内控手册使用.ppt

Click to edit Master title style,Click to edit the outline text format,Second Outline Level,Third Outline Level,Fourth Outline Level,Fifth Outline Level,Sixth Outline Level,Seventh Outline Level,Eighth Outline Level,Ninth Outline Level,内控手册使用方法,内控体系手册内容简介,内控文件的使用,内部控制执行要求,1,主要内容,2,内控体系手册内容简介,内控体系手册内容具体包括：,企事业单位简介,总,论,控制环境,权限指引表,控制环境涉及的制度索引,风险评估,基本业务流程目录,重要业务流程目录,业务层面风险数据库,风险评估涉及的制度索引,控制活动,流程图,风险控制管理文件,风险控制管理文档,控制实施证据,控制活动涉及的制度索引,信息与沟通,业务活动与应用系统索引目录,关键权限与通用角色对照表（,FMIS7.0,）,不相容通用角色清单（,FMIS7.0,）,关键权限与通用角色对照表（,AMIS7.0,）,不相容通用角色清单（,AMIS7.0,）,电子表格汇总表,ERP,系统职责分离矩阵,人力资源系统职责分离矩阵,信息与沟通涉及的制度索引,监督,监督涉及的制度索引,3,控制环境,权限指引,权限指引,是对公司管理制度和业务流程的一次提炼和高度概括，帮助使用者清晰直观地了解公司主要业务流程相关权限管理的整体状况，完善分级授权管理制度，最大限度地规避经营风险，提高公司运营效率。,（,2011,版手册权限指引的内容已与手册流程图和风险控制管理文档内容同步更新）,4,控制环境,控制环境涉及的制度索引,控制环境部分制度索引已随集团公司、渤钻公司制度做了同步更新,5,风险评估,基本业务流程目录,按照业务,分,类不同，,具体流程代码为,:,战略发展流程：,SP,核心业务流程：,KP,经营管理流程：,MP,公司手册归集的基本目录一级流程,27,个，较上年增加,6,个；末级流程,420,个，较上年增加,139,个。末级流程中有流程图的,417,个，有风险控制管理文档的,353,个，风险控制管理文档较上年增加,108,个。,6,风险评估,重要业务流程目录,按照业务,分,类不同，,具体流程代码为,:,战略发展流程：,SP,核心业务流程：,KP,经营管理流程：,MP,公司手册归集的重要业务流程目录一级流程,22,个，较上年增加,5,个；末级流程,231,个，较上年增加,68,个。末级流程均有流程图和风险控制管理文档。,7,风险评估,业务层面风险数据库,财务报告及经营管理风险数据库共涉及风险,822,个，新增风险,223,个；重要风险,391,个，新增重要风险,131,个。,风险评估,风险评估涉及的制度索引,9,控制活动部分,10,控制活动,流程图,流程图,11,控制活动,风险控制管理文档,12,风险控制在流程图中的标识,序号,经营风险,财务风险,说明,风险,1,一个控制,2,同一风险下的多个连续控制,3,多个非连续控制,一个控制类别符号最多可以表示,2,个控制，如果超过,2,个则需要用其他的控制类别符号表示,RCD,及,BRCD,风险控制点标识介绍,13,控制活动,法律风险防控文档,14,控制活动,ARCD,法律风险防控,-,在流程图中的标识,法律风险类别，控制类别的标示规范如下：,单一的法律风险,风险集合：表示,3.1.1,和,3.1.2,两个风险,单一的法律“防范性”控制,控制集合：表示风险,3.1.1,对应的“防范性”控制和“控制性”控制,单一的法律“控制性”控制,控制集合：表示风险,3.1.1,和,3.1.2,对应的“防范性”控制,控制集合：表示风险,3.1.1,和,3.1.2,对应的“防范性”控制和“控制性”控制,控制集合：表示风险,3.1.1,和,3.1.2,对应的“控制性”控制,15,控制活动,控制实施证据,控制实施证据,(,样表,),16,控制活动,ARCD,控制活动,控制活动涉及的制度索引,控制活动制度索引按照集团公司、渤钻公司相关制度的变化同步作了更新，与控制文档保持一致,17,控制活动,ARCD,信息与沟通部分,信息与沟通,业务活动与应用系统索引目录,关键权限与通用角色对照表（,FMIS7.0,）,不相容通用角色清单（,FMIS7.0,）,关键权限与通用角色对照表（,AMIS7.0,）,不相容通用角色清单（,AMIS7.0,）,电子表格汇总表,ERP,系统职责分离矩阵,人力资源系统职责分离矩阵,信息与沟通涉及的制度索引,18,控制活动,ARCD,信息与沟通,业务活动与应用系统索引目录,19,控制活动,ARCD,信息与沟通,关键权限与通用角色对照表,20,控制活动,ARCD,信息与沟通,不相容通用角色清单,21,控制活动,ARCD,信息与沟通,电子表格汇总表,信息与沟通,ERP,系统职责分离矩阵,23,控制活动,ARCD,信息与沟通,人力资源系统职责分离矩阵,24,控制活动,ARCD,信息与沟通,信息与沟通涉及的制度索引,25,控制活动,ARCD,监督,监督涉及的制度索引,内控体系手册内容简介,内控文件的使用,内部控制执行要求,26,主要内容,27,内控文件的使用,流程图,用于描述业务流程，以纵向垂直的方式，自上而下表示流程发展的时间顺序或逻辑顺序。,以相关制度（包括国家制定的法律法规、集团公司、专业分 公司、企事业单位制定的规章制度）为基础；,将相关制度文件流程化、程序化，明确流程的起点和终点，展示了什么岗位在什么情况下做了什么；,指明每一个步骤所对应的实施证据；,标明了风险、控制点的产生位置。,28,内控文件的使用,风险控制管理文档,是用,EXCEL,文档形式进行描述，用以确认、记录存在风险的流程步骤的现有控制措施及相关要素的文档，其作用是：,风险控制文档，详细的体现业务流程中存在的风险和控制措施设计的情况，是对现有规章制度进行描述和分析的主要载体，亦是联结业务流程、风险、现有控制措施、规章制度文件的工具。,风险控制文档基于末级子流程，以表格形式完整体现风险类别、风险描述、控制类型、控制方法、控制措施、系统控制措施、控制频率、控制实施证据、控制文件文号及其名称等内容的文档。,通过使用风险控制文档，将风险对应到具体的业务流程中，了解在实际工作中如何控制这些风险，并将这个过程文本化。,风险控制文档还是自行测试、外部审计的重要依据。,29,流程图风险控制管理文档的关系,流程图与风险控制管理文档的对应关系：一个有风险的业务流程图对应一个风险控制管理文档，风险、控制点在流程图和文档中一一对应。,30,控制实施证据,控制实施证据：一个业务流程在实际操作后形成的相关记录。公司,2011,版手册规范了部分表单，对于新增表单及测试中发现未按标准表单执行的，在后面的流程讲解时分专业进行表单填写及注意事项的介绍。,31,主要内容,内控体系手册内容简介,内控文件的使用,内部控制执行要求,昆仑燃气,内部控制执行要求,整体要求,管理层,中层领导,各部门、岗位,32,33,整体要求,加强内控理念及相关知识的学习，了解自己从事岗位面临的业务风险，掌握风险控制目标、控制措施和控制频率等，严格按照内控手册的要求执行，每个岗位人员认真执行并在日常工作中留下控制实施证据。内控主管处室或科室建立内控考核制度，把内控工作完成情况列入日常和年终考核的内容。,昆仑燃气,内部控制执行要求,整体要求,管理层,中层领导,各部门、岗位,34,管理层,管理层主要考虑：,怎样真正提高公司上下对内控重要性的认识，使内控管理真正起到为公司安全运营保驾护航的作用？,怎样提高风险防范意识，将风险的理念贯穿于决策及日常工作中？,针对,2010,年度体系运行情况，总结提高内控执行力的措施和经验。,怎样优化、简化、强化业务流程？增强实用性和突出重点？,管理层,管理层要执行的：,业务层面：按照职权划分执行审核、审批等管理或决策程序，并对相关内控实施证据签字留下记录。,公司层面：,学习集团公司高级管理人员或员工职业与道德建设制度规定，了解中石油核心经营理念、企业宗旨等要素，以身作则，向员工灌输职业道德。,定期对职责和权限进行审核，如，审核业务授权权限指引表,管理层,知晓,“,禁止管理人员违反公司的规定，鼓励对获知的越权、违规行为进行举报,”,的章程。,对干预或越权（违反权限规定和程序制度）的情形进行关注，提出具体要求，并进行记录？,（注：管理层干预是指为了合法的目的而偏离既定的规章和程序的行为；,管理层的越权行为是指为了不合法的目的而不遵守既定的规定和程序。）,管理层,定期走访调研基层单位并保存工作成果,了解薪酬与目标实现的相关程度，对实现目标的压力感受,A,、公司是否存在业绩目标不合理的现象；是否存在员工为了实现业绩目标而偏离道德准则的情况；,B,、员工的升职和薪酬是否基于了短期的绩效目标，即薪酬与绩效的挂钩是否合理；,C,、是否存在其他目标压力,/,诱惑导致员工偏离道德准则，如何控制；,D,、个人的业绩目标与薪酬有多大的关联度？目标实现的好坏能否及时在薪酬中得到体现？,管理层,对数据处理和会计职能的态度，对财务报告和资产安全可靠性的关注。,总会计师要了解：,如何跟进从财务分析中发现的问题,财务部门的财务职能被认为仅仅是公司的,“,统计数据中心,”,，还是被认为是公司各种各样的活动的控制中心。,了解公司对贵重资产的保护措施。,昆仑燃气,内部控制执行要求,整体要求,管理层,中层领导,各部门、岗位,40,中层领导,中层领导既涉及公司层面，也涉及业务活动层面和信息系统层面：,1,、学习集团公司员工职业与道德建设制度规定，认真学习、了解中石油核心经营理念、企业宗旨等要素，在学习中做好记录，以备查验。,2,、学习信访举报相关制度、熟悉信访举报渠道。,3,、熟练掌握自己所负责的业务所对应的流程、风险控制文档（包括流程中的风险、控制措施和产生的实施证据）、相对应的制度,中层领导,4,、对本部门在用的应用系统进行全面识别，按照集团公司统一的控制设计，明确信息系统控制管理职责、明确控制权限、明确控制等级、实行职责分离。,中层领导,5,、在实际业务中，严格按照内控要求进行操作，保存实施证据，在测试期间指定本部门的联络人员，配合集团公司、内控办公室定期对内控系统开展的自我测试及评价测试。,中层领导,6,、督导本部门员工严格按照内控要求实施控制，留下内控实施痕迹。,中层领导,审计监察部门负责人,:,了解公司审计人员的任命、聘用程序,了解审计部门是否定期向总部审计部汇报？汇报的频率和内容？,保存好,内审,人员的资质证明、继续教育和专业培训记录,设立信访举报热线或其他举报渠道,了解对普通员工的违规行为调查程序和处理程序、处理的结果在公司上下如何进行传达？,中层领导,人事（组织）劳资部门负责人,:,了解公司如何确定机构设置及人员编制；是否定期对组织结构进行评价？,了解业绩考核的具体操作流程,了解选拔任用或招聘处室干部以及关键岗位人员的程序和审查内容,定期对岗位职责描述进行审核,中层领导,昆仑燃气,内部控制执行要求,整体要求,管理层,中层领导,各部门、岗位,48,各部门、岗位分三个层次介绍,:,公司层面,业务活动,信息系统测试,各部门、岗位,了解公司的职业与道德规范的具体内容，能列举几个方面,在公司中能够感觉到来源于同事的做正确的事的压力,了解职工代表大会及合理化建议的组织实施情况,知道举报的方式,对公司确定的总体目标（中长期发展目标）有所了解,公司层面,各部门、岗位分三个层次介绍,:,公司层面,业务活动,信息系统测试,各部门、岗位,钻井工程,井下作业,人力资源管理,财务管理,物资管理,资产管理,业务活动,科技管理,信息管理,国际事业管理,合同与纠纷管理,公司治理,运营监控,钻井工程,业务活动,井下作业,业务活动,人力资源管理,业务活动,财务管理,业务活动,财务表单介绍,业务活动,物资管理,业务活动,物资管理部分表单介绍,业务活动,资产管理,业务活动,科技管理,业务活动,信息管理,业务活动,国际事业管理,业务活动,合同与纠纷管理,业务活动,公司治理,业务活动,运营监控,业务活动,各部门、岗位分三个层次介绍,:,公司层面,业务活动,信息系统测试,各部门、岗位,信息管理部门：,GCC,测试,信息技术管理政策、制度和标准的推行、宣贯,对操作系统管理员和数据库管理员、网络管理员的权限检查,操作系统、防火墙系统安全配置检查,数据直接访问、进入机房、边界网络、远程登录、第三方人员的访问的限制,设备的维护巡检记录、系统日志检查的管理、防火墙日志检查,批处理作业、备份和恢复的管理,ERP,系统的运行与维护,电子表格管理,信息系统测试,财务部门：,电子表格,电子表格存储管理、变更管理、备份、逻辑检查,信息系统的应用控制,财务、资产系统涉及的,GCC,系统账号及权限的审批、检查,系统日志检查,信息系统测试,劳动工资部门：,人力资源系统涉及的,GCC,系统账号及权限的审批、检查,系统日志检查,信息系统测试,其他部门：,ERP,信息系统的应用控制,ERP,系统涉及的,GCC,系统帐号及权限的审批、检查等,电子表格,电子表格存储管理、变更管理、备份、逻辑检查,信息系统测试,1,、内控手册内容简介,2,、内控手册使用,(,主要介绍控制活动部分,),3,、内控执行过程中对各层次及各部门的相关要求,要点回顾：,昆仑燃气,谢谢！,73,