内部控制制度基础知识 新疆油田公司 2010年3月
第 四 章 得到的教训–FPI频发的实质性漏洞 目 录 一 第 一 章 内部控制理论的产生和发展 第 二 章 内部控制的目标和组成要素 第 三 章 内控审计发现需要注意的事项 第 四 章 得到的教训–FPI频发的实质性漏洞
第 一 章 内部控制理论的产生和发展 内部控制内涵 第 一 章 内部控制理论的产生和发展 内部控制内涵 内部控制制度是指由公司董事会、经理阶层和其他员工按照相互制约、相互联系的原则,为营运的效率和效果、财务报告的可靠性、资产的安全完整、相关法律的遵循性等目标的实现而提供合理保证的程序、方法和措施。 源自:美国COSO委员会的《内部控制——整体框架报告》 COSO 是反虚假财务报告委员会的赞助组织委员会(Committee of sponsoring organizations of the Treadway commission ) 是自愿性的私人组织,致力于通过强化商业道德、建立完善有效的内部控制和法人治理结构以提高财务报告的质量。目前理论界对于内控的概念有若干种表述,但其中最为权威的概念来自美国COSO委员会的《内部控制——整体框架》报告。 鉴于财务报告舞弊行为的频频发生,美国专门研究影响财务报告诚实性的因素,舞弊公司的特征以及注册会计师在揭露舞弊中的作用的委员会——Treadway委员会建立“发起组织委员会”(Committee of Sponsoring Organizations of the Treadway Commission)即COSO,专门研究适应社会需要的内部控制框架问题,并于1992年9月发布,于1994年,又进行了框架补遗,对保障资产作出了新的定义。1996年,美国注册会计师协会发布《审计准则公告》第78号,全面接受COSO报告的内容,并从1997年1月起取代1988年发布的《审计准则公告》第78号。新准则将内部控制定义为:“由一个企业的董事长、管理层和其他人员实现的过程,旨在为下列目标提供合理保证:财务报告的可靠性;经营的效果和效率;符合适用的法律和法规”。该准则将内部控制划分为五种成分(Components,它们分别是控制环境(Control Environment )、风险评价(Risk Assessment )、控制活动(Control Activities )、信息与沟通(Information and Communication )、监控(Monitoring )。
第 一 章 内部控制理论的产生和发展 理解内部控制应注意以下几点: (1)内部控制的主体 第 一 章 内部控制理论的产生和发展 理解内部控制应注意以下几点: (1)内部控制的主体 高层:从理论上讲应是公司的股东,但由于公司的具体情况不同,具体行使此职能的机构也会有所不同,如国有企业可能由国有资产管理局或国有资产投资公司来行使。 中层:是指总经理领导下的中层管理人员之间的控制。主要表现为各部门的分权和制衡上。这部分控制的主体是总经理,其将对内部管理层次的内部控制负责。 底层:是指业务部门中基层员工之间的控制,即具体业务层次。这部分控制的主体是各业务部门的负责人。
第 一 章 内部控制理论的产生和发展 (2)内部控制的客体 内部控制的客体是其作用的对象,即它要解决的问题。其所控制的对象根据内控的层次不同而不同。但总的说来,现代企业管理的特点之一,就是对各种经济活动的全面控制,保证其正确、合理、合法和经济有效。因此,内控的客体应该是企业内部的各种经济活动。
第 一 章 内部控制理论的产生和发展 (3)内部控制的本质 从系统的观点来看,内部控制是企业整个管理系统的一个子系统,其主体是企业管理者,其客体是企业内部的各种经济活动,其目标和实现目标的手段最终都要服从于整个企业管理目标的需要。因此内部控制制度实质上是一种管理制度。 但在实际管理工作中,内控制度并不是以一种单独的制度形式出现的,它渗透于各种规章制度之中,各种管理制度都具有控制作用,而内部控制制度是各种控制手段的总称。
第 一 章 内部控制理论的产生和发展 COSO内控框架的提出标志着内部控制理论发展到新的阶段,对企业完善和优化内部控制、增强风险防范能力具有十分重要的意义。 美国证券交易委员会(SEC)唯一推荐使用的内部控制框架就是COSO控制框架,《法案》第 404 条款的《最终细则》明确表示 COSO内部控制框架可以作为评价企业内部控制的标准。 鉴于财务报告舞弊行为的频频发生,美国专门研究影响财务报告诚实性的因素,舞弊公司的特征以及注册会计师在揭露舞弊中的作用的委员会——Treadway委员会建立“发起组织委员会”(Committee of Sponsoring Organizations of the Treadway Commission)即COSO,专门研究适应社会需要的内部控制框架问题,并于1992年9月发布,于1994年,又进行了框架补遗,对保障资产作出了新的定义。1996年,美国注册会计师协会发布《审计准则公告》第78号,全面接受COSO报告的内容,并从1997年1月起取代1988年发布的《审计准则公告》第78号。新准则将内部控制定义为:“由一个企业的董事长、管理层和其他人员实现的过程,旨在为下列目标提供合理保证:财务报告的可靠性;经营的效果和效率;符合适用的法律和法规”。该准则将内部控制划分为五种成分(Components,它们分别是控制环境(Control Environment )、风险评价(Risk Assessment )、控制活动(Control Activities )、信息与沟通(Information and Communication )、监控(Monitoring )。
第 一 章 内部控制理论的产生和发展 内部控制源于独立审计的需要 逐渐突破会计口径和审计视野 主要任务是防范财务和经营风险 第 一 章 内部控制理论的产生和发展 内部控制源于独立审计的需要 逐渐突破会计口径和审计视野 主要任务是防范财务和经营风险 成为全面风险管理的重要组成 内部优化管理、外部注重审计 系统性、规范性、操作性增强 岗位分离,相互牵制,防错揪弊 1936年在美国会计师协会在其发布的《注册会计师对财务报表的审计》中,第一次出现内部牵制和控制这一术语,是指为了保护公司现金和其他资产、检查簿记事务的准确性,而在公司内部采用的手段和方法。 内部牵制阶段 建立各种政策和控制程序 1988年,美国注册会计师协会发布《审计推测公告第55号》首次以“内部控制结构”代替“内部控制”概念,指出“内部控制结构包括为提供取得企业特定目标的合理保证而建立的各种政策和程序”,包括三个要素:控制环境、会计制度、控制程序。 内部控制结构阶段 揉合管理和控制界限 1992年COSO委员会提出报告《内部控制——整体框架》,1994年进行了增补。准则将内部控制划分为五种成分,它们分别是控制环境、风险评价、控制活动、信息与沟通、监控。 内部控制整体框架阶段 鉴于财务报告舞弊行为的频频发生,美国专门研究影响财务报告诚实性的因素,舞弊公司的特征以及注册会计师在揭露舞弊中的作用的委员会——Treadway委员会建立“发起组织委员会”(Committee of Sponsoring Organizations of the Treadway Commission)即COSO,专门研究适应社会需要的内部控制框架问题,并于1992年9月发布,于1994年,又进行了框架补遗,对保障资产作出了新的定义。1996年,美国注册会计师协会发布《审计准则公告》第78号,全面接受COSO报告的内容,并从1997年1月起取代1988年发布的《审计准则公告》第78号。新准则将内部控制定义为:“由一个企业的董事长、管理层和其他人员实现的过程,旨在为下列目标提供合理保证:财务报告的可靠性;经营的效果和效率;符合适用的法律和法规”。该准则将内部控制划分为五种成分(Components,它们分别是控制环境(Control Environment )、风险评价(Risk Assessment )、控制活动(Control Activities )、信息与沟通(Information and Communication )、监控(Monitoring )。 从公司战略出发 立足全局 防范风险 20世纪末期受《萨班斯一奥克斯法案》的影响,COSO及时充实了1994年的内部控制框架,将其扩展为“企业风险管理框架”,包括了四类目标和八大要素。 内部控制风险论阶段
第 四 章 得到的教训–FPI频发的实质性漏洞 目 录 一 第 一 章 内部控制理论的产生和发展 第 二 章 内部控制的目标和组成要素 第 三 章 内控审计发现需要注意的事项 第 四 章 得到的教训–FPI频发的实质性漏洞
第 二 章 内部控制的目标和组成要素 第一,内部控制是一个“过程”,而且是一个动态的过程。 第 二 章 内部控制的目标和组成要素 第一,内部控制是一个“过程”,而且是一个动态的过程。 企业的经营活动是永不停止的,企业的内部控制过程也 因此不会停止,它是一个发现问题、解决问题、发现新问题、 解决新问题的循环往复的过程。内部控制应该与企业的经营管 理过程相结合,而不是凌驾于企业的基本活动之上,它促使企 业的生产经营达到预期的效果,并监督企业经营过程的持续有 效进行。 鉴于财务报告舞弊行为的频频发生,美国专门研究影响财务报告诚实性的因素,舞弊公司的特征以及注册会计师在揭露舞弊中的作用的委员会——Treadway委员会建立“发起组织委员会”(Committee of Sponsoring Organizations of the Treadway Commission)即COSO,专门研究适应社会需要的内部控制框架问题,并于1992年9月发布,于1994年,又进行了框架补遗,对保障资产作出了新的定义。1996年,美国注册会计师协会发布《审计准则公告》第78号,全面接受COSO报告的内容,并从1997年1月起取代1988年发布的《审计准则公告》第78号。新准则将内部控制定义为:“由一个企业的董事长、管理层和其他人员实现的过程,旨在为下列目标提供合理保证:财务报告的可靠性;经营的效果和效率;符合适用的法律和法规”。该准则将内部控制划分为五种成分(Components,它们分别是控制环境(Control Environment )、风险评价(Risk Assessment )、控制活动(Control Activities )、信息与沟通(Information and Communication )、监控(Monitoring )。
第二章 内部控制的目标和组成要素 第二,内部控制受到“人”的影响,并不仅仅是政策手册和表格。 第二章 内部控制的目标和组成要素 第二,内部控制受到“人”的影响,并不仅仅是政策手册和表格。 组织中的每一个人都对内部控制负有责任并受到内部控制的影响,是“人”建立了企业的目标,并将控制机制赋予实施。 第三,内部控制只能为企业的管理层提供“合理的保证”,不是绝对保证。 内部控制无论设计和运行得多么完善,也不能绝对保证企业经营效率效果、财务报告的可靠性以及对相关法规的遵循性,因为内部控制本身也有局限性。 鉴于财务报告舞弊行为的频频发生,美国专门研究影响财务报告诚实性的因素,舞弊公司的特征以及注册会计师在揭露舞弊中的作用的委员会——Treadway委员会建立“发起组织委员会”(Committee of Sponsoring Organizations of the Treadway Commission)即COSO,专门研究适应社会需要的内部控制框架问题,并于1992年9月发布,于1994年,又进行了框架补遗,对保障资产作出了新的定义。1996年,美国注册会计师协会发布《审计准则公告》第78号,全面接受COSO报告的内容,并从1997年1月起取代1988年发布的《审计准则公告》第78号。新准则将内部控制定义为:“由一个企业的董事长、管理层和其他人员实现的过程,旨在为下列目标提供合理保证:财务报告的可靠性;经营的效果和效率;符合适用的法律和法规”。该准则将内部控制划分为五种成分(Components,它们分别是控制环境(Control Environment )、风险评价(Risk Assessment )、控制活动(Control Activities )、信息与沟通(Information and Communication )、监控(Monitoring )。
(1)与营运有关的目标:经营的效率与效果; 第二章 内部控制的目标和组成要素 内部控制框架将内部控制的目标分为三类: (1)与营运有关的目标:经营的效率与效果; (2)与财务报告有关的目标:财务报告的可靠性; (3)法律法规的遵循性。 鉴于财务报告舞弊行为的频频发生,美国专门研究影响财务报告诚实性的因素,舞弊公司的特征以及注册会计师在揭露舞弊中的作用的委员会——Treadway委员会建立“发起组织委员会”(Committee of Sponsoring Organizations of the Treadway Commission)即COSO,专门研究适应社会需要的内部控制框架问题,并于1992年9月发布,于1994年,又进行了框架补遗,对保障资产作出了新的定义。1996年,美国注册会计师协会发布《审计准则公告》第78号,全面接受COSO报告的内容,并从1997年1月起取代1988年发布的《审计准则公告》第78号。新准则将内部控制定义为:“由一个企业的董事长、管理层和其他人员实现的过程,旨在为下列目标提供合理保证:财务报告的可靠性;经营的效果和效率;符合适用的法律和法规”。该准则将内部控制划分为五种成分(Components,它们分别是控制环境(Control Environment )、风险评价(Risk Assessment )、控制活动(Control Activities )、信息与沟通(Information and Communication )、监控(Monitoring )。
第二章 内部控制的目标和组成要素 内部控制框架的组成要素: 1、内部控制环境 2、风险评估 3、内部控制活动 4、信息与沟通 5、监督 第二章 内部控制的目标和组成要素 内部控制框架的组成要素: 1、内部控制环境 2、风险评估 3、内部控制活动 4、信息与沟通 5、监督 这五个要素覆盖了公司生产经营活动的所有空间和时间,包括从文化理念到考核结果的评价等各个方面。
第二章 内部控制的目标和组成要素 要素之一:内部控制环境 包括7方面的具体内容: 1、员工的诚信和道德价值观; 2、工作胜任能力; 第二章 内部控制的目标和组成要素 要素之一:内部控制环境 包括7方面的具体内容: 1、员工的诚信和道德价值观; 2、工作胜任能力; 3、董事会和审计委员会; 4、管理层的经营理念和经营风格; 5、组织结构; 6、管理层授权和职责分工; 7、人力资源政策和措施。 内部控制环境:是企业的基调、氛围,直接影响企业员工的控制意识,是推动企业发展的发动机,也是其他要素的核心。
第二章 内部控制的目标和组成要素 1、员工的诚信和道德观 第二章 内部控制的目标和组成要素 1、员工的诚信和道德观 建立员工行为的准则,就是告诉员工什么行为可接受、什么行为不可接受、以及遇到不正当行为应该采取的行动。 企业建立的良好道德标准,形成的良好道德氛围,对控制系统的有效运行非常重要,也有助于防范那些内控系统难以控制的行为。 控制活动 监 督 控制环境 信息和沟通 风险评估
第二章 内部控制的目标和组成要素 对于一个企业来说, 一是建立一套员工能够接受和理解的诚信和道德标准; 第二章 内部控制的目标和组成要素 对于一个企业来说, 一是建立一套员工能够接受和理解的诚信和道德标准; 二是必须让员工知晓和理解这些规定(例如:要求所有员工定期签字确认); 三是贯彻执行,对违反准则的员工应予以相应惩处。这里需要强调的是在公司内传递道德标准的最有效方式是管理层以身作则,员工对于内控的态度通常会效仿他们的领导。 控制活动 监 督 控制环境 信息和沟通 风险评估
第二章 内部控制的目标和组成要素 2、员工胜任能力 3、董事会和审计委员会 第二章 内部控制的目标和组成要素 是要求员工具备完成工作任务所需的知识和技能。目的是保证员工能够正确理解相关规定、及时恰当分析和处理业务。因此,设定工作岗位时需要有相应的知识和技能水平要求,在招聘、选用员工时作为评选的标准或条件。 2、员工胜任能力 3、董事会和审计委员会 独立于管理层之上; 指导和监督管理层的工作。 控制活动 监 督 控制环境 信息和沟通 风险评估
第二章 内部控制的目标和组成要素 4、经营理念和经营风格 第二章 内部控制的目标和组成要素 4、经营理念和经营风格 管理层的经营理念和风格影响着企业的管理方式,形成了企业文化,决定了管理层在承担风险方面采取的不同态度和做出的不同决策。 体现在:-对各种风险的态度; -对财务报告的态度; -对待数据处理、会计职能及人事管理 等方面的态度。 控制活动 监 督 控制环境 信息和沟通 风险评估
第二章 内部控制的目标和组成要素 5、组织结构 第二章 内部控制的目标和组成要素 5、组织结构 组织结构是权责分工的架构,每个企业都可根据自己的需要确定最有效的组织结构。不论何种组织结构,纵向的深度决定着管理层对基层的管理强弱,横向的幅度决定着下级授权的大小,应根据公司的业务性质和经营规模,进行适当的集中或分散,确保信息的上传、下达和在各业务间的流动,确保企业目标的实现。 控制活动 监 督 控制环境 信息和沟通 风险评估
第二章 内部控制的目标和组成要素 6、管理层授权和职责分工 7、人力资源政策和措施 第二章 内部控制的目标和组成要素 授权和职责分工是按照权责对等的原则,进行授权和责任分配。将企业的目标分解至每个员工,使员工的行为与企业目标相联系。关键是授权和职责对等。 6、管理层授权和职责分工 人力资源政策和措施是关于员工聘用、培训、考核、晋升、薪酬等方面的政策和程序。目的是聘用和保持合格的员工。 7、人力资源政策和措施 控制活动 监 督 控制环境 信息和沟通 风险评估
第二章 内部控制的目标和组成要素 要素之二:风险评估 第二章 内部控制的目标和组成要素 要素之二:风险评估 风险评估是指对相关风险进行识别和分析,是发现和分析那些影响目标实现的风险的过程,是确定如何管理和控制风险的基础。 风险是任何影响目标实现的因素,所有企业都面临着风险,有经营就有风险,风险有来自企业内部的,也有来自企业外部的。因此,必须形成一套有效机制,按照一定标准来识别、分析和管理影响目标实现的相关风险,并适时加以管理。
第二章 内部控制的目标和组成要素 外部因素 过程 内部因素 风险识别: 发现和分析那些影响目标实现的风险,考虑外部因素和内部因素; 第二章 内部控制的目标和组成要素 风险识别: 发现和分析那些影响目标实现的风险,考虑外部因素和内部因素; 风险分析: 估计风险的重要程度; 评估风险发生的可能性(或频率、概率); 考虑如何管理风险——即评估需要采取的措施; 技术发展; 不断变化的客户需求和期望; 竞争; 新的法律和法规; 自然灾害; 经济形势的变化; 外部因素 控制活动 监 督 控制环境 信息和沟通 风险评估 过程 内部因素 信息系统运行的中断; 雇员的素质和培训、激励; 管理层职责的改变; 员工对资产的接触途径; 监管无法有效履行其职责;
第二章 内部控制的目标和组成要素 要素之三:内部控制活动 第二章 内部控制的目标和组成要素 要素之三:内部控制活动 内部控制活动是指为确保管理层指示得以执行的政策和程序,内控活动贯穿于企业的所有层次和部门。他们包括一系列不同的活动,如审批、授权、查证、核对、经营业绩评价、资产保全措施和职责分工等。
第二章 内部控制的目标和组成要素 内部控制活动的类型 1、针对企业的不同目标,控制活动可以分为三类,即 提高经营效率效果; 第二章 内部控制的目标和组成要素 内部控制活动的类型 1、针对企业的不同目标,控制活动可以分为三类,即 提高经营效率效果; 增强财务报告的可靠性; 对相关法律法规的遵循性。 2、根据控制活动的不同作用,可分为五类,即 预防性控制; 检查性控制; 指导性控制; 纠错性控制; 补偿性控制 控制活动 监 督 控制环境 信息和沟通 风险评估
第二章 内部控制的目标和组成要素 内部控制活动的类型 3、根据组织中实施人员的不同,可分为: 高层复核; 指导并管理业务活动; 信息处理; 第二章 内部控制的目标和组成要素 3、根据组织中实施人员的不同,可分为: 高层复核; 指导并管理业务活动; 信息处理; 实物控制; 业绩指标分析和职责分离。 内部控制活动的类型 控制活动 监 督 控制环境 信息和沟通 风险评估 高层复核——对企业主要行为进行追踪,以衡量目标实现的程度。 指导并管理业务活动——对照经营目标,审阅阶段业绩报告,分析其中反映出的生产管理方面的问题,并指出需要改进的方向。 信息处理——用于核对业务或交易的准确性、完整性和遵循性。必要时向主管领导报告。 实物控制——对设备、存货、证券、现金及其他资产实物采取保管措施,并定期进行盘点和帐实核对。 业绩指标分析——调查异常的结果和异常的变动趋势,关注那些可能影响目标实现的问题,并提出改进方案。 职责分离——职责在不同人员之间的分工或分离,可以降低发生错误或不当行为的可能性。
第二章 内部控制的目标和组成要素 在控制活动中还应注意: 一是 控制活动应和风险评估相结合 二是 不要忽视信息系统的控制作用
第二章 内部控制的目标和组成要素 要素之四:信息与沟通 第二章 内部控制的目标和组成要素 要素之四:信息与沟通 信息与沟通是指相关信息以某种形式并在某个时段被识别、获得和沟通,以促使员工履行自己的职责。 信息指来源于公司外部及内部,与公司经营相关的财务及非财务信息。信息必须及时准确地传递给需要的人,以帮助其行使各自的控制和其他职能; 沟通则是指信息在企业内部各层次、各部门以及在企业与外部环境之间的流动。
第二章 内部控制的目标和组成要素 1、信息 (1)信息的识别和获取 企业的管理活动依赖于各种信息,既包括内部生成的信息,也包括从外部获取的行业、经济、监管等方面的信息。因此,企业必须要建立良好的信息系统来识别、获得、加工和报告这些信息。 (2)信息加工和报告 有效的信息系统不仅能够识别和获得所需要的财务和非财务的信息,还能够在一定时限内根据需要加工和报告这些信息。 (3)信息系统的整合 当企业面临外部环境的变化时,信息系统必须随企业目标、经营环境的变化而变化,及时适应新的需求。
第二章 内部控制的目标和组成要素 要素之五:监 督 2、沟通 第二章 内部控制的目标和组成要素 2、沟通 (1)内部沟通 (2)外部沟通 (3)沟通的方式 要素之五:监 督 监督是评估内控系统在一定时期内运行质量的过程,目的是保证内部控制持续有效,对内部控制体系的监督可以通过持续性监督、独立评价或是将两者结合起来进行。
第二章 内部控制的目标和组成要素 COSO内控框架要素在手册中的体现 1、《体系框架分册》 2、《控制环境分册》 3、《风险评估分册》 4、《控制活动分册》 5、《信息与沟通分册》 6、《监督分册》
第二章 内部控制的目标和组成要素 COSO内控框架要素在手册中的体现 第二章 内部控制的目标和组成要素 COSO内控框架要素在手册中的体现 《体系框架分册》是统领,描述了内部控制体系的组织结构与职责,较为全面地阐述了内部控制体系的建设目标,并从整体上对五要素建设的关注点以及公司采取的措施进行了概括介绍。
第二章 内部控制的目标和组成要素 COSO内控框架要素在手册中的体现 第二章 内部控制的目标和组成要素 COSO内控框架要素在手册中的体现 《控制环境分册》描述了控制环境的概念,并从诚信与道德观、组织机构、权利和责任的分配、人力资源政策与措施、反舞弊等八个方面对内控关注要点、措施进行了阐述。 形成的自有成果:组织机构图、员工岗位职责描述、权限指引表、反舞弊程序和控制评价表说明、舞弊风险分析说明以及控制环境涉及的制度索引。
第二章 内部控制的目标和组成要素 COSO内控框架要素在手册中的体现 第二章 内部控制的目标和组成要素 COSO内控框架要素在手册中的体现 《风险评估分册》,描述了风险和风险评估的基本概念以及风险的分类,从建立风险评估目标、风险评估机制两个方面对内控关注要点及相应措施进行了阐述,并汇编了风险评估的相关方法、规范及管理制度。 形成的自有成果:业务流程目录、重要会计科目和披露事项确认规范、财务报表认定规范、重要业务单位确认规范、业务活动层面风险数据库、流程描述规范以及风险评估规范等体系性的文件。
第二章 内部控制的目标和组成要素 COSO内控框架要素在手册中的体现 第二章 内部控制的目标和组成要素 COSO内控框架要素在手册中的体现 《控制活动分册》描述了控制活动的概念及分类,对公司控制活动的实施进行了概括,并汇编了关键控制管理文件。 形成的自有成果:业务流程图、风险控制文档(RCD)以及控制活动所涉及的制度索引。该文档的主要内容包括业务处理环节中存在的风险、该风险的类型、针对该风险所采取的控制措施、实施控制的频率、实施控制后应保留的实施证据以及所依据的规章制度等具体内容构成。
第二章 内部控制的目标和组成要素 COSO内控框架要素在手册中的体现 第二章 内部控制的目标和组成要素 COSO内控框架要素在手册中的体现 《信息与沟通分册》,描述了信息与沟通的概念及要素,从信息、沟通、信息系统总体控制(GCC)、应用系统控制(AC)及信息披露等五个方面对内控关注要点及相应措施进行了阐述。 形成的自有成果:部门信息流汇总表、信息系统总体控制与应用系统控制的标准及具体措施、应用系统的划分规范及权限管理工作规范。
第二章 内部控制的目标和组成要素 COSO内控框架要素在手册中的体现 第二章 内部控制的目标和组成要素 COSO内控框架要素在手册中的体现 《监督分册》,描述了监督的概念及要素,并从持续监督、独立评估和报告缺陷三个方面对内控关注要点及相应措施进行了阐述。 形成的自有成果:管理层测试规范、缺陷认定规范、地区公司测试评价规范以及内部控制体系管理规范。
第 四 章 得到的教训–FPI频发的实质性漏洞 目 录 一 第 一 章 内部控制理论的产生和发展 第 二 章 内部控制的目标和组成要素 第 三 章 内控审计发现需要注意的事项 第 四 章 得到的教训–FPI频发的实质性漏洞
第 三 章 内控审计发现需要注意的事项 1、测试发现的一些主要问题 1) 公司层面控制 (a) 针对中石油公司层面控制的范围 第 三 章 内控审计发现需要注意的事项 1、测试发现的一些主要问题 1) 公司层面控制 (a) 针对中石油公司层面控制的范围 反舞弊、信访举报程序--职务分工,删除权限,培训 风险评估 -- 内控审计计划 经营活动分析 -- 执行力度 关键科目对账 -- 跟踪, 调查 (b) 普遍性的问题 文档缺失、 支持性文件不足 人员接受访问的对答 在美上市的外国公司要在2005年4月15日以后的财政年度向美国证监会(SEC)报备美国版年报时执行该条款,即在披露2005年年报时要有内控体系建立并有效运行的证据。
第 三 章 内控审计发现需要注意的事项 2) 业务层面控制 (a) 针对性的问题 结算日、 截止日没有严格遵守控制要求 第 三 章 内控审计发现需要注意的事项 2) 业务层面控制 (a) 针对性的问题 结算日、 截止日没有严格遵守控制要求 在建工程转资及费用预提有误 手工冲回固定资产折旧有误 (b) 普遍性的问题 控制没有得到执行或控制未按照设计运行 关键控制运行的频率与贵公司的要求不一致 风险控制文档或流程图与内部控制的实际运行不一致 在流程图中缺少对控制的描述或描述不完整
第 三 章 内控审计发现需要注意的事项 3) 信息系统总体控制及应用系统控制 (a) 针对性的问题 第 三 章 内控审计发现需要注意的事项 3) 信息系统总体控制及应用系统控制 (a) 针对性的问题 加强计算机应用系统的集中管理 (以及电子表格) SAP系统的应用对信息系统的控制的影响 (b) 普遍性的问题 数据访问-- 缺乏有效执行用户帐户维护控制和定期检查用户帐号的访问权限,影响了权责分工的有效执行。如果这种现象继续存在,则会对评估信息系统总体控制环境的有效性产生影响;其影响的重大程度与发现问题的广泛程度成正比。
第 三 章 内控审计发现需要注意的事项 2、关于第二阶段测试的说明 第二阶段测试分四类--整改测试、补充测试、更新测试以及年末财务报告流程 第 三 章 内控审计发现需要注意的事项 2、关于第二阶段测试的说明 第二阶段测试分四类--整改测试、补充测试、更新测试以及年末财务报告流程 (a) 整改测试 测试第一阶段测试中发现例外事项的控制并没有全部被整改。 半年度或年度控制频率的关键控制不容有任何例外事项。 在整改测试中仍发现例外事项,或许来不及在年末整改并测试 以确任其有效运行性。
第 三 章 内控审计发现需要注意的事项 (b) 补充测试 同样,半年度、 年度控制频率的关键控制不容有任何例外事项。 第 三 章 内控审计发现需要注意的事项 (b) 补充测试 同样,半年度、 年度控制频率的关键控制不容有任何例外事项。 补充测试中发现的例外事项控制,必须尽快作出整改并测试其有效运行性。 (c) 更新测试 补充和整改测试以外的所有控制都要进行更新测试。
第 三 章 内控审计发现需要注意的事项 (d) 年末财务报告流程内控控制 第 三 章 内控审计发现需要注意的事项 (d) 年末财务报告流程内控控制 由于404内控测试的重点在于《财务报告内部控制》, 所以年末的财务报告流程的内控测试是最关键的。 即, 就算其他的流程中的内控都有效, 如果财务报告控制发现例外事项都极有可能成为重大缺陷或实质性漏洞。
第 四 章 得到的教训–FPI频发的实质性漏洞 目 录 一 第 一 章 内部控制理论的产生和发展 第 二 章 内部控制的目标和组成要素 第 三 章 内控审计发现需要注意的事项 第 四 章 得到的教训–FPI频发的实质性漏洞
第 四 章 得到的教训–FPI频发的实质性漏洞 会计文档、政策和/或程序 控制环境 资历、培训及会计资源的充足性 信息技术、软件、安全及访问 职责分离 现金流报表的呈示及分类 收入确认 所得税核算 派生金融工具 关联方 库存及销售成本
第 四 章 得到的教训–缺陷评估 控制例外事项与缺陷评估框架仍是一项有效的工具: 仍需管理层及审计师做出重要判断; 第 四 章 得到的教训–缺陷评估 控制例外事项与缺陷评估框架仍是一项有效的工具: 仍需管理层及审计师做出重要判断; 其它实践经验将起到帮助作用。 出现最大困难的方面: 采集影响性水平的数字; 汇总; “可能因素”( “Could factor” ); 补偿性控制; 理由充分的立场。
第 四 章 得到的教训–整改 及时性的概念,以便公司对现有实质性漏洞予以整改: 年底之前,各项控制必须完成设计、执行到位并且据可操作性; 第 四 章 得到的教训–整改 及时性的概念,以便公司对现有实质性漏洞予以整改: 年底之前,各项控制必须完成设计、执行到位并且据可操作性; 在充足期限内,各项控制必须能够展示出其运行有效性。 整改工作比预期时间长: 控制缺陷的数量; IT整改需要花费大量时间 – 特别是信息系统总体控制(ITGC)。 第1年内的大量整改工作是一个“补缺”步骤;第2年取得进展,而第3年实现更大进展。
结束语 内部控制制度作为体现现代管理理论的企业管理体系,无论从满足国外对上市公司的要求,还是从加强内部管理,实现管理的系统化、标准化、程序化,适应油田公司持续、有效、快速发展,都具有非常重要的现实意义。但是,内控是一项企业管理系统工程,涉及油田公司生产经营各项业务及管理理念,如何有效推行和实施执行,后续工作任务还非常繁重,只有公司各级管理人员和全体员工的共同努力,才能把内部控制制度贯穿到管理工作的全过程,才能实现油田公司整体管理水平的提高。
谢谢 敬请批评指教