企業(yè)內(nèi)部控制與風險管理

企業(yè)內(nèi)部控制與風險管理周中勝2/4/202312/4/202322/4/202332/4/202342/4/20235從家樂福、沃爾瑪價格欺詐案例看銷售業(yè)務控制從豐田汽車召回案看產(chǎn)品研發(fā)與制造控制從三鹿、蒙牛毒奶粉事件看采購的內(nèi)部控制……2/4/20236研討目錄內(nèi)部控制理念演變內(nèi)部控制規(guī)范解讀如何根據(jù)內(nèi)部控制規(guī)范構建內(nèi)部控制體系內(nèi)部控制運行中的相關問題內(nèi)部控制案例分析2/4/20237內(nèi)部控制理念演變引言：埃及金字塔與中國現(xiàn)實2/4/20238（一）內(nèi)部牽制:(上世紀40年代前）《會計思想史》實物牽制機械牽制體制牽制簿記牽制2/4/20239（二）內(nèi)部控制制度:(40-70年度：1949）1938年，麥克森.羅賓斯公司案1949年，美國審計程序委員會下屬的內(nèi)部控制委員會發(fā)布《內(nèi)部控制、協(xié)調(diào)系統(tǒng)諸要素及其對管理部門和注冊會計師的重要性》2/4/202310內(nèi)部會計控制內(nèi)部管理控制2/4/202311（三）內(nèi)部控制結構：（1988）1988年，美國注冊會計師協(xié)會SASNo.55控制環(huán)境會計制度控制程序2/4/202312（四）COSO報告——內(nèi)部控制綜合框架（1992）1973年到1976年美國的水門事件（Watergate)1977年，美國《反海外賄賂法》（ForeignCorruptPracticesAct

）頒布朗訊案、中國人壽案、建行張恩照案2/4/2023131985年，AICPA、AAA、FEI、IMA發(fā)起設計Tread-way委員會COSO委員會（CommitteeofSponsoringOrganizationOfTheTreadwayCommittee)1992年，COSO發(fā)布《IC-IF》2/4/202314COSO發(fā)布《IC-IF》控制環(huán)境風險評估控制活動信息與溝通監(jiān)督2/4/202315（五）Sarbane-OxleyActof20021、section103:

財務報告內(nèi)部控制的定義2、Section404:公司管理層需要對財務報告的內(nèi)部控制進行報告。要求公司的審計師對管理層的評估進行評估和報告。2/4/202316(六)走向ERM(2004.9)COSO,EnterpriseRiskManagementFramework2/4/202317

COSO五要素－ERM八要素2/4/202318全面風險管理的五層含義與戰(zhàn)略目標一致應對突發(fā)事件，防止重大損失高效運營財務報告真實可信遵守法律和法規(guī)543212/4/2023192004年COSO報告中，以《企業(yè)風險管理框架》命名，將內(nèi)部控制框架擴展到風險管理框架?！镀髽I(yè)風險管理框架》按照公司各層企業(yè)風險管理中的地位和職責分解為：董事會首席執(zhí)行官等高級管理層風險管理員內(nèi)部審計人員以及其他員工明確指出董事會對企業(yè)的風險管理負有監(jiān)督職責,企業(yè)的首席執(zhí)行官對企業(yè)的風險管理最終負責,企業(yè)的高層確定風險管理的基調(diào),從而影響企業(yè)內(nèi)部環(huán)境中的員工操守和價值觀及其他因素。2/4/202320中國人民銀行《加強金融機構內(nèi)部控制的指導原則》2008200720061997保監(jiān)會《壽險公司內(nèi)部控制評價辦法（試行）》上海證券交易所《上市公司內(nèi)部控制指引》深圳證券交易所《上市公司內(nèi)部控制指引》國資委《中央企業(yè)全面風險管理指引》銀監(jiān)會《商業(yè)銀行內(nèi)部控制指引》國資委《中央企業(yè)財務內(nèi)部控制評價工作內(nèi)部指引》深圳證券交易所《中小企業(yè)板上市公司內(nèi)部審計工作指引》五部委（財政部、證監(jiān)會、保監(jiān)會、銀監(jiān)會、審計署）《企業(yè)內(nèi)部控制基本規(guī)范》我國主要內(nèi)部控制法律法規(guī)2/4/202321中國“內(nèi)控”時代的來臨《企業(yè)內(nèi)部控制基本規(guī)范》財政部證監(jiān)會審計署銀監(jiān)會保監(jiān)會2008年6月28日發(fā)布2/4/2023222010年4月26日，五部委聯(lián)合發(fā)布《企業(yè)內(nèi)部控制應用指引第1號——組織架構》等18項應用指引、《企業(yè)內(nèi)部控制評價指引》、《企業(yè)內(nèi)部控制審計指引》，要求自2011年1月1日起首先在境內(nèi)外同時上市的公司施行，2012年1月1日起擴大到上海、深圳證交所主板上市公司施行，在此基礎上，擇機在中小板和創(chuàng)業(yè)板上市公司施行。同時，鼓勵非上市大中型企業(yè)提前執(zhí)行。2/4/202323《企業(yè)內(nèi)部控制規(guī)范》適用范圍實施范圍：2011年境內(nèi)外同時上市的公司執(zhí)行2012年A股全面執(zhí)行，同時適當考慮中小板和創(chuàng)業(yè)板執(zhí)行鼓勵非上市的大中型企業(yè)執(zhí)行。上市公司任務：對本公司內(nèi)部控制的有效性進行自我評價（CSA）；披露年度自我評價報告；聘請具相關資格的會計師事務所對財務報告內(nèi)部控制的有效性進行審計。2/4/202324《企業(yè)內(nèi)部控制基本規(guī)范》出臺背景美國中國連續(xù)爆發(fā)安然、世通等重大丑聞；美國制定SOX，加強對上市公司的監(jiān)管連續(xù)發(fā)生中航油事件、中國銀行高山案、中海集團釜山資金門、三鹿奶粉事件、中信泰富案等重大丑聞2/4/202325中國內(nèi)部控制法規(guī)體系 * FootnoteSource: Source內(nèi)控規(guī)范法規(guī)體系《企業(yè)內(nèi)部控制基本規(guī)范

》《內(nèi)部控制自我評價指引》《企業(yè)內(nèi)部控制應用指引》《內(nèi)部控制審計指引》2/4/202326企業(yè)內(nèi)部控制應用指引1組織結構2發(fā)展戰(zhàn)略3人力資源4社會責任5企業(yè)文化6資金活動7采購管理8資產(chǎn)管理9銷售管理10研發(fā)管理11工程管理12擔保管理13業(yè)務外包14財務報告15全面預算16合同管理

17

內(nèi)部信息傳遞

18信息系統(tǒng)2/4/202327《內(nèi)部控制基本規(guī)范》內(nèi)容提要2/4/202328內(nèi)部控制，是由企業(yè)董事會、監(jiān)事會、經(jīng)理層和全體員工實施的、旨在實現(xiàn)控制目標的過程。內(nèi)部控制的內(nèi)涵2/4/202329誰對內(nèi)部控制負責對內(nèi)部控制的建立和實施進行指導和監(jiān)督對內(nèi)控建立健全和有效負責日常運作財務報表、資產(chǎn)安全董事會董事長總經(jīng)理總會計師（財務總監(jiān)）2/4/202330成本效益原則全面性重要性制衡性適應性內(nèi)部控制原則內(nèi)部控制的五大原則2/4/202331內(nèi)部控制的五大目標提高經(jīng)營效率和效果促進企業(yè)實現(xiàn)發(fā)展戰(zhàn)略資產(chǎn)安全財務報告及相關信息真實完整合理保證企業(yè)經(jīng)營管理的合法合規(guī)2/4/202332信息與溝通控制活動風險評估內(nèi)部環(huán)境內(nèi)部監(jiān)督內(nèi)部控制內(nèi)部控制的五大要素2/4/202333

內(nèi)部環(huán)境2/4/202334內(nèi)部審計機制對勝任能力的重視治理結構、內(nèi)部機構設置與權責分配企業(yè)文化（誠信原則與道德價值觀）人力資源政策與實務管理層的理念與經(jīng)營風格2/4/202335內(nèi)部環(huán)境的主要內(nèi)容對誠信和道德價值觀念的溝通與落實管理層的理念和經(jīng)營風格對勝任能力的重視組織結構及職權與責任的分配人力資源政策與實務2/4/202336對誠信和道德價值觀念的溝通與落實書面的行為守則及員工能接受和理解的文件適當?shù)臏贤ㄇ缹`反守則的員工給予適當?shù)奶幜P高管的行為和他們的表率行為至為關鍵

2/4/202337

案例：”日升昌票號”誠信與號規(guī)日升昌票號VS衣衫襤褸的乞丐婆內(nèi)部管理制度執(zhí)行的嚴肅性2/4/202338人力資源政策與實務招聘面試制度與流程正規(guī)的培訓制度對勝任能力的重視強調(diào)教育背景、前期工作經(jīng)驗、過去成就和有關誠信和道德行為的證據(jù)等等能力與成本的衡量（沒必要雇傭電器工程師更換燈泡）

2/4/202339

案例:曾國藩湘軍的招聘原則——“山僻之民多獷悍，水鄉(xiāng)之民多浮滑；城市多游惰之氣，鄉(xiāng)村多樸拙之夫，故善用兵者嘗好用山鄉(xiāng)之卒，而不好用城市近水之人?！薄獔F練中的大小頭目都有親誼關系，以便讓他們聯(lián)為一個堅強整體，除了同鄉(xiāng)之外，還包括各種私人關系，包括師友關系和姻親關系。個別信任or普遍信任？

2/4/202340案例：“山西票號”的人事政策——十年磨一商才，期間經(jīng)歷諸多考驗——用鄉(xiāng)不用親——保人負連帶責任如何建立信任？現(xiàn)代社會用人，還要強調(diào)知根知底嗎？2/4/202341組織結構及職權與責任的分配將權力和受托責任相結合來鼓勵個人在限定的范圍內(nèi)發(fā)揮主動性組織結構的簡化或“扁平化”.VS.增加授權確立報告關系和授權規(guī)程

領導=決策+授權正確授權有利于培養(yǎng)勝任能力和責任感?。?/4/202342案例：鋒利兇狠，秦始皇軍團兵器鑄造之謎四級管理制度，責任到人

丞相工師（廠長）丞（車間主任）工匠2/4/202343“桔生淮南則為桔，生于淮北則為枳”

案例：“軍功授爵制”為何成就秦軍卻對明軍無效？2/4/202344風險評估2/4/202345（一）風險評估要素總覽風險評估風險應對風險分析風險識別目標設定2/4/202346（二）目標設定目標設定是事項識別、風險評估和風險應對的前提。戰(zhàn)略目標——是最高層次的目標，它與主體的使命/愿景相協(xié)調(diào)，并支持后者。經(jīng)營目標——這些目標與主體經(jīng)營的有效性和效率有關，包括業(yè)績和贏利目標以及保護資源不受損失。報告目標——這些目標與報告的可靠性相關。它們包括內(nèi)部和外部報告，可能涉及到財務和非財務信息。合規(guī)目標——這些目標與符合相關法律和法規(guī)有關。2/4/202347案例：ABC醫(yī)療服務公司的目標設定使命——提供高質(zhì)量的、可行的和價格合理的社區(qū)健康服務。戰(zhàn)略目標——在中等類型城市成為數(shù)一數(shù)二的全方位的健康醫(yī)療服務提供者；在核心醫(yī)療服務質(zhì)量排名前四甲；在當?shù)厥袌龀蔀樾詢r比最高的領先者。戰(zhàn)略：——在目前還沒有進軍的目標市場里與當?shù)氐尼t(yī)院聯(lián)手結成戰(zhàn)略伙伴共同合作?！谀繕耸袌鍪召徱恍└哔|(zhì)量但處于困境狀態(tài)下的醫(yī)療服務機構?！ㄟ^發(fā)展所有權分享計劃或利潤分享的政策來吸引當?shù)馗叨酸t(yī)療人才?！谀繕耸袌鰧σ恍┐笾行推髽I(yè)開發(fā)出有針對性的市場操作程序?！靡延械母咚疁驶A組織系統(tǒng)提供高效的管理和成本控制。——對所有的醫(yī)療設施和其他相適應的法律法規(guī)進行追蹤記錄。

2/4/202348經(jīng)營目標運營目標——和當?shù)厍?0位的經(jīng)營不佳的醫(yī)院管理層進行初步接觸，并在年內(nèi)和2家醫(yī)院商討收購協(xié)議。

——在主要目標市場對這10個目標群進行其他方面的醫(yī)療合作，并在年內(nèi)和5家醫(yī)院執(zhí)行此合作協(xié)議。

——明晰了解主要市場中出色醫(yī)生的需求和職業(yè)選擇動機，并由此架構出相應的工作轉(zhuǎn)換優(yōu)惠條件模型。

——今年內(nèi)，保證至少在5個主要市場內(nèi)每一個核心醫(yī)療部門最少要有一個頂級醫(yī)生。

——對關鍵目標市場內(nèi)的當?shù)厣虡I(yè)領先者保持關注并以此決定醫(yī)療服務的需求。

——對商業(yè)客戶開發(fā)可選擇模型程序。

——對收購或重組后的醫(yī)院開發(fā)出一套可快速應用的信息和操作系統(tǒng)（制定協(xié)議對現(xiàn)有系統(tǒng)進行移植）。

——在一個新的區(qū)域應用新系統(tǒng)提供服務進而將該模型推廣到其他 區(qū)域。

2/4/202349報告目標——在新購并的機構安裝基礎系統(tǒng)，在月末的最后4個工作日提供關鍵業(yè)績指標，意外情況報告和趨勢線分析報告?！ＷC所有設備運行準確無誤，并對其運行狀況和出現(xiàn)的問題向管理層提供定期報告?！O立統(tǒng)一的報告系統(tǒng)/科目，以提供外部報告所需的精確和完整信息。合規(guī)目標——以章程、領導機構和員工為中心設立合規(guī)辦公室，對當?shù)胤种C構提供支持?！ＷC對相關法規(guī)法律的遵循達成一致認識，并將此納入人力資源目標和績效評估中。———對醫(yī)療程序、藥品的存儲和劑量、員工的分派、日程以及患者等所有方面制定公司范圍內(nèi)的管理草案?！獙忛喫凶杂姓?，考察是否與法律的要求和最佳事件準則相一致。2/4/202350案例：什么是正確的事情？3.212118億廣告投入機會風險訂貨急劇上升產(chǎn)能僅3千噸

資源約束財務風險緩解

配置資源，增加產(chǎn)能

壓縮訂單

收購散裝白酒勾兌秦池覆滅財務風險時間壓力財務壓力應對使命/愿景錯位！經(jīng)營戰(zhàn)略失誤！2/4/202351事項是源于內(nèi)部或外部的影響戰(zhàn)略實施或目標實現(xiàn)的事故或事件。事項可能帶來正面或負面影響，或者兩者兼而有之。無數(shù)外部和內(nèi)部因素驅(qū)動著影響戰(zhàn)略執(zhí)行和目標實現(xiàn)的事項。事項之間存在相互依賴性，一個事項可能引發(fā)另一個事項，事項也可能會同時發(fā)生。（三）風險或“事項”識別2/4/202352員工專業(yè)勝任能力等人力資源因素營運安全、員工健康、環(huán)境保護等安全環(huán)保因素

財務狀況、經(jīng)營成果、現(xiàn)金流量等財務因素

組織機構、經(jīng)營方式、資產(chǎn)管理、業(yè)務流程等管理因素

董事、監(jiān)事、經(jīng)理及其他高級管理人員的職業(yè)操守研究開發(fā)、技術投入、信息技術運用等自主創(chuàng)新因素

內(nèi)部風險

2/4/202353其他有關外部風險因素自然災害、環(huán)境狀況等自然環(huán)境因素

技術進步、工藝改進等科學技術因素

法律法規(guī)、監(jiān)管要求等法律因素

經(jīng)濟形勢、產(chǎn)業(yè)政策、融資環(huán)境、市場競爭、資源供給等經(jīng)濟因素

安全穩(wěn)定、文化傳統(tǒng)、社會信用、教育水平、消費者行為等外部風險

2/4/202354

風險識別的SWOT分析法內(nèi)部（組織）有利于目標的達成有害于目標的達成外部（環(huán)境）優(yōu)勢（strengths)劣勢(Weakness)市場地位核心競爭力規(guī)模經(jīng)濟低成本定位領導和管理水平財務資源生產(chǎn)技術水平研發(fā)能力產(chǎn)品差異性低市場占有率缺乏核心競爭力廠房設備老舊成本居高不下資產(chǎn)負債和現(xiàn)金流水平較差較低的研發(fā)能力產(chǎn)品趨同、定位較差質(zhì)量存在問題缺乏分銷渠道機會(Opportunities)威脅(Threats)技術創(chuàng)新全新市場需求市場多層面機會市場的增長居民年齡結構和社會變化政治和政府的扶持經(jīng)濟增長并購和合作低成本獲取資金貿(mào)易自由化進入市場的競爭者價格競爭壓力原材料加工和工資成本的上升客戶需求的變化買方強勢和壟斷市場供給增加高于需求的增加經(jīng)濟周期性下降人口年齡結構變化法規(guī)變化和進口產(chǎn)品威脅2/4/202355Ⅲ優(yōu)勢SⅣ劣勢WI機會OⅤSO策略抓住機遇，發(fā)揮優(yōu)勢策略ⅥWO策略利用機會，克服劣勢策略Ⅱ威脅TⅦST策略利用優(yōu)勢，減少威脅策略ⅧWT策略彌補缺點，規(guī)避威脅策略2/4/202356SO是項目的優(yōu)越之處，需要做好利用，也是解決風險的重要途徑；ST是項目的風險潛在區(qū)，要做好合理的規(guī)劃和監(jiān)控，盡量降低威脅產(chǎn)生的幾率；WO是項目風險的中度發(fā)生區(qū)，需要做好風險評估，制定風險監(jiān)督計劃。WT是項目風險高發(fā)區(qū)，需要對風險進行損害分析，制定風險應對計劃和方案，確定相關責任2/4/202357風險識別的因果分析法（石川馨，1953）風險事故主骨大骨大骨大骨大骨中骨小骨2/4/202358氣候條件承包商配套設施地點建設成本高于預期財務地點政府溫度范圍降雨量風向風力洪水季節(jié)變化地震雷暴雨經(jīng)驗資源施工人員質(zhì)量控制可用工廠債券/保險/破產(chǎn)建造技術勞工關系匯率水電設施簽證產(chǎn)品稅污染立法地方稅地方保險要求通貨膨脹進口關稅企業(yè)所得稅植被地下水位土壤條件地形狀況交通運輸環(huán)境問題地方政府權利官員腐敗規(guī)劃批復當?shù)睾匣锶四呈撅L險分析的魚骨模型2/4/202359（四）風險評估評估出損失概率和損失程度主要技術方法：風險坐標圖法風險度評價法概率分析法風險價值法（VAR)2/4/202360高低小大發(fā)生的可能性影響“黑天鵝”??！需要相當關注！?。?！毋需多考慮中等風險估計風險發(fā)生的可能性和影響2/4/202361“黑天鵝”有著高度不可能事件所應具備的三個特征：第一點是不可預知性；第二點是它所帶來的影響是巨大的；第三點是，在此之后，人們總是試圖編造理由來作解釋，好讓整件事情看起來不是那么的隨意就發(fā)生了，而是事先能夠被預測到的。

對“黑天鵝”需要采取特定的戰(zhàn)略進行防范和應對。2/4/202362

示例：投資銀行的風險評估高風險中度風險（黑天鵝）中度風險低風險低高高可能性影響交易所交易方式帶來的風險交易操作風險……自然災害引起的風險交易系統(tǒng)出現(xiàn)故障帶來的風險……交易所規(guī)則、政策的改變帶來的風險……證券、期貨、指數(shù)交易固有的風險舞弊風險現(xiàn)金流量風險員工不能勝任風險上級對下級指導監(jiān)督不力的風險過分追求短期目標風險信息交流不暢風險

……2/4/202363量化體系舉例：風險矩陣

后果4中中中中高高高3低中中中中高高2低低中中中中中1低低低低中中中1234567頻率⑵風險等級高風險（紅色區(qū)域）：管理優(yōu)先級為高的風險。需要重點關注，優(yōu)先調(diào)配資源以進行管理，以把風險排序降低。中風險（黃色區(qū)域）：管理優(yōu)先級為中的風險。需關注風險趨勢變化，適當?shù)卣{(diào)整資源以進行管理，以有效的成本代價降低風險排序。低風險（綠色區(qū)域）：管理優(yōu)先級為低的風險。需維持現(xiàn)有管理水平，可適當?shù)匕奄Y源調(diào)配，用以管理其它風險。2/4/202364分值后果法規(guī)運營/體系經(jīng)濟（損失）聲譽安全環(huán)境對目標/KPI結果的影響4非常嚴重起訴廣泛損害業(yè)務中斷多于2天美元多于100萬媒體持續(xù)關注，與業(yè)務伙伴間的信任受損，股東信任受損死亡反復的超標排放/溢出，高額修復成本，嚴重的環(huán)境破壞沒有完成的目標/KPI指標15%≤20%3嚴重公開警告，罰款嚴重損害,業(yè)務中斷少于2天美元10萬-100萬引起公眾關注/評論，社會形象受損長期、永久損害反復的次要的超標排放或溢出沒有完成的目標/KPI指標10%≤15%2重要公開警告，不罰款輕微損害,業(yè)務延誤美元1萬-10萬媒體負面報告短期損害沒有產(chǎn)生永久的環(huán)境影響沒有完成的目標/KPI指標5%≤10%1輕微被政府機關構質(zhì)疑調(diào)查沒有或輕微損害，對運營沒有影響美元少于1萬元沒有影響，或影響很小沒有影響，或?qū)】涤绊懞苄∠到y(tǒng)內(nèi)危害沒有完成的目標/KPI指標≤5%量化體系舉例：風險矩陣-后果(嚴重程度)2/4/202365量化體系舉例：風險矩陣-頻率

分值頻率定義7頻繁每周發(fā)生6很可能每月發(fā)生5可能每1個財政年度發(fā)生1次4很少每3個財政年度發(fā)生1次（公司內(nèi)），或每1年發(fā)生1次（行業(yè)內(nèi)）3極少的每10個財政年度發(fā)生1次（公司內(nèi)），或每5年發(fā)生1次（行業(yè)內(nèi)）2不太可能超過10個財政年度發(fā)生1次（公司內(nèi)），或每5年以上發(fā)生1次（行業(yè)內(nèi)）1不可能不會在這個行業(yè)內(nèi)發(fā)生2/4/202366企業(yè)內(nèi)不同層面所承擔的風險職責1234董事會：董事會知道管理層在組織中建立有效的風險管理的程度。它知道并同意主體的風險偏好。它審核風險組合觀并對照風險偏好對其進行考慮。知悉最重大的風險以及管理層是否恰當?shù)膽獙?。管理層CEO最終對企業(yè)風險管理負責。他/她確保存在積極的內(nèi)部環(huán)境，并且企業(yè)風險管理的所有構成要素都存在。掌管組織中各單元的高級管理人員負責管理與他們所在單元目標相關的風險。他們指導企業(yè)風險管理的應用，其確保應用與風險偏好相一致。每位管理人員都就他/她在企業(yè)風險管理中的那一部分對更高的層級負責，而CEO最終對董事會負責。主體中的其他人員：企業(yè)風險管理是每個人的職位描述中的一個明顯或隱含的部分。員工了解抵抗來自上級的參與不正當行為的壓力的需要，并且在正常的報告途徑之外有可利用其他的渠道。所有員工的企業(yè)風險管理職能與責任都被很好的界定和有效地溝通。與主體互動的各方：存在從與主體互動的各方獲取相關信息并采取恰當措施的機制。措施不僅包括致力于所報告的特定情形，還包括調(diào)查問題的根本原因并對其進行修正。對于外包出去的活動，管理層要執(zhí)行一項計劃以監(jiān)控這些活動。管理層要考慮那些可能會增進企業(yè)風險管理的財務分析師，債券評級機構和新聞媒體的觀察和見解。風險職能與責任2/4/202367固有風險和剩余風險固有風險是管理當局沒有采取任何措施來改變風險的可能性或影響的情況下，一個主體所面臨的風險。剩余風險是在管理當局的風險應對之后所殘余的風險。2/4/202368（五）風險應對風險應對承受分擔回避降低2/4/202369剝離根除禁止停止篩選回避2/4/202370具體措施包括剝離：通過退出一個市場/區(qū)域，或通過出售，剝離一個產(chǎn)品/業(yè)務。禁止：通過設立權限制度，禁止高風險的經(jīng)營活動和交易。停止：通過重新設定目標，重新集中策略，重新調(diào)動資源，停止特定的活動。篩選：篩選替代性資源項目及投資，避免低回報。根除：在根源上設計并實施內(nèi)部防止流程。2/4/202371分散：在地理區(qū)域內(nèi)分散財務、有形或信息資產(chǎn)以降低過高的災難性損失。降低控制：通過內(nèi)部流程或行動，降低負面事件出現(xiàn)的可能性到一個可以接受的水平。

2/4/202372案例：風險降低——溫州中小企業(yè)突出重圍轉(zhuǎn)變競爭戰(zhàn)略：由成本領先轉(zhuǎn)向產(chǎn)品歧異。轉(zhuǎn)向土地、材料以及勞動力成本低的地區(qū)設廠。加強內(nèi)部流程控制——提高效率，降低成本。最近，阿迪達期在蘇州的工廠關閉！2/4/202373保險外包對沖證券化分享分擔2/4/202374案例：風險分擔——衍生金融工具的運用對于國際貿(mào)易中應收應付款的匯率波動風險，可以通過購入遠期外匯合約的方式分散風險。對于實物交易中可能出現(xiàn)的價格波動風險，可以通過套期保值的期貨交易分散風險。

注意：慎重進行非套期保值的投機性期貨（期權）交易！反面案例：中航油事件、國儲銅期貨巨虧事件2/4/202375示例：期貨空頭套期保值市場情況5月15日公司X簽訂出售100萬桶石油的合同，成交價以8月15日的即期石油價格為準。（這就意味著存在價格風險！）當前報價為

即期原油價格：每桶19美元

8月份到期的原油期貨價格：每桶18.75美元（看跌）套期保值策略

5月15日：賣空1000張8月份到期的石油期貨合約。

8月15日：對5月15日的期貨空頭平倉

2/4/202376結果

該公司可以確信每桶石油的價格鎖定在18.75美元例1：

8月15日石油價格為每桶17.5美元，依據(jù)合同，該公司每桶油的售價為17.5美元；該公司在期貨市場上每桶石油獲利1.25美元（買入現(xiàn)貨，交割期貨）。公司每桶油實際獲利=1.25+17.5=18.75美元例2：

8月15日石油價格為每桶19.5美元；依據(jù)合同，實際售價為19.5美元。但是公司在期貨市場虧損每桶0.75美元。公司每桶油的實際獲利=19.5-0.75=18.75美元

思考：如果不進行套期保值，情況分別會如何？2/4/202377在確定風險應對的過程中，管理當局應該考慮：哪個應對方案與主體的風險容量相協(xié)調(diào)潛在應對方案的成本和效益注意：個人的風險理念與公司的風險容量要區(qū)隔??！2/4/202378控制活動2/4/202379運營分析控制和績效考評控制

預算控制

財產(chǎn)保護控制授權審批控制職責分工控制（不相容職務分離）會計系統(tǒng)控制信息系統(tǒng)控制2/4/202380不相容職務分離：授權、批準、業(yè)務辦理會計記錄、財產(chǎn)保管、稽核檢查輪崗制度強制休假制度職責分工控制2/4/202381常規(guī)授權與臨時性授權編制常規(guī)性授權指引集體決策制度和聯(lián)簽制度授權審批控制

2/4/202382集團母子公司財務管理關系模型股東大會委托董事會委托經(jīng)理層母公司子公司委托經(jīng)理層委托董事會股東大會子公司高層定期述職報告母公司定期審計/檢查評價機制財務資源管理財務制度財務體制決策機制財務人員委派制定財務管理體制2/4/202383表1集團公司財務管控體系財務分析、監(jiān)控內(nèi)外部審計利用銀行服務財務權限系統(tǒng)對上報財務情況進行適時的分析、跟蹤及監(jiān)控；加強對總公司下屬資產(chǎn)的監(jiān)察工作，要求財務賬與物賬達到平衡；不定期的客戶、供應商查詢核對（可利用部分審計工作）；建立違規(guī)操作舉報機制；建議增加總公司審計力量（至少四人）進行常規(guī)審計、隨機審計、專題審計、流程審計銀行直接把下屬業(yè)務單位銀行對賬單抄送公司總部；銀行自動向公司總部報告金額超過一定限度的交易；所有新業(yè)務均使用總部財務中心指定銀行明確界定公司總部、下屬公司的財務審批權限；規(guī)范設計公司總部和下屬公司之間的財務審批流程。2/4/202384表2不同戰(zhàn)略導向的管控原則戰(zhàn)略選擇集權/分權程度

簡要說明擴張戰(zhàn)略偏向分權積極鼓勵子公司開拓外部市場，“八仙過海，各顯神通”，形成集團內(nèi)多個新的經(jīng)濟和利潤增長點穩(wěn)定戰(zhàn)略中性集團總部必須從嚴格把握投融資權力，而對有關資金運營效率方面的權力可以適當分離緊縮戰(zhàn)略高度集權嚴肅財經(jīng)紀律，資金鏈由母公司嚴格控制混合戰(zhàn)略權變有必要對不同的子公司實行不同的管理模式2/4/202385表3財務人員的委派與管理類型說明優(yōu)勢劣勢集中管理方式各子公司的財務部都是母公司的派出機構，財會人員的任免與人事關系均集中在母公司實現(xiàn)了統(tǒng)一管理，有利于母公司財務制度的實施；加強了專業(yè)化管理，有利于提高財務人員素質(zhì)；有利于統(tǒng)一核算口徑與方法，提高財會信息質(zhì)量；有利于財會人員正常行使職權，解決了“頂?shù)米≌静蛔　被颉罢镜米№敳蛔　钡膯栴}。與業(yè)務單位的聯(lián)系不夠緊密，容易造成某些方面的脫節(jié)雙重管理方式各子公司財務機構主要管理人員的任免權集中在母公司，但其人事關系和工資關系放在子公司加強了財務部門管理與其他部門的分工協(xié)作，避免了工作的脫節(jié)，又體現(xiàn)了一定的垂直領導財務管理人員的人事和工資關系不由母公司掌握，削弱了母公司的控制力度重點管理方式各子公司財務管理部門正職由母公司委派，其人事關系和工資關系保留在母公司，副職則由子公司委派減少子公司的抵觸心理，加強溝通，有助于財務管理工作的順利開展；各子公司主要財務管理人員應當在適當?shù)钠谙迌?nèi)進行崗位輪換，這既有利于財務管理人員個人職業(yè)生涯的發(fā)展，又可杜絕因在某一崗位上工作時間過長可能發(fā)生的營私舞弊現(xiàn)象設置副職增加人力成本支出；正副職可能產(chǎn)生矛盾，溝通協(xié)調(diào)帶來障礙2/4/202386投資管理中心集團公司財務管理的“七大中心”模式財務會計管理中心融資管理中心資金結算中心資金運營監(jiān)控中心稅費管理中心財務預算控制中心2/4/202387建立全面預算管理結構戰(zhàn)略活動經(jīng)營活動戰(zhàn)略形成戰(zhàn)略計劃經(jīng)營計劃財務預算公司戰(zhàn)略（更新的）外部驅(qū)動因素業(yè)務單元戰(zhàn)略（更新的）戰(zhàn)略規(guī)劃和目標競爭對手產(chǎn)品政府顧客人力資源業(yè)務水平投資計劃信息技術業(yè)務水平生產(chǎn)銷售計劃業(yè)績評價與報告經(jīng)營目標營銷業(yè)務利潤人力資源資本支出研發(fā)分配目標編制預算產(chǎn)品收入預算經(jīng)營成本預算損益和資產(chǎn)負債表預算資本支出預算制定匯總審核/推行2/4/202388財務預算計劃流程框架集團戰(zhàn)略規(guī)劃集團年度經(jīng)營目標事業(yè)部銷售計劃事業(yè)部經(jīng)營指標及策略集團財務預算生產(chǎn)計劃研發(fā)計劃工程服務計劃人力資源計劃投資計劃事業(yè)部財務預算2/4/202389信息與溝通2/4/202390

外部溝通

內(nèi)部溝通（政策手冊、備忘錄、電子郵件、網(wǎng)絡發(fā)布和錄像帶信息等）信息與溝通加強信息系統(tǒng)開發(fā)與維護

建立反舞弊機制與舉報熱線制度性的報告途徑VS單獨的溝通渠道2/4/202391某集團公司的信息與溝通總裁辦職能中心辦公室部門子公司領導集團領導信息周報質(zhì)詢簡報信息周報質(zhì)詢周報匯總制度、模板、簡報質(zhì)詢簡報質(zhì)詢質(zhì)詢制度、模板、簡報制度、模板、簡報催收與核實重大事件詳細說明從周報到月報2/4/202392未經(jīng)授權或者采取其他不法方式侵占、挪用企業(yè)資產(chǎn)，牟取不當利益

在財務會計報告和信息披露等方面存在的虛假記載、誤導性陳述或者重大遺漏等

董事、監(jiān)事、經(jīng)理及其他高級管理人員濫用職權

反舞弊工作的重點相關機構或人員串通舞弊

2/4/202393舉報調(diào)查處理報告和補救反舞弊機制2/4/202394關于與外部的溝通與客戶的溝通與監(jiān)管機構之間的溝通與律師之間的溝通與外部審計師之間的溝通與供應商的溝通與投資者和債權人之間的溝通2/4/202395內(nèi)部監(jiān)督2/4/202396單位是否定期評價內(nèi)部控制（持續(xù)的監(jiān)督與專項監(jiān)督檢查）管理層是否及時糾正控制運行中偏差；管理層根據(jù)監(jiān)管機構的報告及建議是否及時采取糾正措施；是否存在協(xié)助管理層監(jiān)督內(nèi)部控制的職能部門（如內(nèi)部審計部門）；2/4/202397內(nèi)部控制自我評估及評估報告評估方式、范圍、程序和頻率，根據(jù)企業(yè)的業(yè)務企業(yè)根據(jù)經(jīng)營業(yè)務調(diào)整、經(jīng)營環(huán)境變化、業(yè)務發(fā)展狀況、實際風險水平等多種因素合理確定，但是至少應當每三年進行一次。內(nèi)部控制自我評估報告的要素2/4/2023981992COSO《企業(yè)內(nèi)部控制——整體框架》2/4/202399信息與溝通內(nèi)部環(huán)境目標設定事項識別風險評估風險應對控制活動企業(yè)全面風險管理系統(tǒng)運作圖（基于2004COSOERM框架)主體層次分部子公司業(yè)務單元監(jiān)督2/4/2023100股東大會監(jiān)事會審計委員會風險管理委員會董事會（含獨立董事）內(nèi)審部總經(jīng)理首席風險官風險管理部綜合部財務部市場部生產(chǎn)部……第三道防線第一道防線第二道防線企業(yè)內(nèi)部控制與風險管理由誰實施？2/4/2023101注意：風險管理的三道防線第一道防線：業(yè)務單位防線要求各業(yè)務單位就其戰(zhàn)略性風險、信貸風險、市場風險和營運風險等，進行系統(tǒng)的分析、確認、度量、管理和監(jiān)控。要建立好風險管理的第一道防線，企業(yè)的各個業(yè)務單位需要：了解企業(yè)戰(zhàn)略目標及可能影響企業(yè)達標的風險；識別風險類別對相關風險作出評估決定風險轉(zhuǎn)移、避免或減低風險的策略設計及實施風險策略的相關內(nèi)部控制企業(yè)需要把評估風險與內(nèi)控措施的結果進行記錄和存檔，對內(nèi)控措施的有效性不斷進行測試和更新。2/4/2023102第二道防線：風險職能管理部門防線風險管理部的責任是領導和協(xié)調(diào)公司內(nèi)各單位在風險管理方面的工作，職責包括：編制規(guī)章制度對各業(yè)務單位的風險進行組合管理度量風險和評估風險的界限建立風險信息系統(tǒng)和預警系統(tǒng)、厘定關鍵風險指標負責風險信息披露、溝通、協(xié)調(diào)員工培訓和學習的工作按照風險與回報的分析、為各業(yè)務單位分配經(jīng)濟資本金可以克服狹隘的部門利益，平衡各部門的風險。2/4/2023103風險經(jīng)理風險管理工程師保險經(jīng)理安全、環(huán)境和防損經(jīng)理保險經(jīng)理風險分析經(jīng)理保險規(guī)劃員保險辦事員索賠管理員危害性風險分析員金融風險分析師安全主管工業(yè)衛(wèi)生主管消防主管安全工程師工業(yè)衛(wèi)生專家消防工程師2/4/2023104第三道防線：內(nèi)部審計防線通過評估風險識別的充分性、評估已有風險衡量的恰當性以及風險防范措施的有效性等三方面參與企業(yè)風險管理。企業(yè)的內(nèi)部審計工作一般是對各業(yè)務部門和風險管理職能部門的風險管理活動進行的再監(jiān)督，而不是親自參與每項風險的評估與控制。2/4/2023105如何依據(jù)《內(nèi)部控制規(guī)范》構建內(nèi)部控制體系2/4/2023106規(guī)范治理結構梳理組織設計人員設置劃分部門職責確定崗位職責、權限內(nèi)控部門確定公司規(guī)章制度戰(zhàn)略目標內(nèi)控職責確立業(yè)務流程

一、梳理企業(yè)現(xiàn)有治理結構、完善組織設計及部門設置

2/4/2023107

在這一階段需要做好的事情有：構建完善的公司治理機制；設計好公司組織結構；建立主管內(nèi)部控制的組織機構，明確人、財、物權；對業(yè)務活動及流程進行初步梳理。2/4/2023108舉例：中國石油內(nèi)部控制體系建設組織機構總裁內(nèi)控項目建設委員會領導機構主管建設部門工作機構審計師中介機構內(nèi)控項目建設委員會內(nèi)控項目建設委員會………………內(nèi)控項目建設委員會內(nèi)控項目組………………總部下屬公司或2/4/2023109二、建立內(nèi)部控制系統(tǒng)1.對企業(yè)風險進行系統(tǒng)評估確定風險因素行業(yè)特色、業(yè)務特征設定重要性水平系統(tǒng)評估現(xiàn)有風險風險識別、分析建立風險清單、風險數(shù)據(jù)庫確定風險應對策略風險矩陣風險測評工具2/4/20231102.建立書面的《內(nèi)部控制手冊》業(yè)務流程劃分整體流程劃分規(guī)范流程圖關鍵崗位及職責表流程控制目標關鍵控制活動清單控制活動單項分析表不相容職務分離表企業(yè)制度體系援引制度清單內(nèi)控矩陣內(nèi)審職責表支持匯總歸納編制分析實現(xiàn)制定2/4/20231113.對企業(yè)內(nèi)部管理手冊的執(zhí)行進行持續(xù)監(jiān)督。

內(nèi)審部門是核心！4.根據(jù)企業(yè)的外部環(huán)境及內(nèi)部業(yè)務的變化對內(nèi)控體系進行動態(tài)更新。切記：企業(yè)風險管理（內(nèi)部控制）是一個動態(tài)的過程沒有功德圓滿，一勞永逸！2/4/2023112序號國內(nèi)企業(yè)常見內(nèi)控執(zhí)行瓶頸1缺乏對企業(yè)內(nèi)部控制基本概念的全面了解2對內(nèi)部控制的建設和評價無從著手3如何與企業(yè)現(xiàn)有的組織架構和管理模式相結合4如何與企業(yè)已有的內(nèi)部管理制度基礎進行銜接5如何在滿足《內(nèi)部控制基本規(guī)范》的同時，滿足證券交易所和國資委等監(jiān)管機構的要求6缺乏熟悉《內(nèi)部控制基本規(guī)范》及其配套政策的人員7缺乏在集團范圍內(nèi)建設內(nèi)部控制體系的經(jīng)驗8不理解審計師內(nèi)部控制審計的工作目的和要求2/4/2023113《內(nèi)控規(guī)范》管理層應對要點—內(nèi)部環(huán)境內(nèi)控要求（括號內(nèi)對應內(nèi)部控制基本規(guī)范具體條目）

管理層的工作（13）企業(yè)應當在董事會下設立審計委員會。審計委員會負責審查企業(yè)內(nèi)部控制，監(jiān)督內(nèi)部控制的有效實施和內(nèi)部控制自我評價情況，協(xié)調(diào)內(nèi)部控制審計及其他相關事宜等。（15）內(nèi)部審計機構應當結合內(nèi)部審計監(jiān)督，對內(nèi)部控制的有效性進行監(jiān)督檢查

公司董事會下屬審計委員會對內(nèi)控實施狀況進行監(jiān)督檢查；公司董事會下屬審計委員會出具內(nèi)部控制自我評估報告

（14）企業(yè)應當通過編制內(nèi)部管理手冊，使全體員工掌握內(nèi)部機構設置、崗位職責、業(yè)務流程等情況，明確權責分配，正確行使職權。

企業(yè)應建立內(nèi)部管理手冊，包含機構設置，崗位職責，業(yè)務流程

（16）企業(yè)應當制定和實施有利于企業(yè)可持續(xù)發(fā)展的人力資源政策建立和完善人力資源政策（17）企業(yè)應當將職業(yè)道德修養(yǎng)和專業(yè)勝任能力作為選拔和聘用員工的重要標準，切實加強員工培訓和繼續(xù)教育，不斷提升員工素質(zhì)。

建立持續(xù)有效的內(nèi)控培訓機制（18）企業(yè)應當加強文化建設，培育積極向上的價值觀和社會責任感，倡導誠實守信、愛崗敬業(yè)、開拓創(chuàng)新和團隊協(xié)作情神，樹立現(xiàn)代管理理念，強化風險意識。

建立和完善企業(yè)控制文化2/4/2023114《內(nèi)控規(guī)范》管理層應對要點－風險評估內(nèi)控要求（括號內(nèi)對應內(nèi)部控制基本規(guī)范具體條目）

管理層的工作（22）企業(yè)識別內(nèi)部風險需要吸收專業(yè)人士組成風險分析團隊識別內(nèi)外部風險，進行風險識別和應對

（23）外部風險類型（24）企業(yè)進行風險分析，應當充分吸收專業(yè)人員，組成風險分析團隊（26）企業(yè)應當綜合運用風險規(guī)避、風險降低、風險分擔和風險承受等風險應對策略，實現(xiàn)對風險的有效控制2/4/2023115《內(nèi)控規(guī)范》管理層應對要點－控制活動內(nèi)控要求（括號內(nèi)對應內(nèi)部控制基本規(guī)范具體條目）

管理層的工作（28）控制措施一般包括：不相容職務分離控制、授權審批控制，會計系統(tǒng)控制、財產(chǎn)保護控制、預算控制、運營分析控制和績效考評控制等

需要建立完善各類控制活動：不相容職務分離控制、授權審批控制，會計系統(tǒng)控制、財產(chǎn)保護控制、預算控制、運營分析控制、績效考評控制、風險預警及突發(fā)事件應急處理機制（37）企業(yè)應當建立重大風險預警機制和突發(fā)事件應急處理機制

2/4/2023116《內(nèi)控規(guī)范》管理層應對要點－信息與溝通內(nèi)控要求（括號內(nèi)對應內(nèi)部控制基本規(guī)范具體條目）

管理層的工作（40）企業(yè)應當將內(nèi)部控制相關信息在企業(yè)內(nèi)部各管理級次、責任單位、業(yè)務環(huán)節(jié)之間，以及企業(yè)與外部投資者、債權人、客戶、供應商、中介機構和監(jiān)管部門等有關方面之間進行溝通和反饋，信息溝通過程中發(fā)現(xiàn)的問題，應當及時報告并加以解決。

完善公司內(nèi)部以及同外部之間的聯(lián)系溝通

（42）建立反舞弊機制

完善反舞弊的機制

2/4/2023117《內(nèi)控規(guī)范》管理層應對要點－監(jiān)控內(nèi)控要求（括號內(nèi)對應內(nèi)部控制基本規(guī)范具體條目）

管理層的工作（44）內(nèi)部監(jiān)督分為日常監(jiān)督和專項監(jiān)督。

需要定期對公司內(nèi)部控制狀況進行進行日常和專項的監(jiān)督

（45）企業(yè)應當制定內(nèi)部控制缺陷認定標準，分析缺陷的性質(zhì)和產(chǎn)生的原因，提出整改方案，應當跟蹤內(nèi)部控制缺陷整改情況

制定內(nèi)控缺陷標準；分析性質(zhì)和原因；提出并實施整改方案

（46）定期對內(nèi)部控制的有效性進行自我評價，出具內(nèi)部控制自我評價報告

定期出具內(nèi)部控制自我評估報告

2/4/2023118上市公司內(nèi)控制度體系（對應五部委規(guī)范）一級目錄二級目錄一級目錄二級目錄一級目錄二級目錄組織架構組織結構設計與調(diào)整采購業(yè)務采購政策銷售業(yè)務市場開發(fā)及銷售政策☆綜合管理資料與檔案管理材料采購產(chǎn)品定價管理印章管理模具采購信用管理行政發(fā)文低值易耗品采購銷售訂單及銷售合同管理財務管理銀行賬戶管理固定資產(chǎn)采購發(fā)貨裝運管理現(xiàn)金管理服務采購退貨管理票據(jù)管理供應商開發(fā)及評審合同管理合同管理成本費用核算供應商管理☆內(nèi)審管理內(nèi)控與內(nèi)審管理備用金管理☆生產(chǎn)管理生產(chǎn)計劃信息系統(tǒng)信息系統(tǒng)開發(fā)與變更費用報銷管理材料領用及退料管理信息系統(tǒng)安全與日常維護關聯(lián)交易管理委外加工管理人力資源員工招聘個人借款管理生產(chǎn)管理（樣品、半成品、成品）員工培訓應付賬款管理產(chǎn)品完工入庫員工考勤與休假付款管理報廢品管理員工績效考評應收賬款管理固定資產(chǎn)管理固定資產(chǎn)維修員工薪酬管理收款管理固定資產(chǎn)盤點員工離職管理研究與開發(fā)研發(fā)管理固定資產(chǎn)轉(zhuǎn)移投融資管理投資管理工程項目工程項目管理固定資產(chǎn)出售融資及擔保管理財務報告財務報告管理固定資產(chǎn)報廢存貨管理存貨盤點全面預算預算管理

存貨安全管理2/4/2023119

集團公司管控制度清單（母公司對分支機構管控）授權審批制度授權與審批管理重大事項管理制度籌資管理制度對外投資管理制度工程項目管理制度財務管控制度

銀行賬戶管理制度關聯(lián)交易管理制度預算管理制度委派及考核制度對高層管理者的委派制度對董事、監(jiān)事的委派制度中層管理者和特殊崗位人員的委派制度一般員工招聘制度委派人員績效考核制度子公司薪酬發(fā)放制度委派人員離職管理制度集團內(nèi)部信息報告制度重大訴訟、仲裁事項重大事項報告關聯(lián)交易重大事件的進展重大風險事項重要合同其他對公司經(jīng)營產(chǎn)生重要影響的事件內(nèi)控與內(nèi)審管理制度內(nèi)控與內(nèi)審管理制度2/4/2023120企業(yè)構建內(nèi)控體系的七類成果2/4/2023121實例一：中石油內(nèi)控體系之構建2/4/2023122

中國石油天然氣股份有限公司（簡稱"中國石油"）成立于1999年11月5日,是在中國石油天然氣集團公司重組過程中按照中華人民共和國公司法設立的股份有限公司。中國石油發(fā)行的美國存托股份及H股于2000年4月6日及4月7日分別在紐約證券交易所及香港聯(lián)合交易所掛牌上市，股票交易代碼分別為“PTR”和“857”。作為在美國上市的公司，中國石油必須遵守美國的相關法律法規(guī)，包括《薩班斯-奧克斯利法案》(Sarbanes-OxleyAct，2002)。2/4/20231232/4/2023124中國石油在執(zhí)行《薩班斯-奧克斯利法案》404條款第一年即零缺陷通過內(nèi)控審計。普華永道對中國石油截止2006年12月31日的財務報告的相關內(nèi)控審計出具無保留意見的審計報告。中國石油內(nèi)控體系建設取得階段性勝利。2/4/2023125中國石油根據(jù)法案的要求，結合普華永道提供的建議，從企業(yè)實際情況出發(fā)，開始內(nèi)控體系建設的征程。前后過程可分為六個階段：第一階段為工作啟動階段。這個階段在總部進行，主要完成工作組籌建、人員培訓、建立工作方法和工作標準等。第二階段為業(yè)務流程的繪制和確認階段。以財務報告為切入點，對于相關業(yè)務進行確認，并在總部和試點單位開展標準流程的繪制。第三階段為建立風險評估標準，確定文檔記錄和評估階段。2/4/2023126第四階段為編制標準業(yè)務流程，匯總重要過程步驟并進行差異分析，確定具體的控制方法和控制手段。第五階段為測試關鍵控制的執(zhí)行效果，建立運營缺陷改進計劃，提交最終報告的階段。第六階段為維護更新階段。為保證建立的內(nèi)控體系長期有效運行，企業(yè)需要根據(jù)外部環(huán)境和內(nèi)部管理狀況的不斷變化，持續(xù)建設公司內(nèi)控體系，不斷改進完善。因此內(nèi)控體系維護更新是企業(yè)的一項日常工作，將貫穿企業(yè)日后的發(fā)展歷程。2/4/2023127中國石油內(nèi)部控制體系建設組織機構總裁內(nèi)控項目建設委員會領導機構主管建設部門工作機構審計師中介機構內(nèi)控項目建設委員會內(nèi)控項目建設委員會………………內(nèi)控項目建設委員會內(nèi)控項目組………………總部下屬公司或2/4/2023128（一）項目啟動和前期培訓公司管理層作為

2003年8月下旬，公司董事會決定按照法案要求建立內(nèi)控體系。公司首先成立由相關部門負責人組成的項目核心組。同年12月，公司成立內(nèi)控項目組。2004年3月，公司召開內(nèi)控體系建設項目啟動大會，正式宣告內(nèi)控體系建設全面啟動。實踐證明內(nèi)控體系建設是一項浩大繁瑣的工作，由于內(nèi)控體系建設形勢異常嚴峻，2004年9月15日公司管理層召開辦公會議，決定成立內(nèi)控項目建設委員會，公司總裁（CEO）親自擔任委員會主任，財務總監(jiān)（CFO）任副主任。管理層要求各專業(yè)公司（板塊）、地區(qū)公司相應成立內(nèi)控項目建設委員會、項目組和內(nèi)部控制管理機構。2/4/2023129中國石油各項目組分工負責情況如下：

2/4/2023130培訓工作組成員在普華永道支持下，項目組成員參加內(nèi)控體系建設相關知識培訓，培訓內(nèi)容包括薩奧法案、COSO框架等。培訓為項目組順利開展工作奠定了良好的基礎。項目組組織成員分別赴微軟（中國）和中國石化進行參觀訪問，學習先進的管理方法與經(jīng)驗。通過學習跨國公司和同行企業(yè)在內(nèi)控建設方面已有的成果和科學的方法，項目組成員拓展了工作思路、提高了認識、深化對內(nèi)控體系建設的理解2/4/2023131建立工作流程、明確人員分工項目組召開有專業(yè)公司（板塊）代表參加的項目啟動會議，提供有關項目辦公室組建及運營最佳慣例，征集各方關于項目組組織結構設置的建議和意見。統(tǒng)一意見后，建立項目組工作流程，明確小組責任分工，并嘗試建立與普華永道的合作分工關系。由于項目組人員來自各處室和專業(yè)公司（板塊），未能脫崗全職開展工作，人員不穩(wěn)定，嚴重影響了項目組工作；同時由于休假、培訓、考試等原因，普華永道工作組人員更換頻繁，影響了雙方工作銜接和工作開展。2/4/2023132管理現(xiàn)狀訪談

項目組對總部相關部門進行訪談以確定提出的方法是否適合公司實際情況；指導總部相關部門和地區(qū)公司進行業(yè)務流程配對，進行初步訪談和討論以了解并記錄公司的關鍵業(yè)務流程。與信息技術部門進行初步訪談以理解信息系統(tǒng)環(huán)境。通過管理現(xiàn)狀訪談使項目組成員更全面、更準確了解公司現(xiàn)狀。2/4/2023133（二）業(yè)務流程繪制和確認

內(nèi)控體系建設的重要內(nèi)容之一就是描述企業(yè)的業(yè)務流程和內(nèi)部控制現(xiàn)狀。只有業(yè)務流程和內(nèi)部控制現(xiàn)狀描述出來，才能以此為基礎，分析流程中的風險，與企業(yè)現(xiàn)有的控制相對照，從而尋找不足，不斷進行改進。沒有業(yè)務流程和內(nèi)部控制現(xiàn)狀的描述，內(nèi)控體系建設的后續(xù)工作將無法開展。2/4/2023134面臨的困難1.沒有統(tǒng)一的格式和標準。首先項目組必須選擇合適的軟件來繪制流程，而實踐中未形成統(tǒng)一的標準；其次流程描述范圍是關注公司整體業(yè)務流程還是僅僅與財務報表有關的流程，未形成統(tǒng)一的意見；風險控制文檔（RCD）、風險分析模板和風險數(shù)據(jù)庫均沒有統(tǒng)一的格式和標準。2.沒有具體目標。滿足法案要求、通過外部審計是內(nèi)控體系建設的最低目標、也是整體成果的體現(xiàn)。但具體到業(yè)務流程和內(nèi)部控制現(xiàn)狀描述，法案和審計準則沒有提供具體標準，公司對具體項目建設目標的理解要在實踐中通過與法案和審計準則的比對后不斷調(diào)整。3.各個在美國上市的公司處于同一起跑線上摸索，缺少參照物。內(nèi)控體系建設對各國企業(yè)來說都是一個全新的課題，沒有先例可循和成功經(jīng)驗可借鑒。企業(yè)因所處國家（或地區(qū)）以及行業(yè)不同，體系建設基礎差異較大，缺乏可比性。2/4/2023135

4.地區(qū)公司不同、管理水平不同。中國石油是一家上、中、下游綜合一體的石油公司，各板塊的作業(yè)方式和經(jīng)營管理水平差異很大。其次是執(zhí)行力不強。部分地區(qū)公司是在計劃經(jīng)濟時期形成的原省市縣三級公司基礎上，通過上劃重組整合起來的，且原省市縣三級公司又各為法人實體，獨立經(jīng)營，各自為政的思維方式和經(jīng)營管理習慣揮之不去，一些單位強調(diào)地區(qū)差異性，對公司的制度規(guī)定和管理要求理解不夠，執(zhí)行不全面。第三是管理低標化和非標化，忽視細節(jié)管理、管理粗放的現(xiàn)象仍然存在。第四是公司在開展國際化經(jīng)營和管理中必須遵守業(yè)務發(fā)生地的風俗習慣和法律法規(guī)，必須考慮到當?shù)氐恼?、?jīng)濟和匯率管理要求等。2/4/2023136業(yè)務梳理：經(jīng)過多次反復的訪談、編制、試驗和修改后，公司整體業(yè)務流程從最初設計的22項整合為17項，并建立勘探與生產(chǎn)、煉油與銷售、化工與銷售、天然氣與管道四個專業(yè)板塊流程目錄表。四個專業(yè)板塊流程名稱分別在17項流程前綴EP、RM、RC、GP以作區(qū)分。17項流程名稱具體如下表。2/4/20231371規(guī)劃計劃11技術發(fā)展2建設過程12健康、安全、環(huán)保3生產(chǎn)過程13財務資產(chǎn)4物資采購14內(nèi)部審計5服務采購15合同與糾紛6產(chǎn)品銷售16信息披露7存貨管理17內(nèi)部控制管理8投資管理9人力資源與業(yè)績考核10信息2/4/2023138流程目錄設置流程目錄設置以公司統(tǒng)一的內(nèi)控體系為出發(fā)點，既要考慮公司業(yè)務經(jīng)營管理的共性方面，也要考慮各專業(yè)公司（板塊）、地區(qū)公司個性方面的需要。按照重要性原則，對公司總體經(jīng)營管理影響不大的環(huán)節(jié)，就沒有設置成流程。流程目錄表結構如下：2/4/2023139流程編號一級流程二級流程三級流程四級流程五級流程流程之間接口RM01規(guī)劃計劃年度投資計劃RM02建設過程土地使用管理拆遷管理在建工程成本在建工程減值準備RM03生產(chǎn)過程油氣生產(chǎn)成本核算煉化生產(chǎn)成本核算RM04物資采購2/4/20231401）經(jīng)營決策風險：影響決策的時效、依據(jù)和質(zhì)量等。例如：預算目標脫離實際；沒能以合理的價格取得物資或服務；投資決策失誤導致投資失??；產(chǎn)品不能及時適應市場的變化和需求。2）違反法律法規(guī)風險：沒有全面執(zhí)行國家法律、法規(guī)和政策規(guī)定。例如：合同條款違法；偷稅；坐支現(xiàn)金；污染物的排放不符合國家環(huán)保規(guī)定。3）財務報告失真風險：企業(yè)未完全按會計準則、制度等規(guī)定組織會計核算和披露信息，導致財務報告在完整性、準確性等方面存在問題。例如：將資本化的支出費用化或?qū)①M用化的支出資本化；會計記錄錯誤（金額、科目、期間錯誤）；帳實不符；產(chǎn)品交接計量錯誤。

（三）風險評估2/4/20231414）資產(chǎn)安全受到威脅：指管理制度不健全或執(zhí)行不到位，企業(yè)實物資產(chǎn)如設備、存貨、證券、資金和其他資產(chǎn)的安全受到威脅。例如：挪用現(xiàn)金；存貨毀損被盜；資產(chǎn)處置未經(jīng)適當?shù)氖跈鄬е沦Y產(chǎn)流失。5）營私舞弊風險：以故意的行為獲得不公平或非法的收益。例如：人為調(diào)節(jié)收入；挪用現(xiàn)金；與審計師合謀篡改審計報告；偷稅。2/4/2023142（四）編制標準業(yè)務流程

（五）測試關鍵控制的執(zhí)行效果2/4/2023143實例二：中國移動內(nèi)部控制結構2/4/2023144某省級移動公司內(nèi)控結構簡圖內(nèi)部控制結構公司層面控制信息技術整體控制流程層面控制資本支出業(yè)務流程收入計費業(yè)務流程存貨管理業(yè)務流程營運支出業(yè)務流程貨幣資金業(yè)務流程固定、無形資產(chǎn)業(yè)務流程人工成本業(yè)務流程會計與財務報告流程關聯(lián)方交易業(yè)務流程法律法規(guī)遵守業(yè)務流程控制環(huán)境風險評估控制活動信息與溝通監(jiān)控對數(shù)據(jù)和程序的訪問BOSS系統(tǒng)MIS系統(tǒng)OA系統(tǒng)短信系統(tǒng)等等程序變更管理程序開發(fā)系統(tǒng)運行終端用戶計算2/4/2023145某某移動公司SOX簡表控制點分布如下：序號業(yè)務流程控制點個數(shù)A類個數(shù)B類個數(shù)C類個數(shù)1收入和計費業(yè)務流程60441242固定資產(chǎn)和無形資產(chǎn)管理業(yè)務流程431410193資本性支出50139284會計和財務報告33126155信息技術整體控制87864156存貨管理流程3775257法律法規(guī)遵循業(yè)務流程106318營運支出業(yè)務流程1951049貨幣資金管理流程1828810關聯(lián)交易業(yè)務流程513111人工成本管理業(yè)務流程13

4912籌資業(yè)務流程

合計3751121341292/4/2023146存貨管控關鍵控制點列表一XX06C.1.1授權和批準

采購部門:30萬元及以上的項目通過OA系統(tǒng)提交公司管理層審批;30萬元以下的項目提交采購部門負責人或公司分管領導審批;并在OA簽報件或合同審批表上簽字確認。XX06C.1.2管理層審閱采購訂單錄入部門應在采購訂單中加入預計到貨日期的信息；采購部門每季通過MIS系統(tǒng)生成超過預計到貨日期但尚未收的采購訂單清單并進行審閱，及時查找原因并積極跟進。相關人員應在超過預計到貨日期但尚未收貨的采購訂單清單上簽字確認，以建立必要的問責制。XX06C.1.3系統(tǒng)訪問權限只有經(jīng)授權的采購部門專門人員才可以在MIS系統(tǒng)中建立及更改采購訂單。XX06C.1.4管理層審閱創(chuàng)建采購訂單的人員應獨立于采購執(zhí)行人員；如不能獨立于，采購部門經(jīng)適當授權的人員或領導應根據(jù)采購合同對MIS系統(tǒng)中的采購訂單進行復核，確認采購訂單信息與采購合同的一致性；采購部門負責人在MIS系統(tǒng)中對采購訂單進行批準，啟動采購訂單的可用狀態(tài)。2/4/2023147續(xù)表二XX06C.1.5系統(tǒng)設置采購部門在MIS系統(tǒng)中創(chuàng)建采購訂單時，供應商僅能夠從MIS系統(tǒng)中的供應商名錄中進行選擇XX06C.1.6系統(tǒng)訪問權限經(jīng)過授權的供應商信息維護人員（來自財務部門）才能在MIS系統(tǒng)中對供應商記錄進行創(chuàng)建和修改。XX06C.1.7授權和批準

1.采購人員匯總相關部門對供應商的評價意見推薦供應商；2.需要建立或更改MIS系統(tǒng)中的供應商信息時，采購供應部門提供變更申請，包括供應商完整名稱、賬號以及地址等，提交經(jīng)過適當授權的管理層進行審批。

3.財務部門的供應商信息維護人員檢查管理層的授權審批證據(jù)后，根據(jù)供應商信息變更申請表在MIS系統(tǒng)中錄入或更改供應商信息。XX06C.1.8管理層審閱

供應商維護部門經(jīng)過授權的供應商信息維護人員定期在采購部門的配合下，審閱合格供應商名錄，確保合格供應商記錄信息的準確性、完整性和有效性。審閱人員應對定期審閱結果簽字確認。2/4/2023148續(xù)表三XX06C.1.9核對采購存貨入庫時，倉庫MIS系統(tǒng)管理員將送貨清單與MIS系統(tǒng)中的采購訂單進行核對。核對無誤后，倉庫MIS系統(tǒng)管理員在MIS系統(tǒng)中錄入實際收取的貨物數(shù)量并進行收貨確認。XX06C.1.10系統(tǒng)訪問權限只有經(jīng)授權的倉庫MIS系統(tǒng)管理員方可以在MIS系統(tǒng)中進行收貨確認及記錄存貨出庫。XX06C.1.11管理層審閱月末關賬后，倉庫MIS系統(tǒng)管理員在MIS系統(tǒng)中打印出當月“XXM06C庫存事務處理報告”報表，與倉庫實物管理員核對，雙方簽字確認。XX06C.1.12核對財務部門應付會計在收到供應商發(fā)票后，將MIS系統(tǒng)采購訂單、到貨接收與發(fā)票進行三向匹配，確認無差異后在MIS系統(tǒng)的采購訂單中輸入發(fā)票的實際存貨數(shù)量和單價，并進行發(fā)票匹配確認，MIS系統(tǒng)自動形成會計分錄，將暫估應付款轉(zhuǎn)至應付賬款。XX06C.1.13管理層審閱財務部經(jīng)適當授權的人員每季對暫估應付款余額進行審閱，對其中長期掛賬的暫估應付款要求采購人員予以跟進并及時提供采購發(fā)票，從而及時確認應付賬款。相關人員應在暫估應付款明細表上簽字確認，以建立必要的問責制。2/4/2023149續(xù)表四XX06C.1.14管理層審閱有權人員（采購部門）每半年審閱無合同或無訂單的暫收存貨登記簿并對其中長期未清理的存貨余額進行跟進，確保其及時履行簽訂合同、創(chuàng)建訂單以及入庫程序。對于跨會計期間（尤其是年中及年末）不能及時辦理入庫程序的存貨，存貨管理部門匯總已領用和未領用的存貨的數(shù)量和預計價格，經(jīng)存貨管理部門負責人審批后上報財務部門，由其對已領用和未領用存貨的成本進行賬務暫估處理，以確保成本費用和存貨核算的完整性。XX06C.1.15授權和批準支付應付賬款時,付款發(fā)起部門填寫付款通知單并附以發(fā)票、合同復印件或合同索引號，經(jīng)發(fā)起部門及采購部門負責人簽字同意后，按照涉及金額的不同取得財務部門負責人（授權人員）或公司管理層批準。財務部門負責人（授權人員）或公司管理層根據(jù)審批權限審核付款通知單及相關單據(jù)，并在付款通知單上簽字確認，以確保貨款的支付得到了適當?shù)呐鷾?。XX06C.1.16授權和批準只有經(jīng)授權人員才能進入倉庫區(qū)域，以保證存貨的安全，具體方式有（至少采取一種及以上）：建立倉庫人員進出登記簿、只有經(jīng)授權人員有倉庫的鑰匙、倉庫的門衛(wèi)只允許授權人員進入、采用電子監(jiān)控設備確保只有授權人員進入等。2/4/2023150續(xù)表五XX06C.1.17管理層審閱安全保衛(wèi)部門授權人員每半年對倉庫的安全保衛(wèi)設施和控制措施進行巡視檢查生成實地檢查報告，并在報告上簽字確認，以保證相關設施的有效運行和控制措施的有效執(zhí)行。XX06C.1.18資產(chǎn)保護控制領用人在領取低值易耗品以及備品備件時，向倉庫提交經(jīng)適當授權的管理層的批準并由倉庫記錄于備查簿，以確保領用得到了適當?shù)氖跈?。領用人在備查簿或領料單上簽字確認。XX06C.1.19管理層審閱（資產(chǎn)保護控制）倉庫獨立于實物保管的人員每季審閱低值易耗品及備品備件備查簿，核對相關支持性單據(jù)并簽字確認，以確保辦公用品、低值易耗品以及備品備件的準確記錄。XX06C.1.20授權和批準存貨領用需根據(jù)領用部門的不同，由經(jīng)過適當授權的人員審批并在領料申請上簽字確認。2/4/2023151續(xù)表六XX06C.1.21管理層審閱倉庫MIS系統(tǒng)管理員根據(jù)經(jīng)審批的領用申請，通過MIS系統(tǒng)打印領料單交領用人。領用人憑領料單于當月向倉庫實物管理員領取貨物。倉庫實物管理員核對領料單無誤后，辦理存貨實物出庫。領料單由存貨領用人和倉庫實物管理員簽字確認。XX06C.1.22管理層審閱營業(yè)廳獨立于存貨實物保管的人員每月檢查存貨領用備查簿、核對相關單據(jù)并簽字確認，以確保營業(yè)廳存貨數(shù)量記錄的準確性。XX06C.1.23核對營業(yè)廳倉庫實物管理員與所對應倉庫MIS系統(tǒng)管理員每月就營業(yè)廳倉庫的存貨數(shù)量進行對賬，以確保存貨賬實相符，核對雙方在核對記錄（如存貨領用備查簿）上簽字確認。XX06C.1.24管理層審閱

倉庫管理員應建立非正常領用備查薄。獨立于倉庫管理員的經(jīng)授權人員每季核對備查簿，并督促倉庫管理員向申領人員催收補辦手續(xù)，復核后在備查簿上簽字，以確保緊急領用存貨的正式手續(xù)能夠及時，完整地補辦。對于出庫手續(xù)不能在每季賬期結束前得以及時履行的，倉庫管理員于每月賬期結束前，根據(jù)緊急領用備查簿，向財務部門提交存貨緊急領用出庫數(shù)量，由財務部門暫估記錄存貨出庫。2/4/2023152續(xù)表七XX06C.1.25授權和批準省公司存貨管理部門根據(jù)庫存情況或地市公司需求申請安排內(nèi)部調(diào)撥。省公司存貨管理部門經(jīng)授權人員審核調(diào)撥申請表，批準后簽字確認。省公司存貨管理部門向各地市公司提出存貨調(diào)撥需求，各地市公司上報庫存情況后，省公司采供中心經(jīng)授權人員根據(jù)各地市庫存情況，提出存貨調(diào)撥申請，報省公司存貨管理部門負責人審批并在申請單上簽字確認。XX06C.1.26核對在內(nèi)部調(diào)撥過程中，接收倉庫MIS系統(tǒng)管理員將送貨清單與MIS系統(tǒng)中調(diào)撥信息進行核對，確保存貨類型和數(shù)量一致。經(jīng)確認無誤后，接收倉庫MIS系統(tǒng)管理員在MIS系統(tǒng)做接收處理，MIS系統(tǒng)自動記錄接收倉庫存貨增加和發(fā)貨倉庫存貨減少。XX06C.1.27授權和批準存貨退庫需取得存貨原領用部門及存貨管理部門經(jīng)授權人員的審批后方可辦理，審批人員在退料申請上簽字確認。XX06C.1.28核對月末，公司采供中心或地市公司財務部相關授權人員將MIS系統(tǒng)庫存模塊生成的當月存貨進銷存報表，提交財務部門由其據(jù)以與總賬模塊記錄之存貨余額進行核對。確保庫存模塊中存貨永續(xù)記錄與總賬模塊中存貨會計記錄的一致性和建立必要的問責制。財務部門核對無誤后，在存貨進銷存報表上簽字。2/4/2023153續(xù)表八XX06C.1.29核對

倉庫每季對全部存貨進行實物盤點。盤點人員根據(jù)存貨清單清查存貨實物，并在存貨清單上記錄實盤數(shù)量。盤點表經(jīng)盤點人員和監(jiān)盤人員簽字確認，交倉庫MIS系統(tǒng)管理員，由其將盤點表上的清查結果與MIS系統(tǒng)中的存貨記錄進行核對以發(fā)現(xiàn)存貨的盤盈、盤虧情況。XX06C.1.30授權和批準存貨管理部門/財務部門經(jīng)適當授權的管理層或公司管理層對盤盈盤虧結果進行審批并簽字確認。XX06C.1.31例外情況報告

倉庫每半年提交擬處置存貨庫存報表，反映由于毀損、過期等原因造成無法使用或長期擱置而需進行處置的存貨情況。XX06C.1.32授權和批準對于毀損和待報廢存貨，存貨管理部門對存貨進行實物檢查，對符合處置條件的存貨，編制存貨報廢清單，并根據(jù)涉及的金額的不同由經(jīng)過適當授權的管理層審批。XX06C.1.33資產(chǎn)保護控制獨立于存貨實物管理的人員在銷毀前根據(jù)報廢清單核對報廢實物的數(shù)量并監(jiān)督銷毀。監(jiān)督人員在銷毀完成后簽字于存貨報廢清單簽字確認。2/4/2023154續(xù)表九XX0706C.1.34資產(chǎn)保護控制存貨變賣處置時，收購方將處置現(xiàn)金收入轉(zhuǎn)賬至財務部門。倉庫實物管理員不得直接接收現(xiàn)金。XX0706C.1.35管理層審閱

財務部門定期（至少為每半年）編制存貨跌價準備報告，在地市公司管理層審批后及時上報省公司管理層審批。根據(jù)經(jīng)審批簽字的存貨跌價準備報告，財務部門在MIS系統(tǒng)中計提存貨跌價準備。XX0706C.1.36職責分工在存貨采購過程中，批準采購、執(zhí)行采購、倉庫實物管理、記錄存貨出入庫以及核算存貨成本的崗位由不同人員擔任，確保職責分工。XX0706C.1.37職責分工授權在MIS系統(tǒng)中負責采購訂單的人員獨立于采購執(zhí)行人員，確保職責分工。2/4/2023155內(nèi)部控制的一般方法2/4/2023156內(nèi)部控制的一般方法組織規(guī)劃控制授權批準控制文件記錄控制實物保護控制職工素質(zhì)控制全面預算控制內(nèi)部報告控制內(nèi)部審計控制績效考評控制重大風險預警控制突發(fā)事件應急處理控制……2/4/20231571.組織