监督培训材料.pptx

1、监督培训材料监督培训材料主要内容一、监督的概念及要素二、监督的主要内容一、监督的概念及要素概念 监督，是对集团公司和企事业单位建立的内部控制体系有效性进行持续评估的过程 监督包括持续监督、独立评估和缺陷报告三个要素一、监督的概念及要素(一)持续监督持续监督是在公司日常经营过程中进行的，包括日常的管理和监督活动，以及员工在履行职责时所采取的检查内部控制执行质量的行为一、监督的概念及要素持续监督的内控关注要点：内控体系运行与维护管理在日常活动中获得执行内部控制的证据外部反映对内部信息的印证程度定期核对财务系统数据与实物资产对内外部审计师提出的关于加强内部控制的措施做出响应培训、会议等对内部控制有效

2、性的反馈定期询问员工是否理解并执行了公司的职业道德规范，员工是否执行了内部控制活动内部审计活动的有效性一、监督的概念及要素(二)独立评估独立评估是独立于控制活动之外而采取的定期评估行为。独立评估的范围和频率，主要取决于风险评估结果和持续监督程序的有效性独立评估主要涉及评估范围和频率、评估过程、评估方法、文档记录一、监督的概念及要素1.独立评估范围和频率的内控关注要点：对内部控制体系适当的部分进行评估评估是由具备必要技能的人员进行的评估的范围、覆盖的深度和频率是足够的一、监督的概念及要素2.独立评估过程的内控关注要点：评估过程由具有必要职权的高级管理人员主持测试人员充分地了解公司的活动了解内部控

3、制体系应该如何运作，以及实际的运作情况将评估结果与已建立的标准进行对照，并对其进行分析一、监督的概念及要素3.独立评估方法的内控关注要点：评估方法包括使用核对清单、问卷或其他一些辅助工具评估小组共同安排评估程序，并确保各方的努力协调一致一、监督的概念及要素4.独立评估所需文档记录的内控关注要点：具备书面的政策手册、组织结构图、工作说明、操作指南及信息系统流程图等文件以文档记录的评估流程一、监督的概念及要素(三)缺陷报告缺陷报告是将内部控制缺陷自下而上报告的行为缺陷报告涉及的要求有：汇集和报告发现的内部控制缺陷、汇报机制的适当性、跟进评估的适当性等一、监督的概念及要素 1.汇集和报告发现的内部控

4、制缺陷的内控关注要点：通过持续监督和独立评估获取来源于内部或外部一、监督的概念及要素 2.汇报机制的适当性的内控关注要点：将控制缺陷向直接负责人或上一级人员汇报特殊类型的缺陷向管理层和董事会汇报一、监督的概念及要素 3.跟进评估的适当性的内控关注要点：识别出的错误交易或行为得到纠正针对问题的根本原因进行调查实施跟进，以确保必要的整改措施得到实施持续监督持续监督独立评估独立评估缺陷报告缺陷报告编制规范编制规范部门自查部门自查公司自查公司自查审计审计效能监察效能监察安全调查安全调查内部控制内部控制 测试测试缺陷认定缺陷认定缺陷报告缺陷报告一、监督的概念及要素要素之间的关系：内控部内控部检查评价检查

5、评价主要内容一、监督的概念及要素二、监督的主要内容 监督是通过对内部控制体系评价的方式，完成持续监督、独立评估和缺陷报告的整个过程内部控制体系评价是按照规定的程序、方法和标准，对已经建立和实施的内部控制体系，从设计和执行两个方面对内部控制有效性进行测试、评估和报告的过程，以下着重介绍评价基本目标、基本依据、基本原则、基本方法、评价范围、内部控制测试、缺陷评估、评价报告等方面内容二、监督的主要内容二、监督的主要内容（一）内部控制体系评价概述（二）评价范围的确定（三）内部控制测试（四）缺陷评估（五）评价报告评价基本目标：开展内部控制体系评价的基本目标是确定内部控制的有效性（一）内部控制体系评价概述

6、评价基本依据：国家法律、法规以及规章制度，如中华人民共和国会计法 等国资委企业全面风险管理指引、财政部企业内部控制规范（征求意见稿）公司内部控制体系及其他相关规定（一）内部控制体系评价概述（一）内部控制体系评价概述评价基本原则：1）合规性原则。符合国内外有关法律法规的要求2）有效性原则。能够针对内部控制有效性进行合理评价并具有可操作性3）重要性原则。重点针对内部控制的重要风险和关键控制进行评价4）完整性原则。从设计层面和执行层面对内部控制体系的有效性进行评价5）适应性原则。随法律法规的变化、外部环境和内部控制体系的变化而调整6）成本效益原则。以合理的评价成本实现可靠的评价效果（一）内部控制体系

7、评价概述评价基本方法：公司按照“自上而下、风险导向”的基本方法，组织开展公司内控体系评价“自上而下”的方法是从财务报告层面和公司层面控制开始，确定主要业务流程，开展相关财务报表认定，然后确定需要测试的主要业务流程相关的重要风险和关键控制“风险导向”的方法是始终以风险评估为基础，重点关注与财务报告重大错报相关的重要风险和关键控制二、监督的主要内容（一）内部控制体系评价概述（二）评价范围的确定（三）内部控制测试（四）缺陷评估（五）评价报告 确定评价范围主要遵从“自上而下、风险导向”的基本方法，从财务报表和公司层面控制入手，确定集团公司主要业务流程，针对主要业务流程，确定重要风险和关键控制（二）评价

8、范围的确定二、监督的主要内容（一）内部控制体系评价概述（二）评价范围的确定（三）内部控制测试（四）缺陷评估（五）评价报告（三）内部控制测试 内部控制测试是围绕内控体系评价的目标，按照规定的程序、方法和标准，对内部控制体系，从设计有效性和执行有效性两个方面对内部控制有效性进行测试内部控制测试目的是查找内部控制设计和执行方面的问题，为内部控制体系有效性提供合理保证内部控制测试依据是集团公司内部控制管理手册、企事业单位分册及当年确定的测试范围（三）内部控制测试 测试基本方法：内部控制测试基本方法包括询问、观察、检查和再执行等。询问是通过口头或书面的方式对执行控制的相关人员提出问题，根据被询问人的回答

9、确定控制是否存在并有效运行，以及控制执行人对控制的理解程度。具体形式有访谈、调查问卷等。询问是确信水平最弱的一种测试方法，仅仅通过访谈不能获得充分的证据，应该与其他测试方法同时运用（三）内部控制测试 测试基本方法：观察是现场见证正在执行的控制，从而判断控制是否存在并有效运行观察对测试接触性控制非常有用，比询问的确信水平高，应该与其他测试方法同时运用（三）内部控制测试 测试基本方法：检查是通过查看与控制相关的文档性记录，对控制有效性做出判断检查通常采用抽样测试的方法，抽样测试是以样本代表总体，通过检查样本，判断控制总体执行情况的一种方法再执行是通过重新执行控制活动以确定控制是否有效。检查应与询问

10、结合运用，并进行适当的再执行程序，确认控制确实有效执行 测试基本程序：各层面控制测试程序基本可以划分为准备阶段、实施阶段和总结阶段1.准备准备阶段阶段2.现场现场实实施阶施阶段段3.总结总结阶段阶段（三）内部控制测试 测试基本程序：1.准备阶段：测试人员进驻被测试单位，取得相关资料，初步了解被测试单位控制现状，并依据资料制定测试计划，修改测试模板的内容（三）内部控制测试 测试基本程序：2.实施阶段：对执行控制的岗位人员进行访谈。通过访谈，了解该岗位人员是否真正理解所执行的控制，并对设计层面初步分析存在的问题进行了解，同时记录访谈结果。结合访谈结果，进一步完善测试计划。选取样本，如果从测试起始时

11、间到截止时间，由于业务发生量的限制，无法取得满足要求的样本量，则应该选取已有有全部样本，同时记录样本的选取情况。对样本进行检查,记录检查结果（三）内部控制测试 测试基本程序：3.总结阶段：汇总整理测试表及抽样测试记录表，将相应内容整理至例外事项汇总表。对测试结果进行分析。对测试发现的例外事项与相关人员进行充分沟通，最终达成一致意见（三）内部控制测试测试报告，主要内容包括：1.测试时间、测试人员、测试范围、测试内容等2.简要叙述内控机构设置情况、公司流程及控制的重大变化情况、自我测试及例外事项整改情况等3.说明例外事项总体情况，然后按照公司层面、业务活动层面和信息系统层面分别对重要例外事项进行说

12、明4.针对测试发现的例外事项，归纳总结后提出建议和措施（三）内部控制测试（三）内部控制测试内部控制测试基本类型：1.设计有效性测试2.公司层面控制测试3.业务层面控制测试4.信息系统总体控制测试 设计有效性是对于建立的内部控制体系，如果由符合条件的机构和人员按设计的要求去实施，能够有效地防范财务报告风险，为实现内部控制目标提供合理的保证 通过内部控制设计有效性测试，能够查找内部控制设计方面存在的问题，确保内控设计能有效地防范财务报告风险，达到财务报告控制目标，为内部控制执行评价提供基础。内部控制设计有效性测试可分别从集团公司层面和企事业单位层面执行（三）内部控制测试 1.设计有效性测试 集团公

13、司层面设计有效性测试 集团公司内部控制设计有效性测试，是根据已经确定的测试范围，对集团公司建立的内部控制体系运用询问和检查等方法，判断已经建立的内部控制体系能否有效地防范财务报告错报风险，为实现财务报告控制目标提供合理保证。包括公司层面、业务层面、信息总体层面设计有效性的测试（三）内部控制测试 1.设计有效性测试 企事业单位层面设计有效性测试 企事业单位层面设计有效性测试，是通过与集团公司层面确认的重要风险和关键控制进行核对分析，确定企事业单位应有的重要风险和关键控制是否存在，特殊重要风险是否建立相应的关键控制。包括公司层面、业务层面、信息总体层面设计有效性的测试（三）内部控制测试 1.设计有

14、效性测试 公司层面控制测试目的：通过确定的各领域控制测试，查找设计和执行方面的问题，确保公司内部各个领域都有适当的控制机制在发挥作用 公司层面控制测试依据：当年确定的测试范围、集团公司层面控制测试内容与步骤 公司层面控制测试方法：公司层面控制测试主要采用询问、观察、检查等方法（三）内部控制测试 2.公司层面控制测试 例外事项从设计层面和执行层面分为七类设计层面包括：应有的控制不存在或设计不合理 实际执行的控制没有被记录 设计的控制记录不准确 已有的控制缺乏必要的制度或制度不完善 执行层面包括：控制未执行或执行不完整 控制执行程序错误 缺少控制实施证据或实施证据不完整（三）内部控制测试 2.公司

15、层面控制测试 业务活动层面控制测试通过跟单和关键控制抽样测试两种方式进行 跟单测试是指在重要业务流程中选取一笔业务，从业务开始，一直追踪到该笔业务反映到公司财务报告的测试过程，适用于手工控制与应用系统控制测试 关键控制抽样测试是以集团公司下发的关键控制管理文件为标准，采用抽样测试的方法，对业务活动层面关键控制执行的有效性进行的检查，适用于手工控制、应用系统控制及电子表格控制测试（三）内部控制测试 3.业务层面控制测试 跟单测试：跟单测试目的是熟悉和理解业务流程；验证集团公司确认的重要风险和关键控制的完整性和合理性；验证企事业单位关键控制设计的有效性；检查是否制定了与控制实施相关的制度；确认的控

16、制是否被有效执行，该控制执行后能否防范风险 跟单测试方法主要有询问、观察和检查（三）内部控制测试 3.业务层面控制测试 跟单测试：例外事项从设计层面和执行层面分为六类设计层面包括：应有的控制不存在或者设计不合理 实际执行的控制没有被记录 设计的控制记录不准确 已有的控制缺乏必要的制度或者制度不完善执行层面包括：设计的控制在实际中一直未执行 一般控制执行不准确（三）内部控制测试 3.业务层面控制测试 关键控制测试：目的是查找关键控制执行方面存在的问题，确保设计有效的关键控制在公司得到有效执行 关键控制样本总体包括构成某类交易和事项的所有项目，测试人员应当确保样本总体的适当性和完整性 关键控制抽样

17、测试主要采用询问、观察、检查、再执行等方法 （三）内部控制测试 3.业务层面控制测试 关键控制测试：关键控制测试例外事项分为七大类l未按授权规定执行控制 l控制执行不完整 l控制执行程序错误 l不了解如何实施控制导致控制结果不正确 l了解如何实施控制但控制结果不正确 l缺少重要实施证据 l控制实施证据不完整（三）内部控制测试 3.业务层面控制测试 信息系统总体控制测试目的是检查是否根据集团公司信息系统总体控制管理文件的要求，执行了信息系统管理的各项控制活动，从而提高应用系统控制的有效性，确保信息系统支持的应用控制是可靠的、生成的数据和报告是可信的 信息系统总体控制测试采用访谈、观察、再执行、抽

18、样检查等方法 信息系统总体控制例外事项类型与关键控制抽样测试的例外事项类型保持一致（三）内部控制测试 4.信息系统总体控制测试二、监督的主要内容（一）内部控制体系评价概述（二）评价范围的确定（三）内部控制测试（四）缺陷评估（五）评价报告（四）缺陷评估 缺陷评估以单个控制缺陷分析为基础，然后通过将相关的一般缺陷、重要缺陷进行汇总分析，再确定汇总缺陷的类别。缺陷评估高度依赖于评估人员的职业判断，因此对评估人员的经验、能力都有较高的要求 缺陷评估采用定量判断和定性分析相结合的方法。以跟单测试和关键控制抽样测试发现的例外事项为基础，将缺陷评估分为例外事项分析、单个缺陷评估、缺陷汇总评估三个阶段二、监督

19、的主要内容（一）内部控制体系评价概述（二）评价范围的确定（三）内部控制测试（四）缺陷评估（五）评价报告（五）评价报告 评价报告是集团公司和各企事业单位，根据内部控制体系建设情况和内部控制测试、评估结果，编制反映自身内部控制有效性评估结果和责任声明等内容的文档材料评价报告可分为集团公司层面的内部控制评估报告和各企事业单位层面的内部控制有效性自我评价报告集团公司层面的内部控制评估报告：集团公司根据内部控制测试以及缺陷评估的结果，对公司内部控制有效性做出评价报告主要包括关于公司建立并维护充分的对内部控制的管理层责任声明；关于管理层对公司的内部控制进行有效性评估时所采用的框架声明；对公司最近一个会计年度末的内部控制有效性评估，包括关于财务报告内部控制是否有效的明确陈述等内容（五）评价报告各企事业单位层面的内部控制有效性自我评价报告：各企事业单位利用自我测试的结果，结合集团公司对各企事业单位内部控制有效性评价意见，对各企事业单位内部控制有效性做出自我评价报告主要包括企事业单位管理层责任声明；自我评价的标准；企事业单位测试、评估和例外事项改进情况；内部控制有效性评价意见等内容（五）评价报告敬请批评指正！