——以中国石油所属销售企业为案例
在财政部、证监会、审计署、银监会、保监会五部委联合发布《企业内部控制基本规范》的指导下,2010年4月26日,财政部会同证监会、审计署、银监会、保监会发布了《企业内部控制配套指引》,其中《企业内部控制评价指引》第四十六条指出,“企业应当结合内部监督情况,定期对内部控制的有效性进行自我评价,出具内部控制自我评价报告”,第十二条指出,“企业应当按照内部控制评价办法规定的程序,有序开展内部控制评价工作。内部控制评价程序一般包括:制定评价工作方案、组成评价工作组、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等环节。”由此可见,企业开展内部控制评价的最基础依据就是内部控制测试结果。开展测试工作成为开展内部控制自我评价的重要手段和关键步骤。
中国石油天然气股份有限公司(以下简称“中国石油”)自2006年起,按照萨班斯-奥克斯利法案404条款的要求,每年开展财务报告内部控制自我评价并聘请会计师事务所对财务报告内部控制的有效性发表审计意见。经过6年多的内部控制评价与审计探索与实践,以COSO内部控制框架为基础,中国石油在理论和实践上建立了一套系统化的、可操作性的内部控制测试体系。笔者将结合多年来内部控制测试的工作经验,以中国石油所属销售企业内部控制测试案例为切入点,展示内部控制测试的方法和思路,为其他业务开展内部控制测试工作提供借鉴。
一、中国石油所属销售企业业务介绍
中国石油是中国最大的石油产品生产销售商之一。2011年,成品油销售采取多种措施筹集资源,强化调运组织,扩大零售特别是加大汽油销售力度,完成零售量8,565万吨、增长19.7%;市场份额保持在45%左右,实现了量效齐增。巩固并强化燃料油、沥青业务在国内市场最大生产和供应商地位,持续优化润滑油业务市场布局,规范有效开展非油业务,增强了整体创效能力。加大营销网络开发力度,新开发加油站1,330座,南沙、珠海等油库建成投用,增强了南方高效市场控制力。
中国石油目前在各省都建立销售分公司,主要从事所属省份成品油批发和零售经营业务。目前总部对各销售分公司的管理要求高度一致,在人事方面通过年度KPI考核机制分级进行管理、在资金方面实行收支两条线管理、在销售业务方面通过授权分级进行管理、在系统使用方面进行统一开发与运行管理(包括人事、财务、资产、加油站等系统)。
二、所属销售企业内部控制测试案例分享
按照中国石油《内部控制管理手册》要求,在内部控制体系建设完成之后,内部控制测试工作成为了一种常态化工作机制,一方面所属企事业单位要按照制度要求,每年开展内部控制自我测试工作,并对年度内部控制工作情况进行评价,编制年度内部控制自我评价报告,纳入绩效考核体系中;另一方面中国石油总部机关通过外部审计、管理层测试等方式,每年对企事业单位的内部控制进行测试,开展年度缺陷评估,编制并披露年度内部控制自我评价报告,并将评价结果纳入年度绩效考核体系中。
为了更好的展示内部控制测试的整个过程,笔者将以中国石油总部机关对产业链下游企业——销售企业开展内部控制测试工作为案例,有序地展示整个测试的过程。
按照“自上而下、风险导向”的基本方法,内部控制测试的基本程序主要包括三个阶段,分别是:测试准备阶段、现场测试阶段、测试总结与报告阶段。
(一)测试准备阶段
对所属销售企业的测试准备阶段,其工作主要包括建立内部控制测试组织机构、编制测试方案、确定测试人员、编制具体测试计划四方面工作。
首先,建立内部控制组织机构,为内部控制测试提供组织保障。所有对所属企事业单位的测试过程中,中国石油一般成立“决策、管理、执行”三位一体的内控测试组织机构,具体包括:
1.决策机构——内控与风险管理委员会,负责审批测试方案、核定测试报告,并决策测试过程的所有重大事项。
2.管理机构——内控与风险管理部,负责编制测试方案、确定测试组人员并组织培训、跟踪测试进度、测试报告审核与报告、测试结果跟进与整改等。
3.执行机构——内部控制测试组,负责现场测试工作,填写测试底稿、编制测试报告。
其次,编制测试方案,明确测试思路和方法。测试方案一般由内控与风险管理部组织编制,内容一般包括测试目的、测试依据、测试方法、测试内容、测试流程或控制点范围、测试单位范围、测试程序、测试底稿及报告模板及测试工作要求等。
在编制测试方案时,销售企业的内部控制测试在测试目的、测试方法、测试程序、测试底稿及报告模板、编制具体测试计划、测试工作要求方面与其他行业的要求基本一致,在测试依据、测试单位范围确认、测试流程或控制点范围确认三个方面需要考虑销售企业的特殊性。
1.在测试依据上,不仅要依据被测试单位《内部控制管理手册》、测试工具及被测试单位规章制度等通用的测试依据,还要考虑到销售企业的特殊性,依据发改委等相关监管机构在销售价格、产品质量等方面的监管要求和中国石油销售板块对销售企业的板块管理要求等。
2.在测试流程或控制点范围确认上,采取风险导向的基本方法。
一方面以财务报告目标相关内部控制为测试范围时,从财务报告披露的重要会计科目和披露事项出发,一般以销售企业合并财务报告总收入的5%作为确认重要会计科目的定量标准,若评估需要加强控制检查,则可将指标降低一定的比例;所有的披露事项全部是重要的披露事项。根据确定的重要会计科目和披露事项往业务前端延伸,影响重要会计科目和披露事项的流程或控制点就是重要业务流程或关键控制点。
另一方面以非财务报告目标相关的内部控制为测试范围时,可根据相关流程或控制点对经营目标、合规目标和战略目标的影响程度,从定量或定性角度进行分析后予以确认。比如本年度加油站的并购占了投资的较大比重,对本年度经营目标能否实现有着重大影响,因此需要重点关注经营目标下加油站投资管理流程及其对应的投资控制点。
根据近几年的测试经验,在销售企业的管理过程中,重要风险主要集中在销售设施建设、炼化产品销售、炼化产品库存管理及其相关的财务核算与报告等重要流程及其对应的关键控制点。
3.在测试单位范围确认上,除了销售企业本部的基础测试范围外,在选择纳入测试范围的销售企业所属企业时,一般考虑:(1)总资产或总收入的比重;(2)业务和风险的特殊性;(3)不同类型的所属单位,含分子公司、加油站等。测试过程中对于所属企业可考虑单位覆盖率和收入总额覆盖率,比如要求纳入测试范围的单位数量占所属单位数量的50%,且要求纳入测试范围的单位总收入的总和占销售企业总收入的70%。
再次,确定专业的测试人员,为测试效率效果提供人力资源保障。内部控制测试工作由人实施,派出的测试人员专业素质的强弱,直接影响到测试的结果。在对销售企业的测试中,对测试组的组成要求,需要特别考虑补充有销售企业管理经验或有销售企业内部控制测试经验的人员,只有这样,才能真正了解销售企业管理的薄弱环节,有针对性进行测试并提出有效的管理建议。
(二)测试实施阶段
测试实施阶段是指从完成初步计划并开始实施,直至完成全部测试步骤的工作过程。该阶段是按照测试准备阶段确定的测试方案执行,因此对销售企业来说没有特殊之处。这一阶段的主要工作包括访谈、抽样、例外事项确认。
首先,对执行流程和控制的岗位人员进行访谈。通过访谈,了解该岗位人员是否真正理解所执行的流程和控制,并对设计层面存在的问题进行了解,同时记录访谈结果。比如,访谈销售计划管理岗,了解销售计划编制、审核、审批、执行控制流程及其相关控制情况。
其次,抽取样本进行检查,关注设计的流程和控制在实际工作中是否执行;流程和控制执行是否与《内部控制管理手册》的要求相符合,且留下了相关实施证据。如,根据访谈结果,获取年度、月度销售计划,检查销售计划的相关编制、审核、审批、执行控制流程及其相关控制的执行情况。
最后,通过测试发现在相关控制方面出现的偏差,即例外事项,应及时予以记录,并取得测试发现的例外事项相关证据的复印件或扫描件。如发现5-8月份销售计划未按照流程和控制要求报主管领导审批,就是例外事项。
(三)测试总结与报告阶段
测试总结与报告阶段是指测试人员完成全部测试后,对测试内容进行整理分析后编制测试报告并上报,内控与风险管理部下发改进意见书的过程。该阶段是按照测试实施阶段发现的例外事项来组织工作,因此对销售企业来说没有特殊之处。该阶段的主要工作包括:
(1)汇总整理相关的例外事项,对测试发现的例外事项进行原因分析。(2)与被测试单位对测试结果进行沟通确认,并联合提出有效的整改建议。(3)根据确认的例外事项,按照统一的测试报告模板,编制内部控制测试报告。
需要特别指出的是,例外事项可分为设计层面例外事项和执行层面例外事项。设计层面例外事项一般包括应有的控制不存在或设计不合理、实际执行的控制没有被记录或记录不准确、已有的控制缺乏必要的制度或制度不完善三类;执行层面例外事项一般包括控制未执行或执行不完整、控制执行程序错误、缺少控制实施证据或实施证据不完整三类。