山东华鲁恒升化工股份有限公司
内部控制评价管理办法
2021年3月修订
目录
第一章 总则 ...... 1
第二章 内部控制评价职责分工 ...... 3
第三章 内部控制评价程序 ...... 5
一、 评价准备 ...... 5
二、 实施现场评价 ...... 6
三、 内部控制缺陷认定 ...... 7
四、 内部控制评价报告 ...... 7
五、 内部控制评价工作档案归档 ...... 8
第四章 内部控制评价范围和内容 ...... 9
一、确定内控评价范围 ...... 9
二、确定内控评价内容 ...... 9
第五章 内部控制评价方法 ...... 14
一、内部控制评价基本方法 ...... 14
二、内部控制测试抽样规则 ...... 14
三、内部控制评价底稿填写说明 ...... 18
四、内部控制评价测试结果类型 ...... 20
第六章 内部控制缺陷评估方法 ...... 21
一、内部控制缺陷分类 ...... 21
二、财务报告相关内部控制缺陷认定步骤 ...... 22
三、非财务报告相关内部控制缺陷认定步骤 ...... 25
四、公司层面、信息系统总体控制缺陷认定的特殊考虑 ...... 26
第一章 总则为了规范山东华鲁恒升化工股份有限公司(以下简称“华鲁恒升”或“公司”)的内部控制评价工作,依据《企业内部控制基本规范》及其评价指引、《山东华鲁恒升化工股份有限公司内部控制手册》(以下简称“《内部控制册》”),编制本《内部控制评价管理办法》,明确公司内部控制评价工作流程、方法,规定了内部控制评价的要求、工作模板和报告路径。
《内部控制评价管理办法》经公司董事会审议批准之后颁布实施,由公司内部控制部负责解释。公司审计部每年负责根据内外部环境、组织架构、管理要求和管理问题、重大风险的变化以及公司各部门的改进建议、内外部检查评价的结果,向董事会和管理层提出本办法的更新草案。
内部控制评价的定义
内部控制评价是指由董事会实施的,对公司内部控制的有效性进行评价,形成评价结论,出具评价报告的过程。
内部控制评价的原则
实施内部控制评价,至少应当遵循下列原则:
? 全面性原则。评价工作应当包括内部控制的设计与运行,各种业务和事项。? 重要性原则。评价工作应当在全面评价的基础上,关注重大业务事项和高风险领域。? 客观性原则。评价工作应当准确地揭示经营管理的风险状况,如实反映内部控制设计与运行的有效性。? 及时性原则。评价应按照规定的时间间隔持续进行,当经营管理环境发生重大变化时,应及时进重新评价。
? 一致性原则。检查评价工作组织、评价程序、方法、缺陷认定标准等一经确定,应当在不同的评价期间保持相对一致。? 成本效益原则。内部控制评价应当以适当的成本实现科学有效的评价。
第二章 内部控制评价职责分工公司董事会指导并监督内部控制评价工作的开展,并对内部控制评价报告的真实性负责。其在内部控制评价工作中的具体职责包括:
? 批准内部控制评价工作组的构成;? 监督内部控制评价工作组工作的开展;? 审议《内部控制评价报告》;? 督促公司管理层对内部控制缺陷进行整改;? 批准《内部控制评价手册》的修订等。公司审计部负责内部控制评价工作的开展,其职责主要包括:
? 制定年度内部控制评价工作计划;? 制定公司各部门的内部控制评价具体工作方案;? 组织实施公司各部门的内部控制评价工作;? 针对具体内部控制缺陷,与各部门共同协商改进完善的建议;? 组织编制公司各部门的内部控制评价报告,并提交董事会进行审批;? 根据具体工作实践,对《内部控制评价手册》进行修订,并提交董事会进行审议。公司管理层对公司内部控制的有效性负责,其在内部控制评价工作中的具体职责包括:
? 依照《内部控制手册》,推动公司内部控制工作的具体实施;? 要求各部门配合审计部的内部控制评价工作;
? 对内部控制评价具体内容的真实性负责;? 听取内部控制评价工作汇报,审批具体内部控制缺陷改进计划,并跟进各部门改进方案的实施。公司各部门具体落实公司内部控制工作内容,其在内部控制评价工作中的具体职责包括:
? 依照《内部控制手册》,组织实施本部门内部控制的自评价工作,并对自评价过程中发现的内部控制缺陷进行整改;? 积极响应公司管理层的号召,配合公司审计部进行内部控制评价工作;? 对于发现的内部控制缺陷,会同审计部确定改进方案,实施具体整改。
第三章 内部控制评价程序
一、 评价准备
? 制定年度内部控制评价计划和实施方案:审计部负责制定年度内部控制评价计划和工作方案,明确下列事项:
① 评价范围和内容;
② 评价人员的组成;
③ 评价的时间安排、标准和工作底稿要求;
④ 缺陷评估和编制自评价报告的安排。
? 组建评价工作组:根据评价项目的要求,选派合适的人员组成评价工作组,并任命评价工作组组长。在选定评价工作组人员时,可考虑以下因素:
① 吸收公司内部熟悉业务的业务骨干,但评价工作组成员对本部门的内部
控制评价工作应当回避。
② 结合评价项目的性质、预计的评价工作量,以及评价任务的复杂程度和完成时限等,
③ 评价中如有特殊需要,评价组织机构还应考虑从外部聘用专家,如计算机专业人员、专业技术人员和管理专家等,以协助评价人员完成特定的评价取证和评价工作。
④ 评价工作组人员具有内部控制相关知识和经验,具备内部控制评价工作
的基础知识和技能。
? 文档准备:主要包括更新内部控制评价工作底稿和缺陷汇总模板、收集被评价部门的内部控制体系文件等。
? 下发内部控制评价通知:审计部根据经审批后的年度内部控制评价计划和实施方案,向被评价部门下发内部控制评价通知及配合事项。
二、 实施现场评价
? 评价计划:评价工作组结合被评价部门特点,充分考虑工作时限、被评价
部门业务的复杂程度和风险管理及内部控制的建立、健全程度等,制定内部控制评价工作计划。评价工作计划需经评价组织部门负责人批准,由评价组长组织实施。
? 实施评价:
① 调研访谈:获取被评价部门的制度、规定、内部控制标准和相关程序文件,初步了解被评价部门的流程,查看相关规章制度是否与内部控制标准的描述存在矛盾,然后编制详细的访谈计划,内容可包括需要访谈的岗位名称、访谈的时间以及需要被访谈人提供的文档资料等。
② 开展评价:
a. 访谈业务流程的相关人员,以便更好的了解整个流程,并确认实际业务是否按照内部控制标准的要求进行。访谈原则上就实施控制的每个岗位进行,以确保获取最直接的信息。但如果通过访谈一个或几个岗位即可获取足够的信息,则可不用访谈全部岗位;b. 检查样本,目的是确定相关控制是否存在并按要求执行。通过选择样本
并进行查看,了解控制执行人是否按照要求执行了内部控制的要求,并填写相关文档,留下了实施证据;
? 填写内部控制评价底稿:
① 根据测试期间样本发生频率抽取相关业务记录样本,按照底稿中测试属性的检查内容,对样本进行测试并填写测试底稿;
② 记录未达标样本:对不符合内部控制标准要求的样本进行记录,在底稿测试页中记录未达标样本的编号和描述等信息;
③ 底稿复核:内控评价人员填写内部控制评价底稿,内控评价项目组负责人对其底稿进行严格复核,或采取交叉复核的方式对底稿进行复核。内部控制评价人员及复核人员均应在内控评价底稿上签字确认。内部控制评价底稿模板,请参见附件1:华鲁恒升内部控制自评价测试底稿。? 缺陷沟通及整改:内部控制评价过程中发现的控制缺陷,需要提出整改建议。整改建议由审计部和各部门负责人共同拟定完成。整改建议的内容必须具体,切实可行。各部门负责人根据缺陷的严重程度和整改建议实施的难易程度,结合公司的实际情况综合考虑,制定整改方案。整改方案应符合有针对性、可衡量、可完成、符合现实情况、及时性等原则。审计部需要根据整改计划中的时间表对被审计对象实施整改的监督检查,以证明其控制活动运行的有效性。
三、 内部控制缺陷认定
? 内控缺陷评估:针对内部控制评价过程中发现的控制缺陷进行综合判断,按其严重程度分为重大缺陷、重要缺陷和一般缺陷。
四、 内部控制评价报告
公司内部控制部在完成缺陷评价后,汇总评价结果,按照规定的程序和要求,组织编写内部控制评价报告。
? 内部控制评价报告的内容:
① 组织实施内部控制评价的总体情况
② 内部控制评价项目组的声明
③ 内部控制评价的范围和内容
④ 内部控制评价的标准和依据
⑤ 内部控制评价的程序和方法
⑥ 内部控制重大缺陷及其认定情况
⑦ 内部控制重大缺陷的整改措施
⑧ 内部控制有效性的结论
? 内部控制评价报告的审议:公司年度内部控制评价报告最终须经董事会审议通过。
? 内部控制评价报告的披露:自内部控制评价报告基准日至内部控制评价报告发出日之间发生重大缺陷的,审计部负责核实,并根据核查结果对评价结论进行相应调整。公司以12月31日作为年度内部控制评价报告的基准日,内部控制评价报告应于基准日后4个月内报出。
五、 内部控制评价工作档案归档
内部控制部建立内部控制评价工作档案管理制度,内部控制评价的有关文件资料,包括评价方案、测试范围确定文档、自评价报告、抽查方案、工作底稿和相关支持性证据(主要是涉及缺陷样本的支持性证据)、缺陷汇总表、评分结果等应当妥善归档及保管,以满足日后查阅、质量复核等需求。
第四章 内部控制评价范围和内容
一、确定内控评价范围
在确定内部控制评价范围时,应本着风险导向原则和自上而下原则。内部控制评价应当以风险评估为基础,根据风险发生的可能性和对企业单个或整体控制目标造成的影响程度,自上而下地来确定需要评价的重点业务单元、重要业务领域或流程环节。因此,在确定内部控制评价范围时,公司应当获取财务报表,首先确定内部控制自我评估的重要性水平。在确定重要性水平时,建议与外部审计师进行及时沟通,尽可能使用与外部审计师计算口径及方式相同的重要性水平,以便保持趋同,建议管理层使用的重要性水平小于等于外部审计师使用的重要性水平,这样更为谨慎。在重要性水平确定之后,从定量、定性两方面出发确定范围。定量,即指将公司财务报表科目数据与重要性水平进行比较,对于大于重要性水平的科目所对应的流程纳入评价范围。定性,即指从管理层,各业务及管理部门基于对公司情况的了解及风险认识,将有风险的事项与财务科目挂钩,将相关的流程纳入评价范围。
二、确定内控评价内容
公司应根据《企业内部控制基本规范》及其应用指引,以及本公司的内部控制制度,围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,确定内部控制评价的具体内容,对内部控制设计与运行情况进行全面的评价。公司已经按照上述要素建立了内部控制体系,完整的内部控制流程如下:
| 内控要素 | 序号 | 一级流程 | 二级流程 | 三级流程 |
| 内部环境 | 1.1 | 组织架构 | ||
| 1.1.1 | 公司治理 | |||
| 1.1.2 | 组织机构 | |||
| 1.2 | 发展战略 | |||
| 1.2.1 | 战略制定 |
| 内控要素 | 序号 | 一级流程 | 二级流程 | 三级流程 |
| 1.2.2 | 战略实施 | |||
| 1.3 | 社会责任 | |||
| 1.3.1 | 总体控制 | |||
| 1.3.2 | 产品质量 | |||
| 1.3.3 | 安全管理 | |||
| 1.3.4 | 员工权益保护 | |||
| 1.3.5 | 环境保护 | |||
| 1.4 | 企业文化 | |||
| 1.4.1 | 企业文化建设 | |||
| 1.4.2 | 企业文化评估 | |||
| 风险评估 | 2.1 | 风险评估 | ||
| 2.1.1 | 风险管理组织体系 | |||
| 2.1.2 | 风险评估 | |||
| 2.1.3 | 风险应对 | |||
| 控制活动 | 3.1 | 人力资源管理 | ||
| 3.1.1 | 总体控制 | |||
| 3.1.2 | 员工招聘 | |||
| 3.1.3 | 员工日常管理 | |||
| 3.1.4 | 薪酬管理 | |||
| 3.1.5 | 员工退出 | |||
| 3.2 | 财务管理 | |||
| 3.2.1 | 资金管理 | |||
| 3.2.1.1 | 总体控制 | |||
| 3.2.1.2 | 货币资金管理 | |||
| 3.2.1.3 | 筹资管理 | |||
| 3.2.1.4 | 担保管理 | |||
| 3.2.1.5 | 费用管理 | |||
| 3.2.2 | 税务管理 | |||
| 3.2.2.1 | 总体控制 | |||
| 3.2.2.2 | 税务核算 |
| 内控要素 | 序号 | 一级流程 | 二级流程 | 三级流程 |
| 3.2.2.3 | 税收申报与缴纳 | |||
| 3.2.3 | 财务报告与信息披露 | |||
| 3.2.3.1 | 总体控制 | |||
| 3.2.3.2 | 会计核算 | |||
| 3.2.3.3 | 期末关账 | |||
| 3.2.3.4 | 关联交易 | |||
| 3.2.3.5 | 财务报告编制 | |||
| 3.2.3.6 | 信息披露 | |||
| 3.3 | 投资管理 | |||
| 3.3.1 | 总体控制 | |||
| 3.3.2 | 股权投资项目实施 | |||
| 3.3.3 | 股权投资退出 | |||
| 3.4 | 资产管理 | |||
| 3.4.1 | 存货管理 | |||
| 3.4.1.1 | 总体控制 | |||
| 3.4.1.2 | 物流运输管理 | |||
| 3.4.1.3 | 入库管理 | |||
| 3.4.1.4 | 库存管理 | |||
| 3.4.1.5 | 出库管理 | |||
| 3.4.2 | 固定资产管理 | |||
| 3.4.2.1 | 总体控制 | |||
| 3.4.2.2 | 固定资产取得 | |||
| 3.4.2.3 | 在建工程管理 | |||
| 3.4.2.4 | 固定资产日常管理 | |||
| 3.4.2.5 | 固定资产处置 | |||
| 3.4.3 | 无形资产管理 | |||
| 3.5 | 研发管理 | |||
| 3.5.1 | 总体控制 | |||
| 3.5.2 | 立项管理 |
| 内控要素 | 序号 | 一级流程 | 二级流程 | 三级流程 |
| 3.5.3 | 组织实施管理 | |||
| 3.5.4 | 项目验收 | |||
| 3.5.5 | 研发成果管理 | |||
| 3.6 | 采购与付款管理 | |||
| 3.6.1 | 总体控制 | |||
| 3.6.2 | 采购计划与请购 | |||
| 3.6.3 | 供应商管理 | |||
| 3.6.4 | 采购实施 | |||
| 3.6.5 | 付款管理 | |||
| 3.7 | 销售管理 | |||
| 3.7.1 | 销售计划管理 | |||
| 3.7.2 | 客户管理 | |||
| 3.7.3 | 销售执行 | |||
| 3.7.4 | 收入确认 | |||
| 3.7.5 | 开票和收款管理 | |||
| 3.8 | 工程项目 | |||
| 3.8.1 | 总体控制 | |||
| 3.8.2 | 工程立项管理 | |||
| 3.8.3 | 工程招标管理 | |||
| 3.8.4 | 工程造价及设计管理 | |||
| 3.8.5 | 工程建设管理 | |||
| 3.8.6 | 工程验收管理 | |||
| 3.9 | 全面预算管理 | |||
| 3.9.1 | 总体控制 | |||
| 3.9.2 | 预算编制与审批 | |||
| 3.9.3 | 预算执行与监督 | |||
| 3.9.4 | 预算考核 | |||
| 3.10 | 合同管理 | |||
| 3.10.1 | 总体控制 | |||
| 3.10.2 | 合同订立 |
| 内控要素 | 序号 | 一级流程 | 二级流程 | 三级流程 |
| 3.10.3 | 合同履行 | |||
| 3.11 | 信息系统管理 | |||
| 3.11.1 | 信息系统开发管理 | |||
| 3.11.2 | 信息系统运维管理 | |||
| 3.11.3 | 信息安全管理 | |||
| 信息与沟通 | 4.1 | 信息与沟通 | ||
| 4.1.1 | 信息收集 | |||
| 4.1.2 | 信息传递 | |||
| 4.1.3 | 反舞弊机制 | |||
| 内部监督 | 5.1 | 内部监督 | ||
| 5.1.1 | 总体控制 | |||
| 5.1.2 | 内部审计 | |||
| 5.1.3 | 日常监督和专项监督 | |||
| 5.1.4 | 缺陷报告与解决 |
具体在各公司开展内部控制评价时,可根据各公司业务情况和风险评估的结果,有重
点的选择相应的内控流程进行评价。
第五章 内部控制评价方法
一、内部控制评价基本方法
内部控制评价方法分为定性分析和定量分析。其中,定性分析评价方法如下:
? 个别访谈法:是指通过口头或书面的方式对执行控制的相关人员提出问题,根据被访谈人的回答确定控制是否存在以及控制执行人对控制的理解程度。访谈原则上应该以执行该项控制的人作为访谈对象,如果相关人员(如负责人)能够说明具体情况,也可以访谈相关人员,不需要具体访谈到每个岗位。
? 穿行测试法:通过抽取一套贯彻流程全过程的业务记录文档,来了解整个业务流程执行的情况。
? 调查问卷法:针对重要风险或控制问题设计问卷调查表,分别对不同层次的员工进行问卷调查,根据调查结果对相关项目做出评价。定量分析评价方法如下:
? 抽样法:针对具体的内部控制业务流程,按业务发生频率及所管控风险的高低,从确定的抽样总体中抽取一定比例的业务样本,对业务样本的符合性进行判断,进而对业务流程控制运行的有效性进行判断并做出评价。
? 比较分析法:通过分析、比较数据间的关系、趋势或比率来取得评价证据的方法。
? 实地查验法:对公司财产进行盘点、清查,以及对存活出、入库等控制环节进行现场查验。
一般而言,根据评价对象和内容的不同,应当综合考虑选择一种或多种评价方法进行评价,获取充分、相关、可靠的证据对内部控制的有效性进行评价,并做出书面记录。
二、内部控制测试抽样规则
? 样本的选择需要考虑交易的不同性质
① 测试中样本的选择需要考虑交易的同质性,如果控制程序不同,应该视为不同的控制分别进行描述。如果交易的同质性相同,仅是控制的责任部门、责任人、使用单据不同,则可以合并作为总体选择样本。? 样本应覆盖评价的整个期间
① 如果控制活动是从2014年1月1日或之前开始执行的,样本要从年
初开始抽取。
② 如果控制活动是从2014年年中的某个时候开始执行的,样本要从该
控制活动开始执行之日抽取。? 需要整改的控制活动,样本要从整改完成后抽取
① 如果控制活动存在缺陷并且管理层在评估期间内完成了整改,样本要
从整改完成后抽取。? 要在评价期间相对均匀的选择样本
① 为了避免抽样风险,在不存在特殊情况的时候(例如:控制活动有缺
陷,应从整改后开始抽样)测试者应在测试期间内相对均匀地选择样本。? 内部控制测试样本量的选取根据控制活动的执行频率确定测试的样本量。控制类型为自动控制的控制活动,抽取的样本量为1,固定频率的手工控制的控制活动的最小样本量区间如下表所示:
| 控制运行频率 | 控制运行总次数 | 样本量 |
| 每年 | 1 | 1个 |
| 每季度 | 4 | 2个 |
| 每月 | 12 | 2-5个 |
| 每周 | 52 | 5-15个 |
| 每日 | 250 | 20-40个 |
| 每日多次 | 大于250 | 25-60个 |
若控制活动发生频率为业务发生时,即发生频率不固定的控制活动,要根据年初到测试执行日的业务量估算该控制活动全年预计发生的数量并据此确定最小样本量区间:
| 预计全年发生交易 | 样本量 |
| 1次 | 1个 |
| 2-4次 | 2个 |
| 5-12次 | 2-5个 |
| 13-52次 | 5-15个 |
| 52-250次 | 20-40个 |
| 大于250次 | 25-60个 |
例如,检查某业务活动在1-3月份的全部采购订单编号为0001号至0022号,因此预估全年订单约为22*4=88份。根据非固定执行频率控制活动样本量的规定,全年抽取样本量为20-40个,则本次应抽取的样本量可根据本次测试期间与全年的样本量计算得出,即:若本次测试的样本期间为1-3月,则本次测试应抽取的样本量为5-10个(即全年样本量的四分之一)。
需要注意的是某个控制活动的发生频率是固定的,但每个控制活动发生时,会有多次发生的现象,其控制方式、控制执行人是一致的,则可判断为同质的控制活动,此时样本总体次数应换算为全年所有发生次数总和。例如:会计主管每月审核银行存款余额调节表。该控制活动的执行频率为每月一次,但公司使用不只一个银行账户,故应考虑所有控制活动全年执行的次数,将其作为全年的样本总体。若公司有8个银行账户,则该控制活动每年的执行次数应为12*8=96次,由此判断发
生频率介于每日与每周之间,同样,为保证样本量的充足,测试者应该以发生频率较高的样本量进行选取,因此该控制活动全年的测试样本个数应为20-40个,同时还应注意,样本应均匀地在8个银行账户中进行选择。
内部控制评价底稿模板,请参见附件1:华鲁恒升内部控制自评价测试底稿。? 评价控制偏差
控制偏差是指在内部控制测试中,审计人员选择进行测试的某个控制没有按照控制设计的要求被有效执行或者没有被执行。当识别出一项控制偏差后,审计人员应调查控制偏差的属性以及形成原因,并评价该项控制偏差对原定的审计程序和其他方面的影响。评价控制偏差的流程图如下图所示。
图4-1 评价控制偏差的流程图
一、确认控制偏差
二、确定控制偏差性质
扩大样本量
控制有效
随机性的控制偏差系统性的控制偏差
(控制缺陷)
三、确定审计应对措施
评价控制缺陷
是否存在偏差否是
内部控制测试中很可能会发现一些例外情况,审计人员应当执行进一步的审计程序以确认这些例外情况属于随机控制偏差还是系统控制偏差。审计人员应调查对重大业务流程及相关控制的理解是否有误。如果理解有误,则应当:1)记录对重大业务流程及相关控制的正确理解;2)重新执行穿行测试;3)重新执行控制测试。
? 确定控制偏差的属性
当控制测试中发现控制偏差时,审计人员应当执行进一步的程序以确认该项控制偏差是系统性的还时随机性的。系统性偏差是指在相似情形下,预计都会发生的错误;随机性偏差是指偶然发生的错误。
如果是系统性偏差,则无需再扩大样本量,而是直接将该项控制偏差视作一项内部控制缺陷。
? 确定应对措施
如果确认一项控制偏差是随机的,则应当确定适当的应对措施。措施包括:
1)扩大样本量进行测试,从而确定测试发现的错误率在可容忍范围内;2)直接将该项控制偏差视作一项内部控制缺陷。
如果确定扩大样本量进行测试,则审计人员应当根据控制偏差数量来确定扩大样本量的范围。对于那些不是每天发生一次或多次的控制(例如:每周、每月或每季发生一次),审计人员应当运用职业判断来确定增加测试的样本量或一项适当审计应对措施以得出该项例外情况不具有代表性以及不会影响其余样本的结论。
如果审计人员扩大样本量后并没有识别出新的控制偏差,则认为尽管存在一项控制偏差,但测试范围的错误率在可容忍范围内且该控制偏差不具有代表性。进而,审计人员可以得出该项内部控制运行有效的结论;如果审计人员扩大样本量识别出了新的控制偏差,则应得出该项内部控制运行无效的结论。
三、内部控制评价底稿填写说明
内部控制评价底稿由下列文档组成:
(1)主表:每个业务流程均有一张独立的主表,涵盖了每个流程的所有子流程,每个控制环节、控制目标和标准控制活动等属性。主表的目的是用于记录穿行测试和抽样测试结果。
(2)抽样测试表:对于需要抽取2个或以上样本的控制点,必须填写抽样测试表,且每个控制点均需要填写独立的抽样测试表,以记录每个控制点所抽取的全部样本信息及抽样测试结论。
(3)内部控制缺陷汇总表:汇总所有流程的内部控制缺陷,作为内部控制缺陷评价的基础。
主表填写示例:
抽样测试底稿填写示例:
| 控制活动 |
控制频率
| 控制频率 | 每月 |
非固定频率测试样本量计算说明
非固定频率测试样本量计算说明
全年应抽取样本数量
全年应抽取样本数量实际抽取样本数量
实际抽取样本数量
序号样本摘要
测试内容
测试结论备注
测试结论
| 测试结论说明无须填写,由主表连接过来根据控制属性确定抽样数量记录所抽取的全部样本的样本摘要,以及每个样本的测试结果记录测试结果 | ||
四、内部控制评价测试结果类型
测试结果共分五种:达标、未达标、不适用、未发生交易和样本量不足。? 达标:当所有的测试程序全部执行完毕,抽取的样本达到规定的样本量,所选的样本完全符合测试属性的要求,未发现例外情况时,选择测试结果“达标”。一个控制活动可能对应多个实际执行的控制活动。对于每个控制活动,只有对所有实际执行的控制活动抽取的样本达到规定的样本量且每个样本的所有测试属性全部满足要求后,我们才认为此控制活动得到了有效执行。? 未达标:在测试过程中发现有些样本不符合测试属性的要求,存在例外情况时,选择测试结果“未达标”。对于某个实际执行的控制活动,一旦某一个样本的某一个测试属性的结果是未达标,整个标准控制活动即被认为未得到有效执行。? 不适用:对于某些测试部门可能存在一些控制活动不适用的情况。评价人员应在测试中应重新评价该控制活动的适用性。如果经过评价,该控制活动仍然不
适用,那么其测试结果即为不适用。
不适用的情况可能有:某控制活动针对某业务制定,其他部门无此项业务;其他原因。? 未发生交易:由于某些控制活动是每年一次,或者有些控制活动所涉及的业务在测试期间尚未发生,可能在测试时点中无样本可抽,在这种情况下,选择测试结果“未发生交易”。例如:核销坏账的审核,如果某公司全年均未核销过坏账,该控制活动的评估结果为“未发生交易”。
? 样本量不足:在测试过程中可能会遇到由于控制活动执行的频率较低或者执行的时间较短,从而导致在测试中抽不到规定的样本量,同时抽到的样本经过测试全部为达标,评价人员要在测试中将这种情况记录为“样本量不足”。
当样本的测试结果为“未达标”或“样本量不足”时,评价人员必须在测试工作底稿备注栏中说明“未达标”或“样本量不足”的原因,原因注释应简要明确。
第六章 内部控制缺陷评估方法
一、内部控制缺陷分类
内控控制缺陷按其影响程度分为重大缺陷、重要缺陷和一般缺陷。重要缺陷可以是内控缺陷的组合,实质性漏洞可以是重要缺陷的组合。
重大缺陷:指一个或多个控制缺陷的组合,可能导致被测试主体严重偏离控制目标。
重要缺陷:指一个或多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍有可能导致被测试主体偏离控制目标。多个“重要缺陷”共同作用有可能形成一个“重大缺陷”。
一般缺陷:指除重大缺陷、重要缺陷之外的其他缺陷。多个“一般缺陷”共同作用有可能形成一个“重要缺陷”。根据上述定义,判断和认定内部控制缺陷是否构成重大缺陷,应当考虑下列因素:
? 影响整体控制目标实现的一个或多个重要缺陷的组合是否构成重大缺陷;? 针对同一细化控制目标所采取的不同控制活动之间的相互作用;
? 针对同一细化控制目标是否存在其他补偿性控制活动。
二、财务报告相关内部控制缺陷认定步骤
财务报告相关内部控制缺陷,是指存在缺陷的控制点为财务报告相关内部控制。财务报告内部控制,即与公司财务报告相关的内部控制,是由公司的董事会、监事会、经理层及全体员工实施的旨在合理保证财务报告及相关信息真实、完整而设计和运行的内部控制,以及用于保护资产安全的内部控制中与财务报告可靠性目标相关的控制。主要包括下列方面的政策和程序:
? 保存充分、适当的记录,准确、公允地反映企业的交易和事项;? 合理保证按照企业会计准则的规定编制财务报表;? 合理保证收入和支出的发生以及资产的取得、使用或处置经过适当授权;? 合理保证及时防止或发现并纠正未经授权的、对财务报表有重大影响的交易和事项。
财务报告相关内部控制缺陷认定可参考以下六大步骤进行:
步骤1:判断该缺陷导致财务报表错报的可能性错报/负面财务影响可能性的界定需要专业判断,在判断错报/负面财务影响发生的可能性时,一般可以定性分析而无需定量分析,需要考虑的因素包括但不限于:
? 影响到的财务报表科目或非财务报告的内控事项的性质;? 需要的主观判断程度、复杂性;? 控制执行中的异常情况发生的频率和原因;? 与其他控制的关联性;? 缺陷可能造成的后果;? 历史错报行为。若该缺陷将可能导致财务报表错误,则执行步骤2,否则执行步骤5。步骤2:判断此缺陷可能导致的财务报表错报金额是否微小微小的判断标准为潜在错报金额小于报表税前利润的0.5%。如果该内控缺陷的潜在错报金额小于报表税前利润的0.5%,则为一般缺陷,否则执行步骤3。
步骤3:判断是否存在补偿性控制对于可能导致错报影响的内部控制缺陷,如果其潜在错报金额大于微小,应评估是否存在补偿性控制,并且对补偿性控制开展必要的测试验证工作,获取该补偿性控制是否有效运行的证据,进而判断补偿性控制是否能够降低导致错报/潜在负面财务影响的可能性/影响程度。
若补偿性控制有效运行,则为一般缺陷,否则执行步骤4。步骤4:判断此缺陷可能导致的财务报表错报金额是否重大重大的判断标准为潜在错报金额大于或等于报表税前利润的3%。如果该内控缺陷的潜在错报金额大于或等于报表税前利润的3%,则为重大缺陷,否则为重要缺陷。步骤5:判断此缺陷是否符合重大缺陷的定性标准当此缺陷不大可能造成财务报表错报,但可能对财务报表造成负面影响时,即无法量化对财务报表的影响时,需要从定性角度对该缺陷进行认定。若该缺陷符合以下任意一项定性标准,则应认定为重大缺陷,否则执行步骤6。? 发现董事、监事和高级管理人员舞弊;
高级管理人员包括公司总经理、财务总监、董秘、财务部经理和副总经理。? 更正已公布的财务报表;公司按规定期限报送已签发的财务报告(含年报和半年报)后,对财务报告重新报送以更正财务报告中的错报,包括对当年财务报告和以前年度财务报告进行更正,直接认定为重大缺陷。但由于国家会计准则和会计制度变化、上市地监管要求变化、以及公司按规定进行的会计政策调整,需要对以前年度财务报告进行追溯调整的,不属于此类情况。
? 发现当期财务报表存在重大错报,而内部控制在运行过程中未能发现该错
报;主要指当公司完成财务报告编制并正式签发提交外部审计师后,外部审计师发现财务报告中存在重大错报公司需对错报进行更正并重新编制财务报告,这种情况应认定为重大缺陷。此处所指的重大错报是指错报金额大于或等于合并报表税前利润的3%。? 内部审计职能对内部控制的监督无效。当存在以下情况时,属于内部审计职能对内部控制的监督无效:
① 未建立内部审计部门或内部审计职责,未开展任何内部审计工作;
② 内部审计职责不独立,未定期或应要求向监事会、董事会/审计委员会、总经理以及上级审计机构报告工作,重要审计发现及时报告并提出处理意见;或内部审计部门承担了公司的经营责任,审计人员执行生产经营管理业务工作的具体操作。
③ 内部审计人员明显不具备专业胜任能力。
步骤6:判断财务主管或相关负责人对缺陷的重视程度当此缺陷不足以引起财务主管或相关负责人的重视,则该缺陷应认定为一般缺陷,否则应认定为重要缺陷。其中相关负责人主要指负责该项业务的中高层管理人员。
三、非财务报告相关内部控制缺陷认定步骤
1、定性标准
定性标准主要根据缺陷潜在负面影响的性质、范围等因素确定,当出现下列情形之一时,应当认定为重大缺陷:
| 缺陷性质 | 定性标准 |
| 重大缺陷 | 公司确定的非财务报告内部控制重大缺陷评价的定性标准如下: 违反国家法律、法规或规范性文件; 决策程序不科学导致重大决策失误; 重要业务制度性缺失或系统性失效; 重大或重要缺陷不能得到有效整改; 安全、环保事故对公司造成重大负面影响的情形; 其他对公司产生重大负面影响的情形。 |
| 重要缺陷 | 重要业务制度或系统存在的缺陷;内部控制内部监督发现的重要缺陷未及时整改;其他对公司产生较大负面影响的情形。 |
| 一般缺陷 | 一般业务制度或系统存在缺陷;内部控制内部监督发现的一般缺陷未及时整改。 |
2、定量标准
定量标准从三个维度进行,包括可能造成的直接财产损失金额、可能造成的人员健康安全影响以及重大负面影响。
| 缺陷类型 | 直接财产损失金额 | 可能造成的人员健康安全影响 | 重大负面影响 |
| 重大缺陷 | 5000万元以上 | 10人以上死亡,或50人以上重伤 | 可能对公司的定期报告或形象造成负面影响 |
| 重要缺陷 | 1000万元以上5000万元以下 | 3人以上10人以下死亡,或者10人以上50人以下重伤 | 受到国家政府部门处罚但未对公司定期报告造成负面影响 |
| 一般缺陷 | 1000万元以下 | 3人以下死亡,或者10人以下重伤 | 受到省级(含)以下政府部门处罚但未对公司定期报告造成负面影响 |
四、公司层面、信息系统总体控制缺陷认定的特殊考虑
公司层面缺陷认定的特殊考虑:公司层面控制包括控制环境、风险评估、信息
与沟通、监督几方面。公司层面控制缺陷通常不会直接导致错报,但会增加流程层面错报的可能性,需考虑的因素包括:
? 控制缺陷在被测试主体中的普遍性? 控制缺陷对公司层面控制各组成要素的相对重要性? 以往错报是否与广泛性控制缺陷有关? 舞弊的可能性(包括管理层越权的风险)? 控制运行有效性方面已发现的例外情况的原因和频率? 缺陷可能导致的未来后果信息系统总体控制缺陷认定的特殊考虑:信息系统总体控制缺陷并不直接导致错报,且错报大多来源于无效的应用系统控制,因此,对信息系统总体控制缺陷的评估应参照其对应用控制的影响。如果应用系统层面没有缺陷,则信息系统总体控制缺陷可以认为仅是一般缺陷。如果应用系统层面的控制缺陷与信息系统总体控制中的缺陷有关或由它所引起,则信息系统总体控制缺陷应与应用系统控制中的缺陷结合起来评估,并且通常与应用系统控制缺陷的分类一致。