制建设有效性的一项重大项目来抓,经过两年多的摸索、实践,逐步建立健全了内部控制评审体系,积累了一些经验。 (1)制订评审工作计划 中国联通根据公司的业务特点,制订了内部控制评审工作计划,包括明确职责、确定评审范围、明确具体测试时间、确定被评审单位等各方面。在明确各个层面以及各个部门的职责方面,总部各部门、各省分公司的主要负责人是内部控制建设工作的第一责任人,从总部到各省级分公司、各地市级分公司均要设立内部控制办公室,负责具体的组织协调工作;在确定评审范围时,重点关注重要会计科目、重要经营场所、重要业务流程、流程风险评估、关键控制及相互之间的匹配关系,还制定了统一的记录、测试和报告标准及对应的测试方法;为保证评审工作的有效执行,在确定测试执行人员、职责分工后,明确分段测试具体时间,如应当在年末以前就对其年末流程和程序进行复核,以确保年末流程和程序设计的有效性等;在确定被评审单位方面,按照自上而下的评价方法,省分公司为必审单位;按照重要性原则,省会城市和资产或收入规模占全国汇总的0.4%以上的地市分公司为必审单位,按照风险的重要程度,以前年度发生过财务报告错报、舞弊行为,或公司内、外各项检查、审计中发现重大问题的地市分公司为必审单位。 (2)组织评审人员培训 中国联通在进行内部控制评审前,组织评审人员进行了集中培训,对参与培训的人员明确内部控制建设评审工作的整体要求,要求参与培.训的人员重点掌握内部控制建设评审的方法和对关键控制点的分析评价,统一评价标准,并教育评审人员要遵循以下五项原则:独立性、客观性、规范性、全面性的原则,自上而下的原则,关注重点的原则,注重效果的原则,注重文档记录的原则。 (3)评审实施 各评审小组成员要根据《中国联通省级分公司内部控制规范》所确定的控制措施编制《内部控制评审工作底稿》,依据《内部控制评审工作底稿》的具体要求对《内部控制制度规范》设计的健全性与执行的有效性进行现场测试。 ①中国联通内部控制评审的主要内容包括控制环境评审、控制活动评审和IT信息系统控制评审。控制环境评审主要包括检查《员工职业道德守则》、《不相容职务相互分离暂行规定》、《风险评估管理办法》及《反舞弊暂行规定》等制度的培训和规范执行情况、检查经营信息定期分析、财务数据出现重大波动的分析报告,主要经济活动授权审批,经营发展目标实施以及人力资源政策等控制要求的落实执行情况; 控制活动评审主要围绕资本性支出、收入、成本费用、资金及资产、财务及信息披露以及其他共性六个影响财务信息真实性的业务流程,检查各分公司内部控制制度的健全性及执行的有效性;依掂控制活动发生的频率,抽取一定数量的样本,测试各项控制措施的执行情况和效果。IT信息系统控制评审基本围绕信息系统总体控制和应用控制的要求,对系统开发及变更管理、数据备份管理、日常维护管理、安全管理、系统自动控制、系统用户权限和电子表格管控等情况进行检查,同时针对各省分公司IT管控指标达标率进行评审。 ②为保证公司资金安全,中国联通在进行内部控制各环节的评审的同时,也对资金安全状况进行了调查。内容包括非正常开立银行账户或存款、3个月以上(含3个月)银行未达账项、12个月以上应收款项等。 ③中国联通在完成上述工作的基础上,统一了现场评审需提交的主要工作文档,要求各评审小组按照文档内容的要求填写完整,并经评审人员、评审小组负责人、被测评单位签字盖章确认,以利于评审各环节的责任认定。 ④在现场评审工作中,中国联通从强调时点、文档记录的重要性、评审工作底稿三个方面入手,确保评审的有效性。 (4)提交评审报告 中国联通要求各评审小组在评审现场结束后一周内提交评审报告和现场评审工作文档,并对评审报告的编制提出了具体的要求,即评审小组出具的评审报告要说明分公司内部控制建设的总体概况、整改目标完成进度,并详细描述未整改的问题,与业务流程相关的关键控制点设计和执行的缺陷,以及有关问题对财务报告的影响,分析问题形成的原因、存在的风险和对分公司整改的具体要求。 (5)评估测试结果 为了确认内部控制是否有效运行,中国联通还要求各评审小组在测试后编制一个有关所有内部控制缺陷、重要缺陷和实质性漏洞的清单,记录每个缺陷的原因并且评估必要的纠正行动,还要对每个纠正后的内部控制缺陷进行重新测试,以证明它的运行有效性,从而为财务报表认定提供支持。 要求: (1)企业内部控制评价的基本流程是什么? (2)企业内部控制评价的方法有哪些?案例中中国联通是如何运用这些方法的? (3)根据案例,简述中国联通是如何开展内部控制评价工作的?