第一篇：內(nèi)控體系,管理規(guī)定

煉建公司企業(yè)標(biāo)準(zhǔn)

Q/SY DS G 21 QGB 007－201

2內(nèi)部控制體系管理規(guī)定

（第1頁，共5頁）

1范圍

本標(biāo)準(zhǔn)規(guī)定了公司內(nèi)部控制體系的管理內(nèi)容及要求。

本標(biāo)準(zhǔn)適用于公司各專業(yè)管理部門。

2規(guī)范性引用文件

下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵根據(jù)本標(biāo)準(zhǔn)達成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。

獨山子石化公司《內(nèi)部控制體系管理規(guī)定》

獨山子石化公司《內(nèi)部控制體系風(fēng)險評估和控制管理程序》

3職責(zé)

3.1公司內(nèi)控項目建設(shè)委員會由公司領(lǐng)導(dǎo)和部門負(fù)責(zé)人組成，是公司內(nèi)部控制和風(fēng)險管理工作的決策機構(gòu)，其職責(zé)是：

a)審定內(nèi)部控制體系框架及實施計劃。

b)審定內(nèi)部控制體系建立、測試和評估方案，對內(nèi)部控制體系建設(shè)工作進行安排。c)協(xié)調(diào)解決內(nèi)部控制體系建設(shè)工作中的重大問題。

d)審查批準(zhǔn)對各部門進行內(nèi)部控制體系建設(shè)的考核方案。

e)審定需要提交石化公司解決的重大事項。

f)督導(dǎo)、督促公司內(nèi)部控制體系的建立、完善和運行。

3.2企管法規(guī)部作為公司內(nèi)部控制體系日常管理部門和內(nèi)控項目建設(shè)委員會的辦事機構(gòu)，其職責(zé)是：

a)負(fù)責(zé)制定公司內(nèi)部控制和風(fēng)險管理體系建設(shè)規(guī)劃并組織實施。

b)負(fù)責(zé)根據(jù)石化公司風(fēng)險管理相關(guān)標(biāo)準(zhǔn)和方法，組織建立完善公司風(fēng)險管理相關(guān)制度和工作程序，建立公司風(fēng)險數(shù)據(jù)庫并進行維護更新。

c)負(fù)責(zé)根據(jù)石化公司控制環(huán)境建設(shè)相關(guān)標(biāo)準(zhǔn)、方法和相關(guān)工作程序，組織公司業(yè)務(wù)流程控制設(shè)計與維護，建立完善風(fēng)險控制文檔。

d)按照石化公司發(fā)布的《內(nèi)部控制體系風(fēng)險評估和控制管理程序》，每年定期組織實施公司內(nèi)控體系自我測試，編制公司自我測試評價報告。

e)負(fù)責(zé)根據(jù)石化公司內(nèi)部控制缺陷認(rèn)定規(guī)范，組織進行缺陷認(rèn)定、制定整改計劃并跟蹤檢查，組織內(nèi)部控制體系的綜合評估。

f)負(fù)責(zé)組織公司管理層測試、驗收評價測試，編制公司《內(nèi)部控制有效性自我評價報告》。

g)負(fù)責(zé)監(jiān)督公司各部門內(nèi)控手冊的建立和執(zhí)行，組織內(nèi)部控制體系的綜合評估。h)負(fù)責(zé)與石化公司企管法規(guī)處內(nèi)控的對口銜接工作。

i)負(fù)責(zé)公司內(nèi)部控制體系的培訓(xùn)和宣貫工作。

j)負(fù)責(zé)內(nèi)部控制體系的運行、完善和維護更新工作。

3.3公司審計監(jiān)察部行使監(jiān)督職能，負(fù)責(zé)對體系運行狀況實施測試、監(jiān)督，其職責(zé)是：

a)配合石化公司管理層測試、驗收評價測試；

b)建立和完善反舞弊工作機制，負(fù)責(zé)開展舞弊審計。

c)行使監(jiān)督職能，負(fù)責(zé)對體系運行狀況及測試進行監(jiān)督；負(fù)責(zé)建立和完善反舞弊工作機制。

3.4公司辦公室負(fù)責(zé)在用及新建信息系統(tǒng)的管理和信息系統(tǒng)總體控制（GCC）的執(zhí)行工作，并負(fù)責(zé)在用系統(tǒng)升級、變更的報批或?qū)徟?。?fù)責(zé)組織電子表格文件服務(wù)器的管理和存放權(quán)限設(shè)置管理。負(fù)責(zé)內(nèi)控體系業(yè)務(wù)流程管理系統(tǒng)的技術(shù)支持。

3.5公司各部門負(fù)責(zé)本專業(yè)信息系統(tǒng)應(yīng)用系統(tǒng)（AC）的應(yīng)用控制管理。負(fù)責(zé)專業(yè)電子表格控制措施的執(zhí)行與管理。

3.6 公司各部門按照內(nèi)部控制和風(fēng)險管理體系的各項要求，具體負(fù)責(zé)本部門內(nèi)控體系建設(shè)、運行、維護等工作的具體實施，配合企管法規(guī)部開展公司自我測試工作。

4管理內(nèi)容與要求

4.1體系建設(shè)、運行和維護

4.1.1實施方案

企管法規(guī)部根據(jù)石化公司下發(fā)的內(nèi)部控制體系框架及體系管理文件，結(jié)合公司實際，制訂公司內(nèi)部控制體系建設(shè)實施方案，建立和完善公司內(nèi)部控制體系管理文件，經(jīng)公司領(lǐng)導(dǎo)審查，報公司內(nèi)控項目建設(shè)委員會審批通過后發(fā)布實施。

4.1.2控制環(huán)境

公司相關(guān)部門依據(jù)公司實際和本部門職責(zé)，從職業(yè)道德、員工勝任能力、管理理念和經(jīng)

營風(fēng)格、組織結(jié)構(gòu)、權(quán)力和責(zé)任的分配、人力資源政策與措施以及反舞弊等方面，結(jié)合控制環(huán)境的具體要求，建立和完善相關(guān)制度，檢查督促相關(guān)制度的落實，為公司內(nèi)部控制體系提供組織保證和制度約束，營造良好的內(nèi)部環(huán)境。

4.1.3風(fēng)險評估和控制活動

4.1.3.1企管法規(guī)部根據(jù)風(fēng)險數(shù)據(jù)庫及公司風(fēng)險控制情況，結(jié)合自身實際，組織討論并確定公司風(fēng)險數(shù)據(jù)庫，報公司領(lǐng)導(dǎo)審查，并經(jīng)公司內(nèi)控項目建設(shè)委員會審議通過后發(fā)布實施。

4.1.3.2企管法規(guī)部根據(jù)業(yè)務(wù)流程目錄和描述規(guī)范、風(fēng)險控制文檔模版和編制規(guī)范以及關(guān)鍵控制管理文件，結(jié)合公司實際，確定公司業(yè)務(wù)流程目錄，組織開展業(yè)務(wù)流程描述、建立風(fēng)險控制文檔和關(guān)鍵控制管理文件，報公司領(lǐng)導(dǎo)審查后實施。

4.1.3.3公司辦公室明確內(nèi)控體系業(yè)務(wù)流程管理系統(tǒng)的信息系統(tǒng)管理員，對業(yè)務(wù)流程管理系統(tǒng)的有效運行進行技術(shù)支持，協(xié)助企管法規(guī)部做好公司業(yè)務(wù)流程的管理工作。

4.1.3.4財務(wù)部按照石化公司財務(wù)分析管理規(guī)定，開展財務(wù)分析，財務(wù)狀況和資金運營情況。

4.1.4信息與溝通

4.1.4.1企管法規(guī)部根據(jù)內(nèi)部控制體系年度工作計劃，安排編制公司年度內(nèi)部控制體系年度工作計劃，按照計劃定期組織實施，定期向公司內(nèi)控項目建設(shè)委員會匯報體系運行情況。

4.1.4.2公司各部門應(yīng)規(guī)定信息交流和溝通的渠道和方法，以確保相關(guān)信息及時得到識別、收集、處理、交流和反饋，在滿足信息安全性、保密性要求的同時，滿足相關(guān)崗位、監(jiān)管機構(gòu)和外界對相關(guān)信息的需求，保證信息交流渠道的暢通。

4.1.4.3公司辦公室結(jié)合公司實際，組織開展公司信息系統(tǒng)總體控制和應(yīng)用系統(tǒng)控制文檔的編制工作。

4.1.4.4信息系統(tǒng)應(yīng)用控制中財務(wù)信息系統(tǒng)的升級由財務(wù)部報石化公司財務(wù)部審批；信息系統(tǒng)應(yīng)用控制第二等級系統(tǒng)的升級或變更，由公司辦公室報時候公司信息中心審批后，方可組織實施。

4.1.4.5對于所有納入信息系統(tǒng)總體控制的系統(tǒng)，特別是財務(wù)及相關(guān)聯(lián)的信息系統(tǒng)，要嚴(yán)格實行權(quán)限管理的相關(guān)控制要求。

a）用戶賬號以及權(quán)限的新增、變更和撤銷，必須經(jīng)過有效的審批，完整填寫各項表單和實施證據(jù)。

b）在系統(tǒng)中實際分配的權(quán)限，必須與審批的權(quán)限一致，不得在設(shè)置時隨意增減。c）臨時權(quán)限應(yīng)嚴(yán)格管理，按規(guī)定的范圍和使用時間，經(jīng)批準(zhǔn)后進行分配使用，到期及時收回，并注意收回過程中履行相關(guān)的申請和審批程序。

d）對特殊功能權(quán)限，不應(yīng)超期授予任何人員，在實際工作需要時，要按照規(guī)定程序，由系統(tǒng)超級用戶臨時授權(quán)，使用后按申請時間及時收回。

e）公司系統(tǒng)管理員每三個月對權(quán)限進行定期檢查。要對系統(tǒng)中用戶訪問權(quán)限按照《不

相容通用角色清單》和《關(guān)鍵權(quán)限與通用角色對照表》的標(biāo)準(zhǔn)進行嚴(yán)格檢查，重點關(guān)注對照表中的用戶與系統(tǒng)中實際存在的用戶是否一致，并保留定期檢查的實施證據(jù)。

4.1.4.6除參加石化公司統(tǒng)一組織的內(nèi)部控制體系培訓(xùn)外，企管法規(guī)部根據(jù)石化公司內(nèi)部控制體系培訓(xùn)綱要，結(jié)合公司實際，制定培訓(xùn)計劃，開展針對不同崗位、人員的培訓(xùn)。

4.2體系監(jiān)督、評價與改進

4.2.1日常監(jiān)督

4.2.1.1為保證內(nèi)部控制體系運行的持續(xù)有效性，針對體系日常運行情況，企管法規(guī)部負(fù)責(zé)不定期組織開展內(nèi)部控制實施的檢查工作。

4.2.1.2公司各部門負(fù)責(zé)對本部門的內(nèi)部控制體系管理工作進行自我檢查。

4.2.2自我測試

4.2.2.1企管法規(guī)部依據(jù)《內(nèi)部控制體系風(fēng)險評估和控制管理程序》，編制公司自我測試實施方案，每年定期對公司內(nèi)部控制執(zhí)行情況進行一次自我測試，建立并保留完整、規(guī)范的測試記錄文檔。

4.2.2.2企管法規(guī)部組織公司各相關(guān)部門成立自我測試小組，對相關(guān)業(yè)務(wù)部門及所屬各單位進行測試，分析例外事項、確認(rèn)缺陷并向被測試單位出具測試意見，編制公司自我測試評價報告。

4.2.2.3企管法規(guī)部收集匯總?cè)粘９ぷ髦屑白晕以u價測試報告發(fā)現(xiàn)的例外事項，確認(rèn)控制缺陷，匯總分析，出具內(nèi)控整改方案。相關(guān)業(yè)務(wù)部門根據(jù)測試意見和整改方案實施整改。

4.2.3管理層測試和外部審計

公司各部門配合石化公司組織的管理層測試和外部審計。根據(jù)出具的測試報告和審計意見，企管法規(guī)部組織制定整改方案、進行整改，并將整改結(jié)果在公司范圍內(nèi)通報。

4.2.4缺陷報告、認(rèn)定和改進

4.2.4.1對公司內(nèi)部控制體系在日常執(zhí)行、從外部各方（包括客戶、供應(yīng)商等）提供信息中發(fā)現(xiàn)的例外事項，由企管法規(guī)部負(fù)責(zé)收集、記錄、統(tǒng)計、匯報。企管法規(guī)部將例外事項信息報告給公司相關(guān)部門或主管領(lǐng)導(dǎo)（至少向公司副總會計師報告）。

4.2.4.2在日常控制執(zhí)行中發(fā)現(xiàn)的零星問題，雖然不屬于例外事項范圍，但對于內(nèi)部控制體系運行產(chǎn)生了一定影響，對問題的整改有助于提高公司內(nèi)部控制體系運行質(zhì)量，各部門和單位應(yīng)該向企管法規(guī)部傳遞。

4.2.4.3由公司企管法規(guī)部、公司辦公室、審計監(jiān)察部和財務(wù)部相關(guān)人員組成公司缺陷認(rèn)定小組，對日?？刂评馐马椇妥晕覝y試發(fā)現(xiàn)的結(jié)果，依據(jù)缺陷認(rèn)定規(guī)范，初步認(rèn)定出一般缺陷、重要缺陷和實質(zhì)性漏洞，并向公司內(nèi)控建設(shè)委員會及時匯報。

4.2.4.4對于一般缺陷，由企管法規(guī)部組織相關(guān)單位制定措施整改，并編制缺陷整改情況報告，報石化公司企管法規(guī)處備案；對于重大缺陷和實質(zhì)性漏洞，由公司相關(guān)部門組織跟進測試和再評估，并組織整改發(fā)現(xiàn)的問題。

4.2.4.5根據(jù)自我測試情況，結(jié)合本單位內(nèi)部控制體系運行情況，編制《內(nèi)部控制有效性自我評價報告》，內(nèi)容包括：自我測試發(fā)現(xiàn)、缺陷改進、體系運行狀況以及評估結(jié)論，并由公司總經(jīng)理和總會計師簽署聲明。

4.3考核與評價

4.3.1企管法規(guī)部結(jié)合自我測試報告、管理層測試報告、外部審計結(jié)果、缺陷評估結(jié)果和日常工作考核情況，對公司各部門、各單位內(nèi)控體系運行情況進行評價，報公司內(nèi)控項目建設(shè)委員會審核確認(rèn)。

4.3.2內(nèi)部控制體系評價結(jié)果是公司管理層對公司各部門進行業(yè)績考核、實施獎懲的重要依據(jù)和參考。公司各部門應(yīng)開展對本部門人員內(nèi)部控制執(zhí)行情況的日常監(jiān)督考核，并作為業(yè)績考核的一部分，結(jié)合考核結(jié)果，實施獎懲。

5相關(guān)記錄及保存期限

《內(nèi)部控制有效性自我評價報告》（書面記錄，保存三年）

6檢查與考核

企管法規(guī)部對本標(biāo)準(zhǔn)執(zhí)行情況進行檢查和考核，具體執(zhí)行企管法規(guī)部專業(yè)考核實施細(xì)則。

第二篇：內(nèi)控體系學(xué)習(xí)心得

內(nèi)控體系學(xué)習(xí)心得

1、內(nèi)部控制十一哥完整的系統(tǒng)，一個好的運作體系對于企業(yè)運作的風(fēng)險降低有很大的幫助。調(diào)查結(jié)果表明，企業(yè)內(nèi)部偷竊行為中，主管員工占了很大一部分。

2、內(nèi)部控制基本準(zhǔn)則、規(guī)范，作為一個會計人，我們應(yīng)該好好要學(xué)習(xí)一下。在企業(yè)管理中，風(fēng)險管理，風(fēng)險偏好以及其企業(yè)戰(zhàn)略管理、內(nèi)部控制都很有關(guān)系。

3、一個企業(yè)越大，系統(tǒng)越大，就越混亂，越需要一個好的框架體系來管理。內(nèi)部控制需要會計人員財務(wù)工作者有好的專業(yè)能力，在我們今后的工作中，對我們的工作能力要求越來越高。

4、coso法案中，現(xiàn)在也加入了戰(zhàn)略管理。難怪cpa考試也加了一門

5、sox法案。想要發(fā)展到一個層次，就應(yīng)該要有所了解。中國正在與國際接軌。

6、內(nèi)部控制也有自身的局限性，要了解內(nèi)部控制的目標(biāo)，那就是為了企業(yè)的管理戰(zhàn)略。要站在一個更加高的角度來看待內(nèi)部控制和管理

7、內(nèi)部控制的成本效益原則，以有限的成本產(chǎn)生盡可能產(chǎn)生大的效益。以內(nèi)部審計來衡量內(nèi)部控制的效果。企業(yè)內(nèi)部控制的環(huán)境。風(fēng)險評估.以內(nèi)部審計來衡量內(nèi)部控制的結(jié)果，企業(yè)內(nèi)部控制的環(huán)境。風(fēng)險評估

8、企業(yè)管理中的分權(quán)結(jié)構(gòu)，做了該公司的管理咨詢則不能做該公司的審計，否則無法保證審計的獨立性，也不保證內(nèi)部控制的有效實施。設(shè)計委員會應(yīng)當(dāng)設(shè)立在董事會之下、內(nèi)部審計是一個獨立的部門。

9、人力資源政策，輪崗交班，進行強制性的監(jiān)督，也是內(nèi)部控制的一種方式。法律顧問以及內(nèi)部環(huán)境的治理。

10、進行控制之前應(yīng)該進行風(fēng)險評估、考察財務(wù)報表的可靠性。

11、信息的整合溝通，包括內(nèi)部的還外部的。同時要關(guān)注信息安全程度

12、內(nèi)部監(jiān)督包括專項監(jiān)督和持續(xù)性的監(jiān)督csa內(nèi)部控制的自我評價

13、內(nèi)部控制也要考慮到員工的心里因素。不僅要有人情味，同時也要有效率。注重員工思想道德的建設(shè)

14、公司舞弊公司管理層---虛假財務(wù)報告中層干部-----虛報費用收受回扣一般員工-----貪污偷竊

15、舞弊的形成：壓力動機機會 內(nèi)控體系學(xué)習(xí)心得（2）：

5月8日，我代表我公司參加了江蘇省財政廳主辦的《江蘇省企業(yè)內(nèi)部控制體系建設(shè)與實施學(xué)習(xí)報告會》。報告會主講人是財政部會計司劉玉廷司長，我記得xx年版新企業(yè)會計準(zhǔn)則正是在劉司長的主導(dǎo)下編寫并頒布普及的，幾年來對我國會計事業(yè)的發(fā)展起到了重大作用，標(biāo)志著我國會計制度體系已正式與國際化接軌。在會計制度體系基本完善之后，財政部會計司又把企業(yè)內(nèi)部控制體系建設(shè)提高到一個非常重要的高度，經(jīng)過近5年的摸索與調(diào)研，今年4月份財政部又聯(lián)合證監(jiān)會等五家部委共同發(fā)布了《企業(yè)內(nèi)部控制應(yīng)用指引》，并要求率先在國有大型企業(yè)和上市公司應(yīng)用起來。由此可見，政府對企業(yè)內(nèi)部控制體系建設(shè)已經(jīng)給予了前所未有的重視。

近年來，企業(yè)內(nèi)部控制失控造成重大損失的事件頻頻發(fā)生，引起了國際社會和國內(nèi)政府管理層的高度關(guān)注。從xx年安然公司、xx年世通公司丑聞，到德隆系資金鏈斷裂、中航油違規(guī)期權(quán)交易、伊利高管挪用巨額公款，xx年農(nóng)業(yè)銀行分行管理員偷盜挪用5100萬巨款、xx年中海運韓國分公司高管截留4000萬運費收入等等重大違規(guī)事件，讓人們不得不正視企業(yè)內(nèi)部的各種經(jīng)營操作風(fēng)險?？梢哉f，由于對內(nèi)部控制缺乏足夠的重視，目前我國企業(yè)在內(nèi)部控制管理方面是比較薄弱的，其中蘊含了巨大的風(fēng)險，隨時都可能危及企業(yè)的生命。正是在這一背景下，xx年財政部等16個部委聯(lián)合發(fā)布了《企業(yè)內(nèi)部控制基本規(guī)范》，今年4月份又由財政部等5部委聯(lián)合發(fā)布了《企業(yè)內(nèi)部控制應(yīng)用指引》，用非常通俗易懂易操作的語言，引導(dǎo)企業(yè)建立起必要的內(nèi)部控制制度?！镀髽I(yè)內(nèi)部控制應(yīng)用指引》全文一共有18個主題，涵蓋了企業(yè)管理的方方面面。通過閱讀《指引》，發(fā)現(xiàn)其運用的語言非常淺顯易懂，但是蘊涵的內(nèi)部控制思想?yún)s非常深刻。學(xué)習(xí)報告會簡要介紹了《指引》出臺的背景、內(nèi)容和意義，我通過參加報告會，對其中幾點很有感觸的部分，也產(chǎn)生了一些自己的體會：

一、內(nèi)部控制建設(shè)是一個循序漸進的過程

企業(yè)內(nèi)部控制建設(shè)的第一個階段是監(jiān)督管理階段。在這個階段，企業(yè)還沒有系統(tǒng)的內(nèi)控制度體系，還停留在以人管人、以人監(jiān)督人的階段。這個時候企業(yè)發(fā)生了經(jīng)營、資金、市場等風(fēng)險狀況時，往往采取的是救火的方式去解決問題，即哪里著火了就去救哪里，缺乏系統(tǒng)的、全面的制度體系建設(shè)。這一階段強調(diào)的是對關(guān)鍵風(fēng)險的監(jiān)督，即對已經(jīng)發(fā)生的或可以預(yù)見將要發(fā)生的風(fēng)險點進行監(jiān)督管理。我公司目前應(yīng)該也是處于對關(guān)鍵風(fēng)險進行監(jiān)督管理的階段，通過近半年來各部門對流程制度的編制和整理，我公司也基本搭建起了初步的流程制度體系框架，對其中的一些風(fēng)險點也有了一些認(rèn)識和防范。但是總體而言，仍然處于看火救火，缺乏系統(tǒng)管理的層次上。

企業(yè)內(nèi)部控制建設(shè)的第二個階段是融入管理階段。在這個階段，強調(diào)的是對運營過程的管理，即所謂對關(guān)鍵過程的控制，將內(nèi)部控制的思想體現(xiàn)在運營過程管理活動中，實現(xiàn)日?；?、體系化的風(fēng)險管理。它與上一階段不同的是，不再強調(diào)著火這個結(jié)果，而是強調(diào)通過各崗位人員規(guī)范化操作避免火災(zāi)的發(fā)生，因此更強調(diào)經(jīng)營過程的合規(guī)性。目前我公司正在推行的生產(chǎn)部門二次革新、內(nèi)部審計活動，也是往這個方向發(fā)展的一個體現(xiàn)。而通過閱讀《企業(yè)內(nèi)部控制應(yīng)用指引》也可以發(fā)現(xiàn)，其中的內(nèi)容也是引導(dǎo)企業(yè)建立有效內(nèi)控制度，也是強調(diào)的對企業(yè)運營過程的規(guī)范。它其實也在告訴我們，如果做一件事情它的每個步驟和重要環(huán)節(jié)都是合乎規(guī)范的，那么這件事情的結(jié)果至少不會出太大的偏差；如果其中一些步驟是不合規(guī)的，那事情的結(jié)果就有可能蘊藏巨大的未知風(fēng)險。比如最近我公司發(fā)生的某銷售人員挪用房租的事件，仔細(xì)分析事件的整個過程，會發(fā)現(xiàn)其中經(jīng)過的很多環(huán)節(jié)都是因為貪圖一時方便或其他人為原因而沒有按規(guī)范流程操作，因此埋下了重大的隱患，不得不引起我們的重視和反省。因為風(fēng)險的始作俑者的一個重要行為特征是，他總是千方百計地找出種種理由阻擾正常流程按規(guī)范操作，總是在不斷強調(diào)特殊原因從而繞過流程制約，最終達到自己的目的。

企業(yè)內(nèi)部控制的第三個階段是提升管理階段。在這個階段，企業(yè)已經(jīng)達到一定規(guī)模，并且內(nèi)部控制體系已經(jīng)有了相當(dāng)?shù)幕A(chǔ)，這時企業(yè)就可以以戰(zhàn)略為核心、以集團管控為手段、以實現(xiàn)穩(wěn)健運營為目標(biāo)，進行全面綜合的風(fēng)險管理。這個階段的重要特點是，內(nèi)部控制要充分體現(xiàn)企業(yè)集團戰(zhàn)略，將內(nèi)部控制以戰(zhàn)略為核心貫徹到集團的各個事業(yè)部、體系或子公司中，并且建立風(fēng)險預(yù)測、評估和應(yīng)對過程管理系統(tǒng)等更高級管理手段，對企業(yè)所有運營過程進行信息整合和分析。

二、關(guān)于采購業(yè)務(wù)內(nèi)部控制 《企業(yè)內(nèi)部控制應(yīng)用指引》第7號主題是采購業(yè)務(wù)，無疑是每個企業(yè)都非常關(guān)心的內(nèi)控環(huán)節(jié)?！吨敢分兄赋隽瞬少彉I(yè)務(wù)可能面臨的三個風(fēng)險：

1、采購計劃安排不合理，市場變化趨勢預(yù)測不準(zhǔn)確，造成庫短缺或積壓，可能導(dǎo)致企業(yè)生產(chǎn)停滯或資源浪費。

2、供應(yīng)商選擇不當(dāng)，采購方式不合理，招投標(biāo)或定價機制不科學(xué)，授權(quán)審批不規(guī)范，可能導(dǎo)致采購物資質(zhì)次價高，出現(xiàn)舞弊或遭受欺詐。

3、采購驗收不規(guī)范，付款審核不嚴(yán)，可能導(dǎo)致采購物資、資金損失或信用受損。

從我公司目前的情況看，以上三個風(fēng)險都在不同程度上存在。雖然從去年以來，采購部和財務(wù)部都做了很多努力，改善了流程和管理，已經(jīng)取得了一定的成績，但是由于人手、經(jīng)驗等方面的欠缺，還不能說我們在采購計劃及預(yù)測、供應(yīng)商選擇和付款驗收上完全沒有問題和風(fēng)險。

比如在供應(yīng)商選擇上，《指引》建議企業(yè)采購業(yè)務(wù)應(yīng)當(dāng)集中，避免多頭采購或分散采購，以提高采購效率，降低采購成本。這就與我們通常所認(rèn)為的盡可能多詢價、多考察供應(yīng)商的思想有所不同。詢價也不是越多越好，供應(yīng)商也不是越多越好，集中幾家供應(yīng)商來做，可能是更好的經(jīng)驗。

另外，在采購操作上，《指引》建議對辦理采購業(yè)務(wù)的人員應(yīng)定期進行崗位輪換；重要的采購業(yè)務(wù)應(yīng)組織專家進行論證；除小額零星采購?fù)?，不得安排同一機構(gòu)辦理采購業(yè)務(wù)全過程；建立采購物資定價機制，對大宗采購要根據(jù)市場行情設(shè)立最高限價等。這些方面，可能都是我們需要借鑒和思考的方面。

三、關(guān)于銷售業(yè)務(wù)的內(nèi)部控制

《企業(yè)內(nèi)部控制應(yīng)用指引》第9號主題是銷售業(yè)務(wù)。關(guān)于銷售業(yè)務(wù)的內(nèi)部控制，令我較有感觸的有以下幾個方面：

1、對客戶信用的管理?！吨敢方ㄗh企業(yè)應(yīng)健全客戶信用檔案，關(guān)注重要客戶資信及經(jīng)營變動情況，防范信用風(fēng)險。

2、對于銷售合同，應(yīng)當(dāng)進行各有關(guān)部門會審會簽，而不僅僅是銷售部門自審自批。尤其是對于重要的銷售合同，簽訂時應(yīng)征詢財務(wù)、法律專家的意見。重大的銷售業(yè)務(wù)談判，應(yīng)適當(dāng)吸收財會和法律專業(yè)人員參加，并形成完整的書面記錄。

3、對于應(yīng)收賬款催收，催收記錄（包括往來函電）應(yīng)妥善保存；財會部門要負(fù)責(zé)辦理資金結(jié)算并監(jiān)督款項的回收。

對于以上幾方面，可能咋看上去在很多企業(yè)都不會真正實行起來，理由可能是麻煩、不切實際、影響辦事效率。但是劉司長介紹說，經(jīng)過他們多年調(diào)研幾千家企業(yè)的結(jié)果，對于銷售環(huán)節(jié)內(nèi)部控制較為嚴(yán)格的企業(yè)，恰恰是經(jīng)營績效和效率都很高的企業(yè)；而省略內(nèi)部控制流程的企業(yè)，又往往是績效不大好、內(nèi)部管理問題嚴(yán)重的企業(yè)。因此他認(rèn)為，內(nèi)部控制制度并不是像人們以為的那樣是一種束縛，而是一種推動力量。內(nèi)控完善的企業(yè)，說明企業(yè)的管理水平高，管理效率高，企業(yè)經(jīng)營績效就高，這是符合邏輯的。而省略內(nèi)控環(huán)節(jié)的企業(yè)，看上去似乎效率高，實際上掩蓋了企業(yè)內(nèi)部的管理混亂、內(nèi)部溝通成本高，其結(jié)果必然是經(jīng)營一定有風(fēng)險，而且這些風(fēng)險往往企業(yè)自己還不知道，自我感覺還很好。這不得不讓我們重新深思內(nèi)部控制、管理和企業(yè)經(jīng)營績效之間的邏輯關(guān)系。

四、關(guān)于研發(fā)活動的內(nèi)部控制

《企業(yè)內(nèi)部控制應(yīng)用指引》第10號主題是研究與開發(fā)。其中有很多條，引起我注意的是以下幾方面：

1、企業(yè)可以組織獨立于申請及立項審批之外的專業(yè)機構(gòu)和人員進行評估論證，出具評估意見。

2、企業(yè)應(yīng)當(dāng)建立嚴(yán)格的核心研究人員管理制度，明確界定核心研究人員范圍和名冊清單，簽署符合國家有關(guān)法律法規(guī)要求的保密協(xié)議。企業(yè)與核心研究人員簽訂勞動合同時，應(yīng)當(dāng)特別約定研究成果歸屬、離職條件、離職移交程序、離職后保密義務(wù)、離職后競業(yè)限制年限及違約責(zé)任等內(nèi)容。

3、企業(yè)應(yīng)當(dāng)建立研究成果保護制度，加強對專利權(quán)、非專利技術(shù)、商業(yè)秘密及研發(fā)過程中形成的各類涉密圖紙、程序、資料的管理，嚴(yán)格按照制度規(guī)定借閱和使用。禁止無關(guān)人員接觸研究成果。

4、企業(yè)應(yīng)當(dāng)建立研發(fā)活動評估制度，加強對立項與研究、開發(fā)與保護等過程的全面評估，認(rèn)真總結(jié)研發(fā)管理經(jīng)驗，分析存在的薄弱環(huán)節(jié)，完善相關(guān)制度和辦法，不斷改進和提升研發(fā)活動的管理水平。

以上方面引起我注意的一個重要原因是，我公司可能在研發(fā)資料保密和核心研發(fā)人員控制上還需繼續(xù)完善。比如目前的研發(fā)人員郵箱、聊天工具均未實行外網(wǎng)隔離，存在信息安全的風(fēng)險；核心研發(fā)人員如未按國家規(guī)定簽署保密協(xié)定，可能也隱藏了一定的風(fēng)險。因此個人認(rèn)為，我公司應(yīng)在這些方面按照《指引》要求持續(xù)完善起來。

五、關(guān)于預(yù)算活動的內(nèi)部控制

《企業(yè)內(nèi)部控制應(yīng)用指引》第15號主題是全面預(yù)算。應(yīng)該說，我公司的預(yù)算活動做得是很不理想的，主要原因可能還是對預(yù)算的認(rèn)識不足，預(yù)算缺乏剛性、執(zhí)行不力、考核不嚴(yán)。很多人都認(rèn)為，預(yù)算一定會對企業(yè)經(jīng)營活動產(chǎn)生束縛，會影響工作效率，實際上這種觀點是一種誤解。劉司長也介紹到，經(jīng)過他走訪的幾千家大中小型企業(yè)，凡是預(yù)算活動做得較好的，通常都是經(jīng)營管理水平較高，經(jīng)營績效也很好的企業(yè)；凡是沒有預(yù)算管控或預(yù)算很弱的企業(yè)，往往都是經(jīng)營費用特別高、浪費嚴(yán)重、利潤很低的企業(yè)。這幾乎已經(jīng)成為一條定律。因此，那種認(rèn)為預(yù)算會束縛企業(yè)經(jīng)營的觀點，可能還是對預(yù)算認(rèn)識不到位造成的錯覺，甚至反映的是一種管理上的惰性。大量實踐證明，只要企業(yè)認(rèn)認(rèn)真真下目標(biāo)，運用預(yù)算實行嚴(yán)格的管理和考核，就一定會對企業(yè)經(jīng)營起很好的推動作用。

從我公司的實踐來看，目前我們的預(yù)算約束是很弱的，因此造成今年以來費用仍然很高、浪費仍然很嚴(yán)重、利潤和資金仍然很緊張。由此可見，忽略預(yù)算并不會帶來企業(yè)的超常規(guī)發(fā)展，帶來的往往是浪費和管理混亂。同理，為什么我公司的訂貨額很好呢？就是因為我們在訂貨額上實行了嚴(yán)格的目標(biāo)責(zé)任制，也就是嚴(yán)格的預(yù)算目標(biāo)管理，并且有嚴(yán)格的考核激勵措施與之配套。如果對于訂貨額我們通過這樣的手段能做得很好，那么其他方面我相信也一樣可以通過這種手段做得很好。

第三篇：內(nèi)控體系學(xué)習(xí)心得

1、內(nèi)部控制十一哥完整的系統(tǒng)，一個好的運作體系對于企業(yè)運作的風(fēng)險降低有很大的幫助。調(diào)查結(jié)果表明，企業(yè)內(nèi)部偷竊行為中，主管員工占了很大一部分。

2、內(nèi)部控制基本準(zhǔn)則、規(guī)范，作為一個會計人，我們應(yīng)該好好要學(xué)習(xí)一下。在企業(yè)管理中，風(fēng)險管理，風(fēng)險偏好以及其企業(yè)戰(zhàn)略管理、內(nèi)部控制都很有關(guān)系。

3、一個企業(yè)越大，系統(tǒng)越大，就越混亂，越需要一個好的框架體系來管理。內(nèi)部控制需要會計人員財務(wù)工作者有好的專業(yè)能力，在我們今后的工作中，對我們的工作能力要求越來越高。

4、coso法案中，現(xiàn)在也加入了戰(zhàn)略管理。難怪cpa考試也加了一門

5、sox法案。想要發(fā)展到一個層次，就應(yīng)該要有所了解。中國正在與國際接軌。

6、內(nèi)部控制也有自身的局限性，要了解內(nèi)部控制的目標(biāo)，那就是為了企業(yè)的管理戰(zhàn)略。要站在一個更加高的角度來看待內(nèi)部控制和管理

7、內(nèi)部控制的成本效益原則，以有限的成本產(chǎn)生盡可能產(chǎn)生大的效益。以內(nèi)部審計來衡量內(nèi)部控制的效果。企業(yè)內(nèi)部控制的環(huán)境。風(fēng)險評估.以內(nèi)部審計來衡量內(nèi)部控制的結(jié)果，企業(yè)內(nèi)部控制的環(huán)境。風(fēng)險評估

8、企業(yè)管理中的分權(quán)結(jié)構(gòu)，做了該公司的管理咨詢則不能做該公司的審計，否則無法保證審計的獨立性，也不保證內(nèi)部控制的有效實施。設(shè)計委員會應(yīng)當(dāng)設(shè)立在董事會之下、內(nèi)部審計是一個獨立的部門。

9、人力資源政策，輪崗交班，進行強制性的監(jiān)督，也是內(nèi)部控制的一種方式。法律顧問以及內(nèi)部環(huán)境的治理。

10、進行控制之前應(yīng)該進行風(fēng)險評估、考察財務(wù)報表的可靠性。

11、信息的整合溝通，包括內(nèi)部的還外部的。同時要關(guān)注信息安全程度

12、內(nèi)部監(jiān)督包括專項監(jiān)督和持續(xù)性的監(jiān)督csa內(nèi)部控制的自我評價

13、內(nèi)部控制也要考慮到員工的心里因素。不僅要有人情味，同時也要有效率。注重員工思想道德的建設(shè)

14、公司舞弊

公司管理層---虛假財務(wù)報告

中層干部-----虛報費用收受回扣

一般員工-----貪污偷竊

15、舞弊的形成：壓力動機機會

內(nèi)控體系學(xué)習(xí)心得（2）：

5月8日，我代表我公司參加了江蘇省財政廳主辦的《江蘇省企業(yè)內(nèi)部控制體系建設(shè)與實施學(xué)習(xí)報告會》。報告會主講人是財政部會計司劉玉廷司長，我記得XX年版新企業(yè)會計準(zhǔn)則正是在劉司長的主導(dǎo)下編寫并頒布普及的，幾年來對我國會計事業(yè)的發(fā)展起到了重大作用，標(biāo)志著我國會計制度體系已正式與國際化接軌。在會計制度體系基本完善之后，財政部會計司又把企業(yè)內(nèi)部控制體系建設(shè)提高到一個非常重要的高度，經(jīng)過近5年的摸索與調(diào)研，今年4月份財政部又聯(lián)合證監(jiān)會等五家部委共同發(fā)布了《企業(yè)內(nèi)部控制應(yīng)用指引》，并要求率先在國有大型企業(yè)和上市公司應(yīng)用起來。由此可見，政府對企業(yè)內(nèi)部控制體系建設(shè)已經(jīng)給予了前所未有的重視。

近年來，企業(yè)內(nèi)部控制失控造成重大損失的事件頻頻發(fā)生，引起了國際社會和國內(nèi)政府管理層的高度關(guān)注。從XX年安然公司、XX年世通公司丑聞，到德隆系資金鏈斷裂、中航油違規(guī)期權(quán)交易、伊利高管挪用巨額公款，XX年農(nóng)業(yè)銀行分行管理員偷盜挪用5100萬巨款、XX年中海運韓國分公司高管截留4000萬運費收入等等重大違規(guī)事件，讓人們不得不正視企業(yè)內(nèi)部的各種經(jīng)營操作風(fēng)險?？梢哉f，由于對內(nèi)部控制缺乏足夠的重視，目前我國企業(yè)在內(nèi)部控制管理方面是比較薄弱的，其中蘊含了巨大的風(fēng)險，隨時都可能危及企業(yè)的生命。正是在這一背景下，XX年財政部等16個部委聯(lián)合發(fā)布了《企業(yè)內(nèi)部控制基本規(guī)范》，今年4月份又由財政部等5部委聯(lián)合發(fā)布了《企業(yè)內(nèi)部控制應(yīng)用指引》，用非常通俗易懂易操作的語言，引導(dǎo)企業(yè)建立起必要的內(nèi)部控制制度。

1、采購計劃安排不合理，市場變化趨勢預(yù)測不準(zhǔn)確，造成庫短缺或積壓，可能導(dǎo)致企業(yè)生產(chǎn)停滯或資源浪費。

2、供應(yīng)商選擇不當(dāng)，采購方式不合理，招投標(biāo)或定價機制不科學(xué)，授權(quán)審批不規(guī)范，可能導(dǎo)致采購物資質(zhì)次價高，出現(xiàn)舞弊或遭受欺詐。

3、采購驗收不規(guī)范，付款審核不嚴(yán)，可能導(dǎo)致采購物資、資金損失或信用受損。

從我公司目前的情況看，以上三個風(fēng)險都在不同程度上存在。雖然從去年以來，采購部和財務(wù)部都做了很多努力，改善了流程和管理，已經(jīng)取得了一定的成績，但是由于人手、經(jīng)驗等方面的欠缺，還不能說我們在采購計劃及預(yù)測、供應(yīng)商選擇和付款驗收上完全沒有問題和風(fēng)險。

比如在供應(yīng)商選擇上，《指引》建議企業(yè)采購業(yè)務(wù)應(yīng)當(dāng)集中，避免多頭采購或分散采購，以提高采購效率，降低采購成本。這就與我們通常所認(rèn)為的盡可能多詢價、多考察供應(yīng)商的思想有所不同。詢價也不是越多越好，供應(yīng)商也不是越多越好，集中幾家供應(yīng)商來做，可能是更好的經(jīng)驗。

另外，在采購操作上，《指引》建議對辦理采購業(yè)務(wù)的人員應(yīng)定期進行崗位輪換；重要的采購業(yè)務(wù)應(yīng)組織專家進行論證；除小額零星采購?fù)?，不得安排同一機構(gòu)辦理采購業(yè)務(wù)全過程；建立采購物資定價機制，對大宗采購要根據(jù)市場行情設(shè)立最高限價等。這些方面，可能都是我們需要借鑒和思考的方面。

三、關(guān)于銷售業(yè)務(wù)的內(nèi)部控制

《企業(yè)內(nèi)部控制應(yīng)用指引》第9號主題是銷售業(yè)務(wù)。關(guān)于銷售業(yè)務(wù)的內(nèi)部控制，令我較有感觸的有以下幾個方面：

1、對客戶信用的管理。《指引》建議企業(yè)應(yīng)健全客戶信用檔案，關(guān)注重要客戶資信及經(jīng)營變動情況，防范信用風(fēng)險。

2、對于銷售合同，應(yīng)當(dāng)進行各有關(guān)部門會審會簽，而不僅僅是銷售部門自審自批。尤其是對于重要的銷售合同，簽訂時應(yīng)征詢財務(wù)、法律專家的意見。重大的銷售業(yè)務(wù)談判，應(yīng)適當(dāng)吸收財會和法律專業(yè)人員參加，并形成完整的書面記錄。

3、對于應(yīng)收賬款催收，催收記錄（包括往來函電）應(yīng)妥善保存；財會部門要負(fù)責(zé)辦理資金結(jié)算并監(jiān)督款項的回收。

對于以上幾方面，可能咋看上去在很多企業(yè)都不會真正實行起來，理由可能是“麻煩”、“不切實際”、“影響辦事效率”。但是劉司長介紹說，經(jīng)過他們多年調(diào)研幾千家企業(yè)的結(jié)果，對于銷售環(huán)節(jié)內(nèi)部控制較為嚴(yán)格的企業(yè)，恰恰是經(jīng)營績效和效率都很高的企業(yè)；而省略內(nèi)部控制流程的企業(yè)，又往往是績效不大好、內(nèi)部管理問題嚴(yán)重的企業(yè)。因此他認(rèn)為，內(nèi)部控制制度并不是像人們以為的那樣是一種束縛，而是一種推動力量。內(nèi)控完善的企業(yè)，說明企業(yè)的管理水平高，管理效率高，企業(yè)經(jīng)營績效就高，這是符合邏輯的。而省略內(nèi)控環(huán)節(jié)的企業(yè)，看上去似乎效率“高”，實際上掩蓋了企業(yè)內(nèi)部的管理混亂、內(nèi)部溝通成本高，其結(jié)果必然是經(jīng)營一定有風(fēng)險，而且這些風(fēng)險往往企業(yè)自己還不知道，自我感覺還很好。這不得不讓我們重新深思內(nèi)部控制、管理和企業(yè)經(jīng)營績效之間的邏輯關(guān)系。

四、關(guān)于研發(fā)活動的內(nèi)部控制

《企業(yè)內(nèi)部控制應(yīng)用指引》第10號主題是研究與開發(fā)。其中有很多條，引起我注意的是以下幾方面：

1、企業(yè)可以組織獨立于申請及立項審批之外的專業(yè)機構(gòu)和人員進行評估論證，出具評估意見。

第四篇：內(nèi)控制度體系

根據(jù)自查出來的崗位職責(zé)、部門業(yè)務(wù)流程等各項管理制度不夠健全等問題，緊緊圍繞以“內(nèi)部環(huán)境、風(fēng)險評估、控制活動、信息與溝通、內(nèi)部監(jiān)督”六要素和“不相容職務(wù)分離控制、授權(quán)審批控制、會計系統(tǒng)控制、財產(chǎn)保護控制、預(yù)算控制、運營分析控制和績效考評控制”等七項控制措施為重點，逐步建立和完善包括組織架構(gòu)、發(fā)展戰(zhàn)略、人力資源、社會責(zé)任、企業(yè)文化、資金活動、采購業(yè)務(wù)、資產(chǎn)管理、銷售業(yè)務(wù)、研究與開發(fā)、工程項目、擔(dān)保業(yè)務(wù)、業(yè)務(wù)外包、財務(wù)報告、全面預(yù)算、合同管理、內(nèi)部信息傳遞和信息系統(tǒng)等內(nèi)容的內(nèi)部控制體系，并根據(jù)有關(guān)法律法規(guī)及其配套辦法，制定本企業(yè)的內(nèi)部控制制度并組織實施。通過實施內(nèi)部控制工作，完善和規(guī)范如下管理工作：

（1）運用信息技術(shù)加強內(nèi)部控制。建立與經(jīng)營管理相適應(yīng)的信息系統(tǒng)，促進內(nèi)部控制流程與信息系統(tǒng)的有機結(jié)合，實現(xiàn)對業(yè)務(wù)和事項的自動控制，減少或消除人為操縱因素。

（2）建立內(nèi)部控制實施的激勵約束機制。將各責(zé)任部門、車間和全體員工實施內(nèi)部控制的情況納入績效考評體系，促進內(nèi)部控制的有效實施。

（3）編制常規(guī)授權(quán)的權(quán)限指引制度。規(guī)范特別授權(quán)的范圍、權(quán)限、程序和責(zé)任，嚴(yán)格控制特別授權(quán)。企業(yè)各級管理人員應(yīng)當(dāng)在授權(quán)范圍內(nèi)行使職權(quán)和承擔(dān)責(zé)任。企業(yè)對于重大的業(yè)務(wù)和事項，應(yīng)當(dāng)實行集體決策審批或者聯(lián)簽制度，任何個人不得單獨進行決策或者擅自改變集體決策。

（4）規(guī)范會計工作。會計系統(tǒng)控制要求企業(yè)嚴(yán)格執(zhí)行國家統(tǒng)一的會計準(zhǔn)則制度，加強會計基礎(chǔ)工作，明確會計憑證、會計賬簿和財務(wù)會計報告的處理程序，保證會計資料真實完整。（5）建立財產(chǎn)安全保護機制。建立財產(chǎn)日常管理制度和定期清查制度，采取財產(chǎn)記錄、實物保管、定期盤點、賬實核對等措施，確保財產(chǎn)安全。嚴(yán)格限制未經(jīng)授權(quán)的人員接觸和處置財產(chǎn)。

（6）建立預(yù)算控制機制。實施全面預(yù)算管理制度，明確各責(zé)任單位在預(yù)算管理中的職責(zé)權(quán)限，規(guī)范預(yù)算的編制、審定、下達和執(zhí)行程序，強化預(yù)算約束。

（7）建立運營分析機制。建立運營情況分析制度，經(jīng)理層應(yīng)當(dāng)綜合運用生產(chǎn)、購銷、投資、籌資、財務(wù)等方面的信息，通過因素分析、對比分析、趨勢分析等方法，定期開展運營情況分析，發(fā)現(xiàn)存在的問題，及時查明原因并加以改進。

（8）建立完善績效考評機制。建立和實施績效考評制度，科學(xué)設(shè)置考核指標(biāo)體系，對企業(yè)內(nèi)部部門、車間和全體員工的業(yè)績進行定期考核和客觀評價，將考評結(jié)果作為確定員工薪酬以及職務(wù)晉升、評優(yōu)、降級、調(diào)崗、辭退等的依據(jù)。

（9）建立風(fēng)險預(yù)控和應(yīng)急機制制度。根據(jù)內(nèi)部控制目標(biāo)，結(jié)合風(fēng)險應(yīng)對策略，綜合運用控制措施，對各種業(yè)務(wù)和事項實施有效控制。建立重大風(fēng)險預(yù)警機制和突發(fā)事件應(yīng)急處理機制，明確風(fēng)險預(yù)警標(biāo)準(zhǔn)，對可能發(fā)生的重大風(fēng)險或突發(fā)事件，制定應(yīng)急預(yù)案、明確責(zé)任人員、規(guī)范處置程序，確保突發(fā)事件得到及時妥善處理。

（10）建立內(nèi)部審計與監(jiān)督機制，形成合理適用的審計與監(jiān)督制度。在內(nèi)部控制實施過程中，要明確和完善內(nèi)部審計部門和其他內(nèi)部部門在內(nèi)部監(jiān)督中的職責(zé)權(quán)限，規(guī)范內(nèi)部監(jiān)督的程序、方法和要求，對內(nèi)部控制規(guī)范管理工作實施監(jiān)督。

第五篇：IT內(nèi)控體系內(nèi)部審核與管理評審程序規(guī)定(試行)

IT內(nèi)控體系內(nèi)部審核與管理評審程序規(guī)定

（試行)1．目的和范圍

為加強公司IT系統(tǒng)的內(nèi)部控制與管理，有效監(jiān)控IT相關(guān)的管理制度、辦法、規(guī)定、標(biāo)準(zhǔn)、技術(shù)規(guī)范等的執(zhí)行情況，實現(xiàn)IT內(nèi)部控制的合規(guī)性，保證IT內(nèi)控管理體系的適宜性和持續(xù)有效，營造穩(wěn)定、健康、有序的IT管理環(huán)境，特制定本規(guī)定。

本規(guī)定適用于公司范圍內(nèi)與IT相關(guān)的內(nèi)部審核與管理評審，主要針對公司層面IT系統(tǒng)有關(guān)的業(yè)務(wù)與管理。2．相關(guān)部門

IT部、與IT業(yè)務(wù)相關(guān)的各部門。3．職責(zé)與權(quán)限

3.1 IT部負(fù)責(zé)組織根據(jù)本規(guī)定對IT相關(guān)規(guī)章制度及其執(zhí)行情況及IT項目的建設(shè)情況進行監(jiān)督、監(jiān)控、審核與評價。

3.2 IT部領(lǐng)導(dǎo)負(fù)責(zé)組織管理評審，并主持管理評審會議。

3.3 其他管理人員，包括相關(guān)部門IT系統(tǒng)負(fù)責(zé)人參加管理評審，并按職責(zé)范圍提供內(nèi)控體系運行情況的信息和資料，形成書面材料向管理評審會議匯報。3.4 內(nèi)審組長負(fù)責(zé)具體組織實施內(nèi)審工作。3.5 內(nèi)審員負(fù)責(zé)協(xié)助內(nèi)審組長完成內(nèi)審工作。3.6 受審核部門負(fù)責(zé)協(xié)助并積極配合內(nèi)審工作。4．管理內(nèi)容與流程 4.1 IT內(nèi)部審核

4.1.1 審核計劃編制

4.1.1.1 每年第一季度，IT部組織人員完成《IT內(nèi)部審核計劃》的編制，并提交IT部領(lǐng)導(dǎo)批準(zhǔn)。

4.1.1.2 “IT內(nèi)部審核計劃”要保證全年完成涉及IT體系中的全部要素和全部活動以及所有場所與部門?！癐T內(nèi)部審核計劃”的內(nèi)容應(yīng)包括： 1）審核的要素； 2）受審核的部門； 3）審核的時間安排；

4）編制、審核、批準(zhǔn)人簽字等。

4.1.1.3 在下列情況下，可追加審核或增加審核頻次：

1）IT系統(tǒng)有關(guān)的領(lǐng)導(dǎo)層、組織結(jié)構(gòu)、人員、產(chǎn)品與服務(wù)等發(fā)生重大變化時； 2）IT系統(tǒng)發(fā)生了嚴(yán)重的質(zhì)量問題或因質(zhì)量問題引起顧客重大投訴時。4.1.2 審核的策劃和準(zhǔn)備

4.1.2.1 指定內(nèi)審組長并組成內(nèi)審組

1）每次審核前由IT部領(lǐng)導(dǎo)指定內(nèi)審組長和內(nèi)審員，組成內(nèi)審組； 2）內(nèi)審組成員在業(yè)務(wù)水平和管理經(jīng)驗等資格方面應(yīng)符合內(nèi)審要求，應(yīng)經(jīng)過相應(yīng)的培訓(xùn)，熟悉IT內(nèi)控體系文件，辦事公道，并得到被審核部門的認(rèn)可；

3）只要人力資源允許，內(nèi)審組成員應(yīng)與被審核的部門無直接責(zé)任，獨立于被審核工作。4.1.2.2 制訂《IT內(nèi)部審核實施計劃》

內(nèi)審組長負(fù)責(zé)制訂審核實施計劃，內(nèi)容包括：審核目的、范圍、依據(jù)；審核的日程安排；內(nèi)審小組的組成和分工；受審核部門相關(guān)的過程、活動及對應(yīng)的管理制度條款和體系要求；其他需明確的事項和要求等。

內(nèi)審組應(yīng)提前三個工作日將計劃發(fā)放到有關(guān)部門，以便確認(rèn)計劃安排。4.1.2.3 內(nèi)審員應(yīng)根據(jù)任務(wù)分工編寫《IT內(nèi)審檢查表》。4.1.3 審核實施 4.1.3.1 首次會議

首次會議由內(nèi)審組長主持，受審核部門負(fù)責(zé)人和審核組成員參加。

會議內(nèi)容包括：明確審核的目的與范圍、依據(jù)、要求和方法，介紹審核計劃，解決計劃中不明確的細(xì)節(jié)，建立聯(lián)系渠道，落實具體安排，確定末次會議時間等；首次會議要簽到。4.1.3.2 現(xiàn)場審核

內(nèi)審員按審核計劃和檢查表實施審核。

通過交談、詢問、文件查閱、現(xiàn)場檢查(即問、聽、看、查)等方法收集客觀證據(jù)并記錄，應(yīng)使用正確的工作方法和審核技巧。4.1.3.3 確定不合格項

內(nèi)審組評審檢查結(jié)果，確定不合格項。按不合格性質(zhì)分為：體系性不合格、實施性不合格、效果性不合格；按嚴(yán)重程度分為：輕微不合格和嚴(yán)重不合格。

4.1.3.4 開具《IT內(nèi)審不合格報告》及《IT內(nèi)審不合格報告執(zhí)行情況一覽表》

確定不合格項后，內(nèi)審員填寫不合格報告單。不合格報告單的內(nèi)容包括：審核員、審核時間、受審核部門及負(fù)責(zé)人、不合格事實描述、不合格類型、不符合條款等。不合格事實描述要具體，并經(jīng)受審核方確認(rèn)。4.1.3.5 末次會議

由內(nèi)審組長主持，受審核部門負(fù)責(zé)人和審核組成員參加。

會議內(nèi)容包括：重申審核目的、范圍和依據(jù)，說明審核過程，宣讀不合格報告，評價審核結(jié)果、提出糾正措施要求等；末次會議要簽到。4.1.4 編寫審核報告

內(nèi)審組長負(fù)責(zé)編寫《IT內(nèi)審報告》，經(jīng)IT部領(lǐng)導(dǎo)批準(zhǔn)后發(fā)放到有關(guān)部門。審核報告的內(nèi)容應(yīng)包括：

1）審核目的、范圍和依據(jù)；

2）審核計劃完成情況及不合格項的匯總分析； 3）體系運行結(jié)果的評價； 4）審核結(jié)論；

5）審核報告的分發(fā)范圍等。4.1.5 糾正的實施與跟蹤驗證

責(zé)任部門應(yīng)根據(jù)不合格項報告，認(rèn)真分析產(chǎn)生問題的原因，并針對原因制定和實施糾正措施。內(nèi)審組負(fù)責(zé)糾正措施的跟蹤與驗證，必要時進行現(xiàn)場確認(rèn)。4.1.6 內(nèi)審結(jié)果匯總分析

內(nèi)審組長負(fù)責(zé)將IT內(nèi)審結(jié)果歸納總結(jié)并予以分析，形成體系運行報告，作為管理評審的輸入。報告內(nèi)容包括：審核計劃完成情況，不合格項匯總分析、糾正措施的跟蹤驗證情況及對體系評價、薄弱環(huán)節(jié)分析和體系改進建議等。4.2 IT管理評審 4.2.1 管理評審計劃

IT部領(lǐng)導(dǎo)負(fù)責(zé)主持IT管理評審并組織編制管理評審計劃，內(nèi)容包括：評審目的、評審內(nèi)容、被評審部門及參加人員、管理評審的時間和評審計劃的發(fā)放范圍等。管理評審每年至少進行一次，一般安排在內(nèi)部審核后進行。

當(dāng)連續(xù)出現(xiàn)IT方面重大事故或顧客投訴時以及公司領(lǐng)導(dǎo)層認(rèn)為需要時，可增加管理評審的頻次。

4.2.2 管理評審參加的人員 1）IT部領(lǐng)導(dǎo)；

2）各相關(guān)部門負(fù)責(zé)人及二級公司分管IT業(yè)務(wù)的領(lǐng)導(dǎo)； 3）內(nèi)審員；

4）必要時可請公司分管領(lǐng)導(dǎo)參加。4.2.3 管理評審的輸入 1）內(nèi)部審核的結(jié)果；

2）IT目標(biāo)的執(zhí)行情況及總體有效性； 3）改進的建議；

4）有關(guān)部門反饋的信息； 5）連續(xù)出現(xiàn)的重大事故報告；

6）糾正和預(yù)防措施的實施情況及效果； 7）可能影響IT體系的變動；

8）IT相關(guān)各部門的工作業(yè)績和服務(wù)的質(zhì)量現(xiàn)狀； 9）上次IT管理評審的改進措施等。4.2.4 評審準(zhǔn)備

IT部應(yīng)提前三個工作日通知所有參加管理評審的人員。各相關(guān)部門準(zhǔn)備與本部門有關(guān)的評審資料。4.2.5 管理評審的實施

管理評審會議由IT部領(lǐng)導(dǎo)主持。

以會議形式對評審輸入中的各項內(nèi)容進行評審。

分析IT體系的適宜性、充分性和有效性，做出是否需要改進和完善的決議。

4.2.6 管理評審的輸出

IT內(nèi)控體系及其過程有效性的改進信息。4.2.7 編寫《IT管理評審報告》

IT部安排人員負(fù)責(zé)編寫“IT管理評審報告”，經(jīng)IT部領(lǐng)導(dǎo)批準(zhǔn)后，發(fā)送各有關(guān)部門，相關(guān)記錄做好保存。

“IT管理評審報告”的內(nèi)容至少應(yīng)包括： 1）評審的目的； 2）評審內(nèi)容；

3）評審日期及參加人員； 4）評審活動的評價與結(jié)論；

5）采取相關(guān)的糾正和預(yù)防措施的要求； 6）評審報告的發(fā)放范圍等。4.2.8 糾正和預(yù)防措施

各責(zé)任部門按IT管理評審提出的改進要求進行改進，IT部負(fù)責(zé)對其執(zhí)行情況及效果進行跟蹤檢查和驗證。5．附則

5.1 本規(guī)定自2011年05月01日起試行。5.2 本規(guī)定由IT部負(fù)責(zé)解釋。