内部控制介绍-王蕾讲述

1、中国石化企业改革管理部中国石化企业改革管理部王蕾王蕾 目录目录一、一、 内控发展及基本知识内控发展及基本知识二、二、 中石化内控建设及成果中石化内控建设及成果三、三、 内控运行及实施效果内控运行及实施效果四、四、 案例通报及分析案例通报及分析五、五、 体会与认识体会与认识2021-7-302内部控制的发展内部控制的发展2021-7-30319341934年年美国美国证券证券交易法交易法，首先提出了首先提出了 内部会计控内部会计控制制 的概念的概念内部牵制内部牵制19361936年年“内部控制内部控制”见诸于文字。见诸于文字。AICPAAICPA注册会注册会计师对财务报计师对财务报表的审查表的审

2、查中中首次使用了内首次使用了内部控制这一专部控制这一专门术语门术语19491949年年关于内控的第关于内控的第一个权威定义，一个权威定义，AICPAAICPA发表发表内部控制、内部控制、协调系统诸要协调系统诸要素及其对管理素及其对管理部门和注册会部门和注册会计师的重要性计师的重要性的专题报告的专题报告19531953年年19721972年年19881988年年 第一次第一次修正修正第二、三第二、三次修正，次修正，最终形成最终形成审计准审计准则公告第则公告第1 1号号AICPAAICPA审计准审计准则公告第则公告第5555号，提号，提出内部控出内部控制结构定制结构定义义19921992年年COS

3、OCOSO报告，报告，内部控制内部控制整体框架整体框架20042004年年COSOCOSO报告，报告，风险管理风险管理整合框架整合框架20022002年年SOXSOX法案法案签发签发内部控制制度内部控制制度内部控制结构内部控制结构内部控制整体框架内部控制整体框架风险管理框架风险管理框架内内部部控控制制的的发发展展内部控制的发展内部控制的发展2021-7-304第第1 1阶段阶段第第2 2阶段阶段 第第3 3阶段阶段第第4 4阶段阶段第第5 5阶段阶段四大目标，八大要素四大目标，八大要素三大目标，五大要素三大目标，五大要素控制环境、会计制度和控制程序控制环境、会计制度和控制程序会计控制和管理控制

4、会计控制和管理控制帐务核对，岗位分离帐务核对，岗位分离五个阶段五个阶段风险风险管理管理框架框架内部控制整合内部控制整合框架框架内部控制结构内部控制结构内部控制制度内部控制制度内部牵制内部牵制国际公认的内控框架国际公认的内控框架控制环境控制环境风险评估风险评估控制活动控制活动信息与沟通信息与沟通 内部内部监督监督内部控制内部控制 是由董事会和全体员工是由董事会和全体员工实施的、为经营管理合实施的、为经营管理合规合法、财务报告的可规合法、财务报告的可靠性，经营活动的效率靠性，经营活动的效率和效果和效果目标目标的实现提供的实现提供合理保证的过程。合理保证的过程。COSO报告：内部控制报告：内部控制综

5、合性框架综合性框架COSO COSO 扩充扩充三个要素，三个要素，20042004年年9 9月推月推出：出：“企业企业风险管理整风险管理整体架构体架构”2021-7-305国际公认的风险管理框架国际公认的风险管理框架2021-7-306公司层面公司层面分支机构分支机构遵循遵循运营运营战略战略报告报告分、子公司分、子公司业务板块业务板块监控监控信息与沟通信息与沟通控制活动控制活动风险应对风险应对风险分析风险分析风险识别风险识别目标设定目标设定内部环境内部环境COSO企业风险管理整体框架企业风险管理整体框架（ERM）财政部、证监会、审计署、银监会、保监会财政部、证监会、审计署、银监会、保监会中国企

6、业内部控制规范体系中国企业内部控制规范体系应用指引应用指引(18(18个个) )评价指引评价指引审计指引审计指引中国中国内部内部控制控制规范规范体系体系基本规范（基本规范（20082008年年5 5月）月）控制规范控制规范评价规范评价规范配套配套指引指引(2010(2010年年4 4月月) )2021-7-307中国企业内部控制规范体系中国企业内部控制规范体系附则：附则：实施时间及解释权实施时间及解释权 原则：全面性、重要性、制衡性、适应性、成本效益原则：全面性、重要性、制衡性、适应性、成本效益 制定制定相关政策相关政策 设置设置内部机构内部机构 明确明确职责权限职责权限（一）（一）内部环境内

7、部环境（二）（二）风险评估风险评估（三）（三）控制活动控制活动（四）（四）信息与沟通信息与沟通（五）（五）内部监督内部监督 确定风险承受度确定风险承受度 识别企业内部、识别企业内部、外部风险外部风险 进行风险分析进行风险分析 制定风险应对策制定风险应对策略略 不相容职责分离不相容职责分离控制控制 授权审批控制授权审批控制 会计系统控制会计系统控制 财产保护控制财产保护控制 预算控制预算控制 运营分析控制运营分析控制 绩效考评控制绩效考评控制 建立信息与沟通建立信息与沟通制度制度 提高信息有用性提高信息有用性 加强信息沟通渠加强信息沟通渠道道 发挥信息技术作发挥信息技术作用用 建立反舞弊机制建立

8、反舞弊机制 日常监督日常监督 专项监督专项监督 内控缺陷的识别内控缺陷的识别和整改和整改 内控评价报告内控评价报告目标：合法合规、资产安全、财务报告、效率效果、发展战略目标：合法合规、资产安全、财务报告、效率效果、发展战略范围：大中型企业范围：大中型企业总则总则2021-7-308公司层公司层面面业务业务层面层面第第1 1号组织构架号组织构架第第2 2号发展战略号发展战略第第3 3号人力资源号人力资源第第4 4号社会责任号社会责任第第5 5号企业文化号企业文化第第6 6号资金管理；第号资金管理；第7 7号采购业务；号采购业务；第第8 8号资产管理；第号资产管理；第9 9号销售业务；号销售业务；

9、第第1010号研究与开发；第号研究与开发；第1111号工程项号工程项目；第目；第1212号担保业务；第号担保业务；第1313号业务号业务外包；第外包；第1414号财务报告；号财务报告；第第1515号全面预算；第号全面预算；第1616号合同管理；号合同管理；第第1717号内部信息传递号内部信息传递 ；第；第1818号信号信息系统。息系统。中国企业内部控制规范体系中国企业内部控制规范体系企业内部控制企业内部控制应用指引应用指引企业内部控制企业内部控制评价指引评价指引企业内部控制企业内部控制审计指引审计指引2021-7-309控控制制活活动动类类控控制制手手段段类类控控制制环环境境类类内部控制的基本

10、思想内部控制的基本思想2021-7-3010内部控制的定义内部控制的定义2021-7-3011经营经营管理合法合规管理合法合规资产资产安全安全财务财务报告及相关信息真实完整报告及相关信息真实完整提高提高经营的效率和效果经营的效率和效果促进促进企业实现发展战略企业实现发展战略内部控制是由董事会、监事会、经理层和全体员工内部控制是由董事会、监事会、经理层和全体员工实施的、旨在为实现以下控制目标的过程：实施的、旨在为实现以下控制目标的过程：2021-7-3012 内部内部控制是一个过程，而不是目的控制是一个过程，而不是目的 这这一过程贯穿企业管理的各个层面、各个单元一过程贯穿企业管理的各个层面、各个

11、单元 这这一过程一过程为企业整体目标为企业整体目标的实现提供合理保证的实现提供合理保证 力求力求实现一个或多个不同类型但相互交叉的目标实现一个或多个不同类型但相互交叉的目标 2021-7-3013控制控制目标目标风险评估风险评估内部内部监督监督控制活动控制活动内内部部环环境境表示信息与沟通表示信息与沟通为何要控制为何要控制? ?具备什么样的控制条件具备什么样的控制条件? ?控制什么控制什么? ?怎样控制怎样控制? ?如何协调如何协调? ?控制如何有效控制如何有效? ?内控要素内控要素1 1、内部环境内部环境2021-7-3014 法人治理结构法人治理结构 董事会与审计委员会董事会与审计委员会

12、人力资源政策人力资源政策 ITIT技术技术 管理哲学与经营理念管理哲学与经营理念 内部控制和风险管理优先的理念内部控制和风险管理优先的理念 全体员工的风险防范意识全体员工的风险防范意识 企业文化企业文化 员工道德规范和自身素质建设员工道德规范和自身素质建设硬环境硬环境软环境软环境2021-7-30152 2、风险评估、风险评估企业层面目标企业层面目标评估风险可能性评估风险可能性评估需要采取的行动评估需要采取的行动业务层面目标业务层面目标风险识别风险识别风险评估风险评估评估风险严重性评估风险严重性外部因素外部因素内部因素内部因素风险应对风险应对目标设定目标设定、风险识别、风险识别、风险评估与风险

13、应对的关系、风险评估与风险应对的关系2021-7-30162.1 2.1 目标设定目标设定企业层目标企业层目标合规合规安全安全报告报告经营经营战略战略业务层目标业务层目标要求：纵向一致要求：纵向一致+ +横向一致；参与度横向一致；参与度+ +认识感认识感符合法律字面要求和实质精神符合法律字面要求和实质精神按合理授权取得、使用和处置资产按合理授权取得、使用和处置资产及时发布符合准则的报告及时发布符合准则的报告高端路线、品牌领先高端路线、品牌领先净利润年增净利润年增10%10%，净资产收益率不低于上年，净资产收益率不低于上年研发：产品升级与更新研发：产品升级与更新销售：市场份额销售：市场份额采购：

14、质量与特色采购：质量与特色采购量及生产量采购量及生产量销售量及销售结构销售量及销售结构销售群体特征的信息销售群体特征的信息竞争对手（尤其是同档次）信息竞争对手（尤其是同档次）信息产品（尤其是同档次）信息产品（尤其是同档次）信息2021-7-30172.2 2.2 风险识别风险识别 风险影响因素风险影响因素 目标目标变化或提升变化或提升 外部外部因素因素 经济经济因素因素 政治政治与政策因素与政策因素 自然自然因素因素 社会社会因素因素 技术技术因素因素 内部内部因素：人员、技术、流程等因素：人员、技术、流程等2021-7-30182.2 2.2 风险识别（续）风险识别（续） 风险识别风险识别技

15、术技术 风险目录：风险清单风险目录：风险清单 内部内部分析：业务单元会议（也可请客户、分析：业务单元会议（也可请客户、供应商、其他业务单元有关人员参加）供应商、其他业务单元有关人员参加） 业务业务流程分析流程分析 损失事件数据库损失事件数据库 前置风险指标前置风险指标：通用风险清单通用风险清单2021-7-30192.3 2.3 风险评估风险评估固有固有风险和剩余风险风险和剩余风险固有风险：管理层未采取任何措施情况下固有风险：管理层未采取任何措施情况下所面临的风险。所面临的风险。剩余风险：管理层采取应对措施后所残余剩余风险：管理层采取应对措施后所残余的风险。的风险。2021-7-30202.3

16、 2.3 风险评估（续）风险评估（续）评估评估方法方法-风险坐标图风险坐标图风险坐标图风险坐标图是把风险发生可能性的高低、风险发生后对目是把风险发生可能性的高低、风险发生后对目标的影响程度，作为两个维度绘制在同一个平面上（即绘标的影响程度，作为两个维度绘制在同一个平面上（即绘制成直角坐标系）。制成直角坐标系）。 定性方法定性方法：直接用文字描述风险发生可能性的高低、：直接用文字描述风险发生可能性的高低、风险对目标的影响程度，如风险对目标的影响程度，如“极低极低”、“低低”、“中中等等”、“高高”、“极高极高”等。等。定量方法定量方法：对风险发生可能性的高低、风险对目标影：对风险发生可能性的高低

17、、风险对目标影响程度用具有实际意义的数量描述，如对风险发生可响程度用具有实际意义的数量描述，如对风险发生可能性的高低用概率来表示，对目标影响程度用损失金能性的高低用概率来表示，对目标影响程度用损失金额来表示。额来表示。2021-7-3021极高极高高高中等中等 低低极低极低B区域区域A区域区域C区域区域B区域区域极低极低低低中等中等高高极高极高影响程度影响程度可能性可能性A A区域：承担区域：承担B B区域：降低或分担区域：降低或分担C C区域：规避区域：规避2021-7-30222.4 2.4 风险应对风险应对风险应对：风险应对：指在风险评估的基础上采用风险承受、指在风险评估的基础上采用风险

18、承受、风险规避、风险降低、风险分担等方法风险规避、风险降低、风险分担等方法控制风险。控制风险。2021-7-3023选择风险应对措施选择风险应对措施确定相应的风险承受度：确定相应的风险承受度：企业能够承担的风险限度企业能够承担的风险限度 业务层面的可接受风险水平业务层面的可接受风险水平 整体风险承受能力整体风险承受能力 风险降低：企业在权衡成本效益之风险降低：企业在权衡成本效益之后，准备采取适当的控制措施降低后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险或者减轻损失，将风险控制在风险承受度之内的策略。风险承受度之内的策略。 风险分担：企业准备借助他人力量，风险分担：企业准备借

19、助他人力量，采取业务分包、购买保险等方式和采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风适当的控制措施，将风险控制在风险承受度之内的策略。险承受度之内的策略。 风险规避：企业对超出风险承风险规避：企业对超出风险承受度的风险，通过放弃或者停受度的风险，通过放弃或者停止与该风险相关的业务活动以止与该风险相关的业务活动以避免和减轻损失的策略。避免和减轻损失的策略。 风险承受：企业对风险承受度风险承受：企业对风险承受度之内的风险，在权衡成本效益之内的风险，在权衡成本效益之后，不准备采取控制措施降之后，不准备采取控制措施降低风险或者减轻损失的策略。低风险或者减轻损失的策略。 风风险险应应对

20、对措措施施3 3、控制活动、控制活动2021-7-3024控制活动是帮助确保控制活动是帮助确保管理层的管理层的风险应对风险应对得以实施的政策和程序。得以实施的政策和程序。3.1 3.1 职务分工：主要解决不相容职务分离职务分工：主要解决不相容职务分离2021-7-3025授权批准职务与执行业务职务相分离授权批准职务与执行业务职务相分离执行业务职务与审核监督职务相分离执行业务职务与审核监督职务相分离执行业务职务与会计记录相分离执行业务职务与会计记录相分离财产保管职务与会计记录相分离财产保管职务与会计记录相分离执行业务职务与财产保管职务相分离执行业务职务与财产保管职务相分离3.2 3.2 授权批准

21、控制授权批准控制2021-7-3026授权批准的范围授权批准的范围授权批准的层次授权批准的层次授权批准的责任授权批准的责任授权批准的程序授权批准的程序3.3 3.3 文件记录控制文件记录控制2021-7-3027建立企业组织机构职能图和授权审批权限一览表建立企业组织机构职能图和授权审批权限一览表建立全员岗位说明书建立全员岗位说明书业务程序手册业务程序手册会计流程与会计记录会计流程与会计记录3.4 3.4 全面预算控制全面预算控制2021-7-3028预算激励制度预算激励制度预算考评制度预算考评制度预算报告制度预算报告制度预算监控与调整制度预算监控与调整制度预算编制程序与方法体系预算编制程序与方

22、法体系预算指标体系预算指标体系预算组织制度预算组织制度预算管理制度体系预算管理制度体系3.5 3.5 实物保全控制实物保全控制2021-7-3029限制接近限制接近定期盘点定期盘点记录保护记录保护财产保险财产保险财产记录监控财产记录监控3.6 3.6 职工素质控制职工素质控制2021-7-3030建立严格招聘程序，保证应聘人员符合招聘要求建立严格招聘程序，保证应聘人员符合招聘要求制定员工工作规范，用以引导考核员工行为制定员工工作规范，用以引导考核员工行为定期对员工进行培训，帮助其提高业务素质，更好完成规定的任务定期对员工进行培训，帮助其提高业务素质，更好完成规定的任务加强考核和奖惩力度，应定期

23、对职工业绩进行考核，奖惩分明加强考核和奖惩力度，应定期对职工业绩进行考核，奖惩分明对重要岗位员工对重要岗位员工( (如销售、采购、出纳如销售、采购、出纳) )应建立职业信用保险机制应建立职业信用保险机制工作岗位轮换工作岗位轮换3.7 3.7 营运分析控制营运分析控制2021-7-3031资产负债比率资产负债比率资本性支出与收益性支出的规模与结构资本性支出与收益性支出的规模与结构投资回报分析与投资预算投资回报分析与投资预算资金在虚拟经济与实体经济之间的流动资金在虚拟经济与实体经济之间的流动成本费用控制成本费用控制3.8 3.8 信息系统控制信息系统控制2021-7-3032整体控制整体控制一般性

24、控制一般性控制应用控制应用控制3.9 3.9 内部审计控制内部审计控制2021-7-3033独立性独立性权威性权威性4 4、信息与沟通、信息与沟通2021-7-3034 信息信息传递的真实、准确与及时传递的真实、准确与及时通过通过沟通，了解个人在组织中的沟通，了解个人在组织中的角色、职责与权利角色、职责与权利5 5、监督、监督2021-7-3035 日常经营中的相关监督日常经营中的相关监督 企业企业内部监督机构的监督内部监督机构的监督 内部内部控制自我评价控制自我评价 内部内部控制审计控制审计内部控制的局限性内部控制的局限性2021-7-3036内部控制设计与运行需遵循内部控制设计与运行需遵循

25、成本效益成本效益原则，这限定了其健全原则，这限定了其健全与有效程度与有效程度内部控制针对内部控制针对一般性与常规性业务一般性与常规性业务活动而设计，对于特殊业活动而设计，对于特殊业务则不能发挥其控制作用务则不能发挥其控制作用即使设计了完善的内部控制，若执行者即使设计了完善的内部控制，若执行者工作失误、判断失准工作失误、判断失准会使其失去控制作用会使其失去控制作用因企业因企业经营环境与业务性质经营环境与业务性质的变化会使内部控制的功能作用的变化会使内部控制的功能作用受到削弱甚至失效受到削弱甚至失效执行者若屈从于执行者若屈从于外部压力外部压力则有可能使内部控制失效则有可能使内部控制失效如果执行者如

26、果执行者相互勾结或内外串通相互勾结或内外串通会使内部控制失去控制功能会使内部控制失去控制功能目录目录一、一、 内控发展及基本知识内控发展及基本知识二、二、 中石化内控建设及成果中石化内控建设及成果三、三、 内控运行及实施效果内控运行及实施效果四、四、 案例通报及分析案例通报及分析五、五、 体会与认识体会与认识2021-7-3037中国石油化工集团公司简介中国石油化工集团公司简介中国中国石油化工集团公司（简称石油化工集团公司（简称“中国石化中国石化”）是中国最大的一体化）是中国最大的一体化能源化工公司之一，中国能源化工公司之一，中国最大的石油产品和主要石化产品生产商和最大的石油产品和主要石化产品

27、生产商和供应商，中国第二大原油生产商，世界第三大炼油公司，拥有比较供应商，中国第二大原油生产商，世界第三大炼油公司，拥有比较完备的销售完备的销售网络，经营资产和主要市场集中在网络，经营资产和主要市场集中在中国经济最发达、最中国经济最发达、最活跃的活跃的东部、南部和中部地区东部、南部和中部地区。20122012年年财富财富全球全球500500强中国石化强中国石化列第列第5 5位。位。中国石化控股的中国石油化工股份有限公司，在境内外（上海、香中国石化控股的中国石油化工股份有限公司，在境内外（上海、香港、纽约、伦敦）四地上市，现有全资子公司、控股和参股子公司、港、纽约、伦敦）四地上市，现有全资子公司

28、、控股和参股子公司、分公司等分公司等共共100100余家，包括油气勘探开发、炼油、化工、产品销售以余家，包括油气勘探开发、炼油、化工、产品销售以及科研、外贸等。及科研、外贸等。2021-7-3038中国石化组织架构中国石化组织架构油田非上市企业设计、施工企业专业公司及其他单位中国石油化工股份有限公司中国石油化工股份有限公司国内其他机构投资者公众投资者监事会董事会股份公司总裁班子董事会秘书局审计委员会战略委员会薪酬与考核委员会油田勘探开发事业部炼油事业部化工事业部油品销售事业部总部职能部门总部职能部门油田分（子）公司炼化分（子）公司销售分（子）公司科研单位专业公司炼油部分化工部分中国石油化工集团

29、公司中国石油化工集团公司办公厅发展计划部生产经营管理部财务部企业改革管理部科技开发部人事部法律事务部资本运营部安全环保局石油工程管理部工程企业管理部物资装备部部信息系统管理部外事局审计局监察局思想政治工作部离退休工作部机关服务局2021-7-3039中国石化内部控制定位中国石化内部控制定位l美国美国萨班斯萨班斯- -奥克斯利法案奥克斯利法案(2002)(2002)l香港联交所香港联交所企业管治常规守则企业管治常规守则(2006)(2006)l上海证交所上海证交所上市公司内部控制指引上市公司内部控制指引( (20062006) )l国资委国资委中央企业全面风险管理指引中央企业全面风险管理指引(2

30、006)(2006)l五部委发布五部委发布企业内部控制基本规范企业内部控制基本规范(2008(2008) )l五部委发布五部委发布企业内部控制配套指引企业内部控制配套指引(2010)(2010)l财务、管理信息真实可靠；财务、管理信息真实可靠；l保障资产安全完整；保障资产安全完整；l规范经营行为，提高规范经营行为，提高风险管理水平风险管理水平；l健全健全制度化管理体系；制度化管理体系；l完善法人治理结构。完善法人治理结构。法律法规要求法律法规要求企业自身需要企业自身需要2021-7-3040中国石化内部控制建设概况中国石化内部控制建设概况l20032003年，股份公司编制年，股份公司编制内部控

31、制手册内部控制手册l20042004年，股份公司试行，所属分（子）公司制定实施细则年，股份公司试行，所属分（子）公司制定实施细则l20052005年，股份公司正式实施内控制度年，股份公司正式实施内控制度l20062006年，集团公司试行内控制度年，集团公司试行内控制度l20082008年，集团公司正式实施内控年，集团公司正式实施内控制度制度l20112011年，集团公司、股份公司实施一体化内控制度年，集团公司、股份公司实施一体化内控制度l2006 2006 20112011年年，股份公司接受外部审计，无，股份公司接受外部审计，无“披露缺陷披露缺陷”2021-7-3041两级内控制度体系两级内控

32、制度体系集团公司总部权限指引企业内部控制实施细则中国石化内部控制手册2021-7-3042内控手册结构内控手册结构中国石化中国石化内部控制手册内部控制手册总则总则公司层公司层面控制面控制业务层业务层面控制面控制权限权限指引指引检查评检查评价与考价与考核办法核办法附则附则2021-7-30431 1、总则、总则 前言前言 内部控制的定义、目标和原则内部控制的定义、目标和原则 内部控制手册适用范围内部控制手册适用范围 内部控制手册结构内部控制手册结构 内部控制手册生效及更新内部控制手册生效及更新 缩略语缩略语2021-7-30442 2、公司层面控制、公司层面控制公司层面控制是存在于公司整体层面，

33、对业务层面实施的公司层面控制是存在于公司整体层面，对业务层面实施的控制措施产生普遍、深远影响的控制，体现公司的经营理控制措施产生普遍、深远影响的控制，体现公司的经营理念、风险管控能力、公司治理水平、对道德价值观的遵守念、风险管控能力、公司治理水平、对道德价值观的遵守、人员素质与发展水平以及职责权力分工等。、人员素质与发展水平以及职责权力分工等。 内部环境内部环境 风险评估风险评估 信息与沟通信息与沟通 内部监督内部监督2021-7-30452.1 2.1 内部环境内部环境组织架构组织架构权责分配权责分配 原则原则授权机制和授权机制和权限指引权限指引三重一大集三重一大集体决策制度体决策制度对权责

34、分配对权责分配的评估调整的评估调整权责分配权责分配发展战略的发展战略的制定制定发展战略的发展战略的实施实施发展战略的发展战略的监控监控发展战略的发展战略的动态调整动态调整发展战略发展战略社会责任社会责任企业文化企业文化的建设的建设企业文化的企业文化的评估和创新评估和创新企业文化企业文化反舞弊反舞弊内部审计机内部审计机构和人员构和人员内部审计基内部审计基础管理工作础管理工作内部审计内部审计人力资源总人力资源总体规划体规划人力资源的人力资源的引进与开发引进与开发员工使用与员工使用与退出退出人力资源人力资源治理结构的治理结构的设计设计内部机构的内部机构的设计设计岗位职责的岗位职责的划分划分治理结构的

35、治理结构的全面梳理全面梳理内部机构设内部机构设置全面梳理置全面梳理对子公司的对子公司的投资管控投资管控组织架构的组织架构的评估调整评估调整惩防体系惩防体系建设建设廉洁从业廉洁从业宣传教育宣传教育反腐倡廉反腐倡廉制度建设制度建设举报投诉举报投诉机制机制反舞弊检查反舞弊检查/ /监查工作机制监查工作机制违规惩处违规惩处社会责任管社会责任管理体系理体系安全生产与安全生产与环境保护环境保护节能管理节能管理产品质量产品质量管理管理促进就业与促进就业与保护员工合保护员工合法权益法权益社会公益社会公益2021-7-3046公司层面控制的内容要素公司层面控制的内容要素定义：对所定义：对所涉及控制领涉及控制领域

36、域/ /业务范业务范围的定义围的定义控制目标：明控制目标：明确每类公司层确每类公司层面控制的总体面控制的总体目标目标主要风险：主要风险：该控制领域可能该控制领域可能涉及的主要风险，涉及的主要风险，与风险清单中相与风险清单中相关分类保持一致关分类保持一致主要控制要求主要控制要求：描述每类公司层描述每类公司层面控制涉及的主面控制涉及的主要环节和具体控要环节和具体控制要求制要求主要负责部门：明主要负责部门：明确总部主要负责部确总部主要负责部门门相关制度：将总体相关制度：将总体性控制要求与相关性控制要求与相关规章制度建立对应规章制度建立对应关系关系2021-7-30472.2 2.2 风险评估风险评估

37、风险管理组织体系风险识别和分类风险评估风险应对风险监控与报告风险评估2021-7-3048风险识别风险识别风险识别的方法：自上而下风险识别的方法：自上而下方式方式，自下而上，自下而上方式，研讨会方式，研讨会、员工访谈、员工访谈、发放发放调查问卷调查问卷等多种方法。等多种方法。从公司的中长期战略实施的业务计从公司的中长期战略实施的业务计划中发现可能的风险划中发现可能的风险通过通过分析业务分析业务流程发现的风险流程发现的风险战略战略业务计划业务计划风险风险 #1风险风险 #2风险风险 #3业务计划业务计划采购采购采购计划采购计划风险风险 #1风险风险 #2风险风险 #3订购订购通过对负责人通过对负

38、责人/负责级别人员的访谈发现负责级别人员的访谈发现可能性高的风险可能性高的风险风险评估对象风险评估对象研讨会及研讨会及员工访谈员工访谈等等根据根据业务业务流程分析流程分析战略战略/目标目标分析分析风险风险2021-7-3049风险评估风险评估针对识别出的风险，从风险发生可能性和风险影响程度两个方面进行评估，针对识别出的风险，从风险发生可能性和风险影响程度两个方面进行评估，并综合得出本企业的风险评估结果并综合得出本企业的风险评估结果（1 1）风险发生可能性）风险发生可能性: :对每个风险评估固有风险可能性，即在考虑控制之前风险的发生机率对每个风险评估固有风险可能性，即在考虑控制之前风险的发生机率

39、该该评估为定性评估，需要评估者通过评估为定性评估，需要评估者通过定性判断来确定适当的评级定性判断来确定适当的评级集团公司采用下表对风险发生的可能性进行评级，各集团公司采用下表对风险发生的可能性进行评级，各企业参考企业参考此表此表风险发生可能性评级风险发生可能性评级风险发生风险发生 极低极低 低低 中中 高高 极高极高 评估期内发生的评估期内发生的概率概率 10%10%10-25%10-25%25-50%25-50%50-75%50-75%75%75%2021-7-3050（2 2）风险影响程度）风险影响程度 对每个风险评估固有风险影响程度，即在考虑控制之前风险的影响程度对每个风险评估固有风险影

40、响程度，即在考虑控制之前风险的影响程度 该评估为定量与定性结合评估，需要评估者通过经验判断来确定适当的该评估为定量与定性结合评估，需要评估者通过经验判断来确定适当的评级评级 风险发生的影响程度通过财务影响因素和非财务影响因素进行衡量，在风险发生的影响程度通过财务影响因素和非财务影响因素进行衡量，在评级时取多者中的较高值评级时取多者中的较高值，主要影响因素如：，主要影响因素如： 财务财务损失损失 营运营运影响影响 合合规目标影响规目标影响HSEHSE影响影响声誉声誉影响影响其他其他风险评估（续风险评估（续1 1）2021-7-3051风险评估（续风险评估（续2 2）（3 3）风险评估结果）风险评

41、估结果综合考虑风险发生可能性和风险影响程度对固有风险进行评级。综合考虑风险发生可能性和风险影响程度对固有风险进行评级。 集团公司采用下表对确定风险评估结果，企业参考此表集团公司采用下表对确定风险评估结果，企业参考此表风险发生风险发生可能性可能性风险发生影响程度风险发生影响程度极低极低低低中中高高极高极高极高极高一般一般重要重大重大高高一般一般重要重大重大中中一般一般重要重大重大低低一般一般重要重要重大极低极低一般一般一般重要重要2021-7-3052风险应对风险应对内控制度内控制度战略策略战略策略及决策机制流程及决策机制流程内部管理制度内部管理制度风险风险应对措施应对措施2021-7-3053

42、风险分类清单：一级风险风险分类清单：一级风险5 5个、二级风险个、二级风险6565个、三级风险个、三级风险453453个个7272个个6666个个2323个个257257个个3535个个三 级 风 险 分 布 情 况战略风险运营风险财务风险市场风险合规风险一级风一级风险险二级二级编号编号二级风二级风险险三级三级编号编号三级风险描述三级风险描述1. 1.战略战略风险风险1.11.1宏观经济风险1.01.011.01.01国家战略影响：国家能源战略、外交战略、国家安全战略等出现不利变化，影响公司的经营。1.21.2宏观政策政府监管风险1.02.011.02.01国家经济政策影响：国家宏观经济政策、

43、产业政策、国家标准、行业标准等出现不利变化，影响公司的经营。2. 2.财务财务风险风险2.12.1流动性风险2.01.012.01.01资本市场不景气：资本市场低迷，融资门槛增高和融资成本增加，影响公司融资能力、融资成本。2.22.2筹资管控风险2.02.012.02.01筹资策略不当：缺乏完整的筹资策略规划，筹资决策不当，引发公司资金结构、期限结构和利率结构不合理，导致筹资成本过高或债务危机。3. 3.市场市场风险风险3.13.1竞争风险 3.01.013.01.01未能恰当应对竞争对手：未能对竞争对手的销售行为进行监控，没有采取及时应对策略（如产品定价/及价格调整不当、产品开发升级滞后，市

44、场开发和营销策略不当，渠道控制力减弱、售后服务不当、合作伙伴选择不当等），在市场竞争中落败于对手导致公司市场份额下降或流失重要客户。3.23.2价格风险3.02.013.02.01原油、燃料油、成品油及化工产品等价格波动：美元汇率走势、地缘政治、国际基金炒作等因素导致国际原油、燃料油、成品油及化工产品等价格波动，影响公司实现经营目标。4. 4.运营运营风险风险4.14.1内部机构风险4.01.014.01.01机构岗位设置不合理：内部机构、岗位设计不科学、不健全，部门和岗位设置的职责不清晰，未实现不相容岗位分离，未明确界定涉密岗位范围，未实行关键岗位限制性要求，导致机构重叠或缺失，岗位职责和任

45、职条件不明，运营效率低下。4.24.2治理结构风险4.02.014.02.01治理结构违反监管要求：未能按照法律法规和监管机构的要求建立并运行公司的治理结构（包括上市公司的独立董事制度、董事会专业委员会、董事会秘书等），被监管机构处罚。5. 5.合规合规风险风险5.15.1经营合规风险5.01.015.01.01并购/股权交易违规：并购/股权交易违反国家法律法规（如收购时未以评估为基础作价），导致公司被监管机构处罚，声誉和形象受损。5.25.2侵权风险 5.02.015.02.01知识产权申请/登记/保管不当：未能及时办理知识产权申请、注册及登记手续，或知识产权保管和使用不当，导致公司知识产权

46、被侵犯，公司利益受损。风险清单风险清单2021-7-30542.3 2.3 信息与沟通信息与沟通信息收集机制信息收集机制内部沟通机制内部沟通机制外部沟通机制外部沟通机制信息沟通机制信息沟通机制内部报告体系的内部报告体系的建立建立内部报告的使用内部报告的使用内部报告的评估内部报告的评估内部报告内部报告信息技术信息技术整体控制整体控制保密管理保密管理保密管理保密管理信息资源的内容信息资源的内容信息资源的管理信息资源的管理架构架构分类信息管理分类信息管理主要信息报告制主要信息报告制度度对外宣传工作相对外宣传工作相关的信息收集关的信息收集股份公司对外披股份公司对外披露信息的收集露信息的收集其他其他信息

47、化管理信息化管理体系体系信息化发展规划信息化发展规划信息技术组织架信息技术组织架构及人员构及人员风险评估风险评估信息安全管理信息安全管理2021-7-3055ITIT内部控制体系内部控制体系IT整体控制整体控制 信息化管理体系信息化管理体系 信息化发展规划信息化发展规划 信息技术组织架构及信息技术组织架构及人员人员 风险评估风险评估 信息安全管理信息安全管理IT应用控制应用控制 ERPERP系统、加油卡系统、系统、加油卡系统、资金集中管理系统和资金集中管理系统和会计集中核算系统会计集中核算系统 从控制类别（包括用从控制类别（包括用户权限、职责分离、户权限、职责分离、系统配置和业务操作系统配置和

48、业务操作四个类别）角度对原四个类别）角度对原有控制点的控制要求有控制点的控制要求进行细分和优化进行细分和优化IT一般控制一般控制 信息系统管理信息系统管理 ERPERP系统系统ITIT一般控制一般控制 应用系统应用系统ITIT一般控制一般控制 基础设施基础设施ITIT一般控制一般控制企业内部控制应用指引第企业内部控制应用指引第1818号号信息系统信息系统国际公认的信息系统控制标准国际公认的信息系统控制标准（COBITCOBIT框架）框架）2021-7-30562.4 2.4 内部监督内部监督内部监督内部监督架构集团公司股份公司内部监督分类日常监督综合监督企业监督审计监督专项监督2021-7-3

49、057公司层面控制统计公司层面控制统计公司层面控制类别控制环节统计控制要求统计1 1组织架构组织架构7 728282 2权责分配权责分配4 48 83 3发展战略发展战略4 433334 4人力资源人力资源3 312125 5社会责任社会责任262691916 6企业文化企业文化2 213137 7反舞弊反舞弊6 615158 8内部审计内部审计2 214149 9风险评估风险评估 9 913131010信息收集机制信息收集机制 7 722221111信息沟通机制信息沟通机制 2 223231212内部报告内部报告 3 314141313保密管理保密管理 5 55 51414信息技术整体控制信

50、息技术整体控制 5 512121515内部监督内部监督3 31616合计883192021-7-3058依据风险评估结果，通过手工与自动控制、预防性控制与发现性控制相结合的方法拟定相应的控制措施。共共设设2020大类大类6767个内部个内部控制流程、控制流程、21322132个控个控制点，其中线下人工制点，其中线下人工控制点控制点15871587个，自动个，自动控制点控制点545545个个。1. 1. 资金活动资金活动11.11.合同管理合同管理2. 2. 采购及生产活动采购及生产活动12.12.关联方交易关联方交易3. 3. 资产管理资产管理13.13.税务管理税务管理4. 4. 销售管理销

51、售管理14.14.人力资源人力资源5. 5. 研究与开发研究与开发15.HSE15.HSE管理管理6. 6. 工程项目工程项目16.16.产品质量管理产品质量管理7. 7. 担保业务担保业务17.17.信息资源管理信息资源管理8. 8. 业务外包业务外包18.18.信息系统信息系统9. 9. 财务报告财务报告19.19.对外披露对外披露10.10.全面预算全面预算20.20.内部审计内部审计3 3、业务层面控制、业务层面控制2021-7-30593 3、业务层面控制、业务层面控制内控流程内控流程2.2 2.2 原油原油采购采购业务业务2.3 2.3 一般物资采购供应业务一般物资采购供应业务2.

52、42.4 成品油采购业务成品油采购业务采购类控制流程采购类控制流程( (举例举例) )2.1 2.1 原油配置运输业务原油配置运输业务4.2 4.2 原油销售原油销售4.3 4.3 天然气销售天然气销售4.44.4 化工产品销售化工产品销售销售类销售类控制流程控制流程( (举例举例) )4.1 4.1 一般产品销售一般产品销售2021-7-30603 3、业务层面控制、业务层面控制内控流程内控流程内部内部控制流程控制流程财务报告计划矩阵财务报告计划矩阵 适用范围适用范围 控制目标控制目标 示意图示意图 控制矩阵控制矩阵 相关制度相关制度例：例： 2.3 2.3 一般物资采购供应业务一般物资采购

53、供应业务2021-7-30613.1 3.1 适用范围适用范围明确某项业务控制的具体范围2021-7-30623.2 3.2 控制目标控制目标按照企业内部控制基本规范，从业务层面识别、描述战略目标、经营目标、财务目标、资产安全目标及合规目标2021-7-30633.3 3.3 控制矩阵控制矩阵以矩阵式结构描述经济业务执行程序和控制措施，重点规范业务操作与管以矩阵式结构描述经济业务执行程序和控制措施，重点规范业务操作与管理行为，逐一描述控制目标、风险识别、控制点、责任部门（单位）、对理行为，逐一描述控制目标、风险识别、控制点、责任部门（单位）、对应系统业务流程、权限索引、控制文档、会计报表项目应

54、系统业务流程、权限索引、控制文档、会计报表项目三、内部控制矩阵控制目标风险编号控制点责任部门/单位对应系统流程权限索引控制文档会计报表项目自动链接自动链接风险清单风险清单自动链接自动链接权限指引权限指引基于基于ERPERP系统操作手册的系统操作手册的805805个业务流程和资金集中管理个业务流程和资金集中管理系统的系统的120120 个业务流程，识别并记录与系统控制点相关个业务流程，识别并记录与系统控制点相关的的233233个个ERPERP业务流程和业务流程和4444 个资金集中系统业务流程个资金集中系统业务流程2021-7-3064ITIT应用控制与系统操作对应应用控制与系统操作对应2021

55、-7-3065ITIT应用控制相关业务流程应用控制相关业务流程ERP模块/应用系统业务流程ERP模块/应用系统业务流程CO油气生产成本管理 SD一般产品销售业务 炼化生产成本管理成品油零售管理业务MM/MRO原油采购业务成品油直销及分销业务一般物资采购供应业务燃料油销售业务成品油采购业务润滑油销售业务燃料油采购业务化工产品销售业务 润滑油采购业务原油销售业务 存货管理天然气销售业务 FI应收款项管理PS/PM研究与开发管理油气资产管理资本支出管理固定资产管理无形资产管理勘探开发项目管理商品流通费用管理工程项目管理期间费用管理 固定资产修理管理资金集中系统 筹资业务TR全面预算管理承兑汇票管理加

56、油卡系统加油卡管理货币资金管理会计集中系统财务报告业务2021-7-30663.4 3.4 相关制度相关制度与具体业务相关的法律法规以及集团（股份）总部制定的内部管理制度2021-7-30673.5 3.5 示意图示意图以流程图的方式，将具体业务的控制步骤和关键控制点以简图加以直观反映2021-7-30684 4、权限指引、权限指引权限指引说明权限指引说明权限指引权限指引公司章程三重一大现行制度职责分工权限指引：针对各业务关键环节和权限指引：针对各业务关键环节和经济活动，按照权责匹配的原则，经济活动，按照权责匹配的原则，明确公司各层级的集体决策和个人明确公司各层级的集体决策和个人审批权限。审批

57、权限。2021-7-3069 内部往来业务从宽，直接对外的业务事项从严内部往来业务从宽，直接对外的业务事项从严 经批准的预算（计划）内授权从宽，预算外从严经批准的预算（计划）内授权从宽，预算外从严 常规授权从宽，特别授权及转授权从严常规授权从宽，特别授权及转授权从严 权限权限控制指标的设置原则控制指标的设置原则4.1 4.1 权限定义和设置原则权限定义和设置原则 权限权限控制指标的定义控制指标的定义权限指引权限指引中的权限为该项业务的决定权、审批权、中的权限为该项业务的决定权、审批权、最终处置权，不包括过程中的建议权、拟议权。最终处置权，不包括过程中的建议权、拟议权。2021-7-30704.

58、2 4.2 权限指引的企业分类及应用权限指引的企业分类及应用 按照企业的业务规模分为大、中、小三类按照企业的业务规模分为大、中、小三类 不同板块的企业，根据业务性质设置不同权限不同板块的企业，根据业务性质设置不同权限 企业在实施过程中可以制订向下延伸的权限级别企业在实施过程中可以制订向下延伸的权限级别2021-7-30714.3 4.3 权限指引结构权限指引结构 权限指引权限指引列表，以矩阵式表格描述，由列表，以矩阵式表格描述，由横向、纵向两个指标体系构成。横向、纵向两个指标体系构成。 编制权限指引说明，对权限指引表中事项进编制权限指引说明，对权限指引表中事项进行统一解释，便于应用。行统一解释

59、，便于应用。2021-7-3072中国石化内控手册：企业内控实施细则指导意见：4.4 4.4 权限指引表权限指引表2021-7-30735 5、检查评价与考核办法、检查评价与考核办法总则：定义、原则、评价职责、日常监督机制总则：定义、原则、评价职责、日常监督机制评价内容：五要素评价内容：五要素评价程序和方法评价程序和方法：内控内控缺陷认定缺陷认定：财务报告、非财务报告：财务报告、非财务报告评价报告编制评价报告编制报告与披露报告与披露内部控制考核内部控制考核评价资料保管评价资料保管2021-7-30745.1 5.1 内部控制评价体系内部控制评价体系内部控制内部控制评价评价内控日常监督内控日常监

60、督 责任单位季度责任单位季度测试测试 企业年度自查企业年度自查 总部部门对口评价总部部门对口评价 内控部门专项检查内控部门专项检查管理层综合检查管理层综合检查（授权审计部）（授权审计部）对内外部各种检查发现对内外部各种检查发现的内控问题的内控问题，按照，按照缺陷标准进行认定，采取倒扣分形式。缺陷标准进行认定，采取倒扣分形式。2021-7-30755.2 5.2 内控缺陷认定标准内控缺陷认定标准重大缺陷重大缺陷重要缺陷重要缺陷一般缺陷一般缺陷内部控制缺陷内部控制缺陷定性标准定性标准定量标准定量标准2021-7-30765.3 5.3 内控自我评价流程图内控自我评价流程图6. 6. 编制编制自我评