企业内控与风险管理体系评价工作方案

中国水利水电第四工程局有限公司第三分局内控与风险管理体系评价测试方案目录一、评价目的.................................................................1二、评价实施依据.............................................................1三、评价测试期间.............................................................1四、实施程序及方法...........................................................21、启动准备阶段..........................................................22、开展内部控制测试评价工作..............................................23、评价结论阶段..........................................................44、测试结果报告阶段......................................................45、审批内部控制自评价报告................................................4五、缺陷认定标准.............................................................51、内部控制缺陷认定程序..................................................52、内部控制缺陷认定标准..................................................6六、其他工作说明............................................................10一、评价目的为了促进中国水电第四工程局有限本局第三分局（以下简称本局）全面评价内部控制的设计和运行情况，规范内部控制评价程序和评价报告，揭示和防范风险，根据《企业内控制基本规范》、《企业内部控制评价指引》等有关法律、法规的规定，并结合本局实际情况，特制定本评价测试方案（以下简称本评价方案）。二、评价实施依据评价方案是依据中华人民共和国财政部等五部委联合发布的《企业内部控制基本规范》(下称“基本规范”)、《企业内部控制应用指引》(下称“应用指引”)、《企业内部控制评价指引》(下称“评价指引”)、《企业内部控制审计指引》（下称“审计指引”）、上交所《上交所上市本局内部控制指引》(下称“上交所指引”)、《COSO企业风险管理整合框架》。结合公司内部控制制度和评价办法及本局相应内部控制流程文档，在内部控制日常监督和专项监督的基础上，对本局内部控制的设计与运行的有效性进行评价。三、评价测试期间本局以12月31日作为年度内部控制评价报告的基准日，内部控制评价报告于本局年度报告公布日向中国水利水电第四工程局有限公司（以下简称公司）提交及报送。本局内部控制评价报告基准日至内部控制评价报告提交日之间发生的重大缺陷，本局管理层应予以核实，并根据核查结果对评价结论进行相应调整。因公司于2013年5月向各分局推广并建立内部控制体系，本局于2013年6月完成内控体系建设。为配合公司对于内控体系的整体部署、测试本局内控体系的有效性，本次测试工作本局选取抽样测试的期间为2012年6月1日至2013年5月31日。今后本局应按照公司的规定统一安排年末试评价时间。四、实施程序及方法1、启动准备阶段本局内控工作小组编制评价工作计划、测试底稿、下发测试资料清单，各部门准备测试资料。本次评价采取各部门交叉测试的方法，具体分工见《评价工作计划》。本阶段输出成果：《评价工作计划》（见附件1）《业务流程测试底稿模板》（见附件2）《XX部提供测试资料清单》（见附件3）2、开展内部控制测试评价工作本局内控工作小组及各部门总体采用抽样法，综合运用个别访谈法、调查问卷、穿行测试、比较分析、专题讨论等方法，对本局业务流程层面的内部控制设计及运行情况进行全面的测试与评价，在既定的测试期间内根据抽样标准抽取穿测资料，填写《内控与风险管理体系业务流程控制测试表》。（1）测试内容对本局重要业务流程的控制进行测试和评价，根据控制发生的频率进行抽样检查。（2）抽样标准业务流程层面的测试抽样按照控制的发生频率确定样本数量，并对样本执行相应的测试步骤，不同控制发生频率对应的样本数量见下表：序号控制发生频率抽样标准1每年一次12每季度一次23每月一次54每周一次125每日一次256每天多次307不定期发生按照控制一年内发生次数的估计总量相应折算在使用上表的抽样标准进行抽样时应注意：i.发现某控制有且只有一个例外项（即不符合项）时，需追加一倍的样本量（不重复抽样），如果在追加的样本量中再发现例外项，则无需再继续抽样，直接进入缺陷认定程序,相应判定对应的缺陷等级，记录到“控制测试结果汇总表”的测试结论；ii.如果抽样时发现某控制存在多个例外事项（二个及以上），直接进入缺陷认定程序,相应判定对应的缺陷等级，记录到“控制测试结果汇总表”的测试结论。iii.对于不定期发生的控制，根据控制全年发生的总量折算到对应的频率，例如，某控制全年发生总量约为50次，则相当于每周发生一次，样本量按照上表中“每周一次”对应的数量抽取。iv.抽取样本时，应充分运用专业判断，尽可能抽取性质比较特殊、涉及金额较大的样本。v.对应的控制在测试期间无实际业务发生时，应在测试底稿的备注栏进行说明，以便后续发生业务时进行追加测试，追加测试抽样标准同上。vi.本次测试只对关键控制进行测试，一般控制因对风险、目标影响性较小，不在本次测试范围之内，本局今后可根据实际情况按照上述方法自行进行。本阶段输出成果《内控与风险管理体系业务流程控制测试表》（同附件2）《内控与风险管理体系缺陷汇总表》（见附件4）3、评价结论阶段本局内控工作小组及各部门对现场初步认定的内部控制缺陷进行全面复核、分类汇总，对缺陷的成因、表现形式及风险程度进行定量或定性的综合分析，按照对控制目标的影响程度判定缺陷等级，根据缺陷的综合影响出具自我评价结论。对于认定的内部控制缺陷，评价工作小组就部门提出整改建议，要求责任部门及时整改，并跟踪其整改落实情况；已经造成损失或负面影响的，根据公司的相关规定追究相关人员的责任。4、测试结果报告阶段本局内控工作小组及各部门根据内部控制测试评价结果，综合报告企业内部控制体系建设的总体情况、内部控制评价工作的总体情况，内部控制评价依据、范围、程序和方法，内部控制缺陷及认定，内部控制缺陷整改情况及重大缺陷拟采取的整改措施,内部控制评价结论。本阶段输出成果《中国水利水电第四工程局第X分局内部控制评价报告》5、审批内部控制自评价报告内部控制自我评价报告编制完成后报送本局局长批准，由公司最终审定后上报或以其他形式加以合理利用。五、缺陷认定标准1、内部控制缺陷认定程序设计性缺陷和执行性缺陷因为缺陷产生的原因不同，认定程序方面有一定的差异。（1）设计性缺陷认定程序整体上，根据“目标认定-风险识别与评估-控制识别-缺陷认定”的思路对设计性缺陷进行识别认定。首先对企业整体层面和各个业务流程层面的合法合规、资产安全、财务报告及相关信息真实完整、提高经营效率和效果以及促进企业实现发展战略等五大方面的目标进行分析，识别企业在实现目标的过程中的风险。若果企业未设置相应的控制措施对相应风险进行控制或者所设置的控制措施不能起到实质的控制作用，则认定为设计性缺陷。（2）执行性缺陷认定程序一般而言，按照“制定内部控制测试计划-执行内部控制测试-内部控制测试结果分析-缺陷认定”的思路对执行性缺陷进行认定。企业通过已经识别并梳理的内部控制关键控制点，制定每个期间的测试计划，对所需抽取的样本进行复核，汇总整理测试结果，分析所发现的例外事项，即执行的过程中与预先设置的控制点不一致的情况，最终确定执行性缺陷。执行性缺陷的发现一般基于已经设置并且已经执行过一段期间的控制活动，但并不保证该控制活动不存在设计性缺陷。虽然设计性缺陷和执行性缺陷的一般认定程序有差异，但是两部分工作没有绝对的界限。在实务过程中，可能在设计性缺陷的认定过程中发现执行性缺陷，也可能在执行性缺陷认定程序中发现设计性缺陷。所以，实际操作缺陷认定程序时，应当注意全方位的分析与评估控制的设计和执行有效性，识别内部控制缺陷。2、内部控制缺陷认定标准（1）定量标准内部控制缺陷的定量标准一般以其对财务报表的影响程度来确定。通过比较内部缺陷所影响的财务数据的金额与企业财务报表的重要性水平，判定该缺陷是属于一般缺陷、重要缺陷还是重大缺陷。1）财务报表重要性水平企业作为盈利性经营机构，财务报表的重要性水平一般通过企业的总资产、净资产、主要业务收入总额、利润总额、净利润等财务指标确定。一般而言，按照上述的五项财务指标的一项作为基数，根据相对应的比例范围确定企业财务报表的重要性。请注意在选取重要性水平计算基数时时充分考虑企业的实际情况，以选取最适当的基数。财务指标重要性水平占比总资产0.5%-1%净资产0.5%-5%主营业务收入总额0.5%-1%利润总额0.5%-1%净利润5%-10%2）缺陷认定的定量标准对内部控制缺陷可能导致或者已经导致的财务报表中某科目的错报、漏报或者损失的影响金额进行分析，即内部控制缺陷影响额进行分析，以该数额占企业整体重要性水平的比重判定内部控制缺陷的类型。如下表：内部控制缺陷影响额占重要性比例缺陷认定整体重要性水平重大缺陷占整体重要性比例的20%-100%重要缺陷整体重要性水平的20%一般缺陷（2）定性标准在内部控制缺陷内容不直接对财务报表造成影响并且间接造成的影响额很难确定的情况下，可通过分析该控制缺陷所涉及业务性质的严重程度、其直接或潜在负面影响的性质、影响的范围等因素认定其缺陷。下文针对重大缺陷（实质性漏洞）、重要缺陷和一般缺陷设定了部分参考标准。1）重大缺陷对已经签发的财务报告重报更正错误（由于政策变化或其他客观因素变化导致的对以前年度的追溯调整除外）；审计师发现的、未被识别的当期财务报告的重大错报；高级管理层中任何程度的舞弊行为；风险评估职能无效；控制环境无效；重大缺陷没有在合理期间得到整改；企业缺乏民主决策程序，如缺乏“三重一大”决策程序；企业决策程序不科学，如决策失误，导致重大交易失败；违犯国家法律、法规，如环境污染等；管理人员或技术人员大量流失；媒体负面新闻频现；重要业务缺乏制度控制或制度系统性失效。2）重要缺陷未根据一般公认的会计准则对会计政策进行选择和应用的控制：未根据国内外相关准则、制度要求，制定并及时更新会计手册；未通过恰当方式做好会计手册的宣传、培训，下属项目及合并报表部门未执行统一的会计手册。不存在对非常规（非重复）或复杂交易的控制：未对债务重组活动进行有效控制；未对外币业务进行有效控制；未对非货币性交易进行有效控制；未对复杂的关联方交易进行有效控制。未设立反舞弊程序和控制；未建立并有效执行职业道德规范；未建立举报及报告机制；未设置调查和补救措施；未对舞弊风险进行分析；未设立反舞弊相应的信息与沟通机制；未对期末财务报告的过程进行控制；未对期末结账程序进行有效控制；未对纳入合并报表范围的部门财务报告过程进行有效控制；未定期核对（如每月）内部往来交易；未对按照权益法核算的对外投资相关的账务处理进行审核；未对合并会计报表的抵消分录进行交叉审核；未对会计报表的附注进行交叉审核；未对会计报表进行分析性复核。未对财务报告流程中涉及的信息系统进行有效控制：无法在交易总数过入总账时确保交易记录的完整性；不能有效控制初始、授权、记录和处理总账的过程；未设置期末关帐后