缺陷评估管理规定.doc

缺陷评估管理规定 页码：13 / 21 1 目的为规范公司缺陷评估工作，加强内部控制激励约束机制，保障内部控制体系长期有效运行，制定本规定。2 范围本规定适用于公司机关各部门、所属各单位缺陷评估工作管理。3 术语3.1 控制缺陷本规定所称控制缺陷是指控制在设计或运行中，无法让管理层和员工在正常执行所分配工作时及时地预防或发现错报。3.2 设计缺陷本规定所称设计缺陷是指缺少实现控制目标所必须的控制，或者现有控制没有得到合理的设计，即使按照设计运行，也无法实现控制目标。3.3 执行缺陷本规定所称执行缺陷是指如果一个设计适当的控制未按照设计运行，或者执行人员没有适当的授权或能力有效运行控制。3.4 实质性漏洞本规定所称实质性漏洞是指控制缺陷或者控制缺陷的集合，此缺陷有合理可能性不能预防或发现公司年度或中期财务报告的重大错报。3.5 重要缺陷本规定所称重要缺陷是指控制缺陷或控制缺陷的集合，它会负面影响公司按照公认会计准则要求进行可靠的初始化处理、授权、记录、处理和报告对外财务数据的能力，以至于有可能导致不能防止或发现年度或中期财务报告大于不重要的错报。3.6 一般缺陷本规定所称一般缺陷是指控制设计或运行无法使管理层或员工在执行指定任务的正常过程中，及时防止或发现错误，但其严重程度低于重要缺陷。3.7 总体影响水平本规定所称总体影响水平是指在考虑补充性控制、冗余性控制或补偿性控制之前，不考虑偏差率上限或错报发生的可能性，对缺陷影响年度或中期财务报表的余额或发生额的最保守估计。3.8 控制目标本规定所称的控制目标是指与财务报告内控有效性相关的控制目标，即为防范财务报告风险提供合理保证，从设计层面和执行层面确立的控制程序应该达到的与财务报表认定相关的要求。3.9 缺陷评估本规定所称的缺陷评估是以单个控制缺陷分析为基础，然后通过将相关的一般缺陷、重要缺陷进行汇总分析，再确定汇总缺陷的类别。其目的是评价基于一定控制目标的内部控制体系在设计层面和执行层面是否存在控制缺陷以及缺陷的影响程度，为管理层发布内部控制自我评估报告提供依据。4 职责4.1 财务处4.1.1 是缺陷评估工作的主管部门；4.1.2 通过持续监督和独立评估，从公司内部或外部获取内部控制缺陷，并客观描述内部控制缺陷所造成的影响；4.1.3 组织开展内部控制缺陷评估工作，分析控制缺陷的性质及其影响程度，特别关注与高级管理人员舞弊、越权相关的控制缺陷，以及控制缺陷间的相互关联；4.1.4 对控制缺陷特别是经评估后被视为重大缺陷的控制缺陷应当及时向相关负责人或上一级人员汇报，根据控制缺陷评估的结果编制评估报告并上报，说明内部控制体系运行状况；4.1.5 根据实际情况对识别出的问题进行调查，并编制相应计划进行整改，同时跟踪整改的情况。4.2 所属各单位收集、记录在日常控制执行、自我测试和从外部各方提供的信息中发现的例外事项，以及虽不属于例外事项范围，但对内部控制体系运行已产生了一定影响的问题，随时上报财务处。5 管理内容5.1 缺陷分层评估缺陷评估分为公司层面、业务活动层面和信息系统总体控制三个方面，须分别进行单个缺陷评估。5.1.1 公司层面控制缺陷评估5.1.1.1 缺陷评估方法公司层面控制缺陷通常不会直接导致财务报告错报，但会增加业务活动层面财务报告错报的可能性。因此公司层面控制缺陷评估一般很难使用量化的方法，主要采用定性分析，即逐项分析缺陷发生的原因、缺陷性质、缺陷的影响程度和错报发生的可能性等因素，从而判断缺陷的类别；5.1.1.2 缺陷评估程序以公司层面控制测试发现的例外事项为基础，缺陷评估的程序分两个阶段，即例外事项分析阶段和单个缺陷评估阶段。各阶段具体工作步骤如下：a) 例外事项分析阶段：即对例外事项进行汇总整理，与测试人员及公司相关人员进行必要的沟通，对例外事项的发生原因及未整改原因进行分析；b) 单个缺陷评估阶段;首先对控制缺陷与财务报告错报或漏报的关联程度进行定性分析，然后依据公司层面评估判断标准，首先分析控制缺陷是否属于实质性漏洞的范畴，属于此范畴的，进行实质性漏洞分析；如果不属于此范畴，进行重要缺陷和一般缺陷的分析，编制公司层面单个缺陷评估分析汇总表。5.1.1.3 缺陷评估标准公司层面控制缺陷分为一般缺陷、重要缺陷和实质性漏洞：a) 以下任一情况可视为实质性漏洞的判断标准：1) 识别出高级管理层中的任何程度的舞弊行为；2) 对已签发的财务报告进行重报以反映对错报的更正；3) 审计师发现的、最初未被公司财务报告内部控制识别的当期财务报告中的重大错报；b) 以下任一情况可视为重要缺陷的判断标准：1) 沟通后的重大缺陷没有在合理的期间得到的纠正；2) 控制环境无效；3) 公司内部审计职能和风险评估职能无效；4) 对于是否根据一般公认会计原则对会计政策进行选择和应用的控制无效；5) 对于非常规、复杂或特殊交易的账务处理的控制无效；6) 反舞弊程序和控制无效；7) 对于期末财务报告过程的控制无效。c) 对于不属于实质性漏洞和重要缺陷判断标准范畴内的缺陷，确定为一般缺陷；d) 评估时，不能仅依据实质性漏洞、重要缺陷、一般性缺陷判断标准评估的结果直接确认缺陷类别，还要考虑补充、补偿性控制，并进行定性分析，才能最终确定为实质性漏洞、重要缺陷或者一般缺陷。5.1.2 业务活动层面控制缺陷评估5.1.2.1 缺陷评估方法采用定量判断和定性分析相结合的方法，其中：a) 定量判断适用于能够采用量化指标分析对财务报告错报的影响程度的控制缺陷；b) 定性分析是在定量判断的基础上，通过考虑相关定性因素后，确定控制缺陷导致财务报告错报的影响程度以及错报发生的可能性。5.1.2.2 缺陷评估程序以跟单测试和关键控制抽样测试发现的例外事项为基础，缺陷评估程序分两个阶段，即例外事项分析阶段、单个缺陷评估阶段。各阶段具体工作步骤如下：a) 例外事项分析阶段：即对例外事项进行汇总整理，与测试人员及公司相关人员进行必要的沟通，对例外事项的发生原因及未整改原因进行分析，编制业务活动层面例外事项汇总分析表；b) 单个缺陷评估阶段：1) 首先对控制缺陷与财务报告错报或漏报的关联程度进行定性分析，如果该缺陷对财务报告的错报或漏报没有直接影响，可根据该缺陷发生的原因、性质以及造成的影响，确认为一般缺陷；2) 然后进行定量判断，将单个控制缺陷的经调整影响水平与一般性水平、重要性水平进行比较，初步确定缺陷类别；3) 属于一般缺陷的，进行一般缺陷分析；属于重要缺陷的，进行重要缺陷分析；属于实质性漏洞的，进行实质性漏洞分析，最终形成业务活动层面单个缺陷评估分析表。5.1.2.3 缺陷评估标准业务活动层面控制缺陷评估包括定量和定性两种标准：a) 定量标准：补偿后经调整影响水平低于一般性水平，初步确认为一般缺陷；补偿后经调整影响水平高于一般性水平，但低于重要性水平，初步确认为重要缺陷；补偿后经调整影响水平高于重要性水平，初步确认为实质性漏洞；b) 定性标准：通过分析定性因素是否在一定程度上加重或减轻了控制缺陷导致公司财务报告错报的影响程度以及错报发生可能性，进而确定缺陷类别；c) 评估时，不仅要依据定量判断的结果确认缺陷类别，还要考虑补充、补偿性控制，并进行定性分析。5.1.3 信息系统总体控制缺陷评估5.1.3.1 缺陷评估方法信息系统总体控制缺陷评估主要采用定性分析的方法，所以对信息系统总体控制缺陷的认定，应与应用系统控制缺陷评估密切结合；5.1.3.2 缺陷评估程序以信息系统总体控制测试发现的例外事项为基础，缺陷评估的程序分两个阶段，即例外事项分析阶段和单个缺陷评估阶段。各阶段具体的工作步骤如下：a) 例外事项分析阶段：即对例外事项进行汇总整理，与测试人员及公司相关人员进行必要的沟通，对例外事项的发生原因及未整改原因进行分析，编制信息系统总体控制例外事项汇总分析表；b) 单个缺陷评估阶段：在确定了纳入缺陷评估的例外事项的基础上，按照缺陷评估框架对这些控制缺陷进行评估，详细步骤包括：1) 冗余或补充性控制的判断；2) 结合应用系统控制缺陷进行分析；3) 实质性漏洞分析；4) 重要缺陷分析；5) 定性分析，编制信息系统总体控制单个缺陷评估分析表。5.1.3.3 缺陷评估标准信息系统总体控制缺陷分为实质性漏洞、重要缺陷、一般缺陷：a) 实质性漏洞的具体认定标准：1) 与信息系统总体控制缺陷有关，或是由它所引起的应用系统控制缺陷；2) 被确定为重要缺陷的信息系统总体控制缺陷在经过一段合理的时间后，仍然没有得到整改；b) 重要缺陷的具体认定标准：1) 信息系统应用控制中的重要缺陷与信息系统总体控制中的缺陷有关或由它所引起的；2) 信息系统应用控制中的一般缺陷与信息系统总体控制中的缺陷有关或由它所引起的，经过定性分析，认定为重要缺陷；3) 多个信息系统控制缺陷根据重要会计科目、披露事项汇总后，通过定量考虑可认定为重要缺陷；4) 多个信息系统控制缺陷根据重要会计科目、披露事项汇总后，在定量考虑的基础上，通过定性分析后，认定为重要缺陷；c) 一般缺陷的具体认定标准：如果信息系统应用控制中的一般缺陷与信息系统总体控制中的缺陷有关或由它所引起的，经过定性分析，仍然认定为一般缺陷。5.2 缺陷汇总评估依据会计科目、信息活动领域、内控关注要点等因素将单个缺陷进行汇总，进行缺陷汇总评估，分别编制公司层面缺陷汇总分析表、业务活动层面缺陷汇总分析表、信息系统总体控制缺陷汇总分析表。5.2.1 公司层面控制缺陷汇总评估程序5.2.1.1 单个缺陷汇总将不同单位的同一主题的一般缺陷、重要缺陷进行汇总，已确定为实质性漏洞的缺陷不再汇总；5.2.1.2 定性分析综合各项定性因素，考虑缺陷的普遍性、发生的原因及不同缺陷之间的关联程度，通过分析确定汇总后的缺陷对财务报告内控有效性的影响程度，进而确定汇总缺陷类别。5.2.2 业务活动层面控制缺陷汇总评估程序5.2.2.1 单个缺陷汇总将不同关键控制、不同单位的同一会计科目、披露事项的一般缺陷、重要缺陷进行汇总，已确定为实质性漏洞的缺陷不再汇总；5.2.2.2 定量判断a) 将不同单位、不同关键控制的影响同一会计科目的补偿后总体影响水平和补偿后经调整影响水平相加，得出汇总后的补偿后总体影响水平和补偿后经调整影响水平；b) 将汇总后的补偿后经调整影响水平与一般性水平、重要性水平进行比较，小于一般性水平为一般缺陷，大于一般性水平但小于重要性水平为重要缺陷，大于重要性水平为实质性漏洞；5.2.2.3 定性分析综合各项定性因素，考虑缺陷的普遍性、发生的原因及不同缺陷之间的关联程度，通过分析确定汇总后的缺陷对财务报告内控有效性的影响程度，进而确定汇总缺陷类别。5.2.3 信息系统总体控制缺陷汇总评估程序5.2.3.1 单个缺陷汇总与应用系统控制缺陷评估结合，汇总至相关的应用系统控制缺陷，分析其对财务报表影响的程度和可能性；在控制环境的有效性评估时也必须汇总考虑总体控制缺陷的影响；5.2.3.2 定性判断a) 总体控制缺陷汇总后，根据相应的应用系统控制缺陷的重要程度进行分析判断，因在公司层面可能存在补充补偿性控制有效减轻相应的应用系统控制缺陷的严重程度；b) 如果出于公司管理层管理分析的需要，可以统计汇总公司的总体控制缺陷，分析控制缺陷的普遍性，从而改善管理层的管理方法及措施。5.2.4 综合分析在上述汇总评估后，对认定后的控制缺陷进行综合分析，进一步考虑公司层面控制缺陷、信息系统总体控制缺陷、信息系统应用控制缺陷、业务活动层面控制缺陷之间的相互关系和影响。5.3 缺陷报告5.3.1 对公司内部控制体系在日常控制执行、自我测试和从外部各方(包括客户、供应商和其他与企业有业务关系的人以及监管部门等)提供信息中发现的例外事项，由相关部门、各级内控主管部门负责收集、记录、统计、汇报。5.3.2 各单位内控主管部门在日常控制执行、自我测试和从外部各方提供的信息中发现的例外事项，除报告给本单位有关职能部门负责人外，应上报公司财务处。对于初步判断为重大缺陷的事项，应随时上报。5.3.3 在日常控制执行中发现的零星问题，虽不属于例外事项范围，但对内部控制体系运行已产生了一定影响，对问题的整改有助于提高公司内部控制体系运行质量，各单位内控主管部门对这类问题也应在定期报告中予以汇报。5.3.4 公司成立缺陷认定小组，对测试例外事项分析结果，依据缺陷认定规范，认定出一般缺陷、重要缺陷和实质性漏洞。5.3.5 对于内部认定和外部审计提出的缺陷，由财务处根据缺陷的性质和影响，按如下要求报告：a) 对于一般缺陷，每月汇总一次向公司主管领导报告；b) 重大缺陷在认定和汇总后十日内向公司管理层报告；c) 实质性漏洞在认定和汇总后五日内向公司管理层报告;d) 对于敏感事项或影响遍及整个公司的缺陷，可以直接向公司领导层报告。5.4 缺陷整改5.4.1 为确保改进措施的切实执行，原则上采取分级负责原则，即缺陷发生在哪一级即由该级负责整改措施的实施和落实。a) 一般缺陷由缺陷发现单位自行组织整改。b) 重大缺陷，由缺陷发现单位提出整改方案，明确整改时限，报财务处，经公司内控建设委员会批准后实施。c) 实质性漏洞，由公司组织制定整改方案，明确整改时限，报公司内控建设委员会批准后实施。5.4.2 整改工作完成后，缺陷发现单位应编制缺陷整改情况报告，报财务处备案。5.4.3 整改措施落实后经过一定时期的运营，按照缺陷性质，进行跟进测试，对发现的缺陷进行再评估。a) 一般缺陷由各单位自行组织再评估，并将再评估结果上报财务处；b) 重大缺陷和实质性漏洞由财务处组织再评估，再评估结果上报管理层，确保改进措施充分达到控制目标，以保证整改措施的有效。6 流程暂无7 相关文件7.1 相关的公司体系文件7.2 相关的法律法规、标准、规范和依据性文件7.2.1 （石油内控20092号) 股份公司内部控制管理手册8 记录8.1 XNGD/ZY.jkgj.05-02/JL-01 公司层面单个缺陷评估分析汇总表8.2 XNGD/ZY.jkgj.05-02/JL-02 业务活动层面例外事项汇总分析表8.3 XNGD/ZY.jkgj.05-02/JL-03 业务活动层面单个缺陷评估分析表8.4 XNGD/ZY.jkgj.05-02/JL-04 信息系统总体控制例外事项汇总分析表8.5 XNGD/ZY.jkgj.05-02/JL-05 信息系统总体控制单个缺陷评估分析表8.6 XNGD/ZY.jkgj.05-02/JL-06 公司层面缺陷汇总分析表8.7 XNGD/ZY.jkgj.05-02/JL-07 业务活动层面缺陷汇总分析表8.8 XNGD/ZY.jkgj.05-02/JL-08 信息系统总体控制缺陷汇总分析表XNGD/ZY.jkgj.05-02/JL-01公司层面单个缺陷评估分析汇总表序号地区公司主题例外事项说明及原因补充、冗余控制/补偿控制定性因素缺陷评估类别备注制表人： 制表时间：复核人： 复核时间：XNGD/ZY.jkgj.05-02/JL-02业务活动层面例外事项汇总分析表序号地区公司二级单位一级流程末级流程关键控制点编号关键控制描述第一轮测试应抽取样本数量第一轮测试实际抽取样本数量第一轮测试例外事项数量最后一轮测试应抽取样本数量最后一轮测试实际抽取样本数量最后一轮测试例外事项数量应抽取样本数量合计实际抽取样本数量合计例外事项数量合计例外事项说明及原因（分测试说明)补充性控制说明补偿性控制说明补偿性控制影响水平追加测试情况说明例外事项对财务报告的影响缺陷形成原因12345678910111213141516171819202122232425编制人： 编制时间： 审核人： 审核时间：XNGD/ZY.jkgj.05-02/JL-03业务活动层面单个缺陷评估分析表序号地区公司二级单位一级流程末级流程关键控制点编号关键控制描述缺陷类别（执行、 设计)影响会计科目财务报告认定控制目标总体影响水平实际偏差率上限经调整影响水平补偿性控制影响水平补偿后总体影响水平补偿后经调整影响水平税前利润（万元)一般性水平（万元)重要性水平（万元)定量判断结果定性因素缺陷评估类别备注1234567891011121314151617181920212223编制人： 编制时间： 审核人： 审核时间：缺陷评估管理规定 页码：21 / 21 XNGD/ZY.jkgj.05-02/JL-04信息系统总体控制例外事项汇总分析表序号单位名称信息技术活动领域子领域关键控制点编号关键控制描述第一轮测试应抽取样本数量第一轮测试实际抽取样本数量第一轮测试例外事项数量最后一轮测试应抽取样本数量最后一轮测试实际抽取样本数量最后一轮测试例外事项数量追加测试应抽取样本数量追加测试实际抽取样本数量追加测试例外事项数量应抽取样本数量合计实际抽取样本数量合计例外事项数量合计例外事项说明及原因（分测试说明) 12345678910111213141516171