第一篇:2 公司整体层面控制有效性评价程序表A
公司整体层面内部控制有效性评价程序表
一、控制目标:公司制定行为规范,并使员工充分掌握和严格遵循。控制措施: 公司制定并经董事会批准后下发《员工职业道德守则》 人力资源部对员工培训,通过调查问卷,考试等形式确保员工充分了解职业道德守则的要求 公司所有员工均签署年度《员工职业道德承诺函》,确定已经知晓守则,并严格遵循;对于知晓的违规行为已经报告管理层;各级人事部门负责检查和汇总所有的员工声明并采取必要的补救措施。定期通过培训等方式向员工强调道德守则和诚信的重要性。5 将《员工手册》公布于公司网站供内外部人员查阅。评价程序: 检查《员工手册》及下发通知,确认手册中包含了员工诚信和职业道德的内容 询问人力资源部负责人,公司是否组织了关于《员工手册》等关于职业道德和诚信的培训;取得公司的完整花名册,随机抽取 名员工,核查其接受相关诚信和职业道德的《培训记录》(培训计划、培训通知、培训材料、培训记录等)。检查《工作会会议纪要》和《高管层会议讲话记录》,确认公司以会议、领导讲话等形式对员工进行了企业文化、职业道德和诚信教育。检查公司相关守则是否放置到公司网站,且该网站能够被员工和外部人员登录。
二、控制目标:建立规范的员工招聘、培训、晋升、考核机制。控制措施: 公司建立健全有关人力资源的招聘、培训、晋升、绩效考核和薪酬度。2 在关键岗位人员的招聘或晋升时应履行必要的背景调查等程序。在员工招聘、培训和晋升时,按照岗位职责要求对所需人员的技能和学识等组织实施。4 定期对公司员工进行工作业绩评价考核,并以此作为续聘、晋升等依据。评价程序: 访谈人力资源部经理,检查公司是否有正式的招聘、培训、绩效考核、薪酬及晋升制度,并取得相关的复印件审阅 检查《招聘方案》中是否报告对应聘人员的学识技能的考察(包括对相关学识或工作履历的核查);抽取适当样本员工的《背景调查记录》,确认在员工招聘和晋升时进行了背景调查,其中背景调查包括员工的学历、工作胜任能力、诚信记录等内容。从现有员工名册中选取适当样本,检查其所接受培训的记录(培训材料、考勤表、考核记录等),确定公司有相应的培训安排来提高员工的学识和技能。4 追查至《员工考核结果备案表》,确认定期进行了业绩考核。检查《年度考核方案》内容是否包括员工职业道德守则的遵循情况,并将考核结果作为续聘、工资或奖金调整,以及晋升的参考。
三、控制目标:根据公司经营管理的需要,明确公司的组织架构和岗位职责。控制措施: 有完整的组织结构图,清晰表述各部门的职责、权限和报告责任。2 管理层每年审阅公司现有的组织结构 3 明确关键岗位的职责。评价程序 取得公司的《组织结构图》;检查其完整性,并评价其是否明确反映了公司部门的报告关系,并有相应的部门职责说明,明确了各部门的职责。审阅相关《会议机要》或其他文档说明,确定公司管理层是否每年对现有的组织结构的合理性进行审阅。询问公司是否对所有关键岗位编制了《岗位职责说明》。选取关键部门的部分关键岗位(如财务、生产、销售等部门的处长以上级别人员),检查其是否有相应的《岗位职责说明》。访谈相应的岗位人员,了解其实际职责和报告关系是否与《岗位职责说明》中描述一致,而且相关人员熟悉本岗位的岗位职责及报告关系,评价关键管理人员是否具备足够知识和经验以履行其职责。检查公司关键岗位设置(如批准、保管与会计职能)是否满足公司《不相容职务相互分离暂行规定》的要求。
四、控制目标:建立和完善公司主要经济活动的授权与审批权限,并规范执行。控制措施: 明确重要经济业务活动(如资本性支出、资金支付及投融资活动等)管理与审批等权限的分配。各级管理人员被授予的权限与其所处职位相匹配。评价程序: 检查管理层对重要经济活动的审批权限的书面规定及下发的文件 在管理人员(处长以上或部门经理)中抽取适当样本,询问其是否了解自己被授予的权限。取得该管理人员当期审核批准得重大交易,检查其是否符合公司授予该管理人员的权限。3 访谈关键部门的经理,通过讨论和审阅相关的文档记录了解其如何监督手下员工正确履行职责,恰当使用所被授予的权限 选取公司当年发生的重大经济业务活动(如采购、赊销、贷款等),检查相应的审批程序是否符合公司对该等业务设定的审批权限。
五、控制目标:建立舞弊风险防范机制,明确检举举报渠道,防范和发现舞弊风险,采取有效的控制措施,避免或减少损失。控制措施: 制定并下发《反舞弊规定》和《公司举报受理、调查、处理办法》。对员工进行《反舞弊规定》和《公司举报受理、调查、处理办法》的宣传、培训。评价程序: 取得公司正式下发的《反舞弊规定》和《公司举报受理、调查、处理办法》;访谈监察室主任,了解公司如何保证反舞弊的制度要求均已清晰完整传达给所有员工,检查公司发文登记,确认是否转发了《反舞弊规定》和《公司举报受理、调查、处理办法》。从公司现有员工中抽取适当样本培训记录和考核记录,检查相关的培训材料、考勤记录及考核记录、确认公司对所有员工进行了《反舞弊规定》
六、控制目标:建立舞弊风险防范机制,明确检举举报渠道,防范和发现舞弊风险,采取有效的控制措施,避免或减少损失。控制措施: 各部门对可能存在的舞弊风险每年定期进行了自我评估及报告 2 各部门随时对可能出现的舞弊风险进行自我评估及报告 评价程序 检查《舞弊风险自我评估报告》,业务部门是否对可能的舞弊风险进行每年和不定期的评估和报告。
七、控制目标:建立舞弊风险防范机制,明确检举举报渠道,防范和发现舞弊风险,采取有效的控制措施,避免或减少损失。控制措施: 针对发现的舞弊风险,实施必要的检查程序,以确定舞弊迹象所显示的舞弊行为是否已经发生,及时做出适当整改措施。针对发现的舞弊风险,对内控缺陷进行认真分析、研究,根据重要性及影响程度进行分级管理,落实责任部门,采取有效的整改措施,以避免或减少损失,并对整改效果进行跟踪监督。评价程序 检查《舞弊评估报告》,针对发现的舞弊风险是否发生进行确定,并采取有效的整改措施。2 检查《整改措施实施监督报告》,是否落实整改责任,是否对整改措施实施跟踪监督。
八、控制目标:建立舞弊风险防范机制,明确检举举报渠道,防范和发现舞弊风险,采取有效的控制措施,避免或减少损失。控制措施: 公司的检举举报热线、信息、电子邮箱有效、畅通;监察室对收到的检举举报信息,均按照《公司举报受理、调查、处理办法》的规定,履行了记录和审阅手续,确保相关举报信息的完整性和保密性。各类举报信息均按照《公司举报受理、调查、处理办法》的调查程序进行了调查和记录。3 公司监察室定期分类汇总当期收到的检举举报信息及相应的调查处理情况,上报管理层或审计委员会。评价程序 访谈监察室主任、了解公司检举具保热线电话号码和信箱地址以及检举举报受理程序,在监察室人员的陪同下,通过拨打测试(次),检查公司的检举举报热线是否畅通,检查信箱和电子邮箱是否有效运作,并有相应的控制措施保证举报信息接受的完整性和保密性。2 从监察室的《舞弊举报受理记录表》中抽取 条登记的举报信息、检查相应的信息是否被及时、完整记录(举报信息登记表、举报受理单等)并经过监察室负责人员审阅签署意见后,按照《公司举报受理、调查、处理办法》对规定进行了处理(如立案调查、转办或存档等)。对定期发生的进入调查程序的检举举报事项,抽取适当样本《举报调查报告》检查监察室是否成立调查组,立案报告是否报领导批准,是否发放了立案通知书、立案决定书。4 检举调查中是否收集了证据及相关材料。检查对于经过调查核实的舞弊或违规事项,监察室是否以书面形式报告被检举人,并听取及记录被举报人的意见。检查是否撰写了调查报告,提出了处理意见,并经过监察室主任审阅后签署审阅意见。7 检查监察室是否定期分类汇总当期收到的检举举报信息及相应的调查处理情况,是否定期将汇总的检举举报信息上报管理层或审计委员会。检查管理层是否对发现的舞弊事项所对应的控制薄弱环节实施了及时和适当的改进措施。
九、建立有效的风险防范机制,确保公司在实现经营目标过程中,及时确认、识别存在的风险,减少损失。控制措施: 公司制定并下发《风险评估管理办法》,落实风险控制原则,提高风险防范能力。2 对员工进行《风险评估管理办法》的宣传、培训。3 成立由公司管理层组成的风险评估委员会。评价程序: 取得公司下发的《风险评估管理办法》。从现有员工中抽取适当样本检查其《培训记录》,检查相关的培训材料、考勤记录及考核记录,确保公司是否对《风险评估管理办法》进行了宣传培训。检查公司组织机构图及相关通知,确定公司是否成立了风险评估管理委员会;访谈风险评估管理委员会的工作人员,了解风险评估管理委员会的实际运作情况,取得和审阅相关工作记录(如会议纪要、风险评估报告等),确定风险评估管理委员会是否已经有效运作,并履行了职责。
十、建立有效的风险防范机制,确保公司在实现经营目标过程中,及时确认、识别存在的风险,减少损失。控制措施: 市场销售部门应对拟进行销售价格调整和推出新的重大营销策略等变动事项,进行事前风险评估,指定规避风险策略或措施,上报风险评估委员会 评价程序:
检查关于市场销售部门的《风险评估报告》,确定市场销售部门: 对拟进行销售价格调整和推出新的重大营销策略等变动事项进行了事前的风险评估,并制定了相应的风险控制策略、措施。结合公司管理要求,对本部门职责范围内的重大风险环节作了相应的风险评估工作。3 将报告提交给风险评估管理委员会,并按照风险评估管理委员会的审阅意见进行了整改。
十一、建立有效的风险防范机制,确保公司在实现经营目标过程中,及时确认、识别存在的风险,减少损失。控制措施: 建立健全固定资产投资管理内部控制制度和管理流程。2 明确固定资产投资管理权限分配和审批程序。相关部门对拟进行的较大规模固定资产投资项目等事项,进行事前风险评估,制定规避风险策略或措施,提交公司董事会讨论或上报公司高管层。评价程序: 询问相关部门负责人,并检查固定资产投资管理制度和管理流程,确认公司明确了固定资产投资管理权限与管理流程。选取公司当年发生的重大固定资产投资活动,检查相应的审批程序文件是否符合公司对该等业务审批权限。检查固定资产投资项目可行性研究报告,确认对重大投资项目进行从产品、技术、投资经济效益等方面对项目的可行性进行了充分论证,并对项目进行了事前的风险评估,制定了相应的风险控制策略、措施。检查《董事会会议机要》,确认公司对于重大固定资产投资事项,经过公司管理层集体讨论,对重大投资等事项进行了事前的风险评估,制定了相应的风险控制策略、措施。5 结合公司管理要求,对本部门职责范围内的重大风险环节做了相应的风险评估工作。6 将报告提交给风险评估管理委员会,并按照风险评估管理委员会的审阅意见进行了整改。
十二、建立有效的风险防范机制,确保公司在实现经营目标过程中,及时确认、识别存在的风险,减少损失。控制措施: 建立健全股权投资管理的内部制度和管理流程。2 明确股权投资管理权限分配和审批程序。相关部门对拟进行的重大股权投资项目等事项,进行事前风险评估,制定规避风险策略或措施,提交公司董事会讨论或上报公司高管层。公司在股权投资持有期间,通过对子公司董事会事务管理、委派董事和高级管理人员等方式,加强对子公司管控,防范经营和财务风险。评价程序: 询问与股权投资相关部门负责人,检查股权投资管理办法和管理流程,确认公司明确了股权投资全过程管理(投资决策、投资实施、持有期间管理、投资处置)等权限与管理流程。2 从公司当年发生的重大股权投资活动中随机抽取适当样本,检查相应的审批程序文件是否符合公司对该等业务审批权限。检查股权投资并购项目可研立项报告、尽职调查报告、《资产评估报告》、股权投资项目实施方案等相关文件,确认对公司重大股权投资项目的可行性进行了充分论证,并对投资项目进行了事前的风险评估,制定了相应的风险控制策略、措施。检查股权投资项目整合和管理方案,确认公司对重大股权投资项目的后续整合和管理制定了相应的风险控制策略、措施。检查外派董事上报的相关报告和总部相关部门出具的意见等相关文档,确认公司总部对子公司管控有效性。检查董事会会议纪要,确认对于重大股权投资事项,经过管理层的集体讨论,对重大投资和子公司管理等事项进行了风险评估,制定了相应的风险控制策略、措施。结合公司管理要求,对本部门职责范围内的重大风险环节做了相应的风险评估工作。8 将报告提交给风险评估管理委员会,并按照风险评估管理委员会的审阅意见进行了整改。
十三、建立有效的风险防范机制,确保公司在实现经营目标过程中,及时确认、识别存在的风险,减少损失。控制措施: 建立健全融资与担保管理的内部控制制度和管理流程。2 明确融资与担保的管理权限分配和审批程序。财务会计部应对重大股权和债权融资进行事前风险评估,制定规避风险策略或措施,提交公司董事会讨论或上报公司高管层。评价程序: 询问财务会计部及相关部门负责人,检查股权融资管理制度、债务融资及担保管理办法和管理流程,确认公司明确了股权融资和债权融资管理权限与管理流程。检查财务会计部的债务融资方案、综合授信协议等文件,确认公司对重大融资事项进行了事前的风险评估,制定了相应的风险控制策略、措施。检查董事会会议纪要,确认对于重大股权及债权融资事项,经过公司管理层和董事会的集体讨论,对重大融资等事项进行了事前的风险评估,制定了相应的风险控制策略、措施。4 结合公司管理要求,对本部门职责范围内的重大风险环节做了相应的风险评估工作。5 将报告提交给风险评估管理委员会,并按照风险评估管理委员会的审阅意见进行了整改。
十四、建立有效的风险防范机制,确保公司在实现经营目标过程中,及时确认、识别存在的风险,减少损失。控制措施: 财务部门应对国家的会计政策变动等事项,进行事前风险评估,制定规避风险策略或措施,上报风险评估委员会。评价程序:
检查财务部门的《风险评估报告》确定财务部门 对会计政策变动事项进行了事前的风险评估,制定了相应的风险控制策略、措施。2 结合公司管理要求,对本部门职责范围内的重大风险环节做了相应的风险评估工作。3 将报告提交给风险评估管理委员会,并按照风险评估管理委员会的审阅意见进行了整改。
十五、建立有效的风险防范机制,确保公司在实现经营目标过程中,及时确认、识别存在的风险,减少损失。控制措施: 建立健全公司关联交易的管理制度,明确关联交易管理职责、管理权限和管理流程。2 明确关联交易重要环节(如关联交易的设计、成本和价格的确定等)的执行原则和审批程序。明确关联交易年度报告信息披露的内容以及授权审批程序。4 相关部门对拟进行的关联交易事项进行事前风险评估,制定规避风险策略或措施,上报总裁办公会,必要时上报董事会审批。评价程序: 询问财务会计部及相关部门负责人,检查关联交易管理制度,确认公司明确了关联交易的执行原则,管理权限以及信息披露的审批程序,并且对关联交易中存在的风险制定了相应的控制措施。从公司当年发生的关联交易活动中抽取适当样本,检查《关联交易协议》是否符合上述制度的管理要求。检查《董事会会议纪要》,确认对于涉及关联交易的事项,经过公司管理层和董事会的集体讨论,对关联交易事项进行了事前的风险评估,制定了相应的风险控制策略、措施。4 结合公司管理要求,对本部门职责范围内的重大风险环节做了相应的风险评估工作。5 将报告提交给风险评估管理委员会,并按照风险评估管理委员会的审阅意见进行了整改。
十六、建立有效的风险防范机制,确保公司在实现经营目标过程中,及时确认、识别存在的风险,减少损失。控制措施: 企业法律部门应对重大法律事项进行事前风险评估,制定规避风险策略或措施,上报风险评估委员会。评价程序:
检查企业法律部门的《风险评估报告》确定 对重大法律事项进行了事前的风险评估,制定了相应的风险控制策略、措施。2 结合公司管理要求,对本部门职责范围内的重大风险环节做了相应的风险评估工作。3 将报告提交给风险评估管理委员会,并按照风险评估管理委员会的审阅意见进行了整改。
十七、建立有效的风险防范机制,确保公司在实现经营目标过程中,及时确认、识别存在的风险,减少损失。控制措施: 每年至少一次定期召开风险评估委员会会议,围绕公司每年确定的经营发展目标,对各部门分析与预测影响目标实现的主要风险、影响程度及控制现状进行讨论,提出改进风险控制的措施,明确风险控制责任单位或个人,形成风险评估报告。遇有重大预测事项,启动风险评估委员会特别会议进行风险评估报告。3 风险评估委员会管理并监督各部门根据风险评估结果,落实风险控制措施。评价程序: 检查《风险评估报告》和《会计纪要》,风险评估管理委员会是否每年召开会议,对各部门分析与预测影响目标实现的主要风险、影响程度及控制现状进行讨论,提出改进风险控制措施。确定风险评估管理委员会是否对各业务部门上报的公司重大决策事项风险评估报告进行了讨论及建议;了解公司当期重大资产投资、融资、营销等事项,检查其是否履行了相应的风险评估程序。检查《会议纪要》和《风险控制记录》,风险评估管理委员会是否对各部门的风险评估结果和控制措施执行进行了监督。
十八、建立有效的风险防范机制,确保公司在实现经营目标过程中,及时确认、识别存在的风险,减少损失。控制措施: 风险评估委员会将风险评估报告定期报管理层审阅 评价程序: 检查审阅记录是否记录了风险评估管理委员会将风险评估报告定期报管理层审阅以及管理层出具了相应的审阅意见。
十九、对生产经营情况及时分析和报告,对存在问题采取改进措施。控制措施: 按照规定的财务报表分析程序和摸版,对财务报表数据或关键财务指标的重大及异常波动进行分析,以发现可能的重大错报、漏报。定期召开生产经营分析会,财务等部门汇总生产经营信息,向公司管理层报告,分析预算执行差异及原因,提出改进措施。各部门根据会议要求对需改进事项进行组织落实。评价程序: 访谈财务经理,了解财务报表分析的编制过程,编制频率 抽取适当的样本检查财务部编制的财务报表分析,比较其是否执行了相应的分析和审核工作,对发现的异常情况执行了必要的调查,并有相应的文字说明和解释。对于分析中发现的问题,提出了相应的整改补救措施,并落实到相应的责任部门。抽取适当样本生产经营分析会的《会议纪要》及对应的《月度经营分析资料》,检查是否定期进行了生产经营分析,并提出改进措施。抽取适当样本《督办记录》,确认各部门是否对需改进事项进行组织落实。
二十、制定了明确年度的经营发展等目标,并落实实施。控制措施: 公司制定了经董事会批准的年度经营目标、财务预算及资本性开支计划。公司应每季度向董事会报告年度财务预算的执行情况,及下一季度将要发生的重大交易等事项。评价程序: 访谈公司计划部、财务部经理及公司总经理,了解公司预算制定的程序。检查公司当年经董事会批准《年度经营目标》、《财务预算》、《资本性开支计划》等文件;评价其是否同公司的经营目标和经营战略一致,并且没有明显不合理(目标是否过高或不切实际的目标)。检查公司季度财务数据分析材料(两个季度)及董事会的相关《会议纪要》,确定公司是否将年度预算执行情况和下一季度将要发生的重要交易上报董事会讨论。
二十一、确定合理的绩效目标,建立高级管理层薪酬与绩效目标实现挂钩的机制。控制措施: 薪酬委员会与公司管理层根据公司经营预算目标签定的业绩考核合同并上报董事会批准。2 董事会根据公司经营预算目标完成情况,实施对公司管理层的考核并与薪酬挂钩。评价程序: 检查薪酬委员会同公司管理层签定的确定报酬的业绩合同。检查董事会是否根据业绩完成情况,审核批准公司管理层的薪酬发放的审批表和相关会议纪要。
二十二、建立与公司经营管理相适应的计算机信息系统 控制措施: 建立健全公司计算机信息系统的管理制度、明确计算机信息系统管理职责、管理权限和管理流程。计算机信息系统战略规划、重要信息系统政策等重大事项由董事会审批通过后,方可实施。3 计算机信息管理部门与使用部门保持独立,且有正式的数据传输工作。4 计算机信息管理部门,人员设置和组织结构与公司业务复杂程度和规模相适应。5 电子数据处理工作被合理的监督。评价程序: 询问计算机信息管理部门及相关部门负责人,检查计算机信息管理制度,确认公司明确了计算机信息系统管理职责、管理权限和管理程序,并且对计算机信息管理中存在的风险制定了相应的控制措施。检查《董事会会议纪要》,确认对于涉及计算机信息系统战略规划、重要信息系统政策等事项,经过董事会的讨论批准。获取《岗位职责说明》,确定职责分工定义清晰。抽取适当员工样本,询问其是否熟悉本岗位的职责,观察是否按正式而规范的数据传递程序进行数据处理。检查相关文件记录是否符合规定程序。获取计算机信息管理部门组织结构图,确定不相容职位都有专人负责,人员的数量适当。检查工作人员的资历情况,确定工作人员的技能是否能适应复杂的IT环境和行业。询问高级管理人员或检查董事会会议纪要,确定是否有与经营策略相一致的IT策略。询问各层次监督和管理人员,并抽取适当监督记录样本,确定其已按规定程序实施监督。
二十三、制定信息管理制度,确保数据的安全性 控制措施: 对接触计算机系统的授权划分级别:禁止、只读、可读可写、可读可删除;进入计算机系统需要密码,密码是经过谨慎的设计,保密并且定期变换。2 有相应的措施检测违规进入并作出反应。3 建立程序和文件的档案库,并由专人负责。所有数据都备份并保存在计算机设备以外的安全地方。5 对控制文档进行归档,且由主管人员定期复核。计算机信息管理部门在组织内建立流程,以保护信息系统和技术免受病毒影响。评价程序: 询问计算机系统的授权划分,选取不同授权样本,分别正确密码和错误密码登录计算机系统,以确定其与授权及设计一致。询问相关管理人员,检查是否有违规事项检查报告,复核修正信息。必要时,可由注册会计师输入适当信息,以确定违规操作被控制。询问相关管理人员,观察相关数据和档案信息的流转程序,确定档案库有专人管理,并履行规定职责。询问数据备份周期及保存情况,以确定数据信息的安全。抽取适当报告文件,检查是否有复核签字记录,对异常事项是否有适当处理。询问相关管理人员是否建立完善的处理流程,规范当发现系统受到病毒攻击时的处理。检查计算机信息管理部门是否布置了“服务器-客户端”架构的防病毒软件。是否对所有服务器防病毒软件运行情况进行了监控,是否对工作站的防病毒软件运行情况定期进行检查。
二十四、建立董事会定期与法律顾问沟通的机制 控制措施: 公司的法律顾问应出席董事会的有关会议,讨论重大的交易事项、法律事项及违反道德守则等事项,以确保上述事项对公司的影响及法律风险降到最低。评价程序: 检查《董事会会议纪要》,确定法律顾问是否出席了董事会的有关会议,并参与讨论了重大的交易事项、法律事项及违反道德守则等事项,这些事项对公司财务报告的影响。
二十五、执行统一的会计政策 控制措施: 根据国家的会计准则,制定和维护公司会计政策,并监督执行。2 财务负责人评估公司采用的重大会计政策和会计估计。财务经理将公司统一的会计制度手册和会计处理办法下发给相关财务人员,或将手册放置在所有财务人员能够随时查询的位置。就公司的财务会计制度,尤其是新下发的会计处理办法,财务经理组织对会计人员的培训,确保公司会计政策得到统一执行。财务经理复核会计人员的相关会计凭证,确保会计处理符合公司的制度要求。评价程序: 询问财务经理公司的财务制度手册是否下发给了相关财务人员,公司是否及时组织了对财务人员的培训,检查相应的培训记录。检查适当样本询问相关会计人员是否知晓公司的财务制度手册,对于公司下发的新的财务会计政策,是否接受了相应的培训,检查相应的培训记录。结合对控制活动中有关财务报告流程的测试结果,评价确定公司的各项业务是否按照公司下达的统一会计制度执行,同时财务经理会复核会计人员的相关会计凭证,确保会计处理符合公司制度要求。
二十六、公司应该采用最新的会计政策和会计准则;所有新业务产生的交易需要经过复核以决定恰当的会计处理方式。控制措施: 公司财务会计部每季度收集最新的会计政策和会计准则,正常经营活动、关联方业务变更情况。对新业务和特殊业务需提交关键事项会计处理的请示上交财务负责人;财务负责人负责判断新业务的会计处理,并下达批复文件。评价程序: 询问财务会计部负责人,如何进行会计准则、正常经营业务变更情况的收集 询问财务会计部负责人,检查《关键事项会计处理的请示》及《批复》,确认公司对于新业务和特殊业务的会计处理事前上报审批,财务部组织了专人负责判断新业务和特殊业务的会计处理方式。
二十七、保证内部审计适当独立于管理层。控制措施: 审计委员会需对由公司管理层提名,内审部门负责人的任免审查同意。评价程序: 检查《审查记录》,确定由管理层提名的内审部门负责人的任免,经过审计委员会审查同意。
二十八、审计委员会成员符合法规对于独立性及经验的要求。控制措施: 董事会中应聘有独立董事、非执行董事,并履行聘任考察程序,确保其独立性。2董事会下设的审计委员会,按照《审计委员会章程》履行职责,其成员全部由独立董事组成,并有一名财务会计背景的成员。评价程序: 检查《董事会成员名单》,确定董事会的成员中有独立董事。检查《董事会会议纪要》,是否对独立董事的背景进行调查,确保其独立性。检查《审计委员会成员名单》和《审计委员会成员的背景资料》,确定审计委员会的成员是否均为独立董事,是否有一名成员符合有关“财务专家”的要求。4 检查《审计委员会章程》中是否有对成员独立性的具体要求。
二十九、审计委员会按规定履行自身的职责,对公司外部审计的工作计划等实施监控。控制措施: 审计委员会要审议批准公司聘请的外部审计师及审计业务范围、内容、收费等,并判断审计师的独立性,形成审计委员会的会议纪要。评价程序: 抽取一份《审计业务约定书》和《审计委员会会议纪要》,检查审计委员会在公司同外部审计师签署审计业务约定书之前,是否就审计业务的范围、内容、收费和审计师独立性等进行商讨确定,是否有审批记录。
三
十、审计委员会定期审阅公司对外报送的财务报告,监督其真实性、完整性。控制措施: 审计委员会应定期审阅或审批公司对外报送的财务报告。评价程序: 1 检查《审计委员会会议纪要》,审计委员会是否对财务报告进行了审阅。
三
十一、建立审计委员会定期与外部审计师及公司内审部门沟通的机制。控制措施: 审计委员会定期与外部审计师单独讨论财务报告审计中发现的问题、公司内控建设情况及管理层态度。审计委员会定期与内审部门单独讨论公司内部审计的工作情况。评价程序: 检查《审计委员会会议纪要》,是否有审计委员会定期与外部审计师单独讨论审计中发现的问题和内控建设情况,管理层是否进行了充分的回应。检查《审计委员会会议纪要》,是否有审计委员会定期与内审部门单独讨论公司内部审计的工作情况。
三
十二、审计委员会履行自我评估的职能。控制措施: 审计委员会定期对履行监督职能的情况进行自我评估,并提出改进建议。评价程序: 检查审计委员会的《自我评估报告》,并就评估报告中的控制薄弱环节,了解其补救或整改措施及执行情况。
三
十三、建立有效的内部审计工作机制。控制措施: 制定并下发《内部审计工作规范》,并按照要求组织开展内部审计工作。评价程序: 查看《内部审计工作规范》确定其内容是否包括如下内容: 1)有对于内审部门职责的规定。2)有对于控制风险管理的专门指导培训 3)有对于内审部门权限的规定
4)有明确的舞弊调查和处理责任划分和程序,并将舞弊调查纳入年度审计计划。审阅内部审计当年向审计委员会的工作报告,确定内部审计是否按照《内部审计工作规范》的要求履行了职责。抽取当年的年度审计计划以及适当样本审计工作记录(如工作计划、工作底稿、审计报告等),检查其是否按照《内部审计工作规范》执行内部审计工作。三
十四、制定内部审计年度计划,明确审计工作重点,并落实执行。控制措施: 内审部门的年度审计工作计划,应在评估风险优先次序的基础上,确定年度审计范围和工作重点,经管理层批准后报审计委员会审阅。审计工作计划应包括风险评估监督、内控评审、经营过程监督控制、经营效益及经济责任审计等。评价程序: 结合《上年度风险评估报告》检查《审计工作计划》是否考虑了上年度的风险评估出现问题的事项,是否有审计委员会的审阅记录。检查审计工作计划是否包括了风险评估监督、内控评审、经营过程监督机制、经营效益及经济责任审计等。
三
十五、确保内审人员的专业胜任能力,保证审计工作质量。控制措施: 内审人员定期参加有关业务培训,学习会计、审计、法律、经济等方面的新知识。2 内审部负责人结合绩效考核,对内审人员职业素质定期进行考核,并做好考核记录。3 内审部门应对审计方案、审计实施、审计报告等审计全过程的审计质量加以控制,特别是审计方案、审计证据、审计工作底稿、审计报告等重要环节的质量。4 完善审计基础管理,及时做好审计文档的归档工作。评价程序: 选取适当样本内审人员本年的培训记录,确定培训内容是否包括会计、审计、法律、经济等方面的新知识,并经过考核。分别抽取适当样本本年审计项目的审计方案、工作底稿、审计报告,检查审计方案是否经过项目负责人的审核,是否清晰表述了审计的目的和范围、人员及时间安排,拟订的审计程序及样本选择要求等,并检查方案是否得到充分执行和记录,确定报告得到适当复核。3 检查公司对审计的工作质量进行检查的情况记录,以及上述检查结果是否可以作为内审工作年度绩效考核的依据。选取当年的适当审计项目,检查其文档资料的编号是否已经包含在当年的文档清单(或文档统计表)中,取得文档清单,检查其是否经过审计部负责人的复核及签字确认。
三
十六、对内控评审及审计中发现的问题进行督促检查,确保整改落实。控制措施: 内控评审和审计中发现的问题应及时反馈给相关单位,并向管理层报告。2 帮助查找问题发生的原因,并协助提出整改措施。3 跟踪检查整改措施的落实情况。评价程序: 检查审计报告、审计意见书,确认审计中发现的问题已及时报告管理层和反馈相关单位。2 检查《整改报告》,被审计单位是否在内审监督下完成整改措施。
三
十七、对举报追查事项进行追踪监督,确保舞弊防范机制运行有效。控制措施: 审计委员会应监督公司检举举报程序(包括举报内容的后续追踪和公司独立的调查),并抽取调查记录。评价程序: 检查《举报调查报告》、《检举举报处理调查汇总信息》和《审计委员会抽查记录》,审计委员会是否就举报调查情况进行了审阅和讨论,是否抽查了相应的调查处理记录。
第二篇:企业内部控制整体层面和各项循环关键控制点汇总
公司整体层面内部控制 控制目标 控制措施 1 行为规范
公司制定行为规范,并使员工充分掌握和严格遵循 公司制定并经董事会批准后下发《员工职业道德守则》。2 人力资源部对员工培训,通过调查问卷,考试等形式确保员工充分了解职业道德守则的要求。公司所有员工均签署《员工职业道德承诺函》,确定已经知晓守则,并严格遵循;对于知晓的违规行为已经报告管理层;各级人事部门负责检查和汇总所有的员工声明并采取必要的补救措施。定期通过培训等方式向员工强调道德守则和诚信的重要性。5 将《员工手册》公布于公司网站供内外部人员查阅。2 人力资源
建立规范的员工招聘、培训、晋升、考核机制。公司建立健全有关人力资源的招聘、培训、晋升、绩效考核和薪酬制度。2 在关键岗位人员的招聘或晋升时应履行必要的背景调查等程序。在员工招聘、培训和晋升时,按照岗位职责要求对所需人员的技能和学识等组织实施。4 定期对公司员工进行工作业绩评价考核,并以此作为续聘、晋升等依据。3 组织架构和岗位职责
根据公司经营管理的需要,明确公司的组织架构和岗位职责。有完整的组织结构图,清晰表述各部门的职责、权限和报告责任。2 管理层每年审阅公司现有的组织结构。3 明确关键岗位的职责。4 授权与审批
建立和完善公司主要经济活动的授权与审批权限,并规范执行。明确重要经济业务活动(如资本性支出、资金支付及投融资活动等)管理与审批等权限的分配。各级管理人员被授予的权限与其所处职位相匹配。5 防范舞弊
建立舞弊风险防范机制,明确检举举报渠道,防范和发现舞弊风险,采取有效的控制措施,避免或减少损失。制定并下发《反舞弊规定》和《公司举报受理、调查、处理办法》。对员工进行《反舞弊规定》和《公司举报受理、调查、处理办法》的宣传、培训。3 各部门对可能存在的舞弊风险每年定期进行了自我评估及报告。4 各部门随时对可能出现的舞弊风险进行自我评估及报告。5 针对发现的舞弊风险,实施必要的检查程序,以确定舞弊迹象所显示的舞弊行为是否已经发生,及时做出适当整改措施。针对发现的舞弊风险,对内控缺陷进行认真分析、研究,根据重要性及影响程度进行分级管理,落实责任部门,采取有效的整改措施,以避免或减少损失,并对整改效果进行跟踪监督。公司的检举举报热线、信息、电子邮箱有效、畅通;监察室对收到的检举举报信息,均按照《公司举报受理、调查、处理办法》的规定,履行了记录和审阅手续,确保相关举报信息的完整性和保密性。各类举报信息均按照《公司举报受理、调查、处理办法》的调查程序进行了调查和记录。9 公司监察室定期分类汇总当期收到的检举举报信息及相应的调查处理情况,上报管理层或审计委员会。6 防范经营风险
建立有效的风险防范机制,确保公司在实现经营目标过程中,及时确认、识别存在的风险,减少损失 销售
固定资产投资
股权投资
融资担保
会计政策
关联交易公司制定并下发《风险评估管理办法》,落实风险控制原则,提高风险防范能力。2 对员工进行《风险评估管理办法》的宣传、培训。3 成立由公司管理层组成的风险评估委员会。市场销售部门应对拟进行销售价格调整和推出新的重大营销策略等变动事项,进行事前风险评估,指定规避风险策略或措施,上报风险评估委员会。5 建立健全固定资产投资管理内部控制制度和管理流程。6 明确固定资产投资管理权限分配和审批程序。相关部门对拟进行的较大规模固定资产投资项目等事项,进行事前风险评估,制定规避风险策略或措施,提交公司董事会讨论或上报公司高管层。8 建立健全股权投资管理的内部制度和管理流程。9 明确股权投资管理权限分配和审批程序。相关部门对拟进行的重大股权投资项目等事项,进行事前风险评估,制定规避风险策略或措施,提交公司董事会讨论或上报公司高管层。公司在股权投资持有期间,通过对子公司董事会事务管理、委派董事和高级管理人员等方式,加强对子公司管控,防范经营和财务风险。建立健全融资与担保管理的内部控制制度和管理流程。13 明确融资与担保的管理权限分配和审批程序。财务会计部应对重大股权和债权融资进行事前风险评估,制定规避风险策略或措施,提交公司董事会讨论或上报公司高管层。财务部门应对国家的会计政策变动等事项,进行事前风险评估,制定规避风险策略或措施,上报风险评估委员会。建立健全公司关联交易的管理制度,明确关联交易管理职责、管理权限和管理流程。17 明确关联交易重要环节(如关联交易的设计、成本和价格的确定等)的执行原则和审批程序。明确关联交易报告信息披露的内容以及授权审批程序。相关部门对拟进行的关联交易事项进行事前风险评估,制定规避风险策略或措施,上报总裁办公会,必要时上报董事会审批。企业法律部门应对重大法律事项进行事前风险评估,制定规避风险策略或措施,上报风险评估委员会。每年至少一次定期召开风险评估委员会会议,围绕公司每年确定的经营发展目标,对各部门分析与预测影响目标实现的主要风险、影响程度及控制现状进行讨论,提出改进风险控制的措施,明确风险控制责任单位或个人,形成风险评估报告。遇有重大预测事项,启动风险评估委员会特别会议进行风险评估报告。风险评估委员会管理并监督各部门根据风险评估结果,落实风险控制措施。24 风险评估委员会将风险评估报告定期报管理层审阅。7 分析生产经营和落实经营目标
对生产经营情况及时分析和报告,对存在问题采取改进措施。
制定了明确的经营发展等目标,并落实实施。1 按照规定的财务报表分析程序和摸版,对财务报表数据或关键财务指标的重大及异常波动进行分析,以发现可能的重大错报、漏报。定期召开生产经营分析会,财务等部门汇总生产经营信息,向公司管理层报告,分析预算执行差异及原因,提出改进措施。各部门根据会议要求对需改进事项进行组织落实。公司制定了经董事会批准的经营目标、财务预算及资本性开支计划。2 公司应每季度向董事会报告财务预算的执行情况,及下一季度将要发生的重大交易等事项。8绩效考核
确定合理的绩效目标,建立高级管理层薪酬与绩效目标实现挂钩的机制 薪酬委员会与公司管理层根据公司经营预算目标签定的业绩考核合同并上报董事会批准。2 董事会根据公司经营预算目标完成情况,实施对公司管理层的考核并与薪酬挂钩。9计算机信息
建立与公司经营管理相适应的计算机信息系统
制定信息管理制度,确保数据的安全性 建立健全公司计算机信息系统的管理制度、明确计算机信息系统管理职责、管理权限和管理流程。计算机信息系统战略规划、重要信息系统政策等重大事项由董事会审批通过后,方可实施。3 计算机信息管理部门与使用部门保持独立,且有正式的数据传输工作。计算机信息管理部门,人员设置和组织结构与公司业务复杂程度和规模相适应。5 电子数据处理工作被合理的监督。对接触计算机系统的授权划分级别:禁止、只读、可读可写、可读可删除;进入计算机系统需要密码,密码是经过谨慎的设计,保密并且定期变换。2 有相应的措施检测违规进入并作出反应。3 建立程序和文件的档案库,并由专人负责。所有数据都备份并保存在计算机设备以外的安全地方。5 对控制文档进行归档,且由主管人员定期复核。计算机信息管理部门在组织内建立流程,以保护信息系统和技术免受病毒影响。10董事会与法律顾问沟通
建立董事会定期与法律顾问沟通的机制
公司的法律顾问应出席董事会的有关会议,讨论重大的交易事项、法律事项及违反道德守则等事项,以确保上述事项对公司的影响及法律风险降到最低。11会计政策和会计处理 执行统一的会计政策
公司应该采用最新的会计政策和会计准则;所有新业务产生的交易需要经过复核以决定恰当的会计处理方式。1 根据国家的会计准则,制定和维护公司会计政策,并监督执行。2 财务负责人评估公司采用的重大会计政策和会计估计。财务经理将公司统一的会计制度手册和会计处理办法下发给相关财务人员,或将手册放置在所有财务人员能够随时查询的位置。4 就公司的财务会计制度,尤其是新下发的会计处理办法,财务经理组织对会计人员的培训,确保公司会计政策得到统一执行。财务经理复核会计人员的相关会计凭证,确保会计处理符合公司的制度要求。1 公司财务会计部每季度收集最新的会计政策和会计准则,正常经营活动、关联方业务变更情况。对新业务和特殊业务需提交关键事项会计处理的请示上交财务负责人;财务负责人负责判断新业务的会计处理,并下达批复文件。12审计委员会 保证内部审计适当独立于管理层。审计委员会成员符合法规对于独立性及经验的要求。审计委员会按规定履行自身的职责,对公司外部审计的工作计划等实施监控。4 审计委员会定期审阅公司对外报送的财务报告,监督其真实性、完整性。5 建立审计委员会定期与外部审计师及公司内审部门沟通的机制。审计委员会履行自我评估的职能 审计委员会需对由公司管理层提名,内审部门负责人的任免审查同意。董事会中应聘有独立董事、非执行董事,并履行聘任考察程序,确保其独立性。
2董事会下设的审计委员会,按照《审计委员会章程》履行职责,其成员全部由独立董事组成,并有一名财务会计背景的成员。审计委员会要审议批准公司聘请的外部审计师及审计业务范围、内容、收费等,并判断审计师的独立性,形成审计委员会的会议纪要。审计委员会应定期审阅或审批公司对外报送的财务报告。审计委员会定期与外部审计师单独讨论财务报告审计中发现的问题、公司内控建设情况及管理层态度。审计委员会定期与内审部门单独讨论公司内部审计的工作情况。审计委员会定期对履行监督职能的情况进行自我评估,并提出改进建议。13内部审计 建立有效的内部审计工作机制。制定内部审计计划,明确审计工作重点,并落实执行。确保内审人员的专业胜任能力,保证审计工作质量。1 制定并下发《内部审计工作规范》,并按照要求组织开展内部审计工作。1 内审部门的审计工作计划,应在评估风险优先次序的基础上,确定审计范围和工作重点,经管理层批准后报审计委员会审阅。审计工作计划应包括风险评估监督、内控评审、经营过程监督控制、经营效益及经济责任审计等。1 内审人员定期参加有关业务培训,学习会计、审计、法律、经济等方面的新知识。2 内审部负责人结合绩效考核,对内审人员职业素质定期进行考核,并做好考核记录。3 内审部门应对审计方案、审计实施、审计报告等审计全过程的审计质量加以控制,特别是审计方案、审计证据、审计工作底稿、审计报告等重要环节的质量。4 完善审计基础管理,及时做好审计文档的归档工作。14跟踪检查整改措施和追踪举报调查事项 对内控评审及审计中发现的问题进行督促检查,确保整改落实。
2对举报追查事项进行追踪监督,确保舞弊防范机制运行有效。内控评审和审计中发现的问题应及时反馈给相关单位,并向管理层报告。2 帮助查找问题发生的原因,并协助提出整改措施。3 跟踪检查整改措施的落实情况。审计委员会应监督公司检举举报程序(包括举报内容的后续追踪和公司独立的调查),并抽取调查记录。
具体循环内部控制 控制目标 关键控制点 销售与收款循环内部控制 一 销售收入被完整记录
二 销售收入被及时入账
三 销售退回 销售折让被正确处理
四 应收账款的完整和安全
五 公司的销售信用政策被得到严格执行
六 控制应收票据的贴现和背书
1.与适当的销售人员核对经审批的订单
2.定期核对销售合同管理系统中的合同范围与销售订单范围的一致性 3.将船(装)运单和销售发票预先编制号码并记录 4.监控客户对错误发票或报表的投诉次数
5.定期抽查核对销售记录 产品出库计量 销售会计记录 产品实物记录 1.公司接受的船(装)运单为清洁提单或符合合同约定的条款
2.如为非标准的航运方式或合同条款则与负责应收账款的财务人员进行必要的沟通 3.财务人员在开具发票之前确认发货条件或合同条款 4.开票时有符合授权的审批签认并被检查
5.发票开具或附和销售收入确认条件成立后是否及时入账 6.根据已发运货物和已开票货物编制调节表
1.所有的销售退回或折扣都有符合授权的审批签字 2.有关的销售退回和折扣都及时录入明细账 3.每一单销售退回都有库房收货单
4.每一单销售退回或涉及质量的折扣都有质检单 5.销售退回并不是经常事项或大额年初事项 6.对销售退回或折让是否有跟客户沟通记录
1.每月财务部门提供未收款明细 账龄分析等内部管理报表 2.坏账发生审批手续是否齐备 3.坏账发生记录是否及时入账 4.坏账准备估计是否申报审批 5.坏账发生是否与员工绩效挂钩
1.是否建立客户台账并定期对信用情况进行更新 2.信用授权或更改条件是否有符合授权的审批签字
3.超信用授权的例外事项发生时是否有符合授权的审批签认 4.是否对需要新授信的客户进行前期调查
1.有专人负责银行票据 商业票据的保管和记录 2.定期盘点有价票据
3.银行票据商业票据的入账有关的销售记录销售合同及发货记录 4.银行票据的贴现有符合授权的批准签认 5.商业票据的背书转让有符合授权的批准签认
6.对新收到的商业票据有专门的审核人员复核票据的合法性 2 采购与付款循环内部控制 一 不相容职务分离
二 请购申请是由归口管理部门提出,并按公司预算管理进行 三 经审批的采购支付是合理的业务活动
四 所有购入货物均按制度验收
五 完整记录采购业务情况
1.检查下列采购与付款业务不相容岗位严格分离
1)请购与审批
2)询价与确定供应商
3)采购合同的订立与审核
4)采购与验收
5)采购 验收与相关会计记录
6)付款审批与付款执行
2.特别关注公司不得由同一部门或个人办理采购与付款业务的全过程 1.检查请购申请是由归口管理部门根据请购制度提出 2.请购申请内容与预算相一致
1.检查经审批的文件,关注审批付款人员是否独立于采购收货和应付账款等职能 2.经批准付款的支持文件付款过后是否已立即存档或标注,以防被再次用来付款 3.根据请购审批制度对所有采购经适当批准后才发出采购单 4.对于超预算和预算外采购项目是否根据制度进行了特别审批
1.由独立的验收部门或指定专人对所购物品或劳动的品种 规格 数量 质量和其他相关内部进行验收,并出具验收证明
2.对验收过程中发现的异常情况,负责验收的部门或人员是否立即向有关部门报告 有关部门是否查明原因,及时处理4.建立永续盘存制度并严格执行 1.采购订单的资料已正确输入 2.所有的采购订单已经输入及处理
3.记入到应付账款的金额代表已收到货物或已收受服务 4.应付账款的金额已经准确计算与记录 5.所有已收的货物已记录到应付账款 3 存货与生产循环内部控制 一 不相容职务分离
二 计划和安排生产
三 发出原材料
四 生产产品
五 储存产成品
六 出发产品
七 产成品成本核算
1.生产计划编制人员与生产计划的审批人员分离 2.存货发出的申请与审批,申请与会计记录 3.存货处置的申请与审批,申请与会计记录 4.存货盘点与监盘人员分离
1.定期编制生产计划并根据顾客订单或市场状态和存货分析及时调整 2.根据批准(或调整后)的生产计划编制生产通知单 3.生产通知单经过控制部门批准 4.使用和控制预先编号的生产通知单 1.仓库发出材料要求有经过审批的发料单 2.采用限额领料单,超限额领料办理审批手续 3.剩余领料办理月末假退料手续
4.材料耗用汇总表包括在生产活动报告中 1.物化劳动和所有耗费经过正确计量 2.生产活动经过正确记录
3.已完工产品经过本工序合适人员审批后转移 1.存货管理独立有效
1)所有存货集中管理
2)存货的防盗措施周密
3)设有专职的存货保管人员
4)存货的分检 堆放 仓储条件等良好
5)仓库存货按种类性质集中堆放并标记
6)寄存品 受托加工商品独立管理 堆放
7)废弃 损坏和滞销存货独立管理并定期报告
8)时效性存货独立管理并定期报告
9)委托外单位加工的存货,其收发存情况由专人登记和控制,定期与委托单位核对 2.存货入库履行验收手续
1)存货入库履行手续,对名称 规格 型号 数量 质量和价格等逐项核对
2)存货根据经审核的入库单登记入账 3.及时 准确记录存货
1)仓库建立存货收发存台账制度并及时登记
2)原材料 产成品的收发存月报表根据当月的入库单 领料单等分别汇总编制
3)财务与仓库定期对账,并及时分析 根据审批调整相关差异
4)存货的数量由负责存货记录之外的独立人员核证 4.建立永续盘存制度并严格执行
1)所有存货均设有永续盘存记录
2)建立定期盘点制度,并核对账面数与实存数差异
3)存货的盘盈和盘亏经适当的批准后调账 5.存货管理有相关保护性制度
1)限制只有经过授权的人员才能接近原材料和产成品存货
2)存货的保险制度适当 1.仓库凭经批准的领料单发货
2.发出商品根据销货单 销售发票 提货联或运货单 3.存货出门验证制度
1.生产过程中文件资料由财务部门统一汇集
1)生产过程中的文件资料经审核后向财务部门报送
2)财务部门依据经审核的文件资料进行成本核算
3)基础文件资料由专门部门负责报告 2.成本的归集准确完整
1)材料耗用根据审核后的材料消耗月报表金额入账
2)人工成本耗用经审核无误的工资费用分配表正确入账
3)制造费用的归集严格按规定办理,前后期一致 3.成本的分配合理 准确
1)材料成本差异按规定的方法分配,前后期一致
2)材料成本差异及时向有关管理人员报告,以便调查和跟踪控制
3)直接人工成本按规定的方法分配,前后期一致
4)制造费用按规定的方法分配,前后期一致
5)生产成本按规定的方法在产成品和在产品之间进行分配,前后期一致 4.会计记录完整 准确并记入适当会计期间
1)编制分配制造成本到在产品的分录所使用的资料与生产报告的资料相一致
2)编制结转已完工产成品成本到产成品的分录所用的资料与生产报告资料相调节
3)定期独立检查存货明细账与总账余额的一致性
4)定期独立盘点在产品 产成品,并将实际盘点数量与账面数量相比较 5.存货的计价方法合理,并保持一贯性
1)存货的计价方法恰当,前后期一致
2)期末对未到存货暂估入账
3)产品销售成本计算符合制度规定,与相关收入配比
4)存货计价方法的确定与变更经审批 4 投资循环内部控制 一 不相容职务分离
二 追踪分析投资业务
三 立项管理
四 投资的授权批准控制
五 投资项目实施和执行
六 对外投资处置
1.投资项目可行性研究报告编制人员与投资计划编制人员分离 2.投资计划编制人员与审批人员分离 3.投资业务执行人员与会计记录人员分离 4.有价证券保管人员与会计记录人员分离
5.有价证券操作人员保管人员不能同时负责有价证券的盘点工作 6.股利和股息的经办人员与会计记录人员分离 7.投资处置审批人员与执行人员分离
1.公司根据发展战略的需要,编制投资预算 2.建立行业数据库
3.定期编制与本公司经营相关行业的企业状况报告
4.保证对拟投资项目进行的分析能够为投资决策提供依据 5.建立一套投资评价指标体系
6.定期分析投资回报率及影响投资风险因素 7.将分析和评价的结果反馈给管理者和决策者
8.管理者和决策者是否关注投资分析和评价结果,调整投资策略 1.拟投资项目应编有项目建议书并经过审核小组评估
2.拟投资项目应进行可行性研究并经过评审后提交给批准人 3.拟投资项目应按规定程序经过批准
1.拟投资项目的规模,审批人的审批权限符合规定 2.拟投资项目应履行投资决策程序 3.项目审批单记录完整
1.重大并购项目应聘有相关执业资格的中介机构(包括财务顾问 律师 注册会计师 注册评估师)对有关事项进行认证并出具意见 2.重大并购项目应履行向相关监管机构报批 报备 公告程序
3.应与被投资单位签订合同 协议,并获取被投资单位出具的投资证明和交易凭证 4.股权持有期间任何关于股权变动和投资收益的事项应正确及时被记录和复核
5.对于任何有价证券的存入或取出,都应将其名称 数量 价值及存取的日期等详细记录于备查簿内,并由所有经手人员签名
6.投资资产(如有价证券)定期盘点/核对,盘点核对如果出现不一致情况,按规定程序报送相关部门并得到正确处理
7.专人(或部门)保管权益证书,并建立详细记录
1.对外投资收回 转让 核销等遵循相应的决策程序 2.对外投资收回 转让 核销等需要经过授权批准 5 筹资循环内部控制 一 不相容职务分离
二 提出筹资方案
三 筹资方案的授权批准
四 筹资业务的实施和执行
五 筹资偿付控制
1.筹资方案的拟订与决策分离
2.筹资合同或协议的审批与订立分离 3.与筹资有关的各种款项偿付的审批与执行分离 4.筹资业务的执行与相关会计记录分离 1.公司应对拟提出的筹资方案进行初步评估 2.公司拟提出的筹资方案应符合公司发展战略
3.公司拟提出的筹资方案应符合公司筹资预算的要求 4.公司每年年初都应根据当年资金预算编制筹资计划 5.公司应根据各月资金需求,逐月编制资金用款计划 6.公司应编制贷款方案并提交审批 1.公司是否建立筹资授权审批制度
2.拟筹资项目的规模,审批人的审批权限 3.拟筹资项目应履行筹资决策程序 4.项目审批单记录完整
1.拟筹资项目应履行相关程序并经批准 2.应委托专门机构代理发行债券或股票
3.应与专门机构签定代理合同等相关法律文件
4.如为借款,应与银行签定借款合同等相关法律文件
5.筹资期间任何关于筹资本金及利息的增减变化应正确和及时被记录和复核 6.应根据协议等正确计算筹资费用 7.当期筹资费用应被正确记录和复核 8.任何筹资费用的支付应经审批 9.公司应建立借款合同管理制度
10.公司应定期按规定程序将合同台账与会计记录进行核对
11.公司应明确对代理机构的控制责任,定期获取代理信息报告并核对
12.上述核对如果出现不一致情况,应按规定程序报送相关部门并得到正确处理
1.严格按照筹资合同或协议规定的本金利率期限币种计算利息和租金,经有关人员审核确认后,与债权人核对一致
2.企业支付利息股息租金应当履行审批手续,经授权人员批准后方可支付
3.企业委托代理机构对外支付债券利息,应清点 核对代理机构的利息支付清单,并及时取得有关凭据
4.企业以非现金资产偿付本金利息租金或支付股利(利润)时,应当由相关机构或人员合理确定其价值,并报授权批准部门批准
5.企业以抵押质押方式筹资,业务终结后及时注销有关担保内容 6.对外筹资会计处理符合会计制度规定 6 资金管理循环内部控制 一 现金被安全保管和使用
二 银行账户使用符合法律规定,并银行存款是安全的三 支票管理
四 银行票据的安全
五 空白票证的保管
六 货币资金记录的完整
七 收入被完整记录
八 完整记录现金支付情况
九 经过审批的采购支付是合理的业务活动
十 以及时准确的方式向卖主或其他相关人员付款
十一 公司印鉴管理
1.每天收到的现金及时存入银行
2.主管人员定期或不定期地对库存现金进行核对和抽查 3.是否根据制度存放备用金
1.银行存款的开立和终止有严格的审批手续和授权批准 2.高级别人员定期核对明细账和银行对账单的记录
3.银行间资金划转需报经授权人审核批准,并登记于账簿内
4.对账户的管理严格执行《人民币结算账户管理办法》的相关规定
1.支票签署严格按照公司支票管理制度执行,如采用会签制度,经过指定的支票签署者审批后签发
2.出纳人员必须登记所有支票和其他票据的收支备查记录,作废支票应当及时注销或者顺号保存
3.已签署的支票应当由支票签署人保管,直至支票由签署人或其授权的其他职员寄出或递交给受票人为止
4.支票签章人应当经董事会授权(索取授权书及支票签章样式)1.是否对有价凭证定期进行盘点 2.限制在收到的票据上背书
3.银行票据与有关印章保管的职务是否分离 4.是否定期或不定期进行盘点核对 1.该等凭证是否由专人保管
2.是否对空白凭证编号管理并定期盘点
3.银行空白票据需要设置专用登记簿并顺号登记,定期销号 4.空白凭证的领用是否有适当的审批 1.保管和记录的岗位分离
2.由不接触现金收支或保管的人员负责编制银行调节表,由主管人员或独立稽查人员对银行余额调节表进行复核
3.出纳人员连同原始凭证送交会计人员复核,由会计人员据以填制记账凭单
4.出纳人员每日逐笔登记“现金日记账”,每日下班之前结出现金余额,与实存现金进行核对相符后,据以编制“库存现金日报表” 5.收到现金时出纳人员应当给缴款人员出具正式收据或发票
1.在处理现金收入过程中应限制收款人员接触应收账款文档和相关文件 2.将收款清单与应收账款贷方和银行存款进行对比
3.与付款人联系确认付款金额与发票金额不一致的原因并定期跟客户核对收款清单的明细 4.对期末未收回的应收账款及客户的投诉进行独立调查
5.定期对收到的货币资金与开具的发票收据金额进行核对,以确保收到的货币资金全部入账 1.定期有人核对支付记录与应付账款未付发票 2.将支票事先编号并登记
3.由独立于应付账款和现金支付职能的人员负责调查长期未达的支票及银行账项 4.付现金时,有适当的授权批准并由出纳在付款的原始凭证上加盖“付讫”戳记 1.检查经审批的文件,关注审批付款人员是否独立于采购 收货和应付账款等职能 2.经批准付款的支持文件付款过后是否已立即存档或标注,以防被再次用来付款 1.授权批准人已比较原始文件和支付金额,在验证相关支持文件的准确性后确认支付 2.有关计算是否有高级别人员复核
3.对于延迟付款而产生的损失有相关的罚则 1.新刻印章时应履行相应审批程序
2.建立印章管理卡,专人领取和归还印章情况在卡上予以记录 3.财务专用章和财务负责人名章分开保管 7 职工薪酬内部控制
一 工资应当仅支付给当期为被审计单位完成工作的人员,或当期根据国家法律或被审计单位人事管理规定应支付工资的人员
二 工资为按照公司制定的各项人事制度确定的工资标准被精确计算
三 与工资相关的应代扣代缴的各项保险和公积金均被准确计提和支付,特殊的福利或补偿均被准确计提和支付,并符合法律规定
四 工资的变动均具有充分的依据,并被准确计提和支付
1.被审计单位具有确定的工作和休假报告制度
2.由独立人员编制考勤表(或工作量统计表)作为工作的依据
3.由独立人员对考勤表(或者工作量统计表)和休假表中的明细项目进行审核
4.考勤表(或者工作量统计表)连续编号并且由独立人员对连续编号进行定期检查
5.由人事部门定期对考勤表(或者工作量统计表)的数量或者人员细节信息与被审计单位的人事记录进行核对
6.工资的支付必须依据被审批的考勤表(或工作量统计表)7.定期编制工资报告,并对员工投诉进行独立调查
8.工资的支付依据被审批的考勤表(或工作量统计表)而是根据国家法律或者被审计单位人事管理规定的情况需要经过特殊的审批 1.工资金额的计算遵循确定的流程和方法
2.由独立人员根据被审批的考勤表(或工作量统计表)计算工资金额 3.由独立人员对工资表进行审批
4.由独立人员定期或不定期对工资表的计算进行抽查,并选取项目或者人员进行工资额的重新计算
5.定期编制工资报告,并对员工的投诉进行独立调查
6.定期编制工资变动报告,并对单位员工超过一定比例的工资变动进行分析 1.代扣代缴的各项保险和公积金均按照确定的流程和方法予以计算和支付 2.由独立人员负责计算代扣代缴的各项保险和公积金
3.由独立人员对代扣代缴的各项保险和公积金的支付进行审批 4.由独立人员编制特殊的福利或补偿的明细表 5.由独立人员对特殊的福利或补偿的计算进行检查 6.由董事会或者股东会对特殊的福利和补偿进行审批
1.人事变动需遵循确定的流程,并所有人事变动均具有书面记录 2.在确认工资变动之前需经过适当的审批程序 3.对工资变动表需要连续编号且进行说明
4.定期编制工资报告,并对员工的投诉进行调查
5.由独立人员与员工或者管理人员证实工资变动表中的明细项目 6.工资变动表表明日期和时间
7.对于工资费用的变动数据要与工资变动表进行配比,且对差异和不配比的项目进行独立调查 财务报告流程内部控制
一 所有发生的交易或事项均按照会计政策,以恰当的会计分录在会计账簿中反映
二 所有的会计分录均被准确过入相应的明细账总账
三 为编制单独财务报表的各项调整事项均由适当充分的依据,并且对于所有应该调整的事项均准确调整
四 单位财务报表根据总账明细账以及调整事项准确编制
五 单独财务报表的报表附注根据各项列报要求准确编制,并且与财务报表数据总账明细账一致
六 合并财务报表及其附注根据各项列报要求准确编制 1.会计分录均由被明确授权的会计人员编制
2.会计分录均经过被明确授权的人员复核,并且编制会计分录的人员与复核人员为不同人员 3.重大或异常的交易的会计分录均经过特别的审批 4.会计分录连续编号并且编号唯一
5.由独立的人员定期抽查会计分录与原始支持文件是否相符 1.由独立的人员对会计分录的数量和明细账记录的数量进行核对
2.由独立的人员对会计分录借贷方发生额总金额与总账借贷方发生额总金额进行核对 3.由独立人员检查明细账和总账是否一致
4.由独立人员检查现金日记账银行存款日记账与总账是否一致 5.由独立人员检查试算平衡表与总账明细账是否一致 6.由独立人员定期选取一定的明细账记录追查至会计分录核对是否一致 7.采用电算化账务处理系统,系统设计有效
1.为编制财务报表而进行的调整由被特别授权的人员编制,调整事项需要经过审批 2.由独立的人员财务报表进行复核,并对异常余额或发生额予以分析 1.财务报表按照确定的程序编制
2.由独立的人员对财务报表进行复核,并对异常余额或发生额予以分析 3.由独立的人员对财务报表与总账明细账的关系进行检查 1.财务报表附注为按照确定的程序编制
2.财务报表附注格式为审批确定,改变财务报表格式需要经过适当的审批程序 3.财务报表附注由特别授权的人员编制
4.由独立的人员对财务报表与附注数据的勾稽关系进行检查
5.由独立的人员对财务报表与附注进行分析,报告并解决异常的财务报表数据和列报 1.合并财务报表及其附注按照确定的程序 2.合并财务报表及其附注由经授权的人员编制
3.由独立的人员对合并财务报表及其附注的数据和列报进行分析,报告并解决异常的财务报表数据和列报
4.合并财务报表及其附注依据经审批的单独财务报表及其附注编制 5.调整事项或抵消事项需要经过审批
第三篇:内部控制制度-公司层面控制概要
公司层面控制 控制环境...............................................................................................................................................................2 1.1 1.2 1.3 1.4 1.5 1.6 1.7 1.8 1.9 2 正直守德的价值取向......................................................................................................................................2 胜任能力..........................................................................................................................................................2 董事会及审计委员会......................................................................................................................................3 管理哲学和经营风格......................................................................................................................................3 组织结构..........................................................................................................................................................4 职权和职责的分配..........................................................................................................................................5 人力资源政策和实务......................................................................................................................................5 信息技术战略规划..........................................................................................................................................6 信息技术组织架构及关系..............................................................................................................................7
风险评估...............................................................................................................................................................8 2.1 2.2 2.3 2.4 2.5 企业层面目标..................................................................................................................................................8 经营活动目标..................................................................................................................................................8 风险..................................................................................................................................................................9 对环境变化的管理........................................................................................................................................10 信息风险评估................................................................................................................................................10 4 控制活动.............................................................................................................................................................11 信息及沟通.........................................................................................................................................................12 4.1 4.2 信息................................................................................................................................................................12 沟通................................................................................................................................................................12 监控.....................................................................................................................................................................14 5.1 5.2 5.3 持续监控........................................................................................................................................................14 个别评价........................................................................................................................................................15 汇报内部控制缺陷........................................................................................................................................16
1.1 控制环境
正直守德的价值取向
管理层必须传递一种信息,即在正直守德的价值取向上是不能妥协的,员工也必须收到并理解这种信息。管理者必须立言、立行以昭示其高水平的道德标准。
A1.1 是否制定了行为准则和其它原则,以明确可以接受的商业行为、利益冲突的处理方式或员工行为的道德标准并确保这些准则和原则得以有效执行。[请复制COSO内部控制框架“详情/例证”的内容] 主要涉及部门:[请复制COSO内部控制框架“相关部门及人员”的内容] 文件索引:[请复制COSO内部控制框架“支持性文档”的内容] A1.2 A1.3 是否建立了“管理基调”,包括明确的道德规范以区分是非并确保公司全体员工了解和掌握。
如何对待员工、供应商、顾客、投资者、债权人、保险人、竞争对手和审计师等相关各方。(例如,管理者本身是否笃信诚信经营,并以此要求他人,抑或对此漠不关心。)
对于背离既有公司政策和程序或违反行为准则的行为,所能够采取的补救措施是否适当。以及这些措施被全公司员工所知悉的程度。管理者对于干涉正常程序或凌驾制度行为的不发生态度
是否面临达到不现实的目标的压力——特别是短期业绩——以及薪酬在多大程度上取决于是否达到业绩目标。(例如,考虑是否存在过度的刺激和诱惑,挑战人们对道德准则的遵守;薪水和晋升仅仅建立在短期目标是否实现的基础上)A1.4 A1.5 A1.6 1.2 胜任能力
管理者必须明确每一工作岗位所需的能力水平,并将此能力水平具体化为所需知识和技能。
A2.1 A2.2 用正式或非正式的职责描述或其它方式定义某一职位的具体工作。充分分析开展具体工作所需的知识和技能。考虑:
管理层对特定的工作所需的知识和技能的程度进行了规定; 是否存在迹象表明员工具有必要的知识和技能
1.3 董事会及审计委员会
一个积极有效的董事会及审计委员会,能够提供重要的监督功能。而且由于管理者通常有能力凌驾内部控制,董事会对于确保进行有效的内部控制具有至关重要的意义。
A3.1 A3.2 A3.3 A3.4 独立于管理层,使得必要的(即使是困难的并需要追根究底的)疑问能够被提出。当对某些特殊事项需要深入、直接的关注时,董事会及下属委员会是否参与。董事的学识和经验
与首席财务官或财务总监、内部审计师、外部审计师进行会谈的频率和适时性。例如是否:
审计委员会非公开地会见首席财务官、内、外部审计师,讨论财务报告流程的合理性、内部控制系统、重要的建议和评价以及管理层的工作表现等。
审计委员会每年审阅内部和外部审计师的工作范围。
A3.5 董事会及审计委员会成员是否能够得到充分而适时的信息,以监控管理层的目标和战略、公司的财务状况和经营成果,以及重要协议的条款。例如是否:
董事会和审计委员会定期获得主要的信息,例如财务报告、主要市场行为、重要合同、谈判等;
董事和委员们认为他们获得了充分适当的信息。
A3.6 董事会及审计委员会是否能够充分而适时的获知敏感信息、调查报告和违规行为(例如:高级管理人员的差旅费、重大诉讼、监管机构的调查报告、挪用、贪污和滥用公司资产的行为、违反内部交易规定、政治献金、非法支付等)。是否存在相应的向董事会和审计委员会报告重大信息的程序;有关信息的传递是否及时。对确定高管人员和内审主管的薪酬以及对这些人员的聘用和解雇进行监控。在确立“管理基调”过程中所扮演的角色。
董事会及董事会专门委员会在发现问题后能够采取的措施,包括进行特殊调查。A3.7 A3.8 A3.9 1.4 管理哲学和经营风格
管理哲学和经营风格通常对企业有普遍深入的影响。这些影响是无形的,但可以找到一些积极和消极的标志。
A4.1 A4.2 对待经营风险的接受态度,比如管理层是否经常进行高风险投资,或者是否在接受风险方面表现得极端保守。管理层是否在进行投资前谨慎分析风险和收益。关键岗位的人员流动情况,比如,经营、会计、数据处理以及内部审计。例如是否:
管理层和管理人员的流动过于频繁; 关键人员在突然或短暂通知的情况下离开;
在关键岗位上,例如财务、营运、数据维护、内部审计,人员流动保持在稳定和满意的水平上。
A4.3 管理层对待数据处理和财务职能的态度,以及其对可靠的财务报告和资产保护的关注程度。例如是否:
财务职能除被赋予核算中心的功能外,亦被视为对公司各种经营活动实施控制的主体;
在财务报告中采用的会计政策总是导致高估收入;
如果财务职能在企业中分散管理,营运管理层对报告的结果进行签字确认; 对于重要资产,包括无形资产和信息不会被未经授权地获得或使用。
A4.4 高层管理人员和经营管理人员的交流和互动的频率,尤其是对于地理距离较远的经营地点。如高级管理层是否经常现场视察分支机构的经营情况,公司或分支机构的管理层会议是否经常召开。
对财务报告的态度和采取的行动,包括会计处理的争议(例如选择保守的或冒进的会计政策;会计原则是否被误用;是否存在未披露的重要财务信息;是否存在操纵、篡改会计记录的现象)。A4.5 1.5 组织结构
公司的组织结构既不可过于简单以至于不足以对企业经营进行适当监控,同时也不可过于复杂而阻塞信息流转。高层管理人员应当完全理解其控制责任并具备与其职位相称的必要的经验和知识水平。
A5.1 公司组织结构的适当性,以及该结构为管理公司运作提供必要信息的能力。例如是否:
考虑到公司的实际经营情况,组织结构即不过分集中也不过分分散; 组织结构有利于信息的上行下达并且贯穿所有经营行为。
A5.2 对关键管理人员职责定义的充分性,以及其对自身职责的理解程度。例如是否:
经营职责和管理层对企业经营活动的期望被明确传达给管理这些活动的管理人员。
A5.3 A5.4 关键管理人员是否具备足够的知识和经验以履行其职责。汇报关系的适当性。例如是否:
建立了正式或非正式的, 直接或矩阵式的报告关系,并且能够向管理人员提供与其职责和权限相当的适当信息;
经营活动的管理人员可通过适当的渠道同高级管理人员进行沟通;
A5.5 为适应经营环境变化而对组织结构进行相应改变的程度。例如是否:
管理层根据业务或行业的变更定期评价公司的组织结构
A5.6 确保有足够的员工,尤其是管理和监督人员。例如是否:
经理和主管人员有充足的时间来有效地履行职责; 经理和主管人员需要过多地加班且工作负担超出个人负荷。
1.6
职权和职责的分配
职责的分配、职权的下放和相关政策的制定为确立权利义务、内部控制以及明确个人的角色分工奠定了基础。
A6.1 适当分配职责并下放职权,以实现公司目标、完成经营职能和遵循法律法规的要求,包括信息系统中的职责分配和对职责变更的授权,考虑是否:
不同的职责和权限适当地分配给公司的全体员工; 决策权与员工的职责和权限相关联; 职责和权限的分配以充分的信息为依据。
A6.2 与控制相关的标准和程序的适当性,包括员工的职责描述。例如是否:
存在对员工的职责描述,至少针对管理层和业务主管人员; 员工职责描述中特别涉及其与控制相关的职责。
A6.3 A6.4 有适当数量的员工,尤其是对于数据处理和财务岗位。员工具备与企业规模、经营行为和系统的特点和复杂程度相适应的技能水平。是否赋予员工与其职责相适应的职权,例如是否:
适当平衡完成工作所需的职权和高级管理人员的参与之间的关系;
员工有权纠正发现的问题或实施改进措施,相关权限根据员工能力和职权界限进行履行。
1.7 人力资源政策和实务
适当的人力资源政策对于企业招聘并留住有能力的员工,以确保企业计划正确执行并达到既定目标,具有决定性的作用。
A7.1 是否存在适当的雇佣、培训、提拔和薪酬政策和程序。例如是否:
存在政策和程序来招聘或培养胜任并且可信赖的员工,这些员工对支持一个有效的内部控制系统是必须的;
对招聘和培训合适的员工给予适当关注;
如果不存在书面的政策和程序,管理层就招聘员工的期望进行沟通或亲自参与招聘过程;
A7.2 员工了解其职责和公司对其期望的程度。例如是否:
新员工知悉其工作职责和管理层对其的期望; 主管人员定期审阅雇员的工作履行情况并提出改进建议
A7.3 是否有适当的措施对违背既定政策和流程的行为予以补救。例如:
管理层履职不当时的反应是否适当;
在未能遵守既定政策的情况下,是否采取适当的纠正行为; 员工是否知晓其不当表现将导致不良后果。
A7.4 A7.5 A7.6 人力资源政策在多大程度上涉及遵循道德标准这一问题。例如正直和道德标准在员工业绩评估时是否是一个重要的标准。
是否对应聘者的背景进行了充分的背景调查,特别是针对以前的某些可能与公司行为准则相抵触的行为和活动。
雇员留用和提拔的标准以及信息收集方式(比如业绩评估)的充分性,以及这些标准与员工行为准则的关系。例如是否:
升职和加薪的标准得以详细描述,从而使员工知晓达到何种管理层的期望才能得到升职和加薪;
这些标准遵守了行为准则
A7.7 信息技术部门是否对信息技术部门员工进行培训,以保证员工具有胜任信息技术工作的能力并保证信息技术工作的顺利进行。例如是否制定对信息技术部门员工进行培训的培训计划,以及培训的主要方式。
是否对信息技术的最终用户建立必要的用户教育和培训,以保证企业最终用户可以有效的利用信息技术资源,并对信息风险以及个人相应职责保持应有的警觉。A7.8 1.8 信息技术战略规划
信息技术战略规划是企业为满足业务需要所制定的长期规划,该规划需平衡优化信息技术发展的机会与企业业务需求间的关系,以保证其可以得到进一步的实施完成。
A8.1 公司是否建立了相关的制定和审批流程,制定长期的信息技术战略规划,并使其支持业务发展的需要。业务发展的需要是如何通过信息技术战略规划的制定流程体现到规划当中,例如,业务部门是否参与信息技术规划的制定。公司是否以及如何对信息技术规划的情况进行追踪及更新?
A8.2
A8.3 公司是否建立了信息技术的最高管理机构,并由其参与信息技术战略规划制定、审批、跟踪等各方面流程。信息技术最高管理机构是否采用适当的决策方式(如:定期会议,项目会议,各信息部门的定期汇报机制等)。
1.9 信息技术组织架构及关系
企业应当建立一个具有足够数量和技能人员的组织并明确的定义其角色和职责、以有效地根据业务需求执行企业的信息技术战略规划,并执行充分的信息技术控制。
A9.1 A9.2 A9.3 公司现有信息技术部门的员工数量,学历背景及工作经验情况。人员的能力是否能够满足信息技术工作的需要。
公司是否对信息部门员工制定了正式的岗位职责,并考虑指责分工以及内部控制方面的要求。
信息技术部门的管理关系,以及通过何种形式管理运行情况,安全情况,项目开发等,例如:政策,监督,定期审查,汇报机制,会议机制等。
2.1 风险评估
企业层面目标
当企业存在有效的控制时,应已先行建立了目标。企业层面的目标中包括了与企业希望取得的成就有关的充分陈述,并以相关战略计划作为支持。描述企业已经建立的企业层面的目标和主要战略计划。
B1.1 在多大程度上,企业层面的目标充分提供了企业期望获得的成就的陈述和指导,并且此目标足够具体,与本企业直接相关。例如是否:
管理层建立了企业层面的目标;
这个企业层面目标不同于那种适用于所有企业的一般性的目标(例如,有充足的现金流量;或者对投资产生合理的回报等)。
B1.2 B1.3 B1.4 企业层面目标是否有效地传达给了员工和董事会。企业战略是否跟企业层面目标保持关联和一致。
企业的业务发展计划和预算以及企业层面的目标、企业战略计划和企业现状之间是否保持一致。例如是否:
计划和预算中的假设和前提反映了企业的历史经验和现状; 计划和预算具有适当的详略程度以满足不同级别管理层的需要
2.2 经营活动目标
经营活动目标产生于公司层面目标和企业战略,并与其相联系。经营活动目标经常被表述为具有特定目的和最终期限的目标。对每个重要的经营活动都应该建立目标,这些经营活动目标应该保持互相一致。
B2.1 是否将经营活动目标与公司层面目标和战略计划相关联。例如是否:
所有重要的经营活动目标是否相关联; 经营活动目标得以定期审阅以确保其相关性。
B2.2 B2.3 经营活动目标相互之间是否具有一致性。
经营活动目标针对主要业务流程的适当性。例如是否:
就与商品和服务及其支持性业务流程相关的关键经营活动建立了目标; 经营活动目标跟以往的实践和经验或行业特点和惯例相一致,并可对存在的差异进行解释;
针对各重要的经营活动均建立了目标。
B2.4 经营活动目标的特征性,例如目标是否包括衡量标准。
B2.5 有充足的资源支持目标,例如是否:
管理层能够确定实现目标所需的资源;
为获得必要的资源制定了计划(例如,资金、人力资源、设施、技术)。
B2.6 B2.7 B2.8 管理层是否确定了哪些经营活动目标对实现公司层面目标而言是重要的(即关键成功要素)。
所有级别的管理层人员是否均参与目标的制定及其服务于目标的程度。
信息技术流程的表现可以确保企业目标的实现。通过建立相关的表现评定指标,动态并及时地报告信息技术活动的表现,并且根据和目标的差异制定应对的策略。例如是否:
对信息技术部门的运行及服务情况采取业绩考核; 用关键指标作为考核的依据;
考核结果对信息技术部门管理层及员工存在影响。
2.3 风险
企业的风险评估程序应该考虑相关风险的迹象,包括企业层面和经营活动层面。风险评估程序应该考虑可能影响目标实现的外部和内部因素,并且这些程序应该分析风险,并且提供一个管理风险的基础
B3.1 是否有充分的机制来发现外生风险。例如,考虑管理层是否考虑过以下因素带来的风险:
资源供应; 技术变化;
债权人的要求; 竞争对手的行动; 经济环境; 政治环境; 监管; 自然事件。
B3.2 是否有充分的机制来发现内生风险。例如,考虑管理层是否考虑过以下因素带来的风险:
人力资源; 财务状况; 信息系统。
B3.3 B3.4 对每个重要的经营活动目标确定了相应的风险
风险评估程序的完整性和相关性,包括估计风险的重要性,发生的可能性和制定相应采取的措施。例如考虑是否:
通过正式的程序或非正式的日常管理行为来分析风险; 确认的风险与相应的经营活动目标相关; 适当的管理层参与了风险分析
2.4 对环境变化的管理
经济、行业和监管环境不断变化,同时企业也在不断发展。企业因而需要一种机制以确认环境的变化并做出反应化并做出反应。B4.1 B4.2 是否存在适当机制,可以凭借其预测及确认影响企业层面或经营活动层面目标实现的日常事件和活动,并做出适当的反应。
是否存在适当机制,可以凭借其确认那些对企业有重大及深远影响,因而需要高层管理人员加以重视的各种情况变化,并作出适当的反应,其中包括下述方面发生的潜在变化:
经营环境的变化 雇佣新员工
使用新的或重新设计的信息系统 公司经历迅速发展时期 新技术的出现
新的产品线、新产品、新的经营行为或并购 公司重组 跨国经营
2.5 信息风险评估
风险评估用于对信息技术所承受威胁进行客观分析,对企业的重要决策因素进行认定,以支持管理层为达到信息技术目标所作的决策。企业应当通过对信息系统风险的认定,风险影响的大小以及按成本效益原则为减少风险所采取的措施等活动以实现风险评估的控制。
B 5.1 信息技术部门对信息风险的评估及控制
是否有一个企业层面和业务活动层面的风险评估框架,以用来定期对影响企业目标实现的信息风险进行评估?它是否考虑到威胁的概率和可能性;
对信息风险评估执行的具体方式途径描述。控制活动
控制活动包括一套全面的政策和相关的执行程序,从而确保管理层的指令得到正确执行。这些政策和程序有助于企业采取适当措施,管理风险,从而确保其目标的实现。
C1.1 对于企业的每一种活动,是否都存在适当的政策和程序进行规范 C1.2 确定已存在的控制活动是否得以有效实施,例如: 公司政策程序所描述的内部控制措施是否得以遵照执行;
是否有及时而适当的措施去跟进特殊事项或其它需要进一步关注的信息; 是否有员工负责监督内部控制的执行。
4.1 信息及沟通
信息
信息(如行业、经济和监管信息)可以从外部和内部获取,而信息系统是指收集、处理和报告信息的系统。
D1.1 收集各方面(内部及外部)的信息,并向管理层报告有关企业经营成果是否达到其既定目标。例如是否:
存在一定的机制,用于获得相关的外部信息——关于市场状况、竞争者的行动、法律法规环境的变化和经济环境的变化等;
定期识别和报告内部关键信息;
各级管理层可获得足够信息,用于履行其职责。
D1.2 将详细的信息及时地给予适当的员工,使其能够高效率地履行其职责。例如是否:
管理者能够获得分析性的信息来判断该采取何种行动; 信息具有不同的详略程度以满足不同级别的管理层的需要; 信息被适当的汇总,而不仅仅是提供一个“信息的海洋”;
信息能够及时提供以便有效地监控内外部的事项和活动并及时对经济和经营因素的变化和控制问题做出反应。
D1.3 D1.4 是否根据企业的整体战略开发或修改信息系统,从而促进企业和活动层面的目标的实现。
管理层是否对开发必须的信息系统给予支持,例如投入足够的人力和财力。
4.2 沟通
在信息的处理中,沟通是必要的环节。在更广义的层次上,沟通还包括对员工与组织的目标与职责的定义和描述。有效的沟通存在于企业内部的上行、下达和同级传递中。企业与外部的沟通同样非常重要。
D2.1 员工的职责和控制责任是否得到有效沟通。例如是否:
采用各种手段,例如正式或非正式的培训课程、会议、在岗培训等进行有效的沟通;
雇员知晓他们所进行的活动的目标,以及怎样履行他们的职责来达到这些目标。
D2.2 是否保证有畅通的渠道以便员工反映其发现的可疑情况。例如是否:
是否存在某种渠道跟非直接上级的上层机构进行沟通; 是否允许匿名;
员工切实使用了这种沟通渠道;
报告可疑情况的员工及时得到了反馈,并且受到保护而免于报复。
D2.3 管理层对员工在生产、质量管理或其它方面合理化建议的态度。例如是否:
是否存在合理机制使员工可以提出改进建议;
对员工提出的优秀的建议,管理层提供现金或其他方式的奖励措施。
D2.4 D2.5 企业内部沟通的充分性、信息的完整性、及时性以及信息是否足够详细以便员工能够有效的履行其职责。
与顾客、供应商和其它外部利益关系者就顾客的需求变化进行沟通的公开性和有效性。例如是否:
与相关各方建立了反馈机制;
建议、投诉和其他相关信息被获取并传递到内部相关部门; 信息被上报至必要的上级部门并采取了跟进行动。
D2.6 D2.7 外部利益关系者对企业的道德标准的认识。
在与顾客、供应商、监管者和其他外部利益关系者进行沟通后,管理层是否能够及时采取有效的跟进措施。例如是否:
员工就报告的与产品、服务或其他方面相关的问题做出积极反映,进行调查并采取跟进行动;
在计费和出具账单过程中产生的错误得以及时更正,错误原因得以调查和改进; 由独立于原始交易的适当人员对投诉进行处理; 采取合适的行动后,与原始信息提供方进行跟进沟通; 高级管理层知晓投诉的数量和性质。
5.1 监控
持续监控
持续监控发生在平常的经营过程中,包括日常管理和督导行为,和其它员工履行其评价内部控制系统运行质量的职责的行为
E1.1 员工在进行日常工作时,是否能够获取内部控制正常运行的证据。例如是否:
运营负责人需要就其业务单元上报的财务数据签字确认,以建立问责制;
存在运营数据与财务核算数据之间的定期对账;
E1.2 是否能够与外部利益关系者进行沟通而获取信息,对内部信息加以验证,或发现内部信息的问题。例如是否:
顾客对账单数据进行投诉,这时可能暗示系统在处理销售交易时存在缺陷,应该对其根本原因进行跟进调查;
与供应商和电信运营商的定期对账程序被当作一项内部控制措施; 监管机构与企业就反映在内部控制系统中的合规情况和其他事项进行沟通;
重新评估本应发挥防止和发现问题的作用的内部控制措施;
E.1.3 E1.4 定期进行账实核对。
是否就内部和外部审计师的建议及时做出响应以改善和加强内部控制。
E1.5 是否定期举行培训课堂、计划会议和其它的会议,就内部控制运行的有效性向管理层提供反馈意见。
E1.6 员工需要定期声明是否知晓并遵守了公司的行为准则;以及是否执行了重要的内部控制程序。
E1.7 内部审计职能的有效性。例如是否有适当的可以胜任的人员;在组织结构中的地位是否适当;向董事会或审计委员会报告;工作范围、职责和审计计划符合公司的需要等。
5.2 个别评价
定期或不定期地以全新角度审视内部控制系统是非常必要的,其着眼点在于直接审视系统运行的有效性。个别评价的范围和频率主要取决于对风险的评估以及对内部控制的持续监控程序的情况。
E2.1 内部控制系统个别评价的范围和频率。例如是否:
内部控制系统的适当组成部分得以评价; 评价由具有必要专业技能的人员进行; 评价范围、深度和频率是适当的。
E2.2 进行个别评价的流程以及方法的适当性。例如是否:
评价人员对公司的经营活动有充分的了解;
评价人员了解内部控制系统应该如何运行和实际如何运行; 评价过程采用适当的方法,如问卷、核对清单等; 评价过程由具有一定权限的管理层进行监督;
评价人员通过将评价结果与既定标准进行对比,对评价结果进行必要的分析。
E2.3 个别评价是否存在适当的书面记录。
5.3 汇报内部控制缺陷
内部控制的缺陷必须向上汇报,某些重要的事项必须上报高层管理人员和董事会。
E3.1 是否存在一定机制将确认的内部控制缺陷加以记录并向上汇报,以及汇报程序和书面文件的适当性。例如是否:
向直接负责此经营活动的人员以及其上一级管理人员报告缺陷; 对于一些特殊类型的缺陷,需要报告给更高层级管理层以至于董事会;
E3.2 采取的改善措施的适当性。
第四篇:内部控制有效性评价工作方案1
内部控制有效性评价工作方案
为了促进本单位全面评价内部控制的设计与运行情况,规范内部控制评价程序和评价报告,揭示和防范风险,根据《行政事业单位内部控制规范(试行)》的相关要求,特制订本方案。
一、内部控制有效性评价总体目标
我校内部控制有效性评价的总体目标是:了解本单位内控建设和运行状况,分析内控设计及执行有效性,明确内控差距及缺陷,进一步优化完善本单位内部控制体系;实现内部控制与全面风险管理有机结合,提高基础管理水平和风险防控能力。
二、内部控制有效性评价工作原则
1、全面性原则。内部控制有效性评价应贯穿内部控制各项制度建立和执行的全过程,覆盖全校及其各职能部门的各种业务和事项。
2、重要性原则。内部控制有效性评价工作是检验本单位内部控制体系建设是否高效的主要手段;是明确单位内控差距及缺陷,进一步优化完善内部控制的基础。
3、客观性原则。内部控制有效性评价工作应当在学校内部控制体系建设中保持独立性。客观评价各部门的业务流程和管理缺陷。
4、制度化原则。按照工作制度化、制度流程化的要求,实现内部控制有效性评价措施可靠运行。
三、内部控制有效性评价内容
1、组织层级内部控制有效性评价。明确各部门职责分工,厘清各部门在组织层级内部控制中的角色和分工;决策权、执行权和监督权相分离,归属到不同的机构,达到权力制衡的效果;对内部控制有重要影响的关键性岗位,明确其岗位职责权限,人员分配,以及按照规定的工作标准进行考核及奖惩。
2、单位层级内部控制有效性评价。各个部门是否建立相应的工作制度,检查各部门内部管理制度的执行情况,及时发现存在的问题并提出改进建议。
3、业务层级内部控制有效性评价。
(1)、预算编制。预算编制是否依据以前单位收支的实际情况,真实反映单位本全部业务收支计划;是否建立专门的预算管理机构并有相应的预算工作管理办法;执行环节中是否保持单位财务核算和业务工作的一致性;是否建立科学有效的决算与考评机制。
(2)、收支控制。财政经费拨款收入是否按财政部门定员定额标准及单位工作计划需要据实编制;是否根据国库指标下达时进行收入登记并确认资金来源,匹配财政批复的预算指标;是否按合理合规的执行方式和审批权限对不同资金的财务管理风险进行管理;是否按事前审核与审批程序执行支出过程的控制,依据采购或审批结果提出资金支付申请,单位财务部门负责进行资金支付审核并匹配应对的收入资金来源。
(3)、采购控制。单位是否按照实际需求在采购预算指标批准范围内,按季度编制采购预算并确定采购方式;是否建立单位内部的分权和岗位分离机制,采购需求计划评审是否设置不同岗位进行管理;在资金支付环节,是否依据采购合同、验收报告、竣工决算报告等文件,按照资金支付的相关规定,填写相关表格。
四、内部控制有效性评价方法
1、个别访谈法。与单位内部人员进行访谈,了解单位内部控制的现状。首先,与单位领导班子成员进行访谈,了解单位内部控制思想的建设程度;其次,与各科室领导进行访谈,了解单位内部控制的整体现状;第三、与单位其他员工进行访谈,了解内部控制体系的执行落实情况。
2、穿行测试法。任意选取一笔业务作为样本,追踪该交易从最初起源直到最终在财务报表或其他内部管理报告中反映出来的过程,了解控制措施设计的有效性,并识别出关键控制点。
3、专题讨论法。针对每个科室组织召开专题讨论会议,综合内部各机构、各方面的意见,研究确定缺陷整改方案。
五、内部控制有效性评价工作组织保障
1、人员组成。组
长:
副组长:
成员:
2、主要工作。(1)、检查内部控制体系建立和执行的有效性;(2)、指导各部门内部控制自我评价工作;(3)、认定内部控制缺陷及督促各部门进行整改(4)、编制内部控制评价报告,及时向领导小组报告。
内控体系建设工作监督小组
20XX年XX月XX日
第五篇:内部控制有效性及其评价研究论文
一、内部控制有效性及其评价
(一)内部控制的有效性
内部控制的有效性是指以内部控制为相关目标的实现提供的保证程度或水平。内部控制的有效性有两层涵义:一是企业的内部控制制定政策和执行方案绝对不允许和国家法律法规相违背;二是在企业的生产经营过程中,结构完整、内容合理的内部控制能够得到坚决的贯彻执行并发挥积极有效的作用,因而企业可以从提高经营效率入手来达到提供可靠的财务报告的目标和遵循法律法规保证的目标。
(二)内部控制的评价
内部控制的评价是指测试和评价内部控制制度中的“设计”和“执行”两个环节,看是否具有完整性(健全性)、有效性和合理性。评价是持续改进内部控制的动力,也是内部控制循环过程中一个举足轻重的环节。评价内部控制的有效性,第一层涵义即绝对不允许有悖于国家法律法规,这是一切评价的基础和前提,只有满足了遵循国家法律法规这个条件才能考虑内部控制执行的效果。第二层涵义对企业而言是关键所在,即企业所追求的目标。在现实中,如果只遵循国家法律法规这个前提条件,而对内部控制制度的执行不实施或者实施不到位,那么内部控制对此企业来说就形同虚设。
二、《萨班斯法案》背景下内部控制评价的现状
(一)相关法规和制度不完善
1996年12月我国财政部在发布的《独立审计具体准则第9号———内部控制和审计风险》中提出内部控制概念。在《上市公司内部控制指引》出台前,对于我国上市公司来说,仅能参照2001年10月证监会发布的《关于做好证券公司内部控制评审工作的通知》中对内部控制评审提出的明确性规定。我国财务报告中内部控制变得越来越重要的原因是我国上市公司出现经营惨淡和公司舞弊案件的越来越多,最终于2006年在上海和深圳证券交易所颁布《企业内部控制指引》,这就意味着指引财务报告中内部控制有效性评价的内涵更上一个层次。这项准则的颁布其主要目的在于突出上市公司内部控制的作用和效果,以便达到将财务报告错误表述风险降低到一个恰当水平的目的,这项“指引”加强了上市公司对内部控制信息的强制披露。
(二)内部控制评价标准有待统一
目前我国的内部控制评价主要参考两个标准,一个是财政部发布的《内部会计控制规范———基本规范(试行)》,这是企业高级管理层要为建立健全有效机制的内部控制来追求企业目标所参照,其主要内容是以企业的内部会计控制为主,同时兼顾与会计有关的控制;另一个是中国注册会计师协会发布的《内部控制审核指导意见》,它是独立审计师对内部控制审核业务的唯一标准。但不同企业的各项环境指标差异较大,如控制环境和监督环境。如果没有具体标准和尺度,就会使得评价过于形式化,最终内部控制评价的合理性会受到影响。
(三)内部控制体系缺乏完整性
目前我国许多企业都出现了管理制度混乱和内部控制形同虚设,造成内部控制体系不健全,内部控制环节不完整、内部控制的定义不明确的现象,导致应用财务报告内部控制评价模型得出的结论受到专业人士的质疑。企业可以聘请中介机构或相关专业人员(审计年报的注册会计师除外),协助企业建立健全内部控制及对其有效性进行评价,提高财务报告的编报质量,降低财务风险。
(四)内部控制对象范围受限
目前,我国许多企业的内部控制制度任存在很多缺陷,如内部控制的对象很少关注企业的高层管理者,而仅局限在中层以下管理人员以及普通的员工,长此以来就形成了内部控制制度的漏洞导致造成巨大经济损失。独立审计师在审计企业财务报告内部控制有效性时,仅根据财务报告中的内部控制有效性的重点部分进行评价,这就导致了理论界与实务界尚未对内部控制评价的内容达成共识。因此不能仅根据财务报告中的内部控制有效性的重点部分进行评价,应将注册会计师与委托人达成的业务约定书和审核标准同时考虑在内。
(五)内部与外部审核步调不一致性
企业管理层应高度重视内部控制制度并对内部控制有效性承担责任,这就需要签署一份关于企业内部控制有效性的说明,并选择适合企业的内部控制标准,从而做最大的努力来支持最后得出的评价结果。对于企业管理层最终出具的内部控制评价,审计师则需要为此提供充足的证据支持。目前我国对企业所制定内部控制规范时间尚短还存在许多缺点和漏洞,这就意味着建立健全和完善内部控制制度是一个长期的过程。目前美国的SEC已经形成了最终的规则,而AICPA还没有形成最终的准则,如何借鉴404法案对企业内部控制有效性进行评价,有效的措施是经过筛选来仿效美国等发达国家的可取经验和具体做法,但务必要要考虑我国的实际情况,这样才能制定出适合我国企业的内部控制制度并完善内部控制评价工作。
三、内部控制有效性评价的提升措施
(一)组建专业队伍监督企业内部审计部门
2003年,《中国内部审计准则序言》由中国内部审计师协会所颁布,其中规定企业内部审计发挥的作用有“强化内部控制、改善风险管理、完善组织治理结构、促进组织目标”,这说明内部审计服务是企业的一种增值服务。评价的标准模式在设定时应以内部控制目标为前提,并充分考虑该企业经济活动的特点。逐一实现每个内部控制因素,这样才能最终实现内部控制的目标。这就意味着每个内部控制因素极其重要,因为它是针对容易出错的业务环节来逐一制定的,不同的环节对应不同的内部控制目标,划分的越详细制定的内部控制因素就越有效,所以不同类型的企业应实施不同的内部控制措施来实现最终目标,即控制措施。这需要对注册会计师的职业判断能力有所要求,从而及时发现各种弊端。
(二)自我评价内部控制,重新定位企业治理机制
内部控制的实施对象是指影响企业战略实现和内部控制目标实现的个人或部门。通常按照委托代理层级划分成三个层次:董事会、高级管理层和下级执行部门与个人。根据这三个层次,逐一进行分析:董事会通常认为商讨战略决策是否正确是内部控制评价目标的因素;
高层管理者通常认为企业在经营战略决策选择的贡献大小是内部控制评价目标的因素;而公司执行单位和个人认为实施内部控制制度后是否企业业绩增长是内部控制评价目标的因素。由于不同客体的职能所在不同,因此对内部控制评价目标就各不相同。这种多客体的评价方式对发现企业内部控制制度存在的问题有积极正面的影响,尽早发现内部控制制度是否有悖于国家法律法规的现象和内部控制制度的设计是否存在缺陷的情况,越早发现越能及时作出挽救措施,并修改内部控制制度。
(三)随时检查和监督内部控制制度
由于企业在经营过程中会受到很多因素的影响,因此企业的生存与发展也必然会受到这些因素的影响。如企业外部环境改变、战略决策改变或业务性质改变,这些因素通通会给企业的发展带来不少阻力,从而使内部控制不能适应新的情况。为了及早应对这些状况的发生,不得不对内部控制制度进行随时检查和监督,发现问题就及时调整和修正内部控制制度的评价指标。具体的做法是分析过去,面对现在和预测未来,如此可以发现企业经营活动业务中的缺点和漏洞,及时弥补,调整具体的指标和制定新的方案。因此企业各方面的信息反馈是重点,关系到内部控制制度是否需要修订。内部控制制度是否长期有效就取决于信息反馈机制配置的优劣。
(四)提高人员综合素质
实施内部控制系统人员的素质关系到好的内部控制制度是否能被有效的实施,以达到人们的满意的效果。站在监管者的角度借助于企业的注册会计师来确保财务报告的可靠性,进最大努力去保护投资者的利益但是履行监管者的角色的评价方式往往存在严重的缺陷,主要表现在:成本收益原则限制内部控制有效性的评价;内部控制的评价是事后的、间断的;
控制方式很被动。目前我国企业只是被动的对内部控制进行建设和评价,通常只是由注册会计师对财务报告的可靠性和是否遵循法律法规作出评价,即内部控制的合法性目标。要扭转这种被动控制局面,就要清楚内部控制目标定位和评价主体,实施全方位的转变,主要表现在由被动变主动;由注册会计师掌握主导权变成企业自身掌握主导权;由企业事后控制为主导转向企业事前、事中、事后全方位控制为主导;完善建设管理层的问责机制。
(五)不断完善内部控制评价体系
企业各个组织机构对内部控制制度的实施情况进行全程监控构成了内部控制评价,企业管理人员要学会运用内部控制评价系统,从而进行检查和监督,时刻保持减少缺陷、防止漏洞、提高企业业绩为首任。内部控制评价的主体是内部控制的管理机构,主要是由监事会、审计委员会和公司内部审计部门所组成。其中:监事会的责任最重,其主要任务是对董事和经理内部控制实施的评价意见和对审计委员会工作的评价意见进行指导。审计委员会的职责是通过减低企业风险,把内部控制目标与企业战略规划紧密相连,具体而言就是检查和评价关键内部控制指标的制定及执行的有效性;检查和评价关键企业员工的责任感、成就感;监督内部审计部门。企业内部审计部门要将工作重心放在内部控制评价指标体系的建立、监督和评价内部控制等工作上。这样安排的好处在于既可以将制定内部控制制度的主体变成被检查、被监督、被评价的客体,又可以利用“三道防线”把风险控制作用于内部控制执行人身上。最终的结果是企业对内部控制指标的编制能力大大提高,内部控制制度执行的效率也有大幅度提高。
参考文献:
[1]陈汉文、张宜霞:《企业内部控制的有效性及其评价方法》,《审计研究》2008年第3期。