搜索
迪博企业风险管理技术有限公司内部控制有效性评估内部控制有效性评估发展创新品牌中国领先的内部控制/风险管理解决方案提供商目录内部控制自我评估基础概念►内部控制自我评估-基础概念►内部控制自我评价-穿行测试►内部控制自我评价-控制测试内部控制自我评估-基础概念内部控制自我评价相关法律法规的要求►《企业内部控制基本规范》第六条:企业应当根据有关法律法规、本规范及其配套办法制定本企业的内部控制制度并组织实施本规范及其配套办法,制定本企业的内部控制制度并组织实施。►《企业内部控制评价指引》第四条:企业应当根据本评价指引,结合内部控制设计与运行的实际情况制定具体的内部控制评价办法合内部控制设计与运行的实际情况,制定具体的内部控制评价办法,规定评价的原则、内容、程序、方法和报告形式等,明确相关机构或岗位的职责权限落实责任制按照规定的办法程序和要求或岗位的职责权限,落实责任制,按照规定的办法、程序和要求,有序开展内部控制评价工作。►《上海证券交易所上市公司内部控制指引》第三条:在本所上市的公司应当按照法律、行政法规、部门规章以及本所股票上市规则的规定建立健全内部控制制度,保证内控制度的完整性、合理性及实施的有效性,以提高公司经营的效果与效率,增强公司信息披露的可靠性,确保公司行为合法合规。评价哪些内容?内部环境治理结构控制活动不相容职务相互分离控制授权审批控制机构设置及权责分配内部审计人力资源政策企业文化等授权审批控制会计系统控制财产保护控制预算控制运营分析控制内部环境风险评估公业务单子公司业务运营分析控制绩效考评控制控制活动信息与沟通司层面单元司务分部风险评估风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略信息与沟通内部监督定风险应对策略。信息与沟通信息与沟通是及时、准确地收集、传递与内部控制相关的信息,确保内部监督内部监督是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。内部监督分为日常监督和专项监督传与内部控制相关的信,确保信息在企业内部、企业外部之间进行有效沟通。重要信息应当及时传递给董事会、监事会和经理层。监督分为日常监督和专项监督评价对象是什么评价对象——关键控制点评价对象——关键控制点符合性测试中证明为有效的关键控制点►关键控制点的属性指管理层所依赖的在合理的范围内支持管理层防范和指管理层所依赖的,在合理的范围内支持管理层防范和发现重大风险的控制点。关键控制点的失败不仅影响管理层实现流程目标的能力,还影响财务报表控制目标。理层实现流程目标的能力,还影响财务报表控制目标►关键控制点的来源风险控制矩阵评价对象如何选择(续)►如何选择需要测试的关键控制点——RAPSBS原则►Relevant:相关性是指所选择的控制能够实现控制目标►Adequate:充分性是指所选择的控制能够充分起到防止或发现q充分性是指所选择的控制能够充分起到防或发现并纠正在认定层面重大错报的作用►Pervasive:全面性是指所选择的控制在风险防范和发现功能上较其他控制而言具有更广泛的适用性较其他控制而言具有更广泛的适用性►Sensitive:敏感度是指在错报发生前,控制能够及时察觉并防止其发生,在错报发生后,控制能够及时察觉该错报,并起到纠正的作用►BalanceofPreventandDetect:合理平衡预防性与检查性控制制►SuiteofControls:控制组合观是基于控制属性而做的安排,合理设计/执行不同属性的控制组合可以有效从多维度防范和发现风险现风险。什么是内控缺陷当某个控制的设计或运行使管理层或公司员工在日常工作中不能及时预防或者查找错误我们说这里出现了内控缺陷防或者查找错误,我们说这里出现了内控缺陷。内控缺陷包括设计缺陷和执行缺陷。设计缺陷:►必要的控制或者控制的必要成分缺失►某个现有的控制不合理,导致这个控制不能满足控制目标►设计缺陷既可以是自动系统的设计缺陷,也可以是手工控制的设计缺陷执行缺陷执行缺陷:►控制设计完好,但没有被正确地执行如何区分设计缺陷与执行缺陷设计缺陷:•强调必要的控制或者控制的必要成分缺失,或者某个现有的控制不合理,导致这个控制不能满足控制目标。例如“公司没有发布相关制度也没有要求对固定资产和存货进行盘点导致固定资产与存制度,也没有要求对固定资产和存货进行盘点,导致固定资产与存货的实际情况与实务账及财务账出现不相符的可能,不能满足账实相符的管理目标”即属于控制设计问题。执行缺陷:•强调一个完好设计的控制没有如设计那样被实际运行。例如:“固定资产所需购置金额已超其采购权限,却未向上级公司申请安排大定资产所需购置金额已超其采购权限,却未向上级公司申请安排大宗物品采购”(存在权限管理规定,却未在实际操作中妥善执行)内控缺陷的严重程度内控缺陷可被界定不同的程度:►一般的内部控制缺陷(ControlDeficiency):如果内控设计或者运行无法使管理层或员工在执行指定任务的正常过程中,及时防止或发现错报,那样就存在一般内部控制缺陷。存在般内部控制缺陷。►重大缺陷(SignificantDeficiency):是一种具有严重影响的缺陷,它由一个或者多个内部控制缺陷组成例如对于会计政策的选择;反舞弊的程序和控或者多个内部控制缺陷组成。例如对于会计政策的选择;反舞弊的程序和控制;重大交易相关的控制;财务报告关账相关的控制。►实质性漏洞(MaterialWeakness):实质性漏洞是指很可能导致年度或中期►实质性漏洞(MaterialWeakness):实质性漏洞是指很可能导致年度或中期财务报告中的重大的实质性错报未被防止或发现的可能性大于“微小”的控制缺陷。例如:高管舞弊,重大的财务报告重述,本期财务报告的重大错报未被现有内控及时发现和更正,审计委员会监督无力等如何识别缺陷工作经验的积累从工作中遇到的问题入手准备阶段、穿行测试阶段和识别阶段的积累企业内部控制评价指引内控体系建设及内控评价总体工作路线图理解流程涉及的主要业务活动及参与部门准备阶段明确流程主要结点及先工作步骤工作确定流程的范围以及与对流程进行划分,明确各子流程的起点和终点获取并阅读现有流程文档以及相关制度尽可能多的利用现有基阶段明确流程主要结点及先后次序工作要求确定流程的范围以及与其他流程的接口与流程具体执行人员进尽可能多的利用现有基础开展下一步工作识别流程中可能出错的将识别出的可能出错项工作与流程具体执行人员进行访谈,了解流程现状获取对于流程较为细致的理解识别流程中可能出错的地方和相关控制措施识别流程主要风险点和控制活动识别阶段将识别出的可能出错项与控制措施进行匹配完成风险控制矩阵工作步骤工作要求结合风险控制矩阵及穿行测试结果编写流程图根据流程图和风险控制矩阵编写流程描述编制阶段工作步骤针对风险控制矩阵中的每个控制活动,获取相关证据进行穿行测试以流程图的方式展示流程主要节点及接口对现有的控制活动进行以文字叙述的方式对流程的主要过程进行描述阶段工作要求对控制活动进行进一步确认对现有的控制活动进行评估,识别控制不足或控制过度识别潜在的控制缺陷并提出改进建议与流程负责人讨论,确定整改方案和时间表落实整改责任更新风险控制矩阵、流程图和流程描述根据整改结果对流程文档进行修订评估阶段工作步骤工作要求提出改进建议程图和流程描述要求内部控制自我评价–穿行测试内部控制评价一般流程-设计有效性设立基础设立基础制定方案成立工作组风险评估内控设计有效性评估内控执行有效性评估认定内部控制缺陷编制报告实施现场测试实施现场测试首先,我们需要理解什么是穿行测试穿行测试——首先,我们需要理解什么是穿行测试穿行测试指追踪交易在财务报告信息系统中的处理过程。指追踪交易在财务报告信息系统中的处理过程。在风险管理中,在正常运行条件下,自初始数据输入内控流程开始,穿越全流程和所有关键环节,将运行结果与设计要程开始,穿越全流程和所有关键环节,将运行结果与设计要求对比,以理解内控实际设计及其运行情况,并发现内控流程缺陷的方法程缺陷的方法。穿行测试是对流程和控制活动的理解和证明流程典型穿行测试工作流程公司每半年进行一次固定资产盘点工作,由财务部或资产管理部门编制盘点计划以及相获取与上述资产相对应的固定资产记进行如检查典穿行测试作财务部或资产管理部门编制盘点计划以及相应的盘点实施细则并经财务经理及固定资产管理部门负责人签字确认。财务会计打印固定资产清单,固定资产资产资产盘点记录,进行如下检查:1.检查盘点计划和盘点实施细则是否由固定资产管理部门负责人审核财务会计打印固定资产清单,固定资产资产管理员根据固定资产清单核对实物台帐,确定无误后由固定资产管理部门、资产使用部门、财务部门共同参与实物盘点。盘点有书责人审核;2.检查固定资产盘点表是否由资产使用部门、财务部参与盘点人签字审核门、财务部门共同参与实物盘点。盘点有书面记录,盘点参与人均需要在盘点表上签字确认。固定资产管理员编写盘点报告,经固定资产点人签字审核;3.对于异常原因,是否按审批权限上报公司领导,并根据批准意见由各企业财务进行账务固定资产管理员编写盘点报告,经固定资产管理部门负责人审核并签字确认后上报集团财务部审批。对于异常原因,按审批权限上报公司领导,根据批准意见由各企业财务进准意见由各企业财务进行账务处理。报公司领导,根据批准意见由各企业财务进行账务处理。小结开展穿行测试可以达到如下目的:确认对业务流程(包括相关书面记录)的了解是否准确和完整借助交易轨迹来追查每个交易种类的某笔交易与此同时借助交易轨迹来追查每个交易种类的某笔交易,与此同时,确认和观察有关的控制政策和程序评价控制设计是否能及时预防或发现并纠正重大错误确定控制是否得到执行确定控制是否得到执行穿行测试更多地在了解内部控制时运用,可能获取部分控制运行有效性的证据穿行测试的范围和对象六要素–时间When/地点Where/人物Who/起因/Why经过How/结果What例如:为了确保当月销售收入无重大错误和遗漏(起因),每月末(时间),销售和遗漏(起因),每月末(时间),销售管理部经理(人物)将本月实际销售收入与预算进行比较分析(经过),编制月度分析报告(结果)并在报告上签字确认(地点)。穿行测试步骤总览►将公司规范某项经济业务行为的制度按业务流程的方式描述出来;这表明公司的该项经济业务应该都是按所描述的业务流程运行的►选取一个样本►获取原始单据、跟踪交易全过程;例如:销售流程通常包括:合同-月度销售计划-开具提货单-计量-发货-编制结算凭证-账务处理-对账►记录测试过程、复印留存相关文档►根据测试结果,对照流程环节与要求,比较并记录没有做到位的地方,评估控制活动►总结发现问题并汇总,提出整改建议►将穿行测试报告及复印的相关文档妥善归档►管理层确认发现问题,制定整改计划,持续实施整改和监督措施在进行穿行测试时需要特别注意确定测试期间——评价期间/控制生效日选择一个样本应从头至尾穿行即在交易初始阶段就开始穿行测试选择个样本,应从头至尾穿行,即在交易初始阶段就开始穿行测试,并向前跟进样本应通过公司的财务与信息系统,一直到其反映在公司财务报表上控制矩阵中所记录的文档的可获得性文档记录和实际业务的符合性是否得到合理授权、经过适当的审批测试结果是否和制度、标准、设计的流程相一致。抽取样本在实际业务处理过程中涉及的文档纪录、报告、签字等流转轨迹记录是测试关注的重点。严格禁止“放飞机”。当发现样本中存在与流程描述不相符合的情况时不能更换样本,应继续追查不符的原因以发现并反映问题穿行测试的结果记录与报告完成穿行测试后,我们至少需要:反馈并修改流程描述/流程图/风险控制矩阵反馈并修改流程描述/流程图/风险控制矩阵现有证据是否足以对控制设计的有效性,控制本身的存在性(控制已经执行)做出了合理的结论是否如理解的处理?是否如理解的处理?是否可以有效发现、防范和纠正重大错误?是否及时处理?识别控制设计缺陷,并提出必要的整改建议