联系我们
柏明顿管理咨询集团
全国统一客服热线:
400-6216-088
 
总部广州:
地址: 广东省广州市珠江新城华夏路28号
富力盈信大厦20楼2004单元 
电话:020-38398191
邮编: 510630 
网址: www.pmt.net.cn 
邮箱: admin@pmt.net.cn

内部控制测试指南

返回 2014-05-19 15:03

内部控制测试指的是测试控制运行的有效性,内部控制测试指南规定了内部控制测试的目的及依据、测试基本方法、公司层面控制测试、业务流程控制测试、信息系统总体控制测试、测试报告和测试模板等相关内容。

内部控制测试指南适用于公司本部、分(子)公司、控股公司开展内部控制测试的全过程。

一、    内部控制测试的目的和基本要求

内部控制测试目的,在于查找内部控制设计和执行方面的问题,为内部控制体系有效性提供合理保证。

内部控制测试依据是:公司内部控制管理手册、当年确定的测试范围。

内部控制测试基本方法包括询问、观察、检查和再执行等。

二、    公司层面控制测试

公司层面控制测试内容,主要有测试目的及依据、测试方法、测试程序、例外事项分类及确认等。

1、公司层面控制测试目的及依据

公司层面控制测试的目的,主要是通过公司层面控制测试,查找内控设计和执行方面的问题,确保公司内部各个领域都有适当的控制机制在发挥作用。

公司层面控制测试依据主要是:当年确定的测试范围、公司层面测试工具。

公司层面控制测试主要采用询问、观察、检查等方法。

2、公司层面控制测试程序

公司层面控制测试程序可以划分为准备阶段、实施阶段和总结阶段。

(1)准备阶段

准备阶段是指从发出测试通知、测试组进驻被测试单位开始,直至完成测试计划的工作过程。这一阶段的主要工作如下:1)测试组取得并审阅《公司层面测试工具》中涉及的文件、规章制度等资料,初步了解公司层面控制现状。2)拟定测试步骤。

(2)实施阶段。

实施阶段是指从完成初步计划并开始实施,直至完成全部测试步骤的工作过程。

测试时应对重要的信息进行记录,抽样测试记录表、测试表、汇总表所记录的信息应保持一致。对测试发现的例外事项的相关证据取得复印件或扫描件;没有例外事项的只需要在相关表单中进行记录,不需取得复印件或扫描件。

(3)总结阶段。

总结阶段是指测试人员完成全部测试后,对测试内容进行整理分析的过程,该阶段具体工作步骤:

1)汇总整理《公司层面测试表》及《抽样测试记录表》,将相应内容整理至《公司层面测试例外事项汇总表》。

2)对测试结果进行分析。对测试发现的例外事项进行详细的说明,分析例外事项产生的原因。对于改进测试发现的未整改的例外事项,应考虑补充及补偿控制并进行测试、记录。

3)对测试结果进行沟通确认。对测试发现的例外事项与相关人员进行充分沟通,最终达成一致意见后由被测试单位相关人员签字确认。如被测试单位存在异议,可将其意见一并上报测试组织部门。

三、    业务活动层面控制测试——跟单测试

业务活动层面控制测试,通过跟单和关键控制抽样测试两种方式进行。跟单测试和关键控制抽样测试均可适用于手工控制与应用系统控制测试。

1、跟单测试目的及依据

业务活动层面控制测试目的主要有:熟悉和理解业务流程;验证公司确认的重要风险和关键控制的完整性和合理性;验证公司关键控制设计的有效性:公司确定的重要风险和关键控制设计合理性;公司业务流程中存在的特殊重要风险是否被识别,相应的关键控制是否被确认并准确记录;检查公司是否制定了与控制实施相关的制度;确认的控制(一般控制和关键控制)是否被有效执行,该控制执行后能否防范风险。

业务活动层面控制测试依据有:公司风险控制管理文件、当年确定的测试范围。

2、跟单测试方法

跟单测试方法主要有询问、观察和检查。

询问:主要采用访谈的方式,访谈对象原则上是业务流程中的关键执行人员。如果无法直接访谈,也可以访谈部门负责人或其他熟悉该流程的人员。

观察:针对有必要观察的、正在执行的控制或步骤进行现场见证,获取控制证据。

检查:在跟单测试中包括两个方面:一方面对文件制度的检查,重点是文件制度中是否做出相关规定;另一方面是对实施证据的抽样检查,抽取的样本应能够贯穿重要业务流程的全过程,具有代表性和普遍性。原则上跟单测试只抽取一个样本。

3、跟单测试程序

跟单测试工作过程分为准备阶段、实施阶段、总结阶段。

(1)准备阶段。

准备阶段是指从发出测试通知后、测试组进驻被测试单位开始,直至初步完成测试计划的工作过程。这一阶段的主要工作如下:

1)获取公司的业务流程目录、流程图、风险控制文档及相关文件制度。2)审阅风险控制文档、流程图等相关资料,初步了解业务活动层面的重要风险及关键控制措施。3)结合以上对被测试单位业务流程和控制措施的了解,初步填写《跟单测试表》,并填写测试模板的相关内容。4)制定跟单测试计划,协调双方的时间安排,提高工作效率。

(2)实施阶段 。

实施阶段是按照计划完成所有测试步骤的工作过程。被测试单位主要根据测试要求,配合测试人员工作。

(3)总结阶段。

总结阶段是指测试人员在完成全部测试工作后,对查证内容进行分析整理的过程。该阶段具体工作步骤有:

1)整理《跟单测试表》,将相应内容汇总至《跟单测试例外事项汇总表》,并由相关人员进行复核。

2)对测试结果进行沟通确认。对测试发现的例外事项与被测试单位或外部审计师进行充分沟通,最终达成一致意见后由被测试单位相关人员签字确认。如被测试单位存在异议,可将其意见一并上报测试组织部门。

四、    业务活动层面控制测试——关键控制抽样测试

关键控制抽样测试目的在于:查找关键控制执行方面存在的问题,确保设计有效的关键控制在公司得到有效执行。

关键控制抽样测试依据在于:公司风险控制管理文件、当年确定的测试范围。

关键控制抽样测试主要采用询问、观察、检查、再执行等方法。

关键控制抽样测试程序可以划分为准备阶段、实施阶段、总结阶段。

五、    信息系统总体控制测试

信息系统总体控制由公司统一设计,下属单位是执行部门,政策和制度具有高度的统一性。公司通过对信息系统重要风险、控制目标进行分析,设计了目前的信息系统总体控制。经评估,已建立的信息系统总体控制能够有效防范风险,为实现控制目标提供合理保证。公司将根据有关法律法规的变化以及公司组织结构、管理方式等因素的变化不断更新信息系统总体控制,以确保信息系统总体控制设计的有效性。

信息系统总体控制测试主要针对信息系统总体控制运行的有效性。

信息系统总体控制测试目的,就是通过信息系统总体控制测试,检查是否根据公司信息系统总体控制管理文件的要求,执行了信息系统管理的各项控制活动,从而提高应用系统控制的有效性,确保信息系统支持的应用控制是可靠的、生成的数据和报告是可信的。

信息系统总体控制测试依据主要有:信息系统总体控制矩阵、当年确定的测试范围。

信息系统总体控制测试采用访谈、观察、再执行、抽样检查等方法。

信息系统总体控制测试工作划分成三个阶段,包括:准备阶段、实施阶段、总结阶段,。六、内部控制测试报告

内部控制测试组测试报告的要素包括:测试总体情况、内部控制体系运行情况、测试发现与例外事项说明、整改建议。

1、测试报告的要素

(1)测试总体情况。主要包括测试时间、测试人员、测试范围、测试内容等。

(2)内部控制体系运行情况。主要是简要叙述内控工作开展情况、自我测试及例外事项整改情况等。

(3)测试发现与例外事项说明。首先说明例外事项总体情况,然后按照公司层面、业务活动层面和信息系统层面分别对重要例外事项进行说明。

(4)整改建议。针对测试发现的例外事项,归纳总结后提出建议和措施。

2、测试报告的其他说明

测试报告的标题应当包括被测试对象的名称、测试类别的主要内容。测试报告的主送单位是派出测试组的测试部门或委托测试的部门。测试报告的署名包括:测试组名称、测试主审签名等。测试报告日期是测试报告形成的日期。

3、内部控制测试报告编制程序

(1)现场测试组。测试组根据测试情况,在核对和综合分析的基础上,汇总形成测试报告初稿。测试组根据测试报告初稿与被测试单位进行沟通后,形成正式报告。正式报告应取得被测试单位签认,上报测试组织部门审核。如被测试单位存在异议,可将其意见一并上报测试组织部门。

(2)测试组织部门。测试负责人审定现场测试组上报的报告及相关资料。撰写测试报告,上报管理层。

声明:本网站所有作品(包括文章、图片)属柏明顿管理咨询集团原创,版权归柏明顿管理咨询集团所有,未经授权不得转载、摘编,作品如有雷同,纯属抄袭。违反上述声明,将追究相关法律责任。文章采用联系电话:020-38398191

声明:柏明顿管理咨询集团目前旗下公司,分别位于广州、北京和上海。任何以其他地区柏明顿品牌出现的企业均与我集团无关。特此声明!

©2000-2016 柏明顿管理咨询集团版权所有 粤ICP备12089601号

柏明顿管理咨询集团市场合作QQ:网站合作,申请友情链接

柏明顿管理咨询集团全国统一服务电话:400-6216-088

柏明顿二微码