最新-中石化-企业内部控制评价与改进

1企业内部控制评价与改进企业内部控制设计与评价操作实务专题班主讲人:邱发森螳螂捕蝉，黄雀在后23内容提要一、内控制度建设及其持续改进二、内控审计评价操作及其持续改进三、内控测试方法及常见实质性漏洞四、内控评价报告及其考核利用五、内控审计评价的效果及体会4内容提要一、内控制度建设及其持续改进二、内控审计评价操作及其持续改进三、内控测试方法及常见实质性漏洞四、内控评价报告及其考核利用五、内控审计评价的效果及体会一、内控制度建设与持续改进5(一)内控制度的建设及实施历程(二)企业内部控制架构和体系(三)企业内控制度体系持续改进(一)内控制度的建设及实施历程6构建全面风险管理的内部控制新机制1.1风险管理和内部控制的监管要求1.2处理好两个关系:全面风险与内部控制的关系;企业风险管理体系与企业内部控制体系的关系1.3企业采用的内控框架:内控评价处理好为什么要评价、怎么评价、评价什么的问题1.4企业内控制度的建设过程1.1风险管理和内部控制监管要求—国外71985年，coso委员会成立1987年，coso提出整合内控的概念1992年，COSO委员会发布《内部控制整合框架》IC1994年，coso对IC框架进行修订，得到美国审计署和美国注册会计师协会的认可2002年,美国《萨班斯-奥克斯利法案》对内部控制的要求2004年9月，coso发布《企业内部风险管理整合框架》ERM框架1.1风险管理和内部控制监管要求—国内8上海证交所《上市公司内部控制指引》（2006.7)国资委《中央企业全面风险管理指引》(2006.6)深圳证交所《上市公司内部控制指引》（2007.7)五部委《企业内部控制基本规范》(2009.7.1实施)五部委《企业内部控制配套指引》包括应用指引18项、评价指引和审计指引三部分(2011.1.1起境内外同时上市公司施行，鼓励非上市大中型企业提前执行)91.1企业内控制度定位美国《萨班斯-奥克斯利法案》(2002)香港联交所《企业管治常规守则》(2006)上海证交所《上市公司内部控制指引》（2006)国资委《中央企业全面风险管理指引》(2006)五部委发布《企业内部控制基本规范》(2008)五部委发布《企业内部控制应用指引》、《评价指引》和《审计指引》(2010)财务、管理信息真实可靠；保障资产安全完整；规范经营行为，提高风险管理水平；促进健全制度化管理体系；完善法人治理结构；集团、股份一体化管理。外部监督企业自身需要1.2全面风险与内部控制的关系101.2全面风险与内部控制的关系111.2全面风险与内部控制的关系----风险清单___12131.3企业采用的内控框架内部控制是为遵循国内外监管要求，提高风险管理能力和经营管理水平，由公司董事会、管理层及其全体员工实施的，为经营活动的效率和效果、财务报告的可靠性、相关法律法规的遵循性等目标的实现而提供合理保证的过程。COSO扩充三个要素，2004年9月推出：“企业风险管理整体架构”控制环境风险评估控制活动信息与沟通监督COSO报告：内部控制–综合性框架14COSO企业风险管理整体框架运营公司层面分支机构战略报告遵循分、子公司业务板块监控信息与沟通控制活动风险应对风险分析风险识别目标设定内部环境1.3企业采用的内控框架（续）（ERM）152003年，总部编制《内部控制手册》2004年，公司试行，分子公司制定实施细则2005年，公司正式实施内控制度2004～2009年，6次修订内控手册2005～2009年，5次全面内控检查(每年组织近300人分16个小组历时一个月)2006～2008年，3次外部审计，无“披露缺陷”2010～2011年，集团、股份内控制度一体化1.4企业内控制度的实施历程161.4企业内控制度的建设过程2003年上半年2003年7-10月2003年11月2004年2004年10月由董事会审议、批准2002年下半年管理层讨论、搜集资料2005年正式实施持续实施检查修订总部成立领导小组、编制内控手册总部组织到18家企业测试、定稿动员培训、全面试行总部部门编工作流程、分公司编实施细则结合试行、组织修订1.4企业组织结构——风险三道防线17一、内控制度建设与持续改进18(一)内控制度的建设及实施历程(二)企业内部控制架构和体系(三)企业内控制度体系持续改进19(二)企业内控制架构和体系内部控制度体系***公司《内部控制手册》内部控制相关的管理制度分公司《实施细则》子公司《内控手册》《研究院内部控制手册》企业内控制体系——手册结构20企业内控制体系——总则21（一）内部控制的含义：内部控制是由公司董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。主要由内部环境、风险评估、控制活动、信息与沟通、内部监督五个要素构成。（二）内部控制的目标：确保经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。22总则——内部控制的含义、目标总则——建立和实施内部控制的八大原则（上）23一是合规性原则：内部控制必须符合国家的法律、法规和政策；符合上市地（上海、香港、纽约、伦敦）证券监管机构有关上市公司的法律、法规和要求。二是全面性原则：内部控制应当贯穿决策、执行和监督全过程，覆盖公司及所属企业的各种业务和事项，涉及全体员工。公司的每一位员工既是内部控制的主体，又是内部控制的客体；既要对其负责的作业实施控制，又要受到其他人员或制度的监督与制约。三是系统性原则：公司构建系统的内部控制体系，确保各部门和各岗位均能按特定的目标相互协调的发挥作用，最终实现公司内部控制的总体目标。四是重要性原则：内部控制应当在全面控制的基础上，关注公司战略决策、重要业务事项和高风险领域。总则——建立和实施内部控制的八大原则（下）24五是制衡性原则：内部控制应当在治理结构、机构设置及权责分配、业务流程等方面相互制约、相互监督，使一个岗位或一个部门对一项或多项存在较大风险的经济业务活动没有完全的处理权，必须经过不相容的其他岗位或部门的验证、核对和制约；同时应兼顾运营效率。六是适应性原则：内部控制应当与公司经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。七是成本效益原则：内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。应实行有选择的控制，努力降低控制成本，改进控制方法和手段，提高效率。八是包容性原则：内控手册力求避免与公司现行各项管理制度相矛盾，尽可能包容现行制度中的内部控制。对确实脱离实际的其他各项管理制度，应及时修改、完善，并以内控手册规定为准。企业内控制体系——公司层面控制25企业内控制体系——公司层面控制26企业内控制体系——业务层面控制27企业内控制体系——业务层面控制28企业内控制体系——权限指引29企业内控制体系——检查评价与考核办法30企业内控制体系——附则31企业内控制体系——风险清单（1）32企业内控制体系——风险清单（2）33一、内控制度建设与持续改进34(一)内控制度的建设及实施历程(二)企业内部控制架构和体系(三)企业内控制度体系持续改进1、两级内控体系，落实内控责任；2、上市与非上市一体化，适应公司发展；3、扩大内控范围，提升内部控制；4、关注目标和风险，强化控制效果；5、结合系统应用，提高内控信息化程度；6、改变检查方式，提高内控评价质量。（三）内控制度体系持续改进35（三）内控制度体系持续改进36（三）内控制度体系持续改进37（三）内控制度体系持续改进38（三）内控制度体系持续改进39（三）内控制度体系持续改进40内控制度建设的持续改进小结411.体制和机构调整:集团、股份内控制度一体化整合2010年4月2.内控制度改进的主要特点：（1）促进建立集团公司、企业两级内控制度体系。（2）内容更完整、内控范围扩大。（3）植入风险清单，为开展全面风险管理工作做准备。（4）深化内部控制与信息系统有机结合。内控制度建设的持续改进小结423.内控制度改进的主要内容：(1)总则:适用范围增加了对中外合资公司、境外公司及机构。(2)公司层面控制:一是内部环境：新增社会责任、发展战略。二是风险评估：从风险组织管理体系、风险识别和分类、风险评估、风险应对和风险监督与报告五个方面提出了控制要求。三是信息与沟通：从信息收集机制、信息沟通机制、内部报告、保密管理和信息技术整体机制五个方面，全面梳理信息控制要求。四是内部监督：建立与实施情况进行监督检查评价的总要求，包括内部监督架构和内部监督分类及评价两个部分。内控制度建设的持续改进小结433.内控制度改进的主要内容：(3)业务层面控制业务层面控制是本次整合工作量最大的核心内容。一是先整合、优化集团、股份内控手册原90个业务流程；二是将已经识别出来的风险点和控制目标逐个对应到每一项控制要求并修改部分关键控制点，同时根据控制点修改、补充风险清单；三是根据完善包括新增对应系统流程及权限指引的内控矩阵项目，绘制“示意图”；将内控手册业务层面控制的内容定位为“内部控制矩阵”，包括适用范围、控制目标、内部控制矩阵、相关制度、示意图等五部分内容（2011版手册包括20大类型66个内控距阵2173个控制点；2009年18大类59个业务流程1272个控制点）内控制度建设的持续改进小结443.内控制度建设改进的主要内容：(4)权限指引从“一套班子、一套标准，两级管理”管理模式出发，按照“权责对等”的原则，充分调动总部部门和企业积极性，进一步明确责任主体，减少程序，提高效率，对权限指引从审批内容、整合后的审批层级、对企业的授权管理等进行了较大幅度的修订。一是全面地梳理现有制度中涉及权限审批内容，完善权限指引中的业务类型，避免与现行制度相矛盾。二是全面整合了上市与非上市的权限范围和内容，同时对审批层级进行了调整。(5)附则。包括风险清单、信息系统控制流程清单、ERP系统权限控制标准等5部分。45内容提要一、内控制度建设与持续改进二、内部控制审计评价的操作与改进三、内部控制测试方法及常见实质性漏洞四、内部控制评价报告及完善改进五、内部控制审计评价的效果及体会二、内部控制审计评价的操作与改进46（一）内部控制审计评价的改进内控评审实现的“6个突破”（二）内部控制审计评价的操作1.内部控制审计评价的依据2.内部控制审计评价的范围3.内部控制审计评价的流程（一）内部控制审计评价的改进47改进的目标是：内控有制度、操作有程序、过程有监控、风险有监测、工作有评价、责任有追究内控评审实现的“6个改进”一是内控评审管理体制的改进；二是内控评审工作理念的改进；三是内控评审监督方法的改进；四是内控评审工作手段的改进；五是内控评审管理工作的改进；六是内控评审工作成果的改进。一是内控评审管理体制的改进481.建立了新的审计管理体制2007年建立“两个层次、双重管理、分层负责”，“上审下”与“同级审”相结合，审计业务与审计管理适当分离的审计管理新体制总部层面：定编200人,审计局本部调整为以管理和指导为主的审计管理机构，主要行使审计管理职责；成立北京、南京、广州、武汉新设4个区域审计分局，作为审计局的派出机构，专门行使审计监督职责。企业层面:按照“直属企业应当独立设置内审机构，内审机构要能有效行使职能以及审计必须覆盖所有企业”要求,已有78户企业独立设置了审计机构,目前定编1441人。492.内控组织体系的发展与变化2003-2006年总部内控职能部门：股份财务部内控办,全面负责组织系统内企业内控抽查与评价企业内控职能部门:企业审计处、企改处或法律处等，负责组织本企业内控自查与评价2007-2009年总部内控职能部门：股份财务部牵头组织系统内企业内控抽查与评价，同时股份审计部负责部分企业的独立审计与评价（每年25-30户）2010-2011年总部内控职能部门：由财务部门调整至企业管理部门，同时股份审计部负责全系统企业的内部控制的独立审计与评价内控制度审计的发展与变化审计理念的大转变过去：“为了内控而内控”现在：“四大”科学审计理念•“大审计”理念