嵌入式A类风险点口袋书（2021年）

目录

CONTENTS

01

02

03

04

05

06

07

08

09

10

综合管理领域

财务管理领域

采购物流领域

纪检领域

计划建设领域

市场管理领域

网络安全领域

运行维护领域

人力资源领域

技术研发领域

综合管理领域

风险描述

组织开展业务招待过程中存在未经事前审批、陪同人数及招待规格超标、招待场所违规等六类违反公司业务招待管理办法的行为。

风险点名称

违规开展业务招待 （SY-ZHGL-A001）

具体场景

1.未经过审批开展业务招待；或因紧急事由经请示同意后进行业务招待,事后未及时提交审批流程。

2.以业务招待的方式，开展公司内部相互走访、送礼、宴请等活动；招待同一批次对象超过两次。

3.陪同人员的数量超过公司规定、人均标准（含酒水、饮料等）等规格超过公司规定。

4.到风景名胜区进行业务招待，或者安排接待对象到高档娱乐、健身、保健等经营场所活动。

5.向接待对象赠送不符合公司规定的现金、购物卡、消费卡、商业预付卡等各种有价证券、支付凭证、贵重物品等。

6.国家法定节假日期间及前后3个工作日内，招待发生部门未主动提前向同级主责部门备案并向同级纪委报告。

直接责任人：业务招待申请人员

责任领导：各部门、各中心负责人

综合管理领域

1.《中共中国移动通信集团有限公司党组关于贯彻落实中央八项规定精神、进一步深化作风建设有关规定》的通知》（中移党组[2020]66号）

2.《中共中移（苏州）软件技术有限公司委员会关于贯彻落实中央八项规定精神 进一步深化作风建设实施细则（2020年版）》（移苏研党〔2020〕47号）

3.《中移（苏州）软件技术有限公司业务招待管理办法》（苏研制〔2020〕90号）

1.做好流程管控。建立业务招待电子审批流程，规范审批程序。加强对招待对象、招待方式、招待规格等信息的审核，做好事前防范。2.加强归口管理。市场条线（市场部、四大区域中心）与非市场条线招待费分别由市场部和综合部扎口管理。

通过OA系统-业务招待审批单进行业务招待的闭环管理。

业务招待申请人员；业务招待管理人员。

综合部和市场部/客户服务部定期（每季度）对业务招待事项明细清单进行抽查，对违反规定的行为进行处罚，做好事后管控。

财务管理领域

风险描述

银行账户开立/变更没有经过必要审批程序，存在个人舞弊风险。

风险点名称

账户开立/变更未经审批（SY-CW-A001）

具体场景

某银行承诺某经办人员或管理人员在其网点开户或变更账户属性即给予一定好处费，因此未经过公司必要审批流程，办理单位账户开立/变更手续。

直接责任人：资金会计

责任领导：财务部领导

《中移（苏州）软件技术有限公司资金管理办法》第二十七条“新增、变更、撤销银行账户，应上报公司领导审批同意后方可办理相关手续。在新增、变更、撤销银行账户时，财务部应提供资金安全、银行提供服务、资金利率等支撑材料，从风险、效益、服务等维度进行综合比较。”

公司需要变更及撤销账户时，应上报公司领导审批同意后方可办理相关手续。

资金管理岗、财务部领导。

查看账户开立、变更、撤销等批准文件。

风险描述

未经总部审批，与超出总部规定合作银行范围外的其他银行开设存款账户或存放存款。

风险点名称

超出合作银行范围开立账户（SY-CW-A002）

具体场景

合作范围外的银行工作人员承诺本单位相关人员开展合作即给予一定好处费，因此未经总部审批，超范围开设存款账户或存放存款谋取私利。

直接责任人：资金会计

责任领导：财务部领导

《中移（苏州）软件技术有限公司资金管理办法》第二十三条“如需在指定商业银行（含核心一级合作银行、主要合作银行及总部规定的省级城市商业银行）范围外开设银行存款账户，应报总部审批。” 执行要求：

资金管理岗、财务部领导

财务管理领域

风险描述

1.财务部受人情请托或谋取私利，在资产或工程物资盘点时，主观恶意瞒报资产或工程物资的盘亏、盘盈情况或主观恶意帮助业务部门篡改账目，造成公司经济损失。

2.移动云固定资产维护部门人员未按规定执行资产管理工作，主观恶性造成固定资产丢失或违规占用部分固定资产，公物私用，引发廉洁风险。

风险点名称

瞒报资产盘盈、盘亏情况,违规占用移动云资产（SY-CW-A003）

具体场景

1.某次资产盘点监督中发现某部门存在资产盘亏，为谋取私利或受人请托，主观恶意不及时通报情况或篡改账目；或者发现资产盘盈，主观恶意不及时上报或者篡改账目，造成业务人员私吞盘盈资产。

2.移动云资产维护部门资产管理人员与外部人员勾结，违规占用固定资产，造成存置在外移动云固定资产毁损或丢失。

直接责任人：资产会计、资产管理人员

责任领导：各部门领导

财务管理领域

中移（苏州）软件技术有限公司固定资产财务管理办法（苏研制〔2020〕130号）第十章：“固定资产盘点由财务部总牵头，各实物管理部门牵头组织本专业固定资产盘点，实物使用部门执行盘点工作；盘点结束后，盘点人及监盘人应编写盘点表，记录盘点结果，并在盘点表上签字确认，资产使用部门应将经实物管理部门审核确认的盘点表送交财务部，并将对应盘点报告报送实物管理部门和财务部。”

中移（苏州）软件技术有限公司移动云资产管理指引(试行)（苏研财〔2020〕1号）第七条：“SRE部/安全部或各区域中心是移动云资产的维护部门，（具体维护部门由SRE部/安全部根据第八条相关原则指定），负责具体落实使用资产的实物管理和维护工作。主要职责如下：（一）跟踪和更新固定资产存放地点和管理责任人并督促资产管理责任人落实工作职责；（二）负责资产维护工作，包括负责相关维护预算申请及使用，签订对应资产委托代管合同；（三）负责向实物管理部门提出与本部门有关的资产转移、报废、减值、盘亏、毁损、零购等各项申请；（四）负责落实上述申请批准后的资产处置工作；（五）负责根据资产使用情况及权限，及时更新资产管理系统中固定资产记录的相关内容，确保固定资产卡片、清册信息与资产实际状况相符； （六）负责执行本部门的资产盘点工作。”

每年，财务部门会同固定资产实物管理部门和固定资产使用部门对固定资产进行全面清查盘点。盘点人员在实地盘点过程中，逐项盘点固定资产，将固定资产实物及数量与固定资产的账面记录进行核对，并登记更新资产实际地点信息。盘点结束后，财务部指定的盘点负责人和固定资产实物管理部门指定的盘点负责人共同对盘点结果进行抽样检查并在资产盘点清册上签字确认（或在固定资产管理系统对盘点工单进行确认），以确保盘点工作的有效性。（控制点编号：SY11F.2.6、SY11F.2.7）

资产会计、资产管理人员。

检查固定资产盘点报告。

采购物流领域

风险描述

1.需求不准确导致采购结果失效或合同执行与初始规模不一致，可能违规，采购决策未能得到有效执行；

2.所采购物资的投入/产出经济效果未经分析，造成公司经济损失；

3.出现紧急缺货的情况影响公司生产运营；

4.可能接受供应商的请托，出现倾向性，发生违规排斥、限制潜在投标人等违法行为，存在自由裁量权，易产生暗箱操作，可能产生腐败，导致投诉与合法合规风险；

5.引起合同纠纷；

6.违规使用单一来源采购，导致采购结果具有倾向性。

7.可能产生违规采购集采产品情况

8. 未按照规定要求提交采购申请、采购申请未经审批

风险点名称

采购需求管理（SY-CG-A001）

具体场景

需求归口部门、需求部门风险行为：

1.采购需求管理不规范：

（1）需求归口部门总体设计不合理，对需求技术标准、采购规模等内容审核不到位，存在主观故意的廉洁风险行为；

（2）拆分需求、化整为零，降低审批层级或规避招标或规避采购寻源流程；

（3）采购需求实质性内容（如预算金额、规模、技术规范等）变化或取消的，未按照原决策流程和层级重新决策；

（4）设计方案受供应商影响存在倾向性。

（5）未按照规定要求提交采购申请、采购申请未经审批

2.采购需求不合理：

（1）对供应商资质要求或技术指标、评分标准具有倾向性；

（2）与主观分设置上限标准偏离较大，且无正当理由；

采购物流领域

（3）单一来源理由不充分或虚假捏造单一来源采购理由。

（4）对于需要进行产品测试的，产品测试方式及测试方案不明确或不合理；

（5）设备性能冗余要求过高，设备或选配件超过实际配置需求、服务工作量超过实际需求。

采购部门风险行为： 

1.采购人员对需求规范性、完整性审核不到位：

（1）单一来源理由不充分；

（2）与主观分设置上限标准偏离较大，且无正当理由；

（3）对于需要进行产品测试的，产品测试方式及测试方案不明确；

（4）非标产品未按照要求履行报批和报备手续。

直接责任人：需求发起人/采购管理岗

责任领导：各部门、各中心负责人

1.《中移（苏州）软件技术有限公司采购需求实施细则》（苏研制〔2020〕145号）全文

2.《中移（苏州）软件技术有限公司采购实施管理办法》（苏研制〔2020〕128号），中第十一条、第四十八条

3.《中移（苏州）软件技术有限公司工会类采购实施细则》（苏研制〔2021〕6号），中第七条

4.《中移.苏州）软件技术有限公司招标实施办法》（苏研制〔2019〕21号），中第五条~第九条

中规定了采购需求的管理要求和规范。

采购物流领域

1.需求部门根据采购需求项目情况选择申请相应的采购需求资金来源审批手续；

2.采购需求发起人编写采购需求说明书、技术规范书、技术打分表等采购需求文件；

3.需求部门邀请专家完成采购需求文件评审；

4.根据不同审批权限提交采购需求决策；

5.需求部门通过供应链系统向采购部门提出采购申请，经过相应层级的负责人审批；

6.采购部门发布采购标准化范本；

7. 采购部门对需求的规范性、完整性进行严格把关，核实是否存在排斥性、主观分设置不符合要求、单一来源理由不充分等情况；

8.对于增改标准配置部分，在提交订单时须将设计或审批文件或会审文件作为依据;

9..建立非标需求特殊审批流程，对自采非标产品行为进行严格把控。

1.固化需求评审审批环节；

2.需求部门从供应链系统提交采购申请，未在供应链系统提交的采购申请采购部门不进行采购。

采购需求发起人、采购需求评审人员、采购申请提交人、采购申请审核人、采购项目经理。采购申请提交人和审核人职责分离

1.检查是否建立需求归口管理机制；

2.检查系统是否固化需评审审批环节；

3.检查是否编制了相关范本文件；

4.检查同一年度或同一时期内具有相同采购内容的项目；

5.检查采购需求资料是否完整，是否落实资金来源，是否按照审批权限进行需求决策；

6.检查采购申请审批流程，是否所有的采购均经过审批；

7.每年至少开展1次自查，公司至少开展1次抽查。

采购物流领域

风险描述

1.可能接受供应商的请托，出现倾向性，易产生暗箱操作，可能产生腐败，导致质疑、投诉与合法合规风险；

2.违反国家法律法规，受到监管部门的处罚；

3.方案编制环节对执行过程管控考虑不到位，产生寻租空间；

4.采购过程出现特殊情况无处理依据，影响采购效率；

风险点名称

采购方案编制（SY-CG-A002）

具体场景

1.采购方案关键信息与采购需求不一致：如预算金额、采购标的、数量型号等；

2.采购方式选择不合规：该招标不招标，该公开不公开、采用邀请方式理由不充分、单一来源采购不符合相关规定；

3.标包划分不合理：划分为多个标包原则不明确、理由不充分；

4.潜在供应商资格条件设置不合理：资格审查标准不明确和不具体，缺乏可操作性，存在倾向性；

5.评审标准、方法设置不合理：评分指标不具体、不量化，主观分占比偏大，设定的技术、商务指标与项目的具体特点和实际需要不相适应或者与合同履行无关；复杂产品的商务价格计算模型设置不合理（不平衡报价）；主要商务条款不明确；

6.选定供应商的方法不明确，中标数量及份额划分不具体；中标数量及份额划分不具体不明确；

7.通信工程建设类项目工程或服务类集中招标未明确具体的实施地域；

8.评审委员会/谈判小组组成原则不合法合规；

9.采购组织方式不合理，未按照有关要求使用采购代理机构；

10.特殊情况（如供应商限制要求、新厂商引入、供应商代理的使用、采购失败等）的处理办法不明确，或处理方法不合规，排斥、限制潜在供应商；

11.采购方案存在其他排斥、限制性条款；

12.对于需要进行产品测试的，产品测试方式（标前标后）不合理，测试方案不明确；

13.越级采购应集采的产品。

采购物流领域

直接责任人：采购管理岗

责任领导：采购物流部负责人

1.《中移（苏州）软件技术有限公司采购实施管理办法》（苏研制〔2020〕128号），中第十二条、第三十三~第三十七条、第三十八~第四十九条

2.《中移（苏州）软件技术有限公司工会类采购实施细则》（苏研制〔2021〕6号），中第八条、第十四条~第十九条

3.《中移.苏州）软件技术有限公司招标实施办法》（苏研制〔2019〕21号），中第五条~第九条、第十条~第四十四条

中规定了采购方案编制的相关要求。

1.依据采购需求和相关法律法规及管理制度，编制采购方案；

2.编制并发布采购方案标准化模板，实施标准化管理；

3.推动规则标准化，建立各项评审规则；

4.非采购方案编写人员复核采购方案，进行采购方案审批；

5.建立案例分享机制，定期进行PDCA，提高采购专业水平。

1.使用信息系统固化采购方案模板的关键内容。

采购项目经理。采购方案编制人与采购需求提交人职责分离。

1.检查是否建立采购方案复核机制；

2.检查是否建立采购方案模板及实际执行情况；

3.检查采购方案相关内容是否完整、合规；

4.每年至少开展1次自查，公司至少开展1次抽查。

物流管理领域

风险描述

1.易受到供应商质疑、投诉，产生合法合规风险；

2.易产生暗箱操作，接受供应商的请托，可能产生腐败风险。

风险点名称

采购测试管理（SY-CG-A003）

具体场景

1.测试规范/方案存在测试不合理的测试内容；

2.测试现场管理与结果记录不规范，缺乏监督；

3.测试执行过程中，没有严格遵守管理规定，导致测试结果有偏差；

4.测试异议受理流程未明确。

直接责任人：需求发起人、测试组织人

责任领导：各产品部、计划建设部、SRE部/安全部、测试部、采购物流部负责人

采购物流领域

1.《中移（苏州）软件技术有限公司采购测试实施细则》（苏研制〔2020〕132号））中规定了测试管理要求。

1.测试需求应在需求阶段提出；

2.需求部门编制测试方案，并经过测试部等相关部门评审；

3.测试部按照测试方案组建测试小组，测试小组成员应从公司自有或专业机构中选取，应不少于3人单数；

4.测试小组成员按照测试方案进行测试，并出具测试结果报告。

供应链系统实现测试委托，测试报告反馈。

需求发起人、测试小组成员。测试小组成员不能是评审委员会成员。

1.检查测试方案及测试报告，是否按照测试方案进行测试，测试报告所有人员是否签字；

2.每年至少开展1次自查，公司至少开展1次抽查。

采购物流领域

风险描述

1.可能导致评标/评审委员会人员受供应商影响，进行倾向性评审；

2.可能导致暗箱操作，产生腐败风险，扰乱采购活动的正常秩序；

3.造成不公平竞争，影响采购结果,难以选到合适的供应商。严重影响招标的公平、公正，导致不符合条件的供应商中标/中选；

4.违反国家法律法规，受到监管部门的处罚；

5.采购失败,并导致举报、投诉。

风险点名称

评标/评审过程管理（SY-CG-A004）

具体场景

评审专家风险行为：

1.资格审查不合规，该否决未否决、否决理由不充分不合理；

2.未严格按照采购文件公布的评审标准进行评审，现场修改评审规则，影响评审结果；

3.评审专家在评审过程中违背独立打分原则，存在诱导、影响其他评审专家的行为；或接受他人暗示、提出的倾向性意见或抄袭其他评审专家的评审结果；

4.对发现的围标、串标行为的未进行评审认定；

5.暗示或者诱导投标人做出澄清、说明，或者接受投标人主动提出的澄清；

6.未按规定上交所有电子设备或通讯工具，或私藏手机等通讯工具；

7.擅自将评审会议资料带离现场；

8.无特殊原因且未经同意，评审期间（评标/评审报告签署前）擅自离开评审现场；

9.无正当理由，中途退出评审活动；

10.在评标过程中私下接触投标人；

11.泄露应当保密的评审过程信息。

采购物流领域

采购部门风险行为：

1.出现专家缺席或需要回避的情形，未按照原抽取方案进行补充抽取；

2.对应答文件进行主观摘录，存在诱导、影响评审人员的行为；

3.评审现场未收取评委的手机、个人电脑等通信工具；擅自将手机、个人电脑等通信工具交还评委；

4.评审纪律组织不严格，未对以下情况进行制止或管控：

（1）擅自将评审会议资料带离现场；

（2）长时间离开评审现场，多位评委同一时间不在评审现场等违反评审纪律的情况；

（3）无关人员随意进入评标室；

 (4) 评审委员会成员在评标过程中私下接触投标人；

5.泄露应当保密的评审过程信息。

直接责任人：采购管理岗、评审专家

责任领导：采购物流部负责人

1.《中移（苏州）软件技术有限公司采购实施管理办法》（苏研制〔2020〕128号），中第三十八~第四十九条

2.《中移（苏州）软件技术有限公司工会类采购实施细则》（苏研制〔2021〕6号），第十四条~第十九条

3.《中移.苏州）软件技术有限公司招标实施办法》（苏研制〔2019〕21号），第十条~第四十四条、第六十一条~第八十条

4. 中移（苏州）软件技术有限公司采购评审专家及采购评审专家库管理办法》（苏研制〔2020〕46号），中第十五条~第二十条

中规定了评标/评审过程管理要求。

采购物流领域

1.评标/评审委员会进行现场签到；

2.评标/评审委员会签署评审纪律、特定关系人与特定事项申报书；

3.评标/评审委员会根据招标/采购文件制定的评标/评分规则进行独立评审；

4. 定期组织本单位的采购专家进行招标法律法规和采购管理制度的培训；

5.评标/评审结束后评标/评审委员会出具评标/评审报告，全部评委对评标报告签字确认；

6.建立评标监控系统，对评审过程录音录像，规范现场管理，收取电子设备，定期对评标/评审现场管理情况进行监督；外部评审项目录音录像应保存完整，评审结束后在规定期限内向采购人员移交。

1.通过信息系统固化《采购评审工作纪律》、《特定关系人与特定事项申报书》，实现评委在评审开始前对评审相关要求进行确认；

2.通过信息系统进行围标串标分析功能；

3.通过信息系统对评委在评审过程中的表现进行履职评议。

评审委员会成员。评审委员会成员与潜在供应商无利益关系。

1.检查录音录像记录，查看评审现场是否存在违规行为；

2.检查评分表和评审报告是否符合管理要求；

3.检查评审过程中澄清是否符合法律法规和公司管理要求；

4.检查评审报告是否经所有评审人员签字，评审人员是否签署评审纪律及特定关系人与特定事项申报书；

5.每年至少开展1次自查，公司至少开展1次抽查。

采购物流领域

风险描述

1.发生合同纠纷，合同难以执行或履行无效合同，公司利益受损；

2.违反国家法律法规，受到监管部门的处罚；

3.内外勾结，发生腐败风险；

4.发生法律纠纷。

风险点名称

合同编制及签订（SY-CG-A005）

具体场景

1.采购合同未严格按照采购结果或集团公司下发结果签署，合同内容与采购文件及采购应答文件的实质性内容不一致；

2.合同签署不及时，招标项目未在发出中标通知书之日起规定时间内签署；

3.合同内容不完整和不规范，包括关键内容缺失、签字及用印不规范、缺少授权委托书等；

4.纸质合同与电子审批合同不一致；

5.合同审批不规范，包括未经规定的流程审批、未经审批变更合同内容等；

6.合同未完成双方签署即开始履行，仅以电子审批通过视为合同已签署完成，造成履约风险；

7.未按规定流程补签合同、续签合同、合同金额、合同有效期（合同已约定自动延期等情况除外）等。

直接责任人：采购管理岗

责任领导：采购物流部负责人

采购物流领域

1.《中移（苏州）软件技术有限公司采购实施管理办法》（苏研制〔2020〕128号），中第十六条

2.《中移.苏州）软件技术有限公司招标实施办法》（苏研制〔2019〕21号），中第七十七条

3. 《中移（苏州）软件技术有限公司合同管理办法》（苏研制〔2020〕56号），中第十七条~第五十条

中规定了合同编制及签订要求。

1.采购经理根据招标/采购文件、采购结果确认文件编制合同，提交审批；

2.采购经理在合同管理系统提交合同审批，审批完成后在法务管理处用印完成合同签订。

在合同管理系统中提交合同审批，需经需求部门、财务部门、法务部门会签，根据不同审批权限提交领导审批。

合同拟定人、法务人员。合同拟定人、合同执行人、法务人员、合同审批人职责分离。

1.检查合同审批及合同变更、续签、补签是否符合要求；

2.检查合同内容与采购结果的一致性；

3.检查合同签署是否及时；

4.每年至少开展1次自查，公司至少开展1次抽查。

采购物流领域

风险描述

1.对负面行为处理明显滞后，影响后续合同执行及采购公平性，造成公司利益受损；

2.对负面行为的处理不合规，导致处理错误或存在倾向性；

3.易产生暗箱操作，接受供应商的请托，可能产生腐败风险。

风险点名称

负面行为供应商处理（SY-CG-A006）

具体场景

1.未按照既定审批、决策流程和规则处理负面行为供应商，负面行为处理程度不一致，或该处理不处理；

2.负面行为处理结果应公示的未进行公示；

3.未按照已审批生效的处理结果进行落实。

直接责任人：供应商管理岗

责任领导：采购物流部负责人

采购物流领域

1.《《中移（苏州）软件技术有限公司供应商负面行为管理办法》（苏研制〔2021〕1号）规定了负面行为的认定及分类、供应商责任追究。

1.建立、完善供应商负面行为管理制度，明确负面行为定义及管理要求，规范处理流程；

2.将负面行为供应商处理规则纳入采购文件，确保后续处理有据可依；

3.对供应商负面行为处理依规公示；

4.负面行为处理及审批流程通过系统固化；纳入禁止合作名单的供应商通过系统校验，并限制其处罚期间在禁止合作品类的采购项目再次中选。

1.系统固化负面行为处理流程，由系统进行负面给行为材料提交和结果录入，固化审批决策流程，并通过SCM系统将结果在ES进行公示；

2.纳入禁止合作名单的供应商通过系统校验，并限制其处罚期间在禁止合作品类的采购项目再次中选。

供应商负面行为材料审核人员。

1.检查供应商负面行为档案；

2.检查与供应商沟通、约谈等内容；

3.每年至少开展1次自查，公司至少开展1次抽查。

纪检领域

风险描述

受人请托、接受宴请和财物或碍于私情，人为主观或带有倾向性地对问题线索案件提出处置意见或定性，隐瞒真实案情包庇被反映人或故意夸大案情打击报复被反映人。

风险点名称

问题线索处置不当（SY-JJJC-A001）

具体场景

隐瞒真实案情包庇被反映人或故意夸大案情打击报复被反映人。

直接责任人：问题线索处置人员

责任领导：纪委办公室领导

纪检领域

制度依据：

1.《中移（苏州）软件技术有限公司信访举报及问题线索管理实施细则》（苏研制〔2020〕136号）第三十一条 严格执行回避制度。信访举报承办人员是信访人、被举报人或其近亲属、主要证人、利害关系人，或者存在其他可能影响公正履行职务情形的，不得参与相关信访举报及问题线索管理工作，应当主动申请回避，信访人、被举报人及其他有关人员也有权要求其回避；

2.《中移（苏州）软件技术有限公司监督执纪工作操作手册》（苏研纪委〔2020〕16号）二、线索处置 案件监督管理岗人员收到信访后，在3个工作日内将信访情况报纪委办公室负责人。纪委办公室负责人5个工作日内组织召开线索分析会议，经集体研判后形成拟办意见，并填写信访拟办单，依据干部管理权限报批（指对被反映人为党委管理干部依次报纪委书记、党委书记审批，被反映人为普通党员报纪委书记审批）后形成处置意见。

执行要求：

1.严格遵守问题线索处置程序，核查方案及结论经核查组集体讨论、核查报告由全部核查组成员签名；

2.组成2人以上审查组开展线索初核工作；

3.问题线索处置人员提出处置意见和方案，报纪委办公室负责人、纪委书记审批，若为党委管理的干部，还需报党委书记审批；

4.签署保密承诺书。

系统控制：纪检监察系统

关键岗位：问题线索处置人员

检查要求：检查问题线索处置是否符合流程。每年至少开展1次自查，公司至少开展1次抽查。

计划建设领域

风险描述

在可研报告或项目建议书编制过程中，有可能受合作方影响，存在技术倾向性，审核时放松要求，未能充分论证合理性与经济性，造成项目建设和维护成本增加，影响项目投资效益，存在廉洁风险。

风险点名称

可研报告/项目建议书编制存在倾向性（SY-JHJS-A001）

具体场景

在可研编制过程中，提高建设标准，建设方案中嵌入特定技术、投资估算等内容，为潜在供应商谋取利益。如：

1.建设标准：违反集团公司相关建设标准，提高装修标准、提高设备档次，为潜在供应商谋取利益；

2.建设方案：建设方案中，为潜在供应商量身定制设施设备技术条件，为潜在供应商谋取利益；

3.投资估算：在投资估算编制中，刻意提高投资估算，为潜在供应商谋取利益。

直接责任人：计划岗

责任领导：计划建设部负责人

计划建设领域

《中移（苏州）软件技术有限公司固定资产投资管理办法》（苏研制〔2020〕95号）

1.可行性研究报告或者项目建议书须召开评审会进行评审，通过后方可进入后续环节。评审人员包括需求部门、维护部门、财务部门、计划部门等。

2.可行性研究报告或者项目建议书评审通过后，须按照相关规定，通过公司领导专题办公会、总经理办公会等形式，进行分级决策。

在计划建设系统、公文等办公信息化系统中下发可研/项目建议书会审纪要。

计划岗。

检查可研报告或项目建议书是否经过评审；每年至少开展1次自查，公司至少开展1次抽查。

计划建设领域

风险描述

在项目设计编制过程中，有可能受合作方影响，有意提高或降低设计审查标准，影响项目造价或者工程质量，存在廉洁风险。

风险点名称

未严格执行项目设计审查标准（SY-JHJS-A002）

具体场景

1.设计方案对设备、服务供应商资质要求或技术指标具有倾向性，指定使用特定供应商的设备、材料，夸大工程建设量，造成公司利益受损。

2.受特定供应商驱使，放松设计审查管理，在施工图设计等编制过程中偏离实际，造成公司利益受损。

直接责任人：项目建设管理岗

责任领导：计划建设部负责人

计划建设领域

1.《中移（苏州）软件技术有限公司通信工程建设管理办法》（苏研制〔2018〕127号）

2.《中移（苏州）软件技术有限公司通信工程项目勘察设计管理办法》（苏研制〔2018〕126号）

3.《中移（苏州）软件技术有限公司土建项目设计管理实施细则》（苏研制〔2019〕63号）

1.设计单位应依据设计规范要求，在立项批复的金额及规模内编制设计文件。设计文件须由专家评审小组进行会议评审或者进行文件会签，通过后方可进行设计批复。评审或会签单位包括需求部门、建设部门、维护部门等相关单位。

2.将设计质量纳入设计单位考核，严格依据设计合同约定对设计单位进行考核管理。

在计划建设系统中提交设计会审，设计文件经建设、维护等相关部门会签。

项目建设管理岗。

检查设计文件是否严格按照设计管理流程进行评审；每年至少开展1次自查，公司至少开展1次抽查。

计划建设领域

风险描述

设计变更管理不规范，可能受合作方影响，办理不合理变更，导致工程不符合要求，存在廉洁风险。

风险点名称

项目设计变更管理不规范（SY-JHJS-A003）

具体场景

1.建设过程中偏离原设计或建设方案，供应商不能回归原设计，通过贿赂相关人员进行项目变更。

2.擅自调整屋面防水、地下室基础等施工工艺及材料，将合理方案改为不合理方案，降低施工难度或增加施工费用，进行不合理的设计变更。

3.供应商通过贿赂相关人员，调整设计编制的工程量等因素，调增设计预算满足其不当利益。

4.为逃避设计变更管理，将应实施设计变更的工程建设变更部分，刻意进行拆分。

直接责任人：项目建设管理岗

责任领导：计划建设部负责人

综合管理领域

1.《中移（苏州）软件技术有限公司通信工程项目勘察设计管理办法》（苏研制〔2018〕126号）

2.《中移（苏州）软件技术有限公司土建工程设计变更实施细则》（苏研制〔2020〕114号）

1.加强工程造价控制，当出现下列情况之一时，建设单位必须提出设计变更申请，由原设计批复单位进行设计变更批复。

（1）工程实施中的技术方案、工程规模、施工图纸等与原设计相比有重大变更。

（2）实施中的预计总投资超过原设计批复投资，但未超过原立项批复投资。

（3）竣工验收前须完成设计变更审批程序。

2.明确项目设计变更流程。工程实施阶段，工程管理部门负责组织召开工程协调会，研究项目变更需求，形成项目变更会议纪要，项目设计变更审批层级同原批复。

3.针对土建项目，编制《设计变更审核意见会签表》，经过设计、监理等单位审核并签署意见后，建设部门根据分级审批流程，完成《设计变更审核意见会签表》。

项目建设管理岗。

检查设计变更申请或审核意见会签表，是否按照规定的权限进行审批；每年至少开展1次自查，公司至少开展1次抽查。

计划建设领域

风险描述

采购文件编制存在倾向性，可能剔除潜在供应商造成竞争不充分而提高采购成本，影响项目投资效益，存在廉洁风险。

风险点名称

采购文件编制存在倾向性（SY-JHJS-A004）

具体场景

收受供应商好处后，在编制采购清单时虚增设备数量、在技术规范书中降低技术标准、在技术评分表中倾向某供应商，导致采买的设备或服务质量不达标，造成公司利益损失。

直接责任人：计划岗、项目建设管理岗

责任领导：计划建设部负责人

《中移（苏州）软件技术有限公司采购实施管理办法》（苏研制〔2020〕128号）

1. 根据实际需求编制采购文件（设备及服务采购清单、技术规范书、技术评分表等），并组织需求评审，提交采购申请并经过审批。

2. 采购的设备品牌应与招标文件保持一致。

在供应链系统中提交采购申请，并经审批。

计划岗、项目建设管理岗。

检查采购文件是否经过评审、审批；每年至少开展1次自查，公司至少开展1次抽查。

计划建设领域

风险描述

在合作单位管理方面，有可能受供应商影响，在资质审核、考核评估等环节存在管理缺失，造成合作单位存在转包、违法分包、挂靠或人员资质不足等问题，并使得不合格供应商长期承包我公司工程项目，影响工程建设质量和公司合法权益，存在廉洁风险。

风险点名称

合作单位管理不规范（SY-JHJS-A005）

具体场景

收受合作方包括但不限于施工单位、监理单位、设计单位、集成单位等的礼金礼券、宴请、礼品，对服务工作量弄虚造假、对服务后评估进行不实评定、作出有利于合作方的不符合实际的倾向性评价。

直接责任人：项目建设管理岗、供应商管理岗

责任领导：计划建设部、采购物流部负责人

计划建设领域

公司制度依据：

《中移（苏州）软件技术有限公司供应商管理办法》（苏研制〔2021〕10号）

执行要求：

1.须加强合作单位和人员资质审核，杜绝无资质或越级承包，严禁转包和违法分包行为。

2.建立合作单位违约责任告知机制，并嵌入到工程建设管理基本流程中。在工程建设项目设计委托或开工启动会上，建设单位就合作单位违约责任，向合作单位项目负责人进行书面告知并双方签字存档。

3.严格履行合同，对于因合作单位原因导致的设备到货延期、调测进度滞后等违约情况，严格按照合同条款进行处罚，保证公司合法权益，有效提高合同约束力。

4.制订客观明确的合作单位后评估评分标准，提高区分度，后评估结果要作为合作单位引入的重要参考依据，实现优胜劣汰。

系统控制：

在供应链系统对合作方进行履约评价，提交至采购物流部审核。

关键岗位：

项目建设管理岗、供应商管理岗。

检查要求：

检查是否签订违约责任告知书；每年至少开展1次自查，公司至少开展1次抽查。

市场管理领域

风险描述

为谋取私利，未进行充分的市场调研和成本核算，导致定价偏离市场价格合理范围，损害公司利益。产品定价的岗位员工拥有较大的自由裁量权。

风险点名称

产品定价不合理（SY-SC-A001）

具体场景

1.为谋取私利，未进行充分的成本核算，导致成本测算不准确，损害公司利益。

2.为谋取私利，某产品成本5000元/节点，实际定价2000元/节点，定价偏离成本较大，损害公司利益。

3.为谋取私利，合作产品给合作伙伴结算10元/节点，实际定价8元/节点，损害公司利益。开放云市场产品结算基准价明显高于市场价，存在利益输送风险。

直接责任人：产品管理岗

责任领导：市场部负责人

《中移（苏州）软件技术有限公司产品定价管理办法》（苏研制〔2020〕88号）第五章、第六章

一、运营类产品（含自有产品、合营产品、合作引入产品）、交付类产品

1.需求发起：新产品上架发布后，由运营中心发起运营类产品的新定价和定价更新，由产品部门发起交付类产品的新定价或定价更新；在市场推广过程中，市场部根据客户反馈、竞争对手政策变化对原有价格进行周期性更新，及时调整不符合市场情况的产品定价。

市场管理领域

2.成本测算：市场部接收到定价申请后，原则上在2个工作日内按照财务部制定的《产品成本测算指引》，牵头启动成本测算工作，在公司移动云产品成本测算系统中发起成本测算流程。原则上各产品部、SRE部应在10个工作日内在成本测算系统中完成涉及成本测算，市场部协助财务部核定产品各规格成本，所有成本数据在信息系统中留痕，保证数据的准确性。内外部合作引入类产品成本测算需综合软硬件等资源的投入和需要向合作伙伴分成。

3.方案制定：市场部综合研究运营中心、产品部提交的产品功能、性能，竞争对手情况，撰写定价材料，拟订定价方案。

4.方案决策：采用集体决策、领导审批相结合的方式杜绝产品定价不合理的风险。公司分管副总经理主持召开定价专题办公会，对新产品定价方案进行审核；市场部组织定价优化评审会对方案审议通过后，通过签报提交公司分管副总审批。

二、开放云市场产品定价

1、运营中心初审结算基准价、分成比例；2、市场部召开资费评审会；3、领导签报决策。防控举措：要求供应商报名时提供同水平报价证明材料、明确产品形态，运营中心负责审核。运营中心在运营中，发现合作伙伴报价不一致、或偏高等问题立即纠偏。

定价评审会均有会议纪要，并通过签报提交公司分管副总审批。后期通过移动云业务系统产品定价模块和合作产品管理模块承载。

市场部产品定价管理岗、运营中心PO、产品部成本测算接口人和产品经理，财务部、采购物流部、计划建设部、SRE部/安全部参与提供成本数据的接口人

产品成本统计表、移动云资费表、开放云市场产品价格表、结算基准价及分成比例表

市场管理领域

风险描述

资费数据处理涉及人员在配置上具有一定自由裁量权，导致上线的资费与决策不符，可能导致国有资产流失、客户投诉等不良影响。

风险点名称

资费数据配置不准确（SY-SC-A006）

具体场景

某产品决策定价为10元/月，在资费上线中，错误配置为1元/月。

直接责任人：资费管理、产品管理及系统配置等相关岗位人员

责任领导：市场部、运营中心、信息系统支撑部、各产品部负责人

产品资费配置上线流程

新资费开发，1.提出业务需求；2.需求审核；3.需求拆分；4.填写局数据表；5.提交boss；6.输出规范文档、产品树；7.输出实现方案并组织评审；8.开发配置、联调；9.测试；10.上线。

存量资费优化，1.提出业务需求；2.填写局数据表；3.提交boss；4.输出产品树；5.开发配置、联调；6.测试；7.上线。

后期通过mop配置资费（尚未上线），当前通过一人配置一人审核进行控制，同时在上线前通过测试域进行计费准确性验证。

运营中心、信息系统支撑部、各产品部资费数据处理涉及人员

系统上线后检查线上审批流程，当前检查复审流程执行情况。

市场管理领域

风险描述

各责任人具有一定自由裁量权，导致营销活动设计与上线执行不合规

风险点名称

营销活动设计与上线执行不合规（SY-SC-A007）

具体场景

1.营销活动资费超过移动云最高折扣，超限活动资费未通过政企事业部审批即上线推广。

2.营销活动优惠券优惠力度不符合政策要求，优惠券创建及发放没有审批流程，优惠券没有发放至目标用户。

3.营销活动在超出审批的时间范围，依旧在线开放订购。

4.某营销活动决策活动价为买1月送1月，在活动上线中，错误配置为买1月送1年。

直接责任人：营销活动配置相关岗位

责任领导：市场部、运营中心、信息系统支撑部负责人

市场管理领域

1.《中国移动移动云公有云业务管理办法（2020版）》

2.《中移（苏州）软件技术有限公司营销管理办法》（制定中）

3.《中移（苏州）软件技术有限公司优惠券业务管理实施细则》（制定中）

1.营销活动设计，运营中心根据市场部制定的周期性营销规划设计活动方案，并上会汇报。

2.营销活动资费上线，（1）提出业务需求；（2）需求审核；（3）需求拆分；（4）提交boss侧需求；（5）提交boss；（6）输出规范文档；（7）输出实现方案并组织评审；（8）开发配置、联调；（9）测试；（10）上线；（11）到期下线。

3.营销活动落地部署，营销活动上会决策后，活动页面开发、实现和上线。

4.营销活动执行，活动上线后，正式开展营销活动，包含活动套餐推广等。

5.优惠券使用符合业务管理实施细则，涉及使用优惠券的营销活动必须通过上会汇报决策后，通过系统严格按照创建、审批及发放的流程执行。

1.营销活动产品订购均通过OP系统实现、通过EBOSS计费，业务全流程通过系统控制实现。系统内设定最高折扣，实际业务订购时超过最高折扣无法订购，避免出现超限资费未审批上线推广的情况。

2.营销活动开发完成后，正式上线前，会对活动的全流程进行穿透测试，确保营销活动符合预设的规则。

3.优惠券的创建、审批及发放均通过MOP系统实现，创建后经过运营中心、市场部两部门审批通过后方可发放至用户使用。

运营中心PO、营销活动上线相关人员、优惠券配置发放人员；信息系统支撑部营销活动资费处理相关人员

营销方案上会纪要；需求文档；优惠券系统审批记录；营销活动FAQ；流程穿透测试。

市场管理领域

风险描述

布展内容和宣传物料以次充好、高价结算。物料管理不规范：宣传物料的制作和领用流程不规范，造成公司宣传物料的浪费，进而造成公司损失。

风险点名称

广宣物料考核结算不规范（SY-SC-A005）

具体场景

1.考核结算不严格：经办人因收受客户好处或谋取私利，默许广告公司以次充好，并以高于市场价格数千元结算。

2.物料管理不规范：宣传物料的制作和领用流程不规范，造成公司宣传物料的浪费，造成公司损失。

直接责任人：宣传管理岗

责任领导：市场部负责人

市场管理领域

1.《中移（苏州）软件技术有限公司采购实施管理办法》（苏研〔2017〕9号）第十二条

2.《中移（苏州）软件技术有限公司供应商管理办法（试行）》第五章

单页手册、手提袋物料：

1.通过采购物流系统提交订单。

2.到货后，供应商提供到货单，并双方签字，形成到货-领用台账。

3.根据合同要求，按照报价表、到货单数量制作结算单，并附考核表、物料清单，按照考核分数确定结算金额，经办人、审核人、部门领导签字审核。

4、领取人需提供使用证明清单，并协助对使用情况进行考核评价。

1.根据需求通知供应商制作合同要求内的展会物料。

2.到货后，供应商提供到货单，并双方签字，形成到货-领用台账。

3.根据合同要求，按照报价表、到货单数量制作结算单，并附考核表、物料清单，按照考核分数确定结算金额，经办人、审核人、部门领导签字审核。

4、实际执行人需提供使用证明清单，并协助对使用情况进行考核评价。

采购物流系统订单及结算单。

宣传管理岗

到货单、领用台账、考核表、物料清单

市场管理领域

风险描述

负责合作伙伴引入的岗位员工拥有较大的自由裁量权，合作伙伴引入资质把关不严：引入无资质或不符合资质要求的合作伙伴。

风险点名称

合作伙伴引入把关不严（SY-SC-A002）

具体场景

1.合作伙伴引入资质把关不严：引入无资质或不符合资质要求的合作伙伴。

2.相关人员收取合作伙伴好处，或在合作伙伴评审过程中不客观公正、具有倾向性

3.泄漏有关评审/评标信息和资料，影响和干扰评审/评标公平公正进行。

4.违规将资质不满足项目或业务要求的合作伙伴引入并开展合作。

直接责任人：市场部、战法部、财务部、采购物流部、技术部、SRE部/安全部、市场部、运营中心及各产品部门评审参与人员

责任领导：市场部、战法部、财务部、采购物流部、技术部、SRE部/安全部、运营中心及各产品部门负责人

市场管理领域

《中移（苏州）软件技术有限公司“移动云”开放云市场SaaS合作管理办法（试行）》（苏研制〔2020〕8号）第五章

预审：合作伙伴线上提交合作意向，上传申请材料，运营中心负责预审，通过评审系统、预审打分要求，审核合作伙伴提交材料，输出预审结果。

专家评审：组织评审专家组按照评审标准进行量化评分，形成评审结果，根据管理办法细则评审标准，由评审专家组集体完成评审，形成客观评审结果。

决策：根据管理办法由运营部门发起决策审批流程，相关部门会签，由公司分管领导审批完成引入决策。

合作伙伴通过移动云saas平台运营管理门户进行注册、提交资料，完成引入申请，评审小组据此进行评审引入。

评审小组成员及引入决策流程参与人员：

1.预审：运营中心预审环节参与人员

2.专家评审：市场部、战法部、财务部、采购物流部、技术部、SRE部/安全部、运营中心及各产品部门评审参与人员

3.决策：决策流程发起及审批流程参与人员

定期检查合作伙伴资质、合作伙伴履约情况。

市场管理领域

风险描述

在结算时虚增、提供虚假业务量结算。

风险点名称

合作伙伴结算风险（SY-SC-A003）

具体场景

1.运营中心在填写数据模板填错或信息系统支撑部配置时配错，导致数据错误，造成损失。

2.在结算时虚增、提供虚假业务量结算，如某合作伙伴完成销售100万应结算30万，经办人因收受合作方好处或谋取私利，虚构业务量发放结算款40万，造成公司利益受损。

3.核减时，少核减或不核减，造成损失。

直接责任人：运营中心、信息系统支撑部、市场部、财务部的参与人员

责任领导：市场部负责人、信息系统支撑部负责人、运营中心负责人、财务部负责人

1.《中移（苏州）软件技术有限公司“移动云”开放云市场SaaS合作管理办法（试行）》（苏研制〔2020〕8号）第七章

2.《中移（苏州）软件技术有限公司财务报账手册》（苏研〔2015〕221号）第三部分

3.《解决方案中产品短名单供应商管理指导意见》（苏研〔2019〕153号）

4.《中移（苏州）软件技术有限公司移动云合作类业务结算实施细则》（苏研制[2020]68号）

市场管理领域

执行要求：

1.制定结算规则：运营中心牵头签订产品合作协议，按照合同确定结算规则，按照协议约定结算费用

2.配置产品局数据：结算规则确定后，由运营中心填写产品局数据模板并初审，提交信息系统支撑部进行复核，审核无误后提交政企事业部和IT公司，完成业务支撑系统配置。

3.局数据定期稽核：原则上，1季度做全量数据的稽核；第2-4季度做一次增量配置数据的稽核，由信息系统支撑部协调IT公司提供上季度现网配置数据，由运营中心牵头组织核对配置数据，如稽核中发现问题，需在规定时间内提交IT公司进行更新。

4.结算核减数据审核：每月省公司提交核减申请，云能力中心运营中心牵头组织信息系统支撑部、市场部、财务部进行共同评审，审批通过后，由运营中心出具内部核减会议纪要，信息系统支撑部发文至政企事业部，政企事业部审核后发文至IT公司执行核减，并在下个账期内与合作伙伴结算时执行核减。

5.与合作伙伴结算：合作伙伴核对结算金额有争议时，由合作伙伴提出核查申请，运营中心统一接口，进行核减情况分类，涉及业务规则及商务问题的由运营中心处理，涉及数据类型、计费问题的由信息系统支撑部联系IT公司进行处理，如判断为移动侧问题导致的结算金额不准确，经运营中心、信息系统支撑部、市场部、财务部进行共同审批，审批通过后，由运营中心出具内部核减会议纪要，由信息系统支撑部商政企事业部执行核减。

6.数据安全管理：结算数据属于公司机密信息，数据分发时需坚持“必须知道”和“最小授权”原则，各数据接收人仅获取与自身业务相关的数据内容，数据在传递过程中需进行加密，确保数据安全。

拟通过核减管理模块对核减需求进行核减（系统建设中，暂未上线）

结算流程制定、执行的运营中心（结算规则制定与执行）、信息系统支撑部（数据配置与审批）、市场部（审批）、财务部（审批）等部门的参与人员

定期检查数据模板是否填错或配错、核增核减数据是否准确、结算数据是否准确。

市场管理领域

风险描述

负责考核的岗位员工拥有较大的自由裁量权，收受合作伙伴好处，管理员未按考核管理办法对合作伙伴的各类合作情况进行考核，特别对存在严重违约行为的合作伙伴未能及时给予相应的处罚或处罚过轻。外泄核心数据资料；肆意调整夸大工作量，使支撑合作伙伴可以结算更多的收入。

风险点名称

合作伙伴考核管理不规范（SY-SC-A004）

具体场景

1.收受合作伙伴好处，管理员未按考核管理办法对合作伙伴的各类合作情况进行考核，特别对存在严重违约行为的合作伙伴未能及时给予相应的处罚或处罚过轻。

2.肆意调整夸大工作量，使支撑合作伙伴可以结算更多的收入。

直接责任人：合作管理岗

责任领导：市场部负责人、运营中心负责人

市场管理领域

《中移（苏州）软件技术有限公司“移动云”开放云市场SaaS合作管理办法（试行）》（2020年8号）第五章

1.考核标准：根据管理办法、细则等制度，制定考核标准，并按考核周期落实执行。

2.考核过程执行：按考核标准、考核周期，公司考核牵头部门组织考核参与单位进行打分，根据考核标准及方案形成考核结果，由相关部门进行审核。

3.考核结果：根据相关管理办法及时合规发布考核结果；并及时正确运用考核结果到相关领域。

移动云saas平台运营管理门户-考核管理功能模块、短名单管理模块

运营中心（执行）、市场部（审核）参与合作伙伴考核流程的相关人员

定期检查考核是否落实、考核是否按标准与既定方案来、考核结果是否运用

市场管理领域

风险描述

调账时，对原因不明或不合理的出账进行调减，造成移动云收入损失。

调账时，对原因明确已出错账进行超额调减，造成移动云收入损失。

风险点名称

移动云调账管理风险（SY-SC-A008）

具体场景

1.某省公司客户订购某云主机产品，使用3个月后无故要求退订且要求对已出账单调账清零，调账要求不合理，损害公司利益，造成移动云收入损失。

2.某省公司客户订购某云主机产品，以1000元/月的价格订购3个月，因后续系统升级过程中该笔订单出账错误，最后一个月以1500元/月价格出账。客户要求全额调减三个月费用。申请调账金额超出实际差错金额，损害公司利益，造成移动云收入损失。

直接责任人：运营中心、信息系统支撑部、市场部、客户服务部、财务部、SRE部/安全部、各区域中心的参与人员、测试账号使用人员

责任领导：运营中心、信息系统支撑部、市场部、客户服务部、财务部、SRE部/安全部、各区域中心负责人、测试账号使用部门负责人

市场管理领域

《中移（苏州）软件技术有限公司移动云公有云调账管理实施细则（试行）》（苏研制〔2021〕3号）

1.各相关部门应严格按照调账管理实施细则明确的职责分工落实相关工作。

2.申请部门应严格按照调账管理实施细则要求准备申请材料，保证材料齐全，材料中涉及的信息准确无误。

3.审核部门应严格按照调账管理实施细则要求，对各自负责审核的内容尽心尽责，在规定时间内完成审核。

4.调账数据稽核牵头部门应严格按照调账管理实施细则要求，定期对调账历史进行稽核，对于稽核中的问题应在规定时间内通知责任部门及时整改。

拟通过调账管理系统对调账申请及审核进行全线上化执行（系统建设中，暂未上线）

调账流程制定、执行过程相关的运营中心（申请发起与审核）、信息系统支撑部（审核与历史信息稽核）、市场部（流程制定与审批）、客户服务部（申请发起与审核）、财务部（审核）、SRE部/安全部（申请发起与审核）、各区域中心（申请发起）、各测试账号使用部门（申请发起）等部门的参与人员。

定期检查调账历史数据，检查调账审批流程的规范性，以及相关材料是否齐全。

市场管理领域

风险描述

移动云免费账号异常出账后申请调账抵减，造成移动云收入损失。

风险点名称

移动云内部账号申请及使用（SY-SC-A009）

具体场景

1.SRE部/安全部的运维测试账号，由于账号延期申请审批流程走失，到期后系统未将账号冻结，从免费期结束后开始产生账单，后续作调账处理，造成移动云收入损失。

2.内部测试账号使用人员私下将移动云测试账号提供给客户使用，并收取一定的好处，造成移动云资源浪费、国有资产损失。

直接责任人：市场部、财务部、SRE部/安全部、信息系统支撑部、各需求部门的参与人员

责任领导：市场部、财务部、SRE部/安全部、信息系统支撑部、各需求部门负责人

市场管理领域

《中移（苏州）软件技术有限公司移动云内部账号使用实施细则（试行）》（苏研制〔2021〕2号）

1.市场部应严格按照制度，要求账号申请部门准备申请材料，申请部门需保证材料齐全，材料中涉及的信息准确无误。

2.市场部应严格按照制度要求，在规定时间内完成账号审批，同步检查账号命名规范以及账号属性等是否合规。

3.市场部应严格按照制度要求，定期对账号进行审计，对于审计中查到的问题应在规定时间内督促责任部门及时完成整改，保障测试账号使用信息准确，并及时同步账号管理台账至SRE部/安全部，供现网测试资源订购情况梳理。

4.对于账号到期需要延期使用的，使用部门须在集客大厅申请延期；市场部应严格按照制度，对账号延期申请进行审核，账号最多可以延期一次，时间不超过3个月。

5.账号使用人需严格按照使用周期自行清退资源。市场部根据SRE部提供的免费账号订购资源详单定期通报无效资源并协调各使用部门账号管理员组织账号使用人员清退资源。当测试资源订购超限导致现网容量告警时，根据账户分级情况，由SRE部/安全部梳理出需紧急清退的资源清单，由市场部督促账号管理员当日完成资源清退。

通过智慧政企以及集客业务受理大厅对账号申请进行全线上执行。

市场部（规则、流程制定与审批）、财务部（预算审核与管控）、SRE部/安全部（资源、安全管控）、信息系统支撑部（系统改造需求受理）、各需求部门（申请发起）等部门的参与人员。

定期检查账号使用的合规性，检查审批流程的规范性，以及相关材料是否齐全。

网络安全领域

风险描述

对公司及移动云的数据资产缺乏有效管理，不能保证研发数据、客户数据、经营数据的机密性、完整性和可用性，存在数据泄露等风险。

风险点名称

数据安全防护（SY-WLAQ-A001）

具体场景

相关员工非法出售公司重要资料（产品文档、代码、账号口令、客户信息等）以谋取私利，对合作方缺乏数据安全管控要求，关键系统缺乏数据安全管控措施，导致公司敏感数据面临泄露风险。因客户利益受损，引发赔偿。存在上述数据被泄漏谋取私利、恶意篡改、损毁和丢失的风险。

直接责任人：数据持有人员

责任领导：SRE部/安全部、技术部、IaaS产品部、PaaS产品部、SaaS产品部、云网管理产品部、安全产品部、测试部、信息系统支撑部、市场部、客户服务部、运营中心、各区域中心负责人

网络安全领域

1.《中移（苏州）软件技术有限公司网络安全管理办法》（苏研制〔2020〕69号）第五章 第三十二条“各部门应结合部门内部数据类型特点、业务运营需求等，明确数据分类分级策略，明确关键数据保护范围”；

2.《中移（苏州）软件技术有限公司数据安全管理实施细则》（苏研制〔2020〕51号）第四章 第十五条“严禁将数据在公司以外区域、网络以任何形式传播”；

3.《中移（苏州）软件技术有限公司移动云网络安全管理办法（试行）》（苏研〔2020〕77号）第七章 第四十五条 “对移动云中数据活动中的任何操作进行相应的记录并且对日志信息采取严格的保护措施，日志至少保存6个月，确保所有的数据操作可以被追溯和审查”。

1.通过建设DLP数据防泄漏系统进行防控；

2.各部门应当加强内部管理措施，防止研发信息、客户信息、账号信息等核心数据泄漏；

3.与合作方签订《网络安全承诺书》明确合作方数据使用权限和安全保护责任。

在相应系统中建立必要的安全管控和审计措施，防止非法提取数据信息并能及时发现和追溯；把经分系统纳入4A管控，对前端敏感数据进行脱敏展示。

数据持有者需适当保护数据资产，账号所有者需保管好账号信息，系统管理员需做好账号权限管控。

检查DLP系统日志、移动云日志、合作方网络安全承诺书。

网络安全领域

风险描述

由于风险点未能有效评估，导致应对措施不完善，引发相关安全问题。

风险点名称

网络安全风险评估（SY-WLAQ-A002）

具体场景

相关部门未有效评估风险，导致应对措施不完善，发生安全事件，业务受到较大影响；工程安全交付、产品安全交付受到较大影响；为谋取私利，导致发生资源滥用。

直接责任人：任务执行人员

责任领导：SRE部/安全部、技术部、计划建设部、市场部负责人

《中移（苏州）软件技术有限公司网络安全管理办法》（苏研制〔2020〕69号）第十一章 第八十一条 “网络安全归口管理部门负责编制风险评估计划，定期组织开展风险评估工作”。

1.SRE部/安全部牵头、各重点领域部门配合，每季度对公司级安全风险进行评估；

2.通过建设态势感知平台，对资源滥用的情况进行告警，不定期检查。

相应任务具体执行人员要有风险意识，明确风险评估要求，主动开展相关工作。

检查资源池安全评估报告。

运行维护领域

风险描述

在维护过程中，对合作方工作量需求及实际交付的工作质量评估不准确，或未对合作方违规操作行为进行管控，导致公司利益受损。

风险点名称

合作方管理（SY-YXWH-A001）

具体场景

在维护工作评估中，夸大部分事实，导致工作量需求评估虚高；隐瞒部分事实，导致工作质量评估虚高，或未对合作方违规操作行为进行管控惩罚。

直接责任人：使用人

责任领导：SRE部/安全部、各区域中心、客户服务部负责人

运行维护领域

《中移（苏州）软件技术有限公司代维管理办法》第五章第一节：日常需求管理，第六节：日常工作管理，第七节：验收与结算。

每个使用人为工作量和工作质量评估的直接责任人；事前，使用人应当对工作量和工作质量的需求情况进行评估，并通过部门需求评审会和部门领导的审核；事中和事后，使用人应当及时对工作量与工作质量的交付情况进行评估，对合作方违规行为进行检查，不得漏报、瞒报；评估结果经所在部门审核，形成部门决策或由部门领导确认。

需求提交时，要求使用人将部门评审会议纪要作为附加进行上传。每个月结束后，系统会自动推送的上月打分单，由合作伙伴侧接口人填写人员当月工作量，发送给使用人审核。

每个使用人为工作量和工作质量评估的直接责任人。

1.部门做好廉洁提醒；每年教育不低于1次，每年参加警示教育1次；

2.每季度结束后，在部门内部开展部门评审会，对每项工作量及质量评定结果进行抽检

运行维护领域

风险描述

在资源池维护中，故障未及时上报或瞒报、漏报，变更存在违规操作，造成客户满意度低。

风险点名称

维护管理（SY-YXWH-A002）

具体场景

有意瞒报、漏报或未及时上报故障，变更过程中违规操作，造成客户满意度低。

直接责任人：一线、二线、三线维护人员

责任领导：SRE部/安全部、各产品部、各区域中心、信息系统支撑部负责人

运行维护领域

《中移（苏州）软件技术有限公司移动云故障管理实施细则》第六章 第一节 故障发起；

《中移（苏州）软件技术有限公司移动云变更管理实施细则》第五章 第一节 变更发起；

《中移（苏州）软件技术有限公司移动云合作引入业务维护管理实施细则》第六章 维护考核。

1.检查故障工单及时性，是否存在不及时情况；

2.检查告警工单与生成的故障工单，是否存在故障的漏报瞒报；

3.检查变更过程中是否存在违规操作，比如：未按“一人操作一人审核”规定进行操作等；

4.变更目的、影响面信息是否清晰；

5.将厂商运维考核纳入合作产品合同条款模版，考核结算依据合同规范要求执行。

通过智能运维平台进行故障、变更工单的数据抽取，进行质检工作。

一线、二线、三线产品维护人员。及时上报故障；变更严格按照要求进行操作。

检查不及时故障工单，告警工单与关联生成的故障单信息是否匹配；检查违规操作变更工单;检查变更操作人员审核人员记录；检查关键字段的信息准确度；每半年至少开展1次自查，公司至少开展1次抽查。

人力资源领域

风险描述

隐瞒、歪曲、泄露考察情况，更改、伪造民主推荐、民主测评等结果，为特定人谋利。

风险点名称

不如实反映考察情况（SY-RL-A001）

具体场景

1.故意隐瞒、歪曲考察过程中了解的对特定人的负面情况，或歪曲、捏造对除特定人以外其他人员的负面情况，使得特定人在考察中获利。

2.私自篡改、伪造民主推荐、民主测评结果材料，导致结果与真实情况不符，影响决策结果。

3.在选择参加考察谈话的人员时存在明显倾向性，无合理理由排除应参加人员。

直接责任人：干部管理人员及组长

责任领导：队伍管理组分管领导

《中移（苏州）软件技术有限公司中层管理人员管理办法》（苏研制〔2020〕110号）第十六条、第十八条 ；《中移（苏州）软件技术有限公司干部监督工作实施细则》（苏研党委〔2016〕7号）第十八条、第十九条内容；《中移（苏州）软件技术有限公司中层管理人员任职回避和公务回避管理办法》（苏研党委[2017]29号）第十条；《中移（苏州）软件技术有限公司干部选拔任用工作责任追究办法》（苏研党委[2017]29号）第四条、第五条、第七条、第八条、第九条。

人力资源领域

1.加强干部选拔任用工作廉洁自律教育，明确纪律要求；

2.严格挑选考察组成员，成员应全为党员，对于涉及夫妻等三代以内亲属关系、同一部门等情况的，要严格执行回避机制；

3.双人确认参加考核谈话人员，一名考察组人员根据考察方案要求初步确认人选，一人复核，考察组长把关；

4.坚持双人统分记票，一人唱票，一人记录，考察组组长复核统计结果；坚持双人谈话，每名考察组成员应在自己记录纸上签字并标号谈话人员序号，考察组长对考察记录审核，检查考察组成员谈话记录内容的一致性；

5.坚持双人查看考察意见箱，意见箱检查结果双人签字确认；

6.考察组组长对考察报告审核把关，并签字确认；

7.考察材料应在考察结束15天内完成归档工作；

8.不断完善《选人用人工作手册》、《干部管理及干部监督相关制度汇编》，加强制度及流程规范性、指导性。

关键岗位：

考察组成员、干部管理、干部监督。考察组成员按照公务回避执行回避要求，考察组组长对考察材料的真实性负责，干部管理人员和干部监督人员对考察组反馈材料的规范性进行审核。

1.考察工作实施方案；2.考察材料（推荐表、谈话记录纸和考察报告等），是否按照要求开展双人记录或考察组长签字等；3.核查双人记录内容的一致性等；4.参加会议推荐和访谈人员情况等；5.每年检查1次。

技术研发领域

风险描述

在供应商评估环节（包括模块和工时类外协），对供应商的技术方案/面试人员的评价不合理，有意偏向某一供应或录用不合格人员或恶意提高人员等级等。

风险点名称

供应商评估不规范（SY-JSYF-A001）

具体场景

受人请托、接受宴请和财物或碍于私情，在评审环节中有意倾向于某一供应商。

直接责任人：评估人员

责任领导：技术部、各产品部、信息系统支撑部、测试部、创新中心负责人

《中移（苏州）软件技术有限公司研发外协管理办法》（苏研制〔2021〕9号）

1.通用工时类研发外协人员能力现场评审由需求部门外协管理员组织，完成评审专家抽取、简历推阅、确定评审地点及时间、组织专家评审打分等工作。评审团队须由3人及以上奇数人员组成（需求组可以指派1名需求方代表，其他评审专家随机抽取），评审团队应当场完成评审打分，评分结论超过一半为“建议不通过”的外协人员，应予以淘汰。

技术研发领域

2.功能类供应商应答评审：由需求部门外协管理员组织，完成评审专家抽取、应答情况推阅、组织专家评审等工作。评审团队由5名专家组成（需求组可以指派1名需求方代表，其他评审专家随机抽取），评审团队应当场完成评审打分，按评分规则确定候选供应商，原则上一个需求只有一个供应商中选。如需求框架中仅有1个合同，应答初评可省略。专家库由技术部牵头征集完成后嵌入外协管理系统中执行。

应答决策：评审结束后，由需求部门外协管理员汇总评审会议纪要，提交部门负责人审批。

3.项目任务需求的研发外协实施供应商评审，需求部门应组织召开应答评审会议，并进行应答决策。

应答评审：由需求部门外协管理员组织，完成评审专家抽取、应答情况推阅、组织专家评审等工作。评审团队由5名专家组成（需求组可以指派1名需求方代表，其他评审专家随机抽取），评审团队应当场完成评审打分，按评分规则确定候选供应商（项目任务需求的供应商团队负责人角色，应作为供应商应答评审内容一部分，按标准进行能力评估），一个研发项目只有一个供应商中选，后续任务订单由中选供应商承接。

应答决策：评审结束后，由需求部门外协管理员汇总评审会议纪要，提交部门负责人审批。

1.工时类外协人员由随机抽取的专家评审，部门领导审批；

2.功能类研发外协应答评审由专家评审、部门领导审批；

3.任务订单类外协应答评审由专家评审、部门领导审批。

1.专家随机抽取；2.评审结果部门领导审批。

面试评审专家、应答评审专家、部门领导。评审专家由系统随机抽取，工时类3人及以上评审、功能类5人及以上、任务订单类5人及以上评审。专家评审规避评审不合理或倾向性，部门领导根据专家评审结果进行审批，规避流程风险。

至少1年1次研发外协专项检查、专项通报。

技术研发领域

风险描述

对外协工作量确认及考核不严，导致确认工作量与实际不一致，或放松对合作单位的考核。

风险点名称

工作量及考核结果不真实（SY-JSYF-A002）

具体场景

受人请托、接受宴请和财物或碍于私情，倾向性进行考评。

直接责任人：工作量考核人员

责任领导：技术部、各产品部、信息系统支撑部、测试部、创新中心负责人

公司制度依据：《中移（苏州）软件技术有限公司研发外协管理办法》（苏研制〔2021〕9号）

1.通用工时类研发外协以自然月为周期，进行考核。每月由使用外协人员的需求组进行评估，并在系统中完成外协人员的工作量确认和月度考核打分，经需求组组长审核后，确定外协人员当月结算金额。需求部门外协管理员按季度汇总外协人员的工作量及考核结果，分合同、分供应商生成结算表格，提交部门负责人审批后，提交采购物流部与供应商签订结算单。

2.功能类研发外协以项目里程碑为节点，由供应商在外协管理系统中发起验收申请，使用部门外协管理员组织验收评审会议，确定当期工作量及服务质量考核打分，确定可结算金额，并出具验收会议纪要，并在外协管理系统中完成相应的考核评估流程，提交使用部门负责人审批。需求部门外协管理员按季度汇总当期功能类研发外协结算金额，提交采购物流部与供应商签订结算单。

技术研发领域

3.任务订单类研发外协以任务订单为单位，由供应商在外协管理系统中发起验收申请，使用部门外协管理员组织验收评审会议，确定任务订单工作量及服务质量考核打分，确定可结算金额，并出具验收会议纪要，并在外协管理系统中完成相应的考核评估流程，提交使用部门分管领导审批。需求部门外协管理员按季度汇总当期任务订单类研发外协结算金额，提交采购物流部与供应商签订结算单。

1.工时类研发外协：使用外协人员的项目经理应在系统中完成外协人员的工作量确认和月度考核打分，确定外协人员当月结算金额；需求部门外协管理员按季度汇总外协人员的工作量及考核结果，分合同、分供应商生成结算表格，提交部门负责人审批后，提交采购物流部与供应商签订结算单。

2.功能类研发外协需要明确里程碑，一般需要设定上线、初验、终验里程碑；功能类研发外协里程碑完成时组织里程碑验收，至少应有使用部门外协管理员、使用项目组长、使用部门负责人或分管部门领导参加。功能类研发外协项目的结项验收（最后一次验收），还应有技术部、测试部参加评审。验收评审完成后应出具验收会议纪要。

3.任务订单类研发外协验收，应严格按照任务订单需求规定的验收标准进行验收审核，其中，开发类任务订单（可测单元）应由测试部出具验收通过报告或甲方验收通过报告。

1.工时类外协由供应商按月报工、需求使用人按月评估工作量和绩效考核。需求部门外协管理员按季度汇总外协人员的工作量及考核结果，分合同、分供应商生成结算表格，提交部门负责人审批后，提交采购物流部与供应商签订结算单。

2.功能类研发外协里程碑完成由供应商在外协管理系统中发起验收申请，由使用部门外协管理员根据验收评审情况完成相应的考核评估流程，提交使用部门负责人审批。

3.任务订单类研发外协验收考核由供应商在外协管理系统中发起验收申请，由使用部门外协管理员根据验收评审情况完成相应的考核评估流程，提交使用部门负责人审批。

关键岗位：外协使用人、外协使用小组组长、部门领导。工时类外协人员由供应商报工、外协使用人进行工作审核及绩效评估、小组组长进行工作量复核确认，多方确认机制把关工作量及绩效考核。功能类外协里程碑验收、任务订单类验收考核由部门组织会议评审，部门领导验收审批决策，避免验收不严。

检查要求：至少1年1次研发外协专项检查，通报。

技术研发领域

风险描述

受人情请托或谋取私利，未经审批私自为他人开通或扩大代码库权限，造成代码、技术资料流失，造成公司损失。

风险点名称

代码权限控制（SY-XXAQ-A001）

具体场景

未经审批流程，私自为他人开通或扩大代码库权限，导致公司代码流失。

直接责任人：代码权限控制人（SCCB)

责任领导：技术部、创新中心、各产品部、测试部、SRE部\安全部负责人

制度依据：《中移（苏州）软件技术有限公司网络安全管理办法》（苏研制〔2020〕69号）“第五十八条 研发工具链运营部门负责代码库访问权限管理，按照权限最小化原则实行分权分域控制，各部门须根据本部门人员（含外协人员）流动情况向研发工具链运营部门即时提供访问账号变更信息。”

1．新人入职时，由各部门PMA或DCMA通过Jira申请代码库账号，由CMO分配账号密码；由各部门PMA或DCMA根据项目实际需要分配代码库权限，按最小权限分配。

2．自有人员离职时，在离职签单时由CMO删除代码库账号。工时类外协人员离场时由外协系统自动触发邮件通知代码库管理员，由代码库管理销号；任务订单类外协账号由外协管理系统自动触发账号注销，实现离场即注销。

系统控制：申请账号通过Jira执行申请流程；各权限分配由各代码库承载。

关键岗位：SCCB成员（软件配置控制委员会）

检查要求：检查新人账号是否通过Jira申请；检查代码库权限是否符合项目需要，每月PMA进行月度审计。

党风廉政办公室