益阳市财政局信息系统管理风险防控办法(试行

—89—附件7：益阳市财政局信息系统管理风险防控办法（试行）第一章总则第一条为加强信息系统管理内部控制，有效防控财政信息系统管理风险，提高信息系统建设与管理的规范性、科学性和信息化对财政业务管理的支撑与流程控制能力，根据益阳市财政局信息化建设管理相关制度和《益阳市财政局内部控制基本制度》有关规定，结合工作实际，制定本办法。第二条本办法所称信息系统管理风险是指在信息系统建设和运行维护过程中，未完全遵循信息化建设制度、规划和标准或安全措施不到位、运行维护不规范，导致系统碎片化、系统故障、数据丢失、信息泄露、信息化辅助管理决策能力弱化的可能性。第三条信息系统建设坚持归口管理，实行统筹规划、统一建设，从财政改革发展的全局出发，协调配合、分工合作、整合资源、实现一体化，同时，强化流程控制，将业务流程固化在业务生产系统和办公自动化系统中，健全信息系统预警机制，加强风险揭示和自动控制，发挥信息化建设对财政业务管理和辅助决策的支撑与促进作用。—90—第四条信息系统管理风险主要包括信息系统建设管理风险、流程控制风险、数据应用与管理风险和信息安全风险四个方面。根据风险事件的情节轻重、影响范围和程度，分为重大风险和一般风险两个等级；按照风险来源和性质，分为制度流程风险、岗位职责风险、廉政风险和外部风险四种类型。重大风险：是指发生的风险事件对信息系统管理产生重大负面影响，或者严重损害国家或部门利益的可能性。一般风险：是指发生的风险事件对信息系统管理产生一定的负面影响，或者对国家或部门利益造成一定损失的可能性。制度流程风险：是指由于缺乏信息系统管理制度流程规定，或制度流程设计不合理、执行不到位，导致信息系统管理不规范、不科学的可能性。岗位职责风险：是指由于岗位职责设定不明确、授权管理不到位，或履行岗位职责不作为、违背制度流程乱作为，导致信息系统管理不规范，影响工作质量与进度的可能性。廉政风险：是指信息系统建设管理人员凭借手中的权力，利用工作之便在信息系统管理工作中违反廉政规定谋求私利的可能性。外部风险：是指因外部客观环境发生重大变化或外部信息不真实、不准确，或者信息系统建设管理的外部参与单位履行职责不到位，导致信息系统建设管理不规范、影响工作质量与进度的可能性。—91—第五条信息系统管理风险内部控制的目标是，综合运用信息化建设管理制度、标准规范和内部控制方法，将信息系统管理风险防控措施贯穿于信息系统建设、管理与应用全过程，对信息系统建设、管理和应用进行全程控制；将内控理念和控制活动、措施嵌入信息系统，对业务流程运行进行实时监控，最大限度减少人为操纵因素，确保系统运行协同、业务流程固化、业务管理衔接以及信息共享、数据安全。第六条本办法适用于局内各科室、单位。第七条信息系统管理风险内部控制职责分工：（一）内部控制委员会（以下简称内控委）负责审定信息系统管理内部控制政策制度，审定信息系统管理风险事件定级和责任追究建议，提出加强和改进措施。（二）内部控制委员会办公室（以下简称内控办）负责组织对信息系统管理内部控制制度进行有效性检查、考核和评价，组织对信息系统管理风险事件进行调查，研究提出处理意见并向内控委报告。督促落实内控委决定，定期通报信息系统管理内部控制制度执行情况及重大风险事件。（三）信息科负责信息系统管理内部控制的组织实施，及时发现信息系统管理风险防控中存在的问题，提示有关单位，并向内控办报告。定期向内控办报送信息系统管理风险防控情况。（四）各科室、单位对本单位的信息系统管理的重点业务环节实施持续、有效的风险防控，及时向内控办和信息科报告本单—92—位信息系统管理风险防控及异常情况，积极协助专项检查和调查。第八条信息系统管理风险事件发生后，各单位应在第一时间报告内控办和信息科。信息科会同有关单位及时采取应对措施，最大程度避免或减少负面影响；在分清责任的基础上，深入查找风险事件发生的原因，提出解决方案、风险定级和责任追究建议，向内控办报告，并有针对性地制定或完善制度措施。第九条各科室、单位及其干部职工执行本办法的情况纳入考核指标体系。第二章信息系统建设管理内部控制第十条信息系统建设管理风险是指信息系统建设未遵循财政信息化建设归口管理要求、一体化指导思想和信息化建设相关制度、标准规范，导致信息系统建设脱离统筹规划、过程管理不规范、标准不统一、信息不共享、业务不协同，造成流程固化与控制能力弱化，影响信息系统在财政管理中的整体效用。其中，重大风险是指因违背财政信息化建设归口管理要求，不执行财政信息化建设规划和年度计划，擅自开发、推广信息系统，导致信息系统重复建设、碎片化；或因业务需求不细化、流程不清晰，导致信息系统功能与性能严重缺失，未能有效支撑财政管理和流程管控，影响财政发展与改革及信息化一体化建设效果，造成较大负面影响。一般风险是指执行归口管理的某些环节不到位，导致系统功—93—能与性能不完善、运维响应不及时等情况，一定程度上影响信息系统建设和应用，对业务工作的正常开展带来一定的负面影响。第十一条信息系统建设管理应遵循以下工作流程：（一）总体规划。信息科根据国家和省信息化发展方针政策、财政改革与事业发展要求，结合工作实际，研究拟定财政信息化建设总体规划，经局信息化工作领导小组办公室（以下简称“信息科”）审议后报局信息化工作领导小组审批。（二）年度计划。各科室、单位根据财政信息化建设总体规划，结合本部门业务管理需要，编制年度财政信息化建设项目需求建议书报信息科；信息科汇总并组织审核项目申报计划，编制年度项目计划；报请信息化领导小组审批。（三）政府采购。信息科根据项目建设计划和进度安排，编制采购文件，组织开展政府采购工作。（四）建设实施。信息科组织开展需求调研、系统设计、开发、测试、试运行、验收、实施等工作，并组织做好信息系统建设与实施过程的监督管理；各单位配合做好相关工作。（五）运维管理。信息科统一组织开展各信息系统的运行维护管理。第十二条信息系统建设管理风险主要体现在归口管理、总体建设规划、年度项目计划、政府采购、设计开发、验收管理、组织实施、运行维护等过程或环节。第十三条归口管理的风险与防控。—94—（一）归口管理风险点：1．各科室、单位自行组织信息系统建设与实施，导致信息系统建设碎片化、标准不统一、业务不衔接、信息不共享，影响信息系统一体化建设。2．未建立财政信息化建设联席会议制度，导致信息系统建设中的技术与业务脱节，影响系统建设质量。3．各科室、单位不执行财政信息化建设联席会议及信息科专题会议决议，或执行不到位，导致信息系统建设进度滞后、成果不符合会议决议要求。4．各科室、单位未按规定履行会商、会签、审批程序，自行印发信息系统建设和推广实施相关工作文件，导致信息系统建设与实施政出多门、多头管理。（二）归口管理风险事件类型：风险类型风险点风险等级责任主体制度流程风险自行组织信息系统建设与实施，造成系统碎片化重大各科室、单位自行印发信息系统建设与推广实施相关文件，造成系统建设多头管理重大各科室、单位未建立财政信息化建设联席会议制度一般局领导、信息科信息化重大问题不进行集体研究重大局领导、各科室、单位财政信息化重大问题集体研究制度执行不到位一般各科室、单位岗位职责风险不执行或选择性执行财政信息化工作联席会议和信息科专题会议决议，造成系统建设进度滞后重大各科室、单位（三）归口管理风险防控措施：—95—1．各科室、单位在信息系统建设工作中，负责提出详细业务需求，配合信息科开展系统需求调研、测试验收、组织实施等工作中的业务协调，不得自行组织信息系统建设与实施。2．信息科综合分析各科室、单位提出的业务需求，根据总体建设规划，研究提出信息系统建设计划，统一组织信息系统设计开发、推广实施与运维管理。3．建立完善财政信息化建设联席会议制度，加强技术与业务部门的配合。4．各科室、单位严格执行财政信息化工作联席会议制度和重大问题集体研究制度，严格落实会议决议，重大问题提请信息科研究，必要时上报信息化工作领导小组。5．各科室、单位按规定履行会商、会签、审批程序后，方可印发信息系统建设与推广实施相关工作文件。第十四条总体建设规划的风险与防控。（一）总体建设规划风险点：1．财政信息化总体建设规划缺失，导致信息系统建设缺乏统筹安排，出现分散建设和随意建设情况。2．各科室、单位自行制定并执行本科室、单位业务管理信息化规划，导致与总体建设规划和一体化建设要求不相容甚至相悖。3．各科室、单位执行总体建设规划不严格，过分强调特殊性和独立性，要求一项业务建立一个系统，导致业务分割、重复—96—建设、系统孤立和信息孤岛。（二）总体建设规划风险事件类型：风险类型风险点风险等级责任主体制度流程风险财政信息化总体建设规划缺失，导致出现分散、随意建设的情况重大局领导、各科室、单位各单位自行制定并执行本单位业务管理信息化规划重大各科室、单位信息系统总体建设规划未完全覆盖业务管理需求一般各科室、单位岗位职责风险未严格执行信息系统总体建设规划一般各科室、单位（三）总体建设规划风险防控措施：1．加强财政信息化总体建设规划的研究，既立足解决当前业务管理需求，更着眼于国家信息化发展方针政策和财政改革发展要求，增强规划的前瞻性、科学性和持续有效性。2．各科室、单位结合财政改革发展要求，及时向信息科提供业务管理规划相关资料，确保总体建设规划能充分体现各单位业务改革的推进要求。3．各科室、单位不得自行制定、执行本单位业务管理信息系统建设规划，应配合信息科将本单位业务管理需求全部纳入总体建设规划。4．信息系统建设应严格执行总体建设规划（上级部门要求的紧急业务事项除外），各单位依据总体建设规划提出年度信息化建设业务需求；信息科依据总体建设规划综合分析业务需求，提出信息系统项目立项并组织建设。—97—第十五条年度项目计划的风险与防控。（一）年度项目计划编制工作流程：1．各科室、单位提出信息化建设项目业务需求建议书。2．信息科汇总并审核信息化建设项目申报计划，编制年度项目计划。3．局信息化领导小组审批年度项目计划。（二）年度项目计划风险点：1．各科室、单位提出的业务需求不详细，业务流程不清晰，或未对本单位相近、类似的业务需求进行归类整理，导致年度项目计划编制的业务依据不充分，影响年度项目计划的科学性和合理性。2．信息科对业务需求和立项申请审核不严格，信息科审批年度项目计划不严格，导致年度项目计划不合理。3．年度项目计划执行不严格，在计划外开展信息系统建设，影响信息系统的统筹管理和一体化推进。（三）年度项目计划编制和执行风险事件类型：风险类型风险点风险等级责任主体制度流程风险信息化项目审批依据不全面一般局信息化领导小组、信息科岗位职责风险在年度项目计划外开展信息系统建设，影响信息系统的统筹管理和一体化推进重大各科室、单位提出的业务需求不完整、不具体，业务流程不清晰一般各科室、单位岗位职责对业务需求研究不充分，导致提出的立项申请不合理一般各科室、单位—98—风险类型风险点风险等级责任主体风险项目经费测算不合理一般相关科室、单位、信息科岗位职责风险业务需求和立项申请审核不严格一般信息科未对重大财政信息化项目进行专家评审论证一般相关科室、单位、信息科未对本单位业务需求进行归类整理，类似需求重复申报一般各科室、单位未综合审核意见和专家评审论证意见，导致信息化年度项目计划的编制不合理一般信息科年度项目计划审批不严格一般局信息化领导小组、信息科（四）年度项目计划风险防控措施：1．各科室、单位提出信息系统建设的详细业务需求，清晰设定业务流程，对本单位相近、类似的业务需求进行归类申报，经单位负责人审批并盖章后提交信息科；业务需求涉及多个单位的，应明确一个牵头单位，业务需求的确定如存在争议，应提请信息科研究；信息科综合分析业务需求，结合总体建设规划和信息系统建设成果，按照一体化建设要求整合需求，确定合理的需求实现方式，确立建设项目并提出立项申请。2．信息科健全信息系统立项审批流程，明确立项审批依据和立项条件。3．信息系统立项实行专家评审机制，重大项目须进行评审论证。4．信息科严格按照批准的年度项目计划组织开展信息系统建设，不得在