中国石油内部控制系统管理系统手册簿

《中国石油内部控制系统管理系统手册簿》由会员分享，可在线阅读，更多相关《中国石油内部控制系统管理系统手册簿（63页珍藏版）》请在装配图网上搜索。

1、word62 / 63部控制管理手册体系框架分册中国石油天然气股份二八年一月目 录公司简介 手册说明 1 总论11 概述12 部控制体系框架13 组织结构、职责与权限2 控制环境2.1 概述2.2 诚信与道德价值观2.3 开展目标.2.4 管理理念与企业文化2.5 风险管理策略. 2.6 董事会与下属委员会2.7 组织结构. 2.8 权利和责任分配2.9 人力资源政策与措施3.10 员工胜任能力 2.11 反舞弊机制3 风险评估31 概述32 建立风险评估机制33 建立并完善风险管理体系4 控制活动41 概述42 控制活动的实施5 信息与沟通51 概述52 信息53 沟通54 信息系统总体控制

2、55 信息系统应用控制56 信息披露6 监视61 概述62 持续监视63 独立评估64 缺陷报告附件 部控制管理手册地区公司分册编制规公司简介中国石油天然气股份简称“中国石油是于1999年11月5日在中国石油天然气集团公司简称“中油集团重组过程中，按照中华人民国公司法成立的股份。在重组过程中，中油集团向中国石油注入了与勘探和生产、炼制和营销、化工产品和天然气业务有关的大局部资产和负债。中国石油是中国销售额最大的公司之一，广泛从事与石油、天然气有关的各项业务，包括：1原油和天然气勘探、开发、生产和销售；2原油和石油产品的炼制、运输、储存和销售；3根本石油化工产品、衍生化工产品与其他化工产品的生产

3、和销售；4天然气、原油和成品油的输送与天然气的销售。中国石油发行的美国存托股份、H股与A股于2000年4月6日、2000年4月7日和2007年11月5日分别在纽约证券交易所、联合交易所与证券交易所挂牌上市。中国石油的财务业绩优良，2004年、2005年和2006年的净利润分别为1038亿元人民币、1333亿元人民币和1422.24亿元人民币。公司注册中文名称：中国石油天然气股份公司英文名称：PetroChina pany Limited公司法定代表人：洁敏公司董事会秘书：怀奇公司法定地址：中国东城区安德路16号洲际大厦邮政编码：100011：861084886270 ：861084886260

4、上市地点：证券交易所A股，股票代号为“N石油、联合交易所H股，股票代号为“HK00857和纽约证券交易所ADS，股票代号为“PTR。手册说明关于部控制管理手册目的、意义与原如此编制和实施部控制管理手册以下简称手册，是为了遵循国与上市地法律法规，进一步完善现代企业制度和法人治理结构，确保公司各项工作规、有序运行，最大限度地减少或躲避风险，提高公司的经营管理水平。通过编制手册，建立一套科学、系统的部控制体系建设的方法和规，为公司部控制体系建设、运行和维护提供指引，并作为建立、运行与评价部控制体系的依据。从而确保公司上下从思想上、认识上对部控制体系保持高度统一，以进一步实现行为上的统一。手册编写遵循

5、以下原如此：1选用COSO控框架进展体系设计；2以风险管理为核心的部控制体系建设；3满足国外监管要求。法律依据手册编写依据的法律法规。国法律法规：1中华人民国会计法与配套法规；2企业会计准如此；3中华人民国审计法；4审计署关于部审计工作的规定；5中央企业部审计管理暂行方法；6中央企业全面风险管理指引。国外法律法规：1萨班斯奥克斯利法案；2与财务报表审计协同进展的对于财务报告部控制的审计；3与财务报表审计相结合的财务报告部控制审计以与相关的独立性规定和一致性修正案审计准如此5号；4有关财务报告部控制管理层报告规如此的修订解释性指南。标准：1COSO部控制框架；2COSO企业风险管理整体框架。适用

6、围本手册所描述的部控制体系覆盖并适用于：1本公司所有部门和所属单位；2本公司部控制体系所涉与的所有业务和管理活动。贯彻实施的责任和要求手册已经建立了一套科学、系统的部控制体系建设方法和标准，是公司建设并实施部控制体系的纲领性文件。为保证部控制体系“设计有效、执行有力，公司所属各单位要认真组织实施，严格遵照执行。各地区公司要充分认识部控制体系建设工作的长期性和艰巨性，把建立和有效运行部控制体系作为本单位的重要工作，建立长效机制，指定专职管理部门或专职管理岗位，履行部控制职能，切实做到实施有力。为推动手册的贯彻执行，提高手册的使用效果，部控制部每年至少举办一次手册使用培训。各地区公司要有计划地做好

7、本单位的培训，将控工作要求传达到每个员工、每个岗位，确保执行到位。各地区公司要按照部控制管理手册地区公司分册编制规见附件的要求，修订、完善和细化本单位的分册。各地区公司控管理部门要对本单位部控制体系运行情况进展检查和督促，公司部控制部将定期组织考核并进展通报。使用指南容指引本手册包括六个分册，即体系框架分册、控制环境分册、风险评估分册、控制活动分册、信息与沟通分册与监视分册。1体系框架分册，描述了部控制体系组织结构与职责，较为全面地阐述了部控制体系的建设目标，并以COSO控框架为指引，从控制环境、风险评估、控制活动、信息与沟通和监视等五个方面对控关注要点与相应措施进展了较为全面、系统的阐述；2

8、控制环境分册，描述了控制环境的概念，并从诚信与道德价值观、开展目标、管理理念与企业文化、风险管理策略、董事会与下属委员会、组织结构、权利和责任分配、人力资源政策与措施、员工胜任能力以与反舞弊机制等十个方面对控关注要点、措施进展了阐述；3风险评估分册，描述了风险和风险评估的根本概念以与风险的分类，从建立风险评估目标、风险评估机制、建立并完善风险管理体系三个方面对控关注要点与相应措施进展了阐述，并汇编了风险评估的相关方法、规与管理制度；4控制活动分册，描述了控制活动的概念与分类，对公司控制活动的实施进展了概括，并汇编了关键控制管理文件；5信息与沟通分册，描述了信息与沟通的概念与要素，从信息、沟通、

9、信息系统与信息披露等五个方面对控关注要点与相应措施进展了阐述；6监视分册，描述了监视的概念与要素，并从持续监视、独立评估和缺陷报告三个方面对控关注要点与相应措施进展了阐述，并汇编了相关管理制度与规。使用要求本手册是公司重要文件，属公司。各单位应按相关要求正确使用，未经允许，不得复印，不得对外泄露。在使用过程中遇到疑难问题，与时向部控制部咨询。管理与维护部控制部对手册进展规管理，以保证其有效、完整、统一和适用。编写与发布手册由部控制部组织编写，控体系建设委员会审定，股份公司行文发布。发放1手册须按发放围统一发放。发放围由部控制部提出，经管理层批准执行。一般包括总裁、副总裁、机关职能部门、专业分公

10、司、地区公司与其下属单位等。2手册包括纸质版和电子版两种。电子版的配发围为业务流程管理信息系统的覆盖围；纸质版的配发围为公司所属单位与特殊使用者。维护手册的维护是一项长期性、经常性的重要工作，需要各单位高度重视，积极参与，大力配合。手册的修订、维护由部控制部负责。每年，部控制部将根据国和上市地新出台的相关法律法规的要求、外部审计对公司部控制的评价、公司控管理中出现的新问题以与地区公司反响的意见与建议等，对手册进展修订，经总裁批准执行。各地区公司应指定专职管理部门负责本单位手册的日常管理和维护。对手册日常使用过程中发现的问题，应认真记录并与时反响给部控制部。部控制部应与时掌握手册的执行情况，并采

11、取有效措施确保部控制管理体系的有效运行。关键术语和定义C0SOCOSO是自愿性的私人组织，致力于通过强化商业道德、建立完善有效的部控制和法人治理结构以提高财务报告的质量。1985年，由美国注册会计师协会AICPA、会计协会AAA、财务经理协会FEI、部审计师协会IIA、管理会计师协会IMA联合创建了反虚假财务报告委员会。该委员会旨在探讨财务报告中舞弊产生的原因，并寻求解决措施。两年后，该委员会提出了很多有价值的建议。基于该委员会的建议，其赞助机构成立了COSO委员会，专门研究部控制问题。COSO框架1COSO部控制整体框架反虚假财务报告委员会于1987年签署了报告，号召研究并制定一个统一的部控

12、制框架。1992年9月，COSO委员会提出了报告部控制整体框架1994年进展了增补，即COSO部控制框架。COSO部控制框架被广泛地选择作为构建和完善部控制体系的标准，是因为：虽然COSO部控制框架并非唯一的部控制框架，但却是美国证券交易委员会唯一推荐使用的部控制框架，萨班斯奥克斯利法案第404条款的“最终细如此也明确明确COSO部控制框架可以作为评估公司部控制的标准。COSO框架提出五个互相关联的组成要素，根据公司的规模和结构，公司可采用不同的方式来实施这些组成要素，但是所有公司都必须涉与这五个组成要素。因此，在对部控制进展评估时，管理层必须考虑以下每个组成要素：控制环境：控制环境是部控制体

13、系的根底，是有效实施部控制的保障，直接影响着公司部控制的贯彻执行、公司经营目标与整体战略目标的实现。控制环境确定了公司的总体态度，是部控制所有其他组成要素的根底。控制环境包括职业道德、员工的胜任能力、管理理念和经营风格、组织结构、权利和责任的分配、人力资源政策与措施、董事会与审计委员会以与反舞弊等容。风险评估：风险评估是识别与分析影响公司目标实现的风险的过程，是风险管理的根底。在风险评估中，应识别和分析对实现目标具有阻碍作用的风险。控制活动：控制活动是确保管理层的指令得到贯彻执行的必要措施，存在于整个机构所有级别和职能部门。包括批准、授权、查证、核对、经营业绩评价、资产保全措施和职责分工等活动

14、。信息与沟通：信息与沟通是公司经营管理所需的信息被识别、获得并以一定形式与时地传递，以便员工履行职责。信息不仅包括部产生的信息，还包括与公司经营决策和对外报告相关的外部信息。畅通的沟通渠道和机制使公司的员工能与时取得他们在执行、管理和控制公司经营过程中所需的信息，并交换这些信息。监视：监视是对部控制体系有效性进展评估的持续过程，包括持续监视、独立评估和缺陷报告等。2COSO企业风险管理整体框架最近数年，企业风险管理成为焦点而受到突出关注，需要一个强有力的框架以有效地识别、评估和管理风险。2004年9月，COSO委员会发布企业风险管理整体框架，在部控制的根底上，扩展、提供了一个更强有力的框架，更

15、广泛地专注企业的全面风险管理。该框架不会取代控框架，而是将控框架与其融合为一体。公司仍可以决定依靠这个企业风险管理框架去满足企业控的需要，通过采用更全面的风险管理方法使企业持续开展。企业风险管理由八项相互关联的要素组成，来自管理层经营企业的方式，并融入管理过程本身。这些要素包括： 部环境：部环境包含了一个企业的基调，为该企业管理层和员工审视和应对风险的方式制定根底，包括风险管理理念和风险容量、诚信和道德价值观以与他们进展经营活动所处的环境。目标制定：在管理层能够识别影响目标实现的潜在事件之前，企业必须已制定目标。企业风险管理确保管理层使制定目标的流程到位，并保持选择的目标支持企业的使命并与此并

16、行不悖，同时这些目标也与企业的风险容量相一致。事件识别：必须识别出影响企业实现目标的各种外部和部事件，并区分风险和机遇。可以在管理层制定企业战略或目标的过程中对机遇加以考虑。风险评估：应对风险进展分析，考虑其发生的可能性和影响，以作为确定应如何管理风险的根底。还应对企业固有风险与残存风险进展评估。风险反响：管理层选择风险反响方案：躲避风险、承受风险、减少风险或分担风险，采取一系列措施使风险维持在企业的风险承受度和风险容量围之。控制活动：确立和实施政策和程序，以有助于确保风险反响方案得以有效地贯彻执行。信息与沟通：相关信息以某种形式和在一定时限被识别、获得和传达沟通，以便使员工履行自己的职责。从

17、广义上讲，有效的沟通也应自上而下、自下而上地进展，贯穿整个企业。监视：监视整个企业风险管理过程，并根据需要作出修改。通过持续性监视活动、独立评估或两者兼而有之来完成监视。部控制COSO部控制框架认为，部控制是受公司董事会、管理层和其他人员影响，为实现经营的效率和效果、财务报告的可靠性、相关法规的遵循性等目标而提供合理保证的过程。企业风险管理 COSO企业风险管理整体框架认为，企业风险管理是一个受到企业董事会、管理层和其他人员影响的过程，这个过程从企业战略制定一直贯穿到企业的各项活动中，旨在识别那些可能影响企业的潜在事件并管理风险使之在企业的风险容量之，从而合理确保企业实现其既定目标。PCAOB

18、PCAOB是美国上市公司会计监管委员会的英文缩写。美国上市公司会计监管委员会PCAOB是根据2002年7月30日美国总统乔治布什签署的萨班斯奥克斯利法案成立的。其宗旨在于通过准备独立、准确的审计报告来保护投资者的利益，从而进一步保护公众的利益。根据美国联邦法律规定，PCAOB有权制定一系列准如此来指导和约束上市公司的审计。联邦法律还要求PCAOB每年向SEC和美国国会中主管PCAOB的委员会同时提交报告。对财务报告的部控制财务报告的部控制是由公司主要管理人员和财务管理人员或者执行类似职能的人员设计和监视的，由公司董事会、管理层与其他人员实施，并能合理确保财务报告的可靠性，以与向外部相关方提供的

19、财务报表的编制符合公认会计准如此的一个流程。该流程涉与对交易进展记录、记录的维护以与对未经授权的收购、使用或处置公司资产的行为进展防或检测的措施。设计方案的有效性当部控制能够满足控目标，并能防止或发现可能导致财务报表发生重大错报或舞弊时，财务报告部控制的设计方案就是有效的。运行有效性当设计恰当的控按设计运行，并且执行控的相关人员具备有效执行控制所需的权限和资格时，对于财务报告的部控制的运行是有效的。1 总 论11 概 述1.1.1 框架编制的目的通过确定部控制体系建设目标，明晰部控制体系建设的围和容，为公司建设以风险管理为核心容的部控制体系提供指引，以建立统一、规、有效的部控制体系，增强公司风

20、险防能力，为公司战略开展提供合理保障。1.1.2 框架编制的原如此1合法性原如此。以国与上市地法律法规为准绳，结合公司实际建立部控制体系。2完整性原如此。以COSO部控制整体框架为根底，融合COSO企业风险管理整体框架的主要容，结合国家监管部门的根本要求，全面开展部控制体系建设，覆盖全部业务和部门。3继承性原如此。在公司现有管理体系的根底上，依托已有管理优势，建立部控制体系。4效率性原如此。在保证体系设计合理性的前提下，提高公司运营效率和效益。1.1.3 框架编制的依据国资委中央企业全面风险管理指引；萨班斯奥克斯利法案；美国上市公司会计监管委员会PCAOB发布的相关审计准如此；COSO部控制整

21、体框架；COSO企业风险管理整体框架与公司相关管理规定。1.1.4 框架编制的思路与方法在现有控体系框架的根底上，结合COSO企业风险管理整体框架的主要容，按照国资委中央企业全面风险管理指引的根本要求，增加控制目标和体系建设容，汲取国外其他公司部控制体系建设的先进经验，根据公司管理实际编制部控制体系框架。1.1.5 体系框架的实施框架明确了公司控工作任务，是制定控工作规划的依据。框架确定的工作目标将在今后分年度实施。1.2部控制体系框架1.2.1 部控制体系建设的总体目标公司部控制体系建设的总体目标是：建立以风险管理为核心容，涵盖公司经营管理各领域，较为完善、运行有效的部控制体系，为公司战略开

22、展提供合理保障。1.2.2 部控制体系建设指导思想充分认识公司建设部控制体系工作的严肃性、重要性和紧迫性，以萨班斯奥克斯利法案的颁布为契机，以国资委发布的中央企业全面风险管理指引为指导，以提高公司管理水平为动力，依托已有的管理优势，适应公司国际化开展要求，开展以风险管理为核心容的部控制体系建设，为公司战略开展提供合理保障，从而树立和维护公司在国际资本市场诚信、稳健和安全的良好形象。1.2.3 框架的主要容1.2.3.1 控制环境控制环境确立公司风险管理的总体态度，是部控制体系的根底，是有效实施风险管理的保障，直接影响部控制体系的执行、公司经营目标与整体战略目标的实现。风险管理是受公司董事会、管

23、理层和其他人员影响的过程，这个过程从公司战略制定一直贯穿到企业的各项活动中，旨在识别那些可能影响公司目标的潜在因素并予以管理，使之在公司的风险容量之，从而为公司实现其目标提供合理保证。控制环境包括诚信与道德价值观、开展目标、管理理念与企业文化、风险管理策略、董事会与下属委员会、组织结构、权利和责任分配、人力资源政策与措施、员工胜任能力以与反舞弊机制等容。1诚信与道德价值观：建立涵盖公司各个层面的员工职业道德规，表现公司诚信与道德价值观念，树立员工诚信价值观。2开展目标：制定公司战略目标，并在此根底上制定相关经营目标、报告目标和合规性目标。3管理理念与企业文化：确立公司管理理念，表现公司的经营管

24、理风格；确立公司风险管理理念，表现公司认知经营管理风险所共有的信念和态度。继承和发扬公司企业文化，表现公司的经营宗旨、价值观念和行为准如此；将风险管理文化融入企业文化建设全过程，树立和传播正确的风险管理理念，增强守法意识和诚信意识，将风险管理意识转化为员工的共同认识和自觉行动，提高全员风险意识。公司高级管理人员应在继承和发扬风险管理文化中发挥表率作用，中层管理人员应继承和发扬风险管理文化的骨干作用。4风险管理策略：公司围绕开展战略，确定风险容量、风险承受度、风险管理有效性标准，表现公司风险管理的总体策略，并据此制定风险反响方案。公司确定针对开展战略的风险容量，表现公司在战略制定与实施过程中愿意

25、承受的风险围和风险水平，反映公司的风险偏好。公司针对特定目标，制定具体的风险承受度，表现在实现特定目标过程中公司对差异的可承受程度。公司确定风险容量和风险承受度，要正确认识和把握风险与收益的平衡，防止无视风险，片面追求收益或者单纯为躲避风险而放弃开展机遇。风险承受度与风险容量保持一致。公司根据风险管理的总体目标，制定风险管理有效性标准。5董事会与下属委员会：董事会的设立符合国外法律法规的规定。董事会负责督导公司部控制体系的建立和实施，督导公司将风险管理融入战略管理之中，监视公司以风险管理为核心容的部控制工作。董事会下属的审计委员会的设立符合国外法律法规的规定，负责监视部控制体系运行与评价情况。

26、6组织结构：建立规的法人治理结构，优化组织结构，明确部门权责并细化落实到各个岗位，规组织机构编制管理工作。建立部控制体系运行网络。建立健全公司部控制管理组织体系， 明确部控制组织体系的职责分工，形成包括董事会、审计委员会、管理层、控体系建设委员会、部控制管理部门、其他职能部门与各业务单位在的部控制管理组织体系。各单位根据实际情况，按规定设置部控制管理机构或管理岗位负责部控制日常管理工作。部控制管理工作应与其他管理工作严密结合，把控管理的各项要求融入企业管理和业务流程中。7权利和责任分配：建立完善的公司权责管理体系，制定完善的授权管理文件。8人力资源政策与措施：建立完善的公司管理人员任用选拔、管

27、理考核和激励监视等方面的政策。9员工胜任能力：健全全员职业培训和技能考核机制，持续提高员工的综合素质和工作能力。10反舞弊机制：制定反舞弊相关制度，建立反舞弊机制。持续开展舞弊风险评估，建立舞弊风险数据库。制定反舞弊控制措施，持续开展舞弊调查并进展违规处理。监视反舞弊机制运行效果并逐步予以完善。1.2.3.2 风险评估风险是指未来的不确定性对公司实现其目标的影响。风险评估是识别与分析影响公司目标实现的因素的过程，是风险管理的根底。在风险评估中，既要识别和分析对实现目标具有阻碍作用的风险，也要发现对实现目标具有积极影响的机遇。公司制定完善的风险评估规，明确风险评估的程序和方法，规公司风险评估工作

28、。公司风险评估工作由控部门组织有关职能部门和业务单位实施。1风险评估围公司针对战略目标、经营目标、报告目标、合规性目标，分别确认风险评估的围。2风险评估的根本程序1信息收集。围绕公司战略目标和相关目标以与风险管理要求，相关职能部门、业务单位和控管理部门广泛、持续收集与公司风险与风险管理相关的部、外部各种信息，包括收集历史数据和未来信息，关注宏观经济与经营环境、竞争对手、新技术与新产品、海外经营、公司重组、业务整合、会计政策、信息系统、资本运作等方面已经发生和将要发生的变化情况。公司对收集的数据、信息和变化情况进展必要的筛选、提炼、比照、分类、组合，形成与公司风险管理相关的信息资料库并不断更新，

29、以便进展风险评估。2风险识别。风险识别是指查找公司各项重要经营管理活动与其重要业务流程中存在的影响目标实现的风险和机遇的过程。公司分别从公司层面、业务活动层面，动态识别影响公司战略目标与相关目标实现的、部和外部的各种不确定性因素。带负面影响的因素代表风险，需要对其分析和应对；带积极影响的因素代表机遇，在制定目标和政策实施过程中对其加以考虑并把握。 公司层面风险识别。公司从战略开展的角度，识别公司层面面临的所有重大的不利因素和有利因素，从而识别风险，发现机遇。这些因素来自外部和部两个方面，外部因素主要包括政治因素、经济因素、社会因素、自然环境因素等；部因素主要包括根底设施因素、员工因素、流程因素

30、和技术因素等。 业务活动层面风险识别。公司制定业务流程描述规，建立流程目录并用流程图对所有业务进展直观描述。在业务流程描述的根底上，以业务流程步骤为主线，全面识别影响目标实现的相关因素。3风险评价。风险评价是评估风险对公司实现目标的影响程度和风险发生可能性的过程。公司针对固有风险和残存风险，运用定性和定量的方法，对公司层面和业务活动层面风险发生的可能性和影响程度进展分析、评价，并按照风险排序标准和方法，确定风险重要性水平，识别公司重大风险，确定风险管理的优先顺序。 4风险反响。风险反响是公司针对风险发生的原因、风险重要性水平，考虑风险之间的关系并把握机遇，运用风险组合观，选择风险反响方案的过程

31、。风险反响方案包括回避风险、减少风险、分担风险、承受风险。3风险数据库公司按照规定的程序和方法，开展公司层面风险和业务活动层面风险评估后，结合风险因素、重要性水平和风险反响方案，编制与维护公司层面风险数据库和业务活动层面风险数据库。.3.3 控制活动控制活动是确保管理层关于风险应对方案得以贯彻执行的政策和程序。控制活动存在于公司所有级别的分支机构和职能部门，包括授权、批准、查证、核对、报告、部审计、重大风险预警、企业法律顾问、经营业绩评价和资产保全措施等活动。公司应根据风险管理策略，针对各类风险或每一项重大风险制定相关的规章制度、控制政策和控制措施，确保风险控制在风险承受度的围。公司针对风险建

32、立的规章制度、控制政策和控制措施，要满足合规的要求，坚持经营战略与风险策略一致、风险控制与运营效率与效果相平衡的原如此，针对重大风险所涉与的各管理与业务流程，制定涵盖各个环节的全流程控制措施；对其他风险所涉与的业务流程，要把关键环节作为控制点，采取相应的控制措施。公司应当按照各有关部门和业务单位的职责分工，组织实施控制措施。1针对公司层面风险，按照风险反响方案，建立相应的公司层面风险控制政策，制定公司统一的规章制度，统驭业务活动层面控制。2针对业务活动层面风险，以公司层面控制政策为导向，规业务流程，制定业务活动层面风险控制措施。1控制现状描述与分析。制定风险控制文档编制规和模板，对业务流程进展

33、风险控制分析，编制风险控制文档RCD，对控制的合理性、完整性进展分析。2规、统一业务流程。根据风险控制分析结果，补充、完善相关控制，规、统一流程步骤、控制规和记录表单，建立规、统一的业务流程。3建立关键控制。建立完善的关键控制确认方法，确定所有业务流程的关键控制并建立关键控制管理文件。4强化自动控制。通过实施信息系统自动控制，固化流程操作程序，提高控制执行效率和效果。 3财务会计报告流程。建立健全财务会计报告流程，完善财务会计报告相关制度。4建立并实施经营管理活动分析评价制度。各级管理层开展经营管理活动分析，对经营管理情况实施审核和监视。1.2.3.4 信息与沟通信息与沟通是公司经营管理所需的

34、信息被识别、获得并以一定形式与时地传递，以便员工履行职责。信息不仅包括部产生的信息，还包括与公司经营决策和对外报告相关的外部信息。畅通的沟通渠道和机制使公司的员工能与时取得他们在执行、管理和控制公司经营过程中所需的信息。公司建立符合开展战略并与经营管理活动一体化的信息系统，为公司风险管理提供足够的信息资源和顺畅的沟通渠道。1信息资源收集。公司持续不断地识别、收集、整理与归纳来自部与外部、经营与管理的各种信息。针对不同的信息来源和信息类型，明确各种信息的收集人员、收集方式、传递程序、报告途径和加工与处理要求，确保经营管理各种信息资源得到与时、准确、完整收集。2信息沟通渠道。公司建立横向和纵向相互

35、通畅、贯穿整个公司的信息沟通渠道，确保公司目标、风险策略、风险现状、控制措施、员工职责、经营状况、市场变化等各种信息在公司部得到有效的传达。公司建立适当的渠道，与公司的相关方如供给商、客户、律师、股东、监管机构、外部审计师，就相关信息进展必要的外部沟通。3信息披露。公司制定完善的信息披露管理制度，明确重大事项的判定标准和报告程序，确定披露事项的收集、汇总和披露程序，符合资本市场监管要求。4信息系统公司将信息技术应用于风险管理各项工作，运用信息系统对经营管理进展过程控制和信息的采集、存储、加工、分析、测试、传递、报告和披露等，实现对各种风险计量和定量分析、定量测试；能够适时反映风险矩阵和排序频谱

36、、重大风险和重要业务流程的监控状态并进展重大风险预警；能够满足风险管理部信息报告制度和企业对外信息披露管理制度的要求。信息系统应实现信息在各职能部门、业务单位之间的集成与共享，既能满足单项业务风险管理的要求，也能满足企业整体和跨职能部门、业务单位的风险管理综合要求。1建立信息系统总体控制。建立包括信息系统的控制环境、信息安全、项目建设管理、系统变更管理、系统运行维护、最终用户操作等六方面容的信息系统总体控制规与规章制度。2建立信息系统应用控制。全面识别应用系统相关风险，建立完善的应用系统控制规，对应用系统的输入、处理和输出进展有效控制。公司信息系统提供的信息应达到一致性、准确性、与时性、可用性

37、和完整性的目标。公司确保信息系统稳定运行和安全，并根据实际需要不断进展改良、完善或更新。3建立流程管理信息系统。建立统一业务流程管理平台，实现业务流程语言、设计规、管理制度、控制措施、流程发布的统一管理，建成满足全面风险管理，具有开放性、可拓展性的流程管理信息系统。1.2.3.5 监视监视是对部控制体系有效性进展评估的持续过程。包括持续监视、独立评估和缺陷报告等。公司应以重大风险、重大事件和重大决策、重要管理与业务流程为重点，对控体系的有效性实施监视。1持续监视。公司制定部控制体系运行与维护管理制度，定期维护部控制管理手册，将部控制工作纳入公司各级管理层业绩考核，构建部控制体系运行长效机制。公

38、司各级管理部门、流程责任部门，在体系日常运行中，实施自我监视和自我检查，并将检查、检验报告报送控管理部门。2独立评估。以风险为导向，建立完整的测试规，定期对各部门和业务单位部控制体系有效性进展检查和监视。3缺陷报告。建立健全缺陷报告管理机制，制定缺陷认定规，明确上报控缺陷的程序。13 组织结构、职责与权限131 目的通过建立分工合理、职责明确、报告关系清晰的组织结构，明确控管理决策机构、管理机构、执行机构和监视机构的责任和义务，确保本公司部控制的职责、权限与其相互关系得到规定和沟通，使本公司部控制体系得到有效运行。132 机构公司部控制和风险管理体系工作，在总裁领导下形成决策、管理、执行、监视

39、四个层次的管理架构：1决策机构：控体系建设委员会是公司部控制和风险管理工作的决策机构；2管理机构：部控制部作为公司部控制体系日常管理部门和委员会的办事机构；3执行机构：总部各部门、专业分公司、地区公司作为执行层，按照部控制和风险管理体系的统一要求，具体组织落实；4监视机构：审计部门行使监视职能，负责对体系运行状况实施测试监视。为加强对部控制体系管理工作的组织和领导，各地区公司成立相应的控体系建设委员会。控体系建设委员会由各单位有关领导和部门负责人组成，由总经理担任控体系建设委员会主任。控体系建设委员会下设办公室。133 职责与权限1331 公司控体系建设委员会主要职责1审定部控制体系框架与实施

40、计划。 2审定部控制体系建立、测试和评估方案，对部控制体系建设工作进展安排、部署。3协调解决部控制体系建设工作中的重大问题。4审查批准对各部门、专业分公司和地区公司进展部控制体系建设的考核方案，并组织实施。5负审定需要提交董事会或管理层解决的重大事项。6督导、督促公司部控制体系的建立、完善和运行。1332 部控制部主要职责1根据国家有关法律、法规与相关规定，负责组织制定集团公司、股份公司部控制与风险管理制度、标准与方法；2负责编制集团公司、股份公司部控制与风险管理体系建设规划、体系框架，并组织实施；3负责组织集团公司、股份公司风险评估工作，确定重大风险，建立风险数据库；4负责组织和协调集团公司

41、、股份公司业务流程相关工作管理；5负责组织集团公司、股份公司风险控制设计与实施，负责部控制与风险管理体系日常维护；6协调、外部审计测试，组织开展运行评价、改良测试和缺陷评估。负责组织部控制与风险管理体系运行监视考核；7代拟股份公司管理层部控制评估报告，协助董秘局处理对外披露相关事宜；8负责集团公司、股份公司部控制与风险管理业务培训。1333 公司各部门、专业分公司、地区公司职责1审计部负责部控制体系执行有效性的监视，组织实施管理层测试，其主要职能包括：1编制管理层测试计划和方案，经管理层批准后组织实施；2按照审计规定和公司发布的部控制体系评价规，每年定期组织实施管理层测试，对测试结果进展汇总、

42、确认和分析，并分别向管理层和审计委员会汇报；3对被测试单位股份公司机关、专业公司、地区公司出具测试报告。2监察部、审计部负责建立和完善反舞弊工作机制。3信息管理部负责公司信息系统总体控制和应用控制管理制度的建立、运行维护工作。4法律部负责公司规章制度和法律风险的综合管理5公司各部门、专业公司按照部控制和风险管理体系的各项要求，具体负责本部门、专业公司控体系建设、运行、维护等工作的具体实施。6地区公司控建设是股份控体系的组成局部。地区公司按照部控制管理手册的要求，具体负责本公司部控制体系建设、运行、维护等工作，并对特殊风险和业务流程制定专门管理方法。地区公司的部控制管理承受公司部控制部领导。2

43、控制环境2.1 概 述2.1.1 概念控制环境确立公司风险管理的总体态度，是部控制体系的根底，是有效实施风险管理的保障，直接影响部控制体系的执行、公司经营目标与整体战略目标的实现。2.1.2 要素控制环境包括诚信与道德价值观、开展目标、管理理念与企业文化、风险管理策略、董事会与下属委员会、组织结构、权利和责任分配、人力资源政策与措施、员工胜任能力以与反舞弊机制等容。2.1.2.1 诚信与道德价值观一个公司的目标与目标实现的方式基于该公司的优先选择、价值判断和管理层的经营风格。这些优先选择和价值判断反映出公司管理层的诚信与其信奉的道德价值观。2.1.2.2 开展目标公司制定开展目标,作为风险评估

44、的前提条件，只有先确立了目标，管理层才能针对目标确定风险，并采取必要的行动来管理风险。公司制定战略目标，并在此根底上制定相关经营目标、报告目标和合规性目标。战略目标：与高层次目标有关，支持公司的使命并与此相一致。经营目标：与公司资源利用的效率和效果、防止公司不因灾害性风险或人为失误而遭受重大损失有关。报告目标：与为公司经营管理和对外披露提供信息的可靠性有关。合规性目标：与公司对适用法律和法规的遵循性有关。公司开展目标可以分为公司层面目标和业务活动层面目标。公司层面目标是指公司的总目标和相关战略计划，与高层次资源的分配和优先利用相关。业务活动层面目标是总目标的子目标，是针对公司业务和管理活动的更

45、加专门化的目标。2.1.2.3 管理理念与企业文化管理层的管理理念和企业文化会影响公司的管理方式，包括面对各种风险的态度。管理层的管理理念和企业文化还表现在：管理层对财务报告的态度，在现在可替代的会计准如此选择方面是保守的还是激进的，进展会计核算时是否遵循慎重性原如此，对待数据处理、会计职能与人事管理方面的态度如何等。 继承和发扬公司企业文化，表现公司的经营宗旨、价值观念和行为准如此；将风险管理文化融入企业文化建设全过程。2.1.2.4 风险管理策略公司围绕开展战略，确定风险容量、风险承受度、风险管理有效性标准，表现公司风险管理的总体策略，并据此制定风险反响方案。2.1.2.5 董事会与下属委

46、员会控制环境和“高层管理基调受到公司董事会与下属委员会的重大影响。影响因素包括：董事会和审计委员会相对于管理层的独立性、其成员的经验和职业道德水平、参与和监视公司活动的围以与其行为的适当性；影响因素还包括董事会和审计委员会对涉与公司计划或业绩等问题的询问和质疑程度以与管理层解决这些问题的程度，董事会和审计委员会与、外部审计师的交流和沟通程度。2.1.2.6 组织结构公司的组织结构提供了一个构架，在此构架中为实现公司目标对公司活动进展规划、执行、控制和监视。建立一个相关的公司组织结构的主要容包括：确定权责的关键领域以与建立适当的报告负责部门。公司根据自身的需要来确定其组织结构。公司组织结构的适当

47、性在相当程度上取决于公司的规模与其活动的性质。2.1.2.7 权利和责任分配包括对公司经营活动的权限和职责分配、建立上下级报告关系和授权协议。它涉与到鼓励个人和团队主动提出和解决问题的程度以与他们被授予的权限，还涉与到描述适当的开展业务的政策、骨干员工的知识和经验以与为履行职责而提供的资源。2.1.2.8 人力资源政策与措施人力资源政策引导员工达到公司期望的职业道德水平和胜任能力。人力资源工作涉与员工聘用、定岗、培训、评价、晋升、考核、薪酬等活动。2.1.2.9 员工胜任能力胜任能力应反映出员工完成工作任务所需要的知识和技能。工作任务需要具备什么样的知识和技能的员工来完成，通常是管理层根据公司

48、的目标和实现这些目标的战略和计划，在胜任能力和本钱之间进展平衡后做出的决策。2.1.2.10 反舞弊机制反舞弊机制不仅需要满足合法性要求，而且应该具有预防性和与时性，受到公司管理层的直接监督和重视。它强调审计、监察等部门的作用，主要包括进展舞弊风险分析、评估并测试反舞弊控制设计和执行的有效性、执行舞弊违规调查并提出整改意见等工作。2.2 诚信与道德价值观2.2.1 职业道德规的制定与推行2.2.1.1 控关注要点管理层应该向员工传达职业道德规，并且必须不折不扣地执行。员工应该知晓和理解这些规定。管理层应该在言谈和行动中表现出对职业道德规一丝不苟的遵循。具体包括：1职业道德规是全面的，针对利益冲

49、突、非法或其他不当付款、反不正当竞争准如此、幕交易等。2公司对职业道德规进展有效的宣传推广。3员工知晓什么行为是可承受的，什么是不可承受的，以与当遇到不当行为时应该采取的行动。2.2.1.2 措施1建立并推行高级管理人员的职业道德规。1公司制定中国石油天然气股份高级管理人员职业道德规，并使其与国有企业领导人员廉洁从业假如干规定试行、中国石油天然气股份章程、企业精神与宗旨、企业核心经营管理理念成为公司对各层管理人员，包括董事在的，特别是高级管理人员的主要道德准如此。2公司制定中国石油天然气股份高级管理人员职业道德建设制度，将对高级管理人员职业道德规的宣传作为职业道德建设的重要工作容：公司总裁是公

50、司职业道德的倡导者，践行的表率，也是公司职业道德建设的第一责任人。总裁通过公开信函把公司高级管理人员职业道德规介绍给全体高级管理人员并提出努力执行的希望和要求，并在每年工作会上宣讲高级管理人员职业道德规；同时对职业道德建设提出要求。公司将职业道德建设列入公司高级管理人员的培训容，通过印发学习资料、把职业道德建设列入局部培训班的学习容、利用网络或开设职业道德建设学习栏目等多种形式开展培训。公司要求新提升聘任的高级管理人员与时学习职业道德规。公司每年组织高级管理人员签订“职业道德规确认书，并将签订的责任书报企业文化部。2建立并推行员工职业道德规。1公司制定中国石油天然气股份员工职业道德规，与中国石

51、油天然气集团公司企业文化建设纲要成为适用于全体员工的职业道德规。2公司制定中国石油天然气股份员工职业道德建设制度，对员工职业道德规的宣传是公司职业道德建设的重要工作容：总裁通过文件、讲话等不同形式把公司员工职业道德规介绍给全体员工，并提出践行的希望和要求。公司每年的工作会议上均有宣讲职业道德的容，并对员工提出遵守职业道德规的要求。将职业道德建设列入公司员工的培训容，通过印发学习资料，把职业道德建设列入员工培训的常规学习容，以与利用网络与其他形式进展职业道德建设学习宣传。对新员工开展关于职业道德规方面的岗前教育培训，并在劳动合同中纳入遵守公司职业道德规的容。3对员工遵守职业道德规情况进展监视。公

52、司监察部和人事部等部门根据公司管理层的授权，对公司员工遵守职业道德规的情况进展监督。员工违反职业道德规的任何行为，除依照国家法律、上市监管地规如此进展处理外，公司可以根据有关文件规定对其处分直至解除劳动合同。2.2.1.3 文档性记录1中国石油天然气股份总裁致高级管理人员的信。2中国石油天然气股份高级管理人员职业道德规确认书。3培训记录。4会议材料领导讲话材料、会议纪要或记录等。2.2.2 “高层管理基调的建立 控关注要点“高层管理基调的建立包括详尽的道德指导和在公司上下沟通程度的指导。具体包括：1通过一言一行，在公司围传达对职业道德规的遵循。2员工感觉到被敦促做正确事情的压力。3管理层对存在

53、问题的迹象予以适当关注。2.2.2.2 措施1董事会负责对公司高级管理人员的职业道德规遵守情况进展监视，并授权公司总裁负责实施。公司管理层定期对高级管理人员职业道德规的充分性和有效性做出评价，根据评价情况或董事会的要求做出修改。2公司职业道德建设强调从“一把手做起，总裁通过文件、讲话等不同形式把职业道德规的要求传达给全体员工，并提出践行的希望；同时，通过领导干部廉洁从业检查、建立健全信访举报机制以与公示方法，在公司围传达管理层对职业道德规的要求。3公司根据中国石油天然气股份劳动合同管理暂行方法和相关业绩考核方法等多项规章对员工实施管理，对出现的违规行为进展处理，敦促员工遵守职业道德规。2.2.

54、2.3 文档性记录1会议材料领导讲话材料、纪要或记录等。2对员工违规的处理材料等。2.2.3 与利益相关方的关系2.2.3.1 控关注要点管理层与员工、供给商、客户、投资者、债权人、保险公司、竞争对象和审计师等进展交往时，是否采用高的道德标准，并且要求其他人同样遵守道德标准。具体包括：与客户、供给商、员工和其他相关方的日常业务建立在诚实和公允的根底上。2.2.3.2 措施1公司视诚信为立身之本、开展之基、信誉之源，要求在对外交往中也应遵循“平等互利、诚实守信的原如此。2公司在中国石油天然气股份高级管理人员职业道德规中强调高级管理人员应当公平对待员工、客户和供给商，不得通过操纵、隐瞒、滥用专用信

55、息或对重大事实进展不实述等做法，不公平地对待上述人员。3公司在中国石油天然气股份员工职业道德规中规定：员工不得承受可能影响商务决策和有损独立判断的有价馈赠，严禁为商务目的而以任何手段向政府官员提供、给予或承诺给予金钱和其他有价值的物品。4公司设立举报、网上举报中心和电子举报信箱，鼓励全体员工和合作方检举任何所获知或遇到的违规行为。2.2.3.3 文档性记录客户投诉、举报记录。2.2.4 违规处理2.2.4.1 控关注要点针对违反政策和道德标准的情况采取适当的措施，具体包括：1管理层对违规行为应进展回应。2对违规行为要进展处理，处理的原如此和结果应在公司上下进展传达。3员工确信如果违规要承当后果

56、。2.2.4.2 措施1公司注重对员工违规情况的管理，主要通过审计、信访举报、监视等渠道进展。依据中国石油天然气股份劳动合同管理暂行方法等相关管理文件对员工违规行为进展处理。公司通过将需要承受处罚的违规行为写入劳动合同，使员工明确违规必定要受到处罚。对员工违规的处理主要采取批评教育、组织谈话、纪律处分等形式，处理结果在适当围进展通报。对重大违规事件还在公司围进展典型案例剖析，开展警示教育。2公司制定管理人员违纪违规处理等相关规定，强化监视约束机制，规管理人员行为，维护公司合法权益，保障公司健康开展。2.2.4.3 文档性记录1信访案件情况通报。2案例分析和警示教育宣传材料。3对员工违规的处理材

57、料等。2.2.5 管理层对干预或逾越既定控制的态度2.2.5.1 控关注要点管理层对干预或逾越既定控制的态度，具体包括：1管理层就需要进展干预的情形和进展干预的频率订立方针。2管理层对控制制度的干预被适当地记录和解释。3明确禁止管理人员逾越既定控制。2.2.5.2 措施1公司的管理制度对各项业务的管理职责进展了界定，明确了部门与相关人员的职责和权利。2公司通过岗位职责描述和权限指引的方式对各级管理人员的职责和权限进展详细描述，敦促员工按程序办事。3管理层为了合法的目的而发生偏离既定的规章和程序的情形被详细记录。4公司明确禁止管理人员违反公司的规定，鼓励对违纪违规行为进展举报，并予以。2.2.5.3 文档性记录1风险控制文档。2员工岗位职责描述。3有关干预的记录。2.2.6 实现目标的压力2.2.6.1 控关注要点确定合理的绩效目标，特别是短期目标；工资与绩效目标实现的挂钩程度是合理的。具体包括：1不存在偏激的奖惩制度，影响员工对道德标准的遵守。2升职和工资不能仅基于短期绩效目标的实现程度。3实施控制以减少其他形式存在的诱惑。2.2.6.2 措施1公司注重建立以业绩为根底的激励机制，针对不同层次的员工，分别制定中国石油天然气股份总裁