与总体层面控制有关的管理层问询的示例
张玉 编译
使用说明
下表是访谈者面对面同管理成员访谈使用的。该表问题示例构成,是根据控制目标组织在一起的。在每个部分的结论,都要求访谈结果的最初评价进行记录。
问题示例
多数问题示例相对比较客观,着重于管理层采取的行动。这些问题以一种不具威胁性的方式来介绍某一主题。为了形成应答者对该主题的认知、理解和态度,应该后续跟进一些问题。鉴于这些问题将主要取决于对最初问题给予答复得个人。下表只包括了数量有限的后续问题。它们有助于阐明潜在的后续问题。
对答复进行评价
访谈应该充分,可以初步形成对总体层面控制政策有效性的印象。在访谈的基础上,就可以根据下列尺度来评价政策:
• 初始化的/非正式的。 对政策以及如何影响内部控制知之甚少或是不知道。管理层的行为或流程看似特定的,没有很好地予以界定(甚至没有采取任何措施),其态度表明不愿进行变革,并将内部控制和主要经营业务以及其他人的职责相分离。
• 系统性的。对政策以及政策如何促进内部控制有效性有很好的了解。流程看似很好地得到界定,既定的标准可用于指导决策。个人认识到内部控制单位实现其总体目标的不可或缺部分。认可监管与控制职责。有兴趣改进内部控制。
• 整合的/优化的。个人的决策过程辉例行地考虑到内部控制和财务报告的含义要求。个人积极地参与执行和监督控制的有效性。改进内部控制的承诺是通过行动来证明。
表:问题示例
公司文化 备注
1. 制定公司行为守则应遵循的过程是什么?
2. 行为守则是否经常得到审核和更新?
3. 董事会制定行为守则的主要理由是什么?
(1)目标已实现吗?
是 你如何告知?
否 实现该目标的主要障碍是什么?
4. 如果管理层意识到某一无法接受行为的断言,调查该事务的流程是什么?
(1)你是否有任何具体的例子?员工看到的管理层对这件事的
行动是怎样的?
5. 董事会是否识别出引发员工不道德行为的薪酬政策或其他激励?
是 它们是什么?你们怎样监控这些可能是非故意结果的政策?
否 当制定激励政策和方案时应考虑的标准是什么?
6. 管理层是否知道近三年的控制缺陷?
(1)你是如何知道的?
(2)采取过什么行动?
7. 你是否获得了有效开展工作所需的各项信息?
是 这些信息可靠吗? 及时吗?
否 是否有所遗漏?
8. 董事会是否定期讨论公司的文化和“高层基调”以及这些内容是如何影响控制的总体效果的?
是 董事会得出了什么观察结论?
否 什么情况妨碍你这么做?
(1)你认为该公司已经制定创建有效控制环境的行为标准吗?
评估:
与公司文化相关的政策似乎可分(等级)
初始化的/非正式的 系统性的 整合的优化的
单位人事制度 备注
1. 管理层如何确定本公司的总体组织结构?
(1) 最近一次检查组织结构的持续相关性和有效性的时间?
(2) 你如何确定该结构是有效的?
(3) 在评价公司组织结构时,如何考虑内部控制和财务报告事项?
2. 存在用于决定哪些职责应委托给下级的正式程序吗?
(1) (是或否)。你如何保证职责、授权和问责制相关并在同一个单元中体现?
3. 确定员工有效履行其职责所需资源的程序是什么? 资源包括:
• 培训
• 预算/提供资金
• 人事安排
• 监督和反馈
4. 一旦管理层决定实行某一战略,确定执行这一战略所需的人力资源的程序是什么?应考虑:
• 所需的人员数量
• 要求的技巧
• 经验水平
• 培训
评估:
与人事相关的政策似乎可分(等级)
初始化的/非正式的 系统性的 整合的/优化的
目标和控制的密切关系 备注
1. 描述公司的战略计划过程。
(1)向主要业务经理征求反馈意见的流程是什么?
(2)该反馈意见如何整合到计划制定当中?在最近的战略规划工作中,董事会在审批流程中产生的重要问题是什么?这些问题是如何解决的?
(3)在这一流程中如何考虑内部控制和财务报告的意义?在最近的战略规划工作中,公司识别出的内部控制问题是什么?这些问题是如何解决的?
(4)管理层是否识别出实现这一战略计划所要求的关键成功因素?
(5)如何衡量和监控实现战略计划的进展情况?<, /,, P>
评估:
与战略目标和控制密切相关的政策似乎可分(等级)
初始化的/非正式的 系统性的 整合的/优化的
风险识别 备注
1. 描述用于识别在公司最近10K表格中所报告的风险的流程。
(1)谁参与这一流程?
(2)使用什么标准来确定应报告的风险?
2. 公司如何决定怎样管理已识别的风险?
3. 作为战略规划流程的组成部分,如何识别风险?
4. 在风险管理流程中,董事会如何参与?
5. 在最近的三年里,公司面临的新风险是什么?
(1)管理层是否预期到这些风险吗?
(2)公司是如何做出反应的?
评估:
与风险识别相关的政策似乎可分(等级)
初始化的/非正式的 系统性的 整合的/优化的
反舞弊方案与控制 备注
1. 管理层采取那些步骤来灌输旨在降低单位舞弊风险的诚信文化和高尚道德的文化?例如,可以考虑以下方面:
(1)聘用和晋升政策;
(2)培训;
(3)对指控的舞弊事件进行调查和解决(包括纪律处分)
2. 单位易发生舞弊的方式是什么?考虑以下方面:
(1)员工贪污;
(2)欺诈性财务报告。
3. 管理层识别单位舞弊风险的流程是什么?
4. 审计委员会是否参加有关舞弊情况的讨论会吗?如果参加,这些讨论必须包括什么内容?
评估:
与反舞弊方案相关的政策似乎可分(等级)
初始化的/非正式的 系统性的 整合的/优化的
高层财务报告流程 备注
1. 单位如何遵循董事会要具有适当水平的财务专业技能的要求?
从整体来看,你是否认为董事会具有适当水平的专业技能?
2. 董事会如何跟上最新的财务报告事件?
3. 构造非系统的、非常规性交易的流程是什么?
(1)推动这些交易的根源是什么,例如,它们是否必须:
• 执行单位的战略规划?
• 实现预期的财务结果?
(2)在这个流程的哪一点,管理层可以收到这些交易的会计处理的输入信息?
(3)当审查和批准这些交易时,董事会考虑的因素是什么?
4. 单位做出重要的会计估计所遵循的流程是什么?
(1)与基本假定有关的信息是如何收集的?
(2)你如何知道信息是可靠的?
(3)在做出重要的估计假定时,要考虑的因素是什么?
(4)高级管理层和董事会是如何参与审查和批准重要概算的?
在公司最近的财务周期中,由高级管理层和董事会提出的与估计过程有关的最重要事务是什么?
5. 描述董事会与独立审计师关于本单位会计原则的谈话。
作为这些讨论的结果,董事会采取了什么行动?
6. 管理层使用什么程序来
(1)识别暴露出来的可能需要考虑会计政策的事项或其它情况?
(2)识别在单位10K表格中被描述为“关键的”会计政策?
(3)选择适当的会计政策?
评价:
与公司文化相关的政策似乎是分(等级)
初始化的/非正式的 系统性的 整合的/优化的
系统范围的监控 备注
1. 管理层如何使用单位自动化合规工具来监控内部控制的有效运行?
单位自动化合规工具表明控制是按下列两种方式运行的吗?
• 及时的
• 适当的
2. 管理层采取什么措施来
(1)定期评价内部控制政策和程序的设计?
(2)了解已识别的内部控制缺陷的基本原因?
(3)采取适当的纠正措施应对已识别的缺陷?
评价:
与公司文化相关的政策似乎是分(等级)
初始化的/非正式的 系统性的 整合的/优化的
资料来源:《如何遵循SOX404 条款——评估内部控制的效果》
(美)迈克尔•拉莫斯著李海风主译,张玉审校
中国时代经济出版社 2007年8月
, P>
评估:
与战略目标和控制密切相关的政策似乎可分(等级)
初始化的/非正式的 系统性的 整合的/优化的
风险识别 备注
1. 描述用于识别在公司最近10K表格中所报告的风险的流程。
(1)谁参与这一流程?
(2)使用什么标准来确定应报告的风险?
2. 公司如何决定怎样管理已识别的风险?
3. 作为战略规划流程的组成部分,如何识别风险?
4. 在风险管理流程中,董事会如何参与?
5. 在最近的三年里,公司面临的新风险是什么?
(1)管理层是否预期到这些风险吗?
(2)公司是如何做出反应的?
评估:
与风险识别相关的政策似乎可分(等级)
初始化的/非正式的 系统性的 整合的/优化的
反舞弊方案与控制 备注
1. 管理层采取那些步骤来灌输旨在降低单位舞弊风险的诚信文化和高尚道德的文化?例如,可以考虑以下方面:
(1)聘用和晋升政策;
(2)培训;
(3)对指控的舞弊事件进行调查和解决(包括纪律处分)
2. 单位易发生舞弊的方式是什么?考虑以下方面:
(1)员工贪污;
(2)欺诈性财务报告。
3. 管理层识别单位舞弊风险的流程是什么?
4. 审计委员会是否参加有关舞弊情况的讨论会吗?如果参加,这些讨论必须包括什么内容?
评估:
与反舞弊方案相关的政策似乎可分(等级)
初始化的/非正式的 系统性的 整合的/优化的
高层财务报告流程 备注
1. 单位如何遵循董事会要具有适当水平的财务专业技能的要求?
从整体来看,你是否认为董事会具有适当水平的专业技能?
2. 董事会如何跟上最新的财务报告事件?
3. 构造非系统的、非常规性交易的流程是什么?
(1)推动这些交易的根源是什么,例如,它们是否必须:
• 执行单位的战略规划?
• 实现预期的财务结果?
(2)在这个流程的哪一点,管理层可以收到这些交易的会计处理的输入信息?
(3)当审查和批准这些交易时,董事会考虑的因素是什么?
4. 单位做出重要的会计估计所遵循的流程是什么?
(1)与基本假定有关的信息是如何收集的?
(2)你如何知道信息是可靠的?
(3)在做出重要的估计假定时,要考虑的因素是什么?
(4)高级管理层和董事会是如何参与审查和批准重要概算的?
在公司最近的财务周期中,由高级管理层和董事会提出的与估计过程有关的最重要事务是什么?
5. 描述董事会与独立审计师关于本单位会计原则的谈话。
作为这些讨论的结果,董事会采取了什么行动?
6. 管理层使用什么程序来
(1)识别暴露出来的可能需要考虑会计政策的事项或其它情况?
(2)识别在单位10K表格中被描述为“关键的”会计政策?
(3)选择适当的会计政策?
评价:
与公司文化相关的政策似乎是分(等级)
初始化的/非正式的 系统性的 整合的/优化的
系统范围的监控 备注
1. 管理层如何使用单位自动化合规工具来监控内部控制的有效运行?
单位自动化合规工具表明控制是按下列两种方式运行的吗?
• 及时的
• 适当的
2. 管理层采取什么措施来
(1)定期评价内部控制政策和程序的设计?
(2)了解已识别的内部控制缺陷的基本原因?
(3)采取适当的纠正措施应对已识别的缺陷?
评价:
与公司文化相关的政策似乎是分(等级)
初始化的/非正式的 系统性的 整合的/优化的
资料来源:《如何遵循SOX404 条款——评估内部控制的效果》
(美)迈克尔•拉莫斯著李海风主译,张玉审校
中国时代经济出版社 2007年8月
, P>
评估:
与战略目标和控制密切相关的政策似乎可分(等级)
初始化的/非正式的 系统性的 整合的/优化的
风险识别 备注
1. 描述用于识别在公司最近10K表格中所报告的风险的流程。
(1)谁参与这一流程?
(2)使用什么标准来确定应报告的风险?
2. 公司如何决定怎样管理已识别的风险?
3. 作为战略规划流程的组成部分,如何识别风险?
4. 在风险管理流程中,董事会如何参与?
5. 在最近的三年里,公司面临的新风险是什么?
(1)管理层是否预期到这些风险吗?
(2)公司是如何做出反应的?
评估:
与风险识别相关的政策似乎可分(等级)
初始化的/非正式的 系统性的 整合的/优化的
反舞弊方案与控制 备注
1. 管理层采取那些步骤来灌输旨在降低单位舞弊风险的诚信文化和高尚道德的文化?例如,可以考虑以下方面:
(1)聘用和晋升政策;
(2)培训;
(3)对指控的舞弊事件进行调查和解决(包括纪律处分)
2. 单位易发生舞弊的方式是什么?考虑以下方面:
(1)员工贪污;
(2)欺诈性财务报告。
3. 管理层识别单位舞弊风险的流程是什么?
4. 审计委员会是否参加有关舞弊情况的讨论会吗?如果参加,这些讨论必须包括什么内容?
评估:
与反舞弊方案相关的政策似乎可分(等级)
初始化的/非正式的 系统性的 整合的/优化的
高层财务报告流程 备注
1. 单位如何遵循董事会要具有适当水平的财务专业技能的要求?
从整体来看,你是否认为董事会具有适当水平的专业技能?
2. 董事会如何跟上最新的财务报告事件?
3. 构造非系统的、非常规性交易的流程是什么?
(1)推动这些交易的根源是什么,例如,它们是否必须:
• 执行单位的战略规划?
• 实现预期的财务结果?
(2)在这个流程的哪一点,管理层可以收到这些交易的会计处理的输入信息?
(3)当审查和批准这些交易时,董事会考虑的因素是什么?
4. 单位做出重要的会计估计所遵循的流程是什么?
(1)与基本假定有关的信息是如何收集的?
(2)你如何知道信息是可靠的?
(3)在做出重要的估计假定时,要考虑的因素是什么?
(4)高级管理层和董事会是如何参与审查和批准重要概算的?
在公司最近的财务周期中,由高级管理层和董事会提出的与估计过程有关的最重要事务是什么?
5. 描述董事会与独立审计师关于本单位会计原则的谈话。
作为这些讨论的结果,董事会采取了什么行动?
6. 管理层使用什么程序来
(1)识别暴露出来的可能需要考虑会计政策的事项或其它情况?
(2)识别在单位10K表格中被描述为“关键的”会计政策?
(3)选择适当的会计政策?
评价:
与公司文化相关的政策似乎是分(等级)
初始化的/非正式的 系统性的 整合的/优化的
系统范围的监控 备注
1. 管理层如何使用单位自动化合规工具来监控内部控制的有效运行?
单位自动化合规工具表明控制是按下列两种方式运行的吗?
• 及时的
• 适当的
2. 管理层采取什么措施来
(1)定期评价内部控制政策和程序的设计?
(2)了解已识别的内部控制缺陷的基本原因?
(3)采取适当的纠正措施应对已识别的缺陷?
评价:
与公司文化相关的政策似乎是分(等级)
初始化的/非正式的 系统性的 整合的/优化的
资料来源:《如何遵循SOX404 条款——评估内部控制的效果》
(美)迈克尔•拉莫斯著李海风主译,张玉审校
中国时代经济出版社 2007年8月
