【COSO風險管理框架下我國石油企業(yè)內部控制體系設計（后含問卷）14000字（論文）】

COSO風險管理框架下我國石油企業(yè)內部控制體系設計目錄TOC\o"1-2"\h\u28725摘要 1318731引言 1322272COSO風險管理框架與內部控制相關理論 25432.1COSO風險管理框架的主要內容 2109362.2內部控制框架 2260373我國石油企業(yè)內部控制與風險管理現(xiàn)狀分析 2226133.1調查方法與樣本的選擇 240593.2調查結果統(tǒng)計分析 332094COSO風險管理框架下我國石油企業(yè)內部控制體系設計研究 7308324.1我國石油企業(yè)內部控制體系設計 7276044.2COSO框架下我國石油企業(yè)內部控制活動設計 955195我國石油企業(yè)內部控制體系保障措施 15207625.1進一步完善企業(yè)治理結構 15263545.2日常檢測與綜合監(jiān)督相結合 1613294結束語 1710655參考文獻 1723057問卷調查問題 19摘要本文首先從理論出發(fā)，闡述了COSO風險管理框架的起源和發(fā)展以及內部的主要模塊，同樣闡述了內部控制的起源發(fā)展和內部控制的具體框架。接著從理論的角度分析了COSO風險管理框架對內部控制帶來的風險和機遇以及COSO風險管理框架對內部控制五大要素的影響。其次，本文基于現(xiàn)實的需要，通過對我國10家具有代表性的石油上市公企業(yè)展開調查，全面了解我國石油上市企業(yè)內部控制評價與風險管理中存在的諸多問題。再次，本文在理論和實踐基礎之上，以我國石油企業(yè)的貨幣資金和采購庫存管理兩大具體流程為例研究COSO風險管理框架下企業(yè)內部控制關鍵控制點的轉變和具體針對新的風險點的內部控制設計。最后，本文還具體構建了針對企業(yè)內部控制體系的評價機制，以實現(xiàn)針對內部控制體系的再次控制，實現(xiàn)良好效果。關鍵詞：內部控制，內部控制設計，COSO風險管理框架，內部控制風險1引言我國企業(yè)對內部控制的認識還停留在傳統(tǒng)階段、內部控制建設不夠、風險管理意識淡薄等問題是導致企業(yè)經(jīng)營失敗重要原因。企業(yè)在目前的內部控制下，忽略了內部控制建立的有效性及其評價的執(zhí)行情況等更重要的問題，內部控制建設及其評價體系依然不夠健全，內部控制評價的方法和內部控制缺陷的認定也缺乏一定的可操作性。內部控制評價作為對內部控制本身的再控制，應當是內部控制目標實現(xiàn)以及作用發(fā)揮的重要環(huán)節(jié)。企業(yè)內部控制評價如果不能有效執(zhí)行和發(fā)揮作用，即使設計再完善的內部控制系統(tǒng)也不過是流于形式而己，發(fā)揮不了其應有的作用。另一方面，隨著入世后經(jīng)濟發(fā)展進程的加快，企業(yè)所面臨風險的范圍將進一步的擴大，企業(yè)風險管理成為內部控制發(fā)展的新階段和必然趨勢。所以，企業(yè)應積極加強風險管理，確保其穩(wěn)步經(jīng)營發(fā)展。但我國目前進行風險管理基本還只局限在銀行、證券、保險等高風險行業(yè)，大部分企業(yè)仍處于加強企業(yè)內部控制建設的階段，尚未建立風險管理的綜合體系，并且尚未在公司治理和內部控制中建立起有效的風險管理框架，企業(yè)中的風險管理措施也有待于進一步的完善。在諸多企業(yè)中，石油企業(yè)關系國家經(jīng)濟命脈，因此，本文通過對我國石油企業(yè)的內部控制評價和風險管理的調查，進行統(tǒng)計和分析，全面了解和總結我國石油企業(yè)內部控制和風險管理存在的問題，并有針對性的建立起有效的內部控制建設及其評價體系和風險管理框架，提出解決問題的對策。通過科學的內部控制評價體系和風險管理框架的研究，可以為企業(yè)改進內部管理、做好內部控制和風險管理工作提供理論參考依據(jù)，從而建立起企業(yè)內部控制與風險管理的長效機制，把企業(yè)風險水平降低到可接受的水平，以有效的內部控制系統(tǒng)和風險管理活動保證企業(yè)目標的實現(xiàn)，達到增加企業(yè)價值的目的。2COSO風險管理框架與內部控制相關理論2.1COSO風險管理框架的主要內容COSO風險管理框架把風險管理的要素分為八個，具體如下：內部環(huán)境要素、目標制定要素、事件識別要素、風險評估要素、風險反應要素、控制活動要素、信息與溝通要素、監(jiān)督要素。2.2內部控制框架內部控制的框架是由內部控制的五大要素所構成，即內部環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)控。3我國石油企業(yè)內部控制與風險管理現(xiàn)狀分析3.1調查方法與樣本的選擇本文是以我國石油企業(yè)為調查對象，對國內的14家我國石油企業(yè)通過郵寄和電子郵件的方式發(fā)出和收回問卷。本次調查共發(fā)出問卷14份，收回14份，回收100%。最后可用于分析的問卷共計14份，因我國石油企業(yè)數(shù)量總體較少，此次調查可以代表我國石油企業(yè)內部控制評價和風險管理的整體狀況。本次調查問卷的內容主要是針對我國石油企業(yè)內部控制和風險管理的現(xiàn)狀，從企業(yè)對內部控制和風險管理的態(tài)度、企業(yè)內部控制系統(tǒng)有效性、企業(yè)的內部控制評價情況，企業(yè)風險管理情況以及企業(yè)實施內部控制和風險管理過程中的主要障礙因素等方面展開調查。問卷結果具有一定的代表性，為我們進一步研究我國石油企業(yè)內部控制和風險管理的問題提供了有價值的參考。表3-1調查對象表問卷涉及的我國石油企業(yè)名稱股票代碼S上石化600688長航油運600087廣聚能源000096江鉆股份000852中國石化600028茂名實華000637岳陽興長000819天利高新600339泰山石油000554魯潤股份600157中國石油601857中海油服601808東華能源002221準油股份0022073.2調查結果統(tǒng)計分析3.2.1石油企業(yè)對內部控制和風險管理的態(tài)度為了考察我國石油企業(yè)對內部控制及其評價和風險管理的認識情況，以及對我國石油企業(yè)內部控制基本規(guī)范的了解程度和實施的必要程度，問卷設計了對建立和評價企業(yè)內部控制的必要程度、對構建企業(yè)內部控制和風險管理框架的認識等方面的問題。表3-2我國石油企業(yè)對內部控制及其評價和風險管理的認識情況低中高建立內部控制體系的必要程度2家4家8家內部控制體系的有效性必要程度3家3家8家構建內部控制框架和評價的必要程度3家5家6家內部控制與風險評價結合的必要程度3家4家8家實施企業(yè)風險管理框架的必要程度2家3家9家建立內部控制長效機制的必要程度3家4家7家通過上表可以看出，我國石油企業(yè)對內部控制的建立健全和內部控制評價體系評價的態(tài)度比較重視，認為其很有必要。但仍有少數(shù)幾家公司認為對內部控制及其評價體系建立健全的必要程度很低，對內部控制工作沒有足夠重視。從整體來看，我國石油企業(yè)對企業(yè)內部控制及其評價的態(tài)度水平有所提高，但仍需要相關部門以及企業(yè)內部加強對內部控制及其評價的認識，增強企業(yè)對其重視程度，從而加以完善。3.2.2石油企業(yè)內部控制系統(tǒng)有效性（一）我國石油企業(yè)內部控制系統(tǒng)設計和運行有效性情況調查分析基于《企業(yè)內部控制基本規(guī)范》的發(fā)布和實施，我們根據(jù)《企業(yè)內部控制評價指引（征求意見稿）》設計了此部分的問題，以期對我國石油企業(yè)內部控制系統(tǒng)的設計和運行的有效性作出定性的了解和分析。表3-3我國石油企業(yè)內部控制系統(tǒng)設計和運行有效性低中高內部控制制度的完整程度2家3家9家具體控制活動運行的有效程度3家4家7家內部控制制度目標的合理程度3家3家8家內部控制制度中的職責落實程度3家4家7家內部控制活動的持續(xù)程度3家5家6家內部控制的文檔完整程度3家4家7家具體來說，絕大多數(shù)我國石油企業(yè)都基本建立或很好的建立了內部控制制度，也基本落實了內部控制的職責，就制度的設計來說，基本能滿足公司需求和相關監(jiān)管部門的要求。但是，在內部控制的具體控制活動運行有效性方面還不盡理想，有部分的石油企業(yè)內部控制的運行有效程度較低，且很多企業(yè)的內部控制活動的持續(xù)程度較低，不能保證企業(yè)內部控制活動的持續(xù)一致運行。另外，我們還可以看到，雖然多數(shù)企業(yè)已經(jīng)設計了合理的內部控制制度，但是在人員的勝任程度和內部控制監(jiān)督職責的落實程度上還不夠合理。（二）內部控制與風險管理信息結合情況信息化對企業(yè)內部控制和風險管理水平運行有著重要的促進作用，可以使企業(yè)內部控制和風險管理工作更高效的開展，也可以節(jié)省企業(yè)的資源。所以信息化程度的高低也在一定程度上反映了企業(yè)內部控制與風險管理水平的高低。表3-4內部控制與風險管理信息結合調查表低中高企業(yè)對信息系統(tǒng)的重視程度2家4家8家內部控制信息系統(tǒng)的健全程度4家3家7家內部控制對信息系統(tǒng)的依賴程度3家4家7家信息系統(tǒng)與控制流程的結合程度2家4家8家根據(jù)調查結果可以看出，我國石油企業(yè)對信息系統(tǒng)的建設比較重視，多數(shù)公司高度重視信息系統(tǒng)的建設。但就信息化實施的實際情況來看，內部控制和風險管理與信息系統(tǒng)結合的程度、對信息系統(tǒng)的依賴程度以及信息系統(tǒng)與具體業(yè)務流程的結合程度方面仍然不盡理想，這是由于企業(yè)考慮到信息系統(tǒng)的專業(yè)性、信息系統(tǒng)實施的成本以及其帶來的企業(yè)組織結構以及人員的調整帶來的不確定性所導致的。3.2.3石油企業(yè)內部控制評價情況通過前面的調查可以看出，我國石油企業(yè)都已相繼構建了基本的內部控制制度，但如果對這些內部控制制度不加以客觀公正的評價，就無法確定我國石油企業(yè)內部控制系統(tǒng)是否完整、有效，也無法認定企業(yè)內部控制中存在的缺陷并提出切實可行的整改措施。我們通過對我國石油企業(yè)內部控制外部監(jiān)管、自我評價和缺陷認定方面的情況進行了調查。（一）內部控制體系的外部監(jiān)管情況表3-5內部控制體系的外部監(jiān)管調查情況是否外部審計機構是否對企業(yè)內控體系實施監(jiān)督7家7家證劵公司是否對企業(yè)內控體系實施監(jiān)督8家6家相關政府機構是否對企業(yè)內控體系實施監(jiān)督9家5家在企業(yè)內部控制評價的監(jiān)管機構方面，我國石油企業(yè)有一半聘請了外部審計機構對公司內部控制進行的鑒證，并有一部分公司對外公布了內部控制鑒證報告。大部分由相關證券發(fā)行和監(jiān)管機構進行了監(jiān)管。相關政府機構也對大部分上市公司實施了監(jiān)管。隨著政府相關法律法規(guī)的完善，政府監(jiān)管也將全面落實。（二）內部控制評價的具體情況在了解了我國石油企業(yè)內部控制的外部監(jiān)管情況之后，我們從內部控制自我評價角度對我國石油企業(yè)內部控制情況進行了調查，其結果如下。表3-6內部控制評價的具體情況調查表低中高內部控制評價機制的建立有效程度3家4家7家內部控制評價人員的專業(yè)程度2家3家9家內部控制評價文檔的完整程度4家5家6家內部控制評價的持續(xù)程度4家4家6家調查顯示，我國石油企業(yè)仍有一些尚未或基本沒有建立內部控制評估制度，內部控制評估制度和有效程度較高的公司也較少，且有一部分企業(yè)認為本公司的持續(xù)監(jiān)控內部控制機制的有效程度較低，不能滿足企業(yè)監(jiān)督內部控制的要求。在人員的專業(yè)程度方面，只有部分的公司配備有專業(yè)程度較高的內部控制評價人員，一些公司內部控制評價人員的專業(yè)程度較低。在內部控制自我評價文檔方面，我國石油企業(yè)只有少部分的上市公司保存有完整的內部控制自我評價文檔，一些上市公司的內部控制自我評價文檔很不完整或者未保存?？梢钥闯觯覈推髽I(yè)內部控制評價體系健全程度相對較低，對企業(yè)內部控制評價體系的建設沒有足夠的重視。3.2.4石油企業(yè)風險管理情況企業(yè)內部控制及其評價活動中突出的是風險點的發(fā)現(xiàn)與控制。在西方發(fā)達國家的企業(yè)中，全面風險管理已獲得了普及，企業(yè)風險和風險管理也早已經(jīng)成為企業(yè)管理者最為注意的大事，風險管理甚至成為很多企業(yè)的職能組成部分。但我國目前而言，企業(yè)進行全面風險管理還沒有事先，目前來說全面風險管理只局限在銀行、證券、保險等高風險行業(yè)。對于大部分普通企業(yè)來說，加強企業(yè)內部控制建設的階段還在繼續(xù)，建立全面風險管理的綜合體系尚需要時日。所以我們試圖通過調查了解我國石油企業(yè)風險管理的具體情況，從而分析其存在的問題。（一）內部控制與風險控制的結合情況企業(yè)內部控制與風險管理有著密切的聯(lián)系，并且兩者有逐漸融合的趨勢。所以，在企業(yè)的內部控制建設過程中，應充分考慮風險管理體系的建設和實施，使其與風險管理相結合。表3-7內部控制與風險控制的結合情況調查表低中高企業(yè)對實施風險管理的了解程度2家3家9家內部控制與風險控制的結合程度4家5家6家內部控制對風險控制的覆蓋程度3家4家7家針對風險控制目標的細化程度4家5家6家根據(jù)調查，我國石油企業(yè)只有部分清楚地了解企業(yè)實施風險管理的方法；只有少數(shù)公司實現(xiàn)了內部控制與風險管理的有效結合；還有部分公司內部控制不能有效的涵蓋企業(yè)各方面存在的風險，且只有少量的公司針對風險設置了比較細化的控制目標。調查說明，雖然我國石油企業(yè)已經(jīng)有一些企業(yè)建立了有效的內部控制體系，但是沒有充分考慮風險管理的建設和實施，且沒有充分有效地將內部控制與風險管理相結合。（二）實施風險管理對企業(yè)的貢獻程度一般來說，企業(yè)目標是盡可能地創(chuàng)造價值，使企業(yè)價值最大化。企業(yè)風險管理的目標應該與社會發(fā)展和企業(yè)發(fā)展目標相一致，應服務于企業(yè)整體目標。在企業(yè)中，風險管理可以為企業(yè)目標的實現(xiàn)提供合理的保證，是企業(yè)管理的一個有機組成部分。因此，我們通過對企業(yè)風險管理對公司各項活動的價值貢獻程度展開調查，分析企業(yè)風險管理為企業(yè)價值最大化目標的實現(xiàn)帶來的作用的大小。表3-8風險管理對企業(yè)的貢獻程度調查表低中高增強對風險的了解2家3家9家提高監(jiān)管認知3家3家8家降低風險損失2家2家10家提高企業(yè)盈利質量2家1家11家提高企業(yè)社會聲譽1家5家8家降低企業(yè)經(jīng)濟資本2家2家10家增強風險管理信息1家4家9家有效識別增值業(yè)務2家4家8家調查結果顯示，企業(yè)風險管理可以從許多方面為企業(yè)價值增值服務，具體對企業(yè)價值的貢獻包括：增強對風險和控制的了解；提高公司盈利質量；提高監(jiān)管認知；降低風險事件產(chǎn)生的損失；提高公司社會聲譽；降低經(jīng)濟資本要求等。3.2.5石油企業(yè)實施內部控制和風險管理的主要障礙因素（一）企業(yè)實施內部控制存在的障礙因素我國石油企業(yè)內部控制建設及其評價過程中的障礙因素的調查結果如下表所示。表3-9實施內部控制存在的障礙因素存在不存在缺乏可操作的理論和實務框架5家9家管理意識不到位7家7家缺乏專業(yè)的人才6家8家人員獎懲機制不到位7家7家缺乏監(jiān)督和考核9家5家其他因素3家11家上述調查可以發(fā)現(xiàn)，我國石油企業(yè)內部控制建設及其評價過程中主要存在很多障礙因素，比如在企業(yè)內部控制建設和評價過程中沒有一個兼具指導性和可操作性的理論框架；硬性的監(jiān)督檢查機制沒有實現(xiàn)同考核機制的關聯(lián)性；內部沒有足夠的精通內部控制理論和實務的人員從事相關工作等等。（二）企業(yè)實施風險管理存在的障礙因素我國石油企業(yè)實施風險管理方面的障礙因素的調查結果如表所示。表3-10企業(yè)實施風險管理方面的障礙因素存在不存在缺乏風險管理框架和路線圖7家7家風險管理與戰(zhàn)略缺乏協(xié)調5家9家管理人員認識不足6家8家缺乏專項資金9家5家缺乏外部資源10家4家其他因素3家11家調查顯示，我國石油企業(yè)風險管理實施存在的障礙因素主要有：缺乏有效的公司風險管理框架和路線圖；管理人員對風險管理的認識不足；風險管理與戰(zhàn)略計劃之間缺乏協(xié)調；缺乏風險管理人才；缺乏用于風險管理的專項資源內部和外部資源等障礙因素。4COSO風險管理框架下我國石油企業(yè)內部控制體系設計研究4.1我國石油企業(yè)內部控制體系設計4.1.1內部控制機構設立首先，在我國石油企業(yè)中要委任內部控制建設項目領導及項目小組。企業(yè)治理層根據(jù)企業(yè)的機構設置和人員配備委任專門人員負責組織協(xié)調內部控制的建立實施及日常工作，一般由公司董事會負責內部控制的建立健全和有效實施，經(jīng)理層負責組織領導企業(yè)內部控制的日常運行。其次，在在我國石油企業(yè)中要成立專門職能部門和檢查監(jiān)督部門，并定義監(jiān)督檢查部門職責分工。再次，在我國石油企業(yè)中要確定項目計劃以建立/完善公司的內部控制。企業(yè)內部控制委員會應當結合企業(yè)所處的環(huán)境和內部治理情況，制定內部控制建設項目計劃和預算，合理安排內部控制建設進度。最后，在我國石油企業(yè)中要進行培訓并將內部控制項目計劃承交董事會審閱。為了公司各級管理層形成對內部控制的共同語言，增強對項目的認識，公司應當對相關管理層項目組成員和試點流程負責人進行內部控制和項目管理推進培訓。之后，項目組負責人或負責部門將制定完成內部控制建設計劃承交董事會審閱，由董事會負責審批。4.1.2建立健全本企業(yè)內部控制制度首先，我國石油企業(yè)要開展報表科目/流程風險評估，確定內部控制工作的范圍和流程。而在風險評估方面，最為重要的是根據(jù)石油企業(yè)的特點，進行風險識別。石油企業(yè)要針對確定關鍵事項，從外部環(huán)境及內部環(huán)境兩個角度，通過關鍵成功因素的分析，考慮和尋找在實現(xiàn)目標過程中內外部風險。具體的風險應當包括如下：表4-1石油企業(yè)內部控制中涉及的內外部風險類別內外部風險類別1市場價格波動的風險2油氣價格變動，進而導致油氣資產(chǎn)的減值從而影響當期經(jīng)營成果的風險3原油和天然氣儲量因為數(shù)據(jù)估計不準確而產(chǎn)生的風險4原油和天然氣儲量下降而給企業(yè)帶來的風險5同業(yè)石油公司互相競爭形成的風險6大股東控制上市石油公司經(jīng)營政策帶來的潛在內部風險7上市石油公司存在的資金短缺風險8匯率波動給上市石油公司帶來的外部風險9政府行業(yè)監(jiān)管政策對上市石油公司發(fā)展和盈利能力制約風險10上市石油公司可能面對的法律風險11技術發(fā)展和進步給上市石油公司帶來的風險12信息系統(tǒng)運行中斷而給上市石油公司帶來的風險13事故及自然災害給上市石油公司帶來的風險14環(huán)境保護出現(xiàn)問題而給上市石油公司帶來的風險15股本融資產(chǎn)生的上市石油公司承擔風險16上市石油公司聲譽受損的風險17上市石油公司存在的高運輸成本風險18海外投資兼并與收購給上市石油公司帶來的風險其次，我國石油企業(yè)要要具體設計內部控制模板，辨識與記錄工作范圍內的公司層面和流程層面的內部控制活動。這也是整個上市公司內部控制體系最為重要的部分。我國石油企業(yè)要應當根據(jù)內部控制目標，結合風險應對策略，綜合運用控制措施，對各種業(yè)務和事項實施有效控制。控制措施一般包括：不相容職務分離控制、授權審批控制、會計系統(tǒng)控制、財產(chǎn)保護控制、預算控制、運營分析控制和績效考評控制等。結合風險評估結果，通過手工控制與自動控制、預防性控制與發(fā)現(xiàn)性控制相結合的方法，設計內部控制模板，從而運用相應的控制措施，將風險控制在可承受度之內。再次，我國石油企業(yè)要記錄各業(yè)務流程中發(fā)現(xiàn)的內部控制設計缺陷，匯總并提出整改方案。針對風險評估過程中發(fā)現(xiàn)的業(yè)務流程中的內部控制設計缺陷，內部控制建設項目組應當作出記錄與匯總，并分析和研究所發(fā)現(xiàn)的設計缺陷，有針對性地提出整改方案。最后，我國石油企業(yè)要根據(jù)整改方案糾正內部控制設計缺陷，完善內部控制制度。通過針對內部控制制度的不斷完善，為內部控制的高效運行打下堅實的基礎。4.1.3我國石油企業(yè)內部控制自我檢查監(jiān)督和匯報首先，我國石油企業(yè)要制定內部控制監(jiān)督檢查辦法和內部控制自我評估和檢查監(jiān)督的工作計劃。具體而言，我國石油企業(yè)要根據(jù)《企業(yè)內部控制基本規(guī)范》及其配套辦法，制定內部控制監(jiān)督制度，明確內部審計機構（或經(jīng)授權的其他監(jiān)督機構）和其他內部機構在內部監(jiān)督中的職責權限，規(guī)范內部監(jiān)督的程序、方法和要求。其次，我國石油企業(yè)要要不斷開展內部控制自我評價，出具內部控制自我評價報告。根據(jù)公司內部控制自我評估工作計劃，管理層在企業(yè)范圍內開展自我評估。內部控制自我評價的方式、范圍、程序和頻率，由公司根據(jù)經(jīng)營業(yè)務調整、經(jīng)營環(huán)境變化、業(yè)務發(fā)展狀況、實際風險水平等自行確定。最后，我國石油企業(yè)要要及時匯總內部控制運行缺陷、制定整改方案，并跟蹤內部控制缺陷的整改情況。4.2COSO框架下我國石油企業(yè)內部控制活動設計由上述我國石油企業(yè)內部控制體系可以看出，COSO框架下，設計內部控制模板，辨識與記錄工作范圍內的公司層面和流程層面的內部控制活動是我國石油企業(yè)內部控制的關鍵。本文以其中的關鍵點-貨幣資金潛在風險和控制設計和采購及庫存管理潛在風險和控制設計為切入點，結合我國石油企業(yè)全面使用網(wǎng)絡化財務系統(tǒng)實施會計處理的實際情況，具體構建這一關鍵點的風險控制環(huán)節(jié)，以期起到以點代面的目的。4.2.1貨幣資金潛在風險和控制設計傳統(tǒng)的石油企業(yè)的貨幣資金流程環(huán)節(jié)如下：

業(yè)務部門業(yè)務部門原始憑證業(yè)務審核合規(guī)性審核復合，檢查賬實是否相符財務科長電子口令簽發(fā)審批出納根據(jù)原始憑證收款、付款登記銀行存款、現(xiàn)金備查賬會計根據(jù)原始憑證在系統(tǒng)中記賬系統(tǒng)自動登記銀行、現(xiàn)金日記賬和總賬核對備查賬和總賬明細賬是否符合總經(jīng)理圖4-1傳統(tǒng)貨幣資金控制圖

（一）記賬風險及控制。在傳統(tǒng)系統(tǒng)中，編制的憑證可以直接的計入明細賬和總賬，這就存在著憑證編制錯誤的風險。具體可以設計內部控制制度為：會計人員在財務系統(tǒng)中編制憑證，由專門的財務審核人員對憑證進行審核后才能記入明細賬和總賬。出納在財務系統(tǒng)中沒有任何的權限，不能進行查詢、不能進行憑證的編制、不能修改數(shù)據(jù)。出納應該在財務系統(tǒng)外建立一個銀行和現(xiàn)金的備查賬，然后由會計人員定期的把財務系統(tǒng)中的銀行和現(xiàn)金的余額和出納建立的備查賬相核對，看看余額是否一致。這樣就能保證會計人員在財務系統(tǒng)中編制的憑證最終不會發(fā)生錯誤。（二）財務系統(tǒng)中授權批準風險及控制財務系統(tǒng)中，每個負責人都有給定的系統(tǒng)操作的權限，這就存在著權限劃分不當或者是未經(jīng)授權的人辦理貨幣資金業(yè)務的風險。設計內部控制制度為：出納人員不得兼任稽核、在財務系統(tǒng)中沒有任何的權限、沒有財務系統(tǒng)中收入、支出、費用、債權債務賬目的登記工作，現(xiàn)金支出的審批人員應同出納、記賬員相分離。會計人員在編制憑證時不能接觸庫存的現(xiàn)金、銀行的各種票據(jù)、電子口令等。（三）電子付款的風險及控制財務系統(tǒng)下企業(yè)主要是運用電子銀行付款，而電子銀行是通過文件的上傳和下載進行操作的，電子文件也就成為一個新的風險和控制點。設計內部控制制度為：在財務系統(tǒng)中對付款批準時，確保會計人員定期的在系統(tǒng)中批準到期的應付款清單，下載成為CSV格式的電子文件，設定密碼，密碼由會計保留不得泄露給他人，其他人員只擁有只讀權限。會計人員導出付款清單，核對發(fā)票并把發(fā)票的原件附到付款清單下，清單上應該標明發(fā)票的日期、金額、單位、付款條件等。財務總管進一步根據(jù)原件和上傳的清單，再次審核付款內容是否和清單相符。（四）授權人員賬號密碼風險及控制財務系統(tǒng)中被授予權限的人員都有著自己單獨的賬號和密碼，這就使得賬號和密碼有著被盜用的風險。設計內部控制制度為：每個授權人員的賬號和密碼只能自己保管，不能告知別人不能授權其他人進行賬號的登錄從而進行業(yè)務的審批。4.2.2采購及庫存管理潛在風險和控制設計傳統(tǒng)的石油企業(yè)的采購及庫存管理流程環(huán)節(jié)如下：

生產(chǎn)部生產(chǎn)部在線提出生產(chǎn)計劃銷售合同系統(tǒng)提交生產(chǎn)計劃單采購部在線提交采購計劃單在線提交資金計劃表分管副總在線審批總經(jīng)理在線審批自動向供應商發(fā)出采購訂單倉庫質檢在線生成送貨清單與采購入庫單ERP系統(tǒng)中核對實物與采購訂單辦理驗收入庫 圖4-2傳統(tǒng)的石油企業(yè)的采購及庫存管理流程（一）審批權限風險及控制財務系統(tǒng)環(huán)境下在原材料等采購的過程審批主要是在網(wǎng)絡環(huán)境下審批人在線上進行審批，單人的審批可能存在舞弊的風險，不符合企業(yè)內部控制嚴謹?shù)囊?。設計內部控制制度為：多層級的審批流程。生產(chǎn)部門向采購部門提出生產(chǎn)需求，采購部門擬定好采購計劃單和資金計劃表后通過財務系統(tǒng)流程提交給財務部進行相關金額和會計科目審批，審批通過后系統(tǒng)提交給分管副總進行審批，最后提交給總經(jīng)理審批。超過一定金額的固定資產(chǎn)采購要通過經(jīng)理層會議審批方可執(zhí)行。在線審批都是在財務系統(tǒng)內完成，取消紙質的審批單據(jù)。（二）授權風險及控制財務系統(tǒng)從進入閱覽到憑證編制到審批等各個環(huán)節(jié)都是通過授權才能進行操作的，如果授權不當或者授權過多就會存在錯誤和舞弊的風險。設計內部控制制度為：出納人員不得兼任稽核，采購和應付款會計不能有新建和修改供應商數(shù)據(jù)的權限，應該由單獨的會計人員進行修改和維護。采購人員是沒有權力修改訂單上的價格的，價格必須由系統(tǒng)從采購價格表中自動獲得。采購人員不授予在系統(tǒng)中接收貨物的權限，倉庫人員不授予開立采購訂單的權限，采購人員沒有盤盈盤虧的權限。（三）庫存管理風險及控制在財務系統(tǒng)環(huán)境下采購材料入庫時會存在庫存管理人員和供應商串通舞弊的風險和庫存管理時庫存實際與賬目不符合的風險。設計內部控制制度為：在材料采購入庫時，倉庫管理員必須嚴格按照上級批準的采購數(shù)量和品種進行材料的入庫，財務系統(tǒng)中設定的入庫數(shù)量可以少于訂單數(shù)量但是不能多于訂單數(shù)量，超過訂單的部分要立即退回給供應商，以防倉庫管理人員舞弊造成庫存積壓。財務系統(tǒng)比手工環(huán)境有利于庫存管理，但是庫存量還是會與系統(tǒng)內賬面量發(fā)生差異，賬實不符。這時就要建立嚴格的庫存盤點制度?？梢允褂肁BC庫存控制策略：A類物品在企業(yè)生產(chǎn)中其重要作用，就要求準確的記錄，嚴格的按照財務系統(tǒng)所設置的物料盤點周期提示進行盤點，并且還要派專人對其質量和數(shù)量進行不定期的檢查，密切關注此類物品的使用和保管情況。A類物品還要通過系統(tǒng)的計算其使用周期和生產(chǎn)消耗，盡量減少庫存避免浪費。C類物品相對生產(chǎn)來說占用資金小所以不必要進行太多的管理投入，帳實允許適當?shù)钠睿P點的周期可以適當延長。（四）新業(yè)務流程風險及控制財務系統(tǒng)采購過程的審批都是線上審批而不是傳統(tǒng)的紙制簽字審批，這就可能存在線上審批真?zhèn)坞y辨的風險設計內部控制制度為：采購過程中的審批人員如分管副總、總經(jīng)理等都有自己獨有的賬號和密碼不得告訴他人也不得授權他人用自己賬號進行審批，對于金額較大的物品采購要進行經(jīng)理層會議審批，定期派專人對審批的單據(jù)進行核對。（五）信息安全風險及控制財務系統(tǒng)中存儲了企業(yè)自身的信息和供應商的有關信息，由于存在網(wǎng)絡安全和人為因素的隱患，可能對這些信息帶來泄露的風險。設計內部控制制度為：財務部門指定專人對系統(tǒng)中供應商的資料進行維護和新建，且該維護人員不能擁有開立采購單的權限、現(xiàn)金銀行存款記賬權限、收貨的權限、應收應付款記賬的權限等。供應商資料和此采購的價格只有財務經(jīng)理才有權在系統(tǒng)中導出，其他人員要獲取資料只能獲得總經(jīng)理批準。系統(tǒng)要定期的維護，定期的查殺木馬保證不受到網(wǎng)絡安全的影響。4.2.3其他關鍵控制點及內部控制設計研究（一）財務系統(tǒng)操作性風險及控制企業(yè)人員在對財務系統(tǒng)的操作也存在這一定的風險，操作的失誤和故意的舞弊都會給企業(yè)帶來損失。設計內部控制制度為：建立ERP環(huán)境下的操作管理制度，同時明確相關操作人員在整個ERP系統(tǒng)中的具體工作職責。這包括輸出和輸入兩部分控制，輸出控制環(huán)節(jié)中首要目標是確保各種輸出結果的真實性、完整性、正確性，負責輸出的人員都有著授權。建立輸出記錄；建立輸出文件及報告的簽章制度；建立授權制度。輸入到ERP系統(tǒng)中的所有會計數(shù)據(jù)都必須要經(jīng)過嚴格的審核，以確保做到輸入系統(tǒng)的會計信息都是準確無誤的；所有的上機操作人員都必須經(jīng)過授權才可實施相關具體操作；禁止系統(tǒng)開發(fā)的人員操作使用系統(tǒng)，其他熟悉電腦未經(jīng)授權的人員禁止進入機房。此外，運用數(shù)據(jù)文件的保護和數(shù)據(jù)加密存儲，保護數(shù)據(jù)的安全；特別是對于了些特種重要的ERP檔案，企業(yè)相關人員必須及時進行雙備份，同時做到分別保管，搞好相關數(shù)據(jù)的防火、防潮、防塵、防磁等工作。（二）賒銷風險及控制由于我國石油企業(yè)主要銷售都是直接銷售給大型集團，銷售渠道比較單一，缺乏完善的賒銷的流程和內部控制制度。設計內部控制制度為：通過財務系統(tǒng)建立一條完善的賒銷流程進而完成賒銷業(yè)務。具體流程如下：賒銷賒銷依據(jù)管理辦法和專業(yè)人員對賒銷企業(yè)評審允許賒銷不允許賒銷見款系統(tǒng)開出庫單無款系統(tǒng)無法開出庫單設定賒銷規(guī)模在規(guī)模內可以開出庫單 圖4-3賒銷控制圖5我國石油企業(yè)內部控制體系保障措施相對于技術、經(jīng)濟的快速發(fā)展，我國石油企業(yè)的內部控制體系發(fā)展還相對滯后，內部控制風險存在的多樣化及其成因的復雜化已成為影響企業(yè)內部控制體系完善和發(fā)展的重大障礙。目前，影響內部控制體系有效性的因素主要包括：第一，內部控制人員的素質不高，影響了內部控制體系的工作效果，加大了風險等。因此，為了減小風險，在內部控制體系中可以采取風險導向審計模式并且要不斷提高內審人員的素質；第二，內部控制體系本身隱含著審計風險，而內審人員對于風險的防范意識不強。5.1進一步完善企業(yè)治理結構組織架構是企業(yè)內部控制環(huán)境的核心，完善內部控制環(huán)境首先應從組織架構出發(fā)。本文結合我國石油上市公司組織架構現(xiàn)狀，結合內部控制環(huán)境評價結果。提出優(yōu)化改進我國石油上市公司組織架構。5.1.1優(yōu)化產(chǎn)權結構目前，我國石油上市公司組織架構存在的問題關鍵在于產(chǎn)權結構單一，國有股一股獨大，國有股一股獨大直接導致了企業(yè)三會難以發(fā)揮其作用以及內部人控制問題。所以應首先優(yōu)化產(chǎn)權結構，減少國有股數(shù)量。增加社會流動股數(shù)量。組織行為學強調“組織系統(tǒng)”的協(xié)調，在一股獨大產(chǎn)權結構下，企業(yè)是無法能夠索道組織系統(tǒng)內的相互協(xié)調。5.1.2提高董事的管理經(jīng)驗董事在企業(yè)組織架構起著重要的作用，董事有權利和義務了解公司治理情況，利益相關者以及其他權利。完善組織架構還應從董事入手，特別是獨立董事。獨立董事在我國石油上市公司的作用難以發(fā)揮。顯然，完善組織架構必然提高董事的管理經(jīng)驗，董事的知識結構是其履行責任的基本條件之一，豐富的管理經(jīng)驗有助于董事實施監(jiān)督和做出決策。董事應具備市場、商務和管理經(jīng)驗，具有行業(yè)、財務、客戶等方面的基礎知識，具備風險判斷、戰(zhàn)略規(guī)劃等方面的能力。5.1.3培養(yǎng)董事會文化在公司治理與管理活動中，“人”是最重要的、最活躍的因素，良好的董事會文化將對董事會成員、管理人員、員工思維方式和行為方面起到積極的影響作用。通過文化建設，引導組織成員履行責任，自覺遵守企業(yè)規(guī)章制度，將自我目標與企業(yè)目標相結合，通過組織成員的自我約束和控制來達到內部控制的目的。5.1.4合理設置機構，做到權責對等我國石油上市公司存在著機構設置不合理，機構設置冗長。組織行為學強調企業(yè)設置合理的機構。在對我國石油上市公司調查中發(fā)現(xiàn)，我國石油上市公司機構設置一般都是事業(yè)部類型。機構設置存在著重復現(xiàn)象，資源浪費。優(yōu)化企業(yè)組織架構應精簡組織架構。組織行為學要求企業(yè)合理的授權和集權，以做到權責對等。我國石油上市公司大部分由于是原國有企業(yè)轉變而來的，企業(yè)管理人員存在著原國有企業(yè)的舊習。很難做到權責對等。優(yōu)化組織架構必須做到合理的授權與集權，做到權責對等。5.2日常檢測與綜合監(jiān)督相結合5.2.1兩級內控責任部門定期測試石油企業(yè)要按照內控手冊和《企業(yè)內部控制實施細則指導意見》要求，實施總部和分（子）公司兩級內控測試，通過這兩級責任部門每季度開展內控流程測試，來形成測試報告報同級內控管理部門，公司內控辦公室匯總分析。針對季度測試發(fā)現(xiàn)的問題，總部各部門、各分（子）公司及時制訂整改計劃和措施，督促整改并跟蹤落實整改完成情況，測試結果真實有效。季度測試切實發(fā)揮了總部、分（子）公司兩級責任部門作為內控責任主體的作用，履行了內控“第一道防線”的職責。5.2.2分（子）公司年度自查石油企業(yè)本年度分（子）公司內控自查，是對公司全面貫徹落實內控規(guī)范、對企業(yè)內控實施細則設計和運行有效性的全面檢查。各分（子）公司按照總部要求，自查范圍覆蓋了主要業(yè)務和經(jīng)濟活動，程序規(guī)范，方法合理。整體來看，各分（子）公司內部控制情況較好，全面真實地揭示了企業(yè)經(jīng)營管理的風險控制狀況，如實地反映了內部控制設計和運行的有效性。同時，各分（子）公司對自查中發(fā)現(xiàn)的問題積極制定有效整改措施并跟蹤落實整改結果，為公司高效、有效執(zhí)行內部控制奠定了良好的基礎。5.2.3內控專項檢查石油企業(yè)改革管理部（內控辦公室）是內部控制綜合監(jiān)督工作的歸口管理部門，負責公司內控日常監(jiān)督，組織專項檢查。本年度，內控辦公室組織對分（子）公司內控工作開展情況、實施細則設計有效性等進行了專項檢查，從檢查結果看，各分（子）公司盡管規(guī)模不同、業(yè)務類型不一，但基本按照公司內控手冊和實施細則指導意見的要求推進內控工作，內控實施的深度和廣度有了一定的進步，取得了較好的成效，在確保制度的有效執(zhí)行、規(guī)避和防范風險、實現(xiàn)企業(yè)各項任務目標等方面起到了良好的保障和促進作用。5.2.4內控綜合檢查審計部承擔內控評價職責，對公司內控工作進行獨立的綜合檢查評價。本年度，石油企業(yè)審計部按照內控監(jiān)督評價的職責，制定詳細的內控檢查評價方案報經(jīng)管理層審核，根據(jù)2011年版內控手冊變化情況修訂完善了綜合檢查評價模板，并對參加檢查的人員給予了充足培訓和指導，代表管理層對總部部門和分（子）公司開展了現(xiàn)場綜合檢查評價。根據(jù)檢查結果，總部各部門及分（子）公司內部控制整體有效，未影響財務報告真實、準確。沒有發(fā)現(xiàn)內部控制重大缺陷。

結束語內部控制系統(tǒng)是當今企業(yè)實現(xiàn)資源整合、供應鏈管理、提高企業(yè)決策水平的有效工具，內部控制是企業(yè)抵御風險、進行經(jīng)營管理、防止舞弊的主要手段。COSO風險管理框架和我國石油上市企業(yè)內部控制相結合能給企業(yè)帶來更高的管理水平和更廣闊的發(fā)展空間，并給我國企業(yè)轉型升級帶來機遇和風險。總而言之COSO風險管理框架不僅僅是一個風險管理系統(tǒng)，也是一種先進的內部控制和風險防范理念，他給企業(yè)帶來了新的機遇也帶來了新的風險。企業(yè)要針對自身具體情況把COSO風險管理框架與企業(yè)內部控制相結合，制定出COSO風險管理框架下有效的內部控制制度，這樣才能促進企業(yè)的經(jīng)營和發(fā)展。參考文獻[1]林勇主編，夏家莉，涂保爾副主編．COSO框架理論與實踐[M]．中國科學技術大學出版社，2007（7）[2]李繼念．企業(yè)內部會計控制中的問題與對策研究[J]．商場現(xiàn)代化，2007（5）[3]王又花．基于COSO框架的內部會計控制分析[J]．中國管理信息化，2007（1）[4]潘穎．試論COSO框架下的內部控制[J]．山東經(jīng)濟，2007(1)[5]李品．COSO框架下企業(yè)內部控制與風險管理的思考[D]．大連市財貿(mào)管理干部學院學報，2008（1）[6]朱傳武．COSO框架在制造業(yè)的應用及成果[J]．機械研究與應用，2008[7]梅奇．COSO框架對企業(yè)內部控制的影響[J]．科技與管理，2008（3）[8]吳水澎，陳漢文，邵賢弟．企業(yè)內部控制理論的發(fā)展與啟示[J]．會計研究，2008(5)[9]李晶，COSO框架下企業(yè)內部控制與風險管理的思考[J]．天津市財貿(mào)管理干部學院學報，2008（1）[10]王文蓮，佟芳芳．企業(yè)資源計劃[M]．立信會計出版社，2008[11]鄭稱德，陳金勇，王燕.國有企業(yè)ERP系統(tǒng)實施績效研究[J]．企業(yè)管理，2008[12]錢黎，宛愛榮，張偉．COSO框架下內部控制體系建設[J]．現(xiàn)代經(jīng)濟信息，2009（9）[13]鄭洪濤，張穎．企業(yè)內部控制學[M]．東北財經(jīng)大學出版社，2009[14]沃爾特梅格斯等著，陳金池譯．審計學原理[M]．北京經(jīng)濟學院經(jīng)濟研究所，1983年中文版本[15]HeizerJ,RenderB．OperationManagement[M].NewJersey,PearsonEducation,2006[16]PaulM,Collier.EntrepreneurialcontrolandtheconstructionofarelevantaccountingAstonBusinessSchool.AstonUniversity,BirminghamB47ET,UK.23June2006[17]ArkadyLibman.Crashcourseinaccountingandfinancialstatementanalysis.JohnWileyandSons,2007