中石化企业内部控制

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,2009-11-13,企业内部控制及评价,中国石化内控办公室,1,内容提要,一、内部控制及评价的发展,二、企业内部控制体系简介,三、企业内部控制评价实例,2,内容提要,一、内部控制及评价的发展,3,内部控制的演进,内部牵制(1940年代以前)：帐目相互核对，不相容岗位分离,内部控制制度(1940-1970年代)：内部会计控制、内部管理控制,内部控制结构(1988)：控制环境、会计制度和控制程序,内部控制整体框架(,COSO,1992)：,五要素,企业风险管理框架(COSO,2004)：,八要素,4,企业内部控制整体框架,内部控制是由公司董事会、管理层及其全体员工实施的,，为经营活动的效率和效果、财务报告的可靠性、相关法律法规的遵循性等目标的实现而提供合理保证的过程。,COSO 扩充三个要素，,2004年9月推出：,“企业风险管理整体架构”,控制环境,风险评估,控制活动,信息与沟通,监控,COSO报告：内部控制综合性框架,5,COSO企业风险管理整体框架,运营,公司层面,分支机构,战略,报告,遵循,分、子公司,业务板块,监控,信息与沟通,控制活动,风险应对,风险分析,风险识别,目标设定,内部环境,企业风险管理整体框架,（,ERM,）,6,1985年，美国注册会计师协会、美国会计学会等机构共同资助设立了全国舞弊性财务报告委员会，即Treadway委员会，其研究的主要问题之一就是舞弊性财务报告产生的原因，其中包括内部控制不健全问题。基于Treadway委员会的建议，这些资助机构后来又设立了专门研究内部控制的COSO委员会。1992年，COSO委员会发布内部控制整体框架(1994年进行了修订) 。,2004年9月，COSO委员会发布了企业风险管理(ERM)整体框架，在内部控制的基础上提出了新的概念“企业风险管理” 。,COSO委员会,7,内部控制与内部审计,内部审计是企业内部控制的重要组成部分,1986,年,4,月最高审计机关国际组织发表,总声明,：“内部控制作为完整的财务和其他控制体系，包括组织结构、方法程序和内部审计。”,1992,年美国,C0S0,报告提出，内部控制包括控制环境、控制活动、信息和沟通及监督五个因素。其中“监督”因素也包括内部审计。,我国将要实施的“,企业内部控制,基本规范,”，其中内部环境包括了内部审计（第五条、第十五条）。,8,内控评价伴随审计发展,内部控制评价是现代审计的基础,内部控制经历不同的发展阶段，,内部控制概念逐步扩展，推进审计方法的变革。无论账项基础审计、制度基础审计，还是在风险基础审计中，内控评价都是审计工作不可或缺的组成部分,。,现代审计能够通过对内部控制测试和评价，确定进一步审计的方向，提高审计工作效率，降低审计成本和审计风险。,9,内控评价在审计中的应用,外审：侧重于把内控评价作为一种审计方式，其目的是在了解、测试与会计报表相关的内部控制的基础上评估其控制风险，再根据控制风险评估结果修订审计计划和确定实质性测试的性质、时间和范围，进而对会计报表发表意见。,内审：侧重于把内控评价作为一项审计内容。也可以根据审计的目的，把内控评价作为一种审计方式。,根据评价主体的不同，内控评价可分为注册会计师执行的内控评价和内部审计人员执行的内控自我评价。,10,一般内控测试与评价,健全性测试和评价,符合性测试和评价,综合评价,企业内部控制测试和评价,11,内部控制审计程序,调查了解企业内部控制,符合性测试,综合评价被审企业内部控制,确定审计范围、重点和方法,实质性审计,审计报告,评价企业内部控制的健全性,不健全,无效,有效,企业内部控制测试评价,审计及报告,健全,12,中国内部控制评价指引,内部控制审核,指导意见,（,2002,年,2,月）,内部审计,具体准则,第,5,号,内部控制审计（,2003,年,6,月）,内部审计,具体准则,第,16,号,风险管理审计（,2005,年,5,月）,13,美国内部控制评价指引,PCAOB,发布第,2,号审计准则（,2004,年,3,月）,PCAOB,发布第,5,号审计准则（,2007,年,6,月）,SEC,发布解释性公告，为管理层提供内控报告指引（,2007,年,6,月）,14,企业内部控制评价指引,评价指引（,5章26条,）：总则、内部控制评价的内容、内部控制评价的程序、内部控制缺陷的认定、内部控制评价报告 。,企业内部控制,评价表,：按照内部控制五个要素，分别填写评价内容、业务描述、评价结论（有效性,/,缺陷）、评价记录。,企业内部控制评价报告,附注,：董事会声明、内部控制评价工作的总体情况、内部控制评价的依据、内部控制评价的范围、内部控制评价的程序和方法、内部控制缺陷及其认定、内部控制缺陷的整改情况、内部控制有效性的结论 。,15,企业内部控制审计指引,审计指引（7章36条）：总则、计划审计工作、实施审计工作、完成审计工作、评价控制缺陷、出具审计报告、记录审计工作。,标准内控审计报告：一、企业对内控的责任；二、注册会计师的责任；三、内控的固有局限性；四、财务报告内控审计意见；五、非财务报告内控的重大缺陷。,带强调事项段的无保留意见内控审计报告：增“强调事项”。,否定意见内控审计报告：除“一至三”外，增“导致否定意见的事项”、“财务报告内控审计意见”、“非财务报告内控的重大缺陷”。,无法表示意见内控审计报告：除“一、二”外，增“导致无法表示意见的事项”、“财务报告内控审计意见”、“识别的及非财务报告内控的重大缺陷”。,16,内部控制审计调查表举例,企业基本情况,货币资金,投资业务,采购业务,销售业务,会计政策,会计电算化2,关联交易,控制环境,筹资业务,固定资产,存货管理,会计系统,会计电算化1,会计电算化3,企业,内控,审计,调查,(15）,17,内容提要,二、企业内部控制体系简介,18,中国石油化工股份有限公司,中国石油化工股份有限公司（简称“中国石化”）是中国最大的石油产品和主要石化产品生产商和供应商，中国第二大原油生产商，世界第三大炼油公司，拥有比较完备销售网络，境内外（上海、香港、纽约、伦敦）四地上市的股份制企业。 2009年集团公司列世界500强第9位。,中国石化现有全资子公司、控股和参股子公司、分公司等共90余家，包括油气勘探开发、炼油、化工、产品销售以及科研、外贸等，经营资产和主要市场集中在中国的东部、南部和中部地区。,19,股东大会,董事会,股份公司总裁班子,炼、化,分（子）公司,监事会,董事会秘书局,战略委员会,审计委员会,薪酬与考核委员会,化工事业部,油田勘探开发事业部,油品销售事业部,炼油事业部,机关职能部门,总裁办公室,法律事务部,发展计划部,生产经营管理部,财务部,科技开发部,人事部,安全环保部,外事部,工程部,物资装备部,信息系统管理部,审计部,监察部,油,田,分,（子）,公,司,销,售,分,（子）,公,司,专,业,公,司,研,发,单,位,炼,油,部,分,化,工,部,分,中国石化组织结构,20,中国石化内部控制的定位,美国,萨班斯,-,奥克斯利法案,(2002),香港联交所,企业管治常规守则,(2006),上海证交所,上市公司内部控制指引,（,2006),国资委,中央企业全面风险管理指引,(,2006),五部委发布,企业内部控制,基本规范,(,2008),财务、管理信息真实可靠；,保障资产安全完整；,规范经营行为，提高风险管理水平；,促进健全制度化管理体系；,完善法人治理结构。,法律法规要求,企业自身需要,21,中国石化内控制度体系,内部控制度体系,中国石化内部控制手册,（上、下册）,内部控制相关的管理制度（上、中、下册）,分公司实施细则,子公司内控手册,研究院内部控制手册,22,内部控制手册,23,内部控制手册的结构,内部控制基本要求,按业务分类控制的具体程序和措施,财务报告计划矩阵和业务控制矩阵,相关重要附件,内部控制手册的结构,总则,业务流程,控制矩阵,附则,权限指引,检查评价,不同管理层次、级别的权限规定,内控检查评价与考核,24,内控手册总则,目的和意义、定义、原则、适用范围,内部环境,风险评估,控制活动,信息与沟通,内部监督,内部控制手册结构、生效、更新,总则,包括七个方面,25,内部控制：由董事会、监事会、管理层和全体员工实施的、为经营管理合规合法、资产安全、财务报告及相关信息的可靠性，经营活动的效率和效果、发展战略的实现提供合理保证的过程。,五要素：内部环境、风险评估、控制活动、信息与沟通、内部监督。,内控手册总则,（一）内部控制定义、原则、适用范围,26,内控手册总则,（一）内部控制定义、原则、适用范围（续）,合规性原则,全面性与系统性原则,重要性原则,内部牵制及不相容原则,适应性原则,包容性原则,成本效益原则,27,内控手册总则,合规性原则,企业内控制度必须符合国家的法律、法规和政策；符合股份公司上市地（上海、香港、纽约、伦敦）证券监管机构有关上市公司的法律、法规和要求。,28,内控手册总则,包容性原则,内部控制手册是依据内控框架，充分吸收中国石化现行各项管理制度中控制风险的内容而系统编制，内容涵盖公司治理、经营管理、业务操作等不同层次。,内部控制手册力求避免与其他制度相矛盾，尽可能包容不同企业现有的内部控制要求；对确实脱离实际的各项内部管理制度，应及时修改、完善，并以内部控制手册规定为准。,29,内控手册总则,总部、分公司和全资子公司,分公司和全资子公司按照更严、更具体、更全面,的原则,，结合实际制定“实施细则”，总部一般不审批。,控股子公司参照制定手册,按照“业务覆盖、权限比照分公司”的原则制定，履行本公司董事会审批程序。,更具针对性,满足体制需要,（一）内部控制定义、原则、适用范围（续）,30,内控手册总则,（二）内部环境,企业文化：设企业文化部，编制,中石化文化建设纲要整合企业文化 ；,员工守则：,守法纪、讲诚信；,治理结构：明确董事会及其审计委员会、,监事会、总裁班子内控职责；,组织机构：集体决定与调整机构，,委派子公司股东代表、董事、监事；,总部,内控机构,及企业,内控机构,责任分配与授权：明确岗位分离，授权管理；,人力资源政策：激励与约束相结合；,反,舞弊机制：建立,举报投诉制度和举报人保护制度并公开；,内部审计：两级审计机构，审计部门的内控职责。,31,内控手册总则,总部内部控制组织机构,财务部,法律事务部部,审计部,股份公司内部控制领导小组,组长：总裁,信息系统管理部,内控办公室,人事部,32,内控手册总则,分子公司内部控制组织机构,企业内部控制领导小组,组长：分公司总经理,财务处,企管处,法律事务处,审计处,内控办公室,人事处,信息处,33,内控手册总则,（三）风险评估,根据目标，各部门归口收集信息，确定风险承受度；,内部风险：高管人员、体制机制、技术创新、财务状况、安全环保等；,外部风险：经济市场政策、法律、社会、科技、自然环境等；,风险评估机制：各部门针对责任内控流程，总部、企业针对系统风险。,34,内控手册总则,（四）控制活动,根据风险评估结果，采用相应控制措施，将风险控制在可承受度之内,；,控制措施：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、,计划控制,、预算控制、,合同管理控制,、,资金支付控制,、信息技术控制、运营分析控制和绩效考评控制等；,综合运用控制措施：手工控制与自动控制、预防性控制与发现性控制相结合；建立重大风险预警机制和突发事件应急处理机制。,通过编制业务流程具体控制,：,18,大类、,59,个流程。,35,内控手册总则,（五）信息与沟通,信息资源归口管理，不断完善信息搜集机制；,信息系统集中管理，完善系统沟通平台；,对外信息披露由总裁办审核、提供；,分级、分类，重要信息及时传递董事会、监事会和总裁班子。,36,内控手册总则,（六）内部监督,日常监督：建立两级内部控制监督检查机制，持续性监督,；,专项监督：针对内部控制某一或某些方面的监督检查；,管理层每年评价，出具内部控制自我评价报告。,37,内控手册总则,（七） 内部控制手册结构、生效、更新,结构六个部分,生效董事会审批,更新每年一次,38,内控手册控制流程,预算,采购,销售,成本费用,资金,资本支出,资产,关联交易,合并报表,重大事项,信息管理与披露,生产运行,安全环保,税务管理,合同管理,人力资源,信息系统控制,内部审计,内控手册业务流程,分类,（18类、59个流程）,39,内控手册控制流程,1.1原油采购业务流程,1.2进口原油代理业务流程,1.4一般物资采购业务流程,采购类控制流程,4.1原油销售业务流程,4.2天然气销售业务流程,4.3一般产品销售业务流程,销售类控制流程,40,内控手册控制流程,一般物资采购业务流程,（一）业务目标,（二）业务风险,经营目标,财务目标,合规目标,经营风险,财务风险,合规风险,1.1建立“统一,管理、统一采,购、统一储备,、统一结算”,的物资采购供,应管理体制。,1.2 按质按量,按时和经济高,效地满足生产,建设物资需求。,2.1资金支付,安全。,2.2会计核算,真实、准确、,完整、及时。,3.1物资采购,过程公开、,规范有序、,合法合规。,3.2物资采购,合同或协议,符合国家法,律、法规、,外贸政策和,股份公司内,部规章制度。,1.1分散对外采购，,不能形成整体和批,量采购优势，造成,采购资金浪费和流,失。,1.2 国内外采购割,裂，不能在全球范,围内搜寻资源，对,全球供应市场行情,缺乏了解、跟踪、,分析和研究，价格,监管不力，导致采,购性能价格比不合,理。,2.1资金分散,使用，付款,时间、方式、,金额不恰当,造成资金效,益的流失。,2.2结算不及,时，多记、,错记、漏记,物资入库、,库存或应付,账款，导,致财务数据,不准确、不,完整。,3.1制度不健全,或有漏洞，执行,制度不到位和监,督考核不力,导,致违纪违规问题,发生。,3.2 物资采购合,同或协议不符合,国家法律、法规,、外贸政策和股,份公司内部规章,制度的要求，造,成损失。,41,内控手册控制流程,一般物资采购业务流程（续）,（三）业务流程步骤与控制点,物资供应职责的界定,物资计划编制与审核,采购渠道确定与控制,采购价格确定与控制,框架协议和采购合同签订与审批,供应过程控制,绩效评价、考核与监督,采购资金使用和控制,42,内控手册控制流程,一般物资采购业务流程控制点举例：,1.5,物资供应部门内部实行计划、采购、质检、合同审核、申请付款等环节相互监督的分段管理模式。,【ERP】各分（子）公司物资供应部门在ERP系统中设计计划、采购等岗位的权限时，应遵从内部牵制及不相容原则。,5.3 【ERP】对于超过合同有效期3个月以上未执行完成的采购订单，分（子）公司物资供应部门要及时核销。维护采购订单交货容差时依据分（子）公司相关规定执行。,43,内控手册控制流程,（四）相关制度目录,（制度后标号为,内控手册配套规章制度汇编,目录索引号）,1.关于印发中国石油化工股份有限公司对外贸易管理规定的通知（石化股份外2003274号）1.9.1,一般物资采购,业务流程,（续）,44,内控手册控制流程,一般产品销售业务流程,（一）业务目标,（二）业务风险,经营目标,财务目标,合规目标,经营风险,财务风险,合规风险,1.1,获取经营,利润。,1.2扩大市场,份额。,2.1,核算规,范，保证销售,收入及应收账,款的真实、准,确、完整。,3.1,产品销售,符合国家有,关法律、法,规和股份公,司内部规章,制度。,1.1,随意降价导致收,入减少,。,1.2,擅自提价导致市,场丢失。,2.1,虚增或截留,收入，多记或,少记应收账,款，导致财务,数据失真。,2.2核算不正,确，造成财务,数据不准确。,3.1,产品销售不,符合国家有关法,律、法规和股份,公司内部规章制,度，受到处罚。,3.2产品销售合,同不符合合同法,等国家法律、法,规和股份公司内,部规章制度的要,求，造成损,失。,45,内控手册控制流程,一般产品销售业务流程（续）,（三）业务流程步骤与控制点,接受客户订单与编制销售计划,客户主数据维护和信用审核,确定销售价格,签订销售合同,开票和收款,发货,财务记账,编制销售日报表,催收账款,月末盘点,分析与考核,46,内控手册控制流程,一般产品销售业务流程控制点举例：,2.1,主数据维护员按审核后的客户信息在,ERP,系统中维护客户主数据。系统信用主数据应设置为高风险级别或零信用。,2.2,分（子）公司营销和财务等部门共同建立客户信用动态档案，并至少每年更新一次，由不相容岗位人员提出划分、调整客户信用等级的方案；根据客户信用等级和企业信用政策，拟定客户信用具体的限额和时限，经营销及财务部门负责人审核后，报分（子）公司经理或信用管理领导小组审批。财务部门按照审批结果在,ERP,系统中维护客户信用主数据。,47,内控手册控制流程,（四）相关制度目录,（制度后标号为,内控手册配套规章制度汇编,目录索引号）,1.,关于印发,中国石油化工股份有限公司应收款项管理实施细则,的通知（石化股份财,2007506,号） -,1.6.4,一般产品销售,业务流程,（续）,48,内控手册控制流程,2009版内控手册共计1272个控制点，分类如下：,控制点,合计,管理相关控制点,与财务报告相关控制点,ERP控制点,数量,1272,843,429,161,49,内控手册控制矩阵,为更好地遵循外部监管要求，同时便于落实内部管理责任，编制财务报告计划矩阵和每项业务的控制矩阵。,50,内控手册控制矩阵,财务报告,计划矩阵,：,旨在将会计报表项目和监管事项与业务流程建立联系，以确保内控制度合理保证对外披露的会计报告及重大事项真实可靠。,51,业务,控制矩阵,：,明确每一控制点的“目标、风险、责任单位、不相容岗位、分值、记录文档、相关制度索引、会计报表认定、会计报表”，便于落实内部控制责任。,特别是：对每一控制点都进行“业务风险”描述，容易识别内部控制设计是否必要和充分，体现内部控制以全面风险管理为导向的基本要求。,内控手册控制矩阵,52,内控手册,权限指引,授权是内部控制的重要手段。为适应公司一级法人为主的经营体制，达到“授权有度、风险受控”的目的，按照分级授权的指导思想，,特别制定了权限指引，统一规范权限管理。,（一）制定权限指引，明确责任和授权,53,内控手册权限指引,（二）权限控制指标的定义,权限指引中的权限为该项业务的决定权、审批权、最终处置权，不包括过程中的建议权、拟议权。,54,内控手册权限指引,（三）权限控制指标的设置原则,内部往来业务从宽，直接对外的业务事项从严；,经批准的预算（计划）内授权从宽，预算外从严；,常规授权从宽，特别授权及转授权从严。,55,内控手册权限指引,按照企业的业务规模分为大、中、小三类；,不同板块的企业，根据业务性质设置不同权限；,分公司在实施过程中可以制订向下延伸的权限级别；,子公司按照“子公司体制、分公司地位”的原则，比照分公司权限执行 。,（四）权限指引的企业分类及应用,56,内控手册权限指引,（五）权限指引的结构,权限指引,列表，以矩阵式表格描述，由横向、纵向两个指标体系构成。,编制,权限指引,说明，对权限指引表中事项进行统一解释。,57,内控手册检查评价办法,内控检查评价体系,每年检查总部部门和一定数量的分（子）公司、研究院，其中审计部25家。,至少每年,一次,内控检查,评价指引,总部部门检,查评价考核,实施细则,单位,自查,股份公司年度综合检查评价,检查,评价办法,综合检查评,价（企业）,测试（总部）,至少每半,年一次,测试（企业）,至少每半,年一次,企业自查,指导意见,58,内控手册检查评价办法,设“内部控制执行情况”指标: 根据年度综合检查评价结果及执行情况，只扣不奖,高层管理人员业绩奖金考核：设2分、5分、10分三档,单位经营目标考核： 设1分、2分、5分三档,内部控制考核,59,内控手册附则,内控业务流程总部,部门联系人,内部控制手册控制,流程适用单位,内控手册配套规章制度,目录及索引,员工,守则,附则,60,内容提要,三、企业内部控制评价实例,61,中国石化内控评价,自2005年已组织五次全系统内控综合检查,管理层内控自我评价,外部审计师对财务报告内控审计,62,内控自我评价依据,依据内控手册及相关制度，检查内部控制健全性（设计）,依据适用的内容、范围，检查内部控制符合性（执行）,63,内控自我评价指引,企业,内控检查评价指引,包括：注明具体检查步骤方法的工作底稿、案例分析等,总部层面,内控检查评价与考核实施细则,64,内控自我评价依据（续）,65,内控自我评价方式,中国石化从“量化评分”和“内控缺陷认定”两个方面进行内控评价，满足内控考核和外部监管的要求。,66,内控自我评价范围,总部层面：各管理部门,企业层面：各管理部门、所属单位,67,内控自我评价流程图,编制内部控制自我评价报告,修订完善,补救整改,组织现场检查,制定检查方案，报内控领导小组批准,报告管理层,健全性测试,符合性测试,检查汇总结果,集中培训检查人员,68,内控自我评价,（一）制定年度内控检查方案,（二）检查前培训,（三）现场检查,（四）跟踪整改,（五）汇报检查结果及修订完善,（六）编制内控自我评价报告及对外披露,69,制定年度内控检查方案,召开内控领导小组会议批准检查方案,检查范围及重点（总部部门、企业层面）,检查人员选拔及分组,检查前培训安排,检查,主要事项,70,内控自我评价,（一）制定年度内控检查方案,（二）检查前培训,（三）现场检查,（四）跟踪整改,（五）汇报检查结果及修订完善,（六）编制内控自我评价报告及对外披露,71,检查前培训,讲解内控检查评价指引（方法、案例）,合理分组，熟悉被检查单位基本情况,分组讨论，集中答疑,72,内控自我评价,（一）制定年度内控检查方案,（二）检查前培训,（三）现场检查,（四）跟踪整改,（五）汇报检查结果及修订完善,（六）编制内控自我评价报告及对外披露,73,现场检查评价步骤,见面会,掌握基本情况,分析/定范围,抽样、访谈等,缺陷认定,填写底稿,签字确认,编写报告,讲评会,交换意见,汇报内控办公室,审计部,检查结果,现场检查小组,评分/评价,74,1、组织现场检查小组,组长负责与企业班子成员谈话，参加见面会及讲评会；,副组长负责检查内控环境（访谈部门负责人）、企业自查情况，并撰写现场检查报告；,检查人员按内控流程分组,(,以内控管理人员为主，搭配各类专业人员、特别是,IT,专业人员）,分配成员任务,75,2、召开见面会,通过企业介绍，掌握基本情况,企业基本情况（生产经营业务范围、组织机构、经理班子成员及其分工、财务管理核算体制、,ERP,建设和实施情况等）；,检查区间生产经营计划和预算完成情况；,内部控制实施情况（内控宣传培训、实施细则及相关制度修订完善、日常内控工作机制、单位测试自查及整改情况）；,最近一次审计或财务稽核查出问题的整改情况等。,76,3、搜集、分析材料,实施细则及配套规章制度,内控自查整改材料,内控流程责任分工（责任部门、责任人、联系人）,企业组织架构图（领导分工、部门职能、重要岗位人员名单）,检查区间的会计报表、经济活动分析材料等,最近一次审计问题及整改材料,获得,ERP,最大查询权限,77,确定范围及重点,选择检查单位（企业所属全资、控股、参股子公司原则上全部检查，并至少抽查,3,个直属单位）,选择重点内控流程和控制点（必检内容）,确定重点检查样本,加强内部沟通，适时调整检查内容和方向,78,4、现场检查评价内容,内控环境、要素,评价,（,10,分,）,企业自查情况,评价,（,20,分）,业务流程,综合,检查,评价,（,70,分）,内部控制缺陷,认定,（修正总得分）,79,内部环境、要素评价,检查评价内容主要包括7个方面,（访谈、检查证据）：,诚信与道德,责任分配与授权,组织结构,管理哲学和经营风格,人力资源政策与实务,信息与沟通,监督,检查组长或副组长填写“,内控环境检查评价表,”,80,企业自查情况评价,企业责任部门内控流程测试情况（检查实际效果）,企业内控自查情况（至少验证,5,个流程）,复查核实，副组长填写“,企业自查情况评价表,”,81,业务流程评价,对照内控手册及相关制度，分析,适用流程,、控制点（健全性）,判定业务是否发生，确定应检查的控制点（符合性）,参照检查工作底稿中拟定的,检查步骤和方法,，结合实际选择抽样、穿行测试、检查证据、实地观察、对比分析、访谈等方法。,（,1,）分析适用流程，判断业务发生,82,业务流程评价（续）,不相容岗位分离,控制点执行情况,执行了控制点规定的控制步骤或控制方法（“控制点描述”、 “检查步骤及方法”）,未突破规定的权限（权限指引）,实现规定的控制目标 （实质性检查）,及时提供有效的控制点相关资料,同时符合,（,2,）控制点得分,/,扣分的判断方法,83,业务流程评价（续）,控制点检查评价后，填写“,内控流程检查工作底稿,”,与财务报告相关的控制点（控制矩阵已注明），还应填写“,财务报告抽样记录表,”,“内控流程检查工作底稿” 和“财务报告抽样记录表”需经检查人、被查单位责任人签定确认。,（,3,）分析是否与财务报告相关，填写检查记录,84,业务流程评价（续）,内控流程综合检查评价得分=控制点检查评价得分70/控制点基础分值。,其中，控制点检查评价得分为被检查单位所有适用内控流程控制点“检查评价得分”之和；控制点基础分值为被检查单位所有适用内控流程剔除不适用控制点及业务未发生控制点后的“控制点分值”之和。,（,4,）内控流程评价计分方法,85,内控缺陷的分类,影响会计报表缺陷,其他会计信息质量缺陷,IT控制缺陷,内控重大事故事件缺陷,内部控制缺陷,企业内部管理缺陷,财务报告缺陷,内控缺陷是指在内控设计和运行方面，已经发生的内控程序不足或产生不足的可能性。,86,内控缺陷的划分等级,财务报告缺陷,内部管理缺陷,填写“内部控制缺陷认定汇总表”,重大缺陷,重要缺陷,一般缺陷,结果,结果,一般缺陷,一般情况下,87,内控缺陷的扣分,一般缺陷：扣减总得分的,1%,重要缺陷：扣减总得分的,50%,重大缺陷：综合检查得分为零,88,内控缺陷的认定,影响会计报表的,缺陷,：根据错误样本比例推算潜在错报金额,1、记录错报样本,2、确定潜在,错报率,3、计算潜在错报金额（相应会计科目同向累计发生额潜在错报率）,4、计算错报指标,错报指标1=潜在错报金额合计/被检查单位当期主营业务收入或,期末资产总额孰高；,错报指标2=潜在错报金额合计/股份公司当期主营业务收入。,5、错报指标与缺陷等级,一般缺陷,:错报指标11，且错报指标21,重要缺陷,:1错报指标25,重大缺陷,:错报指标25,89,内控缺陷的认定（续）,其他会计信息质量一般缺陷：外部监管重点关注的事项,（1）会计人员缺乏必要的任职资格和胜任能力。,（2）财会岗位职责不清晰，或未执行规定的会计不相容岗位（职务）分离。,（3）会计凭证未按规定装订、保管和归档，或会计凭证丢失。,（4）重要原始凭证如出/入库单、提货通知单、开出发票和支票等不连号或未经审批取消原始凭证。,（5）未按规定与股份公司内、外部往来单位对账及编制往来账户余额调节表，或100万元以上的对账差异个月以上未处理，或其他对账差异个月以上未处理。,（6）未按规定编制银行存款余额调节表，或调节表差异个月以上未处理。,（7）一人保管支付款项所需的全部印章。开通网上银行的，由一人保管网银卡和密码。,（8）存货盘点未按照规定执行。,（9）由于审查不严、处理不当等原因造成执行国家税收政策偏差，受到罚款处罚等。,90,内控缺陷的认定（续）,IT控制一般缺陷：整体层面控制、一般性控制、应用控制,（1）ERP系统、财务信息管理系统、加油卡系统的用户管理或密码管理未按要求执行。,（2）ERP系统同一业务流程主数据管理和维护有两个或两个以上控制点未按要求执行。,（3）分（子）公司信息化管理机构不健全，职责不到位。,（4）分（子）公司ERP支持中心人员不落实，支持中心人员没有履行相关职责。,（5）安全管理员、系统管理员、应用系统管理员设置未执行不相容岗位（职务）分离。,（6）未进行信息安全教育和培训。,（7）ERP系统、财务管理信息系统、加油卡系统服务器未纳入信息管理部门统一管理。,91,内控缺陷的认定（续）,内控重大事故事件缺陷：以未经授权、舞弊或IT控制不善造成财产损失或影响给股东带来利益损害为判别依据。,缺陷认定等级,直接财产损失金额,重大负面影响,一般缺陷,10万元（含10万元）,500万元,或受到省级（含省级）以下政府部,门处罚但未对公司定期报告披露造,成负面影响,重要缺陷,500万元（含500万元）,1000万元,或受到国家政府部门处罚但未对股,份公司定期报告披露造成负面影响,重大缺陷,1000万元及以上,或已经对外正式披露并对公司定期,报告披露造成负面影响,92,内控缺陷的认定（续）,内部管理一般缺陷：不影响财务报告，但违反内部管理要求的突出事项。根据内控手册和管理制度（文件）判断。,1,物资采购供应未归口管理,2,销售管理中客户信用等级和信用限额未经信用领导小组审批，销售价格政策未经价格领导小组审批,3,投资项目无计划或超计划，或未按规定招投标，或先施工后补签合同,4,对未即时清结的交易没有签订书面合同；未按规定使用标准合同文本并经兼职合同管理员审核；使用非标准合同文本未经专职合同管理员审核,5,未按规定开立或使用银行账户,6,成本、费用指标未考核,7,由于违章行为导致安全环保事故（事件）发生,8,瞒报事故,93,内控缺陷的认定（续）,内控缺陷认定后，应累计填写“,内部控制缺陷认定汇总表,”，由检查小组组长（或副组长）、被查单位内控办公室主任签字确认。,内控缺陷的汇总,94,5、,检查方法,（1）一般方法,（2）抽样检查,（3）ERP控制点检查,95,5、,检查方法（续）,（1）一般检查方法及应用：,抽样法,穿行测试法,个别访谈法,比较分析法,实地查验法,专项讨论会法,重新执行法,基本方法,业务流程,内控环境、异常情况,价格、预算、报表分析,盘点、验证,遇到专业疑难问题,怀疑结果有重大错误,不限于此,综合运用,注意取得最原始单据,96,5、,检查方法（续）,综合应用各种方法：,检查前：比较分析、个别访谈，预抽样,实施检查：抽样、穿行测试、实地查验、个别访谈、比较分析,疑难问题：专家讨论会,佐证不足怀疑结果：重新执行、扩大抽样,97,5、,检查方法（续）,（2）抽样检查,抽样数量,抽样方法,抽样步骤及要求,98,5、,检查方法（续）,序号,业务发生频率,至少抽样数量,1,每年一次,1笔,2,每年一次以上至每季度一次,2笔,3,每季度一次以上至每月一次,2笔,4,每月一次以上至每周一次,5笔,5,每周一次以上至每天一次,15笔,6,每天多次,25笔,99,5、,检查方法（续）,抽样数量,非财务报告点抽样数量一般为3个（少于3个的选用整体抽样）；,财务报告点抽样数量在“,财务报告抽样记录表,”中已经根据业务发生频率列出“应抽取的样本量”，除非实际业务量不足，否则不得减少“应抽取的样本量”；,特别说明:抽取样本数量不限于上述“应抽取的样本量”，如果检查人员认为抽样数量不足以证明内控执行有效，可以根据需要增加样本量。,100,5、,检查方法（续）,抽样方法,1）整体抽样,2）随机抽样,3）等距抽样,4）指定抽样,101,5、,检查方法（续）,1）整体抽样,被检查单位某项经济业务很少发生，被检查的样本个数少于或等于规定数量时，应抽取全部样本做为检查样本。,如存货减值、存货处置、现金、存货、固定资产盘点等可以采取整体抽样方式，抽取所有减值会计凭证、存货处置会计凭证、存货盘点表、存货盘盈盘亏的会计凭证。,102,5、,检查方法（续）,2）随机抽样：控制点检查原则上采取“随机抽样”的方法。,时间分布比较均匀：,如涉及的经济业务在检查区间内各月基本均匀发生。,品种比较齐全：,如销售业务应包括各种产品样本。,金额分布合理：,包括大中小金额。,业务对象分布合理：,如采购、销售业务尽量覆盖全部供应商或客户；借款应覆盖各币种、各银行的借款。,业务发生单位分布合理：,指被检查企业如果有很多单位都发生同一类经济业务，应尽量覆盖。,采购合同、付款和发票校验会计凭证，销售订单、价格、合同、发货会计凭证、销售收入会计凭证、发票、费用支出等业务都可以采用随机抽样的方法。,经济业务,频繁发生,样本数较多,通过分析确认样本特性分布均匀,103,5、,检查方法（续）,3）等距抽样,如果样本的分布特性比较均匀稳定，可以采取等距抽样的方法。即可以拟定选择原始单据编号以1（或2、3、4）结尾的样本等。,如收付款会计凭证、出入库单等等。,104,5、,检查方法（续）,4）指定抽样,通过分析，对于特殊的经济业务事项（如非正常发生的经济业务）可以指定抽样。如修理费业务，可指定公司本部大额修理费支出；成本业务，可指定手工结转的凭证；销售、费用支出等业务可指定红字冲销业务；还可指定暂估业务等。,105,5、,检查方法（续）,对于同一业务不同企业选用的抽样方法可能不同。如对于票据业务很少的企业，可以采用整体抽样的方法；对于票据业务较多的企业，则可以根据发生日期、出票行、被背书人、贴现行等采用随机抽样等方法；,对于检查区间包括年末和年初的，应加大抽取样本量。重点关注是否存在虚挂或少挂成本费用，虚增或少记收入，用以调节利润的情况。其他样本也应有选择性地多抽1、3、6、9月。,抽样的特殊性：,106,5、,检查方法（续）,抽样步骤及要求：,1.搜集信息，拟定“抽样实施方案”,2.制作初步抽样清单,3.抽取样本,详细了解情况,尽量覆盖全部业务,针对性抽样,107,5、,检查方法（续）,抽取的样本应充分和适当,充分,是指测试的证据的数量应当能合理保证相关控制的有效；,适当,是指获取的证据应当与相关控制的设计与运行有关，并能可靠地反映控制的实际运行状况。,108,5、,检查方法（续）,（3）ERP控制点检查：,权限检查,截图使用,109,5、,检查方法（续）,1） ERP控制点权限检查：,权限检查,业务流程权限检查清单,直接查询是否存在不符合规定的内容,如按照控制点要求，查询是否存在未清订单、人为删除交货单等情况，直接在系统中先筛选是否存在未维护信用的客户等。,110,5、,检查方法（续）,2）参照,截图,检查ERP控制点,分散服务器的企业,编制ERP控制点检查标准，检查配置与执行。,集中服务器的企业,未有效执行，扣减被检查单位分数,111,6、填写工作底稿及记录,内部控制检查评价汇总表,企业内控环境评价表,企业自查评价表,内控流程检查工作底稿（含财务报告抽样记录表）,研究院内控流程检查工作底稿,内部控制缺陷认定汇总表,内控工作意见和建议表,7套表格,112,7、撰写现场检查报告及讲评,检查评价整体情况,企业内控环境评价,企业自查情况评价,内控流程评价,内控缺陷认定（深刻分析）,整改意见和管理建议,所有检查底稿、记录及报告由被查单位责任人确认,113,8、检查评价资料及报告,检查小组组长或副组长必须复核所有检查表格、工作底稿和内控缺陷认定。,有效执行的控制点不需复印资料，但未执行控制点及内控缺陷需要提供相关资料佐证。,所有检查资料按规定编号，依顺序整理、装订。,现场检查报告及各种检查资料（含电子版）交内控办公室。,114,内控自我评价,（一）制定年度内控检查方案,（二）检查前培训,（三）现场检查,（四）跟踪整改,（五）汇报检查结果及修订完善,（六）编制内控自我评价报告及对外披露,115,跟踪整改,由内控办公室统一组织,汇总各企业、总部现场检查结果,分配总部各责任部门督促整改，核实整改结果,根据最终整改结果考核各企业、部门,116,内控自我评价,（一）制定年度内控检查方案,（二）检查前培训,（三）现场检查,（四）跟踪整改,（五）汇报检查结果及修订完善,（六）编制内控自我评价报告及对外披露,117,汇报检查结果及修订完善,向内控领导小组汇报,与外部审计师沟通,向董事会及其审计委员会汇报,按照外部监管政策变化和管理层要求修订完善,118,内控自我评价,（一）制定年度内控检查方案,（二）检查前培训,（三）现场检查,（四）跟踪整改,（五）汇报检查结果及修订完善,（六）编制内控自我评价报告及对外披露,119,六、对外披露内控自我评价,编制中国石化内控自我评价报告,根据境内外不同监管要求披露内控自我评价,120,外审内控评价分析,年度,2006,2007,2008,内控手册控制点,998,1149,1179,检查企业数量,21,34,32,非披露缺陷,243,74,26,趋势=/（*可比系数）,11.57,1.89,0.69,外部审计师历年内控评价,121,企业自我评价分析,年度,2006,2007,2008,内控手册控制点,998,1149,1179,检查企业数量,79,82,40,未执行控制点,1189,1002,580,趋势=/（*可比系数）,15.05,10.61,12.27,中国石化历年内控评价,122,内容提要,附：内部控制案例,案例,1,案例,2,案例,3,123,E-mail:,谢谢各位！,欢迎批评,124,