内控手册之人事信息管理流程控制矩阵
合集下载
内控手册之员工招聘流程控制矩阵
员工招聘流程控制矩阵
风险编号 控制目标 风险描述 控制措施 控制部门/ 控制 执行岗 频次 检查资料 对应制度 控制 方法
R-RL0101
积极了解行业优秀公司的人员配置情 况,结合公司实际情况,制订、完善 招聘计划不合理,人员招聘不足,不 公司机构编制指导性标准;充分与各 人力资源部 机构编制方 合理制订招 能满足公司经营发展需要,或人员招 招聘录用制 部门、所属各公司沟通,了解工作开 、其他各部 每次 案;招聘计 聘计划 聘过多,工作量不饱和,导致人力资 度 展情况与现有人员的工作量饱和程 门/招聘经理 划 源浪费。 度;以长期发展的战略角度,研究、 考虑人员的配置、储备。 招聘信息内容模糊,任职条件不明 明确公司各岗位的岗位职责、任职条 人力资源部 招聘信息具 招聘录用制 确,导致投递简历的质量不高,与公司 件,能细则细,经各部门确认后,发 、其他各部 每次 岗位说明书 体、明确 度 要求不匹配。 布招聘信息。 门/招聘经理 及时搜集、 至少每2天筛选一遍投递的简历;尽快 筛选简历, 简历筛选不及时或安排面试迟缓,导 与应聘人员电话联系,约定面试时 人力资源部/ 招聘录用制 每次 投递的简历 尽快安排面 致优秀人才流失。 间;通过初试后,尽快协调相关部门 招聘经理 度 试 、相关领导进行面试。 面试安排疏忽,相关领导没有参加面 严格按照程序组织面试,中层及以下 按招聘制度 试,导致招聘程序不规范或存在漏洞; 员工的面试,确保部门相关领导、部 规定,确保 人力资源部/ 招聘录用制 面试过于简单草率,未能通过认真缜 门分管领导及人力资源分管领导参 每次 面试评价表 相关领导参 招聘经理 度 密的面试试题设计了解应聘人员真实 加;应切实做好面试准备,设计科学 与面试 情况,留下隐患。 合理的面试试题。 招聘审批手 未按规定进行录用报批,导致招聘审 严格按照制度规定履行审批手续。 续完善 批程序出现严重失误。 确保应聘人 员相关信息 真实可靠, 提高人岗匹 配度 未发现应聘人员有意隐瞒不利于自己 的信息,或者提供虚假信息以夸大自 己的能力,致使公司承受选人及用人 不当的全部缺失。 人力资源部/ 员工录用审 招聘录用制 每次 招聘经理 批表 度
风险编号 控制目标 风险描述 控制措施 控制部门/ 控制 执行岗 频次 检查资料 对应制度 控制 方法
R-RL0101
积极了解行业优秀公司的人员配置情 况,结合公司实际情况,制订、完善 招聘计划不合理,人员招聘不足,不 公司机构编制指导性标准;充分与各 人力资源部 机构编制方 合理制订招 能满足公司经营发展需要,或人员招 招聘录用制 部门、所属各公司沟通,了解工作开 、其他各部 每次 案;招聘计 聘计划 聘过多,工作量不饱和,导致人力资 度 展情况与现有人员的工作量饱和程 门/招聘经理 划 源浪费。 度;以长期发展的战略角度,研究、 考虑人员的配置、储备。 招聘信息内容模糊,任职条件不明 明确公司各岗位的岗位职责、任职条 人力资源部 招聘信息具 招聘录用制 确,导致投递简历的质量不高,与公司 件,能细则细,经各部门确认后,发 、其他各部 每次 岗位说明书 体、明确 度 要求不匹配。 布招聘信息。 门/招聘经理 及时搜集、 至少每2天筛选一遍投递的简历;尽快 筛选简历, 简历筛选不及时或安排面试迟缓,导 与应聘人员电话联系,约定面试时 人力资源部/ 招聘录用制 每次 投递的简历 尽快安排面 致优秀人才流失。 间;通过初试后,尽快协调相关部门 招聘经理 度 试 、相关领导进行面试。 面试安排疏忽,相关领导没有参加面 严格按照程序组织面试,中层及以下 按招聘制度 试,导致招聘程序不规范或存在漏洞; 员工的面试,确保部门相关领导、部 规定,确保 人力资源部/ 招聘录用制 面试过于简单草率,未能通过认真缜 门分管领导及人力资源分管领导参 每次 面试评价表 相关领导参 招聘经理 度 密的面试试题设计了解应聘人员真实 加;应切实做好面试准备,设计科学 与面试 情况,留下隐患。 合理的面试试题。 招聘审批手 未按规定进行录用报批,导致招聘审 严格按照制度规定履行审批手续。 续完善 批程序出现严重失误。 确保应聘人 员相关信息 真实可靠, 提高人岗匹 配度 未发现应聘人员有意隐瞒不利于自己 的信息,或者提供虚假信息以夸大自 己的能力,致使公司承受选人及用人 不当的全部缺失。 人力资源部/ 员工录用审 招聘录用制 每次 招聘经理 批表 度
人力资源内控手册
一、人力资源管理内部控制手册说明为规范某某公司人力资源管理的风险管理和内部控制,确保某某公司整体战略以及人力资源管理规划目标的实现,根据某某公司全面风险管理和内部控制体系相关要求,制定本手册。
本手册描述了某某公司人力资源管理主要工作流程、流程中存在的风险、控制环节、流程实施涉及到的部门和岗位等;针对性地适用于某某公司总部和二级公司的人力资源管理;是某某公司整体开展人力资源管理的标准型文件。
人力资源管理内部控制手册主要分为以下两个部分:流程框架、流程文档。
其中,流程框架是业务运作的整体架构。
本手册涉及的人力资源管理一级流程包括一项:人力资源管理,二级流程主要有组织机构管理、领导人员管理、招聘管理、培训管理、绩效考核管理、薪酬管理、员工关系管理、专业技术资格管理、社会保险管理等,三级流程共21个;流程文档是对各三级流程具体环节的详细叙述,主要包括流程目标、适用范围、相关制度和规定、流程图、流程描述和风险矩阵六个组成部分,其中流程描述和风险矩阵存在对应的关系。
一、流程框架一级流程(1个):人力资源管理二级流程(10个):组织机构管理、领导人员管理、招聘管理、培训管理、绩效考核管理、薪酬管理、员工关系管理、专业技术资格管理、社会保险管理、档案管理。
设定方法:二级流程的划分主要根据为人力资源管理业务内容和实际情况。
三级流程(21个):提取业务主要节点,侧着业务关键环节,注重区分各种业务模式控制。
三级流程遵循加强事前控制的原则。
结合某某公司现有的风险防控体系的实际构架,以及人力资源管理的实际情况,人力资源管理风险控制三级流程加强了事前流程和相关环节的设置,规范业务前期的控制环节。
二、流程文档本手册中,人力资源管理风险控制流程文档遵循统一、简洁、灵活的三个原则。
统一3是指现有的基本管理框架、管理模式、工作流程、文档名称尽量统一固化;简洁和灵活是指精简人力资源管理工作实际操作过程,确保人力资源管理工作实施的灵活性。
内控手册之员工调配流程控制矩阵
修订完善调配制度,明确员工调配 人力资源部/ 工作的发起人、提议人。 招聘经理
人力资源部、 人力资源部协调相关部门及相关领 其他相关部门 员工调配审 调配管理制 人工 导,对拟调配员工的岗位、职务进 /人力资源部 每次 批表 度 控制 行审核,并提出建议。 负责人、招聘 经理 人力资源部、 人力资源部积极协调调入、调出单 调配涉及单位 员工调配审 调配管理制 人工 位,确保相关单位支持员工调配工 /人力资源部 每次 批表 度 控制 作。 负责人、招聘 经理 人力资源部、 员工调配审 调配管理制 人工 严格按照制度规定履行审批手续。 调配涉及单位 每次 批表 度 控制 /招聘经理 人力资源部、 由调入单位领导、人力资源部相关 调配涉及单位 员工调配审 调配管理制 人工 人员同待调配人员谈话,向调动员 /人力资源部 每次 批表、与员 度 控制 工说明情况,了解员工想法。 负责人、招聘 工谈话记录 经理 调配通知书 人力资源部尽快发放调配通知书、 人力资源部、 、报到通知 调配管理制 人工 报到通知书,拟订任免通知,并办 调配涉及单位 每次 书、任免通 度 控制 理工资、社保的转移。 /招聘经理 知等
员工调配流程控制矩阵
风险编号 控制目标 风险描述 控制措施 控制配审 调配管理制 人工 批表 度 控制
明确员工调 人员调配的提议人不明确,导致调 R-RL0201 配工作的提 配工作开展不畅。 议人 确保调动员 工的岗位、 拟调配人员的岗位、职务过高或过 R-RL0202 职务符合实 低,与调入单位的团队不匹配。 际需求,并 与团队匹配 确保相关单 位支持、配 与调入、调出单位未作协调,相关 R-RL0203 合员工调 单位无法安排工作或导致调配工作 动,对工作 不顺畅。 不造成重大 影响 未按规定办理调配审批,核心员工 调配审批手 R-RL0204 未办理集团备案手续,导致调配审 续完善 批程序出现严重失误。 确保调动员 未与调配人员谈话,调动人员对情 工尽快适应 R-RL0205 况不了解,导致调动员工不能适应 新岗位,融 新岗位,融入新团队。 入新团队 确保调配后 调配手续办理出现漏洞或迟缓,影 续手续及时 R-RL0206 响调配员工和双方单位的工作开展 、准确,规 。 避风险
内控矩阵、流程图、内控手册-内部控制“三大利器”
发、跟踪与更新进行规范。
应对制度进行何种处理;并对制度
的落实和转化情况进行跟踪;
4.制度能够适时地得到更新,更新
内容可供单独查询,制度更新以标
准版本号标识;
5.制度得到妥善的归档与保管。
复核内控自评问卷
填写完内控自评问卷后,要进行自我复核,关注下列几方面要点:
1、是否参照同类型公司的自评问卷填写的?
自评问卷各个栏目如何填写?
情形四:答案
控制 目标 编号
TLHL -PUCO1101
控制目标
控制制,审核程 PU-CA序 企业应当加强采 1101 购付款的管理,完 善付款流程,明确 付款审核人的责任 和权力,严格审核 采购预算、合同、 相关单据凭证、审 批程序等相关内容, 审核无误后按照合 同规定及时办理付 款。
怎样填写内控自评问卷
如果评估时发现控制设计 存在缺陷或问题,请回答 “否”,并需要在“附注 [5]”列中对控制设计存在 的问题进行具体描述。
自评人根据自己对相关控制活动的检查 填写“是”或“否”,填写时自评人需 要确保所有相关交易都已严格执行相关 控制活动并如实填写。当“控制设计是 否有效”栏为“否”时,请在“控制执 行是否有效”栏填写“不适用”。当 “控制执行是否有效”栏为“否”时, 请在“附注[5]”列中对控制执行存在的 问题进行具体描述。
2、对照内部控制配套指引,是否存在本单位有该项业务,而自评问卷中没有 体现该项业务及相应的控制目标、关键控制活动,如有,要在问卷中进行补 充,并标注。
3、对于自评问卷中已经体现了该项业务及相应的控制目标,是否存在该项业 务的关键控制活动未能全部涵盖,若未能涵盖的,在问卷中找到对应的控制 目标,进行补充描述,并标注。
02 PART TWO
内控矩阵、流程图、内控手册-内部控制“三大利器”
内控自评问卷模板
怎样填写内控自评问卷
该部分内容与前期各试点单位内控矩阵相一致,包括控制目标、控制活动及责任部门。供自评单位问卷填写人员参照。 该部分内容无需自评问卷填写人员填写。
怎样填写内控自评问卷
若自评单位的实际流程和控制责任部门与左栏“关键控制活动描述”和“控制责任部门”相同,则请填写“是”。不一致则填写否。
建议
整改责任部门
整改完成时间
GF-IA-01
内部环境
制度管理机制不全面
在访谈和穿行测试中我们发现,部分制度下发后,没有明确的跟进要求和追踪管理,未被转化为子公司自身的制度;部分制度制定年份较早,已不能适应企业当前的发展需要。进一步了解后我们发现,公司尚未制定系统的制度管理办法,未能就各项管理制度的制定、下发、跟踪与更新进行规范。
建立制度管理办法,明确在制度管理中各相关部室的权责与分工、制度的编制与发布、制度的下发与跟踪、制度的更新与记录、制度的归档与保存等管理要求,确保: 1.制度管理的权责分工明晰; 2.制度的编制经过适当的审核与法定的表决程序; 3.制度下发过程中确保接收方了解应对制度进行何种处理;并对制度的落实和转化情况进行跟踪; 4.制度能够适时地得到更新,更新内容可供单独查询,制度更新以标准版本号标识; 5.制度得到妥善的归档与保管。
控制目标ቤተ መጻሕፍቲ ባይዱ号
控制目标
控制活动编号
关键控制活动描述
控制责任部门
本公司控制活动与控制责任部门是否相同 (是/否) [1]
本公司控制活动描述 [2]
TLHL-PU-CO-1101
加强和完善付款流程和控制,审核程序 企业应当加强采购付款的管理,完善付款流程,明确付款审核人的责任和权力,严格审核采购预算、合同、相关单据凭证、审批程序等相关内容,审核无误后按照合同规定及时办理付款。
怎样填写内控自评问卷
该部分内容与前期各试点单位内控矩阵相一致,包括控制目标、控制活动及责任部门。供自评单位问卷填写人员参照。 该部分内容无需自评问卷填写人员填写。
怎样填写内控自评问卷
若自评单位的实际流程和控制责任部门与左栏“关键控制活动描述”和“控制责任部门”相同,则请填写“是”。不一致则填写否。
建议
整改责任部门
整改完成时间
GF-IA-01
内部环境
制度管理机制不全面
在访谈和穿行测试中我们发现,部分制度下发后,没有明确的跟进要求和追踪管理,未被转化为子公司自身的制度;部分制度制定年份较早,已不能适应企业当前的发展需要。进一步了解后我们发现,公司尚未制定系统的制度管理办法,未能就各项管理制度的制定、下发、跟踪与更新进行规范。
建立制度管理办法,明确在制度管理中各相关部室的权责与分工、制度的编制与发布、制度的下发与跟踪、制度的更新与记录、制度的归档与保存等管理要求,确保: 1.制度管理的权责分工明晰; 2.制度的编制经过适当的审核与法定的表决程序; 3.制度下发过程中确保接收方了解应对制度进行何种处理;并对制度的落实和转化情况进行跟踪; 4.制度能够适时地得到更新,更新内容可供单独查询,制度更新以标准版本号标识; 5.制度得到妥善的归档与保管。
控制目标ቤተ መጻሕፍቲ ባይዱ号
控制目标
控制活动编号
关键控制活动描述
控制责任部门
本公司控制活动与控制责任部门是否相同 (是/否) [1]
本公司控制活动描述 [2]
TLHL-PU-CO-1101
加强和完善付款流程和控制,审核程序 企业应当加强采购付款的管理,完善付款流程,明确付款审核人的责任和权力,严格审核采购预算、合同、相关单据凭证、审批程序等相关内容,审核无误后按照合同规定及时办理付款。
内控手册人力资源管理流程finalDOC
内部控制手册ZJAT-HR人力资源与薪酬管理流程分册修订控制目录人力资源与薪酬管理流程 (ZJAT-HR) (5)1.流程综述 (5)2.不相容职责表 (6)3.ZJAT-HR-01 人事/薪酬战略规划与制定 (7)01. 流程图 (7)02. 控制矩阵 (8)4.ZJAT-HR-02 人员招聘和离职及薪酬主文档管理 (10)01.流程图 (10)02.控制矩阵 (12)5.ZJAT-HR-03 薪酬计算和发放 (15)01.流程图 (15)02.控制矩阵 (18)6.ZJAT-HR-04 绩效考核和培训管理 (21)01.控制矩阵 (21)人力资源与薪酬管理流程 (ZJAT-HR)1.流程综述ZJAT-HR-01 人事/薪酬战略规划与制定:本部分包括人力资源战略目标的建立、年度薪酬预算与招聘计划的制定及审批流程、岗位分工及职责权限体系的建立、人力资源政策及沟通渠道管理。
ZJAT-HR-02 人员招聘和离职及薪酬主文档管理:本部分主要包括人员招聘的类别、审批权限、操作流程;人员离职的审批及业务办理流程;薪酬主文档的维护、管理流程。
ZJAT-HR-03 薪酬计算和发放:本部分包括员工薪资、奖金、五险一金的计算、发放及会计记录管理流程。
ZJAT-HR-04 绩效考核和培训管理:本部分包括绩效考核和人员培训的管理流程。
2.不相容职责表附注:A:薪资福利支付申请B:薪资福利支付申请的批准C:薪资福利的计算D:薪资福利计算的复核E:制定员工薪酬方案F:批准员工薪酬方案G:员工主档案的维护H:制定绩效考核方案I:批准绩效考核方案J: 制定培训计划K: 批准培训计划3.ZJAT-HR-01 人事/薪酬战略规划与制定01. 流程图02. 控制矩阵4.ZJAT-HR-02 人员招聘和离职及薪酬主文档管理01.流程图02.控制矩阵5.ZJAT-HR-03 薪酬计算和发放01.流程图02.控制矩阵6.ZJAT-HR-04 绩效考核和培训管理01.控制矩阵。
信息资源管理业务内部控制矩阵
总部各部门
分(子)公司
经营风险:系统上线前未经严格测试,系统功能存在问题,导致应用系统不能正常运行。
应用系统上线前,必须由信息管理部门组织测试系统功能,形成测试报告,并经最终用户部门负责人签字确认。
总部各部门
分(子)公司
3
系统功能测试报告
系统初始化管理
合规风险:应用系统数据的收集、整理不规范,未经审核确认,导致系统存在大量垃圾数据或数据失真。
经营风险:备份策略和备份方案不完善,应用系统程序备份不及时,导致系统无法恢复。
4.2.2系统管理员适时对系统进行备份,同时检查备份系统的可读性,确认备份是否成功。
总部各部门
分(子)公司
3
系统备份记录
经营风险:数据库、应用系统日志备份不及时,导致系统问题无法追溯或系统无法恢复。
4.2.3系统管理员、应用管理员至少每月对数据库、应用系统的日志进行备份。
2.6.4
2.14.20
经营风险:系统变更管理不规范,导致应用系统运行和维护的无法正常进行。
总部统一建设的应用系统,系统变更必须填写系统变更审批表上报信息系统管理部和总部相关部门,由总部统一组织升级、测试和变更,各分(子)公司不得自行变更。各分(子)公司自建系统或客户化开发的变更,必须经过分(子)公司信息管理部门和相关部门负责人审批。
总部各部门、分(子)公司依据《中国石油化工股份有限公司管理信息系统应用管理办法(试行)》(以下简称《信息系统应用管理办法》),及相关应用系统管理办法实施程序和数据访问管理,包括用户权限管理、用户帐号及访问管理、密码管理、系统管理员、应用管理员、安全管理员(主要职责是承担对系统管理员、应用管理员的监管,负责审查系统管理员、应用管理员在系统中的操作)管理、第三方人员管理等。
分(子)公司
经营风险:系统上线前未经严格测试,系统功能存在问题,导致应用系统不能正常运行。
应用系统上线前,必须由信息管理部门组织测试系统功能,形成测试报告,并经最终用户部门负责人签字确认。
总部各部门
分(子)公司
3
系统功能测试报告
系统初始化管理
合规风险:应用系统数据的收集、整理不规范,未经审核确认,导致系统存在大量垃圾数据或数据失真。
经营风险:备份策略和备份方案不完善,应用系统程序备份不及时,导致系统无法恢复。
4.2.2系统管理员适时对系统进行备份,同时检查备份系统的可读性,确认备份是否成功。
总部各部门
分(子)公司
3
系统备份记录
经营风险:数据库、应用系统日志备份不及时,导致系统问题无法追溯或系统无法恢复。
4.2.3系统管理员、应用管理员至少每月对数据库、应用系统的日志进行备份。
2.6.4
2.14.20
经营风险:系统变更管理不规范,导致应用系统运行和维护的无法正常进行。
总部统一建设的应用系统,系统变更必须填写系统变更审批表上报信息系统管理部和总部相关部门,由总部统一组织升级、测试和变更,各分(子)公司不得自行变更。各分(子)公司自建系统或客户化开发的变更,必须经过分(子)公司信息管理部门和相关部门负责人审批。
总部各部门、分(子)公司依据《中国石油化工股份有限公司管理信息系统应用管理办法(试行)》(以下简称《信息系统应用管理办法》),及相关应用系统管理办法实施程序和数据访问管理,包括用户权限管理、用户帐号及访问管理、密码管理、系统管理员、应用管理员、安全管理员(主要职责是承担对系统管理员、应用管理员的监管,负责审查系统管理员、应用管理员在系统中的操作)管理、第三方人员管理等。
内控手册之职务聘任流程控制矩阵
人力资源 劳动合同 部、风险 每次 、特聘协 控制部/招 议 聘经理
聘任制度、劳 动合同管理制 度
职务聘任流程控制矩阵
控制 方法 人工 控制
人工 控制
人工 控制
人工 控制
人力资源 高层/中层 部/招聘经 每次 管理人员 聘任制度 聘任审批 理
表
未合法合规开展降职、免职、特 聘工作,存在法律风险。
应与特聘人员签订特聘协议,约 定相关事项;完善绩效考核程 序,提供充分的降职、免职证 据,使公司在可能发生的劳动争 议的解决中,处于相对优势的地 位;充分关注相关人员的心理感 受,作好沟通、协商工作,尽量 避免发生劳动纠纷。
未按规定公布任免通知,导致职 务聘任程序出现漏洞或失误。
控制部门/ 执行岗位 董事会监 事会办公 室、人力 资源部/招 聘经理 董事会监 事会办公 室、人力 资源部管 每次 人员聘任 审批表
对应制度
公司章程、聘 任制度
关于聘任 公司高管 每次 人员的通 知
公司章程、聘 任制度
职务聘任流程控制矩阵
风险编号 控制目标
集团高管 人员的聘 R-RL0301 任,符合 公司章程 规定 按规定公 R-RL0302 布任免通 知
风险描述
集团高层管理人员未由集团董事 会聘任,导致职务聘任审批程序 出现严重失误。
控制措施
人力资源部配合董事会监事会办 公室组织高管人员的聘任工作, 提供相关的服务支持。 人力资源部配合董事会监事会办 公室拟订高管人员的任免通知, 高层管理人员的任免,应以董事 会文件公布,不应以公司文件公 布。
加强对所 属公司中 高层管理 R-RL0303 人员职务 聘任的管 控 合法合规 开展人力 R-RL0304 资源工 作,规避 法律风险
(内部管理)信息系统管理业务内部控制矩阵
1.1
1.2
2.1
经营风险:系统安装调试不当,用户培训缺失,导致系统运行受损。
合规风险:安装的软件侵犯知识产权,导致诉讼及股份公司声誉受到损害。
6.3信息管理部门负责对项目实施单位承担的软硬件系统安装调试、用户培训进行检查,审核和确认测试报告,并检查相应软件的合法性,提供经双方签字的检查记录。
信息系统管理部
(内部管理)信息系统管理业务内部控制矩阵
1.1
2.2
经营风险:年度信息化项目建议计划不符合股份公司经营战略目标,导致盲目建设、投资低效。
2.1信息系统管理部根据股份公司信息化建设中长期规划和职能部门、事业部、分(子)公司申报的项目建议计划,结合年度实际,编制年度信息化项目建议计划,由信息系统管理部主任审核,按规定权限审批后,分别纳入股份公司年度投资计划、科技开发项目计划管理。各分(子)公司信息管理部门负责编制年度信息化项目建议计划预案,按规定权限审批后,分别纳入本单位年度投资建议计划、科技开发项目建议计划,上报信息系统管理部和总部相关部门审核。
各分(子)公司一般措施及零星购置的信息技术项目在总部每年核定的限额以内,由各分(子)公司根据当期生产经营管理的需要,按规定权限审批后报各主管事业部、信息系统管理部和发展计划部审核备案,并纳入股份公司年度投资计划管理。
通过可研评审的科技开发项目,由信息系统管理部报科技开发部立项,批准立项的项目,由科技开发部列入年度项目计划。
信息系统管理部
分(子)公司
经办
审批
3
项目实施报建工程
货币资金
应付账款
1.1
1.2
经营风险:集成测试不完整,造成系统评估不准确。
6.6信息管理部门组织对系统进行集成测试,形成集成测试评价意见;并根据集成测试评价意见责成项目实施单位进行修改完善。
1.2
2.1
经营风险:系统安装调试不当,用户培训缺失,导致系统运行受损。
合规风险:安装的软件侵犯知识产权,导致诉讼及股份公司声誉受到损害。
6.3信息管理部门负责对项目实施单位承担的软硬件系统安装调试、用户培训进行检查,审核和确认测试报告,并检查相应软件的合法性,提供经双方签字的检查记录。
信息系统管理部
(内部管理)信息系统管理业务内部控制矩阵
1.1
2.2
经营风险:年度信息化项目建议计划不符合股份公司经营战略目标,导致盲目建设、投资低效。
2.1信息系统管理部根据股份公司信息化建设中长期规划和职能部门、事业部、分(子)公司申报的项目建议计划,结合年度实际,编制年度信息化项目建议计划,由信息系统管理部主任审核,按规定权限审批后,分别纳入股份公司年度投资计划、科技开发项目计划管理。各分(子)公司信息管理部门负责编制年度信息化项目建议计划预案,按规定权限审批后,分别纳入本单位年度投资建议计划、科技开发项目建议计划,上报信息系统管理部和总部相关部门审核。
各分(子)公司一般措施及零星购置的信息技术项目在总部每年核定的限额以内,由各分(子)公司根据当期生产经营管理的需要,按规定权限审批后报各主管事业部、信息系统管理部和发展计划部审核备案,并纳入股份公司年度投资计划管理。
通过可研评审的科技开发项目,由信息系统管理部报科技开发部立项,批准立项的项目,由科技开发部列入年度项目计划。
信息系统管理部
分(子)公司
经办
审批
3
项目实施报建工程
货币资金
应付账款
1.1
1.2
经营风险:集成测试不完整,造成系统评估不准确。
6.6信息管理部门组织对系统进行集成测试,形成集成测试评价意见;并根据集成测试评价意见责成项目实施单位进行修改完善。
内部控制手册第 部分 内控矩阵 C —— 信息资源管理业务内部控制矩阵
分(子)公司
10
1.10.1
6.信息授权
1.1
1.2
经营风险:部门信息授权不当,导致信息泄密或贻误工作。
6.1信息管理部门依据股份公司有关信息资源管理的规定,按照各部门管理职责及部门间共享信息需求目录,通过信息平台对各部门实施信息授权。
信息系统管理部
分(子)公司
信息管理部门
相关部门
5
1.10.4
1.1
信息系统管理部
分(子)公司
6
信息平台使用和运维季度报告
1.10.1
8.信息质量反馈
1.1
1.3
经营风险:信息使用问题未及时反馈提交,导致信息共享信息质量欠佳。
8.1信息使用部门针对信息的准确性、时效性、完整性和一致性提出意见,由信息管理部门及时汇总后分别送达相关信息提供部门,协助和督促信息提供部门不断提高共享信息的质量。
外购信息需求目录
1.10.1
3.落实部门间共享信息源和外购信息源
1.1
1.2
经营风险:部门间共享信息源不落实,导致信息提供落空。
3.1信息管理部门协助信息需求部门落实部门间共享信息源,信息提供部门负责按审核后的部门间共享信息需求目录提供共享信息。
信息系统管理部
分(子)公司
7
1.10.1
1.1
1.2
经营风险:外购信息源不落实,导致信息提供落空。
1.2各部门依据业务职责梳理各种外部信息需求,包括需要其他部门提供的信息和需外购的信息,形成相应的部门信息需求目录,并明确信息内容、信息提供频率和信息提供方式等。部门信息需求目录由部门负责人签字确认。
总部各部门
分(子)公司
7
部门信息需求目录
1.10.1
10
1.10.1
6.信息授权
1.1
1.2
经营风险:部门信息授权不当,导致信息泄密或贻误工作。
6.1信息管理部门依据股份公司有关信息资源管理的规定,按照各部门管理职责及部门间共享信息需求目录,通过信息平台对各部门实施信息授权。
信息系统管理部
分(子)公司
信息管理部门
相关部门
5
1.10.4
1.1
信息系统管理部
分(子)公司
6
信息平台使用和运维季度报告
1.10.1
8.信息质量反馈
1.1
1.3
经营风险:信息使用问题未及时反馈提交,导致信息共享信息质量欠佳。
8.1信息使用部门针对信息的准确性、时效性、完整性和一致性提出意见,由信息管理部门及时汇总后分别送达相关信息提供部门,协助和督促信息提供部门不断提高共享信息的质量。
外购信息需求目录
1.10.1
3.落实部门间共享信息源和外购信息源
1.1
1.2
经营风险:部门间共享信息源不落实,导致信息提供落空。
3.1信息管理部门协助信息需求部门落实部门间共享信息源,信息提供部门负责按审核后的部门间共享信息需求目录提供共享信息。
信息系统管理部
分(子)公司
7
1.10.1
1.1
1.2
经营风险:外购信息源不落实,导致信息提供落空。
1.2各部门依据业务职责梳理各种外部信息需求,包括需要其他部门提供的信息和需外购的信息,形成相应的部门信息需求目录,并明确信息内容、信息提供频率和信息提供方式等。部门信息需求目录由部门负责人签字确认。
总部各部门
分(子)公司
7
部门信息需求目录
1.10.1
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
控制部门/ 控制 控制 检查资料 对应制度 执行岗位 频次 方法
人力资源 部、其他 每次 相关部门/ 薪酬经理
人事信息系统的设计不够完善, 综合分析信息的功能有限,不能 充分满足公司生产经营管理和战 略决策的需要。
员工业绩 档案管理 制度
人工 控制
人事信息系统的设计不够完善, 综合分析信息的功能有限,不能 充分满足公司生产经营管理和战 略决策的需要。
人力资源 部、其他 每次 相关部门/ 薪酬经理 应聘人员 登记表、 聘任、薪 人力资源 部/薪酬经 每次 资调整、 合同续签 理 变更、考 核等相关 表格等 人力资源 部、其他 每次 相关部门/ 薪酬经理
员工业绩 档案管理 制度
人工 控制
未能对员工信息及时进行更新, 造成员工信息缺失,影响信息系 统数据的完整性、有变更于得到集团回复意见 日更新系统。
员工业绩 档案管理 制度
人工 控制
员工信息因管理不当造成泄密。
严格贯彻保密管理制度;明确信 息管理员制度;合理适当授权; 建立授权外信息获取审批制度。
员工业绩 档案管理 制度
人工 控制
人事信息管理流程控制矩阵
风险编号 控制目标
保证信息 系统满足 公司生产 R-RL0701 经营管理 和战略决 策的需要 保证信息 系统满足 公司生产 R-RL0702 经营管理 和战略决 策的需要 确保人事 信息及时 、准确反 R-RL0703 映员工信 息的变更 情况 员工信息 R-RL0704 保密管理 到位
风险描述
控制措施
对人事信息管理需求进行充分搜 集和调研,严格按照需求制定人 事信息管理制度,不断完善人事 信息系统的各项功能,充分发挥 信息系统对效率提升和管理升级 的作用。 对人事信息管理需求进行充分搜 集和调研,严格按照需求制定人 事信息管理制度,不断完善人事 信息系统的各项功能,充分发挥 信息系统对效率提升和管理升级 的作用。 员工入职当日完成HR系统的信息 录入;个人信息变更于提供相