《内控基础知识》

内控基础知识简介目录内控体系建设背景国内法律法规的要求内控体系建设的具体内容

自上世纪90年代开始，国内外发生了一系列由于内控缺失而导致的企业危机事件，国外的例如巴林银行、安然公司、世通公司的倒闭，国内的例如德隆帝国垮台、格林柯尔系崩塌和中航油巨额亏损案等。为防止此类事件发生，维护广大投资者利益，美国在2002年颁布了《萨班斯－奥克斯利法案》。2008年6月由财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》，2009年7月1日起在上市公司实施，鼓励未上市的大中型企业执行。确立了以企业为主体、以政府监管为促进、以中介机构审计为重要组成部分的实施机制，被称为“中国版萨奥法案”，这意味着中国内部控制制度建设取得了重大突破，并将对公司、证券以及国有资产管理等相关制度产生深远影响。前言背景介绍-内部控制的定义传统上对内控的认识

——组织为了减少决策失误和工作缺陷而实施的控制（如内部监督、管理手册、规章制度）现代内控理论

——内部控制是一个系统化的框架，它建立在风险管理的基础上，包括内控环境、风险分析、控制活动、信息与沟通、监督五大要素内部控制COSO框架下的内部控制定义

内部控制是受企业董事会、管理层和其他人员影响，为实现经营的效率效果、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证的过程。COSO内部控制框架的五大要素

控制活动

确保管理活动付诸实施的政策/流程。措施包括审批、授权、确认、建议、业绩考核、资产安全和职责分离。监督不断评估内部控制系统的表现。整合实时和独立的评估。管理层和监督活动。

内部审计工作。控制环境

营造单位气氛－让公司员工建立内部控制因素包括正直，道德价值，能力，权威和责任是其他内部控制组成部分的基础

信息和沟通及时地获取，确定并交流相关的信息从内部和外部获取信息使得形成从职责方面的指示到管理层有关管理行动的发现总结等各方面各类内部控制成功的措施的信息流

风险评估

风险评估是为了达到企业目标而确认和分析相关的风险-形成内部控制活动的基础所有的五个部分必须同时作用才能使内部控制得以产生影响

监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1监督信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1目录内控体系建设背景国内法律法规的要求内控体系建设的具体内容国内法律法规发布情况1、财政部内部会计控制规范的要求2001年6月起《内部会计控制-基本规范（试行）》《内部会计控制规范-货币资金（试行）》《内部会计控制规范-采购与付款（试行）》《内部会计控制规范-销售与收款（试行）》《内部会计控制规范-工程项目（试行）》《内部会计控制规范-担保（试行）》《内部会计控制规范-对外投资（试行）》……2、国务院《企业国有资产监督管理暂行条例》（378号令）2003年5月国务院《企业国有资产监督管理暂行条例》（378号令）规定了国有及国有控股企业应当加强内部监督和风险控制，依照国家有关规定建立健全财务、审计、公司法律顾问和职工民主监督制度国内法律法规发布情况3、国资委《中央企业内部审计管理暂行办法》2004年8月国资委《中央企业内部审计管理暂行办法》要求企业应对企业内部控制程序进行检查、审查。国内法律法规发布情况国内法律法规发布情况

国资委《中央企业全面风险管理指引》旨在推动中央企业开展全面风险管理工作，加强包括内部控制在内的风险防范和控制。4.《中央企业全面风险管理指引》2006年6月国内法律法规发布情况

要求在上市公司实施内部控制基本规范,鼓励非上市的其他大中型企业执行5.《企业内部控制基本规范》2008年6月五部委《企业内部控制基本规范》

国内法律法规发布情况要求自2011年1月1日起首先在境内外同时上市的公司施行；2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行。在此基础上，择机在中小板和创业板上市公司施行；同时，鼓励非上市大中型企业提前执行。

6.《企业内部控制配套指引

》2010年4月五部委《企业内部控制配套指引

》小结

企业发展的经验教训警示企业提升管理水平自身要求形势所迫及更好发展参与国际竞争国内法律、法规的要求要求集团公司开展内控建设小结

全面提升公司科学管理水平

促进公司发展目标的实现强化公司在生产经营过程中防范风险的能力贯彻落实集团公司内部控制体系建设的工作要求要求渤海钻探开展内控建设小结

通过以上讲解我们可以了解到：建立内控体系是国际大趋势，是国内法律法规的要求，是集团公司的要求，是一项必须做而且必须做好的工作。目录内控体系建设背景国内法律法规的要求内控体系建设的具体内容内控体系建设的具体内容控制环境风险评估

控制活动

信息与沟通

监督共五个部分

分为

渤海钻探公司内控体系办公室二〇一一年三月控制环境简介培训目的：1.了解控制环境部分包括的主要内容2.明确控制环境部分的主要工作成果主要内容一、基本概念二、体系建设主要工作成果一、基本概念

（一）控制环境控制环境是指企业实施内部控制并使其持续发挥作用的环境。控制环境确立公司风险管理的总体态度，是内部控制体系的基础，是有效实施风险管理的保障，直接影响内部控制体系的执行、公司经营目标及整体战略目标的实现。

控制环境：是企业的整体气氛影响员工的控制意识提供纪律约束和架构是其他要素的基础一、基本概念监督信息和沟通控制活动风险评估控制环境财务报告法律防控体系运营（投资）企事业单位1企事业单位2活动2活动1一、基本概念

（二）控制环境建设内容控制环境包括诚信与道德价值观、发展目标、管理理念与企业文化、风险管理策略、组织结构、权利和责任分配、人力资源政策、员工胜任能力以及反舞弊机制等内容。诚信与道德价值观管理理念与企业文化Text发展目标Text控制环境风险管理策略组织结构权利和责任的分配人力资源政策与管理措施员工胜任能力反舞弊机制主要内容一、基本概念二、体系建设工作主要成果二、体系建设工作主要成果（一）组织结构图（二）岗位工作明书（三）权限指引表（四）控制环境涉及的制度索引27小结：内部控制环境是推动企业发展的引擎，是内部控制其他要素发挥作用的基础，是全员实施控制活动、履行控制责任的氛围。如果没有一个比较好的控制环境，再好的内控制度都是流于形式，一切内控措施都是空谈。风险评估渤海钻探公司内控体系办公室二〇一一年三月简介风险评估部分主要围绕基本业务流程目录、重要业务流程目录及风险数据库进行详述。目的是为各单位相关人员了解公司基本流程目录、重要业务流程目录，更好的应用风险数据库提供指导。控制活动

为管理和减少风险而制定的政策制度和程序贯穿整个公司范围、所有层次以及所有职能措施包括审批、授权、复核经营业绩、资产保护和职责分工监督评估内部控制运行有效性定期监控执行情况与独立评估相结合发现内控不足的改进报告控制环境是其他内部控制组成部分的基础认定整个组织的基调，影响着员工的控制意识包括员工胜任能力、组织结构、人力资源政策等因素信息和沟通确保经营和财务信息的准确性、完整性和及时性获取内部和外部的信息有效的内部、外部信息沟通与交流,以促成有效的控制活动风险评估风险评估是对相关风险进行识别分析，确定体系建设目标、是开展控制活动相关工作的基础监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1内部控制体系框架回顾主要内容一、风险评估概述二、业务流程目录三、风险数据库风险评估的一般程序

风险评估的概念风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略的过程，是风险管理的基础。在风险评估中，既要识别和分析对实现目标具有阻碍作用的风险，也要发现对实现目标具有积极影响的机遇。风险评估的一般程序与方法一、风险评估概述建立风险评估的基础目标设置与分解风险识别风险分析风险评价风险应对一、风险评估概述风险评估的一般程序与方法

建立风险评估的基础目标设置与分解风险识别风险分析风险评价风险应对在公司内部建立通用的风险管理语言和标准，包括建立公司风险的定义；风险管理的定义；构建风险类型；明确风险偏好和风险承受度的概念；确立评估风险的标准。一、风险评估概述风险评估的一般程序与方法目标类型战略目标经营目标报告目标合规性目标

建立风险评估的基础目标设置与分解风险识别风险分析风险评价风险应对建立风险评估的基础目标设置与分解风险识别风险分析风险评价风险应对一、风险评估概述风险评估的一般程序与方法风险识别的主要方法小组讨论访谈法问卷调查法案例分析法参考专业机构咨询意见征求专家意见风险识别的主要程序公司层面风险识别。是从公司战略发展的角度，识别公司层面面临的所有重大的不利因素和有利因素，从而识别风险，发现机遇。这些因素来自外部和内部两个方面，外部因素主要包括政治因素、经济因素、社会因素、自然环境因素等；内部因素主要包括基础设施因素、员工因素、流程因素和技术因素等。业务活动层面风险识别。业务层面风险识别是通过根据一定的规范、采用一定的方法对业务流程进行描述，在业务流程描述的基础上，以业务流程步骤为主线，全面识别影响目标实现的相关因素。

建立风险评估的基础目标设置与分解风险识别风险分析风险评价风险应对一、风险评估概述风险评估的一般程序与方法分析风险发生的可能性分析风险可能产生的影响程度极小可能较大可能发生的概率很小或者基本上不会发生，则将该项风险发生的可能性确定为极小可能发生，否则将该项风险确定为较大可能发生极小影响较大影响风险的发生在很大程度上不会影响目标的实现或者只有一些轻微的影响，则将风险影响程度确定为极小影响；如果风险的发生会对目标的实现产生一定的阻力，并且这种阻力将会增加实现目标的难度和成本，则将风险影响程度确定为较大影响。收集信息和资料如：历史事件的记录、相关的调查和分析资料、现有控制和制度等信息和资料等。对风险的可能性和影响评分，风险的可能性分值与影响分值之积，即为该风险的风险值建立风险评估的基础目标设置与分解风险识别风险分析风险评价风险应对一、风险评估概述风险评估的一般程序与方法风险重要性水平的判断根据风险值对识别出的风险进行排序，以得到公司的高、中、低风险。对于重要性水平为低的风险，由于其发生的可能性和影响程度均为极小，公司忽略此类风险而不予关注。对于重要性水平为中的风险，公司将此类风险确定为一般风险并给予一般关注。对于重要性水平为高的风险，公司将此类风险确定为重要风险并给予重点关注。建立风险评估的基础目标设置与分解风险识别风险分析风险评价风险应对一、风险评估概述风险评估的一般程序与方法风险应对策略（1）风险规避：退出产生风险的各种活动。如退出生产线、停止一个区域的业务、或出售一部分经营性资产等。（2）风险减轻：采取行动减少风险发生的可能性或降低风险影响程度或两者同时降低。减轻风险一般牵涉到所有大量的日常经营决策，例如产品多样化、技术改进、加强人员培训、资本重新分配、改进业务流程等。（3）风险分担：通过将风险转移或者分担部分风险来减少风险的可能性和影响。如购买保险、套期保值、外包业务等。（4）风险接受：不采取任何行动去影响风险的可能性或影响。二、业务流程目录（一）流程架构总体介绍（二）基本业务流程目录（三）重要业务流程目录（一）

流程架构总体介绍流程架构：是对各单位全部业务流程有机联系的结构化反映。流程架构设计的指导思想：集团公司流程架构设计目标是以公司整体战略发展为导向，以积极稳妥推进未上市企业内控体系建设为出发点，参考国际通行的流程架构设计标准，借鉴国际大公司和股份公司的先进经验，构建统一规范、可持续优化的业务流程架构。流程架构设计是开展内控体系建设的一项重要内容，也是反映集团公司整体业务走向、满足不同管理层次需求的重要工作。41（一）

流程架构介绍--通用业务流程目录集团公司通用业务流程目录按照业务分类不同，分为

战略发展流程：SP

核心业务流程：KP

经营管理流程：MP一级流程编号：依据集团公司经营的业务范围，横向上将业务分为40个一级流程，企事业单位照该编号体系将自身业务流程进行分类，不允许对该编号体系进行增减或修改。（目前选用27个）二、业务流程目录（一）流程架构总体介绍（二）基本业务流程目录（三）重要业务流程目录对应集团公司下发的通用业务流程目录，在保证一级、二级、三级流程基本不变的基础上，结合渤海钻探的具体业务进行修改和完善，确定渤海钻探的基本业务流程目录。（二）基本业务流程目录（二）基本业务流程目录基本业务流程目录编制原则及注意事项1、统一性与个性原则建设单位在集团公司通用业务流程目录的基础上，编制本单位基本业务流程目录。从集团公司通用业务流程目录中选择本单位适用的业务，将适用的一、二、三级流程直接作为本单位的一级、二级和三级流程。通用流程目录中现有的一级流程、二级流程、三级流程的名称和编号不能进行修改。各单位结合实际确定四级、五级流程目录名称及编码（投资业务的目录除外）。（二）基本业务流程目录2、全面性与重要性原则基本业务流程目录整体上是对公司的所有生产经营业务及管理行为进行归类。但由于公司业务范围较为宽泛，只对公司目前涉及的与生产经营业务及管理行为相关的进行归类梳理，而对公司总体经营管理影响不大的环节，就没有必要设置成末级流程。如存货管理中的内部调拨流程，由于目前我公司业务涉及量很小，因此经与物资管理部门沟通，未将其做为末级流程单独反映。（二）基本业务流程目录3、完整性与系统性原则流程目录是以生产经营过程作为主线来设置的，体现了流程的完整性和系统性。流程目录打破了经营管理的“部门”的概念，而更多地从流程本身的完整性来加以考虑。当流程发生交叉时，则从相关性和系统性出发，确定下级流程的归属问题。通过末级流程间的引用，实现所有流程的完整。（二）基本业务流程目录

4、编制四、五级流程目录名称及编号注意事项

◆流程名称与流程中实际描述的业务活动相吻合

◆流程编号可根据其上级流程编号进行顺序编号，并且有一个唯一的流程编号（不允许2个或2个以上的流程使用同一个流程编号）

◆非末级流程目录应避免存在流程图，每个末级流程目录有且仅有一个流程图公司全部流程目录原则上不得超过五级（二）基本业务流程目录—工作成果

根据集团公司通用业务流程目录结合公司实际业务编制完成了渤海钻探公司基本业务流程目录。2011版手册中基本业务流程目录包含一级流程27个，在用末级流程420个。二、业务流程目录（一）流程架构总体介绍（二）基本业务流程目录（三）重要业务流程目录渤海钻探公司根据集团公司重要业务流程目录及KCD，确定了公司重要业务流程目录。重要业务流程目录包含一级流程22个，末级流程231个

（三）重要业务流程目录—工作成果主要内容一、风险评估概述二、业务流程目录三、风险数据库风险数据库是进行风险记录的工具。风险数据库记录整个集团公司范围内业务层面的风险，按照流程，记录各个流程中可能出现的风险，并对风险的属性进行记录。风险的属性有财务风险和非财务风险之分。根据公司经营环境的发展变化，对风险数据库要进行不断地更新与维护。目前，风险数据库有两种类型，财务报告风险数据库、经营风险数据库；法律风险在法律风险防范控制文档中体现，即风险与控制在一张表中体现。三、风险数据库财务报告风险数据库讲解三、风险数据库三、风险数据库经营业务风险数据库模版三、风险数据库

法律风险三、风险数据库—工作成果

根据集团公司风险数据库，结合企业实际情况进行了风险识别、风险评估工作，编制完成了渤海钻探工程公司业务层面风险数据库（包括财务报告风险数据库及经营风险数据库）识别风险822个，其中重要风险391个。编制完成法律风险防控领域与流程对照表，识别法律风险源251个。控制活动渤海钻探公司内控体系办公室二〇一一年三月培训目的：1、了解控制活动的相关概念；2、明确业务流程梳理后形成的工作成果。简介控制活动

为管理和减少风险而制定的政策制度和程序贯穿整个公司范围、所有层次以及所有职能措施包括审批、授权、复核经营业绩、资产保护和职责分工监督评估内部控制运行有效性定期监控执行情况与独立评估相结合发现内控不足的改进报告控制环境是其他内部控制组成部分的基础认定整个组织的基调，影响着员工的控制意识包括员工胜任能力、组织结构、人力资源政策等因素信息和沟通确保经营和财务信息的准确性、完整性和及时性获取内部和外部的信息有效的内部、外部信息沟通与交流,以促成有效的控制活动风险评估风险评估是对相关风险进行鉴别以及分析，以达成企业目标、形成决定控制活动的基础监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1内部控制体系框架回顾一、基本概念二、控制活动部分主要工作成果主要内容

控制活动的概念

控制活动是结合风险评估结果，运用相应的控制管理措施，将风险控制在可承受度之内，确保管理层关于风险应对方案得以贯彻执行的政策和程序。包括授权、批准、查证、核对、报告、内部审计、重大风险预警、企业法律顾问、经营业绩评价和资产保护措施等活动一、基本概念一、基本概念二、控制活动部分主要工作成果主要内容63控制活动包括两方面内容：风险控制管理文件

流程图风险控制管理文档证据表单控制活动涉及的制度索引注：此部分内容将在第二大部分“2011版内控手册新增内容”中详细介绍控制活动部分主要工作成果64控制活动涉及的制度索引

65控制活动涉及的制度索引说明：控制活动部分的制度索引是按基本业务流程目录一级流程目录(MP02部分是按二级流程目录编制的)顺序归纳了各业务流程内容所引用的制度文件，方便使用者使用和核对。66小结：控制活动部分是公司内控手册的核心部分，以流程图和风险控制管理文档为主体内容。是将公司各业务领域流程化和程序化的具体体现。希望全体员工会后认真学习领会该部分的具体内容并在工作中严格遵照执行。渤海钻探公司内控体系办公室二〇一一年三月信息与沟通一、信息与沟通概念二、信息与沟通部分主要工作成果主要内容控制活动

为管理和减少风险而制定的政策制度和程序贯穿整个公司范围、所有层次以及所有职能措施包括审批、授权、复核经营业绩、资产保护和职责分工监督评估内部控制运行有效性定期监控执行情况与独立评估相结合发现内控不足的改进报告控制环境是其他内部控制组成部分的基础认定整个组织的基调，影响着员工的控制意识包括员工胜任能力、组织结构、人力资源政策等因素信息和沟通确保经营和财务信息的准确性、完整性和及时性获取内部和外部的信息有效的内部、外部信息沟通与交流,以促成有效的控制活动风险评估风险评估是对相关风险进行鉴别以及分析，以达成企业目标、形成决定控制活动的基础监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业务单位A业务单位B活动2活动1内部控制体系框架回顾主要内容一、信息与沟通概念二、主要工作成果（一）信息与沟通相关概念1、信息与沟通企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。公司建立和完善信息与沟通机制，形成相应的会议制度、议事制度、报告机制，明确相关信息的收集、处理和传递程序，确保信息沟通及时、有效。2、信息信息是指来源于公司外部及内部，与经营相关的信息。针对不同的信息来源和信息类型，明确各种信息的收集人员、收集方式、传递程序、报告途径和加工与处理要求，确保经营管理各种信息资源得到及时、准确、完整收集。企业应当对收集的各种内部信息和外部信息进行合理筛选、核对、整合，提高信息的有用性。按信息来源不同，可将公司内部控制重点关注的信息分为内部信息和外部信息。内部信息主要包括：财务信息、经营信息、规章制度信息、综合信息等。外部信息主要包括：国家法