测试过程、测试结果及结论进行书面记录。
(4)测试执行人重新执行控制操作以验证控制执行是否有效。 控制测试应按以下原则选取样本:
(1)针对每个控制环节独立选取样本,样本只需覆盖被测试控制环节即可。 (2)必须随机选取,采用统计抽样的方法。
(3)避免选取穿行测试中已经测试的样本,若穿行测试中测试的为唯一样本,则控制测试可以直接确认穿行测试结果。
控制测试应按以下原则确定控制测试的样本数量与测试结论:
(1)对于每周多次发生的常规业务,在全年随机抽取25个样本,且样本至少分布于3个月中。若3个或以上样本存在异常,则测试结论为控制失效;若2个样本出现异常,需增加15个样本进行补充测试,补充的任何一个样本出现异常,则测试结论为控制失效;其余情况视为控制被有效执行。
(2)对于发生频率介于每周一次至每月一次的业务,在全年随机抽取10个样本,且样本至少分布于3个月中。若2个及以上样本存在异常,则测试结论为控制失效;若其中一个样本出现异常,需增加6个样本进行补充测试,补充的任何一个样本出现异常,则测试结论为控制失效;其余情况视为控制被有效执行。
(3)对于发生频率介于每月一次至每季度一次的业务,在全年随机抽取3个样本。若2个及以上样本存在异常,则测试结论为控制失效;若其中一个样本出现异常,需增加2个样本进行补充测试,补充样本的任何一个出现异常,则测试结论为控制失效;其余情况视为控制被有效执行。
(4)对于发生频率介于每季度一次至每半年一次的业务,在全年随机选取2个样本。若任何一个样本出现异常,则测试结论为控制失效;其余情况视为控制被有效执行。
(5)对于发生频率介于每半年一次至每年一次的业务,在全年随机选取2个样本。若任何一个样本出现异常,则测试结论为控制失效;其余情况视为控制被有效执行。
(6)对于每年发生一次的业务,直接选取该笔业务。若该笔业务出现异常,
- 16 -
则测试结论为控制失效;其余情况视为控制被有效执行。
样本数量和测试结论的确定如表3—1所示。
3—1 控制测试样本数量与测试结论
序号 发生频率 选定样本数量 异常样本数量 补充样本数量 新异常样本数量 测试结论 0 1 1 常规业务 25 2 15 ≥1 ≥3 0 每周发生一次 — — — — 0 10 1 6 ≥1 ≥2 0 每月发生一次 — — — — 0 3 1 2 ≥1 ≥2 每季度发生一次 0 2 ≥1 0 2 ≥1 0 1 1 — — 控制失效 — — — — 控制失效 控制有效 — — — — 控制失效 控制有效 — — — — 控制失效 控制失效 控制有效 控制失效 控制失效 控制有效 控制有效 控制失效 控制失效 控制有效 控制有效 — — — — 0 控制有效 控制有效 控制有效 2 3 4 5 每半年发生一次 6 每年发生一次 - 17 -
由于控制测试的样本选取较为复杂,为更好地规划测试工作,明确责任人以及控制测试成本,在正式进行控制测试之前应该拟定《财务管理内部控制测试计划》(参见模板7)。《财务管理内部控制测试计划》的内容包括测试的内部控制环节、测试所涉及到的职能部门与岗位、测试时间、测试负责人及其测试人员安排等。
评价项目组应采用统一的《财务管理内部控制测试文档》(参见模板8)进行以下控制测试样本记录:
(1)样本基本信息,包括样本涉及的单位层面的财务管理内部控制机制或业务层面的财务管理业务、涉及的管理或业务部门负责人。
(2)对选定的控制测试样本描述,包括样本的取样方法及取样数量。 (3)测试文档记录。其中对于控制测试过程中取得的无异常样本,不需要复印留底;对于存在异常内容的样本,均需要进行复印、编号,并单独存档保管。
(4)计划采用的测试方法,包括询问、观察、审阅以及测试执行人重新执行控制操作等方法。
(5)测试异常描述,对于控制测试中发现的某些控制环节未按设计要求执行的异常情况进行描述。对于测试中发现的异常,应由有关岗位的责任人签字确认。
(6)对内部控制运行有效性的测试结论(控制有效或控制失效)。
3.4 分析并汇总测试结果
在完成测试后,测试人员需要分类汇总被评价单位财务管理内部控制测试过程发现的全部异常情况。
测试结果汇总工作程序如图3—6所示。
流程测试人员分类 财务管理内部控制评价备忘录 分类、评级财务管理内部控制缺陷 财务管理内部控制缺陷汇总表 汇总异常情况 图3—6 测试结果汇总工作程序 - 18 -
汇总后的异常情况由内部控制测试人员编制形成《财务管理内部控制评价结果备忘录》(参见模板9),并需经被评价单位或所涉及的被评价内部控制机制或业务部门负责人签字确认。
财务管理内部控制评价项目负责人汇总所有内部控制环节的《财务管理内部控制评价结果备忘录》后,应该分析这些异常情况中属于内部控制缺陷的事项,将所有内部控制缺陷进行分类评级后,编制《财务管理内部控制缺陷汇总表》(参见模板10)。
财务管理内部控制缺陷按照缺陷的成因或来源,分为设计缺陷和运行缺陷两类:
(1)设计缺陷是指单位缺少为实现控制目标所必需的控制,或现有控制设计不健全、不适当,即使正常运行也难以实现控制目标。
(2)运行缺陷是指内部控制设计健全、适当的情况下,实际运行过程中因未能严格按照设计要求执行,例如执行人员操作不当、执行人员未获得必要的授权或缺乏胜任能力、运行时间或频率不当等,导致内部控制运行与设计不符,未能有效地实施控制。
财务管理内部控制缺陷按照缺陷对控制目标的影响程度,分为重大缺陷、重要缺陷和一般缺陷三类等级:
(1)重大缺陷是指一个或多个控制缺陷的组合,可能严重影响单位内部控制的有效性,导致单位无法及时防范或发现严重偏离控制目标的情形。
(2)重要缺陷是指一个或多个控制缺陷的组合,其严重程度虽低于重大缺陷,但仍有可能导致单位无法及时防范或发现严重偏离控制目标的情形。
(3)一般缺陷是指除重大缺陷、重要缺陷之外的其他缺陷。
内部控制缺陷等级根据由其导致的风险的影响程度和发生可能性确定,具体可以通过计算财务管理内部控制缺陷数值来进行认定。财务管理内部控制缺陷数值的计算公式为:
财务管理内部财务管理内部控制控制缺陷数值=
财务管理内部控制×
风险的影响程度风险发生的可能性- 19 -
财务管理内部控制风险的影响程度可以从合法合规、控制措施、决策程序、内部监督、反舞弊机制、资产损失、财务信息披露、信息安全、声誉以及缺陷整改等10个影响要素综合判断,每个影响要素均由低至高分为1、2、3三个等级,综合影响取适用要素的最大分值。各影响要素风险影响程度的具体评定标准如表3—2所示。
表3—2 各影响要素风险影响程度评定标准
影响等级 3 影响要素 严重违反法规,导致重大诉讼,或导致监合法合规 管机构的调查、责令整顿、追究刑事责任或撤换单位管理层人员/直接责任人员。 一个或多个业务条线缺乏书面化的制度,控制措施 未明确任何控制目标和措施。 违反法规,导致立案调查或诉讼,或导致监管机构罚款并没收违法所得、责令限期整改、警告、通报批评。 一个或多个业务条线虽有书面化的制度,但仅有目标性的描述,未明确具体的控制措施。 违反“三重一大”决策决策程序 程序,违反决策程序或决策程序不科学而导致重大决策失误。 管理层和内部审计机内部监督 构对内部控制的监督无效。 反舞弊机制失效而导反舞弊机制 致领导层的舞弊 管理层和内部审计机构对内部控制的监督部分失效。 反舞弊机制的失效而导致其他管理干部的舞弊 发生重大或特别重大资产损失 资产损失,损失金额大于1500万元或者超过单位资产总额的发生较大资产损失,损失金额大于50万元小于等于1500万元或者超过单位资产总额管理层和内部审计机构对内部控制的监督薄弱。 反舞弊机制的失效而导致一般管理人员或其他员工舞弊 发生较小资产损失,损失金额小于等于50万元,或者小于等于单位资产总额的5%。 违反决策程序或决策程度不科学而导致重要决策失误。 违反决策程序或决策程序不科学而导致一般决策失误。 未根据实际情况,对一个或多个业务条线的现有制度进行实时更新。 存在违反单位内部规定或轻微违反法规的问题,或导致监管机构的不良意见反馈。 2 1 - 20 -