KS41企业层面控制的了解和测试Word格式文档下载.docx

1、总经理具有 10年以上相关行业经验，对企业经营有深入的了解；各部门负责人均具有 5年以上从业经验，了解本部门所需人员的能力要求。较低CE112.各部门负责人每年度对本部门相关的职位说明进行复核并进行必要的更新，更新后的职位说较低明书经总经理审批后公布实施。CE12设置恰当的组织结构并根据业务变化及时更新1.企业根据其自身业务需要设置组织结构，并通过内部网页向所有员工传达。2.董事会每年开会讨论组织结构的效率和效果，并根据业务的发展变化考虑是否需要更新。董事会成员均符合企业规定的任职条件，了解企业经营状况。CE13对候选员工的背景调查和聘用审批1.当需要招聘人员时，由拟聘用该人员的部门拟定招聘计

2、划（包括岗位具体职责、任职条件及工作要求等），经部门负责人、人力资源部负责人和总经理批准后，由人力资源部负责招聘。2.应聘人员提交的资料首先由人力资源部经理进行背景调查（包括但不限于联络推荐人，获取资格/专业证书复印件等），通过背景调查的人员由人力资源部负责人和相关部门负责人面试，其聘用需经人力资源部负责人和相关部门负责人共同批准。重要管理层岗位（包括部门负责人、承担重要财务报告职责的人员等）的任命还需总经理批准。3.被聘用的人员需与企业签订标准的劳动合同。标准劳动合同模板由法律合规部和人力资源部共同拟定，包含了工资、雇佣期限、试用期、保密要求等关键劳动合同条款。每天多次（截至 20XX年8月

3、期中测试时约新聘员工300人，视为每天多次的人工控制。）人力资源部负责人具有 10年以上人力资源管理经验；各部门负责人均具有5年以上从业经验，了解本部门所需人员的能力要求。1.1.2 评价内部控制的设计有效性内部控制审计程序工作底稿索引号设计的有效性（有效/无效）在评价控制设计有效性的过程中是否己实施控制运行有效性测试CEl1职位说明书明确了各岗位的任职要求和职责权限1.就企业的职位说明书和年度更新情况向总经理进行询问；2.获取并检查企业的职位说明书以及总经理审批职位说明书更新的相关记录。XX有效是CEl21.询问总经理企业的组织结构设置及职责分配情况；2.检查企业当年度的组织结构图以及公开组

4、织结构的内部网页； 3检查董事会审议组织结构的会议记录。CEl31.询问人力资源部负责人企业的聘用流程；2.查阅一位新聘用员工的档案资料，检查其招 聘计划是否经过相关部门负责人、人力资源部负责人和总经理的审批；人力资源部是否已对其进行背景调查，该员工的聘用是否经适当人员批准；是否已签订标准的劳动合同。 1.1.3 实施内部控制运行有效性测试内部控制的性质实施的审计程序样本量样本量相关说明（如适用）是否执行前推秩序前腿程序运行的有效性（有效无效）职位说明书明确了岗位的任职要求和职责权限不适用（每年一次，上述控制设计有效性评价同时适用于运行有效性测试）（年末执行测试，因此不必执行前推程序）查阅当年

5、度人职的25名员工的档案资料，确定其招聘计划是否经部门负责人、人力资源部负责人和总经理审批；人力资源部经理是否己对其进行背景调查；其聘用是否经适当批准；是否已签订标准劳动合同。25截至 8月执行期中测试时约新聘员工300，视为每天多次的人工控制。询问人力资源部负责人，确定员工的聘用流程在剩余期间是否发生变化。如果期中测试后未发生变化，则不再抽取样本进行测试。1.2 诚信和道德价值观念的沟通与落实1.2.1 了解内部控制CE14行为守则1.企业制定了员工需遵循的行为守则。行为守则包括对利益冲突、关联交易、保密、公平交易、企业资产的保护和适当利用、差旅招待费用的处理、遵守法律法规等事项的要求，并制

6、定了针对违规行为的相关惩戒政策。行为守则公布在公司网页，供员工随时了解，行为守则及网页信息由人力资源部负责更新。2.员工入职培训中包括职业操守相关内容，员工需要参加培训后签署行为守则并提交人力资源部保存。控制。3 每年来，企业所有员工需要签署已阅读和遵守行为守则的声明，人力资源部负责人负责复检签署人员名单，以确保所有员工均已签置。控制1：控制2：每天多次（截至 9月执行期中测试时约新聘员工300人，视为每天多次的人工控制。控制3：人力资源部负责人具有 10年以上人力资源管理经验。1.2.2 评价内部控制的设计有效性设计的有效性（有效无效）在评价控制设计有效性的过程中是否已实施控制运行有效性测试

7、 1.就行为守则及员工培训情况向人力资源部负责人进行询问；2.获取并复核企业行为守则，检查企业公布行为守则的内部网页；3.获取并复核企业当年度的员工人职培训的培训资料和培训记录；4.从当年度人职员工名单中抽取一位新人职员工，检查其是否参加了有关职业操守培训并签署了遵守行为守则的声明。1.2.3 实施内部控制运行有效性测试是否执行前推程序前推程序1.抽取当年度入职的25名员工，检查其是否已参加包括职业操守在内的入职培训并前述遵守行为守则的声明。2.在针对业务流程层面执行控制设计有效性测试时，询问员工对行为守则的了解。截至8月执行期中测试时约新聘员工300人，视为每天多次的人工控制。1.询问人力资

8、源部负责人相光控制是否发生变化。2.检查人力资源部负责人对年末前述遵守行为守则的声明的员工名单的复核记录。如果存在未遵守要求的人员，确认人力资源部是否已采取适当跟进措施。11.3 治理层的参与程度 1.3.1 了解内部控制内部控制的频率（人工控制/自动化控制/包含自动化成分的人工控制）内部控制的性质（每年一次/每季一次/每月一次/每周一次/每天一次/每天多次/其他）CE15审计委员会的权限与职责1.审计委员会成员中独立董事占多数，召集人为独立董事和会计专业人士。董事会每年对审计委员会成员的独立性和胜任能力进行评估。审计委员会具体职责包括：2.每季度复核并审批财务报表，审阅公司会计政策与财务报表

9、相关的重要管理层假设及其判断等事项。3.每季度对内审部工作情况、发现的内部控制问题及跟进处理情况进行当的了解。检查；4.负责与外部审计机构的协调工作，每年与公司外部审计机构进行交流，讨论在内部控制自我评价中发现的问题以及外部审计中发现的问题等事项。控制1、4：控制2、3：每季一次审计委员会成员拥有必要的财务知识，对企业情况有适当的了解。1.3.2 评价内部控制的设计有效性 审计的有效性（有效无效）在评价控制设计有效性的过程中是否已实施控制运行有效性测试CEl51.就审计委员会成员的独立性、审计委员会的职责等向审计委员会负责人进行询问；2.获取并检查审计委员会成员的背景描述资料及董事会有关 审计

10、委员会成员年度评估的会议记录；3.获取审计委员会第二季度的会议记录，检查其对财务报表的审批和内审工作情况的复核。1.3.3 实施内部控制运行有效性测试 获取审计委员会第一季度和第二季度的会议记录，检查其对财务报表的审批和内审工作情况的复核。2每季一次的控制参加审计委员会与注册会计师的年未沟通会议，观察审计委员会就财务报告和内部控制等问题与注册会计师进行的沟通。（二）结论对与控制环境（即内部环境）相关的控制的设计和运行有效性形成的结论无效如识别出控制缺陷，记录对审计工作的影响对控制缺陷的描述对审计工作的影响无二、针对管理层和治理层凌驾于控制之上的风险而设计的控制2.1 了解内部控制是否为反舞弊的

11、控制内部控制的性质（人工控制/自动化控制/包含自动化成分的人工控制）执行内部控制人员的知识、经验和技能CE21独立董事的定期监督公司独立董事每季度查阅一次公司与关联方之间的资金往来情况，了解公司是否存在被董事、监事、高级管理人员、控股股东、实际控制人及其关联方占用、转移公司资金、资产及其他是资源的情况，并形成书面报告。如发现异常情况，及时提请公司董事会采取相应措施。独立董事具备独立性，对企业运营状况有适当了解。CE22举报热线的设置和举报信息的处理1.公司设立了举报热线鼓励员工举报任何违反行为守则要求的行为或舞弊等违规行为。举报热线由独立的第三方负责维护，员工可以采取内审部负责人和匿名方式进行

12、举报。公司政策严禁对善意举报人进行报复，对于采取报复行为的个人，公司将采取适当的处理措施。举报热线已公布在公司网页，供员工随时了解。2.对于举报的违规行为，内审部及人力资源部负责进行调查并按照公司政策进行惩戒，员工受到的惩戒会在其年度业绩评价中予以考虑。（截至 20XX年8月期中测试时，举报热线共记录违规行为 2项，视为每季一次的控制）内审部负责人和人力资源部负责人具有10年以上相关经验，熟悉企业内部控制和人员管理相关政策。较高2.2 评价内部控制的设计有效性1.就独立董事的监督情况向审计委员会负责人进行询问；2.获取并检查独立董事第二季度的书面报告，如存在异常情况，检查独立董事是否采取了进一

13、步措施。1.就举报热线的设置和举报信息的处理向内审部负责人和人举报热线的设力资源部负责人进行交叉询问；2.检查企业公布举报热线的内部网页；3.获取企业的举报热线记录，抽取其中一项举报信息，检查其反映违规行为的调查结果及处理记录。2.3 实施内部控制运行有效性测试获取并检查独立董事第二季度和第四季度的书面报告。（年末测试，因此不必 XX 有效执行前推程序）1.查阅企业的报热线记录，检查举报反映的员工违规行为是否已经恰当处理；2.在针对业务流程层面执行控制设计有效性测试时，询问员工对违反公司政策的惩戒规定以及举报热线信息的了解。截至20XX年 8月举报热线共记录违规行为2项，视为每季一次的控制；考

14、虑到对违反公司政策的惩戒处理需要较多的判断，我们评估控制失效风险为高，并选择测试所有已记录举报信息的处理。1.就举报信息的处理和惩戒政策是否有变化，向人力资源部和内审部负责人进行询问；2.查阅20XX年剩余期间的举报热线记录，检查举报的违规行为是否已经恰当处理。有关针对管理层和治理层凌驾于控制之上的风险而设计的控制的设计和运行有效性的结论知识别出控制缺陷，记录对审计工作的影响三、被审计单位的风险评估过程 3.1 了解内部控制CE3风险管理部和风险管理委员会对企业风险的监控公司设有专门的风险管理委员会，负责对风险的监控和管理，其执行机构为风险管理部。风险管理部从公司内部（包括中层及上层管理人员及

15、董事）及外部（包括分析师、律师、注册会计师等）人员收集信息，考虑内外部风险进行风险评估，并提出应对措施。风险管理部每季度汇总编制风险评估报告（包括对舞弊风险的考虑）并向风险管 理委员会报告。风险管理部和风险管理委员会均独立于业务部门，负责人具有适当的管理经验。3.2 评价内部控制的设计有效性在评价控制设计有效性的过程中是否已实施控制运行有效性的测试1.就风险管理部的工作职责向风险管理部负责人进行询问。2.就风险管理委员会对风险管理部工作的监督情况 向风险管理委员会负责人进行询问；3.获取并检查风险管理部向风险管理委员会提交的第二季度风险评估报告及风险管理委员会的复核记录。 3.3 实施内部控制

16、运行有效性测试 获取并检查风险管理部向风险管理委员会提交的第二季度和第四季度风险评估报告及风险管理委员会复核记录。（年末测试，因此不必执行前推程序）对与被审计单位的风险评估过程中相关的控制的设计和运行有效性形成的的结论四、对内部信息传递和期末财务报告流程的控制（一）测试控制设计和运行的有效性4.1 了解内部控制CE4财务部负责人对财务报表合并过程的复核财务部负责人每季度复核企业合并财务报表的编制并签字确认，复核工作包括：1.与上期合并财务报表进行对比分析，2.合并范围检查；3.将合并财务报表中的科目追踪至组成部分报表及合并调整分录，以验证数据的正确性；4.复核合并调整分录及其支持性文件（此控制

17、目的在于监督会计人员相关控制的执行，并未精确到足以防止或发现并纠正认定层次重大错报）。财务部负责人从业 5年以上，拥有中国注册会计师资格，对企业的财务状况有深入了解。4.2 评价内部控制的设计有效性1.询问财务部负责人对合并财务报表的复核和审批过程；2.获取并复核财务部负责人对第二季度财务报表的审批记录。4.3 实施内部控制运行有效性测试获取并复核财务部负责人对第一季度和第二季度财务报表的审批记录。询问财务部负责人该控制的执行是否发生变化；获取并复核财务部负责人对年度财务报表的复核记录。五、对控制有效性的内部监督（即监督其他控制的控制）和内部控制评价 5.1 了解内部控制CE5内审部对控制的监

18、督企业设有内审部，内审部独立于业务和财务部门，负责监督内部控制的执行，并直接向审计委员会报告。内审部每年拟定内部审计计划（包括评价范围、人员组织等内容），报经审计委员会审批后实施。内审部按照经审批的审计计划执行工作，并在年末就实际执行结果与计划的对比情况向审计委员会报告。内审部人员均独立于业务部门，经过适当培训，具有内审相关资格。5.2 评价内部控制的设计有效性1.就内审部的职责及汇报流程等内向内审部负责人进行询问；2.获取并检查经审计委员会批准的年度内部审计计划。5.3实施内部控制运行有效性测试注册会计师在参加审计委员会年度会议时，关注审计委员会是否获得了内审部的工作报告以及对该报告的审核。有关对控制有效性的内部控制（即监督其他控制的控制）和内部控制评价相关的控制的设计和运行有效性的结论六、集中化的处理及控制（包括共享的服务环境）6.1 了解内部控制内部控制的频率（每年一次/每季一次/每月一次/每周一次