KPMG内部控制测试指南
KPMG审记与咨询业务中心
内部控制测试指南
2001年5月目录
1.概论1 1.1如何运用于所有的审计项目2 2.审计工作进程3 2.1战略性分析3
2.2流程分析4
2.3其它审计步骤及报告4 3.企业的控制环境5
4.流程分析和基于内部控制的审计方法7
4.1理解流程7
4.2理解流程层面的经营风险和财务报表风险7
4.3识别相关的(经营方面的和财务报表方面的)控制点8
4.4选择某一分组的控制点进行测试,以及控制设计测试9
4.5对已选择的控制点进行控制执行测试10 4.5.1测试手段10
4.5.2测试工作的目的和性质11
4.5.3测试工作的样本量12
4.5.4测试的时间安排13 4.6评价测试结果14
4.7记录测试结果14
4.8在内部控制测试时的决策树16附录
A名词解释18
B内部控制测试实例20
B.1战略性经营风险(“SBR”) 20
B.2重要交易事项(“SCOT”) 20 C内部控制的类别
C.1授权
C.2配置/帐项映射的控制
C.3预警报告
C.4界面/转换控制
C.5主要运营指标
C.6管理层审阅
C.7稽核
C.8职责划分
C.9系统访问权限
D测试手段
D.1确证征询
D.2文件检查
D.3能力评估
D.4系统调阅
E信息风险管理专家(IRM)在审计中的作用
1概论
KPMG编写“内部控制测试指南”的目的是为KPMG的审计人员进行内部控制测试工作提供一些帮助。
基于内部控制的审计方法(system-basedapproach)是指按照KPMG审计手册(KAM)进行的财务报表审计。它既要考虑人工控制,也要考虑IT控
制,还要求信息风险管理(IRM)专家的适当参与。
在按照KAM审计的过程中,我们并不计划对所有的审计目标实施实质性测试,(“完全实质测试审计”),这就需要通过进行各种分析以确定客户的重大错报风险(ROSM,固有风险与控制风险之积)低于最高水平。
根据KAM,只有获得了关于客户内控制度的设计及执行是有效的证据,才能认为客户的ROSM低于最高水平。不仅如此,将ROSM评估为高,通常是因为控制测试显示客户的相关内控制度设计不合理或是未得到有效的执行,而不是因为我们基于成本效益的原则而不打算进行控制测试。请参见
4.8部分“在内部控制测试时的决策树”。
本指南包含了控制测试的理论和实例。本指南也描述了KAM工作进程的概况,但主要探讨如何在流程分析阶段(ProcessAnalysis)理解和测试客户的内控制度,从而完成按KAM要求的基于内部控制的审计。本指南的基础是与国际审计准则(IAS)相一致的KAM。
本指南包含四部分:
一、审计工作进程
这部分将简要回顾KAM的工作进程,并且着重于以下三部分内容:理解战略性经营风险(SBRs);理解重要交易事项
(“SCOTs”);以及对关键控制流程(KeyBusinessProcess)进行分
析(关键控制流程指管理SBRs或者产生、处理和记录SCOTs的流
程)。
二、企业的控制环境(Controlenvironment)
这部分将简要回顾KAM关于企业控制环境的论述,企业的控制环境是其它各控制环节的基础。
三、流程分析(ProcessAnalysis)---基于内部控制的
审计方法(System-basedapproach)
这部分着重于流程分析(ProcessAnalysis),包括识别流程层面的风险和控制点(Process-levelrisksandcontrols)以及内部
控制测试。
四、附录
A、名词解释
B、内部控制测试实例
这些实例将说明在各种流程中存在的一套控制点。这
些实例不是完美无缺的,但可以作为识别流程中的控制点的
出发点。
C、内部控制的类别
本指南对众多的控制点按照可采用何种控制设计
测试与执行测试的方法进行了分类。在附录B“内部控制测
试实例”中的每个控制点都已被分类。
D、测试手段
本指南的正文已探讨了KAM中提及的控制测试手
段。有些测试手段也可以组合起来使用以获取关于控制系统
执行有效性的证据。这些手段在附录D中有更详细的描述。
E、信息风险管理专家(IRM)在审计中的作用
IRM可以显著地提升审计的价值,在某些情况下,在
战略性分析和流程分析中必须应用IRM。如何在审计中恰当
地运用IRM的探讨将贯穿本指南,同时,附录E中更详细地
探讨了如何恰当运用IRM。
1.1如何运用于所有的审计项目
本指南可以运用于无论大小所有的审计项目。虽然大型企业可能面临更为严格的向公众报告的要求,但是小型企业与大型企业对良好的控制确有同样的需求。良好的控制事实上也存在于小型的企业,这些控制从表面上与大型企业的有可能不同,下面是它们的主要区别:
n小型企业中的沟通过程是不太正式的,在仅有几个人和有限的管理层次的组织中,口头的交流可能比书面交流更为有效。
n监督是由高层管理者完成的,通常同时也是企业所有者,而不是存在一个有外部人员参与的董事会。
n小型企业的管理风格可以被称为是“自己动手”
(hands-on),这意味着管理当局亲自动手执行计划。在许多的领
域,管理当局更乐于采用直接的询问和观察的方法来对企业监控,
而不是依赖正式的报告。
n小型企业中可能没有内部审计人员,不过在一些特定的项目上,也许管理当局或者是会计人员会不断进行检测。
n上述几点适用于一个仅有几层管理层级的简单的组织,这样的组织更依赖管理当局直接审阅。本指南中提及的测试方法和
手段同样可以应用于这些不太复杂的组织。事实上,在很多情况
下,如果能很好的理解这些不太复杂的控制流程,应用基于内部控制的审计方法(system-basedapproach)会更容易。
n小型企业中的控制程序和责任划分并不象大型企业中那么完整,管理者直接的监督是更为重要的。
n在小型企业中的自我检查过程是很不正式的,这种检查更可能是依赖于经验或非正式的反思。小型企业经常依赖于外部的帮助,特别是他们的外部审计师。
2 审计工作进程(Workflow)
2.1 战略性分析(StrategicAnalysis)
披露
管理SBR 地认识和了解以下几个方面:
n
对财务报表有重大影响的战略性经营风险(SBRs):企业
管理层为了达到企业的经营目标而选用不同的战略,战略性经营风险(SBRs)也相应不同。这些风险对财务报表的潜在影响需要在财务报表中进行会计估计,或要求管理当局做出合适的表达和披露。
战略性经营风险(SBRs)还包括与计算机信息系统相关联的风险(IT 经营风险)。当理解这种风险的重要性时,我们应该考虑计算机信息系统在财务报告过程中的重要性和与之相关的战略性经营风险。
我们可以使用风险分析模块(RAMs)来评估战略性IT 经营风险。风险分析模块(RAMs)能帮助我们从战略层面考虑客户使用技术所引起的风险的程度。在KPMG 的审计人员决定是否使用风险分析模块(RAMs)时,可以先用附录E3的问题做一下自测。
n
对财务报表和我们的审计有重大影响的重要交易事项
(SCOTs):重要交易事项(SCOTs)是指,根据我们的判断,具有相同特点、属性、或者性质的,数量较大的一组交易。
在理解企业经营的过程中,我们还要:
n
理解企业的控制环境,进而决定我们对内部控制的测试
方法。我们也会考虑计算机信息系统能够如何影响审计(参见第三章)。
n
初步判断是否需要信息风险管理专家(IRM)来评估、描
述和测试IT 的风险和控制点。这些控制点与客户的经营和战略相配合,并植根于关键控制流程中。
n
使用附录E1‘战略性分析--初步判断是否需要信息风
险管理专家(IRM)的参与’所提示的问题来确定某些要求信息风险管理专家(IRM)参与财务报表审计的情况是否存在。如果我们确定IT
风险不大,并且附录E1中描述的客户情况不存在,就不必在审计中引入IT 专家。如果附录E1中描述的客户情况存在,就要考虑让信息风险管理专家(IRM)参与战略性分析过程。 接下来我们要找出如下控制流程:
n 管理战略性经营风险(SBRs)的;或者
n
产生、处理并在财务报表中记录重要交易事项(SCOTs)
的。
这些控制流程被称为关键控制流程。我们对每一个关键控制流程都进行流程分析。
2.2 流程分析
管理SBR
产生、处理和记录SCOT
*包含识别/确认审计目标
**包含控制设计测试和预估ROSM
我们在流程分析过程中的工作如上图所示。无论这个关键控制流程是关于某个SBR 的还是某个SCOT 的或如何特殊,所做的工作都是相同的。关
于流程分析的进一步探讨请见第四章。
2.3 其它审计步骤及报告
在其它审计步骤及报告阶段,我们执行其它审计步骤(实质性测试程序),从而获得充分的审计证据来形成我们的审计意见。我们还应向客户报告我们的审计发现。
通过其它审计步骤及报告阶段的工作,我们能够评估审计差异,对审计目标做出结论,形成审计意见和报告审计发现。
关键控
理解 理解风识别相关控制点
进行控制执计划其它分析性程详细测试
3企业的控制环境
理解企业的经营也包括理解其控制环境。企业的控制环境包括企业的政策和程序,它们是企业为实现其经营目标而采取的行动和所做出的决策的有机组成部分。
企业的控制环境界定了企业的风格和员工的控制意识。它是內部控制其他组成部分的基础,并为它们提供了基本框架和原则。控制环境包括以下因素:
n道德品行
n工作能力
n董事会或审计委员会的参与
n管理哲学和风格
n组织结构
n授权和责任的分配
n人事政策和实务
另外,企业的控制环境还包括:
n信息的交流;以及
n计算机信息系统
企业之所以需要控制环境是因为董事们要确保管理当局既努力实现良好的业绩,又按照允许的规矩经营。对于管理当局而言,他们又需要确保员工们按照他们的要求行动。鉴于董事和管理当局不可能参与企业的每一项决定和活动,因此他们建立了企业控制环境。
企业的控制环境取决于企业的规模和业务的复杂程度,以及董事和管理层的经营管理哲学和风格。
在企业的控制环境中,计算机信息系统的重要性日益突出。因而,我们对它的了解应足以保证我们能有效地制定审计计划和评价所获取的审计证据。对于计算机信息系统,我们需要了解的方面包括:
n企业对计算机信息系统的依赖程度
n计算机信息系统的功能和所能提供的信息资源
n信息的安全性
n计算机信息系统的可信赖程度
n计算机信息系统的变动程度和频繁程度
n对外部计算机处理的依赖程度
n计算机信息系统的管理和运行
如果初步评估(参见附录E1)决定使用IRM,那么,我们就应考虑在理解企业的控制环境时让IRM参与。同样,在审计阶段,IRM也应获取对客户IT策略和IT基础设施及运营的理解。通常,我们往往通过与IT部门的关键人员包括与CIO的交谈来获取以上信息。在此时,我们建议应有一名审计人员陪同IRM人员一起与客户交谈(参见附件E4和E5,对了解客户业务和对IT策略及运行环境的的进一步探讨)。
通过询问、观察、检查文件和分析性程序的应用,并结合我们以前的经验,我们才能对客户的控制环境充分了解以保证我们能有效地制定审计计划和评价所获取的审计证据。
我们对企业控制环境的了解能够在以下方面帮助我们:
n内控测试。企业的控制环境影响着企业的内部控制的有效性,从而间接影响财务报表。良好的控制环境是对具体控制点的
有益补充。但是,良好的控制环境并不能单独决定控制系统的有效
性。因而,我们通过控制测试来获取关于具体内控设计和执行有效
性的审计证据。
n发现在随后的审计中需要关注的问题。在了解企业控制环境的同时,我们也能发现一些在随后的审计中需关注的问题,才
能在随后的审计中决定它们对财务报表和审计的影响。例如,我们
可能发现那些对财务报表存在潜在影响的经营风险。
n发现一些有可能影响我们审计步骤制定的问题。了解企业的控制环境后,我们需要考虑这些控制环境的特点是否会给我们
获取审计证据和执行其它的审计步骤带来困难。我们还需考虑某些
控制环境的特点是否会导致管理层及雇员的舞弊。这些考虑可能影
响相关审计步骤的制定(例如测试目的、期间或数量)。
n发现一些客户有待改进的项目。在了解企业的控制环境时,我们可能会发现其中一些不完善的方面,这些方面可以或者已
经导致企业战略未有效执行以及战略性风险未得到适当监控。我们
将考虑就这些发现向董事或管理层提出改进建议。
4流程分析和基于内部控制的审计方法
本章将讨论审计财务报表时如何进行流程分析和采用基于内部控制的审计方法。
在进行流程分析以前,要考虑每一步骤中IRM的参与程度。参阅附录E2.
4.1理解流程
我们要理解企业如何:
n管理可能对财务报表产生重大影响的战略性经营风险,确认相关的财务报表影响并形成会计估计或确定表达与披露;以及
n处理并在财务报表中记录重要交易事项。
具体要了解的内容包括:
n目标:我们要确定那些与战略性经营风险(SBR)和重要交易事项(SCOT)有关的流程目标。
n运作过程(包括投入、产出和关键运作要素
(CriticalSuccessFactors)):我们要了解与已认定的流程目标有关
的运作过程。
n主要运营指标(KeyPerformanceIndicators):我们要找出那些可以衡量已认定的流程目标完成情况的指标,即主要运营指
标。
n计算机信息系统:我们了解与以上相关的计算机信息系统。如果决定流程分析要使用IRM的工作,那么,IRM人员将在理
解流程阶段就参与。
4.2理解流程层面的经营风险和财务报表风险
我们要确定那些会威胁流程目标的风险。这些风险包括流程层面的经营风险和财务报表风险。一个管理SBR的关键流程的风险跟一个处理SCOT
的关键流程的风险是不同的。
战略性经营风险(SBR)
一个管理SBR的关键流程的风险包括流程层面的经营风险和财务报表风险:
n流程层面的经营风险–对既定流程目标的取得产生威胁、并对财务报表具有潜在影响的风险。只有管理SBR的关键流程
才有这种流程层面的经营风险。
n财务报表风险(与经营风险相关)–指剩余经营风险(ResidualBusinessRisk,RBR)不能被准确地反映在财务报表中的的
风险,(通常是一个与会计估计或表达与披露有关的问题)将导致在
相关帐户余额中的重大差错。
重要交易事项
一个管理SCOT的关键流程的风险只有财务报表风险:
n财务报表风险(与重要交易事项相关)–指与交易相关的财务报表记录的完整性、存在性和准确性的风险。
附录B给出了流程层面经营风险和财务报表风险的一些例子。
4.3识别相关的(经营方面和财务报表方面的)控制点
我们要识别那些能预防、检查并纠正财务报表中的错误的控制点。这样的控制点可以管理重要的流程层面经营风险(经营控制点)或财务报表风险(财务报表控制点)。这些控制点既有人工的,也有自动的;既有事前预防型的,也有事后检查型的。与4.2节“理解风险”类似,与经营风险相关的控制点和与重要交易事项相关的控制点略有不同。
战略性经营风险(SBR)
当对一个SBR做相关的流程分析时,我们要了解流程层面经营风险的控制点(经营控制点)。经营控制点管理之下的经营风险成为剩余经营风险
(ResidualBusinessRisk,RBR),我们也要了解RBR。然后我们要了解会计估计或表达与披露发生重大错误的可能性(即财务报表风险),并且集中研究管理层如何形成会计估计或确定表达与披露(财务报表控制点)。定义如下:
n经营控制点-降低流程层面经营风险的控制点。这些控制点有助于我们了解和判断影响财务报表的剩余经营风险。理解经
营控制点可以帮助我们评估相关审计目标的重大错报的风险
(ROSM)。
n财务报表控制点(与经营风险相关)-管理层在财务报表中反映剩余经营风险(RBR)对报表影响的工作流程(通常表现为会计
估计、表达与披露)。
重要交易事项(SCOT)
当对一个SCOT做相关的流程分析时,我们要考虑那些控制交易的完整性、存在性、准确性和表达的控制点。定义如下:
n财务报表控制点(与重要交易事项相关)–管理层设置这些控制点来保证财务报表记录交易的完整性、存在性和准确性。
以下是管理层可能应用的各类控制点(包括人工的与自动的):
n授权
n配置/帐项映射的控制
n预警报告
n界面/转换控制
n主要运营指标
n管理层审阅
n稽核
n责任划分
n系统访问权限
如果我们能够将已识别的控制点归类到以上某一类中,就可以在计划控制设计测试和控制执行测试时参考本指南的相应部分。(附录C)
自动化控制主要包括配置/帐项映射的控制、界面/转换控制和系统访问权限。如果在进行流程分析的时候有信息风险管理专家(IRM)的参与,他们应当帮助识别控制点。
4.4挑选某一分组的控制点进行测试,以及控制设计测试
挑选控制点进行测试
我们挑选某一组控制点进行测试而并非对企业所拥有的全部控制点进行测试。当选择控制点进行测试的时候,我们挑选一个或多个控制点,这些控制点合起来将会预防、检查并纠正与我们审计的管理层认定相关的重大错报漏报。在选择控制点的时候,通常有效率的作法是首先考虑管理层日常所用的、监控企业目标的实现以及减少经营风险的控制点。在选择控制点的时候,考虑下列有关方面:
n测试的效率最大化;
n控制的风险最多;
n我们过去与客户打交道的经验;以及
n以长远的眼光考虑多年整体的测试效率。(如,第一年就测试自动化控制可能在当年需要多一点时间,但以后年度就可以
较省力。)
如果在进行流程分析的时候有信息风险管理专家(IRM)的参与,他们应协助选择需测试的控制点。
进行控制设计测试
我们对控制点进行设计测试来获取关于控制设计的审计证据,看其是否设计恰当并且可以预防、检查并纠正重大的错报漏报。控制设计测试是关于控制如果正常运行的话,是否可以预防、检查并纠正报表中与之相关的重大错报漏报,以及企业是否应用此控制方法。
我们在进行控制设计测试时采用的程序包括:
n检查文件记录
n向适当的人员进行询问
n我们以前与此企业打交道的经验
仅仅进行询问(Enquiry)是不能提供充分适当的审计证据来证明控制设计是有效的。我们还应当考虑我们以前与客户打交道时取得的证据。
在测试中我们应当考虑:
n控制点可以减少的风险
n控制是如何实行的
n控制点的频率
n执行控制的人员是否胜任及其经验(如果是人工控制),以及
n可能被监测出来的错报漏报的大小及其性质。
我们将控制设计测试的结果用于对审计目标的ROSM的预评估上。对于我们在测试当中认为控制点是设计合理的地方,我们可以认为在此处的ROSM是小的或者是中等的。
接下来,我们要对控制进行执行测试来获得在整个审计期间控制运行的有效与否的证据。如果控制设计测试已指出某一个控制点是不合理的,我们就应当考虑选择一个不同的控制点进行测试。
如果在选择做测试的控制点中包括自动化控制,例如配置控制,界面控制或系统访问权限控制,应当在测试当中考虑以下几点:
n保证进行控制设计测试和控制执行测试的审计人员/专家具有适当的知识、经验和专业技能;
n在系统实施的期间已经采取的控制测试的范围。如果控制的设计和建立已在实施期间有专家进行了测试,那么我们可以把
我们测试的范围限制在控制点的更改和维护上(参见附件C内部控制
的类别)
4.5对已经选择的控制点进行控制执行测试
控制执行测试是关于控制是如何运行的、在审计期间控制的运行的一致性、以及是由谁来操作的。
在进行控制执行测试中我们应当考虑到:
n收集审计证据时我们采用的手段
n测试的目的和性质
n测试的样本量
n测试的时间安排(以便证明在整个一年当中控制都是正常有序运行的)
下面是对于应考虑问题的具体的讨论。如果客户在同一期间内不同的时间段里有不同的内部控制的话,我们会就每一种控制分别进行考虑。
4.5.1测试手段
要获取内部控制有效运行的审计证据,有许多测试手段:
n观察:即观察内部控制运行的实际情况;例如,实地观察清点存货。
n询问:我们可通过询问客户的有关人员以获取内部控制运行的信息。例如,对于賒销的控制,我们可以询问客户其认为可
收回的应收帐款的金额是多少,账龄如何,及将会采取的措施。
n文件检查:即检查内部控制生成的记录和文件。例如,检查银行存款余额调节表,以作为内控有效实施的证据。
n重新执行:我们可能会重新执行某些内部控制程序,以证明其运行是正确的。例如,重新进行信用状况分析。
上面所讨论的这些手段都是标准的测试手段,当我们把它们综合运用的时候,就形成其他一些测试方法,可以用来获得充分适当的证据以证明企业内部控制运行是有效的。这些综合性的方法包括:
n能力评估:审计人员综合使用询问、文件检查和重新执行等手段,可测试某个管理人员在某一领域的知识或者其实施某项
控制的胜任能力。
n确证征询:审计人员可通过向企业中其他人员(“确证者”)了解内控的运行并获得肯定,来证实内部控制是有效运行的。
这种求证主要是为了确定内控点的实施是有效的,并且运行始终如
一。
n系统调阅:审计人员可测试IT支持的自动化控制是否按设计要求运行。此类的控制点包括:
系统会准确地判别预先定义好的例外事项(这些例外事项可能是与系统输入、数据处理和输出结果的完整性
和准确性有关的)。
系统内设立进入口令和数据逻辑流,从而实现职责划分和交易授权。
在附录D中会对每一种手段进行进一步的讨论。
4.5.2测试工作的目的和性质
仅靠一种测试手段本身难以获得充分适当的审计证据,内部控制测试往往需要观察、询问、文件检查和重新执行等手段的综合使用。在决定测试的目的和性质时,应考虑到:
n该项控制会发现的是哪种错报漏报;
n对于发现的错报漏报,企业会有什么样的措施;
n这些错报漏报/例外/调整事项的性质、金额和发生频率是合理的还是严重的。
与此同时,使用的基础数据的可靠性也是我们所应考虑的。在内控测试中,我们会运用专业判断来决定对基础数据进行测试的工作量。而在确定这一测试工作量时,必须考虑到相关的控制点的设计。
有些情况下,某项控制点是为了“曝光”在汇集基础数据中的错误而专门设计的。例如,稽核控制和主要运营指标控制就是为了“曝光”汇集基础数据的不准确而设计的:
n当准备银行存款余额调节表(一种稽核控制)时,如果未兑现支票(即企业已付,银行未付)在调节表中的数字不准确,则调
节表是无法做平的。
n同样,在对主要运营指标进行分析时,如果基础数据不正确,则分析的结果就会和预期不一致。这里的两个前提是:1)该
分析的设计是有效的,其精确程度足以发现重大的错报漏报(依审计
人员的定义);2)对分析结果的预期是具有足够的精确性的。
在上述这种控制点的设计是为了“曝光”汇集基础数据中的错误的情况下,我们测试的工作应集中于控制本身的要点。例如:
n对于银行存款余额调节表,我们应关注的是:有无调节表,调节表上的数字是否与客户的会计帐簿记录一致,是否及时编
制,是否已做平,所有重大的不寻常的调整项目是否都已采取后续
措施来确定有无错误,错误是否已做调整。
n又如分析主要运营指标,关键在于我们要理解该项分析的目的,所用数据与会计记录是否一致;要考虑其精确程度,及其
是否能发现会导致调整财务报表的或与审计相关的错报漏报;我们
可否验证对分析结果的预期(例如,了解该分析的假设基础,计算过
程和比率相关性,并评价客户用于衡量行业经营状况的标准等)。
当应用以上概念于那些能“曝光”汇集基础数据中的错误的内部控制时,审计小组应充分运用专业判断。在做出判断时,应考虑以下几个因素:
n有意操纵数据的风险。我们应关注企业的控制环境、我们以前对其会计系统的理解和它的可靠性、管理层的偏好、对管理
信息系统的质量的了解和信息风险管理专家(IRM)对有意操纵的风险
的评价;
n审计痕迹。审计人员应把内部控制(稽核、主要运营指标等)所使用、分析的数据与企业会计记录数据联系起来,而后者是
审计证据的来源。例如,在总帐明细帐调节表上的总帐余额应能对
到企业总帐,以确保形成审计证据的会计数据余额,即企业总帐,
是在有效内控下的(即总帐明细帐调节表);
n内控的精确程度。我们应该确保企业的内部控制点足够精确,能够发现符合审计要求的重大错报漏报。
如果有以上的某一项表明基础数据的汇集可能存在问题,而我们仍然准备对该控制点进行测试,则审计人员必须扩大对基础数据的汇集进行测试的工作量。
当某一内控的目标不是“曝光”汇集基础数据中的错误时,就必须对基础数据的汇集进行测试。例如,对预警报告中的非正常事项的跟踪调查是建立在报告编辑过程(人工或自动过程)正确的基础之上的。在这种情况下,我们必须对内控是否能访问到准确的原始数据和报告编辑过程的逻辑准确性进行测试。这是因为这类内控功能的实现要依赖基础数据的准确性和报告编辑过程的准确性,而这类内控的功能首先不是用来检查基础数据的准确性的。
4.5.3测试工作的样本量
当我们对内控进行测试的时候,我们应当运用专业判断来决定测试工作的样本量。我们对企业的内控需要进行充分的测试以合理保证其在整个期间都在有效地运行。审计人员在决定测试工作的样本量的时候应该考虑以下因素:
n负责某个控制点的客户管理人员的胜任能力;
n与某具体控制点相关的控制环境的质量,尤其要考虑管理层越权的可能性和内控在整个期间是否始终运行;
n内控是否曾经变化;和
n我们以前审计中对客户内控的了解。
我们在运用专业判断时的基本参数有:
n对人工的定期的控制点进行测试-当测试客户的人工的定期(每月、每周或每日一次)的控制点时,我们所测试的最小样本
量为:每月一次的人工控制点:2个;每周一次的人工控制点:5
个;每日一次的人工控制点:15个。
n对IT控制点进行测试–当客户在业务流程中应用IT控制点时,最合适的测试方法是系统调阅。如果进行系统调阅,一次
测试就可以证明在一个良好的内控环境中IT控制点能得到一贯的应
用。我们这里所说的良好的内控环境必须满足以下条件:在IT系统
中具体的配置、界面以及系统访问权限设计合理,无适当手续不能
变更。在附录C中对这些内控种类有进一步的阐述。
n对人工的经常性的控制点进行测试-当测试客户的人工的经常性(超过每日一次)的控制点时,我们所测试的最小样本量
为:30个。如果在测试中我们发现有错误存在,我们应该增加样本
量,最少增加10个,最多增加到原始样本量的两倍。
当我们对内控执行的有效性进行测试的时候,我们可能会发现与企业原来所设计的内控政策和内控程序不符的例外事项。在这种情况下,我们应该运用专业判断,考虑所发现的偏差的个数、重要性、其它有关因素以及我们预评估的ROSM水平,以对企业内控执行的有效性进行评估。在这种情况下,虽然我们并不期望企业对所有的内控程序都准确无误的运行,我们仍然应该扩大我们的审计工作量以获得进一步的充分的审计证据,从而判断企业内控执行的有效性与我们预评估的ROSM水平是否一致。如果以上的审计证据无法获得,我们将考虑其他的控制点是否能提供我们所需的审计证据或者我们是否可以执行一些实质性测试以获得充分适当的审计证据。
如果我们在对人工的经常性的控制点进行测试时发现了差异,我们应该考虑是否采取以下审计步骤:
n考虑增加测试的样本量,方法是每次增加10个样本量一直到没有差异被发现为止或一直到样本量已增加到60个;
n考虑其他控制点是否可以提供我们所需的审计证据;
n考虑我们是否可以执行实质性测试程序以获得充分适当的审计证据。
以上的指南是针对从总体中抽取样本进行测试的情况制定的。有一些控制点是不能这样抽样的。例如:
n当我们应用“能力评估”这一测试手段时,我们应该执行足够的测试以保证我们所询问的人员有足够的能力。我们可以将
询问、观察、文件检查和重新执行这几种手段结合使用,来测试执
行这一内控程序的人员的知识水平和能力。
n当我们采取“确证征询”这一测试手段时,测试的范围应足以确认内控执行的一致性。例如,当同一控制点被多人并且一
致地执行时,就可以运用“确证征询”这一测试手段。如果贷款损
失风险由20个内部审阅人员通过审阅贷款文件来控制,则我们可能
会对贷款文件的审阅过程进行“确证征询”。我们可以从20个人中
挑出2个人,然后进行询问,看是否与信贷经理所解释的一致。
4.5.4测试的时间安排
我们对内控的测试通常在会计期末之前进行,因此我们要对内控测试之后到期末的剩余期间中相关内控是否仍然有效运行取得审计证据。
尽管我们在中期对内控进行了测试,我们不能简单依赖中期的测试结果,而应该进一步取得内控测试之后到期末的剩余期间里相关内控是否仍然有效运行的审计证据。我们应该考虑的因素包括:
n中期对内控测试的结果;
n剩余期间的长度;
n企业的控制环境对内控设计和运行的影响;
n剩余期间的企业控制环境和会计系统的变更;
n相关交易事项或会计估计的性质和金额;及
n计划执行什么样的实质性测试及何时执行。
4.6评价测试结果
只有获得了关于控制的设计和执行均有效的审计证据,我们才能估计ROSM低于最高水平。如果我们的测试结果支持我们对ROSM的预估计水平,我们就可以按原计划执行实质性测试。
实质性测试是获取审计证据、从财务报表中发现重大错报的一种测试程序,共有两种:
n分析性程序
n交易和余额的详细性测试
不管ROSM的估计水平是高还是低,我们都应该执行实质性测试。实质性测试的目的和性质、时间和工作量取决于ROSM的估计水平,因而在很大程度上受我们的内控测试的影响。
对每个审计目标计划执行的实质性测试可以只包括分析性程序或详细测试中的一种,或两者兼而有之。然而,考虑到ROSM的估计水平,我们应
该先确定分析性程序要获取多么充分和适当的审计证据,然后决定是否执行详细测试。
在许多情况下,如果ROSM 的估计水平是低的,其对应的帐户余额的实质性测试可以仅限於分析性程序。如果ROSM 的估计水平是中等或者高的,可能需要详细性测试。
4.7 记录测试结果
本节讨论如何记录内控测试的结果:
n
可以用文字叙述或者流程图的形式记录对控制流程的理
解,并在流程分析文件(ProcessAnalysisDocument)中包括或链接这部分内容;
n
流程层面的经营风险和所有的财务报表风险都在
ProcessAnalysisDocument(PAD)中讨论;
n
与风险相关的控制点在PAD(ProcessAnalysisDocument)
中讨论,并且与相应风险做适当索引;
n
对控制设计测试的结果作为控制概述记录于
PAD(ProcessAnalysisDocument)中或者包含在对流程的理解里;
n 内部控制运行测试的目的和性质、时间和工作量记录在
审计程序(AuditProgram)中;
n 控制运行测试的结果可以在其它工作底稿中记录;
n
在利用内部审计、服务组织或者专家的工作时,或者上
述任何一项内容被单独记录存档的情况下,应在工作文件中做适当索引;
n
在使用IRM 的工作而且IRM 有单独的工作记录(如流程
图,SIC 模板等)的情况下,必须做适当索引和链接。
4.8 内部控制测试时的决策树
运用本指南时,在流程分析中有一些决策点。我们将这些决策点汇总如下:
是
*
包括测试相关分组控制点的设计和预评估每个审
计目标的ROSM 。
ROSM: 应针对每个审计目标评价其ROSM ,当确定内部
控制是否存在或有效时应该区分不同审计目标,某一特定审计目标不存在相关内部控制(即,ROSM 是高水平)并不意味着应该对所有审计目标执行全套实质性测试,只需针对相应审计目标执行实质性测试。
结
内部控制习题及参考答案
第一章企业部控制概述 一、单项选择题 1.相互牵制是以()为核心的自检系统,通过职责分工和作业程序的适当安排,使各项业务活动能自动地被其他作业人员查证核对。 A. 职责分工 B. 事务分管 C. 作业程序 D. 授权批准 2.( )是对企业控制的建立和实施有重大影响的各种因素的统称。包括管理者的思想和经营作风;组织结构;董事会的职能;授权和分配责任的方式;管理控制方法;部审计;人事政策和实务;外部影响等。 A. 控制环境 B.会计系统 C.控制程序 D. 控制活动 3.( )要求单位按照不相容职务相互分离的原则,合理设计会计及相关工作岗位,明确职责权限,形成相互制衡机制。 A. 授权批准控制 B. 会计系统控制 C. 组织结构控制 D. 部报告控制 二、多项选择题 1.部控制是单位部的一种管理制度,它具有()特征。 A.主体是单位部人员 B.客体是单位部的经济活动(或经营管理活动) C.手段和方法多种多样 D.属于单位部的管理 2.建立和设计单位部控制制度,必须遵循和依据的基本原则包括()。 A.合法性原则 B.全面性原则 C.重要性原则 D.有效性原则 3.部控制规体系一般包括() A.基本规 B.具体规 C.授权批准 D.应用指南 4.建立有效的部控制制度应当考虑的重点包括()。 A.注重选择关键控制点 B.以预防为主、查处为辅 C.注重相互牵制 D.设立补救措施 5.不相容职务之间应实行分离,其中会计记录应与( )相分离。 A.会计监督 B.业务经办 C.财产保管 D.预算编制
三、判断题 1.具体规规定部控制的基本目标、基本要素、基本原则和总体要求,是制定基本规和应用指南的基本依据。() 2.应用指南是根据基本规和相关具体规制定的详细解释和说明,主要是为某些特殊行业、特殊企业、特定控程序提供操作性强的指引。() 3.部牵制主要包括体制牵制、簿记牵制和价值牵制。() 四、问答题 部控制的目标是什么?有哪些基本要素? 第二章货币资金控制 一、单项选择题 1. 按照控要求,应由()核对“银行存款日记账”和“银行对账单”,编制“0银行存款余额调节表”。 A.记帐人员 B. 非出纳人员 C.会计人员 D.审核人员 2.现金收支原始凭证上业务经办人员应签字盖章以明确有关责任,同时该凭证还须经()审核签章。 A.记帐人员 B.出纳人员 C.会计人员 D.部门负责人 3.()应根据审核无误的现金收款或付款凭证进行收款或付款,收付完毕,对现金收款或付款凭证以及所附原始凭证加盖“收讫”或“付讫”戳记,并签字盖章以示收付。 A.出纳人员 B. .记帐人员 C.会计人员 D.稽核人员 4. 在()监督下,各个账簿记录人员核对银行存款日记账和有关明细分类账及总分类账。 A.出纳人员 B. .记帐人员 C.会计人员 D.稽核人员 二、多项选择题 1. 货币资金控制主要围绕( )目标。 A.保证货币资金业务收支的真实与合法 B. 保证货币资金的使用效益
内部控制制度汇编
****有限公司 内部控制制度 第一章总则 第一条为了公司的规范发展,有效防范和化解经营风险,特制定本制度。 第二条内部控制制度是公司为防范经营风险,保护资产的安全与完整,促进各项经营活动的有效实施而制定的各种业务操作程序、管理方法与控制措施的总称。 第二章内部控制的目标和原则 第三条公司内部控制的目标: (一)保证经营的合法合规及公司内部规章制度的贯彻执行。 (二)防范经营风险和道德风险。 (三)保障客户及公司资产的安全、完整。 (四)保证公司业务记录、财务住处和其他信息的可靠、完整、及时。 (五)提高公司经营效率和效果。 第四条公司内部控制制度的原则: (一)健全性:内部控制应当做到事前、事中、事后控制相统一;覆盖公司的所有业务、部门和人员,渗透到决策、执行、监督、反馈等各个环节,确保不存在内部控制的空白或漏洞。 (二)合理性:内部控制应当符合国家有关法律法规的有关规定,与公司经营规模、业务范围、风险状况及公司所处的环境相适应,以合理的成本实现内部控制目标。 (三)制衡性:公司部门和岗位的设置应当权责分明、相互牵制;前台业务运
作与后台管理支持适当分离。 (四)独立性:承担内部控制监督检查职能的部门应当独立于公司其他部门。 第三章内部控制的主要内容 第五条公司内部控制主要内容包括:环境控制、业务控制、会计系统控制、信息传递控制、内部审计控制等。 第一节环境控制 第六条环境控制包括授权控制和员工素质控制两个方面。 第七条授权控制的主要内容包括: (一)股东大会是公司的权力机构。董事会/执行董事是公司的常设决策机构,向股东大会负责。监事会是公司的内部监督机构。负责对公司董事、经理的行为及公司财务进行监督。 公司总裁由董事会/执行董事聘任,对董事会/执行董事负责,主持公司的经营管理工作,组织实施董事会/执行董事决议。 (二)公司作为法人实体独立承担民事责任,各业务部门在规定的业务、财务和人事等授权范围内行使相应的职权; 各项业务和管理程序都制定了操作规程,各业务人员在授权范围内进行工作,各项业务和管理程序遵照公司制定的各项操作规程运行; 公司对授权部门和人员建立了相应的评价和反馈机制,授权期限不超过一年,对不适用的授权及时修改或取消授权。 第八条员工素质控制贯彻在人力资源管理体系的各个环节。公司应当制定连贯、可行的制度和操作流程,涵盖于员工招聘、培训、轮岗、考核、晋升、淘汰等环节。
方案-内部控制审计的程序和方法
内部控制审计的程序和方法 '一、内部控制制度 的主要内容\xa0 内部控制制度审计的对象是被审计单位的内部控制制度,对这些制度的检查、测试也就构成了内部控制制度审计的基本内容,主要体现在以下 制度的检查、测试中: 1、责任控制制度。责任控制制度是以确定 内部各部门、各环节、各层次及其人员的经济责任为中心的内部控制制度。主要是检查各部门和经办人员的职责是否经过恰当授权,各种岗位责任制赋予各职能部门和经办人员的责任是否达到分工明确,职责分明的目的。 2、内部牵制制度。内部牵制制度是为了保证 资料的正确性、可靠性及保护财产而形成的种制度。它主要检查不相容职务是否分离,会计事项的处理是否遵循必须经过两个以上的人员或部门来完成,是否经过复核,以防止差错、舞弊的发生。 3、会计控制制度。会计控制制度是指经济组织为了保证会计数据的正确性和可靠性而采取的各种措施和方法,主要是各种凭证的记录、传递,资金的使用,债权债务反映,会计报表编制等各个环节的控制制度和程序。主要是通过账证、账账、账表之间的相符关系,检查会计数据的可靠性;通过账实核对检查账实是否相符,以保证会计数据的真实性;通过严格的复核审批制度,以保证会十十业务处理的合法性;通过定期编制计算平衡表检查所有数据的正确性等。 4、经营方面各个循环系统的控制制度。它是经济组织内部为实现经营目标而实现生产经营和管理所必须经过的环节和业务操作的控制制度:如成本控制、购销控制、物资控制、生产经营过程的控制制度等。通过检查这些环节的控制是否严密,反映企业是否能正常进行经营活动及企业的生存和 。 5、财产、凭单管理制度。财产、凭单管理制度是为了确保经济组织的财产和各种凭证单据而建立的控制制度。如财产物资的保管、清点、验收、领用、 、 、单据等各个环节,都应实行专人管理。 进行内部控制制度审计,其重点是放在对于制度内各个控制环节的审查上,目的在于发现制度中控制的薄弱环节。 二、内部控制审计的程序与方法 主要有四个步骤。 1、了解企业的内部控制情况,并做出相应的记录。这是内部控制制度审计的第一步,其主要目的是通过一定手段,了解被审计单位已经建立的内部控制制度及执行的情况,并做出记录、描述。审计人员应考虑被审计单位经营规模及业务复杂程度、数据处理系统类型及复杂程度、审计重要性、相关内部控制类型、相关内部控制汜录方式、固有风险的评估结果等因素,对内部控制的程序、控制 、会计系统采取有效的方法进行审计,主要方法包括:(1)查阅前期审计 或审计 底稿;(2)询问被审计单位有关人员,并查阅相关内部控制文件;(3)检查内部控制生成的文件和记录;\xa0(4)观察被审计单位的业务活动和内部控制的运行情况:(5)选择若干具有代表性的交易和事项进行“穿行测试”。通过查阅复核以前的审汁情况,可以了解以
行政事业单位内部控制制度设计操作指南2015答案
限时考试 《行政事业单位内部控制制度设计操作指南》 一、单项选择题(本类题共15小题,每小题2分,共30分。单项选择题(每小题备选答案中,只有一个符合题意的正确答案,请选择正确选项。) 1.下列对单位建设项目管理关键控制措施的描述中不正确的是()。 A.重大建设项目应当报经单位集体决策批准 B.单位应加强对建设项目设计过程的控制,组织相关部门及专业技术人员对设计方案进行分阶段审核 C.单位建设项目都需要编制标底 D.严禁不合格工程物资投入工程项目建设 A B C D 答案解析:单位可以根据项目特点决定是否编制标底,故C选项错误。 2.下列不属于专家论证制度建立主要原则的是()。
A.独立性 B.有效性 C.责任性 D.可行性 A B C D 答案解析:D选项是建立专家论证制度的目标,即对业务或项目的可行性进行分析论证。 3.下列不属于风险评估制度实现形式内容的是()。 A.要成立风险评估工作小组,并保证其权威性、独立性和及时性 B.要建立经济活动风险定期评估机制,全面、系统、客观地评估经济活动中存在的风险C.至少每一年进行一次风险评估 D.当单位业务环境、经济活动规模、复杂程度等发生重大变化时应及时进行风险重估
A B C D 答案解析:风险评估工作小组属于风险评估制度的实施主体。 4.下列不属于单位资产界定要素的是()。 A.单位占有、使用的 B.在法律上确认为国家所有 C.有实物形态 D.能以货币计量 A B C D
答案解析:行政事业单位的资产是指由行政事业单位占有、使用的,在法律上确认为国家所有、能以货币计量的各种经济资源的总称,不具有实物形态的无形资产也属于单位资产。 5.下列不属于单位原始凭证内容审核的风险点的是()。 A.没有审核原始凭证所具备的要素是否齐备 B.没有审核经济业务的摘要是否与原始凭证所反映的业务内容一致 C.没有审核经济业务的处理程序和手续是否按要求办理 D.没有审核有无人为利用原始凭证进行舞弊的行为 A B C D 答案解析:A选项属于单位原始凭证形式审核的风险点。 6.下列对合同结算环节内部控制措施的描述中不正确的是()。 A.财会部门应当在审核合同条款后办理结算业务 B.未按合同条款履约或应签订书面合同而未签订的,财会部门有权拒绝付款,并及时向单位有关负责人报告 C.付款必须有承办部门负责人、项目负责人、业务主管领导、总会计师和总经理在申请付
企业内部控制制度
浅谈企业内部控制制度的重要性 摘要:企业内部控制制度是企业内部各层次、各环节整体科学高效的管理控制制度的有机体系,是由一系列控制政策和程序所组成的系统。目的是保证生产经营活动有序、高效的运行,保证企业资产的完整与安全,防范各种经营风险,及时防止和纠正错误与弊端,保证会计资料的真实完整,经营运作信息的及时准确。 关键词:企业内部控制制度 在当前知识经济的时代下,特别是我国加入WTO以后,我国企业将直接面对外国企业特别是跨国公司的挑战,对外贸易越来越频繁,企业经营所遇到的各种风险也越来越多,加之企业经营改制中存在的不完善的运作,企业的压力越来越大,面临的危机越来越严峻。因此一个企业要想在这样的经济潮流中生存、竞争、发展就必须提高自身的竞争能力,而建立健全企业内部的控制制度,是提高企业经济效益,提高自身竞争能力的关键所在。 企业内部控制制度是企业内部各层次、各环节整体科学高效的管理控制制度的有机体系,是由一系列控制政策和程序所组成的系统。目的是保证生产经营活动有序、高效的运行,保证企业资产的完整与安全,防范各种经营风险,及时防止和纠正错误与弊端,保证会计资料的真实完整,经营运作信息的及时准确。它是通过企业内部高层管理者乃至每一名员工在明确分工的基础上进行的科学高效的相互制约的行为规范。 一、科学合理完整的内部控制制度是现代企业发展的现实需要 企业制定内部控制制度,首先必须确保国家有关法律、法规和企业内部管理制度的贯彻执行,并使之有机地结合起来,形成一个科学严谨的经营管理循环。就制定内控制度而言,我认为企业的高层领导在企业经营的设计理念上就应该高度树立制定内控制度的观点和意识,注意从建章建制向整体框架的构建与认真实施转变,做事应兼顾国家、集体、个人的利益,积极主动、科学严谨的制定有序高效的内部控制制度体系。经济越发展,内部控制制度就越重要。企业上至领导下至每一位员工、在每项业务和环节上都必须按内
内部控制之控制测试要点及技巧
内部控制之控制测试要点及技巧 控制测试是开展内部控制评价的另一项重要内容与方法,它通常在穿行测试完毕以后进行,在穿行测试得出设计是否有效的基础上,对控制活动的执行有效性进行测试与判断。 1、什么是控制测试 控制测试是为了验证控制是否按照设计要求被一贯和有效执行的一种测试程序。也就是指在穿行测试的基础上,从样本总体中,根据测试要求抽取多个样本,来测试控制执行的有效性。其目的即含义中所述,即测试验证控制活动是否按控制设计那样被执行,通过是否被统一和一贯及时地执行,通过抽样尽可能地涵盖所有适用交易并获得真实可靠的信息。 2、关键控制的识别 在控制测试操作中,并非所有的控制都需要加以测试,应将测试集中在关键控制上,而且特别值得提醒的是,我们仅需要对“设计有效”的“关键控制活动”开展执行有效性测试,那些存在设计缺陷的控制活动则无需开展,因为即使内部控制按照该设计得到了一贯执行,也不能认为其运行是有效的。因此,控制测试的前提是对控制活动中的关键控制进行判定,在风险控制矩阵中加以标识,并且不能随意更改。 关键控制是指能够保证有较好的机会防止或者发现财务报表差错风险的重要控制。如果关键控制不存在或未被有效执行,即使流程里有其它控制存在,可能也无法防止错误发生的风险。这里列示几种典型的关键控制以供参考:职责分离;反舞弊控制;系统与数据的接触限制、物理安全等;主数据的输入控制;关键数据的系统自动控制;对账、账实核对等期末的检查性控制;例外事项的审阅;数据的详细审核/交叉审核等。 3、控制测试的方法 安装可靠程度的从小到大排列,控制测试的主要方法包括:询问、观察、检查、重新执行。 (1)询问:即通过口头或书面形式确认控制存在,是一种较薄弱的测试方法,应与其他测试共同执行,并且应该询问多人以确定结果一致; (2)观察:即观察员工执行控制步骤,该方法可能需要其他跟进测试,并且需要结合突袭检查,在员工无准备的情况下获得控制活动执行的真实记录。 (3)检查:这种方法是获得资产存在证据的最简单的方法,主要是通过审阅相关文档记录或报告来对控制活动执行情况进行判断,需要注意的是,在这种方法中需要员工提供详细内容从而可以重复测试步骤并检验结果。
内部控制及其测评
内部控制及其测评 第一节内部控制概述 一、内部控制的含义 所谓内部控制,是指被审计单位为了维护资产的安全、完整,保证会计信息的真实、可靠,保证其管理或者经营活动的经济性、效率性和效果性并遵守有关法规,而制定和实施相关政策、程序和措施的过程。 内部控制是管理现代化的必然产物,它的产生和发展,促使审计工作从详细审计发展成为以测评内部控制为基础的抽样审计。 二、内部控制的作用 三、内部控制的分类 内部控制可以根据不同的标准进行分类: 1.按控制的目的,可以分为财产物资控制、会计信息控制和经营决策控制。 财产物资控制是指为了保护财产物资的安全完整所实施的控制。例如材料的验收和领用制度、固定资产的定期盘点制度等。 会计信息控制是指为保证会计信息的真实可靠所实施的控制。例如会计凭证的复核制度、会计记录的定期核对制度等。 经营决策控制是指为保证经营决策的贯彻执行所实施的控制。例如质量控制、计划控制等。 2.按控制的功能,可以分为预防式控制和察觉式控制。 预防式控制是指为防止错弊的发生所实施的控制。例如授权审批控制、职责分工控制等。 察觉式控制是指为了及时查明已发生的错弊所实施的控制。例如实物盘点、会计记录核对等。 3.按控制的时间,可以分为事前控制、事中控制和事后控制。 事前、事中、事后控制分别是指对某项业务在发生前、发生过程中和发生后所实施的控制。 四、内部控制的局限性 1.内部控制的设置和运行受制于成本效益原则; 2.内部控制一般仅针对常规业务活动而设置; 3.即使是设置完善的内部控制,也可能因有关人员的疏忽、误解和判断错误而失效; 4.内部控制可能因有关人员相互勾结、内外串通而失效; 5.内部控制可能因执行人员滥用职权或屈从于外部压力而失效; 6.内部控制可能因经营环境、业务性质的改变而削弱或失效。 第二节内部控制要素 内部控制由控制环境、风险评估、控制活动、信息与沟通和对控制的监督五个要素组成。 一、控制环境 控制环境是指对企业设置和实施内部控制有重大影响的因素的统称。包括以下内容: 1.管理当局的观念和经营风格。 2.组织结构。 3.董事会及其所属审计委员会。
货币资金内部控制制度的内容
货币资金内部控制制度的内容 (总3页) -CAL-FENGHAI.-(YICAI)-Company One1 -CAL-本页仅作为文档封面,使用请直接删除
货币资金内部控制制度的内容 (一)职责分工和职权分离制度 货币资金收支应由出纳人员和会计人员分工负责、分别办理,职责分明、职权分离。应设置专职出纳员,负责货币资金的收支和保管、收支原始凭证的保管和签发、日记账的登记。会计不得兼任出纳;出纳不得兼任稽核、会计档案保管,不得兼管收入、费用、债券债务账目的登记工作。并且所有现金和银行存款的收付,都必须通过经办会计在审核原始凭证无误后填制记账凭证,然后由出纳员检查所附原始凭证是否完整后办理收付款,并在原始凭证上加盖“收讫”或“付讫”戳记。 (二)授权和批准制度 所有货币资金的经济活动必须按权限进行调查批准。单位各级工作人员,必须经过授权和批准,才能对有关的经济业务进行处理,未经授权和批准,不允许接触这些业务,这一控制方式使某些事件在发生时就得到控制。要规定各级管理人员的职责范围和业务处理权限,同时也要明确各级管理人员所承担的责任,使他们对自己的业务处理行为负责。审批人应当在授权范围内进行审批,不得超越审批权限;办理货币资金支付的经办财务人员应当忠于职守、廉洁奉公、遵纪守法、客观公正,按照审批人的批准意见办理货币资金业务;对于审批人超越授权范围审批的货币资金业务,经办财务人员有权拒绝办理。 (三)内部记录和核对制度 所有货币资金的经济业务必须按会计制度规定进行记录,并且各种收付款业务应集中到会计部门办理,任何部门和个人不得擅自出具收款或付款凭证。经济业务进行记录时,必须采取一系列措施和方法,按照规定的程序办理货币资金支付业务,把好支
内控管理及考核办法
内控管理及考核办法 第一章总则 第一条为进一步加强XX公司(以下简称“公司”)内部控制管理,提高公司经营管理水平和风险防范能力,促进公司规范化运作和可持续发展,根据《企业内部控制基本规范》(以下简称“基本规范”)、《企业内部控制应用指引》(以下简称“应用指引”)及股份公司相关制度规定,并结合公司实际制定本办法。 第二条本办法所称内部控制是指公司董事会、管理层和全体员工共同实施的,旨在实现控制目标的过程。 内部控制的目标是合理保证公司经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进公司发展战略的实现。 第三条本办法着力解决的问题 (一)未有明确的内控管理体系及组织架构,可能导致公司内控管理职责不清、流程不规范,对内控管理工作效能产生影响。 (二)未能建立内部控制检查评价机制,可能导致企业无法有效识别内控风险、认定内控缺陷、发现内控失效等情况,形成企业管理漏洞。 第四条本制度适用于XX公司。 第二章基本要素、原则及措施 第五条内部控制的基本要素 内部控制包括五项基本要素:内部环境、风险评估、控制活动、信息与沟通、内部监督。 内部环境是公司实施内部控制的基础,是公司建设内部控制的
土壤,是一切内控制度、流程、控制节点得以实施的根本条件,支配着全体员工的内控意识,影响着全体员工实施控制活动和履行控制责任的态度、认识和行为。 风险评估、控制活动、信息沟通是内控体系核心的三个环节。风险评估是内控建设的方向,非重大风险可以适当简化控制,提高效率和降低控制成本;重大风险则需要加强控制,并建立起相应的制度与流程予以保证。控制活动是内控体系的核心环节,嵌入在业务流程中,将风险控制在可接受程度之内。信息沟通是内控体系的桥梁,确保企业部门之间、上下级之间、各管理级次之间保持良好的沟通渠道。 内部监督是内控体系的重要组成部分,是内控体系不断优化和提升的保证。 第六条内部控制的基本原则 (一)全面性原则:内控制度覆盖公司的所有业务、部门和人员,贯穿决策、执行、监督和反馈等各环节。 (二)重要性原则:内控在兼顾全面的基础上突出重点,针对重要业务事项、高风险领域,制定严格的控制措施,确保不存在重大缺陷。 (三)制衡性原则:内部控制在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率。 (四)适应性原则:内部控制与公司经营规模、业务范围、竞争状况和风险水平等相适应,并随着公司外部环境的变化、经营业务的调整、管理要求的提高等不断改进和完善。 (五)成本效益原则:内部控制权衡实施成本与预期效益,以适当的成本实现有效控制。
内部控制测试程序与测评
内部控制测试程序和一般性内部控制测评 第一节公司内部控制简介 一、公司内部控制的含义 从广义上说,内部控制是组织机构在经营管理过程中,为保证管理有效、资产安全、会计数据准确真实及为鼓励遵守既定管理政策而采取的所有相应的方法和手段。而对公司来说,内部控制是公司为实现经营目标,通过制定和实施一系列制度、程序和方法,对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。真正的内部控制机构,应是贯穿于公司各项业务活动全过程的控制系统,包括完善的规章制度、可行的操作规程、严密的控制程序和预警预报系统。各公司应充分认识到内控制度建设的重要性,自发地而不是被动地加强内控制度的建设,并作为其生存和发展的首要任务来抓,达到认识和实践的统一。 从理论上讲,内部控制的含义本身包括以下评价内容和标准:一是内部控制制度的客观存在性;二是内部控制制度的可操作性和有效性;三是职责履行与内部监督的独立性。 二、公司内部控制的目标和原则 (一)公司内部控制的目标
1.确保国家法律规定和公司内部规章制度的贯彻执行。 2.确保公司发展战略和经营目标的全面实施和充分实现。 3.确保风险管理体系的有效性。 4.确保业务记录、财务信息和其他管理信息的及时、真实和完整。 内部控制应当与公司的经营规模、业务范围和风险特点相适应,以合理的成本实现内部控制的目标。 (二)公司内部控制的原则 公司内部控制应当贯彻全面、审慎、有效、独立的原则,包括: 1.内部控制应当渗透到公司的各项业务过程和各个操作环节,覆盖所有的部门和岗位,并由全体人员参与,任何决策或操作均应当有案可查。 2.内部控制应当以防范风险、审慎经营为出发点,公司的经营管理,尤其是设立新的机构或开办新的业务,均应当体现“内控优先”的要求。 3.内部控制应当具有高度的权威性,任何人不得拥有不受内部控制约束的权力,内部控制存在的问题应当能够及时反馈和纠正。 4.内部控制的监督、评价部门应当独立于内部控制的建设、执行部门,并有直接向董事会、监事会和高级管理层报告的渠道。 三、公司内部控制的要素 内部控制要素是指构成内部控制的必要因素。只有内部控制的各构成因素有机结合在一起,才能形成完整的内部控制机制。公司内部控制应当包括以下要素:内部控制环境、风险识别与评估、内部控制措施、信息交流与反馈、监督评价与纠正。 (一)内部控制环境 公司内部控制环境是指对内部控制的建立和执行过程有重大影响的各种因素的总称。它是推动工作的发动机,是所有其他内部控制组成部分的基础。公司应当建立良好的公司治理以及分工合理、职责明确、报告关系清晰的组织结构,为内部控制的有效性提供必要的前提条件。具体讲,控制环境又包括以下五方面的内容。 1.管理理念 管理理念是指管理人员在思想理念及实际行动上对内部控制的重视程度。如,管理人员对业务风险的识别、重视程度,对风险采取的分析、评估和控制方法;管理人员为实现经营管理目标,对内部控制的重视程度;全行是否围绕一个明确的管理理念经营管理等。 2.管理层
内部控制习题及参考答案
第一章企业内部控制概述 一、单项选择题 1.相互牵制是以()为核心的自检系统,通过职责分工和作业程序的适当安排,使各项业务活动能自动地被其他作业人员查证核对。 A. 职责分工 B. 事务分管 C. 作业程序 D. 授权批准 2.( )是对企业控制的建立和实施有重大影响的各种因素的统称。包括管理者的思想和经营作风;组织结构;董事会的职能;授权和分配责任的方式;管理控制方法;内部审计;人事政策和实务;外部影响等。 A. 控制环境 B.会计系统 C.控制程序 D. 控制活动 3.( )要求单位按照不相容职务相互分离的原则,合理设计会计及相关工作岗位,明确职责权限,形成相互制衡机制。 A. 授权批准控制 B. 会计系统控制 C. 组织结构控制 D. 内部报告控制 二、多项选择题 1.内部控制是单位内部的一种管理制度,它具有()特征。 A.主体是单位内部人员 B.客体是单位内部的经济活动(或经营管理活动) C.手段和方法多种多样 D.属于单位内部的管理 2.建立和设计单位内部控制制度,必须遵循和依据的基本原则包括()。 A.合法性原则 B.全面性原则 C.重要性原则 D.有效性原则 3.内部控制规范体系一般包括() A.基本规范 B.具体规范 C.授权批准 D.应用指南 4.建立有效的内部控制制度应当考虑的重点包括()。 A.注重选择关键控制点 B.以预防为主、查处为辅 C.注重相互牵制 D.设立补救措施 5.不相容职务之间应实行分离,其中会计记录应与( )相分离。 A.会计监督 B.业务经办 C.财产保管 D.预算编制
三、判断题 1.具体规范规定内部控制的基本目标、基本要素、基本原则和总体要求,是制定基本规范和应用指南的基本依据。() 2.应用指南是根据基本规范和相关具体规范制定的详细解释和说明,主要是为某些特殊行业、特殊企业、特定内控程序提供操作性强的指引。() 3.内部牵制主要包括体制牵制、簿记牵制和价值牵制。() 四、问答题 内部控制的目标是什么?有哪些基本要素? 第二章货币资金控制 一、单项选择题 1. 按照内控要求,应由()核对“银行存款日记账”和“银行对账单”,编制“0银行存款余额调节表”。 A.记帐人员 B. 非出纳人员 C.会计人员 D.审核人员 2.现金收支原始凭证上业务经办人员应签字盖章以明确有关责任,同时该凭证还须经()审核签章。 A.记帐人员 B.出纳人员 C.会计人员 D.部门负责人 3.()应根据审核无误的现金收款或付款凭证进行收款或付款,收付完毕,对现金收款或付款凭证以及所附原始凭证加盖“收讫”或“付讫”戳记,并签字盖章以示收付。 A.出纳人员 B. .记帐人员 C.会计人员 D.稽核人员 4. 在()监督下,各个账簿记录人员核对银行存款日记账和有关明细分类账及总分类账。 A.出纳人员 B. .记帐人员 C.会计人员 D.稽核人员 二、多项选择题 1. 货币资金控制主要围绕( )目标。 A.保证货币资金业务收支的真实与合法 B. 保证货币资金的使用效益
企业内控制度包括哪些
企业有哪些内部控制制度 一、完善企业内控环境严格授权批准制度 治理结构面股东、董事、监事、经理层间应形权责配、激励与约束、权利制衡关系各项管理落实处管理部门设置面建立完善科、符合企业特点内部组织结构合理、效设置各部门岗位建立部门岗位责任制度明确工作职责建立、健全内部牵制制度实行相容职务相离根据内部控制要求单位确定完善组织结构程应遵循相容职务离原则单位经济通划五步骤即:授权、签发、核准、执行记录般情况述每步骤由相独立员(或部门)实施能够保证相容职务离便于内部控制作用发挥 二、规范财务计核算全面推行预算管理 企业必须依据计家统计制度等规制定适合本企业计处理程序实行计员岗位责任制建立严密计控制系统实行家统级计科目基础企业应根据经营管理需要统设定明细科目集团性公司更必要统级公司计明细科目便统口径统核算明确计凭证、计账薄财务计报告处理程序与遵循计制度规定核算原则使计真实现家宏观经济调控管理提供信息、企业内部经营管理提供信息、企业外部各关面解其财务状况经营提供信息目标 预算企业财务管理重要组部达企业既定目标编制经营、资本、财务等度收支总体计划包括筹资、融资、采购、产、销售、投资、管理等经营全程要营业收入、本费用、现金流量重点推行全面预算管理并预算结及进行科析产差异进行效控制 三、健全财产保全制度防范市场经营风险 严格执行财产保全控制限制未授权员财产直接接触并采取定期盘点、账实核、记录保护、财产保险、记录监控等措施确保各种财产安全完整 树立风险意识针各风险控制点建立效风险管理系统通风险预警、识别、评估、析、报告等措施财务风险经营风险进行全面防范控制必要设置风险评估部门或岗位专门负责关风险识别、规避控制 四、完善用制度加强信息管理 力资源要素数量质量状况力资源所具忠诚、向力创造力企业兴旺发达力强推力所何充调企业力资源积极性、主性、创造性发挥力资源潜能已企业管理任务力资源控制应建立严格招聘程序保证应聘员符合招聘要求要定期员工进行培训提高其业务素质更完规定任务;加强职工业绩考核调职工工作积极性创造性 五、建立内部报告制度完善内部审计体制 满足企业内部管理效性针性企业应建立内部管理报告体系借助管理计手段实反映经营状况及披露相关重要信息 内部审计控制内部控制种特殊形式企业内部经济管理制度否合规、合理效独立评价机构某种意义讲其内部控制再控制内部审计企业应保持相独立性应独立于其经营管理部门受董事或属审计委员领导内审部门负责审查各项内部控制制度执行情况并审查结向企业董事或高管理局报告内部审计工作越仔细内部控制制度越健全越能增强内部控制工作效率与靠性篇二:公司内控制度样本 ******集团公司内部控制制度 第一章总则 第一条为了加强和规范企业内部控制,提高企业经营管理水平和风险防范能力,促进企业可持续发展,根据《中华人民共和国公司法》、《中华人民共和国会计法》及《企业内部控制规范》等有关法律法规,制定本制度。 第二条本制度适用于公司各部门。分公司及子公司可以参照本制度建立与实施内部控制。 第三条本制度所称内部控制是指由企业董事会(或者由企业章程规定的经理、厂长办
KPMG内部控制测试指南
KPMG审记与咨询业务中心 内部控制测试指南 2001年5月目录 1.概论1 1.1如何运用于所有的审计项目2 2.审计工作进程3 2.1战略性分析3 2.2流程分析4 2.3其它审计步骤及报告4 3.企业的控制环境5 4.流程分析和基于内部控制的审计方法7 4.1理解流程7 4.2理解流程层面的经营风险和财务报表风险7 4.3识别相关的(经营方面的和财务报表方面的)控制点8 4.4选择某一分组的控制点进行测试,以及控制设计测试9 4.5对已选择的控制点进行控制执行测试10 4.5.1测试手段10 4.5.2测试工作的目的和性质11 4.5.3测试工作的样本量12 4.5.4测试的时间安排13 4.6评价测试结果14 4.7记录测试结果14 4.8在内部控制测试时的决策树16附录 A名词解释18 B内部控制测试实例20
B.1战略性经营风险(“SBR”) 20 B.2重要交易事项(“SCOT”) 20 C内部控制的类别 C.1授权 C.2配置/帐项映射的控制 C.3预警报告 C.4界面/转换控制 C.5主要运营指标 C.6管理层审阅 C.7稽核 C.8职责划分 C.9系统访问权限 D测试手段 D.1确证征询 D.2文件检查 D.3能力评估 D.4系统调阅 E信息风险管理专家(IRM)在审计中的作用
1概论 KPMG编写“内部控制测试指南”的目的是为KPMG的审计人员进行内部控制测试工作提供一些帮助。 基于内部控制的审计方法(system-basedapproach)是指按照KPMG审计手册(KAM)进行的财务报表审计。它既要考虑人工控制,也要考虑IT控 制,还要求信息风险管理(IRM)专家的适当参与。 在按照KAM审计的过程中,我们并不计划对所有的审计目标实施实质性测试,(“完全实质测试审计”),这就需要通过进行各种分析以确定客户的重大错报风险(ROSM,固有风险与控制风险之积)低于最高水平。 根据KAM,只有获得了关于客户内控制度的设计及执行是有效的证据,才能认为客户的ROSM低于最高水平。不仅如此,将ROSM评估为高,通常是因为控制测试显示客户的相关内控制度设计不合理或是未得到有效的执行,而不是因为我们基于成本效益的原则而不打算进行控制测试。请参见 4.8部分“在内部控制测试时的决策树”。 本指南包含了控制测试的理论和实例。本指南也描述了KAM工作进程的概况,但主要探讨如何在流程分析阶段(ProcessAnalysis)理解和测试客户的内控制度,从而完成按KAM要求的基于内部控制的审计。本指南的基础是与国际审计准则(IAS)相一致的KAM。 本指南包含四部分: 一、审计工作进程 这部分将简要回顾KAM的工作进程,并且着重于以下三部分内容:理解战略性经营风险(SBRs);理解重要交易事项 (“SCOTs”);以及对关键控制流程(KeyBusinessProcess)进行分 析(关键控制流程指管理SBRs或者产生、处理和记录SCOTs的流 程)。 二、企业的控制环境(Controlenvironment) 这部分将简要回顾KAM关于企业控制环境的论述,企业的控制环境是其它各控制环节的基础。 三、流程分析(ProcessAnalysis)---基于内部控制的 审计方法(System-basedapproach) 这部分着重于流程分析(ProcessAnalysis),包括识别流程层面的风险和控制点(Process-levelrisksandcontrols)以及内部 控制测试。 四、附录 A、名词解释
内部控制及控制风险评价
内部控制及控制风险评价 一、大纲 (一)内部控制目标与要素 (二)了解与记录内部控制 (三)内部控制测试 (四)内部控制评价 (五)管理建议书 二、本章重点、难点 注册会计师编制审计计划时,应当研究与评价被审计单位的内部控制。对拟信赖的内部 控制进行符合性测试,据以确定对实质性测试的性质、时间和范围的影响。 (一)内部控制目标与要素 1. 内部控制定义 被审计单位为了保证业务活动的有效进行,保护资产的安全和完整,防止、发现、纠正错误与舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序。 2. 内部控制的目标。 (1)保证业务活动按照适当的授权 .....进行; (2)保证所有交易和事项以正确的金额,在恰当的会计期间及时记录 ..于适当的账户, 使会计报表的编制 ..符合会计准则的相关要求; (3)保证对资产和记录的接触 .........、处理均经过适当的授权; (4)保证账面资产与实存资产 .........定期核对相符。 3.有关内部控制的一般考虑。 ①管理当局的责任 建立、修正和维护公司的各项控制,并监督控制政策和程序得到持续有效的执行是管理当局的责任。 ②合理的保证 A 公司管理当局应在综合考虑控制的成本效益 ....的基础上,建立能为公司会计报表的 公允表达提供合理 ..保证的内部控制。 B 控制程序不应对工作效率或获利能力有不利影响。 ③固有的限制 由于②和③,会计报表审计总存在一定的控制风险,控制风险始终应大于零。因此不管内控如何,都要进行实质性测试。 4.了解内部控制与审计的关系 (1)不论被审计单位规模大小,都要充分了解相关的内控; (2)根据了解,确定是否进行符合性测试及符合性测试的时间、性质和范围; (3)内控良好,绝不能完全取消实质性测试程序。 5.内部控制要素
公司内控制度1
公司内部控制制度 第一章总则 第一条为了加强和规范企业内部控制,提高企业经营管理水平和风险防范能力,促进企业可持续发展,根据《中华人民共和国公司法》、《中华人民共和国会计法》及《企业内部控制规范》等有关法律法规,制定本制度。 第二条本制度适用于公司各部门。分公司及子公司可以参照本制度建立与实施内部控制。 第三条本制度所称内部控制是指由企业董事会(或者由企业章程规定的经理、厂长办公会等类似的决策、治理机构,以下简称董事会)、管理层和全体员工共同实施的、旨在合理保证实现企业基本目标的一系列控制活动。 内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业目标的实现。 第四条内部控制的制订原则 1、合法性原则。本制度的制订符合法律、行政法规的规定和有关政府监管部门的监管要求。 2、全面性原则。本制度的制定贯穿决策、执行和监督全过程,覆盖公司及其所属单位的各种业务和事项。 3、重要性原则。本制度的制订在兼顾全面的基础上突出重点,针对重要业务与事项、高风险领域与环节采取更为严格的控制措施,确保不存在重大缺陷。 4、有效性原则。本制度相关具体业务控制能够为内部控制目标的实现提供合理保证。企业全体员工应当自觉维护内部控制的有效执行。内部控制建立和实施过程中存在的问题应当能够得到及时地纠正和处理。 5、制衡性原则。本制度制订的七项具体业务控制,涉及的企业的机构、岗位设臵和权责分配科学合理并符合内部控制的基本要求,确保不同部门、岗位之间权责分明和有利于相互制约、相互监督。
6、适应性原则。本制度制订的七项具体业务控制,合理体现了企业经营规模、业务范围、业务特点、风险状况以及所处具体环境等方面的要求,并随着企业外部环境的变化、经营业务的调整、管理要求的提高等不断改进和完善。 7、成本效益原则。本制度的制订在保证内部控制有效性的前提下,合理权衡成本与效益的关系,争取以合理的成本实现更为有效的控制。 第二章货币资金 第五条本制度所称的货币资金是指企业所拥有或控制的现金、银行存款和其他货币资金。 第六条资金内部控制的关键控制点: 1.职责分工、权限范围和审批程序需明确,机构设臵和人员配备应合理; 2.现金盘点和银行对账单的核对应当按规定严格执行; 3.与货币资金有关的票据的购买、保管、使用、销毁等应有完整的记录,银行印鉴和有关印章的管理应当严格有效。 第七条货币资金不相容岗位包括: 1.货币资金支付的审批与执行; 2.货币资金的保管和盘点清查; 3.货币资金的会计记录和审计监督。 出纳人员不得兼任稽核、会计档案保管和收入、支出、费用、债权债务账目的等级工作。 第八条货币资金的审核批准程序:申请→审批→复核→支付。 第九条企业取得的货币资金收入必须及时入账,不得账外设账,不得坐支现金。 第十条企业需指定专人定期与银行对账,并指派对账人员之外的其他人员进行审核,确定银行存款账面余额与银行对账单余额是否相符。 第十一条企业应定期和不定期地进行现金盘点,确保现金账面余额与实际库存相符,如不符,应及时查明原因,做出处理。 第十二条会计印章管理的要求。 1.严禁一人保管支付款项所需的全部印章。 2.银行印鉴的个人名章由会计机构负责人或其指定的会计人员管理。 3.现金收(付)讫章、银行转讫章由出纳员管理。 4.财务专用章、发票专用章等印章,由会计机构负责人或其指定人员管理。
公司内部控制制度46991
内部控制制度 第一章总则 第一条为强化公司内部管理,保障公司经营管理的安全性和财务信息的可靠性,提高信息披露质量,实现公司治理目标,根据《公司法》等法律、法规和及《公司章程》的规定,制定本制度。 第二条公司内部控制制度是为防范经营风险,保护资产的安全与完整,促进各项经营活动的有效实施而制定的各种业务操作程序、管理方法与控制措施的总称。 第三条内部控制的职责: 董事会:全面负责公司内部控制制度的制定、实施和完善,定期对公司内部控制情况进行全面检查和效果评估; 总经理:全面落实和推进内部控制制度相关规定的执行,检查公司职能部门制定、实施和完善各自专业系统的风险管理和控制制度的情况; 公司职能部门:具体负责制定、完善和实施本专业系统的风险管理和控制制度,配合完成对公司各专业系统风险管理和控制情况的检查。 第二章内部控制的原则和目标 第四条公司内部控制制度的原则: (一)内部控制涵盖公司内部的各个部门和各个岗位,并针对业务处理过程中的关键控制点,将内部控制落实到决策、执行、监督、反馈等各个环节; (二)内部控制符合国家有关的法律法规和本公司的实际情况,要求全体员工必须遵照执行,任何部门和个人都不得拥有超越内部控制的权力; (三)内部控制保证公司机构、岗位及其职责权限的合理设置和分工,坚持不兼容职务相互分离,确保不同机构和岗位之间权责分明、
相互制约、相互监督; (四)内部控制的制定兼顾考虑成本与效益的关系,尽量以合理的控制成本达到最佳的控制效果。 第五条公司内部控制的目标: (一)遵守国家法律、法规、规章及公司内部规章制度; (二)提高公司经营的效益及效率; (三)保障公司资产的安全、完整; (四)确保公司信息披露的真实、准确、完整和公平。 第三章内部控制的主要内容 第六条公司内部控制主要指专业系统的内部风险管理和内部控制:包括环境控制、业务控制、会计系统控制、内部审计控制等。 第一节环境控制 第七条环境控制包括授权管理控制和人力资源管理控制。 第八条授权管理控制的主要内容:通过授权管理明确董事会、总经理和公司管理层、职能部门的具体职责范围;董事会组织制定相关细则并负责具体实施和改善。 董事会:《公司章程》及《董事会议事规则》明确了董事会的职责权限,规范董事会内部机构及运作程序,充分发挥董事会的经营决策中心作用。董事会行使下列职权: (一)决定公司的经营计划和投资方案; (二)制订公司的年度财务预算方案、决算方案; (三)制订公司的利润分配方案和弥补亏损方案; (四)制订公司增加或者减少注册资本; (五)决定公司对外投资、收购出售资产、资产抵押、对外担保事项、委托理财等事项; (六)决定公司内部管理机构的设置; (七)聘任或者解聘公司经理;根据经理的提名,聘任或者解聘
内部控制穿行测试操作要点及技巧
内部控制穿行测试操作要点及技巧穿行测试是内部控制体系建设及评价过程中的重要工具和方法。在进行了风险评估,了解了企业内部控制现状,梳理和记录完内部控制活动,编制了风险控制矩阵以后,要通过穿行测试与控制测试方法定期对所描述的控制活动进行测试验证,评价其设计及运行的有效性。测试中编制的工作底稿是内部控制合规的重要文档之一,其评价结论既要用来编制内部控制自我评价报告,又要针对发现的内部控制缺陷制定整改计划,不断完善内部控制体系。 1、什么是穿行测试 穿行测试是指了解有关内部控制的基础上,按照交易轨迹,从相关流程中选择一个或若干个具有代表性的交易和事项,追踪其从交易的发生到最终被反映在财务报表或其他经营管理报告中的过程,即该流程从起点到终点的全过程。当然,如果从交易的会计处理到交易的起点进行测试更有效的话,也可反过来执行。 通俗地来讲,穿行测试就是“穿行+测试”,即通过检查一段时间内执行过的某些重点流程各个控制点所留下的文件存档和信息流等,使流程得到再现,从而验证和确认控制是否真实存在并实际运行,现有的控制是否能够防范相应的风险,最终得出控制设计及运行是否有效的结论。 2、穿行测试的特点 (1)同质性:必须获取同一个交易或包括同一交易的文档。
(2)连续性:从发生到记录全过程的所有控制都要进行测试。 (3)典型性:要尽可能获取一个最近执行的典型交易,以涵盖所有控制。 (4)可测性:获取纸质文档记录进行测试并妥善留存。 (5)普遍性:穿行测试适用于各类型的控制,每年的内部控制评价都必须做穿行测试。 (6)动态性:如果控制发生变化(如流程变化、组织架构变化、关键执行人变化、涉及的信息系统变化等),则应重新执行穿行测试程序。 3、穿行测试的范围与内容 (1)穿行测试的范围 穿行测试的范围要涵盖公司层面、流程层面和IT层面,具体的要以前期已经编制好的18个指引对应的风险控制矩阵为依据。 (2)穿行测试的期间 穿行测试要选择最近发生的样本,对部分本年度尚未发生的控制可追溯到上一年的样本。 (3)测试试人员与职责分工 1)测试人员的胜任能力:测试人员应熟悉测试内容,具备一定的内部控制知识及相当的工作经验,工作测试底稿须经适当的复核人检核;