内控审计评价操作指导书.docx

内控审计评价操作流程（XXX3）1目的22范围23规范性引用文件24术语和定义25职责26审计评价操作流程简图37发现缺陷38初步判定缺陷39汇总评价结果410最终判定缺陷911使用系统及工具912关键控制点913流程图914跟踪验证1015报告和记录1016记录保存1017支持文件和记录1018附则11附录A 公司费用审计评分示例141 目的为了规范审计评价，提高审计质量，正确反映审计对象的管理水平，特制定本操作流程。本操作流程建立了公司管理的缺陷分类和健康评级标准。2 范围本操作流程适用于公司内控管理部门对项目的审计评价。3 规范性引用文件无4 术语和定义下列术语和定义适用于本操作流程。4.1 重大缺陷（简称Cr）可能导致企业严重偏离控制目标的控制缺陷。企业内部控制评价指引，第十七条4.2 重要缺陷（简称Mj）可能导致企业偏离控制目标的控制缺陷，其严重程度或后果低于重大缺陷。企业内部控制评价指引，第十七条4.3 一般缺陷（简称Mi）除重大缺陷、重要缺陷之外的其他控制缺陷。4.4 设计缺陷缺少为实现控制目标所必需的控制，或现存控制设计不适当，即使正常运行也难以实现控制目标。4.5 运行缺陷现存设计完好的控制没有按照规定的程序和要求进行，或执行者没有获得必要授权或缺乏胜任能力以有效地实施控制。5 职责5.1 主管领导5.1.1 总裁、审计委员会(1) 对认定为重大缺陷的问题进行复核，做出最终认定意见；(2) 对内部控制评价报告中列示的问题，督促有关部门或单位采取适当的措施进行改进，对于重大缺陷应追究相关人员的责任。5.1.2 董事会秘书(1) 对认定为重大缺陷的问题进行审核；(2) 对内部控制评价报告中列示的问题，督促有关部门或单位采取适当的措施进行改进。5.2 内审部5.2.1 审计组成员5.2.1.1 审计人员(1) 负责初步认定审计发现的缺陷等级；(2) 负责跟踪审计发现缺陷的落实情况。5.2.1.2 审计组长(1) 负责审核审计发现的缺陷等级；(2) 负责统计缺陷，并综合评分，提出审计意见；(3) 负责编制项目内审报告。5.2.2 负责人(部长)(1) 负责审核审计发现的缺陷等级；(2) 负责审核项目内审报告，并提交审计委员会和总裁审批、会签。6 审计评价操作流程简图图1 审计评价操作流程简图7 发现缺陷依据实施内控审计操作流程的第9章节和项目审计操作流程作业指导书，按照审计工作测试程序的要求，对审计对象实施审计，确定审计发现的缺陷。8 初步判定缺陷8.1 缺陷分类内部控制缺陷按其成因分为设计缺陷和运行缺陷。内部控制缺陷按其影响程度分为重大缺陷、重要缺陷、一般缺陷三种。一般缺陷根据缺陷偏离目标的程度，再细分为“中等”、“较轻”和“轻微”三个级别。内部控制缺陷的划分按表1执行。表1 控制缺陷重要程度分类表分类因素缺陷重要程度分类一般缺陷重要缺陷重大缺陷轻微较轻中等偏离目标的程度定量指标（a）a1%1%a3%3%a5%5%a10%10%a定性指标（b）临界于指标：少部分要求未执行b90%轻微偏离指标：执行要求较大部分b80%略微偏离指标：执行要求略大部分b50%偏离指标的程度一般：仅执行要求的一小部分b50%严重偏离指标：有要求不执行偏离目标的可能性对存在的问题不采取任何行动，可能导致较小范围的目标偏离对存在的问题不采取任何行动，有一定的可能导致较大的负面影响对存在的问题不采取任何行动，有较大的可能导致严重的偏离控制目标的行为注1：偏离目标程度的计算方法分为两种：方式1：是针对量化指标，采用的计算公式如下：方式2：是针对定性指标，可采用完成率指标来衡量，即：有无按照要求执行以及依据要求的完成程度，计算公式如下：注2：当偏离目标的程度指标存在控制上下限的情况时，则目标值选择限制值来计算偏离目标的程度。8.2 缺陷判定在审计过程中发现控制缺陷后，首先确定内部控制的目标和要求，然后根据审计对象的内控特点及所处的特定环境，对照表1，考虑各种缺陷或替代性控制的影响，综合评估缺陷的严重程度，并做出判定。【关键控制点】：(1) 出现附表一中的问题，均判定为重大缺陷：(2) 缺陷严重程度的评估必须充分考虑以下两点对评估结论的影响：(a) 关注和分析缺陷组合风险。缺陷与偏离目标可能性之间不仅存在着一一对应关系，还存在着缺陷组合的风险叠加效应。例如，在其他控制环节严密的情况下，由出纳核对银行日记账和银行对账单是一个重要的缺陷，但是，如果同时与银行印鉴管理不严、支票管理漏洞相组合，则构成重大缺陷。(b) 替代性控制（补偿性控制）的作用。替代性控制是其他正式或非正式的控制对某一控制缺陷的遏制或弥补，可以降低发生缺陷的风险，即：控制缺陷的严重程度实际是下降的。8.3 缺陷分值采用5分制对缺陷等级进行评分（见表2）。表2 缺陷评分对照表缺陷类别无缺陷一般缺陷重要缺陷重大缺陷轻微较轻中等分数（分）5432109 汇总评价结果9.1 项目层级9.1.1 层级分类审计前，先将审计项目进行层级的划分（层级划分见示例1图示)：(1) 第一级项目（总项）：为最高层级，即审计项目，例如：公司费用审计项目中“公司费用”即为最高层级；(2) 第二级项目（分项），它是按审计项目所包涵的主要内容和特点再加以细分（见示例1“审计分项”栏）。例如：“公司费用”下分为通讯费用、车辆费用、招待费和差旅费四个二级分项（见示例2）；(3) 第三级项目（单项），它是针对二级分项具体内容的不同，再作进一步的细分（见示例1“审计单项”栏）。例如通讯费用项下细分为核查资金审批流程与权限，核查凭证合规性，核查资金结算期限，通讯费额度控制和公务通讯费的符合性共5个三级单项（见示例3）；(4) 第四级项目（条款）：为最低层级，即每一条审计条款，它是构成整个审计项目的基础单元（见示例1“控制测试内容”栏）。条款的编制主要依据法律法规、企业制度、过往的审计发现、审计追踪等要求进行编制。注：由于篇幅设置，第一级（总项）体现在审计工作测试程序表的“审计项目名称”栏。9.1.2 层级组成形式审计项目层级的组成形式可视的审计项目规模的大小及实际需要，有两种组合模式：(1) 三级组合模式：总项（分项）+单项+条款；(2) 四级组合模式：总项+分项+单项+条款。注：将中按三级进行细分时，将总项与分项合并，在计算时按总项进行处理。9.2 单项及分项权重的设置权重设置以重要程度判定为原则来设置。分项权重依据本分项在总项中的重要性进行设置，单项权重依据本单项在分项中的重要性进行设置。以“公司费用”审计项目为例：(1) 先对公司费用进行分类，分为四个二级分项：交通费，通讯费，招待费，差旅费；(2) 根据这四个分项的重要程度设置权重，见示例2。示例2：总项分项权重（%）公司费用通讯费20交通费30招待费30差旅费20合计100注：本示例为四级组合模式进行细分，当按三级模式进行分级时此表省略。(3) 根据单项在分项的重要性设置权重，见示例3。示例3：分项单项权重（%）通讯费核查资金审批流程与权限20核查凭证合规性15核查资金结算期限15通讯费额度控制20公务通讯费的符合性30合计100注：本示例为四级组合模式进行分项，当按三级模式进行分级时，分项即为审计项目（总项）。【关键控制点】：(1) 分项及单项的权重设置由审计组根据审核项目中分项的重要程度及单项在审核分项中的重要程度，商议确定。(2) 所有分项及单项的权重累加必须等于100%。9.3 统计审计得分9.3.1 条款得分根据表2的缺陷评分对照表，在审计工作测试程序表的“实际得分”栏内对每一条审计条款（即第四级）进行打分；对于“不适用“的审计条款，则在“实际得分”栏内划“/”，具体评分参见示例4中“实际得分”栏。示例4：9.3.2 单项得分将审计单项下所有审计条款的“实际得分”栏累加后除以测试程序表中单项的总审计条款数的5倍再乘以100，计算单项的得分值。即按以下公式计算：式中：5 单条审计条款的满分值为5分单项总审计条款数单项内所有适用条款数【关键控制点】：(1) 公式中的总审计条款数需剔除“不适用”的条款数。9.3.3 分项得分将审计分项内的每一个单项的得分值分别乘以各自对应的权重，再求和，即为分项的得分。即按以下公式计算：【关键控制点】：当某个单项不适用时，需对分项得分做如下处理：(1) 各个单项的权重保持不变，同时不适用的单项得分设置为零；(2) 分项得分按照以下公式计算：式中：不适用单项的权重分项内不适用单项的权重之和。9.3.4 总项得分将所有的分项得分分别乘以各自对应的权重，再求和，得到的值即为审计项目的总得分，计算公式如下：【关键控制点】：(1) 总项得分是百分制，若出现高于100分时，需检查权重、权重设置是否合理，计算是否出现错误。(2) 当某个分项不适用时，需对总项得分进行如下处理：(a) 各个分项的权重保持不变，同时不适用的分项得分设置为零；(b) 总项得分按照以下公式计算：式中：不适用分项的权重总项内不适用分项的权重之和。9.3.5 缺陷频率缺陷的频率分为重大缺陷频率（fCr）和重要缺陷频率（fMj）。计算缺陷频率主要为了依据表3确定审计项目的健康指数。计算公式如下：重大缺陷频率=重要缺陷频率=9.4 健康指数的确定根据审计项目（总项得分）的得分，结合审计项目中重大和重要缺陷出现的频率，对审核项目的运行情况做出健康指数的评定，健康指数分为五级：A（健康型）、B（成长型）、C（改进型）、D（薄弱型）和E（休克型）。具体的评价标准见表3：表3 健康指数评定等级健康指数（级）A（健康型）B（成长型）C（改进型）D（薄弱型）E（休克型）项目分值F（分）85756545F45或fCr6%或fMj30%同时满足fCr =0且fMj=0fCr=0且fMj10%fCr=0且fMj20%fCr6%fMj30%【关键控制点】：(1) A级（健康型）：内部控制的运行状况良好，无重大缺陷和重要缺陷；(2) B级（成长型）：内部控制的运行状况正常，无重大缺陷，但会有个别的重要缺陷，仍需要做一些内部控制方面的改善工作；(3) C级（改进型）：内部控制的运行中存在较多的重要缺陷，风险在加大，虽然表面上运作良好，但对于一些重要缺陷，如不加以纠正、预防措施，极有可能转变为重大缺陷，引发内部控制目标的严重偏离，必须马上纠错，并执行纠正措施。(4) D级（薄弱型）：内部控制的运行存在较大的缺陷，企业风险极大，必须马上纠错，并执行纠正措施。(5) E级（休克型）：内部控制的运行紊乱，错漏百出，企业面临重大危机，必须立即彻底整顿。10 最终判定缺陷10.1 由审计组长，根据审计评价标准对审计对象的内部控制运行情况，做出健康指数等级的初步判定结论。【关键控制点】：(1) 审计条款的缺陷判定必须严格依据表1的要求进行；(2) 初步的判定结论必须符合表3的要求；(3) 审计组长需召集审计组成员，针对重大缺陷和重要缺陷的审计发现进行讨论；讨论确定后，再将初步的评价意见写入到内审报告中。【涉及记录】：(1) 内审报告(2) 审计工作测试程序10.2 由审计组长将内审报告提交给内审部负责人审核；内审部负责人对控制缺陷和评价结论审核通过后再提交给董事会秘书审批；最后再呈报给总裁和审计委员会审批会签。通过后正式发布。【关键控制点】：(1) 当内审部负责人对缺陷的判定和健康指数的评定结论有异议时，应组织审计组成员召开会议讨论确定；(2) 重大缺陷的认定必须经由总裁和审计委员会审批后，方可最终确定。【涉及记录】：(1) 内审报告11 使用系统及工具本操作流程使用的系统及工具如下列示：(1) 电脑；(2) OA系统。12 关键控制点按照各条款的【关键控制点】执行。13 流程图13.1 评价操作流程图：见图2；图2 评价操作流程图13.2 缺陷判定流程图：见图3。图3 缺陷判定流程图14 跟踪验证评价标准运行过程，内控部门管理人员通过内审、关键部门管理人员通过管理检查、关键岗位人员通过运行检查、验证并发现SOP缺陷：(1) 对于重要或紧急的缺陷，内控部门应督导、关键部门应负责尽快组织修订；(2) 对一般性缺陷或非紧急的改进意见可提出书面报告交内控部门适时修订。(3) 对于内审提出的不合格项，按相应内部审核程序执行。(4) 当评价的方法发生变化或改进时，内控部门应对SOP进行评审和必要的更新。15 报告和记录本操作流程只形成评分记录表。16 记录保存按记录和档案管理程序和公司管理体系内部审核制度的规定，对内部控制审计活动中形成的记录进行整理、归档、保存。17 支持文件和记录17.1 支持文件以下文件对本操作流程的制定和实施起到支持作用：(1) 中华人民共和国商业集团法；(2) 中华人民共和国审计法；(3) 企业内部控制基本规范；(4) 企业内部控制评价指引；(5) 公司管理体系内部审核制度；(6) 记录和档案管理程序。17.2 记录支持本操作流程的记录如下：(1) 审计工作测试程序；(2) 审计工作底稿；(3) 内审报告。18 附则18.1 本操作流程从发布之日起开始实施。18.2 本操作流程由集团内审部负责制订和解释。18.3 本操作流程所涵盖的控制场所均以已经发布的最新版的操作流程为准。18.4 新版本发布后，旧版本文件则自动作废，不再具备使用效力。18.5 违反本操作流程的，相关责任人员将按公司有关制度的规定进行处理。更改记录（最近三次）修订发布日期原版本号更改原由修订量修订人审定人批准人附表一、特殊重大缺陷一览表序号内部控制要素要素分类重大缺陷描述1内部环境组织结构1.企业治理结构形同虚设，缺乏执行力；2.内部机构设计不科学等。发展战略1. 缺乏明确的发展战略；2. 发展战略过于激进；3. 发展战略频繁变动等。人力资源1. 人力资源缺乏、结构不合理、开发机制不健全；2. 激励约束制度不合理、人员管理不完善等。社会责任1. 安全生产措施不到位；2. 产品质量低劣；3. 环境保护投入不足；4. 促进就业和员工权益保护不够等。企业文化1. 缺乏积极的企业文化。2. 员工缺乏凝聚力和竞争力；3. 企业缺乏开拓创新、团队协作和风险意识；4. 企业缺乏诚实守信的经营理念等。2风险评估评估方法企业定性与定量相结合评估风险的方法不完善；应对策略针对识别的风险采取相应的应对策略存在不足；收集信息及策略调整机制持续收集与风险变化相关的信息并及时调整风险应对策略的相关机制的缺失或者不够健全等3控制活动不相容职务相分离控制定期轮岗制度缺陷、与职责分离有关的薄弱内控和程序等。授权审批控制企业授权审批规定的缺失，各岗位权限范围、审批程序和相应责任不明确，存在越权审批等。会计系统控制1. 会计政策的选择及执行过程中存在缺陷；2. 会计估计和政策选择不合理；3. 文件和凭证控制存在缺陷；4. 会计档案的管理有漏洞；5. 业务流程控制不完善；6. 某项业务涉及的控制政策不完善或者缺失；7. 缺乏责权明确的会计岗位制度；8. 会计凭证、会计账簿和财务会计报告相关的内控不充分等。财产保护控制1. 定期盘点、账实核对措施不完善；2. 未经授权的人员能够接触资产；3. 财产档案的管理有漏洞等。预算控制1. 预算管理职责权限不明确；2. 预算编制不规范；3. 预算执行和分析存在不足，轻视反馈等。运营分析控制1. 方法选择不恰当；2. 控制措施没有得到切实执行等。序号内部控制要素要素分类重大缺陷描述3控制活动绩效考评控制1.缺乏统一的考评标准；2.缺少科学的考核指标体系等。风险预警控制风险预警机制不完善。4信息与沟通系统规划信息系统缺乏或规划不合理，可能造成信息孤岛或重复建设。系统开发系统开发不符合内部控制要求，授权管理不当，可能导致无法利用信息技术实施有效控制。维护与安全系统运行的维护和安全措施不到位；缺乏反舞弊机制等。系统功能企业内部报告系统缺失、功能不健全，内容不完整。信息传递1. 内部信息传递不通畅、不及时，可能导致企业政策措施难以落实；2. 内部信息传递中泄露商业秘密等。5内部监督职责权限内部审计机构职责权限不明晰；监督制度1.内部监督程序不规范；2.没有明确的内部控制缺陷认定标准。监督报告没能及时、客观地向董事会、监事会或经理层报告。没有定期出具内部控制自我评价报告等。注：“重大缺陷描述”一栏内，受限于篇幅，部分条款分为多个列项，即只要符合其中一个列项就判定为重大缺陷。后续应根据核查情况进行增补。（资料性附录）附录A 公司费用审计评分示例A.1 二级分项的分类及权重设置A.1.1 对公司费用进行分类，分为交通费、通讯费、招待费和差旅费等四个分项；A.1.2 审计人员根据分项在审计项目中的重要程度，设置每个分项的权重如下表A.1：表A.1 分项设置及权重公司费用评价权重表分项（满分为100分）权重（%）交通费30通讯费20招待费30差旅费20A.2 三级单项的分类及权重设置A.2.1 将四个分项按审计需要在细分为若干个单项，如将本示例中的交通费细分成五个单项（见表A.2）；A.2.2 审计人员根据每单项在各自分项中的重要性，设置单项的权重。如下表A.2：表A.2单项设置及权重分项单项权重（%）交通费核查凭证合规性15公司交通费额度控制标准30私车公务申请35OA流程管理20合计100注1：本文仅列举“交通费用审计”作为案例，其他三个分项略去。注2：单项权重的设置由审计人员根据每次审计时各单项在分项中的核查重要性决定起比例。注3：单项名称由审计组根据每次审核需要进行总结、确定名称。A.3 条款得分取值根据核查发现，确定每一审计条款“缺陷影响的程度”情况，结合本操作流程表2取得核查条款的“实际得分”（见表A.3），得出每一审计条款的得分。表A.3审计条款缺陷影响程度和实际得分表表A.4审计条款缺陷影响程度和实际得分表A.4 单项得分统计首先统计“核查凭证合规性”单项得分，本单项共有5个条款（见本操作流程表A.4），5个条款均适用于公司的交通费管理，核查结果均为“无缺陷”（见“缺陷影响程度”栏）。然后统计这5个条款的累加得分（审计条款累加得分：5+5+5+5+5=25分），最后将5个条款的总得分除以测试程序表中适用项目总条款数的5倍再乘以100，其余三个单项（公司交通费额度控制标准、私车公务申请、OA流程管理）也按照这个方法计算，具体计算如下：通过上述计算得到表A.5所示的条款累加得分和单项得分：表A.5 条款累加得分及单项得分统计表审计分项审计单项单项权重审计条款数有效审计条款数审计条款累加得分