风险控制手册培训.ppt

内控部 2008年5月 法律风险防控程序化 操作手册 主要内容 一、法律风险防控程序化目标 二、法律风险防控程序化内容 三、法律风险防控程序化操作 p根据法律风险防控机制建设的要求，基于集团公司的法律风 险防范控制文档，形成适用于地区公司的法律风险防范控制 文档及法律风险防范控制模型 p将法律风险，法律防控措施落实到业务流程中，实现法律风 险防控的程序化；落实后的法律风险、控制要能够与现有的 风险、控制有机融合；同时又能够通过科学、合理的分类方 法与现有的风险、控制加以区分，从而能够满足不同业务部 门的使用需求 p将法律架构与业务流程进行挂接，实现法律风险防范控制文 档与法律风险相关业务流程的在线浏览与使用。 法律风险防控程序化目标 主要内容 一、法律风险防控程序化目标 二、法律风险防控程序化内容 三、法律风险防控程序化操作 法律风险防控体系文件 p法律风险防控体系文件包括45个相关流程和8个法律风险防范控制 文档（涵盖8个主要业务领域，包括86个法律风险源、229个法律风 险源具体表现、519条防控措施 ） 2008年5月 业务流程管理办法（暂行） 机构和职责 第九条 业务流程管理实行流程负责人制，总部 机关部门、专业公司和地区公司分级落实业务流程管理 责任，明确业务流程管理负责部门、业务流程管理岗位 和流程负责人。 法律风险防控：内控部门组织落实流程管理责任 8 例：科技管理部业务流程负责人 业务流程设计与审批发布 第十八条 总部机关部门、专业公司和地区公司组织本部 门、本公司全部业务流程的详细设计。 第二十二条 地区公司业务流程，由本单位内部控制部门统 一组织审查确认，经本单位内控体系建设委员会审议后，按规定 程序批准后发布，并报内部控制部备案。 法律风险防控：内控部门配合法律事部门，开展法律风险防 控对应流程目录确认、系统操作技术支持和审查工作，流程责任 部门和人员负责具体控制措施的对照、确认和系统模型建立。 业务流程运行与监督 第二十四条 发布后的业务流程作为审计、测试与 检查的依据。 第二十六条 总部机关部门、专业公司和地区公 司应严格执行业务流程，并将具体责任落实到工作岗位 。 第二十八条 业务流程负责部门、流程负责人和业 务流程管理岗位，对本部门、本单位业务流程的执行情 况进行日常监督检查。内部控制部及地区公司内部控制 部门通过管理层测试与专项检查，对业务流程的执行情 况进行监督检查。 法律风险防控：按要求落实相关运行与监督检查 工作 采油厂业务流程规范工作小组 20085 采油厂法律风险防控 p 法律风险及控制措施落实情况： 对226个法律风险进行了全面分析，并编制了对照表。 关键控 制编号 重要风险 油田公 司是否 适用 公司 层面 是否 适用 公司层面 适用对应 的流程名 称 采油 厂层 面是 否适 用 采油厂 层面适 用对应 的流程 名称 对应 的负 责部 门 1.3.1 土地行政主管部门违法增加审批部门、设置审批障 碍、超过办理期限确权发证、额外增加中介费或借 此摊派等不依法行政行为 是是 土地使用 权管理 是 土地使 用权管 理 生产 运行 部门 1.3.2村民要求超标准给付土地补偿费用是否 是 土地使 用权管 理 生产 运行 部门 2.12.2 环境保护行政主管部门超越权限实施处罚、应举行 听证未举行或举行听证程序不合法等违法行为 是是纠纷处理否 法律 事务 部门 4.13.2 定期报告、临时报告披露内容不真实、不准确、不 完整 否否 否 序号关键键控制编编号不适用风险风险 14.12.1公司合并、分立、减资资、清算时时未履行通知、公告和报报送义务义务 24.12.4公司合并、分立、减资时资时 未依法办办理变变更登记记 34.13.1 在公司网站及其他媒体发发布信息的时间时间 先于指定媒体，以新闻发闻发 布、答记记者问问等其他形式 代替应应当履行的报报告、公告义务义务 ，或以定期报报告形式代替应应当履行的临时报临时报 告义务义务 44.13.2定期报报告、临时报临时报 告披露内容不真实实、不准确、不完整 54.13.3未按规规定在境内外同时时披露相同信息 66.10.1未在委托创创作合同及合作创创作合同中明确约约定著作权权权权 属 76.10.2未对对符合法定条件的职务职务 作品及时时行使除署名权权之外的其他权权利 86.11.1在职务职务 作品创创作中抄袭袭、剽窃他人著作 96.11.2他人抄袭袭、剽窃我方作品，或复制、传传播我方软软件 107.8.2接收背书书不连续连续 的票据 117.8.1违规转让仓单违规转让仓单 、提单单等交易单证单证 p 法律风险及控制措施落实情况： 不适合油田企业的风险有11个；对适合油田企业的风险，我们按照公司 层面和采油厂层分别进行了落实，在公司层面适用的风险有187个；在公司层面和 采油厂层面都适用的有68个；在采油厂层面适用的有96个。 采油厂法律风险防控 mp02.04.03 增值值税 规范完善过程中，分别按 照报告风险（f）、法律风险（l ）、经营风险（b）及相关控制 建模规范，对99个末级流程涉及 的风险和控制，在信息组的大力 协作下完成了规范的aris系统建 模。 采油厂法律风险防控系统建模 流程目录 因规范中涉及的个别流程在股份公司流程架构中没有对应的目录 ，为落实法律风险，我们按照集团公司的流程架构将档案收集、档案提供 和利用、印鉴管理流程对应到mp10行政管理中，末级流程目录分别为 mp10.05.01 档案收集、 mp10.05.05 档案提供和利用、 mp10.07.01印鉴 管理。 法律风险 经过分析，有11个风险不适用油田企业，同时，部分控制措施无 法在流程中落实或需分别在两个流程中体现。 关注事项 关注事项 问题问题 举举例 关键键控制 编编号 重要风险风险关键键控制 1、与培训训制度有关的 部分风险风险防范控制措施 2.7.3 对对安全事故隐隐 瞒瞒不报报、谎报谎报 或者拖延不报报 对对管理人员员定期开展职业职业道德培训训；建立 完善事故上报报制度，规规定事故上报时间节报时间节 点；强化责责任追究机制。 2、部分协协商不成解除 合同的控制措施 3.12.1 处处置权权属证书证书 不全的资产资产 发现处发现处 置资产权资产权 属证书证书不全的，与对对方 协协商，尽快补办补办相关证书证书；能够够以其他资资 产产履行合同的,继续继续履行;协协商不成的，解 除合同。如发发生争议议，在2个工作日内通 报报法律部门处门处理。 3、部分防范控制措施 无法在一个流程中体现现 1.1.2 超出范围围使用 土地 土地征用后，设设立明显显的界限标标志；工程 管理部门门在建设设施工合同中明确约约定施工 范围围及施工方超范围围施工应应承担的责责任。 与现有业务流程对比 p法律风险防控涉及的45个业务流程与股份公司现有的业务流程 具有如下4类对比关系： 序号对对比分类类数量统计统计详细说详细说 明 1已有流程，内容一致8与现有的业务 流程内容一致 2已有流程，需补充完善8 与现有的业务 流程内容基本相似， 但是需要对现 有的业务 流程进行补 充完善 3 无对应 流程，存在对应 的流 程目录 23 不存在对应 的业务 流程，但是存在 对应 的业务 流程目录 4 无对应 流程，无对应 的流程 目录 6 不存在对应 的业务 流程，且没有对 应的业务 流程目录 法律风险防控程序化处理方法 p根据上述四类对比关系，需要采取四类不同的程序化处理方法： 序号对对比分类类处处理方法 1已有流程，内容一致在现有的业务 流程中直接增加法律风险 和法律控制 2已有流程，需补充完善 参照法律风险 防控文档，补充完善现有业务 流程， 增加法律风险 和法律控制 3 无对应 流程，存在对应 的 流程目录 基于现有的流程目录描述业务 流程，并增加法律风 险和法律控制 4 无对应 流程，无对应 的流 程目录 增加对应 的流程目录，建立业务 流程，增加法律风 险和法律控制 p法律风险防控程序化主要的工作如下： 1、形成适用于地区公司的法律风险防范控制文档及法律风险防范控制模型 1.1 编制适用于地区公司的法律风险防范控制文档 1.2 基于地区公司的法律风险防范控制文档修改完善法律风险、控制模型 2、将法律风险、法律防控措施落实到业务流程中，实现法律风险防控的程序化 2.1 编制适用于地区公司“法律风险、控制与业务流程对照表” 2.2 基于地区公司的“法律风险、控制与业务流程对照表”新增业务流程目 录 2.3 修改完善业务流程图，并实现风险、控制的分层分级展示 3、将法律架构与业务流程进行挂接，实现法律风险防范控制文档与法律风险相 关业务流程的在线浏览与使用 3.1 风险控制文档输出挂接 3.2 法律风险防控领域与业务流程挂接 3.3 法律风险防控实施证据表单挂接 法律风险防控程序化主要工作 1.1 编制适用于地区公司的法律风险防范控制文档 p基于集团公司的法律风险防范控制文档，根据地区公司的具体业务 增加、删除、修改法律风险和控制，形成适用于地区公司的法律风险防 范控制文档。 2 需要删除的法律风险、控制 1 增加法律风险、控制 3 修改法律风险、控制 1.2 基于地区公司的法律风险防范控制文档修改 完善法律风险、控制模型 p地区公司需要根据自己的法律风险防范控制文档在“业务流程管理 系统”中修改对应的法律风险、控制模型，并通过系统输出正式的法律风 险防范控制文档。 2.1 编制适用于地区公司的“法律风险、控制与业务 流程对照表” p根据地区公司的具体业务，编制“法律风险、控制与业务流程对照 表”，整理法律风险、控制与本公司业务流程的对应关系。 2.2 基于地区公司的“法律风险、控制与业务流程 对照表”新增业务流程目录 p基于地区公司的“法律风险、控制与业务流程对照表”增加对应的 业务流程目录，股份公司新增的业务流程目录如下： 流程名称股份公司新增流程目录名称 商标注册sp07.01.01.01 商标注册 投标管理 mp04.01.02.04 投标管理； mp04.02.03.03 投标管理 专利申报、管 理mp07.04.05 专利管理 文书档案管理 mp10.06 公文管理（对应的一级 目录为 mp10 行政管理） 印章管理mp10.07 印信管理 商业秘密mp10.08 保密管理 p原未进行风险控制分类 分级的流程图，只包括 报告风险和控制 p现进行了风险控制分类分级之后的流 程图 法律风 险控制 报告风险 控制 2.3 修改完善业务流程图，并实现风险、控制的分层 分级展示 2.3 修改完善业务流程图，并实现风险、控制的分层 分级展示（续） p分类展示：通过编号将法律风险、控制与报告风险、控制进行区分 p分级展示：在业务流程图中直接挂接风险、控制类别，操作步骤对应 的功能分配图中分级挂接具体的风险、控制 序 号 名称命名规则图标说明 1法律风险类别l+法律风险序号 代表4个法律风险：风险3.11.1到 3.11.4 2报告风险类别 f+报告风险序号 代表2个报告风险：风险3和风险4 3法律控制类别 l+”.”+”f（防范 性）/k（控制性） /fk（防范性+控制性 ）“+法律风险序号 代表4个法律风险控制：风险3.2.1和 3.2.2分别对应的防范性控制和控制性 控制 4报告控制类别 f+报告控制序号 代表2个报告风险控制：2.1m和3.1m 序 号 名称命名规则图标说明 5法律风险 l+法律风险序号+风险 描述 劳动管理领域对应的法律风险 6报告风险 流程名称+风险序号+风 险描述 mp01.05.04流程中的第三个报 告风险 7法律控制 l+法律风险序号+”f（ 防范性）/k（控制性） /b（补救性）” 法律风险“l05.06.06”对应的防 范性控制 8报告控制 流程名称+风险序号 +”m（手工）/a（自动 ）“+控制序号 mp01.05.04流程中的第二个报告 风险对应的第一个手工控制 2.3 修改完善业务流程图，并实现风险、控制的分层 分级展示（续） 3.1 风险控制文档输出挂接 上述操作完成之后，需要输出三类风险控制文档，以满足不同人员的需求 ： p整合的风险控制文档：输出包括法律风险和报告风险的风险控制文 档，一个流程对应一个风险控制文档 p报告相关的风险控制文档：针对财务报告风险管理和内控测试需求 ，输出只包含报告风险的风险控制文档，一个流程对应一个风险控 制文档 p法律相关的风险控制文档：针对法律风险防控管理要求，输出只包 含法律风险的风险控制文档，一个领域对应一个风险控制文档 p风险控制文档输出示例：整合的风险控制文档 控制 点编 号 风险类别 风险描述 控制 目标 类型 控制 目标 具体 描述 关 键 控 制 编 号 控制措施 控制 类型 控制方 法(自动/ 人工) 控制频率( 随时/日/周/ 月度/季度/ 年度) 控制 实施 证据 控制文件的 文号及名称 战 略 风 险 经 营 风 险 报 告 风 险 法 律 风 险 财务 报告 控制 和法 律控 制的 编号 相关风险对应 的主题 相关风险的 详细描述 适用 于报 告风 险， 对应 的控 制目 标类 型包 括 cav r四 类 报告 风险 对应 的控 制目 标具 体表 示 报 告 控 制 对 应 的 关 键 控 制 点 编 号 控制的具体措施 报告 控制 对应 的类 型为 预防 性和 发现 性， 法律 控制 对应 的类 型为 防范 ，控 制和 补救 控制执 行方法 控制点的执 行频率 控制 点对 应的 实施 证据 控制点对应 的制度或法 律依据 3.1 风险控制文档输出挂接（续） p风险控制文档输出示例：报告相关的风险控制文档保持原有的文档格式。 3.1 风险控制文档输出挂接（续） p风险控制文档输出示例：法律相关的风险控制文档 3.1 风险控制文档输出挂接（续） 3.1 风险控制文档输出挂接（续） p需要将法律风险防范控制文档与法律风险防范控制文档模型挂接 3.1 风险控制文档输出挂接（续） p法律风险防范控制文档需要和业务流程图、法律法规挂接。 3.1 风险控制文档输出挂接（续） p需要将整合后的风险控制文档与业务流程管理系统中的文档模型进行挂接。 整合后的风 险控制文档 3.2 法律风险防控领域与业务流程挂接 p需要将法律风险防控领域与业务流程挂接，从而通过法律风险防控流程图模 型，可以打开对应的业务流程，并能浏览法律风险，法律防控措施所有相关 的信息 3.2 法律风险防控领域与业务流程挂接（续） p法律风险防控领域与业务流程挂接完成之后，不同的用户登录系统，将能够输 出查看不同类型的业务流程图。 输出查看完整的业务流程图法律风险相关用户：输出查 看包含法律风险和控制的业 务流程图 报告风险相关用户：输出查 看包含报告风险和控制的业 务流程图 3.3 法律风险防控实施证据表单挂接 p需要将法律风险防控实施证据模型与具体的实施证据表单挂接。 主要内容 一、法律风险防控程序化目标 二、法律风险防控程序化内容 三、法律风险防控程序化操作 1、形成适用于地区公司的法律风险防范控制文档及法律风险防范控制模型 1.1 总部系统管理员为地区公司导入法律风险、控制模型 1.2 地区公司编制适用于本公司的法律风险防范控制文档 1.3 地区公司基于法律风险防范控制文档修改完善法律风险、控制模型 2、将法律风险，法律防控措施落实到业务流程中，实现法律风险防控的程序化 2.1 地区公司编制适用于本公司的 “法律风险、控制与业务流程对照表” 2.2 地区公司基于“法律风险、控制与业务流程对照表”新增业务流程目录 2.3 地区公司修改完善业务流程图，并实现风险、控制的分层分级展示 3、将法律架构与业务流程进行挂接，实现法律风险防范控制文档与法律风险相 关业务流程的在线浏览与使用 3.1 地区公司输出风险控制文档、整理法律风险防控相关证据表单 3.2 地区公司将法律风险防范控制文档与业务流程，法律法规挂接 3.3 地区公司将法律风险防控领域与业务流程挂接 4、法律风险防控程序化结果浏览应用 法律风险防控程序化操作流程 总部系统管理员为地区公司导入法律风险、控制模型 p总部的业务流程系统管理员负责将标准的法律风险、控制模型导入地区公司 的数据库。 公用模型法律风险防控目录 p业务流程系统管理员导入公用模型之后，将会在“13 法律管理”这个目录下形 成“01 法律风险防控”目录，该目录下将包括“法律风险防控首页”，“法律风险 防控流程”和“法律风险防控实施证据”三个模型 公用模型法律风险库 p业务流程系统管理员导入公用模型之后，将会在“13 法律管理”这个目录下形 成“02 法律风险库”目录，该目录下将包含所有的法律风险和控制模型。 公用模型法律风险测试目录 p业务流程系统管理员导入公用模型之后，将会在“13 法律管理”这个目录下形 成“03 法律风险测试目录”目录，该目录下包含了法律风险的测试目录。 录屏演示 1、形成适用于地区公司的法律风险防范控制文档及法律风险防范控制模型 1.1 总部系统管理员为地区公司维护法律风险、控制模型 1.2 地区公司编制适用于本公司的法律风险防范控制文档 1.3 地区公司基于法律风险防范控制文档修改完善法律风险、控制模型 2、将法律风险，法律防控措施落实到业务流程中，实现法律风险防控的程序化 2.1 地区公司编制适用于本公司的 “法律风险、控制与业务流程对照表” 2.2 地区公司基于“法律风险、控制与业务流程对照表”新增业务流程目录 2.3 地区公司修改完善业务流程图，并实现风险、控制的分层分级展示 3、将法律架构与业务流程进行挂接，实现法律风险防范控制文档与法律风险相 关业务流程的在线浏览与使用 3.1 地区公司输出风险控制文档、整理法律风险防控相关证据表单 3.2 地区公司将法律风险防范控制文档与业务流程，法律法规挂接 3.3 地区公司将法律风险防控领域与业务流程挂接 4、法律风险防控程序化结果浏览应用 法律风险防控程序化操作流程 1.增加法律风险、控制 p如果地区公司需要新增法律风险、控制，则首先需要在现有的法律风险防范控 制文档的基础上新增法律风险和法律控制。然后在业务流程管理系统中增加对应 的风险和控制 p例如xx地区公司新增了1个业务领域（xx管理），该领域中包含2个业务子领 域，3个法律风险源，5个法律风险源具体表现， 9个法律控制。 2.删除法律风险、控制 p如果地区公司想要删除本公司不适用的法律风险和法律控制，则需要首先在 原有的法律风险防范控制文档中标注出所有需要删除的风险点和控制点，然 后在“业务流程管理系统”中删除对应的风险对象和控制对象。 在原有的文档中标注 需要删除的法律风险和法律控制 3.修改法律风险、控制 p如果地区公司想要修改现有的法律风险和法律控制的信息（如修改法律防控 措施对应的责任部门），则需要首先在原有的法律风险防范控制文档中标注 出所有需要修改的内容，然后在“业务流程管理系统”中修改对应的对象信息 。 在原有的文档中标注出 需要修改的内容 1、形成适用于地区公司的法律风险防范控制文档及法律风险防范控制模型 1.1 总部系统管理员为地区公司维护法律风险、控制模型 1.2 地区公司编制适用于本公司的法律风险防范控制文档 1.3 地区公司基于法律风险防范控制文档修改完善法律风险、控制模型 2、将法律风险，法律防控措施落实到业务流程中，实现法律风险防控的程序化 2.1 地区公司编制适用于本公司的 “法律风险、控制与业务流程对照表” 2.2 地区公司基于“法律风险、控制与业务流程对照表”新增业务流程目录 2.3 地区公司修改完善业务流程图，并实现风险、控制的分层分级展示 3、将法律架构与业务流程进行挂接，实现法律风险防范控制文档与法律风险相 关业务流程的在线浏览与使用 3.1 地区公司输出风险控制文档、整理法律风险防控相关证据表单 3.2 地区公司将法律风险防范控制文档与业务流程，法律法规挂接 3.3 地区公司将法律风险防控领域与业务流程挂接 4、法律风险防控程序化结果浏览应用 法律风险防控程序化操作流程 1.3 地区公司基于法律风险防范控制文档修改完善 法律风险、控制模型 1.3.1 增加法律风险、控制 1.3.2 删除法律风险、控制 1.3.3 修改法律风险、控制 1.3.4 补充、完善实施证据模型 1.3.1 增加法律风险、控制 1.3.1.1 增加法律风险、控制模型 1.3.1.2 增加法律风险、控制测试模型 增加法律风险、控制模型 p如果地区公司在集团公司的法律风险防范控制文档的基础上增加了法 律风险和法律控制则需要执行此步骤，否则无需执行此步骤。 p这里以某地区公司为例，假设需要新增1个业务领域，2个业务子领 域，3个法律风险源，5个法律风险源具体表现， 9个法律控制。 1. 添加业务领域对应的风险类别 注意：添加的风险类别对象的名称需要和业务领域的名称一致，且 法律领域的编号和领域名称需要用“空格”隔开，如l09 某某管理 p打开“13 法律管理02 法律风险库” 组下的“法律风险”模型，在其中添 加 “l09 某某管理” 风险类别对象，并将其和“法律风险”对象相连 2. 为新添加的业务领域建立同名组 p 在 “02 法律风险库”组下为风险类别对象 “l09 某某管理”创建 一个同名的组 3. 为添加的风险类别对象分配风险图放在同名组下 p 为 “l09 某某管理”风险类别对象新建 分配风险图，并存放在新建的同名组下 4. 建立业务领域风险图模型 p 根据法律防范控制文档中的业务领域在新建的风险图模型中建立同名 的风险类别对象。 5. 为业务子领域创建同名的组 p 在“l09 某某管理”组下新建和业务子领域同名 的组 6. 为业务子领域对象分配风险图 p 为业务子领域新建分配风险 图模型，模型存放在新建的同 名组中 7. 建立业务子领域风险图 p 依据法律风险防范控制文档的“法律风险源”在新建的风险图模型中 建立同名的风险类别对象。 8. 为法律风险源建立同名组 p 为法律风险源建立同名的组 9. 为法律风险源分配风险图在同名组下 10. 建立法律风险源的风险图模型 p 根据法律风险 防范控制文档中的 法律风险源具体表 现在新建的风险图 模型中建立同名的 风险对象。 11. 为风险对象创建同名的组 12. 为风险对象分配业务控制图模型 p 为每一个新建的风险对象分 配“业务控制图”模型，并存放在 同名组下 13. 建立业务控制图模型-创建控制对象 根据法律风险防控文档中的控制类型在业 务控制图模型中建立控制对象，控制对象 的命名规则为： 法律风险源具体表现的编号“-”+措施类 型号编号 其中防范性控制的措施类型编号为f； 控制性控制的措施类型编号为k； 补救性控制的措施类型编号为b； 既是防范性又是控制性的控制的措施类型 编号为fk； 既是防范性又是补救性的控制的措施类型 编号为fb； 既是控制性又是补救性的控制的措施类型 编号为kb； 如果有多个控制的控制类型编号一致，则 用“-01”-02” 加以区分，如kb-01，kb-02 除了纯“补救性”的控制之外，其他的控制 需要和风险连线。 f k kb 14. 建立业务控制图模型-创建测试定义对象 p 除了纯“补救性”的控制之外，其他的控制对象下需要创建同名的“测试定义” 对象，并和控制对象相连。 15. 建立业务控制图模型-建立其他对象 p 打开 “l01.06.01 未依法取得油气资源勘查权、开采权而从事勘查、 开采活动”对应的业务控制图模型，将其中的“组织单元”，“测试员组”，“ 测试审核组”“以出现复制的形式粘贴到新建的业务控制图模型中，并和测试定 义对象相连。 出现复制 出现复制 录屏演示 1.3.1 增加法律风险、控制 1.3.1.1 增加法律风险、控制模型 1.3.1.2 增加法律风险、控制测试模型 增加法律风险、控制测试模型 p 如果地区公司在集团公司的法律风险防范控制文档的基础上增加了法律 风险和法律控制则需要执行此步骤，否则无需执行此步骤。 p法律风险、控制测试目录的创建方法与创建风险图模型类似，下面以 “l09 xx管理” 为例，介绍法律风险、控制测试目录的创建方法。 1.在“法律风险防控目录树”中添加法律防控功能对象 p 打开“13 法律管理03 法律风险防控目录” 组下的“法律风险防 控目录 树”模型，在其中添加 “l09 xx管理” 功能对象，并将其和 “法律风险”功能对象相连 2.为新添加的业务领域建立同名组 p 在 “03 法律风险目录”组下为法律风险防控功能对象 “l09 xx管 理”创建 一个同名的组 3.为添加的法律防控功能对象分配功能树在同名组下 p 为 ”l09 xx管理“法律风险 防控功能对象新建分配功能树模型 ，并存放在新建的同名组下 4.建立业务领域风险图模型 p 根据法律防范控制文档中的业务领域在新建的功能树模型中建立同名 的功能对象。 5.为业务子领域创建同名的组 p 在”l09 xx管理“组下新建和业务子领域同名的组 6.为业务子领域对象分配功能树模型 p 为业务子领域新建分配功能 树模型，模型存放在新建的同名 组中 7.建立业务子领域功能树图 p 依据法律风险防范控制文档的“法律风险源”在新建的功能树模型中建立 同名的功能对象。 8.为法律风险源建立同名组 p 为法律风险源建立同名的组。 9.为法律风险源分配功能分配图在同名组下 10.建立法律风险源的功能分配图模型 p 打开组“法律风险库” 下与法律风险源同名风 险图模型，将模型中的 风险对象出现复制到功 能分配图模型中，并与 功能对象连线。 录屏演示 1.3 地区公司基于法律风险防范控制文档修改 完善法律风险、控制模型 1.3.1 增加法律风险、控制 1.3.2 删除法律风险、控制 1.3.3 修改法律风险、控制 1.3.4 补充、完善实施证据模型 删除法律风险、控制模型 p 如果地区公司在集团公司的法律风险防范控制文档的基础上删除了法律 风险或法律控制则需要执行此步骤，否则无需执行此步骤。 p下面以 “l01 资源权属管理” 为例，说明如何删除其中的法律风险 “l01.01.01 先用地后征地或边用地边征地”。 1.查找法律风险 p 基于“13 法律管理02 法律风险库”点击鼠标右键，选择“查找”，然后在 弹出的查找对话框中查找名称为“l01.01.01 先用地后征地或边用地边征地 ” 的风险对象。 2.定位到法律风险对象 p 点中查找出来的风险对象，点击鼠标右键，选择“转到浏览器中对象的 出现”，定位到该风险对象。 3.删除风险对象及其对应的同名组 p 删除查找出来的风险对象，删除该风险对象对应的同名组。 1.3 地区公司基于法律风险防范控制文档修改完善 法律风险、控制模型 1.3.1 增加法律风险、控制 1.3.2 删除法律风险、控制 1.3.3 修改法律风险、控制 1.3.4 补充、完善实施证据模型 1.3.3 修改法律风险、控制 1.3.3.1 手工修改法律风险、控制信息 1.3.3.2 通过脚本修改法律风险、控制信息并导出 正式的法律风险防范控制文档 1. 手工维护法律风险信息 p “风险”对象（即法律风险源具体表现）相关的“法律风险源诱发因素”和“法 律风险”这两个信息需要在 “风险” 对象的“风险类别”特性组下的的“法律风险 源诱发因素”特性和“法律风险”特性中进行维护。 2. 手工维护法律控制属性 p 法律控制相关的 “责任部门”，“措施”，“实施证据”和“法律依据”4个信息需 要分别在“控制”对象的“控制对象属性”特性组下的“责任部门”，“aris审计管理 器特性控制特性”特性组下的“措施”，“控制证据”特性组下的“控制证据名称 1”和“系统特性”特性组下的“标题1”中进行维护。 录屏演示 1.3.3 修改法律风险、控制 1.3.3.1 手工修改法律风险、控制信息 1.3.3.2 通过脚本修改法律风险、控制信息并导出 正式的法律风险防范控制文档 法律风险和控制对象的信息也可以通过脚本进行维护，具体的操作方法如下： 1. 通过“11 法律管理”组下的“02 中国石油-法律风险防范控制文档导出（属性维护）” 脚本导出带有控制点编号的法律风险防范控制文档。 2. 在导出的文档中维护法律风险源诱发因素、法律风险、 责任部门、措施、 实施证据、法律依据等相关信息 3. 通过“03 中国石油-法律风险防范控制文档导入 ”脚本将维护好的文档导 入业务流程管理系统 4. 通过“01 中国石油-法律风险防范控制文档导出”脚本导出正式的、不含控制 点编号的法律风险防范控制文档 通过脚本维护法律风险和控制信息 p基于“02 法律风险库”组，点右 键选择“评估”“开始报表”；类别 项选择“11 法律管理” ；报表项选 择 “02 中国石油-法律风险防范控 制文档导出（属性维护）” 点击下 一步，点“完成” 。 1.导出带有控制点编号的法律风险防范控制文档 2. 修改报表中的风险和控制的信息 p 导出的报表如右图所示， 在其中补充修改法律风险源 诱发因素、法律风险，应对 措施中的责任部门、措施、 实施 证据，法律依据等信息 。 p 注意“法律风险源诱发因 素”，“法律风险”和“法律依据” 这三个部分的内容需要合并 单元格。 p基于“02 法律风险库”组运行“03 中国石油-法律风险防范控制文档导入 ”脚本 将维护好的excel表格导入系统中。 3.将维护好的表格导入业务流程管理系统 p 导入完成后，基于“02 法律风险库”组运行脚本导出正式的法律风险 防范控制文档。 4.导出最终的法律风险防范控制文档 录屏演示 1.3 地区公司基于法律风险防范控制文档修改完善 法律风险、控制模型 1.3.1 增加法律风险、控制 1.3.2 删除法律风险、控制 1.3.3 修改法律风险、控制 1.3.4 补充、完善实施证据模型 1.打开法律风险防控实施证据模型 p 这里以“l09 某某管理”业务领域为例，说明法律风险防控实施证据模型的完善方 法；其他领域需要参照下述方法补充完善对应的实施证据。 首先打开“13 法律管理03 法律风险防控实施证据”下的“法律风险防控实施证据” 模型，在模型中添加一个技术术语对象，命名为“某某管理”。 2.为新增业务领域创建同名组 p 在“13 法律管理01 法律风险防控体系 03 法律风险防控实施证据”下新 建组，命名为“09 某某管理”. 3.为新增业务领域分配技术术语模型 p 为新添加的业务领域技术术语对 象新建分配技术术语模型并存放在同名 组下。 4.建立实施证据表单 p 依据法律风险防 范控制文档中的实施 证据内容，在新增的 技术术语模型中添加 对应的实施证据。 5.添加业务领域的结构元素对象 p 打开“13 法律管理01 法律风险防控体系 01 法律风险防控首页”下的法律 风险防控首页模型，新建一个结构元素（证据表单）对象，命名为“某某管理”，并 和“法律风险防控实施证据“相连。 6.创建分配 p 将 “13 法律管理01 法律风险防控体系 03法律风险防控实施证据某某管理” 下建立的技术术语模型拖到新建的“某某管理”结构元素对象上，在弹出的“创建分配”对话 框中选择“创建分配”，为新建的业务领域分配对应的技术术语模型。 录屏演示 1、形成适用于地区公司的法律风险防范控制文档及法律风险防范控制模型 1.1 总部系统管理员为地区公司维护法律风险、控制模型 1.2 地区公司编制适用于本公司的法律风险防范控制文档 1.3 地区公司基于法律风险防范控制文档修改完善法律风险、控制模型 2、将法律风险，法律防控措施落实到业务流程中，实现法律风险防控的程序化 2.1 地区公司编制适用于本公司的 “法律风险、控制与业务流程对照表” 2.2 地区公司基于“法律风险、控制与业务流程对照表”新增业务流程目录 2.3 地区公司修改完善业务流程图，并实现风险、控制的分层分级展示 3、将法律架构与业务流程进行挂接，实现法律风险防范控制文档与法律风险相 关业务流程的在线浏览与使用 3.1 地区公司输出风险控制文档、整理法律风险防控相关证据表单 3.2 地区公司将法律风险防范控制文档与业务流程，法律法规挂接 3.3 地区公司将法律风险防控领域与业务流程挂接 4、法律风险防控程序化结果浏览应用 法律风险防控程序化操作流程 2.1 地区公司编制适用于本公司的“法律风险、控制与 业务流程对照表” p根据地区公司的具体业务，编制“法律风险、控制与业务流程对照表” ，整理法律风险、控制与本公司业务流程的对应关系。 1、形成适用于地区公司的法律风险防范控制文档及法律风险防范控制模型 1.1 总部系统管理员为地区公司维护法律风险、控制模型 1.2 地区公司编制适用于本公司的法律风险防范控制文档 1.3 地区公司基于法律风险防范控制文档修改完善法律风险、控制模型 2、将法律风险，法律防控措施落实到业务流程中，实现法律风险防控的程序化 2.1 地区公司编制适用于本公司的 “法律风险、控制与业务流程对照表” 2.2 地区公司基于“法律风险、控制与业务流程对照表”新增业务流程目录 2.3 地区公司修改完善业务流程图，并实现风险、控制的分层分级展示 3、将法律架构与业务流程进行挂接，实现法律风险防范控制文档与法律风险相 关业务流程的在线浏览与使用 3.1 地区公司输出风险控制文档、整理法律风险防控相关证据表单 3.2 地区公司将法律风险防范控制文档与业务流程，法律法规挂接 3.3 地区公司将法律风险防控领域与业务流程挂接 4、法律风险防控程序化结果浏览应用 法律风险防控程序化操作流程 2.2 地区公司基于“法律风险、控制与业务流程对照表 ” 新增业务流程目录 p需要新增的前三级业务流程目录需要和标准的流程架构保持一致。 p需要新增的四级业务流程目录可以根据本公司的具体业务进行调整。 新增流程目录名称 sp07.01.01.01 商标注册 mp04.01.02.04 投标管理 ； mp04.02.03.03 投标管 理 录屏演示 1、形成适用于地区公司的法律风险防范控制文档及法律风险防范控制模型 1.1 总部系统管理员为地区公司维护法律风险、控制模型 1.2 地区公司编制适用于本公司的法律风险防范控制文档 1.3 地区公司基于法律风险防范控制文档修改完善法律风险、控制模型 2、将法律风险，法律防控措施落实到业务流程中，实现法律风险防控的程序化 2.1 地区公司编制适用于本公司的 “法律风险、控制与业务流程对照表” 2.2 地区公司基于“法律风险、控制与业务流程对照表”新增业务流程目录 2.3 地区公司修改完善业务流程图，并实现风险、控制的分层分级展示 3、将法律架构与业务流程进行挂接，实现法律风险防范控制文档与法律风险相 关业务流程的在线浏览与使用 3.1 地区公司输出风险控制文档、整理法律风险防控相关证据表单 3.2 地区公司将法律风险防范控制文档与业务流程，法律法规挂接 3.3 地区公司将法律风险防控领域与业务流程挂接 4、法律风险防控程序化结果浏览应用 法律风险防控程序化操作流程 2.3 地区公司修改完善业务流程图，并实现风险、控制 的分层分级展示 2.3.1 修改完善业务流程图 2.3.2 调整原有的财务风险和控制 2.3.3 增加法律风险、控制和证据表单 2.3.4 通过管理主题特性区分财务风险、控制与法 律风险控制 1.新增业务流程图 p根据编制的“法律风险、控制与业务流程对照表”，整理所有需要新建 的业务流程，根据公司的具体业务，参照法律风险防控文档，建立适用 于本公司的业务流程图 新建流 程图 2.补充完善已有业务流程图 p根据“法律风险、控制与业务流程对照表” ，整理所有需要修改的业务流 程，参照法律风险防控文档，添加对应的活动步骤 新增法 律步骤 2.3 地区公司修改完善业务流程图，并实现风险、控制 的分层分级展示 2.3.1 修改完善业务流程图 2.3.2 调整原有的财务风险和控制 2.3.3 增加法律风险、控制和证据表单 2.3.4 通过管理主题特性区分财务风险、控制与法 律风险控制 1.运行功能分配图自动建模脚本 p对于每一个包含财务报告风险和控制的业务流程图，需要找到其对应的组， 基于组运行“11 法律管理”下的“04 中国石油-功能分配图自动建模”脚本。 2.功能分配图自动建模脚本说明 功能分配图自动建模脚本能够： p自动为epc模型中每一个活动步骤创建一个对应的组，并为活动步骤分配一 个功能分配图模型。 p自动的修正活动步骤对应的组及功能分配图模型的名称，使之和活动步骤的 名称保持一致。 p删除不和任何活动步骤相关的功能分配图模型及对应的组。 3.修改默认模版 p脚本运行完成之后，打开需要调整的业务流程图，点击鼠标右键，选择“属性 ”，将“当前模版”修改为“中国石油模版_标准”。 4.剪切原有的风险，控制对象 p对于每一个包含风险和控制的活动步骤，打开其对应的功能分配图模型，将 流程图中该活动步骤对应的所有风险和控制剪切到的功能分配图模型中。 p如果该活动步骤对应的是流程接口，则只需要删除原有的风险和控制，不需 要剪切风险和控制对象到功能分配图模型中。 p如果风险和控制对应的是整个流程，也只需要删除原有的风险和控制。 5.将控制对象和活动步骤连线 p将粘贴过来的风险对象放到活动步骤的左侧，控制对象放到活动步骤的右侧 ，并将控制和活动步骤相连。 p如果该活动步骤对应的是流程接口，则不需要执行步骤5。 p如果对应的是全局风险和全局控制，也不需要执行步骤5。 6.调整原有风险、控制 p用风险类别，控制类别替代删除的风险和控制对象。 p新建的风险类别，控制类别的符号分别放置在“活动步骤”的左下方和右下方， 和活动步骤保持一定的距离，其中控制类别对象的顶部需要和“活动步骤”相关 的 符号的下部对齐 7.调整原有风险、控制 p活动步骤相关风险的转换规则如下： 序 号 转转化前的风险风险符号转转化后的风险类别风险类别说说明 1 一个风险：直接在风险的序号前加f 2 多个连续风险 ：风险的序号前添加f，用1-3 表示风险1到风险3，8-10x表示风险8x到风 险10x 3 多个非连续风险 ：风险的序号前加f，用“2 ，4，5，7”表示4个风险，“8x，10x”表示2个 风险。 一个风险类别 符号最多可以表示4个非应 用系统风险 ，2个应用系统风险 ，如果超过 个数，则需要用新建风险类别 符号表示 8.调整原有风险、控制 p活动步骤相关控制的转换规则如下： 序 号 转转化前的控制符号转转化后的控制类别类别说说明 1 一个控制：直接在风险的序号前加f 2 同一风险下的多个连续控制：控制 的序号前添加f，用4.2m-4.4m表示 风险4的第2个至第4个控制点，ka3- 5表示ka3到ka5 3 多个非连续控制：控制的序号前加f ，用“4.2m，4.5m”表示2个控制。 一个控制类别符号最多可以表示2 个控制，如果超过2个则需要用其他 的控制类别符号表示 9.调整原有风险、控制 p所有的风险、控制转化完成之后，基于“05 流程”查找所有的功能分配图模型 ： 10.调整原有风险、控制 p选中所有查找出来的功能分配图模型，点击右键，选择“格式-应用模版”，在“ 选择模版”窗口中选择“中国石油模版_标准”，然后点击“确定”： 11.调整原有风险、控制 p模版应用完成之后，会自动地将功能分配图中的风险、控制符号调整为标准 大小 录屏演示 2.3 地区公司修改完善业务流程图，并实现风险、控制 的分层分级展示 2.3.1 修改完善业务流程图 2.3.2 调整原有的财务风险和控制 2.3.3 增加法律风险、控制和证据表单 2.3.4 通过管理主题特性区分财务风险、控制与法 律风险控制 1.运行功能分配图自动建模脚本 p对于每一个包含法律风险和控制的业务流程图，需要找到其对应的组，基于 组运行“11 法律管理”下的“04 中国石油-功能分配图自动建模”脚本。 2.新增法律风险、控制和证据表单 p打开法律风险相关的业务流程图，参照法律风险防控文档和“法律风险、控制 与业务流程对照表”，在相关的活动步骤中添加法律风险类别、控制类别及证据 表单，其中控制类别对象的顶部需要放置到“活动步骤”对应的 符号的下方 。 添加法律风 险类别、控 制类别 3.法律风险类别，控制类别标示规范 p法律风险类别，控制类别的标示规范如下： 单一的法律风险风险集合：表示3.1.1和3.1.2两个风险 单一的法律“防范性”控制 控制集合：表示风险3.1.1对应的“防范性”控制和“控制性”控制 单一的法律“控制性”控制 控制集合：表示风险3.1.1和3.1.2对应的“防范性”控制 控制集合：表示风险3.1.1和3.1.2对应的“防范性”控制和“控制性”控制 控制集合：表示风险3.1.1和3.1.2对应的“控制性”控制 4.打开功能分配图 p对于每一个对应法律风险或控制的活动步骤，需要打开其对应的功能分配图 模型 5. 查找法律风险 p基于“13 法律管理02 法律风险库”查找该活动步骤对应的法律风险对象。如 果法律风险类别的符号为l5.6.6，则需要在检索条件中输入“*l05.06.06*” 6. 查找法律风险（续） p选中查找出的风险对象，点击右键，选择“转到-浏览器中对象的出现”，找到 对应的风险对象之后，点击右键，选择“复制”。 .粘贴法律风险 p将风险粘贴到功能分配图模型中，并将风险对象放在活动步骤的左下方。 .查找法律控制 p基于“13 法律管理02 法律风险库”查找活动步骤对应的法律控制。如果法律 控制类别的符号为“l.fk5.6.6”，则需要在检索条件中分别输入 “*l05.06.06-f*”和“*l05.06.06-k*”，分两次查找对应的控制对象 .查找法律控制（续） p选中查找出的控制对象，点击右键，选择“转到-浏览器中对象的出现”，找到 对应的控制对象之后，点击右键，选择“复制”。 10.粘贴法律控制 p将控制对象粘贴到功能分配图模型中，将控制对象放在活动步骤的右下方并 和活动步骤连线。 录屏演示 2.3 地区公司修改完善业务流程图，并实现风险、控制 的分层分级展示 2.3.1 修改完善业务流程图 2.3.2 调整原有的财务风险和控制 2.3.3 增加法律风险、控制和证据表单 2.3.4 通过管理主题特性区分财务风险、控制与法 律风险控制 维护风险、控制的“管理主题”特性 p 为了便于区分财务风险、控制和法律风险，控制，还需要将所有财 务报告风险、控制的“管理主题”特性组中的“报告主题”特性激活； 将所有法律风险、控制的“管理主题”特性组中的“法律主题”特性激 活。 1.查找所有的财务报告风险对象 p 通过 “11内控管理-03 数据-01风险库-03 业务层面风险”查找所有的风险 对象。 2.打开特性维护窗口 p 查找到所有的风险对象之后，选中所有的风险对象，点击鼠标右键，选 择“特性”或按f8打开特性维护窗