1、1,內部控制實踐與探索,2,主要內容,內部控制的發(fā)展 內部控制體系建設的必要性 內控工作實踐及成效,3,一、內部控制的發(fā)展,五個階段,（二）內部控制制度,（四）內部控制整體框架,（三）內部控制結構,（一）內部牽制,(五）COSO企業(yè)風險管理框架,4,（一）內部牽制,主要內容,實施,相互核對賬目,職務分離,（一）內部牽制,5,（二）內部控制制度,內部會計控制,內部管理控制,保護企業(yè)資產、檢查會計數(shù)據(jù)的準確性和可靠性,提高經營效率、促使有關人員遵守既定的管理方針,（二）內部控制制度,6,（三）內部控制結構,20世紀70年代中期,20世紀80年代,重在改進內部控制制度的方法和提高審計的質量和效率效果

2、,認為“企業(yè)的內部控制結構包括為合理保證企業(yè)特定目標的實現(xiàn)而建立的各種政策和程序” 明確內部控制結構的內容為控制環(huán)境、會計制度和控制程序三個方面,（三）內部控制結構,7,（四）內部控制整體框架,全面接受COSO報告的內容，該準則指出內部控制由控制環(huán)境、風險評估、控制活動、信息與溝通和監(jiān)督五部分組成,1996年美國注冊會計師協(xié)會發(fā)布審計準則公告第78號,（四）內部控制整體框架,8,COSO內部控制框架,COSO Committee Of Sponsoring Organizations Of The Treadway Commission,反虛假財務報告委員會,美國注冊會計師協(xié)會(AICPA),

3、內部審計協(xié)會(IIA),財務經理協(xié)會(FEI),美國會計學會(AAA),管理會計學會(IMA),從屬于,9,反虛假財務報告委員會于1987年號召研究并制定統(tǒng)一的內部控制框架,1992年9月發(fā)布了名為內部控制整合框架（即“COSO內控框架”）的報告,最為廣泛認可的針對內部控制整合框架的國際標準,標志著內部控制理論與實踐進入了整體框架的新階段,COSO內部控制框架,10,目標,反映了幾個概念,1、經營的效果和效率 2、財務報告的可靠性 3、遵守適用法律法規(guī),1、內部控制是一個過程。 2、內部控制受人的因素影響。 3、只能期望內部控制為企業(yè)的管理層和董事會提供合理的保證，而不是絕對保證。 4、內部控

4、制是為了實現(xiàn)一種或多種既相互獨立又相互重疊的類別的目標。,內部控制是一個由企業(yè)董事會、管理層和其他員工實施的、為實現(xiàn)各類目標提供合理保證的過程,COSO內部控制框架,11,確認內部控制是否進行充分的設計和執(zhí)行,以及是否具備有效性和適應性,確保相關信息被及時識別及傳遞的過程,公司對于內部控制的基本態(tài)度-”來自上層的基調”,對于影響公司業(yè)績的內部及外部因素的評估,確保被識別出規(guī)避風險的控制措施可以及時有效得到實施的政策和程序,五個部分必須同時作用才能使內部控制得以產生影響,COSO內部控制框架,12,控制環(huán)境,控制環(huán)境是指一個公司的內部組織機構對風險控制的意識程度；是公司內部員工在進行日常業(yè)務活動

5、的同時承擔其對風險進行控制責任的環(huán)境。 內控環(huán)境既包括有形因素，也包括無形因素，例如： -職業(yè)道德 -員工的勝任能力 -組織架構 -管理理念和經營風格 -權利和職責的分配 -人力資源政策與措施 -董事會和審計委員會 -反舞弊,13,風險評估,風險評估的過程應從確定與公司各級組織業(yè)務目標相關聯(lián)的風險開始 公司層面 是有效內控的奠基石，同時指明了公司的整體方向 應與公司的財務預算、發(fā)展戰(zhàn)略、及業(yè)務發(fā)展計劃相一致 業(yè)務層面 應與公司目標相一致，同時又要考慮到其更加具體的業(yè)務目標和完成期限的要求 為管理層的日常控制提供指南 風險評估需要對內部及外部因素評估，同時要考慮到其對運營、財務報表以及法律準則的

6、影響,14,控制活動,控制活動是確保被識別出規(guī)避風險的控制措施可以及時有效得到實施的政策和程序 控制活動被融入到日常業(yè)務經營活動中，用來將風險控制在合理的范圍內，起到預防、發(fā)現(xiàn)和修正的作用 控制活動的種類包括 審批、授權和確認（如：權限分配） 日常的操作層面管理控制（如：對帳，差異調節(jié)） 績效指標的審核（如：KPIS，METRICS） 資產的安全（如：物理控制) 職責分離（如：保管-授權-記錄） 信息系統(tǒng)控制（如：安全訪問）,15,信息與溝通,信息與溝通要求相關的內、外部信息的識別、獲取、處理，并在公司內部及時溝通 通過多種正規(guī)或非正規(guī)的渠道獲取信息 語言溝通（如：會議、反饋） 書面溝通（如：

7、政策、流程、職位描述） 行為示范（如：管理層以行動展示正確的方式,16,監(jiān)督,監(jiān)督的目的是確認內部控制是否進行充分的設計和執(zhí)行，以及是否具備有效性和適應性 監(jiān)督活動的范圍和頻率取決于被控制風險的重要性以及對降低風險的控制的重要程度 監(jiān)督活動應成為正規(guī)的、常年進行的工作,17,美國上市公司會計監(jiān)管委員會（PCAOB）依據(jù)COSO內部控制框架制訂審計準則，在“管理層用于開展其評估的框架”一節(jié)中，明確管理層要依據(jù)一個適宜且公認的由專家組遵照應有的程序制定的控制框架，來評估公司財務報告內部控制的有效性。 在美國，為管理層評估提供的適宜框架就是COSO框架。,選擇COSO內部控制框架的原因,18,（五）

8、COSO企業(yè)風險管理框架,COSO于2001年起聘用普華永道制定一套便于管理層采用的、更廣泛地專注于企業(yè)全面風險管理的框架，該框架沒有取代COSO內控框架，而是與其融為一體，用來評估和改進企業(yè)的風險管理,COSO內控框架 （年）,COSO企業(yè)風險管理框架COSO （年）,19,反映了幾個概念,1、一個正在進行中的、滲透于企業(yè)各項活動中的過程； 2、受到企業(yè)組織各個層面人員的影響； 3、應用于企業(yè)的戰(zhàn)略制定； 4、應用于企業(yè)內部每個層面、每個部門，并包括對企業(yè)所面臨的風險應有一個企業(yè)總體層面上的風險組合觀； 5、旨在識別那些如果發(fā)生就將影響企業(yè)的潛在事件并在企業(yè)的風險偏好之內管理風險； 6、能夠

9、向企業(yè)管理層和董事會提供合理的保證； 7、以便在一個或更多個相互獨立但又存在重疊的類別中實現(xiàn)企業(yè)目標。,企業(yè)風險管理是一個受到企業(yè)董事會、管理層和其他人員影響的過程，這個過程從企業(yè)戰(zhàn)略制定一直貫穿到企業(yè)的各項活動中，旨在識別那些可能影響企業(yè)的潛在事件并管理風險使之在企業(yè)的風險偏好之內，從而合理確保企業(yè)實現(xiàn)其既定目標。,（五）COSO企業(yè)風險管理框架,20,主要內容,內部控制的發(fā)展 內部控制體系建設的必要性 內控工作實踐及成效,21,（一）法律法規(guī)要求,國內法律法規(guī),會計基礎工作規(guī)范,獨立審計具體準則第9號內部控制與審計風險,中華人民共和國國家審計基本準則,中華人民共和國會計法,企業(yè)國有資產監(jiān)督

10、管理暫行條例,中央企業(yè)內部審計管理暫行辦法,中央企業(yè)全面風險管理指引,22,企業(yè)內部控制基本規(guī)范,（一）法律法規(guī)要求,2008年5月22日，財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會聯(lián)合發(fā)文，為了加強和規(guī)范企業(yè)內部控制，提高企業(yè)經營管理水平和風險防范能力，促進企業(yè)可持續(xù)發(fā)展，維護社會主義市場經濟秩序和社會公眾利益，根據(jù)國家有關法律法規(guī)，制定并發(fā)布企業(yè)內部控制基本規(guī)范，自2009年7月1日起在上市公司范圍內實施，鼓勵非上市大中型企業(yè)執(zhí)行。,23,國外法律法規(guī),證券交易法,銀行組織中內控制度的框架,薩班斯奧克斯利法案,PCAOB審計準則和規(guī)范,（一）法律法規(guī)要求,24,（二）加強企業(yè)管理的客觀需求,建

11、立現(xiàn)代企業(yè)制度，完善法人治理結構，實現(xiàn)經營機制的轉換，加強企業(yè)管理，提高企業(yè)經濟效益的客觀需要,我國加入WTO后參與國際競爭的迫切需要,建立統(tǒng)一規(guī)范的內部控制制度，使企業(yè)各項規(guī)章制度成為一個有機的統(tǒng)一體，更有效地體現(xiàn)企業(yè)管理理念和要求,企業(yè)過去在計劃經濟體制下的管理制度和方法有些已不適應市場經濟體制的要求，客觀上要求必須進行創(chuàng)新,25,促進企業(yè)朝著盈利目標的方向持續(xù)發(fā)展,適應快速變化的經濟和競爭環(huán)境以及不斷改變的客戶需求，并針對公司未來發(fā)展規(guī)劃進行調整,提高經營的效率，降低資產損失的風險，并有助于確保財務報表的可靠性和對于法律法規(guī)的遵循性,內部控制的實施,（二）加強企業(yè)管理的客觀需求,26,主

12、要內容,內部控制的發(fā)展 內部控制體系建設的必要性 工作進展及成效,27,1、積極應對,薩奧法案頒布后，公司積極應對。對法案進行全面了解并嚴格執(zhí)行。 于2003年成立了信息披露委員會及其工作小組，并在工作小組中任命一位披露督導，負責監(jiān)督披露控制和程序操作方面的事務 董事會批準于2003年8月啟動第404條款遵從準備項目,11,28,2、高管基調,建立符合公司管理實際、持續(xù)滿足上市地法律監(jiān)管要求的內部控制 以法案為契機，完善內部控制制度和規(guī)范，進一步提升公司管理水平 以全面風險管理為核心，建立完善的內部控制體系，增強公司的競爭力,董事會要求：,12,29,2、高管基調,以公司現(xiàn)行管理為基礎，參照國

13、外公司最佳實踐，“設計有效，執(zhí)行有力” 內部控制要做到 全面、全部、全過程，可靠、可控、可持續(xù),管理層要求：,13,30,3、項目組織,領導機構：CEO/CFO負責，各部門負責人參加 工作機構：2003年10月成立項目組，于2005年12月改為內控部 公司范圍內直接參與人員約1,600余人,中介機構,德勤華永公司 畢博咨詢管理公司 國內13家會計師事務所,總部,各地區(qū)公司,總裁,審計師：普華永道,14,31,4、工作基礎,法律依據(jù)： 薩奧法案、PCAOB審計準則及SEC法規(guī) 中國香港聯(lián)交所法規(guī) 中國大陸相關法律 框架基礎： COSO內部控制框架 公司內部控制基礎： 公司原有的管理制度規(guī)定等,1

14、5,32,5、總體工作計劃,2,5,4,3,體系建立,實施改進,測試與審計,1,項目啟動,維護及改進,組織架構 前期培訓,范圍界定 風險評估 文檔記錄 差異分析 控制改進,體系運行 復核性檢查 發(fā)布手冊,管理層測試 外部審計,長期運行 持續(xù)維護改進,2003年,2004年,2005年,2006年,以后年度,33,6、內部控制體系框架分冊,公司層面控制,中國石油 內部控制體系框架,滿足國內外相關法律法規(guī)的要求 保證通過2006年首次內控審計 符合風險管理的發(fā)展趨勢,設計目標：,框架內容：,系統(tǒng)闡述了內控體系建設的方法和標準，全面涵蓋了以下五要素： 控制環(huán)境 風險評估 控制活動 信息與溝通 監(jiān)督,

15、34,內控體系建設目標,近期目標：側重財務報告可靠性控制，滿足外部審計和對外披露基本要求。 長期目標：建立起由四大目標和八大要素構成的完整的內控體系框架，保障戰(zhàn)略目標、經營目標、報告目標和遵從目標的實現(xiàn)。實現(xiàn)“全面、全部、全過程，可控、可靠、可持續(xù)”的總體要求。,35,7、發(fā)布內部控制管理手冊,控制環(huán)境 風險評估 控制活動 信息與溝通 監(jiān)督 地區(qū)公司分冊,內部控制管理手冊,36,領導重視、組織嚴密,成立專職管理部門內部控制部,地區(qū)公司設立了主管部門或內控項目組,董事會和管理層高度重視內控工作,8、實施工作主要做法,37,“培訓、試點、推廣”,方法得當，講求實效,8、實施工作主要做法,38,對于

16、測試發(fā)現(xiàn)的例外事項，及時組織改進,全面開展管理層測試和外部審計,測試有序、整改及時,通過符合性檢查，驗證改進和有效執(zhí)行,8、實施工作主要做法,39,9、內部控制體系實現(xiàn)運行有效，順利通過外部審計,經過2006年貫穿全年的管理層測試，公司對三年多來內控體系設計的有效性和執(zhí)行的有效性進行了全面檢驗，管理層自我評估報告的結論是：公司有效運行了一套較為完善的內控體系，提升了公司管理水平。普華審計師對公司同一年度內控體系運行的有效性進行了審計，審計結論認為：公司截止2006年12月31日的財務報告內部控制有效，并對公司2006年美國版年報20-F表出具了“無保留意見”的審計報告。,40,構建具有中國石油

17、特色的內部控制體系并實現(xiàn)有效運行。 統(tǒng)一規(guī)范業(yè)務流程，實現(xiàn)了管理的系統(tǒng)化、程序化。 開展風險評估，提升公司風險管理水平。 提升了執(zhí)行力，增強了管理控制能力。 提高了全員風險意識，豐富了企業(yè)文化內涵。,10、內部控制工作取得的主要成果,41,（1）借鑒與創(chuàng)新相結合。立足中國石油管理實際，借鑒國際先進的管理經驗，創(chuàng)造性地建立了中國石油內部控制體系框架，編制發(fā)布了國內企業(yè)第一部內部控制管理手冊，健全了工作網絡，完善了內部控制監(jiān)督檢查規(guī)范。建立起比較完整、系統(tǒng)的內部控制管理運行機制。 （2）實現(xiàn)持續(xù)有效運行。通過強化和完善監(jiān)督機制，持續(xù)改進，內部控制各項要求得到進一步落實。2007年內控測試發(fā)現(xiàn)例外事

18、項與上年同比降低了95%以上。,1）構建具有中國石油特色的內部控制體系并實現(xiàn)有效運行,42,（3）實現(xiàn)體系全面覆蓋。海外公司、控股公司體系建設進一步完善。未上市企業(yè)遵循集團公司的統(tǒng)一部署， 按照“總體規(guī)劃，分步實施”的原則，制定了周密的工作計劃，加快協(xié)調推進。 （4）在鞏固完善財務報告控制的基礎上，內控體系進一步向全面風險管理和專業(yè)管理深化延伸，對科研開發(fā)管理，衍生產品交易、境外資金管理等業(yè)務，開展流程梳理、風險評估與控制設計。,1）構建具有中國石油特色的內部控制體系并實現(xiàn)有效運行,43,在內控體系建設過程中，創(chuàng)新運用流程管理方法，實現(xiàn)崗位職責、風險控制與業(yè)務流程有機結合，是對傳統(tǒng)管理的總結和

19、提升。主要開展了三方面的工作： 建立了統(tǒng)一的業(yè)務流程架構，涵蓋公司全部業(yè)務領域，實現(xiàn)業(yè)務流程的標準化和規(guī)范化。,2）統(tǒng)一規(guī)范業(yè)務流程，實現(xiàn)了管理的系統(tǒng)化、程序化,44,建立了公司統(tǒng)一的業(yè)務流程管理信息系統(tǒng)，并上線運行，形成了規(guī)范的業(yè)務流程數(shù)據(jù)庫。 開展業(yè)務流程規(guī)范化試點 流程作為工具和平臺，將業(yè)務操作、管理制度、工作職責、風險和控制、信息化建設等融合為一體，強化了控制，提高了管理效率。業(yè)務流程管理成為公司實現(xiàn)科學管理的重要手段。,2）統(tǒng)一規(guī)范業(yè)務流程，實現(xiàn)了管理的系統(tǒng)化、程序化,45,按照國資委中央企業(yè)全面風險管理指引的要求，參照COSO 企業(yè)風險管理框架和澳新標準，借鑒國際大企業(yè)風險管理實踐

20、，研究建立公司風險評估方法論。運用方法論，評估公司經營管理主要業(yè)務面臨的重大風險。編制完成公司層面風險評估及對策研究報告，系統(tǒng)地提出了建立全面風險管理機制的思路，為開展全面風險管理奠定了基礎。,3）開展風險評估，提升公司風險管理水平,46,風險評估方法論在股份公司的實踐運用及成效 建立了風險數(shù)據(jù)庫。 完善了風險控制措施。 建立統(tǒng)一的信息系統(tǒng)控制管理制度，完成了應用系統(tǒng)控制設計。 對內控體系的有效性進行持續(xù)監(jiān)督，實現(xiàn)持續(xù)改進。 建立法律風險數(shù)據(jù)庫和完善針對法律風險的控制設計。 通過內控體系建設，系統(tǒng)地建立了報告風險、法律風險防控機制，將公司風險管理提升到一個新水平。,3）開展風險評估，提升公司風

21、險管理水平,47,內部控制體系要求在按流程運行、按程序操作、按控制執(zhí)行的關鍵環(huán)節(jié)，都必須留下可供查實的證據(jù)，使規(guī)章制度執(zhí)行具有可檢查性。 通過強化日常監(jiān)督、全過程測試和改進，使管理的各個關鍵環(huán)節(jié)始終處于受控狀態(tài)，促進了執(zhí)行力的提升，促進了長期以來管理難點的解決。 各級管理人員在經營管理日常工作中，突出風險防范，各項業(yè)務都用公司制度、規(guī)范來檢查要求，重程序、重證據(jù)，不斷糾正粗放管理的習慣，內部控制開始融入管理工作的各個環(huán)節(jié)，成為經營管理的重要組成部分。,4）提升了執(zhí)行力，增強了管理控制能力,48,在內控體系建設和運行過程中，通過廣泛的宣傳教育，廣大員工對內控工作重要性、必要性的認識不斷加深，樹立

22、了風險無處不在、風險無時不在、風險管理責任重大的風險管理理念，逐步形成以守法意識、誠信意識為重點的風險管理文化，豐富了企業(yè)文化內涵。講流程、講規(guī)范、講控制已經成為公司各級管理人員的廣泛共識和工作習慣。,5）提高了全員風險意識，豐富了企業(yè)文化內涵,49,陳明書記要求： 要增強責任感、使命感；建立腐敗風險管理機制；提升控制力，內控與懲防體系有機結合，互為補充，形成集團公司防范風險的有機整體。,工作思路 按照懲防體系建設目標，運用內控與風險管理的理念和方法，建立起聯(lián)合工作機制，實現(xiàn)有機管理和控制。,11、強化內控與風險管理、落實懲防體系建設,50,工作重點： 突出一個“防”字，即實現(xiàn)源頭治理 評估風險：以“三重一大”為主要內容，針對舞弊風險易發(fā)領域、環(huán)節(jié)、崗位，建立