11.1信息系统管理业务内部控制矩阵

1、11.1信息系统管理业务内部控制矩阵业务目标业务风险控制点适用单位不相容岗位控制点分值值控制点相关资料相关制度索索引会计报表认认定会计报表项项目1存在和发发生/真真实性；2完整整性；33权利与与义务；4估价价或分摊摊；5表表达和披披露；66准确性性1234561. ITT整体层层面管理理 SHAPE * MERGEFORMAT 1.1经营风险：信息化化管理体体系不完完善，信信息化领领导小组组或ERRP指导导委员会会设置不不健全，信信息管理理部门职职责不落落实，导导致信息息化工作作受损。1.1股份份公司建建立完善善的信息息化管理理体系，设设立ERRP指导导委员会会，设立信信息系统统管理部部负责股

2、股份公司司信息化化归口管管理工作作；各分（子子）公司司设立信信息化领领导小组组或ERRP指导导委员会会，定期期召开会会议，听听取、总总结和指指导本单单位信息息化工作作，设立信信息管理理部门负负责本单单位信息息化管理理工作，对对信息系系统和信信息资源源行使管管理职责责。总部分（子）公公司6ERP指导导委员会会或信息息化领导导小组成成立文件件；会议纪要信息管理部部门职责责文件1.10.51.12.2经营风险：信息化化建设中中长期规规划不符符合股份份公司经经营战略略目标，导导致盲目目建设、投投资低效效。1.2根据据股份公公司发展展战略目目标和核核心业务务，结合合信息技技术发展展和股份份公司实实际，信

3、信息系统统管理部部负责组组织编制制股份公公司信息息化建设设中长期期规划，在在充分征征求职能能部门、事事业部和和分（子子）公司司意见后后，组织织专家组组评审，并并根据专专家意见见负责组组织修改改，经信信息系统统管理部部主任审审核，按按规定权权限审批批后，纳纳入股份份公司中中长期发发展规划划。信息系统管管理部5股份公司信信息化建建设中长长期规划划1.10.51.3教育育和培训训1.1经营风险：信息化化培训缺缺乏，导导致信息息系统效效能低下下、信息息化管理理水平不不高、信信息化技技能缺失失。1.3.11各级信信息管理理部门负负责编制制年度信信息化培培训计划划，经部部门负责责人审批批后，纳纳入人事事部

4、门年年度培训训计划,并组织织落实。信息系统管管理部分（子）公公司2年度培训计计划1.10.51.1经营风险：信息安安全教育育不足，导导致员工工信息安安全意识识薄弱。1.3.22各级信信息管理理部门配配合人事事部门开开展全员员信息安安全教育育和培训训，并在在信息门门户或内内部网站站发布安安全教育育培训材材料。信息系统管管理部分（子）公公司2安全教育培培训材料料1.10.51.4风险险评估1.12.2经营风险：信息系系统风险险评估缺缺失，导导致信息息系统风风险。1.4.11根据中中国石油油化工股股份有限限公司信信息系统统风险评评估管理理办法，信信息系统统管理部部负责每每年对信信息系统统进行年年度综

5、合合风险评评估，形形成风险险评估报报告，并并组织专专家组对对风险评评估报告告进行评评审，专专家组对对风险评评估报告告提出评评审意见见并签字字；分（子子）公司司信息管管理部门门会同相相关业务务部门，通通过多种种形式，组组织本单单位信息息系统的的风险评评估，包包括企业业信息系系统整体体风险、重重点系统统风险、主主要基础础设施风风险等，形形成相关关风险评评估报告告，并将将风险评评估报告告经信息息管理部部门负责责人审核核签字后后报信息息系统管管理部备备案。信息系统管管理部分（子）公公司4风险评估报报告2.10.31.5信息息安全管管理1.12.2经营风险：信息安安全规划划不当，信息安全方案缺失，导致信

6、息系统风险。1.5.11信息系系统管理理部负责责编制信信息安全全规划，在在征求职职能部门门、事业业部和分分（子）公公司意见见后，组组织专家家组评审审，并根根据专家家意见负负责组织织修改，经经信息系系统管理理部主任任审核后后，正式式发布。各分（子）公公司信息息管理部部门根据据股份公公司信息息安全规规划，结结合自身身生产经经营管理理的需要要，并针针对风险险评估报报告中提提出的问问题，负负责制订订本企业业的信息息安全方方案，经经分管经经理审批批后报信信息系统统管理部部备案。信息系统管管理部分（子）公公司4信息安全规规划信息安全方方案2.10.21.12.2经营风险：系统未未确定关关键岗位位，关键岗岗

7、位缺乏乏监管，导导致系统统存在安安全隐患患。1.5.22依照中中国石油油化工股股份有限限公司信信息系统统安全管管理办法法规定定，各级级信息管管理部门门负责提提出本单单位的“信息系系统关键键岗位名名录”，其中中涉及信信息系统统安全的的关键岗岗位由信信息管理理部门确确定，涉涉及业务务信息安安全的关关键岗位位由主管管业务部部门商本本单位保保密委员员会确定定。“信息系系统关键键岗位名名录”上的关关键岗位位人员要要与所在在单位签签署“信息系系统关键键岗位安安全责任任书”，并在在人事部部门备案案。总部各部门门分（子）公公司3信息系统关关键岗位位名录信息系统关关键岗位位安全责责任书2.10.21.12.2经

8、营风险：系统安安全岗位位设置缺缺失，导导致系统统存在安安全隐患患。1.5.33各级信信息管理理部门根根据中中国石油油化工股股份有限限公司信信息系统统安全管管理办法法中的的有关要要求，按按照不相相容岗位位分离的的原则，设设立安全全管理员员。安全全管理员员必须具具有相应应资质，并并经部门门负责人人审批授授权。信息系统管管理部分（子）公公司3安全管理员员授权书书安全管理员员资质证证书2.10.22. 编制制年度项项目建议议计划1.12.2经营风险：年度信信息化项项目建议议计划不不符合股股份公司司经营战战略目标标，导致致盲目建建设、投投资低效效。2.1信息息系统管管理部根根据股份份公司信信息化建建设中

9、长长期规划划和职能能部门、事事业部、分分（子）公公司申报报的项目目建议计计划，结结合年度度实际，编编制年度度信息化化项目建建议计划划，由信信息系统统管理部部主任审审核，按按规定权权限审批批后，分分别纳入入股份公公司年度度投资计计划、科科技开发发项目计计划管理理。各分分（子）公公司信息息管理部部门负责责编制年年度信息息化项目目建议计计划预案案，按规规定权限限审批后后，分别别纳入本本单位年年度投资资建议计计划、科科技开发发项目建建议计划划，上报报信息系系统管理理部和总总部相关关部门审审核。信息系统管管理部分（子）公公司5信息化建设设年度计计划1.10.53. 项目目可行性性研究和和评审1.11.2

10、经营风险：项目可可行性研研究报告告提出的的技术方方案不合合理，业业务流程程不规范范，系统统功能不不健全，可研评审不到位，导致系统建设不能满足业务需求。3.1信息息管理部部门会同同项目责责任部门门(单位位)委托托有资格格的单位位承担项项目可行行性研究究，并组组织专家家组对项项目可行行性研究究报告进进行评审审，专家家组对项项目需求求、目标标、技术术路线、风风险分析析、投资资与效益益、进度度、组织织落实等等提出可可行性研研究评审审意见并并签字。信息系统管管理部分（子）公公司5可行性研究究报告1.10.24.项目立立项审批批1.11.2经营风险：信息化化项目缺缺乏统一一归口管管理，审审批过程程不规范范

11、，导致致重复建建设，低低效投资资。4.1通过过可研评评审的固固定资产产投资限限额（2200万万元）及及以上的的信息技技术项目目，由信信息系统统管理部部报发展展计划部部立项，批批准立项项的项目目，由发发展计划划部列入入年度投投资计划划；申请请总部立立项的固固定资产产投资限限额（2200万万元）以以下的信信息技术术项目，由由信息系系统管理理部负责责审批，报报发展计计划部备备案；由由各事业业部审批批的投资资限额以以下的信信息技术术项目投投资计划划，须经经信息系系统管理理部和发发展计划划部会签签。各分（子）公公司一般般措施及及零星购购置的信信息技术术项目在在总部每每年核定定的限额额以内，由由各分（子子

12、）公司司根据当当期生产产经营管管理的需需要，按按规定权权限审批批后报各各主管事事业部、信信息系统统管理部部和发展展计划部部审核备备案，并并纳入股股份公司司年度投投资计划划管理。通过可研评评审的科科技开发发项目，由由信息系系统管理理部报科科技开发发部立项项，批准准立项的的项目，由由科技开开发部列列入年度度项目计计划。信息系统管管理部发展计划部部科技开发部部事业部分（子）公公司5立项批文1.10.21.11.2经营风险：总体（基基础）设设计技术术方案不不合理，业业务流程程不规范范，系统统功能不不健全，专家组评审不到位，导致系统建设不能满足业务需求。4.2对批批准立项项的、投投资在5500万万元及以

13、以上的项项目，信信息系统统管理部部委托有有资格的的单位按按要求对对项目进进行总体体（基础础）设计计，其中中投资在在20000万元元及以上上的项目目需组织织专家组组对项目目总体（基基础）设设计进行行评审，专专家组对对项目需需求分析析、目标标、功能能设计、投投资概算算等提出出评审意意见并签签字，由由信息系系统管理理部负责责审批总总体（基基础）设设计，报报发展计计划部备备案。信息系统管管理部3总体（基础础）设计计评审材材料1.10.25.合同签签订1.11.2经营风险：承建单单位资质质及经验验欠缺，导导致项目目建设受受损。未未经审核核，变更更信息技技术合同同标准文文本中涉涉及的权权利、义义务等条条款

14、，导导致财务务风险。财务风险： 交易不不真实，影影响财务务报告。5.1信息息管理部部门负责责组织项项目责任任部门(单位)审查集集成商、咨咨询商、开开发商及及供应商商的资质质，开展展询比价价、商务务谈判等等工作；涉及有有关计算算机服务务器、PPC机、打打印机采采购事宜宜，由物物资采购购部门归归口管理理、信息息管理部部门配合合开展采采购工作作。依照照规定权权限并按按经法律律事务部部审定的的标准合合同文本本签订合合同；项项目责任任部门(单位)负责完完成合同同技术附附件，并并由负责责人签字字确认。信息系统管管理部物资装备部部分（子）公公司4合同技术附件1.10.2固定资产无形资产6.项目实实施1.11

15、.2经营风险：详细设设计技术术方案不不合理，业业务流程程不规范范，系统统功能不不健全，审查不到位，导致系统建设不能满足业务需求。6.1项目目实施单单位根据据合同技技术附件件或总体体设计进进行详细细设计，详详细设计计的形式式可根据据项目类类别的不不同（自自主开发发项目、引引进试点点项目、推推广完善善项目、基基础设施施项目）采采取与项项目类别别相适应应的形式式，投资资在5000万元元及以上上的项目目需由信信息管理理部门组组织人员员对项目目详细设设计进行行审查，项项目实施施单位根根据审查查意见进进一步修修改完善善深化详详细设计计。 信息系统管管理部分（子）公公司4项目详细设设计1.10.21.11.

16、2经营风险：基础数数据不完完整、不不准确、不不真实，导导致系统统无法正正常投运运或计算算出错。6.2项目目责任部部门(单单位)负负责项目目实施，业业务部门门组织数数据的收收集、整整理、录录入、审审核，并并进行审审查和确确认，保保证数据据的真实实、完整整和准确确。信息系统管管理部分（子）公公司31.10.21.11.22.1经营风险：系统安安装调试试不当，用用户培训训缺失，导导致系统统运行受受损。合规风险：安装的的软件侵犯犯知识产产权，导导致诉讼讼及股份份公司声声誉受到到损害。6.3信息息管理部部门负责责对项目目实施单单位承担担的软硬硬件系统统安装调调试、用用户培训训进行检检查，审审核和确确认测

17、试试报告，并并检查相相应软件件的合法法性，提提供经双双方签字字的检查查记录。信息系统管管理部分（子）公公司3系统安装调调试和用用户培训训报告软件验收报报告1.10.21.11.2经营风险：项目监监管不力力，系统统建设延延误，导导致系统统不能按按期投用用。6.4信息息管理部部门负责责组织对对项目建建设的阶阶段验收收，进行行项目建建设质量量、进度度、标准准执行和和成本控控制等检检查，提提出阶段段验收报报告；项项目实施施单位根根据阶段段验收报报告对系系统进行行修改完完善。500万元元以下的的一般信信息技术术项目可可根据项项目具体体实施情情况，只只进行竣竣工验收收。信息系统管管理部分（子）公公司3阶段

18、验收报报告1.10.21.11.2经营风险：项目监监管不力力，系统统建设延延误，导导致系统统不能按按期投用用或资金金流失。财务风险：未按约约定付款款，影响响财务报报告。6.5项目目责任部部门(单单位)负负责至少少每季度度向信息息管理部部门提交交项目实实施报告告，内容容包括项项目进度度、质量量、经费费使用、存存在问题题和整改改措施等等；根据据合同约约定填写写付款申申请，按按规定权权限审批批后办理理付款。信息系统管管理部分（子）公公司经办审批3项目实施报报告 付款申请1.10.2在建工程货币资金应付账款1.11.2经营风险：集成测测试不完完整，造造成系统统评估不不准确。6.6信息息管理部部门组织织

19、对系统统进行集集成测试试，形成成集成测测试评价价意见；并根据据集成测测试评价价意见责责成项目目实施单单位进行行修改完完善。信息系统管管理部分（子）公公司3集成测试评评价意见见1.10.21.11.2经营风险：技术文文档不完完整、造造成系统统应用维维护困难难6.7项目目责任部部门(单单位)责责成项目目实施单单位负责责知识转转移，并并提交项项目相关关的技术术文档（包包括用户户使用手手册、系系统维护护手册、系系统安全全和使用用授权管管理办法法、应急急处理办办法及用用户培训训教材等等资料）。信息系统管管理部分（子）公公司5项目技术文文档1.10.27.项目竣竣工验收收1.11.2经营风险：单轨运运行时

20、间间过短，无无法完成成对系统统的准确确评价7.1项目目完成全全部的规规定目标标任务后后，投资资20000万元元及以上上的项目目单轨连连续稳定定运行66个月以以上，其其它项目目单轨连连续稳定定运行33个月以以上，由由项目责责任部门门(单位位)以正正式行文文方式提提交项目目竣工验验收申请请，同时时提交项项目验收收相关材材料一并并审核。总总部批复复的项目目向信息息系统管管理部提提交验收收申请，由由信息系系统管理理部负责责组织项项目验收收工作。分分(子)公司自自行批复复的项目目向企业业信息管管理部门门提交验验收申请请，由分分(子)公司信信息管理理部门负负责组织织项目验验收工作作。专家家组形成成验收意意

21、见并签签字。信息系统管管理部分（子）公公司4项目验收意意见1.10.21.11.2经营风险：竣工验验收决算算报告或或审计报报告不严严格，导导致资金金外流财务风险：未按约约定付款款，影响响财务报报告。合规风险：违反国国家和企企业会计计制度，造造成项目目资金损损失。7.2信息息管理部部门会同同财务部部门按规规定进行行项目竣竣工结算算。财务务部门按按竣工验验收决算算报告或或审计报报告办理理项目转转资手续续，按股股份公司司内部会会计制度度及有关关规定，经经财务部部门负责责人审核核后，进进行账务处理理。相关关会计凭凭证须经经不相容容岗位人人员稽核核。在信息技术术项目达达到预定定的可使使用状态态时，财财务

22、部门门应依据据有关部部门提供供的手续续，按照照股份公公司内部部会计制制度，经经部门负负责人审审核后，暂暂估入账账。相关关会计凭凭证须经经不相容容岗位人人员稽核核。财务部信息系统管管理部分（子）公公司信息部门财务部门3竣工验收决决算报告告1.10.2在建工程固定资产1.11.2经营风险：后评价价报告缺缺失，无无法定性性和定量量评估项项目的经经济效益益和社会会效益。7.3对固固定资产产投资220000万元及及以上的的试点项项目，通通过验收收后，信信息管理理部门组组织专家家组对项项目进行行后评价价，专家家组提出出后评价价报告并并签字。信息系统管管理部分（子）公公司2后评价报告告1.10.28.系统应应用和维维护1.11.2经营风险：由于第第三方资资质问题题或信息息管理部部门缺乏乏专人维维护，系系统维护护质量受受损。8.1需委委托维护护的信息息系统，信信息管理理部门负负责审查查系统服服务商资资质，并并签订系系