内部控制系统随着时间的变化而不断变化,所应用的控制方法可能有新的发展。曾经有效的内部控制程序可能会变得不太有效,或者可能不再适用。这可能是由于来了新的内部控制人员、培训和指导的不同效果、时间和资源上存在困难或者额外的压力等造成的。而且,最初设计内部控制系统所针对的环境条件也可能发生了变化,造成该系统无法对新条件带来的风险发出警告。因此,管理层也需要相应地确定内部控制系统是否继续与企业情况相适应并应对新的风险。
对内部控制需要监督。监督是一个评估内部控制系统在一定时期内运行质量的过程。企业可以通过持续性的监督活动、独立的评估或两者并用来实现这个过程。监督过程可以确保内部控制系统继续有效地运行。这个过程包括由设计和操作控制的合适人员及时地评估并采取必要的行动。它适用于企业内部的所有活动,有时也适用于外部的承包商。
监督可通过两种方式进行:持续性的监督活动和独立的评估。内部控制系统通常是组织完善的系统,在某种程度上持续地监督其自身的活动。内部控制系统持续性监督的有效性程度越高,对单独评估的需要程度就越低。管理层为了合理地确认内部控制系统的有效性所必须进行的单独评估的频率,取决于管理层的判断。在做出该决定时管理层应考虑以下因素:变化发生的性质和程度以及与变化相关的风险;实施内部控制的人员的能力和经验以及持续性监督的结果。通常,持续性监督和独立评估某种程度上的合并使用,将会保证内部控制系统随着时间的变化而保持其有效性。
应该认识到,持续性监督程序根植于企业日常、重复发生的活动中。与独立评估所实施的程序相比,由于持续性监督程序在实时基础上实施,动态地应对环境的变化并在企业中根深蒂固而显得更加有效。由于独立评估发生在事实出现之后,因此通过持续性监督的日常程序通常可以更快地发现问题。尽管如此,一些持续性监督活动完善的企业仍然每隔几年要对其整个内部控制体系或其中一些部分进行一次独立评估。那些察觉到需要经常进行独立评估的企业应重点关注增强其持续性监督活动的途径,从而强调将持续性监督活动“根植于”而不是“添加在”内部控制活动中。
持续性监督是在公司日常经营过程中进行的。包括:内部控制体系归口管理、体系变更管理、测试结果动态管理、体系维护的计划和实施等相关内容的体系管理运行制度,完善体系和体系维护,体系的自我评估等内容。
一、COSO框架的关注点
服务于监督企业日常经营过程中内部控制有效性的活动是多方面的,包括日常的管理和监督活动、对照、核对和其他常规性活动。在COSO报告中,持续性监督活动主要涉及以下七方面。
1.在日常活动中获得内控执行的证据。在执行日常管理活动时,负责运营的管理层获取内部控制持续发挥功能的证据,这是很重要的一点。在营业报告并入财务报告系统或与该系统核对并持续用于管理企业运营时,很可能会迅速发现重要的不正确的数字或预期结果的例外情况。例如,在地区、子公司和公司层面的销售、采购及生产经营看到的经营和问题报告,非常不同于他们所了解的企业经营状况。内部控制系统的有效性通过例外问题的及时、完整的报告和解决而得到增强。
2.外部反映对内部信息的印证程度。即与外界各方的沟通能够印证内部生成的信息或揭示问题。顾客支付账单,含蓄地确认了其账单数据;相反,顾客对账单的投诉可能表明销售交易处理过程中存在着系统缺陷。同样,负责投资事务的经理关于证券损益和收入的报告可以确认或提示与企业(或该经理)的记录有关的问题。一家保险公司对安全政策和具体实施进行审核,可以从经营安全性和合规性的角度为内部控制是否有效运行提供信息,因此也可以作为一种监督方式。监管部门可能就合规性或其他事项与企业进行沟通交流,也会反映出内部控制系统是否有效运行。
3.定期核对财务系统数据与实物资产。也就是说,将信息系统所记录的数据与实物资产相比较。例如,对成品库存应定期进行盘点;将盘点的数据与会计数据进行对比,并记录存在的差额。
4.对内外部审计师关于加强内控的措施做出响应。内部及外部审计师会定期为进一步加强内部控制的方法提供建议。在许多企业,审计人员关注的焦点主要集中在评估内部控制的设计以及测试其有效性;识别潜在的缺陷并向管理层建议采取替代方案;同时提供做出成本效益决策有用的信息。在监督企业内部控制活动中,内部审计人员或实施类似审核职能的人员能够发挥尤为有效的作用。
5.培训、会议等对内控有效性的反馈。培训研讨会、计划会议及其会议可以向管理层提供有关内部控制是否有效的重要反馈。这些会议不但可以指出控制中存在的某些问题,还能够增强参与者的内部控制意识。
6.定期询问员工是否理解并执行了公司的道德准则,员工是否执行了内控活动;定期要求企业员工明确说明他们是否理解并遵守企业的员工行为守则。同样,也可以要求经营及财务人员说明某些内部控制程序(如核对规定的金额)是否正常地实施。管理层或内部审计人员可以对这些说明进行核实。
7.内审活动的有效性。适当的组织结构和监督活动可监督内部控制职能的执行并识别内部控制的缺陷。例如,对财务人员针对交易处理正确性和完整性实施的内部控制活动进行日常的监督。另外,划分个人职责,以便使不同的人相互制衡。这样做有利于防止员工舞弊,因为它限制了个人掩盖其可疑活动的能力,这样就提高了内部控制的有效性。
二、控制措施
1.各级职能部门应对所分管控制活动的执行情况(包括书面记录等)进行自我监督、检查,确保控制得到有效执行,同时对发现的问题做出响应。
这种自我监督检查的方式很多,常见方式例如:
(1)各职能部门对本部门编制的报表进行审核、分析,验证数据的准确性。
(2)每月核对账务,如银行对账、内部往来对账等,编制余额调节表,对差异进行分析,调整账务。
(3)根据股份公司《中国石油天然气股份有限公司资产管理暂行办法》,公司对固定资产实行永续盘存和年终财产清查制。地区公司根据上述办法进行了细化,制定了各自的财产清查制度,定期对固定资产、存货、现金、汇票等进行盘点。
2.各业务部门应对与自己业务接口部门的相关控制活动进行审核监督,以保证接口部分的数据衔接准确无差异。
常见的方式有:将业务部门专业口报出的数据与财务数据进行核对。如对原油的销售数量,财务部与运销处进行核对。但是目前这类监控活动还未系统化、制度化,有待逐步完善。
3.业务主管部门应对下属单位的内部控制活动的执行情况进行检查。
常见方式如:省区销售公司对地区公司的销售发票执行情况进行半年度审查,对异常销售情况(包括发票未由专人开具及发票开具未经审批)要查阅发票和原始单据。
4.业务部门应对所分管业务中遇到的问题提出解决办法,并发布管理文件来规范下属部门的工作。
例如:股份公司财务部根据在实际业务中遇到的会计核算和会计政策等方面的具体问题,以制度、函件和管理办法的形式下发,要求地区公司具体实施。
5.审计部门应对其他业务部门的内控执行情况进行审计监督。
(1)审计部负责对股份公司相关管理部门下发的各种形式的管理意见的执行落实情况进行检查。
(2)审计部门执行的各类专项审计,如科研经费专项审计、固定资产专项审计等。
6.内部审计的有效性。
(1)公司应对审计部门人员的素质制定明确的要求,内审人员应具有相应的经验和知识技能。
《内部审计规范》是总部制定的审计部门的指导手册,其中包括对总部、专业公司、地区公司配备的审计人员资质、专业知识、技能水平、执业能力等的要求。
(2)内部审计范围广。股份公司内部审计机构的职责是对以下方面实施审计,并出具审计报告:第一,股份公司及下属单位财务、经营数据的真实性;第二,股份公司及下属单位内部规章、制度及管理办法的健全性、合理性和有效性;第三,公司利益的维护和经营目标的实现情况;第四,公司资源使用的效益和效率;第五,主管领导安排及相关部门委托的其他事项。
坚持全面审计,在开展财务会计及其他经营资料真实合规性审计的基础上,向规章制度的完善性、有效性等经营管理审计方向发展;同时注意突出重点,把重点单位、重点项目、重点资金、重点事项,领导和群众关心的焦点问题,企业生产经营管理中的难点、弱点或薄弱环节列入审计项目计划,将防止企业资产流失、投入产出比高的审计项目列入审计项目计划。此外,审计部还组织对专业分公司、地区公司经理的离任审计。
(3)审计部应通过与管理层座谈得到管理层关注的审计热点,包括管理薄弱领域或环节、公司新的重大经营管理活动,从而编制内审计划。
(4)审计部门应对审计意见采纳及审计决定执行情况进行监督检查。
对于一般项目,主要通过日常反馈等方式进行。
对重要的审计项目,进行后续审计。
7.公司管理层应收集汇总各部门的信息、问题,监督各方面工作的进展。
例如:股份公司、专业公司、地区公司通过经济活动分析等方式,汇集各方面的信息,分析异常变动发生的原因,使潜在的问题及时得到反映,从而对财务报表的质量进行监控。
8.公司负责人及财务负责人应对其所承担的责任进行书面声明。
根据《萨班斯-奥克斯利法案》302条款,公司不仅要求CEO、CFO签署年度报告以确认其实施和维护与财务报告相关的内部控制程序的责任,而且要求各业务部门负责人对归口数据、地区公司的负责人和财务负责人对财务数据的准确性签署镜相认证,并在总部董秘局备案。
9.各专业部门应从外部单位获取相关信息,验证内部控制的有效性。
(1)与外部单位的往来账项函证,以此来确认账务数据与函证的一致性;
(2)召开客户座谈会,检查客户的投诉记录,来获取有关内部控制存在缺陷的信息,进而改善内部控制状况。
10.公司管理层应接受监督机关的检查。
公司接受诸如:国家审计机关的监督指导;接受国税、地税检查;公司按财政部要求实行财务大检查,并接受财政部对工作的组织和结果的检查;接受工商管理局每年一次的工商年检。
11.公司管理层应响应内外部审计师的内控建议。
(1)公司管理层会在外部审计师执行财务报表审计中,注意到内部控制缺陷,并就审计师提出的管理建议书做出响应。
(2)管理层响应内部审计的建议。
根据《内部审计规范》,内部审计机构根据审定的审计报告出具审计意见书,下达审计决定,并对审计中发现的问题提出管理建议书等。对于一般性问题,审计意见书、审计决定或管理建议书由项目经理编制,审计机构负责人审订签发给被审计单位。被审计单位收到上述文件后,组织按照审计决定意见实施,并将实施整改情况以书面形式向审计机构反馈。
对重大事项,即涉及单位重大决策、重大利益、声誉等,以及需对其主要负责人进行处理的,其审计意见书、审计决定应由审计机构负责人审定后,报总裁(总经理)审核后签发给被审计单位及有关部门。
12.监察部门的作用。
(1)公司应建立检举揭发机制,用于受理来自于公司内部外部对违规行为的举报,并进行调查处理。
(2)公司还应与检察院建立检企共建工作关系,主要是为了预防职务犯罪。
13.审计委员会的作用。
审计委员会关注公司内部控制体系的完善,对内控体系的建立和运行进行监督,并对内控体系的进一步完善给予改进建议。审计委员会也提出过如内审部门学习西方内审工作经验的建议。
14.各有关部门及管理层应通过培训、会议等方式从基层了解到控制实施情况及控制缺陷的反馈情况。
(1)管理层会从培训、会议上询问内控执行情况,对大家提出的问题进行总结并提出改进措施。
(2)员工对企业的发展提出合理化建议,管理层予以接受。
(3)监察部每年组织两次大规模的调研。调研主要针对管理制度的落实状况、管理的效果,查找问题的责任人并提出管理建议。
15.内控管理部门的作用。
为满足404法案对内部控制提出的要求,股份公司专门成立了内控项目组。内控项目组协助总部和各地区公司对所有的内部控制现状进行风险分析和文件记录,执行对内部控制设计及执行的测试与评价。对于发现的有关内部控制的问题,项目组会召开会议进行讨论,并将其上报给管理层。针对404法案,内控项目组还在股份公司范围内组织了多次培训,在对项目内容进行培训的同时,项目组也对地区公司提出的内部控制执行的一些问题进行了汇总整理,由项目组与管理层协商共同讨论解决办法。
16.职能部门应定期对道德准则的执行情况进行检查,并广泛了解道德准则的涵盖范围。
(1)为了满足《萨班斯-奥克斯利法案》的要求,公司拟订了《中国石油天然气股份有限公司高级管理人员职业与道德规范》,并提交董事会通过,而且要求高管人员签署《股份公司高管人员职业道德规范确认书》。
(2)公司制定了适合全体员工的统一的道德准则。股份公司会以书面形式下发,地区公司组织宣传贯彻。
三、制度规范索引
1.《中国石油天然气股份有限公司财务管理暂行办法》。
2.《中国石油天然气股份有限公司财务管理信息系统管理办法》。
3.《中国石油天然气股份有限公司资金授权管理办法》。
4.《中国石油天然气股份有限公司货币资金内部控制实施办法》。
5.《中国石油天然气股份有限公司资金计划管理办法》。
6.《中国石油天然气股份有限公司规划计划工作暂行办法》。
7.《中国石油天然气股份有限公司货币资金内部控制实施办法》。
8.《中国石油天然气股份有限公司物资采购与电子商务管理办法》。
9.《中国石油天然气股份有限公司章程》。
10.《中国石油天然气股份有限公司内部控制体系规定》。
11.《中国石油天然气股份有限公司内部控制体系管理办法》。
12.《中国石油天然气股份有限公司内部审计工作暂行规定》。
13.《中国石油天然气股份有限公司内部审计规范》。
四、建设规划
为保障内部控制体系有效运行,必须建立起良好的持续监督体系,完善相应的管理制度。在内控体系日常维护工作中,还要从以下七点加强完善。
1.建立完善的内控体系维护管理机制。
寻求建立一个稳定的机制,长期地协调和监督内控体系的建设、完善和执行,保证内控体系的日常维护。该机制在诸如体系维护的方法、体系建设标准变更的制度审批、测试计划的调整、对实施情况的监督、体系管理考评办法等方面发挥重要作用。
2.体系建设标准变更的制度与审批。
内控体系在今后的运行过程中会根据实际情况产生变化,如外部环境、机构设置、职能分配等。为适应这一变化,体系有关内容也必须相应变更,必须建立相应的制度,明确变更报告审批程序。
3.测试计划的管理。
内控体系运行过程中,每年测试范围、测试方法、测试计划等都可能结合实际情况产生变化和调整,对于内控执行的监督,以及内控环境、控制活动发生变化后,对实施情况的持续跟进都应该由相关部门来完成。
4.体系管理考评办法。
内控体系建设要求在股份公司范围内统一操作流程、工作规范,各地区公司按照股份公司内控体系总体框架安排,结合本单位实际建立内控体系实施规划。
考虑到内部控制体系建设及维护工作将成为企业今后一项日常性工作,必须建立一套制度体系来保障体系有效运行。包括激励机制、考核机制、运行机制、保障监督机制等,要保证按照标准化模式建设维护体系,必须达到满足《萨班斯-奥克斯利法案》要求的标准。
5.与外部审计师沟通。
内部控制体系建立并运行后,内部审计部门代表管理层对内控运行状况进行评价,外部审计师每年对公司内控体系的运行状况和管理层对内控运行状况的评价进行独立审计。
与外部审计师建立起良好的合作、沟通关系非常重要,以便及时获知外部审计师进行内控审计的计划、方法、范围,听取外部审计师有关加强内部控制的建议。同时,在体系日常维护过程中,应当就体系发生的变化诸如体系建设标准的变更、测试地点变更、新介入业务、特殊风险、关键控制的变化等及时与外部审计师沟通,保证新信息的交流畅通。
6.管理层报告编制及披露制度。
内部审计部门代表管理层进行内控评价,对于评价的结果,要有专门的部门及时进行归纳、总结,向管理层汇报有关情况,按照要求编制内部控制评价报告,与年度财务报告(美国版)一并报出。建立内部控制信息披露制度,不仅包括在年度报告中对年度内控有效性进行披露,而且明确规定在日常活动中如何对于有关内控信息给予及时传递到有关部门,如新业务的介入、经营方式的转变、业务实时整合、或有事项风险等。
7.特殊风险与新介入业务风险管理,包括风险的确认、评估与控制。
在日常体系维护中,必须指定专门部门不断对根据实际情况变化的风险进行识别、辨析,重新评估风险的重要程度,分析与之对应的控制活动是否最大限度地控制风险,要对风险数据库不断进行更新完善。对于特殊风险如期货、海外业务应当实时监控,对于新介入业务,要在进入之前就对新业务环境进行评估、辨析,逐渐将其纳入体系的日常管理中。
