11.1信息系统管理业务内部控制矩阵业务目标业务风险控制点适用单位不相容岗位控制点分值控制点相关资料相关制度索引会计报表认定会计报表项目1存在和发生/真实性;2完整性;3权利与义务;4估价或分摊;5表达和披露;6准确性1234561.IT整体层面管理1.1经营风险:信息化管理体系不完善,信息化领导小组或ERP指导委员会设置不健全,信息管理部门职责不落实,导致信息化工作受损。1.1股份公司建立完善的信息化管理体系,设立ERP指导委员会,设立信息系统管理部负责股份公司信息化归口管理工作;各分(子)公司设立信息化领导小组或ERP指导委员会,定期召开会议,听取、总结和指导本单位信息化工作,设立信息管理部门负责本单位信息化管理工作,对信息系统和信息资源行使管理职责。总部分(子)公司6ERP指导委员会或信息化领导小组成立文件;会议纪要信息管理部门职责文件1.10.51.12.2经营风险:信息化建设中长期规划不符合股份公司经营战略目标,导致盲目建设、投资低效。1.2根据股份公司发展战略目标和核心业务,结合信息技术发展和股份公司实际,信息系统管理部负责组织编制股份公司信息化建设中长期规划,在充分征求职能部门、事业部和分(子)公司意见后,组织专家组评审,并根据专家意见负责组织修改,经信息系统管理部主任审核,按规定权限审批后,纳入股份公司中长期发展规划。信息系统管理部5股份公司信息化建设中长期规划1.10.51.3教育和培训1.1经营风险:信息化培训缺乏,导致信息系统效能低下、信息化管理水平不高、信息化技能缺失。1.3.1各级信息管理部门负责编制年度信息化培训计划,经部门负责人审批后,纳入人事部门年度培训计划,并组织落实。信息系统管理部分(子)公司2年度培训计划1.10.51.1经营风险:信息安全教育不足,导致员工信息安全意识薄弱。1.3.2各级信息管理部门配合人事部门开展全员信息安全教育和培训,并在信息门户或内部网站发布安全教育培训材料。信息系统管理部分(子)公司2安全教育培训材料1.10.51.4风险评估1.12.2经营风险:信息系统风险评估缺失,导致信息系统风险。1.4.1根据《中国石油化工股份有限公司信息系统风险评估管理办法》,信息系统管理部负责每年对信息系统进行年度综合风险评估,形成风险评估报告,并组织专家组对风险评估报告进行评审,专家组对风险评估报告提出评审意见并签字;分(子)公司信息管理部门会同相关业务部门,通过多种形式,组织本单位信息系统的风险评估,包括企业信息系统整体风险、重点系统风险、主要基础设施风险等,形成相关风险评估报告,并将风险评估报告经信息管理部门负责人审核签字后报信息系统管理部备案。信息系统管理部分(子)公司4风险评估报告2.10.31.5信息安全管理1.12.2经营风险:信息安全规划不当,信息安全方案缺失,导致信息系统风险。1.5.1信息系统管理部负责编制信息安全规划,在征求职能部门、事业部和分(子)公司意见后,组织专家组评审,并根据专家意见负责组织修改,经信息系统管理部主任审核后,正式发布。各分(子)公司信息管理部门根据股份公司信息安全规划,结合自身生产经营管理的需要,并针对风险评估报告中提出的问题,负责制订本企业的信息安全方案,经分管经理审批后报信息系统管理部备案。信息系统管理部分(子)公司4信息安全规划信息安全方案2.10.21.12.2经营风险:系统未确定关键岗位,关键岗位缺乏监管,导致系统存在安全隐患。1.5.2依照《中国石油化工股份有限公司信息系统安全管理办法》规定,各级信息管理部门负责提出本单位的“信息系统关键岗位名录”,其中涉及信息系统安全的关键岗位由信息管理部门确定,涉及业务信息安全的关键岗位由主管业务部门商本单位保密委员会确定。“信息系统关键岗位名录”上的关键岗位人员要与所在单位签署“信息系统关键岗位安全责任书”,并在人事部门备案。总部各部门分(子)公司3信息系统关键岗位名录信息系统关键岗位安全责任书2.10.21.12.2经营风险:系统安全岗位设置缺失,导致系统存在安全隐患。1.5.3各级信息管理部门根据《中国石油化工股份有限公司信息系统安全管理办法》中的有关要求,按照不相容岗位分离的原则,设立安全管理员。安全管理员必须具有相应资质,并经部门负责人审批授权。信息系统管理部分(子)公司3安全管理员授权书安全管理员资质证书2.10.22.编制年度项目建议计划业务目标业务风险控制点适用单位不相容岗位控制点分值控制点相关资料相关制度索引会计报表认定会计报表项目1存在和发生/真实性;2完整性;3权利与义务;4估价或分摊;5表达和披露;6准确性1234561.12.2经营风险:年度信息化项目建议计划不符合股份公司经营战略目标,导致盲目建设、投资低效。2.1信息系统管理部根据股份公司信息化建设中长期规划和职能部门、事业部、分(子)公司申报的项目建议计划,结合年度实际,编制年度信息化项目建议计划,由信息系统管理部主任审核,按规定权限审批后,分别纳入股份公司年度投资计划、科技开发项目计划管理。各分(子)公司信息管理部门负责编制年度信息化项目建议计划预案,按规定权限审批后,分别纳入本单位年度投资建议计划、科技开发项目建议计划,上报信息系统管理部和总部相关部门审核。信息系统管理部分(子)公司5信息化建设年度计划1.10.53.项目可行性研究和评审1.11.2经营风险:项目可行性研究报告提出的技术方案不合理,业务流程不规范,系统功能不健全,可研评审不到位,导致系统建设不能满足业务需求。3.1信息管理部门会同项目责任部门(单位)委托有资格的单位承担项目可行性研究,并组织专家组对项目可行性研究报告进行评审,专家组对项目需求、目标、技术路线、风险分析、投资与效益、进度、组织落实等提出可行性研究评审意见并签字。信息系统管理部分(子)公司5可行性研究报告1.10.24.项目立项审批1.11.2经营风险:信息化项目缺乏统一归口管理,审批过程不规范,导致重复建设,低效投资。4.1通过可研评审的固定资产投资限额(200万元)及以上的信息技术项目,由信息系统管理部报发展计划部立项,批准立项的项目,由发展计划部列入年度投资计划;申请总部立项的固定资产投资限额(200万元)以下的信息技术项目,由信息系统管理部负责审批,报发展计划部备案;由各事业部审批的投资限额以下的信息技术项目投资计划,须经信息系统管理部和发展计划部会签。各分(子)公司一般措施及零星购置的信息技术项目在总部每年核定的限额以内,由各分(子)公司根据当期生产经营管理的需要,按规定权限审批后报各主管事业部、信息系统管理部和发展计划部审核备案,并纳入股份公司年度投资计划管理。通过可研评审的科技开发项目,由信息系统管理部报科技开发部立项,批准立项的项目,由科技开发部列入年度项目计划。信息系统管理部发展计划部科技开发部事业部分(子)公司5立项批文1.10.21.11.2经营风险:总体(基础)设计技术方案不合理,业务流程不规范,系统功能不健全,专家组评审不到位,导致系统建设不能满足业务需求。4.2对批准立项的、投资在500万元及以上的项目,信息系统管理部委托有资格的单位按要求对项目进行总体(基础)设计,其中投资在2000万元及以上的项目需组织专家组对项目总体(基础)设计进行评审,专家组对项目需求分析、目标、功能设计、投资概算等提出评审意见并签字,由信息系统管理部负责审批总体(基础)设计,报发展计划部备案。信息系统管理部3总体(基础)设计评审材料1.10.25.合同签订1.11.2经营风险:承建单位资质及经验欠缺,导致项目建设受损。未经审核,变更信息技术合同标准文本中涉及的权利、义务等条款,导致财务风险。财务风险:交易不真实,影响财务报告。5.1信息管理部门负责组织项目责任部门(单位)审查集成商、咨询商、开发商及供应商的资质,开展询比价、商务谈判等工作;涉及有关计算机服务器、PC机、打印机采购事宜,由物资采购部门归口管理、信息管理部门配合开展采购工作。依照规定权限并按经法律事务部审定的标准合同文本签订合同;项目责任部门(单位)负责完成合同技术附件,并由负责人签字确认。信息系统管理部物资装备部分(子)公司4合同技术附件1.10.2√固定资产无形资产6.项目实施1.11.2经营风险:详细设计技术方案不合理,业务流程不规范,系统功能不健全,审查不到位,导致系统建设不能满足业务需求。6.1项目实施单位根据合同技术附件或总体设计进行详细设计,详细设计的形式可根据项目类别的不同(自主开发项目、引进试点项目、推广完善项目、基础设施项目)采取与项目类别相适应的形式,投资在500万元及以上的项目需由信息管理部门组织人员对项目详细设计进行审查,项目实施单位根据审查意见进一步修改完善深化详细设计。信息系统管理部分(子)公司4项目详细设计1.10.21.11.2经营风险:基础数据不完整、不准确、不真实,导致系统无法正常投运或计算出错。6.2项目责任部门(单位)负责项目实施,业务部门组织数据的收集、整理、录入、审核,并进行审查和确认,保证数据的真实、完整和准确。信息系统管理部分(子)公司31.10.2业务目标业务风险控制点适用单位不相容岗位控制点分值控制点相关资料相关制度索引会计报表认定会计报表项目1存在和发生/真实性;2完整性;3权利与义务;4估价或分摊;5表达和披露;6准确性1234561.11.22.1经营风险:系统安装调试不当,用户培训缺失,导致系统运行受损。合规风险:安装的软件侵犯知识产权,导致诉讼及股份公司声誉受到损害。6.3信息管理部门负责对项目实施单位承担的软硬件系统安装调试、用户培训进行检查,审核和确认测试报告,并检查相应软件的合法性,提供经双方签字的检查记录。信息系统管理部分(子)公司3系统安装调试和用户培训报告软件验收报告1.10.21.11.2经营风险:项目监管不力,系统建设延误,导致系统不能按期投用。6.4信息管理部门负责组织对项目建设的阶段验收,进行项目建设质量、进度、标准执行和成本控制等检查,提出阶段验收报告;项目实施单位根据阶段验收报告对系统进行修改完善。500万元以下的一般信息技术项目可根据项目具体实施情况,只进行竣工验收。信息系统管理部分(子)公司3阶段验收报告1.10.21.11.2经营风险:项目监管不力,系统建设延误,导致系统不能按期投用或资金流失。财务风险:未按约定付款,影响财务报告。6.5项目责任部门(单位)负责至少每季度向信息管理部门提交项目实施报告,内容包括项目进度、质量、经费使用、存在问题和整改措施等;根据合同约定填写付款申请,按规定权限审批后办理付款。信息系统管理部分(子)公司经办审批3项目实施报告付款申请1.10.2√在建工程货币资金应付账款1.11.2经营风险:集成测试不完整,造成系统评估不准确。6.6信息管理部门组织对系统进行集成测试,形成集成测试评价意见;并根据集成测试评价意见责成项目实施单位进行修改完善。信息系统管理部分(子)公司3集成测试评价意见1.10.21.11.2经营风险:技术文档不完整、造成系统应用维护困难6.7项目责任部门(单位)责成项目实施单位负责知识转移,并提交项目相关的技术文档(包括用户使用手册、系统维护手册、系统安全和使用授权管理办法、应急处理办法及用户培训教材等资料)。信息系统管理部分(子)公司5项目技术文档1.10.27.项目竣工验收1.11.2经营风险:单轨运行时间过短,无法完成对系统的准确评价7.1项目完成全部的规定目标任务后,投资2000万元及以上的项目单轨连续稳定运行6个月以上,其它项目单轨连续稳定运行3个月以上,由项目责任部门(单位)以正式行文方式提交项目竣工验收申请,同时提交项目验收相关材料一并审核。总部批复的项目向信息系统管理部提交验收申请,由信息系统管理部负责组织项目验收工作。分(子)公司自行批复的项目向企业信息管理部门提交验收申请,由分(子)公司信息管理部门负责组织项目验收工作。专家组形成验收意见并签字。信息系统管理部分(子)公司4项目验收意见1.10.21.11.2经营风险:竣工验收决算报告