中国石油西气东输管道（销售）公司，是中国石油天然气股份有限公司直属的地区公司，负责西气东输管道工程建设、生产运营管理和天然气市场开发与销售等业务。在中国石油内部控制体系框架的基础上，西气东输管道（销售）公司也建立了自己的内部控制管理体系，并在内部控制管理体系的评价方面进行了有益的探索与尝试。

一、西气东输公司内部控制评价制度的发展

1.起步阶段。在内部控制体系全面建设的最初阶段，内部控制评价围绕着按时保质完成体系建设的目标展开，主要是为了构建公司内部控制体系的基础架构服务。评价内容包含内部控制文件的编制及时性和质量评价、相关制度的梳理情况、关键岗位人员落实情况、职权分离矩阵实施情况等。评价的形式也多按建设的推进计划分解具体任务目标，一事一考核评价，定期综合评定，对评价结果进行通报。

2.发展阶段。经过了大面积梳理和构建的起步阶段，内部控制体系建设进入了全面迎接内外部评价审核的发展阶段。在这一阶段，公司内部控制的评价主要围绕《内部控制管理手册》进行，检验手册设计和内控执行的符合性和完整性。承担内部评价的主要是中国石油股份公司管理层派出的“管理层测试组”——由具备评价经验的各地区公司审计中心和内部控制部门的人员组成。外部评价则聘请了中介机构——会计师事务所和咨询公司，按照其对业内成功的内部控制体系审核案例的经验对公司进行预审核，目的是为了确保中国石油股份公司整体在美国资本市场能一次性通过内部控制审核。公司内部的自我评价则是依据上述两方面内控评价结果对相关方的内部控制工作做出评定并进行通报，同时纳入公司业绩考核评价记分，占比为5%。

3.成熟阶段。中国石油股份公司整体于2006年6月首次在美国通过内部控制审计，这标志着公司内部控制体系基本建设完成，全面进入运行和维护阶段。按照资本市场的监管要求，会计师事务所每年要对公司内部控制体系进行有效性审计，同时公司管理层要全面开展内部控制评估，对外披露评估报告。特别是2008年中国石油股份公司回归A股后，加之《基本规范》的出台，内部控制评价被提升到较高位置，成为内部控制体系管理工作的重要内容之一。西气东输公司先后制定了《内控体系关键控制自我测试规范》、《业务流程管理办法》、《内部控制运行质量标准》等具体指导性规范，在《内部控制管理办法》中明确内部控制评价的相关总体要求，公司内部控制评价更加系统化、规范化。相关办法明确了内部控制评价的组织者为公司管理层，由内部控制部门和审计部门共同执行评价并定期通报，外部审计对公司内部控制有效性的评价结果纳入业绩考核体系。

二、西气东输公司内部控制评价的方法和程序

公司按照规定的程序、方法和标准，对已经建立和实施的内部控制体系，从设计有效性和执行有效性两个方面对财务报告内部控制有效性进行测试、评估和报告认定。从内部控制体系评价的根本目标出发，采取了风险基础评价法，遵循“自上而下、风险导向”的基本原则，组织开展内部控制体系评价（详见图1）。

内部控制评价程序一般包括：制定评价工作方案、组成评价工作组、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等环节。评价通常采用询问、观察、检查、抽样和再执行五种形式。

内部控制评价工作组对被评价单位进行现场测试，可以综合运用上述前四种方法，充分收集被评价单位内部控制设计和运行是否有效的证据，按照评价的具体内容，如实填写评价工作底稿，研究分析内部控制缺陷。

三、西气东输公司内部控制评价的范围和内容

评价范围为公司所属各部门、各分支机构，被评价人员涵盖与公司签订劳动合同的所有用工对象。评价的内容包括控制环境、风险评估、控制活动、信息与沟通、监督五方面。

1.控制环境。控制环境包括诚信与道德价值观、发展目标、管理理念与企业文化、风险管理策略、董事会及下属委员会、组织结构、权利和责任分配、人力资源政策与措施、员工胜任能力以及反舞弊机制等十方面，通过获取管理措施、制度、管理规范和文档性记录等支持性证据进行评价，如《舞弊风险数据库》、《权限指引表》等。

2.风险评估。公司层面的风险评估全面考虑了影响公司目标实现的资源、环境、市场、竞争、组织与运营等内部因素和外部因素，从可能性和影响程度两个维度对风险进行分析并确定重要风险。建立了统一的风险语言和标准，包括建立风险的定义，明确风险偏好和风险容忍度的概念，确立了评估风险的标准等。根据公司发展战略和年度经营目标，确定了公司层面的总体目标并进行分解，识别影响目标实现的因素，收集、分析、整理对公司内部、国内同行业和国外同行业的风险事件及案例，初步形成风险数据库，通过分析历史数据和行业资料，查找风险发生的内外部原因，分析风险发生的可能性和影响程度，运用公司的风险评估标准对风险评分，确定公司层面的重大风险。

业务活动层面的风险评估针对业务活动层面的不同目标类型识别出相应的风险，并分析风险发生的可能性和影响程度，确定风险的重要性。从财务报告目标出发，按照风险等级，确定财务报表中的重要会计科目和重要业务流程，按照风险评估的基本程序对会计科目的存在与发生、完整性、估价与分摊、权利与义务、表达与披露的风险进行评估，建立了财务报告风险数据库。结合公司业务流程梳理，逐步开展业务活动层面经营风险、合规风险的评估工作，形成了经营风险数据库和合规风险数据库。风险评估实施程序依次为建立风险评估基础、目标设置与分解、风险识别、风险分析和风险评价五个步骤。

3.控制活动。控制活动是结合风险评估结果，运用相应的控制管理措施，将风险控制在可承受度之内，确保管理层关于风险应对方案得以贯彻执行的政策和程序。控制活动是内部控制体系五要素中最为核心和占比最大的部分。控制活动以业务流程为载体，运用流程图和风险控制文档为工具进行描述，以流程架构为统领，按照流程目录等级分类。

控制活动按内容可分为公司层面控制和业务活动层面控制。公司层面控制包括职业道德建设、高管基调、战略规划、风险评估、监督和评价、缺陷认定、经营活动分析等。业务活动层面控制是指在公司日常生产经营活动中的具体控制，如业务处理程序中的批准与授权、审核与复核、保密、资产保全等。

按控制活动的作用划分，控制活动可分为预防性控制和发现性控制。预防性控制是指事前的防范措施，尽量减少发生错误行为的机会。发现性控制则是事后监督，也就是检查性控制，其目的也是为了进一步增强发现错误和违规行为的各项控制。

按控制活动的手段划分，控制活动可分为人工控制和自动控制：人工控制是以人工方式执行的控制；自动控制是由计算机等系统自动执行的控制，包括系统固有控制、系统配置控制、系统自动控制以及依赖系统的手工控制（半自动控制）。

4.信息与沟通。公司建立和完善了信息与沟通机制，形成了相应的会议制度、议事制度、报告机制，明确了相关信息的收集、处理和传递程序，确保了信息沟通及时、有效。

按信息来源不同，公司将内部控制重点关注的信息分为内部信息和外部信息。内部信息主要包括财务信息、经营信息、规章制度信息和综合信息等。外部信息主要包括国家法律法规、国内外监管机构信息、客户、供应商、竞争对手的信息等。公司建立的建立符合发展战略并与经营管理活动一体化的信息系统，为内部控制提供了足够的信息资源和顺畅的沟通渠道。

5.监督。监督是对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，并及时进行改进的持续过程，包括持续监督、独立评估和缺陷报告等。

（1）持续监督。中国石油股份公司制定了《内部控制运行评价管理办法》，将内部控制工作纳入各级管理层业绩考核，主要包括机构与职责、评价范围、评价内容、评价方法和标准、评价程序等。西气东输公司相应制定了《内部控制体系管理暂行办法》，遵照该管理办法组织内部控制运行评价管理工作。中国石油股份公司以风险为导向，定期对各部门、专业公司和地区公司内部控制体系有效性进行检查和监督。

（2）独立评估。公司具体明确了对公司层面控制、业务活动层面控制、信息系统控制进行独立评估。审计部门和内控与风险管理部门定期对各部门和业务单位内控体系有效性进行监督评价。依据持续监督的结果，针对高风险领域进一步提出管理层测试范围的意见和建议。公司管理层每年开展管理层测试，审计部门和内控与风险管理部门负责组织实施。内控与风险管理部门负责对例外事项、控制缺陷进行分析，确认一般缺陷、重要缺陷和实质性漏洞，同时对有效性问题的整改情况进行跟进。西气东输公司由总经理授权内部控制部门开展公司范围内的内部控制监督评价测试，并向公司管理层和总部提交自我评价报告。

（3）缺陷报告。公司通过持续监督和独立评估，从企业内部或外部获取内部控制缺陷，并客观描述内部控制缺陷所造成的影响，进行评估分析控制缺陷的性质及其影响程度，特别关注与高级管理人员舞弊、越权相关的控制缺陷以及控制缺陷间的相互关联。对控制缺陷特别是经评估后被视为重大缺陷的控制缺陷应当及时向相关负责人或上一级人员汇报，根据控制缺陷评估的结果编制评估报告并上报，说明内部控制体系运行状况并编制相应计划进行整改，同时跟踪整改的情况。

四、西气东输公司内部控制评价的时间和记录

西气东输公司内部控制的评价时间分为定期评价和不定期评价两种。定期评价是每年度选择固定时间对内部控制进行独立的检查评价测试，通常在年中和年终至少进行两次定期评价，同时考虑改进测试和更新补充测试、财务报告测试。不定期的专项评价测试的优势在于可以打“短平快、纵深透”的战术，从立题到实施往往可能是同步的，对某一类问题产生的源头到最终输出结果进行全方位X光式的测试诊断，理顺管理网络衔接，协调多个管理部门共同对症下药、解决问题。专项测试的作用在于，如果某个根深痼疾的问题解决了，其产生的效果将是辐射性的，可以影响一个面，从而切实提高管理效率、增强风险管控能力。定期评价与不定期评价交叉进行，测试重点相互渗透、互为补充。

在评价测试后，汇总整理相关测试表及《抽样测试记录表》，将相应内容整理至《例外事项汇总表》和《样本量分析汇总表》中。测试人员汇总全部例外事项和控制缺陷，并归档相关实施证据，如果准备进行追加测试、补充性测试和补偿性测试的相关工作，需同时记录测试时间和计划。公司内部控制评价测试按照中国石油股份公司统一的标准和规范进行，测试计划、测试底稿和测试报告须纳入内控测试系统（AAM）。

五、西气东输公司内部控制评价的实施

评价实施包括日常管理监督和内部控制测试。日常管理监督是通过对公司内部控制基础工作完成情况进行收集整理、调查分析开展的监督评价。内部控制评价测试是按照《内部控制管理手册》中规定的程序、方法和标准，对内部控制体系运行情况进行检查。内部控制测试包括定期和不定期评价测试，以风险为导向，兼顾覆盖面，重点关注高风险领域和业务薄弱环节，对所属单位进行的评价测试，单位覆盖率不低于50%；每个测试单位的重要业务流程覆盖率不低于70%，关键控制覆盖率达到90%。每个阶段内部控制测试均形成测试总结分析报告，作为年度内部控制评价的主要参考依据之一。

评价测试类型不同，测试步骤也不尽相同，主要包括设计有效性、公司层面、业务层面（跟单测试、关键控制测试）和信息系统控制测试（总体控制、应用控制测试），如图2所示。

六、西气东输公司内部控制评价报告

内控有效性自我评价报告是公司每年依据自我评价测试结果和例外事项整改情况，结合外部内部控制审计结果和中国石油股份公司管理层测试的结果，对公司截至声明时点内部控制有效性做出的评价报告。从体系发布的2006年1月1日至2011年1月，公司已累计完成5份年度内部控制自我评价报告；12份内部控制评价测试阶段报告；10份不定期专项评价建议报告；数十份报公司管理层需要关注的问题报告。

内部控制运行评价采取定量和定性相结合的方法。定量评价是对内部控制基础工作和内部控制体系运行的质量和成效分别进行定量评分。定性评价是根据评分结果对公司做出定性的内部控制运行评价结论。定量评价时，依据公司《内控运行质量评价标准》围绕11项内容进行综合自评分。评价报告由总经理、总会计师签名后，提交给股份公司管理层，股份公司进行权重评分，最后得出内部控制评价综合评价结果认定。内部控制评价报告分别按内部环境、风险评估、控制活动、信息与沟通、内部监督等要素进行设计，对内部控制评价过程、内部控制缺陷认定及整改情况、内部控制有效性的结论等相关内容做出披露。

责任编辑 李斐然