内部控制管理手册.docx

内部控制管理手册控制活动手册（评审稿）中国石油天然气股份有限公司二零零五年十一月1 内部控制体系建设内容1.1 概述1.1.1 概述控制活动是确保管理层的指令得到贯彻执行的必要措施，存在于整个机构内所有级别和职能部门包括批准、授权、查证、核对、经营业绩评价、资产保全措施和职责分工等活动1.1.2 控制活动的分类控制活动按照不同的分类标准可以划分为不同的类型1.1.2.1 按控制活动的目标分类按控制活动的目标可以分为以下几类：1) 战略目标控制活动：指能够满足战略目标实现的控制活动2) 经营控制活动：指能够满足经营活动效率与效果目标的控制活动3) 财务报告控制活动：指能够满足财务报告目标的控制活动4) 合规性控制活动：指能够满足合规性目标的控制活动1.1.2.2 按控制活动的内容分类按控制活动的内容划分，控制活动可分为公司层面控制和业务活动层面控制1)公司层面控制公司层面控制是管理层确保在公司内部各个领域获得适当、有效控制的重要机制主要包括：(1) 控制环境范围内的内部控制，包括道德准则的建立与推行、高层管理者基调、检举揭发机制、权限和职责分工、审计委员会、IT 环境与组织以及人力资源政策等；(2) 反舞弊程序与控制；(3) 风险评估流程；(4) 集中化的处理和程序；(5) 监督，包括持续监督、独立评估和缺陷报告； (6)经营活动分析、审核；(7)期末财务报告流程； (8)统一的规章制度。

2)业务活动层面控制业务活动层面控制是指直接作用于公司经营业务活动的具体控制，亦称业务控制，如业务处理程序中的批准与授权、审核与复核，以及为保证资产安全而采用的限制接近等控制1.1.2.3 按控制活动的作用分类按控制活动的作用划分，控制活动可分为预防性控制和发现性控制1) 预防性控制预防性控制是指为防止错误和非法行为的发生，或尽量减少其发生机会所进行的一种控制2) 发现性控制发现性控制是指为及时查明已发生的错误和非法行为，或增强发现错误和非法行为机会的能力进行的各项控制1.1.2.4 按控制活动的手段分类按控制活动的手段划分，控制活动可分为人工控制和自动控制1)人工控制人工控制是以人工方式执行的控制2)自动控制自动控制是由计算机等系统自动执行的控制控制活动的实施1.2.1 内控关注要点1) 针对公司的每一项业务活动都有必要和恰当的政策和程序2) 已确定的控制行为得到恰当执行1.2.2 措施公司制定《中国石油天然气股份有限公司发现管理暂行规定》（送审稿），对风险管理机构及职责分工、控制方法、控制设计程序、关键控制的确认、控制实施与监督、控制措施的更新与维护等进行明确规定1.2.2.1 开展财务分析活动公司制定了《财务分析管理规定》（送审稿），明确了财务分析的职责、内容、具体方法和程序。

财务分析的内容包括：损益类指标分析、资产负债类指标分析、现金流量指标分析在财务分析的方法上，采用因素分析法、比较分析法等，重点对财务报表中影响利润指标的价格因素、销量因素、成本因素及其他费用的变化进行分析；同时通过财务分析对财务报表的真实性进行核实1.2.2.2 建立财务会计报告流程公司建立并不断完善财务会计报告流程，主要包括以下几方面的内容：1) 编制财务会计报告的前期工作；2) 地区公司财务会计报告流程；3) 股份公司财务会计报告流程；4) 财务会计报告批复及归档；5) 财务会计报告考评及内部审计1.2.2.3 建立风险控制文档，补充修订现有制度公司针对各项生产经营活动，制定采购、生成、销售、服务等业务活动方面的管理规 程；针对各项管理活动，制定财务、人事、行政、质量安全环保、监察、审计、法律事务、资本运营等管理活动方面的管理规程此外，公司还对某些业务活动制定操作规程，如财 务部制定的《中国石油会计手册》，明确规定会计政策、会计科目、主要业务会计核算、 内部购销往来核对及结账、财务会计报告等与会计核算有关的政策和程序以及会计政策 地区公司普遍建立 QHSE 管理体系，从加强制度建设入手，针对管理上的漏洞和死角，及时建立和完善相关规章制度，用制度规范各项管理工作。

按照“集约化经营、专业化管理” 的思路，进一步完善管理体制和工作机制，理顺工作程序，明确工作职责和标准在生产、现场、安全以及定额、计量、标准化、信息管理等方面，加大工作力度，提高管理水平， 有效规范各项管理公司通过建立风险控制文档进行差异分析，查找现有控制的差距和不足，然后补充和完善现有控制措施，以达到防范风险的目的；同时，为进一步补充、修订制度提供依据风险控制文档（ RCD）用于确认、记录每个流程及每个步骤中存在的风险和已建立的控制，并与相应的制度和控制实施证据相对应风险控制文档的控制重点强调：与财务会计报表和附注的真实性、准确性有关的控制，防止舞弊、欺诈行为的控制以及资产安全的控制具体的执行步骤是：1) 建立风险控制文档编制规范为了统一和规范风险控制文档的编制，公司制定“风险控制文档编制规范”，明确风险控制文档中各项目的描述要求2) 建立业务流程的风险控制文档内控部门组织相关部门对业务流程上的风险和控制进行描述，形成风险控制文档，并由有关业务主管部门的相关人员确认，以保证风险控制文档中描述的内容能够反映实际业务执行情况3) 分析查找差距，补充和完善现有控制措施内控部门组织相关部门对风险控制文档进行分析，查找现有控制措施的缺失和不足， 由相关部门进行整改，并补充、修改相关制度。

1.2.2.4 确认关键控制关键控制，是在相关流程中影响力和控制力相对较强的一项或多项控制，其控制作用是必不可少和不可替代的如果缺少该项控制，将在很大程度上直接导致财务风险的产生公司确认关键控制的目的是：将确认的关键控制作为控制活动的重点，对其实行全面、严格的管理，以防范重要风险关键控制也为公司管理层测试内部控制体系的完整性和有效性提供统一的范围和标准；同时将其作为公司提供的内部测试基础性资料，以满足外部审计师评估、测试公司内部控制体系的完整性和有效性确认关键控制的步骤为：1) 在确认重要风险和关键控制目标的基础上确认关键控制公司成立工作小组，在开展风险控制分析并编写风险控制文档（ RCD）的基础上，寻找影响公司目标实现的重要风险，并针对这些重要风险，确认关键控制2) 建立“关键控制文档”在确认关键控制的基础上，建立“关键控制文档”3)关键控制的审定、审批和执行组织公司相关部门的负责人、地区公司的总会计师、外部内控专家对初步确认的关键控制进行审定，最终确认公司的关键控制，报公司内控项目建设委员会审批后执行1.2.2.5 制定控制程序文件公司在建立风险控制文档的基础上，建立与控制相对应的程序文件和与控制相关的、有示范意义的控制证据。

公司建立的程序文件是公司对重要业务流程中的风险和控制进行统一描述的规范性文件1.2.2.6 根据变化的内外部环境调整控制措施，并完善相应的制度文件随着公司经营活动外部环境和内部管理的变化，风险评估的结果也会不断更新，控制活动也将随之发生变化因此，内控部门每年定期组织相关部门对新增或变动的风险进行以下判断：是否有新增的控制活动；已有的控制活动是否有变化；这些控制活动中哪些是关键控制然后将这些新增或变化后的控制活动记录在风险控制文档中，并根据识别出的关键控制对关键控制文档进行更新1.2.3 文档性记录文档性记录包括以下内容：1) 财务分析报告；2) 财务会计报告流程；3) 风险控制文档（RCD）编制规范；4) 风险控制文档；5) 关键控制文档2 内部控制体系执行的文件及规范风险控制文档（RCD）编制规范2.1.1 风险控制文档抬头部分1) 字体：中文 12 号，宋体，粗体；西文（包括英文、数字、字符等）12 号，粗体，TimesNewRoman2) 单位名称：统一列示“中国石油××分公司”3) 单位编码：暂留空4) 业务流程名称：按照业务流程目录列示1)财务流程：填列二级财务子流程名称，如“资金管理”。

2)非财务流程：填列一级流程名称，如“建设过程”5) 当前子流程名称：(1) 财务流程：在二级流程下按流程层次连续列示其流程名称，如“欠款管理－清欠管理”2) 非财务流程：在一级流程下按流程层次连续列示其流程名称，如“建设用地管理－土地使用管理”6) 业务流程编码：按该业务流程相应的编码列示7) 当前子流程编码：按当前子流程相应的编码列示8) 最后更新时间：最后上报时间，格式“yyyy－mm－dd”，例如 2005-09-309) 版本：由股份公司内控项目组统一制定10) 编制部门：负责编制该 RCD 的部门11) 编制人：负责编制该 RCD 的人员12) 抬头部分与正文部门空一行2.1.2 正文部分1)：表头部分(1) 表头部分包括的内容要与标准模板一致2) 字体：中文 10 号，宋体，粗体；西文 10 号,TimesNewRoman3)位置：上下居中，左右居中2)内容部分：(1) 字体：中文 9 号，宋体；西文 9 号,TimesNewRoman2) 选择 CAVR 类型时，以对号“√”表示，不能使用英文“V” (3)位置：文字居左，居上；对号上下居中，左右居中4) 控制点编号：以小数点为界，分成两部分：小数点之前的部分表示相对应的风险的编号，小数点之后的部分表示对该风险的各个控制的编号，并在编号后加M 或 A 以区分人工或自动控制，如：1.1A、1.2M 等。

应对所有的控制点进行编号控制点编号必须和流程图中的编号对应风险参考总部下发的风险数据库的内容，根据本单位的实际情况进行风险识别和描述若对风险数据库进行删减、增加、修改应加以解释5) 控制实施证据：指地区公司在实施现有控制时所使用的报告、表单、签字等6)控制文件的文号及名称：该项控制的管理制度文件的文号和名称若没有控制文件，则应填“无”2.1.3 总体性问题1) 边框：正文部分的边框，粗细采用默认设置2) 打印：保证横向在一个 A4 页中3) 风险控制文档的抬头部分和表头部分需要在每一个打印页重复出现，设置方法为： 进入“文件－页面设置”，选择“工作表”一栏，通过“顶端标题行”选择需要重复出现的单元格4) 删除没有内容的空行5) 风险控制文档应以需要编制风险控制文档的末级子流程为单位编制风险控制文档建立文件的层次应与相应的流程图相同例如，如果相应的流程图在二级流程的层次上建立文件，风险控制文档也应在二级流程的层次上建立文件，并将下属末级子流程的风险控制文档在同一文档中建立不同的工作表表示，该工作表以“末级子流程的流程编码＋流程名称”命名6) 风险控制文档和流程图、风险数据库的关系：风险控制文档和末级子流程的流程图应该是一一对应的关系，风险控制文档中应涵盖风险数据库中对应的所有风险。

7) 页边距的规定：左（2）,右（2）,上（）,下（）,以厘米为单位2.1.4 风险控制文档（RCD）模板风险控制文档（RCD）模板单位名称：单位编码：业务流程名称：业务流程编码：当前子流程名称：当前子流程编码： 最后更新时间：版本：编制部门：编制人：控风险类别风控制目标类型控关现控制控制控制频率控控制经违财资营险CAVR制键有。