【正文】 部控制目標(biāo)相關(guān)的風(fēng)險(xiǎn)，合理確定風(fēng)險(xiǎn)應(yīng)對(duì)策略 ?風(fēng)險(xiǎn)評(píng)估是形成內(nèi)部控制活動(dòng)的基礎(chǔ) 內(nèi)部環(huán)境 ?內(nèi)部環(huán)境是企業(yè)實(shí)施內(nèi)部控制的基礎(chǔ)， ?一般包括治理結(jié)構(gòu)、機(jī)構(gòu)設(shè)置及權(quán)責(zé)分配、內(nèi)部審計(jì)、人力資源政策、企業(yè)文化等 信息與溝通 內(nèi)部環(huán)境 公司層面 業(yè)務(wù)單元 子公司 風(fēng)險(xiǎn)評(píng)估 控制活動(dòng) 信息與溝通 內(nèi)部監(jiān)督 信息與溝通 ?信息與溝通是企業(yè)及時(shí)、準(zhǔn)確地收集、傳遞與內(nèi)部控制相關(guān)的信息，確保信息在企業(yè)內(nèi)部、企業(yè)與外部之間進(jìn)行有效溝通。 ?主要包括信息溝通、信息技術(shù)、反舞弊等 69 信息與溝通分冊(cè)示例 目錄 1 概述 ??????????.?????????????????????... 概 述 ???????????????????????????????? 信息 ???????????????????????????????? 溝通 ???????????????????????????????? 信息系統(tǒng)總體控制 ?????????????????????????? 信息系統(tǒng)應(yīng)用控制 ?????????????????????????? 信息披露 ?????????????????????????????? 2 信息溝通文件 ????????????????????????????? 總部各部門(mén)信息流匯總表 ??????????????????????? 應(yīng)用系統(tǒng)劃分規(guī)范及工作指引 ????????????????????? 應(yīng)用系統(tǒng)用戶(hù)權(quán)限管理工作規(guī)范 ???????????????????? 應(yīng)用系統(tǒng)主數(shù)據(jù)、報(bào)表公式變更及取消類(lèi)業(yè)務(wù)管理 ???????????? ERP與人力資源系統(tǒng)總體控制實(shí)施辦法 ????????????????? ERP與人力資源系統(tǒng)敏感事務(wù)訪問(wèn)權(quán)限設(shè)置規(guī)則 ????????????? 信息與溝通涉及的制度索引 ?????????????????????? 70 信息流匯總表示例 填寫(xiě)部門(mén) 信息類(lèi)別 信息內(nèi)容 信息來(lái)源 加工處理 載體形式 信息去向 涉及制度 備注 總裁辦公室 內(nèi)部信息 機(jī)關(guān)部門(mén)、專(zhuān)業(yè)公司、地區(qū)公司公文 機(jī)關(guān)各部門(mén)、專(zhuān)業(yè)公司、地區(qū)公司 公文處理程序 文件、會(huì)議紀(jì)要、內(nèi)部局域網(wǎng) 有閱讀權(quán)限的機(jī)關(guān)管理人員 《 ABC天然氣股份有限公司公文處理暫行方法 》（石油辦字 [2023]325號(hào)）、 《 ABC天然氣股份有限公司機(jī)關(guān)公文處理暫行規(guī)定 》 （石油辦字[2023]88號(hào)） 外部信息 外部監(jiān)督方和上級(jí)的公文 外部監(jiān)督方和上級(jí)主管部門(mén)、國(guó)家部委 公文處理程序 文件、函、會(huì)議紀(jì)要 公司管理層、相關(guān)部門(mén)和有閱讀權(quán)限的機(jī)關(guān)部門(mén)領(lǐng)導(dǎo) 《 ABC天然氣股份有限公司公文處理暫行方法 》（石油辦字 [2023]325號(hào)） 規(guī)劃計(jì)劃部 外部信息 國(guó)家宏觀調(diào)控政策 上級(jí)公文及媒體 收集整理 公文 有關(guān)部門(mén)和領(lǐng)導(dǎo) 競(jìng)爭(zhēng)對(duì)手動(dòng)態(tài) 信息所、互聯(lián)網(wǎng)、新聞媒體 分析、應(yīng)用 專(zhuān)題報(bào)告、會(huì)議、互聯(lián)網(wǎng) 領(lǐng)導(dǎo)、員工 國(guó)家經(jīng)濟(jì)、政策環(huán)境信息 國(guó)家政府部門(mén)、新聞媒體 分析、應(yīng)用 專(zhuān)題講座、會(huì)議、互聯(lián)網(wǎng) 領(lǐng)導(dǎo)、員工 國(guó)家宏觀信息 國(guó)務(wù)院各部委 分析、對(duì)比、應(yīng)用 會(huì)議、報(bào)告 集團(tuán)公司、股份公司管理層，上報(bào)有關(guān)部委，行業(yè)交流 71 信息系統(tǒng)總體控制 ? 系統(tǒng)控制環(huán)境： 總體環(huán)境、信息與溝通、風(fēng)險(xiǎn)評(píng)估、監(jiān)控等 ? 項(xiàng)目建設(shè)管理： 開(kāi)發(fā)方法論、項(xiàng)目立項(xiàng)審批、項(xiàng)目啟動(dòng)階段、項(xiàng)目需求分析、項(xiàng)目設(shè)計(jì)、系統(tǒng)開(kāi)發(fā)實(shí)施、系統(tǒng)測(cè)試、數(shù)據(jù)移植、系統(tǒng)上線、項(xiàng)目驗(yàn)收、上線后審閱、用戶(hù)培訓(xùn)、項(xiàng)目文檔管理等 ? 變更管理： 應(yīng)用系統(tǒng)日常變更、系統(tǒng)環(huán)境日常變更、緊急變更管理等 ? 系統(tǒng)日常運(yùn)作： 機(jī)房環(huán)境控制、系統(tǒng)日常運(yùn)作監(jiān)控、批處理作業(yè)調(diào)度管理、數(shù)據(jù)備份與恢復(fù)、問(wèn)題管理等 ? 信息安全： 信息安全組織、邏輯安全、物理安全、網(wǎng)絡(luò)安全、計(jì)算機(jī)病毒防護(hù)、外部第三方信息安全管理、信息安全事件響應(yīng)等 信息系統(tǒng)總體控制 信息系統(tǒng)控制環(huán)境 信息安全 信息系統(tǒng)日常運(yùn)作 變更管理 項(xiàng)目建設(shè)管理 最終用戶(hù)操作 ? 最終用戶(hù)操作： 最終用戶(hù)計(jì)算機(jī)操作安全制度、電子表格管理等 信息系統(tǒng)總體控制所指的是內(nèi)部控制中對(duì)信息系統(tǒng)相關(guān)部分的控制，保證由信息系統(tǒng)支持的流程控制是可靠的、生成的數(shù)據(jù)和報(bào)告是可信的 72 信息安全主要關(guān)注以下方面的內(nèi)容 信息安全 物 理 安 全 網(wǎng) 絡(luò) 安 全 邏 輯 安 全 信 息 安 全 管 理 組 織 計(jì)算機(jī)病毒防護(hù) 第三方安全管理 信息安全事件響應(yīng) 73 信息安全－信息安全管理組織 關(guān)注點(diǎn) 控制措施 實(shí)施證 據(jù) 涉及崗位 根據(jù)業(yè)務(wù)需求設(shè)置信息安全管理機(jī)構(gòu)，具有清楚的角色和職責(zé)定義，并確保職責(zé)分離 ? 在股份公司和地區(qū)公司設(shè)立信息安全管理負(fù)責(zé)人，可以由信息技術(shù)部門(mén)內(nèi)相關(guān)人員兼任 ? 明確信息安全管理負(fù)責(zé)人的職責(zé)，并確保職責(zé)分離，例如信息安全管理負(fù)責(zé)人不應(yīng)兼任信息技術(shù)日常事務(wù)執(zhí)行工作 崗位職責(zé)說(shuō)明書(shū)或相關(guān)會(huì)議記錄 各級(jí)信息技術(shù)部門(mén)負(fù)責(zé)人 ? 定期（每六個(gè)月）審核本單位信息系統(tǒng)總體控制活動(dòng)的職責(zé)分離狀況，填寫(xiě) 《 職責(zé)分離檢查表 》 ，將不符情況報(bào)相關(guān)負(fù)責(zé)人 《 職責(zé)分離檢查表 》 信息安全管理負(fù)責(zé)人 企業(yè)對(duì)員工進(jìn)行信息安全教育和培訓(xùn)，以確認(rèn)其具有基本的信息安全意識(shí) ? 各級(jí)信息技術(shù)部門(mén)對(duì)員工進(jìn)行信息安全教育和培訓(xùn)，并對(duì)培訓(xùn)結(jié)果進(jìn)行書(shū)面記錄和歸檔 培訓(xùn)計(jì)劃、 培訓(xùn)紀(jì)錄 信息安全管理負(fù)責(zé)人 員工入職時(shí)，要求其簽署遵守企業(yè)的信息安全規(guī)定的聲明 ? 員工簽署合同或保密協(xié)議時(shí)應(yīng)包含員工遵守企業(yè)信息安全規(guī)定聲明 ? 人事部門(mén)負(fù)責(zé)“聲明”的統(tǒng)一歸檔 員工遵守企業(yè)信息安全規(guī)定聲明 人事部負(fù)責(zé)人 信息安全 物 理 安 全 網(wǎng) 絡(luò) 安 全 邏 輯 安 全 信 息 安 全 管 理 組 織 計(jì) 算 機(jī) 病 毒 防 護(hù) 外 部 第 三 方 安 全 管 理 信 息 安 全 事 件 響 應(yīng) 74 控制活動(dòng) ?控制活動(dòng)是企業(yè)根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果，采用相應(yīng)的控制措施，將風(fēng)險(xiǎn)控制在可承受度之內(nèi)。 ?控制措施一般包括：不相容職務(wù)分離控制、授權(quán)審批控制、會(huì)計(jì)系統(tǒng)控制、財(cái)產(chǎn)保護(hù)控制、預(yù)算控制、運(yùn)營(yíng)分析控制和績(jī)效考評(píng)控制等 風(fēng)險(xiǎn)評(píng)估 ?風(fēng)險(xiǎn)評(píng)估是企業(yè)及時(shí)識(shí)別、系統(tǒng)分析經(jīng)營(yíng)活動(dòng)中與實(shí)現(xiàn)內(nèi)部控制目標(biāo)相關(guān)的風(fēng)險(xiǎn)，合理確定風(fēng)險(xiǎn)應(yīng)對(duì)策略 ?風(fēng)險(xiǎn)評(píng)估是形成內(nèi)部控制活動(dòng)的基礎(chǔ) 內(nèi)部環(huán)境 ?內(nèi)部環(huán)境是企業(yè)實(shí)施內(nèi)部控制的基礎(chǔ)， ?一般包括治理結(jié)構(gòu)、機(jī)構(gòu)設(shè)置及權(quán)責(zé)分配、內(nèi)部審計(jì)、人力資源政策、企業(yè)文化等 內(nèi)部監(jiān)督 信息與溝通 ?信息與溝通是企業(yè)及時(shí)、準(zhǔn)確地收集、傳遞與內(nèi)部控制相關(guān)的信息，確保信息在企業(yè)內(nèi)部、企業(yè)與外部之間進(jìn)行有效溝通。 ?主要包括信息溝通、信息技術(shù)、反舞弊等 內(nèi)部環(huán)境 公司層面 業(yè)務(wù)單元 子公司 風(fēng)險(xiǎn)評(píng)估 控制活動(dòng) 信息與溝通 內(nèi)部監(jiān)督 內(nèi)部監(jiān)督 ?內(nèi)部監(jiān)督是企業(yè)對(duì)內(nèi)部控制建立與實(shí)施情況進(jìn)行監(jiān)督檢查，評(píng)價(jià)內(nèi)部控制的有效性，發(fā)現(xiàn)內(nèi)部控制缺陷，應(yīng)當(dāng)及時(shí)加以改進(jìn)。 ?主要包括：內(nèi)部監(jiān)督、缺陷認(rèn)定、控制評(píng)價(jià)和自我記錄等 75 內(nèi)部監(jiān)督分冊(cè)示例 目錄 1 內(nèi)部控制體系建設(shè)內(nèi)容 ………………………………………………………………… 概 述 ………………………………………………………………………………… 持續(xù)監(jiān)督 …………………………………………………………………………… 獨(dú)立評(píng)估 …………………………………………………………………………… 缺陷報(bào)告 …………………………………………………………………………… 2 內(nèi)部控制體系評(píng)價(jià)規(guī)范及執(zhí)行文件 …………………………………………………… 內(nèi)部控制體系評(píng)價(jià)概述 ? ………………………………………………………… 評(píng)價(jià)范圍的確定 ….……...………………………………………………………… 內(nèi)部控制測(cè)試 ……….……….…………………………………………………… 缺陷評(píng)估 ………………………………………………………………………… 評(píng)價(jià)報(bào)告 ………………………………………………………………………… 2. 6 內(nèi)部控制體系管理規(guī)范 .…..………………………………………..……………… 2. 7 監(jiān)督涉及的制度索引 ..…………………………………………………………… 76 內(nèi)部控制測(cè)試基本方法 檢查 再執(zhí)行 觀察 詢(xún)問(wèn) 77 控制設(shè)計(jì)與測(cè)試評(píng)價(jià)成果（公司層面） 78 控制設(shè)計(jì)與測(cè)試評(píng)價(jià)成果（流程層面） 79 控制設(shè)計(jì)與測(cè)試評(píng)價(jià)成果（ IT層面） 80 控制設(shè)計(jì)與測(cè)試評(píng)價(jià)成果（ IT層面） 81 缺陷認(rèn)定及整改實(shí)施跟蹤 ? 從整體控制目標(biāo)實(shí)現(xiàn)的角度出發(fā)，對(duì)發(fā)現(xiàn)問(wèn)題進(jìn)行缺陷認(rèn)定，按照缺陷的影響程度定義缺陷，從設(shè)計(jì)與執(zhí)行兩個(gè)方面出發(fā)，將缺陷進(jìn)行分類(lèi)，制定缺陷整改計(jì)劃并加以實(shí)施 ? 針對(duì)整改實(shí)施結(jié)果進(jìn)行再測(cè)試與再評(píng)價(jià)，持續(xù)跟進(jìn)與監(jiān)督 缺陷整改的實(shí)施步驟： ? 責(zé)任人及管理層對(duì)于缺陷事實(shí)的認(rèn)可 ? 對(duì)于缺陷產(chǎn)生原因的判定 ? 判斷缺陷為公司共性問(wèn)題還是個(gè)別單位、部門(mén)獨(dú)有問(wèn)題 ? 整改計(jì)劃的目標(biāo)是正對(duì)缺陷產(chǎn)生原因，而不是針對(duì)缺陷表象 ? 整改計(jì)劃符合有針對(duì)性、可衡量、可完成、符合現(xiàn)實(shí)情況、及時(shí)等五項(xiàng)原則 ? 整改計(jì)劃實(shí)施結(jié)果的持續(xù)跟進(jìn)與監(jiān)督 是否可以增加其他測(cè)試程序證明已經(jīng)發(fā)現(xiàn)的差異不能代表所有內(nèi)控的情況？ 擴(kuò)大測(cè)試范圍，重新評(píng)估，測(cè)試目的是否達(dá)到？ 設(shè)計(jì)缺陷 執(zhí)行缺陷 了解控制差異的起因和結(jié)果，判斷控制目標(biāo)是否達(dá)到？ 該差異不是控制缺陷，不必再考慮 是 否 否 否 是 是 82 XXXX公司管理層測(cè)試報(bào)告模板示例 83 （四） 企業(yè)內(nèi)部控制設(shè)計(jì)工作流程 84 85 企業(yè)內(nèi)部控制體系概述 以 《 企業(yè)內(nèi)部控制基本規(guī)范 》 為基礎(chǔ)，融合了 COSO企業(yè)風(fēng)險(xiǎn)管理框架 企業(yè) 內(nèi)部控制體系框架 建立決策、運(yùn)營(yíng)、監(jiān)督和信息與溝通于一體的內(nèi)部控制體系，覆蓋生產(chǎn)經(jīng)營(yíng)的全過(guò)程和主要經(jīng)營(yíng)管理崗位 ? 滿足國(guó)內(nèi)外相關(guān)法律法規(guī)的要求 ? 推動(dòng)企業(yè)規(guī)范化管理 ? 順利通過(guò)內(nèi)部控制審計(jì) ? 符合風(fēng)險(xiǎn)管理的發(fā)展趨勢(shì) 設(shè)計(jì)目標(biāo)： 內(nèi)容： 系統(tǒng)闡述內(nèi)控體系建設(shè)的方法和標(biāo)準(zhǔn)，全面涵蓋了以下五要素： ? 內(nèi)部環(huán)境 ? 風(fēng)險(xiǎn)評(píng)估 ? 控制活動(dòng) ? 信息與溝通 ? 內(nèi)部監(jiān)督 執(zhí)行： 經(jīng)項(xiàng)目建設(shè)委員會(huì)審議通過(guò)后發(fā)布試行 85 企業(yè)內(nèi)部控制設(shè)計(jì)流程 2 5 4 3 現(xiàn)狀描述 風(fēng)險(xiǎn)分析、評(píng)估、確認(rèn) 內(nèi)控體系試行、完善 內(nèi)控體系內(nèi)部測(cè)試及審計(jì) 1 項(xiàng)目啟動(dòng) 6 維護(hù)及改進(jìn) ? 成立項(xiàng)目建設(shè)委員會(huì)、項(xiàng)目工作組 ? 前期培訓(xùn) ? 流程目錄 ? 流程圖、 RCD文檔、程序文件 ? 風(fēng)險(xiǎn)數(shù)據(jù)庫(kù) ? 風(fēng)險(xiǎn)評(píng)估、確認(rèn) ? 《 關(guān)鍵控制管理文件 》 ? 《 內(nèi)控體系框架 》 ? 《 內(nèi)控管理手冊(cè) 》 ? 內(nèi)控體系正式運(yùn)行 ? 管理層測(cè)試 ? 外部審計(jì) ? 長(zhǎng)期運(yùn)行，持續(xù)維護(hù)改進(jìn)，提升公司管理水平 有效的工作推進(jìn)方式 ?統(tǒng)一設(shè)計(jì)、集中培訓(xùn)、試點(diǎn)先行、全面推廣 分階段制定詳細(xì)工作計(jì)劃，并隨時(shí)根據(jù)實(shí)際進(jìn)行調(diào)整 86 控制環(huán)境 風(fēng)險(xiǎn)評(píng)估 控制流程