内部控制手册第3部分内控矩阵(C)——111信息系统管理业务内部控制矩阵.pdf

11.1信息系统管理业务内部控制矩阵 业务目标 业务风险 控制点 1. IT 整体层面管理 1.1 经营风险：信息化管理体系不完善，信息 1.1 股份公司建立完善的信息化管理体系，设立 ERP 化领导小组或 ERP 指导委员会设置不健 全，信息管理部门职责不落实，导致信息 息化领导小组或ERP 化工作受损。 位信息化工作，设立信息管理部门负责本单位信息化管理工作， 统和信息资源行使管理职责。 1.1 经营风险：信息化建设中长期规划不符合 1.2 根据股份公司发展战略目标和核心业务， 2.2 股份公司经营战略目标，导致盲目建设、 投资低效。 批后，纳入股份公司中长期发展规划。 1.3 教育和培训 1.1 经营风险：信息化培训缺乏，导致信息系 1.3.1 统效能低下、信息化管理水平不高、信息 后，纳入人事部门年度培训计划,并组织落实。 化技能缺失。 1.1 经营风险：信息安全教育不足，导致员工 1.3.2 信息安全意识薄弱。 信息门户或内部网站发布安全教育培训材料。 1.4 风险评估 1.1 经营风险：信息系统风险评估缺失，导致 1.4.1 2.2 信息系统风险。 重点系统风险、主要基础设施风险等，形成相关风险评估报告， 1.5 信息安全管理 1.1 经营风险：信息安全规划不当，信息安全 1.5.1 2.2 方案缺失，导致信息系统风险。 经信息系统管理部主任审核后，正式发布。 信息安全方案，经分管经理审批后报信息系统管理部备案。 1.1 经营风险：系统未确定关键岗位，关键岗 1.5.2 2.2 位缺乏监管，导致系统存在安全隐患。 级信息管理部门负责提出本单位的“信息系统关键岗位名录”， 由主管业务部门商本单位必威体育官网网址委员会确定。 键岗位人员要与所在单位签署“信息系统关键岗位安全责任书”， 门备案。 1.1 经营风险：系统安全岗位设置缺失，导致 1.5.3 2.2 系统存在安全隐患。 安全管理员必须具有相应资质，并经部门负责人审批授权。 2. 编制年度项目建议计划 业务目标 业务风险 控制点 1.1 经营风险：年度信息化项目建议计划不符 2.1 2.2 合股份公司经营战略目标，导致盲目建 设、投资低效。 管理部和总部相关部门审核。 3. 项目可行性研究和评审 1.1 经营风险：项目可行性研究报告提出的技 3.1信息管理部门会同项目责任部门(单位) 1.2 术方案不合理，业务流程不规范，系统功 能不健全，可研评审不到位，导致系统建 设不能满足业务需求。 行性研究评审意见并签字。 4.项目立项审批 1.1 经营风险：信息化项目缺乏统一归口