内控矩阵的编写方法(PPT 45张)
合集下载
7.2存货管理业务内部控制矩阵
分(子)公司
财务部门
仓储部门
使用部门
监督部门
审批
9
存货盘点表
盘点差异处理意见
残次冷背存货报告
√
√
√
存货
6.存货处置
1.3
2.1
资产安全风险:未经批准处置资产导致资产损失。
财务风险:未及时处置影响财务报告。
6.1分(子)公司对清查中发现的盘盈、盘亏、毁损以及经过技术鉴定需报废的存货,按规定权限批准后处置,并报财务部备案;超过分(子)公司处置权限的报主管事业部,主管事业部审核(一般物资需会同物资装备部审核)后报财务部,财务部提出处理意见并按规定权限逐级报批。
财务风险:入库存货质量、数量与原始单据不符,导致财务报告不真实。
1.1固体形态存货:分(子)公司仓储、质检部门要对存货数量、质量进行检验,审核到货清单、产品交付清单及剩余存货的退料清单,并与实物一一核对,无误后,【非ERP】及时开具入库单(或凭据)验收入库,入库单要由采购(或生产)、仓储等相关责任人签字。【ERP】在ERP系统办理入库,相关单据要由采购(或生产)、仓储等相关责任人签字。
3.5【非ERP】分(子)公司仓储部门根据存货库存收发情况,每月编制存货使用及结存情况报表,【ERP】分(子)公司仓储部门根据存货库存收发情况及ERP系统中生成存货使用及结存情况报表,
报告需采购时点的储量。至少每半年进行一次存货状态分析,对异常情况报警明示。供应、生产、营销、财务等部门共同研究降低(提高)库存方案,报分管副经理(或总会计师)审批。
对于管线出售的液体库存商品:分(子)公司有关部门办理相关合规手续后,由生产调度部门安排储运部门输送液体产品,根据管道流量表计算发出商品数量,发出商品数量经供方确认,营销部门审核后,由财务部门审核有关业务单据,办理货款结算手续。
财务部门
仓储部门
使用部门
监督部门
审批
9
存货盘点表
盘点差异处理意见
残次冷背存货报告
√
√
√
存货
6.存货处置
1.3
2.1
资产安全风险:未经批准处置资产导致资产损失。
财务风险:未及时处置影响财务报告。
6.1分(子)公司对清查中发现的盘盈、盘亏、毁损以及经过技术鉴定需报废的存货,按规定权限批准后处置,并报财务部备案;超过分(子)公司处置权限的报主管事业部,主管事业部审核(一般物资需会同物资装备部审核)后报财务部,财务部提出处理意见并按规定权限逐级报批。
财务风险:入库存货质量、数量与原始单据不符,导致财务报告不真实。
1.1固体形态存货:分(子)公司仓储、质检部门要对存货数量、质量进行检验,审核到货清单、产品交付清单及剩余存货的退料清单,并与实物一一核对,无误后,【非ERP】及时开具入库单(或凭据)验收入库,入库单要由采购(或生产)、仓储等相关责任人签字。【ERP】在ERP系统办理入库,相关单据要由采购(或生产)、仓储等相关责任人签字。
3.5【非ERP】分(子)公司仓储部门根据存货库存收发情况,每月编制存货使用及结存情况报表,【ERP】分(子)公司仓储部门根据存货库存收发情况及ERP系统中生成存货使用及结存情况报表,
报告需采购时点的储量。至少每半年进行一次存货状态分析,对异常情况报警明示。供应、生产、营销、财务等部门共同研究降低(提高)库存方案,报分管副经理(或总会计师)审批。
对于管线出售的液体库存商品:分(子)公司有关部门办理相关合规手续后,由生产调度部门安排储运部门输送液体产品,根据管道流量表计算发出商品数量,发出商品数量经供方确认,营销部门审核后,由财务部门审核有关业务单据,办理货款结算手续。
信息系统管理业务内部控制矩阵
1信息系统管理业务内部控制矩阵11、1信息系统管理业务内部控制矩阵业务目标业务风险控制点适用单位不相容岗位控制点分值控制点相关资料相关制度索引会计报表认定会计报表项目1存在和发生/真实性;2完整性;3权利与义务;4估价或分摊;5表达和披露;6准确性1234561、IT整体层面管理1、1经营风险:信息化管理体系不完善,信息化领导小组或ERP指导委员会设置不健全,信息管理部门职责不落实,导致信息化工作受损。
1、1股份公司建立完善的信息化管理体系,设立ERP指导委员会,设立信息系统管理部负责股份公司信息化归口管理工作;各分(子)公司设立信息化领导小组或ERP指导委员会,定期召开会议,听取、总结和指导本单位信息化工作,设立信息管理部门负责本单位信息化管理工作,对信息系统和信息资源行使管理职责。
总部分(子)公司6ERP指导委员会或信息化领导小组成立文件;会议纪要信息管理部门职责文件1、10、51、12、2经营风险:信息化建设中长期规划不符合股份公司经营战略目标,导致盲目建设、投资低效。
1、2根据股份公司发展战略目标和核心业务,结合信息技术发展和股份公司实际,信息系统管理部负责组织编制股份公司信息化建设中长期规划,在充分征求职能部门、事业部和分(子)公司意见后,组织专家组评审,并根据专家意见负责组织修改,经信息系统管理部主任审核,按规定权限审批后,纳入股份公司中长期发展规划。
信息系统管理部5股份公司信息化建设中长期规划1、10、51、3教育和培训1、1经营风险:信息化培训缺乏,导致信息系统效能低下、信息化管理水平不高、信息化技能缺失。
1、3、1各级信息管理部门负责编制年度信息化培训计划,经部门负责人审批后,纳入人事部门年度培训计划,并组织落实。
信息系统管理部分(子)公司2年度培训计划1、10、51、1经营风险:信息安全教育不足,导致员工信息安全意识薄弱。
1、3、2各级信息管理部门配合人事部门开展全员信息安全教育和培训,并在信息门户或内部网站发布安全教育培训材料。
KPMG_SOX_法案内部控制矩阵培训资料PPT课件( 39页)
注4:控制发生的频率,包括每年/每季/每月/每周/每天/频繁发生/按需不定期等 注5:控制的类型,包括侦探性/预防性;人工控制/自动控制;以及具体的控制分类,包括授权及批准、
系统设置、关键绩效指标、例外情况报告和预警报告、配置帐项映射控制系统、系统访问权限、管 审阅、职责分工等
注6:是否是用来控制可能对公司的财务报告产生重大影响的舞弊风险的控制措施
省公司层面记录与财务报告相关的内部控制
对于每个与财务报告相关的业务流程,省公司业务流程描述中包括以 下内容:
一、业务流程范围
对业务流程所涉及的业务活动范围和所涉及的部门 范围的定义
二、所涉及的应用系统 本流程所涉及的的信息技术应用系统,以及在业务 和重要电子表格 流程中可能会最终影响财务报告的重要电子表格
三、目标 四、风险 五、相关会计科目
业务流程中与财务报告/防范错误或舞弊相关的目
业务流程中存在的,可能影响财务报告的可靠性以 及在防范和找出错误或舞弊方面的风险
记录业务活动过程中所涉及的会计科目
六、流程描述和关键控 制点
对业务流程进行完整详细的记录,其中包括流程运 作的步骤和程序,以及流程中与财务报告相关的内 部控制。在此基础上,提炼与财务报告相关的关键 控制点。
与控制环境相关的控制措施; 财务报表关账和汇总过程中的控制措施。
总部和省公司层面内部控制记录的基本框架和内
按照COSO框架确定的与财务报告相关内控记录包括以下部分:
1.控制环境
2.风险评估
3.控制活动 与财务报告相关的业务流程 及内部控制
4.信息与沟通 5.监控
1. 信息技术整体控制 2. 内部控制框架 3. 资本性支出业务流程 4. 收入和计费业务流程 5. 存货管理流程 6. 营运支出业务流程 7. 货币资金管理流程 8. 固定资产和无形资产管理业务流程 9. 人工成本管理流程 10. 会计和财务报告 11. 筹资业务流程 12. 关联方业务流程 13. 法律法规遵循业务流程
系统设置、关键绩效指标、例外情况报告和预警报告、配置帐项映射控制系统、系统访问权限、管 审阅、职责分工等
注6:是否是用来控制可能对公司的财务报告产生重大影响的舞弊风险的控制措施
省公司层面记录与财务报告相关的内部控制
对于每个与财务报告相关的业务流程,省公司业务流程描述中包括以 下内容:
一、业务流程范围
对业务流程所涉及的业务活动范围和所涉及的部门 范围的定义
二、所涉及的应用系统 本流程所涉及的的信息技术应用系统,以及在业务 和重要电子表格 流程中可能会最终影响财务报告的重要电子表格
三、目标 四、风险 五、相关会计科目
业务流程中与财务报告/防范错误或舞弊相关的目
业务流程中存在的,可能影响财务报告的可靠性以 及在防范和找出错误或舞弊方面的风险
记录业务活动过程中所涉及的会计科目
六、流程描述和关键控 制点
对业务流程进行完整详细的记录,其中包括流程运 作的步骤和程序,以及流程中与财务报告相关的内 部控制。在此基础上,提炼与财务报告相关的关键 控制点。
与控制环境相关的控制措施; 财务报表关账和汇总过程中的控制措施。
总部和省公司层面内部控制记录的基本框架和内
按照COSO框架确定的与财务报告相关内控记录包括以下部分:
1.控制环境
2.风险评估
3.控制活动 与财务报告相关的业务流程 及内部控制
4.信息与沟通 5.监控
1. 信息技术整体控制 2. 内部控制框架 3. 资本性支出业务流程 4. 收入和计费业务流程 5. 存货管理流程 6. 营运支出业务流程 7. 货币资金管理流程 8. 固定资产和无形资产管理业务流程 9. 人工成本管理流程 10. 会计和财务报告 11. 筹资业务流程 12. 关联方业务流程 13. 法律法规遵循业务流程
内控矩阵、流程图、内控手册-内部控制“三大利器”
发、跟踪与更新进行规范。
应对制度进行何种处理;并对制度
的落实和转化情况进行跟踪;
4.制度能够适时地得到更新,更新
内容可供单独查询,制度更新以标
准版本号标识;
5.制度得到妥善的归档与保管。
复核内控自评问卷
填写完内控自评问卷后,要进行自我复核,关注下列几方面要点:
1、是否参照同类型公司的自评问卷填写的?
自评问卷各个栏目如何填写?
情形四:答案
控制 目标 编号
TLHL -PUCO1101
控制目标
控制制,审核程 PU-CA序 企业应当加强采 1101 购付款的管理,完 善付款流程,明确 付款审核人的责任 和权力,严格审核 采购预算、合同、 相关单据凭证、审 批程序等相关内容, 审核无误后按照合 同规定及时办理付 款。
怎样填写内控自评问卷
如果评估时发现控制设计 存在缺陷或问题,请回答 “否”,并需要在“附注 [5]”列中对控制设计存在 的问题进行具体描述。
自评人根据自己对相关控制活动的检查 填写“是”或“否”,填写时自评人需 要确保所有相关交易都已严格执行相关 控制活动并如实填写。当“控制设计是 否有效”栏为“否”时,请在“控制执 行是否有效”栏填写“不适用”。当 “控制执行是否有效”栏为“否”时, 请在“附注[5]”列中对控制执行存在的 问题进行具体描述。
2、对照内部控制配套指引,是否存在本单位有该项业务,而自评问卷中没有 体现该项业务及相应的控制目标、关键控制活动,如有,要在问卷中进行补 充,并标注。
3、对于自评问卷中已经体现了该项业务及相应的控制目标,是否存在该项业 务的关键控制活动未能全部涵盖,若未能涵盖的,在问卷中找到对应的控制 目标,进行补充描述,并标注。
02 PART TWO
信息资源管理业务内部控制矩阵
总部各部门
分(子)公司
经营风险:系统上线前未经严格测试,系统功能存在问题,导致应用系统不能正常运行。
应用系统上线前,必须由信息管理部门组织测试系统功能,形成测试报告,并经最终用户部门负责人签字确认。
总部各部门
分(子)公司
3
系统功能测试报告
系统初始化管理
合规风险:应用系统数据的收集、整理不规范,未经审核确认,导致系统存在大量垃圾数据或数据失真。
经营风险:备份策略和备份方案不完善,应用系统程序备份不及时,导致系统无法恢复。
4.2.2系统管理员适时对系统进行备份,同时检查备份系统的可读性,确认备份是否成功。
总部各部门
分(子)公司
3
系统备份记录
经营风险:数据库、应用系统日志备份不及时,导致系统问题无法追溯或系统无法恢复。
4.2.3系统管理员、应用管理员至少每月对数据库、应用系统的日志进行备份。
2.6.4
2.14.20
经营风险:系统变更管理不规范,导致应用系统运行和维护的无法正常进行。
总部统一建设的应用系统,系统变更必须填写系统变更审批表上报信息系统管理部和总部相关部门,由总部统一组织升级、测试和变更,各分(子)公司不得自行变更。各分(子)公司自建系统或客户化开发的变更,必须经过分(子)公司信息管理部门和相关部门负责人审批。
总部各部门、分(子)公司依据《中国石油化工股份有限公司管理信息系统应用管理办法(试行)》(以下简称《信息系统应用管理办法》),及相关应用系统管理办法实施程序和数据访问管理,包括用户权限管理、用户帐号及访问管理、密码管理、系统管理员、应用管理员、安全管理员(主要职责是承担对系统管理员、应用管理员的监管,负责审查系统管理员、应用管理员在系统中的操作)管理、第三方人员管理等。
分(子)公司
经营风险:系统上线前未经严格测试,系统功能存在问题,导致应用系统不能正常运行。
应用系统上线前,必须由信息管理部门组织测试系统功能,形成测试报告,并经最终用户部门负责人签字确认。
总部各部门
分(子)公司
3
系统功能测试报告
系统初始化管理
合规风险:应用系统数据的收集、整理不规范,未经审核确认,导致系统存在大量垃圾数据或数据失真。
经营风险:备份策略和备份方案不完善,应用系统程序备份不及时,导致系统无法恢复。
4.2.2系统管理员适时对系统进行备份,同时检查备份系统的可读性,确认备份是否成功。
总部各部门
分(子)公司
3
系统备份记录
经营风险:数据库、应用系统日志备份不及时,导致系统问题无法追溯或系统无法恢复。
4.2.3系统管理员、应用管理员至少每月对数据库、应用系统的日志进行备份。
2.6.4
2.14.20
经营风险:系统变更管理不规范,导致应用系统运行和维护的无法正常进行。
总部统一建设的应用系统,系统变更必须填写系统变更审批表上报信息系统管理部和总部相关部门,由总部统一组织升级、测试和变更,各分(子)公司不得自行变更。各分(子)公司自建系统或客户化开发的变更,必须经过分(子)公司信息管理部门和相关部门负责人审批。
总部各部门、分(子)公司依据《中国石油化工股份有限公司管理信息系统应用管理办法(试行)》(以下简称《信息系统应用管理办法》),及相关应用系统管理办法实施程序和数据访问管理,包括用户权限管理、用户帐号及访问管理、密码管理、系统管理员、应用管理员、安全管理员(主要职责是承担对系统管理员、应用管理员的监管,负责审查系统管理员、应用管理员在系统中的操作)管理、第三方人员管理等。
内控矩阵的编写方法
怎样填写内控推广自评问卷
若推广单位的实 际流程和控制责 任部门与左栏 “关键控制活动 描述”和“控制 责任部门”相同, 则请填写“是”。 不一致则填写否。
若推广单位的实 际流程与左栏 “关键控制活动 描述”不一致, 则在本栏中填写 本推广单位实际 的控制活动。
若推广单位的控 制活动责任部门 与左栏“控制责 任部门”不一致, 则在本栏中填写 本推广单位实际 的控制责任部门。
票给客户
是否直接与客 户结算
否
财务部门审核销售 发票并传递股份公 是
司财务部
销售发票
开具发票
CA312 统销单位将销售发 票传递给客户,并 要求客户签收
结束
销售会计审核并传 递给统销单位
销售发票
绘制业务流程图的范围(供参照)
序 号
流程名称
子流程
销售定价管理
合同及订单的管理
发票的开具及销售收入的确定
▪ 动作框/判断框→文档框→动作框/判断框:表示某一个工作步骤产生的
文档在下一步工作步骤中需要使用。
▪ 动作框/判断框→文档框(后无连线):表示某一个工作步骤产生的文档
仅用作参考或资料保存,与下一步工作步骤没有直接联系。
23
绘制流程图
<控制缺陷编号> <控制活动编号>
<流程框>
24
绘制流程图举例
编制及涉及部门
销售处/财务处 销售处/财务处 销售处/财务处 销售处/财务处 销售处/财务处 销售处/财务处 财务处/设备保全处/生产技术处 财务处/设备保全处/生产技术处 财务处/设备保全处/生产技术处 财务处/设备保全处/生产技术处 财务处/设备保全处/生产技术处 财务处/设备保全处/生产技术处/品质处 供应处/设备保全处/生技处 供应处/设备保全处/生技处/财务处 供应处/设备保全处/生技处/工程处 财务处/工程处 工程处 供应处/财务处/品质处/生产技术处 供应处/财务处/品质处/生产技术处 供应处/财务处/品质处/生产技术处 供应处/财务处/品质处/生产技术处 供应处/财务处/品质处/生产技术处 财务处
内控实训--如何编制风险控制矩阵PPT幻灯片课件
32
什么是控制活动?
控制活动:是一种保证管理层的指令得到实施的政策和程序,它确
保必要的活动得到执行,以降低风险,达成企业目标。 控制活动贯穿于整个企业组织内,涉及所有的级别和部 门。
控制活动简单的说就是公司为了合理保证前述认定的实现而在业务流程层面 所采取的行动。
注:尽管控制活动本身可以看做是一个过程、体系,但在流程层面,我们需 要将其中的关键点(即与控制认定的实现最相关的关键控制活动)识别出来 并准确记录。
➢ “事无巨细” ➢ 用简单句 ➢ 用统一的语言名称和称谓
17
流程描述编写举例
谁谁??
做做什什么么??
什什么么时时候候??
“应付账款会计在收到入库单、采购检验单及 供应商发票后,进行“三单匹配”,即检查其 是否与采购合同/订单上的采购项目、数量、 单价、总金 额、质量要求等一致。”
为为什什么么??
33
什么是控制活动? (续)
流程层面控制的主要类型举例如下: 不相容职责分离 授权审批 会计系统 财产保护 预算 运 营分析 绩效考核
注:依据《企业内部控制规范》
34
什么是控制活动? (续)
➢ 各司其职,各负其责,相互制约 举例:
☆ 申请与审批 ☆ 采购与入账 ☆ 付款与审批
35
什么是控制活动? (续)
11
流程描述示例-审批记录
12
流程描述示例-修订更新记录
13
流程描述示例-内容
14
流程描述示例-附表
15
流程描述作用
程序描述是: ➢ 分析内部控制设计缺陷的基础; ➢ 针对现有内部控制设计缺陷提出改进建议的基础; ➢ 管理层对有关财务报告的内部控制执行有效性进行评估的基础; ➢ 对内控进行审计的基础。
信息资源管理业务内部控制矩阵
分(子)公司
10
1.10.1
6.信息授权
1.1
1.2
经营风险:部门信息授权不当,导致信息泄密或贻误工作。
6.1信息管理部门依据股份公司有关信息资源管理的规定,按照各部门管理职责及部门间共享信息需求目录,通过信息平台对各部门实施信息授权。
信息系统管理部
分(子)公司
信息管理部门
相关部门
5
1.10.4
1.1
总部各部门
分(子)公司
12
部门信息密级目录列表
1.10.4
5.信息集中和信息整合
1.1
1.2
1.3
经营风险:信息平台功能欠缺,信息集成度不够,信息处理不当,导致信息质量下降。
5.1信息管理部门负责建立内部公共信息平台,实施信息集中和信息整合,采用统一标准接入、存储、处理和发布各类信息。
信息系统管理部
1.2
2.1
经营风险:员工信息授权不当,导致信息泄密或贻误工作。
违反股份公司保密等规定,导致商业秘密信息流失。
合规风险:信息的收集、提供、使用、转让违反国家法律法规及导致处罚;违反股份公司内部规章制度等,导致商业秘密流失。
6.2各部门依据《中国石化信息分级及信息门户授权规则》,结合本部门信息密级目录列表,按照员工的工作职责,形成本部门员工信息授权列表,并由部门负责人审查签字,通过信息平台对员工分别进行信息授权,保证信息准确送达。员工工作岗位发生变动,应及时变更信息授权列表,通过信息平台及时变更信息授权。
7.2信息管理部门及有关部门做好外购信息的及时采集和处理,保证信息的时效性,按日、按周、按月等适时更新。
总部各部门
分(子)公司
5
1.10.1
1.3
10
1.10.1
6.信息授权
1.1
1.2
经营风险:部门信息授权不当,导致信息泄密或贻误工作。
6.1信息管理部门依据股份公司有关信息资源管理的规定,按照各部门管理职责及部门间共享信息需求目录,通过信息平台对各部门实施信息授权。
信息系统管理部
分(子)公司
信息管理部门
相关部门
5
1.10.4
1.1
总部各部门
分(子)公司
12
部门信息密级目录列表
1.10.4
5.信息集中和信息整合
1.1
1.2
1.3
经营风险:信息平台功能欠缺,信息集成度不够,信息处理不当,导致信息质量下降。
5.1信息管理部门负责建立内部公共信息平台,实施信息集中和信息整合,采用统一标准接入、存储、处理和发布各类信息。
信息系统管理部
1.2
2.1
经营风险:员工信息授权不当,导致信息泄密或贻误工作。
违反股份公司保密等规定,导致商业秘密信息流失。
合规风险:信息的收集、提供、使用、转让违反国家法律法规及导致处罚;违反股份公司内部规章制度等,导致商业秘密流失。
6.2各部门依据《中国石化信息分级及信息门户授权规则》,结合本部门信息密级目录列表,按照员工的工作职责,形成本部门员工信息授权列表,并由部门负责人审查签字,通过信息平台对员工分别进行信息授权,保证信息准确送达。员工工作岗位发生变动,应及时变更信息授权列表,通过信息平台及时变更信息授权。
7.2信息管理部门及有关部门做好外购信息的及时采集和处理,保证信息的时效性,按日、按周、按月等适时更新。
总部各部门
分(子)公司
5
1.10.1
1.3
内部控制手册第3部分-内控矩阵(C)——6,3工程项目管理业务控制矩阵
1.1 经营风险:未按规定编制和报 4.3.2 根据股份公司下达的年度固定资产投资计划,限上工程项目由分(子)公司编制年度工 工程部
批项目实施计划,影响项目实 程实施建议计划并报工程部,工程部组织编制股份公司年度固定资产投资工程建设项目实施 分(子)公司
施。
计划并报总裁批准后下达;限下工程项目的年度工程实施计划,由分(子)公司经理或其授
量确认,造成损失。
由分(子)公司质量管理人员检查确认。未经签字确认,不得在工程中使用或安装。
1.1 经营风险:对工程关键部份未 4.2.6 隐蔽工程、关键部位和重要工序,建设单位或监理单位须实施旁站监督;工程项目委托 分(子)公司
按规定监督,造成损失。
监理的,未经监理工程师签字确认,不得进入下一道工序施工。
1.1 经营风险、合规风险:施工违 4.2.7 分(子)公司依照法律、法规、标准和股份公司有关规章制度,规范施工现场的职业健 分(子)公司
1.2 反 HSE 管理规定或法律法 康安全和环境管理,及时组织处理重大安全隐患。
3.1 规,造成损失。
1.1 经营风险:未组织检查或未及 4.2.8 分(子)公司在坚持日常巡视检查的基础上,组织定期或不定期的工程质量、安全和文 工程部
经办 审批
2 工程变更管理规定 工程变更审批记录
1.18.5
经办
3 结算凭证
√
审批
2 工程进度报表
√
工程进度确认表或批
复文件
在建工程
在建工程 在建工程
业务 目标
业务风险
控制点
适用单位
1.3 经营风险、财务风险:动用工 4.4.6 由于设计漏项、工程变更、价格波动、政策调整以及其他不可预见因素,需要动用工程 工程部
内部管理-信息资源管理业务内部控制矩阵 精品
应用管理员
安全管理员
3
操作日志或记录审核记录
1.6第三方人员管理
1.1
1.2
2.1
2.2
经营风险:第三方合作单位管理不到位,造成系统泄密或受到非法访问。
1.6.1总部各部门、分(子)公司与第三方合作单位就相关应用系统签订安全保密协议。
总部各部门
分(子)公司
3
安全保密协议
1.1
1.2
2.1
2.2
经营风险:对第三方人员用户权限管理不规范,导致对系统的非法或非授权访问。
总部各部门
分(子)公司
5
程序和数据访问管理制度
1.10.3
2.6.4
2.14.20
1.2 用户权限管理
1.1
1.2ห้องสมุดไป่ตู้
经营风险:用户权限管理不规范,导致对系统的非法或非授权访问。
1.2.1新进员工及岗位变动人员按照用户权限相关管理办法填写用户权限审批表,经相关部门负责人审批后,由应用管理员在系统中新增、变更或锁定用户权限。
总部各部门
分(子)公司
系统管理员
应用管理员
安全管理员
4
信息系统岗位授权文档;
在职情况审查记录
1.1
1.2
经营风险:安全管理员监督不到位,系统安全收到威胁。
1.5.2安全管理员至少每季度对系统管理员、应用管理员的操作日志或记录进行检查,提出审核意见,并报相关部门负责人。
总部各部门
分(子)公司
系统管理员
总部各部门
分(子)公司
3
密码更换检查记录
1.1
经营风险:系统、应用管理员密码设置强度不够或更改不及时,造成系统泄密或受到非法访问
1.4.2系统管理员、应用管理员应在系统投用前修改操作系统、数据库、应用系统的超级用户初始密码。上述密码至少三个月更换一次,安全管理员对定期更换记录进行检查。
安全管理员
3
操作日志或记录审核记录
1.6第三方人员管理
1.1
1.2
2.1
2.2
经营风险:第三方合作单位管理不到位,造成系统泄密或受到非法访问。
1.6.1总部各部门、分(子)公司与第三方合作单位就相关应用系统签订安全保密协议。
总部各部门
分(子)公司
3
安全保密协议
1.1
1.2
2.1
2.2
经营风险:对第三方人员用户权限管理不规范,导致对系统的非法或非授权访问。
总部各部门
分(子)公司
5
程序和数据访问管理制度
1.10.3
2.6.4
2.14.20
1.2 用户权限管理
1.1
1.2ห้องสมุดไป่ตู้
经营风险:用户权限管理不规范,导致对系统的非法或非授权访问。
1.2.1新进员工及岗位变动人员按照用户权限相关管理办法填写用户权限审批表,经相关部门负责人审批后,由应用管理员在系统中新增、变更或锁定用户权限。
总部各部门
分(子)公司
系统管理员
应用管理员
安全管理员
4
信息系统岗位授权文档;
在职情况审查记录
1.1
1.2
经营风险:安全管理员监督不到位,系统安全收到威胁。
1.5.2安全管理员至少每季度对系统管理员、应用管理员的操作日志或记录进行检查,提出审核意见,并报相关部门负责人。
总部各部门
分(子)公司
系统管理员
总部各部门
分(子)公司
3
密码更换检查记录
1.1
经营风险:系统、应用管理员密码设置强度不够或更改不及时,造成系统泄密或受到非法访问
1.4.2系统管理员、应用管理员应在系统投用前修改操作系统、数据库、应用系统的超级用户初始密码。上述密码至少三个月更换一次,安全管理员对定期更换记录进行检查。
内控实训之风险控制矩阵
2021/5/24
6
流程图记录
绘制流程图-分层次的方法例示:
业务环节 采购 销售
第一层
具体流程 销售订单 销售处理
发货 开具发票
活动
第二层
三单匹配 打印发票 盖章确认 送出发票
第三层
步骤
进入税务 系统
输入数据
核对 数据
打印
©2009上海甫瀚投资管理咨询有限公司 机密:此文件只供格特拉克(江西)传动系统有限公司内部参阅,请勿复制或分发予第三方。
流程描述注意点
✓ 在一个业务活动中的所有子流程,以及流程步骤 ✓ 流程中的交易活动是怎样从头至尾开展的 ✓ 每一个关键文件是怎样产生的?有什么作用? ✓ 谁在流程记录的活动中,做了什么?流程产生了什么报告? ✓ 每份报告交给谁审核或参考? ✓ 流程活动产生了什么证据? ✓ 交易活动多长时间发生一次?每天?每周?每月? ✓ 文件备份或者数据库是怎样维护和更新的?
©2009上海甫瀚投资管理咨询有限公司 机密:此文件只供格特拉克(江西)传动系统有限公司内部参阅,请勿复制或分发予第三方。
2021/5/24
30
什么是风险?(续)
其他风险进一步举例:
另外,还有一些风险本身并不直接影响到财务报告,而是导致经营 效率低下或企业行为不合法合规等问题。
❖ 未与供应商签订包含法律责任条款的协议文书; ❖ 逾期未到货的采购订单未被有效地监控。
流程描述
对相关的流程的操作步骤按 照实际情况进行描述
企业名称:
组织名称:**
*循环:销 流程:接受订
售
单
R-1
企业名称:
组织名称:**
*循环:销 流程:接受订
售1. ・・・单・
编制内控矩阵及查找内控缺陷共47页文档
编制内控矩阵及查找内控缺陷
36、“不可能”这个字(法语是一个字 ),只 在愚人 的字典 中找得 到。--拿 破仑。 37、不要生气要争气,不要看破要突 破,不 要嫉妒 要欣赏 ,不要 托延要 积极, 不要心 动要行 动。 38、勤奋,机会,乐观是成功的三要 素。(注 意:传 统观念 认为勤 奋和机 会是成 功的要 素,但 是经过 统计学 和成功 人士的 分析得 出,乐 观是成 功的第 三要素 。
39、没有不老的誓言,没有不变的承 诺,踏 上旅途 ,义无 反顾。 40、对时间的价值没有没有深切认识 的人, 决不会 坚韧勤 勉。
Hale Waihona Puke 谢谢你的阅读❖ 知识就是财富 ❖ 丰富你的人生
71、既然我已经踏上这条道路,那么,任何东西都不应妨碍我沿着这条路走下去。——康德 72、家庭成为快乐的种子在外也不致成为障碍物但在旅行之际却是夜间的伴侣。——西塞罗 73、坚持意志伟大的事业需要始终不渝的精神。——伏尔泰 74、路漫漫其修道远,吾将上下而求索。——屈原 75、内外相应,言行相称。——韩非
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
自评人根据自己对相关控制活动的检查 填写“是”或“否”,填写时自评人需要确保 所有相关交易都已严格执行相关控制活 动并如实填写。当“控制设计是否有效”栏 为“否”时,请在“控制执行是否有效”栏填 写“不适用”。当“控制执行是否有效”栏为 “否”时,请在“附注[5]”列中对控制执行 存在的问题进行具体描述。
9
内控推广自评问卷填写练习(续)
情形一:
固定资产过去一年中未进行盘点。 “控制活动是否发生变化”、“控制设计是否有效”、“控制执行是否有效”三栏 如何填写?
10
内控推广自评问卷填写练习(续)
情形一建议答案:
控制活动是否 控制设计 控制执行
发生变化(是/ 是否有效 是否有效
否)
(是/否) (是/否)
5、经公司领导签署的内控推广自评问卷上报到总部内 控推广小组。
6、新建子公司,以现有业务进行相应填写,待销售等
新业务发生后,再及时进行梳理和填写。
8
内控推广自评问卷填写练习
控制活动描述:
每年年末,进行固定资产盘点,清查盘点方案由运营管理部和行政人 事部负责制订,委托运营单位和计划财务部配合实施。固定资产清查 盘点内容包括根据固定资产标签检查固定资产账物一致情况和固定资 产管理工作情况。计划财务部管理固定资产会计人员对固定资产进行 抽盘。盘点人和监盘人在盘点报告上签字。如发现盈亏,查明原因, 提出处理意见,写出书面报告,经运营管理部/行政人事部、计划财务 部和总经理批准后才能进行账务调整。
关键控制活动描述
控制责 任部门
由供应处根据发票及合 财务处 同填写合同汇款申请单, 经供应处负责人审核, 验收部门及使用部门确 认签字后,交财务处材 料会计,材料会计根据 发票入账情况及合同进 行审核签字,交合同审 计审核签字,再由财务 负责人审核签字,交公 司分管领导及公司主要 负责人审批,最后由财 务处负责人审批,交材 料会计做付款账务处理。
内控矩阵的编写方法
1 1
何为内控矩阵
内部控制矩阵是什么? 内部控制矩阵是对企业内部控制的整理,能够系统化地展 现企业所需要达到的控制状态和企业的控制现状,并可以 直观地显示出两者间的差距。同时,内控矩阵也可以详细 地记录企业控制活动的关键属性信息,帮助内控的实施者、 管理者、监督者了解、执行和检查控制活动。 内部控制矩阵有哪些组成分? 控制目标 关键控制活动 责任部门和责任人 相关文档和相关制度 控制活动的属性、方式和频率
推广问卷各个栏目如何填写?
16
内控推广自评问卷填写练习—情形四建议答案
控制 目标 编号
控制目标
控制活 动编号
TLHLPUCO1101
加强和完善付款流 TLHL程和控制,审核程 PU-CA序 企业应当加强 1101 采购付款的管理, 完善付款流程,明 确付款审核人的责 任和权力,严格审 核采购预算、合同、 相关单据凭证、审 批程序等相关内容, 审核无误后按照合 同规定及时办理付 款。
12
内控推广自评问卷填写练习(续)
情形二建议答案:
控制活动是否发 生变化(是/否)
控制设计 是否有效 (是/否)
控制执行 是否有效 (是/否)
说明
从12月起对于控股子公司
固定资产报废,原值金额
是
是
大于200,000元的需报控
是
股公司相关部门审批。
13
内控推广自评问卷填写练习(续)
情形三:
固定资产每年盘点一次,但此次评估期间内未进行过盘点。 “控制活动是否发生变化”、“控制设计是否有效”、“控制执行是否 有效”三栏如何填写?
14
内控推广自评问卷填写练习(续)
情形三建议答案:
控制活动 是否发生
变化 (是/否)
控制设计 是否有效 (是/否)
控制执行 是否有效 (是/否)
附注Βιβλιοθήκη 固定资产每年盘点一次,但否
是
此次评估期间内未进行过盘 未发生 点。
15
内控推广自评问卷填写练习(续)
情形四:
各单位在填写”采购与付款“活动推广问卷时,假如出现以下情 形: 1、关键控制活动描述中,没有“交合同审计审核签字”环节; 2、在控制执行环节中,没有经公司领导审批就进行了付款。
对于存在内控缺陷的情况, 应在此列中对内控缺陷的 问题进行具体描述并填写 建议的控制活动或详细的 整改方案,包括整改负责 部门/人员和整改期限。
6
怎样填写内控推广自评问卷
填写推广自评问 卷的部门、评估 人及审核人
如果发现存在控制缺陷(设 计缺陷和执行缺陷),则在 此处填写缺陷编号和缺陷的 具体描述。
7
内控推广自评问卷填写要求
内控推广自评 问卷
1、内控推广自评问卷由总部下发后,由子公司内控组 指定流程负责人,由流程负责人分配控制责任人组织填 写,再汇总结果。
2、对于内控推广自评问卷中的各个关键控制点,由控 制责任人进行自评。
3、控制责任人保存关键控制的相关文档。
4、公司领导必须对该公司的内控推广自评问卷进行审 核签署。
若推广单位的实 际流程与左栏“关 键控制活动描述” 不一致,则在本 栏中填写本推广 单位实际的控制 活动。
若推广单位的控 制活动责任部门 与左栏“控制责任 部门”不一致,则 在本栏中填写本 推广单位实际的 控制责任部门。
5
怎样填写内控推广自评问卷
如果评估时发现控 制设计存在缺陷或 问题,请回答“否”, 并需要在“附注[5]” 列中对控制设计存 在的问题进行具体 描述。
2
内控推广自评问卷模板(现在必须填的是此表)
3
怎样填写内控推广自评问卷
该部分内容与前期各试点单位内控矩 阵相一致,包括控制目标、控制活动 及责任部门。供推广自评单位问卷填 写人员参照。 该部分内容无需推广自评问卷填写人 员填写。
4
怎样填写内控推广自评问卷
若推广单位的实 际流程和控制责 任部门与左栏“关 键控制活动描述” 和“控制责任部门” 相同,则请填写 “是”。不一致则 填写否。
说明
盘点在过去一年中未进行。
否
是
否
整改方案:
计划于XX月进行固定资
产全面盘点。
11
内控推广自评问卷填写练习(续)
情形二:
固定资产12月进行了全面盘点。盘盈盘亏均按照公司政策进行了 处理,但对于分支机构和控股子公司固定资产报废,从12月起改 为原值金额大于200,000元的需报控股公司相关部门审批。 “控制活动是否发生变化”、“控制设计是否有效”、“控制执行是否 有效”三栏如何填写?