内部控制介绍王蕾

内部控制介绍

中国石化企业改革管理部王蕾目录一、

内控发展及基本知识二、中石化内控建设及成果三、内控运行及实施效果四、案例通报及分析五、体会与认识2022/11/282内部控制的发展2022/11/2831934年美国《证券交易法》，首先提出了"内部会计控制"的概念内部牵制1936年“内部控制”见诸于文字。AICPA《注册会计师对财务报表的审查》中首次使用了内部控制这一专门术语1949年关于内控的第一个权威定义，AICPA发表《内部控制、协调系统诸要素及其对管理部门和注册会计师的重要性》的专题报告1953年1972年1988年第一次修正第二、三次修正，最终形成《审计准则公告第1号》AICPA《审计准则公告第55号，提出内部控制结构定义1992年COSO报告，内部控制整体框架2004年COSO报告，风险管理整合框架2002年SOX法案签发内部控制制度内部控制结构内部控制整体框架风险管理框架内部控制的发展内部控制的发展2022/11/284第1阶段第2阶段

第3阶段第4阶段第5阶段四大目标，八大要素三大目标，五大要素控制环境、会计制度和控制程序会计控制和管理控制帐务核对，岗位分离五个阶段风险管理框架内部控制整合框架内部控制结构内部控制制度内部牵制国际公认的内控框架控制环境风险评估控制活动信息与沟通

内部监督内部控制——是由董事会和全体员工实施的、为经营管理合规合法、财务报告的可靠性，经营活动的效率和效果目标的实现提供合理保证的过程。COSO报告：内部控制–综合性框架COSO扩充三个要素，2004年9月推出：“企业风险管理整体架构”

2022/11/285国际公认的风险管理框架2022/11/286公司层面分支机构遵循运营战略报告分、子公司业务板块监控信息与沟通控制活动风险应对风险分析风险识别目标设定内部环境COSO企业风险管理整体框架（ERM）财政部、证监会、审计署、银监会、保监会中国企业内部控制规范体系应用指引(18个)评价指引审计指引中国内部控制规范体系基本规范（2008年5月）控制规范评价规范配套指引(2010年4月)2022/11/287中国企业内部控制规范体系附则：实施时间及解释权原则：全面性、重要性、制衡性、适应性、成本效益制定相关政策设置内部机构明确职责权限（一）内部环境（二）风险评估（三）控制活动（四）信息与沟通（五）内部监督确定风险承受度识别企业内部、外部风险进行风险分析制定风险应对策略不相容职责分离控制授权审批控制会计系统控制财产保护控制预算控制运营分析控制绩效考评控制建立信息与沟通制度提高信息有用性加强信息沟通渠道发挥信息技术作用建立反舞弊机制日常监督专项监督内控缺陷的识别和整改内控评价报告 目标：合法合规、资产安全、财务报告、效率效果、发展战略范围：大中型企业总则2022/11/288公司层面第1号组织构架第2号发展战略第3号人力资源第4号社会责任第5号企业文化业务层面第6号资金管理；第7号采购业务；第8号资产管理；第9号销售业务；第10号研究与开发；第11号工程项目；第12号担保业务；第13号业务外包；第14号财务报告；第15号全面预算；第16号合同管理；第17号内部信息传递；第18号信息系统。中国企业内部控制规范体系企业内部控制应用指引企业内部控制评价指引企业内部控制审计指引2022/11/289控制活动类控制手段类控制环境类内部控制的基本思想2022/11/2810牵制沟通监督风险导向环境基础内部控制的定义2022/11/2811经营管理合法合规资产安全财务报告及相关信息真实完整提高经营的效率和效果促进企业实现发展战略内部控制是由董事会、监事会、经理层和全体员工实施的、旨在为实现以下控制目标的过程：2022/11/2812内部控制是一个过程，而不是目的这一过程贯穿企业管理的各个层面、各个单元这一过程为企业整体目标的实现提供合理保证力求实现一个或多个不同类型但相互交叉的目标2022/11/2813控制目标风险评估内部监督控制活动内部环境表示信息与沟通为何要控制?具备什么样的控制条件?控制什么?怎样控制?如何协调?控制如何有效?内控要素1、内部环境2022/11/2814·法人治理结构·董事会与审计委员会·人力资源政策·IT技术·管理哲学与经营理念·内部控制和风险管理优先的理念·全体员工的风险防范意识·企业文化·员工道德规范和自身素质建设硬环境软环境2022/11/28152、风险评估企业层面目标评估风险可能性评估需要采取的行动业务层面目标风险识别风险评估评估风险严重性外部因素内部因素风险应对目标设定、风险识别、风险评估与风险应对的关系2022/11/28162.1目标设定企业层目标合规安全报告经营战略业务层目标要求：纵向一致+横向一致；参与度+认识感符合法律字面要求和实质精神按合理授权取得、使用和处置资产及时发布符合准则的报告高端路线、品牌领先净利润年增10%，净资产收益率不低于上年研发：产品升级与更新销售：市场份额采购：质量与特色采购量及生产量销售量及销售结构销售群体特征的信息竞争对手（尤其是同档次）信息产品（尤其是同档次）信息2022/11/28172.2风险识别①风险影响因素ⅰ目标变化或提升ⅱ外部因素

经济因素

政治与政策因素

自然因素

社会因素

技术因素ⅲ内部因素：人员、技术、流程等2022/11/28182.2风险识别（续）②风险识别技术ⅰ风险目录：风险清单ⅱ内部分析：业务单元会议（也可请客户、供应商、其他业务单元有关人员参加）ⅲ业务流程分析ⅳ损失事件数据库ⅴ前置风险指标：通用风险清单2022/11/28192.3风险评估①固有风险和剩余风险固有风险：管理层未采取任何措施情况下所面临的风险。剩余风险：管理层采取应对措施后所残余的风险。2022/11/28202.3风险评估（续）②评估方法----风险坐标图风险坐标图是把风险发生可能性的高低、风险发生后对目标的影响程度，作为两个维度绘制在同一个平面上（即绘制成直角坐标系）。定性方法：直接用文字描述风险发生可能性的高低、风险对目标的影响程度，如“极低”、“低”、“中等”、“高”、“极高”等。定量方法：对风险发生可能性的高低、风险对目标影响程度用具有实际意义的数量描述，如对风险发生可能性的高低用概率来表示，对目标影响程度用损失金额来表示。2022/11/2821极高高中等

低极低⑥②⑧⑤③①④⑦⑨B区域A区域C区域B区域极低低中等高极高影响程度可能性A区域：承担B区域：降低或分担C区域：规避2022/11/28222.4风险应对风险应对：指在风险评估的基础上采用风险承受、风险规避、风险降低、风险分担等方法控制风险。2022/11/2823选择风险应对措施确定相应的风险承受度：企业能够承担的风险限度业务层面的可接受风险水平整体风险承受能力风险降低：企业在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略。风险分担：企业准备借助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略。风险规避：企业对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。风险承受：企业对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或者减轻损失的策略。风险应对措施3、控制活动2022/11/2824控制活动是帮助确保管理层的风险应对得以实施的政策和程序。3.1职务分工：主要解决不相容职务分离2022/11/2825授权批准职务与执行业务职务相分离执行业务职务与审核监督职务相分离执行业务职务与会计记录相分离财产保管职务与会计记录相分离执行业务职务与财产保管职务相分离3.2授权批准控制2022/11/2826授权批准的范围授权批准的层次授权批准的责任授权批准的程序3.3文件记录控制2022/11/2827建立企业组织机构职能图和授权审批权限一览表建立全员岗位说明书业务程序手册会计流程与会计记录3.4全面预算控制2022/11/2828预算激励制度预算考评制度预算报告制度预算监控与调整制度预算编制程序与方法体系预算指标体系预算组织制度预算管理制度体系3.5实物保全控制2022/11/2829限制接近定期盘点记录保护财产保险财产记录监控3.6职工素质控制2022/11/2830建立严格招聘程序，保证应聘人员符合招聘要求制定员工工作规范，用以引导考核员工行为定期对员工进行培训，帮助其提高业务素质，更好完成规定的任务加强考核和奖惩力度，应定期对职工业绩进行考核，奖惩分明对重要岗位员工(如销售、采购、出纳)应建立职业信用保险机制工作岗位轮换3.7营运分析控制2022/11/2831资产负债比率资本性支出与收益性支出的规模与结构投资回报分析与投资预算资金在虚拟经济与实体经济之间的流动成本费用控制3.8信息系统控制2022/11/2832整体控制一般性控制应用控制3.9内部审计控制2022/11/2833独立性权威性4、信息与沟通2022/11/2834信息传递的真实、准确与及时通过沟通，了解个人在组织中的角色、职责与权利5、监督2022/11/2835

日常经营中的相关监督

企业内部监督机构的监督

内部控制自我评价

内部控制审计内部控制的局限性2022/11/2836内部控制设计与运行需遵循成本效益原则，这限定了其健全与有效程度内部控制针对一般性与常规性业务活动而设计，对于特殊业务则不能发挥其控制作用即使设计了完善的内部控制，若执行者工作失误、判断失准会使其失去控制作用因企业经营环境与业务性质的变化会使内部控制的功能作用受到削弱甚至失效执行者若屈从于外部压力则有可能使内部控制失效如果执行者相互勾结或内外串通会使内部控制失去控制功能目录一、

内控发展及基本知识二、中石化内控建设及成果三、内控运行及实施效果四、案例通报及分析五、体会与认识2022/11/2837中国石油化工集团公司简介中国石油化工集团公司（简称“中国石化”）是中国最大的一体化能源化工公司之一，中国最大的石油产品和主要石化产品生产商和供应商，中国第二大原油生产商，世界第三大炼油公司，拥有比较完备的销售网络，经营资产和主要市场集中在中国经济最发达、最活跃的东部、南部和中部地区。2012年《财富》全球500强中国石化列第5位。中国石化控股的中国石油化工股份有限公司，在境内外（上海、香港、纽约、伦敦）四地上市，现有全资子公司、控股和参股子公司、分公司等共100余家，包括油气勘探开发、炼油、化工、产品销售以及科研、外贸等。2022/11/2838中国石化组织架构油田非上市企业设计、施工企业专业公司及其他单位中国石油化工股份有限公司国内其他机构投资者公众投资者监事会董事会股份公司总裁班子董事会秘书局审计委员会战略委员会薪酬与考核委员会油田勘探开发事业部炼油事业部化工事业部油品销售事业部总部职能部门总部职能部门油田分（子）公司炼化分（子）公司销售分（子）公司科研单位专业公司炼油部分化工部分中国石油化工集团公司办公厅发展计划部生产经营管理部财务部企业改革管理部科技开发部人事部法律事务部资本运营部安全环保局石油工程管理部工程企业管理部物资装备部部信息系统管理部外事局审计局监察局思想政治工作部离退休工作部机关服务局2022/11/2839中国石化内部控制定位美国《萨班斯-奥克斯利法案》(2002)香港联交所《企业管治常规守则》(2006)上海证交所《上市公司内部控制指引》(2006)国资委《中央企业全面风险管理指引》(2006)五部委发布《企业内部控制基本规范》(2008)五部委发布《企业内部控制配套指引》(2010)财务、管理信息真实可靠；保障资产安全完整；规范经营行为，提高风险管理水平；健全制度化管理体系；完善法人治理结构。法律法规要求企业自身需要2022/11/2840中国石化内部控制建设概况2003年，股份公司编制《内部控制手册》2004年，股份公司试行，所属分（子）公司制定实施细则2005年，股份公司正式实施内控制度2006年，集团公司试行内控制度2008年，集团公司正式实施内控制度2011年，集团公司、股份公司实施一体化内控制度2006～2011年，股份公司接受外部审计，无“披露缺陷”2022/11/2841两级内控制度体系集团公司总部权限指引企业内部控制实施细则中国石化内部控制手册2022/11/2842内控手册结构中国石化《内部控制手册》总则公司层面控制业务层面控制权限指引检查评价与考核办法附则2022/11/28431、总则总则前言内部控制的定义、目标和原则内部控制手册适用范围内部控制手册结构内部控制手册生效及更新缩略语2022/11/28442、公司层面控制公司层面控制公司层面控制是存在于公司整体层面，对业务层面实施的控制措施产生普遍、深远影响的控制，体现公司的经营理念、风险管控能力、公司治理水平、对道德价值观的遵守、人员素质与发展水平以及职责权力分工等。内部环境风险评估信息与沟通内部监督2022/11/28452.1内部环境组织架构权责分配原则授权机制和权限指引三重一大集体决策制度对权责分配的评估调整权责分配发展战略的制定发展战略的实施发展战略的监控发展战略的动态调整发展战略社会责任企业文化

的建设企业文化的评估和创新企业文化反舞弊内部审计机构和人员内部审计基础管理工作内部审计人力资源总体规划人力资源的引进与开发员工使用与退出人力资源治理结构的

设计内部机构的设计岗位职责的

划分治理结构的全面梳理内部机构设置全面梳理对子公司的投资管控组织架构的评估调整惩防体系

建设廉洁从业宣传教育反腐倡廉制度建设举报投诉

机制反舞弊检查/监查工作机制违规惩处社会责任管理体系安全生产与环境保护节能管理产品质量

管理促进就业与保护员工合法权益社会公益2022/11/2846公司层面控制的内容要素定义：对所涉及控制领域/业务范围的定义控制目标：明确每类公司层面控制的总体目标主要风险：该控制领域可能涉及的主要风险，与风险清单中相关分类保持一致主要控制要求：描述每类公司层面控制涉及的主要环节和具体控制要求主要负责部门：明确总部主要负责部门相关制度：将总体性控制要求与相关规章制度建立对应关系2022/11/28472.2风险评估风险管理组织体系风险识别和分类风险评估风险应对风险监控与报告风险评估2022/11/2848风险识别风险识别的方法：自上而下方式，自下而上方式，研讨会、员工访谈、发放调查问卷等多种方法。从公司的中长期战略实施的业务计划中发现可能的风险通过分析业务流程发现的风险战略业务计划风险

#1风险#2风险#3业务计划采购采购计划风险#1风险#2风险#3订购通过对负责人/负责级别人员的访谈发现可能性高的风险风险评估对象研讨会及员工访谈等根据业务流程分析战略/目标分析风险2022/11/2849风险评估针对识别出的风险，从风险发生可能性和风险影响程度两个方面进行评估，并综合得出本企业的风险评估结果（1）风险发生可能性:对每个风险评估固有风险可能性，即在考虑控制之前风险的发生机率该评估为定性评估，需要评估者通过定性判断来确定适当的评级集团公司采用下表对风险发生的可能性进行评级，各企业参考此表风险发生可能性评级风险发生极低低中高极高评估期内发生的概率＜10%10-25%25-50%50-75%≥75%2022/11/2850（2）风险影响程度对每个风险评估固有风险影响程度，即在考虑控制之前风险的影响程度该评估为定量与定性结合评估，需要评估者通过经验判断来确定适当的评级风险发生的影响程度通过财务影响因素和非财务影响因素进行衡量，在评级时取多者中的较高值，主要影响因素如：财务损失营运影响合规目标影响HSE影响声誉影响其他风险评估（续1）2022/11/2851风险评估（续2）（3）风险评估结果综合考虑风险发生可能性和风险影响程度对固有风险进行评级。集团公司采用下表对确定风险评估结果，企业参考此表风险发生可能性风险发生影响程度极低低中高极高极高一般一般重要重大重大高一般一般重要重大重大中一般一般重要重大重大低一般一般重要重要重大极低一般一般一般重要重要2022/11/2852风险应对内控制度战略策略及决策机制流程内部管理制度风险应对措施2022/11/2853风险分类清单：一级风险5个、二级风险65个、三级风险453个战略风险运营风险财务风险市场风险合规风险一级风险二级编号二级风险三级

编号三级风险描述1.战略风险1.1宏观经济风险1.01.01国家战略影响：国家能源战略、外交战略、国家安全战略等出现不利变化，影响公司的经营。1.2宏观政策政府监管风险1.02.01国家经济政策影响：国家宏观经济政策、产业政策、国家标准、行业标准等出现不利变化，影响公司的经营。……2.财务风险2.1流动性风险2.01.01资本市场不景气：资本市场低迷，融资门槛增高和融资成本增加，影响公司融资能力、融资成本。2.2筹资管控风险2.02.01筹资策略不当：缺乏完整的筹资策略规划，筹资决策不当，引发公司资金结构、期限结构和利率结构不合理，导致筹资成本过高或债务危机。……3.市场风险3.1竞争风险3.01.01未能恰当应对竞争对手：未能对竞争对手的销售行为进行监控，没有采取及时应对策略（如产品定价/及价格调整不当、产品开发升级滞后，市场开发和营销策略不当，渠道控制力减弱、售后服务不当、合作伙伴选择不当等），在市场竞争中落败于对手导致公司市场份额下降或流失重要客户。3.2价格风险3.02.01原油、燃料油、成品油及化工产品等价格波动：美元汇率走势、地缘政治、国际基金炒作等因素导致国际原油、燃料油、成品油及化工产品等价格波动，影响公司实现经营目标。……4.运营风险4.1内部机构风险4.01.01机构岗位设置不合理：内部机构、岗位设计不科学、不健全，部门和岗位设置的职责不清晰，未实现不相容岗位分离，未明确界定涉密岗位范围，未实行关键岗位限制性要求，导致机构重叠或缺失，岗位职责和任职条件不明，运营效率低下。4.2治理结构风险4.02.01治理结构违反监管要求：未能按照法律法规和监管机构的要求建立并运行公司的治理结构（包括上市公司的独立董事制度、董事会专业委员会、董事会秘书等），被监管机构处罚。……5.合规风险5.1经营合规风险5.01.01并购/股权交易违规：并购/股权交易违反国家法律法规（如收购时未以评估为基础作价），导致公司被监管机构处罚，声誉和形象受损。5.2侵权风险5.02.01知识产权申请/登记/保管不当：未能及时办理知识产权申请、注册及登记手续，或知识产权保管和使用不当，导致公司知识产权被侵犯，公司利益受损。……风险清单2022/11/28542.3信息与沟通信息收集机制内部沟通机制外部沟通机制信息沟通机制内部报告体系的建立内部报告的使用内部报告的评估内部报告信息技术整体控制保密管理保密管理信息资源的内容信息资源的管理架构分类信息管理主要信息报告制度对外宣传工作相关的信息收集股份公司对外披露信息的收集其他信息化管理体系信息化发展规划信息技术组织架构及人员风险评估信息安全管理2022/11/2855IT内部控制体系IT整体控制信息化管理体系信息化发展规划信息技术组织架构及人员风险评估信息安全管理IT应用控制ERP系统、加油卡系统、资金集中管理系统和会计集中核算系统从控制类别（包括用户权限、职责分离、系统配置和业务操作四个类别）角度对原有控制点的控制要求进行细分和优化IT一般控制信息系统管理ERP系统IT一般控制应用系统IT一般控制基础设施IT一般控制《企业内部控制应用指引第18号—信息系统》国际公认的信息系统控制标准（COBIT框架）2022/11/28562.4内部监督内部监督内部监督架构集团公司股份公司内部监督分类日常监督综合监督企业监督审计监督专项监督内部控制评价2022/11/2857公司层面控制统计

公司层面控制类别控制环节统计控制要求统计1组织架构7282权责分配483发展战略4334人力资源3125社会责任26916企业文化2137反舞弊6158内部审计2149风险评估91310信息收集机制72211信息沟通机制22312内部报告31413保密管理5514信息技术整体控制51215内部监督316

合计883192022/11/2858依据风险评估结果，通过手工与自动控制、预防性控制与发现性控制相结合的方法拟定相应的控制措施。共设20大类67个内部控制流程、2132个控制点，其中线下人工控制点1587个，自动控制点545个。1.资金活动11.合同管理2.采购及生产活动12.关联方交易3.资产管理13.税务管理4.销售管理14.人力资源5.研究与开发15.HSE管理6.工程项目16.产品质量管理7.担保业务17.信息资源管理8.业务外包18.信息系统9.财务报告19.对外披露10.全面预算20.内部审计3、业务层面控制2022/11/28593、业务层面控制—内控流程2.2原油采购业务2.3一般物资采购供应业务2.4成品油采购业务……采购类控制流程(举例)2.1原油配置运输业务4.2原油销售4.3天然气销售4.4化工产品销售……销售类控制流程(举例)4.1一般产品销售2022/11/28603、业务层面控制—内控流程业务层面控制内部控制流程财务报告计划矩阵适用范围控制目标示意图控制矩阵相关制度例：2.3一般物资采购供应业务2022/11/28613.1适用范围明确某项业务控制的具体范围2022/11/28623.2控制目标按照《企业内部控制基本规范》，从业务层面识别、描述战略目标、经营目标、财务目标、资产安全目标及合规目标2022/11/28633.3控制矩阵以矩阵式结构描述经济业务执行程序和控制措施，重点规范业务操作与管理行为，逐一描述控制目标、风险识别、控制点、责任部门（单位）、对应系统业务流程、权限索引、控制文档、会计报表项目三、内部控制矩阵控制目标风险编号控制点责任部门/单位对应系统流程权限索引控制文档会计报表项目自动链接风险清单自动链接权限指引基于ERP系统操作手册的805个业务流程和资金集中管理系统的120个业务流程，识别并记录与系统控制点相关的233个ERP业务流程和44个资金集中系统业务流程2022/11/2864IT应用控制与系统操作对应2022/11/2865IT应用控制相关业务流程ERP模块/应用系统业务流程ERP模块/应用系统业务流程CO油气生产成本管理SD一般产品销售业务炼化生产成本管理成品油零售管理业务MM/MRO原油采购业务成品油直销及分销业务一般物资采购供应业务燃料油销售业务成品油采购业务润滑油销售业务燃料油采购业务化工产品销售业务润滑油采购业务原油销售业务存货管理天然气销售业务FI应收款项管理PS/PM研究与开发管理油气资产管理资本支出管理固定资产管理无形资产管理勘探开发项目管理商品流通费用管理工程项目管理期间费用管理固定资产修理管理资金集中系统筹资业务TR全面预算管理承兑汇票管理加油卡系统

加油卡管理

货币资金管理会计集中系统

财务报告业务2022/11/28663.4相关制度与具体业务相关的法律法规以及集团（股份）总部制定的内部管理制度2022/11/28673.5示意图以流程图的方式，将具体业务的控制步骤和关键控制点以简图加以直观反映2022/11/28684、权限指引权限指引权限指引说明权限指引公司章程三重一大现行制度职责分工权限指引：针对各业务关键环节和经济活动，按照权责匹配的原则，明确公司各层级的集体决策和个人审批权限。2022/11/2869内部往来业务从宽，直接对外的业务事项从严经批准的预算（计划）内授权从宽，预算外从严常规授权从宽，特别授权及转授权从严权限控制指标的设置原则4.1权限定义和设置原则权限控制指标的定义《权限指引》中的权限为该项业务的决定权、审批权、最终处置权，不包括过程中的建议权、拟议权。2022/11/28704.2权限指引的企业分类及应用按照企业的业务规模分为大、中、小三类不同板块的企业，根据业务性质设置不同权限企业在实施过程中可以制订向下延伸的权限级别2022/11/28714.3权限指引结构《权限指引》列表，以矩阵式表格描述，由横向、纵向两个指标体系构成。编制权限指引说明，对权限指引表中事项进行统一解释，便于应用。2022/11/2872中国石化内控手册：企业内控实施细则指导意见：4.4权限指引表2022/11/28735、检查评价与考核办法总则：定义、原则、评价职责、日常监督机制评价内容：五要素评价程序和方法：内控缺陷认定：财务报告、非财务报告评价报告编制报告与披露内部控制考核评价资料保管检查评价与考核办法2022/11/28745.1内部控制评价体系内部控制评价内控日常监督责任单位季度测试企业年度自查总部部门对口评价内控部门专项检查管理层综合检查（授权审计部）对内外部各种检查发现的内控问题，按照缺陷标准进行认定，采取倒扣分形式。2022/11/28755.2内控缺陷认定标准财务报告缺陷非财务报告缺陷重大缺陷重要缺陷一般缺陷设计缺陷运行缺陷内部控制缺陷定性标准定量标准2022/11/28765.3内控自我评价流程图6.编制自我评价报告及对外披露4.修订完善4.补救整改3.组织现场检查1.制定检查方案，报内控领导小组批准5.报告管理层健全性测试符合性测试

汇总分析2.集中培训检查人员2022/11/2877审计部检查结果见面会掌握基本情况分析/定范围缺陷认定填写底稿签字确认编写报告讲评会交换意见汇报内控办公室评分/评价5.4现场检查评价2022/11/2878现场检查小组抽样、访谈等企业改革管理部根据内部控制执行情况、日常监督、专项监督和管理层内部控制综合检查评价结果及其整改情况，商审计局（部）拟定考核方案，按规定报批后对企业领导班子考核兑现。内部控制有效性纳入企业考核5.5内部控制考核2022/11/28796、附则附则内部控制责任部门内控矩阵适用单位风险清单信息系统控制流程清单ERP系统权限控制标准2022/11/2880目录一、

内控发展及基本知识二、中石化内控建设及成果三、内控运行及实施效果四、案例通报及分析五、体会与认识2022/11/2881内部控制运行总部2005年正式成立内部控制领导小组，组长由总裁兼任；下设内控办公室，在企业改革管理部设内控管理处，各部门指定内控联系人；所属企业成立相应内控组织机构，总经理兼任组长；内控办公室设在企管、财务等部门，企业配备专职内控管理人员。健全组织机构，配备专职内控管理人员2022/11/2882内部控制运行总部内部控制组织机构企业改革管理部财务部审计部信息系统管理部内部控制领导小组组长：总裁法律事务部内控办公室人事部2022/11/2883内部控制运行企业内部控制组织机构内部控制领导小组组长：企业总经理企管处财务处法律事务处审计处……内控办公室人事处信息处2022/11/2884内部控制运行

一道防线：内控手册、实施细则都明确了风险控制的责任单位或控制点责任人，定期进行内控测试；二道防线：总部、企业两级内控部门，负责协调本单位日常监控和自查，组织重大风险控制专项检查，督促整改；三道防线：两级审计部门独立组织或参与内控检查评价。建立内部控制监督模式，确保运行有效2022/11/2885内部控制运行集团公司党组、股份公司董事会每年审议内控手册修订；审计委员会、监事会审查内控评价报告。总部内部控制领导小组组织内控检查，审定内控制度修订方案，与外部审计师沟通内控审计结果。两级内控机构负责监督日常测试、落实整改；重大内控事件跟踪、内控缺陷适时通报预警、组织临时修订。建立内控日常管理机制，落实内控责任2022/11/2886内部控制运行管理层组织内控综合检查评价股份公司接受外部审计师内控审计编制内部控制自我评价报告每年开展内控评价2022/11/2887内部控制运行总部根据外部监管政策变化、内部管理要求变化、日常监督及内控检查发现的问题，每年集中修订内部控制手册；企业落实总部要求，结合实际修订实施细则；修订内控制度的同时，全面梳理内部规章制度，建立内部管理制度审核机制。每年更新内控制度2022/11/2888实施效果--1、促进企业健全制度化管理体系发展计划资本运营生产经营企业改革信息化管理人力资源财务管理控制环境内部监督风险评估控制活动信息与沟通……法律事务COSO框架油气勘探开发炼油业务化工生产销售成品油销售科技与研发物资供应石油工程……公用工程

中国石化制度层级：Ⅰ基本制度Ⅱ专业制度/专项制度Ⅲ操作制度管理制度业务制度2022/11/2889实施效果--1、促进企业健全制度化管理体系（续）总部对制度分级、分类，建立标准化制度体系及制度管理信息系统，以内部控制为主线，通过流程化、表单化，实现信息化；企业重新划分岗位职责、再造流程、完善制度，形成《职责划分手册》、《工作程序、业务流程手册》和《规章制度手册》制度化管理体系。以内部控制为主线、专业管理为基础、信息系统为载体，构建中国石化制度化管理体系。2022/11/2890实施效果--2、提高企业管理水平统一物资采购、工程项目、修理业务等内部招标管理建立主要原料、产品内部损耗标准，生产经营管理精细化建立IT整体控制体系，增强风险防范能力制定各类合同示范文本，法律意识增强建设资金集中管理系统、会计集中核算系统，强化财务管理开展内控综合检查评价，提高监控能力总部层面：2022/11/2891实施效果--2、提高企业管理水平（续）加快新建、新并入企业建章立制的进程厘清管理权责：合理设置机构，清晰领导、部门、关键岗位职责等健全管理标准：各种定额、合理库存、专项费用、印章使用、票据管理等重新规范业务操作程序：合同审批、价格变动审批、赊销审批、资金支付审批等提高内控信息化程度：融入ERP控制、建立审批系统等企业层面：2022/11/2892实施效果--3、保障公司体制改革投资、工程项目集中物资采购、原油采购集中产品销售专业化总部层面：企业层面：促进新并入的企业融入中国石化加快重组企业内部整合步伐、理顺管理机制2022/11/2893实施效果--4、改善内部环境制定中国石化企业文化建设纲要，颁布《员工守则》，倡导风险、诚信守法的经营理念，内控意识融入企业文化；对外发布《企业社会责任报告》；扩大审计机构、加强审计力量；颁发《中国石化监督制度汇编》，完善反舞弊机制；将“三重一大”等集体决策事项纳入内部控制，明确决策、监督、执行的职责，完善公司治理。2022/11/2894实施效果--5、遵循监管要求，提升公司形象外部审计师内控评价年度200620072008200920102011内控手册控制点①99811491179127213312132检查企业数量②213431333027非披露缺陷③433268190703823趋势④=③/（②*可比系数）20.626.855.191.660.950.40毕马威评价结果趋势分析2022/11/2895实施效果--5、遵循监管要求，提升公司形象（续）中国石化自我评价年度200620072008200920102011内控手册控制点①99811491179127213312132检查企业数量②798240422530未执行控制点③11891002580537242249趋势④=③/（②*可比系数）15.0510.6112.2710.037.263.892022/11/2896企业检查评价结果趋势分析目录一、

内控发展及基本知识二、中石化内控建设及成果三、内控运行及实施效果四、案例通报及分析五、体会与认识2022/11/28972022/11/2898案例通报及分析（一）出纳人员侵占销售货款2022/11/2899案件基本情况

2009年11月，江汉油田石油天然气销售分公司出纳江某因犯职务侵占罪，被判处有期徒刑10年，并处没收财产5万元。相关责任人也进行了行政处分。

2006年4月至2008年4月，江某采取以现金方式收取销售货款并存入其私人帐户、制作虚假收款凭证、虚列银行存款、替其他岗位做帐、擅自在ERP系统中调帐等手段，共作案37笔，犯罪金额124.17万元，已追回39万元，其余85.17万元无法追回，造成损失。2022/11/28100案情分析记账、编制银行余额调节表及对账均由同一人进行，不相容岗位未分离。岗位变动后未及时在ERP系统中封锁相关权限，使出纳岗位仍能做账，造成不相容岗位未分离。财务部门负责人未及时、认真审核银行余额调节表。整改落实不力。企业例行稽核、内控检查，特别是总部年度内控检查出具了书面整改意见，都未落实。2022/11/28101案例通报及分析（二）违规销售油品造成损失2022/11/28102案件基本情况2007年10-12月，湖北石油原直销公司水上片区经理兼陈家墩水陆加油站站长王某指使刘某（副站长）、李某（收款员）在吴某（社会无业油贩）未付货款的情况下，向其赊销0#柴油1462吨，其中547吨计365.98万元欠款一直未收回，且这一业务未在账面反映，也未向原直销公司报告，造成油品损失。王某虽在2008年1月让吴某补写了欠条，但吴某于2008年4月被武汉市公安局羁押，预计欠款难以收回。原直销公司2008年1月得知此事，但一直未向湖北石油报告。2022/11/28103案件基本情况（续）2008年1-4月，刘某伙同雷某（原直销公司水上片区阳逻水上加油站站长，8月后待岗）采用上述相同做法私自违规赊销，其中1083吨柴油价值约769.49万元欠款至今未收回，该笔业务也未在账面反映，造成实际油品损失。据雷某交代：他本想利用公司资源和平台自己做生意赚钱，先预收油贩资金并做出量价承诺，然后到公司付款给油贩开出提油单，由于2008年上半年油价一路走高，导致其原先承诺的油价低于实际的价格，为保住资金链条不断，高买低卖造成个人经营亏损。目前他将房产、船只抵押后还欠油贩221万元，预计雷某所欠刘某的赊销款769.49万元也难以收回。2022/11/28104案情分析记账、违规赊销，片区经理、站长、副站长、收款员等集体舞弊；销售不入账，且隐匿（含原直属公司）、甚至销毁资料；未按规定对账、盘点，线下操作，虚报数据，以ERP系统账面数代替实际库存；（08年7月ERP虚拟库存异常，09年4月才报案）内部重组整合，管理松懈；（直属公司09年1月与武汉石油整合）零售、批发直销界定不清，批零价格倒挂，存在经营风险。2022/11/28105案例通报及分析（三）个人合同诈骗造成损失2022/11/28106案件基本情况天津石油东丽零售片区原经理刘春生伙同他人，采取私刻公章、订立投资合作协议或借款协议等方式，以承诺高息返利（月息5%-15%不等）为诱饵，实施非法集资，用募集到的资金参与直销业务。骗取大额资金在逃，2009年11月3日报案。与刘春生发生油品直销业务为滨海客户经理部和市区客户经理部，主要通过伪造相关客户授权委托书，以个人名义将资金打入公司账户或客户经理的员工卡中。通过个人关系拿到客户经理手中因相关客户长期未发生业务而未发放出去的提油卡或客户经理代保管的提油卡，通过提油卡提出油品。2022/11/28