陈国铭 2012.2.24
提要
1 内控制度和以QHSE为主体的一体化管理体系不同点 1.1 背景和目的不同
1.2 理论基础和管理原则不同 1.3文件涵盖范围和文件格式不同
2 内控制度和一体化管理体系整合的必要性和可能性 2.1 必要性 2.2 可能性
3 内控、质量、职业健康安全和环境管理体系整合的整合思路 3.1 以GB/T 19001 标准格式为总体框架的结构 3.2 以内控制度为框架的整合结构 3.3 整合注意事项
目前许多石化企业依据GB/T19001 、G/T24001和GB/T 28001建立了一体化管理体系,不仅如此,他们还讲GB/T19022以及政治思想工作纳入了一体化管理体系。在建立一体化管理体系过程中,遇到一个不可回避的问题,即如何合内控制度整合在一起。但是虽然许多企业声称将内控制度也纳入一体化管理体系中,但在实践中由于内控的特殊要求,多数企业在建立一体化管理体系中,把内控制度单独列出,实际上形成两套文件,各自单独运行,没有真正建立整合的一个体系。如何将两者整合在一起是我们当前值得研究的一个重大课题。
现在我们研究。。个4001、OHS18001标准的认证,而中国对于上市公司也于2009年7月1日起强制施行《企业内部控制基本规范》,那么关于这两者之间是怎样的关系,他们的联系在那里,本文将对此进行简单的叙述。
1 内控制度和以QHSE为主体的一体化管理体系不同点 1.1 背景及其目的不同
1.1.1 内控制度产生背景及其目的
目前国际上对内部控制最权威的定义标准是由美国注册会计师协会(AICPA)、美国会计协会(AAA)、财务经理人协会(FEI)、内部审计师协会(IIA)、管理会计师协会(IMA)联合创建的美国的反虚假财务报告委员会下属的发起人委员会(The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting)(简称COSO委员会)于1992年9月发布,1994年进行了增补的《内部控制一整体框架》。
特别是2001年12月,美国最大的能源公司——安然公司,突然申请破产保护,此后,公司丑闻不断,规模也\"屡创新高\特别是2002年6月的世界通信会计丑闻事件,\"彻底打击了(美国)投资者对(美国)资本市场的信心\"(Congress report, 2002).为了改变这一局面,美国国会和政府加速通过了《萨班斯法案》(以下简称SOX法案),该法案的另一个名称是\"公众公司会计改革与投资者保护法案\".法案的第一句话就是\"遵守证券法律以提高公司披露的准确性和可靠性,从而保护投资者及其他目的.\"
美国《萨班斯—奥克斯利法案》(简称《萨班斯法案》)已于2006年7月15日开始对年销售收入在5亿美元以上的海外企业正式生效。《萨班斯法案》抑制了上市公司造假的动机,萨班斯法案在会计职业监管、公司治理、证券市场监管等方面作出了许多新的规定,完善了现行美国法规在处理虚假财务报表、虚假财务审计、销毁财务证据等方面的漏洞。《萨班斯法案》最为鲜明的特点,即以立法的形式,对上市公司管理层加以约束。《萨班斯法案》对违法行为的处罚措施极为严厉,如,“故意进行证券欺诈的犯罪最高可判处25年入狱。对犯有欺诈罪的个人和公司的罚金最高分别可达500万美元和2500万美元。”
中国企业在美国上市,必须满足《萨班斯法案》的要求,中国通近三年时间里先后动用了集团十余万员工参加各级内控管理培训。上交所、深交所内部控制指引被业界称为中国版的《萨班斯法案》。内部控制指引是根据法律法规及规范性文件和证券交易所股票上市规则的规定而制定的。虽然要求上市公司强制执行,但是内部控制指引毕竟只是行政监督性质的规定,并无法律效力,所以并未对违反内控指引要求的行为作出如何处罚进行相应的规定,而且在司法监督体系中也并未有法律条文对内部控制指引作出回应性的民事、刑事处罚规定。缺乏法律支持的内部控制
指引与美国立法形式的《萨班斯法案》形成了本质区别。由于缺乏对违法违规事件责任人的事后处罚,对违法违规行为难以形成威慑力。
2009年7月1日起由财政部、证监会、审计署、银监会、保监会联合制定的《企业内部控制基本规范》,在上市公司范围内施行,要求上市公司对本公司内部控制的有效性进行自我评价,披露年度自我评价报告,并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。
由此可见,企业内部控制是为了满足对上市公司要求,内部控制基本目标是帮助企业奔向经营目标、完成使命和减少经营过程中的风险。保护投资者权益的一项制度。从而可以提高企业经营管理水平和风险防范能力,促进企业可持续发展,维护市场经济秩序和社会公众利益。
1.1.2 质量管理体系产生背景及其目的
ISO 9000是由西方的品质保证活动发展起来的。从1987年正式发布25年实践,经过三次修改,形成当前的2008版ISO 9000族标准。 目前,全世界已有100多个国家和地区正在积极推行ISO9000国际标准。
中国积极紧跟ISO步伐,等同采用ISO9000标准,由国家标准化管理委员会发布了GB/T 19000 idt ISO9000标准。现在实施的是2008版GB/T 19000 idt ISO9000标准。
采用质量管理体系应当是组织的一项战略性决策。实施ISO9000标准主要目的是为了证实组织具有提供满足顾客要求和适用法规要求的产品的能力,且能通过持续改进,不断增进顾客满意。
由此可见,ISO9000系列标准的目的是为了证实组织具有提供满足顾客要求和适用法规要求的产品的能力,目的在于增进顾客满意。因为企业的生存和发展依存于顾客,只有顾客才是企业获得利益的源泉。因此,标准提出采用质量管理体系应当是组织的一项战略性决策。是企业规避战略风险的重要决策。
1.1.3 环境和职业健康安全管理体系产生背景及其目的
ISO 14000环境管理系列标准是在1992年里约热内卢世界环境与发展大会(里约全球峰会)背景下应运而生的。标准的目的是规范全球企业及各种组织的活动、产品和服务的环境行为,节省资源、减少环境污染,改善环境质量,保证经济可持续发展。使一个组织能够根据法律法规和它应遵守的其他要求,运用ISO 14000环
境管理标准,建立体系,达到组织承诺的环境方针与目标。
职业健康安全管理体系最早由ISO/207于1994年5月在澳大利亚全会上提出。希望采用类似质量管理体系(ISO 9000)和环境管理体系(ISO 14000)的办法有效解决组织的职业健康安全问题,以便进一步强化组织的综合管理水平。虽然1997年ISO成员大会的表决结果虽未能形成国际标准。但英国标准协会(BSI)、挪威船级社(DNV)等13个组织于1999年共同制定了职业安全与卫生OHSAS18001《职业安全与卫生管理体系-规范》和OHSAS18002《职业安全与卫生管理体系-OHSAS18001实施指南》被许多国家接受,不少国家已将OHSAS18001标准做为企业实施职业安全与卫生管理体系的标准。中国由国家标准化管理委员会发布了GB/T28001 -OHSAS 18001国家标准。标准的颁布为消除或降低企业的安全风险,预防事故发生,保护员工的安全健康,改善政府、企业、员工的公共关系.提高企业的声誉和参与国际贸易的综合竞争力提供了帮助。
由此可见,企业能否在全球经贸活动中生存、竞争、发展,质量(Q)、环境(E)及职业安全健康(OSH)问题已成为不可回避的全球化的问题,如何在保证产品质量的同时对全球的环境以及职工职业健康安全提出了要求。ISO 14000和OHSAS18001标准对于规范全球企业及各种组织的活动、产品和服务的环境行为,保证经济可持续发展和最大限度降低职业健康安全风险,保护员工权益,以人为本,确保实现企业的经营目标。
综合以上分析,可以看出内控制度和质量、职业健康和安全、环境管理体系产生背景和目的有很大不同,中国权威的内控制度是由财政部、证监会、审计署、银监会、保监会联合制定的《企业内部控制基本规范》,旨在规范上市公司行为。而质量、环境、职业健康和安全标准是ISO国际标准化组织发布的,OHSAS18001 是英国等13个组织发布的。在中国是由国家质量监督检验检疫总局国家标准化管理委员会发布。ISO9000标准是为了保护顾客权益,ISO14001是为了保护社会效益,OHSAS18001 标准是为了保护员工权益。不论发布的时间、发布的机构,质量、环境、职业健康和安全标准比内控制度更加完善、更权威和解释更加准确。但是,它们从不同的出发点提出了一个共同的问题,即企业应提高企业管理水平,识别和评价和控制各类风险,满足顾客和其它相关方要求,达到企业经营管理目标。
1.2 理论基础、管理原则不同
成功地领导和运作一个组织,需要采用系统和透明的方式进行管理。针对所有
相关方的需求,实施并保持持续改进其业绩的管理体系,可使组织获得成功。
ISO9000标准提出的八项质量管理原则被确定为最高管理者用于领导组织进行业绩改进的指导原则。这八项原则也为其他管理体系提供了理论基础,职业健康安全和环境管理体系也都遵循八项质量管理原则,这些原则是:
a) 以顾客为关注焦点,组织依存于顾客。因此,组织应当理解顾客当前和未来的需求,满足顾客要求并争取超越顾客期望。
b) 领导作用,领导者应确保组织的目的与方向的一致。他们应当创造并保持良好的内部环境,使员工能充分参与实现组织目标的活动。
c) 全员参与,各级人员都是组织之本,唯有其充分参与,才能使他们为组织的利益发挥其才干。
d) 过程方法,将活动和相关资源作为过程进行管理,可以更高效地得到期望的结果。
e) 管理的系统方法,将相互关联的过程作为体系来看待、理解和管理,有助于组织提高实现目标的有效性和效率。
f) 持续改进,持续改进总体业绩应当是组织的永恒目标。
g) 基于事实的决策方法,有效决策建立在数据和信息分析的基础上。
h) 与供方互利的关系,组织与供方相互依存,互利的关系可增强双方创造价值的能力。
八项质量管理原则是经过20多年质量管理实践总结出来的管理原则,它是ISO 9000族标准的理论基础,实践证明,八项质量管理原则不仅是质量管理的理论基础,它体现了企业经营管理的通用原则,因此它也是GB/T24001和GB/T 28001管理体系的理论基础。是一体化管理体系的理论基础。 内控制度也提出了五项基本原则,它们是:
(一)全面性原则。内部控制应当贯穿决策、执行和监督全过程,覆盖企业及其所属单位的各种业务和事项。
(二)重要性原则。内部控制应当在全面控制的基础上,关注重要业务事项和高风险领域。
(三)制衡性原则。内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率。
(四)适应性原则。内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整。
(五)成本效益原则。内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制。
石化内控制度更是提出8项原则,在前五项基础上增加了
a)合规性原则:内部控制必须符合国家的法律、法规和政策;符合上市地(上海、香港、纽约、伦敦)证券监管机构有关上市公司的法律、法规和要求。
b)系统性原则:公司构建系统的内部控制体系,确保各部门和各岗位均能按特定的目标相互协调的发挥作用,最终实现公司内部控制的总体目标。
d) 包容性原则:内控手册力求避免与公司现行各项管理制度相矛盾,尽可能包容现行制度中的内部控制。对确实脱离实际的其他各项管理制度,应及时修改、完善,并以内控手册规定为准。
仔细研究两个八项原则的区别,可以看出以下几点:
质量管理八项原则体现了企业经营管理的普遍原则,也可以说,遵循该八项质量管理原则,最高管理层可以成功地领导和运作一个组织,采用系统和透明的方式进行管理。满足所有相关方的需求,实施并保持持续改进其业绩的管理体系,可使组织获得成功。内控制度的八项原则体现了为满足上市公司有关法律法规的要求,对内控制度本身提出的基本要求。主要是从经营风险的识别、评价、控制思路描述得。从这个意义上说,质量管理八项原则面要更宽一些,内控制度的八项原则仅限于制度本身。
但两个八项原则也有共同之处。如全员参与与全面性原则,意义相近或相同; 管理的系统方法和系统性原则意义相近或相同;合规性原则在QHSE体系中有合规性评价的要求;包容性原则在QHSE体系中有相同的要求。 从理论基础和管理原则进一步说明,包含QHSE 的一体化管理体系是企业管理整体,而内控制度是管理体系的局部。
1.3 文件涵盖范围和文件格式不同
质量、环境、职业健康和安全标准要求组织建立的是完整的管理体系,而内控制度未形成体系,而是强调建立制度。由于涵盖范围不同,文件格式有较大区别。
质量、环境、职业健康和安全标准要求以过程方法为原则,建立的是完整的管理体系文件,按照管理的系统方法,将组织的全部经营活动体现在管理职责、资源提供、产品实现和测量分析和改进四个基本过程,特别是以PDCA方法为核心的过程方法贯穿于组织的全部活动。文件通常将文件分为三个层次:管理手册、程序文件和第三层次的作业文件、制度和办法。管理手册是“规定组织管理体系的文件”,描述了管理体系的范围,为管理体系建立的形成文件的程序或对其引用;对管理体系过程之间的相互作用的进行了表述。它是组织一体化管理体系总的纲领性的文件,对外可作为组织管理体系的“证实”,对内可作为全体人员行为的“规范”。程
序文件是为进行某项活动或过程)所规定的途径。标准对需要建立程序文件的过程都作了明确规定。第三层次的作业文件、制度和办法是对管理手册和程序文件的补充和支撑。一体化管理体系将组织经营管理的全部过程系统地联系起来,形成完整的体系文件。
而《企业内部控制基本规范》的要求包括5个要素,分别为内部环境、风险评估、控制活动、信息的沟通与交流、内部的监控。实际上是对组织内外经营风险的识别、评价和控制过程。1内部环境,是在思想意识方面的要求,依法建立现代企业制度;2 风险评估,是识别、评价企业对所处的内外风险,确定风险的重要性;3 控制活动则是在对风险识别的基础上,对风险所进行的管理和控制,4 信息和沟通,建立内外信息沟通和交流机制,控制活动的信息;5 内部监督,建立内部监控系统,实现内控制度的持续改进。内控手册以上述5个要素为主线,建立了文件系统。如石化企业内控手册内容包括总则、公司层面控制、业务层面控制、权限指引、检查评价与考核办法、附则六部分。其中总则内容描述了内控制度的目的、目标和原则。内部控制手册的目录是技术指引,实际上,内控手册内容包括了内控制度全部内容,也就是说内控制度就是内控手册,内控手册就是内控制度全部内容。从内控手册结构分析,它是以职责权限为主线条描述的:1 总则是对内控手册的总说明。2 公司层面控制体现公司一级的风险管理理念,包含了《企业内部控制基本规范》的要求5个要素内部环境、风险评估、信息与沟通及内部监督四个部分。3 业务层面控制包括内部控制矩阵和财务报告计划矩阵。包含了《企业内部控制基本规范》的要求5个要素中的风险控制部分。制定了67个内部控制矩阵,内容涵盖生产经营活动的资金活动、采购及生产活动、资产管理、销售业务、研究与开发、工程项目、担保业务、业务外包、财务报告、全面预算、合同管理、关联方交易、税务管理、人力资源、HSE管理、产品质量管理、信息资源管理、信息系统管理、信息披露、内部审计等20大类。4 权限指引,针对各业务的关键环节和经营活动,按照权责匹配的原则,明确公司各层级的集体决策和个人审批权限。5 检查评价与考核
办法,公司对内部控制有效性进行自我综合检查评价的程序、方法和标准。内部控制执行情况纳入绩效考核。
一体化管理体系文件将组织经营管理的全部过程系统地联系起来,形成完整的体系文件。而内控制度仅就经营风险的识别、评价、控制、信息沟通以及监视和测量改进提出管理要求。可以认为一体化管理体系体现了企业管理的全面,而内控制度专注资金流、资产流、信息流中的关键风险点进行控制,前者是面,后者是线和点。
2 内控制度和一体化管理体系整合的必要性和可能性 2.1 必要性
一个企业只能建立一套体系,各专业管理是综合管理体系的分体系。目前各类体系标准层出不穷,一体化管理体系已经将质量、环境、职业健康和安全以及测量管理体系、能源管理体系整合在一起,但内控制度鉴于是对上市公司的要求的特殊性, 尚未能整合在一起,这样,对于上市公司来说,仍然是两套文件、两个手册,各种管理体系标准的重复认证检查,给企业增加了不少不应有的负担,产生的副作用甚至会影响企业经营管理体系的整体效果,当今企业面临各类检查,各级管理人员整天忙于迎接各类检查,如安全检查、设备检查、质量检查、财务检查、文明生产检查、岗位责任制检查、三基检查、内控检查、内部审计、效能检查、六面红旗检查、比学赶帮超检查等等,有一个部门就有一个检查,而检查内容除专业内容外几乎一样。企业领导层如何有时间认真研究本身的问题呢,因此如何将各专业管理整合在一起,建立和实施整合型管理体系是非常必要的。因此管理体系的整合是企业的迫切愿望。
2.2 可能性
虽然内控制度、质量、职业健康和安全、环境管理体系出发点各有不同,但都提出一个共同的问题,即提高企业管理水平,只是方法不同,因此内控制度、质量、职业健康和安全、环境管理体系整合在一起完全是可能的,其依据如下: 2.2.1 内控制度主张包容性原则。内部控制制度提出应当遵循以下八个基本原则:合规性原则;全面性原则;系统性原则;重要性原则;制衡性原则;适应性原则;成本效益原则;包容性原则等。其内容和其他管理体系要求是一致的,特别是第8条包容性原则,要求内控手册力求避免与公司现行各项管理制度相矛盾,尽
可能包容现行制度中的内部控制。对确实脱离实际的其他各项管理制度,应及时修改、完善,并以内控手册规定为准。这就为一体化管理体系将内控制度、质量、职业健康和安全、环境管理体系整合有了理论依据。质量管理八项原则完全适用于内控制度。
2.2.2 质量管理体系主张和其他管理体系整合成一个使用通用要素的管理体系。ISO 9000:2008标准的2.11条款中提到“质量管理体系是组织的管理体系的一部分,它致力于实现与质量目标有关的结果。适当时,满足相关方的需求、期望和要求。组织的质量目标补充其他目标,如成长、筹资、收益性、环境及职业健康与安全等目标。一个组织的若干个管理体系,可以与质量管理体系整合成一个使用通用要素的管理体系。这将有利于策划、资源配置、确定互补的目标以及评价组织的整体有效性。”。
2.2.3 ISO14001标准、OHSAS18001标准主张将本标准所规定的要素与其他管理体系的要素进行协调,或加以整合。ISO14001标准在引言中提到“本标准不包含针对其他管理体系的要求,如质量、职业健康安全、财务或风险等管理体系要求。但可以将本标准所规定的要素与其他管理体系的要素进行协调,或加以整合。组织可通过对现有管理体系做出修改,以建立符合本标准要求的环境管理体系。这里还要指出,对各种管理体系要素的应用,可能因不同的用途和不同相关方而异。”2007版OHSAS18001标准更是强调和ISO14001标准 兼容。
2.2.4 内部控制业务层面控制包括内部控制矩阵和财务报告计划矩阵。内容涵盖生产经营活动的资金活动、采购及生产活动、销售业务、研究与开发、工程项目、业务外包、合同管理、人力资源、HSE管理、产品质量管理、信息资源管理、信息系统管理等20大类过程。几乎和一体化管理体系控制内容几乎一致。
因此,从内控制度、质量、职业健康和安全、环境管理体系的主张可以看出,建立整合的一体化管理体系是完全可能的。
3 内控、质量、职业健康安全和环境管理体系整合的整合思路
由于内控、质量、职业健康安全和环境管理体系的出发点不同,目的不同,特别是内控制度,有独立的要求,难以和其他管理体系整合,在建立整合管理体系中
有以下难点需要理顺。
整合的首要条件是内控制度应承诺持续改进,容许将其整合到一体化管理体系中。
整合以后的一体化管理文件可以有两种模式,一是以ISO9001 标准为基础框架建立文件化管理体系,一是以内控制度为基础框架的文件化管理体系。笔者认为前者方法更好些,但后者也能满足各标准要求。 3.1 以GB/T 19001 标准格式为总体框架的结构
当前一体化管理体系文件常用结构 封面 目录 0.1手册批准页 0.2管理者代表任命书 0.3管理方针及其内涵 0.4总厂简介 0.5手册管理 1范围 1.1总则 1.2应用 2规范性引用文件 2.1引用标准 2.2引用的法律法规和其它要求 3术语、定义和缩略语 4管理体系 4.1总要求 4.2文件要求 4.2.1总则 4.2.2管理手册 4.2.3文件控制 和内控结合的一体化管理体系结构 封面 目录 0.1手册批准页 0.2管理者代表任命书 0.3管理方针及其内涵 0.4总厂简介 0.5手册管理 1范围 1.1总则 1.2应用 2规范性引用文件 2.1引用标准 2.2引用的法律法规和其它要求 3术语、定义和缩略语 4管理体系 4.1总要求 4.2文件要求 4.2.1总则 4.2.2管理手册 内控手册总则 4.2.3文件控制 内控制度结构的要素 总则六、缩略语 内控手册总则 4.2.4记录控制 4.2.5计量单位使用管理 5管理职责 5.1管理承诺 5.2以顾客、法律法规和其他相关方为关注焦点 5.2.1总则 5.2.2以法律法规及其他要求为准则 5.2.3以顾客为关注焦点 5.2.4维护职工和其他相关方权益 5.3管理方针 5.4策划 5.4.1管理目标 5.4.2管理体系策划 5.4.2.1总则 5.4.2.2顾客要求及其他相关方要求的识别 5.4.2.3环境因素识别与环境影响评价 5.4.2.4能源因素识别与评价 5.4.2.5危险源辩识与风险评价 5.4.2.6管理方案策划 5.5职责权限与沟通 5.5.1职责和权限 5.5.2管理者代表 5.5.3职业健康安全职工代表 5.5.4沟通与协商 6资源管理 6.1资源提供 6.2人力资源 6.2.1总则 6.2.2人员配置、能力、意识和培训 6.2.3劳动、薪酬、社会保险与激励 4.2.4记录控制 4.2.5计量单位使用管理 5管理职责 5.1管理承诺 5.2以顾客、法律法规和其他相关方为关注焦点 5.2.1总则 5.2.2以法律法规及其他要求为准则 5.2.3以顾客为关注焦点 5.2.4维护职工和其他相关方权益 5.3管理方针 5.4策划 5.4.1管理目标 5.4.2管理体系策划 5.4.2.1总则 企业风险管理 5.4.2.2顾客要求及其他相关方要求的识别 5.4.2.3环境因素识别与环境影响评价 5.4.2.4能源因素识别与评价 5.4.2.5危险源辩识与风险评价 5.4.2.6管理方案策划 5.5职责权限与沟通 5.5.1职责和权限 5.5.2管理者代表 5.5.3职业健康安全职工代表 5.5.4沟通与协商 6资源管理 6.1资源提供 6.2人力资源 6.2.1总则 6.2.2人员配置、能力、意识和培训 6.2.3劳动、薪酬、社会保险与激励 一内部环境 二风险评估 15.1HSE流程 一内部环境 14.1人力资源管理 6.2.4思想政治工作、党群工作和企业文化 6.2.4思想政治工作、党群工作和企业文化 6.3基础设施 3.3固定资产管理 3.4固定资产修理管理 3.5无形资产管理 4.13租赁业务 18.4基础设施IT一般性控制 1.1筹资业务 1.2资本支出管理 1.3对外投资管理 1.4企业并购管理 1.5套期保值业务 1.6利率汇率风险管理 1.7货币资金管理 1.8承兑汇票管理 1.9应收款项管理 13.1税务管理 17.1信息资源管理 18.1信息系统管理 18.2ERP系统IT一般性控制 18.3应用系统IT一般性控制 19.1信息披露 3.6土地管理 6.3基础设施 6.4工作环境 6.5财务资源 6.4工作环境 6.5财务资源管理 6.5.1筹资业务 6.5.2资本支出管理 6.5.3对外投资管理 6.5.4企业并购管理 6.5.5套期保值业务 6.5.6利率汇率风险管理 6.5.7货币资金管理 6.5.8承兑汇票管理 6.5.9应收款项管理 6.5.10税务管理 6.6信息资源 6.6信息资源 6.7自然资源 6.7.1总则 6.7.2土地 6.7.3原油 6.7.4水 6.7.5供方、承包方和合作者 7 产品实现过程 7.1产品实现的策划 7.2与顾客有关的过程 7.2.1总则 6.7自然资源 6.7.1总则 6.7.2土地 6.7.3原油 6.7.4水 6.7.5供方、承包方和合作者 7 产品实现过程 7.1产品实现的策划 7.2与顾客有关的过程 7.2.1总则 7.2.2与产品有关的要求的确定 7.2.2与产品有关的要求的确定 2.8成品油调运业务 2.13商品流通费用管理 2.15期间费用管理 3.1存货管理 4.1一般产品销售业务 4.4化工产品销售业务 4.5成品油直销及分销业务 4.7润滑油销售业务 4.8燃料油销售业务 4.9产品出口业务 7.2.3与产品有关的要求的评审 7.2.4顾客沟通 7.3设计、开发和建设 7.3.1总则 7.3.2产品设计开发 7.3.2.1产品设计开发策划 7.3.2.2产品设计开发输入 7.3.2.3产品设计开发输出 7.3.2.4产品设计开发评审 7.3.2.5产品设计开发验证 7.3.2.6产品设计开发确认 7.3.2.7产品设计开发更改的控制 7.2.3与产品有关的要求的评审 7.2.4顾客沟通 7.3设计、开发和建设 7.3.1总则 7.3.2产品设计开发 7.3.2.1产品设计开发策划 7.3.2.2产品设计开发输入 7.3.2.3产品设计开发输出 7.3.2.4产品设计开发评审 7.3.2.5产品设计开发验证 7.3.2.6产品设计开发确认 7.3.2.7产品设计开发更改的控制 7.3.3新建、改扩建、技术改造项目建设 7.3.3新建、改扩建、技术改造项目建设 10.1全面预算管理 7.3.3.1设计策划 7.3.3.2设计输入 7.3.3.3设计输出 7.3.3.4设计评审 7.3.3.5设计验证 7.3.3.6设计确认 7.3.3.7设计更改的控制 7.4采购 7.3.3.1设计策划 7.3.3.2设计输入 7.3.3.3设计输出 7.3.3.4设计评审 7.3.3.5设计验证 7.3.3.6设计确认 7.3.3.7设计更改的控制 7.4采购 7.4.1采购过程 7.4.1采购过程 2.1原油配置运输业务 2.2原油采购业务 2.3一般物资采购供应业务 2.4成品油采购业务 2.5润滑油采购业务 2.6燃料油采购业务 2.10石油商业储备管理 7.4.2采购信息 7.4.3采购产品的检验与验证 7.5产品和服务提供 7.5.1生产和服务提供的控制 7.5.1.1原油、渣油及化工原材料进厂控制 7.5.1.2人力资源控制 7.5.1.3设备的提供与维护 7.4.2采购信息 7.4.3采购产品的检验与验证 7.5产品和服务提供 7.5.1生产和服务提供的控制 7.5.1.1原油、渣油及化工原材料进厂控制 7.5.1.2人力资源控制 7.5.1.3设备的提供与维护 7.5.1.4生产和服务提供运行及组织协调 7.5.1.4生产和服务提供运行及组织协调 2.7生产调度运行业务 2.9生产经营统计业务 2.12炼化生产成本管理 7.5.1.5工艺管理 7.5.2生产和服务提供过程的确认 7.5.3标识和可追溯性 7.5.4顾客财产 7.5.5产品贮存、防护与交付 7.6监视和测量设备及测量过程的控制 7.6.1总则 7.6.2监视和测量设备的控制 7.6.3测量过程的控制 7.7职业健康安全、环境运行控制 7.7.1总则 7.7.2环境运行控制 7.7.3职业健康安全运行控制 7.7.4隐患治理 7.5.1.5工艺管理 7.5.2生产和服务提供过程的确认 7.5.3标识和可追溯性 7.5.4顾客财产 7.5.5产品贮存、防护与交付 7.6监视和测量设备及测量过程的控制 7.6.1总则 7.6.2监视和测量设备的控制 7.6.3测量过程的控制 7.7职业健康安全、环境运行控制 7.7.1总则 7.7.2环境运行控制 7.7.3职业健康安全运行控制 7.7.4隐患治理 7.8能源管理运行控制 7.8.1总则 7.8.2产品和过程的设计中能源控制 7.8.3设备设施配置控制 7.8.4能源采购、生产和服务提供过程控制 7.9应急准备与响应 7.9.1总则 7.9.2应急准备和响应管理要求 7.9.3应急指挥系统 7.9.4应急预案的演练、评估与修订 7.10变更管理 7.10.1总则 7.10.2变更控制 7.10.3变更管理的流程 7.11合同管理及法律风险防范 7.11.1总则 7.11.2合同管理及法律风险防范控制 7.12内部治安保卫 7.12.1总则 7.12.2内部治安保卫控制 8测量、分析和改进 8.1总则 8.2监视和测量 8.2.1顾客满意和其他相关方满意 8.2.2内部审核 8.2.3过程的监测和测量 8.2.4产品的监视和测量 8.2.5HSE绩效监视和测量 8.2.6合规性评价 8.2.7财务绩效的监视和测量 8.3不符合控制 7.8能源管理运行控制 7.8.1总则 7.8.2产品和过程的设计中能源控制 7.8.3设备设施配置控制 7.8.4能源采购、生产和服务提供过程控制 7.9应急准备与响应 7.9.1总则 7.9.2应急准备和响应管理要求 7.9.3应急指挥系统 7.9.4应急预案的演练、评估与修订 7.10变更管理 7.10.1总则 7.10.2变更控制 7.10.3变更管理的流程 7.11合同管理及法律风险防范 7.11.1总则 7.11.2合同管理及法律风险防范控制 7.12内部治安保卫 7.12.1总则 7.12.2内部治安保卫控制 8测量、分析和改进 8.1总则 8.2监视和测量 8.2.1顾客满意和其他相关方满意 8.2.2内部审核 8.2.3过程的监测和测量 8.2.4产品的监视和测量 8.2.5HSE绩效监视和测量 8.2.6合规性评价 8.2.7财务绩效的监视和测量 8.2.8 内部控制评价 8.3不符合控制 11.1合同管理 16.1产品质量 20.1内部审计管理 2.2 内部控制评价 8.3.1不合格品控制 8.3.2不符合项控制 8.3.3事故及事件管理 8.4数据分析 8.5管理评审 8.5.1总则 8.5.2.管理评审输入 8.5.3管理评审输出 8.5.4管理评审实施 8.5.5改进 8.5.6持续改进 8.5.7纠正和预防措施 8.3.1不合格品控制 8.3.2不符合项控制 8.3.3事故及事件管理 8.4数据分析 8.5管理评审 8.5.1总则 8.5.2.管理评审输入 8.5.3管理评审输出 8.5.4管理评审实施 8.5.5改进 8.5.6持续改进 8.5.7纠正和预防措施 注:
1 手册条款包含内容可以形成程序文件,也可形成第三层文件,一般第三层次文件应多一些;
3 程序文件编制可参照内控制度方法描述,即目的\\范围\\权限指引\\相关支持文
件并有流程图.
控制目标 风险编号 控制点 责任部门/单位 对应系统流程 权限索引 控制文档 会计报表项目
3.2 以内控制度为框架的整合结构
内控制度无统一文件格式要求,《企业内部控制基本规范》,提出了六章48条要求。即:
第一章 总 则 第二章 内部环境 第三章 风险评估 第四章 控制活动 第五章 信息与沟通 第六章 内部监督
从内容看,仍然是以风险管理的框架,根据质量、安全、环境管理体系标准要求,不追求文件格式的统一,只要符合要求即可。因此按照《企业内部控制基本规范》格式规范一体化管理体系文件也是可以的。
条件是内控管理部门应容许作文件改动。
内控制度结构的要素 和内控结合的一体化管理体系结构 第一章 总 则 1 法律依据 封面 目录 0.1手册批准页 0.2管理者代表任命书 0.3管理方针及其内涵 0.4公司简介 0.5手册管理 1 总则 1.1依据法律和标准 1.1.1引用的法律法规和其它要求 1.1.2规范性引用文件 1.1.3引用标准 支持程序和文件 2 适用范围 3 经营方针目标 4 遵循基本原则 5 基本要求 1.1.4术语、定义和缩略语 1.2 范围 1.2.1 总则 1.2.2应用 1.3 经营方针目标 1.4 管理原则 1.4.1 管理体系八项原则 1.4.2 内控制度基本原则 1.5管理体系 1.5.1总要求 1.5.2文件要求 1.5.2.1总则 1.5.2.2管理手册 文件控制程序 记录控制程序 法定计量单位 信息管理程序 内部审计控制程序 6 建立内控制度要1.5.2.3内控手册总则 求 1.5.2.4文件控制 47 记录控制 7 信息技术应用 8 奖励约束机制 9 监督检查 10 内部审计 第二章 内部环境 11 内部治理结构 12 董事会职责 1.5.2.5记录控制 1.5.2.6计量单位使用管理 1.6 信息技术应用 1.7 奖励约束机制 1.8 监督检查 1.9内部审计 2 内部环境 2.1 公司内部组织结构 2.2 董事会职责 13 审计委员会职责 2.3 审计委员会职责 14 管理职责 2.4 公司管理职责 2.4.1管理承诺 2.4.2以顾客、法律法规和其他相关方为关 注焦点 2.4.3管理者代表 2.4.4职业健康安全职工代表 15 内部审计机构 2.5 内部审计机构 16 人力资源政策和2.6 人力资源政策和管理 管理 2.6.1总则 17 意识、培训和能力 2.6.2人员配置、能力、意识和培训 18 企业文化建设 2.6.3劳动、薪酬、社会保险与激励 2.6.4思想政治工作、党群工作和企业文化 法律法规及其他要求和合规性评价控制程序 环境因素识别与环境影响评价控制程序 能源因素识别与评价控制程序 危险源辩识与风险评价控制程序 19 遵守法律法规培2.9 以法律法规及其他要求为准则 训 第三章 风险评估 20 识别风险 22 识别内部风险 23 识别外部风险 3企业风险识别和评价 3.1 风险源识别 3.1.1识别内部风险 3.1.1.1环境因素识别与环境影响评价 3.1.1.2能源因素识别与评价 3.1.1.3危险源辩识与风险评价 3.1.1.4 舞弊风险 3.1.2识别外部风险 3.1.2.1市场风险(顾客要求及其他相关方 要求的识别) 3.1.2.2 法律风险 3.1.2.3 金融财务风险 21 风险评估 3.2 风险评价 24 风险评价风险分级 25 风险控制决策 26 风险控制 27 动态风险识别 第四章 控制活动 3.3 风险控制策划 3.4 管理方案 4 风险控制 环境管理运行控制程序 能源管理运行控制程序 职业健康安全运行控制程序 1.1筹资业务 1.2资本支出管理 1.3对外投资管理 1.4企业并购管理 1.5套期保值业务 1.6利率汇率风险管理 1.7货币资金管理 1.8承兑汇票管理 1.9应收款项管理 28 风险控制措施实4.1 经营管理运行控制 施 29 业务流程风险控4.2 总则 制 30 授权控制 4.3 授权控制 31 会计制度控制 4.4 会计制度控制 32 财产保护控制 4.5 资源管理 4.5.1 资源提供 4.5.2人力资源 4.5.2.1总则 4.5.2.2人员配置、能力、意识和培训 4.5.2.3劳动、薪酬、社会保险与激励 4.5.2.4思想政治工作、党群工作和企业文 化 4.5.3 基础设施 33 预算控制 34 运营分析控制 4.5.4工作环境 4.5.5信息资源 4.5.6自然资源 4.6 预算控制 4.7 运营分析控制 4.7.1产品实现策划 4.7.2与顾客有关的过程 4.7.2.1总则 4.7.2.2与产品有关的要求的确定 4.7.2.3与产品有关的要求的评审 4.7.2.4顾客沟通 4.7.3产品设计和开发 4.7.3.1总则 4.7.3.2产品设计开发 4.7.3.2.1产品设计开发策划 4.7.3.2.2产品设计开发输入 4.7.3.2.3产品设计开发输出 4.7.3.2.4产品设计开发评审 4.7.3.2.5产品设计开发验证 4.7.3.2.6产品设计开发确认 4.7.3.2.7产品设计开发更改的控制 基础设施控制程序 3.3固定资产管理 3.4固定资产修理管理 3.5无形资产管理 4.13租赁业务 18.4基础设施IT一般性控制 与顾客有关过程控制程序 2.10石油商业储备管理 2.8成品油调运业务 2.13商品流通费用管理 2.15期间费用管理 3.1存货管理 4.1一般产品销售业务 4.4化工产品销售业务 4.5成品油直销及分销业务 4.7润滑油销售业务 4.7.3.3新建、改扩建、技术改造项目建设 4.7.4采购 采购控制程序 2.1原油配置运输业务 2.2原油采购业务 2.3一般物资采购供应业务 2.4成品油采购业务 2.5润滑油采购业务 2.6燃料油采购业务 2.10石油商业储备管理 生产和服务提供的控制程序 2.7生产调度运行业务 2.9生产经营统计业务 2.12炼化生产成本管理 4.7.4.1采购过程 37 应急预案 第五章信息和沟通 38 信息沟通制度 39 信息收集 4.7.4.2采购信息 4.7.4.3采购产品的检验与验证 4.7.5产品和服务提供 4.7.5.1生产和服务提供的控制 4.7.5.2生产和服务提供过程的确认 4.7.5.3标识和可追溯性 4.7.5.4顾客财产 4.7.5.5产品贮存、防护与交付 4.7.6监视和测量设备及测量过程的控制 4.7.6.1总则 4.7.6.2监视和测量设备的控制 4.7.6.3测量过程的控制 4.7.7职业健康安全、环境运行控制 4.7.8环境运行控制 4.7.9能源管理运行控制 4.7.10应急准备与响应 4.7.11变更管理 5 信息和沟通 5.1 信息的收集和整理 5.2 信息沟通和反馈 40 信息沟通和反馈 5.3 建立反舞弊机制 41 信息系统维护 5.4 投诉举报制度 42 建立反舞弊机制 5.5 信息系统维护 43 投诉举报制度 第六章 内部监督 6测量、分析和改进 44 建立内部监督制6.1总则 度 45 内部控制缺陷认6.2监视和测量 定标准 46 自我评价 35 绩效考评控制 6.2.1顾客满意和其他相关方满意 6.2.2内部审核 36 风险控制实施有6.2.3过程的监测和测量 效性 6.2.4产品的监视和测量 6.2.5 HSE绩效监视和测量 6.2.6合规性评价 6.2.7财务绩效的监视和测量 6.2.8内部审计 6.2.9 效能监察 6.2.10 自我评价 6.3 不符合控制 6.3.1不合格品控制 6.3.2不符合项控制 6.3.3事故及事件管理 6.4数据分析 6.5 管理评审
3.3 整合注意事项
3.3.1 整合的前提必须是内控文件容许在保证满足内控规范要求的基础上作部分改动,否则不能整合了;
3.3.2 内控制度和QHSE一体化管理体系相比,前者是局部的,后者是全局的,当以内控制度为框架时,尽可能将八项质量管理原则体现在内,特别是过程方法; 3.3.3 内控制度是以企业经营风险识别、评价和控制为思路,其风险评价的意识很强,特别是风险控制的支持性文件全部从控制风险点的思路描述,整合的一体化程序文件建议参照内控制度的文件格式。可以提高管理文件体系水平;
因篇幅问题不能全部显示,请点此查看更多更全内容