内部控制手册第3部分-内控矩阵(C)——11,4应用系统IT一般性控制内部控制矩阵
内部控制手册第3部分-内控矩阵——11,5基础设施IT一般性控制内部控制矩阵
远程用户接入服务申请表
远程用户接入服务安全承诺书
2.10.5
经营风险:未在内部网络部署防病毒系统或未及时升级,导致内部网络被病毒侵害。
依据《网络管理办法》相关要求,网络管理员负责部署防病毒系统并及时进行版本和病毒特征库升级;安全管理员每周对防病毒系统日志等进行分析审计。
信息系统管理部分(子)公司
网络管理员
1.4.1用户终端接入网络需填写申请表,由申请人所在部门确认,信息管理部门(责任处(科)室)负责人批准并备案。申请表内容应包含终端接入安全责任条款。
信息系统管理部分(子)公司
3
终端用户接入申请表
2.10.5
经营风险:未对用户登录网络进行管理,导致内部网络被非授权访问和攻击。
1.4.2建立用户登录网络认证机制,避免对中国石化内部网络未经授权的访问。
信息系统管理部分(子)公司
4
安全设备配置文档
与外部网互联备案记录表
2.10.2
经营风险:安全管理员未及时发现安全设备规则存在的漏洞,导致内部网络被非授权访问和攻击。
1.3.2安全管理员每季度对安全设备的规则进行复核、确认、检查,填写安全设备配置检查记录表。
信息系统管理部分(子)公司
4
安全设备配置检查记录表
信息系统管理部分(子)公司
3
操作系统用户申请表
2.10.7
经营风险:操作系统用户授权超期未锁定或删除,导致信息泄密或系统安全存在隐患。
2.3.2系统管理员每半年检查操作系统用户授权情况并记录,对超期使用帐号的用户进行锁定或删除。
信息系统管理部分(子)公司
3
操作系统用户授权记录
2.10.7
经营风险:操作系统用户密码设置强度不够或更改不及时,造成系统非授权访问。
内部控制手册第3部分-内控矩阵(C)——11,3ERP系统IT一般性控制内部控制矩阵
分(子)公司
2
程序开发管理制度或规定
1.10.3
2.10.4
1.3
2.1
2.2
经营风险:业务流程不规范、设计不合理,导致系统不能满足业务需求。
3.2信息管理部门负责组建项目组,包括承担系统实施的人员(以下简称咨询顾问)和关键用户。项目组根据ERP项目可行性研究报告和批复进行业务流程设计,并经关键用户、业务部门负责人签字确认。
总部各部门
分(子)公司
2
客户化开发变更申请表
1.1
1.3
2.4
经营风险:变更管理不规范,客户化开发、测试和传输管理不完善,导致系统故障或不能满足业务需求。
2.2.2信息系统管理部组织人员根据审批后的客户化开发变更需求在开发环境中进行开发,完成开发后由提报单位的业务人员在测试环境中进行测试,针对变更部分编制测试文档(包括测试场景和测试结果),经业务人员及部门负责人签字确认后,由提报单位的应用管理员按照传输管理要求传入生产系统。
1.1总部各部门、分(子)公司依据《中国石油化工股份有限公司管理信息系统应用管理办法(试行)》(以下简称《信息系统应用管理办法》)等,制定程序和数据访问管理制度,主要包括用户权限管理、用户帐号管理、用户登录管理、超级用户管理及第三方人员管理等内容。
总部各部门
分(子)公司
2
程序和数据访问管理制度或规定
第三方人员撤离后,其帐号需在系统中进行删除或锁定,如确需访问系统诊断问题,需按照用户权限维护程序经审批后方可解锁/创建;维护完毕后应及时锁定或删除。
总部各部门
分(子)公司
2
第三方人员清单
用户变更申请表
2.程序变更
1.1
1.2
1.3
内部控制手册第3部分-内控矩阵(C)—1,5成品油采购业务控制矩阵
油品销售事业部汇总分省(市)的需求计划,综合平衡后向生产经营管理部上 报成品油经营及资源需求计划,并与其协商拟定生产经营计划。
油品销售事业 部
分(子)公司
8
成品油经营及资源 需求计划
1.14.1
2.下达配置计划/外部采购计划
1.1
1.3
经营风险:未及时定下达配置 计划,影响正常经营。
系统中维护采购订单。
油品销售事业 部
分(子)公司
6
石化资源收购计 戈叽供应计划、成 品油配置流向计划 月度资源计划
1.14.1
1.1
1.3
经营风险:未及时平衡下达外 部采购计划,影响正常经营。未按规定维来自承诺项目,不能 实现系统控制。
2.2油品销售事业部每月根据资源平衡情况,制定外部采购计划,报事业部分 管副主任批准下达销售大区分公司和省(市)分公司(区外销售公司)。省(市)
5.3卸油前后,油库计量人员按要求做好罐前尺和罐后尺的计量。计算实际收 油数量,填写《油罐动态分户账》和《油品运输超耗(溢余)通知单》。
1.1
1.2
经营风险:未及时掌握市场价 格变动,影响经营。
4.1各级业务部门跟踪了解市场变化情况,适时编制市场价格资料,报部门负 责人和本分(子)公司分管经理,作为确定外部采购价格的依据。
分(子)公司
4
市场价格变动资料
1.1
1.2
1.3
2.1
3.1
经营风险、财务风险:未按规 定程序和权限签署合同,造成 损失,影响财务报告。
控制点 分值
控制点相关资料
相关制度 索引
会计报表认定
会计报表项目
1存在和发生/真实性;2完整性;3 权利与义务;4估价或分摊;5表达 和披露;6准确性
内部控制手册第3部分-内控矩阵——11,4应用系统IT一般性控制内部控制矩阵
4.2.2系统管理员适时对系统进行备份,同时检查备份系统的可读性,确认备份是否成功。
总部各部门
分(子)公司
3
系统备份记录
经营风险:数据库、应用系统日志备份不及时,导致系统问题无法追溯或系统无法恢复。
4.2.3系统管理员、应用管理员至少每月对数据库、应用系统的日志进行备份。
总部各部门
分(子)公司
经营风险:系统上线前未经严格测试,系统功能存在问题,导致应用系统不能正常运行。
应用系统上线前,必须由信息管理部门组织测试系统功能,形成测试报告,并经最终用户部门负责人签字确认。
总部各部门
分(子)公司
3
系统功能测试报告
系统初始化管理
合规风险:应用系统数据的收集、整理不规范,未经审核确认,导致系统存在大量垃圾数据或数据失真。
4.3.2应用管理员对应用系统操作日志或记录、安全管理员对直接访问数据库的操作日志至少每月进行一次审核,发现异常情况,及时上报信息管理部门/相关部门负责人,同时查明原因,提出处理意见,记录处理情况。
总部各部门
分(子)公司
应用管理员
安全管理员
3
日志审核记录
经营风险:系统问题处理、故障记录不规范,影响系统稳定运行。
总部各部门
分(子)公司
3
用户帐号清单
密码管理
经营风险:密码设置强度不够或更改不及时,造成系统泄密或受到非法访问
1.4.1操作人员应按照密码管理相关规定,遵循系统密码的长度至少为6位,复杂度为数字与字符的组合,三个月更改一次密码等密码规则设置密码,不得使用最近使用过的密码。应用管理员对操作人员密码定期更换记录进行检查。
内部控制手册第3部分-内控矩阵C-122成品油调运业务控制矩阵-
内部控制手册第3部分-内控矩阵C-122成品油调运业务控制矩阵-12.2成品油调运业务内部控制矩阵业务目标风险描述控制点1.11、制订运输计划经营风险:运输计划上报不合1.1省(市)分公司(区外销售公司)、特殊用户根据成品油经营计理、不及时,影响正常经营。
划和季度供应计划,结合自身需求,提前20-25日向供货的炼化分(子)公司所在地销售大区分公司提报下月度一次调运铁路预安排计划(包括品种、数量、到站、收货人等)。
经营风险:预安排运输计划不合1.2销售大区分公司根据省(市)分公司(区外销售公司)和特殊用理、不及时,影响正常经营。
户提报的一次调运铁路预安排计划,经综合平衡后,编制分发站、品种、数量、到站、收货人的一次物流预安排计划,于当月前20-25天提供给相关炼化分(子)公司予以确认,由炼化分(子)公司运销部门和销售大区分公司驻厂办事处联合盖章后报相关铁路局,并于月前5天将批准结果通报销售大区分公司。
1.11.1经营风险:预安排运输计划不合1.3进成都、昆明铁路局预安排运输计划上报油品销售事业部运行处,理、不及时,影响正常经营。
经油品销售事业部分管副主任签字并加盖中国石化储运专用章后,由运行处统一提报铁道部。
经营风险:配置计划编制不及时,1.4月末省(市)分公司(区外销售公司)、特殊用户根据油品销售影响正常经营。
事业部下达的月度供应计划,提报分油库要货计划,经油品销售事业部编制一次物流运输计划,并汇总生成配置计划。
经营风险:未及时调整运输计划,1.5油品销售事业部一次物流运输计划下达后,销售大区分公司结合影响正常经营。
一次物流预安排计划及上月计划执行超欠数据,对各省(市)分公司(区外销售公司)、特殊用户一次物流运输计划进行修订,并上报油品销售事业部,同时反馈给相关省(市)分公司(区外销售公司)、特殊用户。
经营风险:未按规定制定二次物1.6省(市)分公司物流部门在收集油库实物库存量、加油站付油量流运输计划,影响正常经营。
内控矩阵、流程图、内控手册-内部控制“三大利器”
发、跟踪与更新进行规范。
应对制度进行何种处理;并对制度
的落实和转化情况进行跟踪;
4.制度能够适时地得到更新,更新
内容可供单独查询,制度更新以标
准版本号标识;
5.制度得到妥善的归档与保管。
复核内控自评问卷
填写完内控自评问卷后,要进行自我复核,关注下列几方面要点:
1、是否参照同类型公司的自评问卷填写的?
自评问卷各个栏目如何填写?
情形四:答案
控制 目标 编号
TLHL -PUCO1101
控制目标
控制制,审核程 PU-CA序 企业应当加强采 1101 购付款的管理,完 善付款流程,明确 付款审核人的责任 和权力,严格审核 采购预算、合同、 相关单据凭证、审 批程序等相关内容, 审核无误后按照合 同规定及时办理付 款。
怎样填写内控自评问卷
如果评估时发现控制设计 存在缺陷或问题,请回答 “否”,并需要在“附注 [5]”列中对控制设计存在 的问题进行具体描述。
自评人根据自己对相关控制活动的检查 填写“是”或“否”,填写时自评人需 要确保所有相关交易都已严格执行相关 控制活动并如实填写。当“控制设计是 否有效”栏为“否”时,请在“控制执 行是否有效”栏填写“不适用”。当 “控制执行是否有效”栏为“否”时, 请在“附注[5]”列中对控制执行存在的 问题进行具体描述。
2、对照内部控制配套指引,是否存在本单位有该项业务,而自评问卷中没有 体现该项业务及相应的控制目标、关键控制活动,如有,要在问卷中进行补 充,并标注。
3、对于自评问卷中已经体现了该项业务及相应的控制目标,是否存在该项业 务的关键控制活动未能全部涵盖,若未能涵盖的,在问卷中找到对应的控制 目标,进行补充描述,并标注。
02 PART TWO
内部控制手册第3部分-内控矩阵(C)——1,1原油采购业务控制矩阵
5
原油资源供应协议
授权书
进口原油长期合同
1.5.7
2.编制资源配置计划
1.1
2.1
经营风险:未按规定编制原油资源配置计划影响生产正常运行。
2.1生产经营管理部根据生产经营计划中原油资源安排,结合有关事业部的意见、分(子)公司的原油资源需求计划、生产需求和库存情况,以及外贸代理公司提交的计划建议,编制股份公司原油资源配置计划(月度计划中,一般贸易进口原油采购计划提前60天、海洋原油采购计划提前30天、陆上原油采购计划提前15天),按规定权限审批后报总裁签发下达给分(子)公司和各外贸代理公司执行。
生产经营管理部
5
股份公司生产经营计划
股份公司原油资源配置计划(含月度原油采购计划)
1.5.7
1.3
经营风险:未按规定编制进口原油采购计划,导致资源短缺或库存成本上升。
2.2生产经营管理部按照三个月滚动原则,分批分量下达进口原油采购计划;根据原油加工量、资源变化以及原油采购过程中资源优化、运输优化等情况,逐月滚动调整,确保月度资源总量与原油加工量趋于同步。
3.1分(子)公司根据股份公司下达的生产经营计划、原油资源配置计划、进口原油采购计划和股份公司公布的价格,综合考虑本分(子)公司原油库存、生产装置运行安排和国际油价等因素,中石油、中海油供应的原油与中国石油、中国海洋石油协商签订《原油采购合同》;进口原油委托外贸代理公司对外签订《进口原油采购合同》并与其签订《进口原油代理协议》;中石化自产原油按股份公司的原油资源配置计划进行采购。上述合同、协议的标准格式由法律事务部审定,合同或协议签订人按规定权限签署。
【ERP】原油系统收货员根据仓储部门责任人审核确认的计量单据,核对ERP系统采购订单,在系统中收货过账。
内部控制手册
某单位内部控制手册(初稿)2017年2月目录第一章总则 (1)第一节单位内部控制组织架构图 (1)第二节内部控制手册概述 (1)第二章风险评估和内部控制方法 (4)第一节风险评估 (4)第二节内部控制方法 (6)第三章单位层面内部控制 (8)第一节内控组织架构管理 (9)第二节议事决策机制建设 (12)第三节内控关键岗位设置 (13)第四节不相容职责分离管理 (18)第五节信息系统管理 (19)第六节内部信息传递管理 (20)第七节内部控制报告管理 (20)第四章业务层面内部控制 (22)第一节预算管理内部控制 (22)第二节收支管理内部控制 (24)第三节采购管理内部控制 (26)第四节资产管理内部控制 (28)第五节其他业务领域内部控制 (30)第五章内部控制自我评价与监督 (30)第六章附则 (36)第一章总则第一节单位内部控制组织架构图第二节内部控制手册概述目的、意义及原则按照财政部《行政事业单位内部控制规范(试行)》的基本要求,汲取国内其他行政事业单位内部控制体系建设的先进经验,根据我单位内部管理实际编制和实施《内部控制手册》(以下简称《手册》),为了进一步完善单位制度和治理结构,确保各项工作规范、有序运行,为我单位建设以风险管理为核心内容的统一、规范、有效的内部控制体系,增强风险防范能力,提高经济活动管理水平,为单位目标的实现,和提高公共服务的效率和效果提供合理保障。
《手册》所称内部控制,是指单位为实现控制目标,通过制定制度,实施措施和执行程序,对经济活动的风险进行防范和管控。
内部控制的目标是合理保证我单位经济活动合法合规、资产安全和使用有效、财务信息真实完整、有效防范舞弊和预防腐败、提高公共服务的效率和效果。
《手册》旨在建立一套科学、系统的内部控制体系方法和规范,为我单位内部控制体系建设、运行和维护提供指引。
并作为建立、运行及评价内部控制体系的依据。
从而确保我单位上下从思想上、认识上对内部控制体系保持高度统一,以进一步实现行动上的统一。
内部控制手册第3部分-内控矩阵(C)——1,4一般物资采购业务控制矩阵
分(子)公司
4
必检物资目录
质量检验报告
6.3物资供应部门根据生产建设进度需要和物资特性,选择合理的运输工具和运输方式,负责办理运输、投保、报关、商检等事宜。
物资装备部(国际事业公司)
分(子)公司
3
运输、投保、报关、商检等相关单据
1.9.11
1.2
2.2
经营风险:采购物资质量不能满足生产要求,影响生产。
财务风险:交易不真实,影响财务报告。
总部直接集中采购物资,各分(子)公司直接下载调拨单或采购合同。
物资装备部(国际事业公司)
分(子)公司
5
框架协议或采购合同
1.9.11
1.12.1
2.10.1
√
存货
1.5
2.2
经营风险:重复审批、工作效率低下
财务风险:交易不真实,影响财务报告。
5.2各分(子)公司对总部直接集中采购年度供应协议项下的调拨单或合同、总部组织集中采购和企业自行采购框架协议项下的合同须履行物资供应部门内部审批手续。
4
商情分析报告
1.9.11
5.框架协议和采购合同签订与审批
1.4
2.2
3.1
3.2
经营风险:权利、义务表述不清或未按规定签署合同,导致损失。
财务风险:交易不真实,影响财务报告。
合规风险:合同违反国家有关法律法规。
5.1物资供应部门根据确定的供应商、价格等内容,拟订框架协议或采购合同,准确描述条款,明确双方权利、义务和违约责任,按照规定权限签署框架协议或采购合同。【ERP】上网采购物资通过接口下载询比价信息和上传采购订单;非上网采购物资依据询价单、框架协议创建采购订单(独家采购、寄售采购和委托加工采购除外),完善采购订单条款后,按规定权限审批。电子商务和ERP系统内的同一采购订单须保持一致。
内部控制手册第 部分 内控矩阵 C —— 信息资源管理业务内部控制矩阵
10
1.10.1
6.信息授权
1.1
1.2
经营风险:部门信息授权不当,导致信息泄密或贻误工作。
6.1信息管理部门依据股份公司有关信息资源管理的规定,按照各部门管理职责及部门间共享信息需求目录,通过信息平台对各部门实施信息授权。
信息系统管理部
分(子)公司
信息管理部门
相关部门
5
1.10.4
1.1
信息系统管理部
分(子)公司
6
信息平台使用和运维季度报告
1.10.1
8.信息质量反馈
1.1
1.3
经营风险:信息使用问题未及时反馈提交,导致信息共享信息质量欠佳。
8.1信息使用部门针对信息的准确性、时效性、完整性和一致性提出意见,由信息管理部门及时汇总后分别送达相关信息提供部门,协助和督促信息提供部门不断提高共享信息的质量。
外购信息需求目录
1.10.1
3.落实部门间共享信息源和外购信息源
1.1
1.2
经营风险:部门间共享信息源不落实,导致信息提供落空。
3.1信息管理部门协助信息需求部门落实部门间共享信息源,信息提供部门负责按审核后的部门间共享信息需求目录提供共享信息。
信息系统管理部
分(子)公司
7
1.10.1
1.1
1.2
经营风险:外购信息源不落实,导致信息提供落空。
1.2各部门依据业务职责梳理各种外部信息需求,包括需要其他部门提供的信息和需外购的信息,形成相应的部门信息需求目录,并明确信息内容、信息提供频率和信息提供方式等。部门信息需求目录由部门负责人签字确认。
总部各部门
分(子)公司
7
部门信息需求目录
1.10.1
内部控制手册第3部分-内控矩阵(C)——4,11成品油出口业务内部控制矩阵
联合石化
业务部门
财务部门
10
收汇水单
√
货币资金
经营风险:未及时催收货款,导致损失。
单据提交后,对于超过期限仍未收回的货款,由联合石化相关业务部门催收,并按照双方签订的代理协议分担责任。
成品油出口业务内部控制矩阵
业务
目标
业务风险
控制点
适用单位
不相容
岗位控制点分值控制点相资料相关制度索引会计报表认定
会计报表项目
1存在和发生/真实性;2完整性;3权利与义务;4估价或分摊;5表达和披露;6准确性
1
2
3
4
5
6
1.出口计划
经营风险:缺乏长期稳定出口策略和对国际市场的研究,未及时下达和对接产品出口计划,导致货源未落实,影响生产经营。
联合石化
7
账龄分析表跟踪货款记录及货款、收汇损失的处理记录
1.6.4
5.外汇核销
经营风险、合规风险:未及时办理核销手续,违反国家有关外贸、海关、外汇管理等法律、法规,导致损失。
联合石化财务部门在规定时间内办理外汇核销手续。
联合石化
15
外汇核销手续
6.货款结算及账务处理
经营风险:未及时转付货款,影响生产经营。
2.合同签订
经营风险:合同未按规定签署,造成损失。
财务风险;交易不真实,影响财务报告。
合规风险:合同违反国家有关外贸、海关、外汇管理等法律法规。
产品出口由联合石化统一对外报价和谈判。联合石化与分(子)公司签订出口代理协议,与交易对手名单内的境外客户签订出口销售合同。出口销售合同中的价格、支付方式等主要条款,由分(子)公司相关业务部门确认。
内部控制手册第3部分-内控矩阵(C)——6,3工程项目管理业务控制矩阵
1.1 经营风险:未按规定编制和报 4.3.2 根据股份公司下达的年度固定资产投资计划,限上工程项目由分(子)公司编制年度工 工程部
批项目实施计划,影响项目实 程实施建议计划并报工程部,工程部组织编制股份公司年度固定资产投资工程建设项目实施 分(子)公司
施。
计划并报总裁批准后下达;限下工程项目的年度工程实施计划,由分(子)公司经理或其授
量确认,造成损失。
由分(子)公司质量管理人员检查确认。未经签字确认,不得在工程中使用或安装。
1.1 经营风险:对工程关键部份未 4.2.6 隐蔽工程、关键部位和重要工序,建设单位或监理单位须实施旁站监督;工程项目委托 分(子)公司
按规定监督,造成损失。
监理的,未经监理工程师签字确认,不得进入下一道工序施工。
1.1 经营风险、合规风险:施工违 4.2.7 分(子)公司依照法律、法规、标准和股份公司有关规章制度,规范施工现场的职业健 分(子)公司
1.2 反 HSE 管理规定或法律法 康安全和环境管理,及时组织处理重大安全隐患。
3.1 规,造成损失。
1.1 经营风险:未组织检查或未及 4.2.8 分(子)公司在坚持日常巡视检查的基础上,组织定期或不定期的工程质量、安全和文 工程部
经办 审批
2 工程变更管理规定 工程变更审批记录
1.18.5
经办
3 结算凭证
√
审批
2 工程进度报表
√
工程进度确认表或批
复文件
在建工程
在建工程 在建工程
业务 目标
业务风险
控制点
适用单位
1.3 经营风险、财务风险:动用工 4.4.6 由于设计漏项、工程变更、价格波动、政策调整以及其他不可预见因素,需要动用工程 工程部
内部控制手册第3部分-内控矩阵(C)——11,1信息系统管理业务内部控制矩阵
分(子)公司
4
项目详细设计
1.10.2
1.1
1.2
经营风险:基础数据不完整、不准确、不真实,导致系统无法正常投运或计算出错。
6.2项目责任部门(单位)负责项目实施,业务部门组织数据的收集、整理、录入、审核,并进行审查和确认,保证数据的真实、完整和准确。
信息系统管理部
分(子)公司
3
1.10.2
1.4.1根据《中国石油化工股份有限公司信息系统风险评估管理办法》,信息系统管理部负责每年对信息系统进行年度综合风险评估,形成风险评估报告,并组织专家组对风险评估报告进行评审,专家组对风险评估报告提出评审意见并签字;分(子)公司信息管理部门会同相关业务部门,通过多种形式,组织本单位信息系统的风险评估,包括企业信息系统整体风险、重点系统风险、主要基础设施风险等,形成相关风险评估报告,并将风险评估报告经信息管理部门负责人审核签字后报信息系统管理部备案。
信息系统管理部
分(子)公司
3
安全管理员授权书
安全管理员资质证书
2.10.2
2.编制年度项目建议计划
1.1
2.2
经营风险:年度信息化项目建议计划不符合股份公司经营战略目标,导致盲目建设、投资低效。
2.1信息系统管理部根据股份公司信息化建设中长期规划和职能部门、事业部、分(子)公司申报的项目建议计划,结合年度实际,编制年度信息化项目建议计划,由信息系统管理部主任审核,按规定权限审批后,分别纳入股份公司年度投资计划、科技开发项目计划管理。各分(子)公司信息管理部门负责编制年度信息化项目建议计划预案,按规定权限审批后,分别纳入本单位年度投资建议计划、科技开发项目建议计划,上报信息系统管理部和总部相关部门审核。
1.1股份公司建立完善的信息化管理体系,设立ERP指导委员会,设立信息系统管理部负责股份公司信息化归口管理工作;各分(子)公司设立信息化领导小组或ERP指导委员会,定期召开会议,听取、总结和指导本单位信息化工作,设立信息管理部门负责本单位信息化管理工作,对信息系统和信息资源行使管理职责。
内部控制手册第3部分-内控矩阵(C)——2,2炼化成本管理业务控制矩阵
审核
3
现场日操作记录;
材料、动力消耗记录;
劳务、动力分配表
√
营业成本
1.1
经营风险:非计划停工不能有效控制,导致生产损失加大、成本增加。
4.2分(子)公司生产单位、辅助生产单位负责记录非计划停工,分析停工原因、编写停工报告,并由单位负责人签字确认,分管副经理审核后报事业部。
分(子)公司
4
非计划停工记录;
分(子)公司
记账
稽核
2
5.3分(子)公司财务部门根据ERP系统中维护的维修工单,校验并检查修理费用归集情况,定期结算工单。参见《3.1修理费用管理业务流程》控制点4.1。
分(子)公司
记账
稽核
2
5.4分(子)公司财务部门按规定每月在ERP系统运行计提折旧费用,折旧汇总表交财务部门负责人复核签字。参见《7.5固定资产管理业务流程》控制点5.2。
分(子)公司
统计
计量
财务
5
材料出库、动力、消耗等统计报表
系统接口表
2.15.2
2.10.1
√
√
营业成本
5.归集、计算成本费用
2.1
财务风险:未按要求归集成本费用,影响财务报告。
5.1分(子)公司相关部门按规定在ERP系统归集原料、辅助材料和动力消耗。原料归集到生产订单,动力消耗归集到成本中心。
分(子)公司
非计划停工分析报告
2.1
财务风险:统计数据不真实,影响财务报告。
4.3分(子)公司统计、供应、计量部门每月核对材料出库、动力、消耗等统计数据,生产或相关部门按月(旬)平衡全系统的物料和动力,并编制物料、动力平衡表,经本部门负责人审核签字后录入ERP系统,并交财务部门复核。生产信息系统数据导入的应经过本部门负责人签字。
内部控制手册第3部分-内控矩阵(C)——4,5化工产品销售业务控制矩阵
化工销售分公司
2
化工销售分公司计划管理办法
月度销售建议计划
1.16.1
1.1
1.2
经营风险:未及时下达销售计划,影响生产经营。
1.2化工销售分公司将各化工销售区域分公司销售建议计划汇总,根据化工事业部下达的企业生产和销售计划平衡后,下达销售计划给各化工销售区域分公司执行,并报化工事业部备案。
化工销售分公司
4
销售订单
解冻申请单
2.10.1
5.2代理业务
1.3
经营风险:未按规定维护订单,不能实现系统控制。
5.2.1化工销售区域分公司业务部门根据客户对相关控股子公司的付款情况,在化工销售分公司系统中参照月度合同或零星合同开具系统代理销售订单,代理销售订单必须注明有效期限。
化工销售分公司
5
销售订单
化工销售分公司
4
化工销售分公司合同管理办法
销售合同
1.12.1
√
营业收入
1.3
2.1
3.1
3.2
经营风险:未按规定程序和权限签订合同,造成损失;未按规定维护合同,不能实现系统控制。
财务风险:交易不真实,影响财务报告。
合规风险:合同不符合法律法规。
4.2“代理”业务根据化工销售分公司与相关控股子公司签订的化工产品代理销售合同,化工销售区域分公司与相关控股子公司、客户三方共同签订销售合同;“经销”业务的销售合同由化工销售区域分公司和客户签订。
代理费发票
2.10.1
√
营业收入
8.编制销售日报表
1.1
经营风险:未按规定审核销售日报,导致管理信息失真。
内部控制手册第3部分-内控矩阵(C)——4,10加油卡管理业务控制矩阵
4
故障上报记录
2.14.12
1.1
经营风险:对系统监控不到位,影响系统正常运行。
9.2信息部门每月对系统故障原因进行分析总结,并对常见的故障制订相应的预案。
分(子)公司
4
故障分析材料;
应急预案
2.14.12
1.1
经营风险:未按规定签署合同,影响系统运维。
9.3省(市)分公司在与当地集成商签署涉及加油卡系统有关运行维护方面的合同时,需经油品销售事业部审批后方可实行。
员工卡交接手续
2.14.12
1.1
经营风险:未及时核对和处理差异,造成管理信息失真。
1.4对卡片领、发、存、回收、上缴的台账要日清、月结、年转。日清、月结、年转时进行卡片实物库存的盘点,将实际卡片库存与系统和手工台账进行核对,如库存不符及时查明原因。提出处理意见报省(市)分公司零售管理部门。
分(子)公司
4.10加油卡管理业务内部控制矩阵
业务目标
业务风险
控制点
适用单位
不相容
岗位
控制点分值
控制点相关资料
相关制度索引
会计报表认定
会计报表项目
1存在和发生/真实性;2完整性;3权利与义务;4估价或分摊;5表达和披露;6准确性
1
2
3
4
5
6
1.卡片管理
1.1
经营风险:未按规定建立卡片台账,造成管理信息失真,加油卡密钥丢失,造成损失。
油品销售事业部
分(子)公司
信息部门
零售部门
财务部门
5
加油卡系统交易数据错误记录台账
2.14.12
√
√
√
营业收入
2.2
内部控制手册第部分内控矩阵(C)
内部控制手册第部分-内控矩阵(C)——,一般合同管理业务控制矩阵15.1一般合同管理业务内部控制矩阵业务目标业务风险控制点适用单位不相容岗位控制点分值相关控制点资料相关制度索引会计报表认定会计报表项目1存在和发生/真实性;2完整性;3权利与义务;4估价或分摊;5表达和披露;6准确性1234561.合同依据1.1经营风险:擅自订立合同,造成损失。
1.1合同主办部门应在本部门职责范围和权限内根据公司生产经营计划订立合同。
生产经营计划包括但不限于物资采购计划、产品销售计划、大中小修计划等。
总部相关部门分(子)公司4订立合同的相关依据2.资信调查1.1经营风险:对方当事人不具备相应的签约和/或履约能力,引发合同纠纷。
2.1合同主办部门应当审查(或者配合内部资信管理部门审查)拟签约对象的主体资格、资信情况及履约能力等,进行综合分析论证,合理选择签约对象,必要时可提请相关部门予以协助。
总部相关部门分(子)公司5营业执照、资质文件、履约能力证明等资信调查分析记录1.12.13.文本选择1.1经营风险:使用对我方加重义务减轻权利的合同文本,造成损失。
3.1签订合同时,应首选使用法律事务部颁布的合同示范文本;其次,使用对方在法律事务部颁布的合同示范文本基础上修改形成的合同文本;再次,使用双方共同拟订的文本;第四,使用对方合同文本。
总部相关部门分(子)公司合同2.12.52.12.62.12.72.12.82.12.92.12.34.合同会签及审批1.1经营风险:未经不同专业部门负责把关,造成合同无法执行和/或内容不完整。
4.1合同主办部门根据合同的性质、种类、关联程度等确定合同会签部门,会签部门一般包括业务关联部门、计划部门、财务部门、法律事务部门等。
总部相关部门分(子)公司3《合同会签审批表》1.1经营风险:未经不同专业部门负责把关,造成合同无法执行和/或内容不完整。
4.2合同会签的表现形式为《合同会签审批表》。
单位内部控制手册目录
单位内部控制手册第一章内部控制手册概述一、内部控制使用说明(一)内部手册编制的目的与意义(二)内部手册控制的目标(三)内部手册编制的原则(四)内部控制管理职责(五)内部控制决策机制(六)内部控制手册结构(七)内部控制手册单位限性(八)生效时间及适用范围二、流程编码规则(一)流程编码(二)风险编码第二章风险评估一、流程范围(一)所涉及业务范围(二)所涉及办公室范围二、控制目标三、风险四、办公室职责分工(一)主责办公室(二)配合办公室五、风险评估工作方案六、控制方法七、单位层面风险八、业务层面风险第三章单位层面内部控制一、单位议事决策机制二、授权体系三、内部关键岗位责任制(一)内部关键岗位职业与能力保障(二)不相容岗位分离管理制度(三)内部关键岗位轮岗制度(四)关键岗位专项审计办法四、会计与财务报告五、评价与监督第四章预算业务控制一、业务范围(一)所涉及的业务范围(二)所涉及的办公室范围二、控制目标三、预算内部控制制度第一章总则第二章管理机构及其职责分工第三章预算编审第四章预算批复第五章预算执行与分析第六章预算调整第七章决算管理第八章预算绩效第九章监督检查第十章附则四、预算管理业务流程1、项目立项流程2、单位三年规划流程3、预算编审流程(基本支出、项目支出、采购预算)4、预算执行与分析流程5、预算调整流程6、决算管理流程7、预算绩效评价流程五、流程风险六、控制矩阵第五章收支业务控制一、业务范围(一)所涉及的业务范围(二)所涉及的办公室范围二、控制目标三、收支内部控制第一章总则第二章管理机构及其职责分工第三章收入登记管理程序第四章非税收入管理程序第五章票据管理第六章公务卡管理第七章重点经费管理第八章支出管理程序第九章收入和支出分析第十章附则四、收支管理业务流程1、执行方式管理流程2、借款流程3、工资及社会保障支出流程4、事前申请审批流程5、报销及支付审批流程6、公务卡申请流程7、公务卡报销及还款流程8、收入和支出分析报告编制流程五、流程风险六、控制矩阵第六章政府采购业务控制一、流程范围(一)所涉及的业务范围(二)所涉及的办公室范围二、控制目标三、采购管理内部控制制度第一章总则第二章管理机构及其职责分工第三章政府采购预算编制及计划第四章实施政府采购计划与备案管理第五章采购方式变更管理第六章采购需求论证第七章批量集中采购管理第八章分散采购管理第九章公开招标管理第十章邀请招标管理第十一章竞争性谈判管理第十二章单一来源采购管理第十三章询价采购管理第十四章竞争性磋商管理第十五章网上竞价与商场直购第十六章采购合同、履约、验收管理第十七章附则四、采购管理业务流程1、政府采购预算编制与计划流程2、实施政府采购计划与备案3、采购方式变更4、采购需求论证5、批量集中采购6、分散采购管理7、公开招标管理8、邀请招标管理9、竞争性谈判管理10、章一来源采购管理11、询价采购管理12、竞争性磋商管理13、网上竞价与商场直购14、采购资金支付流程15、履约验收流程五、流程风险六、控制矩阵第七章资产管理一、流程范围(一)所涉及的业务范围(二)所涉及的办公室范围二、控制目标三、资产管理内部控制制度第一章总则第二章管理机构及其职责第三章货币资金管理第四章办公耗材、办公用品管理第五章固定资产配置及预算编制第六章资产使用与盘点第七章固定资产出租、出借管理第八章国有资产处置第九章资产清查与核实第十章资产统计报告编制第十一章附则四、资产管理业务流程1、银行账户开立与变更流程2、资产购置计划流程3、资产购置预算编制流程4、资产自用流程5、资产对外捐赠流程6、资产处置流程7、离职人员资产移交流程8、资产统计报告编制流程五、流程风险六、控制矩阵第八章建设项目控制一、流程范围(一)所涉及的业务范围(二)所涉及的办公室范围二、控制目标三、建设项目管理内部控制制度第一章总则第二章管理机构及其职责分工第三章立项与可行性研究第四章勘察、设计与规划报批管理第五章建设项目预算及前期经费管理第六章招标及实施管理第七章施工与材料、设备采供管理第八章资金与财务管理第九章竣工验收管理第十章建设项目档案管理第十一章建设项目竣工决算管理第十二章附则四、建设项目管理操作流程1、建设项目立项流程2、建设项目勘察、设计流程3、建设项目预算编制流程4、前期工作经费申请流程5、建设项目招标及实施流程6、建设项目竣工验收及竣工决算流程7、建设项目档案管理五、流程风险六、控制矩阵第九章合同控制一、流程范围(一)所涉及的业务范围(二)所涉及的办公室范围二、控制目标三、合同管理内部控制制度第一章总则第二章管理机构及职责第三章合同订阅与审批第四章合同的履行及跟踪第五章合同的档案管理第六章责任追究第七章附则四、合同管理业务流程1、合同冥想与签订管理流程2、合同履行监控流程3、合同备案与台账流程4、合同纠纷流程五、流程风险六、控制矩阵第十章会计档案一、流程范围(一)所涉及的业务范围(二)所涉及的办公室范围二、控制目标三、会计档案内控管理办法第一章总则第二章管理机构及职责第三章会计档案保管第四章会计档案借阅第五章会计档案销毁第六章附则四、会计档案内控业务流程1、会计档案保管流程2、会计档案借阅流程3、会计档案销毁流程。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
业务目标
业务风险
控制点
适用单位
不相容
岗位
控制点分值
控制点相关资料
相关制度索引
会计报表认定
会计报表项目
1存在和发生/真实性;2完整性;3权利与义务;4估价或分摊;5表达和披露;6准确性
1
2
3
4
5
6
1.程序和数据访问
1.1
2.3
2.4
经营风险:程序和数据访问制度不健全,导致信息系统应用管理不规范、运维不及时。
总部各部门
分(子)公司
3
用户权限审批表
1.1
1.2
经营风险:数据库用户权限管理不规范,导致对系统的非法或非授权访问。
1.2.2对于数据库用户权限,相关人员填写用户权限审批表,经相关部门负责人审批后,由系统管理员在数据库中新增、变更或锁定用户权限。
总部各部门
分(子)公司
3
用户权限审批表
1.3用户帐号及访问管理
总部各部门
分(子)公司
5
平衡报表;
加油站通讯情况表
2.程序变更
1.1
1.2
经营风险:程序变更制度不健全,导致信息系统应用管理不规范、运维不及时。
2.1总部各部门、分(子)公司依据《信息系统应用管理办法》及相关应用系统管理办法实施系统变更管理,包括变更申请审批、变更测试和变更版本管理等。
总部各部门
分(子)公司
4
程序变更管理制度
1.10.3
2.6.4
2.14.20
2.4信息管理部门必须对操作系统、数据库、应用系统版本变更进行管理,记录每次变更的版本号,存档变更文档和变更升级程序。
总部各部门
分(子)公司
3
变更记录
3.程序开发
1.1
2.1
2.2
经营风险:技术方案不合理,系统功能存在问题,导致应用系统不能满足生产经营管理业务需求。
3.1新建应用系统的项目计划、可研评审、立项审批、项目实施、竣工验收等开发步骤按照《11.1信息系统管理业务流程》执行。
总部各部门
分(子)公司
5
数据导入确认单
4.系统运行
1.1
经营风险:系统运行制度不健全,导致信息系统应用管理不规范、运维不及时。
4.1总部各部门、分(子)公司依据《信息系统应用管理办法》及相关应用系统管理办法实施系统运行管理,包括系统备份及恢复、系统监控、维护及故障处理等。
总部各部门
分(子)公司
5
系统运行管理制度
总部各部门
分(子)公司
系统管理员
应用管理员
安全管理员
4
信息系统岗位授权文档;
在职情况审查记录
1.1
1.2
经营风险:安全管理员监督不到位,系统安全收到威胁。
1.5.2安全管理员至少每季度对系统管理员、应用管理员的操作日志或记录进行检查,提出审核意见,并报相关部门负责人。
总部各部门
分(子)公司
系统管理员
4.2.6系统管理员至少每年对备份数据进行一次恢复性测试。
总部各部门
分(子)公司
4
恢复性测试记录
4.3系统监控、维护及故障处理
1.1
经营风险:系统运行缺乏有效监控,影响系统安全稳定运行。
4.3.1系统管理员对应用系统、后台作业、操作系统、数据库、服务器等运行状况进行监控,并填报系统运行监控报告。
总部各部门
3.3.1相关部门按照数据收集模板组织人员收集、整理业务数据,并由相关部门责任人审核确认。
总部各部门
分(子)公司
3
数据收集确认单
1.2
2.3
2.4
合规风险:导入系统的数据未经审核确认,导致系统存在大量垃圾数据或数据失真。
3.3.2相关部门组织人员对导入和补录系统的数据进行核对,并由相关部门责任人签字确认。
应用管理员
安全管理员
3
操作日志或记录审核记录
1.6第三方人员管理
1.1
1.2
2.1
2.2
经营风险:第三方合作单位管理不到位,造成系统泄密或受到非法访问。
1.6.1总部各部门、分(子)公司与第三方合作单位就相关应用系统签订安全保密协议。
总部各部门
分(子)公司
3
安全保密协议
1.1
1.2
2.1
2.2
经营风险:对第三方人员用户权限管理不规范,导致对系统的非法或非授权访问。
总部各部门
分(子)公司
3
数据备份日志或记录
1.1
1.2
2.3
经营风险:备份策略和备份方案不完善,应用系统程序备份不及时,导致系统无法恢复。
4.2.2系统管理员适时对系统进行备份,同时检查备份系统的可读性,确认备份是否成功。
总部各部门
分(子)公司
3
系统备份记录
1.1
1.2
2.3
经营风险:数据库、应用系统日志备份不及时,导致系统问题无法追溯或系统无法恢复。
1.1
经营风险:系统变更管理不规范,导致应用系统运行和维护的无法正常进行。
2.2总部统一建设的应用系统,系统变更必须填写系统变更审批表上报信息系统管理部和总部相关部门,由总部统一组织升级、测试和变更,各分(子)公司不得自行变更。各分(子)公司自建系统或客户化开发的变更,必须经过分(子)公司信息管理部门和相关部门负责人审批。
1.1
1.2
2.3
2.4
经营风险:应用系统数据的收集、提供不及时、不准确,导致应用系统不能满足生产经营管理业务需求。
4.4.炼化企业使用MES系统进行主物料的日平衡、旬确认、月结算,公用工程进行旬月平衡,实现生产监控管理,满足生产调度的要求,为ERP和生产营运指挥等系统提供数据支持;油品销售企业使用加油卡系统对所属加油站数据上传情况进行跟踪,督促油站及时通讯,确保数据及时上送。
4.2.3系统管理员、应用管理员至少每月对数据库、应用系统的日志进行备份。
总部各部门
分(子)公司
系统管理员
应用管理员
3
日志备份记录
1.1
1.2
2.3
经营风险:备份介质管理不规范,导致备份数据丢失、泄密,系统无法恢复。
4.2.4应用管理员(系统管理员)每月将备份介质与生产服务器异地存放,并由专人管理。备份介质存放要有记录,介质访问人员须经相关部门负责人授权并填写访问记录。
分(子)公司
3
系统运行监控报告
1.1
1.2
2.3
经营风险:系统日志审核不到位,导致系统问题不能及时处理,影响系统稳定运行。
4.3.2应用管理员对应用系统操作日志或记录、安全管理员对直接访问数据库的操作日志至少每月进行一次审核,发现异常情况,及时上报信息管理部门/相关部门负责人,同时查明原因,提出处理意见,记录处理情况。
1.10.3
2.6.4
2.14.20
4.2数据备份及恢复
1.1
1.2
2.3
经营风险:备份策略和备份方案不完善,数据备份不及时、不成功,导致系统数据丢失,系统无法恢复。
4.2.1应用管理员(系统管理员)至少每月做一次数据全备份,并检查数据备份日志,确认备份是否成功。对备份异常情况进行记录,同时检查备份数据的可读性。
1.1
2.1
经营风险:系统登录控制功能不健全,导致对系统的非法或非授权访问。
1.3.1操作人员访问应用系统时,必须输入用户帐号和密码。
总部各部门
分(子)公司
2
用户登录截屏
1.1
1.2
经营风险:账户共享,导致责任不清;系统账户审核清理不及时,导致对系统的非法或非授权访问。
1.3.2应用管理员在系统中为每个操作人员设置独立的用户帐号,不能设置共享用户帐号(查询用户帐号除外)。应用管理员至少每半年打印一次用户帐号权限清单,并由相关部门负责人审核。
总部各部门
分(子)公司
3
系统变更申请表
1.1
1.2
经营风险:系统变更管理不规范,未经审批、测试,导致应用系统运行和维护的无法正常进行。
2.3变更的应用程序移植到生产系统前,相关部门必须组织人员进行系统测试和最终用户测试,测试不能在生产环境中进行。
总部各部门
分(子)公司
3
测试记录
1.1
1.2
经营风险:系统变更版本管理、文档管理不规范导致应用系统运行和维护的无法正常进行。
1.6.2第三方人员需访问系统时,由申请人/经办人按照相关管理办法填写用户权限审批表(需注明使用期限和权限),经需求部门负责人审核后提交信息管理部门(责任处(科)室)负责人审批,由应用管理员在系统中新增或变更其帐号及权限。到期后必须及时删除或锁定第三方人员的帐号。
总部各部门
分(子)公司
3
用户权限审批表
总部各部门
分(子)公司
3
用户帐号清单
1.4密码管理
1.1
经营风险:密码设置强度不够或更改不及时,造成系统泄密或受到非法访问
1.4.1操作人员应按照密码管理相关规定,遵循系统密码的长度至少为6位,复杂度为数字与字符的组合,三个月更改一次密码等密码规则设置密码,不得使用最近使用过的密码。应用管理员对操作人员密码定期更换记录进行检查。
总部各部门
分(子)公司
3
介质存放及访问记录
1.1
1.2
2.3
经营风险:备份数据可读性测试不及时,导致系统数据丢失,系统无法恢复。
4.2.5系统管理员至少每半年对备份数据进行一次可读性测试。
总部各部门
分(子)公司
3
可读性测试记录
1.1
1.2
2.3
经营风险:备份数据恢复性测试不及时,导致系统数据丢失,系统无法恢复。