2整体层面.docx
《2整体层面.docx》由会员分享,可在线阅读,更多相关《2整体层面.docx(37页珍藏版)》请在冰豆网上搜索。
2整体层面
二、了解被审计单位内部控制
(一)在被审计单位整体层面了解和评价内部控制
在被审计单位整体层面了解和评价内部控制
被审计单位:
神州学人
项目:
2010年度审计
编制:
陈蓁
日期:
2011.1
索引号:
BB-1
财务报表截止日/期间:
2010.12.31
复核:
刘延东
日期:
2011.1
在被审计单位整体层面了解和评价内部控制的工作包括:
1.了解被审计单位整体层面内部控制的设计,并记录所获得的了解。
2.针对被审计单位整体层面内部控制的控制目标,记录相关的控制活动。
3.执行询问、观察和检查程序,评价控制的执行情况。
4.记录被审计单位整体层面内部控制的设计和执行过程中存在的缺陷以及拟采取的应对措施。
了解被审计单位整体层面内部控制形成下列审计工作底稿:
1.BB-1:
了解和评价整体层面内部控制汇总表
2.BB-1-1:
了解和评价控制环境
3.BB-1-2:
了解和评价被审计单位的风险评估过程
4.BB-1-3:
了解和评价控制信息系统与沟通
5.BB-1-4:
了解和评价被审计单位对控制的监督
了解和评价整体层面内部控制汇总表
被审计单位:
神州学人集团
项目:
2011年度审计
编制:
陈蓁
日期:
2012.1
索引号:
BB-1-1
财务报表截止日/期间:
2011.12.31
复核:
刘延东
日期:
2012.1
1.整体层面内部控制要素
整体层面内部控制要素
是否进行了解
控制环境
是
被审计单位的风险评估
是
与财务报告相关的信息系统与沟通
是
对控制的监督
是
2.了解整体层面内部控制
根据对整体层面内部控制的了解,记录如下:
(1)被审计单位是否委托服务机构执行主要业务活动?
如果被审计单位使用服务机构,将对审计计划产生哪些影响?
被审计单位无委托服务机构执行主要业务活动,对审计计划不产生影响。
(2)是否制定了相关的政策和程序以保持适当的职责分工?
这些政策和程序是否合理?
制定了相关的政策和程序以保持适当的职责分工,这些政策和程序合理。
(3)自前次审计后,被审计单位的整体层面内部控制是否发生重大变化?
如果已发生变化,将对审计计划产生哪些影响?
自前次审计后,被审计单位的整体层面内部控制无发生重大变化,对审计计划不产生影响。
(4)是否识别出非常规交易或重大事项?
如果已识别出非常规交易或重大事项,将对审计计划产生哪些影响?
无非常规交易或重大事项。
(5)在了解整体层面内部控制过程中是否进一步识别出其他风险?
如果已识别出其他风险,将对审计计划产生哪些影响?
在了解整体层面内部控制过程中无发现其他风险。
3.信息技术一般控制采用的系统
信息系统的名称
计算机运作环境
来源
初次安装日期
集团母公司用友财务软件
2007年购买、正常升级
购买
2008年
重庆金美公司金算盘
升级,售后服务正常
购买
2003年
福发公司用友财务通10.1
升级、售后服务正常
购买
2006年
初次安装后对信息系统进行的任何重大修改、开发与维护:
无重大维修
无将来实施的重大修改、开发与维护计划
本年度无对信息系统进行重大修改、开发与维护。
4.在整体层面了解内部控制的结论
识别的缺陷
是否属重大缺陷
(是/否)
对内部控制评价方法和过程简单
否
内部审计人员独立性不够
否
审计委员会实施的监督有待加强
否
全公司信息系统未实现资源共享
否
了解和评价控制环境
被审计单位:
神州学人
项目:
2011年度审计
编制:
陈蓁
日期:
2012.1
索引号:
BB-1-2
财务报表截止日/期间:
2011.12.31
复核:
刘延东
日期:
2012.1
一、对诚信和道德价值观念的沟通与落实
索引号
控制目标
被审计单位的控制
实施的风险
评估程序
结论
存在的缺陷
HJ-1
使员工行为守则及其他政策得到执行
公司制定了员工的行为守则,行为守则内容完备,涉及利益冲突、不法或不当支出、公平竞争的保障、内幕交易等问题;员工定期承诺遵守这些制度;行为守则可供公开查阅(如可在公司的内网上查阅);指定专人回答关于行为守则中的问题;行为守则中充分描述了违反规定的内部汇报系统,指明向适当的人汇报违规行为;行为守则没有规范的地方,通过建设企业文化,强调操守及价值观的重要性的方式予以弥补;采取在员工大会上口头传达、通过一对一谈话或在处理日常事务中通过实例示范。
查阅员工行为守则等资料,询问员工是否知晓自己的职责,明确奖惩制度
控制设计合理,并得到执行
无
HJ-2
建立信息传达机制,使员工能够清晰了解管理层的理念
将严格遵循诚信和道德规范的观念,通过文字和实际行动有效地灌输给所有员工;鼓励员工行为端正;当出现存在问题的迹象时,特别是当发现和解决问题的成本可能较高时,管理层能予以恰当地处理。
查阅员工行为守则等资料,询问员工
控制设计合理,并得到执行
无
HJ-3
与公司的利益相关者(如投资者、债权人等)保持良好的关系
管理层在处理交易业务时保持高度诚信,并要求其员工和客户同样保持诚信;当不诚信的行为发生时,能尽快并严肃处理。
查阅内部奖惩通报材料
控制设计合理,并得到执行;
无
HJ-4
对背离公司规定的行为及时采取补救措施,并将这些措施传达至相应层次的员工
管理层能立即对违反规定的行为进行作出反应;
对违反规定员工的处理结果及时让全体员工知晓;
对违反规定的管理人员采取撤职处理。
查阅内部奖惩通报材料,是否及时修正制度缺陷
控制设计合理,并得到执行;
无
HJ-5
对背离公司现有控制的行为进行调查和记录
明确地禁止管理人员逾越既定控制;
任何与既定政策不一致的事件都会被调查并记录;
鼓励员工举报任何企图逾越控制的情况。
查阅内部奖惩通报材料、鼓励举报制度
控制设计合理,并得到执行;
无
HJ-6
员工和管理层的工作压力恰当
公司设计合理的激励机制,员工的报酬和晋升并不完全建立在实现短期目标的基础上;薪酬体系设计着眼于调动员工个人及团队的积极性。
查阅内部奖惩通报材料
控制设计合理得到执行;
无
二、对胜任能力的重视:
索引号
控制目标
被审计单位的控制
实施的风险
评估程序
结论
存在的缺陷
HJ-7
公司岗位责任明确,任职条件清晰
管理层对所有岗位的工作有正式的书面描述,任职条件规定了履行特定职责所需的知识和技能;岗位职责在组织内予以清晰地传达;每位员工的岗位责任与分派的权限相关。
获取劳动合同,或岗位职责说明
控制设计合理,并得到执行;
部分单位延续历史管理模式,未制定书面岗位制度的书面描述
HJ-8
持续培训员工
定期对员工培训,更新员工的知识。
获取培训资料
控制设计合理,并得到执行;
无
三、治理层的参与程度
索引号
控制目标
被审计单位的控制
实施的风险
评估程序
结论
存在的缺陷
HJ-9
在董事会内部建立监督机制
在董事会内部建立审计委员会,审计委员会与财务总监、内部及外部审计人员讨论财务报告程序、内部控制体系、管理层的业绩、重要观点和建议等的合理性,每年审查内外部审计人员的审计活动范围。
公司内审制度以及职责设计材料
控制设计合理
审计委员会对内部审计实施的监督有待加强。
HJ-10
保证董事会成员具备适当的经验和资历,并保持成员相对的稳定性
对董事会成员的经验和资历有明确的书面规定,股东在提名董事会成员时严格按照规定进行,不合格的提名无效;每届任期3年,可以连任。
获取董事会成员名单以及公开信息资料
控制设计合理,并得到执行;
无
HJ-11
董事会、审计委员会或类似机构独立于管理层
管理层的提案需要经过董事会审议;董事会监督经营成果,检查预算与实际的差异,并要求管理层作出解释;董事会不是仅由部门领导和员工组成,董事会保持至少三位独立董事。
查阅会议记录
控制设计合理,并得到执行;
无
HJ-12
审计委员会正常运作
董事会审计委员会每年召开三次会议,定期收到诸如财务报表、主要的市场营销活动、重要协议或谈判等的关键性信息,监督编制财务报告的过程。
查阅会议记录
控制设计合理;
审计委员会对公司日常经营活动的监督有待进一步加强
HJ-13
管理层不能由一人或少数几人控制
董事会、审计委员会对管理层实施有效监督。
查阅相关资料
控制设计合理,并基本得到执行;
审计委员会对公司日常经营活动的监督有待进一步加强
四、管理层的理念和经营风格
索引号
控制目标
被审计单位的控制
实施的风险
评估程序
结论
存在的缺陷
HJ-14
对非经常的经营风险,管理层采取稳妥措施
管理层在承担经营风险、选择会计政策和作出会计估计时必须稳健,并需要在内部民主讨论,对当事人规定明确的个人责任。
查阅公司内部制度,与管理层沟通
控制设计合理,并得到执行;
无
HJ-15
管理层对信息技术的控制给予适当关注
定期召开信息技术工作会议,研究制定发展规划,安排足够的资金和人员。
查阅相关资料
控制设计合理,并得到执行;
无
HJ-16
高级管理层对业务分支机构保持有效控制
高级经理经常深入到附属机构或分支机构视察其运作情况;
经常召开集团或区域管理人员会议。
查阅资料
无分支机构
无
HJ-17
管理层对财务报告的态度合理
管理层对财务报告的基本态度是财务报告应反映实际情况,反对收入最大化、平滑盈利增长曲线、纳税最小化等行为。
愿意因重大错报金额而调整财务报表。
审计沟通以及历年审计配合
控制设计合理,并得到执行;
管理层偏好合理避税。
HJ-18
管理层对于重大的内部控制和会计事项,征询注册会计师的意见
管理层和注册会计师经常就会计和审计问题进行沟通;
在审计调整和内部控制方面达成一致意见。
沟通
控制设计合理,并得到执行;
无
五、组织结构
索引号
控制目标
被审计单位的控制
实施的风险
评估程序
结论
存在的缺陷
HJ-19
组织结构合理,具备提供管理各类活动所需信息的能力
根据经营活动的性质,恰当地采用集权或者分权的组织结构;
组织结构的设计便于由上而下、由下而上或横向的信息传递。
组织机构图,分析公司业务与机构图
控制设计合理,并得到执行;
无
HJ-20
交易授权控制层次适当
董事会对董事长、总经理授予不同的权利;
总经理对副总经理授权。
查阅制度
控制设计存在缺陷
无
HJ-21
对于分散(分权)处理的交易存在适当的监控
经理层密切关注该类交易,经常听取汇报。
询问
控制存在并执行;
无
HJ-22
管理层制定和修订会计系统和控制活动的政策
管理层已经制定了会计系统和控制活动的标准并形成书面文件;管理层依其职责和权限从现有的报告系统中得到适当的信息;业务经理可通过沟通渠道接触到负责经营的高级主管。
查阅相关控制资料
控制设计合理,并得到执行;
无
HJ-23
保持足够的人力资源,特别是负有监督和管理责任的员工数量充足
对加班严格审批;
工作压力大时,及时招聘人员。
人员制度
控制设计合理,并得到执行;
无
HJ-24
管理层定期评估组织结构
董事会每年召开一次会议,讨论组织机构的设置。
董事会议记录
无
无提及相关内控
六、职权与责任的分配
索引号
控制目标
被审计单位的控制
实施的风险
评估程序
结论
存在的缺陷
HJ-25
明确员工的岗位职责,包括具体任务、报告关系及所受限制等并传达到本人
公司制定管理层及负有监督责任员工的职务说明书,以及各级员工的职务说明书;
职务说明书明确规定了与控制有关的责任。
查阅相关资料
控制设计合理,并得到执行;
无书面下达每人,仅到高管
HJ-26
在被审计单位内部有明确的职责划分和岗位分离
将业务授权、业务记录、资产保管和维护,以及业务执行的责任尽可能地分离。
员工职责分工记录以及文件
控制设计合理,并得到执行;
无
HJ-27
保持权力和责任的对等
完成工作所需权利与高级管理人员的参与程度保持适当的平衡;授予适当级别的员工纠正问题或实施改进的权力,并且此授权也明确了所需的能力水平和明确的权限。
查阅资料
控制设计合理,并得到执行;
无
HJ-28
对授权交易及系统改善的控制有适当的记录,对数据处理的控制有适当的记录
建立授权交易及系统改善的控制制度。
查阅资料
控制设计合理,并得到执行;
无
七、人力资源的政策与实务
索引号
控制目标
被审计单位的控制
实施的风险
评估程序
结论
存在的缺陷
HJ-29
关键管理人员具备岗位所需的丰富知识和经验
员工招聘主管需要具备执行任务、履行职责的知识及经验;
对关键管理人员实施适当的培训。
招聘制度等资料
控制设计合理,并得到执行;
无
HJ-30
人事政策中强调员工需保持适当的伦理和道德标准
评价业绩时将员工的操守和价值观纳入评价标准之中。
员工考核资料
控制设计合理,并得到执行;
无
HJ-31
人力资源政策与程序清晰,定期发布和更新
每年检查人力资源政策与程序,不恰当的进行调整;
对更新的文件及时传达。
查阅相关资料
不定期,根据需要
无明确制度、临时
了解和评价被审计单位风险评估过程
被审计单位:
神州学人
项目:
2011年度审计
编制:
陈蓁
日期:
2012.1
索引号:
BB-1-3
财务报表截止日/期间:
2011.12.31
复核:
刘延东
日期:
2012.1
索引号
控制目标
被审计单位的控制
实施的风险
评估程序
结论
存在的缺陷
PG-1
建立公司整体目标并传达到相关层次
管理层确立了整体目标,该整体目标区别于任何单位都适用的一般目标;经营战略和整体目标一致,战略目标支持整体目标并能指导配置资源;整体目标能够有效地传达到全体员工和董事。
询问不同层次人员对目标了解程度
控制设计合理,并得到执行
无
PG-2
具体策略和业务流程层面的目标与整体目标协调
业务层面的目标来源于整体目标和战略,并与之相关联。
业务层面的目标一般表述为有具体完成期限要求的具体目标。
每个重要的作业活动都制定有目标,并且相互一致;定期审核业务层面的目标以保证与整体目标持续相关;同一作业活动的各个目标以及不同作业活动的目标协调。
业务制度以及考核制度,相关执行记录
控制设计合理,并得到执行
无
PG-3
明确影响整体目标实施的关键因素
管理层已经明确某些措施必须正确实施或者某些措施不能失败,否则整体目标就不能实现;资本支出和费用预算是根据管理层对目标相对重要性的分析作出的;管理层特别关注重要目标(成功的关键因素)。
预算制度、以及预算执行报告
控制设计合理,并得到执行
无
PG-4
各级管理人员参与制定目标
经理们参与他们所负责的业务目标的制定;明确经理的责任;制定了争议和分歧的解决程序。
中层会议记录
控制设计合理,并得到执行
无
PG-5
建立风险评估方法
风险评估程序考虑影响目标实现的内外部因素,通过分析各种风险提供管理风险的依据;对外部风险,公司要求管理层考虑:
供货渠道、技术变化、债权人的要求、竞争对手的行动、经济状况、政治状况、法规与监管状况、自然灾害;对内部风险,公司要求管理层考虑:
人力资源,如关键管理人员的留任、职责调整是否会影响有效履行其职责;理财和融资活动,如为实施新计划或继续原计划筹措资金;劳资关系,如薪酬及退休福利计划是否在同行业中具有竞争力;信息系统,如备份系统的有效性等;对每项重要的业务层面目标,确定影响其实现的重大风险;风险分析通过正式的风险分析程序进行,识别出的风险与相应的作业目标相关,适当级别的管理人员参与风险分析工作。
获取相关资料,是否发生该情形及应对措施
控制设计合理,并得到执行
无
PG-6
建立风险识别、应对机制,处理具有普遍影响的变化
设置能预期、识别和应对可能对整体目标和业务层次目标的实现产生影响的例行事件或作业活动的机制;将对日常变化的处理与风险分析程序联系;与变革相关的风险与机遇由足够高层次的管理层处理,以保证确认所有潜在的影响,并制定适当的行动计划;企业内部受变革严重影响的一切活动都纳入到程序之中。
查阅、询问各层次人员对此制度理解程度
控制设计合理,但可能得不到全面执行
无
PG-7
对于可能对被审计单位产生迅速、巨大并持久影响的变化,建立相应的识别和应对机制
被审计单位制定处理下列情况导致风险的制度:
经营环境变化;员工增加;新增的或经过重新设计的信息系统;被审计单位的快速发展;
新技术开发和应用;新增生产线、新产品、新设置的作业及新购并的企业;被审计单位重组;被审计单位开展海外经营活动。
查阅资料
控制制度不够全面
风险控制制度设计不够全面
PG-8
会计部门建立流程适应会计准则的重大变化
会计部门学习新准则法规以识别其重大变化;
通过后续教育跟进会计准则的最新进展。
后续教育计划和实施
控制设计合理,并得到执行
无
PG-9
被审计单位业务操作发生变化并影响交易记录时,及时通知会计部门
当被审计单位业务操作发生变化并影响交易记录的流程时,召开部门会议进行讨论,会计部门必须参加。
查阅资料、询问会计人员
控制设计存在,但不及时执行
无
PG-10
风险管理部门建立流程以识别经营环境的重大变化
定期召开部门会议,进行沟通、讨论经营环境的重大变化。
查阅相关资料
控制设计合理,并得到执行
无
PG-11
政策和程序得到有效执行
管理层定期审查政策和程序的遵循情况。
查阅资料和会议记录
控制设计合理,并得到执行
无
了解和评价控制信息系统与沟通
被审计单位:
神州学人
项目:
2011年度审计
编制:
陈蓁
日期:
2012.1
索引号:
BB-1-4
财务报表截止日/期间:
2011.12.31
复核:
刘延东
日期:
2012.1
索引号
控制目标
被审计单位的控制
实施的风险
评估程序
结论
存在的缺陷
XT-1
信息系统向管理层提供有关被审计单位经营的相关信息
建立必要的机制获取外部信息,包括市场状况、竞争对手的状况、法律法规的最新发展以及经济状况的变动等;管理层制定的整体战略规划可识别、分析和监控整体目标所需的内外部信息;管理层可以获取关于履行其职责所需信息的报告。
了解公司信息系统
控制设计存在缺陷,得到执行
无
XT-2
向适当人员提供的信息充分、具体且及时,保证其能够有效地履行职责
标明信息的有效期并经管理层认可;定期监测企业的财务信息,并向财务总监汇报;根据管理人员的级别,恰当确定需向其提供信息的详略程度;适当进行信息汇总,既能提供相关的信息,又可在必要时进一步查阅相关细节;有专人识别员工需要的信息并及时提供给员工。
公司信息系统,财务信息上报制度
控制设计合理,并得到执行
无
XT-3
与财务报告相关的信息系统的开发及改善基于战略考虑,与被审计单位整体层面的信息系统紧密相关,有助于实现被审计单位整体层面和业务流程层面的目标
建立必要的机制(如信息系统指导委员会)识别新的信息需求;
由适当的人员确定对信息的需求及各项需求之间的优先次序;
制定与财务报告相关的信息系统的长期战略规划,且该计划随着被审计单位发展战略的及时更新,并与单位整体信息系统需求紧密相关。
了解公司信息系统,以及信息运用、共享系统
控制设计不够全面,得到执行
单纯使用财务软件,未与其他部门信息实时分享
XT-4
提供适当的人力和财力开发必需的信息系统
投入充足的资源(具有必要技术能力的管理人员、分析人员和程序员),以支持开发新的信息系统或者增强现有信息系统的功能。
了解公司信息系统
控制设计不够全面,得到执行
除金美公司外无专人负责
XT-5
监督信息系统的开发、变更和测试工作
设立领导小组,委派专人监督信息系统的开发、变更和测试工作。
了解公司信息系统
控制设计不够全面,得到执行
除金美公司外无专人负责
XT-6
就岗位职责与员工进行有效沟通
建立各种沟通渠道(如正式和非正式的培训课程、会议、工作过程中的督导等)有效地实现沟通;新员工培训中向员工提供有关其岗位职责的信息,促使员工明确自己的岗位所要达到的目标,以及如何实现该目标;定期对员工评估,对员工职责进行讨论以确保员工能充分理解自身职责。
了解公司信息系统,培训制度及记录
控制设计合理,并得到执行
无
XT-7
针对不恰当事项和行为建立沟通渠道
员工手册说明违反公司政策和行为守则的可疑行为进行沟通的方式;建立恰当的信息沟通渠道,该渠道的信息接受者不是信息提供者的直接上司,如舞弊情况调查官员或者公司律师等;保障员工实际运用该沟通渠道;向沟通员工反馈沟通事项的处理情况,并确保其不受打击报复。
了解公司信息系统以及相关制度
控制设计合理,并得到执行
无
XT-8
组织内部有充分畅通的横向沟通渠道,横向信息传递完整、及时,并能提供有关人员履行其职责所需的充分信息
建立销售部门与技术、生产、营销等部门的沟通渠道,保证顾客的需求得到适当的处理;建立财务部门与信用管理部门的沟通渠道,保证拖延付款信息得到适当的处理;建立相应的沟通渠道,保证关于竞争对手新产品、售后服务保障等信息传递给负责技术、市场开拓和营销的部门。
了解公司信息系统
控制设计存在缺陷,得到执行
未与其他部门信息实时分享
XT-9
管理层认真听取和采纳员工提出的改进意见
建立有效的机制使员工能够提出改进建议;
建立奖励机制促使员工积极提出改进意见。
了解公司信息系统
控制设计合理,并得到执行
无
XT-10
管理层与客户、供应商、监管者和其他外部人士有效地沟通
建立与各方的沟通渠道;收集各方的建议、投诉及其他信息,并保证公司内部及时沟通;建立信息的追踪调查等后续措施;负责处理投诉的员工与负责最初交易处理的员工互相独立;
定期向管理层报告投诉的性质和数量。
了解公司信息系统
控制设计存在缺陷,得到执行
除金美公司外无专人负责
XT-11
外部人士了解被审计单位的行为守则
负责向外发布重要信息的管理人员,其级别应与所发布信息的性质和重要程度相称(例如:
高层管理人员定期以书面方式对外公布公司员工的行为守则)。
了解公司信息系统
控制设计合理,并得到执行
无
XT-12
员工职责适当分离,以降低舞弊和不当行为发生的风险
公司制定相关的员工职责分离的制度,明确需分离的职责。
了解公司信息系统、并进行内控测试
控制设计合理,并得到执行
无
XT-13
会计系统中的数据与实物资产定期核对
公司制定