内部控制管理手册中石油.docx

1、内部控制管理手册中石油部控制管理手册体系框架分册中国石油天然气股份二八年一月公司简介 手册说明 1 总论11 概述12 部控制体系框架13 组织结构、职责与权限2 控制环境2.1 概述 2.2 诚信与道德价值观 2.3 发展目标.2.4 管理理念与企业文化 2.5 风险管理策略 . 2.6 董事会及下属委员会 2.7 组织结构. 2.8 权利和责任分配2.9 人力资源政策与措施3.10 员工胜任能力 2.11 反舞弊机制3 风险评估 31 概述 32 建立风险评估机制 33 建立并完善风险管理体系 4 控制活动 41 概述 42 控制活动的实施 5 信息与沟通 51 概述 52 信息 53 沟

2、通 54 信息系统总体控制 55 信息系统应用控制 56 信息披露 6 监督 61 概述 62 持续监督 63 独立评估 64 缺陷报告 附件 部控制管理手册（地区公司分册）编制规 公司简介中国石油天然气股份（简称“中国石油”）是于1999年11月5日在中国石油天然气集团公司（简称“中油集团”）重组过程中，按照中华人民国公司法成立的股份。在重组过程中，中油集团向中国石油注入了与勘探和生产、炼制和营销、化工产品和天然气业务有关的大部分资产和负债。中国石油是中国销售额最大的公司之一，广泛从事与石油、天然气有关的各项业务，包括：1）原油和天然气勘探、开发、生产和销售；2）原油和石油产品的炼制、运输、

3、储存和销售；3）基本石油化工产品、衍生化工产品及其他化工产品的生产和销售；4）天然气、原油和成品油的输送及天然气的销售。中国石油发行的美国存托股份、H股及A股于2000年4月6日、2000年4月7日和2007年11月5日分别在纽约证券交易所、联合交易所及证券交易所挂牌上市。中国石油的财务业绩优良，2004年、2005年和2006年的净利润分别为1038亿元人民币、1333亿元人民币和1422.24亿元人民币。公司注册中文名称：中国石油天然气股份公司英文名称：PetroChina Company Limited公司法定代表人：洁敏公司董事会秘书：怀奇公司法定地址：中国东城区安德路16号洲际大厦邮

4、政编码：100011：（8610）84886270传真：（8610）84886260上市地点：证券交易所（A股，股票代号为“N石油”）、联合交易所（H股，股票代号为“HK00857”）和纽约证券交易所（ADS，股票代号为“PTR”）。手册说明关于部控制管理手册目的、意义及原则编制和实施部控制管理手册（以下简称手册），是为了遵循国及上市地法律法规，进一步完善现代企业制度和法人治理结构，确保公司各项工作规、有序运行，最大限度地减少或规避风险，提高公司的经营管理水平。通过编制手册，建立一套科学、系统的部控制体系建设的方法和规，为公司部控制体系建设、运行和维护提供指引，并作为建立、运行及评价部控制体系

5、的依据。从而确保公司上下从思想上、认识上对部控制体系保持高度统一，以进一步实现行为上的统一。手册编写遵循以下原则：1）选用COSO控框架进行体系设计；2）以风险管理为核心的部控制体系建设；3）满足国外监管要求。法律依据手册编写依据的法律法规。国法律法规：1）中华人民国会计法及配套法规；2）企业会计准则；3）中华人民国审计法；4）审计署关于部审计工作的规定；5）中央企业部审计管理暂行办法；6）中央企业全面风险管理指引。国外法律法规：1）萨班斯奥克斯利法案；2）与财务报表审计协同进行的对于财务报告部控制的审计；3）与财务报表审计相结合的财务报告部控制审计以及相关的独立性规定和一致性修正案（审计准则

6、5号）；4）有关财务报告部控制管理层报告规则的修订（解释性指南）。标准：1）COSO部控制框架；2）COSO企业风险管理整体框架。适用围本手册所描述的部控制体系覆盖并适用于：1）本公司所有部门和所属单位；2）本公司部控制体系所涉及的所有业务和管理活动。贯彻实施的责任和要求手册已经建立了一套科学、系统的部控制体系建设方法和标准，是公司建设并实施部控制体系的纲领性文件。为保证部控制体系“设计有效、执行有力”，公司所属各单位要认真组织实施，严格遵照执行。各地区公司要充分认识部控制体系建设工作的长期性和艰巨性，把建立和有效运行部控制体系作为本单位的重要工作，建立长效机制，指定专职管理部门或专职管理岗位

7、，履行部控制职能，切实做到实施有力。为推动手册的贯彻执行，提高手册的使用效果，部控制部每年至少举办一次手册使用培训。各地区公司要有计划地做好本单位的培训，将控工作要求传达到每个员工、每个岗位，确保执行到位。各地区公司要按照部控制管理手册（地区公司分册）编制规（见附件）的要求，修订、完善和细化本单位的分册。各地区公司控管理部门要对本单位部控制体系运行情况进行检查和督促，公司部控制部将定期组织考核并进行通报。使用指南容指引本手册包括六个分册，即体系框架分册、控制环境分册、风险评估分册、控制活动分册、信息与沟通分册及监督分册。1）体系框架分册，描述了部控制体系组织结构与职责，较为全面地阐述了部控制体

8、系的建设目标，并以COSO控框架为指引，从控制环境、风险评估、控制活动、信息与沟通和监督等五个方面对控关注要点及相应措施进行了较为全面、系统的阐述；2）控制环境分册，描述了控制环境的概念，并从诚信与道德价值观、发展目标、管理理念与企业文化、风险管理策略、董事会及下属委员会、组织结构、权利和责任分配、人力资源政策与措施、员工胜任能力以及反舞弊机制等十个方面对控关注要点、措施进行了阐述；3）风险评估分册，描述了风险和风险评估的基本概念以及风险的分类，从建立风险评估目标、风险评估机制、建立并完善风险管理体系三个方面对控关注要点及相应措施进行了阐述，并汇编了风险评估的相关方法、规及管理制度；4）控制活

9、动分册，描述了控制活动的概念及分类，对公司控制活动的实施进行了概括，并汇编了关键控制管理文件；5）信息与沟通分册，描述了信息与沟通的概念及要素，从信息、沟通、信息系统及信息披露等五个方面对控关注要点及相应措施进行了阐述；6）监督分册，描述了监督的概念及要素，并从持续监督、独立评估和缺陷报告三个方面对控关注要点及相应措施进行了阐述，并汇编了相关管理制度及规。使用要求本手册是公司重要文件，属公司。各单位应按相关要求正确使用，未经允许，不得复印，不得对外泄露。在使用过程中遇到疑难问题，及时向部控制部咨询。管理与维护部控制部对手册进行规管理，以保证其有效、完整、统一和适用。编写与发布手册由部控制部组织

10、编写，控体系建设委员会审定，股份公司行文发布。发放1）手册须按发放围统一发放。发放围由部控制部提出，经管理层批准执行。一般包括总裁、副总裁、机关职能部门、专业分公司、地区公司及其下属单位等。2）手册包括纸质版和电子版两种。电子版的配发围为业务流程管理信息系统的覆盖围；纸质版的配发围为公司所属单位及特殊使用者。维护手册的维护是一项长期性、经常性的重要工作，需要各单位高度重视，积极参与，大力配合。手册的修订、维护由部控制部负责。每年，部控制部将根据国和上市地新出台的相关法律法规的要求、外部审计对公司部控制的评价、公司控管理中出现的新问题以及地区公司反馈的意见及建议等，对手册进行修订，经总裁批准执行

11、。各地区公司应指定专职管理部门负责本单位手册的日常管理和维护。对手册日常使用过程中发现的问题，应认真记录并及时反馈给部控制部。部控制部应及时掌握手册的执行情况，并采取有效措施确保部控制管理体系的有效运行。关键术语和定义C0SOCOSO是自愿性的私人组织，致力于通过强化商业道德、建立完善有效的部控制和法人治理结构以提高财务报告的质量。1985年，由美国注册会计师协会（AICPA）、会计协会（AAA）、财务经理协会（FEI）、部审计师协会（IIA）、管理会计师协会（IMA）联合创建了反虚假财务报告委员会。该委员会旨在探讨财务报告中舞弊产生的原因，并寻求解决措施。两年后，该委员会提出了很多有价值的建

12、议。基于该委员会的建议，其赞助机构成立了COSO委员会，专门研究部控制问题。COSO框架1）COSO部控制整体框架反虚假财务报告委员会于1987年签署了报告，号召研究并制定一个统一的部控制框架。1992年9月，COSO委员会提出了报告部控制整体框架（1994年进行了增补），即COSO部控制框架。COSO部控制框架被广泛地选择作为构建和完善部控制体系的标准，是因为：虽然COSO部控制框架并非唯一的部控制框架，但却是美国证券交易委员会唯一推荐使用的部控制框架，萨班斯奥克斯利法案第404条款的“最终细则”也明确表明COSO部控制框架可以作为评估公司部控制的标准。COSO框架提出五个互相关联的组成要素

13、，根据公司的规模和结构，公司可采用不同的方式来实施这些组成要素，但是所有公司都必须涉及这五个组成要素。因此，在对部控制进行评估时，管理层必须考虑以下每个组成要素：控制环境：控制环境是部控制体系的基础，是有效实施部控制的保障，直接影响着公司部控制的贯彻执行、公司经营目标及整体战略目标的实现。控制环境确定了公司的总体态度，是部控制所有其他组成要素的基础。控制环境包括职业道德、员工的胜任能力、管理理念和经营风格、组织结构、权利和责任的分配、人力资源政策与措施、董事会与审计委员会以及反舞弊等容。风险评估：风险评估是识别及分析影响公司目标实现的风险的过程，是风险管理的基础。在风险评估中，应识别和分析对实

14、现目标具有阻碍作用的风险。控制活动：控制活动是确保管理层的指令得到贯彻执行的必要措施，存在于整个机构所有级别和职能部门。包括批准、授权、查证、核对、经营业绩评价、资产保全措施和职责分工等活动。信息与沟通：信息与沟通是公司经营管理所需的信息被识别、获得并以一定形式及时地传递，以便员工履行职责。信息不仅包括部产生的信息，还包括与公司经营决策和对外报告相关的外部信息。畅通的沟通渠道和机制使公司的员工能及时取得他们在执行、管理和控制公司经营过程中所需的信息，并交换这些信息。监督：监督是对部控制体系有效性进行评估的持续过程，包括持续监督、独立评估和缺陷报告等。2）COSO企业风险管理整体框架最近数年，企

15、业风险管理成为焦点而受到突出关注，需要一个强有力的框架以有效地识别、评估和管理风险。2004年9月，COSO委员会发布企业风险管理整体框架，在部控制的基础上，扩展、提供了一个更强有力的框架，更广泛地专注企业的全面风险管理。该框架不会取代控框架，而是将控框架与其融合为一体。公司仍可以决定依靠这个企业风险管理框架去满足企业控的需要，通过采用更全面的风险管理方法使企业持续发展。企业风险管理由八项相互关联的要素组成，来自管理层经营企业的方式，并融入管理过程本身。这些要素包括： 部环境：部环境包含了一个企业的基调，为该企业管理层和员工审视和应对风险的方式制定基础，包括风险管理理念和风险容量、诚信和道德价

16、值观以及他们进行经营活动所处的环境。目标制定：在管理层能够识别影响目标实现的潜在事件之前，企业必须已制定目标。企业风险管理确保管理层使制定目标的流程到位，并保持选择的目标支持企业的使命并与此并行不悖，同时这些目标也与企业的风险容量相一致。事件识别：必须识别出影响企业实现目标的各种外部和部事件，并区分风险和机遇。可以在管理层制定企业战略或目标的过程中对机遇加以考虑。风险评估：应对风险进行分析，考虑其发生的可能性和影响，以作为确定应如何管理风险的基础。还应对企业固有风险及残存风险进行评估。风险反应：管理层选择风险反应方案：规避风险、接受风险、减少风险或分担风险，采取一系列措施使风险维持在企业的风险

17、承受度和风险容量围之。控制活动：确立和实施政策和程序，以有助于确保风险反应方案得以有效地贯彻执行。信息与沟通：相关信息以某种形式和在一定时限被识别、获得和传达沟通，以便使员工履行自己的职责。从广义上讲，有效的沟通也应自上而下、自下而上地进行，贯穿整个企业。监督：监督整个企业风险管理过程，并根据需要作出修改。通过持续性监督活动、独立评估或两者兼而有之来完成监督。部控制COSO部控制框架认为，部控制是受公司董事会、管理层和其他人员影响，为实现经营的效率和效果、财务报告的可靠性、相关法规的遵循性等目标而提供合理保证的过程。企业风险管理 COSO企业风险管理整体框架认为，企业风险管理是一个受到企业董事

18、会、管理层和其他人员影响的过程，这个过程从企业战略制定一直贯穿到企业的各项活动中，旨在识别那些可能影响企业的潜在事件并管理风险使之在企业的风险容量之，从而合理确保企业实现其既定目标。PCAOBPCAOB是美国上市公司会计监管委员会的英文缩写。美国上市公司会计监管委员会（PCAOB）是根据2002年7月30日美国总统乔治布什签署的萨班斯奥克斯利法案成立的。其宗旨在于通过准备独立、准确的审计报告来保护投资者的利益，从而进一步保护公众的利益。根据美国联邦法律规定，PCAOB有权制定一系列准则来指导和约束上市公司的审计。联邦法律还要求PCAOB每年向SEC和美国国会中主管PCAOB的委员会同时提交报告

19、。对财务报告的部控制财务报告的部控制是由公司主要管理人员和财务管理人员或者执行类似职能的人员设计和监督的，由公司董事会、管理层及其他人员实施，并能合理确保财务报告的可靠性，以及向外部相关方提供的财务报表的编制符合公认会计准则的一个流程。该流程涉及对交易进行记录、记录的维护以及对XX的收购、使用或处置公司资产的行为进行防或检测的措施。设计方案的有效性当部控制能够满足控目标，并能防止或发现可能导致财务报表发生重大错报或舞弊时，财务报告部控制的设计方案就是有效的。运行有效性当设计恰当的控按设计运行，并且执行控的相关人员具备有效执行控制所需的权限和资格时，对于财务报告的部控制的运行是有效的。1 总 论

20、11 概 述1.1.1 框架编制的目的通过确定部控制体系建设目标，明晰部控制体系建设的围和容，为公司建设以风险管理为核心容的部控制体系提供指引，以建立统一、规、有效的部控制体系，增强公司风险防能力，为公司战略发展提供合理保障。1.1.2 框架编制的原则1）合法性原则。以国及上市地法律法规为准绳，结合公司实际建立部控制体系。2）完整性原则。以COSO部控制整体框架为基础，融合COSO企业风险管理整体框架的主要容，结合国家监管部门的基本要求，全面开展部控制体系建设，覆盖全部业务和部门。3）继承性原则。在公司现有管理体系的基础上，依托已有管理优势，建立部控制体系。4）效率性原则。在保证体系设计合理性

21、的前提下，提高公司运营效率和效益。1.1.3 框架编制的依据国资委中央企业全面风险管理指引；萨班斯奥克斯利法案；美国上市公司会计监管委员会（PCAOB）发布的相关审计准则；COSO部控制整体框架；COSO企业风险管理整体框架及公司相关管理规定。1.1.4 框架编制的思路与方法在现有控体系框架的基础上，结合COSO企业风险管理整体框架的主要容，按照国资委中央企业全面风险管理指引的基本要求，增加控制目标和体系建设容，汲取国外其他公司部控制体系建设的先进经验，根据公司管理实际编制部控制体系框架。1.1.5 体系框架的实施框架明确了公司控工作任务，是制定控工作规划的依据。框架确定的工作目标将在今后分年

22、度实施。1.2部控制体系框架1.2.1 部控制体系建设的总体目标公司部控制体系建设的总体目标是：建立以风险管理为核心容，涵盖公司经营管理各领域，较为完善、运行有效的部控制体系，为公司战略发展提供合理保障。1.2.2 部控制体系建设指导思想充分认识公司建设部控制体系工作的严肃性、重要性和紧迫性，以萨班斯奥克斯利法案的颁布为契机，以国资委发布的中央企业全面风险管理指引为指导，以提高公司管理水平为动力，依托已有的管理优势，适应公司国际化发展要求，开展以风险管理为核心容的部控制体系建设，为公司战略发展提供合理保障，从而树立和维护公司在国际资本市场诚信、稳健和安全的良好形象。1.2.3 框架的主要容1.

23、2.3.1 控制环境控制环境确立公司风险管理的总体态度，是部控制体系的基础，是有效实施风险管理的保障，直接影响部控制体系的执行、公司经营目标及整体战略目标的实现。风险管理是受公司董事会、管理层和其他人员影响的过程，这个过程从公司战略制定一直贯穿到企业的各项活动中，旨在识别那些可能影响公司目标的潜在因素并予以管理，使之在公司的风险容量之，从而为公司实现其目标提供合理保证。控制环境包括诚信与道德价值观、发展目标、管理理念与企业文化、风险管理策略、董事会及下属委员会、组织结构、权利和责任分配、人力资源政策与措施、员工胜任能力以及反舞弊机制等容。1）诚信与道德价值观：建立涵盖公司各个层面的员工职业道德

24、规，体现公司诚信与道德价值观念，树立员工诚信价值观。2）发展目标：制定公司战略目标，并在此基础上制定相关经营目标、报告目标和合规性目标。3）管理理念与企业文化：确立公司管理理念，体现公司的经营管理风格；确立公司风险管理理念，体现公司认知经营管理风险所共有的信念和态度。继承和发扬公司企业文化，体现公司的经营宗旨、价值观念和行为准则；将风险管理文化融入企业文化建设全过程，树立和传播正确的风险管理理念，增强守法意识和诚信意识，将风险管理意识转化为员工的共同认识和自觉行动，提高全员风险意识。公司高级管理人员应在继承和发扬风险管理文化中发挥表率作用，中层管理人员应继承和发扬风险管理文化的骨干作用。4）风

25、险管理策略：公司围绕发展战略，确定风险容量、风险承受度、风险管理有效性标准，体现公司风险管理的总体策略，并据此制定风险反应方案。公司确定针对发展战略的风险容量，体现公司在战略制定与实施过程中愿意承受的风险围和风险水平，反映公司的风险偏好。公司针对特定目标，制定具体的风险承受度，体现在实现特定目标过程中公司对差异的可接受程度。公司确定风险容量和风险承受度，要正确认识和把握风险与收益的平衡，防止忽视风险，片面追求收益或者单纯为规避风险而放弃发展机遇。风险承受度与风险容量保持一致。公司根据风险管理的总体目标，制定风险管理有效性标准。5）董事会及下属委员会：董事会的设立符合国外法律法规的规定。董事会负

26、责督导公司部控制体系的建立和实施，督导公司将风险管理融入战略管理之中，监督公司以风险管理为核心容的部控制工作。董事会下属的审计委员会的设立符合国外法律法规的规定，负责监督部控制体系运行与评价情况。6）组织结构：建立规的法人治理结构，优化组织结构，明确部门权责并细化落实到各个岗位，规组织机构编制管理工作。建立部控制体系运行网络。建立健全公司部控制管理组织体系， 明确部控制组织体系的职责分工，形成包括董事会、审计委员会、管理层、控体系建设委员会、部控制管理部门、其他职能部门及各业务单位在的部控制管理组织体系。各单位根据实际情况，按规定设置部控制管理机构或管理岗位负责部控制日常管理工作。部控制管理工

27、作应与其他管理工作紧密结合，把控管理的各项要求融入企业管理和业务流程中。7）权利和责任分配：建立完善的公司权责管理体系，制定完善的授权管理文件。8）人力资源政策与措施：建立完善的公司管理人员任用选拔、管理考核和激励监督等方面的政策。9）员工胜任能力：健全全员职业培训和技能考核机制，持续提高员工的综合素质和工作能力。10）反舞弊机制：制定反舞弊相关制度，建立反舞弊机制。持续开展舞弊风险评估，建立舞弊风险数据库。制定反舞弊控制措施，持续开展舞弊调查并进行违规处理。监督反舞弊机制运行效果并逐步予以完善。1.2.3.2 风险评估风险是指未来的不确定性对公司实现其目标的影响。风险评估是识别及分析影响公司目标实现的因素的过程，是风险管理的基础。在风险评估中，既要识别和分析对实现目标具有阻碍作用的风险，也要发现对实现目标具有积极影响的机遇。公司制定完善的风险评估规，明确风险评估的程序和方法，规公司风险评估工作。公司风险评估工作由控部门组织有关职能部门和业务单位实施。1）风险评估围公司针对战略目标、经营目标、报告目标、合规性目标，分别确认风险评估的围。2）风险评估的基本程序（1）