内部控制基础知识

1、 内控与风险管理处内控与风险管理处 二二O一一年一月一一年一月内控管理知识讲座内控管理知识讲座前前 言言 油 田 公 司 自油 田 公 司 自 2 0 0 42 0 0 4 年 开 始 进 行 内 部 控 制 体 系年 开 始 进 行 内 部 控 制 体 系建设，建设，20062006年发布油田公司内控手册，并正式运行。年发布油田公司内控手册，并正式运行。几年来，油田公司紧紧围绕几年来，油田公司紧紧围绕“全面风险管理、全部业全面风险管理、全部业务流程、全过程控制务流程、全过程控制”的总体要求和的总体要求和“体系可靠、风体系可靠、风险可控、运行可持续险可控、运行可持续”的目标，持续完善和推进体系

2、的目标，持续完善和推进体系建设，健全机制，优化流程设计，强化执行力度，建设，健全机制，优化流程设计，强化执行力度，连续五年顺利通过内控外部审计和管理层测试。连续五年顺利通过内控外部审计和管理层测试。20102010年根据集团公司统一部署完成了未上市业务和矿区服年根据集团公司统一部署完成了未上市业务和矿区服务业务的内控手册编制务业务的内控手册编制, ,并于并于20112011年年1 1月月1 1日起正式发布日起正式发布实施。实施。四、公司四、公司内控管理手册内控管理手册简介简介五、五、几点体会及相关部门的工作重点几点体会及相关部门的工作重点一、什么是内部控制一、什么是内部控制二、为什么要建立内部

3、控制体系二、为什么要建立内部控制体系三、内部控制体系框架简介三、内部控制体系框架简介什么是内部控制什么是内部控制 对于什么是内部控制，众说纷纭，不同人员、不同时期对内部控制的理解有对于什么是内部控制，众说纷纭，不同人员、不同时期对内部控制的理解有所不同。有人认为，内部控制就是内部会计控制、内部控制就是企业制定的各项所不同。有人认为，内部控制就是内部会计控制、内部控制就是企业制定的各项管理制度和管理手册，这些说法都是不恰当、不全面的。这种理解没有错，但不管理制度和管理手册，这些说法都是不恰当、不全面的。这种理解没有错，但不全面。现代内控理论认为：内部控制是一个系统化的框架，它建立在风险管理的全面

4、。现代内控理论认为：内部控制是一个系统化的框架，它建立在风险管理的基础上，包括内控环境、风险评估、控制活动、信息与沟通、监督五大要素。基础上，包括内控环境、风险评估、控制活动、信息与沟通、监督五大要素。 人事人事企管企管计划计划财务财务 现代内控理论定义下的内部控制是：现代内控理论定义下的内部控制是：内部控制内部控制是受是受董事会、管理董事会、管理层和其他人员层和其他人员影响，为企业经营的效率效果、财务报告的可靠性、相关影响，为企业经营的效率效果、财务报告的可靠性、相关法规的遵循性等法规的遵循性等目标的实现目标的实现而自行检查、制约和调整内部业务活动的控而自行检查、制约和调整内部业务活动的控制

5、活动，为组织目标的实现制活动，为组织目标的实现提供合理的保证提供合理的保证。通俗而言，内部控制就是。通俗而言，内部控制就是使企业内部业务活动顺畅进行的人人都遵守的一种保障机制，风险抵御使企业内部业务活动顺畅进行的人人都遵守的一种保障机制，风险抵御机制，就是不让企业运转出毛病而且能提高效益的一些规定、约定等等。机制，就是不让企业运转出毛病而且能提高效益的一些规定、约定等等。 企业目企业目标标战略目标经营目标报告目标合规目标什么是内部控制什么是内部控制l内部控制是由一系列控制活动组成的。内部控制是由一系列控制活动组成的。不能简单将内部控制看成是一不能简单将内部控制看成是一堆堆手册和制度，它是由岗位

6、分离、授权批准、稽查核对等控制活动堆堆手册和制度，它是由岗位分离、授权批准、稽查核对等控制活动组成的内部控制制度。组成的内部控制制度。 l企业内部控制涵盖企业经营管理的各个层级、各个方面和各项业务环企业内部控制涵盖企业经营管理的各个层级、各个方面和各项业务环节。节。由企业的董事会、管理层和全体员工共同实施、共同遵守，缺少由企业的董事会、管理层和全体员工共同实施、共同遵守，缺少哪一个环节都将造成内控的失效。哪一个环节都将造成内控的失效。l内部控制内部控制只是只是为企业实现目标提供为企业实现目标提供合理保证合理保证, ,不是绝对保证。不是绝对保证。由于企业由于企业存在滥用职权、串通舞弊、人为错误、

7、成本限制、非经常事项的不适存在滥用职权、串通舞弊、人为错误、成本限制、非经常事项的不适性等情况，内部控制只能为企业目标的实现提供合理保证，而非绝对性等情况，内部控制只能为企业目标的实现提供合理保证，而非绝对保证。所以内部控制不是灵丹妙药，它只能帮助企业实现目标，但不保证。所以内部控制不是灵丹妙药，它只能帮助企业实现目标，但不能保证企业的成功或生存，不能认为建立了内部控制就高枕无忧了。能保证企业的成功或生存，不能认为建立了内部控制就高枕无忧了。如何理解如何理解？什么是内部控制什么是内部控制四、公司四、公司内控管理手册内控管理手册简介简介五、五、几点体会及相关部门的工作重点几点体会及相关部门的工作

8、重点一、什么是内部控制一、什么是内部控制二、为什么要建立内部控制体系二、为什么要建立内部控制体系三、内部控制体系框架简介三、内部控制体系框架简介 上市地法律法规要求：上市地法律法规要求：萨班斯萨班斯- -奥克斯利法奥克斯利法案案要求在美上市的公司必须建立内部控制体系要求在美上市的公司必须建立内部控制体系. .为什么要建立内部控制体系是国家监管法规的必然要求是国家监管法规的必然要求 2006年，国资委发布了年，国资委发布了中央企业全面风险管理指引中央企业全面风险管理指引，对包括集团公司在内的中央企业，构建以内控为基础的风险管对包括集团公司在内的中央企业，构建以内控为基础的风险管理体系提出了明确要

9、求；理体系提出了明确要求；2008年，财政部等五部委又联合发布年，财政部等五部委又联合发布企业内部控制基本规范企业内部控制基本规范，这个规范被称为，这个规范被称为“中国的中国的萨班萨班斯斯奥克斯利法案奥克斯利法案”，对国内上市和未上市企业建立内控体系，对国内上市和未上市企业建立内控体系提出明确要求。提出明确要求。 可以看出，国家对企业内部控制已经由大力提倡和明确要可以看出，国家对企业内部控制已经由大力提倡和明确要求上升到了法规层面的强制要求，已经由对上市企业的专门要求上升到了法规层面的强制要求，已经由对上市企业的专门要求拓展到对所有企业的整体要求。求拓展到对所有企业的整体要求。 为什么要建立内

10、部控制体系是集团公司战略发展的客观要求是集团公司战略发展的客观要求 集团公司在实施建设综合性国际能源公司的战略目标过程中，集团公司在实施建设综合性国际能源公司的战略目标过程中，面临着日益复杂的市场竞争环境和各种不确定因素。为了有效化面临着日益复杂的市场竞争环境和各种不确定因素。为了有效化解风险，确保战略目标实现，集团公司确定了解风险，确保战略目标实现，集团公司确定了“从从2008年开始，年开始，利用三年左右的时间，建立统一的、以风险管理为核心、较为完利用三年左右的时间，建立统一的、以风险管理为核心、较为完善和有效运行的内部控制体系善和有效运行的内部控制体系”的总体规划。通过内控体系的建的总体规

11、划。通过内控体系的建设和实施，不断提升经营管理水平，增强风险防范能力，提高国设和实施，不断提升经营管理水平，增强风险防范能力，提高国际竞争能力际竞争能力 ，实现企业的可持续发展。，实现企业的可持续发展。为什么要建立内部控制体系是油田公司一体化整体协调发展的内在要求和重要保障是油田公司一体化整体协调发展的内在要求和重要保障 重组整合后，油田公司提出了重组整合后，油田公司提出了“建设大油田、建设示范矿区建设大油田、建设示范矿区”的发展的发展目标。我们不仅要保证油气主营业务的稳定发展，还要促进非油产业规模目标。我们不仅要保证油气主营业务的稳定发展，还要促进非油产业规模发展，以此形成整体发展优势。从目

12、前的形势看，未上市业务不确定性因发展，以此形成整体发展优势。从目前的形势看，未上市业务不确定性因素较多，各种风险比较集中素较多，各种风险比较集中:一是管理控制能力较弱，经营相对粗放，一部一是管理控制能力较弱，经营相对粗放，一部分业务面临潜亏或亏损的风险分业务面临潜亏或亏损的风险;二是产业结构复杂，业务类型多，是经营风二是产业结构复杂，业务类型多，是经营风险、法律风险和财务风险集中的领域险、法律风险和财务风险集中的领域;三是在当前国际金融危机的环境下，三是在当前国际金融危机的环境下，受国内经济下行、总体需求下降以及油田产能规模没有大提高的影响，更受国内经济下行、总体需求下降以及油田产能规模没有大

13、提高的影响，更加大了未上市单位发展的不确定性和经营风险。加大了未上市单位发展的不确定性和经营风险。 为什么要建立内部控制体系是提升公司整体管理水平，全面防范经营风险的有效途径是提升公司整体管理水平，全面防范经营风险的有效途径 内控体系的精髓是，制度科学、流程顺畅、界面清晰、证据全面、内控体系的精髓是，制度科学、流程顺畅、界面清晰、证据全面、执行到位，这也是强化经营管理全过程、搞好生产与经营有效衔接的重执行到位，这也是强化经营管理全过程、搞好生产与经营有效衔接的重要手段。几年来，上市业务已达到了从物流到资金流以及实施证据的全要手段。几年来，上市业务已达到了从物流到资金流以及实施证据的全面受控。这

14、完全得益于上市业务内控体系的建设和有效执行。与上市业面受控。这完全得益于上市业务内控体系的建设和有效执行。与上市业务相比，未上市业务在管理上还存在一定差距，主要表现在决策随意性务相比，未上市业务在管理上还存在一定差距，主要表现在决策随意性较大，管理手段弱化，控制力不强，存在着较多的经营风险。较大，管理手段弱化，控制力不强，存在着较多的经营风险。 这些都需要我们牢固树立依法以规治企理念，加强内控体系建设，科这些都需要我们牢固树立依法以规治企理念，加强内控体系建设，科学民主决策，规范经营，规范管理，防范各类经营风险，经得起各种审学民主决策，规范经营，规范管理，防范各类经营风险，经得起各种审计检查的

15、考验。计检查的考验。为什么要建立内部控制体系四、公司四、公司内控管理手册内控管理手册简介简介五、五、几点体会及相关部门的工作重点几点体会及相关部门的工作重点一、什么是内部控制一、什么是内部控制二、为什么要建立内部控制体系二、为什么要建立内部控制体系三、内部控制体系框架简介三、内部控制体系框架简介监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A A业业务务单单位位B B活活动动2 2活活动动1 1监督信息和沟通控制活动风险评估控制环境经营财务报告合规性 COSO内部内部控制框架并非唯控制框架并非唯一的内部控制框一的

16、内部控制框架，但它是美国架，但它是美国证券交易委员会证券交易委员会唯一推荐使用的唯一推荐使用的内部控制框架。内部控制框架。(COSO：Committee of Sponsoring Organizations of the Treadway Commission即反虚假财务报告委员即反虚假财务报告委员会的赞助组织委员会，专门研究内部控制问题。会的赞助组织委员会，专门研究内部控制问题。它从属于它从属于1985年成立的年成立的反虚假财务报告委员会反虚假财务报告委员会(也被称为也被称为Treadway委员会委员会)。 COSO由由美国注册会计师协会、内部审计协会、财务经理协会、美国会计学会、管理会美

17、国注册会计师协会、内部审计协会、财务经理协会、美国会计学会、管理会计学会等多个专业团体组成。计学会等多个专业团体组成。内部控制体系框架简介内部控制体系框架简介监督监督评估内部控制系统的表现评估内部控制系统的表现进行实时和独立的评估。进行实时和独立的评估。管理层和监督活动。管理层和监督活动。内部审计工作。内部审计工作。控制环境控制环境 营造单位气氛让公司员工建立内营造单位气氛让公司员工建立内部控制部控制包括诚信与道德价值、发展目标与包括诚信与道德价值、发展目标与企业文化、人力资源政策、组织结企业文化、人力资源政策、组织结构、权利和责任分配、员工胜任能构、权利和责任分配、员工胜任能力、权力和责任、

18、反舞弊等力、权力和责任、反舞弊等是其他内部控制组成部分的基础是其他内部控制组成部分的基础信息与沟通信息与沟通及时地获取，确定并交及时地获取，确定并交流相关的信息流相关的信息从内部和外部获取信息从内部和外部获取信息形成从职责方面的指示形成从职责方面的指示到管理层有关管理行动到管理层有关管理行动的发现总结等各方面各的发现总结等各方面各类内部控制成功的措施类内部控制成功的措施的信息流的信息流监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A A业业务务单单位位B B活活动动2 2活活动动1 1监督监督信息和沟通信息和沟通

19、控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A A业业务务单单位位B B活活动动2 2活活动动1 1控制活动控制活动 确保风险应对方案确保风险应对方案付诸实施的政策付诸实施的政策/ /流流程。程。措施包括审批、授措施包括审批、授权、确认、建议、权、确认、建议、业绩考核、资产安业绩考核、资产安全和职责分离全和职责分离风险评估风险评估 为了达到企业目标为了达到企业目标而确认和分析相关而确认和分析相关的风险的风险- -形成内部控形成内部控制活动的基础制活动的基础内部控制体系由五项相关关联的要素组成，内部控制体系由五项相关关联的要素组成，五个部分

20、必须同时作用才能使内部控制得以产生影响。五个部分必须同时作用才能使内部控制得以产生影响。 内部控制框架的主要内容内部控制体系框架简介内部控制体系框架简介以以COSOCOSO内部控制框架为基础内部控制框架为基础公司层面控制中国石油内控中国石油内控体系框架体系框架覆盖了生产经营的全过程和主要经覆盖了生产经营的全过程和主要经营管理岗位营管理岗位 满足国内外相关法满足国内外相关法律法规的要求律法规的要求 保证通过内控审计保证通过内控审计 符合风险管理的发符合风险管理的发展趋势展趋势设计目标：设计目标：框架内容：框架内容：系统阐述了内控体系系统阐述了内控体系建设的方法和标准，建设的方法和标准，全面涵盖了

21、以下五要全面涵盖了以下五要素：素： 控制环境控制环境 风险评估风险评估 控制活动控制活动 信息与沟通信息与沟通 监督监督中石油内部控制体系内部控制体系框架简介内部控制体系框架简介 内内部部控控制制管管理理手手册册内部控制管理手册（统一分册）内部控制管理手册（统一分册）内部控制管理手册（地区公司分册）内部控制管理手册（地区公司分册）中石油中石油内部控制管理手册整体构成内部控制管理手册整体构成内部控制体系框架简介内部控制体系框架简介 内内部部控控制制管管理理手手册册（统统一一分分册册）1、总论、总论2、控制环境、控制环境3、风险评估、风险评估4、控制活动、控制活动5、信息与沟通、信息与沟通6、监督

22、、监督内部控制体系框架简介内部控制体系框架简介（一）总论（一）总论内部控制体系框架简介内部控制体系框架简介1 1、编制目的、编制目的2 2、编制原则、编制原则3 3、编制依据、编制依据4 4、适用范围、适用范围5 5、主要内容、主要内容6 6、内部控制体系框架、内部控制体系框架7 7、管理要求、管理要求8 8、组织结构、职责及权限、组织结构、职责及权限9 9、内部控制管理手册（地区公司分册）编制规范内部控制管理手册（地区公司分册）编制规范 （二）控制环境（二）控制环境监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位

23、A A业业务务单单位位B B活活动动2 2活活动动1 1监监督督信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A A业业务务单单位位B B活活动动2 2活活动动1 11 1、诚信与道德价值观、诚信与道德价值观2 2、发展目标、发展目标3 3、管理理念与企业文化、管理理念与企业文化4 4、风险管理策略、风险管理策略5 5、董事会及下属委员会、董事会及下属委员会6 6、组织结构、组织结构7 7、权利与责任分配、权利与责任分配8 8、人力资源政策、人力资源政策9 9、员工胜任能力、员工胜任能力1010、反舞弊机制、反舞弊机制

24、控制环境是内部控制体系的基础，是有效实施内部控制的保障，直接影响着公司内部控制的贯彻执行、公司经营目标及整体战略目标的实现。 控制环境确定了公司的总体态度，是内部控制其他组成要素的基础。内部控制体系框架简介内部控制体系框架简介 诚信与道德价值观：诚信与道德价值观：规范员工行为的准则，告诉员工什么行为可接受、什么行为不可接受、以及遇到不正当行为应该采取的行动。企业要建立良好的道德标准并形成良好的道德氛围，对控制系统的有效运行非常重要，也有助于防范那些内控系统难以控制的。 发展目标：发展目标：公司制定发展目标作为风险评估的前提条件，只有先确立了目标，管理层才能针对目标确定风险，并采取必要的行动来管

25、理风险。 管理理念与企业文化：管理理念与企业文化：管理理念和企业文化影响企业的管理方式，包括面对各种风险的态度，体现公司的经营宗旨、价值观念和行为准则。企业应树立现代管理理念，强化法制意识、风险意识和决策程序规范化意识，继承和发扬良好的企业文化传统，倡导诚实守信、爱岗敬业、进取创新和团队协作精神，并将风险意识融入企业文化。 （二）控制环境（二）控制环境内部控制体系框架简介内部控制体系框架简介 风险管理策略：风险管理策略：公司围绕发展战略，确定重要风险的风险偏好和风险容忍度，并据此恰当选择风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿、风险控制等风险对策。 董事会及下属委员会：董事会

26、及下属委员会：控制环境和“高层管理基调”受到公司董事会及下属委员会的重大影响。 组织结构：组织结构：公司战略目标的实现，必须以一定的组织结构为基础，对公司活动进行规划、执行、控制和监督。建立良好的公司组织结构，主要包括：确定权责的关键领域以及建立适当的报告负责部门；公司根据自身的需要来确定其组织结构；公司组织结构的适当性在相当程度上取决于公司的规模及其活动的性质。 权利与责任分配：权利与责任分配：应根据国家法律法规、监管要求、公司经营管理实际以及员工的知识、经验和技能，明确规定各岗位的权利和责任，以充分发挥积极性、主动性和创造性。 （二）控制环境（二）控制环境内部控制体系框架简介内部控制体系框

27、架简介 人力资源政策：人力资源政策：人力资源政策引导员工达到公司期望的职业道德水平和胜任能力，包括员工聘用、定岗、培训、评价、晋升、考核、薪酬等政策 。 员工胜任能力：员工胜任能力：胜任能力应反映出员工完成工作任务所需要的知识和技能。工作任务需要具备什么样的知识和技能的员工来完成，通常是管理层根据公司的目标和实现这些目标的战略和计划，在胜任能力和成本之间进行平衡后做出的决策。 反舞弊机制：反舞弊机制：反舞弊机制不仅需要满足合规性要求，而且应该具有预防性和及时性，受到公司管理层的直接监督和重视。它强调审计、监察等部门的作用，主要包括进行舞弊风险分析、评估并测试反舞弊控制设计和执行的有效性、执行舞

28、弊违规调查并提出整改意见等工作 。 （二）控制环境（二）控制环境内部控制体系框架简介内部控制体系框架简介（三）风险评估（三）风险评估风险：风险：是指未来的可能影响公司实现目标是指未来的可能影响公司实现目标的因素。的因素。风险评估：风险评估：是识别和分析那些影响公司目标实是识别和分析那些影响公司目标实现的风险的过程，是确定如何管理现的风险的过程，是确定如何管理和控制风险的基础。（风险识别、和控制风险的基础。（风险识别、风险分析）风险分析）监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A A业业务务单单位位B B活活

29、动动2 2活活动动1 1监督监督信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A A业业务务单单位位B B活活动动2 2活活动动1 1内部控制体系框架简介内部控制体系框架简介内部控制体系框架简介内部控制体系框架简介风险类型：风险类型：1 1）对公司目标实现的影响：根据风险对目标实现产生的影响，将）对公司目标实现的影响：根据风险对目标实现产生的影响，将风险分为战略风险、经营风险、报告风险、合规风险等。风险分为战略风险、经营风险、报告风险、合规风险等。2 2）风险的来源：根据风险的来源可以将企业风险分为内部风险和）风险的来源

30、：根据风险的来源可以将企业风险分为内部风险和外部风险。外部风险。3 3）应对风险的层面：根据对风险做出应对策略所在层面的不同，）应对风险的层面：根据对风险做出应对策略所在层面的不同，可以将风险分为公司层面风险和业务活动层面风险。可以将风险分为公司层面风险和业务活动层面风险。4 4）是否为企业带来盈利：以能否为企业带来盈利等机会为标志，）是否为企业带来盈利：以能否为企业带来盈利等机会为标志，可以将风险分为纯粹风险（只有带来损失一种可能性）和机会风险可以将风险分为纯粹风险（只有带来损失一种可能性）和机会风险（带来损失和盈利的可能性并存）。（带来损失和盈利的可能性并存）。1、风险评估基本程序2、公司

31、层面风险及对策指引表3、业务活动层面风险数据库 1）报告风险数据库 2）经营风险数据库 监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A A业业务务单单位位B B活活动动2 2活活动动1 1监督监督信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A A业业务务单单位位B B活活动动2 2活活动动1 1（三）风险评估（三）风险评估内部控制体系框架简介内部控制体系框架简介（四）控制活动（四）控制活动 控制活动：控制活动：是结合风险评估是结合风险评

32、估结果，运用相应的控制管理措施结果，运用相应的控制管理措施，将风险控制在可承受度之内，将风险控制在可承受度之内，确保管理层关于风险应对方案得确保管理层关于风险应对方案得以贯彻执行的政策和程序。以贯彻执行的政策和程序。 控制活动贯穿于企业的所有控制活动贯穿于企业的所有级别和职能部门。它们包括一系级别和职能部门。它们包括一系列不同的活动，如列不同的活动，如审批、授权、审批、授权、确认、核对、考核经营业绩、资确认、核对、考核经营业绩、资产保护产保护等。等。 监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A A业业务务单

33、单位位B B活活动动2 2活活动动1 1监督监督信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A A业业务务单单位位B B活活动动2 2活活动动1 1内部控制体系框架简介内部控制体系框架简介控制活动分类：控制活动分类：1 1）按控制活动的目标分类：战略目标控）按控制活动的目标分类：战略目标控制活动、经营目标控制活动、报告目标控制活动、经营目标控制活动、报告目标控制活动、合规性目标控制活动。制活动、合规性目标控制活动。2 2）按控制活动的内容分类：公司层面控）按控制活动的内容分类：公司层面控制、业务活动层面控制。制、业务活

34、动层面控制。3 3）按控制活动的作用分类：预防性控制）按控制活动的作用分类：预防性控制和发现性控制。和发现性控制。4 4）按控制活动的手段分类：人工控制和）按控制活动的手段分类：人工控制和自动控制。自动控制。监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A A业业务务单单位位B B活活动动2 2活活动动1 1监督监督信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A A业业务务单单位位B B活活动动2 2活活动动1 1内部控制体系框架简介内部

35、控制体系框架简介（四）控制活动（四）控制活动1、关键控制管理文件、关键控制管理文件（包括：（包括：业务流程目录、流程图、关键业务流程目录、流程图、关键控制文档）；控制文档）；2、风险控制文档建模规范、风险控制文档建模规范（指（指导地区公司控制活动文档的编导地区公司控制活动文档的编制、建模工作）；制、建模工作）；监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A A业业务务单单位位B B活活动动2 2活活动动1 1监督监督信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规

36、性合规性业业务务单单位位A A业业务务单单位位B B活活动动2 2活活动动1 1内部控制体系框架简介内部控制体系框架简介 按照国际通用型流程架构，结合股份公司的实际情况，股份公司按照国际通用型流程架构，结合股份公司的实际情况，股份公司最终将主体流程归集为战略发展流程、核心业务流程、经营管理流程最终将主体流程归集为战略发展流程、核心业务流程、经营管理流程三类类流程。三类流程的定义：三类类流程。三类流程的定义： 战略发展流程（战略发展流程（Strategy ProcessStrategy Process，编码简称，编码简称“SP”SP”） ：以以公司董事会、社会为服务主体，满足企业业绩，合规表现等

37、要求的业公司董事会、社会为服务主体，满足企业业绩，合规表现等要求的业务流程。该类流程关注公司全局的资源优化配置，追求公司价值长期务流程。该类流程关注公司全局的资源优化配置，追求公司价值长期最大化，满足公司整体利益的全局性、协同性、长远性和风险防范等最大化，满足公司整体利益的全局性、协同性、长远性和风险防范等战略要求。战略要求。 （SP01SP01-SP09SP09）（四）控制活动（四）控制活动内部控制体系框架简介内部控制体系框架简介 核心业务流程（核心业务流程（Key ProcessKey Process，编码简称，编码简称“KP”KP”） ：以市场与以市场与客户为服务主体，提供符合要求的产品

38、与服务，并实现价值增值的业客户为服务主体，提供符合要求的产品与服务，并实现价值增值的业务流程。该流程的特点直接面对市场与客户，实现客户的满意、效率务流程。该流程的特点直接面对市场与客户，实现客户的满意、效率的满足、质量的改善、成本的优化。（的满足、质量的改善、成本的优化。（ KP01- KP20） 经营管理流程经营管理流程（Management ProcessManagement Process，编码简称，编码简称“MP”MP”） ：以以内部业务与管理部门为服务主体，通过为其提供所需的服务与资源，内部业务与管理部门为服务主体，通过为其提供所需的服务与资源，实现效率和效果的提升的业务流程。该流程

39、特点是面向内部客户，提实现效率和效果的提升的业务流程。该流程特点是面向内部客户，提供资源保障（人、财、物、信息、设备、技术）与管理和服务输出，供资源保障（人、财、物、信息、设备、技术）与管理和服务输出，确保核心流程的价值增值最大化和战略发展类流程持续发展目标的实确保核心流程的价值增值最大化和战略发展类流程持续发展目标的实现；关注经营管理的效率与效果。（现；关注经营管理的效率与效果。（ MP01- MP10）（四）控制活动（四）控制活动内部控制体系框架简介内部控制体系框架简介风险控制文档：风险控制文档：是针对识别出风险的末级子流程，以表格的形是针对识别出风险的末级子流程，以表格的形式完整体现控制

40、点编号、风险类别、风险描述、关键控制编号、控式完整体现控制点编号、风险类别、风险描述、关键控制编号、控制类型、控制方法、控制措施、系统控制措施、应用系统控制、控制类型、控制方法、控制措施、系统控制措施、应用系统控制、控制频率、控制实施证据、控制文件的文号及名称等内容的文档。制频率、控制实施证据、控制文件的文号及名称等内容的文档。流程图：流程图：是对末级子流程业务内容图形化的描述，即遵循业务运是对末级子流程业务内容图形化的描述，即遵循业务运行实际，结合风险控制要求，描述业务工作步骤，实现业务管理程行实际，结合风险控制要求，描述业务工作步骤，实现业务管理程序化的过程序化的过程 。内部控制体系框架简

41、介内部控制体系框架简介（四）（四）控制控制活动活动（五）信息与沟通（五）信息与沟通 监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A A业业务务单单位位B B活活动动2 2活活动动1 1监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A A业业务务单单位位B B活活动动2 2活活动动1 1信息与沟通：信息与沟通：是公司经营管理所是公司经营管理所需的信息需的信息以某种形式被识别、获以某种形式被识别、获得并以一定形式及时传递，以便得并以一

42、定形式及时传递，以便员工履行自己的职责员工履行自己的职责 。主要内容。主要内容包括包括: :信息的收集、识别、加工与传递内、外部沟通的方式和程序信息系统总体控制信息系统应用控制信息披露内部控制体系框架简介内部控制体系框架简介（六）监督（六）监督监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A A业业务务单单位位B B活活动动2 2活活动动1 1监督监督信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A A业业务务单单位位B B活活动动2 2活

43、活动动1 1 监督：监督：是对内部控制建立是对内部控制建立与实施情况进行监督检查，评与实施情况进行监督检查，评价内部控制的有效性，发现内价内部控制的有效性，发现内部控制缺陷，并及时进行改进部控制缺陷，并及时进行改进的持续过程，包括持续监督、的持续过程，包括持续监督、独立评估和缺陷报告等。主要独立评估和缺陷报告等。主要通过内控控制测试完成。通过内控控制测试完成。 内部控制体系框架简介内部控制体系框架简介内部控制测试：内部控制测试：是指按照规定的程序、方法和标准，针对财务报是指按照规定的程序、方法和标准，针对财务报告和经营的控制目标，对公司内部控制体系设计有效性和执行有效告和经营的控制目标，对公司

44、内部控制体系设计有效性和执行有效性进行检查和验证。性进行检查和验证。1 1、内部控制体系评价概述、内部控制体系评价概述2 2、内部控制体系评价范围的确定、内部控制体系评价范围的确定3 3、内部控制测试指南、内部控制测试指南4 4、缺陷评估指南、缺陷评估指南5 5、评价报告指南、评价报告指南6 6、监督涉及制度索引、监督涉及制度索引监控监控信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运财务报告财务报告合规性合规性业业务务单单位位A A业业务务单单位位B B活活动动2 2活活动动1 1监督监督信息和沟通信息和沟通控制活动控制活动风险评估风险评估控制环境控制环境营运营运

45、财务报告财务报告合规性合规性业业务务单单位位A A业业务务单单位位B B活活动动2 2活活动动1 1（六）监督（六）监督内部控制体系框架简介内部控制体系框架简介测 试自我测试单位自查管理层测试外部审计测试部门检查国际审计机构集团公司油田公司业务主管部门各二级单位公司内控测试按测试执行主体不同划分（六）监督（六）监督内部控制体系框架简介内部控制体系框架简介测 试业务活动层面测试公司层面测试信息系统控制测试关键控制测试 跟单测试信息系统总体控制（GCC）测试应用系统控制（AC）测试公司内控测试按测试内容不同划分（六）监督（六）监督内部控制体系框架简介内部控制体系框架简介公司层面测试内容公司层面测试

46、内容：六个方面、十七个主题六个方面、十七个主题p控制环境方面：控制环境方面：职业道德职业道德、高管基调、高管基调、信访举报机制和违规处理信访举报机制和违规处理、组织结构、组织结构、权力和责任分配权力和责任分配、培训培训、业绩考核业绩考核、人力资源政策人力资源政策、董事会、审计委员会。、董事会、审计委员会。p风险评估方面：风险评估过程。风险评估方面：风险评估过程。p控制活动方面：经营活动分析、财务报告流程。控制活动方面：经营活动分析、财务报告流程。p信息与沟通方面：信息与沟通方面：信息与沟通信息与沟通、信息披露。、信息披露。p监督方面：内部审计。监督方面：内部审计。p反舞弊方面：反舞弊程序与控制

47、。反舞弊方面：反舞弊程序与控制。内部控制体系框架简介内部控制体系框架简介 公司层面测试：又称控制环境测试。是对公司内部控制体系有效运行各经营场所或业务单位内存在恰当控制进行的检查和验证。 信息系统测试就是对公司是否执行了信息系统管理的各项控制活动，应用系统控制是否有效，信息系统支持的应用控制是否可靠、生成的数据和报告是否可信进行的检查，主要包括对财务FMIS7.0、AMIS7.0、人力资源HR系统以及ERP系统等自动控制的测试。 跟单测试就是把一项业务从头跟到尾，主要检查的是流程设计是否有效。 关键控制测试就是对风险控制文档中的关键控制措施执行情况的检查，是测试审计的重要内容。 （六）监督（六

48、）监督内部控制体系框架简介内部控制体系框架简介四、公司四、公司内控管理手册内控管理手册简介简介五、几点体会及相关部门的工作重点五、几点体会及相关部门的工作重点一、什么是内部控制一、什么是内部控制二、为什么要建立内部控制体系二、为什么要建立内部控制体系三、内部控制体系框架简介三、内部控制体系框架简介大港油田公司内控手册构成大港油田公司内控手册构成内部控制管理手册（大港油田公司分册）大港油田公司内控手册大港油田公司内控手册公司简介和总论公司简介和总论控制环境控制环境风险评估风险评估控制活动控制活动内部控制管理手册（大港油田公司分册内部控制管理手册（大港油田公司分册）信息与沟通信息与沟通监督监督00

49、 00 公司简介和总论公司简介和总论单位简介单位简介总论总论01 01 控制环境控制环境1.1 1.1 组织结构图组织结构图1.2 1.2 权限指引表权限指引表1.3 1.3 控制环境涉及的制度索引控制环境涉及的制度索引02 02 风险评估风险评估2.1 2.1 基本业务流程目录基本业务流程目录2.2 2.2 重要业务流程目录重要业务流程目录2.3 2.3 业务活动层面风险数据库业务活动层面风险数据库2.42.4风险评估涉及的制度索引风险评估涉及的制度索引03 03 控制活动控制活动3.1 3.1 风险控制管理文件风险控制管理文件3.2 3.2 控制活动涉及的制度索引控制活动涉及的制度索引04

50、 04 信息与沟通信息与沟通 4.1 4.1 业务活动与应用系统索引目录业务活动与应用系统索引目录4.2 4.2 关键权限与通用角色对照表（关键权限与通用角色对照表（FMIS7.0FMIS7.0）4.3 4.3 不相容通用角色清单（不相容通用角色清单（FMIS7.0FMIS7.0）4.4 4.4 关键权限与通用角色对照表（关键权限与通用角色对照表（AMIS7.0AMIS7.0）4.5 4.5 不相容通用角色清单（不相容通用角色清单（AMIS7.0AMIS7.0）4.7 4.7 人力资源系统职责分离矩阵人力资源系统职责分离矩阵4.8 4.8 电子表格汇总表电子表格汇总表4.9 4.9 信息与沟通

51、涉及的制度索引信息与沟通涉及的制度索引05 05 监督监督5.1 5.1 监督涉及的制度索引监督涉及的制度索引大港油田公司与集团公司内控手册目录对比大港油田公司与集团公司内控手册目录对比目目 录录公司简介公司简介1 1 总论总论1.11.1编制目的编制目的1.21.2编制原则编制原则1.31.3编制依据编制依据1.41.4适用范围适用范围1.51.5主要内容主要内容1.61.6内部控制体系框架内部控制体系框架1.6.11.6.1内部控制体系建设的总体目标内部控制体系建设的总体目标1.6.21.6.2内部控制体系建设的指导思想内部控制体系建设的指导思想1.6.31.6.3框架的主要内容框架的主要

52、内容1.71.7管理要求管理要求1.81.8内控与风险管理组织结构及权责内控与风险管理组织结构及权责1.8.11.8.1总经理办公会总经理办公会1.8.21.8.2内控与风险管理委员会内控与风险管理委员会1.8.31.8.3内控与风险管理部内控与风险管理部1.8.41.8.4监督部门监督部门1.8.51.8.5其他管理部门其他管理部门1.8.61.8.6企事业单位企事业单位1.91.9内部控制管理手册（企事业单位分册）内部控制管理手册（企事业单位分册）编制规范编制规范1.9.11.9.1编制要求编制要求1.9.21.9.2体例格式体例格式1.9.31.9.3管理及维护管理及维护大港油田公司内控

53、手册目录大港油田公司内控手册目录集团公司内控手册目录集团公司内控手册目录目录目录控制环境控制环境2.1 2.1 概概 述述2.22.2关注要点关注要点3 32.2.1 2.2.1 诚信与道德价值观诚信与道德价值观2.2.2 2.2.2 发展目标发展目标 2.2.3 2.2.3 管理理念与企业文化管理理念与企业文化2.2.4 2.2.4 风险管理策略风险管理策略2.2.5 2.2.5 组织结构组织结构2.2.6 2.2.6 权利和责任分配权利和责任分配2.2.7 2.2.7 人力资源政策人力资源政策2.2.8 2.2.8 员工胜任能力员工胜任能力2.2.9 2.2.9 反舞弊机制反舞弊机制2.3

54、2.3管理措施管理措施2.3.1 2.3.1 诚信与道德价值观诚信与道德价值观2.3.2 2.3.2 发展目标发展目标2.3.3 2.3.3 管理理念与企业文化管理理念与企业文化2.3.4 2.3.4 风险管理策略风险管理策略2.3.5 2.3.5 组织结构组织结构2.3.6 2.3.6 权利和责任分配权利和责任分配2.3.7 2.3.7 人力资源政策人力资源政策2.3.8 2.3.8 员工胜任能力员工胜任能力2.3.9 2.3.9 反舞弊机制反舞弊机制2.4 2.4 制度、管理规范和文档性记录制度、管理规范和文档性记录2.4.1 2.4.1 制度索引制度索引2.4.2 2.4.2 文档性记录

55、文档性记录2.52.5附件附件2.5.1 2.5.1 中国石油天然气集团公司权限指引中国石油天然气集团公司权限指引2.5.2 2.5.2 企事业单位权限指引表企事业单位权限指引表目录目录风险评估风险评估3.1 3.1 概概 述述3.1.1 3.1.1 风险风险3.1.2 3.1.2 风险类型风险类型3.1.3 3.1.3 风险评估风险评估3.2 3.2 关注要点关注要点3.2.1 3.2.1 公司层面风险评估公司层面风险评估3.2.2 3.2.2 业务活动层面风险评估业务活动层面风险评估3.3 3.3 管理措施管理措施3.3.1 3.3.1 公司层面风险评估公司层面风险评估3.3.2 3.3.

56、2 业务活动层面风险评估业务活动层面风险评估3.4 3.4 制度、管理规范和文档性记录制度、管理规范和文档性记录3.4.1 3.4.1 制度索引制度索引3.4.2 3.4.2 文档性记录文档性记录3.5 3.5 附件附件3 33.5.1 3.5.1 中国石油天然气集团公司公司层面中国石油天然气集团公司公司层面风险及对策指引表风险及对策指引表3.5.2 3.5.2 中国石油天然气集团公司业务活动中国石油天然气集团公司业务活动层面风险数据库层面风险数据库目目 录录 -控制活动控制活动4.1 4.1 概概 述述4.1.1 4.1.1 按控制活动的目标分类按控制活动的目标分类4.1.24.1.2按控制

57、活动的内容分类按控制活动的内容分类4.1.34.1.3按控制活动的作用分类按控制活动的作用分类4.1.44.1.4按控制活动的手段分类按控制活动的手段分类4.2 4.2 关注要点关注要点4.3 4.3 管理措施管理措施4.3.1 4.3.1 业务流程业务流程4.3.2 4.3.2 控制设计控制设计4.3.34.3.3建立并实施经营管理活动分析评价制度建立并实施经营管理活动分析评价制度4.4 4.4 制度、管理规范和文档性记录制度、管理规范和文档性记录4.4.1 4.4.1 制度索引制度索引4.4.2 4.4.2 管理规范管理规范4.4.2.1 4.4.2.1 业务流程描述规范业务流程描述规范4

58、.4.2.2 4.4.2.2 风险控制文档建模规范风险控制文档建模规范4.4.3 4.4.3 文档性记录文档性记录4.4.3.1 4.4.3.1 关键控制管理文件关键控制管理文件1 1）关键控制管理文件实施指南）关键控制管理文件实施指南（1 1） 业务流程目录和流程图业务流程目录和流程图（2 2） 关键控制文档关键控制文档2 2）重要业务流程目录与关键控制文档索引）重要业务流程目录与关键控制文档索引3 3）ERPERP系统控制相关流程目录与关键控制文档索引系统控制相关流程目录与关键控制文档索引4.5 4.5 附附 件件4.5.1 4.5.1 风险控制文档（风险控制文档（RCDRCD）建模规范）

59、建模规范4.5.2 4.5.2 关键控制文档关键控制文档 “ “公司简介公司简介”部分主要介绍油田公司所处地理位部分主要介绍油田公司所处地理位置、生产经营、发展目标等情况。置、生产经营、发展目标等情况。 “ “总论总论”部分主要描述手册编制的目的、原则、部分主要描述手册编制的目的、原则、依据、适用范围、主要内容、管理要求、部门职责等依据、适用范围、主要内容、管理要求、部门职责等内容。内容。 大港油田公司内控手册简介大港油田公司内控手册简介公司简介和总论公司简介和总论大港油田公司内控手册简介大港油田公司内控手册简介公司简介和总论公司简介和总论总论总论公司简介公司简介1、公司权限指引、公司权限指引

60、 2、控制环境涉及的制度索引、控制环境涉及的制度索引大港油田公司内控手册简介大港油田公司内控手册简介控制环境控制环境大港油田公司内控手册简介大港油田公司内控手册简介风险评估风险评估1、基本业务流程目录、基本业务流程目录2、重要业务流程目录、重要业务流程目录3、业务活动层面风险数据库、业务活动层面风险数据库4、风险评估涉及制度索引、风险评估涉及制度索引主要内容主要内容1、基本业务流程目录、基本业务流程目录大港油田公司内控手册简介大港油田公司内控手册简介风险评估风险评估2、重要业务流程目录、重要业务流程目录大港油田公司内控手册简介大港油田公司内控手册简介风险评估风险评估3、业务活动层面风险数据库、