内控矩阵的编写方法共47页

6.5合同档案管理制度'!A1
7.1工程项目授权批准制度'!A1 7.2建设项目和资金申报管理制度'!A1
7.3概预算审查制度'!A1 7.4竣工清理管理制度'!A1
7.5竣工验收、结算、决算管理制度'!A1
8.1采购授权审批制度'!A1 8.2采购申请审批制度'!A1 8.3采购预算管理制度'!A1
14.2 培训管理制度 第15章 内部控制——信息系统
15.1 信息系统管理授权审批制度 15.2 信息系统开发、变更与维护管理制度 15.3 信息系统访问安全管理制度 15.4 信息系统硬件管理制度 15.5 会计信息化综合管理制度 15.6 会计信息化岗位责任制度 第16章 内部控制——内部审计 16.1 审计人员工作规范 16.2 内部审计管理制度 16.3 舞弊行为预防、检查、汇报制度 16.4 内部审计督导控制制度 16.5 内部审计质量控制制度 16.6 内部审计外部评价制度 第17章 内部控制——业务外包 17.1 业务外包授权审批制度 17.2 技术服务外包合同范例 17.3 外包业务管理制度
内部控制矩阵索引
索引
1.1预算授权批准制度'!A1
1.2预算编制管理制度'!A1 1.3预算执行控制制度'!A1 1.4预算调整管理办法'!A1 1.5预算执行分析制度'!A1 1.6预算审计管理制度'!A1
2.1资金支付授权审批制度'!A1 2.2货币资金授权审批制度'!A1
2.3现金管理控制制度'!A1 2.4银行存款控制制度'!A1
8.1 采购授权审批制度 8.2 采购申请审批制度 8.3 采购预算管理制度 8.4 采购控制制度 8.5 验收管理制度 8.6 付款控制制度 8.7 退货管理制度 8.8 应付账款管理制度 第9章 内部控制——存货管理 9.1 存货授权审批制度 9.2 存货采购控制制度 9.3 存货储存管理制度 9.4 仓库调拨管理规定 9.5 存货领用管理制度 9.6 存货发放管理制度 9.7 存货盘点管理制度 9.8 废损存货管理制度 9.9 存货核算工作规范 第10章 内部控制——固定资产 10.1 固定资产授权批准制度 10.2 固定资产购置管理制度 10.3 固定资产验收管理制度 10.4 固定资产保管制度 10.5 固定资产折旧制度 10.6 固定资产盘点制度 10.7 固定资产处置制度 10.8 固定资产转移制度 第11章 内部控制——无形资产 11.1 无形资产授权批准制度 11.2 取得与验收控制制度 11.3 无形资产使用管理制度 11.4 无形资产处置与转移管理制度 11.5 无形资产重大处置审批制度 第12章 内部控制——负债管理 12.1 负债确认审批制度 12.2 负债函证管理制度 第13章 内部控制——财务报告编制与披露 13.1 反财务舞弊与投诉举报制度 13.2 财务报告编制准备管理制度 13.3 会计凭证管理办法 13.4 财产清查管理制度 13.5 财务报告编制管理制度 13.6 财务报告报送与披露管理制度 第14章 内部控制——人力资源管理 14.1 人力资源需求计划

分（子）公司
财务部门
仓储部门
使用部门
监督部门
审批
9
存货盘点表
盘点差异处理意见
残次冷背存货报告
√
√
√
存货
6.存货处置
1.3
2.1
资产安全风险：未经批准处置资产导致资产损失。
财务风险：未及时处置影响财务报告。
6.1分（子）公司对清查中发现的盘盈、盘亏、毁损以及经过技术鉴定需报废的存货，按规定权限批准后处置，并报财务部备案；超过分（子）公司处置权限的报主管事业部，主管事业部审核（一般物资需会同物资装备部审核）后报财务部，财务部提出处理意见并按规定权限逐级报批。
财务风险：入库存货质量、数量与原始单据不符，导致财务报告不真实。
1.1固体形态存货：分（子）公司仓储、质检部门要对存货数量、质量进行检验，审核到货清单、产品交付清单及剩余存货的退料清单，并与实物一一核对，无误后，【非ERP】及时开具入库单（或凭据）验收入库，入库单要由采购（或生产）、仓储等相关责任人签字。【ERP】在ERP系统办理入库，相关单据要由采购（或生产）、仓储等相关责任人签字。
3.5【非ERP】分（子）公司仓储部门根据存货库存收发情况，每月编制存货使用及结存情况报表，【ERP】分（子）公司仓储部门根据存货库存收发情况及ERP系统中生成存货使用及结存情况报表，
报告需采购时点的储量。至少每半年进行一次存货状态分析，对异常情况报警明示。供应、生产、营销、财务等部门共同研究降低（提高）库存方案，报分管副经理（或总会计师）审批。
对于管线出售的液体库存商品:分（子）公司有关部门办理相关合规手续后，由生产调度部门安排储运部门输送液体产品，根据管道流量表计算发出商品数量，发出商品数量经供方确认，营销部门审核后，由财务部门审核有关业务单据，办理货款结算手续。

发、跟踪与更新进行规范。
应对制度进行何种处理；并对制度
的落实和转化情况进行跟踪；
4.制度能够适时地得到更新，更新
内容可供单独查询，制度更新以标
准版本号标识；
5.制度得到妥善的归档与保管。
复核内控自评问卷
填写完内控自评问卷后，要进行自我复核，关注下列几方面要点：
1、是否参照同类型公司的自评问卷填写的？
自评问卷各个栏目如何填写？
情形四：答案
控制 目标 编号
TLHL -PUCO1101
控制目标
控制制，审核程 PU-CA序 企业应当加强采 1101 购付款的管理，完 善付款流程，明确 付款审核人的责任 和权力，严格审核 采购预算、合同、 相关单据凭证、审 批程序等相关内容， 审核无误后按照合 同规定及时办理付 款。
怎样填写内控自评问卷
如果评估时发现控制设计 存在缺陷或问题，请回答 “否”，并需要在“附注 [5]”列中对控制设计存在 的问题进行具体描述。
自评人根据自己对相关控制活动的检查 填写“是”或“否”，填写时自评人需 要确保所有相关交易都已严格执行相关 控制活动并如实填写。当“控制设计是 否有效”栏为“否”时，请在“控制执 行是否有效”栏填写“不适用”。当 “控制执行是否有效”栏为“否”时， 请在“附注[5]”列中对控制执行存在的 问题进行具体描述。
2、对照内部控制配套指引，是否存在本单位有该项业务，而自评问卷中没有 体现该项业务及相应的控制目标、关键控制活动，如有，要在问卷中进行补 充，并标注。
3、对于自评问卷中已经体现了该项业务及相应的控制目标，是否存在该项业 务的关键控制活动未能全部涵盖，若未能涵盖的，在问卷中找到对应的控制 目标，进行补充描述，并标注。
02 PART TWO

总部各部门
分（子）公司
经营风险：系统上线前未经严格测试，系统功能存在问题，导致应用系统不能正常运行。
应用系统上线前,必须由信息管理部门组织测试系统功能，形成测试报告，并经最终用户部门负责人签字确认。
总部各部门
分（子）公司
3
系统功能测试报告
系统初始化管理
合规风险：应用系统数据的收集、整理不规范，未经审核确认，导致系统存在大量垃圾数据或数据失真。
经营风险：备份策略和备份方案不完善，应用系统程序备份不及时，导致系统无法恢复。
4.2.2系统管理员适时对系统进行备份，同时检查备份系统的可读性，确认备份是否成功。
总部各部门
分(子)公司
3
系统备份记录
经营风险：数据库、应用系统日志备份不及时，导致系统问题无法追溯或系统无法恢复。
4.2.3系统管理员、应用管理员至少每月对数据库、应用系统的日志进行备份。
2.6.4
2.14.20
经营风险：系统变更管理不规范，导致应用系统运行和维护的无法正常进行。
总部统一建设的应用系统，系统变更必须填写系统变更审批表上报信息系统管理部和总部相关部门，由总部统一组织升级、测试和变更，各分（子）公司不得自行变更。各分（子）公司自建系统或客户化开发的变更，必须经过分（子）公司信息管理部门和相关部门负责人审批。
总部各部门、分（子）公司依据《中国石油化工股份有限公司管理信息系统应用管理办法（试行）》（以下简称《信息系统应用管理办法》），及相关应用系统管理办法实施程序和数据访问管理，包括用户权限管理、用户帐号及访问管理、密码管理、系统管理员、应用管理员、安全管理员（主要职责是承担对系统管理员、应用管理员的监管，负责审查系统管理员、应用管理员在系统中的操作）管理、第三方人员管理等。

怎样填写内控推广自评问卷
若推广单位的实 际流程和控制责 任部门与左栏 “关键控制活动 描述”和“控制 责任部门”相同， 则请填写“是”。 不一致则填写否。
若推广单位的实 际流程与左栏 “关键控制活动 描述”不一致， 则在本栏中填写 本推广单位实际 的控制活动。
若推广单位的控 制活动责任部门 与左栏“控制责 任部门”不一致， 则在本栏中填写 本推广单位实际 的控制责任部门。
票给客户
是否直接与客 户结算
否
财务部门审核销售 发票并传递股份公 是
司财务部
销售发票
开具发票
CA312 统销单位将销售发 票传递给客户，并 要求客户签收
结束
销售会计审核并传 递给统销单位
销售发票
绘制业务流程图的范围（供参照）
序 号
流程名称
子流程
销售定价管理
合同及订单的管理
发票的开具及销售收入的确定
▪ 动作框/判断框→文档框→动作框/判断框：表示某一个工作步骤产生的
文档在下一步工作步骤中需要使用。
▪ 动作框/判断框→文档框（后无连线）：表示某一个工作步骤产生的文档
仅用作参考或资料保存，与下一步工作步骤没有直接联系。
23
绘制流程图
<控制缺陷编号> <控制活动编号>
<流程框>
24
绘制流程图举例
编制及涉及部门
销售处/财务处 销售处/财务处 销售处/财务处 销售处/财务处 销售处/财务处 销售处/财务处 财务处/设备保全处/生产技术处 财务处/设备保全处/生产技术处 财务处/设备保全处/生产技术处 财务处/设备保全处/生产技术处 财务处/设备保全处/生产技术处 财务处/设备保全处/生产技术处/品质处 供应处/设备保全处/生技处 供应处/设备保全处/生技处/财务处 供应处/设备保全处/生技处/工程处 财务处/工程处 工程处 供应处/财务处/品质处/生产技术处 供应处/财务处/品质处/生产技术处 供应处/财务处/品质处/生产技术处 供应处/财务处/品质处/生产技术处 供应处/财务处/品质处/生产技术处 财务处

分（子）公司
业务部门
绩效考核部门
7
考核资料
1.6.10
管理制度应明确各项费用的审批权限。
分（子）公司
10
费用管理制度
经营风险：未严格执行预算，造成费用失控。
费用支出实行滚动控制，确保全年费用控制在预算范围内。
发生预算外费用或超预算费用，应由费用支出责任部门（负责人）提出开支的目的、计算标准，经部门负责人、分（子）公司经理（预算委员会）或其授权单位审核，并由上级单位批准后方可执行。
分（子）公司
6
分析资料
1.6.10
5.费用考核
经营风险：未制定考核办法，影响费用控制效果。
分（子）公司绩效考核部门会同财务部门制定本单位费用控制的考核奖惩办法，经分（子）公司经理（预算委员会）批准后下发执行。
分（子）公司
5
考核奖惩办法
1.6.10
经营风险：未及时考核，影响费用控制效果。
分（子）公司绩效考核部门按照考核奖惩办法，至少每半年对责任单位（部门）费用控制情况进行考核。
分（子）公司
经办
审核
4
1.6.11
√
√
√
√
管理费用
销售费用
长期待摊费用
4.费用分析
经营风险：未按规定对费用预算执行情况进行分析和反馈，影响费用控制效果。
分（子）公司财务部门及相关职能部门按月对费用预算执行情况进行分项目、分明细的分析，对费用支出超预算的责任单位提出警示，对实际支出与计划差异较大的支出项目分析原因，并提出改进意见，报经理（或总会计师）审批后落实整改。
分（子）公司
经办
审核
审批
10
费用滚动预算
预算外费用审批资料

精品文档就在这里 -------------各类专业好文档，值得你下载，教育，管理，论文，制度，方案手册，应有尽有-------------------------------------------------------------------------------------------- -------------------------------------------------------------
精品文档就在这里 -------------各类专业好文档，值得你下载，教育，管理，论文，制度，方案手册，应有尽有-------------------------------------------------------------------------------------------- -------------------------------------------------------------
精品文档就在这里 -------------各类专业好文档，值得你下载，教育，管理，论文，制度，方案手册，应有尽有-------------------------------------------------------------------------------------------- -------------------------------------------------------------
1.2 经营风险：入库存货质量不合格、 1.2 液体形态存货：分（子）公司仓储（储运）部门根据仓储、质检部门、生 分（子）公司 验收
2.1 数量不正确，导致资产损失。
产调度或 业务部 门预报 的通知 做好接 卸准备 ，货 到后 负责质 检、接卸 、计量 等工

1.1 经营风险：未按规定编制和报 4.3.2 根据股份公司下达的年度固定资产投资计划，限上工程项目由分（子）公司编制年度工 工程部
批项目实施计划，影响项目实 程实施建议计划并报工程部，工程部组织编制股份公司年度固定资产投资工程建设项目实施 分(子)公司
施。
计划并报总裁批准后下达；限下工程项目的年度工程实施计划，由分（子）公司经理或其授
量确认，造成损失。
由分(子)公司质量管理人员检查确认。未经签字确认，不得在工程中使用或安装。
1.1 经营风险:对工程关键部份未 4.2.6 隐蔽工程、关键部位和重要工序，建设单位或监理单位须实施旁站监督；工程项目委托 分(子)公司
按规定监督，造成损失。
监理的，未经监理工程师签字确认，不得进入下一道工序施工。
1.1 经营风险、合规风险：施工违 4.2.7 分（子）公司依照法律、法规、标准和股份公司有关规章制度，规范施工现场的职业健 分(子)公司
1.2 反 HSE 管理规定或法律法 康安全和环境管理，及时组织处理重大安全隐患。
3.1 规，造成损失。
1.1 经营风险：未组织检查或未及 4.2.8 分（子）公司在坚持日常巡视检查的基础上，组织定期或不定期的工程质量、安全和文 工程部
经办 审批
2 工程变更管理规定 工程变更审批记录
1.18.5
经办
3 结算凭证
√
审批
2 工程进度报表
√
工程进度确认表或批
复文件
在建工程
在建工程 在建工程
业务 目标
业务风险
控制点
适用单位
1.3 经营风险、财务风险：动用工 4.4.6 由于设计漏项、工程变更、价格波动、政策调整以及其他不可预见因素，需要动用工程 工程部

应用管理员
安全管理员
3
操作日志或记录审核记录
1.6第三方人员管理
1.1
1.2
2.1
2.2
经营风险：第三方合作单位管理不到位，造成系统泄密或受到非法访问。
1.6.1总部各部门、分（子）公司与第三方合作单位就相关应用系统签订安全保密协议。
总部各部门
分(子)公司
3
安全保密协议
1.1
1.2
2.1
2.2
经营风险：对第三方人员用户权限管理不规范，导致对系统的非法或非授权访问。
总部各部门
分(子)公司
5
程序和数据访问管理制度
1.10.3
2.6.4
2.14.20
1.2 用户权限管理
1.1
1.2ห้องสมุดไป่ตู้
经营风险：用户权限管理不规范，导致对系统的非法或非授权访问。
1.2．1新进员工及岗位变动人员按照用户权限相关管理办法填写用户权限审批表，经相关部门负责人审批后，由应用管理员在系统中新增、变更或锁定用户权限。
总部各部门
分(子)公司
系统管理员
应用管理员
安全管理员
4
信息系统岗位授权文档；
在职情况审查记录
1.1
1.2
经营风险：安全管理员监督不到位，系统安全收到威胁。
1.5.2安全管理员至少每季度对系统管理员、应用管理员的操作日志或记录进行检查，提出审核意见，并报相关部门负责人。
总部各部门
分(子)公司
系统管理员
总部各部门
分(子)公司
3
密码更换检查记录
1.1
经营风险：系统、应用管理员密码设置强度不够或更改不及时，造成系统泄密或受到非法访问
1.4.2系统管理员、应用管理员应在系统投用前修改操作系统、数据库、应用系统的超级用户初始密码。上述密码至少三个月更换一次，安全管理员对定期更换记录进行检查。

分（子）公司
10
1.10.1
6.信息授权
1.1
1.2
经营风险：部门信息授权不当，导致信息泄密或贻误工作。
6.1信息管理部门依据股份公司有关信息资源管理的规定，按照各部门管理职责及部门间共享信息需求目录，通过信息平台对各部门实施信息授权。
信息系统管理部
分（子）公司
信息管理部门
相关部门
5
1.10.4
1.1
总部各部门
分（子）公司
12
部门信息密级目录列表
1.10.4
5.信息集中和信息整合
1.1
1.2
1.3
经营风险：信息平台功能欠缺，信息集成度不够，信息处理不当，导致信息质量下降。
5.1信息管理部门负责建立内部公共信息平台，实施信息集中和信息整合，采用统一标准接入、存储、处理和发布各类信息。
信息系统管理部
1.2
2.1
经营风险：员工信息授权不当，导致信息泄密或贻误工作。
违反股份公司保密等规定，导致商业秘密信息流失。
合规风险：信息的收集、提供、使用、转让违反国家法律法规及导致处罚；违反股份公司内部规章制度等，导致商业秘密流失。
6.2各部门依据《中国石化信息分级及信息门户授权规则》，结合本部门信息密级目录列表，按照员工的工作职责，形成本部门员工信息授权列表，并由部门负责人审查签字，通过信息平台对员工分别进行信息授权，保证信息准确送达。员工工作岗位发生变动，应及时变更信息授权列表，通过信息平台及时变更信息授权。
7.2信息管理部门及有关部门做好外购信息的及时采集和处理，保证信息的时效性，按日、按周、按月等适时更新。
总部各部门
分（子）公司
5
1.10.1
1.3