(6)人力资源政策与实务 控制目标 人事政策中强调员工需保持适当的伦理和道德标准 关键管理人员具备岗位所需的丰询问、检查 富知识和经验 询问、检查 拟实施的风险评估程序 被审计单位的控制 询问 观察 检查 结论 存在的缺陷 将职业道德和专业能力作为选拔和聘用员工的重要标准,切实加强员工培训和继续教育,不断提升员工素质。 人力资源部定期进行专业人员的专业化考试,建立轮岗、交流机制,培养专业人员全面的知识和技能。每年人力资源部制定相关培训计划,组织具体培训活动 询问副总经理 检查员工评价文件 控制设计合理,并不适用 得到执行 询问副总经理 检查关键管理人员培训记录 控制设计合理,并不适用 得到执行 2.了解和评价被审计单位的风险评估过程 控制目标 建立公司整体目标并传达到相关询问、检查 层次 拟实施的风险评估程序 被审计单位的控制 公司根据既定的发展策略,结合不同发展阶段和业务拓展情况,全面系统持续地收集相关信息,及时进行风险评估,动态进行询问 观察 检查 结论 控制设计合理,并不适用 得到执行 存在的缺陷 询问总经理 检查公司整体目标文件 26
风险识别和风险分析,并相应调整风险应对策略 公司由相关部门负责对经济形势、产业政策、市场竞争、资源供给等外部风险因素各级管理人员参与制定目标 询问、检查 以及财务状况、资金状况、资产管理、运营管理等内部风险因素进行收集研究,并采用定量及定性相结合的方法进行风险分析及评估,为管理层制订风险应对策略提供依据 2012 年度,面对复杂的市场形势及各种建立风险识别和应对机制处理具有普遍影响的变化 询问、检查 新的挑战,公司着重于提升专业能力和管理效率,致力改善经营质量,促进公司发展由规模速度型向质量效益型转变,坚持稳健的经营策略,发挥“战略纵深”优势,量出为入”进行存货管理
询问总经理 检查风险管理手册 控制设计合理,并不适用 得到执行 询问总经理 检查业务目标文件 控制设计合理,并不适用 得到执行 27
3.了解和评价控制信息系统与沟通 (1)与财务报告相关的信息系统。
控制目标 信息系统向管理层提供有关被审计单位经营的相关信息 询问、检查 拟实施的风险评估程序 被审计单位的控制 询问 观察 检查 结论 存在的缺陷 公司制定了包括《信息管理办法》、《信息保密制度》等在内的各项制度,规范公司内经营管理信息传递活动 公司致力于信息安全管理体系建设,制定了一系列信息安全方针、策略和制度,以询问企划部 检查企业获取的外部信息 控制设计合理,并不适用 得到执行 提供适当的人才和财力开发必需询问、检查 的信息系统 保护公司信息资产安全。 流程与信息管理部作为信息化工作的执行及管理机构,负责公司财务系统、业务运营系统和办公管理系统的规划、开发与管理,组织公司各类信息系统的开发与维护,在全公司范围内提供信息系统共享服务 询问财务部经 理 控制设计合理,并不适用 得到执行
28
(2)沟通。 控制目标 拟实施的风险评估程序 被审计单位的控制 对客户,公司设立了多种投诉沟通渠道,管理层与客户、供应商、监管者和其他外部人士有效地沟通 询问、检查 与客户进行良性互动;对投资者,除了法定信息披露渠道,投资者还可以通过电话、电子邮件、直接到访公司、参与公司组织的网络路演和见面会等方式了解公司信息,通过互动加强对公司的理解和信任;对合作伙伴,倡导合作共生共赢,保持良好的合作关系 就岗位职责与员工进行的有效沟询问、检查 通 管理层认真听取和采纳员工提出询问 的改进意见
对员工,设立多条内部沟通渠道,保证询问副沟通顺畅有效, 万科统一要求签订阳光合作协议,表明万科价值观和对员工的廉洁要求,明确举报渠道 总经理 检查企业员工培训记录 控制设计合理,并不适用 得到执行 控制设计 合理,并不适用 得到执行 询问总经理 检查投诉记录的追踪记录 控制设计合理,并不适用 得到执行 询问 观察 检查 结论 存在的缺陷 询问总经理 29
4.了解和评价被审计单位对控制的监督 (1)持续监督。
控制目标 拟实施的风险评估程序 被审计单位的控制 通过常规检查、专项检查以及聘请第三方检查等多种形式对各业务领域的控制执行情况进行评估和督查 询问 观察 检查 具体策略和业务流程层面目标相关文件 结论 存在的缺陷 内部控制制度对询问、检查 常规工作活动有效运行的保障程度能够评价 内部控制定期评询问、检查 价 询问内 部审计部门经理 控制设计合理,并不适用 得到执行 公司已经建立起涵盖总部、区域、一线询问内 三个层面的监督检查体系,定期评价内部控部审计制 部门经理 公司整体目标文件 控制设计合理,并不适用 得到执行 内部审计工作有询问 效 审计监察部履行内部反舞弊职能,开展专项调查,监事会建立了对各子公司的巡查机制,现场走访、员工约谈 询问内 部审计部门经理 控制设计合理,并不适用 得到执行 管理层能够获得询问、检查 公司设立专门负责受理违反职业道德行询问人 检查培训记录 控制设计不适用 30