目錄

CONTENTS

01

02

03

04

05

06

07

08

09

10

綜合管理領域

財務管理領域

采購物流領域

紀檢領域

計劃建設領域

市場管理領域

網絡安全領域

運行維護領域

人力資源領域

技術研發領域

綜合管理領域

風險描述

組織開展業務招待過程中存在未經事前審批、陪同人數及招待規格超標、招待場所違規等六類違反公司業務招待管理辦法的行為。

風險點名稱

違規開展業務招待 （SY-ZHGL-A001）

具體場景

1.未經過審批開展業務招待；或因緊急事由經請示同意后進行業務招待,事后未及時提交審批流程。

2.以業務招待的方式，開展公司內部相互走訪、送禮、宴請等活動；招待同一批次對象超過兩次。

3.陪同人員的數量超過公司規定、人均標準（含酒水、飲料等）等規格超過公司規定。

4.到風景名勝區進行業務招待，或者安排接待對象到高檔娛樂、健身、保健等經營場所活動。

5.向接待對象贈送不符合公司規定的現金、購物卡、消費卡、商業預付卡等各種有價證券、支付憑證、貴重物品等。

6.國家法定節假日期間及前后3個工作日內，招待發生部門未主動提前向同級主責部門備案并向同級紀委報告。

直接責任人：業務招待申請人員

責任領導：各部門、各中心負責人

綜合管理領域

1.《中共中國移動通信集團有限公司黨組關于貫徹落實中央八項規定精神、進一步深化作風建設有關規定》的通知》（中移黨組[2020]66號）

2.《中共中移（蘇州）軟件技術有限公司委員會關于貫徹落實中央八項規定精神 進一步深化作風建設實施細則（2020年版）》（移蘇研黨〔2020〕47號）

3.《中移（蘇州）軟件技術有限公司業務招待管理辦法》（蘇研制〔2020〕90號）

1.做好流程管控。建立業務招待電子審批流程，規范審批程序。加強對招待對象、招待方式、招待規格等信息的審核，做好事前防范。2.加強歸口管理。市場條線（市場部、四大區域中心）與非市場條線招待費分別由市場部和綜合部扎口管理。

通過OA系統-業務招待審批單進行業務招待的閉環管理。

業務招待申請人員；業務招待管理人員。

綜合部和市場部/客戶服務部定期（每季度）對業務招待事項明細清單進行抽查，對違反規定的行為進行處罰，做好事后管控。

財務管理領域

風險描述

銀行賬戶開立/變更沒有經過必要審批程序，存在個人舞弊風險。

風險點名稱

賬戶開立/變更未經審批（SY-CW-A001）

具體場景

某銀行承諾某經辦人員或管理人員在其網點開戶或變更賬戶屬性即給予一定好處費，因此未經過公司必要審批流程，辦理單位賬戶開立/變更手續。

直接責任人：資金會計

責任領導：財務部領導

《中移（蘇州）軟件技術有限公司資金管理辦法》第二十七條“新增、變更、撤銷銀行賬戶，應上報公司領導審批同意后方可辦理相關手續。在新增、變更、撤銷銀行賬戶時，財務部應提供資金安全、銀行提供服務、資金利率等支撐材料，從風險、效益、服務等維度進行綜合比較。”

公司需要變更及撤銷賬戶時，應上報公司領導審批同意后方可辦理相關手續。

資金管理崗、財務部領導。

查看賬戶開立、變更、撤銷等批準文件。

風險描述

未經總部審批，與超出總部規定合作銀行范圍外的其他銀行開設存款賬戶或存放存款。

風險點名稱

超出合作銀行范圍開立賬戶（SY-CW-A002）

具體場景

合作范圍外的銀行工作人員承諾本單位相關人員開展合作即給予一定好處費，因此未經總部審批，超范圍開設存款賬戶或存放存款謀取私利。

直接責任人：資金會計

責任領導：財務部領導

《中移（蘇州）軟件技術有限公司資金管理辦法》第二十三條“如需在指定商業銀行（含核心一級合作銀行、主要合作銀行及總部規定的省級城市商業銀行）范圍外開設銀行存款賬戶，應報總部審批。” 執行要求：

資金管理崗、財務部領導

財務管理領域

風險描述

1.財務部受人情請托或謀取私利，在資產或工程物資盤點時，主觀惡意瞞報資產或工程物資的盤虧、盤盈情況或主觀惡意幫助業務部門篡改賬目，造成公司經濟損失。

2.移動云固定資產維護部門人員未按規定執行資產管理工作，主觀惡性造成固定資產丟失或違規占用部分固定資產，公物私用，引發廉潔風險。

風險點名稱

瞞報資產盤盈、盤虧情況,違規占用移動云資產（SY-CW-A003）

具體場景

1.某次資產盤點監督中發現某部門存在資產盤虧，為謀取私利或受人請托，主觀惡意不及時通報情況或篡改賬目；或者發現資產盤盈，主觀惡意不及時上報或者篡改賬目，造成業務人員私吞盤盈資產。

2.移動云資產維護部門資產管理人員與外部人員勾結，違規占用固定資產，造成存置在外移動云固定資產毀損或丟失。

直接責任人：資產會計、資產管理人員

責任領導：各部門領導

財務管理領域

中移（蘇州）軟件技術有限公司固定資產財務管理辦法（蘇研制〔2020〕130號）第十章：“固定資產盤點由財務部總牽頭，各實物管理部門牽頭組織本專業固定資產盤點，實物使用部門執行盤點工作；盤點結束后，盤點人及監盤人應編寫盤點表，記錄盤點結果，并在盤點表上簽字確認，資產使用部門應將經實物管理部門審核確認的盤點表送交財務部，并將對應盤點報告報送實物管理部門和財務部。”

中移（蘇州）軟件技術有限公司移動云資產管理指引(試行)（蘇研財〔2020〕1號）第七條：“SRE部/安全部或各區域中心是移動云資產的維護部門，（具體維護部門由SRE部/安全部根據第八條相關原則指定），負責具體落實使用資產的實物管理和維護工作。主要職責如下：（一）跟蹤和更新固定資產存放地點和管理責任人并督促資產管理責任人落實工作職責；（二）負責資產維護工作，包括負責相關維護預算申請及使用，簽訂對應資產委托代管合同；（三）負責向實物管理部門提出與本部門有關的資產轉移、報廢、減值、盤虧、毀損、零購等各項申請；（四）負責落實上述申請批準后的資產處置工作；（五）負責根據資產使用情況及權限，及時更新資產管理系統中固定資產記錄的相關內容，確保固定資產卡片、清冊信息與資產實際狀況相符； （六）負責執行本部門的資產盤點工作。”

每年，財務部門會同固定資產實物管理部門和固定資產使用部門對固定資產進行全面清查盤點。盤點人員在實地盤點過程中，逐項盤點固定資產，將固定資產實物及數量與固定資產的賬面記錄進行核對，并登記更新資產實際地點信息。盤點結束后，財務部指定的盤點負責人和固定資產實物管理部門指定的盤點負責人共同對盤點結果進行抽樣檢查并在資產盤點清冊上簽字確認（或在固定資產管理系統對盤點工單進行確認），以確保盤點工作的有效性。（控制點編號：SY11F.2.6、SY11F.2.7）

資產會計、資產管理人員。

檢查固定資產盤點報告。

采購物流領域

風險描述

1.需求不準確導致采購結果失效或合同執行與初始規模不一致，可能違規，采購決策未能得到有效執行；

2.所采購物資的投入/產出經濟效果未經分析，造成公司經濟損失；

3.出現緊急缺貨的情況影響公司生產運營；

4.可能接受供應商的請托，出現傾向性，發生違規排斥、限制潛在投標人等違法行為，存在自由裁量權，易產生暗箱操作，可能產生腐敗，導致投訴與合法合規風險；

5.引起合同糾紛；

6.違規使用單一來源采購，導致采購結果具有傾向性。

7.可能產生違規采購集采產品情況

8. 未按照規定要求提交采購申請、采購申請未經審批

風險點名稱

采購需求管理（SY-CG-A001）

具體場景

需求歸口部門、需求部門風險行為：

1.采購需求管理不規范：

（1）需求歸口部門總體設計不合理，對需求技術標準、采購規模等內容審核不到位，存在主觀故意的廉潔風險行為；

（2）拆分需求、化整為零，降低審批層級或規避招標或規避采購尋源流程；

（3）采購需求實質性內容（如預算金額、規模、技術規范等）變化或取消的，未按照原決策流程和層級重新決策；

（4）設計方案受供應商影響存在傾向性。

（5）未按照規定要求提交采購申請、采購申請未經審批

2.采購需求不合理：

（1）對供應商資質要求或技術指標、評分標準具有傾向性；

（2）與主觀分設置上限標準偏離較大，且無正當理由；

采購物流領域

（3）單一來源理由不充分或虛假捏造單一來源采購理由。

（4）對于需要進行產品測試的，產品測試方式及測試方案不明確或不合理；

（5）設備性能冗余要求過高，設備或選配件超過實際配置需求、服務工作量超過實際需求。

采購部門風險行為：?

1.采購人員對需求規范性、完整性審核不到位：

（1）單一來源理由不充分；

（2）與主觀分設置上限標準偏離較大，且無正當理由；

（3）對于需要進行產品測試的，產品測試方式及測試方案不明確；

（4）非標產品未按照要求履行報批和報備手續。

直接責任人：需求發起人/采購管理崗

責任領導：各部門、各中心負責人

1.《中移（蘇州）軟件技術有限公司采購需求實施細則》（蘇研制〔2020〕145號）全文

2.《中移（蘇州）軟件技術有限公司采購實施管理辦法》（蘇研制〔2020〕128號），中第十一條、第四十八條

3.《中移（蘇州）軟件技術有限公司工會類采購實施細則》（蘇研制〔2021〕6號），中第七條

4.《中移.蘇州）軟件技術有限公司招標實施辦法》（蘇研制〔2019〕21號），中第五條~第九條

中規定了采購需求的管理要求和規范。

采購物流領域

1.需求部門根據采購需求項目情況選擇申請相應的采購需求資金來源審批手續；

2.采購需求發起人編寫采購需求說明書、技術規范書、技術打分表等采購需求文件；

3.需求部門邀請專家完成采購需求文件評審；

4.根據不同審批權限提交采購需求決策；

5.需求部門通過供應鏈系統向采購部門提出采購申請，經過相應層級的負責人審批；

6.采購部門發布采購標準化范本；

7. 采購部門對需求的規范性、完整性進行嚴格把關，核實是否存在排斥性、主觀分設置不符合要求、單一來源理由不充分等情況；

8.對于增改標準配置部分，在提交訂單時須將設計或審批文件或會審文件作為依據;

9..建立非標需求特殊審批流程，對自采非標產品行為進行嚴格把控。

1.固化需求評審審批環節；

2.需求部門從供應鏈系統提交采購申請，未在供應鏈系統提交的采購申請采購部門不進行采購。

采購需求發起人、采購需求評審人員、采購申請提交人、采購申請審核人、采購項目經理。采購申請提交人和審核人職責分離

1.檢查是否建立需求歸口管理機制；

2.檢查系統是否固化需評審審批環節；

3.檢查是否編制了相關范本文件；

4.檢查同一年度或同一時期內具有相同采購內容的項目；

5.檢查采購需求資料是否完整，是否落實資金來源，是否按照審批權限進行需求決策；

6.檢查采購申請審批流程，是否所有的采購均經過審批；

7.每年至少開展1次自查，公司至少開展1次抽查。

采購物流領域

風險描述

1.可能接受供應商的請托，出現傾向性，易產生暗箱操作，可能產生腐敗，導致質疑、投訴與合法合規風險；

2.違反國家法律法規，受到監管部門的處罰；

3.方案編制環節對執行過程管控考慮不到位，產生尋租空間；

4.采購過程出現特殊情況無處理依據，影響采購效率；

風險點名稱

采購方案編制（SY-CG-A002）

具體場景

1.采購方案關鍵信息與采購需求不一致：如預算金額、采購標的、數量型號等；

2.采購方式選擇不合規：該招標不招標，該公開不公開、采用邀請方式理由不充分、單一來源采購不符合相關規定；

3.標包劃分不合理：劃分為多個標包原則不明確、理由不充分；

4.潛在供應商資格條件設置不合理：資格審查標準不明確和不具體，缺乏可操作性，存在傾向性；

5.評審標準、方法設置不合理：評分指標不具體、不量化，主觀分占比偏大，設定的技術、商務指標與項目的具體特點和實際需要不相適應或者與合同履行無關；復雜產品的商務價格計算模型設置不合理（不平衡報價）；主要商務條款不明確；

6.選定供應商的方法不明確，中標數量及份額劃分不具體；中標數量及份額劃分不具體不明確；

7.通信工程建設類項目工程或服務類集中招標未明確具體的實施地域；

8.評審委員會/談判小組組成原則不合法合規；

9.采購組織方式不合理，未按照有關要求使用采購代理機構；

10.特殊情況（如供應商限制要求、新廠商引入、供應商代理的使用、采購失敗等）的處理辦法不明確，或處理方法不合規，排斥、限制潛在供應商；

11.采購方案存在其他排斥、限制性條款；

12.對于需要進行產品測試的，產品測試方式（標前標后）不合理，測試方案不明確；

13.越級采購應集采的產品。

采購物流領域

直接責任人：采購管理崗

責任領導：采購物流部負責人

1.《中移（蘇州）軟件技術有限公司采購實施管理辦法》（蘇研制〔2020〕128號），中第十二條、第三十三~第三十七條、第三十八~第四十九條

2.《中移（蘇州）軟件技術有限公司工會類采購實施細則》（蘇研制〔2021〕6號），中第八條、第十四條~第十九條

3.《中移.蘇州）軟件技術有限公司招標實施辦法》（蘇研制〔2019〕21號），中第五條~第九條、第十條~第四十四條

中規定了采購方案編制的相關要求。

1.依據采購需求和相關法律法規及管理制度，編制采購方案；

2.編制并發布采購方案標準化模板，實施標準化管理；

3.推動規則標準化，建立各項評審規則；

4.非采購方案編寫人員復核采購方案，進行采購方案審批；

5.建立案例分享機制，定期進行PDCA，提高采購專業水平。

1.使用信息系統固化采購方案模板的關鍵內容。

采購項目經理。采購方案編制人與采購需求提交人職責分離。

1.檢查是否建立采購方案復核機制；

2.檢查是否建立采購方案模板及實際執行情況；

3.檢查采購方案相關內容是否完整、合規；

4.每年至少開展1次自查，公司至少開展1次抽查。

物流管理領域

風險描述

1.易受到供應商質疑、投訴，產生合法合規風險；

2.易產生暗箱操作，接受供應商的請托，可能產生腐敗風險。

風險點名稱

采購測試管理（SY-CG-A003）

具體場景

1.測試規范/方案存在測試不合理的測試內容；

2.測試現場管理與結果記錄不規范，缺乏監督；

3.測試執行過程中，沒有嚴格遵守管理規定，導致測試結果有偏差；

4.測試異議受理流程未明確。

直接責任人：需求發起人、測試組織人

責任領導：各產品部、計劃建設部、SRE部/安全部、測試部、采購物流部負責人

采購物流領域

1.《中移（蘇州）軟件技術有限公司采購測試實施細則》（蘇研制〔2020〕132號））中規定了測試管理要求。

1.測試需求應在需求階段提出；

2.需求部門編制測試方案，并經過測試部等相關部門評審；

3.測試部按照測試方案組建測試小組，測試小組成員應從公司自有或專業機構中選取，應不少于3人單數；

4.測試小組成員按照測試方案進行測試，并出具測試結果報告。

供應鏈系統實現測試委托，測試報告反饋。

需求發起人、測試小組成員。測試小組成員不能是評審委員會成員。

1.檢查測試方案及測試報告，是否按照測試方案進行測試，測試報告所有人員是否簽字；

2.每年至少開展1次自查，公司至少開展1次抽查。

采購物流領域

風險描述

1.可能導致評標/評審委員會人員受供應商影響，進行傾向性評審；

2.可能導致暗箱操作，產生腐敗風險，擾亂采購活動的正常秩序；

3.造成不公平競爭，影響采購結果,難以選到合適的供應商。嚴重影響招標的公平、公正，導致不符合條件的供應商中標/中選；

4.違反國家法律法規，受到監管部門的處罰；

5.采購失敗,并導致舉報、投訴。

風險點名稱

評標/評審過程管理（SY-CG-A004）

具體場景

評審專家風險行為：

1.資格審查不合規，該否決未否決、否決理由不充分不合理；

2.未嚴格按照采購文件公布的評審標準進行評審，現場修改評審規則，影響評審結果；

3.評審專家在評審過程中違背獨立打分原則，存在誘導、影響其他評審專家的行為；或接受他人暗示、提出的傾向性意見或抄襲其他評審專家的評審結果；

4.對發現的圍標、串標行為的未進行評審認定；

5.暗示或者誘導投標人做出澄清、說明，或者接受投標人主動提出的澄清；

6.未按規定上交所有電子設備或通訊工具，或私藏手機等通訊工具；

7.擅自將評審會議資料帶離現場；

8.無特殊原因且未經同意，評審期間（評標/評審報告簽署前）擅自離開評審現場；

9.無正當理由，中途退出評審活動；

10.在評標過程中私下接觸投標人；

11.泄露應當保密的評審過程信息。

采購物流領域

采購部門風險行為：

1.出現專家缺席或需要回避的情形，未按照原抽取方案進行補充抽取；

2.對應答文件進行主觀摘錄，存在誘導、影響評審人員的行為；

3.評審現場未收取評委的手機、個人電腦等通信工具；擅自將手機、個人電腦等通信工具交還評委；

4.評審紀律組織不嚴格，未對以下情況進行制止或管控：

（1）擅自將評審會議資料帶離現場；

（2）長時間離開評審現場，多位評委同一時間不在評審現場等違反評審紀律的情況；

（3）無關人員隨意進入評標室；

?(4) 評審委員會成員在評標過程中私下接觸投標人；

5.泄露應當保密的評審過程信息。

直接責任人：采購管理崗、評審專家

責任領導：采購物流部負責人

1.《中移（蘇州）軟件技術有限公司采購實施管理辦法》（蘇研制〔2020〕128號），中第三十八~第四十九條

2.《中移（蘇州）軟件技術有限公司工會類采購實施細則》（蘇研制〔2021〕6號），第十四條~第十九條

3.《中移.蘇州）軟件技術有限公司招標實施辦法》（蘇研制〔2019〕21號），第十條~第四十四條、第六十一條~第八十條

4. 中移（蘇州）軟件技術有限公司采購評審專家及采購評審專家庫管理辦法》（蘇研制〔2020〕46號），中第十五條~第二十條

中規定了評標/評審過程管理要求。

采購物流領域

1.評標/評審委員會進行現場簽到；

2.評標/評審委員會簽署評審紀律、特定關系人與特定事項申報書；

3.評標/評審委員會根據招標/采購文件制定的評標/評分規則進行獨立評審；

4. 定期組織本單位的采購專家進行招標法律法規和采購管理制度的培訓；

5.評標/評審結束后評標/評審委員會出具評標/評審報告，全部評委對評標報告簽字確認；

6.建立評標監控系統，對評審過程錄音錄像，規范現場管理，收取電子設備，定期對評標/評審現場管理情況進行監督；外部評審項目錄音錄像應保存完整，評審結束后在規定期限內向采購人員移交。

1.通過信息系統固化《采購評審工作紀律》、《特定關系人與特定事項申報書》，實現評委在評審開始前對評審相關要求進行確認；

2.通過信息系統進行圍標串標分析功能；

3.通過信息系統對評委在評審過程中的表現進行履職評議。

評審委員會成員。評審委員會成員與潛在供應商無利益關系。

1.檢查錄音錄像記錄，查看評審現場是否存在違規行為；

2.檢查評分表和評審報告是否符合管理要求；

3.檢查評審過程中澄清是否符合法律法規和公司管理要求；

4.檢查評審報告是否經所有評審人員簽字，評審人員是否簽署評審紀律及特定關系人與特定事項申報書；

5.每年至少開展1次自查，公司至少開展1次抽查。

采購物流領域

風險描述

1.發生合同糾紛，合同難以執行或履行無效合同，公司利益受損；

2.違反國家法律法規，受到監管部門的處罰；

3.內外勾結，發生腐敗風險；

4.發生法律糾紛。

風險點名稱

合同編制及簽訂（SY-CG-A005）

具體場景

1.采購合同未嚴格按照采購結果或集團公司下發結果簽署，合同內容與采購文件及采購應答文件的實質性內容不一致；

2.合同簽署不及時，招標項目未在發出中標通知書之日起規定時間內簽署；

3.合同內容不完整和不規范，包括關鍵內容缺失、簽字及用印不規范、缺少授權委托書等；

4.紙質合同與電子審批合同不一致；

5.合同審批不規范，包括未經規定的流程審批、未經審批變更合同內容等；

6.合同未完成雙方簽署即開始履行，僅以電子審批通過視為合同已簽署完成，造成履約風險；

7.未按規定流程補簽合同、續簽合同、合同金額、合同有效期（合同已約定自動延期等情況除外）等。

直接責任人：采購管理崗

責任領導：采購物流部負責人

采購物流領域

1.《中移（蘇州）軟件技術有限公司采購實施管理辦法》（蘇研制〔2020〕128號），中第十六條

2.《中移.蘇州）軟件技術有限公司招標實施辦法》（蘇研制〔2019〕21號），中第七十七條

3. 《中移（蘇州）軟件技術有限公司合同管理辦法》（蘇研制〔2020〕56號），中第十七條~第五十條

中規定了合同編制及簽訂要求。

1.采購經理根據招標/采購文件、采購結果確認文件編制合同，提交審批；

2.采購經理在合同管理系統提交合同審批，審批完成后在法務管理處用印完成合同簽訂。

在合同管理系統中提交合同審批，需經需求部門、財務部門、法務部門會簽，根據不同審批權限提交領導審批。

合同擬定人、法務人員。合同擬定人、合同執行人、法務人員、合同審批人職責分離。

1.檢查合同審批及合同變更、續簽、補簽是否符合要求；

2.檢查合同內容與采購結果的一致性；

3.檢查合同簽署是否及時；

4.每年至少開展1次自查，公司至少開展1次抽查。

采購物流領域

風險描述

1.對負面行為處理明顯滯后，影響后續合同執行及采購公平性，造成公司利益受損；

2.對負面行為的處理不合規，導致處理錯誤或存在傾向性；

3.易產生暗箱操作，接受供應商的請托，可能產生腐敗風險。

風險點名稱

負面行為供應商處理（SY-CG-A006）

具體場景

1.未按照既定審批、決策流程和規則處理負面行為供應商，負面行為處理程度不一致，或該處理不處理；

2.負面行為處理結果應公示的未進行公示；

3.未按照已審批生效的處理結果進行落實。

直接責任人：供應商管理崗

責任領導：采購物流部負責人

采購物流領域

1.《《中移（蘇州）軟件技術有限公司供應商負面行為管理辦法》（蘇研制〔2021〕1號）規定了負面行為的認定及分類、供應商責任追究。

1.建立、完善供應商負面行為管理制度，明確負面行為定義及管理要求，規范處理流程；

2.將負面行為供應商處理規則納入采購文件，確保后續處理有據可依；

3.對供應商負面行為處理依規公示；

4.負面行為處理及審批流程通過系統固化；納入禁止合作名單的供應商通過系統校驗，并限制其處罰期間在禁止合作品類的采購項目再次中選。

1.系統固化負面行為處理流程，由系統進行負面給行為材料提交和結果錄入，固化審批決策流程，并通過SCM系統將結果在ES進行公示；

2.納入禁止合作名單的供應商通過系統校驗，并限制其處罰期間在禁止合作品類的采購項目再次中選。

供應商負面行為材料審核人員。

1.檢查供應商負面行為檔案；

2.檢查與供應商溝通、約談等內容；

3.每年至少開展1次自查，公司至少開展1次抽查。

紀檢領域

風險描述

受人請托、接受宴請和財物或礙于私情，人為主觀或帶有傾向性地對問題線索案件提出處置意見或定性，隱瞞真實案情包庇被反映人或故意夸大案情打擊報復被反映人。

風險點名稱

問題線索處置不當（SY-JJJC-A001）

具體場景

隱瞞真實案情包庇被反映人或故意夸大案情打擊報復被反映人。

直接責任人：問題線索處置人員

責任領導：紀委辦公室領導

紀檢領域

制度依據：

1.《中移（蘇州）軟件技術有限公司信訪舉報及問題線索管理實施細則》（蘇研制〔2020〕136號）第三十一條 嚴格執行回避制度。信訪舉報承辦人員是信訪人、被舉報人或其近親屬、主要證人、利害關系人，或者存在其他可能影響公正履行職務情形的，不得參與相關信訪舉報及問題線索管理工作，應當主動申請回避，信訪人、被舉報人及其他有關人員也有權要求其回避；

2.《中移（蘇州）軟件技術有限公司監督執紀工作操作手冊》（蘇研紀委〔2020〕16號）二、線索處置 案件監督管理崗人員收到信訪后，在3個工作日內將信訪情況報紀委辦公室負責人。紀委辦公室負責人5個工作日內組織召開線索分析會議，經集體研判后形成擬辦意見，并填寫信訪擬辦單，依據干部管理權限報批（指對被反映人為黨委管理干部依次報紀委書記、黨委書記審批，被反映人為普通黨員報紀委書記審批）后形成處置意見。

執行要求：

1.嚴格遵守問題線索處置程序，核查方案及結論經核查組集體討論、核查報告由全部核查組成員簽名；

2.組成2人以上審查組開展線索初核工作；

3.問題線索處置人員提出處置意見和方案，報紀委辦公室負責人、紀委書記審批，若為黨委管理的干部，還需報黨委書記審批；

4.簽署保密承諾書。

系統控制：紀檢監察系統

關鍵崗位：問題線索處置人員

檢查要求：檢查問題線索處置是否符合流程。每年至少開展1次自查，公司至少開展1次抽查。

計劃建設領域

風險描述

在可研報告或項目建議書編制過程中，有可能受合作方影響，存在技術傾向性，審核時放松要求，未能充分論證合理性與經濟性，造成項目建設和維護成本增加，影響項目投資效益，存在廉潔風險。

風險點名稱

可研報告/項目建議書編制存在傾向性（SY-JHJS-A001）

具體場景

在可研編制過程中，提高建設標準，建設方案中嵌入特定技術、投資估算等內容，為潛在供應商謀取利益。如：

1.建設標準：違反集團公司相關建設標準，提高裝修標準、提高設備檔次，為潛在供應商謀取利益；

2.建設方案：建設方案中，為潛在供應商量身定制設施設備技術條件，為潛在供應商謀取利益；

3.投資估算：在投資估算編制中，刻意提高投資估算，為潛在供應商謀取利益。

直接責任人：計劃崗

責任領導：計劃建設部負責人

計劃建設領域

《中移（蘇州）軟件技術有限公司固定資產投資管理辦法》（蘇研制〔2020〕95號）

1.可行性研究報告或者項目建議書須召開評審會進行評審，通過后方可進入后續環節。評審人員包括需求部門、維護部門、財務部門、計劃部門等。

2.可行性研究報告或者項目建議書評審通過后，須按照相關規定，通過公司領導專題辦公會、總經理辦公會等形式，進行分級決策。

在計劃建設系統、公文等辦公信息化系統中下發可研/項目建議書會審紀要。

計劃崗。

檢查可研報告或項目建議書是否經過評審；每年至少開展1次自查，公司至少開展1次抽查。

計劃建設領域

風險描述

在項目設計編制過程中，有可能受合作方影響，有意提高或降低設計審查標準，影響項目造價或者工程質量，存在廉潔風險。

風險點名稱

未嚴格執行項目設計審查標準（SY-JHJS-A002）

具體場景

1.設計方案對設備、服務供應商資質要求或技術指標具有傾向性，指定使用特定供應商的設備、材料，夸大工程建設量，造成公司利益受損。

2.受特定供應商驅使，放松設計審查管理，在施工圖設計等編制過程中偏離實際，造成公司利益受損。

直接責任人：項目建設管理崗

責任領導：計劃建設部負責人

計劃建設領域

1.《中移（蘇州）軟件技術有限公司通信工程建設管理辦法》（蘇研制〔2018〕127號）

2.《中移（蘇州）軟件技術有限公司通信工程項目勘察設計管理辦法》（蘇研制〔2018〕126號）

3.《中移（蘇州）軟件技術有限公司土建項目設計管理實施細則》（蘇研制〔2019〕63號）

1.設計單位應依據設計規范要求，在立項批復的金額及規模內編制設計文件。設計文件須由專家評審小組進行會議評審或者進行文件會簽，通過后方可進行設計批復。評審或會簽單位包括需求部門、建設部門、維護部門等相關單位。

2.將設計質量納入設計單位考核，嚴格依據設計合同約定對設計單位進行考核管理。

在計劃建設系統中提交設計會審，設計文件經建設、維護等相關部門會簽。

項目建設管理崗。

檢查設計文件是否嚴格按照設計管理流程進行評審；每年至少開展1次自查，公司至少開展1次抽查。

計劃建設領域

風險描述

設計變更管理不規范，可能受合作方影響，辦理不合理變更，導致工程不符合要求，存在廉潔風險。

風險點名稱

項目設計變更管理不規范（SY-JHJS-A003）

具體場景

1.建設過程中偏離原設計或建設方案，供應商不能回歸原設計，通過賄賂相關人員進行項目變更。

2.擅自調整屋面防水、地下室基礎等施工工藝及材料，將合理方案改為不合理方案，降低施工難度或增加施工費用，進行不合理的設計變更。

3.供應商通過賄賂相關人員，調整設計編制的工程量等因素，調增設計預算滿足其不當利益。

4.為逃避設計變更管理，將應實施設計變更的工程建設變更部分，刻意進行拆分。

直接責任人：項目建設管理崗

責任領導：計劃建設部負責人

綜合管理領域

1.《中移（蘇州）軟件技術有限公司通信工程項目勘察設計管理辦法》（蘇研制〔2018〕126號）

2.《中移（蘇州）軟件技術有限公司土建工程設計變更實施細則》（蘇研制〔2020〕114號）

1.加強工程造價控制，當出現下列情況之一時，建設單位必須提出設計變更申請，由原設計批復單位進行設計變更批復。

（1）工程實施中的技術方案、工程規模、施工圖紙等與原設計相比有重大變更。

（2）實施中的預計總投資超過原設計批復投資，但未超過原立項批復投資。

（3）竣工驗收前須完成設計變更審批程序。

2.明確項目設計變更流程。工程實施階段，工程管理部門負責組織召開工程協調會，研究項目變更需求，形成項目變更會議紀要，項目設計變更審批層級同原批復。

3.針對土建項目，編制《設計變更審核意見會簽表》，經過設計、監理等單位審核并簽署意見后，建設部門根據分級審批流程，完成《設計變更審核意見會簽表》。

項目建設管理崗。

檢查設計變更申請或審核意見會簽表，是否按照規定的權限進行審批；每年至少開展1次自查，公司至少開展1次抽查。

計劃建設領域

風險描述

采購文件編制存在傾向性，可能剔除潛在供應商造成競爭不充分而提高采購成本，影響項目投資效益，存在廉潔風險。

風險點名稱

采購文件編制存在傾向性（SY-JHJS-A004）

具體場景

收受供應商好處后，在編制采購清單時虛增設備數量、在技術規范書中降低技術標準、在技術評分表中傾向某供應商，導致采買的設備或服務質量不達標，造成公司利益損失。

直接責任人：計劃崗、項目建設管理崗

責任領導：計劃建設部負責人

《中移（蘇州）軟件技術有限公司采購實施管理辦法》（蘇研制〔2020〕128號）

1. 根據實際需求編制采購文件（設備及服務采購清單、技術規范書、技術評分表等），并組織需求評審，提交采購申請并經過審批。

2. 采購的設備品牌應與招標文件保持一致。

在供應鏈系統中提交采購申請，并經審批。

計劃崗、項目建設管理崗。

檢查采購文件是否經過評審、審批；每年至少開展1次自查，公司至少開展1次抽查。

計劃建設領域

風險描述

在合作單位管理方面，有可能受供應商影響，在資質審核、考核評估等環節存在管理缺失，造成合作單位存在轉包、違法分包、掛靠或人員資質不足等問題，并使得不合格供應商長期承包我公司工程項目，影響工程建設質量和公司合法權益，存在廉潔風險。

風險點名稱

合作單位管理不規范（SY-JHJS-A005）

具體場景

收受合作方包括但不限于施工單位、監理單位、設計單位、集成單位等的禮金禮券、宴請、禮品，對服務工作量弄虛造假、對服務后評估進行不實評定、作出有利于合作方的不符合實際的傾向性評價。

直接責任人：項目建設管理崗、供應商管理崗

責任領導：計劃建設部、采購物流部負責人

計劃建設領域

公司制度依據：

《中移（蘇州）軟件技術有限公司供應商管理辦法》（蘇研制〔2021〕10號）

執行要求：

1.須加強合作單位和人員資質審核，杜絕無資質或越級承包，嚴禁轉包和違法分包行為。

2.建立合作單位違約責任告知機制，并嵌入到工程建設管理基本流程中。在工程建設項目設計委托或開工啟動會上，建設單位就合作單位違約責任，向合作單位項目負責人進行書面告知并雙方簽字存檔。

3.嚴格履行合同，對于因合作單位原因導致的設備到貨延期、調測進度滯后等違約情況，嚴格按照合同條款進行處罰，保證公司合法權益，有效提高合同約束力。

4.制訂客觀明確的合作單位后評估評分標準，提高區分度，后評估結果要作為合作單位引入的重要參考依據，實現優勝劣汰。

系統控制：

在供應鏈系統對合作方進行履約評價，提交至采購物流部審核。

關鍵崗位：

項目建設管理崗、供應商管理崗。

檢查要求：

檢查是否簽訂違約責任告知書；每年至少開展1次自查，公司至少開展1次抽查。

市場管理領域

風險描述

為謀取私利，未進行充分的市場調研和成本核算，導致定價偏離市場價格合理范圍，損害公司利益。產品定價的崗位員工擁有較大的自由裁量權。

風險點名稱

產品定價不合理（SY-SC-A001）

具體場景

1.為謀取私利，未進行充分的成本核算，導致成本測算不準確，損害公司利益。

2.為謀取私利，某產品成本5000元/節點，實際定價2000元/節點，定價偏離成本較大，損害公司利益。

3.為謀取私利，合作產品給合作伙伴結算10元/節點，實際定價8元/節點，損害公司利益。開放云市場產品結算基準價明顯高于市場價，存在利益輸送風險。

直接責任人：產品管理崗

責任領導：市場部負責人

《中移（蘇州）軟件技術有限公司產品定價管理辦法》（蘇研制〔2020〕88號）第五章、第六章

一、運營類產品（含自有產品、合營產品、合作引入產品）、交付類產品

1.需求發起：新產品上架發布后，由運營中心發起運營類產品的新定價和定價更新，由產品部門發起交付類產品的新定價或定價更新；在市場推廣過程中，市場部根據客戶反饋、競爭對手政策變化對原有價格進行周期性更新，及時調整不符合市場情況的產品定價。

市場管理領域

2.成本測算：市場部接收到定價申請后，原則上在2個工作日內按照財務部制定的《產品成本測算指引》，牽頭啟動成本測算工作，在公司移動云產品成本測算系統中發起成本測算流程。原則上各產品部、SRE部應在10個工作日內在成本測算系統中完成涉及成本測算，市場部協助財務部核定產品各規格成本，所有成本數據在信息系統中留痕，保證數據的準確性。內外部合作引入類產品成本測算需綜合軟硬件等資源的投入和需要向合作伙伴分成。

3.方案制定：市場部綜合研究運營中心、產品部提交的產品功能、性能，競爭對手情況，撰寫定價材料，擬訂定價方案。

4.方案決策：采用集體決策、領導審批相結合的方式杜絕產品定價不合理的風險。公司分管副總經理主持召開定價專題辦公會，對新產品定價方案進行審核；市場部組織定價優化評審會對方案審議通過后，通過簽報提交公司分管副總審批。

二、開放云市場產品定價

1、運營中心初審結算基準價、分成比例；2、市場部召開資費評審會；3、領導簽報決策。防控舉措：要求供應商報名時提供同水平報價證明材料、明確產品形態，運營中心負責審核。運營中心在運營中，發現合作伙伴報價不一致、或偏高等問題立即糾偏。

定價評審會均有會議紀要，并通過簽報提交公司分管副總審批。后期通過移動云業務系統產品定價模塊和合作產品管理模塊承載。

市場部產品定價管理崗、運營中心PO、產品部成本測算接口人和產品經理，財務部、采購物流部、計劃建設部、SRE部/安全部參與提供成本數據的接口人

產品成本統計表、移動云資費表、開放云市場產品價格表、結算基準價及分成比例表

市場管理領域

風險描述

資費數據處理涉及人員在配置上具有一定自由裁量權，導致上線的資費與決策不符，可能導致國有資產流失、客戶投訴等不良影響。

風險點名稱

資費數據配置不準確（SY-SC-A006）

具體場景

某產品決策定價為10元/月，在資費上線中，錯誤配置為1元/月。

直接責任人：資費管理、產品管理及系統配置等相關崗位人員

責任領導：市場部、運營中心、信息系統支撐部、各產品部負責人

產品資費配置上線流程

新資費開發，1.提出業務需求；2.需求審核；3.需求拆分；4.填寫局數據表；5.提交boss；6.輸出規范文檔、產品樹；7.輸出實現方案并組織評審；8.開發配置、聯調；9.測試；10.上線。

存量資費優化，1.提出業務需求；2.填寫局數據表；3.提交boss；4.輸出產品樹；5.開發配置、聯調；6.測試；7.上線。

后期通過mop配置資費（尚未上線），當前通過一人配置一人審核進行控制，同時在上線前通過測試域進行計費準確性驗證。

運營中心、信息系統支撐部、各產品部資費數據處理涉及人員

系統上線后檢查線上審批流程，當前檢查復審流程執行情況。

市場管理領域

風險描述

各責任人具有一定自由裁量權，導致營銷活動設計與上線執行不合規

風險點名稱

營銷活動設計與上線執行不合規（SY-SC-A007）

具體場景

1.營銷活動資費超過移動云最高折扣，超限活動資費未通過政企事業部審批即上線推廣。

2.營銷活動優惠券優惠力度不符合政策要求，優惠券創建及發放沒有審批流程，優惠券沒有發放至目標用戶。

3.營銷活動在超出審批的時間范圍，依舊在線開放訂購。

4.某營銷活動決策活動價為買1月送1月，在活動上線中，錯誤配置為買1月送1年。

直接責任人：營銷活動配置相關崗位

責任領導：市場部、運營中心、信息系統支撐部負責人

市場管理領域

1.《中國移動移動云公有云業務管理辦法（2020版）》

2.《中移（蘇州）軟件技術有限公司營銷管理辦法》（制定中）

3.《中移（蘇州）軟件技術有限公司優惠券業務管理實施細則》（制定中）

1.營銷活動設計，運營中心根據市場部制定的周期性營銷規劃設計活動方案，并上會匯報。

2.營銷活動資費上線，（1）提出業務需求；（2）需求審核；（3）需求拆分；（4）提交boss側需求；（5）提交boss；（6）輸出規范文檔；（7）輸出實現方案并組織評審；（8）開發配置、聯調；（9）測試；（10）上線；（11）到期下線。

3.營銷活動落地部署，營銷活動上會決策后，活動頁面開發、實現和上線。

4.營銷活動執行，活動上線后，正式開展營銷活動，包含活動套餐推廣等。

5.優惠券使用符合業務管理實施細則，涉及使用優惠券的營銷活動必須通過上會匯報決策后，通過系統嚴格按照創建、審批及發放的流程執行。

1.營銷活動產品訂購均通過OP系統實現、通過EBOSS計費，業務全流程通過系統控制實現。系統內設定最高折扣，實際業務訂購時超過最高折扣無法訂購，避免出現超限資費未審批上線推廣的情況。

2.營銷活動開發完成后，正式上線前，會對活動的全流程進行穿透測試，確保營銷活動符合預設的規則。

3.優惠券的創建、審批及發放均通過MOP系統實現，創建后經過運營中心、市場部兩部門審批通過后方可發放至用戶使用。

運營中心PO、營銷活動上線相關人員、優惠券配置發放人員；信息系統支撐部營銷活動資費處理相關人員

營銷方案上會紀要；需求文檔；優惠券系統審批記錄；營銷活動FAQ；流程穿透測試。

市場管理領域

風險描述

布展內容和宣傳物料以次充好、高價結算。物料管理不規范：宣傳物料的制作和領用流程不規范，造成公司宣傳物料的浪費，進而造成公司損失。

風險點名稱

廣宣物料考核結算不規范（SY-SC-A005）

具體場景

1.考核結算不嚴格：經辦人因收受客戶好處或謀取私利，默許廣告公司以次充好，并以高于市場價格數千元結算。

2.物料管理不規范：宣傳物料的制作和領用流程不規范，造成公司宣傳物料的浪費，造成公司損失。

直接責任人：宣傳管理崗

責任領導：市場部負責人

市場管理領域

1.《中移（蘇州）軟件技術有限公司采購實施管理辦法》（蘇研〔2017〕9號）第十二條

2.《中移（蘇州）軟件技術有限公司供應商管理辦法（試行）》第五章

單頁手冊、手提袋物料：

1.通過采購物流系統提交訂單。

2.到貨后，供應商提供到貨單，并雙方簽字，形成到貨-領用臺賬。

3.根據合同要求，按照報價表、到貨單數量制作結算單，并附考核表、物料清單，按照考核分數確定結算金額，經辦人、審核人、部門領導簽字審核。

4、領取人需提供使用證明清單，并協助對使用情況進行考核評價。

1.根據需求通知供應商制作合同要求內的展會物料。

2.到貨后，供應商提供到貨單，并雙方簽字，形成到貨-領用臺賬。

3.根據合同要求，按照報價表、到貨單數量制作結算單，并附考核表、物料清單，按照考核分數確定結算金額，經辦人、審核人、部門領導簽字審核。

4、實際執行人需提供使用證明清單，并協助對使用情況進行考核評價。

采購物流系統訂單及結算單。

宣傳管理崗

到貨單、領用臺賬、考核表、物料清單

市場管理領域

風險描述

負責合作伙伴引入的崗位員工擁有較大的自由裁量權，合作伙伴引入資質把關不嚴：引入無資質或不符合資質要求的合作伙伴。

風險點名稱

合作伙伴引入把關不嚴（SY-SC-A002）

具體場景

1.合作伙伴引入資質把關不嚴：引入無資質或不符合資質要求的合作伙伴。

2.相關人員收取合作伙伴好處，或在合作伙伴評審過程中不客觀公正、具有傾向性

3.泄漏有關評審/評標信息和資料，影響和干擾評審/評標公平公正進行。

4.違規將資質不滿足項目或業務要求的合作伙伴引入并開展合作。

直接責任人：市場部、戰法部、財務部、采購物流部、技術部、SRE部/安全部、市場部、運營中心及各產品部門評審參與人員

責任領導：市場部、戰法部、財務部、采購物流部、技術部、SRE部/安全部、運營中心及各產品部門負責人

市場管理領域

《中移（蘇州）軟件技術有限公司“移動云”開放云市場SaaS合作管理辦法（試行）》（蘇研制〔2020〕8號）第五章

預審：合作伙伴線上提交合作意向，上傳申請材料，運營中心負責預審，通過評審系統、預審打分要求，審核合作伙伴提交材料，輸出預審結果。

專家評審：組織評審專家組按照評審標準進行量化評分，形成評審結果，根據管理辦法細則評審標準，由評審專家組集體完成評審，形成客觀評審結果。

決策：根據管理辦法由運營部門發起決策審批流程，相關部門會簽，由公司分管領導審批完成引入決策。

合作伙伴通過移動云saas平臺運營管理門戶進行注冊、提交資料，完成引入申請，評審小組據此進行評審引入。

評審小組成員及引入決策流程參與人員：

1.預審：運營中心預審環節參與人員

2.專家評審：市場部、戰法部、財務部、采購物流部、技術部、SRE部/安全部、運營中心及各產品部門評審參與人員

3.決策：決策流程發起及審批流程參與人員

定期檢查合作伙伴資質、合作伙伴履約情況。

市場管理領域

風險描述

在結算時虛增、提供虛假業務量結算。

風險點名稱

合作伙伴結算風險（SY-SC-A003）

具體場景

1.運營中心在填寫數據模板填錯或信息系統支撐部配置時配錯，導致數據錯誤，造成損失。

2.在結算時虛增、提供虛假業務量結算，如某合作伙伴完成銷售100萬應結算30萬，經辦人因收受合作方好處或謀取私利，虛構業務量發放結算款40萬，造成公司利益受損。

3.核減時，少核減或不核減，造成損失。

直接責任人：運營中心、信息系統支撐部、市場部、財務部的參與人員

責任領導：市場部負責人、信息系統支撐部負責人、運營中心負責人、財務部負責人

1.《中移（蘇州）軟件技術有限公司“移動云”開放云市場SaaS合作管理辦法（試行）》（蘇研制〔2020〕8號）第七章

2.《中移（蘇州）軟件技術有限公司財務報賬手冊》（蘇研〔2015〕221號）第三部分

3.《解決方案中產品短名單供應商管理指導意見》（蘇研〔2019〕153號）

4.《中移（蘇州）軟件技術有限公司移動云合作類業務結算實施細則》（蘇研制[2020]68號）

市場管理領域

執行要求：

1.制定結算規則：運營中心牽頭簽訂產品合作協議，按照合同確定結算規則，按照協議約定結算費用

2.配置產品局數據：結算規則確定后，由運營中心填寫產品局數據模板并初審，提交信息系統支撐部進行復核，審核無誤后提交政企事業部和IT公司，完成業務支撐系統配置。

3.局數據定期稽核：原則上，1季度做全量數據的稽核；第2-4季度做一次增量配置數據的稽核，由信息系統支撐部協調IT公司提供上季度現網配置數據，由運營中心牽頭組織核對配置數據，如稽核中發現問題，需在規定時間內提交IT公司進行更新。

4.結算核減數據審核：每月省公司提交核減申請，云能力中心運營中心牽頭組織信息系統支撐部、市場部、財務部進行共同評審，審批通過后，由運營中心出具內部核減會議紀要，信息系統支撐部發文至政企事業部，政企事業部審核后發文至IT公司執行核減，并在下個賬期內與合作伙伴結算時執行核減。

5.與合作伙伴結算：合作伙伴核對結算金額有爭議時，由合作伙伴提出核查申請，運營中心統一接口，進行核減情況分類，涉及業務規則及商務問題的由運營中心處理，涉及數據類型、計費問題的由信息系統支撐部聯系IT公司進行處理，如判斷為移動側問題導致的結算金額不準確，經運營中心、信息系統支撐部、市場部、財務部進行共同審批，審批通過后，由運營中心出具內部核減會議紀要，由信息系統支撐部商政企事業部執行核減。

6.數據安全管理：結算數據屬于公司機密信息，數據分發時需堅持“必須知道”和“最小授權”原則，各數據接收人僅獲取與自身業務相關的數據內容，數據在傳遞過程中需進行加密，確保數據安全。

擬通過核減管理模塊對核減需求進行核減（系統建設中，暫未上線）

結算流程制定、執行的運營中心（結算規則制定與執行）、信息系統支撐部（數據配置與審批）、市場部（審批）、財務部（審批）等部門的參與人員

定期檢查數據模板是否填錯或配錯、核增核減數據是否準確、結算數據是否準確。

市場管理領域

風險描述

負責考核的崗位員工擁有較大的自由裁量權，收受合作伙伴好處，管理員未按考核管理辦法對合作伙伴的各類合作情況進行考核，特別對存在嚴重違約行為的合作伙伴未能及時給予相應的處罰或處罰過輕。外泄核心數據資料；肆意調整夸大工作量，使支撐合作伙伴可以結算更多的收入。

風險點名稱

合作伙伴考核管理不規范（SY-SC-A004）

具體場景

1.收受合作伙伴好處，管理員未按考核管理辦法對合作伙伴的各類合作情況進行考核，特別對存在嚴重違約行為的合作伙伴未能及時給予相應的處罰或處罰過輕。

2.肆意調整夸大工作量，使支撐合作伙伴可以結算更多的收入。

直接責任人：合作管理崗

責任領導：市場部負責人、運營中心負責人

市場管理領域

《中移（蘇州）軟件技術有限公司“移動云”開放云市場SaaS合作管理辦法（試行）》（2020年8號）第五章

1.考核標準：根據管理辦法、細則等制度，制定考核標準，并按考核周期落實執行。

2.考核過程執行：按考核標準、考核周期，公司考核牽頭部門組織考核參與單位進行打分，根據考核標準及方案形成考核結果，由相關部門進行審核。

3.考核結果：根據相關管理辦法及時合規發布考核結果；并及時正確運用考核結果到相關領域。

移動云saas平臺運營管理門戶-考核管理功能模塊、短名單管理模塊

運營中心（執行）、市場部（審核）參與合作伙伴考核流程的相關人員

定期檢查考核是否落實、考核是否按標準與既定方案來、考核結果是否運用

市場管理領域

風險描述

調賬時，對原因不明或不合理的出賬進行調減，造成移動云收入損失。

調賬時，對原因明確已出錯賬進行超額調減，造成移動云收入損失。

風險點名稱

移動云調賬管理風險（SY-SC-A008）

具體場景

1.某省公司客戶訂購某云主機產品，使用3個月后無故要求退訂且要求對已出賬單調賬清零，調賬要求不合理，損害公司利益，造成移動云收入損失。

2.某省公司客戶訂購某云主機產品，以1000元/月的價格訂購3個月，因后續系統升級過程中該筆訂單出賬錯誤，最后一個月以1500元/月價格出賬。客戶要求全額調減三個月費用。申請調賬金額超出實際差錯金額，損害公司利益，造成移動云收入損失。

直接責任人：運營中心、信息系統支撐部、市場部、客戶服務部、財務部、SRE部/安全部、各區域中心的參與人員、測試賬號使用人員

責任領導：運營中心、信息系統支撐部、市場部、客戶服務部、財務部、SRE部/安全部、各區域中心負責人、測試賬號使用部門負責人

市場管理領域

《中移（蘇州）軟件技術有限公司移動云公有云調賬管理實施細則（試行）》（蘇研制〔2021〕3號）

1.各相關部門應嚴格按照調賬管理實施細則明確的職責分工落實相關工作。

2.申請部門應嚴格按照調賬管理實施細則要求準備申請材料，保證材料齊全，材料中涉及的信息準確無誤。

3.審核部門應嚴格按照調賬管理實施細則要求，對各自負責審核的內容盡心盡責，在規定時間內完成審核。

4.調賬數據稽核牽頭部門應嚴格按照調賬管理實施細則要求，定期對調賬歷史進行稽核，對于稽核中的問題應在規定時間內通知責任部門及時整改。

擬通過調賬管理系統對調賬申請及審核進行全線上化執行（系統建設中，暫未上線）

調賬流程制定、執行過程相關的運營中心（申請發起與審核）、信息系統支撐部（審核與歷史信息稽核）、市場部（流程制定與審批）、客戶服務部（申請發起與審核）、財務部（審核）、SRE部/安全部（申請發起與審核）、各區域中心（申請發起）、各測試賬號使用部門（申請發起）等部門的參與人員。

定期檢查調賬歷史數據，檢查調賬審批流程的規范性，以及相關材料是否齊全。

市場管理領域

風險描述

移動云免費賬號異常出賬后申請調賬抵減，造成移動云收入損失。

風險點名稱

移動云內部賬號申請及使用（SY-SC-A009）

具體場景

1.SRE部/安全部的運維測試賬號，由于賬號延期申請審批流程走失，到期后系統未將賬號凍結，從免費期結束后開始產生賬單，后續作調賬處理，造成移動云收入損失。

2.內部測試賬號使用人員私下將移動云測試賬號提供給客戶使用，并收取一定的好處，造成移動云資源浪費、國有資產損失。

直接責任人：市場部、財務部、SRE部/安全部、信息系統支撐部、各需求部門的參與人員

責任領導：市場部、財務部、SRE部/安全部、信息系統支撐部、各需求部門負責人

市場管理領域

《中移（蘇州）軟件技術有限公司移動云內部賬號使用實施細則（試行）》（蘇研制〔2021〕2號）

1.市場部應嚴格按照制度，要求賬號申請部門準備申請材料，申請部門需保證材料齊全，材料中涉及的信息準確無誤。

2.市場部應嚴格按照制度要求，在規定時間內完成賬號審批，同步檢查賬號命名規范以及賬號屬性等是否合規。

3.市場部應嚴格按照制度要求，定期對賬號進行審計，對于審計中查到的問題應在規定時間內督促責任部門及時完成整改，保障測試賬號使用信息準確，并及時同步賬號管理臺賬至SRE部/安全部，供現網測試資源訂購情況梳理。

4.對于賬號到期需要延期使用的，使用部門須在集客大廳申請延期；市場部應嚴格按照制度，對賬號延期申請進行審核，賬號最多可以延期一次，時間不超過3個月。

5.賬號使用人需嚴格按照使用周期自行清退資源。市場部根據SRE部提供的免費賬號訂購資源詳單定期通報無效資源并協調各使用部門賬號管理員組織賬號使用人員清退資源。當測試資源訂購超限導致現網容量告警時，根據賬戶分級情況，由SRE部/安全部梳理出需緊急清退的資源清單，由市場部督促賬號管理員當日完成資源清退。

通過智慧政企以及集客業務受理大廳對賬號申請進行全線上執行。

市場部（規則、流程制定與審批）、財務部（預算審核與管控）、SRE部/安全部（資源、安全管控）、信息系統支撐部（系統改造需求受理）、各需求部門（申請發起）等部門的參與人員。

定期檢查賬號使用的合規性，檢查審批流程的規范性，以及相關材料是否齊全。

網絡安全領域

風險描述

對公司及移動云的數據資產缺乏有效管理，不能保證研發數據、客戶數據、經營數據的機密性、完整性和可用性，存在數據泄露等風險。

風險點名稱

數據安全防護（SY-WLAQ-A001）

具體場景

相關員工非法出售公司重要資料（產品文檔、代碼、賬號口令、客戶信息等）以謀取私利，對合作方缺乏數據安全管控要求，關鍵系統缺乏數據安全管控措施，導致公司敏感數據面臨泄露風險。因客戶利益受損，引發賠償。存在上述數據被泄漏謀取私利、惡意篡改、損毀和丟失的風險。

直接責任人：數據持有人員

責任領導：SRE部/安全部、技術部、IaaS產品部、PaaS產品部、SaaS產品部、云網管理產品部、安全產品部、測試部、信息系統支撐部、市場部、客戶服務部、運營中心、各區域中心負責人

網絡安全領域

1.《中移（蘇州）軟件技術有限公司網絡安全管理辦法》（蘇研制〔2020〕69號）第五章 第三十二條“各部門應結合部門內部數據類型特點、業務運營需求等，明確數據分類分級策略，明確關鍵數據保護范圍”；

2.《中移（蘇州）軟件技術有限公司數據安全管理實施細則》（蘇研制〔2020〕51號）第四章 第十五條“嚴禁將數據在公司以外區域、網絡以任何形式傳播”；

3.《中移（蘇州）軟件技術有限公司移動云網絡安全管理辦法（試行）》（蘇研〔2020〕77號）第七章 第四十五條 “對移動云中數據活動中的任何操作進行相應的記錄并且對日志信息采取嚴格的保護措施，日志至少保存6個月，確保所有的數據操作可以被追溯和審查”。

1.通過建設DLP數據防泄漏系統進行防控；

2.各部門應當加強內部管理措施，防止研發信息、客戶信息、賬號信息等核心數據泄漏；

3.與合作方簽訂《網絡安全承諾書》明確合作方數據使用權限和安全保護責任。

在相應系統中建立必要的安全管控和審計措施，防止非法提取數據信息并能及時發現和追溯；把經分系統納入4A管控，對前端敏感數據進行脫敏展示。

數據持有者需適當保護數據資產，賬號所有者需保管好賬號信息，系統管理員需做好賬號權限管控。

檢查DLP系統日志、移動云日志、合作方網絡安全承諾書。

網絡安全領域

風險描述

由于風險點未能有效評估，導致應對措施不完善，引發相關安全問題。

風險點名稱

網絡安全風險評估（SY-WLAQ-A002）

具體場景

相關部門未有效評估風險，導致應對措施不完善，發生安全事件，業務受到較大影響；工程安全交付、產品安全交付受到較大影響；為謀取私利，導致發生資源濫用。

直接責任人：任務執行人員

責任領導：SRE部/安全部、技術部、計劃建設部、市場部負責人

《中移（蘇州）軟件技術有限公司網絡安全管理辦法》（蘇研制〔2020〕69號）第十一章 第八十一條 “網絡安全歸口管理部門負責編制風險評估計劃，定期組織開展風險評估工作”。

1.SRE部/安全部牽頭、各重點領域部門配合，每季度對公司級安全風險進行評估；

2.通過建設態勢感知平臺，對資源濫用的情況進行告警，不定期檢查。

相應任務具體執行人員要有風險意識，明確風險評估要求，主動開展相關工作。

檢查資源池安全評估報告。

運行維護領域

風險描述

在維護過程中，對合作方工作量需求及實際交付的工作質量評估不準確，或未對合作方違規操作行為進行管控，導致公司利益受損。

風險點名稱

合作方管理（SY-YXWH-A001）

具體場景

在維護工作評估中，夸大部分事實，導致工作量需求評估虛高；隱瞞部分事實，導致工作質量評估虛高，或未對合作方違規操作行為進行管控懲罰。

直接責任人：使用人

責任領導：SRE部/安全部、各區域中心、客戶服務部負責人

運行維護領域

《中移（蘇州）軟件技術有限公司代維管理辦法》第五章第一節：日常需求管理，第六節：日常工作管理，第七節：驗收與結算。

每個使用人為工作量和工作質量評估的直接責任人；事前，使用人應當對工作量和工作質量的需求情況進行評估，并通過部門需求評審會和部門領導的審核；事中和事后，使用人應當及時對工作量與工作質量的交付情況進行評估，對合作方違規行為進行檢查，不得漏報、瞞報；評估結果經所在部門審核，形成部門決策或由部門領導確認。

需求提交時，要求使用人將部門評審會議紀要作為附加進行上傳。每個月結束后，系統會自動推送的上月打分單，由合作伙伴側接口人填寫人員當月工作量，發送給使用人審核。

每個使用人為工作量和工作質量評估的直接責任人。

1.部門做好廉潔提醒；每年教育不低于1次，每年參加警示教育1次；

2.每季度結束后，在部門內部開展部門評審會，對每項工作量及質量評定結果進行抽檢

運行維護領域

風險描述

在資源池維護中，故障未及時上報或瞞報、漏報，變更存在違規操作，造成客戶滿意度低。

風險點名稱

維護管理（SY-YXWH-A002）

具體場景

有意瞞報、漏報或未及時上報故障，變更過程中違規操作，造成客戶滿意度低。

直接責任人：一線、二線、三線維護人員

責任領導：SRE部/安全部、各產品部、各區域中心、信息系統支撐部負責人

運行維護領域

《中移（蘇州）軟件技術有限公司移動云故障管理實施細則》第六章 第一節 故障發起；

《中移（蘇州）軟件技術有限公司移動云變更管理實施細則》第五章 第一節 變更發起；

《中移（蘇州）軟件技術有限公司移動云合作引入業務維護管理實施細則》第六章 維護考核。

1.檢查故障工單及時性，是否存在不及時情況；

2.檢查告警工單與生成的故障工單，是否存在故障的漏報瞞報；

3.檢查變更過程中是否存在違規操作，比如：未按“一人操作一人審核”規定進行操作等；

4.變更目的、影響面信息是否清晰；

5.將廠商運維考核納入合作產品合同條款模版，考核結算依據合同規范要求執行。

通過智能運維平臺進行故障、變更工單的數據抽取，進行質檢工作。

一線、二線、三線產品維護人員。及時上報故障；變更嚴格按照要求進行操作。

檢查不及時故障工單，告警工單與關聯生成的故障單信息是否匹配；檢查違規操作變更工單;檢查變更操作人員審核人員記錄；檢查關鍵字段的信息準確度；每半年至少開展1次自查，公司至少開展1次抽查。

人力資源領域

風險描述

隱瞞、歪曲、泄露考察情況，更改、偽造民主推薦、民主測評等結果，為特定人謀利。

風險點名稱

不如實反映考察情況（SY-RL-A001）

具體場景

1.故意隱瞞、歪曲考察過程中了解的對特定人的負面情況，或歪曲、捏造對除特定人以外其他人員的負面情況，使得特定人在考察中獲利。

2.私自篡改、偽造民主推薦、民主測評結果材料，導致結果與真實情況不符，影響決策結果。

3.在選擇參加考察談話的人員時存在明顯傾向性，無合理理由排除應參加人員。

直接責任人：干部管理人員及組長

責任領導：隊伍管理組分管領導

《中移（蘇州）軟件技術有限公司中層管理人員管理辦法》（蘇研制〔2020〕110號）第十六條、第十八條 ；《中移（蘇州）軟件技術有限公司干部監督工作實施細則》（蘇研黨委〔2016〕7號）第十八條、第十九條內容；《中移（蘇州）軟件技術有限公司中層管理人員任職回避和公務回避管理辦法》（蘇研黨委[2017]29號）第十條；《中移（蘇州）軟件技術有限公司干部選拔任用工作責任追究辦法》（蘇研黨委[2017]29號）第四條、第五條、第七條、第八條、第九條。

人力資源領域

1.加強干部選拔任用工作廉潔自律教育，明確紀律要求；

2.嚴格挑選考察組成員，成員應全為黨員，對于涉及夫妻等三代以內親屬關系、同一部門等情況的，要嚴格執行回避機制；

3.雙人確認參加考核談話人員，一名考察組人員根據考察方案要求初步確認人選，一人復核，考察組長把關；

4.堅持雙人統分記票，一人唱票，一人記錄，考察組組長復核統計結果；堅持雙人談話，每名考察組成員應在自己記錄紙上簽字并標號談話人員序號，考察組長對考察記錄審核，檢查考察組成員談話記錄內容的一致性；

5.堅持雙人查看考察意見箱，意見箱檢查結果雙人簽字確認；

6.考察組組長對考察報告審核把關，并簽字確認；

7.考察材料應在考察結束15天內完成歸檔工作；

8.不斷完善《選人用人工作手冊》、《干部管理及干部監督相關制度匯編》，加強制度及流程規范性、指導性。

關鍵崗位：

考察組成員、干部管理、干部監督。考察組成員按照公務回避執行回避要求，考察組組長對考察材料的真實性負責，干部管理人員和干部監督人員對考察組反饋材料的規范性進行審核。

1.考察工作實施方案；2.考察材料（推薦表、談話記錄紙和考察報告等），是否按照要求開展雙人記錄或考察組長簽字等；3.核查雙人記錄內容的一致性等；4.參加會議推薦和訪談人員情況等；5.每年檢查1次。

技術研發領域

風險描述

在供應商評估環節（包括模塊和工時類外協），對供應商的技術方案/面試人員的評價不合理，有意偏向某一供應或錄用不合格人員或惡意提高人員等級等。

風險點名稱

供應商評估不規范（SY-JSYF-A001）

具體場景

受人請托、接受宴請和財物或礙于私情，在評審環節中有意傾向于某一供應商。

直接責任人：評估人員

責任領導：技術部、各產品部、信息系統支撐部、測試部、創新中心負責人

《中移（蘇州）軟件技術有限公司研發外協管理辦法》（蘇研制〔2021〕9號）

1.通用工時類研發外協人員能力現場評審由需求部門外協管理員組織，完成評審專家抽取、簡歷推閱、確定評審地點及時間、組織專家評審打分等工作。評審團隊須由3人及以上奇數人員組成（需求組可以指派1名需求方代表，其他評審專家隨機抽取），評審團隊應當場完成評審打分，評分結論超過一半為“建議不通過”的外協人員，應予以淘汰。

技術研發領域

2.功能類供應商應答評審：由需求部門外協管理員組織，完成評審專家抽取、應答情況推閱、組織專家評審等工作。評審團隊由5名專家組成（需求組可以指派1名需求方代表，其他評審專家隨機抽取），評審團隊應當場完成評審打分，按評分規則確定候選供應商，原則上一個需求只有一個供應商中選。如需求框架中僅有1個合同，應答初評可省略。專家庫由技術部牽頭征集完成后嵌入外協管理系統中執行。

應答決策：評審結束后，由需求部門外協管理員匯總評審會議紀要，提交部門負責人審批。

3.項目任務需求的研發外協實施供應商評審，需求部門應組織召開應答評審會議，并進行應答決策。

應答評審：由需求部門外協管理員組織，完成評審專家抽取、應答情況推閱、組織專家評審等工作。評審團隊由5名專家組成（需求組可以指派1名需求方代表，其他評審專家隨機抽取），評審團隊應當場完成評審打分，按評分規則確定候選供應商（項目任務需求的供應商團隊負責人角色，應作為供應商應答評審內容一部分，按標準進行能力評估），一個研發項目只有一個供應商中選，后續任務訂單由中選供應商承接。

應答決策：評審結束后，由需求部門外協管理員匯總評審會議紀要，提交部門負責人審批。

1.工時類外協人員由隨機抽取的專家評審，部門領導審批；

2.功能類研發外協應答評審由專家評審、部門領導審批；

3.任務訂單類外協應答評審由專家評審、部門領導審批。

1.專家隨機抽取；2.評審結果部門領導審批。

面試評審專家、應答評審專家、部門領導。評審專家由系統隨機抽取，工時類3人及以上評審、功能類5人及以上、任務訂單類5人及以上評審。專家評審規避評審不合理或傾向性，部門領導根據專家評審結果進行審批，規避流程風險。

至少1年1次研發外協專項檢查、專項通報。

技術研發領域

風險描述

對外協工作量確認及考核不嚴，導致確認工作量與實際不一致，或放松對合作單位的考核。

風險點名稱

工作量及考核結果不真實（SY-JSYF-A002）

具體場景

受人請托、接受宴請和財物或礙于私情，傾向性進行考評。

直接責任人：工作量考核人員

責任領導：技術部、各產品部、信息系統支撐部、測試部、創新中心負責人

公司制度依據：《中移（蘇州）軟件技術有限公司研發外協管理辦法》（蘇研制〔2021〕9號）

1.通用工時類研發外協以自然月為周期，進行考核。每月由使用外協人員的需求組進行評估，并在系統中完成外協人員的工作量確認和月度考核打分，經需求組組長審核后，確定外協人員當月結算金額。需求部門外協管理員按季度匯總外協人員的工作量及考核結果，分合同、分供應商生成結算表格，提交部門負責人審批后，提交采購物流部與供應商簽訂結算單。

2.功能類研發外協以項目里程碑為節點，由供應商在外協管理系統中發起驗收申請，使用部門外協管理員組織驗收評審會議，確定當期工作量及服務質量考核打分，確定可結算金額，并出具驗收會議紀要，并在外協管理系統中完成相應的考核評估流程，提交使用部門負責人審批。需求部門外協管理員按季度匯總當期功能類研發外協結算金額，提交采購物流部與供應商簽訂結算單。

技術研發領域

3.任務訂單類研發外協以任務訂單為單位，由供應商在外協管理系統中發起驗收申請，使用部門外協管理員組織驗收評審會議，確定任務訂單工作量及服務質量考核打分，確定可結算金額，并出具驗收會議紀要，并在外協管理系統中完成相應的考核評估流程，提交使用部門分管領導審批。需求部門外協管理員按季度匯總當期任務訂單類研發外協結算金額，提交采購物流部與供應商簽訂結算單。

1.工時類研發外協：使用外協人員的項目經理應在系統中完成外協人員的工作量確認和月度考核打分，確定外協人員當月結算金額；需求部門外協管理員按季度匯總外協人員的工作量及考核結果，分合同、分供應商生成結算表格，提交部門負責人審批后，提交采購物流部與供應商簽訂結算單。

2.功能類研發外協需要明確里程碑，一般需要設定上線、初驗、終驗里程碑；功能類研發外協里程碑完成時組織里程碑驗收，至少應有使用部門外協管理員、使用項目組長、使用部門負責人或分管部門領導參加。功能類研發外協項目的結項驗收（最后一次驗收），還應有技術部、測試部參加評審。驗收評審完成后應出具驗收會議紀要。

3.任務訂單類研發外協驗收，應嚴格按照任務訂單需求規定的驗收標準進行驗收審核，其中，開發類任務訂單（可測單元）應由測試部出具驗收通過報告或甲方驗收通過報告。

1.工時類外協由供應商按月報工、需求使用人按月評估工作量和績效考核。需求部門外協管理員按季度匯總外協人員的工作量及考核結果，分合同、分供應商生成結算表格，提交部門負責人審批后，提交采購物流部與供應商簽訂結算單。

2.功能類研發外協里程碑完成由供應商在外協管理系統中發起驗收申請，由使用部門外協管理員根據驗收評審情況完成相應的考核評估流程，提交使用部門負責人審批。

3.任務訂單類研發外協驗收考核由供應商在外協管理系統中發起驗收申請，由使用部門外協管理員根據驗收評審情況完成相應的考核評估流程，提交使用部門負責人審批。

關鍵崗位：外協使用人、外協使用小組組長、部門領導。工時類外協人員由供應商報工、外協使用人進行工作審核及績效評估、小組組長進行工作量復核確認，多方確認機制把關工作量及績效考核。功能類外協里程碑驗收、任務訂單類驗收考核由部門組織會議評審，部門領導驗收審批決策，避免驗收不嚴。

檢查要求：至少1年1次研發外協專項檢查，通報。

技術研發領域

風險描述

受人情請托或謀取私利，未經審批私自為他人開通或擴大代碼庫權限，造成代碼、技術資料流失，造成公司損失。

風險點名稱

代碼權限控制（SY-XXAQ-A001）

具體場景

未經審批流程，私自為他人開通或擴大代碼庫權限，導致公司代碼流失。

直接責任人：代碼權限控制人（SCCB)

責任領導：技術部、創新中心、各產品部、測試部、SRE部\安全部負責人

制度依據：《中移（蘇州）軟件技術有限公司網絡安全管理辦法》（蘇研制〔2020〕69號）“第五十八條 研發工具鏈運營部門負責代碼庫訪問權限管理，按照權限最小化原則實行分權分域控制，各部門須根據本部門人員（含外協人員）流動情況向研發工具鏈運營部門即時提供訪問賬號變更信息。”

1．新人入職時，由各部門PMA或DCMA通過Jira申請代碼庫賬號，由CMO分配賬號密碼；由各部門PMA或DCMA根據項目實際需要分配代碼庫權限，按最小權限分配。

2．自有人員離職時，在離職簽單時由CMO刪除代碼庫賬號。工時類外協人員離場時由外協系統自動觸發郵件通知代碼庫管理員，由代碼庫管理銷號；任務訂單類外協賬號由外協管理系統自動觸發賬號注銷，實現離場即注銷。

系統控制：申請賬號通過Jira執行申請流程；各權限分配由各代碼庫承載。

關鍵崗位：SCCB成員（軟件配置控制委員會）

檢查要求：檢查新人賬號是否通過Jira申請；檢查代碼庫權限是否符合項目需要，每月PMA進行月度審計。

黨風廉政辦公室