(2)业务概述。
业务概述为该业务流程的普遍定义及一般性内容。
(3)华北电网业务概况。
华北电网业务概况为华北电网该业务流程的特点。包括业务内容特点、业务权限特点、业务范围特点等。
(4)流程描述。
流程描述为该主流程下的子流程内容细化,每个子流程包含六个部分:
一是业务流程图。业务流程图为该子流程主要操作的图形展示。按照业务环节操作关系进行环节编号,表示其先后时间或逻辑顺序。环节编号与下一步内容中的业务环节描述相对应。
二是业务环节描述。业务环节描述是对流程图中每一个业务环节的细化描述,包括每个业务环节的操作部门及职位、操作内容、流转单据等,其环节编号与流程图内环节编号对应一致,并与主流程结构索引中的内部控制—控制活动相对应,是标准化内控在企业具体实务作业中的展现。
三是业务风险索引。业务风险索引是针对每一个业务流程中的业务环节与控制活动、风险事件建立的对应关系。
四是业务记录。业务记录是该项业务进行过程中流转的单据及保存的记录,是内控测试的主要对象。业务记录既包括企业的内部业务单据如支付申请、系统发票等,也包括外部第三方的原始单据如银行进账单、供应商发票等,还包括企业账务处理的记录单据如入账凭证等。财务风险管理手册的业务记录包括单据及其编制人、审核人、审批人及其所对应的业务环节编号,是业务记录与业务流程的对应和统一。
五是账务处理。账务处理为该子流程中涉及到的会计处理内容,部分流程如采购合同签订、年度资金计划编制等不涉及该部分内容。账务处理是内部控制手册与华北电网标准化会计核算流程的统一,其目的是为企业的财务信息准确性和完整性提供保证。
六是内控测试数据。内控测试数据为该子流程对应的内控测试内容,是财务风险管理手册系统化的关键内容。其主要包括该子流程中的主要业务记录及流转单据间的逻辑关系。其逻辑关系是通过各记录及单据主要字段间的追踪匹配来实现的。
以目前系统内已实现的采购流程为例,采购合同、采购订单、支付申请、资金计划、入账凭证、银行单据等构成采购流程的主要业务记录。对各记录的主要字段进行数据抽取,对照企业业务规范进行测试,对异常记录进行汇总报告。财务风险管理手册宏观上以《企业内部控制配套指引》为基准,微观上落实到流程中的具体业务环节,业务环节描述、业务记录、账务处理、业务流程图中的业务环节通过统一的环节编号相互索引,并同时关联到标准化控制活动及控制偏差引发的风险事件。其二,风险管理与内控管理的系统内结合——财务风险管理系统。风险管理与内控管理的系统内结合主要体现在:风险基础信息库、风险地图、内控测试、内控任务、日常工作稽核。
(1)风险基础信息库。
风险信息库是风险识别的成果,把识别出来的风险事件库转化到信息系统中,是整个财务风险管理系统的基础,包括风险管理的所有基础信息。风险信息库有效结合了风险管理体系中的风险事件库和内控管理体系中的控制矩阵。以控制活动与风险事件的对应关系为切入点,把风险管理与内控管理相结合。通过风险事件库的核心风险—风险事件、内控矩阵中的控制活动,搭建风险管理和内控管理的结合点。
(2)风险地图。
根据财务风险管理手册,结合财务风险管理系统开发风险地图功能模块,把手册中的流程图、业务环节描述、风险点索引、业务记录落地到系统中。通过风险地图上的操作可以查看风险点、分析风险点、测试风险等。
(3)内控测试。
内控测试是对业务流程中存在的风险点、控制点进行的测试,包括穿行测试和控制测试。通过内控测试发现问题可以在风险管理中进行风险应对。穿行测试是指选择具有代表性的.经济交易事项作为测试样本,对贯穿业务流程中所有控制点进行检查的活动。测试的目的是验证风险控制矩阵(索引)中描述的控制活动是否正确,各环节是否按照其相关规定进行运行,是否存在控制设计及执行缺陷。测试对象为流程中各个子流程的所有控制点。控制测试是指根据既定的抽样原则、方法和样本量规定,对控制点是否按照内部控制手册和控制矩阵(索引)的规定持续有效的执行进行检查的活动。测试的目的是确认各子流程中关键控制点、重要控制点、一般控制点是否按照既定的控制设计持续有效执行。测试对象为各个子流程中的关键控制点、重要控制点、一般控制点。