中国石油化工股份有限公司
内部控制检查评价与考核办法
第一章 总 则
第一条 为加强中国石油化工股份有限公司(以下简称股份公司)内部控制,提高管理水平,遵循国内外资本市场监管要求,正确评价内部控制,根据股份公司《内部控制手册》(以下简称内控手册)有关规定,特制定本办法。
第二条 内部控制检查评价与考核工作的领导和组织
股份公司内部控制领导小组(以下简称股份公司内控领导小组)统一领导股份公司内部控制检查评价与考核工作。股份公司内部控制领导小组办公室(以下简称股份公司内控办公室)具体负责股份公司内部控制检查评价与考核工作的组织实施。
第三条 股份公司内部控制检查评价形式
股份公司内部控制检查评价实行“总部检查评价”和“单位自查评价”两级检查评价体制。其中,“总部检查评价”包括“股份公司年度综合检查评价”和“审计部独立检查评价”;单位自查评价包括“分(子)公司自查”和“总部部门自查”。
“股份公司年度综合检查评价”是股份公司内控领导小组组织对各单位内部控制实施情况的综合检查与评价,每年选取一定数量的单位检查。
“审计部独立检查评价”是审计部每年至少对25家分(子)公司内部控制的实施情况进行独立检查评价。检查评价结果报股份公司内控领导小组审定后,作为股份公司年度综合检查评价的组成部分。
“分(子)公司自查”是各分(子)公司按照内控手册有关规定,组织开展的业务流程测试和内部控制执行情况的检查评价工作,由三部分组成,即:业务流程季度穿行测试、审计抽查和年度自查。其中,业务流程季度穿行测试是指责任部门和责任人每季度对相关业务流程和关键控制点的有效性至少穿行测试一次,测试记录(报告)报本单位内控办公室;审计抽查是指分(子)公司内部审计人员参与内控检查或独立抽查一定数量业务流程,独立抽查评价结果向本单位内控领导小组汇报并报审计部,相关资料交本单位内控办公室;年度自查是指分(子)公司内控领导小组(办公室)每年至少组织一次内部控制综合检查评价,每次检查区间须与上一检查区间衔接,对内审部门独立抽查的业务流程可不再重复检查评价。年度自查应填写自查工作底稿,检查结果连同业务流程季度穿行测试情况、审计抽查情况等一并形成自查评价报告,经分(子)公司经理审定后,于次年2月1日前报股份公司内控办公室。
“总部部门自查”是总部有关部门至少每半年对责任业务流程和控制点的有效性穿行测试一次,结合日常专业管理,对分(子)公司的执行情况适当抽查。穿行测试及抽查结果形成书面报告,经部门主任审定后,向股份公司内控领导小组汇报,并于每年8月1日和次年2月1日前报股份公司内控办公室。
第四条 内部控制检查评价人员
股份公司内控办公室在各有关专业领域内公开选拔若干名业务骨干,组建内部控制专业人员队伍,并定期进行培训,经考试合格者颁发“内控专业人员”资格证书。年度综合检查评价时,以“内控专业人员”为主组成检查评价小组,对各单位进行现场检查和评价,各类检查评价结果必须由“内控专业人员”签字确认。
第五条 本办法适用于股份公司总部各部门、事业部,各分(子)公司、研究院(以下简称各单位)。
各单位可参照本办法,结合实际,制定本单位内部控制检查评价与考核办法。
第六条 审计部按照本办法独立进行内部控制检查评价。
第二章 股份公司年度综合检查评价
第七条 股份公司年度综合检查评价的原则
股份公司年度综合检查评价(以下简称综合检查)以内控手册为基础,对各单位内部控制的健全性、实施的有效性等进行综合检查和评价。
第八条 综合检查内容及评分
综合检查内容:内部控制环境评价、单位自查情况评价、业务流程综合检查评价、内部控制缺陷认定及整改落实等,总分100分。综合检查结果,记录在《内部控制检查评价汇总表》中(见附件1)。
(一)内部控制环境评价10分。
(二)单位自查情况评价20分。
(三)业务流程综合检查评价70分。
(四)内部控制缺陷认定,包括财务报告缺陷认定和非财务报告缺陷认定(参见第十四条)。
财务报告缺陷分为3个等级,即:一般缺陷、重大缺陷和实质性漏洞。非财务报告缺陷一般情况下视同一般缺陷。股份公司内控办公室根据确认后的等级修正综合检查评分。
一般缺陷:扣减综合检查得分的1%;
重大缺陷:扣减综合检查得分的50%;
实质性漏洞:综合检查得分为零。
当出现多个缺陷认定结果时,按扣减比例累加结果对综合检查量化评分进行修正。
(五)整改落实。
现场检查评价结束后2个月内,被检查单位应就未执行的控制点及内部控制缺陷制定措施并认真落实整改。股份公司内控办公室会同总部有关业务流程责任部门复核整改结果。
第九条 综合检查工作流程
(一)制定检查评价工作方案。
股份公司内控办公室统一制定综合检查工作方案,报股份公司内控领导小组批准后,派出检查小组对各单位进行现场检查和评价。
(二)现场检查和评价。
检查小组进驻各单位进行现场检查和评价,遇到问题应及时向股份公司内控办公室报告。股份公司内控办公室对现场检查中遇到的各类问题要及时协调和研究解决。现场检查结束后,检查小组向股份公司内控办公室提交现场检查评价报告及有关资料。
(三)检查评价结果复核与确认。
股份公司内控办公室会同有关部门对现场检查评价结果统一复核和确认,结合审计部独立检查评价结果,形成年度综合检查评价报告,报股份公司内控领导小组审定。
第十条 现场检查评价工作流程
(一)检查动员。
检查小组对内部控制检查的目的、意义等向被检查单位宣讲和动员,对检查工作进行安排和部署。
(二)单位配合。
被检查单位向检查小组全面介绍:
1.本单位的基本情况(生产经营业务范围、组织机构、经理班子成员及其分工、财务管理核算体制、ERP建设和实施情况等);
2.被检查期间生产经营计划和预算完成情况;
3.内部控制实施情况(内控宣传培训、实施细则及相关制度修订完善、日常内控工作机制、单位测试自查及整改情况);
4.最近一次审计或财务稽核查出问题的整改情况等。
(三)现场检查。
检查小组根据被检查单位适用业务流程和检查小组人员构成情况等进行工作分工。每个检查项目配备相应的检查人员,同时由他人复核。现场检查人员应根据内控手册控制点规定,参考检查工作底稿中检查步骤及方法,认真对照检查评价标准,填写检查工作底稿,做出检查评价结论。检查小组组长、副组长或经其授权的人员须审核全部检查结果,并对检查结果的真实性负责。检查工作底稿由被检查单位流程责任人签字确认。
(四)汇总检查评价结果。
检查小组对检查中发现的各类问题进行研究和确定,汇总检查评价结果,形成现场检查评价初步结果。
(五)通报检查评价情况。
检查小组就现场检查评价初步结果与被检查单位交换意见,形成现场检查评价报告,向被检查单位通报。
对检查小组做出的检查评价结论,被检查单位不得以任何形式施加影响;对检查评价结论有不同意见,可向股份公司内控办公室书面反映,由股份公司内控办公室会同有关部门研究解决方案并报股份公司内控领导小组审定。
(六)跟踪整改。
对检查中发现的问题,被检查单位要及时制定整改方案,并认真落实整改,整改情况及结果须在检查结束后2个月内向股份公司内控办公室反馈。股份公司内控办公室会同总部业务流程责任部门对各单位的整改情况进行跟踪和监督。
第十一条 内部控制环境评价
内部控制环境是开展内部控制各项工作的基础,是内部控制检查评价的重要内容之一。检查小组在现场检查评价过程中,要注重与被检查单位各级人员的交流与沟通,通过访谈、调查、实地观察等形式了解并掌握被检查单位内部控制环境,由检查小组组长、副组长或经其授权的人员填制《内部控制环境检查评价表》(见附件2),对被检查单位诚信与道德、责任分配与授权、组织结构、管理哲学与经营风格、人力资源政策与实务、信息与沟通、监督等方面作出评价,进而对被检查单位内部控制环境综合评价。
第十二条 单位自查情况评价
股份公司年度综合检查评价中,对单位自查情况验证和评价。
(一)分(子)公司自查情况评价。
分(子)公司自查评价的内容包括“业务流程季度穿行测试”和“年度自查”。检查小组在现场检查过程中对分(子)公司自查情况进行验证和评价,由检查小组组长、副组长或经其授权的人员填制《内部控制自查情况检查评价表》(见附件3)。
(二)总部部门自查情况评价。
按照《总部层面内部控制检查评价与考核实施细则》执行。
第十三条 业务流程综合检查评价
业务流程综合检查评价,执行如下程序和要求:
(一)确定适用业务流程范围。
参照内控手册“附则2”,确认被检查单位适用的业务流程范围。对被检查单位根据管理需要,申请调整并经股份公司内控办公室批准的业务流程,按批准后的业务流程列入检查评价范围。
股份公司直属研究院,依据《研究院内部控制手册》检查评价。
(二)确定所属单位或部门的抽查范围。
根据业务流程检查需要,结合被检查单位的管理层级和产(股)权结构情况,确定对被检查单位下属单位及子公司的抽查范围和数量:
1.实行两级或两级以上核算(或管理)的单位,检查小组应根据所属单位的数量、规模等情况抽取样本,抽查样本应覆盖一定数量的所属单位。
2.对被检查单位的所属(或管理)全资子公司和控股子公司,原则上要全部检查。对控股子公司较多,无法全部检查的,可根据实际情况选择影响较大的控股子公司进行抽查。
对抽查的子公司,检查其内部控制环境及内控制度建设情况,并根据被查单位对子公司的管理要求,结合其自行制定的内控制度,重点检查采购、销售、资金管理(含担保)、资本支出、关联交易、合并报表等主要业务。对未有效执行的控制点,可扣减被检查单位相同或相近的控制点得分;内控缺陷认定比照本办法,扣减被检查单位总得分;未建立内控制度的,被检查单位视同存在实质性漏洞。
(三)确定适用控制点。
参照业务流程中的“适用单位”,结合业务实际发生情况,确定被检查单位适用控制点。
对不适用控制点或适用控制点但未发生业务的,相应的“控制点分值”清零,并在《业务流程检查工作底稿》的“检查记录”栏内标注“不适用”或“未发生”字样(参见附件4:业务流程检查工作底稿标准格式)。
(四)控制点抽样检查与记录。
业务流程控制点按其性质可分为“财务报告相关控制点”和“非财务报告相关控制点”两类。凡在《业务内部控制矩阵》中注明“会计报表项目”的控制点为“财务报告相关控制点”,其余为“非财务报告相关控制点”。
检查评价区间跨年度时,原则上按照内控手册最新版本对不同期间业务进行检查评价。但对于上一年度业务不符合最新版本规定但符合原版本规定的,视同有效执行。
1.抽样检查原则。
控制点抽样检查,原则上采取“随机抽样”的方法,抽取的检查样本应尽可能包含大、中、小各种金额类型,并均匀覆盖规定的检查区间。其中,检查区间包含12月份的,则至少应抽取12月份的一笔检查样本。根据检查需要,检查小组也可灵活采用实地查验法、个别访谈法等其它检查方法,或与抽样检查方法结合使用。
2.财务报告相关控制点的抽样方法与记录。
财务报告相关控制点检查样本抽取数量,根据业务发生频率高低及相关会计科目的重要性确定。
业务发生频率与样本抽取数量对照关系如下:
各业务流程财务报告相关控制点的具体抽样数量、记录内容等,参照《财务报告相关控制点抽样记录表》的要求执行(参见附件5:财务报告相关控制点抽样记录表标准格式)。检查人员可根据需要,增加抽样数量。
3.非财务报告相关控制点的抽样检查方法与记录。
对非财务报告相关控制点的检查评价,至少要抽取3个样本(实际发生业务数量少于3笔的,要全部检查)。记录内容至少包括样本名称、业务编号(凭证号/合同号/文件号)等。
4.“未执行”控制点的记录。
对抽取的每笔业务,应参照《业务流程检查工作底稿》中“控制点描述”、“检查步骤及方法”、“控制点相关资料”,尽可能穿透检查,判断样本是否有效执行。“未执行”的控制点,要复印留存有关抽查样本及相关证明材料。
未执行的控制点,在《业务流程检查工作底稿》中“未有效执行的原因”栏目详细记录未执行样本的业务编号(凭证号/合同号/文件号等)及具体未执行原因。财务报告相关控制点,还应在《财务报告相关控制点抽样记录表》的“有效执行/未有效执行样本序号”栏目内记录“未执行”样本的序号,“有效执行”的财务报告相关控制点,在其对应栏目内填写“√”。
(五)控制点检查评价。
控制点的检查评价,包括“不相容岗位(职务)分离情况评价”和“控制点执行情况评价”两项内容。
1.不相容岗位(职务)分离情况评价。
按照业务流程中列示的“不相容岗位”,检查实际工作中是否对不相容岗位(职务)进行了有效分离。未做到不相容岗位(职务)分离的,视为 “未执行”,控制点“检查评价得分”为零。
2.控制点执行情况检查评价。
参照《业务流程检查工作底稿》中“检查步骤及方法”对控制点执行情况检查评价。
控制点的所有抽查样本中,如果有一个样本存在下列情况之一,即视为该控制点“未执行”,控制点“检查评价得分”为零:
(1)未执行规定的控制步骤或控制方法;
(2)突破规定的权限;
(3)不能及时提供有效的控制点相关资料;
(4)未实现规定的控制目标。
以上两项检查评价全部合格的控制点视为“有效执行”控制点,获得相应的“控制点分值”得分。
3.参照执行控制点的检查评价。
对相关业务流程之间参照执行的控制点,无须重复检查。参照执行控制点的评价得分,以被参照业务流程控制点评价结果为准。其中,一个控制点参照执行两个及以上控制点的,以被参照业务流程控制点中最差评价结果为准。
(六)业务流程综合检查评价量化评分。
业务流程综合检查评价总分为70分,计算方法如下:
业务流程综合检查评价得分=∑控制点检查评价得分×70/∑控制点基础分值。
其中,∑控制点检查评价得分为被检查单位所有适用业务流程控制点“检查评价得分”之和;∑控制点基础分值为被检查单位所有适用业务流程剔除不适用控制点及业务未发生控制点后的“控制点分值”之和。
第十四条 内部控制缺陷认定
内部控制缺陷按照性质划分为财务报告缺陷和非财务报告缺陷。
(一)财务报告缺陷认定
财务报告缺陷,包括影响会计报表缺陷、其他会计信息质量缺陷、IT控制缺陷和内控重大事故事件缺陷四个部分,依其严重程度分为一般缺陷、重大缺陷和实质性漏洞。
1.影响会计报表缺陷。
影响会计报表缺陷,是指影响利润表及资产负债表项目等错报事项,。缺陷认定应重点关注资本性支出与费用性支出划分、达到可使用状态的资产结转、存货计价方式、销售收入截账、跨期费用摊销、减值准备计提等方面。方法如下:
(1)记录错报样本情况。
将错报样本序号、错报样本数量和错报样本的有关情况等在《财务报告相关控制点抽样记录表》的相应栏目中填列和说明。
(2)计算潜在错报金额。
根据控制点错报样本数量和抽取样本总量,在《潜在错报率对照表》中查找对应的潜在错报率;根据潜在错报率和相应会计科目同向累计发生额,计算控制点潜在错报金额。公式如下:
潜在错报金额 =相应会计科目同向累计发生额×潜在错报率。
潜在错报率、潜在错报金额在《财务报告相关控制点抽样记录表》相应栏目中填列。
业务流程财务报告相关控制点潜在错报金额合计在《内部控制缺陷认定汇总表》(见附件6)相应栏目中填列。
(3)计算错报指标。
根据被检查单位适用业务流程潜在错报金额合计,分别按照被检查单位和股份公司两种口径计算错报指标:
错报指标1 =潜在错报金额合计/ 被检查单位当期主营业务收入与期末资产总额孰高;
错报指标2 =潜在错报金额合计/ 股份公司当期主营业务收入。
(4)影响会计报表缺陷认定等级。
一般缺陷:错报指标1≥1‰,且错报指标2<1‰;
重大缺陷:1‰≤错报指标2<5‰;
实质性漏洞:错报指标2≥5‰。
影响会计报表缺陷认定结果在《内部控制缺陷认定汇总表》的相应栏目中填列。
2.其他会计信息质量缺陷。
其他会计信息质量缺陷是指不直接影响会计报表,但不符合涉及财务信息内部控制要求的重点事项,存在以下情况判断为“一般缺陷”:
(1)会计人员缺乏必要的任职资格和胜任能力。
(2)财会岗位职责不清晰,或未执行规定的会计不相容岗位(职务)分离。
(3)会计凭证未按规定装订、保管和归档,或会计凭证丢失。
(4)重要原始凭证如出/入库单、提货通知单、开出发票和支票等不连号或未经审批取消原始凭证。
(5)未按规定与股份公司内、外部往来单位对账及编制往来账户余额调节表,或100万元以上的对账差异1个月以上未处理,或其他对账差异3个月以上未处理。
(6)未按规定编制银行存款余额调节表,或调节表差异1个月以上未处理。
(7)一人保管支付款项所需的全部印章。开通网上银行的,由一人保管网银卡和密码。
(8)存货盘点未按照规定执行。
(9)由于审查不严、处理不当等原因造成执行国家税收政策偏差,受到罚款处罚等。
上述各种情况每出现一种即可判断为存在一个“一般缺陷”,但同一种情况出现多次的不重复计算个数。涉及到错报的样本,其样本序号在《财务报告相关控制点抽样记录表》中记录;认定结果在《内部控制缺陷认定汇总表》的相应栏目中填列。
3.IT控制缺陷。
IT控制分一般性控制和应用控制。IT一般性控制主要包括IT整体层面管理、程序和数据访问、程序变更、程序开发、系统运行等控制。应用控制指相关业务流程通过ERP系统和其他应用系统的设置,对涉及财务报告的输入、数据处理和输出等实施控制。存在以下情况判断为“一般缺陷”:
(1)ERP系统、财务信息管理系统、加油卡系统的用户管理或密码管理未按要求执行。
(2)ERP系统同一业务流程主数据管理和维护有两个或两个以上控制点未按要求执行。
(3)分(子)公司信息化管理机构不健全,职责不到位。
(4)分(子)公司ERP支持中心人员不落实,支持中心人员没有履行相关职责。
(5)安全管理员、系统管理员、应用系统管理员的设置未执行不相容岗位(职务)分离。
(6)未进行信息安全教育和培训。
(7)ERP系统、财务管理信息系统、加油卡系统服务器未纳入信息管理部门统一管理。
上述各种情况每出现一种即可判断为存在一个“一般缺陷”,但同一种情况出现多次的不重复计算个数。认定结果在《内部控制缺陷认定汇总表》的相应栏目中填列。
4.内控重大事故事件缺陷。
内控重大事故事件,是指由于未经授权、舞弊或IT控制不善等原因造成直接财产损失或造成重大负面影响。
重大事故事件与缺陷认定等级对照如下:
上述标准按照每起事故事件进行认定。如果出现多起重大事故事件,按照各自造成的直接财产损失及其影响程度分别认定缺陷等级。直接财产损失金额以外部审计、总部部门、被检查单位等已经认定的金额为准;如尚无处理结论,则由检查小组现场认定。
认定结果在《内部控制缺陷认定汇总表》的相应栏目中填列。
(二)非财务报告缺陷认定
非财务报告缺陷,即企业内部管理缺陷,是指不直接影响财务报告,但不符合股份公司内部管理要求的事项。依据内控手册规定,存在以下方面突出问题认定为企业内部管理缺陷:
1.物资采购供应未归口管理。
2.销售管理中客户信用等级和信用限额未经信用领导小组审批,销售价格政策未经价格领导小组审批。
3.投资项目无计划或超计划,或未按规定招投标,或先施工后补签合同。
4.对未即时清结的交易没有签订书面合同;未按规定使用标准合同文本并经兼职合同管理员审核;使用非标准合同文本未经专职合同管理员审核。
5.未按规定开立或使用银行账户。
6.成本、费用指标未考核。
7.由于违章行为导致安全环保事故(事件)发生。
8.瞒报事故。
上述情况每出现一种即可判断为存在“企业内部管理缺陷”。一般情况下企业内部管理缺陷视同“一般缺陷”扣分,情节严重者报股份公司内控领导小组审定,以确定按“重大缺陷”或“实质性漏洞”扣分。
认定结果在《内部控制缺陷认定汇总表》的相应栏目中填列。
第十五条 内部控制检查评价报告
股份公司内部控制检查评价报告包括“现场检查评价报告”和“综合检查评价报告”两个层次。
(一)现场检查评价报告。
现场检查评价报告是检查小组根据现场检查评价结果形成的对被检查单位内部控制情况的检查和评价报告。现场检查评价报告应至少包含如下内容:
1.检查评价整体情况。简要介绍和评价被检查单位的内部控制实施基本情况,包括内控工作的宣传、培训、实施细则修订、配套制度更新和整体实施有效程度,以及检查工作的基本情况、现场评价得分等。
2.内部控制环境。结合被检查单位内部控制检查评价结果和《内部控制环境检查评价表》,对被检查单位内部控制环境进行综合评价。
3.单位测试自查情况。介绍被检查单位内部控制测试自查工作的组织实施情况,以及现场检查中对单位自查评价的验证结果等。
4.业务流程检查评价情况。介绍被检查单位业务流程和控制点的适用情况(含不适用、未发生情况)、检查评价情况及检查评价结果等。对发现的问题要深入进行分析,可依次按业务流程顺序分析,也可按日常管理问题归类分析。
5.内部控制缺陷认定情况。对检查中确认的各类内部控制缺陷要详细分析和说明,深入挖掘问题的根源,阐明评价依据。
6.检查小组向被检查单位提出的意见和建议。
对于被检查单位、检查小组对股份公司内控手册及内部控制工作的意见和建议,在《内控工作意见和建议表》(见附件7)中另外填列。
(二)综合检查评价报告。
股份公司内控办公室根据检查小组现场检查评价结果和检查评价报告等,以及审计部内部控制独立检查评价结果,形成股份公司内部控制年度综合检查评价报告,报股份公司内控领导小组审定。
第十六条 检查评价资料整理归档
现场检查评价完成后,应将被检查单位的检查评价资料整理后,按照以下顺序装订并提交股份公司内控办公室。
(一)现场检查评价报告;
(二)内部控制检查评价汇总表;
(三)未执行控制点汇总表;
(四)内部控制缺陷认定汇总表;
(五)内部控制环境检查评价表;
(六)内部控制自查情况检查评价表;
(七)业务流程检查评价汇总表;
(八)各业务流程检查工作底稿、财务报告控制点抽样记录表及未执行控制点、内控缺陷的抽取样本有关证明材料等(标明业务流程编号及控制点编号依顺序整理)。
《内控工作意见和建议表》由被检查单位和检查小组分别填写完成后,与检查评价资料一并提交股份公司内控办公室。
第十七条 为确保年度综合检查评价的独立、客观和公正,年度检查评价中检查小组发生的差旅费、住宿费等费用统一由总部负担。检查期间,检查小组成员不得接受被检查单位以任何形式赠送的礼金或礼品,不得到国家明示的风景名胜地区观光、游览。对违反上述规定以及其它不正当行为,被检查单位或检查小组成员均有权向股份公司内控办公室反映或举报。
第三章 内部控制考核
第十八条 考核与兑现
股份公司在各单位“高层管理人员业绩奖金考核”和“经营目标考核”体系中,各设立“内部控制执行情况”指标,按照“只扣不奖”的原则,各设置3个扣分档次。对高层管理人员业绩奖金考核的扣分标准分别为:最高不超过2分、最高不超过5分、最高不超过10分;对单位经营目标考核的扣分标准分别为:1分、2分、5分。
股份公司内控办公室根据各单位综合检查评价量化评分、未执行控制点及内控缺陷整改落实情况,结合各专业板块量化评分结果等拟订考核方案,报股份公司内控领导小组审定;人事部根据考核结果对各单位进行兑现。
第四章 对外披露
第十九条 股份公司内部控制对外披露是以年度综合检查评价为基础,根据业务流程中与财务报告相关控制点的执行情况及其它有关事项,对股份公司内部控制情况进行的定量评价和定性评价。
第二十条 各单位对内部控制检查评价中发现的问题要立即采取相应措施进行整改,凡与财务报告相关的问题整改后3个月内完全符合内部控制要求的,对外披露作出整改有效说明。
第二十一条 股份公司内控办公室根据年度综合检查评价结果,结合对外披露有关要求,形成内部控制管理层评价报告,报股份公司内控领导小组审定,经董事会审议后对外披露。
第五章 附 则
第二十二条 本办法由股份公司内控办公室负责解释。