公司层面内部控制管理知识分析手册模板.doc

资源描述

第五次保险稽查审计联席会议材料一：保险稽查审计指导 ——企业层面内部控制分册（审议稿） 12月导言多年来，世界各国对企业内部控制建设重视程度越来越高。美国颁布了《公众企业会计改革和投资者保护法案》，又称《萨班斯—奥克斯利法案》，该法案第404条款明确要求了管理层对企业内部控制职责；906条款更指出假如企业被认定未达成该法案要求，将可能使企业和管理层个人受到包含高额罚款甚至监禁等形式严重处罚。财政部、证监会、审计署、银监会、保监会联合颁布了《企业内部控制基础规范》，并于公布了《企业内部控制配套指导》，该配套指导包含18项《企业内部控制应用指导》、《企业内部控制评价指导》和《企业内部控制审计指导》，这一套控制规范被称为中国“萨班斯法案”，分阶段适适用于包含保险企业在内各类上市企业、非上市大中型企业。和此同时，大家也越来越重视内部审计在内部控制中作用。通常认为，保险企业内部审计含有监督、评价两方面基础职能，既是内部控制一部分，同时又是内部控制测试者，对内部控制体系进行评定、评价已经成为内部审计一个关键工作内容。内部审计师通常要每十二个月对企业高管层提交内部控制评价汇报，高管层认可后对外报送或披露。这实际上就把内部审计从“后台”推向了“前台”，假如企业内部控制情况不佳，内部审计部门也负有不可推卸责任。依据国际上普遍认可COSO内部控制体系框架，内部控制通常被分为控制环境、风险识别和评定、控制活动、信息和沟通、监督五个要素。在内部控制五要素中，因为控制活动和具体业务活动相关，所以其它四个要素通常被称为企业层面内部控制。企业层面内部控制是其它业务层面控制奠基石，只有在建立健全企业层面内部控制基础上，业务层面各项内部控制才能连续地、有效地开展。结合保险企业实际，依据《保险稽查审计指导》体例安排，控制活动相关审计内容已在各业务分册表现，而企业层面内部控制审计在此专门制作一个分册。《企业层面内部控制分册》是在《基础手册》介绍相关保险企业内部审计工作基础理论、标准、方法、实务操作规范等内容基础上，基于风险导向方法论，依据现行保险法律法规及监管要求，在系统梳理企业层面内部控制风险点和全方面总结相关审计工作稽查实践经验基础上，而撰写相关怎样开展企业层面内部控制审计工作操作手册，并附以案例参考，试图以更清楚方法和思绪透视企业层面内部控制，为保险企业提升内部审计工作效率，提升理论和实务分析结合度提供指导和借鉴。在应用本手册对保险企业企业层面内部控制开展审计时，除了需要遵照《基础手册》和本分册要求外，还要参考并结合其它业务分册相关具体内容来开展；在实施审计过程中，需加强具体业务、财务活动审计配合和信息沟通，避免出现遗漏。另外，各保险企业具体实践不尽相同，所以在利用本手册过程中，还应结合被审计单位实际情况进行灵活利用。限于水平和经验，本手册还存在很多不足之处，敬请读者多多批评指正，方便以后深入修订完善。目录目录 5 第一章保险企业企业层面内部控制基础 9 第一节内部控制概述 9 一、内部控制概念 9 二、内部控制目标 12 三、内部控制标准 13 四、内部控制五要素之间关系 15 第二节企业层面内部控制概述 16 一、企业层面内部控制概念 16 二、保险企业企业层面内部控制概念 16 第二章企业层面内控审计程序和方法 21 第一节企业层面内控审计程序 21 第二节企业层面内部控制审计方法 26 一、通常方法 27 二、特殊方法 29 三、企业层面内控审计方法应用注意关键点 31 第三节计算机辅助实施企业层面内控审计 32 第三章内部环境审计 35 第一节内部环境概述 35 一、企业治理 35 二、组织架构 58 三、发展战略 70 四、人力资源 72 五、企业文化 75 六、社会责任 77 第二节企业治理审计 79 一、企业章程审计 79 案例一：企业章程修改后未报批 80 二、股东和股东（大）会审计 82 案例二：委托持股或代持股未汇报 84 三、董事、独立董事、董事会及其下设委员会审计 85 案例三：董事长、独立董事、董事会秘书未尽职 87 四、监事和监事会审计 89 案例四：监事会没有职员代表参与 90 五、关联交易管理审计 90 案例五：没有充足识别关联方、关联交易管理不合规 91 六、董事、监事、高管任免、薪酬管理审计 92 案例六：假造薪酬委员会决议、发放高管薪酬 93 案例七：以假学历骗取高管任职资格 95 七、集团化管控审计（集团企业适用） 96 第三节组织架构审计 97 一、组织架构管理审计 97 二、经营管理层任职履职情况审计 98 三、精算管理、财务管理、法律管理、合规管理、风险管理、信息化管理、内部审计管理组织架构审计 98 第四节发展战略、人力资源、企业文化、社会责任审计 99 一、发展战略审计 99 二、人力资源管理审计 101 案例八：未能制订强制休假、轮岗制度 102 案例九：不合理奖金分配制度 104 案例十：绩效体系不完善 106 三、企业文化建设审计 110 四、社会责任审计 112 案例十一：内部管理混乱、内控完全失效 113 第四章风险管理审计 115 第一节风险管理概述 115 一、风险管理组织 115 二、风险目标设定 117 三、风险评定 118 四、风险应对 120 五、风险管理监督和改善 122 第二节风险评定常见方法和风险应对常见策略 123 一、风险评定常见方法 123 二、风险应正确常见策略 124 第三节风险管理组织审计 126 一、风险管理委员会审计 126 二、风险管理职能审计 127 三、风险信息共享机制审计 128 四、风险管理宣导和培训 129 案例十二：风险管理组织不健全 129 第四节风险目标设定审计 131 第五节风险评定审计 131 一、风险识别审计 131 案例十三：风险识别不全方面 132 二、风险分析和评价审计 133 第六节风险应对审计 134 一、风险管理总体策略审计 134 二、风险限额审计 135 三、风险处理方案审计 136 案例十四：风险应对策略调整不立即 137 第七节风险管理监督和改善审计 138 一、风险管理监督和改善审计 138 二、风险管理汇报审计 139 第五章信息和沟通审计 140 第一节信息和沟通概述 140 一、信息搜集、处理和传输 140 二、反舞弊和举报投诉管理机制 141 三、信息系统内控有效性 142 四、信息披露管理 142 第二节内外部信息搜集、处理和传输审计 145 一、内外部信息搜集、处理和传输机制审计 145 二、公文管理审计 146 第三节反舞弊和举报投诉管理机制审计 148 一、反舞弊工作机制审计 148 二、举报投诉管理机制审计 149 案例十五：反舞弊机制存在漏洞、缺乏举报人保护制度 149 第四节信息系统内控有效性审计 151 一、信息系统安全管理审计 151 二、信息技术发展计划审计 152 三、信息系统内控有效性审计 152 案例十六：应用系统功效计划和管理缺乏前瞻性和统筹性 153 第五节信息披露管理审计 155 案例十七：信息披露违规操作 156 第六章内部监督审计 158 第一节内部监督概述 158 一、内部控制监督制度 158 二、内部控制缺点认定 159 三、内部控制自我评价 159 第二节内部控制监督制度审计 161 一、内部控制监督制度审计 161 二、内部审计管理审计 162 三、合规管理审计 163 四、日常监督和专题监督开展情况审计 163 五、对子企业和分支机构内审监督管理情况审计 164 第三节内部控制缺点认定审计 165 一、内部控制缺点处理机制审计 165 二、重大异常情况处理机制审计 166 第四节内部控制自我评价审计 166 一、内部控制自我评定工作审计 166 二、内部责任追究机制审计 167 案例十八：责任追究制度不健全、实施不到位 168 附件：企业层面内部控制相关法律法规和监管要求 170 第一章保险企业企业层面内部控制基础第一节内部控制概述一、内部控制概念（一）内部控制最早被作为专业概念提出是在1936年美国会计师协会公布《独立公共会计师对财务报表审查》中，指为保护现金和其它资产，检验簿记事务正确性而在企业内部采取手段和方法。其后，伴随内部控制理论不停完善，这一概念内涵和外延全部发生了较大改变。目前世界各国广泛采取和认可是由美国反虚假财务汇报委员会下属提议人委员会（即COSO委员会）于1992年提出并和1994年修改《内部控制——整体框架》中对内部控制提出定义：内部控制是由企业董事会、经理层和其它职员实施，为营运效率效果、财务汇报可靠性及相关法令遵照性等目标达成而提供合理确保过程。COSO框架从各个层次对风险和控制进行分析和评定，为企业内部控制管理提供了整体框架体系，首次提出了“五要素”，包含： 1、控制环境（Control environment）。它包含组织人员老实、伦理价值和能力；管理层哲学和经营模式；管理层分配权限和责任、组织、发展职员方法；董事会提供关注和方向。控制环境影响职员管理意识，是其它部分基础。 2、风险评定（risk assessment）。是确定和分析实现目标过程中相关风险，是形成管理何种风险依据。它随经济、行业、监管和经营条件而不停改变，需建立一套机制来识别和处理对应风险。 3、控制活动（control activities）。是帮助实施管理指令政策和程序。它贯穿整个组织、多种层次和功效，包含多种活动如同意、授权、证实、调整、经营绩效评价、资产保护和职责分离等。 4、信息和沟通（information and communication）。信息系统产生多种汇报，包含经营、财务、守规等方面，使得对经营控制成为可能。处理信息包含内部生成数据，也包含可用于经营决议外部事件、活动、情况信息和外部汇报。全部些人员全部要了解自己在控制系统中所处位置，和相互关系；必需认真对待控制给予自己责任，同时也必需同外部团体如用户、供货商、监管机构和股东进行有效沟通。 5、监控（monitoring）。监控在经营过程中进行，经过对正常管理和控制活动和职员实施职责过程中活动进行监控，来评价系统运作质量。不一样评价范围和步骤取决于风险评定和实施中监控程序有效性。对于内部控制缺点要立即向上级汇报，严重问题要汇报到管理层高层和董事会。（二），财政部、证监会、审计署、国资委、银监会、保监会五部委联合公布《企业内部控制基础规范》（财会[]7号），4月26日，又联合公布了《企业内部控制配套指导》，《基础规范》和配套指导构建了中国企业内部控制规范体系。《基础规范》指出，内部控制是由企业董事会、监事会、经理层和全体职员实施、意在实现控制目标过程。《基础规范》指出，企业建立和实施有效内部控制，应该包含下列要素： 1、内部环境。内部环境是企业实施内部控制基础，通常包含治理结构、机构设置及权责分配、内部审计注：《基础规范》将内部审计作为控制环境一部分，但本手册根据通常了解，将内部审计放在监督一章。、人力资源政策、企业文化等。 2、风险评定。风险评定是企业立即识别、系统分析经营活动中和实现内部控制目标相关风险，合理确定风险应对策略。 3、控制活动。控制活动是企业依据风险评定结果，采取对应控制方法，将风险控制在可承受度之内。 4、信息和沟通。信息和沟通是企业立即、正确地搜集、传输和内部控制相关信息，确保信息在企业内部、企业和外部之间进行有效沟通。 5、内部监督。内部监督是企业对内部控制建立和实施情况进行监督检验，评价内部控制有效性，发觉内部控制缺点，立即加以改善。（三），中国保监会颁布《保险企业内部控制基础准则》（保监发[]69号）指出，内部控制是指保险企业各层级机构和人员，依据各自职责，采取合适方法，合理防范和有效控制经营管理中多种风险，预防企业经营偏离发展战略和经营目标机制和过程。《基础准则》指出，保险企业内部控制体系包含以下三个组成部分： 1、内部控制基础。包含企业治理、组织架构、人力资源、信息系统和企业文化等。 2、内部控制程序。包含识别评定风险、设计实施控制方法等。 3、内部控制确保。包含信息沟通、内控管理、内部审计应急机制和风险问责等。二、内部控制目标（一）依据《企业内部控制基础规范》（财会[]7号），内部控制目标是合理确保企业经营管理正当合规、资产安全、财务汇报及相关信息真实完整，提升经营效率和效果，促进企业实现发展战略。（二）依据《保险企业内部控制基础准则》（保监发[]69号），保险企业内部控制目标包含： 1、行为合规性目标。确保保险企业经营管理行为遵遵法律法规、监管要求、行业规范、企业内部管理制度和诚信准则； 2、资产安全性目标。确保保险企业资产安全可靠，预防企业资产被非法使用、处理和侵占； 3、信息真实性目标。确保保险企业财务汇报、偿付能力汇报等业务、财务及管理信息真实、正确、完整； 4、经营有效性目标。增强保险企业决议实施力，提升管理效率，改善经营效益； 5、战略保障性目标。保障保险企业实现发展战略，促进稳健经营和可连续发展，保护股东、被保险人及其它利益相关者正当权益。三、内部控制标准（一）依据《企业内部控制基础规范》（财会[]7号），企业建立和实施内部控制，应该遵照下列标准： 1、全方面性标准。内部控制应该贯穿决议、实施和监督全过程，覆盖企业及其所属单位多种业务和事项。 2、关键性标准。内部控制应该在全方面控制基础上，关重视要业务事项和高风险领域。 3、制衡性标准。内部控制应该在治理结构、机构设置及权责分配、业务步骤等方面形成相互制约、相互监督，同时兼顾运行效率。 4、适应性标准。内部控制应该和企业经营规模、业务范围、竞争情况和风险水平等相适应，并伴随情况改变立即加以调整。 5、成本效益标准。内部控制应该权衡实施成本和预期效益，以合适成本实现有效控制。（二）依据《保险企业内部控制基础准则》（保监发[]69号），保险企业建立和实施内部控制，应该遵照以下标准： 1、全方面和关键相统一。保险企业应该建立全方面、系统、规范化内部控制体系，覆盖全部业务步骤和操作步骤，贯穿经营管理全过程。在全方面管理基础上，对企业关键业务事项和高风险领域实施关键控制。 2、制衡和协作相统一。保险企业内部控制应该在组织架构、岗位设置、权责分配、业务步骤等方面，经过合适职责分离、授权和层级审批等机制，形成合理制约和有效监督。在制衡基础上，各职能部门和业务单位之间应该相互配合，亲密协作，提升效率，避免相互推诿或工作遗漏。 3、权威性和适应性相统一。保险企业内部控制应该和绩效考评和问责相挂钩，任何人不得拥有不受内部控制约束权力，未经授权不得更改内部控制程序。在确保内部控制权威性基础上，企业应该立即调整和定时优化内部控制步骤，使之不停适应经营环境和管理要求改变。 4、有效控制和合理成本相统一。保险企业内部控制应该和企业实际风险情况相匹配，确保内部控制方法满足管理需求，风险得到有效防范。在有效控制前提下，合理配置资源，尽可能降低内部控制成本。四、内部控制五要素之间关系依据COSO框架，和《基础规范》等制度文件，我们通常将内部控制划分为内部环境、风险评定、控制活动、信息和沟通、监督等五个要素。这五个要素既相互独立又相互联络，形成一个有机统一体，对不停改变环境自动作出反应。企业首先需要建立一定管理基调，控制环境是其它要素基础，提供了基础规则和构架。其次需要在制订目标前提下进行风险评定，辨识造成实体目标不能达成内外部原因，评定其影响程度和发生可能性。企业在评定相关风险后，应决定风险要怎样响应，在选择响应方法时，应综合考虑风险评定结果、风险偏好及风险承受能力，以帮助企业立即设计、修正及实施必需控制活动。控制活动是确保管理层指令得以实施政策及程序，它嵌入日常业务经营中，表现在整个企业不一样层次和不一样部门，用于将风险控制在合理水平上。信息和沟通是确保控制活动有序进行保障，企业采取了控制方法后需要立即搜集、传输和实现内控目标相关信息，确保信息在企业内部、企业和外部之间进行有效沟通。有效内部监督则确保企业内部控制能连续有效运作。第二节企业层面内部控制概述一、企业层面内部控制概念企业层面内部控制(Entity Level Controls)，是指对企业控制目标实现含有重大影响，和内部环境、风险评定、信息和沟通、内部监督直接相关控制。企业层面内部控制是整体性，是从企业总体性方面设计一系列内部控制制度，站在企业治理层角度，从企业战略目标考虑，对一个企业全部部门、全部些人员全部有效力控制。企业层面内部控制是高层次，通常针对企业内部控制是否有效、财务汇报是否真实可靠和企业是否合规经营产生普遍和重大影响，是有效企业内部控制基础。所以，除“控制活动”以外四个要素，均不直接成为某项业务活动，但含有更高层次、更广泛影响力，成为内部控制体系很关键领域。所以，这四个要素被统称为企业层面内部控制(Entity Level Controls)。二、保险企业企业层面内部控制概念保险企业内部控制也通常根据控制环境、风险评定、控制活动、信息和沟通、监督5大要素落实实施。除控制活动外其它四大要素组成了保险企业企业层面内部控制。保险企业企业层面内部控制各要素具体含义以下：（一）内部环境内部环境是保险企业实施内部控制基础，通常包含治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。比如： 1、建立规范企业治理架构对于现代企业风险管控很关键，治理架构是否规范合理将对企业运行管理中授权、运作、决议、实施、监督等内控职能产生巨大影响。 2、合理组织架构应表现便于管理、易于考评、简化层级、避免交叉管理标准，明确职责分工，明晰汇报路线。 3、和内部控制需要相适应人力资源政策，应确保关键岗位人员含有专业胜任能力并定时接收相关培训，考评、薪酬、奖惩、晋升等人力资源政策应该和内部控制成效相挂钩。 4、建立安全实用、覆盖全部关键业务步骤信息系统能够尽可能使各项业务活动信息化、步骤化、自动化，降低人为干预和操作失误。 5、建立健全企业文化，明确合适管理基调，制订正式职员行为准则和其它相关政策，提倡老实守信、爱岗敬业、开拓创新和团体协作精神，树立现代管理理念，强化风险意识，促进文化建设在内部各层级有效沟通和宣传落实。 6、企业应该以一个有利于社会方法进行经营和管理，包含企业环境保护、社会道德和公共利益等方面，由经济责任、连续发展责任、法律责任和道德责任等组成，是企业在经营活动所包含到领域中衡量企业绩效和表现，并评价和汇报那些传统企业财务汇报未包含方面结果及影响。（二）风险评定风险评定是保险企业立即识别、系统分析经营活动中和实现内部控制目标相关风险，合理确定风险应对策略。比如： 1、保险企业应该对经营管理和业务活动中可能面临全部风险原因（比如保险风险、市场风险、信用风险和操作风险等）进行全方面系统识别分析，发觉并确定风险点，同时对每一风险点发生概率、诱发原因、扩散规律和可能损失进行定性和定量评定，确定风险应对策略和控制关键。 2、管理层可针对己评定关键性风险作出回应。可选应对风险策略有风险降低、风险消除、风险转移和风险保留。管理层能够选择一个或多个策略结合使用。（三）信息和沟通信息和沟通是保险企业立即、正确地搜集、传输和内部控制相关信息，确保信息在企业内部、企业和外部之间进行有效沟通。比如： 1、内部控制相关信息在企业内部各管理级次、责任单位、业务步骤之间，和企业和外部投资者、债权人、用户、供给商、中介机构和监管部门等相关方面之间高效信息和沟通机制，有利于促进企业信息广泛共享和立即充足沟通，提升经营管理透明度，预防舞弊事件发生。 2、关键相关管理和内控信息在总企业、分企业、支企业、直至营销服务部全部得以立即传达、落实。 3、建立一整套信息管理步骤，覆盖内部信息上报、搜集、处理、分析和汇报相关过程。 4、建立健全反舞弊机制，包含但不限于提倡诚信正直企业文化，营造反舞弊企业文化环境；有效实施内部控制，权责对等，奖罚明确；落实舞弊举报及调查机制；不停加强内部审计独立监督力量等。 5、加强信息披露管理，依法向社会公众公开其经营管理相关信息。（四）内部监督内部监督是保险企业对内部控制建设和实施情况进行监督检验，评价内部控制有效性，发觉内部控制缺点，并立即加以改善。内部监督是保险企业对内部控制建设和实施情况进行监督检验，评价内部控制有效性，发觉内部控制缺点，并立即加以改善。包含： 1、审计部门应保持独立性，公正客观开展监督评定工作，并将内部审计结果直接向董事会及管理层汇报。 2、制订内部控制监督制度，加强对内部控制审计检验，定时依据检验结果对内部控制健全性、合理性和有效性进行评定，并根据要求汇报路线立即向审计对象、合规管理职能部门和上级领导进行反馈和汇报。建立多层次、全方位监控体系，实现对内部控制活动事前、事中、事后有效监控，为实现内控目标提供合理确保。 3、制订内部控制缺点认定标准，对监督过程中发觉内部控制缺点，应该分析缺点性质和产生原因，提出整改方案，采取合适形式立即向董事会、监事会或经理层汇报。 4、定时对内部控制有效性进行自我评价，出具内部控制自我评价汇报。本手册后续内容也关键根据上述逻辑，分控制环境、风险评定、信息和沟通、内部监督来安排章节，分别介绍相关具体审计程序和方法，而内控五大要素中另一要素控制活动审计程序和方法，因和具体业务、财务活动亲密相关，我们将在其它分册中展开描述，相关内容请参阅《财务分册》、《人身保险业务分册》、《财产保险业务分册》等其它分册。第二章企业层面内控审计程序和方法本章基于怎样开展企业层面内部控制专题审计，介绍相关审计程序和方法。保险企业企业层面内部控制审计能够作为一个单独专题来开展，但更多时候是作为其它常规审计组成部分，起到基础性作用常规审计通常需要先对内部控制进行初评，然后开展符合性测试和实质性测试，假如初评和符合性测试认为内控完全失效，审计人员能够无需开展下一步审计工作，具体能够参考《基础手册》相关内容。。所以，在常规审计工作中，要结合基础手册介绍审计程序和方法，来开展相关内控方面审计。第一节企业层面内控审计程序保险企业实施企业层面内部控制专题审计关键工作步骤以下：一、事前准备：依据审计计划，开展进行项现在期准备工作，包含和被审计单位沟通审计时间和内容，了解被审计单位基础信息，获取相关资料，经过非现场审计进行初步风险分析及评定，确定审计方案，确定审计范围、项目组成人员及拟实施审计程序等事宜。二、下发审计通知书：通知审计时间、组员名单、需要准备资料清单、必需工作条件(如办公场所，技术配合等)。三、召开审计见面会：介绍和会双方组员、介绍估计审计时间 (包含管理层反馈时间)、介绍审计范围、提出所需现场配合事项要求、听取被审计单位情况介绍。审计见面会通常在现场审计实施第一天举行。四、内部控制初步评审：内部控制初步评审基础步骤以下： 1、对被审计单位内部控制制度进行调查了解。经过访谈、发放调查问卷、查阅文件等方法，了解企业是否建立了内部控制制度、制度是否健全、合理和制度实施效果，并对了解情况进行统计、描述。审计人员能够采取文字叙述、调查问卷、步骤图、调查表等方法对内部控制制度进行描述，并统计于审计工作底稿中。 2、对内部控制制度进行初步评价。在对被审计单位内部控制制度进行调查了解，取得初步认识基础上，对其内部控制水平进行初步评价，审计人员能够事先设计内控制度评分表，将被审计单位内部控制评定点给予一定分值，依据调查情况进行评分，并依据评分结果初步评价被审计单位内部控制制度水平，以确定下一步符合性测试范围。通常在初步评价中，假如某个内部控制步骤出现以下情况之一，则应将其全部内容或关键活动直接认定为高风险水平： 1、内部控制失效； 2、难以对内部控制有效性进行评价； 3、不拟进行符合性测试等下一步审计工作。五、符合性测试：符合性测试是指经过穿行测试法、重新推行、观察等内控审计方法，测试被审计单位业务活动运行和相关内部控制符合程度。比如：审计人员抽取部分财务报销单据，审核查明该单据是否有领导审批、会计复核和出纳付款统计。假如该报销单据未经领导同意，会计复核未能发觉其中差错，出纳付款后未加盖“付讫”戳记，则现金报销内部控制功效未能发挥。符合性测试通常经过抽样方法进行，测试范围和数量取决于内部控制初步评审结果。经过初步评价，假如认为被审计单位内控比较健全，则符合性测试范围能够较小，反之应扩大符合性测试范围和抽样数量。通常来说，符合性测试范围越大，所能提供相关被审计单位内控实施有效性证据就越充足，但假如内审人员进行符合性测试工作量可能大于由此而降低实质性测试工作量，则大可无须进行符合性测试，而直接进行实质性测试。另外，符合性测试是建立在被审计单位内控制度健全基础上进行，假如被审计单位没有内控制度、或经过以前检验、调查对其内控是否有效已经有了解，也能够不进行符合性测试。经过符合性测试，审计人员便可对内部控制有效性做出深入评价，并依据符合性测试结果确定实质性测试性质、时间和范围。审计人员只对准备信赖内部控制步骤进行符合性测试，而且进行符合性测试将会大大降低实质性测试工作量，此时符合性测试才是有意义。六、实质性测试：实质性测试是指审计人员利用问询、审核、观察、监盘、函证、分析性复核等审计方法，对被审计单位具体内部控制有效性进行证实性测试。实质性测试通常在符合性测试基础上进行，采取抽样方法，其抽样规模依据内控评审和符合性测试结果来确定。实质性测试是审计人员在现场审计实施阶段实现审计目标、获取审计证据所必需关键步骤。审计人员对被审计单位符合型测试为确定实质性测试范围、关键、数量和时间提供了依据，但并不能替换实质性测试。不管被审计单位内部控制机制怎样健全有效，审计人员全部必需选择合适方法进行实质性测试。七、取得审计证据：审计证据是用以证实审计事项真相并作为审计结论基础材料，取得审计证据过程是审计作业主体部分。内部审计人员经过检验、监盘、观察、问询、计算、分析性复核等方法获取审计证据，为形成审计意见和审计汇报提供依据。关键审计证据需被审单位签字或盖章确定。审计证据是否充足直接影响审计质量，审计证据不足是产生审计风险一个关键原因。审计人员需要对搜集到审计证据客观性、相关性、充足性和正当性进行评价，筛选出含有充足证实力证据，使审计证据潜在证据力转化为现实证据力。八、编制审计工作底稿：审计工作底稿应该由内部审计人员依据审计任务要求，边查边记，逐事逐项编写，做到一事一稿（也可合并处理）。工作底稿要求情节表述简明清楚、定性正确、编写合理有序。九、召开离场会：在审计实施最终一天召开项目离场会，双方沟通审计发觉。不过对于企业层面内部控制缺点常常包含有敏感信息，需要注意沟通方法、范围和对象。十、编写审计汇报并征求意见：鉴于企业层面内部控制缺点影响广泛性和敏感性，提议对于汇报中每一个发觉，全部需要得到被审计对象管理层书面回应，回应内容包含拟采取具体处理行动方案、明确整改责任人和整改落实期限。管理层回应关键在于对审计提议适用性及落实期限，双方沟通并达成一致。十一、签发汇报：内部审计部机构责任人签发汇报，而且将审计发觉统计于审计追踪系统（若适用）。十二、项目总结：在签发汇报同时，向被审计单位发出评定调研，统计审计实施过程中尚待改善之处并对团体组员进行绩效评定。同时，对比分析实际用时和预算，并对差异作出解释。最终，审计人员应做好整理归档工作。十三、整改跟踪和后续审计。第二节企业层面内部控制审计方法企业层面内部控制审计既要采取内部审计通常方法，也有其特殊方法。一、通常方法在对企业层面内部控制开展审计时，能够使用内部通常方法通常方法包含审核、观察、问询、函证和分析性复核等方法，具体能够参阅基础手册相关内容。，但要注意依据企业层面内部控制特点来使用，这里关键介绍问询法、审核法、观察法应用。（一）问询法。问询法应用于企业层面内部控制审计，具体能够使用调查问卷、部分访谈等。 1、调查问卷。经过设计一系列和企业层面风险相关问题，将被调查者思维集中于可能引发或已经引发风险内外部原因上。 **步骤内部控制调查问卷机构名称：审计日期：项目是否不适用备注良好微弱是否建立这方面制度制度是否遵照法律法规要求制度是否得到有效实施 …… 2、部分访谈：根据通常问询法要求实施，关键包含确定问询目标、搜集和问询相关背景资料、确定问询关键点、编制谈话提要、约定问询时间地点、面谈和统计、对面谈内容进行评定等步骤。但对对企业层面内部控制审计中，访谈者要注意引导、启发被访谈者，在一定程度上是参与讨论，而很规审计问询、质询，这么才能愈加深入挖掘相关内控风险和隐患。 3、专题讨论：将含有交叉职能或多层级人员聚集在一起，利用集体智慧描述出企业面临风险和存在内控微弱步骤。（二）审核法。审核法是企业层面内控审计工作最关键检验方法之一。评审人员在实施抽样、穿行测试等评审方法时，要求被评价单位在限定时间内，提供被审计内容相关内外部公文、制度文件、协议协议、审批统计等等。经过对这些书面证据检验，验证各项内控方法在实际操作中是否得到有效落实实施。（三）观察法。即内部审计人员深入现场实地调研，参与关键会议，或经过观看过程录像方法，观察相关人员实际工作情况，以确定要求内部控制活动是否得到严格实施。该方法适适用于那些不留书面痕迹内部控制步骤及用于测试某项控制方法实施到位程度。上述通常方法具体关键点，可参阅基础手册相关问询、观察、监盘等审计方法。二、特殊方法（一）穿行测试法。穿行测试也称全程测试，这是内部控制评价和审计常见方法，用以确定内部控制政策和程序实施情况。即评审人员在每一类循环中选择一次或若干次控制活动，比照处理步骤从头到尾检验其实际处理过程，检验测试该步骤步骤和控制点实施情况，以验证所描述内部控制客观性和真实性。穿行测试不能确保被审计单位内部控制被有效、一贯得到实施，这需要符合性测试来确定。比如为某项复核、监督方法是否实施，能够采取穿行测试法。内部审计人员应选择不一样内部审批事项，对复核、监督步骤进行穿行检验测试，以测试是否合理、是否得到实施、是否存在控制漏洞。（二）步骤图法。步骤图法关键用于内部控制系统健全性和合理性测试，即利用符号和图形来表示被审计单位组织结构、职责分工、权限、经营业务性质及种类、多种处理规程、多种会计统计等内部控制情况示意图。能够使评审人员清楚地看出被评审单位内部控制系统怎样运行、相关风险控制点和控制方法，有利于发觉各内部控制体系缺失和评审关键。步骤图通常有两种，一个是垂直步骤图，另一个是水平步骤图。垂直步骤图是将业务处理过程根据前后次序，用一条根本垂直串连起来，并将经济业务按步骤从上至下用图形符号描绘出来。水平步骤图则按业务部门设置若干竖栏，将业务处理程序从左到右排列，用图形符号描绘经济事项过程，用水平步骤线将各业务活动串连起来。绘制步骤图能够使用微软Word自带步骤图或Visio，常见步骤图符号及含义以下：符号含义符号含义文件步骤线开一直止流向卡片步骤交叉判定控制点留存查对三、企业层面内控审计方法应用注意关键点（一）在开展企业层面内部控制审计工作时，能够依据内控审计工作需要和审计特定内容实际情况，灵活地、综合利用上述方法。（二）审计人员应该充足考虑借鉴使用外部审计、外部监管检验、企业监事会检验、合规和风险管控资料统计，辅助开展企业层面内部控制审计。（三）审计中，审计人员应该注意从董事会、监事会或经营层等角度，或从企业制度设计等角度，查找企业层面内部控制存在问题和风险，而非就事论事，只从具体控制步骤和人员角度查找问题和原因。（四）企业层面内部控制审计应该和其它具体控制活动审计工作相结合，而不是相互割裂。企业层面内部控制审计应该作为其它各项审计工作基础。从第三章开始，我们将分要素分别列举通用化含有通常适用性企业层面内部控制风险点、相关法律法规和监管要求、和审计程序和方法，供内部审计人员在其未来企业层面内部控制审计工作中作为参考。作为指导，各保险机构内部审计应参考实施，但不是也不可能涵盖一切可能出现情况及全部审计技术，在具体审计过程中，还要结合具体工作加以应用。第三节计算机辅助实施企业层面内控审计伴随信息科技不停发展，保险企业各类内部控制活动正逐步由手工转为计算机进行处理，内部控制工作经过信息系统平台实现无纸化控制。这就要求审计人员能够对信息系统内控健全性、合理性、有效性开展审计，这部分审计内容请参阅相关风险点审计程序和方法。同时，在计算机辅助下、利用信息技术对企业层面内部控制实施审计，能够大大提升审计工作效率；在计算机日益普及今天，计算机辅助开展审计已经成为审计人员必需掌握审计技术和方法。本节关键介绍怎样利用计算机辅助开展内控审计方法，包含信息采集、存放、加工、分析、测试、传输、汇报、披露等，以涵盖内控审计基础步骤和各步骤。完整内控审计管理信息系统应能提供以下功效，将内控审计各步骤纳入到信息化平台上，从而实现审计过程自动化。一、建立风险及控制知识库：为了实现以风险为导向内控审计，需首先建立风险和控制知识库。系统应提供数据接口或操作界面将风险库和控制库装载或输入到信息系统中；同时，也应提供功效实现风险和控制之间关联，用以表明为应对风险所设计管控方法。二、建立审计方法库：做为审计支持软件，系统还应能建立起审计方法库。如经过内置标准审计程序方法和步骤，指导审计人员进行内控测试，确保测试质量。同时，系统应能提供部分辅助信息，如步骤图，关键控制点等。三、编制审计计划：系统应能提供检视后风险评定结果，以供审计部门以风险为导向编制审计计划。系统许可管理用户设置计划范围条件，并依据这些条件自动筛选风险及控制点范围。四、创建测试底稿：系统应提供预先定制控制测试模板，并依据计划测试范围填充测试模板，经过系统下发到各测试组或个人。五、实施内控测试：测试人依据下发测试模板在系统中进行测试，测试底稿也应集成在系统内，确保测试结果有据可查；测试结果应经过系统向上搜集汇总到企业总部审计部门，供进行总体评定。六、检视自评结果：系统应能提供自评底稿检视功效，审计部门能够对自评结果进行检视以发觉自评过程存在问题，如范围选择偏差，风险评定偏差，内控自评方法不正确，部分控制活动未识别等，经过系统提出问题并要求相关部门整改。七、进行问题管理和跟踪：审计部门在系统中依据发觉问题向相关部门提出整改点，并提出具体整改意见。整改部门应能在系统中查看到该问题起源和具体描述。八、监督整改结果：审计部门在系统中查看所提出整改意见实施情况，并对整改结果进行检视，确定整改是否达成要求。九、编制内控汇报：内控汇报包含内部汇报及外部汇报。内部汇报：在年度或专题内控测试完成后，系统提供此次测试汇报，包含测试范围，测试所依据方法，测试结果，问题描述，总体评价，整改结果等信息；外部汇报：系统应能生成符合保监会要求内控汇报；如为上市企业，应能提供符合基础规范内控评定汇报。

展开阅读全文