null企业内部控制及评价企业内部控制及评价中国石化内控办公室
方春生内容提要内容提要一、内部控制及评价的发展
二、企业内部控制体系简介
三、企业内部控制评价实例
内容提要内容提要一、内部控制及评价的发展内部控制的演进内部控制的演进内部牵制(1940年代以前):帐目相互核对,不相容岗位分离
内部控制制度(1940-1970年代):内部会计控制、内部管理控制
内部控制结构(1988):控制环境、会计制度和控制程序
内部控制整体框架(COSO,1992):五要素
企业风险管理框架(COSO,2004):八要素企业内部控制整体框架企业内部控制整体框架 内部控制是由公司董事会、管理层及其全体员工实施的,为经营活动的效率和效果、财务报告的可靠性、相关法律法规的遵循性等目标的实现而提供合理保证的过程。 COSO 扩充三个要素,
2004年9月推出:
“企业风险管理整体架构” 控制环境风险评估控制活动信息与沟通监控COSO报告:内部控制–综合性框架企业风险管理整体框架企业风险管理整体框架COSO企业风险管理整体框架运营
公司层面分支机构战略报告遵循分、子公司业务板块监控信息与沟通控制活动风险应对风险分析风险识别目标设定内部环境(ERM)COSO委员会COSO委员会 1985年,美国注册会计师协会、美国会计学会等机构共同资助设立了全国舞弊性财务报告委员会,即Treadway委员会,其研究的主要问题之一就是舞弊性财务报告产生的原因,其中包括内部控制不健全问题。基于Treadway委员会的建议,这些资助机构后来又设立了专门研究内部控制的COSO委员会。1992年,COSO委员会发布《内部控制整体框架》(1994年进行了修订) 。
2004年9月,COSO委员会发布了《企业风险管理(ERM)整体框架》,在内部控制的基础上提出了新的概念“企业风险管理” 。 内部控制与内部审计内部控制与内部审计内部审计是企业内部控制的重要组成部分 1986年4月最高审计机关国际组织发表《总声明》:“内部控制作为完整的财务和其他控制体系,包括组织结构、方法程序和内部审计。”
1992年美国C0S0报告提出,内部控制包括控制环境、控制活动、信息和沟通及监督五个因素。其中“监督”因素也包括内部审计。
我国将要实施的“企业内部控制基本规范”,其中内部环境包括了内部审计(第五条、第十五条)。内控评价伴随审计发展内控评价伴随审计发展内部控制评价是现代审计的基础 内部控制经历不同的发展阶段,内部控制概念逐步扩展,推进审计方法的变革。无论账项基础审计、制度基础审计,还是在风险基础审计中,内控评价都是审计工作不可或缺的组成部分。
现代审计能够通过对内部控制测试和评价,确定进一步审计的方向,提高审计工作效率,降低审计成本和审计风险。
内控评价在审计中的应用内控评价在审计中的应用 外审:侧重于把内控评价作为一种审计方式,其目的是在了解、测试与会计报表相关的内部控制的基础上评估其控制风险,再根据控制风险评估结果修订审计计划和确定实质性测试的性质、时间和范围,进而对会计报表发表
意见
文理分科指导河道管理范围浙江建筑工程概算定额教材专家评审意见党员教师互相批评意见
。
内审:侧重于把内控评价作为一项审计内容。也可以根据审计的目的,把内控评价作为一种审计方式。 根据评价主体的不同,内控评价可分为注册会计师执行的内控评价和内部审计人员执行的内控自我评价。一般内控测试与评价一般内控测试与评价健全性测试和评价符合性测试和评价综合评价企业内部控制测试和评价内部控制审计程序内部控制审计程序调查了解企业内部控制符合性测试综合评价被审企业内部控制确定审计范围、重点和方法实质性审计审计报告评价企业内部控制的健全性不健全无效有效健全中国内部控制评价指引中国内部控制评价指引 内部控制审核指导意见(2002年2月)
内部审计具体准则第5号——内部控制审计(2003年6月)
内部审计具体准则第16号——风险管理审计(2005年5月)美国内部控制评价指引美国内部控制评价指引 PCAOB发布第2号审计准则(2004年3月)
PCAOB发布第5号审计准则(2007年6月)
SEC发布解释性公告,为管理层提供内控报告指引( 2007年6月)企业内部控制评价指引企业内部控制评价指引 评价指引(5章26条):总则、内部控制评价的内容、内部控制评价的程序、内部控制缺陷的认定、内部控制评价报告 。
企业内部控制评价表:按照内部控制五个要素,分别填写评价内容、业务描述、评价结论(有效性/缺陷)、评价记录。
企业内部控制评价报告——附注:董事会声明、内部控制评价工作的总体情况、内部控制评价的依据、内部控制评价的范围、内部控制评价的程序和方法、内部控制缺陷及其认定、内部控制缺陷的整改情况、内部控制有效性的结论 。企业内部控制审计指引企业内部控制审计指引 审计指引(7章36条):总则、计划审计工作、实施审计工作、完成审计工作、评价控制缺陷、出具审计报告、记录审计工作。
标准内控审计报告:一、企业对内控的责任;二、注册会计师的责任;三、内控的固有局限性;四、财务报告内控审计意见;五、非财务报告内控的重大缺陷。
带强调事项段的无保留意见内控审计报告:增“强调事项”。
否定意见内控审计报告:除“一至三”外,增“导致否定意见的事项”、“财务报告内控审计意见”、“非财务报告内控的重大缺陷”。
无法表示意见内控审计报告:除“一、二”外,增“导致无法表示意见的事项”、“财务报告内控审计意见”、“识别的及非财务报告内控的重大缺陷”。内部控制审计调查表举例内部控制审计调查表举例企业基本情况货币资金投资业务采购业务销售业务会计政策会计电算化2关联交易控制环境筹资业务固定资产存货管理会计系统会计电算化1会计电算化3企业
内控
审计
调查
(15)内容提要内容提要二、企业内部控制体系简介中国石油化工股份有限公司中国石油化工股份有限公司中国石油化工股份有限公司(简称“中国石化”)是中国最大的石油产品和主要石化产品生产商和供应商,中国第二大原油生产商,世界第三大炼油公司,拥有比较完备销售网络,境内外(上海、香港、纽约、伦敦)四地上市的股份制企业。 2009年集团公司列世界500强第9位。
中国石化现有全资子公司、控股和参股子公司、分公司等共90余家,包括油气勘探开发、炼油、化工、产品销售以及科研、外贸等,经营资产和主要市场集中在中国的东部、南部和中部地区。中国石化组织结构中国石化组织结构null中国石化内部控制的定位美国《萨班斯-奥克斯利法案》(2002)
香港联交所《企业管治常规守则》(2006)
上海证交所《上市公司内部控制指引》(2006)
国资委《中央企业全面风险管理指引》(2006)
五部委发布《企业内部控制基本规范》(2008)财务、管理信息真实可靠;
保障资产安全完整;
规范经营行为,提高风险管理水平;
促进健全制度化管理体系;
完善法人治理结构。
法律法规要求企业自身需要中国石化内控制度体系中国石化内控制度体系内部控制度体系《内部控制手册》《内部控制手册》《内部控制手册》的结构《内部控制手册》的结构内部控制基本要求按业务分类控制的具体程序和措施财务报告计划矩阵和业务控制矩阵相关重要附件不同管理层次、级别的权限规定内控检查评价与考核内控手册-总则内控手册-总则目的和意义、定义、原则、适用范围
内部环境
风险评估
控制活动
信息与沟通
内部监督
《内部控制手册》结构、生效、更新总则包括七个方面内控手册-总则内控手册-总则内部控制:由董事会、监事会、管理层和全体员工实施的、为经营管理合规合法、资产安全、财务报告及相关信息的可靠性,经营活动的效率和效果、发展战略的实现提供合理保证的过程。
五要素:内部环境、风险评估、控制活动、信息与沟通、内部监督。(一)内部控制定义、原则、适用范围内控手册-总则内控手册-总则(一)内部控制定义、原则、适用范围(续)合规性原则
全面性与系统性原则
重要性原则
内部牵制及不相容原则
适应性原则
包容性原则
成本效益原则内控手册-总则内控手册-总则合规性原则企业内控制度必须符合国家的法律、法规和政策;符合股份公司上市地(上海、香港、纽约、伦敦)证券监管机构有关上市公司的法律、法规和要求。 内控手册-总则内控手册-总则《内部控制手册》是依据内控框架,充分吸收中国石化现行各项
管理制度
档案管理制度下载食品安全管理制度下载三类维修管理制度下载财务管理制度免费下载安全设施管理制度下载
中控制风险的内容而系统编制,内容涵盖公司治理、经营管理、业务操作等不同层次。
《内部控制手册》力求避免与其他制度相矛盾,尽可能包容不同企业现有的内部控制要求;对确实脱离实际的各项内部管理制度,应及时修改、完善,并以《内部控制手册》规定为准。内控手册-总则内控手册-总则(一)内部控制定义、原则、适用范围(续)内控手册-总则内控手册-总则企业文化:设企业文化部,编制中石化文化建设纲要整合企业文化 ;
员工守则:守法纪、讲诚信;
治理结构:明确董事会及其审计委员会、监事会、总裁班子内控职责;
组织机构:集体决定与调整机构,委派子公司股东代表、董事、监事;
总部内控机构及企业内控机构
责任分配与授权:明确岗位分离,授权管理;
人力资源政策:激励与约束相结合;
反舞弊机制:建立举报投诉制度和举报人保护制度并公开;
内部审计:两级审计机构,审计部门的内控职责。(二)内部环境 内控手册-总则内控手册-总则总部内部控制组织机构 财务部法律事务部部审计部……股份公司内部控制领导小组组长:总裁信息系统管理部内控办公室人事部内控手册-总则内控手册-总则分子公司内部控制组织机构 企业内部控制领导小组组长:分公司总经理财务处企管处法律事务处审计处……内控办公室人事处信息处内控手册-总则内控手册-总则根据目标,各部门归口收集信息,确定风险承受度;
内部风险:高管人员、体制机制、技术创新、财务状况、安全环保等;
外部风险:经济市场政策、法律、社会、科技、自然环境等;
风险评估机制:各部门针对责任内控流程,总部、企业针对系统风险。(三)风险评估 内控手册-总则内控手册-总则根据风险评估结果,采用相应控制措施,将风险控制在可承受度之内;
控制措施:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、计划控制、预算控制、
合同
劳动合同范本免费下载装修合同范本免费下载租赁合同免费下载房屋买卖合同下载劳务合同范本下载
管理控制、资金支付控制、信息技术控制、运营分析控制和绩效考评控制等;
综合运用控制措施:手工控制与自动控制、预防性控制与发现性控制相结合;建立重大风险预警机制和突发事件应急处理机制。
通过编制业务流程具体控制 :18大类、59个流程。(四)控制活动 内控手册-总则内控手册-总则信息资源归口管理,不断完善信息搜集机制;
信息系统集中管理,完善系统沟通平台;
对外信息披露由总裁办审核、提供;
分级、分类,重要信息及时传递董事会、监事会和总裁班子。(五)信息与沟通 内控手册-总则内控手册-总则日常监督:建立两级内部控制监督检查机制,持续性监督;
专项监督:针对内部控制某一或某些方面的监督检查;
管理层每年评价,出具内部控制自我评价报告。(六)内部监督 内控手册-总则内控手册-总则结构-六个部分
生效-董事会审批
更新-每年一次(七) 《内部控制手册》结构、生效、更新内控手册-控制流程内控手册-控制流程内控手册-控制流程内控手册-控制流程采购类控制流程销售类控制流程内控手册-控制流程内控手册-控制流程一般物资采购业务流程内控手册-控制流程内控手册-控制流程一般物资采购业务流程(续)(三)业务流程步骤与控制点 物资供应职责的界定物资计划编制与审核采购渠道确定与控制采购价格确定与控制框架协议和采购合同签订与审批供应过程控制绩效评价、考核与监督采购资金使用和控制内控手册-控制流程内控手册-控制流程一般物资采购业务流程控制点举例:
1.5 物资供应部门内部实行计划、采购、质检、合同审核、申请付款等环节相互监督的分段管理模式。【ERP】各分(子)公司物资供应部门在ERP系统中设计计划、采购等岗位的权限时,应遵从内部牵制及不相容原则。
5.3 【ERP】对于超过合同有效期3个月以上未执行完成的采购订单,分(子)公司物资供应部门要及时核销。维护采购订单交货容差时依据分(子)公司相关规定执行。内控手册-控制流程内控手册-控制流程(四)相关制度目录 (制度后标号为《内控手册配套规章制度汇编》目录索引号)
1.关于印发《中国石油化工股份有限公司对外贸易管理规定》的
通知
关于发布提成方案的通知关于xx通知关于成立公司筹建组的通知关于红头文件的使用公开通知关于计发全勤奖的通知
(石化股份外[2003]274号)1.9.1
……一般物资采购业务流程(续)内控手册-控制流程内控手册-控制流程一般产品销售业务流程内控手册-控制流程内控手册-控制流程一般产品销售业务流程(续)(三)业务流程步骤与控制点 内控手册-控制流程内控手册-控制流程一般产品销售业务流程控制点举例:
2.1主数据维护员按审核后的客户信息在ERP系统中维护客户主数据。系统信用主数据应设置为高风险级别或零信用。
2.2分(子)公司营销和财务等部门共同建立客户信用动态档案,并至少每年更新一次,由不相容岗位人员提出划分、调整客户信用等级的方案;根据客户信用等级和企业信用政策,拟定客户信用具体的限额和时限,经营销及财务部门负责人审核后,报分(子)公司经理或信用管理领导小组审批。财务部门按照审批结果在ERP系统中维护客户信用主数据。内控手册-控制流程内控手册-控制流程(四)相关制度目录 (制度后标号为《内控手册配套规章制度汇编》目录索引号)
1.关于印发《中国石油化工股份有限公司应收款项管理实施细则》的通知(石化股份财 [2007]506号) ----1.6.4
……一般产品销售业务流程(续)内控手册-控制流程内控手册-控制流程2009版内控手册共计1272个控制点,分类如下:内控手册-控制矩阵内控手册-控制矩阵 为更好地遵循外部监管要求,同时便于落实内部管理责任,编制财务报告计划矩阵和每项业务的控制矩阵。
内控手册-控制矩阵内控手册-控制矩阵财务报告计划矩阵:旨在将会计报表项目和监管事项与业务流程建立联系,以确保内控制度合理保证对外披露的会计报告及重大事项真实可靠。内控手册-控制矩阵内控手册-控制矩阵业务控制矩阵:明确每一控制点的“目标、风险、责任单位、不相容岗位、分值、记录文档、相关制度索引、会计报表认定、会计报表”,便于落实内部控制责任。
特别是:对每一控制点都进行“业务风险”描述,容易识别内部控制设计是否必要和充分,体现内部控制以全面风险管理为导向的基本要求。内控手册-权限指引内控手册-权限指引授权是内部控制的重要手段。为适应公司一级法人为主的经营体制,达到“授权有度、风险受控”的目的,按照分级授权的指导思想,特别制定了《权限指引》,统一规范权限管理。(一)制定权限指引,明确责任和授权内控手册-权限指引内控手册-权限指引(二)权限控制指标的定义《权限指引》中的权限为该项业务的决定权、审批权、最终处置权,不包括过程中的建议权、拟议权。内控手册-权限指引内控手册-权限指引(三)权限控制指标的设置原则内部往来业务从宽,直接对外的业务事项从严;
经批准的预算(计划)内授权从宽,预算外从严;
常规授权从宽,特别授权及转授权从严。内控手册-权限指引内控手册-权限指引按照企业的业务规模分为大、中、小三类;
不同板块的企业,根据业务性质设置不同权限;
分公司在实施过程中可以制订向下延伸的权限级别;
子公司按照“子公司体制、分公司地位”的原则,比照分公司权限执行 。(四)《权限指引》的企业分类及应用内控手册-权限指引内控手册-权限指引(五)《权限指引》的结构《权限指引》列表,以矩阵式表格描述,由横向、纵向两个指标体系构成。
编制权限指引
说明
关于失联党员情况说明岗位说明总经理岗位说明书会计岗位说明书行政主管岗位说明书
,对权限指引表中事项进行统一解释。内控手册-检查评价办法内控手册-检查评价办法内控检查评价体系每年检查总部部门和一定数量的分(子)公司、研究院,其中审计部25家。至少每年
一次内控检查
评价指引总部部门检
查评价考核
实施细则单位
自查股份公司年度综合检查评价综合检查评
价(企业)测试(总部)至少每半
年一次测试(企业)至少每半
年一次企业自查
指导意见内控手册-检查评价办法内控手册-检查评价办法设“内部控制执行情况”指标: 根据年度综合检查评价结果及执行情况,只扣不奖
高层管理人员业绩奖金考核:设2分、5分、10分三档
单位经营目标考核: 设1分、2分、5分三档内部控制考核内控手册-附则内控手册-附则内控业务流程总部部门联系人
《内部控制手册》控制流程适用单位
内控手册配套规章制度目录及索引
员工守则附则内容提要内容提要三、企业内部控制评价实例中国石化内控评价中国石化内控评价自2005年已组织五次全系统内控综合检查 管理层内控自我评价
外部审计师对财务报告内控审计内控自我评价依据内控自我评价依据 依据内控手册及相关制度,检查内部控制健全性(设计)
依据适用的内容、范围,检查内部控制符合性(执行)内控自我评价指引内控自我评价指引《企业内控检查评价指引》
包括:注明具体检查步骤方法的工作底稿、案例分析等
《总部层面内控检查评价与考核实施细则》内控自我评价依据(续)内控自我评价依据(续)内控自我评价方式内控自我评价方式中国石化从“量化评分”和“内控缺陷认定”两个方面进行内控评价,满足内控考核和外部监管的要求。 内控自我评价范围内控自我评价范围总部层面:各管理部门
企业层面:各管理部门、所属单位 内控自我评价流程图内控自我评价流程图编制内部控制自我评价报告修订完善补救整改组织现场检查制定检查方案,报内控领导小组批准报告管理层健全性测试符合性测试 检查汇总结果集中培训检查人员内控自我评价内控自我评价(一)制定年度内控检查方案
(二)检查前培训
(三)现场检查
(四)跟踪整改
(五)汇报检查结果及修订完善
(六)编制内控自我评价报告及对外披露制定年度内控检查方案制定年度内控检查方案召开内控领导小组会议批准检查方案 检查范围及重点(总部部门、企业层面)
检查人员选拔及分组
检查前培训安排
检查主要事项内控自我评价内控自我评价(一)制定年度内控检查方案
(二)检查前培训
(三)现场检查
(四)跟踪整改
(五)汇报检查结果及修订完善
(六)编制内控自我评价报告及对外披露检查前培训检查前培训 讲解内控检查评价指引(方法、案例)
合理分组,熟悉被检查单位基本情况
分组讨论,集中答疑内控自我评价内控自我评价(一)制定年度内控检查方案
(二)检查前培训
(三)现场检查
(四)跟踪整改
(五)汇报检查结果及修订完善
(六)编制内控自我评价报告及对外披露现场检查评价步骤现场检查评价步骤见面会
掌握基本情况分析/定范围抽样、访谈等缺陷认定
填写底稿签字确认
编写报告讲评会
交换意见汇报内控办公室审计部
检查结果现场检查小组评分/评价1、组织现场检查小组1、组织现场检查小组 组长负责与企业班子成员谈话,参加见面会及讲评会;
副组长负责检查内控环境(访谈部门负责人)、企业自查情况,并撰写现场检查报告;
检查人员按内控流程分组(以内控管理人员为主,搭配各类专业人员、特别是IT专业人员)分配成员任务2、召开见面会2、召开见面会通过企业介绍,掌握基本情况 企业基本情况(生产经营业务范围、组织机构、经理班子成员及其分工、财务管理核算体制、ERP建设和实施情况等);
检查区间生产经营计划和预算完成情况;
内部控制实施情况(内控宣传培训、实施细则及相关制度修订完善、日常内控工作机制、单位测试自查及整改情况);
最近一次审计或财务稽核查出问题的整改情况等。 3、搜集、分析材料3、搜集、分析材料 实施细则及配套规章制度
内控自查整改材料
内控流程责任分工(责任部门、责任人、联系人)
企业组织架构图(领导分工、部门职能、重要岗位人员名单)
检查区间的会计报表、经济活动分析材料等
最近一次审计问题及整改材料
获得ERP 最大查询权限确定范围及重点确定范围及重点 选择检查单位(企业所属全资、控股、参股子公司原则上全部检查,并至少抽查3个直属单位)
选择重点内控流程和控制点(必检内容)
确定重点检查样本
加强内部沟通,适时调整检查内容和方向4、现场检查评价内容4、现场检查评价内容 内控环境、要素评价(10分)
企业自查情况评价(20分)
业务流程综合检查评价(70分)
内部控制缺陷认定(修正总得分) 内部环境、要素评价内部环境、要素评价检查评价内容主要包括7个方面(访谈、检查证据):
诚信与道德
责任分配与授权
组织结构
管理哲学和经营风格
人力资源政策与实务
信息与沟通
监督 检查组长或副组长填写“内控环境检查评价表”企业自查情况评价企业自查情况评价 企业责任部门内控流程测试情况(检查实际效果)
企业内控自查情况(至少验证5个流程)复查核实,副组长填写“企业自查情况评价表”业务流程评价业务流程评价对照内控手册及相关制度,分析适用流程、控制点(健全性)
判定业务是否发生,确定应检查的控制点(符合性)
参照检查工作底稿中拟定的检查步骤和方法,结合实际选择抽样、穿行测试、检查证据、实地观察、对比分析、访谈等方法。(1)分析适用流程,判断业务发生业务流程评价(续)业务流程评价(续)不相容岗位分离
控制点执行情况
执行了控制点规定的控制步骤或控制方法(“控制点描述”、 “检查步骤及方法”)
未突破规定的权限(权限指引)
实现规定的控制目标 (实质性检查)
及时提供有效的控制点相关资料 同时符合(2)控制点得分/扣分的判断方法业务流程评价(续)业务流程评价(续)控制点检查评价后,填写“内控流程检查工作底稿”
与财务报告相关的控制点(控制矩阵已注明),还应填写“财务报告抽样记录表”
“内控流程检查工作底稿” 和“财务报告抽样记录表”需经检查人、被查单位责任人签定确认。(3)分析是否与财务报告相关,填写检查记录业务流程评价(续)业务流程评价(续) 内控流程综合检查评价得分=∑控制点检查评价得分×70/∑控制点基础分值。
其中,∑控制点检查评价得分为被检查单位所有适用内控流程控制点“检查评价得分”之和;∑控制点基础分值为被检查单位所有适用内控流程剔除不适用控制点及业务未发生控制点后的“控制点分值”之和。 (4)内控流程评价计分方法内控缺陷的分类内控缺陷的分类影响会计报表缺陷其他会计信息质量缺陷IT控制缺陷内控重大事故事件缺陷内部控制缺陷企业内部管理缺陷财务报告缺陷内控缺陷是指在内控设计和运行方面,已经发生的内控程序不足或产生不足的可能性。内控缺陷的划分等级内控缺陷的划分等级财务报告缺陷内部管理缺陷填写“内部控制缺陷认定汇总表”重大缺陷 重要缺陷一般缺陷结果结果一般情况下内控缺陷的扣分内控缺陷的扣分
一般缺陷:扣减总得分的1%
重要缺陷:扣减总得分的50%
重大缺陷:综合检查得分为零 内控缺陷的认定内控缺陷的认定影响会计报表的缺陷:根据错误样本比例推算潜在错报金额 1、记录错报样本
2、确定潜在错报率
3、计算潜在错报金额(=相应会计科目同向累计发生额×潜在错报率)
4、计算错报指标
错报指标1=潜在错报金额合计/被检查单位当期主营业务收入或
期末资产总额孰高;
错报指标2=潜在错报金额合计/股份公司当期主营业务收入。
5、错报指标与缺陷等级
一般缺陷:错报指标1≥1‰,且错报指标2<1‰
重要缺陷:1‰≤错报指标2<5‰
重大缺陷:错报指标2≥5‰ 内控缺陷的认定(续)内控缺陷的认定(续)其他会计信息质量一般缺陷:外部监管重点关注的事项(1)会计人员缺乏必要的任职资格和胜任能力。
(2)财会岗位职责不清晰,或未执行规定的会计不相容岗位(职务)分离。
(3)会计凭证未按规定装订、保管和归档,或会计凭证丢失。
(4)重要原始凭证如出/入库单、提货通知单、开出发票和支票等不连号或未经审批取消原始凭证。
(5)未按规定与股份公司内、外部往来单位对账及编制往来账户余额调节表,或100万元以上的对账差异1个月以上未处理,或其他对账差异3个月以上未处理。
(6)未按规定编制银行存款余额调节表,或调节表差异1个月以上未处理。
(7)一人保管支付款项所需的全部印章。开通网上银行的,由一人保管网银卡和密码。
(8)存货盘点未按照规定执行。
(9)由于审查不严、处理不当等原因造成执行国家税收政策偏差,受到罚款处罚等。 内控缺陷的认定(续)内控缺陷的认定(续)IT控制一般缺陷:整体层面控制、一般性控制、应用控制(1)ERP系统、财务信息管理系统、加油卡系统的用户管理或密码管理未按要求执行。
(2)ERP系统同一业务流程主数据管理和维护有两个或两个以上控制点未按要求执行。
(3)分(子)公司信息化管理机构不健全,职责不到位。
(4)分(子)公司ERP支持中心人员不落实,支持中心人员没有履行相关职责。
(5)安全管理员、系统管理员、应用系统管理员设置未执行不相容岗位(职务)分离。
(6)未进行信息安全教育和培训。
(7)ERP系统、财务管理信息系统、加油卡系统服务器未纳入信息管理部门统一管理。 内控缺陷的认定(续)内控缺陷的认定(续) 内控重大事故事件缺陷:以未经授权、舞弊或IT控制不善造成财产损失或影响给股东带来利益损害为判别依据。内控缺陷的认定(续)内控缺陷的认定(续)内部管理一般缺陷:不影响财务报告,但违反内部管理要求的突出事项。根据内控手册和管理制度(文件)判断。
1.物资采购供应未归口管理
2.销售管理中客户信用等级和信用限额未经信用领导小组审批,销售价格政策未经价格领导小组审批
3.投资项目无计划或超计划,或未按规定招投标,或先施工后补签合同
4.对未即时清结的交易没有签订书面合同;未按规定使用标准合同文本并经兼职合同管理员审核;使用非标准合同文本未经专职合同管理员审核
5.未按规定开立或使用银行账户
6.成本、费用指标未考核
7.由于违章行为导致安全环保事故(事件)发生
8.瞒报事故内控缺陷的认定(续)内控缺陷的认定(续)内控缺陷认定后,应累计填写“内部控制缺陷认定汇总表”,由检查小组组长(或副组长)、被查单位内控办公室主任签字确认。内控缺陷的汇总5、检查方法5、检查方法
(1)一般方法(2)抽样检查(3)ERP控制点检查5、检查方法(续)5、检查方法(续)(1)一般检查方法及应用:抽样法穿行测试法个别访谈法比较分析法实地查验法专项讨论会法重新执行法基本方法业务流程内控环境、异常情况价格、预算、报表分析盘点、验证遇到专业疑难问题怀疑结果有重大错误不限于此
综合运用注意取得最原始单据5、检查方法(续)5、检查方法(续)综合应用各种方法:
检查前:比较分析、个别访谈,预抽样
实施检查:抽样、穿行测试、实地查验、个别访谈、比较分析
疑难问题:专家讨论会
佐证不足怀疑结果:重新执行、扩大抽样5、检查方法(续)5、检查方法(续)(2)抽样检查
抽样数量
抽样方法
抽样步骤及要求5、检查方法(续)5、检查方法(续)5、检查方法(续)5、检查方法(续)抽样数量
非财务报告点抽样数量一般为3个(少于3个的选用整体抽样);
财务报告点抽样数量在“财务报告抽样记录表”中已经根据业务发生频率列出“应抽取的样本量”,除非实际业务量不足,否则不得减少“应抽取的样本量”;
特别说明:抽取样本数量不限于上述“应抽取的样本量”,如果检查人员认为抽样数量不足以证明内控执行有效,可以根据需要增加样本量。5、检查方法(续)5、检查方法(续)抽样方法
1)整体抽样
2)随机抽样
3)等距抽样
4)指定抽样5、检查方法(续)5、检查方法(续)1)整体抽样
被检查单位某项经济业务很少发生,被检查的样本个数少于或等于规定数量时,应抽取全部样本做为检查样本。如存货减值、存货处置、现金、存货、固定资产盘点等可以采取整体抽样方式,抽取所有减值会计凭证、存货处置会计凭证、存货盘点表、存货盘盈盘亏的会计凭证。5、检查方法(续)5、检查方法(续)2)随机抽样:控制点检查原则上采取“随机抽样”的方法。
时间分布比较均匀:如涉及的经济业务在检查区间内各月基本均匀发生。
品种比较齐全:如销售业务应包括各种产品样本。
金额分布合理:包括大中小金额。
业务对象分布合理:如采购、销售业务尽量覆盖全部供应商或客户;借款应覆盖各币种、各银行的借款。
业务发生单位分布合理:指被检查企业如果有很多单位都发生同一类经济业务,应尽量覆盖。
采购合同、付款和发票校验会计凭证,销售订单、价格、合同、发货会计凭证、销售收入会计凭证、发票、费用支出等业务都可以采用随机抽样的方法。 经济业务
频繁发生样本数较多通过分析确认样本特性分布均匀5、检查方法(续)5、检查方法(续)3)等距抽样
如果样本的分布特性比较均匀稳定,可以采取等距抽样的方法。即可以拟定选择原始单据编号以1(或2、3、4…)结尾的样本等。
如收付款会计凭证、出入库单等等。5、检查方法(续)5、检查方法(续)4)指定抽样
通过分析,对于特殊的经济业务事项(如非正常发生的经济业务)可以指定抽样。如修理费业务,可指定公司本部大额修理费支出;成本业务,可指定手工结转的凭证;销售、费用支出等业务可指定红字冲销业务;还可指定暂估业务等。5、检查方法(续)5、检查方法(续)对于同一业务不同企业选用的抽样方法可能不同。如对于票据业务很少的企业,可以采用整体抽样的方法;对于票据业务较多的企业,则可以根据发生日期、出票行、被背书人、贴现行等采用随机抽样等方法;
对于检查区间包括年末和年初的,应加大抽取样本量。重点关注是否存在虚挂或少挂成本费用,虚增或少记收入,用以调节利润的情况。其他样本也应有选择性地多抽1、3、6、9月。抽样的特殊性:5、检查方法(续)5、检查方法(续)抽样步骤及要求:1.搜集信息,拟定“抽样实施方案” 2.制作初步抽样清单 3.抽取样本详细了解情况尽量覆盖全部业务针对性抽样5、检查方法(续)5、检查方法(续)抽取的样本应充分和适当
充分是指测试的证据的数量应当能合理保证相关控制的有效;适当是指获取的证据应当与相关控制的设计与运行有关,并能可靠地反映控制的实际运行状况。5、检查方法(续)5、检查方法(续)(3)ERP控制点检查:
权限检查
截图使用5、检查方法(续)5、检查方法(续)1) ERP控制点权限检查:
权限检查
业务流程权限检查清单
直接查询是否存在不符合规定的内容
如按照控制点要求,查询是否存在未清订单、人为删除交货单等情况,直接在系统中先筛选是否存在未维护信用的客户等。 5、检查方法(续)5、检查方法(续)2)参照截图检查ERP控制点
分散服务器的企业
编制ERP控制点检查标准,检查配置与执行。
集中服务器的企业
未有效执行,扣减被检查单位分数6、填写工作底稿及记录6、填写工作底稿及记录内部控制检查评价汇总表
企业内控环境评价表
企业自查评价表
内控流程检查工作底稿(含财务报告抽样记录表)
研究院内控流程检查工作底稿
内部控制缺陷认定汇总表
内控工作意见和建议表7套表格7、撰写现场检查报告及讲评7、撰写现场检查报告及讲评 检查评价整体情况
企业内控环境评价
企业自查情况评价
内控流程评价
内控缺陷认定(深刻分析)
整改意见和管理建议所有检查底稿、记录及报告由被查单位责任人确认8、检查评价资料及报告8、检查评价资料及报告 检查小组组长或副组长必须复核所有检查表格、工作底稿和内控缺陷认定。
有效执行的控制点不需复印资料,但未执行控制点及内控缺陷需要提供相关资料佐证。
所有检查资料按规定编号,依顺序整理、装订。
现场检查报告及各种检查资料(含电子版)交内控办公室。内控自我评价内控自我评价(一)制定年度内控检查方案
(二)检查前培训
(三)现场检查
(四)跟踪整改
(五)汇报检查结果及修订完善
(六)编制内控自我评价报告及对外披露跟踪整改跟踪整改由内控办公室统一组织
汇总各企业、总部现场检查结果
分配总部各责任部门督促整改,核实整改结果
根据最终整改结果考核各企业、部门内控自我评价内控自我评价(一)制定年度内控检查方案
(二)检查前培训
(三)现场检查
(四)跟踪整改
(五)汇报检查结果及修订完善
(六)编制内控自我评价报告及对外披露汇报检查结果及修订完善汇报检查结果及修订完善 向内控领导小组汇报
与外部审计师沟通
向董事会及其审计委员会汇报
按照外部监管政策变化和管理层要求修订完善内控自我评价内控自我评价(一)制定年度内控检查方案
(二)检查前培训
(三)现场检查
(四)跟踪整改
(五)汇报检查结果及修订完善
(六)编制内控自我评价报告及对外披露六、对外披露内控自我评价六、对外披露内控自我评价 编制中国石化内控自我评价报告
根据境内外不同监管要求披露内控自我评价外审内控评价分析外审内控评价分析外部审计师历年内控评价企业自我评价分析企业自我评价分析中国石化历年内控评价内容提要内容提要附:内部控制案例
案例1
案例2
案例3 nullE-mail: sinopeccwc@yahoo.com.cn谢谢各位!欢迎批评
浙公网安备 33021202002483