建工集团内部控制评价手册.doc
《建工集团内部控制评价手册.doc》由会员分享,可在线阅读,更多相关《建工集团内部控制评价手册.doc(27页珍藏版)》请在冰点文库上搜索。
建工集团内部控制评价手册
目录
一、手册概述 3
(一)目的 3
(二)适用范围和注意事项 3
(三)评价依据 3
(四)遵循原则 3
(五)手册制定及更新 4
二、内部控制评价工作流程 5
(一)评价启动和准备阶段 5
(二)内部控制评价实施阶段 5
(三)内部控制缺陷的认定及整改阶段 6
(四)评价报告编制及汇总阶段 6
三、内部控制评价内容及要求 7
(一)内部控制评价内容 7
(二)内部控制评价要求 8
四、内部控制评价测试方法 9
(一)访谈 9
(二)穿行测试:
10
(三)控制测试 11
五、内部控制缺陷的认定及整改 14
(一)内部控制缺陷的分类及认定 14
(二)内部控制缺陷的汇总 15
(三)内部控制缺陷的整改 16
(四)整改结果的验证 16
六、内部控制评价报告 18
七、附表 19
附表一:
企业层面-内部控制评估底稿 20
附表二:
流程层面-风险控制矩阵及控制测试底稿 21
附表三:
流程层面-内部控制评价工作底稿 22
附表四:
内部控制评价缺陷及跟踪整改汇总表 24
附表五:
内部控制评价缺陷统计表 25
第27页共27页
一、手册概述
(一)目的
建工集团按照国家有关部门和上市公司监管机构关于建立和完善企业内控体系的有关要求,结合企业内部控制设计与运行的实际情况,编制本《内部控制评价手册》,用以指导全系统内部控制自我评价(以下简称“内控评价”)工作,以推动和规范全公司内控评价工作。
(二)适用范围和注意事项
本《内部控制评价手册》适用于建工集团及下属各单位内控评价工作。
由于内部控制本身的局限性,本手册并未涵盖所有的内部控制环境要素和控制流程,所涉内容并非一成不变,各单位应按照《企业内部控制基本规范》和《企业内部控制评价指引》的要求,结合单位自身业务、管理实际,参照本手册的基本内容要求,开展内控评价工作。
(三)评价依据
1.财政部等五部委《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》。
2.国资委《中央企业全面风险管理指引》。
3.上交所《上海证券交易所上市公司内部控制指引》。
4.监管部门相关规定。
5.股份公司《内部控制体系运行管理办法》、《内部控制流程汇编》等内控体系文件。
6.股份公司及所属单位各项管理制度。
7.业务流程及说明、控制文档、风险矩阵、风险库、缺陷跟踪报告等。
8.各项管理、技术规范和标准等其他有关规定。
(四)遵循原则
内控评价应遵循以下原则:
1.全面性原则:
涵盖企业及其所属单位的业务事项的内部控制设计和运行。
2.重要性原则:
在全面评价的基础上,关注重要业务单位、重大业务事项和高风险领域。
3.客观性原则:
准确地揭示经营管理的风险状况,如实反映内部控制设计与运行的有效性。
4.整改提高原则:
重点查找整改企业存在的控制缺陷,促进企业提高管理水平。
(五)手册制定及更新
本手册由股份公司内部控制评价主责部门依照相关法律法规,结合股份公司内、外部情况和公司内部控制管理要求制定,并下发各单位参照实施。
本手册将根据内外部环境、组织架构、管理要求、重大风险的变化及内外部检查评价的结果以及执行中的问题,适时更新、完善。
二、内部控制评价工作流程
根据《企业内部控制评价指引》的要求,内部控制评价程序一般包括:
制定评价工作方案、组成评价工作组、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等环节。
按照推进内容分为内控评价启动和准备阶段、内控评价实施阶段、内控缺陷认定及整改阶段和评价报告编制及汇总阶段等。
(一)评价启动和准备阶段
本阶段工作主要包括编制评价工作方案,确定内控评价工作机构,确定评价工作使用的文档模板,开展评价人员培训,召开内控评价工作启动会等。
1.编制内控评价工作方案
各单位应依据相关法律法规、监管要求及股份公司内部控制评价工作总体安排,结合企业实际情况,由评价主责部门制定企业内控评价工作方案,经董事会审批后以公司文件发布实施。
内控评价方案应至少包含以下内容:
(1)内控评价工作的目标、方法、机构、人员组织、时间安排等;
(2)内控评价工作所关注的重点测试领域;
(3)根据公司的具体情况,安排部署有关内控评价工作。
2.确定内部控制评价工作机构
各单位应根据内控评价的要求,结合企业实际情况,明确组织领导,确定内部控制评价工作组,落实相应的工作职责,具体组织开展本单位内部控制评价工作。
评价机构的组成和人员数量、结构,应结合业务内容、工作量、人员水平和独立性等因素考虑。
评价工作组成员至少应包括主要业务管理部门人员。
注:
内控评价的独立性是指内控评价时应尽量避免评价人员评价本部门相关的内部控制。
(二)内部控制评价实施阶段
内部控制评价工作实施的主要程序如下:
1.各单位评价工作组应当根据批准的评价方案,参照本手册规定的内容和要求,开展对本单位职责范围内的内控评价工作。
各单位应召开内控评价工作会,进行宣传、动员,对开展内控评价作出部署,提出要求。
2.各单位应依据公司所处的经营环境及面临的主要管控问题,识别和评估本单位业务和管理流程中的风险事项,从而确定本单位的主要管理问题和风险管控重点。
3.各单位应在内控评价实施过程中,选择适当的评价方法进行必要的测试,获取充分、相关、可靠的证据对内部控制的有效性进行评价,对自身的关键控制点进行测试.
4.评价工作组人员应针对流程中存在的具体风险点,评价控制措施是否设计有效、控制是否到位,是否能够合理保证控制目标的实现等进行检查评价,如存在异常,则进一步分析原因,得出评价结果,并做出记录,确认内控缺陷和不足。
股份公司总部评价工作组在评价实施阶段,将选派工作人员对所属单位进行抽查,检查评价工作的开展,确保评价质量。
抽查内容主要为对各单位报送的自我检查评价工作底稿和评价报告进行真实性、合理性的抽查和复核。
(三)内部控制缺陷的认定及整改阶段
各单位应对评价过程中的异常原因进行分析,找到差距,分析可能带来的后果,并进行缺陷认定。
对内部控制缺陷的认定,应当由各单位评价工作组进行综合分析后提出认定意见,按照规定的权限和程序进行审核后予以最终认定。
认定的控制缺陷,需提出整改建议。
整改建议须内容具体,切实可行。
存在缺陷的部门或单位应制定整改方案。
整改方案应符合有针对性、可衡量、可完成、符合现实情况以及及时性等原则。
各单位须填写附表四《内部控制评价缺陷及跟踪整改汇总表》,按照整改方案进行整改。
(四)评价报告编制及汇总阶段
在内部控制评价实施和内控缺陷梳理及整改工作完成后,各单位应按照《基本规范》、《应用指引》和《评价指引》的要求,编写本单位《内部控制评价报告》。
评价报告应当根据年度内部控制评价结果,结合内部控制评价工作底稿和内部控制缺陷汇总表等资料,按照规定的程序和要求,及时编制。
经本单位董事会或单位权力机构批准后报送股份公司内部控制评价工作组。
总部内控评价工作组将在抽查和复核的基础上,分析、汇总股份公司总部和各单位的内部控制检查评价结果,综合判断公司整体控制的有效性,编制股份公司内部控制评价报告,提交公司管理层和董事会审议通过后对外披露。
三、内部控制评价内容及要求
(一)内部控制评价内容
内控评价工作主要分为企业层面内部控制评价和流程层面内部控制评价两个方面进行,具体介绍如下:
1.企业层面内部控制评价
企业层面控制是指对企业控制目标的实现具有重大影响,与内部环境、风险评估、信息与沟通、内部监督直接相关的控制。
企业层面控制是内控梳理工作的起点,是业务流程控制的基础。
企业层面控制的缺陷往往会对整个内部控制的有效性产生重大影响。
测试企业层面控制,应当把握重要性原则,至少应当关注:
(1)与内部环境有关的控制。
(2)针对董事会、经理层凌驾于控制之上的风险而设计的控制。
(3)企业的风险评估过程。
(4)对内部信息传递和财务报告流程的控制。
(5)对控制有效性的内部监督和自我评价。
企业层面控制环境是整个内控活动的前提和基础,对企业内控的效率和效果起关键作用。
针对控制环境关键要素进行评价,能直接反映出各单位的企业层面控制环境建立、维护和执行情况。
各单位应结合企业实际情况,将企业层面内部控制环境细分,针对具体要素,设定具体控制活动和检查方法,并完成附表一《企业层面-内部控制评估底稿》,评价控制的合理性和有效性。
2.流程层面内部控制评价
流程层面控制是指企业在实际业务操作中,综合运用各种控制手段和方法,针对具体业务和事项实施的控制。
流程层面控制评价的基础是流程,从主要风险出发,按照重要性的原则,根据流程中的具体风险、管理重点和责任主体,进行控制活动的评估和内部控制的自我检查和评价。
评价工作组应当按照《评价指引》的要求,针对所处经营环境和面临的主要风险和主要管理问题的变化,通过适当的方法(如访谈、专题讨论)收集、确认、分析相关信息,重新评估本单位与实现控制目标相关的风险,选定重要流程,制定、改进或更新流程风险、控制活动和检查评价方法,完成附表二《流程层面-风险控制矩阵及控制测试底稿》。
各单位应参考《基本规范》及《应用指引》的要求,结合公司风险评价结果,由内控评价主责部门确定内控评价所需涉及的业务流程。
现有业务流程划分如下:
控制活动
1)资本运营流程
2)采购管理流程
3)财务管理流程
4)公司治理流程
5)综合管理流程
6)安全质量环保流程
7)人力资源管理流程
8)管理结构流程
9)法律事务管理流程
10)合同管理流程
11)国内业务管理流程
12)国际业务管理流程
13)运营监控流程
14)信息管理流程
15)战略管理流程
(二)内部控制评价要求
各单位评价工作组应按照公司内部控制评价实施方案,组织人员,兼顾全面、有重点,按时、保质开展内控评价工作。
1.评价工作重点。
结合本单位实际情况,重点考虑:
(1)流程和制度设计的有效性。
主要检查是否涵盖了本单位经营管理中需关注的重点问题及重点风险;是否明确了各项经营活动的管理要求;风险控制措施是否存在缺陷和漏洞,能否防范经营管理中的不规范行为,有效降低和控制经营管理中的风险;是否制定了清晰、明确的业务流程,流程的起点、终点以及中间涉及的各控制点、控制标准、各个岗位间的职责分工是否明确。
(2)流程和制度运行的有效性。
主要检查各项经营活动是否按已制定的流程文档规范执行;是否保留了完整和可靠的文档记录时,要注意验证每个业务控制环节,核实实际执行情况与流程图、流程描述及风险控制文档的描述是否一致;验证业务活动所经过的流程和控制是否有完整和可靠的文档记录,是否保留了控制实施证据。
在验证业务控制流程设计和执行的一致性时,从业务发生开始,抽取一定数量的样本,通过对业务申请、审批、执行、过程记录、款项收付到财务处理全过程测评,验证业务控制流程设计和执行是否一致。
2.评价方法的选择。
根据评价项目的不同,应当综合考虑选择一种或多种评价方法进行评价,获取充分、相关、可靠的证据对内部控制的有效性进行评价,并做出书面记录。
四、内部控制评价测试方法
内部控制评价和测试通常采用如下几种方法:
(1)个别访谈法:
根据内控评价需要,对被评价部门负责人或员工进行单独访谈,以获取有关信息。
(2)标杆法:
通过将被评价部门(项目),与公司内外部相同或相似经营活动的最佳实务进行比较,从而对控制设计的有效性进行评价。
(3)穿行测试法:
通过抽取一套贯穿流程全过程的业务记录文档,来了解整个业务流程执行的情况。
(4)抽样法:
针对具体的内部控制业务流程,按照业务发生频率及所管控风险的高低,从确定的抽样总体中抽取一定比例的业务样本,对业务样本的符合性进行判断,进而对业务流程控制运行的有效性做出评价。
(5)实地查验法:
公司对财产进行盘点、清查,以及对存货出、入库等控制环节进行现场查验。
(6)专题讨论法:
通过召集与业务流程相关的相关人员就业务流程的特定项目或具体问题进行讨论及评估。
内部控制评价测试时应重点关注公司识别出的企业层面和流程层面的风险及其应对措施,采取访谈法、穿行测试法等方法,对企业现有内部控制的设计与运行的有效性进行穿行测试评价,同时应采用标杆法、抽样法、实地检查法等手段针对公司的业务管理流程及其内部控制措施运行的有效性进行控制测试评价。
(一)访谈
访谈(个别访谈法),访谈工作是指通过直接的、单独的访问,对公司的战略、业务、流程、制度、人事等方面进行全方位的了解,通过交流找到目前工作中的重点、难点或者障碍,明确评价工作的关注要点和关键环节。
1.访谈目的:
(1)深入、确切地了解各流程的实际操作状况;
(2)与管理层讨论、确定目前的执行步骤是否符合公司相关规章制度的规定,是否能够应对行业的最新变化和发展;
(3)对访谈过程中了解到的风险点和控制点进行记录;
(4)对目前存在的问题进行记录;
(5)对存在问题或可能的风险的解决方案或思路进行初步沟通。
2.制定访谈计划:
内控评价工作组需制定企业层面控制相关领域和流程层面各业务流程的访谈计划。
访谈计划应该建立在审阅了企业层面和业务层面相关控制文档的基础上,如内控体系文件等,以便能够在访谈之前对被评价单位的控制活动有一个较为全面的认识和理解,从而更有针对性的发问,有助于节省访谈时间。
访谈计划需要根据各个相关领域和各个业务流程的特点,有针对性地安排访谈对象,合理规划访谈时间,保证访谈质量,降低重复访谈次数。
在访谈计划中需要填列涉及的控制领域(企业层面控制访谈)或业务流程名称和流程负责人(业务层面控制访谈)、被访谈部门、被访谈人名称及职位、计划访谈日期及时间、主要访谈内容以及访谈人信息。
访谈之前需将访谈计划发给被访谈人以便其提前准备访谈内容并安排合适的受访时间。
3.访谈内容:
了解内控体系文件所描述的企业层面各领域的风险和控制情况,确认实际的风险点和控制点是否发生变化。
在访谈过程中需要按照流程涉及到的业务,对风险点和控制活动进行访谈。
4.访谈形式:
采用面对面的方式进行访谈。
5.访谈记录:
所有访谈内容形成书面访谈纪要,并进行编号、留档。
6.根据访谈结果更新《企业层面-内部控制评价底稿》:
根据访谈获取的信息,填制或更新《企业层面-内部控制评价底稿》,具体格式请参见附表一《企业层面-内部控制评估底稿》。
(二)穿行测试:
穿行测试主要运用穿行测试法。
通过抽取一套贯穿流程全过程的业务记录文档,来了解整个业务流程执行的情况,主要测试内部控制设计的有效性。
穿行测试是对流程描述的检测。
流程描述是对公司现有业务流程现状的记录,即每个步骤的具体工作内容、关注要点以及每个步骤使用的表单。
1.测试目的:
验证控制描述或流程描述中所记录的控制内容是否正确,各环节是否按照其相关规定运行,是否存在控制设计及执行缺陷。
2.测试对象:
各公司层面控制领域和业务流程各子流程的所有控制点,包括关键控制点和非关键控制点。
3.测试频率:
穿行测试为每年进行一次。
4.测试执行人员:
需要严格贯彻内控测试的独立性原则,即某一控制的实际操作人员需要回避相关控制的任何测试。
5.样本选取原则:
(1)样本必须能够代表该领域或该子流程的典型业务及操作流程
(2)样本需要尽可能覆盖该领域或该子流程的所有控制点;
(3)对于那些确实无法被覆盖的控制点,可以单独选取额外样本进行测试;
(4)必须随机选取,采用统计抽样的方法。
6.样本数量:
根据在风险识别和控制识别工作过程中划分出的各个业务子流程,并对每个子流程中的控制点选取一个样本进行测试。
7.记录样本:
(1)对于穿行测试过程中取得所有样本资料,均需要进行复印、编号,并单独存档保管;
(2)记录测试结果(异常/无异常/不适用);
(3)对于出现异常的控制点,需要详细描述样本的异常特征,并标注相应留档纸质文档编号。
(三)控制测试
控制测试需要综合运用抽样法、标杆法和实地查验法。
针对具体的内部控制业务流程,按照业务发生频率及所管控风险的高低,从确定的抽样总体中抽取一定比例的业务样本,参照控制的标准程序或最佳实践,对业务样本进行实地查验,并对其符合性进行判断,进而对业务流程控制运行的有效性做出评价的测试。
控制测试的主要评价对象是控制点,尤其是符合性测试中证明为有效的关键控制点。
控制点是指管理层在日常运营过程中为达到有效抑制来自内部和外部的不同风险,保证整个经营活动结果运行的正确性,而设置的环节。
例如对经营活动中产生的各类数字进行复核,或对各类经济活动进行事前审批和事后检查等。
关键控制点是指管理层所依赖的,在合理的范围内支持管理层防范和发现重大风险的控制点。
关键控制点的失败不仅影响管理层实现流程目标的能力,还影响财务报表控制目标。
每一条风险至少需有一个关键控制点与其对应。
若某风险没有关键控制点与其相对应,则此处直接确认为控制设计缺陷,进入缺陷记录及评价步骤。
1.测试目的:
确认各子流程中关键控制点是否执行有效。
2.测试对象:
各子流程中的关键控制点。
3.测试频率:
全面控制测试建议每年至少进行一次;对于一些风险较大的子流程,可自行考虑是否增加测试频率。
4.测试执行人员:
需要严格贯彻内控测试的独立性原则,即某一子流程的实际操作人员需要回避该子流程的任何测试。
5.测试方法:
共有四种测试方法可供选择:
§询问(可选):
(1)首先询问控制执行人是否了解其控制目的及执行方法;
(2)其次询问是否在日常工作中实际实施控制,且具体如何操作;
(3)重点关注操作有哪些证据及相关文档如何保管等。
§观察(可选):
(1)观察员工执行控制步骤;
(2)可能需要其他跟进测试;
(3)文档记录要求:
谁,什么时候,观察的结果。
§审阅、检查控制执行证据(必选):
(1)获得控制执行相关证据(例如经签批的文件等);
(2)审阅文档记录或报告,查看是否留有控制执行的痕迹(例如签字、邮件、通话记录等);
(3)评价控制执行是否有效、符合规定(例如审批是否经过适当的人,在适当的时间执行等);
(4)记录所获取的证据,并对测试过程、测试结果及结论进行书面记录。
§测试执行人重新执行控制操作以验证是否控制执行有效(可选):
例如:
测试执行人重新计算当月住房公积金,以验证所计提及上交的住房公积金是否正确。
6.制定控制测试计划:
由于业务层面的控制测试存在样本选取数量较为复杂、需要消耗较多人力和时间,因此在正式进行控制测试之前,应拟定控制测试计划,以便更好地实施测试工作,明确责任人,严格控制测试成本。
7.样本选取原则:
(1)针对每个关键控制点独立选取样本,样本只需覆盖被测试控制点即可,不需要覆盖流程中的其他控制活动;
(2)必须随机选取,采用统计抽样的方法;
(3)避免选取穿行测试中已经测试的样本;若穿行测试中测试的为唯一样本,则控制测试结果可以直接根据穿行测试结果确认。
8.样本数量与测试结论:
(1)针对每年发生一次的业务,直接选取该笔业务;若该笔业务出现异常,则该控制点测试结论为控制失效;
(2)针对发生频率介于每年一次至每季度一次的业务,随机抽取当年发生的不少于2个样本;若任何一个样本出现异常,则该控制点测试结论为控制失效;
(3)针对发生频率介于每季度一次至每月一次的业务,在全年随机选取不少于4个样本;若任何一个样本出现异常,则该控制点测试结论为控制失效;
(4)针对发生频率介于每月一次至每周一次的业务,在全年随机抽取不少于12个样本;若任何一个样本出现异常,则该控制点测试结论为控制失效;
(5)针对发生频率介于每周一次至每天一次的业务,在全年随机抽取不少于20个样本;若2个或以上样本存在异常,则测试结论为控制失效;若其中一个样本出现异常,需增加不少于3个样本进行补充测试,补充样本的任何一个出现异常,则测试结论为控制失效;
(6)针对每天多次发生的业务(常规业务),在全年随机抽取不少于30个样本;若2个或以上样本存在异常,则测试结论为控制失效;若1个样本出现异常,需增加不少于15个样本进行补充测试,补充样本的任何一个出现异常,则测试结论为控制失效;其余情况均视为控制被有效执行。
样本数量和测试结论的确定可参见下表:
发生
频率
初始样本数量(不少于)
异常样本数量
补充样本数量
新异常样本数量
测试结论
每年一次
1
0
-
-
控制有效
1
-
-
控制失效
每年一次以上至每季度一次
2
0
-
-
控制有效
1
-
-
控制失效
每季度一次以上至每月一次
4
0
-
-
控制有效
1
-
-
控制失效
每月一次以上至每周一次
12
0
-
-
控制有效
1
-
-
控制失效
每周一次以上至每天一次
20
0
-
-
控制有效
1
3
0
控制有效
≥1
控制失效
≥2
-
-
控制失效
每天多次
30
0
-
-
控制有效
1
15
0
控制有效
≥1
控制失效
≥2
-
-
控制失效
9.记录样本:
(1)对于控制测试过程中取得的无异常样本,不需要复印留底;
(2)对于存在异常内容的样本,均需要进行复印、编号,并单独存档保管;
(3)采用附表三《流程层面—内部控制评价工作底稿模板》进行样本记录;
(4)根据附表三,描写所有进行测试的控制行动步骤;
(5)根据附表三,描述取样方法及取样数量(例如随机选取);
(6)对于个别控制步骤采用的替代样本,需要描述替代样本、替代样本的选取方法,以及采用替代样本的原因(原有样本为何不适用);
(7)根据附表三列示内容,填写每个样本所有特征(包括异常部分),并标注相应留档纸质文档编号;
(8)需要在底稿中简要描述造成样本异常的原因(如“XX办事处2011年XX周的《办事处周报》中没有包含排产合同转正的情况及各项目回款的情况等),并标注相应留档纸质文档编号;
注:
在每张底稿上都应标注测试结论(控制有效或控制失效)。
五、内部控制缺陷的认定及整改
内控缺陷是指某个控制的设计或运行使管理层或公司员工在日常工作中不能及时预防或者查找错误,从而导致对业务的控制失效或部分失效的行为。
(一)内部控制缺陷的分类及认定
1.缺陷的分类
(1)内控缺陷按照缺陷类型分可以分为设计缺陷和执行缺陷。
设计缺陷:
是指公司在设计内控系统时,可能存在设计漏洞,使某些风险的防范措施缺失或并不完整,必要的控制或者控制的必要成分缺失,导致这个控制不能满足控制目标从而导致公司发生损失的可能性增加。
设计缺陷既可以是自动系统的设计缺陷,也可以是手工控制的设计缺陷。
设计缺陷强调的是必要的控制或者控制的必要成分缺失,或者某个现有的控制不合理,导致这个控制不能满足控制目标。
这样的缺陷称为控制设计缺陷。
例如,缺少绩效考核机制、缺少合理的事前审批机制等。
控制设计缺陷多在穿行测试中发现。
执行缺陷:
是指控制设计完好,但没有被正确地执行的控制,该部分控制已经包含在现有内控体系中,但却因为各种原因在实际操作中未能被执行或未能被完整执行的控制。
执行缺陷强调的是一个完好设计的控制没有如设计那样被实际运行。
例如,公司具有明确的事前审批规定,但在实际操作中,并未按照要求执行相关审批等。
控制执行缺陷多在控制测试中发现。
(2)内控缺陷按照其影响整体控制目标实现的严重程度,可分为一般缺陷、重要缺陷和重大缺陷。
一般缺陷,是指内控设计或者运行无法使管理层或员工在执行指定任务的正常过程中,及时防止或发现错报,也称为一般内部控制缺陷。
重大缺陷,是指一个或多个一般
升级会员 