第1部分 总则

一、 前言

二、 1

2

2011年版 为规范经营管理行为，防范风险，促进建立健全各项管理制度，提高管理水平，保障实现发展战略，遵循外部监管、内部监控的要求，中国石化集团资产经营管理有限公司江苏石油分公司（以下简称“资产公司”）、中国石油化工股份有限公司江苏石油分公司（以下简称“公司”）依据我国《公司法》、《会计法》、《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》以及其他有关法律、法规，制定省公司《内部控制手册》实施细则（以下简称“实施细则”）。

内部控制的定义、目标和原则

内部控制是由公司经理层和全体员工实施的、旨在实现控制目标的过程。

信息与沟通、内部监督五个要素构成。

1 内部控制主要由内部环境、风险评估、控制活动、内部控制的目标是经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效

3 3.1

3.2

3.3

3.4

3.5

2011年版 总则 果，促进企业实现发展战略。

建立与实施内部控制，应当遵循以下基本原则： 合规性原则：内部控制必须符合国家的法律、法规和；符合集团公司、股份公司经营管理的要求。

全面性原则：内部控制应当贯穿决策、执行和监督全过程，覆盖公司及所属企业的各种业务和事项，涉及全体员工。公司的每一位员工既是内部控制的主体，又是内部控制的客体；既要对其负责的作业实施控制，又要受到其他人员或制度的监督与制约。

系统性原则：公司构建系统的内部控制体系，确保各部门和各岗位均能按特定的目标相互协调的发挥作用，最终实现公司内部控制的总体目标。

重要性原则：内部控制应当在全面控制的基础上，关注公司战略决策、重要业务事项和高风险领域。

制衡性原则：内部控制应当在治理结构、机构设置及权责分配、业务流程等方面相互制约、相互监督，使一个岗位或一个部门对一项或多项存在较大风险的经济业务活动没有完全的处理权，必须经过不相容的其他岗位或部门的验证、核对和制约；同时应

2 3.6

3.7

3.8

三、

2011年版 总则 兼顾运营效率。

适应性原则：内部控制应当与公司经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。

成本效益原则：内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。应实行有选择的控制，努力降低控制成本，改进控制方法和手段，提高效率。

包容性原则：内控手册力求避免与公司现行各项管理制度相矛盾，尽可能包容现行制度中的内部控制。对确实脱离实际的其他各项管理制度，应及时修改、完善，并以内控手册规定为准。

实施细则适用范围

实施细则适用于省公司各处室、中心及和分公司。 省公司的相关管理制度及业务流程应当符合内控手册的要求。

全资子公司参照《企业内部控制实施细则指导意见》，结合实际制定实施细则。实施细则应当符合内控手册的要求。

3

年版总则 控股子公司应当参照内控手册，结合自身特点，按照“业务必须覆盖内部控制手册中对应的所有规定内容，权限比照分公司”的原则，制定内控手册，履行内部审批程序后执行。

合资公司（股比各占50%）应当建立内控制度，内容不应与公司内控手册相冲突。

内部控制手册结构

内控手册包括总则、公司层面控制、业务层面控制、权限指引、检查评价与考核办法、附则六部分。

总则

总则是对内控手册的总说明。包括内控手册编制的原则、适用范围、结构、生效及更新等。

公司层面控制

公司层面控制是存在于公司整体层面，对业务层面实施的控制措施产生普遍、深远影响的控制，体现公司的风险管理理念、风险承受能力、公司治理监控水平、对道德价值观的遵守、人员素质与发展水平以及职责权力分工。公司层面控制主要分为内部环境、风险评估、信息与沟通及内部监督四个部分。

4 四、1

2

2011 2.1 2.2 2.3 2.4 3 2011年版 总则 内部环境是建立与实施内部控制的基础，包括组织架构、权责分配、发展战略、人力资源、社会责任、企业文化、反舞弊及内部审计等。

风险评估是在风险识别和预测的基础上，采用定性或定量方法，对风险发生可能性和影响程度进行预计和估算，最终确定风险评级的过程。具体内容包括风险管理组织体系、风险识别和分类、风险评估、风险应对及风险监控与报告等。

信息与沟通指信息在公司内部各层级、各部门之间以及公司与客户、供应商等之间的传递。包括信息收集机制、信息沟通机制、内部报告、保密管理及信息技术整体控制。

内部监督是公司对内部控制建立与实施情况进行监督检查，评价内部控制设计和运行的有效性，发现内部控制缺陷，提出改进措施并监督整改情况的过程。主要包括对建立并执行内部控制的整体情况进行持续性日常监督，对内部控制的某一方面或者某些方面进行专项监督，以及提交相应的检查评价报告、提出有针对性的改进措施等。

业务层面控制

5

年版总则 业务层面控制包括内部控制矩阵和财务报告计划矩阵。内部控制矩阵是公司依据风险评估结果，通过手工与自动控制、预防性控制与发现性控制相结合的方法拟定相应的控制措施。财务报告计划矩阵旨在将会计报表项目和事项与控制措施建立联系，以确保内部控制可以合理保证对外披露的会计报表真实可靠。

业务层面控制措施一般包括：不相容职责分离控制、授权审批控制、会计系统控制、财产保护控制、计划控制、预算控制、合同管理控制、资金支付控制、信息技术控制、运营分析控制和绩效考评控制等。 公司通过编制内部控制矩阵，对各项业务进行具体控制。内控手册现有48个内部控制矩阵，内容涵盖资金活动、采购及生产活动、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、关联方交易、税务管理、人力资源、HSE管理、产品质量管理、信息资源管理、信息系统管理、信息披露、内部审计等20大类

适用范围：对相关业务和事项控制的具体界定。

6 3.12011 3.2 3.3 3.4 3.5 4 5 2011年版 总则 控制目标：包括五个方面，一是战略目标，即促进企业实现发展战略；二是经营目标，即提高经营效率和效果；三是财务目标，即保证财务报告及相关信息真实完整；四是资产安全目标，即维护资产安全；五是合规目标，即合理保证经营管理合法合规。

内部控制矩阵：针对每一控制点，明确其控制目标、业务风险、关键控制措施、责任部门/单位、对应系统流程、对应权限指引、控制文档及会计报表项目。

相关制度：与具体业务相关的法律法规以及公司内部规章制度。

示意图：将各业务的程序步骤和关键控制点以简图的方式加以直观表达。

权限指引

针对各业务的关键环节和经营活动，按照权责匹配的原则，明确公司各层级的集体决策和个人审批权限。

检查评价与考核办法

公司对内部控制有效性进行自我综合检查评价的程序、方法和标准。内部控制执行情况纳入绩效考核。

7 6 五、 六、 2011年版 总则 附则

包括内部控制责任部门、内部控制矩阵适用单位、风险清单、信息系统控制流程清单及ERP系统权限控制标准。

内部控制手册实施细则生效及更新

公司根据集团公司内控手册的变化、内部组织架构及管理要求的变化更新内控手册。一般每年集中更新一次，更新后的内控手册经公司办公会审批后正式生效。除年度集中更新外，公司可根据需要组织相关部门进行个别修订。

涉及公司内部控制的重大调整事项，需要提交公司办公会审批程序。

缩略语

8

简称 资产公司

股份公司 公司办公会

分公司 公司负责人分公司 分管领导

规定权限公司负责人 分管领导 规定权限

2011年版 总则 全称

中国石化集团资产经营管理有限公司江苏石油分公司

中国石油化工股份有限公司江苏石油分公司

公司经理办公会

公司所属分公司

公司行政第一负责人公司所属分公司

分管某项业务的领导

法定职权、公司章程和相关授权公司行政第一负责人 分管某项业务的领导

法定职权、公司章程和相关授权

9