内部控制测试培训材料
内部控制测试概述
北京安必盛会计师事务所
2009年8月
内部控制体系
控制活动
为管理和减少风险而制定的政策制度和程序
贯穿整个公司范围、所有层次以及所有职能
措施包括审批、授权、复核经营业绩、资产保护和职责分工
监督
评估内部控制运行有效性
定期监控执行情况与独立评估相结合
发现内控不足的改进报告
控制环境
是其他内部控制组成部分的基础
认定整个组织的基调,影响着员工的控制意识
包括员工胜任能力、组织结构、人力资源政策等因素
信息和沟通
确保经营和财务信息的准确性、完整性和及时性
获取内部和外部的信息
有效的内部、外部信息沟通与交流, 以促成有效的控制活动
风险评估
风险评估是对相关风险进行鉴别以及分析,以达成企业目标、形成决定控制活动的基础
监控
信息和沟通
控制活动
风险评估
控制环境
营运
财务报告
合规性
业
务
单
位
A
业
务
单
位
B
活
动
2
活
动
1
前言
股份公司监督要素管理规范性文件
内部控制体系评价规范
前言
1. 内部控制体系评价概述
2. 内部控制体系评价范围的确定
3. 内部控制测试指南
4. 缺陷评估指南
5. 评价报告指南
第一部分 内部控制体系评价概述
第二部分 内部控制测试概述
第三部分 业务层面控制测试
导读
第四部分 内部控制制测试经验分享
内容概要
第一部分 内部控制体系评价概述
内部控制评价概念
内部控制评价基本依据
内部控制评价基本原则
内部控制评价基本方法
内部控制评价概念
内部控制体系评价是按照规定的程序、方法和标准,对已经建立和实施的内部控制体系,从设计有效性和执行有效性两个方面对财务报告内部控制有效性进行测试、评估和报告的过程。
从概念中我们可以得出,内部控制评价是一个过程,是一个对内部控制设计有效性和执行有效性进行测试、评估和报告的过程。
内部控制评价概念
内部控制评价的概念包含了以下两方面的内容:
1. 内部控制体系评价的目标
开展内部控制体系评价的基本目标是确定内部控制的有效性。
股份公司开展内部控制体系评价的基本目标是:确认财务报告内部控制方面是否存在控制缺陷,判断内部控制体系是否有效。
地区公司内控评价的目标是通过查找内部控制设计和执行有效性方面的不足,一方面作好落实整改工作,为确保内控体系有效性提供合理保证;另一方面对发现的内控体系中与相应规范、标准、要求之间存在的偏差(即例外事项)进行分析,为缺陷认定工作奠定基础。通过地区公司评价,为地区公司发表内控有效性声明提供依据。
内部控制评价概念
2. 内部控制评价的内容
内部控制评价包括内控测试、缺陷评估和评价报告等。
1)内部控制测试是按照规定的程序、方法和标准,针对财务报告控制目标,对公司内部控制体系设计有效性和执行有效性进行检查,旨在发现内部控制体系在设计层面和执行层面是否存在偏差。
2)缺陷评估是以规定的程序、方法和标准,对内部控制测试发现的例外事项进行综合分析,进而评估内部控制是否存在缺陷以及导致财务报告错报的影响程度和发生可能性的过程。
3)评价报告是在测试和缺陷评估结果的基础上,根据公司对外披露和内部控制管理的不同需要,对财务报告内部控制有效性进行综合或者单独评价及报告的过程。(见下图 )
内部控制评价概念
控制评价图
内控测试
缺陷评估
设计有效性
执行有效性
评价报告
方法: 询问、观察、检查、再执行
标准:
定性、定量
要素:总体情况,运行情况,例外事项,整改建议
实质性漏洞
重大缺陷
一般缺陷
内部控制评价基本依据
1. 国家法律、法规以及规章制度
公司内部控制体系评价必须遵循国家法律、法规以及相关规章制度。主要包括:
1)《中华人民共和国会计法》
2)《内部会计控制基本规范》
3)《中央企业总会计师工作职责管理暂行办法》
4)国资委《中央企业全面风险管理指引》、财政部《企业内部控制基本规范》
内部控制评价基本依据
2. 上市地法律法规及监管机构的规定
中国石油天然气股份有限公司作为在纽约证券交易所、香港联合交易所有限公司及上海证券交易所挂牌上市的公司,内部控制体系评价还应当遵循上市地法律法规及监管机构的规定。主要包括:
1)美国《萨班斯——奥克斯利法案》
2)美国证券交易委员会(SEC)解释性指南
3)美国上市公司会计监管委员会(PCAOB)审计准则5号
4)香港联交所《公司治理实务和公司治理报告的准则》
5)上海证券交易所《上海证券交易所上市公司内部控制指引》
内部控制评价基本依据
3.公司内部控制体系及其他相关规定
公司以COSO内部控制整体框架为基础,融合COSO企业风险管理整体框架的主要内容,结合国家监管部门的基本要求,建立了包括体系框架、控制环境、风险评估、控制活动、信息与沟通和监督六大部分在内的内部控制体系,是公司开展内部控制体系评价的依据,同时,与公司内部控制相关的其他管理规章,也是公司开展内部控制体系评价的依据。
内部控制评价基本原则
内部控制评价的基本原则有以下几点:
1.合规性原则:符合国内外有关法律法规的要求。
2.有效性原则:能够针对内部控制有效性进行合理评价并具有可操作性。
3.重要性原则:重点针对内部控制的重要风险和关键控制进行评价。
4.完整性原则:从设计层面和执行层面对内部控制体系的有效性进行评价。
5.适应性原则:随法律法规的变化、外部环境和内部控制体系的变化而调整。
6.成本效益原则:以合理的评价成本实现可靠的评价效果。
内部控制评价基本方法
公司按照“自上而下、风险导向”的基本方法,组织开展公司内部控制体系评价。
1.自上而下是指在进行内控体系评价时,从财务报告层面和公司层面控制开始,依据公司财务报告确定重要会计科目和披露事项,确定重要业务流程,开展相关财务报表认定,然后确定需要测试的重要业务流程相关的重要风险和关键控制。同时,在确定测试单位的基础上,进而确定地区公司的重要会计科目、重要业务流程、具体测试单位以及测试具体内容。
内部控制评价基本方法
2.风险导向是指在内部控制体系评价过程中,始终以风险评估为基础,重点关注与财务报告重大错报、漏报相关的重要风险和关键控制。
“自上而下、风险导向”的基本方法,可以以较低的评价成本,最大限度发现财务报告内部控制存在的实质性漏洞。“自上而下、风险导向”作为内部控制体系评价的基本方法和一种评价理念,始终贯穿于整个内部控制体系评价的测试、缺陷评估和评价报告的全过程之中。(见下图)
内部控制评价基本方法
识别具有
影响的控制
财务报告要素
公司层面控制
业务活动层面控制
信息技术控制
会计科目风险
财务报表认定风险
流程风险
经营主体、经营场所风险
确定风险
评估范围
重要会计科目
重要业务流程
进行相关财务报表认定
识别重要科目关键流程
确定测试
涵盖的范围
重要业务流程的重要风险
关键控制
企事业单位所属单位测试范围
确定测试单位
确定测试的具体内容
内容概要
第二部分 内部控制测试概述
有关概念
内部控制测试的分类
内部控制测试的基本方法
内部控制测试的组织
内部控制测试的概述---概念
内部控制测试
内部控制测试是围绕内控体系评价的目标,按照规定的程序、方法和标准,对内部控制体系,从设计有效性和执行有效性两个方面对内部控制有效性进行测试
内部控制测试目的是查找内部控制设计和执行方面的问题,为内部控制体系有效性提供合理保证
内部控制测试依据是股份公司内部控制管理手册、地区公司分册及当年确定的测试范围
内部控制测试的概述---概念
例外事项
例外事项是指内部控制体系设计层面和执行层面与相应的规范、标准、要求之间存在的偏差。
内部控制测试的概述---分类
内控测试分类
测试组织
管理层测试
外部审计测试
自我测试
十七主题
跟单测试
关键控制
应用控制
电子表格
总体控制
测试内容
公司层面
设计有效性
业务层面
信息层面
内部控制测试的分类(按测试组织)---管理层测试
管理层测试
管理层测试是针对股份公司业务单位内部控制设计和运行的有效性,由管理层授权审计部和内控与风险管理部具体实施的检查过程,根据管理层测试及其缺陷评估的结果出具管理层自我评估报告并对外披露。
管理层测试分两个阶段进行。第一阶段管理层测试由审计部负责,第二阶段管理层测试由内控与风险管理部负责,具体包括改进测试、补充测试、更新测试以及年度财务报告控制测试。
内部控制测试的分类(按测试组织) ---地区公司自我测试
地区公司自我测试
是由地区公司总经理授权相关部门组织实施的、针对本单位内部控制设计和运行的有效性实施的检查过程。自我测试应满足以下要求:
自我测试应坚持以风险为导向,兼顾覆盖面,重点关注高风险领域和业务薄弱环节。地区公司对所属单位进行的自我测试,单位覆盖率不低于50%;每个测试单位的重要业务流程覆盖率不低于70%,关键控制覆盖率要达到90%;
地区公司应在每年年初将自我测试计划报送内控部备案,年底将年度自我测试报告报送内控部审核;
地区公司的自我测试应按照股份公司统一的标准和规范进行,测试计划、测试底稿和测试报告须纳入内控测试系统(AAM)。
内部控制测试的分类(按测试组织) ---外部审计师测试
外部审计师测试
外部审计师测试是审计师根据PCAOB的审计准则,为对公司的内控控制有效性发表意见而进行的独立测试。
外部审计师测试的测试范围确定方法与管理层测试一致,测试范围确定的结果可能与管理层一致,也可能与管理层测试略有不同。
外部审计师测试一般每年组织一次。
设计有效性是对于建立的内部控制体系,如果由符合条件的机构和人员按设计的要求去实施,能够有效地防范财务报告风险,为实现内部控制目标提供合理的保证
通过内部控制设计有效性测试,能够查找内部控制设计方面存在的问题,确保内控设计能有效地防范财务报告风险,达到财务报告控制目标,为内部控制执行评价提供基础。内部控制设计有效性测试可分别从股份公司层面和地区公司层面执行
设计有效性测试
内部控制测试的分类(按测试内容) ---设计有效性测试
公司层面控制测试
公司层面控制:公司层面控制是确保管理层获得在公司内部各个领域都有适当的控制机制在发挥作用的重要机制。公司层面控制的内容
公司层面控制涵盖COSO框架的五个要素及反舞弊六个方面,包括职业道德、高管基调、信访举报和违规处理、组织结构、权利和责任分配、培训、业绩考核、人力资源政策、岗位职责描述、董事会、审计委员会、风险评估过程、经营活动分析、信息与沟通、信息披露、内部审计和反舞弊程序与控制共十七个主题。
公司层面控制测试目的:通过确定的各领域控制测试,查找设计和执行方面的问题,确保公司内部各个领域都有适当的控制机制在发挥作用
内部控制测试的分类(按测试内容)---公司层面控制测试
业务层面控制测试
业务活动层面控制测试通过跟单测试(又称跟单作业)和关键控制测试两种方式对业务层面所有重要流程的设计有效性和执行有效性进行检查,目的是对业务层面所有重要流程的设计有效性以及所有重要流程和关键控制的执行有效性进行检查。
内部控制测试的分类(按测试内容)---业务层面控制测试
信息系统总体控制测试
信息系统总体控制测试是对信息系统总体控制规定和信息系统总体控制实施办法规定的控制环境、信息安全、变更管理、项目建设管理、日常运作、最终用户操作等六个方面的内容进行测试。
通过信息系统总体控制测试,检查是否根据集团公司信息系统总体控制管理文件的要求,执行了信息系统管理的各项控制活动,从而提高应用系统控制的有效性,确保信息系统支持的应用控制是可靠的、生成的数据和报告是可信的。
内部控制测试的分类(按测试内容) ---信息系统控制测试
(二) 内部控制测试
1. 内部控制测试的概念和内容
2. 内部控制测试的基本方法
3. 内部控制测试的组织
4. 测试范围的确定
5. 准备阶段
6. 现场实施阶段
7. 测试总结和报告
内部控制测试的基本方法
内部控制测试基本方法
测试基本方法:
内部控制测试基本方法包括询问、观察、检查和再执行等。
询问是通过口头或书面的方式对执行控制的相关人员提出问题,根据被询问人的回答确定控制是否存在并有效运行,以及控制执行人对控制的理解程度。具体形式有访谈、调查问卷等。询问是确信水平最弱的一种测试方法,仅仅通过访谈不能获得充分的证据,应该与其他测试方法同时运用
内部控制测试基本方法
测试基本方法:
观察是现场见证正在执行的控制,从而判断控制是否存在并有效运行
观察对测试接触性控制非常有用,比询问的确信水平高,应该与其他测试方法同时运用
内部控制测试基本方法
测试基本方法:
检查是通过查看与控制相关的文档性记录,对控制有效性做出判断
检查通常采用抽样测试的方法,抽样测试是以样本代表总体,通过检查样本,判断控制总体执行情况的一种方法
再执行是通过重新执行控制活动以确定控制是否有效。检查应与询问结合运用,并进行适当的再执行程序,确认控制确实有效执行
内部控制测试的组织
测试基本程序
内部控制测试的组织
测试范围的确定:
(1)概念
测试范围的确定是以风险为导向,根据不同板块的业务类型同时考虑各地区公司的业务差异,对地区公司及其所属单位公司层面、业务活动层面、信息系统总体控制的测试内容和测试单位进行确定的过程。
(2)作用
确定测试范围是开展管理层测试、地区公司自我测试和外部审计师测试的前提。
内部控制测试的组织
测试基本程序:
各层面控制测试程序基本可以划分为准备阶段、实施阶段和总结阶段
1.
准备
阶段
2.
实施
阶段
3.
总结
阶段
测试基本程序-准备阶段
准备阶段是指从发出测试通知后,测试小
组成员进驻被测试单位开始,直至初步完
成测试计划的过程。
测试人员的准备
被测试单位的准备
测试基本程序-准备阶段
测试人员的准备
了解
总体情况
取得并审阅内控管理
相关文档
编制
测试计划
协调双方的时间安排,编制测试计划表,提高测试效率。
编制测试计划
3
检查是否遗漏重要业务流程和关键控制点。
取得并审阅内控管理相关文档
2
1、公司整体运营环境; 2、主要规章制度、内控组织机构、运行网络、职责划分; 3、上年测试结果,以及以前年度主要例外事项及其整改情况;
4、被测试单位以前年度或本年度已披露或发现的一些案例等; 5、对内部控制设计进行初步了解。
了解总体情况
1
主要目的
内容
序号
测试人员的准备
测试基本程序-准备阶段
测试基本程序-准备阶段
1.取得
管理文档
取得总部和专业公司的关键控制管理文件,被测试单位的流程图、风险控制文档、程序文件、业务流程目录等相关文件。
2.审阅
管理文档
审阅风险控制文档、流程图等相关资料,初步了解业务活动及重要流程控制措施。将业务流程与股份公司确定的风险数据库进行对比,检查是否遗漏重要业务流程,确定流程记录和风险控制文档的完整性。在审阅的基础上,确定需要进行跟单作业的流程(包含关键控制点的流程)。如果被测试单位的流程图和风险控制文档不能使测试人员了解被测试单位的流程,应及时和被测试单位沟通并进一步理解内部控制文件描述的内容。
测试人员的准备
测试计划表
需要测试的关键控制及该项控制的测试计划和计划执行情况
关键控制抽样测试
信息系统总体控制测试 电子表格测试 权限测试
XX测试计划表
2
记录测试分工、被测试部门、岗位及时间安排等。
公司层面测试 跟单测试
公司层面/跟单测试计划表
1
主要记录内容
适用范围
计划表名称
序号
测试人员的准备
测试基本程序-准备阶段
3.制跟单
作业计划
通过阅读流程图、风险控制文档以及相关的程序文件和规章制度,初步了解被测试单位的流程,编制跟单作业计划表,内容包括需要访谈的岗位名称,访谈人以及被需要被访谈人提供的相关表单等。通过编制跟单作业计划,协调双方的时间安排,提高双方的工作效率。
4.填写测试
表部分内容
结合以上对被测试单位的的业务流程图和控制措施的了解,填写测试表的相关内容(序号、业务活动或控制描述、测试步骤及表头部分)。
测试人员的准备
测试基本程序-准备阶段
被测试单位的准备
1、内控管理手册等测试资料
2、各相关部门相应协调配合的工作
3、准备工作记录表单(实施证据)
4、提供必要的办公、会议及通讯等条件
5、其他
为测试服务
测试基本程序-实施阶段
实施阶段:
对执行控制的岗位人员进行访谈。通过访谈,了解该岗位人员是否真正理解所执行的控制,并对设计层面初步分析存在的问题进行了解,同时记录访谈结果。结合访谈结果,进一步完善测试计划。选取样本,如果从测试起始时间到截止时间,由于业务发生量的限制,无法取得满足要求的样本量,则应该选取已有有全部样本,同时记录样本的选取情况。对样本进行检查,记录检查结果
测试基本程序-实施阶段
观察
执行情况
访谈
相关人员
检查内控
文档记录
审阅相关
文件
检查
样本等
记录测试过程
例外事项
复印证据
测试基本程序-总结阶段
总结阶段:
汇总整理《测试表》及《抽样测试记录表》,将相应内容整理至《例外事项汇总表》。对测试结果进行分析。对测试发现的例外事项与相关人员进行充分沟通,最终达成一致意见,形成测试报告。