11.1信息系统管理业务内部控制矩阵(1).doc

业务目标
业务风险
控制点
适用单位
不相容
岗位
控制点分值
控制点
相关资料
相关制度索引
会计报表认定
会计报表项目
1存在和发生/真实性;2完整性;3权利与义务;4估价或分摊;5表达和披露;6准确性
1
2
3
4
5
6
1. IT整体层面管理

经营风险:信息化管理体系不完善,信息化领导小组或ERP指导委员会设置不健全,信息管理部门职责不落实,导致信息化工作受损。
,设立ERP指导委员会,设立信息系统管理部负责股份公司信息化归口管理工作;各分(子)公司设立信息化领导小组或ERP指导委员会,定期召开会议,听取、总结和指导本单位信息化工作,设立信息管理部门负责本单位信息化管理工作,对信息系统和信息资源行使管理职责。
总部
分(子)公司
6
ERP指导委员会或信息化领导小组成立文件;
会议纪要
信息管理部门职责文件



经营风险:信息化建设中长期规划不符合股份公司经营战略目标,导致盲目建设、投资低效。
,结合信息技术发展和股份公司实际,信息系统管理部负责组织编制股份公司信息化建设中长期规划,在充分征求职能部门、事业部和分(子)公司意见后,组织专家组评审,并根据专家意见负责组织修改,经信息系统管理部主任审核,按规定权限审批后,纳入股份公司中长期发展规划。
信息系统管理部
5
股份公司信息化建设中长期规划



经营风险:信息化培训缺乏,导致信息系统效能低下、信息化管理水平不高、信息化技能缺失。
,经部门负责人审批后,纳入人事部门年度培训计划,并组织落实。
信息系统管理部
分(子)公司
2
年度培训计划


经营风险:信息安全教育不足,导致员工信息安全意识薄弱。
,并在信息门户或内部网站发布安全教育培训材料。
信息系统管理部
分(子)公司
2
安全教育培训材料




经营风险:信息系统风险评估缺失,导致信息系统风险。
《中国石油化工股份有限公司信息系统风险评估管理办法》,信息系统管理部负责每年对信息系统进行年度综合风险评估,形成风险评估报告,并组织专家组对风险评估报告进行评审,专家组对风险评估报告提出评审意见并签字;分(子)公司信息管理部门会同相关业务部门,通过多种形式,组织本单位信息系统的风险评估,包括企业信息系统整体风险、重点系统风险、主要基础设施风险等,形成相关风险评估报告,并将风险评估报告经信息管理部门负责人审核签字后报信息系统管理部备案。
信息系统管理部
分(子)公司
4
风险评估报告




经营风险:信息安全规划不当,信息安全方案缺失,导致信息系统风险。
,在征求职能部门、事业部和分(子)公司意见后,组织专家组评审,并根据专家意见负责组织修改,经信息