1、第 1 页 共 29 页建工集团内部控制评价手册目 录一、 手册概述 .3(一)目的 .3(二)适用范围和注意事项 .3(三)评价依据 .3(四)遵循原则 .3(五)手册制定及更新 .4二、 内部控制评价工作流程 .5(一)评价启动和准备阶段 .5(二)内部控制评价实施阶段 .5(三)内部控制缺陷的认定及整改阶段 .6(四)评价报告编制及汇总阶段 .6三、 内部控制评价内容及要求 .7(一)内部控制评价内容 .7(二)内部控制评价要求 .8四、 内部控制评价测试方法 .9(一)访谈 .9(二)穿行测试: 10第 2 页 共 29 页(三)控制测试 11五、 内部控制缺陷的认定及整改 14(一)
2、内部控制缺陷的分类及认定 14(二)内部控制缺陷的汇总 15(三)内部控制缺陷的整改 16(四)整改结果的验证 16六、 内部控制评价报告 18七、 附表 19附表一:企业层面-内部控制评估底稿 20附表二:流程层面-风险控制矩阵及控制测试底稿 21附表三:流程层面-内部控制评价工作底稿 22附表四:内部控制评价缺陷及跟踪整改汇总表 .24附表五:内部控制评价缺陷统计表 .25第 3 页 共 29 页一、 手册概述(一)目的建工集团按照国家有关部门和上市公司监管机构关于建立和完善企业内控体系的有关要求,结合企业内部控制设计与运行的实际情况,编制本内部控制评价手册,用以指导全系统内部控制自我评价
3、(以下简称“内控评价”)工作,以推动和规范全公司内控评价工作。(二)适用范围和注意事项本内部控制评价手册适用于建工集团及下属各单位内控评价工作。由于内部控制本身的局限性,本手册并未涵盖所有的内部控制环境要素和控制流程,所涉内容并非一成不变,各单位应按照企业内部控制基本规范和企业内部控制评价指引的要求,结合单位自身业务、管理实际,参照本手册的基本内容要求,开展内控评价工作。(三)评价依据1. 财政部等五部委企业内部控制基本规范、企业内部控制应用指引、企业内部控制评价指引。2. 国资委中央企业全面风险管理指引。3. 上交所上海证券交易所上市公司内部控制指引。4. 监管部门相关规定。5. 股份公司内
4、部控制体系运行管理办法、内部控制流程汇编等内控体系文件。6. 股份公司及所属单位各项管理制度。7. 业务流程及说明、控制文档、风险矩阵、风险库、缺陷跟踪报告等。8. 各项管理、技术规范和标准等其他有关规定。(四)遵循原则内控评价应遵循以下原则:1. 全面性原则:涵盖企业及其所属单位的业务事项的内部控制设计和运行。2. 重要性原则:在全面评价的基础上,关注重要业务单位、重大业务事项和高风险领域。第 4 页 共 29 页3. 客观性原则:准确地揭示经营管理的风险状况,如实反映内部控制设计与运行的有效性。4. 整改提高原则:重点查找整改企业存在的控制缺陷,促进企业提高管理水平。(五)手册制定及更新本
5、手册由股份公司内部控制评价主责部门依照相关法律法规,结合股份公司内、外部情况和公司内部控制管理要求制定,并下发各单位参照实施。本手册将根据内外部环境、组织架构、管理要求、重大风险的变化及内外部检查评价的结果以及执行中的问题,适时更新、完善。第 5 页 共 29 页二、 内部控制评价工作流程根据企业内部控制评价指引的要求,内部控制评价程序一般包括:制定评价工作方案、组成评价工作组、实施现场测试、认定控制缺陷、汇总评价结果、编报评价报告等环节。按照推进内容分为内控评价启动和准备阶段、内控评价实施阶段、内控缺陷认定及整改阶段和评价报告编制及汇总阶段等。(一)评价启动和准备阶段本阶段工作主要包括编制评
6、价工作方案,确定内控评价工作机构,确定评价工作使用的文档模板,开展评价人员培训,召开内控评价工作启动会等。1. 编制内控评价工作方案各单位应依据相关法律法规、监管要求及股份公司内部控制评价工作总体安排,结合企业实际情况,由评价主责部门制定企业内控评价工作方案,经董事会审批后以公司文件发布实施。内控评价方案应至少包含以下内容:(1)内控评价工作的目标、方法、机构、人员组织、时间安排等;(2)内控评价工作所关注的重点测试领域;(3)根据公司的具体情况,安排部署有关内控评价工作。2. 确定内部控制评价工作机构各单位应根据内控评价的要求,结合企业实际情况,明确组织领导,确定内部控制评价工作组,落实相应
7、的工作职责,具体组织开展本单位内部控制评价工作。评价机构的组成和人员数量、结构,应结合业务内容、工作量、人员水平和独立性等因素考虑。评价工作组成员至少应包括主要业务管理部门人员。注:内控评价的独立性是指内控评价时应尽量避免评价人员评价本部门相关的内部控制。(二)内部控制评价实施阶段内部控制评价工作实施的主要程序如下:1. 各单位评价工作组应当根据批准的评价方案,参照本手册规定的内容和要求,开展对本单位职责范围内的内控评价工作。各单位应召开内控评价工作会,进行宣传、动员,对开展内控评价作出部署,提出要求。2. 各单位应依据公司所处的经营环境及面临的主要管控问题,识别和评估本单位业务和管理流程中的
8、风险事项,从而确定本单位的主要管理问题和风险管控重点。第 6 页 共 29 页3. 各单位应在内控评价实施过程中,选择适当的评价方法进行必要的测试,获取充分、相关、可靠的证据对内部控制的有效性进行评价,对自身的关键控制点进行测试.4. 评价工作组人员应针对流程中存在的具体风险点,评价控制措施是否设计有效、控制是否到位,是否能够合理保证控制目标的实现等进行检查评价,如存在异常,则进一步分析原因,得出评价结果,并做出记录,确认内控缺陷和不足。股份公司总部评价工作组在评价实施阶段,将选派工作人员对所属单位进行抽查,检查评价工作的开展,确保评价质量。抽查内容主要为对各单位报送的自我检查评价工作底稿和评
9、价报告进行真实性、合理性的抽查和复核。(三)内部控制缺陷的认定及整改阶段各单位应对评价过程中的异常原因进行分析,找到差距,分析可能带来的后果,并进行缺陷认定。对内部控制缺陷的认定,应当由各单位评价工作组进行综合分析后提出认定意见,按照规定的权限和程序进行审核后予以最终认定。认定的控制缺陷,需提出整改建议。整改建议须内容具体,切实可行。存在缺陷的部门或单位应制定整改方案。整改方案应符合有针对性、可衡量、可完成、符合现实情况以及及时性等原则。各单位须填写附表四内部控制评价缺陷及跟踪整改汇总表,按照整改方案进行整改。(四)评价报告编制及汇总阶段在内部控制评价实施和内控缺陷梳理及整改工作完成后,各单位
10、应按照基本规范、应用指引和评价指引的要求,编写本单位内部控制评价报告。评价报告应当根据年度内部控制评价结果,结合内部控制评价工作底稿和内部控制缺陷汇总表等资料,按照规定的程序和要求,及时编制。经本单位董事会或单位权力机构批准后报送股份公司内部控制评价工作组。总部内控评价工作组将在抽查和复核的基础上,分析、汇总股份公司总部和各单位的内部控制检查评价结果,综合判断公司整体控制的有效性,编制股份公司内部控制评价报告,提交公司管理层和董事会审议通过后对外披露。第 7 页 共 29 页三、 内部控制评价内容及要求(一)内部控制评价内容内控评价工作主要分为企业层面内部控制评价和流程层面内部控制评价两个方面
11、进行,具体介绍如下:1. 企业层面内部控制评价企业层面控制是指对企业控制目标的实现具有重大影响,与内部环境、风险评估、信息与沟通、内部监督直接相关的控制。企业层面控制是内控梳理工作的起点,是业务流程控制的基础。企业层面控制的缺陷往往会对整个内部控制的有效性产生重大影响。测试企业层面控制,应当把握重要性原则,至少应当关注:(1)与内部环境有关的控制。(2)针对董事会、经理层凌驾于控制之上的风险而设计的控制。(3)企业的风险评估过程。(4)对内部信息传递和财务报告流程的控制。(5)对控制有效性的内部监督和自我评价。企业层面控制环境是整个内控活动的前提和基础,对企业内控的效率和效果起关键作用。针对控
12、制环境关键要素进行评价,能直接反映出各单位的企业层面控制环境建立、维护和执行情况。各单位应结合企业实际情况,将企业层面内部控制环境细分,针对具体要素,设定具体控制活动和检查方法,并完成附表一企业层面内部控制评估底稿,评价控制的合理性和有效性。2. 流程层面内部控制评价流程层面控制是指企业在实际业务操作中,综合运用各种控制手段和方法,针对具体业务和事项实施的控制。流程层面控制评价的基础是流程,从主要风险出发,按照重要性的原则,根据流程中的具体风险、管理重点和责任主体,进行控制活动的评估和内部控制的自我检查和评价。评价工作组应当按照评价指引的要求,针对所处经营环境和面临的主要风险和主要管理问题的变
13、化,通过适当的方法(如访谈、专题讨论)收集、确认、分析相关信息,重新评估本单位与实现控制目标相关的风险,选定重要流程,制定、改进或更新流程风险、控制活动和检查评价方法,完成附表二流程层面风险控制矩阵及控制测试底稿。各单位应参考基本规范及应用指引的要求,结合公司风险评价结果,由内控评价主责部门确定内控评价所需涉及的业务流程。现有业务流程划分如下:第 8 页 共 29 页控制活动 1) 资本运营流程2) 采购管理流程3) 财务管理流程4) 公司治理流程5) 综合管理流程6) 安全质量环保流程7) 人力资源管理流程8) 管理结构流程9) 法律事务管理流程10) 合同管理流程11) 国内业务管理流程1
14、2) 国际业务管理流程13) 运营监控流程14) 信息管理流程15) 战略管理流程(二)内部控制评价要求各单位评价工作组应按照公司内部控制评价实施方案,组织人员,兼顾全面、有重点,按时、保质开展内控评价工作。1评价工作重点。结合本单位实际情况,重点考虑:(1)流程和制度设计的有效性。主要检查是否涵盖了本单位经营管理中需关注的重点问题及重点风险;是否明确了各项经营活动的管理要求;风险控制措施是否存在缺陷和漏洞,能否防范经营管理中的不规范行为,有效降低和控制经营管理中的风险;是否制定了清晰、明确的业务流程,流程的起点、终点以及中间涉及的各控制点、控制标准、各个岗位间的职责分工是否明确。(2)流程和
15、制度运行的有效性。主要检查各项经营活动是否按已制定的流程文档规范执行;是否保留了完整和可靠的文档记录时,要注意验证每个业务控制环节,核实实际执行情况与流程图、流程描述及风险控制文档的描述是否一致;验证业务活动所经过的流程和控制是否有完整和可靠的文档记录,是否保留了控制实施证据。在验证业务控制流程设计和执行的一致性时,从业务发生开始,抽取一定数量的样本,通过对业务申请、审批、执行、过程记录、款项收付到财务处理全过程测评,验证业务控制流程设计和执行是否一致。第 9 页 共 29 页2评价方法的选择。根据评价项目的不同,应当综合考虑选择一种或多种评价方法进行评价,获取充分、相关、可靠的证据对内部控制
16、的有效性进行评价,并做出书面记录。第 10 页 共 29 页四、 内部控制评价测试方法内部控制评价和测试通常采用如下几种方法:(1)个别访谈法:根据内控评价需要,对被评价部门负责人或员工进行单独访谈,以获取有关信息。(2)标杆法:通过将被评价部门(项目),与公司内外部相同或相似经营活动的最佳实务进行比较,从而对控制设计的有效性进行评价。(3)穿行测试法:通过抽取一套贯穿流程全过程的业务记录文档,来了解整个业务流程执行的情况。(4)抽样法:针对具体的内部控制业务流程,按照业务发生频率及所管控风险的高低,从确定的抽样总体中抽取一定比例的业务样本,对业务样本的符合性进行判断,进而对业务流程控制运行的
17、有效性做出评价。(5)实地查验法:公司对财产进行盘点、清查,以及对存货出、入库等控制环节进行现场查验。(6)专题讨论法:通过召集与业务流程相关的相关人员就业务流程的特定项目或具体问题进行讨论及评估。内部控制评价测试时应重点关注公司识别出的企业层面和流程层面的风险及其应对措施,采取访谈法、穿行测试法等方法,对企业现有内部控制的设计与运行的有效性进行穿行测试评价,同时应采用标杆法、抽样法、实地检查法等手段针对公司的业务管理流程及其内部控制措施运行的有效性进行控制测试评价。(一)访谈访谈(个别访谈法),访谈工作是指通过直接的、单独的访问,对公司的战略、业务、流程、制度、人事等方面进行全方位的了解,通
18、过交流找到目前工作中的重点、难点或者障碍,明确评价工作的关注要点和关键环节。1. 访谈目的:(1)深入、确切地了解各流程的实际操作状况;(2)与管理层讨论、确定目前的执行步骤是否符合公司相关规章制度的规定,是否能够应对行业的最新变化和发展;(3)对访谈过程中了解到的风险点和控制点进行记录;(4)对目前存在的问题进行记录;(5)对存在问题或可能的风险的解决方案或思路进行初步沟通。2. 制定访谈计划:第 11 页 共 29 页内控评价工作组需制定企业层面控制相关领域和流程层面各业务流程的访谈计划。访谈计划应该建立在审阅了企业层面和业务层面相关控制文档的基础上,如内控体系文件等,以便能够在访谈之前对
19、被评价单位的控制活动有一个较为全面的认识和理解,从而更有针对性的发问,有助于节省访谈时间。访谈计划需要根据各个相关领域和各个业务流程的特点,有针对性地安排访谈对象,合理规划访谈时间,保证访谈质量,降低重复访谈次数。在访谈计划中需要填列涉及的控制领域(企业层面控制访谈)或业务流程名称和流程负责人(业务层面控制访谈)、被访谈部门、被访谈人名称及职位、计划访谈日期及时间、主要访谈内容以及访谈人信息。访谈之前需将访谈计划发给被访谈人以便其提前准备访谈内容并安排合适的受访时间。3. 访谈内容:了解内控体系文件所描述的企业层面各领域的风险和控制情况,确认实际的风险点和控制点是否发生变化。在访谈过程中需要按
20、照流程涉及到的业务,对风险点和控制活动进行访谈。4. 访谈形式:采用面对面的方式进行访谈。5. 访谈记录:所有访谈内容形成书面访谈纪要,并进行编号、留档。6. 根据访谈结果更新企业层面-内部控制评价底稿:根据访谈获取的信息,填制或更新企业层面-内部控制评价底稿,具体格式请参见附表一企业层面- 内部控制评估底稿。(二)穿行测试:穿行测试主要运用穿行测试法。通过抽取一套贯穿流程全过程的业务记录文档,来了解整个业务流程执行的情况,主要测试内部控制设计的有效性。穿行测试是对流程描述的检测。流程描述是对公司现有业务流程现状的记录,即每个步骤的具体工作内容、关注要点以及每个步骤使用的表单。1. 测试目的:
21、验证控制描述或流程描述中所记录的控制内容是否正确,各环节是否按照其相关规定运行,是否存在控制设计及执行缺陷。2. 测试对象:各公司层面控制领域和业务流程各子流程的所有控制点,包括关键控制点和非关键控制点。3. 测试频率:穿行测试为每年进行一次。4. 测试执行人员:需要严格贯彻内控测试的独立性原则,即某一控制的实际操作人员需要回避相关控制的任何测试。5. 样本选取原则:(1)样本必须能够代表该领域或该子流程的典型业务及操作流程(2)样本需要尽可能覆盖该领域或该子流程的所有控制点;第 12 页 共 29 页(3)对于那些确实无法被覆盖的控制点,可以单独选取额外样本进行测试;(4)必须随机选取,采用
22、统计抽样的方法。6. 样本数量:根据在风险识别和控制识别工作过程中划分出的各个业务子流程,并对每个子流程中的控制点选取一个样本进行测试。7. 记录样本:(1)对于穿行测试过程中取得所有样本资料,均需要进行复印、编号,并单独存档保管;(2)记录测试结果(异常/无异常/不适用);(3)对于出现异常的控制点,需要详细描述样本的异常特征,并标注相应留档纸质文档编号。(三)控制测试控制测试需要综合运用抽样法、标杆法和实地查验法。针对具体的内部控制业务流程,按照业务发生频率及所管控风险的高低,从确定的抽样总体中抽取一定比例的业务样本,参照控制的标准程序或最佳实践,对业务样本进行实地查验,并对其符合性进行判
23、断,进而对业务流程控制运行的有效性做出评价的测试。控制测试的主要评价对象是控制点,尤其是符合性测试中证明为有效的关键控制点。控制点是指管理层在日常运营过程中为达到有效抑制来自内部和外部的不同风险,保证整个经营活动结果运行的正确性,而设置的环节。例如对经营活动中产生的各类数字进行复核,或对各类经济活动进行事前审批和事后检查等。关键控制点是指管理层所依赖的,在合理的范围内支持管理层防范和发现重大风险的控制点。关键控制点的失败不仅影响管理层实现流程目标的能力,还影响财务报表控制目标。每一条风险至少需有一个关键控制点与其对应。若某风险没有关键控制点与其相对应,则此处直接确认为控制设计缺陷,进入缺陷记录
24、及评价步骤。1. 测试目的:确认各子流程中关键控制点是否执行有效。2. 测试对象:各子流程中的关键控制点。3. 测试频率:全面控制测试建议每年至少进行一次;对于一些风险较大的子流程,可自行考虑是否增加测试频率。4. 测试执行人员:需要严格贯彻内控测试的独立性原则,即某一子流程的实际操作人员需要回避该子流程的任何测试。5. 测试方法:第 13 页 共 29 页共有四种测试方法可供选择: 询问(可选):(1)首先询问控制执行人是否了解其控制目的及执行方法;(2)其次询问是否在日常工作中实际实施控制,且具体如何操作;(3)重点关注操作有哪些证据及相关文档如何保管等。 观察(可选):(1)观察员工执行
25、控制步骤;(2)可能需要其他跟进测试;(3)文档记录要求:谁,什么时候,观察的结果。 审阅、检查控制执行证据(必选):(1)获得控制执行相关证据(例如经签批的文件等);(2)审阅文档记录或报告,查看是否留有控制执行的痕迹(例如签字、邮件、通话记录等);(3)评价控制执行是否有效、符合规定(例如审批是否经过适当的人,在适当的时间执行等);(4)记录所获取的证据,并对测试过程、测试结果及结论进行书面记录。 测试执行人重新执行控制操作以验证是否控制执行有效(可选):例如:测试执行人重新计算当月住房公积金,以验证所计提及上交的住房公积金是否正确。6. 制定控制测试计划:由于业务层面的控制测试存在样本选
26、取数量较为复杂、需要消耗较多人力和时间,因此在正式进行控制测试之前,应拟定控制测试计划,以便更好地实施测试工作,明确责任人,严格控制测试成本。7. 样本选取原则:(1)针对每个关键控制点独立选取样本,样本只需覆盖被测试控制点即可,不需要覆盖流程中的其他控制活动;(2)必须随机选取,采用统计抽样的方法;(3)避免选取穿行测试中已经测试的样本;若穿行测试中测试的为唯一样本,则控制测试结果可以直接根据穿行测试结果确认。8. 样本数量与测试结论:(1)针对每年发生一次的业务,直接选取该笔业务;若该笔业务出现异常,则该控制点测试结论为控制失效;第 14 页 共 29 页(2)针对发生频率介于每年一次至每
27、季度一次的业务,随机抽取当年发生的不少于2 个样本;若任何一个样本出现异常,则该控制点测试结论为控制失效;(3)针对发生频率介于每季度一次至每月一次的业务,在全年随机选取不少于 4 个样本;若任何一个样本出现异常,则该控制点测试结论为控制失效;(4)针对发生频率介于每月一次至每周一次的业务,在全年随机抽取不少于 12 个样本;若任何一个样本出现异常,则该控制点测试结论为控制失效;(5)针对发生频率介于每周一次至每天一次的业务,在全年随机抽取不少于 20 个样本;若 2 个或以上样本存在异常,则测试结论为控制失效;若其中一个样本出现异常,需增加不少于 3 个样本进行补充测试,补充样本的任何一个出
28、现异常,则测试结论为控制失效;(6)针对每天多次发生的业务(常规业务),在全年随机抽取不少于 30 个样本;若 2 个或以上样本存在异常,则测试结论为控制失效;若 1 个样本出现异常,需增加不少于 15 个样本进行补充测试,补充样本的任何一个出现异常,则测试结论为控制失效;其余情况均视为控制被有效执行。样本数量和测试结论的确定可参见下表:发生频率初始样本数量(不少于)异常样本数量补充样本数量新异常样本数量 测试结论0 控制有效每年一次 11 控制失效0 控制有效每年一次以上至每季度一次 2 1 控制失效0 控制有效每季度一次以上至每月一次 4 1 控制失效0 控制有效每月一次以上至每周一次 1
29、2 1 控制失效0 控制有效0 控制有效1 31 控制失效每周一次以上至每天一次 202 控制失效0 控制有效0 控制有效1 151 控制失效每天多次 302 控制失效第 15 页 共 29 页9. 记录样本:(1)对于控制测试过程中取得的无异常样本,不需要复印留底;(2)对于存在异常内容的样本,均需要进行复印、编号,并单独存档保管;(3)采用附表三流程层面内部控制评价工作底稿模板进行样本记录;(4)根据附表三,描写所有进行测试的控制行动步骤;(5)根据附表三,描述取样方法及取样数量(例如随机选取);(6)对于个别控制步骤采用的替代样本,需要描述替代样本、替代样本的选取方法,以及采用替代样本的
30、原因(原有样本为何不适用);(7)根据附表三列示内容,填写每个样本所有特征(包括异常部分),并标注相应留档纸质文档编号;(8)需要在底稿中简要描述造成样本异常的原因(如“XX 办事处 2011 年 XX 周的办事处周报中没有包含排产合同转正的情况及各项目回款的情况等),并标注相应留档纸质文档编号;注:在每张底稿上都应标注测试结论(控制有效或控制失效)。第 16 页 共 29 页五、 内部控制缺陷的认定及整改内控缺陷是指某个控制的设计或运行使管理层或公司员工在日常工作中不能及时预防或者查找错误,从而导致对业务的控制失效或部分失效的行为。 (一)内部控制缺陷的分类及认定1. 缺陷的分类(1)内控缺
31、陷按照缺陷类型分可以分为设计缺陷和执行缺陷。设计缺陷:是指公司在设计内控系统时,可能存在设计漏洞,使某些风险的防范措施缺失或并不完整,必要的控制或者控制的必要成分缺失,导致这个控制不能满足控制目标从而导致公司发生损失的可能性增加。设计缺陷既可以是自动系统的设计缺陷,也可以是手工控制的设计缺陷。设计缺陷强调的是必要的控制或者控制的必要成分缺失,或者某个现有的控制不合理,导致这个控制不能满足控制目标。这样的缺陷称为控制设计缺陷。例如,缺少绩效考核机制、缺少合理的事前审批机制等。控制设计缺陷多在穿行测试中发现。执行缺陷:是指控制设计完好,但没有被正确地执行的控制,该部分控制已经包含在现有内控体系中,
32、但却因为各种原因在实际操作中未能被执行或未能被完整执行的控制。执行缺陷强调的是一个完好设计的控制没有如设计那样被实际运行。例如,公司具有明确的事前审批规定,但在实际操作中,并未按照要求执行相关审批等。控制执行缺陷多在控制测试中发现。(2)内控缺陷按照其影响整体控制目标实现的严重程度,可分为一般缺陷、重要缺陷和重大缺陷。一般缺陷,是指内控设计或者运行无法使管理层或员工在执行指定任务的正常过程中,及时防止或发现错报,也称为一般内部控制缺陷。重大缺陷,是指一个或多个一般缺陷的组合,可能严重影响内部整体控制的有效性,进而导致企业无法及时防范或发现严重偏离整体控制目标的情形;例如:对于会计政策的选择;反
33、舞弊的程序和控制;重大交易相关的控制;财务报告关账相关的控制等。重要缺陷,是指一个或多个一般缺陷的组合,其严重程度低于重大缺陷,但导致企业无法及时防范或发现偏离整体控制目标的严重程度依然重大。例如: 高管舞弊,本期财务报告的重大错报未被现有内控及时发现和更正,审计委员会监督无力等。(3)内控缺陷按照其对财务报告的影响分为财报相关缺陷和非财报相关缺陷。财报相关缺陷,是指内部控制缺陷造成的财务报告的潜在错报金额能够可靠地估算。如:对收入的确认,对费用的审核,对合同条款的审议的相关控制缺陷等。第 17 页 共 29 页非财报相关缺陷,是指流程操作步骤/控制环节的设计/ 不执行或执行偏差,但不构成财务
34、报表出现潜在的错报。如绩效考核机制,会议机制的相关控制缺陷等。2. 内部控制缺陷的认定各单位应根据国资委、财政部、证监会、上海证券交易所等监管机构对企业层面控制的要求,结合访谈及测试步骤得到的结果进行考虑,识别公司现有的控制在设计和执行上是否存在缺陷。在穿行测试或抽样测试过程中如发现存在控制缺陷或者控制环节缺失时,各单位应确认发现的问题并予以记录。存在下列情况之一,应当认定内部控制存在缺陷:未实现规定的控制目标;未执行规定的控制活动;突破规定的权限;不能及时提供控制运行有效的相关证据等。各单位应以内控体系文件中记录的企业层面和流程层面的风险点和控制点为基础,在访谈中需对控制设计的有效性给予特别
35、关注,对于各领域内部重要环节可能存在的各类缺陷予以探讨和记录;在测试时需要重点关注是否按照既定的控制要求进行操作;在记录缺陷时,采用统一的模板(参见附表四内部控制评价缺陷及跟踪整改汇总表),作为本步骤的记录文档。内部控制评价工作组应当根据现场测试获取的证据,进行认定:(1)财务报告缺陷认定:当内部控制缺陷造成的财务报告的潜在错报金额能够可靠的估算时,一般缺陷、重要缺陷和重大缺陷可以根据内部控制缺陷对当期财务报表的影响来判定。一般缺陷:由于内部控制缺陷导致影响财务报告真实性程度很小。重要缺陷:由于内部控制缺陷导致影响财务报告真实性较大。重大缺陷:由于内部控制缺陷导致严重影响财务报告真实性,造成被
36、监管机构的处罚。(2)非财务报告缺陷的认定:非财务报告内部控制缺陷认定应关注缺陷对业务流程有效性的影响程度、发生的可能性、效率和效果方面所受到的负面影响程度来判定。缺陷认定等级发生的可能性 负面影响程度一般缺陷 中等 降低工作效率或效果、或加大效果的不确定性、或使之偏离预期目标重要缺陷 较高 显著降低工作效率或效果、或显著加大效果的不确定性、或使之显著偏离预期目标第 18 页 共 29 页内部控制缺陷的认定实行逐级审批确认。一般缺陷在评价工作过程中确认;重要缺陷和重大缺陷由内部控制评价工作组讨论并提出意见,其中重要缺陷报内控领导小组研究确认,重大缺陷提交董事会审议确认。(二)内部控制缺陷的汇总
37、各单位通过访谈、穿行测试、及控制测试等评价方法,分析出企业层面和流程层面控制存在的缺陷后,应分类填写收集到的所有异常情况,进行汇总并形成发现问题汇总表。对已发现的缺陷建议在附表五内部控制缺陷统计表中进行记录及标注,将相关缺陷点及其支持性文件进行统一标号,由评价主责部门归档保存。各单位汇总内控执行缺陷的同时应给出整改建议,制定具体的整改计划,保证公司的内部控制体系的持续有效运行。(三)内部控制缺陷的整改在评价过程中发现内部控制缺陷后,应进行缺陷原因分析,分析该缺陷存在的主要原因,例如:控制活动缺失、控制活动本身缺乏执行性、人为执行不利、审批不当等;并针对所发现的问题、流程管控缺陷,提出整改建议。
38、整改建议须内容具体,切实可行。存在缺陷的部门或单位应制定整改方案,明确整改负责部门/人以及整改的计划完成时间。整改方案应符合有针对性、可衡量、可完成、符合现实情况以及及时性等原则。1. 制定缺陷整改计划:评价工作组应要求并监督各控制缺陷的整改负责人根据已识别的缺陷的性质,结合公司的实际情况制定相应的缺陷整改计划。整改计划中需要包括以下内容:整改负责部门/个人、整改步骤、整改时间表等。制定的整改计划需要得到管理层的认可后方可实施。2. 选择整改方式:对于已经确认需要整改的内控设计缺陷,需在已有的内控管理制度体系中补充相关规定或修改原有规定,按照公司既定的管理制度报批程序对做出的补充或修改进行审批
39、;对于已经确认需要整改的内控执行缺陷,需加强内控的执行力度,要求控制执行人严格按照相关规定执行。3. 进行整改:各单位在选择好整改方式后由各缺陷对应的控制或流程的责任部门负责,按照预定的整改计划进行整改。监督部门应实时监督缺陷整改的进度,并协调解决整改过程中出现的问题,监控的方式主要为定期审阅各整改负责人上报的整改计划及整改进度汇报。4. 整改进度的定期报告:在缺陷整改的过程中,主责部门应定期就缺陷整改进度向管理层进行报告,报告的频率需要视具体要求而定。在汇报时对整改所采取的措施进行重大缺陷 高 严重降低工作效率或效果、或严重加大效果的不确定性、或使之严重偏离预期目标第 19 页 共 29 页
40、简单描述并按照整改步骤的完成情况对整改进度按照百分比的方式进行体现,同时将需要管理层关注的整改过程中出现的问题(如困难、需要协调其他部门的事项等)进行列示说明。(四)整改结果的验证整改结果验证步骤如下:1. 选定测试对象:评价工作组通过附表五内部控制缺陷统计表汇总的所有控制设计及控制执行缺陷的整改情况对整改结果进行再测试。2. 选取测试样本:评价工作组通过以下原则选取再测试的样本:(1)针对每个失效控制点独立选取样本,样本只需覆盖被测试控制点即可,不需要覆盖该领域中的其他控制;(2)必须随机选取,采用统计抽样的方法;(3)样本选取区间为整改完成后至再测试时。3. 总结测试结果:评价工作组汇总所
41、有再测试过程发现依然存在的缺陷。对于控制制度设计上存在缺陷整改的再测试,需要复核该整改是否符合控制制度修改的相关流程(是否得到了合理的审阅及批准等);整改后的制度是否能够满足控制的需要,以及测试整改后的控制实施是否存在问题;对于控制执行缺陷整改的再测试,需要获取适量样本并检查是否按照政策流程的要求执行。4. 制定下一步跟进计划:对于整改未完成的部分,相应控制缺陷的整改负责人需要制定详细的下一步跟进计划,上报公司管理层及评价主责部门审阅、备案。第 20 页 共 29 页六、 内部控制评价报告 各单位应按要求撰写内部控制评价报告,内控评价报告应当以 12 月 31 日作为年度内部控制评价报告的基准
42、日,内部控制评价报告应当针对内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,对内部控制评价过程、内部控制缺陷认定及整改情况、内部控制有效性等相关内容作出披露。股份公司将根据各单位的内控评价报告,分析、汇总编制股份公司总体内控评价报告,经公司总裁办公会、董事会审议后对外披露或报送。报告内容应包括:1. 董事会对内部控制报告真实性的声明:声明董事会及全体董事对报告内容的真实性承担个别及连带责任,保证报告内容不存在任何虚假记载、误导性陈述或重大遗漏。2. 内部控制评价工作的总体情况:内部控制定量和定性评价的总体综合情况。3. 内部控制评价的标准和依据:表述内部控制评价依据的的法律法规、政策
43、指引及企业内部制度等。4. 内部控制评价的范围和内容:指评价工作的具体范围,包括内部控制系统企业层面与流程层面的评价。5. 内部控制评价的程序和方法:指企业在评价过程中的工作程序和方法。6. 内部控制缺陷及其认定情况:企业管理层对缺陷的认定情况。包括:重大缺陷、重要缺陷和一般缺陷的认定情况,设计缺陷和执行缺陷的划分,财报缺陷和非财报缺陷的认定。7. 内部控制缺陷的整改情况及重大缺陷拟采取的的整改措施及建议:控制缺陷的风险级别,拟采取的的整改措施及建议,整改措施及建议须内容具体,切实可行。8. 内部控制有效性的结论:对本次内控评价有效性的最终结论。同时,内部控制评价工作组应当关注自内部控制评价报
44、告基准日(12 月 31 日)至内部控制评价报告发出日之间是否发生影响内部控制有效性的因素,并将其上报股份公司, 股份公司将根据其性质和影响程度对评价结论进行相应调整。第 21 页 共 29 页七、 附表附表一:企业层面-内部控制评估底稿附表二:流程层面-风险控制矩阵及控制测试底稿附表三:流程层面-内部控制评价工作底稿附表四:内部控制评价缺陷及跟踪整改汇总表附表五:内部控制评价缺陷统计表第 22 页 共 29 页附表一:企业层面-内部控制评估底稿公司名称: XXX年度:20XX 年评价人员:XXX涉及领域及测试步骤 实际控制情况控制领域 子领域 访谈内容及测试步骤 风险点描述 实际控制点描述负
45、责部门企业层面控制证据发现问题(例)A.1_组织架构和权责分配(例)董事会(例)1、获取董事会章程,了解董事会议事规则,董事会职责等2、获取某次董事会会议的文档记录(事先拟定的议题、事先对所有董事的通知及向其提供的资料、签字确认的会议记录),检查是否与议事规则要求相一致;3、查阅董事会章程中对董事长授权的内容是否恰当;4、检查是否在董事会章程中明确董事会对内控体系的职责,职责是否完备。(例)公司没有明确董事会任职条件、职责权限、议事规则和工作程序,或治理结构形同虚设,缺乏科学决策、良性运行机制和执行力,可能导致企业经营失败,难以实现发展战略。第 23 页 共 29 页附表二:流程层面-风险控制
46、矩阵及控制测试底稿公司名称: XXX年度:20XX 年评价人员:XXX一级流程编号 (例)FM 一级流程名称 (例)财务管理二级流程编号 (例)FM.01 二级流程名称 (例)资金管理三级流程编号 (例)FM.01.02 三级流程名称 (例)银行余额调节表的编制及审批流程目标编号 控制目标 风险编号风险描述 控制编号控制活动简描述 该控制涉及的部门及负责人是否为关键控制控制频率穿行测试底稿控制设计是否发现异常关键控制测试底稿控制执行是否发现异常测试结论 发现问题描述 管理层回应(例)T01(例)确保公司应收账款能够及时收回。(例)R01(例)公司的银行收付款交易记入了不恰当的会计期间。(例)C
47、01(例)每月由出纳根据银行对账单和企业账面数编制银行余额调节表,由资金主管对所有账户进行逐笔核对,并对调节表进行审核。审核无误后,在银行余额调节表上签字确认。(例)财务管理部 经理(例)是(例)每月发生(例)FM_01_02_WT1银行余额调节表(例)异常(例)FM_01_02_TOC-1(例)异常(例)控制无效(例)编制完毕后会计没有在银行余额调节表上签字确认。也没有经过相关的财务经理审核和签字。(例)认可,准备整改第 24 页 共 29 页附表三:流程层面-内部控制评价工作底稿公司名称: XXX年度:20XX 年一级流程编号 (例)FM 一级流程名称 (例)财务管理二级流程编号 (例)F
48、M.01 二级流程名称 (例)资金管理三级流程编号 (例)FM.01.02 三级流程名称 (例)银行余额调节表的编制及审批流程一、 详细控制测试文档编码 (例)FM_01_02_TOC-1二、 评价人员 XXXX审阅人 XXXX完成日期 XXXX/XX/XX三、 抽样标准 1、抽样方法 (例)取得测试期间所有月份的银行余额调节表及其附件(银行对账单)。2、样品数量描述(例)本年度 12 个月,本控制为月度控制,因此随机抽取两个样本3、抽样涉及期间(例)20XX/120XX/124、抽样另选(如适用) (例)不适用四 控制测试步骤控制点编号 控制点内容C01(例)每月银行出纳收到银行邮寄的银行对
49、账单后,对所有银行账户编制银行余额调节表并加盖名章确认,资产财务部经理审核无误后签字确认。步骤 1 (例)获得样本月份所有的银行余额调节表,与财务系统中的银行账户进行比较,检查是否样本月所有的银行账户(包括零余额账户和非活跃账户)步骤 2 (例)检查银行对账单和银行帐的差异均正确地记录在调节项上。第 25 页 共 29 页步骤 3 (例)检查调节项是否合理(是否存在长期未调事项)步骤 4 (例)检查余额调节表是否经资产财务部经理签字复核。五、 控制测试结论 根据下面的测试,我们认为: FM_01_02_C01 (例)控制失效六、 详细测试记录步骤号 步骤1步骤2步骤3步骤4 备注样本描述月份 银行名称 对账单金额 账面余额差异 1 (例)2009/1/1 (例)浦东发展闸北支行 (例)194,795.42 (例)194,795.42 - N/A N/A N1(例)工商银行闸北支行(基本户) (例)800,302.48 (例)800,302.48 -
