搜索
内部控制案例-A公司76•A公司简介¾成立于1999年11月5日¾主要业务包括原油和天然气的勘探与、开发、生产和销售;原油和石油产品的炼制、运输、储存和销售;基本石油化工产品、衍生化工产品及其他化工产品的生产和销售;天然气、原油和成品油的输送及天然气的销售¾美国存托股份及H股于2000年4月6日及4月7日分别在纽约证券交易所有限公司及香港联合交易所有限公司挂牌上市,2007年11月5日在上海证券交易所挂牌上市。¾按照萨班斯法案的要求,A公司需要在2006年年报中披露内控自评估报告和内控审计报告。内部控制案例-A公司(续)77•内控组织架构¾2003年,成立“内控项目建设委员会”,总裁任主任,财务总监任副总任,各部门领导担任成员¾委员会下设内控项目组,由财务部牵头¾聘请了咨询机构协助¾2007年8月成立内控与风险管理部,专门负责内控及风险管理工作¾各地区公司建立内控与风险管理委员会,明确内控主管部门,设置专职岗位¾目前全公司专职从事内控与风险管理工作的专职人员达到400余人。内部控制案例-A公司(续)•内控建设历程内控初步建设期内控体系稳定期内控拓展期内控建设阶段主要工作内容•设立内控建设组织架构•举办培训•界定内控建设的范围•记录现有内控•与内控要求对标•改进现有问题•发布内控手册•内控体系运行•内控执行情况检查•管理层测试与自评估•内控审计•内控体系运行与维护•建立内部控制评价机制•探索非财务报告内部控制体系建设•向全面风险管理拓展112233782003年2005年2007年内部控制案例-A公司(续)79•目前内控现状¾编制完成股份公司内部控制管理手册(2010版)¾各地区公司编制完成适用于本公司的内部控制管理手册¾发布了“内部控制运行评价管理办法”,将内控的运行有效性纳入绩效考核¾自2006年起连续四年通过了萨班斯法案要求的内部控制审计¾连续四年在H股公告中披露内控信息¾自2008年起,连续两年公布了内部控制的自我评估报告及其审计师出具的内部控制审核报告¾自评估报告界定的内部控制为财务报告内部控制内部控制案例-B公司80•B公司的母公司:¾中国昀大的海上石油及天然气生产商¾全球昀大的独立油气勘探及生产集团之一¾主要业务为勘探、开发、生产及销售石油和天然气¾拥有原油勘探、开发、生产及石油衍生产品生产及销售、相关的贸易、建设、服务等完整产业链上的近三十家子公司¾子公司中B公司同时在美国和香港上市,另一家股份有限公司在香港上市,再一家股份有限公司在香港和国内A股上市,还一家股份有限公司在国内A股上市。内部控制案例-B公司(续)81•B公:¾2001年2月,在香港联合交易所和纽约证券交易所上市¾2001年7月,B公司股票入选恒生指数成份股。¾在中国海上拥有四个主要产油地区:渤海湾、南海西部、南海东部和东海。¾是印度尼西亚昀大的海上原油生产商之一,还在尼日利亚、澳大利亚和其他国家拥有石油产业上游资产¾奖项包括2009年获选《亚洲公司管治》“亚洲昀佳企业管治大奖”昀佳中国公司、“香港公司管治卓越奖”昀佳恒指主板类公司。内部控制案例-B公司(续)82•内控组织架构:¾2003年成立了专项工作小组¾由法规主任和总会计师组织¾工作层面由财务部牵头,自各职能和业务部门、各分公司抽调了三十余名业务骨干¾聘请了咨询机构进行技术指导内部控制案例-B公司(续)83•内控建设历程-为满足萨班斯法案的要求(截止2006年):¾专项工作小组集中办公¾以财务报表为出发点,向前梳理为财务报表提供数据和信息的相关业务流程¾按照流程将相关制度贯穿起来¾修订涉及到的制度¾编制了内部控制相关的文档,包括流程描述、流程图及控制矩阵¾定位在财务报告内部控制¾2006年顺利通过萨班斯法案要求的内部控制审计。内部控制案例-B公司(续)84•内控建设历程-满足了萨班斯法案要求(2007年后):¾“后404”阶段工作目标:以SOX404为契机,建立一套与公司战略目标相配套、适用公司实际的内控及风险管理体系¾具体的工作思路:奠定内控基础,建立长效运行机制,启动全面风险管理。¾组织架构-治理层,明确了董事会的责任管理层,成立了“投资与风险管理委员会”工作层,由财务部内控及风险管理处负责协调内部控制工作各职能和业务部门及分公司设立内控岗位¾通过财务管理部向CFO汇报,同时直接向法规主任汇报。¾通过对现有制度和流程的梳理进行¾任何一项修订,都要内控处、管理层和执行者均同意方能确定下来¾制度一旦确定,就必须执行内部控制案例-B公司(续)85•内控建设现状:¾实现两个转变9将财务报告内部控制扩展为全面内部控制,修订的制度涉及全部业务流程9将B公司的内控工作经验和工具在其母公司及母公司的其他子公司中推广¾持续跟踪监管动态和风险变化¾与监管要求对标¾内控实施成效:无重大投资决策失误、无重大安全事故、无重大违法违纪内部控制案例-C公司86•C公司:¾主业1997年在香港和美国上市¾2000年成立中国移动集团¾2004年整体上市¾须于2006年满足萨班斯法案的要求¾内控体系建设于2005年6月开始启动¾2006年通过内部控制审计内部控制案例-C公司(续)87•内控组织架构:¾三个层次-总部、省公司和地市级公司分级负责¾财务部-内控管理职能部门¾内审部-内控工作检查部门¾全员参与-各业务部门设内控联系人¾引入咨询机构参与内部控制案例-C公司(续)88•内控建设的历程:•内控的特点:¾责任到人¾系统支撑总体计划总体计划流程记录自查修补流程记录自查修补日常执行管理层测试日常执行管理层测试外部审计外部审计对外披露对外披露绩效考核绩效考核内部控制案例-C公司(续)89•内控的现状:¾固化的内控工作机构¾制定了内控手册及维护办法¾印发了指导内控自评估工作的测试手册¾制定了内控工作的绩效考核办法¾修订了相关制度经验总结-构建内部控制体系的一般思路90内控梳理对标内控整改固化内控自评制定监督制度跟踪缺陷整改开展自我评价编制自评报告记录内控缺陷设计整改方案完善内控制度更新内控文件成立专属部门确定梳理范围实施风险评估整理现有制度辨识内控环节对标管理规范内控审计进行模拟审计提供所需证据出具管理声明披露审计报告信息化建设内控与风险管理工作持续开展91成立专属部门确定梳理范围实施风险评估整理现有制度辨识内控环节对标管理规范内控梳理对标内控整改固化内控自评内控审计内控梳理对标董事会负责组织协调内控的建立实施及日常工作对内控体系运行进行内部独立检查;向董事会报告监督检查中发现的内控重要和重大缺陷监督内控的有效实施和内控自我评价情况审计委员会审计委员会其他专业委员会其他专业委员会内部独立监督日常监督经验总结-构建内部控制体系的一般思路(续)负责内控建立健全,有效实施,和自评经理层业务运营部门内审或内控自评部门92风险和内控相关技术能力专业背景工作经验和谐沟通能力学习创新能力风险内控专业人员项目管理能力团队合作精神经验总结-构建内部控制体系的一般思路(续)内控相关工作人员的素质要求成立专属部门确定梳理范围实施风险评估整理现有制度辨识内控环节对标管理规范内控梳理对标内控梳理对标内控整改固化内控评价内控审计93从内部控制五要素出发梳理企业内控,关注重要业务事项和高风险领域:变革管理反舞弊机制专项监督外部信息收集与沟通风险应对风险分析风险识别内部审计机制人力资源政策企业文化与道德规范内部环境控制活动治理结构、内部机构设置与职责分配目标设定内部信息收集与沟通日常监督人力资源合同财务报告存货销售资金采购工程项目担保信息系统固定资产风险评估信息与沟通内部监督…….经验总结-构建内部控制体系的一般思路(续)成立专属部门确定梳理范围实施风险评估整理现有制度辨识内控环节对标管理规范内控梳理对标风险识别与评估的依据:•梳理出的重要业务领域中可能存在的风险•有条件的企业应当执行全面风险评估,从而使内控合规和全面风险管理有机结合•可运用适当的风险识别工具,逐步细化风险点和管理手段•充分运用风险管理工具,强化风险管理,提升经营水平,并为内控体系建设和内控评价奠定良好基础内控梳理对标内控整改固化内控评价内控审计94经验总结-构建内部控制体系的一般思路(续)成立专属部门确定梳理范围实施风险评估整理现有制度辨识内控环节对标管理规范内控梳理对标绘制企业风险地图内控梳理对标内控整改固化内控评价内控审计95经验总结-构建内部控制体系的一般思路(续)96成立专属部门确定梳理范围实施风险评估整理现有制度辨识内控环节对标管理规范内控梳理对标依托昀佳实践和控制数据库进行对标梳理相关法定要求访谈内容企业现有制度内控梳理对标内控整改固化内控自评内控审计经验总结-构建内部控制体系的一般思路(续)业内昀佳实践内控梳理对标控制活动编写的原则:4W+1H•WHO:哪个岗位执行控制活动•WHEN:该控制活动发生的时间或频率•WHERE:该控制活动发生的地点•WHAT:根据什么进行控制-如制度、单据、报告、电子邮件、系统数据等•HOW:控制活动的具体内容是如何?如何操作?内控梳理对标内控整改固化内控评价内控审计成立专属部门确定梳理范围确定梳理范围整理现有制度辨识内控环节对标管理规范97经验总结-构建内部控制体系的一般思路(续)记录内控缺陷设计整改方案完善内控制度更新内控文件内控整改固化•建立内部控制缺陷认定汇总表•记录内部控制缺陷成因、表现形式和影响程度•以控制目标为核心,打破部门和流程局限,设计适合企业运营特点的整改方案•明确整改责任部门与责任人•明确整改完成期限•追踪整改进度•保留整改证据内控梳理对标内控整改固化内控评价内控审计98经验总结-构建内部控制体系的一般思路(续)记录内控缺陷设计整改方案完善内控制度更新内控文件内控整改固化内部控制手册、业务流程图与流程文件内控梳理对标内控整改固化内控评价内控审计99经验总结-构建内部控制体系的一般思路(续)记录内控缺陷设计整改方案完善内控制度更新内控文件内控整改固化管理制度更新•版式、内容更新:⁻制度中规定的内容切合现行业务现状以及管控现状,实质内容不需更新,但是需要依据公司管理层的要求对行文或格式进行调整;⁻制度中规定的相关内容已经不适用于公司运作现状,需要对相关内容进行调整更新,调整更新的方式包括:重新编写部分内容,对某些制度中的相关内容按照实际情况,进行删减、合并或者替换等;•制度新增:公司无此制度,建议新增的制度•名称更新:根据管理制度覆盖面,内容和细致度等进行分层级划分,统一制度名称。如划分为准则或规则、制度、管理办法、细则或程序、及其他等。内控梳理对标内控整改固化内控评价内控审计100经验总结-构建内部控制体系的一般思路(续)记录内控缺陷设计整改方案完善内控制度更新内控文件内控整改固化内控活动与制度对接内控梳理对标内控整改固化内控评价内控审计101经验总结-构建内部控制体系的一般思路(续)102制定监督制度开展自我评价跟踪缺陷整改编制自评报告内控自评制定监督制度、明确监督活动监督主体工作内容政府、外部审计师等公司内部审计监督各业务系统日常监督•内控鉴证•监管检查•专项内部控制评价•内部控制缺陷整改跟踪按内部控制制度自我监督内控梳理对标内控整改固化内控自评内控审计经验总结-构建内部控制体系的一般思路(续)103内控梳理对标内控整改固化内控自评内控审计内审部/评价部门评价工作组评估工作组负责人执行评价评估控制执行/设计的有效性明确具体工作任务复核评价工作底稿综合分析控制缺陷人员组织计划进度安排计划费用预算是否签字确认评价底稿是否BEnd内控有效?批准?明确评价范围A与评价工作组讨论并重新评价进入整改流程填写评价工作底稿编制内控缺陷认定汇总表控制缺陷类别认定形成认定意见并起草内控评价报告董事会重大缺陷最终认定审阅批准内部控制评价报告内审部/评价部门评价工作方案经董事会或其授权机构审批制定监督制度开展自我评价跟踪缺陷整改编制自评报告内控自评经验总结-构建内部控制体系的一般思路(续)ABCC104内控梳理对标内控整改固化内控自评内控审计各业务、职能部门评价工作组执行评价评估控制设计/执行有效性落实整改措施自查整改完成情况是否