国有企业内部控制测试之探讨
发布时间:2011-08-09 点击数:2467  正文:【 放大 】【 缩小
简介:由于美国安然、世通、施乐、默克制药等一批大公司会计丑闻接连曝光,诚信危机震撼着美国及国际社会。为了提高民众对美国金融市场和政府经济政策的信心,2002年7月25日,美国总统布什签署了《萨班斯——奥克斯利法案》,中国在境外上市公司随之执行。中国石油天然气集团公司所属 ...
由于美国安然、世通、施乐、默克制药等一批大公司会计丑闻接连曝光,诚信危机震撼着美国及国际社会。为了提高民众对美国金融市场和政府经济政策的信心,2002年7月25日,美国总统布什签署了《萨班斯——奥克斯利法案》,中国在境外上市公司随之执行。中国石油天然气集团公司所属上市公司中国石油天然气股份有限公司(简称“股份公司”)从2004年开始在上市公司实施企业内部控制。中国石油天然气股份有限公司辽阳石化分公司(简称“辽阳石化”)作为股份公司的上市企业,按照股份公司的总体部署,于同年启动内控体系建设。经过几年的努力,形成了一套辽阳石化的内部控制和风险防控体系。
  一、企业内部控制体系概述
  早期的内部控制在内容侧重点和形式上都打上了审计专业或行业的烙印,被定义在与财务审计密切相关的狭窄的范畴。1992年,美国的COSO委员会设计了一个新的内部控制框架,即COSO框架。COSO框架是被广泛认可的内部控制整体框架国际标准。按照COSO内部控制框架建立内控体系,是企业梳理管理流程、规范管理制度、提升整体管理水平的契机。
  COSO框架包括五个基本要素:控制环境、风险评估、控制活动、信息和沟通、监督。
  中石油借鉴COSO内部控制框架,落实上市地的法律法规的要求、《中央企业全面风险管理指引》和《企业内部控制基本规范》等国内外监管法规的各项要求,结合公司实际,围绕COSO框架的五个基本要素,阐明内部控制关注点、管理措施,以及建立和运行内部控制体系统一执行的制度、管理规范和文档性记录,编制内部控制管理手册。
  二、企业内部控制测试的要点
  为保证内部控制体系运行的持续有效性,针对体系日常运行情况,内部控制部门应定期或不定期组织开展内部控制测试。内部控制测试是按照规定的程序、方法和标准,针对控制目标,对企业内部控制体系设计有效性和执行有效性进行检查,旨在发现内部控制体系在设计层面和执行层面是否存在偏差。内部控制测试形式主要包括管理层测试、评价测试、自我测试、外部审计。其中自我测试是由企业自己组织、针对本单位内部控制设计和运行的有效性实施的检查过程。自我测试应满足以下要求:(1)自我测试应坚持以风险为导向,兼顾覆盖面,重点关注高风险领域和业务薄弱环节;(2)每个测试单位的重要业务流程覆盖率不低于70%,关键控制覆盖率要达到90%。内部控制测试的目的在于:一是为管理层出具评估报告提供支持;二是通过测试,促进内部控制相关要求的贯彻执行,发现内部控制体系存在的不足,及时进行整改完善。
  中石油内部控制测试内容分为公司层面、业务活动层面和信息系统控制有效性测试。公司层面控制测试是对确保管理层获得在公司内部各个领域都有适当的控制机制在发挥作用的保证的重要机制控制的检查,包括COSO五要素中的董事会、审计委员会、反舞弊等十七个主题。业务活动层面控制测试是对具体业务流程进行的测试,测试内容包括战略发展、经营业务和管理支持三大领域,涵盖油气业务、工程技术服务、工程建设服务、装备制造业务、矿区服务和金融业务等板块的业务流程。信息系统控制测试分为信息系统总体控制测试和信息系统应用控制测试两部分。信息系统总体控制测试(GCC)是指对企业信息技术的开发、实施、运行、维护和管理等方面的控制测试;信息系统应用控制测试(AC)是指对应用软件中的电算化步骤以及用以控制不同种类交易处理的相关手工操作程序的测试。
  内部控制测试业务活动层面的测试一般采用跟单作业和关键控制抽样测试两种方式。跟单作业是选取一笔或一笔以上的业务,从业务发生开始,一直追踪至该笔业务反映到公司财务报告的测试流程;关键控制抽样测试是针对业务活动的关键控制,根据控制频率,抽取适当数量的样本,以样本代表总体,通过检查样本,判断关键控制执行总体情况。跟单测试适用于手工控制与应用系统控制测试,关键控制抽样测试适用于手工控制、应用系统控制及电子表格控制测试。内部控制测试的基本方法包括询问、观察、检查和再执行等。
  在实践中,内部控制测试必须坚持以下关键原则:(1)控制测试不等于实质性测试,不一定需要大量的样本;(2)编制控制频率参照表(适用于手工控制);(3)需要对工作的目标非常明确,如对应的风险点;(4)需要非常清晰的思维,明确测试的重点;(5)需要经验和职业判断;(6)关注内涵而非形式。
  三、辽阳石化内部控制测试
  从2006年到2010年,辽阳石化已迎接股份公司评价测试一次,管理层测试两次。每年按公司总体工作部署,开展自我测试一到两次。每次自我测试前,都严格按照上述的测试内容、方法和原则,做好测试方案,成立测试组,明确分工、职责和汇报机制。2010年,是内控与风险管理工作重点从体系建设向强化执行转变的关键一年,辽阳石化加大了自测的范围和力度,重要业务流程覆盖率达到90%,关键控制覆盖率达到98%。同时,结合某些领域突出问题专项治理工作安排,开展专项测试,堵塞管理漏洞,切实促进内部管理。
  1.基本情况
  在测试中,也发现了一些例外事项,针对这些例外事项,组织专业人员进行分析,属于认知类的,对其进行宣贯培训;属于流程设计类的,与相关部门结合实际,优化流程;属于管理类的,由管理部门和业务部门沟通,打通流程,使工作能够顺畅开展……通过测试,优化流程,强化风险控制,增强工作的针对性、有效性、可控性,提升管控力和执行力,培育内控文化,养成内控习惯,推动内控与风险管理工作上水平。几年来,辽阳石化的内部控制工作得到了股份公司的认可,内部控制有效,评价结果为优秀。
  近年,随着信息技术的发展,在测试中,我们还引进了内控测试系统。内控测试系统包括了ARIS系统和AAM系统,其主要作用就是在内控测试期间对测试活动进行支持。内控测试系统建设的基础性工作就是在ARIS系统中维护内控测试的静态数据(流程,风险,控制的信息),并将ARIS系统中的静态数据通过数据同步的方式转入到AAM系统中,在AAM系统中记录内控测试的结果,并出具内控测试的统计报表,在线提交整改意见和整改反馈。
  内控测试系统的引进,使得测试信息的传递变得随时、准确,测试相关表单一目了然,信息永久保存,方便日常查询使用,减少了大量人工分类汇总等工作,节省了人力、物力、财力和时间。
  2.经验与启示
  从我企业内部控制测试的实践中,总结出内部控制测试工作质量取决于如下几方面。
  (1)测试方案。测试前要制定统一、周详的测试方案,对测试单位、内容、测试工具、人员及时间安排等都要有明确规定。测试人员只要严格按方案的要求执行,就能保证测试工作规范有序,基本做到不同人员对同一内部控制进行测试时,履行相同的测试程序,采用相同的测试方法,得出大致相同的测试结果,不产生大的差异,保证了测试质量和汇总分析以及总体评价的客观性。
  (2)测试工具。测试工具应该是权威部门,借鉴该领域先进的测试实践设计制作的,包括各种表单、模版,权限测试工具等。测试的表单是一套相互关联的表单,如测试计划表、测试表、抽样测试表、例外事项汇总表等。测试模版确定每个测试点测试的内容、样本总体、样本量、测试方法、步骤等。权限测试工具是用来测试信息系统控制的。
  (3)测试重点。每个业务流程都设计了许多控制,内控测试关注的是针对重要风险设立的关键控制,而不是全部控制,这也符合现代管理善于抓重点、注重工作效率和效果有机结合的管理理念。
  (4)访谈技术。访谈是内控测试的基本方法之一,通过访谈被测试人,从他的回答中测试人员可以确定控制是否存在以及控制执行人对控制的理解程度,还能发现大量内控存在问题的线索。
  (5)抽样方法。抽样方法科学合理,才能提高测试结果的可靠程度。利用统计学原理,采用随机抽样的方法,根据控制频率确定样本量,这样的测试结果要比仅靠职业判断确定样本量的方法更科学。
  (6)测试人员素质。要保证测试工作质量,测试人员的素质是不容忽视的一个关键因素。在测试前,要对测试人员进行培训,确保参加测试的人员熟悉测试要求,精通相关测试工具的使用。
  (7)测试系统。在上述因素都具备的前提下,如果再有一套科学完善的测试系统,对于开展测试工作来说,将是如虎添翼。
  终上所述,全文阐述了中石油内部控制测试的方式、方法和内容,以及内部控制测试关注的要点,并以辽阳石化内部控制测试工作为例进行了说明,可供其他企业借鉴来开展内部控制测试工作。

责任编辑:

参与评论

验证码: 看不清楚么?点我刷新认证码 用户名