2022年内部控制体 .pdf

《2022年内部控制体 .pdf》由会员分享，可在线阅读，更多相关《2022年内部控制体 .pdf（28页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、一、内部控制体系a) 总则1.1.1 内部控制目标和原则为了进一步完善和加强公司的风险管理和内部控制体系建设，提升公司的治理水平，确保公司的持续健康发展，合理保证公司经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进公司实现总体发展战略目标，现根据国家财政部等五部委颁布的企业内部控制基本规范（以下简称内控基本规范）及相关法律法规的要求，并结合本公司实际情况，特制定本手册并组织实施。公司遵循下列原则建立与实施内部控制：（一） 全面性原则。 内部控制应当贯穿决策、执行和监督全过程，覆盖公司及其所属单位的各种业务和事项。（二） 重要性原则 。内部控制应当在全面控制的基础

2、上，关注重要业务事项和高风险领域。（三） 制衡性原则。 内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。（四） 适应性原则。 内部控制应当与公司经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。（五） 成本效益原则。 内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 28 页 - - - - - - - - - 1.1.2 内部控制有

3、效性的评估架构按照内控基本规范 中的要求， 并结合国际公认的COSO 内控评估整合框架，内部控制的整体框架包含以下五大要素：内部环境- 内部环境是公司实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、公司文化等；风险评估 （包括事项识别、 风险评估及风险应对）是公司及时识别、系统分析经营活动与实现内部控制目标相关的风险，合理确定风险应对策略；控制活动是公司根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内；信息与沟通 信息与沟通是公司及时、准确地收集、传递与内部控制相关的信息， 确保信息在公司内部、公司与外部之间进行有效沟通；及内部监督是公司对内部控

4、制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。根据内部控制的整体框架，公司的内控评估工作具体分为以下两个个方面的内容：?公司层面内部控制，主要包括：企业的管理文化，对员工诚信、道德和行为的要求控制意识和经营风格董事会或审计委员会的监管名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 28 页 - - - - - - - - - 组织结构、权限和责任风险评估流程对重要事件的预测、识别和反应机制重要流程的政策和程序手册明确的财务目标，并

5、对其主动监控合理的职责分离预算与实际情况的定期比较对文件、记录和财产的适当保管清晰的沟通渠道和汇报路线完整、详细和及时的财务和管理报告持续开发、测试和监控计算机系统和程序计算机业务持续性系统和应急计划对内部控制的定期评估和监督实施改进建议建立内部审计职能以实施监控?流程层面内部控制 （包括信息系统一般控制和应用控制），主要包括 ：信息系统一般控制销售与收款名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 28 页 - - - - - - - - - 采购与付款存货及生产管理

6、固定资产资金及投资管理财务报告编制信息披露关联交易人力资源管理日常费用研发税务1.1.3 内部控制体系建设的组织模式及职责内部控制 是指由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。因此内部控制体系建设工作不仅是公司管理层的责任，而且是公司上下全体员工都需要参与的一项工作，公司内部全体员工应积极配合年度内控自我评估工作的展开。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 28 页 - - - - - - - - - 由公司总经理、财务总监、分管内

7、审的副总、董事会秘书及本部其他高级管理人员等组成 风险与内控项目管理委员会，负责内部控制体系的建设，具体职能包括：统筹并推动全公司范围内（包括公司本部以及下属公司）的内部控制体系建设工作；组织内控体系建设工作的专题培训教育及研讨会；监督内部控制执行情况及进行绩效考核；监督年度内部控制自我评估工作的进展情况；监督评估过程中所发现问题的整改工作的效率和效果。公司高级管理层 （包括总经理、副总经理、总监）的职责：支持年度内控自我评估工作的展开；积极参与相关专题培训及工作汇报会；配合相关访谈工作；推动内控评估问题发现的整改进度等。公司中级管理层 （包括部长、副部长）的职责：积极参与年度内控自我评估工作

8、，配合流程访谈以及内控测试工作的展开；及时汇报内部控制流程的变化情况；名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 28 页 - - - - - - - - - 积极参与流程讨论、专题培训及工作汇报会；组织人员更新本公司的内部控制手册等。公司普通员工 的职责：积极配合流程访谈及内控测试工作的展开；及时提供相关资料；积极参与流程讨论及相关专题培训；进行年度内控自我评价工作，更新本公司的内部控制手册。1.1.4 内部控制评估项目组的职责由公司审计部牵头，根据项目需要会同其他

9、相关部门组成内控评估项目组 ，负责公司内部控制自我评估的组织实施，具体包括：统筹年度内部控制自我评估工作的展开，包括：项目范围的设定、拟定项目工作计划、项目人员安排及工作分工等；执行年度内部控制自我评估工作，包括：编制流程文档、进行内部控制测试及出具年度内部控制自我评估报告；定期向公司管理层汇报内控评估工作发现，并监督内控缺陷整改工作的进度；提供如何展开内控自我评估工作的相关专题培训。1.1.5 内部控制的考核名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 28 页 -

10、- - - - - - - - 为确保年度内控评估项目工作的顺利实施，建立内部控制管理的长效机制，公司每年会根据内控自我评估的结果，针对内控缺陷的整改完成情况（是否按照原整改计划按时、按质量完成整改工作），同时结合外部审计师对公司的内控评价结果，对内控流程的建设情况及实际执行情况进行考核，并将考核结果作为部分整体绩效的一部分，具体考核办法另文下发。各下属公司可以按照总部的要求和考核的实施细则，制定适用于本公司的内部控制考核办法。由于整个内控项目实施时间较长，各公司在制定考核办法的过程中，应结合本公司项目实施情况，确定考核重点。b) 内部控制手册1.2.1 内部控制手册的遵循内部控制手册所记录的

11、内部控制流程适用于xx 公司。各下属公司应参考内控手册中的流程描述及控制点描述结合本公司的实际情况执行相关业务流程，并根据业务流程的实际情况编写适用于本公司的内部控制手册。下属公司应比照本内部控制手册，对内部控制框架和其中涉及的业务流程进行差异分析，并就差异产生的原因进行说明。对于控制点的缺失，如果不存在补偿性控制，应作为控制缺陷向公司总部进行汇报，并积极按照整改建议执行整改工作。1.2.2 内部控制手册的颁布名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 28 页 -

12、- - - - - - - - 内部控制手册经公司董事会批准后颁布执行。1.2.3 内部控制手册的维护内部控制手册每年应根据上年度内控评估工作的结果，以及公司组织架构、业务流程的变化情况及时进行更新，并做好版本管理。内部控制评估项目组负责内部控制手册文档的整体维护及版本控制工作。各业务部门及下属公司应有责任将年度内发生的流程变化信息，包括任何并购活动的产生、组织架构和重要职位变动、业务流程变更、新业务增加等及时向内控评估项目组报备。各业务部门及下属公司应在变化发生后填写流程变化报备表（详见附件5.2），并将报备表提交公司审计部进行备案。内控评估项目组会在年度评估工作中关注流程变化的内容，对其有

13、效性进行评估后决定是否可以对内部控制手册的内容进行修订。内部控制自我评估工作应依据最新版本的内部控制手册开展。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 28 页 - - - - - - - - - 二、内部控制评估项目工作组c) 组织架构及汇报路线2.1.1 组织架构项目工作组由 项目组组长 、项目组成员 、质量监控人员 组成，是公司总部项目管理委员会下设的年度内控评估工作的执行机构。各下属公司也可以参照总部项目组的组织架构酌情建立自己的内控评估项目组，负责内部控制

14、设计与执行有效性进行自我评估。下属公司的内控评估项目组的具体工作方法可以参照本手册执行。2.1.2 汇报路线内控评估工作采用层层上报机制，所有参与内控评估工作的人员在项目范围内对其工作结果的真实性、完整性、合理性负责。本手册规定了内控评估工作的汇报路线：在穿行测试阶段，项目组成员检查到任何内控缺陷、违规或不符合内部控制手册的情况，应及时与各控制点负责人和流程负责人确认有关问题发现的真实性，并定期将问题发现汇总向项目组组长汇报；在控制测试阶段，当确定问题发现的真实性后，项目组成员应按照本手册的要求，适当增加测试的样本量。当在增加的样本量中仍发现有差错和例外的情况时，项目组成员应及时告之各被测试单

15、位的名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 28 页 - - - - - - - - - 控制点负责人和流程负责人以确认有关问题发现的真实性，并定期将问题发现汇总向项目组组长汇报；项目组组长评定后， 根据重要性原则将关键控制点的内控缺陷及时、完整的向项目管理委员会及相关管理层汇报；在年中 /终测试后，内控评估项目组会向公司的审计委员会、项目管理委员会及相关管理层就本年度所有已辨认的重大内控缺陷与实质性漏洞等问题发现进行汇报。d) 成员的素质要求2.2.1 成员的独

16、立性要求内控评估项目组必须保持相对独立性，在工作过程中自始自终不受外来或内在因素的影响和干扰，独立取证，客观、公正地展开内控评估工作。为保持项目组成员的独立性，必须做到：项目组成员保持应有的独立性，其日常工作需独立于内控评估工作所涉及的流程，亦不能为控制点执行人员、控制点责任人和流程主要负责部门负责人。2.2.2 成员的能力要求内控评估项目组必须保证有足够的人力资源投入到年度内部控制评估工作。项目组成员应具有足够的工作能力及参加内控评估工作所需要的知识、技能、经验和资质等，包括但不限于：充分了解公司的经营运作和主要业务流程；名师资料总结 - - -精品资料欢迎下载 - - - - - - -

17、- - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 28 页 - - - - - - - - - 充分了解内部控制手册和本手册的内容；已参加公司安排有关内控基本规范内控评估工作培训；具有综合分析的能力和其他相关专业知识（如信息技术、 行业情况、 财务等）。e) 职能和权限2.3.1 职能内控评估项目组的职能主要是根据公司制订的内控评估工作程序对内部控制流程中的关键控制点进行测试和评价，确保工作底稿及测试报告的真实性和完整性，以此来判断公司的内部控制是否合理、健全、有效，并根据内部控制评估的结果出具内部控制自我评价报告。通过内部控制的执行，将公

18、司经营风险降低到公司可接受的最低水平，以最终实现内部控制的总体目标。2.3.2 权限内控评估项目组成员有权查阅与其所负责的流程相关的文件资料；就其所负责的流程询问相关流程负责人；并就工作过程中发现的问题向项目组组长汇报。同时，项目组成员不能在工作过程中进行与内控评估工作无关的业务或获取与其所负责流程无关的资料，并对其所了解到的业务中涉及公司机密的内容有绝对保密的责任。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页，共 28 页 - - - - - - - - - f) 职责

19、分工2.4.1 组长项目组组长是内控评估工作的主要负责人，负责组织、 计划、督促、指导、协调项目组各项工作的全面展开落实，负责工作底稿的审核及评估报告的审核、上报及解释工作，对本项目工作负主要责任。具体职责包括：项目工作准备阶段， 在进行实地外勤工作前编制项目实施方案，包括项目范围的拟定、 人员的安排、 工作分工、 时间计划的制定与项目范围内涉及部门的协调等；组织召开项目工作启动会议，向项目组成员介绍工作计划、工作安排及相关注意事项等内容；执行有效的项目管理， 控制并确保工作在计划时间内完成，对整个项目的工作进度负责；定期向公司管理层汇报项目进展情况及所发现的重点问题，持续的沟通；汇总工作过程

20、中发现的内控缺陷，定期向公司管理层汇报内控缺陷的发现情况及整改工作的进展情况，监督内控缺陷整改工作的进程；根据内控评估工作结果出具年度的内部控制自我评价报告；协调项目组成员在实际工作中遇到的困难和障碍。2.4.2 成员项目组成员主要负责内控评估工作的具体执行，并就评估工作中发现的问题及时向组长汇报。为确保内控评估工作的质量，项目组成员应具有相应的职业技能及专业知识，符合2.2 章节成员素质要求。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页，共 28 页 - - - - -

21、 - - - - 项目组成员应签字确认其所负责流程文档及控制点测试工作底稿，确保工作底稿真实完整反映了该成员的意见。具体职责包括：积极按照项目工作计划安排展开工作，定期向组长汇报工作进度及工作过程中发现的问题或碰到的困难，保持持续沟通；展开流程访谈， 向流程负责人确认流程描述，收集所需要的穿行测试资料以确认流程描述的真实性；在工作过程中与流程负责人保持持续的沟通，及时确认有关问题发现的真实性；按照工作底稿模版完成内控评估工作底稿，包括流程描述、 风险控制矩阵、穿行测试、内部控制测试表及内部控制缺陷详细报告；在工作中独立取证，客观、公正地展开内控评估工作，认真、准确和详细填写有关内容， 并按照工

22、作分工对自己所负责流程的工作质量负全部责任。2.4.3 质量监控员质量监控员是内控评估工作的监督人员，主要责任是确保内控评估工作是按本手册的工作方法进行，以确保工作完成质量。质量监控员人数约XX人。质量监控员应签字确认其参与监控的流程及控制点测试工作底稿，以保证该工作底稿的测试质量在其监控之下完成。具体职责包括：在计划测试时， 质量监控员负责审阅各项目组成员已修改好的内控评估文档：包括流程描述、风险控制矩阵等。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页，共 28 页 -

23、 - - - - - - - - 在测试的实地工作中， 质量监控员审阅项目组成员填写的穿行测试工作底稿、 内控测试工作底稿和有关附件，确保测试工作是严格按照本手册的工作方法进行，并签字确认；检查项目组成员的抽样证据、 在执行测试时是否按流程需要执行了必要的测试方法， 所执行的测试方法是否正确、有效，所选取的样本量是否合理，对流程控制工作的评价是否合理；检查各成员编写的 内部控制缺陷详细报告，确保所有问题发现都得到汇报；在内控评估工作的后期， 向项目组成员确认各问题发现已充分与被查单位的控制点执行人员、 控制点责任人和流程主要负责部门负责人进行沟通并确认；向各公司的项目牵头部门收集和汇总控制点责

24、任人和流程主要负责部门负责人对评估结果和改进建议的反馈意见；有关的反馈意见应有纸质的文档支持，而不是口头协议，这包括OA、E-mail 等；在项目过程中遇到任何问题，应及时和完整地向项目组组长进行汇报，并保持持续的沟通。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页，共 28 页 - - - - - - - - - 三、内部控制评估工作程序g) 项目范围的设定内部控制自我评估项目范围的设定应从内部控制的目标出发，即：合理保证公司经营管理合法合规、资产安全、财务报告及相关信息

25、真实完整、提高经营效率和效果及促进公司实现发展战略，并结合公司的实际经营状况和业务特点，采用以风险为导向的工作方法，根据年度风险评估的结果，将高风险领域涉及到的对公司经营运作有重大影响的业务流程及关键风险点纳入项目评估范围。内部控制自我评价的方式、范围、程序和频率，由公司根据经营业务调整、经营环境变化、业务发展状况、剩余风险水平等确定。h) 编制内控文档记录3.2.1 公司层面内部控制按照内控基本规范 中的规定并结合COSO 内控整合框架中的要求，编制公司层面内控评估调查问卷，根据问卷中涉及到的内容对相关部门和管理层进行访谈、评估及认证。3.2.2 信息系统的一般控制信息技术系统的一般控制为作

26、用于数据中心和网络运行，操作系统软件采购与维护，访问安全和应用程序系统的采购、开发和维护的控制。这些控制适用于大型机、 小型机和最终用户的环境中。其主要涵盖程序开发控制、名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 15 页，共 28 页 - - - - - - - - - 程序变更控制、程序及数据的访问控制、系统运行控制以及最终用户运算五方面。程序开发控制 合理确保对与日常经营活动密切相关的重要程序的更改，在被移至生产环境之前是经过授权与适当测试的。另外。有关的控制按期望实施并支

27、持财务报告的要求，其中还应包括公司对信息安全和数据处理完整性等方面的要求。程序变更控制 能合理确保对与日常经营活动密切相关的重要程序的更改，在被移至生产环境之前是经过授权与适当测试的。程序及数据的访问控制 能合理确保系统与子系统上建立了适当的安全性措施来防止数据的未授权使用，披露，更改，破坏和流失。系统运行控制 管理层制定、记录并遵循了关于系统运作的标准流程：包括实施批处理作业以及对安全与信息处理事件的监控与反应。最终用户运算 合理确保终端用户所使用的电子表格与自主开发的程序所提供数据的完整性、准确性和可靠性。数据的未授权使用，披露，更改，破坏与流失得到合理的预防。3.2.3 流程层面内部控制

28、在流程层面内部控制包括每个重要子流程的交易发起、审批授权、记录、处理和报告的过程。发起 因一项交易的发生而产生的应承担的权力或义务、增加的资产或负债，即交易记录的起点。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 16 页，共 28 页 - - - - - - - - - 审批授权在交易执行或记录之前，有独立的审批授权，对业务的执行进行授权批准。记录 每项交易一旦发起，必须在交易的过程中将相关的控制过程及关键控制点进行记录。处理 必须正确执行交易过程中的信息，以确保交易记录的准确性

29、。报告 营运过程中产生信息的汇报过程。根据控制的具体 实现方式 的区别，我们可将内部控制细分为手工控制 、自动化控制 和依赖自动化的手工控制。手工控制是指那些运行时不需要依赖于信息系统环境的控制。自动化控制 是指应用于单个交易处理的完全由系统自动执行的控制（应用程序控制） ，包括诸如编辑检查、 确认、计算、转换和授权等控制。应用程序控制还可有效增强不相容职责的分离，并有效提高控制活动的效率和效果。依赖自动化的手工控制 是指人通过基于信息系统生成的信息来进行控制，因此它是人与电脑相结合的产物。由于依赖自动化的手工操作很大程度上依赖电脑系统生成的信息报告，保证电脑系统生成信息的完整性和准确性尤为重

30、要。其中自动化控制 可以分为 信息系统一般控制和应用控制 两部分。信息系统一般控制：强调的是信息系统所处的整体信息技术环境，是其它任何基于信息系统的控制措施的基础。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 17 页，共 28 页 - - - - - - - - - 信息系统应用控制：是指在业务流程中基于信息系统的控制措施。一般涵盖对某一特定系统功能的访问权限，对数据输入、处理及输出的控制等。根据控制的具体 功能 区别，我们可将内部控制细分为预防性控制 和发现性控制 。预防性控制

31、： 发生于差错出现之前，正常情况下适用于单笔交易或系统设置。发现性控制： 发生于差错出现之后，正常情况下适用于多笔交易。与财务报告相关控制还需要确保每个重要的会计科目符合下列财务报表认定的要求：存在与发生 ：资产负债表所列的各项资产、负债、权益在资产负债表日是否存在，损益表所列的各项收入和费用在会计期间是否确实发生。需要注意的是 “ 存在或发生 ” 认定所需要解决的问题是，管理当局是否把那些不应包括的项目（如不存在的项目或不曾发生的交易结果）记入了会计报表，但并不涉及所报告的金额是否正确。完整性 ：在会计报表中应列示的所有交易和项目是否都列入了。这里需注意，有关 “ 完整性 ” 的认定所要解决

32、的问题是，管理当局是否把应包括的项目给遗漏或省略了，并不涉及所报告的金额是否正确。可见，“ 完整性 ” 认定与“ 存在与发生 ” 认定正好相反，它主要与会计报表的组成要素的低估有关。即 “ 该记账的没记 ” 。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 18 页，共 28 页 - - - - - - - - - 估价与分摊 ：资产与负债、交易或事件以适当的金额记录。收入与费用于适当的期间内分摊。权利与义务 ：在某一特定日期，各项资产是否确属公司的权利，各项负债是否确属公司的义务，

33、需注意该认定只与资产负债表的组成要素有关。表述与披露 ：会计报表上的特定组成要素是否被适当地加以分类、说明和披露。3.2.4 评估内部控制在设计上的有效性透过与流程负责人或相关系统负责人访谈以了解公司层面和各重要流程的内部控制（包括信息系统一般控制和应用控制），通过穿行测试确认内控的真实性，用以评估现有内控在设计上控制措施能否达到预期的控制目标。若然发现有任何不足之处，会把相关缺陷记录至缺陷报告，然后逐一评估其发生的可能性和潜在的影响。i) 执行内部控制测试3.3.1 内部控制测试的执行除以上评估内部控制在设计上的有效性外，还会对内控在操作上的有效性进行测试，包括控制措施是否按设计一贯的有效执

34、行和控制执行人员是否具备相应的职权或资格。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 19 页，共 28 页 - - - - - - - - - 控制测试仅针对关键控制进行。关键控制 ：是指对公司日常经营运作具有深入的影响的控制， 关键控制的失败将直接影响到公司战略、运营、合规、财务和资产安全五大控制目标的实现。3.3.2 评估内部控制在操作上的有效性透过执行内部控制测试（包括信息系统一般控制和应用控制）验证关键控制是否在固定期间内一贯的有效执行。评估现有内控措施在操作上能否达到

35、预期的控制目标。若然发现有任何不足之处，会把相关缺陷记录至缺陷报告，然后逐一评估其影响。j) 内部控制缺陷评估内控评估项目的范围包括公司层面的整体内部控制框架和流程层面主要内控措施（包括信息系统一般控制和应用控制）。在评估过内控在设计上（见 3.2.4 节）和操作上（见3.3.2 节）的有效性后，需把识别到的内控缺陷进行分析。内部控制缺陷主要分为设计缺陷 和操作缺陷 。设计缺陷： 指的是内部控制措施在设计上本身就存在漏洞或控制缺失，控制措施无法将风险降低到可接受的最低水平。操作缺陷： 指的是控制措施在设计上本身是有效的，但控制执行人并未按规定将控制活动一贯的有效执行。名师资料总结 - - -精

36、品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 20 页，共 28 页 - - - - - - - - - 内部控制缺陷按其后果的严重性 和发生的 可能性 还可以分为三大类： （1）重大缺陷、重要缺陷和一般缺陷。进行内部控制缺陷评估时，可以将自我评估结果与外部审计师评估结果相结合，对内部控制缺陷进行最终的评价。重大缺陷 ：是指一个或多个控制缺陷的组合，可能导致公司严重偏离控制目标的情形。结合公司风险评估的结果，仅高风险领域的关键控制点的内控缺陷才可能产生重大缺陷。重要缺陷： 是指一个或多个控制缺陷的组合，其严

37、重程度和经济后果低于重大缺陷，但仍有可能导致公司偏离控制目标的情形。一般缺陷： 是指除重大缺陷、重要缺陷之外的其他控制缺陷。应当分析内控缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者管理层报告。公司应当跟踪内部控制缺陷整改情况，并就内部监督中发现的重大缺陷，追究相关责任单位或者责任人的责任。k) 工作方法概述3.5.1 内部控制描述方法概述在内控评估工作过程中，凡是与公司经营运作密切相关并产生重大影响的控制都需要进行详细的记录。在编写流程描述时，对于每个控制点的描述要注意要描述出五个方面内容（5W）：Who谁是该控制的执行者名师资料总结 - - -精品资料欢迎下载

38、 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 21 页，共 28 页 - - - - - - - - - When控制在什么时间发生What 如何实施该控制Where控制体现在什么地方Why该控制的目的在记录被纳入工作范围的流程时，项目组成员可以通过以下方式识别流程层面的主要控制点：审阅现行的管理制度；询问有关责任人控制情况；进行穿行测试；及将内部控制设计与 内控基本规范 和其它内部控制资料进行比较和差异分析。针对信息系统的控制点描述，需将信息系统依据信息技术环境进行归类（见 3.2.3 章节流程层面内部控制），按具体类

39、别对控制进行描述，但需要保证该类别能够包括所有与内部控制目标相关的关键业务流程中定义为关键控制点的信息系统情况。我们会使用标准的工作底稿模版记录内部控制描述（见5.2.2 节），在工作过程中，将现有的过程、政策、方法、操作守则、业务流程和业务负责人等内容进行详细记录。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 22 页，共 28 页 - - - - - - - - - 3.5.2 内部控制测试方法概述在进行测试时，必须衡量有关内控在设计上和操作上的有效性。而评估这两方面的有效性主

40、要通过穿行测试 和控制测试 的方法进行。穿行测试 ：即对完整业务流程轨迹按交易流程进行模拟跟踪，需要审阅及复印交易所涉及的实际交易单据、凭证、对账单及其它有关文件。控制测试 ：即记录主要内部控制的遵循情况，涉及管理层审核、职责与权限的划分、授信对账及差错报告等重要内部控制点，需审阅（包括在计算机系统中审阅）有关文件及单据。每年都需要对项目范围内的主要流程进行穿行测试。在穿行测试中，应在每类重大交易中选择一笔交易，从其业务起点追溯至业务的终结。通过流程穿行测试可以验证并确认内部控制的可行性及有效性，所取得的样本将留作今后评估阶段的书面证据。需要注意的是，我们应选取一个比较完整的样本，从头至尾穿行

41、，尽量确保在流程各个环节获取的文档要能勾稽起来。项目组成员通常可以在了解交易流程及识别内部控制点编制内控评估文档的同时进行穿行测试。在考虑内控设计有效性时，项目组成员需判断其内控设计是否可以防范/规避有关风险（例如需要处理什么风险？控制如何进行？频率是否足够？员工技能或经验是否可以有效操作）。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 23 页，共 28 页 - - - - - - - - - 在评估内部控制的操作有效性时，可以采取以下的测试方法验证相关内控是否有效运行：种类定义

42、询问与对有关控制具有认识的人员进行访谈（例如：询问有关信贷控制，并从访谈中得到证据以证明有关跟进工作行之有效）观察观察控制的执行（例如：观察盘点）审阅与检查检查控制执行的记录或文件。（例如：检查银行调节表作为有效操作的证据）重新执行对相应的控制进行重新演算，确保其正确操作。（例如：重新分析贷款档案，确保结果一致）系统查询恢复系统资料，比较结果以确认系统控制能正常操作。（例如： 自动产生例外报告， 设立逻辑性系统准入控制，确保职责分工及适当授权）如发现内控的有效性出现问题，需跟流程负责人了解有没有补偿控制。如果有补偿控制，测试员须要针对补偿控制进行测试。以下为发现内控缺陷时的相关处理程序：将不能

43、通过测试的情况分类(一般缺陷、重要缺陷或重大缺陷)；根据项目管理框架报告有关情况、对公司的影响、 短期及长期的解决方案；名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 24 页，共 28 页 - - - - - - - - - 以风险为出发点， 从内控缺陷发生可能性和影响程度两个方面来确定哪些内部控制缺陷构成了重大缺陷或重要缺陷。抽样基准及可容许测试失效样本数量抽样基准内部控制实施的频率每年样本数量范围每年 （一般为年终）1 个每季度2 个每月2 个每周5 个每天25 个反复持续进行

44、 (一天内发生多次 )25 个不定时覆盖全年实施相关内控整体数量的10%，但不超过 25 个系统应用控制1-2 个（不包括信息控制技术的一般控制）注：在抽样时可多抽取发生时间接近财务年度期末的样本。可容许失败的样本数量控制测试样本量（注）发现的操作缺陷数量跟进方法120 个1 个控制失效，不再测试。25 个1 个扩大样本量（剔除原有样本重新抽取 15 个样本）进行测试。如未发现其他差异，控制仍然有效。如再发现差异，控制失效，不再测试。25 个1 个控制失效，不再测试。注: 控制测试样本量指第一及第二轮样本量的总和。若在扩大样本量后仍发现错误：记录样本测试失败的详细情况及原因，并要求公司进行整改

45、。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 25 页，共 28 页 - - - - - - - - - 考虑针对该控制确保的财务报表认定是否还有其它的补偿控制可以依赖。如果有可以信赖的补充或者替代性控制，可以考虑对其进行测试以弥补关键控制的缺失。保持足够的书面文档支持内控评估工作的进行非常重要，因此项目组成员必须完成测试记录，内容包括：测试负责人员和测试日期；样品数量和抽取方法(从哪段时段 /对象总体中抽取样本， 用什么方法等） ；测试结论（是否通过测试）。l) 内部控制流程文

46、档签署确认每年，在完成年度内部控制评估文档编制工作后，需要将内控评估文档及相关内控缺陷报告发给各流程负责人签署确认，以确保内部控制手册中的内控流程描述与实际情况相符。由公司审计部负责统筹整个内部控制流程文档签认的全过程，包括签署确认的时间安排、内控流程文档的下发、文档收回等。经流程负责人签署确认的流程文档需妥善保管，作为公司展开内控评估项目的书面证据进行保留。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 26 页，共 28 页 - - - - - - - - - m) 出具内部控制

47、评估报告每年，公司应该在完成内部控制评估工作后，根据内控评估工作的结果和整改完成情况，按照内控基本规范的要求，编制内部控制评价报告。内部控制评价报告至少应当包括下列内容：组织实施内部控制评价的总体情况；内部控制责任主体的声明；内部控制评价的范围和内容；内部控制评价的标准和依据；内部控制评价的程序和方法；内部控制重大缺陷及其认定情况；内部控制重大缺陷的整改措施及责任追究情况；及内部控制有效性的结论。若存在一个或多个内部控制重大缺陷，应当作出内部控制无效的结论。内部控制评价报告应当报公司经理层审核、董事会审定后公布。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - -

48、- - - - - - - - 名师精心整理 - - - - - - - 第 27 页，共 28 页 - - - - - - - - - 四、保密机制内部控制评估工作涉及到公司所有主要的业务流程和公司的各个层面，是公司全体员工的共同工作成果，因此在开展评估工作的同时必须建立严格的项目保密机制。对于涉及具体流程描述和缺陷汇总的文档必须使用公司内部邮箱发送；对于评估中确认的各项内部控制缺陷，严禁个人在各类媒体、 论坛上公布或作为案例引用，如有违犯，公司将对责任人追究相应的法律责任；对于评估中确认的各项内部控制缺陷，不应在电梯、 餐厅等公共场合进行讨论，以免给公司带来不良影响；未经公司许可，个人禁止对评估工作相关的培训和访谈情况进行录音、录像；评估中生成的各项文档知识产权归本公司所有，参与评估人员尤其要注意不得将这些文档向本公司竞争对手泄露；评估过程中生成的各项重要文档，要求在文档正文前强调对该文档的知识产权保护。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 28 页，共 28 页 - - - - - - - - -