申请会员
会员登陆第四节 了解被审计单位的内部控制
一、内部控制的含义和要素
1.含义和目标
内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守,由治理层、管理层和其他人员设计与执行的政策及程序。
2.对内部控制的责任——被审计单位治理层、管理层和其他人员。
3.内部控制要素:控制环境、风险评估过程、信息系统与沟通、控制活动、对控制的监督。
二、与审计相关的控制
内部控制的目标旨在合理保证财务报告的可靠性、经营的效率和效果及对法律的遵守。
注册会计师需要了解和评价的内部控制只是与财务报表审计相关的内部控制,并非被审计单位所有的内部控制。
三、对内部控制了解的深度
注册会计师通过询问、观察、检查和穿行测试了解被审计单位的内部控制,以评价内部控制设计的是否合理以及是否得到执行。
了解内控,设计也合理,得到执行,但不等于得到有效的运行,如果没有得到有效运行,重大错报风险依然会比较高。我们在进一步程序中,会设计实施控制测试程序。目的就是要确定内控的有效性。
注意:
第一,如果控制设计不当,不需要再考虑控制是否得到执行;
第二,询问本身并不足以评价控制的设计以及确定其是否得到执行,注册会计师应当将询问与其他风险评估程序结合使用;
第三,除非存在某些可以使控制得到一贯运行的自动化控制,注册会计师对控制的了解并不能够代替对控制运行有效性的测试。
四、内部控制的人工和自动化成分
自动化控制的优势:可以大幅度的减少由于人工在运行过程中,出现的人为的一些偏差和失误。
注意:自动化控制只适用于处理比较标准的业务,出现导常的、特殊的业务时无法适用。
五、内部控制的局限性
1.在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效。
2.可能由于两个或更多的人员进行串通或管理层凌驾于内部控制之上而被规避。
此外,如果被审计单位内部行使控制职能的人员素质不适应岗位要求,也会影响内部控制功能的正常发挥。当实施某项控制的成本大于控制效果而发生损失时,就没有必要设置控制环节或控制措施。
六、控制环境
控制环境包括治理职能和管理职能,以及治理层和管理层对内部控制及其重要性的态度、认识和措施。良好的控制环境是实施有效内部控制的基础。因此,财务报表层次的重大错报风险通常源自于薄弱的控制环境。
注意:
第一,控制环境对重大错报风险的评估具有广泛影响,控制环境本身并不能防止或发现并纠正各类交易、账户余额、列报认定层次的重大错报。
第二,在确定构成控制环境的要素是否得到执行时,注册会计师应当考虑将询问与其他风险评估程序相结合以获取审计证据。
1.对诚信和道德价值观念的沟通与落实
诚信和道德价值观念是控制环境的重要组成部分,影响到重要业务流程的设计和运行。内部控制的有效性直接依赖于负责创建、管理和监控内部控制的人员的诚信和道德价值观念。
2.对胜任能力的重视
管理层对胜任能力的重视包括对于特定工作所需的胜任能力水平的设定,以及对达到该水平所必需的知识和能力的要求。注册会计师应当考虑主要管理人员和其他相关人员是否能够胜任承担的工作和职责。
3.治理层的参与程度
4.管理层的理念和经营风格
管理层负责企业的运作以及经营策略和程序的制定、执行与监督。在有效的控制环境中,管理层的理念和经营风格可以创造一个积极的氛围,促进业务流程和内部控制的有效运行,同时创造一个减少错报发生可能性的环境。
5.组织结构及职权与责任的分配
被审计单位的组织结构为计划、运作、控制及监督经营活动提供了一个整体框架。通过集权或分权决策,可在不同部门间进行适当的职责划分,建立适当层次的报告体系。组织结构将影响权利、责任和工作任务在组织成员中的分配。
6.人力资源政策与实务
政策与程序(包括内部控制)的有效性,通常取决于执行人。因此,被审计单位员工的能力与诚信是控制环境中不可缺少的因素。人力资源政策与实务涉及招聘、培训、考核、晋升和薪酬等方面。
七、被审计单位的风险评估过程
风险评估过程的作用是识别、评估和管理影响被审计单位实现经营目标能力的各种风险。
注意:
第一,注册会计师应当询问管理层识别出的经营风险,并考虑这些风险是否可能导致重大错报。
第二,在审计过程中,如果发现与财务报表有关的风险因素,注册会计师可通过向管理层询问和检查有关文件确定被审计单位的风险评估过程是否也发现了该风险。在审计过程中,如果识别出管理层未能识别的重大错报风险,注册会计师应当考虑被审计单位的风险评估过程为何没有识别出这些风险,以及评估过程是否适合于具体环境。
八、信息系统与沟通
1.与财务报告相关的信息系统
与财务报告相关的信息系统,包括用以生成、记录、处理和报告交易、事项和情况,对相关资产、负债和所有者权益履行经营管理责任的程序和记录。
注意:
第一,与财务报告相关的信息系统应当与业务流程相适应。
第二,应当特别关注由于管理层凌驾于账户记录之上而产生的重大错报风险。
自动化程序和控制可能降低了发生无意错误的风险,但是并没有消除个人凌驾于控制之上的风险。
2.与财务报告相关的沟通
与财务报告相关的沟通包括使员工了解各自在与财务报告有关的内部控制方面的角色和职责,员工之间的工作联系,以及向适当级别的管理层报告例外事项的方式。
注意:注册会计师应当了解被审计单位内部如何对财务报告的岗位职责,以及与财务报告相关的重大事项进行沟通。注册会计师还应当了解管理层与治理层(特别是审计委员会)之间的沟通,以及被审计单位与外部(包括与监管部门)的沟通。
九、控制活动
控制活动是指有助于确保管理层的指令得以执行的政策和程序。包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动。
1.授权
授权的目的在于保证交易在管理层授权范围内进行。
2.业绩评价
注册会计师应当了解与业绩评价有关的控制活动,主要包括被审计单位分析评价实际业绩与预算的差异,以及对发现的异常差异或关系采取必要的调查与纠正。
3.信息处理
注册会计师应当了解与信息处理有关的控制活动,包括信息技术的一般控制和应用控制。被审计单位通常执行各种措施,检查各种类型信息处理环境下的交易的准确性、完整性和授权。
4.实物控制
注册会计师应当了解实物控制,主要包括了解对资产和记录采取适当的安全保护措施,对访问计算机程序和数据文件设置授权,以及定期盘点并将盘点记录与会计记录相核对。实物控制的效果影响资产的安全,从而对财务报表的可靠性及审计产生影响。
5.职责分离
注册会计师应当了解职责分离,主要包括了解被审计单位如何将交易授权、交易记录以及资产保管等职责分配给不同员工,以防范同一员工在履行多项职责时可能发生的舞弊或错误。当信息技术运用于信息系统时,职责分离可以通过设置安全控制来实现。
注意:
第一,注册会计师对被审计单位整体层面的控制活动进行的了解和评估,主要是针对被审计单位的一般控制活动,特别是信息技术的一般控制。
第二,控制活动主要影响业务流程层面。
十、对控制的监督
对控制的监督是指被审计单位评价内部控制在一段时间内运行有效性的过程,该过程包括及时评价控制的设计和运行,以及根据情况的变化采取必要的纠正措施。
被审计单位通过持续的监督活动、专门的评价活动或两者相结合,实现对控制的监督。
注意:内部控制的某些要素(如控制环境)更多地对被审计单位整体层面产生影响,而其他要素(如信息系统与沟通、控制活动)则可能更多地与特定业务流程相关。在实务中,注册会计师应当从被审计单位整体层面和业务流程层面分别了解和评价被审计单位的内部控制。
十一、在整体层面对内部控制了解和评估的总结
在了解内部控制的各构成要素时,注册会计师应当对被审计单位整体层面的内部控制的设计进行评价,并确定其是否得到执行。
控制环境更多的影响整体层面的,对报表层次的重大错报风险有影响,而控制活动更多的影响流程层面。
注意:
第一,对于连续审计,注册会计师可以重点关注整体层面内部控制的变化情况,包括由于被审计单位及其环境的变化而导致内部控制发生的变化以及采取的对策。注册会计师还需要特别考虑因舞弊而导致重大错报的可能性及其影响。
第二,财务报表层次的重大错报风险很可能源于薄弱的控制环境。
第三,被审计单位整体层面的内部控制是否有效将直接影响重要业务流程层面控制的有效性,进而影响注册会计师拟实施的进一步审计程序的性质、时间和范围。
在被审计单位整体层面了解内部控制的审计工作底稿
第一,如果控制设计不当,不需要再考虑控制是否得到执行;
第二,询问本身并不足以评价控制的设计以及确定其是否得到执行,注册会计师应当将询问与其他风险评估程序结合使用;
第三,除非存在某些可以使控制得到一贯运行的自动化控制,注册会计师对控制的了解并不能够代替对控制运行有效性的测试。
四、内部控制的人工和自动化成分
自动化控制的优势:可以大幅度的减少由于人工在运行过程中,出现的人为的一些偏差和失误。
注意:自动化控制只适用于处理比较标准的业务,出现导常的、特殊的业务时无法适用。
五、内部控制的局限性
1.在决策时人为判断可能出现错误和由于人为失误而导致内部控制失效。
2.可能由于两个或更多的人员进行串通或管理层凌驾于内部控制之上而被规避。
此外,如果被审计单位内部行使控制职能的人员素质不适应岗位要求,也会影响内部控制功能的正常发挥。当实施某项控制的成本大于控制效果而发生损失时,就没有必要设置控制环节或控制措施。
六、控制环境
控制环境包括治理职能和管理职能,以及治理层和管理层对内部控制及其重要性的态度、认识和措施。良好的控制环境是实施有效内部控制的基础。因此,财务报表层次的重大错报风险通常源自于薄弱的控制环境。
注意:
第一,控制环境对重大错报风险的评估具有广泛影响,控制环境本身并不能防止或发现并纠正各类交易、账户余额、列报认定层次的重大错报。
第二,在确定构成控制环境的要素是否得到执行时,注册会计师应当考虑将询问与其他风险评估程序相结合以获取审计证据。
1.对诚信和道德价值观念的沟通与落实
诚信和道德价值观念是控制环境的重要组成部分,影响到重要业务流程的设计和运行。内部控制的有效性直接依赖于负责创建、管理和监控内部控制的人员的诚信和道德价值观念。
2.对胜任能力的重视
管理层对胜任能力的重视包括对于特定工作所需的胜任能力水平的设定,以及对达到该水平所必需的知识和能力的要求。注册会计师应当考虑主要管理人员和其他相关人员是否能够胜任承担的工作和职责。
3.治理层的参与程度
4.管理层的理念和经营风格
管理层负责企业的运作以及经营策略和程序的制定、执行与监督。在有效的控制环境中,管理层的理念和经营风格可以创造一个积极的氛围,促进业务流程和内部控制的有效运行,同时创造一个减少错报发生可能性的环境。
5.组织结构及职权与责任的分配
被审计单位的组织结构为计划、运作、控制及监督经营活动提供了一个整体框架。通过集权或分权决策,可在不同部门间进行适当的职责划分,建立适当层次的报告体系。组织结构将影响权利、责任和工作任务在组织成员中的分配。
6.人力资源政策与实务
政策与程序(包括内部控制)的有效性,通常取决于执行人。因此,被审计单位员工的能力与诚信是控制环境中不可缺少的因素。人力资源政策与实务涉及招聘、培训、考核、晋升和薪酬等方面。
七、被审计单位的风险评估过程
风险评估过程的作用是识别、评估和管理影响被审计单位实现经营目标能力的各种风险。
注意:
第一,注册会计师应当询问管理层识别出的经营风险,并考虑这些风险是否可能导致重大错报。
第二,在审计过程中,如果发现与财务报表有关的风险因素,注册会计师可通过向管理层询问和检查有关文件确定被审计单位的风险评估过程是否也发现了该风险。在审计过程中,如果识别出管理层未能识别的重大错报风险,注册会计师应当考虑被审计单位的风险评估过程为何没有识别出这些风险,以及评估过程是否适合于具体环境。
八、信息系统与沟通
1.与财务报告相关的信息系统
与财务报告相关的信息系统,包括用以生成、记录、处理和报告交易、事项和情况,对相关资产、负债和所有者权益履行经营管理责任的程序和记录。
注意:
第一,与财务报告相关的信息系统应当与业务流程相适应。
第二,应当特别关注由于管理层凌驾于账户记录之上而产生的重大错报风险。
自动化程序和控制可能降低了发生无意错误的风险,但是并没有消除个人凌驾于控制之上的风险。
2.与财务报告相关的沟通
与财务报告相关的沟通包括使员工了解各自在与财务报告有关的内部控制方面的角色和职责,员工之间的工作联系,以及向适当级别的管理层报告例外事项的方式。
注意:注册会计师应当了解被审计单位内部如何对财务报告的岗位职责,以及与财务报告相关的重大事项进行沟通。注册会计师还应当了解管理层与治理层(特别是审计委员会)之间的沟通,以及被审计单位与外部(包括与监管部门)的沟通。
九、控制活动
控制活动是指有助于确保管理层的指令得以执行的政策和程序。包括与授权、业绩评价、信息处理、实物控制和职责分离等相关的活动。
1.授权
授权的目的在于保证交易在管理层授权范围内进行。
2.业绩评价
注册会计师应当了解与业绩评价有关的控制活动,主要包括被审计单位分析评价实际业绩与预算的差异,以及对发现的异常差异或关系采取必要的调查与纠正。
3.信息处理
注册会计师应当了解与信息处理有关的控制活动,包括信息技术的一般控制和应用控制。被审计单位通常执行各种措施,检查各种类型信息处理环境下的交易的准确性、完整性和授权。
4.实物控制
注册会计师应当了解实物控制,主要包括了解对资产和记录采取适当的安全保护措施,对访问计算机程序和数据文件设置授权,以及定期盘点并将盘点记录与会计记录相核对。实物控制的效果影响资产的安全,从而对财务报表的可靠性及审计产生影响。
5.职责分离
注册会计师应当了解职责分离,主要包括了解被审计单位如何将交易授权、交易记录以及资产保管等职责分配给不同员工,以防范同一员工在履行多项职责时可能发生的舞弊或错误。当信息技术运用于信息系统时,职责分离可以通过设置安全控制来实现。
注意:
第一,注册会计师对被审计单位整体层面的控制活动进行的了解和评估,主要是针对被审计单位的一般控制活动,特别是信息技术的一般控制。
第二,控制活动主要影响业务流程层面。
十、对控制的监督
对控制的监督是指被审计单位评价内部控制在一段时间内运行有效性的过程,该过程包括及时评价控制的设计和运行,以及根据情况的变化采取必要的纠正措施。
被审计单位通过持续的监督活动、专门的评价活动或两者相结合,实现对控制的监督。
注意:内部控制的某些要素(如控制环境)更多地对被审计单位整体层面产生影响,而其他要素(如信息系统与沟通、控制活动)则可能更多地与特定业务流程相关。在实务中,注册会计师应当从被审计单位整体层面和业务流程层面分别了解和评价被审计单位的内部控制。
十一、在整体层面对内部控制了解和评估的总结
在了解内部控制的各构成要素时,注册会计师应当对被审计单位整体层面的内部控制的设计进行评价,并确定其是否得到执行。
控制环境更多的影响整体层面的,对报表层次的重大错报风险有影响,而控制活动更多的影响流程层面。
注意:
第一,对于连续审计,注册会计师可以重点关注整体层面内部控制的变化情况,包括由于被审计单位及其环境的变化而导致内部控制发生的变化以及采取的对策。注册会计师还需要特别考虑因舞弊而导致重大错报的可能性及其影响。
第二,财务报表层次的重大错报风险很可能源于薄弱的控制环境。
第三,被审计单位整体层面的内部控制是否有效将直接影响重要业务流程层面控制的有效性,进而影响注册会计师拟实施的进一步审计程序的性质、时间和范围。
在被审计单位整体层面了解内部控制的审计工作底稿
|
被审计单位:
项目: 在整体层面了解和评价内部控制 编制: 日期: |
索引号: BB
财务报表截止日/期间: 复核: 日期: |
了解被审计单位整体层面内部控制形成下列审计工作底稿:
1.(BB-1)了解整体层面内部控制汇总表
2.(BB-2-1)了解和评价控制环境
3.(BB-2-2)了解和评价被审计单位的风险评估过程
4.(BB-2-3)了解和评价信息系统与沟通
5.(BB-2-4)了解和评价被审计单位对控制的监督
了解和评价整体层面内部控制汇总表
1.(BB-1)了解整体层面内部控制汇总表
2.(BB-2-1)了解和评价控制环境
3.(BB-2-2)了解和评价被审计单位的风险评估过程
4.(BB-2-3)了解和评价信息系统与沟通
5.(BB-2-4)了解和评价被审计单位对控制的监督
了解和评价整体层面内部控制汇总表
|
被审计单位:
项目: 编制: 日期: |
索引号: BB-1
财务报表截止日/期间: 复核: 日期: |
1.整体层面内部控制要素
|
整体层面内部控制要素
|
是否进行了解?
|
|
控制环境
|
是
|
|
被审计单位的风险评估
|
是
|
|
与财务报告相关的信息系统与沟通
|
是
|
|
对控制的监督
|
是
|
2.了解整体层面内部控制
根据对整体层面内部控制的了解,记录如下:
(1)是否委托其他服务机构执行主要业务活动?如果被审计单位使用其他服务机构,将对审计计划产生哪些影响?
根据对整体层面内部控制的了解,记录如下:
(1)是否委托其他服务机构执行主要业务活动?如果被审计单位使用其他服务机构,将对审计计划产生哪些影响?
|
|
(2)是否制定了相关的政策和程序以保持适当的职责分工?这些政策和程序是否合理?
|
|
(3)自前次审计后,被审计单位的整体层面内部控制是否发生重大变化?如果已发生变化,将对审计计划产生哪些影响?
|
|
(4)是否识别出非常规交易或重大事项?如果已识别出非常规交易或重大事项,将对审计计划产生哪些影响?
|
|
(5)在了解整体层面内部控制过程中是否进一步识别出其他风险?如果已识别出其他风险,将对审计计划产生哪些影响?
|
|
3.信息技术一般控制采用的系统
应用软件
应用软件
|
应用系统的名称
|
计算机运作环境
|
来源
|
初次安装日期
|
|
|
|
|
|
|
|
|
|
|
初次安装后对信息系统进行的任何重大修改、开发与维护
|
应用系统
|
修改
|
修改日期
|
|
|
|
|
拟于将来实施的重大修改、开发与维护计划
|
|
本年度对信息系统进行的重大修改、开发与维护及其影响
|
|
|
|
4.在整体层面了解内部控制的结论
|
控制要素
|
识别的
缺陷 |
是否属重大缺陷
(是/否) |
索引号
|
列入与管理层
沟通事项 (是/否) |
列入与治理层
沟通事项 (是/否) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
[注:表明内部控制存在重大缺陷的情形可能包括:注册会计师在审计工作中发现了重大错报,而被审计单位的内部控制没有发现;控制环境薄弱、存在高层管理人员舞弊迹象(无论涉及金额大小)等]
了解和评价控制环境
了解和评价控制环境
|
被审计单位:
项目: 编制: 日期: |
索引号: BB-2-1
财务报表截止日/期间: 复核: 日期: |
一、对诚信和道德价值观念的沟通与落实
|
索引
号 |
控制
目标 |
拟实施的风险评估
程序 |
被审计单位的控制
|
询问
|
观察
|
检查
|
结论
|
存在
的缺陷 |
|
HJ-1
|
使员工行为守则及其他政策得到执行
|
询问、检查
|
公司制定了员工的行为守则,行为守则内容完备,涉及利益冲突、不法或不当支出、公平竞争的保障、内幕交易等问题;
员工定期承诺遵守这些制度; 行为守则可供公开查阅(如可在公司的内网上查阅); 指定专人回答关于行为守则中的问题; 行为守则中充分描述了违反规定的内部汇报系统,指明向适当的人汇报违规行为; 行为守则没有规范的地方,通过企业文化强调操守及价值观的重要性。采取在员工大会上口头传达、通过一对一谈话或在处理日常事务中通过实例示范。 |
于20×8年2月2日询问人力资源部经理×××
|
N/A
|
《员工行为守则》
员工定期遵守制度的承诺 员工大会的会议纪要 |
控制设计合理,并得到执行
|
不适用
|
|
HJ-2
|
建立信息传达机制,使员工能够清晰了解管理层的理念
|
询问
|
将对诚信和道德规范应当严格遵循的观念,通过文字和实际行动有效地灌输给所有员工;
鼓励员工行为端正; 当出现存在问题的迹象时,特别是当发现和解决问题的成本可能较高时,管理层能予以恰当地处理。 |
于20×8年2月2日询问人力资源部经理×××
|
|
|
控制设计合理,并得到执行
|
不适用
|
|
HJ-3
|
与公司的利益相关者(如投资者、债权人等)保持良好的关系。
|
询问
|
管理层在处理交易业务时保持高度诚信,并要求其员工和客户同样保持诚信;
当不诚信的行为发生时,能尽快并严肃处理。 |
于20×8年2月2日询问××部经理×××
|
|
|
控制设计合理,并得到执行
|
不适用
|
|
HJ-4
|
对背离公司规定的行为及时采取补救措施,并将这些措施传达至相应层次的员工
|
询问
|
管理层能立即对违反规定的行为进行作出反应;
对违反规定员工的处理结果及时让全体员工知晓; 对违反规定的管理人员采取撤职处理。 |
于20×8年2月2日询问××部经理×××
|
|
|
控制设计合理,并得到执行
|
不适用
|
|
HJ-5
|
对背离公司现有控制的行为进行调查和记录
|
询问
|
明确地禁止管理人员逾越既定控制;
任何与既定政策不一致的事件都会被调查并记录; 鼓励员工举报任何企图逾越控制的情况。 |
于20×8年2月2日询问××部经理×××
|
|
|
控制设计合理,并得到执行
|
不适用
|
|
HJ-6
|
员工和管理层的工作压力恰当
|
询问\检查
|
公司设计合理的激励机制,员工的报酬和升职并不完全建立在实现短期目标的基础上;
薪酬体系设计着眼于调动员工个人及团队的积极性。 |
于20×8年2月2日询问××部经理×××
|
|
激励机制相关文件
|
控制设计合理,并得到执行
|
不适用
|
二、对胜任能力的重视:
|
索引号
|
控制
目标 |
拟实施
的风险 评估程序 |
被审计单位
的控制 |
询问
|
观察
|
检查
|
结论
|
存在的缺陷
|
|
HJ-7
|
公司保持岗位责任明确,任职条件清晰
|
询问、检查
|
管理层对所有监管及其岗位的工作有正式的书面描述,任职条件规定了履行特定职责所需的知识和技能;
岗位职责在组织内予以清晰地传达; 每位员工的岗位责任与分派的权限相关。 |
于20×8年2月2日询问人力资源部经理×××
|
N/A
|
岗位说明书
|
控制设计合理,并得到执行
|
不适用
|
|
HJ-8
|
持续培训员工
|
询问
|
定期对员工培训,更新员工的知识。
|
于20×8年2月2日询问人力资源部经理×××
|
|
培训
记录 |
控制设计合理,并得到执行
|
不适用
|
三、治理层的参与程度
|
索引号
|
控制
目标 |
拟实施
的风险 评估程序 |
被审计单
位的控制 |
询问
|
观察
|
检查
|
结论
|
存在的缺陷
|
|
HJ-9
|
在董事会内部建立监督机制
|
询问、
检查 |
在董事会内部建立审计委员会,审计委员会与总会计师、内部及外部审计人员讨论财务报告程序、内部控制体系、管理层的业绩、重要观点和建议等的合理性,每年审查内外部审计人员的审计活动范围。
|
于20×8年2月2日询问××部经理×××
|
N/A
|
董事会会议纪要
|
控制设计合理,并得到执行
|
不适用
|
|
HJ-10
|
保证董事会成员具备适当的经验和资历,并保持成员相对的稳定性
|
询问、
检查 |
对董事会成员的经验和资历有明确的书面规定,股东在提名董事会成员时严格按照规定进行,不合格的提名无效;
每届任期3年,可以连任。 |
于20×8年2月2日询问××部经理×××
|
|
董事任职文件
|
控制设计合理,并得到执行
|
不适用
|
|
HJ-11
|
董事会、审计委员会或类似机构独立于管理层
|
询问、
检查 |
管理层的提案需要经过董事会审议;
董事会监督经营成果,检查预算与实际的差异,并要求管理层作出解释; 董事会不是仅由部门领导和员工组成,董事会保持至少三位独立董事。 |
于20×8年2月2日询问××部经理×××
|
|
董事会会议纪要
|
控制设计合理,并得到执行
|
不适用
|
|
HJ-12
|
审计委员会正常运作
|
询问、检查
|
董事会审计委员会每年召开三次会议,定期收到诸如财务报表、主要的市场营销活动、重要协议或谈判等的关键性信息,监督编制财务报告的过程。
|
于20×8年2月2日询问××部经理×××
|
|
董事会会议纪要
|
控制设计合理,并得到执行
|
不适用
|
四、管理层的理念和经营风格
|
索引号
|
控制
目标 |
拟实施的风险评估程
序 |
被审计单位
的控制 |
询问
|
观察
|
检查
|
结论
|
存在的
缺陷 |
|
HJ-13
|
管理层不能由一人或少数几人控制
|
|
董事会、审计委员会对管理层实施有效监督。
|
|
|
|
控制设计合理,并得到执行
|
不适用
|
|
HJ-14
|
对非经常的经营风险,管理层采取稳妥措施
|
询问、
检查 |
管理层在承担经营风险、选择会计政策和作出会计估计时必须保守,并需要在内部民主讨论,对当事人规定明确的个人责任。
|
于20×8年2月2日询问××部经理×××
|
|
检查公司章程
|
控制设计合理,并得到执行
|
不适用
|
|
HJ-15
|
管理层对信息技术的控制给予适当关注
|
询问
|
定期召开信息技术工作会议,研究制定发展规划,安排足够的资金和人员。
|
于20×8年2月2日询问××部经理×××
|
|
|
控制设计合理,并得到执行
|
不适用
|
|
HJ-16
|
高级管理层对业务分支机构保持有效控制
|
询问、
检查 |
高级经理经常深入到附属机构或分支机构视察其运作情况;
经常召开集团或区域管理人员会议。 |
于20×8年2月2日询问××部经理×××
|
|
检查信息技术工作会议纪要
|
控制设计合理,并得到执行
|
不适用
|
|
HJ-17
|
管理层对财务报告的态度合理
|
询问
|
管理层对财务报告的基本态度是财务报告应反映实际情况,反对收入最大化、平滑盈利增长曲线、纳税收入最小化等行为。愿意因错报金额重大而调整财务报表。
|
于20×8年2月2日询问××部经理×××
|
|
|
控制设计合理,并得到执行
|
不适用
|
|
HJ-18
|
管理层对于重大的内部控制和会计事项,征询注册会计师的意见
|
询问、
检查 |
管理层和注册会计师经常就会计和审计问题进行沟通;
在审计调整和内部控制方面达成一致意见。 |
于20×8年2月2日询问××部经理×××
|
|
检查沟通记录
|
控制设计合理,并得到执行
|
不适用
|
五、组织结构
|
索引号
|
控制
目标 |
拟实施的
风险评估 程序 |
被审计单位
的控制 |
询问
|
观察
|
检查
|
结论
|
存在的
缺陷 |
|
HJ-19
|
组织结构合理,具备提供管理各类活动所需信息的能力
|
询问、
检查 |
根据经营活动的性质,恰当地采用集权或者分权的组织结构设计;
组织结构的设计便于由上而下、由下而上或横向的信息传递。 |
于20×8年2月2日询问××部经理×××
|
|
检查组织结构文件
|
控制设计合理,并得到执行
|
不适用
|
|
HJ-20
|
对交易授权的控制建立在适当的层次上
|