1、企业内部控制及评价企业内部控制及评价中国石化内控办公室中国石化内控办公室方春生方春生12009-11-13内容提要内容提要一、内部控制及评价的发展一、内部控制及评价的发展二、企业内部控制体系简介二、企业内部控制体系简介三、企业内部控制评价实例三、企业内部控制评价实例22009-11-13内容提要内容提要一、内部控制及评价的发展一、内部控制及评价的发展32009-11-13内部控制的演进内部控制的演进内部牵制内部牵制(1940年代以前年代以前)：帐目相互核对，不相容岗位分离：帐目相互核对，不相容岗位分离内部控制制度内部控制制度(1940-1970年代年代)：内部会计控制、内部管理控制：内部会计控2、制、内部管理控制内部控制结构内部控制结构(1988)：控制环境、会计制度和控制程序：控制环境、会计制度和控制程序 内部控制整体框架内部控制整体框架(COSO,1992)：五要素五要素企业风险管理框架企业风险管理框架(COSO,2004)：八要素八要素42009-11-13企业内部控制整体框架企业内部控制整体框架 内部控制是由公司内部控制是由公司董事会、管理层及董事会、管理层及其全体员工实施的其全体员工实施的，为经营活动的效率为经营活动的效率和效果、财务报告和效果、财务报告的可靠性、相关法的可靠性、相关法律法规的遵循性等律法规的遵循性等目标的实现而提供目标的实现而提供合理保证的过程。合理保证的过3、程。COSO COSO 扩扩充充三个要素三个要素，20042004年年9 9月月推出推出：“企业风险企业风险管理整体架管理整体架构构”控制环境控制环境风险评估风险评估控制活动控制活动信息与沟通信息与沟通监控监控COSOCOSO报告：内部控制报告：内部控制综合性框架综合性框架52009-11-13COSO企业风险管理整体框架企业风险管理整体框架运营运营公司层面公司层面分支机构分支机构战略战略报告报告遵循遵循分、子公司分、子公司业务板块业务板块监控监控信息与沟通信息与沟通控制活动控制活动风险应对风险应对风险分析风险分析风险识别风险识别目标设定目标设定内部环境内部环境企业风险管理整体框架企业风险管理4、整体框架（ERM）62009-11-13 19851985年，美国注册会计师协会、美国会计学会等机年，美国注册会计师协会、美国会计学会等机构共同资助设立了全国舞弊性财务报告委员会，即构共同资助设立了全国舞弊性财务报告委员会，即TreadwayTreadway委员会，其研究的主要问题之一就是舞弊性财委员会，其研究的主要问题之一就是舞弊性财务报告产生的原因，其中包括内部控制不健全问题。基务报告产生的原因，其中包括内部控制不健全问题。基于于TreadwayTreadway委员会的建议，这些资助机构后来又设立了委员会的建议，这些资助机构后来又设立了专门研究内部控制的专门研究内部控制的COSOCOSO委5、员会。委员会。19921992年，年，COSOCOSO委员委员会发布会发布内部控制整体框架内部控制整体框架(1994(1994年进行了修订年进行了修订)。20042004年年9 9月，月，COSOCOSO委员会发布了委员会发布了企业风险管理企业风险管理(ERM)(ERM)整体框架整体框架，在内部控制的基础上提出了新的概，在内部控制的基础上提出了新的概念念“企业风险管理企业风险管理”。COSO委员会委员会72009-11-13内部控制与内部审计内部控制与内部审计内部审计是企业内部控制的重要组成部分内部审计是企业内部控制的重要组成部分l 19861986年年4 4月最高审计机关国际组织发表月最高审6、计机关国际组织发表总声明总声明：“内部控制作为内部控制作为完整的财务和其他控制体系，包括组织结构、方法程序和内部审计。完整的财务和其他控制体系，包括组织结构、方法程序和内部审计。”l 19921992年美国年美国C0S0C0S0报告提出，内部控制包括控制环境、控制活动、信息报告提出，内部控制包括控制环境、控制活动、信息和沟通及监督五个因素。其中和沟通及监督五个因素。其中“监督监督”因素也包括内部审计。因素也包括内部审计。l 我国将要实施的我国将要实施的“企业内部控制企业内部控制基本规范基本规范”，其中内部环境包括了内，其中内部环境包括了内部审计（第五条、第十五条）。部审计（第五条、第十五条）。7、82009-11-13内控评价伴随审计发展内控评价伴随审计发展内部控制评价是现代审计的基础内部控制评价是现代审计的基础l 内部控制经历不同的发展阶段，内部控制经历不同的发展阶段，内部控制概念逐步扩展，推进审内部控制概念逐步扩展，推进审计方法的变革。无论账项基础审计、制度基础审计，还是在风险基计方法的变革。无论账项基础审计、制度基础审计，还是在风险基础审计中，内控评价都是审计工作不可或缺的组成部分础审计中，内控评价都是审计工作不可或缺的组成部分。l 现代审计能够通过对内部控制测试和评价，确定进一步审计的方现代审计能够通过对内部控制测试和评价，确定进一步审计的方向，提高审计工作效率，降低审计成本和8、审计风险。向，提高审计工作效率，降低审计成本和审计风险。92009-11-13内控评价在审计中的应用内控评价在审计中的应用l 外审：侧重于把内控评价作为一种审计方式，其目的是在了解、外审：侧重于把内控评价作为一种审计方式，其目的是在了解、测试与会计报表相关的内部控制的基础上评估其控制风险，再根据测试与会计报表相关的内部控制的基础上评估其控制风险，再根据控制风险评估结果修订审计计划和确定实质性测试的性质、时间和控制风险评估结果修订审计计划和确定实质性测试的性质、时间和范围，进而对会计报表发表意见。范围，进而对会计报表发表意见。l 内审：侧重于把内控评价作为一项审计内容。也可以根据审计的内审：侧重9、于把内控评价作为一项审计内容。也可以根据审计的目的，把内控评价作为一种审计方式。目的，把内控评价作为一种审计方式。根据评价主体的不同，内控评价可分为注册会计师执根据评价主体的不同，内控评价可分为注册会计师执行的内控评价和内部审计人员执行的内控自我评价。行的内控评价和内部审计人员执行的内控自我评价。102009-11-13一般内控测试与评价一般内控测试与评价健全性测试和评价健全性测试和评价符合性测试和评价符合性测试和评价综合评价综合评价企企业业内内部部控控制制测测试试和和评评价价112009-11-13内部控制审计程序内部控制审计程序调查了解企业内部控制调查了解企业内部控制符合性测试符合性测试综10、合评价被审企业内部控制综合评价被审企业内部控制确定审计范围、重点和方法确定审计范围、重点和方法实质性审计实质性审计审计报告审计报告评价企业内部控制的健全性评价企业内部控制的健全性不健全不健全无效无效有效有效企业内部控制测试评价审计及报告健全健全122009-11-13中国内部控制评价指引中国内部控制评价指引l 内部控制审核内部控制审核指导意见指导意见（20022002年年2 2月）月）l 内部审计内部审计具体准则具体准则第第5 5号号内部控制审计（内部控制审计（20032003年年6 6月）月）l 内部审计内部审计具体准则具体准则第第1616号号风险管理审计（风险管理审计（20052005年年11、5 5月）月）132009-11-13美国内部控制评价指引美国内部控制评价指引l PCAOBPCAOB发布第发布第2 2号审计准则（号审计准则（20042004年年3 3月）月）l PCAOBPCAOB发布第发布第5 5号审计准则（号审计准则（20072007年年6 6月）月）l SECSEC发布解释性公告，为管理层提供内控报告指引（发布解释性公告，为管理层提供内控报告指引（20072007年年6 6月）月）142009-11-13企业内部控制评价指引企业内部控制评价指引 评价指引（评价指引（5 5章章2626条条）：总则、内部控制评价的内容、）：总则、内部控制评价的内容、内部控制评价的程序、12、内部控制缺陷的认定、内部控制内部控制评价的程序、内部控制缺陷的认定、内部控制评价报告评价报告 。l 企业内部控制企业内部控制评价表评价表：按照内部控制五个要素，分别填写评价内：按照内部控制五个要素，分别填写评价内容、业务描述、评价结论（有效性容、业务描述、评价结论（有效性/缺陷）、评价记录。缺陷）、评价记录。l 企业内部控制评价报告企业内部控制评价报告附注附注：董事会声明、内部控制评价工：董事会声明、内部控制评价工作的总体情况、内部控制评价的依据、内部控制评价的范围、内部作的总体情况、内部控制评价的依据、内部控制评价的范围、内部控制评价的程序和方法、内部控制缺陷及其认定、内部控制缺陷的控制评价13、的程序和方法、内部控制缺陷及其认定、内部控制缺陷的整改情况、内部控制有效性的结论整改情况、内部控制有效性的结论 。152009-11-13企业内部控制审计指引企业内部控制审计指引 审计指引（审计指引（7 7章章3636条）：总则、计划审计工作、实施审计工作、条）：总则、计划审计工作、实施审计工作、完成审计工作、评价控制缺陷、出具审计报告、记录审计工作。完成审计工作、评价控制缺陷、出具审计报告、记录审计工作。l 标准内控审计报告：一、企业对内控的责任；二、注册会计师的责任；三、标准内控审计报告：一、企业对内控的责任；二、注册会计师的责任；三、内控的固有局限性；四、财务报告内控审计意见；五、非财务14、报告内控的重大内控的固有局限性；四、财务报告内控审计意见；五、非财务报告内控的重大缺陷。缺陷。l 带强调事项段的无保留意见内控审计报告：增带强调事项段的无保留意见内控审计报告：增“强调事项强调事项”。l 否定意见内控审计报告：除否定意见内控审计报告：除“一至三一至三”外，增外，增“导致否定意见的事项导致否定意见的事项”、“财务报告内控审计意见财务报告内控审计意见”、“非财务报告内控的重大缺陷非财务报告内控的重大缺陷”。l无法表示意见内控审计报告：除无法表示意见内控审计报告：除“一、二一、二”外，增外，增“导致无法表示意见的事导致无法表示意见的事项项”、“财务报告内控审计意见财务报告内控审计意见15、”、“识别的及非财务报告内控的重大缺陷识别的及非财务报告内控的重大缺陷”。162009-11-13内部控制审计内部控制审计调查调查表举例表举例企业基本情况企业基本情况货币资金货币资金投资业务投资业务采购业务采购业务销售业务销售业务会计政策会计政策会计电算化会计电算化2 2关联交易关联交易控制环境控制环境筹资业务筹资业务固定资产固定资产存货管理存货管理会计系统会计系统会计电算化会计电算化1 1会计电算化会计电算化3 3企业企业内控内控审计审计调查调查(15(15）172009-11-13内容提要内容提要二、企业内部控制体系简介二、企业内部控制体系简介182009-11-13中中国石油化工股份有限16、公司国石油化工股份有限公司中国石油化工股份有限公司（简称中国石油化工股份有限公司（简称“中国石化中国石化”）是中国）是中国最大的石油产品和主要石化产品生产商和供应商，中国第最大的石油产品和主要石化产品生产商和供应商，中国第二大原油生产商，世界第三大炼油公司，拥有比较完备销二大原油生产商，世界第三大炼油公司，拥有比较完备销售网络，境内外（上海、香港、纽约、伦敦）四地上市的售网络，境内外（上海、香港、纽约、伦敦）四地上市的股份制企业。股份制企业。2009年集团公司列世界年集团公司列世界500强第强第9位。位。中国石化现有全资子公司、控股和参股子公司、分公司等中国石化现有全资子公司、控股和参股子公司17、分公司等共共90余家，包括油气勘探开发、炼油、化工、产品销售以余家，包括油气勘探开发、炼油、化工、产品销售以及科研、外贸等，经营资产和主要市场集中在中国的东部、及科研、外贸等，经营资产和主要市场集中在中国的东部、南部和中部地区。南部和中部地区。192009-11-13股东大会股东大会董事会董事会股份公司总裁班子股份公司总裁班子炼、化炼、化分（子）公司分（子）公司监事会监事会董事会秘书局董事会秘书局战略委员会战略委员会 审计委员会审计委员会薪酬与考核委员会薪酬与考核委员会化工事业部化工事业部油田勘探开发事业部油田勘探开发事业部油品销售事业部油品销售事业部 炼油事业部炼油事业部机关职能部门机关职18、能部门总裁办公室法律事务部发展计划部生产经营管理部财务部科技开发部人事部安全环保部外事部工程部物资装备部信息系统管理部审计部监察部油油田田分分（子）（子）公公司司销销售售分分（子）（子）公公司司专专业业公公司司研研发发单单位位炼炼油油部部分分化化工工部部分分中国石化组织结构中国石化组织结构202009-11-13中国石化内部控制的定位中国石化内部控制的定位l美国美国萨班斯萨班斯-奥克斯利法案奥克斯利法案(2002)(2002)l香港联交所香港联交所企业管治常规守则企业管治常规守则(2006)(2006)l上海证交所上海证交所上市公司内部控制指引上市公司内部控制指引（2006)2006)l国资委19、国资委中央企业全面风险管理指引中央企业全面风险管理指引(2006)2006)l五部委发布五部委发布企业内部控制企业内部控制基本规范基本规范(2008)2008)l财务、管理信息真实可靠；财务、管理信息真实可靠；l保障资产安全完整；保障资产安全完整；l规范经营行为，提高风险管理水平；规范经营行为，提高风险管理水平；l促进健全制度化管理体系；促进健全制度化管理体系；l完善法人治理结构。完善法人治理结构。法律法规要求法律法规要求企业自身需要企业自身需要212009-11-13中国石化内控制度体系中国石化内控制度体系内内部部控控制制度度体体系系中国石化中国石化内部控制手册内部控制手册（上、下册）（上、20、下册）内部控制相关的管理制度（上、中、下册）内部控制相关的管理制度（上、中、下册）分公司分公司实实施细则施细则子公司子公司内内控控手册手册研究院内研究院内部控制手册部控制手册222009-11-13内部控制手册内部控制手册232009-11-13内部控制手册内部控制手册的结构的结构内部内部控制基本要求控制基本要求按业务分类控制的具体程序和措施按业务分类控制的具体程序和措施财务报告计划矩阵和业务控制矩阵财务报告计划矩阵和业务控制矩阵相关重要附件相关重要附件内内部部控控制制手手册册的的结结构构总则总则业务流程业务流程控制矩阵控制矩阵附则附则权限指引权限指引检查评价检查评价不同管理层次、级别的权限规21、定不同管理层次、级别的权限规定内控检查评价与考核内控检查评价与考核242009-11-13内控手册总则内控手册总则目的和意义、定义、原则、适用范围目的和意义、定义、原则、适用范围内部环境内部环境风险评估风险评估控制活动控制活动信息与沟通信息与沟通内部监督内部监督内部控制手册内部控制手册结构、生效、更新结构、生效、更新总则总则包括七个方面包括七个方面252009-11-13内部控制：由董事会、监事会、管理层和全体员工实内部控制：由董事会、监事会、管理层和全体员工实施的、为经营管理合规合法、资产安全、财务报告及施的、为经营管理合规合法、资产安全、财务报告及相关信息的可靠性，经营活动的效率和效果、发22、展战相关信息的可靠性，经营活动的效率和效果、发展战略的实现提供合理保证的过程。略的实现提供合理保证的过程。五要素：内部环境、风险评估、控制活动、信息与沟五要素：内部环境、风险评估、控制活动、信息与沟通、内部监督。通、内部监督。内控手册总则内控手册总则（一）内部控制定义、原则、适用范围（一）内部控制定义、原则、适用范围262009-11-13内控手册总则内控手册总则（一）内部控制（一）内部控制定义、原则、适用范围（续）定义、原则、适用范围（续）合规性原则合规性原则全面性与系统性原则全面性与系统性原则重要性原则重要性原则内部牵制及不相容原则内部牵制及不相容原则适应性原则适应性原则包容性原则包容性原23、则成本效益原则成本效益原则272009-11-13内控手册总则内控手册总则合规性原则合规性原则企业内控制度必须符合国家的法律、法规和政企业内控制度必须符合国家的法律、法规和政策；符合股份公司上市地（上海、香港、纽约、策；符合股份公司上市地（上海、香港、纽约、伦敦）证券监管机构有关上市公司的法律、法伦敦）证券监管机构有关上市公司的法律、法规和要求。规和要求。282009-11-13内控手册总则内控手册总则包容性原则包容性原则内部控制手册内部控制手册是依据内控框架，充分吸收中国石化现是依据内控框架，充分吸收中国石化现行各项管理制度中控制风险的内容而系统编制，内容涵盖行各项管理制度中控制风险的内容而24、系统编制，内容涵盖公司治理、经营管理、业务操作等不同层次。公司治理、经营管理、业务操作等不同层次。内部控制手册内部控制手册力求避免与其他制度相矛盾，尽可能包力求避免与其他制度相矛盾，尽可能包容不同企业现有的内部控制要求；对确实脱离实际的各项容不同企业现有的内部控制要求；对确实脱离实际的各项内部管理制度，应及时修改、完善，并以内部管理制度，应及时修改、完善，并以内部控制手册内部控制手册规定为准规定为准。292009-11-13内控手册总则内控手册总则总部、分公司和全资子公司总部、分公司和全资子公司 分公司和全资子公司按照更严、更具体、更全分公司和全资子公司按照更严、更具体、更全面面的原则的原则，25、结合实际制定，结合实际制定“实施细则实施细则”，总部，总部一般不审批。一般不审批。控股子公司参照制定手册控股子公司参照制定手册 按照按照“业务覆盖、权限比照分公司业务覆盖、权限比照分公司”的原则制的原则制定，履行本公司董事会审批程序。定，履行本公司董事会审批程序。更具针对性更具针对性满足体制需要满足体制需要（一）内部控制（一）内部控制定义、原则、适用范围（续）定义、原则、适用范围（续）302009-11-13内控手册总则内控手册总则（二）（二）内部环境内部环境 企业文化：设企业文化部，编制企业文化：设企业文化部，编制中石化文化建设纲要整合企业文化中石化文化建设纲要整合企业文化；员工守则：员工守26、则：守法纪、讲诚信；守法纪、讲诚信；治理结构：明确董事会及其审计委员会、治理结构：明确董事会及其审计委员会、监事会、总裁班子内控职责；监事会、总裁班子内控职责；组织机构：集体决定与调整机构，组织机构：集体决定与调整机构，委派子公司股东代表、董事、监事；委派子公司股东代表、董事、监事；总部总部内控机构内控机构及企业及企业内控机构内控机构责任分配与授权：明确岗位分离，授权管理；责任分配与授权：明确岗位分离，授权管理；人力资源政策：激励与约束相结合；人力资源政策：激励与约束相结合；反反舞弊机制：建立舞弊机制：建立举报投诉制度和举报人保护制度并公开；举报投诉制度和举报人保护制度并公开；内部审计：两级审27、计机构，审计部门的内控职责。内部审计：两级审计机构，审计部门的内控职责。312009-11-13内控手册总则内控手册总则总部内部控制组织机构总部内部控制组织机构 财财务务部部法法律律事事务务部部部部审审计计部部股份公司内部控制领导小组股份公司内部控制领导小组组长：总裁组长：总裁信信息息系系统统管管理理部部内内控控办办公公室室人人事事部部322009-11-13内控手册总则内控手册总则分子公司内部控制组织机构分子公司内部控制组织机构 企业内部控制领导小组企业内部控制领导小组组长：分公组长：分公司总经理司总经理财财务务处处企企管管处处法法律律事事务务处处审审计计处处内内控控办办公公室室人人事事处处28、信信息息处处332009-11-13内控手册总则内控手册总则（三）风险（三）风险评估评估 根据目标，各部门归口收集信息，确定风险承受度；根据目标，各部门归口收集信息，确定风险承受度；内部风险：高管人员、体制机制、技术创新、财务状况、安全环保等；内部风险：高管人员、体制机制、技术创新、财务状况、安全环保等；外部风险：经济市场政策、法律、社会、科技、自然环境等；外部风险：经济市场政策、法律、社会、科技、自然环境等；风险评估机制：各部门针对责任内控流程，总部、企业针对系统风险。风险评估机制：各部门针对责任内控流程，总部、企业针对系统风险。342009-11-13内控手册总则内控手册总则（四）控制（四29、）控制活动活动 根据风险评估结果，采用相应控制措施，将风险控制在可承受度之内根据风险评估结果，采用相应控制措施，将风险控制在可承受度之内；控制措施：不相容职务分离控制、授权审批控制、会计系统控制、财产控制措施：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、保护控制、计划控制计划控制、预算控制、预算控制、合同管理控制合同管理控制、资金支付控制资金支付控制、信息、信息技术控制、运营分析控制和绩效考评控制等；技术控制、运营分析控制和绩效考评控制等；综合运用控制措施：手工控制与自动控制、预防性控制与发现性控制相综合运用控制措施：手工控制与自动控制、预防性控制与发现性控制相结合；建立重大30、风险预警机制和突发事件应急处理机制。结合；建立重大风险预警机制和突发事件应急处理机制。通过编制业务流程具体控制通过编制业务流程具体控制：18大类、大类、59个流程。个流程。352009-11-13内控手册总则内控手册总则（五）信息与（五）信息与沟通沟通 信息资源归口管理，不断完善信息搜集机制；信息资源归口管理，不断完善信息搜集机制；信息系统集中管理，完善系统沟通平台；信息系统集中管理，完善系统沟通平台；对外信息披露由总裁办审核、提供；对外信息披露由总裁办审核、提供；分级、分类，重要信息及时传递董事会、监事会和总裁班子。分级、分类，重要信息及时传递董事会、监事会和总裁班子。362009-11-131、3内控手册总则内控手册总则（六）内部（六）内部监督监督 日常监督：建立两级内部控制监督检查机制，持续性监督日常监督：建立两级内部控制监督检查机制，持续性监督；专项监督：针对内部控制某一或某些方面的监督检查；专项监督：针对内部控制某一或某些方面的监督检查；管理层每年评价，出具内部控制自我评价报告。管理层每年评价，出具内部控制自我评价报告。372009-11-13内控手册总则内控手册总则（七）（七）内部控制手册内部控制手册结构、生效、更新结构、生效、更新结构六个部分结构六个部分生效董事会审批生效董事会审批更新每年一次更新每年一次382009-11-13内控手册控制流程内控手册控制流程预算预算采购采32、购销售销售成本费用成本费用资金资金资本支出资本支出资产资产关联交易关联交易合并报表合并报表重大事项重大事项信息管理与披露信息管理与披露生产运行生产运行安全环保安全环保税务管理税务管理合同管理合同管理人力资源人力资源信息系统控制信息系统控制内部审计内部审计内控手册内控手册业务流程业务流程分类分类（1818类、类、5959个流程）个流程）392009-11-13内控手册控制流程内控手册控制流程1.11.1原油采购业务流程原油采购业务流程1.21.2进口原油代理业务流程进口原油代理业务流程1.41.4一般物资采购业务流程一般物资采购业务流程采采购购类类控控制制流流程程4.14.1原油销售业务流程原油33、销售业务流程4.24.2天然气销售业务流程天然气销售业务流程4.34.3一般产品销售业务流程一般产品销售业务流程销销售售类类控控制制流流程程402009-11-13内控手册控制流程内控手册控制流程一般物资采购业务流程一般物资采购业务流程（一）业务目标（一）业务目标（二）业务风险（二）业务风险经营目标经营目标财务目标财务目标合规目标合规目标经营风险经营风险财务风险财务风险合规风险合规风险1.1建立“统一管理、统一采购、统一储备、统一结算”的物资采购供应管理体制。1.2 按质按量按时和经济高效地满足生产建设物资需求。2.1资金支付安全。2.2会计核算真实、准确、完整、及时。3.1物资采购过程公开、34、规范有序、合法合规。3.2物资采购合同或协议符合国家法律、法规、外贸政策和股份公司内部规章制度。1.1分散对外采购，不能形成整体和批量采购优势，造成采购资金浪费和流失。1.2 国内外采购割裂，不能在全球范围内搜寻资源，对全球供应市场行情缺乏了解、跟踪、分析和研究，价格监管不力，导致采购性能价格比不合理。2.1资金分散使用，付款时间、方式、金额不恰当造成资金效益的流失。2.2结算不及时，多记、错记、漏记物资入库、库存或应付账款，导致财务数据不准确、不完整。3.1制度不健全或有漏洞，执行制度不到位和监督考核不力,导致违纪违规问题发生。3.2 物资采购合同或协议不符合国家法律、法规、外贸政策和股份公35、司内部规章制度的要求，造成损失。412009-11-13内控手册控制流程内控手册控制流程一般物资采购业务流程（续）一般物资采购业务流程（续）（三三）业业务务流流程程步步骤骤与与控控制制点点 物资供应职责的界定物资供应职责的界定物资计划编制与审核物资计划编制与审核采购渠道确定与控制采购渠道确定与控制采购价格确定与控制采购价格确定与控制框架协议和采购合同签订与审批框架协议和采购合同签订与审批供应过程控制供应过程控制绩效评价、考核与监督绩效评价、考核与监督采购资金使用和控制采购资金使用和控制422009-11-13内控手册控制流程内控手册控制流程一般物资采购业务流程控制点举例：一般物资采购业务流程控36、制点举例：1.5 物资供应部门内部实行计划、采购、质检、合同物资供应部门内部实行计划、采购、质检、合同审核、申请付款等环节相互监督的分段管理模式。审核、申请付款等环节相互监督的分段管理模式。【ERP】各分（子）公司物资供应部门在各分（子）公司物资供应部门在ERP系统系统中设计计划、采购等岗位的权限时，应遵从内部牵中设计计划、采购等岗位的权限时，应遵从内部牵制及不相容原则。制及不相容原则。5.3【ERP】对于超过合同有效期对于超过合同有效期3个月以上未执行个月以上未执行完成的采购订单，分（子）公司物资供应部门要及完成的采购订单，分（子）公司物资供应部门要及时核销。维护采购订单交货容差时依据分（子37、）公时核销。维护采购订单交货容差时依据分（子）公司相关规定执行。司相关规定执行。432009-11-13内控手册控制流程内控手册控制流程（四）相关制度目录（四）相关制度目录（制度后标号为（制度后标号为内控内控手册配套规章制度汇编手册配套规章制度汇编目录索引号）目录索引号）1.关于印发关于印发中国石油化工股份有限公司对外贸易管理规定中国石油化工股份有限公司对外贸易管理规定的通知（石的通知（石化股份外化股份外2003274号）号）1.9.1 一般物资采购一般物资采购业务流程业务流程（续）（续）442009-11-13内控手册控制流程内控手册控制流程一般产品销售业务流程一般产品销售业务流程（一）业务38、目标（一）业务目标（二）业务风险（二）业务风险经营目标经营目标财务目标财务目标合规目标合规目标经营风险经营风险财务风险财务风险合规风险合规风险1.1获取经营利润。1.2扩大市场份额。2.1核算规范，保证销售收入及应收账款的真实、准确、完整。3.1产品销售符合国家有关法律、法规和股份公司内部规章制度。1.1随意降价导致收入减少。1.2擅自提价导致市场丢失。2.1虚增或截留收入，多记或少记应收账款，导致财务数据失真。2.2核算不正确，造成财务数据不准确。3.1产品销售不符合国家有关法律、法规和股份公司内部规章制度，受到处罚。3.2产品销售合同不符合合同法等国家法律、法规和股份公司内部规章制度的要求39、，造成损失。452009-11-13内控手册控制流程内控手册控制流程一般产品销售业务流程（续）一般产品销售业务流程（续）（三三）业业务务流流程程步步骤骤与与控控制制点点 接受客户订单与编制销售计划接受客户订单与编制销售计划客户主数据维护和信用审核客户主数据维护和信用审核 确定销售价格确定销售价格 签订销售合同签订销售合同 开票和收款开票和收款 发货发货 财务记账财务记账 编制销售日报表编制销售日报表 催收账款催收账款月末盘点月末盘点 分析与考核分析与考核 462009-11-13内控手册控制流程内控手册控制流程一般产品销售业务流程控制点举例：一般产品销售业务流程控制点举例：2.1主数据维护员按40、审核后的客户信息在主数据维护员按审核后的客户信息在ERP系统中维护客户系统中维护客户主数据。系统信用主数据应设置为高风险级别或零信用。主数据。系统信用主数据应设置为高风险级别或零信用。2.2分（子）公司营销和财务等部门共同建立客户信用动态档分（子）公司营销和财务等部门共同建立客户信用动态档案，并至少每年更新一次，由不相容岗位人员提出划分、调案，并至少每年更新一次，由不相容岗位人员提出划分、调整客户信用等级的方案；根据客户信用等级和企业信用政策，整客户信用等级的方案；根据客户信用等级和企业信用政策，拟定客户信用具体的限额和时限，经营销及财务部门负责人拟定客户信用具体的限额和时限，经营销及财务部门41、负责人审核后，报分（子）公司经理或信用管理领导小组审批。财审核后，报分（子）公司经理或信用管理领导小组审批。财务部门按照审批结果在务部门按照审批结果在ERP系统中维护客户信用主数据。系统中维护客户信用主数据。472009-11-13内控手册控制流程内控手册控制流程（四）相关制度目录（四）相关制度目录（制度后标号为（制度后标号为内控手册配套规章制内控手册配套规章制度汇编度汇编目录索引号）目录索引号）1.关于印发关于印发中国石油化工股份有限公司应收款项管理实施中国石油化工股份有限公司应收款项管理实施细则细则的通知（石化股份财的通知（石化股份财 2007506号）号）-1.6.4 一般产品销售一般产42、品销售业务流程业务流程（续）（续）482009-11-13内控手册控制流程内控手册控制流程2009版内控手册共计版内控手册共计1272个控制点，分类如下：个控制点，分类如下：控制点控制点合计合计管理相关控制点管理相关控制点与财务报告相关与财务报告相关控制点控制点ERPERP控制点控制点数量数量12721272843843429429161161492009-11-13内控手册控制矩阵内控手册控制矩阵 为更好地遵循外部监管要求，同时便于落实内为更好地遵循外部监管要求，同时便于落实内部管理责任，编制财务报告计划矩阵和每项部管理责任，编制财务报告计划矩阵和每项业务的控制矩阵。业务的控制矩阵。502043、09-11-13内控手册控制矩阵内控手册控制矩阵财务报告财务报告计划矩阵计划矩阵：旨在将会计报表项目和监管事旨在将会计报表项目和监管事项与业务流程建立联系，以确保内控制度合理保证项与业务流程建立联系，以确保内控制度合理保证对外披露的会计报告及重大事项真实可靠。对外披露的会计报告及重大事项真实可靠。512009-11-13业务业务控制矩阵控制矩阵：明确每一控制点的明确每一控制点的“目标、风险、责任单位、不相容目标、风险、责任单位、不相容岗位、分值、记录文档、相关制度索引、会计报表认定、会计报表岗位、分值、记录文档、相关制度索引、会计报表认定、会计报表”，便，便于落实内部控制责任。于落实内部控制责44、任。特别是：对每一控制点都进行特别是：对每一控制点都进行“业务风险业务风险”描述，容易识别内部控制设描述，容易识别内部控制设计是否必要和充分，体现内部控制以全面风险管理为导向的基本要求。计是否必要和充分，体现内部控制以全面风险管理为导向的基本要求。内控手册控制矩阵内控手册控制矩阵522009-11-13内控手册内控手册权限指引权限指引授权是内部控制的重要手段。为适应公司一级法人授权是内部控制的重要手段。为适应公司一级法人为主的经营体制，达到为主的经营体制，达到“授权有度、风险受控授权有度、风险受控”的的目的，按照分级授权的指导思想，目的，按照分级授权的指导思想，特别制定了特别制定了权权限指引限45、指引，统一规范权限管理。，统一规范权限管理。（一）制定权限指引，明确责任和授权（一）制定权限指引，明确责任和授权532009-11-13内控手册权限指引内控手册权限指引（二）权限控制指标的定义（二）权限控制指标的定义权限指引权限指引中的权限为该项业务的决定中的权限为该项业务的决定权、审批权、最终处置权，不包括过程中权、审批权、最终处置权，不包括过程中的建议权、拟议权。的建议权、拟议权。542009-11-13内控手册权限指引内控手册权限指引（三）权限控制指标的设置原则（三）权限控制指标的设置原则内部往来业务从宽，直接对外的业务事项从严；内部往来业务从宽，直接对外的业务事项从严；经批准的预算（计46、划）内授权从宽，预算外从严；经批准的预算（计划）内授权从宽，预算外从严；常规授权从宽，特别授权及转授权从严。常规授权从宽，特别授权及转授权从严。552009-11-13内控手册权限指引内控手册权限指引按照企业的业务规模分为大、中、小三类；按照企业的业务规模分为大、中、小三类；不同板块的企业，根据业务性质设置不同权限；不同板块的企业，根据业务性质设置不同权限；分公司在实施过程中可以制订向下延伸的权限级别；分公司在实施过程中可以制订向下延伸的权限级别；子公司按照子公司按照“子公司体制、分公司地位子公司体制、分公司地位”的原则，比的原则，比照分公司权限执行照分公司权限执行。（四）（四）权限指引权限指47、引的企业分类及应用的企业分类及应用562009-11-13内控手册权限指引内控手册权限指引（五）（五）权限指引权限指引的结构的结构权限指引权限指引列表列表，以矩阵式表格描述，由横向、纵向两个，以矩阵式表格描述，由横向、纵向两个指标体系构成。指标体系构成。编制编制权限指引权限指引说明说明，对权限指引表中事项进行统一解释。，对权限指引表中事项进行统一解释。572009-11-13内控手册检查评价办法内控手册检查评价办法内控检查评价体系内控检查评价体系每年检查总部部门和一定数每年检查总部部门和一定数量的分（子）公司、研究院，量的分（子）公司、研究院，其中审计部其中审计部2525家。家。至少每年至少每48、年一次一次内控检查内控检查评价指引评价指引总部部门检总部部门检查评价考核查评价考核实施细则实施细则单位单位自查自查股份公司年度股份公司年度综合检查评价综合检查评价检检查查评评价价办办法法综合检查评综合检查评价（企业）价（企业）测试（总部）测试（总部）至少每半至少每半年一次年一次测试（企业）测试（企业）至少每半至少每半年一次年一次企业自查企业自查指导意见指导意见582009-11-13内控手册检查评价办法内控手册检查评价办法设设“内部控制执行情况内部控制执行情况”指标指标:根据年度综合检查评根据年度综合检查评价结果及执行情况，只扣不奖价结果及执行情况，只扣不奖高层管理人员业绩奖金考核：设高层管理49、人员业绩奖金考核：设2 2分、分、5 5分、分、1010分三档分三档单位经营目标考核：单位经营目标考核：设设1 1分、分、2 2分、分、5 5分三档分三档内部控制考核内部控制考核592009-11-13内控手册附则内控手册附则内控业务流程内控业务流程总部总部部门联系人部门联系人内部控制手册内部控制手册控制控制流程适用单位流程适用单位内控手册配套规章制度内控手册配套规章制度目录及索引目录及索引 员工员工守则守则附附则则602009-11-13内容提要内容提要三、企业内部控制评价实例三、企业内部控制评价实例612009-11-13中国石化内控评价中国石化内控评价自自2005年已组织五次全系统内控综50、合检查年已组织五次全系统内控综合检查 l 管理层内控自我评价管理层内控自我评价l 外部审计师对财务报告内控审计外部审计师对财务报告内控审计622009-11-13内控自我评价依据内控自我评价依据l 依据内控手册及相关制度，检查内部控制健全性（设计）依据内控手册及相关制度，检查内部控制健全性（设计）l 依据适用的内容、范围，检查内部控制符合性（执行）依据适用的内容、范围，检查内部控制符合性（执行）632009-11-13内控自我评价指引内控自我评价指引l企业企业内控检查评价指引内控检查评价指引包括：注明具体检查步骤方法的工作底稿、案例分析等包括：注明具体检查步骤方法的工作底稿、案例分析等l总部层51、面总部层面内控检查评价与考核实施细则内控检查评价与考核实施细则642009-11-13内控自我评价依据（续）内控自我评价依据（续）652009-11-13内控自我评价方式内控自我评价方式中国石化从中国石化从“量化评分量化评分”和和“内内控缺陷认定控缺陷认定”两个方面进行内控两个方面进行内控评价，满足内控考核和外部监管评价，满足内控考核和外部监管的要求。的要求。662009-11-13内控自我评价范围内控自我评价范围l总部层面：各管理部门总部层面：各管理部门l企业层面：各管理部门、所属单位企业层面：各管理部门、所属单位 672009-11-13内控自我评价流程图内控自我评价流程图编制内部控制自我52、评价报告编制内部控制自我评价报告修订完善修订完善补救整改补救整改组织现场检查组织现场检查制定检查方案，报内控领导小组批准制定检查方案，报内控领导小组批准报告管理层报告管理层健全性测试健全性测试符合性测试符合性测试 检查汇总结果检查汇总结果集中培训检查人员集中培训检查人员682009-11-13内控自我评价内控自我评价（一）制定年度内控（一）制定年度内控检查方案检查方案（二）检查前培训（二）检查前培训（三）现场检查（三）现场检查（四）跟踪整改（四）跟踪整改（五）汇报检查结果及修订完善（五）汇报检查结果及修订完善（六）编制内控自我评价报告及对外披露（六）编制内控自我评价报告及对外披露692009-53、11-13制定年度内控检查方案制定年度内控检查方案召开内控领导小组会议批准检查方案召开内控领导小组会议批准检查方案l 检查范围及重点（总部部门、企业层面）检查范围及重点（总部部门、企业层面）l 检查人员选拔及分组检查人员选拔及分组l 检查前培训安排检查前培训安排l 检查检查主要事项主要事项702009-11-13内控自我评价内控自我评价（一）制定年度内控（一）制定年度内控检查方案检查方案（二）检查前培训（二）检查前培训（三）现场检查（三）现场检查（四）跟踪整改（四）跟踪整改（五）汇报检查结果及修订完善（五）汇报检查结果及修订完善（六）编制内控自我评价报告及对外披露（六）编制内控自我评价报告及对54、外披露712009-11-13检查前培训检查前培训l 讲解内控检查评价指引（方法、案例）讲解内控检查评价指引（方法、案例）l 合理分组，熟悉被检查单位基本情况合理分组，熟悉被检查单位基本情况l 分组讨论，集中答疑分组讨论，集中答疑722009-11-13内控自我评价内控自我评价（一）制定年度内控（一）制定年度内控检查方案检查方案（二）检查前培训（二）检查前培训（三）现场检查（三）现场检查（四）跟踪整改（四）跟踪整改（五）汇报检查结果及修订完善（五）汇报检查结果及修订完善（六）编制内控自我评价报告及对外披露（六）编制内控自我评价报告及对外披露732009-11-13现场检查评价步骤现场检查评价步55、骤见面会见面会掌握基本情况掌握基本情况分析分析/定范围定范围抽样、访谈等抽样、访谈等抽样、访谈等抽样、访谈等缺陷认定缺陷认定填写底稿填写底稿签字确认签字确认编写报告编写报告讲评会讲评会交换意见交换意见汇报内控办公室汇报内控办公室审计部审计部检查结果检查结果现场检查小组现场检查小组现场检查小组现场检查小组评分评分/评价评价742009-11-131 1、组织现场检查小组、组织现场检查小组l 组长负责与企业班子成员谈话，参加见面会及讲评会；组长负责与企业班子成员谈话，参加见面会及讲评会；l 副组长负责检查内控环境（访谈部门负责人）、企业自查副组长负责检查内控环境（访谈部门负责人）、企业自查情况，并56、撰写现场检查报告；情况，并撰写现场检查报告；l 检查人员按内控流程分组检查人员按内控流程分组(以内控管理人员为主，搭配各以内控管理人员为主，搭配各类专业人员、特别是类专业人员、特别是IT专业人员）专业人员）分配成员任务分配成员任务752009-11-132 2、召开见面会、召开见面会通过企业介绍，掌握基本情况通过企业介绍，掌握基本情况l 企业基本情况（生产经营业务范围、组织机构、经企业基本情况（生产经营业务范围、组织机构、经理班子成员及其分工、财务管理核算体制、理班子成员及其分工、财务管理核算体制、ERP建设建设和实施情况等）；和实施情况等）；l 检查区间生产经营计划和预算完成情况；检查区间生57、产经营计划和预算完成情况；l 内部控制实施情况（内控宣传培训、实施细则及相内部控制实施情况（内控宣传培训、实施细则及相关制度修订完善、日常内控工作机制、单位测试自查关制度修订完善、日常内控工作机制、单位测试自查及整改情况）；及整改情况）；l 最近一次审计或财务稽核查出问题的整改情况等。最近一次审计或财务稽核查出问题的整改情况等。762009-11-133 3、搜集、分析材料、搜集、分析材料l 实施细则及配套规章制度实施细则及配套规章制度l 内控自查整改材料内控自查整改材料l 内控流程责任分工（责任部门、责任人、联系人）内控流程责任分工（责任部门、责任人、联系人）l 企业组织架构图（领导分工、部58、门职能、重要岗位人员名单）企业组织架构图（领导分工、部门职能、重要岗位人员名单）l 检查区间的会计报表、经济活动分析材料等检查区间的会计报表、经济活动分析材料等l 最近一次审计问题及整改材料最近一次审计问题及整改材料l 获得获得ERP 最大查询权限最大查询权限772009-11-13确定范围及重点确定范围及重点l 选择检查单位（企业所属全资、控股、参股子公选择检查单位（企业所属全资、控股、参股子公司原则上全部检查，并至少抽查司原则上全部检查，并至少抽查3个直属单位）个直属单位）l 选择重点内控流程和控制点（必检内容）选择重点内控流程和控制点（必检内容）l 确定重点检查样本确定重点检查样本l 加59、强内部沟通，适时调整检查内容和方向加强内部沟通，适时调整检查内容和方向782009-11-134 4、现场检查评价内容、现场检查评价内容l 内控环境、要素内控环境、要素评价评价（10分分）l 企业自查情况企业自查情况评价评价（20分）分）l 业务流程业务流程综合综合检查检查评价评价（70分）分）l 内部控制缺陷内部控制缺陷认定认定（修正总得分）（修正总得分）792009-11-13内部环境、要素评价内部环境、要素评价检查评价内容主要包括检查评价内容主要包括7个方面个方面（访谈、检查证据）：（访谈、检查证据）：诚信与道德诚信与道德责任分配与授权责任分配与授权组织结构组织结构管理哲学和经营风格管理60、哲学和经营风格 人力资源政策与实务人力资源政策与实务信息与沟通信息与沟通监督监督 检查组长或副组长填写检查组长或副组长填写“内控环境检查评价表内控环境检查评价表”802009-11-13企业自查情况评价企业自查情况评价l 企业责任部门内控流程测试情况（检查实际效果）企业责任部门内控流程测试情况（检查实际效果）l 企业内控自查情况（至少验证企业内控自查情况（至少验证5个流程）个流程）复查核实，副组长填写复查核实，副组长填写“企业自查情况评价表企业自查情况评价表”812009-11-13业务流程评价业务流程评价对照内控手册及相关制度，分析对照内控手册及相关制度，分析适用流程适用流程、控制点（健全性61、）、控制点（健全性）判定业务是否发生，确定应检查的控制点（符合性）判定业务是否发生，确定应检查的控制点（符合性）参照检查工作底稿中拟定的参照检查工作底稿中拟定的检查步骤和方法检查步骤和方法，结合实际选择，结合实际选择抽样、穿行测试、检查证据、实地观察、对比分析、访谈等抽样、穿行测试、检查证据、实地观察、对比分析、访谈等方法。方法。（1）分析适用流程，判断业务发生）分析适用流程，判断业务发生822009-11-13业务流程评价（续）业务流程评价（续）不相容岗位分离不相容岗位分离 控制点执行情况控制点执行情况 执行了控制点规定的控制步骤或控制方法（执行了控制点规定的控制步骤或控制方法（“控制点描控62、制点描述述”、“检查步骤及方法检查步骤及方法”）未突破规定的权限（权限指引）未突破规定的权限（权限指引）实现规定的控制目标实现规定的控制目标 （实质性检查）（实质性检查）及时提供有效的控制点相关资料及时提供有效的控制点相关资料 同时符合同时符合（2）控制点得分）控制点得分/扣分的判断方法扣分的判断方法832009-11-13业务流程评价（续）业务流程评价（续）控制点检查评价后，填写控制点检查评价后，填写“内控流程检查工作底稿内控流程检查工作底稿”与财务报告相关的控制点（控制矩阵已注明），还应填写与财务报告相关的控制点（控制矩阵已注明），还应填写“财务报告抽样记录表财务报告抽样记录表”“内控流程63、检查工作底稿内控流程检查工作底稿”和和“财务报告抽样记录表财务报告抽样记录表”需需经检查人、被查单位责任人签定确认。经检查人、被查单位责任人签定确认。（3）分析是否与财务报告相关，填写检查记录）分析是否与财务报告相关，填写检查记录842009-11-13业务流程评价（续）业务流程评价（续）内控流程综合检查评价得分内控流程综合检查评价得分=控制点检查评价得分控制点检查评价得分70/控控制点基础分值。制点基础分值。其中，其中，控制点检查评价得分为被检查单位所有适用内控流程控制点检查评价得分为被检查单位所有适用内控流程控制点控制点“检查评价得分检查评价得分”之和；之和；控制点基础分值为被检查单控制点64、基础分值为被检查单位所有适用内控流程剔除不适用控制点及业务未发生控制点位所有适用内控流程剔除不适用控制点及业务未发生控制点后的后的“控制点分值控制点分值”之和。之和。（4）内控流程评价计分方法）内控流程评价计分方法852009-11-13内控缺陷的分类内控缺陷的分类影响会计报表缺陷影响会计报表缺陷其他会计信息质量缺陷其他会计信息质量缺陷ITIT控制缺陷控制缺陷内控重大事故事件缺陷内控重大事故事件缺陷内内部部控控制制缺缺陷陷企业内部管理缺陷企业内部管理缺陷财务报告缺陷财务报告缺陷内控缺陷是指在内控设计和运行方面，已经内控缺陷是指在内控设计和运行方面，已经发生的内控程序不足或产生不足的可能性。发生65、的内控程序不足或产生不足的可能性。862009-11-13内控缺陷的划分等级内控缺陷的划分等级财务报告缺陷财务报告缺陷内部管理缺陷内部管理缺陷填写填写“内部控制缺陷认定汇总表内部控制缺陷认定汇总表”重大缺陷重大缺陷重大缺陷重大缺陷 重要缺陷重要缺陷重要缺陷重要缺陷一般缺陷一般缺陷一般缺陷一般缺陷结结果果结结果果一般缺陷一般缺陷一般缺陷一般缺陷一般情况一般情况下下872009-11-13内控缺陷的扣分内控缺陷的扣分l一般缺陷：扣减总得分的一般缺陷：扣减总得分的1%l 重要缺陷：扣减总得分的重要缺陷：扣减总得分的50%l 重大缺陷：综合检查得分为零重大缺陷：综合检查得分为零 882009-11-166、3内控缺陷的认定内控缺陷的认定影响会计报表的影响会计报表的缺陷缺陷：根据错误样本比例推算潜在错报金额：根据错误样本比例推算潜在错报金额 1 1 1 1、记录错报样本记录错报样本记录错报样本记录错报样本 2 2 2 2、确定潜在确定潜在确定潜在确定潜在错报率错报率错报率错报率 3 3 3 3、计算潜在错报金额（相应会计科目同向累计发生额、计算潜在错报金额（相应会计科目同向累计发生额、计算潜在错报金额（相应会计科目同向累计发生额、计算潜在错报金额（相应会计科目同向累计发生额潜在错报率）潜在错报率）潜在错报率）潜在错报率）4 4 4 4、计算错报指标计算错报指标计算错报指标计算错报指标 错报指标错报67、指标错报指标错报指标1=1=1=1=潜在错报金额合计潜在错报金额合计潜在错报金额合计潜在错报金额合计/被检查单位当期主营业务收入或被检查单位当期主营业务收入或被检查单位当期主营业务收入或被检查单位当期主营业务收入或 期末资产总额孰高；期末资产总额孰高；期末资产总额孰高；期末资产总额孰高；错报指标错报指标错报指标错报指标2=2=2=2=潜在错报金额合计潜在错报金额合计潜在错报金额合计潜在错报金额合计/股份公司当期主营业务收入。股份公司当期主营业务收入。股份公司当期主营业务收入。股份公司当期主营业务收入。5 5 5 5、错报指标与缺陷等级、错报指标与缺陷等级、错报指标与缺陷等级、错报指标与缺陷等级68、 一般缺陷一般缺陷一般缺陷一般缺陷:错报指标错报指标错报指标错报指标11111111，且错报指标，且错报指标，且错报指标，且错报指标2 2 2 21 1 1 1 重要缺陷重要缺陷重要缺陷重要缺陷:1:1:1:1错报指标错报指标错报指标错报指标2 2 2 25 5 5 5 重大缺陷重大缺陷重大缺陷重大缺陷:错报指标错报指标错报指标错报指标25252525 892009-11-13内控缺陷的认定（续）内控缺陷的认定（续）其他会计信息质量一般缺陷：外部监管重点关注的事项其他会计信息质量一般缺陷：外部监管重点关注的事项（1 1）会计人员缺乏必要的任职资格和胜任能力。）会计人员缺乏必要的任职资格和胜任能69、力。（2 2）财会岗位职责不清晰，或未执行规定的会计不相容岗位（职务）分离。）财会岗位职责不清晰，或未执行规定的会计不相容岗位（职务）分离。（3 3）会计凭证未按规定装订、保管和归档，或会计凭证丢失。）会计凭证未按规定装订、保管和归档，或会计凭证丢失。（4 4）重要原始凭证如出）重要原始凭证如出/入库单、提货通知单、开出发票和支票等不连号或未经审批取消入库单、提货通知单、开出发票和支票等不连号或未经审批取消原始凭证。原始凭证。（5 5）未按规定与股份公司内、外部往来单位对账及编制往来账户余额调节表，或）未按规定与股份公司内、外部往来单位对账及编制往来账户余额调节表，或100100万元万元以上的70、对账差异个月以上未处理，或其他对账差异个月以上未处理。以上的对账差异个月以上未处理，或其他对账差异个月以上未处理。（6 6）未按规定编制银行存款余额调节表，或调节表差异个月以上未处理。）未按规定编制银行存款余额调节表，或调节表差异个月以上未处理。（7 7）一人保管支付款项所需的全部印章。开通网上银行的，由一人保管网银卡和密码。）一人保管支付款项所需的全部印章。开通网上银行的，由一人保管网银卡和密码。（8 8）存货盘点未按照规定执行。）存货盘点未按照规定执行。（9 9）由于审查不严、处理不当等原因造成执行国家税收政策偏差，受到罚款处罚等。）由于审查不严、处理不当等原因造成执行国家税收政策偏差，受71、到罚款处罚等。902009-11-13内控缺陷的认定（续）内控缺陷的认定（续）IT控制一般缺陷：整体层面控制、一般性控制、应用控制控制一般缺陷：整体层面控制、一般性控制、应用控制（1 1）ERPERP系统、财务信息管理系统、加油卡系统的用户管理或密码管理未按要求执行。系统、财务信息管理系统、加油卡系统的用户管理或密码管理未按要求执行。（2 2）ERPERP系统同一业务流程主数据管理和维护有两个或两个以上控制点未按要求执行。系统同一业务流程主数据管理和维护有两个或两个以上控制点未按要求执行。（3 3）分（子）公司信息化管理机构不健全，职责不到位。）分（子）公司信息化管理机构不健全，职责不到位。（72、4 4）分（子）公司）分（子）公司ERPERP支持中心人员不落实，支持中心人员没有履行相关职责。支持中心人员不落实，支持中心人员没有履行相关职责。（5 5）安全管理员、系统管理员、应用系统管理员设置未执行不相容岗位（职务）分离。）安全管理员、系统管理员、应用系统管理员设置未执行不相容岗位（职务）分离。（6 6）未进行信息安全教育和培训。）未进行信息安全教育和培训。（7 7）ERPERP系统、财务管理信息系统、加油卡系统服务器未纳入信息管理部门统一管理。系统、财务管理信息系统、加油卡系统服务器未纳入信息管理部门统一管理。912009-11-13内控缺陷的认定（续）内控缺陷的认定（续）内控重大事故73、事件缺陷：内控重大事故事件缺陷：以未经授权、舞弊或以未经授权、舞弊或IT控制不善造控制不善造成财产损失或影响给股东带来利益损害为判别依据。成财产损失或影响给股东带来利益损害为判别依据。缺陷缺陷认认定等定等级级直接直接财产损财产损失金失金额额重大重大负负面影响面影响一般缺陷一般缺陷1010万元（含万元（含1010万元）万元）500500万元万元或受到省或受到省级级（含省（含省级级）以下政府部）以下政府部门处罚门处罚但未但未对对公司定期公司定期报报告披露造告披露造成成负负面影响面影响重要缺陷重要缺陷500500万元（含万元（含500500万元）万元）10001000万元万元或受到国家政府部或受到国74、家政府部门处罚门处罚但未但未对对股股份公司定期份公司定期报报告披露造成告披露造成负负面影响面影响重大缺陷重大缺陷10001000万元及以上万元及以上或已或已经对经对外正式披露并外正式披露并对对公司定期公司定期报报告披露造成告披露造成负负面影响面影响922009-11-13内控缺陷的认定（续）内控缺陷的认定（续）内部管理一般缺陷：不影响财务报告，但违反内部管理要内部管理一般缺陷：不影响财务报告，但违反内部管理要求的突出事项。求的突出事项。根据内控手册和管理制度（文件）判断。根据内控手册和管理制度（文件）判断。1物资采购供应未归口管理物资采购供应未归口管理 2销售管理中客户信用等级和信用限额未经信75、用领导小组审批，销销售管理中客户信用等级和信用限额未经信用领导小组审批，销售价格政策未经价格领导小组审批售价格政策未经价格领导小组审批 3投资项目无计划或超计划，或未按规定招投标，或先施工后补签投资项目无计划或超计划，或未按规定招投标，或先施工后补签合同合同 4对未即时清结的交易没有签订书面合同；未按规定使用标准合同对未即时清结的交易没有签订书面合同；未按规定使用标准合同文本并经兼职合同管理员审核；使用非标准合同文本未经专职合同管文本并经兼职合同管理员审核；使用非标准合同文本未经专职合同管理员审核理员审核 5未按规定开立或使用银行账户未按规定开立或使用银行账户 6成本、费用指标未考核成本、费用76、指标未考核 7由于违章行为导致安全环保事故（事件）发生由于违章行为导致安全环保事故（事件）发生 8瞒报事故瞒报事故932009-11-13内控缺陷的认定（续）内控缺陷的认定（续）内控缺陷认定后，应累计填写内控缺陷认定后，应累计填写“内部控制缺陷认定内部控制缺陷认定汇总表汇总表”，由检查小组组长（或副组长）、被查单，由检查小组组长（或副组长）、被查单位内控办公室主任签字确认。位内控办公室主任签字确认。内控缺陷的汇总内控缺陷的汇总942009-11-135 5、检查方法检查方法（1 1）一般方法）一般方法（2 2）抽样检查）抽样检查（3 3）ERPERP控制点检查控制点检查952009-11-1377、5 5、检查方法（续）检查方法（续）（1）一般检查方法及应用：）一般检查方法及应用：抽样法抽样法穿行测试法穿行测试法个别访谈法个别访谈法比较分析法比较分析法实地查验法实地查验法专项讨论会法专项讨论会法重新执行法重新执行法基本方法基本方法业务流程业务流程内控环境、异常情况内控环境、异常情况价格、预算、报表分析价格、预算、报表分析盘点、验证盘点、验证遇到专业疑难问题遇到专业疑难问题怀疑结果有重大错误怀疑结果有重大错误不限于此不限于此综合运用综合运用注意取得注意取得最原始最原始单据单据962009-11-135 5、检查方法（续）检查方法（续）综合应用各种方法：综合应用各种方法：检查前：比较分析、个78、别访谈，预抽样检查前：比较分析、个别访谈，预抽样实施检查：抽样、穿行测试、实地查验、个别实施检查：抽样、穿行测试、实地查验、个别访谈、比较分析访谈、比较分析疑难问题：专家讨论会疑难问题：专家讨论会佐证不足怀疑结果：重新执行、扩大抽样佐证不足怀疑结果：重新执行、扩大抽样972009-11-135 5、检查方法（续）检查方法（续）（2）抽样检查）抽样检查抽样数量抽样数量抽样方法抽样方法抽样步骤及要求抽样步骤及要求982009-11-135 5、检查方法（续）检查方法（续）序号序号业务发生频率业务发生频率至少抽样数量至少抽样数量1每年一次每年一次1笔笔2每年一次以上至每季度一次每年一次以上至每季度一79、次2笔笔3每季度一次以上至每月一次每季度一次以上至每月一次2笔笔4每月一次以上至每周一次每月一次以上至每周一次5笔笔5每周一次以上至每天一次每周一次以上至每天一次15笔笔6每天多次每天多次25笔笔992009-11-135 5、检查方法（续）检查方法（续）抽样数量抽样数量非财务报告点抽样数量一般为非财务报告点抽样数量一般为3个（少于个（少于3个的选用整个的选用整体抽样）；体抽样）；财务报告点抽样数量在财务报告点抽样数量在“财务报告抽样记录表财务报告抽样记录表”中已中已经根据业务发生频率列出经根据业务发生频率列出“应抽取的样本量应抽取的样本量”，除非，除非实际业务量不足，否则不得减少实际业务量不80、足，否则不得减少“应抽取的样本量应抽取的样本量”；特别说明特别说明:抽取样本数量不限于上述抽取样本数量不限于上述“应抽取的样本量应抽取的样本量”，如果检查人员认为抽样数量不足以证明内控执行，如果检查人员认为抽样数量不足以证明内控执行有效，可以根据需要增加样本量。有效，可以根据需要增加样本量。1002009-11-135 5、检查方法（续）检查方法（续）抽样方法抽样方法抽样方法抽样方法1）整体抽样）整体抽样2）随机抽样）随机抽样3）等距抽样）等距抽样4）指定抽样）指定抽样1012009-11-135 5、检查方法（续）检查方法（续）1）整体抽样）整体抽样被检查单位某项经济业务很少发生，被检查的被81、检查单位某项经济业务很少发生，被检查的样本个数少于或等于规定数量时，应抽取全部样本个数少于或等于规定数量时，应抽取全部样本做为检查样本。样本做为检查样本。如存货减值、存货处置、现如存货减值、存货处置、现金、存货、固定资产盘金、存货、固定资产盘点等可以采取整体抽样点等可以采取整体抽样方式，抽取所有减值会方式，抽取所有减值会计凭证、存货处置会计计凭证、存货处置会计凭证、存货盘点表、存凭证、存货盘点表、存货盘盈盘亏的会计凭证。货盘盈盘亏的会计凭证。1022009-11-135 5、检查方法（续）检查方法（续）2）随机抽样：控制点检查原则上采取）随机抽样：控制点检查原则上采取“随机抽样随机抽样”的方法82、。的方法。时间分布比较均匀：时间分布比较均匀：如涉及的经济业务在检查区间内各月基本均匀发生。如涉及的经济业务在检查区间内各月基本均匀发生。品种比较齐全：品种比较齐全：如销售业务应包括各种产品样本。如销售业务应包括各种产品样本。金额分布合理：金额分布合理：包括大中小金额。包括大中小金额。业务对象分布合理：业务对象分布合理：如采购、销售业务尽量覆盖全部供应商或客户；借款如采购、销售业务尽量覆盖全部供应商或客户；借款应覆盖各币种、各银行的借款。应覆盖各币种、各银行的借款。业务发生单位分布合理：业务发生单位分布合理：指被检查企业如果有很多单位都发生同一类经济指被检查企业如果有很多单位都发生同一类经济业83、务，应尽量覆盖。业务，应尽量覆盖。采购合同、付款和发票校验会计凭证，销售订单、价格、合同、发货会计采购合同、付款和发票校验会计凭证，销售订单、价格、合同、发货会计凭证、销售收入会计凭证、发票、费用支出等业务都可以采用随机抽样的凭证、销售收入会计凭证、发票、费用支出等业务都可以采用随机抽样的方法。方法。经济业务经济业务频繁发生频繁发生样本数较多样本数较多通过分析确认样本通过分析确认样本特性分布均匀特性分布均匀1032009-11-135 5、检查方法（续）检查方法（续）3）等距抽样）等距抽样如果样本的分布特性比较均匀稳定，可以采取如果样本的分布特性比较均匀稳定，可以采取等距抽样的方法。即可以拟定84、选择原始单据编等距抽样的方法。即可以拟定选择原始单据编号以号以1（或（或2、3、4）结尾的样本等。）结尾的样本等。如收付款会计凭证、出入库单等等。如收付款会计凭证、出入库单等等。1042009-11-135 5、检查方法（续）检查方法（续）4）指定抽样）指定抽样通过分析，对于特殊的经济业务事项（如非正通过分析，对于特殊的经济业务事项（如非正常发生的经济业务）可以指定抽样。如修理费常发生的经济业务）可以指定抽样。如修理费业务，可指定公司本部大额修理费支出；成本业务，可指定公司本部大额修理费支出；成本业务，可指定手工结转的凭证；销售、费用支业务，可指定手工结转的凭证；销售、费用支出等业务可指定红字85、冲销业务；还可指定暂估出等业务可指定红字冲销业务；还可指定暂估业务等。业务等。1052009-11-135 5、检查方法（续）检查方法（续）对于同一业务不同企业选用的抽样方法可能不同。如对于同一业务不同企业选用的抽样方法可能不同。如对于票据业务很少的企业，可以采用整体抽样的方法；对于票据业务很少的企业，可以采用整体抽样的方法；对于票据业务较多的企业，则可以根据发生日期、出对于票据业务较多的企业，则可以根据发生日期、出票行、被背书人、贴现行等采用随机抽样等方法；票行、被背书人、贴现行等采用随机抽样等方法；对于检查区间包括年末和年初的，应加大抽取样本量。对于检查区间包括年末和年初的，应加大抽取样本86、量。重点关注是否存在虚挂或少挂成本费用，虚增或少记重点关注是否存在虚挂或少挂成本费用，虚增或少记收入，用以调节利润的情况。其他样本也应有选择性收入，用以调节利润的情况。其他样本也应有选择性地多抽地多抽1、3、6、9月。月。抽样的特殊性：抽样的特殊性：1062009-11-135 5、检查方法（续）检查方法（续）抽样步骤及要求：抽样步骤及要求：1.1.搜集信息，拟定搜集信息，拟定“抽样实施方案抽样实施方案”2.2.制作初步抽样清单制作初步抽样清单 3.3.抽取样本抽取样本详细了解情况详细了解情况尽量覆盖全部业务尽量覆盖全部业务针对性抽样针对性抽样1072009-11-135 5、检查方法（续）检87、查方法（续）抽取的样本应充分和适当抽取的样本应充分和适当充分充分是指测试的证据的数量应当能合理保证相是指测试的证据的数量应当能合理保证相关控制的有效；关控制的有效；适当适当是指获取的证据应当与相是指获取的证据应当与相关控制的设计与运行有关，并能可靠地反映控关控制的设计与运行有关，并能可靠地反映控制的实际运行状况。制的实际运行状况。1082009-11-135 5、检查方法（续）检查方法（续）（3）ERP控制点检查：控制点检查：权限检查权限检查截图使用截图使用1092009-11-135 5、检查方法（续）检查方法（续）1）ERP控制点权限检查：控制点权限检查：权限检查权限检查 业务流程权限检查88、清单业务流程权限检查清单直接查询是否存在不符合规定的内容直接查询是否存在不符合规定的内容 如按照控制点要求，查询是否存在未清订单、人为删除交货单等如按照控制点要求，查询是否存在未清订单、人为删除交货单等情况，直接在系统中先筛选是否存在未维护信用的客户等。情况，直接在系统中先筛选是否存在未维护信用的客户等。1102009-11-135 5、检查方法（续）检查方法（续）2）参照）参照截图截图检查检查ERP控制点控制点分散服务器的企业分散服务器的企业 编制编制ERP控制点检查标准，检查配置与执行。控制点检查标准，检查配置与执行。集中服务器的企业集中服务器的企业 未有效执行，扣减被检查单位分数未有效执89、行，扣减被检查单位分数1112009-11-136 6、填写工作底稿及记录、填写工作底稿及记录内部控制检查评价汇总表内部控制检查评价汇总表企业内控环境评价表企业内控环境评价表企业自查评价表企业自查评价表内控流程检查工作底稿（含财务报告抽样记录表）内控流程检查工作底稿（含财务报告抽样记录表）研究院内控流程检查工作底稿研究院内控流程检查工作底稿内部控制缺陷认定汇总表内部控制缺陷认定汇总表内控工作意见和建议表内控工作意见和建议表7 7套表格套表格1122009-11-137 7、撰写现场检查报告及讲评、撰写现场检查报告及讲评l 检查评价整体情况检查评价整体情况l 企业内控环境评价企业内控环境评价l 90、企业自查情况评价企业自查情况评价l 内控流程评价内控流程评价l 内控缺陷认定（深刻分析）内控缺陷认定（深刻分析）l 整改意见和管理建议整改意见和管理建议所有检查底稿、记录及报告由被查单位责任人确认所有检查底稿、记录及报告由被查单位责任人确认1132009-11-138 8、检查评价资料及报告、检查评价资料及报告l 检查小组组长或副组长必须复核所有检查表格、工作底稿和检查小组组长或副组长必须复核所有检查表格、工作底稿和内控缺陷认定。内控缺陷认定。l 有效执行的控制点不需复印资料，但未执行控制点及内控缺有效执行的控制点不需复印资料，但未执行控制点及内控缺陷需要提供相关资料佐证。陷需要提供相关资料佐91、证。l 所有检查资料按规定编号，依顺序整理、装订。所有检查资料按规定编号，依顺序整理、装订。l 现场检查报告及各种检查资料（含电子版）交内控办公室。现场检查报告及各种检查资料（含电子版）交内控办公室。1142009-11-13内控自我评价内控自我评价（一）制定年度内控（一）制定年度内控检查方案检查方案（二）检查前培训（二）检查前培训（三）现场检查（三）现场检查（四）跟踪整改（四）跟踪整改（五）汇报检查结果及修订完善（五）汇报检查结果及修订完善（六）编制内控自我评价报告及对外披露（六）编制内控自我评价报告及对外披露1152009-11-13跟踪整改跟踪整改由内控办公室统一组织由内控办公室统一组织92、l 汇总各企业、总部现场检查结果汇总各企业、总部现场检查结果l 分配总部各责任部门督促整改，核实整改结果分配总部各责任部门督促整改，核实整改结果l 根据最终整改结果考核各企业、部门根据最终整改结果考核各企业、部门1162009-11-13内控自我评价内控自我评价（一）制定年度内控（一）制定年度内控检查方案检查方案（二）检查前培训（二）检查前培训（三）现场检查（三）现场检查（四）跟踪整改（四）跟踪整改（五）汇报检查结果及修订完善（五）汇报检查结果及修订完善（六）编制内控自我评价报告及对外披露（六）编制内控自我评价报告及对外披露1172009-11-13汇报检查结果及修订完善汇报检查结果及修订完善93、l 向内控领导小组汇报向内控领导小组汇报l 与外部审计师沟通与外部审计师沟通l 向董事会及其审计委员会汇报向董事会及其审计委员会汇报l 按照外部监管政策变化和管理层要求修订完善按照外部监管政策变化和管理层要求修订完善1182009-11-13内控自我评价内控自我评价（一）制定年度内控（一）制定年度内控检查方案检查方案（二）检查前培训（二）检查前培训（三）现场检查（三）现场检查（四）跟踪整改（四）跟踪整改（五）汇报检查结果及修订完善（五）汇报检查结果及修订完善（六）编制内控自我评价报告及对外披露（六）编制内控自我评价报告及对外披露1192009-11-13六、对外披露内控自我评价六、对外披露内控94、自我评价l 编制中国石化内控自我评价报告编制中国石化内控自我评价报告l 根据境内外不同监管要求披露内控自我评价根据境内外不同监管要求披露内控自我评价1202009-11-13外审内控评价分析外审内控评价分析年度年度200620062007200720082008内控手册控制点内控手册控制点9989981149114911791179检查企业数量检查企业数量212134343232非披露缺陷非披露缺陷24324374742626趋势趋势=/=/（*可比系数）可比系数）11.57 11.57 1.89 1.89 0.69 0.69 外部审计师历年内控评价外部审计师历年内控评价1212009-11-95、13企业自我评价分析企业自我评价分析年度年度200620062007200720082008内控手册控制点内控手册控制点9989981149114911791179检查企业数量检查企业数量797982824040未执行控制点未执行控制点1189118910021002580580趋势趋势=/=/（*可比系数）可比系数）15.05 15.05 10.61 10.61 12.27 12.27 中国石化历年内控评价中国石化历年内控评价1222009-11-13内容提要内容提要附：内部控制附：内部控制案例案例 案例案例1 案例案例2 案例案例3 1232009-11-13E-mail:谢谢各位！谢谢各位！欢迎批评欢迎批评124