内控体系基础知识应知应会.docx

内控体系基础知识应知应会.docx

《内控体系基础知识应知应会.docx》由会员分享，可在线阅读，更多相关《内控体系基础知识应知应会.docx（24页珍藏版）》请在冰豆网上搜索。

内控体系基础知识应知应会

中石油昆仑燃气黑龙江分公司

内部控制管理体系基础知识

二O一一年三月

前言

内部控制是衡量现代化企业管理的重要标志，特别是在全球经济一体化、市场竞争日趋激烈的今天，企业发展与改革面临着前所未有的挑战——会计信息失真、国有资产流失、违法乱纪经营、舞弊等，这些问题无不与内部控制制度严重失控有着密切的关系。

因此，建立一套合理、完善、有效的内部控制体系来规范企业的日常经营活动，对不断提高企业的运营能力、盈利能力和发展能力具有重要意义。

中国石油天然气股份有限公司是按照现代企业制度在美国和香港上市的公司，必须按照《萨班斯—奥克斯利法案》的要求，建立并保持有效的内部控制制度。

昆仑燃气公司于2011年1月1日正式启动《昆仑燃气内控手册液化气区域公司分册》。

根据昆仑燃气公司内控体系建设工作总体部署，黑龙江分公司列为第三批内控体系建设单位，为全面推动黑龙江分公司内部控制体系建设，同时做好宣传和普及工作，达到全员参与内部控制的目的，内控（企管）办公室组织编制《内部控制管理体系基础知识》。

本手册共分三个部分，一是内控术语部分，二是基础知识部分，三是职业道德部分。

本宣传手册内容以通俗、易懂为出发点，将较难理解的内控术语和基础知识以问答的形式进行编排，易于员工掌握。

本宣传手册在编制过程中，如有不当之处，敬请批评指正。

中石油昆仑燃气黑龙江分公司内控（企管）办公室编

二O一一年三月

内部控制管理体系基础知识

一、内控术语部分

1．COSO

COSO是自愿性的私人组织，致力于通过强化商业道德、建立完善有效的内部控制和法人治理结构，以提高财务报告质量。

COSO是反虚假财务报告委员会的英文缩写。

2．COSO框架

COSO委员会制定COSO内部控制体系框架，并广泛地选择作为构建和完善内部控制体系的标准，是美国证券交易委员会惟一推荐使用的内部控制框架。

3．内部控制

内部控制是受公司董事会、管理层和其他人员影响，为实现经营的效率和效果、财务报告的可靠性、相关法规的遵循性等目标而提供合理保证的过程。

4．设计有效性

当内部控制能够满足内控目标，并能防止或发现可能导致财务报表发生重大错报或舞弊时，财务报告内部控制的设计就是有效的。

5．运行有效性

当内控按照恰当的设计进行运行时，并且执行内控的相关人员具备有效运行控制所需的权限和资格时，对于财务报告的内部控制的运行是有效的。

6．合规性

公司生产经营活动遵循法律法规的符合性程度。

7．管理层干预

管理层出于合法目的而不遵守既定政策或规定。

管理层干预对于处理一次性的非常规交易通常是必要的，若不干预，按照控制体系进行的处理可能是不妥当的。

8．管理层无视控制（逾越或越权）

管理层出于非法目的为获得个人利益或为加强一个实体的财务状况或合规地位的行为，而这种行为却不遵守既定政策或规定，即越权行为。

9．手工控制

通过手工实施，而不是通过计算机实施的控制。

10．自动控制

与手工控制相对，由计算机等系统自动执行的控制。

11．利益相关方

受企业影响的相关方，例如：

股东、企业经营所处的各种社团、员工、客户和供应商。

12．诚信

作为良好道德准则的品质或状态；正直、诚实和真诚，期望作正确的事情，宣称并实现一套价值和预期。

13．风险

风险是任何可能影响目标实现的负面因素，所有公司，无论规模、结构和行业性质，都面临着诸多来自内部和外部的风险，影响公司既定目标的实现。

14．风险评估

风险评估是识别和分析那些影响目标实现因素的过程。

15．风险可能性

风险可能性是假定不采取任何措施去影响管理进程的情况下，将会发生风险的概率。

16．风险影响程度

风险影响程度是风险对目标实现的负面影响水平。

17．风险反应

风险反应是针对已识别的风险确定相应的对策或方案，即针对风险采取的技术或管理方面的措施。

18．预防性控制

预防性控制是为防止错误和非法行为的发生，或尽量减少其发生机会所进行的一种控制，如：

事前的审批。

19．发现性控制

发现性控制是指为及时查明已发生的非法行为，或增强发现错误和非法行为的能力所进行的各项控制，如：

事后的复核。

20．舞弊

舞弊是指以故意的行为获得不当或非法利益。

舞弊行为主要有两个特征：

一是主观故意；二是获得不当或非法利益，包括对财务报告造成重大影响或给公司造成重大损失等情况。

21.信息披露

信息披露是指公司为确保符合中国证券监督管理委员会、纽约证券交易所、香港联合交易所和美国证券交易委员会的要求以及其他监管的要求，向所有市场参与者和监管部门提供及时、有序、一致、准确、完整、可靠和可信的公司信息。

22．监督

监督是对内部控制体系有效性进行评估的持续过程，包括持续监督、独立评估和缺陷报告等。

23．内部控制缺陷

内部控制缺陷的设计或运行不能使管理层或员工在正常行使其职责过程中及时防止或发现错误时，表明存在内部控制缺陷。

包括设计缺陷和运行缺陷。

24．设计缺陷

当缺少实现内部控制目标必需的某项控制措施时，或者当现有内部控制的设计不适当，以至于即使内部控制按照设计运行，通常也无法实现内部控制目标，则存在设计缺陷。

25．运行缺陷

当设计适当的内部控制没有按设计运行，或者当执行内部控制的相关人员缺乏必要的授权或不具备实施有效控制的资格时，则存在运行缺陷。

26．管理层测试

管理层测试是针对股份公司重要业务单位和部分特殊业务单位内部控制设计和运行的有效性，由管理层授权审计部和内部控制部具体实施的检查过程，根据管理层测试及其缺陷评估的结果出具管理层自我评估报告并对外披露。

27．运行检查测试

运行检查测试是由管理层授权内部控制部，对未纳入管理层测试范围的特殊业务单位的内部控制设计和运行有效性具体实施的检查过程。

28．地区公司自我测试

地区公司自我测试是针对地区公司内部控制设计和运行的有效性，由地区公司总经理授权相关部门具体实施的检查过程。

29．补充测试

由管理层授权内部控制部，对地区公司在前期内部控制测试中样本量不足的控制进行的补充抽样测试。

30．改进测试

由管理层授权内部控制部，对前期内控测试中发现的例外事项，在内部控制部下发改进意见书并经过有效时间运行后进行的检查。

31．更新测试

由管理层授权内部控制部，针对资产负债表日（12月31日）前60日，股份公司重要业务单位和部分特殊业务单位经过前期测试后，已抽足样本且有效运行的控制进行的检查。

二、基础知识部分

1．《萨班斯-奥克斯利法案》产生的背景是什么？

2001年年底以来，美国安然、世通、施乐等一批大公司会计丑闻接连曝光，诚信危机震撼着美国及国际社会，使人们对美国式自由市场经济制度产生质疑，全球舆论的焦点集中于美国企业的假帐丑闻。

为了提高民众对美国金融市场、对政府经济政策的信心，2002年7月30日美国总统布什签署了《萨班斯-奥克斯利法案》，目的在于建立“新的上市公司准则”，保留投资者对上市公司的信心。

2．《萨班斯-奥克斯利法案》的主要内容是什么？

《萨班斯-奥克斯利法案》以维护投资者利益为宗旨，严厉惩治公司腐败和财务欺诈，规范企业行为和加强资本市场监督，主要内容包括：

1）对会计监管的加强；2）对审计制度的完善；3）对上市公司信息披露义务的强化；4）对违法行为采取严厉的法律制裁。

3．实施内部控制的目的是什么？

实施内部控制就是为了促使企业向着赢利和实现自身目标迈进，并使这一过程中出现的意外情况最小化。

4．内部控制体系的作用是什么？

内部控制体系的作用主要是促进提高企业经营效率，降低资产损失风险，有助于保证财务报表的可靠性以及企业经营活动的合法合规性。

5．内部控制体系关联的五个要素分别是什么？

内部控制体系五个要素分别是：

控制环境、风险评估、控制活动、信息与沟通、监督。

6．控制环境要素中的主要作用和内容是什么？

控制环境设定了一个企业基调和特征，直接影响员工的内控意识。

主要内容包括：

员工对职业道德的遵循、员工的工作胜任能力、

管理层的管理理念和经营风格、管理层授权和职责分工方法、组织结构的合理性等。

7．风险评估要素中的主要作用和内容是什么？

企业的生产经营活动中包括各种风险，有环境风险、职业健康安全风险、法律事务风险、投资风险等，企业必须对各种风险进行有效性评估，特别是内控关注的财务风险。

主要是识别、评价实现既定目标的相关风险，形成实施控制风险的基础。

8．控制活动要素中的主要作用和内容是什么？

控制活动是指有利于保证管理层决策得到有效贯彻执行的政策和程序。

主要是针对已识别的风险采取必要的控制措施。

控制活动出现在企业内的所有活动中，包括诸如批准、授权等职责明确的规定或制度。

9．信息与沟通要素中的主要作用和内容是什么？

企业要实现有效运行，必须建立一套畅通的信息沟通机制，包括对内和对外的沟通机制，以便员工以一定形式传递企业经营管理的相关信息。

有效的信息沟通必须在公司内自上而下、横向以及自下而上地传递。

同时与外部如客户、供应商、监管部门等外部联系。

信息与沟通体系包括：

信息系统总体控制（GCC），应用系统的控制（AC）。

10．监督要素中的主要作用和内容是什么？

体系建立完成后，需对内部控制进行监督管理，这是一个不断对内控体系运行质量进行评估的过程。

可以通过持续性的监督活动、独立评估等方式进行监督。

持续性的监督包括公司日常的管理和监督活动，以及员工在履行各自职责过程的自行监督。

独立评估的范围和频率则主要依赖于风险评估和持续性监督程序的有效性，对于存在的缺陷（问题），应自下而上进行汇报，性质严重的应上报给总经理和其他公司领导。

11．内部控制的目标分为几类？

内部控制将企业的目标分为4类：

1）战略目标：

属于公司层面的目标；2）经营目标，即公司资源利用的效率与效果，包括业绩和利润性目标；3）财务报告目标，即编制公开财务报告的可靠性，包括防止虚假的公开财务报告；4）合规性目标，即公司对适用法律和法规的遵循和符合程度。

12．企业如何建立一个有效的内部控制体系？

通过建立一套合理的风险识别机制、规范的风险控制机制、适宜的控制环境机制、畅通的信息沟通机制和严格的监督改进机制，首先达到设计有效，符合股份公司及公司内部实际管理的要求；其次严格执行，保持可验证的、真实的有效性证据，发现问题及时采取纠正和预防措施，不断改进已建立了有效的内部控制体系。

13．信息系统总体控制包括哪些内容？

信息系统总体控制（简称GCC）通常包括对数据中心操作、系统软件的获取和维护、数据存取安全性、应用系统开发和维护的控制。

14．信息系统应用控制包括哪些内容？

信息系统应用控制（AC）包括应用软件中的电算化步骤以及用以控制不同种类交易处理的相关手工操作程序。

15．信息系统总体控制和应用控制有何关系？

信息系统总体控制和应用控制是相互关联的，信息系统总体控制是应用系统控制的基础，应用系统控制依赖于信息系统总体控制，两者共同作用，保证信息处理的完整性和准确性。

16．风险反应的方案（即风险控制措施）有哪些？

风险反应的措施主要从以下4个方面考虑：

1）规避风险：

不从事或退出产生风险的各种活动，可从根本上规避风险；2）减少风险：

采取行动减少风险的可能性或影响，或两者兼而有之。

3）分担风险：

通过将风险转移或者分担部分风险来减少风险的可能性和影响。

4）接受风险：

不采取任何行动去影响风险的可能性或影响，即认为风险可以承受即接受之。

17．《内部控制管理手册》编制的原则是什么？

《内部控制管理手册》编写遵循以下原则：

1）选用COSO内控框架进行体系设计；2）重点关注与财务报告相关的内部控制体系建设；3）按照“达标”设计，满足通过外部审计的基本需要。

18．《内部控制管理手册》编制的依据是什么？

《内部控制管理手册》编写依据国内和国外的法律法规。

国内的法律法规主要有：

1）中华人民共和国会计法；2）企业会计准则；3）《中华人民共和国内部审计工作的规定》；4）《审计署关于内部审计工作的规定》；5）《中央企业内部审计管理暂行办法》。

国外法律法规主要有：

1）《萨班斯—奥克斯利法案》；2）《与财务报表审计协同进行的对于财务报告内部控制的审计》。

依据的标准为《COSO内部控制框架》。

19．《内部控制管理手册》主要有几方面内容？

《内部控制管理手册》主要有五大方面内容，分别为《控制环境》、《风险评估》、《控制活动》、《信息与沟通》及《监督》。

20．《控制环境》部分包含哪些内容？

《控制环境》部分，描述了控制环境的概念，并从诚信与道德观、员工胜任能力、管理理念和经营风格、组织结构、权利和责任的分配、人力资源政策与措施、董事会与审计委员会、反舞弊等八个方面对内控关注要点、措施进行了阐述。

21．《风险评估》部分包含哪些内容？

《风险评估》部分，描述了风险和风险评估的概念以及风险的分类，从建立风险评估目标、风险评估机制两个方面对内控关注要点及相应措施进行了阐述。

22．《控制活动》部分包含哪些内容？

《控制活动》部分，描述了控制活动的概念及要素，对公司控制活动的实施进行了概括，并汇编了关键控制管理文件。

23．《信息与沟通》部分包含哪些内容？

《信息与沟通》部分，描述了信息与沟通的概念及要素，从信息、沟通、信息系统总体控制、应用系统控制及信息披露等五个方面对内控关注要点及相应措施进行了阐述。

24．《监督》部分包含哪些内容？

《监督》部分，描述了监督的概念及要素，并从持续监督、独立评估和报告缺陷三个方面对内控关注点及相应措施进行了阐述。

25．内控缺陷有几类？

答：

缺陷按照程度不同分为一般缺陷、重要缺陷和实质性漏洞。

26．反舞弊重点关注哪些方面？

答：

反舞弊重点关注以下六个方面舞弊行为：

①财务报告舞弊。

例如，以不适当的收入确认方法调节收入、高估资产或低估负债等。

②资产盗用。

例如，非法挪用公司财产、工资舞弊或偷窃等。

③不当目的的支出或负债。

例如，商业行贿、对政府行贿、其他不当付款等。

④以欺诈的方式取得资产和收入。

例如，不当的超额收取货款或费用、掉换销售货品等。

　⑤以欺诈的方式避免成本或费用。

例如，公司不当地逃避税费或避免成本等。

　⑥高级管理层或董事会成员在财务方面的不当行为。

例如，不正当的关联方交易等。

27.请述反舞弊在内控体系中的重要性有哪些？

答：

反舞弊是内控体系建设的重要内容之一，外部审计对反舞弊程序与控制非常关注，PCAOB（美国上市公司会计监管委员会）审计准则第2号在重要缺陷与实质性漏洞方面对舞弊导致的后果专门作了规定。

PCAOB审计准则第2号140条第6款规定：

如果发现任何高管舞弊，至少被视为重大缺陷，并可能预示着实质性漏洞的存在。

由于高层基调在整个控制环境中的重要作用，高级管理层的任何程度舞弊都会对控制环境产生消极影响，所以与财务报告相关的高级管理层人员任何程度的舞弊行为都会造成实质性漏洞。

28.战略发展流程主要内容有哪些？

答：

战略发展流程（StrategyProcess，编码简称“SP”）：

以公司董事会、社会为服务主体，满足企业业绩，合规表现等要求的业务流程。

该流程的特点是面向公司整体层面、面向各业务流程，实现从上至下的管控要求和执行监控，体现从下到上的承诺和目标达成；关注公司全局的资源优化配置，追求公司价值长期最大化，满足公司整体利益的全局性、协同性、长远性和风险防范等战略要求。

战略发展流程：

战略发展流程包括战略管理流程及合规管理流程。

其中：

战略管理流程包括公司治理、发展规划、管理结构、经营计划、运营监控、公司报告六个一级流程。

合规管理流程包括法律事务、健康安全环保、风险控制三个一级流程。

29.核心业务流程主要内容有哪些？

答：

核心业务流程（KeyProcess，编码简称“KP”）：

以市场与客户为服务主体，提供符合要求的产品与服务，并实现价值增值的业务流程。

该流程的特点直接面对市场与客户，以端到端的形式，实现客户的满意、效率的满足、质量的改善、成本的优化。

30.经营管理流程主要内容有哪些？

答：

经营管理流程（ManagementProcess，编码简称“MP”）：

以内部业务与管理部门为服务主体，通过为其提供所需的服务与资源，实现效率和效果的提升的业务流程。

该流程特点是面向内部客户，提供资源保障（人、财、物、信息、设备、技术）、管理与服务输出（合同、法律事务），确保核心流程的价值增值最大化和战略发展类流程持续发展目标的实现；关注经营管理的效率与效果。

经营管理业务流程主要是指管理支持的主体流程，主要包括人力资源管理流程、财务管理流程、投资管理流程、采购管理流程、存货管理流程、资产管理流程、科技发展流程、信息管理流程、合同管理流程。

31.业务流程图中的字母F、B、L分别代表什么？

答：

字母F、B、L分别是财务报告风险（financialrisk）、经营风险（businessrisk）、合规性风险（legalrisk）的英文缩写，指的是业务活动层面的三大风险。

业务活动层面风险是指与公司的主要生产经营活动及管理职能有关的风险，包括采购、生产、市场营销、销售、技术开发以及研发、人力资源管理、财务管理等业务和管理活动中存在的风险。

32．公司确认关键控制的目的是什么？

答：

目的是将确认的关键控制作为控制活动的重点，对其实行全面、严格的管理，以防范重要风险。

关键控制也为公司管理层测试内部控制体系的完整性和有效性提供统一的范围和标准；同时将其作为公司提供的内部测试基础性资料，以满足外部审计师评估、测试公司内部控制体系的完整性和有效性。

33．在风险控制文档（RCD）中可以体现哪些内容？

答：

风险控制文档用表格形式完整体现了风险类别、风险描述、控制目标的类型、控制目标具体描述、现有控制措施、控制方法、控制类型、控制频率、控制实施证据、控制文件的文号及名称等内容。

34．什么是控制实施证据？

指地区公司在实施现有控制时所使用的报告、表单、签字等。

35．以下哪种情况之一至少是重要缺陷，很可能是实质性漏洞？

答：

1）对已签发的财务报告进行重报以反映对错报的更正；2）审计师发现的、最初未被公司财务报告内部控制识别的当期财务报告中的重大错报；3）公司审计委员会对公司的对外财务报告和财务报告内部控制的监督无效；4）公司内部审计职能和风险评估职能无效；5）员工的舞弊行为；6）重要缺陷与管理层和审计委员会沟通后，该缺陷在一个合理的期间内得到纠正。

1）至4）之一至少是重要缺陷，很可能是实质性漏洞。

36．员工信息安全培训要求是什么？

答：

各级信息技术部门制定信息安全方面的培训计划，对员工进行信息安全教育和培训，以确认其具有必要的信息安全意识，对信息安全培训结果要书面记录并归档。

培训内容主要包括：

1）对网络管理员、操作系统管理员、应用系统管理员、数据库管理员等相关人员应开展必要的信息安全技术培训，使这些员工了解、掌握网络、服务器、应用系统、数据库、个人计算机等信息资产的必要信息安全知识；2）在应用系统的新建、升级对用户使用产生影响时，应事先开展必要的培训，使相关员工了解系统变更所带来的信息安全权限和责任的变化；3）员工被要求签署遵守企业的信息安全规定的声明，员工签署的聘用合同或保密协议中应包含员工遵守企业信息安全规定声明；人事部门负责员工签署的遵守企业信息安全规定声明的归档。

37．应用系统权限管理的组成包括哪些内容？

答：

应用系统权限管理1）访问控制：

是指用户能够访问哪些应用系统内的资源或执行哪些任务（或功能）的范围，从控制的角度考虑在系统中所拥有的功能权限是否超出了其工作需要；2）职责分离，是把一个业务（子）流程的工作内容分为几个职责不相容的部分并由不同的人来完成，避免因同一个人能够操作不相容职责而产生的舞弊风险。

38．跟单作业的目的是什么？

答：

跟单作业目的是查找文本规范性问题，即评估流程图、风险控制文档和程序文件的规范性，找出流程描述以及风险控制文档和程序文件的内容与实际执行情况不符等问题；查找内控设计方面的不足，即缺少控制，或现有控制不足以防范风险；在设计满足的情况下（在风险控制文档中描述或制度中规定的控制），检查其在实际中是否存在；查找执行方面存在的不足，即设计的控制在实际中没有完全执行。

39．关键控制测试目标是什么？

答：

关键控制测试目标：

通过关键控制测试，查找内控执行方面的不足，确保设计有效的内部控制在公司得到全面贯彻落实。

三、职业道德部分

1．国有企业领导干部“五个不准”是什么？

答：

1）不准个人擅自决定企业的大额度资金运作、生产经营和企业改革的重大决策、重要人事任免等有关事项。

  2）不准将国有资产转移到个人名下或其他企业谋取非法利益；未经投资者批准，不准以个人名义在国（境）外注册公司或投资参股。

  3）不准利用职权为配偶、子女及其他亲属经商办企业提供便利和优惠条件；不准配偶、子女个人从事可能侵害企业利益的生产经营活动。

  4）不准弄虚作假，谎报成绩；不准授意、指使、强令财会人员做假帐或设立法定帐册以外的任何帐册。

  5）不准擅自兼任下属企业或其他企业的领导职务，经批准兼职的不得领取兼职工资或其他报酬。

2．股份公司高级管理人员职业道德规范确认书的主要内容是什么？

答：

作为高级管理人员，应熟知《中国石油天然气股份有限公司高级管理人员职业道德规范》的内容，并承诺在从事公司业务活动中遵守《中国石油天然气股份有限公司高级管理人员职业道德规范》的所有规定，主要是以下方面的规定。

1）遵守公司经营业务所在地区法律、法规和有关监管规则。

2）对公司履行诚信与勤勉义务。

3）不参与可能导致与公司利益冲突的活动，避免对公司造成利益损害。

4）遵守公司信息披露控制和信息披露程序。

5）公平、公正地对待公司的雇员、客户和供应商。

6）廉洁自律，不做有损于公司声誉的事。

7）保证公司的一切交易活动得到恰当的批准和执行，确保公司财务工作规范、准确。

8）保证公司资产用于合法的业务。

9）有责任向管理层及负责部门报告违反本规定的行为。

3．公司全体员工必须遵守的职业道德规范是什么？

答：

1）认同公司精神及宗旨，践行公司核心经营管理理念。

公司员工要发扬“爱国、创业、求实、奉献”的企业精神，贯彻“诚信、创新、业绩、和谐、安全”的核心经营管理理念，实践“奉献能源，创造和谐”的企业宗旨。

热爱本职，忠于职守，熟练掌握职业技能，自觉履行职业责任，注重工作效率。

保护公司的合法利益。

2）禁止参与可能导致与公司有利益冲突的活动。

主要包括以下方面：

（1）公司员工不得私自占有应当属于公司经营活动范围的机会；不准利用公司财产、信息或地位谋取个人利益。

（2）公司员工不得在与公司有竞争关系、与公司利益有冲突或有冲突可能的公司、单位以任何身份任职，不准从事与公司有竞争的活动。

（3）公司员工不得接受可能影响商务决策和有损独立判断的有价馈赠。

也不能允许其亲属或第三人接受该类馈赠。

员工在商务活动中可以交换非现金礼节性纪念品，但不能因此影响业务正常往来。

严禁为商务目的而以任何手段向政府官员提供、给予或承诺给予金钱和其他有价值的物品。

公司员工代表公司购买商品应遵循公司的采购政策，在业务往来中不允许进行贿赂、收取回扣或其它诱惑。

（4）公司员工必须遵守公司关于商业秘密保护的有关规定，不准泄露或擅自使用任何与公司相关的保密信息。

（5）公司员工及亲属，不得违反章程规定收购公司资产、接受公司所提供的贷款或贷款担保。

3）公司员工要忠诚于公司，诚实守信，反对出于任何目的的欺骗、作假行为。

4）公司员工要继承弘扬中国石油优秀的职业道德作风。

保持说老实话、办老实事、做老实人，严格的要求、严密的组织、严肃的态度、严明的纪律的优良传统。

5）公司员工要遵守公司经营业务所在地区的法律、法规，遵守公司上市地有关监管