内部控制评价的程序和方法(powerpoint 77页)

1、本科(bnk)教学电子课件第一页，共七十八页。学习要点(yodin)与要求n通过本章学习，你应该能够：n了解内部审计的基本程序n掌握(zhngw)内部审计计划的编制n掌握发现问题与解决问题的思路n了解与被审计单位沟通的意义第二页，共七十八页。第一节 内部控制评价(pngji)概述第三页，共七十八页。一、内部(nib)审计与内部(nib)控制的关系n内部审计是保证内部控制体系有效运行(ynxng)和逐步完善的重要措施n企业在设计内部控制制度时，由于当时认识的局限或者考虑不周等原因，设计出的内部控制不可能完美无缺；n在内部控制实际运行过程中，由于实际情况发生变化、或由于员工对内部控制制度理解上的差

2、异，也可能使内部控制不能很好地发挥其应有的作用，导致内部控制实际运行中或多或少地存在着这样或那样的问题。n为此需要对内部控制运行情况实施必要的监督检查，发现其不足和问题乃至于缺陷，从而完善内部控制，提高内部控制的有效性。第四页，共七十八页。续n企业内部各职能部门管理者当然是内部控制监督的主体之一。但他们的监督往往是局部的，并且独立性、客观性受到一定程度的影响。n内审部门是相对独立(dl)的部门，由内部审计对内部控制的设计（是否适当）、执行（是否不折不扣的执行）、及有效性进行测试与评价应该是最全面、最权威的。n因此，内部审计是保证内部控制体系有效运行和逐步完善的重要措施。 n在内部监督制度中，应

3、当明确内部审计机构等类似其他监督机构的职责，明确内部审计机构与和其他内部机构之间的关系，明确开展内部监督的程序、方法和要求等。 第五页，共七十八页。二、内部(nib)控制评价n外审：侧重于把内控评价作为一种(y zhn)审计方式，其目的是在了解、测试与会计报表相关的内部控制的基础上评估其控制风险，再根据控制风险评估结果修订审计计划和确定实质性测试的性质、时间和范围，进而对会计报表发表意见。n内审：侧重于把内控评价作为一项审计内容。也可以根据审计的目的，把内控评价作为一种审计方式。n内部控制评价，是指由企业董事会和管理层实施的，对企业内部控制有效性进行评价，形成评价结论，出具评价报告的过程。第六

4、页，共七十八页。三、内部控制评价(pngji)依据n内部审计具体准则第5号内部控制审计（2003年6月）n内部审计具体准则第16号风险管理审计（2005年5月）n中央企业财务内部控制评价工作指引(zhyn)(2006年度试点用)n企业内部控制评价指引（2008年7月，财政部）n评价指引（5章37条）：总则、内部控制评价的内容、内部控制评价的程序、内部控制缺陷的认定、内部控制评价报告 。第七页，共七十八页。四、内部控制评价(pngji)要求n企业应当根据国家有关法律法规和企业内部控制基本(jbn)规范的要求，结合企业实际情况，对战略目标、经营管理的效率和效果目标、财务报告及相关信息真实完整目标、

5、资产安全目标、合法合规目标等单个或整体控制目标的实现进行评价。 第八页，共七十八页。五、企业内部(nib)控制评价原则n（一）风险导向原则。内部控制评价应当以风险评估为基础，根据风险发生的可能性和对企业单个或整体控制目标造成的影响程度来确定需要评价的重点(zhngdin)业务单元、重要业务领域或流程环节。n（二）一致性原则。内部控制评价应当采用统一可比的评价方法和标准，保证评价结果的可比性。n（三）公允性原则。内部控制评价应当以事实为依据，评价结果应当有适当的证据支持。n（四）独立性原则。内部控制评价机构的确定及评价工作的组织实施应当保持相应的独立性。n（五）成本效益原则。内部控制评价应当以适

6、当的成本实现科学有效的评价。第九页，共七十八页。六、评价的内容(nirng)和标准n企业应当对与实现整体控制目标相关的内部环境、风险评估、控制活动、信息与沟通、内部监督等内部控制要素进行全面系统、有针对性的评价。n企业实施内部控制评价，包括对内部控制设计(shj)有效性和运行有效性的评价。n内部控制设计有效性是指为实现控制目标所必需的内部控制要素都存在并且设计恰当；n内部控制运行有效性是指现有内部控制按照规定程序得到了正确执行。第十页，共七十八页。续n应用信息系统加强内部(nib)控制的企业，应当对信息系统的有效性进行评价，包括信息系统一般控制评价和信息系统应用控制评价。n一般控制评价应当着重

7、考虑与信息系统开发有关的信息技术控制目标、程序变更、计算机运行和对数据的接触是否符合企业内部控制的要求，是否有利于企业内部控制目标的实现，并以此评价信息系统的安全性、可靠性和合理性。n应用控制评价应当结合企业业务流程特点，着重考虑信息系统中与业务流程相关的控制点，并以此评价相关应用系统操作数据的真实性、准确性和合规性。第十一页，共七十八页。续n企业集团(jtun)对被评价单位内部控制的有效性进行评价，应当至少涉及下列内容：n（一）被评价单位内部控制是否在风险评估的基础上涵盖了企业层面的风险和所有重要的业务流程层面的风险。n（二）被评价单位内部控制设计的方法是否适当，内部控制建设的时间进度安排是

8、否科学、阶段性工作要求是否合理。n（三）被评价单位内部控制设计和运行的组织是否有效，人员配备、职责分工和授权是否合理。n（四）被评价单位是否开展内部控制自查并上报有关自查报告。n（五）被评价单位是否建立有利于促进内部控制各项政策措施落实和问题整改的机制。n（六）被评价单位在评价期间是否出现过重大风险事故等。第十二页，共七十八页。第二节 评价(pngji)的程序和方法第十三页，共七十八页。一、内部(nib)控制评价的程序n第一步，制定评价方案。根据企业整体控制目标,制定内部控制评价工作方案,明确评价目的,范围,组织,标准,方法,进度安排和费用预算等内容,报管理层和董事会审批.n第二步，确定评价范

9、围。内部控制评价范围的确定应当遵循风险导向,自上而下的原则来确定需要评价的分支机构,重要业务单元,重点业务领域或流程(lichng)环节.n第三步，实施评价方案。内部审计部门应当根据审批通过的评价方案组织实施内部控制评价工作,通过适当的方法收集,确认,分析相关信息,确定与实现整体控制目标相关的风险及细化控制目标,并在此基础上辨识与细化控制目标相对应的控制活动,然后针对控制活动进行必要的测试,获取充分,相关,可靠的证据对内部控制的有效性进行评价,并做出书面记录.n第四步，提交评价报告。内部控制评价机构应当根据评估结果和经核实的证据,确认内部控制缺陷,出具评价结论,编制评价报告,报送管理层和董事会

10、审阅.第十四页，共七十八页。二、评价(pngji)方法n（一）个别访谈法。n（二）调查问卷法。n（三）比较分析法。n（四）标杆法。是指通过与组织内外部相同或相似经营活动的最佳实务进行比较而对控制设计有效性评价的方法。n（五）穿行测试法。是指通过抽取一份全过程的文件，来了解整个业务流程执行(zhxng)情况的评估评价方法。n（六）抽样法。是指企业针对具体的内部控制业务流程，按照业务发生频率及固有风险的高低，从确定的抽样总体中抽取一定比例的业务样本，对业务样本的符合性进行判断，进而对业务流程控制运行的有效性作出评价。n（七）实地查验法。n（八）重新执行法。是指通过对某一控制活动全过程的重新执行来评

11、估控制执行情况的方法。n（九）专题讨论法。第十五页，共七十八页。三、获取(huq)审计证据n企业应当根据通过评估和测试获取(huq)与内部控制有效性相关的证据，并合理保证证据的充分性和适当性。n证据的充分性是指获取证据的数量应当能合理保证相关控制的有效；证据的适当性是指获取的证据应当与相关控制的设计与运行有关，并能可靠地反映控制的实际运行状况。n企业应当根据所收集的证据，判断相关控制的设计与运行是否有效。企业在判断内部控制设计与运行有效性时，应当充分考虑下列因素：n1、是否针对风险设置了合理的细化控制目标。n2、是否针对细化控制目标设置了对应的控制活动。n3、相关控制活动是如何运行的。n4、相

12、关控制活动是否得到了持续一致的运行。n5、实施相关控制活动的人员是否具备必需的权限和能力。第十六页，共七十八页。续n 企业应当充分评估下列因素导致内部控制失效的风险：n（一）控制活动的类型，一般包括人工控制和自动控制、预防性控制和发现性控制等。n（二）控制活动的复杂性，通常与企业组织结构、市场环境、经营规模、人员素质等相关。n（三）管理层逾越内部控制的风险。n（四）实施控制活动所需要的职业判断的程度。n（五）控制活动所针对风险事项的性质及其重要性。n（六）一项控制活动对其他控制活动有效性的依赖(yli)程度。n内部控制评价机构应当根据评估结果和经核实的证据，确认内部控制缺陷，出具评价结论，编制

13、评价报告，报送管理层和董事会审阅。第十七页，共七十八页。四、内部控制(kngzh)缺陷认定 n企业(qy)在对内部控制进行内部监督发现内部控制缺陷时，需要对内部控制的缺陷进行认定和报告。为此，企业(qy)应当根据自身的实际情况，制定本企业(qy)内部控制缺陷认定标准。n内部控制缺陷包括设计缺陷和运行缺陷。第十八页，共七十八页。1、关于(guny)设计缺陷n所谓设计缺陷(quxin)，是指缺少为实现控制目标所必需的控制，或现存内部控制设计不适当、即使正常运行也难以实现控制目标而形成的内部控制缺陷(quxin)，即建立的内部控制不能充分实现内部控制目标而形成的内部控制缺陷(quxin)。第十九页，

14、共七十八页。案例：废纸打印(d yn)不挨骂n小李是一家公司的职员，由于公司刚开始创业，经理特别强调成本控制，把厉行节约列为绩效考核的重要内容。他对办公室员工(yungng)提出了要求：节约用纸，非正式文件不得使用空白纸。n有一次，废纸用完了，小李只好用空白纸打印，经理看到用的不是废纸，立刻责问：n小李委屈地说，废纸用完了，只好n经理有点不相信：一天打印那么多文件，怎么会一张废纸都没有了呢？于是自已动手，进行检查，还真找出了几张废纸。n第二天，经理在开会时点名批评了小李，还扣发了当月奖金。n从此以后，每当没有废纸可用的时候，小李特别着急。后来，一位老员工俏俏地告诉她：从此，小李再也没有挨批了。

15、n请问：老员工俏俏告诉小李什么了？n这个故事说明了什么？第二十页，共七十八页。2、关于运行(ynxng)缺陷n所谓运行缺陷，是指现存设计(shj)完好的控制没有按设计(shj)意图运行，或执行者没有获得必要授权或缺乏胜任能力以有效实施控制而产生的内部控制缺陷，即内部控制不能按照建立阶段的意图运行，或运行中错误很多，或实施内部控制的人员不能正确理解内部控制的内容和目标等而产生的内部控制缺陷。某一企业的内部控制体系虽然设计(shj)得很完善，但由于实施过程中的偏差，导致内部控制运行缺陷。内部控制的缺陷可以是单项的缺陷，也可以是多项组合的缺陷。 第二十一页，共七十八页。3、内部控制缺陷(quxin)

16、认定n存在下列情况之一,应当认定内部控制存在设计或运行缺陷:未实现规定的控制目标未实现规定的控制目标.未执行规定的控制活动未执行规定的控制活动.突破规定的权限突破规定的权限.不能及时提供控制运行有效的相关证据不能及时提供控制运行有效的相关证据.n内部审计在判断和认定内部控制缺陷是否构成重大缺陷,应当考虑下列因素:影响影响(yngxing)整体控制目标实现的多个一般缺陷的组合整体控制目标实现的多个一般缺陷的组合是否构成重大缺陷是否构成重大缺陷.针对同一细化控制目标所采取的不同控制活动之间的针对同一细化控制目标所采取的不同控制活动之间的相互作用相互作用.针对同一细化控制目标是否存在其他补偿性控制活

17、动针对同一细化控制目标是否存在其他补偿性控制活动.第二十二页，共七十八页。4、内部控制(kngzh)缺陷分类n按照内部控制缺陷影响整体控制目标实现的严重程度，内部控制缺陷分为一般缺陷、重要(zhngyo)缺陷和重大缺陷。n重大缺陷是指一个或多个一般缺陷的组合，可能严重影响内部控制整体的有效性，进而导致企业无法及时防范或发现严重偏离整体控制目标的情形。n重要缺陷是指一个或多个一般缺陷的组合，其严重程度低于重大缺陷，但导致企业无法及时防范或发现偏离整体控制目标的严重程度依然重大，须引起企业管理层关注。n除重要缺陷和重大缺陷以外的其他缺陷，则为一般缺陷。第二十三页，共七十八页。5、发现缺陷(quxi

18、n)的处理n在对内部控制进行内部监督的过程中，根据确定的标准对内部监督所发现的内部控制缺陷进行认定，分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告。n企业还应当跟踪内部控制缺陷整改情况，并就内部监督中发现的重大缺陷，追究相关责任(zrn)单位或者责任(zrn)人的责任(zrn)。 第二十四页，共七十八页。第三节 评价(pngji)实例中石化第二十五页，共七十八页。内控手册(shuc)总则总部内部控制(kngzh)组织机构 财务部法律(fl)事务部部审计部股份公司内部控制领导小组组长：总裁信息系统管理部内控办公室人事部第二十六页，共七十八页。内控手册(

19、shuc)总则分子公司(n s)内部控制组织机构 企业(qy)内部控制领导小组组长：分公司总经理财务处企管处法律事务处审计处内控办公室人事处信息处第二十七页，共七十八页。一、中国(zhn u)石化内控评价n自自2005年已组织五次全系统内控综合检查年已组织五次全系统内控综合检查(jinch)n管理层内控自我评价管理层内控自我评价n外部审计师对财务报告内控审计外部审计师对财务报告内控审计第二十八页，共七十八页。二、内控自我(zw)评价依据n依据依据(yj)内控内控手册及相关制手册及相关制度，检查内部度，检查内部控制健全性控制健全性（设计）（设计）n依据适用的内依据适用的内容、范围，检容、范围，检

20、查内部控制符查内部控制符合性（执行）合性（执行）第二十九页，共七十八页。三、内控自我评价(pngji)指引n企业内控检查评价指引n包括：注明具体检查步骤方法的工作底稿、案例分析(fnx)等n总部层面内控检查评价与考核实施细则第三十页，共七十八页。四、内控自我评价(pngji)方式n中国石化从“量化评分”和“内控缺陷认定”两个方面进行内控评价，满足内控考核和外部监管(jingun)的要求。 第三十一页，共七十八页。五、内控自我(zw)评价范围n总部(zn b)层面：各管理部门n企业层面：各管理部门、所属单位 第三十二页，共七十八页。六、内控自我(zw)评价流程图编制内部控制自我评价(pngji)

21、报告修订(xidng)完善补救整改组织现场检查制定检查方案，报内控领导小组批准报告管理层健全性测试有效性测试 检查汇总结果集中培训检查人员第三十三页，共七十八页。内控自我评价(pngji)流程n（一）制定年度内控检查方案n（二）检查前培训n（三）现场检查n（四）跟踪(gnzng)整改n（五）汇报检查结果及修订完善n（六）编制内控自我评价报告及对外披露第三十四页，共七十八页。（一）制定年度内控检查(jinch)方案n召开内控领导小组会议批准检查方案检查范围及重点（总部检查范围及重点（总部(zn(zn b) b)部门、企业层面）部门、企业层面） 检查人员选拔及分组检查人员选拔及分组 检查前培训安排

22、检查前培训安排 检查主要事项检查主要事项第三十五页，共七十八页。（二）检查(jinch)前培训n讲解内控检查评价指引（方法、案例(n l)）n合理分组，熟悉被检查单位基本情况n分组讨论，集中答疑第三十六页，共七十八页。（三）现场检查(jinch)评价步骤见面会见面会掌握掌握(zhngw)(zhngw)基本情况基本情况分析分析(fnx)(fnx)/ /定范围定范围缺陷认定缺陷认定填写底稿填写底稿签字确认签字确认编写报告编写报告讲评会讲评会交换意见交换意见汇报内控办公室汇报内控办公室审计部审计部检查结果检查结果评分评分/ /评价评价第三十七页，共七十八页。1、组织现场检查(jinch)小组n组长负

23、责与企业班子成员谈话，参加(cnji)见面会及讲评会；n副组长负责检查内控环境（访谈部门负责人）、企业自查情况，并撰写现场检查报告；n检查人员按内控流程分组(以内控管理人员为主，搭配各类专业人员、特别是IT专业人员）第三十八页，共七十八页。2、召开(zhoki)见面会n通过企业介绍，掌握基本情况(qngkung)企业基本情况（生产经营业务范围、组织机构、经理企业基本情况（生产经营业务范围、组织机构、经理班子成员及其分工、财务管理核算体制、班子成员及其分工、财务管理核算体制、ERPERP建设和实建设和实施情况等）；施情况等）； 检查区间生产经营计划和预算完成情况；检查区间生产经营计划和预算完成情

24、况； 内部控制实施情况（内控宣传培训、实施细则及相关内部控制实施情况（内控宣传培训、实施细则及相关制度修订完善、日常内控工作机制、单位测试自查及制度修订完善、日常内控工作机制、单位测试自查及整改情况）；整改情况）； 最近一次审计或财务稽核查出问题的整改情况等。最近一次审计或财务稽核查出问题的整改情况等。第三十九页，共七十八页。3、搜集(suj)、分析材料n实施细则及配套规章制度n内控自查整改材料(cilio)n内控流程责任分工（责任部门、责任人、联系人）n企业组织架构图（领导分工、部门职能、重要岗位人员名单）n检查区间的会计报表、经济活动分析材料等n最近一次审计问题及整改材料n获得ERP 最大

25、查询权限第四十页，共七十八页。4、确定范围(fnwi)及重点n选择检查单位（企业所属全资、控股、参股子公司原则上全部检查，并至少抽查3个直属单位）n选择重点内控流程和控制点（必检内容）n确定(qudng)重点检查样本n加强内部沟通，适时调整检查内容和方向第四十一页，共七十八页。5、现场(xinchng)检查评价内容n内控环境、要素评价（10分）n企业自查情况评价（20分）n业务流程综合(zngh)检查评价（70分）n内部控制缺陷认定（修正总得分） 第四十二页，共七十八页。（1）内部环境、要素(yo s)评价检查评价内容主要包括7个方面（访谈、检查证据(zhngj)）：n诚信与道德n责任分配与授

26、权n组织结构n管理哲学和经营风格 n人力资源政策与实务n信息与沟通n监督 检查检查(jinch)组长或副组长填写组长或副组长填写“内控环境检查评价表内控环境检查评价表”第四十三页，共七十八页。（2）企业自查情况(qngkung)评价n企业责任部门内控流程测试情况（检查实际效果）n企业内控自查情况（至少验证5个流程）n复查核实，副组长填写(tinxi)“企业自查情况评价表”第四十四页，共七十八页。（3）业务流程评价(pngji)n分析适用流程，判断(pndun)业务发生对照内控手册及相关制度，分析对照内控手册及相关制度，分析适用流程适用流程、控制点（健全、控制点（健全性）性）判定业务是否发生，确

27、定应检查的控制点（符合性）判定业务是否发生，确定应检查的控制点（符合性）参照检查工作底稿中拟定的参照检查工作底稿中拟定的检查步骤和方法检查步骤和方法，结合实际选，结合实际选择抽样、穿行测试、检查证据、实地观察、对比分析、访择抽样、穿行测试、检查证据、实地观察、对比分析、访谈等方法。谈等方法。第四十五页，共七十八页。业务流程评价(pngji)（续）n控制点得分/扣分的判断(pndun)方法不相容岗位分离不相容岗位分离 控制点执行情况控制点执行情况n执行了控制点规定的控制步骤或控制方法（执行了控制点规定的控制步骤或控制方法（“控控制点描述制点描述”、 “检查步骤及方法检查步骤及方法”）n未突破规定

28、的权限（权限指引）未突破规定的权限（权限指引）n实现规定的控制目标实现规定的控制目标 （实质性检查）（实质性检查）n及时提供有效的控制点相关资料及时提供有效的控制点相关资料 同时(tngsh)符合第四十六页，共七十八页。业务流程评价(pngji)（续）n分析是否与财务报告相关，填写检查记录控制点检查评价后，填写控制点检查评价后，填写“内控流程检查工作底内控流程检查工作底稿稿”与财务报告相关的控制与财务报告相关的控制(kngzh)(kngzh)点（控制点（控制(kngzh)(kngzh)矩阵已注明），还应填写矩阵已注明），还应填写“财务报告抽样记录表财务报告抽样记录表”“内控流程检查工作底稿内控

29、流程检查工作底稿” 和和“财务报告抽样财务报告抽样记录表记录表”需经检查人、被查单位责任人签定确认。需经检查人、被查单位责任人签定确认。第四十七页，共七十八页。业务流程评价(pngji)（续）n内控流程评价计分方法内控流程综合检查评价得分内控流程综合检查评价得分=控制点检查评价得分控制点检查评价得分70/控制点基础分值。其中控制点基础分值。其中(qzhng)：n控制点检查评价得分为被检查单位所有适用内控流程控制点检查评价得分为被检查单位所有适用内控流程控制点控制点“检查评价得分检查评价得分”之和；之和；n控制点基础分值为被检查单位所有适用内控流程剔除控制点基础分值为被检查单位所有适用内控流程剔

30、除不适用控制点及业务未发生控制点后的不适用控制点及业务未发生控制点后的“控制点分值控制点分值”之和。之和。第四十八页，共七十八页。（4）内控缺陷(quxin)的分类影响(yngxing)会计报表缺陷其他信息(xnx)质量缺陷IT控制缺陷内控重大事故事件缺陷内部控制缺陷企业内部管理缺陷财务报告缺陷n内控缺陷是指在内控设计和运行方面，已经发生的内控程序不足或产生不足的可能性。第四十九页，共七十八页。内控缺陷(quxin)的划分等级填写“内部控制缺陷认定汇总表”结果结果第五十页，共七十八页。内控缺陷(quxin)的扣分n一般缺陷：扣减总得分的1%n 重要缺陷：扣减总得分的50% n 重大缺陷：综合检

31、查(jinch)得分为零 第五十一页，共七十八页。内控缺陷(quxin)的认定n影响报表的缺陷：根据错误样本比例推算潜在错报金额n1、记录错报样本n2、确定潜在错报率n3、计算潜在错报金额相应会计科目同向累计(li j)发生额潜在错报率n4、计算错报指标错报指标错报指标1=1=潜在错报金额合计潜在错报金额合计/ /被检查单位当期主营业被检查单位当期主营业务收入或期末资产总额孰高；务收入或期末资产总额孰高；错报指标错报指标2=2=潜在错报金额合计潜在错报金额合计/ /股份公司当期主营业务股份公司当期主营业务收入。收入。n5、错报指标与缺陷等级n 一般缺陷:错报指标11，且错报指标21 n 重要缺

32、陷:1错报指标25n 重大缺陷:错报指标25 第五十二页，共七十八页。内控缺陷(quxin)的认定（续）n其他会计信息质量一般缺陷：外部监管重点关注的事项(shxing)n（1）会计人员缺乏必要的任职资格和胜任能力。n（2）财会岗位职责不清晰，或未执行规定的会计不相容岗位（职务）分离。n（3）会计凭证未按规定装订、保管和归档，或会计凭证丢失。n（4）重要原始凭证如出/入库单、提货通知单、开出发票和支票等不连号或未经审批取消原始凭证。n（5）未按规定与股份公司内、外部往来单位对账及编制往来账户余额调节表，或100万元以上的对账差异个月以上未处理，或其他对账差异个月以上未处理。n（6）未按规定编制

33、银行存款余额调节表，或调节表差异个月以上未处理。n（7）一人保管支付款项所需的全部印章。开通网上银行的，由一人保管网银卡和密码。n（8）存货盘点未按照规定执行。n（9）由于审查不严、处理不当等原因造成执行国家税收政策偏差，受到罚款处罚等。第五十三页，共七十八页。内控缺陷(quxin)的认定（续）nIT控制一般缺陷：整体层面控制、一般性控制、应用控制n（1）ERP系统、财务信息管理系统、加油卡系统的用户管理或密码管理未按要求执行。n（2）ERP系统同一业务流程主数据管理和维护有两个或两个以上控制点未按要求执行。n（3）分（子）公司信息化管理机构不健全，职责不到位。n（4）分（子）公司ERP支持中

34、心人员不落实，支持中心人员没有履行(lxng)相关职责。n（5）安全管理员、系统管理员、应用系统管理员设置未执行不相容岗位（职务）分离。n（6）未进行信息安全教育和培训。n（7）ERP系统、财务管理信息系统、加油卡系统服务器未纳入信息管理部门统一管理。第五十四页，共七十八页。内控缺陷(quxin)的认定（续）缺陷认定等级直接财产损失金额重大负面影响一般缺陷10万元500万元或受到省级（含省级）以下政府部门处罚但未对公司定期报告披露造成负面影响重要缺陷500万元1000万元或受到国家政府部门处罚但未对股份公司定期报告披露造成负面影响重大缺陷1000万元及以上或已经对外正式披露并对公司定期报告披露

35、造成负面影响n内控重大事故事件缺陷：以未经授权、舞弊或IT控制不善(bshn)造成财产损失或影响给股东带来利益损害为判别依据。第五十五页，共七十八页。内控缺陷(quxin)的认定（续）n内部管理一般缺陷：不影响财务报告，但违反内部管理要求的突出事项。根据内控手册和管理制度（文件）判断。n物资采购供应未归口管理n销售管理中客户信用等级和信用限额未经信用领导小组审批，销售价格政策未经价格领导小组审批n投资项目无计划或超计划，或未按规定招投标，或先施工后补签合同n对未即时清结的交易(jioy)没有签订书面合同；未按规定使用标准合同文本并经兼职合同管理员审核；使用非标准合同文本未经专职合同管理员审核n

36、未按规定开立或使用银行账户n成本、费用指标未考核n由于违章行为导致安全环保事故（事件）发生n瞒报事故第五十六页，共七十八页。内控缺陷(quxin)的认定（续）n内控缺陷的汇总n内控缺陷认定后，应累计填写“内部控制缺陷认定汇总表”，由检查小组组长（或副组长）、被查单位(dnwi)内控办公室主任签字确认。第五十七页，共七十八页。6、检查(jinch)方法（1）一般(ybn)方法（2）抽样检查（3）ERP控制点检查(jinch)第五十八页，共七十八页。（1）一般检查方法(fngf)及应用：抽样法穿行(chun xn)测试法个别(gbi)访谈法比较分析法实地查验法专项讨论会法重新执行法基本方法业务流程

37、内控环境、异常情况价格、预算、报表分析盘点、验证遇到专业疑难问题怀疑结果有重大错误不限于此综合运用注意取得最原始单据第五十九页，共七十八页。综合应用(yngyng)各种方法：n检查前：比较分析、个别(gbi)访谈，预抽样n实施检查：抽样、穿行测试、实地查验、个别访谈、比较分析n疑难问题：专家讨论会n佐证不足怀疑结果：重新执行、扩大抽样第六十页，共七十八页。（2）抽样检查n抽样数量(shling)n抽样方法n抽样步骤及要求第六十一页，共七十八页。抽样(chu yn)检查方法（续）序号业务发生频率至少抽样数量1每年一次1笔2每年一次以上至每季度一次2笔3每季度一次以上至每月一次2笔4每月一次以上至

38、每周一次5笔5每周一次以上至每天一次15笔6每天多次25笔第六十二页，共七十八页。抽样(chu yn)检查方法（续）抽样数量n非财务报告点抽样数量一般为3个（少于3个的选用(xunyng)整体抽样）；n财务报告点抽样数量在“财务报告抽样记录表”中已经根据业务发生频率列出“应抽取的样本量”，除非实际业务量不足，否则不得减少“应抽取的样本量”；n特别说明:抽取样本数量不限于上述“应抽取的样本量”，如果检查人员认为抽样数量不足以证明内控执行有效，可以根据需要增加样本量。第六十三页，共七十八页。抽样(chu yn)检查方法（续）1）整体抽样2）随机抽样3）等距抽样4）指定抽样第六十四页，共七十八页。（

39、3）ERP控制点检查(jinch)：n权限(qunxin)检查n截图使用第六十五页，共七十八页。1） ERP控制点权限(qunxin)检查：n权限检查 业务流程权限检查清单n直接查询是否存在不符合规定的内容 如按照控制点要求，查询是否存在未清订单、人为删除交货单等情况(qngkung)，直接在系统中先筛选是否存在未维护信用的客户等。 第六十六页，共七十八页。2）参照(cnzho)截图检查ERP控制点n分散服务器的企业 编制ERP控制点检查标准，检查配置与执行(zhxng)。n集中服务器的企业 未有效执行，扣减被检查单位分数第六十七页，共七十八页。7、填写(tinxi)工作底稿及记录n7套表格内

40、部控制检查评价汇总表内部控制检查评价汇总表企业内控环境评价表企业内控环境评价表企业自查评价表企业自查评价表内控流程检查工作底稿（含财务报告抽样记录表）内控流程检查工作底稿（含财务报告抽样记录表）研究院内控流程检查工作底稿研究院内控流程检查工作底稿内部控制缺陷认定内部控制缺陷认定(rndng)汇总表汇总表内控工作意见和建议表内控工作意见和建议表第六十八页，共七十八页。8、撰写(zhun xi)现场检查报告及讲评n检查评价整体情况n 企业内控环境评价n 企业自查情况评价n 内控流程评价n 内控缺陷认定（深刻分析）n 整改意见和管理建议n所有检查底稿(dgo)、记录及报告由被查单位责任人确认第六十九

41、页，共七十八页。9、检查评价资料(zlio)及报告n检查小组组长或副组长必须复核所有检查表格、工作底稿和内控缺陷认定。n有效执行的控制点不需复印资料，但未执行控制点及内控缺陷需要提供相关资料佐证。n所有检查资料按规定编号，依顺序(shnx)整理、装订。n现场检查报告及各种检查资料（含电子版）交内控办公室。第七十页，共七十八页。（四）跟踪(gnzng)整改n由内控办公室统一组织汇总各企业、总部现场检查结果汇总各企业、总部现场检查结果(ji gu)分配总部各责任部门督促整改，核实整改结果分配总部各责任部门督促整改，核实整改结果根据最终整改结果考核各企业、部门根据最终整改结果考核各企业、部门第七十一页，共七十八页。（五）汇报检查结果(ji gu)及修订完善n向内控领导小组汇报n与外部审计师沟通n向董事会及其审计委员会汇报n按照外部监管政策(zhngc)变化和管理层要求修订完善第七十二页，共七十八页。（六）对外披露内控自我(zw)评价n编制中国石化内控自我评价报告n根据境内外不同监管要求(yoqi)披露内控自我评价第七十三页，共七十八页。外审内控评价(pngji)分析年度200620072008内控手册控制点99811491179检查企业数量213432非披露缺陷2437426趋