1、内部控制管理手册体系框架分册中国石油天然气股份二八年一月目 录企业介绍 手册说明 1 总论11 概述12 内部控制体系框架13 组织结构、职责和权限2 控制环境2.1 概述 2.2 诚信和道德价值观 2.3 发展目标.2.4 管理理念和企业文化 2.5 风险管理策略 . 2.6 董事会及下属委员会 2.7 组织结构. 2.8 权利和责任分配2.9 人力资源政策和方法3.10 职员胜任能力 2.11 反舞弊机制3 风险评定 31 概述 32 建立风险评定机制 33 建立并完善风险管理体系 4 控制活动 41 概述 42 控制活动实施 5 信息和沟通 51 概述 52 信息 53 沟通 54 信息
2、系统总体控制 55 信息系统应用控制 56 信息披露 6 监督 61 概述 62 连续监督 63 独立评定 64 缺点汇报 附件 内部控制管理手册(地域企业分册)编制规范 企业介绍中国石油天然气股份(简称“中国石油”)是于1999年11月5日在中国石油天然气集团企业(简称“中油集团”)重组过程中,根据中国企业法成立股份。在重组过程中,中油集团向中国石油注入了和勘探和生产、炼制和营销、化工产品和天然气业务相关大部分资产和负债。中国石油是中国销售额最大企业之一,广泛从事和石油、天然气相关各项业务,包含:1)原油和天然气勘探、开发、生产和销售;2)原油和石油产品炼制、运输、储存和销售;3)基础石油化
3、工产品、衍生化工产品及其它化工产品生产和销售;4)天然气、原油和成品油输送及天然气销售。中国石油发行美国存托股份、H股及A股于4月6日、4月7日和11月5日分别在纽约证券交易所、香港联合交易所及上海证券交易所挂牌上市。中国石油财务业绩优良,、和净利润分别为1038亿元人民币、1333亿元人民币和1422.24亿元人民币。企业注册汉字名称:中国石油天然气股份企业英文名称:PetroChina Company Limited企业法定代表人:蒋洁敏企业董事会秘书:李怀奇企业法定地址:中国北京东城区安德路16号洲际大厦邮政编码:100011电话:(8610)84886270传真:(8610)84886
4、260上市地点:上海证券交易所(A股,股票代号为“N石油”)、香港联合交易所(H股,股票代号为“HK00857”)和纽约证券交易所(ADS,股票代号为“PTR”)。手册说明相关内部控制管理手册目标、意义及标准编制和实施内部控制管理手册(以下简称手册),是为了遵照中国及上市地法律法规,深入完善现代企业制度和法人治理结构,确保企业各项工作规范、有序运行,最大程度地降低或规避风险,提升企业经营管理水平。经过编制手册,建立一套科学、系统内部控制体系建设方法和规范,为企业内部控制体系建设、运行和维护提供指导,并作为建立、运行及评价内部控制体系依据。从而确保企业上下从思想上、认识上对内部控制体系保持高度统
5、一,以深入实现行为上统一。手册编写遵照以下标准:1)选择COSO内控框架进行体系设计;2)以风险管理为关键内部控制体系建设;3)满足中国外监管要求。法律依据手册编写依据法律法规。中国法律法规:1)中国会计法及配套法规;2)企业会计准则;3)中国审计法;4)审计署相关内部审计工作要求;5)中央企业内部审计管理暂行措施;6)中央企业全方面风险管理指导。国外法律法规:1)萨班斯奥克斯利法案;2)和财务报表审计协同进行对于财务汇报内部控制审计;3)和财务报表审计相结合财务汇报内部控制审计和相关独立性要求和一致性修正案(审计准则5号);4)相关财务汇报内部控制管理层汇报规则修订(解释性指南)。标准:1)
6、COSO内部控制框架;2)COSO企业风险管理整体框架。适用范围本手册所描述内部控制体系覆盖并适适用于:1)本企业全部部门和所属单位;2)本企业内部控制体系所包含全部业务和管理活动。落实实施责任和要求手册已经建立了一套科学、系统内部控制体系建设方法和标准,是企业建设并实施内部控制体系纲领性文件。为确保内部控制体系“设计有效、实施有力”,企业所属各单位要认真组织实施,严格遵照实施。各地域企业要充足认识内部控制体系建设工作长久性和艰巨性,把建立和有效运行内部控制体系作为本单位关键工作,建立长久有效机制,指定专职管理部门或专职管理岗位,推行内部控制职能,切实做到实施有力。为推进手册落实实施,提升手册
7、使用效果,内部控制部每十二个月最少举行一次手册使用培训。各地域企业要有计划地做好本单位培训,将内控工作要求传达成每个职员、每个岗位,确保实施到位。各地域企业要根据内部控制管理手册(地域企业分册)编制规范(见附件)要求,修订、完善和细化本单位分册。各地域企业内控管理部门要对本单位内部控制体系运行情况进行检验和督促,企业内部控制部将定时组织考评并进行通报。使用指南内容指导本手册包含六个分册,即体系框架分册、控制环境分册、风险评定分册、控制活动分册、信息和沟通分册及监督分册。1)体系框架分册,描述了内部控制体系组织结构和职责,较为全方面地叙述了内部控制体系建设目标,并以COSO内控框架为指导,从控制
8、环境、风险评定、控制活动、信息和沟通和监督等五个方面对内控关注关键点及对应方法进行了较为全方面、系统叙述;2)控制环境分册,描述了控制环境概念,并从诚信和道德价值观、发展目标、管理理念和企业文化、风险管理策略、董事会及下属委员会、组织结构、权利和责任分配、人力资源政策和方法、职员胜任能力和反舞弊机制等十个方面对内控关注关键点、方法进行了叙述;3)风险评定分册,描述了风险和风险评定基础概念和风险分类,从建立风险评定目标、风险评定机制、建立并完善风险管理体系三个方面对内控关注关键点及对应方法进行了叙述,并汇编了风险评定相关方法、规范及管理制度;4)控制活动分册,描述了控制活动概念及分类,对企业控制
9、活动实施进行了概括,并汇编了关键控制管理文件;5)信息和沟通分册,描述了信息和沟通概念及要素,从信息、沟通、信息系统及信息披露等五个方面对内控关注关键点及对应方法进行了叙述;6)监督分册,描述了监督概念及要素,并从连续监督、独立评定和缺点汇报三个方面对内控关注关键点及对应方法进行了叙述,并汇编了相关管理制度及规范。使用要求本手册是企业关键文件,属企业机密。各单位应按相关要求正确使用,未经许可,不得复印,不得对外泄露。在使用过程中碰到疑难问题,立即向内部控制部咨询。管理和维护内部控制部对手册进行规范管理,以确保其有效、完整、统一和适用。编写和公布手册由内部控制部组织编写,内控体系建设委员会审定,
10、股份企业行文公布。发放1)手册须按发放范围统一发放。发放范围由内部控制部提出,经管理层同意实施。通常包含总裁、副总裁、机关职能部门、专业分企业、地域企业及其下属单位等。2)手册包含纸质版和电子版两种。电子版配发范围为业务步骤管理信息系统覆盖范围;纸质版配发范围为企业所属单位及特殊使用者。维护手册维护是一项长久性、常常性关键工作,需要各单位高度重视,主动参与,大力配合。手册修订、维护由内部控制部负责。每十二个月,内部控制部将依据中国和上市地新出台相关法律法规要求、内外部审计对企业内部控制评价、企业内控管理中出现新问题和地域企业反馈意见及提议等,对手册进行修订,经总裁同意实施。各地域企业应指定专职
11、管理部门负责本单位手册日常管理和维护。对手册日常使用过程中发觉问题,应认真统计并立即反馈给内部控制部。内部控制部应立即掌握手册实施情况,并采取有效方法确保内部控制管理体系有效运行。关键术语和定义C0SOCOSO是自愿性私人组织,致力于经过强化商业道德、建立完善有效内部控制和法人治理结构以提升财务汇报质量。1985年,由美国注册会计师协会(AICPA)、会计协会(AAA)、财务经理协会(FEI)、内部审计师协会(IIA)、管理会计师协会(IMA)联合创建了反虚假财务汇报委员会。该委员会意在探讨财务汇报中舞弊产生原因,并寻求处理方法。两年后,该委员会提出了很多有价值提议。基于该委员会提议,其赞助机
12、组成立了COSO委员会,专门研究内部控制问题。COSO框架1)COSO内部控制整体框架反虚假财务汇报委员会于1987年签署了汇报,号召研究并制订一个统一内部控制框架。1992年9月,COSO委员会提出了汇报内部控制整体框架(1994年进行了增补),即COSO内部控制框架。COSO内部控制框架被广泛地选择作为构建和完善内部控制体系标准,是因为:即使COSO内部控制框架并非唯一内部控制框架,但却是美国证券交易委员会唯一推荐使用内部控制框架,萨班斯奥克斯利法案第404条款“最终细则”也明确表明COSO内部控制框架能够作为评定企业内部控制标准。COSO框架提出五个相互关联组成要素,依据企业规模和结构,
13、企业可采取不一样方法来实施这些组成要素,不过全部企业全部必需包含这五个组成要素。所以,在对内部控制进行评定时,管理层必需考虑以下每个组成要素:控制环境:控制环境是内部控制体系基础,是有效实施内部控制保障,直接影响着企业内部控制落实实施、企业经营目标及整体战略目标实现。控制环境确定了企业总体态度,是内部控制全部其它组成要素基础。控制环境包含职业道德、职员胜任能力、管理理念和经营风格、组织结构、权利和责任分配、人力资源政策和方法、董事会和审计委员会和反舞弊等内容。风险评定:风险评定是识别及分析影响企业目标实现风险过程,是风险管理基础。在风险评定中,应识别和分析对实现目标含有阻碍作用风险。控制活动:
14、控制活动是确保管理层指令得到落实实施必需方法,存在于整个机构内全部等级和职能部门。包含同意、授权、查证、查对、经营业绩评价、资产保全方法和职责分工等活动。信息和沟通:信息和沟通是企业经营管理所需信息被识别、取得并以一定形式立即地传输,方便职员推行职责。信息不仅包含内部产生信息,还包含和企业经营决议和对外汇报相关外部信息。通畅沟通渠道和机制使企业职员能立即取得她们在实施、管理和控制企业经营过程中所需信息,并交换这些信息。监督:监督是对内部控制体系有效性进行评定连续过程,包含连续监督、独立评定和缺点汇报等。2)COSO企业风险管理整体框架最近数年,企业风险管理成为焦点而受到突出关注,需要一个强有力
15、框架以有效地识别、评定和管理风险。9月,COSO委员会公布企业风险管理整体框架,在内部控制基础上,扩展、提供了一个更强有力框架,更广泛地专注企业全方面风险管理。该框架不会替换内控框架,而是将内控框架和其融合为一体。企业仍能够决定依靠这个企业风险管理框架去满足企业内控需要,经过采取更全方面风险管理方法使企业连续发展。企业风险管理由八项相互关联要素组成,来自管理层经营企业方法,并融入管理过程本身。这些要素包含: 内部环境:内部环境包含了一个企业基调,为该企业管理层和职员审阅和应对风险方法制订基础,包含风险管理理念和风险容量、诚信和道德价值观和她们进行经营活动所处环境。目标制订:在管理层能够识别影响
16、目标实现潜在事件之前,企业必需已制订目标。企业风险管理确保管理层使制订目标步骤到位,并保持选择目标支持企业使命并和此并行不悖,同时这些目标也和企业风险容量相一致。事件识别:必需识别出影响企业实现目标多种外部和内部事件,并区分风险和机遇。能够在管理层制订企业战略或目标过程中对机遇加以考虑。风险评定:应对风险进行分析,考虑其发生可能性和影响,以作为确定应怎样管理风险基础。还应对企业固有风险及残余风险进行评定。风险反应:管理层选择风险反应方案:规避风险、接收风险、降低风险或分担风险,采取一系列方法使风险维持在企业风险承受度和风险容量范围之内。控制活动:确立和实施政策和程序,以有利于确保风险反应方案得
17、以有效地落实实施。信息和沟通:相关信息以某种形式和在一定时限内被识别、取得和传达沟通,方便使职员推行自己职责。从广义上讲,有效沟通也应自上而下、自下而上地进行,贯穿整个企业。监督:监督整个企业风险管理过程,并依据需要作出修改。经过连续性监督活动、独立评定或二者兼而有之来完成监督。内部控制COSO内部控制框架认为,内部控制是受企业董事会、管理层和其它人员影响,为实现经营效率和效果、财务汇报可靠性、相关法规遵照性等目标而提供合理确保过程。企业风险管理 COSO企业风险管理整体框架认为,企业风险管理是一个受到企业董事会、管理层和其它人员影响过程,这个过程从企业战略制订一直贯穿到企业各项活动中,意在识
18、别那些可能影响企业潜在事件并管理风险使之在企业风险容量之内,从而合理确保企业实现其既定目标。PCAOBPCAOB是美国上市企业会计监管委员会英文缩写。美国上市企业会计监管委员会(PCAOB)是依据7月30日美国总统乔治布什签署萨班斯奥克斯利法案成立。其宗意在于经过准备独立、正确审计汇报来保护投资者利益,从而深入保护公众利益。依据美国联邦法律要求,PCAOB有权制订一系列准则来指导和约束上市企业审计。联邦法律还要求PCAOB每十二个月向SEC和美国国会中主管PCAOB委员会同时提交汇报。对财务汇报内部控制财务汇报内部控制是由企业关键管理人员和财务管理人员或实施类似职能人员设计和监督,由企业董事会
19、、管理层及其它人员实施,并能合理确保财务汇报可靠性,和向外部相关方提供财务报表编制符合公认会计准则一个步骤。该步骤包含对交易进行统计、统计维护和对未经授权收购、使用或处理企业资产行为进行防范或检测方法。设计方案有效性当内部控制能够满足内控目标,并能预防或发觉可能造成财务报表发生重大错报或舞弊时,财务汇报内部控制设计方案就是有效。运行有效性当设计合适内控按设计运行,而且实施内控相关人员含有有效实施控制所需权限和资格时,对于财务汇报内部控制运行是有效。1 总 论11 概 述1.1.1 框架编制目标经过确定内部控制体系建设目标,明晰内部控制体系建设范围和内容,为企业建设以风险管理为关键内容内部控制体
20、系提供指导,以建立统一、规范、有效内部控制体系,增强企业风险防范能力,为企业战略发展提供合理保障。1.1.2 框架编制标准1)正当性标准。以中国及上市地法律法规为准绳,结合企业实际建立内部控制体系。2)完整性标准。以COSO内部控制整体框架为基础,融合COSO企业风险管理整体框架关键内容,结合国家监管部门基础要求,全方面开展内部控制体系建设,覆盖全部业务和部门。3)继承性标准。在企业现有管理体系基础上,依靠已经有管理优势,建立内部控制体系。4)效率性标准。在确保体系设计合理性前提下,提升企业运行效率和效益。1.1.3 框架编制依据国资委中央企业全方面风险管理指导;萨班斯奥克斯利法案;美国上市企
21、业会计监管委员会(PCAOB)公布相关审计准则;COSO内部控制整体框架;COSO企业风险管理整体框架及企业相关管理要求。1.1.4 框架编制思绪和方法在现有内控体系框架基础上,结合COSO企业风险管理整体框架关键内容,根据国资委中央企业全方面风险管理指导基础要求,增加控制目标和体系建设内容,汲取中国外其它企业内部控制体系建设优异经验,依据企业管理实际编制内部控制体系框架。1.1.5 体系框架实施框架明确了企业内控工作任务,是制订内控工作计划依据。框架确定工作目标将在以后分年度实施。1.2内部控制体系框架1.2.1 内部控制体系建设总体目标企业内部控制体系建设总体目标是:建立以风险管理为关键内
22、容,涵盖企业经营管理各领域,较为完善、运行有效内部控制体系,为企业战略发展提供合理保障。1.2.2 内部控制体系建设指导思想充足认识企业建设内部控制体系工作严厉性、关键性和紧迫性,以萨班斯奥克斯利法案颁布为契机,以国资委公布中央企业全方面风险管理指导为指导,以提升企业管理水平为动力,依靠已经有管理优势,适应企业国际化发展要求,开展以风险管理为关键内容内部控制体系建设,为企业战略发展提供合理保障,从而树立和维护企业在国际资本市场诚信、稳健和安全良好形象。1.2.3 框架关键内容1.2.3.1 控制环境控制环境确立企业风险管理总体态度,是内部控制体系基础,是有效实施风险管理保障,直接影响内部控制体
23、系实施、企业经营目标及整体战略目标实现。风险管理是受企业董事会、管理层和其它人员影响过程,这个过程从企业战略制订一直贯穿到企业各项活动中,意在识别那些可能影响企业目标潜在原因并给予管理,使之在企业风险容量之内,从而为企业实现其目标提供合理确保。控制环境包含诚信和道德价值观、发展目标、管理理念和企业文化、风险管理策略、董事会及下属委员会、组织结构、权利和责任分配、人力资源政策和方法、职员胜任能力和反舞弊机制等内容。1)诚信和道德价值观:建立涵盖企业各个层面职员职业道德规范,表现企业诚信和道德价值观念,树立职员诚信价值观。2)发展目标:制订企业战略目标,并在此基础上制订相关经营目标、汇报目标和合规
24、性目标。3)管理理念和企业文化:确立企业管理理念,表现企业经营管理风格;确立企业风险管理理念,表现企业认知经营管理风险所共有信念和态度。继承和发扬企业企业文化,表现企业经营宗旨、价值观念和行为准则;将风险管理文化融入企业文化建设全过程,树立和传输正确风险管理理念,增强遵法意识和诚信意识,将风险管理意识转化为职员共同认识和自觉行动,提升全员风险意识。企业高级管理人员应在继承和发扬风险管理文化中发挥表率作用,中层管理人员应继承和发扬风险管理文化骨干作用。4)风险管理策略:企业围绕发展战略,确定风险容量、风险承受度、风险管理有效性标准,表现企业风险管理总体策略,并据此制订风险反应方案。企业确定针对发
25、展战略风险容量,表现企业在战略制订和实施过程中愿意承受风险范围和风险水平,反应企业风险偏好。企业针对特定目标,制订具体风险承受度,表现在实现特定目标过程中企业对差异可接收程度。企业确定风险容量和风险承受度,要正确定识和把握风险和收益平衡,预防忽略风险,片面追求收益或单纯为规避风险而放弃发展机遇。风险承受度和风险容量保持一致。企业依据风险管理总体目标,制订风险管理有效性标准。5)董事会及下属委员会:董事会设置符合中国外法律法规要求。董事会负责督导企业内部控制体系建立和实施,督导企业将风险管理融入战略管理之中,监督企业以风险管理为关键内容内部控制工作。董事会下属审计委员会设置符合中国外法律法规要求
26、,负责监督内部控制体系运行和评价情况。6)组织结构:建立规范法人治理结构,优化组织结构,明确部门权责并细化落实到各个岗位,规范组织机构编制管理工作。建立内部控制体系运行网络。建立健全企业内部控制管理组织体系, 明确内部控制组织体系职责分工,形成包含董事会、审计委员会、管理层、内控体系建设委员会、内部控制管理部门、其它职能部门及各业务单位在内内部控制管理组织体系。各单位依据实际情况,按要求设置内部控制管理机构或管理岗位负责内部控制日常管理工作。内部控制管理工作应和其它管理工作紧密结合,把内控管理各项要求融入企业管理和业务步骤中。7)权利和责任分配:建立完善企业权责管理体系,制订完善授权管理文件。
27、8)人力资源政策和方法:建立完善企业管理人员任用选拔、管理考评和激励监督等方面政策。9)职员胜任能力:健全全员职业培训和技能考评机制,连续提升职员综合素质和工作能力。10)反舞弊机制:制订反舞弊相关制度,建立反舞弊机制。连续开展舞弊风险评定,建立舞弊风险数据库。制订反舞弊控制方法,连续开展舞弊调查并进行违规处理。监督反舞弊机制运行效果并逐步给予完善。1.2.3.2 风险评定风险是指未来不确定性对企业实现其目标影响。风险评定是识别及分析影响企业目标实现原因过程,是风险管理基础。在风险评定中,既要识别和分析对实现目标含有阻碍作用风险,也要发觉对实现目标含有主动影响机遇。企业制订完善风险评定规范,明
28、确风险评定程序和方法,规范企业风险评定工作。企业风险评定工作由内控部门组织相关职能部门和业务单位实施。1)风险评定范围企业针对战略目标、经营目标、汇报目标、合规性目标,分别确定风险评定范围。2)风险评定基础程序(1)信息搜集。围绕企业战略目标和相关目标和风险管理要求,相关职能部门、业务单位和内控管理部门广泛、连续搜集和企业风险及风险管理相关内部、外部多种信息,包含搜集历史数据和未来信息,关注宏观经济和经营环境、竞争对手、新技术和新产品、海外经营、企业重组、业务整合、会计政策、信息系统、资本运作等方面已经发生和将要发生改变情况。企业对搜集数据、信息和改变情况进行必需筛选、提炼、对比、分类、组合,
29、形成和企业风险管理相关信息资料库并不停更新,方便进行风险评定。(2)风险识别。风险识别是指查找企业各项关键经营管理活动及其关键业务步骤中存在影响目标实现风险和机遇过程。企业分别从企业层面、业务活动层面,动态识别影响企业战略目标及相关目标实现、内部和外部多种不确定性原因。带负面影响原因代表风险,需要对其分析和应对;带主动影响原因代表机遇,在制订目标和政策实施过程中对其加以考虑并把握。 企业层面风险识别。企业从战略发展角度,识别企业层面面临全部重大不利原因和有利原因,从而识别风险,发觉机遇。这些原因来自外部和内部两个方面,外部原因关键包含政治原因、经济原因、社会原因、自然环境原因等;内部原因关键包
30、含基础设施原因、职员原因、步骤原因和技术原因等。 业务活动层面风险识别。企业制订业务步骤描述规范,建立步骤目录并用步骤图对全部业务进行直观描述。在业务步骤描述基础上,以业务步骤步骤为根本,全方面识别影响目标实现相关原因。(3)风险评价。风险评价是评定风险对企业实现目标影响程度和风险发生可能性过程。企业针对固有风险和残余风险,利用定性和定量方法,对企业层面和业务活动层面风险发生可能性和影响程度进行分析、评价,并根据风险排序标准和方法,确定风险关键性水平,识别企业重大风险,确定风险管理优先次序。 (4)风险反应。风险反应是企业针对风险发生原因、风险关键性水平,考虑风险之间关系并把握机遇,利用风险组
31、合观,选择风险反应方案过程。风险反应方案包含回避风险、降低风险、分担风险、接收风险。3)风险数据库企业根据要求程序和方法,开展企业层面风险和业务活动层面风险评定后,结合风险原因、关键性水平和风险反应方案,编制和维护企业层面风险数据库和业务活动层面风险数据库。1.2.3.3 控制活动控制活动是确保管理层相关风险应对方案得以落实实施政策和程序。控制活动存在于企业全部等级分支机构和职能部门,包含授权、同意、查证、查对、汇报、内部审计、重大风险预警、企业法律顾问、经营业绩评价和资产保全方法等活动。企业应依据风险管理策略,针对各类风险或每一项重大风险制订相关规章制度、控制政策和控制方法,确保风险控制在风
32、险承受度范围内。企业针对风险建立规章制度、控制政策和控制方法,要满足合规要求,坚持经营战略和风险策略一致、风险控制和运行效率及效果相平衡标准,针对重大风险所包含各管理及业务步骤,制订涵盖各个步骤全步骤控制方法;对其它风险所包含业务步骤,要把关键步骤作为控制点,采取对应控制方法。企业应该根据各相关部门和业务单位职责分工,组织实施控制方法。1)针对企业层面风险,根据风险反应方案,建立对应企业层面风险控制政策,制订企业统一规章制度,统驭业务活动层面控制。2)针对业务活动层面风险,以企业层面控制政策为导向,规范业务步骤,制订业务活动层面风险控制方法。(1)控制现实状况描述和分析。制订风险控制文档编制规
33、范和模板,对业务步骤进行风险控制分析,编制风险控制文档(RCD),对控制合理性、完整性进行分析。(2)规范、统一业务步骤。依据风险控制分析结果,补充、完善相关控制,规范、统一步骤步骤、控制规范和统计表单,建立规范、统一业务步骤。(3)建立关键控制。建立完善关键控制确定方法,确定全部业务步骤关键控制并建立关键控制管理文件。(4)强化自动控制。经过实施信息系统自动控制,固化步骤操作程序,提升控制实施效率和效果。 3)财务会计汇报步骤。建立健全财务会计汇报步骤,完善财务会计汇报相关制度。4)建立并实施经营管理活动分析评价制度。各级管理层开展经营管理活动分析,对经营管理情况实施审核和监督。1.2.3.
34、4 信息和沟通信息和沟通是企业经营管理所需信息被识别、取得并以一定形式立即地传输,方便职员推行职责。信息不仅包含内部产生信息,还包含和企业经营决议和对外汇报相关外部信息。通畅沟通渠道和机制使企业职员能立即取得她们在实施、管理和控制企业经营过程中所需信息。企业建立符合发展战略并和经营管理活动一体化信息系统,为企业风险管理提供足够信息资源和顺畅沟通渠道。1)信息资源搜集。企业连续不停地识别、搜集、整理和归纳来自内部和外部、经营和管理多种信息。针对不一样信息起源和信息类型,明确多种信息搜集人员、搜集方法、传输程序、汇报路径和加工和处理要求,确保经营管理多种信息资源得到立即、正确、完整搜集。2)信息沟
35、通渠道。企业建立横向和纵向相互通畅、贯穿整个企业信息沟通渠道,确保企业目标、风险策略、风险现实状况、控制方法、职员职责、经营情况、市场改变等多种信息在企业内部得到有效传达。企业建立合适渠道,和企业相关方如供给商、用户、律师、股东、监管机构、外部审计师,就相关信息进行必需外部沟通。3)信息披露。企业制订完善信息披露管理制度,明确重大事项判定标准和汇报程序,确定披露事项搜集、汇总和披露程序,符合资本市场监管要求。4)信息系统企业将信息技术应用于风险管理各项工作,利用信息系统对经营管理进行过程控制和信息采集、存放、加工、分析、测试、传输、汇报和披露等,实现对多种风险计量和定量分析、定量测试;能够适时
36、反应风险矩阵和排序频谱、重大风险和关键业务步骤监控状态并进行重大风险预警;能够满足风险管理内部信息汇报制度和企业对外信息披露管理制度要求。信息系统应实现信息在各职能部门、业务单位之间集成和共享,既能满足单项业务风险管理要求,也能满足企业整体和跨职能部门、业务单位风险管理综合要求。(1)建立信息系统总体控制。建立包含信息系统控制环境、信息安全、项目建设管理、系统变更管理、系统运行维护、最终用户操作等六方面内容信息系统总体控制规范和规章制度。(2)建立信息系统应用控制。全方面识别应用系统相关风险,建立完善应用系统控制规范,对应用系统输入、处理和输出进行有效控制。企业信息系统提供信息应达成一致性、正
37、确性、立即性、可用性和完整性目标。企业确保信息系统稳定运行和安全,并依据实际需要不停进行改善、完善或更新。(3)建立步骤管理信息系统。建立统一业务步骤管理平台,实现业务步骤语言、设计规范、管理制度、控制方法、步骤公布统一管理,建成满足全方面风险管理,含有开放性、可拓展性步骤管理信息系统。1.2.3.5 监督监督是对内部控制体系有效性进行评定连续过程。包含连续监督、独立评定和缺点汇报等。企业应以重大风险、重大事件和重大决议、关键管理及业务步骤为关键,对内控体系有效性实施监督。1)连续监督。企业制订内部控制体系运行和维护管理制度,定时维护内部控制管理手册,将内部控制工作纳入企业各级管理层业绩考评,
38、构建内部控制体系运行长久有效机制。企业各级管理部门、步骤责任部门,在体系日常运行中,实施自我监督和自我检验,并将检验、检验汇报报送内控管理部门。2)独立评定。以风险为导向,建立完整测试规范,定时对各部门和业务单位内部控制体系有效性进行检验和监督。3)缺点汇报。建立健全缺点汇报管理机制,制订缺点认定规范,明确上报内控缺点程序。13 组织结构、职责和权限131 目标经过建立分工合理、职责明确、汇报关系清楚组织结构,明确内控管理决议机构、管理机构、实施机构和监督机构责任和义务,确保本企业内部控制职责、权限及其相互关系得到要求和沟通,使本企业内部控制体系得到有效运行。132 机构企业内部控制和风险管理
39、体系工作,在总裁领导下形成决议、管理、实施、监督四个层次管理架构:1)决议机构:内控体系建设委员会是企业内部控制和风险管理工作决议机构;2)管理机构:内部控制部作为企业内部控制体系日常管理部门和委员会办事机构;3)实施机构:总部各部门、专业分企业、地域企业作为实施层,根据内部控制和风险管理体系统一要求,具体组织落实;4)监督机构:审计部门行使监督职能,负责对体系运行情况实施测试监督。为加强对内部控制体系管理工作组织和领导,各地域企业成立对应内控体系建设委员会。内控体系建设委员会由各单位相关领导和部门责任人组成,由总经理担任内控体系建设委员会主任。内控体系建设委员会下设办公室。133 职责和权限
40、1331 企业内控体系建设委员会关键职责1)审定内部控制体系框架及实施计划。 2)审定内部控制体系建立、测试和评定方案,对内部控制体系建设工作进行安排、布署。3)协调处理内部控制体系建设工作中重大问题。4)审查同意对各部门、专业分企业和地域企业进行内部控制体系建设考评方案,并组织实施。5)负审定需要提交董事会或管理层处理重大事项。6)督导、督促企业内部控制体系建立、完善和运行。1332 内部控制部关键职责1)依据国家相关法律、法规及相关要求,负责组织制订集团企业、股份企业内部控制及风险管理制度、标准及方法;2)负责编制集团企业、股份企业内部控制及风险管理体系建设计划、体系框架,并组织实施;3)
41、负责组织集团企业、股份企业风险评定工作,确定重大风险,建立风险数据库;4)负责组织和协调集团企业、股份企业业务步骤相关工作管理;5)负责组织集团企业、股份企业风险控制设计及实施,负责内部控制及风险管理体系日常维护;6)协调内、外部审计测试,组织开展运行评价、改善测试和缺点评定。负责组织内部控制及风险管理体系运行监督考评;7)代拟股份企业管理层内部控制评定汇报,帮助董秘局处理对外披露相关事宜;8)负责集团企业、股份企业内部控制及风险管理业务培训。1333 企业各部门、专业分企业、地域企业职责1)审计部负责内部控制体系实施有效性监督,组织实施管理层测试,其关键职能包含:(1)编制管理层测试计划和方
42、案,经管理层同意后组织实施;(2)根据审计要求和企业公布内部控制体系评价规范,每十二个月定时组织实施管理层测试,对测试结果进行汇总、确定和分析,并分别向管理层和审计委员会汇报;(3)对被测试单位(股份企业机关、专业企业、地域企业)出具测试汇报。2)监察部、审计部负责建立和完善反舞弊工作机制。3)信息管理部负责企业信息系统总体控制和应用控制管理制度建立、运行维护工作。4)法律部负责企业规章制度和法律风险综合管理5)企业各部门、专业企业根据内部控制和风险管理体系各项要求,具体负责本部门、专业企业内控体系建设、运行、维护等工作具体实施。6)地域企业内控建设是股份内控体系组成部分。地域企业根据内部控制
43、管理手册要求,具体负责本企业内部控制体系建设、运行、维护等工作,并对特殊风险和业务步骤制订专门管理措施。地域企业内部控制管理接收企业内部控制部领导。2 控制环境2.1 概 述2.1.1 概念控制环境确立企业风险管理总体态度,是内部控制体系基础,是有效实施风险管理保障,直接影响内部控制体系实施、企业经营目标及整体战略目标实现。2.1.2 要素控制环境包含诚信和道德价值观、发展目标、管理理念和企业文化、风险管理策略、董事会及下属委员会、组织结构、权利和责任分配、人力资源政策和方法、职员胜任能力和反舞弊机制等内容。2.1.2.1 诚信和道德价值观一个企业目标及目标实现方法基于该企业优先选择、价值判定和管理层经营风格。这些优先选择和价值判定反应出企业管理层诚信及其信仰道德价
浙ICP备2021020529号-1 | 浙B2-20240490 
