二重重装:内部控制评价工作机制(2012年12月)2012-12-05
二重集团(德阳)重型装备股份有限公司
内部控制评价工作机制
二重集团(德阳)重型装备股份有限公司
2012 年 12 月
� 内控工作机制
目 录
第一章 前言 ........................................................ 2
1.1 适用范围 .................................................. 2
1.2 内控评价定义 .............................................. 2
1.3 工作目标 .................................................. 2
1.4 工作原则 .................................................. 2
1.5 工作方法 .................................................. 2
第二章 内部控制评价组织职责 ........................................ 3
2.1 组织结构图 ................................................ 3
2.2 职责权限 .................................................. 4
第三章 内部控制评价工作流程 ........................................ 5
3.1 工作流程目标 .............................................. 5
3.2 内部控制评价流程图及流程说明 .............................. 5
第四章 内部控制评价工作程序 ........................................ 7
4.1 组织与准备 ................................................ 7
4.2 内控评价工作方案 .......................................... 8
4.3 实施内控评价 .............................................. 8
4.3.1 穿行测试 .............................................. 8
4.3.2 关键控制点测试 ....................................... 10
第五章 内部控制缺陷评估 ........................................... 12
5.1 术语和定义 ............................................... 12
5.2 基本要求 ................................................. 13
5.3 缺陷水平及具体认定标准 ................................... 13
5.4 缺陷认定程序 ............................................. 14
第六章 内部控制评价报告 ........................................... 15
6.1 内部控制评价报告的要素 ................................... 15
6.2 编制程序 ................................................. 15
6.3 内部控制评价报告模板 ..................................... 15
附件 .............................................................. 16
附件 1 穿行测试表 ............................................ 16
附件 2 测试汇总表 ............................................ 16
附件 3 关键控制点测试表 ...................................... 16
附件 4 重要业务和影响会计科目对应表 .......................... 17
附录 5 内部控制缺陷定性认定标准 .............................. 18
附近 6 内部控制缺陷汇总表 .................................... 19
附件 7 内部控制缺陷定量分析表 ................................ 19
附件 8 内部控制缺陷定性分析表 ................................ 20
附件 9 内部控制缺陷认定结果汇总表 ............................ 20
附录 10 内部控制评价报告模板 ................................. 21
1 1
� 内控工作机制
二重重装
内部控制评价工作机制
第一章 前言
内部控制评价工作机制(以下简称内控评价机制)是二重集团(德阳)重型
装备股份有限公司(控股公司)(以下简称二重重装)内部控制体系(以下简称
内控体系)的重要组成部分,明确了内控评价组织职责、工作目标、工作原则、
工作方法、工作流程、工作程序及内部控制缺陷认定,为评价内控体系的有效性
提供指导。
1.1 适用范围
内控评价工作机制适用于二重重装本部及其下属子公司、事业部开展内控评
价的全过程。
1.2 内控评价定义
内控评价是指企业董事会或类似权力机构对内部控制(以下简称内控)的有
效性进行全面评价,形成评价结论,出具评价报告的过程。
1.3 工作目标
为了贯彻落实二重重装的《内部控制手册》,保证内控体系的设计有效性和
运行有效性,防范和降低内控缺陷的影响程度,确保内控体系有效运行。
1.4 工作原则
1.风险导向原则
本内控自评机制的实施坚持“自上而下、以风险为导向”的工作原则,重点
关注与财务报告重大错报、漏报相关的重大风险和关键控制。
2.实用性原则
本内控自评机制参考了财政部等五部委《企业内部控制评价指引》等监管机
构的相关监管要求,并借鉴了国内先进企业的内控评价经验,强调工作程序的简
易实用性,便于操作。
3.成本效益原则
本工作机制充分考虑了成本效益原则,通过评价组织方式、方法及程序的科
学设计,寻求管理成本与效益的最佳平衡点。
1.5 工作方法
内部控制评价方法是为了实现评价目的,对内部控制体系进行分析和评价而
采取的技术和手段的总称。
内部控制评价的常用方法包括:
1.问卷调查法
2
� 内控工作机制
问卷调查法是指运用统一设计的问卷向被选取调查对象了解内部控制设计
和运行情况的评价方法。问卷调查法包括问卷的设计、下发、独立填写、回收整
理、分析等一系列过程,通过该种方法的运用,可以提高评价效率,为内部控制
有效性结论的形成提供辅助支持作用。
2.访谈
访谈是指评价人员通过询问与内部控制体系有关的人员以了解内部控制体
系建立、执行和监督的实际情况。访谈是收集信息的一个重要手段,应当在条件
许可的情况下以适合于被访谈人的方式进行。访谈对象的选择应来自被评价范围
内实施活动或任务的适当层次或岗位。
3.观察
观察是指评价人员在被评价对象的工作现场,或观看操作过程录像,观察有
关人员的实际工作情况,以确定相关控制措施是否得到有效执行。该方法适用于
不留书面痕迹的内部控制评价,以及测试控制措施的运行有效性程度。
4.检查
检查是指通过抽取一定有代表性的样本进行调查和测试,根据样本检查的结
果来推断总体状况的一种评价方法。
5.分析性复核
分析性复核是指通过对被评价部门或单位内部控制运行过程中的重要情况
和趋势的分析,研究评价对象内部控制体系的异常变动和差异。分析性复核主要
包括比较分析、因素分析和趋势分析。
(1)比较分析是指针对同一内部控制体系的内容和指标,以不同的时间和
空间进行对比,以分析内部控制体系发展的差异性及原因;
(2)因素分析是指分析影响内部控制体系变化的若干因素,分析研究其变
动原因,从中发现评价对象内部控制体系的异常变动和差异;
(3)趋势分析是指对连续若干期的内部控制体系建立和运行情况进行比较
与分析,了解其变动的幅度和趋势。
第二章 内部控制评价组织职责
2.1 组织结构图
3
� 内控工作机制
董事会
审计与风险管
理委员会
审计部
内控评价小组
下属子公司、事业 下属子公司、事业
部内控归口部门 部其他职能部门
2.2 职责权限
1.董事会
(1)董事会对公司内部控制评价承担最终责任。
(2)审定公司内部控制评价报告。
2.审计与风险管理委员会
(1)依据授权承担公司内部控制评价的组织、领导、监督职责;
(2)审议公司内部控制评价报告。
3.审计部
(1)负责组建内控评价小组,明确其机构设臵、职责分工、工作范围和工
作方法等;
(2)负责审核内部控制评价工作方案;
(3)组织开展二重重装总部的内控评价工作;
(4)负责指导、监督和考核内控评价小组的内控评价工作;
(5)负责审核内部控制评价报告并上报公司董事会;
(6)公司董事会或其他决策机构安排的其它内部控制评价的相关工作。
4.内控评价小组
(1)制定内部控制评价工作方案,明确评价原则、评价范围、工作任务、
人员组织等相关内容;
(2)负责实施内控体系设计有效性和运行有效性的评价工作,查找潜在内
控缺陷;
(3)负责编制内部控制评价报告,提交审计部审核;
4
� 内控工作机制
(4)审计部安排的其它内控评价的相关工作。
5.下属子公司和事业部内部控制归口部门
(1)协助内控评价小组工作,组织召开内控评价工作启动会;
(2)负责收集、整理、提交内部控制评价小组所需资料;
(3)协调内部控制评价结果的沟通工作;
(4)协助内控评价小组的其它内控评价的相关工作。
6.下属子公司和事业部其他职能部门
(1)制定本部门内控评价具体计划;
(2)实施内控评价工作,并编制部门《内部控制自我评价报告》,报送内部
控制归口部门备案;
(3)认真填写内部控制体系运行有效性评价问卷;
(4)配合内部控制评价小组对业务控制活动的检查和测试工作。
第三章 内部控制评价工作流程
3.1 工作流程目标
建立能够定期开展内部控制有效性评价的操作流程,履行董事会对内部控制
有效性评价的受托责任,对出具内部控制评价报告提供基础与依据。
3.2 内部控制评价流程图及流程说明
5
� 内控工作机制
二重重装内部控制评价工作流程
子公司、事业部 子公司、事业部 审计与风险
审计部 内控评价小组 公司经理层 董事会
内控归口部门 其他职能部门 管理委员会
1.制定股份公司
内控评价的年度
计划
2.构建内控评价
小组
3.根据年度计划
编制工作方案
4.审核 不通过
5.审核
6.下发内控自评
价工作的通知
7.参与启动会并
7.召开内控评
讲解内控评价方
价工作启动会
案
8.开展穿行测试 8.配合内控评
8.协调内控评
及关键控制点测 价工作,提供
价工作开展
试 相关资料
9.组织开展对
9.对内控评价结 9.配合对内控
内控结果进行
果沟通 结果进行沟通
沟通
10.是否存在
不通过 不通过
异议
11.填制完成内
通过
控评价工作底稿
对于沟通后仍存在异议
部分,内控评价小组可
12.按照缺陷认 纳入工作底稿
定标准进行缺陷
评估
13.编制内控评
不通过
价报告
14.审核 15.审核 16.审议 17.审批
19.根据内控评
18.下发并公示
价结果组织整 结束
内控自评价报告
改,上报审计部
6
� 内控评价工作机制
1.审计部制定二重重装内控体系评价的年度计划,报主管领导审批后实施,
并将该年度计划下发至子公司和事业部内控归口部门。
内控体系评价的年度工作计划应包括:工作目的和预期目标、时间安排、评
价对象和工作范围、评价的主要方法、评价结果的上报、监督和考核等。
2.根据年度工作计划,由审计部负责构建内控评价小组,明确组织设臵及评
价人员构成。
3.内部控制评价小组根据年度计划编制内控评价工作方案,确定测试目标、
组织方式、测试范围、测试内容、测试期间、测试基本方法及样本量确定、测试
计划安排和人员分工等。
4.公司分管领导负责审核内控评价工作方案。
5.审核通过,由审计部制定内控评价工作的通知并下发至子公司、事业部内
控归口部门。
6.子公司、事业部内控归口部门负责组织召开内控评价工作启动会,内控评
价小组讲解内控评价工作方案。
7.内控评价小组开展内控穿行测试和关键控制点测试工作,子公司、事业部
的内控归口部门及其他职能部门全力配合。
8.子公司、事业部内控归口部门负责组织内控评价结果沟通。
9.内控评价小组、子公司及事业部内控归口部门及其他职能部门对测试结果
进行沟通、确认,对于存在异议的问题,内控评价小组可直接上报审计部并纳入
内控评价报告范围内。
10.内部检查小组编制完成内控评价工作底稿,包括《穿行测试表》、《关键
控制点测试表》、《测试汇总表》。
11.内部检查小组按照缺陷认定标准进行缺陷评估。
12.内部检查小组编制完成《内部控制评价报告》。
13.审计部负责审核《内部控制评价报告》。
14.将《内部控制评价报告》上报公司审计与风险管理委员会审议。
15.审计与风险管理委员会审议通过后,上报公司董事会审核批准。
16.审计部下发并对外披露《内部控制评价报告》。
17.子公司、事业部内控归口管理部门根据内控评价报告进行整改,并将整
改情况反馈至审计部。
第四章 内部控制评价工作程序
二重重装内部控制评价工作是以风险为导向,它不同于以往的检查历史记录
与内部运营情况提出建议和意见的传统评价模式,而是把内部检查的重点放在关
注公司具体业务流程运营中面临的风险上,以风险评估的结果作为起点,重点关
注公司为避免、降低、控制和有限承担风险所采取的各项控制措施上,结合公司
内控的工作目标,评价现有控制措施能否将风险降至可承受的范围内的全过程。
二重重装内控评价工作的基本程序,主要包括五个阶段:组织与准备、编制
内控评价工作方案、实施内控测试、缺陷评估与内控评价报告。
4.1 组织与准备
在开始内控体系评价之前,需要做好组织与准备工作:建立内控评价小组机
构、确定评价人员、编制内控评价工作方案。
1.内控评价小组机构
7
� 内控评价工作机制
作为内控评价工作的实施机构,应明确机构的主责部门、参与部门和评价人
员,并按照各自职责开展相关工作。
2.评价人员
评价人员主要包括测试人员及缺陷评估人员,基本要求是:
(1)具备一定的专业知识,熟悉公司的内部控制手册及公司相关制度的规
定。
(2)具备一定的工作经验和职业判定能力。
(3)具有相对独立性。
4.2 内控评价工作方案
内控评价工作方案由内控评价小组编制,分管领导负责审核。
编制内控评价工作方案的目的是为了更好的组织开展此项工作,明确测试的
目的和范围,合理安排内控评价人员的组成和分工,规范测试方法和程序。方案
要素包括:
1.测试基本要求:测试目标、组织方式、测试范围、测试内容、测试期间、
测试基本方法及样本量确定、测试计划安排和人员分工等。
2.测试组织实施:测试准备、测试实施
3.对测试结果汇总分析。
4.汇报沟通机制及质量控制。
4.3 实施内控评价
4.3.1 穿行测试
穿行测试适用于内控体系设计有效性的评价工作。
1.测试目的和依据
测试目的:
(1)熟悉和理解业务流程。
(2)验证重要风险和关键控制的完整性、充分性、适当性及可操作性。
(3)验证业务流程与实际情况的符合性。
(4)验证公司制度的合规性、有效性。
(5)确认关键控制是否在实际工作中执行。
测试依据:
(1)《内部控制手册》。
(2)内控评价工作方案。
2.测试方法:
测试方法主要包括访谈、观察、检查、穿行测试。
(1)访谈对象原则上是业务流程中的关键执行人员。无法直接访谈,也可
以访谈部门负责人或其他熟悉该流程的人员。
(2)观察针对有必要观察的、正在执行的控制或步骤进行现场见证,获得
相关证据。
(3)检查在穿行测试中包括两个方面:一方面对文件制度的检查,重点是
文件制度中是否做出相关规定;另一个方面是对表单的抽样检查,抽取的样本应
能够贯穿业务流程的全过程,具有代表性和普遍性。穿行测试一般只抽取一个样
8
� 内控评价工作机制
本。
3.测试程序
穿行测试工作过程分为准备阶段、实施阶段、总结阶段,测试程序中使用的
模板《穿行测试表》(见附件 1)
(1)准备阶段
准备阶段是指从发出测试通知后,测试组进驻被测试子公司(事业部)开始,
直至初步完成测试计划的工作,主要包括:
①获取被测试子公司(事业部)的业务流程目录、流程图、风险控制文档及
相关的制度文件等。
②审阅风险控制文档、流程图等相关资料,初步了解业务活动的重要风险及
关键控制措施。
③按照已了解的情况,初步填写《穿行测试表》,并填写测试模板的相关内
容。
④制定穿行测试计划,协调双方的时间安排。
(2)实施阶段
实施阶段是按照计划完成所有测试步骤的工作过程。被测试子公司(事业部)
根据测试要求配合测试人员工作。主要工作如下:
①检查风险控制文档描述的重要风险和关键控制是否与公司的制度相一致;
如果不一致,分析其原因。
②访谈穿行测试流程的相关工作人员,了解流程的运行情况与变化情况。重
点关注:重要风险和关键控制是否被使用,并由哪些人员实施;流程图描述是否
与实际执行情况相一致;流程中的控制环节是否完整、合理;设计层面初步分析
后,判断是否达到了控制风险的目标。
③对有必要观察的正在发生的控制进行观察,获得相关证据。
④抽样检查。选取具有代表性的样本进行检查,重点关注:被测试子公司及
事业部使用的表单是否能够防范相关的重要风险,是否被有效执行;通过抽样进
一步验证访谈结果是否准确。
对于设计方面文本规范性的问题,主要是指控制描述不规范、但不影响设计
与执行的有效性的问题,如:风险控制文档与流程图不一致、但控制执行有效;
表单设臵是否规范化、统一化,描述是否有误;流程图描述格式欠缺;风险点及
控制点标注不准确及其他文本规范性问题。测试人员在测试过程中也应关注此类
问题,在测试结束后与被测试子公司(事业部)进行沟通,提出整改建议。
⑤对于测试过程中发现的执行层面的问题,应分析产生的原因,是否是因为
设计方面存在问题而导致的。
⑥穿行测试完毕后,根据测试结果填写《穿行测试表》,对发现问题的相关
表单进行留存。
(3)总结阶段
总结阶段是指穿行测试人员在完成全部测试工作后,对查证内容进行分析整
理的过程,主要包括:
①整理《穿行测试表》,将相应内容汇总至《测试汇总表》(见附件 2),并
由内控评价小组负责人审核。
9
� 内控评价工作机制
②对测试结果进行沟通确认,对于存在异议的问题内控评价小组可直接上报
审计部并纳入内控评价报告范围内。
4.问题的分类及确认
穿行测试的问题从设计层面和执行层面共分为六类。
(1)设计层面
①应有的控制不存在或者设计不合理。
②实际执行的控制没有被记录。
③设计的控制记录不准确。该类问题是指内控相关文档描述不准确或不完
整,已经影响或者很有可能影响控制的有效实施。如流程图、风险控制文档描述
与实际执行情况不相符,但是实际执行比描述更恰当。
④已有的控制缺乏必要的制度或者制度不完善。该类问题是指设计的控制措
施没有在相关制度文件中规定或规定不准确、不完整
(2)执行问题
①设计的控制在实际中一直未执行。该类问题是指已设计的控制在实际中没
有任何人员去执行。
②控制执行不到位。这类问题是指控制在执行过程中未完全执行的其他问
题。
4.3.2 关键控制点测试
关键控制点测试适用于内控体系运行有效性的评价工作。
1.测试目的及依据
(1)测试目的
查找关键控制执行方面存在的问题,确保设计有效的关键控制在公司得到有
效贯彻落实。
(2)测试依据
①风险控制文档。
②内控评价工作方案。
2.测试方法
关键控制点测试主要采用访谈、观察、检查、分析性复核。
(1)访谈对象原则上是执行该控制的相关工作人员。通过访谈了解该人员
是否对该控制措施理解,是否清楚如何实施控制。
(2)观察有必要观察的正在实施的关键控制进行现场取证。
(3)检查是以样本代表总体,通过抽样的方式检查样本,判断关键控制总
体执行情况的一种方法。评价人员按照样本总体、抽样原则确定样本量。
(4)分析性复核是指评价人员通过重新执行对运行有效性有重要影响的关
键控制点,检查该控制实际执行结果是否有效。
在关键控制点测试中,评价人员按照样本总体应随机抽取一定数量的样本,
且在选定样本后,不得随意更换样本。评价人员根据各控制点的具体情况,合理
确定样本数量,样本抽取数量取决于评价点发生频率。评价点发生频率与选取样
10
� 内控评价工作机制
本数量对应表如下:
评价点发生频率 对应样本数量
每年一次 1
每半年一次 2
每季度一次 2
每月一次 2-5
每周一次 5-15
每日一次 20-40
每日多次 25-60
不规则事项 根据具体情况确认
针对发生频率不规则的评价点,需要确定对应样本在评价年度内的大约发生
次数,折合成评价点的发生频率后,再按上述规定确定样本量。折合方法如下:
发生次数大于 200 次的,折合频率为每日数次,样本量为 25-60 个;
发生次数在 50 次和 200 次之间的,折合频率为每日一次,样本量为 20-40
个;
发生次数在 15 次和 50 次之间的,折合频率为每周一次,样本量为 5-15 个;
发生次数在 15 次以下的,折合频率为每月一次,样本量为 2-5 个。
3.测试程序
关键控制点测试程序可以划分为准备阶段、实施阶段、总结阶段。测试程序
中相关的模板《关键控制点测试表》(见附件 3)
(1)准备阶段
准备阶段是指从发出测试通知、测试组进驻被测试子公司(事业部)开始,
直至完成测试计划的工作过程,主要包括:
①获取流程图、风险控制文档、制度汇编等相关资料。
②根据评价人员的业务能力确定具体的测试分工。
③根据风险控制文档填写《关键控制点测试表》中的“控制目标”、“控制措
施”、“关键控制点编号”以及“测试问题情况说明及原因分析”等内容。
④制定关键控制点测试的工作计划,协调双方的时间安排。
(2)实施阶段
实施阶段是指从完成初步计划并开始实施,直至完成全部测试步骤的工作过
程,主要包括:
①检查风险控制文档描述的重要风险和关键控制是否与公司的制度相一致;
如果不一致,分析其原因。
②访谈关键控制的执行人员,内容包括控制的程序和具体内容,执行该控制
的依据和方法等。通过访谈,了解该执行人员对该控制的理解程度。重点关注:
该关键控制是否满足监管要求;关键控制是否在制度中已经明确;所要抽取的样
本是否合理的设臵了该关键控制的控制措施;实际工作中该关键控制点的控制频
率是否与风险控制文档相一致。
11
� 内控评价工作机制
③对有必要观察的正在发生的控制进行观察,获得相关证据。
④抽样检查。根据确定的测试期间、样本选取方法、控制频率,评价人员抽
取所需样本并达到所需样本量。重点关注:控制结果是否正确;控制过程是否有
效;控制表单是否完整有效。
⑤关键控制点测试完毕后,对于测试过程中发现的问题,评价人员根据测试
结果填写《关键控制点测试表》,对发现问题的相关表单进行留存。
(3)总结阶段
总结阶段是指测试人员完成全部测试工作后,对查证内容进行整理分析的过
程,主要包括:
①根据《关键控制点测试表》,将相应内容整理至《测试汇总表》。
②对测试结果进行沟通确认。对测试发现的问题与相关人员进行充分沟通,
最终达成一致意见。如存在异议,内控评价小组可将意见直接上报审计部并纳入
内控评价报告范围内。
(4)测试问题分类与确认
①未按授权规定执行控制。该类问题是指一项关键控制由未经授权的岗位人
员执行或岗位人员的控制权限超过授权范围。
②控制执行不到位。该类问题是指一项关键控制中,描述了多个作业步骤,
但测试时发现实际只执行其中的一部分,没有完整执行该项关键控制的所有步
骤。
③控制执行程序错误。该类问题是指一项关键控制中,描述了多个操作步骤,
但测试时发现实际执行程序有误,没有按规定的程序执行该项关键控制。
④不了解如何实施控制导致控制结果不正确。该类问题是指测试发现关键控
制虽然存在表单,但是执行控制人员不了解如何实施控制,造成控制结果不正确。
⑤了解如何实施控制但控制结果不正确。该类问题是指测试发现关键控制虽
然存在表单,执行控制的人员也对如何实施控制比较了解,但控制结果不正确。
⑥表单填写不完整、不规范。该类问题是指测试没有发现可以支持控制有效
执行的重要表单。
⑦表单缺失。该类问题是指测试没有发现重要表单,但有其他证据可以表明
控制得到有效执行。
第五章 内部控制缺陷评估
5.1 术语和定义
1.缺陷认定
缺陷认定是以公认的方法和标准,对内部控制存在的设计和运行有效性方面
的问题进行分析,从而评估内部控制缺陷对导致企业偏离风险控制目标的影响程
度的过程。
2.控制缺陷
缺少实现风险控制目标所必须的控制,或者现有控制没有得到适当的设计,
即使按照设计运行,也无法实现控制目标;或者设计适当的控制未按照设计运行,
或者执行人员没有适当的授权或能力有效运行控制,可能导致企业偏离控制目
标。
12
� 内控评价工作机制
3.重大缺陷
指一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标。当存在任
何一个或多个内部控制重大缺陷时,应当在内部控制评价报告中做出内控无效的
结论。
4.重要缺陷
指一个或多个控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍
有可能导致企业偏离控制目标。重要缺陷的严重程度低于重大缺陷,不会严重危
及内控的整体有效性,但也应当引起足够的重视。
5.一般缺陷
指除重大缺陷、重要缺陷之外的其他缺陷。
6.缺陷影响水平
(1)受缺陷影响的年度或中期财务报表余额或发生额。
(2)受缺陷影响的会计科目或交易类型在本年度或中期财务报表期间已发
生的或预计将会发生的交易数量或业务数量
5.2 基本要求
1.一般原则
缺陷评估是以单个控制缺陷分析为基础,然后通过将相关的一般缺陷、重要
缺陷进行汇总分析,再确定汇总缺陷的类别。缺陷评估高度依赖于评估人员的职
业判断。
2.缺陷评估的目标及依据
(1)缺陷评估的目标
缺陷评估的目标是评价基于一定控制目标的内部控制体系,在设计层面和执
行层面是否存在控制缺陷及缺陷的影响程度,为编制、发布内部控制评价报告提
供依据
(2)缺陷评估的依据
对于与财务报告有关的内部控制缺陷的认定,其相关评价点影响的会计科目
以《重要业务和影响会计科目对应表》为标准(见附件 4)。
3.缺陷评估程序和方法
(1)缺陷评估程序
缺陷评估时,首先在内控评价工作的基础上,对穿行测试和关键控制点测试
发现的问题分别进行单个缺陷评估,然后依据会计科目将单个缺陷进行汇总,进
行缺陷汇总评估。
(2)缺陷评估方法
缺陷评估采用定量结合定性的分析方法。
5.3 缺陷水平及具体认定标准
13
� 内控评价工作机制
控制缺陷水平通常分为重大缺陷、重要缺陷和一般缺陷 3 种。
1.财务报告控制缺陷具体认定标准
(1)单项缺陷
①影响水平达到或超过评价年度二重重装合并报表税前利润的 6%,认定为
重大缺陷。
②影响水平低于评价年度二重重装合并报表税前利润的 6%,但是达到或超
过 3%,认定为重要缺陷。
③不属于重大缺陷和重要缺陷的,认定为一般缺陷。
(2)影响同一个重要会计科目或披露事项的多个缺陷的汇总
①汇总后的影响水平达到或超过评价年度二重重装合并报表税前利润的
6%,认定为重大缺陷。
②汇总后的影响水平低于评价年度二重重装合并报表税前利润的 6%,但是
达到或超过 3%,认定为重要缺陷。
③不属于重大缺陷和重要缺陷的,认定为一般缺陷。
2.非财务报告控制缺陷具体认定标准
对于非财务报告控制缺陷,其认定标准参考《内部控制缺陷定性认定标准》
(见附件 5)。
5.4 缺陷认定程序
缺陷认定工作包括补充测试、缺陷水平分析、缺陷汇总三个步骤。
1.补充测试
整改期结束后,针对评价过程中发生的控制缺陷开展补充测试,以落实相关
控制缺陷是否得到整改,对于尚未整改或在整改后的运行时间内无法满足测试所
需样本数量要求的,确定为需要进行缺陷认定分析的控制缺陷。
2.缺陷水平分析
(1)汇集公司全部控制缺陷,填写《内部控制缺陷汇总表》(见附件 6),
按照《重要业务和影响会计科目对应表》对应的会计科目,确定控制缺陷影响的
会计科目。
(2)根据二重重装评价年度的税前利润,计算出重要性水平和重大性水平。
(3)根据相关会计科目在评价年度一定期间的发生额或全年发生额,或者
根据相关会计科目的期末数,逐个确定各业务单位控制缺陷的影响水平。
(4)按照《内部控制缺陷汇总表》,采取定量分析和定性分析相结合的方法,
填写《内部控制缺陷定量分析表》(见附件 7)和《内部控制缺陷定性分析表》(见
附件 8)对于性质相同的,将各业务单位的影响水平相加。
(5)将汇总的影响水平与重要性水平和重大性水平进行对比,确定缺陷水
平,填写《内部控制缺陷认定结果汇总表》(见附件 9)。
(6)汇集无法确定影响会计科目的控制缺陷,根据《内部控制缺陷定性认
定标准》,按照重要业务类型对控制缺陷进行分类归集,逐个对缺陷可能造成的
影响或者已经产生的影响进行分析,确定缺陷水平。对于性质相同的多个缺陷,
还需进一步进行汇总分析,综合考虑该类控制缺陷可能造成的影响或已经产生的
14
� 内控评价工作机制
影响,确定汇总后的缺陷水平。
(7)审计与风险管理委员会对一般缺陷和重要缺陷进行审核并最终确认。
(8)董事会对重大缺陷进行审核并最终确认。
3.缺陷汇总
将全部缺陷按照财务报告和非财务报告,一般缺陷、重要缺陷和重大缺陷两
个维度进行分类整理,并分别向总经理办公会、审计与风险管理委员会和董事会
报告。
第六章 内部控制评价报告
6.1 内部控制评价报告的要素
测试组测试报告的要素包括:测试总体情况、内控体系运行情况、测试发现
的问题及改进意见或建议。
1.测试总体情况
测试时间、测试人员、测试范围和测试内容等。
2.内控体系运行情况
描述内控机构设臵情况、公司流程及控制的重大变化情况、内控评价及整改
情况等。
3.测试发现问题
对测试问题情况说明并分析原因。
4.改进意见或建议
针对测试发现的问题提出建议或措施。
6.2 编制程序
1.内控评价小组
(1)根据测试情况,在核对和综合分析的基础上,汇总形成内部控制评价
报告初稿。
(2)根据初稿与被测试子公司(事业部)进行沟通后形成正式报告。
2.审计部
(1)审计部负责审核内部控制评价报告。
(2)将最终的正式内部控制评价报告上报公司董事会。
6.3 内部控制评价报告模板
内控评价小组参考《内部控制评价报告》(见附件 10)出具内控评价报告。
15
� 内控评价工作机制
附件
附件 1 穿行测试表
穿行测试表
测试问题的数量及分类
设计层面 执行层面 测试
控制 测试问
业
措施 设计的 题情况 问题
序 务 应有的 备注
或业 实际执 设计的 控制措 说明及
号 流 控制不 控制执 的数
务环 行的控 控制记 施在实 原因分
程 存在或 行不到
节 制没有 录不准 际中一 析 量
设计不 位
被记录 确 直未执
合理
行
01
02
03
…
附件 2 测试汇总表
测试汇总表
设计层面/ 测试问题
改进意见
序号 流程名称 关键控制 控制措施 情况及原 涉及金额 备注
或建议
点 因分析
01
02
03
04
05
06
07
附件 3 关键控制点测试表
08
09 关键控制点测试表
10
测试的内容
测试问题情况
涉及 关键控
序号 日期 编号 摘要 控制 控制 说明及原因分 备注
金额 制点编
目标 措施 析
号
01
02
…
合计
16
� 内控评价工作机制
附件 4 重要业务和影响会计科目对应表
财务重要业务和影响会计科目对应表
重要业务类型 涉及重要业务 影响会计科目 影响水平取数方法
战略管理
发展规划管理
发展战略
年度投资计划
年度经营计划
预算编制
预算管理 预算执行
预算考核
账户管理 银行存款 银行存款期末余额
银行存款管理 银行存款 银行存款期末余额
资金管理
库存现金管理 现金 现金期末余额
结算管理 银行存款 银行存款当年发生额
筹资管理 债务筹资管理 长期借款\短期借款 长期借款\短期借款当年发生额
建设项目投资 在建工程 在建工程当年发生数
投资管理 股权投资 长期股权投资 长期股权投资当年发生数
固定资产投资 固定资产 固定资产当年发生数
生产成本管理 营业成本 营业成本当年发生数
生产管理 生产能力核定
生产技术管理
安全事故管理 营业外支出 营业外支出当年发生数
健康安全环保 职业健康管理 营业成本 营业成本当年发生数
节能环保 营业成本 营业成本当年发生数
供应商管理 预付\应付账款 预付\应付账款期末余额
物资采购管理 存货 存货当年发生数
采购管理
外包采购管理 在建工程\管理费用 在建工程\管理费用当年发生数
其他采购管理 固定资产\无形资产\工程物资 固定资产\无形资产\工程物资当年发生数
出入库管理 存货 存货当年发生数
存货管理 存货盘点 存货 存货期末余额
仓储管理 存货 存货当年发生数
后续支出管理 固定资产 固定资产涉及后续支出的发生数
资产处臵管理 待处理财产损益 待处理财产损益当年发生数
固定资产管理 资产清查管理 固定资产 固定资产期末余额
资产评估管理 固定资产 固定资产期末余额
产权管理 固定资产 固定资产期末余额
客户信用管理 应收账款 应收账款期末余额
销售业务
价格管理 营业收入 营业收入当年发生数
科技创新管理
科技发展 科技研发管理 管理费用 管理费用当年发生数
科技成果管理 管理费用\无形资产 管理费用当年发生数\无形资产期末余额
在建工程\长期股权投资等建设相关科
基建管理 基建项目管理 上述科目中涉及工程建设的发生数
目
人力资源战略规划
人员招聘
员工绩效考核 应付职工薪酬 应付职工薪酬当年发生数
人力资源管理
薪酬与福利管理 应付职工薪酬 应付职工薪酬当年发生数
晋升管理
劳动合同管理
内部审计
审计监察
纪检监察
营业收入\营业成本\销售费用\在建工
合同管理 上述科目中涉及合同签订的发生数
程固定资产等合同相关科目
不良资产管理 待处理财产损益 待处理财产损益当年发生数
法律事务
法律纠纷管理 预计负债 预计负债期末余额
担保业务 预计负债 预计负债期末余额
知识产权管理 无形资产 无形资产期末余额
经济运营分析
信息统计
信息管理
信息披露
保密管理
信息化规划
信息化标准管理
信息系统
信息化项目管理
信息系统运维管理
17
� 内控评价工作机制
附件 5 内部控制缺陷定性认定标准
内部控制缺陷定性认定标准
重大缺陷判断标准
一个或多个控制缺陷的组合,由于其影响程度或汇总后影响程度的严重性,或者由于其造成的经济后果,可能导致企业某类业务
或多类业务严重偏离业务控制目标。
重要缺陷判断标准
一个或多个控制缺陷的组合,其影响程度或汇总后影响程度的严重性或其经济后果低于重大缺陷,但仍有可能导致企业某类业务
或多类业务偏离业务控制目标。
重要业务类型 控制目标
企业应当综合考虑宏观经济政策、国内外市场需求变化、技术发展趋势、行业及竞争对手状况、可利用资源水
发展战略 平和自身优势与劣势等影响因素制定明确的发展战略,并通过计划、预算等控制手段进行分解和实施,保障战
略目标的实现。
预算管理 通过有效运行预算编制、执行、考核等方面的控制程序,保障年度预算目标的实现。
通过有效运行资金收支、保管、使用等方面的控制程序,确保资金的安全性、完整性和合规性;同时应合理调
资金管理
度资金,提高资金使用效益。
合理确定资金需求量和筹资规模,科学设计筹资策略和筹资方案,避免资本结构不合理引发债务危机,或无法
筹资管理
满足资金使用需求导致资金链断裂。
企业应当根据发展规划,合理安排资金投放结构,加强对投资项目的可行性研究,按照规定的权限和程序进行
投资管理
决策审批,对投资项目实行跟踪管理,实现预期投资目标。
通过有效运行生产计划管理、生产过程管理、质量管理、生产成本管理、生产经营考核等方面的控制程序,合
生产管理
理降低生产成本,确保完成年度生产经营目标。
健康安全 通过有效运行重大危险源监控、现场作业安全监测预警、安全隐患排查、应急处理等方面的控制程序,防止安
环保 全事故的发生,或者减少安全事故造成的损失。
通过有效运行采购计划管理、供应商管理、验收、付款等方面的控制程序,满足企业生产经营需要,降低采购
采购管理
成本。
通过有效运行存货入库、保管、出库、盘点等方面的控制程序,满足生产供应需求;同时合理确定最佳库存
存货管理
量,降低存货成本。
固定资产 通过有效运行固定资产登记、运转、维护、改造、盘点等方面的控制程序,满足生产建设需求,避免资产闲臵
管理 、浪费。
通过有效运行销售策略管理、客户信用管理、销售合同管理、发货、收款等方面的控制程序,保障销售目标的
销售业务
实现。
企业应当根据发展战略,结合市场开发和技术创新要求,科学制定研发计划,充分论证项目可行性,强化资源
科技发展
配备和研发过程管理,促进研发成果的转化和有效利用,保障战略目标的实现。
通过有效运行工程立项、招标、造价、建设、验收等方面的控制程序,确保建设项目达到质量、进度、投资等
基建管理
目标要求。
人力资源 企业应当根据发展战略,结合人力资源现状和未来需求预测,建立人力资源发展目标,制定人力资源总体规划
管理 和能力框架体系,通过有效运行人力资源的引进、开发、使用、培养、考核、激励、退出等方面的控制程序,
建立、完善并严格执行业务外包管理制度,评估及复合承包方的选择方案,外包业务的成本效益及风险、外包
业务外包 合同期限、外包方式、员工培训计划等,确保方案的可行性;明确授权批准的方式、权限、程序、责任和相关
控制措施。
规范企业财务报告控制流程,明晰各岗位职责,健全财务报告各环节授权批准制度,建立日常信息核对制度,
财务报告
充分利用会计信息技术。
认真严格履行合同审查合同调查、合同谈判、合同文本拟定、合同审批、合同签署、合同后评估等重要环节。
合同管理 全面审查对象的主体资格、资质等资料;健全技术、法律、财务知识支撑;明确合同管理归口部门及辅助部门
职责权限。
企业应当根据发展战略,结合组织架构、业务范围、地域分布、技术能力等因素,制定信息系统建设整体规
信息系统
划,通过有效运行信息系统开发、运行、维护等方面的控制程序,满足企业的信息化管理需求。
18
� 内控评价工作机制
附件 6 内部控制缺陷汇总表
内部控制缺陷汇总表
单位名称:
A B C D E F
缺陷描
序号 风险事件编号 关键控制点编号 控制要素 评价点
述
01
02
03
04
05
06
填表说明:
07
⑴08 A 列:以风险事件为单位编写序号;
(2)09 B 列:风险事件的编号,各单位风险事件库中预先设定;
(3)10 C 列:关键控制点的编号,各单位内控管理手册中风险控制矩阵预先设
定;
(4) D 列:内部控制的五要素,分别是内部环境、风险评估、控制活动、信
息与沟通、内部监督,针对每个评价点进行控制要素的归属判断,各单位内控手
册中预先设定;
(5) E 列:针对具体控制措施设计的评价内容,各单位内控手册中预先设定;
(6) F 列:各单位在开展内控评价工作后,对发现的内控设计或执行方面的
缺陷所作的具体描述。
附件 7 内部控制缺陷定量分析表
内部控制缺陷定量分析表
A B C D E F G H I J K L M N P
关键控
风险事 控制 评价 涉及重 影响会 缺陷 单位 单项影 汇总影 评价年度 重要性 重大性 缺陷
序号 制点编
件编号 要素 点 要业务 计科目 描述 名称 响水平 响水平 税前利润 水平 水平 水平
号
01
02
03
04
05
填表说明:
06
07
⑴08 A、B、C、D、E 列:同内部控制缺陷汇总表;
09
(2) F 列:根据控制缺陷描述的具体内容,判断与其直接相关的重要业务,
10
按照《重要业务和影响会计科目对应表》进行判断;
(3) G 列:重要业务可能影响的会计科目,《重要业务和影响会计科目对应
表》中预先设定;
(4) H 列:与财务报告有关的控制缺陷,可以通过相关会计科目的发生金额
进行量化分析;
(5) I 列:发现控制缺陷的业务单位名称,内部控制缺陷汇总表中已有列示;
(6) J 列:相关会计科目的期间发生金额或期末数中与单个控制缺陷有关的
金额;
(7) K 列:相关会计科目的期间发生金额或期末数中与多个性质相同的控制
缺陷有关的汇总金额;
(8) L 列:二重重装评价年度的税前利润;
19
� 内控评价工作机制
(9) M 列:二重重装评价年度的税前利润 3-6%;
(10) N 列:二重重装评价年度的税前利润 6%;
(11) P 列:经过定量分析后得出的缺陷认定的结果,包括三种:一般缺陷、
重要缺陷和重大缺陷。
附件 8 内部控制缺陷定性分析表
内部控制缺陷定性分析表
A B C D E F G H I J
关键控 涉及重
风险事 控制 评价 缺陷 单位 单项缺 汇总缺
序号 制点编 要业务
件编号 要素 点 描述 名称 陷水平 陷水平
号 类型
01
02
03
04
05
填表说明:
06
(1)07 A、B、C、D、E 列:同内部控制缺陷汇总表;
(2)08F 列:根据控制缺陷描述的具体内容,判断与其直接相关的重要业务的
类型,按照《重要业务和影响会计科目对应表》进行判断;
10G 列:与财务报告无关或与财务报表整体相关的控制缺陷,无法通过相
关会计科目的发生金额进行量化分析;
(4) H 列:同内部控制缺陷定量分析表的 I 列;
(5) I 列:经过定性分析后得出的单项控制缺陷的认定结果,包括三种:一
般缺陷、重要缺陷和重大缺陷;
(6) J 列:在单项控制缺陷认定结果的基础上,对性质相同的多个缺陷进行
汇总分析,得出汇总后的缺陷认定结果,包括三种:一般缺陷、重要缺陷和重大
缺陷。
附件 9 内部控制缺陷认定结果汇总表
内部控制缺陷认定结果汇总表
A B C D E F G H
风险事 关键控 控制要 缺陷描 缺陷类 缺陷水
序号 评价点
件编号 制点编 素 述 型 平
01
02
03
04
05
填表说明:
06
(1)07 A、B、C、D、E 列:同内部控制缺陷汇总表;
(2)08F 列:控制缺陷经过分析认定后,在内部控制缺陷汇总表的基础上,对
于性质相同的缺陷进行重新排列整合;
(3)10 G 列:对缺陷的类型进行判断,包括两种:财务报告和非财务报告;
(4) H 列:对内部控制缺陷定量分析表和内部控制缺陷定性分析表的最终结
果进行整合后,形成汇总的缺陷认定结果。
20
� 内控评价工作机制
附件 10 内部控制评价报告模板
XX 公司 20xx 年度内部控制评价报告
xx 公司全体股东:
根据《企业内部控制基本规范》及其配套指引的规定和要求,结合本公
司(以下简称公司)内部控制制度和评价办法,在内部控制日常监督和专项监督
的基础上,我们对公司内部控制的有效性进行了自我评价。
一、董事会声明
公司董事会及全体董事保证本报告内容不存在任何虚假记载、误导性陈
述或重大遗漏,并对报告内容的真实性、准确性和完整性承担个别及连带责任。
建立健全并有效实施内部控制是公司董事会的责任;监事会对董事会建
立与实施内部控制进行监督;经理层负责组织领导公司内部控制的日常运行。
公司内部控制的目标是:[一般包括合理保证经营合法合规、资产安全、
财务报告及相关信息真实完整,提高经营效率和效果,促进实现发展战略]。由
于内部控制存在固有局限性,故仅能对实现上述目标提供合理保证。
二、内部控制评价工作的总体情况
公司董事会授权内部审计机构[或其他专门机构]负责内部控制评价的
具体组织实施工作,对纳入评价范围的高风险领域和单位进行评价[描述评价工
作的组织领导体制,一般包括评价工作组织结构图、主要负责人及汇报途径等]。
公司[是/否]聘请了专业机构[中介机构名称]提供内部控制咨询服务;
公司[是/否]聘请了专业机构[中介机构名称]协助开展内部控制评价工作;公司
[是/否]聘请会计师事务所[会计师事务所名称]对公司内部控制进行独立审计。
三、内部控制评价的范围
内部控制评价的范围涵盖了公司及其所属单位的主要业务和事项[列明
评价范围占公司总资产比例或占公司收入比例等],重点关注下列高风险领域:
[列示公司根据风险评估结果确定的内部控制前“十大”主要风险]
纳入评价范围的单位包括:
[无需罗列单位名称,而是描述纳入评价范围单位的行业性质、层级等]
纳入评价范围的业务和事项包括(根据实际情况调整,未尽事项可以充
实):
21
� 内控评价工作机制
(一)组织架构
(二)发展战略
(三)人力资源
(四)社会责任
(五)企业文化
(六)资金活动
(七)采购业务
(八)资产管理
(九)销售业务
(十)研究与开发
(十一)工程项目
(十二)担保业务
(十三)业务外包
(十四)财务报告
(十五)全面预算
(十六)合同管理
(十七)内部信息传递
(十八)信息系统
上述业务和事项的内部控制涵盖了公司经营管理的主要方面,不存在重
大遗漏。
(如存在重大遗漏)公司本年度未能对以下构成内部控制重要方面的单
位或业务(事项)进行内部控制评价:
[逐条说明未纳入评价范围的重要单位或业务(事项),包括单位或业
务(事项)描述、未纳入的原因、对内部控制评价报告真实完整性产生的重大影
响等]
四、内部控制评价的程序和方法
内部控制评价工作严格遵循基本规范、评价指引及公司内部控制评价办
法规定的程序执行[描述公司开展内部控制检查评价工作的基本流程]。
评价过程中,我们采用了(个别访谈、调查问题、专题讨论、穿行测试、
实地查验、抽样和比较分析)等适当方法,广泛收集公司内部控制设计和运行是
22
� 内控评价工作机制
否有效的证据,如实填写评价工作底稿,分析、识别内部控制缺陷[说明评价方
法的适当性及证据的充分性]。
五、内部控制缺陷及其认定
公司董事会根据基本规范、评价指引对重大缺陷、重要缺陷和一般缺陷
的认定要求,结合公司规模、行业特征、风险偏好和风险承受度等因素,研究确
定了适用本公司的内部控制缺陷具体认定标准,并与以前年度保持了一致[描述
公司内部控制缺陷的定性及定量标准],或作出了调整[描述具体调整标准及原
因]。
根据上述认定标准,结合日常监督和专项监督情况,我们发现报告期内
存在[数量]个缺陷,其中重大缺陷[数量]个,重要缺陷[数量]个。重大缺陷分别
为:[对重大缺陷进行描述,并说明其对实现相关控制目标的影响程度]。
六、内部控制缺陷的整改情况
针对报告期内发现的内部控制缺陷(含上一期间未完成整改的内部控制
缺陷),公司采取了相应的整改措施[描述整改措施的具体内容和实际效果]。对
于整改完成的重大缺陷,公司有足够的测试样本显示,与重大缺陷[描述该重大
缺陷]相关的内部控制设计且运行有效(运行有效的结论需提供 90 天内有效运行
的证据)。
经过整改,公司在报告期末仍存在[数量]个缺陷,其中重大缺陷[数量]
个,重要缺陷[数量]个。重大缺陷分别为:[对重大缺陷进行描述]。
针对报告期末未完成整改的重大缺陷,公司拟进一步采取相应措施加以
整改[描述整改措施的具体内容及预期达到的效果]。
七、内部控制有效性的结论
公司已经根据基本规范、评价指引及其他相关法律法规的要求,对公司
截至 20xx 年 12 月 31 日的内部控制设计与运行的有效性进行了自我评价。
(存在重大缺陷的情形)报告期内,公司在内部控制设计与运行方面存
在尚未完成整改的重大缺陷[描述该缺陷的性质及其对实现相关控制目标的影响
程度]。由于存在上述缺陷,可能会给公司未来生产经营带来相关风险[描述该风
险]。
23
� 内控评价工作机制
(不存在重大缺陷的情形)报告期内,公司对纳入评价范围的业务与事
项均已建立了内部控制,并得以有效执行,达到了公司内部控制的目标,不存在
重大缺陷。
自内部控制评价报告基准日至内部控制评价报告发出日之间[是/否]发
生对评价结论产生实质性影响的内部控制的重大变化。[如存在,描述该事项对
评价结论的影响及董事会拟采取的应对措施]。
我们注意到,内部控制应当与公司经营规模、业务范围、竞争状况和风
险水平等相适应,并随着情况的变化及时加以调整。[简要描述下一年度内部控
制工作计划]未来期间,公司将继续完善内部控制制度,规范内部控制制度执行,
强化内部控制监督检查,促进公司健康、可持续发展。
董事长:[签名]
XX 公司
20xx 年 xx 月 xx 日
24
�
