s中国石油内控体系建设
总体安排
公司管理层高度重视内部控制体系的建设工作,根据《萨班斯-奥克斯利法案》和企业内部管理的要求,对如何开展内部控制体系建设工作进行了整体策划,明确了建设的目标、建设思路、建设方法,确定了项目建设阶段,并对如何开展内控建设工作提出了意见和具体要求。通过本次培训,可以了解中国石油内部控制体系建设的基本情况,明白如何建设中国石油自己的内部控制体系,以便更好地进行企业内部控制。
一、企业建立内部控制体系的必要性
完整的内部控制体系和完善的内部控制制度,是约束、规范企业管理行为的准则,是规避风险的重大措施。实施内部控制可以及时发现和纠正各种错弊及不法行为,有利于保证资产安全、完整,保证经营成果与财务状况真实、可靠。其必要性表现为以下几个方面:
一是建立现代企业制度,完善法人治理结构,实现经营机制的转换,加强企业管理,提高企业经济效益的客观需要。现代企业制度的重要特征之一就是权责分明,要求企业内部建立相互制衡、相互监督的治理机制,以加强内部管理,提
1
高经营效率。
二是贯彻我国新《会计法》、财政部颁布的《内部会计控制规范》以及适应美国《萨班斯-奥克斯利法案》等法律法规的必然要求。我国于2000年7月1日开始实施的新《会计法》第二十七条明确要求“各单位应当建立、健全本单位内部会计监督制度”。内部会计监督制度应当符合:记帐人员与经济业务事项和会计事项的审批人员、经办人员、财物保管人员的职责权限应当明确,并相互分离、相互制约;重大对外投资、资产处置、资金调度和其他重要经济业务事项的决策和执行的相互监督、相互制约程序应当明确;财产清查的范围、期限和组织程序应当明确;对会计资料定期进行内部审计的办法和程序应当明确。财政部颁布的《内部会计控制规范》进一步指出,内部会计控制是指单位为了提高会计信息质量,保护资产的安全、完整,确保有关法律法规和规章制度的贯彻执行等而制定和实施的一系列控制方法、措施和程序。随后财政部陆续出台了各项业务内部控制规范。2002年7月30日生效的美国《萨班斯-奥克斯利法案》,旨在进一步全面提高所有在美国上市的公司(含注册地在美国境外的上市公司)的治理水准,强化上市公司的内部控制,规范财务和信息披露的程序和行为,防止或减少虚假不实和欺诈行为的发生。以上说明,企业建立完善的内部控制体系十分必要。
2
三是加入WTO后参与国际竞争的迫切需要。随着社会生产力的发展和科学技术的进步,信息技术高度发展,全球经济一体化的进程加速,各国企业所面临的风险也逐渐加大。股份公司也面临众多国内外企业的激烈竞争和有力挑战,必须尽快建立健全有效的内部控制制度,提高经营管理的效率和效果,以便在激烈的国际竞争中立于不败之地。只有在内部各个环节实行有效管理的企业,才能真正获得市场竞争的优势。
四是建立统一规范的内部控制制度,使股份公司各项规章制度成为一个有机的统一体,成为系统性、实用性、可操作性、完整性、合法性和包容性很强的内部管理制度,将更为有效地体现股份公司管理理念和要求。在内控项目实施之前,公司已经具备了很多良好的内部控制制度,只是没有形成统一完整的系统。我们的工作就是要针对现状补充完善,满足各方面的要求,同时也形成股份公司统一的内控法典。
股份公司于2000年4月6日在美国纽约证券交易所上市,有义务接受上市地的证券监管制度约束,必须遵守《萨班斯-奥克斯利法案》有关上市公司建立内部控制制度的规定。法案的404条款要求中国石油天然气股份有限公司于2005年12月31日前达到法案要求,时间非常紧迫。我们必须加快内控建设的步伐,在2005年通过外部审计师的审计,以达到SEC的有关要求,在国际资本市场上树立良好的
3
形象。
如何在COSO框架下建立一套符合法案要求的内控体系是一项全新的工作,没有先例可循,我们需要根据法案的要求,结合普华会计公司提供的建议,建设中国石油的内部控制体系。
二、中国石油内部控制体系建设简介
根据COSO的定义,所谓内部控制,就是由公司董事会、管理层和其他有关人员实施,为提高公司经营效率、保证财务报告的可靠性以及遵从法律提供合理保证而设计的程序(COSO及美国审计准则第319条)。从这个概念来看,它与传统的内部管理有很大的差别,在COSO框架下,内部控制的范围更宽广,也更复杂。公司的内部控制体系采用COSO框架标准建立,主要是因为此框架比较完备,一些大的国际公司均采用此标准建立,例如微软与中石化,美国本土的一些公司也是采用了此框架来建设自己的内部控制体系。下面,介绍一下股份公司内部控制体系建设总体情况。 (一)内部控制体系建设的目标
建设内部控制体系的主要业务目标就是通过建立企业内部控制体系,梳理公司主要业务流程,对关键流程进行风险分析,找出风险点和控制缺口,通过强化相关部门控制职责,实现对风险的有效控制,完善制度规范,建立测试方法和标准,保证内部控制体系有效运行。在满足美国《萨班斯
4
-奥克斯利法案》404条款要求的基础上,进一步提升公司的管理水平,保证生产经营目标的完成。在内部控制体系建设的进展过程中,尽管时间紧迫,我们需要侧重关注影响财务报告的有关流程,以保证财务报告的真实完整,从而最终满足法案的要求。但我们应该以此为契机,不断强化内部管理,全面建设公司内控机制。
(二)内部控制体系建设的思路
内控体系将采用为法案所接受,同时也是目前被广泛认可的COSO框架为标准。以业务流程为起点,通过对业务流程的全面梳理,锁定与财务信息生成、汇集和处理相关的业务;对所定的流程进行分析确认存在的风险;按照COSO框架要求的控制标准,对确认的风险提出控制要求;将现有的管理制度所规定的风险控制措施与控制要求进行对比,在制度设计方面进行缺口分析,提出具体的整改建议;在缺口分析的基础上,完成各项规章制度的补充和完善。建立测试标准,通过测试运行对内控体系进行全面评价,而且要留有一定时间交外部审计进行预审,并对发现的问题及时整改,以保证公司的内控最终能通过审计。
(三)内部控制体系建设的阶段
股份公司内部控制体系建设工作具体分为六个实施阶段。第一阶段为工作启动阶段。这个阶段在总部进行,主要完成工作组筹建、人员培训、建立工作方法和工作标准等。
5
第二阶段为流程的绘制和确认阶段。以财务报告为切入点,对于相关业务进行确认,并在总部和试点单位开展标准流程的绘制。第三阶段为建立风险评估标准,确定文档记录和评估阶段。第四阶段为编制标准业务流程,汇总重要过程步骤并进行差异分析,确定具体的控制方法和控制手段的阶段。第五阶段为测试关键控制的执行效果,建立运营缺陷改进计划,提交最终报告的阶段。第六阶段为维护更新阶段。本阶段工作不在此次项目范围内,而是应该成为企业的一项日常工作。为保证建立的内部控制体系长期有效运行,需要根据外部环境和企业内部管理状况的不断变化,持续建设公司的内部控制体系,不断改进完善。在内部控制体系建设的前五个阶段,遵循总体设计统筹安排的原则,力求做到标准一致、要求统一。在进行内控描述和风险差异分析时,不但要关注有形的业务流程,还要注意公司的文化氛围等无形的关于控制环境等方面的内容,这需要花更多地时间来了解与完善。在具体实施过程中我们将采用试点、培训和推广相结合的方式,分阶段推进。
具体落实到地区公司,主要工作在第四和第五阶段,需要按照目前确定的业务流程目录来开展本单位的业务流程绘制和现状描述,包括控制环境方面的分析与调查;针对绘制的业务流程,分析内部控制现状,找出现有的控制方法,归集相关管理制度;根据业务流程中存在的风险,分析控制
6
中的缺陷与遗漏,补充完善相应的控制活动及制度;对补充完善后的内部控制进行测试,评估本单位内部控制运行的有效性,最终完善本单位的内部控制体系。
(四)内控建设的成果
完善的企业内部控制体系,主要包括以下几个方面: 1、业务流程图及说明 2、内部控制信息系统 3、完善的内部控制制度 4、健全的控制环境 5、内控体系评价标准
三、中国石油内部控制体系建设的前期开展情况 2003年8月下旬,经公司董事会批准,准备开展中国石油内部控制体系建设工作。此后,公司管理层研究决定,组建项目核心组,统一开展工作部署。同年12月,项目工作组正式成立。
(一)总部内部控制建设的组织机构建设
股份公司领导高度重视内部控制体系建设,有关领导亲自批示,同意组建项目核心领导小组,由相关部门负责人参加。核心组下设工作组,由总部相关部门和地区公司相关人员组成,具体负责开展工作。总部机关各部门都有一名处长作为内部控制体系建设工作的联系人与负责人。
(二)组织培训与考察学习
7
为保证工作的顺利进行,我们多次对项目组成员进行了内部控制体系建设相关知识的培训,为顺利开展工作奠定了良好的基础。
在内部控制体系建设工作的开展过程中,项目组分别赴微软(中国)和中国石化进行参观访问,学习先进的管理方法与经验。通过学习跨国公司和同行企业在内控建设方面已有的成果和科学的方法,拓展了工作思路。同时也借鉴了这些公司一些好的做法,力求使我们的内控建设更加科学合理。
(三)初步制定了业务流程框架目录
项目组在前期工作中,主要是制定了基本业务流程目录,确定了流程描述和内部控制文档记录的标准模板,并进行了相关业务的风险评估与确认工作。
(四)内控建设前期工作开展的体会
项目组在进行内部控制体系建设的这段时间,明确了总体方向,工作一步步开展了起来,目前进展顺利。下面,我把项目组在内部控制体系前期建设中总结出的一些好做法介绍给大家,希望能够起到示范指导的作用。
1、注重新知识的培训学习
内部控制体系建设涉及到的法律条款很多,并且大多都是国外最新出台的法律,包括萨奥法案、上市公司会计监管委员会颁布的审计准则以及SEC的相关要求。我们必须对这
8
些相关法律规范有一个深入的了解,这对我们做好内控十分有用。所以,在开展内控建设时,要多关注了解相关的新的知识,这样才会更好符合个方面的要求,达到工作的目标。
2、完善内部的协调机制
内部控制体系建设在开展过程中,特别是在业务流程绘制、描述和缺口分析阶段,需要公司各部门相关人员的共同参与和多次核实确认,工作量大并需要一定的时间保证。单靠内控专门机构来实施是完全不可能的,因为内部控制本身就涉及到了公司管理的各个层次。各单位内控专门机构只是管理项目的进展,大量的具体工作还是需要公司的各业务部门、二级单位来做。因此,一定要制定良好的协调机制,提高全公司对内控建设重要性的认识,要作为一项本职工作来进行,共同努力配合,完成内控体系建设。
3、将业务流程和内部控制现状描述作为内部控制体系建设的切入点与工作重点
内控体系建设的重要内容之一就是描述企业的业务流程和内部控制现状。只有业务流程和内部控制现状描述出来了,我们才能以此为基础,分析流程中的风险,与企业现有的控制相对照,从而寻找不足,不断进行改进。所以,没有业务流程和内部控制现状的描述,内部控制体系建设的后续工作将无法开展。各公司必须充分重视业务流程和内部控制现状的描述,把前期的工作重心放在这个方面。
9
4、构建信息平台,科学利用软件
内部控制体系建设是一项浩繁的系统工作,几乎每天都有新的信息、知识流入,如法案、COSO框架、工作进度、工作标准和时间要求等。为保证工作要求和标准的统一,以及所有工作人员对工作目标、背景的了解同步,非常有必要建立一个信息共享平台,将所有的资料文件在此存储和展示。这也有利于地区公司内部的充分交流与信息共享。目前,股份公司已经建立了内控项目的专门网站,日后大量的信息交流工作将通过这个信息平台来进行。同时还需要利用Visio等应用软件,来绘制业务流程。
四、内部控制体系建设的主要工作与责任
内部控制体系建设是一项非常庞大的工程,工作内容十分繁重,同时时间又比较紧迫,因此明确各自在内部控制体系建设中应承担的责任和工作,是非常重要的。大家必须对内部控制体系建设工作有一个清晰的了解,明确应该“干什么”。
(一)项目组的工作责任
项目组分为专业组和综合组,在内部控制体系建设工作中确定工作途径与方法,制定工作整体运行及分阶段推进计划,培训总部职能部门及地区公司参加人员,对各阶段工作提出指导意见,验收各阶段工作成果,汇总差异,完成现状描述,根据COSO框架进行缺口分析。针对萨奥法案要求,
10
考虑中国石油企业实际情况对存在问题进行分析,完善内部控制体系并对其运行的有效性进行测试。 (二)总部的工作责任
总部各部门及专业公司在接受项目培训后,负责编写本部门业务流程,对流程进行差异分析,负责本单位内部控制体系建设。同时,作为职能管理部门,在地区公司开展内部控制体系建设时给予指导与支持。
(三)地区公司的工作责任
内部控制体系建设的大量具体实施工作主要在各地区公司,特别在内部控制体系建设的第四和第五阶段,内控现状描述和测试改进工作基本都由地区公司负责完成。所以,地区公司的任务是非常繁重的,需要付出大量的时间与精力。地区公司的具体工作任务及时间安排如下:
1、业务流程及控制现状描述阶段
(1)确定符合本单位的业务流程目录。项目组在前期工作的基础上,结合调研的部分地区公司的实际情况,已经制定了标准的业务流程目录。各单位需要将项目组所提供的流程目录,与本单位业务现状相对照,确定是否存在差异,最终确定本单位的业务流程目录。如果需要对标准业务流程目录进行增加,必须报股份公司内控项目组审核确定。
(2)完成业务流程的描述。在确定本单位的业务流程目录之后,按照项目组提供的业务流程描述模板来描述本单
11
位的业务流程,关于业务流程描述方法会在下面的培训中介绍。
(3)确定业务流程中现有的控制点。地区公司在描述业务流程的同时,确定现有的控制点,关于确定控制点的方法将在下一节培训中详细讲述。
(4)描述现有的控制措施并归集相关规章制度。地区公司需要根据已经确定的现有控制点,来描述现有的控制措施与方法,并相应归集有关的规章制度。
本阶段的工作在5月底前完成,各公司需要将业务流程描述成果经公司主管领导审核认可后,上报项目组。项目组在收到地区公司上报的流程图及说明后,将选取部分地区公司进行检查,以便最终确定业务流程。
2、控制现状差异分析阶段
(1)分析控制记录中的差异。各地区公司根据项目组提供的控制记录模板,将企业现有的控制措施与现有的规章制度进行对比,来发现控制记录的差异。控制记录的差异有两种情况:一是有控制,但没有形成正式的规章制度;二是由控制,也有相关规章制度,但没有达到项目组所确定的控制记录的要求。通过这两个方面的分析,确定内部控制记录上的缺陷,将差异分析资料整理上报项目组。本阶段的工作需要在6月底前完成。
(2)分析控制设计中的差异。地区公司根据项目组统
12
一确定的风险标准,结合本单位的具体业务,来确定各业务流程中存在的风险。将本单位现有的控制和已经确定的风险相对照,分析内部控制设计中的差异。确定现有的控制环节与方法是否可以规避存在的各种风险,如果现有的控制不能规避风险,就需要增加新的控制,各公司需要将差异分析的结果上报项目组。本阶段的工作需要在7月底前完成。
3、内部控制完善阶段
(1)总部通过对前面提到的地区公司两次上报的控制差异分析资料,并结合检查的结果,统一制定针对地区公司内部控制体系的改进意见并下发地区公司。
(2)地区公司根据总部下发的改进意见,采取具体措施进行改进,组织规章制度的修订、补充和完善。本阶段工作需要在10月底前完成。
(3)完善控制环境。在总部集中形成控制环境方面的文本记录之后,地区公司需要完善细化有关规章制度,建立符合内部控制体系要求的控制环境并加以贯彻执行。本阶段工作需要在12月底前完成。
4、内部控制运行有效性的测试阶段
在完善内部控制之后,就需要对我们现有的内部控制体系进行测试,这也是外部审计师必须审计的。在外部审计师审计之前,我们需要做好自查工作,对内部控制运行的有效性进行测试。本阶段的工作需要在2005年3月底之前完成。
13
(1)公司在测试内控有效性时,可以采取多种方法:询问、观察、检查、重复执行或者是以上几种方法的组合。根据风险的大小和某一内控程序消除风险的重要性,应该采取不同的测试方法,这样可以节约测试的成本以达到最佳效果。例如询问所得到的证据是最弱的,那么应该用它来测试那些风险很小或者不是重要的流程。如果是来测试风险很大的流程,例如货款的支付,就需要采取重复执行来测试。
(2)选择进行测试的时间。为了确定截至财务年度日期间的内控运行的有效性,测试程序应该在充分早的时间进行。并且随着新的变化,在接近年底时,我们还要进行更多更新的测试。
(3)确定测试的程度。在确定内控测试的程度时,应该考虑内控对实现公司目标的重要性,需要考虑的因素包括以下几个方面:
A、公司计划在何种程度上依赖某一控制能够防止或发现错报的有效性;
B、控制(例如,控制环境或信息系统总体控制)在何种程度上支持其它控制的有效性。通常,管理层应该更广泛地执行程序以评估这类控制的运行有效性;
C、控制的执行是人工操作的还是自动操作的。如果存在人工的监督或参与,管理层的评估程序应该更加广泛;
D、人工控制执行的频率;
14
E、控制的复杂程度;
F、以下方面是否存在变化: 可能负面影响控制设计或运行有效性的交易量或性质;控制设计;执行控制或业绩监控的关键人员。
公司在确定每个控制需要进行测试的项目数量时,需要运用判断。总体上讲,我们要求至少应该执行和外部审计师通常进行的测试量一致的测试,以支持其控制有效性的结论。
(4)针对测试结果进行补救。公司的内控经过测试之后,也许会是有效的,但有可能在某些方面还存在缺陷或没有考虑到的地方。那么我们需要针对测试后的结果进行补救,对不完善的地方再进行改进。这将是一个反复重复的过程,直到测试结果令人满意为止,可以为管理层对保证财务报告的内控有效性发表声明作基础。
5、维护更新阶段。内部控制体系建设是一个动态过程,并不是一劳永逸的。在测试补救阶段完成之后,只能说针对当前的情况,所建立的内部控制体系是有效的。但社会经济环境和企业自身的情况是不断变化的,业务流程与风险也是在不断更新的,这就需要我们随时关注内部控制体系建设,维护更新,以适应具体情况的变化。管理层每年都需要发表声明,来证明公司内部控制运行的有效性。所以,各地区公司不能满足当前工作的完成,而是要把内部控制体系建设作
15
为一项长期的工作来抓,不断继续下去。
(四)各阶段工作关注的重点
1、在业务流程和内部控制现状描述阶段,各部门领导要充分重视,抽调业务骨干在各项目组的协助下,绘制与本部门业务有关的流程。在这个阶段,应该注重学习,熟练运用技术软件,关注流程的完整性,力求流程的绘制能够全面细致,防止出现断层。在流程描述的形式上,严格统一,按照股份公司内控项目组下发的模板执行,不得随意更改。在流程绘制完毕后,要经相关部门确认,并提交主管领导审核,保证准确完整。在流程描述的基础上,分析现有的控制活动,归集相关管理制度,力求完整,不出现遗漏。
2、在差异分析阶段,要正确认识,积极配合。我们的内部控制体系建设,是针对规避生产经营中的各种风险而设计的,在对已经形成的管理制度、规范进行补充完善的基础上完成。因内控体系与传统的企业管理在体制和出发点上存在差异。因此在进行对比分析时,会反映出我们现有制度、规范在设计、操作和实施等方面的缺口。这些差异是体系和出发点不同而产生的,并不说明我们以前的管理工作做的不好。总部会针对已经确定的业务流程,评估财务报告重大错报的风险,形成中国石油的风险数据库。各地区公司应当结合本公司的具体情况,把缺口分析透、反映全,为制度的补充完善提供依据。
16
3、在内控完善阶段,各单位各部门要在缺口分析的基础上查缺补漏,注重操作性和可复核性。不仅要规定做什么,还要明确怎么做,如何复核等。在这个阶段我们还要将长期工作中形成的行之有效的管理经验和约定俗成做法,通过文档记录下来,传承下去。
4、在内控的测试维护阶段,各单位要精心组织,积极配合,持续建设。在测试样本的选择上,范围要广,数量要多。对高风险的业务环节,要采取多种测试手段,选取大量样本,反复测试。注重在财务报告的不同阶段进行测试,要进行动态管理。在测试没有通过的环节,要高度重视,立即设计补救方案。然后,针对补救方案再进行反复完善与测试,直到通过为止。在现阶段工作完成后,需要持续建设公司内控,以适应变化的需要。
五、关于内部控制体系建设的几点要求
内部控制体系的建设没有先例和成功的范例可以借鉴,只有依靠科学的方法和集体的智慧与努力才能达到最终目标。同时,内部控制体系的建设也是一项既艰巨又光荣的工作,艰巨是因为这个项目涉及到生产经营的各个环节,是一个十分庞大的项目。说光荣,是因为这个项目对今后股份公司提高效益和效率十分重要,对股份公司今后的发展会产生深远的影响。下面,我就如何组织内控建设的实施工作再强调几点具体意见:
17
1、按时保质完成各阶段的工作
各地区公司一定要严格按照项目组确定的工作内容和时间要求来进行本单位的内部控制体系建设。每一阶段的工作需要在规定时间内完成,一切工作成果均需要经地区公司主管领导审核后上报项目组,以保证内部控制体系建设的进度和质量。
2、组织好本公司的培训
各位前来参加培训的人员不仅是本单位内部控制体系建设中的指挥员,还是战斗员,同时也是教练员,承担着二次培训的任务。各单位回去后一定要组织好本公司的培训。内控建设是一项全员参与的工作,光靠参加培训的几个人是不行的。培训的内容要层层传递,让公司所有参与内控建设的员工明白内控建设的重要性以及如何开展内控建设,以达到培训的目的。
3、要保持良好的沟通
一是在内部控制体系建设过程中,无论是总部与地区公司之间、地区公司之间以及地区公司内部都要保持充分的沟通。二是内控建设需要公司各个层次、各个部门来共同完成,所以在开展工作时,各部门之间、部门与二级单位之间必须保持良好的沟通,出现问题及时向内控建设领导小组汇报,以便及时解决。
4、后续建设要保证
18
内控建设是一项长期的工作,必须坚持不懈。《萨班斯-奥克斯利法案》要求管理层每年就影响财务报告的内控运行有效性发表声明,并且需要经过外部审计师的审计与认可。随着时间的发展,外部环境与公司内部各个方面都会不断发生变化,同样内部控制的设计随时都可能发生改变,那么我们就需要针对这些改变来不断改进控制与管理,以期规避风险,提升管理水平。因此,经过这次的内控项目之后,并不意味这公司的内控建设已经完成,可以一劳永逸了,而是要针对变化而随时更新我们公司的内控设计。这是一个持续改进和不断优化的过程,需要我们长期不懈的坚持与努力,才能真正做到有效内控。
培训结束后,各地区公司应该按照项目组下发的业务流程目录,立即着手开始绘制本单位的业务流程,并分析内部控制现状。与此同时,项目组将组织穿行测试,帮助发现各公司在内部控制现状中存在的不足,为改进完善内部控制体系奠定良好的基础。
通过这次培训,相信大家对怎么开展工作都会有一个大概的认识,但也可能还有很多问题,这是非常自然的,因为这项工作太新,我们了解得知识还很有限,许多东西需要在动手去做的过程中慢慢摸索。希望在以后的内控建设中,各地区公司要和我们项目组保持良好的沟通,有什么问题要及时交流,共同努力,保证工作进度,顺利完成任务。
19
谢谢大家!
20
因篇幅问题不能全部显示,请点此查看更多更全内容