内部控制管理手册(中石油).pdf

资源描述

《内部控制管理手册(中石油).pdf》由会员分享，可在线阅读，更多相关《内部控制管理手册(中石油).pdf（69页珍藏版）》请在三一文库上搜索。

1、内部控制管理手册体系框架分册中国石油天然气股份有限公司二八年一月目录公司简介手册说明 1 总论 11 概述 12 内部控制体系框架 13 组织结构、职责与权限 2 控制环境 2.1 概述 2.2 诚信与道德价值观 2.3 发展目标. 2.4 管理理念与企业文化 2.5 风险管理策略. 2.6 董事会及下属委员会 2.7 组织结构 2.8 权利和责任分配 2.9 人力资源政策与措施 3.10 员工胜任能力 2.11 反舞弊机制 3 风险评估 31 概述 32 建立风险评估机制 33 建立并完善风险管理体系 4 控制活动 41 概述 42 控制活动的实施 5 信息与沟通 51 概述 5

2、2 信息 53 沟通 54 信息系统总体控制 55 信息系统应用控制 56 信息披露 6 监督 61 概述 62 持续监督 63 独立评估 64 缺陷报告附件内部控制管理手册（地区公司分册）编制规范公司简介中国石油天然气股份有限公司（简称“中国石油”）是于 1999 年 11 月 5 日在中国石油天然气集团公司（简称“中油集团”）重组过程中，按照中华人民共和国公司法成立的股份有限公司。在重组过程中，中油集团向中国石油注入了与勘探和生产、炼制和营销、化工产品和天然气业务有关的大部分资产和负债。中国石油是中国销售额最大的公司之一，广泛从事与石油、天然气有关的各项业务，包括： 1）原

3、油和天然气勘探、开发、生产和销售； 2）原油和石油产品的炼制、运输、储存和销售； 3）基本石油化工产品、衍生化工产品及其他化工产品的生产和销售； 4）天然气、原油和成品油的输送及天然气的销售。中国石油发行的美国存托股份、H 股及 A 股于 2000 年 4月 6 日、 2000 年 4 月 7 日和 2007 年 11 月 5 日分别在纽约证券交易所、香港联合交易所有限公司及上海证券交易所挂牌上市。中国石油的财务业绩优良，2004 年、 2005 年和 2006 年的净利润分别为1038 亿元人民币、 1333 亿元人民币和1422.24 亿元人民币。公司注册中文名称：中国石油天然气股

4、份有限公司公司英文名称：PetroChina Company Limited 公司法定代表人：蒋洁敏公司董事会秘书：李怀奇公司法定地址：中国北京东城区安德路16 号洲际大厦邮政编码： 100011 电话：（8610）84886270 传真：（8610）84886260 上市地点：上海证券交易所（A 股，股票代号为“N 石油”）、香港联合交易所有限公司（H 股，股票代号为“ HK00857 ” ）和纽约证券交易所（ADS ，股票代号为“PTR” ）。手册说明关于内部控制管理手册目的、意义及原则编制和实施内部控制管理手册（以下简称手册），是为了遵循国内及上市地法律法规

5、，进一步完善现代企业制度和法人治理结构，确保公司各项工作规范、有序运行，最大限度地减少或规避风险，提高公司的经营管理水平。通过编制手册，建立一套科学、系统的内部控制体系建设的方法和规范，为公司内部控制体系建设、运行和维护提供指引，并作为建立、运行及评价内部控制体系的依据。从而确保公司上下从思想上、认识上对内部控制体系保持高度统一，以进一步实现行为上的统一。手册编写遵循以下原则： 1）选用 COSO 内控框架进行体系设计； 2）以风险管理为核心的内部控制体系建设； 3）满足国内外监管要求。法律依据手册编写依据的法律法规。国内法律法规： 1）中华人民共和国会计法及配套法规；

6、2）企业会计准则； 3）中华人民共和国审计法； 4）审计署关于内部审计工作的规定； 5）中央企业内部审计管理暂行办法； 6）中央企业全面风险管理指引。国外法律法规： 1）萨班斯奥克斯利法案； 2）与财务报表审计协同进行的对于财务报告内部控制的审计； 3）与财务报表审计相结合的财务报告内部控制审计以及相关的独立性规定和一致性修正案（审计准则 5 号）； 4）有关财务报告内部控制管理层报告规则的修订（解释性指南）。标准： 1）COSO 内部控制框架； 2）COSO 企业风险管理整体框架。适用范围本手册所描述的内部控制体系覆盖并适用于： 1）本公司所有部门和所属单位； 2）本

7、公司内部控制体系所涉及的所有业务和管理活动。贯彻实施的责任和要求手册已经建立了一套科学、系统的内部控制体系建设方法和标准，是公司建设并实施内部控制体系的纲领性文件。为保证内部控制体系“设计有效、执行有力”，公司所属各单位要认真组织实施，严格遵照执行。各地区公司要充分认识内部控制体系建设工作的长期性和艰巨性，把建立和有效运行内部控制体系作为本单位的重要工作，建立长效机制，指定专职管理部门或专职管理岗位，履行内部控制职能，切实做到实施有力。为推动手册的贯彻执行，提高手册的使用效果，内部控制部每年至少举办一次手册使用培训。各地区公司要有计划地做好本单位的培训，将内控工作要求传达到每

8、个员工、每个岗位，确保执行到位。各地区公司要按照内部控制管理手册（地区公司分册）编制规范（见附件）的要求，修订、完善和细化本单位的分册。各地区公司内控管理部门要对本单位内部控制体系运行情况进行检查和督促，公司内部控制部将定期组织考核并进行通报。使用指南内容指引本手册包括六个分册，即体系框架分册、控制环境分册、风险评估分册、控制活动分册、信息与沟通分册及监督分册。 1）体系框架分册，描述了内部控制体系组织结构与职责，较为全面地阐述了内部控制体系的建设目标，并以COSO 内控框架为指引，从控制环境、风险评估、控制活动、信息与沟通和监督等五个方面对内控关注

9、要点及相应措施进行了较为全面、系统的阐述； 2）控制环境分册，描述了控制环境的概念，并从诚信与道德价值观、发展目标、管理理念与企业文化、风险管理策略、董事会及下属委员会、组织结构、权利和责任分配、人力资源政策与措施、员工胜任能力以及反舞弊机制等十个方面对内控关注要点、措施进行了阐述； 3）风险评估分册，描述了风险和风险评估的基本概念以及风险的分类，从建立风险评估目标、风险评估机制、建立并完善风险管理体系三个方面对内控关注要点及相应措施进行了阐述，并汇编了风险评估的相关方法、规范及管理制度； 4）控制活动分册，描述了控制活动的概念及分类，对公司控制活动的实施进行了概括，并汇编

10、了关键控制管理文件； 5）信息与沟通分册，描述了信息与沟通的概念及要素，从信息、沟通、信息系统及信息披露等五个方面对内控关注要点及相应措施进行了阐述； 6）监督分册，描述了监督的概念及要素，并从持续监督、独立评估和缺陷报告三个方面对内控关注要点及相应措施进行了阐述，并汇编了相关管理制度及规范。使用要求本手册是公司重要文件，属公司机密。各单位应按相关要求正确使用，未经允许，不得复印，不得对外泄露。在使用过程中遇到疑难问题，及时向内部控制部咨询。管理与维护内部控制部对手册进行规范管理，以保证其有效、完整、统一和适用。编写与发布手册由内部控制部组织编写，内控体系建设委员会

11、审定，股份公司行文发布。发放 1）手册须按发放范围统一发放。发放范围由内部控制部提出，经管理层批准执行。一般包括总裁、副总裁、机关职能部门、专业分公司、地区公司及其下属单位等。 2）手册包括纸质版和电子版两种。电子版的配发范围为业务流程管理信息系统的覆盖范围；纸质版的配发范围为公司所属单位及特殊使用者。维护手册的维护是一项长期性、经常性的重要工作，需要各单位高度重视，积极参与，大力配合。手册的修订、维护由内部控制部负责。每年，内部控制部将根据国内和上市地新出台的相关法律法规的要求、内外部审计对公司内部控制的评价、公司内控管理中出现的新问题以及地区公司反馈的意见及建议等，对

12、手册进行修订，经总裁批准执行。各地区公司应指定专职管理部门负责本单位手册的日常管理和维护。对手册日常使用过程中发现的问题，应认真记录并及时反馈给内部控制部。内部控制部应及时掌握手册的执行情况，并采取有效措施确保内部控制管理体系的有效运行。关键术语和定义 C0SO COSO 是自愿性的私人组织，致力于通过强化商业道德、建立完善有效的内部控制和法人治理结构以提高财务报告的质量。1985 年，由美国注册会计师协会（AICPA ）、会计协会（AAA ）、财务经理协会（FEI）、内部审计师协会（IIA ）、管理会计师协会（IMA ）联合创建了反虚假财务报告委员会。该委员会旨在

13、探讨财务报告中舞弊产生的原因，并寻求解决措施。两年后，该委员会提出了很多有价值的建议。基于该委员会的建议，其赞助机构成立了COSO 委员会，专门研究内部控制问题。 COSO 框架 1）COSO 内部控制整体框架反虚假财务报告委员会于1987 年签署了报告，号召研究并制定一个统一的内部控制框架。1992 年 9 月，COSO 委员会提出了报告内部控制整体框架（1994 年进行了增补），即 COSO 内部控制框架。 COSO 内部控制框架被广泛地选择作为构建和完善内部控制体系的标准，是因为：虽然COSO 内部控制框架并非唯一的内部控制框架，但却是美国证券交易委员会唯一推荐使用的内部控制

14、框架，萨班斯奥克斯利法案第 404 条款的“最终细则” 也明确表明COSO 内部控制框架可以作为评估公司内部控制的标准。 COSO 框架提出五个互相关联的组成要素，根据公司的规模和结构，公司可采用不同的方式来实施这些组成要素，但是所有公司都必须涉及这五个组成要素。因此，在对内部控制进行评估时，管理层必须考虑以下每个组成要素：控制环境：控制环境是内部控制体系的基础，是有效实施内部控制的保障，直接影响着公司内部控制的贯彻执行、公司经营目标及整体战略目标的实现。控制环境确定了公司的总体态度，是内部控制所有其他组成要素的基础。控制环境包括职业道德、员工的胜任能力、管理理念和经营风格、组

15、织结构、权利和责任的分配、人力资源政策与措施、董事会与审计委员会以及反舞弊等内容。风险评估：风险评估是识别及分析影响公司目标实现的风险的过程，是风险管理的基础。在风险评估中，应识别和分析对实现目标具有阻碍作用的风险。控制活动：控制活动是确保管理层的指令得到贯彻执行的必要措施，存在于整个机构内所有级别和职能部门。包括批准、授权、查证、核对、经营业绩评价、资产保全措施和职责分工等活动。信息与沟通：信息与沟通是公司经营管理所需的信息被识别、获得并以一定形式及时地传递，以便员工履行职责。信息不仅包括内部产生的信息，还包括与公司经营决策和对外报告相关的外部信息。畅通的沟通渠道和机制

16、使公司的员工能及时取得他们在执行、管理和控制公司经营过程中所需的信息，并交换这些信息。监督：监督是对内部控制体系有效性进行评估的持续过程，包括持续监督、独立评估和缺陷报告等。 2）COSO 企业风险管理整体框架最近数年，企业风险管理成为焦点而受到突出关注，需要一个强有力的框架以有效地识别、评估和管理风险。 2004 年 9 月， COSO 委员会发布企业风险管理整体框架，在内部控制的基础上，扩展、提供了一个更强有力的框架，更广泛地专注企业的全面风险管理。该框架不会取代内控框架，而是将内控框架与其融合为一体。公司仍可以决定依靠这个企业风险管理框架去满足企业内控的需要，通过采用更全面

17、的风险管理方法使企业持续发展。企业风险管理由八项相互关联的要素组成，来自管理层经营企业的方式，并融入管理过程本身。这些要素包括：内部环境：内部环境包含了一个企业的基调，为该企业管理层和员工审视和应对风险的方式制定基础，包括风险管理理念和风险容量、诚信和道德价值观以及他们进行经营活动所处的环境。目标制定：在管理层能够识别影响目标实现的潜在事件之前，企业必须已制定目标。企业风险管理确保管理层使制定目标的流程到位，并保持选择的目标支持企业的使命并与此并行不悖，同时这些目标也与企业的风险容量相一致。事件识别：必须识别出影响企业实现目标的各种外部和内部事件，并区分风险和机遇。可以

18、在管理层制定企业战略或目标的过程中对机遇加以考虑。风险评估：应对风险进行分析，考虑其发生的可能性和影响，以作为确定应如何管理风险的基础。还应对企业固有风险及残存风险进行评估。风险反应：管理层选择风险反应方案：规避风险、接受风险、减少风险或分担风险，采取一系列措施使风险维持在企业的风险承受度和风险容量范围之内。控制活动：确立和实施政策和程序，以有助于确保风险反应方案得以有效地贯彻执行。信息与沟通：相关信息以某种形式和在一定时限内被识别、获得和传达沟通，以便使员工履行自己的职责。从广义上讲，有效的沟通也应自上而下、自下而上地进行，贯穿整个企业。监督：监督整个企业风险管理

19、过程，并根据需要作出修改。通过持续性监督活动、独立评估或两者兼而有之来完成监督。内部控制 COSO 内部控制框架认为，内部控制是受公司董事会、管理层和其他人员影响，为实现经营的效率和效果、财务报告的可靠性、相关法规的遵循性等目标而提供合理保证的过程。企业风险管理 COSO 企业风险管理整体框架认为，企业风险管理是一个受到企业董事会、管理层和其他人员影响的过程，这个过程从企业战略制定一直贯穿到企业的各项活动中，旨在识别那些可能影响企业的潜在事件并管理风险使之在企业的风险容量之内，从而合理确保企业实现其既定目标。 PCAOB PCAOB 是美国上市公司会计监管委员会的英文缩写。美国上

20、市公司会计监管委员会（PCAOB ）是根据 2002 年 7 月 30 日美国总统乔治布什签署的萨班斯奥克斯利法案成立的。其宗旨在于通过准备独立、准确的审计报告来保护投资者的利益，从而进一步保护公众的利益。根据美国联邦法律规定，PCAOB 有权制定一系列准则来指导和约束上市公司的审计。联邦法律还要求PCAOB 每年向 SEC 和美国国会中主管PCAOB 的委员会同时提交报告。对财务报告的内部控制财务报告的内部控制是由公司主要管理人员和财务管理人员或者执行类似职能的人员设计和监督的，由公司董事会、管理层及其他人员实施，并能合理确保财务报告的可靠性，以及向外部相关方提供的财务报表的编

21、制符合公认会计准则的一个流程。该流程涉及对交易进行记录、记录的维护以及对未经授权的收购、使用或处置公司资产的行为进行防范或检测的措施。设计方案的有效性当内部控制能够满足内控目标，并能防止或发现可能导致财务报表发生重大错报或舞弊时，财务报告内部控制的设计方案就是有效的。运行有效性当设计恰当的内控按设计运行，并且执行内控的相关人员具备有效执行控制所需的权限和资格时，对于财务报告的内部控制的运行是有效的。 1 总论 11 概述 1.1.1 框架编制的目的通过确定内部控制体系建设目标，明晰内部控制体系建设的范围和内容，为公司建设以风险管理为核心内容的内部控制体系提供指引，以建立统

22、一、规范、有效的内部控制体系，增强公司风险防范能力，为公司战略发展提供合理保障。 1.1.2 框架编制的原则 1）合法性原则。以国内及上市地法律法规为准绳，结合公司实际建立内部控制体系。 2）完整性原则。以 COSO 内部控制整体框架为基础，融合 COSO 企业风险管理整体框架的主要内容，结合国家监管部门的基本要求，全面开展内部控制体系建设，覆盖全部业务和部门。 3）继承性原则。在公司现有管理体系的基础上，依托已有管理优势，建立内部控制体系。 4）效率性原则。在保证体系设计合理性的前提下，提高公司运营效率和效益。 1.1.3 框架编制的依据国资委中央企业全面风险管理指引；萨班斯奥克斯

23、利法案；美国上市公司会计监管委员会（PCAOB ）发布的相关审计准则；COSO 内部控制整体框架； COSO 企业风险管理整体框架及公司相关管理规定。 1.1.4 框架编制的思路与方法在现有内控体系框架的基础上，结合COSO 企业风险管理整体框架的主要内容，按照国资委中央企业全面风险管理指引的基本要求，增加控制目标和体系建设内容，汲取国内外其他公司内部控制体系建设的先进经验，根据公司管理实际编制内部控制体系框架。 1.1.5 体系框架的实施框架明确了公司内控工作任务，是制定内控工作规划的依据。框架确定的工作目标将在今后分年度实施。 1.2内部控制体系框架 1.2.1 内部控制体

24、系建设的总体目标公司内部控制体系建设的总体目标是：建立以风险管理为核心内容，涵盖公司经营管理各领域，较为完善、运行有效的内部控制体系，为公司战略发展提供合理保障。 1.2.2 内部控制体系建设指导思想充分认识公司建设内部控制体系工作的严肃性、重要性和紧迫性，以萨班斯奥克斯利法案的颁布为契机，以国资委发布的中央企业全面风险管理指引为指导，以提高公司管理水平为动力，依托已有的管理优势，适应公司国际化发展要求，开展以风险管理为核心内容的内部控制体系建设，为公司战略发展提供合理保障，从而树立和维护公司在国际资本市场诚信、稳健和安全的良好形象。 1.2.3 框架的主要内容 1.2.3.1 控

25、制环境控制环境确立公司风险管理的总体态度，是内部控制体系的基础，是有效实施风险管理的保障，直接影响内部控制体系的执行、公司经营目标及整体战略目标的实现。风险管理是受公司董事会、管理层和其他人员影响的过程，这个过程从公司战略制定一直贯穿到企业的各项活动中，旨在识别那些可能影响公司目标的潜在因素并予以管理，使之在公司的风险容量之内，从而为公司实现其目标提供合理保证。控制环境包括诚信与道德价值观、发展目标、管理理念与企业文化、风险管理策略、董事会及下属委员会、组织结构、权利和责任分配、人力资源政策与措施、员工胜任能力以及反舞弊机制等内容。 1）诚信与道德价值观：建立涵盖公司各个层面的员工

26、职业道德规范，体现公司诚信与道德价值观念，树立员工诚信价值观。 2）发展目标：制定公司战略目标，并在此基础上制定相关经营目标、报告目标和合规性目标。 3）管理理念与企业文化：确立公司管理理念，体现公司的经营管理风格；确立公司风险管理理念，体现公司认知经营管理风险所共有的信念和态度。继承和发扬公司企业文化，体现公司的经营宗旨、价值观念和行为准则；将风险管理文化融入企业文化建设全过程，树立和传播正确的风险管理理念，增强守法意识和诚信意识，将风险管理意识转化为员工的共同认识和自觉行动，提高全员风险意识。公司高级管理人员应在继承和发扬风险管理文化中发挥表率作用，中层管理人员应继承和发扬风险

27、管理文化的骨干作用。 4）风险管理策略：公司围绕发展战略，确定风险容量、风险承受度、风险管理有效性标准，体现公司风险管理的总体策略，并据此制定风险反应方案。公司确定针对发展战略的风险容量，体现公司在战略制定与实施过程中愿意承受的风险范围和风险水平，反映公司的风险偏好。公司针对特定目标，制定具体的风险承受度，体现在实现特定目标过程中公司对差异的可接受程度。公司确定风险容量和风险承受度，要正确认识和把握风险与收益的平衡，防止忽视风险，片面追求收益或者单纯为规避风险而放弃发展机遇。风险承受度与风险容量保持一致。公司根据风险管理的总体目标，制定风险管理有效性标准。 5）董事会及下属委员会

28、：董事会的设立符合国内外法律法规的规定。董事会负责督导公司内部控制体系的建立和实施，督导公司将风险管理融入战略管理之中，监督公司以风险管理为核心内容的内部控制工作。董事会下属的审计委员会的设立符合国内外法律法规的规定，负责监督内部控制体系运行与评价情况。 6）组织结构：建立规范的法人治理结构，优化组织结构，明确部门权责并细化落实到各个岗位，规范组织机构编制管理工作。建立内部控制体系运行网络。建立健全公司内部控制管理组织体系，明确内部控制组织体系的职责分工，形成包括董事会、审计委员会、管理层、内控体系建设委员会、内部控制管理部门、其他职能部门及各业务单位在内的内部控制管理组织体系

29、。各单位根据实际情况，按规定设置内部控制管理机构或管理岗位负责内部控制日常管理工作。内部控制管理工作应与其他管理工作紧密结合，把内控管理的各项要求融入企业管理和业务流程中。 7）权利和责任分配：建立完善的公司权责管理体系，制定完善的授权管理文件。 8）人力资源政策与措施：建立完善的公司管理人员任用选拔、管理考核和激励监督等方面的政策。 9）员工胜任能力：健全全员职业培训和技能考核机制，持续提高员工的综合素质和工作能力。 10）反舞弊机制：制定反舞弊相关制度，建立反舞弊机制。持续开展舞弊风险评估，建立舞弊风险数据库。制定反舞弊控制措施，持续开展舞弊调查并进行违规处理。监督反舞弊机制运行效果

30、并逐步予以完善。 1.2.3.2 风险评估风险是指未来的不确定性对公司实现其目标的影响。风险评估是识别及分析影响公司目标实现的因素的过程，是风险管理的基础。在风险评估中，既要识别和分析对实现目标具有阻碍作用的风险，也要发现对实现目标具有积极影响的机遇。公司制定完善的风险评估规范，明确风险评估的程序和方法，规范公司风险评估工作。公司风险评估工作由内控部门组织有关职能部门和业务单位实施。 1）风险评估范围公司针对战略目标、经营目标、报告目标、合规性目标，分别确认风险评估的范围。 2）风险评估的基本程序（1）信息收集。围绕公司战略目标和相关目标以及风险管理要求，相关职能部门、业务单位

31、和内控管理部门广泛、持续收集与公司风险及风险管理相关的内部、外部各种信息，包括收集历史数据和未来信息，关注宏观经济与经营环境、竞争对手、新技术与新产品、海外经营、公司重组、业务整合、会计政策、信息系统、资本运作等方面已经发生和将要发生的变化情况。公司对收集的数据、信息和变化情况进行必要的筛选、提炼、对比、分类、组合，形成与公司风险管理相关的信息资料库并不断更新，以便进行风险评估。（2）风险识别。风险识别是指查找公司各项重要经营管理活动及其重要业务流程中存在的影响目标实现的风险和机遇的过程。公司分别从公司层面、业务活动层面，动态识别影响公司战略目标及相关目标实现的、内部和外部的各

32、种不确定性因素。带负面影响的因素代表风险，需要对其分析和应对；带积极影响的因素代表机遇，在制定目标和政策实施过程中对其加以考虑并把握。公司层面风险识别。公司从战略发展的角度，识别公司层面面临的所有重大的不利因素和有利因素，从而识别风险，发现机遇。这些因素来自外部和内部两个方面，外部因素主要包括政治因素、经济因素、社会因素、自然环境因素等；内部因素主要包括基础设施因素、员工因素、流程因素和技术因素等。业务活动层面风险识别。公司制定业务流程描述规范，建立流程目录并用流程图对所有业务进行直观描述。在业务流程描述的基础上，以业务流程步骤为主线，全面识别影响目标实现的相关因素。（3）风险评

33、价。风险评价是评估风险对公司实现目标的影响程度和风险发生可能性的过程。公司针对固有风险和残存风险，运用定性和定量的方法，对公司层面和业务活动层面风险发生的可能性和影响程度进行分析、评价，并按照风险排序标准和方法，确定风险重要性水平，识别公司重大风险，确定风险管理的优先顺序。（4）风险反应。风险反应是公司针对风险发生的原因、风险重要性水平，考虑风险之间的关系并把握机遇，运用风险组合观，选择风险反应方案的过程。风险反应方案包括回避风险、减少风险、分担风险、接受风险。 3）风险数据库公司按照规定的程序和方法，开展公司层面风险和业务活动层面风险评估后，结合风险因素、重要性水平和风险

34、反应方案，编制与维护公司层面风险数据库和业务活动层面风险数据库。 1.2.3.3 控制活动控制活动是确保管理层关于风险应对方案得以贯彻执行的政策和程序。控制活动存在于公司所有级别的分支机构和职能部门，包括授权、批准、查证、核对、报告、内部审计、重大风险预警、企业法律顾问、经营业绩评价和资产保全措施等活动。公司应根据风险管理策略，针对各类风险或每一项重大风险制定相关的规章制度、控制政策和控制措施，确保风险控制在风险承受度的范围内。公司针对风险建立的规章制度、控制政策和控制措施，要满足合规的要求，坚持经营战略与风险策略一致、风险控制与运营效率及效果相平衡的原则，针对重大风险所涉及的各

35、管理及业务流程，制定涵盖各个环节的全流程控制措施；对其他风险所涉及的业务流程，要把关键环节作为控制点，采取相应的控制措施。公司应当按照各有关部门和业务单位的职责分工，组织实施控制措施。 1）针对公司层面风险，按照风险反应方案，建立相应的公司层面风险控制政策，制定公司统一的规章制度，统驭业务活动层面控制。 2）针对业务活动层面风险，以公司层面控制政策为导向，规范业务流程，制定业务活动层面风险控制措施。（1）控制现状描述与分析。制定风险控制文档编制规范和模板，对业务流程进行风险控制分析，编制风险控制文档（RCD），对控制的合理性、完整性进行分析。（2）规范、统一业务流程。根据风险

36、控制分析结果，补充、完善相关控制，规范、统一流程步骤、控制规范和记录表单，建立规范、统一的业务流程。（3）建立关键控制。建立完善的关键控制确认方法，确定所有业务流程的关键控制并建立关键控制管理文件。（4）强化自动控制。通过实施信息系统自动控制，固化流程操作程序，提高控制执行效率和效果。 3）财务会计报告流程。建立健全财务会计报告流程，完善财务会计报告相关制度。 4）建立并实施经营管理活动分析评价制度。各级管理层开展经营管理活动分析，对经营管理情况实施审核和监督。 1.2.3.4 信息与沟通信息与沟通是公司经营管理所需的信息被识别、获得并以一定形式及时地传递，以便员工履行职责。信息

37、不仅包括内部产生的信息，还包括与公司经营决策和对外报告相关的外部信息。畅通的沟通渠道和机制使公司的员工能及时取得他们在执行、管理和控制公司经营过程中所需的信息。公司建立符合发展战略并与经营管理活动一体化的信息系统，为公司风险管理提供足够的信息资源和顺畅的沟通渠道。 1）信息资源收集。公司持续不断地识别、收集、整理与归纳来自内部与外部、经营与管理的各种信息。针对不同的信息来源和信息类型，明确各种信息的收集人员、收集方式、传递程序、报告途径和加工与处理要求，确保经营管理各种信息资源得到及时、准确、完整收集。 2）信息沟通渠道。公司建立横向和纵向相互通畅、贯穿整个公司的信息沟通渠道，确保公

38、司目标、风险策略、风险现状、控制措施、员工职责、经营状况、市场变化等各种信息在公司内部得到有效的传达。公司建立适当的渠道，与公司的相关方如供应商、客户、律师、股东、监管机构、外部审计师，就相关信息进行必要的外部沟通。 3）信息披露。公司制定完善的信息披露管理制度，明确重大事项的判定标准和报告程序，确定披露事项的收集、汇总和披露程序，符合资本市场监管要求。 4）信息系统公司将信息技术应用于风险管理各项工作，运用信息系统对经营管理进行过程控制和信息的采集、存储、加工、分析、测试、传递、报告和披露等，实现对各种风险计量和定量分析、定量测试；能够适时反映风险矩阵和排序频谱、重大

39、风险和重要业务流程的监控状态并进行重大风险预警；能够满足风险管理内部信息报告制度和企业对外信息披露管理制度的要求。信息系统应实现信息在各职能部门、业务单位之间的集成与共享，既能满足单项业务风险管理的要求，也能满足企业整体和跨职能部门、业务单位的风险管理综合要求。（1）建立信息系统总体控制。建立包括信息系统的控制环境、信息安全、项目建设管理、系统变更管理、系统运行维护、最终用户操作等六方面内容的信息系统总体控制规范与规章制度。（2）建立信息系统应用控制。全面识别应用系统相关风险，建立完善的应用系统控制规范，对应用系统的输入、处理和输出进行有效控制。公司信息系统提供的信息应达到一致性

40、、准确性、及时性、可用性和完整性的目标。公司确保信息系统稳定运行和安全，并根据实际需要不断进行改进、完善或更新。（3）建立流程管理信息系统。建立统一业务流程管理平台，实现业务流程语言、设计规范、管理制度、控制措施、流程发布的统一管理，建成满足全面风险管理，具有开放性、可拓展性的流程管理信息系统。 1.2.3.5 监督监督是对内部控制体系有效性进行评估的持续过程。包括持续监督、独立评估和缺陷报告等。公司应以重大风险、重大事件和重大决策、重要管理及业务流程为重点，对内控体系的有效性实施监督。 1）持续监督。公司制定内部控制体系运行与维护管理制度，定期维护内部控制管理手册，将内部控制工

41、作纳入公司各级管理层业绩考核，构建内部控制体系运行长效机制。公司各级管理部门、流程责任部门，在体系日常运行中，实施自我监督和自我检查，并将检查、检验报告报送内控管理部门。 2）独立评估。以风险为导向，建立完整的测试规范，定期对各部门和业务单位内部控制体系有效性进行检查和监督。 3）缺陷报告。建立健全缺陷报告管理机制，制定缺陷认定规范，明确上报内控缺陷的程序。 13 组织结构、职责与权限 131 目的通过建立分工合理、职责明确、报告关系清晰的组织结构，明确内控管理决策机构、管理机构、执行机构和监督机构的责任和义务，确保本公司内部控制的职责、权限及其相互关系得到规定和沟通，使本公司内部

42、控制体系得到有效运行。 132 机构公司内部控制和风险管理体系工作，在总裁领导下形成决策、管理、执行、监督四个层次的管理架构： 1）决策机构：内控体系建设委员会是公司内部控制和风险管理工作的决策机构； 2）管理机构：内部控制部作为公司内部控制体系日常管理部门和委员会的办事机构； 3）执行机构：总部各部门、专业分公司、地区公司作为执行层，按照内部控制和风险管理体系的统一要求，具体组织落实； 4）监督机构：审计部门行使监督职能，负责对体系运行状况实施测试监督。为加强对内部控制体系管理工作的组织和领导，各地区公司成立相应的内控体系建设委员会。内控体系建设委员会由各单位有关领导和部门负责人组

43、成，由总经理担任内控体系建设委员会主任。内控体系建设委员会下设办公室。 133 职责与权限 1331 公司内控体系建设委员会主要职责 1）审定内部控制体系框架及实施计划。 2）审定内部控制体系建立、测试和评估方案，对内部控制体系建设工作进行安排、部署。 3）协调解决内部控制体系建设工作中的重大问题。 4）审查批准对各部门、专业分公司和地区公司进行内部控制体系建设的考核方案，并组织实施。 5）负审定需要提交董事会或管理层解决的重大事项。 6）督导、督促公司内部控制体系的建立、完善和运行。 1332 内部控制部主要职责 1）根据国家有关法律、法规及相关规定，负责组织制定集团公司、股份公司内部控

44、制及风险管理制度、标准及方法； 2）负责编制集团公司、股份公司内部控制及风险管理体系建设规划、体系框架，并组织实施； 3）负责组织集团公司、股份公司风险评估工作，确定重大风险，建立风险数据库； 4）负责组织和协调集团公司、股份公司业务流程相关工作管理； 5）负责组织集团公司、股份公司风险控制设计及实施，负责内部控制及风险管理体系日常维护； 6）协调内、外部审计测试，组织开展运行评价、改进测试和缺陷评估。负责组织内部控制及风险管理体系运行监督考核； 7）代拟股份公司管理层内部控制评估报告，协助董秘局处理对外披露相关事宜； 8）负责集团公司、股份公司内部控制及风险管理业务培训。 1333 公司

45、各部门、专业分公司、地区公司职责 1）审计部负责内部控制体系执行有效性的监督，组织实施管理层测试，其主要职能包括：（1）编制管理层测试计划和方案，经管理层批准后组织实施；（2）按照审计规定和公司发布的内部控制体系评价规范，每年定期组织实施管理层测试，对测试结果进行汇总、确认和分析，并分别向管理层和审计委员会汇报；（3）对被测试单位（股份公司机关、专业公司、地区公司）出具测试报告。 2）监察部、审计部负责建立和完善反舞弊工作机制。 3）信息管理部负责公司信息系统总体控制和应用控制管理制度的建立、运行维护工作。 4）法律部负责公司规章制度和法律风险的综合管理 5）公司各部门、专业公司按照内部控制和风险管理体系的各项要求，具体负责本部门、专业公司内控体系建设、运行、维护等工作的具体实施。 6）地区公司内控建设是股份内控体系的组成部分。地区公司按照内部控制管理手册的要求，具体负责本公司内部控制体系建设、运行、维护等工作，并对特殊风险和业务流程制定专门管理办法。地区公司的内部控制管理接受公司内部控制部领导。 2 控制环境 2.1 概述 2.1.1 概念

展开阅读全文