中国石化内控评价.ppt

1,第五讲 内部控制自我评价,2,内容提要,一、内部控制评价的发展二、中国石化内控体系简介三、中国石化内控自我评价,3,内容提要,一、内部控制评价的发展,4,内部控制的演进,内部牵制(1940年代以前)：帐目相互核对，不相容岗位分离内部控制制度(1940-1970年代)：内部会计控制、内部管理控制内部控制结构(1988)：控制环境、会计制度和控制程序 内部控制整体框架(COSO,1992)：五要素企业风险管理框架(COSO,2004)：八要素,5,企业内部控制整体框架,内部控制是为提高风险管理能力和经营管理水平，由公司董事会、管理层及其全体员工实施的，为经营活动的效率和效果、财务报告的可靠性、相关法律法规的遵循性等目标的实现而提供合理保证的过程。,COSO 扩充三个要素，2004年9月推出：“企业风险管理整体架构”,控制环境,风险评估,控制活动,信息与沟通,监控,COSO报告：内部控制综合性框架,6,COSO企业风险管理整体框架,运营,公司层面,分支机构,战略,报告,遵循,分、子公司,业务板块,监控,信息与沟通,控制活动,风险应对,风险分析,风险识别,目标设定,内部环境,企业风险管理整体框架,（ERM）,7,企业内部控制的类型,合规内控 管理内控 价值内控,8,内部审计与内部控制,内部审计是企业内部控制的重要组成部分,1986年4月最高审计机关国际组织发表总声明：“内部控制作为完整的财务和其他控制体系，包括组织结构、方法程序和内部审计。”1992年美国C0S0报告提出，内部控制包括控制环境、控制活动、信息和沟通及监督五个因素。其中“监督”因素也包括内部审计。我国今年7月1日实施的“企业内部控制基本规范”，其中内部环境包括了内部审计（第五条、第十五条）。,9,内控评价伴随审计发展,内部控制评价是现代审计的基础,内部控制经历不同的发展阶段，内部控制概念逐步扩展，推进审计方法的变革。无论账项基础审计、制度基础审计，还是在风险基础审计中，内控评价都是审计工作不可或缺的组成部分。现代审计能够通过对内部控制测试和评价，确定进一步审计的方向，提高审计工作效率，降低审计成本和审计风险。,10,内控评价在审计中的应用,外审：侧重于把内控评价作为一种审计方式，其目的是在了解、测试与会计报表相关的内部控制的基础上评估其控制风险，再根据控制风险评估结果修订审计计划和确定实质性测试的性质、时间和范围，进而对会计报表发表意见。内审：侧重于把内控评价作为一项审计内容。也可以根据审计的目的，把内控评价作为一种审计方式。,根据评价主体的不同，内控评价可分为注册会计师执行的内控评价和内部审计人员执行的内控自我评价。,11,内部控制评价指引,内部控制审核指导意见（2002年2月）内部审计具体准则第5号内部控制审计（2003年6月）内部审计具体准则第16号风险管理审计（2005年5月）美国PCAOB发布第5号审计准则（2007年6月）企业内部控制评价指引和企业内部控制鉴证指引（待颁布）,12,一般内控测试与评价,健全性测试和评价,符合性测试和评价,综合评价,企业内部控制测试和评价,13,内部控制审计程序,调查了解企业内部控制,符合性测试,综合评价被审企业内部控制,确定审计范围、重点和方法,实质性审计,审计报告,评价企业内部控制的健全性,不健全,无效,有效,健全,14,内部控制审计调查,企业基本情况,货币资金,投资业务,采购业务,销售业务,会计政策,会计电算化2,关联交易,控制环境,筹资业务,固定资产,存货管理,会计系统,会计电算化1,会计电算化3,企业内控审计调查(15）,15,内容提要,二、中国石化内控体系简介,16,中国石油化工股份有限公司简介,中国石油化工股份有限公司（简称“中国石化”）是中国最大的石油产品和主要石化产品生产商和供应商，中国第二大原油生产商，世界第三大炼油公司，拥有比较完备销售网络，境内外（上海、香港、纽约、伦敦）四地上市的股份制企业。2008年中国石化集团公司列世界500强第16位。中国石化现有全资子公司、控股和参股子公司、分公司等共90余家，包括油气勘探开发、炼油、化工、产品销售以及科研、外贸等，经营资产和主要市场集中在中国的东部、南部和中部地区。,17,中国石化组织结构,18,中国石化内部控制定位,美国萨班斯-奥克斯利法案(2002)香港联交所企业管治常规守则(2006)上海证交所上市公司内部控制指引（2006)国资委中央企业全面风险管理指引(2006)五部委企业内部控制基本规范(2008),财务、管理信息真实可靠；保障资产安全完整；规范经营行为，提高风险管理水平；促进健全制度化管理体系；完善法人治理结构。,法律法规要求,企业自身需要,19,中国石化内控制度体系,内部控制度体系,20,内部控制手册,21,内部控制手册的结构,内部控制基本要求,按业务分类控制的具体程序和措施,财务报告计划矩阵和业务控制矩阵,相关重要附件,不同管理层次、级别的权限规定,内控自我评价与考核办法,22,内控手册总则,目的和意义、定义、原则、适用范围内部环境风险评估控制活动信息与沟通内部监督内部控制手册结构、生效、更新,总则包括七个方面,23,内部控制是由董事会、监事会、管理层和全体员工实施的、为经营管理合规合法、资产安全、财务报告及相关信息的可靠性，经营活动的效率和效果、发展战略的实现提供合理保证的过程。主要由内部环境、风险评估、控制活动、信息与沟通、内部监督等五个要素构成。,内控手册总则,（一）内部控制定义、原则、适用范围,24,内控手册总则,合规性原则全面性与系统性原则重要性原则内部牵制及不相容原则适应性原则包容性原则成本效益原则,25,内控手册总则,26,内控手册总则,（二）内部环境,企业文化：按照中石化文化建设纲要进行整合 员工守则：守法纪、讲诚信治理结构：明确董事会及其审计委员会、监事会、总裁班子内控职责组织机构：授权董事长决定机构，委派子公司股东代表、董事、监事；内控机构设置及其职责责任分配与授权：明确岗位分离，授权管理人力资源政策：激励与约束相结合反舞弊机制：建立举报投诉制度和举报人保护制度并公开内部审计：两级审计机构，审计部门的内控职责,27,内控手册总则,总部内部控制组织机构,财务部,法律事务部部,审计部,股份公司内部控制领导小组,组长：总裁,信息系统管理部,内控办公室,人事部,28,内控手册总则,分子公司内部控制组织机构,企业内部控制领导小组,组长：分公司总经理,财务处,企管处,法律事务处,审计处,内控办公室,人事处,信息处,29,内控手册总则,（三）风险评估,根据目标，收集信息，确定风险承受度；内部风险：高管人员、体制机制、技术创新、财务状况、安全环保等；外部风险：经济市场政策、法律、社会、科技、自然环境等；风险评估机制：主要针对责任内控流程。,30,内控手册总则,（四）控制活动,根据风险评估结果，采用相应控制措施，将风险控制在可承受度之内；控制措施：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、计划控制、预算控制、合同管理控制、资金支付控制、信息技术控制、运营分析控制和绩效考评控制等；综合运用控制措施：手工控制与自动控制、预防性控制与发现性控制相结合；建立重大风险预警机制和突发事件应急处理机制。通过编制业务流程具体控制：18大类、59个流程。,31,内控手册总则,（五）信息与沟通,信息资源归口管理，完善信息搜集机制；信息系统集中管理，完善系统沟通平台；重要信息及时传递董事会、监事会和总裁班子；对外信息披露由董秘局和总裁办公室审核、提供。,32,内控手册总则,（六）内部监督,日常监督：常规、持续性监督，贯穿整个生产经营过程；专项监督：针对内部控制某一或某些方面的监督检查；建立两级内部控制监督检查机制；股份公司每年评价，出具内部控制自我评价报告。,33,内控手册总则,（七）内部控制手册结构、生效、更新,结构六个部分生效董事会审批更新每年一次,34,内控手册业务流程,35,内控手册业务流程,采购类业务流程,销售类业务流程,36,内控手册业务流程,一般物资采购业务流程,37,内控手册业务流程,一般物资采购业务流程（续）,（三）业务流程步骤与控制点,物资供应职责的界定,物资计划编制与审核,采购渠道确定与控制,采购价格确定与控制,框架协议和采购合同签订与审批,供应过程控制,绩效评价、考核与监督,采购资金使用和控制,38,内控手册业务流程,一般物资采购业务流程控制点举例：1.5物资供应部门内部实行计划、采购、质检、合同审核、申请付款等环节相互监督的分段管理模式。【ERP】各分（子）公司物资供应部门在ERP系统中设计计划、采购等岗位的权限时，应遵从内部牵制及不相容原则。5.3【ERP】对于超过合同有效期3个月以上未执行完成的采购订单，分（子）公司物资供应部门要及时核销。维护采购订单交货容差时依据分（子）公司相关规定执行。,39,内控手册业务流程,（四）相关制度目录（制度后标号为内控手册配套规章制度汇编目录索引号）1.关于印发中国石油化工股份有限公司对外贸易管理规定的通知（石化股份外2003274号）1.9.1,一般物资采购业务流程（续）,40,内控手册业务流程,一般产品销售业务流程,41,内控手册业务流程,一般产品销售业务流程（续）,（三）业务流程步骤与控制点,42,内控手册业务流程,一般产品销售业务流程控制点举例：2.1主数据维护员按审核后的客户信息在ERP系统中维护客户主数据。系统信用主数据应设置为高风险级别或零信用。2.2分（子）公司营销和财务等部门共同建立客户信用动态档案，并至少每年更新一次，由不相容岗位人员提出划分、调整客户信用等级的方案；根据客户信用等级和企业信用政策，拟定客户信用具体的限额和时限，经营销及财务部门负责人审核后，报分（子）公司经理或信用管理领导小组审批。财务部门按照审批结果在ERP系统中维护客户信用主数据。,43,内控手册业务流程,（四）相关制度目录（制度后标号为内控手册配套规章制度汇编目录索引号）1.关于印发中国石油化工股份有限公司应收款项管理实施细则的通知（石化股份财 2007506号）-1.6.4,一般产品销售业务流程（续）,44,内控手册业务流程,2009版内控手册共计1272个控制点，分类如下：,45,内控手册控制矩阵,为更好地遵循外部监管要求，同时便于落实内部管理责任，编制财务报告计划矩阵和每项业务的控制矩阵。,46,内控手册控制矩阵,财务报告计划矩阵：旨在将会计报表项目和监管事项与业务流程建立联系，以确保内控制度合理保证对外披露的会计报告及重大事项真实可靠。,47,业务控制矩阵：明确每一控制点的“目标、风险、责任单位、不相容岗位、分值、记录文档、相关制度索引、会计报表认定、会计报表”，便于落实内部控制责任。特别是：对每一控制点都进行“业务风险”描述，容易识别内部控制设计是否必要和充分，体现内部控制以全面风险管理为导向的基本要求。,内控手册内控矩阵,48,内控手册权限指引,授权控制是内部控制的重要手段。为适应公司一级法人为主的经营体制，达到“授权有度、风险受控”的目的，按照分级授权的指导思想，特别制定了权限指引，统一规范权限管理。,（一）制定权限指引，明确责任和授权,49,内控手册权限指引,（二）权限控制指标的定义,权限指引中的权限，是指权利人为履行职责所享有的决策审批的权利及承担的责任。不包括过程中的建议权、拟议权。,50,内控手册权限指引,（三）权限控制指标的设置原则,内部往来业务从宽，直接对外的业务事项从严；经批准的预算（计划）内授权从宽，预算外从严；常规授权从宽，特别授权及转授权从严。,51,内控手册权限指引,按照企业的业务规模分为大、中、小三类；不同板块的企业，根据业务性质设置不同权限；分子公司可以制订向下延伸的权限级别。,（四）权限指引的企业分类及应用,52,内控手册权限指引,（五）权限指引的结构,权限指引列表，以矩阵式表格描述，由横向、纵向两个指标体系构成。编制权限指引说明，对权限指引表中事项进行统一解释。,53,内控手册权限指引,54,内控手册检查评价与考核,总部检查评价 内控领导小组（办公室）组织年度综合检查评价 审计部独立检查评价(不少于25家)并检查总部 单位自查评价 企业自查评价：部门内控流程测试、综合检查评价（审计参与）总部部门自查及对口抽查评价,两级监控评价机制,（一）检查评价,55,内控手册检查评价与考核,设“内部控制执行情况”指标:根据年度综合检查评价结果及执行情况，只扣不奖。高层管理人员业绩奖金考核：设2分、5分、10分三档单位经营目标考核：设1分、2分、5分三档,（二）内控考核,56,内控手册附则,内控业务流程总部部门联系人内部控制手册业务流程适用单位内控手册配套规章制度目录及索引 员工守则,附则,57,内容提要,三、中国石化内控自我评价,58,中国石化内控评价,自2005年已组织四次全系统内控综合检查,管理层内控自我评价 外部审计师对财务报告内控审计,59,内控自我评价依据,内控检查评价与考核办法及具体指引依据内控手册及相关制度，检查内部控制健全性（设计）依据适用的内容、范围，检查内部控制符合性（执行）,60,内控自我评价依据（续）,61,内控自我评价依据（续）,企业内控检查评价指引包括：注明具体检查步骤方法的工作底稿、案例分析等总部层面内控检查评价与考核实施细则,62,内控自我评价方式,中国石化从“量化评分”和“内控缺陷认定”两个方面进行内控评价，满足内控考核和外部监管的要求。,63,内控自我评价范围,总部层面：各管理部门企业层面：各管理部门、所属单位,64,内控自我评价流程图,编制内部控制自我评价报告,修订完善,补救整改,组织现场检查,制定检查方案，报内控领导小组批准,报告管理层,健全性测试,符合性测试,检查汇总结果,集中培训检查人员,65,内控自我评价,（一）制定年度内控检查方案（二）检查前培训（三）现场检查（四）跟踪整改（五）汇报检查结果及修订完善（六）编制内控自我评价报告及对外披露,66,制定年度内控检查方案,召开内控领导小组会议批准检查方案,检查范围及重点（总部部门、企业层面）检查人员选拔及分组 检查前培训安排 检查主要事项,67,内控自我评价,（一）制定年度内控检查方案（二）检查前培训（三）现场检查（四）跟踪整改（五）汇报检查结果及修订完善（六）编制内控自我评价报告及对外披露,68,检查前培训,讲解内控检查评价指引（方法、案例）合理分组，熟悉被检查单位基本情况 分组讨论，集中答疑,69,内控自我评价,（一）制定年度内控检查方案（二）检查前培训（三）现场检查（四）跟踪整改（五）汇报检查结果及修订完善（六）编制内控自我评价报告及对外披露,70,现场检查评价步骤,见面会掌握基本情况,分析/定范围,抽样、访谈等,缺陷认定填写底稿,签字确认编写报告,讲评会交换意见,汇报内控办公室,审计部检查结果,现场检查小组,评分/评价,71,1、组织现场检查小组,组长负责与企业班子成员谈话，参加见面会及讲评会；副组长负责检查内控环境（访谈部门负责人）、企业自查情况，并撰写现场检查报告；检查人员按内控流程分组(以内控管理人员为主，搭配各类专业人员、特别是IT专业人员）,分配成员任务,72,2、召开见面会,通过企业介绍，掌握基本情况,企业基本情况（生产经营业务范围、组织机构、经理班子成员及其分工、财务管理核算体制、ERP建设和实施情况等）；检查区间生产经营计划和预算完成情况；内部控制实施情况（内控宣传培训、实施细则及相关制度修订完善、日常内控工作机制、单位测试自查及整改情况）；最近一次审计或财务稽核查出问题的整改情况等。,73,3、分析材料，确定范围及重点,实施细则及配套规章制度 内控执行及自查整改材料 内控流程责任分工（责任部门、责任人、联系人）企业组织架构图（领导分工、部门职能、重要岗位人员名单）检查区间的会计报表、经济活动分析材料等 最近一次审计或财务稽查问题及整改材料 获得ERP 最大查询权限,74,分析材料，确定范围及重点（续）,选择检查单位（企业所属全资、控股、参股子公司原则上全部检查，并至少抽查3个直属单位）选择重点内控流程和控制点（必检内容）确定重点检查样本 加强内部沟通，适时调整检查内容和方向,75,4、现场检查内容,内控环境、要素评价（10分）企业自查情况评价（20分）业务流程综合检查评价（70分）内部控制缺陷认定（修正总得分）,76,内部环境、要素评价,检查评价内容主要包括7个方面（访谈、检查证据）：诚信与道德责任分配与授权组织结构管理哲学和经营风格 人力资源政策与实务信息与沟通监督,检查组长或副组长填写“内控环境检查评价表”,77,企业自查情况评价,企业责任部门内控流程测试情况（检查实际效果）企业内控自查情况（至少验证5个流程）,复查核实，副组长填写“企业自查情况评价表”,78,业务流程评价,对照内控手册及相关制度，分析适用流程、控制点（健全性）判定业务是否发生，确定应检查的控制点（符合性）参照检查工作底稿中拟定的检查步骤和方法，结合实际选择抽样、穿行测试、检查证据、实地观察、对比分析、访谈等方法。,（1）分析适用流程，判断业务发生,79,业务流程评价（续）,不相容岗位分离 控制点执行情况 执行了控制点规定的控制步骤或控制方法（“控制点描述”、“检查步骤及方法”）未突破规定的权限（权限指引）实现规定的控制目标（实质性检查）及时提供有效的控制点相关资料,同时符合,（2）控制点得分/扣分的判断方法,80,业务流程评价（续）,控制点检查评价后，填写“内控流程检查工作底稿”与财务报告相关的控制点（控制矩阵已注明），还应填写“财务报告抽样记录表”“内控流程检查工作底稿”和“财务报告抽样记录表”需经检查人、被查单位责任人签定确认。,（3）分析是否与财务报告相关，填写检查记录,81,业务流程评价（续）,内控流程综合检查评价得分=控制点检查评价得分70/控制点基础分值。其中，控制点检查评价得分为被检查单位所有适用内控流程控制点“检查评价得分”之和；控制点基础分值为被检查单位所有适用内控流程剔除不适用控制点及业务未发生控制点后的“控制点分值”之和。,（4）内控流程评价计分方法,82,内控缺陷的分类,影响会计报表缺陷,其他会计信息质量缺陷,IT控制缺陷,内控重大事故事件缺陷,内部控制缺陷,企业内部管理缺陷,财务报告缺陷,内控缺陷是指在内控设计和运行方面，已经发生的内控程序不足或产生不足的可能性。,83,内控缺陷的划分等级,财务报告缺陷,内部管理缺陷,填写“内部控制缺陷认定汇总表”,重大缺陷,重要缺陷,一般缺陷,结果,结果,一般情况下,84,内控缺陷的扣分,一般缺陷：扣减总得分的1%重要缺陷：扣减总得分的50%重大缺陷：综合检查得分为零,85,内控缺陷的认定,影响会计报表的缺陷：根据错误样本比例推算潜在错报金额,1、记录错报样本 2、确定潜在错报率 3、计算潜在错报金额（相应会计科目同向累计发生额潜在错报率）4、计算错报指标 错报指标1=潜在错报金额合计/被检查单位当期主营业务收入或 期末资产总额孰高；错报指标2=潜在错报金额合计/股份公司当期主营业务收入。5、错报指标与缺陷等级 一般缺陷:错报指标11，且错报指标21 重要缺陷:1错报指标25 重大缺陷:错报指标25,86,内控缺陷的认定（续）,其他会计信息质量一般缺陷：外部监管重点关注的事项,（1）会计人员缺乏必要的任职资格和胜任能力。（2）财会岗位职责不清晰，或未执行规定的会计不相容岗位（职务）分离。（3）会计凭证未按规定装订、保管和归档，或会计凭证丢失。（4）重要原始凭证如出/入库单、提货通知单、开出发票和支票等不连号或未经审批取消原始凭证。（5）未按规定与股份公司内、外部往来单位对账及编制往来账户余额调节表，或100万元以上的对账差异个月以上未处理，或其他对账差异个月以上未处理。（6）未按规定编制银行存款余额调节表，或调节表差异个月以上未处理。（7）一人保管支付款项所需的全部印章。开通网上银行的，由一人保管网银卡和密码。（8）存货盘点未按照规定执行。（9）由于审查不严、处理不当等原因造成执行国家税收政策偏差，受到罚款处罚等。,87,内控缺陷的认定（续）,IT控制一般缺陷：整体层面控制、一般性控制、应用控制,（1）ERP系统、财务信息管理系统、加油卡系统的用户管理或密码管理未按要求执行。（2）ERP系统同一业务流程主数据管理和维护有两个或两个以上控制点未按要求执行。（3）分（子）公司信息化管理机构不健全，职责不到位。（4）分（子）公司ERP支持中心人员不落实，支持中心人员没有履行相关职责。（5）安全管理员、系统管理员、应用系统管理员设置未执行不相容岗位（职务）分离。（6）未进行信息安全教育和培训。（7）ERP系统、财务管理信息系统、加油卡系统服务器未纳入信息管理部门统一管理。,88,内控缺陷的认定（续）,内控重大事故事件缺陷：以未经授权、舞弊或IT控制不善造成财产损失或影响给股东带来利益损害为判别依据。,89,内控缺陷的认定（续）,内部管理一般缺陷：不影响财务报告，但违反内部管理要求的突出事项。根据内控手册和管理制度（文件）判断。1物资采购供应未归口管理 2销售管理中客户信用等级和信用限额未经信用领导小组审批，销售价格政策未经价格领导小组审批 3投资项目无计划或超计划，或未按规定招投标，或先施工后补签合同 4对未即时清结的交易没有签订书面合同；未按规定使用标准合同文本并经兼职合同管理员审核；使用非标准合同文本未经专职合同管理员审核 5未按规定开立或使用银行账户 6成本、费用指标未考核 7由于违章行为导致安全环保事故（事件）发生 8瞒报事故,90,内控缺陷的认定（续）,内控缺陷认定后，应累计填写“内部控制缺陷认定汇总表”，由检查小组组长（或副组长）、被查单位内控办公室主任签字确认。,内控缺陷的汇总,91,5、检查方法,（1）一般方法,（2）抽样检查,（3）ERP控制点检查,92,5、检查方法（续）,（1）一般检查方法及应用：,抽样法,穿行测试法,个别访谈法,比较分析法,实地查验法,专项讨论会法,重新执行法,基本方法,业务流程,内控环境、异常情况,价格、预算、报表分析,盘点、验证,遇到专业疑难问题,怀疑结果有重大错误,不限于此综合运用,注意取得最原始单据,93,5、检查方法（续）,综合使用各种方法举例：检查前：比较分析、个别访谈，预抽样实施检查：抽样、穿行测试、实地查验、个别访谈、比较分析疑难问题：专家讨论会佐证不足怀疑结果：重新执行、扩大抽样,访谈业务主管，询问主要发生业务，查阅系统，关注回避的业务；访谈普通员工，获得非正常业务信息，如合资合作等,分析预算、配置计划与实际完成情况，从紧和从宽的业务采用不同的策略；结合总账分析报表财务状况，针对问题确定重点，如应收款项增加等；,针对个别问题访谈，可采用非正式访谈，保护被访谈人,具体分析：如会计科目借、贷方发生额正常与否；销售价格等,94,5、检查方法（续）,（2）抽样检查抽样数量抽样方法抽样步骤及要求,95,5、检查方法（续）,96,5、检查方法（续）,抽样数量非财务报告点抽样数量一般为3个（少于3个的选用整体抽样）；财务报告点抽样数量在“财务报告抽样记录表”中已经根据业务发生频率列出“应抽取的样本量”，除非实际业务量不足，否则不得减少“应抽取的样本量”；特别说明:抽取样本数量不限于上述“应抽取的样本量”，如果检查人员认为抽样数量不足以证明内控执行有效，可以根据需要增加样本量。,97,5、检查方法（续）,抽样方法1）整体抽样2）随机抽样3）等距抽样4）指定抽样,98,5、检查方法（续）,1）整体抽样被检查单位某项经济业务很少发生，被检查的样本个数少于或等于规定数量时，应抽取全部样本做为检查样本。,如存货减值、存货处置、现金、存货、固定资产盘点等可以采取整体抽样方式，抽取所有减值会计凭证、存货处置会计凭证、存货盘点表、存货盘盈盘亏的会计凭证。,99,5、检查方法（续）,2）随机抽样：控制点检查原则上采取“随机抽样”的方法。时间分布比较均匀：如涉及的经济业务在检查区间内各月基本均匀发生。品种比较齐全：如销售业务应包括各种产品样本。金额分布合理：包括大中小金额。业务对象分布合理：如采购、销售业务尽量覆盖全部供应商或客户；借款应覆盖各币种、各银行的借款。业务发生单位分布合理：指被检查企业如果有很多单位都发生同一类经济业务，应尽量覆盖。采购合同、付款和发票校验会计凭证，销售订单、价格、合同、发货会计凭证、销售收入会计凭证、发票、费用支出等业务都可以采用随机抽样的方法。,经济业务频繁发生,样本数较多,通过分析确认样本特性分布均匀,100,5、检查方法（续）,3）等距抽样如果样本的分布特性比较均匀稳定，可以采取等距抽样的方法。即可以拟定选择原始单据编号以1（或2、3、4）结尾的样本等。如收付款会计凭证、出入库单等等。,101,5、检查方法（续）,4）指定抽样通过分析，对于特殊的经济业务事项（如非正常发生的经济业务）可以指定抽样。如修理费业务，可指定公司本部大额修理费支出；成本业务，可指定手工结转的凭证；销售、费用支出等业务可指定红字冲销业务；还可指定暂估业务等。,102,5、检查方法（续）,对于同一业务不同企业选用的抽样方法可能不同。如对于票据业务很少的企业，可以采用整体抽样的方法；对于票据业务较多的企业，则可以根据发生日期、出票行、被背书人、贴现行等采用随机抽样等方法；对于检查区间包括年末和年初的，应加大抽取样本量。重点关注是否存在虚挂或少挂成本费用，虚增或少记收入，用以调节利润的情况。其他样本也应有选择性地多抽1、3、6、9月。,抽样的特殊性：,103,5、检查方法（续）,抽样步骤及要求：,1.搜集信息，拟定“检查抽样实施方案”,2.制作初步抽样清单,3.抽取样本,详细了解情况,按实施方案尽量覆盖全部业务,针对性抽样,104,5、检查方法（续）,抽取的样本应充分和适当充分是指测试的证据的数量应当能合理保证相关控制的有效；适当是指获取的证据应当与相关控制的设计与运行有关，并能可靠地反映控制的实际运行状况。,105,5、检查方法（续）,（3）ERP控制点检查：一般检查权限检查其他说明,106,5、检查方法（续）,1）ERP控制点一般检查：线上（ERP系统中）和线下（ERP系统外纸质单据如出入库单、会计凭证、计划、预算等）相互核对，主要体现在主数据维护、业务数据录入。两个方向 包括SE16、SA38等后台事务代码的使用,维护时间、维护人员！,107,5、检查方法（续）,2）ERP控制点权限检查：权限检查 业务流程权限检查清单直接查询是否存在不符合规定的内容 如4.3-5.1查询是否存在未清订单的情况等，4.3-6.1直接查询是否存在被人为删除交货单的情况，4.7-3.1直接在系统中先筛选是否存在未维护信用的客户等。,108,5、检查方法（续）,3）其他说明ERP截图的使用 一般在结果处都说明了控制点是否执行的标准。由于各个企业的配置不同，参考截图时，要参考截图的结果而非步骤。AIS系统的使用集中服务器的企业 未有效执行，扣减被检查单位分数,109,6、填写工作底稿及记录,内部控制检查评价汇总表企业内控环境评价表企业自查评价表内控流程检查工作底稿（含财务报告抽样记录表）研究院内控流程检查工作底稿内部控制缺陷认定汇总表内控工作意见和建议表,7套表格,110,7、撰写现场检查报告及讲评,检查评价整体情况 企业内控环境评价 企业自查情况评价 内控流程评价 内控缺陷认定（深刻分析）整改意见和管理建议,所有检查底稿、记录及报告由被查单位责任人确认,111,8、检查评价资料及报告,检查小组组长或副组长必须复核所有检查表格、工作底稿和内控缺陷认定。有效执行的控制点不需复印资料，但未执行控制点及内控缺陷需要提供相关资料佐证。所有检查资料按规定编号，依顺序整理、装订。现场检查报告及各种检查资料（含电子版）交内控办公室。,112,内控自我评价,（一）制定年度内控检查方案（二）检查前培训（三）现场检查（四）跟踪整改（五）汇报检查结果及修订完善（六）编制内控自我评价报告及对外披露,113,跟踪整改,由内控办公室统一组织,汇总各企业、总部现场检查结果 分配总部各责任部门督促整改，核实整改结果 根据最终整改结果考核各企业、部门,114,内控自我评价,（一）制定年度内控检查方案（二）检查前培训（三）现场检查（四）跟踪整改（五）汇报检查结果及修订完善（六）编制内控自我评价报告及对外披露,115,汇报检查结果及修订完善,向内控领导小组汇报 与外部审计师沟通 向董事会及其审计委员会汇报 按照外部监管政策变化和管理层要求修订完善,116,内控自我评价,（一）制定年度内控检查方案（二）检查前培训（三）现场检查（四）跟踪整改（五）汇报检查结果及修订完善（六）编制内控自我评价报告及对外披露,117,六、对外披露内控自我评价,编制中国石化内控自我评价报告 根据境内外不同监管要求披露内控自我评价,118,外审内控评价分析,外部审计师历年内控评价,119,企业自我评价分析,中国石化历年内控评价,120,内容提要,附：内控检查评价案例,121,谢谢各位！,欢迎批评,