(三)实施评价工作与测试
图8-2内部控制的评价方法
1.了解公司层面基本情况。(主要了解的是内控五要素,例如内部环境的情况)
2.了解各业务层面的主要流程及风险。(工作重点放在主要业务流程中,如资金管理流程、销售流程、采购流程等)
【例8-1】在资金管理流程中可能涉及的子流程包括
相关文档:
| (1)风险控制矩阵文档 | 关注点:复核风险流程的合理性。 例如,文档是否包含了流程面临的所有风险、列示的风险是否得到定期或及时的更新、对于各项风险的重要性水平分析是否合理,以及复核控制点的识别,关键控制点、重要控制点、一般控制点的判断是否合适。 |
| (2)流程图文档 | 关注点:流程图是否与实际操作及风险控制矩阵描述相符合、流程图是否清楚地标示所有风险点及控制点、流程图中责任部门、岗位以及其他管理机构是否表述清晰、表述的流程路径是否清晰、是否存在交叉,以及内容是否涵盖所有流程实际操作以及相应的控制活动。 |
| (3)审批权限表档案 | 关注点:部门及岗位的描述是否准确、权限的划分和设置是否合理。 |
【例8-2】业务流程中的关键业务或固有风险的认定以及识别有关的风险关注点
| 资金管理流程: | |
| 关键业务风险 固有风险:是指假设不存在相关的内部控制,某一业务风险事项发生的可能性 | 【客户需求】 —— 下降 需求下降 → 收入减少 → 资金短缺 → 资金需求上升 → 债务融资增加 → 财务费用增加 |
| 【行业性质】 该企业所处行业的性质决定资金、在建工程与固定资产的交易比存货的交易更容易出现差错 | |
| 【产生经营风险的外部因素】 如“节能减排” | |
【例】评价工作组识别出的风险点及相关控制举例
| 【银行账户管理】: | |
| 风险点 | 相关控制举例 |
| 银行账户的开立、变更及撤销未经合理的审批及授权 | 1.提交给银行的开立账户申请书需要经过公司总经理书面批准(签章) |
| 2.提交给银行的变更账户申请需要经过财务经理和总经理审批 | |
| 3.提交给银行的撤销账户申请需要经过财务经理和总经理审批 | |
| 公司票据及印鉴未实行适当的职责分离或妥善保管 | 1.开具支票所需法人名章、财务专用章和空白支票分别由现金出纳、主管会计和公司的银行出纳员分别保管 |
| 2.在开具现金支票时,公司的银行出纳根据付款申请填写现金支票后上交主管会计和现金出纳审核,审核无误后,由主管会计加盖财务专用章,由现金出纳加盖法人名章 | |
3.确定检查评价范围和重点。
4.开展现场检查测试。
·评价工作组可综合运用不同评价方法,收集被评价单位内部控制设计与运行是否有效的证据,按照要求填写工作底稿、记录有关测试结果。
·如果发现内部控制出现缺陷,则需与管理层沟通,对有关缺陷进行认定并进行记录。
| 评价方法 | 做法 | 适用情况 |
| (1)个别访谈 | 个别访谈企业或被评价单位的不同人员,了解公司内部控制的现状与运行。 | 用于企业层面与业务层面评价的阶段 |
| (2)调查问卷 | 通过扩大对象范围,如企业中的全体员工收集简单结果。 | 多用于企业层面的评价(内部环境) |
| (3)专题讨论 | 集合企业中有关专业人员就内部控制执行情况或控制问题进行分析和讨论。 | 常用于控制活动评价 |
| (4)穿行测试 | 在流程中任意选取一项交易为样本,获取原始单据、跟踪交易从最初起源,到会计处理,信息系统和财务报告编制,直到这项交易在财务报表中报告出来的全过程。 | 可获取确定对一个流程的了解,查找潜在的内控设计问题及识别出相关控制 |
| (5)实地查验 | 例如,评价工作人员进行实地盘点以测试企业记录存货的数量,或有关控制的有效性。 | 用于业务层面评价(针对资产安全目标) |
| (6)抽样 | 抽样方法可以分为随机抽样和其他抽样法。 随机抽样一般被认为是最具有代表性或是基于统计学的取样方式,从样本库中抽取一定数量的样本,进行控制测试,以获取有关控制的运行状况。随机选取通常是采用电脑来完成。 | 业务层面 |
| (7)比较分析 | 通过数据分析,识别评价关注点的方法。 | |
| (8)审阅与检查 | 通过核对有关证据而获取有关控制的运行状况,如选择某些调节表上的差异,追溯到相应的单据记录(如银行对账单)或检查调节表是否有相关负责人签字。 | 业务层面评价 |
【例8-3】综合运用测试方法的举例 —— 银行余额调节表
| 询问 | 询问负责准备及审阅银行余额调节表的人员,了解在流程中如何发现银行调节表中出现的差异,确认有关差异原因,人员实施的步骤以确保相应的财务记录得到及时更正 |
| 穿行测试、观察 | 观察调节表准备的过程,在穿行测试中记录流程 |
| 审阅与检查 | 选择某些年份的调节表,检查表上存在的差异,追溯到银行对账单以支持有关调节项目的合理性以及检查相关负责人签字 |
(四)汇总评价结果
评价工作组人员应当在其工作底稿中,记录评价所实施的程序及有关结果。
企业内部控制评价工作组应当建立评价质量交叉复核制度,有关评价报告应由评价工作组负责人严格审核确认,与被评价单位进行通报,在提交内部控制评价部门或机构前得到被评价单位相关责任人签字确认。
企业内部控制评价部门或机构应编制内部控制缺陷认定汇总表,结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况,对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核,提出认定意见,并以适当的形式向董事会、监事会或者经理层报告。重大缺陷应当由董事会予以最终认定。
