内部控制工作管理程序.doc

页码：11/23 1 目的为进一步加强公司机关各部门和所属各单位内控工作管理，建立完善、统一、规范的工作方法和工作流程，提高公司内控工作管理水平，制定本程序。2 范围本程序适用于公司机关各部门、所属各单位内控工作管理。3 术语和定义无4 职责4.1 内部控制体系建设委员会4.1.1 审定内部控制体系实施计划；4.1.2 审定内部控制体系建立、测试和评估方案，对内部控制体系建设工作进行安排、部署；4.1.3 协调解决内部控制体系建设工作中的重大问题；4.1.4 审定需要提交股份公司或管理层解决的重大事项；4.1.5 负责公司内部控制体系的建立、完善和运行。4.2 财务处4.2.1 负责制定公司内部控制与经营风险管理体系建设规划并组织实施；4.2.2 负责组织建立、完善经营风险管理相关制度和工作程序，组织建立风险数据库及风险控制文档并进行维护更新；4.2.3 负责公司业务流程管理，识别确定公司业务流程架构，组织业务流程描述与维护；4.2.4 负责组织内部控制专项测试，协调外部测试工作； 4.2.5负责组织缺陷认定、制定整改计划并跟踪检查，组织内部控制体系的综合评估；4.2.6 负责组织内控培训、考核和其它相关工作；4.2.7 协助党群工作处建立、完善反舞弊工作机制。4.3 党群工作处（审计监察处）（以下简称党群工作处）4.3.1负责内部控制体系执行有效性的监督，组织实施公司层面管理层测试；4.3.2 编制公司管理层测试计划和方案，经公司管理层批准后组织实施；4.3.3 按照审计规定和股份公司管理层测试规范，每年定期组织实施公司管理层测试，对测试结果进行汇总、确认和分析，并向公司管理层汇报；4.3.4 负责建立反舞弊工作机制。4.4 生产运行处负责公司信息系统总体控制制度的建立、宣贯、实施、监督、负责落实公司信息系统总体控制。4.5 公司各部门按照内部控制和风险管理体系的各项要求，具体负责本部门内控体系建设、运行、维护等工作的具体实施，主要职责：4.5.1负责提出本部门的风险评估需求，并参与风险评估工作；4.5.2参与公司内部控制管理手册的编写、修订，审核并确认流程及控制措施的合理性；4.5.3负责本部门流程及其控制措施的有效实施并进行日常监督；4.5.4配合内部控制测试工作；4.5.5 指导所属单位相关业务内控工作。4.6 所属各单位4.6.1体系建设领导小组成立内部控制体系建设领导小组，组长应由本单位经理担任。内部控制体系建设领导小组是本单位内部控制管理的决策机构，主要职责是：4.6.1.1审定本单位年度内部控制管理工作实施计划;4.6.1.2协调解决内部控制管理体系运行中出现的较大问题;4.6.1.3审定需要提交公司解决的重大事项。4.6.2 内控主管部门4.6.2.1宣贯与培训：将公司内部控制管理的各项要求，按工作性质不同清晰明确地传达到每一位员工，对涉及人员较多、范围较广、具有普遍性的，要集中组织培训;4.6.2.2 组织与协调：将公司内部控制管理手册规定的各项业务流程、风险防控措施及控制实施证据分配到各个职能部门并落实到个人，使员工明晰自身在内控工作中的具体责任和业务;4.6.2.3 监督与考核：组织工作考评、自我测试，监督本单位内部控制各项措施执行情况;4.6.2.4报告：将本单位内部控制运行情况，向本单位内部控制体系建设领导小组汇报。将本单位内部控制运行中出现的各种问题，及时向财务处报告。4.6.3 内控专（兼）职管理人员4.6.3.1传达贯彻公司内部控制各项要求，负责本单位内部控制宣贯工作;4.6.3.2 组织本单位内部控制自测工作;4.6.3.3 组织实施本单位内部控制工作考核;4.6.3.4协调配合内、外部测试工作;4.6.3.5协调解决业务部门执行内部控制各项措施中出现的问题;4.6.3.6完成财务处部署的其他工作。5 管理内容5.1 控制环境5.1.1 财务处依据COSO内部控制框架，按照股份公司的整体安排，对公司控制环境现状进行全面差异分析，从职业道德、员工胜任能力、管理理念和经营风格、组织结构、权力和责任的分配、人力资源政策与措施及反舞弊等方面提出系统的改进、完善意见和要求，牵头组织公司各部门、所属各单位实施。5.1.2 公司各部门依据职责，结合控制环境的具体要求，建立和完善相关制度，检查督促相关制度的落实，为公司内部控制体系提供组织保证和制度约束，营造良好的内部环境。5.1.3 所属各单位在控制环境方面的主要工作：a) 采取多种形式向员工进行内控基本知识宣贯，使员工知晓内控工作的重要意义、具体含义及主要工作内容；b) 对新员工及时进行内控体系基础知识培训；c) 建立本单位门户网站-内控专栏，及时上载内部控制资料和文档。5.2 风险评估与控制活动5.2.1 财务处根据股份公司相关要求，结合公司实际，组织开展公司业务流程描述、风险评估工作，建立风险控制文档，经公司内控体系建设委员会审议通过后发布实施。5.2.2 公司各部门依据本部门职责，结合风险评估具体要求，开展风险评估，制定相关风险控制措施，建立和完善相关制度，检查督促相关制度的落实，确保公司各项业务的风险得到有效防控。5.2.3 公司所属各单位在风险评估与控制活动方面的主要工作：a) 及时将公司发布的业务流程及风险控制措施按工作性质不同分配到相应部门，并进行相应培训，使相关员工理解工作的具体内容；b) 确定业务流程主责科室、业务流程负责人、关键控制措施执行人，并编制本单位业务流程适用识别表，报财务处备案；c) 根据本单位机构设置及人员变动情况，及时调整内部控制体系建设领导小组的成员，每半年更新一次业务流程适用识别表。5.2.4 公司财务处按照公司财务分析管理规定，定期开展财务分析，结合相关生产经营数据，分析评价公司经营成果、财务状况和资金运营情况。5.3 信息与沟通5.3.1 公司各部门、所属各单位应规定信息交流和沟通的渠道和方法，以确保相关信息及时得到识别、收集、处理、交流和反馈，在满足信息安全性、保密性要求的同时，满足本单位各相关岗位、公司、监管机构和外界对相关信息的需求，保证信息交流渠道的畅通。5.3.2 对公司内部控制体系在日常控制执行、自我测试和从外部各方(包括客户、供应商和其他与企业有业务关系的人以及监管部门等)提供信息中发现的例外事项，由各级内控主管部门负责收集、记录、统计、汇报编制例外事项汇总表；在管理层测试中发现的例外事项，由党群工作处负责收集、记录、分析、汇总。5.3.3 财务处信息与沟通事项a) 财务处不定期向公司内控体系建设委员会报告内控工作进展情况、存在问题以及下阶段工作安排等，并认真落实委员会的各项决议和决定;b) 财务处根据内控工作总目标、内部控制体系实际运行情况，并结合公司各部门、各单位业务需求，每年下达内部控制年度工作计划，计划要突出工作重点，明确完成时间、工作内容和职责等;c) 对于内部认定和外部审计提出的缺陷，由财务处根据缺陷的性质和影响，按如下要求报告：对于一般缺陷，每月汇总一次向公司主管领导报告；重大缺陷在认定和汇总后十日内向内控体系建设委员会报告；实质性漏洞在认定和汇总后五日内向内控体系建设委员会报告。对于敏感事项或影响遍及整个公司的缺陷，可以直接向公司领导层报告。5.3.4 公司所属单位信息与沟通事项a) 所属各单位内控主管部门在日常控制执行、自我测试和从外部各方提供的信息中发现的例外事项，除报告给本单位有关职能负责人员外，应上报公司财务处。对于初步判断为重大缺陷的事项，应随时上报。b) 在日常控制执行中发现的零星问题，虽不属于例外事项范围，但对内部控制体系运行已产生了一定影响，对问题的整改有助于提高公司内部控制体系运行质量，所属各单位内控主管部门对这类问题也应在定期报告中予以汇报。c) 每季度组织收集本单位在日常工作中发现的内控手册执行方面存在的各种问题，汇总后上报财务处，对于亟须解决的问题，可随时上报财务处。内部控制管理手册变更管理的具体内容见内部控制管理手册变更管理规定。d) 每半年将本单位内部控制运行情况，向本单位内部控制体系建设领导小组汇报。5.3.5 公司所属单位每年年初召开内控工作会议，对本单位上年度内部控制管理工作进行总结，传达上级工作会议精神，安排和部署本年度内控工作。5.4 监督与评价5.4.1 公司各部门、所属各单位按照财务处的要求负责本部门、本单位内部控制体系管理工作的自我检查。5.4.2 公司成立缺陷认定小组，对上报的日常控制例外事项和公司管理层测试例外事项分析结果，依据缺陷认定规范，认定出一般缺陷、重要缺陷和实质性漏洞。5.4.3 财务处负责监督信息系统总体控制和应用控制的执行情况；生产运行处负责按照信息系统总体控制的要求，落实信息系统的运行及维护监督，指导各单位信息系统总体控制和应用控制的管理与维护；各业务处室按照信息系统总体控制和应用控制的要求，落实相关应用系统的运行与管理。5.4.4 财务处结合公司管理层测试报告、股份公司管理层测试报告、外部审计结果、缺陷评估结果和日常工作考核情况，对公司各部门、各单位内部控制体系运行情况进行评价，编制公司内部控制评价报告，考核结果纳入公司业绩考核。有关内部控制测试和缺陷评估的具体内容见内部控制测试管理规定、缺陷评估管理规定。5.4.5 公司所属各单位每半年向财务处汇报体系运行情况，每年年初要根据财务处的要求，出具本单位内部控制有效性自我评价报告。5.4.6 公司根据内、外部测试情况，结合内部控制体系运行情况，定期发布公司管理层声明，内容包括：测试发现、缺陷改进、体系运行状况以及评估结论，并由公司总经理和总会计师签署声明。5.4.7 财务处依据体系日常运行情况和管理层测试结论，对公司内部控制体系运行整体情况进行综合评估，编制自我评估报告，内容包括：实施的内部控制框架、体系运行状况、测试发现、评估结论以及改进意见。5.5 内部控制测试及改进5.5.1 财务处每年根据业务需要组织专项测试，进行例外事项分析，出具测试报告，向管理层汇报。5.5.2 党群工作处代表公司管理层每年开展一次管理层测试。测试的内容和范围包括公司层面控制、业务活动层面控制、信息系统总体控制。依据股份公司管理层测试规范，编制公司管理层测试实施方案并组织实施。进行例外事项分析，出具测试报告，向管理层汇报。对例外事项的分析结果随测试报告抄送财务处。5.5.3 公司所属单位内控测试工作主要内容：a) 每年至少要开展两次内控自我测试。自我测试内容要涵盖70%重要业务流程及90%关键控制，测试完毕后及时将测试报告、测试情况汇总表上报财务处；b) 对内控自我测试、公司测试、股份公司管理层测试及外审发现的例外事项及时组织整改，并将整改结果上报财务处；c) 就高风险领域、重要业务流程及关键控制执行情况，进行不定期专项测试。5.5.4 为了确保改进措施的切实执行，原则上采取属级原则，即缺陷发生在哪一级由该级负责整改措施的实施和落实。一般缺陷由缺陷发现单位自行组织整改。重大缺陷，由缺陷发现单位提出整改方案，明确整改时限，报财务处，经公司批准后实施。实质性漏洞，由公司组织制定整改方案，明确整改时限，报公司管理层批准后实施。5.5.5 整改工作完成后，缺陷发现单位应编制缺陷整改情况报告及例外事项整改情况反馈表，报财务处备案。整改措施落实后经过一定时期的运营，按照缺陷性质，进行跟进测试，对发现的缺陷进行再评估。一般缺陷由各单位自行组织再评估，并将再评估结果上报财务处；重大缺陷和实质性漏洞由财务处组织再评估，将评估结果上报管理层，确保改进措施充分达到控制目标，以保证整改措施的有效。5.6 所属各单位内部控制管理工作的权限分配5.6.1 内控专（兼）职人员有对内部控制各项规定相关内容的解释权；有对内控工作执行不利的部门和人员提出相关措施的建议权；对预见可以引起内部控制重大缺陷或实质性漏洞的事件，有直接向本单位经理、财务处的报告权。5.6.2 内控主管部门负责人参与审核年度内控工作计划和变更计划；审核内控测试报告；审核例外事项整改报告；审核业务流程适用识别表；审核内部控制管理手册变更信息调查表；有对内控工作执行不利的部门和人员采取相关措施的建议权。5.6.3 内控工作主管经理审核年度内控工作计划；审批内控测试报告；审批例外事项整改报告。5.6.4 经理、总会计师（主管财务副经理）在内部控制体系有效性自我评价报告中签字。5.6.5 内部控制体系建设领导小组审批本单位年度内控工作计划，审核本年度内控工作报告。6 流程暂无7 相关文件7.1 相关的公司体系文件7.1.1 内部控制管理手册变更管理规定7.1.2 内部控制测试管理规定7.1.3 缺陷评估管理规定7.1.4 财务分析管理规定7.2 相关的法律法规、标准、规范和依据性文件7.2.1 中国石油天然气股份有限公司内部控制体系管理规范7.2.2 内部控制管理手册8 记录8.1 业务流程适用识别表8.2 例外事项整改情况反馈表8.3 例外事项汇总表8.4 内部控制管理手册变更信息调查表8.5 内部控制年度工作计划8.6 年度内控工作报告附录 附录 A 内部控制自我测试报告模板附录 B XXX分公司关于内部控制有效性自我评价报告模板 页码：15/23 附录A ： 内部控制自我测试报告模板中国石油西南管道XX分公司200X年内部控制自我测试报告二OOX年X月X日中国石油西南管道XX分公司200X年内部控制自我测试报告公司财务处：根据公司财务处下发的西南管道公司所属单位内部控制管理工作规范的有关要求，XX分公司于200x年x月x日至x月x日，对xx分公司进行了内部控制自我测试，在分公司各科室的全面协调、相关业务部门和单位的大力支持配合下，测试工作已基本结束，现将测试结果报告如下：一测试概况二XX分公司概况(一) XX分公司基本情况(二) XX分公司内控体系建设情况三测试发现和原因分析 (一) 公司层面控制测试情况(二) 业务活动控制测试情况-跟单测试情况主要问题说明：应有的控制不存在或设计不合理1、2、实际执行的控制没有被记录1、2、设计的控制记录不准确1、2、设计的控制在实际中未有效执行1、2、-关键控制测试情况主要问题分析说明1、2、（三）信息系统测试情况四、整改意见及建议综合上述测试情况，为了进一步完善内部控制管理体系，针对存在的不足，提出如下建议： （一）公司层面控制（二）业务活动层面跟单作业方面关键控制测试（三）信息系统控制中国石油西南管道XX分公司自我测试组组长: 主审： 20XX年X月X日附件：XX分公司测试例外事项汇总表 页码：18/23 附录B ：XX分公司关于内部控制有效性自我评价报告模板XX分公司关于内部控制有效性自我评价报告模板公司财务处：根据公司的有关规定，我分公司总经理XXX负责本单位财务报告内部控制的建立与维护。本单位根据公司内部控制管理手册规定，对截至XX年12月31日的财务报告内部控制进行了评估。第一部分：内控工作总体情况简要介绍本单位XX年内控工作的总体情况，着重介绍内控工作在组织网络建设、内控体系运行和维护等方面取得的成果和经验。第二部分：测试情况重点叙述本单位自我测试组织情况，包括测试时间、测试期间、测试批次、测试范围、参加人员规模、测试流程及二级单位数量、例外事项发现数量、样本数量等。同时，简要介绍本年度接受测试发现问题及整改情况。第三部分：重大风险事件发生情况重大风险事件是本单位审计、监察部门查实的，给公司财产造成重大影响的违纪案件。本段要求简要描述20XX-20XX年重大风险事件发生情况，包括事件发生的经过、问题产生的原因及造成的损失和影响等。第四部分：缺陷评估结果根据纳入缺陷评估的例外事项和重大风险事件，认定本单位存在的缺陷类别。阐述本单位将如何采取措施，积极落实整改，达到控制的合规性。综上所述，我单位认为，按照公司内部控制管理手册标准，截至 年 月 日，我单位财务报告内部控制（有效/无效）。特此报告。总会计师/主管财务副经理（签名）：经理（签名）： XX分公司(单位盖章) 年 月 日例外事项整改情况反馈表 单位名称: 年 月 日序号末级子流程关键控制编号是否存在此类问题被测试单位关键控制描述例外事项说明及原因主要改进措施改进措施生效时间改进责任部门和人员备注合 计主管领导: 内控部门负责人: 制表人: 例外事项汇总表序号单位例外事项数量跟单关控公司层面内控管理薄弱环节负