【正文】 ．加強(qiáng)信息系統(tǒng)設(shè)計(jì)開發(fā)的過程管理，可采購有資質(zhì)的監(jiān)理單位進(jìn)行監(jiān)督檢查，相關(guān)單位要配合開展相關(guān)工作。2．建立健全信息系統(tǒng)建設(shè)協(xié)調(diào)機(jī)制，在業(yè)務(wù)需求調(diào)研、設(shè)計(jì)開發(fā)等工作中，加強(qiáng)業(yè)務(wù)與技術(shù)部門間的溝通配合。4．信息系統(tǒng)設(shè)計(jì)開發(fā)未嚴(yán)格執(zhí)行財(cái)政信息化建設(shè)標(biāo)準(zhǔn)規(guī)范，導(dǎo)致與其他信息系統(tǒng)之間無法通暢交換數(shù)據(jù)和共享信息，形成信息孤島。6．測(cè)試與修改完善。2．業(yè)務(wù)需求評(píng)審。3．各科室、單位認(rèn)真編制信息系統(tǒng)升級(jí)改造需求，信息科根據(jù)升級(jí)改造需求合理編制采購文件，避免承建單位的頻繁更換。，造成承建單位頻繁更換，無法保證系統(tǒng)架構(gòu)、功能與性能設(shè)計(jì)的延續(xù)性，甚至可能推翻原有系統(tǒng)。2．相關(guān)單位審核確認(rèn)采購文件中的業(yè)務(wù)內(nèi)容。3．信息系統(tǒng)立項(xiàng)實(shí)行專家評(píng)審機(jī)制，重大項(xiàng)目須進(jìn)行評(píng)審論證。2．信息科對(duì)業(yè)務(wù)需求和立項(xiàng)申請(qǐng)審核不嚴(yán)格，信息科審批年度項(xiàng)目計(jì)劃不嚴(yán)格，導(dǎo)致年度項(xiàng)目計(jì)劃不合理。（一）年度項(xiàng)目計(jì)劃編制工作流程：1．各科室、單位提出信息化建設(shè)項(xiàng)目業(yè)務(wù)需求建議書。2．各科室、單位結(jié)合財(cái)政改革發(fā)展要求，及時(shí)向信息科提供業(yè)務(wù)管理規(guī)劃相關(guān)資料，確?？傮w建設(shè)規(guī)劃能充分體現(xiàn)各單位業(yè)務(wù)改革的推進(jìn)要求。（一）總體建設(shè)規(guī)劃風(fēng)險(xiǎn)點(diǎn)：1．財(cái)政信息化總體建設(shè)規(guī)劃缺失，導(dǎo)致信息系統(tǒng)建設(shè)缺乏統(tǒng)籌安排，出現(xiàn)分散建設(shè)和隨意建設(shè)情況。3．建立完善財(cái)政信息化建設(shè)聯(lián)席會(huì)議制度，加強(qiáng)技術(shù)與業(yè)務(wù)部門的配合。3．各科室、單位不執(zhí)行財(cái)政信息化建設(shè)聯(lián)席會(huì)議及信息科專題會(huì)議決議，或執(zhí)行不到位，導(dǎo)致信息系統(tǒng)建設(shè)進(jìn)度滯后、成果不符合會(huì)議決議要求。第十二條 信息系統(tǒng)建設(shè)管理風(fēng)險(xiǎn)主要體現(xiàn)在歸口管理、總體建設(shè)規(guī)劃、年度項(xiàng)目計(jì)劃、政府采購、設(shè)計(jì)開發(fā)、驗(yàn)收管理、組織實(shí)施、運(yùn)行維護(hù)等過程或環(huán)節(jié)。（四）建設(shè)實(shí)施。（二）年度計(jì)劃。其中，重大風(fēng)險(xiǎn)是指因違背財(cái)政信息化建設(shè)歸口管理要求，不執(zhí)行財(cái)政信息化建設(shè)規(guī)劃和年度計(jì)劃，擅自開發(fā)、推廣信息系統(tǒng)，導(dǎo)致信息系統(tǒng)重復(fù)建設(shè)、碎片化；或因業(yè)務(wù)需求不細(xì)化、流程不清晰，導(dǎo)致信息系統(tǒng)功能與性能嚴(yán)重缺失，未能有效支撐財(cái)政管理和流程管控，影響財(cái)政發(fā)展與改革及信息化一體化建設(shè)效果，造成較大負(fù)面影響。第八條 信息系統(tǒng)管理風(fēng)險(xiǎn)事件發(fā)生后，各單位應(yīng)在第一時(shí)間報(bào)告內(nèi)控辦和信息科。督促落實(shí)內(nèi)控委決定，定期通報(bào)信息系統(tǒng)管理內(nèi)部控制制度執(zhí)行情況及重大風(fēng)險(xiǎn)事件。第五條 信息系統(tǒng)管理風(fēng)險(xiǎn)內(nèi)部控制的目標(biāo)是，綜合運(yùn)用信息化建設(shè)管理制度、標(biāo)準(zhǔn)規(guī)范和內(nèi)部控制方法，將信息系統(tǒng)管理風(fēng)險(xiǎn)防控措施貫穿于信息系統(tǒng)建設(shè)、管理與應(yīng)用全過程，對(duì)信息系統(tǒng)建設(shè)、管理和應(yīng)用進(jìn)行全程控制；將內(nèi)控理念和控制活動(dòng)、措施嵌入信息系統(tǒng)，對(duì)業(yè)務(wù)流程運(yùn)行進(jìn)行實(shí)時(shí)監(jiān)控，最大限度減少人為操縱因素，確保系統(tǒng)運(yùn)行協(xié)同、業(yè)務(wù)流程固化、業(yè)務(wù)管理銜接以及信息共享、數(shù)據(jù)安全。制度流程風(fēng)險(xiǎn)：是指由于缺乏信息系統(tǒng)管理制度流程規(guī)定，或制度流程設(shè)計(jì)不合理、執(zhí)行不到位，導(dǎo)致信息系統(tǒng)管理不規(guī)范、不科學(xué)的可能性。第四條 信息系統(tǒng)管理風(fēng)險(xiǎn)主要包括信息系統(tǒng)建設(shè)管理風(fēng)險(xiǎn)、流程控制風(fēng)險(xiǎn)、數(shù)據(jù)應(yīng)用與管理風(fēng)險(xiǎn)和信息安全風(fēng)險(xiǎn)四個(gè)方面。附件7：益陽市財(cái)政局信息系統(tǒng)管理風(fēng)險(xiǎn)防控辦法（試行）第一章 總則第一條 為加強(qiáng)信息系統(tǒng)管理內(nèi)部控制，有效防控財(cái)政信息系統(tǒng)管理風(fēng)險(xiǎn)，提高信息系統(tǒng)建設(shè)與管理的規(guī)范性、科學(xué)性和信息化對(duì)財(cái)政業(yè)務(wù)管理的支撐與流程控制能力，根據(jù)益陽市財(cái)政局信息化建設(shè)管理相關(guān)制度和《益陽市財(cái)政局內(nèi)部控制基本制度》有關(guān)規(guī)定，結(jié)合工作實(shí)際，制定本辦法。根據(jù)風(fēng)險(xiǎn)事件的情節(jié)輕重、影響范圍和程度，分為重大風(fēng)險(xiǎn)和一般風(fēng)險(xiǎn)兩個(gè)等級(jí)；按照風(fēng)險(xiǎn)來源和性質(zhì)，分為制度流程風(fēng)險(xiǎn)、崗位職責(zé)風(fēng)險(xiǎn)、廉政風(fēng)險(xiǎn)和外部風(fēng)險(xiǎn)四種類型。崗位職責(zé)風(fēng)險(xiǎn)：是指由于崗位職責(zé)設(shè)定不明確、授權(quán)管理不到位，或履行崗位職責(zé)不作為、違背制度流程亂作為，導(dǎo)致信息系統(tǒng)管理不規(guī)范，影響工作質(zhì)量與進(jìn)度的可能性。第六條 本辦法適用于局內(nèi)各科室、單位。（三）信息科負(fù)責(zé)信息系統(tǒng)管理內(nèi)部控制的組織實(shí)施，及時(shí)發(fā)現(xiàn)信息系統(tǒng)管理風(fēng)險(xiǎn)防控中存在的問題，提示有關(guān)單位，并向內(nèi)控辦報(bào)告。信息科會(huì)同有關(guān)單位及時(shí)采取應(yīng)對(duì)措施，最大程度避免或減少負(fù)面影響；在分清責(zé)任的基礎(chǔ)上，深入查找風(fēng)險(xiǎn)事件發(fā)生的原因，提出解決方案、風(fēng)險(xiǎn)定級(jí)和責(zé)任追究建議，向內(nèi)控辦報(bào)告，并有針對(duì)性地制定或完善制度措施。一般風(fēng)險(xiǎn)是指執(zhí)行歸口管理的某些環(huán)節(jié)不到位，導(dǎo)致系統(tǒng)功能與性能不完善、運(yùn)維響應(yīng)不及時(shí)等情況，一定程度上影響信息系統(tǒng)建設(shè)和應(yīng)用，對(duì)業(yè)務(wù)工作的正常開展帶來一定的負(fù)面影響。各科室、單位根據(jù)財(cái)政信息化建設(shè)總體規(guī)劃，結(jié)合本部門業(yè)務(wù)管理需要，編制年度財(cái)政信息化建設(shè)項(xiàng)目需求建議書報(bào)信息科；信息科匯總并組織審核項(xiàng)目申報(bào)計(jì)劃，編制年度項(xiàng)目計(jì)劃；報(bào)請(qǐng)信息化領(lǐng)導(dǎo)小組審批。信息科組織開展需求調(diào)研、系統(tǒng)設(shè)計(jì)、開發(fā)、測(cè)試、試運(yùn)行、驗(yàn)收、實(shí)施等工作，并組織做好信息系統(tǒng)建設(shè)與實(shí)施過程的監(jiān)督管理；各單位配合做好相關(guān)工作。第十三條 歸口管理的風(fēng)險(xiǎn)與防控。4．各科室、單位未按規(guī)定履行會(huì)商、會(huì)簽、審批程序，自行印發(fā)信息系統(tǒng)建設(shè)和推廣實(shí)施相關(guān)工作文件，導(dǎo)致信息系統(tǒng)建設(shè)與實(shí)施政出多門、多頭管理。4．各科室、單位嚴(yán)格執(zhí)行財(cái)政信息化工作聯(lián)席會(huì)議制度和重大問題集體研究制度，嚴(yán)格落實(shí)會(huì)議決議，重大問題提請(qǐng)信息科研究，必要時(shí)上報(bào)信息化工作領(lǐng)導(dǎo)小組。2．各科室、單位自行制定并執(zhí)行本科室、單位業(yè)務(wù)管理信息化規(guī)劃，導(dǎo)致與總體建設(shè)規(guī)劃和一體化建設(shè)要求不相容甚至相悖。3．各科室、單位不得自行制定、執(zhí)行本單位業(yè)務(wù)管理信息系統(tǒng)建設(shè)規(guī)劃，應(yīng)配合信息科將本單位業(yè)務(wù)管理需求全部納入總體建設(shè)規(guī)劃。2．信息科匯總并審核信息化建設(shè)項(xiàng)目申報(bào)計(jì)劃，編制年度項(xiàng)目計(jì)劃。3．年度項(xiàng)目計(jì)劃執(zhí)行不嚴(yán)格，在計(jì)劃外開展信息系統(tǒng)建設(shè)，影響信息系統(tǒng)的統(tǒng)籌管理和一體化推進(jìn)。4．信息科嚴(yán)格按照批準(zhǔn)的年度項(xiàng)目計(jì)劃組織開展信息系統(tǒng)建設(shè)，不得在年度項(xiàng)目計(jì)劃外開展信息系統(tǒng)建設(shè)。3．信息科會(huì)同紀(jì)檢監(jiān)察、相關(guān)科室、單位組織開展政府采購。，與供應(yīng)商或采購代理機(jī)構(gòu)惡意串通，泄漏采購相關(guān)信息或干預(yù)采購過程、向評(píng)標(biāo)專家施加影響，導(dǎo)致采購結(jié)果無法達(dá)到公平、公正要求，并引發(fā)廉政風(fēng)險(xiǎn)。4．參與采購人員必須嚴(yán)格遵守相關(guān)規(guī)定，不得發(fā)表任何可能影響專家評(píng)審的言論，現(xiàn)場(chǎng)發(fā)言僅限于對(duì)業(yè)務(wù)需求和技術(shù)要求的釋疑。3．編制技術(shù)設(shè)計(jì)方案，包括概要設(shè)計(jì)、詳細(xì)設(shè)計(jì)、數(shù)據(jù)庫設(shè)計(jì)等。（二）信息系統(tǒng)設(shè)計(jì)開發(fā)風(fēng)險(xiǎn)點(diǎn)：1．相關(guān)科室、單位未提供信息系統(tǒng)建設(shè)所需的業(yè)務(wù)資料，或不積極回應(yīng)需求調(diào)研中的問題，導(dǎo)致需求調(diào)研不充分，業(yè)務(wù)需求方案編制不完善，無法全面、準(zhǔn)確反映業(yè)務(wù)管理要求。5．信息系統(tǒng)測(cè)試用例設(shè)計(jì)覆蓋面不全，測(cè)試不嚴(yán)格，無法充分測(cè)試系統(tǒng)各流程、各環(huán)節(jié)，導(dǎo)致信息系統(tǒng)功能與性能隱藏缺陷，影響穩(wěn)定運(yùn)行。3．信息系統(tǒng)升級(jí)改造業(yè)務(wù)需求的提出，應(yīng)充分延續(xù)系統(tǒng)已有功能，升級(jí)改造需求應(yīng)明確說明哪些是對(duì)原有業(yè)務(wù)管理的調(diào)整，哪些是新增業(yè)務(wù)需求。第十八條 驗(yàn)收管理的風(fēng)險(xiǎn)與防控。4．驗(yàn)收專家組提出驗(yàn)收意見。4．相關(guān)科室、單位未按要求提交用戶報(bào)告，或用戶報(bào)告未對(duì)信息系統(tǒng)功能與性能做出客觀評(píng)價(jià)，影響項(xiàng)目驗(yàn)收進(jìn)程和驗(yàn)收結(jié)果的真實(shí)性。3．不斷完善信息系統(tǒng)驗(yàn)收條件、評(píng)價(jià)標(biāo)準(zhǔn)和驗(yàn)收指標(biāo)體系，確保驗(yàn)收結(jié)論真實(shí)可靠。2．業(yè)務(wù)與技術(shù)部門之間溝通協(xié)調(diào)不充分，信息系統(tǒng)建設(shè)前期準(zhǔn)備不到位，導(dǎo)致信息系統(tǒng)上線后運(yùn)行不暢，問題頻發(fā)，影響業(yè)務(wù)開展。2．信息科綜合分析信息系統(tǒng)實(shí)施的業(yè)務(wù)與技術(shù)要求，制定詳細(xì)的實(shí)施方案；相關(guān)單位提供信息系統(tǒng)實(shí)施所需的相關(guān)數(shù)據(jù)資料。2．運(yùn)行維護(hù)工作未按規(guī)定程序執(zhí)行，存在信息泄漏、丟失、篡改等安全隱患。相關(guān)單位應(yīng)配合做好運(yùn)維工作的監(jiān)督與評(píng)價(jià)。其中，重大風(fēng)險(xiǎn)是指因業(yè)務(wù)流程未固化在業(yè)務(wù)生產(chǎn)系統(tǒng)中，或固化在信息系統(tǒng)中的業(yè)務(wù)流程未實(shí)現(xiàn)有效控制，或業(yè)務(wù)處理未通過信息系統(tǒng)固化的流程進(jìn)行等情形發(fā)生，嚴(yán)重影響內(nèi)部控制效果。2．各科室、單位明確業(yè)務(wù)流程各環(huán)節(jié)控制活動(dòng)、控制措施等。第二十四條 業(yè)務(wù)管理流程化設(shè)計(jì)風(fēng)險(xiǎn)與防控。（二）業(yè)務(wù)管理流程化設(shè)計(jì)風(fēng)險(xiǎn)事件類型：風(fēng)險(xiǎn)類型風(fēng)險(xiǎn)點(diǎn)風(fēng)險(xiǎn)等級(jí)責(zé)任主體制度流程風(fēng)險(xiǎn)對(duì)手工操作存在管理風(fēng)險(xiǎn)的財(cái)政業(yè)務(wù)，未通過信息系統(tǒng)進(jìn)行流程固化和管理控制，引發(fā)重大責(zé)任事故重大各科室、單位業(yè)務(wù)流程變更過于頻繁，影響系統(tǒng)的穩(wěn)定性一般各科室、單位崗位職責(zé)風(fēng)險(xiǎn)業(yè)務(wù)流程梳理不全面、分析不系統(tǒng)、優(yōu)化不合理一般各科室、單位業(yè)務(wù)流程各環(huán)節(jié)設(shè)定不合理一般各科室、單位（三）業(yè)務(wù)管理流程化設(shè)計(jì)風(fēng)險(xiǎn)防控措施：1．對(duì)于手工操作存在管理風(fēng)險(xiǎn)的財(cái)政業(yè)務(wù)，必須通過信息系統(tǒng)固化流程。若確需變更，要充分考慮與原有業(yè)務(wù)的銜接。3．各科室、單位對(duì)各項(xiàng)控制措施未設(shè)置預(yù)警機(jī)制或設(shè)置不合理，導(dǎo)致信息系統(tǒng)自動(dòng)控制、風(fēng)險(xiǎn)揭示能力弱化。4．各科室、單位應(yīng)根據(jù)控制措施，合理設(shè)置預(yù)警條件。2．業(yè)務(wù)流程發(fā)生變更后，各科室、單位未提出流程變更申請(qǐng)，導(dǎo)致新的內(nèi)部控制措施失效。2．信息科對(duì)業(yè)務(wù)需求進(jìn)行分析。5．信息科應(yīng)及時(shí)受理各科室、單位的變更需求，并做好分析研究；對(duì)于符合要求的變更申請(qǐng)，應(yīng)抓緊組織相關(guān)功能模塊的改造工作。3．與外部相關(guān)單位惡意串通，繞開流程進(jìn)行后臺(tái)操作，竊取財(cái)政業(yè)務(wù)信息，謀取利益，存在廉政風(fēng)險(xiǎn)。第四章 數(shù)據(jù)應(yīng)用與管理內(nèi)部控制第二十八條 數(shù)據(jù)應(yīng)用與管理風(fēng)險(xiǎn)是指在數(shù)據(jù)規(guī)劃、數(shù)據(jù)收集、數(shù)據(jù)管理、數(shù)據(jù)應(yīng)用過程中，由于不主動(dòng)提供數(shù)據(jù)、違規(guī)操作數(shù)據(jù)、越權(quán)使用數(shù)據(jù)、提供的數(shù)據(jù)不規(guī)范等原因，導(dǎo)致信息化數(shù)據(jù)分析利用和輔助決策能力弱化的可能性。信息科會(huì)同各單位按照財(cái)政改革和發(fā)展需要，通過科學(xué)規(guī)劃和設(shè)計(jì)，建立面向?qū)嶋H財(cái)政業(yè)務(wù)的數(shù)據(jù)標(biāo)準(zhǔn)和信息資源目錄體系。按照各單位提出的數(shù)據(jù)存儲(chǔ)需求，信息科對(duì)收集到的各類數(shù)據(jù)進(jìn)行篩選、分類、調(diào)整，并實(shí)現(xiàn)安全存儲(chǔ)、有效管理。第三十一條 數(shù)據(jù)規(guī)劃的風(fēng)險(xiǎn)與防控。（二）數(shù)據(jù)規(guī)劃風(fēng)險(xiǎn)點(diǎn)：1．缺少數(shù)據(jù)共享意識(shí)，不愿主動(dòng)提供數(shù)據(jù)，導(dǎo)致上下游業(yè)務(wù)運(yùn)行不暢，加重工作負(fù)擔(dān)，或造成輔助決策無數(shù)據(jù)可依。2．信息科會(huì)同各科室、單位依據(jù)實(shí)際財(cái)政業(yè)務(wù)制定統(tǒng)一的數(shù)據(jù)標(biāo)準(zhǔn)，明確數(shù)據(jù)來源、類型、層次、口徑、安全等級(jí)、用戶范圍、訪問權(quán)限等信息。4．信息科綜合各科室、單位信息資源目錄體系，統(tǒng)籌規(guī)劃，科學(xué)分析，研究制定財(cái)政局信息資源目錄體系。（一）數(shù)據(jù)收集流程：1．各科室、單位提出數(shù)據(jù)收集需求。3．從外部搜集數(shù)據(jù)時(shí)，由于溝通協(xié)調(diào)不夠，無法獲取所需要的數(shù)據(jù)，導(dǎo)致數(shù)據(jù)不全。3．各科室、單位應(yīng)主動(dòng)公開、共享業(yè)務(wù)數(shù)據(jù)，做到及時(shí)更新和長(zhǎng)期輸出，并配合信息科做好數(shù)據(jù)收集工作。2．信息科按照各科室、單位數(shù)據(jù)存儲(chǔ)需求處理并存儲(chǔ)數(shù)據(jù)，并將處理結(jié)果反饋相關(guān)單位。4．未建立數(shù)據(jù)備份與恢復(fù)機(jī)制，導(dǎo)致數(shù)據(jù)丟失。3．信息科對(duì)收到的數(shù)據(jù)存儲(chǔ)需求進(jìn)行分析，對(duì)不符合標(biāo)準(zhǔn)規(guī)范的，退回需求單位修改完善后重新提交。（一）數(shù)據(jù)應(yīng)用流程：1．各單位提出數(shù)據(jù)應(yīng)用需求。3．在數(shù)據(jù)復(fù)制轉(zhuǎn)移過程中，未遵照保密規(guī)定進(jìn)行違規(guī)操作，造成信息泄漏等重大風(fēng)險(xiǎn)。數(shù)據(jù)應(yīng)用需求經(jīng)單位負(fù)責(zé)人審批并蓋章后提交信息科。5．各科室、單位在數(shù)據(jù)復(fù)制轉(zhuǎn)移過程中，要嚴(yán)格執(zhí)行有關(guān)保密規(guī)定，實(shí)現(xiàn)操作過程留痕、責(zé)任可追溯，最大限度減少人為操縱風(fēng)險(xiǎn)。第三十六條 信息系統(tǒng)安全管理