中国人寿公司层面内部控制与评估培训

《中国人寿公司层面内部控制与评估培训》由会员分享，可在线阅读，更多相关《中国人寿公司层面内部控制与评估培训（92页珍藏版）》请在装配图网上搜索。

1、 中国人寿广东省分公司中国人寿广东省分公司中国人寿公司层面内部控制评估培训中国人寿公司层面内部控制评估培训1 中国人寿广东省分公司中国人寿广东省分公司主要内容：主要内容：1 1、20062006年年404404遵循工作计划及公司层面评估所处位置遵循工作计划及公司层面评估所处位置2 2、公司层面内控的重要性、公司层面内控的重要性3 3、COSOCOSO的五大要素简介的五大要素简介4 4、工作方法和步骤、工作方法和步骤5 5、评估工作底稿的填写及注意事项、评估工作底稿的填写及注意事项2 中国人寿广东省分公司中国人寿广东省分公司第一部分2006年404遵循工作计划及公司层面评估所处位置3 中国人寿广

2、东省分公司中国人寿广东省分公司 六个阶段六个阶段 404404遵循工作准备阶段遵循工作准备阶段 内部控制自我评估阶段内部控制自我评估阶段（流程层面、公司层面）（流程层面、公司层面）管理层测试阶段管理层测试阶段（总公司对省公司，省公司对地市分公司）（总公司对省公司，省公司对地市分公司）外部审计师审计阶段外部审计师审计阶段 缺陷整改及验收阶段缺陷整改及验收阶段（贯穿整个过程）（贯穿整个过程）出具内部控制报告阶段出具内部控制报告阶段 4 中国人寿广东省分公司中国人寿广东省分公司 重要提示：重要提示：2006 2006年内控评估工作与年内控评估工作与20052005年是有很大区别的，不再是预演的概念，

3、而是要年是有很大区别的，不再是预演的概念，而是要在在0707年年4 4月月3030日对外披露正式的内控评估报告。在评估报告中会包含今年所做日对外披露正式的内控评估报告。在评估报告中会包含今年所做的所有的的所有的404404遵循工作的内容，而且要求将更加严格。遵循工作的内容，而且要求将更加严格。5 中国人寿广东省分公司中国人寿广东省分公司 1 1、工作准备阶段（、工作准备阶段（20062006年年2 2月月2020日至日至20062006年年3 3月月3131日）日）制定省内标准化流程模版及广东省2006年404条款遵循工作实施方案，并做好前期的各项准备工作，组织404遵循工作培训，为遵循工作的

4、顺利完成打下一个良好的基础。6 中国人寿广东省分公司中国人寿广东省分公司2 2、内部控制自我评估阶段、内部控制自我评估阶段 （20062006年年3 3月月6 6日至日至20062006年年4 4月月3030日）日）包括流程层面评估和公司层面评估。流程层面：流程层面：省本级和各地市分公司开展穿行测试、控制测试、维护更新流程层面评估文档、汇总发现问题。公司层面：公司层面：省本级和各地市分公司管理层回答公司层面评估调查问卷、进行公司层面内部控制测试，撰写公司层面评估文档，完成内部控制自我评估工作，并汇总发现问题。省公司职能部门对省本级及地市分公司的流程层面评估文档及控制测试情况进行重点审核。7 中

5、国人寿广东省分公司中国人寿广东省分公司3 3、管理层测试阶段、管理层测试阶段 第一阶段：2006年3月1日至2006年4月30日 第二阶段：2006年7月10日至2006年8月31日 第三阶段：2007年1月1日至2007年2月28日 总、省公司组成独立测试工作组，分三个阶段完成对省本级和地市分公司的管理层测试及补充测试工作，汇总并上报发现的所有控制缺陷。8 中国人寿广东省分公司中国人寿广东省分公司4 4、外部审计师审计（、外部审计师审计（20062006年年4 4月月1 1日日20072007年年2 2月月2828日）日）配合外部审计师的审计工作，与外部审计师做好沟通交流，并及时汇总、上报评

6、估信息。9 中国人寿广东省分公司中国人寿广东省分公司5 5、缺陷整改及验收阶段、缺陷整改及验收阶段 （2006年5月1日至2006年12月31日，初步确定5月至9月为分公司缺陷整改及验收工作集中开展期间，10-11月为省公司对全省的缺陷整改验收期间）这一阶段工作的根本目的在于弥补内部控制自我评估、管理层测试及外部审计师审计阶段发现的控制缺陷，从而使这些控制缺陷不对2006年内控评估报告产生重大影响。主要工作包括省公司本级和地市分公司汇总、上报、审批并落实缺陷整改计划，并对缺陷整改工作进行验收测试。由于缺陷整改是一个持续改进的过程，因此本阶段是整改验收再整改再验收多次反复的过程。10 中国人寿广

7、东省分公司中国人寿广东省分公司6 6、出具内控报告阶段（、出具内控报告阶段（20072007年年3 3月月1 1日至日至20072007年年4 4月月3030日日 ）省公司汇总省本级和地市分公司内部控制评估报告，分析控制缺陷的影响（若存在尚未整改完毕的控制缺陷），上报总公司。11 中国人寿广东省分公司中国人寿广东省分公司对部分重要概念的释义：对部分重要概念的释义：内部控制评估包括：内部控制评估包括：自我评估、管理层测试内部控制自我评估包括：内部控制自我评估包括：公司层面内部控制评估、流程层面内部控制评估管理层测试包括：管理层测试包括：公司层面内部控制评估、流程层面内部控制评估12 中国人寿广东

8、省分公司中国人寿广东省分公司对部分重要概念的释义：对部分重要概念的释义：1 1、公司层面内部控制自我评估：、公司层面内部控制自我评估：总公司、省本级及地市分公司需开展的，根据COSO五要素划分的，对公司整体层面的控制进行的评估，具体包括反舞弊、业绩信息分析、风险管理、人力资源管理等多项内容，主要通过回答调查问卷、访谈、审阅相关支持性文档等方式完成。13 中国人寿广东省分公司中国人寿广东省分公司2 2、流程层面内部控制自我评估：、流程层面内部控制自我评估：对与财务报告相关的财务、业务、IT流程进行的评估，主要工作文档包括流程图、流程及控制文档记录、风险控制矩阵、穿行测试文档、控制测试文档等，具体

9、工作方式包括穿行测试、控制测试，总、省、市三级公司都需开展。对部分重要概念的释义：对部分重要概念的释义：14 中国人寿广东省分公司中国人寿广东省分公司自我评估和管理层测试二者区别自我评估和管理层测试二者区别：内部控制自我评估和管理层测试的主体不同。前者是指各部门、各单位在管理层测试前按照相同工作步骤先行对自己的内控情况进行一次评估和测试；后者是指总公司和省公司组成独立的测试工作组对所属部门、单位进行评估和测试。内部控制自我评估和管理层测试的时间点不同。前者的完成时间为2006年4月30日；后者则分为三个阶段，第一阶段是2006年4月11日-4月30日，第二阶段是2006年7月10日-8月31日

10、，第三阶段是2007年1月1日-2月28日。对部分重要概念的释义：对部分重要概念的释义：15 中国人寿广东省分公司中国人寿广东省分公司补充测试：补充测试：由于404条款下，公司管理层需对2006年12月31日的内部控制有效性进行评估。因此，在2007年1至2月间，总、省独立测试工作组会对2006年最后一次内控测试时间至12月31日间的内部控制执行情况进行测试，称为补充测试。例如：2006年最后一次内控测试时间为9月31日对缺陷整改的验收测试，则补充测试期间为10月1日至12月31日。对部分重要概念的释义：对部分重要概念的释义：16 中国人寿广东省分公司中国人寿广东省分公司第二部分第二部分公司层

11、面内部控制的重要性公司层面内部控制的重要性17 中国人寿广东省分公司中国人寿广东省分公司公司层面内部控制评估的重要性公司层面内部控制评估的重要性公司层面内部控制评估是从控制环境、风险评估、控制活动、信息与沟通、监督等五个方面对公司的内部控制进行评估，通过对管理层的访谈和有关测试，对公司层面控制的有效性作出评估。18 中国人寿广东省分公司中国人寿广东省分公司公司层面的内部控制评估的重要性公司层面的内部控制评估的重要性公司层面的内部控制对流程、交易或应用层面的内部控制有着广泛深入的影响。正因为如此，出于实际的考虑，管理层应首先测试并评估公司层面内部控制的设计有效性，其结果将会影响管理层对财务报告的

12、内部控制其他方面的评估工作。另外，公司层面控制对预防、阻止和检查舞弊行为发挥着重要的作用。普华明确表示，若分公司公司层面评估结果存在重大缺陷，将会增加有关流普华明确表示，若分公司公司层面评估结果存在重大缺陷，将会增加有关流程层面的评估工作。程层面的评估工作。虽然公司层面的内部控制的文档记录和评估活动不能完整体现公司内控的全局，但评估公司层面的内部控制对于评估财务报告内部控制的整体有效性有着重大的影响及参考价值，因此公司层面内部控制评估是财务报告内部控制公司层面内部控制评估是财务报告内部控制评估的重要起点。评估的重要起点。19 中国人寿广东省分公司中国人寿广东省分公司有别于个别的风险处理，公司层

13、面的内部控制的整体评估可以落实到下列两个问题：1、管理层是否有建立一个良好的控制环境，确保员工自愿地遵循内部控制而非忽略或执行不当？2、公司是否设立了必要的控制机构来监督并改正不合规行为，该控制机构是否有效地运作？尽管仅针对企业层面内部控制的描述与评估本身还不足以为该企业内部控制整体评价提供佐证，但是，企业层面内部控制的描述与评估是针对该企业内部控制整体进行评估的重要起点，在企业层面内部控制的评估过程中识别的控制缺陷，往往会对该企业内部控制的有效性和财务报告的可靠性及合规性的整体评估产生重大影响。20 中国人寿广东省分公司中国人寿广东省分公司第三部分第三部分COSO的五大要素简介的五大要素简介

14、21 中国人寿广东省分公司中国人寿广东省分公司COSO内控框架内控框架Committee Of Sponsoring Organizations Of The Treadway Commission(COSO)由美国会计师协会、美国审计总署、美国内部审计师协会和管理会计师协会等7个团体共同赞助成立，专门研究内部控制问题；-保证财务报告的可靠性；-保证经营效益和效率；-对相关法律法规的遵循。22 中国人寿广东省分公司中国人寿广东省分公司SEC准则没有指定使用的评价框架，但是指出评价框架必须：客观允许公司在评估内部控制时在质和量的方面保持合理的，一贯的衡量尺度；足够完整，以保证可能导致有关公司内部

15、控制有效性的结改变的相关因素不被忽视；与有关财务报表的内部控制评价相关准则指出美国COSO的框架符合以上要求23 中国人寿广东省分公司中国人寿广东省分公司公司层面的内部控制的定义公司层面的内部控制的定义根据COSO内控框架，公司层面的内部控制由以下五个部分组成：1.控制环境2.风险评估3.控制活动4.信息与沟通5.监督中国内部审计协会于2003年6月1日颁布实施的内部审计具体准则（第5号）内部控制第5条，亦明确公司的内部控制是由上述五个部分组成的。公司要建立完善的财务报告内控，就要从这五方面着手，因为它们是内控的根基，它们会影响到公司风险管理每个环节的工作。24 中国人寿广东省分公司中国人寿广

16、东省分公司COSO内控框架内控框架n控制环境控制环境反映了股东、董事会和管理层对内控重要性的认识和态度，同时也反映了管理层对财务报告的理念。财务报告的编制及其相关的内控都在公司控制环境中运作，所以，控制环境的好与坏直接影响公司处理数据出错或会计判断上出错的风险。主要包括：-公司纪律与架构、公司文化、员工风险意识-诚信原则和道德价值观、董事会/审计委员会成员的独立性等等合规性合规性运营运营财务报告财务报告功功能能单单位位业业务务单单位位控制环境控制环境风险评估风险评估控制活动控制活动信息与沟通信息与沟通监督监督25 中国人寿广东省分公司中国人寿广东省分公司COSO内控框架内控框架n风险评估-风险

17、评估是决定如何进行风险管理的基础。-风险评估是识别及分析那些可能影响公司达到其公司目标的事件或条件。-一套行之有效的内控系统是能让公司识别、分析和管理风险的机制。鉴于风险会随着环境及其他因素的改变而发生变化，风险评估及恰当的判断对于有效控制风险发挥着关键作用。合规性合规性运营运营财务报告财务报告功功能能单单位位业业务务单单位位控制环境控制环境风险评估风险评估控制活动控制活动信息与沟通信息与沟通监督监督26 中国人寿广东省分公司中国人寿广东省分公司COSOCOSO内控框架内控框架n控制活动 控制活动是一套帮助公司执行管理层规则的政策和程序。控制活动包括制定政策及相关的实施步骤，为管理层提供正确导

18、向，以完成公司目标。控制活动存在于公司内的各个阶层和职能间。合规性合规性运营运营财务报告财务报告功功能能单单位位业业务务单单位位控制环境控制环境风险评估风险评估控制活动控制活动信息与沟通信息与沟通监督监督27 中国人寿广东省分公司中国人寿广东省分公司COSOCOSO内控框架内控框架n信息与沟通-信息与沟通是获取和交换信息的程序，以使公司能够正常运行，并得到适当的管理及控制。-信息与沟通是指获取并向适当的人员提供其履行职责所必需的信息，包括其与财务报表层次的内部控制有关的个人角色及职责认定。-记录信息系统的整体环境，交流及监督控制是否足够、完善。合规性合规性运营运营财务报告财务报告功功能能单单位

19、位业业务务单单位位控制环境控制环境风险评估风险评估控制活动控制活动信息与沟通信息与沟通监督监督28 中国人寿广东省分公司中国人寿广东省分公司COSOCOSO内控框架内控框架n监督监督是对一定时期内内部控制执行质量的评价程序，考虑相关内部控制是否能够满足最初设计的目标，并保证在不同情况下进行适当的修改。考虑并记录是否定期对内部控制进行评价；管理当局是否采纳内部和外部审计师关于内部控制的建议；是否存在内部审计部门以协助管理当局进行监督。合规性合规性运营运营财务报告财务报告功功能能单单位位业业务务单单位位控制环境控制环境风险评估风险评估控制活动控制活动信息与沟通信息与沟通监督监督29 中国人寿广东省

20、分公司中国人寿广东省分公司公司层面内部控制调查问卷公司层面内部控制调查问卷n安永根据COSO框架对内部控制公司层面的五个考虑要素进行了总结与分析，汇总形成了公司层面应考虑的12个关键控制领域：A员工行为守则B反舞弊程序C人力资源程序D风险识别、评估与管理E经营计划与经营业绩分析F内部审计G审计委员会及董事会H管理层基调与态度I公司政策与流程J内部控制活动K信息与沟通L投资策略与管理这12个关键控制领域与中国人寿的外部审计师-普华永道会计师事务所针对公司层面控制审计的范围要求基本一致。30 中国人寿广东省分公司中国人寿广东省分公司关键控制领域与关键控制领域与COSO的关系的关系：31 中国人寿广

21、东省分公司中国人寿广东省分公司公司层面内部控制调查问卷的范围：公司层面内部控制调查问卷的范围：为此次公司层面内控测试中需要考虑的部分32 中国人寿广东省分公司中国人寿广东省分公司第四部分第四部分工作方法和步骤工作方法和步骤33 中国人寿广东省分公司中国人寿广东省分公司 公司层面整体评估主要是通过调查问卷及访谈的方式，针对公司的内部控制环境和控制活动等，在宏观层面上对公司的内部控制进行了解和评价，以便管理层能尽早发现和反馈问题，并采取相应改进措施。404条款遵循工作的焦点在于财务报告内部控制，他不仅要求内部控制的设计有效性，还强调留下内部控制有效运行的证据。因此除了对问卷的问答和填写外，还要求提

22、供所有证明内控有效运行的书面证据。34 中国人寿广东省分公司中国人寿广东省分公司 根据内部控制五要素各个方面问题性质的不同，将其划分到各个职能部门，形成分部门的公司层面评估问卷。由各部门负责人出具本部门的评估问卷，由评估小组组织人员汇总出具公司整体的XX分公司层面内部控制调查问卷，由相关部门提供相关支持性文档；测试负责人填写 XX分公司层面评估测试底稿XX分公司层面评估支持性文档清单，被测试公司的XX分公司层面评估发现问题汇总表 35 中国人寿广东省分公司中国人寿广东省分公司36 中国人寿广东省分公司中国人寿广东省分公司第一步：前期准备工作第一步：前期准备工作1、成立评估小组，进入准备阶段2、

23、制定实施方案，明确职责分工、时间任务3、下发填写调查问卷通知、调查问卷和填写指引，落实管理层访谈时间表和员工访谈时间表。4、准备培训材料5、完成推广培训 管理层培训、工作组和404岗人员培训、全体员工培训6、办公室提供各部门文件清单37 中国人寿广东省分公司中国人寿广东省分公司第二步：各部门负责人填写调查问卷第二步：各部门负责人填写调查问卷1、各部门填写问卷前，取得本部门接收的和制定的制度文件清单2、总经理室成员、各部门负责人完成调查问卷填写3、办公室协助总经理室准备相关支持性文档，部门员工协助部门负责人准备相关支持性文档，评估小组成员及时解答有关问题4、调查问卷和相关支持性文档（纸质或电子版

24、）提交评估小组38 中国人寿广东省分公司中国人寿广东省分公司第三步：评估小组审阅调查问卷第三步：评估小组审阅调查问卷1、根据总公司的“控制要求”，对照各部门的“控制描述”和提供的支持性文档内容，对需要进一步了解的控制情况，拟订补充访谈提纲，整理相关支持性文档，并整理支持性文档检查清单。2、根据各部门的“控制描述”，在总公司“测试步骤”基础上，按实际情况对测试步骤进行调整，注意一般只增加不得减少原有测试步骤。3、按照“测试步骤”所列内容，准备对各部门负责人的测试访谈提纲。4、准备好对25名员工访谈测试的有关问题和表格39 中国人寿广东省分公司中国人寿广东省分公司第四步：评估小组对管理层进行访谈第

25、四步：评估小组对管理层进行访谈1、根据访谈时间表安排，按事先准备的补充访谈提纲，分别对总经理室、各部门经理进行对进行访谈。2、同时，按事先准备的测试访谈提纲完成测试步骤需要的访谈内容3、访谈当天要完成工作底稿相关内容的整理，并提交审阅人审阅。4、注意利用访谈机会，与管理层沟通，达成共识40 中国人寿广东省分公司中国人寿广东省分公司第五步：控制测试及发现问题汇总第五步：控制测试及发现问题汇总1、控制测试大致分为管理层访谈、测试样本审阅、一般员工访谈3种方式2、管理层访谈在第四步已完成3、测试样本审阅：在访谈当天，提交测试所需样本清单，并确定取得样本的时间，及时取得样本进行测试样本审阅。4、员工访

26、谈：抽取25名员工，对员工行为守则、反舞弊程序、人力资源程序有关控制进行访谈测试5、测试当天完成测试工作底稿有关内容，形成发现问题汇总表41 中国人寿广东省分公司中国人寿广东省分公司第六步：汇总审阅工作底稿第六步：汇总审阅工作底稿1、评估小组各流程负责人汇总整理本流程工作底稿，提交审阅人2、审阅人总体审阅，3、修改、补充工作底稿42 中国人寿广东省分公司中国人寿广东省分公司第七步：反馈评估工作底稿第七步：反馈评估工作底稿1、向总经理室、各部门负责人反馈工作底稿，沟通缺陷问题2、管理层回馈及整改措施由当地公司管理层对识别的控制缺陷提供其反馈意见以及具体的整改措施。2、最终报总经理审阅。43 中国

27、人寿广东省分公司中国人寿广东省分公司第八步：评估工作底稿签名第八步：评估工作底稿签名各部门负责人和测试人、审阅人签名，提交总经理签名确认，完成评估工作底稿。1、调查问卷应在测试完成所有控制缺陷已识别确认后，由被访谈对象、问卷填写人、测试执行人共同签字确认。2、测试工作底稿应在测试完成所有控制缺陷已识别确认后，由测试执行人签字确认。3、发现问题汇总表：应由相关负责人审核后签字确认。44 中国人寿广东省分公司中国人寿广东省分公司公司层面评估形成的文档公司层面评估形成的文档45 中国人寿广东省分公司中国人寿广东省分公司公司层面评估形成的文档公司层面评估形成的文档：最终报告1、公司层面内部控制调查问卷

28、2、控制测试工作底稿3、支持性文档检查清单与支持性文档4、发现问题汇总表过程文档（保存备查）1、访谈25名员工的底稿2、各部门调查问卷46 中国人寿广东省分公司中国人寿广东省分公司第五部分第五部分 评估工作底稿的填写及注意事项评估工作底稿的填写及注意事项47 中国人寿广东省分公司中国人寿广东省分公司关键控制领域的概述关键控制领域的概述：一、员工行为守则:员工行为守则是指导员工行为的基本准则和指引。公司层面的内部控制在这一领域主要强调员工守则的基本内容、员工守则的拟定、审批和下发程序，以及公司与员工之间就员工守则建立的沟通、汇报与监督机制等。二、反舞弊程序：反舞弊程序侧重强调检举揭发机制。检举揭

29、发机制向员工提供了向上汇报的各种渠道，公司员工有责任也有义务就其所知晓的潜在的舞弊或违规事件向适当的管理层汇报，管理层（包括董事会、审计委员会）应就所接收到的汇报及时的反馈并开展必要的调查、评估。48 中国人寿广东省分公司中国人寿广东省分公司关键控制领域的概述（续）关键控制领域的概述（续）：三、人力资源程序：该部分从人力资源管理的各方面阐述了公司层面控制的相关要求 公司组织架构、人力资源计划与预算、人力资源招聘、人力资源培 训、人力资源管理等。四、风险识别、评估与管理：公司建立一套行之有效的风险控制体系，使得公司能够适时识别所面临的潜在风险、并对潜在风险进行全面的评估并考虑采取相应的措施预防风

30、险、或减低、转移风险所带来的影响。49 中国人寿广东省分公司中国人寿广东省分公司关键控制领域的概述（续）关键控制领域的概述（续）：五、经营计划与经营业绩分析：该部分从经营计划的制定、预算的编制和经营业绩分析三方面阐述了公司层面内部控制的相关要求。六、内部审计：内部审计部门通过系统的方法，独立、客观地评估和促进公司的风险管理、控制和公司管治水平，确保董事会及管理层所制定的准则、流程及内控得到遵循。内部审计部门应从其组织结构上应保证其独立性与客观性，其工作职责范围必须有书面的章程做出明确的指引，并且制定详细的工作计划。内部审计部门的工作应由具备胜任能力的人来完成，并且定期进行自我评估。50 中国人

31、寿广东省分公司中国人寿广东省分公司关键控制领域的概述（续）关键控制领域的概述（续）：七、审计委员会及董事会:美国证监会和上市公司会计监管委员会对审计委员会的人数、人员胜任能力以及审计委员会的职责都有明确的要求，中国人寿需要充分了解这些内容，并相应的完善公司的管治结构。董事会作为公司最高监管机构，可以通过设立专门委员会的方式明确并实现董事会的监管职能。八、管理层基调与态度：管理层基调和态度是公司道德规范和公司文化环境的建设的基础。问卷列举了公司层面内部控制对管理层基调和态度的主要内容。51 中国人寿广东省分公司中国人寿广东省分公司关键控制领域的概述（续）关键控制领域的概述（续）：九、公司政策与流

32、程:公司应制定一套全面的制度政策与标准化的流程，并将该政策与流程全面下发并实施。制度政策与标准化流程的建立和更新需要特别关注新旧制度政策的衔接问题，以及相悖内容的解释方式等等。十、内部控制活动:控制目标需要通过日常活动中具体的内部控制活动来实现。关键岗位职责分离、资产安全、适当的授权与审批等重要的内部控制活动应该体现在流程层面的具体的控制环节中并保证其有效的实施。52 中国人寿广东省分公司中国人寿广东省分公司关键控制领域的概述（续）关键控制领域的概述（续）：十一、信息与沟通:适当的内部控制能够确保信息系统能够识别、获得、处理和报告各种信息。沟通贯穿于信息处理的整个过程中。沟通更广泛的意义在于适

33、时处理个人和团体的期望与职责。有效的沟通必须在整个公司内进行；也包括在外部进行的沟通中。十二、投资策略与管理:有效的投资管理，必须针对公司的经营特点，制定与公司的公司文化相结合的投资管理政策和程序，通过提前对风险进行识别和规避，有效管理投资，以改善投资效益和增加投资回报。53 中国人寿广东省分公司中国人寿广东省分公司省市分公司层面工作重点省市分公司层面工作重点：一、文档记录：在分公司这一级上，公司层面的许多工作内容主要是对执行总公司相应规章制度的执行。因此，在文档记录工作方面，也需要重点针对相应规章制度的执行进行文档记录工作。从404工作的重点来看，不仅仅要求公司有相应的规章制度，更重要的是规

34、章制度的执行，且执行过程和结果有据可查。文档记录必须侧重于公司层面控制的执行情况，并保证对相应的执行情况有具体、详细的描写。只有对控制进行具体、详细的描写，才能够通过控制测试工作，对内部控制的执行情况进行测试。54 中国人寿广东省分公司中国人寿广东省分公司省市公司公司层面工作重点省市公司公司层面工作重点：二、控制测试：控制测试工作是为保证公司层面的内部控制得到有效执行。因此对公司层面的控制测试工作，工作方式与流程层面的测试工作方式、测试文档要求基本一致。55 中国人寿广东省分公司中国人寿广东省分公司公司层面内部控制调查问卷（范例）：公司层面内部控制调查问卷（范例）：56 中国人寿广东省分公司中

35、国人寿广东省分公司二、填写问卷二、填写问卷：公司层面内部控制调查问卷（范例）：公司层面内部控制调查问卷（范例）57 中国人寿广东省分公司中国人寿广东省分公司二、填写问卷（续）二、填写问卷（续）：公司层面内部控制调查问卷填写指引：公司层面内部控制调查问卷填写指引58 中国人寿广东省分公司中国人寿广东省分公司二、填写问卷（续）二、填写问卷（续）：公司层面内部控制调查问卷填写指引：公司层面内部控制调查问卷填写指引59 中国人寿广东省分公司中国人寿广东省分公司二、填写问卷（续）二、填写问卷（续）：注意事项：注意事项：1.填写指引填写指引填写指引是由总公司内控合规部填写的，并结合了安永在福填写指引是由总

36、公司内控合规部填写的，并结合了安永在福建、浙江两省的四个试点公司总结出的经验。提供填写指引建、浙江两省的四个试点公司总结出的经验。提供填写指引的目的是为了使问卷填写人、问卷审阅人和测试执行人能更的目的是为了使问卷填写人、问卷审阅人和测试执行人能更充分的了解充分的了解“控制要求控制要求”的含义。的含义。对填写指引的对填写指引的“滥用滥用”：只写“有/包括/是/没有”根据填写指引的内容将所有回答都会变成 “已。”句型的陈述句。60 中国人寿广东省分公司中国人寿广东省分公司案例案例1-161 中国人寿广东省分公司中国人寿广东省分公司案例案例1-262 中国人寿广东省分公司中国人寿广东省分公司二、填写

37、问卷（续）二、填写问卷（续）：注意事项：注意事项：2.中国人寿的控制描述中国人寿的控制描述应根据问卷中应根据问卷中“控制要求控制要求”的描述，结合的描述，结合“填写指引填写指引”提供的思提供的思路，详细描述本公司具体的控制活动。路，详细描述本公司具体的控制活动。对具体控制活动的描述不能仅以对具体控制活动的描述不能仅以“是是”回答，描述应满足以下回答，描述应满足以下内容：内容：由“谁/哪（几）个部门”，根据“什么制度/法规”的要求，在“什么情况下”，“多久”，“如何具体实施”控制活动，以及控制活动实施后形成的“什么”书面文档。如果不存在相关控制，填写人也需要填写当前针对这些控制如果不存在相关控制

38、，填写人也需要填写当前针对这些控制要求中国人寿的具体做法（即使这些做法是不恰当或不合适要求中国人寿的具体做法（即使这些做法是不恰当或不合适的），不能仅仅以的），不能仅仅以“不存在该控制不存在该控制”作为回答。作为回答。63 中国人寿广东省分公司中国人寿广东省分公司二、填写问卷（续）二、填写问卷（续）：注意事项：注意事项：3.规章制度索引规章制度索引/实施记录索引实施记录索引要求将控制活动描述中所涉及的支持性文档：相关规章制度要求将控制活动描述中所涉及的支持性文档：相关规章制度或实施记录汇总在附件一或实施记录汇总在附件一支持性文档检查清单支持性文档检查清单中，并按中，并按照文档编号要求进行顺序编

39、号，将文档的索引编号填写在此照文档编号要求进行顺序编号，将文档的索引编号填写在此栏。栏。64 中国人寿广东省分公司中国人寿广东省分公司案例案例2-165 中国人寿广东省分公司中国人寿广东省分公司案例案例2-266 中国人寿广东省分公司中国人寿广东省分公司二、填写问卷（续）二、填写问卷（续）：注意事项：注意事项：4.缺陷的填写缺陷的填写缺陷（缺陷（6）：填写人需要比较提供的）：填写人需要比较提供的“控制要求控制要求”与自己填写与自己填写“中国人寿控制描述中国人寿控制描述”，并做出判断，识别是否现有的控制中，并做出判断，识别是否现有的控制中已存在缺陷。填写人应当根据自己的判断，详细描述缺陷的已存在

40、缺陷。填写人应当根据自己的判断，详细描述缺陷的内容，判断缺陷的类型：控制设计缺陷控制执行缺陷。内容，判断缺陷的类型：控制设计缺陷控制执行缺陷。缺陷（缺陷（9）：测试的执行人需要根据测试的结果，比较）：测试的执行人需要根据测试的结果，比较“中国中国人寿控制描述人寿控制描述”填写的内容作出判断。通常在这里出现的应该填写的内容作出判断。通常在这里出现的应该是控制执行缺陷，即控制未按设计执行而导致的缺陷。是控制执行缺陷，即控制未按设计执行而导致的缺陷。67 中国人寿广东省分公司中国人寿广东省分公司情景分析情景分析：情景一：问卷填写人在问卷填写时已将控制活动的设计缺陷或者执行缺陷识别出来，并将具体的缺陷

41、内容填写在缺陷（6）中，测试执行人通过访谈与测试再次确认了这一缺陷是存在的，那么同样的缺陷内容也应在缺陷（9）中填写。情景二：问卷填写人在缺陷（6）中填写了控制活动的设计缺陷或者执行缺陷，但是测试执行人经过访谈和测试确认：1)问卷填写人对缺陷的判断是错误的，或者2)存在其他替代的支持性文档能证明该控制是有效的，则应该将缺陷（6）中的缺陷描述删除，并修改为“否”，缺陷（9）中也同样填写“否”。情景三：问卷填写人在问卷填写时未将控制活动的设计缺陷或者执行缺陷识别出来，在缺陷（6）中填写了“否”，但是测试执行人在访谈确认和测试时发现该控制活动存在缺陷，缺陷（9）中应填写“是xxx”，描述具体测试出的

42、缺陷内容，无须修改缺陷（6）已填写的内容。68 中国人寿广东省分公司中国人寿广东省分公司案例分析（续）案例分析（续）：情境四：针对某一控制要求，公司目前已下发了明确的规章制度可以做为支持性文档，但是由于测试时控制活动尚未发生（比如：员工行为守则发放后没有新员工入职等）：填写人应在缺陷（6）中填写“否”表示控制设计不存在缺陷，即制度的内容是合理可行的，在缺陷（9）中填写“不适用”表示没有样本可以测试，无法判断控制活动实施的有效性。注：遇到这种情况，首先应判断相关的规章制度中的内容是否合理，若制度本身存在不足或缺陷，那么就应作为控制设计上的缺陷识别出来在缺陷（6）与（9）中填写，不会因为没有样本进

43、行测试而填写“不适用”了。69 中国人寿广东省分公司中国人寿广东省分公司案例分析（续）案例分析（续）：1、对于缺陷/发现问题的判断-对于在访谈中发现的问题，例如控制力度不足、实施不充分等等，都要做为缺陷识别出来。-在控制描述中已涉及了某些支持性文档记录，而在测试时无法获得，需要相关部门负责人解释原因，并考虑是否需要作为缺陷识别出来。-如果支持性文档不能体现相应控制内容，需要获得另外的支持性文档；如果所提供的文档记录不能充分证明控制内容存在或者有效，要再次与访谈对象确认并考虑是否需要将该问题作为缺陷识别出来。-如果最终获得的支持性文档不能支持控制活动的存在性与有效性，而导致判断该控制存在缺陷，则

44、需要将该文档内容的具体描述、和不能满足要求的原因详细填写在“附注/解释”一栏中。其他注意事项其他注意事项70 中国人寿广东省分公司中国人寿广东省分公司二、填写问卷（续）：二、填写问卷（续）：注意事项：注意事项：5.测试步骤测试步骤问卷中已列示的测试步骤是根据问卷中已列示的测试步骤是根据“控制要求控制要求”拟定的，测试执行人应拟定的，测试执行人应根根据填写完的据填写完的“中国人寿的控制描述中国人寿的控制描述”进行相应的调整，考虑原有测试进行相应的调整，考虑原有测试步步骤的是否仍然适用。骤的是否仍然适用。71 中国人寿广东省分公司中国人寿广东省分公司二、填写问卷（续）：二、填写问卷（续）：注意事项

45、：注意事项：6.测试底稿索引测试底稿索引公司层面内部控制测试底稿应进行统一编号，并索引在问卷中的公司层面内部控制测试底稿应进行统一编号，并索引在问卷中的这一列。如：这一列。如：ELT-A-T1/ELT-A-T2其中“ELT”是公司层面测试（Entity Level Testing)的英文缩写，“A”为问卷员工行为守则的字母代号，“T1/T2”为该部分的第一个/第二个测试，以此类推。72 中国人寿广东省分公司中国人寿广东省分公司二、填写问卷（续）：二、填写问卷（续）：注意事项：注意事项：7.管理层回馈及整改措施管理层回馈及整改措施由当地公司管理层对识别的控制缺陷提供其反馈意见以及具由当地公司管理

46、层对识别的控制缺陷提供其反馈意见以及具体的整改措施。体的整改措施。反馈意见应首先明确管理层是否认可已识别的控制缺陷，针对相应的缺陷给出具体的整改措施，包括：整改措施的具体内容、负责部门、完成时限等。这里的描述应该与发现问题汇总表中的整改计划和管理层对策及反馈保持一致。73 中国人寿广东省分公司中国人寿广东省分公司二、填写问卷（续）二、填写问卷（续）：其他其他注意事项：注意事项：如果采取将问卷拆分至各个部门的方式，需要由专人负责合并及初步审阅，如果采取将问卷拆分至各个部门的方式，需要由专人负责合并及初步审阅，以保证其内容的一致性和逻辑关系的连贯性；（建议各公司安排专人负责以保证其内容的一致性和逻

47、辑关系的连贯性；（建议各公司安排专人负责问卷的审阅问卷的审阅)74 中国人寿广东省分公司中国人寿广东省分公司三、问卷初步审阅、访谈确认及问卷修改三、问卷初步审阅、访谈确认及问卷修改：问卷初步审阅：问卷初步审阅：问卷的审阅人必须非常了解问卷的整体构架和编制思路，能够做到对整问卷的审阅人必须非常了解问卷的整体构架和编制思路，能够做到对整体内容的把握。体内容的把握。问卷的审阅人需要仔细阅读各部门的回答，判断其内容是否一致、逻辑问卷的审阅人需要仔细阅读各部门的回答，判断其内容是否一致、逻辑性是否清晰，提出问卷描述中不够详尽的地方，要求问卷填写人补充。性是否清晰，提出问卷描述中不够详尽的地方，要求问卷填

48、写人补充。问卷的审阅人在审阅过程中需要及时与总公司内控合规部及安永咨询师问卷的审阅人在审阅过程中需要及时与总公司内控合规部及安永咨询师就难以把握的问题进行讨论。就难以把握的问题进行讨论。75 中国人寿广东省分公司中国人寿广东省分公司三、问卷初步审阅、访谈确认及问卷修改（续）三、问卷初步审阅、访谈确认及问卷修改（续）：访谈确认及问卷修改：访谈确认及问卷修改：访谈的态度要积极和坦诚。访谈的语气要平缓，避免过激或者消极的口访谈的态度要积极和坦诚。访谈的语气要平缓，避免过激或者消极的口吻；吻；访谈前应详细阅读公司层面内部控制的调查问卷，归纳相关部门所涉及访谈前应详细阅读公司层面内部控制的调查问卷，归纳

49、相关部门所涉及的问题，并据此准备访谈提纲以及相应需要提供的支持行文档清单；的问题，并据此准备访谈提纲以及相应需要提供的支持行文档清单；在访谈过程中，完整准确地记录访谈的内容，避免内容的偏差；在访谈过程中，完整准确地记录访谈的内容，避免内容的偏差；访谈后，及时整理访谈内容，修改问卷。归纳需要再次访谈确认的问题访谈后，及时整理访谈内容，修改问卷。归纳需要再次访谈确认的问题或第一次访谈中遗漏的问题；（二次访谈可以采取电话访谈的方式）或第一次访谈中遗漏的问题；（二次访谈可以采取电话访谈的方式）76 中国人寿广东省分公司中国人寿广东省分公司四、完成测试底稿及支持性文档清单四、完成测试底稿及支持性文档清单

50、：公司层面内部控制测试底稿(范例)77 中国人寿广东省分公司中国人寿广东省分公司四、完成测试底稿及支持性文档清单四、完成测试底稿及支持性文档清单：测试底稿 填写指引78 中国人寿广东省分公司中国人寿广东省分公司四、完成测试底稿及支持性文档清单四、完成测试底稿及支持性文档清单：测试底稿 填写指引79 中国人寿广东省分公司中国人寿广东省分公司四、完成测试底稿及支持性文档清单四、完成测试底稿及支持性文档清单：测试底稿 填写指引80 中国人寿广东省分公司中国人寿广东省分公司四、完成测试底稿及支持性文档清单（续）四、完成测试底稿及支持性文档清单（续）：注意事项：注意事项：测试底稿填写前，仔细阅读测试底稿

51、的填写指引测试底稿填写前，仔细阅读测试底稿的填写指引测试底稿必须与测试底稿必须与公司层面内部控制调查问卷索引公司层面内部控制调查问卷索引测试底稿内容必须完整测试底稿内容必须完整,如：底稿对应的控制、控制内容、控制编号、访谈人、如：底稿对应的控制、控制内容、控制编号、访谈人、时间、执行性文档名称及索引号等；时间、执行性文档名称及索引号等；在以电子版文件作为支持性文档时在以电子版文件作为支持性文档时请注意请注意：删除：删除“审阅模式审阅模式”，确保审阅人看到，确保审阅人看到的是文件的最后版本而不是文件的修改审阅过程。的是文件的最后版本而不是文件的修改审阅过程。(案例）案例）在测试中，有若干个控制需

52、要随机选取在测试中，有若干个控制需要随机选取25名员工进行访谈。建议这些测试的选用名员工进行访谈。建议这些测试的选用相同的样本相同的样本-即与即与25名员工访谈讨论所有问题，并将结果分别写在不同的测试底稿名员工访谈讨论所有问题，并将结果分别写在不同的测试底稿中。并且在测试底稿中需要保留选取中。并且在测试底稿中需要保留选取25名员工的轨迹。（案例）名员工的轨迹。（案例）81 中国人寿广东省分公司中国人寿广东省分公司访谈案例分析访谈案例分析（选取（选取25名员工进行访谈）：名员工进行访谈）：82 中国人寿广东省分公司中国人寿广东省分公司访谈时可以考虑的提问问题：访谈时可以考虑的提问问题：1、关于员

53、工行为守则关于员工行为守则：公司有没有对员工行为守则的具体内容给你们进行过培训？有哪一条给你的印象比较深刻，你觉得哪一条与你的工作最相关？大家认为在电梯里讨论公司事情是否合适，为什么？如果你们的亲戚、朋友打电话向你们询问关于公司的信息，应该怎么处理？大家在工作中如何处理打印后的废纸？83 中国人寿广东省分公司中国人寿广东省分公司访谈时可以考虑的提问问题（续）：访谈时可以考虑的提问问题（续）：2、关于检举揭发机制关于检举揭发机制：你知道有哪些途径可以把你发现的某些员工正在做有损公司利益/或者可能在做的事情向上反映？请问你是否知道公司的举报电话是什么？知道是由谁接听得吗？请问你是否知道公司的举报箱

54、在哪里？你是否知道总公司审计委员会设立的投诉处理热线/邮箱/信箱？知道在哪能查到这些具体内容？公司是否就检举揭发机制对员工进行过培训？对你来说，印象比较深刻的是哪一点？在员工行为守则中第10条，有关于“员工有责任举报。不举报也会受到惩罚“等规定，大家在签这个员工行为守则时是否有什么犹豫？大家认为自己在工作中发现了可疑的潜在的行为，会毫不犹豫的举报吗？你们认为公司的举报机制可以信赖吗？84 中国人寿广东省分公司中国人寿广东省分公司访谈时可以考虑的提问问题（续）：访谈时可以考虑的提问问题（续）：3、关于岗位职责说明与组织架构：你清楚自己的岗位职责和工作汇报关系吗？（同时，核对岗位职责说明书）从哪些

55、渠道能够了解自己本职岗位的职责说明？注：建议提问是不要按照同一种顺序询问而采取随机提问方式；提问的问题也不仅仅限于以上罗列的这些问题。85 中国人寿广东省分公司中国人寿广东省分公司五、发现问题汇总五、发现问题汇总：公司层面内部控制发现问题汇总(范例)86 中国人寿广东省分公司中国人寿广东省分公司五、发现问题汇总（续）五、发现问题汇总（续）：填写指引87 中国人寿广东省分公司中国人寿广东省分公司其他注意事项88 中国人寿广东省分公司中国人寿广东省分公司其他注意事项其他注意事项：1、文档的签字确认：、文档的签字确认：公司层面内部控制调查问卷公司层面内部控制调查问卷应在测试完成所有控制缺陷已识别确认

56、后，由访谈对象与问卷填写人应在测试完成所有控制缺陷已识别确认后，由访谈对象与问卷填写人/测试测试执行人共同签字确认执行人共同签字确认控制测试工作底稿控制测试工作底稿应在测试完成所有控制缺陷已识别确认后，由测试执行人签字确认应在测试完成所有控制缺陷已识别确认后，由测试执行人签字确认发现问题汇总表发现问题汇总表应由相关负责人审核后签字确认应由相关负责人审核后签字确认所有文档均需要由独立的审阅人审阅后签字确认所有文档均需要由独立的审阅人审阅后签字确认89 中国人寿广东省分公司中国人寿广东省分公司2、管理层在公司层面评估工作中的注意事项管理层在公司层面评估工作中的注意事项：应对访谈时：应对访谈时：谨慎

57、对待，从容应答提供支持性文档时提供支持性文档时：文档的时效性规章制度：应考虑制度目前是否仍然生效，是否有新制度已经正式出台，避免出现将旧制度作为支持性文档；实施记录：应尽量用当年发生的控制活动的文档记录作为支持性文档，如果由于当年该活动尚未发生，可以考虑用去年的文档暂时替代，但是应在当年该活动发生后及时用新文档替代。其他：其他：在全公司范围内，加强对员工行为守则、反舞弊程序以及岗位职责说明等的培训力度。其他注意事项（续）其他注意事项（续）：90 中国人寿广东省分公司中国人寿广东省分公司3、员工在公司层面评估工作中的注意事项员工在公司层面评估工作中的注意事项：应对访谈时：应对访谈时：首先须对员工行为守则、检举揭发机制与岗位职责说明/组织架构有一定的了解，做好访谈前的准备；访谈时，不要紧张，从容面对；当问到一些必须知道的内容，如员工行为守则的获取渠道、本岗位职责等，避免回答“不清楚”、“应该。吧”、“好像。”等模糊的字眼；当实在不确定时，也应委婉回答强调自己可以从哪些哪些渠道去获知；访谈中不要过度强调“为了404，公司怎样怎样”，比如发放员工行为守则、进行专项培训之类的；回答内容应正面、积极向上，不应传达负面或者消极的信息。其他注意事项（续）其他注意事项（续）：91 中国人寿广东省分公司中国人寿广东省分公司谢谢谢谢!