内部控制体系建设实践

1、1 内部控制实践与探索 2 主要内容 一内部控制的发展 二内部控制体系建设的必要性 三内控工作实践及成效 3 一、内部控制的发展 五个阶段 （二）内部控制制度 （四）内部控制整体框架 （三）内部控制结构 （一）内部牵制 (五）COSO企业风险管理框架 4 （一）内部牵制 主要内容 实施 相互核对账目 职务分离 （一）内部牵制 5 （二）内部控制制度 内部会计控制 内部管理控制 （二）内部控制制度 6 （三）内部控制结构 重在改进内部控制制 度的方法和提高审计 的质量和效率效果 认为“企业的内部控制结构 包括为合理保证企业特定目 标的实现而建立的各种政策 和程序” 明确内部控制结构的内容为 控制

2、环境、会计制度和控制 程序三个方面 （三）内部控制结构 7 （四）内部控制整体框架 全面接受COSO报 告的内容，该准 则指出内部控制 由控制环境、风 险评估、控制活 动、信息与沟通 和监督五部分组 成 1996年美国注册会计师 协会发布审计准则公 告第78号 （四）内部控制整体框架 8 COSO内部控制框架 反虚假财务报告委员会 内部审 计协会 (IIA) 从属于 9 反虚假财务报告委员 会于1987年号召研究 并制定统一的内部控 制框架 1992年9月发布了名为内 部控制整合框架 （即“COSO内控框架”） 的报告 最为广泛 认可的针 对内部控 制整合框 架的国际 标准 标志着内 部控制理

3、 论与实践 进入了整 体框架的 新阶段 COSO内部控制框架 10 目标 反映了几个概念 1、经营的效果和效率 2、财务报告的可靠性 3、遵守适用法律法规 1、内部控制是一个过程。 2、内部控制受人的因素影响。 3、只能期望内部控制为企业的 管理层和董事会提供合理的保证， 而不是绝对保证。 4、内部控制是为了实现一种或 多种既相互独立又相互重叠的类 别的目标。 内部控制是一个由企业董事会、管理层和其 他员工实施的、为实现各类目标提供合理保 证的过程 COSO内部控制框架 11 确认内部控制是否 进行充分的设计和 执行,以及是否具 备有效性和适应性 确保相关信息被及时 识别及传递的过程 公司对于

4、内部控制的基 本态度-”来自上层的基 调” 对于影响公司业绩的 内部及外部因素的评 估 确保被识别出规避 风险的控制措施 可以及时有效得 到实施的政策和 程序 五个部分必须同时作用才能使内部控制得以产生影响 监控 信息和沟通 控制活动 风险评估 控制环境 营运 财务报告 合规性 业 务 单 位 A 业 务 单 位 B 活 动 2 活 动 1 监督 信息和沟通 控制活动 风险评估 控制环境 营运 财务报告 合规性 业 务 单 位 A 业 务 单 位 B 活 动 2 活 动 1 COSO内部控制框架 12 控制环境 n控制环境是指一个公司的内部组织机构对风险控制控制环境是指一个公司的内部组织机构对

5、风险控制 的意识程度；是公司内部员工在进行日常业务活动的同的意识程度；是公司内部员工在进行日常业务活动的同 时承担其对风险进行控制责任的环境。时承担其对风险进行控制责任的环境。 n内控环境既包括有形因素，也包括无形因素，例如内控环境既包括有形因素，也包括无形因素，例如 ： - -职业道德职业道德 - -员工的胜任能力员工的胜任能力 - -组织架构组织架构 - -管理理念和经营风格管理理念和经营风格 - -权利和职责的分配权利和职责的分配 - -人力资源政策与措施人力资源政策与措施 - -董事会和审计委员会董事会和审计委员会 - -反舞弊反舞弊 13 风险评估 n风险评估的过程应从确定与公司各级

6、组织业务目标相关联的风险开风险评估的过程应从确定与公司各级组织业务目标相关联的风险开 始始 n公司层面公司层面 是有效内控的奠基石，同时指明了公司的整体方向是有效内控的奠基石，同时指明了公司的整体方向 应与公司的财务预算、发展战略、及业务发展计划相一致应与公司的财务预算、发展战略、及业务发展计划相一致 n业务层面业务层面 应与公司目标相一致，同时又要考虑到其更加具体的业务目标和完应与公司目标相一致，同时又要考虑到其更加具体的业务目标和完 成期限的要求成期限的要求 为管理层的日常控制提供指南为管理层的日常控制提供指南 n风险评估需要对内部及外部因素评估，同时要考虑到其对运营、财风险评估需要对内部

7、及外部因素评估，同时要考虑到其对运营、财 务报表以及法律准则的影响务报表以及法律准则的影响 14 控制活动 n控制活动是确保被识别出规避风险的控制措施可以及时有效得到实控制活动是确保被识别出规避风险的控制措施可以及时有效得到实 施的政策和程序施的政策和程序 n控制活动被融入到日常业务经营活动中，用来将风险控制在合理的控制活动被融入到日常业务经营活动中，用来将风险控制在合理的 范围内，起到预防、发现和修正的作用范围内，起到预防、发现和修正的作用 n控制活动的种类包括控制活动的种类包括 审批、授权和确认（如：权限分配）审批、授权和确认（如：权限分配） 日常的操作层面管理控制（如：对帐，差异调节）日

8、常的操作层面管理控制（如：对帐，差异调节） 绩效指标的审核（如：绩效指标的审核（如：KPISKPIS，METRICSMETRICS） 资产的安全（如：物理控制资产的安全（如：物理控制) ) 职责分离（如：保管职责分离（如：保管- -授权授权- -记录）记录） 信息系统控制（如：安全访问）信息系统控制（如：安全访问） 15 信息与沟通 n信息与沟通要求相关的内、外部信息的识别、获取、处理，并在公信息与沟通要求相关的内、外部信息的识别、获取、处理，并在公 司内部及时沟通司内部及时沟通 n通过多种正规或非正规的渠道获取信息通过多种正规或非正规的渠道获取信息 语言沟通（如：会议、反馈）语言沟通（如：会

9、议、反馈） 书面沟通（如：政策、流程、职位描述）书面沟通（如：政策、流程、职位描述） 行为示范（如：管理层以行动展示正确的方式行为示范（如：管理层以行动展示正确的方式 16 监督 n监督的目的是确认内部控制是否进行充分的设计和执行，以及是监督的目的是确认内部控制是否进行充分的设计和执行，以及是 否具备有效性和适应性否具备有效性和适应性 n监督活动的范围和频率取决于被控制风险的重要性以及对降低风监督活动的范围和频率取决于被控制风险的重要性以及对降低风 险的控制的重要程度险的控制的重要程度 n监督活动应成为正规的、常年进行的工作监督活动应成为正规的、常年进行的工作 17 美国上市公司会计监管委员会

10、（PCAOB）依据 COSO内部控制框架制订审计准则，在“管理层用 于开展其评估的框架”一节中，明确管理层要依 据一个适宜且公认的由专家组遵照应有的程序制 定的控制框架，来评估公司财务报告内部控制的 有效性。 在美国，为管理层评估提供的适宜框架就是 COSO框架。 选择COSO内部控制框架的原因 18 （五）COSO企业风险管理框架 COSO于2001年起聘用普华永道制定 一套便于管理层采用的、更广泛地 专注于企业全面风险管理的框架， 该框架没有取代COSO内控框架，而 是与其融为一体，用来评估和改进 企业的风险管理 COSO内控框架 （年） COSO企业风险管理框架COSO （年） 19 反

11、映了几个概念 1、一个正在进行中的、渗透 于企业各项活动中的过程； 2、受到企业组织各个层面人 员的影响； 3、应用于企业的战略制定； 4、应用于企业内部每个层面、 每个部门，并包括对企业所面 临的风险应有一个企业总体层 面上的风险组合观； 5、旨在识别那些如果发生就 将影响企业的潜在事件并在企 业的风险偏好之内管理风险； 6、能够向企业管理层和董事 会提供合理的保证； 7、以便在一个或更多个相互 独立但又存在重叠的类别中实 现企业目标。 企业风险管理是一 个受到企业董事会、 管理层和其他人员 影响的过程，这个 过程从企业战略制 定一直贯穿到企业 的各项活动中，旨 在识别那些可能影 响企业的潜

12、在事件 并管理风险使之在 企业的风险偏好之 内，从而合理确保 企业实现其既定目 标。 （五）COSO企业风险管理框架 20 主要内容 一内部控制的发展 二内部控制体系建设的必要性 三内控工作实践及成效 21 （一）法律法规要求 国内法律法规 会计基础工作规范 独立审计具体准则第9号内部控制与审计风险 中华人民共和国国家审计基本准则 中华人民共和国会计法 企业国有资产监督管理暂行条例 中央企业内部审计管理暂行办法 中央企业全面风险管理指引 22 企业内部控制基本规范 （一）法律法规要求 2008年5月22日，财政部、证监会、审计署、银监会、 保监会联合发文，为了加强和规范企业内部控制，提高企业经

13、 营管理水平和风险防范能力，促进企业可持续发展，维护社会 主义市场经济秩序和社会公众利益，根据国家有关法律法规， 制定并发布企业内部控制基本规范，自2009年7月1日起在 上市公司范围内实施，鼓励非上市大中型企业执行。 23 国外法律法规 证券交易法 银行组织中内控制度的框架 萨班斯奥克斯利法案 PCAOB审计准则和规范 （一）法律法规要求 24 （二）加强企业管理的客观需求 建立现代企业制度，完善法人治理结构， 实现经营机制的转换，加强企业管理，提 高企业经济效益的客观需要 我国加入WTO后参与国际竞争的迫切需要 建立统一规范的内部控制制度，使企业各 项规章制度成为一个有机的统一体，更有 效

14、地体现企业管理理念和要求 企业过去在 计划经济体 制下的管理 制度和方法 有些已不适 应市场经济 体制的要求， 客观上要求 必须进行创 新 25 促进企业朝着盈利目标的方向持续发展 适应快速变化的经济和竞争环境以及不断改 变的客户需求，并针对公司未来发展规划进 行调整 提高经营的效率，降低资产损失的风险，并 有助于确保财务报表的可靠性和对于法律法 规的遵循性 内部控制的实施 （二）加强企业管理的客观需求 26 主要内容 一内部控制的发展 二内部控制体系建设的必要性 三工作进展及成效 27 1、积极应对 n 萨奥法案颁布后，公司积极应对。对法案进行全面了解并严格执行。萨奥法案颁布后，公司积极应对

15、。对法案进行全面了解并严格执行。 n 于于2003年成立了信息披露委员会及其工作小组，并在工作小组中任命一年成立了信息披露委员会及其工作小组，并在工作小组中任命一 位披露督导，负责监督披露控制和程序操作方面的事务位披露督导，负责监督披露控制和程序操作方面的事务 n 董事会批准于董事会批准于2003年年8月启动第月启动第404条款遵从准备项目条款遵从准备项目 11 28 2、高管基调 v建立符合公司管理实际、持续满足上市地 法律监管要求的内部控制 v以法案为契机，完善内部控制制度和规范， 进一步提升公司管理水平 v以全面风险管理为核心，建立完善的内部 控制体系，增强公司的竞争力 董事会要求： 1

16、2 29 2、高管基调 v以公司现行管理为基础，参照国外公司最 佳实践，“设计有效，执行有力” v内部控制要做到 全面、全部、全过程，可靠、可控、可持 续 管理层要求： 13 30 3、项目组织 n 领导机构：领导机构：CEO/CFO负责，各部门负责人参加负责，各部门负责人参加 n 工作机构：工作机构：2003年年10月成立项目组，于月成立项目组，于2005年年12月改为内控部月改为内控部 n 公司范围内直接参与人员约公司范围内直接参与人员约1,600余人余人 工作机构工作机构 领导机构领导机构内控项目建设委员会内控项目建设委员会 内控部内控部 内控项目建设委员会内控项目建设委员会 内控项目组

17、内控项目组 内控项目建设委员会内控项目建设委员会 内控项目组内控项目组 中介机构 德勤华永公司 毕博咨询管理公司 国内13家会计师事务所 总部 各地区公司 总裁 审计师：普华永道 14 31 4、工作基础 n 法律依据：法律依据： n萨奥法案、萨奥法案、PCAOB审计准则及审计准则及SEC法规法规 n中国香港联交所法规中国香港联交所法规 n中国大陆相关法律中国大陆相关法律 n 框架基础：框架基础： nCOSO内部控制框架内部控制框架 n 公司内部控制基础：公司内部控制基础： n公司原有的管理制度规定等公司原有的管理制度规定等 15 32 5、总体工作计划 25 4 3 体系建立 实施改进 测试

18、与审计 1 项目启动 维护及改 进 组织架构 前期培训 范围界定 风险评估 文档记录 差异分析 控制改进 体系运行 复核性检查 发布手册 管理层测 试 外部审计 长期运行 持续维护 改进 2003年2004年 2005年2006年以后年度 33 6、内部控制体系框架分册 以COSO内部控制框架为基础，并 融合了COSO企业风险管理框架 公司层面控制 中国石油 内部控制体系框架 覆盖了生产经营的全过程和主要经营 管理岗位 v满足国内 外相关法律法 规的要求 v保证通过 2006年首次内 控审计 v符合风险 管理的发展趋 势 设计目标： 框架内容： 系统阐述了内 控体系建设的方法和 标准，全面涵盖

19、了以 下五要素： 控制环境 风险评估 控制活动 信息与沟通 监督 34 内控体系建设目标 n近期目标：侧重财务报告可靠性控制，满足外部审计和对外披露基本近期目标：侧重财务报告可靠性控制，满足外部审计和对外披露基本 要求。要求。 n长期目标：建立起由四大目标和八大要素构成的完整的内控体系框架长期目标：建立起由四大目标和八大要素构成的完整的内控体系框架 ，保障战略目标、经营目标、报告目标和遵从目标的实现。实现，保障战略目标、经营目标、报告目标和遵从目标的实现。实现“全面全面 、全部、全过程，可控、可靠、可持续、全部、全过程，可控、可靠、可持续”的总体要求。的总体要求。 35 7、发布内部控制管理手

20、册 v控制环境 v风险评估 v控制活动 v信息与沟通 v监督 v地区公司分册 内部控制管理手册 36 n领导重视、组织严密 成立专职管理部门内部控制部 地区公司设立了主管部门或内控项目组 董事会和管理层高度重视内控工作 8、实施工作主要做法 37 “培训、试点、推广” n方法得当，讲求实效 8、实施工作主要做法 38 对于测试发现的例外事项，及时组织改进 全面开展管理层测试和外部审计 n测试有序、整改及时 通过符合性检查，验证改进和有效执行 8、实施工作主要做法 39 9、内部控制体系实现运行有效，顺利 通过外部审计 经过经过2006年贯穿全年的管理层测试，公司对三年多年贯穿全年的管理层测试，

21、公司对三年多 来内控体系设计的有效性和执行的有效性进行了全面检来内控体系设计的有效性和执行的有效性进行了全面检 验，管理层自我评估报告的结论是：公司有效运行了一验，管理层自我评估报告的结论是：公司有效运行了一 套较为完善的内控体系，提升了公司管理水平。普华审套较为完善的内控体系，提升了公司管理水平。普华审 计师对公司同一年度内控体系运行的有效性进行了审计计师对公司同一年度内控体系运行的有效性进行了审计 ，审计结论认为：公司截止，审计结论认为：公司截止2006年年12月月31日的财务报日的财务报 告内部控制有效，并对公司告内部控制有效，并对公司2006年美国版年报年美国版年报20-F表出表出 具

22、了具了“无保留意见无保留意见”的审计报告。的审计报告。 40 p 构建具有中国石油特色的内部控制体系并实现有效运行。构建具有中国石油特色的内部控制体系并实现有效运行。 p 统一规范业务流程，实现了管理的系统化、程序化。统一规范业务流程，实现了管理的系统化、程序化。 p 开展风险评估，提升公司风险管理水平。开展风险评估，提升公司风险管理水平。 p 提升了执行力，增强了管理控制能力。提升了执行力，增强了管理控制能力。 p 提高了全员风险意识，丰富了企业文化内涵。提高了全员风险意识，丰富了企业文化内涵。 10、内部控制工作取得的主要成果 41 （1）借鉴与创新相结合。立足中国石油管理实际，借鉴国际先

23、进的管）借鉴与创新相结合。立足中国石油管理实际，借鉴国际先进的管 理经验，创造性地建立了中国石油内部控制体系框架，编制发布了国内理经验，创造性地建立了中国石油内部控制体系框架，编制发布了国内 企业第一部企业第一部内部控制管理手册内部控制管理手册，健全了工作网络，完善了内部控制，健全了工作网络，完善了内部控制 监督检查规范。建立起比较完整、系统的内部控制管理运行机制。监督检查规范。建立起比较完整、系统的内部控制管理运行机制。 （2）实现持续有效运行。通过强化和完善监督机制，持续改进，内部）实现持续有效运行。通过强化和完善监督机制，持续改进，内部 控制各项要求得到进一步落实。控制各项要求得到进一步

24、落实。2007年内控测试发现例外事项与上年同年内控测试发现例外事项与上年同 比降低了比降低了95%以上。以上。 1）构建具有中国石油特色的内部控制体系 并实现有效运行 42 （3）实现体系全面覆盖。海外公司、控股公司体系建设进一步完善。）实现体系全面覆盖。海外公司、控股公司体系建设进一步完善。 未上市企业遵循集团公司的统一部署，未上市企业遵循集团公司的统一部署， 按照按照“总体规划，分步实施总体规划，分步实施”的的 原则，制定了周密的工作计划，加快协调推进。原则，制定了周密的工作计划，加快协调推进。 （4）在巩固完善财务报告控制的基础上，内控体系进一步向全面风险）在巩固完善财务报告控制的基础上

25、，内控体系进一步向全面风险 管理和专业管理深化延伸，对科研开发管理，衍生产品交易、境外资金管理和专业管理深化延伸，对科研开发管理，衍生产品交易、境外资金 管理等业务，开展流程梳理、风险评估与控制设计。管理等业务，开展流程梳理、风险评估与控制设计。 1）构建具有中国石油特色的内部控制体系 并实现有效运行 43 在内控体系建设过程中，创新运用流程管理方法，实现岗位职责、在内控体系建设过程中，创新运用流程管理方法，实现岗位职责、 风险控制与业务流程有机结合，是对传统管理的总结和提升。主要开展风险控制与业务流程有机结合，是对传统管理的总结和提升。主要开展 了三方面的工作：了三方面的工作： n 建立了统

26、一的业务流程架构，涵盖公司全部业务领域，实现业务流程建立了统一的业务流程架构，涵盖公司全部业务领域，实现业务流程 的标准化和规范化。的标准化和规范化。 2）统一规范业务流程，实现了管理的系 统化、程序化 44 n 建立了公司统一的业务流程管理信息系统，并上线建立了公司统一的业务流程管理信息系统，并上线 运行，形成了规范的业务流程数据库。运行，形成了规范的业务流程数据库。 n 开展业务流程规范化试点开展业务流程规范化试点 流程作为工具和平台，将业务操作、管理制度、工作流程作为工具和平台，将业务操作、管理制度、工作 职责、风险和控制、信息化建设等融合为一体，强化了职责、风险和控制、信息化建设等融合

27、为一体，强化了 控制，提高了管理效率。业务流程管理成为公司实现科控制，提高了管理效率。业务流程管理成为公司实现科 学管理的重要手段。学管理的重要手段。 2）统一规范业务流程，实现了管理的系 统化、程序化 45 按照国资委按照国资委中央企业全面风险管理指引中央企业全面风险管理指引的要求，参照的要求，参照 COSO 企业风险管理框架和澳新标准，借鉴国际大企业风险企业风险管理框架和澳新标准，借鉴国际大企业风险 管理实践，研究建立公司风险评估方法论。运用方法论，评估管理实践，研究建立公司风险评估方法论。运用方法论，评估 公司经营管理主要业务面临的重大风险。编制完成公司层面风公司经营管理主要业务面临的重

28、大风险。编制完成公司层面风 险评估及对策研究报告，系统地提出了建立全面风险管理机制险评估及对策研究报告，系统地提出了建立全面风险管理机制 的思路，为开展全面风险管理奠定了基础。的思路，为开展全面风险管理奠定了基础。 3）开展风险评估，提升公司风险管 理水平 46 风险评估方法论在股份公司的实践运用及成效风险评估方法论在股份公司的实践运用及成效 n建立了风险数据库。建立了风险数据库。 n完善了风险控制措施。完善了风险控制措施。 n建立统一的信息系统控制管理制度，完成了应用系统建立统一的信息系统控制管理制度，完成了应用系统 控制设计。控制设计。 n对内控体系的有效性进行持续监督，实现持续改进。对内

29、控体系的有效性进行持续监督，实现持续改进。 n建立法律风险数据库和完善针对法律风险的控制设计建立法律风险数据库和完善针对法律风险的控制设计 。 通过内控体系建设，系统地建立了报告风险、法律风通过内控体系建设，系统地建立了报告风险、法律风 险防控机制，将公司风险管理提升到一个新水平。险防控机制，将公司风险管理提升到一个新水平。 3）开展风险评估，提升公司风险管 理水平 47 n内部控制体系要求在按流程运行、按程序操作、按控制执行的关键环节内部控制体系要求在按流程运行、按程序操作、按控制执行的关键环节 ，都必须留下可供查实的证据，使规章制度执行具有可检查性。，都必须留下可供查实的证据，使规章制度执

30、行具有可检查性。 n通过强化日常监督、全过程测试和改进，使管理的各个关键环节始终处通过强化日常监督、全过程测试和改进，使管理的各个关键环节始终处 于受控状态，促进了执行力的提升，促进了长期以来管理难点的解决。于受控状态，促进了执行力的提升，促进了长期以来管理难点的解决。 各级管理人员在经营管理日常工作中，突出风险防范，各项业务都用公各级管理人员在经营管理日常工作中，突出风险防范，各项业务都用公 司制度、规范来检查要求，重程序、重证据，不断纠正粗放管理的习惯，司制度、规范来检查要求，重程序、重证据，不断纠正粗放管理的习惯， 内部控制开始融入管理工作的各个环节，成为经营管理的重要组成部分。内部控制

31、开始融入管理工作的各个环节，成为经营管理的重要组成部分。 4）提升了执行力，增强了管理控制 能力 48 在内控体系建设和运行过程中，通过广泛的宣传教育，广在内控体系建设和运行过程中，通过广泛的宣传教育，广 大员工对内控工作重要性、必要性的认识不断加深，树立了风大员工对内控工作重要性、必要性的认识不断加深，树立了风 险无处不在、风险无时不在、风险管理责任重大的风险管理理险无处不在、风险无时不在、风险管理责任重大的风险管理理 念，逐步形成以守法意识、诚信意识为重点的风险管理文化，念，逐步形成以守法意识、诚信意识为重点的风险管理文化， 丰富了企业文化内涵。讲流程、讲规范、讲控制已经成为公司丰富了企业文化内涵。讲流程、讲规范、讲控制已经成为公司