中国石油内部控制体系框架好资料

第三部分内部控制体系框架二○○五年三月1一．框架编制目的、原则二．框架编制依据三．框架编制思路与方法四．框架的内容主要内容2一、框架编制目的、原则编制目的通过建立一套科学、系统的内控体系建设方法和标准，为公司内控体系建设工作提供指引。补充修订相关管理制度，为公司完善和优化内部控制，建立统一、规范和有效运行的内部控制体系，增强风险防范能力提供有力保证。3编制原则1、合法性原则。以国内及上市地法律法规为准绳，结合公司实际进行内控体系设计；2、完整性原则。严格按照COSO内部控制框架五要素开展内控体系建设，并覆盖各项业务和各个部门；3、继承性原则。与公司管理制度体系相结合，在现有管理体系的基础上，建立内部控制管理体系；4、有效性原则。在内控体系设计过程中，要考虑实施的可能性，即根据公司运行的实际需要进行体系设计。一、框架编制目的、原则4一．框架编制目的、原则二．框架编制依据三．框架编制思路与方法四．框架的内容主要内容5国内内控法律法规《萨班斯-奥克斯利法案》美国上市公司会计监管委员会审计准则COSO内部控制框架二、框架编制依据6一．框架编制目的、原则二．框架编制依据三．框架编制思路与方法四．框架的内容主要内容7三、框架编制思路与方法按照COSO控制框架五要素的要求，遵从国内及上市地相关法律法规，广泛汲取国内外公司内部控制体系建设的经验和教训，参考相关的内部控制范例，并结合公司管理实际进行内控体系框架设计。8一．框架编制目的、原则二．框架编制依据三．框架编制思路与方法四．框架的内容主要内容9内控体系建设目标内控体系建设指导思想框架的组成四、框架的内容10内控体系建设总体目标以COSO控制框架为基础，建立符合企业内部管理实际的持续满足上市地和国内相关法律法规要求的内控体系，全面提升公司的管理水平，增强风险防范能力，保证公司协调、持续、快速发展。内控体系建设目标112005年内控体系建设工作目标建立内部控制体系基础框架，补充、修订相应制度，重点关注与对外披露财务信息密切相关的流程和关键控制，达到满足外部审计和对外披露的基本要求。内控体系建设目标12充分认识内控体系建设工作的严肃性、重要性和紧迫性，依托已有的管理优势，以法案的颁布为契机，以提高企业自身管理水平的需求为动力，全力进行内控体系的建立和完善工作，使之成为一个长期有效运行的体系，从而树立和维护公司在国际资本市场诚信、稳健和安全的良好形象。内控体系建设指导思想13内部控制体系框架包括总论和控制环境、风险评估、控制活动、信息与沟通、监督及附录（内控体系建设阶段重点工作实施计划和内控相关法律法规）等七个部分。框架的组成14内部控制体系框架包括五个要素：控制环境风险评估控制活动信息与沟通监督总论15控制环境是内部控制体系整体框架的基础，是有效实施内部控制的保障，直接影响着企业内部控制的贯彻执行、企业经营目标及整体战略目标的实现。控制环境确定了公司的总体态度，是内部控制所有其他组成要素的基础。控制环境16控制环境可以概括为三个方面九项内容：精神文明建设：包括诚信与道德观、员工的胜任能力、管理理念和经营风格等，体现的是公司企业文化建设和管理理念。企业组织结构：包括组织结构、权力和责任的分配、人力资源政策等。其核心是建立明晰的授权管理制度体系。公司治理与监管：包括董事会、审计委员会和反舞弊机制等。控制环境17项目长远目标2005年工作目标建设单位总部机关地区公司相关部门专业公司公司机关二级单位控制环境一、精神文明建设1、诚信与道德价值观建立涵盖公司各个层面的道德规范建立涵盖公司各个层面的道德规范√√2、员工的胜任能力建立并周期性地补充完善公司各岗位描述，健全全员职业培训和技能考核机制完成公司高级管理人员、财务、审计、资产管理岗位的岗位描述，建立一套岗位培训制度√√控制环境18项目长远目标2005年工作目标建设单位总部机关地区公司相关部门专业公司公司机关二级单位3、管理理念和经营风格规范的制度，明确的职责，反映公司管理理念和经营风格在内控手册中描述管理层对风险、关键岗位、会计政策、高层信息沟通等方面的态度和基本做法√√二、企业组织设计与管理4、组织结构建立规范的法人治理结构建立规范的法人治理结构√优化组织结构，明确部门权责，并细化落实至各个岗位明确组织机构和职能√√规范组织机构编制管理工作规范组织结构编制管理工作√√控制环境19项目长远目标2005年工作目标建设单位总部机关地区公司相关部门专业公司公司机关二级单位5、权利和责任的分工建立完善的公司授权管理制度体系汇编现有的公司授权管理制度√√建立完善的权限指引表根据现有的制度编制权限指引表√√6、人力资源政策建立完善的公司任用选拔、管理考核和激励监督等方面政策汇编现有的招聘、培训、考核、薪酬、晋升等人力资源制度√√控制环境20项目长远目标2005年工作目标建设单位总部机关地区公司相关部门专业公司公司机关二级单位三、公司治理与监管7、董事会设立要符合国内外法律、法规的规定；监督内控体系工作改进情况；确保所有工作留下证据设立要符合国内外法律、法规的规定；监督内控体系工作改进情况；确保所有工作留下证据√8、审计委员会设立要符合国内外法律、法规的规定；监督内控体系工作改进情况；确保所有工作留下证据设立要符合国内外法律、法规的规定；监督内控体系工作改进情况；确保所有工作留下证据√控制环境21项目长远目标2005年工作目标建设单位总部机关地区公司相关部门专业公司公司机关二级单位9、反舞弊建立完善的反舞弊机制建立反舞弊机制√√建立完善的检举程序设立举报热线和检举程序√√开展舞弊调查并进行整改开展舞弊调查并进行整改√√建立完善的舞弊风险评估和控制体系建立舞弊风险评估和控制体系√√控制环境22风险评估是识别及分析影响公司目标实现的风险的过程，是风险管理的基础。在风险评估中，应识别和分析对实现目标具有阻碍作用的风险。风险评估23风险评估包括七个方面的内容，主要是在描述业务流程的基础上，重点关注对外披露的主要财务信息，建立风险数据库和风险评估制度体系。风险评估24项目长远目标2005年工作目标建设单位总部机关地区公司相关部门专业公司公司机关二级单位风险评估一、描述业务流程完善股份公司基本业务流程目录制定股份公司基本业务流程目录√完善地区公司业务流程目录制定地区公司业务流程目录√√完善业务流程描述标准和模板制定业务流程描述标准和模板√对所有业务流程进行描述以财务报告为切入点，确定重要业务流程，并进行描述√√√√二、确定重要会计科目和披露事项完善确认重要会计科目和披露事项的标准和方法制定确认重要会计科目和披露事项的标准和方法√确定重要会计科目和披露事项确定重要会计科目和披露事项√确定重要会计科目和披露事项可能出现重大错报的原因确定重要会计科目和披露事项可能出现重大错报的原因√风险评估25项目长远目标2005年工作目标建设单位总部机关地区公司相关部门专业公司公司机关二级单位三、确定重要业务流程全部业务流程将重要会计科目和披露事项与产生相关会计信息的业务流程进行对应，确定与重要会计科目和披露事项相关的重要业务流程√四、对流程进行风险评估风险识别。对经营决策风险、业务风险、固有风险、舞弊风险、法律风险等进行评估风险识别。对业务风险、固有风险和舞弊风险等进行评估√明确在所有业务流程中可能对公司经营管理活动造成不良影响的风险，建立公司所有业务流程风险数据库明确在重要业务流程中可能造成财务报表重大错报的风险，建立公司重要业务流程风险数据库√风险分析。对全部业务进行风险分析。包括分析风险的重要性程度、评估风险发生的可能性或频率、如何管理风险风险分析。对重要业务流程进行风险分析。包括分析风险的重要性程度、评估风险发生的可能性或频率、如何管理风险√√√风险评估26项目长远目标2005年工作目标建设单位总部机关地区公司相关部门专业公司公司机关二级单位五、财务报表认定确认和记录与重要会计科目、披露事项相关的财务报表认定，包括：存在与发生、完整性、估价与分摊、权利与义务和表达与披露等五个方面确认和记录与重要会计科目、披露事项相关的财务报表认定，包括：存在与发生、完整性、估价与分摊、权利与义务和表达与披露等五个方面√六、确定重要经营场所/业务单位完善重要经营场所/业务单位的分类标准以年度财务报表数据为基础，确定重要经营场所/业务单位的分类标准√按上述标准对所属单位进行认定，将地区公司分为重要、特殊、其他和一般风险经营场所/业务单位按上述标准对所属单位进行认定，将地区公司分为重要、特殊、其他和一般风险经营场所/业务单位√七、建立并完善风险评估制度体系确定公司所有业务风险类别确定与财务报告相关风险类别√完善风险评估方法确定风险评估方法√不断更新风险数据库、完善公司风险评估制度体系建立公司风险评估制度体系√√√风险评估27控制活动是确保管理层的指令得到贯彻执行的必要措施，存在于整个机构内所有级别和职能部门。在公司各级管理层面，主要是建立经营活动分析评价制度；在业务执行层面，主要是建立关键控制体系。重点关注期末财务报告流程。控制活动28项目长远目标2005年工作目标建设单位总部机关地区公司相关部门专业公司公司机关二级单位控制活动一、建立健全经营管理活动分析评价制度建立健全经营管理活动分析评价制度建立财务活动分析评价制度√√√√开展日常经营管理活动分析评价开展日常的财务分析评价√√√√二、控制现状描述与分析完善风险控制分析文档编制标准和模板建立风险控制分析文档编制标准和模板√对所有业务流程进行风险控制分析，编制风险控制分析文档并完善相关制度结合相关风险，描述控制现状，编制重要业务流程风险控制文档，并补充修改相关管理制度√√√√控制活动29项目长远目标2005年工作目标建设单位总部机关地区公司相关部门专业公司公司机关二级单位三、建立健全关键控制完善关键控制的确认标准建立关键控制的确认标准√确定所有业务流程的关键控制确定重要业务流程的关键控制√建立健全所有业务流程的关键控制管理文件建立重要业务流程的关键控制管理文件，通过培训推广应用√√√√四、期末财务报告流程建立公司期末财务报告流程建立公司期末财务报告流程√√√√完善期末财务报告相关制度完善期末财务报告相关制度√√√√五、建立健全控制活动制度体系完善控制活动相关制度及标准汇编控制活动相关制度及标准√√完善控制活动管理制度制定控制活动管理制度√√√√控制活动30信息与沟通包括两个方面，一是有一套能够支持信息确认、信息获取和信息交流的系统；二是在公司各个层面对相关信息进行有效的沟通和将其传达给相关的外方。信息与沟通31项目长远目标2005年工作目标建设单位总部机关地区公司相关部门专业公司公司机关二级单位信息与沟通一、建设与完善信息系统总体控制体系建立完善的GCC体系建立GCC体系并进行培训、宣传和执行√√√进行信息系统物理集中，建成12个区域数据中心按照统一规划、分步实施的原则，2005年将继续建设吉林、兰州、北京等区域数据中心、网络管理系统及数据安全管理体系√√信息与沟通32项目长远目标2005年工作目标建设单位总部机关地区公司相关部门专业公司公司机关二级单位一、建设与完善信息系统总体控制体系完成包含财务、资产、资金、合同等16个管理系统的软件统一完成财务、资产、资金、合同4个管理系统的软件统一√√建立完善的信息系统总体控制测试体系确定信息系统总体控制测试方案并组织实施√√信息与沟通33项目长远目标2005年工作目标建设单位总部机关地区公司相关部门专业公司公司机关二级单位二、建立信息沟通体系建立健全信息沟通渠道及沟通方式；完善与信息沟通相关的管理规范，包括：沟通的种类、沟通的渠道、相关部门的职责等描述信息沟通现状；建立信息沟通制度索引；形成内控相关信息沟通管理规范√三、完善披露事项的管理制度完善披露事项的管理制度，包括重大事项判定标准、报告程序及规范披露事项的收集、汇总和披露程序等方面完善披露事项的管理制度，包括重大事项判定标准、报告程序及规范披露事项的收集、汇总和披露程序等方面√信息与沟