内部控制体系建设实践.ppt

1、1,内部控制实践与探索,2,主要内容,内部控制的发展 内部控制体系建设的必要性 内控工作实践及成效,3,一、内部控制的发展,五个阶段,（二）内部控制制度,（四）内部控制整体框架,（三）内部控制结构,（一）内部牵制,(五）COSO企业风险管理框架,4,（一）内部牵制,主要内容,实施,相互核对账目,职务分离,（一）内部牵制,5,（二）内部控制制度,内部会计控制,内部管理控制,保护企业资产、检查会计数据的准确性和可靠性,提高经营效率、促使有关人员遵守既定的管理方针,（二）内部控制制度,6,（三）内部控制结构,20世纪70年代中期,20世纪80年代,重在改进内部控制制度的方法和提高审计的质量和效率效果

2、,认为“企业的内部控制结构包括为合理保证企业特定目标的实现而建立的各种政策和程序” 明确内部控制结构的内容为控制环境、会计制度和控制程序三个方面,（三）内部控制结构,7,（四）内部控制整体框架,全面接受COSO报告的内容，该准则指出内部控制由控制环境、风险评估、控制活动、信息与沟通和监督五部分组成,1996年美国注册会计师协会发布审计准则公告第78号,（四）内部控制整体框架,8,COSO内部控制框架,COSO Committee Of Sponsoring Organizations Of The Treadway Commission,反虚假财务报告委员会,美国注册会计师协会(AICPA),

3、内部审计协会(IIA),财务经理协会(FEI),美国会计学会(AAA),管理会计学会(IMA),从属于,9,反虚假财务报告委员会于1987年号召研究并制定统一的内部控制框架,1992年9月发布了名为内部控制整合框架（即“COSO内控框架”）的报告,最为广泛认可的针对内部控制整合框架的国际标准,标志着内部控制理论与实践进入了整体框架的新阶段,COSO内部控制框架,10,目标,反映了几个概念,1、经营的效果和效率 2、财务报告的可靠性 3、遵守适用法律法规,1、内部控制是一个过程。 2、内部控制受人的因素影响。 3、只能期望内部控制为企业的管理层和董事会提供合理的保证，而不是绝对保证。 4、内部控

4、制是为了实现一种或多种既相互独立又相互重叠的类别的目标。,内部控制是一个由企业董事会、管理层和其他员工实施的、为实现各类目标提供合理保证的过程,COSO内部控制框架,11,确认内部控制是否进行充分的设计和执行,以及是否具备有效性和适应性,确保相关信息被及时识别及传递的过程,公司对于内部控制的基本态度-”来自上层的基调”,对于影响公司业绩的内部及外部因素的评估,确保被识别出规避风险的控制措施可以及时有效得到实施的政策和程序,五个部分必须同时作用才能使内部控制得以产生影响,COSO内部控制框架,12,控制环境,控制环境是指一个公司的内部组织机构对风险控制的意识程度；是公司内部员工在进行日常业务活动

5、的同时承担其对风险进行控制责任的环境。 内控环境既包括有形因素，也包括无形因素，例如： -职业道德 -员工的胜任能力 -组织架构 -管理理念和经营风格 -权利和职责的分配 -人力资源政策与措施 -董事会和审计委员会 -反舞弊,13,风险评估,风险评估的过程应从确定与公司各级组织业务目标相关联的风险开始 公司层面 是有效内控的奠基石，同时指明了公司的整体方向 应与公司的财务预算、发展战略、及业务发展计划相一致 业务层面 应与公司目标相一致，同时又要考虑到其更加具体的业务目标和完成期限的要求 为管理层的日常控制提供指南 风险评估需要对内部及外部因素评估，同时要考虑到其对运营、财务报表以及法律准则的

6、影响,14,控制活动,控制活动是确保被识别出规避风险的控制措施可以及时有效得到实施的政策和程序 控制活动被融入到日常业务经营活动中，用来将风险控制在合理的范围内，起到预防、发现和修正的作用 控制活动的种类包括 审批、授权和确认（如：权限分配） 日常的操作层面管理控制（如：对帐，差异调节） 绩效指标的审核（如：KPIS，METRICS） 资产的安全（如：物理控制) 职责分离（如：保管-授权-记录） 信息系统控制（如：安全访问）,15,信息与沟通,信息与沟通要求相关的内、外部信息的识别、获取、处理，并在公司内部及时沟通 通过多种正规或非正规的渠道获取信息 语言沟通（如：会议、反馈） 书面沟通（如：

7、政策、流程、职位描述） 行为示范（如：管理层以行动展示正确的方式,16,监督,监督的目的是确认内部控制是否进行充分的设计和执行，以及是否具备有效性和适应性 监督活动的范围和频率取决于被控制风险的重要性以及对降低风险的控制的重要程度 监督活动应成为正规的、常年进行的工作,17,美国上市公司会计监管委员会（PCAOB）依据COSO内部控制框架制订审计准则，在“管理层用于开展其评估的框架”一节中，明确管理层要依据一个适宜且公认的由专家组遵照应有的程序制定的控制框架，来评估公司财务报告内部控制的有效性。 在美国，为管理层评估提供的适宜框架就是COSO框架。,选择COSO内部控制框架的原因,18,（五）

8、COSO企业风险管理框架,COSO于2001年起聘用普华永道制定一套便于管理层采用的、更广泛地专注于企业全面风险管理的框架，该框架没有取代COSO内控框架，而是与其融为一体，用来评估和改进企业的风险管理,COSO内控框架 （年）,COSO企业风险管理框架COSO （年）,19,反映了几个概念,1、一个正在进行中的、渗透于企业各项活动中的过程； 2、受到企业组织各个层面人员的影响； 3、应用于企业的战略制定； 4、应用于企业内部每个层面、每个部门，并包括对企业所面临的风险应有一个企业总体层面上的风险组合观； 5、旨在识别那些如果发生就将影响企业的潜在事件并在企业的风险偏好之内管理风险； 6、能够

9、向企业管理层和董事会提供合理的保证； 7、以便在一个或更多个相互独立但又存在重叠的类别中实现企业目标。,企业风险管理是一个受到企业董事会、管理层和其他人员影响的过程，这个过程从企业战略制定一直贯穿到企业的各项活动中，旨在识别那些可能影响企业的潜在事件并管理风险使之在企业的风险偏好之内，从而合理确保企业实现其既定目标。,（五）COSO企业风险管理框架,20,主要内容,内部控制的发展 内部控制体系建设的必要性 内控工作实践及成效,21,（一）法律法规要求,国内法律法规,会计基础工作规范,独立审计具体准则第9号内部控制与审计风险,中华人民共和国国家审计基本准则,中华人民共和国会计法,企业国有资产监督

10、管理暂行条例,中央企业内部审计管理暂行办法,中央企业全面风险管理指引,22,企业内部控制基本规范,（一）法律法规要求,2008年5月22日，财政部、证监会、审计署、银监会、保监会联合发文，为了加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公众利益，根据国家有关法律法规，制定并发布企业内部控制基本规范，自2009年7月1日起在上市公司范围内实施，鼓励非上市大中型企业执行。,23,国外法律法规,证券交易法,银行组织中内控制度的框架,萨班斯奥克斯利法案,PCAOB审计准则和规范,（一）法律法规要求,24,（二）加强企业管理的客观需求,建

11、立现代企业制度，完善法人治理结构，实现经营机制的转换，加强企业管理，提高企业经济效益的客观需要,我国加入WTO后参与国际竞争的迫切需要,建立统一规范的内部控制制度，使企业各项规章制度成为一个有机的统一体，更有效地体现企业管理理念和要求,企业过去在计划经济体制下的管理制度和方法有些已不适应市场经济体制的要求，客观上要求必须进行创新,25,促进企业朝着盈利目标的方向持续发展,适应快速变化的经济和竞争环境以及不断改变的客户需求，并针对公司未来发展规划进行调整,提高经营的效率，降低资产损失的风险，并有助于确保财务报表的可靠性和对于法律法规的遵循性,内部控制的实施,（二）加强企业管理的客观需求,26,主

12、要内容,内部控制的发展 内部控制体系建设的必要性 工作进展及成效,27,1、积极应对,萨奥法案颁布后，公司积极应对。对法案进行全面了解并严格执行。 于2003年成立了信息披露委员会及其工作小组，并在工作小组中任命一位披露督导，负责监督披露控制和程序操作方面的事务 董事会批准于2003年8月启动第404条款遵从准备项目,11,28,2、高管基调,建立符合公司管理实际、持续满足上市地法律监管要求的内部控制 以法案为契机，完善内部控制制度和规范，进一步提升公司管理水平 以全面风险管理为核心，建立完善的内部控制体系，增强公司的竞争力,董事会要求：,12,29,2、高管基调,以公司现行管理为基础，参照国

13、外公司最佳实践，“设计有效，执行有力” 内部控制要做到 全面、全部、全过程，可靠、可控、可持续,管理层要求：,13,30,3、项目组织,领导机构：CEO/CFO负责，各部门负责人参加 工作机构：2003年10月成立项目组，于2005年12月改为内控部 公司范围内直接参与人员约1,600余人,中介机构,德勤华永公司 毕博咨询管理公司 国内13家会计师事务所,总部,各地区公司,总裁,审计师：普华永道,14,31,4、工作基础,法律依据： 萨奥法案、PCAOB审计准则及SEC法规 中国香港联交所法规 中国大陆相关法律 框架基础： COSO内部控制框架 公司内部控制基础： 公司原有的管理制度规定等,1

14、5,32,5、总体工作计划,2,5,4,3,体系建立,实施改进,测试与审计,1,项目启动,维护及改进,组织架构 前期培训,范围界定 风险评估 文档记录 差异分析 控制改进,体系运行 复核性检查 发布手册,管理层测试 外部审计,长期运行 持续维护改进,2003年,2004年,2005年,2006年,以后年度,33,6、内部控制体系框架分册,公司层面控制,中国石油 内部控制体系框架,满足国内外相关法律法规的要求 保证通过2006年首次内控审计 符合风险管理的发展趋势,设计目标：,框架内容：,系统阐述了内控体系建设的方法和标准，全面涵盖了以下五要素： 控制环境 风险评估 控制活动 信息与沟通 监督,

15、34,内控体系建设目标,近期目标：侧重财务报告可靠性控制，满足外部审计和对外披露基本要求。 长期目标：建立起由四大目标和八大要素构成的完整的内控体系框架，保障战略目标、经营目标、报告目标和遵从目标的实现。实现“全面、全部、全过程，可控、可靠、可持续”的总体要求。,35,7、发布内部控制管理手册,控制环境 风险评估 控制活动 信息与沟通 监督 地区公司分册,内部控制管理手册,36,领导重视、组织严密,成立专职管理部门内部控制部,地区公司设立了主管部门或内控项目组,董事会和管理层高度重视内控工作,8、实施工作主要做法,37,“培训、试点、推广”,方法得当，讲求实效,8、实施工作主要做法,38,对于

16、测试发现的例外事项，及时组织改进,全面开展管理层测试和外部审计,测试有序、整改及时,通过符合性检查，验证改进和有效执行,8、实施工作主要做法,39,9、内部控制体系实现运行有效，顺利通过外部审计,经过2006年贯穿全年的管理层测试，公司对三年多来内控体系设计的有效性和执行的有效性进行了全面检验，管理层自我评估报告的结论是：公司有效运行了一套较为完善的内控体系，提升了公司管理水平。普华审计师对公司同一年度内控体系运行的有效性进行了审计，审计结论认为：公司截止2006年12月31日的财务报告内部控制有效，并对公司2006年美国版年报20-F表出具了“无保留意见”的审计报告。,40,构建具有中国石油

17、特色的内部控制体系并实现有效运行。 统一规范业务流程，实现了管理的系统化、程序化。 开展风险评估，提升公司风险管理水平。 提升了执行力，增强了管理控制能力。 提高了全员风险意识，丰富了企业文化内涵。,10、内部控制工作取得的主要成果,41,（1）借鉴与创新相结合。立足中国石油管理实际，借鉴国际先进的管理经验，创造性地建立了中国石油内部控制体系框架，编制发布了国内企业第一部内部控制管理手册，健全了工作网络，完善了内部控制监督检查规范。建立起比较完整、系统的内部控制管理运行机制。 （2）实现持续有效运行。通过强化和完善监督机制，持续改进，内部控制各项要求得到进一步落实。2007年内控测试发现例外事

18、项与上年同比降低了95%以上。,1）构建具有中国石油特色的内部控制体系并实现有效运行,42,（3）实现体系全面覆盖。海外公司、控股公司体系建设进一步完善。未上市企业遵循集团公司的统一部署， 按照“总体规划，分步实施”的原则，制定了周密的工作计划，加快协调推进。 （4）在巩固完善财务报告控制的基础上，内控体系进一步向全面风险管理和专业管理深化延伸，对科研开发管理，衍生产品交易、境外资金管理等业务，开展流程梳理、风险评估与控制设计。,1）构建具有中国石油特色的内部控制体系并实现有效运行,43,在内控体系建设过程中，创新运用流程管理方法，实现岗位职责、风险控制与业务流程有机结合，是对传统管理的总结和

19、提升。主要开展了三方面的工作： 建立了统一的业务流程架构，涵盖公司全部业务领域，实现业务流程的标准化和规范化。,2）统一规范业务流程，实现了管理的系统化、程序化,44,建立了公司统一的业务流程管理信息系统，并上线运行，形成了规范的业务流程数据库。 开展业务流程规范化试点 流程作为工具和平台，将业务操作、管理制度、工作职责、风险和控制、信息化建设等融合为一体，强化了控制，提高了管理效率。业务流程管理成为公司实现科学管理的重要手段。,2）统一规范业务流程，实现了管理的系统化、程序化,45,按照国资委中央企业全面风险管理指引的要求，参照COSO 企业风险管理框架和澳新标准，借鉴国际大企业风险管理实践

20、，研究建立公司风险评估方法论。运用方法论，评估公司经营管理主要业务面临的重大风险。编制完成公司层面风险评估及对策研究报告，系统地提出了建立全面风险管理机制的思路，为开展全面风险管理奠定了基础。,3）开展风险评估，提升公司风险管理水平,46,风险评估方法论在股份公司的实践运用及成效 建立了风险数据库。 完善了风险控制措施。 建立统一的信息系统控制管理制度，完成了应用系统控制设计。 对内控体系的有效性进行持续监督，实现持续改进。 建立法律风险数据库和完善针对法律风险的控制设计。 通过内控体系建设，系统地建立了报告风险、法律风险防控机制，将公司风险管理提升到一个新水平。,3）开展风险评估，提升公司风

21、险管理水平,47,内部控制体系要求在按流程运行、按程序操作、按控制执行的关键环节，都必须留下可供查实的证据，使规章制度执行具有可检查性。 通过强化日常监督、全过程测试和改进，使管理的各个关键环节始终处于受控状态，促进了执行力的提升，促进了长期以来管理难点的解决。 各级管理人员在经营管理日常工作中，突出风险防范，各项业务都用公司制度、规范来检查要求，重程序、重证据，不断纠正粗放管理的习惯，内部控制开始融入管理工作的各个环节，成为经营管理的重要组成部分。,4）提升了执行力，增强了管理控制能力,48,在内控体系建设和运行过程中，通过广泛的宣传教育，广大员工对内控工作重要性、必要性的认识不断加深，树立

22、了风险无处不在、风险无时不在、风险管理责任重大的风险管理理念，逐步形成以守法意识、诚信意识为重点的风险管理文化，丰富了企业文化内涵。讲流程、讲规范、讲控制已经成为公司各级管理人员的广泛共识和工作习惯。,5）提高了全员风险意识，丰富了企业文化内涵,49,陈明书记要求： 要增强责任感、使命感；建立腐败风险管理机制；提升控制力，内控与惩防体系有机结合，互为补充，形成集团公司防范风险的有机整体。,工作思路 按照惩防体系建设目标，运用内控与风险管理的理念和方法，建立起联合工作机制，实现有机管理和控制。,11、强化内控与风险管理、落实惩防体系建设,50,工作重点： 突出一个“防”字，即实现源头治理 评估风险：以“三重一大”为主要内容，针对舞弊风险易发领域、环节、岗位，建立