
7、指标体系。第二章 信息系统建设管理内部控制第九条 信息系统建设管理风险是指信息系统建设未遵循财政信息化建设归口管理要求、一体化指导思想和信息化建设相关制度、标准规范,导致信息系统建设脱离统筹规划、过程管理不规范、标准不统一、信息不共享、业务不协同,造成流程固化与控制能力弱化,影响信息系统在财政管理中的整体效用。- 5 -其中,重大风险是指因违背财政信息化建设归口管理要求,不执行财政信息化建设规划和年度计划,擅自开发、推广信息系统,导致信息系统重复建设;或因业务需求不细化、流程不清晰,导致信息系统功能与性能严重缺失,未能有效支撑财政管理和流程管控,影响财政发展与改革及信息化一体化建设效果,造成较
8、大负面影响。一般风险是指执行归口管理的某些环节不到位,导致系统功能与性能不完善、运维响应不及时等情况,一定程度上影响信息系统建设和应用,对业务工作的正常开展带来一定的负面影响。第十条 信息系统建设管理应遵循以下工作流程:(一)总体规划。局办公室根据财政局相关部署、本区财政管理需求规划和财政工作实际,研究拟定财政信息化建设总体规划,经征求相关科室单位意见后报局长办公会审批。(二)年度计划。各岗位根据需求规划研究提出当年业务管理需求;局办公室综合各岗位业务需求,统筹提出年度信息化建设项目及项目立项申请,编制年度项目计划和经费预算,报局长办公会审批。(三)政府采购。局办公室按照政府采购法规及程序组织
9、开展政府采购工作。(四)建设实施。局办公室配合各相关科室开展系统测试、试- 6 -运行、验收和实施等工作,并做好信息系统建设与实施过程的监督管理。(五)运维管理。局办公室统一组织开展各信息系统的运行维护管理。第十一条 信息系统建设管理风险主要体现在归口管理、总体建设规划、年度项目计划、政府采购、设计开发、验收管理、组织实施、运行维护等过程或环节。第十二条 归口管理的风险与防控。(一)归口管理风险点:1各岗位自行组织信息系统建设与实施,导致信息系统建设碎片化、标准不统一、业务不衔接、信息不共享,影响信息系统一体化建设。2未建立局长办公会会议制度,导致信息系统建设中的技术与业务脱节,影响系统建设质
10、量。3各岗位不执行局长办公会会议决议,或执行不到位,导致信息系统建设进度滞后、成果不符合会议决议要求。4各岗位未按规定履行会商、会签、审批程序,自行印发信息系统建设和推广实施相关工作文件,导致信息系统建设与实施政出多门、多头管理。(二)归口管理风险事件类型:风险类型 风险点 风险等级 责任主体- 7 -自行组织信息系统建设与实施,造成系统碎片化 重大 各岗位自行印发信息系统建设与推广实施相关文件,造成系统建设多头管理 重大 各岗位未建立局长办公会制度 一般 局领导、局办公室局 办公室信息化重大问题不进行集体研究 一般 局领导、各岗位制度流程风险信息化重大问题集体研究制度执行不到位 一般 局领导
11、、各岗位岗位职责风险不执行或选择性执行局长办公会会议和专题会议决议,造成系统建设进度滞后 重大 各岗位(三)归口管理风险防控措施:1各岗位在信息系统建设工作中,负责提出详细业务需求,局办公室配合开展系统需求调研、测试验收、组织实施等工作中的业务协调,不得自行组织信息系统建设与实施。2建立完善局长办公会会议制度,加强技术与业务部门的协调配合。3各 岗 位 严 格 执 行 局 长 办 公 会 会 议 制 度 和 重 大 问 题 集 体 研 究 制度 ,严 格 落 实 会 议 决 议 ,重 大 问 题 提 请 局 长 办 公 会 会 议 研 究 。4各岗位按规定履行会商、会签、审批程序后,方可印发信
12、息系统建设与推广实施相关工作文件。第十三条 总体建设规划的风险与防控。(一)总体建设规划风险点:1财政信息化总体建设规划缺失,导致信息系统建设缺乏统筹安排,出现分散建设和随意建设情况。- 8 -2财 政 信 息 化 总 体 建 设 规 划 不 到 位 ,不 能 准 确 反 映 财 政 管 理 改革 对 信 息 系 统 建 设 的 要 求 ,导 致 总 体 规 划 的 适 应 性 和 指 导 力 弱 化 。3各岗位自行制定并执行本单位业务管理信息化规划,导致与总体建设规划和一体化建设要求不相容甚至相悖。4各岗位执行总体建设规划不严格,过分强调特殊性和独立性,要求一项业务建立一个系统,导致业务分割
13、、重复建设、系统孤立和信息孤岛。(二)总体建设规划风险事件类型:风险类型 风险点 风险等级 责任主体财政信息化总体建设规划缺失,导致出现分散、随意建设的情况 重大 局领导、局办公室财政信息化总体建设规划不能准确反映财政管理改革对信息系统建设需求 重大 局领导、局办公室各岗位自行制定并执行本科室单位业务管理信息化规划 重大 各岗位制度流程风险信息系统总体建设规划未完全覆盖业务管理需求 一般 局办公室岗位职责风险 未严格执行信息系统总体建设规划 一般 各岗位(三)总体建设规划风险防控措施:1加强财政信息化总体建设规划的研究,既立足解决当前业务管理需求,更着眼于我区财政改革发展要求,增强规划的前瞻性
14、、科学性和持续有效性。2各岗位结合财政改革发展要求,及时向局办公室提供业务管理规划相关资料,确保总体建设规划能充分体现各单位业- 9 -务改革的推进要求。3各岗位不得自行制定、执行本科室单位业务管理信息系统建设规划,应配合局办公室将本科室单位业务管理需求全部纳入总体建设规划。4信息系统建设应严格执行总体建设规划(财政局或局党组要求的紧急业务事项除外),各岗位依据总体建设规划提出年度信息化建设业务需求;局办公室依据总体建设规划综合分析业务需求,提出信息系统项目立项并组织建设。第十四条 年度项目计划的风险与防控。(一)年度项目计划编制工作流程:1各岗位提出信息系统建设的业务需求。2局办公室编制信息
15、系统年度建设项目申请。3局办公室组织对信息系统年度建设项目申请进行审核。4局办公室将审核通过的年度项目计划编入部门预算。 (二)年度项目计划风险点:1各岗位提出的业务需求不详细,业务流程不清晰,或未对本科室单位相近、类似的业务需求进行归类整理,导致年度项目计划编制的业务依据不充分,影响年度项目计划的科学性和合理性。2局办公室对总体建设规划把握不准确、对业务需求研究不充分,导致提出的立项申请不合理。- 10 -3局办公室对业务需求、立项申请和年度项目计划审核不严格,导致年度项目计划不合理。4年度项目计划执行不严格,在计划外开展信息系统建设,影响信息系统的统筹管理和一体化推进。(三)年度项目计划编
16、制和执行风险事件类型:风险类型 风险点 风险等级 责任主体制度流程风险 信息化项目审批依据不全面 一般 局办公室在年度项目计划外开展信息系统建设,影响信息系统的统筹管理和一体化推进 重大 各岗位提出的业务需求不完整、不具体,业务流程不清晰 一般 各岗位对业务需求研究不充分,导致提出的立项申请不合理 一般 局办公室项目经费测算不合理 一般 局办公室业务需求和立项申请审核不严格 一般 局办公室未对重大财政信息化项目进行专家评审论证 一般 局办公室未对本科室单位业务需求进行归类整理,类似需求重复申报 一般 各岗位未综合审核意见和专家评审论证意见,导致信息化年度项目计划的编制不合理 一般 局办公室岗位职责风险年度项目计划审批不严格 一般 局领导、局办公室(四)年度项目计划风险防控措施:1各岗位提出信息系统建设的详细业务需求,清晰设定业务流程,对本科室单位相近、类似的业务需求进行归类申报;
