中石化内控测试培训材料(一)PPT课件.ppt

内部控制测试培训材料内部控制测试概述 北京安必盛会计师事务所2009年8月 可编辑 内部控制体系 前言 可编辑 股份公司监督要素管理规范性文件 内部控制体系评价规范 前言 1 内部控制体系评价概述2 内部控制体系评价范围的确定3 内部控制测试指南4 缺陷评估指南5 评价报告指南 可编辑 第一部分内部控制体系评价概述 第二部分内部控制测试概述 第三部分业务层面控制测试 导读 第四部分内部控制制测试经验分享 可编辑 内容概要 第一部分内部控制体系评价概述 1 1内部控制评价概念 1 2内部控制评价基本依据 1 3内部控制评价基本原则 1 4内部控制评价基本方法 可编辑 1 1内部控制评价概念 内部控制体系评价是按照规定的程序 方法和标准 对已经建立和实施的内部控制体系 从设计有效性和执行有效性两个方面对财务报告内部控制有效性进行测试 评估和报告的过程 从概念中我们可以得出 内部控制评价是一个过程 是一个对内部控制设计有效性和执行有效性进行测试 评估和报告的过程 可编辑 1 1内部控制评价概念 内部控制评价的概念包含了以下两方面的内容 1 内部控制体系评价的目标开展内部控制体系评价的基本目标是确定内部控制的有效性 股份公司开展内部控制体系评价的基本目标是 确认财务报告内部控制方面是否存在控制缺陷 判断内部控制体系是否有效 地区公司内控评价的目标是通过查找内部控制设计和执行有效性方面的不足 一方面作好落实整改工作 为确保内控体系有效性提供合理保证 另一方面对发现的内控体系中与相应规范 标准 要求之间存在的偏差 即例外事项 进行分析 为缺陷认定工作奠定基础 通过地区公司评价 为地区公司发表内控有效性声明提供依据 可编辑 1 1内部控制评价概念 2 内部控制评价的内容内部控制评价包括内控测试 缺陷评估和评价报告等 1 内部控制测试是按照规定的程序 方法和标准 针对财务报告控制目标 对公司内部控制体系设计有效性和执行有效性进行检查 旨在发现内部控制体系在设计层面和执行层面是否存在偏差 2 缺陷评估是以规定的程序 方法和标准 对内部控制测试发现的例外事项进行综合分析 进而评估内部控制是否存在缺陷以及导致财务报告错报的影响程度和发生可能性的过程 3 评价报告是在测试和缺陷评估结果的基础上 根据公司对外披露和内部控制管理的不同需要 对财务报告内部控制有效性进行综合或者单独评价及报告的过程 见下图 可编辑 1 1内部控制评价概念 控制评价图 可编辑 1 2内部控制评价基本依据 1 国家法律 法规以及规章制度公司内部控制体系评价必须遵循国家法律 法规以及相关规章制度 主要包括 1 中华人民共和国会计法 2 内部会计控制基本规范 3 中央企业总会计师工作职责管理暂行办法 4 国资委 中央企业全面风险管理指引 财政部 企业内部控制基本规范 可编辑 1 2内部控制评价基本依据 2 上市地法律法规及监管机构的规定中国石油天然气股份有限公司作为在纽约证券交易所 香港联合交易所有限公司及上海证券交易所挂牌上市的公司 内部控制体系评价还应当遵循上市地法律法规及监管机构的规定 主要包括 1 美国 萨班斯 奥克斯利法案 2 美国证券交易委员会 SEC 解释性指南3 美国上市公司会计监管委员会 PCAOB 审计准则5号4 香港联交所 公司治理实务和公司治理报告的准则 5 上海证券交易所 上海证券交易所上市公司内部控制指引 可编辑 1 2内部控制评价基本依据 3 公司内部控制体系及其他相关规定公司以COSO内部控制整体框架为基础 融合COSO企业风险管理整体框架的主要内容 结合国家监管部门的基本要求 建立了包括体系框架 控制环境 风险评估 控制活动 信息与沟通和监督六大部分在内的内部控制体系 是公司开展内部控制体系评价的依据 同时 与公司内部控制相关的其他管理规章 也是公司开展内部控制体系评价的依据 可编辑 1 3内部控制评价基本原则 内部控制评价的基本原则有以下几点 1 合规性原则 符合国内外有关法律法规的要求 2 有效性原则 能够针对内部控制有效性进行合理评价并具有可操作性 3 重要性原则 重点针对内部控制的重要风险和关键控制进行评价 4 完整性原则 从设计层面和执行层面对内部控制体系的有效性进行评价 5 适应性原则 随法律法规的变化 外部环境和内部控制体系的变化而调整 6 成本效益原则 以合理的评价成本实现可靠的评价效果 可编辑 1 4内部控制评价基本方法 公司按照 自上而下 风险导向 的基本方法 组织开展公司内部控制体系评价 1 自上而下是指在进行内控体系评价时 从财务报告层面和公司层面控制开始 依据公司财务报告确定重要会计科目和披露事项 确定重要业务流程 开展相关财务报表认定 然后确定需要测试的重要业务流程相关的重要风险和关键控制 同时 在确定测试单位的基础上 进而确定地区公司的重要会计科目 重要业务流程 具体测试单位以及测试具体内容 可编辑 1 4内部控制评价基本方法 2 风险导向是指在内部控制体系评价过程中 始终以风险评估为基础 重点关注与财务报告重大错报 漏报相关的重要风险和关键控制 自上而下 风险导向 的基本方法 可以以较低的评价成本 最大限度发现财务报告内部控制存在的实质性漏洞 自上而下 风险导向 作为内部控制体系评价的基本方法和一种评价理念 始终贯穿于整个内部控制体系评价的测试 缺陷评估和评价报告的全过程之中 见下图 可编辑 1 4内部控制评价基本方法 可编辑 内容概要 第二部分内部控制测试概述 2 1有关概念 2 2内部控制测试的分类 2 3内部控制测试的基本方法 2 4内部控制测试的组织 可编辑 2 1内部控制测试的概述 概念 内部控制测试内部控制测试是围绕内控体系评价的目标 按照规定的程序 方法和标准 对内部控制体系 从设计有效性和执行有效性两个方面对内部控制有效性进行测试内部控制测试目的是查找内部控制设计和执行方面的问题 为内部控制体系有效性提供合理保证内部控制测试依据是股份公司内部控制管理手册 地区公司分册及当年确定的测试范围 可编辑 2 1内部控制测试的概述 概念 例外事项例外事项是指内部控制体系设计层面和执行层面与相应的规范 标准 要求之间存在的偏差 可编辑 2 2内部控制测试的概述 分类 可编辑 管理层测试管理层测试是针对股份公司业务单位内部控制设计和运行的有效性 由管理层授权审计部和内控与风险管理部具体实施的检查过程 根据管理层测试及其缺陷评估的结果出具管理层自我评估报告并对外披露 管理层测试分两个阶段进行 第一阶段管理层测试由审计部负责 第二阶段管理层测试由内控与风险管理部负责 具体包括改进测试 补充测试 更新测试以及年度财务报告控制测试 内部控制测试的分类 按测试组织 管理层测试 可编辑 内部控制测试的分类 按测试组织 地区公司自我测试 地区公司自我测试是由地区公司总经理授权相关部门组织实施的 针对本单位内部控制设计和运行的有效性实施的检查过程 自我测试应满足以下要求 自我测试应坚持以风险为导向 兼顾覆盖面 重点关注高风险领域和业务薄弱环节 地区公司对所属单位进行的自我测试 单位覆盖率不低于50 每个测试单位的重要业务流程覆盖率不低于70 关键控制覆盖率要达到90 地区公司应在每年年初将自我测试计划报送内控部备案 年底将年度自我测试报告报送内控部审核 地区公司的自我测试应按照股份公司统一的标准和规范进行 测试计划 测试底稿和测试报告须纳入内控测试系统 AAM 可编辑 内部控制测试的分类 按测试组织 外部审计师测试 外部审计师测试外部审计师测试是审计师根据PCAOB的审计准则 为对公司的内控控制有效性发表意见而进行的独立测试 外部审计师测试的测试范围确定方法与管理层测试一致 测试范围确定的结果可能与管理层一致 也可能与管理层测试略有不同 外部审计师测试一般每年组织一次 可编辑 设计有效性是对于建立的内部控制体系 如果由符合条件的机构和人员按设计的要求去实施 能够有效地防范财务报告风险 为实现内部控制目标提供合理的保证通过内部控制设计有效性测试 能够查找内部控制设计方面存在的问题 确保内控设计能有效地防范财务报告风险 达到财务报告控制目标 为内部控制执行评价提供基础 内部控制设计有效性测试可分别从股份公司层面和地区公司层面执行 设计有效性测试 内部控制测试的分类 按测试内容 设计有效性测试 可编辑 公司层面控制测试公司层面控制 公司层面控制是确保管理层获得在公司内部各个领域都有适当的控制机制在发挥作用的重要机制 公司层面控制的内容公司层面控制涵盖COSO框架的五个要素及反舞弊六个方面 包括职业道德 高管基调 信访举报和违规处理 组织结构 权利和责任分配 培训 业绩考核 人力资源政策 岗位职责描述 董事会 审计委员会 风险评估过程 经营活动分析 信息与沟通 信息披露 内部审计和反舞弊程序与控制共十七个主题 公司层面控制测试目的 通过确定的各领域控制测试 查找设计和执行方面的问题 确保公司内部各个领域都有适当的控制机制在发挥作用 内部控制测试的分类 按测试内容 公司层面控制测试 可编辑 业务层面控制测试业务活动层面控制测试通过跟单测试 又称跟单作业 和关键控制测试两种方式对业务层面所有重要流程的设计有效性和执行有效性进行检查 目的是对业务层面所有重要流程的设计有效性以及所有重要流程和关键控制的执行有效性进行检查 内部控制测试的分类 按测试内容 业务层面控制测试 可编辑 信息系统总体控制测试信息系统总体控制测试是对信息系统总体控制规定和信息系统总体控制实施办法规定的控制环境 信息安全 变更管理 项目建设管理 日常运作 最终用户操作等六个方面的内容进行测试 通过信息系统总体控制测试 检查是否根据集团公司信息系统总体控制管理文件的要求 执行了信息系统管理的各项控制活动 从而提高应用系统控制的有效性 确保信息系统支持的应用控制是可靠的 生成的数据和报告是可信的 内部控制测试的分类 按测试内容 信息系统控制测试 可编辑 二 内部控制测试 1 内部控制测试的概念和内容2 内部控制测试的基本方法3 内部控制测试的组织4 测试范围的确定5 准备阶段6 现场实施阶段7 测试总结和报告 可编辑 2 3内部控制测试的基本方法 可编辑 2 3内部控制测试基本方法 测试基本方法 内部控制测试基本方法包括询问 观察 检查和再执行等 询问是通过口头或书面的方式对执行控制的相关人员提出问题 根据被询问人的回答确定控制是否存在并有效运行 以及控制执行人对控制的理解程度 具体形式有访谈 调查问卷等 询问是确信水平最弱的一种测试方法 仅仅通过访谈不能获得充分的证据 应该与其他测试方法同时运用 可编辑 2 3内部控制测试基本方法 测试基本方法 观察是现场见证正在执行的控制 从而判断控制是否存在并有效运行观察对测试接触性控制非常有用 比询问的确信水平高 应该与其他测试方法同时运用 可编辑 2 3内部控制测试基本方法 测试基本方法 检查是通过查看与控制相关的文档性记录 对控制有效性做出判断检查通常采用抽样测试的方法 抽样测试是以样本代表总体 通过检查样本 判断控制总体执行情况的一种方法再执行是通过重新执行控制活动以确定控制是否有效 检查应与询问结合运用 并进行适当的再执行程序 确认控制确实有效执行 可编辑 2 4内部控制测试的组织 可编辑 2 4内部控制测试的组织 测试范围的确定 1 概念测试范围的确定是以风险为导向 根据不同板块的业务类型同时考虑各地区公司的业务差异 对地区公司及其所属单位公司层面 业务活动层面 信息系统总体控制的测试内容和测试单位进行确定的过程 2 作用确定测试范围是开展管理层测试 地区公司自我测试和外部审计师测试的前提 可编辑 测试基本程序 各层面控制测试程序基本可以划分为准备阶段 实施阶段和总结阶段 1 准备阶段 2 实施阶段 3 总结阶段 2 4内部控制测试的组织 可编辑 测试基本程序 准备阶段 准备阶段是指从发出测试通知后 测试小组成员进驻被测试单位开始 直至初步完成测试计划的过程 测试人员的准备 被测试单位的准备 可编辑 测试人员的准备 了解总体情况 取得并审阅内控管理相关文档 编制测试计划 测试基本程序 准备阶段 可编辑 测试人员的准备 测试基本程序 准备阶段 可编辑 测试基本程序 准备阶段 1 取得管理文档 取得总部和专业公司的关键控制管理文件 被测试单位的流程图 风险控制文档 程序文件 业务流程目录等相关文件 2 审阅管理文档 审阅风险控制文档 流程图等相关资料 初步了解业务活动及重要流程控制措施 将业务流程与股份公司确定的风险数据库进行对比 检查是否遗漏重要业务流程 确定流程记录和风险控制文档的完整性 在审阅的基础上 确定需要进行跟单作业的流程 包含关键控制点的流程 如果被测试单位的流程图和风险控制文档不能使测试人员了解被测试单位的流程 应及时和被测试单位沟通并进一步理解内部控制文件描述的内容 测试人员的准备 可编辑 测试计划表 测试人员的准备 可编辑 3 制跟单作业计划 通过阅读流程图 风险控制文档以及相关的程序文件和规章制度 初步了解被测试单位的流程 编制跟单作业计划表 内容包括需要访谈的岗位名称 访谈人以及