集团公司内部控制手册-控制活动分册.doc

PAGE4

集团公司内控与风险管理手册

控制活动分册

目录

TOC\o1-2\h\z\u1概述 1

1.1概念 1

1.2控制活动的种类 1

2控制活动的实施 4

2.1控制要点 4

2.2措施 5

2.3公司层面的控制活动 5

2.4业务活动层面的控制活动 6

3控制活动有效性评价 9

4流程体系文件建模规范 10

4.1流程图 10

4.2流程描述 11

4.3风险控制矩阵 12

4.4风险数据库 14

4.5控制文档 15

4.6发现与建议 16

5流程清单 17

6权限指引表 27

PAGE42

PAGE43

天水集团有限公司内控与风险管理手册

1概述

1.1概念

控制活动是指公司根据风险评估结果，采取相应的控制措施，将风险控制在可承受范围之内。

控制活动是确保管理层关于公司经营管理指令得以贯彻执行的政策和程序，它存在于整个公司所有级别的分支机构、职能部门，通常包括不相容职务分离、授权审批、会计系统、财产保护、预算、运营分析、绩效考评控制等。公司应当根据内部控制目标，将控制措施与风险应对策略相结合，对各种业务和事项实施有效控制。此外，公司应当建立重大风险预警机制和突发事件应急处理机制，明确风险预警标准，对可能发生的重大风险或突发事件，制定应急预案、明确责任人员、规范处置程序，确保突发事件得到及时妥善处理。

1.2控制活动的种类

控制活动按照不同的分类标准可以划分为不同的类型。

1.2.1按控制活动的目标分类

按控制活动的目标可以分为以下几类：

战略目标控制活动：指能够满足战略目标实现的控制活动。

经营目标控制活动：指能够满足经营活动效率与效果目标的控制活动。

报告目标控制活动：指能够满足报告目标的控制活动。

合规性目标控制活动：指能够满足合规性目标的控制活动。

资产安全目标控制活动：指能够满足资产安全目标的控制活动。

1.2.2按控制活动的内容分类

按控制活动的内容划分，控制活动可分为公司层面控制和业务活动层面控制。

1.2.2.1公司层面控制

公司层面控制是指那些对于公司的整个内部控制体系具有广泛影响的控制，如道德准则的建立与传达、人力资源管理及控制、自我评估等。管理层确保在公司内部各个领域获得适当、有效控制的重要机制。

1.2.2.2业务活动层面控制

业务活动层面控制是指直接作用于公司生产经营业务活动的具体控制，亦称业务控制，如业务处理程序中的批准与授权、审核与复核，以及为保证资产安全而采用的限制接近等控制。

1.2.3按控制活动的作用分类

按控制活动的作用划分，控制活动可分为预防性控制和发现性控制。

1.2.3.1预防性控制

预防性控制是指为防止错误和非法行为的发生，或尽量减少其发生机会所进行的一种控制。

1.2.3.2发现性控制

发现性控制是指为及时查明已发生的错误和非法行为，或增强发现错误和非法行为机会的能力所进行的各项控制。

1.2.4按控制活动的手段分类

按控制活动的手段划分，控制活动可分为人工控制（手工控制）和自动控制。

1.2.4.1人工控制（手工控制）

人工控制（手工控制）是以人工方式执行的控制。

1.2.4.2自动控制

自动控制是由计算机等系统自动执行的控制。

2控制活动的实施

2.1控制要点

针对公司的每一项业务活动都有必要且恰当的政策和程序。

天水集团有限公司针对主要经营管理活动，建立相关的政策和程序，对业务流程的范围、目标、风险、具体步骤、主要控制点、汇报途径以及处理原则等进行全面描述，并及时根据经营管理活动的变化进行调整。

集团公司规章制度的归口管理部门为战略规划部。各部门根据业务工作需要提出规章制度的制定计划，由部门负责人签署意见后送战略规划部。规章制度起草部门汇总各相关部门意见后，形成制度草案，提交战略规划部、法律事务部及公司分管领导审核；具体经营管理制度的发布，由公司管理层进行审批，基本经营管理制度的发布，由公司决策层进行审批，确保规章制度符合公司的整体利益。

已存在的控制行为得到有效执行和实施，包括：

公司政策程序所规定的流程和控制活动是否已实施，是否正确地按照设计意图执行；

出现特殊事项或发生需要跟踪的情况时，是否采取了及时而恰当的措施；

是否设立了监督岗位并履行审核流程和控制活动的职能。

员工根据对其职责和业务流程的理解执行有关内部控制措施，管理层对内部控制措施的执行进行适当监控并对偏离原有控制的行为进行调查和跟进。

天水集团有限公司建立对内部控制活动进行自我评价的机制，由各个部门流程责任岗位定期对内部控制的有效性进行评价，作为对内部控制有效性进行持续监控的重要步骤和对内部审计个别