价。
4.组织开展信息与沟通评价,应当以内部信息传递、财务报告、信息系统等相关应用指引为依据,结合本单位的内部控制制度,对信息收集、处理和传递的及时性、反舞弊机制的健全性、财务报告的真实性、信息系统的安全性,以及利用信息系统实施内部控制的有效性等进行认定和评价。
5.组织开展内部监督评价,应当以《企业内部控制基本规范》有关内部监督的要求,以及各项应用指引中有关日常管控的规定为依据,结合本单位的内部控制制度,对内部监督机制的有效性进行认定和评价,重点关注内部监督机构是否在内部控制设计和运行中有效发挥监督作用。
五、 内部控制评价的方法
(一)内部控制评价的频率
企业每年应对内部控制进行评价并予以披露。但是内部控制自我评价的方式、范围、程序和频率,由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。国家有关法律法规另有规定的,按规定执行。如果内部监督程序无效,或所提供信息不足以说明内部控制有效,应增加评价的频率。 (二)内部控制评价的样本量 评价测试人员结合测试目的、经验以及选定的测试方法来确定样本量,在进行抽样测试时,可以参考如下对于样本量的要求,记录需要进行内部控制测试的总体样本量、控制频率和样本量。评价小组在选取样本量时,需要根据控制措施的性质、复杂程度、发生频率、控制执行人员需要具备的能力、控制运行中职业判断使用的程度、控制执行人员是否存在变化以及控制的重要性确定抽样数量,以保证获得足够的支持性证据并保证评价工作的效率。 1.总体样本量
总体样本量是指要执行控制测试并得出结论的对象。在进行控制测试抽样前,需要明确抽样测试的总体以及这些抽样测试的总体是否完整。例如:评价小组要测试所有的收货单是否均已入账,就不能以账面记录的所有收货单作为控制执行的总体样本量。因为针对“账面记录的所有收货单”进行抽样根本无法发现想要发现的控制执行问题,即未入账的收货单。真正合适的总体样本量是测试期间内所有连续编号的收货单。 2.控制频率和样本量
关于控制频率和样本量的确定,可以参考以下方法及标准执行:对于自动控制的样本量确定为1个;对于频率不确定/不定期执行的控制,应根据其实际发生样本总量折算出频率后再选取相应的样本量。
3.整改后控制测试的最低样本量 通常来讲,控制执行的测试在年中或年中稍后的时点进行,那么需要在年中测试后到年底这段时间里,对以下三类控制进行“更新测试”:年中因无样本或其他原因未能测试的控制是否在年底前得到执行,执行是否有效;已经测试过没有问题的控制是否继续有效地执行; 年中测试发现的问题是否在年底前有效整改。
其中,对于第三类控制,即控制整改的测试,评价小组也需要考虑以下因素:这些控制执行问题是否得到有效整改,是否能够满足控制目标的实现;这些整改后的控制是否已经在一个合理的时间段里得到有效运行。
缺陷整改完成后,内部控制有效运行的时间是得出整改后内部控制运行有效性结论时需要重点关注的内容。通常来说,就年中测试发现的问题,只纠正问题或出于应付检查而改正一次(仅执行一次)不能够合理保证这些整改后的控制可以持续有效地执行下去。
(三)内部控制评价的方法
内部控制评价工作组应当对被评价单位进行现场测试,综合运用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法,充分收集被评价单位内部控制设计和运行是否有效的证据,按照评价的具体内容,如实填写评价工作底稿,研究分析内部控制缺陷。
1.个别访谈法
个别访谈法主要用于了解企业内部控制的现状,经常在企业层面评价及业务层面评价的了解阶段使用。访谈前应根据内部控制评价需求形成访谈提纲,撰写访谈纪要,记录访谈的内容。
2.调查问卷法
调查问卷法主要用于企业层面评价。调查问卷应尽量扩大对象范围,包括企业各个层级员工,应注意事先保密性,题目尽量简单易答(如答案只需为“是”、“否”、“有”、“没有”等等)。
3.穿行测试法
穿行测试法是指在内部控制流程中任意选取一笔交易作为样本,追踪该交易从最初起源直到最终在财务报表或其他经营管理报告中反映出来的过程,即该流程从起点到终点的全过程,以此了解控制措施设计的有效性,并识别出关键控制点。 4.抽样法
抽样法分为随机抽样和其他抽样。随机抽样是指按随机原则从样本库中抽取一定数量的样本;其他抽样是指人工任意选取或按某一特定标准从样本库中抽取一定数量的样本。 5.实地查验法
实地查验法主要针对业务层面控制,它通过使用统一的测试工作表,与实际的业务、财务单证进行核对的方法进行控制测试。如实地盘点某种存货。 6.比较分析法
比较分析法是指通过数据分析,识别评价关注点的方法。数据分析可以是与历史数据、行业(公司)标准数据或行业最优数据等进行比较。 7.专题讨论法
专题讨论法主要是集合有关专业人员就内部控制执行情况或控制问题进行分析,既可以是控制评价的手段,也是形成缺陷整改方案的途径。
此外,还可以使用观察、重新执行等方法,也可以利用信息系统开发检查方法,或利用实际工作和检查测试经验。对于企业通过系统采用自动控制、预防控制的,应在评价方法上注意与人工控制、发现性控制的区别。 六、 内部控制评价的程序
电力企业内部控制评价程序一般包括:制定评价工作方案、组成评价工作组、实施现场测试、汇总评价结果、编报评价报告等。概括而言,主要分为以下几个阶段: 1.准备阶段
(1)制定评价工作方案。内部控制评价机构应当根据企业内部监督情况和管理要求,分析企业经营管理过程中的高风险领域和重要业务事项,确定检查评价方法,制定科学合理的评价工作方案,经董事会批准后实施。评价工作方案应当明确评价主体范围、工作任务、人员组织、进度安排和费用预算等相关内容。评价工作方案既以全面评价为主,也可以根据需要采用重点评价的方式。
(2)组成评价工作组。评价工作组是在内部控制评价机构领导下,具体承担内部控制检查评价任务。内部控制评价机构根据经批准的评价方案,挑选具备独立性、业务胜任能力和职业道德素养的评价人员实施评价。评价工作组成员应当吸收企业内部相关机构熟悉情
况、参与日常监控的负责人或业务骨干参加。企业应根据自身条件,尽量建立内部控制评价长效培训机制。 2.实施阶段
(1)了解被评价单位基本情况。充分与企业沟通企业文化和发展战略、组织机构设置及职责分工、领导层成员构成及分工等基本情况。
(2)确定检查评价范围和重点。评价工作组根据掌握的情况进一步确定评价范围、检查重点和抽样数量,并结合评价人员的专业背景进行合理分工。检查重点和分工情况可以根据需要进行适时调整。
(3)开展现场检查测试。评价工作组根据评价人员分工,综合运用各种评价方法对内部控制设计与运行的有效性进行现场检查测试,按要求填写工作底稿、记录相关测试结果,并对发现的内部控制缺陷进行初步认定。 3.汇总评价结果、编制评价报告阶段
评价工作组汇总评价人员的工作底稿,初步认定内部控制缺陷,形成现场评价报告。评价工作底稿应进行交叉复核签字,并由评价工作组负责人审核后签字确认。评价工作组将评价结果及现场评价报告向被评价单位进行通报,由被评价单位相关责任人签字确认后,提交企业内部控制评价机构。
内部控制评价机构汇总各评价工作组的评价结果,对工作组现场初步认定的内部控制缺陷进行全面复核、分类汇总;对缺陷的成因、表现形式及风险程度进行定量或定性的综合分析,按照对控制目标的影响程度判定缺陷等级。
内部控制评价机构以汇总的评价结果和认定的内部控制缺陷为基础,综合内部控制工作整体情况,客观、公正、完整地编制内部控制评价报告,并报送企业经理层、董事会和监事会。企业如果遵循监管机构要求需对外披露内部控制评价报告,则需按规定格式内容编制报告,并由董事会最终审定后对外披露。 4.报告反馈和跟踪阶段
企业对于认定的内部控制缺陷,应当及时采取整改措施,切实将风险控制在可承受度之内,并追究有关机构或相关人员的责任。
企业内部控制评价机构应当就发现的内部控制缺陷提出整改建议,并报经理层、董事会(审计委员会)、监事会批准。获批后,应制定切实可行的整改方案,包括整改目标、内容、步骤、措施、方法和期限。整改期限超过一年的,整改目标应明确近期和远期目标以及相应的整改工作内容。在整改工作中遇到协调困难甚至阻碍的,内部控制机构有权直接向董事会(审计委员会)报告,董事会(审计委员会)应给予足够的支持和帮助。 企业要建立内部控制重大缺陷追究制度,内部控制评价和审计结果要与履职评估或绩效考核相结合,逐级落实内部控制组织领导责任。企业未开展内部控制工作,或未严格执行内部控制措施,导致发生内部控制缺陷,给公司生产经营、声誉形象、财产安全等方面造成不同程度的影响和损失,对相关责任单位或责任人要追究相关责任,并给予相应的处罚。
第三节 内部控制缺陷认定 一、 内部控制缺陷分类
1.按照内部控制缺陷成因或来源,内部控制缺陷包括设计缺陷和运行缺陷。设计缺陷是指企业缺少为实现控制目标所必需的控制,或现存控制设计不适当,即使正常运行也难以实现控制目标。运行缺陷是指现存设计适当的控制没有按设计意图运行,或执行人员没有获得必要授权或缺乏胜任能力,无法有效地实施内部控制。
内部控制存在设计缺陷和运行缺陷,会影响内部控制的设计有效性和运行有效性。 2.按照影响企业内部控制目标实现的严重程度,内部控制缺陷分为重大缺陷、重要缺陷
和一般缺陷。
重大缺陷,是指一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标。当存在任何一个或多个内部控制重大缺陷时,应当在内部控制评价报告中作出内部控制无效的结论。
重要缺陷,是指一个或多个控制缺陷的组合,其严重程度低于重大缺陷,但仍有可能导致企业偏离控制目标。重要缺陷的严重程度低于重大缺陷,不会严重危及内部控制的整体有效性,但也应当引起董事会、经理层的充分关注。
一般缺陷,是指除重大缺陷、重要缺陷之外的其他缺陷。 将内部控制评价中发现的内部控制缺陷划分为重大缺陷、重要缺陷和一般缺陷,需要借助一套可系统遵循的认定标准,认定过程中还需要内部控制评价人员充分运用职业判断。一般而言,如果一个企业存在的内部控制缺陷达到了重大缺陷的程度,就不能说该企业的内部控制是整体有效的。
3.按照具体影响内部控制目标的具体表现形式,还可以将内部控制缺陷分为财务报告缺陷和非财务报告缺陷。
二、 内部控制缺陷的认定标准 企业对内部控制缺陷的认定,应当以日常监督和专项监督为基础,结合年度内部控制评价,由内部控制评价部门进行综合分析后提出认定意见,按照规定的权限和程序进行审核后予以最终认定。
企业应当根据评价指引,结合自身情况和关注的重点,自行确定内部控制重大缺陷、重要缺陷和一般缺陷的具体认定标准。企业在确定内部控制缺陷的认定标准时,应当充分考虑内部控制缺陷的重要性及其影响程度。 1.财务报告内部控制缺陷的认定标准
财务报告内部控制是指针对财务报告目标而设计和实施的内部控制。由于财务报告内部控制的目标集中体现为财务报告的可靠性。
财务报告内部控制缺陷的认定标准由该缺陷可能导致财务报表错报的重要程度来确定,这种重要程度主要取决于两方面因素:第一,该缺陷是否具备合理可能性导致内部控制不能及时防止、发现并纠正财务报表错报;第二,该缺陷单独或连同其他缺陷可能导致的潜在错报金额的大小。 (1)重大缺陷
如果一项内部控制缺陷单独或连同其他缺陷具备导致企业严重偏离控制目标,不能及时防止、发现并纠正财务报表中的重大错报,就应将该缺陷认定为重大缺陷。重大错报中的“重大”,涉及企业确定的财务报表的重要性水平。一般而言,企业可以采用绝对金额法(如规定金额超过10,000 元的错报应当认定为重大错报)或相对比例法(例如,规定超过净利润5%的错报应当认定为重大错报)来确定重要性水平。如果企业的财务报告内部控制存在一项或多项重大缺陷,就不能得出该企业的财务报告内部控制有效的结论。
另外,一些迹象通常表明财务报告内部控制可能存在重大缺陷:董事、监事和高级管理人员舞弊;企业更正已公布的财务报告;注册会计师发现当期财务报告存在重大错报,而内部控制在运行过程中未能发现该错报;企业审计委员和内部审计机构未能对内部控制进行监督。
(2)重要缺陷
如果一项内部控制缺陷单独或连同其他缺陷具备导致企业偏离控制目标,不能及时防止、发现并纠正财务报表中虽未达到重要性水平、但仍应引起董事会和经理层重视的错报,就应将该缺陷认定为重要缺陷。重要缺陷并不影响企业财务报告内部控制的整体有效性,但是应当引起董事会和经理层的重视。对于这类缺陷,应当及时向董事会和经理层报告,因此
相关推荐:
loading