企业内部控制与风险管理课件

企业内部控制与风险管理周中胜11/22/20221企业内部控制与风险管理周中胜11/21/2022111/22/2022211/21/2022211/22/2022311/21/2022311/22/2022411/21/2022411/22/2022511/21/20225从家乐福、沃尔玛价格欺诈案例看销售业务控制从丰田汽车召回案看产品研发与制造控制从三鹿、蒙牛毒奶粉事件看采购的内部控制……11/22/20226从家乐福、沃尔玛价格欺诈案例看销售业务控制11/21/202研讨目录内部控制理念演变内部控制规范解读如何根据内部控制规范构建内部控制体系内部控制运行中的相关问题内部控制案例分析11/22/20227研讨目录内部控制理念演变11/21/20227内部控制理念演变引言：埃及金字塔与中国现实11/22/20228内部控制理念演变引言：埃及金字塔与中国现实11/21/202（一）内部牵制:(上世纪40年代前）《会计思想史》实物牵制机械牵制体制牵制簿记牵制11/22/20229（一）内部牵制:(上世纪40年代前）11/21/20229（二）内部控制制度:(40-70年度：1949）1938年，麦克森.罗宾斯公司案1949年，美国审计程序委员会下属的内部控制委员会发布《内部控制、协调系统诸要素及其对管理部门和注册会计师的重要性》11/22/202210（二）内部控制制度:(40-70年度：1949）11/21/内部会计控制内部管理控制11/22/202211内部会计控制11/21/202211（三）内部控制结构：（1988）1988年，美国注册会计师协会SASNo.55控制环境会计制度控制程序11/22/202212（三）内部控制结构：（1988）1988年，美国注册会计师协（四）COSO报告——内部控制综合框架（1992）1973年到1976年美国的水门事件（Watergate)1977年，美国《反海外贿赂法》（ForeignCorruptPracticesAct）颁布朗讯案、中国人寿案、建行张恩照案11/22/202213（四）COSO报告——内部控制综合框架（1992）1973年1985年，AICPA、AAA、FEI、IMA发起设计Tread-way委员会COSO委员会（CommitteeofSponsoringOrganizationOfTheTreadwayCommittee)1992年，COSO发布《IC-IF》11/22/2022141985年，AICPA、AAA、FEI、IMA发起设计TreCOSO发布《IC-IF》控制环境风险评估控制活动信息与沟通监督11/22/202215COSO发布《IC-IF》控制环境11/21/202215（五）Sarbane-OxleyActof20191、section103:财务报告内部控制的定义2、Section404:公司管理层需要对财务报告的内部控制进行报告。要求公司的审计师对管理层的评估进行评估和报告。11/22/202216（五）Sarbane-OxleyActof20191、(六)走向ERM(2019.9)COSO,EnterpriseRiskManagementFramework11/22/202217(六)走向ERM(2019.9)COSO,Enterpri

COSO五要素－ERM八要素11/22/202218 COSO五要素－ERM八要素11/21/202218全面风险管理的五层含义与战略目标一致应对突发事件，防止重大损失高效运营财务报告真实可信遵守法律和法规5432111/22/202219全面风险管理的五层含义与战略目标一致应对突发事件，防止重大损2019年COSO报告中，以《企业风险管理框架》命名，将内部控制框架扩展到风险管理框架。《企业风险管理框架》按照公司各层企业风险管理中的地位和职责分解为：董事会首席执行官等高级管理层风险管理员内部审计人员以及其他员工明确指出董事会对企业的风险管理负有监督职责,企业的首席执行官对企业的风险管理最终负责,企业的高层确定风险管理的基调,从而影响企业内部环境中的员工操守和价值观及其他因素。11/22/2022202019年COSO报告中，以《企业风险管理框架》命名，将内部中国人民银行《加强金融机构内部控制的指导原则》2019201920192019保监会《寿险公司内部控制评价办法（试行）》上海证券交易所《上市公司内部控制指引》深圳证券交易所《上市公司内部控制指引》国资委《中央企业全面风险管理指引》银监会《商业银行内部控制指引》国资委《中央企业财务内部控制评价工作内部指引》深圳证券交易所《中小企业板上市公司内部审计工作指引》五部委（财政部、证监会、保监会、银监会、审计署）《企业内部控制基本规范》我国主要内部控制法律法规11/22/202221中国人民银行《加强金融机构内部控制的指导原则》2019201中国“内控”时代的来临《企业内部控制基本规范》财政部证监会审计署银监会保监会2019年6月28日发布11/22/202222中国“内控”时代的来临《企业内部控制基本规范》财政部证监会审2019年4月26日，五部委联合发布《企业内部控制应用指引第1号——组织架构》等18项应用指引、《企业内部控制评价指引》、《企业内部控制审计指引》，要求自2019年1月1日起首先在境内外同时上市的公司施行，2019年1月1日起扩大到上海、深圳证交所主板上市公司施行，在此基础上，择机在中小板和创业板上市公司施行。同时，鼓励非上市大中型企业提前执行。11/22/2022232019年4月26日，五部委联合发布《企业内部控制应用指引第《企业内部控制规范》适用范围实施范围：2019年境内外同时上市的公司执行2019年A股全面执行，同时适当考虑中小板和创业板执行鼓励非上市的大中型企业执行。上市公司任务：对本公司内部控制的有效性进行自我评价（CSA）；披露年度自我评价报告；聘请具相关资格的会计师事务所对财务报告内部控制的有效性进行审计。11/22/202224《企业内部控制规范》适用范围11/21/202224《企业内部控制基本规范》出台背景美国中国连续爆发安然、世通等重大丑闻；美国制定SOX，加强对上市公司的监管连续发生中航油事件、中国银行高山案、中海集团釜山资金门、三鹿奶粉事件、中信泰富案等重大丑闻11/22/202225《企业内部控制基本规范》出台背景美国中国连续爆发安然、世通等中国内部控制法规体系 * FootnoteSource: Source内控规范法规体系《企业内部控制基本规范

》《内部控制自我评价指引》《企业内部控制应用指引》《内部控制审计指引》11/22/202226中国内部控制法规体系 * Footnote内控规范法规体系《企业内部控制应用指引1组织结构2发展战略3人力资源4社会责任5企业文化6资金活动7采购管理8资产管理9销售管理10研发管理11工程管理12担保管理13业务外包14财务报告15全面预算16合同管理

17

内部信息传递18信息系统11/22/202227企业内部控制应用指引1组织结构2发展战略3人力资源4社会责任《内部控制基本规范》内容提要11/22/202228《内部控制基本规范》内容提要11/21/202228内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的内涵11/22/202229内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨谁对内部控制负责对内部控制的建立和实施进行指导和监督对内控建立健全和有效负责日常运作财务报表、资产安全董事会董事长总经理总会计师（财务总监）11/22/202230谁对内部控制负责对内部控制的建立和对内控建立健全和有效负责日成本效益原则全面性重要性制衡性适应性内部控制原则内部控制的五大原则11/22/202231成本效益原则全面性重要性制衡性适应性内部控制原则内部控制的五内部控制的五大目标提高经营效率和效果促进企业实现发展战略资产安全财务报告及相关信息真实完整合理保证企业经营管理的合法合规11/22/202232内部控制的五大目标提高经营效率和效果促进企业实现发展战略资产信息与沟通控制活动风险评估内部环境内部监督内部控制内部控制的五大要素11/22/202233信息与沟通控制活动风险评估内部环境内部监督内部控制内部控制的

内部环境11/22/202234内部环境11/21/202234内部审计机制对胜任能力的重视治理结构、内部机构设置与权责分配企业文化（诚信原则与道德价值观）人力资源政策与实务管理层的理念与经营风格11/22/202235内部审计机制对胜任能力的重视治理结构、内部机构设置与权责分配内部环境的主要内容对诚信和道德价值观念的沟通与落实管理层的理念和经营风格对胜任能力的重视组织结构及职权与责任的分配人力资源政策与实务11/22/202236内部环境的主要内容对诚信和道德价值观念的沟通与落实11/21对诚信和道德价值观念的沟通与落实书面的行为守则及员工能接受和理解的文件适当的沟通渠道对违反守则的员工给予适当的处罚高管的行为和他们的表率行为至为关键

11/22/20223711/21/202237

案例：”日升昌票号”诚信与号规日升昌票号VS衣衫褴褛的乞丐婆内部管理制度执行的严肃性11/22/202238案例：”日升昌票号”诚信与号规11/21/202238人力资源政策与实务招聘面试制度与流程正规的培训制度对胜任能力的重视强调教育背景、前期工作经验、过去成就和有关诚信和道德行为的证据等等能力与成本的衡量（没必要雇佣电器工程师更换灯泡）

11/22/202239人力资源政策与实务11/21/202239

案例:曾国藩湘军的招聘原则——“山僻之民多犷悍，水乡之民多浮滑；城市多游惰之气，乡村多朴拙之夫，故善用兵者尝好用山乡之卒，而不好用城市近水之人。”——团练中的大小头目都有亲谊关系，以便让他们联为一个坚强整体，除了同乡之外，还包括各种私人关系，包括师友关系和姻亲关系。个别信任or普遍信任？

11/22/202240案例:曾国藩湘军的招聘原则个别信任or普遍信案例：“山西票号”的人事政策——十年磨一商才，期间经历诸多考验——用乡不用亲——保人负连带责任如何建立信任？现代社会用人，还要强调知根知底吗？11/22/202241案例：“山西票号”的人事政策如何建立信任？现代社会用人，组织结构及职权与责任的分配将权力和受托责任相结合来鼓励个人在限定的范围内发挥主动性组织结构的简化或“扁平化”.VS.增加授权确立报告关系和授权规程

领导=决策+授权正确授权有利于培养胜任能力和责任感！！11/22/202242组织结构及职权与责任的分配领导=决策+授权正确授权有利于培养案例：锋利凶狠，秦始皇军团兵器铸造之谜四级管理制度，责任到人

丞相工师（厂长）丞（车间主任）工匠11/22/202243丞相工师（厂长）丞（车间主任）工匠11/21/202243“桔生淮南则为桔，生于淮北则为枳”

案例：“军功授爵制”为何成就秦军却对明军无效？11/22/202244“桔生淮南则为桔，生于淮北则为枳”案例：“军功授爵制”为何风险评估11/22/202245风险评估11/21/202245（一）风险评估要素总览风险评估风险应对风险分析风险识别目标设定11/22/202246（一）风险评估要素总览风险评估风险应对风险分析风险识别目标设（二）目标设定目标设定是事项识别、风险评估和风险应对的前提。战略目标——是最高层次的目标，它与主体的使命/愿景相协调，并支持后者。经营目标——这些目标与主体经营的有效性和效率有关，包括业绩和赢利目标以及保护资源不受损失。报告目标——这些目标与报告的可靠性相关。它们包括内部和外部报告，可能涉及到财务和非财务信息。合规目标——这些目标与符合相关法律和法规有关。11/22/202247（二）目标设定目标设定是事项识别、风险评估和风险应对的前提。案例：ABC医疗服务公司的目标设定使命——提供高质量的、可行的和价格合理的社区健康服务。战略目标——在中等类型城市成为数一数二的全方位的健康医疗服务提供者；在核心医疗服务质量排名前四甲；在当地市场成为性价比最高的领先者。战略：——在目前还没有进军的目标市场里与当地的医院联手结成战略伙伴共同合作。——在目标市场收购一些高质量但处于困境状态下的医疗服务机构。——通过发展所有权分享计划或利润分享的政策来吸引当地高端医疗人才。——在目标市场对一些大中型企业开发出有针对性的市场操作程序。——利用已有的高水准基础组织系统提供高效的管理和成本控制。——对所有的医疗设施和其他相适应的法律法规进行追踪记录。

11/22/202248案例：ABC医疗服务公司的目标设定使命——提供高质量的、可行经营目标运营目标——和当地前10位的经营不佳的医院管理层进行初步接触，并在年内和2家医院商讨收购协议。——在主要目标市场对这10个目标群进行其他方面的医疗合作，并在年内和5家医院执行此合作协议。——明晰了解主要市场中出色医生的需求和职业选择动机，并由此架构出相应的工作转换优惠条件模型。——今年内，保证至少在5个主要市场内每一个核心医疗部门最少要有一个顶级医生。——对关键目标市场内的当地商业领先者保持关注并以此决定医疗服务的需求。——对商业客户开发可选择模型程序。——对收购或重组后的医院开发出一套可快速应用的信息和操作系统（制定协议对现有系统进行移植）。——在一个新的区域应用新系统提供服务进而将该模型推广到其他 区域。

11/22/202249经营目标11/21/202249报告目标——在新购并的机构安装基础系统，在月末的最后4个工作日提供关键业绩指标，意外情况报告和趋势线分析报告。———保证所有设备运行准确无误，并对其运行状况和出现的问题向管理层提供定期报告。———设立统一的报告系统/科目，以提供外部报告所需的精确和完整信息。合规目标——以章程、领导机构和员工为中心设立合规办公室，对当地分支机构提供支持。———保证对相关法规法律的遵循达成一致认识，并将此纳入人力资源目标和绩效评估中。———对医疗程序、药品的存储和剂量、员工的分派、日程以及患者等所有方面制定公司范围内的管理草案。———审阅所有自有政策，考察是否与法律的要求和最佳事件准则相一致。11/22/202250报告目标11/21/202250案例：什么是正确的事情？3.212118亿广告投入机会风险订货急剧上升产能仅3千吨

资源约束财务风险缓解

配置资源，增加产能

压缩订单

收购散装白酒勾兑秦池覆灭财务风险时间压力财务压力应对使命/愿景错位！经营战略失误！11/22/202251案例：什么是正确的事情？机会风险产能仅3千吨资源约束财务风事项是源于内部或外部的影响战略实施或目标实现的事故或事件。事项可能带来正面或负面影响，或者两者兼而有之。无数外部和内部因素驱动着影响战略执行和目标实现的事项。事项之间存在相互依赖性，一个事项可能引发另一个事项，事项也可能会同时发生。（三）风险或“事项”识别11/22/202252事项是源于内部或外部的影响战略实施或目标实现的事故或事件。事员工专业胜任能力等人力资源因素营运安全、员工健康、环境保护等安全环保因素财务状况、经营成果、现金流量等财务因素

组织机构、经营方式、资产管理、业务流程等管理因素

董事、监事、经理及其他高级管理人员的职业操守研究开发、技术投入、信息技术运用等自主创新因素

内部风险11/22/202253员工专业胜任能力等人力资源因素营运安全、员工健康、环境保护等其他有关外部风险因素自然灾害、环境状况等自然环境因素

技术进步、工艺改进等科学技术因素

法律法规、监管要求等法律因素

经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素

安全稳定、文化传统、社会信用、教育水平、消费者行为等外部风险11/22/202254其他有关外部风险因素自然灾害、环境状况等自然环境因素技术进

风险识别的SWOT分析法内部（组织）有利于目标的达成有害于目标的达成外部（环境）优势（strengths)劣势(Weakness)市场地位核心竞争力规模经济低成本定位领导和管理水平财务资源生产技术水平研发能力产品差异性低市场占有率缺乏核心竞争力厂房设备老旧成本居高不下资产负债和现金流水平较差较低的研发能力产品趋同、定位较差质量存在问题缺乏分销渠道机会(Opportunities)威胁(Threats)技术创新全新市场需求市场多层面机会市场的增长居民年龄结构和社会变化政治和政府的扶持经济增长并购和合作低成本获取资金贸易自由化进入市场的竞争者价格竞争压力原材料加工和工资成本的上升客户需求的变化买方强势和垄断市场供给增加高于需求的增加经济周期性下降人口年龄结构变化法规变化和进口产品威胁11/22/202255风险识别的SWOT分析法内部（组织）有利于目标的达成Ⅲ优势SⅣ劣势WI机会OⅤSO策略抓住机遇，发挥优势策略ⅥWO策略利用机会，克服劣势策略Ⅱ威胁TⅦST策略利用优势，减少威胁策略ⅧWT策略弥补缺点，规避威胁策略11/22/202256Ⅲ优势SⅣ劣势WI机会OⅤSO策略ⅥWO策略Ⅱ威SO是项目的优越之处，需要做好利用，也是解决风险的重要途径；ST是项目的风险潜在区，要做好合理的规划和监控，尽量降低威胁产生的几率；WO是项目风险的中度发生区，需要做好风险评估，制定风险监督计划。WT是项目风险高发区，需要对风险进行损害分析，制定风险应对计划和方案，确定相关责任11/22/202257SO是项目的优越之处，需要做好利用，11/21/202257风险识别的因果分析法（石川馨，1953）风险事故主骨大骨大骨大骨大骨中骨小骨11/22/202258风险识别的因果分析法（石川馨，1953）风险事故主骨大骨大骨气候条件承包商配套设施地点建设成本高于预期财务地点政府温度范围降雨量风向风力洪水季节变化地震雷暴雨经验资源施工人员质量控制可用工厂债券/保险/破产建造技术劳工关系汇率水电设施签证产品税污染立法地方税地方保险要求通货膨胀进口关税企业所得税植被地下水位土壤条件地形状况交通运输环境问题地方政府权利官员腐败规划批复当地合伙人某石化公司风险分析的鱼骨模型11/22/202259气候条件承包商配套设施地点建设成本高于预期财务地点政府温度范（四）风险评估评估出损失概率和损失程度主要技术方法：风险坐标图法风险度评价法概率分析法风险价值法（VAR)11/22/202260（四）风险评估评估出损失概率和损失程度11/21/20226高低小大发生的可能性影响“黑天鹅”！！需要相当关注！！！！毋需多考虑中等风险估计风险发生的可能性和影响11/22/202261高低小大发生的可能性影“黑天鹅”！！需要相当关注！！！！毋需“黑天鹅”有着高度不可能事件所应具备的三个特征：第一点是不可预知性；第二点是它所带来的影响是巨大的；第三点是，在此之后，人们总是试图编造理由来作解释，好让整件事情看起来不是那么的随意就发生了，而是事先能够被预测到的。

对“黑天鹅”需要采取特定的战略进行防范和应对。11/22/202262“黑天鹅”有着高度不可能事件所应具备的三个特征：11/21

示例：投资银行的风险评估高风险中度风险（黑天鹅）中度风险低风险低高高可能性影响交易所交易方式带来的风险交易操作风险……自然灾害引起的风险交易系统出现故障带来的风险……交易所规则、政策的改变带来的风险……证券、期货、指数交易固有的风险舞弊风险现金流量风险员工不能胜任风险上级对下级指导监督不力的风险过分追求短期目标风险信息交流不畅风险……11/22/202263示例：投资银行的风险评估高风险中度风险（黑天鹅）中度风量化体系举例：风险矩阵

后果4中中中中高高高3低中中中中高高2低低中中中中中1低低低低中中中1234567频率⑵风险等级高风险（红色区域）：管理优先级为高的风险。需要重点关注，优先调配资源以进行管理，以把风险排序降低。中风险（黄色区域）：管理优先级为中的风险。需关注风险趋势变化，适当地调整资源以进行管理，以有效的成本代价降低风险排序。低风险（绿色区域）：管理优先级为低的风险。需维持现有管理水平，可适当地把资源调配，用以管理其它风险。11/22/202264量化体系举例：风险矩阵后果4中中中中高高高3低分值后果法规运营/体系经济（损失）声誉安全环境对目标/KPI结果的影响4非常严重起诉广泛损害业务中断多于2天美元多于100万媒体持续关注，与业务伙伴间的信任受损，股东信任受损死亡反复的超标排放/溢出，高额修复成本，严重的环境破坏没有完成的目标/KPI指标15%≤20%3严重公开警告，罚款严重损害,业务中断少于2天美元10万-100万引起公众关注/评论，社会形象受损长期、永久损害反复的次要的超标排放或溢出没有完成的目标/KPI指标10%≤15%2重要公开警告，不罚款轻微损害,业务延误美元1万-10万媒体负面报告短期损害没有产生永久的环境影响没有完成的目标/KPI指标5%≤10%1轻微被政府机关构质疑调查没有或轻微损害，对运营没有影响美元少于1万元没有影响，或影响很小没有影响，或对健康影响很小系统内危害没有完成的目标/KPI指标≤5%量化体系举例：风险矩阵-后果(严重程度)11/22/202265分值后果法规运营/体系经济（损失）声誉安全环境对目标/KP量化体系举例：风险矩阵-频率

分值频率定义7频繁每周发生6很可能每月发生5可能每1个财政年度发生1次4很少每3个财政年度发生1次（公司内），或每1年发生1次（行业内）3极少的每10个财政年度发生1次（公司内），或每5年发生1次（行业内）2不太可能超过10个财政年度发生1次（公司内），或每5年以上发生1次（行业内）1不可能不会在这个行业内发生11/22/202266量化体系举例：风险矩阵-频率分值频率定义7频繁每周发生企业内不同层面所承担的风险职责1234董事会：董事会知道管理层在组织中建立有效的风险管理的程度。它知道并同意主体的风险偏好。它审核风险组合观并对照风险偏好对其进行考虑。知悉最重大的风险以及管理层是否恰当的应对。管理层CEO最终对企业风险管理负责。他/她确保存在积极的内部环境，并且企业风险管理的所有构成要素都存在。掌管组织中各单元的高级管理人员负责管理与他们所在单元目标相关的风险。他们指导企业风险管理的应用，其确保应用与风险偏好相一致。每位管理人员都就他/她在企业风险管理中的那一部分对更高的层级负责，而CEO最终对董事会负责。主体中的其他人员：企业风险管理是每个人的职位描述中的一个明显或隐含的部分。员工了解抵抗来自上级的参与不正当行为的压力的需要，并且在正常的报告途径之外有可利用其他的渠道。所有员工的企业风险管理职能与责任都被很好的界定和有效地沟通。与主体互动的各方：存在从与主体互动的各方获取相关信息并采取恰当措施的机制。措施不仅包括致力于所报告的特定情形，还包括调查问题的根本原因并对其进行修正。对于外包出去的活动，管理层要执行一项计划以监控这些活动。管理层要考虑那些可能会增进企业风险管理的财务分析师，债券评级机构和新闻媒体的观察和见解。风险职能与责任11/22/202267企业内不同层面所承担的风险职责1234董事会：管理层主体中的固有风险和剩余风险固有风险是管理当局没有采取任何措施来改变风险的可能性或影响的情况下，一个主体所面临的风险。剩余风险是在管理当局的风险应对之后所残余的风险。11/22/202268固有风险和剩余风险11/21/202268（五）风险应对风险应对承受分担回避降低11/22/202269（五）风险应对风险应对承受分担回避降低11/21/20226剥离根除禁止停止筛选回避11/22/202270剥离根除禁止停止筛选回避11/21/202270具体措施包括剥离：通过退出一个市场/区域，或通过出售，剥离一个产品/业务。禁止：通过设立权限制度，禁止高风险的经营活动和交易。停止：通过重新设定目标，重新集中策略，重新调动资源，停止特定的活动。筛选：筛选替代性资源项目及投资，避免低回报。根除：在根源上设计并实施内部防止流程。11/22/202271具体措施包括11/21/202271分散：在地理区域内分散财务、有形或信息资产以降低过高的灾难性损失。降低控制：通过内部流程或行动，降低负面事件出现的可能性到一个可以接受的水平。

11/22/202272分散：在地理区域内分散财务、有形或信息资产以降低过高的灾难性案例：风险降低——温州中小企业突出重围转变竞争战略：由成本领先转向产品歧异。转向土地、材料以及劳动力成本低的地区设厂。加强内部流程控制——提高效率，降低成本。最近，阿迪达期在苏州的工厂关闭！11/22/202273案例：风险降低——温州中小企业突出重围转变竞争战略：由成本领保险外包对冲证券化分享分担11/22/202274保险外包对冲证券化分享分担11/21/202274案例：风险分担——衍生金融工具的运用对于国际贸易中应收应付款的汇率波动风险，可以通过购入远期外汇合约的方式分散风险。对于实物交易中可能出现的价格波动风险，可以通过套期保值的期货交易分散风险。

注意：慎重进行非套期保值的投机性期货（期权）交易！反面案例：中航油事件、国储铜期货巨亏事件11/22/202275案例：风险分担——衍生金融工具的运用对于国际贸易中应收应付款示例：期货空头套期保值市场情况5月15日公司X签订出售100万桶石油的合同，成交价以8月15日的即期石油价格为准。（这就意味着存在价格风险！）当前报价为

即期原油价格：每桶19美元8月份到期的原油期货价格：每桶18.75美元（看跌）套期保值策略

5月15日：卖空1000张8月份到期的石油期货合约。8月15日：对5月15日的期货空头平仓

11/22/202276示例：期货空头套期保值市场情况5月15日11/21/2022结果

该公司可以确信每桶石油的价格锁定在18.75美元例1：8月15日石油价格为每桶17.5美元，依据合同，该公司每桶油的售价为17.5美元；该公司在期货市场上每桶石油获利1.25美元（买入现货，交割期货）。公司每桶油实际获利=1.25+17.5=18.75美元例2：8月15日石油价格为每桶19.5美元；依据合同，实际售价为19.5美元。但是公司在期货市场亏损每桶0.75美元。公司每桶油的实际获利=19.5-0.75=18.75美元

思考：如果不进行套期保值，情况分别会如何？11/22/202277结果思考：如果不进行套期保值，情况分别会如何？11/21/2在确定风险应对的过程中，管理当局应该考虑：哪个应对方案与主体的风险容量相协调潜在应对方案的成本和效益注意：个人的风险理念与公司的风险容量要区隔！！11/22/202278在确定风险应对的过程中，管理当局应该考虑：注意：个人的风险理控制活动11/22/202279控制活动11/21/202279运营分析控制和绩效考评控制

预算控制

财产保护控制授权审批控制职责分工控制（不相容职务分离）会计系统控制信息系统控制11/22/202280运营分析控制和绩效考评控制预算控制财产保护控制授权审批控不相容职务分离：授权、批准、业务办理会计记录、财产保管、稽核检查轮岗制度强制休假制度职责分工控制11/22/202281不相容职务分离：轮岗制度强制休假制度职责分工控制11/21/常规授权与临时性授权编制常规性授权指引集体决策制度和联签制度授权审批控制

11/22/202282常规授权与临时性授权编制常规性授权指引集体决策制度和联签制度集团母子公司财务管理关系模型股东大会委托董事会委托经理层母公司子公司委托经理层委托董事会股东大会子公司高层定期述职报告母公司定期审计/检查评价机制财务资源管理财务制度财务体制决策机制财务人员委派制定财务管理体制11/22/202283集团母子公司财务管理关系模型股东大会委托董事会委托经理层母公表1集团公司财务管控体系财务分析、监控内外部审计利用银行服务财务权限系统对上报财务情况进行适时的分析、跟踪及监控；加强对总公司下属资产的监察工作，要求财务账与物账达到平衡；不定期的客户、供应商查询核对（可利用部分审计工作）；建立违规操作举报机制；建议增加总公司审计力量（至少四人）进行常规审计、随机审计、专题审计、流程审计银行直接把下属业务单位银行对账单抄送公司总部；银行自动向公司总部报告金额超过一定限度的交易；所有新业务均使用总部财务中心指定银行明确界定公司总部、下属公司的财务审批权限；规范设计公司总部和下属公司之间的财务审批流程。11/22/202284表1集团公司财务管控体系财务分析、监控内外部审计表2不同战略导向的管控原则战略选择集权/分权程度简要说明扩张战略偏向分权积极鼓励子公司开拓外部市场，“八仙过海，各显神通”，形成集团内多个新的经济和利润增长点稳定战略中性集团总部必须从严格把握投融资权力，而对有关资金运营效率方面的权力可以适当分离紧缩战略高度集权严肃财经纪律，资金链由母公司严格控制混合战略权变有必要对不同的子公司实行不同的管理模式11/22/202285表2不同战略导向的管控原则战略选择集权/分权程度表3财务人员的委派与管理类型说明优势劣势集中管理方式各子公司的财务部都是母公司的派出机构，财会人员的任免与人事关系均集中在母公司实现了统一管理，有利于母公司财务制度的实施；加强了专业化管理，有利于提高财务人员素质；有利于统一核算口径与方法，提高财会信息质量；有利于财会人员正常行使职权，解决了“顶得住站不住”或“站得住顶不住”的问题。与业务单位的联系不够紧密，容易造成某些方面的脱节双重管理方式各子公司财务机构主要管理人员的任免权集中在母公司，但其人事关系和工资关系放在子公司加强了财务部门管理与其他部门的分工协作，避免了工作的脱节，又体现了一定的垂直领导财务管理人员的人事和工资关系不由母公司掌握，削弱了母公司的控制力度重点管理方式各子公司财务管理部门正职由母公司委派，其人事关系和工资关系保留在母公司，副职则由子公司委派减少子公司的抵触心理，加强沟通，有助于财务管理工作的顺利开展；各子公司主要财务管理人员应当在适当的期限内进行岗位轮换，这既有利于财务管理人员个人职业生涯的发展，又可杜绝因在某一岗位上工作时间过长可能发生的营私舞弊现象设置副职增加人力成本支出；正副职可能产生矛盾，沟通协调带来障碍11/22/202286表3财务人员的委派与管理类型说明优势劣势集中管理方式各投资管理中心集团公司财务管理的“七大中心”模式财务会计管理中心融资管理中心资金结算中心资金运营监控中心税费管理中心财务预算控制中心11/22/202287投资管理中心集团公司财务管理的“七大中心”模式财务会计管理中建立全面预算管理结构战略活动经营活动战略形成战略计划经营计划财务预算公司战略（更新的）外部驱动因素业务单元战略（更新的）战略规划和目标竞争对手产品政府顾客人力资源业务水平投资计划信息技术业务水平生产销售计划业绩评价与报告经营目标营销业务利润人力资源资本支出研发分配目标编制预算产品收入预算经营成本预算损益和资产负债表预算资本支出预算制定汇总审核/推行11/22/202288建立全面预算管理结构战略活动经营活动战略形成战略计划经营计划财务预算计划流程框架集团战略规划集团年度经营目标事业部销售计划事业部经营指标及策略集团财务预算生产计划研发计划工程服务计划人力资源计划投资计划事业部财务预算11/22/202289财务预算计划流程框架集团战略规划集团年度经营目标事业部销售计信息与沟通11/22/202290信息与沟通11/21/202290

外部沟通

内部沟通（政策手册、备忘录、电子邮件、网络发布和录像带信息等）信息与沟通加强信息系统开发与维护

建立反舞弊机制与举报热线制度性的报告途径VS单独的沟通渠道11/22/202291信息与沟通制度性的报告途径VS单独的沟通渠道11/21/20某集团公司的信息与沟通总裁办职能中心办公室部门子公司领导集团领导信息周报质询简报信息周报质询周报汇总制度、模板、简报质询简报质询质询制度、模板、简报制度、模板、简报催收与核实重大事件详细说明从周报到月报11/22/202292某集团公司的信息与沟通总裁办职能中心办公室部门子公司领导集团未经授权或者采取其他不法方式侵占、挪用企业资产，牟取不当利益

在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等

董事、监事、经理及其他高级管理人员滥用职权

反舞弊工作的重点相关机构或人员串通舞弊

11/22/202293未经授权或者采取其他不法在财务会计报告和信息披露等方面存在的举报调查处理报告和补救反舞弊机制11/22/202294举报调查处理报告和补救11/21/202294关于与外部的沟通与客户的沟通与监管机构之间的沟通与律师之间的沟通与外部审计师之间的沟通与供应商的沟通与投资者和债权人之间的沟通11/22/202295关于与外部的沟通与客户的沟通与监管机构与律师之间的沟通与外部内部监督11/22/202296内部监督11/21/202296单位是否定期评价内部控制（持续的监督与专项监督检查）管理层是否及时纠正控制运行中偏差；管理层根据监管机构的报告及建议是否及时采取纠正措施；是否存在协助管理层监督内部控制的职能部门（如内部审计部门）；11/22/202297单位是否定期评价内部控制（持续的监督与专项监督检查）11/2内部控制自我评估及评估报告评估方式、范围、程序和频率，根据企业的业务企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等多种因素合理确定，但是至少应当每三年进行一次。内部控制自我评估报告的要素11/22/202298内部控制自我评估及评估报告11/21/2022981992COSO《企业内部控制——整体框架》11/22/2022991992COSO《企业内部控制——整体框架》11/21/2信息与沟通内部环境目标设定事项识别风险评估风险应对控制活动企业全面风险管理系统运作图（基于2019COSOERM框架)主体层次分部子公司业务单元监督11/22/2022100信息与沟通内部环境目标设定事项识别风险评估风险应对控制活动企股东大会监事会审计委员会风险管理委员会董事会（含独立董事）内审部总经理首席风险官风险管理部综合部财务部市场部生产部……第三道防线第一道防线第二道防线企业内部控制与风险管理由谁实施？11/22/2022101股东大会监事会审计委员会风险管理委员会董事会（含独立董事）内注意：风险管理的三道防线第一道防线：业务单位防线要求各业务单位就其战略性风险、信贷风险、市场风险和营运风险等，进行系统的分析、确认、度量、管理和监控。要建立好风险管理的第一道防线，企业的各个业务单位需要：了解企业战略目标及可能影响企业达标的风险；识别风险类别对相关风险作出评估决定风险转移、避免或减低风险的策略设计及实施风险策略的相关内部控制企业需要把评估风险与内控措施的结果进行记录和存档，对内控措施的有效性不断进行测试和更新。11/22/2022102注意：风险管理的三道防线第一道防线：业务单位防线11/21/第二道防线：风险职能管理部门防线风险管理部的责任是领导和协调公司内各单位在风险管理方面的工作，职责包括：编制规章制度对各业务单位的风险进行组合管理度量风险和评估风险的界限建立风险信息系统和预警系统、厘定关键风险指标负责风险信息披露、沟通、协调员工培训和学习的工作按照风险与回报的分析、为各业务单位分配经济资本金可以克服狭隘的部门利益，平衡各部门的风险。11/22/2022103第二道防线：风险职能管理部门防线11/21/2022103风险经理风险管理工程师保险经理安全、环境和防损经理保险经理风险分析经理保险规划员保险办事员索赔管理员危害性风险分析员金融风险分析师安全主管工业卫生主管消防主管安全工程师工业卫生专家消防工程师11/22/2022104风险经理风险管理工程师保险经理安全、环境和防损经理保险经理风第三道防线：内部审计防线通过评估风险识别的充分性、评估已有风险衡量的恰当性以及风险防范措施的有效性等三方面参与企业风险管理。企业的内部审计工作一般是对各业务部门和风险管理职能部门的风险管理活动进行的再监督，而不是亲自参与每项风险的评估与控制。11/22/2022105第三道防线：内部审计防线11/21/2022105如何依据《内部控制规范》构建内部控制体系11/22/2022106如何依据《内部控制规范》构建内部控制体系11/21/2022规范治理结构梳理组织设计人员设置划分部门职责确定岗位职责、权限内控部门确定公司规章制度战略目标内控职责确立业务流程

一、梳理企业现有治理结构、完善组织设计及部门设置

11/22/2022107规范治理结构梳理组织设计人员设置划分部门职责确定岗位职责、权

在这一阶段需要做好的事情有：构建完善的公司治理机制；设计好公司组织结构；建立主管内部控制的组织机构，明确人、财、物权；对业务活动及流程进行初步梳理。11/22/2022108在这一阶段需要做好的事情有：11/21/2022108举例：中国石油内部控制体系建设组织机构总裁内控项目建设委员会领导机构主管建设部门工作机构审计师中介机构内控项目建设委员会内控项目建设委员会………………内控项目建设委员会内控项目组………………总部下属公司或11/22/2022109举例：中国石油内部控制体系建设组织机构总裁内控项目建设委员会二、建立内部控制系统1.对企业风险进行系统评估确定风险因素行业特色、业务特征设定重要性水平系统评估现有风险风险识别、分析建立风险清单、风险数据库确定风险应对策略风险矩阵风险测评工具11/22/2022110二、建立内部控制系统1.对企业风险进行系统评估确定风险因素行2.建立书面的《内部控制手册》业务流程划分整体流程划分规范流程图关键岗位及职责表流程控制目标关键控制活动清单控制活动单项分析表不相容职务分离表企业制度体系援引制度清单内控矩阵内审职责表支持汇总归纳编制分析实现制定11/22/20221112.建立书面的《内部控制手册》业务流程划分整体流程划分规范流3.对企业内部管理手册的执行进行持续监督。

内审部门是核心！4.根据企业的外部环境及内部业务的变化对内控体系进行动态更新。切记：企业风险管理（内部控制）是一个动态的过程没有功德圆满，一劳永逸！11/22/20221123.对企业内部管理手册的执行进行持续监督。切记：企业风险管理序号国内企业常见内控执行瓶颈1缺乏对企业内部控制基本概念的全面了解2对内部控制的建设和评价无从着手3如何与企业现有的组织架构和管理模式相结合4如何与企业已有的内部管理制度基础进行衔接5如何在满足《内部控制基本规范》的同时，满足证券交易所和国资委等监管机构的要求6缺乏熟悉《内部控制基本规范》及其配套政策的人员7缺乏在集团范围内建设内部控制体系的经验8不理解审计师内部控制审计的工作目的和要求11/22/2022113序号国内企业常见内控执行瓶颈1缺乏对企业内部控制基本概念的全《内控规范》管理层应对要点—内部环境内控要求（括号内对应内部控制基本规范具体条目）

管理层的工作（13）企业应当在董事会下设立审计委员会。审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等。（15）内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查

公司董事会下属审计委员会对内控实施状况进行监督检查；公司董事会下属审计委员会出具内部控制自我评估报告

（14）企业应当通过编制内部管理手册，使全体员工掌握内部机构设置、岗位职责、业务流程等情况，明确权责分配，正确行使职权。企业应建立内部管理手册，包含机构设置，岗位职责，业务流程（16）企业应当制定和实施有利于企业可持续发展的人力资源政策建立和完善人力资源政策（17）企业应当将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准，切实加强员工培训和继续教育，不断提升员工素质。建立持续有效的内控培训机制（18）企业应当加强文化建设，培育积极向上的价值观和社会责任感，倡导诚实守信、爱岗敬业、开拓创新和团队协作情神，树立现代管理理念，强化风险意识。建立和完善企业控制文化11/22/2022114《内控规范》管理层应对要点—内部环境内控要求（括号内对应内部《内控规范》管理层应对要点－风险评估内控要求（括号内对应内部控制基本规范具体条目）

管理层的工作（22）企业识别内部风险需要吸收专业人士组成风险分析团队识别内外部风险，进行风险识别和应对（23）外部风险类型（24）企业进行风险分析，应当充分吸收专业人员，组成风险分析团队（26）企业应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略，实现对风险的有效控制11/22/2022115《内控规范》管理层应对要点－风险评估内控要求（括号内对应内部《内控规范》管理层应对要点－控制活动内控要求（括号内对应内部控制基本规范具体条目）

管理层的工作（28）控制措施一般包括：不相容职务分离控制、授权审批控制，会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等需要建立完善各类控制活动：不相容职务分离控制、授权审批控制，会计系统控制、财产保护控制、预算控制、运营分析控制、绩效考评控制、风险预警及突发事件应急处理机制（37）企业应当建立重大风险预警机制和突发事件应急处理机制11/22/2022116《内控规范》管理层应对要点－控制活动内控要求（括号内对应内部《内控规范》管理层应对要点－信息与沟通内控要求（括号内对应内部控制基本规范具体条目）

管理层的工作（40）企业应当将内部控制相关信息在企业内部各管理级次、责任单位、业务环节之间，以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈，信息沟通过程中发现的问题，应当及时报告并加以解决。完善公司内部以及同外部之间的联系沟通

（42）建立反舞弊机制完善反舞弊的机制11/22/2022117《内控规范》管理层应对要点－信息与沟通内控要求（括号内对应内《内控规范》管理层应对要点－监控内控要求（括号内对应内部控制基本规范具体条目）

管理层的工作（44）内部监督分为日常监督和专项监督。需要定期对公司内部控制状况进行进行日常和专项的监督

（45）企业应当制定内部控制缺陷认定标准，分析缺陷的性质和产生的原因，提出整改方案，应当跟踪内部控制缺陷整改情况制定内控缺陷标准；分析性质和原因；提出并实施整改方案

（46）定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告定期出具内部控制自我评估报告11/22/2022118《内控规范》管理层应对要点－监控内控要求（括号内对应内部控制上市公司内控制度体系（对应五部委规范）一级目录二级目录一级目录二级目录一级目录二级目录组织架构组织结构设计与调整采购业务采购政策销售业务市场开发及销售政策☆综合管理资料与档案管理材料采购产品定价管理印章管理模具采购信用管理行政发文低值易耗品采购销售订单及销售合同管理财务管理银行账户管理固定资产采购发货装运管理现金管理服务采购退货管理票据管理供应商开发及评审合同管理合同管理成本费用核算供应商管理☆内审管理内控与内审管理备用金管理☆生产管理生产计划信息系统信息系统开发与变更费用报销管理材料领用及退料管理信息系统安全与日常维护关联交易管理委外加工管理人力资源员工招聘个人借款管理生产管理（样品、半成品、成品）员工培训应付账款管理产品完工入库员工考勤与休假付款管理报废品管理员工绩效考评应收账款管理固定资产管理固定资产维修员工薪酬管理收款管理固定资产盘点员工离职管理研究与开发研发管理固定资产转移投融资管理投资管理工程项目工程项目管理固定资产出售融资及担保管理财务报告财务报告管理固定资产报废存货管理存货盘点全面预算预算管理

存货安全管理11/22/2022119上市公司内控制度体系（对应五部委规范）一级目录二级目录一级目

集团公司管控制度清单（母公司对分支机构管控）授权审批制度授权与审批管理重大事项管理制度筹资管理制度对外投资管理制度工程项目管理制度财务管控制度

银行账户管理制度关联交易管理制度预算管理制度委派及考核制度对高层管理者的委派制度对董事、监事的委派制度中层管理者和特殊岗位人员的委派制度一般员工招聘制度委派人员绩效考核制度子公司薪酬发放制度委派人员离职管理制度集团内部信息报告制度重大诉讼、仲裁事项重大事项报告关联交易重大事件的进展重大风险事项重要合同其他对公司经营产生重要影响的事件内控与内审管理制度内控与内审管理制度11/22/2022120

集团公司管控制度清单（母公司对分支机构管控）授权审批制度集企业构建内控体系的七类成果11/22/2022121企业构建内控体系的七类成果11/21/2022121实例一：中石油内控体系之构建11/22/2022122实例一：中石油内控体系之构建11/21/2022122

中国石油天然气股份有限公司（简称"中国石油"）成立于2019年11月5日,是在中国石油天然气集团公司重组过程中按照中华人民共和国公司法设立的股份有限公司。中国石油发行的美国存托股份及H股于2000年4月6日及4月7日分别在纽约证券交易所及香港联合交易所挂牌上市，股票交易代码分别为“PTR”和“857”。作为在美国上市的公司，中国石油必须遵守美国的相关法律法规，包括《萨班斯-奥克斯利法案》(Sarbanes-OxleyAct，2019)。11/22/2022123中国石油天然气股份有限公司（简称"中国石油11/22/202212411/21/2022124中国石油在执行《萨班斯-奥克斯利法案》404条款第一年即零缺陷通过内控审计。普华永道对中国石油截止2019年12月31日的财务报告的相关内控审计出具无保留意见的审计报告。中国石油内控体系建设取得阶段性胜利。11/22/2022125中国石油在执行《萨班斯-奥克斯利法案》404条款第一年即零缺中国石油根据法案的要求，结合普华永道提供的建议，从企业实际情况出发，开始内控体系建设的征程。前后过程可分为六个阶段：第一阶段为工作启动阶段。这个阶段在总部进行，主要完成工作组筹建、人员培训、建立工作方法和工作标准等。第二阶段为业务流程的绘制和确认阶段。以财务报告为切入点，对于相关业务进行确认，并在总部和试点单位开展标准流程的绘制。第三阶段为建立风险评估标准，确定文档记录和评估阶段。11/22/2022126中国石油根据法案的要求，结合普华永道提供的建议，从企业实际情第四阶段为编制标准业务流程，汇总重要过程步骤并进行差异分析，确定具体的控制方法和控制手段。第五阶段为测试关键控制的执行效果，建立运营缺陷改进计划，提交最终报告的阶段。第六阶段为维护更新阶段。为保证建立的内控体系长期有效运行，企业需要根据外部环境和内部管理状况的不断变化，持续建设公司内控体系，不断改进完善。因此内控体系维护更新是企业的一项日常工作，将贯穿企业日后的发展历程。11/22/2022127第四阶段为编制标准业务流程，汇总重要过程步骤并进行差异分析，中国石油内部控制体系建设组织机构总裁内控项目建设委员会领导机构主管建设部门工作机构审计师中介机构内控项目建设委员会内控项目建设委员会………………内控项目建设委员会内控项目组………………总部下属公司或11/22/2022128中国石油内部控制体系建设组织机构总裁内控项目建设委员会领导机（一）项目启动和前期培训公司管理层作为

2019年8月下旬，公司董事会决定按照法案要求建立内控体系。公司首先成立由相关部门负责人组成的项目核心组。同年12月，公司成立内控项目组。2019年3月，公司召开内控体系建设项目启动大会，正式宣告内控体系建设全面启动。实践证明内控体系建设是一项浩大繁琐的工作，由于内控体系建设形势异常严峻，2019年9月15日公司管理层召开办公会议，决定成立内控项目建设委员会，公司总裁（CEO）亲自担任委员会主任，财务总监（CFO）任副主任。管理层要求各专业公司（板块）、地区公司相应成立内控项目建设委员会、项目组和内部控制管理机构。11/22/2022129（一）项目启动和前期培训公司管理层作为11/21/20221中国石油各项目组分工负责情况如下：

11/22/2022130中国石油各项目组分工负责情况如下：11/21/202213培训工作组成员在普华永道支持下，项目组成员参加内控体系建设相关知识培训，培训内容包括萨奥法案、COSO框架等。培训为项目组顺利开展工作奠定了良好的基础。项目组组织成员分别赴微软（中国）和中国石化进行参观访问，学习先进的管理方法与经验。通过学习跨国公司和同行企业在内控建设方面已有的成果和科学的方法，项目组成员拓展了工作思路、提高了认识、深化对内控体系建设的理解11/22/2022131培训工作组成员11/21/2022131建立工作流程、明确人员分工项目组召开有专业公司（板块）代表参加的项目启动会议，提供有关项目办公室组建及运营最佳惯例，征集各方关于项目组组织结构设置的建议和意见。统一意见后，建立项目组工作流程，明确小组责任分工，并尝试建立与普华永道的合作分工关系。由于项目组人员来自各处室和专业公司（板块），未能脱岗全职开展工作，人员不稳定，严重影响了项目组工作；同时由于休假、培训、考试等原因，普华永道工作组人员更换频繁，影响了双方工作衔接和工作开展。11/22/2022132建立工作流程、明确人员分工11/21/2022132管理现状访谈

项目组对总部相关部门进行访谈以确定提出的方法是否适合公司实际情况；指导总部相关部门和地区公司进行业务流程配对，进行初步访谈和讨论以了解并记录公司的关键业务流程。与信息技术部门进行初步访谈以理解信息系统环境。通过管理现状访谈使项目组成员更全面、更准确了解公司现状。11/22/2022133管理现状访谈11/21/2022133（二）业务流程绘制和确认

内控体系建设的重要内容之一就是描述企业的业务流程和内部控制现状。只有业务流程和内部控制现状描述出来，才能以此为基础，分析流程中的风险，与企业现有的控制相对照，从而寻找不足，不断进行改进。没有业务流程和内部控制现状的描述，内控体系建设的后续工作将无法开展。11/22/2022134（二）业务流程绘制和确认内控体系建设的重要内容之一就是描述面临的困难1.没有统一的格式和标准。首先项目组必须选择合适的软件来绘制流程，而实践中未形成统一的标准；其次流程描述范围是关注公司整体业务流程还是仅仅与财务报表有关的流程，未形成统一的意见；风险控制文档（RCD）、风险分析模板和风险数据库均没有统一的格式和标准。2.没有具体目标。满足法案要求、通过外部审计是内控体系建设的最低目标、也是整体成果的体现。但具体到业务流程和内部控制现状描述，法案和审计准则没有提供具体标准，公司对具体项目建设目标的理解要在实践中通过与法案和审计准则的比对后不断调整。3.各个在美国上市的公司处于同一起跑线上摸索，缺少参照物。内控体系建设对各国企业来说都是一个全新的课题，没有先例可循和成功经验可借鉴。企业因所处国家（或地区）以及行业不同，体系建设基础差异较大，缺乏可比性。11/22/2022135面临的困难11/21/2022135

4.地区公司不同、管理水平不同。中国石油是一家上、中、下游综合一体的石油公司，各板块的作业方式和经营管理水平差异很大。其次是执行力不强。部分地区公司是在计划经济时期形成的原省市县三级公司基础上，通过上划重组整合起来的，且原省市县三级公司又各为法人实体，独立经营，各自为政的思维方式和经营管理习惯挥之不去，一些单位强调地区差异性，对公司的制度规定和管理要求理解不够，执行不全面。第三是管理低标化和非标化，忽视细节管理、管理粗放的现象仍然存在。第四是公司在开展国际化经营和管理中必须遵守业务发生地的风俗习惯和法律法规，必须考虑到当地的政治、经济和汇率管理要求等。11/22/20221364.地区公司不同、管理水平不同。中国石油是一家上、中、下游业务梳理：经过多次反复的访谈、编制、试验和修改后，公司整体业务流程从最初设计的22项整合为17项，并建立勘探与生产、炼油与销售、化工与销售、天然气与管道四个专业板块流程目录表。四个专业板块流程名称分别在17项流程前缀EP、RM、RC、GP以作区分。17项流程名称具体如下表。11/22/2022137业务梳理：经过多次反复的访谈、编制、试验和修改后，公司整体业1规划计划11技术发展2建设过程12健康、安全、环保3生产过程13财务资产4物资采购14内部审计5服务采购15合同与纠纷6产品销售16信息披露7存货管理17内部控制管理8投资管理9人力资源与业绩考核10信息11/22/20221381规划计划11技术发展2建设过程12健康、安全、环保3流程目录设置流程目录设置以公司统一的内控体系为出发点，既要考虑公司业务经营管理的共性方面，也要考虑各专业公司（板块）、地区公司个性方面的需要。按照重要性原则，对公司总体经营管理影响不大的环节，就没有设置成流程。流程目录表结构如下：11/22/2022139流程目录设置11/21/2022139流程编号一级流程二级流程三级流程四级流程五级流程流程之间接口RM01规划计划年度投资计划RM02建设过程土地使用管理拆迁管理在建工程成本在建工程减值准备RM03生产过程油气生产成本核算炼化生产成本核算RM04物资采购11/22/2022140流程编号一级流程二级流程三级流程四级流程五级流程流程之间1）经营决策风险：影响决策的时效、依据和质量等。例如：预算目标脱离实际；没能以合理的价格取得物资或服务；投资决策失误导致投资失败；产品不能及时适应市场的变化和需求。2）违反法律法规风险：没有全面执行国家法律、法规和政策规定。例如：合同条款违法；偷税；坐支现金；污染物的排放不符合国家环保规定。3）财务报告失真风险：企业未完全按会计准则、制度等规定组织会计核算和披露信息，导致财务报告在完整性、准确性等方面存在问题。例如：将资本化的支出费用化或将费用化的支出资本化；会计记录错误（金额、科目、期间错误）；帐实不符；产品交接计量错误。

（三）风险评估11/22/20221411）经营决策风险：影响决策的时效、依据和质量等。例如：预算目4）资产安全受到威胁：指管理制度不健全或执行不到位，企业实物资产如设备、存货、证券、资金和其他资产的安全受到威胁。例如：挪用现金；存货毁损被盗；资产处置未经适当的授权导致资产流失。5）营私舞弊风险：以故意的行为获得不公平或非法的收益。例如：人为调节收入；挪用现金；与审计师合谋篡改审计报告；偷税。11/22/20221424）资产安全受到威胁：指管理制度不健全或执行不到位，企业实物（四）编制标准业务流程

（五）测试关键控制的执行效果11/22/2022143（四）编制标准业务流程（五）测试关键控制的执行效果11/2实例二：中国移动内部控制结构11/22/2022144实例二：中国移动内部控制结构11/21/2022144某省级移动公司内控结构简图内部控制结构公司层面控制信息技术整体控制流程层面控制资本支出业务流程收入计费业务流程存货管理业务流程营运支出业务流程货币资金业务流程固定、无形资产业务流程人工成本业务流程会计与财务报告流程关联方交易业务流程法律法规遵守业务流程控制环境风险评估控制活动信息与沟通监控对数据和程序的访问BOSS系统MIS系统OA系统短信系统等等程序变更管理程序开发系统运行终端用户计算11/22/2022145某省级移动公司内控结构简图内部控制结构公司层面控制信息技术整某某移动公司SOX简表控制点分布如下：序号业务流程控制点个数A类个数B类个数C类个数1收入和计费业务流程60441242固定资产和无形资产管理业务流程431410193资本性支出50139284会计和财务报告33126155信息技术整体控制87864156存货管理流程3775257法律法规遵循业务流程106318营运支出业务流程1951049货币资金管理流程1828810关联交易业务流程513111人工成本管理业务流程13

4912筹资业务流程

合计37511213412911/22/2022146某某移动公司SOX简表控制点分布如下：业务流程控制点个数存货管控关键控制点列表一XX06C.1.1授权和批准

采购部门:30万元及以上的项目通过OA系统提交公司管理层审批;30万元以下的项目提交采购部门负责人或公司分管领导审批;并在OA签报件或合同审批表上签字确认。XX06C.1.2管理层审阅采购订单录入部门应在采购订单中加入预计到货日期的信息；采购部门每季通过MIS系统生成超过预计到货日期但尚未收的采购订单清单并进行审阅，及时查找原因并积极跟进。相关人员应在超过预计到货日期但尚未收货的采购订单清单上签字确认，以建立必要的问责制。XX06C.1.3系统访问权限只有经授权的采购部门专门人员才可以在MIS系统中建立及更改采购订单。XX06C.1.4管理层审阅创建采购订单的人员应独立于采购执行人员；如不能独立于，采购部门经适当授权的人员或领导应根据采购合同对MIS系统中的采购订单进行复核，确认采购订单信息与采购合同的一致性；采购部门负责人在MIS系统中对采购订单进行批准，启动采购订单的可用状态。11/22/2022147存货管控关键控制点列表一XX06C.1.1采购部门:X续表二XX06C.1.5系统设置采购部门在MIS系统中创建采购订单时，供应商仅能够从MIS系统中的供应商名录中进行选择XX06C.1.6系统访问权限经过授权的供应商信息维护人员（来自财务部门）才能在MIS系统中对供应商记录进行创建和修改。XX06C.1.7授权和批准

1.采购人员汇总相关部门对供应商的评价意见推荐供应商；2.需要建立或更改MIS系统中的供应商信息时，采购供应部门提供变更申请，包括供应商完整名称、账号以及地址等，提交经过适当授权的管理层进行审批。

3.财务部门的供应商