内部控制体系缺陷评估管理手册.docVIP

内部控制体系缺陷评估管理手册 1 目的 为规范公司缺陷评估工作，加强内部控制激励约束机制，保障内部控制体系长期有效运行，制定本手册。 2 范围 本规定适用于公司机关各部门、所属各单位缺陷评估工作管理。 3 术语 3.1 控制缺陷 本规定所称控制缺陷是指控制在设计或运行中，无法让管理层和员工在正常执行所分配工作时及时地预防或发现错报。 3.2 设计缺陷 本规定所称设计缺陷是指缺少实现控制目标所必须的控制，或者现有控制没有得到合理的设计，即使按照设计运行，也无法实现控制目标。 3.3 执行缺陷 本规定所称执行缺陷是指如果一个设计适当的控制未按照设计运行，或者执行人员没有适当的授权或能力有效运行控制。 3.4 实质性漏洞 本规定所称实质性漏洞是指控制缺陷或者控制缺陷的集合，此缺陷有合理可能性不能预防或发现公司年度或中期财务报告的重大错报。 3.5 重要缺陷 本规定所称重要缺陷是指控制缺陷或控制缺陷的集合，它会负面影响公司按照公认会计准则要求进行可靠的初始化处理、授权、记录、处理和报告对外财务数据的能力，以至于有可能导致不能防止或发现年度或中期财务报告大于不重要的错报。 3.6 一般缺陷 本规定所称一般缺陷是指控制设计或运行无法使管理层或员工在执行指定任务的正常过程中，及时防止或发现错误，但其严重程度低于重要缺陷。 3.7 总体影响水平 本规定所称总体影响水平是指在考虑补充性控制、冗余性控制或补偿性控制之前，不考虑偏差率上限或错报发生的可能性，对缺陷影响年度或中期财务报表的余额或发生额的最保守估计。 3.8 控制目标 本规定所称的控制目标是指与财务报告内控有效性相关的控制目标，即为防范财务报告风险提供合理保证，从设计层面和执行层面确立的控制程序应该达到的与财务报表认定相关的要求。 3.9 缺陷评估 本规定所称的缺陷评估是以单个控制缺陷分析为基础，然后通过将相关的一般缺陷、重要缺陷进行汇总分析，再确定汇总缺陷的类别。其目的是评价基于一定控制目标的内部控制体系在设计层面和执行层面是否存在控制缺陷以及缺陷的影响程度，为管理层发布内部控制自我评估报告提供依据。 4 职责 4.1 财务处 4.1.1 是缺陷评估工作的主管部门； 4.1.2 通过持续监督和独立评估，从公司内部或外部获取内部控制缺陷，并客观描述内部控制缺陷所造成的影响； 4.1.3 组织开展内部控制缺陷评估工作，分析控制缺陷的性质及其影响程度，特别关注与高级管理人员舞弊、越权相关的控制缺陷，以及控制缺陷间的相互关联； 4.1.4 对控制缺陷特别是经评估后被视为重大缺陷的控制缺陷应当及时向相关负责人或上一级人员汇报，根据控制缺陷评估的结果编制评估报告并上报，说明内部控制体系运行状况； 4.1.5 根据实际情况对识别出的问题进行调查，并编制相应计划进行整改，同时跟踪整改的情况。 4.2 所属各单位 收集、记录在日常控制执行、自我测试和从外部各方提供的信息中发现的例外事项，以及虽不属于例外事项范围，但对内部控制体系运行已产生了一定影响的问题，随时上报财务处。 5 管理内容 5.1 缺陷分层评估 缺陷评估分为公司层面、业务活动层面和信息系统总体控制三个方面，须分别进行单个缺陷评估。 5.1.1 公司层面控制缺陷评估 缺陷评估方法 公司层面控制缺陷通常不会直接导致财务报告错报，但会增加业务活动层面财务报告错报的可能性。因此公司层面控制缺陷评估一般很难使用量化的方法，主要采用定性分析，即逐项分析缺陷发生的原因、缺陷性质、缺陷的影响程度和错报发生的可能性等因素，从而判断缺陷的类别； 缺陷评估程序 以公司层面控制测试发现的例外事项为基础，缺陷评估的程序分两个阶段，即例外事项分析阶段和单个缺陷评估阶段。各阶段具体工作步骤如下： a) 例外事项分析阶段：即对例外事项进行汇总整理，与测试人员及公司相关人员进行必要的沟通，对例外事项的发生原因及未整改原因进行分析； b) 单个缺陷评估阶段;首先对控制缺陷与财务报告错报或漏报的关联程度进行定性分析，然后依据公司层面评估判断标准，首先分析控制缺陷是否属于实质性漏洞的范畴，属于此范畴的，进行实质性漏洞分析；如果不属于此范畴，进行重要缺陷和一般缺陷的分析，编制《公司层面单个缺陷评估分析汇总表》。 缺陷评估标准 公司层面控制缺陷分为一般缺陷、重要缺陷和实质性漏洞： 以下任一情况可视为实质性漏洞的判断标准： 识别出高级管理层中的任何程度的舞弊行为； 对已签发的财务报告进行重报以反映对错报的更正； 审计师发现的、最初未被公司财务报告内部控制识别的当期财务报告中的重大错报； 以下任一情况可视为重要缺陷的判断标准： 沟通后的重大缺陷没有在合理的期间得到的纠正； 控制环境无效； 公司内部审计职能和风险评估职能无效； 对于是否根据一般公