大庆油田内部控制体系的设计与实施.doc

大庆油田内部控制体系的设计与实施第2章大庆油田内部控制体系现状分析2.1大庆油田概况大庆油田1959年发现，1960年投入开发，是我国目前最大的油田，也是世界上为数不多的特大型砂岩油田之一。油田位于黑龙江省中西部，松嫩平原北部，由萨尔图、杏树岗、喇嘛甸、朝阳沟等52个油气田组成，面积约6000平方公里。勘探范围包括黑龙江省全境，内蒙古海拉尔盆地、吉林延吉、珲春盆地和西藏羌塘等19个盆地，登记探矿权面积24.9万平方公里。油田开发建设49年来，创造了我国石油工业的“三个第一”：原油产量第一，累计生产原油19.5亿吨，占全国同期陆上原油总产量的40%以上；上缴利税第一，共为国家上缴各种资金1万多亿元，2000年以来连年位居中国纳税百强企业榜首；原油采收率第一，主力油田采收率已突破50%，比国内外同类油田高出1015个百分点，从1976年开始，实现年产原油5000万吨以上持续27年高产稳产，“十五”期间年均油气当量仍然保持在5000万吨水平，创造了世界同类油田开发史上的奇迹。大庆油田不仅为国家创造了巨大的物质财富，而且形成了一整套非均质大型砂岩油田地质开发理论及工程技术系列；培育了以“爱国、创业、求实、奉献”为主要内容的大庆精神、铁人精神，以及“三老四严”、“四个一样”等优良传统，形成了独具特色的企业文化，创出了享誉中外的大庆品牌，大庆精神成为中华民族精神的重要组成部分；涌现出以铁人王进喜、新时期铁人王启民为代表的英雄群体，成为我国工业战线的一面旗帜；践行“奉献能源，创造和谐”的企业宗旨，积极支持地方建设，建成了功能配套、环境优美的新型矿区，促进了经济社会的整体协调共同发展。近年来，通过推进理论和技术创新，形成了世界领先的大庆油田三大特色勘探理论及技术系列，迎来了石油勘探第三次储量增长高峰期，油田开发继续保持世界领先水平，实现了油田高含水后期的高水平、高效益开发；新的业务6区域进一步拓展，取得了进口俄罗斯原油的经营权，收购了蒙古国塔木察格盆地3个石油区块，迈出了大庆油田独立勘探开发海外油田的第一步；石油工程技术服务实现了快速发展，已有300多支队伍进入28个国家和地区，以及国内29个省、市、自治区，其中钻探业务进入了美国、印尼、委内瑞拉、埃及、苏丹等国际市场；先后承揽和参与了国家西气东输工程、沪宁高速公路、大连石油战略储备基地等20多项国家级重点工程建设项目，在国内工程建设施工领域创出了“大庆建设”品牌；石油装备制造产品市场占有率不断扩大，形成了以抽油机、潜油电泵、螺杆泵、射孔弹为主的20个系列150种产品，产品远销美国、加拿大、印尼等10多个国家；油田化工生产能力进一步提高，拥有东北地区规模最大的20万吨/年醋酸装置、国内最大的20万吨/年轻烃分馏装置及亚洲最大的5万吨/年戊烷精细分离装置，重烷基苯磺酸盐生产成为集团公司的生产基地，主导产品为甲醇、甲醛、液氨、液化石油气、工业混合烷、重烷基苯磺酸盐，以及荧光增白剂和中间体等精细化工产品。2000年1月1日，大庆油田有限责任公司注册成立，是中国石油天然气股份有限公司的全资子公司，是以石油、天然气的勘探开发为主营业务的国家控股特大型企业。注册资本475亿元，固定资产671亿元。下属勘探开发、技术服务、科研设计和产品销售等厂（分公司）25个，现有员工117144人。大庆油田有限责任公司的财务业绩优良，2004年、2005年、2006年、2007年的利润总额分别为697.64亿元人民币、1024.87亿元人民币、1192.98亿元人民币和1124.96亿元人民币。2004年、2005年、2006年、2007年的销售收入分别为1049.46亿元人民币、1492.37亿元人民币、1883.75亿元人民币和2030.08亿元人民币。2.2大庆油田内部控制体系简介2.2.1体系设计原则(1)合法性原则。以国内及上市地法律法规为准绳，结合公司实际建立内部控制体系。(2)完整性原则。以COSO内部控制整体框架为基础，融合COSO企业风险管理整体框架的主要内容，结合国家监管部门的基本要求，全面开展内部控制体系建设，覆盖全部业务和部门。(3)继承性原则。在公司现有管理体系的基础上，依托已有管理优势，建立内部控制体系。(4)效率性原则。在保证体系设计合理性的前提下，提高公司运营效率和效益。2.2.2体系架构大庆油田内部控制体系架构采用美国证券交易委员会唯一推荐使用的COSO内部控制框架。体系架构由控制环境、风险评估、内控活动、信息与沟通、监督五要素组成，每部分设计内容取决于管理层经营企业的方式，并融入大庆油田管理过程本身，可以用COSO内部控制及整合框架模型表示。以规避重要风险为目标，以统一性、规范性、可操作性为原则确认了关键控制流程1870项，重要风险2250项，关键控制4760项。(5)信息与沟通部分介绍了信息、沟通、信息披露和信息系统总体控制、信息系统应用控制等分要素的内控关注要点、措施和文档性记录，并描述了公司总部各部门内控相关信息流汇总表及编制说明。文档包括：业务活动与应用系统索引目录、关键应用系统调研问卷、财务关联信息系统清单、财务关联信息系统手工操作、电子表格汇总表和信息与沟通涉及的制度索引。业务活动与应用系统索引目录该部分将公司业务流程与应用系统相对应，说明了与财务相关的系统在业务流程中分布。财务关联信息系统清单是对与财务相关联的信息系统对财务系统和财务报告影响等方面进行分析，包括物资信息系统、IC卡自动加油系统。(6)监督部分是对内部控制建立与实施情况进行检查，评价内部控制的有效性，发现内部控制缺陷，并及时进行改进的持续过程。在监督方面，公司主要遵从股份公司内控管理手册监督分册的有关规定。油田公司内控手册监督部分只编入了监督涉及的制度索引。(7)岗位工作说明书是内部控制管理手册的补充，岗位工作说明书对流程节点的工作内容、职责、权限、工作时限、上下级隶属关系等内容详细描述。2.3大庆油田内部控制体系存在问题鉴于公司内部控制建设5年，体系实施3个会计年度，通过了3个年度的管理层测试和外部审计，针对3年的外部审计、管理层测试和自我测试结果，公司内部控制体系仍部分存在的问题，主要包括以下方面。2.3.1公司层面存在问题公司层面测试主要是控制环境测试，包括反舞弊程序与控制、经营活动分析、职业道德、高管基调、信访举报机制及违规处理、组织结构、权利和责任分配、培训、业绩考核、人力资源政策、岗位职责描述、信息与沟通、内部审计、风险评估等14个方面开展测试工作。测试组采取抽样访谈的方法进行测试，2006年至2008年，共抽样访谈1024人，查看相关的文件、规章制度、会议纪要、控制实施证据等资料。主要问题集中在以下7个方面。(1)职业道德：8%的人对企业道德准则了解还不够深入。(2)高管基调：6%的人认为在工作中没有感觉到做错误的事带来的压力。(3)信访举报机制和违规处理：2%的人认为公司不鼓励员工和合作方检举违规行为，7%的人不了解处罚方式。(4)组织结构：2%的人认为工作时间不充足，经常加班。(5)培训：3%的人在近一年内未参加过公司培训。(6)业绩考核：2%的人认为没有业绩指标对自己进行考核，4%的人认为薪酬与绩效没有挂钩或关联度不大。(7)岗位职责描述：1%的人不了解本岗位职责描述。2.3.2业务层面存在问题(1)关键控制执行问题。一是项目转资存在的问题。如工程项目转资时间滞后、工程项目验收不准确；二是在建工程管理存在的问题。如无投资计划进行在建工程项目、基建项目资本化与费用化划分不准确、竣工报告和竣工资料不准确等相关问题；三是合同管理存在问题。如合同滞后、合同未及时变更、合同签订不规范等问题。(2)已有的控制在实际工作中未执行。主要有：一是没有按照RCD中的控制措施执行，如个别单位的会计凭证没有按照RCD描述进行复核；二是因为其它原因导致RCD中的控制措施在实际工作中无法执行，如没有相关制度明确规定保险合同纳入合同管理业务范畴；三是相关人员不认真执行控制措施，必要控制程序成了走过场，如业务负责人、主管领导没有按照控制措施要求认真审查、审核，甚至是相关人员对控制措施的实质性内容不理解，例行公事的签字审批，导致一些重要数据前后不一致，出现例外事项。如：会计业务处理流程描述“财务经营部主任至少每年一次对岗位设置情况进行检查，并做好相关记录”，实际工作中没进行相应的检查。(3)控制实施证据缺失，或RCD实施证据与实际不符，控制实施证据执行不规范。设计层面主要表现：一是是实施证据填写与实际工作中的执行不一致，或表单设计不完整、数据不准确；二是流程图和RCD中的实施证据与实际工作过程中的实施证据名称不一致，或内容不完全一致，在流程图设计上标注有误；三是以往的工作过程中就没有规范的实施证据，内控建设过程中也没有按照要求确定实施证据。执行方面主要表现：一是相关人员没有按照内控要求妥善保存相关文档，导致控制实施证据缺失；二是控制实施证据没有留下审查、审批的痕迹，或者17是没有按照RCD描述留下相应的痕迹，无法证明实施了有效控制；三是支持性证据不完整，即虽然有签字盖章，但与之紧密相关的原始附件丢失或未保存，同样无法证明控制有效，如会计凭证没有相应的原始凭证等。(4)流程图、RCD描述和标注不完整、不准确。主要表现：一是没有完整的描述业务流程，出现步骤缺失或者是业务必要过程没有描述的情况；二是业务类型不完整，在业务处理过程出现几种情况时，只描述了一种情况；三是实际存在的关键控制点的控制措施没有在流程图或RCD文档中描述；四是流程图或RCD文档的描述与实际工作不符，出现内控文档规定一套控制措施，实际工作执行另一套控制措施，形成“两层皮”。2.3.3信息系统存在问题(1)信息系统总体控制(GCC)的问题。在应用系统终端用户权限申请审批的控制中，部分用户权限申请表填写不符合信息系统总体控制的要求；防火墙的控制不能完全满足信息系统总体控制的要求：使用的防火墙为自行开发的系统，无用户认证机制，导致无法对防火墙系统权限进行检查及网络管理员每周检查防火墙日志的控制；应用系统日志检查记录不完整或没有按要求进行日志检查。主要是在FMIS系统日志的测试中，发现在FMIS系统日志中没有记录报表公式的变更信息、没有记录“取消完成、取消记账”的信息、没有记录“账务体系变更”的信息。(2)信息系统应用控制（AC）。部分应用系统负责人和应用系统管理员对岗位职责不够清晰、业务不熟练,造成供应商主数据检查表填写不准确；部分单位的供应商主数据管理有待加强。2.3.4原因分析对于测试发现的问题，研究组就问题发生的原因、性质和对财务报告的影响程度进行了认真分析，测试发现问题的产生原因是：一是专业部门之间配合不顺畅，职责权限没有较好的划分。例如：项目转资需要多个部门相互配合，工程管理部门每月对工程进度进行分析并编制工程进度分析表，财务部资产转资管理岗根据基建部门提供的工程进度分析表掌握工程进度，对已达到预定可使用状态的在建工程及时办理转资或预转资手续。而实际工作中总部机关项目建设办公室及所属单位未向财务部提供工程进度分析表。未及时向财务部提供这些工程的工程进度分析表，财务部将不能及时掌握工程进度，易造成对达到预定可使用状态的在建工程不能及时办理转资或预转资手续。二是相关工作人员对某些关键控制措施的出发点和目的理解不到位，从而导致执行有偏差。例如：股份公司关键控制文档-在建工程成本及油气开发支出K1描述为“施工单位按季度编报工程形象进度报表工程管理部门审核（形象进度、该工程进度的估算支出）后编制工程进度确认单。财务部门相关岗位依据程管理部门审核的工程进度确认单，预估在建工程成本和负债，并办理工程价款结算。”股份公司制定该关键控制的目的是为了规避“未按工程形象进度确认工程成本和油气开发支出”这一风险，从而使财务账面上的工程成本金额与实际工程进度一致。而表单主要功能为办理工程付款，财务部门每季度并未按照工程进度确认单相关金额预估在建工程成本和负债，从而造成某些工程在财务账面上的工程成本与实际不符，未达到控制的目的。三是未认识到相关风险所产生的严重后果，从而未有效执行相关控制。相关部门部分管理人员认为推迟办理转资手续对本单位的财务状况和经营成果影响不大，因而对转资业务重视程度不够；而某些事后合同，尤其是与中石油外部单位的经济往来，极易造成法律纠纷，无有效的合同作为依据和保障，很可能会给企业造成严重的经济损失和声誉损失。第3章大庆油田内部控制体系改进设计大庆油田总公司管理层级多、覆盖地域广、经营环境存在巨大差异。如何创建适合大庆油田的规范、可操作的管理体系，推动公司全面、全员、全过程的有效发展，进而确保大庆油田原油4000万吨持续稳产，成为大庆油田公司实施内部控制体系首要难题。从而带来两个问题：一是如何改进内部控制体系搭建工作；二是如何定义内部控制体系的组织结构职责与权限。基于上一章的内容我们也可以看出，大庆油田内部控制体系无论在公司层面、业务层面以及信息系统方面都存在着大量的问题，而内部控制对于油田公司来说又极其重要，内部控制出现了问题，会给公司的效率、效益以及效果带来很大的负面影响。因此，针对大庆油田公司存在的诸多问题，我们亟需建立、完善一个管理高效、执行有力的内部控制管理体系，克服原有内控体系的不足之处，摆正内控体系在公司中的地位，使公司的内部控制体系成为全公司的管理共识和理念核心，并从内部控制体系架构搭建变成具体可操作的明确工作，能够有效驱动公司管理层、执行层乃至基层员工的日常工作，使公司内部控制体系有效贯穿企业、网络、计划建设、综合管理等各个专业条线，彻头彻尾的解决公司内部控制所面临的问题。同时，需要在全公司建立一套内部控制体系的组织、职责和权限，确保内控体系建设能够从公司总部有效传导到二级、三级等不同层级，并通过有效的执行反馈，实现全公司战略在各分公司（采油厂）的有效分解落地和执行。3.1内部控制体系搭建的改进内部控制体系搭建主要包括进度计划及控制、重要流程及重要工作节点、重要风险点及关键控制、设计检验方法的任务分解、技术改进及责任落实等内容，将内部控制体系搭建落实为公司各专业的具体工作岗位和具体工作节点，并对内部控制体系设计进行有效检验和调整。203.1.1优化体系设计管理活动内部控制体系设计管理活动的目标是提高效率、降低费用，因此尽量优化设计管理活动。下面主要论述时间进度和工作任务分解的优化。（1）高效时间进度进度是项目管理中最重要的一个因素。Project软件最强大的一项管理功能就是进度管理，这是选择Project来优化内控体系管理项目的一个重要原因。内控体系管理项目进度管理的内容，首先了解进度管理的要求和内容，通过Project的视图管理项目进度（甘特图和网络图等），并对项目进度进行跟踪，评价实际进度并解决进度中的问题。项目进度管理的最终目标通常体现在工期上，就是保证项目在预定工期内完成。（2）分解工作任务实现各部门的通力协作，在明确时间进度计划后，接下来的问题是分解工作任务，利用工作分解结构(Work Breakdown Structure)基本方法，WBS是一个面向可交付成果的项目部分分组，它组织并且定义了项目的整个范围，不包含在WBS中的工作将属于项目的范围之外。将每个工作任务都进行明确的分工要做到合适的人做合适的事情，并鼓励员工按时完成工作任务，消除原有内控体系下产生的工作时间不充足、经常加班的现象。并且要制定一系列的业绩指标对员工进行细致的绩效考核，将薪酬与绩效挂钩，增强员工工作的积极性。在内部控制管理手册编制过程中，采用树形WBS表示，很像组织结构图。树顶是文档编制工作的目标，图表第一层任务是“编制工作的大类”，每个任务对应第二、三层任务“第一大类对应的明细工作”，第四层对应是岗位及姓名。3.1.2优化重要业务流程及重要工作节点要提高内部控制体系实施的执行力，还需对公司重要业务流程和重要工作环节优化，例如：优化在建工程管理中的“工程施工招标管理”“工程质量监督”，成为建立高效、可靠、可操作内控体系的重要因素。(1)纵向延伸流程链条，优化重要业务流程原来的内控流程设计，主要是以风险点来确定流程链条的长短。从业务管理角度来看，存在着一些流程不够完整的情况。为此，从业务的系统性和完整性出发，对部分业务流程链条进行了延伸，共完善业务流程15个。比如“油田基本建设”业务，由于涉及的财务报告风险发生地主要集中在建设单位，在建立内控体系之初，公司机关层面没有建立“油田基本建设”流程，只是在实际业务中执行了7项风险控制措施。针对油田基本建设业务涉及的资金额度巨大，业务管理复杂的情况，公司围绕着油田基本建设业务，在公司机关层面梳理和建立了12个业务流程。其中，“油田基本建设管理”流程，从总体上进一步明确了机关各部室在基建管理方面的职责、权限和业务处理程序，并把管理岗位链条从所属单位和机关部室延伸到公司领导（建设工程招标投标管理委员会）；“工程施工招标管理”、“工程质量监督”等另外11个流程则分别细化了招投标、合同签订、监督、竣工验收和投资控制等业务环节，从而进一步强化了控制措施，规范了管理行为。又如，根据土地管理中的风险点，之前只在所属二级单位编制了“土地使用管理”流程。针对近年来土地工作日益复杂，机关管理职能加强的现状，公司在公司机关层面新建了“油田建设项目用地审查”、“油田产能项目永久用地手续办理”、“油田产能项目临时用地手续办理”等3个流程，28个控制点。经过上述业务流程的调整以及业务流程链条的延伸，公司业务层面存在的一些问题会很好的迎刃而解，如流程中关键控制以及已有控制而为执行的部分得到很好的执行等。(2)细化“点”上控制，优化重要工作环节公司在遵循集团公司业务流程描述规范的基础上，以“标注”的形式丰富流程节点的内容，进一步明确每项业务由谁来做、依据什么、以什么方式、按照什么标准、相关部门（单位）怎么配合。从而使流程图更加严密、简洁、实用，更具有可操作性。二是明确业务处理依据。如“机构编制管理”流程，明确规定“形成编委会议题和编委办文件”要“按照集团公司机构编制管理办法第七条的有关规定”。三是明确业务处理方式。比如在“干部任前公示管理”流程中“公示”节点，明确了要“通过企业网、有线电视等相关媒体进行公示”。四是明确工作标准。比如“采矿权管理”流程中“更新数据库”节点，明确规定“采矿权数据库要涵盖所有有效采矿权，包括已有采矿权项目及当年新增及变更项目”；“编制年检报告”节点明确指出“每年二月份编制上一年度有效采矿权项目年检报告”。五是业务指南。比如在“工程管理”流程中的“提交开工报告”节点，明确提示所属单位“提交开工报告时携带施工合同副本、土地及规划手续（仅对开发辅助项目）、施工图图纸会审记录（建设单位签署完毕）、建设工程开工安全生产条件审查表、工程质量报监手续、开工报告。”3.1.3明确重要风险点确认关键控制重要风险和关键控制确认是在全面风险、控制分析的基础上，为了强化控制活动，突出控制重点，简化评估测试而开展的一项重要工作。关键控制是内控体系框架的重要内容，也是明年通过外部审计的必审内容。(1)明确重要风险确认关键控制识别和分析风险的过程是一个持续的重复过程,它是一个有效内控体系的关键组成要素。管理层必须仔细关注企业所有层面的风险并采取必要的行动来管理风险。在明确重要风险之后，要采用何种方式去管理该风险，并选择旨在使用重要风险可能性和影响维持在风险承受度范围内的一种关键控制措施或组合控制措施。确认重要风险和关键控制的思路：在全面梳理油田公司重要业务流程相关管理制度、控制措施的基础上，以规避重要风险为目标，以统一性、规范性、可操作性为原则，使确认的重要风险和关键控制既能满足内控体系评估测试的要求，也能起到规范控制体系、提高企业管理水平的作用。公司根据股份公司关键控制文档（KCD），建立风险控制文档（RCD）进行差异分析，查找现有控制的差距和不足，然后补充和完善现有控制措施，以达到防范风险的目的；同时，为进一步补充、修订制度提供依据。风险控制文档（RCD）用于确认、记录每个流程及每个步骤中存在的风险和已建立的控制，并与相应的制度和控制实施证据相对应。风险控制文档（RCD）的控制重点强调：与财务会计报表和附注的真实性、准确性有关的控制，防止舞弊、欺诈行为的控制以及资产安全的控制。风险控制文档（RCD）的控制分为关键控制和一般控制。关键控制，是在相关流程中影响力和控制力相对较强的一项或多项控制，其控制作用是必不可少和不可替代。如果缺少该项控制，将在很大程序上直接导致财务风险的发生。公司确认关键控制的目的是：将确认的关键控制作为控制活动的重点，对其实行全面、严格的管理，以防范重要风险。关键控制也为公司自我测试内部控制体系的完整性、有效性提供统一的范围和标准，同时将其作为公司提供的25内部测试资料，以满足外部审计评估、测试公司内部控制体系的完整性和有效性。(2)评估应对控制措施对风险可能性和影响的效应评估应对控制措施时，要考虑控制措施对重要风险可能性和影响的效应，并认识到一种应对措施可能会不同地影响重要风险的可能性和影响。例如：钻井工程施工现场存在重大安全风险，如果确定一个钻井事故应急措施，尽管该措施对事故发现可能性无任何效应，但却减轻了施工人员工作压力，对员工提供了有效的安全保障。另一方面，公司依靠老井采油田减少打加密井方案，是减少了钻井事故发生可能性，但公司的生产效益却降低。在分析风险应对措施时，要考虑以往的生产经营趋势以及潜在的未来情景。(3)成本与效益相比由于资源总是存在着约束，所以企业必须考虑决策（包括那些与风险反应和控制活动有关的决策）的相对成本和效益。在确定是否采取某一业务活动还是确定一项控制措施时，要考虑控制失效的风险和对公司的潜在影响以及相关成本。例如：结算流程评测一项业务的风险反应及控制活动产生成本和收益时，公司面临的挑战是：找到合适的成本和效益平衡。正如有限的资源配置不重要业务，过度控制也是代价高昂而且达不到预期目的。在一个高度竞争的环境中需要一种适当的平衡。尽管存在困难，但还是应继续做出成本效益的决策。3.1.4改进体系设计检验方法质理控制常用方法排列图(Pareto Diagram)又叫帕累托图、柏拉图。它是将质量改进项目从最重要到最次要进行排列，以分析找出影响质量的主要因素并识别质量改进机会，而采用的一种简单的图示技术。排列法则之原理通常将排列法则描述为80/20规则，即在很多情况下，大约80%的问题是由仅占20%的原因引起的。排列法则暗示：公司常常可通过识别和处理一个问题的少数几个重要来源来解决此问题。排列图含义：根据归纳收集的数据、以不良原因、不良状况的现象，有系统的加以项目（层别）分类，计算出个项目所产生的数据（如不良率、损失金额等）及所占比例，再依照大小顺序依次排列并进行累加计值而形成图形。功能：识别少数关键因素，优先采取解决措施。排列图不仅可以认识企业所面临的主要质量问题，还可以从众多导致质量问题的因素中找到主要原因。用途：常用于不合格品数或缺陷数的分类分析。特点：计算简单、一眼能看到改善点、决定问题比较容易、从视觉上能感觉问题的大小、故有相当的说服力，也能够决定在短期内解决的项目。例如:针对大庆油田四年内控体系自我测试发现的问题进行记录,根据统计的数据，运用柏拉图分析的原理进行分析。3.2优化组织结构职责与权限组织结构就是用来对企业内部的不同角色进行协调，从而使其行为与企业的活动相一致的一系列原则。组织结构的三要素包括:目标明确、相互协调、合理授权。3.2.1组织结构设计从管理学角度对大庆油田内控体系组织结构现状进行分析,目前大庆油田内控体系组织结构还应该遵循一些原则，这此原则都是在长期管理实践中的经验积累，应该为公司管理层所重视。(1) 统一指挥原则。统一指挥原则就是要求每下属应该有一个并且仅有一个上级，要求在上下级这间形成一条清晰的指挥链。如果下属有多个上级，就会因为上级可能下达彼此不同甚至相互冲突的命令而无所适从。根据此原则，设计了大庆油田内控体系组织结构图。如图：的工作。大庆油田生产经营管理的复杂性决定了任何个人都不能同时拥有生产经营所需的所有知识和技能，每个人都只能在有限的领域中发挥自已的知识和技能，从而相对有效地从事有限的工作。在内部控制测试阶段采用此原则，设计了专业化测试队伍，结合业务流程，从机关部室、所属单位及子公司精心挑选了从事财务、资产、审计和企管等工作的业务骨干，组成精干的测试队伍，从测试人员的业务岗位覆盖和素质上，为测试工作的质量提供了保证。司重组，上市企业与未上市企业机关进行整合，公司开展了企业梳理工作，组织方式采用了“柔性经济原则”，公司企管法规部内控管理科和规章制度科协同组织开展了此项工作，保证的公司业务流程梳理畅通，也清理、补充、完善公司规章制度。其中，有效的公司（局）制度307项，已失效的公司（局）制度141项，主责部室待定的制度11，补充且有效的公司（局）制度80项（含2000年前制度8项），有效的委员会制度8项，有效的部室制度267项。3.2.2优化组织结构内部控制管理是一项长期工作，因此，需要建立完善内控系统组织结构，采用组织层级化和部门化原理，对内控系统组织结构进行优化。(1)组织结构层级化组织结构层级化是指组织在纵向结构设计中需要确定层级数目和有效的管理幅度，需要根据组织集权化程度，规定纵向各层级之间的权责关系，最终形成一个能够对内外环境要求做出动态反应的有效组织结构形式。大庆油田公司内部控制体系工作，对公司组织结构进行了层级优化管理，组织结构在总经理领导下形成决策、管理、执行、监督四个层次的管理架构。公司在内控体系建设委员会下成立了内控项目组，实行集中办公，具体负责内控项目建设的组织和协调工作。公司机关部室专人负责内控体系建设工作，各二级单位成立以主要领导与总会计师为组长的内控体系建设小组，设立了内控办公室。3.2.3清晰职责和权限为达到内控体系工作组织有效，公司明确了内控项目建设委员会、内控部门、机关专业部门、所属单位和监督部门的职责，并将职责编入内部控制管理手册，遵照执行。为进一步明确职责，落实责任，公司编制了部门内控具体职责、岗位内控具体职责“应知应会卡”，“应知应会”以一种大家比较容易接受的方式，简明扼要的对外部审计关注要点进行了说明，并归纳了公司层面相关的控制措施、规章制度和实施证据，便于全体员工开展学习活动。其中，部门内控关注要点及部门职责从控制环境、风险评估、经营活动分析、信息与沟通、内部审计和反舞弊程序等6个方面对各部门需要掌握的测试重点内容进行了说明。员工岗位内控职责及测试卡片进一步明确了每名员工在内控工作中的角色，及测试时需要提供的实施证据，重点抓住执行的关键环节，便于员工操作执行。同时，便于岗位协同工作的开展。例如：采油厂工程招投标及合同管理岗，主要包括四项内容：岗位内控职责、主要测试内容、文档性记录、协同工作。第4章大庆油田内部控制体系优化实施为保证大庆油田内部控制体系实施各阶段工作任务有效落实，需要通过分析体系实施的核心能力，优化每一阶段目标实现的组织方式和工作程序，强化推进措施，建立自我测试监督机制等重要环节，来推进内部控制体系实施。4.1体系实施的组织及推进措施在严格遵循股份公司内控工作总体思路，大庆油田认真贯彻落实各项工作部署继承发扬大庆优良传统，消化吸收先进管理理念，积极探索大胆实践全力推进内控体系建设。在实施核心能力、组织方式和改进措施方面不断探索、创新。4.1.1体系实施的核心能力分析中国企业管理协会理事长张彦宁定义了企业核心能力（Core competence ofcorporate）的概念，企业核心能力是指企业开发独特产品、发展独特技术、发明独特营销手段的能力，它使企业在战略上与众不同。这里的核心能力就是一种核心专长。核心能力来源于资源禀赋能力、组织结构能力、环境制度能力、学习能力和创新能力。4.1.2体系实施的组织方式及工作程序大庆油田内部控制体系实施经历体系试点运行、验收测试、完善体系设计、全面推进实施、全面验收测试四个阶段。(1)采取“样本先行，培训跟进，试点检验，全面铺开”的组织方式，保证了内控工作的效率和质量。在设计工作的各个阶段，公司首先根据股份公司有关要求，制定符合大庆实际的实施方案和流程样本，选择业务流程建设工作基础比较好的第三采油厂开展试点工作。在此基础上，进行大规模的培训和全面推进工作。(2)采取“三级审查、四级确认”的工作程序，保证了业务流程的统一性、准确性和规范性。对于各单位形成的业务流程、关键控制等文件，公司坚持一般流程由专业部室审查、重点流程由相关部室联合审查、疑难流程由各方专家集体审查；对于内控体系建设阶段的每一项资料，坚持由业务流程负责人、主管部门领导、内控办领导和单位主管领导四级确认签字，且实现了所属单位、业务主管部门以及公司内控项目组的三级审核。这样，既保证了内控文件与实际工作相符，又较好地在设计阶段对各级管理人员进行了内控理念、知识以及方法技巧的培训，为有效执行奠定了坚实的基础。财务资产部针对本专业系统的业务流程数量多、相互联系紧密的特点，多次组织各科室负责人和业务骨干对业务流程进行交叉审核，修订完善。(3)采取“三个覆盖”的工作方式，开展自我测试工作，保证了设计的有效性和可执行性。在设计阶段，公司超前在内部开展了自我测试工作，审计部在人员非常紧张的情况下，积极会同项目组，先后组织百余人进行了三次大规模的自我测试工作，并坚持做到测试范围覆盖所有三级单位，覆盖所有业务流程，覆盖所有岗位人员。通过测试，发现并整改各类问题9000多个，较好地纠正了设计偏差，保证了体系文件的可执行性。(4)采用“四级沟通”的工作制度，保证了外部审计和管理层测试的顺利进行。通过建立测试人员与被测试人员之间、陪审人员与测试人员之间、管理层测试人员和外部审计人员之间、项目组与测试主审之间的有效沟通机制，共享测试资源，减少工作量，不仅降低了例外事项误判的可能性，而且使广大员工加深了对内部控制的理解，提高了对例外事项的性质、产生原因的认识，为有效整改奠定了基础。在测试过程中，这种良好的沟通机制以及和谐的氛围，得到了管理层测试人员及普华外部审计师的充分肯定和高度评价。4.2改进自我测试业务期间与测试时间公司自我测试是由管理层授权内部控制制度，对未纳入管理层测试范围的特殊业务单位和一般业务单位的内部控制设计和运行有效性具体实施的检查过程。为实现顺利通过年度财务报告内部控制外部审计这一目标，需要系统地确定公司内控体系自我测试业务期间和测试时间的任务、任务进度和完成任务所需的资源等，保证监督工作在合理的工期内，尽可能低的成本和尽可能高的质量完成。4.2.1改进测试业务期间运行项目计划与控制基本原理，利用项目分解方式将自我测试工作按层次分解成大类业务，了类业务再分解成更小、更易操作和管理的具体业务，分解的目的是：提高估算成本、时间和资源的准确性；为绩效测量和控制确定一个基准线；使工作变得更易操作，责任分工更加明确。再分析具体业务期间，确定总体的测试期间。例如：公司重点分析了资产类业务期间。公司针对监督的业务期间，确定当年上半年进行发现问题测试，下半年进行问题整改测试。4.3优化体系运行测试方法内控体系的生命在于有效执行，有效执行的关键在于监督。内控体系运行以来，大庆油田公司以“设计有效，执行有力”为目标，以确保内控体系的长期有效运行为出发点，以强化内部自我监督为立足点，通过探索一套实用的测试方法，保证自我测试的效果和质量，切实将自我测试工作落到实处，以保证内控体系运行效果。4.3.1构建自我测试工作组织网络内控作为一种新的管理理念和工作方法，如果没有有效的监督做“推进器”，管理者很难从熟悉的传统管理方式的惯性中自觉地转变。同时，由于大庆油田公司生产规模大、业务量大、管理层级多的特点，仅仅依靠外部审计和管理层测试的监督，很难保证内控体系处于有效的监控之下和实现“执行到位”的目标。采用团队组织这门学科的知识，就坚持以强化内部自我监督来保证有效执行的工作模式，构建了一个精干高效、专兼职相结合的内控测试工作网络。在公司机关层面，在企管法规部设立了编制6人的“内部控制管理科”，作为内控业务的主管部门，在科里设立了“测试管理岗”，专门负责外部审计、管理层测试以及油田公司自我测试的组织、协调工作。在审计部（中心）设立了编制8人的“内控审计科”，专门负责承担管理层测试和油田公司自我测试工作。相关业务部门明确了主管领导，指定了业务能力较强的人员兼职内控工作联络员。在所属单位层面，在企管法规科设立了“内控管理岗”，配备专职工作人员，有的单位还专门配备了主管内控工作的副科长所属单位机关各科室和所属矿（大队）指定了兼职“内控工作联络员”，通过建立完善的工作网络，为内4.3.3探索一套实用的测试方法科学有效的测试方法是实现测试目标、保证监督效果的工具和手段，具体工作中运用了以下几种测试方法，取得了较好效果。(1)制定一个标准，保证测试的规范性。根据近几年开展内控测试工作的经验，针对财务、转资、合同、油田基本建设、物资管理等重要业务以及公司层面控制的部分主题，根据业务特点分别编制了行之有效的个性化的内部控制测试规范，包括具体的关注要点、测试方法、技巧和步骤等，从而为测试人员开展具体的测试工作提供了技术标准和操作指南。比如，对于公司层面控制测试的“道德准则”主题，公司把抽象的测试主题细化为存在、沟通、理解、支持、监督和强化6项具体因素。分别给出6项具体的测试要点：是否存在书面的道德准则，现有道德准则是否有效的传达给相关人员；相关人员是否了解道德准则并且理解他所承担的职责；管理层是否推动和支持道德准则的宣传培训；是否存在有效的程序监督道德准则的遵循；管理层是否采取措施或制定计划以强化现有道德准则。从而对控制执行情况做出客观准确的评价。(2)坚持“两个关注”，保证测试的实效性。关注控制执行人员是否真正了解控制。对于一些审核、检查类控制措施，将询问和检查两种测试方法结合起来使用，以了解控制执行人员是否真正了解控制。比如测试“支付工程进度款”流程时，不仅检查凭证上的审核签字是否齐全，而且重点检查审核人是否切实履行了审核职责，询问审核人工程进度款的支付程序和依据、审核要点、以及发现问题应如何处理，并一一落实该凭证的有关信息是否与审核人回答的内容相符。同时还对会计凭证进行细节测试，检查原始凭证手续是否齐全、金额是否正确、与记账凭证是否相符等，从而进一步验证审核人员是否真正了解并正确执行了控制。关注控制是否真正得到执行。不仅关注表面的控制实施证据是否规范，而且更重视实际控制效果。例如资产减值准备类流程，将资产减值准备类流程与实物盘点类流程结合起来测试，在资产减值准备检查表中选取一些资产项目，39然后到实物存放地点现场检查，核实该项资产是否存在过期、毁损、报废等情况，是否与资产减值准备检查表记录情况一致，从而测试控制措施是否真正有效执行。(3)坚持“两个延伸”，保证测试结果的准确性。横向上延伸测试部门和岗位。通过多部门、多岗位、多角度的检查与核实，更加全面、彻底地了解内控体系的执行情况，发现存在的问题。纵向上延伸样本期间。在自我测试工作中，执行的样本期间，一般为每年的1月1日至测试开始之日。但是对于“项目转资”、“合同管理”等业务处理周期较长的流程，公司将样本期间向前延伸一年，保证充足的样本总体。同时，对于由特殊原因出现的例外事项，公司适当向前延伸样本期间，抽取更多样本，以确定问题产生的原因是偶然事件还是确实存在管理漏洞，从而使问题发现更彻底，定性更准确，测试结论更令人信服(4)坚持“三个结合”，保证测试的深入性。书面资料、系统资料与现场核实相结合。比如测试“存货盘点”流程，将材料物资核对明细表、存货盘点明细表中的数据与“物资管理系统”和“财务管理信息系统”中的数据相结合，检查数据是否相符。同时，深入库房盘查实物，认真核对数量、品牌、型号，从而验证该项采购业务的真实性和完整性。如果材料物资已经出库，还要进一步落实被谁领走，用在什么地方，出库手续是否规范齐全。从而判断核对与盘点控制措施是否得到有效执行。测试方法与审计方法相结合。应用综合测试的方式，借助审计方法和技巧，来发现深层次的问题。在测试“资产报废”流程时，公司除了进行常规测试程序外，还利用审计方法来检查是否存在未作会计记录的资产报废业务。比如：通过落实是否有新购资产代替原来资产，来核实报废资产是否得到及时妥当处置；通过分析营业外收支等账务，查明有无处置固定资产所带来的收支；根据因故停产的产品，追查其专用生产设备的处理情况。业务层面测试和公司层面测试相结合。在开展自我测试过程中，公司注重风险导向测试理论的实际应用，有意识地通过公司层面测试，了解被测试单位的经营管理情况，确认重大风险发生领域，为实施业务层面测试指明方向。例如：在测试被测试单位的“组织结构及职权与责任”这个主题时，如果发现被测试单位没有建立特定职能（包括交易授权）的授权机制时，在业务层面测试中就会特别关注支付结算、关联方交易结算、非关联方交易结算等流程，检查这类流程涉及的大量的授权审批类措施是否得到有效执行。第5章大庆油田内部控制体系实施的保障措施内部控制体系设计和实施项目是一项庞大的系统工程，由于时间紧、任务重、要求高、责任大，在项目实施中必须做到科学统筹安排、量化分解、责任到人，严格考核。因此，需要引进项目管理的理念，采取有力的保障措施进行有效的组织实施，这是该项目得以成功完成的关键。5.1创新科学的内控体系设计模式大庆油田公司所属单位多、管理模式复杂，股份公司统一的内部控制体系建设模式无法满足油田公司内控管理的需要。因此，在内控体系设计工作中，本项目立足于自身实际，注重把握和处理好继承传统、尊重现实与引进吸收现代管理理念之间的关系，从实现内控体系的长期有效运行出发，坚持既满足内控体系框架要求、又适应大庆油田实际，高标准要求，高起点起步，保证了体系设计的可执行性和有效性。在具体工作中，大庆油田内控体系设计充分吸收“文本化管理”的成果，坚持做到“四个兼顾”，即兼顾传统管理经验、兼顾上市地法律法规、兼顾国际油公司的通行作法、兼顾控制成本和工作效率，提出了“两级管理、三级控制”的内控体系模式，油田公司建立一套内控体系，公司层面和每个二级单位各编制一套分册，对风险实行公司、厂（分公司、院）、矿（大队）三级控制。既有效地保证了流程描述与工作实际相符，又实现了对风险的有效控制。特别是在业务流程设计方面，创造性地提出了“端到端”的设计思想，在风险发生地实现有效的风险控制，解决了复杂系统下实现控制设计有效的难题。优化重要业务流程关键节点设计，保证了财务报告的真实性。内部控制以重要的财务流程为起点，向业务前端延伸，注重相关业务部门的事前、事中控制，加强事后监督，有效保证了会计信息的采集、归类、记录和汇总，如实反映了公司经营行为，保证了财务报告的及时性、完整性和准确性，为企业经营42决策提供了可靠依据。改进信息系统控制设计，降低信息安全管理风险。按照信息系统内部控制的要求，大庆油田公司大力加强信息建设项目管理，全力推进信息系统物理集中，进一步强化网络安全运维管理，使信息安全风险得到有效控制。通过加强信息项目的统一规划，严格执行立项、开发、审批、上线等项目建设操作规程，堵塞潜在的漏洞，降低项目建设风险；通过将财务系统、资产系统，以及分散在17个单位或部门的物资管理系统全部进行物理集中、统一管理，降低信息系统管理风险；通过对关键应用系统的操作系统管理员、数据库管理员和应用系统管理员实施职责分离，严格系统权限管理，降低系统应用过程控制风险；通过统一网络边界出口，重新配备防火墙系统，加强病毒统一防范管理，降低网络安全风险。强化风险管理理念，进一步规范企业经营行为。内部控制体系的建立，促进广大干部员工在工作中形成重制度、重程序、重证据的浓厚氛围，树立了新的风险管理理念和系统管理的思想，并通过创新监督检查机制，强化制度执行，解决一系列生产经营管理难点问题，规范了企业经营行为。比如，以梳理业务流程为切入点，公司修订完善了大庆油田有限责任公司物资管理办法等8项制度，对物资计划、采购、供应、招标、存货等业务流程进行了重新梳理，制定了统一的物资验收单、物资出库单和基建物资验收单，明晰了保管岗与稽核岗的工作界面，明确了物资验收和出库的程序和依据，从而保证了物资入库和发出成本核算的及时准确。完善了成本费用管理流程，明确了生产管理、物资管理、基建管理等部门在预提费用管理、存货跌价准备检查和在建工程减值准备检查等业务中的职责，较好地解决了跨部门业务流程管理