XXX有限公司

内控测试报告

XXX号

XX市国有资产监督管理委员会：

我们接受贵委的委托，按照财政部发布的《企业内部控制基本规范》及相关规范对XXX的内部控制有效性进行测试。提供为完成我们本测试所必需的相关文件和信息是XXX的责任，我们的责任是根据本次测试的结果向贵委出具书面报告，内容包括在本项目测试期间发现的XXXXX（以下简称“XXX”）重要的内部控制缺陷及其潜在的风险，以及我们的改进建议。

一、 测试范围

我们通过综合评估XXX20xx年度财务报表各项目对财务报告的影响及财务报表各项目的潜在误报风险，来确定关键财务报表项目范围以及业务流程范围。业务流程的界定基于财政部发布的《企业内部控制基本规范》及《企业内部控制应用指引》（征求意见稿）。

本次测试的范围涵盖了在附件I中包括的XXX相关的关键业务流程及系统。XXX的其它业务流程及系统不包含在本项目的测试范围之内。

本项目根据中国注册会计师协会颁布的《企业内部控制鉴证指引》（征求意见稿）执行。

二、 测试方法

本次测试的方法包括以下步骤：

（1）计划阶段

第 1页

我们进行一个初步的测试以了解内部控制的基本情况，获取一些相关的背景材料和文件。这些背景材料和文件包括组织结构、报告关系、XXX中相关人员的职责、联系人名单，有关政策及程序文件的副本。

在这一阶段，我们和XXX就本次测试的各个方面的工作细节和时间表达成共识，并进行相应的管理安排。同时，我们向XXX提供本次测试工作展开所需信息的清单。

（2）测试阶段

本次测试工作包括下列内容：

? 与XXX及其附件I中涉及子公司相关管理人员和工作人员进行访谈，同时对涉及内

部控制的相关文件进行实地测试；

? 对相关的内部控制程序及体系进行穿行测试；

? 对相关的内部控制系统作出抽样测试；

? 根据内部控制的设计缺陷和执行缺陷提出适当的改进建议。

（3）报告阶段

我们向XXX提供了书面的报告草案及报告终稿，其中包括在本项目中的主要发现和改进建议，并与XXX负责相关内部控制的管理层进行讨论。讨论的目的在于确认我们在测试过程中所发现的内部控制问题的准确性，和协助我们提出相应的改进建议。

三、 测试的实施

本次测试的计划以及实地测试工作自20xx年12月10日开始，对XXX及其测试范围内的子公司实施了访谈、穿行测试和抽样测试等工作，并在20xx年2月5日完成了现场工作。

四、 有关责任的陈述

本报告的编制依赖XXX管理层和员工提供为完成我们本测试所必需的相关文件和信息。XXX管理层应保证其所提供的信息是尽其所知准确的，并且没有任何可能从实质上或形式上误导我们的隐瞒和遗漏。

我们在本报告中所提及的控制缺陷只是我们在现场工作中发现的问题，并不一定全面涵盖了XXX存在的所有控制弱点；我们提供的改进建议也不可能尽述所有方案。XXX

在考虑实施我们的改进建议时，需要因经营环境和成本效益作适当调整。我们将不会对XXX的流程、体系和控制提出任何鉴定或保证意见。

XXX对项目的结果负责，XXX将对内部控制缺陷的最终评估，决定是否采纳我们提出的改进建议，决定实施报告中的哪些建议应被遵照执行, 以及如何实施改进措施等负责。无论现在还是将来，XXX对建立并维护一套有效的财务报告内部控制制度都应承担完全和最终的责任。这些内部控制制度包括（但不仅限于）那些用于保证控制目标实现的、及并符合相应法律法规的系统。XXX管理层有责任及时把发现的内部控制重大缺失和弱点、包括本测试报告提及的控制缺陷、财务报告的错误以及类似事项向董事会汇报；必要时，也应向相关法定监管机构进行报告。

内部控制，无论其设计和执行如何完美，只能为企业控制目标的实现提供合理的保证。这是内部控制本身具有的局限性所致，例如决策时的人为判断失误，以及在执行时的操作错误，都可能导致内部控制失效。此外，无论手工或系统的控制，都可能会因两人或多人的串通舞弊、管理层逾权等因素而失效。

1

测试结果及建议

附录I – 测试范围

 

第二篇：内控

内控基础知识

1．什么是内部控制？

广义的内部控制：是指群体或组织为达到一定的目的，而采取的相应的控制措施和行为。 狭义的内部控制：通俗地理解，就是企业或其他组织为确保既定目标的实现，而采取的相应的控制措施和行为。我们平时所说的内部控制通常就是指企业内部控制。

现阶段基于COSO的内部控制定义：是由企业董事会、监事会、经理层和全体员工共同实施的、旨在实现控制目标的过程。

2．内部控制理论形成和发展包括哪五个阶段？

内部控制理论形成和发展的五个阶段：内部牵制、内部控制制度、内部控制结构、内部控制整体框架、企业风险管理框架。

3．什么是控制环境？

确立了公司风险管理的总体态度，是内部控制体系的基础，是有效实施风险管理的保障，直接影响内部控制体系的执行、公司经营目标及整体战略目标的实现。（是企业的整体气氛，影响员工的控制意识，提供纪律约束和架构，是其他要素的基础）

4．什么是风险评估？

风险评估就是识别、分析相关风险以实现既定目标，是风险管理的基础。

5．什么是控制活动？

控制活动是指有助于管理层决策顺利实施的政策和程序，是针对风险采取的控制措施。

6．什么是信息与沟通？

信息与沟通：企业经营管理所需信息必须被识别、获得并以一定形式及时传递，以便员工履行职责。

信息：来源于公司内、外部，与公司经营相关的财务及非财务信息。

沟通：信息在公司内部各层次、各部门以及在公司与客户、供应商、监管者和股东等外部环境之间的传递。

7．内部控制的四大目标是什么？

战略目标：中长期发展目标

经营目标：经营业绩和利润指标

报告目标：财务报告和相关信息真实、可靠

合规目标：经营活动符合法律、法规要求

8．控制环境包括哪些内容？

1

控制环境包括诚信与道德价值观、发展目标、管理理念与企业文化、风险管理策略、董事会及审计委员会、组织结构、权利和责任分配、人力资源政策与管理措施、员工胜任能力以及反舞弊机制等内容。

9．内控体系框架五要素是什么？

五要素：控制环境、风险评估、控制活动、信息与沟通、监督。

●五要素关系：控制环境是基础、风险评估是起点、控制活动是核心、信息与沟通是关键、监督是内部控制的再控制。五要素共同组成了一个完整的内部控制系统 。

10．《萨奥法案》404条款提出了哪些要求？

1）管理层有责任为企业建立和维护恰当的财务报告相关的内部控制；

2）通过管理层自我测试，对与财务报告相关的内部控制有效性进行评估；

3）管理层对公司与财务报告相关的内部控制有效性必须发表直接意见，并公开声明；

4）审计师对公司内部控制进行审计测试，对管理层的自我评估报告发表评价意见，同时还将发布独立评估报告。

11．什么是权限指引？

权限指引是以公司业务流程中的关键控制为基础，描述公司有效性审核、审查、审批的控制范围。

12．油田公司风险控制管理文件（全部流程）包括哪几部分？

风险控制管理文件（全部流程）包括：流程图、控制文档、控制实施证据以及法律风险防控相关文件等。

13．风险类别分为哪几种？简称分别是什么？

财务类：F 经营类：B 法律类：L

14．流程命名规则是什么？

（业务分类代码：SP、KP、MP

SP：战略发展流程 KP：经营业务流程 MP：管理支持流程

流程编码规则：业务分类代码+ 一级流程编号+“.”+二级流程编号+“.”+?+五级流程编号。示例：MP02.15.02.01.04 ）

流程命名规则：流程编码+空格+流程名称。

示例：MP02.15.02.01.04 编制财务报告

15．流程图中各种符号的含义是什么？

2

16．什么是风险控制文档（RCD）四要素？

17．油田公司重要业务流程目录包含哪些内容？

包含所有重要风险和关键控制的业务流程的编码和名称，及所属级别、负责部门、上市未上市单位是否适用。

18．流程类别包括哪几类？编码简称分别是什么？

按业务分为：战略发展流程、经营业务流程、管理支持流程

编码简称是：SP 、 KP 、 MP

19．绘制流程图使用的什么软件，作用是什么？

3

绘制流程图使用的软件ARIS，是由爱迪斯 (上海) 软件有限公司开发提供的，主要是用于流程建模和风险建模，是制造和建设系统。

20．从业务流程管理信息系统查看流程图，最方便的访问的途径有几种？

第一种：由“辽河油田分公司主页”中的“应用系统”中的“流程管理信息系统”进入“中国石油业务流程管理信息系统”。

第二种：由“辽河油田分公司主页”中的“协作工作平台”中的“内控项目”进入“辽河油田公司内控项目”，点击左上侧的“流程管理信息系统”进入“中国石油业务流程管理信息系统”。

21．什么是外部审计？

外部审计是公司根据上市地的监管要求，委托具有相应资质的审计机构对公司内控体系设计和运行的有效性实施的检查过程。

22．什么是缺陷报告？

缺陷报告是将在内部控制监督过程中所发现的内部控制缺陷，通过相应的汇报机制自下而上进行上报的一种行为。

23．内部控制测试的方法有哪些？

询问、观察、检查、再执行

24．内控测试程序分为几个阶段？

准备阶段、实施阶段、总结阶段

25．业务层面测试有几种方式？

业务活动层面控制测试通过跟单测试和关键控制测试两种方式（对业务层面所有重要流程的设计有效性以及所有重要流程和关键控制的执行有效性进行检查）。

26．什么是管理层测试？

管理层测试是公司管理层授权审计部和内控与风险管理部，为满足监管要求，针对公司内部控制设计和运行的有效性具体实施的检查过程。

27．内部控制缺陷根据其性质分为哪几种缺陷？

内部控制缺陷根据其性质，一般可分为设计缺陷和运行缺陷。

28．根据缺陷的重要程度分为哪几种缺陷？

根据缺陷的重要程度分为：一般缺陷、重要缺陷和实质性漏洞

29．什么是监督？监督包括哪几部分？

监督，是对内部控制建立与实施情况进行检查，评价内部控制的有效性，发现内部控制缺陷，并及时进行改进的持续过程 。

4

监督包括持续监督、独立评估和缺陷报告。

30．业务流程管理的目标是什么？

业务流程管理的目标是：流程统一、控制集中、界面清晰、简洁高效。

31．业务流程管理的内容包括哪些？

包括业务流程管理制度与标准、业务流程制定、业务流程运行与监督全过程管理。

32．什么情况下需对业务流程做出调整？

出现下列情形之一，导致业务流程发生重大变化时，应依据管理职责和业务分工及时组织业务流程变更：

（一）国家法律法规、监管要求等发生重大调整；

（二）公司战略、生产经营政策、管理制度发生重大调整；

（三）发生分立、合并等资产、机构重组整合行为；

（四）新业务运行、重要信息系统建设与运行；

（五）其他特殊情况。

33．内部信息包括哪些内容？外部信息包括哪些内容？

内部信息：财务、经营、规章制度、综合信息等。

外部信息：法律法规，客户、供应商信息等。

34．油田公司控制文档包括哪几种类型？

风险控制文档（RCD）

应用系统风险控制文档（ARCD）

经营风险控制文档（BRCD）

法律风险防范控制文档

全面风险控制文档

35．例外事项的类型有哪几种，分别是什么？

有设计层面、执行层面共8种。

设计层面：

1、应有的控制不存在或设计不合理

2、实际执行的控制没有被记录

3、设计的控制记录不准确

4、已有的控制缺乏必要的制度或制度不完善

执行层面：

5

5、控制未执行或执行不完整

6、控制执行程序错误或者未按授权规定执行

7、缺少控制实施证据或实施证据不完整

8、控制已执行但控制结果不正确

36．油田公司上市单位内控体系建设是从哪年开始的？

20xx年

37．常见的舞弊行为有哪些？

1）财务报告舞弊：人为调整报表事项

2）资产不当使用：侵吞资金、挪用资金、账外“小金库”

3）不实的收入、费用及负债：以购（领）代耗形成账外料

4）收入和资产的不当取得：评估不实造成资产虚构

5）偷税：有意不按规定及时、足额缴纳税费

6）高层舞弊：授意对财务报告调整。

38．什么是流程图？

就是把现行的工作程序借助于信息系统所进行的可视化描述。

通俗地说，就是把我们工作的每一个步骤和环节用连贯的规定图标表示出来。

39．不相容职务分离控制主要包括哪几种职务分离？

批准和执行业务的职务分离

执行和审核业务的职务分离

执行和记录业务的职务分离

保管财产物资和对其进行记录的职务分离

40．实质性漏洞认定的定性标准有哪些？

1. 识别出高级管理层中的任何程度的舞弊行为；

2. 对已签发的财务报告进行重报以反映对错报的更正；

3. 审计师发现的、最初未被公司财务报告内部控制识别的当期财务报告中的重大错报；

4. 审计委员会对公司的对外财务报告和财务报告内部控制监督无效。

41.《员工职业道德手册》的内容。

中国石油天然气股份有限公司（以下简称“公司”）为规范全体员工的职业道德行为，维护公司利益，根据国家法律、公司上市地监管要求和公司章程，制定本规范。

6

一、本规范适用于公司总部机关部门、专业分公司、地区分公司及全资子公司的全体员工。公司控股子公司参照执行本规范。

二、公司全体员工必须遵守的职业道德规范：

（一）认同公司精神及宗旨，践行公司核心经营管理理念。公司员工要发扬 “爱国、创业、求实、奉献”的企业精神，贯彻“诚信、创新、业绩、和谐、安全”的核心经营管理理念，实践“奉献能源，创造和谐”的企业宗旨。热爱本职，忠于职守，熟练掌握职业技能，自觉履行职业责任，注重工作效率。保护公司的合法利益。

（二）禁止参与可能导致与公司有利益冲突的活动。主要包括以下方面：

1、公司员工不得私自占有应当属于公司经营活动范围的机会；不准利用公司财产、信息或地位谋取个人利益。

2、公司员工不得在与公司有竞争关系、与公司利益有冲突或有冲突可能的公司、单位以任何身份任职，不准从事与公司有竞争的活动。

3、公司员工不得接受可能影响商务决策和有损独立判断的有价馈赠。也不能允许其亲属或第三人接受该类馈赠。员工在商务活动中可以交换非现金礼节性纪念品，但不能因此影响业务正常往来。严禁为商务目的而以任何手段向政府官员提供、给予或承诺给予金钱和其他有价值的物品。公司员工代表公司购买商品应遵循公司的采购政策，在业务往来中不允许进行贿赂、收取回扣或其它诱惑。

4、公司员工必须遵守公司关于商业秘密保护的有关规定，不准泄露或擅自使用任何与公司相关的保密信息。

5、公司员工及亲属，不得违反章程规定收购公司资产、接受公司所提供的贷款或贷款担保。

（三）公司员工要忠诚于公司，诚实守信，反对出于任何目的的欺骗、作假行为。

（四）公司员工要继承弘扬中国石油优秀的职业道德作风。保持说老实话、办老实事、做老实人，严格的要求、严密的组织、严肃的态度、严明的纪律的优良传统。

（五）公司员工要遵守公司经营业务所在地区的法律、法规，遵守公司上市地有关监管规则的要求。

（六）公司员工在经营活动中，要公平对待公司的客户和供应商，赋有管理领导职权的员工，还要公平公正对待所管理领导范围内的所有员工。在履行职责和对外业务交往中，不得有损于公司公平廉洁声誉。

（七）公司员工在业务运作中，要严格按照有关规章、制度条款执行，保证公司的各项业务记录准确、清晰。严格禁止在业务中舞弊、弄虚作假或其他不良行为。

7

（八）公司员工在一切经营活动中，应当树立保护公司资产并使公司资产用于合法目的的业务意识，依法保护公司资产，确保有效使用。

（九）公司员工有权利和义务向公司监察部报告本人和他人违反国家法律、公司内部管理规定及本规范的行为，公司对报告人予以保密，任何人不得打击报复。

三、公司员工要严格遵守本规范。公司员工违反本规范的任何行为，除依照国家法律、上市监管地规则进行处理外，公司监察部、人事部可以根据有关文件规定对其处分直至解除劳动合同。

四、公司监察部根据公司管理层的授权对公司员工遵守本规范进行监督，公司党群工作部（企业文化部）负责本规范的实施和解释。

五、本规范自印发之日起施行。

8