5信息与沟通

5.1 概 述

5.1.1 概念

信息与沟通是公司经营管理所需的信息被识别、获得并以一定形式及时地传递，以便员工履行职责。信息不仅包括内部产生的信息，还包括与公司经营决策和对外报告相关的外部信息。畅通的沟通渠道和机制使员工能及时取得他们在执行、管理和控制公司经营过程中所需的信息。公司建立符合发展战略并与经营管理活动一体化的信息系统，为风险管理提供足够的信息资源和顺畅的沟通渠道。

5.1.2 要素

5.1.2.1 信息资源收集

这里所说的信息是指来源于公司外部及内部，与公司经营相关的财务及非财务信息。公司持续不断地识别、收集、整理与归纳来自内部与外部、经营与管理的各种信息。针对不同的信息来源和信息类型，明确各种信息的收集人员、收集方式、传递程序、报告途径和加工与处理要求，确保经营管理各种信息资源得到及时、准确、完整收集。

按信息来源不同，可将公司内部控制重点关注的信息分为内部信息和外部信息。

1）内部信息主要包括：财务信息、经营信息、规章制度信息、综合信息等。主要获取渠道有：机

关职能部门的调研报告；财务会计报告；信息员搜集、反映的情况；群众来信来访、员工直接向上级

沟通的信息；内部刊物、资料；公司局域网；各种会议提案、记录、纪要等。

2）外部信息主要包括：国家法律法规，国内外监管机构信息，以及客户、供应商、竞争对手的信

息等。获取渠道主要有：国家部委和外部监管方的文件；期刊杂志；中介机构；互联网；广播、电视；

公司采购及销售部门收集的市场和价格信息；驻外办事处提供的信息；外部来信来访；参加行业会议、

座谈交流等多种渠道。

5.1.2.2 信息沟通渠道

沟通是指信息在公司内部各层次、各部门之间以及公司与客户、供应商、监管者和股东等外部环境之间的传递。

建立有效沟通，公司需要从沟通环境、沟通渠道、沟通方式及沟通反馈多方面进行建设。有效沟通的特点表现为：沟通频率高、方式随意；沟通深入且平等；具有沟通所需的物质条件；完善的沟通制度和系统；全方位的信息共享。

建立横向和纵向相互通畅、贯穿整个公司的信息沟通渠道，确保公司目标、风险策略、风险现状、控制措施、员工职责、经营状况、市场变化等各种信息在公司内部得到有效的传达。

建立适当的渠道，与公司的相关方如供应商、客户、律师、股东、监管机构、外部审计师，就相关信息进行必要的外部沟通。

5.1.2.3 信息披露

信息披露是指公司为确保符合中国证券监督管理委员会、纽约证券交易所、香港联合交易所和美

国证券交易委员会的要求以及其他监管要求，向所有市场参与者和监管部门提供及时、有序、一致、

准确、完整、可靠和可信的公司信息。

制定完善的信息披露管理制度，明确重大事项的判定标准和报告程序，确定披露事项的收集、汇总和披露程序，符合资本市场监管要求。

5.1.2.4 信息系统总体控制

信息系统总体控制适用于企业在信息技术的开发、实施、运行、维护及管理等方面的控制，它可以更好地保护企业的信息资产，可以提高信息系统对业务的支撑力度，增强企业信息系统的运行效力。

信息系统总体控制通常包括控制环境、信息安全、项目建设管理、系统变更管理、信息系统日常运作、

最终用户操作等。

5.1.2.5 信息系统应用控制

信息系统应用控制包括应用软件中的电算化步骤以及用以控制不同种类交易处理的相关手工操作

程序。这些控制结合在一起，可以保证系统中的财务和其他信息的安全性、完整性、准确性和有效性。

信息系统总体控制和应用控制是相互关联的。信息系统总体控制是应用系统控制的基础，应用系统控制依赖于信息系统总体控制，信息系统总体控制和应用控制共同保证信息处理的完整性和准确性。

制定《风险管理规范》（试行），规定建立企业管理信息系统与风险管理信息系统的统筹规划。

5.1.2.6 流程管理信息系统

目前，公司已启动流程管理信息系统建设，并将在今后的内控体系建设逐步建立起可支持手册信息化管理、业务流程管理、内控测试以及满足全面风险管理要求的流程管理信息系统。实现业务流程语言、设计规范、管理制度、控制措施、流程发布的统一管理，建成满足全面风险管理，具有开放性、可拓展性的流程管理信息系统。

5.2 信 息

5.2.1 内控关注要点

5.2.1.1 获取信息并向管理层报告

1）公司应该完善获取外部相关信息的机制，以随时掌握有关市场状况、竞争对手的动态、立法或

监管的要求以及经营环境的变化等；

2）对于实现公司目标的重要内部信息应得到确认并定期汇报；各级管理人员能够得到他们履行职

责所需要的内、外部信息。

5.2.1.2 及时向适当的人员汇报足够的信息

1）各级管理人员能够及时得到分析信息以便判断需要采取什么措施；

2）向不同级别的管理人员汇报详细程度不同的信息；

3）对信息进行适当的汇总，以满足进一步详查的需要；

4）及时获取和传递信息，以利于有效监控有关事件和活动，并对经济、行业因素和控制问题进行

迅速反应。

5.2.1.3 建立信息技术总体规划

1）指定专门部门负责识别不断产生的信息需求；

2）信息的需求和优先次序由具有完全责任的管理层来决定；

3）订立与战略决策相联系的长期信息技术总体规划。

5.2.1.4 管理层对信息系统的支持态度

为建立或改进信息系统提供足够的、必要的资源（包括但不限于管理人员、分析员、具备必要能

力的编程人员）控制措施。

5.2.2 措施

5.2.2.1 内部信息收集与传递

1）内部政策信息收集与传递。

（1）企业价值观、道德和行为期望。

公司根据《中国石油天然气集团公司企业文化建设纲要》要求，统一企业精神和核心经营管理理

念、企业宗旨，并通过广泛深入地宣讲，引导员工践行。

公司制定《中国石油天然气股份有限公司高级管理人员职业道德规范》、《中国石油天然气股份有

限公司高级管理人员职业道德建设制度》和《中国石油天然气股份有限公司员工职业道德规范》、《中

国石油天然气股份有限公司员工职业道德建设制度》，以公司文件形式下发，并利用网络等形式进行宣

传。

公司每年的工作会议有宣讲职业道德的内容，对员工提出遵守职业道德规范的要求。新加入公司

的员工要进行公司职业道德规范等内容的岗前培训。

（2）公司的战略性经营目标。

公司在年度工作会议上提出战略性经营目标，并通过与高级管理人员签订业绩合同的方式将经营

目标层层分解。

（3）财务政策及程序。

公司制定和完善统一的财务、会计、价格、资产和资金等方面的管理制度、办法和工作规范，并

宣贯执行。

财务会计政策发生变更时，按权限经过相关人员审批后，一般通过文件形式进行通知（或转发国

家部门的文件），并规定文件下发之日起执行或某固定时间执行。

财务会计政策及程序以文件、会计手册形式发布。

（4）人力资源政策。

公司通过开展“五定”工作和岗位职责描述，对各岗位职责进行了规范，使员工理解自己的职责

和工作程序。

公司通过宣贯《中国石油天然气股份有限公司总裁班子年度业绩考核办法》、《中国石油天然气股

份有限公司高级管理人员业绩考核办法》、《中国石油天然气股份有限公司中层及以下管理人员业绩考

核指导意见》和《中国石油天然气股份有限公司操作服务人员绩效考核指导意见》等制度和实施细则，

敦促员工正常履行自己的职责。

2）其他内部信息的收集与传递。

公司各单位对收集、产生的各种信息进行必要的加工与分析，以满足向各级管理人员提供详细程

度不同的有效信息。

（1）财务信息。

地区公司编制本单位的财务报表，在公司规定的时间内报送财务报表。财务部同期对比进行财务

分析，并分总部、四个专业分公司，分别对主要生产经营指标进行对比分析，报公司领导。

（2）经营信息。

专业分公司和地区公司按照统计报表的要求，每月（或每周）通过统计信息系统自下而上地提供

统计资料，公司规划计划部对主要生产经营指标进行对比分析，形成月、季、年度生产经营运行监测

报告报公司领导，形成简报上报国家有关部委。

（3）规章制度信息。

规章制度管理部门负责规章制度信息的收集、汇编，并通过规章制度管理信息系统，实现信息共享。

（4）综合信息。

审计部门搜集内审方面的相关信息，地区公司审计部门向审计部每年上报审计计划和工作总结，

每季上报审计工作统计报表。

监察部门搜集信访、违规、舞弊的信息，对于重大、紧急情况要严格执行重大情况报送制度，及

时报送公司监察部。

总裁办公室负责公司重要综合管理信息的收集编发，开展专题调研，及时掌握所属公司和机关的

工作动态，为领导决策提供信息参考。

其他机关部门、专业分公司负责职权范围内管理信息的收集、编发和制度制定，开展专题调研，

及时掌握所属范围内的工作动态。

地区公司按照上级的信息需求及时提供各种所需的信息。

（5）员工提供的信息。

公司各级纪检监察部门设立举报电话、网上举报中心和电子举报信箱并对外公布，设立专门的举

报接待室，在员工比较集中的地方还需设立举报箱，以给员工提供信息举报、不服处分或处理申诉的

渠道，并根据实际情况对员工的举报进行保密、保护和奖励。

公司组织开展合理化建议活动，听取员工的合理化建议和意见。

（6）信息系统产生的信息。

公司信息系统提供相关信息，机关职能部门、专业分公司和地区公司根据各自权限共享这些信息。

5.2.2.2 外部信息的收集与传递

1）法律法规信息。

机关职能部门、专业分公司和地区公司在各自业务范围内搜集相关法律法规等信息，主要来源有

国家部委的文件、期刊杂志、互联网、专业法律信息服务商及中介机构等，并通过公司局域网发布。

国外法规信息发生变化，由公司境外律师、驻外办事处等通过备忘录的形式提供给法律事务部等

有关部门。

2）政策信息和监管机构信息。

机关职能部门、专业分公司和地区公司搜集国家相关政策、国内外监管机构的各种信息，通过公

文形式和公司局域网进行发布。

3）从客户、供应商、经营伙伴、投资者处获得的信息。

电子商务部、专业分公司和地区公司采购及销售部门通过供需见面会或订货会、谈判、签订合同

等形式搜集产品信息、市场需求信息、竞争对手信息等，经分析整理后及时传递至相关部门。

董秘局、财务等部门搜集与证券机构或投资银行等第三方机构在业务往来中和公司相关的信息，

经分析整理后及时传递至相关部门。

公司领导通过各种渠道从经营伙伴、投资者处获得的相关信息，以工作例会或外事简报方式进行

发布。

5.2.2.3 信息报告

1）例行报告。

各级人员按照公司分级管理的组织结构和岗位职责，定期向上级反映其管辖部门或其所在岗位的

工作情况。

机关职能部门向上级请示、报告工作，要先按照公司领导的工作分工向分管领导请示、报告，再

根据请示报告类别，按照行政两级（股份公司—地区公司）或业务三级（股份公司—专业分公司—地

区公司）管理体制向对口的上级请示、报告。正常情况下不得越级请示、报告工作。

2）实时报告。

除例行报告外，公司按照《中国石油天然气股份有限公司事故统计报告制度》、《中国石油天然气

股份有限公司纪检监察部门信访举报工作规定》、《中国石油天然气股份有限公司事故应急管理规定》、《中国石油天然气股份有限公司事故责任追究暂行规定》、《中国石油天然气股份有限公司监察部门参与

事故调查处理的暂行办法》等制度的有关规定，形成重大信息传递的机制。

3）专题报告。

公司各部门根据业务需要，就某一专题及时向上级领导汇报情况。

4）综合报告。

公司各部门定期向上级领导全面汇报本部门的工作情况，主要包括工作总结、计划安排等内容。

5.2.2.4 信息技术总体规划

公司成立信息技术委员会，主任由总裁担任，副主任由信息工作主管副总裁担任，委员由公司有

关领导、总部有关职能部门和专业分公司主管领导担任。信息技术委员会根据公司整体发展战略，组

织确定公司信息技术发展总体目标和战略规划。

对于重大信息技术项目，信息技术委员会委托专家小组进行项目技术论证。

5.2.3 文档性记录

相关的信息收集、传递文档。

5.3 沟 通

5.3.1 内控关注要点

5.3.1.1 向员工传达其职责和控制责任的有效性

1）沟通方式应能实现沟通的目的；

2）员工应清楚他们的行为要达到的目标，以及他们的工作对于实现这些目标有什么作用；

3）员工应清楚自己的职责与他人的职责如何相互影响。

5.3.1.2 公司内部是否充分交流

企业内部沟通的充分性，信息的完整性和及时性，以及使人们有效履行职责的信息充足性。

5.3.1.3 沟通渠道应开放有效

公司应存在与所有有关方面的反馈机制，对相关方的建议、投诉和收到的其他情况建立记录并

给予有效处理；必要的信息应向上级汇报并采取相应的跟进措施。

5.3.1.4 外部相关方了解公司职业道德规范的程度

1）与外部的重要信息交流应由相应的管理人员进行；

2）供应商、客户和其他方面应清楚公司在与其往来的活动中，员工应遵循的职业道德规范；

3）在与外部的日常交往中公司强调员工应遵循的职业道德规范；

4）其他公司员工的不当行为应向适当人员汇报。

5.3.1.5 管理层收到外部信息后应采取及时和适当的应对措施

1）公司应善于接受他人就产品、服务或其他方面反映的问题，对此进行调查并采取适当的行动；

2）在与客户交易或事项的财务记录中出现的错误应给予及时的纠正，并且就产生错误的根源进行

调查和纠正；

3）应由经授权的当事人以外的人员处理收到的投诉，并采取适当的行为与原始信息提供者进行跟

踪和沟通；

4）管理层应清楚投诉的性质以及数量。

5.3.2 措施

5.3.2.1 内部沟通

1）明确的职责和有效的控制。

各部门定期组织对本部门员工进行相关岗位培训，使员工清楚其行为要达到的目标及自己的职责

与他人的职责如何相互影响。

人事部门根据公司制定的各种业绩考核办法组织对各级人员的业绩考核，并及时将考核结果反

馈给被考核人，有效检查各级人员对其职责的理解和有效性控制。

2）内部沟通与交流。

管理层定期向董事会就最新的业绩、发展、风险、重要事件或事故等问题进行汇报。

公司管理层定期或不定期召开各种会议，及时与相关职能部门领导、专业分公司、地区公司负责

人就生产、运营等情况进行沟通、交流。

财务部门定期向各部门交流和通报财务状况、经营成果等。

财务部门定期将应收账款情况反馈给销售部门和清欠办公室。

生产企业与销售企业定期沟通。

电子商务部、各专业分公司和地区公司采购部门定期组织与其他业务部门就采购需求、价格信息、

采购经验等方面的沟通与交流。

员工除了通过正常的向其直属上级汇报工作的沟通渠道外，还可以通过各种方式与本单位主要领导进行直接沟通。公司各机关职能部门总经理的联系方式公布在通讯录上，员工可以通过电话、邮件、面谈等方式直接进行沟通、交流。

公司员工可以通过书信、电话、走访等形式，向纪检监察部门反映党员、监察对象违反党纪、政

纪的问题以及有关意见、建议和要求；同时，公司规定对信访件的处理时限和办结率及查报结果的要求，

对信访举报属实，查处后为公司挽回或减少重大损失的，将酌情奖励举报人。

公司组织开展合理化建议活动，鼓励员工对公司管理、生产、研发等方面提出的合理化建议，并

对有突出贡献的单位和个人，给予适当的奖励。

5.3.2.2 外部沟通

1）对外职业道德规范的宣传。

公司积极参与社会公益事业，以实际行动宣传公司精神和经营理念，并在国内外影响较大的报刊、

杂志上进行公司形象和产品品牌的宣传。

公司通过各种新闻媒体深入报道各单位涌现出来的各种先进事迹、先进人物和先进管理经验，对

公司干部、员工爱岗敬业、无私奉献的精神进行宣传报道。

公司销售、采购部门员工在同客户、供应商的日常工作交往中，向客户、供应商解释公司的道德

规范。公司鼓励员工在发现其他公司员工的不当行为时，及时向公司适当人员汇报。

2）与客户沟通。

专业分公司、地区公司销售部门建立客户座谈会制度和客户走访制度，定期与客户进行座谈和走

访，听取客户对销售政策的意见和建议，收集客户需求和客户对销售单位的意见，强化售后服务，并

制定相应政策，解决销售工作中存在的问题。

专业分公司、地区公司销售部门通过产品订货会、研讨会，了解客户对产品或服务的设计以及质

量方面的要求，并反馈给相关部门。

专业分公司、地区公司设立专职人员处理在销售活动中的商务纠纷。

3）与供应商沟通。

电子商务部、专业分公司和地区公司采购部门通过供需见面会或订货会、谈判、签订合同等形式

与供应商就产品或服务的设计、质量、市场需求等问题进行沟通。

4）与律师的信息沟通。

法律事务部负责香港、美国及国内公司法律顾问的年度聘用工作，在进行年报起草、信息披露等

事项时及时与前述律师进行信息沟通。

公司根据需要，聘请律师参与有关重大项目服务和法律纠纷的处理，并随时与律师沟通处理进展

情况。

5）与股东、监管者、外部审计师的沟通。

公司按照《公司法》的规定召开股东年度会议和股东临时会议，保证股东权益。根据《中国石油

天然气股份有限公司章程》和上市地的监管规定依法披露公司信息，通过季度、中期和年度报告等方

式，让监管者、股东等外部相关方对公司经营状况更深入的了解。

董秘局负责同监管部门的联系，组织、准备并及时递交监管部门所要求的文件，接受监管部门下

达的有关任务并组织完成这些任务。

公司管理层不定期与外部审计师召开会议，商讨界定程序的相关事宜以及传达当前公司所做出的

重要决定，以保证项目实施的有效性和高效性以及双方工作的协调性。

审计委员会、审计部门、财务部门、内控部门与外部审计师进行会晤和讨论，听取外部审计师有

关财务报告审计、内部控制审计方面的建议。

5.3.3 文档性记录

1）员工岗位职责描述；

2）业绩考核文档资料；

3）财务报告；

4）审计意见书；

5）客户调查问卷；

6）会议纪要；

7）公司年报。

5.4 信息系统总体控制

5.4.1 内控关注要点

5.4.1.1 信息系统控制环境

1）总体控制环境：控制环境是进行有效内部控制的基础，包括信息技术战略规划的制定和修订、

信息技术管理组织结构、员工教育和培训等；

2）信息与沟通：包括公司信息资产的管理、各项信息技术管理政策、制度和规范的宣贯、执行和

维护等；

3）风险评估：包括公司和业务层面的信息技术风险的识别、评估和风险的防范，并要定期回顾风

险评估结果等；

4）监控：包括公司信息技术活动的定期监督和检查，提出改进建议，采取相应的改进措施等。

5.4.1.2 信息安全

1）信息安全管理组织：包括信息安全管理机制、员工的信息安全培训以及员工入职签署遵守企业信息安全规定的声明等；

2）逻辑安全：包括系统登录验证机制、用户账号管理、口令规则、一般用户权限管理、管理员用

户权限的管理、用户权限的职责分离、用户账号和用户权限的定期审核、用户活动的监控、服务器操作系统安全设置及变更的管理和检查，以及数据的直接访问管理等；

3）物理安全：包括进入机房的人员管理、进入机房的登记、敏感纸质系统文件的管理等；

4）网络安全：包括出口的访问控制、防火墙设计、安装、配置及变更的流程和接触控

制、外部网络的连接满足业务需求并记录、防火墙日志的检查、远程登录的申请和审批、财务数据通

过传输时的加密、内部网络设计的审批及资料的存档、网络设计变更的管理流程等；

5）计算机病毒防护：包括防病毒软件的安装、病毒定义文件的更新、定期的硬盘扫描等；

6）第三方安全管理：包括合同中的安全条款以及第三方接触信息资源的审批、监控等。

5.4.1.3 信息系统项目建设管理

1）项目立项审批：包括立项申请的提出、可行性研究和立项申请的批复，还包括商业软件及硬件

的外购等；

2）项目建设方法论：包括项目启动、项目需求分析、项目设计、系统开发实施、系统测试、数据

移植、系统上线、项目验收和上线后的评估等；

3）项目管理：包括项目培训管理、项目文档管理、项目沟通管理、项目变更管理、项目问题管

理、环境隔离等。

5.4.1.4 信息系统变更管理

1）变更管理：包括变更的优先级别的划分、变更申请的跟踪、未授权变更活动的管理等；

2）日常变更流程：包括日常变更申请与受理、变更实施、变更测试、变更上线、变更文档管理与

培训等方面；

3）紧急变更流程：包括紧急变更事先获得的口头批准，事后追补的书面审批等。

5.4.1.5 信息系统日常运作

1）机房环境控制：包括机房的建筑标准、布线、温度、电源、防火等；

2）系统日常运作监控：包括每天对应用系统、网络设备、机房状况进行的巡检，及检查结果的记

录等；

3）批处理作业调度管理：包括对批处理作业的审核、执行、检查、记录等；

4）备份与恢复：包括备份的审批、执行、恢复、测试、记录等；

5）问题管理：包括问题的解答、汇总，报告，存档等。

5.4.1.6 最终用户操作

1）最终用户计算机操作安全制度：包括用户计算机操作的安全制度及员工遵守该制度的声明等；

2）电子表格管理：包括确定支持财务报告及披露的电子表格的清单和分类，电子表格的开发、测

试、使用、变更、存储、备份、安全等。

5.4.2 措施

5.4.2.1 信息系统控制环境

1）总体控制环境。

（1）公司制定信息技术总体规划，定期进行审阅和调整；

（2）股份公司信息管理部作为中国石油信息化建设的牵头部门，负责企业信息化建设、指导、监

督各级信息技术部门工作，建立纵向汇报、沟通和监控机制；

（3）各级信息技术部门的岗位设置从安全和内部控制的角度，考虑职责分离的要求，可在重要工

作岗位建立员工备份机制；

（4）各级信息技术部门根据自身信息系统的特点和人员配置情况，制定相关的信息技术培训计划，

落实培训工作。

2）信息与沟通。

（1）各级信息技术部门识别所属单位信息系统中的信息资产，确定受保护的信息资产清单，并进

行分级，明确各信息资产的相关责任人；

（2）各级信息技术部门应明确信息技术内控职责，负责在其管理范围内进行各项信息技术管理政

策、制度和标准的宣贯工作，定期评估执行情况并解决发现的问题。

3）风险评估。

公司信息管理部对公司及业务层面的主要信息技术风险进行评估，并每年定期审阅信息技术风险

评估结果。当发生重大的信息技术应用或者组织结构变动时，公司信息管理部对变动情况进行风险评

估，必要时调整相关风险防范措施。

4）监控。

在公司范围内，建立信息技术总体控制执行情况的测试、监督和审查制度，并根据执行情况做相

应改进。

5.4.2.2 信息安全

1）信息安全管理组织。

公司建立信息安全组织架构，并建立完善的汇报机制。在公司总部和地区公司等各级信息技术部

门设立信息安全管理负责人，负责本单位的信息安全培训和信息技术日常工作的安全监督和检查。

2）逻辑安全。

（1）对信息系统（包括网络系统、操作系统、数据库和应用系统等）的访问，执行访问控制原则，

通过安全的登录验证机制，确保只有合法的用户才能访问适用的系统。

（2）公司建立用户权限申请、更改、撤销的管理流程。用户和权限根据职责分离和最小权限原则

进行分配和设置。

（3）公司制定口令规则，对用户的口令及口令的使用进行管理，包括对口令设定、重新申请、口

令强度、变更周期和口令管理做出明确规定。

（4）公司建立用户账号和权限的审核流程，有正式的文档对用户获得的权限进行记录，定期审核

用户账号和权限，纠正错误的权限分配，关闭无人使用的用户账号，并及时维护相关文档。

（5）根据系统的重要程度，对用户的系统活动采取不同的监控措施，并及时报告异常活动。

（6）公司建立服务器操作系统的设置和变更管理流程，并对设置进行定期审核。

（7）公司建立应用系统数据直接访问的申请和审批管理流程，防止未授权的数据直接访问。

3）物理安全。

（1）所有机房采取必需的保护措施，保证进出机房的安全控制，保护措施根据实际情况可采用：

电子门禁、警卫、密码、门锁等；

（2）公司建立进入机房的安全访问和登记管理机制；

（3）公司建立敏感纸质系统文件的管理制度。

4）网络安全。

（1）公司建立网络设计和变更管理流程。各级信息技术部门负责本单位网络设计文档的归档管理

工作。

（2）公司建立边界网络出口的登记管理机制，内部网络与外部机构网络之间的连接经过审批和登记管理，并且边界网络出口的设置与业务需求相匹配，只允许合法的数据流通过这些连接。

（3）在网络的内部边界和外部边界等位置，采取有效的措施实施访问控制（如进行路由过滤、配

置防火墙等）。建立控制策略的设置和变更管理流程，并进行定期审核。

（4）公司建立远程访问的管理制度，保证远程访问的安全。远程登录应通过安全可靠的方式进行。建立远程登录账号的申请和变更管理流程，并定期审核远程登录用户账号。

（5）在外部网络中传输重要数据时采取适当的加密措施。

5）计算机病毒防护。

公司建立计算机防病毒规定，确定防病毒软件的安装范围。定期更新病毒库，定期扫描系统。

6）第三方安全管理。

（1）第三方服务合同中包括有关遵循中国石油信息安全规定的条款，并对第三方在合同执行过程

中的安全行为按照合同的要求进行监督；

（2）建立第三方访问应用系统的申请流程，严格监控第三方对应用系统生产环境的访问；

（3）建立第三方远程登录账号的申请流程，严格监控第三方对内部网络的远程登录。

7）信息安全事件响应。

公司建立信息安全事件的响应和升级汇报流程。

5.4.2.3 信息系统项目建设管理

1）项目立项。

（1）对公司建立项目立项审批流程；

（2）公司建立商业软件、硬件和服务外购的管理流程。

2）项目建设方法。

（1）公司信息系统建设项目按照系统开发生命周期法分阶段进行。

（2）公司建立系统开发各阶段的管理制度，涵盖项目启动、项目需求分析、项目设计、系统开发

实施、系统测试、数据移植、系统上线、项目验收和上线后的评估。

（3）在系统开发过程中，开发、测试和生产环境隔离。

（4）需求分析和项目设计文档得到业务部门的审批，关键的测试结果由最终用户签字认可。

（5）测试后的系统源代码应有保护措施，防止未经授权的修改。

（6）在系统上线时，采取控制措施，保证数据的准确性和完整性。数据移植结果经过数据所有者

复核并签字认可。

（7）公司建立项目验收流程，项目验收完毕由用户签署项目验收报告。系统上线一段时间后，进

行上线后评估，并解决发现的问题。

3）项目管理。

（1）项目开发过程中，制定项目培训计划，并编写培训文档；

（2）对业务用户和系统人员进行充分的项目培训；

（3）及时收集、整理项目开发各阶段产生的项目开发文档和项目管理文档，并妥善保管；

（4）公司建立定期向项目指导委员会汇报项目进度及其项目情况的制度；

（5）公司建立项目的变更管理流程，以及项目的问题管理流程。

5.4.2.4 信息系统变更管理

1）变更管理。

系统变更包括对应用系统的升级、修改、补丁安装等改变系统功能的活动，以及对操作系统升级

和补丁安装、数据库／操作系统环境配置变化、防火墙配置修改等。

根据系统变更对业务的影响程度，界定变更活动的优先级别，并对变更活动进行跟踪。禁止一切

未经授权的系统变更行为。

2）日常变更。

（1）公司建立应用系统变更和系统环境变更的管理流程，包括变更申请、受理、实施、测试、上

线等几个步骤；

（2）完整记录并更新应用系统变更和系统环境变更的相关文档。

3）紧急变更。

紧急变更是指由于突发事件且情况紧急，如果不立即采取措施，按照正常变更管理流程，将会严

重影响公司正常业务运作的变更需求。

紧急变更要符合以下要求：

（1）公司建立紧急变更的管理流程，所有紧急变更应妥善记录以便事后审阅；

（2）紧急变更完成后补填相关变更程序记录。

5.4.2.5 信息系统日常运作

1）机房环境控制。

公司根据机房重要程度配备必要的环境控制设备，包括空调、温度湿度计、消防报警设备、防雷

和防静电设备、不间断电源系统等。

2）系统日常运作监控。

（1）公司安排相关人员定期对设备运行状况进行巡检；

（2）公司安排相关人员定期检查关键系统和设备的系统日志（如关键的应用系统、防火墙等），审

查是否有错误信息或异常情况等。

3）批处理作业调度管理。

公司建立批处理作业的调度和变更管理流程，并进行监控和定期检查。

4）备份与恢复。

公司根据应用系统的重要程度，制定系统备份和恢复策略，包括备份数据内容、备份方式、备份

频率、操作方法、备份及恢复操作步骤、备份介质存放地点等。备份和恢复策略进行定期审阅。系统

管理员依据策略执行备份作业，定期进行备份存储介质的恢复性测试。

5）问题管理。

公司建立信息技术问题管理流程及升级汇报制度，按照问题的影响程度，对其进行分级，并根据

问题的级别上报至相应的管理层。

5.4.2.6 最终用户操作

1）最终用户计算机操作安全制度。

公司制定最终用户计算机操作安全制度，用以规范最终用户的计算机操作。

2）电子表格管理（详见附件1）。

公司识别与财务报表密切相关的电子表格，建立有关安全、版本、变更、开发、备份、逻辑检查

和存档等方面的控制策略，对其进行登记、保护和管理。

上述措施详见附件2：中国石油天然气股份有限公司信息系统总体控制矩阵。

5.4.3 文档性记录

1）股份公司信息技术总体规划；

2）地区公司信息技术年度工作计划；

3）部门、岗位职责描述；

4）信息资产清单；

5）会议纪要；

6）信息技术培训计划、培训记录等；

7）信息技术风险评估的相应文件；

8）执行情况汇报、测试计划、测试报告等；

9）员工遵守企业信息安全规定的声明；

10）工作记录表单；

11）网络设计文档及审批文件；

12）与第三方供应商达成的合同或协议；

13）信息系统项目建设相关文档；

14）电子表格管理相关文档。

5.5 信息系统应用控制

5.5.1 内控关注要点

5.5.1.1 完整性

1）所有的交易都经过处理，且只处理一次；

2）不允许数据的重复录入和处理；

3）例外情况的发现和解决。

5.5.1.2 准确性

1）所有的数据（包括金额和账户）是正确和合理的；

2）例外情况被及时发现以保证交易被记录在正确的会计期间。

5.5.1.3 有效性

1）交易被适当授权；

2）系统不接受虚假交易；

3）例外情况被发现和处理。

5.5.1.4接触控制

1）未经授权，不得对数据进行修改；

2）数据的保密性；

3）物理设备的保护。

5.5.2 措施

由于公司在用的应用系统众多，而且大多数没有统一规范，为此，公司制定了《应用系统划分规

范及工作指引》，该指引对在用的应用系统进行了等级划分确认。

5.5.2.1 应用系统划分

1）应用系统划分原则。

（1）该应用系统用于进行有关重要交易事项的生成、授权、记录、处理或报告；

（2）该系统是否生成关键的表单和数据供财务部门使用，直接作为记账依据或生成财务报表；

（3）该系统是否生成关键的表单和数据供其他作为记账依据或生成财务报表的系统使用；

（4）对应用系统的依赖程度，即是否有来自系统的计算结果，应用系统中是否存在相应的计算、

检查、核对过程的控制。

上述应用控制是否是唯一依赖的控制措施，是否依靠存在手工控制也可以达到控制目标，弥补风

险。

2）应用系统划分标准。

（1）第一等级应用系统。

这类应用系统是重要的与内部控制直接相关的应用系统，须满足以下条件：

①在公司范围内普遍使用；

②存在对财务报告产生重大影响的会计科目，或存在对财务报告产生重大影响的功能，或与财务

系统存在接口（手工或自动）；

③在重大方面无法依赖手工控制。

（2）第二等级应用系统。

这类应用系统是与财务内部控制间接相关的应用系统，它生成的数据作为财务记账处理或为财务

系统所使用。

对第二等级应用系统的分析思路是：首先，从录入到第一等级应用系统的重要单据和数据出发，

分析、识别这些单据和数据是否来自第二等级应用系统；然后从第二等级应用系统的功能模块出发，

识别系统的功能步骤，输入系统的重要单据和表单，以及系统生成的重要单据，分析是否具有有效的

手工控制活动。

将同时满足以下四个标准的系统，确定为第二等级应用系统：

①存在对财务报告产生重大影响的功能；

②存在对财务报告产生重大影响的会计科目；

③在公司范围内普遍使用；

④所有重大方面可以依赖手工控制。

（3）第三等级应用系统。

将第一等级和第二等级应用系统以外的应用系统划分为第三等级应用系统。

3）应用系统划分结果。

依据以上划分原则，确定各等级的应用系统如下：

第一等级系统

第二等级系统

第三等级系统

财务管理系统 （包括FMIS5.0，FMIS6.0及其他财务系统）

资产管理系统5.0及6.0

资金管理系统（总部资金子系统以及地区公司独有资金结算系统）

不能通过手工控制措施满足控制目标和防范风险的企业资源规划系统（ERP系统）

物资管理系统

销售管理系统

人力资源/薪金管理系统

能通过手工控制措施满足控制目标和防范风险的企业资源规划系统（ERP系统）

合同管理系统

税务管理系统

投资管理系统

生产运行管理系统

工程项目管理系统

纠纷案件管理信息系统

规章制度管理信息系统

其他系统

5.5.2.2 应用系统权限管理

1）应用系统权限管理的组成。

（1）访问控制：是指用户能够访问哪些应用系统内的资源或执行哪些任务（或功能）的范围，从

控制的角度考虑在系统中所拥有的功能权限和数据权限是否超出了其工作需要；

（2）职责分离：职责分离是把一个业务（子）流程的工作内容分为几个职责不相容的部分并由不

同的人来完成，避免因同一个人能够操作不相容职责而产生的错弊风险。

2）应用系统权限管理的基本原则。

用户权限管理应同时满足以下基本原则：

（1）需求导向及最小授权原则：对于用户的权限，应当以其实际工作需要为依据，且仅应当授予

能够完成其工作任务的最小权限；

（2）未明确允许即禁止：除非用户有对于权限的需求得到了相关领导的明确批准，否则不应当授

予用户任何权限；

（3）职责分离原则：任何一个用户不能同时具有两种（或两种以上）不相容的权限。

3）应用系统权限控制。

（1）公司制定《应用系统用户权限管理工作规范》并依据该规范对用户权限需求和实际分配情况

进行分析，并合理设置，为定期的测试提供规范和依据。

（2）各地区公司根据实际工作的需要定义不同的数据权限，以财务报告相关的内部控制为依据，

从关键业务流程和关键控制措施出发，明确责任中心、凭证类型以及重要会计科目、报表的权限设置。

（3）权限日常管理，是依据应用系统用户的标准功能权限和数据权限，对用户权限的申请、审批、

变更、删除进行管理。

（4）在日常管理工作中，要定期检查用户在系统中的访问权限，主要检查以下事项：

①定期或在发生变动后，检查所有用户权限的设置情况；

②对于拥有关键权限的所有用户，以更短的周期进行检查；

③在应用系统的用户权限发生变动时，按照《信息系统总体控制实施办法》中相关的流程进行变

更处理。

5.5.2.3 应用系统自动控制

信息系统可利用数据类型校验、重复输入校验、批总量控制、序列校验、系统匹配、逐一检测、

编辑校对、预定的数据列表、授权检查、有效性检查等技术控制，对应用系统的输入、处理和输出进

行有效控制。

1）对输入数据的确认。

应用系统如果受到故意或意外无效数据的攻击，会导致系统故障、数据滥用或通过系统本身安全

漏洞进行欺诈犯罪等事件的发生。因此应用系统采用数据确认控制将数据的输入范围控制在一个合理

的范围内，即限制在系统有效处理能力之内。

（1）定期评审关键的数据文件的内容，确保其有效性和完整性；

（2）检查硬拷贝的输入文件，确保输入数据没有经过任何未经授权的更改；

（3）建立错误数据的相应程序；

（4）建立程序对于可怀疑的数据进行进一步检查；

（5）规定数据输入过程中所涉及的所有人员的职责。

2）对数据内部处理的控制。

已经正确输入的数据也可能因为处理的错误或人为的改动而被破坏，因此为了保证数据在处理过

程中的安全性，应对数据处理进行以下控制：

（1）批处理控制，确保事务更新后保持数据文件的平衡一致；

（2）确认系统产生数据的正确性；

（3）确认数据传输过程中的完整性；

（4）检查确保应用系统运行的时间正常；

（5）检查确保应用系统运行的顺序正常。

3）对输出的数据进行确认。

尽管系统的输入是正确的，但输出仍然可能是错误的或是经过非法修改的。为确保输出信息的正

确性，要对输出的数据进行确认，主要包括：

（1）可信性检查，确认输出的数据是否合理；

（2）数据一致性检查；

（3）相应输出确认测试的程序；

（4）数据输出过程中相关人员的责任。

4）例外处理。

相关岗位的操作人员对操作过程中出现的例外活动，根据情况自行处理或将例外事件情况及时汇

报给主管领导进行处理。

5.5.3 文档性记录

1）关键控制管理文档（系统控制措施）；

2）系统权限控制文档；

3）业务流程和应用系统目录索引；

4）系统关系结构图；

5）应用系统控制措施与信息处理目标（CAVR）对照表。

5.6 信息披露

5.6.1 内控关注要点

5.6.1.1 有效沟通

信息披露工作中涉及到的员工均能获得他们应该了解的信息，确保信息披露工作的内部沟通畅通、

有效；与投资者、证券分析师和外界媒体进行良好的沟通。

5.6.1.2 向涉及到的员工传达其职责和控制责任

信息披露工作中涉及到的员工应对整个信息披露工作有充分的认识，明确其在信息披露工作中所

承担的工作和职责；参与信息披露工作的每个岗位应由适当人选担任，以保证信息的准确传递。

5.6.1.3 整体支持

有效推行信息披露程序，需要管理层和所有员工的充分支持和配合，有培训或类似方式使员工能

够获得最新的技术性支持材料；对于所有涉及披露流程的有关人员有专门培训，以确保他们能充分理

解自身职责；对不同岗位的员工进行有针对性的培训，以确保他们有能力履行职责和应付不断更新的

外部要求。

5.6.1.4 管理层和披露委员会的监督

管理层和披露委员会采取个别的及定期的监控流程来保证信息披露的质量；监控流程由有经验的

员工进行客观、公正地执行。

5.6.1.5 持续改进与维护

管理层和披露委员会对信息披露工作进行改进与维护，以确保信息披露工作能够有效实施，并保

证所披露资料能够满足监管要求和上市地法律、法规的要求；对于新的法规要求被提议的问题或程序

执行中出现的问题，管理层应采取及时且适当的应对措施。51

5.6.2 措施

5.6.2.1 组织保障及有效沟通

1）组织机构。

公司制定《中国石油天然气股份有限公司信息披露控制和披露程序的原则》，成立了信息披露委员

会，并明确其构成与职责。

信息披露委员会由负责投资者关系、披露及法律事务的副总裁、财务总监和董事会秘书组成。三

人共同研究决定信息披露的重大事宜。

信息披露委员会负责考虑合并报表单位的重要性水平以及需要单独认证的业务单位的重要性水平，

保持披露事项重要性水平的一致。

信息披露委员会下设披露委员会工作小组，以具体操作披露委员会的日常工作。披露委员会工作

小组成员由披露委员会任命，应由（但不限于）中国石油投资者关系负责人、各业务板块披露工作负

责人、法律事务部有关负责人及董事会秘书局披露工作负责人等相关人员组成。

2）职责和控制责任的传达。

公司明确涉及信息披露工作员工的职责和任职要求。

披露委员会通过指定专人负责相关披露报告中的某些章节（如诉讼、法规、竞争、财产、管理层

对财务状况及经营业绩的讨论及分析、板块业务等章节）的起草／审阅来分配起草／审阅责任。

3）对外有效沟通。

在对外沟通方面，董事会秘书代表公司进行法定信息披露，公司对外发言人被授权对外发表谈话

或发布新闻稿。

5.6.2.2 培训

披露督导组织、协调对参与编制或审核相关定期报告的披露委员会成员及其他人员（视适当者而

言）就披露控制和程序进行不间断的持续性教育。包括：就美国证交会报告和披露要求以及最佳实际

做法进行的相关培训等。

5.6.2.3 监督

1）对定期报告的监督。

首席执行官和财务总监在认可定期报告中的披露内容前与披露委员会、独立审计师、审计委员会、

高级管理层，以及外聘法律顾问和独立储量工程师（在适当范围内）进行讨论，并留有充足的时间充

分审核信息、涉及事项、将做出的披露和应遵循的程序等内容。

审计委员会对财务报告和业绩公告部分进行监督、审核。

独立审计师审核财务报告的内部控制以及定期报告中的特选章节，包括：管理层对财务状况和经

营业绩的讨论及分析（包括关键性会计原则、新会计标准的描述、安排资产负债表以外的披露、合同

义务和或有责任及市场风险的定量和定性披露）以及其他财务披露内容。

2）对非定期报告的监督。

对非定期报告的信息披露工作，公司根据监管规定和披露程序要求进行信息披露的监督工作，并

由公司律师进行审核，董事会秘书签字确认。

5.6.2.4 改进与维护

为确保信息披露内容符合监管方和上市地要求，董秘局和财务部门在确定本年信息披露内容前，

与律师事务所和会计师事务所沟通，了解监管机构的最新要求，按照监管部门的要求将披露事项的增

加或变动向披露委员会请示。披露委员会按照监管部门的要求，对披露事项的有关工作进行部署并上

报董事长审批，工作部署包括职责分工和时间安排。

信息披露委员会审核公司过去在美国证交会报告中做出的重大披露及其他公开声明，以确定对这

些披露信息是否进行更新，或更正是否适当，并根据需要及时更新、更正公司的公开披露信息。

5.6.3 文档性记录

1）披露事项有关工作部署文件。

2）程序报告。