内部控制管理手册(中石油).doc

1、 内部控制管理手册 体系框架分册 中国石油天然气股份有限公司 二○○八年一月 目 录 公司简介 ……………………………………………………………………………………… 手册说明 ……………………………………………………………………………………… 1 总论………………………………………………………………………………………… 1·1 概述……………………………………………………………………………………… 1·2 内部控制体系

2、框架……………………………………………………………………… 1·3 组织结构、职责与权限………………………………………………………………… 2 控制环境…………………………………………………………………………………… 2.1 概述……………………………………………………… ……………………………… 2.2 诚信与道德价值观……………………………………… ……………………………… 2.3 发展目标……………………………………………………………………………………. 2.4 管理理念与企业文化…………………………………… ………………………………… 2.5 风险管理策略……

3、………………………… ……………………………………………. 2.6 董事会及下属委员会……………………………… ……………………………………… 2.7 组织结构………………………………………………………………………………….. 2.8 权利和责任分配…………………………………………………………………………… 2.9 人力资源政策与措施………………………………………………………………………… 3.10 员工胜任能力 …………………………………………………………………………… 2.11 反舞弊机制………………………………………………………………………………… 3 风险评

4、估…………………………………………………………………………………… 3·1 概述……………………………………………………………………………………… 3·2 建立风险评估机制……………………………………………………………………… 3·3 建立并完善风险管理体系……………………………………………………………… 4 控制活动…………………………………………………………………………………… 4·1 概述……………………………………………………………………………………… 4·2 控制活动的实施………………………………………………………………………… 5 信息与沟通………

5、………………………………………………………………………… 5·1 概述……………………………………………………………………………………… 5·2 信息……………………………………………………………………………………… 5·3 沟通……………………………………………………………………………………… 5·4 信息系统总体控制……………………………………………………………………… 5·5 信息系统应用控制……………………………………………………………………… 5·6 信息披露………………………………………………………………………………… 6 监督……………………………

6、…………………………………………………………… 6·1 概述……………………………………………………………………………………… 6·2 持续监督………………………………………………………………………………… 6·3 独立评估………………………………………………………………………………… 6·4 缺陷报告………………………………………………………………………………… 附件 《内部控制管理手册》（地区公司分册）编制规范…………………………………… 公司简介 中国石油天然气股份有限公司（简称“中国石油”）是于1999年11月5日在中国石油天然气集

7、团公司（简称“中油集团”）重组过程中，按照中华人民共和国公司法成立的股份有限公司。在重组过程中，中油集团向中国石油注入了与勘探和生产、炼制和营销、化工产品和天然气业务有关的大部分资产和负债。 中国石油是中国销售额最大的公司之一，广泛从事与石油、天然气有关的各项业务，包括： 1）原油和天然气勘探、开发、生产和销售； 2）原油和石油产品的炼制、运输、储存和销售； 3）基本石油化工产品、衍生化工产品及其他化工产品的生产和销售； 4）天然气、原油和成品油的输送及天然气的销售。 中国石油发行的美国存托股份、H股及A股于2000年4月6日、2000年4月7日和2007年11月5日分别在纽约证券

8、交易所、香港联合交易所有限公司及上海证券交易所挂牌上市。 中国石油的财务业绩优良，2004年、2005年和2006年的净利润分别为1038亿元人民币、1333亿元人民币和1422.24亿元人民币。 公司注册中文名称：中国石油天然气股份有限公司 公司英文名称：PetroChina Company Limited 公司法定代表人：蒋洁敏 公司董事会秘书：李怀奇 公司法定地址：中国北京东城区安德路16号洲际大厦 邮政编码：100011 电话：（8610）84886270 传真：（8610）84886260 上市地点：上海证券交易所（A股，股票代号为“N石油”）、香港联合交易所有限

9、公司（H股，股票代号为“HK00857”）和纽约证券交易所（ADS，股票代号为“PTR”）。 手册说明 关于《内部控制管理手册》 目的、意义及原则 编制和实施《内部控制管理手册》（以下简称《手册》），是为了遵循国内及上市地法律法规，进一步完善现代企业制度和法人治理结构，确保公司各项工作规范、有序运行，最大限度地减少或规避风险，提高公司的经营管理水平。 通过编制《手册》，建立一套科学、系统的内部控制体系建设的方法和规范，为公司内部控制体系建设、运行和维护提供指引，并作为建立、运行及评价内部控制体系的依据。从而确保公司上下从思想上、认识上对内部控制体系保持高度统一，以进一步实现行为上的统

10、一。 《手册》编写遵循以下原则： 1）选用COSO内控框架进行体系设计； 2）以风险管理为核心的内部控制体系建设； 3）满足国内外监管要求。 法律依据 《手册》编写依据的法律法规。 国内法律法规： 1）《中华人民共和国会计法》及配套法规； 2）企业会计准则； 3）《中华人民共和国审计法》； 4）《审计署关于内部审计工作的规定》； 5）《中央企业内部审计管理暂行办法》； 6）《中央企业全面风险管理指引》。 国外法律法规： 1）《萨班斯—奥克斯利法案》； 2）《与财务报表审计协同进行的对于财务报告内部控制的审计》； 3）与财务报表审计相结合的财务报告内部控

11、制审计以及相关的独立性规定和一致性修正案（审计准则5号）； 4）有关财务报告内部控制管理层报告规则的修订（解释性指南）。 标准： 1）COSO内部控制框架； 2）COSO企业风险管理整体框架。 适用范围 本《手册》所描述的内部控制体系覆盖并适用于： 1）本公司所有部门和所属单位； 2）本公司内部控制体系所涉及的所有业务和管理活动。 贯彻实施的责任和要求 《手册》已经建立了一套科学、系统的内部控制体系建设方法和标准，是公司建设并实施内部控制体系的纲领性文件。为保证内部控制体系“设计有效、执行有力”，公司所属各单位要认真组织实施，严格遵照执行。 各地区公司要充分认

12、识内部控制体系建设工作的长期性和艰巨性，把建立和有效运行内部控制体系作为本单位的重要工作，建立长效机制，指定专职管理部门或专职管理岗位，履行内部控制职能，切实做到实施有力。 为推动《手册》的贯彻执行，提高《手册》的使用效果，内部控制部每年至少举办一次《手册》使用培训。各地区公司要有计划地做好本单位的培训，将内控工作要求传达到每个员工、每个岗位，确保执行到位。 各地区公司要按照《内部控制管理手册》（地区公司分册）编制规范（见附件）的要求，修订、完善和细化本单位的分册。 各地区公司内控管理部门要对本单位内部控制体系运行情况进行检查和督促，公司内部控制部将定期组织考核并进行通报。 使用指

13、南 内容指引 本《手册》包括六个分册，即《体系框架分册》、《控制环境分册》、《风险评估分册》、《控制活动分册》、《信息与沟通分册》及《监督分册》。 1）《体系框架分册》，描述了内部控制体系组织结构与职责，较为全面地阐述了内部控制体系的建设目标，并以COSO内控框架为指引，从控制环境、风险评估、控制活动、信息与沟通和监督等五个方面对内控关注要点及相应措施进行了较为全面、系统的阐述； 2）《控制环境分册》，描述了控制环境的概念，并从诚信与道德价值观、发展目标、管理理念与企业文化、风险管理策略、董事会及下属委员会、组织结构、权利和责任分配、人力资源政策与措施、员工胜任能力以及反舞弊机制等十个

14、方面对内控关注要点、措施进行了阐述； 3）《风险评估分册》，描述了风险和风险评估的基本概念以及风险的分类，从建立风险评估目标、风险评估机制、建立并完善风险管理体系三个方面对内控关注要点及相应措施进行了阐述，并汇编了风险评估的相关方法、规范及管理制度； 4）《控制活动分册》，描述了控制活动的概念及分类，对公司控制活动的实施进行了概括，并汇编了关键控制管理文件； 5）《信息与沟通分册》，描述了信息与沟通的概念及要素，从信息、沟通、信息系统及信息披露等五个方面对内控关注要点及相应措施进行了阐述； 6）《监督分册》，描述了监督的概念及要素，并从持续监督、独立评估和缺陷报告三个方面对内控关注要点

15、及相应措施进行了阐述，并汇编了相关管理制度及规范。 使用要求 本《手册》是公司重要文件，属公司机密。各单位应按相关要求正确使用，未经允许，不得复印，不得对外泄露。在使用过程中遇到疑难问题，及时向内部控制部咨询。 管理与维护 内部控制部对《手册》进行规范管理，以保证其有效、完整、统一和适用。 编写与发布 《手册》由内部控制部组织编写，内控体系建设委员会审定，股份公司行文发布。 发放 1）《手册》须按发放范围统一发放。发放范围由内部控制部提出，经管理层批准执行。一般包括总裁、副总裁、机关职能部门、专业分公司、地区公司及其下属单位等。 2）《手册》包括纸质版和电子版

16、两种。电子版的配发范围为业务流程管理信息系统的覆盖范围；纸质版的配发范围为公司所属单位及特殊使用者。 维护 《手册》的维护是一项长期性、经常性的重要工作，需要各单位高度重视，积极参与，大力配合。 《手册》的修订、维护由内部控制部负责。每年，内部控制部将根据国内和上市地新出台的相关法律法规的要求、内外部审计对公司内部控制的评价、公司内控管理中出现的新问题以及地区公司反馈的意见及建议等，对《手册》进行修订，经总裁批准执行。 各地区公司应指定专职管理部门负责本单位《手册》的日常管理和维护。对《手册》日常使用过程中发现的问题，应认真记录并及时反馈给内部控制部。 内部控制部应及时掌握《手册》的

17、执行情况，并采取有效措施确保内部控制管理体系的有效运行。 关键术语和定义 C0SO COSO是自愿性的私人组织，致力于通过强化商业道德、建立完善有效的内部控制和法人治理结构以提高财务报告的质量。1985年，由美国注册会计师协会（AICPA）、会计协会（AAA）、财务经理协会（FEI）、内部审计师协会（IIA）、管理会计师协会（IMA）联合创建了反虚假财务报告委员会。该委员会旨在探讨财务报告中舞弊产生的原因，并寻求解决措施。两年后，该委员会提出了很多有价值的建议。基于该委员会的建议，其赞助机构成立了COSO委员会，专门研究内部控制问题。 COSO框架 1）COSO内部控制—整体

18、框架 反虚假财务报告委员会于1987年签署了报告，号召研究并制定一个统一的内部控制框架。1992年9月，COSO委员会提出了报告《内部控制———整体框架》（1994年进行了增补），即COSO内部控制框架。COSO内部控制框架被广泛地选择作为构建和完善内部控制体系的标准，是因为：虽然COSO内部控制框架并非唯一的内部控制框架，但却是美国证券交易委员会唯一推荐使用的内部控制框架，《萨班斯—奥克斯利法案》第404条款的“最终细则”也明确表明COSO内部控制框架可以作为评估公司内部控制的标准。 COSO框架提出五个互相关联的组成要素，根据公司的规模和结构，公司可采用不同的方式来实施这些组成要素，但

19、是所有公司都必须涉及这五个组成要素。因此，在对内部控制进行评估时，管理层必须考虑以下每个组成要素： 控制环境：控制环境是内部控制体系的基础，是有效实施内部控制的保障，直接影响着公司内部 控制的贯彻执行、公司经营目标及整体战略目标的实现。控制环境确定了公司的总体态度，是内部控 制所有其他组成要素的基础。控制环境包括职业道德、员工的胜任能力、管理理念和经营风格、组织 结构、权利和责任的分配、人力资源政策与措施、董事会与审计委员会以及反舞弊等内容。 风险评估：风险评估是识别及分析影响公司目标实现的风险的过程，是风险管理的基础。在风险评估中，应识别和分析对实现目标具有阻碍作用的风险。 控制

20、活动：控制活动是确保管理层的指令得到贯彻执行的必要措施，存在于整个机构内所有级别和职能部门。包括批准、授权、查证、核对、经营业绩评价、资产保全措施和职责分工等活动。 信息与沟通：信息与沟通是公司经营管理所需的信息被识别、获得并以一定形式及时地传递，以便员工履行职责。信息不仅包括内部产生的信息，还包括与公司经营决策和对外报告相关的外部信息。畅通的沟通渠道和机制使公司的员工能及时取得他们在执行、管理和控制公司经营过程中所需的信息，并交换这些信息。 监督：监督是对内部控制体系有效性进行评估的持续过程，包括持续监督、独立评估和缺陷报告等。 2）COSO企业风险管理－整体框架 最近数年，企业风险

21、管理成为焦点而受到突出关注，需要一个强有力的框架以有效地识别、评估和管理风险。2004年9月，COSO委员会发布《企业风险管理整体框架》，在内部控制的基础上，扩展、提供了一个更强有力的框架，更广泛地专注企业的全面风险管理。该框架不会取代内控框架，而是将内控框架与其融合为一体。公司仍可以决定依靠这个企业风险管理框架去满足企业内控的需要，通过采用更全面的风险管理方法使企业持续发展。 企业风险管理由八项相互关联的要素组成，来自管理层经营企业的方式，并融入管理过程本身。这些要素包括： 内部环境：内部环境包含了一个企业的基调，为该企业管理层和员工审视和应对风险的方式制定基础，包括风险管理理念和风险

22、容量、诚信和道德价值观以及他们进行经营活动所处的环境。 目标制定：在管理层能够识别影响目标实现的潜在事件之前，企业必须已制定目标。企业风险管理确保管理层使制定目标的流程到位，并保持选择的目标支持企业的使命并与此并行不悖，同时这些目标也与企业的风险容量相一致。 事件识别：必须识别出影响企业实现目标的各种外部和内部事件，并区分风险和机遇。可以在管理层制定企业战略或目标的过程中对机遇加以考虑。 风险评估：应对风险进行分析，考虑其发生的可能性和影响，以作为确定应如何管理风险的基础。还应对企业固有风险及残存风险进行评估。 风险反应：管理层选择风险反应方案：规避风险、接受风险、减少风险或分担风险，

23、采取一系列措施使风险维持在企业的风险承受度和风险容量范围之内。 控制活动：确立和实施政策和程序，以有助于确保风险反应方案得以有效地贯彻执行。 信息与沟通：相关信息以某种形式和在一定时限内被识别、获得和传达沟通，以便使员工履行自己的职责。从广义上讲，有效的沟通也应自上而下、自下而上地进行，贯穿整个企业。 监督：监督整个企业风险管理过程，并根据需要作出修改。通过持续性监督活动、独立评估或两者兼而有之来完成监督。 内部控制 COSO内部控制框架认为，内部控制是受公司董事会、管理层和其他人员影响，为实现经营的效率和效果、财务报告的可靠性、相关法规的遵循性等目标而提供合理保证的过程。

24、 企业风险管理 COSO企业风险管理整体框架认为，企业风险管理是一个受到企业董事会、管理层和其他人员影响的过程，这个过程从企业战略制定一直贯穿到企业的各项活动中，旨在识别那些可能影响企业的潜在事件并管理风险使之在企业的风险容量之内，从而合理确保企业实现其既定目标。 PCAOB PCAOB是美国上市公司会计监管委员会的英文缩写。 美国上市公司会计监管委员会（PCAOB）是根据2002年7月30日美国总统乔治·布什签署的《萨班斯—奥克斯利法案》成立的。其宗旨在于通过准备独立、准确的审计报告来保护投资者的利益，从而进一步保护公众的利益。根据美国联邦法律规定，PCAOB有权制定一系列准

25、则来指导和约束上市公司的审计。联邦法律还要求PCAOB每年向SEC和美国国会中主管PCAOB的委员会同时提交报告。 对财务报告的内部控制 财务报告的内部控制是由公司主要管理人员和财务管理人员或者执行类似职能的人员设计和监督的，由公司董事会、管理层及其他人员实施，并能合理确保财务报告的可靠性，以及向外部相关方提供的财务报表的编制符合公认会计准则的一个流程。该流程涉及对交易进行记录、记录的维护以及对未经授权的收购、使用或处置公司资产的行为进行防范或检测的措施。 设计方案的有效性 当内部控制能够满足内控目标，并能防止或发现可能导致财务报表发生重大错报或舞弊时，财务报告内部控制的设计方

26、案就是有效的。 运行有效性 当设计恰当的内控按设计运行，并且执行内控的相关人员具备有效执行控制所需的权限和资格时，对于财务报告的内部控制的运行是有效的。 1 总 论 1·1 概 述 1.1.1 框架编制的目的 通过确定内部控制体系建设目标，明晰内部控制体系建设的范围和内容，为公司建设以风险管理为核心内容的内部控制体系提供指引，以建立统一、规范、有效的内部控制体系，增强公司风险防范能力，为公司战略发展提供合理保障。 1.1.2 框架编制的原则 1）合法性原则。以国内及上市地法律法规为准绳，结合公司实际建立内部控制体系。 2）完整性原则。以COSO内部控制整体框架为

27、基础，融合COSO企业风险管理整体框架的主要内容，结合国家监管部门的基本要求，全面开展内部控制体系建设，覆盖全部业务和部门。 3）继承性原则。在公司现有管理体系的基础上，依托已有管理优势，建立内部控制体系。 4）效率性原则。在保证体系设计合理性的前提下，提高公司运营效率和效益。 1.1.3 框架编制的依据 国资委《中央企业全面风险管理指引》；《萨班斯—奥克斯利法案》；美国上市公司会计监管委员会（PCAOB）发布的相关审计准则；《COSO内部控制整体框架》；《COSO企业风险管理整体框架》及公司相关管理规定。 1.1.4 框架编制的思路与方法 在现有内控体系框架的基础上，结合《C

28、OSO企业风险管理整体框架》的主要内容，按照国资委《中央企业全面风险管理指引》的基本要求，增加控制目标和体系建设内容，汲取国内外其他公司内部控制体系建设的先进经验，根据公司管理实际编制内部控制体系框架。 1.1.5 体系框架的实施 框架明确了公司内控工作任务，是制定内控工作规划的依据。框架确定的工作目标将在今后分年度实施。 1.2　内部控制体系框架 1.2.1 内部控制体系建设的总体目标 公司内部控制体系建设的总体目标是：建立以风险管理为核心内容，涵盖公司经营管理各领域，较为完善、运行有效的内部控制体系，为公司战略发展提供合理保障。 1.2.2 内部控制体系建设指导思想

29、充分认识公司建设内部控制体系工作的严肃性、重要性和紧迫性，以《萨班斯—奥克斯利法案》的颁布为契机，以国资委发布的《中央企业全面风险管理指引》为指导，以提高公司管理水平为动力，依托已有的管理优势，适应公司国际化发展要求，开展以风险管理为核心内容的内部控制体系建设，为公司战略发展提供合理保障，从而树立和维护公司在国际资本市场诚信、稳健和安全的良好形象。 1.2.3 框架的主要内容 1.2.3.1 控制环境 控制环境确立公司风险管理的总体态度，是内部控制体系的基础，是有效实施风险管理的保障，直接影响内部控制体系的执行、公司经营目标及整体战略目标的实现。风险管理是受公司董事会、管理层和其

30、他人员影响的过程，这个过程从公司战略制定一直贯穿到企业的各项活动中，旨在识别那些可能影响公司目标的潜在因素并予以管理，使之在公司的风险容量之内，从而为公司实现其目标提供合理保证。 控制环境包括诚信与道德价值观、发展目标、管理理念与企业文化、风险管理策略、董事会及下属委员会、组织结构、权利和责任分配、人力资源政策与措施、员工胜任能力以及反舞弊机制等内容。 1）诚信与道德价值观：建立涵盖公司各个层面的员工职业道德规范，体现公司诚信与道德价值观念，树立员工诚信价值观。 2）发展目标：制定公司战略目标，并在此基础上制定相关经营目标、报告目标和合规性目标。 3）管理理念与企业文化：确立公司管理理

31、念，体现公司的经营管理风格；确立公司风险管理理念，体现公司认知经营管理风险所共有的信念和态度。 继承和发扬公司企业文化，体现公司的经营宗旨、价值观念和行为准则；将风险管理文化融入企业文化建设全过程，树立和传播正确的风险管理理念，增强守法意识和诚信意识，将风险管理意识转化为员工的共同认识和自觉行动，提高全员风险意识。 公司高级管理人员应在继承和发扬风险管理文化中发挥表率作用，中层管理人员应继承和发扬风险管理文化的骨干作用。 4）风险管理策略：公司围绕发展战略，确定风险容量、风险承受度、风险管理有效性标准，体现公司风险管理的总体策略，并据此制定风险反应方案。 公司确定针对发展战略的风险容量

32、体现公司在战略制定与实施过程中愿意承受的风险范围和风险水平，反映公司的风险偏好。公司针对特定目标，制定具体的风险承受度，体现在实现特定目标过程中公司对差异的可接受程度。公司确定风险容量和风险承受度，要正确认识和把握风险与收益的平衡，防止忽视风险，片面追求收益或者单纯为规避风险而放弃发展机遇。风险承受度与风险容量保持一致。 公司根据风险管理的总体目标，制定风险管理有效性标准。 5）董事会及下属委员会：董事会的设立符合国内外法律法规的规定。董事会负责督导公司内部控制体系的建立和实施，督导公司将风险管理融入战略管理之中，监督公司以风险管理为核心内容的内部控制工作。 董事会下属的审计委员会的设

33、立符合国内外法律法规的规定，负责监督内部控制体系运行与评价情况。 6）组织结构：建立规范的法人治理结构，优化组织结构，明确部门权责并细化落实到各个岗位，规范组织机构编制管理工作。 建立内部控制体系运行网络。建立健全公司内部控制管理组织体系， 明确内部控制组织体系的职责分工，形成包括董事会、审计委员会、管理层、内控体系建设委员会、内部控制管理部门、其他职能部门及各业务单位在内的内部控制管理组织体系。各单位根据实际情况，按规定设置内部控制管理机构或管理岗位负责内部控制日常管理工作。内部控制管理工作应与其他管理工作紧密结合，把内控管理的各项要求融入企业管理和业务流程中。 7）权利和责任分配：建

34、立完善的公司权责管理体系，制定完善的授权管理文件。 8）人力资源政策与措施：建立完善的公司管理人员任用选拔、管理考核和激励监督等方面的政策。 9）员工胜任能力：健全全员职业培训和技能考核机制，持续提高员工的综合素质和工作能力。 10）反舞弊机制：制定反舞弊相关制度，建立反舞弊机制。持续开展舞弊风险评估，建立舞弊风险数据库。制定反舞弊控制措施，持续开展舞弊调查并进行违规处理。监督反舞弊机制运行效果并逐步予以完善。 1.2.3.2 风险评估 风险是指未来的不确定性对公司实现其目标的影响。风险评估是识别及分析影响公司目标实现的因素的过程，是风险管理的基础。在风险评估中，既要识别和分析对实

35、现目标具有阻碍作用的风险，也要发现对实现目标具有积极影响的机遇。 公司制定完善的风险评估规范，明确风险评估的程序和方法，规范公司风险评估工作。公司风险评估工作由内控部门组织有关职能部门和业务单位实施。 1）风险评估范围 公司针对战略目标、经营目标、报告目标、合规性目标，分别确认风险评估的范围。 2）风险评估的基本程序 （1）信息收集。围绕公司战略目标和相关目标以及风险管理要求，相关职能部门、业务单位和内控管理部门广泛、持续收集与公司风险及风险管理相关的内部、外部各种信息，包括收集历史数据和未来信息，关注宏观经济与经营环境、竞争对手、新技术与新产品、海外经营、公司重组、业务整合、会计政

36、策、信息系统、资本运作等方面已经发生和将要发生的变化情况。公司对收集的数据、信息和变化情况进行必要的筛选、提炼、对比、分类、组合，形成与公司风险管理相关的信息资料库并不断更新，以便进行风险评估。 （2）风险识别。风险识别是指查找公司各项重要经营管理活动及其重要业务流程中存在的影响目标实现的风险和机遇的过程。公司分别从公司层面、业务活动层面，动态识别影响公司战略目标及相关目标实现的、内部和外部的各种不确定性因素。带负面影响的因素代表风险，需要对其分析和应对；带积极影响的因素代表机遇，在制定目标和政策实施过程中对其加以考虑并把握。 ① 公司层面风险识别。公司从战略发展的角度，识别公司层面面临的

37、所有重大的不利因素和有利因素，从而识别风险，发现机遇。这些因素来自外部和内部两个方面，外部因素主要包括政治因素、经济因素、社会因素、自然环境因素等；内部因素主要包括基础设施因素、员工因素、流程因素和技术因素等。 ② 业务活动层面风险识别。公司制定业务流程描述规范，建立流程目录并用流程图对所有业务进行直观描述。在业务流程描述的基础上，以业务流程步骤为主线，全面识别影响目标实现的相关因素。 （3）风险评价。风险评价是评估风险对公司实现目标的影响程度和风险发生可能性的过程。公司针对固有风险和残存风险，运用定性和定量的方法，对公司层面和业务活动层面风险发生的可能性和影响程度进行分析、评价，并按照风

38、险排序标准和方法，确定风险重要性水平，识别公司重大风险，确定风险管理的优先顺序。 （4）风险反应。风险反应是公司针对风险发生的原因、风险重要性水平，考虑风险之间的关系并把握机遇，运用风险组合观，选择风险反应方案的过程。风险反应方案包括回避风险、减少风险、分担风险、接受风险。 3）风险数据库 公司按照规定的程序和方法，开展公司层面风险和业务活动层面风险评估后，结合风险因素、重要性水平和风险反应方案，编制与维护公司层面风险数据库和业务活动层面风险数据库。 1.2.3.3 控制活动 控制活动是确保管理层关于风险应对方案得以贯彻执行的政策和程序。控制活动存在于公司所有级别的分支机构和职能

39、部门，包括授权、批准、查证、核对、报告、内部审计、重大风险预警、企业法律顾问、经营业绩评价和资产保全措施等活动。 公司应根据风险管理策略，针对各类风险或每一项重大风险制定相关的规章制度、控制政策和控制措施，确保风险控制在风险承受度的范围内。 公司针对风险建立的规章制度、控制政策和控制措施，要满足合规的要求，坚持经营战略与风险策略一致、风险控制与运营效率及效果相平衡的原则，针对重大风险所涉及的各管理及业务流程，制定涵盖各个环节的全流程控制措施；对其他风险所涉及的业务流程，要把关键环节作为控制点，采取相应的控制措施。 公司应当按照各有关部门和业务单位的职责分工，组织实施控制措施。 1）针对

40、公司层面风险，按照风险反应方案，建立相应的公司层面风险控制政策，制定公司统一的规章制度，统驭业务活动层面控制。 2）针对业务活动层面风险，以公司层面控制政策为导向，规范业务流程，制定业务活动层面风险控制措施。 （1）控制现状描述与分析。制定风险控制文档编制规范和模板，对业务流程进行风险控制分析，编制风险控制文档（RCD），对控制的合理性、完整性进行分析。 （2）规范、统一业务流程。根据风险控制分析结果，补充、完善相关控制，规范、统一流程步骤、控制规范和记录表单，建立规范、统一的业务流程。 （3）建立关键控制。建立完善的关键控制确认方法，确定所有业务流程的关键控制并建立关键控制管理文件。

41、 （4）强化自动控制。通过实施信息系统自动控制，固化流程操作程序，提高控制执行效率和效果。 3）财务会计报告流程。建立健全财务会计报告流程，完善财务会计报告相关制度。 4）建立并实施经营管理活动分析评价制度。各级管理层开展经营管理活动分析，对经营管理情况实施审核和监督。 1.2.3.4 信息与沟通 信息与沟通是公司经营管理所需的信息被识别、获得并以一定形式及时地传递，以便员工履行职责。信息不仅包括内部产生的信息，还包括与公司经营决策和对外报告相关的外部信息。畅通的沟通渠道和机制使公司的员工能及时取得他们在执行、管理和控制公司经营过程中所需的信息。公司建立符合发展战略并与经营管理活

42、动一体化的信息系统，为公司风险管理提供足够的信息资源和顺畅的沟通渠道。 1）信息资源收集。 公司持续不断地识别、收集、整理与归纳来自内部与外部、经营与管理的各种信息。针对不同的信息来源和信息类型，明确各种信息的收集人员、收集方式、传递程序、报告途径和加工与处理要求，确保经营管理各种信息资源得到及时、准确、完整收集。 2）信息沟通渠道。公司建立横向和纵向相互通畅、贯穿整个公司的信息沟通渠道，确保公司目标、风险策略、风险现状、控制措施、员工职责、经营状况、市场变化等各种信息在公司内部得到有效的传达。 公司建立适当的渠道，与公司的相关方如供应商、客户、律师、股东、监管机构、外部审计师，就相关

43、信息进行必要的外部沟通。 3）信息披露。公司制定完善的信息披露管理制度，明确重大事项的判定标准和报告程序，确定披露事项的收集、汇总和披露程序，符合资本市场监管要求。 4）信息系统 公司将信息技术应用于风险管理各项工作，运用信息系统对经营管理进行过程控制和信息的采集、存储、加工、分析、测试、传递、报告和披露等，实现对各种风险计量和定量分析、定量测试；能够适时反映风险矩阵和排序频谱、重大风险和重要业务流程的监控状态并进行重大风险预警；能够满足风险管理内部信息报告制度和企业对外信息披露管理制度的要求。 信息系统应实现信息在各职能部门、业务单位之间的集成与共享，既能满足单项业务风险管理的要求，

44、也能满足企业整体和跨职能部门、业务单位的风险管理综合要求。 （1）建立信息系统总体控制。建立包括信息系统的控制环境、信息安全、项目建设管理、系统变更管理、系统运行维护、最终用户操作等六方面内容的信息系统总体控制规范与规章制度。 （2）建立信息系统应用控制。全面识别应用系统相关风险，建立完善的应用系统控制规范，对应用系统的输入、处理和输出进行有效控制。公司信息系统提供的信息应达到一致性、准确性、及时性、可用性和完整性的目标。公司确保信息系统稳定运行和安全，并根据实际需要不断进行改进、完善或更新。 （3）建立流程管理信息系统。建立统一业务流程管理平台，实现业务流程语言、设计规范、管理制度、控

45、制措施、流程发布的统一管理，建成满足全面风险管理，具有开放性、可拓展性的流程管理信息系统。 1.2.3.5 监督 监督是对内部控制体系有效性进行评估的持续过程。包括持续监督、独立评估和缺陷报告等。公司应以重大风险、重大事件和重大决策、重要管理及业务流程为重点，对内控体系的有效性实施监督。 1）持续监督。公司制定内部控制体系运行与维护管理制度，定期维护《内部控制管理手册》，将内部控制工作纳入公司各级管理层业绩考核，构建内部控制体系运行长效机制。 公司各级管理部门、流程责任部门，在体系日常运行中，实施自我监督和自我检查，并将检查、检验报告报送内控管理部门。 2）独立评估。以风险为导向，

46、建立完整的测试规范，定期对各部门和业务单位内部控制体系有效性进行检查和监督。 3）缺陷报告。建立健全缺陷报告管理机制，制定缺陷认定规范，明确上报内控缺陷的程序。 1·3 组织结构、职责与权限 1·3·1 目的 通过建立分工合理、职责明确、报告关系清晰的组织结构，明确内控管理决策机构、管理机构、执行机构和监督机构的责任和义务，确保本公司内部控制的职责、权限及其相互关系得到规定和沟通，使本公司内部控制体系得到有效运行。 1·3·2 机构 公司内部控制和风险管理体系工作，在总裁领导下形成决策、管理、执行、监督四个层次的管理架构： 1）决策机构：内控体系建设委员会是公司内部控制和风险

47、管理工作的决策机构； 2）管理机构：内部控制部作为公司内部控制体系日常管理部门和委员会的办事机构； 3）执行机构：总部各部门、专业分公司、地区公司作为执行层，按照内部控制和风险管理体系的统一要求，具体组织落实； 4）监督机构：审计部门行使监督职能，负责对体系运行状况实施测试监督。 为加强对内部控制体系管理工作的组织和领导，各地区公司成立相应的内控体系建设委员会。内控体系建设委员会由各单位有关领导和部门负责人组成，由总经理担任内控体系建设委员会主任。内控体系建设委员会下设办公室。 1·3·3 职责与权限 1·3·3·1 公司内控体系建设委员会主要职责 1）审定内部控制体系框架及实

48、施计划。 2）审定内部控制体系建立、测试和评估方案，对内部控制体系建设工作进行安排、部署。 3）协调解决内部控制体系建设工作中的重大问题。 4）审查批准对各部门、专业分公司和地区公司进行内部控制体系建设的考核方案，并组织实施。 5）负审定需要提交董事会或管理层解决的重大事项。 6）督导、督促公司内部控制体系的建立、完善和运行。 1·3·3·2 内部控制部主要职责 1）根据国家有关法律、法规及相关规定，负责组织制定集团公司、股份公司内部控制及风险管理制度、标准及方法； 2）负责编制集团公司、股份公司内部控制及风险管理体系建设规划、体系框架，并组织实施； 3）负责组织集团公司、

49、股份公司风险评估工作，确定重大风险，建立风险数据库； 4）负责组织和协调集团公司、股份公司业务流程相关工作管理； 5）负责组织集团公司、股份公司风险控制设计及实施，负责内部控制及风险管理体系日常维护； 6）协调内、外部审计测试，组织开展运行评价、改进测试和缺陷评估。负责组织内部控制及风险管理体系运行监督考核； 7）代拟股份公司管理层内部控制评估报告，协助董秘局处理对外披露相关事宜； 8）负责集团公司、股份公司内部控制及风险管理业务培训。 1·3·3·3 公司各部门、专业分公司、地区公司职责 1）审计部负责内部控制体系执行有效性的监督，组织实施管理层测试，其主要职能包括： （1）

50、编制管理层测试计划和方案，经管理层批准后组织实施； （2）按照审计规定和公司发布的内部控制体系评价规范，每年定期组织实施管理层测试，对测试结果进行汇总、确认和分析，并分别向管理层和审计委员会汇报； （3）对被测试单位（股份公司机关、专业公司、地区公司）出具测试报告。 2）监察部、审计部负责建立和完善反舞弊工作机制。 3）信息管理部负责公司信息系统总体控制和应用控制管理制度的建立、运行维护工作。 4）法律部负责公司规章制度和法律风险的综合管理 5）公司各部门、专业公司按照内部控制和风险管理体系的各项要求，具体负责本部门、专业公司内控体系建设、运行、维护等工作的具体实施。 6）地区公