11.5基础设施IT一般性控制内部控制矩阵
11.5基础设施IT一般性控制内部控制矩阵
中国移动集团公司内部控制手册与业务流程(doc 23)
中国移动股有限公司内部控制手册 业务流程
目录 业务流程
1资本性支出业务流程 1.1招标及合同管理业务流程 一、业务流程范围 1 所涉及的业务范围 选择设计单位、承建商、供应商和监理公司;签订合同并对合同的执行和存档进行管理;组织采购;对购入物资的数量、质量和单价金额进行检验并对相关资产项目,以及应付账款进行记录;监督工程建设的实施并适时进行验收;向供应商支付货款。 2 所涉及的部门范围 财务部门、法律事务部门、审计部门、纪检监察部门、网络规划部门、建设部门、采购部门以及其他有资本性支出需求的部门 二、目标 1 设备采购及项目招标行为规范、过程公开、竞争公平、裁决公正, 符合公司管理制度、国家法律法规和有关国际惯例的要求。 三、风险 1 未遵守合同条款要求,未遵循有关法律法规,导致合同索赔、项目 停滞或政府处罚。
四、相关会计科目 无 五、流程概述 (一) 招标流程 1 编制招标文件 当按规定需要采用招标方式确定物资供应商、施工单位、设计单位或者监理单位时,由采购部门/建设部门会同相关部门及单位负责制作技术规范书和商务规范书,并合并形成招标文件。如果委托招标代理机构完成招标过程的,编制商务规范书和合并形成招标文件的工作由招标方组织招标代理机构完成。招标文件完成后由法律事务部门对相关法律文件的合法合规性进行审核,然后上交采购部门/项目管理部门/建设单位负责人或其授权人审批。上述相关部门或者单位审批后,按照项目金额和性质的不同,由相应的权限机构或其授权人员进行审阅。 如属于土建项目,则按规定必须由相关政府部门进行公开招标,相关流程不在此流程中规定。 对达到招标标准,但不采用招标方式的项目审批按照项目金额和性质的不同,由相应的权限机构进行审批。 2 组织招标 采用自行招标方式的项目,招标单位应该在招标工作开始以前取得 自行招标资格,否则应委托招标公司完成招标工作,被委托招标的 招标公司应具有相应的资质证明。
中国移动内部控制手册
中国移动内部控制手册 内部控制手册1缩写中国移动(香港)有限公司及其子公司 屮国移动中国移动(香港)有限公司公司屮国移动通信有限公司屮国移动总部/总部中国移动通信集团公司集团公司美国《萨班斯在2004年中国移动通信集团公司人力资源工作会议上的报告》《关于广东移动通信有限责任公司等公司配发员工认股期权的通知》(中移有限人[2004] 14号)《关于内蒙古移动通信有限责任公司等公司配发员工认股期权的通知》(中移有限人[2004] 15号)员工绩效考核结果反馈表111 2、1、2胜任能力管理者必须明确每一工作岗位所需的能力水平,并将此能力水平具体化为所需知识和技能。A 2、1用正式或非正式的职责描述或其它方式定义某一职位的 具体工作。 屮国移动对全部职位建立统一的书面职责描述,即职位说明书,界定职位的工作内容、职责、权限、上下级督导关系以及任职条件等内容,且经过管理层的审阅批准。人力资源部定期根据各职位职责、权限的变化对职位说明书进行及时地更新并下发。 员工对工作职责和权限的一般理解通过部门内部的职责描述 与部门管理层的沟通和实际工作获得。 主要涉及部门:人力资源部文件索引:无A
2、2充分分析开展具体工作所需的知识和技能。考虑:管理层对特定的工作所需的知识和技能的程度进行了规定;是否存在迹象表明员工具有必要的知识和技能中国移动对全部职位建立统一的职位说明书,包括职位的工作内容、职责、权限、上下级督导关系以及任职条件等内容,以明确每一职位对知识、技能与学历方面的基本要求,并由人力资源部定期根据各职位职责、权限等方面的变化对职位说明书进行及时地更新并下发员工知晓。同时,招聘程序亦可体现屮国移动对员工开展工作所需技能和知识的明确要求。 招聘开始前,用人需求单位(部门)向人力资源部提交人员 详细的需求申请,申请中需列明需求人数和对拟招员工的岗位说明,学历、技术、能力、工作经验等任职资格的要求。在聘用过程中,组成由人力资源部、用人单位(部门)相关人员以及外聘咨询专家等各方面人员组成的综合考评小组,并由综合考评小组对应聘人员进行基本素质和实际工作能力的全面考察。根据考察情况进行评价打分,提出用人建议。 中国移动通过对员工的绩效考核来衡量员工的工作能力、工 作质量与工作表现,判断其是否具备与职位所对称的知识与技能。 主要涉及部门:人力资源部文件索引:《关于印发的通知》中移人[20031334号121 2、1、3董事会及审核委员会一个积极有效的董事会及审核委员会,能够提供重要的监督功能。而且由于管理者通常有能力凌驾内部控制,董事会对于确保进行有效的内部控制具有至关重要的意
信息系统管理业务内部控制矩阵
1信息系统管理业务内部控制矩阵 11、1信息系统管理业务内部控制矩阵业务目标业务风险控制点适用单位不相容岗位控制点分值控制点相关资料相关制度索引会计报表认定会计报表项目1存在和发生/真实性;2完整性;3权利与义务;4估价或分摊;5表达和披露;6准确性123456 1、IT整体层面管理 1、1经营风险:信息化管理体系不完善,信息化领导小组或ERP指导委员会设置不健全,信息管理部门职责不落实,导致信息化工作受损。 1、1股份公司建立完善的信息化管理体系,设立ERP指导委员会,设立信息系统管理部负责股份公司信息化归口管理工作;各分(子)公司设立信息化领导小组或ERP指导委员会,定期召开会议,听取、总结和指导本单位信息化工作,设立信息管理部门负责本单位信息化管理工作,对信息系统和信息资源行使管理职责。总部分(子)公司6ERP指导委员会或信息化领导小组成立文件;会议纪要信息管理部门职责文件 1、 10、 51、 12、2经营风险:信息化建设中长期规划不符合股份公司经营战略目标,导致盲目建设、投资低效。
1、2根据股份公司发展战略目标和核心业务,结合信息技术发展和股份公司实际,信息系统管理部负责组织编制股份公司信息化建设中长期规划,在充分征求职能部门、事业部和分(子)公司意见后,组织专家组评审,并根据专家意见负责组织修改,经信息系统管理部主任审核,按规定权限审批后,纳入股份公司中长期发展规划。信息系统管理部5股份公司信息化建设中长期规划 1、 10、 51、3教育和培训 1、1经营风险:信息化培训缺乏,导致信息系统效能低下、信息化管理水平不高、信息化技能缺失。 1、3、1各级信息管理部门负责编制年度信息化培训计划,经部门负责人审批后,纳入人事部门年度培训计划,并组织落实。信息系统管理部分(子)公司2年度培训计划 1、 10、 51、1经营风险:信息安全教育不足,导致员工信息安全意识薄弱。 1、3、2各级信息管理部门配合人事部门开展全员信息安全教育和培训,并在信息门户或内部网站发布安全教育培训材料。信息系统管理部分(子)公司2安全教育培训材料
中国移动(香港)内控手册(最新推荐)(可编辑)
中国移动(香港)内控手册(最新推荐) 中国移动(香港)有限公司内部控制 手册
中国移动(香港)有限公司中国移动中国移动(香港)有限公司公司中国移动通信有限公司中国移动总部/总部中国移动通信集团公司集团公司美国《萨班斯 - 奥克斯利法案》《萨班斯法案》
目录 1 手册概述 4 1.1 目的 4 1.2 评价内部控制的有效性的评估架构 4 1.3 与《萨班斯法案》404条款相关的内部控制的定义 4 1.4 内部控制手册的遵循 5 1.5 颁布日期 5 2 公司层面的控制 6 2.1 控制环境 6 正直守德的价值取向 6 胜任能力11 董事会及审核委员会12 管理哲学和经营风格15 组织结构19 职权和职责的分配22 人力资源政策和实务24 信息技术战略规划28 信息技术组织架构及关系29 信息技术部门的人力资源管理30 用户教育和培训31 2.2 风险评估32 企业层面目标32 经营活动目标34 风险37 对环境变化的管理39 信息风险评估 40 2.3 控制活动41 2.4 信息及沟通42 信息42 沟通44 信息架构 48 2.5 监控50 持续监控50 个别评价54 汇报内部控制缺陷 56 3 信息技术整体控制57 3.1 对程序和数据的访问57 BOSS系统 57 经营分析系统62 MIS系统66 OA系统71 彩铃系统76 智能网系统80 MISC系统85 久其报表系统90 客户服务系统93 网络及基础设施 98 3.2 程序变更管理103 3.3 程序开发108 3.4 系统运行112 BOSS系统112 经营分析系统116 MIS系统120 OA 系统124 彩铃系统127 智能网系统131 MISC系统135 久其报表系统138 客户服务系统141 网络及基础设施144 3.5 终端用户计算147 4 流程层面的控制150 4.1 资本性支出业务流程150 4.2 收入和计费业务流程178 新业务与产品定价业务流程178 业务受理业务流程186 计费账务业务流程195 收款和应收账款管理业务流程209 与电信营运商结算业务流程(国内、国际)220 与服务/内容提供商结算业务流程228 内部结算业务流程233 集团客户业务流程237 4.3 存货管理业务流程242 存货管理243 有价卡管理252 4.4 营运支出业务流程260 4.5 货币资金管理业务流程275 4.6 固定资产和无形资产管理业务流程285 4.7 人
XXXX年中国移动内控及内审项目平台操作手册(doc 57)
中国移动内控与内审管理平台 项目过程文档 用户操作手册 测试管理-内控自测 中国移动通信集团公司 二零一零年七月
文档控制●更改记录 ●查阅 ●分发
目录 1编写目的 (1) 2整体功能介绍 (1) 2.1功能说明 (1) 2.2功能角色权限对应表 (1) 3角色操作指南 (2) 3.1内控管理员操作指南 (2) 3.1.1功能概述 (2) 3.1.2新建自测计划 (3) 3.1.3查看统计分析 (10) 3.2测试人操作指南 (11) 3.2.1功能概述 (11) 3.2.2编写样本要求 (12) 3.2.3确认测试样本 (17) 3.2.4填写测试结果 (20) 3.3控制点负责人操作指南 (23) 3.3.1功能概述 (23) 3.3.2上传样本附件 (24) 3.4普通内控人员操作指南 (29) 3.4.1功能概述 (29) 3.4.2上传样本附件 (29) 3.5审核人操作指南 (34) 3.5.1功能概述 (34) 3.5.2审核测试测试结果和样本 (35) 3.6相关业务部门人员会签操作指南 (38) 3.6.1功能概述 (38) 3.6.2会签 (39) 3.7部门内控联系人操作指南 (42) 3.7.1功能概述 (42) 3.7.2发起部门自测 (42) 3.7.3接收会签任务 (43) 3.7.4下发计划单 (43) 4审批操作指南 (48) 4.1功能概述 (48) 4.2操作过程 (48) 4.3操作举例 (49)
1编写目的 为了配合开展【中国移动内控与内审管理平台】试运行的工作,向试点省用户介绍平台内控测试管理内控自测模块的操作流程,编写本手册。 2整体功能介绍 2.1 功能说明 公司总部每年拟定自测工作要点和工作计划,经过相关部门审核批准后,下发各单位。各单位内控管理员根据公司下发的工作要点和工作计划,结合各单位的实际情况确定本单位的工作计划,依据计划开展内部自测工作。 内控自测模块是对公司内部风险控制自测的模块,包括“测试计划”、“下发计划单”、“测试任务”、“测试样本”四个功能模块。 每个子功能模块介绍如下: ●测试计划:测试计划分为“部门自测”、“跨级自测”。所有内控人员均可发起自测 计划,发起自测计划后,由单位各级领导审批、相关部门会签;部门自测自测计划 审批结束后,测试人收到待办进行测试;如果是跨级自测,子公司内控联系人在接 收到上一级公司下发的测试计划后,设置测试人、审核人,下发计划单给测试人, 进入测试阶段。 ●下发计划单:在跨级自测中,如下发给部门,在此处分发。由部门联系人设置测试 人、审核人,并下发计划。 ●测试任务:显示自己的测试任务,点击打开进行测试或者查看。 ●测试样本:对于测试过程中的测试样本进行查看。 2.2 功能角色权限对应表
中国移动内部控制手册
中国移动内部控制手册 内部控制手册1 缩写中国移动(香港)有限公司及其子公司中国移动中国移动(香港)有限公司公司中国移动通信有限公司中国移动总部/总部中国移动通信集团公司集团公司美国《萨班斯在2004 年中国移动通信集团公司人力资源工作会议上的报告》《关于广东移动通信有限责任公司等公司配发员工认股期权的通知》(中移有限人[2004]14 号)《关于内蒙古移动通信有限责任公司等公司配发员工认股期权的通知》(中移有限人[2004]15 号)员工绩效考核结果反馈表111 2、1、2 胜任能力管理者必须明确每一工作岗位所需的能力水平,并将此能力水平具体化为所需知识和技能。A 2、1 用正式或非正式的职责描述或其它方式定义某一职位的具体工作。 中国移动对全部职位建立统一的书面职责描述,即职位说明书,界定职位的工作内容、职责、权限、上下级督导关系以及任职条件等内容,且经过管理层的审阅批准。人力资源部定期根据各职位职责、权限的变化对职位说明书进行及时地更新并下发。 员工对工作职责和权限的一般理解通过部门内部的职责描述与部门管理层的沟通和实际工作获得。 主要涉及部门:人力资源部文件索引:无 A
2、2 充分分析开展具体工作所需的知识和技能。考虑: 管理层对特定的工作所需的知识和技能的程度进行了规定; 是否存在迹象表明员工具有必要的知识和技能中国移动对全部职位建立统一的职位说明书,包括职位的工作内容、职责、权限、上下级督导关系以及任职条件等内容,以明确每一职位对知识、技能与学历方面的基本要求,并由人力资源部定期根据各职位职责、权限等方面的变化对职位说明书进行及时地更新并下发员工知晓。同时,招聘程序亦可体现中国移动对员工开展工作所需技能和知识的明确要求。 招聘开始前,用人需求单位(部门)向人力资源部提交人员详细的需求申请,申请中需列明需求人数和对拟招员工的岗位说明,学历、技术、能力、工作经验等任职资格的要求。在聘用过程中,组成由人力资源部、用人单位(部门)相关人员以及外聘咨询专家等各方面人员组成的综合考评小组,并由综合考评小组对应聘人员进行基本素质和实际工作能力的全面考察。根据考察情况进行评价打分,提出用人建议。 中国移动通过对员工的绩效考核来衡量员工的工作能力、工作质量与工作表现,判断其是否具备与职位所对称的知识与技能。 主要涉及部门:人力资源部文件索引:《关于印发的通知》中移人[2003]334 号121
【VIP专享】09 江西移动工程物资管理实施细则(试行)
江西移动通信有限责任公司工程物资管理实施细则(试行) 根据《中国移动内部控制手册》(第一版)的相关规定,为了切实加强工程 物资的管理和核算,理顺管理流程,明确管理职责,特制订此实施细则。 第一章总则 第一条工程物资的管理原则:职责清晰、沟通顺畅、及时发运、准确计量、安全保管、合理使用。 第二条工程物资的管理任务:贯彻执行国家有关工程物资管理工作的政策法规; 按照国家和总部相关财务会计制度进行工程物资的管理和核算;加强工 程物资的采购、保管和使用管理,做好收、发记录,确保工程物资的安 全完整;合理适用工程建设资金,提高经济效益。 第三条管理涉及的部门和人员具体职责为:采购员负责进行工程物资采购,并将采购信息及时传递给MIS系统库存管理员和实物管理员(或工程建设 人员),负责供应商信息的维护和更新。MIS系统库存管理员负责进行工 程物资的账实相符核对,配合实物管理员或工程建设人员进行物资的验 收、入库、发放、退库、盘点清查等工作,进行MIS系统工程物资的出 入库操作,建立暂收暂出物资登记簿,并负责在月底将暂时领用物资估 价给财务部门。实物管理员负责入库工程物资的实物安全保管,根据合 格的单据进行物资验收、出入库、退库等操作,负责建立工程物资保管 台账和紧急领用登记薄。工程建设人员负责直发现场工程物资的验收和 使用,未用完物资的退库,配合相关部门进行工程物资的清查盘点。工 程会计负责按照国家和总部相关财务会计制度准确进行工程物资的核算,配合相关部门进行工程物资的清查和盘点。 第四条本办法适用于集团公司集中采购、省公司集中采购和各地市零星采购的工程物资的管理。 第二章工程物资采购 第五条根据需求部门提交的采购申请和批复的立项报告,由物资采购部门启动工程物资的采购工作。 第六条对于集团和省公司集采范围内的产品,按照公布的框架协议在指定的范
风险控制矩阵介绍
1 1
风险控制矩阵描述介绍
?2009上海甫瀚投资管理咨询有限公司 机密:此文件只供格特拉克(江西)传动系统有限公司内部参阅,请勿复制或分发予第三方。
目录
? 内控流程记录概述 ? 流程记录 ? 风险控制矩阵简介 - 风险控制矩阵编制的目的 - 风险控制矩阵的运用 ? 小结 ? 课堂练习
2 2
?2009上海甫瀚投资管理咨询有限公司 机密:此文件只供格特拉克(江西)传动系统有限公司内部参阅,请勿复制或分发予第三方。
3 3
内部控制记录概述
风险与流程匹配后,对流程进行梳理
为满足此要求需要制作以下2套资料
流程图及注释 流程描述
风险控制矩阵
(Excel) Excel)
?相关的重要交易是怎样发生、授权、记 录、处理和报告的信息 ?重大错报可能发生的具体信息
评估(a)内部控制的有效性,以 及(b)内部控制防止或发现财务 报告的舞弊以及资产的挪用等效果
?2009上海甫瀚投资管理咨询有限公司 机密:此文件只供格特拉克(江西)传动系统有限公司内部参阅,请勿复制或分发予第三方。
4 4
内部控制记录概述
流程图
①将业务描述上记载的内容 做成流程图 ②确定容易引起重大错报的 风险
企业名称: 组织名称:*** 循环:销售 流程:接受订单
流程描述
对相关的流程的操作步骤按 照实际情况进行描述
风险控制矩阵
具体记载流程图上特定的为 降低风险而实施的控制活动 的相关内容
企业名称: 组织名称:*** 循环:销售 1. 2. 3. R-1 4. 5. 流程:接受订单
企业名称: 组织名称:*** 循环:销售 流程:接受订单
????????? ????????? ????????? ???????? ?????????
风险 ??????????? (R-1) 控制 (R-1)
? ? ??????????? ???????????
注上风险号码
?2009上海甫瀚投资管理咨询有限公司 机密:此文件只供格特拉克(江西)传动系统有限公司内部参阅,请勿复制或分发予第三方。
社会保险内控管理实施细则
****区城乡社会养老保险 内控管理实施细则 第一章总则 第一条为进一步建立健全和完善社会保障体系,推进城乡统筹发展,促进和谐社会建设,建立新型城乡一体化社会养老保险制度,根据党的十七大精神和《中华人民共和国社会保险法》的规定,依据国务院《关于开展城镇居民社会养老保险试点的指导意见》(国发…2011?18号)和《关于开展新型农村社会养老保险试点的指导意见》(国发[2009]32号)及省政府《开展新型农村社会养老保险试点的实施意见》(鲁政发[2009]131号)精神,结合我区实际,特制定本实施细则。 第二条城乡社会养老保险工作坚持“广覆盖、保基本、有弹性、可持续”的基本原则,按照个人缴费、集体补助、政府补贴相结合的要求,建立社会统筹和个人账户相结合的养老保险制度。 第三条户籍在我区,年满16周岁(不含在校学生),未参加企业职工基本养老保险的人员,依照户籍类别,均可自愿参加城乡社会养老保险。
第二章组织机构管理与部门职责 第四条劳动保障部门是全区城乡社会养老保险工作的行政主管部门,负责城乡社会养老保险工作的组织实施、统一管理、综合协调和监督检查。 城乡社会养老保险经办机构(以下简称“社保经办机构”)负责城乡社会养老保险的参保登记、保险费收缴、基金划拨、基金管理、个人账户建立与管理、待遇核定与支付、保险关系转移接续、档案管理、制发卡证、统计管理、受理咨询、查询和举报等工作,并对乡镇(办)劳动保障管理所(以下简称“劳保所”)的业务经办情况进行指导和监督考核,各科室具体职责如下: 一.参保管理科 主要职责:1.参保人员基本信息的登记 2.参保人员基本信息的修改 3.参保未领取待遇人员的退保 4.特殊人群身份(比如重症残疾人员、失地农民)的认定 5.参保人员子女关系的维护 6.人员开户信信息报送银行与银行开户信息返回 二.缴费管理科
中国移动设备通用安全功能和配置规范
中国移动设备 通用安全功能和配置规范 S p e c i f i c a t i o n f o r G e n e r a l S e c u r i t y F u n c t i o n a n d C o n f i g u r a t i o n o f D e v i c e s U s e d 版本号:2.0.0 ╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施中国移动通信有限公司网络部
目录 1. 范围 (1) 2. 规范性引用文件 (1) 2.1. 内部引用 (1) 2.2. 外部引用 (1) 3. 术语、定义和缩略语 (1) 4. 设备安全要求框架 (2) 4.1. 背景 (2) 4.2. 设备安全要求框架说明 (2) 4.3. 本框架内各规范的使用原则 (3) 4.4. 设备安全要求编号原则 (3) 5. 设备通用安全功能和配置要求 (4) 5.1. 账号管理及认证授权要求 (4) 5.1.1. 账号安全要求 (4) 5.1.2. 口令安全要求 (5) 5.1.3. 授权安全要求 (6) 5.2. 日志安全要求 (6) 5.2.1. 功能要求: (6) 5.2.2. 配置要求: (7) 5.3. IP协议安全要求 (7) 5.3.1. 功能要求: (7) 5.3.2. 配置要求: (8) 5.4. 设备其他安全要求 (8) 5.4.1. 功能要求: (8) 5.4.2. 配置要求: (8) 6. 编制历史 (8)
前言 为了贯彻安全三同步的要求,在设备选型、入网测试、工程验收以及运行维护等环节,明确并落实安全功能和配置要求。有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范。本系列规范可作为编制设备技术规范、设备入网测试规范,工程验收手册,局数据模板等文档的依据。本规范是该系列规范之一,明确了中国移动各类型设备所需满足的通用安全功能和配置要求,并作为本系列其他规范的编制基础。 本规范主要从账号管理及认证授权要求、日志安全要求、IP协议安全要求和设备其他安全要求4个方面,提出了28项基本安全功能要求和19项基本安全配置要求。同时,结合实际情况,进一步将各项安全要求分为“必选”和“可选”两类,其中必选要求31项,可选要求16项。原则上,中国移动各类设备必须满足与其相关的全部必选要求,有选择的满足可选要求。 本标准起草单位:中国移动通信有限公司网络部。 本标准解释单位:同提出单位。 本标准主要起草人:中国移动通信集团公司陈敏时、曹一生、徐海东、周智、杨永、魏来、李友国、陈欣。
2020年(安全管理)中国移动管理信息系统安全基线规范v
(安全管理)中国移动管理信息系统安全基线规范 v
QB-╳╳-╳╳╳-╳版本号:1.0.0
前言 本规范是针对操作系统、网络设备、数据库、中间件和WEB应用的系列安全基线,是各系统安全配置检查的基准,是中国移动管理信息系统产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固的权威性指南。 本规范由中国移动通信集团公司管理信息系统部提出并归口管理。 本规范的解释权属于中国移动通信集团公司管理信息系统部。 本规范起草单位:中国移动通信集团公司管理信息系统部 本规范主要起草人:起草人1姓名、起草人2姓名、…… 目录 1概述4 1.1目标和适用范围4 1.2引用标准4 1.3术语和定义4 2安全基线框架5 2.1背景5 2.2安全基线制定的方法论6 2.3安全基线框架说明6 3安全基线范围及内容7 3.1覆盖范围7 3.2安全基线组织及内容8 3.2.1 安全基线编号说明9 3.2.2 Web应用安全基线示例9 3.2.3 中间件、数据库、主机及设备示例9 3.3安全基线使用要求10 4评审与修订10
1概述 1.1目标和适用范围 本规范对各类操作系统、网络设备、数据库、中间件和WEB应用的安全配置和检查明确了基本的要求。本规范适用于中国移动管理信息系统的各类操作系统、网络设备、数据库、中间件和WEB应用,可以作为产品准入、入网测试、工程验收、系统运维配置、自我评估、安全加固的依据。 1.2引用标准 ◆《中国移动网络与信息安全总纲》 ◆《中国移动内部控制手册》 ◆《中国移动标准化控制矩阵》 ◆《中国移动操作系统安全功能和配置规范》 ◆《中国移动路由器安全功能和配置规范》 ◆《中国移动数据库安全功能和配置规范》 ◆《中国移动网元通用安全功能和配置规范》 ◆FIPS199《联邦信息和信息系统安全分类标准》 ◆FIPS200《联邦信息系统最小安全控制标准》 1.3术语和定义
中国移动通信各省市公司经营业绩考核管理办法
中国移动各省(区、市)公司经营业绩考核办法(版)
目录
中国移动各省(区、市)公司经营业绩考核办法(2010年版)为了充分贯彻公司整体发展战略,引导企业适应新形势的发展,协同公司发展目标,创造良好的经济效益,实现企业可持续发展,为股东创造更大的回报和价值,结合企业实际情况,特制定本考核办法。 一、考核范围 本办法适用于中国移动31个省、自治区、直辖市公司(以下简称各省公司)。 二、考核指标体系
三、考核指标计分方法和标准 (一)上市公司整体业绩考核指标 整体业绩考核是指对上市公司整体经营业绩状况的考核。 1、净利润(30分) 本指标主要考核公司整体净利润完成情况,按照目标法进行考核计分。整体净利润目标由公司管理层根据国资委和资本市场的要求确定。 当整体净利润实际完成值不低于目标值时,得30分;当实际完成值不高于目标值的60%时,得0分;当实际完成值处于目标值的60%-100%之间时,线性得分。 2、营运收入(20分) 本指标主要考核公司营运收入完成情况,按照目标法进行考核计分。整体运营收入目标由公司管理层根据国资委和资本市场的要求确定。 当整体营运收入实际完成值不低于目标值时,得20分;当实际完成值不高于目标值的60%时,得0分;当实际完成值处于目标值的60%-100%之间时,线性得分。 3、总资产报酬率(ROA,30分) 本指标主要考核公司总资产创利能力,按照目标法进行考核计分。整体ROA目标值由公司管理层根据国资委和资本市场的要求确定。 当整体ROA实际完成值不低于目标值时,得30分;当实际完成值低
于目标值3个百分点(含)以上时,得0分;当实际完成值处于低于目标值3个百分点至目标值区间内,线性得分。 4、客户满意度(20分) 本指标主要考核公司在客户满意度方面相对竞争对手所保持的领先程度。客户满意度由各省公司整体综合满意度加权平均得到。竞争对手客户满意度以中国电信移动客户和中国联通移动客户中综合满意度表现较高者确定。 客户满意度领先程度=省公司当年客户满意度-竞争对手当年客户满意度当领先程度在4个百分点以下时,按如下公式计算得分,最低为0分: 当领先程度为4个百分点时,得12分;当领先程度在13个百分点(含)以上时,得20分;当领先程度在4个百分点至13个百分点之间时,按如下公式计算得分: (二)省公司自身业绩考核指标 省公司自身业绩考核是指对省公司各自经营业绩状况的考核。 省公司自身业绩考核指标包括年度指标和长期指标,两者的考核期间不同,前者考核期间为一个会计年度,后者考核期间为连续三个会计年度。除ROA指标为长期指标外,下述其他指标均为年度指标。
中国移动WLAN设备安全功能与配置规范
中国移动W L A N设备 安全功能和配置规范 S p e c i f i c a t i o n f o r S e c u r i t y F u n c t i o n a n d C o n f i g u r a t i o n o f W L A N D e v i c e s U s e d i n C h i n a M o b i l e 版本号:3.0.0 网络与信息安全规范编号: X X X X-X X-X X发布X X X X-X X-X X(修订)中国移动通信集团公司发布
目录
前言 为了贯彻安全三同步的要求,在设备选型、入网测试、工程验收以及运行维护等环节,明确并落实安全功能和配置要求。有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范。本系列规范可作为编制设备技术规范、设备入网测试规范,工程验收手册,局数据模板等文档的依据。本规范是该系列规范之一,明确了中国移动各类型设备所需满足的通用安全功能和配置要求,并作为本系列其他规范的编制基础。 本标准起草单位:中国移动通信有限公司网络部 本标准解释单位:同提出单位 本标准主要起草人:严晗、申健、李小雪、翟庆庆
1概述 1.1适用范围 本规范适用于中国移动通信网、业务系统和支撑系统的各类WLAN设备。本规范对上述WLAN设备明确了基本的安全要求。本规范作为编制WLAN设备技术规范、WLAN设备入网测试规范,工程验收手册,局数据模板等文档的依据。 本规范通用安全功能和配置要求部分,适用于所有WLAN系统设备;之后的安全功能和配置要求部分,分别适用于WLAN系统对应的设备类型。 1.2内部适用性说明 本规范是在《中国移动设备通用设备安全功能和配置规范》(以下简称《通用规范》)各项设备功能要求的基础上,提出的WLAN设备的安全功能要求。以下列出本规范新增的安全功能要求,如下: 1.3外部引用说明 《中国移动网络与信息安全总纲》 《中国移动内部控制手册》 《中国移动标准化控制矩阵》 1.4术语和定义 设备功能要求:描述规范适用范围内设备必须和推荐满足的最低安全功能要求。可作为编制设备技术规范、设备测试规范的依据。在设备入网测试时使用。 设备配置要求:描述规范适用范围内设备必须和推荐采用的配置要求。可作为编制工程验收手册、局数据模板的依据。在工程验收和运行维护时采用。设备
中国移动设备通用安全功能和配置规范.docx
精品文档 中国移动设备 通用安全功能和配置规范 Sp e c i f i c a t i o n f o r Ge n e r a l Se c u r i t y F u n c t i o n a n d Co n f i g u r a t i o n o f De v i c e s Us e d 版本号: 2. 0. 0 ╳ ╳ ╳ ╳ - ╳ ╳ - ╳ ╳发布╳ ╳ ╳ ╳ -╳ ╳ -╳ ╳ 实施 中国移动通信有限公司网络部
目录 1.范围 (1) 2.规范性引用文件 (1) 2.1.内部引用 (1) 2.2.外部引用 (1) 3.术语、定义和缩略语 (1) 4.设备安全要求框架 (2) 4.1.背景 (2) 4.2.设备安全要求框架说明 (2) 4.3.本框架内各规范的使用原则 (3) 4.4.设备安全要求编号原则 (3) 5.设备通用安全功能和配置要求 (4) 5.1.账号管理及认证授权要求 (4) 5.1.1.账号安全要求 (4) 5.1.2.口令安全要求 (5) 5.1.3.授权安全要求 (6) 5.2.日志安全要求 (6) 5.2.1.功能要求: (6) 5.2.2.配置要求: (7) 5.3.IP 协议安全要求 (7) 5.3.1.功能要求: (7) 5.3.2.配置要求: (8) 5.4.设备其他安全要求 (8) 5.4.1.功能要求: (8) 5.4.2.配置要求: (8) 6.编制历史 (8)
前言 为了贯彻安全三同步的要求,在设备选型、入网测试、工程验收以及运行维护等环节,明确并落实安全功能和配置要求。有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范。本系列规范可作为编制设备技术规范、设备入网测试规范,工程验收手册,局数据模板等文档的依据。本规范是该系列规范之一,明确了中国移动各类型设备所需满足的通用安全功能和配置要求,并作为本系列其他规范的编制基础。 本规范主要从账号管理及认证授权要求、日志安全要求、 IP 协议安全要求和 设备其他安全要求 4个方面,提出了 28项基本安全功能要求和 19项基本安全配置 要求。同时,结合实际情况,进一步将各项安全要求分为“必选”和“可选”两类,其中必选要求 31项,可选要求 16项。原则上,中国移动各类设备必须满足与其相 关的全部必选要求,有选择的满足可选要求。 本标准起草单位:中国移动通信有限公司网络部。 本标准解释单位:同提出单位。 本标准主要起草人:中国移动通信集团公司陈敏时、曹一生、徐海东、周智、杨永、魏来、李友国、陈欣。
中国移动Informix数据库安全配置规范V1.0
中国移动I n f o r m i x数据库 安全配置规范 S p e c i f i c a t i o n f o r I n f o r m i x D a t a b a s e C o n f i g u r a t i o n U s e d i n C h i n a M o b i l e 版本号:1.0.0 ╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施中国移动通信有限公司网络部
目录 1.范围 (1) 2.规范性引用文件 (1) 2.1.内部引用 (1) 2.2.外部引用 (2) 3.术语、定义和缩略语 (2) https://www.360docs.net/doc/6714092193.html,RMIX安全配置要求 (3) 4.1.账号 (3) 4.2.口令 (5) 4.3.授权 (9) 4.4.日志 (12) 4.5.其他 (14) 5.编制历史 (15)
前言 为了贯彻安全三同步的要求,在设备选型、入网测试、工程验收以及运行维护等环节,明确并落实安全功能和配置要求。有限公司组织部分省公司编制了中国移动设备安全功能和配置系列规范。本系列规范可作为编制设备技术规范、设备入网测试规范,工程验收手册,局数据模板等文档的依据。本规范是该系列规范之一,明确了中国移动各类型设备所需满足的通用安全功能和配置要求,并作为本系列其他规范的编制基础。 本标准起草单位:中国移动通信有限公司网络部、中国移动通信集团公司广西公司 本标准解释单位:同提出单位 本标准主要起草人:谭彬、周智、曹一生、陈敏时。
1.范围 本规范适用于中国移动通信网、业务系统和支撑系统的Informix数据库。本规范明确了Informix数据库安全配置方面的基本要求。本规范作为编制设备技术规范、设备入网测试规范,工程验收手册,局数据模板等文档的依据。供中国移动内部和厂商共同使用。 2.规范性引用文件 2.1. 内部引用 本规范是在《中国移动设备通用设备安全功能和配置规范》(以下简称《通用规范》)各项设备配置要求的基础上,提出的Informix数据库安全配置规范。以下分项列出本规范对《通用规范》设备配置要求的修订情况。
移动集团公司内部控制手册业务流程完整版
移动集团公司内部控制 手册业务流程 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】
中国移动股有限公司内部控制手册 业务流程
目录 业务流程
资本性支出业务流程 招标及合同管理业务流程 一、业务流程范围 1 所涉及的业务范围 选择设计单位、承建商、供应商和监理公司;签订合同并对合同的执行和存档进行管理;组织采购;对购入物资的数量、质量和单价金额进行检验并对相关资产项目,以及应付账款进行记录;监督工 程建设的实施并适时进行验收;向供应商支付货款。 2 所涉及的部门范围 财务部门、法律事务部门、审计部门、纪检监察部门、网络规划部门、建设部门、采购部门以及其他有资本性支出需求的部门 二、目标 1 设备采购及项目招标行为规范、过程公开、竞争公平、裁决公正, 符合公司管理制度、国家法律法规和有关国际惯例的要求。 三、风险 1 未遵守合同条款要求,未遵循有关法律法规,导致合同索赔、项目 停滞或政府处罚。
四、相关会计科目 无 五、流程概述 (一) 招标流程 1 编制招标文件 当按规定需要采用招标方式确定物资供应商、施工单位、设计单位或者监理单位时,由采购部门/建设部门会同相关部门及单位负责 制作技术规范书和商务规范书,并合并形成招标文件。如果委托招标代理机构完成招标过程的,编制商务规范书和合并形成招标文件的工作由招标方组织招标代理机构完成。招标文件完成后由法律事务部门对相关法律文件的合法合规性进行审核,然后上交采购部门/项目管理部门/建设单位负责人或其授权人审批。上述相关部门或者单位审批后,按照项目金额和性质的不同,由相应的权限机构或其授权人员进行审阅。 如属于土建项目,则按规定必须由相关政府部门进行公开招标,相关流程不在此流程中规定。 对达到招标标准,但不采用招标方式的项目审批按照项目金额和性质的不同,由相应的权限机构进行审批。 2 组织招标 采用自行招标方式的项目,招标单位应该在招标工作开始以前取得自行招标资格,否则应委托招标公司完成招标工作,被委托招标的招标公司应具有相应的资质证明。
高级会计实务-专题五 企业风险管理、专题六 企业内部控制
专题五企业风险管理 主要依据: 管理会计应用指引第700号——风险管理 管理会计应用指引第701号——风险矩阵 一、企业风险管理概述 (一)企业风险的类别 企业风险是指未来的不确定性对企业实现其经营目标的影响。一般用事件后果和发生可能性的组合来表达。 (二)企业风险管理的构成要素 企业风险是由内部环境、目标设定、事件识别、风险评估、风险应对、控制活动、信息与沟通、监控评价构成。 二、企业风险管理方法 (一)企业风险管理流程 在内部环境的基础上,企业风险管理流程如下: 【典型例题】甲公司是一家境内上市公司,主要从事农药研发、生产、销售业务,拥有合成原药、加工、复配制剂的生产能力。甲公司2018年发生的与环境污染事件相关的部分资料如下:
2018年3月13日至23日,国家环境保护督察部门对甲公司进行专项督查,发现甲公司存在违规处置复配制剂产生的危险废物等行为,对当地环境造成了严重污染,甲公司根据国家环境保护法规相关条款并结合以前发生的类似案例,初步判断政府环境保护部门可能对公司给予3至5个月的停产整治处罚:公司一旦停产,大量客户订单将无法正常交付,合同纠纷难以避免;竞争对手可能趁机抢占市场份额,导致本公司市场占有率下降。 要求: (1)根据上述资料,从企业风险内容分类的角度,指出甲公司将面临哪些类别的风险,并分别说明理由。 (2)结合上述资料,指出规范的企业风险管理流程。 【参考答案及分析】 (1) ①运营风险[1.1][0.5分] 理由:公司可能停产整治。[1.2][0.5分] ②法律风险。[1.3][0.5分] 理由:订单无法正常交付导致合同纠纷(或:违规处置危险废物,可能被政府部门处罚)。 [1.4][0.5分] ③市场风险。[1.5][0.5分] 理由:竞争对手趁机抢占市场份额,导致市场占有率下降。[1.6][0.5分] 评分说明:答出全部风险类别(战略风险、财务风险、市场风险、运营风险、法律风险),且均未说明理由的,[1.1][1.2][1.3][1.4][1.5][1.6]均不得分。 (2)企业风险管理流程分为:目标设定-事件识别-风险评估-风险应对-风险监控(或风险监控与评价)[4.1][1分] 评分说明:风险管理流程答错、缺失、多答或顺序错误,不得分。 (二)风险评估 风险评估是在事件识别的基础上,进一步考虑潜在事件影响企业目标实现的程度,为风险应对策略提供支持。一般采用定性和定量相结合的方法,从发生的可能性和影响程度两个方面对事件进行评估。风险评估既包括对企业个别潜在事件正面和负面影响的评估,也包括对企业分类潜在事件正面和负面影响的评估。具体方法如下:
内部控制手册第部分内控矩阵(C)
内部控制手册第部分-内控矩阵(C)——,一般合同管理业务控制矩阵 15.1一般合同管理业务内部控制矩阵 业务目标 业务风险 控制点 适用单位 不相容 岗位 控制点分值 相关控制点资料 相关制度索引 会计报表认定 会计报表项目 1存在和发生/真实性;2完整性;3权利与义务;4估价或分摊;5表达和披露;6准确性 1 2 3 4 5 6
1.合同依据 1.1 经营风险:擅自订立合同,造成损失。 1.1合同主办部门应在本部门职责范围和权限内根据公司生产经营计划订立合同。生产经营计划包括但不限于物资采购计划、产品销售计划、大中小修计划等。 总部相关部门 分(子)公司 4 订立合同的相关依据 2.资信调查
1.1 经营风险:对方当事人不具备相应的签约和/或履约能力,引发合同纠纷。 2.1合同主办部门应当审查(或者配合内部资信管理部门审查)拟签约对象的主体资格、资信情况及履约能力等,进行综合分析论证,合理选择签约对象,必要时可提请相关部门予以协助。 总部相关部门分(子)公司 5 营业执照、资质文件、履约能力证明等资信调查分析记录 1.1 2.1 3.文本选择 1.1 经营风险:使用对我方加重义务减轻权利的合同文本,造成损失。 3.1签订合同时,应首选使用法律事务部颁布的合同示范文本;其次,使用对方在法律事务部颁布的合同示范文本基础上修改形成的合同文本;再次,使用双方共同拟订的文本;第四,使用对方合同文本。 总部相关部门 分(子)公司
合同 2.12.5 2.12.6 2.12.7 2.12.8 2.12.9 2.12.3 4.合同会签及审批 1.1 经营风险:未经不同专业部门负责把关,造成合同无法执行和/或内容不完整。 4.1合同主办部门根据合同的性质、种类、关联程度等确定合同会签部门,会签部门一般包括业务关联部门、计划部门、财务部门、法律事务部门等。 总部相关部门 分(子)公司 3 《合同会签审批表》