2012年《公司战略与风险管理》辅导:第八章第四节
浏览
收藏
第四节 企业内部控制评价的程序
一、内部控制评价的程序【熟悉】
内部控制评价程序一般包括:制定评价控制方案、组成评价工作组、实施评价工作与测试、认定控制缺陷、汇总评价结果、编报评价报告等环节。
(一)制定评价控制方案
企业可以授权审计部门或专门机构负责内部控制评价组织的实施工作。
该评价部门或机构应具备以下条件:(1)能够独立行使对内部控制系统建立与运行过程及结果进行监督的权力;(2)具备与监督和评价内部控制系统相适应的专业胜任能力和职业道德素养;(3)与企业其他职能机构就监督与评价内部控制系统方面应当保持协凋一致,在工作中相互配合、相互制约;(4)能够得到企业董事会和经理层的支持,通常直接接受董事会及其审计委员会的领导和监事会的监督,有足够的权威性来保证内部控制评价工作的顺利开展。
表8-2内部控制工作评价项目计划
|
工作步骤 |
第一月 |
第二月 |
第三月 |
第四月 | |||||||||||||
|
l |
2 |
3 |
4 |
l |
2 |
3 |
4 |
l |
2 |
3 |
4 |
l |
2 |
3 |
4 | ||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| |
|
A.计划 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| |
|
1 |
确定评价范围 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
召开会议,确认范围,确认 管理层对项目的义务、角色 、责任、时间和工作完成关 键里程碑的日期 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
2 |
分配预算的小时数,最终确 定的人力、物力资源投入 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
B.评价和定义 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| |
|
1 |
获得目前对流程层面控制活动的了解 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
确定目前具有流程层面控制 活动方面工作知识的被访问 者 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
(二)组成评价工作组
评价工作组成员应具备独立性、业务胜任能力和职业道德素养及吸收企业内部相关机构熟悉情况、参与日常监控的负责人或业务骨干参加。
表8-3列示具体内控评价工作中的责任分工的模版。
对于拥有内部审计部门的企业来说,内审部很大可能也同样地担当内部控制评价组的工作。
如果企业决定利用外聘会计师事务所为其提供内部控制评价服务,根据《内控规范》的要求,这所事务所不应同时为企业提供内部控制的审计服务。
表8―3内控评价工作中的职责分工表
|
评价单位 |
评价时间预算 |
评价内容(涉及流程) |
评价项目负责人 |
评价具体工作执行人 |
评价具体工作审核人 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
(三)实施评价工作与测试
图8-2内部控制的评价方法
1.了解公司层面基本情况。(主要了解的是内控五要素,例如内部环境的情况)
2.了解各业务层面的主要流程及风险。(工作重点放在主要业务流程中,如资金管理流程、销售流程、采购流程等)
相关文档:
|
(1)风险控制矩阵文档 |
关注点:复核风险流程的合理性。 例如,文档是否包含了流程面临的所有风险、列示的风险是否得到定期或及时的更新、对于各项风险的重要性水平分析是否合理,以及复核控制点的识别,关键控制点、重要控制点、一般控制点的判断是否合适。 |
|
(2)流程图文档 |
关注点:流程图是否与实际操作及风险控制矩阵描述相符合、流程图是否清楚标示所有风险点及控制点、流程图中责任部门、岗位以及其他管理机构是否表述清晰、表述的流程路径是否清晰,是否存在交叉,以及内容是否涵盖所有流程实际操作以及相应的控制活动。 |
|
(3)审批权限表档案 |
关注点:部门及岗位的描述是否准确、权限的划分和设置是否合理 |
3.确定检查评价范围和重点。
4.开展现场检查测试。
评价工作组可综合运用不同评价方法,收集被评价单位内部控制设计与运行是否有效的证据,按照要求填写工作底稿、记录有关测试结果。
如果发现内部控制出现缺陷,则需与管理层沟通,对有关缺陷进行认定并进行记录。
|
评价方法 |
做法 |
适用情况 |
|
(1)个别访谈 |
个别访谈企业或被评价单位的不同人员,了解公司内部控制的现状与运行 |
用于企业层面与业务层面评价的阶段 |
|
(2)调查问卷 |
通过扩大对象范围,如企业中的全体员工收集简单结果 |
多用于企业层面的评价(内部环境) |
|
(3)专题讨论 |
集合企业中有关专业人员就内部控制执行情况或控制问题进行分析和讨论 |
常用于控制活动评价 |
|
(4)穿行测试 |
在流程中任意选取一项交易为样本,获取原始单据、跟踪交易从最初起源,到会计处理,信息系统和财务报告编制,直到这项交易在财务报表中报告出来的全过程 |
可获取确定对一个流程的了解,查找潜在的内控设计问题及识别出相关控制 |
|
(5)实地查验 |
例如,评价工作人员进行实地盘点以测试企业记录存货的数量,或有关控制的有效性。 |
用于业务层面评价(针对资产安全目标) |
|
(6)抽样 |
抽样方法可以分为随机抽样和其他抽样。 随机抽样一般被认为是最具有代表性或是基于统计学的取样方式,从样本库中抽取一定数量的样本,进行控制测试,以获取有关控制的运行状况。随机选取通常是采用电脑来完成。 |
业务层面 |
|
(7)比较分析 |
通过数据分析,识别评价关注点的方法 |
|
|
(8)审阅与检查 |
通过核对有关证据而获取有关控制的运行状况,如选择某些调节表上的差异,追溯到相应的单据记录(如银行对账单)或检查调节表是否有相关负责人签字。 |
业务层面评价 |
(四)汇总评价结果
评价工作组人员应当在其工作底稿中,记录评价所实施的程序及有关结果。
企业内部控制评价工作组应当建立评价质量交叉复核制度,有关评价报告应由评价工作组负责人严格审核确认,与被评价单位进行通报,在提交内部控制评价部门或机构前得到被评价单位相关责任人签字确认。
企业内部控制评价部门或机构应编制内部控制缺陷认定汇总表,结合日常监督和专项监督发现的内部控制缺陷及其持续改进情况,对内部控制缺陷及其成因、表现形式和影响程度进行综合分析和全面复核,提出认定意见,并以适当的形式向董事会、监事会或者经理层报告。重大缺陷应当由董事会予以最终认定。
[多选题]下列说法中错误的是( )
A.固有风险是某项业务风险发生的可能性
B.内部控制的存在能够减少或者消除固有风险
C.穿行测试主要是通过抽样检验公司业务是否符合内控要求的方法
D.对于关键业务或固有风险的充分检验和分析,可以为防止重大错误的出现提供充分证据
【答案】ACD
【解析】固有风险必须是假定不存在内控的情况下;穿行测试必须强调追踪交易的信息处理过程;风险监控只能部分合理保证而不能充分保证,ACD是错误。
2012年注册会计师考试招生简章 2011年注册会计师考后交流及真题分享
二、内部控制缺陷的认定【熟悉】
(一)内部控制缺陷的分类
|
分类标准 |
名称 |
解释 |
例子 |
缺陷的认定 |
|
按照内部控制缺陷本质上的不同 |
设计缺陷 |
指企业缺少为实现控制目标的必需控制,或现存的控制并不合理及未能满足控制目标。 |
例如“未建立定期的现金盘点程序”即属于控制设计问题。 |
以日常监督和专项监督为基础,结合年度内部控制评价,由内部控制评价部门或机构进行综合分析后提出认定意见,按照规定的权限和程序进行审核后予以最终认定。 |
|
运行缺陷 |
可按设计的方式运行,如频率不当等。 |
例如:“物资采购申请金额已超其采购权限,却未向上级公司申请安排大宗物品采购”(这存在权限管理规定,却未在实际操作中妥善执行)。 | ||
|
按照内部控制严重程度分类 |
重大缺陷(也称实质性漏洞) |
指一个或多个控制缺陷的组合,可能严重影响内部整体控制的有效性,进而导致企业无法及时防范或发现严重偏离整体控制目标的情形 |
例如,有关漏洞为企业带来重大的损失或造成企业财务报表重大的错报、漏报。 |
合理确定相关目标发生偏差的可容忍水平,从而对严重偏离的情形予以确定。 |
|
重要缺陷 |
指一个或多个一般缺陷的组合,其严重程度低于重大缺陷,但导致企业无法及时防范或发现严重偏离整体控制目标的严重程度依然重大,需引起管理层关注。 |
例如,有关缺陷造成的负面影响在部分区域流传,为公司声誉带来损害。 | ||
|
一般缺陷 |
除重要缺陷、重大缺陷外的其他缺陷。 |
|
(二)内部控制认定程序与整改
整改方案应根据缺陷的不同类别制定不同的整改方式。
内控设计缺陷:企业需在已有的内控管理制度体系中补充相关规定或修改原有规定,按照企业既定的管理制度报批程序对做出的补充或修改进行审批。
内控执行缺陷:企业需加强内控的执行力度,要求控制执行人严格按照相关规定执行。
重大缺陷和重要缺陷:整改方案应向董事会(审计委员会)、监事会或经理层报告并审定。如果出现不合适向经理层报告的情形,例如存在与管理层舞弊相关的内部控制缺陷,内部控制评价组应当直接向董事会(审计委员会)、监事会报告。重要缺陷并不影响企业内部控制的整体有效性,但是应当引起董事会和管理层的重视。
一般缺陷:可以与企业管理层报告,并视情况考虑是否需要向董事会(审计委员会)、监事会报告。
典型例题:
[单选题]未建立定期的现金盘点程序具体属于的内控缺陷类别是( )
A.设计缺陷 B.运行缺陷
C.重大缺陷 D.一般缺陷
【答案】A
【解析】该程序属于企业内部控制的必要内容,公司却没有设定该制度。因此,是设计的缺陷。
三、内部控制评价报告【熟悉】
按照《评价指引》规定,企业应根据年度内部控制评价结果,结合内部控制评价工作底稿和内部控制缺陷汇总表等资料,及时编制内部控制评价报告。
内部控制评价报告应当报经董事会或类似权力机构批准后对外披露或报送相关部门。
企业应当以12月31日作为年度内部控制评价报告的基准日,并于基准日后4个月内报出内部控制评价报告。
对于基准日至内部控制评价报告发出日之间发生的影响内部控制有效性的因素,企业应当根据其性质和影响程度对评价结论进行相应调整。
《评价指引》要求企业在评价报告中至少披露以下内容:
1.董事会对内部控制报告真实性的声明,实质就是董事会全体成员对内部控制有效性负责。
2.内部控制评价工作的总体情况,即概要说明。
3.内部控制评价的依据,一般指《内控规范》、《评价指引》及企业在此基础上制定的评价办法。
4.内部控制评价的范围,描述内部控制评价所涵盖的被评价单位,以及纳入评价范围的业务事项。
5.内部控制评价的程序和方法。
6.内部控制缺陷及其认定情况,主要描述适用于企业的内部控制缺陷具体认定标准,并声明与以前年度保持一致,同时,根据内部控制缺陷认定标准,确定评价期末存在的重大缺陷、重要缺陷和一般缺陷。
7.内部控制缺陷的整改情况及重大缺陷拟采取的整改措施。
8.内部控制有效性的结论,对不存在重大缺陷的情形,出具评价期末内部控制有效结论,对存在重大缺陷的情形,不得做出内部控制有效的结论。并需描述该重大缺陷的成因、表现形式及其对实现相关控制目标的重要程度。
典型例题:
[单选题]内部控制评价报告要求中正确的是( )
A.12月31日是企业内部控制评价报告的报出日
B.内部控制评价报告必须与公司年报一同由相关会计师事务所出具
C.内部控制基准日后发生的事项不再调整
D.内部控制报告真实有效性由全体董事会成员负责
【答案】D
【解析】12月31日是基准日;评价报告是企业自己提供的,且董事会负责;内控评价报告报出日与基准日之间发生的事项需要调整。
2012年注册会计师考试招生简章 2011年注册会计师考后交流及真题分享
最新资讯
- 2026年注会税法各章知识点汇总,各章考情一目了然2026-02-09
- 2026年注册会计师审计口诀来了,告别死记硬背2026-02-03
- cpa三色笔记2026年PDF版,免费领取2026-01-26
- 2026注册会计师备考计划来了,现在就开始行动起来2026-01-20
- 注册会计师三色笔记:核心知识点与记忆口诀解析2026-01-12
- 2026年注册会计师必背知识点:六科核心考点+记忆口诀大全2026-01-09
- 2026CPA会计学习计划:月度进度表与通关路径2026-01-09
- 2026年注册会计师经济法口诀,50个考点快速记忆2025-12-26
- 2026年注会会计科目各章节重点标注,客观题至少要拿到35分2025-12-25
- 2026年注册会计师备考资料包:三色笔记+记忆口诀+历年真题等2025-12-23
打卡人数
