企业内部控制评价手册.docx
《企业内部控制评价手册.docx》由会员分享,可在线阅读,更多相关《企业内部控制评价手册.docx(24页珍藏版)》请在冰点文库上搜索。
企业内部控制评价手册
企业内部控制评价手册
第一节总则
第二节职责分工
第三节制定方案
第四节组织实施
第五节缺陷分类
第六节认定程序
第七节评价报告
第八节附则
第一节总则
【制定依据】第一条为了促进集团公司全面评价内部控制的设计与运行情况,规范内部控制评价程序和评价报告,揭示和防范风险,根据有关法律法规、《企业内部控制基本规范》、《企业内部控制评价指引》,制定本手册。
【适用范围】第二条本手册适用于集团公司,分子公司遵照执行。
【术语定义】第三条内部控制评价是指集团公司董事会内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。
内部控制评价是内部监督要素的重要组成部分,是集团公司出于内部管理需求,针对集团公司内部控制设计和运行的有效性实施的检查与评价过程。
内部控制评价的结果应作为集团公司年度内部控制自我评价的重要依据,是年度内部控制考核的重要内容。
【基本原则】第四条集团公司实施内部控制评价应当遵循下列原则:
(1)全面性原则。
评价工作应当包括内部控制的设计与运行,涵盖集团公司、分公司、子公司的各种业务和事项。
(2)重要性原则。
评价工作应当在全面评价的基础上,关注重要业务单位、重大业务事项和高风险领域。
重要性原则主要体现在制订和实施评价工作方案、分配评价资源的过程之中,它的核心要求主要包括两个方面:
一是要坚持风险导向的思路,着重关注那些影响内部控制目标实现的高风险领域和风险点。
二是要坚持重点突出的思路,着重关注那些重要的业务事项和关键的控制环节,以及重要业务单位。
(3)客观性原则。
评价工作应当准确地揭示经营管理的风险状况,如实反映内部控制设计与运行的有效性。
【基本要求】第五条集团公司结合内部控制设计与运行的实际情况,制定本手册,规定评价的原则、内容、程序、方法和报告形式等,明确相关机构或岗位的职责权限,落实责任制,按照规定的办法、程序和要求,有序开展内部控制评价工作。
集团公司董事会对内部控制评价报告的真实性负责。
第二节职责分工
【一般条款】第六条集团公司内部控制评价的参与主体涉及董事会、监事会、经理层、审计部及其他各业务主管部门。
各参与主体在内部控制评价中各司其职、互相制约。
【董事会/审计委员会】第七条董事会负责内部控制的建立、健全和有效实施,对内部控制评价承担着最终的责任。
董事会通过审计委员会来承担对内部控制评价的组织、领导、监督职责。
董事会或审计委员会审定内部控制评价方案,听取内部控制评价报告,审定内部控制重大缺陷、重要缺陷整改意见,对内部控制部门在督促整改中遇到的困难,积极协调,排除障碍。
【监事会】第八条监事会对董事会建立与实施内部控制进行监督。
在内部控制评价工作实施过程中,监事会对内部控制评价报告进行审议,并发表独立意见。
【经理层】第九条经理层应积极支持和配合审计部内部控制评价工作的开展,为其创造良好的环境和条件。
结合日常掌握的业务情况,为内部控制评价提出应重点关注的业务或事项,听取内部控制评价报告,对于内部控制评价中发现的问题和报告的缺陷,要按照董事会或审计委员会的整改意见积极采取有效措施。
【审计部】第十条审计部根据董事会授权承担内部控制评价的具体组织工作和实施任务。
(1)通过复核、汇总、分析内部控制监督资料,结合董事会或审计委员会要求,拟订合理评价工作方案并认真组织实施。
(2)对于评价过程中发现的重大问题,及时与董事会、审计委员会或经理层进行沟通,并认定内部控制缺陷,拟定整改方案,编写内部控制评价报告,及时向董事会、审计委员会或经理层报告。
(3)与外部审计师沟通,督促各部门对内、外部控制评价过程中发现的缺陷进行整改。
(4)根据评价和整改情况拟定内部控制考核方案。
【其他各业务主管部门】第十一条其他各业务主管部门负责组织本部门的内部控制自查测试和评价工作,对发现的设计和运行缺陷提出整改方案和具体整改计划,积极整改,并报送审计部复核,配合审计部及外部审计师开展业务层面内部控制评价工作。
第三节制定方案
【授权条款】第十二条审计部负责拟订年度内部控制评价方案。
审计部应当根据集团公司内部监督情况和管理要求,分析经营管理过程中的高风险领域和重要业务事项,确定检查评价方法,拟订科学合理的评价工作方案。
【方案内容】第十三条评价方案应当包括下列内容:
(1)评价主体范围。
(2)评价内容。
(3)人员组织。
(4)进度安排,包括分子公司内部自评价时间安排。
(5)时间、费用预算。
(6)评价中设计表单。
(7)其他事项。
评价工作方案既以全面评价为主,也可以根据需要采用重点评价的方式。
如果聘用外部中介机构对内部控制进行评价,还应当包括对外部机构的选聘、监督、考核等内容安排。
【评价范围】第十四条根据评价指引要求,实施内部控制评价工作需要遵循“全面性、重要性和客观性”原则。
内部控制自查与评价应坚持以风险为导向,兼顾覆盖面,重点关注高风险领域和业务薄弱环节。
在具体工作中确定评价范围可采取“自上而下、风险导向”的方法来确定自查与评价工作的范围。
确定自查与评价范围包括两个部分:
一是确定哪些分子公司纳入评价范围;二是哪些内容纳入评价范围。
【定量方法】第十五条审计部应当综合运用定量和定性相结合的方法合理确定自查与评价主体范围。
审计部将集团公司所属分子公司按照资产总额从大到小顺序排列。
集团公司单设销售公司,直接纳入评价范围。
集团公司本部必须纳入评价范围。
将分子公司按照资产由大到小进行累加,直至其总和达到整个集团公司总资产的50%,在累加范围内的分子公司、集团公司本部、销售公司初步纳入评价范围,然后进行风险因素的定性分析。
【定性分析】第十六条审计部应当以风险为导向,考虑影响分子公司选择的各种定性因素,对定量确定的分子公司进行调整。
应考虑的定性因素如下:
(1)以前年度各分子公司内控自查与评价情况:
出现缺陷较多或没有被检查的单位,优先纳入自查与评价范围。
(2)机构变动或分子公司负责人变动情况和重视程度:
机构变动、单位负责人发生变动或内控重视不够的单位,优先纳入自查与评价范围。
(3)业务流程在各分子公司的相似性:
业务流程较独特的二级单位,优先纳入自查与评价范围。
(4)流程控制和财务报告体系的集中程度:
集中程度较低的单位,优先纳入自查与评价范围。
(5)风险在各分子公司的分散程度:
风险分散高的单位,优先纳入自查与评价范围。
(6)自查与评价的便利条件及成本效益分析情况:
自查与评价花费成本较高或交通条件不便利的单位,如果没有特殊的风险且收入或资产较小,可不纳入自查与评价范围。
审计部在综合考虑已经确定的重要业务流程和分子公司的基础上,确定分子公司自查与评价的范围。
【评价内容】第十七条内部控制评价范围包括两个方面:
(1)与财务报告相关的内部控制。
(2)非财务报告内部控制。
【财务报告内部控制评价内容确定】第十八条审计部在拟订与财务报告相关的内部控制评价内容时,应考虑下列内容:
(1)需要确定重要性水平。
在确定重要性水平时,需要运用职业判断。
对重要性的判断是根据具体环境作出的,并受错报的金额或性质的影响,或受两者共同作用的影响。
通常以可能影响财务报表使用者所做的经济决策作为出发点,按照某一财务指标的一定比例确定。
重要性水平的确定还需要考虑分子公司的类型、财务报表使用者关注点等定性因素。
(2)在确定了重要性水平之后,应识别财务报表层面的重大账户、重大列报和相关认定。
【确定重大账户】第十九条重大账户是指可能包含重大错报的某一账户(也就是说,就财务报表总体而言,账户是重大的),或与已识别的重大错报风险相关的账户。
在确定哪个账户为重大账户时,需要综合考虑金额标准、风险因素和其他定性考虑因素。
第一,金额标准,账户的金额越大意味着包含的重大错报风险就越大。
因此,账户的金额达到或超过可容忍误差时,该账户可能是重大账户。
第二,风险因素,包括已识别的特别风险是否与某个账户相关,某个账户是否受具有高度不确定性的会计估计的影响等。
在考虑风险因素的情况下识别出来的重大账户,其金额可能小于可容忍误差。
第三,其他定性考虑因素:
a.会计科目核算的业务存在较大的错报和舞弊风险。
b.会计科目核算的业务的交易数量、复杂程度和类似程度。
c.会计科目相关的交易事项本身具有较强的经营风险,可能存在重大的财产损失。
d.会计科目核算的内容存在较强的会计估计和人为判断,会计科目确认记录金额具有一定的不确定性,将此类会计科目确认为重要的会计科目。
e.与或有负债相关的会计科目,由于存在潜在的损失和支付风险,因此将此类会计科目确认为重要会计科目。
f.相关账务处理的确认、金额计算较复杂。
g.本年度新发生的交易或行为所对应的会计科目。
h.会计科目核算内容是否包含大量的关联交易。
【重大列报】第二十条由于所有列报都可能对财务报告使用者的决策产生影响,所以通常所有的列报都是重大的,包括应列报的金额及相关的描述。
同时,还应考虑列报是否充分、适当,并满足规定的列报要求。
【相关的财务报表认定】第二十一条在识别重大账户和列报后,需要确定与这些重大账户和列报相关的财务报表认定,并非所有认定对重大账户而言都是相关的。
【重大业务领域】第二十二条重大业务领域,是指对某一重大账户和列报及其相关财务报表的认定产生重大影响的业务领域,包括生成、记录、处理和报告。
在识别了财务报表的重大账户、重大列报和相关的财务报表认定后需要确定影响每个重大账户和重大列报的、与认定相关的重大业务领域以及相关的信息系统,并将这些业务领域纳入评价范围。
如果一个业务流程由于其复杂性、业务量或其他固有风险因素可能导致重大错报,或受特别风险影响而对重大账户及其相关认定有重要影响,则应将此业务流程确定为重大业务领域。
【非财务报告内部控制】第二十三条审计部在确定非财务报告内部控制时,应当考虑下列内容:
(1)识别与非财务报告相关的风险。
若发生以下现象,则需要将与之相关的业务流程、发生相关事件的分子公司纳入评价工作的范围:
①缺乏民主决策程序,如缺乏“三重一大”决策程序。
②企业决策程序不科学,出现决策失误。
③触犯国家法律、法规,如环境污染。
④管理人员或技术人员纷纷流失。
⑤媒体负面新闻频现。
⑥内部控制评价的结果特别是重大或重要缺陷未得到整改。
⑦重要业务缺乏制度控制或制度系统失效。
(2)在识别出风险后,需要对风险进行分析和评估。
可以从风险发生的可能性和风险影响程度两个方面来判断相关风险是否为重大风险,并按与重大风险相关的业务领域为重要业务领域的思路将相关业务领域纳入评价范围。
重大风险是风险发生的可能性和风险影响程度都较高的风险。
对识别出的非财务报告的风险进行评估后,可以确定重大风险,根据集团公司的风险策略和风险偏好并结合以往的经验,选取纳入评价范围的重大风险。
【考虑信息系统因素】第二十四条在确定评价范围时,还需要关注信息系统对内部控制及风险评估的影响,应当考虑信息系统环境及相关信息系统控制对于重大业务流程的影响,并对相关的信息系统环境的内部控制进行了解、检查和评价。
一个信息系统通常支持一个或多个重大流程,而一个重大业务流程常常有一个或多个信息系统来支持。
因此,在了解完所有重大业务流程及其相关的信息系统环境后,应进行信息系统环境的汇总,并建议建立重大业务流程和相关信息系统的匹配关系表。
与纳入评价范围的重大业务流程相关的信息系统通常应纳入评价范围。
【评价目的与内容】第二十五条内部控制自查与评价目的是查找内部控制设计和执行方面的问题,为内部控制体系的有效性提供合理保证。
内部控制评价应紧紧围绕内部环境、风险评估、控制活动、信息与沟通、内部监督五要素进行,依据《企业内部控制基本规范》、各项应用指引以及集团公司的内部控制制度、内部控制手册,确定具体评价内容,对内部控制设计与运行情况进行全面评价。
【内部环境评价】第二十六条内部环境评价应当包括组织架构、发展战略、人力资源、企业文化、社会责任等方面。
组织架构评价可以重点从机构设置的整体控制力、权责划分、相互牵制、信息流动路径等方面进行;发展战略可以重点从发展战略的制定合理性、有效实施和适当调整三方面进行;人力资源评价应当重点从企业人力资源引进结构合理性、开发机制、激励约束机制等方面进行;企业文化评价应从建设和评估两方面进行,从而促进诚信、道德价值观的提升,为内部控制的完善夯实人文基础;社会责任可以从安全生产、产品质量、环境保护与资源节约、促进就业、员工权益保护等方面进行。
【风险评估评价】第二十七条风险评估评价应当对日常经营管理过程中的目标设定、风险识别、风险分析、应对策略等进行认定和评价。
【控制活动评价】第二十八条控制活动评价应对各类业务的控制措施与流程的设计有效性和运行有效性进行认定和评价。
【信息与沟通评价】第二十九条信息与沟通评价应当对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性,以及利用信息系统实施内部控制的有效性进行认定和评价。
【内部监督评价】第三十条内部监督评价应当对管理层对于内部监督的基调、监督的有效性及内部控制缺陷认定的科学、客观、合理进行认定和评价。
重点关注监事会、审计委员会、内部审计机构等是否在内部控制设计和运行中有效发挥作用。
【内部控制评价核心指标体系】第三十一条审计部应当以内部控制五要素为基础,在规定的评价内容的基础上建立内部控制评价核心指标体系,层层分解、展开,进一步细化。
内部控制评价核心指标体系见附件。
财务报告内部控制核心指标体系见附件。
【审核方案】第三十二条审计委员会负责对审计部拟订的内部控制评价方案进行审核。
审核要点如下:
(1)重点关注时间和进度安排是否适当,是否与内部控制审计衔接。
(2)重点关注确定的重点评价单位、重点评价流程、重点评价账户等是否适当,是否符合风险导向的评价方法。
(3)重点关注设计的评价底稿、汇总表等是否能够满足评价要求。
审计委员会对评价方案进行综合审核后,出具审核意见,报董事会审批。
【审批方案】第三十三条集团公司董事会负责审批内部控制评价方案。
第四节组织实施
【成立评价工作组】第三十四条评价工作组是在审计部领导下,具体承担内部控制检查评价任务。
审计部根据经批准的评价方案,挑选具备独立性、业务胜任能力和职业道德素养的评价人员实施评价。
评价工作组成员应当吸收各部门熟悉业务情况、参与日常监控的负责人或业务骨干参加。
工作组一般以3人为宜,根据评价范围、规模、时间等因素可以成立多个。
【评价培训】第三十五条为了保证现场的自查与评价效果,在确定了自查与评价方案后,审计部应组织相关人员参与相关培训,主要培训内容包括内控自查与评价的基础知识、年度内控自查与评价的重点、底稿编制与填写要求、相关工作与汇报机制等。
评价培训应当注重实效,重点培训资料收集、分析、判断等技术知识。
【现场检查程序】第三十六条实施现场检查程序可以划分为准备阶段、实施阶段、总结阶段。
【准备阶段】第三十七条准备阶段是指从发出检查通知、内控评价工作小组进驻被检查单位开始,直至完成检查计划的工作过程。
这一阶段的主要工作如下:
(1)获取被检查单位的内控手册或业务流程、规章制度等相关文件。
(2)根据被检查单位情况、应用系统情况及检查人员的业务能力确定评价工作组具体的内部分工。
(3)审阅风险控制文档、流程图、权限检查数据文件等相关资料,初步了解流程、重要风险、关键控制措施以及应用系统的关系、信息系统应用控制的内容。
(4)完成检查计划,理清“控制目标”、“控制措施”、“控制编号”以及“检查步骤”等内容。
【实施阶段】第三十八条实施阶段是指从完成初步计划并开始实施,直至完成全部检查步骤的工作过程。
这一阶段的主要工作如下:
(1)对执行控制的人员进行访谈。
访谈内容包括控制的程序和具体内容(做什么)、执行该控制的依据和方法(如何做)等,通过访谈,了解该业务人员对该控制的理解程度。
同时,在检查表中详细记录访谈结果。
(2)结合访谈结果,确定样本总体,并根据控制频率确定样本数量。
(3)根据确定的抽样方法选取样本。
如果从检查起始时间到截止时间,由于业务发生量的限制,无法取得要求的样本量,则应该选取已有的全部样本,同时在检查表中记录样本的选取情况。
具体抽样标准见附件。
(4)对样本进行检查,重点关注:
控制结果是否正确;控制过程是否有效;控制实施证据是否完整有效。
除抽样检查外,还可结合观察、再执行等方法进行检查,记录抽样情况及检查结果。
(5)根据检查结果填写检查底稿,包括“检查步骤及发现”、“检查结论”、“问题说明及原因”等内容。
【检查方法】第三十九条内部控制自查与评价可综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样、比较分析和专题讨论等方法。
评价工作组应当综合运用各种检查方法,收集、汇总评价资料。
【个别访谈法】第四十条个别访谈法主要用于了解公司内部控制的现状,在企业层面及业务层面评价的了解阶段经常使用。
访谈前应根据内部控制评价需求形成访谈提纲,撰写访谈纪要,记录访谈的内容。
【调查问卷法】第四十一条调查问卷法主要用于企业层面评价。
调查问卷应尽量扩大对象范围,包括企业各个层级员工,应注意事先保密性,题目尽量简单易答(如答案只需为“是”、“否”、“有”、“没有”等)。
【穿行测试法】第四十二条穿行测试法是指在内部控制流程中任意选取一笔交易作为样本,追踪该交易从最初起源到最终在财务报表或其他经营管理报告中反映出来的全过程,即该流程从起点到终点的全过程(例如,选取一笔采购申请单,追踪其从采购申请到财务入账的全过程),以此了解控制措施设计的有效性,并识别出关键控制点。
【抽样法】第四十三条抽样法分为随机抽样和其他抽样。
随机抽样是指按随机原则从样本库中抽取一定数量的样本;其他抽样是指人工任意选取或按某一特定标准从样本库中抽取一定数量的样本。
【实地查验法】第四十四条实地查验法主要针对业务层面控制,它通过使用统一的测试工作表,与实际的业务、财务单证进行核对的方法进行控制测试。
如实地盘点某种存货。
【比较分析法】第四十五条比较分析法是指通过数据分析,识别评价关注点的方法。
数据分析可以是与历史数据、行业(公司)标准数据或行业最优数据等进行比较。
【专题讨论法】第四十六条专题讨论法主要是集合有关专业人员就内部控制执行情况或控制问题进行分析,既可以是控制评价的手段,也是形成缺陷整改方案的途径。
此外,还可以使用观察、重新执行等方法,也可以利用信息系统开发检查方法。
【总结阶段】第四十七条总结阶段是指检查人员完成全部检查工作后,对测试内容进行整理分析的过程。
总结阶段包括两个部分:
一是对检查结果进行沟通确认;二是对发现的问题进行分类汇总。
【检查结果确认】第四十八条评价工作组对检查发现的问题与相关人员进行充分沟通,最终达成一致意见后由被检查单位相关人员签字确认。
如被检查单位存在异议,可将其意见一并上报审计部。
【问题分类】第四十九条评价工作组对发现并经被检查单位确认的问题进行分类汇总。
问题分为设计层面和执行层面。
【设计层面】第五十条内部控制评价发现的设计问题可以分为以下几个类别:
(1)应有的控制不存在或者设计不合理。
该类问题是指应该建立的控制、被检查单位没有建立或者建立的控制设计不合理,达不到控制目标。
应有的控制不存在具体表现在,内控相关文档中没有进行相关描述,通过检查发现也没执行该项控制。
如:
被检查单位没有完整准确地描述所确认的关键控制,同时也没有执行;被检查单位没有识别特殊的重要风险。
设计不合理具体表现在即使按设计实施控制,也达不到控制目标。
如:
所确认的关键控制不足以防范主要的财务错报风险。
(2)实际执行的控制没有被记录。
该类问题是指实际执行的控制没有在内控相关文档中进行描述。
(3)设计的控制记录不准确。
该类问题是指内控相关文档描述不准确或不完整,已经影响或者很有可能影响控制的有效实施。
如流程图、风险控制文档描述与实际执行不相符,但是实际执行比描述更恰当。
(4)已有的控制缺乏必要的制度或者制度不完善。
该类问题是指设计的控制措施没有在相关制度文件中规定或规定不准确、不完整。
【执行层面】第五十一条内部控制评价发现的执行问题可以分为以下几个类别:
(1)按授权规定执行控制。
该类问题是指一项关键控制由XX的岗位人员执行或岗位人员的控制权限超过授权范围。
(2)控制执行不完整。
该类问题是指在一项关键控制中,描述了多个作业步骤,但检查时发现实际只执行其中的一部分,没有完整执行该项关键控制的所有作业步骤。
(3)控制执行程序错误。
该类问题是指在一项关键控制中,描述了多个作业步骤,但检查时发现实际执行程序有误,没有按规定的程序或先后顺序执行该项关键控制的所有作业步骤。
(4)不了解如何实施控制导致控制结果不正确。
该类问题是指检查发现关键控制虽然存在实施证据,但是执行控制的人员不了解如何实施控制,造成控制结果不正确。
(5)了解如何实施控制但控制结果不正确。
该类问题是指检查发现关键控制虽然存在实施证据,执行控制的人员也对如何实施控制比较了解,但控制结果不正确。
以编制银行存款余额调节表为例,检查发现银行存款余额调节表编制有误,经了解,编制人员一直从事此工作,业务比较熟悉,只是由于疏忽导致编制有误,这种例外属于了解如何实施控制但控制结果不正确。
(6)缺少重要实施证据。
该类问题是指检查没有发现可以支持控制有效执行的重要实施证据。
如关键的签字、盖章;重要的表单、记录、凭证等。
如检查发现现金盘点表没有监盘人的签字,也没有其他的证据可以证明其实施了监盘。
这种例外属于缺少重要实施证据。
(7)控制实施证据不完整。
该类问题是指检查没有发现重要实施证据,但有其他证据可以表明控制得到有效执行。
如检查发现个别入库单没有验收人员的签字盖章,但有其他相关人员签字,进一步检查发现相关发票、送货单等资料齐全、内容与入库单货物名称、数量、价格一致,结合访谈了解可能是因为样本总体较多,导致出现漏签的现象。
这种例外属于控制实施证据不完整。
【评价报告】第五十二条评价工作组汇总评价人员的工作底稿,根据本手册对内部控制缺陷的分类初步认定内部控制缺陷,形成现场评价报告。
评价工作底稿应进行交叉复核签字,并由评价工作组负责人审核后签字确认。
评价工作组将评价结果及现场评价报告向被评价单位进行通报,由被评价单位相关责任人签字确认后,提交审计部。
第五节缺陷分类
【基本要求】第五十三条审计部应当编制内部控制缺陷认定汇总表,结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况,对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核,提出认定意见,重大缺陷应当由董事会予以最终认定。
内部控制缺陷认定汇总表见附件。
【分类1】第五十四条按照内部控制缺陷成因或来源,内部控制缺陷包括设计缺陷和运行缺陷。
【设计缺陷】第五十五条设计缺陷是指缺少为实现控制目标所必需的控制,或现存控制设计不适当,即使正常运行也难以实现控制目标。
【运行缺陷】第五十六条运行缺陷是指设计有效(合理且适当)的内部控制由于运行不当(包括由不恰当的人执行、未按设计的方式运行、运行的时间或频率不当、没有得到一贯有效运行等)而形成的内部控制缺陷。
【分类2】第五十七条按照影响内部控制目标实现的严重程度,内部控制缺陷分为一般缺陷、重要缺陷和重大缺陷。
【重大缺陷】第五十八条重大缺陷是指一个或多个控制缺陷的组合,可能导致集团公司严重偏离控制目标。
当存在任何一个或多个内部控制重大缺陷时,应当在内部控制评价报告中
升级会员 