内部控制评价手册模板Word文档格式.docx
《内部控制评价手册模板Word文档格式.docx》由会员分享,可在线阅读,更多相关《内部控制评价手册模板Word文档格式.docx(68页珍藏版)》请在冰点文库上搜索。
4.参考表单、模板43
4.1附件143
4.2模板149
4.4模板351
4.5模板452
4.6模板553
4.7模板654
4.8模板755
4.9模板856
4.10模板957
4.11模板1058
4.13模板1261
1.内部控制评价总则
1.1内部控制评价基本介绍
1.1.1内部控制评价的作用
第一,内部控制评价有助于企业自我完善内控体系。
内部控制评价是通过评价、反馈、再评价,报告企业在内部控制建立与实施中存在的问题,并持续地进行自我完善的过程。
通过内部控制评价查找、分析内部控制缺陷并有针对性地督促落实整改,可以及时堵塞管理漏洞,防范偏离目标的各种风险,并举一反三,从设计和执行等全方位健全优化管控制度,从而促进企业内控体系的不断完善。
第二,内部控制评价有助于提升企业市场形象和公众认可度。
企业开展内部控制评价,需形成评价结论,出具评价报告。
通过自我评价报告,将企业的风险管理水平、内部控制状况以及与此相关的发展战略、竞争优势、可持续发展能力等公布于众,树立诚信、透明、负责任的企业形象,有利于增强投资者、债权人以及其他利益相关者的信任度和认可度,为自己创造更为有利的外部环境,促进企业的长远可持续发展。
第三,内部控制评价有助于实现与政府监管的协调互动。
政府监管部门有权对企业内部控制建立与实施的有效性进行监督检查。
实施企业内控自我评价,能够通过自查及早排查风险、发现问题,并积极整改,有利于在配合政府监管中赢得主动,并借助政府监管成果进一步改进企业内控实施和评价工作,促进自我评价与政府监管的协调互动。
1.1.2内部控制评价的对象
内部控制评价是对内部控制适当性、有效性发表意见。
(1)内部控制系统的适当性,即控制系统能否适当保证企业的任务和目标有效率地完成,这里主要考虑成本效益问题,避免内控过度给企业造成效率低下和浪费。
(2)所谓内部控制有效性,是指企业建立与实施内部控制对实现控制目标提供合理保证的程度,包括内部控制设计的有效性和内部控制运行的有效性。
其中,内部控制设计的有效性,是指为实现控制目标所必需的内部控制要素都存在并且设计恰当;
内部控制运行的有效性,是指现有内部控制按照规定程序得到了正确执行。
评价内部控制运行的有效性,应当着重考虑以下几个方面:
(1)相关控制在评价期内是如何运行的;
(2)相关控制是否得到了持续一致的运行;
(3)实施控制的人员是否具备必要的权限和能力。
1.2内控手册简介
1.2.1适用范围
本手册适用于XXXX股份有限公司(以下称“公司”)总部及所属分、子公司。
1.2.2目标
本手册实施应达以下几个目标:
(1)贯彻落实XXXX股份有限公司有关内部控制的基本要求和公司《内部控制管理手册》,建立统一、规范的内部控制评价标准,明确评价职责权限,汇编成本《内部控制评价手册》。
(2)建立内部控制评价与改进机制,将评价、自我改进的方法和理念引入内部控制检查评价工作,促使公司各部门、各单位在管理过程中,不断进行自我总结和自我完善。
1.2.3手册制定与修订程序
(1)本手册每年应根据内外部环境、组织架构、管理要求和管理问题、重大风险的变化以及公司各部门、各业务单位的改进建议、内外部检查评价的结果,适时更新。
(2)本手册在公司业务发生变化,或相关法律、法规出现新变化,或出现其他有必要修改的情形时,需要实施修订程序。
(3)本手册的今后修订由公司审计部牵头,并由公司董事会办公室、内部审计部共同成立内部控制评价手册修订项目小组。
项目小组应及时制订与相关的规章制度,并收集相关配套的国家政策、法规,汇集后及时修订本手册。
(4)本手册每次修订时应将修订版本号、修订日期、修订生效日期、批准人、主要修订内容记录在表1:
内部控制评价手册修订记录所列示的条目中。
表1:
内部控制评价手册修订记录
修订
记录
日期:
年月日
修订人:
审批人:
原文:
修订原因:
修订:
2.内部控制评价的内容与方法
2.1内部控制评价的内容与原则
2.1.1内部控制评价的内容
《企业内部控制评价指引》第五条到第十条具体介绍了内部控制评价内容。
内部控制评价应紧紧围绕内部环境、风险评估、控制活动、信息与沟通、内部监督五要素进行,公司应结合《企业内部控制基本规范》、各项应用指引以及本公司的内部控制制度,确定具体评价内容,对内部控制设计与运行情况进行全面评价。
内部环境评价应当包括组织架构、发展战略、人力资源、企业文化、社会责任等方面。
组织架构评价可以重点从机构设置的整体控制力、权责划分、相互牵制、信息流动路径等方面进行;
发展战略可以重点从发展战略的制定合理性、有效实施和适当调整三方面进行;
人力资源评价应当重点从企业人力资源引进结构合理性、开发机制、激励约束机制等方面进行;
企业文化评价应从建设和评估两方面进行,从而促进诚信、道德价值观的提升,为内部控制的完善夯实人文基础;
社会责任可以从安全生产、产品质量、环境保护与资源节约、促进就业、员工权益保护等方面进行。
风险评估评价应当对日常经营管理过程中的目标设定、风险识别、风险分析、应对策略等进行认定和评价。
控制活动评价应对企业各类业务的控制措施与流程的设计有效性和运行有效性进行认定和评价。
信息与沟通评价应当对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性,以及利用信息系统实施内部控制的有效性进行认定和评价。
内部监督评价应当对管理层对于内部监督的基调、监督的有效性及内部控制缺陷认定的科学、客观、合理进行认定和评价。
重点关注监事会、审计委员会、内部审计机构等是否在内部控制设计和运行中有效发挥作用。
企业应当以内部控制五要素为基础,建立内部控制核心指标体系,在以上评价内容的基础上,层层分解、展开,进一步细化,以下列举了可供参考核心指标(见附件1:
内部控制评价核心指标)。
对于内容不能详尽的,如控制活动涉及方方面面的业务,可以另外按业务列表增加。
具体评价内容确定后,根据《企业内部控制评价指引》第十一条规定,内部控制评价工作应形成工作底稿,详细记录企业执行评价工作的内容,包括评价要素、主要风险点、采取的控制措施、有关证据资料以及认定结果等。
工作底稿可以通过一系列评价表格加以实现。
2.1.2内部控制评价的原则
内部控制评价的原则是开展评价工作应该注意的原则,与内部控制的原则不完全相同。
根据《评价指引》第三条规定,企业对内部控制评价至少遵循以下原则:
全面性原则、重要性原则和客观性原则。
(1)全面性原则。
全面性原则强调的是内部控制评价的涵盖范围应当全面,具体来说,是指内部控制评价工作应当包括内部控制的设计与运行,涵盖企业及其所属单位的各种业务和事项。
(2)重要性原则。
重要性原则强调内部控制评价应当在全面性的基础之上,着眼于风险,突出重点。
具体来说,主要体现在制订和实施评价工作方案、分配评价资源的过程之中,它的核心要求主要包括两个方面:
一是要坚持风险导向的思路,着重关注那些影响内部控制目标实现的高风险领域和风险点;
二是要坚持重点突出的思路,着重关注那些重要的业务事项和关键的控制环节,以及重要业务单位。
(3)客观性原则。
客观性原则强调内部控制评价工作应当准确地揭示经营管理的风险状况,如实反映内部控制设计和运行的有效性。
只有在内部控制评价工作方案制定、实施的全过程中始终坚持客观性,才能保证评价结果的客观性。
2.2重要业务单位确认
2.2.1范围
本节阐述了业务单位分类、业务单位分类方法、覆盖率计算标准、重要业务单位的确认、确定被测试单位需要考虑的因素及测试内容等。
本规范适用于在公司层面统一确认重要业务单位的全过程。
2.2.2术语和定义
(1)业务单元
业务单元是指所属单位(包括分公司、控股子公司和参股公司)的各业务单元。
①重要业务单位
重要业务单位是指为了确定测试范围,依据对公司的财务报告有重大影响这一原则,确定的业务单元。
②特殊业务单位
特殊业务单位是指单个业务单元对公司的财务报告没有重大影响,但是汇总后对公司的财务报告具有重大影响的业务单元。
③一般业务单位
一般业务单位是指单个业务单元对公司的财务报告没有重大影响,汇总后对公司财务报告也没有重大影响的业务单元。
(2)覆盖率
覆盖率是指所有重要业务单位的总资产和销售收入占公司合并财务报告中总资产和销售收入的比率,以及所有重要业务单位的资产负债表、利润表中每个重要会计科目累计之和占公司合并资产负债表、利润表中每个重要会计科目的比率。
(3)不重要
不重要是用来设定一个较低的限额,以相关的限制性指导原则为基础,通常不超过税前利润(损失)的0.5%~1%,并且根据定性因素,有可能更低。
2.2.3一般原则
重要业务单位的确认应以所有公司层面合并报表业务单元为对象进行,通过评估各业务单位与财务报告有关的定量、定性因素,确定各业务单位对公司财务报告的影响程度,将业务单位分为重要业务单位(高风险单位)、特殊业务单位(中风险单位)、一般业务单位(低风险单位)。
2.2.4业务单位分类
业务单位的分类是管理层和外部审计单位进行公司财务报告内部控制体系评估、确定测试范围的基础,公司以各业务板块为单元,将各业务单元划分为重要业务单位、特殊业务单位、一般业务单位。
2.2.5业务单位分类的定量指标和定性因素
(1)公司选取一个资产负债类和损益指标,即总资产的5%和销售收入的5%作为确认重要业务单位的定量指标。
(2)在确定业务单位类型时,还要考虑的定性因素主要有:
①风险在业务单位的分散程度;
②业务单位重要科目潜在的固有风险(如单个会计科目余额巨大、会计科目对应重要、异常或非重复性交易);
③业务流程和财务报告的集中化程度;
④以前年度测试的情况,包括以前年度内部控制测试和内外部审计结果;
⑤公司层面及信息系统总体控制测试结果;
⑥管理层的变动(特别是财务管理部门);
⑦当年度新增业务单位(新设、资产收购、重组兼并等);
⑧欺诈导致错报的可能性;
⑨会计核算的复杂程度;
⑩业务流程和内部控制在各单位的相似程度;
业务单位是否有重大未记录负债;
2.2.6覆盖率计算依据和标准
(1)覆盖率计算依据
最近年度合并报表范围内的所有业务单元,抵消了内部购销往来和内部投资后的资产负债表和损益表。
如果一个重要会计科目在某个重要的业务单位中并不重要,则不应该包括在覆盖率的计算中。
(2)覆盖率计算标准
①总资产和销售收入是反映公司经营和财务状况的指标,覆盖率至少达到60%;
②资产负债表、利润表中每个重要会计科目的覆盖率至少达到50%;
③总资产或销售收入任意一项指标大于合并财务报表总资产或销售收入5%的业务单位,都必须列入覆盖率计算范围。
(3)业务单位分类时,首先以一个覆盖率作为初步定量标准进行筛选,但覆盖率不作为主要的标准,还要考虑各业务单位的风险因素,从而确定业务单位种类。
2.2.7确认程序与方法
(1)收集整理相关资料
①从财会部门取得最近年度纳入合并报表范围内,并经外部审计合并抵销后所有业务单元的资产负债表和损益表(包括公司合并抵销后资产负债表和损益表以及从重要业务单位中剔除的二级单位抵销后的资产负债表和损益表),作为确认重要业务单位的基础资料。
②各业务单元的所有重要会计科目指标转换成与公司合并后财务报表中的相应会计科目口径一致的数据。
转换后业务单元对外口径的重要会计科目数据之和与公司合并资产负债表和损益表中的重要会计科目数据应保持一致。
(2)确认重要业务单位
①将公司合并财务报表范围内所有业务单元的总资产按从大到小顺序排列。
②将所有业务单元的总资产和销售收入与合并报表总资产的5%和销售收入的5%进行比较,将大于任何一项定量指标的业务单元,确认为重要业务单位。
③将上述重要业务单元的重要会计科目按金额累加,并与合并财务报表中的相应科目金额的50%进行比较。
如果某项会计科目累计之和小于合并金额的50%,则从其余的业务单位中依次进行选择,直到所有重要会计科目累计都达到合并财务报表相应科目的50%为止。
这些增加的业务单位也确认为重要业务单位。
④将确认为重要业务单位的总资产和销售收入进行累加,并与合并财务报表总资产和销售收入进行比较,如果大于合并财务报表总资产和销售收入的60%,则不需再增加业务单位;
如果总资产和销售收入有一项未达到60%,再从剩余业务单位中从大到小顺序增加单位,直到总资产和销售收入均满足60%的覆盖率为止。
这些增加的单位确认为重要业务单位。
⑤定量分析后,还要考虑定性因素,二者相结合最终确定重要业务单位。
(3)确认一般业务单位
剔除公司合并财务报表范围内已确认为重要的业务单元,其余业务单元的总资产从小到大进行排列并顺序累加,直到所有累加的业务单元的总资产刚好小于合并财务报表总资产的5%为止。
将第一步选出的业务单元的销售收入进行累加,与合并财务报表销售收入的5%进行比较:
①如果销售收入小于合并财务报表销售收入的5%,则这些业务单元就是一般业务单位;
②如果销售收入大于合并财务报表销售收入的5%,那么就需要将这些业务单元的销售收入从大到小进行排序,从单项金额大的业务单元开始剔除,直到剩余业务单元的销售收入累计刚好小于合并财务报表销售收入的5%为止,那么剩余这些业务单元就是一般业务单位。
③定量分析后,还要考虑定性因素,二者相结合最终确定一般业务单位。
(4)确认特殊业务单位
除了已经确认的重要和一般业务单位以外,合并财务报表范围内剩余的业务单元属于特殊业务单位。
(5)重要业务单位的维护与更新
重要业务单位的确认结果将直接影响到每年管理层和外部审计对财务报告内部控制体系的评估、测试,考虑到公司所属单位的规模将会发生一定的变化,每年6月份之前应依照标准,进行一次重要业务单位的确认,以便公司管理层和外部审计进行内控体系的测试、评估。
在年初初步确认重要业务单位时,对于可能发生的资产收购、单位重组、兼并、新设单位投入营运的单位,根据相关单位的总资产、总收入预算数据进行测算,在年末财务报告编制后,根据年报数据重新确认当年重要业务单位。
2.2.8确定被测试单位需要考虑的因素及测试范围
管理层进行内部控制自我评估时,测试范围可根据公司实际情况,对主要业务循环进行测试,也可全部测试。
对重要业务单位和部分特殊业务单位进行测试,根据重要业务单位和特殊业务单位编制“内部控制自我评估范围明细表”。
(1)对于重要的业务单位,要对所有与重要会计科目和披露事项有关的财务报告认定相关的业务活动层面控制、公司层面控制和信息系统总体控制进行测试。
(2)如果特殊业务单位存在公司层面控制和信息系统总体控制,通常应对其中一些业务单位进行测试,并确定这些业务单位的内部控制程序是否得到有效执行。
如果公司在这些业务单位未设置公司层面控制和信息系统总体控制或者该内部控制程序不可靠,还应选择进行业务活动层面控制测试。
在确定应对哪些特殊业务单位进行公司层面控制和信息系统总体控制测试这项工作中,应该考虑以下几个要素:
①各业务单位相对的财务重要性;
②由各业务单位引起的重大错报风险;
③控制环境的有效性,尤其是管理层向他人授权的直接控制和有效监督各业务单位活动的能力;
④在各业务单位进行交易的性质和数量以及相关资产;
⑤管理层的风险评估程序和将某业务单位排除在财务报告的内部控制评估范围之外的分析。
(3)对于一般业务单位,由于总资产和销售收入之和都小于合并财务报告总资产和销售收入的5%,不会导致公司财务报表的重大错报,因此,不需要对这些业务单位的控制进行管理层测试,包括公司层面控制、信息系统总体控制和业务活动层面控制。
(4)为了使管理层测试更具有效性和效率性,在确定测试单位的基础上,还要以风险为导向,确定每个测试单位的具体测试范围。
2.3识别重要账户、列报及其相关认定
2.3.1.重要账户、列报
如果某账户或列报可能存在一个错报,该错报单独或连同其他错报可能[只要可能性不是“极小(REOMOTE)”]导致财务报表发生重大错报,则该账户或列报为重要账户或列报。
判断某账户或列报是否重要,应当依据其固有风险,而不应考虑相关控制的影响。
重大错报风险是指会计报表在审计前存在重大错报的可能性。
重大错报风险包括会计报表整体层次和认定层次。
2006年2月15日,财政部修订了我国的审计准则,其中新修订的审计风险准则引入了“重大错报风险”,强调审计工作应该以识别或评估被审计单位重大错报风险为起点,引导审计人员应紧紧围绕着评估审计重大错报风险来设计和执行实质性测试程序,分配审计资源,而不能未经评估重大错报风险就盲目进行审计测试。
某些重大错报风险可能与特定的各类交易、账户余额、列报的认定相关。
例如,被审计单位存在复杂的联营或合资,这一事项表明长期股权投资账户的认定可能存在重大错报风险。
又如,被审计单位存在重大的关联方交易,该事项表明关联方及关联方交易的披露认定可能存在重大错报风险。
某些重大错报风险可能与财务报表整体广泛相关,进而影响多项认定。
例如,在经济不稳定的国家和地区开展业务、资产的流动性出现问题、重要客户流失、融资能力受到限制等,可能导致内审人员对被审计单位的持续经营能力产生重大疑虑。
又如,管理层缺乏诚信或承受异常的压力可能引发舞弊风险,这些风险与财务报表整体相关。
识别财务报表重大错报风险应关注以下方面:
(1)在经济不稳定的国家或地区开展业务;
(2)在高度波动的市场开展业务;
(3)在严厉、复杂的监管环境中开展业务;
(4)持续经营和资产流动性出现问题,包括重要客户流失;
(5)融资能力受到限制;
(6)行业环境发生变化;
(7)供应链发生变化;
(8)开发新产品或提供新服务,或进入新的业务领域;
(9)开辟新的经营场所;
(10)发生重大收购、重组或其他非经常性事项;
(11)拟出售分支机构或业务分部;
(12)复杂的联营或合资;
(13)运用表外融资、特殊目的实体以及其他复杂的融资协议;
(14)重大的关联方交易;
(15)缺乏具备胜任能力的会计人员;
(16)关键人员变动;
(17)内部控制薄弱;
(18)信息技术战略与经营战略不协调;
(19)信息技术环境发生变化;
(20)安装新的与财务报告有关的重大信息技术系统;
(21)经营活动或财务报告受到监管机构的调查;
(22)以往存在重大错报或本期期末出现重大会计调整;
(23)发生重大的非常规交易;
(24)按照管理层特定意图记录的交易;
(25)应用新颁布的会计准则或相关会计制度;
(26)会计计量过程复杂;
(27)事项或交易在计量时存在重大不确定性;
(28)存在未决诉讼或有负债。
2.3.2.相关认定
如果某财务报表认定可能存在一个或多个错报,这个或这些错报可能导致财务报表发生重大错报,则该认定为相关认定。
判断某认定是否为相关认定,应当依据其固有风险,而不应考虑相关控制的影响。
审计重要性是指被审计单位财务报表中可能存在的不影响财务报表使用者经济决策和判断的错报及漏报的最大限额。
根据《中国内审人员审计准则第1221号——重要性》中的规定,内审人员应当运用职业判断确定重要性;
在计划审计工作时,内审人员应当确定一个可接受的重要性水平,以发现在金额上重大的错报;
内审人员应当考虑较小金额错报的累计结果可能对财务报表产生重大影响;
内审人员应当考虑财务报表层次和各类交易、账户余额、列报(包括披露)认定层次的重要性;
在确定审计程序的性质、时间和范围以及评价错报的影响时,内审人员应当考虑重要性。
重要性取决于在具体环境下对错报金额和性质的判断。
如果一项错报单独或连同其他错报可能影响财务报表使用者依据财务报表作出的经济决策,则该项错报是重大的。
重要性实质上强调了一个“度”,在审计报告中,允许一定程度的不准确或不正确的存在,但是要以这个“度”为界。
如果会计信息的错报或漏报可能影响到财务报表使用者的决策或判断,就可认为重要,否则就不重要。
在审计实务工作中,审计重要性水平是重要性的数量表示,是一个数量门槛或金额临界点。
在设计审计程序以确定财务报表整体是否存在重大错报时,审计师应当从财务报表层次和各类交易、账户余额、列报认定层次等方面考虑重大错报风险。
财务报表层次重大错报风险与财务报表整体存在广泛联系,可能影响多项认定。
此类风险通常与控制环境有关,但也可能与其他因素有关,如经济萧条。
而列报认定层次的重大错报风险又进一步分为固有风险和控制风险。
对它们的考虑直接有助于审计师确定实施进一步审计程序的性质、时间和范围。
公司的审计重要性水平应与审计师进行协商,且下属单位的审计策略应与公司年度报表相一致。
当内审人员对母公司个别财务报表和合并财务报表一并出具审计报告时,应对其所有合并主体的财务报表和合并财务报表分别确定重要性水平。
在确定非全资子公司财务报表的重要性水平时,不应受被审计单位所持股权比例的影响。
在实务中,某些被审计单位(如较多的民营企业)可能没有编制审计前合并财务报表,内审人员应当在计划审计工作阶段先明确合并财务报表重要性水平的确定方法,在业务完成阶段,根据审计后的合并财务报表确定重要性水平。
确定相关账户、列报和相关认定是内部控制评价中考虑范围决策的重要组成部分。
但在财务报表审计中,企业可能针对非重要账户、列报及其相关认定实施实质性程序。
2.4对应对舞弊风险的考虑
在计划和实施内部控制评价工作时,公司应当考虑财务报表审计中对舞弊风险的评估结果。
在识别和测试公司层面控制以及选择其他控制进行测试时,公司应当评价被审计单位的内部控制是否足以应对识别出的、由于舞弊导致的重大错报风险,并评价为应对管理层和治理层凌驾于控制之上的风险而设计的控制。
被审计单位为应对这些风险可能设计的控制包括:
(1)针对重大的非常规交易的控制,尤其是针对导致会计处理延迟或异常的交易的控制;
(2)针对期末财务报告流程中编制的分录和调整的控制;
(3)针对关联方交易的控制;
(4)与管理层的重大估计相关的控制;
(5)能够减弱管理层和治理层伪造或不恰当操纵财务结果的动机和压力的控制。
如果在内部控制评价中识别出旨在防止或发现舞弊的控制存在缺陷,公司应当按照《中国内审人员审计准则第1141号——财务报表审计中与舞弊相关的责任》的规定,在财务报表审计中制定重
升级会员 