《中国人寿层面内部控制评估培训(92页PPT).pptx》由会员分享,可在线阅读,更多相关《中国人寿层面内部控制评估培训(92页PPT).pptx(92页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、 中国人寿广东省分公司中国人寿广东省分公司2 中国人寿广东省分公司中国人寿广东省分公司主要内容:主要内容:1 1、20062006年年404404遵循工作计划及公司层面评估所处位置遵循工作计划及公司层面评估所处位置2 2、公司层面内控的重要性、公司层面内控的重要性3 3、COSOCOSO的五大要素简介的五大要素简介4 4、工作方法和步骤、工作方法和步骤5 5、评估工作底稿的填写及注意事项、评估工作底稿的填写及注意事项3 中国人寿广东省分公司中国人寿广东省分公司第一部分2006年404遵循工作计划及公司层面评估所处位置4 中国人寿广东省分公司中国人寿广东省分公司 六个阶段六个阶段 404404遵
2、循工作准备阶段遵循工作准备阶段 内部控制自我评估阶段内部控制自我评估阶段(流程层面、公司层面)(流程层面、公司层面)管理层测试阶段管理层测试阶段(总公司对省公司,省公司对地市分公司)(总公司对省公司,省公司对地市分公司)外部审计师审计阶段外部审计师审计阶段 缺陷整改及验收阶段缺陷整改及验收阶段(贯穿整个过程)(贯穿整个过程)出具内部控制报告阶段出具内部控制报告阶段 5 中国人寿广东省分公司中国人寿广东省分公司 重要提示:重要提示:20062006年年内内控控评评估估工工作作与与20052005年年是是有有很很大大区区别别的的,不不再再是是预预演演的的概概念念,而而是是要要在在0707年年4 4
3、月月3030日日对对外外披披露露正正式式的的内内控控评评估估报报告告。在在评评估估报报告告中中会会包包含含今今年年所所做做的的所所有有的的404404遵遵循循工工作作的的内内容,而且要求将更加严格。容,而且要求将更加严格。6 中国人寿广东省分公司中国人寿广东省分公司 1 1、工作准备阶段(、工作准备阶段(20062006年年2 2月月2020日至日至20062006年年3 3月月3131日)日)制定省内标准化流程模版及广东省2006年404条款遵循工作实施方案,并做好前期的各项准备工作,组织404遵循工作培训,为遵循工作的顺利完成打下一个良好的基础。7 中国人寿广东省分公司中国人寿广东省分公司
4、2 2、内部控制自我评估阶段、内部控制自我评估阶段 (20062006年年3 3月月6 6日至日至20062006年年4 4月月3030日)日)包括流程层面评估和公司层面评估。流程层面:流程层面:省本级和各地市分公司开展穿行测试、控制测试、维护更新流程层面评估文档、汇总发现问题。公司层面:公司层面:省本级和各地市分公司管理层回答公司层面评估调查问卷、进行公司层面内部控制测试,撰写公司层面评估文档,完成内部控制自我评估工作,并汇总发现问题。省公司职能部门对省本级及地市分公司的流程层面评估文档及控制测试情况进行重点审核。8 中国人寿广东省分公司中国人寿广东省分公司3 3、管理层测试阶段、管理层测试
5、阶段 第一阶段:2006年3月1日至2006年4月30日 第二阶段:2006年7月10日至2006年8月31日 第三阶段:2007年1月1日至2007年2月28日 总、省公司组成独立测试工作组,分三个阶段完成对省本级和地市分公司的管理层测试及补充测试工作,汇总并上报发现的所有控制缺陷。9 中国人寿广东省分公司中国人寿广东省分公司4 4、外部审计师审计(、外部审计师审计(20062006年年4 4月月1 1日日20072007年年2 2月月2828日)日)配合外部审计师的审计工作,与外部审计师做好沟通交流,并及时汇总、上报评估信息。10 中国人寿广东省分公司中国人寿广东省分公司5 5、缺陷整改及
6、验收阶段、缺陷整改及验收阶段 (2006年5月1日至2006年12月31日,初步确定5月至9月为分公司缺陷整改及验收工作集中开展期间,10-11月为省公司对全省的缺陷整改验收期间)这一阶段工作的根本目的在于弥补内部控制自我评估、管理层测试及外部审计师审计阶段发现的控制缺陷,从而使这些控制缺陷不对2006年内控评估报告产生重大影响。主要工作包括省公司本级和地市分公司汇总、上报、审批并落实缺陷整改计划,并对缺陷整改工作进行验收测试。由于缺陷整改是一个持续改进的过程,因此本阶段是整改验收再整改再验收多次反复的过程。11 中国人寿广东省分公司中国人寿广东省分公司6 6、出具内控报告阶段(、出具内控报告
7、阶段(20072007年年3 3月月1 1日至日至20072007年年4 4月月3030日日 )省公司汇总省本级和地市分公司内部控制评估报告,分析控制缺陷的影响(若存在尚未整改完毕的控制缺陷),上报总公司。12 中国人寿广东省分公司中国人寿广东省分公司对部分重要概念的释义:对部分重要概念的释义:内部控制评估包括:内部控制评估包括:自我评估、管理层测试内部控制自我评估包括:内部控制自我评估包括:公司层面内部控制评估、流程层面内部控制评估管理层测试包括:管理层测试包括:公司层面内部控制评估、流程层面内部控制评估13 中国人寿广东省分公司中国人寿广东省分公司对部分重要概念的释义:对部分重要概念的释义
8、:1 1、公司层面内部控制自我评估:、公司层面内部控制自我评估:总公司、省本级及地市分公司需开展的,根据COSO五要素划分的,对公司整体层面的控制进行的评估,具体包括反舞弊、业绩信息分析、风险管理、人力资源管理等多项内容,主要通过回答调查问卷、访谈、审阅相关支持性文档等方式完成。14 中国人寿广东省分公司中国人寿广东省分公司2 2、流程层面内部控制自我评估:、流程层面内部控制自我评估:对与财务报告相关的财务、业务、IT流程进行的评估,主要工作文档包括流程图、流程及控制文档记录、风险控制矩阵、穿行测试文档、控制测试文档等,具体工作方式包括穿行测试、控制测试,总、省、市三级公司都需开展。对部分重要
9、概念的释义:对部分重要概念的释义:15 中国人寿广东省分公司中国人寿广东省分公司自我评估和管理层测试二者区别自我评估和管理层测试二者区别:内部控制自我评估和管理层测试的主体不同。前者是指各部门、各单位在管理层测试前按照相同工作步骤先行对自己的内控情况进行一次评估和测试;后者是指总公司和省公司组成独立的测试工作组对所属部门、单位进行评估和测试。内部控制自我评估和管理层测试的时间点不同。前者的完成时间为2006年4月30日;后者则分为三个阶段,第一阶段是2006年4月11日-4月30日,第二阶段是2006年7月10日-8月31日,第三阶段是2007年1月1日-2月28日。对部分重要概念的释义:对部
10、分重要概念的释义:16 中国人寿广东省分公司中国人寿广东省分公司补充测试:补充测试:由于404条款下,公司管理层需对2006年12月31日的内部控制有效性进行评估。因此,在2007年1至2月间,总、省独立测试工作组会对2006年最后一次内控测试时间至12月31日间的内部控制执行情况进行测试,称为补充测试。例如:2006年最后一次内控测试时间为9月31日对缺陷整改的验收测试,则补充测试期间为10月1日至12月31日。对部分重要概念的释义:对部分重要概念的释义:17 中国人寿广东省分公司中国人寿广东省分公司第二部分第二部分公司层面内部控制的重要性公司层面内部控制的重要性18 中国人寿广东省分公司中
11、国人寿广东省分公司公司层面内部控制评估的重要性公司层面内部控制评估的重要性公司层面内部控制评估是从控制环境、风险评估、控制活动、信息与沟通、监督等五个方面对公司的内部控制进行评估,通过对管理层的访谈和有关测试,对公司层面控制的有效性作出评估。19 中国人寿广东省分公司中国人寿广东省分公司公司层面的内部控制评估的重要性公司层面的内部控制评估的重要性公司层面的内部控制对流程、交易或应用层面的内部控制有着广泛深入的影响。正因为如此,出于实际的考虑,管理层应首先测试并评估公司层面内部控制的设计有效性,其结果将会影响管理层对财务报告的内部控制其他方面的评估工作。另外,公司层面控制对预防、阻止和检查舞弊行
12、为发挥着重要的作用。普华明确表示,若分公司公司层面评估结果存在重大缺陷,将会增加有关流程层普华明确表示,若分公司公司层面评估结果存在重大缺陷,将会增加有关流程层面的评估工作。面的评估工作。虽然公司层面的内部控制的文档记录和评估活动不能完整体现公司内控的全局,但评估公司层面的内部控制对于评估财务报告内部控制的整体有效性有着重大的影响及参考价值,因此公司层面内部控制评估是财务报告内部控制评估的重要起点。公司层面内部控制评估是财务报告内部控制评估的重要起点。20 中国人寿广东省分公司中国人寿广东省分公司有别于个别的风险处理,公司层面的内部控制的整体评估可以落实到下列两个问题:1、管理层是否有建立一个
13、良好的控制环境,确保员工自愿地遵循内部控制而非忽略或执行不当?2、公司是否设立了必要的控制机构来监督并改正不合规行为,该控制机构是否有效地运作?尽管仅针对企业层面内部控制的描述与评估本身还不足以为该企业内部控制整体评价提供佐证,但是,企业层面内部控制的描述与评估是针对该企业内部控制整体进行评估的重要起点,在企业层面内部控制的评估过程中识别的控制缺陷,往往会对该企业内部控制的有效性和财务报告的可靠性及合规性的整体评估产生重大影响。21 中国人寿广东省分公司中国人寿广东省分公司第三部分第三部分COSO的五大要素简介的五大要素简介22 中国人寿广东省分公司中国人寿广东省分公司COSO内控框架内控框架
14、Committee Of Sponsoring Organizations Of The Treadway Commission(COSO)由美国会计师协会、美国审计总署、美国内部审计师协会和管理会计师协会等7个团体共同赞助成立,专门研究内部控制问题;-保证财务报告的可靠性;-保证经营效益和效率;-对相关法律法规的遵循。23 中国人寿广东省分公司中国人寿广东省分公司SEC准则没有指定使用的评价框架,但是指出评价框架必须:客观允许公司在评估内部控制时在质和量的方面保持合理的,一贯的衡量尺度;足够完整,以保证可能导致有关公司内部控制有效性的结改变的相关因素不被忽视;与有关财务报表的内部控制评价相关
15、准则指出美国COSO的框架符合以上要求24 中国人寿广东省分公司中国人寿广东省分公司公司层面的内部控制的定义公司层面的内部控制的定义根据COSO内控框架,公司层面的内部控制由以下五个部分组成:1.控制环境2.风险评估3.控制活动4.信息与沟通5.监督 中国内部审计协会于2003年6月1日颁布实施的内部审计具体准则(第5号)内部控制第5条,亦明确公司的内部控制是由上述五个部分组成的。公司要建立完善的财务报告内控,就要从这五方面着手,因为它们是内控的根基,它们会影响到公司风险管理每个环节的工作。25 中国人寿广东省分公司中国人寿广东省分公司COSO内控框架内控框架n控制环境控制环境反映了股东、董事
16、会和管理层对内控重要性的认识和态度,同时也反映了管理层对财务报告的理念。财务报告的编制及其相关的内控都在公司控制环境中运作,所以,控制环境的好与坏直接影响公司处理数据出错或会计判断上出错的风险。主要包括:-公司纪律与架构、公司文化、员工风险意识-诚信原则和道德价值观、董事会/审计委员会成员的独立性等等合规性合规性运营运营财务报告财务报告功功能能单单位位业业务务单单位位控制环境控制环境风险评估风险评估控制活动控制活动信息与沟通信息与沟通监督监督26 中国人寿广东省分公司中国人寿广东省分公司COSO内控框架内控框架n风险评估-风险评估是决定如何进行风险管理的基础。-风险评估是识别及分析那些可能影响
17、公司达到其公司目标的事件或条件。-一套行之有效的内控系统是能让公司识别、分析和管理风险的机制。鉴于风险会随着环境及其他因素的改变而发生变化,风险评估及恰当的判断对于有效控制风险发挥着关键作用。合规性合规性运营运营财务报告财务报告功功能能单单位位业业务务单单位位控制环境控制环境风险评估风险评估控制活动控制活动信息与沟通信息与沟通监督监督27 中国人寿广东省分公司中国人寿广东省分公司COSOCOSO内控框架内控框架n控制活动 控制活动是一套帮助公司执行管理层规则的政策和程序。控制活动包括制定政策及相关的实施步骤,为管理层提供正确导向,以完成公司目标。控制活动存在于公司内的各个阶层和职能间。合规性合
18、规性运营运营财务报告财务报告功功能能单单位位业业务务单单位位控制环境控制环境风险评估风险评估控制活动控制活动信息与沟通信息与沟通监督监督28 中国人寿广东省分公司中国人寿广东省分公司COSOCOSO内控框架内控框架n信息与沟通-信息与沟通是获取和交换信息的程序,以使公司能够正常运行,并得到适当的管理及控制。-信息与沟通是指获取并向适当的人员提供其履行职责所必需的信息,包括其与财务报表层次的内部控制有关的个人角色及职责认定。-记录信息系统的整体环境,交流及监督控制是否足够、完善。合规性合规性运营运营财务报告财务报告功功能能单单位位业业务务单单位位控制环境控制环境风险评估风险评估控制活动控制活动信
19、息与沟通信息与沟通监督监督29 中国人寿广东省分公司中国人寿广东省分公司COSOCOSO内控框架内控框架n监督监督是对一定时期内内部控制执行质量的评价程序,考虑相关内部控制是否能够满足最初设计的目标,并保证在不同情况下进行适当的修改。考虑并记录是否定期对内部控制进行评价;管理当局是否采纳内部和外部审计师关于内部控制的建议;是否存在内部审计部门以协助管理当局进行监督。合规性合规性运营运营财务报告财务报告功功能能单单位位业业务务单单位位控制环境控制环境风险评估风险评估控制活动控制活动信息与沟通信息与沟通监督监督30 中国人寿广东省分公司中国人寿广东省分公司公司层面内部控制调查问卷公司层面内部控制调
20、查问卷n安永根据COSO框架对内部控制公司层面的五个考虑要素进行了总结与分析,汇总形成了公司层面应考虑的12个关键控制领域:A员工行为守则B反舞弊程序C人力资源程序D风险识别、评估与管理E经营计划与经营业绩分析F内部审计G审计委员会及董事会H管理层基调与态度I公司政策与流程J内部控制活动K信息与沟通L投资策略与管理这12个关键控制领域与中国人寿的外部审计师-普华永道会计师事务所针对公司层面控制审计的范围要求基本一致。31 中国人寿广东省分公司中国人寿广东省分公司关键控制领域与关键控制领域与COSO的关系的关系:32 中国人寿广东省分公司中国人寿广东省分公司公司层面内部控制调查问卷的范围:公司层
21、面内部控制调查问卷的范围:为此次公司层面内控测试中需要考虑的部分33 中国人寿广东省分公司中国人寿广东省分公司第四部分第四部分工作方法和步骤工作方法和步骤34 中国人寿广东省分公司中国人寿广东省分公司 公司层面整体评估主要是通过调查问卷及访谈的方式,针对公司的内部控制环境和控制活动等,在宏观层面上对公司的内部控制进行了解和评价,以便管理层能尽早发现和反馈问题,并采取相应改进措施。404条款遵循工作的焦点在于财务报告内部控制,他不仅要求内部控制的设计有效性,还强调留下内部控制有效运行的证据。因此除了对问卷的问答和填写外,还要求提供所有证明内控有效运行的书面证据。35 中国人寿广东省分公司中国人寿
22、广东省分公司 根据内部控制五要素各个方面问题性质的不同,将其划分到各个职能部门,形成分部门的公司层面评估问卷。由各部门负责人出具本部门的评估问卷,由评估小组组织人员汇总出具公司整体的XX分公司层面内部控制调查问卷,由相关部门提供相关支持性文档;测试负责人填写 XX分公司层面评估测试底稿XX分公司层面评估支持性文档清单,被测试公司的XX分公司层面评估发现问题汇总表 36 中国人寿广东省分公司中国人寿广东省分公司37 中国人寿广东省分公司中国人寿广东省分公司第一步:前期准备工作第一步:前期准备工作1、成立评估小组,进入准备阶段2、制定实施方案,明确职责分工、时间任务3、下发填写调查问卷通知、调查问
23、卷和填写指引,落实管理层访谈时间表和员工访谈时间表。4、准备培训材料5、完成推广培训 管理层培训、工作组和404岗人员培训、全体员工培训6、办公室提供各部门文件清单38 中国人寿广东省分公司中国人寿广东省分公司第二步:各部门负责人填写调查问卷第二步:各部门负责人填写调查问卷1、各部门填写问卷前,取得本部门接收的和制定的制度文件清单2、总经理室成员、各部门负责人完成调查问卷填写3、办公室协助总经理室准备相关支持性文档,部门员工协助部门负责人准备相关支持性文档,评估小组成员及时解答有关问题4、调查问卷和相关支持性文档(纸质或电子版)提交评估小组39 中国人寿广东省分公司中国人寿广东省分公司第三步:
24、评估小组审阅调查问卷第三步:评估小组审阅调查问卷1、根据总公司的“控制要求”,对照各部门的“控制描述”和提供的支持性文档内容,对需要进一步了解的控制情况,拟订补充访谈提纲,整理相关支持性文档,并整理支持性文档检查清单。2、根据各部门的“控制描述”,在总公司“测试步骤”基础上,按实际情况对测试步骤进行调整,注意一般只增加不得减少原有测试步骤。3、按照“测试步骤”所列内容,准备对各部门负责人的测试访谈提纲。4、准备好对25名员工访谈测试的有关问题和表格40 中国人寿广东省分公司中国人寿广东省分公司第四步:评估小组对管理层进行访谈第四步:评估小组对管理层进行访谈1、根据访谈时间表安排,按事先准备的补
25、充访谈提纲,分别对总经理室、各部门经理进行对进行访谈。2、同时,按事先准备的测试访谈提纲完成测试步骤需要的访谈内容3、访谈当天要完成工作底稿相关内容的整理,并提交审阅人审阅。4、注意利用访谈机会,与管理层沟通,达成共识41 中国人寿广东省分公司中国人寿广东省分公司第五步:控制测试及发现问题汇总第五步:控制测试及发现问题汇总1、控制测试大致分为管理层访谈、测试样本审阅、一般员工访谈3种方式2、管理层访谈在第四步已完成3、测试样本审阅:在访谈当天,提交测试所需样本清单,并确定取得样本的时间,及时取得样本进行测试样本审阅。4、员工访谈:抽取25名员工,对员工行为守则、反舞弊程序、人力资源程序有关控制
26、进行访谈测试5、测试当天完成测试工作底稿有关内容,形成发现问题汇总表42 中国人寿广东省分公司中国人寿广东省分公司第六步:汇总审阅工作底稿第六步:汇总审阅工作底稿1、评估小组各流程负责人汇总整理本流程工作底稿,提交审阅人2、审阅人总体审阅,3、修改、补充工作底稿43 中国人寿广东省分公司中国人寿广东省分公司第七步:反馈评估工作底稿第七步:反馈评估工作底稿1、向总经理室、各部门负责人反馈工作底稿,沟通缺陷问题2、管理层回馈及整改措施由当地公司管理层对识别的控制缺陷提供其反馈意见以及具体的整改措施。2、最终报总经理审阅。44 中国人寿广东省分公司中国人寿广东省分公司第八步:评估工作底稿签名第八步:
27、评估工作底稿签名各部门负责人和测试人、审阅人签名,提交总经理签名确认,完成评估工作底稿。1、调查问卷应在测试完成所有控制缺陷已识别确认后,由被访谈对象、问卷填写人、测试执行人共同签字确认。2、测试工作底稿应在测试完成所有控制缺陷已识别确认后,由测试执行人签字确认。3、发现问题汇总表:应由相关负责人审核后签字确认。45 中国人寿广东省分公司中国人寿广东省分公司公司层面评估形成的文档公司层面评估形成的文档46 中国人寿广东省分公司中国人寿广东省分公司公司层面评估形成的文档公司层面评估形成的文档:最终报告1、公司层面内部控制调查问卷2、控制测试工作底稿3、支持性文档检查清单与支持性文档4、发现问题汇
28、总表过程文档(保存备查)1、访谈25名员工的底稿2、各部门调查问卷47 中国人寿广东省分公司中国人寿广东省分公司第五部分第五部分 评估工作底稿的填写及注意事项评估工作底稿的填写及注意事项48 中国人寿广东省分公司中国人寿广东省分公司关键控制领域的概述关键控制领域的概述:一、员工行为守则:员工行为守则是指导员工行为的基本准则和指引。公司层面的内部控制在这一领域主要强调员工守则的基本内容、员工守则的拟定、审批和下发程序,以及公司与员工之间就员工守则建立的沟通、汇报与监督机制等。二、反舞弊程序:反舞弊程序侧重强调检举揭发机制。检举揭发机制向员工提供了向上汇报的各种渠道,公司员工有责任也有义务就其所知
29、晓的潜在的舞弊或违规事件向适当的管理层汇报,管理层(包括董事会、审计委员会)应就所接收到的汇报及时的反馈并开展必要的调查、评估。49 中国人寿广东省分公司中国人寿广东省分公司关键控制领域的概述(续)关键控制领域的概述(续):三、人力资源程序:该部分从人力资源管理的各方面阐述了公司层面控制的相关要求 公司组织架构、人力资源计划与预算、人力资源招聘、人力资源培 训、人力资源管理等。四、风险识别、评估与管理:公司建立一套行之有效的风险控制体系,使得公司能够适时识别所面临的潜在风险、并对潜在风险进行全面的评估并考虑采取相应的措施预防风险、或减低、转移风险所带来的影响。50 中国人寿广东省分公司中国人寿
30、广东省分公司关键控制领域的概述(续)关键控制领域的概述(续):五、经营计划与经营业绩分析:该部分从经营计划的制定、预算的编制和经营业绩分析三方面阐述了公司层面内部控制的相关要求。六、内部审计:内部审计部门通过系统的方法,独立、客观地评估和促进公司的风险管理、控制和公司管治水平,确保董事会及管理层所制定的准则、流程及内控得到遵循。内部审计部门应从其组织结构上应保证其独立性与客观性,其工作职责范围必须有书面的章程做出明确的指引,并且制定详细的工作计划。内部审计部门的工作应由具备胜任能力的人来完成,并且定期进行自我评估。51 中国人寿广东省分公司中国人寿广东省分公司关键控制领域的概述(续)关键控制领
31、域的概述(续):七、审计委员会及董事会:美国证监会和上市公司会计监管委员会对审计委员会的人数、人员胜任能力以及审计委员会的职责都有明确的要求,中国人寿需要充分了解这些内容,并相应的完善公司的管治结构。董事会作为公司最高监管机构,可以通过设立专门委员会的方式明确并实现董事会的监管职能。八、管理层基调与态度:管理层基调和态度是公司道德规范和公司文化环境的建设的基础。问卷列举了公司层面内部控制对管理层基调和态度的主要内容。52 中国人寿广东省分公司中国人寿广东省分公司关键控制领域的概述(续)关键控制领域的概述(续):九、公司政策与流程:公司应制定一套全面的制度政策与标准化的流程,并将该政策与流程全面
32、下发并实施。制度政策与标准化流程的建立和更新需要特别关注新旧制度政策的衔接问题,以及相悖内容的解释方式等等。十、内部控制活动:控制目标需要通过日常活动中具体的内部控制活动来实现。关键岗位职责分离、资产安全、适当的授权与审批等重要的内部控制活动应该体现在流程层面的具体的控制环节中并保证其有效的实施。53 中国人寿广东省分公司中国人寿广东省分公司关键控制领域的概述(续)关键控制领域的概述(续):十一、信息与沟通:适当的内部控制能够确保信息系统能够识别、获得、处理和报告各种信息。沟通贯穿于信息处理的整个过程中。沟通更广泛的意义在于适时处理个人和团体的期望与职责。有效的沟通必须在整个公司内进行;也包括
33、在外部进行的沟通中。十二、投资策略与管理:有效的投资管理,必须针对公司的经营特点,制定与公司的公司文化相结合的投资管理政策和程序,通过提前对风险进行识别和规避,有效管理投资,以改善投资效益和增加投资回报。54 中国人寿广东省分公司中国人寿广东省分公司省市分公司层面工作重点省市分公司层面工作重点:一、文档记录:在分公司这一级上,公司层面的许多工作内容主要是对执行总公司相应规章制度的执行。因此,在文档记录工作方面,也需要重点针对相应规章制度的执行进行文档记录工作。从404工作的重点来看,不仅仅要求公司有相应的规章制度,更重要的是规章制度的执行,且执行过程和结果有据可查。文档记录必须侧重于公司层面控
34、制的执行情况,并保证对相应的执行情况有具体、详细的描写。只有对控制进行具体、详细的描写,才能够通过控制测试工作,对内部控制的执行情况进行测试。55 中国人寿广东省分公司中国人寿广东省分公司省市公司公司层面工作重点省市公司公司层面工作重点:二、控制测试:控制测试工作是为保证公司层面的内部控制得到有效执行。因此对公司层面的控制测试工作,工作方式与流程层面的测试工作方式、测试文档要求基本一致。56 中国人寿广东省分公司中国人寿广东省分公司公司层面内部控制调查问卷(范例):公司层面内部控制调查问卷(范例):57 中国人寿广东省分公司中国人寿广东省分公司二、填写问卷二、填写问卷:公司层面内部控制调查问卷
35、(范例):公司层面内部控制调查问卷(范例)58 中国人寿广东省分公司中国人寿广东省分公司二、填写问卷(续)二、填写问卷(续):公司层面内部控制调查问卷填写指引:公司层面内部控制调查问卷填写指引59 中国人寿广东省分公司中国人寿广东省分公司二、填写问卷(续)二、填写问卷(续):公司层面内部控制调查问卷填写指引:公司层面内部控制调查问卷填写指引60 中国人寿广东省分公司中国人寿广东省分公司二、填写问卷(续)二、填写问卷(续):注意事项:注意事项:1.填写指引填写指引填写指引是由总公司内控合规部填写的,并结合了安永在福填写指引是由总公司内控合规部填写的,并结合了安永在福建、建、浙江两省的四个试点公司
36、总结出的经验。提供填写指引浙江两省的四个试点公司总结出的经验。提供填写指引的目的是为了使问卷填的目的是为了使问卷填写人、问卷审阅人和测试执行人能更写人、问卷审阅人和测试执行人能更充分的了解充分的了解“控制要求控制要求”的含义。的含义。对填写指引的对填写指引的“滥用滥用”:只写“有/包括/是/没有”根据填写指引的内容将所有回答都会变成 “已。”句型的陈述句。61 中国人寿广东省分公司中国人寿广东省分公司案例案例1-162 中国人寿广东省分公司中国人寿广东省分公司案例案例1-263 中国人寿广东省分公司中国人寿广东省分公司二、填写问卷(续)二、填写问卷(续):注意事项:注意事项:2.中国人寿的控制
37、描述中国人寿的控制描述应根据问卷中应根据问卷中“控制要求控制要求”的描述,结合的描述,结合“填写指引填写指引”提供的思提供的思路,详细描述本公司具体的控制活动。路,详细描述本公司具体的控制活动。对具体控制活动的描述不能仅以对具体控制活动的描述不能仅以“是是”回答,描述应满足以下回答,描述应满足以下内容:内容:由“谁/哪(几)个部门”,根据“什么制度/法规”的要求,在“什么情况下”,“多久”,“如何具体实施”控制活动,以及控制活动实施后形成的“什么”书面文档。如果不存在相关控制,填写人也需要填写当前针对这些控制如果不存在相关控制,填写人也需要填写当前针对这些控制要要求中国人寿的具体做法(即使这些
38、做法是不恰当或不合适求中国人寿的具体做法(即使这些做法是不恰当或不合适的),不能的),不能仅仅以仅仅以“不存在该控制不存在该控制”作为回答。作为回答。64 中国人寿广东省分公司中国人寿广东省分公司二、填写问卷(续)二、填写问卷(续):注意事项:注意事项:3.规章制度索引规章制度索引/实施记录索引实施记录索引要求将控制活动描述中所涉及的支持性文档:相关规章制度要求将控制活动描述中所涉及的支持性文档:相关规章制度或实施记录汇或实施记录汇总在附件一总在附件一支持性文档检查清单支持性文档检查清单中,并按中,并按照文档编号要求进行顺序编照文档编号要求进行顺序编号,将文档的索引编号填写在此号,将文档的索引
39、编号填写在此栏。栏。65 中国人寿广东省分公司中国人寿广东省分公司案例案例2-166 中国人寿广东省分公司中国人寿广东省分公司案例案例2-267 中国人寿广东省分公司中国人寿广东省分公司二、填写问卷(续)二、填写问卷(续):注意事项:注意事项:4.缺陷的填写缺陷的填写缺陷(缺陷(6):填写人需要比较提供的):填写人需要比较提供的“控制要求控制要求”与自己填写与自己填写“中中国人寿控制描述国人寿控制描述”,并做出判断,识别是否现有的控制中,并做出判断,识别是否现有的控制中已存在缺陷。已存在缺陷。填写人应当根据自己的判断,详细描述缺陷的填写人应当根据自己的判断,详细描述缺陷的内容,判断缺陷的类型:
40、控制设内容,判断缺陷的类型:控制设计缺陷控制执行缺陷。计缺陷控制执行缺陷。缺陷(缺陷(9):测试的执行人需要根据测试的结果,比较):测试的执行人需要根据测试的结果,比较“中国中国人寿控制描述人寿控制描述”填写的内容作出判断。通常在这里出现的应该填写的内容作出判断。通常在这里出现的应该是控制执行缺陷,即控制未按设计是控制执行缺陷,即控制未按设计执行而导致的缺陷。执行而导致的缺陷。68 中国人寿广东省分公司中国人寿广东省分公司情景分析情景分析:情景一:问卷填写人在问卷填写时已将控制活动的设计缺陷或者执行缺陷识别出来,并将具体的缺陷内容填写在缺陷(6)中,测试执行人通过访谈与测试再次确认了这一缺陷是
41、存在的,那么同样的缺陷内容也应在缺陷(9)中填写。情景二:问卷填写人在缺陷(6)中填写了控制活动的设计缺陷或者执行缺陷,但是测试执行人经过访谈和测试确认:1)问卷填写人对缺陷的判断是错误的,或者2)存在其他替代的支持性文档能证明该控制是有效的,则应该将缺陷(6)中的缺陷描述删除,并修改为“否”,缺陷(9)中也同样填写“否”。情景三:问卷填写人在问卷填写时未将控制活动的设计缺陷或者执行缺陷识别出来,在缺陷(6)中填写了“否”,但是测试执行人在访谈确认和测试时发现该控制活动存在缺陷,缺陷(9)中应填写“是xxx”,描述具体测试出的缺陷内容,无须修改缺陷(6)已填写的内容。69 中国人寿广东省分公司
42、中国人寿广东省分公司案例分析(续)案例分析(续):情境四:针对某一控制要求,公司目前已下发了明确的规章制度可以做为支持性文档,但是由于测试时控制活动尚未发生(比如:员工行为守则发放后没有新员工入职等):填写人应在缺陷(6)中填写“否”表示控制设计不存在缺陷,即制度的内容是合理可行的,在缺陷(9)中填写“不适用”表示没有样本可以测试,无法判断控制活动实施的有效性。注:遇到这种情况,首先应判断相关的规章制度中的内容是否合理,若制度本身存在不足或缺陷,那么就应作为控制设计上的缺陷识别出来在缺陷(6)与(9)中填写,不会因为没有样本进行测试而填写“不适用”了。70 中国人寿广东省分公司中国人寿广东省分
43、公司案例分析(续)案例分析(续):1、对于缺陷/发现问题的判断-对于在访谈中发现的问题,例如控制力度不足、实施不充分等等,都要做为缺陷识别出来。-在控制描述中已涉及了某些支持性文档记录,而在测试时无法获得,需要相关部门负责人解释原因,并考虑是否需要作为缺陷识别出来。-如果支持性文档不能体现相应控制内容,需要获得另外的支持性文档;如果所提供的文档记录不能充分证明控制内容存在或者有效,要再次与访谈对象确认并考虑是否需要将该问题作为缺陷识别出来。-如果最终获得的支持性文档不能支持控制活动的存在性与有效性,而导致判断该控制存在缺陷,则需要将该文档内容的具体描述、和不能满足要求的原因详细填写在“附注/解
44、释”一栏中。其他注意事项其他注意事项71 中国人寿广东省分公司中国人寿广东省分公司二、填写问卷(续):二、填写问卷(续):注意事项:注意事项:5.测试步骤测试步骤问卷中已列示的测试步骤是根据问卷中已列示的测试步骤是根据“控制要求控制要求”拟定的,测试执行人应根拟定的,测试执行人应根据填写完的据填写完的“中国人寿的控制描述中国人寿的控制描述”进行相应的调整,考虑原有测试步进行相应的调整,考虑原有测试步骤的是否仍然适用。骤的是否仍然适用。72 中国人寿广东省分公司中国人寿广东省分公司二、填写问卷(续):二、填写问卷(续):注意事项:注意事项:6.测试底稿索引测试底稿索引公司层面内部控制测试底稿应进
45、行统一编号,并索引在问卷中的公司层面内部控制测试底稿应进行统一编号,并索引在问卷中的这这一列。如:一列。如:ELT-A-T1/ELT-A-T2其中“ELT”是公司层面测试(Entity Level Testing)的英文缩写,“A”为问卷员工行为守则的字母代号,“T1/T2”为该部分的第一个/第二个测试,以此类推。73 中国人寿广东省分公司中国人寿广东省分公司二、填写问卷(续):二、填写问卷(续):注意事项:注意事项:7.管理层回馈及整改措施管理层回馈及整改措施由当地公司管理层对识别的控制缺陷提供其反馈意见以及具由当地公司管理层对识别的控制缺陷提供其反馈意见以及具体的整改措施。体的整改措施。反
46、馈意见应首先明确管理层是否认可已识别的控制缺陷,针对相应的缺陷给出具体的整改措施,包括:整改措施的具体内容、负责部门、完成时限等。这里的描述应该与发现问题汇总表中的整改计划和管理层对策及反馈保持一致。74 中国人寿广东省分公司中国人寿广东省分公司二、填写问卷(续)二、填写问卷(续):其他其他注意事项:注意事项:如果采取将问卷拆分至各个部门的方式,需要由专人负责合并及初步审阅,以如果采取将问卷拆分至各个部门的方式,需要由专人负责合并及初步审阅,以保证其内容的一致性和逻辑关系的连贯性;(建议各公司安排专人负责问卷的保证其内容的一致性和逻辑关系的连贯性;(建议各公司安排专人负责问卷的审阅审阅)75
47、中国人寿广东省分公司中国人寿广东省分公司三、问卷初步审阅、访谈确认及问卷修改三、问卷初步审阅、访谈确认及问卷修改:问卷初步审阅:问卷初步审阅:问卷的审阅人必须非常了解问卷的整体构架和编制思路,能够做到对整体内容的把握。问卷的审阅人必须非常了解问卷的整体构架和编制思路,能够做到对整体内容的把握。问卷的审阅人需要仔细阅读各部门的回答,判断其内容是否一致、逻辑性是否清问卷的审阅人需要仔细阅读各部门的回答,判断其内容是否一致、逻辑性是否清晰,提出问卷描述中不够详尽的地方,要求问卷填写人补充。晰,提出问卷描述中不够详尽的地方,要求问卷填写人补充。问卷的审阅人在审阅过程中需要及时与总公司内控合规部及安永咨
48、询师就难以把握的问卷的审阅人在审阅过程中需要及时与总公司内控合规部及安永咨询师就难以把握的问题进行讨论。问题进行讨论。76 中国人寿广东省分公司中国人寿广东省分公司三、问卷初步审阅、访谈确认及问卷修改(续)三、问卷初步审阅、访谈确认及问卷修改(续):访谈确认及问卷修改:访谈确认及问卷修改:访谈的态度要积极和坦诚。访谈的语气要平缓,避免过激或者消极的口吻;访谈的态度要积极和坦诚。访谈的语气要平缓,避免过激或者消极的口吻;访谈前应详细阅读公司层面内部控制的调查问卷,归纳相关部门所涉及的问题,并据访谈前应详细阅读公司层面内部控制的调查问卷,归纳相关部门所涉及的问题,并据此准备访谈提纲以及相应需要提供
49、的支持行文档清单;此准备访谈提纲以及相应需要提供的支持行文档清单;在访谈过程中,完整准确地记录访谈的内容,避免内容的偏差;在访谈过程中,完整准确地记录访谈的内容,避免内容的偏差;访谈后,及时整理访谈内容,修改问卷。归纳需要再次访谈确认的问题或第一次访谈访谈后,及时整理访谈内容,修改问卷。归纳需要再次访谈确认的问题或第一次访谈中遗漏的问题;(二次访谈可以采取电话访谈的方式)中遗漏的问题;(二次访谈可以采取电话访谈的方式)77 中国人寿广东省分公司中国人寿广东省分公司四、完成测试底稿及支持性文档清单四、完成测试底稿及支持性文档清单:公司层面内部控制测试底稿(范例)78 中国人寿广东省分公司中国人寿
50、广东省分公司四、完成测试底稿及支持性文档清单四、完成测试底稿及支持性文档清单:测试底稿 填写指引79 中国人寿广东省分公司中国人寿广东省分公司四、完成测试底稿及支持性文档清单四、完成测试底稿及支持性文档清单:测试底稿 填写指引80 中国人寿广东省分公司中国人寿广东省分公司四、完成测试底稿及支持性文档清单四、完成测试底稿及支持性文档清单:测试底稿 填写指引81 中国人寿广东省分公司中国人寿广东省分公司四、完成测试底稿及支持性文档清单(续)四、完成测试底稿及支持性文档清单(续):注意事项:注意事项:测试底稿填写前,仔细阅读测试底稿的填写指引测试底稿填写前,仔细阅读测试底稿的填写指引测试底稿必须与测
黑公网安备:91230400333293403D