内控自评测试培训交流资料.ppt

1、深圳市*股份有限公司,2014年6月15日,内控执行有效性测试培训,内部控制测试方法,主题,1,2,3,4,5,6,7,测试方法类型,样本选取规则,样本量计算规则,测试属性说明,测试结果说明,内控执行有效性测试底稿说明,测试常见问题,内部控制执行有效性测试（即运行测试）,q 内部控制执行有效性测试定义,指在内部控制设计有效的基础上，对关键控制活动选择适当的样本量进行测,试及检查，以验证控制活动运行的有效性。,q 开展内部控制执行有效性测试的目的,与进行内部控制设计有效性测试类似，目的也在于发现内部控制缺陷/缺失。,在对关键控制活动进行执行有效性测试后，管理层、业务部门能获得充分的,证据以支持其

2、相关控制目标是否可以达成。,3,测试方法类型,执行有效性测试方法有4种类型,询问、观察、检查、重新执行,询问,本身不足以提供充分的证据来证明一个内控是否有效运行， 提供的保障程度最低,包含询问，提供了较高程度的保证，对评估自动化的内控来说 可能是一个可接受的方法。但观察有一定的局限性，只能保证 测试者在观察时内部控制得到了有效执行,包含询问和观察，通过检查手工控制留下的证据可以作为测试 手工控制的较好方法,提供了最高程度的保证,观察,检查,重新执行,实际执行测试时，往往也会将不同类型的测试方法结合使用，从而达到更高的保障程度,4,内控执行有效性测试步骤 1、测试样本的选取,第一步：测试样本的选

3、取,2014年12月31日,若控制活动 是从2014年1 月1日开始执 行,2011年1月1日,开始执行日,整改完成日,2011年12月31日,样本自2014年1月1日开始抽取,样本自开始执行之日抽取,若控制活动是 从2014年年中 某个时候开始 执行,需要整改的控 制活动，控制 活动从整改完 成日开始执行,样本要从整改完成日后抽取,注：, 测试者要在测试期间相对均匀选择样本, 样本的选择需要考虑交易的不同性质（控制活动的同质性）, 如2014年未发生或样本不足，可往前倒推，抽取2013年样本,5,内控执行有效性测试步骤 1、测试样本的选取,第一步：测试样本的选取（续）,注1：特别说明判断是否

4、同质的控制活动,l,同质控制, 针对同一个控制活动，如果各项目控制流程相同（同一个管理团队管理多个项目 ，其控制执行人员、控制手段或方法均相同），则对此控制活动的多个项目可以 看作是同质控制, 每个控制活动发生时，会有多次发生的现象，如其控制方式、控制执行人是一致 的，则可判断为同质的控制活动，, 同质控制对象可作为一个样本总体进行抽样。,l,非同质控制, 针对同一个控制活动，如果各项目控制流程不同（如控制执行人员不同、控制方 式不同），则对此控制活动的各项目应看作是非同质控制。, 为保证测试样本完整的覆盖面，抽取样本时应该在不同的样本总体内分别选择不 同的样本。,2009 Deloitte

5、LLP. All rights reserved.,6,6,内控执行有效性测试步骤 1、测试样本的选取,第一步：测试样本的选取（续）,注1：特别说明抽样原则, 谨慎性原则先抽有问题的，管理难度较大的项目样本, 特殊事项如期末存在的特殊调整事项、金额较大的，较重要的项目优先抽取, 样本分布相对均匀尽量覆盖全面, 样本应能够贯穿业务流程全过程侧重于财务信息及运营信息相关的资料,l,应尽量自财务部门及各相关业务部门取得，如采购设备入账的审核，应取得 入账凭证、发票、验收报告、采购合同，试运行报告等；,如自财务部门只取得入账凭证、发票，则应自相应的业务部门取得验收报告、 采购合同、试运行报告等，且尽量

6、保证上述各相关文件中描述的业务为同一 笔业务。,l,2009 Deloitte LLP. All rights reserved.,7,7,内控执行有效性测试步骤 2、样本量计算规则,第二步：确定样本量,控制类型,手工控制 手工控制,控制执行频率,每天多次 每天一次,每周一次 每月一次,每季度一次 每年一次,不适用,年发生次数,200,50-200,15-50,5-15,4,折合频率,每天多次,每天一次,每周一次,每月一次,每季度一次,样本量,25 20,5 2,2 1,1,样本量,25,20,5,2,2,对于频率 确定的控制活动,手工控制 手工控制,手工控制 手工控制,信息系统控制,控制类型

7、,对于频率 不确定的控制活动,手工控制,手工控制,手工控制,手工控制,手工控制,8,内控执行有效性测试步骤 2、样本量计算规则,第二步：确定样本量（续）,注：特别说明固定频率样本估算的说明,发生频率是固定的，但每个周期多次发生的现象,如：银行余额调节表的审核、 工资表的审核等。,例：银行余额调节表每月编制一次，共编制8个银行帐户；,银行余额调节表的审核：每月审核一次,全年样本总体：8*12=96,对照“非固定频率控制活动样本量”：51-250次，全年样本量为20(合并计算样本量）。,这20个样本在抽样时应该相对均匀地分布到所有账户,银行对帐单、银行余额调节表以及相应的记帐凭证应该作为联合样本，

8、记录在样本描述的同一个单,元格内,2009 Deloitte LLP. All rights reserved.,9,9,内控执行有效性测试步骤 2、样本量计算规则,第二步：确定样本量(续),注：特别说明非固定频率样本估算的说明,非固定频率控制活动样本量估算的要求,样本计算说明清晰,充分体现估算全年样本总体的合理依据,例1：该业务活动14月份约发生3次 ，则全年共约发生3*3=9次,非最佳说明原因：发生“3次”的根据未做解释，无合理依据可供判断。,例2：我们检查了该业务活动在1-3月份的全部收据编号为001号至022号，因此预估全年可收 到约22*488份收据。 根据非固定执行频率控制活动样本

9、量的规定，全年抽取样本量为20个。,最佳说明原因：有合理依据“收据编号”来支持全年总体样本的估算。,10,1 0,2009 Deloitte LLP. All rights reserved.,内控执行有效性测试步骤 3、测试属性说明,第三步：按照测试程序执行测试，并记录测试结果,测试属性解释, 执行有效性测试的对象是公司实际执行的控制活动；, 测试属性是针对控制活动不同方面主要控制因素的分解；, 控制活动的测试属性是否合理，直接影响测试结果。,测试属性举例,控制活动,业务部门采购人员负责拟 定采购合同，并填写 合同审批表，本部门 经理、法律顾问、主管副 总、财务总监、总经理、 董事长根据审批

10、权限逐级 审批，审批结束后方可正 式签订采购合同。 采购合同由公司与供 应商双方共同签署，采购 合同即采购订单。,属性一：业务部门采购人员填写合同审批表，发起审批 流程,分 解,属性二：本部门经理、法律顾问、主管副总、财务总监、总 经理、董事长根据权限逐级审批；,属性三：审批流程结束后，采购人员才可与供应商签订采 购合同；,属性四：采购合同经公司和供应商共同签署后公司才可 办理采购业务；,2009 Deloitte LLP. All rights reserved.,11,1,内控执行有效性测试步骤 3、测试属性说明,第三步：按照测试程序执行测试，并记录测试结果（续）,测试方法举例,属性一：业

11、务部门采购 人员填写合同审批 表，发起审批流程,属性二：管理层根据权 限逐级审批；,测,根据本年度全年发生的采购量， 确定样本量；,从办公室获取归档的采购合同 及对应的合同审批表并检查 两者的对应关系；,对照合同审批权限表检查合同 审批表是否按权限审批,控制活动,业务部门采购人员负责拟 定采购合同，并填写 合同审批表，本部门 经理、法律顾问、主管副 总、财务总监、总经理、 董事长根据审批权限逐级 审批，审批结束后方可正 式签订采购合同。 采购合同由公司与供 应商双方共同签署，采购 合同即采购订单。,分 解,试,属性三：审批流程结束 后，公司采购人员才可 与供应商签订采购合 同；,属性四：采购合

12、同 经公司和供应商共同签 署后公司才可办理采购 业务；,程,检查采购合同签署时间是否 晚于合同审批表时间,检查采购合同是否经双方法 定代表人或授权人员共同签署并 加盖印章,序,12,12,2009 Deloitte LLP. All rights reserved.,内控执行有效性测试步骤 4、测试结果说明,第四步：得出测试结论,测试结果分为：,“达标 ”、“未达标”、“样本量不足”、“业务未发生” 4种类型,达标,未达标,测试结果类型,样本量不足,业务未发生,当样本的某个测试属性的测 试结果为“未达标”，”样本 量不足”或“业务未发生”时， 测试者需具体阐释原因,2009 Deloitte

13、LLP. All rights reserved.,13,1,内控执行有效性测试步骤 4、测试结果说明,第四步：得出测试结论（续）,测试结果示例,测试情况,测试结果,检查了规定的全年样本量，抽取的所有样本的各个属性均“达 标”,达标,某个样本的某一个测试属性出现“未达标”,未达标,抽取样本所有属性均达标，但由于该控制活动执行的时间较短， 或者因整改完成时间较短，导致不能获取足够数量样本,样本量不足,该关键控制活动未发生,业务未发生,2009 Deloitte LLP. All rights reserved.,15,1,内控执行有效性测试步骤 4、测试结果说明,第四步：得出测试结论（续）, 对

14、于第一轮测试“达标”的控制活动，无后续步骤，第二轮测试结果仍为达标, 对于第一轮测试“未达标”的控制活动需进行整改，保证在第二轮测试开始前完成整改，并 运行一段时间以产生足够的样本, 对于第一轮测试“样本量不足”、“业务未发生”的控制活动，需要在第二轮测试时重新进行判 断,第一轮测试结果,达标,达标,第二轮测试,未达标,整改,自整改完成之日起，重新抽取全年样本量进行测试,样本量不足,补足剩余样本，满足全年规定的样本量要求,业务未发生,重新评价该控制活动是否业务仍未发生,2009 Deloitte LLP. All rights reserved.,16,1,内控执行有效性测试步骤 4、测试结果

15、说明,注：关于整改的说明如下,对于整改后的控制活动必须运行一段时间才能判断其是否有效，管理 层必须保证有足够的样本量证明整改后的控制活动是有效的,管理层越早发现控制缺陷越利于整改，特别是那些执行频率较低的控 制活动,对于每半年和每年执行一次的控制活动，几乎没有整改的机会。如果 管理层没有十足的把握保证这类控制活动能够达标，应建议在年底前 对其进行排演，一旦发现缺陷，还有纠正的机会。,1,2,3,2009 Deloitte LLP. All rights reserved.,17,1,内部执行有效性测试底稿说明,参见附件底稿模板示例,18,测试常见问题,1、第一轮何时可以停止抽样？,为了提高测试工作的效率，在第一轮测试中，当每个实际执行的控制活动的所有测试属 性都出现过一次未达标的时候，测试执行人可以停止抽样，并要求管理层进行整改。,2、每轮测试样本量及样本期间？,第一轮测试时，如果合格样本量足够多，则应在第一轮测试中抽足全年样本量，第二轮测,试该控制活动可以不再抽样,第二轮测试原则上延用第一