【正文】 附件7：益陽市財政局信息系統(tǒng)管理風(fēng)險防控辦法（試行）第一章 總則第一條 為加強信息系統(tǒng)管理內(nèi)部控制，有效防控財政信息系統(tǒng)管理風(fēng)險，提高信息系統(tǒng)建設(shè)與管理的規(guī)范性、科學(xué)性和信息化對財政業(yè)務(wù)管理的支撐與流程控制能力，根據(jù)益陽市財政局信息化建設(shè)管理相關(guān)制度和《益陽市財政局內(nèi)部控制基本制度》有關(guān)規(guī)定，結(jié)合工作實際，制定本辦法。第二條 本辦法所稱信息系統(tǒng)管理風(fēng)險是指在信息系統(tǒng)建設(shè)和運行維護過程中，未完全遵循信息化建設(shè)制度、規(guī)劃和標(biāo)準(zhǔn)或安全措施不到位、運行維護不規(guī)范，導(dǎo)致系統(tǒng)碎片化、系統(tǒng)故障、數(shù)據(jù)丟失、信息泄露、信息化輔助管理決策能力弱化的可能性。第三條 信息系統(tǒng)建設(shè)堅持歸口管理，實行統(tǒng)籌規(guī)劃、統(tǒng)一建設(shè)，從財政改革發(fā)展的全局出發(fā)，協(xié)調(diào)配合、分工合作、整合資源、實現(xiàn)一體化，同時，強化流程控制，將業(yè)務(wù)流程固化在業(yè)務(wù)生產(chǎn)系統(tǒng)和辦公自動化系統(tǒng)中，健全信息系統(tǒng)預(yù)警機制，加強風(fēng)險揭示和自動控制，發(fā)揮信息化建設(shè)對財政業(yè)務(wù)管理和輔助決策的支撐與促進作用。第四條 信息系統(tǒng)管理風(fēng)險主要包括信息系統(tǒng)建設(shè)管理風(fēng)險、流程控制風(fēng)險、數(shù)據(jù)應(yīng)用與管理風(fēng)險和信息安全風(fēng)險四個方面。根據(jù)風(fēng)險事件的情節(jié)輕重、影響范圍和程度，分為重大風(fēng)險和一般風(fēng)險兩個等級；按照風(fēng)險來源和性質(zhì)，分為制度流程風(fēng)險、崗位職責(zé)風(fēng)險、廉政風(fēng)險和外部風(fēng)險四種類型。重大風(fēng)險：是指發(fā)生的風(fēng)險事件對信息系統(tǒng)管理產(chǎn)生重大負面影響，或者嚴(yán)重損害國家或部門利益的可能性。一般風(fēng)險：是指發(fā)生的風(fēng)險事件對信息系統(tǒng)管理產(chǎn)生一定的負面影響，或者對國家或部門利益造成一定損失的可能性。制度流程風(fēng)險：是指由于缺乏信息系統(tǒng)管理制度流程規(guī)定，或制度流程設(shè)計不合理、執(zhí)行不到位，導(dǎo)致信息系統(tǒng)管理不規(guī)范、不科學(xué)的可能性。崗位職責(zé)風(fēng)險：是指由于崗位職責(zé)設(shè)定不明確、授權(quán)管理不到位，或履行崗位職責(zé)不作為、違背制度流程亂作為，導(dǎo)致信息系統(tǒng)管理不規(guī)范，影響工作質(zhì)量與進度的可能性。廉政風(fēng)險：是指信息系統(tǒng)建設(shè)管理人員憑借手中的權(quán)力，利用工作之便在信息系統(tǒng)管理工作中違反廉政規(guī)定謀求私利的可能性。外部風(fēng)險：是指因外部客觀環(huán)境發(fā)生重大變化或外部信息不真實、不準(zhǔn)確，或者信息系統(tǒng)建設(shè)管理的外部參與單位履行職責(zé)不到位，導(dǎo)致信息系統(tǒng)建設(shè)管理不規(guī)范、影響工作質(zhì)量與進度的可能性。第五條 信息系統(tǒng)管理風(fēng)險內(nèi)部控制的目標(biāo)是，綜合運用信息化建設(shè)管理制度、標(biāo)準(zhǔn)規(guī)范和內(nèi)部控制方法，將信息系統(tǒng)管理風(fēng)險防控措施貫穿于信息系統(tǒng)建設(shè)、管理與應(yīng)用全過程，對信息系統(tǒng)建設(shè)、管理和應(yīng)用進行全程控制；將內(nèi)控理念和控制活動、措施嵌入信息系統(tǒng)，對業(yè)務(wù)流程運行進行實時監(jiān)控，最大限度減少人為操縱因素，確保系統(tǒng)運行協(xié)同、業(yè)務(wù)流程固化、業(yè)務(wù)管理銜接以及信息共享、數(shù)據(jù)安全。第六條 本辦法適用于局內(nèi)各科室、單位。第七條 信息系統(tǒng)管理風(fēng)險內(nèi)部控制職責(zé)分工： （一）內(nèi)部控制委員會（以下簡稱內(nèi)控委）負責(zé)審定信息系統(tǒng)管理內(nèi)部控制政策制度，審定信息系統(tǒng)管理風(fēng)險事件定級和責(zé)任追究建議，提出加強和改進措施。（二）內(nèi)部控制委員會辦公室（以下簡稱內(nèi)控辦）負責(zé)組織對信息系統(tǒng)管理內(nèi)部控制制度進行有效性檢查、考核和評價，組織對信息系統(tǒng)管理風(fēng)險事件進行調(diào)查，研究提出處理意見并向內(nèi)控委報告。督促落實內(nèi)控委決定，定期通報信息系統(tǒng)管理內(nèi)部控制制度執(zhí)行情況及重大風(fēng)險事件。（三）信息科負責(zé)信息系統(tǒng)管理內(nèi)部控制的組織實施，及時發(fā)現(xiàn)信息系統(tǒng)管理風(fēng)險防控中存在的問題，提示有關(guān)單位，并向內(nèi)控辦報告。定期向內(nèi)控辦報送信息系統(tǒng)管理風(fēng)險防控情況。（四）各科室、單位對本單位的信息系統(tǒng)管理的重點業(yè)務(wù)環(huán)節(jié)實施持續(xù)、有效的風(fēng)險防控，及時向內(nèi)控辦和信息科報告本單位信息系統(tǒng)管理風(fēng)險防控及異常情況，積極協(xié)助專項檢查和調(diào)查。第八條 信息系統(tǒng)管理風(fēng)險事件發(fā)生后，各單位應(yīng)在第一時間報告內(nèi)控辦和信息科。信息科會同有關(guān)單位及時采取應(yīng)對措施，最大程度避免或減少負面影響；在分清責(zé)任的基礎(chǔ)上，深入查找風(fēng)險事件發(fā)生的原因，提出解決方案、風(fēng)險定級和責(zé)任追究建議，向內(nèi)控辦報告，并有針對性地制定或完善制度措施。第九條 各科室、單位及其干部職工執(zhí)行本辦法的情況納入考核指標(biāo)體系。第二章 信息系統(tǒng)建設(shè)管理內(nèi)部控制第十條 信息系統(tǒng)建設(shè)管理風(fēng)險是指信息系統(tǒng)建設(shè)未遵循財政信息化建設(shè)歸口管理要求、一體化指導(dǎo)思想和信息化建設(shè)相關(guān)制度、標(biāo)準(zhǔn)規(guī)范，導(dǎo)致信息系統(tǒng)建設(shè)脫離統(tǒng)籌規(guī)劃、過程管理不規(guī)范、標(biāo)準(zhǔn)不統(tǒng)一、信息不共享、業(yè)務(wù)不協(xié)同，造成流程固化與控制能力弱化，影響信息系統(tǒng)在財政管理中的整體效用。其中，重大風(fēng)險是指因違背財政信息化建設(shè)歸口管理要求，不執(zhí)行財政信息化建設(shè)規(guī)劃和年度計劃，擅自開發(fā)、推廣信息系統(tǒng)，導(dǎo)致信息系統(tǒng)重復(fù)建設(shè)、碎片化；或因業(yè)務(wù)需求不細化、流程不清晰，導(dǎo)致信息系統(tǒng)功能與性能嚴(yán)重缺失，未能有效支撐財政管理和流程管控，影響財政發(fā)展與改革及信息化一體化建設(shè)效果，造成較大負面影響。一般風(fēng)險是指執(zhí)行歸口管理的某些環(huán)節(jié)不到位，導(dǎo)致系統(tǒng)功能與性能不完善、運維響應(yīng)不及時等情況，一定程度上影響信息系統(tǒng)建設(shè)和應(yīng)用，對業(yè)務(wù)工作的正常開展帶來一定的負面影響。第十一條 信息系統(tǒng)建設(shè)管理應(yīng)遵循以下工作流程：（一）總體規(guī)劃。信息科根據(jù)國家和省信息化發(fā)展方針政策、財政改革與事業(yè)發(fā)展要求，結(jié)合工作實際，研究擬定財政信息化建設(shè)總體規(guī)劃，經(jīng)局信息化工作領(lǐng)導(dǎo)小組辦公室（以下簡稱“信息科”）審議后報局信息化工作領(lǐng)導(dǎo)小組審批。（二）年度計劃。各科室、單位根據(jù)財政信息化建設(shè)總體規(guī)劃，結(jié)合本部門業(yè)務(wù)管理需要，編制年度財政信息化建設(shè)項目需求建議書報信息科；信息科匯總并組織審核項目申報計劃，編制年度項目計劃；報請信息化領(lǐng)導(dǎo)小組審批。（三）政府采購。信息科根據(jù)項目建設(shè)計劃和進度安排，編制采購文件，組織開展政府采購工作。（四）建設(shè)實施。信息科組織開展需求調(diào)研、系統(tǒng)設(shè)計、開發(fā)、測試、試運行、驗收、實施等工作，并組織做好信息系統(tǒng)建設(shè)與實施過程的監(jiān)督管理；各單位配合做好相關(guān)工作。（五）運維管理。信息科統(tǒng)一組織開展各信息系統(tǒng)的運行維護管理。第十二條 信息系統(tǒng)建設(shè)管理風(fēng)險主要體現(xiàn)在歸口管理、總體建設(shè)規(guī)劃、年度項目計劃、政府采購、設(shè)計開發(fā)、驗收管理、組織實施、運行維護等過程或環(huán)節(jié)。第十三條 歸口管理的風(fēng)險與防控。（一）歸口管理風(fēng)險點：1．各科室、單位自行組織信息系統(tǒng)建設(shè)與實施，導(dǎo)致信息系統(tǒng)建設(shè)碎片化、標(biāo)準(zhǔn)不統(tǒng)一、業(yè)務(wù)不銜接、信息不共享，影響信息系統(tǒng)一體化建設(shè)。2．未建立財政信息化建設(shè)聯(lián)席會議制度，導(dǎo)致信息系統(tǒng)建設(shè)中的技術(shù)與業(yè)務(wù)脫節(jié)，影響系統(tǒng)建設(shè)質(zhì)量。3．各科室、單位不執(zhí)行財政信息化建設(shè)聯(lián)席會議及信息科專題會議決議，或執(zhí)行不到位，導(dǎo)致信息系統(tǒng)建設(shè)進度滯后、成果不符合會議決議要求。4．各科室、單位未按規(guī)定履行會商、會簽、審批程序，自行印發(fā)信息系統(tǒng)建設(shè)和推廣實施相關(guān)工作文件，導(dǎo)致信息系統(tǒng)建設(shè)與實施政出多門、多頭管理。（二）歸口管理風(fēng)險事件類型：風(fēng)險類型風(fēng)險點風(fēng)險等級責(zé)任主體制度流程風(fēng)險自行組織信息系統(tǒng)建設(shè)與實施，造成系統(tǒng)碎片化重大各科室、單位自行印發(fā)信息系統(tǒng)建設(shè)與推廣實施相關(guān)文件，造成系統(tǒng)建設(shè)多頭管理重大各科室、單位未建立財政信息化建設(shè)聯(lián)席會議制度一般局領(lǐng)導(dǎo)、信息科信息化重大問題不進行集體研究重大局領(lǐng)導(dǎo)、各科室、單位財政信息化重大問題集體研究制度執(zhí)行不到位一般各科室、單位崗位職責(zé)風(fēng)險不執(zhí)行或選擇性執(zhí)行財政信息化工作聯(lián)席會議和信息科專題會議決議，造成系統(tǒng)建設(shè)進度滯后重大各科室、單位（三）歸口管理風(fēng)險防控措施：1．各科室、單位在信息系統(tǒng)建設(shè)工作中，負責(zé)提出詳細業(yè)務(wù)需求，配合信息科開展系統(tǒng)需求調(diào)研、測試驗收、組織實施等工作中的業(yè)務(wù)協(xié)調(diào)，不得自行組織信息系統(tǒng)建設(shè)與實施。2．信息科綜合分析各科室、單位提出的業(yè)務(wù)需求，根據(jù)總體建設(shè)規(guī)劃，研究提出信息系統(tǒng)建設(shè)計劃，統(tǒng)一組織信息系統(tǒng)設(shè)計開發(fā)、推廣實施與運維管理。3．建立完善財政信息化建設(shè)聯(lián)席會議制度，加強技術(shù)與業(yè)務(wù)部門的配合。4．各科室、單位嚴(yán)格執(zhí)行財政信息化工作聯(lián)席會議制度和重大問題集體研究制度，嚴(yán)格落實會議決議，重大問題提請信息科研究，必要時上報信息化工作領(lǐng)導(dǎo)小組。5．各科室、單位按規(guī)定履行會商、會簽、審批程序后，方可印發(fā)信息系統(tǒng)建設(shè)與推廣實施相關(guān)工作文件。第十四條 總體建設(shè)規(guī)劃的風(fēng)險與防控。（一）總體建設(shè)規(guī)劃風(fēng)險點：1．財政信息化總體建設(shè)規(guī)劃缺失，導(dǎo)致信息系統(tǒng)建設(shè)缺乏統(tǒng)籌安排，出現(xiàn)分散建設(shè)和隨意建設(shè)情況。2．各科室、單位自行制定并執(zhí)行本科室、單位業(yè)務(wù)管理信息化規(guī)劃，導(dǎo)致與總體建設(shè)規(guī)劃和一體化建設(shè)要求不相容甚至相悖。3．各科室、單位執(zhí)行總體建設(shè)規(guī)劃不嚴(yán)格，過分強調(diào)特殊性和獨立性，要求一項業(yè)務(wù)建立一個系統(tǒng)，導(dǎo)致業(yè)務(wù)分割、重復(fù)建設(shè)、系統(tǒng)孤立和信息孤島。（二）總體建設(shè)規(guī)劃風(fēng)險事件類型：風(fēng)險類型風(fēng)險點風(fēng)險等級責(zé)任主體制度流程風(fēng)險財政信息化總體建設(shè)規(guī)劃缺失，導(dǎo)致出現(xiàn)分散、隨意建設(shè)的情況重大局領(lǐng)導(dǎo)、各科室、單位各單位自行制定并執(zhí)行本單位業(yè)務(wù)管理信息化規(guī)劃重大各科室、單位信息系統(tǒng)總體建設(shè)規(guī)劃未完全覆蓋業(yè)務(wù)管理需求一般各科室、單位崗位職責(zé)風(fēng)險未嚴(yán)格執(zhí)行信息系統(tǒng)總體建設(shè)規(guī)劃一般各科室、單位（三）總體建設(shè)規(guī)劃風(fēng)險防控措施：1．加強財政信息化總體建設(shè)規(guī)劃的研究，既立足解決當(dāng)前業(yè)務(wù)管理需求，更著眼于國家信息化發(fā)展方針政策和財政改革發(fā)展要求，增強規(guī)劃的前瞻性、科學(xué)性和持續(xù)有效性。2．各科室、單位結(jié)合財政改革發(fā)展要求，及時向信息科提供業(yè)務(wù)管理規(guī)劃相關(guān)資料，確?？傮w建設(shè)規(guī)劃能充分體現(xiàn)各單位業(yè)務(wù)改革的推進要求。3．各科室、單位不得自行制定、執(zhí)行本單位業(yè)務(wù)管理信息系統(tǒng)建設(shè)規(guī)劃，應(yīng)配合信息科將本單位業(yè)務(wù)管理需求全部納入總體建設(shè)規(guī)劃。4．信息系統(tǒng)建設(shè)應(yīng)嚴(yán)格執(zhí)行總體建設(shè)規(guī)劃（上級部門要求的緊急業(yè)務(wù)事項除外），各單位依據(jù)總體建設(shè)規(guī)劃提出年度信息化建設(shè)業(yè)務(wù)需求；信息科依據(jù)總體建設(shè)規(guī)劃綜合分析業(yè)務(wù)需求，提出信息系統(tǒng)項目立項并組織建設(shè)。第十五條 年度項目計劃的風(fēng)險與防控。（一）年度項目計劃編制工作流程：1．各科室、單位提出信息化建設(shè)項目業(yè)務(wù)需求建議書。2．信息科匯總并審核信息化建設(shè)項目申報計劃，編制年度項目計劃。3．局信息化領(lǐng)導(dǎo)小組審批年度項目計劃。（二）年度項目計劃風(fēng)險點：1．各科室、單位提出的業(yè)務(wù)需求不詳細，業(yè)務(wù)流程不清晰，或未對本單位相近、類似的業(yè)務(wù)需求進行歸類整理，導(dǎo)致年度項目計劃編制的業(yè)務(wù)依據(jù)不充分，影響年度項目計劃的科學(xué)性和合理性。2．信息科對業(yè)務(wù)需求和立項申請審核不嚴(yán)格，信息科審批年度項目計劃不嚴(yán)格，導(dǎo)致年度項目計劃不合理。3．年度項目計劃執(zhí)行不嚴(yán)格，在計劃外開展信息系統(tǒng)建設(shè)，影響信息系統(tǒng)的統(tǒng)籌管理和一體化推進。（三）年度項目計劃編制和執(zhí)行風(fēng)險事件類型：風(fēng)險類型風(fēng)險點風(fēng)險等級責(zé)任主體制度流程風(fēng)險信息化項目審批依據(jù)不全面一般局信息化領(lǐng)導(dǎo)小組、信息科崗位職責(zé)風(fēng)險在年度項目計劃外開展信息系統(tǒng)建設(shè)，影響信息系統(tǒng)的統(tǒng)籌管理和一體化推進重大各科室、單位提出的業(yè)務(wù)需求不完整、不具體，業(yè)務(wù)流