1、信息系統管理業務內部控制矩陣業務目標業務風險控制點適用單位不相容崗位控制點分值控制點相關資料相關制度索引會計報表認定會計報表項目1存在和發生/真實性；2完整性；3權利與義務；4估價或分攤；5表達和披露；6準確性1234561. IT整體層面管理 SHAPE * MERGEFORMAT 經營風險：信息化管理體系不完善，信息化領導小組或ERP指導委員會設置不健全，信息管理部門職責不落實，導致信息化工作受損。股份公司建立完善的信息化管理體系，設立ERP指導委員會，設立信息系統管理部負責股份公司信息化歸口管理工作；各分（子）公司設立信息化領導小組或ERP指導委員會，定期召開會議，聽取、總結和指導本單位

2、信息化工作，設立信息管理部門負責本單位信息化管理工作，對信息系統和信息資源行使管理職責。總部分（子）公司6ERP指導委員會或信息化領導小組成立文件；會議紀要信息管理部門職責文件經營風險：信息化建設中長期規劃不符合股份公司經營戰略目標，導致盲目建設、投資低效。根據股份公司發展戰略目標和核心業務，結合信息技術發展和股份公司實際，信息系統管理部負責組織編制股份公司信息化建設中長期規劃，在充分征求職能部門、事業部和分（子）公司意見后，組織專家組評審，并根據專家意見負責組織修改，經信息系統管理部主任審核，按規定權限審批后，納入股份公司中長期發展規劃。信息系統管理部5股份公司信息化建設中長期規劃教育和培訓

3、經營風險：信息化培訓缺乏，導致信息系統效能低下、信息化管理水平不高、信息化技能缺失。各級信息管理部門負責編制年度信息化培訓計劃，經部門負責人審批后，納入人事部門年度培訓計劃,并組織落實。信息系統管理部分（子）公司2年度培訓計劃經營風險：信息安全教育不足，導致員工信息安全意識薄弱。各級信息管理部門配合人事部門開展全員信息安全教育和培訓，并在信息門戶或內部網站發布安全教育培訓材料。信息系統管理部分（子）公司2安全教育培訓材料風險評估經營風險：信息系統風險評估缺失，導致信息系統風險。根據中國石油化工股份有限公司信息系統風險評估管理辦法，信息系統管理部負責每年對信息系統進行年度綜合風險評估，形成風險評

4、估報告，并組織專家組對風險評估報告進行評審，專家組對風險評估報告提出評審意見并簽字；分（子）公司信息管理部門會同相關業務部門，通過多種形式，組織本單位信息系統的風險評估，包括企業信息系統整體風險、重點系統風險、主要基礎設施風險等，形成相關風險評估報告，并將風險評估報告經信息管理部門負責人審核簽字后報信息系統管理部備案。信息系統管理部分（子）公司4風險評估報告信息安全管理經營風險：信息安全規劃不當，信息安全方案缺失，導致信息系統風險。信息系統管理部負責編制信息安全規劃，在征求職能部門、事業部和分（子）公司意見后，組織專家組評審，并根據專家意見負責組織修改，經信息系統管理部主任審核后，正式發布。各

5、分（子）公司信息管理部門根據股份公司信息安全規劃，結合自身生產經營管理的需要，并針對風險評估報告中提出的問題，負責制訂本企業的信息安全方案，經分管經理審批后報信息系統管理部備案。信息系統管理部分（子）公司4信息安全規劃信息安全方案經營風險：系統未確定關鍵崗位，關鍵崗位缺乏監管，導致系統存在安全隱患。依照中國石油化工股份有限公司信息系統安全管理辦法規定，各級信息管理部門負責提出本單位的“信息系統關鍵崗位名錄”，其中涉及信息系統安全的關鍵崗位由信息管理部門確定，涉及業務信息安全的關鍵崗位由主管業務部門商本單位保密委員會確定。“信息系統關鍵崗位名錄”上的關鍵崗位人員要與所在單位簽署“信息系統關鍵崗位

6、安全責任書”，并在人事部門備案。總部各部門分（子）公司3信息系統關鍵崗位名錄信息系統關鍵崗位安全責任書經營風險：系統安全崗位設置缺失，導致系統存在安全隱患。各級信息管理部門根據中國石油化工股份有限公司信息系統安全管理辦法中的有關要求，按照不相容崗位分離的原則，設立安全管理員。安全管理員必須具有相應資質，并經部門負責人審批授權。信息系統管理部分（子）公司3安全管理員授權書安全管理員資質證書 編制年度項目建議計劃經營風險：年度信息化項目建議計劃不符合股份公司經營戰略目標，導致盲目建設、投資低效。信息系統管理部根據股份公司信息化建設中長期規劃和職能部門、事業部、分（子）公司申報的項目建議計劃，結合年

7、度實際，編制年度信息化項目建議計劃，由信息系統管理部主任審核，按規定權限審批后，分別納入股份公司年度投資計劃、科技開發項目計劃管理。各分（子）公司信息管理部門負責編制年度信息化項目建議計劃預案，按規定權限審批后，分別納入本單位年度投資建議計劃、科技開發項目建議計劃，上報信息系統管理部和總部相關部門審核。信息系統管理部分（子）公司5信息化建設年度計劃 項目可行性研究和評審經營風險：項目可行性研究報告提出的技術方案不合理，業務流程不規范，系統功能不健全，可研評審不到位，導致系統建設不能滿足業務需求。信息管理部門會同項目責任部門(單位)委托有資格的單位承擔項目可行性研究，并組織專家組對項目可行性研究

8、報告進行評審，專家組對項目需求、目標、技術路線、風險分析、投資與效益、進度、組織落實等提出可行性研究評審意見并簽字。信息系統管理部分（子）公司5可行性研究報告項目立項審批經營風險：信息化項目缺乏統一歸口管理，審批過程不規范，導致重復建設，低效投資。通過可研評審的固定資產投資限額（200萬元）及以上的信息技術項目，由信息系統管理部報發展計劃部立項，批準立項的項目，由發展計劃部列入年度投資計劃；申請總部立項的固定資產投資限額（200萬元）以下的信息技術項目，由信息系統管理部負責審批，報發展計劃部備案；由各事業部審批的投資限額以下的信息技術項目投資計劃，須經信息系統管理部和發展計劃部會簽。各分（子）

9、公司一般措施及零星購置的信息技術項目在總部每年核定的限額以內，由各分（子）公司根據當期生產經營管理的需要，按規定權限審批后報各主管事業部、信息系統管理部和發展計劃部審核備案，并納入股份公司年度投資計劃管理。通過可研評審的科技開發項目，由信息系統管理部報科技開發部立項，批準立項的項目，由科技開發部列入年度項目計劃。信息系統管理部發展計劃部科技開發部事業部分（子）公司5立項批文經營風險：總體（基礎）設計技術方案不合理，業務流程不規范，系統功能不健全，專家組評審不到位，導致系統建設不能滿足業務需求。對批準立項的、投資在500萬元及以上的項目，信息系統管理部委托有資格的單位按要求對項目進行總體（基礎）

10、設計，其中投資在2000萬元及以上的項目需組織專家組對項目總體（基礎）設計進行評審，專家組對項目需求分析、目標、功能設計、投資概算等提出評審意見并簽字，由信息系統管理部負責審批總體（基礎）設計，報發展計劃部備案。信息系統管理部3總體（基礎）設計評審材料合同簽訂經營風險：承建單位資質及經驗欠缺，導致項目建設受損。未經審核，變更信息技術合同標準文本中涉及的權利、義務等條款，導致財務風險。財務風險： 交易不真實，影響財務報告。信息管理部門負責組織項目責任部門(單位)審查集成商、咨詢商、開發商及供應商的資質，開展詢比價、商務談判等工作；涉及有關計算機服務器、PC機、打印機采購事宜，由物資采購部門歸口管

11、理、信息管理部門配合開展采購工作。依照規定權限并按經法律事務部審定的標準合同文本簽訂合同；項目責任部門(單位)負責完成合同技術附件，并由負責人簽字確認。信息系統管理部物資裝備部分（子）公司4合同技術附件固定資產無形資產6.項目實施經營風險：詳細設計技術方案不合理，業務流程不規范，系統功能不健全，審查不到位，導致系統建設不能滿足業務需求。項目實施單位根據合同技術附件或總體設計進行詳細設計，詳細設計的形式可根據項目類別的不同（自主開發項目、引進試點項目、推廣完善項目、基礎設施項目）采取與項目類別相適應的形式，投資在500萬元及以上的項目需由信息管理部門組織人員對項目詳細設計進行審查，項目實施單位根

12、據審查意見進一步修改完善深化詳細設計。 信息系統管理部分（子）公司4項目詳細設計經營風險：基礎數據不完整、不準確、不真實，導致系統無法正常投運或計算出錯。項目責任部門(單位)負責項目實施，業務部門組織數據的收集、整理、錄入、審核，并進行審查和確認，保證數據的真實、完整和準確。信息系統管理部分（子）公司3經營風險：系統安裝調試不當，用戶培訓缺失，導致系統運行受損。合規風險：安裝的軟件侵犯知識產權，導致訴訟及股份公司聲譽受到損害。信息管理部門負責對項目實施單位承擔的軟硬件系統安裝調試、用戶培訓進行檢查，審核和確認測試報告，并檢查相應軟件的合法性，提供經雙方簽字的檢查記錄。信息系統管理部分（子）公司

13、3系統安裝調試和用戶培訓報告軟件驗收報告經營風險：項目監管不力，系統建設延誤，導致系統不能按期投用。信息管理部門負責組織對項目建設的階段驗收，進行項目建設質量、進度、標準執行和成本控制等檢查，提出階段驗收報告；項目實施單位根據階段驗收報告對系統進行修改完善。500萬元以下的一般信息技術項目可根據項目具體實施情況，只進行竣工驗收。信息系統管理部分（子）公司3階段驗收報告經營風險：項目監管不力，系統建設延誤，導致系統不能按期投用或資金流失。財務風險：未按約定付款，影響財務報告。項目責任部門(單位)負責至少每季度向信息管理部門提交項目實施報告，內容包括項目進度、質量、經費使用、存在問題和整改措施等；

14、根據合同約定填寫付款申請，按規定權限審批后辦理付款。信息系統管理部分（子）公司經辦審批3項目實施報告 付款申請在建工程貨幣資金應付賬款經營風險：集成測試不完整，造成系統評估不準確。信息管理部門組織對系統進行集成測試，形成集成測試評價意見；并根據集成測試評價意見責成項目實施單位進行修改完善。信息系統管理部分（子）公司3集成測試評價意見經營風險：技術文檔不完整、造成系統應用維護困難項目責任部門(單位)責成項目實施單位負責知識轉移，并提交項目相關的技術文檔（包括用戶使用手冊、系統維護手冊、系統安全和使用授權管理辦法、應急處理辦法及用戶培訓教材等資料）。信息系統管理部分（子）公司5項目技術文檔項目竣工

15、驗收經營風險：單軌運行時間過短，無法完成對系統的準確評價項目完成全部的規定目標任務后，投資2000萬元及以上的項目單軌連續穩定運行6個月以上，其它項目單軌連續穩定運行3個月以上，由項目責任部門(單位)以正式行文方式提交項目竣工驗收申請，同時提交項目驗收相關材料一并審核。總部批復的項目向信息系統管理部提交驗收申請，由信息系統管理部負責組織項目驗收工作。分(子)公司自行批復的項目向企業信息管理部門提交驗收申請，由分(子)公司信息管理部門負責組織項目驗收工作。專家組形成驗收意見并簽字。信息系統管理部分（子）公司4項目驗收意見經營風險：竣工驗收決算報告或審計報告不嚴格，導致資金外流財務風險：未按約定付

16、款，影響財務報告。合規風險：違反國家和企業會計制度，造成項目資金損失。信息管理部門會同財務部門按規定進行項目竣工結算。財務部門按竣工驗收決算報告或審計報告辦理項目轉資手續，按股份公司內部會計制度及有關規定，經財務部門負責人審核后，進行賬務處理。相關會計憑證須經不相容崗位人員稽核。在信息技術項目達到預定的可使用狀態時，財務部門應依據有關部門提供的手續，按照股份公司內部會計制度，經部門負責人審核后，暫估入賬。相關會計憑證須經不相容崗位人員稽核。財務部信息系統管理部分（子）公司信息部門財務部門3竣工驗收決算報告在建工程固定資產經營風險：后評價報告缺失，無法定性和定量評估項目的經濟效益和社會效益。對固

17、定資產投資2000萬元及以上的試點項目，通過驗收后，信息管理部門組織專家組對項目進行后評價，專家組提出后評價報告并簽字。信息系統管理部分（子）公司2后評價報告系統應用和維護經營風險：由于第三方資質問題或信息管理部門缺乏專人維護，系統維護質量受損。需委托維護的信息系統，信息管理部門負責審查系統服務商資質，并簽訂系統維護服務合同以及安全保密協議；由信息管理部門自行維護的，則指定專人負責維護，制定崗位職責。信息系統管理部分（子）公司4系統維護服務合同及安全保密協議系統維護相關崗位職責說明經營風險：數據維護、用戶管理等制度缺失，系統日常維護、用戶培訓等欠缺，造成工作受損。合規風險：軟件使用侵犯知識產權，導致訴訟及股份公司聲譽受到損害。項目責任部門(單位)負責業務流程、業務工作標準、數據維護、用戶管理、數據使用安全、知識產權合法性使用及相關制度的制定和落實等工作。信息管理部門負責組織日常軟硬件系統維護、合法軟件使用情況檢查和關鍵用戶與一般用戶的培訓、考核等工作。信息系統管理部