中石化内部控制评价 内部控制制度 ——内部控制检查评价 第一章总则 第一条为了保证某某公司(以下简称“公司”)内部控制制度的建立健全和有效执行,促进公司规范运作和健康发展,根据《中华人民共和国公司法》、《中华人民共和国证券法》等国家有关法律、法规和《企业内部控制基本规范》的规定,结合本公司经营特点和所处环境,制定本制度 第二条本制度所称内部控制,是指公司为实现经营目标,保护资产安全完整,保证遵循国家法律法规,提高组织运营的效率及效果而采取的各种政策和程序公司内部控制是由董事会、监事会、经理层和全体员工实施的,旨在实现控制目标的过程内部控制的目标是合理保证公司经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进公司实现发展战略由于人为错误、恶意串通舞弊、环境变化及成本效益原则等因素的影响,内部控制存在固有限制,可能无法发挥其应有作用 第三条公司应加强宣传引导和教育培训,通过多种途径广泛宣传公司内部控制制度,引导全体员工掌握公司内部控制制度的本质要求,促进全体员工加强职业道德修养、提高专业胜任能力,自觉遵守公司内部控制制度的各项规定。
第四条公司建立与实施内部控制,应遵循下列原则: (一)全面性原则内部控制应当贯穿决策、执行和监督全过程,覆盖公司及所属公司的各种业务和事项 (二)重要性原则内部控制应当在全面控制的基础上,关注重要业务事项和高风险领域 (三)制衡性原则内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督的机制,同时兼顾运营效率 (四)适应性原则内部控制应当与公司经营规模、业务范围、竞争状况和风险水平相适应,并随着情况的变化及时加以调整 (五)成本效益原则内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制第五条公司建立与实施有效的内部控制,应当包括下列要素: (一)内部环境内部环境是指公司实施内部控制的基础,一般包括治理结构、机构设置、权责分配、内部审计、人力资源政策、企业文化等 (二)风险评估风险评估是指公司及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略 (三)控制活动控制活动是指公司根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内 (四)信息与沟通。
信息与沟通是指公司及时、准确地收集、传递与内部控制相关的信息,确保信息在公司内部、公司与外部之间进行有效沟通 (五)内部监督内部监督是指公司对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,并应当及时加以改进 第二章职责分工与授权批准 第六条公司指定内部审计部门(以下称“监督检查部门”)负责内部控制的日常监督检查工作,配备专门的内部控制监督检查人员 第七条建立健全内部控制并保持其有效运作,是被检查单位的责任,监督检查部门的责任是对内部控制是否存在和其有效性进行测试与评价 第八条内部控制监督检查是指监督检查人员在实施检查过程中对被检查单位内部控制制度的健全性、合理性及内部控制过程的有效性所进行的测试与评价活动,目的是合理保证被检查单位实现以下目标: (一)遵守国家有关法律法规和公司内部控制制度 (二)信息的真实、可靠 (三)资产的安全、完整 (四)经济有效地使用资源 (五)提高经营效率和效果 (六)实现经营目标 第九条监督检查部门向董事会及其审计委员会报告内部控制监督检查有关工作情况,同时通报监事会。
公司董事会及其审计委员会对内部控制监督检查工作进行指导,审阅监督检查部门提交的内部控制监督检查评价报告 第十条内部控制监督检查既可以作为独立的审计项目实施,也可以作为实施其他审计项目的重要程序 第三章内部控制检查评价程序、方法和内容 第十一条公司对内控制度的执行情况进行定期和不定期的检查监督检查部门通过对内控制度执行情况的检查监督,以发现内控制度是否存在缺陷和实施中是否存在问题,评估其执行的效果和效率,并及时报告,同时应督促相关部门、单位及时予以改进,确保内控制度的有效实施 第十二条监督检查部门应每半年度结束后两个月内对公司的内部控制进行一次定期的持续性检查监督,至少包括重要业务、财务事项,收购和出售资产、关联交易、从事衍生品交易、提供财务资助、为他人提供担保、募集资金使用、委托理财等重大事项各部门、分公司、子公司应每半年度结束后半个月内进行自查,并向公司监督检查部门汇报自查情况监督检查部门还将不定期地对公司的内部控制开展各项专项检查、抽查等监督检查工作 第十三条监督检查部门开展内部控制检查监督工作前,应事先报告公司董事会审计委员会,并制定详细的工作计划。
第十四条监督检查部门开展内部控制检查监督工作时,可以采取现场谈话和问卷调查、财务审计、文件审核、合同协议审查或书面报告等方式进行 第十五条公司各部门、分公司、子公司的负责人应负责组织相关人员按监督检查部门的要求,及时向监督检查部门提供所需的原始凭证、报表、操作规程、合同协议和书面报告等文件资料,接受监督检查部门的谈话、调查、审查等 第十六条公司的控制环境主要包括公司的经济性质和经营类型、管理层的经营理念、组织文化、法人治理结构和议事规则、组织结构、职责分工及人员配置、人力资源政策及其执行公司的监督检查部门对控制环境重点审查以下方面: (一)组织的管理哲学和经营风格 (二)诚信原则和道德价值观 (三)经营活动的复杂程度 (四)管理权限的集中程度 (五)管理层对逾越既定控制程序的态度 (六)法人治理结构的健全性和有效性 (七)组织结构和职责划分的合理性 (八)组织各阶层人员的知识与技能 (九)权责匹配程度以及人力资源政策 (十)员工业绩考核与激励机制的有效性 (十一)员工聘用程序及培训制度的有效性。
(十二)员工对企业文化内容的理解和认同程度 第十七条公司的风险评估主要包括识别和分析影响组织目标实现的各类风险、对业务流程进行风险评估、及时调整风险应对策略,建立风险管理体系 公司的监督检查部门对风险评估重点审查以下方面: (一)确定风险、评估风险的重要性 (二)可能引发风险的内外因素 (三)风险发生的可能性和预计带来的后果,对抗可能发生风险的能力 (四)风险管理机制的健全性和有效性 第十八条公司的控制活动主要包括不相容职务分离、授权审批、明确业务流程、会计系统控制、财产保护控制、预算控制、运营分析控制、绩效考评控制、独立业务审核公司的监督检查部门对控制活动重点审查以下方面: (一)不相容职务相分离 (二)货币资金、实物管理的关键控制点,会计记录与实物保管相互制约 (三)销售政策的健全性和有效性,采购各环节的相互制约机制 (四)成本费用控制政策的健全性和有效性 (五)预算管理体系的健全性 (六)投资决策程序的有效性,投资风险分析估计 (七)产品研发决策程序的健全有效性,研发风险的评估。
(八)筹资活动控制的有效性 (九)实施绩效考评的有效性 第十九条公司的信息与沟通主要包括建立信息与沟通制度,明确内部控制相关信息的收集、处理和传递程序,及时、准确、完整地记录所有信息、保证管理信息系统的安全可靠及有序运行,建立反舞弊机制公司的监督检查部门对信息与沟通重点审查以下方面: (一)各部门间信息的传递方式 (二)各类经济业务的会计处理程序和所依据信息的来源 (三)管理信息系统控制流程获取及处理信息的能力以及信息传递渠道畅通情况 (四)信息处理的及时性、适当性,信息系统的安全可靠性 (五)明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限 第二十条公司的内部监督主要包括董事会、监事会及管理层对内控制度的监督检查(内部控制的自我评估)、内部控制监督检查部门实施的独立的监督和检查 公司的监督检查部门对内部监督重点审查以下方面: (一)对内部控制及经营活动监督、检查和评价而实施再控制情况 (二)内部控制自我评估系统缺陷处理情况 (三)内部审计的设置和工作情况 第二十一条公司内部控制监督检查应关注的其他内容 (一)所在行业状况及近期的经营变化。
(二)管理当局的诚信、能力及发生舞弊的可能性 (三)管理当局评价内部控制有效性的方法和证据 (四)对重要性水平、固有风险及其他与确定内部控制重大缺陷有关的因素的初步判断 (五)交易的性质和金额 第二十二条公司的内部控制监督检查部门对内部控制实施监督检查时,可对全部内部控制要素实施测试评价,也可对部分内部控制要素实施测试评价 第二十三条公司监督检查部门对内部控制监督检查时应遵循以下步骤: (一)对内部控制进行调查了解,描述内部控制,初步评价内部控制风险 (二)对内部控制的执行情况进行符合性测试及实质性测试 (三)内部控制综合评价 第二十四条调查内部控制主要包括以下活动: (一)查阅各项管理制度和相关文件 (二)询问管理人员和其他有关人员 (三)检查经营管理过程中形成的文件和记录 (四)观察业务活动和内部控制的实际运行情况 调查时,应当考虑被检查单位业务规模、复杂程度、控制类型和控制程序等,恰当地确定调查范围;关注控制环节、控制执行记录和控制程序运用的连续性 第二十五条描述内部控制,采用文字记录、调查表、业务流程图的形式将调查的内部控制运行情况加以记录、描述,以供测试和评价;根据现有内部控制描述有关业务的流程和控制点,与理想模式比较,结合专业判断,着重描述应设立的控制点,特别是关键控制点设立情况。
第二十六条了解内部控制设置情况后,应当初步评价内部控制风险,确定符合性测试的范围 (一)分析可能发生错弊的业务环节和活动领域 (二)初步评价相关内部控制的合理性和运行的有效性 (三)确定内部控制风险水平第二十七条进行符合性测试 (一)按照业务流程检查各项内部控制规定是否得到执行 (二)选择有关经济业务,检查流程中的关键控制点是否真正发挥作用 (三)重新执行有关内部控制 符合性测试可运用检查、询问、现场观察、穿行测试等方法监督检查人员应当根据内部控制的性质及其执行的时间和频率,合理确定符合性测试的性质、时间和范围 第二十八条对内部控制执行情况进行符合性测试后,综合分析被检查单位内部控制的健全性和有效性,提出内部控制测试评价结果,并据此确定实质性测试的范围、重点和方法 第二十九条测试内部控制的健全性依据授权原则、效益性原则,检查评价内部控制健全性,并考虑以下因素: (一)控制措施是否存在 (二)控制程序是否具备可操作性 (三)是否存在失控环节,失控的性质和原因、影响 (四)内部控制的局限性。
第三十条测试内部控制的有效性在健全性测试基础上进行符合有效性测试,可采取检查、监盘、观察。