油气储运公司内控体系框架设计研究
作者：林文孚
来源：《现代企业文化·理论版》2010年第05期
摘要:内部控制体系是形成一系列具有控制职能的方法、措施、程序,并予以规范化和系统化,使之成为一个严密的、较为完整的体系。

文章结合《企业内部控制基本规范》和COSO框架,运用全面风险管理理论构建YQ公司的内控体系。

关键词:油气储运公司;内部控制;COSO框架;风险控制
新疆油田油气储运公司是一家国有上市石油企业,长期以来,YO公司偏重安全生产,对经营风险关注度不够,自我防范、自我约束机制不完善,缺乏有效的内控风险管理机制。

一、公司内控体系框架设计
企业是一个为了达到一定目的,由许多相互关联的要素组成,并依靠各个要素之间的相互联系、相互作用有机结合在一起的复杂的、耦合运行的经济系统。

因此,要对它实施有效的控制,必须从系统整体的角度来考虑问题,必须从企业整体的角度来定义和设计控制体系。

依据“短流程”的原则,可以根据与企业(系统)相联系的紧密程度、对企业影响的大小,把联系紧密、影响较大的因素作为企业(系统)的构成要素,把联系不太紧密、影响较小的因素作为环境。

把企业(系统)构成要素之间为了达到企业目标的相互作用、相互制约定义为企业的内部控制体系。

为了达到系统控制的目的,公司应采用美国COSO整体框架进行内控体系设计。

从而建立满足国内、国外相关法律法规要求的内部控制体系,公司内控体系结构设计如下:
(一)控制环境
包括七个方面:诚信与职业道德、员工胜任能力、管理理念和经营风格、组织结构、权力和责任分配、人力资源政策和措施、反舞弊等。

(二)控制活动
控制活动是确保管理层的指令得到贯彻执行的必要措施,存在于整个机构内所有级别和职能部门。

包括批准、授权、查证、核对、经营业绩评价、资产保全措施、职责分工和工作流程等活动。

(三)风险评估
风险评估是识别及分析影响公司目标实现的风险的过程,是风险管理的基础。

在风险评估中,应识别和分析对实现目标具有阻碍作用的风险。

主要明确在重要会计科目、披露事项和相关财务报表认定中产生重大错报的风险。

(四)信息与沟通
信息与沟通包括两个方面,一是有一套能够支持信息确认、信息获取和信息交流的系统,使员工能够按照一定的形式和时间行使职责以及正确编制财务报告;二是在公司各个层面对相关信息进行有效的沟通和将其传达给相关的外方。

(五)监督
监督是对内部控制体系有效性进行评估的持续过程,包括持续监督、独立评估和缺陷报告等。

二、公司内控体系的设计过程
公司内控管理体系应向全面风险管理方向发展,形成良好的控制环境、规范的控制活动、及时准确的信息沟通、有效的监督机制是公司建立“强支撑”内控体系的重要保障措施。

具体的设计过程应为:确定公司内控管理的基调;根据基调设定内控工作的目标;识别影响公司目标实现的各种外部和内部事件;根据事件寻找公司运作过程中的风险,制定风险数据库,评估风险的可能性和影响。

“短流程”和“高授权”的原则要求公司内控体系建设应抓住管理的重点和难点。

杜绝管理中的真空,消除重复的、多余性的管理,建立合理的授权制度,根据风险总结公司内控过程的关键控制点和控制活动,制定关键控制库;根据风险和关键控制,重新修订企业的管理制度和业务流程;按照业务流程在全公司范围内实施;制定信息与沟通计划,使信息以某种形式和在一定期限
内及时被识别、获得和传达沟通。

根据“大监督”的原则制定监督测试计划,检验实施的过程,发现问题,及时整改。

(一)明确公司内控体系的战略目标
应以公司发展战略为总体目标,识别战略风险,有效规避战略风险。

公司通过规范管理行为和提高管理水平,来达到公司经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营的效率和效果,促进公司实现发展战略的内部控制目标。

(二)按照全面性和系统性原则梳理业务范围,建立风险控制流程
公司在设计流程前,需要建立、修订公司的内控管理制度,以内控管理制度为基础。

按照“短流程”的原则建立内控流程。

在内部控制流程的建立过程中,可将经营活动划分为规划计划、建设过程、物资采购、生产过程、产品销售、存货、财务资产、人力资源、内部审计和合同纠纷等几大类,全面系统地梳理并确定了公司经营活动的业务流程。

在确定业务流程的基础上,还对每一大类业务流程进行了细化,依据管理的细化程度,进一步划分各级子流程,形成了层层嵌套的流程树状体系。

在流程描述中应遵循:第一,各流程要细化到部门和岗位,保证执行到位;第二,从流程的起点到流程的结束完整地描述:第三,各流程接口准确衔接,各部门之间的配合紧密,整个流程的连贯性和完整性;第四,流程的设计应该简洁、高效,实现“短流程”的原则。

设计描述完业务流程之后,将其与公司确定的重要会计科目和披露事项相对照,能与重要会计科目和披露事项相对应的业务流程,即为重要业务流程。

(三)按照制度化和经常化原则,对风险控制流程建立风险数据库
为了全面地评估风险数据,公司应对每一个子流程都进行风险分析,以“找出关键控制点,建
立风险控制文档和流程控制程序”为目的,建立并健全公司的风险数据库。

在风险控制文档和流程控制程序中,针对每一个流程步骤,分别从是否为经营决策风险、是否违反了法律法规、是否致使财务报告失真、是否使资产安全受到了威胁和是否有营私舞弊的现象等五个方面进行归类,同时,对于控制目标的类型从完整性控制、准确性控制、有效性控制和接触性控制四个方面进行分类。

形成完整的企业风险数据库。

(四)为了提高管理效率,抓住管理重点
公司应依据相关管理制度确定的重要会计科目和重要披露事项,对风险数据库进行风险评估分析,设定关键风险控制点,公司的风险数据库建立在美国COSO框架的目标基础上,COSO-框架的风险应对目标主要有三个方面:(1)针对企业的基本目标来确保经营的效果和效率,包括业绩、盈利目标和资源的安全性;(2)确保财务报表的可靠性;(3)确保企业对法律法规的遵循性。

依据上述三项目标,对风险数据库的各项风险数据进行筛选,将影响上述三项目标的风险数据设定为关键风险控制点,建立了关键风险控制数据库。

风险评估是一个循环往复的过程,需要将识别的风险和分析的结果形成风险数据库,并根据企业经营环境的发展变化,对风险数据库进行不断地更新与维护。

综上所述,笔者提出的“YQ公司内控体系建设框架设计研究”的课题就是针对如何构建和完善公司内部控制体系,以实现规范管理、堵塞漏洞、防范风险而提出来的。

公司的内部控制建设应当坚持“强支撑、短流程、高授权、大监督”的基本原则。

面对不断变化的环境。

公司流程应尽量缩短,保持灵活性,但要用强支撑来弥补短流程的不足,提倡高授权,适应变化,但不能出现没有监督的授权。

参考文献
[1]陈汉文,吴益兵,李荣,徐臻真,萨班斯法案404条款:后续进展[J],会计研究。

2005,
[2]潘秀丽,企业内部控制研究[M],北京:中国财政经济出版社,2005,
[3]罗鸿,企业资源计划(E即)[M],电子工业出版社。

2005,(12),
[4]储稀梁,COSO内部控制整体框架[J],金融会计,2004,
[5]王世定,企业内部控制制度设计[M],企业管理出版社,2001,
[6]朱荣思,企业内控制度设计:理论与实践[M],上海财经大学出版社。

2005,。