1企业内部控制及评价中国石化内控办公室方春生2009-11-132内容提要一、内部控制及评价的发展二、企业内部控制体系简介三、企业内部控制评价实例2009-11-133内容提要一、内部控制及评价的发展2009-11-134内部控制的演进内部牵制(1940年代以前):帐目相互核对,不相容岗位分离内部控制制度(1940-1970年代):内部会计控制、内部管理控制内部控制结构(1988):控制环境、会计制度和控制程序内部控制整体框架(COSO,1992):五要素企业风险管理框架(COSO,2004):八要素2009-11-135企业内部控制整体框架内部控制是由公司董事会、管理层及其全体员工实施的,为经营活动的效率和效果、财务报告的可靠性、相关法律法规的遵循性等目标的实现而提供合理保证的过程。COSO扩充三个要素,2004年9月推出:“企业风险管理整体架构”控制环境风险评估控制活动信息与沟通监控COSO报告:内部控制–综合性框架2009-11-136COSO企业风险管理整体框架运营公司层面分支机构战略报告遵循分、子公司业务板块监控信息与沟通控制活动风险应对风险分析风险识别目标设定内部环境企业风险管理整体框架(ERM)2009-11-1371985年,美国注册会计师协会、美国会计学会等机构共同资助设立了全国舞弊性财务报告委员会,即Treadway委员会,其研究的主要问题之一就是舞弊性财务报告产生的原因,其中包括内部控制不健全问题。基于Treadway委员会的建议,这些资助机构后来又设立了专门研究内部控制的COSO委员会。1992年,COSO委员会发布《内部控制整体框架》(1994年进行了修订)。2004年9月,COSO委员会发布了《企业风险管理(ERM)整体框架》,在内部控制的基础上提出了新的概念“企业风险管理”。COSO委员会2009-11-138内部控制与内部审计内部审计是企业内部控制的重要组成部分1986年4月最高审计机关国际组织发表《总声明》:“内部控制作为完整的财务和其他控制体系,包括组织结构、方法程序和内部审计。”1992年美国C0S0报告提出,内部控制包括控制环境、控制活动、信息和沟通及监督五个因素。其中“监督”因素也包括内部审计。我国将要实施的“企业内部控制基本规范”,其中内部环境包括了内部审计(第五条、第十五条)。2009-11-139内控评价伴随审计发展内部控制评价是现代审计的基础内部控制经历不同的发展阶段,内部控制概念逐步扩展,推进审计方法的变革。无论账项基础审计、制度基础审计,还是在风险基础审计中,内控评价都是审计工作不可或缺的组成部分。现代审计能够通过对内部控制测试和评价,确定进一步审计的方向,提高审计工作效率,降低审计成本和审计风险。2009-11-1310内控评价在审计中的应用外审:侧重于把内控评价作为一种审计方式,其目的是在了解、测试与会计报表相关的内部控制的基础上评估其控制风险,再根据控制风险评估结果修订审计计划和确定实质性测试的性质、时间和范围,进而对会计报表发表意见。内审:侧重于把内控评价作为一项审计内容。也可以根据审计的目的,把内控评价作为一种审计方式。根据评价主体的不同,内控评价可分为注册会计师执行的内控评价和内部审计人员执行的内控自我评价。2009-11-1311一般内控测试与评价健全性测试和评价符合性测试和评价综合评价企业内部控制测试和评价2009-11-1312内部控制审计程序调查了解企业内部控制符合性测试综合评价被审企业内部控制确定审计范围、重点和方法实质性审计审计报告评价企业内部控制的健全性不健全无效有效企业内部控制测试评价审计及报告健全2009-11-1313中国内部控制评价指引内部控制审核指导意见(2002年2月)内部审计具体准则第5号——内部控制审计(2003年6月)内部审计具体准则第16号——风险管理审计(2005年5月)2009-11-1314美国内部控制评价指引PCAOB发布第2号审计准则(2004年3月)PCAOB发布第5号审计准则(2007年6月)SEC发布解释性公告,为管理层提供内控报告指引(2007年6月)2009-11-1315企业内部控制评价指引评价指引(5章26条):总则、内部控制评价的内容、内部控制评价的程序、内部控制缺陷的认定、内部控制评价报告。企业内部控制评价表:按照内部控制五个要素,分别填写评价内容、业务描述、评价结论(有效性/缺陷)、评价记录。企业内部控制评价报告——附注:董事会声明、内部控制评价工作的总体情况、内部控制评价的依据、内部控制评价的范围、内部控制评价的程序和方法、内部控制缺陷及其认定、内部控制缺陷的整改情况、内部控制有效性的结论。2009-11-1316企业内部控制审计指引审计指引(7章36条):总则、计划审计工作、实施审计工作、完成审计工作、评价控制缺陷、出具审计报告、记录审计工作。标准内控审计报告:一、企业对内控的责任;二、注册会计师的责任;三、内控的固有局限性;四、财务报告内控审计意见;五、非财务报告内控的重大缺陷。带强调事项段的无保留意见内控审计报告:增“强调事项”。否定意见内控审计报告:除“一至三”外,增“导致否定意见的事项”、“财务报告内控审计意见”、“非财务报告内控的重大缺陷”。无法表示意见内控审计报告:除“一、二”外,增“导致无法表示意见的事项”、“财务报告内控审计意见”、“识别的及非财务报告内控的重大缺陷”。2009-11-1317内部控制审计调查表举例企业基本情况货币资金投资业务采购业务销售业务会计政策会计电算化2关联交易控制环境筹资业务固定资产存货管理会计系统会计电算化1会计电算化3企业内控审计调查(15)2009-11-1318内容提要二、企业内部控制体系简介2009-11-1319中国石油化工股份有限公司中国石油化工股份有限公司(简称“中国石化”)是中国最大的石油产品和主要石化产品生产商和供应商,中国第二大原油生产商,世界第三大炼油公司,拥有比较完备销售网络,境内外(上海、香港、纽约、伦敦)四地上市的股份制企业。2009年集团公司列世界500强第9位。中国石化现有全资子公司、控股和参股子公司、分公司等共90余家,包括油气勘探开发、炼油、化工、产品销售以及科研、外贸等,经营资产和主要市场集中在中国的东部、南部和中部地区。2009-11-1320股东大会董事会股份公司总裁班子炼、化分(子)公司监事会董事会秘书局战略委员会审计委员会薪酬与考核委员会化工事业部油田勘探开发事业部油品销售事业部炼油事业部机关职能部门总裁办公室法律事务部发展计划部生产经营管理部财务部科技开发部人事部安全环保部外事部工程部物资装备部信息系统管理部审计部监察部油田分(子)公司销售分(子)公司专业公司研发单位炼油部分化工部分中国石化组织结构2009-11-1321中国石化内部控制的定位美国《萨班斯-奥克斯利法案》(2002)香港联交所《企业管治常规守则》(2006)上海证交所《上市公司内部控制指引》(2006)国资委《中央企业全面风险管理指引》(2006)五部委发布《企业内部控制基本规范》(2008)财务、管理信息真实可靠;保障资产安全完整;规范经营行为,提高风险管理水平;促进健全制度化管理体系;完善法人治理结构。法律法规要求企业自身需要2009-11-1322中国石化内控制度体系内部控制度体系中国石化《内部控制手册》(上、下册)内部控制相关的管理制度(上、中、下册)分公司《实施细则》子公司《内控手册》《研究院内部控制手册》2009-11-1323《内部控制手册》2009-11-1324《内部控制手册》的结构内部控制基本要求按业务分类控制的具体程序和措施财务报告计划矩阵和业务控制矩阵相关重要附件内部控制手册的结构总则业务流程控制矩阵附则权限指引检查评价不同管理层次、级别的权限规定内控检查评价与考核2009-11-1325内控手册-总则•目的和意义、定义、原则、适用范围•内部环境•风险评估•控制活动•信息与沟通•内部监督•《内部控制手册》结构、生效、更新总则包括七个方面2009-11-1326内部控制:由董事会、监事会、管理层和全体员工实施的、为经营管理合规合法、资产安全、财务报告及相关信息的可靠性,经营活动的效率和效果、发展战略的实现提供合理保证的过程。五要素:内部环境、风险评估、控制活动、信息与沟通、内部监督。内控手册-总则(一)内部控制定义、原则、适用范围2009-11-1327内控手册-总则(一)内部控制定义、原则、适用范围(续)•合规性原则•全面性与系统性原则•重要性原则•内部牵制及不相容原则•适应性原则•包容性原则•成本效益原则2009-11-1328内控手册-总则合规性原则企业内控制度必须符合国家的法律、法规和政策;符合股份公司上市地(上海、香港、纽约、伦敦)证券监管机构有关上市公司的法律、法规和要求。2009-11-1329内控手册-总则包容性原则《内部控制手册》是依据内控框架,充分吸收中国石化现行各项管理制度中控制风险的内容而系统编制,内容涵盖公司治理、经营管理、业务操作等不同层次。《内部控制手册》力求避免与其他制度相矛盾,尽可能包容不同企业现有的内部控制要求;对确实脱离实际的各项内部管理制度,应及时修改、完善,并以《内部控制手册》规定为准。2009-11-1330内控手册-总则•总部、分公司和全资子公司分公司和全资子公司按照更严、更具体、更全面的原则,结合实际制定“实施细则”,总部一般不审批。•控股子公司参照制定手册按照“业务覆盖、权限比照分公司”的原则制定,履行本公司董事会审批程序。更具针对性满足体制需要(一)内部控制定义、原则、适用范围(续)2009-11-1331内控手册-总则(二)内部环境企业文化:设企业文化部,编制中石化文化建设纲要整合企业文化;员工守则:守法纪、讲诚信;治理结构:明确董事会及其审计委员会、监事会、总裁班子内控职责;组织机构:集体决定与调整机构,委派子公司股东代表、董事、监事;总部内控机构及企业内控机构责任分配与授权:明确岗位分离,授权管理;人力资源政策:激励与约束相结合;反舞弊机制:建立举报投诉制度和举报人保护制度并公开;内部审计:两级审计机构,审计部门的内控职责。2009-11-1332内控手册-总则总部内部控制组织机构财务部法律事务部部审计部……股份公司内部控制领导小组组长:总裁信息系统管理部内控办公室人事部2009-11-1333内控手册-总则分子公司内部控制组织机构企业内部控制领导小组组长:分公司总经理财务处企管处法律事务处审计处……内控办公室人事处信息处2009-11-1334内控手册-总则(三)风险评估根据目标,各部门归口收集信息,确定风险承受度;内部风险:高管人员、体制机制、技术创新、财务状况、安全环保等;外部风险:经济市场政策、法律、社会、科技、自然环境等;风险评估机制:各部门针对责任内控流程,总部、企业针对系统风险。2009-11-1335内控手册-总则(四)控制活动根据风险评估结果,采用相应控制措施,将风险控制在可承受度之内;控制措施:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、计划控制、预算控制、合同管理控制、资金支付控制、信息技术控制、运营分析控制和绩效考评控制等;综合运用控制措施:手工控制与自动控制、预防性控制与发现性控制相结合;建立重大风险预警机制和突发事件应急处理机制。通过编制业务流程具体控制:18大类、59个流程。2009-11-1336内控手册-总则(五)信息与沟通信息资源归口管理,不断完善信息搜集机制;信息系统集中管理,完善系统沟通平台;对外信息披露由总裁办审核、提供;分级、分类,重要信息及时传递董事会、监事会和总裁班子。2009-11-1337内控手册-总则(六)内部监督日常监督:建立两级内部控制监督检查机制,持续性监督;专项监督:针对内部控制某一或某些方面的监督检查;管理层每年评价,出具内部控制自我评价报告。2009-11-