《中石化内控手册(专业版)》由会员分享,可在线阅读,更多相关《中石化内控手册(专业版)(124页珍藏版)》请在金锄头文库上搜索。
1、1,企业内部控制及评价,中国石化内控办公室 方春生,2,内容提要,一、内部控制及评价的发展 二、企业内部控制体系简介 三、企业内部控制评价实例,3,内容提要,一、内部控制及评价的发展,4,内部控制的演进,内部牵制(1940年代以前):帐目相互核对,不相容岗位分离 内部控制制度(1940-1970年代):内部会计控制、内部管理控制 内部控制结构(1988):控制环境、会计制度和控制程序 内部控制整体框架(COSO,1992):五要素 企业风险管理框架(COSO,2004):八要素,5,企业内部控制整体框架,内部控制是由公司董事会、管理层及其全体员工实施的,为经营活动的效率和效果、财务报告的可靠性
2、、相关法律法规的遵循性等目标的实现而提供合理保证的过程。,COSO 扩充三个要素, 2004年9月推出: “企业风险管理整体架构”,控制环境,风险评估,控制活动,信息与沟通,监控,COSO报告:内部控制综合性框架,6,COSO企业风险管理整体框架,运营,公司层面,分支机构,战略,报告,遵循,分、子公司,业务板块,监控,信息与沟通,控制活动,风险应对,风险分析,风险识别,目标设定,内部环境,企业风险管理整体框架,(ERM),7,1985年,美国注册会计师协会、美国会计学会等机构共同资助设立了全国舞弊性财务报告委员会,即Treadway委员会,其研究的主要问题之一就是舞弊性财务报告产生的原因,其中
3、包括内部控制不健全问题。基于Treadway委员会的建议,这些资助机构后来又设立了专门研究内部控制的COSO委员会。1992年,COSO委员会发布内部控制整体框架(1994年进行了修订) 。 2004年9月,COSO委员会发布了企业风险管理(ERM)整体框架,在内部控制的基础上提出了新的概念“企业风险管理” 。,COSO委员会,8,内部控制与内部审计,内部审计是企业内部控制的重要组成部分,1986年4月最高审计机关国际组织发表总声明:“内部控制作为完整的财务和其他控制体系,包括组织结构、方法程序和内部审计。” 1992年美国C0S0报告提出,内部控制包括控制环境、控制活动、信息和沟通及监督五个
4、因素。其中“监督”因素也包括内部审计。 我国将要实施的“企业内部控制基本规范”,其中内部环境包括了内部审计(第五条、第十五条)。,9,内控评价伴随审计发展,内部控制评价是现代审计的基础,内部控制经历不同的发展阶段,内部控制概念逐步扩展,推进审计方法的变革。无论账项基础审计、制度基础审计,还是在风险基础审计中,内控评价都是审计工作不可或缺的组成部分。 现代审计能够通过对内部控制测试和评价,确定进一步审计的方向,提高审计工作效率,降低审计成本和审计风险。,10,内控评价在审计中的应用,外审:侧重于把内控评价作为一种审计方式,其目的是在了解、测试与会计报表相关的内部控制的基础上评估其控制风险,再根据
5、控制风险评估结果修订审计计划和确定实质性测试的性质、时间和范围,进而对会计报表发表意见。 内审:侧重于把内控评价作为一项审计内容。也可以根据审计的目的,把内控评价作为一种审计方式。,根据评价主体的不同,内控评价可分为注册会计师执行的内控评价和内部审计人员执行的内控自我评价。,11,一般内控测试与评价,健全性测试和评价,符合性测试和评价,综合评价,企业内部控制测试和评价,12,内部控制审计程序,调查了解企业内部控制,符合性测试,综合评价被审企业内部控制,确定审计范围、重点和方法,实质性审计,审计报告,评价企业内部控制的健全性,不健全,无效,有效,健全,13,中国内部控制评价指引,内部控制审核指导
6、意见(2002年2月) 内部审计具体准则第5号内部控制审计(2003年6月) 内部审计具体准则第16号风险管理审计(2005年5月),14,美国内部控制评价指引,PCAOB发布第2号审计准则(2004年3月) PCAOB发布第5号审计准则(2007年6月) SEC发布解释性公告,为管理层提供内控报告指引( 2007年6月),15,企业内部控制评价指引,评价指引(5章26条):总则、内部控制评价的内容、内部控制评价的程序、内部控制缺陷的认定、内部控制评价报告 。 企业内部控制评价表:按照内部控制五个要素,分别填写评价内容、业务描述、评价结论(有效性/缺陷)、评价记录。 企业内部控制评价报告附注:
7、董事会声明、内部控制评价工作的总体情况、内部控制评价的依据、内部控制评价的范围、内部控制评价的程序和方法、内部控制缺陷及其认定、内部控制缺陷的整改情况、内部控制有效性的结论 。,16,企业内部控制审计指引,审计指引(7章36条):总则、计划审计工作、实施审计工作、完成审计工作、评价控制缺陷、出具审计报告、记录审计工作。 标准内控审计报告:一、企业对内控的责任;二、注册会计师的责任;三、内控的固有局限性;四、财务报告内控审计意见;五、非财务报告内控的重大缺陷。 带强调事项段的无保留意见内控审计报告:增“强调事项”。 否定意见内控审计报告:除“一至三”外,增“导致否定意见的事项”、“财务报告内控审
8、计意见”、“非财务报告内控的重大缺陷”。 无法表示意见内控审计报告:除“一、二”外,增“导致无法表示意见的事项”、“财务报告内控审计意见”、“识别的及非财务报告内控的重大缺陷”。,17,内部控制审计调查表举例,企业基本情况,货币资金,投资业务,采购业务,销售业务,会计政策,会计电算化2,关联交易,控制环境,筹资业务,固定资产,存货管理,会计系统,会计电算化1,会计电算化3,企业 内控 审计 调查 (15),18,内容提要,二、企业内部控制体系简介,19,中国石油化工股份有限公司,中国石油化工股份有限公司(简称“中国石化”)是中国最大的石油产品和主要石化产品生产商和供应商,中国第二大原油生产商,
9、世界第三大炼油公司,拥有比较完备销售网络,境内外(上海、香港、纽约、伦敦)四地上市的股份制企业。 2009年集团公司列世界500强第9位。 中国石化现有全资子公司、控股和参股子公司、分公司等共90余家,包括油气勘探开发、炼油、化工、产品销售以及科研、外贸等,经营资产和主要市场集中在中国的东部、南部和中部地区。,20,中国石化组织结构,21,中国石化内部控制的定位,美国萨班斯-奥克斯利法案(2002) 香港联交所企业管治常规守则(2006) 上海证交所上市公司内部控制指引(2006) 国资委中央企业全面风险管理指引(2006) 五部委发布企业内部控制基本规范(2008),财务、管理信息真实可靠;
10、 保障资产安全完整; 规范经营行为,提高风险管理水平; 促进健全制度化管理体系; 完善法人治理结构。,法律法规要求,企业自身需要,22,中国石化内控制度体系,内部控制度体系,23,内部控制手册,24,内部控制手册的结构,内部控制基本要求,按业务分类控制的具体程序和措施,财务报告计划矩阵和业务控制矩阵,相关重要附件,不同管理层次、级别的权限规定,内控检查评价与考核,25,内控手册总则,目的和意义、定义、原则、适用范围 内部环境 风险评估 控制活动 信息与沟通 内部监督 内部控制手册结构、生效、更新,总则包括七个方面,26,内部控制:由董事会、监事会、管理层和全体员工实施的、为经营管理合规合法、资
11、产安全、财务报告及相关信息的可靠性,经营活动的效率和效果、发展战略的实现提供合理保证的过程。 五要素:内部环境、风险评估、控制活动、信息与沟通、内部监督。,内控手册总则,(一)内部控制定义、原则、适用范围,27,内控手册总则,(一)内部控制定义、原则、适用范围(续),合规性原则 全面性与系统性原则 重要性原则 内部牵制及不相容原则 适应性原则 包容性原则 成本效益原则,28,内控手册总则,合规性原则,企业内控制度必须符合国家的法律、法规和政策;符合股份公司上市地(上海、香港、纽约、伦敦)证券监管机构有关上市公司的法律、法规和要求。,29,内控手册总则,内部控制手册是依据内控框架,充分吸收中国石
12、化现行各项管理制度中控制风险的内容而系统编制,内容涵盖公司治理、经营管理、业务操作等不同层次。 内部控制手册力求避免与其他制度相矛盾,尽可能包容不同企业现有的内部控制要求;对确实脱离实际的各项内部管理制度,应及时修改、完善,并以内部控制手册规定为准。,30,内控手册总则,(一)内部控制定义、原则、适用范围(续),31,内控手册总则,(二)内部环境,企业文化:设企业文化部,编制中石化文化建设纲要整合企业文化 ; 员工守则:守法纪、讲诚信; 治理结构:明确董事会及其审计委员会、监事会、总裁班子内控职责; 组织机构:集体决定与调整机构,委派子公司股东代表、董事、监事; 总部内控机构及企业内控机构 责
13、任分配与授权:明确岗位分离,授权管理; 人力资源政策:激励与约束相结合; 反舞弊机制:建立举报投诉制度和举报人保护制度并公开; 内部审计:两级审计机构,审计部门的内控职责。,32,内控手册总则,总部内部控制组织机构,财务部,法律事务部部,审计部,股份公司内部控制领导小组,组长:总裁,信息系统管理部,内控办公室,人事部,33,内控手册总则,分子公司内部控制组织机构,企业内部控制领导小组,组长:分公司总经理,财务处,企管处,法律事务处,审计处,内控办公室,人事处,信息处,34,内控手册总则,(三)风险评估,根据目标,各部门归口收集信息,确定风险承受度; 内部风险:高管人员、体制机制、技术创新、财务
14、状况、安全环保等; 外部风险:经济市场政策、法律、社会、科技、自然环境等; 风险评估机制:各部门针对责任内控流程,总部、企业针对系统风险。,35,内控手册总则,(四)控制活动,根据风险评估结果,采用相应控制措施,将风险控制在可承受度之内; 控制措施:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、计划控制、预算控制、合同管理控制、资金支付控制、信息技术控制、运营分析控制和绩效考评控制等; 综合运用控制措施:手工控制与自动控制、预防性控制与发现性控制相结合;建立重大风险预警机制和突发事件应急处理机制。 通过编制业务流程具体控制 :18大类、59个流程。,36,内控手册总则,(五)信
15、息与沟通,信息资源归口管理,不断完善信息搜集机制; 信息系统集中管理,完善系统沟通平台; 对外信息披露由总裁办审核、提供; 分级、分类,重要信息及时传递董事会、监事会和总裁班子。,37,内控手册总则,(六)内部监督,日常监督:建立两级内部控制监督检查机制,持续性监督; 专项监督:针对内部控制某一或某些方面的监督检查; 管理层每年评价,出具内部控制自我评价报告。,38,内控手册总则,(七) 内部控制手册结构、生效、更新,结构六个部分 生效董事会审批 更新每年一次,39,内控手册控制流程,40,内控手册控制流程,采购类控制流程,销售类控制流程,41,内控手册控制流程,一般物资采购业务流程,42,内控手册控制流程,一般物资采购业务流程(续),(三)业务流程步骤与控制点,物资供应职责的界定,物资计划编制与审核,采购渠道确定与控制,采购价格确定与控制,框架协议和采购合同签订与审批,供应过程控制,绩效评价、考核与监督,采购资金使用和控制,43,内控手册控制流程,一般物资采购业务流程控制点举例: 1.5 物资供应部门内部实行计划、采购、质检、合同审核、申请付款等环节相互监督的分段管理模式。【ERP】各分(子)公司物资供应部门在ERP系统中设计计划、采购等岗位的权限时,应遵从内部牵制及不相容原则。 5.3 【ERP】
