企业内控与风险管理体系评价工作方案

中国水利水电第四工程局有限企业第三分局内控与风险管理体系评价测试方案

目录TOC\o"1-2"\h\z\u一、评价目标 1二、评价实施依据 1三、评价测试期间 1四、实施程序及方法 21、开启准备阶段 22、开展内部控制测试评价工作 33、评价结论阶段 54、测试结果汇报阶段 65、审批内部控制自评价汇报 6五、缺点认定标准 61、内部控制缺点认定程序 62、内部控制缺点认定标准 8六、其余工作说明 13一、评价目标为了促进中国水电第四工程局有限本局第三分局（以下简称本局）全方面评价内部控制设计和运行情况，规范内部控制评价程序和评价汇报，揭示和防范风险，依照《企业内控制基本规范》、《企业内部控制评价指导》等关于法律、法规要求，并结合本局实际情况，特制订本评价测试方案（以下简称本评价方案）。二、评价实施依据评价方案是依据中华人民共和国财政部等五部委联合公布《企业内部控制基本规范》(下称“基本规范”)、《企业内部控制应用指导》(下称“应用指导”)、《企业内部控制评价指导》(下称“评价指导”)、《企业内部控制审计指导》（下称“审计指导”）、上交所《上交所上市本局内部控制指导》(下称“上交所指导”)、《COSO企业风险管理整合框架》。结合企业内部控制制度和评价方法及本局对应内部控制流程文档，在内部控制日常监督和专题监督基础上，对本局内部控制设计与运行有效性进行评价。三、评价测试期间本局以12月31日作为年度内部控制评价汇报基准日，内部控制评价汇报于本局年度汇报公布日向中国水利水电第四工程局有限企业（以下简称企业）提交及报送。本局内部控制评价汇报基准日至内部控制评价汇报提交日之间发生重大缺点，本局管理层应给予核实，并依照核查结果对评价结论进行对应调整。因企业于5月向各分局推广并建立内部控制体系，本局于6月完成内控体系建设。为配合企业对于内控体系整体布署、测试本局内控体系有效性，此次测试工作本局选取抽样测试期间为6月1日至5月31日。今后本局应按照企业要求统一安排年末试评价时间。四、实施程序及方法1、开启准备阶段本局内控工作小组编制评价工作计划、测试底稿、下发测试资料清单，各部门准备测试资料。此次评价采取各部门交叉测试方法，详细分工见《评价工作计划》。本阶段输出结果：《评价工作计划》（见附件1）《业务流程测试底稿模板》（见附件2）《XX部提供测试资料清单》（见附件3）2、开展内部控制测试评价工作本局内控工作小组及各部门总体采取抽样法，综合利用个别访谈法、调查问卷、穿行测试、比较分析、专题讨论等方法，对本局业务流程层面内部控制设计及运行情况进行全方面测试与评价，在既定测试期间内依照抽样标准抽取穿测资料，填写《内控与风险管理体系业务流程控制测试表》。（1）测试内容对本局主要业务流程控制进行测试和评价，依照控制发生频率进行抽样检验。（2）抽样标准业务流程层面测试抽样按照控制发生频率确定样本数量，并对样本执行对应测试步骤，不一样控制发生频率对应样本数量见下表：序号控制发生频率抽样标准1每年一次12每季度一次23每个月一次54每七天一次125每日一次256天天数次307不定时发生按照控制一年内发生次数估量总量对应折算在使用上表抽样标准进行抽样时应注意：发觉某控制有且只有一个例外项（即不符合项）时，需追加一倍样本量（不重复抽样），假如在追加样本量中再发觉例外项，则无需再继续抽样，直接进入缺点认定程序,对应判定对应缺点等级，统计到“控制测试结果汇总表”测试结论；假如抽样时发觉某控制存在多个例外事项（二个及以上），直接进入缺点认定程序,对应判定对应缺点等级，统计到“控制测试结果汇总表”测试结论。对于不定时发生控制，依照控制整年发生总量折算到对应频率，比如，某控制整年发生总量约为50次，则相当于每七天发生一次，样本量按照上表中“每七天一次”对应数量抽取。抽取样本时，应充分利用专业判断，尽可能抽取性质比较特殊、包括金额较大样本。对应控制在测试期间无实际业务发生时，应在测试底稿备注栏进行说明，方便后续发生业务时进行追加测试，追加测试抽样标准同上。此次测试只对关键控制进行测试，通常控制因对风险、目标影响性较小，不在此次测试范围之内，本局今后可依照实际情况按照上述方法自行进行。本阶段输出结果《内控与风险管理体系业务流程控制测试表》（同附件2）《内控与风险管理体系缺点汇总表》（见附件4）3、评价结论阶段本局内控工作小组及各部门对现场初步认定内部控制缺点进行全方面复核、分类汇总，对缺点成因、表现形式及风险程度进行定量或定性综合分析，按照对控制目标影响程度判定缺点等级，依照缺点综合影响出具自我评价结论。对于认定内部控制缺点，评价工作小组就部门提出整改提议，要求责任部门及时整改，并跟踪其整改落实情况；已经造成损失或负面影响，依照企业相关要求追究相关人员责任。4、测试结果汇报阶段本局内控工作小组及各部门依照内部控制测试评价结果，综合汇报企业内部控制体系建设总体情况、内部控制评价工作总体情况，内部控制评价依据、范围、程序和方法，内部控制缺点及认定，内部控制缺点整改情况及重大缺点拟采取整改方法,内部控制评价结论。本阶段输出结果《中国水利水电第四工程局第X分局内部控制评价汇报》5、审批内部控制自评价汇报内部控制自我评价汇报编制完成后报送本局局长同意，由企业最终审定后上报或以其余形式加以合理利用。五、缺点认定标准1、内部控制缺点认定程序设计性缺点和执行性缺点因为缺点产生原因不一样，认定程序方面有一定差异。（1）设计性缺点认定程序整体上，依照“目标认定-风险识别与评定-控制识别-缺点认定”思绪对设计性缺点进行识别认定。首先对企业整体层面和各个业务流程层面正当合规、资产安全、财务汇报及相关信息真实完整、提升经营效率和效果以及促进企业实现发展战略等五大方面目标进行分析，识别企业在实现目标过程中风险。若果企业未设置对应控制方法对对应风险进行控制或者所设置控制方法不能起到实质控制作用，则认定为设计性缺点。（2）执行性缺点认定程序通常而言，按照“制订内部控制测试计划-执行内部控制测试-内部控制测试结果分析-缺点认定”思绪对执行性缺点进行认定。企业经过已经识别并梳理内部控制关键控制点，制订每个期间测试计划，对所需抽取样本进行复核，汇总整理测试结果，分析所发觉例外事项，即执行过程中与预先设置控制点不一致情况，最终确定执行性缺点。执行性缺点发觉通常基于已经设置而且已经执行过一段期间控制活动，但并不确保该控制活动不存在设计性缺点。即使设计性缺点和执行性缺点通常认定程序有差异，不过两部分工作没有绝正确界限。在实务过程中，可能在设计性缺点认定过程中发觉执行性缺点，也可能在执行性缺点认定程序中发觉设计性缺点。所以，实际操作缺点认定程序时，应该注意全方位分析与评定控制设计和执行有效性，识别内部控制缺点。2、内部控制缺点认定标准（1）定量标准内部控制缺点定量标准通常以其对财务报表影响程度来确定。经过比较内部缺点所影响财务数据金额与企业财务报表主要性水平，判定该缺点是属于通常缺点、主要缺点还是重大缺点。1）财务报表主要性水平企业作为盈利性经营机构，财务报表主要性水平通常经过企业总资产、净资产、主要业务收入总额、利润总额、净利润等财务指标确定。通常而言，按照上述五项财务指标一项作为基数，依摄影对应百分比范围确定企业财务报表主要性。请注意在选取主要性水平计算基数时时充分考虑企业实际情况，以选取最适当基数。财务指标主要性水平占比总资产0.5%-1%净资产0.5%-5%主营业务收入总额0.5%-1%利润总额0.5%-1%净利润5%-10%2）缺点认定定量标准对内部控制缺点可能造成或者已经造成财务报表中某科目标错报、漏报或者损失影响金额进行分析，即内部控制缺点影响额进行分析，以该数额占企业整体主要性水平比重判定内部控制缺点类型。以下表：内部控制缺点影响额占主要性百分比缺点认定>整体主要性水平重大缺点占整体主要性百分比20%-100%主要缺点<整体主要性水平20%通常缺点（2）定性标准在内部控制缺点内容不直接对财务报表造成影响而且间接造成影响额极难确定情况下，可经过分析该控制缺点所包括业务性质严重程度、其直接或潜在负面影响性质、影响范围等原因认定其缺点。下文针对重大缺点（实质性漏洞）、主要缺点和通常缺点设定了部分参考标准。1）重大缺点 对已经签发财务汇报重报更正错误（因为政策改变或其余客观原因改变造成对以前年度追溯调整除外）；审计师发觉、未被识别当期财务汇报重大错报；高级管理层中任何程度舞弊行为；风险评定职能无效；控制环境无效；重大缺点没有在合理期间得到整改；企业缺乏民主决议程序，如缺乏“三重一大”决议程序；企业决议程序不科学，如决议失误，造成重大交易失败；违犯国家法律、法规，如环境污染等；管理人员或技术人员大量流失；媒体负面新闻频现；主要业务缺乏制度控制或制度系统性失效。2）主要缺点未依照通常公认会计准则对会计政策进行选择和应用控制：未依照国内外相关准则、制度要求，制订并及时更新会计手册；未经过恰当方式做好会计手册宣传、培训，下属项目及合并报表部门未执行统一会计手册。不存在对非常规（非重复）或复杂交易控制：未对债务重组活动进行有效控制；未对外币业务进行有效控制；未对非货币性交易进行有效控制；未对复杂关联方交易进行有效控制。未设置反舞弊程序和控制；未建立并有效执行职业道德规范；未建立举报及汇报机制；未设置调查和补救方法；未对舞弊风险进行分析；未设置反舞弊对应信息与沟通机制；未对期末财务汇报过程进行控制；未对期末结账程序进行有效控制；未对纳入合并报表范围部门财务汇报过程进行有效控制；未定时查对（如每个月）内部往来交易；未对按照权益法核实对外投资相关账务处理进行审核；未对合并会计报表抵消分录进行交叉审核；未对会计报表附注进行交叉审核；未对会计报表进行分析性复核。未对财务汇报流程中包括信息系统进行有效控制：无法在交易总数过入总账时确保交易统计完整性；不能有效控制初始、授权、统计和处理总账过程；未设置期末关帐后常规（重复性）和非常规（非重复性）报表调整相关控制。3）通常缺点除重大缺点和主要缺点以外缺点，认定为通常缺点。（3）缺点汇总企业全部重大缺点（实质性漏洞）需直接进行列示或披露；对于主要缺点及通常缺点，符合下述条件时，需进行合并，汇总成一个主要或重大缺点进行列示或披露。两个或以上通常或主要内部控制缺点影响财务报表同一个会计科目，若影响额加总数小