信息系统管理业务内部控制矩阵
建立健全的管理制度流程与责任矩阵
建立健全的管理制度流程与责任矩阵近年来,随着企业规模的不断扩大和管理环境的变化,建立健全的管理制度流程和责任矩阵变得尤为重要。
良好的管理制度流程和责任矩阵可以提高组织效率、减少管理风险,并促进企业的可持续发展。
本文将从十个方面展开,讨论如何建立健全的管理制度流程与责任矩阵。
一、明确管理制度流程的目标与优势建立管理制度流程的首要任务是明确其目标与优势。
管理制度流程的目标包括规范组织内外部各个环节的行为、促进信息流动和协调各级管理决策。
其优势在于提高工作效率、减少决策周期、增强组织的透明度和责任感。
二、制定和完善各个环节的规章制度管理制度流程包括不同的环节,如人力资源管理、财务管理、运营管理等。
针对每个环节,组织应制定相应的规章制度,明确各项操作步骤和责任分工,确保工作的高效有序进行。
三、建立责任矩阵,明确岗位职责责任矩阵是管理制度流程的重要组成部分,通过明确岗位职责,可以使员工在工作中有明确的目标和职责。
建立责任矩阵时,应考虑各岗位的职责特点和工作需要,合理分配任务和权限,使每个人都明确自己的职责所在。
四、建立信息流通和沟通机制信息流通和沟通是管理制度流程中至关重要的环节。
建立有效的信息系统,确保信息的准确、及时和全面传递是必不可少的。
此外,组织还应建立一套有效的沟通机制,促进部门之间的合作和信息共享。
五、加强内部控制和风险管理为了确保管理制度流程的顺利运行,组织必须加强内部控制和风险管理。
建立健全的内部控制机制,包括明确审批流程、建立预警机制、监督追责制度等等,可以有效地减少各类风险的发生和损失。
六、培养和提升员工素质与能力良好的管理制度流程离不开员工的素质和能力。
组织应注重员工的培训和提升,提高其专业技能和执行力,使其更好地适应工作的需求,并为组织发展注入新的动力。
七、建立绩效管理机制建立有效的绩效管理机制是管理制度流程中的关键环节。
通过明确绩效目标、制定考核标准和建立奖惩机制,可以激励员工积极工作,提高整体绩效表现。
编制内控矩阵及查找内控缺陷
编制内控矩阵及查找内控缺陷一、编制内控矩阵内控矩阵是指针对企业的各项业务流程和风险进行分类分析,建立的一套内部控制体系,其主要作用是指导企业健全内部控制机制,保障企业运作的安全性和有效性。
企业编制内控矩阵的目的是识别业务流程中的关键环节、风险点以及对应的控制要素,为企业建立完善的内部控制体系提供指导。
编制内控矩阵的步骤如下:1.确定内控矩阵的范围和领域:在编制内控矩阵之前,需要明确编制的内控矩阵的范围以及需要覆盖的业务领域。
例如,可以选择涵盖企业的财务管理、采购管理、销售管理、人力资源管理等方面。
2.识别业务流程中的关键环节:对于不同的业务流程,需要仔细识别其中的关键环节,包括所涉及的流程、部门、人员以及资源等。
这需要全面考虑业务流程中所有的环节,从而识别并深入了解每个环节的风险点和控制要素。
3.评估风险点的重要性:对于识别出的风险点,需要结合实际情况对其进行评估,包括对其直接或间接影响的程度、概率等因素进行分析和评估。
这是因为不同风险点的影响和风险程度可能存在差异,相应的控制要素也需要针对性的进行制定。
4.确定控制要素:在评估风险点的基础上,可以确定相应的控制要素,包括控制目标、控制标准、控制流程等,并对不同阶段的内部控制要素进行分类。
5.制定内控矩阵:在明确了控制要素后,就可以根据不同的业务流程、部门和环节,制定相应的内控矩阵。
内控矩阵可以使用表格或者流程图等形式,清晰地给出企业的业务流程、风险点、控制要素等信息,以帮助企业深入了解和完善内部控制机制。
二、查找内控缺陷通过编制内控矩阵,企业能够清晰地识别和了解企业的业务流程以及相关的风险点和内部控制要素。
然而,内控矩阵的制定和使用并不能完全杜绝内控缺陷的出现。
当企业发现内部控制机制存在问题时,应及时采取措施,切实加强内部控制。
以下是查找内控缺陷的一些方法:1.观察和检查:企业可以通过对业务流程的观察和检查,找出内控缺陷的关键点。
例如,检查资金流向、账目记录的准确性、票据、凭证等是否齐全、真实、准确,并在此基础上识别和解决存在的问题。
ERP系统IT一般性控制内部控制矩阵(制度范本、DOC格式)
分(子)公司
业务支持人员
应用管理员
3
业务支持人员名单
1.1
经营风险:超级用户权限管理不当,影响系统安全稳定或生产经营。
1.9超级用户权限必须严格控制,申请时必须阐明使用原因,并经ERP支持中心负责人审核签字后,应用管理员才能在系统中进行分配,使用后要及时将权限回收。
总部各部门
分(子)公司
2
用户变更申请表
用户角色矩阵
1.1
1.2
2.3
2.4
经营风险:未及时锁定或删除岗位变动、离职人员帐号,导致系统存在安全隐患。
1.2.2操作人员由于岗位变动或离开单位,人事部门必须及时通知ERP支持中心,ERP支持中心应用管理员在系统中将该用户进行锁定或删除。
总部各部门
分(子)公司
分(子)公司
1
SAP*、DDIC帐号密码修改记录
1.1
经营风险:业务支持人员的权限分配不当,影响系统安全稳定或生产经营。
1.8业务支持人员支持权限的新建、变更、删除、锁定需经ERP支持中心负责人审核签字后由应用管理员在系统中进行分配,业务支持人员在生产系统中只有相应模块的显示、跟踪权限,不能分配业务操作权限、后台配置权限。
1.10.4
2.10.4
1.2用户权限管理
1.1
1.2
2.3
2.4
经营风险:权限设置不当,导致对系统的非法或非授权访问。
1.2.1建立/变更用户帐号和角色,由申请人填写ERP系统用户权限申请表,经相关部门负责人审批后,由应用管理员在系统中建立/维护权限,相关人员进行权限测试并确认,关键用户对角色矩阵实时维护并进行版本管理。
1
用户变更申请表
人员变动清单
内部控制手册第3部分-内控矩阵——11,4应用系统IT一般性控制内部控制矩阵
4.2.2系统管理员适时对系统进行备份,同时检查备份系统的可读性,确认备份是否成功。
总部各部门
分(子)公司
3
系统备份记录
经营风险:数据库、应用系统日志备份不及时,导致系统问题无法追溯或系统无法恢复。
4.2.3系统管理员、应用管理员至少每月对数据库、应用系统的日志进行备份。
总部各部门
分(子)公司
经营风险:系统上线前未经严格测试,系统功能存在问题,导致应用系统不能正常运行。
应用系统上线前,必须由信息管理部门组织测试系统功能,形成测试报告,并经最终用户部门负责人签字确认。
总部各部门
分(子)公司
3
系统功能测试报告
系统初始化管理
合规风险:应用系统数据的收集、整理不规范,未经审核确认,导致系统存在大量垃圾数据或数据失真。
4.3.2应用管理员对应用系统操作日志或记录、安全管理员对直接访问数据库的操作日志至少每月进行一次审核,发现异常情况,及时上报信息管理部门/相关部门负责人,同时查明原因,提出处理意见,记录处理情况。
总部各部门
分(子)公司
应用管理员
安全管理员
3
日志审核记录
经营风险:系统问题处理、故障记录不规范,影响系统稳定运行。
总部各部门
分(子)公司
3
用户帐号清单
密码管理
经营风险:密码设置强度不够或更改不及时,造成系统泄密或受到非法访问
1.4.1操作人员应按照密码管理相关规定,遵循系统密码的长度至少为6位,复杂度为数字与字符的组合,三个月更改一次密码等密码规则设置密码,不得使用最近使用过的密码。应用管理员对操作人员密码定期更换记录进行检查。
内控矩阵、流程图、内控手册-内部控制“三大利器”
发、跟踪与更新进行规范。
应对制度进行何种处理;并对制度
的落实和转化情况进行跟踪;
4.制度能够适时地得到更新,更新
内容可供单独查询,制度更新以标
准版本号标识;
5.制度得到妥善的归档与保管。
复核内控自评问卷
填写完内控自评问卷后,要进行自我复核,关注下列几方面要点:
1、是否参照同类型公司的自评问卷填写的?
自评问卷各个栏目如何填写?
情形四:答案
控制 目标 编号
TLHL -PUCO1101
控制目标
控制制,审核程 PU-CA序 企业应当加强采 1101 购付款的管理,完 善付款流程,明确 付款审核人的责任 和权力,严格审核 采购预算、合同、 相关单据凭证、审 批程序等相关内容, 审核无误后按照合 同规定及时办理付 款。
怎样填写内控自评问卷
如果评估时发现控制设计 存在缺陷或问题,请回答 “否”,并需要在“附注 [5]”列中对控制设计存在 的问题进行具体描述。
自评人根据自己对相关控制活动的检查 填写“是”或“否”,填写时自评人需 要确保所有相关交易都已严格执行相关 控制活动并如实填写。当“控制设计是 否有效”栏为“否”时,请在“控制执 行是否有效”栏填写“不适用”。当 “控制执行是否有效”栏为“否”时, 请在“附注[5]”列中对控制执行存在的 问题进行具体描述。
2、对照内部控制配套指引,是否存在本单位有该项业务,而自评问卷中没有 体现该项业务及相应的控制目标、关键控制活动,如有,要在问卷中进行补 充,并标注。
3、对于自评问卷中已经体现了该项业务及相应的控制目标,是否存在该项业 务的关键控制活动未能全部涵盖,若未能涵盖的,在问卷中找到对应的控制 目标,进行补充描述,并标注。
02 PART TWO
内控矩阵、流程图、内控手册-内部控制“三大利器”
怎样填写内控自评问卷
该部分内容与前期各试点单位内控矩阵相一致,包括控制目标、控制活动及责任部门。供自评单位问卷填写人员参照。 该部分内容无需自评问卷填写人员填写。
怎样填写内控自评问卷
若自评单位的实际流程和控制责任部门与左栏“关键控制活动描述”和“控制责任部门”相同,则请填写“是”。不一致则填写否。
建议
整改责任部门
整改完成时间
GF-IA-01
内部环境
制度管理机制不全面
在访谈和穿行测试中我们发现,部分制度下发后,没有明确的跟进要求和追踪管理,未被转化为子公司自身的制度;部分制度制定年份较早,已不能适应企业当前的发展需要。进一步了解后我们发现,公司尚未制定系统的制度管理办法,未能就各项管理制度的制定、下发、跟踪与更新进行规范。
建立制度管理办法,明确在制度管理中各相关部室的权责与分工、制度的编制与发布、制度的下发与跟踪、制度的更新与记录、制度的归档与保存等管理要求,确保: 1.制度管理的权责分工明晰; 2.制度的编制经过适当的审核与法定的表决程序; 3.制度下发过程中确保接收方了解应对制度进行何种处理;并对制度的落实和转化情况进行跟踪; 4.制度能够适时地得到更新,更新内容可供单独查询,制度更新以标准版本号标识; 5.制度得到妥善的归档与保管。
控制目标ቤተ መጻሕፍቲ ባይዱ号
控制目标
控制活动编号
关键控制活动描述
控制责任部门
本公司控制活动与控制责任部门是否相同 (是/否) [1]
本公司控制活动描述 [2]
TLHL-PU-CO-1101
加强和完善付款流程和控制,审核程序 企业应当加强采购付款的管理,完善付款流程,明确付款审核人的责任和权力,严格审核采购预算、合同、相关单据凭证、审批程序等相关内容,审核无误后按照合同规定及时办理付款。
中石化全套内部控制系统制度--信息管理系统文件
11。
1信息系统管理业务内部控制矩阵11.1信息系统管理业务流程①②一、业务目标1 经营目标1.1 满足生产经营管理业务需求,提高管理水平、技术水平和市场应变能力,提高核心竞争力.1.2 达到系统建设预期目标,系统运行安全、稳定,出现系统故障时能够及时恢复,系统具有扩展性、集成性。
2 合规目标2.1 遵守保护知识产权的有关法律法规,使用合法软件.2.2 信息技术控制符合国家法律、法规、股份公司内部规章制度及上市地证券监管机构有关要求。
二、业务风险1 经营风险1.1 信息化管理体系不完善,信息管理部门职责不落实,导致信息化工作受损.1.2 信息系统建设项目不符合股份公司经营战略目标,导致盲目建设、投资低效.①本流程适用于列入股份公司固定资产投资和科技开发项目计划的信息系统建设、运行和维护,有关科技开发项目的立项和经费管理按《3.3科技开发费管理业务流程》控制.②信息系统业务,根据其特点执行《11.1信息系统管理业务流程》,但应参见《6.1资本支出业务流程》.1.3 信息安全规划不当,风险评估缺失,信息安全教育不足,员工安全意识薄弱,导致信息系统风险。
1。
4 技术方案不合理,业务流程不规范,系统功能不健全,导致系统不能满足业务需求.1。
5 基础数据不完整、不准确、不真实,导致系统无法正常投运或计算出错。
1.6 项目监管不力,系统建设延误,导致系统不能按期投用或资金流失。
1.7 系统运行不稳定,数据失真、丢失,导致日常业务工作无法正常进行。
1.8 系统存在网络故障、病毒侵袭等安全问题,导致非法入侵及泄密等,或系统灾难无法及时恢复。
1。
9 系统运维不落实,功能陈旧,导致不能满足业务需求.1。
10 未经审核,变更信息技术合同标准文本中涉及的权利、义务等条款,造成损失.2 财务风险2.1 交易不真实,未按约定付款,影响财务报告。
3 合规风险3.1 侵犯知识产权,导致诉讼及股份公司声誉受到损害。
3。
2 信息技术控制不符合国家法律、法规、股份公司内部规章制度及上市地证券监管机构有关要求,造成损失.3。
内部控制手册第部分内控矩阵C资本支出业务控制矩阵
各事业部
分(子)公司
4
项目后评价报告
1.17.1
4投资项目资金安排及付款
1.1
2.1
经营风险:未按规定安排资金,影响项目开展。
财务风险:交易不真实,影响财务报告。
4.1投资项目前期费用安排
根据动态优化的中长期发展计划,由发展计划部会同事业部在择优选定项目的基础上,编制项目前期工作计划,经总裁办公会研究或总裁签发后,发展计划部安排前期费用,财务部安排资金。项目正式确立并列入年度投资计划后,再转入项目投资中。
发展计划部
法律事务部
4
合资合作商务谈判书面记录
备忘录
法律意见书
合同(协议)
授权委托书等文件
1.4.4
2.16.2
2.14.19
2.15.10
1.4.5
1.12.1
√
在建工程
1.1
2.1
3.1
经营风险:未按规定进行项目谈判与合同签署,导致损失。
财务风险:交易不真实,影响财务报告。
合规风险:合同内容违反国家有关法律法规。
分(子)公司
4
项目建议书
可行性研究报告
可研报告批复文件
1.4.4
2.16.2
2.14.19
2.15.10
1.4.1
1.17.2
1.13.3
√
在建工程
1.1
经营风险:未按规定进行技术选择、重大设备询价和分交,导致未能引进先进技术和设备。
1.2.2发展计划部组织物资装备部(国际事业公司)、事业部按管理职责及分工,分别负责项目技术选择、重大设备询价和分交工作。
分(子)公司按发展计划部统一要求编报的投资建议计划,由分(子)公司经理或经其授权的分管副经理签字,报股份公司相关部门。
管理费用、销售费用、营业外支出管理业务内部控制矩阵
业务部 门
绩效考 核部门
7
考核资料
1.6.1
0
5
2.6固定资产处置按照规定的报批程序办理。参见
《7.5固定资产管理业务流程》控制点4.1-4.4。
分(子) 公司
5
2.7流动资产处置按照规定的报批程序办理。应收账 款、存货的处置参见《7.1应收账款管理业务流程》 控制点7.1-7.3和《7.2存货管理业务流程》控制点6.1-6.4。
分(子) 公司
2.2费用支出实行滚动控制,确保全年费用控制在预 算范围内。
发生预算外费用或超预算费用,应由费用支岀责任部 门(负责人)提岀开支的目的、计算标准,经部门负 责人、分(子)公司经理(预算委员会)或其授权单 位审核,并由上级单位批准后方可执行。
分(子) 公司
经办 审核 审批
10
费用滚动 预算
预算外费 用审批资 料
经营风险:费用预算未分 解或未落实责任人,导致 费用失控。
1.1各级财务部门依据上级下达的年度、月度费用预 算,经本部门负责人、本分(子)公司经理(预算委 员会)批准后,横向分解到各职能部门,纵向分解到 相关责任单位。各部门、单位负责人是费用控制的责 任人。
分(子) 公司
经办 审批
10
预算分解方
案
1.6.1
4.1分(子)公司财务部门及相关职能部门按月对费 用预算执行情况进行分项目、分明细的分析,对费用 支出超预算的责任单位提出警示,对实际支出与计划 差异较大的支岀项目分析原因,并提岀改进意见,报 经理(或总会计师)审批后落实整改。
分(子) 公司
6
分析资料
1.6.1
0
5.费用考核
1.1
经营风险:未制疋考核办 法,影响费用控制效果。
内部控制手册第3部分-内控矩阵——3,4管理费用、销售费用、营业外支出管理业务内部控制矩阵
业务部门
绩效考核部门
7
考核资料
1.6.10
管理制度应明确各项费用的审批权限。
分(子)公司
10
费用管理制度
经营风险:未严格执行预算,造成费用失控。
费用支出实行滚动控制,确保全年费用控制在预算范围内。
发生预算外费用或超预算费用,应由费用支出责任部门(负责人)提出开支的目的、计算标准,经部门负责人、分(子)公司经理(预算委员会)或其授权单位审核,并由上级单位批准后方可执行。
分(子)公司
6
分析资料
1.6.10
5.费用考核
经营风险:未制定考核办法,影响费用控制效果。
分(子)公司绩效考核部门会同财务部门制定本单位费用控制的考核奖惩办法,经分(子)公司经理(预算委员会)批准后下发执行。
分(子)公司
5
考核奖惩办法
1.6.10
经营风险:未及时考核,影响费用控制效果。
分(子)公司绩效考核部门按照考核奖惩办法,至少每半年对责任单位(部门)费用控制情况进行考核。
分(子)公司
经办
审核
4
1.6.11
√
√
√
√
管理费用
销售费用
长期待摊费用
4.费用分析
经营风险:未按规定对费用预算执行情况进行分析和反馈,影响费用控制效果。
分(子)公司财务部门及相关职能部门按月对费用预算执行情况进行分项目、分明细的分析,对费用支出超预算的责任单位提出警示,对实际支出与计划差异较大的支出项目分析原因,并提出改进意见,报经理(或总会计师)审批后落实整改。
分(子)公司
经办
审核
审批
10
费用滚动预算
预算外费用审批资料
2024年公司的内部控制制度总结
2024年公司的内部控制制度总结随着科技的发展和金融环境的变化,2024年公司在内部控制方面进行了一系列的改革和优化。
下面将对公司2024年的内部控制制度进行总结。
一、内部控制目标及原则2024年公司的内部控制制度主要目标是保护资产、促进业务的高效运作、确保财务报告的准确和合规性、防止欺诈和不当行为等。
在这些目标的基础上,制定了以下原则:1.风险管理:公司建立了完善的风险管理机制,确保风险被及时发现、评估和控制。
2.分工与合作:明确各部门、岗位的职责和权限,鼓励各部门之间的合作与信息共享。
3.内控执行:加强内部控制的有效执行,确保内部控制制度的有效性和可持续性。
4.内部信息披露:加强内部信息披露,让员工和管理层了解相关制度和政策,并在操作层面上进行指导和审查。
二、内部控制制度建设2024年公司在内部控制制度建设方面进行了以下措施:1.风险管理体系:公司成立了专门的风险管理部门,负责对公司内外部风险进行监测和评估,并通过制定风险管理策略和应对措施来规避和降低风险。
2.审计与监督机制:公司建立了独立的审计与监督机制,对全公司的内部控制情况进行定期或不定期的检查与审计,并落实相应的整改和追责措施。
3.内部控制培训:公司加强了内部控制培训,向全体员工介绍内部控制制度和规范,并组织相应的培训课程,提高员工的内部控制意识和能力。
4.信息技术支持:公司投入了大量资金和资源,引进了最新的信息技术系统,以提供高效和准确的内部控制工具和支持。
5.内部审查部门:公司设立了内部审查部门,负责对各个部门和业务的内部控制情况进行自查和审核,及时发现问题并采取相应的措施。
三、内部控制制度的改进与创新2024年公司在内部控制制度方面进行了一些改进与创新:1. 引入自动化工具:公司通过引入自动化工具和技术,实现了内部控制的自动化监管和风险评估,提高了控制效率和准确性。
2. 加强数据分析:公司利用大数据技术和分析工具,对公司内部各项数据进行分析和挖掘,提前发现潜在的风险并采取相应的控制措施。
内部控制手册第 部分 内控矩阵 C —— 信息资源管理业务内部控制矩阵
10
1.10.1
6.信息授权
1.1
1.2
经营风险:部门信息授权不当,导致信息泄密或贻误工作。
6.1信息管理部门依据股份公司有关信息资源管理的规定,按照各部门管理职责及部门间共享信息需求目录,通过信息平台对各部门实施信息授权。
信息系统管理部
分(子)公司
信息管理部门
相关部门
5
1.10.4
1.1
信息系统管理部
分(子)公司
6
信息平台使用和运维季度报告
1.10.1
8.信息质量反馈
1.1
1.3
经营风险:信息使用问题未及时反馈提交,导致信息共享信息质量欠佳。
8.1信息使用部门针对信息的准确性、时效性、完整性和一致性提出意见,由信息管理部门及时汇总后分别送达相关信息提供部门,协助和督促信息提供部门不断提高共享信息的质量。
外购信息需求目录
1.10.1
3.落实部门间共享信息源和外购信息源
1.1
1.2
经营风险:部门间共享信息源不落实,导致信息提供落空。
3.1信息管理部门协助信息需求部门落实部门间共享信息源,信息提供部门负责按审核后的部门间共享信息需求目录提供共享信息。
信息系统管理部
分(子)公司
7
1.10.1
1.1
1.2
经营风险:外购信息源不落实,导致信息提供落空。
1.2各部门依据业务职责梳理各种外部信息需求,包括需要其他部门提供的信息和需外购的信息,形成相应的部门信息需求目录,并明确信息内容、信息提供频率和信息提供方式等。部门信息需求目录由部门负责人签字确认。
总部各部门
分(子)公司
7
部门信息需求目录
1.10.1
内部控制风险矩阵
内部控制风险矩阵随着企业规模的扩大和业务复杂度的增加,有效的内部控制管理成为企业不可忽视的重要环节。
内部控制风险矩阵作为一种常用的风险管理工具,被广泛应用于企业内部控制管理中。
本文将详细介绍内部控制风险矩阵的概念、构成和应用。
一、内部控制风险矩阵的概念内部控制风险矩阵是一种图表工具,用于识别和评估企业内部控制系统中的潜在风险。
它通过将控制目标与不同风险因素交叉组合,形成风险矩阵,以便企业管理层可以更好地了解风险的性质、程度和影响,从而采取相应的控制措施。
二、内部控制风险矩阵的构成内部控制风险矩阵通常由两个维度构成:控制目标和风险等级。
控制目标是企业为实现有效内部控制而设定的目标,可以包括财务报告可靠性、资产保护、合规性等方面。
风险等级则表示不同风险的程度,通常使用低、中、高等级进行划分。
三、内部控制风险矩阵的应用内部控制风险矩阵可以应用于以下几个方面:1. 风险评估与分类:根据不同的控制目标和风险等级,将企业内部可能遇到的风险进行评估和分类,有助于管理层了解和识别潜在风险。
2. 制定和实施控制措施:通过对风险矩阵的分析,管理层可以确定需要采取的控制措施,并根据不同风险等级的要求,制定相应的内部控制政策和流程。
3. 风险监控和报告:内部控制风险矩阵可以作为监控风险的工具,通过对风险矩阵的动态更新,及时跟踪和报告重点风险,确保企业能够有效应对潜在风险。
4. 优化内部控制:通过对内部控制风险矩阵的分析和应用,管理层可以发现控制目标存在的薄弱环节,并针对性地优化和改进内部控制,提升整体控制效能。
四、内部控制风险矩阵的优势内部控制风险矩阵具有以下几个优势:1. 直观清晰:通过图表形式的展示,内部控制风险矩阵使管理层对企业内部控制风险有更加直观的理解,便于把握风险的重要性和影响。
2. 综合考量:内部控制风险矩阵将控制目标与不同风险因素综合考量,更能全面地评估和管理企业内部控制风险。
3. 灵活调整:内部控制风险矩阵具有灵活性,可以根据企业的变化和风险的演变进行调整和更新,保持其有效性和实用性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
分(子)公司
4
项目验收意见
1.10.2
1.1
1.2
经营风险:竣工验收决算报告或审计报告不严格,导致资金外流
财务风险:未按约定付款,影响财务报告。
合规风险:违反国家和企业会计制度,造成项目资金损失。
7.2信息管理部门会同财务部门按规定进行项目竣工结算。财务部门按竣工验收决算报告或审计报告办理项目转资手续,按股份公司内部会计制度及有关规定,经财务部门负责人审核后,进行账务处理。相关会计凭证须经不相容岗位人员稽核。
1.5.2依照《中国石油化工股份有限公司信息系统安全管理办法》规定,各级信息管理部门负责提出本单位的“信息系统关键岗位名录”,其中涉及信息系统安全的关键岗位由信息管理部门确定,涉及业务信息安全的关键岗位由主管业务部门商本单位保密委员会确定。“信息系统关键岗位名录”上的关键岗位人员要与所在单位签署“信息系统关键岗位安全责任书”,并在人事部门备案。
信息系统管理部
分(子)公司
经办
审批
3
项目实施报告
付款申请
1.10.2
√
在建工程
货币资金
应付账款
1.1
1.2
经营风险:集成测试不完整,造成系统评估不准确。
6.6信息管理部门组织对系统进行集成测试,形成集成测试评价意见;并根据集成测试评价意见责成项目实施单位进行修改完善。
信息系统管理部
分(子)公司
3
集成测试评价意见
信息系统管理部
分(子)公司
4
风险评估报告
2.10.3
1.5信息安全管理
1.1
2.2
经营风险:信息安全规划不当,信息安全方案缺失,导致信息系统风险。
1.5.1信息系统管理部负责编制信息安全规划,在征求职能部门、事业部和分(子)公司意见后,组织专家组评审,并根据专家意见负责组织修改,经信息系统管理部主任审核后,正式发布。
1.10.2
1.1
1.2
经营风险:技术文档不完整、造成系统应用维护困难
6.7项目责任部门(单位)责成项目实施单位负责知识转移,并提交项目相关的技术文档(包括用户使用手册、系统维护手册、系统安全和使用授权管理办法、应急处理办法及用户培训教材等资料)。
信息系统管理部
分(子)公司
5
项目技术文档
1.10.2
分(子)公司
3
系统安装调试和用户培训报告
软件验收报告
1.10.2
1.1
1.2
经营风险:项目监管不力,系统建设延误,导致系统不能按期投用。
6.4信息管理部门负责组织对项目建设的阶段验收,进行项目建设质量、进度、标准执行和成本控制等检查,提出阶段验收报告;项目实施单位根据阶段验收报告对系统进行修改完善。
各分(子)公司一般措施及零星购置的信息技术项目在总部每年核定的限额以内,由各分(子)公司根据当期生产经营管理的需要,按规定权限审批后报各主管事业部、信息系统管理部和发展计划部审核备案,并纳入股份公司年度投资计划管理。
通过可研评审的科技开发项目,由信息系统管理部报科技开发部立项,批准立项的项目,由科技开发部列入年度项目计划。
6
ERP指导委员会或信息化领导小组成立文件;
会议纪要
信息管理部门职责文件
1.10.5
1.1
2.2
经营风险:信息化建设中长期规划不符合股份公司经营战略目标,导致盲目建设、投资低效。
1.2根据股份公司发展战略目标和核心业务,结合信息技术发展和股份公司实际,信息系统管理部负责组织编制股份公司信息化建设中长期规划,在充分征求职能部门、事业部和分(子)公司意见后,组织专家组评审,并根据专家意见负责组织修改,经信息系统管理部主任审核,按规定权限审批后,纳入股份公司中长期发展规划。
各分(子)公司信息管理部门根据股份公司信息安全规划,结合自身生产经营管理的需要,并针对风险评估报告中提出的问题,负责制订本企业的信息安全方案,经分管经理审批后报信息系统管理部备案。
信息系统管理部
分(子)公司
4
信息安全规划
信息安全方案
2.10.2
1.1
2.2
经营风险:系统未确定关键岗位,关键岗位缺乏监管,导致系统存在安全隐患。
总部各部门
分(子)公司
3
信息系统关键岗位名录
信息系统关键岗位安全责任书
2.10.2
1.1
2.2
经营风险:系统安全岗位设置缺失,导致系统存在安全隐患。
1.5.3各级信息管理部门根据《中国石油化工股份有限公司信息系统安全管理办法》中的有关要求,按照不相容岗位分离的原则,设立安全管理员。安全管理员必须具有相应资质,并经部门负责人审批授权。
信息系统管理部
分(子)公司
5
可行性研究报告
1.10.2
4.项目立项审批
1.1
1.2
经营风险:信息化项目缺乏统一归口管理,审批过程不规范,导致重复建设,低效投资。
4.1通过可研评审的固定资产投资限额(200万元)及以上的信息技术项目,由信息系统管理部报发展计划部立项,批准立项的项目,由发展计划部列入年度投资计划;申请总部立项的固定资产投资限额(200万元)以下的信息技术项目,由信息系统管理部负责审批,报发展计划部备案;由各事业部审批的投资限额以下的信息技术项目投资计划,须经信息系统管理部和发展计划部会签。
信息系统管理部
分(子)公司
3
安全管理员授权书
安全管理员资质证书
2.10.2
2. 编制年度项目建议计划
1.1
2.2
经营风险:年度信息化项目建议计划不符合股份公司经营战略目标,导致盲目建设、投资低效。
2.1信息系统管理部根据股份公司信息化建设中长期规划和职能部门、事业部、分(子)公司申报的项目建议计划,结合年度实际,编制年度信息化项目建议计划,由信息系统管理部主任审核,按规定权限审批后,分别纳入股份公司年度投资计划、科技开发项目计划管理。各分(子)公司信息管理部门负责编制年度信息化项目建议计划预案,按规定权限审批后,分别纳入本单位年度投资建议计划、科技开发项目建议计划,上报信息系统管理部和总部相关部门审核。
1.4.1根据《中国石油化工股份有限公司信息系统风险评估管理办法》,信息系统管理部负责每年对信息系统进行年度综合风险评估,形成风险评估报告,并组织专家组对风险评估报告进行评审,专家组对风险评估报告提出评审意见并签字;分(子)公司信息管理部门会同相关业务部门,通过多种形式,组织本单位信息系统的风险评估,包括企业信息系统整体风险、重点系统风险、主要基础设施风险等,形成相关风险评估报告,并将风险评估报告经信息管理部门负责人审核签字后报信息系统管理部备案。
在信息技术项目达到预定的可使用状态时,财务部门应依据有关部门提供的手续,按照股份公司内部会计制度,经部门负责人审核后,暂估入账。相关会计凭证须经不相容岗位人员稽核。
信息系统管理部
分(子)公司
4
项目详细设计
1.10.2
1.1
1.2
经营风险:基础数据不完整、不准确、不真实,导致系统无法正常投运或计算出错。
6.2项目责任部门(单位)负责项目实施,业务部门组织数据的收集、整理、录入、审核,并进行审查和确认,保证数据的真实、完整和准确。
信息系统管理部
分(子)公司
3
1.10.2
信息系统管理部
分(子)公司
5
信息化建设年度计划
1.10.5
3. 项目可行性研究和评审
1.1
1.2
经营风险:项目可行性研究报告提出的技术方案不合理,业务流程不规范,系统功能不健全,可研评审不到位,导致系统建设不能满足业务需求。
3.1信息管理部门会同项目责任部门(单位)委托有资格的单位承担项目可行性研究,并组织专家组对项目可行性研究报告进行评审,专家组对项目需求、目标、技术路线、风险分析、投资与效益、进度、组织落实等提出可行性研究评审意见并签字。
信息系统管理部
发展计划部
科技开发部
事业部
分(子)公司
5
立项批文
1.10.2
1.1
1.2
经营风险:总体(基础)设计技术方案不合理,业务流程不规范,系统功能不健全,专家组评审不到位,导致系统建设不能满足业务需求。
4.2对批准立项的、投资在500万元及以上的项目,信息系统管理部委托有资格的单位按要求对项目进行总体(基础)设计,其中投资在2000万元及以上的项目需组织专家组对项目总体(基础)设计进行评审,专家组对项目需求分析、目标、功能设计、投资概算等提出评审意见并签字,由信息系统管理部负责审批总体(基础)设计,报发展计划部备案。
7.项目竣工验收
1.1
1.2
经营风险:单轨运行时间过短,无法完成对系统的准确评价
7.1项目完成全部的规定目标任务后,投资2000万元及以上的项目单轨连续稳定运行6个月以上,其它项目单轨连续稳定运行3个月以上,由项目责任部门(单位)以正式行文方式提交项目竣工验收申请,同时提交项目验收相关材料一并审核。总部批复的项目向信息系统管理部提交验收申请,由信息系统管理部负责组织项目验收工作。分(子)公司自行批复的项目向企业信息管理部门提交验收申请,由分(子)公司信息管理部门负责组织项目验收工作。专家组形成验收意见并签字。
500万元以下的一般信息技术项目可根据项目具体实施情况,只进行竣工验收。
信息系统管理部
分(子)公司
3
阶段验收报告
1.10.2
1.1
1.2
经营风险:项目监管不力,系统建设延误,导致系统不能按期投用或资金流失。单位)负责至少每季度向信息管理部门提交项目实施报告,内容包括项目进度、质量、经费使用、存在问题和整改措施等;根据合同约定填写付款申请,按规定权限审批后办理付款。
1.1股份公司建立完善的信息化管理体系,设立ERP指导委员会,设立信息系统管理部负责股份公司信息化归口管理工作;各分(子)公司设立信息化领导小组或ERP指导委员会,定期召开会议,听取、总结和指导本单位信息化工作,设立信息管理部门负责本单位信息化管理工作,对信息系统和信息资源行使管理职责。