华润三九内控评价经验

内部控制评估工作交流目录内部控制要素及评估框架2、内部控制评价——流程层面1、内部控制评价——公司层面理解内控—内控五要素内部控制评估框架识别公司层面的风险并进行控制分析识别业务层面的风险并进行控制分析实施及测试工作缺陷整改方案对企业公司层面内部控制框架和相关风险和控制进行分析并指出不足之处企业识别主要管理和业务流程、风险以及相关的关键控制点并指出不足之处实施公司和业务层面的控制评估工作协助管理层制定缺陷整改的具体改进方案了控制是否有效运行公司层面内部控制评估程序公司层面内部控制评价通常首先通过设计针对公司层面重要控制内容的调查问卷，进行高级管理层的访谈，根据访谈结果撰写访谈纪要并完善问卷内容，然后获取相关资料进行审阅和测试，进行评价与反馈，形成缺陷报告并制定整改计划及实施整改来进行。在公司层面所进行的内控评价可以按照下面图示列明的程序来进行：测试文档调查问卷解高级管理层访谈公司内部初步评价和反馈是控制测试有效性评价报告控制否完成调查问卷并审阅相关内控文档缺陷报告和改进建议持续监督缺陷报告编制访谈计划设计调查问卷控制是否有效否是方面需考虑的因素内控环境企业的管理文化，对员工诚信、道德和行为的要求控制意识和经营风格董事会或审计委员会的监管组织结构、权限和责任风险评估风险评估流程对重要事件的预测、识别和反应机制控制活动重要流程的政策和程序手册明确的财务目标，并对其主动监控合理的职责分离预算与实际情况的定期比较对文件、记录和财产的适当保管信息与沟通清晰的沟通渠道和汇报路线完整、详细和及时的财务和管理报告持续开发、测试和监控计算机系统和程序计算机业务持续性系统和应急计划内部监督对内部控制的定期评估和监督实施改进建议建立内部审计职能以实施监控内控评估－公司层面关注点公司层面的内部控制步骤及工作成果穿行测试：选取一个样本验证访谈过程中了解到的控制设计是否切实存在编号关注点对于控制的详细解释/描述相关负责部门控制是否有效是否需要进行控制测试穿行测试文档编号穿行测试文档穿行测试程序穿行测试结果C-EL-CE-6.4掌握公司商业秘密的员工离岗，是否有明确的流程和步骤？公司在与所有员工签订《劳动合同》都会要求员工签订《保密协议》，该《保密协议》规定：“乙方（员工）对知悉的甲方（公司）商业秘密，在为甲方工作期间及从甲方离职后两年内负有绝对保密的责任。”《保密协议》中还对保密的内容、责任与处罚作了详细规定。人力资源部部长是否WT-EL-CE-41《保密协议》获取《保密协议》，检查是否对保密的内容、责任与处罚作了详细规定。成功内部控制测试表：公司层面的内控测试模版与流程层面的一致对控制的详细解释/描述相关负责部门访谈的信息整理,按关注点中提到的内容将相关控制进行详细的描述记录接受访谈人员的相关部门和职务控制是否有效重要业务领域为什么会出错控制评价和监控评价报告内控评估－流程层面评价程序了解流程中的控制活动，并通过流程描述、风险控制矩阵等文档对控制活动和控制点进行记录；执行穿行测试和控制测试，获取关于控制设计有效性和执行有效性的证据；对发现问题进行报告和提出改进建议。流程描述对控制的记录是风险控制矩阵穿行测试控制设计是否有效控制测试内控测试否建立纠正措施计划弥补差距否控制是否有效运行是持续监督控制有效性流程层面内部控制步骤及工作成果（五张工作表格）•风险清单（提示：风险清单非不可变更，可依据实际情况进行修改）•流程描述及控制活动（DOC)•风险控制矩阵•内控测试表(TS)•内控缺陷报告（IS)一流程的风险清单（流程的主要内容和风险的确定）•要选择流程中重要业务领域、重要流程环节•什么地方会出错•根据访谈了解到的情况，总结流程中可能产生的风险•有针对性的将风险进行描述例如：未定期对系统内的会计科目设置进行复核，可能导致会计科目不符合会计准则的要求或不需用的会计科目没有进行及时清理，从而影响财务报表的准确性。财务报告编制子流程内容及风险清单（一）子流程主要内容子流程风险会计科目维护会计科目的新增/调整会计科目的新增/调整未经适当授权审批，可能导致财务报表的不当披露，从而影响财务报表的准确性。统一定义、设置子公司与总部的会计科目子公司会计科目与总部会计科目的设置、定义不统一，可能影响合并财务报表的准确性，同时也不利于财务工作的统一管理。会计科目的定期复核未定期对系统内的会计科目设置进行复核，可能导致会计科目不符合会计准则的要求或不需用的会计科目没有进行及时清理，从而影响财务报表的准确性。会计科目设置的系统维护未有效设置系统权限，可能导致未经授权人员可以在系统中对会计科目进行修改，从而影响财务报表的准确性。日常会计核算制度制定未制定合理有效的财务核算制度，并及时根据国家政策更新财务核算制度，可能导致财务核算无章可循，影响财务报表的准确性、完整性。会计凭证制作、审核会计分录缺乏充分的文件支持，会计凭证未经适当审核，可能导致会计分录不完整，记账错误，或重复入账的可能性。财务系统设置未有效设置系统权限，可能导致未经授权人员可以在系统中进行凭证录入、审核或修改，影响财务报表的准确性。已审核凭证可以被删除或修改，可能导致凭证信息丢失或不准确，从而影响财务报表的准确性。财务报告编制子流程内容及风险清单（二）子流程主要内容子流程风险财务结账结账日期未在集团内部制定统一的结账日期，可能影响结账工作的及时性。结账工作审核未对结账工作进行适当的授权及审核，可能影响结账工作的准确性、及时性和有效性。结账会计系统权限设置未有效设置系统权限，可能导致未经授权人员可以在系统中进行结账操作，从而影响财务报表的准确性。会计系统数据的一致性会计系统设置未有效确保会计凭证与明细账、明细账与总账模块数据的一致性，可能影响财务报表的准确性。会计系统设置未对系统进行有效设置，结账后可以对财务报表的数据进行修改，可能影响财务报表的准确性。子公司财务报告编制报表编制指引未制定相关制度或工作指引用于规范总部及下属公司的财务报表的编制流程，可能影响财务报表的准确性。财务报表审核财务报表及相关数据未经适当审核即用于合并，可能影响合并财务报表的准确性。财务报表数据保管未妥善保管财务报表及相关数据，财务报表数据的版本控制不合理，可能导致财务数据丢失、泄露或不准确，从而影响财务报告的准确性。财务报告编制子流程内容及风险清单（三）子流程主要内容子流程风险合并报表编制合并财务报告日程未根据监管机构的相关要求，由相关负责人确定年报或者中报的最终披露时间，合并会计报表的工作日程表，可能导致会计报表编报不及时，延误信息披露，未能满足各方会计信息使用的要求。编制抵销分录对子会计报告审核无误后，未按抵销范围对内部交易及往来编制抵销分录，可能导致会计报告不准确完整，未能满足各方会计信息使用的要求。财务报表披露合并财务报表编制工作未获取充分、有效的支持性文件，或相关文件未经适当审批，可能影响财务报表的准确性和完整性。未及时准确的披露财务报表披露事项，披露事项缺乏证据支持或未经适当审核，可能影响财务报表的准确性和完整性。合并财务报表的审核合并财务报表（含导入系统的报表）及相关合并工作底稿未经适当审核，可能影响合并财务报表的准确性、完整性。财务系统设置未有效设置系统权限，可能导致未经授权人员可以在系统中进行报表录入、审核或修改，影响财务报表的准确性。已审核报表可以被删除或修改，可能导致信息丢失或不准确，从而影响财务报表的准确性。职责分离各相关部门及岗位职责未对业务中的不相容职务进行分离，可能导致舞弊风险的产生。二流程描述文档的编制（DOC）1、流程描述是用有限的文字叙述来描述步骤性质和流程的表格：包含的要素：（1）流程描述识别了业务的主要流程，即业务的发生、记录、处理和报告。这些业务流程的关键要素包括：‹主要的输入资料来源‹重要的数据档案、文件记录‹重要的处理过程‹重要的输出文件、报告和记录‹职责分离（2）流程描述的两个基本要素分别是“文件及信息”和“程序”。当文件及信息在系统中流转时，业务单元运用特定的程序对其进行处理。‹流程描述应该尽量包括所有相关的处理步骤‹虽然不需要对数据流转的所有细节进行描述，但应在流程描述中识别并标识出风险点以及对应的控制点流程描述中的控制活动根据访谈了解到的情况，描述公司针对可能产生的风险所进行的控制活动。对于一个控制点，要描述出五个方面内容（5W）：Who谁是该控制的执行者When控制在什么时间发生What如何实施该控制Where控制体现在什么地方Why该控制的目的•控制活动要注意描述五个方面（5W）例如：销售部经理（谁）每月末（什么时间）将本月实际销售收入与预算进行比较分析（如何实施），并在分析报告上签字（什么地方），以确保当月销售收入无重大错误和遗漏（目的）。示例—财务报告编制流程描述子流程名称流程描述其中：控制活动描述日常会计核算公司进行报账审批时需提交按不同业务类型提供该业务所包含的如下资料：相关审批记录、协议或合同、发票、付款依据、验收依据、固定资产卡片、相关记录等。各岗位会计依据完整提供的附件制作会计凭证，核算主管审核，审核时主要关注会计分录、金额的准确性、完整性，附件是否完整，与记账金额是否一致，是否经过相关领导审批，以确保会计核算的准确性，审核无误后盖章确认。如为核算主管制作的凭证，则由财务部副部长进行审核。各类业务所需附件及审批流程详见各业务流程描述。各岗位会计依据完整提供的附件制作会计凭证，核算主管审核，审核时主要关注会计分录、金额的准确性、完整性，附件是否完整，与记账金额是否一致，是否经过相关领导审批，以确保会计核算的准确性，审核无误后盖章确认。如为核算主管制作的凭证，则由财务部副部长进行审核。各类业务所需附件及审批流程详见各业务流程描述。风险控制矩阵►风险控制矩阵中列示了本流程的主要风险、控制目标及与该风险对应的内部控制等信息►列示了各内部控制的发生频率、控制负责人、控制类型、是否关键控制等要素►控制矩阵中列示的内部控制与流程描述中的红色文字说明一致风险控制矩阵的作用►将“什么地方可能出错”，即风险与控制联系起来►提供一个严谨的架构，从风险和内控目标出发，确保所有相关内控都得到充分的记录►形成一套标准的内控文档记录►直观的显示了现有控制是否充分及有效►形成了一个内控缺陷识别和确认的机制►有利于外部审计师的审核三风险控制矩阵示例财务报告编制的风险控制矩阵风险控制矩阵重点解析-流程穿行测试穿行测试的含义在穿行测试中，对每类重大交易中选择一笔交易，从其始进行追溯直至业务的终结。穿行测试的目的通过流程穿行测试，找出流程描述与风险文档的内容与实际执行情况的差异，分析差异产生的原因，并提出整改完善建议，使内控文档与实际情况保持一致，为顺利通过公司管理层测试和外部审计师测试提供保障。风险控制矩阵（穿行测试）控制活动描述穿行测试文档编号穿行测试文档穿行测试程序各岗位会计依据完整提供的附件制作会计凭证，核算主管审核，审核时主要关注会计分录、金额的准确性、完整性，附件是否完整，与记账金额是否一致，是否经过相关领导审批，审核无误后盖章确认。如为核算主管制作的凭证，则由财务部副部长进行审核。各类业务所需附件及审批流程详见各业务流程描述。WT-FSCP-2-2《记账凭证2010-8-442#》获得《记账凭证》，检查核算主管是否审核了会计分录、金额的准确性、完整性，附件是否完整，与记账金额是否一致，是否经过相关领导审批等内容，审核无误后是否盖章确认。内部控制测试表(TS文档)►测试方法及步骤中列明了所测试的内部控制、测试样本来源、内部控制频率、测试样本数量及测试程序等信息穿行测试在审计上称符合性测试，只能证明控制是否存在，并不能以此确定控制的有效性，判断有效性需要进行控制测试，也即实质性测试四内部控制测试（TS）►仅需对控制矩阵中列示的关键控制进行测试►方法本表上半部为测试及步骤，下半部为测试结果示例财务报告编制流程内部控制测试内控缺陷汇总：►将访谈过程中发现的控制设计差异予以汇总，并提出改进建议►将穿行测试和控制测试过程中发现的控制设计差异予以汇总，并提出改进建议►公司层面的内控缺陷汇总表