131.担保业务内部控制 W&[}-E8<Y
(1)风险: Y-%S,91O
1.企业对担保申请人的资信状况调查不深,审批不严或越权审批而导致企业担保决策失误或遭受法律责任; 8=^o2&
2.对被担保人在担保期内出现财务困难或经营陷入困境等状况监控不力,应对措施不当而导致企业承担法律责任; X0X!:gX
3.被担保人和提供担保人在担保 过程中存在舞弊行为而导致经办审批等相关人员涉案或企业的利益受损。 g->cgExj
Z9rs,_A
132.业务外包内部控制 CVsc#=w0
(1)风险: W{\){fr6O
1.外包范围和价格确定不合理; ]k[y#oB
2.承包方选择不当、业务外包监控不严,服务质量低劣; |Ew\Tgo/2
3.或是业务外包存在商业贿赂等舞弊行为。
133.财务报告内部控制 CqVh9M.ah
(1)风险 Cc:m~e6r
1.企业财务报告的编制违反会计法律法规和国家统一的会计准则制度而导致企业承担法律责任和声誉受损; > m GO08X
2.企业提供虚假财务报告,误导财务报告使用者,造成决策失误,干扰市场秩序; H4'xxsx
3.企业不能有效利用财务报告,难以及时发现企业经营管理中的问题,可能导致企业财务和经营风险失控。 .'Vjs2 2
'J^E|1P
134.全面预算及合同管理内部控制 W?m?r.K?
(1)风险: 1]r+$L3
1.不编制预算或预算不健全而导致企业经营缺乏约束,盲目经营; \*#9Ry^f
2.预算目标不合理、编制不科学令企业资源浪费或发展战略难以实现; @b=b>V[d6
3.预算缺乏刚性、执行不力、考核不严,导致预算管理流于形式。
135. 内部控制评价的程序 S8+Xk= x
内部控制评价程序一般包括:制定评价控制方案、组成评价工作组、实施评价工作与测试、认定控制缺陷、汇总评价结果、编报评价报告等环节
1.制定评价控制方案
企业可以授权审计部门或专门机构负责内部控制评价组织的实施工作
2.实施评价工作与测试
(1)了解公司层面基本情况。 L 6){wQ%c
(2)了解各业务层面的主要流程及风险。
(3)确定检查评价范围和重点。 X*Mw0;+T
(4)开展现场检查测试。
评价方法 |
做法 |
适用情况 |
(1)个别访谈 |
个别访谈企业或被评价单位的不同人员,了解公司内部控制的现状与运行 |
用于企业层面与业务层面评价的阶段 |
(2)调查问卷 |
通过扩大对象范围,如企业中的全体员工收集简单结果 |
多用于企业层面的评价(内部环境) |
(3)专题讨论 |
集合企业中有关专业人员就内部控制执行情况或控制问题进行分析和讨论 |
常用于控制活动评价 |
(4)穿行测试 |
在流程中任意选取一项交易为样本,获取原始单据、跟踪交易从最初起源,到会计处理,信息系统和财务报告编制,直到这项交易在财务报表中报告出来的全过程 |
可获取确定对一个流程的了解,查找潜在的内控设计问题及识别出相关控制 |
(5)实地查验 |
例如,评价工作人员进行实地盘点以测试企业记录存货的数量,或有关控制的有效性。 |
用于业务层面评价(针对资产安全目标) |
(6)抽样 |
抽样方法可以分为随机抽样和其他抽样。 9k_3=KS3N 随机抽样一般被认为是最具有代表性或是基于统计学的取样方式,从样本库中抽取一定数量的样本,进行控制测试,以获取有关控制的运行状况。随机选取通常是采用电脑来完成。 |
业务层面 |
(7)比较分析 |
通过数据分析,识别评价关注点的方法 |
|
(8)审阅与检查 |
通过核对有关证据而获取有关控制的运行状况,如选择某些调节表上的差异,追溯到相应的单据记录(如银行对账单)或检查调节表是否有相关负责人签字。 |
业务层面评价 |
136. 内部控制缺陷的认定
内部控制缺陷的分类
分类标准 |
名称 |
解释 |
缺陷的认定 |
按照内部控制缺陷本质上的不同 |
设计缺陷 |
指企业缺少为实现控制目标的必需控制,或现存的控制并不合理及未能满足控制目标。 |
以日常监督和专项监督为基础,结合年度内部控制评价,由内部控制评价部门或机构进行综合分析后提出认定意见,按照规定的权限和程序进行审核后予以最终认定。 |
运行缺陷 |
可按设计的方式运行,如频率不当等。 |
按照内部控制严重程度分类 |
重大缺陷(也称实质性漏洞) |
指一个或多个控制缺陷的组合,可能严重影响内部整体控制的有效性,进而导致企业无法及时防范或发现严重偏离整体控制目标的情形 |
合理确定相关目标发生偏差的可容忍水平,从而对严重偏离的情形予以确定。 |
重要缺陷 |
指一个或多个一般缺陷的组合,其严重程度低于重大缺陷,但导致企业无法及时防范或发现严重偏离整体控制目标的严重程度依然重大,需引起管理层关注。 |
一般缺陷 |
除重要缺陷、重大缺陷外的其他缺陷。 |
重大缺陷和重要缺陷:整改方案应向董事会(审计委员会)、监事会或经理层报告并审定。如果出现不合适向经理层报告的情形,例如存在与管理层舞弊相关的内部控制缺陷,内部控制评价组应当直接向董事会(审计委员会)、监事会报告。重要缺陷并不影响企业内部控制的整体有效性,但是应当引起董事会和管理层的重视。 ?^
9TtxM
一般缺陷:可以与企业管理层报告,并视情况考虑是否需要向董事会(审计委员会)、监事会报告。
137.内部控制评价报告
企业应当以12月31日作为年度内部控制评价报告的基准日,并于基准日后4个月内报出内部控制评价报告。
《评价指引》要求企业在评价报告中至少披露以下内容: FAAqdK0
1.董事会对内部控制报告真实性的声明,实质就是董事会全体成员对内部控制有效性负责。 6Cut[*lj^
2.内部控制评价工作的总体情况,即概要说明。 'z\K0
3.内部控制评价的依据,一般指《内控规范》、《评价指引》及企业在此基础上制定的评价办法。 kW&{0xkGR
4.内部控制评价的范围,描述内部控制评价所涵盖的被评价单位,以及纳入评价范围的业务事项。 O$B]#]L+
5.内部控制评价的程序和方法。 2RDos#
6.内部控制缺陷及其认定情况,主要描述适用于企业的内部控制缺陷具体认定标准,并声明与以前年度保持一致,同时,根据内部控制缺陷认定标准,确定评价期末存在的重大缺陷、重要缺陷和一般缺陷。 ~:."BA
7.内部控制缺陷的整改情况及重大缺陷拟采取的整改措施。 FJ3Xeos4|
8.内部控制有效性的结论,对不存在重大缺陷的情形,出具评价期末内部控制有效结论,对存在重大缺陷的情形,不得做出内部控制有效的结论。并需描述该重大缺陷的成因、表现形式及其对实现相关控制目标的重要程度。
138.注册会计师的责任与角色(掌握) EJYfk?(B
《企业内部控制审计指引》中重申建立健全和有效实施内部控制,评价内部控制的有效性是企业董事会的责任。注册会计师的责任是在实施审计工作的基础上,获取充分、适当的证据,对内部控制的有效性发表意见并提供合理保证。 |2!/<%Yr`
注册会计师应按照《企业内部控制审计指引》以及其他有关的审计准则的要求,计划和实施审计工作,评价控制缺陷,从而整合其对内部控制有效性的意见。注册会计师会对财务报告内部控制的有效性发表审计意见,如果在审计过程中注意到的非财务报告内部控制的重大缺陷,将会在其内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。 :0Nd4hA
AF5.gk=
139.审计委员会与内部控制(掌握) SGMLs'D
《内控规范》第十三条要求企业在董事会下设立审计委员会。全部由独立、非行政董事组成,他们至少拥有相关的财务经验。审计委员会负责人应当具备相应的独立性、良好的职业操守和专业胜任能力。 zzfwI@4
审计委员会的职能是监督、评估和复核企业内的其他部门和系统。 #;'1a
T
就内部控制而言: Zg%SE'kK
1.审计委员会负责审查企业内部控制,监督内部控制的有效实施和内部控制的自我评价情况,协调内部控制及其他相关事宜等。 ='=\!md
2.审计委员会会得到董事会关于内部控制主要目标的授权。 ~SkdP7 )
3.审计委员会应复核企业的内部财务控制以及企业的所有内部控制和风险管理系统,除非这项任务由另外的独立风险委员会或董事会承担。 m?hC!n>
4.审计委员会还应批准年报中有关内部控制和风险管理的陈述。 vB, X)
5.审计委员会亦会收到管理层关于企业内运作的内部控制系统的有效性的报告,以及关于内部或外聘审计师对控制所执行测试的结论的报告。 3`4g*wO
>l
qWni
140.审计委员会履行职责的方式 (理解) F9]j{'#
1.建议审计委员会每年至少举行三次会议,并于审计周期的主要日期举行。 K"1xtpy
2.审计委员会应每年至少与外聘及内部审计师会面一次,讨论与审计相关的事宜,但无需管理层出席。 JpDc3^B*
3.审计委员会成员之间的不同意见如无法内部调解,应提请董事会解决。 VmrW\rH@
4.审计委员会应每年对其权限及其有效性进行复核,并就必要的人员变更向董事会报告。