企业内部控制成功与失败案例

企业内部控制失败与成功案例

无论是成功的公司还是失败的企业，可以相信：成功的企业、内部控制有效

的企业，其“秘诀”是共同的；而失败的企业，尽管各有各的不幸，但有一点也

是共同的，那就是内部控制失效。对任何企业来说，再完美的制度，如果得不到

严格执行，就是一种摆设。国内企业内部控制建设成功案例介绍。

一、中国石油天然气股份有限公司（以下简称中国石油）上市以来按照现代

企业制度的要求和与国际规范接轨的原则，在转变经营理念、推进制度创新和管

理创新方面采取了一系列措施，迈出了坚实的步伐。特别是从2003年开始，公

司以国内和上市地（美国）有关法规（美国证监会2002年颁布的《萨班斯奥克

斯利法案》）的颁布为契机，充分依托已有的管理优势,采用国际上被广泛认可的

COSO框架基础,着手建立内部控制体系。

2003年，中国石油抽调公司各个业务部门和各个板块的骨干人员，成立了

内控项目部（后转为正式的“内部控制部”）。其项目总体安排分为六个阶段。 第一阶段为工作启动阶段。这个阶段在总部进行，主要完成工作组筹建、人

员培训、建立工作方法和工作标准等。

第二阶段为流程的绘制和确认阶段。以财务报告为切入点，对于相关业务进

行确认，并在总部和试点单位开展标准流程的绘制。

第三阶段为建立风险评估标准，确定文档记录和评估阶段。

第四阶段为编制标准业务流程，汇总重要过程步骤并进行差异分析，确定具

体的控制方法和控制手段的阶段。

第五阶段为测试关键控制的执行效果，建立运营缺陷改进计划，提交最终报

告的阶段。

第六阶段为2006年通过第一次外部审计后的每年的维护更新。

公司围绕内部控制体系建设的总体目标和各阶段部署，克服各种困难，做了

大量卓有成效的工作：

一是制定了内控体系框架编制完成内部控制管理手册、实现了设计有效；二

是开展内部控制体系的试运行和符合性检查，及时整改发现的问题，为正式颁布

运行做好了准备；三是通过广泛宣传和加强培训，使各级干部和全体员工对内部

控制体系的了解逐步加深，认识不断提高，部分骨干管理人员已基本熟悉和掌握

了风险识别和控制实施方法，初步形成了一支具有较强业务能力的内部控制工作

队伍；2005年底，中国石油签署发布《内部控制管理手册》，标志着与国际规范

接轨的公司内部控制体系开始正式运行。中油股份公司总裁蒋洁敏在签署发布

《内部控制管理手册》的会议上指出“我们的设计总体是有效的，关键问题是执

行有力。只要执行有力，就能通过；反之执行不力就很难通过。《内部控制管理

手册》必须百分之百执行，这是2006年管理的硬任务”。

《内部控制管理手册》自2006年1月1日正式发布实施以来，中国石油的

内部控制工作目标围绕“执行有力”的基本导向，积极探索有效方法，大力推动

内部控制工作的扎实深入展开。加强内部控制管理手册的宣传培训，进一步落实

工作职责和岗位责任，完善工作网络，建立了内部控制考核监督机制。

从公司总部各部门到地区公司各基层单位内部控制体系的各项要求得到了

进一步落实。

从2006年4月至2007年初，中国石油的管理层测试和外部审计全面展开。

2007年初，中国石油的外部审计师对其与财务报告相关的内部控制（萨班斯法

案404条款要求）发标了无保留的审计意见，认为其内部控制的设计和执行在重

大方面是有效的。至此，中国石油的内部控制建设阶段胜利完成，进入以后的每

年的持续改进阶段。

二、中国人寿3中国人寿于2004年末启动旨在加强内部控制建设的“404

项目”。中国人寿的外部审计师是普华永道，其在萨班斯法案的准备过程中，聘

请了安永会计师事务所为其提供咨询服务。

“404项目”分三批在中国人寿全系统推进，北京、江苏、河南和山东四个

省市作为第一批开展试点。试点机构从各部门抽调人员组成项目组，首先做的工

作是梳理业务和财务流程，把所有的流程都写出来，并画出流程图，找出风险点，

看是否有相应的措施对其进行控制。以承保流程为例，从客户投保，到承保、出

单、客户签回执、公司核销回执，再到财务入账，从头至尾，把整个流程尽可能

细化地落于纸端。项目组仅描述流程就写了近三个月。

之后所做的工作是进行测试：采用抽查法，先抽出一笔业务，从头至尾检查

是否有漏掉的环节，如果有环节被漏掉，就可能存在被忽视了的风险。考虑到一

笔业务并不足以说明目前的控制确实有效，之后还会抽出几十个样本，用同样的

方法对这一大笔业务进行再测试。

在确定流程和进行测试的过程中，关键问题是看对每一个风险点是否有相应

的控制措施，如果没有则要及时反馈到相应部门，要求该部门设计出应有的控制

措施或给出一个合理的解释，直到所有的风险都得到控制为止。

巨大的工作量带来很大的挑战。项目开展的最初半年，项目组每天都要工作

十几个小时，反复查找风险点、进行测试，并与外省机构交叉检查。对于分支机

构遍布全国城乡的中国人寿来说，这无疑是个牵动全身的浩大工程。中国人寿的

管理链条很长，在每个省设有分公司，分公司下设地、市级支公司，总、分、支

公司都有相应的业务和财务部门，单把流程写清楚就不是易事。为此，中国人寿

总公司从各分公司抽调人员，省分公司则从地市级支公司抽调人员参与404项目。

项目结束阶段，中国人寿初步形成《中国人寿内部控制手册》和《中国人寿

内部控制指南》两项成果，其中《中国人寿内部控制指南》是《中国人寿内4

部控制手册》的详细解释，对公司的每个流程和每个风险点、相关的岗位职责等

都予以详细说明和规定。

考虑到保险企业对信息系统的依赖，从项目一开始，中国人寿就把与信息技

术相关的控制放在工作的重要位置。通过信息系统的省集中，《信息安全制度》

的颁布和信息系统控制测试结果与绩效考核的挂钩等一系列措施，中国人寿将信

息技术相关的内部控制有效地落实到了基层。

项目实施实施完毕之后，虽然项目到此告一段落，但并不表明内部控制工作

已经全部完成，因为后续的流程增加及修订，还要不断反馈到整个内控系统中去。