1

子流

程名

称

关

键

控

制

编

号

控制目标

适用操作层面

关键控

操

作

系

统

数

据

库

应

用

系

统

网

络

GC01

信息

系统

安全

K8

原则上不允许直接

访问数据，如确有需

要，应严格申请、审

批流程，并且需有人

监督访问过程；系统

责任人应定期（至少

每季一次）回顾直接

访问数据的日志记

录。



数据库管理员通过

格限制数据的直接

问数据人员需填写

表》，说明申请人

数据内容等，经部

行。

GC01

信息

系统

安全

K9

任何能够物理和逻

辑连接企业内部网

络的机构必须经过

识别和认证。



管理员对网络设备

路由器）进行安全

黑客非法入侵。

GC01

信息

系统

安全

K10

敏感数据通过外部

网络传输时，必须经

过加密处理。



1、数据传输仅限

司与公司本部进行

VPN 加密通道传输

2、计算机系统中

密方式存贮、传输

于规定的安全级别

信息与沟通

118

控制描述

责

任

部

门

控

制

类

型

控

制

频

率

控

制

方

法

实施证据

适用测试

系统

过设置账号权限严

接访问，如有需要访

写《数据访问申请

人、申请时间、访问

部门领导审批后执

总

经

理

办

公

室

预

防

控

制

业

务

发

生

时

手

工

控

制

数据访问申请表 生产管理

信息系统

备（如防火墙、关键

全参数设置，以防止

总

经

理

办

公

室

预

防

控

制

业

务

发

生

时

手

工

控

制

外联机构清单 生产管理

信息系统

于公司内部，子公

行信息交互时，通过

输。

的重要数据应用加

输。加密算法不得低

别，密钥不得泄露。

总

经

理

办

公

室

预

防

控

制

每

年

手

工

控

制

加密设置 生产管理

信息系统

1

子流

程名

称

关

键

控

制

编

号

控制目标

适用操作层面

关键控

操

作

系

统

数

据

库

应

用

系

统

网

络

GC01

信息

系统

安全

K11

企业的程序、数据及

其他信息资源得到

防病毒保护。



1、防火墙保留完

统管理员对其进行

2、公司电脑安装

手工更新等方式进

GC02

信息

系统

操作

K12

对所有系统业务数

据进行备份，并异地

存储。

 

1、每季，将备份

式于异地备份。

2、重要软件、数

备份并分别存放。

采用磁盘或光盘的

据库的备份每天自

每月进行光盘备份

的备份可每周进行

进行光盘备份保存

磁盘和光盘必须存

柜中，由专人负责

3、公司通过直接

进行备份与保存。

数据来源与电厂相

信息与沟通

119

控制描述

责

任

部

门

控

制

类

型

控

制

频

率

控

制

方

法

实施证据

适用测试

系统

整的日志，并由系

行定期检查和审计。

杀毒软件，并通过

进行更新。

总

经

理

办

公

室

预

防

控

制

业

务

发

生

时

手

工

控

制

360 杀毒软件 生产管理

信息系统

数据以物理介质形

据应定期做好多份

软件在安装前必须

的方式备份，重要数

自动进行磁带备份，

份保存；一般数据库

行磁带备份，每半年

存。备份后的磁带、

存放在专用的磁盘

责保管。

存储等方式对数据

（生产管理系统的

相当于异地备份）

总

经

理

办

公

室

预

防

控

制

每

日

自

动

控

制

数据备份 生产管理

信息系统

1

子流

程名

称

关

键

控

制

编

号

控制目标

适用操作层面

关键控

操

作

系

统

数

据

库

应

用

系

统

网

络

GC03

信息

系统

变更

K13

系统变更实施前经

过管理层的有效审

批。

   

1 应用系统变更制

2、变更申请得到

（总经理办公室）

3、变更实施人员

的执行情况，变更

办公室）的审核。

4、测试结果和报

公室）审批或验收

GC03

信息

系统

变更

K14 数据转换测试完整、

准确。



1、数据变更有数据

经过相关业务部门

2、数据转换后进

数据完整性、正确

测试报告，记录数

测试报告经过总经

GC04

信息

系统

的开

发与

K15 系统采购前进行可

行分析。

 

审批购置、升级计

为：涉及金额在 50

元），由分管领导审

由总经理审批。

信息与沟通

120

控制描述

责

任

部

门

控

制

类

型

控

制

频

率

控

制

方

法

实施证据

适用测试

系统

定变更计划。

系统变更管理部门

部门主任的审批。

详细记录系统变更

更情况得到（总经理

告经过（总经理办

收。

总

经

理

办

公

室

预

防

控

制

业

务

发

生

时

手

工

控

制

系统变更情况记

录表

生产管理

信息系统

据转换计划及记录，

门人员的核对审查。

行详细的测试（如

确性测试等），并有

数据转换的准确性。

经理办公室审核。

总

经

理

办

公

室

预

防

控

制

业

务

发

生

时

手

工

控

制

数据库变更情况

记录表

生产管理

信息系统

计算机设备的权限

000 元以下（含 5000

审批；5000 元以上，

总

经

理

办

公

室

预

防

控

制

业

务

发

生

时

手

工

控

制

购买申请 生产管理

信息系统

1

子流

程名

称

关

键

控

制

编

号

控制目标

适用操作层面

关键控

操

作

系

统

数

据

库

应

用

系

统

网

络

实施

GC04

信息

系统

的开

发与

实施

K16 系统需求分析准确、

完整。

 

1、所有应用系统

系统功能性和系统

形成需求说明书。

2、应用系统需求

办公室和业务需求

确认。

GC04

信息

系统

的开

发与

实施

K17 用户接受测试）内容

完整、程序规范。

 

1、应用系统层面、

的相关测试由软件

试）。

2、供应商确定测试

关部门进行配合，

商出具验收报告，

管理员签字确认。

信息与沟通

121

控制描述

责

任

部

门

控

制

类

型

控

制

频

率

控

制

方

法

实施证据

适用测试

系统

开发项目均进行了

统性的需求分析，且

说明书经过总经理

求部门管理层签字

总

经

理

办

公

室

预

防

控

制

业

务

发

生

时

手

工

控

制

需求说明书 生产管理

信息系统

、数据库层面开发

件供应商进行测

试计划，方法，相

测试结束后，供应

总经理办公室信息

总

经

理

办

公

室

预

防

控

制

每

年

手

工

控

制

验收报告 生产管理

信息系统

内部监督

122

8 内部监督

8.1 内部监督要素

内部监督是对内部控制体系有效性进行评估的持续过程，分为日常监督、专项监督

和缺陷报告。

8.1.1 日常监督

日常监督是指对建立与实施内部控制的情况进行常规、持续的监督检查。

8.1.2 专项监督

专项监督是指在发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生

较大调整或变化的情况下，对内部控制的某一或者某些方面进行有针对性的监督检查。

8.1.3 缺陷报告

发生较大调整或变化的情况下，对内部控制的某一或者某些方面进行有针对性的监

督检。

缺陷报告是建立健全缺陷报告管理机制，制定缺陷认定规范，向相关管理人员和董

事会明确上报内控缺陷的程序。

1）按照内部控制缺陷成因或来源，内部控制缺陷包括设计缺陷和运行缺陷。

设计缺陷是指企业缺少为实现控制目标所必需的控制，或现存控制设计不适当，即

使正常运行也难以实现控制目标。运行缺陷是指设计有效（合理且适当）的内部控制由

于运行不当（包括由不恰当的人执行、未按设计的方式运行、运行的时间或频率不当、

没有得到一贯有效运行等）而形成的内部控制缺陷。

内部控制存在设计缺陷和运行缺陷，会影响内部控制的设计有效性和运行有效性。

2）按照影响企业内部控制目标实现的严重程度，内部控制缺陷分为重大缺陷、重

要缺陷和一般缺陷。

重大缺陷，是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标。当

存在任何一个或多个内部控制重大缺陷时，应当在内部控制评价报告中作出内部控制无

效的结论。

重要缺陷，是指一个或多个控制缺陷的组合，其严重程度低于重大缺陷，但仍有可

能导致企业偏离控制目标。重要缺陷的严重程度低于重大缺陷，不会严重危及内部控制

的整体有效性，但也应当引起董事会、经理层的充分关注。

一般缺陷，是指除重大缺陷、重要缺陷以外的其他控制缺陷。

3）按照具体影响内部控制目标的具体表现形式，还可以将内部控制缺陷分为财务

报告缺陷和非财务报告缺陷。

内部监督

123

8.2 内部监督实施细则

8.2.1 内部控制实施细则——内部监督

一、适用范围

本实施细则所指内部监督是对内部控制体系有效性进行评价的持续过程。

二、控制目标

1、及时发现内控缺陷，监督有效。

2、内部审计活动是有效的，审计建议得到有效落实。

3、内部控制评价的范围、覆盖的深度和频率是足够的，评价方法准确、有效。

4、内控缺陷汇报机制是适当的，识别出的内控缺陷得到纠正。

三、控制职责

3.1 审计法务部

1、明确内部监督的范围、覆盖的深度和频率。

2、组成评价工作组，培训评价人员、落实评价预算。

3、制定评价工作方案。

4、实施现场测试。

5、认定控制缺陷。

6、汇总评价结果。

7、编报评价报告。

8、落实评价意见及缺陷整改。

9、归纳总结专项审计发现的内控问题。

3.2 其它部门或单位

1、审计委员会对财务报告、内部控制评价报告进行监督。

2、董事会办公室负责对外披露内部控制评价报告。

1

四、内部监督关键控制矩阵

控制

编号

控制点

名称

控制目标 关键控制描述

K1 日常监

督

及时发现内

控缺陷，监督

有效。

1、 审计法务部对公司和子公司的内控控制

每年至少检查一次。

2、根据风险评估结果，审计法务部对认定

3、公司管理层通过工作例会、经营分析会

息，监督各方面工作的进展。

K2 专项监

督

及时发现内

控缺陷，监督

有效。

1、审计部根据专项审计项目需要配备审计

开展专项审计活动前，下达书面的审计通知

2、专项审计小组按照审计计划执行审计，

计结束后出具审计报告，包括审计范围、审

见。审计报告提交总经理审阅。

3、每年年末，由公司管理层牵头各相关职能

对子公司整改情况、制度执行情况进行检查

总经理审阅。

内部监督

124

述

责任部

门

控制

方法

控制

频率

实施证据

制执行情况开展测试和评价，

的重大风险进行持续跟踪监控。

审计法

务部

手工

业 务

发 生

时

内部控制执行

情况评价底稿、

会议纪要

会等形式，收集汇总各部门的信

总经理

办公室

计人员，组成专项审计项目小组。

知书。

不受限制的获取实施证据。审

审计方法、发现的问题及整改意

审计法

务部

手工

业 务

发 生

时

审计工作计划、

专项审计报告、

行政检查报告

能部门对子公司进行行政审计，

查，编制行政检查报告，报公司

总经理

办公室

1

控制

编号

控制点

名称

控制目标 关键控制描述

K3

内部缺

陷的认

定与整

改

内控缺陷认

定准确，整改

有效。

1、审计法务部根据内控缺陷认定标准，定

断内控缺陷重要程度。

2、审计法务部与被监督单位就内控缺陷进

改进建议，向管理层报告；其中，重要及重

3、审计法务部将审议通过的内控缺陷通知

4、被监督单位拟定整改工作方案，明确整

时限，报审计法务部批准后执行。

5、审计法务部对内控缺陷整改情况进行跟

K4

内部控

制自我

评价

对内部控制

的评价准确、

有效。

1、每年审计法务部根据内部监督情况和管

制订评价工作方案，挑选人员组成评价工作

2、评价工作组了解被评价单位基本情况，

展现场检查测试。

3、评价工作组汇总评价结果，编制评价报

4、审计法务部对评价报告中认定的内控缺

单位整改。审计法务部跟踪整改落实情况。

5、审计委员会审核内部控制评价报告，报

内部监督

125

述

责任部

门

控制

方法

控制

频率

实施证据

定性判断内控缺陷类型，定量判

进行沟通，听取其意见，并提出

重大缺陷提交董事会审议。

知被监督单位。

整改目标、内容、程序、方法和

跟踪核查。

审计法

务部 手工

业 务

发 生

时

内控缺陷表

管理要求，确定检查评价方法，

作组。

确定检查评价范围和重点，开

报告。

缺陷，提出整改建议，要求责任

。

报董事会审批后对外披露。

审计法

务部 手工 每年

内部控制评价

报告、

内控缺陷表