9信息系统管理风险内控管理办法讲义1.

浙江省财政厅信息系统管理风险内部控制办法（试行）2016年6月2日内控制度体系：一个基本制度八个专项内部控制办法内部控制基本制度法律风险机关运转风险预算编制风险预算执行风险公共关系风险信息系统管理风险岗位利益冲突风险政策制定风险定义：指在信息系统建设管理过程中，因相关管理制度、工作机制和标准规范不完善或执行不到位，在信息系统建设、流程管理、数据应用管理和信息安全等方面存在隐患，导致系统建设碎片化、系统运行不稳定、信息安全不可靠、信息化管理决策能力弱化，系统无法有效发挥业务支撑与管控作用的可能性。目标：综合运用信息化建设管理制度、标准规范和内部控制方法，将信息系统管理风险防控措施贯穿于信息系统建设、管理与应用全过程，对信息系统建设、管理和应用进行全程控制；将内控理念和控制活动、措施嵌入信息系统，对业务流程运行进行实时监控，最大限度减少人为操纵因素，确保系统运行协同、业务流程固化、业务管理衔接以及信息共享、数据安全。信息系统管理风险的定义、目标信息系统管理风险的内容、分类四项内容分类：制度流程风险、岗位职责风险、廉政风险、外部风险重大风险、一般风险信息系统流程控制风险信息系统流建设风险数据应用与管理风险信息系统安全管理风险信息系统管理风险防控机制（一）：职责内控委：制度制定，定级追责，改进措施内控办：检查考评，调查处理，督促落实数字中心：组织实施，发现问题，及时提示各单位：持续防控，及时报告，协助调查信息系统管理风险防控机制（二）：流程发现问题应对措施各单位应在第一时间报告内控办和数字中心。数字中心会同有关单位及时采取应对措施，最大程度避免或减少负面影响；在分清责任的基础上，深入查找风险事件发生的原因，提出解决方案、风险定级和责任追究建议，向内控办报告，并有针对性地制定或完善制度措施。分析原因解决方案完善制度问题防范第二部分信息系统建设管理风险防控信息系统建设管理风险是指信息系统建设未遵循一体化指导思想和信息化建设相关制度、标准规范，导致信息系统建设脱离统筹规划、过程管理不规范、标准不统一、信息不共享、业务不协同，造成流程固化与控制能力弱化，影响信息系统在财政管理中的整体效用。重大风险是指因不执行财政信息化建设规划和年度计划，擅自开发、推广信息系统，导致财政资金的重大浪费。一般风险是指系统建设与管理某些环节不到位，导致系统功能不完善、运维响应不及时等情况，一定程度上影响信息系统建设和应用，对业务工作的正常开展带来一定的负面影响。信息系统建设管理风险防控的内容：总体建设规划：数财办编制总体规划，报数字财政建设领导小组审批年度项目计划：各单位上报项目计划，数财办组织评审论证，报数字财政建设领导小组审批，数字中心列入预算建设实施：各单位提供业务需求，数字中心组织开展需求分析、系统设计、开发、测试、试运行、验收、实施等运维管理：数字中心统一组织开展各信息系统的运行维护管理政府采购：各单位提出业务需求，数字中心编制采购文件组织采购信息系统建设管理风险防控的流程信息系统建设管理风险防控的流程•总体建设规划风险防控措施：•1.加强财政信息化总体建设规划的研究，既立足解决当前业务管理需求，更着眼于信息化发展方针政策和财政改革发展要求，增强规划的前瞻性、科学性和持续有效性。•2.各单位结合财政改革发展要求，及时向数财办提供业务管理规划相关资料，确保总体建设规划能充分体现各单位业务改革的推进要求。•3.各单位不得自行制定、执行本单位业务管理信息系统建设规划，应将本单位业务管理需求全部纳入总体建设规划。•4.信息系统建设应严格执行总体建设规划，各单位依据总体建设规划提出年度信息化建设规划。信息系统建设管理风险防控的流程•年度计划风险防控措施：•1.各单位提出信息系统建设的详细业务需求，清晰设定业务流程，对本单位相近、类似的业务需求进行归类申报，经单位负责人审批并盖章后提交数财办；业务需求涉及多个单位的，应明确一个牵头单位。•2.数字中心综合分析业务需求，结合总体建设规划和信息系统建设成果，按照一体化建设要求整合需求，确定合理的需求实现方式，确立建设项目。•3.信息系统项目建设计划实行专家评审机制，数财办组织信息系统项目计划审核时，评审人员可由财政内部或外部专家组成。•4.数字中心严格按照批准的年度项目计划组织开展信息系统建设，不得在年度项目计划外开展信息系统建设。信息系统建设管理风险防控的流程•政府采购风险防控措施：•1.数字中心负责编制采购文件，相关单位及时提供相关业务材料，审核业务内容是否全面、准确。•2.采购文件内容应清晰具体，确保投标单位能准确理解业务需求和技术要求；在资质要求、评标标准等方面不得含有倾向性内容。•3.各单位认真编制信息系统升级改造需求，数字中心根据升级改造需求合理编制采购文件。•4.参与采购人员必须严格遵守相关规定，不得发表任何可能影响专家评审的言论，现场发言仅限于对业务需求和技术要求的释疑。信息系统建设管理风险防控的流程•系统建设与实施风险防控措施：•1.信息系统上线运行前必须进行试运行并通过验收。•2.数字中心综合分析信息系统实施的业务与技术要求，制定详细的实施方案；相关单位提供信息系统实施所需的相关数据资料。•3.数字中心会同业务部门负责信息系统的推广实施、实施系统版本管理和向用户单位分发软件，版本更换要履行规定程序。第三部分信息系统流程控制管理风险防控信息系统流程控制风险是指业务流程未完全固化在业务生产系统和办公自动化系统中、固化在信息系统中的业务流程未完全实现有效控制、业务处理未完全通过信息系统执行，导致信息系统支撑促进内部控制工作能力弱化的可能性。重大风险：因业务流程未固化在业务生产系统和办公自动化系统中，或固化在信息系统中的业务流程未实现有效控制，或业务处理未通过信息系统固化的流程进行等情形发生，严重影响内部控制效果。一般风险：因业务流程在业务生产系统和办公自动化系统中固化程度不够，或固化在信息系统中的业务流程控制不完善，导致内部控制目标某些方面或环节失效。信息系统流程管理内容业务管理流程化设计控制措施与预警机制设置信息系统实现信息系统流程应用•业务管理流程化设计风险防控措施：•1.对于手工操作存在管理风险的财政业务，必须通过信息系统固化流程。•2.各单位应按照业务实现的时间顺序和逻辑顺序，对需要通过信息系统固化的业务流程进行全面梳理、分析和细化，科学设定业务流程各环节，确保各环节既覆盖业务管理全过程又利于倒查问题根源。•3.各单位应将整理好的业务流程形成书面材料。•4.各单位应切实结合财政管理和改革的实际需要，审慎处理流程变更，避免流程变更的随意性。若确需变更，要充分考虑与原有业务的衔接。•控制措施与预警条件设定风险防控措施：•1.各单位应结合本单位业务和流程，全面梳理所涉及的不相容岗位，明确各个环节的岗位设置及职责。•2.各单位应对不相容岗位（职责）实施分离措施，明确细化职责，形成各司其职、各负其责、横向与纵向相互制约监督的工作机制。•3.各单位应建立授权管理体系,明确各岗位的授权主体、范围与权限，科学分配权利，确保各岗位人员在授权范围内开展工作，切实达到分事行权、分岗设权、分级授权的要求。•4.各单位应根据控制措施，合理设置预警条件。•5.各单位应制定书面的岗位职责说明及授权控制说明。•信息系统实现风险防控措施：•1.各单位提出需要通过信息系统实现的业务流程及其控制活动、控制措施等，形成业务需求方案，经单位负责人审批并盖章后提交数字中心。•2.数字中心对业务需求进行分析。若业务需求不符合信息系统开发设计要求，数字中心提出改进建议并退回；单位将业务需求修改完善后重新提交。•3.数字中心按照需求将业务流程固化在信息系统中，并将控制活动、控制措施等嵌入信息系统，确保授权处理无误，不相容岗位相互分离，实现操作过程留痕，责任可追溯，最大限度减少人为操纵因素。•4.业务流程发生变更后，各单位要及时形成流程变更书面材料，经单位负责人审批同意后提交数字中心。•5.数字中心应及时受理各单位的变更需求，并做好分析研究；对于符合要求的变更申请，应抓紧组织相关功能模块的改造工作。•信息系统流程应用风险防控措施：•1.各单位应建立健全规章制度，确保财政业务通过信息系统处理，实现内部控制的程序化和常态化。•2.数字中心制定信息系统操作规程，加强培训，确保各单位正确应用信息系统。•3.数字中心应强化技术监控，通过自动报告、跟踪处理、日志管理等机制，及时发现异常或违背内部控制要求的操作，妥善进行处置并向内控办报告。第四部分数据应用与管理风险防控数据应用与管理风险是指在数据收集、存储、处理和应用过程中，由于不主动提供数据、违规操作数据、越权使用数据、提供的数据不规范等原因，导致信息化数据分析利用和辅助决策能力弱化的可能性。重大风险：由于单位间信息不共享或不该共享的数据共享、数据不贯通等，导致相关单位无法正常开展工作；或者由于数据失真、使用不当，导致决策出现失误；或者由于数据保管不当、越权使用数据，导致数据丢失或信息泄漏。一般风险：由于单位间信息未完全共享、数据未完全贯通，加重相关单位工作负担，一定程度上影响工作效率。•数据规划风险防控措施：•1.各单位应树立数据共享意识，视共享为常态、不共享为例外，主动共享数据，并保证数据的准确、完整。•2.数字中心会同各单位依据实际财政业务制定统一的数据标准，明确数据来源、类型、层次、口径、安全等级、用户范围、访问权限等信息。数据标准制定要科学合理，涵盖财政业务的各个方面，具有指导性和约束力。•3.各单位按照统一的数据标准，结合自身业务发展规划，梳理本单位的数据和从外部获取的业务管理需要的数据，形成本单位信息资源目录体系。•4.各单位根据工作需要及时更新本单位信息资源目录体系，并提交数字中心。•数据搜集风险防控措施：•1.各单位严格按照数据规划，结合实际工作需要，提出数据收集需求，并与数据生产方做好衔接。•2.数字中心根据各单位提出的数据收集需求，分析整理，统筹安排，开展数据收集工作，并做好技术实现和服务保障。•3.各单位应主动公开、共享业务数据，做到及时更新和长期输出，并配合数字中心做好数据集中管理工作。•4.数字中心从外单位收集数据时，各单位应主动协调配合，推进收集工作开展。•数据应用风险防控措施：•1.数字中心建立规范的数据应用机制，加强权限管理，实现流程控制，确保数据准确、安全。•2.各单位根据工作实际，提出数据应用需求，明确数据类型、层次及口径，并说明应用范围和具体用途。数据应用需求经单位负责人审批并盖章后提交数字中心。•3.数字中心对收到的数据应用需求进行分析，对不符合标准规范的，退回需求单位修改完善后重新提交。对符合标准规范的，做好数据准备，明确数据来源，核对数据口径，设计应用规则，进行数据使用授权，实现数据应用。•4.各单位严格按照授权使用数据，并将使用情况和效果反馈数字中心。•5.各单位在数据复制转移过程中，要严格执行有关保密规定，实现操作过程留痕、责任可追溯，最大限度减少人为操纵风险。第五部分信息系统安全管理风险防控信息系统安全风险是指在信息系统建设、应用与运行维护过程中，由于管理制度不健全、信息安全意识淡薄、安全防护技术或管理措施不到位，导致系统权限被冒用，重要信息泄漏、篡改的可能性；或信息系统自身抵御外部攻击能力不强，突发事故处理机制不到位，造成信息系统瘫痪、业务中断、数据丢失等可能性。重大风险：因技术防护措施或管理严重缺失导致业务系统长时间无法恢复，敏感信息泄漏、丢失，系统瘫痪、业务中断等安全事件发生，对信息安全、财政业务开展造成较大损失。一般风险：因安全防护技术措施或管理制度不到位导致一般信息泄漏、系统暂停运行等安全事件发生，对财政业务开展造成影响和一定损失。信息系统安全管理内容信息系统建设安全管理信息系统运行安全管理信息系统运维安全管理信息系统安全审计管理系统灾备和应急管理•信息系统建设安全防控措施：•1.完善信息系统建设安全管理制度和技术标准，数字中心负责信息系统的安全规划、建设和安全标准、规范的制定以及非涉密信息系统的安全管理，各单位负责提出信息系统的建