内部控制评价( )课件

04十一月20221内部控制评价(PPT80页)01十一月20221内部控制评价(PPT80页)美国的安然事件催生了内部控制强制评价和信息披露。美国最先对内部控制评价和信息披露做出了详细规定。美国的安然事件催生了内部控制强制评价和信息披露。美国最先对内一、内部控制评价的概述

内部控制评价公司管理层对财务报告内部控制有效性的报告内部控制有效性的对外报告内部控制缺陷、舞弊的对内报告注册会计师对财务报告内部控制的审计注册会计师的审计报告对管理层评价的鉴证对内部控制有效性的评价内部控制报告美国上市公司内部控制评价与报告体系（ASNO.2)一、内部控制评价的概述

内部控制评价公司管理层对财务报告内部公司管理层注册会计师财务报告内部控制对内报告对外报告内部控制总体运行情况财务报告内部控制有效性的结论审计报告对财务报告内部控制有效性的审计意见内部控制报告评价审计美国上市公司内部控制评价与报告体系（ASNO.5)公司管理层注册会计师财务报告内部控制对内报告对外报告内部控制规定内容摘要出台日期生效日期上海证券交易所：《上海证券交易所上市公司内部控制指引》要求上市公司董事会应在年度报告披露的同时，披露年度内部控制自我评估报告，并披露会计师事务所对内部控制自我评估报告的核实评价意见。2006/6/42006/7/1深圳证券交易所：《深圳证券交易所上市公司内部控制指引》要求上市公司董事会应在年度报告披露的同时，披露年度内部控制自我评估报告，并披露会计师事务所对内部控制自我评估报告的核实评价意见。2006/9/282007/7/1财政部等5部委：《企业内部控制基本规范》财政部发布《企业内部控制基本规范》，要求上市公司必须、鼓励其他大中型企业，制定内部控制制度并实施有效的内部控制，要求其对内部控制的有效性进行自我评价、披露年度自我评价报告、并应委托会计师事务所对财务报告内部控制的有效性进行审计，出具审计报告。2008/6/282009/7/1我国上市公司内部控制评价报告披露的历史沿革规定内容摘要出台日期生效日期上海证券交易所：《上海证券交易所注：2012年纳入实施范围的上市公司共853家，其中境内外同时上市公司76家，国有控股主板上市公司777家。注：2012年纳入实施范围的上市公司共853家，其中境内外同《关于2012年主板上市公司分类分批实施

企业内部控制规范体系的通知》1、2012年全面实施内控规范体系的范围包括：中央和地方国有控股上市公司；2、2013年全面实施内控规范体系的范围包括：非国有控股主板上市公司，且于2011年12月31日公司总市值>50亿元，同时2009年至2011年平均净利润>3000万元的上市公司；3、2014年全面实施内控规范体系的范围包括：除1、2之外的其他主板上市公司；4、特殊情况：进行破产重整、借壳上市或重大资产重组的主板上市公司无法按照规定时间建立健全内控体系的，原则上应在相关交易完成后的下一个会计年度年报披露的同时，披露内部控制自我评价报告和审计报告，且不早于参照上述1至3原则确定的披露时间；新上市的主板上市公司应于上市当年开始建设内控体系，并在上市的下一年度年报披露的同时，披露内部控制自我评价报告和审计报告《关于2012年主板上市公司分类分批实施

企业内部控制规范体主要内容一、内部控制评价的概述二、内部控制评价的内容三、内部控制评价的程序主要内容一、内部控制评价的概述一、内部控制评价的概述

内控评价的内涵是什么？内控评价的对象是什么？评价的责任主体是谁？评价的原则有哪些？评价的组织实施者是谁？

评价的依据是什么？一、内部控制评价的概述

内控评价的内涵是什么？

评价的内涵是什么?

企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。具体而言，即指按照规定的程序、方法和标准，对已经建立和实施的内控体系，从设计有效性和运行有效性两个方面对内部控制有效性进行测试、评估和报告的过程。一、内部控制评价的概述评价的内涵是什么?一、内部控制评价的概述

评价的对象是什么?

内控评价的对象是内控的有效性，即企业建立与实施内控对实现控制目标提供合理保证的程度。1.设计有效性：为实现控制目标所必需的内部控制要素都存在并且设计恰当；2.运行有效性:现有内部控制规定程序得到了正确执行.评价应立足于“合理保证”而非“绝对保证”一、内部控制评价的概述评价的对象是什么?一、内部控制评价的概述

评价的原则有哪些？

--全面性：设计和运行/企业及其所属单位的各种业务和事项。

--重要性：既全面，更应关注重要业务单位、重大业务事项和高风险领域。

--客观性：准确揭示经营管理风险状况，如实反映内控设计和运行有效性。

一、内部控制评价的概述评价的原则有哪些？一、内部控制评价的概述

评价的责任主体是谁？

基本规范第12条：董事会负责内部控制的建立健全和有效实施。

董事会

（企业内部：责任要分解）一、内部控制评价的概述评价的责任主体是谁？一、内部控制评价的概述

评价组织实施者是谁？领导：审计委员会组织：经理层

操作层：内控评价机构（内部审计机构/专门的内控评价机构/非常设的内控评价小组/中介机构)

各专业部门及企业所属单位应组织本部门或本单位的内控自查、测试和评价的工作。

一、内部控制评价的概述评价组织实施者是谁？一、内部控制评价的概述

评价的依据是什么？

--企业内部控制基本规范

--企业内部控制配套指引

--本企业内部控制制度

--其他依据：如境外上市地的法律法规及监管机构的规定。如美国SEC的解释性指南等。

一、内部控制评价的概述评价的依据是什么？一、内部控制评价的概述

评价与内部监督有何关系？

--自我评价从属于内部监督，是监督结果的总体体现；

--自我评价要倚重日常监督和专项监督。一、内部控制评价的概述评价与内部监督有何关系？一、内部控制评价的概述评价的内容有哪些?

总体内容：内部环境风险评估控制活动信息沟通内部监督具体评价内容应在建立内控核心指标体系的基础上分层次展开。

分层次评价：公司层面/业务层面

二、内部控制评价的内容评价的内容有哪些?二、内部控制评价的内容

评价的频率有无硬性规定……

基本规范第46条：

内部控制自我评价的方式、范围、程序和频率，由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。国家有关法律法规另有规定的，从其规定。

外部监管要求：披露年报时，要披露自我评价报告。其他情况下：IPO。二、内部控制评价的内容评价的频率有无硬性规定……二、内部控制评价的内容否明确企业内部控制目标制定内部控制评价方案报董事会审批评价方案是否通过审批否组成评价工作组是实施内部控制现场检查与测试是否存在缺陷是设计缺陷运行缺陷编制现场报告，并向被评价单位通报编制企业内部控制评价报告跟踪缺陷的整改落实情况汇总内部控制评价流程

三、内部控制评价的程序否明确企业内部控制目标制定内部控制评价方案报董事会审批评价方应当明确：

评价主体范围

工作任务

人员组织

进度安排

费用预算应当明确：现场测试方法:

个别访谈调查问卷专题讨论

穿行测试

实地查验抽样法

重新执行比较分析等…..综合运用现场测试方法:综合运用

内控缺陷的分类

1.按类别:

设计缺陷和运行缺陷

2.按程度:

重大缺陷重要缺陷一般缺陷

3.按影响目标的具体表现形式:财务报告缺陷、非财务报告缺陷内控缺陷的分类设计缺陷是指缺少为实现控制目标所必需的控制，或现存控制设计不适当、即使正常运行也难以实现控制目标。运行缺陷是指现存设计完好的控制没有按设计意图运行，或执行者没有获得必要授权或缺乏胜任能力以有效地实施控制。设计缺陷是指缺少为实现控制目标所必需的控制，或现存控制设计不重大缺陷，是指一个或多个一般缺陷的组合，可能严重影响内部整体控制的有效性，进而导致企业无法及时防范或发现严重偏离整体控制目标的情形。当一个企业存在的内控缺陷达到了重大缺陷的程度，就不能说这个企业的内控是整体有效的。重要缺陷，是指一个或多个一般缺陷的组合，其严重程度低于重大缺陷，但导致企业无法及时防范或发现偏离整体控制目标的严重程度依然重大，须引起企业董事会、经理层关注。一般缺陷，除重大缺陷与重要缺陷以外的其他控制缺陷。重大缺陷，是指一个或多个一般缺陷的组合，可能严重影响内部整体财务报告内控缺陷，不能合理保证财务报告可靠性的内部控制设计与运行缺陷，换句话说，就是指不能及时防止或发现并纠正财务报表错报的内部控制缺陷。非财务报告内控缺陷，不能合理保证企业的战略目标、经营目标、合规性目标的内控设计与运行缺陷。财务报告内控缺陷，不能合理保证财务报告可靠性的内部控制设计与

内控缺陷的认定标准《评价指引》第十六条规定，企业对内控缺陷的认定，应以构成内控的内部监督要素中的日常监督和专项监督为基础，结合年度内部控制评价，由内部控制评价机构进行综合分析后提出认定意见，按规定的权限和程序进行审核，由董事会予以最终确定。认定标准一经确定，必须在不同评价期间保持一致。内控缺陷的认定标准内控缺陷财务报告内控缺陷非财务报告内控缺陷设计缺陷运行缺陷设计缺陷运行缺陷重大缺陷重要缺陷一般缺陷定性标准定量标准重大缺陷重要缺陷一般缺陷定性标准定量标准内控缺陷财务报告内控缺陷非财务报告内控缺陷设计缺陷运行缺陷设财务报告内控缺陷的认定重大缺陷：如果一项内部控制缺陷单独或连同其他缺陷具备合理可能性不能及时防止或发现并纠正财务报表中的重大错报（涉及管理层确定的财务报表的重要性水平），就应将该缺陷认定为重大缺陷。重要缺陷：如果一项内部控制缺陷单独或连同其他缺陷具备合理可能性不能及时防止或发现并纠正财务报表中虽然未达到和超过重要性水平、但仍应引起董事会和管理层重视的错报，就应将该缺陷认定为重要缺陷。注意：内部控制缺陷的严重程度并不取决于是否实际发生了错报，而是取决于是否存在不能及时防止或发现并纠正潜在错报的可能性。财务报告内控缺陷的认定注意：内部控制缺陷的严重程度并不取决于财务报告内部控制可能存在重大缺陷的常见迹象：董事、监事和高级管理人员舞弊企业更正已公布的财务报告注册会计师发现当期财务报表存在重大错报，而内部控制在运行过程中未能发现该错报企业审计委员会和内部审计机构对内部控制的监督无效财务报告内部控制可能存在重大缺陷的常见迹象：

财报审计内控审计标准无保留意见带强调事项段的无保留意见保留意见无法表示意见合计标准无保留意见98915101005带强调事项段的无保留意见(注)2081130否定意见41409披露非财务报告重大缺陷的无保留意见(注)52108合计101826711052

纳入实施范围上市公司内部控制审计意见与财务报表审计意见分布情况

财报审计标准无保留意见带强调事项段的无保留意见保留意见无法非财务报告内控缺陷的认定以下迹象通常表明非财务报告内部控制可能存在重大缺陷：（1）违反法律、法规较严重；（2）除政策性亏损原因外，企业连年亏损，持续经营受到挑战；（3）重要业务缺乏制度控制或制度系统性失效；（4）并购重组失败，或新扩充下属单位经营难以为继；（5）子公司缺乏内控制度建设，管理散乱；（6）管理层人员纷纷离开或关键岗位人员流失严重；（7）被媒体频频曝光负面新闻；内部控制评价的结果特别是重大或重要缺陷未得到整改。非财务报告内控缺陷的认定实例某集团省级公司财务报告内控缺陷认定定量标准32项目\重要程度不重要重要重大比例金额(亿)比例金额(亿)比例金额(亿)利润总额潜在错报＜3%＜0.6[3%,5%)[0.6,1)≥5%≥1资产总额潜在错报＜0.5%＜2.5[0.5%,1%)[2.5,5)≥1%≥5经营收入潜在错报＜0.5%＜0.75[0.5%,1%)[0.75,1.5)≥1%≥1.5所有者权益潜在错报＜0.5%＜1[0.5%,1%)[1,2)≥1%≥2实例32项目\重要程度不重要重要重大比例金额(亿)比例金额(实例某集团省级公司财务报告内控重大缺陷认定定性标准33

发现管理层存在任何程度的舞弊

控制环境无效

影响收益趋势的缺陷

影响关联方交易总额超过股东批准的关联交易额度的缺陷

外部审计发现的重大错报不是由公司首先发现的已经发现并报告给管理层的重大缺陷在经过合理时间后并未改正实例33发现管理层存在任何程度的舞弊注意：财务与非财务报告内控缺陷其实难以做严格的区分。在制定标准时，应本着是否直接影响财务报告的原则来区分。注意：内控缺陷的报告1、报告频率一般缺陷、重要缺陷应定期（至少每年）报告；重大缺陷应立即报告。2、向谁报告？重大、重要缺陷及整改方案，应向董（审计委员会）、经、监报告并审定。出现不适合向经理层报告的情形，应直接向董（审计委员会）、监报告。一般缺陷可向经理层报告，并视情况向董（审计委员会）、监报告。注意：重大缺陷与重要缺陷具是相对的，对于有下属单位的集团公司，如果下属单位存在重大缺陷，并不能表明集团公司存在重大缺陷，但至少应作为重要缺陷向董事会、管理层汇报。内控缺陷的报告内控缺陷整改

1.缺陷成因

2.缺陷表征

3.缺陷影响

4…..综合分析全面复核认定意见对内报告

重大缺陷整改追究相关责任内控缺陷的整改方案及期限内控缺陷整改综合分析全面复核认定意见对内报告重大缺陷整改1.编制基础:工作底稿（评价表）缺陷汇总表等

2.评价表的格式设计和内容格式：核心是“五要素”附注：对有关内容的说明内控评价报告的编制1.编制基础:工作底稿（评价表）内控评价报告的编制报告内容：至少包括

(1)董事会对内部控制真实性的声明（2）评价工作的总体情况（3）评价的依据（4）评价的范围（5）评价的程序和方法（6）缺陷及其认定情况（7）整改情况及重大缺陷拟采取的整改措施（8）内部控制有效性的结论（不存在重大缺陷——有效；存在重大缺陷——无效）报告内容：至少包括

对内报告:

——定期不定期——内容更加详尽、格式更加多样

对外报告:

——披露或报送时限:基准日后4个月内——应符合披露要求——报经董事会或类似权力机构批准后对外披露或报送相关部门——着力关注和评价自基准日（12月31日）至报出日之间发生的、影响内控有效性的因素。

对内报告:

评价资料归档

企业应当建立内部控制评价工作档案管理制度,妥善保管有关文件资料、工作底稿和证明材料评价资料归档内部控制重大缺陷未披露披露重大缺陷公司总数公司数量占比公司数量占比2012223699.64%80.36%22442013188481.49%311.34%2312上市公司内控缺陷披露情况内部控制重大缺陷未披露披露公司总数公司数量占比公司数量占内部控制有效性整体有效仅非财务报告内控无效仅财务报告内控无效财务报告内控与非财务报告内控均无效未出具总计公司数量占比公司数量占比公司数量占比公司数量占比公司数量占比

2012224199.87%00.00%10.04%20.09%00.00%22442013228798.92%90.39%80.35%60.26%20.09%2312

上市公司内部控制有效性结论披露情况内部控制有效性整体有效仅非财务报告内控无效仅财务报告内控无效内部控制缺陷认定标准披露未披露总计公司数量575278853占比67.41%32.59%100%2012年纳入实施范围上市公司内部控制缺陷认定标准披露情况内部控制缺陷认定标准披露未披露总计公司数量575278853内部控制缺陷认定标准披露未披露总计公司数量1012401052占比96.2%3.8%100%2013年纳入实施范围上市公司内部控制缺陷认定标准披露情况内部控制缺陷认定标准披露未披露总计公司数量101240105内部控制缺陷披露未披露总计公司数量245608853占比28.72%71.28%100%2012年纳入实施范围上市公司内部控制缺陷披露情况内部控制缺陷披露未披露总计公司数量245608853占比28内部控制缺陷披露未披露总计公司数量2727801052占比74.14%25.86%100%2013年纳入实施范围上市公司内部控制缺陷披露情况内部控制缺陷披露未披露总计公司数量2727801052占比7聘请内部控制咨询机构披露未披露总计公司数量382471853占比44.78%55.22%100%2012年纳入实施范围上市公司披露聘请内部控制咨询机构情况聘请内部控制咨询机构披露未披露总计公司数量382471853聘请内部控制咨询机构披露未披露总计公司数量382471853占比44.78%55.22%100%2013年纳入实施范围上市公司披露聘请内部控制咨询机构情况聘请内部控制咨询机构披露未披露总计公司数量382471853中国石油化工股份有限公司中国石油化工股份有限公司（简称“中国石化”）是中国最大的石油产品和主要石化产品生产商和供应商，中国第二大原油生产商，世界第三大炼油公司，拥有比较完备销售网络，境内外（上海、香港、纽约、伦敦）四地上市的股份制企业。2009年集团公司列世界500强第9位。中国石化现有全资子公司、控股和参股子公司、分公司等共90余家，包括油气勘探开发、炼油、化工、产品销售以及科研、外贸等，经营资产和主要市场集中在中国的东部、南部和中部地区。中国石油化工股份有限公司中国石油化工股份有限公司（简称“中国股东大会董事会股份公司总裁班子炼、化分（子）公司监事会董事会秘书局战略委员会

审计委员会薪酬与考核委员会化工事业部油田勘探开发事业部油品销售事业部炼油事业部机关职能部门总裁办公室法律事务部发展计划部生产经营管理部财务部科技开发部人事部安全环保部外事部工程部物资装备部信息系统管理部审计部监察部油田分（子）公司销售分（子）公司专业公司研发单位炼油部分化工部分中国石化组织结构股东大会董事会股份公司总裁班子炼、化监事会董事会秘书局战略委中国石化内控制度的建设过程2003年上半年2003年7-10月2003年11月2004年2004年10月董事会批准2002年下半年管理层讨论与分析、统一认识2005年正式实施持续完善总部成立领导小组、编制内控手册总部组织到18家企业测试、定稿动员培训、全面试行总部部门编工作流程、分公司编实施细则结合试行、组织修订中国石化内控制度的建设过程2003年上半年2003年7-10中国石化内控制度体系内部控制度体系中国石化《内部控制手册》（上、下册）内部控制相关的管理制度（上、中、下册）分公司《实施细则》子公司《内控手册》《研究院内部控制手册》中国石化内控制度体系内部控制度体系中国石化《内部控制手册》（《内部控制手册》的结构内部控制基本要求按业务分类控制的具体程序和措施财务报告计划矩阵和业务控制矩阵相关重要附件内部控制手册的结构总则业务流程控制矩阵附则权限指引检查评价不同管理层次、级别的权限规定内控检查评价与考核《内部控制手册》的结构内部控制基本要求按业务分类控制的具体程内控手册－总则目的和意义、定义、原则、适用范围内部环境风险评估控制活动信息与沟通内部监督《内部控制手册》结构、生效、更新总则包括七个方面内控手册－总则目的和意义、定义、原则、适用范围总则包括七个方内控手册－总则内部控制：由董事会、监事会、管理层和全体员工实施的、为经营管理合规合法、资产安全、财务报告及相关信息的可靠性，经营活动的效率和效果、发展战略的实现提供合理保证的过程。

五要素：内部环境、风险评估、控制活动、信息与沟通、内部监督。（一）内部控制定义、原则、适用范围内控手册－总则内部控制：由董事会、监事会、管理层和全体员工实内控手册－总则（一）内部控制定义、原则、适用范围（续）合规性原则全面性与系统性原则重要性原则内部牵制及不相容原则适应性原则包容性原则成本效益原则内控手册－总则（一）内部控制定义、原则、适用范围（续）合规性内控手册－总则合规性原则企业内控制度必须符合国家的法律、法规和政策；符合股份公司上市地（上海、香港、纽约、伦敦）证券监管机构有关上市公司的法律、法规和要求。内控手册－总则合规性原则企业内控制度必须符合国家的法律、法规内控手册－总则包容性原则《内部控制手册》是依据内控框架，充分吸收中国石化现行各项管理制度中控制风险的内容而系统编制，内容涵盖所有业务及全部所属单位。《内部控制手册》力求避免与其他制度相矛盾，尽可能包容不同企业现有的内部控制要求；对确实脱离实际的各项内部管理制度，应及时修改、完善，并以《内部控制手册》规定为准。内控手册－总则包容性原则《内部控制手册》是依据内控框架，充分内控手册－总则总部、分公司和全资子公司分公司和全资子公司按照更严、更具体、更全面的原则，结合实际制定“实施细则”，总部一般不审批。控股子公司参照制定手册按照“业务覆盖、权限比照分公司”的原则制定，履行本公司董事会审批程序。更具针对性满足体制需要（一）内部控制定义、原则、适用范围（续）内控手册－总则总部、分公司和全资子公司更具针对性满足体制需要内控手册－总则企业文化：设企业文化部，编制中石化文化建设纲要整合企业文化；员工守则：守法纪、讲诚信；治理结构：明确董事会及其审计委员会、监事会、总裁班子内控职责；组织机构：成立与调整内部组织机构应符合内控要求，设置内控机构；责任分配与授权：明确岗位分离，授权管理；人力资源政策：激励与约束相结合；反舞弊机制：建立举报投诉制度和举报人保护制度并公开；内部审计：两级审计机构，审计部门的内控职责。（二）内部环境内控手册－总则企业文化：设企业文化部，编制中石化文化建设纲要内控手册－总则总部内部控制组织机构企业改革管理部财务部人事部信息系统管理部…股份公司内部控制领导小组组长：总裁法律事务部内控办公室审计部内控手册－总则总部内部控制组织机构企业改革管理部财务部人事内控手册－总则分子公司内部控制组织机构企业内部控制领导小组组长：分公司总经理企管处财务处审计处法律处……内控办公室人事处信息处内控手册－总则分子公司内部控制组织机构企业内部控制领导小组内控手册－总则部门归口收集信息，与内控办共同识别风险，确定可接受的业务风险水平；内部风险：高管人员、体制机制、技术创新、财务状况、安全环保等；外部风险：经济市场政策、法律、社会、科技、自然环境等；风险评估机制：各级部门侧重于责任流程，内控机构侧重于系统风险。（三）风险评估内控手册－总则部门归口收集信息，与内控办共同识别风险，确定可内控手册－总则根据风险评估结果，采用相应控制措施，将风险控制在可承受度之内；控制措施：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、计划控制、预算控制、合同管理控制、资金支付控制、信息技术控制、运营分析控制和绩效考评控制等；综合运用控制措施：手工控制与自动控制、预防性控制与发现性控制相结合；建立重大风险预警机制和突发事件应急处理机制。通过编制业务流程具体控制：18大类、59个流程。（四）控制活动内控手册－总则根据风险评估结果，采用相应控制措施，将风险控制内控手册－总则信息资源归口管理，完善信息搜集机制；信息系统集中管理，完善系统沟通平台；对外信息披露由总裁办审核、提供；分级、分类，重要信息及时传递董事会、监事会和总裁班子。（五）信息与沟通内控手册－总则信息资源归口管理，完善信息搜集机制；（五）信息内控手册－总则日常监督：建立两级内部控制监督检查机制，持续性监督；专项监督：与专业部门一起对内部控制某方面的监督检查；管理层每年评价，出具内部控制自我评价报告。（六）内部监督内控手册－总则日常监督：建立两级内部控制监督检查机制，持续性内控手册－总则结构－六个部分生效－董事会审批更新－每年一次（七）《内部控制手册》结构、生效、更新内控手册－总则结构－六个部分（七）《内部控制手册》结构、生内控手册－控制流程预算采购销售成本费用资金资本支出资产关联交易合并报表重大事项信息管理与披露生产运行安全环保税务管理合同管理人力资源信息系统控制内部审计内控手册业务流程分类（18类、59个流程）内控手册－控制流程预算采购销售成本费用资金资本支出资产关联交内控手册－控制流程1.1原油采购业务流程1.2进口原油代理业务流程1.4一般物资采购业务流程……采购类控制流程4.1原油销售业务流程4.2天然气销售业务流程4.3一般产品销售业务流程……销售类控制流程内控手册－控制流程1.1原油采购业务流程1.2进口原油代理业内控手册－控制流程一般物资采购业务流程（一）业务目标（二）业务风险经营目标财务目标合规目标经营风险财务风险合规风险1.1建立“统一管理、统一采购、统一储备、统一结算”的物资采购供应管理体制。1.2按质按量按时和经济高效地满足生产建设物资需求。…2.1资金支付安全。2.2会计核算真实、准确、完整、及时。

…3.1物资采购过程公开、规范有序、合法合规。3.2物资采购合同或协议符合国家法律、法规、外贸政策和股份公司内部规章制度。…1.1分散对外采购，不能形成整体和批量采购优势，造成采购资金浪费和流失。1.2国内外采购割裂，不能在全球范围内搜寻资源，对全球供应市场行情缺乏了解、跟踪、分析和研究，价格监管不力，导致采购性能价格比不合理。…2.1资金分散使用，付款时间、方式、金额不恰当造成资金效益的流失。2.2结算不及时，多记、错记、漏记物资入库、库存或应付账款，导致财务数据不准确、不完整。…3.1制度不健全或有漏洞，执行制度不到位和监督考核不力,导致违纪违规问题发生。3.2物资采购合同或协议不符合国家法律、法规、外贸政策和股份公司内部规章制度的要求，造成损失。…内控手册－控制流程一般物资采购业务流程（一）业务目标（二）业内控手册－控制流程一般物资采购业务流程（续）（三）业务流程步骤与控制点物资供应职责的界定物资计划编制与审核采购渠道确定与控制采购价格确定与控制框架协议和采购合同签订与审批供应过程控制绩效评价、考核与监督采购资金使用和控制内控手册－控制流程一般物资采购业务流程（续）（三）业务流程步内控手册－控制流程一般物资采购业务流程控制点举例：1.5 物资供应部门内部实行计划、采购、质检、合同审核、申请付款等环节相互监督的分段管理模式。【ERP】各分（子）公司物资供应部门在ERP系统中设计计划、采购等岗位的权限时，应遵从内部牵制及不相容原则。5.3【ERP】对于超过合同有效期3个月以上未执行完成的采购订单，分（子）公司物资供应部门要及时核销。维护采购订单交货容差时依据分（子）公司相关规定执行。内控手册－控制流程一般物资采购业务流程控制点举例：内控手册－控制流程（四）相关制度目录（制度后标号为《内控手册配套规章制度汇编》目录索引号）

1.关于印发《中国石油化工股份有限公司对外贸易管理规定》的通知（石化股份外[2003]274号）1.9.1

……一般物资采购业务流程（续）内控手册－控制流程（四）相关制度目录（制度后标号为《内控手内控手册－控制流程一般产品销售业务流程（一）业务目标（二）业务风险经营目标财务目标合规目标经营风险财务风险合规风险1.1获取经营利润。1.2扩大市场份额。

…2.1核算规范，保证销售收入及应收账款的真实、准确、完整。

…3.1产品销售符合国家有关法律、法规和股份公司内部规章制度。

…1.1随意降价导致收入减少。1.2擅自提价导致市场丢失。…2.1虚增或截留收入，多记或少记应收账款，导致财务数据失真。2.2核算不正确，造成财务数据不准确。…3.1产品销售不符合国家有关法律、法规和股份公司内部规章制度，受到处罚。3.2产品销售合同不符合合同法等国家法律、法规和股份公司内部规章制度的要求，造成损失。…内控手册－控制流程一般产品销售业务流程（一）业务目标（二）业内控手册－控制流程一般产品销售业务流程（续）（三）业务流程步骤与控制点接受客户订单与编制销售计划客户主数据维护和信用审核确定销售价格签订销售合同开票和收款发货财务记账编制销售日报表催收账款月末盘点分析与考核内控手册－控制流程一般产品销售业务流程（续）（三）业务流程步内控手册－控制流程一般产品销售业务流程控制点举例：2.1主数据维护员按审核后的客户信息在ERP系统中维护客户主数据。系统信用主数据应设置为高风险级别或零信用。

2.2分（子）公司营销和财务等部门共同建立客户信用动态档案，并至少每年更新一次，由不相容岗位人员提出划分、调整客户信用等级的方案；根据客户信用等级和企业信用政策，拟定客户信用具体的限额和时限，经营销及财务部门负责人审核后，报分（子）公司经理或信用管理领导小组审批。财务部门按照审批结果在ERP系统中维护客户信用主数据。内控手册－控制流程一般产品销售业务流程控制点举例：内控手册－控制流程（四）相关制度目录（制度后标号为《内控手册配套规章制度汇编》目录索引号）1.关于印发《中国石油化工股份有限公司应收款项管理实施细则》的通知（石化股份财[2007]506号）

----1.6.4

……一般产品销售业务流程（续）内控手册－控制流程（四）相关制度目录（制度后标号为《内控手内控手册－控制流程控制点合计管理相关控制点与财务报告相关控制点ERP控制点数量12728434291612009版内控手册共计1272个控制点，分类如下：内控手册－控制流程控制点合计管理相关控制点与财务报告相关控制内控手册－检查评价办法内控检查评价体系每年检查总部部门和一定数量的分（子）公司、研究院，其中审计部25家。至少每年一次内控检查评价指引总部部门检查评价考核实施细则单位自查股份公司年度综合检查评价检查评价办法综合检查评价（企业）测试（总部）至少每半年一次测试（企业）至少每半年一次企业自查指导意见内控手册－检查评价办法内控检查评价体系每年检查总部部门和一定04十一月202280内部控制评价(PPT80页)01十一月20221内部控制评价(PPT80页)美国的安然事件催生了内部控制强制评价和信息披露。美国最先对内部控制评价和信息披露做出了详细规定。美国的安然事件催生了内部控制强制评价和信息披露。美国最先对内一、内部控制评价的概述

内部控制评价公司管理层对财务报告内部控制有效性的报告内部控制有效性的对外报告内部控制缺陷、舞弊的对内报告注册会计师对财务报告内部控制的审计注册会计师的审计报告对管理层评价的鉴证对内部控制有效性的评价内部控制报告美国上市公司内部控制评价与报告体系（ASNO.2)一、内部控制评价的概述

内部控制评价公司管理层对财务报告内部公司管理层注册会计师财务报告内部控制对内报告对外报告内部控制总体运行情况财务报告内部控制有效性的结论审计报告对财务报告内部控制有效性的审计意见内部控制报告评价审计美国上市公司内部控制评价与报告体系（ASNO.5)公司管理层注册会计师财务报告内部控制对内报告对外报告内部控制规定内容摘要出台日期生效日期上海证券交易所：《上海证券交易所上市公司内部控制指引》要求上市公司董事会应在年度报告披露的同时，披露年度内部控制自我评估报告，并披露会计师事务所对内部控制自我评估报告的核实评价意见。2006/6/42006/7/1深圳证券交易所：《深圳证券交易所上市公司内部控制指引》要求上市公司董事会应在年度报告披露的同时，披露年度内部控制自我评估报告，并披露会计师事务所对内部控制自我评估报告的核实评价意见。2006/9/282007/7/1财政部等5部委：《企业内部控制基本规范》财政部发布《企业内部控制基本规范》，要求上市公司必须、鼓励其他大中型企业，制定内部控制制度并实施有效的内部控制，要求其对内部控制的有效性进行自我评价、披露年度自我评价报告、并应委托会计师事务所对财务报告内部控制的有效性进行审计，出具审计报告。2008/6/282009/7/1我国上市公司内部控制评价报告披露的历史沿革规定内容摘要出台日期生效日期上海证券交易所：《上海证券交易所注：2012年纳入实施范围的上市公司共853家，其中境内外同时上市公司76家，国有控股主板上市公司777家。注：2012年纳入实施范围的上市公司共853家，其中境内外同《关于2012年主板上市公司分类分批实施

企业内部控制规范体系的通知》1、2012年全面实施内控规范体系的范围包括：中央和地方国有控股上市公司；2、2013年全面实施内控规范体系的范围包括：非国有控股主板上市公司，且于2011年12月31日公司总市值>50亿元，同时2009年至2011年平均净利润>3000万元的上市公司；3、2014年全面实施内控规范体系的范围包括：除1、2之外的其他主板上市公司；4、特殊情况：进行破产重整、借壳上市或重大资产重组的主板上市公司无法按照规定时间建立健全内控体系的，原则上应在相关交易完成后的下一个会计年度年报披露的同时，披露内部控制自我评价报告和审计报告，且不早于参照上述1至3原则确定的披露时间；新上市的主板上市公司应于上市当年开始建设内控体系，并在上市的下一年度年报披露的同时，披露内部控制自我评价报告和审计报告《关于2012年主板上市公司分类分批实施

企业内部控制规范体主要内容一、内部控制评价的概述二、内部控制评价的内容三、内部控制评价的程序主要内容一、内部控制评价的概述一、内部控制评价的概述

内控评价的内涵是什么？内控评价的对象是什么？评价的责任主体是谁？评价的原则有哪些？评价的组织实施者是谁？

评价的依据是什么？一、内部控制评价的概述

内控评价的内涵是什么？

评价的内涵是什么?

企业董事会或类似权力机构对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。具体而言，即指按照规定的程序、方法和标准，对已经建立和实施的内控体系，从设计有效性和运行有效性两个方面对内部控制有效性进行测试、评估和报告的过程。一、内部控制评价的概述评价的内涵是什么?一、内部控制评价的概述

评价的对象是什么?

内控评价的对象是内控的有效性，即企业建立与实施内控对实现控制目标提供合理保证的程度。1.设计有效性：为实现控制目标所必需的内部控制要素都存在并且设计恰当；2.运行有效性:现有内部控制规定程序得到了正确执行.评价应立足于“合理保证”而非“绝对保证”一、内部控制评价的概述评价的对象是什么?一、内部控制评价的概述

评价的原则有哪些？

--全面性：设计和运行/企业及其所属单位的各种业务和事项。

--重要性：既全面，更应关注重要业务单位、重大业务事项和高风险领域。

--客观性：准确揭示经营管理风险状况，如实反映内控设计和运行有效性。

一、内部控制评价的概述评价的原则有哪些？一、内部控制评价的概述

评价的责任主体是谁？

基本规范第12条：董事会负责内部控制的建立健全和有效实施。

董事会

（企业内部：责任要分解）一、内部控制评价的概述评价的责任主体是谁？一、内部控制评价的概述

评价组织实施者是谁？领导：审计委员会组织：经理层

操作层：内控评价机构（内部审计机构/专门的内控评价机构/非常设的内控评价小组/中介机构)

各专业部门及企业所属单位应组织本部门或本单位的内控自查、测试和评价的工作。

一、内部控制评价的概述评价组织实施者是谁？一、内部控制评价的概述

评价的依据是什么？

--企业内部控制基本规范

--企业内部控制配套指引

--本企业内部控制制度

--其他依据：如境外上市地的法律法规及监管机构的规定。如美国SEC的解释性指南等。

一、内部控制评价的概述评价的依据是什么？一、内部控制评价的概述

评价与内部监督有何关系？

--自我评价从属于内部监督，是监督结果的总体体现；

--自我评价要倚重日常监督和专项监督。一、内部控制评价的概述评价与内部监督有何关系？一、内部控制评价的概述评价的内容有哪些?

总体内容：内部环境风险评估控制活动信息沟通内部监督具体评价内容应在建立内控核心指标体系的基础上分层次展开。

分层次评价：公司层面/业务层面

二、内部控制评价的内容评价的内容有哪些?二、内部控制评价的内容

评价的频率有无硬性规定……

基本规范第46条：

内部控制自我评价的方式、范围、程序和频率，由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。国家有关法律法规另有规定的，从其规定。

外部监管要求：披露年报时，要披露自我评价报告。其他情况下：IPO。二、内部控制评价的内容评价的频率有无硬性规定……二、内部控制评价的内容否明确企业内部控制目标制定内部控制评价方案报董事会审批评价方案是否通过审批否组成评价工作组是实施内部控制现场检查与测试是否存在缺陷是设计缺陷运行缺陷编制现场报告，并向被评价单位通报编制企业内部控制评价报告跟踪缺陷的整改落实情况汇总内部控制评价流程

三、内部控制评价的程序否明确企业内部控制目标制定内部控制评价方案报董事会审批评价方应当明确：

评价主体范围

工作任务

人员组织

进度安排

费用预算应当明确：现场测试方法:

个别访谈调查问卷专题讨论

穿行测试

实地查验抽样法

重新执行比较分析等…..综合运用现场测试方法:综合运用

内控缺陷的分类

1.按类别:

设计缺陷和运行缺陷

2.按程度:

重大缺陷重要缺陷一般缺陷

3.按影响目标的具体表现形式:财务报告缺陷、非财务报告缺陷内控缺陷的分类设计缺陷是指缺少为实现控制目标所必需的控制，或现存控制设计不适当、即使正常运行也难以实现控制目标。运行缺陷是指现存设计完好的控制没有按设计意图运行，或执行者没有获得必要授权或缺乏胜任能力以有效地实施控制。设计缺陷是指缺少为实现控制目标所必需的控制，或现存控制设计不重大缺陷，是指一个或多个一般缺陷的组合，可能严重影响内部整体控制的有效性，进而导致企业无法及时防范或发现严重偏离整体控制目标的情形。当一个企业存在的内控缺陷达到了重大缺陷的程度，就不能说这个企业的内控是整体有效的。重要缺陷，是指一个或多个一般缺陷的组合，其严重程度低于重大缺陷，但导致企业无法及时防范或发现偏离整体控制目标的严重程度依然重大，须引起企业董事会、经理层关注。一般缺陷，除重大缺陷与重要缺陷以外的其他控制缺陷。重大缺陷，是指一个或多个一般缺陷的组合，可能严重影响内部整体财务报告内控缺陷，不能合理保证财务报告可靠性的内部控制设计与运行缺陷，换句话说，就是指不能及时防止或发现并纠正财务报表错报的内部控制缺陷。非财务报告内控缺陷，不能合理保证企业的战略目标、经营目标、合规性目标的内控设计与运行缺陷。财务报告内控缺陷，不能合理保证财务报告可靠性的内部控制设计与

内控缺陷的认定标准《评价指引》第十六条规定，企业对内控缺陷的认定，应以构成内控的内部监督要素中的日常监督和专项监督为基础，结合年度内部控制评价，由内部控制评价机构进行综合分析后提出认定意见，按规定的权限和程序进行审核，由董事会予以最终确定。认定标准一经确定，必须在不同评价期间保持一致。内控缺陷的认定标准内控缺陷财务报告内控缺陷非财务报告内控缺陷设计缺陷运行缺陷设计缺陷运行缺陷重大缺陷重要缺陷一般缺陷定性标准定量标准重大缺陷重要缺陷一般缺陷定性标准定量标准内控缺陷财务报告内控缺陷非财务报告内控缺陷设计缺陷运行缺陷设财务报告内控缺陷的认定重大缺陷：如果一项内部控制缺陷单独或连同其他缺陷具备合理可能性不能及时防止或发现并纠正财务报表中的重大错报（涉及管理层确定的财务报表的重要性水平），就应将该缺陷认定为重大缺陷。重要缺陷：如果一项内部控制缺陷单独或连同其他缺陷具备合理可能性不能及时防止或发现并纠正财务报表中虽然未达到和超过重要性水平、但仍应引起董事会和管理层重视的错报，就应将该缺陷认定为重要缺陷。注意：内部控制缺陷的严重程度并不取决于是否实际发生了错报，而是取决于是否存在不能及时防止或发现并纠正潜在错报的可能性。财务报告内控缺陷的认定注意：内部控制缺陷的严重程度并不取决于财务报告内部控制可能存在重大缺陷的常见迹象：董事、监事和高级管理人员舞弊企业更正已公布的财务报告注册会计师发现当期财务报表存在重大错报，而内部控制在运行过程中未能发现该错报企业审计委员会和内部审计机构对内部控制的监督无效财务报告内部控制可能存在重大缺陷的常见迹象：

财报审计内控审计标准无保留意见带强调事项段的无保留意见保留意见无法表示意见合计标准无保留意见98915101005带强调事项段的无保留意见(注)2081130否定意见41409披露非财务报告重大缺陷的无保留意见(注)52108合计101826711052

纳入实施范围上市公司内部控制审计意见与财务报表审计意见分布情况

财报审计标准无保留意见带强调事项段的无保留意见保留意见无法非财务报告内控缺陷的认定以下迹象通常表明非财务报告内部控制可能存在重大缺陷：（1）违反法律、法规较严重；（2）除政策性亏损原因外，企业连年亏损，持续经营受到挑战；（3）重要业务缺乏制度控制或制度系统性失效；（4）并购重组失败，或新扩充下属单位经营难以为继；（5）子公司缺乏内控制度建设，管理散乱；（6）管理层人员纷纷离开或关键岗位人员流失严重；（7）被媒体频频曝光负面新闻；内部控制评价的结果特别是重大或重要缺陷未得到整改。非财务报告内控缺陷的认定实例某集团省级公司财务报告内控缺陷认定定量标准111项目\重要程度不重要重要重大比例金额(亿)比例金额(亿)比例金额(亿)利润总额潜在错报＜3%＜0.6[3%,5%)[0.6,1)≥5%≥1资产总额潜在错报＜0.5%＜2.5[0.5%,1%)[2.5,5)≥1%≥5经营收入潜在错报＜0.5%＜0.75[0.5%,1%)[0.75,1.5)≥1%≥1.5所有者权益潜在错报＜0.5%＜1[0.5%,1%)[1,2)≥1%≥2实例32项目\重要程度不重要重要重大比例金额(亿)比例金额(实例某集团省级公司财务报告内控重大缺陷认定定性标准112

发现管理层存在任何程度的舞弊

控制环境无效

影响收益趋势的缺陷

影响关联方交易总额超过股东批准的关联交易额度的缺陷

外部审计发现的重大错报不是由公司首先发现的已经发现并报告给管理层的重大缺陷在经过合理时间后并未改正实例33发现管理层存在任何程度的舞弊注意：财务与非财务报告内控缺陷其实难以做严格的区分。在制定标准时，应本着是否直接影响财务报告的原则来区分。注意：内控缺陷的报告1、报告频率一般缺陷、重要缺陷应定期（至少每年）报告；重大缺陷应立即报告。2、向谁报告？重大、重要缺陷及整改方案，应向董（审计委员会）、经、监报告并审定。出现不适合向经理层报告的情形，应直接向董（审计委员会）、监报告。一般缺陷可向经理层报告，并视情况向董（审计委员会）、监报告。注意：重大缺陷与重要缺陷具是相对的，对于有下属单位的集团公司，如果下属单位存在重大缺陷，并不能表明集团公司存在重大缺陷，但至少应作为重要缺陷向董事会、管理层汇报。内控缺陷的报告内控缺陷整改

1.缺陷成因

2.缺陷表征

3.缺陷影响

4…..综合分析全面复核认定意见对内报告

重大缺陷整改追究相关责任内控缺陷的整改方案及期限内控缺陷整改综合分析全面复核认定意见对内报告重大缺陷整改1.编制基础:工作底稿（评价表）缺陷汇总表等

2.评价表的格式设计和内容格式：核心是“五要素”附注：对有关内容的说明内控评价报告的编制1.编制基础:工作底稿（评价表）内控评价报告的编制报告内容：至少包括

(1)董事会对内部控制真实性的声明（2）评价工作的总体情况（3）评价的依据（4）评价的范围（5）评价的程序和方法（6）缺陷及其认定情况（7）整改情况及重大缺陷拟采取的整改措施（8）内部控制有效性的结论（不存在重大缺陷——有效；存在重大缺陷——无效）报告内容：至少包括

对内报告:

——定期不定期——内容更加详尽、格式更加多样

对外报告:

——披露或报送时限:基准日后4个月内——应符合披露要求——报经董事会或类似权力机构批准后对外披露或报送相关部门——着力关注和评价自基准日（12月31日）至报出日之间发生的、影响内控有效性的因素。

对内报告:

评价资料归档

企业应当建立内部控制评价工作档案管理制度,妥善保管有关文件资料、工作底稿和证明材料评价资料归档内部控制重大缺陷未披露披露重大缺陷公司总数公司数量占比公司数量占比2012223699.64%80.36%22442013188481.49%311.34%2312上市公司内控缺陷披露情况内部控制重大缺陷未披露披露公司总数公司数量占比公司数量占内部控制有效性整体有效仅非财务报告内控无效仅财务报告内控无效财务报告内控与非财务报告内控均无效未出具总计公司数量占比公司数量占比公司数量占比公司数量占比公司数量占比

2012224199.87%00.00%10.04%20.09%00.00%22442013228798.92%90.39%80.35%60.26%20.09%2312

上市公司内部控制有效性结论披露情况内部控制有效性整体有效仅非财务报告内控无效仅财务报告内控无效内部控制缺陷认定标准披露未披露总计公司数量575278853占比67.41%32.59%100%2012年纳入实施范围上市公司内部控制缺陷认定标准披露情况内部控制缺陷认定标准披露未披露总计公司数量575278853内部控制缺陷认定标准披露未披露总计公司数量1012401052占比96.2%3.8%100%2013年纳入实施范围上市公司内部控制缺陷认定标准披露情况内部控制缺陷认定标准披露未披露总计公司数量101240105内部控制缺陷披露未披露总计公司数量245608853占比28.72%71.28%100%2012年纳入实施范围上市公司内部控制缺陷披露情况内部控制缺陷披露未披露总计公司数量245608853占比28内部控制缺陷披露未披露总计公司数量2727801052占比74.14%25.86%100%2013年纳入实施范围上市公司内部控制缺陷披露情况内部控制缺陷披露未披露总计公司数量2727801052占比7聘请内部控制咨询机构披露未披露总计公司数量382471853占比44.78%55.22%100%2012年纳入实施范围上市公司披露聘请内部控制咨询机构情况聘请内部控制咨询机构披露未披露总计公司数量382471853聘请内部控制咨询机构披露未披露总计公司数量382471853占比44.78%55.22%100%2013年纳入实施范围上市公司披露聘请内部控制咨询机构情况聘请内部控制咨询机构披露未披露总计公司数量382471853中国石油化工股份有限公司中国石油化工股份有限公司（简称“中国石化”）是中国最大的石油产品和主要石化产品生产商和供应商，中国第二大原油生产商，世界第三大炼油公司，拥有比较完备销售网络，境内外（上海、香港、纽约、伦敦）四地上市的股份制企业。2009年集团公司列世界500强第9位。中国石化现有全资子公司、控股和参股子公司、分公司等共90余家，包括油气勘探开发、炼油、化工、产品销售以及科研、外贸等，经营资产和主要市场集中在中国的东部、南部和中部地区。中国石油化工股份有限公司中国石油化工股份有限公司（简称“中国股东大会董事会股份公司总裁班子炼、化分（子）公司监事会董事会秘书局战略委员会

审计委员会薪酬与考核委员会化工事业部油田勘探开发事业部油品销售事业部炼油事业部机关职能部门总裁办公室法律事务部发展计划部生产经营管理部财务部科技开发部人事部安全环保部外事部工程部物资装备部信息系统管理部审计部监察部油田分（子）公司销售分（子）公司专业公司研发单位炼油部分化工部分中国石化组织结构股东大会董事会股份公司总裁班子炼、化监事会董事会秘书局战略委中国石化内控制度的建设过程2003年上半年2003年7-10月2003年11月2004年2004年10月董事会批准2002年下半年管理层讨论与分析、统一认识2005年正式实施持续完善总部成立领导小组、编制内控手册总部组织到18家企业测试、定稿动员培训、全面试行总部部门编工作流程、分公司编实施细则结合试行、组织修订中国石化内控制度的建设过程2003年上半年2003年7-10中国石化内控制度体系内部控制度体系中国石化《内部控制手册》（上、下册）内部控制相关的管理制度（上、中、下册）分公司《实施细则》子公司《内控手册》《研究院内部控制手册》中国石化内控制度体系内部控制度体系中国石化《内部控制手册》（《内部控制手册》的结构内部控制基本要求按业务分类控制的具体程序和措施财务报告计划矩阵和业务控制矩阵相关重要附件内部控制手册的结构总则业务流程控制矩阵附则权限指引检查评价不同管理层次、级别的权限规定内控检查评价与考核《内部控制手册》的结构内部控制基本要求按业务分类控制的具体程内控手册－总则目的和意义、定义、原则、适用范围内部环境风险评估控制活动信息与沟通内部监督《内部控制手册》结构、生效、更新总则包括七个方面内控手册－总则目的和意义、定义、原则、适用范围总则包括七个方内控手册－总则内部控制：由董事会、监事会、管理层和全体员工实施的、为经营管理合规合法、资产安全、财务报告及相关信息的可靠性，经营活动的效率和效果、发展战略的实现提供合理保证的过程。

五要素：内部环境、风险评估、控制活动、信息与沟通、内部监督。（一）内部控制定义、原则、适用范围内控手册－总则内部控制：由董事会、监事会、管理层和全体员工实内控手册－总则（一）内部控制定义、原则、适用范围（续）合规性原则全面性与系统性原则重要性原则内部牵制及不相容原则适应性原则包容性原则成本效益原则内控手册－总则（一）内部控制定义、原则、适用范围（续）合规性内控手册－总则合规性原则企业内控制度必须符合国家的法律、法规和政策；符合股份公司上市地（上海、香港、纽约、伦敦）证券监管机构有关上市公司的法律、法规和要求。内控手册－总则合规性原则企业内控制度必须符合国家的法律、法规内控手册－总则包容性原则《内部控制手册》是依据内控框架，充分吸收中国石化现行各项管理制度中控制风险的内容而系统编制，内容涵盖所有业务及全部所属单位。《内部控制手册》力求避免与其他制度相矛盾，尽可能包容不同企业现有的内部控制要求；对确实脱离实际的各项内部管理制度，应及时修改、完善，并以《内部控制手册》规定为准。内控手册－总则包容性原则《内部控制手册》是依据内控框架，充分内控手册－总则总部、分公司和全资子公司分公司和全资子公司按照更严、更具体、更全面的原则，结合实际制定“实施细则”，总部一般不审批。控股子公司参照制定手册按照“业务覆盖、权限比照分公司”的原则制定，履行本公司董事会审批程序。更具针对性满足体制需要（一）内部控制定义、原则、适用范围（续）内控手册－总则总部、分公司和全资子公司更具针对性满足体制需要内控手册－总则企业文化：设企业文化部，编制中石化文化建设纲要整合企业文化；员工守则：守法纪、讲诚信；治理结构：明确董事会及其审计委员会、监事会、总裁班子内控职责；组织机构：成立与调整内部组织机构应符合内控要求，设置内控机构；责任分配与授权：明确岗位分离，授权管理；人力资源政策：激励与约束相结合；反舞弊机制：建立举报投诉制度和举报人保护制度并公开；内部审计：两级审计机构，审计部门的内控职责。（二）内部环境内控手册－总则企业文化：设企业文化部，编制中石化文化建设纲要内控手册－总则总部内部控制组织机构企业改革管理部财务部人事部信息系统管理部…股份公司内部控制领导小组组长：总裁法律事务部内控办公室审计部内控手册－总则总部内部控制组织机构企业改革管理部财务部人事内控手册－总则分子公司内部控制组织机构企业内部控制领导小组组长：分公司总经理企管处财务处审计处法律处……内控办公室人事处信息处内控手册－总则分子公司内部控制组织机构企业内部控制领导小组内控手册－总则部门归口收集信息，与内控办共同识别风险，确定可接受的业务风险水平；内部风险：高管人员、体制机制、技术创新、财务状况、安全环保等；外部风险：经济市场政策、法律、社会、科技、自然环境等；风险评估机制：各级部门侧重于责任流程，内控机构侧重于系统风险。（三）风险评估内控手册－总则部门归口收集信息，与内控办共同识别风险，确定可内控手册－总则根据风险评估结果，采用相应控制措施，将风险控制在可承受度之内；控制措施：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、计划控制、预算控制、合同管理控制、资金支付控制、信息技术控制、运营分析控制和绩效考评控制等；综合运用控制措施：手工控制与自动控制、预防性控制与发现性控制相结合；建立重大风险预警机制和突发事件应急处理机制。通过编制业务流程具体控制：18大类、59个流程。（四）控制活动内控手册－总则根据风险评估结果，采用相应控制措施，将风险控制内控手册－总则信息资源归口管理，完善信息搜集机制；信息系统集中管理，完善系统沟通平台；对外信息披露由总裁办审核、提供；分级、分类，重要信息及时传递董事会、监事会和总裁班子。（五）信息与沟通内控手册－总则信息资源归口管理，完善信息搜集机制；（五）信息内控手册－总则日常监督：建立两级内部控制监督检查机制，持续性监督；专项监督：与专业部门一起对内部控制某方面的监督检查；管理层每年评价，出具内部控制自我评价报告。（六）内部监督内控手册－总则日常监督：建立两级内部控制监督检查机制，持续性内控手册－总则结构－六个部分生效－董事会审批更新－每年一次（七）《内部控制手册》结构、生效、更新内控手册－总则结构－六个部分（七）《内部控制手册》结构、生内控手册－控制流程预算采购销售成本费用资金资本支出资产关联交易合并报