销售公司内控体系培训

2011年4月江苏销售公司内控体系培训第一页，共五十一页。24.1相似的图形凌格风空机11第二页，共五十一页。目录内控手册内容介绍一内控手册执行二内部控制测试三第三页，共五十一页。内控手册内容介绍主要内容：◆内控手册架构◆手册要素含义第四页，共五十一页。内控手册内容介绍—手册架构

中国石油江苏销售公司内部控制管理手册业务流程管理平台（）控制环境风险评估公司简介和总论控制活动信息与沟通监督第五页，共五十一页。内控手册内容介绍—手册架构内容内控手册公司简介总论包括编制目的、依据、原则、管理要求、组织机构公司简介和总论关键应用系统调研问卷关键权限与通用角色对照表（FMIS7.0）不相容通用角色清单（FMIS7.0）关键权限与通用角色对照表（AMIS7.0）不相容通用角色清单（AMIS7.0）ERP系统职责分离矩阵人力资源系统职责分离矩阵电子表格汇总表信息与沟通涉及的制度索引信息与沟通基本业务流程目录主要业务流程目录业务层面风险数据库风险评估涉及的制度索引风险评估权限指引表控制环境涉及的制度索引控制环境风险控制管理文件包括流程图与风险控制文档控制活动涉及的制度索引控制活动监督涉及的制度索引监督第六页，共五十一页。内控手册内容介绍—要素说明00公司简介和总论公司简介：主要介绍公司最新的组织机构设置、生产经营情况、财务状况等。总论：编制目的编制原则编制依据适用范围主要内容管理要求内控工作组织结构及权责第七页，共五十一页。内控手册内容介绍—要素说明01控制环境控制环境确立公司风险管理的总体态度，是内部控制体系的基础，是有效实施风险管理的保障，直接影响内部控制体系的执行、公司经营目标及整体战略目标的实现。控制环境包括诚信与道德价值观、发展目标、管理理念与企业文化、风险管理策略、董事会及下属委员会、组织结构、权利和责任分配、人力资源政策与措施、员工胜任能力以及反舞弊机制等内容。第八页，共五十一页。内控手册内容介绍—要素说明控制环境内容权限指引表：结合流程图、风险控制文档及公司规章制度，对重要业务流程涉及的审核权、审查权、审批权在权限指引表中进行描述。权限指引表中不包括编制、起草、拟定、建议、论证、审阅和业务复核等其他权限。控制环境涉及的制度索引：根据公司现有的规章制度，对10个主题，包括诚信与道德价值观、发展目标、管理理念与企业文化、风险管理策略、组织结构、权利和责任分配、人力资源政策、员工胜任能力、反舞弊机制，涉及的制度进行了完整描述。第九页，共五十一页。内控手册内容介绍—要素说明02风险评估风险评估是指对相关风险进行识别和分析，是发现和分析影响目标实现的风险的过程。风险评估是确定如何管理和控制风险的基础。信息收集风险评价风险识别风险反应风险评估程序第十页，共五十一页。内控手册内容介绍—要素说明风险评估内容基本业务流程目录：公司目前控制活动要素中进行流程图描述的末级流程及其对应的上级流程直至一级流程的目录的全部汇总。1-3级与股份公司通用业务流程目录保持一致。重要业务流程目录：公司目前控制活动要素中风险控制文档涵盖了K点的末级流程及其对应的上级流程直至一级流程的目录汇总。业务活动层面风险数据库：所有的已描述风险控制文档中所有风险的汇总分析。风险评估涉及的制度索引：根据公司现有的规章制度，对风险评估涉及的制度进行了完整描述。第十一页，共五十一页。内控手册内容介绍—要素说明03控制活动控制活动是确保管理层关于风险应对方案得以贯彻执行的政策和程序，是针对风险采取的控制措施。控制活动存在于公司所有级别的分支机构和职能部门，包括授权、批准、查证、核对、报告、内部审计、重大风险预警、企业法律顾问、经营业绩评价和资产保全措施等活动。风险控制管理文档：包括流程图与全面风险控制文档。控制活动涉及的制度索引：流程对应的所有规章制度的汇总第十二页，共五十一页。内控手册内容介绍—要素说明04信息与沟通信息与沟通是公司经营管理所需的信息被识别、获得并以一定形式及时地传递，以便员工履行职责。4.1关键应用系统调研问卷4.2关键权限与通用角色对照表（7.0）4.3不相容通用角色清单（7.0）4.4关键权限与通用角色对照表（7.0）4.5不相容通用角色清单（7.0）4.6系统职责分离矩阵4.7人力资源系统职责分离矩阵4.8电子表格汇总表4.9信息与沟通涉及的制度索引第十三页，共五十一页。内控手册内容介绍—要素说明05监督监督是对内部控制体系有效性进行评估的持续过程。包括持续监督、独立评估和缺陷报告等。1.持续监督。公司制定内部控制体系运行与维护管理制度，定期维护《内部控制管理手册》，将内部控制工作纳入公司各级管理层业绩考核，构建内部控制体系运行长效机制。各级管理部门、流程责任部门，在体系日常运行中，实施自我监督和自我检查，并将检查、检验报告报送内控管理部门。2.独立评估。以风险为导向，建立完整的测试规范，定期对各部门和业务单位内部控制体系有效性进行检查和监督。3.缺陷报告。建立健全缺陷报告管理机制，制定缺陷认定规范，明确上报内控缺陷的程序。第十四页，共五十一页。目录内控手册内容介绍一内控手册执行二内部控制测试三第十五页，共五十一页。内控手册执行—手册的三个层面公司层面控制□公司职业道德规范□公司发展目标、管理理念□公司组织机构□人力资源政策与管理措施业务活动层面控制□业务活动控制□财务相关应用系统控制信息系统总体控制□控制环境□信息安全□系统变更□对程序和数据的访问权限公司层面控制公司层面控制信息系统总体控制业务活动控制第十六页，共五十一页。内控手册执行手册执行内容：1、公司层面如何执行2、业务层面如何执行3、信息系统层面如何执行4、手册执行中的注意事项第十七页，共五十一页。内控手册执行—公司层面公司层面执行的基本要求：各部门员工要掌握公司职业道德制度《员工职业道德规范》。了解本单位信访举报方式和举报渠道。了解本单位组织的、员工参与的与业务知识、专业技能等有关的培训内容。了解薪酬激励、其他激励的相关制度熟悉本岗位的职责。公司层面包括：反舞弊程序与控制、经营活动分析、职业道德、高管基调、信访举报机制与违规处理、组织结构、权利和责任分配、培训、业绩考核、人力资源政策、信息与沟通、内部审计。附录2.3公司层面控制测试内容与步骤第十八页，共五十一页。内控手册执行—业务层面按控制执行按流程操作

按程序运行发生经济业务时，应当按照业务流程目录逐个运行流程每个业务，各部门、各岗位都应当按照流程规定的步骤操作各部门、各岗位要按照风险控制文档描述的控制要求执行业务层面执行的基本要求：第十九页，共五十一页。内控手册执行—业务层面业务层面执行主要内容：2.1基本概念介绍2.2流程图2.3风险控制文档2.4流程图与风险文档的结合第二十页，共五十一页。内控手册执行—业务层面2.1基本概念介绍组织单元岗位实施证据风险控制事件流程接口组功能功能第二十一页，共五十一页。内控手册执行—业务层面2.2流程图职能带事件岗位功能实施证据风险控制措施系统模块第二十二页，共五十一页。内控手册执行—业务层面2.3风险控制文档注意：一般控制与关键控制第二十三页，共五十一页。内控手册执行—业务层面2.4流程图与风险控制文档结合控制对应风险对应第二十四页，共五十一页。内控手册执行—业务层面2.4流程图与风险控制文档结合岗位对应第二十五页，共五十一页。内控手册执行—业务层面2.4流程图与风险控制文档结合实施证据对应第二十六页，共五十一页。内控手册执行—信息层面信息系统控制的要求信息系统总体控制信息系统应用控制遵守G管理规范的相关规定公司现有等级一的应用系统有：销售、7.0、7.0；等级三的应用系统网上报销系统、合同系统第二十七页，共五十一页。内控手册执行—信息层面信息系统层面执行中的注意事项：1、\系统管理员应根据关键权限与通用角色对照表、不相容角色清单进行权限分配2、系统管理员分配用户权限时要严格按照职责分离矩阵分配，不相容权限不能分配给同一用户3、电子表格严格遵守输入控制、.权限控制、逻辑检查、版本控制、安全控制、备份控制、存取控制的相关规定第二十八页，共五十一页。内控手册执行—信息层面1、系统管理员应根据关键权限与通用角色对照表进行权限分配关键权限与通用角色对照不相容通用角色融合7.0第二十九页，共五十一页。内控手册执行—信息层面1、系统管理员应根据关键权限与通用角色对照表进行权限分配第三十页，共五十一页。内控手册执行—信息层面1、系统管理员应根据关键权限与通用角色对照表进行权限分配第三十一页，共五十一页。内控手册执行—信息层面2、系统管理员分配用户权限时要严格按照职责分离矩阵分配第三十二页，共五十一页。内控手册执行—信息层面2、系统管理员分配用户权限时要严格按照职责分离矩阵分配09.01.04销售实施（）创建/维护销售订单审核销售订单第三十三页，共五十一页。内控手册执行—信息层面3、电子表格严格遵守输入控制、.权限控制、逻辑检查、版本控制、安全控制、备份控制、存取控制的相关规定1、输入控制对输入数据比较、调整以保证数据被准确、完整地录入2、权限控制电子表格的编制人和审核人需要实行权限分离3、逻辑检查对电子表格的逻辑计算、公式进行检查，并且复核被记录4、版本控制使用电子表格汇总表中的模板，存储时要体现电子表格数据文件的最后保存日期5、安全控制对电子表格的重要单元格进行锁定，只有经授权的人员才能更改电子表格中的预设公式和数值等内容。6、备份控制对电子表格须定期备份（包括模板与数据），确保数据的完整性与准确性7、存取控制对电子表格进行密码保护以限制存取（访问密码控制）第三十四页，共五十一页。内控手册执行—信息层面3、电子表格严格遵守输入控制、.权限控制、逻辑检查、版本控制、安全控制、备份控制、存取控制的相关规定指定电子表格负责人，负责电子表格的统一管理电子表格负责人要定期对电子表格进行备份、逻辑检查各岗位人员自接手该岗位工作时，即默认获得本岗位涉及电子表格的使用授权，应向电子表格负责人提交《电子表格使用申请表》，电子表格负责人依据工作需要审批《电子表格使用申请表》第三十五页，共五十一页。内控手册执行—注意事项1、严格按照流步骤操作2、存在风险和控制的步骤，严格按照中相关控制措施执行3、应选用与内控手册中同时发布的实施证据文件夹中的表单4、关注业务发生的控制频率5、流程中的手工控制手册执行中的注意事项：第三十六页，共五十一页。目录内控手册内容介绍一内控手册执行二内部控制测试三第三十七页，共五十一页。内部控制测试—测试介绍公司层面业务层面内控测试分类测试组织管理层测试外部审计测试自我测试十七主题跟单测试关键控制应用控制电子表格总体控制测试内容公司层面业务层面信息层面第三十八页，共五十一页。内部控制测试—测试介绍公司层面业务层面管理层测试管理层测试是针对股份公司业务单位内部控制设计和运行的有效性，由管理层授权审计部和内控与风险管理部具体实施的检查过程，根据管理层测试及其缺陷评估的结果出具管理层自我评估报告并对外披露。管理层测试分两个阶段进行。第一阶段管理层测试由审计部负责，第二阶段管理层测试由内控与风险管理部负责，具体包括改进测试、补充测试、更新测试以及年度财务报告控制测试。第三十九页，共五十一页。内部控制测试—测试介绍公司层面业务层面公司自我测试是由公司组织实施的、针对本单位内部控制设计和运行的有效性实施的检查过程。自我测试应满足以下要求：自我测试应坚持以风险为导向，兼顾覆盖面，重点关注高风险领域和业务薄弱环节。地区公司对所属单位进行的自我测试，单位覆盖率不低于50%；每个测试单位的重要业务流程覆盖率不低于70%，关键控制覆盖率要达到90%；地区公司应在每年年初将自我测试计划报送内控部备案，年底将年度自我测试报告报送内控部审核；自我测试应按照股份公司统一的标准和规范进行，测试计划、测试底稿和测试报告须纳入内控测试系统（）。第四十页，共五十一页。内部控制测试—测试介绍公司层面业务层面外部审计师测试外部审计师测试是审计师根据(美国公众公司会计监督委员会)的审计准则，为对公司的内控控制有效性发表意见而进行的独立测试。外部审计师测试的测试范围确定方法与管理层测试一致，测试范围确定的结果可能与管理层一致，也可能与管理层测试略有不同。外部审计师测试一般每年组织一次。第四十一页，共五十一页。内部控制测试—公司层面公司层面控制：公司层面控制是确保管理层获得在公司内部各个领域都有适当的控制机制在发挥作用的重要机制。公司层面控制的内容：公司层面控制涵盖框架的五个要素及反舞弊六个方面，包括职业道德、高管基调、信访举报和违规处理、组织结构、权利和责任分配、培训、业绩考核、人力资源政策、岗位职责描述、董事会、审计委员会、风险评估过程、经营活动分析、信息与沟通、信息披露、内部审计和反舞弊程序与控制共十七个主题。附录2.3公司层面控制测试内容与步骤第四十二页，共五十一页。内部控制测试—业务层面业务活动层面控制测试通过跟单测试（又称跟单作业）和关键控制测试两种方式对业务层面所有重要流程的设计有效性和执行有效性进行检查，目的是对业务层面所有重要流程的设计有效性以及所有重要流程和关键控制的执行有效性进行检查。第四十三页，共五十一页。内部控制测试—信息层面信息系统总体控制测试信息系统总体控制测试是对信息系统总体控制规定和信息系统总体控制实施办法规定的控制环境、信息安全、变更管理、项目建设管理、日常运作、最终用户操作等六个方面的内容进行测试。通过信息系统总体控制测试，检查是否根据集团公司信息系统总体控制管理文件的要求，执行了信息系统管理的各项控制活动，从而提高应用系统控制的有效性，确保信息系统支持的应用控制是可靠的、生成的数据和报告是可信的。第四十四页，共五十一页。内部控制测试—测试方法第四十五页，共五十一页。内部控制测试—测试方法测试方法：询问是通过口头或书面的方式对执行控制的相关人员提出问题，根据被询问人的回答确定控制是否存在并有效运行，以及控制执行人对控制的理解程度。具体形式有访谈、调查问卷等。询问是确信水平最弱的一种测试方法，仅仅通过访谈不能获得充分的证据，应该与其他测试方法同时运用。应对方法：测试人员访谈时询问的问题：是否理解业务流程，对流程步骤中涉及的风险是否重点关注、是否采取对应的控制措施、依据的制度文件；被访谈人员的应对措施：对测试人员的问题依次回答，如对所问问题没有把握可以跟测试人员进行沟通、及时查阅资料后答复。避免使用“不清楚、不了解、不知道”等语言。第四十六页，共五十一页。内部控制测试—测试方法测试方法：观察是现场见证正在执行的控制，从而判断控制是否存在并有效运行。观察对测试接触性控制非常有用，比询问的确信水平高，应该与其他测试方法同时运用。应对方法：测试人员：测试人员进行测试时采取现场观察的方法主要关注执行岗位人员是否按照流程步骤操作，流程中重要的步骤和控制是否存在，并是否按要求执行；执行岗位人员：在对本单位进行测试的过程中，严格按照流程图和风险控制文档的要求进行操作。第四十七页，共五十一页。内部控制测试—测试方法测试方法：