内部控制审计实施指引.doc

1 内部控制审计内部控制审计 天职国际业规 607 号 目目 录录 1 总则 2 2 内部控制审计概述 2 2 1 内部控制审计的概念和内容 2 3 计划阶段主要工作 2 3 1 了解被测试单位基本情况 2 3 2 根据委托目的确定测试依据和测试范围 3 3 2 1 测试依据 3 3 2 2 测试的内容 4 3 2 3 测试范围 4 4 实施阶段主要工作 4 4 1 术语及定义 5 4 2 确定测试范围 5 4 2 1 企业层面的测试范围的确定 5 4 2 2 业务层面测试范围的确定 6 4 2 3 信息层面测试范围的确定 9 4 3 测试方法 9 4 3 1 企业层面测试方法 9 4 3 2 业务层面测试方法及步骤 11 4 3 3 信息系统层面测试方法 13 5 缺陷评估 15 5 1 缺陷评估的目的 15 5 2 缺陷分类 15 5 3 术语及定义 15 5 4 单个缺陷评估 16 5 4 1 企业层面缺陷评估 16 5 4 2 业务层面缺陷评估 24 5 4 3 信息系统总体控制缺陷评估 25 5 5 缺陷汇总评估 27 5 5 1 缺陷汇总评估的方法 27 5 5 2 缺陷评估标准 28 6 沟通阶段 28 7 出具审计报告 28 2 1 1 总则总则 编写本规程的目的在于帮助本所审计人员规范和提高内部控制审计执业水平 本规程以 中华人民共和国会计法 内部会计控制基本规范 企业内部控制 基本规范 企业内部控制审计指引 企业内部控制评价指引 企业内部控制 应用指引 等与企业内部控制审计相关的规定为依据 结合本所开展中国石油天然气股份 有限公司 中国移动通信集团公司等企业内部控制审计的工作经验 较为全面地介绍了内 部控制审计的内容 程序 方法等知识 本规程包括正文和附件两部分 其中附件包括内部控制审计工作底稿模板和案例 本 所业务人员在执行内部控制审计时 应当按照附件 1 提供的模板编制审计工作底稿 2 2 内部控制审计概述 内部控制审计概述 2 12 1 内部控制审计的概念和内容内部控制审计的概念和内容 2 1 1 企业内部控制审计概念 内部控制审计是指会计师事务所接受委托后 根据客户公司的委托目的 按照规定的程 序 方法和标准对特定基准日内的客户公司内部控制设计的合理性以及运行的有效性进行 测试评价 并通过缺陷评估找出内部控制的薄弱环节 最终出具评价报告的过程 3 3 计划阶段主要工作计划阶段主要工作 根据以往企业内部控制审计的开展情况 按先后时间顺序可将企业内部控制审计工作 分为计划阶段 实施阶段 评价控制缺陷 完成阶段和出具审计报告五个工作阶段 计划阶段的主要工作包括了解被审计单位基本情况 根据委托目的确定测试依据和测 试范围 根据工作内容进行时间安排以及人员分工 前期与被审计单位需沟通事项等 3 13 1 了解被审计单位基本情况了解被审计单位基本情况 项目经理至少应当从下列方面了解被审计单位及其环境 1 被审计单位相关的经营风险 2 被审计单位所在行业的概况以及相关法律法规 3 被审计单位组织结构 经营特点 资本结构和会计政策的选择等相关重要事项 4 被审计单位内部控制发生变化的程度 5 被审计单位现存的内部控制缺陷 了解这些情况 无疑对确定被测试单位的合规性目标 财务报告目标以及初步评估被 审计单位的重点风险领域等方面有很大的帮助 3 3 23 2 根据委托目的确定测试依据和测试范围根据委托目的确定测试依据和测试范围 整个内部控制的测试评价工作都是围绕着委托目的这个核心来开展的 只有明确了委 托目的 我们才能确定测试依据和测试范围 从而避免做无用功 3 2 1 测试依据 测试人员应根据公司的实际情况选择其适用的测试依据 一般来说 测试依据包括 一 我国法律 法规以及规章制度 公司内部控制体系评价必须遵循国家法律 法规以及相关规章制度 主要包括 1 中华人民共和国会计法 2000年7月修订实施的 中华人民共和国会计法 第四条规定 单位负责人对本单位的 会计工作和会计资料的真实性 完整性负责 第二十七条规定 各单位应当建立 健全本 单位内部会计监督制度 2 内部会计控制基本规范 及货币资金 采购与付款 销售与收款 工程项目 对 外投资和担保等6项内部会计控制具体规范 财政部于2001年颁布实施的 内部会计控制基本规范 规定 单位负责人对本单位内 部会计控制的建立健全及有效实施负责 3 财政部 证监会 审计署 银监会 保监会联合下发的 企业内部控制基本规范 企业内部控制审计指引 企业内部控制应用指引 企业内部控制评价指引 除此之外 还应将被测试单位的监管机构的相关规定作为测试的依据 如上市公司还 应遵循证监会以及证交所 上海 深圳 的相关规定 中央企业则应遵循国资委的相关规 定 证券 保险 银行等金融机构还应遵循相应的中国人民银行 证监会 保监会 银监 会等监管机构的相关规定 二 海外上市地法律法规及监管机构的规定 在海外上市的公司 内部控制体系评价还应当遵循上市地法律法规及监管机构的规定 如在纽约上市 则应遵循 1 美国 萨班斯 奥克斯利法案 2002年7月实施的美国 萨班斯 奥克斯利法案 第404条款 要求在美上市公司必 须建立并保持有效的财务报告内部控制 并要求财务报告的签署人对此负责 2 美国证券交易委员会 SEC 解释性指南 针对在美上市公司实施美国 萨班斯 奥克斯利法案 美国证券交易委员会 SEC 于2007年6月通过了SEC解释性指南 旨在为在美上市公司如何实施美国 萨班斯 奥克斯利法案 第404条款提供帮助 3 美国上市公司会计监管委员会 PCAOB 审计准则5号 4 美国上市公司会计监管委员会 PCAOB 于2007年5月通过的第5号审计准则 与财 务报表审计相结合的财务报告内部控制审计 虽然适用对象是外部审计师 但管理层内部 控制体系评价的重大方面需要与外部审计师保持趋同 因此 PCAOB审计准则5号也将对公 司内部控制体系评价产生重要影响 三 公司内部控制体系及其他相关规定 主要是指被测试单位的内部控制体系及其相应地管理规章制度 3 2 2 测试的内容 完整的测试内容一般包括企业层面 业务层面和信息系统层面 如果被测试单位并无 完善的信息系统 则测试内容一般包括企业层面和业务层面 3 2 3 测试范围 测试范围确定是否恰当直接关系到整个测试工作的成败 明确了测试的目的的前提下 若确定的测试范围过大 必然导致工作量的增加 不符合成本效益原则 若确定的测试范 围过小 则难以完成后续缺陷评估的工作 不足以支持最终形成的评价意见 因此 确定 测试范围时必须以委托目的为核心 与被测试单位协调的基础上 以合理 有效 成本效 益最大化的原则确定测试范围 一 确定测试目标 测试目标就是测试被测单位的内部控制的设计与运行的有效性 二 明确测试范围确定的总原则 测试范围的确定是从评价的角度 按照 自上而下 风险导向 的基本方法 最大限 度的发现财务报告内部控制存在的重大缺陷 自上而下 从财务报告层面和企业层面控制开始依次确定重要会计科目和披露事项 重要业务流程 财务报表认定 重要风险和控制 同时考虑对内部控制可能产生重大影响 的变化因素 风险导向 在进行内部控制测试时始终以风险评估为基础 重点关注与财务报告重大 错报相关的重要风险和关键控制 三 确定测试范围 主要根据客户的委托目的确定企业层面 业务层面和信息系统层面的测试范围 而在 具体的测试实施过程中 还将会结合企业的内部控制设计和运行情况进一步确认测试范围 结合4 2 4 4 实施阶段主要工作实施阶段主要工作 本部分主要是从企业层面 业务层面 信息系统层面描述内控测试的术语及定义 测 试范围的确定 测试方法等 5 4 14 1 术语及定义术语及定义 1 内部控制测试 按照规定的程序 方法和标准 针对内部控制目标 对公司内部控 制体系设计和运行的有效性进行检查 旨在发现内部控制体系在设计层面和执行层面是否 存在偏差 2 内部控制设计有效性 如果某项控制由拥有必要授权和专业胜任能力的人员按照规 定的程序与要求执行 能够实现控制目标 表明该项控制的设计是有效的 3 内部控制运行有效性 如果某项控制正在按照设计运行 执行人员拥有必要授权和 专业胜任能力 能够实现控制目标 表明该项控制的运行是有效的 4 穿行测试 指在重要业务流程中选取一笔业务 从业务发生开始 一直追踪到该笔 业务反映到公司财务报告的测试过程 5 关键控制测试 是指采用抽样测试的方法 对业务活动层面关键控制执行的有效性 进行的检查 6 重要会计科目和披露事项 如果某会计科目和披露事项出现错报 并且单独或与其 他会计科目或披露事项汇总时 有可能对财务报表产生重大影响 那么该会计科目和披露 事项就是重要会计科目和披露事项 7 重要业务流程 为了确定业务活动层面测试范围 按照一定的方法和标准确定的与 重要会计科目和披露事项相对应的业务流程即重要业务流程 8 财务报表认定 通过识别重要会计科目和披露事项中影响财务报告错报的主要因素 从存在与发生 完整性 估价与分摊 权力与义务 表达与披露等五个方面 针对财务报 告的控制目标 对在内部控制体系设计层面和执行层面需要关注的重要会计科目所做出的 确认 9 重要业务单位 是为了确定测试范围 按照一定的方法和标准确定的对财务报告有 重大影响的业务单位 4 24 2 确定测试范围确定测试范围 本部分主要从企业层面 业务层面 信息层面介绍测试范围确定的方法 4 2 1 企业层面的测试范围的确定 企业层面一般均需进行测试 需经过被测试企业内部控制委员会的确认通过 测试要 把握住重要性原则 重点关注以下几个原则 1 企业层面是否存在较大变化 通过访谈公司高层管理人员了解公司本年度内是否 存在对内部控制可能产生重大影响的变化因素 比如存在组织结构 业务范围和业务流程 的重大变化 会计准则或法律法规变更 舞弊情况的发生等 2 前期是否进行过企业层面测试 公司本年度内是否进行过企业层面的测试 如果 本年度进行过企业层面的测试 且截止到本次测试企业层面未发生较大变化 则无需进行 6 测试 3 前期测试是否存在企业层面的控制缺陷 前期测试存在控制缺陷 本次需要对前 期测试存在控制缺陷的控制进行重新测试 且在此基础上考虑以上两条原则 4 公司高层管理人员的意愿 公司高层管理人员认为企业层面需要进行测试的 无 须考虑以上几个原则 重点关注以下几个方面 1 与内部环境相关的控制 2 针对董事会 经理层凌驾于控制之上的风险而设计的控制 3 企业的风险评估过程 4 对企业内部信息和财务报告流程的控制 5 对控制有效性的内部监督和自我评价 4 2 2 业务层面测试范围的确定 在确定业务层面的测试范围时应以风险为导向 并考虑企业层面控制 从重要会计科 目和披露事项的确认开始 依次确定重要业务流程 确认和记录相关的财务报表认定 最 后确认重要风险和关键控制 一 确定重要会计科目和披露事项 如果某会计科目和披露事项出现差错 并且单独和其他会计科目汇总时 有一定可能 性对财务报表产生重大影响 那么该会计科目和披露事项应确认为重要的会计科目和披露 事项 1 重要会计科目的确定 应从定量和定性两方面来判断是否属于重要会计科目 参考内外部审计师的意见 同 时关注影响重要会计科目的风险变化因素 1 定量标准 1 一般应选择合并财务报表税前利润的5 作为确认重要会计科目的定量标准 2 为了确保重要会计科目不被遗漏 在确认重要会计科目时 将指标降低50 即按 税前利润的2 5 作为重要会计科目确认的定量标准 以后每年度对财务报告的内控体系进 行评价时 需要根据具体情况 如风险的高低和业务的变化等情况 定量标准的降低水平 可在25 至50 之间进行调节 3 凡是会计科目的当期余额或发生额大于或等于定量标准 即税前利润的2 5 的 直接确认为重要的会计科目 对于会计科目的当期余额或发生额小于定量指标 即税前利 润的2 5 的 还必须从定性的角度 确认是否属于重要会计科目 2 定性标准 7 1 会计科目核算的业务发生错误或舞弊造成错报的可能性 例如 现金科目的期末余额一般不大 不会超过上述定量标准 但由于现金很可能发 生收支错误 被盗或舞弊事项 存在错报的可能性 因此从定性的角度将现金科目确认为 重要会计科目 2 会计科目核算的业务所包含的交易数量 复杂程度和类似程度 例如 销售过程中的产成品的入库 出库 由于频繁发生 发生错误的可能性比较大 因此 将存货项目所包含的会计科目确认为重要的会计科目 3 会计科目相关的交易事项本身具有较强的经营风险 可能存在重大的财产损失 例如 长期投资存在因为决策失误 资本市场波动而产生重大损失的可能性 因此 将长期投资确认为重要会计科目 4 与或有负债相关的会计科目 由于存在潜在的损失和支付风险 因此 将此类会计 科目确认为重要会计科目 例如 未决诉讼 债务担保 产品质量保证 亏损合同 重组义务所产生的预计负债 记录金额需要较强的专业判断和会计估计 并且存在潜在的损失风险和支付风险 因此 将预计负债确认为重要的会计科目 5 与该会计科目相关的会计处理和报告较复杂 例如 各项减值准备的测算 需要具有较强的职业判断 并具有较高的专业测算水平 因此 将各项减值准备作为重要会计科目 6 本年度发生交易或事项预计给企业带来经济利益所对应的科目 例如 当年新发生的筹建期间的开办费 租入的固定资产改良工程支出所对应的会计 科目长期待摊费用 应确认为重要的会计科目 7 会计科目核算内容是否包含大量的关联交易 例如 油气田发生的地质勘探支出存在着大量的关联交易 因此 将地质勘探支出确 认为重要会计科目 8 会计准则或法律法规变化的影响结果 例如 新会计准则的颁布执行有可能导致相关会计科目和会计核算发生重大变化 该 会计科目有可能被确认为重要会计科目 9 附属科目的确定 例如 固定资产为重要的会计科目 其附属科目累计折旧等也应确认为重要的会计科 目 3 确定重要会计科目的特殊考虑 1 分解的原则 对部分核算内容较多 业务流程较为复杂 风险程度差异较大的会计 8 科目进一步分解 如果本部与下属公司的会计科目不一致 应按照层级进行分解 如果一 致侧无需分解 例如 存货包括库存商品 产成品 在产品 原材料和包装物等 其内容分属不同的 环节 风险程度也不同需要进一步的分解 应收帐款一般按照具体的客户名称进行明细记 录侧无需进一步分解 2 获取财务报告并对相关科目进行分解之后按照定量的标准进行重要会计科目的确认 并且对重要的会计科目进行定量和定性的评价 A 资产负债表上的项目的期末余额与定量标准进行比较 期末余额大于定量标准的 即确认为重要的会计科目 B 利润表的发生额与定量标准进行比较 大于定量标准的确认为重要会计科目 C 对于未达到定量标准的会计科目 按照定性标准进行分析 2 重要披露事项确定 1 上一年度财务报告中的每项附注都是报告使用者关心的事项 财务报告中的会计 报表附注 全部确认为重要的披露事项 2 考虑当年可能影响重要会计科目和披露事项的变化因素 对重要披露事项进行调 整 二 重要业务流程确定 在重要会计科目和披露事项确认的基础上 进一步确定与重要会计科目相对应的业务 流程 即重要业务流程 三 财务报表认定 在完成重要会计科目和披露事项的确认及其业务流程的对应后 公司应区分不同情况 确定和记录财务报表认定 财务报表认定是进行风险评估进而确保财务报告内部控制体系设计有效性的基础 只 有满足重要会计科目的财务报表认定 才能财务报告内部控制的有效性 1 对新增的且没有会计报表认定的会计科目从五个方面对财务报表进行认定 1 与发生 资产与负债在财务报表截止日是否存在 收入 费用是否已经在财务报 告期间已经入账 例如 库存商品应真实存在并且可以销售 2 完整性 公司所有的交易和事项是否已经全部记录 例如 当起所有的销售收入 和费用支出是否已经全部反应在财务报告中 3 估价与分摊 确认公司的资产 负债 权益 收入和费用是否已经按照正确的金 额反映在财务报告中 例如 应收账款应该按照可变现净值计算并确认坏账准备 4 权利与义务 公司用有或者控制的资产确定为权利 公司应履行的偿还义务为公 9 司的负债 例如 融资租赁产生的权利与义务 5 表达与披露 确定在财务报告中恰当的归类 描述 披露等 例如 利润表中非 常规项目的归类和描述是否恰当 2 对于已进行财务报表认定的重要会计科目 考虑可能影响财务报表认定的相关因素 判断已确认的财务报表认定是否恰当 如果不恰当进行相应的修改 可能影响财务报表认 定的相关因素有 会计准则或法律法规变更 业务流程变化导致的新的风险因素 以前年 度测试的情况 包括以前年度内部控制测试和内外部审计结果等 四 重要风险和关键控制确定 一 重要风险确定 在财务报表认定和重要业务流程确认的基础上 区分不同的情况对重要风险进行确定 1 对于新增的且没有确认重要风险的业务流程 2 对于已确认重要风险的业务流程 在关注风险变化因素的基础上 对原确认的重要 风险进行分析 影响重要风险的主要因素如下 业务流程发生重大变化 信息系统的广泛 使用和更换 会计准则或法律法规变更 以前年度的测试和审计发现 舞弊情况的发生等 二 关键控制确定 在重要风险确认的基础上 针对控制目标 区分不同的情况对关键控制进行确认 1 对于新增的且没有确认关键控制的重要风险 充分考虑控制目标 确认关键控制 2 对于已确认的关键控制 考虑对应的重要风险的变化及控制目标的变化 对原来确 认的关键控制进行分析 4 2 3 信息层面测试范围的确定 应用系统控制的确定采用与业务活动层面控制确认相同的方法 在确认了重要会计科 目与重要业务流程的基础上 根据管理层的需要 基于风险导向的原则还可以进行进一步 的筛选 对应用系统自动控制进行进一步的筛选主要依据如下因素 1 上年测试结果表明应用系统自动控制运行有效 2 总体控制测试表明公司的总体控制运行有效 尤其是变更管理与项目建设领域 3 应用系统自动控制自上一次测试有效以来 没有发生变更升级 其他的变更活动 也没有对自动控制造成影响 基于成本效益原则和筛选过程中的职业判断可能会造成测试结果的误差 对外部审计 师的工作也会产生影响 因此 对于应用系统自动控制可不做进一步的筛选 而全部进行 测试 这样可靠性会更高 10 4 3 测试方法测试方法 4 3 1 企业层面测试方法 在企业层面的测试范围确定以后 主要针对企业层面内部控制设计和运行的有效性进 行检查 为内控体系的有效性提供保证 测试的依据是被测单位内控手册 一 测试的目的 通过企业层面控制测试 查找内控设计和执行方面的问题 确保公司内部各个领域都 有适当的控制机制在发挥作用 二 测试步骤 1 访谈被测试单位的内控部相关领导了解公司的组织机构 职责划分 内控建设情况 上年测试结果 下属公司总体情况 对被测试单位的内控设计进行初步了解 获取企业层面控制测试手册及涉及的相关制度文件 从内控执行有效性对被测试单位 进行初步了解 编制测试计划表 2 审阅相关制度文件 访谈执行控制的岗位人员了解内控关注的要点涉及的制度文件 政策程序是否存在 是否根据规定的程序进行更新维护 了解执行控制的岗位人员是否真 正理解所执行的控制 并对设计层面存在的问题进行了解 同时记录访谈结果 采用观察的方式针对正在执行的控制或步骤进行现场见证 补充完善 测试表 3 根据内控测试的抽样原则抽取样本 参见表4 1 内控测试的抽样原则 编制 抽 样表 针对抽取的样本检查 设计的控制在实际工作中是否执行 控制执行是否与该控制对 应的文件规定相符合 且留下了重要实施证据 同时对设计有效性测试发现的控制缺陷通 过检查样本进一步验证是否是设计方面存在问题 表4 1 内控测试抽样原则 不定期发生次数固定控制频率 折合频率样本数量 不适用0 每年一次1 每半年一次2 每季一次2 15 次以下每月一次2 5 15 次和 50 次之间每周一次5 15 50 次和 200 次之间每日一次20 40 大于 200 次每日数次25 60 4 通过测试发现在相关控制方面出现不容易理解或有异义 不能达到测试目标 应进 11 一步与相关人员进行访谈或重新进行测试 编制测试底稿 并将测试底稿交由项目主审进 行审核 5 记录企业层面控制测试过程及结果 与被测试单位进行沟通确认 完善 测试计划 表 对测试发现的控制缺陷的相关证据取得复印件或扫描件 没有控制缺陷的只需要在相 关表单中进行记录 不需取得复印件或扫描件 存在控制缺陷的编制 企业层面控制缺陷 汇总表 4 3 2 业务层面测试方法及步骤 一 测试的目的 验证被测单位确定的重要风险和关键控制的完整性和合理性 验证关键控制设计的有 效性 检查被测单位是否制定了与控制实施相关的制度 确认的控制 一般控制和关键控 制 是否被有效执行 该控制执行后能否防范风险等 业务层面控制测试通过跟单和关键控制测试两种方式进行 以下分别从跟单和关键控 制两个方面对业务层面测试进行介绍 4 3 2 1 穿行测试 穿行测试是指在重要业务流程中选取一笔业务 从业务发生开始 一直追踪到该笔业 务反映到公司财务报告的测试过程 一 测试方法 穿行测试的方法主要有 询问 观察和检查 1 询问 主要采用访谈的方式 访谈对象原则上是业务流程中的关键执行人员 如果 无 法直接访谈 也可以访谈部门负责人或其他熟悉该流程的人员 2 观察 针对有必要观察的正在执行的控制或步骤进行现场见证 获取控制证据 3 检查 检查在穿行测试中包括两个方面 一方面对文件制度的检查 重点是文件制 度中是否做出相关规定 另一方面是对实施证据的抽样检查 抽取的样本应能够贯穿重要 业务流程的全过程 具有代表性和普遍性 原则上穿行测试只抽取一个样本 二 操作实施要求 被测试单位根据测试要求 配合测试人员工作 及时提供资料 安排相关业务人员进 行访谈 并对测试结果进行确认 三 操作实施步骤 1 获取内控手册及相关制度文件 查看内控手册 初步了解业务活动层面的重要风险 及关键控制措施 如果测试人员不理解内控手册 及时与被测试单位进行沟通 编制 穿 行测试计划表 2 访谈相关业务人员了解其对业务流程的理解程度 业务流程的运行情况 变化情况 以前年度存在问题的整改情况 并从设计层面初步分析整改后是否达到控制目标 分析其 12 合理性 对有必要观察的正在发生的特定控制进行观察 进而获取控制证据 补充完善 穿行测试计划表 3 从重要业务流程的开始至结束抽取一笔业务 该笔业务应贯穿整个流程 能够代表 重要业务流程中的主要业务类型 具有一定的普遍性 检查设计的控制是否被有效执行 该控制执行后是否能防范重要风险 验证访谈结果是否准确 检查样本时应重点关注 1 设计方面文本规范性的问题 主要是指控制描述不规范 但不影响控制设计与执 行的有效性的问题 测试人员在测试过程如果发现此类问题 在测试结束后与被测单位进 行沟通 提出整改建议 此类文本规范性问题可以不作为控制缺陷 不在测试表和汇总表 中体现 但测试报告中应按类别反映测试情况 2 通过检查样本进一步验证设计方面发现的问题 对执行层面发生的控制缺陷 应 分析控制缺陷产生的原因 是否是因为设计方面存在问题而产生陷控制缺陷 复印或扫描 控制缺陷涉及的相关证据 4 对查证内容进行分析整理 完善 穿行测试计划表 和 抽样测试表 并交由项目 主审进行审核 5 对测试结果进行沟通确认 对测试发现的控制缺陷与被测试单位进行充分沟通 最 终达成一致意见后由被测试单位相关人员签字确认 4 3 2 2 关键控制测试 关键控制测试是在确定业务流程关键风险控制的基础上 采用抽样测试的方法 对业 务活动层面关键控制执行的有效性进行的检查 关键控制测试的目的是查找关键控制执行方面存在的问题 确保设计有效的关键控制 在公司得到有效执行 一 测试方法 关键控制抽样测试主要采用询问 观察 检查 再执行等方法 1 询问 询问的对象原则上是执行该项控制的人员 如果无法访问 也可以访谈部门 负责人或其他熟悉该项控制的人员 通过询问了解被访谈人对该控制措施是否理解 是否 知晓如何实施控制 2 观察 针对有必要观察的正在实施的关键控制进行现场见证 获取控制证据 3 检查 以样本代表总体 通过抽样的方式检查样本 判断关键控制总体执行情况的 一种方法 测试人员在确定样本总体 选取样本 确定样本量时应依据一定的方法进行 4 再执行 主要是对需要通过再执行验证执行有效性的关键控制 由测试人员通过重 新执行该项控制 检查该控制实际执行结果是否有效 二 操作实施要求 13 测试范围下发以后被测试单位被测试人员协助测试人员提供资料 安排相关人员进行 访谈 抽取样本 内部控制管理委员会对测试结果进行确认 三 操作实施步骤 1 获取被测试单位的内控手册 对被测试单位的重要风险和关键控制措施进行初步了 解 并根据测试范围编制 关键控制测试计划表 2 对执行控制的人员进行访谈 访谈内容包括控制的程序和具体内容 做什么 执行 该控制的依据和方法 如何做 等 通过访谈 了解该业务人员对该控制的理解程度 同 时 在 关键控制测试表 中详细记录访谈结果 结合访谈结果 确定样本总体 并根据 控制频率确定样本数量 参考 内控测试的抽样原则 抽取样本 如果无法取得要求的样 本 则应该选取已有的全部样本 并在测试计划表中记录 3 对样本进行检查 重点检查重点风险是否得到控制 控制过程是否有效 控制实施 证据是否完整有效 除抽样检查外结合观察 再执行等方法进行测试 在 抽样测试记录 表 中记录 存在控制缺陷的编制 控制缺陷记录表 将测试底稿交由主审进行审核 4 与被测试单位进行沟通确认 如果是控制缺陷则在报告中体现 并提出整改方案 4 3 3 信息系统层面测试方法 一 测试目的 验证被测试单位的信息技术控制环境 程序开发 程序变更 对程序和数据的访问以 及计算机运维是否建立了有效的控制 控制有效运行之后 信息系统的风险能够被有效规 避 二 测试方法 信息系统控制测试采用访谈 观察 再执行 抽样检查等方法 在采用抽样检查的方法时 测试人员采用随机的方式选取样本 但是同时考虑以下两 个因素 1 抽取样本时间的均匀分布 不能集中抽取某一期间的样本 2 常规业务样本与非常规业务样本的均匀分布 在测试时 样本对应的业务不能集中 在一种类型 尽量覆盖样本所涉及的业务类型 三 术语及定义 信息技术一般性控制测试 是保证应用控制有效实施的基础 信息系统一般控制是指 与网络 操作系统 数据库 应用系统及其相关人员有关的信息技术政策和控制活动 以 确保信息系统持续稳定运行 支持应用控制的有效性 信息技术一般控制领域测试时应考 虑以下五个领域 信息技术控制环境 对程序和数据的访问 程序变更管理 程序开发管 理 计算机运维 信息系统应用控制测试 应用控制直接与业务 财务数据相关 负责信息系统处理过 14 程中数据的完整性 准确性 真实性 应用控制主要是支持财务报表的生成或者为财务报 表提供了数据支持 信息系统应用控制是在业务流程中为了合理保证应用系统能够准确 完整 及时完成 业务数据的生成 记录 处理 报告交易等功能而设计 执行的信息技术控制 权限测试 权限测试是信息技术一般性控制测试和信息系统应用控制测试的重要组成 部分 主要测试信息系统是否存在多余权限 职责不相容的情况等 四 操作实施步骤 信息系统一般控制测试 应用控制测试 权限测试均参考以下测试步骤 1 组织项目成员调查被测试单位信息部门的组织结构 岗位人员设置 网络拓扑结构 以及应用系统的使用情况 具体应调查以下方面 人员调查 了解信息部门的组织结构 人员岗位以及联系方式 信息系统调查 了解信息系统的功能用途 相应的操作系统和数据库 服务器的 物理位置 系统使用部门 系统管理部门 系统近期升级变更情况以及分布情况等等 网络结果调查 包括网段的划分 网络中集线器 路由器等设备的位置 型号等 并让客户单位提供网络拓扑图 以前年度的测试情况 了解信息系统以前年度测试情况 是否存在控制缺陷 控 制缺陷是否已经整改 2 根据前期确定的测试范围和调查结果 对信息系统一般控制和应用控制做穿行测试 判断客户设计的一般控制在设计上是否能有效预防或者监控相应的风险 穿行测试的步骤 需要根据客户设计的控制进行针对性的设计 设计测试步骤至少需要满足 必须访谈控制实施人员了解控制执行的细节 必须检查控制实施射击的证据 3 根据穿行测试的结果对设计有效且被实施的控制进行抽样测试 判断控制的执行是 否有效 确定样本总体 样本总体在控制测试中是指控制实施活动的汇总 例如客户在信 息安全管理领域要求在办公网络内的所有个人电脑密码都必须达到一定的复杂程度 即操 作系统密码至少是6位 而且不能全部为数字 那么此控制点的样本总体就是办公网络内的 所有个人电脑 因为所有处于办公网络内的个人电脑在入网前必须实施这一控制活动 在确定样本总体以后 需要确定检查样本的数量 检查的样本数量是根据测试期 间样本的发生频率进行确定的 参见表4 2 表4 2 信息系统层面测试抽样原则 控制类型不定期发生次数固定控制频率 折合频率样本数量 自动应用控制 不适用0 15 每年一次1 每半年一次2 每季一次2 15 次以下每月一次2 5 15 次和 50 次之间每周一次5 15 50 次和 200 次之间每日一次20 40 手工控制 半自动应用控制 大于 200 次每日数次20 60 在确定要应抽取的样本数量以后 信息系统测试人员应根据重要性的原则进行样本选 择 重要性原则仅适用于发生频率大于每半年一次的控制点 自动控制不适用重要性的原 则 而且对于全样本测试的控制点由于不存在选择样本的过程 因此不适用 对抽取的样本进行检查 检查样本时应考虑两个方面 一是检查控制实施的最终 结果是否准确有效 二是检查控制实施后的实施证据是否与客户设计的流程一致 是否准 确完整 填写 控制测试工作底稿 4 将测试结果由项目主审审核后交由被测试单位进行确认 如果存在控制缺陷的对相关 资料进行复印 填写 控制缺陷汇总表 5 补充完善工作底稿 一般控制识别工作底稿 应用控制识别工作底稿 控制测试 工作底稿 控制缺陷汇总表 5 缺陷评估缺陷评估 缺陷评估是以规定的程序 方法和标准 对内部控制测试发现的控制缺陷进行综合分 析 进而评估内部控制是否存在缺陷以及导致财务报告错报的影响程度和发生可能性的过 程 本部分主要以单个控制缺陷分析为基础 由于与特定会计科目 披露事项以及COSO 要素相关的多个控制缺陷增加了错报的可能性 还进一步对控制缺陷进行汇总 以此确定 汇总后的缺陷是否构成重要缺陷 5 1 缺陷评估的目的缺陷评估的目的 评价基于一定控制目标的内控体系 在设计层面和执行层面是否存在控制缺陷以及缺 陷的影响程度 为发布内部控制审计报告提供依据 5 2 缺陷分类缺陷分类 内部控制缺陷按期成因分为设计缺陷和运行缺陷 按其影响程度分为重大缺陷 重要 缺陷和一般缺陷 5 3 术语及定义术语及定义 控制缺陷 如果控制在设计或运行中 无法让管理层和员工在正常执行所分配工作时 及时地预防或发现错报 则为控制缺陷 设计缺陷 缺少实现控制目标所必须的控制 或者现有控制没有得到合理的设计 即 16 使按照设计运行 也无法实现控制目标 则为设计缺陷 运行缺陷 如果一个设计适当的控制未按照设计运行 或者执行人员没有适当的授权 或能力有效运行控制 则为运行缺陷 重大缺陷 控制缺陷或者控制缺陷的集合 此缺陷有合理可能性不能预防或发现公司 年度或中期财务报告的重大错报 重要缺陷 控制缺陷或者控制缺陷的集合 此缺陷虽未达到重大缺陷的严重程度 但 足够引起公司财务报告监管人员的注意 一般缺陷 控制缺陷或者控制缺陷的集合 此缺陷虽未到达重要缺陷的严重程度 但 也应引起公司管理部门的关注 总体影响水平 在考虑补充性控制 补偿性控制之前 不考虑偏差率上限或错报发生 的可能性 对缺陷影响年度或中期财务报表的余额或发生额的最保守估计 影响总体影响 水平的因素包括 1 受缺陷影响的年度或中期财务报表余额或发生额 2 受缺陷影响的会计科目或交易类型在本年度或中期财务报表期间已发生的或预计将 来会发生的交易数量或业务数量 5 4 单个缺陷评估单个缺陷评估 对企业层面 业务层面 信息系统层面出现的控制缺陷进行单个缺陷评估 分别运 用企业层面缺陷评估程序 业务层面缺陷评估程序 信息层面缺陷评估程序 对单个控 制缺陷进行分析确认初步判断是否确认为控制缺陷 5 4 1 企业层面缺陷评估 企业层面缺陷评估通常不会直接导致财务报告错报 但会增加业务活动层面财务错 报的可能性 因此企业层面控制缺陷评估一般很难使用量化的方法 主要采取定性分析 逐项分析缺陷发生的原因 缺陷的性质 缺陷的影响程度和错报发生的可能性等因素 进一步判断缺陷的类别 一 企业层面缺陷评估的步骤 1 对未整改或已整改但未达到合理运行时间的控制缺陷进行汇总整理 测试人员与被 测试单位进行沟通 分析控制缺陷发生及未整改的原因 2 分析判断控制缺陷是否属于重大缺陷的范畴 属于此范畴的 进行重大缺陷分析 如果不属于此范畴的 进行重要缺陷和一般缺陷的分析 1 重大缺陷分析 针对属于重大缺陷范畴的控制缺陷 判断是否存在有效的补充或补偿控制 补充性控 制 在同一关键控制中存在多个作业步骤 这些步骤共同作用以实现相同控制目标 如果 其中一个或几个作业步骤没有执行或执行错误 但其余作业步骤执行有效 就可以确定该 17 控制存在补充性控制 不同控制共同作用以实现相同控制目标 如果其中一项或几项控制 没有执行或执行错误 其余控制执行有效 就可以确定该控制存在补充性控制 补偿性控 制 在同一关键控制中存在多个作业步骤 这些步骤分别在一定的准确性水平上运行 可 以预防或发现重大的错报 如果其中一个或几个作业步骤没有执行或执行错误 但在某一 准确性水平上的其他步骤的控制得到有效执行 就可以确定该控制存在补偿性控制 相互 关联的不同控制在一定准确性水平上运行 可以预防或发现重大的错报 如果其中一项控 制没有执行或执行错误 但在某一准确性水平上的其他控制得到有效执行 就可以确定该 控制存在补偿性控制 再进行定性分析 考虑可能性和影响程度等因素后 如果一个谨慎 的管理者认为该控制缺陷对财务报告产生重大错报 该控制缺陷确认为重大缺陷 2 重要缺陷分析 对不属于重大缺陷的控制缺陷 判断是否存在有效的补充或补偿控制 再进行定性 分析 考虑可能性和影响程度等因素后 如果一个谨慎的管理者认为该控制缺陷对财务 报告产生的影响水平低于重大缺陷造成的影响 但足以引起公司财务报告监管人员的注 意 该控制缺陷确认为重要缺陷 3 一般缺陷分析 对控制缺陷与财务报告错报或漏报的关联程度进行定性分析 如果该缺陷对财务报 告的错报或漏报没有直接影响 如果一个谨慎的管理者认为其对财务报告产生的影响水 平低于重要缺陷造成的影响 但也应引起公司管理部门的关注 该控制缺陷确认为一般 缺陷 企业层面缺陷的评定标准 1 以下任一情况可视为重大缺陷的判断标准 1 识别出董事 监事和高级管理人员舞弊 由于高层基调在整个控制环境中的重要作用 高级管理层的任何程度舞弊都会对控 制环境产生消极影响 所以与财务报告相关的董事 监事 高级管理层人员任何程度的 舞弊行为都会造成重大缺陷 舞弊行为分为财务报告舞弊 资产不当使用 不实的收入 费用及负债 资产的不 当取得 偷税和高层舞弊等六个方面 A 财务报告舞弊 包括人为调整报表事项 人为变更会计处理方法 会计数据未经 授权修改 资本公积金使用舞弊 不适当和不充分的披露等 B 资产不当使用 包括侵吞资金 挪用资金 账外 小金库 虚假发票和盗卖资产 等 截留 虚发工资 少缴社会保险 多计工程造价 虚列项目套取资金等 C 不实的收入 费用及负债 包括商业和政府的行贿 以购 领 代耗形成账外料 人为调节资本性支出和损益性支出等 D 收入和资产的不当取得 多列成本 少列支出等确认计提时舞弊 评估不实造成 资产虚构等 18 E 偷税 有意不按规定及时 足额缴纳税费 未经税务部门批准在税前列支非正常 损失 F 高层舞弊 授意对财务报告调整 2 企业更正已经公布的财务报表 企业按规定期限报送已签发的财务报告 含年报和半年报 后 如果企业对财务报 告重新报送以更正财务报告中的错报 包括对报告年度财务报告错报进行更正重报和以 前报告年度出现的错报在当年财务报告中进行更正 此类情况可认定存在重大缺陷 但公司由于国家规定的会计准则和制度变化 上市地会计准则变化以及公司按规定 由于经济环境 客观情况的改变而进行会计政策调整 需要对以前报告年度的财务报告 进行追溯调整的 不属于此类情况 3 发现当期财务报表存在重大错报 而内部控制在运行过程中未能发现该错报 当公司完成财务报告编制并正式签发提交外部审计师审计后 外部审计师发现财务 报告中存在重大错报 例如大于税前利润的3 即使后来公司也对上述重大错报进行 了更正并重新编制了财务报告 仍属于存在重大缺陷 4 企业审计委员会和内部审计机构对内部控制的监督无效 2 以下任一情况可视为重要缺陷的判断标准 1 沟通后的重大缺陷没有在合理的期间得到的纠正 外部审计发现的重大缺陷 在与管理层 审计委员会沟通后 公司没有及时整改或 整改后没有充足的时间满足确认该缺陷纠正后是控制有效 具体见下表 表 5 1 内控有效运行的频率和执行周期 控制频率在报告日前的建议执行时期 每季2 个季度 每月2 个月 每周5 周 每天20 天 一天多次执行 25 次需要的天数 2 控制环境无效 控制环境无效是一个宽泛的 综合的评价 涉及控制环境所有要素及管理层对重要 政策的制定和宣贯 下述事项中 如有一个或者一个以上不符合要求 视为控制环境无 效 A 高级管理层在全公司范围推动内部控制管理程序 建立公司治理结构 明确规定董事会 审计委员会 高管 业务单位领导 业 19 务具体负责人 内部审计等职责 公司的制度 政策必须在全公司得到贯彻执行 建立全面的内部控制文档记录 并对内部控制体系的实施及持续维护进行监督 实施定期评估 确保有关财务报告的内部控制在全年持续有效地运行 对缺陷 进行整改 并及时更新相关文档记录 B 会计政策和程序 管理层应建立适当机制以获得会计准则的变化以及其他涉及财务报告要求的法规的 更新 主要内容包括 编制会计政策手册 向各级管理人员传达并严格遵守 定期审核和更新会计政策 如发生重大变更 应由高级管理层审批 管理层与外部审计师和其他外部专家密切沟通以理解和应对公认会计准则的复杂 变更 开展正式的培训和 或沟通以保证贯彻落实政策和程序 C 针对非常规 复杂或特殊交易的账务处理的控制 管理层建立政策和程序以识别和正确记录重要的非常规交易 主要内容包括 管理层及时发现可能对财务报告造成重大影响的非常规交易 复杂交易或者特殊 交易 管理层采取适当措施 如会议讨论 咨询 调查分析等形式 对正确的会计处理 达成共识 并恰当记录该决策过程 就对财务报告造成重大影响的非常规交易 复杂交易或特殊交易 管理层与外部审计 师进行充分讨论并进行适当的披露 3 公司内部审计职能和风险评估职能无效 A 公司内部审计职能无效 内部审计应当做到 制订 内部审计工作规定 参加本单位有关经营管理会议 有权了解 收集与审计事项有关的全部经营管理 信息及资料 要求单位真实 完整 全面 及时提供与被审计事项有关的生产 经营 财 务等方面的相关信息和资料 有权要求单位负责人对本单位提供资料的真实性和完整性作 出书面承诺 通过内部审计工作规定或宣讲等形式与管理层和业务部门就内部审计的角色和责 任进行沟通 并得到清晰的理解 20 独立性 组织结构和人员资历 恰当的审计方法 B 风险评估职能无效 应做到 公司制定 风险评估方法 明确风险评估的程序和方法 由内部控制部及所属单 位的内控管理部门负责组织实施风险评估工作 并配置有经验的人员来开展此项工作 内部控制部每年组织开展一次针对财务报告风险的风险评估 识别和分析来自公 司内部和外部的 存在于业务活动层面 企业层面和舞弊方面的风险 包括每年一次的重 要会计科目和披露事项的确认 财务报表认定 重要业务单位确认 重要业务流程的对应 当有新业务发生时或现有业务发生新的风险时 随时评估风险 内部控制部和所属单位的内控管理部门将识别出的风险与现有的风险数据库 业 务流程和控制进行对比 补充 完善 修订和更新相关流程 风险数据库和控制措施 内部控制部于完成风险评估一个月内将风险评估结果和变化情况以及相关控制改 进情况 向内控体系建设委员会 审计委员会报告 与财务部 审计部 监察部沟通 审计部每年开展一次管理层测试 对风险评估及风险相关的控制进行监督 公司如果没有执行上述第1 2 5项规定 将会直接造成风险评估职能无效 导致存在 重大缺陷 如在其他方面没有达到要求 综合考虑也会导致风险评估职能无效 导致存在 重大缺陷 4 对于是否根据一般公认会计原则对会计政策进行选择和应用的控制 公司财务部按照国内外相关准则 制度要求 组织编写 会计手册 并根据需要 对 会计手册 进行及时更新 通过编制和更新 会计手册 向各级财务部门和会计人员 以及其他相关管理人员及时传达会计政策 公司财务部与财政部会计司保持经常的联系 获得国内准则相关资料 每月至少 一次登陆相关网站 收集国际准则相关资料 财务部每月收集核算中出现的问题和意见以 及相关准则制度的变化 定期进行判断 决定是否对会计手册进行更新 公司财务部与外部审计师保持经常性的沟通 每季度至少一次 以理解和应对准 则的复杂变更 各地区公司及合并报表单位 执行股份公司统一的会计政策 公司财务部在年终决算会议上或通过其他方式对当年会计手册的更新内容进行培 训和宣贯 如果上述关于会计政策方面的相关控制 在企业层面有一项或多项没有实施 而且没 有补充 补偿性控制 经过定性综合分析后 确定为重要缺陷 21 对于地区公司发生的相关会计政策的选用和变更不符合规定 相关会计政策直接影响 的业务流程 按照业务流程重要缺陷分析方法和步骤进行判断 如果相关业务的账务处理 因此发生了控制缺陷 考虑其补充 补偿性控制 抵减补偿性控制影响 基础上 调整后 影响水平不超过股份公司合并报表税前利润的5 但超过1 认定为重要缺陷 5 对于非常规 复杂或特殊交易的账务处理的控制 非常规 复杂或特殊交易主要是非货币性交易 债务重组 外币业务 复杂交易等 会计核算人员或报表编制人员在处理上述业务时 如果难以进行职业判断 应逐级向上一 级财务负责人报告 确定处理方法 如果公司没有建立上述机制或者没有实施 考虑其补充 补偿性控制 抵减补偿性控 制影响 基础上 调整后影响水平不超过公司合并报表税前利润的5 但超过1 很大 程度上影响了财务报告的真实性 准确性 直接认定为重要缺陷 如不直接影响业务流程 或者调整后影响水平不超过公司合并报表税前利润1 的 在定性分析后 也可认定为重要 缺陷 6 反舞弊程序和控制 公司必须实施 反舞弊程序和控制 涉及到建立必要的程序和控制 通过宣传培训使 员工和管理层理解反舞弊控制 加强监督保证实施有效并不断持续维护等内容 如果公司 在以下每个方面没有建立必要的控制和不能保证实施有效 都会造成重要缺陷的存在 A 建立并有效执行职业道德规范 职业