机构层面控制的测试与评价
内部控制有效性的评价[浅析内部控制有效性及其评价]
![内部控制有效性的评价[浅析内部控制有效性及其评价]](https://img.taocdn.com/s3/m/36851c0bdf80d4d8d15abe23482fb4daa58d1d8e.png)
内部控制有效性的评价[浅析内部控制有效性及其评价]关键词内部控制有效性详细评价法风险基础评价法一、内部控制内涵所谓内部控制,从静态角度讲,就是指企业为了确保会计信息可靠、企业资产安全和完整、经营效率提高,以及各种法规制度的有效执行而制定的各种控制措施、程序和方法。
从动态角度讲,就是指上述控制措施、控制程序和控制方法的执行,以及实现会计信息可靠、企业资产安全、经营效率提高、有关法规得以执行等管理目标的过程。
二、企业内部控制的有效性企业内部控制的有效性就是内部控制为相关目标的实现提供超过合理保证水平的一种综合评价过程。
如果保证水平处于有效内部控制区间内,则内部控制是有效的;反之,则内部控制是无效的保证。
有效的内部控制应当包括设计和运行有效两部分。
内部控制派生于企业的目标。
所以,从本源的角度来看,内部控制的有效性是指内部控制为相关目标的实现提供的保证程度或水平,有效性不同的内部控制可以提供不同程度的保证,其变动范围应当是从0到100%,如图1所示。
一般情况下,不同企业的内部控制系统运行在不同的有效性水平上,同样,某一特定内部控制系统在不同时点的运行可能也不同。
尽管内部控制是一个过程,其有效性却是该过程在某一时点的状态或情形(COSO,1992)。
这就产生了一个问题:是评价内部控制在某一时点的有效性,还是某一时期的有效性?对一项具体的控制活动,从本质上来说企业内部控制是一个整体系统,而整体系统的有效性就必须具有一定的稳定性,只评价某一个时点的有效性并没有太大的价值和意义。
另一方面,内部控制是为相关目标乃至企业目标的实现提供合理保证,而相关目标的实现都存在一个过程,都与一定的期间相对应。
企业内部控制设计的有效性应当包括内部控制目标、内部控制要素等。
2.企业风险管理框架认为,内部控制是企业风险管理的重要组成部分,应包括内部环境、目标制订、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控等八个要素。
企业的内部环境是其他所有风险管理要素的基础,为其他要素提供规则和结构。
内部控制具体测试内容和方法
3. 公层面测试内容
3.3 职业道德主要测试步骤
检查高管人员是否全部签署《高级管理人员职业道德规范确认 书》。同时通过与管理层人员访谈并对相关制度文件进行检查, 了解并查看公司是否将职业道德标准包含在与客户及供货商的 商业交往中。
其次访谈财务与资本运营部相关人员,了解对财务分析的理解程 度和各个层面的财务分析结果上报的程序及上报后的审核情况。 根据抽样原则抽查财务分析报告,选择重点相关经营指标,对分 析的过程进行再执行测试,检查指标的分析是否适当。
访谈相关的财务负责人,了解管理层和各级管理部门是否对 上报的财务分析进行审阅,对审核中发现的问题是否进行跟 进,并查阅跟进的相关证据。
3. 公司层面测试内容
4、测试人员取得并审阅事先由被测试单位填好“企事业单位控制 补充说明”的《公司层面控制测试内容与步骤》;
5、依据模版中的相关内容,制定测试计划填写《测试计划表》及 《测试表》中“具体测试步骤”;
6、选择测试方法主要依据《公司层面控制测试表》的测试内容; 在此基础上确定测试提纲,提纲包括测试内容、被测试人员、测试 时间等;
2. 设计有效性测试内容
2.3 信息系统总体控制设计有效性测试
信息系统总体控制设计有效性测试
根据已经确定的信息系统总体控制测试范围,针对不同的领域,首先 依据重要风险确认控制目标,其次将公司已有的关键控制与控制目标、 重要风险进行核对分析,确定应有的关键控制是否存在、重要风险是 否识别,初步评估有效实施控制能否防范风险,达到控制目标,并结 合信息系统总体控制关键控制抽样测试的结果进行评价。
内部控制评价工作实施方案5篇
(1)内部环境一一是行政事业单位实施内部控制的基础。
(2)风险评估一一是行政事业单位及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风 险应对策略。
(3)控制活动一一是行政事业单位根据风险评估结果,采用相应的控制措施、政策和方法,将风险控制在可承受 范围之内。
(六)按年度计划完成相关制度的编写和修改审核并申请公司发布施行。
二、目前工作进度 (一)202X年1月份完善了各部门报送月度物资需求计划流程。 (二)202X年3月份制定以下制度并进行了内部征求意见:《基建期物资供应商管理办法(试行)》、《基建 期物资保管保养管理程序(试行)》、《基建期危险化学品管理控制程序(试行)》 (三)202X年4月对《采购物资招标流程》进行修订。 (四)202X年4月到企业进行对标学习。 (五)202X年4月—部内部进行内部物资采购专业知识培训。 (六)按6S管理要求规范采购档案规范化管理。 三、取得的经验及存在的不足 取得经验: (一)采购风险的控制,比如预付款都能控制在以下,减少企业承担的风险。 (二)内控制度相对健全,所有物资采购都按照审批权限和程序。 (三)供应商选择,建立健全的供应商管理体系,目前采购物资暂不出现质量或售后服务问题。 (四)对市场调查研究较为深入,对拟采购物资的行业都进行市场调查,写出调查比选报告,为实施采购提供 决策依据。
五、我局实施行政事业单位内部控制情况
任何行政事业单位的控制活动都存在于一定的控制环境之中,控制环境的好坏直接影响到行政事业单位内部控 制的贯彻和执行以及管理服务目标及整体战略目标的实现。在C。S。报告《内部控制一一整体框架》的内部控制五 要素中,控制环境被放在了第一的位子上,它作为推动单位发展的动力,是所有其他内部控制组成部分的基础和核心 。它对行政事业单位内部控制的建立和实施有重大影响,其好坏直接决定了行政事业单位内部控制整体框架实施的 效果。
审计工作底稿之测试企业层面的内部控制-对控制有效性的内部监督和内部控制评价
签 名
编制 索引号
C005 复核 页 次 2
控制测试1:对控制有效性的内部监督和内部控制评价
控制编号
控制测试的类型询问()观察()检查()重新执行()拟实施的程序在此处列示拟实施的测试程序。
对于询问和观察,在本部分记录其结果:
…
对总体进行定义
(1) 控制的性质自动控制()依赖信息系统的人工控制()人工控制()
(2) 对总体进行定义
(3) 总体的来源
(4) 控制执行的频率(期间)
(5) 总体中项目的总数
2. 对偏差进行定义
3. 确定所测试项目的数量并选取
填入所测试项目的数量。
如果选择的并非最小样本规模,应于此处记录基本理由。
项目
样本规模:()个。
选取样本的方法:
4. 实施测试并评估结果详细的控制测试记录如下表。
5. 识别出的偏差未发现偏差。
6. 考虑扩大测试范围(如适用)了解和评估识别出的例外的性质和起因,并确定是否可扩大测试范围,以及增加的样本规模。
不适用。
测试的××个样本中未发现偏差。
7. 控制缺陷(如适用)偏差是否被视为控制缺陷
本测试中未发现偏差,控制运行有效。
{财务管理内部控制}内部控制检查评价与考核办法
{财务管理内部控制}内部控制检查评价与考核办法“审计部独立检查评价”是审计部每年至少对25家分(子)公司内部控制的实施情况进行独立检查评价。
检查评价结果报股份公司内控领导小组审定后,作为股份公司年度综合检查评价的组成部分。
“分(子)公司自查”是各分(子)公司按照内控手册有关规定,组织开展的业务流程测试和内部控制执行情况的检查评价工作,由三部分组成,即:业务流程季度穿行测试、审计抽查和年度自查。
其中,业务流程季度穿行测试是指责任部门和责任人每季度对相关业务流程和关键控制点的有效性至少穿行测试一次,测试记录(报告)报本单位内控办公室;审计抽查是指分(子)公司内部审计人员参与内控检查或独立抽查一定数量业务流程,独立抽查评价结果向本单位内控领导小组汇报并报审计部,相关资料交本单位内控办公室;年度自查是指分(子)公司内控领导小组(办公室)每年至少组织一次内部控制综合检查评价,每次检查区间须与上一检查区间衔接,对内审部门独立抽查的业务流程可不再重复检查评价。
年度自查应填写自查工作底稿,检查结果连同业务流程季度穿行测试情况、审计抽查情况等一并形成自查评价报告,经分(子)公司经理审定后,于次年2月1日前报股份公司内控办公室。
“总部部门自查”是总部有关部门至少每半年对责任业务流程和控制点的有效性穿行测试一次,结合日常专业管理,对分(子)公司的执行情况适当抽查。
穿行测试及抽查结果形成书面报告,经部门主任审定后,向股份公司内控领导小组汇报,并于每年8月1日和次年2月1日前报股份公司内控办公室。
第四条内部控制检查评价人员股份公司内控办公室在各有关专业领域内公开选拔若干名业务骨干,组建内部控制专业人员队伍,并定期进行培训,经考试合格者颁发“内控专业人员”资格证书。
年度综合检查评价时,以“内控专业人员”为主组成检查评价小组,对各单位进行现场检查和评价,各类检查评价结果必须由“内控专业人员”签字确认。
第五条本办法适用于股份公司总部各部门、事业部,各分(子)公司、研究院(以下简称各单位)。
医院内部控制考核评价方案
内部控制考核评价方案第一章总则第一条:为规范医院内部控制评价工作,完善医院治理体系,防范和管控经济风险,促进医院各项内部控制不断完善和发展,结合医院实际,制定本办法。
第二条:本办法所称内部控制评价是指在风险评估的基础上,对医院内部控制设计的完善性、运行的有效性所做出的评价活动。
内部控制评价的标准为法律法规、内部控制相关政策制度及医院内部控制规定等。
第三条:内部控制评价包括对单位层面和业务层面内部控制的评价。
医院层面主要指医院的整体控制环境,业务层面涵盖了医院各部门的内部控制活动。
开展内部控制评价,既可以对医院整体内部控制进行评价,也可以对医院内部控制的某个要素、某类业务或者某些业务环节的内部控制进行评价。
第二章评价工作机制及原则第四条:医院由财务科牵头,医务科、护理部、办公室等部门参与,组成内部控制建设监督检查工作小组,在“内部控制规范建设领导小组”的统一领导下开展内部控制评价工作。
第五条:内部控制建设监督检查工作小组主要负责对医院内部控制建立与实施情况开展内部监督检查,并定期组织编制医院风险评估报告,对医院内部控制的完善性、有效性做出评价。
第六条:医院各部门应结合日常经济活动开展情况,实施本部门的内控体系建设、内控自查和自我评价工作。
第七条:医院内部控制评价工作由办公室负责组织实施,也可委托具备资质的社会中介机构实施。
委托中介机构实施时,为医院提供内部控制建设服务的中介机构,不得同时为医院提供内部控制评价服务。
第八条:内部控制评价工作应遵循下列原则:(一)全面性原则。
内部控制评价应将医院所有经济活动涉及的内部控制作为评价范围。
(二)重要性原则。
在风险评估的基础上,内部控制评价应将重要业务活动和高风险领域作为评价的重点。
(三)客观性原则。
评价工作应真实、准确反映医院内部控制设计与运行的现状。
(四)及时性原则。
与医院管理活动相关的外部环境或医院管理要求发生变化时,应及时调整评价的重点、频次和实施方式等。
企业内部控制评价指引指引
企业内部控制评价指引指引附件1企业内部控制评价指引,征求意见稿,第一章总则第一条为规范企业内部控制评价工作~及时发现企业内部控制缺陷~提出和实施改进方案~确保内部控制有效运行~根据国家有关法律法规和《企业内部控制基本规范》~制定本指引。
第二条本指引适用于中华人民共和国境内设立的大中型企业。
第三条本指引所称内部控制评价~是指由企业董事会和管理层实施的~对企业内部控制有效性进行评价~形成评价结论~出具评价报告的过程。
内部控制有效性是指企业建立与实施内部控制能够为控制目标的实现提供合理的保证。
第四条企业应当根据国家有关法律法规和《企业内部控制基本规范》的要求~结合企业实际情况~对战略目标、经营管理的效率和效果目标、财务报告及相关信息真实完整目标、资产安全目标、合法合规目标等单个或整体控制目标的实现进行评价。
第五条企业实施内部控制评价~应当遵循下列原则:,一,风险导向原则。
内部控制评价应当以风险评估为基础~根据风险发生的可能性和对企业单个或整体控制目标造成的影响程度来确定需要评价的重点业务单元、重要业务领域或流程环节。
,二,一致性原则。
内部控制评价应当采用统一可比的评价方法和标准~保证评价结果的可比性。
,三,公允性原则。
内部控制评价应当以事实为依据~评价结果应当有适当的证据支持。
,四,独立性原则。
内部控制评价机构的确定及评价工作的组织实施应当保持相应的独立性。
,五,成本效益原则。
内部控制评价应当以适当的成本实现科学有效的评价。
第六条企业董事会及其审计委员会负责领导本企业的内- 2 -部控制评价工作。
监事会对董事会实施内部控制评价进行监督。
第七条企业可以授权内部审计部门负责组织和实施内部控制评价工作。
具备条件的企业~可以设立专门的内部控制评价机构,以下合称内部控制评价机构,。
第八条企业内部控制评价~一般包括年度评价和专项评价。
年度评价是指企业根据内部控制目标~对企业某一年度建立与实施内部控制的有效性进行的评价,专项评价是指企业在特定时点对特定范围的内部控制的有效性进行的评价。
新审计准则下如何进行内部控制的了解、测试及评价
了解内部控制
四、对内部控制了解的深度
注册会计师在了解内部控制时,应当 评价控制的设计,并确定其是否得到 执行。
1、评价控制的设计是指考虑一项控制 单独或连同其他控制是否能够有效防 止或发现并纠正重大错报。
了解内部控制
2、控制得到执行是指某项控制存在且 被审计单位正在使用。
设计不当的控制可能表明内部控制存 在重大缺陷,注册会计师在确定是否 考虑控制得到执行时,应当首先考虑 控制的设计。
3、重要的交易类别应与相关账户及其认定 相联系。
二、了解重要交易流程,并记录获得的了 解
1、重要交易流程是每一类重要交易在信息 技术或人工系统中生成、记录、处理及在 财务报表中报告的程序。
2、主要需记录的信息 (1)主要的输入信息的来源; (2)所使用的重要数据档案,如客户清单
2、财务报表层次的重大错报风险很可能源 于薄弱的控制环境,因此,注册会计师在 评估财务报表层次的重大错报风险时,应 当将被审计单位整体层面的内部控制状况 和了解到的被审计单位及其环境其他方面 的情况结合起来考虑。
了解内部控制-整体层面对内部控 制的了解和评估
3、被审计单位整体层面的内部控制是否有 效将直接影响重要业务流程层面控制的有 效性,进而影响注册会计师拟实施的进一 步审计程序的时间、性质、范围。
了解内部控制-业务流程层面了解 和评价内部控制
*职责分离; *监督性检查 *正确性校验 *设置权限。
了解内部控制-业务流程层面了解 和评价内部控制
了解内部控制-业务流程层面了解 和评价内部控制
一、通常采取的步骤
(1)确定被审计单位的重要业务流程和重要交易 类别;
(2)了解重要交易流程,并记录获得的了解; (3)确定可能发生错报的环节; (4)识别和了解相关控制; (5)执行穿行测试,证实对交易流程和相关控制
内部控制评价与监督制度
内部控制评价与监督暂行办法第一章总则第一条为规范党委政府内部控制评价与监督,促进党委政府内部控制不断完善并有效实施,按照《行政事业单位内部控制规范(试行)》《财政部关于全面推进行政事业单位内部控制建设的指导意见》等有关规章制度,结合党委政府实际情况,制定本办法.第二条本办法所称内部控制评价,是指党委政府对内部控制建立和执行的有效性进行评价,形成评价结论,并出具评价报告的过程。
第三条内控评价工作由内部控制监督评价工作组负责组织。
党委政府认为必要时,可以委托具备资质的第三方中介机构实施内部控制初步评价。
第四条内部控制评价应遵循以下原则:(一)全面性。
评价应当关注内部控制的建立是否覆盖党委政府及所属单位所有的经济活动、经济活动的全过程、所有内部控制关键岗位、各相关部门及工作人员和相关工作任务。
(二)重要性。
评价应当以风险为导向,突出重点,关注影响控制目标的高风险领域、重要业务部门、重大业务事项、关键控制环节和风险点。
(三)客观性。
评价应当准确揭示党委政府主要经济活动、重大业务的风险状况,如实反映内部控制设计的健全性与执行的有效性。
(四)适应性。
评价应当符合国家有关规定和党委政府的实际情况,并随着外部环境的变化、党委政府经济活动的调整和管理要求的提高,不断修订和完善。
第五条党委政府成立由党委书记担任组长的内部控制评价监督工作领导小组(以下简称“领导小组”),负责对党委政府内部控制实施情况开展内部评价与监督,建立健全内部监督制度。
其主要职责:(一)审批内部控制评价工作的计划、方案;(二)组织成立内部控制评价工作组;(三)审批内部控制评价报告及整改方案;(四)其他与内部控制评价与监督管理有关的工作。
第六条内部控制监督评价工作组负责内部控制评价工作的组织、协调与指导,主要职责:(一)组织拟定内部控制评价相关制度;(二)组织编制内部控制评价工作方案;(三)组织实施内部控制评价工作;(四)监督内部控制缺陷整改落实情况;(五)完成领导小组交办的相关工作。
内部控制评价和监督制度范文(4篇)
内部控制评价和监督制度范文一、概述内部控制评价和监督制度是企业或组织为了保障资产安全、提高经营效益、防范风险而建立的一种管理制度。
本制度的目的是明确评价和监督内部控制的责任和义务,确保内部控制有效运行并达到预期目标。
下面将对内部控制评价和监督制度的相关内容进行详细阐述。
二、内部控制评价和监督的目的1. 提高资产安全性:通过评价和监督内部控制,有效防范资产的损失、盗窃或滥用。
2. 改善经营效益:通过评价和监督内部控制,及时发现和纠正存在的问题,优化业务流程,提高经营效益。
3. 防范风险:通过评价和监督内部控制,提前发现和预防可能存在的风险,减少企业或组织面临的风险。
4. 提高履职能力:通过评价和监督内部控制,明确各职能部门的责任和义务,促进职能部门履职能力的提高。
三、内部控制评价和监督的原则1. 责任分明原则:明确内部控制评价和监督的责任主体和具体职责。
2. 风险导向原则:评价和监督的重点应放在风险较高的环节和业务过程上。
3. 综合性原则:评价和监督的方式应综合考虑内控环境、风险评估、控制活动、信息与沟通、监督运作等各个方面。
4. 及时性原则:评价和监督应根据实际情况,及时进行,及时发现和纠正问题。
5. 有效性原则:评价和监督必须能够达到预期效果,推动内部控制不断完善和提升。
四、内部控制评价和监督的内容和方法1. 内部控制评价内容:(1) 内控环境评价:包括组织结构、责任分工、文化氛围、沟通机制等方面的评价。
(2) 风险评估评价:包括风险识别、风险分析、风险评估的评价。
(3) 控制活动评价:包括制度设计、业务流程、内部审计等方面的评价。
(4) 信息与沟通评价:包括信息获取、信息处理、信息传递和沟通等方面的评价。
(5) 监督运作评价:包括监督制度、内部审计、监督报告等方面的评价。
2. 内部控制监督方法:(1) 自查自评:通过企业或组织自身建立内部控制监督机构,对内控制度进行自查自评。
(2) 审计检查:通过内部审计部门对内部控制进行定期或不定期的审核和检查。
内部控制测试方法和技巧.ppt
分;其次根据掌握的总体情况,编制《公司层面测试主题 与业务单位对应表》,明确各主题的主责部门、主题涉及 的相关部门。如下表:
公司层面测试主题与业务单位对应表
主题 单位
总经理(党 委)办公室
人事处
EAUT00 1反舞 弊程序 与控制
内控测试基本方法 和测试技巧介绍
内部控制处 2010年11月
前言
内控测试内容繁杂,选择适当的测试方法,对 于发现问题、解决问题,提高企业管控能力非常重 要。内控体系运行几年来,我们多次组织自我测试, 参加股份公司组织的专项测试,积累了一些经验。 下面主要从公司层面测试、业务层面测试两个方面 进行介绍。
测试知识介绍——公司层面
二、公司层面测试步骤 1.公司层面测试准备: 1)确定测试内容。 2)取得被测试单位的基础资料,根据测试内容编制测试计划。 3)针对测试内容编制访谈提纲。 2.实施公司层面测试: 1)询问岗位人员,确定控制是否存在并有效运行。岗位人员应
该包括被测试单位基层员工、中层管理者、单位主要领导等 各层次的岗位人员。 2)查看相应的规章制度和支持其业务的文档性记录。 3.对测试结果进行汇总分析。
测试知识介绍——公司层面
一、公司层面测试内容 二、公司层面测试步骤 三、公司层面测试方法和技巧
测试知识介绍——公司层面
一、公司层面测试内容
地区公司公司层面测试内容包括:职业道德、 高管基调、信访举报和违规处理、组织结构、权 利和责任分配、培训、业绩考核、人力资源政策、 经营活动分析、信息与沟通、内部审计和反舞弊 程序与控制共十二个主题。
测试知识介绍——公司层面
三、公司层面测试方法和技巧 1、“统筹法”案例: 总会计师访谈内容 职业道德主题: 了解高管对于职业道德的宣传和遵循情况;了解公司是
内部控制评价工作方案
内部控制评价工作方案内部控制评价,是从内部控制的全面性、适应性、有效性、重要性和制衡性各方面对内部控制管理体系进行全面评价,对评价过程中发现的问题和薄弱环节提出整改意见,进一步健全单位的内部控制体系。
一、方案制定依据:《行政事业单位内部控制规范(试行)》;《财政部关于全面推进行政事业单位内部控制建设的指导意见》;《行政事业单位内部控制报告管理制度》;《XX市财政局关于开展行政事业单位内部控制建立与实施情况督查工作的通知》。
二、评价方法:1、检查内控建设资料。
按照市财政局督查内容落实对照清单的要求,逐一核实单位内部控制手册、管理制度等相关内容是否健全。
2、个别访谈。
与单位内部人员进行访谈,了解单位内部控制的现状。
首先,与单位领导班子成员进行访谈,了解单位内部控制思想的建设程度;其次,与各部门领导进行访谈,了解单位内部控制的整体现状;第三,与关键岗位员工进行访谈,了解内部控制体系的执行落实情况。
3、穿行测试法。
在风险评估、单位层面、业务层面、评价与监督四个层面分别选取业务作为样本,追踪该业务从最初起源直到最终在财务报表或其他内部管理报告中反映出来的过程,了解控制措施设计的有效性,并识别出关键控制点,分析风险防控措施是否完善,执行是否到位。
在判断内部控制是否存在缺陷时,应当充分考虑下列因素:①是否针对风险设置了合理的细化控制目标。
②是否针对细化控制目标设置了对应的控制活动。
③相关控制活动是如何运行的。
④相关控制活动是否得到了持续一致的运行。
⑤实施相关控制活动的人员是否具备必需的权限和能力。
综合考虑以上因素后,对内部控制缺陷进行认定,区分重大缺陷、重要缺陷及一般缺陷,以此评价单位内部控制的设计及运行是否有效三、评价措施内控控制体系包含三个层面:单位层面、风险评估层面、业务层面。
(一)、单位层面内控评价措施:1、为评价单位内部控制组织是否得到有效的保障,是否符合内控管理要求,我们将采取以下评价措施:(1)取得成立内控体系领导小组的通知,检查单位是否成立内部控制体系领导小组。
内部控制评价制度
内部控制评价制度第一章总则第一条编制目的和意义作为上工申贝(集团)股份有限公司(以下简称“上工申贝”或“公司”)内部控制体系建设的组成部分,为确保公司内部控制体系的有效运行,提高公司内部控制与经营管理水平,促进公司健康、可持续发展,为公司增加价值并提高公司运作效率,特制定《内部控制评价制度》(以下简称“本制度”)。
公司旨在通过本制度明确公司内部控制评价、评估汇总和报告的工作流程和管理体系,明确内部控制评价工作的职责体系,将内部控制评价工作落实到公司的各个层面,实现对内部控制体系有效性的持续监控。
内部控制评价作为内部控制监控的重要手段之一,帮助管理层确保公司内部控制体系有效地设计并且持续有效地运作。
公司内各单位要对其负责的控制活动根据本制度进行自评,内部控制评价小组要根据本制度对公司的内部控制进行独立测试。
通过自评与独立测试相结合,形成有效的内部控制自我评价体系和持续监督体系,确保内部控制的持续有效,最终实现公司内部控制的总体目标。
本制度适用于公司本部及直属分公司、公司范围内的全资和控股子公司。
其他参股公司可在适用情况下参照执行。
第二条编制基础和依据本制度依据财政部、证监会、审计署、银监会、保监会颁布的《企业内部控制基本规范》、《企业内部控制评价指引》等有关法规规定,并结合公司的具体情况编制而成。
第二章内部控制评价的组织机构第三条内部控制评价组织机构组长:董事长副组长:总经理成员:各业务分管副总、董秘内部控制评价的参与主体及其各自的职责包括:公司董事会:负责对内部控制的有效性进行全面评价、形成结论,出具报告,并对内控评价报告的真实性负责。
董事会授权公司审计部为公司内控评价部门,负责内部控制评价的具体组织实施工作,对控制缺陷进行分析、复核、报告及跟踪,向董事会、监事会或者经理层报告发现的内控缺陷。
公司审计部应组建内控评价小组,领导评价小组实施内部控制独立测试工作,并完成评价工作底稿。
内控评价小组由公司审计部负责牵头,并吸纳企业内部相关职能部门(如:财务、人力资源、董办等部门)熟悉情况的业务骨干组成。
信息安全技术 网络安全等级测评机构能力要求和评估规范
1范围本标准规定了等级测评机构的术语和定义、能力要求、评估规范。
适用于等级测评机构能力建设、资格评定等活动。
2规范性引用文件下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 28449 信息安全技术信息安全等级保护测评过程指南《信息安全等级保护测评机构管理办法》3术语与定义3.1等级测评 Classified Cybersecurity Protection Assessment依据国家网络安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。
3.2等级测评机构 Assessment Organization of Classified Cybersecurity Protection 依据国家网络安全等级保护制度规定,具备《信息安全等级保护测评机构管理办法》规定的基本条件,经能力评估和审核推荐,从事等级测评等信息安全服务的机构。
3.3能力评估 Capability Evaluation依据标准和(或)其他规范性文件,对等级测评机构申请单位的能力进行评审、验证和评价的过程。
3.4评估机构 Capability Evaluation对申请成为测评机构的企事业单位进行能力评估的专业技术机构。
3.5被评估机构 Evaluatee具备《信息安全等级保护测评机构管理办法》中要求的基本条件,准备对其等级测评能力进行评估的企事业单位。
3.6初次评估 First-time Evaluation评估机构依据本规范和相关文件,首次对被评估机构能力进行核查、验证和评价的过程。
3.7期间评估 Continuous Evaluation为已经获得推荐证书的测评机构是否持续地符合能力要求而在证书有效期内安排的定期或不定期的评估、抽查等活动。
3.8能力复评 Capability Review测评机构推荐证书有效期结束前,由评估机构对其实施全面评估以确认其是否持续符合能力要求,为延续到下一个推荐有效期提供依据的活动。
内控风险评估报告
内控风险评估报告篇一根据财政部《行政事业单位内部控制规范(试行)》和单位《内部控制实施办法》有关规定,组织开展了对单位各部门的风险评估活动,现将结果报告如下:一、工作组织(一)组织保障本单位成立以内部控制领导小组为决策机构,计划财务处为牵头部门,业务部门为主体责任部门的风险评估工作机构。
具体而言:风险评估决策机构人员构成:牵头部门主要参与人员:主体责任部门参与人员:(二)风险评估范围本次风险评估所涉及的业务范围分为:机关层面风险和经济业务活动层面风险。
其中经济业务活动层面风险涵盖预决算业务、收支业务、政府采购业务、建设业务、资产管理业务和合同业务。
(三)工作程序按照风险识别、风险分析与评价、风险报告的基本工作程序,结合本单位经济业务活动的实际情况,实行单位层面风险评估与业务层面风险评估并行,主体责任部门对相关业务层面风险归口管理的风险评估机制。
具体程序如下:1.风险识别按照归口管理的基本原则,由计划财务处负责单位层面风险识别工作,主要辨识与风险评估机构保障、经济业务活动决策机制、经济业务活动责任机构与人员、会计控制、信息系统、内部控制制度等单位层面内部控制相关的风险因素。
业务层面风险因素由归口管理处室负责识别相应的风险因素,其中计划财务处负责预算业务,收支业务方面的风险识别;**处负责政府采购业务方面的风险识别;**处负责建设项目方面的风险识别;**处负责合同控制方面的风险识别;**处负责资产管理方面的风险识别。
风险识别工作完成后形成单位风险数据库。
2.风险分析与评价以“谁归口,谁分析”为基础,并采用二级风险分析机制完成风险分析与评价工作。
一级风险分析:按照风险识别工作的归口分工安排,各处室完成风险识别工作后,应当及时对所有识别的风险从发生可能性与影响程度两个维度进行风险分析,并根据初步分析形成的定量结论为基础对所有风险因素从定性角度确定“重大风险”、“重要风险”、“一般风险”。
二级风险分析:计划财务处汇总各处室风险分析初步结论,形成单位整体层面一级风险结论并进行复核整理后,提交单位内部控制工作领导小组集体讨论分析。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
如果你的调查提前于报告日期地很早,你要考虑在报 告期后面的时间里再调查,如果: • 机构做出了政策的重大变化,或对于识别出来的弱 点做了整改。 • 发生了可以影响机构文化或人事政策效果的其他重 大事件。例如,意外的下岗可能会改变雇员关于机构 文化的认知。 • 机构系统范围内对控制效果的监督很弱。
6.2.2.3 引导测试
• 避免有倾向性的措辞。 • 每个问题都只有一个理解。例如,一个受访者可能被问 题“公司雇员和董事会的活动是否与公司的伦理价值观一 致?”如果受访人认为董事会的行动与伦理价值观是一致 的,但雇员的行动却是不一致的,该怎么回答?他会回答 吗?为了避免困扰,这个问题应该分成两个,一个是关于 董事的提问,另一个是关于雇员的提问。
6.2 测试方法
本章提供了测试和评价机构层面控制的全面综 合的方法。Exhibit 6.1总结了提出的各种测试技术, 以及这些技术是如何地用于收集证据支持针对每个重 要机构层面控制目标的认定。
6.2.1 可获取的证据的性质
机构范围的控制对财务报告的影响是间接的。 这个影响是非线性的、主管的、且是不能量化的。支 持对机构范围控制的效果的认定是件有挑战性的事 情,因为认定不能用确认、检查和观察—这些都是审 计人员正常情况下认为是最可靠的测试类型—来验证。 机构范围的控制不是交易导向型的,因此你不能通过 执行基于交易的测试来测试它们的效果。这里描述的 技术是用来收集证据支持关于机构范围控制的认定证 据最有效的方法。
1
6.1.2 设计效果与运行效果
关于内部控制的文献一般都是区分内部控制设 计和它的运行效果。但最终,管理层必须做出关于机 构内部控制运行效果的认定,而不是设计的认定。 在测试控制中,在收集和控制设计有关的信息时,会 频繁地获得和运行效果有关的信息和证据。区分两 者—“这和设计有关还是和执行有关?”—通常是一个 学术问题,因为关于控制的认定之和运行有关。出于 这个原因,这些材料没有给出设计测试和运行效果测 试之间的区别。这里描述的测试方法和技术是设计来 提供对运行效果认定的支持。
确定你的调查是否已经收到足够的回复以得出 有效的结论,这是一个判断性事项。为了帮助你最初 判断,考虑从其他测试收集到的信息。收集到的信息 和调查得到的结论偏离吗,或者收集到的信息倾向于 证实了调查发现?你还要考虑解决和独立审计人员有 关的问题。他们认为多少回复才足以支持关于机构层 面控制的认定?
6.2.2.2 何时调查和调查的频率
调查是收集直接来自人,而非文档,的信息的 有效方法。具体来说,调查对评价机构文化和人事政 策是否创造了一个使活动层面控制能有效运行的环境 是很关键的。换句话说,公司的书面行为守则或人事 政策本身不足以支持关于这些机构层面控制的认定。 为了确定政策是否有效地运行了,你必须得到来自雇 员的反馈。对于大多数机构来说,通过调查来收集信 息是最有效的。(调查的普遍问题见Exhibit 6.2) 附录6.B有一些为了收集和评价来自雇员提供的 关于机构文化和人事政策的信息的调查例子。
效果。很多时候一个活动层面控制问题是机构 层面控制中的缺陷。例如,假设你在测试对现金的控 制,你发现银行对账做的不恰当。项目团队中的其他 人也发现和供应商支付发票有关的控制程序是有缺陷 的,有人也发现存货控制没有以一致的方式实施。这 三个观察是相互无关的活动层面控制缺陷吗?有时候 不是的。可能是公司在把工作职责向雇员传达和监督 雇员工作(机构层面控制)方面做的糟糕。作为结 果,控制活动是断断续续地或不正确地执行着。项目 团队在活动层面观察到的只是症状,而不是基本的原 因。如果公司只是解决了症状问题,背后的原因将仍 然没有解决,还要在将来引发更多的问题。
计划引导测试你的调查。通过对调查做引导测 试和必要的整改,你会提高回复率并产生更加可靠和 有效的记过。在How to Conduct Surveys一书中, Arlene Fink and Jacqueline Kosecoff给出了下面 关于引导测试的建议:
• 分段引导测试。例如,你想从一开始只测试一些问题的 指令或措辞。 • 测试管理细节。如果你的调查是相对简单的,比如要填 写和邮寄给你的基于书面的调查,则这个测试可能不是重 要的。但是,调查的管理却更加复杂,比如在线调查,提 前测试交付机制就更重要了。 • 信息测试可以工作的很好。全部引导测试点就是识别出 能够调查问题中的弱点或调查交付的方式,这些都会影响 结果可靠性。 • 关注问题的清楚性和调查的总体格式。这些问题可以显 示调查是不可靠的或需要修改: ° 没有回答问题 ° 同一问题有几个答案 ° 空白处写有评论语 • 如果你预期你的调查将导致一个区间内的答复,则确保 你的引导测试包括了区间两端同样的代表性。
6.2.2.5 写出你自己的调查问题
包含在附录6.B中的调查例子只不过是个例子。你应 该做的是修改这个调查来满足你特定评价工作的需要。 Fink and Kosecoff为撰写调查问题提出的建议是: • 每个问题对受访者都是有意义的。如果你引入了一个没 有明显目的的问题(例如,人口统计信息),你需要用一 些过渡性文字来向受访者解释为什么要问这个问题。 • 使用标准的用语。避免专业化语言,比如“机构层面的控 制”,这些用语的定义一般人是不知道的。 • 使问题具体化。让问题尽可能地接近受访人的经历。例 如,问题“管理层本身是否以道德的方式做事?”就是抽象 的说话。解决同一问题的更具体的说法是“你的主管是否 曾要你做出违背公司行为准则的事情?”
6.2.3 向管理层咨询
6.2.3.1 咨询的目的
你向管理层咨询的总体目的是为了收集关于机构层 面控制效果的证据。你的首要目的不是收集关于政策是什 么的信息;因为这个信息大都可以是通过阅读相关文档来 收集。(进一步的证据见第5章。)你的目标是确定表述 出来的政策是不是如期望的那样起着作用。为了完成这个 目标,你需要考虑:
2
6.2.2.1 谁来调查和做多少调查
调查结果的可靠性和有效性直接和你调查的人 和你收到的回复数量有关。为了你的工作目的,我们 不指望独立审计人员会要求使用合格精度的统计抽样 方法来支持关于机构范围控制的有效性的认定。非统 计抽样方法和对结果的数量分析应该足够了。 然而,为了确保最可靠和最有效的结果,你设 计调查的方式应该把主要的统计抽样方法的概念结合 进去,包括: • 受访人越多,结果月可靠。如果项目预算允许的 话,就要求所有雇员回复调查。 • 满意的样本产生更好的结果。如果机构有几个部门 或地点,确保你的调查包括来自每个部门和地点的人 员。你也要试图获得来自组织中所有不同级别雇员的 结果,从顶层到底层。 • 为了有效,一些样本必须有总体代表性。每个雇员 都有相同机会被选中接受调查的简单随机抽样是一种 可以产生总体代表性样本的技术。相比之下,分组采 样技术(例如,只有姓氏以S开头的雇员被调查)不 会产生代表性样本。 • 在决定把一个群体排除在总体之外前要三思而行。 你的工作局限于测试对财务报告的内部控制的效果。 不过,把你对公司文化和人事政策的调查限制在直接 和财务报告处理有关的人员时就会不对了。经营和管 理人员可以为机构内部控制几个要素的运行效果提供 有价值的见解。
6.2.2 对员工的调查和咨询
降低调查可靠性的最普遍的调问题包括: • 问卷太长或太难以阅读 • 问卷难以回答: ° 语言不清楚 ° 一次问了不止一个问题 ° 如受访者无法获取回答问题的信息 • 多项选择问题的选项不完全,难以解读,或不是互 相排斥的。 • 调查不同小节的方向和过渡难以遵循。 EXHIBIT 6.2 普遍的调查问题
3
6.2.2.4 数据分析和报告结果
在计划你的调查时,考虑下如何分析和解读数据,以及向管 理层报告你的结论。例如,向管理层报告对雇员关于公司文化的调 查报告说: 我们向公司全部750名员工发出了调查问卷,要求他们就公 司的文化和伦理的风气做出反馈。这些调查问卷返回了400份。大 约60%的人答复说他们根本不知道公司有行为守则,这些都贴在了 公司的内网中,并在员工手册里印了出来。只有15%的人读过守则。 但是,这些读过守则的人,大约80%同意“公司行为守则有助于我 们识别不能接受的操作”这个说法。 对这个调查问卷的答复,连同我们自己对公司行为守则的阅 读,使我们得出结论,和写的一样,守则有助于产生导致活动层面 控制有效运行的控制环境。但是,为了有效果,公司你不能描述你如何分析数据和报告你的结论, 则你要重新考虑调查设计
例如,ABC公司要求每月给所有现金账户做一 次银行对账。然而,在年底的时候,公司发现许多账 户最后几个月的银行对账没有执行,还发现已经执行 了的也是执行得很糟糕。在调查执行糟糕的原因时, 机构发现: • 执行银行对账被会计部门的人员看成是低优先级的 事情。 • 会计部门的监督者工作量太大,且没有时间监督员 工。 • 由于总的缺乏监督,负责执行对账的员工没有收到 关于如何恰当执行对账的答复。 控制程序是恰当设计的。控制失败是执行的失 败。执行失败的原因都和无效的机构层面控制有关。 控制被执行的环境不利于执行。
你要执行的大多数测试都必须解决一个时间问 题。测试的执行提前于报告日期太早,你就会遇到需 要重新执行测试的风险。如果你测试的太接近报告日 期,你就没有时间采取整改行动,如果结果识别出了 弱点的话。
调查可能要花很长时间。个人需要时间来答 复,如果他们没有答复,你需要时间跟进并得到更多 的答复。调查结果的评价也可能要花很多时间,尤其 是包含了开放性且非数字式的答复。 此外,你要考虑调查事项的性质,也就是机构 的文化和人事政策的效果。这些一般都是随着时间缓 慢变化的。因此,在大多数时候,你最大的风险时在 执行测试地太晚了,以至于没时间采取整改行动,而 不是执行地太早了以至于它们又发生了变化。
第6章 机构层面控制的测试与评价
6.1 测试机构层面控制的总体目标
要求有内部控制的测试来支持管理层对关于内 部控制效果的认定。独立的审计人员部分地依赖于这 个测试工作来得到关于管理层认定的结论。为了有效 果,管理层的测试应该有: • 清楚表述的目标 • 适合实现这些目标的设计 • 给定与控制有关的风险水平后,范围是恰当的。 (关于基于风险的和自上而下的方法的讨论参见第1 章。)