南方航空:2011年度内部控制评价报告2012-03-30
中国南方航空股份有限公司 2011 年度内部控制评价报告
董事会全体成员保证本报告内容真实、准确和完整,没有虚假记
载、误导性陈述或者重大遗漏。
中国南方航空股份有限公司全体股东:
中国南方航空股份有限公司董事会(以下简称“董事会”)
对建立和维护充分的财务报告相关内部控制制度负责。
财务报告相关内部控制的目标是保证财务报告信息真实完
整和可靠、防范重大错报风险。由于内部控制存在固有局限性,
因此仅能对上述目标提供合理保证。
董事会已按照《企业内部控制基本规范》要求对财务报告相
关内部控制进行了评价,并认为其在 2011 年 12 月 31 日(基准
日)有效。
我公司在内部控制自我评价过程中未发现与非财务报告相
关的重大或重要内部控制缺陷。
我公司聘请的毕马威华振会计师事务所已对公司财务报告
相关内部控制的有效性进行了审计,出具了无保留意见的审计报
告。
董事长:(签名)
中国南方航空股份有限公司
二○一二年三月二十九日
1
�中国南方航空股份有限公司
2011 年度内部控制评价报告
--附件
2
� 一、背景介绍
2008 年 5 月 22 日,国家财政部、证监会、审计署、银
监会、保监会联合发布《企业内部控制基本规范》(下简称
《内控规范》),并于 2010 年 4 月 15 日发布企业内部控制配
套指引。以上《内控规范》及其配套指引自 2011 年 1 月 1
日起在境内外同时上市的公司施行。
中国南方航空股份有限公司(下简称公司)作为在境内外
三地上市的公司,按照《内控规范》及其配套指引的要求,
需从 2011 年 1 月 1 日起,对公司内部控制的有效性进行自
我评价,披露年度自我评估报告,并聘请会计师事务所对公
司财务报告相关的内部控制的有效性进行审计并出具审计
报告。2011 年是公司遵循《内控规范》的第一年。
二、组织架构
为全面推进 2011 年度内部控制评估工作(下简称“内
控工作”),公司成立专门的内控评估项目委员会和内控工作
组,在董事会、审计委员会的领导下开展内控工作。项目委
员会主任由董事长担任,分管副总经理兼财务总监担任常务
副主任。内控工作组设在审计部,负责项目具体组织实施,
审计部总经理为项目委员会成员兼内控工作组组长。
具体管理结构图如下:
3
� 董事会
审计委员会
项目委员会
外部审计师
内控工作组
管理分队 外部咨询师
公司层面内控框 职能部门
架及流程分队 与业务单位
三、工作方法
项目委员会经与外部审计师商讨,确定评估范围和工作
方式,报经审计委员会批准,内控工作组开展具体业务。
(一)确定评估范围的方法
作为在美上市企业,自 2006 年起,公司内控评估工作
主要是以美国《萨班斯法案》的要求为依据开展。萨班斯内
控评估体系包括公司层面内控框架以及业务流程层面与财
务报告相关的内部控制。2011 年,根据《内控规范》的要求,
公司将原有萨班斯内控评估体系与《内控规范》及配套指引
的 18 项内容进行梳理、对照,将其中未覆盖的部分纳入本年
度内控评估范围内。
4
� 1、公司层面内部控制
在公司层面内部控制评估方面,主要以美国反对虚假财
务报告委员会的赞助组织委员会(下简称“COSO”)所颁布
的《内部控制整体框架》为评估标准,并结合《内控规范》
的相关要求,评估公司层面内部控制的有效性。
2、业务流程层面内部控制
在确定业务流程层面内部控制评估范围时,公司考虑了
各种量化和非量化的因素。
量化因素。公司确定的财务报表的量化基准为:公司合
并财务报表经营收入总额的 0.5%和公司合并财务报表总资
产值的 0.5%,任何业务单位的营业收入总额或总资产值达到
此标准即考虑纳入评估范围。公司确定的重要会计科目的量
化基准为:财务报表量化基准的 75%,超过此量化基准的为
重要会计科目,公司需要评估与此类重要会计科目有关的内
部控制流程。
非量化因素。公司选定评估范围时考虑的非量化因素包
括:
l 业务单位的规模与结构;
l 是否有因诈骗或错误而造成亏损的机会;
l 相关交易的数量和复杂性;
l 业务单位会计处理的复杂程度;
l 相关账目的性质;
5
� l 是否有重大的或有负债;
l 是否有重大关联交易。
在管理层提出的覆盖公司全部航空主业类分(子)公司
的原则下,选定纳入本年度评估范围的业务单位包括:
l 广州总部
l 新疆分公司
l 北方分公司
l 北京分公司
l 深圳分公司
l 黑龙江分公司
l 吉林分公司
l 大连分公司
l 河南分公司
l 湖北分公司
l 湖南分公司
l 海南分公司
l 广西分公司
l 厦门公司
l 贵州公司
l 汕头公司
l 珠海公司
l 重庆公司
6
� l 机务工程部下属沈阳维修基地
同时,根据业务性质、会计科目与业务流程的对应关系,
公司确定了 9 个财务报告相关的业务主流程以及 5 个非财务
报告相关的业务主流程。
财务报告相关的业务主流程(9 个)
l 销售及促销
l 航材管理
l 飞机及发动机管理
l 其它固定资产管理
l 成本费用支出
l 资金及投资管理
l 人力资源
l 财务报告
l 一般信息技术控制
非财务报告相关的业务主流程(5 个)
l 合同管理
l 对外担保
l 内部信息传递
l 对子公司的管理
l 业务外包
2011 年公司综合考虑量化因素及非量化因素确定的业
务流程层面内控评估范围如下:
7
� 黑 沈
新 北 北 深 吉 大 河 湖 湖 海 广
广 龙 厦 贵 汕 珠 重 阳
疆 方 京 圳 林 连 南 北 南 南 西
州 江 门 州 头 海 庆 维
主流程 分 分 分 分 分 分 分 分 分 分 分
总 分 公 公 公 公 公 修
公 公 公 公 公 公 公 公 公 公 公
部 公 司 司 司 司 司 基
司 司 司 司 司 司 司 司 司 司 司
司 地
销售及促销 ü ü ü ü ü ü ü ü ü ü ü ü ü ü ü ü ü ü
航材管理 ü ü ü ü ü ü ü ü ü ü ü ü ü ü ü ü
飞机及发动机管理 ü ü
ü ü
其它固定资产管理 ü ü ü ü ü ü ü ü ü
成本费用支出 ü ü ü ü ü ü ü ü ü ü ü ü ü ü ü ü ü ü
资金及投资管理 ü ü ü ü ü ü ü ü ü ü ü ü ü ü
人力资源 ü ü ü ü ü ü ü ü ü ü ü ü ü
财务报告 ü ü ü ü ü ü ü ü ü ü ü ü ü ü ü ü ü ü
一般信息技术控制 ü ü ü ü ü ü ü ü ü ü ü ü ü ü ü ü ü ü
合同管理 ü
对外担保 ü
内部信息传递 ü
对子公司的管理 ü
业务外包 ü
(二)记录方法
1、公司层面:公司结合《内控规范》及《萨班斯法案》
的相关指引和要求,设计公司层面内控调查问卷,对相关部
门、审计委员会和高级管理层进行访谈,并依据问卷内容进
行评估,同时进行穿行测试,评估公司层面内部控制的有效
性。
2、业务流程层面:以流程图的形式如实记录每个子流程
的交易发起、授权、处理和报告环节。
8
� 使用标准的记录格式模板,详细记录包括过程、政策、方
法、操作守则、业务流程过程和业务负责人等业务内容。同时
通过审阅现行的管理制度、对比国家相关法律法规、询问有关
业务负责人控制执行情况、进行穿行测试等方式,以识别业务
流程层面的主要风险控制点,评估内部控制设计上的有效性。
(三)测试方法
年度内分上、下半年对内控执行的有效性进行两次测
试。
由测试人员根据《内控规范》及指引的要求抽取相关样
本,通过观察、访谈、复算、检查、询问、知识评估、系统
查询等测试方法验证相关内控的有效性。
抽样基准及可容许测试失效样品数量:(详见下表)
内部控制实施的频率 每年样品数量范围 可容许测试失效样品数量
公司层面内控框架 1个 0个
流程层面内部控制
每年 (一般为年终) 1个 0个
每季度 1个 0个
每月 2个 0个
每周 5个 0个
每天 15 个 0个
反复持续进行
30 个 0个
(一天内发生多次)
根据去年业务量估计频率
不定时 0个
并选择相应的样本量
系统控制 1-2 个 0个
(四)缺陷认定方法
9
� 在评估内控缺陷时,公司对缺陷进行定量和定性分析,
根据缺陷严重程度,分为一般缺陷、重要缺陷和重大缺陷。
其中:
定性标准:指涉及业务性质的严重程度,根据其直接或
潜在负面影响的性质、影响的范围等因素确定。
定量标准:指涉及金额大小,既可以根据造成直接财产
损失绝对金额制定,也可以根据其直接损失占本企业资产、
销售收入及利润等的比率确定。
目前,公司缺陷性质的定量标准沿用萨班斯内控评估的
标准。将公司 2011 年度按国际财务报告准则编制的合并财
务报表经营收入总额的 0.5%和总资产值的 0.5%确定为财务
报表层面的量化基准,根据缺陷潜在影响金额占财务报表层
面量化基准的百分比,作为确定一般缺陷、重要缺陷和重大
缺陷的标准。详见下表:
所有潜在影响金额小于财务报表层面量化基准 20%的
一般缺陷
被视为一般缺陷。
所有潜在影响金额大于财务报表层面量化基准 20%,
重要缺陷
小于 100%的被视为重要缺陷。
所有潜在影响金额大于等于财务报表层面量化基准
重大缺陷
100%的被视为重大缺陷。
四、具体实施
公司 2011 年度内控评估主要工作:
10
� 对本年度公司层面内部控制框架和业务流程层面的内
部控制情况进行记录和测试,对其设计和操作的有效性进行
评估,以及对发现的内部控制缺陷进行整改。
(一)工作目标
合理保证公司经营管理合法合规、资产安全、财务报告
及相关信息真实完整,提高经营效率和效果,促进公司实现
发展战略。为管理层对公司内部控制的有效性发表声明提供
重要的基础和充分的依据。
(二)评估范围
2011 年是公司开展萨班斯内控评估工作的第六年,执行
《内控规范》的第一年,除继续对 2006 年至 2010 年已纳入
萨班斯内控评估范围的 17 个单位进行评估外,还新增了重
庆公司和贵州公司的评估工作,评估覆盖范围已涵盖广州总
部及下属全部航空主业分(子)公司,共计 19 个单位。覆
盖面达公司 2011 年度按国际财务报告准则编制的合并财务
报表经营收入总额的 99.9%及综合总资产值的 98.5%。
(三)工作阶段
2011 年内控评估工作分为六个阶段,分别是计划、记录、
测试、整改、报告和外审独立审计阶段。
第六阶段:
第一阶段: 第二阶段: 第三阶段: 第四阶段: 第五阶段:
外审独立
计划阶段 记录阶段 测试阶段 整改阶段 报告阶段
审计阶段
11
� 第一阶段:计划阶段
重点工作:制定工作方案、项目启动和为相关人员提供
培训。
2011 年 4 月,公司内控工作组根据年度内控工作重点,
制定了详细的实施工作方案。
5 月 12 日,公司在广州召开南航股份公司 2011 年度内
部控制评估工作启动会。公司副总经理兼财务总监、公司内
控工作组成员、各评估单位内控项目办公室主任及内控管理
员共计 120 人参加会议。会议重点介绍了 2011 年度内控评
估工作内容和年度工作安排,并邀请到时任财政部会计司注
册会计师处处长王宏博士就《企业内部控制规范》做专题培
训。会后,对当年新增评估单位内控管理员进行相关培训。
第二阶段:记录阶段
重点工作:记录公司相关内部控制程序并对其设计有效
性进行评估。
2011 年 5 月至 8 月,内控工作组对公司层面内部控制框
架以及业务流程层面的内部控制进行访谈,并更新内控描
述,从内部控制的设计上评估其有效性。具体工作包括:
公司层面:内控工作组以公司层面内部控制框架为基
础,向各相关部门分发内部控制框架差距分析问卷,跟踪了
解其最新内部控制活动,并由各部门自行更新相关内容。内
控工作组成员根据反馈结果,结合以往的工作经验,有针对
12
�性地选取关键控制点进行穿行测试。对于五年内未发生变更
的控制程序,为保证内控描述的准确性,内控工作组对相应
的流程负责人全部进行了约谈,对其内部控制进行确认。
业务流程层面:内控工作组按照选定的,由 19 个业务
单位、134 个业务主流程组成的评估范围开展记录和设计有
效性评估工作。对相关流程负责人进行访谈,记录每个重要
子流程的交易发起、授权、记录、处理和报告等环节,形成
记录文件。
记录文件包括流程图和风险与内部控制矩阵。流程图对
业务流程进行详细描述,包括描述业务流程控制点的执行
人,主要活动和行为,控制活动的对象,控制活动产生的结
果等要素;风险与内部控制矩阵则对业务流程中的风险控制
点进行分析,以进一步确认控制活动是否能有效控制风险;
如果未能有效控制,则指出存在的内部控制缺陷并提出整改
建议。同时,收集与内部控制措施有关的穿行测试文件,以
进一步证实内部控制措施的设计有效性。
根据境内外最新的法律法规及监管地的要求,公司聘请
专业咨询公司对 2011 年度评估范围内 19 个单位的风险控制
点进行梳理,并按照重要性将风险控制点分为高、中、低三
种类别,以决定下一阶段内部控制执行有效性测试的工作范
围。
第三阶段:测试阶段
13
� 重点工作:对公司内部控制的执行情况进行测试,评估
内部控制的操作有效性。
2011 年 8 月和 2012 年 1 月,内控工作组分两次对业务
流程层面内部控制进行测试,从内部控制的操作上评估其有
效性。
自 2008 年起,公司内控测试阶段及整改阶段均通过内
控管理信息系统(ICM)实施信息化管理。由测试人员通过
内控管理信息系统填写测试底稿并上传样本信息,控制点负
责人及内控工作组通过系统进行测试底稿审核及缺陷确认。
本阶段具体工作包括:
制定标准测试程序、测试方法、抽样原则、样本数量等
工作标准;选定关键的风险控制点作为测试点;通过观察、
访谈、检查、询证、系统查询等方法对测试点进行测试,按
照样本数量要求收集测试文件,在内部控制管理信息系统内
填写测试工作底稿,对内部控制的操作有效性进行评估。内
控工作组成员审核测试文件,检查测试的正确性及完整性。
在 2011 年度开展的两次测试中,内控工作组对业务流
程层面的 1188 个测试点进行了测试。
第四阶段:整改阶段
重点工作:确认并对发现的内部控制缺陷进行整改。
在评估内部控制设计有效性和操作有效性的过程中,内
控工作组对发现的内部控制缺陷提出整改建议,督促整改,
14
�并定期跟踪整改完成情况。
内控工作组对内部控制缺陷进行分类并提出整改建议
后,及时与被评估单位和部门沟通,明确内部控制缺陷的关
键环节,由责任单位制定切实可行的整改方案和措施并进行
整改,内控工作组跟进整改进展情况及效果。对于完成整改
的内部控制设计缺陷,内控工作组重新进行了记录和测试,
并修改相应的流程图、风险与内部控制矩阵;对于完成整改
的内部控制执行缺陷,内控工作组重新进行测试,以确认整
改实效。
第五阶段:报告阶段
重点工作:编制内部控制自我评估报告。
根据记录、测试和整改的情况,从 2012 年 1 月起,内
控工作组对项目所有资料进行汇总整理,对全年内控评估工
作进行总结,同时按照监管机构的要求编制内部控制评估报
告。
第六阶段:外审独立审计阶段
重点工作:外部审计师就公司内部控制进行独立审计。
根据中国《内控规范》及美国《萨班斯法案》404 条款的要
求,公司 2011 年的内部控制情况需要通过外部审计师的独
立审计,因此外部审计师分别于 2011 年 9 月及 2012 年 1 月,
对公司 2011 年相关被评估单位的内部控制的有效性进行了
独立测试。
15
� 五、借助中介机构或外部专家的情况
2011 年,公司根据工作需要,分别聘请了甫瀚咨询(上
海)有限公司和毕马威企业咨询(中国)有限公司提供内控
评估工作技术支援,协助内控工作组开展以下几项工作。
(一)记录阶段
1、新增单位流程记录
内控工作组对 2011 年度新增内控评估单位(贵州公司
和重庆公司)的业务流程进行访谈、记录,编制业务流程图、
风险矩阵并开展穿行测试。由毕马威咨询公司对内控工作组
所编制的流程图初稿、风险矩阵初稿及穿行测试样本进行审
阅并提供反馈建议。
2、补充广州总部非财务报告相关的流程记录
内控工作组根据《内控规范》所规定的评估范围,在原
有萨班斯内控体系的基础上,对照《内控规范》及应用指引
的 18 项内容,补充记录萨班斯法案内控项目中未覆盖的部
分业务流程和内容,主要包括:(1)公司层面中战略发展、
安全、社会责任(环保)的内容;(2)合同管理、对外担保、
对子公司的管理、内部信息传递、业务外包等五个主业务流
程;(3)原九大业务流程中非财务报告相关的内容(原九大
业务流程是指美国萨班斯内控评估流程,包括:销售及促销、
航材管理、飞机及发动机管理、其它固定资产管理、成本费
用支出、资金及投资管理、人力资源、财务报告、一般信息
16
�技术控制)。由毕马威咨询公司对内控工作组所编制的内控
记录初稿、风险矩阵初稿及穿行测试样本进行审阅并提供反
馈建议的服务。
3、风险梳理
根据境内外最新的法律法规及监管地的要求,由甫瀚咨
询公司协助内控工作组对公司内控评估范围内 19 个单位的
风险控制点进行全面梳理,并将其划分为高、中、低三种类
别;按照重要性原则在三类风险控制点中选择关键控制点,
以确定下一阶段内部控制执行有效性测试的工作范围。
4、公司层面内部控制穿行测试
由甫瀚咨询公司协助内控工作组对广州总部公司层面
内部控制进行一次穿行测试,验证公司层面内部控制描述的
真实性和完整性,并识别、汇总公司层面内部控制设计和运
行上的不足之处,提出改善建议。
(二 )测试阶段
由甫瀚咨询公司协助内控工作组根据风险控制点的梳理
结果,对其中 15 个单位业务流程层面的关键控制点进行两
次(上、下半年)执行有效性测试,以识别汇总业务流程层
面内部控制运行上的不足之处,提出改善建议。
六、年度内控评估工作成果
2011 年,公司内控评估工作取得了以下六项成果:
17
� (一)《中国南方航空股份有限公司内部控制规范实施
工作方案》(下简称《实施工作方案》)
在计划阶段,内控工作组对当年内控评估工作进行整体
规划和部署,制定年度内控评估实施方案。方案共分为公司
基本情况介绍、内控工作计划、内部控制审计、内控评估项
目时间推进表四个部分,从项目时间安排、项目评估方法、
项目管理等方面对项目进行具体计划和安排,为项目的有效
开展和顺利实施奠定基础。
(二)公司层面内部控制框架差距分析
内控工作组以公司层面内部控制框架为基础,用问卷的
形式跟踪了解公司层面内部控制活动的发展与变化,记录并
更新公司层面的内控框架结构和具体控制措施,对照内控五
要素进行分析,从中发现在公司层面是否存在内控差距。
(三)业务流程图及描述
在记录阶段,内控工作组按照访谈内容及项目要求编制
业务流程图,并根据业务流程的变化及时更新,形成内部控
制评估的基础,即业务流程层面的流程图及描述。
经统计, 2011 年内控记录阶段,项目工作小组共编制
和更新流程图 2,305 份(其中,编制新增单位流程图 284 份,
编制非财务报告相关流程图 107 份,更新流程图 1,914 份),
并针对上述流程图进行穿行测试,以验证描述的真实性。
2011 年内控记录阶段,参与访谈的公司内部人员 1,539
18
�人,涉及业务单位和部门 155 个(包括广州总部和分、子公
司业务部门),共访谈约 2,700 人次。
(四)风险及内部控制矩阵
通过业务流程图了解流程层面的内部控制措施后,内控
工作组将流程中的风险和相应的控制活动进行总结和归纳,
形成风险及内控矩阵。内控工作组通过对风险及内控矩阵进
行评估,判断现有的控制措施是否可以有效地控制相应的风
险。如果可以,则该内部控制是有效的,否则视为内部控制
缺陷,并提出整改建议。
内控工作组在记录阶段编制风险及内部控制矩阵 134
份,涉及业务流程层面的风险控制点 3,748 个,其中关键控
制点 831 个。
(五)测试底稿和样本
在内控测试阶段,内控工作组针对梳理出的 1188 个测试
点进行测试。根据测试规则和要求,内控工作组对每一个测
试点的测试工作底稿都进行了审核,并检查测试文件,保证
其按照标准的测试样本数量和测试要求收集检查。
(六)缺陷汇总及跟踪整改情况表
针对每项内部控制缺陷和改善机会,内控工作组均提出
了具体的整改建议,各职能部门与业务单位制定了具体的整
改措施并积极落实。内控工作组指定专人定期跟踪整改完成
情况。经评估,截至报告日,公司 2011 年度不存在财务报
19
�告相关及非财务报告相关的内部控制重大缺陷(或重要缺
陷)。
20
�
