华鲁恒升:华鲁恒升内部控制评价管理办法(全文)2022-03-30
山东华鲁恒升化工股份有限公司
内部控制评价管理办法
2021 年 3 月修订
�华鲁恒升内部控制评价管理办法
目录
第一章 总则 ..................................................................................................................... 1
第二章 内部控制评价职责分工 ......................................................................................... 3
第三章 内部控制评价程序 ................................................................................................ 5
一、 评价准备 .............................................................................................................. 5
二、 实施现场评价 ....................................................................................................... 6
三、 内部控制缺陷认定 ................................................................................................ 7
四、 内部控制评价报告 ................................................................................................ 7
五、 内部控制评价工作档案归档 .................................................................................. 8
第四章 内部控制评价范围和内容 ..................................................................................... 9
一、确定内控评价范围 ................................................................................................. 9
二、确定内控评价内容 ................................................................................................. 9
第五章 内部控制评价方法 .............................................................................................. 14
一、内部控制评价基本方法 ........................................................................................ 14
二、内部控制测试抽样规则 ........................................................................................ 14
三、内部控制评价底稿填写说明 ................................................................................. 18
四、内部控制评价测试结果类型 ................................................................................. 20
第六章 内部控制缺陷评估方法 ....................................................................................... 21
一、内部控制缺陷分类 ............................................................................................... 21
二、财务报告相关内部控制缺陷认定步骤 ................................................................... 22
三、非财务报告相关内部控制缺陷认定步骤 ............................................................... 25
四、公司层面、信息系统总体控制缺陷认定的特殊考虑.............................................. 26
�华鲁恒升内部控制评价管理办法
第一章 总则
为了规范山东华鲁恒升化工股份有限公司(以下简称“华鲁恒升”或“公
司”)的内部控制评价工作,依据《企业内部控制基本规范》及其评价指引、《山
东华鲁恒升化工股份有限公司内部控制手册》(以下简称“《内部控制册》”),
编制本《内部控制评价管理办法》,明确公司内部控制评价工作流程、方法,规定
了内部控制评价的要求、工作模板和报告路径。
《内部控制评价管理办法》经公司董事会审议批准之后颁布实施,由公司内部
控制部负责解释。公司审计部每年负责根据内外部环境、组织架构、管理要求和管
理问题、重大风险的变化以及公司各部门的改进建议、内外部检查评价的结果,向
董事会和管理层提出本办法的更新草案。
内部控制评价的定义
内部控制评价是指由董事会实施的,对公司内部控制的有效性进行评价,形成
评价结论,出具评价报告的过程。
内部控制评价的原则
实施内部控制评价,至少应当遵循下列原则:
全面性原则。评价工作应当包括内部控制的设计与运行,各种业务和事
项。
重要性原则。评价工作应当在全面评价的基础上,关注重大业务事项和
高风险领域。
客观性原则。评价工作应当准确地揭示经营管理的风险状况,如实反映
内部控制设计与运行的有效性。
及时性原则。评价应按照规定的时间间隔持续进行,当经营管理环境发
生重大变化时,应及时进重新评价。
1
�华鲁恒升内部控制评价管理办法
一致性原则。检查评价工作组织、评价程序、方法、缺陷认定标准等一
经确定,应当在不同的评价期间保持相对一致。
成本效益原则。内部控制评价应当以适当的成本实现科学有效的评价。
2
�华鲁恒升内部控制评价管理办法
第二章 内部控制评价职责分工
公司董事会指导并监督内部控制评价工作的开展,并对内部控制评价报告的
真实性负责。其在内部控制评价工作中的具体职责包括:
批准内部控制评价工作组的构成;
监督内部控制评价工作组工作的开展;
审议《内部控制评价报告》;
督促公司管理层对内部控制缺陷进行整改;
批准《内部控制评价手册》的修订等。
公司审计部负责内部控制评价工作的开展,其职责主要包括:
制定年度内部控制评价工作计划;
制定公司各部门的内部控制评价具体工作方案;
组织实施公司各部门的内部控制评价工作;
针对具体内部控制缺陷,与各部门共同协商改进完善的建议;
组织编制公司各部门的内部控制评价报告,并提交董事会进行审批;
根据具体工作实践,对《内部控制评价手册》进行修订,并提交董事会进行
审议。
公司管理层对公司内部控制的有效性负责,其在内部控制评价工作中的具体
职责包括:
依照《内部控制手册》,推动公司内部控制工作的具体实施;
要求各部门配合审计部的内部控制评价工作;
3
�华鲁恒升内部控制评价管理办法
对内部控制评价具体内容的真实性负责;
听取内部控制评价工作汇报,审批具体内部控制缺陷改进计划,并跟进各部
门改进方案的实施。
公司各部门具体落实公司内部控制工作内容,其在内部控制评价工作中的具
体职责包括:
依照《内部控制手册》,组织实施本部门内部控制的自评价工作,并对自评
价过程中发现的内部控制缺陷进行整改;
积极响应公司管理层的号召,配合公司审计部进行内部控制评价工作;
对于发现的内部控制缺陷,会同审计部确定改进方案,实施具体整改。
4
�华鲁恒升内部控制评价管理办法
第三章 内部控制评价程序
一、 评价准备
制定年度内部控制评价计划和实施方案:审计部负责制定年度内部控制评
价计划和工作方案,明确下列事项:
① 评价范围和内容;
② 评价人员的组成;
③ 评价的时间安排、标准和工作底稿要求;
④ 缺陷评估和编制自评价报告的安排。
组建评价工作组:根据评价项目的要求,选派合适的人员组成评价工作组,
并任命评价工作组组长。在选定评价工作组人员时,可考虑以下因素:
① 吸收公司内部熟悉业务的业务骨干,但评价工作组成员对本部门的内部
控制评价工作应当回避。
② 结合评价项目的性质、预计的评价工作量,以及评价任务的复杂程度和
完成时限等,
③ 评价中如有特殊需要,评价组织机构还应考虑从外部聘用专家,如计算
机专业人员、专业技术人员和管理专家等,以协助评价人员完成特定的
评价取证和评价工作。
④ 评价工作组人员具有内部控制相关知识和经验,具备内部控制评价工作
的基础知识和技能。
文档准备:主要包括更新内部控制评价工作底稿和缺陷汇总模板、收集被
评价部门的内部控制体系文件等。
5
�华鲁恒升内部控制评价管理办法
下发内部控制评价通知:审计部根据经审批后的年度内部控制评价计划和
实施方案,向被评价部门下发内部控制评价通知及配合事项。
二、 实施现场评价
评价计划:评价工作组结合被评价部门特点,充分考虑工作时限、被评价
部门业务的复杂程度和风险管理及内部控制的建立、健全程度等,制定内部
控制评价工作计划。评价工作计划需经评价组织部门负责人批准,由评价组
长组织实施。
实施评价:
① 调研访谈:获取被评价部门的制度、规定、内部控制标准和相关程序文
件,初步了解被评价部门的流程,查看相关规章制度是否与内部控制标
准的描述存在矛盾,然后编制详细的访谈计划,内容可包括需要访谈的
岗位名称、访谈的时间以及需要被访谈人提供的文档资料等。
② 开展评价:
a. 访谈业务流程的相关人员,以便更好的了解整个流程,并确认实际业务
是否按照内部控制标准的要求进行。访谈原则上就实施控制的每个岗位
进行,以确保获取最直接的信息。但如果通过访谈一个或几个岗位即可
获取足够的信息,则可不用访谈全部岗位;
b. 检查样本,目的是确定相关控制是否存在并按要求执行。通过选择样本
并进行查看,了解控制执行人是否按照要求执行了内部控制的要求,并
填写相关文档,留下了实施证据;
填写内部控制评价底稿:
① 根据测试期间样本发生频率抽取相关业务记录样本,按照底稿中测试属
性的检查内容,对样本进行测试并填写测试底稿;
② 记录未达标样本:对不符合内部控制标准要求的样本进行记录,在底稿
测试页中记录未达标样本的编号和描述等信息;
6
�华鲁恒升内部控制评价管理办法
③ 底稿复核:内控评价人员填写内部控制评价底稿,内控评价项目组负责
人对其底稿进行严格复核,或采取交叉复核的方式对底稿进行复核。内部控制
评价人员及复核人员均应在内控评价底稿上签字确认。
内部控制评价底稿模板,请参见附件1:华鲁恒升内部控制自评价测试底稿。
缺陷沟通及整改:内部控制评价过程中发现的控制缺陷,需要提出整改建
议。整改建议由审计部和各部门负责人共同拟定完成。整改建议的内容必须具体,
切实可行。各部门负责人根据缺陷的严重程度和整改建议实施的难易程度,结合公
司的实际情况综合考虑,制定整改方案。整改方案应符合有针对性、可衡量、可完
成、符合现实情况、及时性等原则。审计部需要根据整改计划中的时间表对被审计
对象实施整改的监督检查,以证明其控制活动运行的有效性。
三、 内部控制缺陷认定
内控缺陷评估:针对内部控制评价过程中发现的控制缺陷进行综合判断,
按其严重程度分为重大缺陷、重要缺陷和一般缺陷。
四、 内部控制评价报告
公司内部控制部在完成缺陷评价后,汇总评价结果,按照规定的程序和要求,
组织编写内部控制评价报告。
内部控制评价报告的内容:
① 组织实施内部控制评价的总体情况
② 内部控制评价项目组的声明
③ 内部控制评价的范围和内容
④ 内部控制评价的标准和依据
⑤ 内部控制评价的程序和方法
⑥ 内部控制重大缺陷及其认定情况
7
�华鲁恒升内部控制评价管理办法
⑦ 内部控制重大缺陷的整改措施
⑧ 内部控制有效性的结论
内部控制评价报告的审议:公司年度内部控制评价报告最终须经董事会审
议通过。
内部控制评价报告的披露:自内部控制评价报告基准日至内部控制评价报
告发出日之间发生重大缺陷的,审计部负责核实,并根据核查结果对评价结论进行
相应调整。公司以 12 月 31 日作为年度内部控制评价报告的基准日,内部控制评
价报告应于基准日后 4 个月内报出。
五、 内部控制评价工作档案归档
内部控制部建立内部控制评价工作档案管理制度,内部控制评价的有关文件资
料,包括评价方案、测试范围确定文档、自评价报告、抽查方案、工作底稿和相关
支持性证据(主要是涉及缺陷样本的支持性证据)、缺陷汇总表、评分结果等应当
妥善归档及保管,以满足日后查阅、质量复核等需求。
8
�华鲁恒升内部控制评价管理办法
第四章 内部控制评价范围和内容
一、确定内控评价范围
在确定内部控制评价范围时,应本着风险导向原则和自上而下原则。内部控制
评价应当以风险评估为基础,根据风险发生的可能性和对企业单个或整体控制目标
造成的影响程度,自上而下地来确定需要评价的重点业务单元、重要业务领域或流
程环节。
因此,在确定内部控制评价范围时,公司应当获取财务报表,首先确定内部控
制自我评估的重要性水平。在确定重要性水平时,建议与外部审计师进行及时沟
通,尽可能使用与外部审计师计算口径及方式相同的重要性水平,以便保持趋同,
建议管理层使用的重要性水平小于等于外部审计师使用的重要性水平,这样更为谨
慎。在重要性水平确定之后,从定量、定性两方面出发确定范围。定量,即指将公
司财务报表科目数据与重要性水平进行比较,对于大于重要性水平的科目所对应的
流程纳入评价范围。定性,即指从管理层,各业务及管理部门基于对公司情况的了
解及风险认识,将有风险的事项与财务科目挂钩,将相关的流程纳入评价范围。
二、确定内控评价内容
公司应根据《企业内部控制基本规范》及其应用指引,以及本公司的内部控制
制度,围绕内部环境、风险评估、控制活动、信息与沟通、内部监督等要素,确定
内部控制评价的具体内容,对内部控制设计与运行情况进行全面的评价。公司已经
按照上述要素建立了内部控制体系,完整的内部控制流程如下:
内控要素 序号 一级流程 二级流程 三级流程
1.1 组织架构
1.1.1 公司治理
内部环境 1.1.2 组织机构
1.2 发展战略
1.2.1 战略制定
9
�华鲁恒升内部控制评价管理办法
内控要素 序号 一级流程 二级流程 三级流程
1.2.2 战略实施
1.3 社会责任
1.3.1 总体控制
1.3.2 产品质量
1.3.3 安全管理
1.3.4 员工权益保护
1.3.5 环境保护
1.4 企业文化
1.4.1 企业文化建设
1.4.2 企业文化评估
2.1 风险评估
2.1.1 风险管理组织体系
风险评估
2.1.2 风险评估
2.1.3 风险应对
3.1 人力资源管理
3.1.1 总体控制
3.1.2 员工招聘
3.1.3 员工日常管理
3.1.4 薪酬管理
3.1.5 员工退出
3.2 财务管理
3.2.1 资金管理
控制活动
3.2.1.1 总体控制
3.2.1.2 货币资金管理
3.2.1.3 筹资管理
3.2.1.4 担保管理
3.2.1.5 费用管理
3.2.2 税务管理
3.2.2.1 总体控制
3.2.2.2 税务核算
10
�华鲁恒升内部控制评价管理办法
内控要素 序号 一级流程 二级流程 三级流程
3.2.2.3 税收申报与缴纳
3.2.3 财务报告与信息披露
3.2.3.1 总体控制
3.2.3.2 会计核算
3.2.3.3 期末关账
3.2.3.4 关联交易
3.2.3.5 财务报告编制
3.2.3.6 信息披露
3.3 投资管理
3.3.1 总体控制
3.3.2 股权投资项目实施
3.3.3 股权投资退出
3.4 资产管理
3.4.1 存货管理
3.4.1.1 总体控制
3.4.1.2 物流运输管理
3.4.1.3 入库管理
3.4.1.4 库存管理
3.4.1.5 出库管理
3.4.2 固定资产管理
3.4.2.1 总体控制
3.4.2.2 固定资产取得
3.4.2.3 在建工程管理
固定资产日常管
3.4.2.4
理
3.4.2.5 固定资产处置
3.4.3 无形资产管理
3.5 研发管理
3.5.1 总体控制
3.5.2 立项管理
11
�华鲁恒升内部控制评价管理办法
内控要素 序号 一级流程 二级流程 三级流程
3.5.3 组织实施管理
3.5.4 项目验收
3.5.5 研发成果管理
3.6 采购与付款管理
3.6.1 总体控制
3.6.2 采购计划与请购
3.6.3 供应商管理
3.6.4 采购实施
3.6.5 付款管理
3.7 销售管理
3.7.1 销售计划管理
3.7.2 客户管理
3.7.3 销售执行
3.7.4 收入确认
3.7.5 开票和收款管理
3.8 工程项目
3.8.1 总体控制
3.8.2 工程立项管理
3.8.3 工程招标管理
3.8.4 工程造价及设计管理
3.8.5 工程建设管理
3.8.6 工程验收管理
3.9 全面预算管理
3.9.1 总体控制
3.9.2 预算编制与审批
3.9.3 预算执行与监督
3.9.4 预算考核
3.10 合同管理
3.10.1 总体控制
3.10.2 合同订立
12
�华鲁恒升内部控制评价管理办法
内控要素 序号 一级流程 二级流程 三级流程
3.10.3 合同履行
3.11 信息系统管理
3.11.1 信息系统开发管理
3.11.2 信息系统运维管理
3.11.3 信息安全管理
4.1 信息与沟通
4.1.1 信息收集
信息与沟通
4.1.2 信息传递
4.1.3 反舞弊机制
5.1 内部监督
5.1.1 总体控制
内部监督 5.1.2 内部审计
5.1.3 日常监督和专项监督
5.1.4 缺陷报告与解决
具体在各公司开展内部控制评价时,可根据各公司业务情况和风险评估的结果,有重
点的选择相应的内控流程进行评价。
13
�华鲁恒升内部控制评价管理办法
第五章 内部控制评价方法
一、内部控制评价基本方法
内部控制评价方法分为定性分析和定量分析。其中,定性分析评价方法如下:
个别访谈法:是指通过口头或书面的方式对执行控制的相关人员提出问题,
根据被访谈人的回答确定控制是否存在以及控制执行人对控制的理解程度。访谈原
则上应该以执行该项控制的人作为访谈对象,如果相关人员(如负责人)能够说明
具体情况,也可以访谈相关人员,不需要具体访谈到每个岗位。
穿行测试法:通过抽取一套贯彻流程全过程的业务记录文档,来了解整个业
务流程执行的情况。
调查问卷法:针对重要风险或控制问题设计问卷调查表,分别对不同层次的
员工进行问卷调查,根据调查结果对相关项目做出评价。
定量分析评价方法如下:
抽样法:针对具体的内部控制业务流程,按业务发生频率及所管控风险的高
低,从确定的抽样总体中抽取一定比例的业务样本,对业务样本的符合性进行判
断,进而对业务流程控制运行的有效性进行判断并做出评价。
比较分析法:通过分析、比较数据间的关系、趋势或比率来取得评价证据的
方法。
实地查验法:对公司财产进行盘点、清查,以及对存活出、入库等控制环节
进行现场查验。
一般而言,根据评价对象和内容的不同,应当综合考虑选择一种或多种评价方
法进行评价,获取充分、相关、可靠的证据对内部控制的有效性进行评价,并做出
书面记录。
二、内部控制测试抽样规则
14
�华鲁恒升内部控制评价管理办法
样本的选择需要考虑交易的不同性质
① 测试中样本的选择需要考虑交易的同质性,如果控制程序不同,应该
视为不同的控制分别进行描述。如果交易的同质性相同,仅是控制的责任部
门、责任人、使用单据不同,则可以合并作为总体选择样本。
样本应覆盖评价的整个期间
① 如果控制活动是从 2014 年 1 月 1 日或之前开始执行的,样本要从年
初开始抽取。
② 如果控制活动是从 2014 年年中的某个时候开始执行的,样本要从该
控制活动开始执行之日抽取。
需要整改的控制活动,样本要从整改完成后抽取
① 如果控制活动存在缺陷并且管理层在评估期间内完成了整改,样本要
从整改完成后抽取。
要在评价期间相对均匀的选择样本
① 为了避免抽样风险,在不存在特殊情况的时候(例如:控制活动有缺
陷,应从整改后开始抽样)测试者应在测试期间内相对均匀地选择样本。
内部控制测试样本量的选取
根据控制活动的执行频率确定测试的样本量。控制类型为自动控制的控制活
动,抽取的样本量为 1,固定频率的手工控制的控制活动的最小样本量区间如下表
所示:
控制运行频率 控制运行总次数 样本量
每年 1 1个
每季度 4 2个
每月 12 2-5 个
15
�华鲁恒升内部控制评价管理办法
每周 52 5-15 个
每日 250 20-40 个
每日多次 大于 250 25-60 个
若控制活动发生频率为业务发生时,即发生频率不固定的控制活动,要根据年
初到测试执行日的业务量估算该控制活动全年预计发生的数量并据此确定最小样本
量区间:
预计全年发生交易 样本量
1次 1个
2-4 次 2个
5-12 次 2-5 个
13-52 次 5-15 个
52-250 次 20-40 个
大于 250 次 25-60 个
例如,检查某业务活动在 1-3 月份的全部采购订单编号为 0001 号至 0022
号,因此预估全年订单约为 22*4=88 份。根据非固定执行频率控制活动样本量的
规定,全年抽取样本量为 20-40 个,则本次应抽取的样本量可根据本次测试期间
与全年的样本量计算得出,即:若本次测试的样本期间为 1-3 月,则本次测试应
抽取的样本量为 5-10 个(即全年样本量的四分之一)。
需要注意的是某个控制活动的发生频率是固定的,但每个控制活动发生时,会
有多次发生的现象,其控制方式、控制执行人是一致的,则可判断为同质的控制活
动,此时样本总体次数应换算为全年所有发生次数总和。例如:会计主管每月审核
银行存款余额调节表。该控制活动的执行频率为每月一次,但公司使用不只一个银
行账户,故应考虑所有控制活动全年执行的次数,将其作为全年的样本总体。若公
司有 8 个银行账户,则该控制活动每年的执行次数应为 12*8=96 次,由此判断发
16
�华鲁恒升内部控制评价管理办法
生频率介于每日与每周之间,同样,为保证样本量的充足,测试者应该以发生频率
较高的样本量进行选取,因此该控制活动全年的测试样本个数应为 20-40 个,同
时还应注意,样本应均匀地在 8 个银行账户中进行选择。
内部控制评价底稿模板,请参见附件 1:华鲁恒升内部控制自评价测试底稿。
评价控制偏差
控制偏差是指在内部控制测试中,审计人员选择进行测试的某个控制没有按照
控制设计的要求被有效执行或者没有被执行。当识别出一项控制偏差后,审计人员
应调查控制偏差的属性以及形成原因,并评价该项控制偏差对原定的审计程序和其
他方面的影响。评价控制偏差的流程图如下图所示。
图4-1 评价控制偏差的流程图
一、确认控制偏差
二、确定控制偏差性质
系统性的控制偏差
随机性的控制偏差
(控制缺陷)
扩大样本量 三、确定审计应对措施
是否存在偏差 否 控制有效
是
评价控制缺陷
17
�华鲁恒升内部控制评价管理办法
内部控制测试中很可能会发现一些例外情况,审计人员应当执行进一步的审计
程序以确认这些例外情况属于随机控制偏差还是系统控制偏差。审计人员应调查对
重大业务流程及相关控制的理解是否有误。如果理解有误,则应当:1)记录对重
大业务流程及相关控制的正确理解;2)重新执行穿行测试;3)重新执行控制测
试。
确定控制偏差的属性
当控制测试中发现控制偏差时,审计人员应当执行进一步的程序以确认该项控
制偏差是系统性的还时随机性的。系统性偏差是指在相似情形下,预计都会发生的
错误;随机性偏差是指偶然发生的错误。
如果是系统性偏差,则无需再扩大样本量,而是直接将该项控制偏差视作一项
内部控制缺陷。
确定应对措施
如果确认一项控制偏差是随机的,则应当确定适当的应对措施。措施包括:
1)扩大样本量进行测试,从而确定测试发现的错误率在可容忍范围内;2)直接
将该项控制偏差视作一项内部控制缺陷。
如果确定扩大样本量进行测试,则审计人员应当根据控制偏差数量来确定扩大
样本量的范围。对于那些不是每天发生一次或多次的控制(例如:每周、每月或每
季发生一次),审计人员应当运用职业判断来确定增加测试的样本量或一项适当审
计应对措施以得出该项例外情况不具有代表性以及不会影响其余样本的结论。
如果审计人员扩大样本量后并没有识别出新的控制偏差,则认为尽管存在一项
控制偏差,但测试范围的错误率在可容忍范围内且该控制偏差不具有代表性。进
而,审计人员可以得出该项内部控制运行有效的结论;如果审计人员扩大样本量识
别出了新的控制偏差,则应得出该项内部控制运行无效的结论。
三、内部控制评价底稿填写说明
18
�华鲁恒升内部控制评价管理办法
内部控制评价底稿由下列文档组成:
(1)主表:每个业务流程均有一张独立的主表,涵盖了每个流程的所有子流
程,每个控制环节、控制目标和标准控制活动等属性。主表的目的是用于记录穿行
测试和抽样测试结果。
(2)抽样测试表:对于需要抽取 2 个或以上样本的控制点,必须填写抽样测
试表,且每个控制点均需要填写独立的抽样测试表,以记录每个控制点所抽取的全
部样本信息及抽样测试结论。
(3)内部控制缺陷汇总表:汇总所有流程的内部控制缺陷,作为内部控制缺
陷评价的基础。
主表填写示例:
抽样测试底稿填写示例:
19
�华鲁恒升内部控制评价管理办法
控制目标 无须填写,
由主表连
控制活动 接过来
控制频率 每月
非固定频率测 根据控制
全年应抽取样本数量 试样本量计算 属性确定
说明 抽样数量
实际抽取样本数量
测试内容
序号 样本摘要 测试结论 备注 记录所抽
取的全部
样本的样
1
本摘要,
2 以及每个
样本的测
3 试结果
4
5
测试结论 请选择 记录测试
结果
测试结论说明
四、内部控制评价测试结果类型
测试结果共分五种:达标、未达标、不适用、未发生交易和样本量不足。
达标:当所有的测试程序全部执行完毕,抽取的样本达到规定的样本量,
所选的样本完全符合测试属性的要求,未发现例外情况时,选择测试结果“达
标”。
一个控制活动可能对应多个实际执行的控制活动。对于每个控制活动,只有对
所有实际执行的控制活动抽取的样本达到规定的样本量且每个样本的所有测试属性
全部满足要求后,我们才认为此控制活动得到了有效执行。
未达标:在测试过程中发现有些样本不符合测试属性的要求,存在例外情
况时,选择测试结果“未达标”。
对于某个实际执行的控制活动,一旦某一个样本的某一个测试属性的结果是未
达标,整个标准控制活动即被认为未得到有效执行。
不适用:对于某些测试部门可能存在一些控制活动不适用的情况。评价人
员应在测试中应重新评价该控制活动的适用性。如果经过评价,该控制活动仍然不
20
�华鲁恒升内部控制评价管理办法
适用,那么其测试结果即为不适用。
不适用的情况可能有:某控制活动针对某业务制定,其他部门无此项业务;其
他原因。
未发生交易:由于某些控制活动是每年一次,或者有些控制活动所涉及的
业务在测试期间尚未发生,可能在测试时点中无样本可抽,在这种情况下,选择测
试结果“未发生交易”。例如:核销坏账的审核,如果某公司全年均未核销过坏
账,该控制活动的评估结果为“未发生交易”。
样本量不足:在测试过程中可能会遇到由于控制活动执行的频率较低或者
执行的时间较短,从而导致在测试中抽不到规定的样本量,同时抽到的样本经过测
试全部为达标,评价人员要在测试中将这种情况记录为“样本量不足”。
当样本的测试结果为“未达标”或“样本量不足”时,评价人员必须在测试工
作底稿备注栏中说明“未达标”或“样本量不足”的原因,原因注释应简要明确。
第六章 内部控制缺陷评估方法
一、内部控制缺陷分类
内控控制缺陷按其影响程度分为重大缺陷、重要缺陷和一般缺陷。重要缺陷可
以是内控缺陷的组合,实质性漏洞可以是重要缺陷的组合。
重大缺陷:指一个或多个控制缺陷的组合,可能导致被测试主体严重偏离控制
目标。
重要缺陷:指一个或多个控制缺陷的组合,其严重程度和经济后果低于重大缺
陷,但仍有可能导致被测试主体偏离控制目标。多个“重要缺陷”共同作用有可能
形成一个“重大缺陷”。
21
�华鲁恒升内部控制评价管理办法
一般缺陷:指除重大缺陷、重要缺陷之外的其他缺陷。多个“一般缺陷”共同
作用有可能形成一个“重要缺陷”。
根据上述定义,判断和认定内部控制缺陷是否构成重大缺陷,应当考虑下列因
素:
影响整体控制目标实现的一个或多个重要缺陷的组合是否构成重大缺陷;
针对同一细化控制目标所采取的不同控制活动之间的相互作用;
针对同一细化控制目标是否存在其他补偿性控制活动。
二、财务报告相关内部控制缺陷认定步骤
财务报告相关内部控制缺陷,是指存在缺陷的控制点为财务报告相关内部控
制。财务报告内部控制,即与公司财务报告相关的内部控制,是由公司的董事会、
监事会、经理层及全体员工实施的旨在合理保证财务报告及相关信息真实、完整而
设计和运行的内部控制,以及用于保护资产安全的内部控制中与财务报告可靠性目
标相关的控制。主要包括下列方面的政策和程序:
保存充分、适当的记录,准确、公允地反映企业的交易和事项;
合理保证按照企业会计准则的规定编制财务报表;
合理保证收入和支出的发生以及资产的取得、使用或处置经过适当授权;
合理保证及时防止或发现并纠正未经授权的、对财务报表有重大影响的交易
和事项。
财务报告相关内部控制缺陷认定可参考以下六大步骤进行:
22
�华鲁恒升内部控制评价管理办法
步骤 1:判断该缺陷导致财务报表错报的可能性
错报/负面财务影响可能性的界定需要专业判断,在判断错报/负面财务影响发
生的可能性时,一般可以定性分析而无需定量分析,需要考虑的因素包括但不限
于:
影响到的财务报表科目或非财务报告的内控事项的性质;
需要的主观判断程度、复杂性;
控制执行中的异常情况发生的频率和原因;
与其他控制的关联性;
缺陷可能造成的后果;
历史错报行为。
若该缺陷将可能导致财务报表错误,则执行步骤 2,否则执行步骤 5。
步骤 2:判断此缺陷可能导致的财务报表错报金额是否微小
微小的判断标准为潜在错报金额小于报表税前利润的 0.5%。如果该内控缺陷
的潜在错报金额小于报表税前利润的 0.5%,则为一般缺陷,否则执行步骤 3。
23
�华鲁恒升内部控制评价管理办法
步骤 3:判断是否存在补偿性控制
对于可能导致错报影响的内部控制缺陷,如果其潜在错报金额大于微小,应评
估是否存在补偿性控制,并且对补偿性控制开展必要的测试验证工作,获取该补偿
性控制是否有效运行的证据,进而判断补偿性控制是否能够降低导致错报/潜在负
面财务影响的可能性/影响程度。
若补偿性控制有效运行,则为一般缺陷,否则执行步骤 4。
步骤 4:判断此缺陷可能导致的财务报表错报金额是否重大
重大的判断标准为潜在错报金额大于或等于报表税前利润的 3%。如果该内控
缺陷的潜在错报金额大于或等于报表税前利润的 3%,则为重大缺陷,否则为重要
缺陷。
步骤 5:判断此缺陷是否符合重大缺陷的定性标准
当此缺陷不大可能造成财务报表错报,但可能对财务报表造成负面影响时,即
无法量化对财务报表的影响时,需要从定性角度对该缺陷进行认定。若该缺陷符合
以下任意一项定性标准,则应认定为重大缺陷,否则执行步骤 6。
发现董事、监事和高级管理人员舞弊;
高级管理人员包括公司总经理、财务总监、董秘、财务部经理和副总经
理。
更正已公布的财务报表;
公司按规定期限报送已签发的财务报告(含年报和半年报)后,对财务
报告重新报送以更正财务报告中的错报,包括对当年财务报告和以前年
度财务报告进行更正,直接认定为重大缺陷。但由于国家会计准则和会
计制度变化、上市地监管要求变化、以及公司按规定进行的会计政策调
整,需要对以前年度财务报告进行追溯调整的,不属于此类情况。
24
�华鲁恒升内部控制评价管理办法
发现当期财务报表存在重大错报,而内部控制在运行过程中未能发现该错
报;
主要指当公司完成财务报告编制并正式签发提交外部审计师后,外部审
计师发现财务报告中存在重大错报公司需对错报进行更正并重新编制财
务报告,这种情况应认定为重大缺陷。此处所指的重大错报是指错报金
额大于或等于合并报表税前利润的 3%。
内部审计职能对内部控制的监督无效。
当存在以下情况时,属于内部审计职能对内部控制的监督无效:
① 未建立内部审计部门或内部审计职责,未开展任何内部审计工作;
② 内部审计职责不独立,未定期或应要求向监事会、董事会/审计委员
会、总经理以及上级审计机构报告工作,重要审计发现及时报告并
提出处理意见;或内部审计部门承担了公司的经营责任,审计人员
执行生产经营管理业务工作的具体操作。
③ 内部审计人员明显不具备专业胜任能力。
步骤 6:判断财务主管或相关负责人对缺陷的重视程度
当此缺陷不足以引起财务主管或相关负责人的重视,则该缺陷应认定为一般缺
陷,否则应认定为重要缺陷。其中相关负责人主要指负责该项业务的中高层管理人
员。
三、非财务报告相关内部控制缺陷认定步骤
1、定性标准
定性标准主要根据缺陷潜在负面影响的性质、范围等因素确定,当出现下列情
形之一时,应当认定为重大缺陷:
25
�华鲁恒升内部控制评价管理办法
缺陷性质 定性标准
公司确定的非财务报告内部控制重大缺陷评价的定性标准如下:
违反国家法律、法规或规范性文件;
决策程序不科学导致重大决策失误;
重大缺陷
重要业务制度性缺失或系统性失效;
重大或重要缺陷不能得到有效整改;
安全、环保事故对公司造成重大负面影响的情形;
其他对公司产生重大负面影响的情形。
重要缺陷 重要业务制度或系统存在的缺陷;内部控制内部监督发现的重要缺陷
未及时整改;其他对公司产生较大负面影响的情形。
一般缺陷 一般业务制度或系统存在缺陷;内部控制内部监督发现的一般缺陷未
及时整改。
2、定量标准
定量标准从三个维度进行,包括可能造成的直接财产损失金额、可能造成的人
员健康安全影响以及重大负面影响。
可能造成的人员健康
缺陷类型 直接财产损失金额 重大负面影响
安全影响
10 人以上死亡,或 可能对公司的定期报告或形
重大缺陷 5000 万元以上
50 人以上重伤 象造成负面影响
3 人以上 10 人以下 受到国家政府部门处罚但未
1000 万元以上 5000 万
重要缺陷 死亡,或者 10 人以 对公司定期报告造成负面影
元以下
上 50 人以下重伤 响
受到省级(含)以下政府部
3 人以下死亡,或者
一般缺陷 1000 万元以下 门处罚但未对公司定期报告
10 人以下重伤
造成负面影响
四、公司层面、信息系统总体控制缺陷认定的特殊考虑
公司层面缺陷认定的特殊考虑:公司层面控制包括控制环境、风险评估、信息
26
�华鲁恒升内部控制评价管理办法
与沟通、监督几方面。公司层面控制缺陷通常不会直接导致错报,但会增加流程层
面错报的可能性,需考虑的因素包括:
控制缺陷在被测试主体中的普遍性
控制缺陷对公司层面控制各组成要素的相对重要性
以往错报是否与广泛性控制缺陷有关
舞弊的可能性(包括管理层越权的风险)
控制运行有效性方面已发现的例外情况的原因和频率
缺陷可能导致的未来后果
信息系统总体控制缺陷认定的特殊考虑:信息系统总体控制缺陷并不直接导致
错报,且错报大多来源于无效的应用系统控制,因此,对信息系统总体控制缺陷的
评估应参照其对应用控制的影响。如果应用系统层面没有缺陷,则信息系统总体控
制缺陷可以认为仅是一般缺陷。如果应用系统层面的控制缺陷与信息系统总体控制
中的缺陷有关或由它所引起,则信息系统总体控制缺陷应与应用系统控制中的缺陷
结合起来评估,并且通常与应用系统控制缺陷的分类一致。
27
�
