内控知识讲座电子教案.ppt

单击此处编辑母版标题样式,单击此处编辑母版文本样式,内控知识讲座,内部控制管理办公室,二七年八月,主要内容,一、内控知识简介,二、内控业务流程,三、测试整改介绍,1,、,内控背景知识,2,、内控基础知识,3,、内控体系的五要素,一、内控知识简介,自,2000,年起，美国社会相继出现了安然、世通、施乐等一批会计丑闻事件，使得资本市场诚信危机震撼了美国及整个国际社会，为了提高民众对金融市场及政府经济政策的信心，美国总统布什于,2002,年,7,月,30,日,签署了,萨班斯,奥克斯利法案,（简称萨奥法案）。,1,、,内控背景知识,该法案,404,条款,对上市公司建立并保持有效的内部控制制度作出了明确的规定。法案要求在美国上市的外国公司要在,2005,年,4,月,15,日以后的财政年度向美国证监会（,SEC,）报备美国版年报时执行该条款，即在披露年报时要有,内控体系建立并有效运行的证据。,1,、,内控背景知识,中国石油天然气股份有限公司是一家在美国及香港上市的国际性大型企业，作为境外上市公司，根据,萨,奥法案,要求，必须建立并保持有效的内部控制制度。,同时，内控体系的建立也是为了进一步推动企业科学管理、规范管理和依法管理，通过强化相关部门的控制职责，实现对风险的有效控，进一步提升公司的管理水平。,1,、,内控背景知识,2003,年,12,月，股份公司成立了内部控制项目组，以,COSO,框架为基础，补充完善现行规章制度，开展内部控制体系建设工作。,2005,年,12,月股份公司内部控制项目组正式改为内部控制部。,2005,年,12,月,27,日，股份公司召开内控工作视频会，总裁蒋洁敏签署,中国石油天然气股份有限公司内部控制管理手册,发布令，股份公司内部控制工作进入实施阶段。,1,、,内控背景知识,*,油田作为中国石油的地区公司，必须按照股份公司的统一规定和要求开展内部控制体系建设。同时，通过内部控制体系，建立一套统一、完备、内容涵盖油田经营管理各个领域的内部控制体系。从而确保油田各项工作的统一、规范、有序运行；最大限度的减少、规避风险；保证资产的安全、完整、会计资料的真实、准确，进一步提高油田的经营管理水平。,1,、,内控背景知识,2004,年,4,月油田,内控体系建设工作启动，同年,12,月,成立了内部控制委员会和内部控制管理办公室，在企管法规处下设了内控科负责油田内部控制体系的建设和实施工作。,1,、,内控背景知识,1,、,内控背景知识,2006,年,2,月编制完成了油田,内部控制管理手册,。,2007,年,1,、,6,月完成改版修订。,1,、,内控背景知识,2006,年月日油田召开,内部控制管理手册,发布会，周总在会上宣读了,手册,发布令，标志着油田内部控制工作进入实施阶段。,2006,年,8,月油田顺利通过股份公司内控评价测试。,1,、,内控背景知识,2007,年,5,月完成了三个控股公司能源公司、造价公司、设计公司的内控手册编制和信息化转换工作。目前正进行油建公司的内控手册编制工作。,根据集团公司和股份公司重组整合并账要求，从,2007,年,6,月,1,日起,，将“*石油勘探开发公司”所有单位的核算全部并入“中国石油天然气股份有限公司*油田分公司”账套中核算。至此，油区两公司实现完全合并，供应处所有业务也就纳入测试范围。,1,、,内控背景知识,一、内控知识简介,1,、,内控背景知识,2,、内控基础知识,3,、内控体系的五要素,2,、,内控基础知识,（,1,）内部控制的定义,（,2,）内部控制体系建设的内容,（,3,）内部控制体系建设的意义,2,、,内控基础知识,（,1,）,内部控制的定义,内部控制是一个由企业董事会、管理层和其他员工实施的，为实现经营的效果和效率、财务报告的可靠性和遵守适用法律法规（即合法性）等各类目标，提供合理保证的过程。,2,、,内控基础知识,从内部控制的定义，我们可以看出：,它由,董事会,、,管理层,和,其他人员,共同实施,。,它实现以下,目标,：,经营的效果和效率,财务报告的可靠性,法律法规的遵从性,它是一个,过程,。,它提供,合理,保证,。,2,、,内控基础知识,（,2,）,内部控制体系建设的内容,内部控制体系建设采用目前被国际社会广泛认可的,COSO,框架,为基础，结合国内的相关法律法规，根据管理实际，从梳理主要业务流程出发，将公司各部门业务确定分类。它基本涵盖了公司的各个层次，涉及到管理的各个方面，贯穿于经营活动的全过程。,2,、,内控基础知识,主要包括：制定内部控制体系框架、建立业务流程目录、业务流程描述和确定重要业务流程；建立风险数据库、风险控制分析文档；补充完善现行文件制度；启动跟单作业、开展控制环境建设和信息系统规划实施；确认关键控制；开展内控体系测试、检查等工作。,2,、,内控基础知识,（,3,）内部控制体系,建设的意义,通过实施内部控制体系，梳理公司内部主要业务流程，对关键流程进行风险分析，找出风险点和控制缺口；通过强化相关部门的控制职责，实现对风险的有效控制。在满足美国萨奥法案,404,条款要求的基础上，有助于完善现代企业制度，进一步提升公司的管理水平，有效实现风险控制由“事后处理”向“事前防范”的转变，推动公司效益的提高。,一、内控知识简介,1,、,内控背景知识,2,、内控基础知识,3,、内控体系的五要素,、内控体系的五要素,内部控制体系由相互关联的五项要素组成，它们来自管理层经营企业的方式，并融入管理过程本身。,这五项要素是：,控制环境,、,风险评估,、,控制活动,、,信息与沟通,、,监督,。,、内控体系的五要素,控制环境,监 督,风险评估,信息与,沟通,控制活动,信息与,沟通,、内控体系的五要素,（,1,）控制环境,控制环境是内部控制体系的基础，是有效实施内部控制的保障，直接影响着内部控制的贯彻执行、企业经营目标及整体战略目标的实现。,主要包括：职业道德、员工的胜任能力、管理理念和经营风格、组织结构、权利和责任的分配、人力资源政策与措施、反舞弊等方面。,、内控体系的五要素,（,2,）风险评估,风险评估是识别及分析影响企业目标实现的风险的过程，是风险管理的基础。,风险评估过程包括：确立企业发展目标、风险识别、风险分析、风险反应。,、内控体系的五要素,（,3,）控制活动,控制活动是确保管理层的指令得到贯彻执行的必要措施，存在于整个机构内所有级别和职能部门。,包括批准、授权、查证、核对、经营业绩评价、资产保全措施和职责分工等活动。,、内控体系的五要素,（,4,）信息与沟通,信息与沟通是企业经营管理所需的信息被识别、获得并以一定形式及时地传递，以便员工履行职责。,信息是指来源于企业外部及内部，与经营相关的财务及非财务信息，它包括内部信息和外部信息。,沟通是指信息在企业内部各层次、各部门以及在企业与客户、供应商、监管者和股东等外部环境之间的传递。,、内控体系的五要素,（,5,）监督,监督是对内部控制体系有效性进行评估的持续过程，包括持续监督、独立评估和缺陷报告等。,主要内容,一、内控知识简介,二、内控业务流程,三、测试整改介绍,二、业务,流程介绍,1,、业务流程分类和分级,2,、业务流程说明,3,、业务流程介绍举例,1,、业务流程分类和分级,（,1,）业务流程分类和分级,业务流程,横向,分类，,纵向,分级。,横向上分为三类：战略发展流程（用,SP,表示）；核心业务流程（用,KP,表示）；经营管理流程（用,MP,表示）。,纵向上最多分为,5,级,，其中,1-3,级为股份公司规定流程，不准改动，,4,、,5,级可以由各地区公司根据实际情况制定。,1,、业务流程的分类和分级,（,2,）流程命名与编码,“,业务分类代码,”,+,“,流程编码,”,+,“,流程名称,”,例如：,MP,02.01.02.03.02,日常账务处理,MP,为业务分类代码，代表经营管理；,02.01.02.03.02,为流程编码，其中,02,为一级流程，,01,为二级流程，,02,为三级依次类推。,日常账务处理,为流程名称。,二、业务,流程介绍,1,、业务流程分类和分级,2,、业务流程说明,3,、业务流程介绍举例,2,、业务流程说明,（,1,）业务流程目录,在流程目录中分,基本,业务流程目录和,重要,业务流程目录。,基本业务流程目录是,手册,中所有的业务流程的总和。,重要业务流程目录就是带有关键控制的业务流程。,2,、业务流程说明,2,、业务流程说明,（）流程目录与流程图、,RCD,文档、控制程序文件的关系,在业务活动控制中，流程目录中的一项末级流程对应一个流程图，关键控制的流程还对应一份风险控制文档,(RCD,),、一个控制程序文件。,2,、业务流程说明,2,、业务流程说明,2,、业务流程说明,2,、业务流程说明,2,、业务流程说明,（,3,）流程图,流程图是指按照规定的格式和图例描述业务流程的图形化表示。它由文本和流程上下两部分组成。,2,、业务流程说明,文本背景中包含,8,个要素：单位、编制人、业务主管部门、业务参与部门、流程名称、流程编号、最后更新的时间、版本。,2,、业务流程说明,流程图的横向是职能带，代表职能组织，顺序从左向右一般按级别排序；纵向由上而下表示流程发展的时间或逻辑等顺序。,2,、业务流程说明,（,4,）流程图中的符号说明,风险。表示业务流程步骤中存在的风险，标识在存在风险的步骤的左下角，同时用数字进行编号，如,1,、,2,等，表示该流程存在第,1,、,2,等个风险。,2,、业务流程说明,风险控制。表示业务流程步骤中针对风险的控制点，标识在实施控制的步骤的右下角，编号与风险点编号相对应。,1.1M,，第一个,1,表示第一个风险，第二个,1,表示针对第一个风险的第一个控制；,M,表示该控制是人工控制。对,1.1A,中的,A,，,A,表示该控制是自动控制。,2,、业务流程说明,描述各级组织对应的职位,描述各级组织机构,描述多个不同单位、部门或岗位的集合；或项目临时组织、委员会；或股份公司外部单位,2,、业务流程说明,描述流程运行过程中发生的状态变化,表示和该流程有前后关系的另一个流程,描述一个手工或系统完成的业务活动,2,、业务流程说明,描述业务实践中使用的应用系统，如,ERP,、,FMIS,等,表示以文本形式存在的文件、表单等,表示在应用系统数据库中存储的文档,2,、业务流程说明,（,5,）风险控制文档,（,RCD,）,以表格形式确认每个流程、工作步骤中存在的风险和已建立的控制，体现并规范风险与相应控制的分析过程。,主要包括风险类别、风险描述、控制目标的类型、控制目标具体描述、现有控制措施、控制方法、控制类型、控制频率、控制实施证据、控制文件的文号及名称等内容的文档。,2,、业务流程说明,2,、业务流程说明,（,6,）控制程序文件,控制程序文件是指对重要业务流程中的风险和控制进行统一描述的规范性文件。,2,、业务流程说明,二、业务,流程介绍,1,、业务流程分类和分级,2,、业务流程说明,3,、业务流程介绍举例,3,、业务流程介绍举例,业务流程介绍举例,下面以供应处,“,MP05.01.02.02,存货盘点,”,流程为例，从流程开始到结束具体来说明这一业务的过程。,主要内容,一、内控知识简介,二、内控业务流程,三、测试整改介绍,三、测试整改介绍,1,、测试的定义、分类,2,、测试的方法、方式,3,、例外事项及缺陷认定,4,、测试注意事项,5,、内控测试整改,1,、测试的定义、分类,测试的定义：,内控测试是指依照一定的程序和方式，对内部控制,设计,和,运行,的有效性进行检查的过程。,1,、测试的定义、分类,测试的目的,:,(1),提供关于财务报告的内控执行有效性的证据。,(2),发现控制文件或控制执行的不足。,(3),为管理层提供足够的证据，对内部控制有效性做出结论。,1,、测试的定义、分类,测试的分类：,根据测试的组织情况可以分为：,(1),地区公司测试（自我测试）,(2),管理层测试（评价测试）,(3),外部审计测试,1,、测试的定义、分类,根据测试中的例外事项和样本可以分为：,(1),改进测试,(2),补充测试,(3),更新测试,1,、测试的定义、分类,根据测试目标及测试内容的不同分为：,(1),跟单测试,(2),关键控制测试,(3),公司层面测试,(4),信息系统总体控制测试,三、测试整改介绍,1,、测试的定义、分类,2,、测试的方法、方式,3,、例外事项及缺陷认定,4,、测试注意事项,5,、内控测试整改,2,、测试的方法、方式,内控测试的方法：询问、观察、检查、再执行。,询问是通过口头或书面的方式对执行控制的相关人员提出问题，根据被询问人的回答确定控制是否存在，具体形式有访谈、调查问卷等。,观察是现场见证正在执行的控制，从而判断控制是否存在。,2,、测试的方法、方式,检查是通过查看与控制相关的文档性记录，对控制有效性做出判断。,再执行是通过重新执行控制活动以确定控制是否有效。,2,、测试的方法、方式,测试重点介绍：,（）跟单测试,（）关键控制测试,（）公司层面测试,（）信息系统总体控制测试,2,、测试的方法、方式,（）跟单测试,跟单测试是对业务层面所有重要流程设计和执行有效性的检查。,它是从业务发生到反映在公司的财务报告里的整个过程中，对业务进行跟踪的一个活动。,2,、测试的方法、方式,跟单测试包括从各项业务的发生点（如提出采购计划、销售订单、报销申请等），到最后财务入账、进入财务报表的整个过程以及对各重要流程的控制，包括针对舞弊风险的控制。,2,、测试的方法、方式,（）,关键控制测试,关键控制测试是指以股份公司下发的,关键控制管理文件,为标准，通过抽样的方式，对业务活动层面的关键控制执行有效性进行的检查。,2,、测试的方法、方式,关键控制测试的内容：是指股份公司,关键控制管理文件,规定业务流程中关键控制，包括各种手工措施以及财务系统、资产管理系统、资金管理系统等系统中的应用控制。,2,、测试的方法、方式,（）公司层面测试,是对确保管理层获得在公司内部各个领域都有适当的控制机制在发挥作用的检查。包括：职业道德、信访举报和违规处理、培训等十七个主题。,2,、测试的方法、方式,（）信息系统总体控制测试,信息系统总体控制测试是对信息技术管理和运行有效性进行的检查。,信息系统总体控制测试包括：财务管理信息系统（,FIMS,）、资金管理信息系统以及与财务关联的信息系统。,三、测试整改介绍,1,、测试的定义、分类,2,、测试的方法、方式,3,、例外事项及缺陷认定,4,、测试注意事项,5,、内控测试整改,3,、例外事项及缺陷认定,（,1,）,例外事项,根据内控测试情况，通过分析确认内部控制在设计层面、执行过程中，对没有按照规定要求进行设计和执行的的问题称为例外事项。每出现的一个问题就称为一个例外事项。,3,、例外事项及缺陷认定,（,2,）缺陷认定,缺陷认定是以公认的方法和标准，对内部控制存在的,设计,和,执行,有效性方面的问题进行分析，进而评估控制缺陷对导致财务报告错报的影响程度以及发生可能性的过程。,3,、例外事项及缺陷认定,（,3,）缺陷划分,以控制缺陷导致财务报告错报的影响程度以及发生可能性为标准，缺陷划分为：,一,般,缺,陷,重,要,缺,陷,实,质,性,漏,洞,三、测试整改介绍,1,、测试的定义、分类,2,、测试的方法、方式,3,、例外事项及缺陷认定,4,、测试注意事项,5,、内控测试整改,4,、测试注意事项,（）公司层面的访谈,管理层,相关岗位,一般员工,控,制,环,境,4,、测试注意事项,（）业务层面的访谈,熟悉、掌握流程图的每一个步骤,按照,流程图描述,重点风险控制和关键控制点,4,、测试注意事项,（）,跟单及关键控制的测试,认真阅读风险控制文档，理解并熟悉控制内容、实施方法等。,注意提供的表单证据是否符合风险控制要求。,4,、测试注意事项,（）注意点,4,、测试注意事项,半年,年度,控,制,频,率,三、测试整改介绍,1,、测试的定义、分类,2,、测试的方法、方式,3,、例外事项及缺陷认定,4,、测试注意事项,5,、内控测试整改,5,、内控测试整改,(1),内控测试整改的目的,内控测试整改是对在测试过程中发现的例外事项，进行改进，使之符合测试要求的行为。,缺陷评估之前采取的补救措施,强化执行,要求,5,、内控测试整改,(2),内控测试整改的形式,股份公司内控部,*油田内控办,整,改,通,知,书,各 各,地 相,区 关,公 单,司 位,5,、内控测试整改,(3),内控测试整改的方式,设,计,层,面,执,行,层,面,内控办和相关单位，根,据测试发现，按照要求,对设计控制进行改进。,执行单位，根据测试发,现的问题，按要求采取,措施进行执行。,谢谢大家！,