信息系统管理业务内部控制矩阵
会计信息系统的内部控制
3
组织机构
企业的组织机构是提供规划,执行,控制和监 督活动的框架. 重要方面:确定关键区域的权,责以及建立适 当的沟通管理. 会计信息系统一般设置如下管理岗位:
会计电算化主管:制定电算化发展规划,为领导 提供电算化项目决策依据,协调系统运行工作, 组织管理,设置电算化岗位和人员,检查其工作 情况,严格考评.
18
会计信息系统安全控制技术
安全威胁 图6-4 总体安全规划:
对安全威胁有清晰认识 对安全漏洞的后果及对策事先有一个分析
系统的安全解决方案应覆盖到整个系统的各个层 次,并与安全管理相结合。其中,物理实体安全 是整个会计信息系统安全的基础,其他安全控制 技术在此至上而构建。
19
硬件技术
7
人员管理
内部牵制制度:会计,出纳,财务保管人员的相互制约, 相互监督和相互核对,防止失误,差错和舞弊的发生.
• 涉及款项和财务收支、保管、结算及登记的任何工作必 须由两人或两人以上分工办理。 • 出纳不得兼管稽核、会计档案保管、收入、费用、债券 债务账目的登记工作。 • 财务支票专用印鉴由两人或以上分管,不得在空白支票 上预盖印鉴。 • 付款凭证上必须加盖付讫章、稽核人员章、出纳人员章 • 出纳和稽核人员有权检查收付凭证的真实性,拒绝办理 • 定期不定期检查现金日记账、银行日记账及库存现金, 每月至少一次,严惩挪用公款。
13
工作业务流程
集团企业的会计信息系统处理流程
管理矩阵:纵向按管理领域的业务划分;横向按信息领域 的数据管理划分 战略管理:①基础信息的建立,集团整个组织架构的设置 以及从科目体系,核算项目,做账控制等三方面来建立集 团统一的会计核算体系; ②报表模板的设置,了解分支 机构运营数据,编制合并报表; ③集团预算指标的确定, 保证集团运营管理的计划性和方向性,绩效考核. 运营管理:分支机构日常业务的核算,预算的编制与分解; 集团及时查询分支机构运营数据,获取每期各类报表. 控制与分析:集团从战略高度建立会计核算体系;进行集 团全面预算管理的控制
内部控制手册第3部分-内控矩阵——11,5基础设施IT一般性控制内部控制矩阵
远程用户接入服务申请表
远程用户接入服务安全承诺书
2.10.5
经营风险:未在内部网络部署防病毒系统或未及时升级,导致内部网络被病毒侵害。
依据《网络管理办法》相关要求,网络管理员负责部署防病毒系统并及时进行版本和病毒特征库升级;安全管理员每周对防病毒系统日志等进行分析审计。
信息系统管理部分(子)公司
网络管理员
1.4.1用户终端接入网络需填写申请表,由申请人所在部门确认,信息管理部门(责任处(科)室)负责人批准并备案。申请表内容应包含终端接入安全责任条款。
信息系统管理部分(子)公司
3
终端用户接入申请表
2.10.5
经营风险:未对用户登录网络进行管理,导致内部网络被非授权访问和攻击。
1.4.2建立用户登录网络认证机制,避免对中国石化内部网络未经授权的访问。
信息系统管理部分(子)公司
4
安全设备配置文档
与外部网互联备案记录表
2.10.2
经营风险:安全管理员未及时发现安全设备规则存在的漏洞,导致内部网络被非授权访问和攻击。
1.3.2安全管理员每季度对安全设备的规则进行复核、确认、检查,填写安全设备配置检查记录表。
信息系统管理部分(子)公司
4
安全设备配置检查记录表
信息系统管理部分(子)公司
3
操作系统用户申请表
2.10.7
经营风险:操作系统用户授权超期未锁定或删除,导致信息泄密或系统安全存在隐患。
2.3.2系统管理员每半年检查操作系统用户授权情况并记录,对超期使用帐号的用户进行锁定或删除。
信息系统管理部分(子)公司
3
操作系统用户授权记录
2.10.7
经营风险:操作系统用户密码设置强度不够或更改不及时,造成系统非授权访问。
编制内控矩阵及查找内控缺陷
编制内控矩阵及查找内控缺陷一、编制内控矩阵内控矩阵是指针对企业的各项业务流程和风险进行分类分析,建立的一套内部控制体系,其主要作用是指导企业健全内部控制机制,保障企业运作的安全性和有效性。
企业编制内控矩阵的目的是识别业务流程中的关键环节、风险点以及对应的控制要素,为企业建立完善的内部控制体系提供指导。
编制内控矩阵的步骤如下:1.确定内控矩阵的范围和领域:在编制内控矩阵之前,需要明确编制的内控矩阵的范围以及需要覆盖的业务领域。
例如,可以选择涵盖企业的财务管理、采购管理、销售管理、人力资源管理等方面。
2.识别业务流程中的关键环节:对于不同的业务流程,需要仔细识别其中的关键环节,包括所涉及的流程、部门、人员以及资源等。
这需要全面考虑业务流程中所有的环节,从而识别并深入了解每个环节的风险点和控制要素。
3.评估风险点的重要性:对于识别出的风险点,需要结合实际情况对其进行评估,包括对其直接或间接影响的程度、概率等因素进行分析和评估。
这是因为不同风险点的影响和风险程度可能存在差异,相应的控制要素也需要针对性的进行制定。
4.确定控制要素:在评估风险点的基础上,可以确定相应的控制要素,包括控制目标、控制标准、控制流程等,并对不同阶段的内部控制要素进行分类。
5.制定内控矩阵:在明确了控制要素后,就可以根据不同的业务流程、部门和环节,制定相应的内控矩阵。
内控矩阵可以使用表格或者流程图等形式,清晰地给出企业的业务流程、风险点、控制要素等信息,以帮助企业深入了解和完善内部控制机制。
二、查找内控缺陷通过编制内控矩阵,企业能够清晰地识别和了解企业的业务流程以及相关的风险点和内部控制要素。
然而,内控矩阵的制定和使用并不能完全杜绝内控缺陷的出现。
当企业发现内部控制机制存在问题时,应及时采取措施,切实加强内部控制。
以下是查找内控缺陷的一些方法:1.观察和检查:企业可以通过对业务流程的观察和检查,找出内控缺陷的关键点。
例如,检查资金流向、账目记录的准确性、票据、凭证等是否齐全、真实、准确,并在此基础上识别和解决存在的问题。
ERP系统IT一般性控制内部控制矩阵(制度范本、DOC格式)
分(子)公司
业务支持人员
应用管理员
3
业务支持人员名单
1.1
经营风险:超级用户权限管理不当,影响系统安全稳定或生产经营。
1.9超级用户权限必须严格控制,申请时必须阐明使用原因,并经ERP支持中心负责人审核签字后,应用管理员才能在系统中进行分配,使用后要及时将权限回收。
总部各部门
分(子)公司
2
用户变更申请表
用户角色矩阵
1.1
1.2
2.3
2.4
经营风险:未及时锁定或删除岗位变动、离职人员帐号,导致系统存在安全隐患。
1.2.2操作人员由于岗位变动或离开单位,人事部门必须及时通知ERP支持中心,ERP支持中心应用管理员在系统中将该用户进行锁定或删除。
总部各部门
分(子)公司
分(子)公司
1
SAP*、DDIC帐号密码修改记录
1.1
经营风险:业务支持人员的权限分配不当,影响系统安全稳定或生产经营。
1.8业务支持人员支持权限的新建、变更、删除、锁定需经ERP支持中心负责人审核签字后由应用管理员在系统中进行分配,业务支持人员在生产系统中只有相应模块的显示、跟踪权限,不能分配业务操作权限、后台配置权限。
1.10.4
2.10.4
1.2用户权限管理
1.1
1.2
2.3
2.4
经营风险:权限设置不当,导致对系统的非法或非授权访问。
1.2.1建立/变更用户帐号和角色,由申请人填写ERP系统用户权限申请表,经相关部门负责人审批后,由应用管理员在系统中建立/维护权限,相关人员进行权限测试并确认,关键用户对角色矩阵实时维护并进行版本管理。
1
用户变更申请表
人员变动清单
内部控制手册第3部分-内控矩阵——11,4应用系统IT一般性控制内部控制矩阵
4.2.2系统管理员适时对系统进行备份,同时检查备份系统的可读性,确认备份是否成功。
总部各部门
分(子)公司
3
系统备份记录
经营风险:数据库、应用系统日志备份不及时,导致系统问题无法追溯或系统无法恢复。
4.2.3系统管理员、应用管理员至少每月对数据库、应用系统的日志进行备份。
总部各部门
分(子)公司
经营风险:系统上线前未经严格测试,系统功能存在问题,导致应用系统不能正常运行。
应用系统上线前,必须由信息管理部门组织测试系统功能,形成测试报告,并经最终用户部门负责人签字确认。
总部各部门
分(子)公司
3
系统功能测试报告
系统初始化管理
合规风险:应用系统数据的收集、整理不规范,未经审核确认,导致系统存在大量垃圾数据或数据失真。
4.3.2应用管理员对应用系统操作日志或记录、安全管理员对直接访问数据库的操作日志至少每月进行一次审核,发现异常情况,及时上报信息管理部门/相关部门负责人,同时查明原因,提出处理意见,记录处理情况。
总部各部门
分(子)公司
应用管理员
安全管理员
3
日志审核记录
经营风险:系统问题处理、故障记录不规范,影响系统稳定运行。
总部各部门
分(子)公司
3
用户帐号清单
密码管理
经营风险:密码设置强度不够或更改不及时,造成系统泄密或受到非法访问
1.4.1操作人员应按照密码管理相关规定,遵循系统密码的长度至少为6位,复杂度为数字与字符的组合,三个月更改一次密码等密码规则设置密码,不得使用最近使用过的密码。应用管理员对操作人员密码定期更换记录进行检查。
内控矩阵、流程图、内控手册-内部控制“三大利器”
发、跟踪与更新进行规范。
应对制度进行何种处理;并对制度
的落实和转化情况进行跟踪;
4.制度能够适时地得到更新,更新
内容可供单独查询,制度更新以标
准版本号标识;
5.制度得到妥善的归档与保管。
复核内控自评问卷
填写完内控自评问卷后,要进行自我复核,关注下列几方面要点:
1、是否参照同类型公司的自评问卷填写的?
自评问卷各个栏目如何填写?
情形四:答案
控制 目标 编号
TLHL -PUCO1101
控制目标
控制制,审核程 PU-CA序 企业应当加强采 1101 购付款的管理,完 善付款流程,明确 付款审核人的责任 和权力,严格审核 采购预算、合同、 相关单据凭证、审 批程序等相关内容, 审核无误后按照合 同规定及时办理付 款。
怎样填写内控自评问卷
如果评估时发现控制设计 存在缺陷或问题,请回答 “否”,并需要在“附注 [5]”列中对控制设计存在 的问题进行具体描述。
自评人根据自己对相关控制活动的检查 填写“是”或“否”,填写时自评人需 要确保所有相关交易都已严格执行相关 控制活动并如实填写。当“控制设计是 否有效”栏为“否”时,请在“控制执 行是否有效”栏填写“不适用”。当 “控制执行是否有效”栏为“否”时, 请在“附注[5]”列中对控制执行存在的 问题进行具体描述。
2、对照内部控制配套指引,是否存在本单位有该项业务,而自评问卷中没有 体现该项业务及相应的控制目标、关键控制活动,如有,要在问卷中进行补 充,并标注。
3、对于自评问卷中已经体现了该项业务及相应的控制目标,是否存在该项业 务的关键控制活动未能全部涵盖,若未能涵盖的,在问卷中找到对应的控制 目标,进行补充描述,并标注。
02 PART TWO
内控矩阵、流程图、内控手册-内部控制“三大利器”
怎样填写内控自评问卷
该部分内容与前期各试点单位内控矩阵相一致,包括控制目标、控制活动及责任部门。供自评单位问卷填写人员参照。 该部分内容无需自评问卷填写人员填写。
怎样填写内控自评问卷
若自评单位的实际流程和控制责任部门与左栏“关键控制活动描述”和“控制责任部门”相同,则请填写“是”。不一致则填写否。
建议
整改责任部门
整改完成时间
GF-IA-01
内部环境
制度管理机制不全面
在访谈和穿行测试中我们发现,部分制度下发后,没有明确的跟进要求和追踪管理,未被转化为子公司自身的制度;部分制度制定年份较早,已不能适应企业当前的发展需要。进一步了解后我们发现,公司尚未制定系统的制度管理办法,未能就各项管理制度的制定、下发、跟踪与更新进行规范。
建立制度管理办法,明确在制度管理中各相关部室的权责与分工、制度的编制与发布、制度的下发与跟踪、制度的更新与记录、制度的归档与保存等管理要求,确保: 1.制度管理的权责分工明晰; 2.制度的编制经过适当的审核与法定的表决程序; 3.制度下发过程中确保接收方了解应对制度进行何种处理;并对制度的落实和转化情况进行跟踪; 4.制度能够适时地得到更新,更新内容可供单独查询,制度更新以标准版本号标识; 5.制度得到妥善的归档与保管。
控制目标ቤተ መጻሕፍቲ ባይዱ号
控制目标
控制活动编号
关键控制活动描述
控制责任部门
本公司控制活动与控制责任部门是否相同 (是/否) [1]
本公司控制活动描述 [2]
TLHL-PU-CO-1101
加强和完善付款流程和控制,审核程序 企业应当加强采购付款的管理,完善付款流程,明确付款审核人的责任和权力,严格审核采购预算、合同、相关单据凭证、审批程序等相关内容,审核无误后按照合同规定及时办理付款。
中石化全套内部控制系统制度--信息管理系统文件
11。
1信息系统管理业务内部控制矩阵11.1信息系统管理业务流程①②一、业务目标1 经营目标1.1 满足生产经营管理业务需求,提高管理水平、技术水平和市场应变能力,提高核心竞争力.1.2 达到系统建设预期目标,系统运行安全、稳定,出现系统故障时能够及时恢复,系统具有扩展性、集成性。
2 合规目标2.1 遵守保护知识产权的有关法律法规,使用合法软件.2.2 信息技术控制符合国家法律、法规、股份公司内部规章制度及上市地证券监管机构有关要求。
二、业务风险1 经营风险1.1 信息化管理体系不完善,信息管理部门职责不落实,导致信息化工作受损.1.2 信息系统建设项目不符合股份公司经营战略目标,导致盲目建设、投资低效.①本流程适用于列入股份公司固定资产投资和科技开发项目计划的信息系统建设、运行和维护,有关科技开发项目的立项和经费管理按《3.3科技开发费管理业务流程》控制.②信息系统业务,根据其特点执行《11.1信息系统管理业务流程》,但应参见《6.1资本支出业务流程》.1.3 信息安全规划不当,风险评估缺失,信息安全教育不足,员工安全意识薄弱,导致信息系统风险。
1。
4 技术方案不合理,业务流程不规范,系统功能不健全,导致系统不能满足业务需求.1。
5 基础数据不完整、不准确、不真实,导致系统无法正常投运或计算出错。
1.6 项目监管不力,系统建设延误,导致系统不能按期投用或资金流失。
1.7 系统运行不稳定,数据失真、丢失,导致日常业务工作无法正常进行。
1.8 系统存在网络故障、病毒侵袭等安全问题,导致非法入侵及泄密等,或系统灾难无法及时恢复。
1。
9 系统运维不落实,功能陈旧,导致不能满足业务需求.1。
10 未经审核,变更信息技术合同标准文本中涉及的权利、义务等条款,造成损失.2 财务风险2.1 交易不真实,未按约定付款,影响财务报告。
3 合规风险3.1 侵犯知识产权,导致诉讼及股份公司声誉受到损害。
3。
2 信息技术控制不符合国家法律、法规、股份公司内部规章制度及上市地证券监管机构有关要求,造成损失.3。
内控矩阵的编写方法
怎样填写内控推广自评问卷
若推广单位的实 际流程和控制责 任部门与左栏 “关键控制活动 描述”和“控制 责任部门”相同, 则请填写“是”。 不一致则填写否。
若推广单位的实 际流程与左栏 “关键控制活动 描述”不一致, 则在本栏中填写 本推广单位实际 的控制活动。
若推广单位的控 制活动责任部门 与左栏“控制责 任部门”不一致, 则在本栏中填写 本推广单位实际 的控制责任部门。
票给客户
是否直接与客 户结算
否
财务部门审核销售 发票并传递股份公 是
司财务部
销售发票
开具发票
CA312 统销单位将销售发 票传递给客户,并 要求客户签收
结束
销售会计审核并传 递给统销单位
销售发票
绘制业务流程图的范围(供参照)
序 号
流程名称
子流程
销售定价管理
合同及订单的管理
发票的开具及销售收入的确定
▪ 动作框/判断框→文档框→动作框/判断框:表示某一个工作步骤产生的
文档在下一步工作步骤中需要使用。
▪ 动作框/判断框→文档框(后无连线):表示某一个工作步骤产生的文档
仅用作参考或资料保存,与下一步工作步骤没有直接联系。
23
绘制流程图
<控制缺陷编号> <控制活动编号>
<流程框>
24
绘制流程图举例
编制及涉及部门
销售处/财务处 销售处/财务处 销售处/财务处 销售处/财务处 销售处/财务处 销售处/财务处 财务处/设备保全处/生产技术处 财务处/设备保全处/生产技术处 财务处/设备保全处/生产技术处 财务处/设备保全处/生产技术处 财务处/设备保全处/生产技术处 财务处/设备保全处/生产技术处/品质处 供应处/设备保全处/生技处 供应处/设备保全处/生技处/财务处 供应处/设备保全处/生技处/工程处 财务处/工程处 工程处 供应处/财务处/品质处/生产技术处 供应处/财务处/品质处/生产技术处 供应处/财务处/品质处/生产技术处 供应处/财务处/品质处/生产技术处 供应处/财务处/品质处/生产技术处 财务处
管理费用、销售费用、营业外支出管理业务内部控制矩阵
业务部 门
绩效考 核部门
7
考核资料
1.6.1
0
5
2.6固定资产处置按照规定的报批程序办理。参见
《7.5固定资产管理业务流程》控制点4.1-4.4。
分(子) 公司
5
2.7流动资产处置按照规定的报批程序办理。应收账 款、存货的处置参见《7.1应收账款管理业务流程》 控制点7.1-7.3和《7.2存货管理业务流程》控制点6.1-6.4。
分(子) 公司
2.2费用支出实行滚动控制,确保全年费用控制在预 算范围内。
发生预算外费用或超预算费用,应由费用支岀责任部 门(负责人)提岀开支的目的、计算标准,经部门负 责人、分(子)公司经理(预算委员会)或其授权单 位审核,并由上级单位批准后方可执行。
分(子) 公司
经办 审核 审批
10
费用滚动 预算
预算外费 用审批资 料
经营风险:费用预算未分 解或未落实责任人,导致 费用失控。
1.1各级财务部门依据上级下达的年度、月度费用预 算,经本部门负责人、本分(子)公司经理(预算委 员会)批准后,横向分解到各职能部门,纵向分解到 相关责任单位。各部门、单位负责人是费用控制的责 任人。
分(子) 公司
经办 审批
10
预算分解方
案
1.6.1
4.1分(子)公司财务部门及相关职能部门按月对费 用预算执行情况进行分项目、分明细的分析,对费用 支出超预算的责任单位提出警示,对实际支出与计划 差异较大的支岀项目分析原因,并提岀改进意见,报 经理(或总会计师)审批后落实整改。
分(子) 公司
6
分析资料
1.6.1
0
5.费用考核
1.1
经营风险:未制疋考核办 法,影响费用控制效果。
内部控制手册第3部分-内控矩阵——3,4管理费用、销售费用、营业外支出管理业务内部控制矩阵
业务部门
绩效考核部门
7
考核资料
1.6.10
管理制度应明确各项费用的审批权限。
分(子)公司
10
费用管理制度
经营风险:未严格执行预算,造成费用失控。
费用支出实行滚动控制,确保全年费用控制在预算范围内。
发生预算外费用或超预算费用,应由费用支出责任部门(负责人)提出开支的目的、计算标准,经部门负责人、分(子)公司经理(预算委员会)或其授权单位审核,并由上级单位批准后方可执行。
分(子)公司
6
分析资料
1.6.10
5.费用考核
经营风险:未制定考核办法,影响费用控制效果。
分(子)公司绩效考核部门会同财务部门制定本单位费用控制的考核奖惩办法,经分(子)公司经理(预算委员会)批准后下发执行。
分(子)公司
5
考核奖惩办法
1.6.10
经营风险:未及时考核,影响费用控制效果。
分(子)公司绩效考核部门按照考核奖惩办法,至少每半年对责任单位(部门)费用控制情况进行考核。
分(子)公司
经办
审核
4
1.6.11
√
√
√
√
管理费用
销售费用
长期待摊费用
4.费用分析
经营风险:未按规定对费用预算执行情况进行分析和反馈,影响费用控制效果。
分(子)公司财务部门及相关职能部门按月对费用预算执行情况进行分项目、分明细的分析,对费用支出超预算的责任单位提出警示,对实际支出与计划差异较大的支出项目分析原因,并提出改进意见,报经理(或总会计师)审批后落实整改。
分(子)公司
经办
审核
审批
10
费用滚动预算
预算外费用审批资料
2024年公司的内部控制制度总结
2024年公司的内部控制制度总结随着科技的发展和金融环境的变化,2024年公司在内部控制方面进行了一系列的改革和优化。
下面将对公司2024年的内部控制制度进行总结。
一、内部控制目标及原则2024年公司的内部控制制度主要目标是保护资产、促进业务的高效运作、确保财务报告的准确和合规性、防止欺诈和不当行为等。
在这些目标的基础上,制定了以下原则:1.风险管理:公司建立了完善的风险管理机制,确保风险被及时发现、评估和控制。
2.分工与合作:明确各部门、岗位的职责和权限,鼓励各部门之间的合作与信息共享。
3.内控执行:加强内部控制的有效执行,确保内部控制制度的有效性和可持续性。
4.内部信息披露:加强内部信息披露,让员工和管理层了解相关制度和政策,并在操作层面上进行指导和审查。
二、内部控制制度建设2024年公司在内部控制制度建设方面进行了以下措施:1.风险管理体系:公司成立了专门的风险管理部门,负责对公司内外部风险进行监测和评估,并通过制定风险管理策略和应对措施来规避和降低风险。
2.审计与监督机制:公司建立了独立的审计与监督机制,对全公司的内部控制情况进行定期或不定期的检查与审计,并落实相应的整改和追责措施。
3.内部控制培训:公司加强了内部控制培训,向全体员工介绍内部控制制度和规范,并组织相应的培训课程,提高员工的内部控制意识和能力。
4.信息技术支持:公司投入了大量资金和资源,引进了最新的信息技术系统,以提供高效和准确的内部控制工具和支持。
5.内部审查部门:公司设立了内部审查部门,负责对各个部门和业务的内部控制情况进行自查和审核,及时发现问题并采取相应的措施。
三、内部控制制度的改进与创新2024年公司在内部控制制度方面进行了一些改进与创新:1. 引入自动化工具:公司通过引入自动化工具和技术,实现了内部控制的自动化监管和风险评估,提高了控制效率和准确性。
2. 加强数据分析:公司利用大数据技术和分析工具,对公司内部各项数据进行分析和挖掘,提前发现潜在的风险并采取相应的控制措施。
内部控制风险矩阵
内部控制风险矩阵随着企业规模的扩大和业务复杂度的增加,有效的内部控制管理成为企业不可忽视的重要环节。
内部控制风险矩阵作为一种常用的风险管理工具,被广泛应用于企业内部控制管理中。
本文将详细介绍内部控制风险矩阵的概念、构成和应用。
一、内部控制风险矩阵的概念内部控制风险矩阵是一种图表工具,用于识别和评估企业内部控制系统中的潜在风险。
它通过将控制目标与不同风险因素交叉组合,形成风险矩阵,以便企业管理层可以更好地了解风险的性质、程度和影响,从而采取相应的控制措施。
二、内部控制风险矩阵的构成内部控制风险矩阵通常由两个维度构成:控制目标和风险等级。
控制目标是企业为实现有效内部控制而设定的目标,可以包括财务报告可靠性、资产保护、合规性等方面。
风险等级则表示不同风险的程度,通常使用低、中、高等级进行划分。
三、内部控制风险矩阵的应用内部控制风险矩阵可以应用于以下几个方面:1. 风险评估与分类:根据不同的控制目标和风险等级,将企业内部可能遇到的风险进行评估和分类,有助于管理层了解和识别潜在风险。
2. 制定和实施控制措施:通过对风险矩阵的分析,管理层可以确定需要采取的控制措施,并根据不同风险等级的要求,制定相应的内部控制政策和流程。
3. 风险监控和报告:内部控制风险矩阵可以作为监控风险的工具,通过对风险矩阵的动态更新,及时跟踪和报告重点风险,确保企业能够有效应对潜在风险。
4. 优化内部控制:通过对内部控制风险矩阵的分析和应用,管理层可以发现控制目标存在的薄弱环节,并针对性地优化和改进内部控制,提升整体控制效能。
四、内部控制风险矩阵的优势内部控制风险矩阵具有以下几个优势:1. 直观清晰:通过图表形式的展示,内部控制风险矩阵使管理层对企业内部控制风险有更加直观的理解,便于把握风险的重要性和影响。
2. 综合考量:内部控制风险矩阵将控制目标与不同风险因素综合考量,更能全面地评估和管理企业内部控制风险。
3. 灵活调整:内部控制风险矩阵具有灵活性,可以根据企业的变化和风险的演变进行调整和更新,保持其有效性和实用性。
内部控制手册第部分内控矩阵(C)
内部控制手册第部分-内控矩阵(C)——,一般合同管理业务控制矩阵15.1一般合同管理业务内部控制矩阵业务目标业务风险控制点适用单位不相容岗位控制点分值相关控制点资料相关制度索引会计报表认定会计报表项目1存在和发生/真实性;2完整性;3权利与义务;4估价或分摊;5表达和披露;6准确性1234561.合同依据1.1经营风险:擅自订立合同,造成损失。
1.1合同主办部门应在本部门职责范围和权限内根据公司生产经营计划订立合同。
生产经营计划包括但不限于物资采购计划、产品销售计划、大中小修计划等。
总部相关部门分(子)公司4订立合同的相关依据2.资信调查1.1经营风险:对方当事人不具备相应的签约和/或履约能力,引发合同纠纷。
2.1合同主办部门应当审查(或者配合内部资信管理部门审查)拟签约对象的主体资格、资信情况及履约能力等,进行综合分析论证,合理选择签约对象,必要时可提请相关部门予以协助。
总部相关部门分(子)公司5营业执照、资质文件、履约能力证明等资信调查分析记录1.12.13.文本选择1.1经营风险:使用对我方加重义务减轻权利的合同文本,造成损失。
3.1签订合同时,应首选使用法律事务部颁布的合同示范文本;其次,使用对方在法律事务部颁布的合同示范文本基础上修改形成的合同文本;再次,使用双方共同拟订的文本;第四,使用对方合同文本。
总部相关部门分(子)公司合同2.12.52.12.62.12.72.12.82.12.92.12.34.合同会签及审批1.1经营风险:未经不同专业部门负责把关,造成合同无法执行和/或内容不完整。
4.1合同主办部门根据合同的性质、种类、关联程度等确定合同会签部门,会签部门一般包括业务关联部门、计划部门、财务部门、法律事务部门等。
总部相关部门分(子)公司3《合同会签审批表》1.1经营风险:未经不同专业部门负责把关,造成合同无法执行和/或内容不完整。
4.2合同会签的表现形式为《合同会签审批表》。
信息化企业内部控制系统内容
企业内部控制系统企业内部控制是现代企业制度的重要核心,对于企业及其利益相关者规避风险具有关键意义。
1992年美国COSO委员会发布了《内部控制—整体框架》,作为美国上市公司最常用评价内部控制效果的标准。
2002年美国颁布《公众公司会计改革和投资者保护法》(简称《萨班斯—奥克斯利法案》或SOX),其404条款明确提出了内部控制评审要求,对全球会计、公司治理以及整个证券市场产生巨大影响。
世界各国相继制定了有关内部控制的法律、法规。
我国于2008年,由财政部、证监会、审计署、银监会和保监会联合发布了《企业内部控制基本规范》、《企业内部控制应用指引》和《企业内部控制评价指引》,标志着我国企业内部控制制度体系取得重大突破。
本系统则是根据以上法律文件和相关学者研究成果设计而成,并配备流程图设计模块、常用技术分析方法工具库和数据采集对接模块,最大限度地提升内部控制效率。
本系统采用立体矩阵式功能结构:内部控制要素一、内部控制要素:内部控制的主要内容1、内部环境:内部环境是企业实施内部控制的基础,一般包括治理结构、机构设置、权责分配、内部审计、人力资源政策及企业文化等。
系统采用录入和查询方式显示内部环境。
2、风险评估:风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略。
系统为经营活动各环节建立流程图,用户可确定经营环节风险点,作为重点监控目标,用户也可以在流程图中设立数据采集点,对数据进行结构、趋势分析,并调用统计工具进行方差、差异系数等风险分析。
系统带有自定义流程图模块,用户可根据实际设计流程图,并建立风险监控机制。
3、控制活动:控制活动是内部控制系统的核心。
应根据内部控制目标,结合风险应对策略,综合运用控制措施,对各种业务和事项实施有效控制。
系统设计控制措施包括:不相容职务分离控制、授权审批控制、会计系统控制、财务保护控制、预算控制、运营分析控制、绩效考评控制和重大风险预警机制与突发事件应急处理机制等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1信息系统管理业务内部控制矩阵11、1信息系统管理业务内部控制矩阵业务目标业务风险控制点适用单位不相容岗位控制点分值控制点相关资料相关制度索引会计报表认定会计报表项目1存在和发生/真实性;2完整性;3权利与义务;4估价或分摊;5表达和披露;6准确性1234561、IT整体层面管理1、1经营风险:信息化管理体系不完善,信息化领导小组或ERP指导委员会设置不健全,信息管理部门职责不落实,导致信息化工作受损。
1、1股份公司建立完善的信息化管理体系,设立ERP指导委员会,设立信息系统管理部负责股份公司信息化归口管理工作;各分(子)公司设立信息化领导小组或ERP指导委员会,定期召开会议,听取、总结和指导本单位信息化工作,设立信息管理部门负责本单位信息化管理工作,对信息系统和信息资源行使管理职责。
总部分(子)公司6ERP指导委员会或信息化领导小组成立文件;会议纪要信息管理部门职责文件1、10、51、12、2经营风险:信息化建设中长期规划不符合股份公司经营战略目标,导致盲目建设、投资低效。
1、2根据股份公司发展战略目标和核心业务,结合信息技术发展和股份公司实际,信息系统管理部负责组织编制股份公司信息化建设中长期规划,在充分征求职能部门、事业部和分(子)公司意见后,组织专家组评审,并根据专家意见负责组织修改,经信息系统管理部主任审核,按规定权限审批后,纳入股份公司中长期发展规划。
信息系统管理部5股份公司信息化建设中长期规划1、10、51、3教育和培训1、1经营风险:信息化培训缺乏,导致信息系统效能低下、信息化管理水平不高、信息化技能缺失。
1、3、1各级信息管理部门负责编制年度信息化培训计划,经部门负责人审批后,纳入人事部门年度培训计划,并组织落实。
信息系统管理部分(子)公司2年度培训计划1、10、51、1经营风险:信息安全教育不足,导致员工信息安全意识薄弱。
1、3、2各级信息管理部门配合人事部门开展全员信息安全教育和培训,并在信息门户或内部网站发布安全教育培训材料。
信息系统管理部分(子)公司2安全教育培训材料1、10、51、4风险评估1、12、2经营风险:信息系统风险评估缺失,导致信息系统风险。
1、4、1根据《中国石油化工股份有限公司信息系统风险评估管理办法》,信息系统管理部负责每年对信息系统进行年度综合风险评估,形成风险评估报告,并组织专家组对风险评估报告进行评审,专家组对风险评估报告提出评审意见并签字;分(子)公司信息管理部门会同相关业务部门,通过多种形式,组织本单位信息系统的风险评估,包括企业信息系统整体风险、重点系统风险、主要基础设施风险等,形成相关风险评估报告,并将风险评估报告经信息管理部门负责人审核签字后报信息系统管理部备案。
信息系统管理部分(子)公司4风险评估报告2、10、31、5信息安全管理1、12、2经营风险:信息安全规划不当,信息安全方案缺失,导致信息系统风险。
1、5、1信息系统管理部负责编制信息安全规划,在征求职能部门、事业部和分(子)公司意见后,组织专家组评审,并根据专家意见负责组织修改,经信息系统管理部主任审核后,正式发布。
各分(子)公司信息管理部门根据股份公司信息安全规划,结合自身生产经营管理的需要,并针对风险评估报告中提出的问题,负责制订本企业的信息安全方案,经分管经理审批后报信息系统管理部备案。
信息系统管理部分(子)公司4信息安全规划信息安全方案2、10、21、12、2经营风险:系统未确定关键岗位,关键岗位缺乏监管,导致系统存在安全隐患。
1、5、2依照《中国石油化工股份有限公司信息系统安全管理办法》规定,各级信息管理部门负责提出本单位的“信息系统关键岗位名录”,其中涉及信息系统安全的关键岗位由信息管理部门确定,涉及业务信息安全的关键岗位由主管业务部门商本单位保密委员会确定。
“信息系统关键岗位名录”上的关键岗位人员要与所在单位签署“信息系统关键岗位安全责任书”,并在人事部门备案。
总部各部门分(子)公司3信息系统关键岗位名录信息系统关键岗位安全责任书2、10、21、12、2经营风险:系统安全岗位设置缺失,导致系统存在安全隐患。
1、5、3各级信息管理部门根据《中国石油化工股份有限公司信息系统安全管理办法》中的有关要求,按照不相容岗位分离的原则,设立安全管理员。
安全管理员必须具有相应资质,并经部门负责人审批授权。
信息系统管理部分(子)公司3安全管理员授权书安全管理员资质证书2、10、22、编制年度项目建议计划1、12、2经营风险:年度信息化项目建议计划不符合股份公司经营战略目标,导致盲目建设、投资低效。
2、1信息系统管理部根据股份公司信息化建设中长期规划和职能部门、事业部、分(子)公司申报的项目建议计划,结合年度实际,编制年度信息化项目建议计划,由信息系统管理部主任审核,按规定权限审批后,分别纳入股份公司年度投资计划、科技开发项目计划管理。
各分(子)公司信息管理部门负责编制年度信息化项目建议计划预案,按规定权限审批后,分别纳入本单位年度投资建议计划、科技开发项目建议计划,上报信息系统管理部和总部相关部门审核。
信息系统管理部分(子)公司5信息化建设年度计划1、10、53、项目可行性研究和评审1、11、2经营风险:项目可行性研究报告提出的技术方案不合理,业务流程不规范,系统功能不健全,可研评审不到位,导致系统建设不能满足业务需求。
3、1信息管理部门会同项目责任部门(单位)委托有资格的单位承担项目可行性研究,并组织专家组对项目可行性研究报告进行评审,专家组对项目需求、目标、技术路线、风险分析、投资与效益、进度、组织落实等提出可行性研究评审意见并签字。
信息系统管理部分(子)公司5可行性研究报告1、10、24、项目立项审批1、11、2经营风险:信息化项目缺乏统一归口管理,审批过程不规范,导致重复建设,低效投资。
4、1通过可研评审的固定资产投资限额(200万元)及以上的信息技术项目,由信息系统管理部报发展计划部立项,批准立项的项目,由发展计划部列入年度投资计划;申请总部立项的固定资产投资限额(200万元)以下的信息技术项目,由信息系统管理部负责审批,报发展计划部备案;由各事业部审批的投资限额以下的信息技术项目投资计划,须经信息系统管理部和发展计划部会签。
各分(子)公司一般措施及零星购置的信息技术项目在总部每年核定的限额以内,由各分(子)公司根据当期生产经营管理的需要,按规定权限审批后报各主管事业部、信息系统管理部和发展计划部审核备案,并纳入股份公司年度投资计划管理。
通过可研评审的科技开发项目,由信息系统管理部报科技开发部立项,批准立项的项目,由科技开发部列入年度项目计划。
信息系统管理部发展计划部科技开发部事业部分(子)公司5立项批文1、10、21、11、2经营风险:总体(基础)设计技术方案不合理,业务流程不规范,系统功能不健全,专家组评审不到位,导致系统建设不能满足业务需求。
4、2对批准立项的、投资在500万元及以上的项目,信息系统管理部委托有资格的单位按要求对项目进行总体(基础)设计,其中投资在2000万元及以上的项目需组织专家组对项目总体(基础)设计进行评审,专家组对项目需求分析、目标、功能设计、投资概算等提出评审意见并签字,由信息系统管理部负责审批总体(基础)设计,报发展计划部备案。
信息系统管理部3总体(基础)设计评审材料1、10、25、合同签订1、11、2经营风险:承建单位资质及经验欠缺,导致项目建设受损。
未经审核,变更信息技术合同标准文本中涉及的权利、义务等条款,导致财务风险。
财务风险:交易不真实,影响财务报告。
5、1信息管理部门负责组织项目责任部门(单位)审查集成商、咨询商、开发商及供应商的资质,开展询比价、商务谈判等工作;涉及有关计算机服务器、PC机、打印机采购事宜,由物资采购部门归口管理、信息管理部门配合开展采购工作。
依照规定权限并按经法律事务部审定的标准合同文本签订合同;项目责任部门(单位)负责完成合同技术附件,并由负责人签字确认。
信息系统管理部物资装备部分(子)公司4合同技术附件1、10、2√固定资产无形资产6、项目实施1、11、2经营风险:详细设计技术方案不合理,业务流程不规范,系统功能不健全,审查不到位,导致系统建设不能满足业务需求。
6、1项目实施单位根据合同技术附件或总体设计进行详细设计,详细设计的形式可根据项目类别的不同(自主开发项目、引进试点项目、推广完善项目、基础设施项目)采取与项目类别相适应的形式,投资在500万元及以上的项目需由信息管理部门组织人员对项目详细设计进行审查,项目实施单位根据审查意见进一步修改完善深化详细设计。
信息系统管理部分(子)公司4项目详细设计1、10、21、11、2经营风险:基础数据不完整、不准确、不真实,导致系统无法正常投运或计算出错。
6、2项目责任部门(单位)负责项目实施,业务部门组织数据的收集、整理、录入、审核,并进行审查和确认,保证数据的真实、完整和准确。
信息系统管理部分(子)公司31、10、21、11、22、1经营风险:系统安装调试不当,用户培训缺失,导致系统运行受损。
合规风险:安装的软件侵犯知识产权,导致诉讼及股份公司声誉受到损害。
6、3信息管理部门负责对项目实施单位承担的软硬件系统安装调试、用户培训进行检查,审核和确认测试报告,并检查相应软件的合法性,提供经双方签字的检查记录。
信息系统管理部分(子)公司3系统安装调试和用户培训报告软件验收报告1、10、21、11、2经营风险:项目监管不力,系统建设延误,导致系统不能按期投用。
6、4信息管理部门负责组织对项目建设的阶段验收,进行项目建设质量、进度、标准执行和成本控制等检查,提出阶段验收报告;项目实施单位根据阶段验收报告对系统进行修改完善。
500万元以下的一般信息技术项目可根据项目具体实施情况,只进行竣工验收。
信息系统管理部分(子)公司3阶段验收报告1、10、21、11、2经营风险:项目监管不力,系统建设延误,导致系统不能按期投用或资金流失。
财务风险:未按约定付款,影响财务报告。
6、5项目责任部门(单位)负责至少每季度向信息管理部门提交项目实施报告,内容包括项目进度、质量、经费使用、存在问题和整改措施等;根据合同约定填写付款申请,按规定权限审批后办理付款。
信息系统管理部分(子)公司经办审批3项目实施报告付款申请1、10、2√在建工程货币资金应付账款1、11、2经营风险:集成测试不完整,造成系统评估不准确。
6、6信息管理部门组织对系统进行集成测试,形成集成测试评价意见;并根据集成测试评价意见责成项目实施单位进行修改完善。
信息系统管理部分(子)公司3集成测试评价意见1、10、21、11、2经营风险:技术文档不完整、造成系统应用维护困难6、7项目责任部门(单位)责成项目实施单位负责知识转移,并提交项目相关的技术文档(包括用户使用手册、系统维护手册、系统安全和使用授权管理办法、应急处理办法及用户培训教材等资料)。