内部控制测试方法
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
—6 —
2.2内部控制测试的分类(按测试内容) --- 设计有效性测试
设计有效性测试 设计有效性是对于建立的内部控制体系,如果由符合条件的机构和人员按 设计的要求去实施,能够有效地防范财务报告风险,为实现内部控制目标提 供合理的保证。 通过内部控制设计有效性测试,能够查找内部控制设计方面存在的问题, 确保内控设计能有效地防范财务报告风险,达到财务报告控制目标,为内部 控制执行评价提供基础。内部控制设计有效性测试可分别从股份公司层面和 地区公司层面执行。
环节。地区公司对所属单位进行的自我测试,单位覆盖率不低于50%;每个测试 单位的重要业务流程覆盖率不低于70%,关键控制覆盖率要达到90%; 地区公司应在每年年初将自我测试计划报送内控部备案,年底将年度自我测试 报告报送内控部审核; 地区公司的自我测试应按照股份公司统一的标准和规范进行,测试计划、测试 底稿和测试报告须纳入内控测试系统(AAM)。
十七主题
测试内容
业务层面
跟单测试 关键控制 总体控制
信息层面
应用控制 电子表格
—4 —
2.1内部控制测试的分类(按测试组织) ---地区公司自我测试
地区公司自我测试 是由地区公司总经理授权相关部门组织实施的、针对本单位内部控制设计和
运行的有效性实施的检查过程。自我测试应满足以下要求: 自我测试应坚持以风险为导向,兼顾覆盖面,重点关注高风险领域和业务薄弱
5、其他
为测试服务
— 16 —
测试基本程序-实施阶段
实施阶段: 对执行控制的岗位人员进行访谈。通过访谈,了解该岗位人员是否真正
理解所执行的控制,并对设计层面初步分析存在的问题进行了解,同时记录 访谈结果。结合访谈结果,进一步完善测试计划。选取样本,如果从测试起 始时间到截止时间,由于业务发生量的限制,无法取得满足要求的样本量, 则应该选取已有有全部样本,同时记录样本的选取情况。对样本进行检查, 记录检查结果。
— 20 —
2. 实施 阶段
3. 总结 阶段
— 13 —
测试基本程序-准备阶段
测试人员的准备
序号 1
2 3
内容
了解总体情况
取得并审阅内控管 理相关文档 编制测试计划
主要目的
1、公司整体运营环境; 2、主要规章制度、内控组织机构、运行网络、职责划 分; 3、上年测试结果,以及以前年度主要例外事项及其整 改情况; 4、被测试单位以前年度或本年度已披露或发现的一些 案例等; 5、对内部控制设计进行初步了解。
内部控制测试方法
整理者:蔡春凤
2012年9月
Copyright © 2007 By ALLPKU Management Consultants Ltd. 未经许可,不得外传
一、管理工具名称
内部控制测试方法
—2 —
二、基本介绍
基本概念: -内部控制测试是围绕内控体系评价的目标,按照规定的程序、方法和标准,对内部控制体系,从设 计有效性和执行有效性两个方面对内部控制有效性进行测试。
—9 —
2.2内部控制测试的分类(按测试内容) --- 信息系统控制测试
信息系统总体控制测试 信息系统总体控制测试是对信息系统总体控制规定和信息系统总体控制实施办
法规定的控制环境、信息安全、变更管理、项目建设管理、日常运作、最终用 户操作等六个方面的内容进行测试。
通过信息系统总体控制测试,检查是否根据集团公司信息系统总体控制管理文 件的要求,执行了信息系统管理的各项控制活动,从而提高应用系统控制的有 效性,确保信息系统支持的应用控制是可靠的、生成的数据和报告是可信的。
— 10 —
三、操作介绍:3.1内部控制测试基本方法
询问
通过口头或书面的方式对执行控 制的相关人员提出问题,根据被 询问人的回答确定控制是否存在 并有效运行,以及控制执行人对 控制的理解程度。
再执行
通过重新执行控制活动以确定控 制是否有效。检查应与询问结合 运用,并进行适当的再执行程序, 确认控制确实有效执行。
—5 —
2.1内部控制测试的分类(按测试组织) --- 外部审计师测试
外部审计师测试 外部审计师测试是审计师根据PCAOB的审计准则,为对公司的内控控制有效性
发表意见而进行的独立测试。 外部审计师测试的测试范围确定方法与管理层测试一致,测试范围确定的结
果可能与管理层一致,也可能与管理层测试略有不同。 外部审计师测试一般每年组织一次。
2
XX测试计划表
信息系统总体控制测试 电子表格测试
需要测试的关键控制及该项控 制的测试计划和计划执行情况
权限测试
— 15 —
测试基本程序-准备阶段
被测试单位的准备
1、内控管理手册等测试资 料 2、各相关部门相应协调配 合的工作 3、准备工作记录表单(实 施证据) 4、提供必要的办公、会议 及通讯等条件
面、业务活动层面、信息系统总体控制的测试内容和测试单位进行确定 的过程。 (2)作用
确定测试范围是开展管理层测试、地区公司自我测试和外部审计师 测试的前提。
— 12 —
三、操作介绍:3.2内部控制测试的组织
测试基本程序:
各层面控制测试程序基本可以划分为准备阶段、实施阶段和总结阶段。
1. 准备 阶段
— 17 —
测试基本程序-实施阶段
审阅相关 文件
检查内控 文档记录
记录测试过程
访谈 相关人员
观察 执行情况
检查 样本等
例外事项
复印证据
例外事项是指内部控制体系设计层面和执行层面与相应的规范、标准、要求之间存在的偏差。
— 18 —
测试基本程序-总结阶段
总结阶段: 汇总整理《测试表》及《抽样测试记录表》,将相应内容整理至
检查是否遗漏重要业务流程和关键控制点。
协调双方的时间安排,编制测试计划表,提高测试效 率。
— 14 —
测试基本程序-准备阶段
测试人员的准备——编制测试计划表
序号 计划表名称
适用范围
1
公司层面/跟单测 试计划表
公司层面测试 跟单测试
主要记录内容
记录测试分工、被测试部门、 岗位及时间安排等。
关键控制抽样测试
《例外事项汇总表》。对测试结果进行分析。对测试发现的例外事项与 相关人员进行充分沟通,最终达成一致意见,形成测试报告。
— 19 —
四、操作要领与经验
进行内部控制测试最重要的是要制定好内部控制测试计划表和跟单测试计划表。按照 事先拟好的测试计划进行跟单测试,是做好内控测试的基础。
内部控制测试发现问题包括内部控制设计和内部控制执行两个方面:如果是内部控制 设计方面的问题,就要更改内部控制设计;如果是内部控制执行方面的问题,就要对 内部控制执行进行现场整改或制定整改计划进行定期整改。
பைடு நூலகம்
观察
针对正在执行的控制或步骤进行 现场见证,从而判断控制是否存 在并有效运行,并获取控制证据。
检查
通过查看与控制相关的文档性记 录,判断控制有效性和控制执行 总体情况的一种方法。
— 11 —
三、操作介绍:3.2内部控制测试的组织
测试范围的确定:
(1)概念 测试范围的确定是以风险为导向,对地区公司及其所属单位公司层
—8 —
2.2内部控制测试的分类(按测试内容) --- 业务层面控制测试
业务层面控制测试 业务活动层面控制测试通过跟单测试(又称跟单作业)和关键控制测试两种
方式对业务层面所有重要流程的设计有效性和执行有效性进行检查,目的是对 业务层面所有重要流程的设计有效性以及所有重要流程和关键控制的执行有效 性进行检查。
工具用途: -通过内部控制测试,查找内部控制设计和执行方面的问题,为内部控制体系有效性提供合理保证。
工具出处 -该方法以中石油某地区公司内部控制测试实践为基础,结合相关资料整理而成。
—3 —
二、基本介绍:内部控制测试的分类
管理层测试
测试组织
自我测试
内控
测试 分类
外部审计测试 设计有效性
公司层面
—7 —
2.2内部控制测试的分类(按测试内容) --- 公司层面控制测试
公司层面控制测试 公司层面控制:公司层面控制是确保管理层获得在公司内部各个领域都有适当
的控制机制在发挥作用的重要机制。 公司层面控制的内容:公司层面控制涵盖COSO框架的五个要素及反舞弊六个方
面,包括职业道德、高管基调、信访举报和违规处理、组织结构、权利和责任 分配、培训、业绩考核、人力资源政策、岗位职责描述、董事会、审计委员会 、风险评估过程、经营活动分析、信息与沟通、信息披露、内部审计和反舞弊 程序与控制共十七个主题。 公司层面控制测试目的:通过确定的各领域控制测试,查找设计和执行方面 的问题,确保公司内部各个领域都有适当的控制机制在发挥作用
2.2内部控制测试的分类(按测试内容) --- 设计有效性测试
设计有效性测试 设计有效性是对于建立的内部控制体系,如果由符合条件的机构和人员按 设计的要求去实施,能够有效地防范财务报告风险,为实现内部控制目标提 供合理的保证。 通过内部控制设计有效性测试,能够查找内部控制设计方面存在的问题, 确保内控设计能有效地防范财务报告风险,达到财务报告控制目标,为内部 控制执行评价提供基础。内部控制设计有效性测试可分别从股份公司层面和 地区公司层面执行。
环节。地区公司对所属单位进行的自我测试,单位覆盖率不低于50%;每个测试 单位的重要业务流程覆盖率不低于70%,关键控制覆盖率要达到90%; 地区公司应在每年年初将自我测试计划报送内控部备案,年底将年度自我测试 报告报送内控部审核; 地区公司的自我测试应按照股份公司统一的标准和规范进行,测试计划、测试 底稿和测试报告须纳入内控测试系统(AAM)。
十七主题
测试内容
业务层面
跟单测试 关键控制 总体控制
信息层面
应用控制 电子表格
—4 —
2.1内部控制测试的分类(按测试组织) ---地区公司自我测试
地区公司自我测试 是由地区公司总经理授权相关部门组织实施的、针对本单位内部控制设计和
运行的有效性实施的检查过程。自我测试应满足以下要求: 自我测试应坚持以风险为导向,兼顾覆盖面,重点关注高风险领域和业务薄弱
5、其他
为测试服务
— 16 —
测试基本程序-实施阶段
实施阶段: 对执行控制的岗位人员进行访谈。通过访谈,了解该岗位人员是否真正
理解所执行的控制,并对设计层面初步分析存在的问题进行了解,同时记录 访谈结果。结合访谈结果,进一步完善测试计划。选取样本,如果从测试起 始时间到截止时间,由于业务发生量的限制,无法取得满足要求的样本量, 则应该选取已有有全部样本,同时记录样本的选取情况。对样本进行检查, 记录检查结果。
— 20 —
2. 实施 阶段
3. 总结 阶段
— 13 —
测试基本程序-准备阶段
测试人员的准备
序号 1
2 3
内容
了解总体情况
取得并审阅内控管 理相关文档 编制测试计划
主要目的
1、公司整体运营环境; 2、主要规章制度、内控组织机构、运行网络、职责划 分; 3、上年测试结果,以及以前年度主要例外事项及其整 改情况; 4、被测试单位以前年度或本年度已披露或发现的一些 案例等; 5、对内部控制设计进行初步了解。
内部控制测试方法
整理者:蔡春凤
2012年9月
Copyright © 2007 By ALLPKU Management Consultants Ltd. 未经许可,不得外传
一、管理工具名称
内部控制测试方法
—2 —
二、基本介绍
基本概念: -内部控制测试是围绕内控体系评价的目标,按照规定的程序、方法和标准,对内部控制体系,从设 计有效性和执行有效性两个方面对内部控制有效性进行测试。
—9 —
2.2内部控制测试的分类(按测试内容) --- 信息系统控制测试
信息系统总体控制测试 信息系统总体控制测试是对信息系统总体控制规定和信息系统总体控制实施办
法规定的控制环境、信息安全、变更管理、项目建设管理、日常运作、最终用 户操作等六个方面的内容进行测试。
通过信息系统总体控制测试,检查是否根据集团公司信息系统总体控制管理文 件的要求,执行了信息系统管理的各项控制活动,从而提高应用系统控制的有 效性,确保信息系统支持的应用控制是可靠的、生成的数据和报告是可信的。
— 10 —
三、操作介绍:3.1内部控制测试基本方法
询问
通过口头或书面的方式对执行控 制的相关人员提出问题,根据被 询问人的回答确定控制是否存在 并有效运行,以及控制执行人对 控制的理解程度。
再执行
通过重新执行控制活动以确定控 制是否有效。检查应与询问结合 运用,并进行适当的再执行程序, 确认控制确实有效执行。
—5 —
2.1内部控制测试的分类(按测试组织) --- 外部审计师测试
外部审计师测试 外部审计师测试是审计师根据PCAOB的审计准则,为对公司的内控控制有效性
发表意见而进行的独立测试。 外部审计师测试的测试范围确定方法与管理层测试一致,测试范围确定的结
果可能与管理层一致,也可能与管理层测试略有不同。 外部审计师测试一般每年组织一次。
2
XX测试计划表
信息系统总体控制测试 电子表格测试
需要测试的关键控制及该项控 制的测试计划和计划执行情况
权限测试
— 15 —
测试基本程序-准备阶段
被测试单位的准备
1、内控管理手册等测试资 料 2、各相关部门相应协调配 合的工作 3、准备工作记录表单(实 施证据) 4、提供必要的办公、会议 及通讯等条件
面、业务活动层面、信息系统总体控制的测试内容和测试单位进行确定 的过程。 (2)作用
确定测试范围是开展管理层测试、地区公司自我测试和外部审计师 测试的前提。
— 12 —
三、操作介绍:3.2内部控制测试的组织
测试基本程序:
各层面控制测试程序基本可以划分为准备阶段、实施阶段和总结阶段。
1. 准备 阶段
— 17 —
测试基本程序-实施阶段
审阅相关 文件
检查内控 文档记录
记录测试过程
访谈 相关人员
观察 执行情况
检查 样本等
例外事项
复印证据
例外事项是指内部控制体系设计层面和执行层面与相应的规范、标准、要求之间存在的偏差。
— 18 —
测试基本程序-总结阶段
总结阶段: 汇总整理《测试表》及《抽样测试记录表》,将相应内容整理至
检查是否遗漏重要业务流程和关键控制点。
协调双方的时间安排,编制测试计划表,提高测试效 率。
— 14 —
测试基本程序-准备阶段
测试人员的准备——编制测试计划表
序号 计划表名称
适用范围
1
公司层面/跟单测 试计划表
公司层面测试 跟单测试
主要记录内容
记录测试分工、被测试部门、 岗位及时间安排等。
关键控制抽样测试
《例外事项汇总表》。对测试结果进行分析。对测试发现的例外事项与 相关人员进行充分沟通,最终达成一致意见,形成测试报告。
— 19 —
四、操作要领与经验
进行内部控制测试最重要的是要制定好内部控制测试计划表和跟单测试计划表。按照 事先拟好的测试计划进行跟单测试,是做好内控测试的基础。
内部控制测试发现问题包括内部控制设计和内部控制执行两个方面:如果是内部控制 设计方面的问题,就要更改内部控制设计;如果是内部控制执行方面的问题,就要对 内部控制执行进行现场整改或制定整改计划进行定期整改。
பைடு நூலகம்
观察
针对正在执行的控制或步骤进行 现场见证,从而判断控制是否存 在并有效运行,并获取控制证据。
检查
通过查看与控制相关的文档性记 录,判断控制有效性和控制执行 总体情况的一种方法。
— 11 —
三、操作介绍:3.2内部控制测试的组织
测试范围的确定:
(1)概念 测试范围的确定是以风险为导向,对地区公司及其所属单位公司层
—8 —
2.2内部控制测试的分类(按测试内容) --- 业务层面控制测试
业务层面控制测试 业务活动层面控制测试通过跟单测试(又称跟单作业)和关键控制测试两种
方式对业务层面所有重要流程的设计有效性和执行有效性进行检查,目的是对 业务层面所有重要流程的设计有效性以及所有重要流程和关键控制的执行有效 性进行检查。
工具用途: -通过内部控制测试,查找内部控制设计和执行方面的问题,为内部控制体系有效性提供合理保证。
工具出处 -该方法以中石油某地区公司内部控制测试实践为基础,结合相关资料整理而成。
—3 —
二、基本介绍:内部控制测试的分类
管理层测试
测试组织
自我测试
内控
测试 分类
外部审计测试 设计有效性
公司层面
—7 —
2.2内部控制测试的分类(按测试内容) --- 公司层面控制测试
公司层面控制测试 公司层面控制:公司层面控制是确保管理层获得在公司内部各个领域都有适当
的控制机制在发挥作用的重要机制。 公司层面控制的内容:公司层面控制涵盖COSO框架的五个要素及反舞弊六个方
面,包括职业道德、高管基调、信访举报和违规处理、组织结构、权利和责任 分配、培训、业绩考核、人力资源政策、岗位职责描述、董事会、审计委员会 、风险评估过程、经营活动分析、信息与沟通、信息披露、内部审计和反舞弊 程序与控制共十七个主题。 公司层面控制测试目的:通过确定的各领域控制测试,查找设计和执行方面 的问题,确保公司内部各个领域都有适当的控制机制在发挥作用