内控体系管理规定.doc

Q/SY DS G 21 QGB0072012 （第 5 页， 共 5 页）某公司企业标准 Q/SY DS G 21 QGB 0072012内部控制体系管理规定 （第1页，共5页）1 范围本标准规定了公司内部控制体系的管理内容及要求。本标准适用于公司各专业管理部门。2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。某公司内部控制体系管理规定某公司内部控制体系风险评估和控制管理程序3 职责3.1 公司内控项目建设委员会由公司领导和部门负责人组成，是公司内部控制和风险管理工作的决策机构，其职责是：a) 审定内部控制体系框架及实施计划。b) 审定内部控制体系建立、测试和评估方案，对内部控制体系建设工作进行安排。c) 协调解决内部控制体系建设工作中的重大问题。d) 审查批准对各部门进行内部控制体系建设的考核方案。e) 审定需要提交石化公司解决的重大事项。f) 督导、督促公司内部控制体系的建立、完善和运行。3.2 企管法规部作为公司内部控制体系日常管理部门和内控项目建设委员会的办事机构，其职责是：a) 负责制定公司内部控制和风险管理体系建设规划并组织实施。编制单位：企管法规部编制：马夜合 审核： 赵军批准： 冯庆东版本：B批准：20121008发布：20121015实施：20121018b) 负责根据石化公司风险管理相关标准和方法，组织建立完善公司风险管理相关制度和工作程序，建立公司风险数据库并进行维护更新。c) 负责根据石化公司控制环境建设相关标准、方法和相关工作程序，组织公司业务流程控制设计与维护，建立完善风险控制文档。d) 按照石化公司发布的内部控制体系风险评估和控制管理程序，每年定期组织实施公司内控体系自我测试，编制公司自我测试评价报告。e) 负责根据石化公司内部控制缺陷认定规范，组织进行缺陷认定、制定整改计划并跟踪检查，组织内部控制体系的综合评估。f) 负责组织公司管理层测试、验收评价测试，编制公司内部控制有效性自我评价报告。g) 负责监督公司各部门内控手册的建立和执行，组织内部控制体系的综合评估。h) 负责与石化公司企管法规处内控的对口衔接工作。i) 负责公司内部控制体系的培训和宣贯工作。j) 负责内部控制体系的运行、完善和维护更新工作。3.3 公司审计监察部行使监督职能，负责对体系运行状况实施测试、监督，其职责是：a) 配合石化公司管理层测试、验收评价测试；b) 建立和完善反舞弊工作机制，负责开展舞弊审计。c) 行使监督职能，负责对体系运行状况及测试进行监督；负责建立和完善反舞弊工作机制。3.4 公司办公室负责在用及新建信息系统的管理和信息系统总体控制（GCC）的执行工作，并负责在用系统升级、变更的报批或审批。负责组织电子表格文件服务器的管理和存放权限设置管理。负责内控体系业务流程管理系统的技术支持。3.5 公司各部门负责本专业信息系统应用系统（AC）的应用控制管理。负责专业电子表格控制措施的执行与管理。3.6 公司各部门按照内部控制和风险管理体系的各项要求，具体负责本部门内控体系建设、运行、维护等工作的具体实施，配合企管法规部开展公司自我测试工作。4 管理内容与要求4.1 体系建设、运行和维护4.1.1 实施方案企管法规部根据石化公司下发的内部控制体系框架及体系管理文件，结合公司实际，制订公司内部控制体系建设实施方案，建立和完善公司内部控制体系管理文件，经公司领导审查，报公司内控项目建设委员会审批通过后发布实施。4.1.2 控制环境 公司相关部门依据公司实际和本部门职责，从职业道德、员工胜任能力、管理理念和经营风格、组织结构、权力和责任的分配、人力资源政策与措施以及反舞弊等方面，结合控制环境的具体要求，建立和完善相关制度，检查督促相关制度的落实，为公司内部控制体系提供组织保证和制度约束，营造良好的内部环境。4.1.3 风险评估和控制活动4.1.3.1 企管法规部根据风险数据库及公司风险控制情况，结合自身实际，组织讨论并确定公司风险数据库，报公司领导审查，并经公司内控项目建设委员会审议通过后发布实施。4.1.3.2 企管法规部根据业务流程目录和描述规范、风险控制文档模版和编制规范以及关键控制管理文件，结合公司实际，确定公司业务流程目录，组织开展业务流程描述、建立风险控制文档和关键控制管理文件，报公司领导审查后实施。4.1.3.3 公司办公室明确内控体系业务流程管理系统的信息系统管理员，对业务流程管理系统的有效运行进行技术支持，协助企管法规部做好公司业务流程的管理工作。4.1.3.4 财务部按照石化公司财务分析管理规定，开展财务分析，财务状况和资金运营情况。4.1.4 信息与沟通4.1.4.1 企管法规部根据内部控制体系年度工作计划，安排编制公司年度内部控制体系年度工作计划，按照计划定期组织实施，定期向公司内控项目建设委员会汇报体系运行情况。4.1.4.2 公司各部门应规定信息交流和沟通的渠道和方法，以确保相关信息及时得到识别、收集、处理、交流和反馈，在满足信息安全性、保密性要求的同时，满足相关岗位、监管机构和外界对相关信息的需求，保证信息交流渠道的畅通。4.1.4.3 公司办公室结合公司实际，组织开展公司信息系统总体控制和应用系统控制文档的编制工作。4.1.4.4 信息系统应用控制中财务信息系统的升级由财务部报石化公司财务部审批；信息系统应用控制第二等级系统的升级或变更，由公司办公室报时候公司信息中心审批后，方可组织实施。4.1.4.5 对于所有纳入信息系统总体控制的系统，特别是财务及相关联的信息系统，要严格实行权限管理的相关控制要求。a）用户账号以及权限的新增、变更和撤销，必须经过有效的审批，完整填写各项表单和实施证据。b）在系统中实际分配的权限，必须与审批的权限一致，不得在设置时随意增减。c）临时权限应严格管理，按规定的范围和使用时间，经批准后进行分配使用，到期及时收回，并注意收回过程中履行相关的申请和审批程序。d）对特殊功能权限，不应超期授予任何人员，在实际工作需要时，要按照规定程序，由系统超级用户临时授权，使用后按申请时间及时收回。e）公司系统管理员每三个月对权限进行定期检查。要对系统中用户访问权限按照不相容通用角色清单和关键权限与通用角色对照表的标准进行严格检查，重点关注对照表中的用户与系统中实际存在的用户是否一致，并保留定期检查的实施证据。4.1.4.6 除参加石化公司统一组织的内部控制体系培训外，企管法规部根据石化公司内部控制体系培训纲要，结合公司实际，制定培训计划，开展针对不同岗位、人员的培训。4.2 体系监督、评价与改进4.2.1 日常监督4.2.1.1 为保证内部控制体系运行的持续有效性，针对体系日常运行情况，企管法规部负责不定期组织开展内部控制实施的检查工作。4.2.1.2 公司各部门负责对本部门的内部控制体系管理工作进行自我检查。4.2.2 自我测试4.2.2.1 企管法规部依据内部控制体系风险评估和控制管理程序，编制公司自我测试实施方案，每年定期对公司内部控制执行情况进行一次自我测试，建立并保留完整、规范的测试记录文档。4.2.2.2 企管法规部组织公司各相关部门成立自我测试小组，对相关业务部门及所属各单位进行测试，分析例外事项、确认缺陷并向被测试单位出具测试意见，编制公司自我测试评价报告。4.2.2.3 企管法规部收集汇总日常工作中及自我评价测试报告发现的例外事项，确认控制缺陷，汇总分析，出具内控整改方案。相关业务部门根据测试意见和整改方案实施整改。4.2.3 管理层测试和外部审计公司各部门配合石化公司组织的管理层测试和外部审计。根据出具的测试报告和审计意见，企管法规部组织制定整改方案、进行整改，并将整改结果在公司范围内通报。4.2.4 缺陷报告、认定和改进4.2.4.1 对公司内部控制体系在日常执行、从外部各方（包括客户、供应商等）提供信息中发现的例外事项，由企管法规部负责收集、记录、统计、汇报。企管法规部将例外事项信息报告给公司相关部门或主管领导（至少向公司副总会计师报告）。4.2.4.2 在日常控制执行中发现的零星问题，虽然不属于例外事项范围，但对于内部控制体系运行产生了一定影响，对问题的整改有助于提高公司内部控制体系运行质量，各部门和单位应该向企管法规部传递。4.2.4.3 由公司企管法规部、公司办公室、审计监察部和财务部相关人员组成公司缺陷认定小组，对日常控制例外事项和自我测试发现的结果，依据缺陷认定规范，初步认定出一般缺陷、重要缺陷和实质性漏洞，并向公司内控建设委员会及时汇报。4.2.4.4 对于一般缺陷，由企管法规部组织相关单位制定措施整改，并编制缺陷整改情况报告，报石化公司企管法规处备案；对于重大缺陷和实质性漏洞，由公司相关部门组织跟进测试和再评估，并组织整改发现的问题。4.2.4.5 根据自我测试情况，结合本单位内部控制体系运行情况，编制内部控制有效性自我评价报告，内容包括：自我测试发现、缺陷改进、体系运行状况以及评估结论，并由公司总经理和总会计师签署声明。4.3 考核与评价4.3.1 企管法规部结合自我测试报告、管理层测试报告、外部审计结果、缺陷评估结果和日常工作考核情况，对公司各部门、各单位内控体系运行情况