文/张志宏
内控测试管理是通过对企业面临各类风险的全面识别、科学评估,找出重大风险的一种方式。中国石油天然气管道局在开展内部控制测试活动中,以管控重大风险为目的,有针对性地选取测试区间、测试内容和被测试单位;通过测试检查发现问题,通过问题整改和监督规范运营,全面提高企业管理水平。
一、健全组织机构,组建测试队伍
管道局首先优化组织和人员,主要从强化测试组织机构,选取高素质测试人员两方面进行。测试组织机构分两个层级:一是成立内控测试领导小组,由局主要领导任组长,局主管内控工作领导任副组长,各职能部门主要领导为内控测试领导小组成员,保证测试工作的权威性。内控测试领导小组负责内控测试的统一安排和重大事项的决策和指导。二是内控测试工作领导小组下设测试工作组,负责具体测试工作,汇总测试发现的问题并向领导小组汇报测试进展和完成情况。三是测试人员从局机关、所属单位抽调相关业务骨干人员组成,同时聘请一定数量的中介机构专业人员,保证测试工作顺利开展。
二、设计测试流程,完善配套制度
经过反复研讨改进,确定以项目建设为重点的内控测试工作流程是:一是在测试工作准备阶段,结合三年来的测试结果和年度风险管理报告,分析全局主要风险因素,确定测试目录;二是根据测试目录,结合局属单位业务内容,选择被测试单位;三是提前通过财务信息系统查询被测试单位账务,了解单位经营总体情况,确定测试计划,分派测试任务;四是每个测试员向主审报告例外事项时,需要对例外事项将会导致的风险作简要分析;五是主审在编写测试报告时,要对被测试单位总体情况做出风险判断,提示主要风险,并提出风险管控建议;六是被测试单位在接到问题整改通知书后,需要限期做出整改,在以后的工作中避免出现类似问题,并出具专项整改报告。
为强化对测试工作的制度保障,强调风险管控的重要性,专门组织对原有《内部控制运行评价考核管理暂行办法》和《内部控制运行考核评价暂行标准》进行修订完善。以风险管控理念为指导,针对所属单位高发、频发并且对企业经营影响较大的例外事项定义为管理缺陷,提高了对管理缺陷的处罚力度。尤其是连续两年出现同类别例外事项的,定义为重要风险因素,要求所属单位从管理体制上挖掘原因,杜绝此类隐患。
同时在《中国石油天然气管道局风险管理暂行办法》中,明确“风险管控措施执行效果”的评价以内控测试检查出的例外事项作为评价依据,使内控测试工作与重大风险管控相互结合,以内控测试促进风险管理水平的提高。
三、挖掘风险要点,确定测试范围
测试范围是测试涵盖的业务和涉及的测试单位,测试范围的选取对测试质量将产生直接影响。按照风险导向理念,测试范围选取考虑的因素有以下几种:
一是中国石油集团公司每年组织各单位进行风险评估,编制风险评估报告。内控测试利用企业当年风险评估报告的成果,按照企业面临的重大风险和影响因素,分析可能产生风险的业务领域和业务流程,作为测试关注的重点领域。
二是对以前年度例外事项进行整理分析,归纳形成管道局例外事项涉及业务流程、例外事项产生的原因和例外事项的风险影响因素情况表,按照分析结果整理出测试例外事项易发、高发业务领域及相关流程,作为测试关注的重点领域。
三是对单位整体经营情况进行分析,进行具体风险分析,指导测试工作。测试前组织人员对被测试单位整体经营状况进行全面分析,了解被测试单位的业务类型和业务开展情况,对财务数据异常事项进行记录。
四是按照集团公司要求,每年至少进行一次自我测试,测试覆盖的所属单位数量不低于所属单位总数的50%,测试重要业务流程的数量不低于所属单位业务重要流程总数的70%,测试的关键控制点不低于所属单位关键控制点总数的90%。测试工作严格按照中石油集团公司的统一标准和测试规范的要求,这样一方面保证了测试工作的质量,另一方面保证测试工作横向与纵向的可比,以利于后期的内控体系运行评价。
根据以上结果并考虑到单位具体情况,确定工程分包、物资采购、合同管理、供应商管理、招投标管理、工程结算、资金管理、存货管理、安全事故管理等业务领域作为测试重点,据此确定测试业务范围,形成测试业务流程目录。
四、明确管控重点,甄选测试内容
按照风险管控重点选择的测试内容包括:
一是公司层面控制测试,包括控制环境、控制活动、信息与沟通、监督及反舞弊程序五个方面,具体分为反舞弊程序与控制、经营活动分析、职业道德、高管基调、信访举报和违规处理、组织结构、权利和责任分配、培训、业绩考核、人力资源政策、信息与沟通、内部审计十二个主题。
二是业务活动层面测试,要对全部的重要流程和关键控制点进行测试。对业务活动层面所有重要流程设计和执行有效性进行跟单测试,对关键控制点抽取样本进行关键控制测试。
三是信息系统测试,包括信息系统总体控制测试、信息系统应用控制测试和权限测试。信息系统总体控制测试主要涉及控制环境、信息安全、项目建设、项目变更、系统运行维护和最终用户操作六个方面。信息应用控制测试包括流程和控制点测试。权限测试是对重要的应用系统的操作权限进行测试。
五、判断业务总量,延伸测试期间
测试期间充分考虑风险因素。内控测试延伸了测试期间,由以往自年初开始至测试组进驻前一日为测试期间延伸为自测试期上一年的12月1日至测试组进驻被测试单位的前一日为测试期间。12月是各单位业务处理较集中的时期,特别是施工企业,年末结算量占全年结算量比重较大,非常规业务较多,其中蕴含着较大风险,测试期间如果不涵盖12月份,其重要业务活动将可能遗漏。
六、预判风险领域,指导样本选取
编制重点领域内控测试业务指引,指导测试人员选取适宜的样本和测试方法。在测试前组织人员以以前年度内控测试发现例外事项和风险分析为基础,编制内控测试关注的重点领域及测试要点,分单位类型、分业务种类对重要业务事项在测试中如何选取样本,关注哪些问题,业务涉及部门等进行详细说明,指导测试工作开展。如在建设单位中工程分包业务测试要点:了解工程分包管理模式,抽取一个工程项目,分析工程项目中分包工程的工程量占合同工作量的比例,检查是否有专门业务部门进行分包管理,分包合同中供应商的选择、合同签订、合同审批操作是否规范,分包工程是否按照工程进度和合同条款的规定进行工程量的确认和结算,对分包工程是否进行过程管理,有无转包现象,是否对分包商进行考核和评价等。核实分包业务的真实性。测试全面覆盖项目部、计划部门、合同管理部门、财务部门等业务涉及部门。
七、防控测试风险,完善保障机制
加强测试机制建设,对测试小组反映出来的问题,组织专门审核与讨论,确保例外事项确定准确、有含金量,从而保证测试工作的效率和效果。
一是建立测试队伍内部制衡机制。每个测试小组设置组长(兼主审)、副组长和测试员。组长由聘请的中介机构注册会计师担任,负责掌握测试进度,监督指导现场工作,但不干预测试结果,对测试质量和结果负责,受副组长和测试员监督;副组长由财务资产部内控科人员组成,负责全面协调、报告测试情况,参与业务流程测试,监督组员业务进展情况;测试员由中介机构人员和各单位内控骨干组成,相互协作、相互监督。
二是建立例外事项确认复核机制。每个单位现场测试结束时,全体测试人员与被测试单位进行现场沟通、签认,被测试单位内控主管领导和测试组主审共同签署确认测试结果,严禁与被测试单位单独沟通;对双方存在分歧的事项,全部上报财务资产部,由财务资产部与相关流程建设部门复核确认,测试组无权擅自协调处理。
三是建立测试质量监督评价机制。制定管道局内控测试人员评价表,每个单位测试完毕后,组织被测试单位人员对测试组成员德、能、勤、廉4项考核指标进行“背对背”评价。评价结果作为评价测试人员的依据。
四是建立测试效率提升机制,主要包括:测试日例会。每天现场测试工作结束后,测试组主审负责组织召开测试例会。每名测试组成员要汇报当天测试情况,包括测试内容、测试思路、采取的测试方法和抽取样本等情况,同时要向主审汇报次日工作计划;测试组主审根据测试组成员汇报的情况,对当日工作进行汇总和点评,对测试人员进行必要的指导,对次日工作进行总体安排;组长根据测试整体进度,加强与被测试单位的沟通和协调,确保测试工作顺利开展。
组间互动。由于各单位业务具有一定关联度和相似度,测试组之间通过内部通讯录等沟通渠道,随时进行测试信息交换和经验共享。在一个单位发现的问题,及时传递到其他各组,作为参考;对测试中存在的疑难问题,各组成员根据专业特长,共同出谋划策,提出测试方法和思路。
督导审核。为确保测试结果真实、完整、简洁、准确,推行“测试底稿督导审核”机制。财务资产部相关领导和人员组成督导组,需要对测试组工作底稿进行审核。审核内容包括例外事项涉及流程、控制点选择的准确性和合理性,例外事项描述准确性、完整性,例外事项类别、个数确定的准确性等方面。
专业对接。测试结果按照专业部门进行归集汇总,抄送局业务主管部门进行专业对接,确保测试结果依据充分,客观公正;组织业务主管部门对各单位例外事项提出改进建议,并督促改进情况。
全年测试工作完成之后,召集各测试组长集中讨论,分析工作中发现的例外事项,将出现频率较高、涉及金额较大的提取出来,从业务角度分析其中蕴含的风险因素。
通过对风险因素总结分析,找到全局风险防控的薄弱环节,使风险管控更有着力点。在此基础上,要求被测试单位开展整改工作,一是下发整改通知,对测试结果进行分析,按照测试例外事项情况,分单位下发整改通知。整改通知内容包括例外事项情况,具体整改意见和建议,例外事项整改期限,例外事项整改完成情况及上报整改报告的时间要求。二是对例外事项整改的跟踪,按照整改报告要求的时限,及时收集各单位的整改报告,对整改结果进行审核。必要进行选择部分单位进行内控改进测试,保证例外事项的整改质量。■
编辑 吕宏胜
|