1、一、 前言1 编制内部控制手册的背景为规范中国石油化工股份有限公司(以下简称“股份公司”)的管理,贯彻中华人民共和国公司法、中华人民共和国证券法、中华人民共和国会计法以及其他有关法律、法规,满足国内外资本市场对上市公司的监管要求,股份公司特制定内部控制手册,作为建立、执行、评价及验证内部控制的依据。完整的内部控制体系和完善的内部控制制度,是约束、规范企业管理行为的准则,是减少风险的重大措施。实施内部控制可以及时发现和纠正各种错弊及不法行为,有利于保证资产安全、完整,保证经营成果与财务状况真实、可靠。其必要性表现为:一是建立现代企业制度,完善法人治理结构,实现经营机制的转换,加强企业管理,提高企
2、业经营业绩,改善企业财务状况。二是贯彻我国有关法律法规,遵循美国萨班斯-奥克斯利法案等国内外资本市场监管需求,提高会计信息质量。三是积极参与竞争、努力降低风险。随着市场竞争日趋激烈和信息技术高度发展,以及全球经济一体化的进程加速,股份公司所面临的风险也逐渐加大。建立健全有效的内部控制制度,是防范风险、提高经营管理效率和效果的重要措施。四是建立统一规范的内部控制制度,使股份公司各项规章制度成为系统性、可操作性和包容性很强的内部管理制度,更为有效地体现股份公司管理理念。2内部控制手册遵循的基本原则2.1合规性原则合规性是指企业内部控制制度必须符合国家的法律、法规和政策;符合股份公司上市地(上海、香
3、港、纽约、伦敦)证券监管机构有关上市公司的法律、法规和要求。2.2全面性与系统性原则内部控制手册涉及股份公司经营活动的各个方面,其内部监督和控制贯穿于经营管理活动的全过程并涉及全体员工。股份公司的每一个员工既是内部控制的主体,又是内部控制的客体;既要对其负责的作业实施控制,又要受到其他人员或制度的监督与制约。内部控制手册使股份公司内部各部门、各岗位形成较为系统的既互相制约又具有纵横交错关系的统一整体,确保各部门和各岗位均能按特定的目标相互协调地发挥作用,最终实现股份公司内部控制的总体目标。2.3内部牵制及不相容原则内部牵制是指在部门与部门、员工与员工以及各岗位之间所建立的互相验证、互相制约的关
4、系,属于企业内部控制制度一个重要组成部分。其主要特征是将有关责任进行分配,使单独的一个人或一个部门对任何一项或多项经济业务活动没有完全的处理权,必须经过不相容的其他部门或人员的验证、核对和制约。2.4权责明确、奖惩结合原则根据各部门和岗位的职能与性质,明确各部门及人员应承担的责任并赋予相应的权限,制定操作规则和处理程序,确定追究、查处责任的措施与奖惩办法等,使权有所属,责有所归,利有所享,避免发生越权或互相推诿的现象。2.5成本效益原则在内部控制活动中贯彻成本效益原则,就是要力争以最少的控制或最低管理成本获取最大的经济效益。要实行有选择的控制;要努力降低控制成本,尽量精简机构和人员,改进控制方
5、法和手段,提高效率。2.6可操作性原则内部控制手册必须符合股份公司实际,无论是业务流程控制点的设置,还是授权项目权限的确定,都要考虑实际管理工作中是否可行,保证其可操作性。2.7包容性原则内部控制手册是依据股份公司现行各项管理制度,为控制风险而编制的一系列业务流程控制体系,内容涵盖投资、生产、经营、财务、监督检查等方方面面。内部控制手册力求避免与其他制度相矛盾,尽可能包容不同企业现有的内控制度。对确实脱离实际的其他各项管理制度,应及时修改、完善,并以内部控制手册规定为准。2.8信息反馈原则确定与控制工作有关的人员在信息传递中的任务与责任,规定信息的传递程序、收集方法和时间要求等事项,建立严密的
6、记录、报告等信息反馈系统。3内部控制手册的适用范围内部控制手册适用于总部、分公司和全资子公司(直属研究院适用研究院内部控制手册)。分公司和全资子公司按照更严、更细、更具体的原则,结合实际制定相关实施细则,实施细则必须符合股份公司内部控制手册的要求。控股子公司应当参照股份公司内部控制手册,结合自身特点,按照“业务必须覆盖股份公司内部控制手册中对应的所有规定内容,权限比照分公司”的原则,制定内控手册,履行本公司董事会审批程序后,报股份公司内控办公室备案。股份公司总部、分公司、全资子公司和控股子公司执行内部控制手册适用的业务流程,参见内部控制手册附则二。适用的特殊业务流程,需报股份公司内控办公室批准
7、后执行。二、 内部控制定义内部控制是为适应国内外证券机构监管要求,提高风险管理能力和经营管理水平,由股份公司董事会、管理层及其全体员工实施的,为经营活动的效率和效果、财务报告的可靠性、相关法律法规的遵循性等目标的实现而提供合理保证的过程。内部控制主要由内部环境、风险评估、控制活动、信息沟通及监督检查等五个方面构成:(1)内部环境是影响、制约内部控制建立与执行的各种内部因素的总称,是实施内部控制的基础。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机制、反舞弊机制等。(2)风险评估是及时识别、科学分析和评估影响股份公司目标实现的各种不确定因素并制定应对策略的过
8、程。风险评估主要包括风险识别、风险衡量、风险应对和风险报告。(3)控制活动是指根据风险评估结果、结合风险应对策略,采用恰当的控制措施以确保内部控制目标得以实现的政策和程序,是实施内部控制的具体方式。控制措施的选择应当结合企业具体业务和事项的特点与要求,主要包括职责分离控制、授权与审批控制、预算控制、财产保护控制、分析与报告控制、绩效考评控制、信息技术控制等。(4)信息沟通是指及时、准确、完整地收集与股份公司经营管理相关的各种信息,并使这些信息以适当的方式在有关层级之间进行及时传递、有效沟通和正确应用的过程,是实施内部控制的重要条件。信息与沟通主要包括信息的收集机制以及内部与外部有关方面的沟通机
9、制等。(5)监督检查是对内部控制的有效性进行检查评价,形成书面报告并作出相应处理的过程,是实施内部控制的重要保证。监督检查主要包括对建立并执行内部控制的整体情况进行持续性监督检查,对内部控制的某一方面或者某些方面进行专项监督检查,以及提交相应的检查报告、提出有针对性的改进措施等。三、股份公司内部控制现状1股份公司内部环境1.1 股份公司的企业文化股份公司持续推行和弘扬“竞争、开放、规范、诚信”的企业文化。努力在扩大资源、拓展市场、降本增效、严谨投资等方面取得新的突破,将股份公司建设成为一个主业突出、股权多元、资产优良、科技创新、管理科学、财务严谨、具有国际竞争力的一体化能源化工公司。1.2 员
10、工守则股份公司制定规范的员工守则和书面政策声明,并传达到全体员工,做到人人遵纪守法、诚实守信。提供职业道德操守方面的指导和培训,使全体员工养成“守法纪、讲诚信”的意识,在一般和特定环境下都能够做出正确的判断并采取恰当的行动。1.3公司组织结构股份公司已按现代企业制度的要求,建立了由股东大会、董事会、监事会、总裁班子构成的公司治理结构。并进一步致力于内部结构紧密化,完善上、中、下游一体化产业链,优化产业结构。股份公司董事会授权董事长决定公司内部管理机构、分支机构的设置。1.4董事会及其下设的审计委员会股份公司章程明确规定了董事会的职权、性质、董事会议事规则及授权。公司提名董事会及其下设的审计委员
11、会成员时,充分考虑了以下因素:成员的经验;相对于管理层的独立性;外部董事的比例;其成员参与管理的程度;所采取措施的适宜性;对管理层提出问题的深度和广度;成员与内部、外部审计人员之间的关系。1.5责任分配与授权管理股份公司实行不相容职务、岗位分离制度。遵循互相制约、权力分割、稽核对证等原则,关键岗位的设置体现了不相容职务分离原则,使不同岗位真正起到相互制约、相互监督的作用。股份公司严格实行授权管理,通过颁布“中国石油化工股份有限公司权限指引”,在采购、成本、费用支出、销售、资金、资本支出、资产、关联交易、合并报表、重大事项、信息、生产运行、安全环保、税务管理、合同管理15个方面,明确从股东大会到
12、董事会、董事长、总裁班子、总部各职能部门与事业部到分公司各层面的授权原则与权限划分标准。1.6激励与约束股份公司执行激励与约束相结合的人力资源政策,不断完善员工招聘与选拔的原则及操作程序;对员工进行企业文化和道德价值观的导向培训;对违反员工守则的一切行为,制订纪律约束与处罚措施;对业绩良好的员工,制订具有奖励和激励作用的报酬计划;根据阶段性的业绩评价结果,对员工予以指导和奖罚。1.7反舞弊机制监督渠道:对外建立供应商、客户投诉热线,通过电视、报纸等媒体,公布投诉热线电话,鼓励股份公司利益相关者对股份公司内部员工的违规违纪行为、影响股份公司形象的其他行为进行举报和投诉;对内设立员工投诉信箱,方便
13、每一位员工对发现的违反股份公司内控制度的行为及其他违法违纪行为进行举报和投诉。通过建立全方位内外部监督渠道,促进法律法规及股份公司内部规章制度的有效遵循。监察工作机制:监察部门为内外部监察的归口管理部门,负责制定内外部监察处理工作程序和处理标准,明确各类内外部监督的相关责任部门。监察部门定期对各类举报、投诉进行收集和分类,下达监察建议书,责成相关责任部门限期落实或处理。各相关责任部门在接到监察建议书后,按照规定程序进行调查、落实,提出落实结果及处理意见,在规定时间内向监察部门反馈。监察部门按规定程序审批后,最终下达处理意见或整改意见。监察惩处标准:监察部门按照有关规定,制定内外部监察惩处标准。
14、对存有各类内部不规(法)行为的员工,分别给予通报批评、扣发奖金、降级(撤职)、解除劳动合同及移交司法机关等处理;对存有各类不规(法)行为的外部商户,实行“黑名单”制,分别给予警告、禁止交易往来、取消资源网络成员资格,直至移交司法机关等处理。2内部风险评价机制可能导致股份公司未能实现预期战略目标的重大风险包括:国内及国际同行的竞争,政府行业监管政策变动,国际原油价格波动,石油和石化市场周期性变化,营运风险,资产管理风险和自然灾害的威胁。股份公司建立了适当的内部风险评价机制。总部各职能部门、各事业部和各分公司针对内部控制业务流程,配备专门部门或负责人定期分析及记录潜在风险的变化。在经过适当监督授权
15、后,预先或及时调整内部控制程序或实施细则,及时通知受其影响者,正确处理新增或过去未加控制的风险。3全面预算管理,严格预算控制股份公司推行以市场为导向,以公司发展战略为目标,全面综合业务流、资金流、信息流和人力资源,集规划、激励、考评为一体的全面预算管理制度。严格预算控制,落实股份公司发展战略,预见并避免经营中潜在的困难和风险,科学、合理地利用资源,及时、有效地调整和控制经营活动。全面预算包括经营预算、投资预算和财务预算。每年根据“量入为出、控制总量,集中决策、调整结构,优化项目、增加回报”的方针,按照经营预算、投资预算、财务预算的程序,采用自上而下、自下而上、上下结合的方式科学合理地编制年度预
16、算。年度预算经董事会批准后,由股份公司职能部门、事业部分解落实。股份公司预算管理委员会是全面组织股份公司中长期规划、年度和月度等日常预算管理的领导机构,是股份公司董事会下设机构。依据国家有关财经法规和股份公司章程等,在董事会授权下履行包括:拟订中长期发展规划、年度和月度预算的原则和主要目标;审议财务预算方案和财务预算调整方案,并报董事会;确定和调整相关部门在实施全面预算管理过程中的分工、职责;调配各类资源,在股份公司内部(包括所属企业)推动全面预算管理工作的开展;协调解决预算编制和执行中的重大问题;组织审计、考核预算执行情况的原则和方法;负责预算管理信息化建设的总体目标规划等职责。预算管理委员
17、会下设预算管理办公室,负责具体预算管理业务的开展和落实。分(子)公司应按照上述总体要求建立、健全预算管理委员会的组织和人员,制定和完善预算管理工作的相关制度和工作流程。4信息管理与信息披露股份公司信息资源实行归口管理。生产经营信息归口生产经营管理部,投资信息归口发展计划部,财务信息归口财务部,科技信息归口科技开发部,各职能部门负责本部门的信息资源管理工作。股份公司信息系统管理部负责信息系统管理。通过信息集中、信息整合等手段,将有关内部信息全部纳入股份公司统一信息平台,逐步达到标准统一、数据一致、时效良好,奠定良好的信息共享基础,经系统授权后实现信息内部共享。股份公司对外信息披露由董事会秘书局在
18、遵守信息披露纪律的前提下,负责统一审核、提供,审慎负责地对投资者进行信息披露,提高公司透明度。通过公告、路演、电话会议、单对单会谈和股份公司网页等多种方式和途径向境内外投资者真实、准确、完整、及时地介绍股份公司情况,以审慎负责的态度编制和签署年报,强化与投资者的沟通,进一步提高股份公司透明度。5监督股份公司监督活动由持续监督、个别评价所组成,确保股份公司内部控制能持续有效的运作。持续监督活动贯穿整个生产经营过程,包括例行管理和监督活动,以及全体员工为履行其职务所采取的行动。股份公司的持续监督活动包括:在内部控制系统功能持续而正常地发挥作用的前提下,管理层在履行其日常管理活动时所获取的信息,与其
19、所得到的报告(如生产经营报告、财务报告等)有较大偏离时,可对报告提出质疑;同时,通过与股份公司外界的沟通,也可以验证内部信息的正确性,并及时发现问题。股份公司积极推行例外评价(即个别评价)以直接监视控制系统的有效性,并可评价持续性监督程序。评价的范围和频率,视风险的大小及控制的重要性而定。四、 内部控制手册结构内部控制手册包括总则、业务流程、内部控制矩阵、权限指引、检查评价与考核办法、附则六个部分。1 总则是对内控制度的概述。2 业务流程是各项业务的具体控制程序和措施。现有55个业务流程,内容涵盖采购、成本、费用支出、销售、资金、资本支出、资产、关联交易、合并报表、重大事项、信息、生产运行、安
20、全环保、税务管理、合同管理等15大类。业务流程的格式如下:2.1 业务目标业务目标包括经营目标、财务目标和合规目标。经营目标是指与企业有效使用资源相关的目标。财务目标是指与企业编制可信赖的财务报告有关的目标。合规目标是指与企业遵循法律法规相关的目标。2.2 业务风险业务风险包括经营风险、财务风险和合规风险。经营风险是指可能会导致经济效益流失或资源丧失的风险。财务风险是指可能会造成财务信息失真的风险。合规风险是指可能会导致监管部门处罚的风险。2.3 业务流程步骤与控制点内部控制业务流程将企业的经营与财务活动分解成各个业务流程步骤。每一个业务流程步骤由一个或多个控制点构成。控制点内容包括该业务涉及
21、的单位及其岗位职责、本步骤工作过程描述、上一步骤和本步骤控制结果等。2.4 相关制度目录相关制度目录是指涉及具体流程的外部法规、总部或各部门相关的重要内部管理制度。3 内部控制矩阵包括财务报告计划矩阵和业务控制矩阵。计划矩阵旨在将会计报表项目和事项与业务流程建立联系,以确保内控制度可以合理保证对外披露的会计报表真实可靠。业务控制矩阵针对每一控制点,明确其业务目标、业务风险、适用单位、不相容岗位、控制点分值、相关资料、相关制度索引、会计报表认定、会计报表项目。4 权限指引针对各业务流程中关键环节,明确股东大会、董事会、总裁班子、职能部门/事业部主任、分公司经理/经理班子、处室负责人/业务经理等层
22、级的管理、决策权限。5 检查评价与考核办法股份公司每年统一组织内部控制执行情况的综合检查。依据股份公司内部控制手册和内部控制检查评价与考核办法,对各单位内部控制有效性进行评价。内控办公室根据年度综合检查评价总体情况,拟订考核方案,报内控领导小组审定;人事部根据考核结果对各单位进行兑现。6 附则包括业务流程责任部门及联系人、业务流程适用单位、内控手册配套规章制度目录及索引、员工守则等。五、股份公司内部控制组织机构股份公司设立内部控制领导小组(简称“内控领导小组”),组长由总裁担任,设副组长若干人,组成成员包括:财务部、审计部、监察部、法律事务部、信息系统管理部、各事业部及相关职能部门主要领导。内
23、部控制领导小组是股份公司内部控制的领导机构,经董事会授权,审批内部控制手册年度中间的临时修改;审核股份公司年度内部控制评价报告;对内部控制检查中发现的问题作出处理和整改决定,重大问题报董事会审批;负责审议每年更新的内部控制手册,呈报董事会审批。内部控制领导小组下设专职办公室(简称“内控办公室”),作为股份公司内部控制工作日常管理机构。具体负责组织内部控制执行情况监督检查,内部控制评价,内部控制手册更新及培训等工作。分公司、全资子公司和控股子公司应成立内部控制领导小组,主要领导担任组长;下设办公室,作为常设的内部控制工作机构。具体负责本单位的内部控制监督检查,实施细则和内控手册的更新及培训等工作
24、。内部控制办公室可以单独设立,也可以设在财务、企管部门,但为了保证审计、监察的独立性,不能设在审计和监察部门。六、内部控制手册生效、更新股份公司将随着外部环境、内部组织架构及管理要求的改变适时更新内部控制手册。一般每年更新一次,更新资料主要来源于各分(子)公司、总部各职能部门的建议,以及内部控制检查单位和外部检查单位对内部控制的评价。更新后的内部控制手册经董事会审批后正式生效,并由内控办公室下发到各部门和分公司,并通知各子公司。中国石油化工股份有限公司内部控制检查评价与考核办法第一章 总 则第一条 为加强中国石油化工股份有限公司(以下简称股份公司)内部控制,提高管理水平,遵循国内外资本市场监管
25、要求,正确评价内部控制,根据股份公司内部控制手册(以下简称内控手册)有关规定,特制定本办法。第二条 内部控制检查评价与考核工作的领导和组织股份公司内部控制领导小组(以下简称股份公司内控领导小组)统一领导股份公司内部控制检查评价与考核工作。股份公司内部控制领导小组办公室(以下简称股份公司内控办公室)具体负责股份公司内部控制检查评价与考核工作的组织实施。第三条 股份公司内部控制检查评价形式股份公司内部控制检查评价实行“总部检查评价”和“单位自查评价”两级检查评价体制。其中,“总部检查评价”包括“股份公司年度综合检查评价”和“审计部独立检查评价”;单位自查评价包括“分(子)公司自查”和“总部部门自查
26、”。“股份公司年度综合检查评价”是股份公司内控领导小组组织对各单位内部控制实施情况的综合检查与评价,每年选取一定数量的单位检查。“审计部独立检查评价”是审计部每年至少对25家分(子)公司内部控制的实施情况进行独立检查评价。检查评价结果报股份公司内控领导小组审定后,作为股份公司年度综合检查评价的组成部分。“分(子)公司自查”是各分(子)公司按照内控手册有关规定,组织开展的业务流程测试和内部控制执行情况的检查评价工作,由三部分组成,即:业务流程季度穿行测试、审计抽查和年度自查。其中,业务流程季度穿行测试是指责任部门和责任人每季度对相关业务流程和关键控制点的有效性至少穿行测试一次,测试记录(报告)报
27、本单位内控办公室;审计抽查是指分(子)公司内部审计人员参与内控检查或独立抽查一定数量业务流程,独立抽查评价结果向本单位内控领导小组汇报并报审计部,相关资料交本单位内控办公室;年度自查是指分(子)公司内控领导小组(办公室)每年至少组织一次内部控制综合检查评价,每次检查区间须与上一检查区间衔接,对内审部门独立抽查的业务流程可不再重复检查评价。年度自查应填写自查工作底稿,检查结果连同业务流程季度穿行测试情况、审计抽查情况等一并形成自查评价报告,经分(子)公司经理审定后,于次年2月1日前报股份公司内控办公室。“总部部门自查”是总部有关部门至少每半年对责任业务流程和控制点的有效性穿行测试一次,结合日常专
28、业管理,对分(子)公司的执行情况适当抽查。穿行测试及抽查结果形成书面报告,经部门主任审定后,向股份公司内控领导小组汇报,并于每年8月1日和次年2月1日前报股份公司内控办公室。第四条 内部控制检查评价人员股份公司内控办公室在各有关专业领域内公开选拔若干名业务骨干,组建内部控制专业人员队伍,并定期进行培训,经考试合格者颁发“内控专业人员”资格证书。年度综合检查评价时,以“内控专业人员”为主组成检查评价小组,对各单位进行现场检查和评价,各类检查评价结果必须由“内控专业人员”签字确认。第五条 本办法适用于股份公司总部各部门、事业部,各分(子)公司、研究院(以下简称各单位)。各单位可参照本办法,结合实际
29、,制定本单位内部控制检查评价与考核办法。第六条 审计部按照本办法独立进行内部控制检查评价。第二章 股份公司年度综合检查评价第七条 股份公司年度综合检查评价的原则股份公司年度综合检查评价(以下简称综合检查)以内控手册为基础,对各单位内部控制的健全性、实施的有效性等进行综合检查和评价。第八条 综合检查内容及评分综合检查内容:内部控制环境评价、单位自查情况评价、业务流程综合检查评价、内部控制缺陷认定及整改落实等,总分100分。综合检查结果,记录在内部控制检查评价汇总表中(见附件1)。(一)内部控制环境评价10分。(二)单位自查情况评价20分。(三)业务流程综合检查评价70分。(四)内部控制缺陷认定,
30、包括财务报告缺陷认定和非财务报告缺陷认定(参见第十四条)。财务报告缺陷分为3个等级,即:一般缺陷、重大缺陷和实质性漏洞。非财务报告缺陷一般情况下视同一般缺陷。股份公司内控办公室根据确认后的等级修正综合检查评分。一般缺陷:扣减综合检查得分的1%;重大缺陷:扣减综合检查得分的50%;实质性漏洞:综合检查得分为零。当出现多个缺陷认定结果时,按扣减比例累加结果对综合检查量化评分进行修正。(五)整改落实。现场检查评价结束后2个月内,被检查单位应就未执行的控制点及内部控制缺陷制定措施并认真落实整改。股份公司内控办公室会同总部有关业务流程责任部门复核整改结果。第九条 综合检查工作流程(一)制定检查评价工作方
31、案。股份公司内控办公室统一制定综合检查工作方案,报股份公司内控领导小组批准后,派出检查小组对各单位进行现场检查和评价。(二)现场检查和评价。检查小组进驻各单位进行现场检查和评价,遇到问题应及时向股份公司内控办公室报告。股份公司内控办公室对现场检查中遇到的各类问题要及时协调和研究解决。现场检查结束后,检查小组向股份公司内控办公室提交现场检查评价报告及有关资料。(三)检查评价结果复核与确认。股份公司内控办公室会同有关部门对现场检查评价结果统一复核和确认,结合审计部独立检查评价结果,形成年度综合检查评价报告,报股份公司内控领导小组审定。第十条 现场检查评价工作流程(一)检查动员。检查小组对内部控制检
32、查的目的、意义等向被检查单位宣讲和动员,对检查工作进行安排和部署。(二)单位配合。被检查单位向检查小组全面介绍:1本单位的基本情况(生产经营业务范围、组织机构、经理班子成员及其分工、财务管理核算体制、ERP建设和实施情况等);2被检查期间生产经营计划和预算完成情况;3内部控制实施情况(内控宣传培训、实施细则及相关制度修订完善、日常内控工作机制、单位测试自查及整改情况);4最近一次审计或财务稽核查出问题的整改情况等。(三)现场检查。检查小组根据被检查单位适用业务流程和检查小组人员构成情况等进行工作分工。每个检查项目配备相应的检查人员,同时由他人复核。现场检查人员应根据内控手册控制点规定,参考检查
33、工作底稿中检查步骤及方法,认真对照检查评价标准,填写检查工作底稿,做出检查评价结论。检查小组组长、副组长或经其授权的人员须审核全部检查结果,并对检查结果的真实性负责。检查工作底稿由被检查单位流程责任人签字确认。(四)汇总检查评价结果。检查小组对检查中发现的各类问题进行研究和确定,汇总检查评价结果,形成现场检查评价初步结果。(五)通报检查评价情况。检查小组就现场检查评价初步结果与被检查单位交换意见,形成现场检查评价报告,向被检查单位通报。对检查小组做出的检查评价结论,被检查单位不得以任何形式施加影响;对检查评价结论有不同意见,可向股份公司内控办公室书面反映,由股份公司内控办公室会同有关部门研究解
34、决方案并报股份公司内控领导小组审定。(六)跟踪整改。对检查中发现的问题,被检查单位要及时制定整改方案,并认真落实整改,整改情况及结果须在检查结束后2个月内向股份公司内控办公室反馈。股份公司内控办公室会同总部业务流程责任部门对各单位的整改情况进行跟踪和监督。第十一条 内部控制环境评价内部控制环境是开展内部控制各项工作的基础,是内部控制检查评价的重要内容之一。检查小组在现场检查评价过程中,要注重与被检查单位各级人员的交流与沟通,通过访谈、调查、实地观察等形式了解并掌握被检查单位内部控制环境,由检查小组组长、副组长或经其授权的人员填制内部控制环境检查评价表(见附件2),对被检查单位诚信与道德、责任分
35、配与授权、组织结构、管理哲学与经营风格、人力资源政策与实务、信息与沟通、监督等方面作出评价,进而对被检查单位内部控制环境综合评价。第十二条 单位自查情况评价股份公司年度综合检查评价中,对单位自查情况验证和评价。(一)分(子)公司自查情况评价。分(子)公司自查评价的内容包括“业务流程季度穿行测试”和“年度自查”。检查小组在现场检查过程中对分(子)公司自查情况进行验证和评价,由检查小组组长、副组长或经其授权的人员填制内部控制自查情况检查评价表(见附件3)。(二)总部部门自查情况评价。按照总部层面内部控制检查评价与考核实施细则执行。第十三条 业务流程综合检查评价业务流程综合检查评价,执行如下程序和要
36、求:(一)确定适用业务流程范围。参照内控手册“附则2”,确认被检查单位适用的业务流程范围。对被检查单位根据管理需要,申请调整并经股份公司内控办公室批准的业务流程,按批准后的业务流程列入检查评价范围。股份公司直属研究院,依据研究院内部控制手册检查评价。(二)确定所属单位或部门的抽查范围。根据业务流程检查需要,结合被检查单位的管理层级和产(股)权结构情况,确定对被检查单位下属单位及子公司的抽查范围和数量:1实行两级或两级以上核算(或管理)的单位,检查小组应根据所属单位的数量、规模等情况抽取样本,抽查样本应覆盖一定数量的所属单位。2对被检查单位的所属(或管理)全资子公司和控股子公司,原则上要全部检查
37、。对控股子公司较多,无法全部检查的,可根据实际情况选择影响较大的控股子公司进行抽查。对抽查的子公司,检查其内部控制环境及内控制度建设情况,并根据被查单位对子公司的管理要求,结合其自行制定的内控制度,重点检查采购、销售、资金管理(含担保)、资本支出、关联交易、合并报表等主要业务。对未有效执行的控制点,可扣减被检查单位相同或相近的控制点得分;内控缺陷认定比照本办法,扣减被检查单位总得分;未建立内控制度的,被检查单位视同存在实质性漏洞。(三)确定适用控制点。参照业务流程中的“适用单位”,结合业务实际发生情况,确定被检查单位适用控制点。对不适用控制点或适用控制点但未发生业务的,相应的“控制点分值”清零
38、,并在业务流程检查工作底稿的“检查记录”栏内标注“不适用”或“未发生”字样(参见附件4:业务流程检查工作底稿标准格式)。(四)控制点抽样检查与记录。业务流程控制点按其性质可分为“财务报告相关控制点”和“非财务报告相关控制点”两类。凡在业务内部控制矩阵中注明“会计报表项目”的控制点为“财务报告相关控制点”,其余为“非财务报告相关控制点”。检查评价区间跨年度时,原则上按照内控手册最新版本对不同期间业务进行检查评价。但对于上一年度业务不符合最新版本规定但符合原版本规定的,视同有效执行。1抽样检查原则。控制点抽样检查,原则上采取“随机抽样”的方法,抽取的检查样本应尽可能包含大、中、小各种金额类型,并均
39、匀覆盖规定的检查区间。其中,检查区间包含12月份的,则至少应抽取12月份的一笔检查样本。根据检查需要,检查小组也可灵活采用实地查验法、个别访谈法等其它检查方法,或与抽样检查方法结合使用。2财务报告相关控制点的抽样方法与记录。财务报告相关控制点检查样本抽取数量,根据业务发生频率高低及相关会计科目的重要性确定。业务发生频率与样本抽取数量对照关系如下:序号业务发生频率至少抽样数量1每年一次1笔2每年一次以上至每季度一次2笔3每季度一次以上至每月一次2笔4每月一次以上至每周一次5笔5每周一次以上至每天一次15笔6每天多次25笔各业务流程财务报告相关控制点的具体抽样数量、记录内容等,参照财务报告相关控制
40、点抽样记录表的要求执行(参见附件5:财务报告相关控制点抽样记录表标准格式)。检查人员可根据需要,增加抽样数量。3非财务报告相关控制点的抽样检查方法与记录。对非财务报告相关控制点的检查评价,至少要抽取3个样本(实际发生业务数量少于3笔的,要全部检查)。记录内容至少包括样本名称、业务编号(凭证号/合同号/文件号)等。4“未执行”控制点的记录。对抽取的每笔业务,应参照业务流程检查工作底稿中“控制点描述”、“检查步骤及方法”、“控制点相关资料”,尽可能穿透检查,判断样本是否有效执行。“未执行”的控制点,要复印留存有关抽查样本及相关证明材料。未执行的控制点,在业务流程检查工作底稿中“未有效执行的原因”栏
41、目详细记录未执行样本的业务编号(凭证号/合同号/文件号等)及具体未执行原因。财务报告相关控制点,还应在财务报告相关控制点抽样记录表的“有效执行/未有效执行样本序号”栏目内记录“未执行”样本的序号,“有效执行”的财务报告相关控制点,在其对应栏目内填写“”。(五)控制点检查评价。控制点的检查评价,包括“不相容岗位(职务)分离情况评价”和“控制点执行情况评价”两项内容。1不相容岗位(职务)分离情况评价。按照业务流程中列示的“不相容岗位”,检查实际工作中是否对不相容岗位(职务)进行了有效分离。未做到不相容岗位(职务)分离的,视为 “未执行”,控制点“检查评价得分”为零。2控制点执行情况检查评价。参照业
42、务流程检查工作底稿中“检查步骤及方法”对控制点执行情况检查评价。控制点的所有抽查样本中,如果有一个样本存在下列情况之一,即视为该控制点“未执行”,控制点“检查评价得分”为零:(1)未执行规定的控制步骤或控制方法;(2)突破规定的权限;(3)不能及时提供有效的控制点相关资料;(4)未实现规定的控制目标。以上两项检查评价全部合格的控制点视为“有效执行”控制点,获得相应的“控制点分值”得分。3参照执行控制点的检查评价。对相关业务流程之间参照执行的控制点,无须重复检查。参照执行控制点的评价得分,以被参照业务流程控制点评价结果为准。其中,一个控制点参照执行两个及以上控制点的,以被参照业务流程控制点中最差
43、评价结果为准。(六)业务流程综合检查评价量化评分。业务流程综合检查评价总分为70分,计算方法如下:业务流程综合检查评价得分=控制点检查评价得分70/控制点基础分值。其中,控制点检查评价得分为被检查单位所有适用业务流程控制点“检查评价得分”之和;控制点基础分值为被检查单位所有适用业务流程剔除不适用控制点及业务未发生控制点后的“控制点分值”之和。第十四条 内部控制缺陷认定内部控制缺陷按照性质划分为财务报告缺陷和非财务报告缺陷。(一)财务报告缺陷认定财务报告缺陷,包括影响会计报表缺陷、其他会计信息质量缺陷、IT控制缺陷和内控重大事故事件缺陷四个部分,依其严重程度分为一般缺陷、重大缺陷和实质性漏洞。1
44、影响会计报表缺陷。影响会计报表缺陷,是指影响利润表及资产负债表项目等错报事项,。缺陷认定应重点关注资本性支出与费用性支出划分、达到可使用状态的资产结转、存货计价方式、销售收入截账、跨期费用摊销、减值准备计提等方面。方法如下:(1)记录错报样本情况。将错报样本序号、错报样本数量和错报样本的有关情况等在财务报告相关控制点抽样记录表的相应栏目中填列和说明。(2)计算潜在错报金额。根据控制点错报样本数量和抽取样本总量,在潜在错报率对照表中查找对应的潜在错报率;根据潜在错报率和相应会计科目同向累计发生额,计算控制点潜在错报金额。公式如下:潜在错报金额 =相应会计科目同向累计发生额潜在错报率。潜在错报率、
45、潜在错报金额在财务报告相关控制点抽样记录表相应栏目中填列。业务流程财务报告相关控制点潜在错报金额合计在内部控制缺陷认定汇总表(见附件6)相应栏目中填列。(3)计算错报指标。根据被检查单位适用业务流程潜在错报金额合计,分别按照被检查单位和股份公司两种口径计算错报指标:错报指标1 =潜在错报金额合计/ 被检查单位当期主营业务收入与期末资产总额孰高;错报指标2 =潜在错报金额合计/ 股份公司当期主营业务收入。(4)影响会计报表缺陷认定等级。一般缺陷:错报指标11,且错报指标21;重大缺陷:1错报指标25;实质性漏洞:错报指标25。影响会计报表缺陷认定结果在内部控制缺陷认定汇总表的相应栏目中填列。2其
46、他会计信息质量缺陷。其他会计信息质量缺陷是指不直接影响会计报表,但不符合涉及财务信息内部控制要求的重点事项,存在以下情况判断为“一般缺陷”:(1)会计人员缺乏必要的任职资格和胜任能力。(2)财会岗位职责不清晰,或未执行规定的会计不相容岗位(职务)分离。(3)会计凭证未按规定装订、保管和归档,或会计凭证丢失。(4)重要原始凭证如出/入库单、提货通知单、开出发票和支票等不连号或未经审批取消原始凭证。(5)未按规定与股份公司内、外部往来单位对账及编制往来账户余额调节表,或100万元以上的对账差异个月以上未处理,或其他对账差异个月以上未处理。(6)未按规定编制银行存款余额调节表,或调节表差异个月以上未
47、处理。(7)一人保管支付款项所需的全部印章。开通网上银行的,由一人保管网银卡和密码。(8)存货盘点未按照规定执行。(9)由于审查不严、处理不当等原因造成执行国家税收政策偏差,受到罚款处罚等。上述各种情况每出现一种即可判断为存在一个“一般缺陷”,但同一种情况出现多次的不重复计算个数。涉及到错报的样本,其样本序号在财务报告相关控制点抽样记录表中记录;认定结果在内部控制缺陷认定汇总表的相应栏目中填列。3IT控制缺陷。IT控制分一般性控制和应用控制。IT一般性控制主要包括IT整体层面管理、程序和数据访问、程序变更、程序开发、系统运行等控制。应用控制指相关业务流程通过ERP系统和其他应用系统的设置,对涉及财务报告的输入、数据处理和输出等实施控制。存在以下情况判断为“一般缺陷”: (1)ERP系统、财务信息管理系统、加油卡系统的用户管理或密码管理未按要求执行。(2)ERP系统同一业务流程主数据管理和维护有两个或两个以上控制点未按要求执行。(3)分(子)公
浙ICP备2021020529号-1 | 浙B2-20240490 
