第三章内部控制审计课件.ppt

1、LOGO学习要点与要求学习要点与要求v通过本章学习，你应该能够：通过本章学习，你应该能够：v第一节 内部控制评价概述一、内部审计与内部控制的关系一、内部审计与内部控制的关系v内部审计是保证内部控制体系有效运行和逐步完善内部审计是保证内部控制体系有效运行和逐步完善的重要措施的重要措施v内部控制系统的局限：内部控制系统的局限：n内部控制设计方面：内部控制设计方面：企业在设计内部控制制度时，由于当时认识企业在设计内部控制制度时，由于当时认识的局限或者考虑不周等原因，设计出的内部控制不可能完美无缺的局限或者考虑不周等原因，设计出的内部控制不可能完美无缺；n内部控制执行方面：内部控制执行方面：在内部控制

2、实际运行过程中，由于实际情况在内部控制实际运行过程中，由于实际情况发生变化、或由于员工对内部控制制度理解上的差异，也可能使内部发生变化、或由于员工对内部控制制度理解上的差异，也可能使内部控制不能很好地发挥其应有的作用，导致内部控制实际运行中或多或控制不能很好地发挥其应有的作用，导致内部控制实际运行中或多或少地存在着这样或那样的问题。少地存在着这样或那样的问题。v结论：需要对内部控制运行情况实施必要的监督结论：需要对内部控制运行情况实施必要的监督检查，发现其不足和问题乃至于缺陷，从而完善内检查，发现其不足和问题乃至于缺陷，从而完善内部控制，提高内部控制的有效性。部控制，提高内部控制的有效性。续续

3、v结论：结论：n企业内部各职能部门管理者当然是内部控制监督的主体之企业内部各职能部门管理者当然是内部控制监督的主体之一。但他们的监督往往是局部的，并且独立性、客观性受一。但他们的监督往往是局部的，并且独立性、客观性受到一定程度的影响。到一定程度的影响。n内审部门是相对独立的部门，由内部审计对内部控制的设内审部门是相对独立的部门，由内部审计对内部控制的设计（是否适当）、执行（是否一贯）、以及对有效性进行计（是否适当）、执行（是否一贯）、以及对有效性进行测试与评价应该是最全面、最权威的。测试与评价应该是最全面、最权威的。v结论：结论：n内部审计是保证内部控制体系有效运行和逐步完善的重要措施。内部审

4、计是保证内部控制体系有效运行和逐步完善的重要措施。n在内部监督制度中，应当明确内部审计机构等类似其他监在内部监督制度中，应当明确内部审计机构等类似其他监督机构的职责，明确内部审计机构与和其他内部机构之间督机构的职责，明确内部审计机构与和其他内部机构之间的关系，明确开展内部监督的程序、方法和要求等。的关系，明确开展内部监督的程序、方法和要求等。二、内部控制评价二、内部控制评价v内部控制评价，是指由企业董事会和管理层实内部控制评价，是指由企业董事会和管理层实施的，对企业内部控制有效性进行评价，形成施的，对企业内部控制有效性进行评价，形成评价结论，出具评价报告的过程。评价结论，出具评价报告的过程。v

5、外审：侧重于把内控评价作为一种审计方式，外审：侧重于把内控评价作为一种审计方式，其目的是在了解、测试与会计报表相关的内部其目的是在了解、测试与会计报表相关的内部控制的基础上评估其控制风险，再根据控制风控制的基础上评估其控制风险，再根据控制风险评估结果修订审计计划和确定实质性测试的险评估结果修订审计计划和确定实质性测试的性质、时间和范围，进而对会计报表发表意见。性质、时间和范围，进而对会计报表发表意见。v内审：侧重于把内控评价作为一项审计内容。内审：侧重于把内控评价作为一项审计内容。也可以根据审计的目的，把内控评价作为一种也可以根据审计的目的，把内控评价作为一种审计方式。审计方式。三、内部控制评

6、价依据三、内部控制评价依据v内部审计具体准则第内部审计具体准则第5号号内部控制审计内部控制审计（2003年年6月）月）v内部审计具体准则第内部审计具体准则第16号号风险管理审计风险管理审计（2005年年5月）月）v中央企业财务内部控制评价工作指引中央企业财务内部控制评价工作指引(2006年度年度试点用试点用)v企业内部控制评价指引（企业内部控制评价指引（2008年年7月，财政部）月，财政部）v评价指引（评价指引（5章章37条）：总则、内部控制评价的条）：总则、内部控制评价的内容、内部控制评价的程序、内部控制缺陷的认内容、内部控制评价的程序、内部控制缺陷的认定、内部控制评价报告定、内部控制评价报

7、告。四、内部控制评价要求四、内部控制评价要求v企业应当根据国家有关法律法规和企业应当根据国家有关法律法规和企业内部控企业内部控制基本规范制基本规范的要求，结合企的要求，结合企战略目标、经营管战略目标、经营管理的效率和效果目标、财务报告及相关信息真实理的效率和效果目标、财务报告及相关信息真实完整目标、资产安全目标、合法合规目标等单个完整目标、资产安全目标、合法合规目标等单个或整体控制目标的实现进行评价业实际情况，对。或整体控制目标的实现进行评价业实际情况，对。五、企业内部控制评价原则五、企业内部控制评价原则（一）风险导向原则。内部控制评价应当以风险评估（一）风险导向原则。内部控制评价应当以风险评

8、估为基础，根据风险发生的可能性和对企业单个或整为基础，根据风险发生的可能性和对企业单个或整体控制目标造成的影响程度来确定需要评价的重点体控制目标造成的影响程度来确定需要评价的重点业务单元、重要业务领域或流程环节。业务单元、重要业务领域或流程环节。（二）一致性原则。内部控制评价应当采用统一可比（二）一致性原则。内部控制评价应当采用统一可比的评价方法和标准，保证评价结果的可比性。的评价方法和标准，保证评价结果的可比性。（三）公允性原则。内部控制评价应当以事实为依据，（三）公允性原则。内部控制评价应当以事实为依据，评价结果应当有适当的证据支持。评价结果应当有适当的证据支持。（四）独立性原则。内部控制

9、评价机构的确定及评价（四）独立性原则。内部控制评价机构的确定及评价工作的组织实施应当保持相应的独立性。工作的组织实施应当保持相应的独立性。（五）成本效益原则。内部控制评价应当以适当的成（五）成本效益原则。内部控制评价应当以适当的成本实现科学有效的评价。本实现科学有效的评价。六、评价的内容和标准六、评价的内容和标准v企业应当对与实现整体控制目标相关的内部环境、企业应当对与实现整体控制目标相关的内部环境、风险评估、控制活动、信息与沟通、内部监督等风险评估、控制活动、信息与沟通、内部监督等内部控制要素进行全面系统、有针对性的评价。内部控制要素进行全面系统、有针对性的评价。v企业实施内部控制评价，包括

10、对内部控制设计有企业实施内部控制评价，包括对内部控制设计有效性和运行有效性的评价。效性和运行有效性的评价。v内部控制设计有效性是指为实现控制目标所必需内部控制设计有效性是指为实现控制目标所必需的内部控制要素都存在并且设计恰当；的内部控制要素都存在并且设计恰当；v内部控制运行有效性是指现有内部控制按照规定内部控制运行有效性是指现有内部控制按照规定程序得到了正确执行。程序得到了正确执行。续续v应用信息系统加强内部控制的企业，应当对信息应用信息系统加强内部控制的企业，应当对信息系统的有效性进行评价，包括信息系统一般控制系统的有效性进行评价，包括信息系统一般控制评价和信息系统应用控制评价。评价和信息系

11、统应用控制评价。n一般控制评价应当着重考虑与信息系统开发有关的信一般控制评价应当着重考虑与信息系统开发有关的信息技术控制目标、程序变更、计算机运行和对数据的息技术控制目标、程序变更、计算机运行和对数据的接触是否符合企业内部控制的要求，是否有利于企业接触是否符合企业内部控制的要求，是否有利于企业内部控制目标的实现，并以此评价信息系统的安全性、内部控制目标的实现，并以此评价信息系统的安全性、可靠性和合理性。可靠性和合理性。n应用控制评价应当结合企业业务流程特点，着重考虑应用控制评价应当结合企业业务流程特点，着重考虑信息系统中与业务流程相关的控制点，并以此评价相信息系统中与业务流程相关的控制点，并以

12、此评价相关应用系统操作数据的真实性、准确性和合规性。关应用系统操作数据的真实性、准确性和合规性。续续v企业集团对被评价单位内部控制的有效性进行评价，企业集团对被评价单位内部控制的有效性进行评价，应当至少涉及下列内容：应当至少涉及下列内容：（一）被评价单位内部控制是否在被评价单位内部控制是否在风险评估的基础上风险评估的基础上涵盖了涵盖了企业层面的风险和所有重要的业务流程层面的风险。企业层面的风险和所有重要的业务流程层面的风险。（二）被评价单位内部控制（二）被评价单位内部控制设计的方法设计的方法是否适当，内部控制是否适当，内部控制建设的时间进度安排是否科学、阶段性工作要求是否合理。建设的时间进度安

13、排是否科学、阶段性工作要求是否合理。（三）被评价单位内部控制（三）被评价单位内部控制设计和运行设计和运行的组织是否有效，人的组织是否有效，人员配备、职责分工和授权是否合理。员配备、职责分工和授权是否合理。（四）被评价单位是否开展（四）被评价单位是否开展内部控制自查内部控制自查并上报有关自查报并上报有关自查报告。告。（五）被评价单位是否建立有利于促进内部控制各项政策措（五）被评价单位是否建立有利于促进内部控制各项政策措施落实和问题施落实和问题整改的机制整改的机制。（六）被评价单位在评价期间是否出现（六）被评价单位在评价期间是否出现过重大风险事故过重大风险事故等。等。第二节 评价的程序和方法一、内

14、部控制评价的程序一、内部控制评价的程序v（一）制定评价方案。（一）制定评价方案。根据企业整体控制目标根据企业整体控制目标,制定内部制定内部控制评价工作方案控制评价工作方案,明确评价目的明确评价目的,范围范围,组织组织,标准标准,方法方法,进进度安排和费用预算等内容度安排和费用预算等内容,报管理层和董事会审批报管理层和董事会审批.确定评价范围。内部控制评价范围的确定应当遵循风险导向确定评价范围。内部控制评价范围的确定应当遵循风险导向,自上而下的原则来确定需要评价的分支机构自上而下的原则来确定需要评价的分支机构,重要业务单元重要业务单元,重点业务领域或流程环节重点业务领域或流程环节.v（二）实施评

15、价方案。（二）实施评价方案。内部审计部门应当根据审批通过的内部审计部门应当根据审批通过的评价方案组织实施内部控制评价工作评价方案组织实施内部控制评价工作,通过适当的方法收集通过适当的方法收集,确认确认,分析相关信息分析相关信息,确定与实现整体控制目标相关的风险及确定与实现整体控制目标相关的风险及细化控制目标细化控制目标,并在此基础上辨识与细化控制目标相对应的控并在此基础上辨识与细化控制目标相对应的控制活动制活动,然后针对控制活动进行必要的测试然后针对控制活动进行必要的测试,获取充分获取充分,相关相关,可靠的证据对内部控制的有效性进行评价可靠的证据对内部控制的有效性进行评价,并做出书面记录并做出

16、书面记录.v（三）提交评价报告。（三）提交评价报告。内部控制评价机构应当根据评估结内部控制评价机构应当根据评估结果和经核实的证据果和经核实的证据,确认内部控制缺陷确认内部控制缺陷,出具评价结论出具评价结论,编制评编制评价报告价报告,报送管理层和董事会审阅报送管理层和董事会审阅.二、评价方法二、评价方法（一）个别访谈法。（一）个别访谈法。（二）调查问卷法。（二）调查问卷法。（三）比较分析法。（三）比较分析法。（四）标杆法。是指通过与组织内外部相同或相似经营活动的（四）标杆法。是指通过与组织内外部相同或相似经营活动的最佳实务进行比较而对控制设计有效性评价的方法。最佳实务进行比较而对控制设计有效性评

17、价的方法。（五）穿行测试法。是指通过抽取一份全过程的文件，来了解（五）穿行测试法。是指通过抽取一份全过程的文件，来了解整个业务流程执行情况的评估评价方法。整个业务流程执行情况的评估评价方法。（六）抽样法。是指企业针对具体的内部控制业务流程，按照（六）抽样法。是指企业针对具体的内部控制业务流程，按照业务发生频率及固有风险的高低，从确定的抽样总体中抽取业务发生频率及固有风险的高低，从确定的抽样总体中抽取一定比例的业务样本，对业务样本的符合性进行判断，进而一定比例的业务样本，对业务样本的符合性进行判断，进而对业务流程控制运行的有效性作出评价。对业务流程控制运行的有效性作出评价。（七）实地查验法。（七

18、）实地查验法。（八）重新执行法。是指通过对某一控制活动全过程的重新执（八）重新执行法。是指通过对某一控制活动全过程的重新执行来评估控制执行情况的方法。行来评估控制执行情况的方法。（九）专题讨论法。（九）专题讨论法。三、获取审计证据三、获取审计证据v企业应当根据通过评估和测试获取与内部控制有效企业应当根据通过评估和测试获取与内部控制有效性相关的证据，并合理保证证据的性相关的证据，并合理保证证据的充分性和适当性充分性和适当性。n证据的充分性证据的充分性是指获取证据的是指获取证据的数量数量应当能合理保证相关控应当能合理保证相关控制的有效；制的有效；n证据的适当性证据的适当性是指获取的证据应当是指获取

19、的证据应当与相关控制的设计与运与相关控制的设计与运行有关，并能可靠地反映控制的实际运行状况行有关，并能可靠地反映控制的实际运行状况。v企业应当根据所收集的证据，判断相关控制的设计企业应当根据所收集的证据，判断相关控制的设计与运行是否有效。应当充分考虑下列因素：与运行是否有效。应当充分考虑下列因素：n是否针对风险设置了合理的细化控制是否针对风险设置了合理的细化控制目标目标。n是否针对细化控制目标设置了对应的是否针对细化控制目标设置了对应的控制活动控制活动n相关控制活动是如何相关控制活动是如何运行运行的的n相关控制活动是否得到了相关控制活动是否得到了持续一致持续一致的运行的运行n实施相关控制活动的

20、人员是否具备必需的实施相关控制活动的人员是否具备必需的权限和能力权限和能力续续v 企业应当充分评估下列因素导致内部控制失效的企业应当充分评估下列因素导致内部控制失效的风险：风险：（一）控制活动的类型，一般包括人工控制和自动控制、（一）控制活动的类型，一般包括人工控制和自动控制、预防性控制和发现性控制等。预防性控制和发现性控制等。（二）控制活动的复杂性，通常与企业组织结构、市场环（二）控制活动的复杂性，通常与企业组织结构、市场环境、经营规模、人员素质等相关。境、经营规模、人员素质等相关。（三）管理层逾越内部控制的风险。（三）管理层逾越内部控制的风险。（四）实施控制活动所需要的职业判断的程度。（四

21、）实施控制活动所需要的职业判断的程度。（五）控制活动所针对风险事项的性质及其重要性。（五）控制活动所针对风险事项的性质及其重要性。（六）一项控制活动对其他控制活动有效性的依赖程度。（六）一项控制活动对其他控制活动有效性的依赖程度。v内部控制评价机构应当根据评估结果和经核实的证内部控制评价机构应当根据评估结果和经核实的证据，确认内部控制缺陷，出具评价结论，编制评价据，确认内部控制缺陷，出具评价结论，编制评价报告，报送管理层和董事会审阅。报告，报送管理层和董事会审阅。四、内部控制缺陷认定四、内部控制缺陷认定 v企业在对内部控制进行内部监督发现内部控制缺企业在对内部控制进行内部监督发现内部控制缺陷时

22、，需要对内部控制的缺陷进行认定和报告。陷时，需要对内部控制的缺陷进行认定和报告。为此，企业应当根据自身的实际情况，制定本企为此，企业应当根据自身的实际情况，制定本企业内部控制缺陷认定标准。业内部控制缺陷认定标准。v内部控制缺陷包括设计缺陷和运行缺陷。内部控制缺陷包括设计缺陷和运行缺陷。1、关于设计缺陷、关于设计缺陷v所谓设计缺陷，是指缺少为实现控制目标所必需所谓设计缺陷，是指缺少为实现控制目标所必需的控制，或现存内部控制设计不适当、即使正常的控制，或现存内部控制设计不适当、即使正常运行也难以实现控制目标而形成的内部控制缺陷，运行也难以实现控制目标而形成的内部控制缺陷，即建立的内部控制不能充分实

23、现内部控制目标而即建立的内部控制不能充分实现内部控制目标而形成的内部控制缺陷。形成的内部控制缺陷。案例：废纸打印不挨骂案例：废纸打印不挨骂v 小李是一家公司的职员，由于公司刚开始创业，经理特别小李是一家公司的职员，由于公司刚开始创业，经理特别强调成本控制，把厉行节约列为绩效考核的重要内容。他强调成本控制，把厉行节约列为绩效考核的重要内容。他对办公室员工提出了要求：节约用纸，非正式文件不得使对办公室员工提出了要求：节约用纸，非正式文件不得使用空白纸。用空白纸。v 有一次，废纸用完了，小李只好用空白纸打印，经理看到有一次，废纸用完了，小李只好用空白纸打印，经理看到用的不是废纸，立刻责问：用的不是废

24、纸，立刻责问：v 小李委屈地说，废纸用完了，只好小李委屈地说，废纸用完了，只好v 经理有点不相信：一天打印那么多文件，怎么会一张废纸经理有点不相信：一天打印那么多文件，怎么会一张废纸都没有了呢？于是自已动手，进行检查，还真找出了几张都没有了呢？于是自已动手，进行检查，还真找出了几张废纸。废纸。v 第二天，经理在开会时点名批评了小李，还扣发了当月奖第二天，经理在开会时点名批评了小李，还扣发了当月奖金。从此以后，每当没有废纸可用的时候，小李特别着急。金。从此以后，每当没有废纸可用的时候，小李特别着急。后来，一位老员工俏俏地告诉她：后来，一位老员工俏俏地告诉她：从此，小李再也没从此，小李再也没有挨批

25、了。有挨批了。v 请问：老员工俏俏告诉小李什么了？请问：老员工俏俏告诉小李什么了？案例：制衡原则案例：制衡原则v一图书馆总丢书，为防止，出一告示：一图书馆总丢书，为防止，出一告示：n凡偷书者，罚款500元并给予通报批评。v效果不佳。效果不佳。v一专家来参观，看到告示，提出建议。不久，告一专家来参观，看到告示，提出建议。不久，告示牌内容改为：示牌内容改为：n凡检举偷书者，一律奖励200元v从此以后，书就很少丢失了。从此以后，书就很少丢失了。2、关于运行缺陷、关于运行缺陷v所谓运行缺陷，是指某一企业的内部控制体系虽所谓运行缺陷，是指某一企业的内部控制体系虽然设计得很完善，但由于实施过程中的偏差，导

26、然设计得很完善，但由于实施过程中的偏差，导致内部控制运行缺陷。致内部控制运行缺陷。v具体表现为：具体表现为：n设计完好的控制没有按设计意图运行设计完好的控制没有按设计意图运行n执行者没有获得必要授权或缺乏胜任能力以有效实施执行者没有获得必要授权或缺乏胜任能力以有效实施控制控制3、内部控制缺陷认定、内部控制缺陷认定v存在下列情况之一，应当认定内部控制存在设计存在下列情况之一，应当认定内部控制存在设计或运行缺陷：或运行缺陷：n未实现规定的控制目标未实现规定的控制目标.n未执行规定的控制活动未执行规定的控制活动.n突破规定的权限突破规定的权限.n不能及时提供控制运行有效的相关证据不能及时提供控制运行

27、有效的相关证据.v内部审计在判断和认定内部控制缺陷是否构成重内部审计在判断和认定内部控制缺陷是否构成重大缺陷大缺陷,应当考虑下列因素应当考虑下列因素:n影响整体控制目标实现的多个一般缺陷的组合是否构影响整体控制目标实现的多个一般缺陷的组合是否构成重大缺陷成重大缺陷.n针对同一细化控制目标所采取的不同控制活动之间的针对同一细化控制目标所采取的不同控制活动之间的相互作用相互作用.n针对同一细化控制目标是否存在其他补偿性控制活动针对同一细化控制目标是否存在其他补偿性控制活动.案例分析：案例分析：v有一个主人逼迫他家的大花猫必须每天抓一只老鼠有一个主人逼迫他家的大花猫必须每天抓一只老鼠并向他报告，以此

28、判断它的能力。如果抓到一只老并向他报告，以此判断它的能力。如果抓到一只老鼠，主人就给它一条鱼吃。否则就只有饿着。鼠，主人就给它一条鱼吃。否则就只有饿着。v这只猫想：我怎么能天天完成任务呢？老鼠也不可这只猫想：我怎么能天天完成任务呢？老鼠也不可能天天都抓得到呀！能天天都抓得到呀！v于是它去找老鼠商量，说：咱俩达成一个协议：你于是它去找老鼠商量，说：咱俩达成一个协议：你每天每天8点的时候在洞口出现，我就跑过来抓你，但我点的时候在洞口出现，我就跑过来抓你，但我不吃你，我咬着你到主人那儿转一圈后再把你放了。不吃你，我咬着你到主人那儿转一圈后再把你放了。然后第二天你还出来然后第二天你还出来你让我完成任务

29、，我以后你让我完成任务，我以后保证不吃你，你也不用整天提心掉胆。好不好？保证不吃你，你也不用整天提心掉胆。好不好？v最终猫和老鼠达成了协议。最终猫和老鼠达成了协议。v听了这个故事，你作何感想？听了这个故事，你作何感想？4、内部控制缺陷分类、内部控制缺陷分类v按照内部控制缺陷影响整体控制目标实现的严重按照内部控制缺陷影响整体控制目标实现的严重程度，内部控制缺陷分为一般缺陷、重要缺陷和程度，内部控制缺陷分为一般缺陷、重要缺陷和重大缺陷。重大缺陷。n重大缺陷是指一个或多个一般缺陷的组合，可能严重重大缺陷是指一个或多个一般缺陷的组合，可能严重影响影响内部控制整体的有效性内部控制整体的有效性，进而导致企

30、业无法及时，进而导致企业无法及时防范或发现严重偏离整体控制目标的情形。防范或发现严重偏离整体控制目标的情形。n重要缺陷是指一个或多个一般缺陷的组合，其严重程重要缺陷是指一个或多个一般缺陷的组合，其严重程度低于重大缺陷，但度低于重大缺陷，但导致企业无法及时防止或发现偏导致企业无法及时防止或发现偏离整体控制目标的严重程度依然重大离整体控制目标的严重程度依然重大，须引起企业管，须引起企业管理层关注。理层关注。n除重要缺陷和重大缺陷以外的其他缺陷，则为一般缺除重要缺陷和重大缺陷以外的其他缺陷，则为一般缺陷。陷。5、发现缺陷的处理、发现缺陷的处理v分析原因，提出整改方案并报告。分析原因，提出整改方案并报

31、告。n在对内部控制进行内部监督的过程中，根据确定的标在对内部控制进行内部监督的过程中，根据确定的标准对内部监督所发现的内部控制缺陷进行认定，分析准对内部监督所发现的内部控制缺陷进行认定，分析缺陷的性质和产生的原因，提出整改方案，采取适当缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告。的形式及时向董事会、监事会或者经理层报告。v后续追踪。后续追踪。n企业还应当跟踪内部控制缺陷整改情况，并就内部监企业还应当跟踪内部控制缺陷整改情况，并就内部监督中发现的重大缺陷，追究相关责任单位或者责任人督中发现的重大缺陷，追究相关责任单位或者责任人的责任。的责任。第三节 评

32、价实例中石化内控手册总则内控手册总则总部内部控制组织机构 财务部法律事务部部审计部股份公司内部控制领导小组组长：总裁信息系统管理部内控办公室人事部内控手册总则内控手册总则分子公司内部控制组织机构 企业内部控制领导小组组长：分公司总经理财务处企管处法律事务处审计处内控办公室人事处信息处一、中国石化内控评价一、中国石化内控评价v自自2005年已组织五次全系统内控综合检查年已组织五次全系统内控综合检查v管理层内控自我评价管理层内控自我评价v外部审计师对财务报告内控审计外部审计师对财务报告内控审计二、内控自我评价依据二、内控自我评价依据v依据内控手依据内控手册及相关制册及相关制度，检查内度，检查内部控

33、制健全部控制健全性（设计）性（设计）v依据适用的依据适用的内容、范围，内容、范围，检查内部控检查内部控制符合性制符合性（执行）（执行）三、内控自我评价指引三、内控自我评价指引v企业企业内控检查评价指引内控检查评价指引v包括：注明具体检查步骤方法的工作底稿、案例包括：注明具体检查步骤方法的工作底稿、案例分析等分析等v总部层面总部层面内控检查评价与考核实施细则内控检查评价与考核实施细则四、内控自我评价方式四、内控自我评价方式v中国石化从中国石化从“量化评分量化评分”和和“内控缺陷认定内控缺陷认定”两两个方面进行内控评价，满足内控考核和外部监管个方面进行内控评价，满足内控考核和外部监管的要求。的要求

34、。五、内控自我评价范围五、内控自我评价范围v总部层面：各管理部门总部层面：各管理部门v企业层面：各管理部门、所属单位企业层面：各管理部门、所属单位 六、内控自我评价流程图六、内控自我评价流程图编制内部控制自我评价报告编制内部控制自我评价报告修订完善补救整改组织现场检查制定检查方案，报内控领导小组批准报告管理层健全性测试有效性测试 检查汇总结果集中培训检查人员内控自我评价流程内控自我评价流程v（一）制定年度内控检查方案（一）制定年度内控检查方案v（二）检查前培训（二）检查前培训v（三）现场检查（三）现场检查v（四）跟踪整改（四）跟踪整改v（五）汇报检查结果及修订完善（五）汇报检查结果及修订完善v

35、（六）编制内控自我评价报告及对外披露（六）编制内控自我评价报告及对外披露（一）制定年度内控检查方案（一）制定年度内控检查方案v召开内控领导小组会议批准检查方案召开内控领导小组会议批准检查方案n检查范围及重点（总部部门、企业层面）n 检查人员选拔及分组n 检查前培训安排n 检查主要事项（二）检查前培训（二）检查前培训v讲解内控检查评价指引（方法、案例）讲解内控检查评价指引（方法、案例）v合理分组，熟悉被检查单位基本情况合理分组，熟悉被检查单位基本情况v分组讨论，集中答疑分组讨论，集中答疑（三）现场检查评价步骤（三）现场检查评价步骤见面会见面会掌握基本情况掌握基本情况分析分析/定范围定范围缺陷认定

36、缺陷认定填写底稿填写底稿签字确认签字确认编写报告编写报告讲评会讲评会交换意见交换意见汇报内控办公室汇报内控办公室审计部审计部检查结果检查结果评分评分/评价评价1 1、组织现场检查小组、组织现场检查小组v组长负责与企业班子成员谈话，参加见面会及讲组长负责与企业班子成员谈话，参加见面会及讲评会；评会；v副组长负责检查内控环境（访谈部门负责人）、副组长负责检查内控环境（访谈部门负责人）、企业自查情况，并撰写现场检查报告；企业自查情况，并撰写现场检查报告；v检查人员按内控流程分组检查人员按内控流程分组(以内控管理人员为主，以内控管理人员为主，搭配各类专业人员、特别是搭配各类专业人员、特别是ITIT专业

37、人员）专业人员）2 2、召开见面会、召开见面会v通过企业介绍，掌握基本情况通过企业介绍，掌握基本情况n企业基本情况（生产经营业务范围、组织机构、经理班子成员及其分工、财务管理核算体制、ERP建设和实施情况等）；n 检查区间生产经营计划和预算完成情况；n 内部控制实施情况（内控宣传培训、实施细则及相关制度修订完善、日常内控工作机制、单位测试自查及整改情况）；n 最近一次审计或财务稽核查出问题的整改情况等。3 3、搜集、分析材料、搜集、分析材料v实施细则及配套规章制度实施细则及配套规章制度v内控自查整改材料内控自查整改材料v内控流程责任分工（责任部门、责任人、联系人）内控流程责任分工（责任部门、责

38、任人、联系人）v企业组织架构图（领导分工、部门职能、重要岗企业组织架构图（领导分工、部门职能、重要岗位人员名单）位人员名单）v检查区间的会计报表、经济活动分析材料等检查区间的会计报表、经济活动分析材料等v最近一次审计问题及整改材料最近一次审计问题及整改材料v获得获得ERP ERP 最大查询权限最大查询权限4 4、确定范围及重点、确定范围及重点v选择检查单位（企业所属全资、控股、参股子公选择检查单位（企业所属全资、控股、参股子公司原则上全部检查，并至少抽查司原则上全部检查，并至少抽查3 3个直属单位）个直属单位）v选择重点内控流程和控制点（必检内容）选择重点内控流程和控制点（必检内容）v确定重点

39、检查样本确定重点检查样本v加强内部沟通，适时调整检查内容和方向加强内部沟通，适时调整检查内容和方向5 5、现场检查评价内容、现场检查评价内容v内控环境、要素评价（内控环境、要素评价（1010分）分）v企业自查情况评价（企业自查情况评价（2020分）分）v业务流程综合检查评价（业务流程综合检查评价（7070分）分）v内部控制缺陷认定（修正总得分）内部控制缺陷认定（修正总得分）（1 1）内部环境、要素评价）内部环境、要素评价检查评价内容主要包括检查评价内容主要包括7个方面个方面（访谈、检查证（访谈、检查证据）：据）：v诚信与道德诚信与道德v责任分配与授权责任分配与授权v组织结构组织结构v管理哲学和

40、经营风格管理哲学和经营风格 v人力资源政策与实务人力资源政策与实务v信息与沟通信息与沟通v监督监督 检查组长或副组长填写检查组长或副组长填写“内控环境检查评价表内控环境检查评价表”（2 2）企业自查情况评价）企业自查情况评价v企业责任部门内控流程测试情况（检查实际效果）企业责任部门内控流程测试情况（检查实际效果）v企业内控自查情况（至少验证企业内控自查情况（至少验证5 5个流程）个流程）v复查核实，副组长填写复查核实，副组长填写“企业自查情况评价表企业自查情况评价表”（3 3）业务流程评价）业务流程评价v分析适用流程，判断业务发生分析适用流程，判断业务发生n对照内控手册及相关制度，分析适用流程

41、、控制点（健全性）n判定业务是否发生，确定应检查的控制点（符合性）n参照检查工作底稿中拟定的检查步骤和方法，结合实际选择抽样、穿行测试、检查证据、实地观察、对比分析、访谈等方法。业务流程评价（续）业务流程评价（续）v控制点得分控制点得分/扣分的判断方法扣分的判断方法n不相容岗位分离 n控制点执行情况n执行了控制点规定的控制步骤或控制方法（“控制点描述”、“检查步骤及方法”）n未突破规定的权限（权限指引）n实现规定的控制目标 （实质性检查）n及时提供有效的控制点相关资料 同时符合业务流程评价（续）业务流程评价（续）v分析是否与财务报告相关，填写检查记录分析是否与财务报告相关，填写检查记录n控制点

42、检查评价后，填写“内控流程检查工作底稿”n与财务报告相关的控制点（控制矩阵已注明），还应填写“财务报告抽样记录表”n“内控流程检查工作底稿”和“财务报告抽样记录表”需经检查人、被查单位责任人签定确认。业务流程评价（续）业务流程评价（续）v内控流程评价计分方法内控流程评价计分方法n内控流程综合检查评价得分=控制点检查评价得分70/控制点基础分值。其中：n控制点检查评价得分为被检查单位所有适用内控流程控制点“检查评价得分”之和；n控制点基础分值为被检查单位所有适用内控流程剔除不适用控制点及业务未发生控制点后的“控制点分值”之和。（4 4）内控缺陷的分类）内控缺陷的分类v内控缺陷是指在内控设计和运行

43、方面，已经发生内控缺陷是指在内控设计和运行方面，已经发生的内控程序不足或产生不足的可能性。的内控程序不足或产生不足的可能性。影响会计报表缺陷其他信息质量缺陷IT控制缺陷内控重大事故事件缺陷内部控制缺陷企业内部管理缺陷财务报告缺陷内控缺陷的划分等级内控缺陷的划分等级填写“内部控制缺陷认定汇总表”结果结果一般情况下内控缺陷的扣分内控缺陷的扣分v一般缺陷：扣减总得分的一般缺陷：扣减总得分的1%1%v 重要缺陷：扣减总得分的重要缺陷：扣减总得分的50%50%v 重大缺陷：综合检查得分为零重大缺陷：综合检查得分为零 内控缺陷的认定内控缺陷的认定v影响报表的缺陷：根据错误样本比例推算潜在错影响报表的缺陷：

44、根据错误样本比例推算潜在错报金额报金额v1 1、记录错报样本、记录错报样本v2 2、确定潜在错报率、确定潜在错报率v3 3、计算潜在错报金额相应会计科目同向累计发、计算潜在错报金额相应会计科目同向累计发生额生额潜在错报率潜在错报率v4 4、计算错报指标、计算错报指标n错报指标1=潜在错报金额合计/被检查单位当期主营业务收入或期末资产总额孰高；n错报指标2=潜在错报金额合计/股份公司当期主营业务收入。v5 5、错报指标与缺陷等级、错报指标与缺陷等级v 一般缺陷一般缺陷:错报指标错报指标1111，且错报指标，且错报指标2 21 1 v 重要缺陷重要缺陷:1:1错报指标错报指标2 25 5v 重大缺

45、陷重大缺陷:错报指标错报指标2525 内控缺陷的认定（续）内控缺陷的认定（续）v 其他会计信息质量一般缺陷：外部监管重点关注的事项其他会计信息质量一般缺陷：外部监管重点关注的事项v（1）会计人员缺乏必要的任职资格和胜任能力。）会计人员缺乏必要的任职资格和胜任能力。v（2）财会岗位职责不清晰，或未执行规定的会计不相容岗位（职务）财会岗位职责不清晰，或未执行规定的会计不相容岗位（职务）分离。分离。v（3）会计凭证未按规定装订、保管和归档，或会计凭证丢失。）会计凭证未按规定装订、保管和归档，或会计凭证丢失。v（4）重要原始凭证如出）重要原始凭证如出/入库单、提货通知单、开出发票和支票等入库单、提货通

46、知单、开出发票和支票等不连号或未经审批取消原始凭证。不连号或未经审批取消原始凭证。v（5）未按规定与股份公司内、外部往来单位对账及编制往来账户余）未按规定与股份公司内、外部往来单位对账及编制往来账户余额调节表，或额调节表，或100万元以上的对账差异个月以上未处理，或其他对万元以上的对账差异个月以上未处理，或其他对账差异个月以上未处理。账差异个月以上未处理。v（6）未按规定编制银行存款余额调节表，或调节表差异个月以上）未按规定编制银行存款余额调节表，或调节表差异个月以上未处理。未处理。v（7）一人保管支付款项所需的全部印章。开通网上银行的，由一人）一人保管支付款项所需的全部印章。开通网上银行的，

47、由一人保管网银卡和密码。保管网银卡和密码。v（8）存货盘点未按照规定执行。）存货盘点未按照规定执行。v（9）由于审查不严、处理不当等原因造成执行国家税收政策偏差，）由于审查不严、处理不当等原因造成执行国家税收政策偏差，受到罚款处罚等。受到罚款处罚等。内控缺陷的认定（续）内控缺陷的认定（续）vIT控制一般缺陷：整体层面控制、一般性控制、控制一般缺陷：整体层面控制、一般性控制、应用控制应用控制v（1）ERP系统、财务信息管理系统、加油卡系系统、财务信息管理系统、加油卡系统的用户管理或密码管理未按要求执行。统的用户管理或密码管理未按要求执行。v（2）ERP系统同一业务流程主数据管理和维护系统同一业务

48、流程主数据管理和维护有两个或两个以上控制点未按要求执行。有两个或两个以上控制点未按要求执行。v（3）分（子）公司信息化管理机构不健全，职）分（子）公司信息化管理机构不健全，职责不到位。责不到位。v（4）分（子）公司）分（子）公司ERP支持中心人员不落实，支持中心人员不落实，支持中心人员没有履行相关职责。支持中心人员没有履行相关职责。v（5）安全管理员、系统管理员、应用系统管理）安全管理员、系统管理员、应用系统管理员设置未执行不相容岗位（职务）分离。员设置未执行不相容岗位（职务）分离。v（6）未进行信息安全教育和培训。）未进行信息安全教育和培训。v（7）ERP系统、财务管理信息系统、加油卡系系统

49、、财务管理信息系统、加油卡系统服务器未纳入信息管理部门统一管理。统服务器未纳入信息管理部门统一管理。内控缺陷的认定（续）内控缺陷的认定（续）缺陷认定等级直接财产损失金额重大负面影响一般缺陷10万元500万元或受到省级（含省级）以下政府部门处罚但未对公司定期报告披露造成负面影响重要缺陷500万元1000万元或受到国家政府部门处罚但未对股份公司定期报告披露造成负面影响重大缺陷1000万元及以上或已经对外正式披露并对公司定期报告披露造成负面影响v内控重大事故事件缺陷：以未经授权、舞弊或内控重大事故事件缺陷：以未经授权、舞弊或IT控制不善造成财产损失或影响给股东带来利益损控制不善造成财产损失或影响给股

50、东带来利益损害为判别依据。害为判别依据。内控缺陷的认定（续）内控缺陷的认定（续）v 内部管理一般缺陷：不影响财务报告，但违反内部管理要求的突出事内部管理一般缺陷：不影响财务报告，但违反内部管理要求的突出事项。根据内控手册和管理制度（文件）判断。项。根据内控手册和管理制度（文件）判断。v 物资采购供应未归口管理物资采购供应未归口管理v 销售管理中客户信用等级和信用限额未经信用领导小组审批，销售销售管理中客户信用等级和信用限额未经信用领导小组审批，销售价格政策未经价格领导小组审批价格政策未经价格领导小组审批v 投资项目无计划或超计划，或未按规定招投标，或先施工后补签合投资项目无计划或超计划，或未按