內(nèi)部控制體系

內(nèi)部控制體系總則1.1.1內(nèi)部控制目的和原則為了進(jìn)一步完善和加強(qiáng)公司的風(fēng)險管理和內(nèi)部控制體系建設(shè)，提高公司的治理水平，確保公司的持續(xù)健康發(fā)展，合理確保公司經(jīng)營管理正當(dāng)合規(guī)、資產(chǎn)安全、財務(wù)報告及有關(guān)信息真實完整，提高經(jīng)營效率和效果，增進(jìn)公司實現(xiàn)總體發(fā)展戰(zhàn)略目的，現(xiàn)根據(jù)國家財政部等五部委頒布的《公司內(nèi)部控制基本規(guī)范》（下列簡稱《內(nèi)控基本規(guī)范》）及有關(guān)法律法規(guī)的規(guī)定，并結(jié)合我司實際狀況，特制訂本手冊并組織實施。公司遵照下列原則建立與實施內(nèi)部控制：（一）全方面性原則。內(nèi)部控制應(yīng)當(dāng)貫穿決策、執(zhí)行和監(jiān)督全過程，覆蓋公司及其所屬單位的多個業(yè)務(wù)和事項。（二）重要性原則。內(nèi)部控制應(yīng)當(dāng)在全方面控制的基礎(chǔ)上，關(guān)重視要業(yè)務(wù)事項和高風(fēng)險領(lǐng)域。（三）制衡性原則。內(nèi)部控制應(yīng)當(dāng)在治理構(gòu)造、機(jī)構(gòu)設(shè)立及權(quán)責(zé)分派、業(yè)務(wù)流程等方面形成互相制約、互相監(jiān)督，同時兼顧運行效率。（四）適應(yīng)性原則。內(nèi)部控制應(yīng)當(dāng)與公司經(jīng)營規(guī)模、業(yè)務(wù)范疇、競爭狀況和風(fēng)險水平等相適應(yīng)，并隨著狀況的變化及時加以調(diào)節(jié)。（五）成本效益原則。內(nèi)部控制應(yīng)當(dāng)權(quán)衡實施成本與預(yù)期效益，以適宜的成本實現(xiàn)有效控制。1.1.2內(nèi)部控制有效性的評定架構(gòu)按照《內(nèi)控基本規(guī)范》中的規(guī)定，并結(jié)合國際公認(rèn)的COSO內(nèi)控評定整合框架，內(nèi)部控制的整體框架包含下列五大要素：內(nèi)部環(huán)境-內(nèi)部環(huán)境是公司實施內(nèi)部控制的基礎(chǔ)，普通涉及治理構(gòu)造、機(jī)構(gòu)設(shè)立及權(quán)責(zé)分派、內(nèi)部審計、人力資源政策、公司文化等；風(fēng)險評定（涉及事項識別、風(fēng)險評定及風(fēng)險應(yīng)對）–是公司及時識別、系統(tǒng)分析經(jīng)營活動與實現(xiàn)內(nèi)部控制目的有關(guān)的風(fēng)險，合理擬定風(fēng)險應(yīng)對方略；控制活動–是公司根據(jù)風(fēng)險評定成果，采用對應(yīng)的控制方法，將風(fēng)險控制在可承受度之內(nèi)；信息與溝通–信息與溝通是公司及時、精確地收集、傳遞與內(nèi)部控制有關(guān)的信息，確保信息在公司內(nèi)部、公司與外部之間進(jìn)行有效溝通；及內(nèi)部監(jiān)督–是公司對內(nèi)部控制建立與實施狀況進(jìn)行監(jiān)督檢查，評價內(nèi)部控制的有效性，發(fā)現(xiàn)內(nèi)部控制缺點，應(yīng)當(dāng)及時加以改善。根據(jù)內(nèi)部控制的整體框架，公司的內(nèi)控評定工作具體分為下列兩個個方面的內(nèi)容：公司層面內(nèi)部控制，重要涉及：公司的管理文化，對員工誠信、道德和行為的規(guī)定控制意識和經(jīng)營風(fēng)格董事會或?qū)徲嬑瘑T會的監(jiān)管組織構(gòu)造、權(quán)限和責(zé)任風(fēng)險評定流程對重要事件的預(yù)測、識別和反映機(jī)制重要流程的政策和程序手冊明確的財務(wù)目的，并對其主動監(jiān)控合理的職責(zé)分離預(yù)算與實際狀況的定時比較對文獻(xiàn)、統(tǒng)計和財產(chǎn)的適宜保管清晰的溝通渠道和報告路線完整、具體和及時的財務(wù)和管理報告持續(xù)開發(fā)、測試和監(jiān)控計算機(jī)系統(tǒng)和程序計算機(jī)業(yè)務(wù)持續(xù)性系統(tǒng)和應(yīng)急計劃對內(nèi)部控制的定時評定和監(jiān)督實施改善建議建立內(nèi)部審計職能以實施監(jiān)控流程層面內(nèi)部控制（涉及信息系統(tǒng)普通控制和應(yīng)用控制），重要涉及：信息系統(tǒng)普通控制銷售與收款采購與付款存貨及生產(chǎn)管理固定資產(chǎn)資金及投資管理財務(wù)報告編制信息披露關(guān)聯(lián)交易人力資源管理日常費用研發(fā)稅務(wù)1.1.3內(nèi)部控制體系建設(shè)的組織模式及職責(zé)內(nèi)部控制是指由公司董事會、監(jiān)事會、經(jīng)理層和全體員工實施的、旨在實現(xiàn)控制目的的過程。因此內(nèi)部控制體系建設(shè)工作不僅是公司管理層的責(zé)任，并且是公司上下全體員工都需要參加的一項工作，公司內(nèi)部全體員工應(yīng)主動配合年度內(nèi)控自我評定工作的展開。由公司總經(jīng)理、財務(wù)總監(jiān)、分管內(nèi)審的副總、董事會秘書及本部其它高級管理人員等構(gòu)成風(fēng)險與內(nèi)控項目管理委員會，負(fù)責(zé)內(nèi)部控制體系的建設(shè)，具體職能涉及：統(tǒng)籌并推動全公司范疇內(nèi)（涉及公司本部以及下屬公司）的內(nèi)部控制體系建設(shè)工作；組織內(nèi)控體系建設(shè)工作的專項培訓(xùn)教育及研討會；監(jiān)督內(nèi)部控制執(zhí)行狀況及進(jìn)行績效考核；監(jiān)督年度內(nèi)部控制自我評定工作的進(jìn)展?fàn)顩r；監(jiān)督評定過程中所發(fā)現(xiàn)問題的整治工作的效率和效果。公司高級管理層（涉及總經(jīng)理、副總經(jīng)理、總監(jiān)）的職責(zé)：支持年度內(nèi)控自我評定工作的展開；主動參加有關(guān)專項培訓(xùn)及工作報告會；配合有關(guān)訪談工作；推動內(nèi)控評定問題發(fā)現(xiàn)的整治進(jìn)度等。公司中級管理層（涉及部長、副部長）的職責(zé)：主動參加年度內(nèi)控自我評定工作，配合流程訪談以及內(nèi)控測試工作的展開；及時報告內(nèi)部控制流程的變化狀況；主動參加流程討論、專項培訓(xùn)及工作報告會；組織人員更新我司的《內(nèi)部控制手冊》等。公司普通員工的職責(zé)：主動配合流程訪談及內(nèi)控測試工作的展開；及時提供有關(guān)資料；主動參加流程討論及有關(guān)專項培訓(xùn)；進(jìn)行年度內(nèi)控自我評價工作，更新我司的《內(nèi)部控制手冊》。1.1.4內(nèi)部控制評定項目組的職責(zé)由公司審計部牽頭，根據(jù)項目需要會同其它有關(guān)部門構(gòu)成內(nèi)控評定項目組，負(fù)責(zé)公司內(nèi)部控制自我評定的組織實施，具體涉及：統(tǒng)籌年度內(nèi)部控制自我評定工作的展開，涉及：項目范疇的設(shè)定、擬定項目工作計劃、項目人員安排及工作分工等；執(zhí)行年度內(nèi)部控制自我評定工作，涉及：編制流程文檔、進(jìn)行內(nèi)部控制測試及出具年度內(nèi)部控制自我評定報告；定時向公司管理層報告內(nèi)控評定工作發(fā)現(xiàn)，并監(jiān)督內(nèi)控缺點整治工作的進(jìn)度；提供如何展開內(nèi)控自我評定工作的有關(guān)專項培訓(xùn)。1.1.5內(nèi)部控制的考核為確保年度內(nèi)控評定項目工作的順利實施，建立內(nèi)部控制管理的長效機(jī)制，公司每年會根據(jù)內(nèi)控自我評定的成果，針對內(nèi)控缺點的整治完畢狀況（與否按照原整治計劃準(zhǔn)時、按質(zhì)量完畢整治工作），同時結(jié)合外部審計師對公司的內(nèi)控評價成果，對內(nèi)控流程的建設(shè)狀況及實際執(zhí)行狀況進(jìn)行考核，并將考核成果作為部分整體績效的一部分，具體考核方法另文下發(fā)。各下屬公司能夠按照總部的規(guī)定和考核的實施細(xì)則，制訂合用于我司的內(nèi)部控制考核方法。由于整個內(nèi)控項目實施時間較長，各公司在制訂考核方法的過程中，應(yīng)結(jié)合我司項目實施狀況，擬定考核重點。內(nèi)部控制手冊1.2.1內(nèi)部控制手冊的遵照內(nèi)部控制手冊所統(tǒng)計的內(nèi)部控制流程合用于xx公司。各下屬公司應(yīng)參考內(nèi)控手冊中的流程描述及控制點描述結(jié)合我司的實際狀況執(zhí)行有關(guān)業(yè)務(wù)流程，并根據(jù)業(yè)務(wù)流程的實際狀況編寫合用于我司的內(nèi)部控制手冊。下屬公司應(yīng)比照本內(nèi)部控制手冊，對內(nèi)部控制框架和其中涉及的業(yè)務(wù)流程進(jìn)行差別分析，并就差別產(chǎn)生的因素進(jìn)行闡明。對于控制點的缺失，如果不存在賠償性控制，應(yīng)作為控制缺點向公司總部進(jìn)行報告，并主動按照整治建議執(zhí)行整治工作。1.2.2內(nèi)部控制手冊的頒布內(nèi)部控制手冊經(jīng)公司董事會同意后頒布執(zhí)行。1.2.3內(nèi)部控制手冊的維護(hù)內(nèi)部控制手冊每年應(yīng)根據(jù)上年度內(nèi)控評定工作的成果，以及公司組織架構(gòu)、業(yè)務(wù)流程的變化狀況及時進(jìn)行更新，并做好版本管理。內(nèi)部控制評定項目組負(fù)責(zé)內(nèi)部控制手冊文檔的整體維護(hù)及版本控制工作。各業(yè)務(wù)部門及下屬公司應(yīng)有責(zé)任將年度內(nèi)發(fā)生的流程變化信息，涉及任何并購活動的產(chǎn)生、組織架構(gòu)和重要職位變動、業(yè)務(wù)流程變更、新業(yè)務(wù)增加等及時向內(nèi)控評定項目組報備。各業(yè)務(wù)部門及下屬公司應(yīng)在變化發(fā)生后填寫《流程變化報備表》（詳見附件5.2），并將報備表提交公司審計部進(jìn)行備案。內(nèi)控評定項目組會在年度評定工作中關(guān)注流程變化的內(nèi)容，對其有效性進(jìn)行評定后決定與否能夠?qū)?nèi)部控制手冊的內(nèi)容進(jìn)行修訂。內(nèi)部控制自我評定工作應(yīng)根據(jù)最新版本的內(nèi)部控制手冊開展。內(nèi)部控制評定項目工作組組織架構(gòu)及報告路線組織架構(gòu)項目工作組由項目組組長、項目構(gòu)組員、質(zhì)量監(jiān)控人員構(gòu)成，是公司總部項目管理委員會下設(shè)的年度內(nèi)控評定工作的執(zhí)行機(jī)構(gòu)。各下屬公司也能夠參考總部項目組的組織架構(gòu)酌情建立自己的內(nèi)控評定項目組，負(fù)責(zé)內(nèi)部控制設(shè)計與執(zhí)行有效性進(jìn)行自我評定。下屬公司的內(nèi)控評定項目組的具體工作辦法能夠參考本手冊執(zhí)行。報告路線內(nèi)控評定工作采用層層上報機(jī)制，全部參加內(nèi)控評定工作的人員在項目范疇內(nèi)對其工作成果的真實性、完整性、合理性負(fù)責(zé)。本手冊規(guī)定了內(nèi)控評定工作的報告路線：在穿行測試階段，項目構(gòu)組員檢查到任何內(nèi)控缺點、違規(guī)或不符合《內(nèi)部控制手冊》的狀況，應(yīng)及時與各控制點負(fù)責(zé)人和流程負(fù)責(zé)人確認(rèn)有關(guān)問題發(fā)現(xiàn)的真實性，并定時將問題發(fā)現(xiàn)匯總向項目組組長報告；在控制測試階段，當(dāng)擬定問題發(fā)現(xiàn)的真實性后，項目構(gòu)組員應(yīng)按照本手冊的規(guī)定，適宜增加測試的樣本量。當(dāng)在增加的樣本量中仍發(fā)現(xiàn)有差錯和例外的狀況時，項目構(gòu)組員應(yīng)及時告之各被測試單位的控制點負(fù)責(zé)人和流程負(fù)責(zé)人以確認(rèn)有關(guān)問題發(fā)現(xiàn)的真實性，并定時將問題發(fā)現(xiàn)匯總向項目組組長報告；項目組組長評定后，根據(jù)重要性原則將核心控制點的內(nèi)控缺點及時、完整的向項目管理委員會及有關(guān)管理層報告；在年中/終測試后，內(nèi)控評定項目組會向公司的審計委員會、項目管理委員會及有關(guān)管理層就本年度全部已識別的重大內(nèi)控缺點與實質(zhì)性漏洞等問題發(fā)現(xiàn)進(jìn)行報告。組員的素質(zhì)規(guī)定2.2.1組員的獨立性規(guī)定內(nèi)控評定項目組必須保持相對獨立性，在工作過程中自始自終不受外來或內(nèi)在因素的影響和干擾，獨立取證，客觀、公正地展開內(nèi)控評定工作。為保持項目構(gòu)組員的獨立性，必須做到：項目構(gòu)組員保持應(yīng)有的獨立性，其日常工作需獨立于內(nèi)控評定工作所涉及的流程，亦不能為控制點執(zhí)行人員、控制點負(fù)責(zé)人和流程重要負(fù)責(zé)部門負(fù)責(zé)人。組員的能力規(guī)定內(nèi)控評定項目組必須確保有足夠的人力資源投入到年度內(nèi)部控制評定工作。項目構(gòu)組員應(yīng)含有足夠的工作能力及參加內(nèi)控評定工作所需要的知識、技能、經(jīng)驗和資質(zhì)等，涉及但不限于：充足理解公司的經(jīng)營運作和重要業(yè)務(wù)流程；充足理解《內(nèi)部控制手冊》和本手冊的內(nèi)容；已參加公司安排有關(guān)《內(nèi)控基本規(guī)范》內(nèi)控評定工作培訓(xùn)；含有綜合分析的能力和其它有關(guān)專業(yè)知識（如信息技術(shù)、行業(yè)狀況、財務(wù)等）。職能和權(quán)限2.3.1職能內(nèi)控評定項目組的職能重要是根據(jù)公司制訂的內(nèi)控評定工作程序?qū)?nèi)部控制流程中的核心控制點進(jìn)行測試和評價，確保工作底稿及測試報告的真實性和完整性，以此來判斷公司的內(nèi)部控制與否合理、健全、有效，并根據(jù)內(nèi)部控制評定的成果出具內(nèi)部控制自我評價報告。通過內(nèi)部控制的執(zhí)行，將公司經(jīng)營風(fēng)險減少到公司可接受的最低水平，以最后實現(xiàn)內(nèi)部控制的總體目的。權(quán)限內(nèi)控評定項目構(gòu)組員有權(quán)查閱與其所負(fù)責(zé)的流程有關(guān)的文獻(xiàn)資料；就其所負(fù)責(zé)的流程詢問有關(guān)流程負(fù)責(zé)人；并就工作過程中發(fā)現(xiàn)的問題向項目組組長報告。同時，項目構(gòu)組員不能在工作過程中進(jìn)行與內(nèi)控評定工作無關(guān)的業(yè)務(wù)或獲取與其所負(fù)責(zé)流程無關(guān)的資料，并對其所理解到的業(yè)務(wù)中涉及公司機(jī)密的內(nèi)容有絕對保密的責(zé)任。職責(zé)分工2.4.1組長項目組組長是內(nèi)控評定工作的重要負(fù)責(zé)人，負(fù)責(zé)組織、計劃、督促、指導(dǎo)、協(xié)調(diào)項目組各項工作的全方面展開貫徹，負(fù)責(zé)工作底稿的審核及評定報告的審核、上報及解釋工作，對本項目工作負(fù)重要責(zé)任。具體職責(zé)涉及：項目工作準(zhǔn)備階段，在進(jìn)行實地外勤工作前編制項目實施方案，涉及項目范疇的擬定、人員的安排、工作分工、時間計劃的制訂與項目范疇內(nèi)涉及部門的協(xié)調(diào)等；組織召開項目工作啟動會議，向項目構(gòu)組員介紹工作計劃、工作安排及有關(guān)注意事項等內(nèi)容；執(zhí)行有效的項目管理，控制并確保工作在計劃時間內(nèi)完畢，對整個項目的工作進(jìn)度負(fù)責(zé)；定時向公司管理層報告項目進(jìn)展?fàn)顩r及所發(fā)現(xiàn)的重點問題，持續(xù)的溝通；匯總工作過程中發(fā)現(xiàn)的內(nèi)控缺點，定時向公司管理層報告內(nèi)控缺點的發(fā)現(xiàn)狀況及整治工作的進(jìn)展?fàn)顩r，監(jiān)督內(nèi)控缺點整治工作的進(jìn)程；根據(jù)內(nèi)控評定工作成果出具年度的內(nèi)部控制自我評價報告；協(xié)調(diào)項目構(gòu)組員在實際工作中碰到的困難和障礙。2.4.2組員項目構(gòu)組員重要負(fù)責(zé)內(nèi)控評定工作的具體執(zhí)行，并就評定工作中發(fā)現(xiàn)的問題及時向組長報告。為確保內(nèi)控評定工作的質(zhì)量，項目構(gòu)組員應(yīng)含有對應(yīng)的職業(yè)技能及專業(yè)知識，符合2.2章節(jié)組員素質(zhì)規(guī)定。項目構(gòu)組員應(yīng)簽字確認(rèn)其所負(fù)責(zé)流程文檔及控制點測試工作底稿，確保工作底稿真實完整反映了該組員的意見。具體職責(zé)涉及：主動按照項目工作計劃安排展開工作，定時向組長報告工作進(jìn)度及工作過程中發(fā)現(xiàn)的問題或碰到的困難，保持持續(xù)溝通；展開流程訪談，向流程負(fù)責(zé)人確認(rèn)流程描述，收集所需要的穿行測試資料以確認(rèn)流程描述的真實性；在工作過程中與流程負(fù)責(zé)人保持持續(xù)的溝通，及時確認(rèn)有關(guān)問題發(fā)現(xiàn)的真實性；按照工作底稿模版完畢內(nèi)控評定工作底稿，涉及流程描述、風(fēng)險控制矩陣、穿行測試、內(nèi)部控制測試表及內(nèi)部控制缺點具體報告；在工作中獨立取證，客觀、公正地展開內(nèi)控評定工作，認(rèn)真、精確和具體填寫有關(guān)內(nèi)容，并按照工作分工對自己所負(fù)責(zé)流程的工作質(zhì)量負(fù)全部責(zé)任。質(zhì)量監(jiān)控員質(zhì)量監(jiān)控員是內(nèi)控評定工作的監(jiān)督人員，重要責(zé)任是確保內(nèi)控評定工作是按本手冊的工作辦法進(jìn)行，以確保工作完畢質(zhì)量。質(zhì)量監(jiān)控員人數(shù)約XX人。質(zhì)量監(jiān)控員應(yīng)簽字確認(rèn)其參加監(jiān)控的流程及控制點測試工作底稿，以確保該工作底稿的測試質(zhì)量在其監(jiān)控之下完畢。具體職責(zé)涉及：在計劃測試時，質(zhì)量監(jiān)控員負(fù)責(zé)審視各項目構(gòu)組員已修改好的內(nèi)控評定文檔：涉及流程描述、風(fēng)險控制矩陣等。在測試的實地工作中，質(zhì)量監(jiān)控員審視項目構(gòu)組員填寫的《穿行測試工作底稿》、《內(nèi)控測試工作底稿》和有關(guān)附件，確保測試工作是嚴(yán)格按照本手冊的工作辦法進(jìn)行，并簽字確認(rèn)；檢查項目構(gòu)組員的抽樣證據(jù)、在執(zhí)行測試時與否按流程需要執(zhí)行了必要的測試辦法，所執(zhí)行的測試辦法與否對的、有效，所選用的樣本量與否合理，對流程控制工作的評價與否合理；檢查各組員編寫的《內(nèi)部控制缺點具體報告》，確保全部問題發(fā)現(xiàn)都得到報告；在內(nèi)控評定工作的后期，向項目構(gòu)組員確認(rèn)各問題發(fā)現(xiàn)已充足與被查單位的控制點執(zhí)行人員、控制點負(fù)責(zé)人和流程重要負(fù)責(zé)部門負(fù)責(zé)人進(jìn)行溝通并確認(rèn)；向各公司的項目牽頭部門收集和匯總控制點負(fù)責(zé)人和流程重要負(fù)責(zé)部門負(fù)責(zé)人對評定成果和改善建議的反饋意見；有關(guān)的反饋意見應(yīng)有紙質(zhì)的文檔支持，而不是口頭合同，這涉及OA、E-mail等；在項目過程中碰到任何問題，應(yīng)及時和完整地向項目組組長進(jìn)行報告，并保持持續(xù)的溝通。內(nèi)部控制評定工作程序項目范疇的設(shè)定內(nèi)部控制自我評定項目范疇的設(shè)定應(yīng)從內(nèi)部控制的目的出發(fā)，即：合理確保公司經(jīng)營管理正當(dāng)合規(guī)、資產(chǎn)安全、財務(wù)報告及有關(guān)信息真實完整、提高經(jīng)營效率和效果及增進(jìn)公司實現(xiàn)發(fā)展戰(zhàn)略，并結(jié)合公司的實際經(jīng)營狀況和業(yè)務(wù)特點，采用以風(fēng)險為導(dǎo)向的工作辦法，根據(jù)年度風(fēng)險評定的成果，將高風(fēng)險領(lǐng)域涉及到的對公司經(jīng)營運作有重大影響的業(yè)務(wù)流程及核心風(fēng)險點納入項目評定范疇。內(nèi)部控制自我評價的方式、范疇、程序和頻率，由公司根據(jù)經(jīng)營業(yè)務(wù)調(diào)節(jié)、經(jīng)營環(huán)境變化、業(yè)務(wù)發(fā)展?fàn)顩r、剩余風(fēng)險水平等擬定。編制內(nèi)控文檔統(tǒng)計3.2.1公司層面內(nèi)部控制按照《內(nèi)控基本規(guī)范》中的規(guī)定并結(jié)合COSO內(nèi)控整合框架中的規(guī)定，編制公司層面內(nèi)控評定調(diào)查問卷，根據(jù)問卷中涉及到的內(nèi)容對有關(guān)部門和管理層進(jìn)行訪談、評定及認(rèn)證。3.2.2信息系統(tǒng)的普通控制信息技術(shù)系統(tǒng)的普通控制為作用于數(shù)據(jù)中心和網(wǎng)絡(luò)運行，操作系統(tǒng)軟件采購與維護(hù)，訪問安全和應(yīng)用程序系統(tǒng)的采購、開發(fā)和維護(hù)的控制。這些控制合用于大型機(jī)、小型機(jī)和最后顧客的環(huán)境中。其重要涵蓋程序開發(fā)控制、程序變更控制、程序及數(shù)據(jù)的訪問控制、系統(tǒng)運行控制以及最后顧客運算五方面。程序開發(fā)控制–合理確保對與日常經(jīng)營活動親密有關(guān)的重要程序的更改，在被移至生產(chǎn)環(huán)境之前是通過授權(quán)與適宜測試的。另外。有關(guān)的控制按盼望實施并支持財務(wù)報告的規(guī)定，其中還應(yīng)涉及公司對信息安全和數(shù)據(jù)解決完整性等方面的規(guī)定。程序變更控制–能合理確保對與日常經(jīng)營活動親密有關(guān)的重要程序的更改，在被移至生產(chǎn)環(huán)境之前是通過授權(quán)與適宜測試的。程序及數(shù)據(jù)的訪問控制–能合理確保系統(tǒng)與子系統(tǒng)上建立了適宜的安全性方法來避免數(shù)據(jù)的未授權(quán)使用，披露，更改，破壞和流失。系統(tǒng)運行控制–管理層制訂、統(tǒng)計并遵照了有關(guān)系統(tǒng)運作的原則流程：涉及實施批解決作業(yè)以及對安全與信息解決事件的監(jiān)控與反映。最后顧客運算–合理確保終端顧客所使用的電子表格與自主開發(fā)的程序所提供數(shù)據(jù)的完整性、精確性和可靠性。數(shù)據(jù)的未授權(quán)使用，披露，更改，破壞與流失得到合理的防止。3.2.3流程層面內(nèi)部控制在流程層面內(nèi)部控制涉及每個重要子流程的交易發(fā)起、審批授權(quán)、統(tǒng)計、解決和報告的過程。發(fā)起–因一項交易的發(fā)生而產(chǎn)生的應(yīng)承當(dāng)?shù)臋?quán)力或義務(wù)、增加的資產(chǎn)或負(fù)債，即交易統(tǒng)計的起點。審批授權(quán)–在交易執(zhí)行或統(tǒng)計之前，有獨立的審批授權(quán)，對業(yè)務(wù)的執(zhí)行進(jìn)行授權(quán)同意。統(tǒng)計–每項交易一旦發(fā)起，必須在交易的過程中將有關(guān)的控制過程及核心控制點進(jìn)行統(tǒng)計。解決–必須對的執(zhí)行交易過程中的信息，以確保交易統(tǒng)計的精確性。報告–營運過程中產(chǎn)生信息的報告過程。根據(jù)控制的具體實現(xiàn)方式的區(qū)別，我們可將內(nèi)部控制細(xì)分為手工控制、自動化控制和依賴自動化的手工控制。手工控制–是指那些運行時不需要依賴于信息系統(tǒng)環(huán)境的控制。自動化控制–是指應(yīng)用于單個交易解決的完全由系統(tǒng)自動執(zhí)行的控制（應(yīng)用程序控制），涉及諸如編輯檢查、確認(rèn)、計算、轉(zhuǎn)換和授權(quán)等控制。應(yīng)用程序控制還可有效增強(qiáng)不相容職責(zé)的分離，并有效提高控制活動的效率和效果。依賴自動化的手工控制–是指人通過基于信息系統(tǒng)生成的信息來進(jìn)行控制，因此它是人與電腦相結(jié)合的產(chǎn)物。由于依賴自動化的手工操作很大程度上依賴電腦系統(tǒng)生成的信息報告，確保電腦系統(tǒng)生成信息的完整性和精確性尤為重要。其中自動化控制能夠分為信息系統(tǒng)普通控制和應(yīng)用控制兩部分。信息系統(tǒng)普通控制：強(qiáng)調(diào)的是信息系統(tǒng)所處的整體信息技術(shù)環(huán)境，是其它任何基于信息系統(tǒng)的控制方法的基礎(chǔ)。信息系統(tǒng)應(yīng)用控制：是指在業(yè)務(wù)流程中基于信息系統(tǒng)的控制方法。普通涵蓋對某一特定系統(tǒng)功效的訪問權(quán)限，對數(shù)據(jù)輸入、解決及輸出的控制等。根據(jù)控制的具體功效區(qū)別，我們可將內(nèi)部控制細(xì)分為防止性控制和發(fā)現(xiàn)性控制。防止性控制：發(fā)生于差錯出現(xiàn)之前，正常狀況下合用于單筆交易或系統(tǒng)設(shè)立。發(fā)現(xiàn)性控制：發(fā)生于差錯出現(xiàn)之后，正常狀況下合用于多筆交易。與財務(wù)報告有關(guān)控制還需要確保每個重要的會計科目符合下列財務(wù)報表認(rèn)定的規(guī)定：存在與發(fā)生：資產(chǎn)負(fù)債表所列的各項資產(chǎn)、負(fù)債、權(quán)益在資產(chǎn)負(fù)債表日與否存在，損益表所列的各項收入和費用在會計期間與否確實發(fā)生。需要注意的是“存在或發(fā)生”認(rèn)定所需要解決的問題是，管理當(dāng)局與否把那些不應(yīng)涉及的項目（如不存在的項目或不曾發(fā)生的交易成果）記入了會計報表，但并不涉及所報告的金額與否對的。完整性：在會計報表中應(yīng)列示的全部交易和項目與否都列入了。這里需注意，有關(guān)“完整性”的認(rèn)定所要解決的問題是，管理當(dāng)局與否把應(yīng)涉及的項目給遺漏或省略了，并不涉及所報告的金額與否對的?？梢?，“完整性”認(rèn)定與“存在與發(fā)生”認(rèn)定正好相反，它重要與會計報表的構(gòu)成要素的低估有關(guān)。即“該記賬的沒記”。估價與分?jǐn)偅嘿Y產(chǎn)與負(fù)債、交易或事件以適宜的金額統(tǒng)計。收入與費用于適宜的期間內(nèi)分?jǐn)偂?quán)利與義務(wù)：在某一特定日期，各項資產(chǎn)與否確屬公司的權(quán)利，各項負(fù)債與否確屬公司的義務(wù)，需注意該認(rèn)定只與資產(chǎn)負(fù)債表的構(gòu)成要素有關(guān)。表述與披露：會計報表上的特定構(gòu)成要素與否被適宜地加以分類、闡明和披露。評定內(nèi)部控制在設(shè)計上的有效性透過與流程負(fù)責(zé)人或有關(guān)系統(tǒng)負(fù)責(zé)人訪談以理解公司層面和各重要流程的內(nèi)部控制（涉及信息系統(tǒng)普通控制和應(yīng)用控制），通過穿行測試確認(rèn)內(nèi)控的真實性，用以評定現(xiàn)有內(nèi)控在設(shè)計上控制方法能否達(dá)成預(yù)期的控制目的。若然發(fā)現(xiàn)有任何局限性之處，會把有關(guān)缺點統(tǒng)計至缺點報告，然后逐個評定其發(fā)生的可能性和潛在的影響。執(zhí)行內(nèi)部控制測試3.3.1內(nèi)部控制測試的執(zhí)行除以上評定內(nèi)部控制在設(shè)計上的有效性外，還會對內(nèi)控在操作上的有效性進(jìn)行測試，涉及控制方法與否按設(shè)計一貫的有效執(zhí)行和控制執(zhí)行人員與否含有對應(yīng)的職權(quán)或資格?？刂茰y試僅針對核心控制進(jìn)行。核心控制：是指對公司日常經(jīng)營運作含有進(jìn)一步的影響的控制，核心控制的失敗將直接影響到公司戰(zhàn)略、運行、合規(guī)、財務(wù)和資產(chǎn)安全五大控制目的的實現(xiàn)。評定內(nèi)部控制在操作上的有效性透過執(zhí)行內(nèi)部控制測試（涉及信息系統(tǒng)普通控制和應(yīng)用控制）驗證核心控制與否在固定時間內(nèi)一貫的有效執(zhí)行。評定現(xiàn)有內(nèi)控方法在操作上能否達(dá)成預(yù)期的控制目的。若然發(fā)現(xiàn)有任何局限性之處，會把有關(guān)缺點統(tǒng)計至缺點報告，然后逐個評定其影響。內(nèi)部控制缺點評定內(nèi)控評定項目的范疇涉及公司層面的整體內(nèi)部控制框架和流程層面重要內(nèi)控方法（涉及信息系統(tǒng)普通控制和應(yīng)用控制）。在評定過內(nèi)控在設(shè)計上（見3.2.4節(jié)）和操作上（見3.3.2節(jié)）的有效性后，需把識別到的內(nèi)控缺點進(jìn)行分析。內(nèi)部控制缺點重要分為設(shè)計缺點和操作缺點。設(shè)計缺點：指的是內(nèi)部控制方法在設(shè)計上本身就存在漏洞或控制缺失，控制方法無法將風(fēng)險減少到可接受的最低水平。操作缺點：指的是控制方法在設(shè)計上本身是有效的，但控制執(zhí)行人并未按規(guī)定將控制活動一貫的有效執(zhí)行。內(nèi)部控制缺點按其后果的嚴(yán)重性和發(fā)生的可能性還能夠分為三大類：（1）重大缺點、重要缺點和普通缺點。進(jìn)行內(nèi)部控制缺點評定時，能夠?qū)⒆晕以u定成果與外部審計師評定成果相結(jié)合，對內(nèi)部控制缺點進(jìn)行最后的評價。重大缺點：是指一種或多個控制缺點的組合，可能造成公司嚴(yán)重偏離控制目的的情形。結(jié)合公司風(fēng)險評定的成果，僅高風(fēng)險領(lǐng)域的核心控制點的內(nèi)控缺點才可能產(chǎn)生重大缺點。重要缺點：是指一種或多個控制缺點的組合，其嚴(yán)重程度和經(jīng)濟(jì)后果低于重大缺點，但仍有可能造成公司偏離控制目的的情形。普通缺點：是指除重大缺點、重要缺點之外的其它控制缺點。應(yīng)當(dāng)分析內(nèi)控缺點的性質(zhì)和產(chǎn)生的因素，提出整治方案，采用適宜的形式及時向董事會、監(jiān)事會或者管理層報告。公司應(yīng)當(dāng)跟蹤內(nèi)部控制缺點整治狀況，并就內(nèi)部監(jiān)督中發(fā)現(xiàn)的重大缺點，追究有關(guān)責(zé)任單位或者負(fù)責(zé)人的責(zé)任。工作辦法概述3.5.1內(nèi)部控制描述辦法概述在內(nèi)控評定工作過程中，但凡與公司經(jīng)營運作親密有關(guān)并產(chǎn)生重大影響的控制都需要進(jìn)行具體的統(tǒng)計。在編寫流程描述時，對于每個控制點的描述要注意要描述出五個方面內(nèi)容（5W）：Who 誰是該控制的執(zhí)行者When 控制在什么時間發(fā)生What 如何實施該控制Where 控制體現(xiàn)在什么地方Why 該控制的目的在統(tǒng)計被納入工作范疇的流程時，項目構(gòu)組員能夠通過下列方式識別流程層面的重要控制點：審視現(xiàn)行的管理制度；詢問有關(guān)負(fù)責(zé)人控制狀況；進(jìn)行穿行測試；及將內(nèi)部控制設(shè)計與《內(nèi)控基本規(guī)范》和其它內(nèi)部控制資料進(jìn)行比較和差別分析。針對信息系統(tǒng)的控制點描述，需將信息系統(tǒng)根據(jù)信息技術(shù)環(huán)境進(jìn)行歸類（見3.2.3章節(jié)流程層面內(nèi)部控制），按具體類別對控制進(jìn)行描述，但需要確保該類別能夠涉及全部與內(nèi)部控制目的有關(guān)的核心業(yè)務(wù)流程中定義為核心控制點的信息系統(tǒng)狀況。我們會使用原則的工作底稿模版統(tǒng)計內(nèi)部控制描述（見5.2.2節(jié)），在工作過程中，將現(xiàn)有的過程、政策、辦法、操作守則、業(yè)務(wù)流程和業(yè)務(wù)負(fù)責(zé)人等內(nèi)容進(jìn)行具體統(tǒng)計。內(nèi)部控制測試辦法概述在進(jìn)行測試時，必須衡量有關(guān)內(nèi)控在設(shè)計上和操作上的有效性。而評定這兩方面的有效性重要通過穿行測試和控制測試的辦法進(jìn)行。穿行測試：即對完整業(yè)務(wù)流程軌跡按交易流程進(jìn)行模擬跟蹤，需要審視及復(fù)印交易所涉及的實際交易單據(jù)、憑證、對賬單及其它有關(guān)文獻(xiàn)?？刂茰y試：即統(tǒng)計重要內(nèi)部控制的遵照狀況，涉及管理層審核、職責(zé)與權(quán)限的劃分、授信對賬及差錯報告等重要內(nèi)部控制點，需審視（涉及在計算機(jī)系統(tǒng)中審視）有關(guān)文獻(xiàn)及單據(jù)。每年都需要對項目范疇內(nèi)的重要流程進(jìn)行穿行測試。在穿行測試中，應(yīng)在每類重大交易中選擇一筆交易，從其業(yè)務(wù)起點追溯至業(yè)務(wù)的終止。通過流程穿行測試能夠驗證并確認(rèn)內(nèi)部控制的可行性及有效性，所獲得的樣本將留作此后評定階段的書面證據(jù)。需要注意的是，我們應(yīng)選用一種比較完整的樣本，從頭至尾穿行，盡量確保在流程各個環(huán)節(jié)獲取的文檔要能勾稽起來。項目構(gòu)組員普通能夠在理解交易流程及識別內(nèi)部控制點編制內(nèi)控評定文檔的同時進(jìn)行穿行測試。在考慮內(nèi)控設(shè)計有效性時，項目構(gòu)組員需判斷其內(nèi)控設(shè)計與否能夠防備/規(guī)避有關(guān)風(fēng)險（例如需要解決什么風(fēng)險？控制如何進(jìn)行？頻率與否足夠？員工技能或經(jīng)驗與否能夠有效操作）。在評定內(nèi)部控制的操作有效性時，能夠采用下列的測試辦法驗證有關(guān)內(nèi)控與否有效運行：種類定義詢問與對有關(guān)控制含有認(rèn)識的人員進(jìn)行訪談（例如：詢問有關(guān)信貸控制，并從訪談中得到證據(jù)以證明有關(guān)跟進(jìn)工作行之有效）觀察觀察控制的執(zhí)行（例如：觀察盤點）審視與檢查檢查控制執(zhí)行的統(tǒng)計或文獻(xiàn)。（例如：檢查銀行調(diào)節(jié)表作為有效操作的證據(jù)）重新執(zhí)行對對應(yīng)的控制進(jìn)行重新演算，確保其對的操作。（例如：重新分析貸款檔案，確保成果一致）系統(tǒng)查詢恢復(fù)系統(tǒng)資料，比較成果以確認(rèn)系統(tǒng)控制能正常操作。（例如：自動產(chǎn)生例外報告，設(shè)立邏輯性系統(tǒng)準(zhǔn)入控制，確保職責(zé)分工及適宜授權(quán)）如發(fā)現(xiàn)內(nèi)控的有效性出現(xiàn)問題，需跟流程負(fù)責(zé)人理解有無賠償控制。如果有賠償控制，測試員須要針對賠償控制進(jìn)行測試。下列為發(fā)現(xiàn)內(nèi)控缺點時的有關(guān)解決程序：將不能通過測試的狀況分類(普通缺點、重要缺點或重大缺點)；根據(jù)項目管理框架報告有關(guān)狀況、對公司的影響、短期及長久的解決方案；以風(fēng)險為出發(fā)點，從內(nèi)控缺點發(fā)生可能性和影響程度兩個方面來擬定哪些內(nèi)部控制缺點構(gòu)成了重大缺點或重要缺點。抽樣基準(zhǔn)及可允許測試失效樣本數(shù)量抽樣基準(zhǔn)內(nèi)部控制實施的頻率每年樣本數(shù)量范疇每年（普通為年終）1個每季度2個每月2個每七天5個每天25個重復(fù)持續(xù)進(jìn)行(一天內(nèi)發(fā)生多次)25個不定時覆蓋全年實施有關(guān)內(nèi)控整體數(shù)量的10%，但不超出25個系統(tǒng)應(yīng)用控制1-2個（不涉及信息控制技術(shù)的普通控制）注：在抽樣時可多抽取發(fā)生時間靠近財務(wù)年度期末的樣本?？稍试S失敗的樣本數(shù)量控制測試樣本量（注）發(fā)現(xiàn)的操作缺