《企业集团公司内部控制实施细则指导意见.docx》由会员分享,可在线阅读,更多相关《企业集团公司内部控制实施细则指导意见.docx(69页珍藏版)》请在三一办公上搜索。
1、企业内部控制实施细则指导意见目录一、 总则-2-1 目的-2-2 总体原则-2-3 适用范围-3-4 更新和维护-5-5 内控管理信息系统-6-二、 企业内控手册编制内容简述-7-1 控制目标-7-2 风险清单-7-3 公司层面控制-9-4 业务层面控制-10-5 权限指引错误!未定义书签。6 附贝IJ-19-附录1:控制目标内容指导-20-附录2:风险清单内容指导-22-附录3:公司层面控制内容指导-40-附录4:业务层面控制内容指导-46-附录5:信息系统应用控制内容指导-58-附录6:权限指引内容指导-60-附录7:检查评价与考核办法内容指导-63-附录8:不相容岗位清单内容指导-70-
2、附录9:XX企业名称、简称、拼音代码对照表-71-一、总则1 目的根据集团公司经营管理实际,结合内部控制运行及内、外部各类检查发现的共性问题,以及境内外监管有关要求,企改和法律部组织对总部、企业内控手册进行修订。为指导企业根据2021版企业内控手册有关要求,进一步完善本单位内控实施细则,特修订企业内部控制实施细则指导意见(2021年版)(以下简称“指导意见”)o2 总体原则2 .1本年度修订,针对境内企业全面实施财务共享,以业务为主线、以风险为导向,结合内外部检查及日常工作中发现的问题,对内控手册各部分内容进行完善。企业版内控流程全部转换为风险控制矩阵。3 .22.2总部直属研究院、油品销售公
3、司、共享服务中心在随同总部内控手册修订完成风险控制矩阵的基础上,按照自身管理实际进一步补充完善实施细则。4 .3为满足外部监管要求,总部内控手册分为“集团公司总部内控手册”和“股份公司总部内控手册”。各企业按照上市、未上市一体化管控要求,编制一套内控实施细则,无需拆分。5 .32.4企业承担本单位内控体系建设和维护的职责,拥有本单位内控实施细则的修订权限。各企业根据本指导意见,按照企业内控手册的体例架构,结合本单位经营管理目标、风险及其管控情况,履行内控实施细则设计、修订的职责。6 适用范围6.1 3.1本指导意见适用于集团公司所属企事业单位、股份公司各分(子)公司及所属代管单位(以下简称“企
4、业”)。各企业根据本指导意见,按照企业内部控制手册的体例架构,结合本单位经营管理目标、风险及其管控情况,编制本企业内控手册或内控实施细则。6.2 3.2境内子公司6.3 .1公司直属全职、控股子公司公司直属全资子公司,按照本指导意见视同分公司编制实施细贝L并由本企业办公会审议批准后执行。公司直属控股子公司,应参照企业内部控制手册和本指导意见,结合自身特点,按照“业务必须覆盖内部控制手册中对应的所有规定内容,权限比照分公司”的原则,制定本公司内控手册,履行内部审批程序后发布实施。3.2.2企业所属子公司企业应将所属的控股子公司(含委托代管)纳入本企业内控工作范围,原则上按照公司法将其作为独立法人
5、管理,督促其建立、健全自身内部控制制度,并定期检查其内部控制制度执行的有效性,作为本企业内控检查评价的组成部分。企业所属全资子公司(含委托代管)应视同下属分公司管理,严格执行企业内部控制手册和本企业实施细则,并与所属分公司按相同标准接受检查。3.33.3境外公司境外公司包括境外全资子公司、控股子公司及驻外机构。3.3.1境外公司应在不违反境外公司所在地法律、法规的前提下,参照企业内部控制手册的规定制定实施细则。对于新收购的境外公司,可给予相应调整的过渡期,过渡期原则上为交割日后12个月。过渡期后,境外公司应按照企业内部控制手册制定实施细则。3.3.2境外公司实施细则按管理层级报主管部门审核或备
6、案,并履行内部审批程序。3.3.3涉及重大控制活动的境外公司,原则上应在其实施细则中涵盖相关业务。重大控制活动至少应包括重大投资、财务报告、财务对账、融资、担保业务、对外捐赠及重大损失处理等。3.3.4境外公司应按照集团公司内控管理工作的要求,制定内控检查评价计划,开展内控自查测试,配合公司内外部各种检查。发现内控缺陷的,应制定整改方案及时整改,并按管理层级向主管部门提交内控检查测试结果及整改情况报告。3.3.5境外公司未经集团公司授权,不得从事股票、债券、房地产、期货、委托理财等高风险投资。3. 43.4合资、合作公司3.1.1 合资、合作公司应按照正当、合理的框架以及合理、科学、公认的原则
7、,与合资、合作方商议讨论后,参考企业内部控制手册编制内控制度。3.1.2 合资、合作公司内部控制内容不能违反合资、合作合同的相关规定,且不能与集团公司内部控制的相关要求冲突。3.1.3 合资、合作公司应开展内部控制自查测试,配合公司内外部各种检查。发现内控缺陷的,应制定整改方案及时整改,并向我方内控管理部门提交内控自查结果及整改情况报告。3.5其他说明事项3. 5.1XX工程公司、炼化工程公司、石化机械公司、油品销售公司等各专业公司,应根据本指导意见,按照企业内部控制手册的体例架构,结合自身经营管理目标、风险及其管控情况,修订或制定本公司内部控制手册,或组织下属单位修订或制定内控实施细则。4.
8、 5.2经营规模较小、业务单一、风险较低的单位,可以结合自身管控要求制定本单位的内控制度或规定等,例如可以只编制权限指弓L针对关键业务编制内控流程,也可将内控要求融入内部管理制度等。4 更新和维护4.1 14.1企业内控手册/内控实施细则,由企业内部控制管理部门负责组织更新与维护,正式发布时应当履行相应审核、审批程序。4.2 4.2企业内部控制管理部门根据总部对内控手册的更新要求和内部控制体系运行情况,通过内控管理信息系统,适时对本单位实施细则进行更新与维护。4.3 4.3对于总部对内部控制措施以及相关要求进行追加或适时调整的内容,企业内部控制管理部门应当及时下发补充、修订完善,确保本单位内部
9、控制管理体系的有效运行。4.4 4.4企业内部控制管理部门负责本单位内控手册/内控实施细则纸质及电子文档的管理,做好发放、保存等工作。5 内控管理信息系统5.1 5.1企业内部控制日常工作应当通过内控管理信息系统开展。企业内部控制管理部门须对相关人员开展培训I,确保系统正常上线运行。5.2 5.2由于自身原因不实施内控管理信息系统的企业,该企业内控管理部门应当向企改和法律部提出申请。经企改和法律部审批同意后,做好本单位内部控制制度建立健全、运行有效性自查测试工作,至少每季度将本单位内部控制工作开展情况、自查发现的问题等,报告企改和法律部。5.6 5.3新设立的单位,需填写xx内控管理信息系统上
10、线申请单,由本单位内部控制管理部门负责人审核签字、加盖单位公章后报企改和法律部。经企改和法律部审批同意,申请单位应当按照内控管理信息系统初始化相关要求,梳理本单位组织机构、人员、内控手册/实施细则等相关信息,并及时在系统中进行维护。二、2021企业内控手册编制内容简述本部分内容介绍企业如何修订内控实施细则。企业内控实施细则各部分应包括的整体内容介绍,请参照附录部分相关内容。1 控制目标控制目标源自企业目标,是设计内部控制的出发点,是决定内部控制运行方式和方向的关键。XX内部控制目标分为战略目标、经营目标、财务目标、资产安全目标及合规目标。1. 11.12021版控制目标是两级控制目标清单。 一
11、级控制目标包括战略目标、运营目标、财务目标、资产安全目标、合规目标。企业不能修改。 二级控制目标包括272个,供企业参考使用。企业在一级控制目标下,细分控制目标。1.21.2控制目标编号规则:总部控制目标清单编号中的HQT代表总部控制目标(HeadQuarterTarget)。企业的控制目标编号应以各企业名称缩写(具体参见附录9xx企业名称、简称、拼音代码对照表)为编码的起点,例如XX编码为SLYT,XX的控制目标编号规则为:SLYTT2.002.0012风险清单1.32.1风险清单内容2021版风险清单包括5个一级风险,92个二级风险,596个三级风险,供企业参考使用。1.42.2企业制定风
12、险清单2.2.12.2.1企业应根据自身制定的各层级控制目标,结合总部管理要求、以及自身业务特点、管理状况,收集风险信息,识别相关风险事件、细化分解本企业所具有的风险,形成本企业风险清单,以供制定与经营状况更加契合、有效的控制措施,将内控建设落到实处。2.2.2对发生以下变化应重新识别风险,及时补充、完善风险清单:一是外部环境变化,包括监管或经济环境变化导致企业竞争压力的增加、运营需求发生变化以及明显不同的风险(如诉讼或亏损风险极高),自然灾害对企业、供应链及其他商业合作伙伴的直接影响,导致企业增加持续经营风险。二是商业模式变化,包括改变商业模式、重大收购和资产剥离、境外业务、快速增长和新技术
13、应用。三是重大人事变动、以及人员高流动性、培训和监督缺乏等导致内控失效。2.2.3企业对于以下业务情形,应特别关注风险识别是否充分、全面,及时补充、完善风险清单。复杂程度高(需要特殊技能或培训方能执行的控制,如金融衍生品)、涉及金额大、地理位置不易管理、集中化程度低、复杂程度高的信息系统、人工控制、需要依赖判断者能力进行高度判断力的控制(如跌价准备计提)、人员的胜任能力不强或经验缺乏、管理层可能越权的风险、已知的控制失效、控制失效的可能性(即如果一项控制的失效可能是重大的,且无法被及时地识别并整改)、涉及跨专业部门的业务盲点等等。对发生偷窃或欺诈可能性大的业务,如拥有较高价值的资产(贵金属、商
14、业机密、可互换商品等)、可能为欺诈提供动机的业绩指标、流程或系统的设计漏洞导致未被授权的员工能进入系统(如付款流程),执行未授权的交易,凌驾于控制之上的管理人员、使偷窃或欺诈成为可能。2.2.4风险编号规则:总部风险清单编号中的HQR代表总部风险清单(HeadQuarterRiskRegister)。企业的风险清单编号应以各企业名称缩写为编码的起点,例如XX编码为SLYT,XX的风险编号规则为:SLYTRl.01.01.Olo1.52.3风险评估标准2.3.1 风险评估标准未做修订,具体标准参见附录2风险清单内容指导。2.3.2 企业应根据总部风险评估标准,结合本单位风险承受度,对本企业风险评
15、估标准进行修订,使之更具有可操作性。2.4企业应根据本单位风险管理工作状况,定期更新风险清单。3公司层面控制1.63.12021版公司层面控制变化情况公司层面控制包括内部环境、风险评估、信息与沟通、内部监督等相关内容。1.73.2企业如何修订公司层面控制3.2.13.2.1两分企业仍然按照一体化管理模式,编制一套公司层面控制内容,同时体现上市、未上市的控制要求。32.232.2企业可以参照总部内控手册的方式,将操作性较强、可定期测试的公司层面控制内容梳理成控制点,并放入业务层面控制中,按照流程、控制点进行日常监督和测试。3.2.33.2.3企业应依据企业内部控制手册的体例结构,梳理、记录本单位
16、公司层面控制的内容及相关要求方面的变化,更新实施细则。4业务层面控制1.84.12021版业务层面控制业务层面控制包括内部控制矩阵/风险控制矩阵和财务报告计划矩阵。2021版企业内控手册业务层面控制包括共有46个内部控制矩阵、12个风险控制矩阵。4.1.14.1.1内部控制矩阵格式4. 1.1.1各企业应当落实企业内部控制手册,并结合本单位的年度目标、业务特点,进行全面风险识别和评估。对于新增业务、内外部环境变化较大、商业模式变化或风险敞口较大的业务,需要增加内控流程或风险控制矩阵,应借鉴总部做法,对本单位内控手册/实施细则进行补充、细化和完善,确保重要、重大风险及控制措施全覆盖。5. 1.1
17、.2总部内控手册中业务层面控制部分,在内控系统中可以按照部门维度和流程维度分别展示和使用。2021版企业内部控制手册仍然以流程的维度展示,便于企业对照使用;各企业在内控系统中修订本单位业务层面控制时,暂以流程的方式进行维护和管理。 控制点编号企业内控手册中内控流程,实现了每个控制点的唯一编号,为控制措施通过内控系统进行系统化、数据化操作奠定了基础。控制点的编号规则为:各企业名称缩写-流程编号-控制点编号。以xxl.1筹资业务流程的第一个控制点的编号举例如下:企业名称缩写:SLYT(SLYT为XX的缩写)流程编号:Ll(LI筹资业务)控制点编号:Ll该控制点编号为:SLYTCl.1-1.1 控制
18、频率指控制活动(业务)发生的频率,控制频率包括每年、每半年、每季度、每月、每周、每天、每天多次、按需不定期8种。控制频率用于指导和监控内部控制的运行、确定抽样测试的样本量。 控制类型是指控制活动所属类别,控制类型共有8种,包括授权及批准、核对、管理层审阅、系统访问权限(信息系统接入权限控制)、系统设置(系统界面转换控制)、例外事项报告、关键绩效指标(绩效考核)、职责分工。各控制类型释义如下:控制类型解释授权及批准按照一般或特定的政策与程序,批准交易的执行。典型授权审批控制活动包括审批权限、在审批单上签字以及检查签字权限等核对检查两个项目是否一致,典型核对控制活动包括财务系统中的现金总账与银行对
19、账单的对账、应收账款账龄分析与总账的对账等管理层审阅文件编制人员以外的员工开展的分析,并对已执行活动的监督。典型管理层审阅控制活动包括管理层审阅现金总账与银行对账单的对账结果、管理层复核工作等.系统访问权限(信息系统接入权限控制)在计算机系统中设置个人使用者或小组使用者的系统进入权限,典型系统访问权限控制活动包括与进入级别相关的口令保护等系统设置(系统界面转换控制)包括计算机系统间转换数据的控制,以避免不恰当的处理,典型系统设置控制活动包括过账权限、确认和校睑支票、按照需求的内容设置屏幕版面、安全设置等例外事项报告生成报告以监控例外事项,并追踪解决情况。典型例外事项报告控制活动包括报告超出信用
20、额度的客户等关键绩效指标(绩效考核)企业为评估实现目标的程度而采用的财务及非财务的量化衡量指标。典型关键绩效指标控制活动包括逾期账款比率、净边际利益分析等职责分工将交易的授权、记录和实物保管的职责进行分工以防止错误和违法行为的发生、延续和隐藏。典型职责分工控制活动包括采购的申请、审批、执行。内控要素是指控制活动在内部控制五要素中对应的类型,包括内部环境、风险评估、控制活动、信息与沟通以及内部监督。增加内控要素可以协助企业对控制点进行系统、全面的管理,并有助于落实各层级管理人员和操作人员的职责。内控五要素简述如下:内控要素解释内部环境影响、制约内部控制建立与执行的各种内部因素的总称,是企业实施内
21、部控制的基础,支配着企业全体员工的内控意识,影响着全体员工实施控制活动和履行控制责任的态度、认识和行为。风险评估在风险识别和预测的基础上,采用定性或定量方法,对风险发生可能性和影响程度进行预计和估算,最终确定风险评级的过程。控制活动确保企业的风险应对得以实施的政策和程序。控制活动的发生贯穿于整个组织,涉及各个层级和各个职能机构,它包括一系列不同的活动,例如授权与审批、核对、管理层审阅、系统访问权限(信息系统接入权限控制)、系统设置(系统界面转换控制)、例外事项报告、关键绩效指标(绩效考核)、职责分工。内部监督指公司对内部控制建立与实施情况进行监督检查,评价内部控制设计和执行的有效性,发现内部控
22、制缺陷,并及时加以改进的过程。信息与沟通企业及时、准确、完整地收集整理与企业经营管理相关的各种内外部信息,并借助信息技术,促使这些信息以恰当的方式在企业各个层次之间进行及时传递、有效沟通和正确使用的过程。 控制点岗位指负责执行控制活动的岗位,例如月度现金盘点由出纳和会计人员负责等。 控制点执行(测试)人指对该控制点执行有效性负责的岗位,提出控制点完善的建议,同时亦是对控制点执行有效性进行自我测试的岗位。 内控测试复核人指负责对控制点执行有效性测试结果进行独立复核的人员。会计报表认定是指与财务报告相关的控制点,该控制点对财务报告项目相关的信息在6个方面具有影响,6个方面包括:/存在与发生/真实性
23、(EXiStenCe)/完整性(COmPIeteneSS)/估价或分摊(ValUation)/权利和义务(OwnershipandObligation)/表达和披露(PresentationandDisclosure)/准确性(Accuracy)财务报告相关控制点,通常对财务数据具有多个方面的影响。例如,现金盘点的控制点,对于会计报表货币资金科目,会在存在与发生/真实性、完整性、权利和义务、准确性等4个方面产生影响。 制度相关信息包括制度名称、制度文号和对应制度条款。制度名称及制度文号,是涉及控制点所述控制要求的、内部管理制度的名称及相应的文号;对应制度条款指控制点所述控制要求在该项制度中所对
24、应的条款编号。 控制点修订依据指每个控制点的来源和修订依据,以指导企业将本单位的内控实施细则与企业内控手册中的控制点相对应,方便企业更新内控实施细则。各企业可使用此选项记录控制点的修订意见。4.1.24.1.2风险控制矩阵格式4.1. 2.1调整筹资、套期保值、原油配置运输等46个风险控制矩阵主要包括:适用范围、控制目标、业务风险、基本控制要求、涉及会计科目、风险控制矩阵、控制目标、风险点、发生可能性、影响程度、风险等级、控制措施指引、建议控制措施。1.94.2企业如何修订业务层面控制4. 2.1各企业应以业务为主线、以风险为导向,以企业内部控制手册为基础,进行细化和补充、并落实到岗到人。对于
25、企业内控手册中尚未涵盖的流程,特别针对企业业务环节和操作中的高风险业务领域,根据自身业务要求进行补充,以确保本企业内控实施细则的适用性与全面性,均应同时符合内外部监管要求。4.2. 14.2.2在内部控制矩阵/风险控制矩阵的初始化模板中,将“总部对应控制点编号”填写完整,为检查评价时进行设计有效性比对工作打下基础。4.3. 2.24.2.3企业应当根据实际情况详细描述具体业务活动以及所涉及的过程文档,相关控制活动应具体到岗位,将控制点执行和控制点测试的职责落实到具体人员。4.2.34.2.4修订实施细则时,各企业在落实2021版内部控制矩阵/风险控制矩阵的基础上,还应关注本单位重点业务领域以及
26、面临的重大风险,合理补充企业内控手册尚未涵盖的业务,提升企业的风险管理和内控工作。 油气田企业重点业务领域包括但不限于物探与地质评价、储量评估、勘探开发方案论证、安全生产,重大风险包括但不限于新区勘探风险、老区勘探风险、勘探开发部署风险、勘探开发组织/协调风险、储量误判风险、油井弃置风险、项目资料归档风险、HSE风险等; 炼化企业重点业务领域包括但不限于生产调度、物料存储与运输、HSE管理,重大风险包括但不限于炼油环保装置稳定运行风险、炼油设备协同匹配运行风险、化工产品结构风险、核心产品稳定生产风险、炼油化工设备非计划停车处理风险等; 油品销售企业重点业务领域包括但不限于HSE管理、销售网络建
27、设、营销及成本控制、人力资源,重大风险包括但不限于油品配送风险、加油卡管理风险、销售数据管理风险、销售客户信用管理风险、加油站管理风险等; 化工销售公司、炼油销售公司、润滑油公司、燃料油公司等企业的重点业务领域包括但不限于采购、销售、存货管理等,重大风险包括但不限于销售渠道风险、质量风险等; XX工程公司、炼化工程公司等企业的重点业务领域包括但不限于工程计划和预算管理、工程设计、工程实施、工程质量管理等,重大风险包括但不限于报价风险、质量风险等。4.2.5风险控制矩阵的结构和框架不能修改,企业应根据相关业务实际,重新梳理排查、识别风险点,参考基本控制要求、建议控制措施等内容,结合企业相关制度和
28、现有控制措施,在风险控制矩阵中制定适应自身的控制措施,确保业务、层级全覆盖,风险防控有效。企业对内控设计有效性承担责任。为保证内控执行力不衰减,企业应做好本单位及下属单位(二级、三级及以下单位、控股单位)重大重要风险的识别和应对,做好跟踪监控。对管理薄弱环节、历年重复发生问题、已发生的风险事件,深入剖析,加大考核问责力度的同时,查找制度设计是否存在不足,体现在控制措施中,考虑利用自动控制手段,持续改进完善内控制度。4.3企业落实投资管理风险控制矩阵及自查测试要求2021版投资管理风险控制矩阵及自查测试无变化。企业应当在修订完善过程中,对本单位投资项目业务类型进一步分类,针对不同投资项目类型,结
29、合业务实际识别风险,制定风险清单,细化控制措施。企业投资境外油气新项目,可以按照XX境外油气投资新项目风险管理指引、炼化投资风险清单进行风险识别和评估,和自查测试。4.3.1责任落实“L2投资决策及管理”由投资决策管理部门(如发展计划部)负责,“1.3对外投资管理”由股权管理部门负责。4.3.2适用性“风险点”或“基本控制措施”后标明“(总部)”的,表示仅总部适用,标明“(企业)”的,表示仅企业适用。其他部分由企业根据情况选择是否适用。企业内部控制手册风险清单中涉及投资管理方面的风险点不适用于“1.2投资决策及管理”、“1.3对外投资管理”,企业可在新矩阵中“风险点”的基础上,结合工作实际进一
30、步完善、细化。4.3.3企业如何修订投资管理风险控制矩阵企业可根据自身管理的实际情况,对照“风险点”梳理,分析风险发生可能性和影响程度,将每一条“基本控制措施”进一步拆分、合并或补充完善,形成自身的“风险应对措施”,明确每一条款责任岗位、测试人和复核人,形成实施细则。“风险应对措施”在具体描述上,可以不同形式展现,可以按照“基本控制措施”,也可以用企业制度代替,但应在实施细则中标明制度具体条款,并保证这些条款具有可操作性,也可以推进各项控制措施建立量化指标等方式完成。对于判定为本企业不适用的“基本控制措施”,或未能将“基本控制措施”有效转化为适用于本企业的“风险控制措施”的,企业承担设计有效性
31、责任。4 .3.4总结案例企业应根据以往的经验或教训逐步建立案例库及负面清单,案例的编写可隐去单位名称、极其敏感的数字,尽可能简洁,突出风险和引起失败的原因。举例:XX集团2011-2014年原油年加工能力由XX亿吨增至XX亿吨,但实际原油加工量仅由2.2亿吨增至2.38亿吨,五年规划未能完全按照市场需求为导向,导致原油加工产能过剩。5 .3.5自查测试企业应选取具体投资项目作为测试样本,特别关注控制薄弱环节的项目,尤其是发生过典型案例的类似项目,对照“控制目标”“业务整体风险”“风险点”“基本控制措施”和“风险应对措施”,以及相关制度,设计测试方法,结合“相应指标说明”、“控制文档”等,自行
32、确定自查测试模板,查找项目在可研、决策、总体设计等环节是否执行内控制度,评估应对措施能否将剩余风险降至可接受的程度,按季度报企改和法律部。测试应以投资效果为导向,切忌生搬硬套“基本控制措施”,走形式。6 权限指引6.1 企业如何修订权限指引企业应按照权限管理规定相关要求细化分解权限。在分解权限时,处理好收权与放权,审批与效率关系,落实好责任,要与“三重一大制度紧密衔接、承接有序。7 附则企业可根据需要,在附则中列明与本企业相关的内部控制责任部门、控制目标清单、风险清单、信息系统控制流程清单、不相容岗位清单等相关资料。附录L控制目标内容指导控制目标源自企业目标,是设计内部控制的出发点,是决定内部
33、控制运行方式和方向的关键。内控手册将控制目标分为战略目标、经营目标、财务目标、资产安全目标及合规目标(控制目标参考格式见企业内部控制手册附件3)。1 1战略目标:战略目标是对企业战略经营活动预期取得的主要成果的期望值,是企业宗旨中确认的企业经营目的、社会使命的进一步阐明和界定,也是企业在既定的战略经营领域展开战略经营活动所要达到水平的具体规定。2 2运营目标:经营目标是企业在一定时期内生产经营活动预期要达到的成果,是企业生产经营活动目的性的反映与体现。3财务目标:财务目标指企业财务活动在一定环境和条件下应达到的根本目的及对财务报告的影响。3 4资产安全目标:资产安全目标是指企业在经营活动中要达
34、到的确保各项资产安全的目标,防止被挪用、转移、侵占、盗窃以及被低价出售。4 5合规目标:合规目标指企业需遵循国家各项法律、法规及公司内部规章制度。上述五类一级控制目标是总括性表述,在实际操作中,企业可以结合自身年度工作目标,进行补充、完善,鼓励使用量化指标。一级控制目标尽可能少而精。二级目标可以结合年度经营管理工作目标进行逐级分解,结合公司层面发展战略、组织架构、人力资源等实际经营特点,制定更为切合本企业业务实际的二级、三级控制目标,可根据需要分解到部门或下级单位,进一步补充细化,尽可能分解到岗到人。形成本企业二、三级及以下控制目标。企业控制目标应明确、具体,应体现本企业实际经营特点,不宜照搬
35、企业内控手册中的控制目标描述。例如,企业可将二级控制目标“HQT2.076优化生产运行,提升各项技术经济指标水平,降低生产成本”,按照总部及本企业对每项技术经济指标的要求,可以进一步从 平均综合商品率95% 综合能耗57kg标油/吨 加工损失率0.5% 原油储运损失率0.25%等方面综合考虑,将经营管理目标与内部控制目标紧密衔接并保持一致,从而细化下级目标体现内部控制为经营管理服务。附录2:风险清单内容指导1 1风险信息分类收集企业应广泛、持续不断、全面系统地收集已发生的内部风险事件及潜在风险,整理相关的行业、政策等外部风险信息,以及公司经营、财务等内部信息,包括历史数据和未来预测。集团公司通
36、过对收集的风险信息进行分类整理和分析汇总,形成风险清单(参考格式见企业内部控制手册附件4),并定期对风险清单进行完善和更新。企业内部控制手册中风险清单包括一级风险、二级风险、三级风险。其中,一级风险为战略风险、财务风险、市场风险、运营风险、法律风险五大类;二级风险以风险动因、性质、应对风险的责任部门/公司业务板块等为分类依据;三级风险从风险动因、性质、业务环节等角度进一步细化。企业在此基础上,结合实际进行调整、完善,识别相关风险事件、细化分解本单位所面临的风险,形成适应本企业的各级别风险清单。2 2固有风险评估企业应在风险信息分类收集的基础上,针对本企业识别出的末端风险,从风险发生可能性和风险
37、影响程度两个方面进行评估,并综合得出本企业的风险评估结果。2.1风险发生可能性评级:从发生的概率进行评估。“固有风险可能性评级标准”(固有风险可能性评级标准参见本附录附表1:固有风险可能性评级标准),为风险评估所采用的风险发生可能性评级标准。企业可以参考此表,结合实际针对风险发生可能性进行评级。1 .2风险影响程度评级:风险影响程度根据不同性质风险从财务损失、营运影响、合规目标影响、QHSE影响、声誉影响五个维度选取适用的一个或多个维度进行评估,若不同维度评级结果不同,取影响程度最大的评级结果为最终结果。“风险影响程度评估标准”(参见本附录附表2:风险影响程度评估标准)为公司风险评估所采用的风
38、险影响程度评级标准,企业可以参考此表对所涉及业务风险的影响程度进行评级。2 .3固有风险评级结果:综合考虑风险发生可能性评级和风险影响程度对固有风险进行评级。“固有风险评级矩阵”(固有风险评级矩阵参见本附录附表3:固有风险评级矩阵)为风险评估所采用的确定固有风险评估结果的对应关系,企业可以参考此表确定具体业务风险评估结果,并在风险清单中记录风险评估结果。3 3识别风险应对措施根据各类风险的不同属性,应当有针对性地采取风险规避、风险降低、风险转移、风险承受等风险应对措施。固有风险评级后,企业应识别现行的有助于减少固有风险发生可能性和影响程度的风险应对措施,包括内部控制活动、制度和政策及其他应对措
39、施,并在风险清单中记录相关风险应对措施。3.1 内部控制活动企业可以参照内控手册中公司层面控制或业务层面控制与相应级别风险的对应关系,在实施细则中建立该风险与控制措施的对应关系。3.2 制度和政策对于尚未建立相关公司层面控制或业务层面控制应对的风险,企业可以通过总部或本企业相关管理制度进行应对,并在风险清单中记录相关制度名称。3.3 其他对于既未建立相关公司层面控制和业务层面控制,亦未通过相关管理制度加以应对的风险,企业可以通过描述现行的操作情况进行应对,并在风险清单中记录相关操作描述。附表L固有风险可能性评级标准固有风险可能性评级标准风险发生可能性评估期内发生的概率附表2:风险影响程度评估标
40、准评级风险影响程度评估标准1、财务损失2、营运影响3、合规目标影响4、QHSE影响5、声誉影响具体指标如下:1、财务损失等级指标指标参考值极低税前利润前利资产产利资产周转率产周低资产负债率产负收入入负税前利润1%5%(含)资产1%5%(含)资产周转率1%5%(含)中资产负债率1%5%(含)收入1%5%(含)税前利润5%10%(含)资产5%10%(含)资产周转率5%15%(含)商资产负债率5%10%(含)收入5%1O%(含)税前利润10%20%(含)资产10%20%(含)资产周转率15%30%(含)极高资产负债率10%20%(含)收入10%20%(含)税前利润20%资产20%资产周转率30%资产
41、负债率20%收入20%2、营运影响等级指标指标参考值极低市场份额下降比例场份额非正常生产中断天数正夭关键业务系统宕机时间时小时(注)低j核心员工流失率心员工市场份额下降比例1%5%(含)非正常生产中断天数12天(含)关键业务系统宕机时间8至16小时(含)核心员工流失率5%10%(含)市场份额下降比例5%10%(含)非正常生产中断天数23天(含)关键业务系统宕机时间16至48小时(含)WI核心员工流失率1O%2O%(含)市场份额下降比例10%20%(含)非正常生产中断天数35天(含)关键业务系统宕机时间48至72小时(含)极高核心员工流失率20%30%(含)市场份额下降比例20%非正常生产中断天
42、数5天关键业务系统宕机时间72小时核心员工流失率30%(注)不同的业务系统宕机时间对企业运营导致的影响不同,因此各企业应针对本企业适用的业务系统分别规定各系统的宕机时间对运营的影响。3、合规目标影响等被指标参考值极低违规行为造成的影响公司可控,可采取补救措施立即予以更正并消除不利影响,不会导致法律后果;违规行为影响尚未扩散至企业外部,监管机构未介入。低违规行为造成的影响公司可控,可采取补救措施在一定期限内予以更正,会导致法律后果,但后果不严重;违规行为影响已扩散至企业外部,其不良影响仅限企业所在区域,引起地方监管机构关注;对公司声誉有一定影响。中违规行为造成的影响公司具有一定的控制力,但已无法
43、全面控制,会导致法律后果较为严重;违规行为影响已扩散至企业外部,并超出企业所在区域,地方监管机构介入调查;公司遭到行政处罚;对公司声誉造成较大损害。商违规行为造成的影响公司已完全丧失控制力,导致严重法律后果;违规行为影响已扩散至全国,地方及国家监管机构介入调查;公司遭到行政处罚(如金额较大的罚款)、相关负责人被追究刑责(如刑责不超过5年以下有期徒刑);对公司声誉造成重大损害,资本市场做出相应反应。极高违规行为造成的影响公司已完全丧失控制力,导致极其严重法律后果;违规行为影响已扩散至全球,国内外监管机构介入调查;公司遭到行政处罚(巨额罚款)、相关负责人被追究刑责(如刑责超过5年以上有期徒刑);对
44、公司声誉造成不可挽回的损害,资本市场做出异常强烈的反应;公司经营必须的证照和许可证被吊销或公司被勒令关闭,难以持续经营;公司遭受毁灭性打击。4、QHSE影响影响企业声誉的主要因素赋值说明(参考来源)4.1健康职工工伤与职业病致残程度鉴定标准(社会保障部)、XX行业企业社会责任报告4.2安全生产安全事故报告和调查处理条例(中华人民共和国国务院令第493号)4.3环境XX环境保护管理规定、XX能源环境绩效考核实施细则4.4质量XX质量事故管理规定指标参考值极低员工受工伤或职业病不超过6级,即属于7、8、9这三个等级。人均病假天数小于1天被认定为一级工伤或以及职业病的员工比例不超过5%;被认定为三级
45、工伤或以及职业病的员工比例不超过10版被认定为四级工伤或职业病的员工比例超过IO(M旦不超过30%;被认定为五、六级工伤或职业病的员工比例不超过30%。人均病假天数大于1天小于2天被认定为一级工伤或以及职业病的员工不超过5%;被认定为一级工伤或以及职业病的员工比例超过5%但不超过15%;被认定为三级工伤或以及职业病的员工比例超过10%但不超过25%;被认定为四级工伤或职业病的员工比例超过30%。人均病假天数大于2天小于3天毒超过5%但不超过10%的员工被认定为一级工伤或以及职业病;或超过10%的员工被认定为一级工伤或以及职业病;或超过20席的员工被认定为三级工伤或以及职业病。人均病假天数大于3
46、天小于5天极高超过10%的员工被认定为一级工伤或以及职业病;或造成人员死亡。人均病假天数大于5天4.2安全等级指标参考值极低无人员死亡,或者3人以下重伤(包括急性工业中毒,下同),或者500万元以下直接经济损失的事故。低造成人员死亡,但死亡人数3人以下,或者3人及以上10人以下重伤,或者500万元及以上1000万元以下直接经济损失的事故。tfa造成3人及以上10人以下死亡,或者10人及以上50人以下重伤,或者1000万元及以上5000万元以下直接经济损失的事故。直造成10人及以上30人以下死亡,或者50人及以上100人以下重伤,或者5000万元及以上1亿元以下直接经济损失的事故。极高造成30人及以上死亡,或者100人及以上重伤,或者1亿元及以上直接经济损失的事故。等级指标参考值极低1、无人员死亡,或3人以下中毒(重伤);2、因环境污染未造成跨县级行政区域纠纷或引起一般群体性影响的;3、发生在环境敏感区
