一、目的
為保障我公司資訊保安,提公升資訊化專案建設質量;有效規避並防範資訊化建設及應用的風險,根據《全面風險管理制度第二版》,結合我公司實際情況,制定該制度。
二、適用範圍
君樂寶及其控股或有管轄權的單位和部門。
三、it風險定義
it風險是指由於it建設所處環境和條件的不確定性,導致最終結果與我們的期望產生背離,並給企業和相關人員帶來損失的可能性。具體內容如下:
1.系統合規風險,指所建設或使用的資訊系統未滿足國家相關政策、法規要求的風險。
2.技術應用風險,是指所選型系統未充分考慮已有或未來資訊系統標準,技術標準不相容、架構不支撐大資料處理等方面的風險。
3.採購成本風險,是指採購**遠高於市場正常水平、因需求變更造成的費用增加或出現未估算的成本造成採購成本失控的風險。
4.系統適用風險,是指系統安全性、穩定性和易用性方面未達到要求的風險。
5.建設進度風險,是指專案建設未能按預定的工期完工影響企業或相關部門正常運營的風險。
6.資訊保安風險,是指所選資訊系統未滿足行業安全標準或相關資訊保安標準的風險。
7.人員異動風險,是指在專案實施過程中乙方雙方關鍵參與人員出現變動影響專案推進形成的風險。
四、職責與分工
四、it風險識別
it風險識別,是指承建單位在收集資料和調查研究的基礎上,運用各種方法對尚未發生的潛在風險以及客觀存在的各種風險進行系統歸類和全面識別。it風險識別不是一次能夠完成的,它在整個資訊化建設運作過程中定期而有計畫地進行。
4.1it風險識別主要依據以下幾個原則:
4.1.1由粗及細,由細及粗資訊科技部負責主要風險的管控,業務部門負責日常風險的識別和管控。
4.1.2多種識別方法的選擇與綜合運用
對於重要的it風險應採用兩種以上方法進行識別和分析。
4.1.3謹慎排除可能的風險
不輕易否定或排除某些風險,要通過認真的分析進行確認或排除。必要時進行實驗論證,對於不能排除但又不能肯定予以確認的風險按確認考慮。
4.1.4全員參與原則
由於it風險識別的廣泛性,要求風險管理人員應盡量向有關人員廣泛徵求意見並進行歸納整理,以求對it風險的全面了解。
4.1.5動態識別原則
風險識別的全生命週期性表明隨著專案生命期的發展,專案不同階段會有不同的風險。為了識別隨時可能出現的新風險,必須預先制定乙個連續的風險識別計畫,滿足風險動態識別的需要。
4.1.6經濟原則
經濟原則是指依據專案風險影響的大小來確定投入風險識別的資源和精力。
4.1.7資料積累原則
資料的不斷積累是開展風險管理的重要基礎,風險識別過程中產生的記錄是主要的也是重要的風險資料之一,風險識別工作開展前應準備好將要用到的記錄**,當風險識別工作完成後,將所獲取的相關資料整理儲存。
4.2it風險識別的方法
(1)檔案審核。就是從風險整體和詳盡範圍兩個方面對計畫與假設、檔案及其他資料進行結構性的審核,從而對潛在的風險進行識別。
(2)swot分析。swot分析用於it風險識別時,就是對其本身的優劣勢和外部環境的機會與威脅進行綜合分析,對風險作出系統的評價,最終達到識別it風險的目的。
(3)德爾菲法。德爾菲法是專家們就某一主題達成一致意見的方法。對風險識別而言,就是風險管理專員對專案風險進行識別,並達成一致性意見。
這種方法有助於減少資料方面的偏見,並避免因個人因素對結果產生不良影響。
(4)現場考察法。在風險識別階段,風險管理專員對現場進行勘察非常重要。特別是較大的it專案,風險管理專員應通過直接觀察現場的系統操作,以便能夠更多、更細緻地識別專案的潛在損失。
五、it風險預警
it風險依據其影響的嚴重程度和區間劃分為3個等級:主要為低度風險、中度風險和高度風險;分別對應的預警期間為:黃色預警(低度風險),橙色預警(中度風險)和紅色預警(高度風險),劃分依據和標準如下:
5.1 有下列情形之一的,進行黃色預警:
◎中標(招標或比價)廠商**高於平均二次**,超過10%,但不超過20%的;
◎開發類專案合同付款:預付超過30%,開發未完成付款超過50%的
5.2有下列情形之一的,進行橙色預警:
◎中標(招標或比價)廠商**高於平均二次**,超過20%,但不超過40%的;
5.3 有下列情形之一的,進行紅色預警:
◎中標(招標或比價)廠商**高於平均二次**,超過40%及以上的;
資訊科技部根據已識別的it風險及其嚴重程度、影響範圍評定其風險等級和預警等級;並向涉及部門下發《it風險預警通知單》附件1,接受部門在收到《it風險預警通知單》後依據風險等級按以下原則進行:
1.一級至二級風險接受部門負責人需組織人員對風險進行分析,並向資訊科技部反饋整改措施和整改效果。
2.**至四級風險由資訊科技部指派專人會同接受部門相關組成風險管控小組對風險進行全面分析並制定改進計畫,由資訊科技部批准並派人督導改進,結果上報財務中心總經理和接受部門事業部/中心總經理。
3.五級風險為重大風險,由資訊科技部經理上報財務中心總經理同意後下發《it專案風險預警通知單》,並由資訊科技部經理主導由接受部門和涉及部門組成專案風險管控小組,對已識別風險的嚴重程度和影響範圍進行評估,並編制評估報告、改善計畫上報財務中心總經理、接受部門及涉及部門中心/事業部批准後,進行風險控制和改善,改善進度和結果向改善計畫上報財務中心總經理、接受部門及涉及部門中心/事業部匯報。
六、考核辦法
收到《it專案風險預警通知單》,未按規定時間給出反饋和整改措施的,給予該專案經辦人200元罰款,給予該專案負責人500元罰款。
七、附則
本制度自下發之日起開始執行,由資訊科技部負責解釋。
八、附件
君樂寶it風險預警通知單
君樂寶it風險預警回執單
君樂寶it風險預警回執單
醫療技術風險預警管理制度
第一條為了及早發現醫療技術風險,加強預警監控,防止醫療事故,確保醫療安全,制定本制度。第二條醫療技術風險是指醫療服務過程中存在或出現的可能發生醫療失誤或過失導致患者死亡 傷殘以及軀體組織 生理功能和心理健康受損等不安全事件的危險因素,無論不良後果是否發生以及患者是否投訴,均屬預警監控範圍。第三條醫療...
瓦斯預警管理制度
為強化瓦斯管理,預防瓦斯超限事故發生,強力推行 瓦斯預警機制,根據我礦的現狀特制定本制度 1 井下所有掘進工作面 回風流處必須懸掛可攜式甲烷報警儀,工作面的瓦斯感測器設定預警瓦斯濃度為0.6 回風流的瓦斯感測器設定瓦斯預警濃度為0.5 採煤工作面的上隅角和工作面風流處每班必須懸掛可攜式甲烷報警儀器,...
財務預警管理制度
前言財務預警系統是以企業資訊化為基礎,對企業在經營管理活動中的潛在風險進行實時監控的系統。它貫穿於企業經營活動的全過程,以企業的財務報表 經營計畫及其他相關的財務資料為依據,利用財會 金融 企業管理 市場營銷等理論,採用比例分析,數學模型等方法,發現企業存在的風險,並向經營者示警。它與財務評價系統相...