尽管持续性监督程序一般可以提供关于其他控制要素有效性的重要反馈,但经常从一个新的角度,把焦点集中在对系统的有效性直接进行评估也是十分有益的。这也提供了一个机会来考虑持续性监督程序的连续有效性。独立评估工作是内部审计、监察等部门从独立性角度出发,对内控系统进行审核的过程,主要关注的是系统的设计和运行的有效性。独立评估可以通过内部控制测试等形式进行,主要应考虑以下四个方面:
(1)内部控制系统独立评估的范围和频率;
(2)评价流程的适合性;
(3)评价内部控制系统的方法是否合理、适合;
(4)文件记录水平的适合性。
一、内控系统独立评估的范围和频率
独立评估内部控制的范围和频率多种多样,主要取决于被控风险的重要性以及内部控制在减少风险中的重要性。那些应对优先考虑的风险的内部控制或对减少风险具有重要作用的内部控制趋向于更经常地进行评估。对整个内部控制体系的评估(与对特定控制的评估相比,一般不需要经常进行)可能是由于一些原因引起的。这些原因有:企业重要战略或管理层发生变化、重大的收购或兼并、运营或处理财务信息的方法发生重大变化等。在做出评估企业整个内部控制体系的决策时,应把注意力指向与所有重要活动有关的每一个内部控制要素。评估范围也将取决于计划去解决的是三个目标类型(经营、财务报告和合规)中的哪一个。
(一)COSO框架的要求
根据COSO的要求,主要关注下列活动:
(1)对内控系统适当的部分进行评估。
(2)评估是由具备必要技能的人员进行的。
(3)评估的范围、覆盖的深度和频率是足够的。
(二)监督部门及现状
1.内控管理部门。
内控体系项目建设阶段,内控测试的方案、标准、关键控制点的确认标准、信息系统的总体控制、测试范围的确定等工作由项目组和审计部门共同完成,每年会对所有的重要会计科目、流程和经营场所进行评估,确定测试范围、性质和频率。具体测试方案及内容包括:测试内容及步骤、测试范围、测试执行人、测试计划、测试的方法、测试的程度、流程的时间安排、测试信息系统总体控制、评估测试结果等将在《管理层测试方案》中具体描述。
2.审计部。
内审部门每年执行了常规审计,围绕经营管理关注内容进行评估;同时,内审部门还探索性执行了内控专项审计工作。这些工作对内部控制的状况进行了了解与评估。
(1)常规审计项目。
审计范围主要包括预算审计、财务审计、经济责任审计、合同审计、工程建设项目审计和工程建设项目竣工决算审计等,目的是为了验证股份公司及下属单位财务、经营数据的真实性;内部规章、制度及管理办法的健全性、合理性和有效性;公司利益的维护和经营目标的实现情况;公司资源使用的效益和效率等。
审计范围的确定主要依据年度经营计划、重点营销事项、管理状况、以往审计情况、总裁(总经理)指示、其他部门要求等确定,关注重点单位、重点项目、重点资金、重点思想,领导和群众关心的焦点问题,企业生产经营管理中的难点、弱点或薄弱环节,以及容易发生资产流失或投入产出比高的领域及项目。
常规审计每年持续进行。
(2)内控审计。
最近几年公司对内部控制审计方法进行了研究和实践,还在《内部审计规范》中专门制定了《内部控制审计》规范专题,对内控审计的原则、内容、程序、方法及要求进行规定。公司从2003年开始对内部控制专门立项审计,从业务处理的岗位职责、工作流程、相应制度的设计、执行情况着手,采用问卷调查、座谈及测试表法,对关键控制环节及控制点进行对比分析,找出了管理中的薄弱环节,提出了有针对性的建议。
为适应公司整个内控体系框架的要求,代表管理层对公司内控的运行情况进行系统评价,审计部专门成立内控测试处,负责组织公司的内控测试工作。它依据《管理层测试方案》开展工作。
3.监察部。
效能监察发挥了一定的内控评估作用。
效能监察是监察部门围绕公司生产经营管理和利润最大化经营目标,依法对监察对象执行国家方针政策、法律法规和公司的规定、制度,以及履行职责的情况,特别是对生产和经营管理的质量、效果、效率、效益情况开展的一项监督监察活动。对于在效能监察中发现的重要问题和情况,向本单位和上级监察部门报告。
(1)效能监察的重点包括:石油天然气产品、化工原料、炼油化工产品及副产品的生产经营销售管理;生产成本目标管理;物资(设备)代理采购供应管理;基本建设项目业主管理;财务及资金管理;关联交易行为管理;对于上述以外的其他严重影响效益的部位和关键环节管理。
(2)效能监察的主要范围包括:违反国家方针、政策、法律、法规和公司的规定、制度、决定的;未经调查研究、科学论证而盲目决策,造成严重经济损失的;经营管理混乱,工作不负责任,造成国有资产流失或企业严重亏损及其他严重后果的;违反规定生产、运输、销售油品,以及管理混乱,发生不执行计划、隐瞒产量、私卖油品,或工作严重不负责任,造成油品效益流失的;违反规定虚列成本,乱挤乱摊成本,或未严格执行定额管理,造成成本上升,以及成本构成中费用明显超支,致使经济效益滑坡的;违反有关规定,擅自确定、委托采购项目,造成积压浪费,以及利用供求关系搞不正当交易,物资、设备检测、验收不严格或保管不善,造成重大损失,利用处理废旧物资、设备牟取私利,造成严重经济损失的;违反股份公司投资计划审批程序和有关规定,擅自兴建计划外工程,或对工程建设单位施工监督不力,把关不严,致使质量、工期不符合要求,以及预算、决算不严格,造成严重经济损失或其他不良影响的;财务监督不力,管理不严,账目混乱,乱挤乱摊资金,资产管理不善,致使发生各种问题,严重影响资金使用效益,造成严重经济损失的;不规范履行合同(协议),或超越权限,擅自签订合同(协议),以及为谋取不正当利益,签订不利于本单位的合同(协议),造成严重经济损失的;其他严重影响工作效率或经济效益的。
各级监察部门在确定效能监察项目时,针对经营管理中的薄弱环节以及管理层、员工关心且亟待解决的热点问题,从效益、质量、安全、管理入手选题,把制约企业生产成本的难点和经营管理的薄弱点,作为效能监察选题立项的重点,重大项目由监察部牵头直接组织。效能监察工作每年持续进行。
(三)规章制度索引
1.《中国石油天然气股份有限公司内部审计规范》。
2.《中国石油天然气股份有限公司效能监察暂行办法》。
3.《中国石油天然气股份有限公司内部审计工作暂行办法》。
4.《中国石油天然气股份有限公司章程》。
5.《中国石油天然气股份有限公司内部控制体系规定》(待编订)。
6.《中国石油天然气股份有限公司内部控制体系管理办法》(待编订)。
二、评估程序、方法及文档记录
(一)COSO框架的要求
根据COSO的要求,主要关注下列活动。
1.评估程序。
评价一个内部控制系统本身就是一个过程。尽管评价方法各有不同,但是在执行过程中应有一套规章制度以及其内在的一些基本要求。
(1)评估人员充分了解企业的活动,必须了解企业内部控制系统的每个要素。首先把重点放在内部控制系统发挥其职能的方式上(有时称为系统设计)可能是有用的。具体工作可能包括与企业有关人员讨论并审阅现有的文件记录。
(2)了解内控系统应该如何运作,以及实际是如何运作的。评估人员必须确定内部控制系统实际运行的方式。设计以某一种特别方式运行的程序,随着时间的流逝也可能进行了修改,以不同的方式运行,或者也可能不再运行。有时建立了新的控制方式,但是以前曾描述该系统的人现在并不知道,因此在可供使用的文件记录中没有包括这种新的控制方式。只能通过与执行内部控制或受内部控制影响的人员讨论,通过审查内部控制实施记录或合并程序,才能完成对该内部控制系统功能有效性的确定。
(3)将评估结果与已建立的标准进行对照,并对其进行分析。评估人员必须分析内部控制系统的设计和进行测试的结果,应该对照确立标准的背景进行分析,最终的目标是确认内部控制系统是否可以对所陈述的目标提供合理的保证。
2.评估方法。
有各种各样的评估方法和工具可供选择,包括核查清单、调查问卷和流程图等方法。在经营管理和学术文献中提供了量化方法,还列出了控制目标的清单,帮助识别内部控制的分类目标。
(1)这种方法包括使用核对清单、问卷或其他一些辅助工具;
(2)评估小组共同安排评估程序,并确保各方的努力协调一致;
(3)评估过程由具有必要职权的高级管理人员主持。
作为评估方法的一部分,有些公司将自己公司的内部控制系统与其他公司内部控制系统进行比较,这种方法有时称为“对竞争对手的产品进行检测,以确定赶超的基本标准”。例如,一家公司对照在内部控制系统方面具有良好声誉的公司来衡量自己的内部控制系统。可以直接与另一家公司进行比较,或者在行业或产业协会的发起下进行。管理层顾问可能会提供比较信息;在有些行业内的同业审查功能也有助于公司比较其同行进行内部控制系统评价,但需要特别谨慎。在比较内部控制系统时,必须要考虑不同公司在目标、实际情况和环境条件等方面一直存在的种种差异,还需要记住内部控制的五个要素和其局限性。
3.文档记录。
企业内部控制系统文件记录的程度由于企业的规模、复杂性以及相似因素而有所不同。大公司通常有书面的政策手册、正式的组织结构图、书面的岗位描述、操作说明书、信息系统流程图等等。小公司的内部控制文件记录一般要少得多。
许多内部控制活动是非正式的,无记录文件,但是却在正常进行并非常有效。对这些控制活动进行测试的方式与测试有文件记录的内部控制是相同的。没有文件记录的控制并不意味着内部控制系统无效,或者说无法对其进行评估。适当的内部控制文件记录水平的确会使评估更有效。在其他方面文件记录也是很有用的:它有助于员工理解内部控制系统运作的方式以及他们在内部控制系统中的角色,这样在需要时对其修改就比较容易。
评估人员可能会决定记录评估过程本身。他们通常会利用企业内部控制系统的文件记录,有时还会有另外的内部控制系统文件记录予以补充,包括对评估测试的描述和在评估过程中进行的分析。
在向外部有关方做出有关内部控制系统或内部控制评估的陈述时,文件记录的性质和程度将更具有实质性。在管理层向外部各方做出有关内部控制系统有效性的声明时,它应考虑编制和保留文件记录以便支持其做出的声明。因为如果随后管理层声明受到质疑,这些文件记录可能非常有用。总体来看,文档记录应主要关注以下两个方面:
(1)具备政策手册、组织结构图、操作指南或类似的文件;
(2)对于评估流程的文档记录予以充分考虑。
(二)监督部门措施
1.审计部。
(1)内审部门应探索性执行内部控制专项审计,审计评估过程中应对被审计单位的经营活动、运作流程进行了解和测试,对照公司的规章制度进行比较,分析发现问题,提出改进意见。
审计人员应通过查阅组织系统图,收集、审阅和分析被审计单位各项有关的规章制度、业务处理程序和人员职责分工资料,以及向有关部门和人员进行调查,了解和掌握被审计单位内部控制情况。
在个别内控专项审计中,应根据要求将被审计单位或审计事项的内部控制运行情况通过文字叙述或流程图等书面形式重新描述出来,以供测试和评价。
审计部门应出具书面意见,描述发现的问题。由于内控审计处于起步阶段,目前报告尚未从评价内控有效性层面进行分析和评价。
(2)审计人员对被审计单位的内部控制进行调查时,一般采用座谈讨论、访谈、审核制度、文件、人员分工等资料的形式;评估程序(审计项目实施方案)一般由审计组组长或主审编制,项目经理参与制定、审查和评价审计项目实施方案;审计部总经理审核。为了确保方法统一,审计有保障,针对各审计项目,审计部出具了审核要点,包括在《内审规范》或《审计人员手册》中作为指导工具。
(3)有关内审部门在当前审计工作中应对内部控制的现状采用流程图、文字描述和调查表等形式进行记录,但其内容还有待细化。
(4)内审部门应依据《管理层测试方案》对整个公司的内部控制运行情况进行评价监督。
2.监察部。
效能监察的程序。
3.内控管理部门。
(1)内控项目组应按照《萨班斯-奥克斯利法案》和PCAOB的要求,组织对财务报告内部控制进行设计和记录,形成一系列文件,包括:流程图及文字描述、自评表、风险数据库、风险控制文档等。
(2)内控项目组应在项目建设期,既是体系的建设者,也是测试程序的编制者。具体测试内容和管理方法将在《管理层测试方案》中具体描述。
4.公司管理层。
公司具有书面的公司章程、组织结构图、公司规章制度,并汇编成册。另外,地区公司按照股份公司要求,有岗位职责描述、操作流程等文件,对其中一些重要文件,员工可以通过公司的内部网站查阅,例如公司章程等。
5.地区公司。
各地区公司按照股份公司有关要求,建立内部控制体系,并按照项目组的安排,承担其内控项目的维护、测试工作。
(三)规章制度索引
1.《中国石油天然气股份有限公司内部审计规范》。
2.《中国石油天然气股份有限公司效能监察暂行办法》。
3.《中国石油天然气股份有限公司内部审计工作暂行办法》。
4.《中国石油天然气股份有限公司章程》。
5.《中国石油天然气股份有限公司内部控制体系规定》。
6.《中国石油天然气股份有限公司内部控制体系管理办法》。
