《内部控制管理手册》PPT课件.ppt

1,内部控制处,内部控制管理手册,2,主要内容,一、2009版内控管理手册的基本架构 二、内控测试检查中重点关注的内容 1、公司层面现有的控制及测试检查内容 2、业务层面现有的控制及测试检查内容 三、公司业务流程执行指南的使用,3,一、2009版手册基本架构,（一）前言部分 公司简介，分册说明，组织结构及职责。 （二）控制环境 （三）风险评估 （四）控制活动 （五）信息与沟通 （六）监督,4,（一）公司简介 简要介绍了公司的历史发展进程、现有生产经营能力等。 （二）分册说明 需要重点关注，根据集团公司党组的决定，自2007年3月8日起，将石化公司和化纤进行重组整合，并委托石化公司对其实施全面管理。两公司重组整合后统称辽阳石化公司，实行统一领导，对上市与未上市业务统一规范管理，一体化运作。但鉴于目前重组后的辽阳石化公司还有部分二级单位属于未上市部分，机关处室部分业务在一段时间内仍需延用原有管理方式实施，所以，依照中国石油内控与风险管理部的总体要求，在内控体系设计上以公司上市部分为主线，进行手册编写。 （三）组织结构及职责 公司内部控制和风险管理体系工作，在总经理领导下形成决策、管理、执行、监督四个层次的管理架构。内控风险管理委员会等职责。,一、手册内容介绍前言部分,5,二、手册内容介绍控制环境,（一）组织结构图,6,二、手册内容介绍控制环境,（二）权限指引表 权限指引对与财务信息有关的一级流程11个、二级流程12个、三级流程27个、四级流程15个,所涉及的具体业务有效性审核、审查和审批权限的描述。如年度投资计划编制:首先是规划处处长组织审核分公司年度投资计划(草案)、公司主管副总经理审查编制完成的年度投资（调整）计划、总经理办公会审查分公司年度投资（调整）建议计划、经股份公司/专业分公司审定批复后组织实施。,7,二、手册内容介绍控制环境,8,二、手册内容介绍控制环境,（三）控制环境涉及的制度索引,9,三、手册内容介绍风险评估,（一）基本业务流程目录,10,三、手册内容介绍风险评估,（二）重要业务流程目录,11,三、手册内容介绍控制活动,（一）全面风险控制管理文件 (包含财务和法律)：共有185个末级流程,其中设计180张流程图和163个风险控制文档。,KP07.03.01.01 土地使用权管理,12,三、手册内容介绍控制活动,13,三、手册内容介绍控制活动,（二）控制活动涉及的制度索引,14,四、手册内容介绍信息与沟通,（一）信息流汇总表,15,四、手册内容介绍信息与沟通,（二）业务活动与应用系统索引目录,16,四、手册内容介绍信息与沟通,（三）关键应用系统调研问卷,17,四、手册内容介绍信息与沟通,（四）电子表格汇总表 1、电子表格的定义： 电子表格是基于计算机处理的标准格式的公司信息。 2、电子表格控制范围： 电子表格控制范围包括公司生产运营、分析决策、财务报告及披露等方面涉及的电子表格。支持财务报告及披露的电子表格包括直接或间接作为财务记账依据的电子表格、用于财务相关信息核对的电子表格、以及支持财务信息披露的电子表格。,18,四、手册内容介绍信息与沟通,（四）电子表格汇总表 3、依据电子表格与财务报告和披露的关系因素，我们将电子表格划分为以下三类：,19,四、手册内容介绍信息与沟通,（五）信息与沟通涉及的制度索引,20,四、手册内容介绍信息与沟通,（六）关键权限与通用角色对照表（FMIS7.0） 1、设计通用角色 通用角色不是对现有组织结构和岗位职责的重新定义，而是在现有框架下、按照职责分离等权限管理的基本原则，对财务相关人员在FMIS财务管理系统上权限的合理分配而定义的。目的是把诸多的业务职责统一在通用角色体系中，便于有效地、规范地管理系统权限。,21,四、手册内容介绍信息与沟通,（六）关键权限与通用角色对照表（FMIS7.0） 2、识别关键功能权限。 在对各个业务流程进行分析的基础上，对于应用系统的权限内容进行全面分析，依据对于财务报告的影响程度，识别出各应用系统的关键权限。 3、设计通用角色和关键功能权限的对应关系。 根据职责分离原则以及地区分公司的实际工作需要，将系统中的关键功能权限分配给系统。 4、总部已经统一制定完成了FIMS和资产管理系统的“关键权限与通用角色对照表”并下发各地区分公司使用。,22,四、手册内容介绍信息与沟通,（六）关键权限与通用角色对照表（FMIS7.0）,23,四、手册内容介绍信息与沟通,（六）不相容通用角色清单（FMIS7.0）：不相容岗位职责分离原则,24,四、手册内容介绍信息与沟通,（六）关键权限与通用角色对照表（FA7.0）,25,四、手册内容介绍信息与沟通,（六）不相容通用角色清单（FA 7.0）：不相容岗位职责分离原则,26,四、手册内容介绍信息与沟通,（七）财务关联信息系统清单,27,四、手册内容介绍监督,28,2009版内控管理手册介绍小结,1、编写与发布 手册由内部处组织编写，上报股份公司备案，并由公司总经理签发。 2、维护 手册的维护是一项长期性、经常性的重要工作，需要各单位高度重视，积极参与，大力配合。 手册的修订、维护由内控处负责。每年，内控处将根据股份公司总体要求、内外部审计对公司内部控制的评价、公司内控管理中出现的新问题以及各单位反馈的意见及建议等，对手册进行修订，经总经理批准执行。 各单位对手册日常使用过程中发现的问题，应认真记录并及时反馈给内控处。内控处及时掌握手册的执行情况，并采取有效措施确保内部控制管理体系的有效运行。,29,二、内控测试检查中重点关注的内容,内控测试检查的种类： 1、按照测试内容 设计有效性测试 公司层面控制测试 业务层面控制测试 信息系统总体控制测试 2、按照组织分类 管理层测试。股份公司审计部 企事业单位自我测试。本公司自己组织 外部审计师测试。股份公司内控与风险管理部,30,重点介绍管理层测试内容 主要包括公司层面控制、业务层面控制和信息系统总体控制。,二、内控测试检查中重点关注的内容,31,（一）管理层测试内容,公司层面控制定义 公司层面控制是确保管理层获得在公司内部各个领域都有适当的控制机制在发挥作用的重要机制 。 公司层面控制的内容 公司层面控制涵盖COSO框架的五个要素及反舞弊六个方面，包括职业道德、高管基调、信访举报和违规处理、组织结构、权利和责任分配、培训、业绩考核、人力资源政策、岗位职责描述、董事会、审计委员会、风险评估过程、信息披露、经营活动分析、信息与沟通、内部审计和反舞弊程序与控制共十七个主题,32,公司层面测试主题,公司层面控制涵盖COSO框架的五个要素及反舞弊六个方面，共十七个主题。包括 ：,33,公司层面控制测试目的：通过确定的各领域控制测试，查找设计和执行方面的问题，确保公司内部各个领域都有适当的控制机制在发挥作用。 公司层面控制测试依据：当年确定的测试范围、集团公司层面控制测试内容与步骤。 公司层面控制测试方法：公司层面控制测试主要采用询问、观察、检查等方法。,1、公司层面控制测试相关内容,34,反舞弊程序主要测试步骤,首先通过访谈审计部和监察部负责人、董秘局秘书，了解公司反 舞弊程序和控制的建立和实施内容。（包括控制环境、风险分 析、控制活动、信息与沟通、监控五个方面）; 其次根据访谈了解到的情况，查阅相关制度、文件资料，判断是 否建立并有效实施反舞弊程序。 反舞弊程序测试内容在GCC关键控制测试和其他公司层面测试主 题中有体现，测试人员不须单独测试，可直接引用其测试结果， 以减少工作量；对无法引用的，还须单独测试。,35,经营活动分析主要测试步骤,首先审阅财务分析制度。审阅内容是否完整，是否能有 助于发现财务报告中的重大错报。 其次访谈财务部相关人员，了解对财务分析的理解程度和各 个层面的财务分析结果上报的程序及上报后的审核情况。根 据抽样原则抽查财务分析报告，选择重点相关经营指标，对 分析的过程进行再执行测试，检查指标的分析是否适当。 访谈相关的财务负责人，了解管理层和各级管理部门是否对 上报的财务分析进行审阅，对审核中发现的问题是否进行跟 进，并查阅跟进的相关证据。,36,职业道德主要测试步骤,首先取得国有企业领导人员廉洁从业若干规定（试行）、中国石油股份有限公司章程以及高级管理人员职业道德规范、高级管理人员职业道德建设制度、 员工职业道德规范、员工职业与道德建设制度等文件，审阅内容是否全面，是否符合制度要求。通过访问公司网站，以确定公司是否发布以上文件。 访谈企业文化处的相关人员，了解是否对职业道德建设制度进行了宣传培训，检查相关培训记录等资料，最后通过访谈员工了解员工对职业道德的认知程度。,37,检查高管人员是否全部签署高级管理人员职业道德规范确认书。同时通过与管理层人员访谈并对相关制度文件进行检查，了解并查看公司是否将职业道德标准包含在与客户及供货商的商业交往中。 测试人员要知晓和理解高级管理人员职业道德规范、高级管理人员职业道德建设制度、员工职业道德规范、员工职业与道德建设制度等相关文件内容。,职业道德主要测试步骤,38,高管基调主要测试步骤,通过访问公司网站，以确定公司是否发布股份公司总裁致高级管理人员的信，是否强调了诚信和道德行为的重要性。并通过对高管的访谈，了解他们对诚信与道德观的理念，以及如何具体落实。 访谈公司员工并查阅相关资料，了解职工代表大会及合理化建议的组织实施情况。 通过访谈管理层（总经办），了解管理层（领导班子）是否对干预或越权（违反权限规定和程序制度）的情形进行关注。,39,高管基调主要测试步骤,其次查阅相关制度，审核其内容是否包含明确禁止管理人员越权，并鼓励对获知的越权、违规行为进行举报的规定；以及对于何种情况下需要干预以及干预的频率及记录的具体要求；取得并审阅公司对与管理层干预和越权行为的记录，确定对于干预的原因是否有合理的解释，对于越权行为是否有相应的处理。 访谈经理办、规划计划、财务、法律等部门，了解公司在介入新业务前，是否在进行风险和收益分析后才采取行动；访谈财务部了解会计政策确定、信息沟通 、财务报告等内容。,40,信访举报机制和违规处理主要测试步骤,首先通过访谈纪检监察人员，了解公司是否建立了较为畅通的举报渠道；其次通过访谈公司员工，了解员工是否知道信访举报方式，举报渠道，第三通过查阅公司文件和违规处理记录，确定公司是否注重对员工违规情况的管理；通过对信访举报案件的受理、调查和处理过程进行穿行测试，检查公司是否按照规定对信访举报事项进行调查处理。 查阅相关制度，了解公司针对员工违规处理有何依据。并审阅最近一年度公司对员工违规处理的记录，确定是否按规定处理，是否在公司上下进行了传达。,41,组织结构主要测试步骤,首先通过访谈劳资培训部审阅中国石油机构编制管理暂行办法，了解机构编制管理的程序和实施状况；其次取得公司的组织结构现状图，确认组织结构是否与公司当前的经营活动相适应。 通过访谈劳资培训部组织机构编制管理岗和公司员工，确认公司员工总量控制计划与实际员工需求人数是否一致。尤其是领导班子、审计部、财务部的人员数量是否充足，工作分配是否恰当。,42,权利和责任分配主要测试步骤,首先审阅机关部门职能及专业公司职责范围和总部业务授权权限指引表,确认业务授权权限指引表是否恰当的反映了公司当前部门及岗位的业务权限分配。并选择抽取部分管理人员，审阅授权表中的相关权限描述是否与其岗位职责描述一致。 其次访谈人事部门经理，并查阅职责和授权的审批及变化的记录，了解是否定期对权限指引表进行修订并进行记录，从而判断责任和权力分配的适当性。 访谈人事部门经理、信息部门的经理以及重要部门经理，了解人员流动的情况、人员的数量和能力是否满足工作需要等。,43,培训主要测试步骤,首先向劳资培训部门了解培训的程序，之后访谈员工，了解员工的知识、技能和参加培训状况，并查阅员工培训记录和相关培训制度、计划。访谈3名公司员工（主要是财务部、审计部、内控部部门），了解其近一年是否参加过公司组织的培训，培训的内容是否与履行其职责的知识和技能（如业务、技能培训等）有关。抽取3人的“培训记录”,确认是否按规定进行培训。,44,业绩考核主要测试步骤,首先通过访谈人事、劳资部门，了解业绩考核的操作流程，考核工作开展的形式及考核兑现情况，以及员工的反映情况等，其次通过访谈员工，了解薪酬与目标实现的相关程度，以及实现目标的压力感受；第三通过抽样审阅员工考核记录，了解业绩考核的兑现情况。,45,人力资源政策主要测试步骤,首先，通过访谈人事部、劳资培训部相关人员，了解公司管理人员的选拔任用机制及实施情况； 其次，抽样新聘任管理人员的有关资料，确认是否按照制度进行了竞聘、背景调查和任前公示； 第三，检查处室干部和关键岗位人员的审查材料，审查是否关注了经验、政治素质、技能资格水平、以及犯罪记录等情况。,46,信息与沟通主要测试步骤,信息与沟通涉及技术、财务、法律事务、质量安全环保、审计、信息中心等部门，测试小组人员通过与各个部门相关岗位进行访谈，并查阅信息传递及反馈的记录、文件、资料等 ，以确认公司相关信息能得到及时沟通。 信息与沟通部分测试内容在关键控制测试和其他公司层面测试主题中有体现，测试人员不须单独测试，可直接引用其测试结果，以减少工作量；对无法引用的，还须单独测试。,47,内部审计主要测试步骤,首先，通过访谈审计部门相关人员，了解内审人员的任职条 件，审计部门的地位及权利（是否具有独立性）、审计部门 业务程序等情况。 其次，根据访谈结果查阅内部审计工作规定等相关制度 及资料，检查内部审计部门是否足够的授权，是否能保障相 对独立性，审计质量是否能得到保证，是否能切实起到监督 作用等。,48,2、业务层面控制测试,业务活动层面控制测试通过跟单测试（又称跟单作业）和关键控制测试两种方式对业务层面所有重要流程的设计有效性和执行有效性进行检查，目的是对业务层面所有重要流程的设计有效性以及所有重要流程和关键控制的执行有效性进行检查。,49,业务活动层面测试内容,1 跟单测试 2 关键控制抽样测试 3 电子表格测试,50,跟单测试是在重要业务流程中选取一笔业务，从业务发生开始，一直追踪到该笔业务反映到公司财务报告的测试过程 ，适用于手工控制与应用系统控制测试。,采购计划,采购合同,收货入库,支付结算,财务记账,物 资 采 购,1 跟单测试,51,关键控制抽样测试主要设计公司内控管理手册中控制活动分册的内容:185个末级流程中风险控制文档、流程图。 如：MP05流程“存货管理”关注要点及发现实例 主要针对存货的入库、出库、盘点三个不同环节采取不同的测试方法，注意原油与材料物资在管理和程序上的不同,2 关键控制抽样测试,52,关注要点 入库：a)关注入库单相关内容与质检台帐记录是否一致，注意核对其钩稽关系。(原油入库为化验报告和交接单)；b)关注验收程序的规范性，如：验收人员的资质，验收记录审查等；c)关注是否及时（每月末）做暂估核算；d)关注是否及时按要求进行内部购销签认和内部往来签认。e)关注不同类别的材料物资验收是否符合相关规定 出库：a)核对出库凭证相关内容是否齐全，注意之间的勾稽关系；b)原油出库应重点关注销售计划及调整计划，核对交接及出库单据与计划是否一致；c)关注是否及时作成本结转，并核对相关数据 盘点：a)是否按照规定时间及时进行盘点，关注盘盈盘亏帐务处理是否及时；b)盘点相关表单是否完整，填写是否符合要求；c)关注盘点相关表单在不同部门传递的程序和及时性问题；d)核对各表单有勾稽关系的数据是否一致,“存货管理”关注要点及发现实例,53,发现实例 入库单的相关内容与质检台帐记录不一致，存在入库单滞后情况 质检资质不符合相关规定，化验、检验未按规定程序进行 未及时进行暂估入库 未按要求及时做内部购销签认和内部往来签认 原油实际出库与计划不一致 材料出库凭证内容不完整 盘点相关表单勾稽关系数据不一致 未进行盘盈盘亏差异分析 未及时进行盘盈盘亏账务处理,“存货管理”关注要点及发现实例,54,三、2009版业务流程执行指南的使用,编制目的 为了员工学习、掌握公司内部控制管理手册中业务层面手工控制的相关内容,并明确各职能部门在公司内控管理工作中的责任、明确流程管理部门和岗位，建立业务流程管理责任机制，理清工作职责。 注：本指南是依据内控手册编制的，为广大员工学习并有效执行内部控制管理手册搭建一个简单、适用的平台，如出现与手册不一致等情况，以手册内容为准。,55,三、2009版业务流程执行指南的使用,编制原则 遵照“简单、实用、便于执行”的原则，以业务流程为主线，以控制措施为重点，对2009版内控管理手册中末级流程进行梳理，分单位检索和汇总，将所有手工控制逐项逐级落实到责任单位，针对各单位对该项控制的作用不同，分为责任部门和参与部门，分类落实责任，并对各单位承担的内控责任进行层层分解，细化到具体部门和岗位，保证每一项重要控制都有专人负责监督、执行和落实。,56,三、2009版业务流程执行指南的使用,主要内容: 本指南共由32个部分组成，分别为：公司领导、各生产厂、直属单位、各处室。 使用要求： 各单位应重点关注本指南涉及到的本部门的业务流程，执行时还应结合内部控制管理手册的相应详细内容，重点落实关键环节的控制措施，将控制执行到位。鉴于内部控制是一项跨部门的系统工程，各单位对未在本指南中列示的内容也要加以了解，整体把握。,57,总经理在股份公司2005年12月27日召开的内控工作视频会上对落实内部控制管理手册提出要求时强 调三句话：“执行、执行、执行”。,总会计师在2008年内控工作视频会议上强调：“内控工作重在建设，关键在执行”。,集团公司领导要求：要从加强组织建设入手，全面强化内控宣传培训工作和制度建设，建立健全内控激励与约束机制，进一步增强执行力，促进体系持续、有效运行，为集团公司战略目标的实现提供保障。,58,小结：内部控制测试中注意事项,测试过程中的要求,59,测试过程中的要求,内部控制测试中注意事项,60,内部控制测试中注意事项,测试过程中的要求,61,内部控制测试中注意事项,测试过程中的要求,62,内部控制测试中注意事项,测试过程中的要求,63,内部控制测试中注意事项,测试过程中的要求,64,内部控制测试中注意事项,测试过程中的要求,65,谢谢大家！,