股份公司内部控制体系建设情况介绍

股份公司内部控制

体系建设情况介绍二○○四年十月项目背景内控体系框架和工作思路项目进展情况及存在的主要问题美国本土公司项目进展情况下一步工作安排几点体会主要内容项目背景2001年年底以来，美国安然、世通、施乐、默克制药等一批大公司会计丑闻接连曝光，诚信危机震撼着美国及国际社会，使人们对美国式自由市场经济制度产生质疑，全球舆论的焦点集中于美国企业的假账丑闻，这也暴露了美国现行法律的诸多不足。项目背景为了提高民众对美国金融市场、政府经济政策的信心，2002年7月30日，美国总统布什签署了《萨班斯－奥克斯利法案》（以下简称《法案》）。这是一项旨在加强会计监督、强化信息披露、完善公司治理、防止内幕交易的法案。它规定对违反本法案和渎职以及做假账的企业主管将实行严厉的制裁，对上市公司实行更为严格的监管，是自20世纪30年代美国企业法规基本框架建立以来最大的一次改革，使美国的公司治理迈入新里程。《法案》同样适用于包括中国石油在内的所有在美国上市的外国公司。对于中国石油来说，它的生效时间是2005年7月15日开始的会计年度。与股份公司关系密切的是法案的第302条款和第404条款。项目背景《法案》第302条款主要规定：公司对于财务报告的责任要求向美国证券交易委员会（以下简称“SEC”）提交定期财务报告的公司，在每一个年度或季度定期报告中就某些财务事宜附一份由公司首席执行官和首席财务官签署的书面认证文件（SEC已按国会要求于2002年8月27日正式颁布了实施细则）,以保证公司提交的财务报告在所有重大方面公允地反映了公司的财务状况和经营业绩。项目背景《法案》第404条款主要规定：管理层对内部控制的评价外部审计师对管理层提供的内部控制评价进行审核和报告项目背景项目背景管理层对于内部控制的责任（1）管理层必须记录与财务报表所有重要会计科目和披露事项相关的内部控制设计；（2）管理层必须测试与财务报表所有重要会计科目和披露事项相关的内部控制，而且测试应当涵盖内部控制的全部要素。

（3）管理层必须执行适当程序以获得充分的证据并保留相关记录，来支持其公司对于内部控制有效性实施的评价。项目背景管理层对于内部控制的责任

（4）管理层对内部控制实施评价是公司内部控制的一部分，它代表了公司监督内控的一个重要方面。可以使用内部审计师、公司其他人员和第三方协助其进行评价工作但不能将其对公司内部控制进行评价的责任委派给外部审计师或其它任何第三方。（5）如果公司发现了一个或多个内部控制严重不合格（MaterialWeakness），管理层就不能认定公司的内部控制是有效的。（6）管理层的报告必须披露所有严重不合格（MaterialWeakness）。项目背景404条款要求上市公司在年度报告中，必须说明公司管理层建立和维持良好内部控制、审查报表、披露所有实质性缺陷的职责，并建立相应的制度和机制来保证公司内部有合理的控制结构和控制措施。项目背景

外部审计师的责任

如果审计师断定管理层没有履行上述责任，审计师必须以书面形式告知公司管理层和审计委员会声明其财务报告内部控制的审计工作无法被满意地完成，并拒绝对管理层的评价和财务报告内部控制的有效性发表意见，或退出该项目。项目背景《法案》一方面强调加强上市公司的信息披露来降低信息的不对称，另一方面，通过加大公司高级管理人员及会计从业人员的法律责任（尤其是刑事责任）提高舞弊的成本来保障信息的可靠性。项目背景《法案》对上市公司审计委员会和高级管理人员（尤其是首席执行官和首席财务官）在公司治理及财务披露信息方面的责任和权利进行了细化，同时加大对公司管理层及白领犯罪的刑事责任，例如，《法案》要求公司高级管理人员对财务报告的真实性宣誓（签署声明），并就提供不实财务报告分别设定了10年或20年的刑事责任，规定销毁审计档案最高可判20年监禁。项目背景从安然事件美国休斯顿法院对其总裁肯尼斯·莱的指控来看，“我不知道”已不能作为总裁推卸责任的借口，他们必须投入更多的时间和精力，关注财务报告的真实性，确保内部控制的有效运行。项目背景内部控制体系的建立将耗用大量的人力、物力和财力。但这项工作的开展一方面满足了上市地管理机构对公司监管的要求，另一方面也符合我国会计法律制度及公司监管的基本要求。从现实意义上来说，有助于完善现代企业制度、提升公司管理水平、为实现股份公司的长远发展战略夯实基础。项目背景近期，纽交所前主席利维特和里根时代的美联储主席沃尔克（Volker）联名在《华尔街日报》撰文，题为《保卫萨班斯法案》。他们认为，从长远角度看，《法案》能够给公司带来的利益远大于现在公司消耗的资金。尽管代价高昂，这也是必要的，因为一旦发生公司丑闻，投资者的损失将远远超过公司目前付出的成本。项目背景内控体系框架和工作思路项目进展情况及存在的主要问题美国本土公司项目进展情况下一步工作安排几点体会主要内容

内控体系框架和工作思路

采用COSO作为内控体系框架工作思路及组织方式总体安排采用COSO作为内控体系框架

内控体系框架和工作思路

美国证券交易委员会（SEC)唯一推荐使用的内部控制框架就是COSO控制框架，《法案》第404条款的《最终细则》明确表示COSO内部控制框架可以作为评价企业内部控制的标准。

COSO，是自愿性的私人组织，致力于通过强化商业道德、建立完善有效的内部控制和法人治理结构以提高财务报告的质量。它从属于1985年成立的反虚假财务报告委员会(也被称为Treadway委员会)。COSO由美国注册会计师协会(AICPA)、内部审计协会(IIA)、财务经理协会(FEI)、美国会计学会(AAA)、管理会计学会(IMA)等多个专业团体组成。内控体系框架和工作思路

COSO框架下内部控制定义：

内部控制是由企业董事会、管理层和其他员工实施的，为经营活动的效率和效果、财务报告的可靠性和相关法律法规的遵从性等目标的实现而提供合理保证的过程。

内控体系框架和工作思路

内部控制被定义为一个过程……..由公司的董事会、管理层和其它员工共同实施………被设计以提供合理保证……..有关以下目标的实现：经营的效果和效率财务报告的可靠性法律和法规的遵从性

内控体系框架和工作思路

COSO控制框架共有控制环境、风险评价、控制活动、信息与沟通、监控五个要素，覆盖了公司生产经营活动的所有空间和时间，包括从文化理念到考核结果的评价等各个方面。

内控体系框架和工作思路

COSO控制框架的五要素

内控体系框架和工作思路

控制环境：确定企业的氛围，直接影响企业员工的控制意识，是推动企业发展的发动机，也是内控体系的核心。控制环境涉及诚信与道德观（企业文化）、员工胜任能力、董事会和审计委员会、管理经营理念和经营风格、组织结构权力和责任的分配以及人力资源政策等七个方面内容。要素之一：控制环境

内控体系框架和工作思路

要素之二：风险评估风险评估是识别、分析相关风险以实现既定目标的过程，它是风险管理的基础。每个企业都面临着诸多来自内部和外部的风险，影响企业既定目标的实现。因此，必须形成一套有效机制，按照一定标准来识别、分析和管理影响目标实现的相关风险，并适时加以管理。

内控体系框架和工作思路

要素之三：控制活动控制活动是指那些有助于管理层决策顺利实施的政策和程序，也包含对风险采取的控制措施。包括诸如批准、授权、查证、核对、经营业绩评价、资产保全措施和职责分工等。

内控体系框架和工作思路

要素之四：信息与沟通信息与沟通是指必须确定那些是企业经营管理所需的信息并将其及时传递给相关人员，以便员工履行其职责，全方位支持决策和执行。信息不仅包括内部产生的信息，还包括与企业经营决策和对外报告相关的外部信息。

内控体系框架和工作思路

要素之五：监控

监控是对内部控制体系有效性进行评价的过程。对内部控制体系的监督可以通过持续性监督、独立评价或是将两者结合起来进行。

内控体系框架和工作思路

采用COSO作为内控体系框架工作思路及组织方式总体安排

内控体系框架和工作思路

全面梳理业务流程，锁定与财务相关的业务分析确认风险，提出控制要求缺口分析，提出整改建议补充完善现行规章制度工作思路建立测试标准，监控体系运行

内控体系框架和工作思路

工作组织方式采用统一安排部署和试点、培训、推广相结合的方式，分阶段组织实施。

内控体系框架和工作思路

采用COSO作为内控体系框架工作思路及组织方式总体安排内控体系框架和工作思路1.1给核心组领导提供培训1.2双方工作组组建1.3建立工作组工作流程、人员分工1.4工作组成员培训1.5总部管理现状访谈1.6现状描述报告2.1流程标准确定2.2确认相关业务2.3标准业务流程描述及现有管理制度汇集2.4业务流程培训2.5地区公司描述业务流程及差异分析和汇总2.6完善标准业务流程及描述2.7本阶段工作报告，完成的流程和制度现状3.1风险确定的标准3.2试点单位和总部分析确定风险3.3风险确认及差异分析培训3.4地区公司进行风险确认差异分析及汇总3.5结合流程完善总体的风险确认3.6风险评估、确定该项目必控风险3.7内控现状与COSO的缺口分析3.8建议报告，提出工作方法和内控方案3.9核心组审核确定内控方案4.1试点确定标准4.2标准培训、其他单位差异分析4.3差异汇总4.4完善内控体系5.1建立内控体系运行评价程序及标准5.2运行及评价培训5.3运行检测及反馈5.4进一步完善5.5项目评审5.6项目完成及验收报告6.1项目交接6.2审计测试6.3日常维护及完善6.4内控声明和组织协调年度审计2543相关业务流程描述及现有管理制度汇集风险分析、评估、确认完善内控体系内控体系内部测试1项目启动和前期培训6维护及改进（该阶段不包括在本项目中）内控体系框架和工作思路确定流程目录描述业务流程确定控制措施，并归集有关规章制度提出整改方案和措施对控制制度进行补充完善对内部控制运行有效性进行测试针对测试结果设计补救方案流程和现状描述阶段2004年6月底改进与完善阶段2004年9月16日-11月底测试阶段2004年12月-2005年3月风险控制分析阶段2004年7-9月15日分析控制记录的差异分析控制设计的差异确定现有的控制点完善控制环境内控体系建设工作进度安排表项目背景内控体系框架和工作思路项目进展情况及存在的主要问题美国本土公司项目进展情况下一步工作安排几点体会主要内容项目进展情况存在的主要问题项目进展情况及存在的主要问题2003年8月下旬，董事会决定中国石油按照《法案》要求建立内部控制体系，此后，公司组建了项目核心组（现更名为内控项目建设委员会），统一开展工作部署。同年12月，项目组正式成立。项目进展情况2004年3月，股份公司召开了内部控制体系建设项目启动大会，王国樑总监和王福成副总裁分别就如何开展内部控制体系建设和贯彻会议精神作了重要部署，提出了具体要求，内部控制体系建设工作全面启动。项目进展情况2004年4月，项目组拟定了股份公司业务流程目录并在沈阳和西安举办了首期内控体系建设培训班。随后，各地区公司按照项目组的统一要求，结合实际情况全面开展了业务流程描述。到6月中旬，按期完成了描述工作。期间，项目组选择试点单位进行现场指导，对本阶段工作起到了推动作用。项目进展情况2004年7月，项目组按照美国上市公司会计监管委员会（PCAOB）最终确定的内部控制「审计标准」，在进行了大量前期调研的基础上，建立了影响财务报告的准确性、资产安全性和营私舞弊等方面的风险数据库，并于7月下旬举办了风险控制分析培训班，为开展风险控制分析做好了准备。项目进展情况2004年8月至9月中旬，各地区公司按照项目组确定的风险数据库，结合自身管理实际，完成了风险控制文档的编制工作，查找制度差异和控制差异，收集整理管理制度。项目组对四十多家地区公司进行了风险控制分析的现场指导，并全面复核了地区公司上报的风险控制文档，提出了整改意见。项目进展情况项目进展情况进行控制环境分析，提出改进意见

根据美国相关法规要求和COSO控制框架关注点，通过进行大量访谈和收集相关资料，分析了股份公司整体的内控环境现状，编制了《控制环境描述表》，形成了《控制环境、监督、反舞弊改进意见》，目前项目组正与相关部门一起落实改进意见。项目进展情况总体上，到目前为止：已完成：第一阶段项目启动和前期培训；第二阶段业务流程描述；第三阶段风险控制文档的初步描述；正在进行的工作：第三阶段风险与控制文档完善、第四阶段改进与完善，并研究制定测试方案。