11.1 信息系统管理业务内部控制矩阵业务目标业务风险控制点适用单位不相容岗位控制点分值控制点相关资料相关制度索引会计报表认定会计报表项目1 存在和发生/真实性;2 完整性;3 权利与义务;4 估价或分摊;5 表达和披露;6 准确性1234561. IT 整体层面管理1.1经营风险:信息化管理体系不完善,信息化领导小组或 ERP 指导委员会设置不健全,信息管理部门职责不落实,导致信息化工作受损。1.1 股份公司建立完善的信息化管理体系,设立 ERP 指导委员会,设立信息系统管理部负责股份公司信息化归口管理工作;各分(子)公司设立信息化领导小组或 ERP 指导委员会,定期召开会议,听取、总结和指导本单位信息化工作,设立信息管理部门负责本单位信息化管理工作,对信息系统和信息资源行使管理职责。总部分(子)公司6ERP 指导委员会或信息化领导小 组 成 立 文件;会议纪要信 息 管 理 部 门职责文件1.10.51.12.2经营风险:信息化建设中长期规划不符合股份公司经营战略目标,导致盲目建设、投资低效。1.2 根据股份公司进展战略目标和核心业务,结合信息技术进展和股份公司实际,信息系统管理部负责组织编制股份公司信息化建设中长期规划,在充分征求职能部门、事业部和分(子)公司意见后,组织专家组评审,并根据专家意见负责组织修改,经信息系统管理部主任审核,按规定权限审批后,纳入股份公司中长期进展规划。信息系统管理部5股份公司信息化建设中长期规划1.10.51.3 教育和培训1.1经营风险:信息化培训缺乏,导致信息系统效能低下、信息化管理水平不高、信息化技能缺失。1.3.1 各级信息管理部门负责编制年度信息化培训计划,经部门负责人审批后,纳入人事部门年度培训计划,并组织落实。信息系统管理部分(子)公司2年度培训计划1.10.51.1经营风险:信息安全教育不足,导致员工信息安全意识薄弱。1.3.2 各级信息管理部门配合人事部门开展全员信息安全教育和培训,并在信息门户或内部网站发布安全教育培训材料。信息系统管理部分(子)公司2安全教育培训材料1.10.51.4 风险评估1.12.2经营风险:信息系统风险评估缺失,导致信息系统风险。1.4.1 根据《中国石油化工股份有限公司信息系统风险评估管理办法》,信息系统管理部负责每年对信息系统进行年度综合风险评估,形成风险评估报告,并组织专家组对风险评估报告进行评审,专家组对风险评估报告提出评审意见并签字;分(子)公司信息管理部门会同相关业务部门,通过...
