内部控制测试程序介绍.ppt

内部控制测试程序介绍,2010年4月,控制评价图,年度考核,内容概要,1定义,2测试范围的确定,3内部控制测试准备阶段,4内部控制测试的现场实施阶段,5内部控制测试总结和报告,6内部控制测试整改,7内部控制年度考核,内容概要,1定义,2测试范围的确定,3内部控制测试准备阶段,4内部控制测试的现场实施阶段,5内部控制测试总结和报告,6内部控制测试整改,7内部控制年度考核,1.内部控制测试的定义,内部控制测试是围绕内控体系评价的目标，按照规定的程序、方法和标准，对内部控制体系，从设计有效性和执行有效性两个方面对内部控制有效性进行测试内部控制测试目的是查找内部控制设计和执行方面的问题，为内部控制体系有效性提供合理保证内部控制测试依据是集团公司内部控制管理手册、企事业单位分册及当年确定的测试范围,1.内部控制测试的定义,内部控制测试的程序,1.内部控制测试的定义,测试范围的确定,测试准备阶段,测试实施阶段,测试结果汇总分析报告阶段,指从发出测试通知后，测试小组成员进驻被测试单位开始，直至初步完成测试计划,指按照计划完成所有测试步骤，完成全部测试内容的工作过程。,指测试人员完成全部内容的测试后，对查证内容进行整理分析撰写测试报告。,是以风险为导向，根据不同板块的业务类型同时考虑各企事业单位的业务差异，对企事业单位及其所属单位公司层面、业务活动层面、信息系统总体控制的测试内容和测试单位进行确定的过程。,内容概要,1定义,2测试范围的确定,3内部控制测试准备阶段,4内部控制测试的现场实施阶段,5内部控制测试总结和报告,6内部控制测试整改,7内部控制年度考核,2测试范围的确定,测试范围的确定是以风险为导向，根据不同板块的业务类型同时考虑各企事业单位的业务差异，对企事业单位及其所属单位公司层面、业务活动层面、信息系统总体控制的测试内容和测试单位进行确定的过程。确定测试范围是开展管理层测试、企事业单位自我测试和外部审计师测试的前提。,重要风险和关键控制的确定,确定被测试单位,企事业单位测试范围的确定,评价范围确定程序,2测试范围的确定,1）重要风险与关键控制的确定从内部控制测试的角度出发，在已建立的内部控制体系的基础上，考虑影响财务报告重大错报的风险因素，在集团公司层面确定公司层面控制、业务层面重要风险和关键控制、信息系统总体控制，从而为确定评价范围奠定基础2）测试单位的确定根据审计准则变化，以风险为导向确定测试单位，不再划分重要业务单位、特殊业务单位、一般业务单位。,2测试范围的确定,3）企事业单位具体测试范围的确定在集团公司层面已经确认的公司层面控制、业务层面控制、信息系统总体控制的范围内，以风险为导向，根据不同板块的业务特点和特殊风险，同时考虑各企事业单位的业务差异，确定纳入测试范围的企事业单位所属二级单位及其具体测试内容。下面具体说明三个层面测试范围确定的程序,2测试范围的确定,2测试范围的确定,(1)公司层面测试范围的确定测试内容的确定根据集团公司层面确定的公司层面的控制，公司层面测试的范围包括控制环境、风险评估、控制活动、信息与沟通、监督及反舞弊程序六个方面，共十七个主题（企事业单位不包括董事会、审计委员会、信息披露、风险评估过程）二级单位的确定公司层面测试主要是在企事业单位本部进行，但样本抽查可以在企事业单位范围内进行，涉及的二级单位与业务层面测试确定的二级单位保持一致,2测试范围的确定,公司层面控制涵盖COSO框架的五个要素及反舞弊六个方面，共十七个主题。包括：,2测试范围的确定,（2）业务层面测试范围的确定测试内容的确定在集团公司层面确定的重要会计科目的范围内，依据定量标准和定性分析对企事业单位重要会计科目和重要业务流程进行确定定量标准：针对集团公司层面已经确定的重要会计科目，如果企事业单位会计科目的当期余额或发生额超过集团公司重要会计科目的2%，确定为重要会计科目。定性考虑的因素：会计准则或法律法规变化、以前年度本企事业单位内控测试结果、各企事业单位所在版块的业务特点及相关风险、本企事业单位发生的重大业务变化，如进行的重大收购、兼并活动，重大的项目投产等,2测试范围的确定,内容概要,1定义,2测试范围的确定,3内部控制测试准备阶段,4内部控制测试的现场实施阶段,5内部控制测试总结和报告,6内部控制测试整改,7内部控制年度考核,准备阶段是指从发出测试通知后，测试小组成员进驻被测试单位开始，直至初步完成测试计划的过程。,3内部控制测试准备阶段,3.1测试人员的准备,3.2被测试单位的准备,3内部控制测试准备阶段,3.1测试人员的准备,了解总体情况,取得并审阅内控管理相关文档,编制测试计划,3内部控制测试准备阶段,取得总部的关键控制管理文件，被测试单位的流程图、风险控制文档、业务流程目录等相关文件。,审阅风险控制文档、流程图等相关资料，初步了解业务活动及重要流程控制措施。将业务流程与集团公司确定的风险数据库进行对比，检查是否遗漏重要业务流程，确定流程记录和风险控制文档的完整性。在审阅的基础上，确定需要进行跟单作业的流程（包含关键控制点的流程）。,通过阅读流程图、风险控制文档以及相关的程序文件和规章制度，初步了解被测试单位的流程，编制跟单作业计划表，内容包括需要访谈的岗位名称，访谈人以及被需要被访谈人提供的相关表单等。通过编制跟单作业计划，协调双方的时间安排，提高双方的工作效率。,3.1测试人员的准备,3内部控制测试准备阶段,3.1测试人员的准备,3.2被测试单位的准备,3内部控制测试准备阶段,3.2被测试单位的准备,1、内控管理手册等测试资料,2、各相关部门相应协调配合的工作,3、准备工作记录表单(实施证据),4、提供必要的办公、会议及通讯等条件,5、其他,为测试服务,3内部控制测试准备阶段,内容概要,1定义,2测试范围的确定,3内部控制测试准备阶段,4内部控制测试的现场实施阶段,5内部控制测试总结和报告,6内部控制测试整改,7内部控制年度考核,4内部控制测试的现场实施阶段,内控测试的现场实施阶段包括：对执行控制的岗位人员进行访谈。通过访谈，了解该岗位人员是否真正理解所执行的控制，并对设计层面初步分析存在的问题进行了解，同时记录访谈结果。结合访谈结果，进一步完善测试计划。选取样本，如果从测试起始时间到截止时间，由于业务发生量的限制，无法取得满足要求的样本量，则应该选取已有有全部样本，同时记录样本的选取情况。对样本进行检查,记录检查结果。根据测试内容，测试实施分为设计有效性测试、公司层面测试、业务活动层面测试、信息系统总体控制测试、追加、冗余或补充及补偿性控制测试、例外事项的确认进行介绍,观察执行情况,访谈相关人员,检查内控文档记录,审阅相关文件,检查样本等,记录测试过程,例外事项,复印证据,4内部控制测试的现场实施阶段,内容概要,1定义,2测试范围的确定,3内部控制测试准备阶段,4内部控制测试的现场实施阶段,5内部控制测试总结和报告,6内部控制测试整改,7内部控制年度考核,5内部控制测试总结和报告,总结阶段：汇总整理测试表及抽样测试记录表，将相应内容整理至例外事项汇总表。对测试结果进行分析。对测试发现的例外事项与相关人员进行充分沟通，最终达成一致意见,5.1总结阶段,5.2报告阶段,5内部控制测试总结和报告,5.1总结阶段,1、汇总整理相关测试表及抽样测试记录表，将相应内容整理至例外事项汇总表和样本量分析汇总表中。测试人员汇总全部例外事项和控制缺陷，并归档相关实施证据。如果进行追加测试、补充性测试和补偿性测试的相关工作，也应该在备注中加以说明。2、测试人员汇总发现的问题，对测试结果进行分析，包括分析被测试单位与股份或集团公司关键控制管理文件差异情况、被测试单位的关键控制是否完整、关键控制是否在流程图和程序文件中得到适当的记录；实际执行过程中的差异，包括例外事项主要发生在哪个环节、哪个部门、哪个岗位以及发生频率。分析要先将发现的例外归类并总体陈述，然后按性质,5内部控制测试总结和报告,5.1总结阶段,分析其形成的原因，避免简单的按照测试中发现问题的类型进行分析，要有一定的深度。结果分析必须写入测试报告。3、对测试结果进行沟通确认。对测试发现的例外事项或控制缺陷与被测试部门（人员）进行充分沟通，最终达成一致意见。对确认存在的问题，并提出整改建议。4、对问题进行分类，属企事业单位层面的问题，由企事业单位负责整改，属公司层面的问题，上报项目组，由项目组汇总后上报管理层，由管理层负责整改。,5内部控制测试总结和报告,5.1总结阶段,5.2报告阶段,5内部控制测试总结和报告,5.2报告阶段,5.2.1测试报告的要素5.2.2测试报告的编制程序,5内部控制测试总结和报告,5.2报告阶段,5.2.1测试报告的要素,测试总体情况测试时间、测试人员、测试范围、测试内容等。内部控制体系运行情况简要叙述内控机构设置情况、公司流程及控制的重大变化情况、自我测试及例外事项整改情况等。测试发现与例外事项说明首先说明例外事项总体情况，然后按照公司层面、业务活动层面和信息系统层面分别对重要例外事项进行说明。整改意见及建议针对测试发现的例外事项，归纳总结后提出建议和措施。,5内部控制测试总结和报告,5.2报告阶段,5.2.1测试报告的要素5.2.2测试报告的编制程序,5内部控制测试总结和报告,5.2报告阶段,5.2.2测试报告的编制程序,现场测试组形成测试报告初稿根据测试情况，在核对和综合分析的基础上，汇总形成测试报告初稿。形成正式报告根据测试报告初稿与被测试单位进行沟通。报告上级取得被测试单位签认，上报测试组织部门审核。如被测试单位存在异议，应该进行详细记录并上报测试组织部门。,5内部控制测试总结和报告,5.2报告阶段,5.2.2测试报告的编制程序,测试组织部门审定报告测试负责人审定现场测试组上报的报告及相关资料。撰写报告上报管理层撰写管理层测试报告，上报管理层。,5内部控制测试总结和报告,1定义,2测试范围的确定,3内部控制测试准备阶段,4内部控制测试的现场实施阶段,5内部控制测试总结和报告,6内部控制测试整改,7内部控制年度考核,内容概要,根据测试发现例外，集团公司、股份公司下达测试整改意见书。审计内控部根据整改意见书、总经理办公会审批的测试报告，落实整改单位或部门、整改第一责任人、整改时间要求，下达整改通知书。各部门和单位根据整改通知书的要求，落实整改责任人、整改措施和整改时间，并将整改计划提交审计内控部。集团公司、股份公司和审计内控部将根据发生例外的业务发生频率，组织改进测试，跟踪例外情况，年度为整改例外直接判断为一个重要缺陷。,6内部控制测试整改,1定义,2测试范围的确定,3内部控制测试准备阶段,4内部控制测试的现场实施阶段,5内部控制测试总结和报告,6内部控制测试整改,7内部控制年度考核,内容概要,7内部控制年度考核,7.1集团公司内部控制运行评价管理办法征求意见稿7.2股份公司内部控制运行评价管理办法7.3海外勘探审计与内控考核评价管理办法（试行）,7内部控制年度考核,7.1集团公司内部控制运行评价管理办法征求意见稿7.2股份公司内部控制运行评价管理办法7.3海外勘探审计与内控考核评价管理办法（试行）,为规范中国石油天然气集团公司内部控制运行评价管理，强化内部控制激励约束机制，保障内部控制体系长期有效运行，根据国家有关法律法规和集团公司有关规定，制定本办法。评价范围。包括集团公司总部机关、专业分公司、企事业单位和控股公司。企事业单位内部控制运行评价范围包括企事业单位机关、下属单位和控股公司。评价内容。内部控制运行评价内容包括：1）内部控制基础工作；2）内部控制体系运行的质量和成效。内部控制运行评价占年度KPI指标的5%。评价标准。内控部根据管理实际编制内控运行质量评价标准。其中，内部控制基础工作权重为30%，内部控制体系运行的质量和成效权重为70%。,7内部控制年度考核,7.1集团公司内部控制运行评价管理办法征求意见稿,1）内部控制基础工作：7个指标内控与风险管理委员会和内控与风险管理机构设置及履行职责情况；内控与风险管理制度、标准及规范的制定、贯彻和落实情况；内部控制管理手册的编制、修订和维护情况，业务流程管理信息系统运行维护和管理情况；自我测试工作的开展情况；内控与风险管理培训和宣贯情况；年度内控与风险管理重点工作落实情况；集团公司安排的内控与风险管理日常工作完成情况。,7内部控制年度考核,7.1集团公司内部控制运行评价管理办法征求意见稿,2）内部控制体系运行的质量和成效：4个指标例外事项发现情况；例外事项的影响程度；当年财政年度结束时无法整改例外事项的缺陷评估情况；风险事件缺陷评估结果。,7内部控制年度考核,7.1集团公司内部控制运行评价管理办法征求意见稿,内控运行质量评价标准,7内部控制年度考核,3),内控运行质量评价标准,7内部控制年度考核,评价结果分为杰出、优秀、良好、合格、需要改进、需要重大改进和不合格七个等级，其中，具体标准为：综合评分在120分至130分之间为杰出；综合评分在110分至119分之间为优秀；综合评分在100分至109分之间为良好；综合评分在90分至99分之间为合格；综合评分在80分至89分之间为需要改进；综合评分在70分至79分之间为需要重大改进；综合评分在69分以下为不合格。,7内部控制年度考核,7.1集团公司内部控制运行评价管理办法征求意见稿,直接评价为不达标五种情形未设置内控与风险管理委员会的；未编制、发布内部控制管理手册的；未组织开展自我测试的；根据当年财政年度结束时无法整改的例外事项或年度审计监察等部门发现的风险事件进行缺陷评估，出现重大缺陷的；出现其它影响内部控制有效性的重大问题的。,7内部控制年度考核,7.1集团公司内部控制运行评价管理办法征求意见稿,7内部控制年度考核,7.1集团公司内部控制运行评价管理办法征求意见稿7.2股份公司内部控制运行评价管理办法7.3海外勘探审计与内控考核评价管理办法（试行）,为规范中国石油天然气股份有限公司（以下简称股份公司）内部控制运行评价管理，强化内部控制激励约束机制，保障内部控制体系长期有效运行，根据国家有关法律法规和股份公司有关规定，制定本办法。评价范围。包括股份公司总部机关、专业分公司、地区公司和控股公司。地区公司内部控制运行评价范围包括地区公司机关、下属单位和控股公司。评价内容。内部控制运行评价内容包括：1）内部控制基础工作；2）内部控制体系运行的质量和成效。内部控制运行评价占年度KPI指标的5%。评价标准。内控部根据管理实际编制内控运行质量评价标准。其中，内部控制基础工作权重为30%，内部控制体系运行的质量和成效权重为70%。,7内部控制年度考核,7.2股份公司内部控制运行评价管理办法,1）内部控制基础工作：7个指标内控与风险管理委员会和内控与风险管理机构设置及履行职责情况；内控与风险管理制度、标准及规范的制定、贯彻和落实情况；内部控制管理手册的编制、修订和维护情况，业务流程管理信息系统运行维护和管理情况；自我测试工作的开展情况；内控与风险管理培训和宣贯情况；年度内控与风险管理重点工作落实情况；股份公司安排的内控与风险管理日常工作完成情况。,7内部控制年度考核,7.2股份公司内部控制运行评价管理办法,2）内部控制体系运行的质量和成效：4个指标例外事项发现情况；例外事项的影响程度；当年财政年度结束时无法整改例外事项的缺陷评估情况；风险事件缺陷评估结果。,7内部控制年度考核,7.2股份公司内部控制运行评价管理办法,内控运行质量评价标准,7内部控制年度考核,3),内控运行质量评价标准,7内部控制年度考核,评价结果分为杰出、优秀、良好、合格、需要改进、需要重大改进和不合格七个等级，其中，具体标准为：综合评分在120分至130分之间为杰出；综合评分在110分至119分之间为优秀；综合评分在100分至109分之间为良好；综合评分在90分至99分之间为合格；综合评分在80分至89分之间为需要改进；综合评分在70分至79分之间为需要重大改进；综合评分在69分以下为不合格。,7内部控制年度考核,7.2股份公司内部控制运行评价管理办法,直接评价为不达标五种情形未设置内控与风险管理委员会的；未编制、发布内部控制管理手册的；未组织开展自我测试的；根据当年财政年度结束时无法整改的例外事项或年度审计监察等部门发现的风险事件进行缺陷评估，出现实质性漏洞的；出现其它影响内部控制有效性的重大问题的。,7内部控制年度考核,7.2股份公司内部控制运行评价管理办法,7内部控制年度考核,7.1集团公司内部控制运行评价管理办法征求意见稿7.2股份公司内部控制运行评价管理办法7.3海外勘探审计与内控考核评价管理办法（试行）,7.3.1制定背景,2009年，股份公司为规范内部控制运行评价管理，强化内部控制激励约束机制，保障内部控制体系长期有效运行，根据国家有关法律法规和股份公司有关规定，制定内部控制运行评价管理办法，并要求所属单位根据实际情况制定并执行内控考核评价。二一年二月二十六日公司发文关于印发审计与内控考核评价管理办法的通知，强调为进一步加强审计与内控工作在公司生产经营管理活动中的作用，规范审计与内控考核评价工作，公司研究制定了中国石油海外勘探开发公司审计与内控考核评价管理办法（试行版），要求各所属单位、海外企业认真学习。同时在2010年度企业负责人的KPI指标中纳入了审计与内控的指标，并占5%的比重。,7内部控制年度考核,7.3海外勘探审计与内控考核评价管理办法（试行）,7.3.2评价范围和内容1）范围公司审计与内控评价范围与公司绩效考核体系范围保持一致，涵盖公司本部、各所属单位和各海外企业。2）内容公司年度审计与内控考核评价的内容：年度下达的制度与业务流程建设完成情况；年度内控体系建设完成情况；审计与内控发现问题的整改情况；日常基础工作完成情况。,7内部控制年度考核,7.3海外勘探审计与内控考核评价管理办法（试行）,7.3.2评价范围和内容2）内容公司本部公司年度审计与内控考核评价的内容为审计与内控发现问题的整改情况和日常基础工作完成情况。已建立内部控制体系并发布实施的各所属单位和各海外企业年度审计与内控考核评价的内容为审计与内控发现问题的整改情况和日常基础工作完成情况。本年度正在建设内部控制体系的各所属单位和各海外企业年度审计与内控考核评价的内容为年度内控体系建设完成情况、审计与内控发现问题的整改情况和日常基础工作完成情况。未建立内部控制体系的各所属单位和各海外企业年度审计与内控考核评价的内容为年度下达的制度与业务流程建设完成情况、审计与内控发现问题的整改情况和日常基础工作完成情况。,7内部控制年度考核,7.3海外勘探审计与内控考核评价管理办法（试行）,7.3.3评价形式1.内部审计。指根据公司批准的年度审计计划和公司管理需要，由审计内控部组织开展的审计工作。2.外部审计。指集团公司和股份公司审计部、独立审计师对公司进行的审计。3.内控测试（1）内部控制评价测试。指由公司管理层授权审计内控部组织，按照股份公司内控与风险评价规范、对已建设内控体系的单位开展的测试。（2）集团公司、股份公司组织的内控测试。包括运行评价测试和管理层测试。（3）内部控制的外部审计。指具有资质的审计机构对公司内控体系设计和运行有效性实施检查的过程。,7内部控制年度考核,7.3海外勘探审计与内控考核评价管理办法（试行）,7.3.3评价形式（续）4.制度与业务流程建设与执行的检查。指按照年度下达的制度与业务流程建设指标与评价标准，由公司审计内控部具体组织，对未建内控体系的单位开展的制度与业务流程建设情况和执行情况所进行的检查。,7内部控制年度考核,7.3海外勘探审计与内控考核评价管理办法（试行）,7.3.3评价形式公司本部采取内控评价测试、集团或股份公司组织的内控测试以及内部控制外部审计。已建立内部控制体系并发布实施的各所属单位和各海外企业主要采取审计、内控评价测试、集团公司或股份公司组织的内控测试以及内部控制外部审计等形式。本年度正在建设内部控制体系的各所属单位和各海外企业主要采取内部控制评价测试、审计两种形式。未建立内部控制体系的各所属单位和各海外企业主要采取制度和业务流程的建设与执行检查、审计两种形式。2）评价方法采取定量与定性相结合的方法对各被评价单位的年度审计与内控工作落实情况进行评定。