中石化企业内部控制评价与改进概述.ppt

* * * * * * * 检查考核必不可少：1）内部控制制度本身实现闭环管理的需要；2）光有制度无检查，影响其执行力，无法确保制度所预期达到的效果，维护制度的严肃性；3）只有考核检查才能促进企业比学赶帮超，有比较有压力，实现企业共同进步和协调发展；4）真考核，纳入干部年度绩效奖金考核中，完善激励与约束机制，维护企业利益，确保公司整体目标的实现。5）发现制度本身设计的不足或缺陷，不但修补，进一步确保制度的科学和有效。 * * * * 2010 ～2011年，集团、股份内控制度一体化 股份公司现行《内部控制手册》18大类59个业务流程,加上集团公司现行《内部控制管理手册》31个业务流程,总计90个流程。 整合优化为20大类67个内部控制矩阵,共设2132个控制点, 其中线下人工控制点1587个,自动控制点545个(ERP系统512个、资金集中管理系统19个、会计集中核算系统4个、加油卡系统10个) * * 1、内部环境是建立与实施内部控制的基础，包括组织架构、权责分配、发展战略、人力资源、社会责任、企业文化、反舞弊及内部审计等。 2、风险评估是在风险识别和预测的基础上，采用定性或定量方法，对风险发生可能性和影响程度进行预计和估算，最终确定风险评级的过程。具体内容包括风险管理组织体系、风险识别和分类、风险评估、风险应对及风险监控与报告等。 3、信息与沟通指信息在公司内部各层级、各部门之间以及公司与客户、供应商、监管者和股东等之间的传递。包括信息收集机制、信息沟通机制、内部报告、保密管理及信息技术整体控制。 4、内部监督是公司对内部控制建立与实施情况进行监督检查，评价内部控制设计和运行的有效性，发现内部控制缺陷，提出改进措施并监督整改情况的过程。主要包括对建立并执行内部控制的整体情况进行持续性日常监督，对内部控制的某一方面或者某些方面进行专项监督，以及提交相应的检查评价报告、提出有针对性的改进措施等。 * * * 1. 促进建立集团公司、企业两级内控制度体系。 考虑中国石化现行两级管理模式、企业是事实上利润中心的特点，本次整合由总部编制统一的内控手册和《实施细则指导意见》，在此框架内，各企业承担自身内控制度的建立健全责任，结合本企业的业务范围，按照不低于总部要求，自主编制相对完整的实施细则，区别于以前简单复制总部手册内容、难以兼顾不同企业实际的状况。总部及各部门直接适用内控手册。今年参加流程体系建设试点工作的集团财务、股份财务、油品销售、化工销售、物资采购部门，同时将内控要求逐一落实到流程当中，避免内控与业务流程两张皮。通过建立健全集团公司、企业两级完善的内控制度体系，充分调动部门和企业的主动性和积极性，落实各级内控责任。 * * 2．内容更完整、内控范围扩大。 与过去相比，这次整合充分考虑了内控基本规范及指引要求，较为完整地反映了公司层面控制的内容。重点从集团公司现状和控制要求两个方面，全面梳理内部环境、风险评估、信息与沟通、内部监督，每项内容都明确了定义、控制目标、主要风险、控制要求以及责任部门与相关的内部规章制度。同时，补充了与公司层面控制相关的5个业务控制矩阵，新增90个控制点。如，针对“社会责任”控制，新增了产品质量管理内控矩阵。 扩大了内控实施范围，一是非上市所属企业与上市企业一致，适用于财务以外的生产、安全、经营所有业务控制；二是明确了境外企业、中外合资企业的内控要求，确保内部控制覆盖到中国石化各个角落。 * 3．植入风险清单，为开展全面风险管理工作做准备。 按照《中央企业全面风险管理指引》有关要求，我们收集、整理了公司内外部各类风险信息并借鉴国内外石化行业的领先实务和最佳实践，汇总、形成了集团公司风险清单（附表2：风险清单简表），将各类风险分为五大类、三个层级。其中，将战略风险、财务风险、市场风险、运营风险和合规风险等五大类风险，向下细分、延伸，形成二级风险、三级风险。通过对各类风险的初步评估，暂定一级风险5个、二级风险65个、三级风险452个。目前，402个三级风险已经植入内控手册，与公司层面控制及内控矩阵关键控制点建立了对应关系，初步设计中国石化风险库模板。（附表3：三级风险与控制措施对应情况） 通过编制风险清单与控制措施建立对应关系，使风险管理落地，真正落实《企业内部控制基本规范》和《中央企业全面风险管理指引》，为集团公司建立全面风险管理体系奠定基础。 * 4．深化内部控制与信息系统有机结合。 按照国际上通用的信息系统控制标准（COBIT框架），进一步梳理和优化了集团公司信息技术的整体控制、一般控制和应用控制。特别在加强应用控制方面，针对4个主要业务应用系统（包括ERP系统、资金集中管理系统、会计集中核算系统、加油卡系统），对其控制功能在实际应用的风