
由于美國安然、世通、施樂、默克制藥等一批大公司會計丑聞接連曝光,誠信危機震撼著美國及國際社會。為了提高民眾對美國金融市場和政府經濟政策的信心,2002年7月25日,美國總統(tǒng)布什簽署了《薩班斯——奧克斯利法案》,中國在境外上市公司隨之執(zhí)行。中國石油天然氣集團公司所屬上市公司中國石油天然氣股份有限公司(簡稱“股份公司”)從2004年開始在上市公司實施企業(yè)內部控制。中國石油天然氣股份有限公司遼陽石化分公司(簡稱“遼陽石化”)作為股份公司的上市企業(yè),按照股份公司的總體部署,于同年啟動內控體系建設。經過幾年的努力,形成了一套遼陽石化的內部控制和風險防控體系。
一、企業(yè)內部控制體系概述
早期的內部控制在內容側重點和形式上都打上了審計專業(yè)或行業(yè)的烙印,被定義在與財務審計密切相關的狹窄的范疇。1992年,美國的COSO委員會設計了一個新的內部控制框架,即COSO框架。COSO框架是被廣泛認可的內部控制整體框架國際標準。按照COSO內部控制框架建立內控體系,是企業(yè)梳理管理流程、規(guī)范管理制度、提升整體管理水平的契機。
COSO框架包括五個基本要素:控制環(huán)境、風險評估、控制活動、信息和溝通、監(jiān)督。
中石油借鑒COSO內部控制框架,落實上市地的法律法規(guī)的要求、《中央企業(yè)全面風險管理指引》和《企業(yè)內部控制基本規(guī)范》等國內外監(jiān)管法規(guī)的各項要求,結合公司實際,圍繞COSO框架的五個基本要素,闡明內部控制關注點、管理措施,以及建立和運行內部控制體系統(tǒng)一執(zhí)行的制度、管理規(guī)范和文檔性記錄,編制內部控制管理手冊。
二、企業(yè)內部控制測試的要點
為保證內部控制體系運行的持續(xù)有效性,針對體系日常運行情況,內部控制部門應定期或不定期組織開展內部控制測試。內部控制測試是按照規(guī)定的程序、方法和標準,針對控制目標,對企業(yè)內部控制體系設計有效性和執(zhí)行有效性進行檢查,旨在發(fā)現(xiàn)內部控制體系在設計層面和執(zhí)行層面是否存在偏差。內部控制測試形式主要包括管理層測試、評價測試、自我測試、外部審計。其中自我測試是由企業(yè)自己組織、針對本單位內部控制設計和運行的有效性實施的檢查過程。自我測試應滿足以下要求:(1)自我測試應堅持以風險為導向,兼顧覆蓋面,重點關注高風險領域和業(yè)務薄弱環(huán)節(jié);(2)每個測試單位的重要業(yè)務流程覆蓋率不低于70%,關鍵控制覆蓋率要達到90%。內部控制測試的目的在于:一是為管理層出具評估報告提供支持;二是通過測試,促進內部控制相關要求的貫徹執(zhí)行,發(fā)現(xiàn)內部控制體系存在的不足,及時進行整改完善。
中石油內部控制測試內容分為公司層面、業(yè)務活動層面和信息系統(tǒng)控制有效性測試。公司層面控制測試是對確保管理層獲得在公司內部各個領域都有適當?shù)目刂茩C制在發(fā)揮作用的保證的重要機制控制的檢查,包括COSO五要素中的董事會、審計委員會、反舞弊等十七個主題。業(yè)務活動層面控制測試是對具體業(yè)務流程進行的測試,測試內容包括戰(zhàn)略發(fā)展、經營業(yè)務和管理支持三大領域,涵蓋油氣業(yè)務、工程技術服務、工程建設服務、裝備制造業(yè)務、礦區(qū)服務和金融業(yè)務等板塊的業(yè)務流程。信息系統(tǒng)控制測試分為信息系統(tǒng)總體控制測試和信息系統(tǒng)應用控制測試兩部分。信息系統(tǒng)總體控制測試(GCC)是指對企業(yè)信息技術的開發(fā)、實施、運行、維護和管理等方面的控制測試;信息系統(tǒng)應用控制測試(AC)是指對應用軟件中的電算化步驟以及用以控制不同種類交易處理的相關手工操作程序的測試。
內部控制測試業(yè)務活動層面的測試一般采用跟單作業(yè)和關鍵控制抽樣測試兩種方式。跟單作業(yè)是選取一筆或一筆以上的業(yè)務,從業(yè)務發(fā)生開始,一直追蹤至該筆業(yè)務反映到公司財務報告的測試流程;關鍵控制抽樣測試是針對業(yè)務活動的關鍵控制,根據控制頻率,抽取適當數(shù)量的樣本,以樣本代表總體,通過檢查樣本,判斷關鍵控制執(zhí)行總體情況。跟單測試適用于手工控制與應用系統(tǒng)控制測試,關鍵控制抽樣測試適用于手工控制、應用系統(tǒng)控制及電子表格控制測試。內部控制測試的基本方法包括詢問、觀察、檢查和再執(zhí)行等。
在實踐中,內部控制測試必須堅持以下關鍵原則:(1)控制測試不等于實質性測試,不一定需要大量的樣本;(2)編制控制頻率參照表(適用于手工控制);(3)需要對工作的目標非常明確,如對應的風險點;(4)需要非常清晰的思維,明確測試的重點;(5)需要經驗和職業(yè)判斷;(6)關注內涵而非形式。
三、遼陽石化內部控制測試
從2006年到2010年,遼陽石化已迎接股份公司評價測試一次,管理層測試兩次。每年按公司總體工作部署,開展自我測試一到兩次。每次自我測試前,都嚴格按照上述的測試內容、方法和原則,做好測試方案,成立測試組,明確分工、職責和匯報機制。2010年,是內控與風險管理工作重點從體系建設向強化執(zhí)行轉變的關鍵一年,遼陽石化加大了自測的范圍和力度,重要業(yè)務流程覆蓋率達到90%,關鍵控制覆蓋率達到98%。同時,結合某些領域突出問題專項治理工作安排,開展專項測試,堵塞管理漏洞,切實促進內部管理。
1.基本情況
在測試中,也發(fā)現(xiàn)了一些例外事項,針對這些例外事項,組織專業(yè)人員進行分析,屬于認知類的,對其進行宣貫培訓;屬于流程設計類的,與相關部門結合實際,優(yōu)化流程;屬于管理類的,由管理部門和業(yè)務部門溝通,打通流程,使工作能夠順暢開展……通過測試,優(yōu)化流程,強化風險控制,增強工作的針對性、有效性、可控性,提升管控力和執(zhí)行力,培育內控文化,養(yǎng)成內控習慣,推動內控與風險管理工作上水平。幾年來,遼陽石化的內部控制工作得到了股份公司的認可,內部控制有效,評價結果為優(yōu)秀。
近年,隨著信息技術的發(fā)展,在測試中,我們還引進了內控測試系統(tǒng)。內控測試系統(tǒng)包括了ARIS系統(tǒng)和AAM系統(tǒng),其主要作用就是在內控測試期間對測試活動進行支持。內控測試系統(tǒng)建設的基礎性工作就是在ARIS系統(tǒng)中維護內控測試的靜態(tài)數(shù)據(流程,風險,控制的信息),并將ARIS系統(tǒng)中的靜態(tài)數(shù)據通過數(shù)據同步的方式轉入到AAM系統(tǒng)中,在AAM系統(tǒng)中記錄內控測試的結果,并出具內控測試的統(tǒng)計報表,在線提交整改意見和整改反饋。
內控測試系統(tǒng)的引進,使得測試信息的傳遞變得隨時、準確,測試相關表單一目了然,信息永久保存,方便日常查詢使用,減少了大量人工分類匯總等工作,節(jié)省了人力、物力、財力和時間。
2.經驗與啟示
從我企業(yè)內部控制測試的實踐中,總結出內部控制測試工作質量取決于如下幾方面。
?。?)測試方案。測試前要制定統(tǒng)一、周詳?shù)臏y試方案,對測試單位、內容、測試工具、人員及時間安排等都要有明確規(guī)定。測試人員只要嚴格按方案的要求執(zhí)行,就能保證測試工作規(guī)范有序,基本做到不同人員對同一內部控制進行測試時,履行相同的測試程序,采用相同的測試方法,得出大致相同的測試結果,不產生大的差異,保證了測試質量和匯總分析以及總體評價的客觀性。
?。?)測試工具。測試工具應該是權威部門,借鑒該領域先進的測試實踐設計制作的,包括各種表單、模版,權限測試工具等。測試的表單是一套相互關聯(lián)的表單,如測試計劃表、測試表、抽樣測試表、例外事項匯總表等。測試模版確定每個測試點測試的內容、樣本總體、樣本量、測試方法、步驟等。權限測試工具是用來測試信息系統(tǒng)控制的。
?。?)測試重點。每個業(yè)務流程都設計了許多控制,內控測試關注的是針對重要風險設立的關鍵控制,而不是全部控制,這也符合現(xiàn)代管理善于抓重點、注重工作效率和效果有機結合的管理理念。
?。?)訪談技術。訪談是內控測試的基本方法之一,通過訪談被測試人,從他的回答中測試人員可以確定控制是否存在以及控制執(zhí)行人對控制的理解程度,還能發(fā)現(xiàn)大量內控存在問題的線索。
?。?)抽樣方法。抽樣方法科學合理,才能提高測試結果的可靠程度。利用統(tǒng)計學原理,采用隨機抽樣的方法,根據控制頻率確定樣本量,這樣的測試結果要比僅靠職業(yè)判斷確定樣本量的方法更科學。
?。?)測試人員素質。要保證測試工作質量,測試人員的素質是不容忽視的一個關鍵因素。在測試前,要對測試人員進行培訓,確保參加測試的人員熟悉測試要求,精通相關測試工具的使用。
?。?)測試系統(tǒng)。在上述因素都具備的前提下,如果再有一套科學完善的測試系統(tǒng),對于開展測試工作來說,將是如虎添翼。
終上所述,全文闡述了中石油內部控制測試的方式、方法和內容,以及內部控制測試關注的要點,并以遼陽石化內部控制測試工作為例進行了說明,可供其他企業(yè)借鑒來開展內部控制測試工作。