内部控制评价的程序和方法

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,第三章内部控制评价,本科教学电子课件,首都经济贸易大学 袁小勇,学习要点与要求,通过本章学习，你应该能够：,了解内部审计的基本程序,掌握内部审计计划的编制,掌握发现问题与解决问题的思路,了解与被审计单位沟通的意义,第一节 内部控制评价概述,一、内部审计与内部控制的关系,内部审计是保证内部控制体系有效运行和逐步完善的重要措施,企业在设计内部控制制度时，由于当时认识的局限或者考虑不周等原因，设计出的内部控制不可能完美无缺；,在内部控制实际运行过程中，由于实际情况发生变化、或由于员工对内部控制制度理解上的差异，也可能使内部控制不能很好地发挥其应有的作用，导致内部控制实际运行中或多或少地存在着这样或那样的问题。,为此需要对内部控制运行情况实施必要的监督检查，发现其不足和问题乃至于缺陷，从而完善内部控制，提高内部控制的有效性。,续,企业内部各职能部门管理者当然是内部控制监督的主体之一。但他们的监督往往是局部的，并且独立性、客观性受到一定程度的影响。,内审部门是相对独立的部门，由内部审计对内部控制的设计（是否适当）、执行（是否不折不扣的执行）、及有效性进行测试与评价应该是最全面、最权威的。,因此，内部审计是保证内部控制体系有效运行和逐步完善的重要措施。,在内部监督制度中，应当明确内部审计机构等类似其他监督机构的职责，明确内部审计机构与和其他内部机构之间的关系，明确开展内部监督的程序、方法和要求等。,二、内部控制评价,外审：侧重于把内控评价作为一种审计方式，其目的是在了解、测试与会计报表相关的内部控制的基础上评估其控制风险，再根据控制风险评估结果修订审计计划和确定实质性测试的性质、时间和范围，进而对会计报表发表意见。,内审：侧重于把内控评价作为一项审计内容。也可以根据审计的目的，把内控评价作为一种审计方式。,内部控制评价，是指由企业董事会和管理层实施的，对企业内部控制有效性进行评价，形成评价结论，出具评价报告的过程。,三、内部控制评价依据,内部审计具体准则第5号内部控制审计（2003年6月）,内部审计具体准则第16号风险管理审计（2005年5月）,中央企业财务内部控制评价工作指引(2006年度试点用),企业内部控制评价指引（2008年7月，财政部）,评价指引（5章37条）：总则、内部控制评价的内容、内部控制评价的程序、内部控制缺陷的认定、内部控制评价报告 。,四、内部控制评价要求,企业应当根据国家有关法律法规和企业内部控制基本规范的要求，结合企业实际情况，对战略目标、经营管理的效率和效果目标、财务报告及相关信息真实完整目标、资产安全目标、合法合规目标等单个或整体控制目标的实现进行评价。,五、企业内部控制评价原则,（一）风险导向原则。内部控制评价应当以风险评估为基础，根据风险发生的可能性和对企业单个或整体控制目标造成的影响程度来确定需要评价的重点业务单元、重要业务领域或流程环节。,（二）一致性原则。内部控制评价应当采用统一可比的评价方法和标准，保证评价结果的可比性。,（三）公允性原则。内部控制评价应当以事实为依据，评价结果应当有适当的证据支持。,（四）独立性原则。内部控制评价机构的确定及评价工作的组织实施应当保持相应的独立性。,（五）成本效益原则。内部控制评价应当以适当的成本实现科学有效的评价。,六、评价的内容和标准,企业应当对与实现整体控制目标相关的内部环境、风险评估、控制活动、信息与沟通、内部监督等内部控制要素进行全面系统、有针对性的评价。,企业实施内部控制评价，包括对内部控制设计有效性和运行有效性的评价。,内部控制设计有效性是指为实现控制目标所必需的内部控制要素都存在并且设计恰当；,内部控制运行有效性是指现有内部控制按照规定程序得到了正确执行。,续,应用信息系统加强内部控制的企业，应当对信息系统的有效性进行评价，包括信息系统一般控制评价和信息系统应用控制评价。,一般控制评价应当着重考虑与信息系统开发有关的信息技术控制目标、程序变更、计算机运行和对数据的接触是否符合企业内部控制的要求，是否有利于企业内部控制目标的实现，并以此评价信息系统的安全性、可靠性和合理性。,应用控制评价应当结合企业业务流程特点，着重考虑信息系统中与业务流程相关的控制点，并以此评价相关应用系统操作数据的真实性、准确性和合规性。,续,企业集团对被评价单位内部控制的有效性进行评价，应当至少涉及下列内容：,（一）被评价单位内部控制是否在风险评估的基础上涵盖了企业层面的风险和所有重要的业务流程层面的风险。,（二）被评价单位内部控制设计的方法是否适当，内部控制建设的时间进度安排是否科学、阶段性工作要求是否合理。,（三）被评价单位内部控制设计和运行的组织是否有效，人员配备、职责分工和授权是否合理。,（四）被评价单位是否开展内部控制自查并上报有关自查报告。,（五）被评价单位是否建立有利于促进内部控制各项政策措施落实和问题整改的机制。,（六）被评价单位在评价期间是否出现过重大风险事故等。,第二节 评价的程序和方法,一、内部控制评价的程序,第一步，制定评价方案。根据企业整体控制目标,制定内部控制评价工作方案,明确评价目的,范围,组织,标准,方法,进度安排和费用预算等内容,报管理层和董事会审批.,第二步，确定评价范围。内部控制评价范围的确定应当遵循风险导向,自上而下的原则来确定需要评价的分支机构,重要业务单元,重点业务领域或流程环节.,第三步，实施评价方案。内部审计部门应当根据审批通过的评价方案组织实施内部控制评价工作,通过适当的方法收集,确认,分析相关信息,确定与实现整体控制目标相关的风险及细化控制目标,并在此基础上辨识与细化控制目标相对应的控制活动,然后针对控制活动进行必要的测试,获取充分,相关,可靠的证据对内部控制的有效性进行评价,并做出书面记录.,第四步，提交评价报告。内部控制评价机构应当根据评估结果和经核实的证据,确认内部控制缺陷,出具评价结论,编制评价报告,报送管理层和董事会审阅.,二、评价方法,（一）个别访谈法。,（二）调查问卷法。,（三）比较分析法。,（四）标杆法。是指通过与组织内外部相同或相似经营活动的最佳实务进行比较而对控制设计有效性评价的方法。,（五）穿行测试法。是指通过抽取一份全过程的文件，来了解整个业务流程执行情况的评估评价方法。,（六）抽样法。是指企业针对具体的内部控制业务流程，按照业务发生频率及固有风险的高低，从确定的抽样总体中抽取一定比例的业务样本，对业务样本的符合性进行判断，进而对业务流程控制运行的有效性作出评价。,（七）实地查验法。,（八）重新执行法。是指通过对某一控制活动全过程的重新执行来评估控制执行情况的方法。,（九）专题讨论法。,三、获取审计证据,企业应当根据通过评估和测试获取与内部控制有效性相关的证据，并合理保证证据的充分性和适当性。,证据的充分性是指获取证据的数量应当能合理保证相关控制的有效；证据的适当性是指获取的证据应当与相关控制的设计与运行有关，并能可靠地反映控制的实际运行状况。,企业应当根据所收集的证据，判断相关控制的设计与运行是否有效。企业在判断内部控制设计与运行有效性时，应当充分考虑下列因素：,1、是否针对风险设置了合理的细化控制目标。,2、是否针对细化控制目标设置了对应的控制活动。,3、相关控制活动是如何运行的。,4、相关控制活动是否得到了持续一致的运行。,5、实施相关控制活动的人员是否具备必需的权限和能力。,续,企业应当充分评估下列因素导致内部控制失效的风险：,（一）控制活动的类型，一般包括人工控制和自动控制、预防性控制和发现性控制等。,（二）控制活动的复杂性，通常与企业组织结构、市场环境、经营规模、人员素质等相关。,（三）管理层逾越内部控制的风险。,（四）实施控制活动所需要的职业判断的程度。,（五）控制活动所针对风险事项的性质及其重要性。,（六）一项控制活动对其他控制活动有效性的依赖程度。,内部控制评价机构应当根据评估结果和经核实的证据，确认内部控制缺陷，出具评价结论，编制评价报告，报送管理层和董事会审阅。,四、内部控制缺陷认定,企业在对内部控制进行内部监督发现内部控制缺陷时，需要对内部控制的缺陷进行认定和报告。为此，企业应当根据自身的实际情况，制定本企业内部控制缺陷认定标准。,内部控制缺陷包括设计缺陷和运行缺陷。,1、关于设计缺陷,所谓设计缺陷，是指缺少为实现控制目标所必需的控制，或现存内部控制设计不适当、即使正常运行也难以实现控制目标而形成的内部控制缺陷，即建立的内部控制不能充分实现内部控制目标而形成的内部控制缺陷。,案例：废纸打印不挨骂,小李是一家公司的职员，由于公司刚开始创业，经理特别强调成本控制，把厉行节约列为绩效考核的重要内容。他对办公室员工提出了要求：节约用纸，非正式文件不得使用空白纸。,有一次，废纸用完了，小李只好用空白纸打印，经理看到用的不是废纸，立刻责问：,小李委屈地说，废纸用完了，只好,经理有点不相信：一天打印那么多文件，怎么会一张废纸都没有了呢？于是自已动手，进行检查，还真找出了几张废纸。,第二天，经理在开会时点名批评了小李，还扣发了当月奖金。,从此以后，每当没有废纸可用的时候，小李特别着急。后来，一位老员工俏俏地告诉她：从此，小李再也没有挨批了。,请问：老员工俏俏告诉小李什么了？,这个故事说明了什么？,2、关于运行缺陷,所谓运行缺陷，是指现存设计完好的控制没有按设计意图运行，或执行者没有获得必要授权或缺乏胜任能力以有效实施控制而产生的内部控制缺陷，即内部控制不能按照建立阶段的意图运行，或运行中错误很多，或实施内部控制的人员不能正确理解内部控制的内容和目标等而产生的内部控制缺陷。某一企业的内部控制体系虽然设计得很完善，但由于实施过程中的偏差，导致内部控制运行缺陷。内部控制的缺陷可以是单项的缺陷，也可以是多项组合的缺陷。,3、内部控制缺陷认定,存在下列情况之一,应当认定内部控制存在设计或运行缺陷:,未实现规定的控制目标.,未执行规定的控制活动.,突破规定的权限.,不能及时提供控制运行有效的相关证据.,内部审计在判断和认定内部控制缺陷是否构成重大缺陷,应当考虑下列因素:,影响整体控制目标实现的多个一般缺陷的组合是否构成重大缺陷.,针对同一细化控制目标所采取的不同控制活动之间的相互作用.,针对同一细化控制目标是否存在其他补偿性控制活动.,4、内部控制缺陷分类,按照内部控制缺陷影响整体控制目标实现的严重程度，内部控制缺陷分为一般缺陷、重要缺陷和重大缺陷。,重大缺陷是指一个或多个一般缺陷的组合，可能严重影响内部控制整体的有效性，进而导致企业无法及时防范或发现严重偏离整体控制目标的情形。,重要缺陷是指一个或多个一般缺陷的组合，其严重程度低于重大缺陷，但导致企业无法及时防范或发现偏离整体控制目标的严重程度依然重大，须引起企业管理层关注。,除重要缺陷和重大缺陷以外的其他缺陷，则为一般缺陷。,5、发现缺陷的处理,在对内部控制进行内部监督的过程中，根据确定的标准对内部监督所发现的内部控制缺陷进行认定，分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告。,企业还应当跟踪内部控制缺陷整改情况，并就内部监督中发现的重大缺陷，追究相关责任单位或者责任人的责任。,第三节 评价实例中石化,内控手册总则,总部内部控制组织机构,财务部,法律事务部部,审计部,股份公司内部控制领导小组,组长：总裁,信息系统管理部,内控办公室,人事部,内控手册总则,分子公司内部控制组织机构,企业内部控制领导小组,组长：分公司总经理,财务处,企管处,法律事务处,审计处,内控办公室,人事处,信息处,一、中国石化内控评价,自2005年已组织五次全系统内控综合检查,管理层内控自我评价,外部审计师对财务报告内控审计,二、内控自我评价依据,依据内控手册及相关制度，检查内部控制健全性（设计）,依据适用的内容、范围，检查内部控制符合性（执行）,三、内控自我评价指引,企业,内控检查评价指引,包括：注明具体检查步骤方法的工作底稿、案例分析等,总部层面,内控检查评价与考核实施细则,四、内控自我评价方式,中国石化从“量化评分”和“内控缺陷认定”两个方面进行内控评价，满足内控考核和外部监管的要求。,五、内控自我评价范围,总部层面：各管理部门,企业层面：各管理部门、所属单位,六、内控自我评价流程图,编制内部控制自我评价报告,修订完善,补救整改,组织现场检查,制定检查方案，报内控领导小组批准,报告管理层,健全性测试,有效性测试,检查汇总结果,集中培训检查人员,内控自我评价流程,（一）制定年度内控检查方案,（二）检查前培训,（三）现场检查,（四）跟踪整改,（五）汇报检查结果及修订完善,（六）编制内控自我评价报告及对外披露,（一）制定年度内控检查方案,召开内控领导小组会议批准检查方案,检查范围及重点（总部部门、企业层面）,检查人员选拔及分组,检查前培训安排,检查主要事项,（二）检查前培训,讲解内控检查评价指引（方法、案例）,合理分组，熟悉被检查单位基本情况,分组讨论，集中答疑,（三）现场检查评价步骤,见面会,掌握基本情况,分析/定范围,抽样、访谈等,缺陷认定,填写底稿,签字确认,编写报告,讲评会,交换意见,汇报内控办公室,审计部,检查结果,现场检查小组,评分/评价,1、组织现场检查小组,组长负责与企业班子成员谈话，参加见面会及讲评会；,副组长负责检查内控环境（访谈部门负责人）、企业自查情况，并撰写现场检查报告；,检查人员按内控流程分组(以内控管理人员为主，搭配各类专业人员、特别是IT专业人员）,2、召开见面会,通过企业介绍，掌握基本情况,企业基本情况（生产经营业务范围、组织机构、经理班子成员及其分工、财务管理核算体制、ERP建设和实施情况等）；,检查区间生产经营计划和预算完成情况；,内部控制实施情况（内控宣传培训、实施细则及相关制度修订完善、日常内控工作机制、单位测试自查及整改情况）；,最近一次审计或财务稽核查出问题的整改情况等。,3、搜集、分析材料,实施细则及配套规章制度,内控自查整改材料,内控流程责任分工（责任部门、责任人、联系人）,企业组织架构图（领导分工、部门职能、重要岗位人员名单）,检查区间的会计报表、经济活动分析材料等,最近一次审计问题及整改材料,获得ERP 最大查询权限,4、确定范围及重点,选择检查单位（企业所属全资、控股、参股子公司原则上全部检查，并至少抽查3个直属单位）,选择重点内控流程和控制点（必检内容）,确定重点检查样本,加强内部沟通，适时调整检查内容和方向,5、现场检查评价内容,内控环境、要素评价（10分）,企业自查情况评价（20分）,业务流程综合检查评价（70分）,内部控制缺陷认定（修正总得分）,（1）内部环境、要素评价,检查评价内容主要包括7个方面,（访谈、检查证据）：,诚信与道德,责任分配与授权,组织结构,管理哲学和经营风格,人力资源政策与实务,信息与沟通,监督,检查组长或副组长填写“,内控环境检查评价表,”,（2）企业自查情况评价,企业责任部门内控流程测试情况（检查实际效果）,企业内控自查情况（至少验证5个流程）,复查核实，副组长填写“企业自查情况评价表”,（3）业务流程评价,分析适用流程，判断业务发生,对照内控手册及相关制度，分析,适用流程,、控制点（健全性）,判定业务是否发生，确定应检查的控制点（符合性）,参照检查工作底稿中拟定的,检查步骤和方法,，结合实际选择抽样、穿行测试、检查证据、实地观察、对比分析、访谈等方法。,业务流程评价（续）,控制点得分/扣分的判断方法,不相容岗位分离,控制点执行情况,执行了控制点规定的控制步骤或控制方法（“控制点描述”、 “检查步骤及方法”）,未突破规定的权限（权限指引）,实现规定的控制目标 （实质性检查）,及时提供有效的控制点相关资料,同时符合,业务流程评价（续）,分析是否与财务报告相关，填写检查记录,控制点检查评价后，填写“,内控流程检查工作底稿,”,与财务报告相关的控制点（控制矩阵已注明），还应填写“,财务报告抽样记录表,”,“内控流程检查工作底稿” 和“财务报告抽样记录表”需经检查人、被查单位责任人签定确认。,业务流程评价（续）,内控流程评价计分方法,内控流程综合检查评价得分=控制点检查评价得分70/控制点基础分值。其中：,控制点检查评价得分为被检查单位所有适用内控流程控制点“检查评价得分”之和；,控制点基础分值为被检查单位所有适用内控流程剔除不适用控制点及业务未发生控制点后的“控制点分值”之和。,（4）内控缺陷的分类,影响会计报表缺陷,其他信息质量缺陷,IT控制缺陷,内控重大事故事件缺陷,内部控制缺陷,企业内部管理缺陷,财务报告缺陷,内控缺陷是指在内控设计和运行方面，已经发生的内控程序不足或产生不足的可能性。,内控缺陷的划分等级,财务报告缺陷,内部管理缺陷,填写“内部控制缺陷认定汇总表”,重大缺陷,重要缺陷,一般缺陷,结果,结果,一般缺陷,一般情况下,内控缺陷的扣分,一般缺陷：扣减总得分的1%,重要缺陷：扣减总得分的50%,重大缺陷：综合检查得分为零,内控缺陷的认定,影响报表的缺陷：根据错误样本比例推算潜在错报金额,1、记录错报样本,2、确定潜在错报率,3、计算潜在错报金额相应会计科目同向累计发生额潜在错报率,4、计算错报指标,错报指标1=潜在错报金额合计/被检查单位当期主营业务收入或期末资产总额孰高；,错报指标2=潜在错报金额合计/股份公司当期主营业务收入。,5、错报指标与缺陷等级,一般缺陷:错报指标11，且错报指标21,重要缺陷:1错报指标25,重大缺陷:错报指标25,内控缺陷的认定（续）,其他会计信息质量一般缺陷：外部监管重点关注的事项,（1）会计人员缺乏必要的任职资格和胜任能力。,（2）财会岗位职责不清晰，或未执行规定的会计不相容岗位（职务）分离。,（3）会计凭证未按规定装订、保管和归档，或会计凭证丢失。,（4）重要原始凭证如出/入库单、提货通知单、开出发票和支票等不连号或未经审批取消原始凭证。,（5）未按规定与股份公司内、外部往来单位对账及编制往来账户余额调节表，或100万元以上的对账差异个月以上未处理，或其他对账差异个月以上未处理。,（6）未按规定编制银行存款余额调节表，或调节表差异个月以上未处理。,（7）一人保管支付款项所需的全部印章。开通网上银行的，由一人保管网银卡和密码。,（8）存货盘点未按照规定执行。,（9）由于审查不严、处理不当等原因造成执行国家税收政策偏差，受到罚款处罚等。,内控缺陷的认定（续）,IT控制一般缺陷：整体层面控制、一般性控制、应用控制,（1）ERP系统、财务信息管理系统、加油卡系统的用户管理或密码管理未按要求执行。,（2）ERP系统同一业务流程主数据管理和维护有两个或两个以上控制点未按要求执行。,（3）分（子）公司信息化管理机构不健全，职责不到位。,（4）分（子）公司ERP支持中心人员不落实，支持中心人员没有履行相关职责。,（5）安全管理员、系统管理员、应用系统管理员设置未执行不相容岗位（职务）分离。,（6）未进行信息安全教育和培训。,（7）ERP系统、财务管理信息系统、加油卡系统服务器未纳入信息管理部门统一管理。,内控缺陷的认定（续）,缺陷认定等级,直接财产损失金额,重大负面影响,一般缺陷,10万元500万元,或受到省级（含省级）以下政府部门处罚但未对公司定期报告披露造成负面影响,重要缺陷,500万元1000万元,或受到国家政府部门处罚但未对股份公司定期报告披露造成负面影响,重大缺陷,1000万元及以上,或已经对外正式披露并对公司定期报告披露造成负面影响,内控重大事故事件缺陷：以未经授权、舞弊或IT控制不善造成财产损失或影响给股东带来利益损害为判别依据。,内控缺陷的认定（续）,内部管理一般缺陷：不影响财务报告，但违反内部管理要求的突出事项。根据内控手册和管理制度（文件）判断。,物资采购供应未归口管理,销售管理中客户信用等级和信用限额未经信用领导小组审批，销售价格政策未经价格领导小组审批,投资项目无计划或超计划，或未按规定招投标，或先施工后补签合同,对未即时清结的交易没有签订书面合同；未按规定使用标准合同文本并经兼职合同管理员审核；使用非标准合同文本未经专职合同管理员审核,未按规定开立或使用银行账户,成本、费用指标未考核,由于违章行为导致安全环保事故（事件）发生,瞒报事故,内控缺陷的认定（续）,内控缺陷的汇总,内控缺陷认定后，应累计填写“内部控制缺陷认定汇总表”，由检查小组组长（或副组长）、被查单位内控办公室主任签字确认。,6、,检查方法,（1）一般方法,（2）抽样检查,（3）ERP控制点检查,（1）一般检查方法及应用：,抽样法,穿行测试法,个别访谈法,比较分析法,实地查验法,专项讨论会法,重新执行法,基本方法,业务流程,内控环境、异常情况,价格、预算、报表分析,盘点、验证,遇到专业疑难问题,怀疑结果有重大错误,不限于,此综合,运用,注意取得最原始单据,综合应用各种方法：,检查前：比较分析、个别访谈，预抽样,实施检查：抽样、穿行测试、实地查验、个别访谈、比较分析,疑难问题：专家讨论会,佐证不足怀疑结果：重新执行、扩大抽样,（2）抽样检查,抽样数量,抽样方法,抽样步骤及要求,抽样,检查方法（续）,序号,业务发生频率,至少抽样数量,1,每年一次,1笔,2,每年一次以上至每季度一次,2笔,3,每季度一次以上至每月一次,2笔,4,每月一次以上至每周一次,5笔,5,每周一次以上至每天一次,15笔,6,每天多次,25笔,抽样,检查方法（续）,抽样数量,非财务报告点抽样数量一般为3个（少于3个的选用整体抽样）；,财务报告点抽样数量在“,财务报告抽样记录表,”中已经根据业务发生频率列出“应抽取的样本量”，除非实际业务量不足，否则不得减少“应抽取的样本量”；,特别说明:抽取样本数量不限于上述“应抽取的样本量”，如果检查人员认为抽样数量不足以证明内控执行有效，可以根据需要增加样本量。,抽样,检查方法（续）,抽样方法,1）整体抽样,2）随机抽样,3）等距抽样,4）指定抽样,（3）ERP控制点检查：,权限检查,截图使用,1） ERP控制点权限检查：,权限检查,业务流程权限检查清单,直接查询是否存在不符合规定的内容,如按照控制点要求，查询是否存在未清订单、人为删除交货单等情况，直接在系统中先筛选是否存在未维护信用的客户等。,2）参照,截图,检查ERP控制点,分散服务器的企业,编制ERP控制点检查标准，检查配置与执行。,集中服务器的企业,未有效执行，扣减被检查单位分数,7、填写工作底稿及记录,7套表格,内部控制检查评价汇总表,企业内控环境评价表,企业自查评价表,内控流程检查工作底稿（含财务报告抽样记录表）,研究院内控流程检查工作底稿,内部控制缺陷认定汇总表,内控工作意见和建议表,8、撰写现场检查报告及讲评,检查评价整体情况,企业内控环境评价,企业自查情况评价,内控流程评价,内控缺陷认定（深刻分析）,整改意见和管理建议,所有检查底稿、记录及报告由被查单位责任人确认,9、检查评价资料及报告,检查小组组长或副组长必须复核所有检查表格、工作底稿和内控缺陷认定。,有效执行的控制点不需复印资料，但未执行控制点及内控缺陷需要提供相关资料佐证。,所有检查资料按规定编号，依顺序整理、装订。,现场检查报告及各种检查资料（含电子版）交内控办公室。,（四）跟踪整改,由内控办公室统一组织,汇总各企业、总部现场检查结果,分配总部各责任部门督促整改，核实整改结果,根据最终整改结果考核各企业、部门,（五）汇报检查结果及修订完善,向内控领导小组汇报,与外部审计师沟通,向董事会及其审计委员会汇报,按照外部监管政策变化和管理层要求修订完善,（六）对外披露内控自我评价,编制中国石化内控自我评价报告,根据境内外不同监管要求披露内控自我评价,外审内控评价分析,年度,2006,2007,2008,内控手册控制点,998,1149,1179,检查企业数量,21,34,32,非披露缺陷,243,74,26,趋势=/（*可比系数）,11.57,1.89,0.69,外部审计师历年内控评价,企业自我评价分析,年度,2006,2007,2008,内控手册控制点,998,1149,1179,检查企业数量,79,82,40,未执行控制点,1189,1002,580,趋势=/（*可比系数）,15.05,10.61,12.27,中国石化历年内控评价,