内控知识讲座

内控知识讲座内部控制管理办公室二○○七年八月主要内容一、内控知识简介二、内控业务流程三、测试整改介绍1、内控背景知识2、内控基础知识3、内控体系的五要素一、内控知识简介自2000年起，美国社会相继出现了安然、世通、施乐等一批会计丑闻事件，使得资本市场诚信危机震撼了美国及整个国际社会，为了提高民众对金融市场及政府经济政策的信心，美国总统布什于2002年7月30日签署了《萨班斯—奥克斯利法案》（简称萨奥法案）。1、内控背景知识该法案404条款对上市公司建立并保持有效的内部控制制度作出了明确的规定。法案要求在美国上市的外国公司要在2005年4月15日以后的财政年度向美国证监会（SEC）报备美国版年报时执行该条款，即在披露年报时要有内控体系建立并有效运行的证据。1、内控背景知识中国石油天然气股份有限公司是一家在美国及香港上市的国际性大型企业，作为境外上市公司，根据《萨—奥法案》要求，必须建立并保持有效的内部控制制度。同时，内控体系的建立也是为了进一步推动企业科学管理、规范管理和依法管理，通过强化相关部门的控制职责，实现对风险的有效控，进一步提升公司的管理水平。1、内控背景知识2003年12月，股份公司成立了内部控制项目组，以COSO框架为基础，补充完善现行规章制度，开展内部控制体系建设工作。2005年12月股份公司内部控制项目组正式改为内部控制部。2005年12月27日，股份公司召开内控工作视频会，总裁蒋洁敏签署《中国石油天然气股份有限公司内部控制管理手册》发布令，股份公司内部控制工作进入实施阶段。1、内控背景知识**油田作为中国石油的地区公司，必须按照股份公司的统一规定和要求开展内部控制体系建设。同时，通过内部控制体系，建立一套统一、完备、内容涵盖油田经营管理各个领域的内部控制体系。从而确保油田各项工作的统一、规范、有序运行；最大限度的减少、规避风险；保证资产的安全、完整、会计资料的真实、准确，进一步提高油田的经营管理水平。1、内控背景知识2004年4月油田内控体系建设工作启动，同年12月成立了内部控制委员会和内部控制管理办公室，在企管法规处下设了内控科负责油田内部控制体系的建设和实施工作。1、内控背景知识1、内控背景知识2006年2月编制完成了油田《内部控制管理手册》。2007年1、6月完成改版修订。1、内控背景知识2006年３月９日油田召开《内部控制管理手册》发布会，周总在会上宣读了《手册》发布令，标志着油田内部控制工作进入实施阶段。2006年8月油田顺利通过股份公司内控评价测试。1、内控背景知识2007年5月完成了三个控股公司能源公司、造价公司、设计公司的内控手册编制和信息化转换工作。目前正进行油建公司的内控手册编制工作。根据集团公司和股份公司重组整合并账要求，从2007年6月1日起，将“**石油勘探开发公司”所有单位的核算全部并入“中国石油天然气股份有限公司**油田分公司”账套中核算。至此，油区两公司实现完全合并，供应处所有业务也就纳入测试范围。1、内控背景知识一、内控知识简介1、内控背景知识2、内控基础知识3、内控体系的五要素2、内控基础知识（1）内部控制的定义（2）内部控制体系建设的内容（3）内部控制体系建设的意义2、内控基础知识（1）内部控制的定义内部控制是一个由企业董事会、管理层和其他员工实施的，为实现经营的效果和效率、财务报告的可靠性和遵守适用法律法规（即合法性）等各类目标，提供合理保证的过程。2、内控基础知识从内部控制的定义，我们可以看出：它由董事会、管理层和其他人员共同实施。它实现以下目标：经营的效果和效率财务报告的可靠性法律法规的遵从性它是一个过程。它提供合理保证。2、内控基础知识（2）内部控制体系建设的内容内部控制体系建设采用目前被国际社会广泛认可的COSO框架为基础，结合国内的相关法律法规，根据管理实际，从梳理主要业务流程出发，将公司各部门业务确定分类。它基本涵盖了公司的各个层次，涉及到管理的各个方面，贯穿于经营活动的全过程。2、内控基础知识主要包括：制定内部控制体系框架、建立业务流程目录、业务流程描述和确定重要业务流程；建立风险数据库、风险控制分析文档；补充完善现行文件制度；启动跟单作业、开展控制环境建设和信息系统规划实施；确认关键控制；开展内控体系测试、检查等工作。2、内控基础知识（3）内部控制体系建设的意义通过实施内部控制体系，梳理公司内部主要业务流程，对关键流程进行风险分析，找出风险点和控制缺口；通过强化相关部门的控制职责，实现对风险的有效控制。在满足美国萨奥法案404条款要求的基础上，有助于完善现代企业制度，进一步提升公司的管理水平，有效实现风险控制由“事后处理”向“事前防范”的转变，推动公司效益的提高。一、内控知识简介1、内控背景知识2、内控基础知识3、内控体系的五要素３、内控体系的五要素内部控制体系由相互关联的五项要素组成，它们来自管理层经营企业的方式，并融入管理过程本身。这五项要素是：控制环境、风险评估、控制活动、信息与沟通、监督。３、内控体系的五要素控制环境监督风险评估信息与沟通控制活动信息与沟通３、内控体系的五要素（1）控制环境控制环境是内部控制体系的基础，是有效实施内部控制的保障，直接影响着内部控制的贯彻执行、企业经营目标及整体战略目标的实现。主要包括：职业道德、员工的胜任能力、管理理念和经营风格、组织结构、权利和责任的分配、人力资源政策与措施、反舞弊等方面。３、内控体系的五要素（2）风险评估风险评估是识别及分析影响企业目标实现的风险的过程，是风险管理的基础。风险评估过程包括：确立企业发展目标、风险识别、风险分析、风险反应。３、内控体系的五要素（3）控制活动控制活动是确保管理层的指令得到贯彻执行的必要措施，存在于整个机构内所有级别和职能部门。包括批准、授权、查证、核对、经营业绩评价、资产保全措施和职责分工等活动。３、内控体系的五要素（4）信息与沟通信息与沟通是企业经营管理所需的信息被识别、获得并以一定形式及时地传递，以便员工履行职责。信息是指来源于企业外部及内部，与经营相关的财务及非财务信息，它包括内部信息和外部信息。沟通是指信息在企业内部各层次、各部门以及在企业与客户、供应商、监管者和股东等外部环境之间的传递。３、内控体系的五要素（5）监督监督是对内部控制体系有效性进行评估的持续过程，包括持续监督、独立评估和缺陷报告等。主要内容一、内控知识简介二、内控业务流程三、测试整改介绍二、业务流程介绍1、业务流程分类和分级2、业务流程说明3、业务流程介绍举例1、业务流程分类和分级（1）业务流程分类和分级业务流程横向分类，纵向分级。横向上分为三类：战略发展流程（用SP表示）；核心业务流程（用KP表示）；经营管理流程（用MP表示）。纵向上最多分为5级，其中1-3级为股份公司规定流程，不准改动，4、5级可以由各地区公司根据实际情况制定。1、业务流程的分类和分级（2）流程命名与编码“业务分类代码”+“流程编码”+“流程名称”例如：MP02.01.02.03.02日常账务处理MP为业务分类代码，代表经营管理；02.01.02.03.02为流程编码，其中02为一级流程，01为二级流程，02为三级依次类推。日常账务处理为流程名称。二、业务流程介绍1、业务流程分类和分级2、业务流程说明3、业务流程介绍举例2、业务流程说明（1）业务流程目录在流程目录中分基本业务流程目录和重要业务流程目录。基本业务流程目录是《手册》中所有的业务流程的总和。重要业务流程目录就是带有关键控制的业务流程。2、业务流程说明2、业务流程说明（２）流程目录与流程图、RCD文档、控制程序文件的关系在业务活动控制中，流程目录中的一项末级流程对应一个流程图，关键控制的流程还对应一份风险控制文档(RCD)、一个控制程序文件。2、业务流程说明2、业务流程说明2、业务流程说明2、业务流程说明2、业务流程说明（3）流程图流程图是指按照规定的格式和图例描述业务流程的图形化表示。它由文本和流程上下两部分组成。2、业务流程说明文本背景中包含8个要素：单位、编制人、业务主管部门、业务参与部门、流程名称、流程编号、最后更新的时间、版本。2、业务流程说明流程图的横向是职能带，代表职能组织，顺序从左向右一般按级别排序；纵向由上而下表示流程发展的时间或逻辑等顺序。2、业务流程说明（4）流程图中的符号说明风险。表示业务流程步骤中存在的风险，标识在存在风险的步骤的左下角，同时用数字进行编号，如1、2等，表示该流程存在第1、2等个风险。完成与支持完成与支持完成与支持完成与支持完成与支持完成与支持完成与支持完成与支持完成与支持完成与支持其它组织元素....12、业务流程说明风险控制。表示业务流程步骤中针对风险的控制点，标识在实施控制的步骤的右下角，编号与风险点编号相对应。1.1M，第一个1表示第一个风险，第二个1表示针对第一个风险的第一个控制；M表示该控制是人工控制。对1.1A中的A，A表示该控制是自动控制。完成与支持完成与支持完成与支持完成与支持完成与支持完成与支持完成与支持完成与支持完成与支持完成与支持其它组织元素....1.1M2、业务流程说明描述各级组织对应的职位描述各级组织机构描述多个不同单位、部门或岗位的集合；或项目临时组织、委员会；或股份公司外部单位2、业务流程说明Carriesout&SupportsCarriesout&SupportsCarriesout&SupportsCarriesout&SupportsCarriesout&SupportsCarriesout&SupportsCarriesout&SupportsCarriesout&SupportsCarriesout&SupportsCarriesout&SupportsOtherOrganizati....事件Carriesout&SupportsCarriesout&SupportsCarriesout&SupportsCarriesout&SupportsCarriesout&SupportsCarriesout&SupportsCarriesout&SupportsCarriesout&SupportsCarriesout&SupportsCarriesout&SupportsOtherOrganizati....功能Carriesout&SupportsCarriesout&SupportsCarriesout&SupportsCarriesout&SupportsCarriesout&SupportsCarriesout&SupportsCarriesout&SupportsCarriesout&SupportsCarriesout&SupportsCarriesout&SupportsOtherOrganizati....流程接口描述流程运行过程中发生的状态变化表示和该流程有前后关系的另一个流程描述一个手工或系统完成的业务活动2、业务流程说明完成与支持完成与支持完成与支持完成与支持完成与支持完成与支持完成与支持完成与支持完成与支持完成与支持其它组织元素....电子文档Carriesout&SupportsCarriesout&SupportsCarriesout&SupportsCarriesout&SupportsCarriesout&SupportsCarriesout&SupportsCarriesout&SupportsCarriesout&SupportsCarriesout&SupportsCarriesout&SupportsOtherOrganizati....应用系统描述业务实践中使用的应用系统，如ERP、FMIS等表示以文本形式存在的文件、表单等表示在应用系统数据库中存储的文档2、业务流程说明（5）风险控制文档（RCD）以表格形式确认每个流程、工作步骤中存在的风险和已建立的控制，体现并规范风险与相应控制的分析过程。主要包括风险类别、风险描述、控制目标的类型、控制目标具体描述、现有控制措施、控制方法、控制类型、控制频率、控制实施证据、控制文件的文