【正文】 按照國資委《中央企業(yè)風險管理指引》的規(guī)定，逐步建立健全公司內(nèi)部控制管理組織體系。 組織結(jié)構(gòu) 組織結(jié)構(gòu)適應信息流通和權力集中程度 內(nèi)控關注要點公司組織結(jié)構(gòu)的適當性，以及其提供管理活動必要信息流的能力。 監(jiān)督管理層對審計發(fā)現(xiàn)的跟進 內(nèi)控關注要點董事會或?qū)徲嬑瘑T會依據(jù)其發(fā)現(xiàn)，采取適當?shù)拇胧?，包括特殊調(diào)查。 文檔性記錄會議記錄。 文檔性記錄1）董事會成員收到的信息記錄。 措施1）公司制定《中國石油天然氣股份有限公司董事會工作手冊》，規(guī)定董事會全體董事有權獲得為履行職責所需的公司信息。3）審計委員會根據(jù)國內(nèi)外適用規(guī)則，檢查、監(jiān)督內(nèi)部審計部門的工作，檢查內(nèi)部審計部門職能發(fā)揮的有效性，保證其在公司內(nèi)控制度中能夠充分發(fā)揮作用；與管理層和內(nèi)外部審計師協(xié)調(diào)并共同審核公司內(nèi)部控制和風險管理及風險審核的質(zhì)量、充足性和效力，以及在內(nèi)部控制中存在的重要缺陷或重大弱點；檢查公司的營運、財務及會計政策及實務。董事的知識和經(jīng)驗豐富，獨立董事具有很高的威望，能為董事的監(jiān)督提供質(zhì)量保障。董事會的專門委員會全部由董事組成，其中審計委員會由4名成員組成，3名成員是公司獨立董事，有1名成員具有會計或相關財務管理專長；考核與薪酬委員會的成員中獨立非執(zhí)行董事占多數(shù)，并擔任主任委員。3）董事會每年至少召開四次例會，且經(jīng)1／3以上董事、董事長或總裁均可提議召開臨時董事會會議。根據(jù)公司章程，公司董事會由13名董事組成，設董事長1名，副董事長2名。公司針對特定目標，制定具體的風險承受度，體現(xiàn)在實現(xiàn)特定目標過程中公司對差異的可接受程度。參會人員包括：總裁、高級副總裁、副總裁、財務總監(jiān)、總地質(zhì)師，規(guī)劃計劃部、財務部、審計部和各專業(yè)分公司領導及財務負責人等。公司制定涉及油氣資產(chǎn)及固定資產(chǎn)、資金、存貨等資產(chǎn)的管理規(guī)定，明確資產(chǎn)安全管理辦法，并注重對財務信息和知識產(chǎn)權的保護。公司會計政策前后各期保持一致，而且公司所有的合并報表單位的會計政策均與公司保持一致。3）如果會計職能為分散管理，地區(qū)公司負責人是否對報告結(jié)果簽字確認。 文檔性記錄投資計劃及相關審批資料。6）業(yè)績合同。公司在確定各個業(yè)務活動目標之后，將公司的資源如財務、人事、設施、技術等資源以計劃和預算的形式分解至各單位，以保證各單位能夠有實現(xiàn)其業(yè)務活動的目標資源。預算確定的過程為：（1）公司預算管理委員會根據(jù)經(jīng)董事會批準的公司年度經(jīng)營目標確定下一年度的預算目標，并將預算目標分解至各業(yè)務和職能部門。公司的年度計劃和預算由相關部門匯總并綜合平衡后，報董事會審批，以保證計劃和預算與公司目標相一致。公司在對外部環(huán)境、行業(yè)、競爭對手進行分析，對內(nèi)部資源能力、優(yōu)劣勢及機會與威脅進行分析的基礎上制定中長期業(yè)務發(fā)展規(guī)劃。5）資源的充足性。2）公司層面目標的生效應與員工及董事會溝通。3)公司建立中級管理人員激勵約束機制，通過與中級管理人員簽訂績效合同的方式，將中級管理人員應完成的主要任務量化為關鍵績效指標，并嚴格按績效合同和考核規(guī)定進行考核。3）有關干預的記錄。2）管理層對控制制度的干預被適當?shù)赜涗浐徒忉?。公司通過將需要接受處罰的違規(guī)行為寫入勞動合同，使員工明確違規(guī)必定要受到處罰。3）公司在《中國石油天然氣股份有限公司員工職業(yè)道德規(guī)范》中規(guī)定：員工不得接受可能影響商務決策和有損獨立判斷的有價饋贈，嚴禁為商務目的而以任何手段向政府官員提供、給予或承諾給予金錢和其他有價值的物品。2）公司職業(yè)道德建設強調(diào)從“一把手”做起，總裁通過文件、講話等不同形式把職業(yè)道德規(guī)范的要求傳達給全體員工，并提出踐行的希望；同時，通過領導干部廉潔從業(yè)檢查、建立健全信訪舉報機制以及公示辦法，在公司范圍內(nèi)傳達管理層對職業(yè)道德規(guī)范的要求。3）培訓記錄。公司每年的工作會議上均有宣講職業(yè)道德的內(nèi)容，并對員工提出遵守職業(yè)道德規(guī)范的要求。（2）公司制定《中國石油天然氣股份有限公司高級管理人員職業(yè)道德建設制度》，將對高級管理人員職業(yè)道德規(guī)范的宣傳作為職業(yè)道德建設的重要工作內(nèi)容：①公司總裁是公司職業(yè)道德的倡導者，踐行的表率，也是公司職業(yè)道德建設的第一責任人。 誠信與道德價值觀 職業(yè)道德規(guī)范的制定及推行 內(nèi)控關注要點管理層應該向員工傳達職業(yè)道德規(guī)范，并且必須不折不扣地執(zhí)行。 權利和責任分配包括對公司經(jīng)營活動的權限和職責分配、建立上下級報告關系和授權協(xié)議。 繼承和發(fā)揚公司企業(yè)文化，體現(xiàn)公司的經(jīng)營宗旨、價值觀念和行為準則；將風險管理文化融入企業(yè)文化建設全過程。經(jīng)營目標：與公司資源利用的效率和效果、防止公司不因災害性風險或人為失誤而遭受重大損失有關。地區(qū)公司的內(nèi)部控制管理接受公司內(nèi)部控制部領導。35）負審定需要提交董事會或管理層解決的重大事項。31 目的通過建立分工合理、職責明確、報告關系清晰的組織結(jié)構(gòu)，明確內(nèi)控管理決策機構(gòu)、管理機構(gòu)、執(zhí)行機構(gòu)和監(jiān)督機構(gòu)的責任和義務，確保本公司內(nèi)部控制的職責、權限及其相互關系得到規(guī)定和溝通，使本公司內(nèi)部控制體系得到有效運行。公司各級管理部門、流程責任部門，在體系日常運行中，實施自我監(jiān)督和自我檢查，并將檢查、檢驗報告報送內(nèi)控管理部門。公司確保信息系統(tǒng)穩(wěn)定運行和安全，并根據(jù)實際需要不斷進行改進、完善或更新。公司制定完善的信息披露管理制度，明確重大事項的判定標準和報告程序，確定披露事項的收集、匯總和披露程序，符合資本市場監(jiān)管要求。公司建立符合發(fā)展戰(zhàn)略并與經(jīng)營管理活動一體化的信息系統(tǒng)，為公司風險管理提供足夠的信息資源和順暢的溝通渠道。通過實施信息系統(tǒng)自動控制，固化流程操作程序，提高控制執(zhí)行效率和效果。2）針對業(yè)務活動層面風險，以公司層面控制政策為導向，規(guī)范業(yè)務流程，制定業(yè)務活動層面風險控制措施。風險反應方案包括回避風險、減少風險、分擔風險、接受風險。② 業(yè)務活動層面風險識別。公司對收集的數(shù)據(jù)、信息和變化情況進行必要的篩選、提煉、對比、分類、組合，形成與公司風險管理相關的信息資料庫并不斷更新，以便進行風險評估。 風險評估風險是指未來的不確定性對公司實現(xiàn)其目標的影響。內(nèi)部控制管理工作應與其他管理工作緊密結(jié)合，把內(nèi)控管理的各項要求融入企業(yè)管理和業(yè)務流程中。公司根據(jù)風險管理的總體目標，制定風險管理有效性標準。3）管理理念與企業(yè)文化：確立公司管理理念，體現(xiàn)公司的經(jīng)營管理風格；確立公司風險管理理念，體現(xiàn)公司認知經(jīng)營管理風險所共有的信念和態(tài)度?？蚣艽_定的工作目標將在今后分年度實施。以COSO內(nèi)部控制整體框架為基礎，融合COSO企業(yè)風險管理整體框架的主要內(nèi)容，結(jié)合國家監(jiān)管部門的基本要求，全面開展內(nèi)部控制體系建設，覆蓋全部業(yè)務和部門。該流程涉及對交易進行記錄、記錄的維護以及對未經(jīng)授權的收購、使用或處置公司資產(chǎn)的行為進行防范或檢測的措施。企業(yè)風險管理 COSO企業(yè)風險管理整體框架認為，企業(yè)風險管理是一個受到企業(yè)董事會、管理層和其他人員影響的過程，這個過程從企業(yè)戰(zhàn)略制定一直貫穿到企業(yè)的各項活動中，旨在識別那些可能影響企業(yè)的潛在事件并管理風險使之在企業(yè)的風險容量之內(nèi)，從而合理確保企業(yè)實現(xiàn)其既定目標。還應對企業(yè)固有風險及殘存風險進行評估。公司仍可以決定依靠這個企業(yè)風險管理框架去滿足企業(yè)內(nèi)控的需要，通過采用更全面的風險管理方法使企業(yè)持續(xù)發(fā)展。包括批準、授權、查證、核對、經(jīng)營業(yè)績評價、資產(chǎn)保全措施和職責分工等活動。COSO內(nèi)部控制框架被廣泛地選擇作為構(gòu)建和完善內(nèi)部控制體系的標準，是因為：雖然COSO內(nèi)部控制框架并非唯一的內(nèi)部控制框架，但卻是美國證券交易委員會唯一推薦使用的內(nèi)部控制框架，《薩班斯—奧克斯利法案》第404條款的“最終細則”也明確表明COSO內(nèi)部控制框架可以作為評估公司內(nèi)部控制的標準。內(nèi)部控制部應及時掌握《手冊》的執(zhí)行情況，并采取有效措施確保內(nèi)部控制管理體系的有效運行。一般包括總裁、副總裁、機關職能部門、專業(yè)分公司、地區(qū)公司及其下屬單位等。1）《體系框架分冊》，描述了內(nèi)部控制體系組織結(jié)構(gòu)與職責，較為全面地闡述了內(nèi)部控制體系的建設目標，并以COSO內(nèi)控框架為指引，從控制環(huán)境、風險評估、控制活動、信息與溝通和監(jiān)督等五個方面對內(nèi)控關注要點及相應措施進行了較為全面、系統(tǒng)的闡述；2）《控制環(huán)境分冊》，描述了控制環(huán)境的概念，并從誠信與道德價值觀、發(fā)展目標、管理理念與企業(yè)文化、風險管理策略、董事會及下屬委員會、組織結(jié)構(gòu)、權利和責任分配、人力資源政策與措施、員工勝任能力以及反舞弊機制等十個方面對內(nèi)控關注要點、措施進行了闡述；3）《風險評估分冊》，描述了風險和風險評估的基本概念以及風險的分類，從建立風險評估目標、風險評估機制、建立并完善風險管理體系三個方面對內(nèi)控關注要點及相應措施進行了闡述，并匯編了風險評估的相關方法、規(guī)范及管理制度；4）《控制活動分冊》，描述了控制活動的概念及分類，對公司控制活動的實施進行了概括，并匯編了關鍵控制管理文件；5）《信息與溝通分冊》，描述了信息與溝通的概念及要素，從信息、溝通、信息系統(tǒng)及信息披露等五個方面對內(nèi)控關注要點及相應措施進行了闡述；6）《監(jiān)督分冊》，描述了監(jiān)督的概念及要素，并從持續(xù)監(jiān)督、獨立評估和缺陷報告三個方面對內(nèi)控關注要點及相應措施進行了闡述，并匯編了相關管理制度及規(guī)范。貫徹實施的責任和要求《手冊》已經(jīng)建立了一套科學、系統(tǒng)的內(nèi)部控制體系建設方法和標準，是公司建設并實施內(nèi)部控制體系的綱領性文件。通過編制《手冊》，建立一套科學、系統(tǒng)的內(nèi)部控制體系建設的方法和規(guī)范，為公司內(nèi)部控制體系建設、運行和維護提供指引，并作為建立、運行及評價內(nèi)部控制體系的依據(jù)。3 獨立評估………………………………………………………………………………… 61 概述……………………………………………………………………………………… 51 概述………………………………………………………………………………………13 建立并完善風險管理體系……………………………………………………………… 4 控制活動…………………………………………………………………………………… 46 信息披露………………………………………………………………………………… 6 監(jiān)督………………………………………………………………………………………… 6中國石油的財務業(yè)績優(yōu)良，2004年、2005年和2006年的凈利潤分別為1038億元人民幣、。國外法律法規(guī)：1）《薩班斯—奧克斯利法案》；2）《與財務報表審計協(xié)同進行的對于財務報告內(nèi)部控制的審計》；3）與財務報表審計相結(jié)合的財務報告內(nèi)部控制審計以及相關的獨立性規(guī)定和一致性修正案（審計準則5號）；4）有關財務報告內(nèi)部控制管理層報告規(guī)則的修訂（解釋性指南）。各地區(qū)公司要按照《內(nèi)部控制管理手冊》（地區(qū)公司分冊）編制規(guī)范（見附件）的要求，修訂、完善和細化本單位的分冊。編寫與發(fā)布《手冊》由內(nèi)部控制部組織編寫，內(nèi)控體系建設委員會審定，股份公司行文發(fā)布。每年，內(nèi)部控制部將根據(jù)國內(nèi)和上市地新出臺的相關法律法規(guī)的要求、內(nèi)外部審計對公司內(nèi)部控制的評價、公司內(nèi)控管理中出現(xiàn)的新問題以及地區(qū)公司反饋的意見及建議等，對《手冊》進行修訂，經(jīng)總裁批準執(zhí)行?；谠撐瘑T會的建議，其贊助機構(gòu)成立了COSO委員會，專門研究內(nèi)部控制問題。風險評估：風險評估是識別及分析影響公司目標實現(xiàn)的風險的過程，是風險管理的基礎。2）COSO企業(yè)風險管理－整體框架最近數(shù)年，企業(yè)風險管理成為焦點而受到突出關注，需要一個強有力的框架以有效地識別、評估和管理風險。事件識別：必須識別出影響企業(yè)實現(xiàn)目標的各種外部和內(nèi)部事件，并區(qū)分風險和機遇。監(jiān)督：監(jiān)督整個企業(yè)風險管理過程，并根據(jù)需要作出修改。根據(jù)美國聯(lián)邦法律規(guī)定，PCAOB有權制定一系列準則來指導和約束上市公司的審計。 框架編制的原則1）合法性原則。 框架編制的依據(jù)國資委《中央企業(yè)全面風險管理指引》；《薩班斯—奧克斯利法案》；美國上市公司會計監(jiān)管委員會（PCAOB）發(fā)布的相關審計準則；《COSO內(nèi)部控制整體框架》；《COSO企業(yè)風險管理整體框架》及公司相關管理規(guī)定。控制環(huán)境包括誠信與道德價值觀、發(fā)展目標、管理理念與企業(yè)文化、風險管理策略、董事會及下屬委員會、組織結(jié)構(gòu)、權利和責任分配、人力資源政策與措施、員工勝任能力以及反舞弊機制等內(nèi)容。公司針對特定目標，制定具體的風險承受度，體現(xiàn)在實現(xiàn)特定目標過程中公司對差異的可接受程度。建立內(nèi)部控制體系運行網(wǎng)絡。持續(xù)開展舞弊風險評估，建立舞弊風險數(shù)據(jù)庫。1）風險評估范圍公司針對戰(zhàn)略目標、經(jīng)營目標、報告目標、合規(guī)性目標，分別確認風險評估的范圍。① 公司層面風險識別。公司針對固有風險和殘存風險，運用定性和定量的方法，對公司層面和業(yè)務活動層面風險發(fā)生的可能性和影響程度進行分析、評價，并按照風險排序標準和方法，確定風險重要性水平，識別公司重大風險，確定風險管理的優(yōu)先順序。公司針對風險建立的規(guī)章制度、控制政策和控制措施，要滿足合規(guī)的要求，堅持經(jīng)營戰(zhàn)略與風險策略一致、風險控制與運營效率及效果相平衡的原則，針對重大風險所涉及的各管理及業(yè)務流程，制定涵蓋各個環(huán)節(jié)的全流程控制措施；對其他風險所涉及的業(yè)務流程，要把關鍵環(huán)節(jié)作為控制點，采取相應的控制措施。（3）建立關鍵控制。 信息與溝通信息與溝通是公司經(jīng)營管理所需的信息被識別、獲得并以一定形式及時地傳遞，以便員工履行職責。公司建立橫向和縱向相互通暢、貫穿整個公司的信息溝通渠道，確保公司目標、風險策略、風險現(xiàn)狀、控制措施、員工職責、經(jīng)營狀況、市場變化等各種信息在公司內(nèi)部得到有效的傳達。（2）建立信息系統(tǒng)應用控制。公司應以重大風險、重大事件和重大決策、重要管理及業(yè)務流程為重點，對內(nèi)控體系的有效性實施監(jiān)督。1內(nèi)控體系建設委員會由各單位有關領導和部門負責人組成，由總經(jīng)理擔任內(nèi)控體系建設委員會主任。 2）審定內(nèi)部控制體系建立、測試和評估方案，對內(nèi)部控制體系建設工作進行安排、部署。2 內(nèi)部控制部主要職責1）根據(jù)國家有關法律、法規(guī)及相關規(guī)定，負責組織制定集團公司、股份公司內(nèi)部控制及風險管理制度、標準及方法；2）負責編制集團公司、股份公司內(nèi)部控制