书城管理COSO框架下的内部控制
6352000000035

第35章 报告缺陷

企业内部控制系统中的缺陷会从许多来源暴露出来,包括企业的持续性监督程序、内部控制系统的独立评估以及外部各方。这里所用的词“缺陷”被泛泛地定义为内部控制系统内部值得注意的一种状态条件。因此,缺陷可能是一个可感知的、潜在的或实际的缺点,或者是一个增强内部控制系统的机会,可以提供更大的可能性去实现企业的目标。

一、汇集和报告发现的内控缺陷

(一)COSO框架的要求

内部控制系统本身是有关控制缺陷信息最好的来源之一。企业的持续性监督活动(包括管理活动和员工日常的监督)可以使直接参与企业活动的人员产生洞察力。这种洞察力是实时获取的,可以帮助人们迅速识别控制缺陷。发现控制缺陷的其他来源是对内部控制系统的独立评估。由管理层、内部审计人员或其他人员实施的评估可以突出显示出需要改进的领域。外部各方常常提供企业内部控制系统职能发挥的重要信息。他们包括客户、供应商和其他与企业有业务关系的人、独立会计师以及监管部门。必须仔细考虑外部来源的报告,考虑他们对企业内部控制的重要意义以及需要采取的合适的整改措施和行动。

根据COSO框架的要求,主要关注下列活动:

(1)来源于内部或外部(如客户、供应商、审计师、监管机构);

(2)通过持续监督或独立评估的结果。

(二)监督部门及现状

1.公司管理层。

(1)公司管理层应对外部审计师审计出的内部控制缺陷做出回应。

(2)公司对监管部门监管过程中发现的有关违反法规、财经纪律等内部控制缺陷应采取措施。

2.财务部。

各级财务部门对组织财务税收检查时发现的内控缺陷应采取措施。各单位对自查和重点抽查工作中发现的问题进行分析、研究,制订整改工作方案,提出整改意见,进行整改。

3.审计部。

股份公司总部审计部及专业公司、地区公司、院设立的审计处或审计监察处,通过开展审计计划和执行审计项目,对发现的控制漏洞及时上报,所形成的审计报告上报所属单位的最高管理层,并要求被审计单位进行整改,提高控制与管理水平。

4.监察部。

监察部的纪检监察信访机制、效能监察工作以及重大事故的调查工作,能够汇集和发现公司包括内控缺陷在内的问题。具体为:

(1)纪检监察信访机制。监察部受理违反党纪、政纪和违反中央廉洁自律有关规定等问题的检举揭发。监察部门通过受理公民、法人、境外人员和其他组织的举报书信、走访、举报电话等形式,实施监察信访的受理工作。此外,监察部还受理以电子邮件方式在企业信息网上的举报,主要是鼓励合作方对违规行为进行检举。

(2)效能监察。效能监察是监察部门围绕公司生产经营管理和利润最大化经营目标,依法对监察对象执行国家方针政策、法律法规和公司的规定、制度,以及履行职责的情况,特别是对生产和经营管理的质量、效果、效率、效益情况开展的一项监督监察活动。对于在效能监察中发现的重要问题和情况,向本单位和上级监察部门报告。

(3)监察部还参与特别重大事故调查工作。根据监察部《监察机关参加特别重大事故调查处理暂行规定》,股份公司所属企事业单位发生特大事故后,立即以电话、电传、电子邮件等方式报告监察部(并在5日之内以书面形式上报事故报告)。根据领导批示,监察部参加有关部门牵头的调查处理或监督特大事故的调查工作。

5.工会。

公司具有职工代表大会制度,这是企业民主监督的一种形式。

6.内控管理部门。

内控部门作为今后体系运行维护的归口管理部门,负责对以后在体系维护过程中发现的有关内控的问题进行备案,汇总整理改进并报管理层批准实施。

(三)规章制度索引

1.《中国石油天然气股份有限公司内部审计规范》。

2.《中国石油天然气股份有限公司效能监察暂行办法》。

3.《中国石油天然气股份有限公司内部审计工作暂行办法》。

4.《中国石油天然气股份有限公司章程》。

5.《中国石油天然气股份有限公司内部控制体系规定》(待编订)。

6.《中国石油天然气股份有限公司内部控制体系管理办法》(待编订)。

二、汇报机制的适当性

(一)COSO框架的要求

在进行日常运营活动中,由员工生成的信息通常通过正常的渠道向其直接上级报告。接下来可能向上级汇报或在企业内平级沟通,这样信息就在能够和应该根据该信息采取行动的人之处停止流动。所发现的内部控制缺陷通常不仅应报告给负责有关职能或活动的人,也应该至少报告给其直接负责人上一级的管理层。这个过程可以使当事人采取整改行动获得所需的支持或监督,也可以使其与企业中业务活动可能受到影响的其他人进行交流和沟通。在所发现的缺陷问题的影响遍及整个企业的情况下,应该越级报告,并且报告至级别足够高的管理层,以保证企业能采取合适的行为。

根据COSO框架的要求,主要关注下列活动:

(1)将控制缺陷向直接负责人和至少再高一个级别的人汇报;

(2)特殊类型的缺陷向高级管理层和董事会汇报。

向合适的人提供所需的有关内部控制缺陷的信息,对内部控制的持续有效性是至关重要的。应建立规程来识别在企业某一级别进行决策所需要的信息。该规程所基于的一般原则是:经理应接受所需的信息以便影响在他责任范围内管理的员工的行动或行为,或实现业务活动的目标。而一位公司总经理则想要了解企业内严重违反政策和程序的事,他也想获取有关某些事情的性质的辅助信息,这些事可能会造成重大财务后果或具有战略意义或可能会影响企业的声誉。高级管理人员应该了解影响其业务单位的控制缺陷,例如,具有规定货币价值的资产在哪个单位存在风险;哪个单位缺乏能胜任工作的人员;哪个单位没有正确地进行重要财务对账核查。应自上而下逐级向企业管理人员更详细地通告在其单位中存在的内部控制缺陷。

由监督人员来建立上报流程,为企业下属部门确定应上报的事宜。报告对事情具体说明的程度因部门级别而异,一般级别越低越详细。尽管对上报规程制定得太细可能会约束有效的上报,但是,只要给予足够的灵活性,就可以强化上报流程。

(二)监督部门措施

1.财务部。

股份公司总部设财务部,对财务总监负责并报告工作。财务部总经理和财务总监出席审计委员会例会,在例会上进行汇报,包括财务分析(对比预算、对比上期)的内容。书面的汇报内容尚未涉及有关重大财务风险领域和管理层如何处理风险的议题,以及相应的跟进报告。拟订的改进方案中包括了提高财务与审计委员会沟通及工作汇报的内容。

专业公司、地区公司、院设立财务处,向总经理(院长)和股份公司财务部报告工作。

2.审计部。

股份公司总部设审计部,由总经理领导股份公司的审计工作,对总裁负责并报告工作。

专业公司、地区公司、院设立审计处或审计监察处,在总经理(院长)和股份公司审计部的领导下,组织领导本单位的审计工作,向总经理(院长)和股份公司审计部报告工作,其双重领导关系同前。公司内审部门正在讨论实施内控项目组提出整改意见,包括加强内审部门和审计委员会的沟通。

3.监察部。

股份公司监察部是管理层下设的职能部门,监察部总经理负责向管理层请示、汇报工作,这种汇报机制影响了监察部的独立性,决定了其无法对股份公司的管理层进行有效监督。中国石油的监察体系为非垂直架构,采取分级负责、分级监察的原则,地区公司的监察处同时向地区的主管领导、总经理及上级监察部门汇报,而且是“首先向主管领导和总经理汇报”,遇到重大事项(如重大案件的查处、纪检监察部门的重要人事变动及需要请示的重大事项),事先向监察室书面请示、报告,其他信息通过工作通报、简报、内部刊物、工作会议文件、全年工作总结和专项工作总结、纪检监察信息等方式上报。为了提高双重汇报机制下纪检监察信息,特别是敏感举报信息,能够及时上报,确保案件的查处力度,公司正在讨论实施内控项目组提出的整改意见。

4.审计委员会。

对财务报告、内部审计的监督还有待加强。具体管理方法和改进措施见《控制环境》部分。

(三)规章制度索引

1.《中国石油天然气股份有限公司内部审计规范》。

2.《中国石油天然气股份有限公司效能监察暂行办法》。

3.《中国石油天然气股份有限公司内部审计工作暂行办法》。

4.《中国石油天然气股份有限公司章程》。

5.《中国石油天然气股份有限公司内部控制体系规定》。

6.《中国石油天然气股份有限公司内部控制体系管理办法》。

三、跟进评估的适当性

(一)COSO框架的要求

根据COSO框架的要求,主要关注下列活动:

(1)识别出的错误交易或行为得到纠正;

(2)针对问题的根本原因进行调查;

(3)实施跟进,以确保必要的纠正措施得到实施。

(二)监督部门及现状

1.监察部。

监察部对在纪检监察信访机制、效能监察工作以及重大事故的调查工作中汇集和发现公司包括内控缺陷在内的问题,进行适当的处理,实施改进措施。

(1)纪检监察信访对信访案件的处理程序为:第一,领导批示核查的信访案件,应当作为重要信访由主管领导指定专人调查,并制定调查方案报主管领导审批,核查结束后写出调查报告并提出处理意见;第二,领导指示要查报结果的信访案件,由纪检监察部门信访岗将反映的主要内容摘抄(批示转原件的除外),并草拟函稿,报主管领导审批后发函,也可以与被举报单位党政主要领导和纪检监察部门主要领导联系,提出核查要求;第三,对核查后不构成违纪,而被举报人确有缺点、错误的,可由承办单位责成被举报人做出检讨或说明,对其进行批评教育;第四,纪检监察信访部门对向下要查报结果的信访案件,要及时了解处理情况,限期报告结果,必要时应当参与调查并协调处理意见。

(2)效能监察工作的基本原则为:

第一,涉及被监察单位及其有关人员需要加强管理、建立健全规章制度或其他整改的问题,监察部门应当以书面形式通知被监察单位及有关人员。

第二,对于发现被监察单位、部门及其有关人员有严重影响经济效益和工作效率行为的,应当建议本单位领导和有关部门及时纠正,情节严重的应按有关规定予以处理。

第三,被监察单位和有关人员,对监察部门的监察决定应当执行;对监察部门提出的监察建议,如无正当理由,应当采纳。有关单位、部门和人员对监察部门的监察决定或建议有异议的,可以在收到监察书面通知的次日起十五日内向发出通知的监察部门申请复审。

第四,重大事故调查处理工作结束后一个月内,事故发生单位的监察部门要正式向股份公司监察部上报事故调查处理情况报告。

2.审计部。

审计机构根据审定的审计报告出具审计意见书,下达审计决定,提出管理建议书等,并向被审计者提出分析建议和忠告,以督促其认真履行职责;对有争议的审计处理进行审计复议;内部审计机构负责监督检查内部审计意见采纳及审计决定执行情况。对重要的审计项目,应进行后续审计。

3.管理层。

公司组织进行财务税收检查,对自查和重点抽查工作中发现的问题进行分析、研究,制订整改工作方案,提出整改意见,进行整改。

根据2004年《财务税收检查工作方案》,具体为:对于涉及会计信息质量方面的问题,法律法规(包括国家政策、公司的规章制度)有明确规定的,各单位依照规定立即整改;没有明确规定或各单位不能准确定性的问题,报请公司研究后再行整改。非重大会计差错(该差错占当年同类交易10%以下)在2004年决算时调整;重大会计差错需调整会计报表年初数的,报请公司财务部研究后再行处理。对于经营管理、决策方面的问题,属于内控制度不健全的,要组织完善内控制度建设;属于有章不循、屡查屡犯的,要按公司的规定严肃处理相关责任人;对于违法违纪、触犯刑律的,要移送司法机关处理。

4.审计委员会。

定期询问管理层以前发现的问题是否整改。具体管理方法和改进措施见《控制环境》部分。

(三)规章制度索引

1.《中国石油天然气股份有限公司内部审计规范》。

2.《中国石油天然气股份有限公司效能监察暂行办法》。

3.《中国石油天然气股份有限公司内部审计工作暂行办法》。

4.《中国石油天然气股份有限公司章程》。

5.《中国石油天然气股份有限公司内部控制体系规定》。

6.《中国石油天然气股份有限公司内部控制体系管理办法》。

§§第九章 COSO框架下的内部控制评价