在財政部、證監會、審計署、銀監會、保監會五部委聯合發布《企業內部控制基本規范》的指導下,2010年4月26日,財政部會同證監會、審計署、銀監會、保監會發布了《企業內部控制配套指引》,其中《企業內部控制評價指引》第四十六條指出,“企業應當結合內部監督情況,定期對內部控制的有效性進行自我評價,出具內部控制自我評價報告”,第十二條指出,“企業應當按照內部控制評價辦法規定的程序,有序開展內部控制評價工作。內部控制評價程序一般包括:制定評價工作方案、組成評價工作組、實施現場測試、認定控制缺陷、匯總評價結果、編報評價報告等環節。”由此可見,企業開展內部控制評價的最基礎依據就是內部控制測試結果。開展測試工作成為開展內部控制自我評價的重要手段和關鍵步驟。
中國石油天然氣股份有限公司(以下簡稱“中國石油”)自2006年起,按照薩班斯-奧克斯利法案404條款的要求,每年開展財務報告內部控制自我評價并聘請會計師事務所對財務報告內部控制的有效性發表審計意見。經過6年多的內部控制評價與審計探索與實踐,以COSO內部控制框架為基礎,中國石油在理論和實踐上建立了一套系統化的、可操作性的內部控制測試體系。筆者將結合多年來內部控制測試的工作經驗,以中國石油所屬銷售企業內部控制測試案例為切入點,展示內部控制測試的方法和思路,為其他業務開展內部控制測試工作提供借鑒。
一、中國石油所屬銷售企業業務介紹
中國石油是中國最大的石油產品生產銷售商之一。2011年,成品油銷售采取多種措施籌集資源,強化調運組織,擴大零售特別是加大汽油銷售力度,完成零售量8,565萬噸、增長19.7%;市場份額保持在45%左右,實現了量效齊增。鞏固并強化燃料油、瀝青業務在國內市場最大生產和供應商地位,持續優化潤滑油業務市場布局,規范有效開展非油業務,增強了整體創效能力。加大營銷網絡開發力度,新開發加油站1,330座,南沙、珠海等油庫建成投用,增強了南方高效市場控制力。
中國石油目前在各省都建立銷售分公司,主要從事所屬省份成品油批發和零售經營業務。目前總部對各銷售分公司的管理要求高度一致,在人事方面通過年度KPI考核機制分級進行管理、在資金方面實行收支兩條線管理、在銷售業務方面通過授權分級進行管理、在系統使用方面進行統一開發與運行管理(包括人事、財務、資產、加油站等系統)。
二、所屬銷售企業內部控制測試案例分享
按照中國石油《內部控制管理手冊》要求,在內部控制體系建設完成之后,內部控制測試工作成為了一種常態化工作機制,一方面所屬企事業單位要按照制度要求,每年開展內部控制自我測試工作,并對年度內部控制工作情況進行評價,編制年度內部控制自我評價報告,納入績效考核體系中;另一方面中國石油總部機關通過外部審計、管理層測試等方式,每年對企事業單位的內部控制進行測試,開展年度缺陷評估,編制并披露年度內部控制自我評價報告,并將評價結果納入年度績效考核體系中。
為了更好的展示內部控制測試的整個過程,筆者將以中國石油總部機關對產業鏈下游企業——銷售企業開展內部控制測試工作為案例,有序地展示整個測試的過程。
按照“自上而下、風險導向”的基本方法,內部控制測試的基本程序主要包括三個階段,分別是:測試準備階段、現場測試階段、測試總結與報告階段。
(一)測試準備階段
對所屬銷售企業的測試準備階段,其工作主要包括建立內部控制測試組織機構、編制測試方案、確定測試人員、編制具體測試計劃四方面工作。
首先,建立內部控制組織機構,為內部控制測試提供組織保障。所有對所屬企事業單位的測試過程中,中國石油一般成立“決策、管理、執行”三位一體的內控測試組織機構,具體包括:
1.決策機構——內控與風險管理委員會,負責審批測試方案、核定測試報告,并決策測試過程的所有重大事項。
2.管理機構——內控與風險管理部,負責編制測試方案、確定測試組人員并組織培訓、跟蹤測試進度、測試報告審核與報告、測試結果跟進與整改等。
3.執行機構——內部控制測試組,負責現場測試工作,填寫測試底稿、編制測試報告。
其次,編制測試方案,明確測試思路和方法。測試方案一般由內控與風險管理部組織編制,內容一般包括測試目的、測試依據、測試方法、測試內容、測試流程或控制點范圍、測試單位范圍、測試程序、測試底稿及報告模板及測試工作要求等。
在編制測試方案時,銷售企業的內部控制測試在測試目的、測試方法、測試程序、測試底稿及報告模板、編制具體測試計劃、測試工作要求方面與其他行業的要求基本一致,在測試依據、測試單位范圍確認、測試流程或控制點范圍確認三個方面需要考慮銷售企業的特殊性。
1.在測試依據上,不僅要依據被測試單位《內部控制管理手冊》、測試工具及被測試單位規章制度等通用的測試依據,還要考慮到銷售企業的特殊性,依據發改委等相關監管機構在銷售價格、產品質量等方面的監管要求和中國石油銷售板塊對銷售企業的板塊管理要求等。
2.在測試流程或控制點范圍確認上,采取風險導向的基本方法。
一方面以財務報告目標相關內部控制為測試范圍時,從財務報告披露的重要會計科目和披露事項出發,一般以銷售企業合并財務報告總收入的5%作為確認重要會計科目的定量標準,若評估需要加強控制檢查,則可將指標降低一定的比例;所有的披露事項全部是重要的披露事項。根據確定的重要會計科目和披露事項往業務前端延伸,影響重要會計科目和披露事項的流程或控制點就是重要業務流程或關鍵控制點。
另一方面以非財務報告目標相關的內部控制為測試范圍時,可根據相關流程或控制點對經營目標、合規目標和戰略目標的影響程度,從定量或定性角度進行分析后予以確認。比如本年度加油站的并購占了投資的較大比重,對本年度經營目標能否實現有著重大影響,因此需要重點關注經營目標下加油站投資管理流程及其對應的投資控制點。
根據近幾年的測試經驗,在銷售企業的管理過程中,重要風險主要集中在銷售設施建設、煉化產品銷售、煉化產品庫存管理及其相關的財務核算與報告等重要流程及其對應的關鍵控制點。
3.在測試單位范圍確認上,除了銷售企業本部的基礎測試范圍外,在選擇納入測試范圍的銷售企業所屬企業時,一般考慮:(1)總資產或總收入的比重;(2)業務和風險的特殊性;(3)不同類型的所屬單位,含分子公司、加油站等。測試過程中對于所屬企業可考慮單位覆蓋率和收入總額覆蓋率,比如要求納入測試范圍的單位數量占所屬單位數量的50%,且要求納入測試范圍的單位總收入的總和占銷售企業總收入的70%。
再次,確定專業的測試人員,為測試效率效果提供人力資源保障。內部控制測試工作由人實施,派出的測試人員專業素質的強弱,直接影響到測試的結果。在對銷售企業的測試中,對測試組的組成要求,需要特別考慮補充有銷售企業管理經驗或有銷售企業內部控制測試經驗的人員,只有這樣,才能真正了解銷售企業管理的薄弱環節,有針對性進行測試并提出有效的管理建議。
(二)測試實施階段
測試實施階段是指從完成初步計劃并開始實施,直至完成全部測試步驟的工作過程。該階段是按照測試準備階段確定的測試方案執行,因此對銷售企業來說沒有特殊之處。這一階段的主要工作包括訪談、抽樣、例外事項確認。
首先,對執行流程和控制的崗位人員進行訪談。通過訪談,了解該崗位人員是否真正理解所執行的流程和控制,并對設計層面存在的問題進行了解,同時記錄訪談結果。比如,訪談銷售計劃管理崗,了解銷售計劃編制、審核、審批、執行控制流程及其相關控制情況。
其次,抽取樣本進行檢查,關注設計的流程和控制在實際工作中是否執行;流程和控制執行是否與《內部控制管理手冊》的要求相符合,且留下了相關實施證據。如,根據訪談結果,獲取年度、月度銷售計劃,檢查銷售計劃的相關編制、審核、審批、執行控制流程及其相關控制的執行情況。
最后,通過測試發現在相關控制方面出現的偏差,即例外事項,應及時予以記錄,并取得測試發現的例外事項相關證據的復印件或掃描件。如發現5-8月份銷售計劃未按照流程和控制要求報主管領導審批,就是例外事項。
(三)測試總結與報告階段
測試總結與報告階段是指測試人員完成全部測試后,對測試內容進行整理分析后編制測試報告并上報,內控與風險管理部下發改進意見書的過程。該階段是按照測試實施階段發現的例外事項來組織工作,因此對銷售企業來說沒有特殊之處。該階段的主要工作包括:
(1)匯總整理相關的例外事項,對測試發現的例外事項進行原因分析。(2)與被測試單位對測試結果進行溝通確認,并聯合提出有效的整改建議。(3)根據確認的例外事項,按照統一的測試報告模板,編制內部控制測試報告。
需要特別指出的是,例外事項可分為設計層面例外事項和執行層面例外事項。設計層面例外事項一般包括應有的控制不存在或設計不合理、實際執行的控制沒有被記錄或記錄不準確、已有的控制缺乏必要的制度或制度不完善三類;執行層面例外事項一般包括控制未執行或執行不完整、控制執行程序錯誤、缺少控制實施證據或實施證據不完整三類。
在測試報告審批后,內控與風險管理部將針對測試發現例外事項編制改進意見書,下發被測試銷售企業整改落實,并根據實際情況,選擇現場或者非現場進行改進測試,保證例外事項得到確實有效的整改。
三、對內部控制測試的思考
通過如上中國石油所屬銷售企業內部控制測試案例的介紹和分析中可以看出,內部控制測試工作是了解、判斷企業內部控制有效性的最直接、最有效的方法和手段;通過內部控制測試發現的例外事項,也是企業管理層開展內部控制自我評價的最主要依據。通過多年的內控測試工作的實踐經驗,筆者建議其他企業在開展內部控制測試過程中主要關注“測試什么?依據什么開展測試?誰去測試?如何落實例外事項的整改?”四個問題。具體的思考如下:
1.開展有效的風險評估,把握測試的重點
在內部控制測試的整個過程中,企業要嚴格按照風險導向的基本方法,通過定量和定性相結合的方法評估確定影響內部控制目標實現的可能性和影響程度,根據被測試單位的實際情況,確定重要風險對應的重要業務流程和關鍵控制,作為內部控制測試的重點。只有這樣,測試組才能真正對被測試單位的主要風險環節、風險易發環節進行測試,才能真正發現管理的薄弱環節,才能對內部控制的有效性發表意見。若純粹依賴隨意性的抽取來確定測試范圍,極有可能本末倒置,檢查的內容不能真正反映企業的風險,檢查的結果不能代表企業內部控制的總體情況。
2.建立系統的測試標準,提升測試的效果
在測試實施前,企業應建立健全內部控制測試標準,包括測試標準程序、測試單位范圍確認標準、測試內容范圍確認標準、各個業務環節的重要風險和關鍵控制要求、測試底稿及工具、例外事項判定和分類標準、報告模板等。只有搭建了系統化的內部控制測試標準,才能從方法論源頭上保證測試結果的完整性、系統性、客觀性。
3.配備專業的測試團隊,保證測試的質量
在測試中最重要的資源之一就是人力資源,測試團隊的好壞直接影響到測試的結果。因此在測試前期,測試組成員的選拔需要根據被測試單位的情況予以分配和組合,如前述的對銷售企業開展測試,最好能匹配有銷售企業管理或銷售企業內部控制測試經驗的人員參與測試。當然了,在前期對測試組成員的培訓、考試等也是必不可少的。長期借助外部中介機構的情況下,可以加強對中介機構人員的準入與考核,保證測試人員的專業經驗和勝任能力。
4.完善有效的責任機制,保證測試的整改
測試發現例外事項在于規范和提升管理,因此,企業需要建立與內部控制測試配套的責任機制,明確各單位負責人、各部門負責人、各崗位在內部控制設計與運行中的職責,明確每個流程、每個風險、每個控制的責任崗位、責任人,并將控制設計與執行的情況納入績效考核體系中,只有這樣內部控制測試發現問題才能得到確實有效的整改,才能保證內部控制的持續有效。
