全面业务流程梳理情况介绍课件

1、内部控制处全面业务流程梳理情况介绍10/4/20221编辑ppt内部控制处全面业务流程梳理情况介绍10/2/20221编辑p3.1 流程梳理前提条件3.2 流程梳理的主要内容3.3 主要工作成果3.4 常用文档3.5 具体程序方法 3. 程序和方法10/4/20222编辑ppt3.1 流程梳理前提条件3. 程序和方法10/2/20222 本单位组织机构图 本单位基本业务流程目录 本单位重要业务流程目录 本单位适用风险确定流程梳理的范围确定流程梳理的范围确定具体执行部门和岗位确定控制目标 3.1 流程梳理的前提条件10/4/20223编辑ppt 本单位组织机构图确定流程梳理的范围确定流程梳理的范

2、围确定3.2 流程梳理的主要内容 1.建立流程管理责任机制。根据部门管理职责，明确流程负责部门与岗位，建立业务流程管理责任机制。 2.梳理业务流程与管理制度。梳理业务流程，描述流程基本步骤、风险和控制措施，理清规章制度。 3.流程建模与系统分析。应用业务流程管理信息系统，建立业务流程管理模型，进行流程要素的系统分析，完善主要业务流程。 4.规范业务流程管理文件。结合公司的实际情况，按照统一规范，编写流程管理文件，修订完善规章制度，按公司规定审议批准后发布执行。10/4/20224编辑ppt3.2 流程梳理的主要内容 1.建立流程管理责任1.建立流程管理责任机制2.1 梳理规章制度2.2绘制业务

3、流程图2.3编制风险控制文档2.4 梳理相应的实施证据2.梳理业务流程与管理制度3.流程建模与系统分析形成的成果：1.流程图2.风险控制文档（RCD）3.证据表单4.控制活动涉及的制度索引 3.2 流程梳理的主要内容4.规范流程管理文件 10/4/20225编辑ppt1.建立流程管理责任机制2.1 梳理规章制度2.2绘制业务组织结构图、业务工作网络图业务流程目录风险数据库风险控制管理文件 包括业务流程图、风险控制文档（细分为RCD文档、BRCD文档、法律风险防控文档）、证据表单员工岗位职责描述、权限指引、控制活动涉及的制度索引 3.3 主要工作成果10/4/20226编辑ppt组织结构图、业务

4、工作网络图 3.3 主要工作成果10/2 3.4.1 流程图 流程图，是业务流程的直观、概括的体现。中国石油系统内部对于业务流程的描述和管理主要采取图示法，使用的软件是ARIS操作系统。是在ARIS业务流程管理信息系统中按照业务流程架构目录所描述的具体业务流程的模型，是内控体系的基本管理文件。业务流程图最大的特点是可以看到流程中的风险、控制。在流程绘制的初始阶段，使用Visio软件进行流程草图的绘制。 3.4 常用文档10/4/20227编辑ppt 3.4.1 流程图3.4 常用文档10/2/20227编辑 3.4.2 风险数据库 风险数据库是进行风险记录的工具。常见的风险数据库有：公司层面风

5、险数据库和业务层面风险数据库。 业务层面风险数据库又包括： 1）财务风险:财务报告失真风险、资产安全受到威胁风险、营私舞弊风险）； 2）非财务风险：经营决策风险、违反法律法规风险。3.4 常用文档10/4/20228编辑ppt 3.4.2 风险数据库3.4 常用文档10/2/2 3.4.3 风险控制文档(简称RCD) 风险控制文档是基于公司基本业务流程目录中识别出风险的的末级子流程，以表格形式完整体现风险类别、风险描述、控制目标的类型、控制目标具体描述、现有控制措施、系统相关控制措施、应用系统控制所属模块、控制方式、控制方法、控制类型、控制频率、控制实施证据、控制文件的文号及名称等内容的文档。

6、每个文档涵盖公司业务活动层面风险数据库中该子流程对应的所有风险。3.4 常用文档10/4/20229编辑ppt 3.4.3 风险控制文档(简称RCD)3.4 常用文档 3.4.4 证据表单 证据指执行者执行流程步骤后所产生或涉及的最能够证明该项任务发生过的业务表单。在进行流程梳理过程中要同步进行控制证据的梳理，及时发现控制证据缺失或不完整的情况，同一张表单要求名称必须一致。特别要关注股份公司统一实施证据表单的使用。 3.4 常用文档10/4/202210编辑ppt 3.4.4 证据表单3.4 常用文档10/2/2022 3.4.5 法律风险防控文档 针对法律风险防控管理要求，将法律风险，法律防

7、控措施落实到业务流程中，实现法律风险防控的程序化。 法律风险防控文档统一模板：3.4 内控常用文档10/4/202211编辑ppt 3.4.5 法律风险防控文档3.4 内控常用文档10 3.5 具体程序方法 1. 范围界定 2. 现状描述 3. 风险分析和控制设计 4. 流程分析 5. 流程审定 6. 流程发布10/4/202212编辑ppt 3.5 具体程序方法 1. 范围界定 现状描述风险分析控制设计流程分析范围界定流程审定流程发布梳理职责与业务对接架构与确定范围收集职责文件与管理制度资料单位业务分类职责与业务对比分析业务与架构目录对比分析确认流程梳理范围基本资料库XX部门职责清单XX部门

8、制度索引XX单位工作网络图 基本业务流程目录初稿XX单位机构岗位设置情况XX部门职责对照修订建议3.5 具体程序方法演示3.5.1.范围界定收集职责文件与管理制度资料XX单位组织结构图10/4/202213编辑ppt现状描述风险分析控制设计流程分析范围界定流程审定流程发布梳理3.5.1 范围界定 1.具体工作步骤 第一步:梳理职责各单位收集相关职责文件与管理制度资料,梳理完善本单位管理职责，建立分工合理、职责明确、报告关系清晰的组织结构，编制完成本单位组织结构图。明确流程管理责任单位，流程负责人（单位负责人或主管业务的领导）、流程管理岗位及控制执行岗位。为保证同一部门、岗位名称在不同流程中使用

9、的一致性，各相关单位需根据人事劳资部门批复的文件，编制本单位*单位组织机构描述表。10/4/202214编辑ppt3.5.1 范围界定 1.具体工作步骤10/2/2022 组织机构描述表编制说明 组织单元：组织单元需两级组织来组成。例如：财务处、财务处成本核算科。 岗位命名：岗位命名也需要两级来组成。例如：公司总经理、机动设备处处长、资产管理科资产管理岗。 注：公司副经理、财务处副处长等不能以岗位形式出现（需明确是主管*的副经理或副处长）3.5.1 范围界定辽阳石化组织机构描述表编制单位：辽阳石化公司一级组织二级组织三级组织组织单元岗位组织单元岗位组织单元岗位辽阳石化公司总经理主管*业务副经理

10、财务处处长主管*业务副处长资产科科长资产核算岗10/4/202215编辑ppt 组织机构描述表编制说明3.5.1 范围界定辽阳石化组织机构3.5.1 范围界定 第二步: 梳理业务，确定业务流程梳理范围公司流程梳理工作组负责编制公司业务流程管理职责对照表，明确流程梳理工作分工；根据本单位管理职责，梳理本单位业务，进行职责与业务对比分析，提出部门职责对照修订建议（如果有差异）；各单位在股份公司的流程目录的基础上（未上市业务参照集团公司流程目录），通过业务与架构目录对比分析，确定本单位的流程梳理范围，编制完成本单位基本业务流程目录，明确流程负责具体部门与岗位。公司流程梳理工作组根据各单位反馈意见，修

11、改完善公司基本流程目录和重要业务流程目录初稿。10/4/202216编辑ppt3.5.1 范围界定 第二步: 梳理业务，确定业务流程梳2.基本业务流程目录的确认标准总部通用目录中的一至三级流程目录名称、定义、编号原 则上不允许修改，特殊情况需报股份公司批准公司全部流程目录原则上不得超过五级流程名称与流程中实际描述的业务活动相吻合流程编号可根据其上级流程编号进行顺序编号，并且有一个唯一的流程编号（不允许2个或2个以上的流程使用同一个流程编号）只能在末级流程目录下描述流程图末级流程一般挂接在三级流程、四级流程或五级流程，特殊情况可挂接二级流程3.5.1 范围界定10/4/202217编辑ppt2.

12、基本业务流程目录的确认标准3.5.1 范围界定10/2/3.5.1 范围界定 3.基本业务流程目录编制要求在公司整体框架上，各所属单位的业务活动应与公司整体业务活动统筹考虑，业务性质相似，管理活动相近的所属单位可以在总体流程目录下分子流程描述，无须作为单独单位建立流程目录。我公司各生产厂多数经营业务的控制程序相同，如存货盘点流程，由公司统一流程描述，不需分别各生产厂建立流程目录描述。10/4/202218编辑ppt3.5.1 范围界定 3.基本业务流程目录编制要求10/3.5.1 范围界定 3.基本业务流程目录编制要求业务流程的规划是以公司生产经营管理的各项活动作为考虑，不是按照部门和职能来划

13、分的。因此在建立流程目录时，要打破部门主义，从业务角度出发，规划流程，建立目录。存在多个板块业务时，流程的确定应该以主要板块为主进行描述，其他板块个性业务采用相应板块的业务流程目录并保持公司内控原有编号。如：我公司炼油和化工很多业务的控制程序相同，则应合并流程、统一描述；如果二者实际控制程序不同，则应分别建立末级流程描述。10/4/202219编辑ppt3.5.1 范围界定 3.基本业务流程目录编制要求10/现状描述风险分析控制设计流程分析范围界定流程审定流程发布详细描述流程确定流程责任人与起止点描述流程基本步骤与逻辑走向详细绘制业务流程图修订完善业务流程清单业务流程图（VISIO）基本业务流

14、程目录初稿业务流程图（ARIS）3.5 具体程序方法演示3.5.2 现状描述确定业务活动执行部门和岗位证据表单梳理控制证据10/4/202220编辑ppt现状描述风险分析控制设计流程分析范围界定流程审定流程发布详细 1.具体工作步骤 第一步:针对要描述的业务流程，熟悉流程对应的相关制度（包括国家制定的法律法规、集团公司、专业分公司、企事业单位制定的规章制度） 第二步:针对要梳理的业务流程，明确该流程的起点和终点，分别向该业务流程涉及的岗位人员进行访谈，主要了解什么岗位在什么情况下做了什么并形成哪些文档或表格（证据表单）等，详细掌握业务处理过程并进行适当的记录，进行流程草图初步绘制。3.5.2

15、现状描述开始步骤结束执行的部门及岗位规范性文件及规章制度控制风险流转的文件及证据表单10/4/202221编辑ppt 1.具体工作步骤3.5.2 现状描述开始步骤结束执行的部 3.5.2 现状描述第三步:根据访谈掌握的情况，详细记录每一个步骤业务活动及对应的执行部门、执行岗位。遵循业务运行实际，描述流程基本步骤与逻辑走向，详细绘制业务流程图，对业务进行直观描述。 注意：对流程中的每个具体执行步骤，能量化的尽量量化，如：做到什么程度才算合格，多长时间完成？否则，流程步骤很清晰，步骤执行的具体动作却没有进行量化，会直接影响流程的执行效果。（执行部门、执行岗位必须从组织机构描述表中选用） 10/4/

16、202222编辑ppt 3.5.2 现状描述第三步:根据访谈掌握的情况，详细 3.5.2 现状描述2.实施证据的梳理 在进行流程梳理过程中要同步进行控制证据的梳理，指定每一个步骤所对应的实施证据，及时发现控制证据缺失或不完整的情况，同一张表单要求名称必须一致。（特别关注股份公司统一实施证据表单的使用）注意：公司全部业务流程均要绘制业务流程图，这是流程梳理的关键步骤10/4/202223编辑ppt 3.5.2 现状描述2.实施证据的梳理 在进中间步骤省略 3.5.2 现状描述3.流程图的绘制方法:见VISIO 2003 使用指南VISIO和ARIS流程图图例展示：在流程绘制的初始阶段，先使用Mi

17、crosoft Office组件Visio软件进行流程草图的绘制。 说明：考虑到ARIS业务流程信息系统不利于初期大规模、单机进行流程的描述、修订，而 ViSIO2003使用起来相对简单、便利，我们决定首先使用ViSIO2003进行初期大规模流程描述，待全部业务流程描述完毕后，再以ARIS系统为支持，实现业务流程的信息化(由公司流程管理组实施)。10/4/202224编辑ppt中间步骤省略 3.5.2 现状描述3.流程图的绘制方法:在流4.流程描述中常见问题： 将本企业及所属二级单位作为一个整体来描述业务流程； 描述某一项流程时，只需对末级流程进行描述，中间级流程目录无需描述，流程描述过程中，

18、既要注意单个流程内部的逻辑关系，也要注意流程之间和同一流程中不同的控制点之间的衔接； 各建设单位应根据自身的具体业务，关注风险，突出对规避这些风险而设置的控制； 流程步骤的描述要符合管理现状，在对管理现状进行分析的基础上，按照内部控制理论和理念，进行差异性分析，从而发现问题和不足，提出改进意见，完善其内部控制制度，提高管理水平。3.5.2 现状描述10/4/202225编辑ppt4.流程描述中常见问题：3.5.2 现状描述10/2/202 在内控工作建设时,我们已经梳理了一些流程。其中有流程并完全按业务流程目录层级梳理,把其他流程中的一些业务合并在一个流程中描述了,在本次梳理时,要对照业务流程

19、目录,把一些不该合并的流程,进行拆分,将它们对应到相应的流程目录下，分别描述。3.5.2 现状描述10/4/202226编辑ppt 在内控工作建设时,我们已经梳理了一些流程。其中有流程并现状描述风险分析控制设计流程分析范围界定流程审定流程发布对比分析制度与流程分析制度是否存在交叉分析制度是否缺失分析制度层次与操作性分析部门内部界面与外部界面分析控制证据管理制度对照修订建议流程单位责任对照分析流程要素识别风险与设计控制措施证据表单业务风险库XX单位工作网络图业务流程接口清单风险控制文档初稿关键控制文档初稿3.5 具体程序和方法演示3.5.3 风险分析和控制设计10/4/202227编辑ppt现状

20、描述风险分析控制设计流程分析范围界定流程审定流程发布对比 1.具体工作步骤: 第一步: 开展风险分析，确定公司适用的风险集团公司和股份公司风险数据库内容基本囊括了下属企事业单位各方面业务活动涉及到的风险。在使用时，要根据股份公司风险数据库（未上市业务参照集团公司风险数据库），对本单位涉及的流程进行风险分析和配比，确定公司适用的风险，编制本单位风险对照表，并对公司风险数据库提出反馈意见。工作组组织适用风险审查，修改、完善风险对照表，形成公司风险数据库。3.5.3 风险分析和控制设计10/4/202228编辑ppt 1.具体工作步骤:3.5.3 风险分析和控制设计10 第二步：根据已识别的风险,将

21、该流程对应的风险标注到每一个相关的流程步骤上。如果适用风险无法进行标注，说明流程梳理不完全，应增加相应的流程步骤。 第三步：对现有文件、制度规定及实际业务执行中的相应控制措施进行分析，找出对应风险的控制措施，对存在风险的流程步骤标注控制点。 3.5.3 风险分析和控制设计10/4/202229编辑ppt 第二步：根据已识别的风险,将该流程对应的风险标将该流程对应的风险标注到每一个相关的流程步骤上，如果风险无法进行标注，说明该流程梳理不完全，应增加相应的流程步骤。对存在风险的流程步骤标注控制点。风险点和控制点的标注方法住房公积金缴纳范围及缴费标准不准确劳动工资岗按照当地政府住房公积金管理规定，确

22、定住房公积金缴纳人员范围、缴费基数和比例，报主管领导审批10/4/202230编辑ppt将该流程对应的风险标注到每一个相关的流程步骤上，如果风险无法第四步：将各项业务活动与岗位设置、岗位职责、工作制度等诸因素结合起来，编制完成风险控制文档初稿，详细体现业务流程中存在的风险和控制措施设计的情况。 样表风险控制文档的具体填写方法：10/4/202231编辑ppt第四步：将各项业务活动与岗位设置、岗位职责、工作制度等诸因素文档表头：表头中，有6项内容为必填内容，其中，单位名称、编制部门、编制人、当前流程名称、最后更新时间等如实填写即可，业务流程名称只需填写当前子流程的前两级对应内容即可。控制点编号：

23、末级流程编码+”-”+风险编码+”-”+控制点编码。控制目标具体描述：与风险对应，结合风险描述内容，说明该项控制要达到的目标。风险描述：对风险的内容进行详细描述，从风险数据库中选用。控制目标类型：分为4种，完整性控制（C）、准确性控制（A）、有效性控制（V）和接触控制（R）。（具体某一风险的控制目标类型在风险数据库已经规定，直接引用即可）风险控制文档的具体填写方法：10/4/202232编辑ppt文档表头：表头中，有6项内容为必填内容，其中，单位名称、编制控制目标具体描述：与风险对应，结合风险描述内容，说明该项控制要达到的一个目标。控制方法：根据实际业务，可以是人工控制也可以是自动控制控制类型

24、：控制活动可以是预防性的或发现性的控制频率：说明该控制多久控制一次，共有六种，分别为随时/日/周/月度/季度/年度（根据业务的实际发生情况填写）。控制实施证据：最能说明或证明执行过某项控制的书面证据。（这里的证据范围较广，可以是统一实施证据，也可以是会议纪录或是电话记录等）控制文件的文号及名称：能够支持对应的控制措施的制度名称。某项控制没有文件支持，需随后组织对规章制度进行补充完善。风险控制文档的具体填写方法：10/4/202233编辑ppt控制目标具体描述：与风险对应，结合风险描述内容，说明该项控制关键控制编号：末级流程编码+”-”+风险编码+”-”+关键控制点编码；关键控制点编码需与集团公

25、司保持一致。MP01.03.01-01-K1风险控制文档的具体填写方法：10/4/202234编辑ppt关键控制编号：末级流程编码+”-”+风险编码+”-”+关键控现有控制措施：紧扣风险，详细描述实际采用的控制措施。制定控制措施要全方面考虑问题，满足四要素，“谁”、 “做了什么事”、 “怎么做”、“留下了什么证据”系统相关控制措施：FMIS、AMIS7.0系统相关控制措施必须与关键控制文档保持一致。风险控制文档的具体填写方法：10/4/202235编辑ppt现有控制措施：紧扣风险，详细描述实际采用的控制措施。风险控制不要应有仅仅写“比较一些报告”详细、具体地对控制进行描述， 使独立第三方能自行

26、执行该控制（即必须包含上面四大要素）仅仅写“解决问题”说明如何解决问题、采取的措施；以及如果问题没有解决，要怎么处理仅仅写“对账”说明使用的系统、报告、表单的具体名称，这些名称的使用必须前后一致猜测其他部门实施的控制说明节点和传递的表单、文件，由相关部门对实施的控制进行具体描述注出人名（例如，王XX）说明实施控制的岗位（例如，财务部固定资产会计）无组织的控制描述组织好描述控制的文字。以摘要开头，正文应简练。控制描述力求清晰准确，文字表述不能含糊不清风险控制文档编制中常见问题：10/4/202236编辑ppt不要应有仅仅写“比较一些报告”详细、具体地对控制进行描述， 2.对比分析制度和流程，梳理

27、规章制度在流程梳理过程中，会有许多与业务流程相关的规章制度，这些制度是控制设计的依据之一。在流程梳理的同时，通过对比分析制度和流程，分析制度是否存在交叉、是否缺失，分析制度层次性和操作性，分析部门内部界面和外部界面。各单位通过对梳理范围内的流程涉及的规章制度进行梳理，要形成本单位的控制活动涉及的制度索引，公司工作组汇总编制工程控制活动涉及的制度索引 。在梳理过程中发现规章制度交叉、缺失的情况，要求各单位提出管理制度对照修订建议，并及时补充完善。 3.5.3 风险分析和控制设计10/4/202237编辑ppt 2.对比分析制度和流程，梳理规章制度3.5.3现状描述风险分析控制设计流程分析范围界定

28、流程审定流程发布修订完善业务流程清单ARIS组织建模业务流程目录系统建模ARIS流程建模XX部门机构组织图业务流程图（ARIS）XX部门业务总图3.5 具体程序方法演示3.5.4 流程分析流程要素系统分析业务流程图（VISIO）10/4/202238编辑ppt现状描述风险分析控制设计流程分析范围界定流程审定流程发布修订 应用业务流程管理信息系统（简称ARIS）进行流程描述，进行流程要素的系统分析，包括业务流程名称编码和起止点、工作步骤、业务风险点、控制要求、工作界面、以及对应的组织机构、岗位和记录表单等；通过分析控制差异和控制缺陷，进一步完善控制措施，优化业务流程，实现对风险的有效控制和管理；

29、通过对比分析制度与流程，查找制度缺失和差异，补充完善相应的管理制度。 说明：为了确保流程描述的规范统一，股份公司已制定了一套标准的流程描述标准，对从流程描述开始至描述结束的各个细节进行了详细地说明，同时制定了标准模版，使不同岗位人员都能够按照统一的格式进行描述。3.5.4 流程分析10/4/202239编辑ppt 应用业务流程管理信息系统（简称ARIS）进行流现状描述风险分析控制设计流程分析范围界定流程审定流程发布征求职责、流程、界面、制度等意见整理归纳反馈意见与建议解决主要分歧与未决事项协调沟通修订完善相关内容业务流程规范协调意见业务流程目录业务流程图风险数据库风险控制文档关键控制文档3.5

30、 具体程序方法演示3.5.5 流程审定建立业务流程图、风险控制文档建立权限指引表、业务流程目录建立石化公司具体业务流程公司具体业务流程（包括未上市业务）10/4/202240编辑ppt现状描述风险分析控制设计流程分析范围界定流程审定流程发布征求 对于梳理出来的流程，严格执行四级审查程序：一是流程负责人专业审查，保证流程设计的合理、严密和准确；二是流程参与单位审查，保证关联流程的协调性、整体性和一致性，避免出现管理业务重复、空缺现象；三是流程管理工作组综合审查，保证业务流程规范、高效；四是公司流程管理领导小组审查，保证权责对等、系统全面。 说明：公司流程管理工作组进行合规性审查，（包括流程目录的

31、确定、风险的应用、控制的制订、文档存档是否符合规范等），指导修改完善各单位流程图、风险控制文档及证据表单等相关资料，进一步规范业务流程。3.5.5 流程审定10/4/202241编辑ppt 对于梳理出来的流程，严格执行四级审查程序：3.5.现状描述风险分析控制设计流程分析范围界定流程审定流程发布审批发布公司流程管理作组审查报备内控部与正式发布公司业务流程管理文件流程负责人专业审查3.5 具体程序方法演示公司流程管理领导小组审查公司权限指引公司管理制度呈批公司总经理6.流程发布流程参与单位审查10/4/202242编辑ppt现状描述风险分析控制设计流程分析范围界定流程审定流程发布审批 编制完成流程管理文件（托管单位特殊业务单独编制管理文件），按公司规定审议批准发布。 说明：梳理完成后的业务流程，作为内控管理手册的补充文档，年度手册维护时纳入统一管理，报股份公司备案后发布执行。 3.5.6 流程发布10/4/202243编辑ppt 编制完成流程管理文件（托管单位特殊业务单独编制管 命名规则：一个末级流程对应一个文件夹，用该流程“末级流程编码+一个空格+该末级