1、附件7：益陽市財政局信息系統管理風險防控辦法（試行）第一章 總則第一條 為加強信息系統管理內部控制，有效防控財政信息系統管理風險，提高信息系統建設與管理的規范性、科學性和信息化對財政業務管理的支撐與流程控制能力，根據益陽市財政局信息化建設管理相關制度和益陽市財政局內部控制基本制度有關規定，結合工作實際，制定本辦法。第二條 本辦法所稱信息系統管理風險是指在信息系統建設和運行維護過程中，未完全遵循信息化建設制度、規劃和標準或安全措施不到位、運行維護不規范，導致系統碎片化、系統故障、數據丟失、信息泄露、信息化輔助管理決策能力弱化的可能性。第三條 信息系統建設堅持歸口管理，實行統籌規劃、統一建設，從財

2、政改革發展的全局出發，協調配合、分工合作、整合資源、實現一體化，同時，強化流程控制，將業務流程固化在業務生產系統和辦公自動化系統中，健全信息系統預警機制，加強風險揭示和自動控制，發揮信息化建設對財政業務管理和輔助決策的支撐與促進作用。第四條 信息系統管理風險主要包括信息系統建設管理風險、流程控制風險、數據應用與管理風險和信息安全風險四個方面。根據風險事件的情節輕重、影響范圍和程度，分為重大風險和一般風險兩個等級；按照風險來源和性質，分為制度流程風險、崗位職責風險、廉政風險和外部風險四種類型。重大風險：是指發生的風險事件對信息系統管理產生重大負面影響，或者嚴重損害國家或部門利益的可能性。一般風險

3、：是指發生的風險事件對信息系統管理產生一定的負面影響，或者對國家或部門利益造成一定損失的可能性。制度流程風險：是指由于缺乏信息系統管理制度流程規定，或制度流程設計不合理、執行不到位，導致信息系統管理不規范、不科學的可能性。崗位職責風險：是指由于崗位職責設定不明確、授權管理不到位，或履行崗位職責不作為、違背制度流程亂作為，導致信息系統管理不規范，影響工作質量與進度的可能性。廉政風險：是指信息系統建設管理人員憑借手中的權力，利用工作之便在信息系統管理工作中違反廉政規定謀求私利的可能性。外部風險：是指因外部客觀環境發生重大變化或外部信息不真實、不準確，或者信息系統建設管理的外部參與單位履行職責不到位

4、，導致信息系統建設管理不規范、影響工作質量與進度的可能性。第五條 信息系統管理風險內部控制的目標是，綜合運用信息化建設管理制度、標準規范和內部控制方法，將信息系統管理風險防控措施貫穿于信息系統建設、管理與應用全過程，對信息系統建設、管理和應用進行全程控制；將內控理念和控制活動、措施嵌入信息系統，對業務流程運行進行實時監控，最大限度減少人為操縱因素，確保系統運行協同、業務流程固化、業務管理銜接以及信息共享、數據安全。第六條 本辦法適用于局內各科室、單位。第七條 信息系統管理風險內部控制職責分工： （一）內部控制委員會（以下簡稱內控委）負責審定信息系統管理內部控制政策制度，審定信息系統管理風險事件

5、定級和責任追究建議，提出加強和改進措施。（二）內部控制委員會辦公室（以下簡稱內控辦）負責組織對信息系統管理內部控制制度進行有效性檢查、考核和評價，組織對信息系統管理風險事件進行調查，研究提出處理意見并向內控委報告。督促落實內控委決定，定期通報信息系統管理內部控制制度執行情況及重大風險事件。（三）信息科負責信息系統管理內部控制的組織實施，及時發現信息系統管理風險防控中存在的問題，提示有關單位，并向內控辦報告。定期向內控辦報送信息系統管理風險防控情況。（四）各科室、單位對本單位的信息系統管理的重點業務環節實施持續、有效的風險防控，及時向內控辦和信息科報告本單位信息系統管理風險防控及異常情況，積極協

6、助專項檢查和調查。第八條 信息系統管理風險事件發生后，各單位應在第一時間報告內控辦和信息科。信息科會同有關單位及時采取應對措施，最大程度避免或減少負面影響；在分清責任的基礎上，深入查找風險事件發生的原因，提出解決方案、風險定級和責任追究建議，向內控辦報告，并有針對性地制定或完善制度措施。第九條 各科室、單位及其干部職工執行本辦法的情況納入考核指標體系。第二章 信息系統建設管理內部控制第十條 信息系統建設管理風險是指信息系統建設未遵循財政信息化建設歸口管理要求、一體化指導思想和信息化建設相關制度、標準規范，導致信息系統建設脫離統籌規劃、過程管理不規范、標準不統一、信息不共享、業務不協同，造成流程

7、固化與控制能力弱化，影響信息系統在財政管理中的整體效用。其中，重大風險是指因違背財政信息化建設歸口管理要求，不執行財政信息化建設規劃和年度計劃，擅自開發、推廣信息系統，導致信息系統重復建設、碎片化；或因業務需求不細化、流程不清晰，導致信息系統功能與性能嚴重缺失，未能有效支撐財政管理和流程管控，影響財政發展與改革及信息化一體化建設效果，造成較大負面影響。一般風險是指執行歸口管理的某些環節不到位，導致系統功能與性能不完善、運維響應不及時等情況，一定程度上影響信息系統建設和應用，對業務工作的正常開展帶來一定的負面影響。第十一條 信息系統建設管理應遵循以下工作流程：（一）總體規劃。信息科根據國家和省信

8、息化發展方針政策、財政改革與事業發展要求，結合工作實際，研究擬定財政信息化建設總體規劃，經局信息化工作領導小組辦公室（以下簡稱“信息科”）審議后報局信息化工作領導小組審批。（二）年度計劃。各科室、單位根據財政信息化建設總體規劃，結合本部門業務管理需要，編制年度財政信息化建設項目需求建議書報信息科；信息科匯總并組織審核項目申報計劃，編制年度項目計劃；報請信息化領導小組審批。（三）政府采購。信息科根據項目建設計劃和進度安排，編制采購文件，組織開展政府采購工作。（四）建設實施。信息科組織開展需求調研、系統設計、開發、測試、試運行、驗收、實施等工作，并組織做好信息系統建設與實施過程的監督管理；各單位配

9、合做好相關工作。（五）運維管理。信息科統一組織開展各信息系統的運行維護管理。第十二條 信息系統建設管理風險主要體現在歸口管理、總體建設規劃、年度項目計劃、政府采購、設計開發、驗收管理、組織實施、運行維護等過程或環節。第十三條 歸口管理的風險與防控。（一）歸口管理風險點：1各科室、單位自行組織信息系統建設與實施，導致信息系統建設碎片化、標準不統一、業務不銜接、信息不共享，影響信息系統一體化建設。2未建立財政信息化建設聯席會議制度，導致信息系統建設中的技術與業務脫節，影響系統建設質量。3各科室、單位不執行財政信息化建設聯席會議及信息科專題會議決議，或執行不到位，導致信息系統建設進度滯后、成果不符合

10、會議決議要求。4各科室、單位未按規定履行會商、會簽、審批程序，自行印發信息系統建設和推廣實施相關工作文件，導致信息系統建設與實施政出多門、多頭管理。（二）歸口管理風險事件類型：風險類型風險點風險等級責任主體制度流程風險自行組織信息系統建設與實施，造成系統碎片化重大各科室、單位自行印發信息系統建設與推廣實施相關文件，造成系統建設多頭管理重大各科室、單位未建立財政信息化建設聯席會議制度一般局領導、信息科信息化重大問題不進行集體研究重大局領導、各科室、單位財政信息化重大問題集體研究制度執行不到位一般各科室、單位崗位職責風險不執行或選擇性執行財政信息化工作聯席會議和信息科專題會議決議，造成系統建設進度

11、滯后重大各科室、單位（三）歸口管理風險防控措施：1各科室、單位在信息系統建設工作中，負責提出詳細業務需求，配合信息科開展系統需求調研、測試驗收、組織實施等工作中的業務協調，不得自行組織信息系統建設與實施。2信息科綜合分析各科室、單位提出的業務需求，根據總體建設規劃，研究提出信息系統建設計劃，統一組織信息系統設計開發、推廣實施與運維管理。3建立完善財政信息化建設聯席會議制度，加強技術與業務部門的配合。4各科室、單位嚴格執行財政信息化工作聯席會議制度和重大問題集體研究制度，嚴格落實會議決議，重大問題提請信息科研究，必要時上報信息化工作領導小組。5各科室、單位按規定履行會商、會簽、審批程序后，方可印

12、發信息系統建設與推廣實施相關工作文件。第十四條 總體建設規劃的風險與防控。（一）總體建設規劃風險點：1財政信息化總體建設規劃缺失，導致信息系統建設缺乏統籌安排，出現分散建設和隨意建設情況。2各科室、單位自行制定并執行本科室、單位業務管理信息化規劃，導致與總體建設規劃和一體化建設要求不相容甚至相悖。3各科室、單位執行總體建設規劃不嚴格，過分強調特殊性和獨立性，要求一項業務建立一個系統，導致業務分割、重復建設、系統孤立和信息孤島。（二）總體建設規劃風險事件類型：風險類型風險點風險等級責任主體制度流程風險財政信息化總體建設規劃缺失，導致出現分散、隨意建設的情況重大局領導、各科室、單位各單位自行制定并

13、執行本單位業務管理信息化規劃重大各科室、單位信息系統總體建設規劃未完全覆蓋業務管理需求一般各科室、單位崗位職責風險未嚴格執行信息系統總體建設規劃一般各科室、單位（三）總體建設規劃風險防控措施：1加強財政信息化總體建設規劃的研究，既立足解決當前業務管理需求，更著眼于國家信息化發展方針政策和財政改革發展要求，增強規劃的前瞻性、科學性和持續有效性。2各科室、單位結合財政改革發展要求，及時向信息科提供業務管理規劃相關資料，確保總體建設規劃能充分體現各單位業務改革的推進要求。3各科室、單位不得自行制定、執行本單位業務管理信息系統建設規劃，應配合信息科將本單位業務管理需求全部納入總體建設規劃。4信息系統建

14、設應嚴格執行總體建設規劃（上級部門要求的緊急業務事項除外），各單位依據總體建設規劃提出年度信息化建設業務需求；信息科依據總體建設規劃綜合分析業務需求，提出信息系統項目立項并組織建設。第十五條 年度項目計劃的風險與防控。（一）年度項目計劃編制工作流程：1各科室、單位提出信息化建設項目業務需求建議書。2信息科匯總并審核信息化建設項目申報計劃，編制年度項目計劃。3局信息化領導小組審批年度項目計劃。（二）年度項目計劃風險點：1各科室、單位提出的業務需求不詳細，業務流程不清晰，或未對本單位相近、類似的業務需求進行歸類整理，導致年度項目計劃編制的業務依據不充分，影響年度項目計劃的科學性和合理性。2信息科對

15、業務需求和立項申請審核不嚴格，信息科審批年度項目計劃不嚴格，導致年度項目計劃不合理。3年度項目計劃執行不嚴格，在計劃外開展信息系統建設，影響信息系統的統籌管理和一體化推進。（三）年度項目計劃編制和執行風險事件類型：風險類型風險點風險等級責任主體制度流程風險信息化項目審批依據不全面一般局信息化領導小組、信息科崗位職責風險在年度項目計劃外開展信息系統建設，影響信息系統的統籌管理和一體化推進重大各科室、單位提出的業務需求不完整、不具體，業務流程不清晰一般各科室、單位崗位職責風險對業務需求研究不充分，導致提出的立項申請不合理一般各科室、單位項目經費測算不合理一般相關科室、單位、信息科崗位職責風險業務需

16、求和立項申請審核不嚴格一般信息科未對重大財政信息化項目進行專家評審論證一般相關科室、單位、信息科未對本單位業務需求進行歸類整理，類似需求重復申報一般各科室、單位未綜合審核意見和專家評審論證意見，導致信息化年度項目計劃的編制不合理一般信息科年度項目計劃審批不嚴格一般局信息化領導小組、信息科（四）年度項目計劃風險防控措施：1各科室、單位提出信息系統建設的詳細業務需求，清晰設定業務流程，對本單位相近、類似的業務需求進行歸類申報，經單位負責人審批并蓋章后提交信息科；業務需求涉及多個單位的，應明確一個牽頭單位，業務需求的確定如存在爭議，應提請信息科研究；信息科綜合分析業務需求，結合總體建設規劃和信息系統

17、建設成果，按照一體化建設要求整合需求，確定合理的需求實現方式，確立建設項目并提出立項申請。2信息科健全信息系統立項審批流程，明確立項審批依據和立項條件。3信息系統立項實行專家評審機制，重大項目須進行評審論證。4信息科嚴格按照批準的年度項目計劃組織開展信息系統建設，不得在年度項目計劃外開展信息系統建設。第十六條 政府采購的風險與防控。（一）政府采購流程：1信息科編制項目政府采購文件。2相關單位審核確認采購文件中的業務內容。3信息科會同紀檢監察、相關科室、單位組織開展政府采購。（二）政府采購風險點：1.采購文件編制不規范，采購需求不清晰、不具體，導致投標單位不能準確理解信息系統建設任務與要求或無法

18、準確估算建設成本，造成無法采購到合格的承建單位。2.采購文件在對承建單位的資質要求和評標標準等方面具有不合理的傾向性內容，存在廉政風險隱患。3.信息系統升級改造的采購文件編制不合理，造成承建單位頻繁更換，無法保證系統架構、功能與性能設計的延續性，甚至可能推翻原有系統。4.采購參與人員不遵守政府采購管理規定，與供應商或采購代理機構惡意串通，泄漏采購相關信息或干預采購過程、向評標專家施加影響，導致采購結果無法達到公平、公正要求，并引發廉政風險。（三）政府采購風險事件類型：風險類型風險點風險等級責任主體制度流程風險信息系統升級改造的采購文件編制不合理，造成承建單位頻繁更換一般各科室、單位崗位職責風險

19、未進行政府采購組織信息系統建設重大各科室、單位政府采購文件編制不規范，采購需求不清晰、不具體，導致無法采購到合適的承建單位一般信息科、各科室、單位采購過程中未按規定邀請有關部門監督一般信息科廉政風險采購過程中，未依法、依規、依程序，有失公開、公平、公正重大各科室、單位（四）政府采購風險防控措施：1信息科負責編制采購文件，相關單位及時提供相關業務材料，審核業務內容是否全面、準確。2采購文件內容應清晰具體，確保投標單位能準確理解業務需求和技術要求；在承建單位資質要求、評標標準等方面不得含有傾向性內容。3各科室、單位認真編制信息系統升級改造需求，信息科根據升級改造需求合理編制采購文件，避免承建單位的

20、頻繁更換。4參與采購人員必須嚴格遵守相關規定，不得發表任何可能影響專家評審的言論，現場發言僅限于對業務需求和技術要求的釋疑。第十七條 設計開發的風險與防控。（一）信息系統設計開發流程：1調研業務需求和編制業務需求方案。2業務需求評審。3編制技術設計方案，包括概要設計、詳細設計、數據庫設計等。4技術設計方案評審。5程序開發。6測試與修改完善。（二）信息系統設計開發風險點：1相關科室、單位未提供信息系統建設所需的業務資料，或不積極回應需求調研中的問題，導致需求調研不充分，業務需求方案編制不完善，無法全面、準確反映業務管理要求。2編制系統升級改造項目的業務需求時，未考慮與原有信息系統業務功能的延續性

21、，導致對原有信息系統的顛覆性改造，甚至完全推翻重建，導致工期延長、信息系統建設質量降低、投資浪費。3未按規定進行需求和設計方案評審，或評審組織不嚴格、不規范，導致信息系統功能和性能設計達不到預期要求。4信息系統設計開發未嚴格執行財政信息化建設標準規范，導致與其他信息系統之間無法通暢交換數據和共享信息，形成信息孤島。5信息系統測試用例設計覆蓋面不全，測試不嚴格，無法充分測試系統各流程、各環節，導致信息系統功能與性能隱藏缺陷，影響穩定運行。6相關科室、單位缺乏對需求的全局考慮，導致在信息系統建設過程中頻繁增加或變更業務需求，變更程序不規范，嚴重影響信息系統建設質量，甚至顛覆原系統設計。（三）信息系

22、統設計開發風險事件類型：風險類型風險點風險等級責任主體制度流程風險系統設計開發未遵循信息化建設管理標準規范一般信息科升級改造項目業務需求未考慮與原有系統業務功能的延續一般相關科室、單位崗位職責風險未提供系統建設所需的業務資料一般各科室、單位未按規定進行需求和設計方案評審或評審組織不嚴格、不規范一般信息科未認真進行業務需求調研，調研內容不充分一般相關科室、單位需求變更的提出較隨意一般各科室、單位未認真分析研究變更需求，提出的處理意見不合理一般各科室、信息科各科室、單位配合不到位，導致系統建設進度嚴重滯后一般各科室、單位未按測試方案進行測試一般信息科系統測試方案不規范，用例設計覆蓋面不全一般各科室

23、、信息科（四）信息系統設計開發風險防控措施：1信息系統設計開發應嚴格遵循財政信息化建設管理相關規定和標準規范。2建立健全信息系統建設協調機制，在業務需求調研、設計開發等工作中，加強業務與技術部門間的溝通配合。3信息系統升級改造業務需求的提出，應充分延續系統已有功能，升級改造需求應明確說明哪些是對原有業務管理的調整，哪些是新增業務需求。4嚴格控制業務需求變更。在信息系統建設過程中如出現需求變更情況，相關單位應提出書面申請，經單位負責人審批后提交信息科；信息科組織相關單位和承建單位對變更需求進行分析研究，提出處理意見。5加強信息系統設計開發的過程管理，可采購有資質的監理單位進行監督檢查，相關單位要

24、配合開展相關工作。第十八條 驗收管理的風險與防控。（一）信息系統驗收管理流程：1承建單位向信息科提出驗收申請。2信息科組織對信息系統驗收條件進行審查，制定驗收方案。3信息科組建專家組進行系統驗收，相關單位派人參加。4驗收專家組提出驗收意見。（二）信息系統驗收管理風險點：1相關科室、單位自行組織信息系統驗收，導致項目管理不規范，信息系統功能、性能及可靠性無法保證。2承建單位提出驗收申請后，未及時予以回應，導致驗收工作滯后，影響信息系統按期上線運行和業務正常開展。3驗收條件設定不全面，驗收審查不嚴格，驗收專家成員構成不合理，驗收程序未按照相關規定執行，導致未達到驗收條件的信息系統可能通過驗收，為信

25、息系統安全、可靠運行帶來隱患。4相關科室、單位未按要求提交用戶報告，或用戶報告未對信息系統功能與性能做出客觀評價，影響項目驗收進程和驗收結果的真實性。5受系統承建單位的請托，在系統不具備驗收條件時組織通過驗收，引發廉政風險。（三）信息系統驗收管理風險事件類型：風險類型風險點風險等級責任主體制度流程風險各科室、單位未通過信息科自行組織驗收一般各科室、單位項目驗收指標制定不全面、不準確一般各科室、信息科驗收專家成員構成不合理一般信息科崗位職責風險提出驗收申請后，未及時組織驗收一般信息科驗收程序未嚴格按照相關規定執行一般信息科各科室、單位未及時提供項目驗收用戶報告，影響項目驗收整體工作進度一般各科室

26、、單位廉政風險受項目承建單位請托，將不符合驗收條件的系統通過驗收重大各科室、單位、信息科（四）信息系統驗收管理風險防控措施：1信息科負責組織信息系統驗收工作，按照國家相關法律法規規定的程序和要求進行。2信息科收到承建單位驗收申請后，及時組織對信息系統是否具備驗收條件進行審查，并通知相關單位準備用戶報告；相關單位對信息系統功能與性能、應用情況做出客觀真實評價，按時出具用戶報告。3不斷完善信息系統驗收條件、評價標準和驗收指標體系，確保驗收結論真實可靠。4信息科負責組建驗收專家組，專家組成員應覆蓋財政內外、技術與業務領域。第十九條 信息系統組織實施的風險與防控。（一）信息系統組織實施風險點：1未經過

27、試運行和驗收的信息系統直接上線運行，信息系統功能與性能未經過檢驗，導致信息系統上線后不能穩定運行，加大運維成本。2業務與技術部門之間溝通協調不充分，信息系統建設前期準備不到位，導致信息系統上線后運行不暢，問題頻發，影響業務開展。3推廣實施的信息系統，缺乏明確的實施方案，造成相關方無所依從，影響信息系統推廣實施進度，降低實施質量。4信息系統版本和軟件分發沒有歸口管理，導致系統應用與維護混亂，難以統一升級。（二）信息系統組織實施風險事件類型：風險類型風險點風險等級責任主體制度流程風險各科室、單位自行推廣實施系統,造成系統建設與管理混亂重大各科室、單位風險類型風險點風險等級責任主體制度流程風險未經過

28、試運行和驗收的系統直接上線運行一般各科室、單位系統試運行時間短、不充分，未反應出問題與不足一般各科室、單位、信息科系統版本和軟件分發管理混亂，未執行歸口管理重大各科室、單位、信息科崗位職責風險業務、技術部門溝通協調不足，未對系統問題及時修改完善一般各科室、單位、信息科對于需要推廣的系統，未制定科學合理的實施方案一般各科室、單位、信息科未根據試點中發現的系統缺陷，研究提出系統完善意見一般各科室、單位、信息科（三）信息系統組織實施風險防控措施：1信息系統上線運行前必須進行試運行并通過驗收。2信息科綜合分析信息系統實施的業務與技術要求，制定詳細的實施方案；相關單位提供信息系統實施所需的相關數據資料。

29、3信息科負責信息系統的推廣實施、實施系統版本管理和向用戶單位分發軟件，版本更換要履行規定程序。第二十條 運行維護管理的風險與防控。（一）信息系統運行維護管理風險點：1采購的運維單位對信息系統不熟悉，無法履行應盡義務，導致信息系統運行故障無法及時排除。2運行維護工作未按規定程序執行，存在信息泄漏、丟失、篡改等安全隱患。3各科室、單位自行選擇運維單位開展信息系統運維工作，導致運維管理不規范、信息不安全，甚至引發廉政風險。（二）信息系統運行維護管理風險事件類型：風險類型風險點風險等級責任主體制度流程風險系統日常維護工作未交信息科負責一般各科室、單位各科室、單位自行選擇運維單位開展系統運維工作重大各科

30、室、單位崗位職責風險系統運維方案制定不夠科學合理一般信息科未根據系統使用情況，及時提出系統運行及使用中存在的問題一般各科室、單位未根據系統改進建議，及時完善系統運行維護工作一般信息科（三）信息系統運行維護管理風險防控措施：1健全和完善財政局運維服務管理辦法，制定相關實施細則，規范運維工作程序，明確運維工作范圍。2信息科負責組織信息系統運維工作，嚴格按照財政局相關制度辦法開展，確保信息系統安全可靠運行。相關單位應配合做好運維工作的監督與評價。3采購運行維護單位時，針對信息系統情況定性和定量設定條件，確保運維單位能夠勝任運維工作。4各單位根據信息系統使用情況，及時向信息科反饋信息系統存在的問題。第

31、三章 信息系統流程控制管理內部控制第二十一條 信息系統流程控制風險是指業務流程未完全固化在業務生產系統中、固化在信息系統中的業務流程未完全實現有效控制、業務處理未完全通過信息系統執行，導致信息系統支撐促進內部控制工作能力弱化的可能性。其中，重大風險是指因業務流程未固化在業務生產系統中，或固化在信息系統中的業務流程未實現有效控制，或業務處理未通過信息系統固化的流程進行等情形發生，嚴重影響內部控制效果。一般風險是指因業務流程在業務生產系統中固化程度不夠，或固化在信息系統中的業務流程控制不完善，導致內部控制目標某些方面或環節失效。第二十二條 流程控制風險主要體現在業務管理流程化設計、控制措施與預警機

32、制設定、信息系統實現、信息系統流程應用等方面。第二十三條 信息系統固化和管控業務流程的程序：1各科室、單位梳理完善業務流程。2各科室、單位明確業務流程各環節控制活動、控制措施等。3各科室、單位提出業務流程固化和管理控制的業務需求。4信息科綜合分析業務需求。5信息科負責通過信息系統實現業務流程固化和管理控制。第二十四條 業務管理流程化設計風險與防控。（一）業務管理流程化設計風險點：1對于手工操作存在管理風險的財政業務，各科室、單位未提出通過信息系統進行流程固化和管理控制，仍采取手工方式操作，增加了業務管理活動事前防范、事中控制、事后監督的難度，存在內控漏洞。2各科室、單位對需要通過信息系統固化的

33、業務流程梳理不全面、分析不系統、優化不合理，導致業務流程通過信息系統固化后，難以有效發揮控制作用。3各科室、單位業務流程變更頻繁，影響信息系統穩定運行，不利于信息系統操作責任追溯。（二）業務管理流程化設計風險事件類型：風險類型風險點風險等級責任主體制度流程風險對手工操作存在管理風險的財政業務，未通過信息系統進行流程固化和管理控制，引發重大責任事故重大各科室、單位業務流程變更過于頻繁，影響系統的穩定性一般各科室、單位崗位職責風險業務流程梳理不全面、分析不系統、優化不合理一般各科室、單位業務流程各環節設定不合理一般各科室、單位（三）業務管理流程化設計風險防控措施：1對于手工操作存在管理風險的財政業

34、務，必須通過信息系統固化流程。2各科室、單位應按照業務實現的時間順序和邏輯順序，對需要通過信息系統固化的業務流程進行全面梳理、分析和細化，科學設定業務流程各環節，確保各環節既覆蓋業務管理全過程又利于倒查問題根源。 3各科室、單位應將整理好的業務流程形成書面材料。4各科室、單位應切實結合財政管理和改革的實際需要，審慎處理流程變更，避免流程變更的隨意性。若確需變更，要充分考慮與原有業務的銜接。第二十五條 控制措施與預警機制設定風險與防控。（一）控制措施與預警條件設定風險點：1各科室、單位對于業務流程的各環節未設置控制措施和預警機制，導致內部控制無法實現。2各科室、單位對業務流程各環節授權控制不合理

35、，對關鍵環節未設置不相容崗位（職責）或不相容崗位（職責）分離措施不到位，導致一人可以操作流程的多個環節，無法形成相互制約、相互監督的工作機制。3各科室、單位對各項控制措施未設置預警機制或設置不合理，導致信息系統自動控制、風險揭示能力弱化。（二）控制措施與預警條件設定風險事件類型：風險類型風險點風險等級責任主體制度流程風險對業務流程關鍵環節未設置不相容崗位（職責）或不相容崗位（職責）分離措施不到位，出現重大責任事故重大各科室、單位崗位職責風險對業務流程某些環節未設置授權或授權不合理，出現重大責任事故重大各科室、單位控制措施未設置預警機制或設置不合理一般各科室、單位（三）控制措施與預警條件設定風險

36、防控措施：1各科室、單位應結合本單位業務和流程，全面梳理所涉及的不相容崗位，明確各個環節的崗位設置及職責。2各科室、單位應對不相容崗位（職責）實施分離措施，明確細化職責，形成各司其職、各負其責、橫向與縱向相互制約監督的工作機制。3各科室、單位應建立授權管理體系,明確各崗位的授權主體、范圍與權限，科學分配權利，確保各崗位人員在授權范圍內開展工作，切實達到分事行權、分崗設權、分級授權的要求。4各科室、單位應根據控制措施，合理設置預警條件。5各科室、單位應制定書面的崗位職責說明及授權控制說明。第二十六條 信息系統實現風險與防控。（一）信息系統實現風險點：1信息科對各科室、單位提出的需求調研不深入，理

37、解不準確，導致系統功能不完善、授權管理功能弱化等，造成信息系統強化流程控制、風險揭示和自動控制能力弱化。2業務流程發生變更后，各科室、單位未提出流程變更申請，導致新的內部控制措施失效。3各科室、單位提出流程變更申請，信息科未及時通過信息系統實現，導致信息系統不能按時實現新的控制，影響財政業務順利開展。4信息科對流程變更的信息化實現考慮不周全，影響上下游業務正常開展，導致業務中斷的可能性。（二）信息系統實現風險事件類型：風險類型風險點風險等級責任主體制度流程風險信息系統未按要求實現業務流程和管理控制的固化，出現重大責任事故重大信息科變更流程時，未提出需求變更申請一般各科室、單位崗位職責風險對業務

38、需求調研不深入、分析不全面一般信息科變更流程后，仍使用原有系統進行業務操作一般各科室、單位未根據流程變更需求及時完善信息系統一般信息科流程變更的信息化實現未達到預期效果一般信息科（三）信息系統實現風險防控措施：1各科室、單位提出需要通過信息系統實現的業務流程及其控制活動、控制措施等，形成業務需求方案，經單位負責人審批并蓋章后提交信息科。2信息科對業務需求進行分析。若業務需求不符合信息系統開發設計要求，信息科提出改進建議并退回；單位將業務需求修改完善后重新提交。3信息科按照需求將業務流程固化在信息系統中，并將控制活動、控制措施等嵌入信息系統，確保授權處理無誤，不相容崗位相互分離，實現操作過程留痕

39、，責任可追溯，最大限度減少人為操縱因素。4業務流程發生變更后，各科室、單位要及時形成流程變更書面材料，經單位負責人審批同意后提交信息科。5信息科應及時受理各科室、單位的變更需求，并做好分析研究；對于符合要求的變更申請，應抓緊組織相關功能模塊的改造工作。第二十七條 信息系統流程應用的風險與防控。（一）信息系統流程應用風險點：1各科室、單位未通過已固化流程的信息系統開展財政業務工作，導致信息系統固化流程和管理控制作用無法有效發揮。2操作人員未經授權擅自進入信息系統后臺操作，導致繞過流程控制的風險。3與外部相關單位惡意串通，繞開流程進行后臺操作，竊取財政業務信息，謀取利益，存在廉政風險。（二）信息系

40、統流程應用風險事件類型：風險類型風險點風險等級責任主體制度流程風險未通過已有信息系統開展相應財政業務一般各科室、單位未制定系統使用操作規程一般信息科技術監控措施不到位一般信息科崗位職責風險未經授權擅自進入信息系統后臺操作，造成重大責任事故重大各科室、單位廉政風險繞開流程進行后臺操作，竊取財政業務信息，謀取利益重大各科室、單位（三） 信息系統流程應用風險防控措施：1各科室、單位應建立健全規章制度，確保財政業務通過信息系統處理，實現內部控制的程序化和常態化。2信息科制定信息系統操作規程，加強培訓，確保各科室、單位正確應用信息系統。3信息科應強化技術監控，通過自動報告、跟蹤處理、日志管理等機制，及時

41、發現異常或違背內部控制要求的操作，妥善進行處置并向內控辦報告。第四章 數據應用與管理內部控制第二十八條 數據應用與管理風險是指在數據規劃、數據收集、數據管理、數據應用過程中，由于不主動提供數據、違規操作數據、越權使用數據、提供的數據不規范等原因，導致信息化數據分析利用和輔助決策能力弱化的可能性。其中，重大風險是指由于單位間信息不共享或不該共享的數據共享、數據不貫通等，導致相關單位無法正常開展工作；或者由于數據失真、使用不當，導致決策出現失誤；或者由于數據保管不當、越權使用數據，導致數據丟失或信息泄漏。一般風險是指由于單位間信息未完全共享、數據未完全貫通，加重相關單位工作負擔，一定程度上影響工作

42、效率。第二十九條 數據應用與管理遵循以下流程：（一）數據規劃。信息科會同各單位按照財政改革和發展需要，通過科學規劃和設計，建立面向實際財政業務的數據標準和信息資源目錄體系。（二）數據收集。按照各單位提出的數據收集需求，信息科收集財政業務管理需要的各類數據并進行集中管理。（三）數據管理。按照各單位提出的數據存儲需求，信息科對收集到的各類數據進行篩選、分類、調整，并實現安全存儲、有效管理。（四）數據應用。信息科對各單位提出數據應用需求進行技術實現，提供技術檢索、展現及分析工具。第三十條 數據應用與管理風險主要體現在數據規劃、數據收集、數據管理和數據應用等工作過程與環節。第三十一條 數據規劃的風險與

43、防控。（一）數據規劃流程：1信息科制定數據標準。2各科室、單位按照數據標準梳理業務數據，形成本單位信息資源目錄體系。3信息科審核匯總各科室、單位信息資源目錄體系，形成財政信息資源目錄體系。（二）數據規劃風險點：1缺少數據共享意識，不愿主動提供數據，導致上下游業務運行不暢，加重工作負擔，或造成輔助決策無數據可依。2數據共享失誤，將不能共享的數據進行共享，或應授權訪問的信息未設防，導致信息泄漏，帶來重大安全隱患。3各科室、單位信息資源目錄體系不完整、不清晰，有關約定未遵循統一的數據標準，造成財政局信息資源目錄體系編制不科學、不合理，無法起到實際指導作用。（三）數據規劃風險事件類型：風險類型風險點風

44、險等級責任主體制度流程風險信息資源目錄體系不完整、不清晰、數據標準不統一、不完善一般信息科、各科室、單位崗位職責風險數據共享出現錯誤，將不能共享的數據共享，造成重大泄密事件重大各科室、單位未明確數據可共享的范圍，造成泄密事件重大各科室、單位缺少數據共享意識，不愿主動提供數據一般各科室、單位（四）數據規劃風險防控措施：1各科室、單位應樹立數據共享意識，建立數據共享機制，視共享為常態、不共享為例外，主動共享數據，并保證數據的真實、準確、完整、及時。2信息科會同各科室、單位依據實際財政業務制定統一的數據標準，明確數據來源、類型、層次、口徑、安全等級、用戶范圍、訪問權限等信息。數據標準制定要科學合理，

45、涵蓋財政業務的各個方面，具有指導性和約束力。3各科室、單位按照統一的數據標準，結合自身業務發展規劃，梳理本單位的數據和從外部獲取的業務管理需要的數據，形成本單位信息資源目錄體系。信息資源目錄體系經單位負責人審批并蓋章后提交信息科。4信息科綜合各科室、單位信息資源目錄體系，統籌規劃，科學分析，研究制定財政局信息資源目錄體系。5各科室、單位根據工作需要及時更新本單位信息資源目錄體系，并提交信息科。信息科按照各科室、單位信息資源目錄體系變更情況修改完善財政局信息資源目錄體系，確保數據信息真實、準確、完整、及時。第三十二條 數據收集的風險與防控。（一）數據收集流程：1各科室、單位提出數據收集需求。2信

46、息科按照數據收集需求收集數據，并將收集結果反饋相關單位。（二）數據收集風險點：1各科室、單位不結合本職工作實際，不主動溝通協調獲取外部部門或單位數據，導致信息不對稱、精細化管理弱化。2各科室、單位對內分享數據，只提供短期或臨時數據，分享數據缺乏持續性，導致數據斷層、斷檔，影響他人決策使用。3從外部搜集數據時，由于溝通協調不夠，無法獲取所需要的數據，導致數據不全。（三）數據收集風險事件類型：風險類型風險點風險等級責任主體制度流程風險各科室、單位只提供短期或臨時數據，分享數據缺乏持續性一般各科室、單位風險類型風險點風險等級責任主體制度流程風險收集數據時，技術實現和服務保障執行不到位一般信息科崗位職

47、責風險未按數據規劃提出數據收集需求一般各科室、單位收集數據時，相關單位未協調配合一般各科室、單位外部風險由于溝通協調不夠，外部單位不愿意提供數據一般各科室、單位（四）數據收集風險防控措施：1各科室、單位嚴格按照數據規劃，結合實際工作需要，提出數據收集需求，數據收集需求經單位負責人審批并蓋章后提交信息科。數據收集需求涉及多個單位時，應明確牽頭單位，需求確定如存在爭議，應提請信息科研究解決。2信息科根據各科室、單位提出的數據收集需求，分析整理，統籌安排，開展數據收集工作，并做好技術實現和服務保障。3各科室、單位應主動公開、共享業務數據，做到及時更新和長期輸出，并配合信息科做好數據收集工作。4信息科

48、從局外單位收集數據時，各科室、單位應主動協調配合，推進收集工作開展。第三十三條 數據管理的風險與防控。（一）數據管理流程：1各科室、單位提出數據規范存儲需求。2信息科按照各科室、單位數據存儲需求處理并存儲數據，并將處理結果反饋相關單位。（二）數據管理風險點：1缺少有效的數據管理機制，如授權機制、查詢機制，造成數據管理混亂，存儲無序。 2存檔入庫數據未經分類處理及必要的清洗，導致數據冗余或口徑不對、降低數據使用效率。3未按安全等級分類存儲數據，如在業務專網上承載涉密數據，導致重大信息安全隱患。4未建立數據備份與恢復機制，導致數據丟失。5利用數據管理之便，竊取財政信息，謀取私利，引發廉政風險。（三

49、）數據管理風險事件類型：風險類型風險點風險等級責任主體制度流程風險未按安全等級分類存儲數據，造成失密事故重大各科室、單位未建立數據備份與恢復機制，導致數據丟失重大各科室、單位缺少有效的數據管理機制一般各科室、單位崗位職責風險存檔入庫數據未經分類處理及必要的清洗一般各科室、單位數據未經分類便存檔入庫一般各科室、單位廉政風險利用數據管理之便，竊取財政信息，謀取私利重大各科室、單位（四）數據管理風險防控措施：1信息科建立規范的數據管理機制，加強使用授權，優化存儲查詢，確保數據的規范性和準確性。2各單位根據業務實際，提出數據存儲需求，明確數據存儲數量、時間和訪問權限等，經單位負責人審批并蓋章后提交信息

50、科。3信息科對收到的數據存儲需求進行分析，對不符合標準規范的，退回需求單位修改完善后重新提交。對符合標準規范的，通過篩選、分類、調整等處理程序，剔除冗余、補充遺漏，完成數據存儲。4信息科按照安全保密措施妥善保管數據，建立目錄索引，控制訪問權限，確保數據安全。第三十四條 數據應用的風險與防控。（一）數據應用流程：1各單位提出數據應用需求。2信息科綜合分析應用需求，實現數據應用。（二）數據應用風險點：1共享數據不可用或可用性不強，無法達到預期使用效果，增加了數據綜合利用的難度，不利于業務管理水平提高。2數據引用不正確，造成決策分析失誤。3在數據復制轉移過程中，未遵照保密規定進行違規操作，造成信息泄

51、漏等重大風險。4利用數據應用的機會，蓄意竊取財政信息，謀取私利，存在廉政風險。（三）數據應用風險事件類型：風險類型風險點風險等級責任主體制度流程風險數據使用授權不正確，發生泄密事件重大各科室、單位共享數據不可用或可用性不強一般各科室、單位崗位職責風險在數據復制轉換過程中，未遵照保密規定進行違規操作，發生泄密事件重大各科室、單位數據引用不合理、使用不正確一般各科室、單位廉政風險蓄意竊取數據，謀取私利重大各科室、單位（四）數據應用風險防控措施：1信息科建立規范的數據應用機制，加強權限管理，實現流程控制，確保數據真實、準確、完整、及時。2各科室、單位根據工作實際，提出數據應用需求，明確數據類型、層次

52、及口徑，并說明應用范圍和具體用途。數據應用需求經單位負責人審批并蓋章后提交信息科。3信息科對收到的數據應用需求進行分析，對不符合標準規范的，退回需求單位修改完善后重新提交。對符合標準規范的，做好數據準備，明確數據來源，核對數據口徑，設計應用規則，進行數據使用授權，實現數據應用。4各科室、單位嚴格按照授權使用數據，并將使用情況和效果反饋信息科。5各科室、單位在數據復制轉移過程中，要嚴格執行有關保密規定，實現操作過程留痕、責任可追溯，最大限度減少人為操縱風險。第五章 信息系統安全管理內部控制第三十五條 信息系統安全風險是指在信息系統建設、應用與運行維護過程中，由于管理制度不健全、信息安全意識淡薄、

53、安全防護技術或管理措施不到位，導致系統權限被冒用，存在重要信息泄漏、篡改的可能性；或信息系統自身抵御外部攻擊能力不強，突發事件處理機制不到位，造成信息系統癱瘓、業務中斷、數據丟失等可能性。其中，重大風險是指因技術防護措施或管理嚴重缺失導致業務系統長時間無法恢復，涉密、敏感信息泄漏、丟失，系統癱瘓、業務中斷等安全事件發生，對國家安全、財政業務開展造成較大損失。一般風險是指因安全防護技術措施或管理制度不到位導致一般信息泄漏、系統暫停運行等安全事件發生，對財政業務開展造成影響和一定損失。第三十六條 信息系統安全管理風險主要體現信息系統建設安全管理、信息系統運行安全管理、信息系統運維安全管理、信息系統

54、應用安全管理、信息系統安全審計管理、信息系統災備與應急管理等方面。第三十七條 信息系統建設安全管理風險與防控。（一）信息系統建設安全管理風險點：1信息系統建設安全管理制度不完善，安全責任主體不明確，出現安全與管理越位或缺位，安全管理、安全檢查缺失，安全技術標準執行混亂或執行不力。2信息系統建設安全管理制度和安全技術標準執行不嚴，安全管理責任沒有落實或落實不到位，導致出現安全風險。3信息系統立項時，各科室、單位未提出安全保密需求或安全需求不明確，未確定信息系統安全等級保護級別；系統建設時，缺乏安全設計或安全設計不完善，存在安全隱患或漏洞。4信息系統安全教育和培訓不足，信息安全意識欠缺，導致在系統建設時安全考慮不足。（二）信息系統建設安全管理風險事件類型：風險類型風險點風險等級責任主體制度流程風險系統正式運行前未按分級保護或等級保護相關要求對信息系統進行安全定級、檢測和測評重大信息科、辦公室各科室、單位之間信息系統安全建設與管理的責任主體不明確重大各科室、單位信息系統安全建設和管理制度不完善一般信息科、辦公室崗位職責風險系統建設前未