内控审计评价操作流程(XXX31目的(22范围(23规范性引用文件(24术语和定义(25职责(26审计评价操作流程简图(3 7发现缺陷(38初步判定缺陷(39汇总评价结果(410最终判定缺陷(711使用系统及工具(812关键控制点(813流程图(814跟踪验证(915报告和记录(916记录保存(917支持文件和记录(918附则(10附录A 公司费用审计评分示例(131 目的为了规范审计评价,提高审计质量,正确反映审计对象的管理水平,特制定本操作流程。
本操作流程建立了公司管理的缺陷分类和健康评级标准。
2 范围本操作流程适用于公司内控管理部门对项目的审计评价。
3 规范性引用文件无4 术语和定义下列术语和定义适用于本操作流程。
4.1 重大缺陷(简称Cr可能导致企业严重偏离控制目标的控制缺陷。
[《企业内部控制评价指引》,第十七条]4.2 重要缺陷(简称Mj可能导致企业偏离控制目标的控制缺陷,其严重程度或后果低于重大缺陷。
[《企业内部控制评价指引》,第十七条]4.3 一般缺陷(简称Mi除重大缺陷、重要缺陷之外的其他控制缺陷。
4.4 设计缺陷缺少为实现控制目标所必需的控制,或现存控制设计不适当,即使正常运行也难以实现控制目标。
4.5 运行缺陷现存设计完好的控制没有按照规定的程序和要求进行,或执行者没有获得必要授权或缺乏胜任能力以有效地实施控制。
5 职责5.1 主管领导5.1.1 总裁、审计委员会(1对认定为重大缺陷的问题进行复核,做出最终认定意见;(2对内部控制评价报告中列示的问题,督促有关部门或单位采取适当的措施进行改进,对于重大缺陷应追究相关人员的责任。
5.1.2 董事会秘书(1对认定为重大缺陷的问题进行审核;(2对内部控制评价报告中列示的问题,督促有关部门或单位采取适当的措施进行改进。
5.2 内审部5.2.1 审计组成员5.2.1.1 审计人员(1负责初步认定审计发现的缺陷等级;(2负责跟踪审计发现缺陷的落实情况。
5.2.1.2 审计组长(1负责审核审计发现的缺陷等级;(2负责统计缺陷,并综合评分,提出审计意见;(3负责编制项目《内审报告》。
5.2.2 负责人(部长(1负责审核审计发现的缺陷等级;(2负责审核项目《内审报告》,并提交审计委员会和总裁审批、会签。
6 审计评价操作流程简图图1 审计评价操作流程简图7 发现缺陷依据《实施内控审计操作流程》的第9章节和项目审计操作流程作业指导书,按照审计工作测试程序的要求,对审计对象实施审计,确定审计发现的缺陷。
8 初步判定缺陷8.1 缺陷分类内部控制缺陷按其成因分为设计缺陷和运行缺陷。
内部控制缺陷按其影响程度分为重大缺陷、重要缺陷、一般缺陷三种。
一般缺陷根据缺陷偏离目标的程度,再细分为“中等”、“较轻”和“轻微”三个级别。
内部控制缺陷的划分按表1执行。
表1 控制缺陷重要程度分类表8.2 缺陷判定在审计过程中发现控制缺陷后,首先确定内部控制的目标和要求,然后根据审计对象的内控特点及所处的特定环境,对照表1,考虑各种缺陷或替代性控制的影响,综合评估缺陷的严重程度,并做出判定。
【关键控制点】:(1出现附表一中的问题,均判定为重大缺陷:(2缺陷严重程度的评估必须充分考虑以下两点对评估结论的影响:(a关注和分析缺陷组合风险。
缺陷与偏离目标可能性之间不仅存在着一一对应关系,还存在着缺陷组合的风险叠加效应。
例如,在其他控制环节严密的情况下,由出纳核对银行日记账和银行对账单是一个重要的缺陷,但是,如果同时与银行印鉴管理不严、支票管理漏洞相组合,则构成重大缺陷。
(b 替代性控制(补偿性控制的作用。
替代性控制是其他正式或非正式的控制对某一控制缺陷的遏制或弥补,可以降低发生缺陷的风险,即:控制缺陷的严重程度实际是下降的。
8.3 缺陷分值采用5分制对缺陷等级进行评分(见表2。
表2 缺陷评分对照表9 汇总评价结果9.1 项目层级9.1.1 层级分类审计前,先将审计项目进行层级的划分(层级划分见示例1图示:(1第一级项目(总项:为最高层级,即审计项目,例如:公司费用审计项目中“公司费用”即为最高层级;(2第二级项目(分项,它是按审计项目所包涵的主要内容和特点再加以细分(见示例1“审计分项”栏。
例如:“公司费用”下分为通讯费用、车辆费用、招待费和差旅费四个二级分项(见示例2;(3第三级项目(单项,它是针对二级分项具体内容的不同,再作进一步的细分(见示例1“审计单项”栏。
例如通讯费用项下细分为核查资金审批流程与权限,核查凭证合规性,核查资金结算期限,通讯费额度控制和公务通讯费的符合性共5 个三级单项(见示例3;(4第四级项目(条款:为最低层级,即每一条审计条款,它是构成整个审计项目的基础单元(见示例1“控制测试内容”栏。
条款的编制主要依据法律法规、企业制度、过往的审计发现、审计追踪等要求进行编制。
注:由于篇幅设置,第一级(总项体现在《审计工作测试程序》表的“审计项目名称”栏。
9.1.2 层级组成形式审计项目层级的组成形式可视的审计项目规模的大小及实际需要,有两种组合模式:(1三级组合模式:总项(分项+单项+条款;(2四级组合模式:总项+分项+单项+条款。
注:将⑴中按三级进行细分时,将总项与分项合并,在计算时按总项进行处理。
9.2 单项及分项权重的设置权重设置以重要程度判定为原则来设置。
分项权重依据本分项在总项中的重要性进行设置,单项权重依据本单项在分项中的重要性进行设置。
以“公司费用”审计项目为例:(1先对公司费用进行分类,分为四个二级分项:交通费,通讯费,招待费,差旅费;(2根据这四个分项的重要程度设置权重,见示例2。
示例2:注:本示例为四级组合模式进行细分,当按⑴三级模式进行分级时此表省略。
(3根据单项在分项的重要性设置权重,见示例3。
示例3:注:本示例为四级组合模式进行分项,当按三级模式进行分级时,分项即为审计项目(总项。
【关键控制点】:(1分项及单项的权重设置由审计组根据审核项目中分项的重要程度及单项在审核分项中的重要程度,商议确定。
(2所有分项及单项的权重累加必须等于100%。
9.3 统计审计得分9.3.1 条款得分根据表2的缺陷评分对照表,在《审计工作测试程序》表的“实际得分”栏内对每一条审计条款(即第四级进行打分;对于“不适用“的审计条款,则在“实际得分”栏内划“/”,具体评分参见示例4中“实际得分”栏。
示例4:9.3.2 单项得分将审计单项下所有审计条款的“实际得分”栏累加后除以测试程序表中单项的总审计条款数的5倍再乘以100,计算单项的得分值。
即按以下公式计算:1005⨯⨯=单项总审计条款数实际得分累加单项内所有审计条款的单项得分式中:5 ——单条审计条款的满分值为5分单项总审计条款数——单项内所有适用条款数【关键控制点】:(1 公式中的总审计条款数需剔除“不适用”的条款数。
9.3.3 分项得分将审计分项内的每一个单项的得分值分别乘以各自对应的权重,再求和,即为分项的得分。
即按以下公式计算:∑⨯==ni i i1(权重单项得分分项得分【关键控制点】:当某个单项不适用时,需对分项得分做如下处理:(1 各个单项的权重保持不变,同时不适用的单项得分设置为零; (2分项得分按照以下公式计算:∑⨯==ni i i1(11权重单项得分-不适用单项的权重分项得分式中:不适用单项的权重——分项内不适用单项的权重之和。
9.3.4 总项得分将所有的分项得分分别乘以各自对应的权重,再求和,得到的值即为审计项目的总得分,计算公式如下:∑⨯==ni 1权重i 得分i(分项总项得分【关键控制点】:(1 总项得分是百分制,若出现高于100分时,需检查权重、权重设置是否合理,计算是否出现错误。
(2 当某个分项不适用时,需对总项得分进行如下处理:(a 各个分项的权重保持不变,同时不适用的分项得分设置为零; (b总项得分按照以下公式计算:∑⨯==ni i i1(11权重分项得分-不适用分项的权重总项得分式中:不适用分项的权重——总项内不适用分项的权重之和。
9.3.5 缺陷频率缺陷的频率分为重大缺陷频率(f Cr 和重要缺陷频率(f Mj。
计算缺陷频率主要为了依据表3确定审计项目的健康指数。
计算公式如下:重大缺陷频率=100⨯=有效审计条款数重大缺陷数量cr f重要缺陷频率=100⨯=有效审计条款数重要缺陷数量Mj f9.4 健康指数的确定根据审计项目(总项得分的得分,结合审计项目中重大和重要缺陷出现的频率,对审核项目的运行情况做出健康指数的评定,健康指数分为五级:A (健康型、B (成长型、C (改进型、D (薄弱型和E (休克型。
具体的评价标准见表3:表3 健康指数评定等级【关键控制点】:(1 A 级(健康型:内部控制的运行状况良好,无重大缺陷和重要缺陷;(2 B级(成长型:内部控制的运行状况正常,无重大缺陷,但会有个别的重要缺陷,仍需要做一些内部控制方面的改善工作;(3 C 级(改进型:内部控制的运行中存在较多的重要缺陷,风险在加大,虽然表面上运作良好,但对于一些重要缺陷,如不加以纠正、预防措施,极有可能转变为重大缺陷,引发内部控制目标的严重偏离,必须马上纠错,并执行纠正措施。
(4D 级(薄弱型:内部控制的运行存在较大的缺陷,企业风险极大,必须马上纠错,并执行纠正措施。
(5E级(休克型:内部控制的运行紊乱,错漏百出,企业面临重大危机,必须立即彻底整顿。
10 最终判定缺陷10.1由审计组长,根据审计评价标准对审计对象的内部控制运行情况,做出健康指数等级的初步判定结论。
【关键控制点】:(1审计条款的缺陷判定必须严格依据表1的要求进行;(2初步的判定结论必须符合表3的要求;(3审计组长需召集审计组成员,针对重大缺陷和重要缺陷的审计发现进行讨论; 讨论确定后,再将初步的评价意见写入到《内审报告》中。
【涉及记录】:(1《内审报告》(2《审计工作测试程序》10.2由审计组长将《内审报告》提交给内审部负责人审核;内审部负责人对控制缺陷和评价结论审核通过后再提交给董事会秘书审批;最后再呈报给总裁和审计委员会审批会签。
通过后正式发布。
【关键控制点】:(1当内审部负责人对缺陷的判定和健康指数的评定结论有异议时,应组织审计组成员召开会议讨论确定;(2重大缺陷的认定必须经由总裁和审计委员会审批后,方可最终确定。
【涉及记录】:(1《内审报告》11 使用系统及工具本操作流程使用的系统及工具如下列示:(1 电脑;(2 OA系统。
12 关键控制点按照各条款的【关键控制点】执行。
13 流程图13.1 评价操作流程图:见图2;图2 评价操作流程图13.2 缺陷判定流程图:见图3。
图3 缺陷判定流程图14 跟踪验证评价标准运行过程,内控部门管理人员通过内审、关键部门管理人员通过管理检查、关键岗位人员通过运行检查、验证并发现SOP缺陷:(1对于重要或紧急的缺陷,内控部门应督导、关键部门应负责尽快组织修订;(2对一般性缺陷或非紧急的改进意见可提出书面报告交内控部门适时修订。