第3部分流程层面控制

《第3部分流程层面控制》由会员分享，可在线阅读，更多相关《第3部分流程层面控制（97页珍藏版）》请在装配图网上搜索。

1、企业内部控制规范体系培训第三部分：内部控制体系建设实务2011年9月.南宁3.2 流程层面的内部控制流程层面内部控制建设的基本步骤业务流程梳理业务流程的记录与描述业务流程风险与内部控制的记录内部控制的测试评价与改善财务报告内部控制梳理业务流程，识别流程中的风险和控制活动，并通过流程描述、风险控制矩阵等文档对控制活动和控制点进行记录；执行穿行测试和控制测试，获取关于控制设计有效性和执行有效性的证据；对发现问题进行报告和提出改进建议。流程层面内部控制建设的基本步骤?业务流程梳理业务流程梳理识别流程识别流程中的风险？中的风险？识别并记录识别并记录控制活动控制活动评价和监控评价和监控内控手册内控手册内

2、部控制手册控制是否有控制是否有效运行？效运行？是是是是否否否否控制的设计控制的设计是否有效？是否有效？对控制的记录对控制的记录穿行测试穿行测试建立纠正措施建立纠正措施计划弥补差距计划弥补差距不断监督不断监督控制的有效性控制的有效性控制测试控制测试内控测试风险控制矩阵流程描述业务流程梳理业务流程的定义业务流程是一组逻辑相关的活动，通过这些活动的执行，把资源转化为特定的产出或者通过一连串的活动把输入变成一种产品或者服务。业务流程是设计用来达成组织的商业战略和目标业务流程对于组织至关重要输入输出转换过程业务流程梳理（续）业务流程的层级主流程主流程活动活动子流程子流程子流程子流程 1 1子流程子流程

3、2 2子流程子流程 3 3业务流程梳理（续）主流程主流程：企业确定的最高级别的流程。主流程的目标与其在企业达成整体使命中的角色相关。主流程子流程活动业务流程梳理（续）子流程主流程子流程活动子流程：主流程的一个分支，它代表着一组活动。可能有多个层次的子流程以把主流程和活动联结起来。业务流程梳理（续）活动主流程子流程活动活动：由一个工作职能在相同的地点，采用一种操作模式，一次性执行的一个工作单元。业务流程梳理（续）流程输入：一个业务流程接收并将之转化为输出的材料、资金、人力资源和信息等。流程输出：一个流程为了满足顾客需要或用作下一个流程或活动输入的转化物。业务流程梳理（续）流程边界：一个流程逻辑上

4、的起点和终点流程边界决定：流程中包含了些什么流程中不包含什么流程输入的来源流程输出的去向业务流程梳理（续）举例1：采购子流程目标：在正确的时间，以最优的价格购买到适当数量和质量的商品。输入处理输出采购申请供应商选择填写采购订单采购计划采购订单举例2：货物接收子流程目标：按照订单的数量接收货物，并核对供应商承诺的时间和质量业务流程梳理（续）输入处理输出接受订购货物计数记录接收的货物采购订单库存记录质量检验确定业务流程梳理的范围业务流程范围的确定，需要根据企业内部控制建设的整体规划和目标确定，通常可以波特的价值链模型为基础，结合行业、企业特点来搭建企业的业务流程框架并确定纳入内部控制建设范围的业务

5、流程。也可以利用一些咨询机构总结出的成熟的行业流程框架。企业基础设施人力资源管理技术研发采购进货物流设计经营/制造生产出货物流市场市场与销售服务提供售后服务支持综合管理，规划，筹融资，财务，法律，政府事务等活动以及房产、IT系统及通信网络管理等活动员工招聘、雇佣、培训、发展及员工工资活动能够提高产品和流程的一系列研究计划和工作企业价值链中对于投入原材料的采购职能与原材料的接收、存储和分配相关的活动将原材料转变为产品相关的活动与产品的收集、存储和分配相关的活动市场营销与销售活动为加强和保持产品价值而提供的售后服务相关活动利润利润主要活动主要活动支支持持活活动动业务流程梳理（续）14制造型行业主要

6、业务流程框架展示：业务流程梳理（续）房地产行业主要业务流程框架展示：业务流程梳理（续）上海证券交易所上海证券交易所上市公司内部控制指引上市公司内部控制指引深圳证券交易所深圳证券交易所上市公司内部控制指引上市公司内部控制指引企业内部控制企业内部控制基本规范基本规范明确了公司内部控制建设需要关注的基本业务流程：销售及收款采购及付款生产固定资产管理货币资金管理关联交易担保与融资投资研发人事管理信息系统管理明确了公司内部控制建设需要关注的基本业务流程：销售及收款采购和费用及付款固定资产管理存货管理资金管理财务报告信息披露人力资源管理信息系统管理关联交易控股子公司对外担保募集资金使用重大投资企业内部控制

7、应用指引提供了关键业务流程基本内部控制的具体要求：组织结构 发展战略人力资源社会责任企业文化 资金活动采购业务资产管理销售业务研究与开发工程项目业务担保业务外包财务报告全面预算合同管理内部信息传递信息系统业务流程梳理（续）第1号-组织结构第2号-发展战略第3号-人力资源第4号-社会责任第5号-企业文化内部环境类指引控制活动类指引控制手段类指引第6号-资金活动第7号-采购业务第8号-资产管理第9号-销售业务第10号-研究与开发第11号-工程项目第12号-业务担保第13号-业务外包第14号-财务报告第15号-全面预算第16号-合同管理第17号-内部信息传递第18号-信息系统按照财政部会计司的官方解

8、读，内部控制应用指引分为：业务流程梳理（续）企业内部控制应用指引第1号-组织结构 公司层面内部控制企业内部控制应用指引第2号-发展战略 企业内部控制应用指引第3号-人力资源企业内部控制应用指引第4号-社会责任企业内部控制应用指引第5号-企业文化 企业内部控制应用指引第17号-内部信息传递从企业构建内部控制体系以及开展内部控制评价实际操作的角度，可将应用指引分为公司层面和流程层面两大类：业务流程梳理（续）流程层面内部控制企业内部控制应用指引第12号-业务担保企业内部控制应用指引第13号-业务外包企业内部控制应用指引第14号-财务报告企业内部控制应用指引第15号-全面预算企业内部控制应用指引第16

9、号-合同管理企业内部控制应用指引第18号-信息系统业务流程梳理（续）企业内部控制应用指引第3号-人力资源（人工成本核算）企业内部控制应用指引第6号-资金活动企业内部控制应用指引第7号-采购业务企业内部控制应用指引第8号-资产管理企业内部控制应用指引第9号-销售业务企业内部控制应用指引第10号-研究与开发企业内部控制应用指引第11号-工程项目 需要强调的，应用指引中的需要强调的，应用指引中的1818个流程只是一般企业的通用参考，各个流程只是一般企业的通用参考，各公司在构建自身内部控制体系时，必须结合行业和企业经营管理的特点，公司在构建自身内部控制体系时，必须结合行业和企业经营管理的特点，分析确定

10、适合本企业的业务流程框架。分析确定适合本企业的业务流程框架。业务流程梳理需要过程中需要相关流程的负责人员的积极参与和配合，通常可以由一名对流程相对比较熟悉的业务人员和一名内控人员配合进行。业务流程梳理的方法审阅业务流程制度与实施细则访谈现场观察研讨会(WorkShop)业务流程梳理（续）成功进行访谈的小贴士提前确定访谈时间表，并给予双方充分的时间准备适当的访谈前准备是成功的关键准备适当的访谈提纲，并练习一定的速记技巧告知被访者可能会有后续跟进的事宜需要被访者配合掌握访谈技巧:向被访者清晰解释访谈的目的多问开放性问题正确的诠释被访者所表达的意思一次只问一个问题充当积极的聆听者业务流程梳理（续）多

11、问几个为什么该流程主要包括哪几个类型的业务？流程主要涉及哪几个部门？具体执行业务流程的人员有哪些？具体某个职务所负责的工作有哪些？业务流程的输入和输出是什么？该业务流程的风险主要体现在哪些方面？该业务流程的风险主要体现在哪些方面？针对这些风险，有那些活动可以规避或者降低这些风险？针对这些风险，有那些活动可以规避或者降低这些风险？这些活动发生的频率是什么？这些活动发生的频率是什么？具体的活动是由谁以及如何执行的？具体的活动是由谁以及如何执行的？活动的目的是什么？这些目的达到了吗？活动的目的是什么？这些目的达到了吗？如果没有达到，可以通过增加或者改变活动达到吗？业务流程梳理（续）业务流程的记录与描

12、述流程描述流程描述是用有限的文字叙述来描述步骤性质和程序例如：企业所得税季度申报和预缴财务部税务管理人员按税法的有关规定编制企业所得税季度申报表，准备相关资料经财务部负责人审阅后，提交公司管理层或其授权人员批准并签章。税务管理人员将经管理层批准的企业所得税季度申报表上交主管税务机关。主管税务机关审核后出具税收（所得税）通用缴款书。税务管理人员将税收（所得税）通用缴款书转交财务部会计人员安排支付并进行账务记录。业务流程的记录与描述（续）如何正确地描述一个流程？首先应确定流程的目标和子目标：不同的目标定义，将影响流程的表述结果；例如：确保及时供货。明确流程的起始点和完成点（真正输出）、以及中止点；

13、明确定义流程中一对多/多对一活动之间的关系，一般来说有或，与；定义各活动中的参数：时间、角色、资源、输入输出等。业务流程的记录与描述（续）流程描述包含那些要素？流程描述识别了业务的主要流程，即业务的发生、记录、处理和报告。这些业务流程的关键要素包括：主要的输入资料来源重要的数据档案、文件记录重要的处理过程重要的输出文件、报告和记录职责分离流程描述的两个基本要素分别是“文件及信息”和“程序”。当文件及信息在系统中流转时，业务单元运用特定的程序对其进行处理。流程描述应该尽量包括所有相关的处理步骤。业务流程的记录与描述（续）流程图（续）流程图的类型流程图一般分为水平流程图（horizontalflo

14、wcharts)和垂直流程图(verticalflowcharts)。水平流程图将过程中所涉及的部门或职能以水平方式描述在页面上，强调的是整个过程中所有的步骤的水平流动，包括了过程涉及的职能部门。通常代表某一部门或职能应承担的活动、应遵守的控制制度和文件资料流动被反映在同一垂直列上。垂直流程图以上到下的形势来反映某过程的连续步骤,并且在图标外留出大量空间用于文字描述每个步骤。但是，与水平流程图不同的是，它不能清晰的反应系统所涉及的各个部门及部门的职能。示例业务流程的记录与描述（续）流程图（续）流程图（续）水平流程图示例业务流程的记录与描述（续）流程图（续）流程图（续）垂直流程图范例XXXXXX

15、股份有限公司股份有限公司业务流程风险与内部控制的记录（续）风险控制矩阵风险控制矩阵是最重要的一份内控文档。矩阵中列示了流程中的主要风险、控制目标及与该风险对应的内部控制活动等信息，包括各内部控制的发生频率、控制负责人、控制类型、是否关键控制等要素风险控制矩阵和流程描述（或流程图）构成内部控制手册主要内容将风险与控制联系起来提供一个严谨的架构，从风险和内控目标出发，确保所有相关内控都得到充分的记录形成一套标准的内控文档记录直观的显示了现有控制是否充分及有效形成了一个内控缺陷识别和确认的机制有利于外部审计师的审核业务流程风险与内部控制的记录（续）风险控制矩阵的作用风险控制矩阵的作用风险的描述根据访

16、谈了解到的情况，总结流程中可能产生的风险，如果企业已经建立了风险清单，则需要将已经识别出的风险与业务流程进行匹配。根据业务流程的内容，有针对性的将风险进行描述例如：销售合同的签订未经授权，导致虚假交易或合同信息错误XXXXXX股份有限公司股份有限公司范例业务流程风险与内部控制的记录（续）控制目标的描述针对可能产生的风险点描述最终要达到的控制效果，尽量做到清晰、明确例如：确保销售合同在签订之前已经过适当审批复核XXXXXX股份有限公司股份有限公司范例业务流程风险与内部控制的记录（续）控制活动的描述根据收集到的资料和访谈中了解到的情况，描述公司针对可能产生的风险所进行的控制活动例如：销售合同签订前

17、需要经过销售部经理、财务部经理和法律部经理审批复核，确定合同条款与公司规定相符。XXXXXX股份有限公司股份有限公司范例业务流程风险与内部控制的记录（续）控制活动的描述对于一个控制点，要描述出五个方面内容（5W）：Who 谁谁是该控制的执行者 When 控制在什么时间什么时间发生 What 如何实施如何实施该控制 Where 控制体现在什么地方什么地方 Why 该控制的目的目的例如：销售部经理（谁）每月末（什么时间）将本月实际销售收入与预算进行比较分析（如何实施），并在分析报告上签字（什么地方），以确保当月销售收入无重大错误和遗漏（目的）。业务流程风险与内部控制的记录（续）关键控制是规避风险、

18、实现控制目标的最有影响的一个或多个控制关键控制对公司经营运作具有深入的影响，关键控制的失败将直接影响到公司战略、运营、合规、财务和资产安全几大目标的实现典型的关键控制有：职责分离、系统与数据的接触限制、变更控制（即对所有变更都有相应的控制，确保变更得到授权且准确；变更后有人复核）、物理安全、授权批准、审阅等等例如：“票据（支票）与银行印鉴分开保管”通常为资金流程中资金安全性的关键控制点，如果此控制失效，将很难防止银行存款被挪用或窃取。业务流程风险与内部控制的记录（续）关键控制关键控制业务流程风险与内部控制的记录（续）控制活动：指能够帮助确保公司应对风险的方法会被及时执行的政策和步骤。普遍采用的

19、控制活动如下：授权审批控制不相容职务分离控制会计系统控制财产保护控制预算控制运营分析控制绩效考评控制业务流程风险与内部控制的记录（续）授权审批控制举例：公司对于各费用在各部门指定授权审批人。审批人根据业务情况授权下属人员作为被授权审批人，编制报销签字审批表送至财务部，作为财务部审核报销单的依据。评价内控设计需考虑的问题：由谁执行；手工还是自动；能否看到审批痕迹；审批权限的设置是否合理；是否有固化程序可以遵循；是否可能绕过审批程序以及如何发现；管理层是否对审批程序的执行有适当的监督；等业务流程风险与内部控制的记录（续）不相容职务分离控制举例：记账会计与银行出纳分离；销售人员与财务记账人员分离等评

20、价内控设计需考虑的问题：职责分离是否固化到内控程序；职责分离是否由系统实施；岗位职责的界定是否清晰；岗位职责能否被越过；管理层是否对职责的分离实施监督；等业务流程风险与内部控制的记录（续）会计系统控制举例：会计凭证控制（如会计凭证审核、凭证连续编号）；会计科目、财务账套的设置；会计复核（证、账、表记录相符）评价内控设计需考虑的问题：财务系统设置的修改是否保留记录；对修改的系统设置是如何测试的，如何授权修改的，系统的业务流量有多大，数据处理中的问题是如何发现的；是否存在关账检查清单；实施复核的频率；复核程序是否固化（是否有意外的复核要求）；复核程序是否留下审计轨迹；对于复核程序中发现的问题是如何

21、跟踪调查的；跟踪调查是否及时;等业务流程风险与内部控制的记录（续）财务保护控制举例：限制接近现金、其他易变现资产、存货；定期盘点；资产保管、批准和记录职务分离有效性；会计资料妥善保管；往来对账机制；应收账龄分析及催收评价内控设计需考虑的问题：实施的频率；手工或自动实施；基础数据源的完整和准确性；岗位职责是否有效分离；如何分析发现核对差异；对核对差异的跟踪调查是如何实施的；是否留下审计轨迹；是否有管理层的复核；等业务流程风险与内部控制的记录（续）预算控制举例：公司建立全面预算的管理体系（包括资本预算、经营预算及财务预算等）对公司经营活动实施有效控制，明确公司预算管理组织及其职责。加强对各单位预算

22、执行的监控力度，维护预算刚性，集团根据全面预算的各项指标建立了经营业绩考核制度，对各被考核单位依据考核指标体系化和考核差异化管理的原则进行年度经营业绩考核和任期经营业绩考核。实行各公司工资总额与上年度业绩考核成绩相挂钩。评价内控设计需考虑的问题：预算是否体现企业经营目标并明确职权；预算调整的审批；预算执行情况跟踪分析；预算与绩效考核挂钩；等业务流程风险与内部控制的记录（续）运营分析控制举例：管理层通过定期生产经营分析会形式对公司目标与业务计划进行讨论，对公司经营计划和预算的执行情况进行评估与更新，为各级管理层决策提供支持。评价内控设计需考虑的问题：运营分析目标；分析方案内容；数据信息收集；分析

23、频率；分析报表编制与审阅；分析问题的应对和跟踪；等业务流程风险与内部控制的记录（续）绩效考评控制举例：制定经营业绩考核暂行办法，建立激励和约束机制，客观、公平、公正、真实地考核各经营单位、主要领导人和员工的经营业绩。明确的部门职责，对各单位的考核实行月度工作分析、季度考核和年度考核相结合的方式。评价内控设计需考虑的问题：KPI计算的频率；谁来编制KPI及是否合适；KPI编制是否由系统完成；对KPI的审阅和分析由谁执行，审阅和分析执行的频率；KPI的审阅与编制是否分离；KPI的审阅是否留下审计轨迹；对KPI的衡量标准制定是否合理；管理层对于KPI的预期是如何建立的；对于超预期的KPI是如何调查调

24、整的；等控制方法要求不相容职务分离控制全面系统地分析、梳理业务流程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制授权审批控制 编制常规授权的权限指引，严格控制特别授权明确各岗位办理业务和事项的权限范围、审批程序和相应责任对重大的业务和事项实行集体决策审批或者联签制度会计系统控制 严格执行国家统一的会计准则制度，加强会计基础工作企业应当依法设置会计机构，配备会计从业人员大中型企业应当设置总会计师财产保护控制 建立财产日常管理制度和定期清查制度采取财产记录、实物保管、定期盘点、账实核对等措施，确保财产安全。企业应当严格限制未经授权的人员接触和处置财产控制方法小

25、结业务流程风险与内部控制的记录（续）控制方法要求预算控制 实施全面预算管理制度明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束运营分析控制 建立运营情况分析制度经理层综合运用各方面信息，定期开展运营情况分析，发现存在的问题，及时查明原因并加以改进绩效考评控制 建立和实施绩效考评制度科学设置考核指标体系，进行定期考核和客观评价，考评结果作为薪酬及职务升降的依据控制方法小结业务流程风险与内部控制的记录（续）按实现的方式分类：手工操作自动化依赖自动化的手工操作按功能分类预防性控制发现性控制XXXXXX股份有限公司股份有限公司范例业务流程风险与内部控制的记录（续

26、）控制的类型业务流程风险与内部控制的记录（续）控制的类型（续）手工操作不由计算机系统执行的，而被人执行的控制程序不依赖计算机系统生成的信息例如:人工的签署采购订单人工的对收到的清单进行核对并且留下手工标记。业务流程风险与内部控制的记录（续）控制的类型（续）控制的类型（续）自动化自动化自动化是指由计算机执行的内控程序例如:在销售时，对超出信用额度的客户，销售订单会被糸统自动冻结。业务流程风险与内部控制的记录（续）控制的类型（续）依赖自动化的手工操作依赖自动化的手工操作是人通过运用电脑生成的信息来进行控制，因此它是人与电脑相结合的产物电脑生成的信息通常都可以作为电子证据以作勾稽之用由于依赖自动化的

27、手工操作很大程度上依赖电脑系统生成的信息报告，保证电脑系统生成信息的完整性和准确性尤为重要例如：人工检查和跟进管理层编制的每月由电脑产生的异常情况报告和每月发现的重大异常情况预防性控制预防性控制发现性控制发现性控制发生于差错出现之前正常情况下适用于单笔交易或系统设置例:电脑系统中设置的权限划分，只有有权限的人员才能在系统中进行特定操作发生于差错出现之后正常情况下适用于多笔交易例:通过编制银行余额调节表来发现未达账项的性质，进行分析其合理性业务流程风险与内部控制的记录（续）控制的类型（续）控制的类型（续）对比预防性控制和发现性控制对比预防性控制和发现性控制内部控制的测试评价与改善（续）穿行测试的

28、含义在穿行测试中，对每类重大交易中选择一笔交易，从其起始进行追溯直至业务的终结。需要注意的是，我们选择一个比较完整的样本，应从头至尾穿行，尽量确保在流程各个环节获取的文档要能勾稽起来。穿行测试的目的通过流程穿行测试，找出流程描述与内控文档的内容与实际执行情况的差异，分析差异产生的原因，并提出整改完善建议，使内控文档与实际情况保持一致，为顺利通过公司管理层测试和外部审计师测试提供保障。执行穿行测试的具体步骤：选取样本，获取原始单据、跟踪交易全过程。例如：销售流程通常包括：月度销售计划合同开具提货单计量发货收款编制结算凭证账务处理对账；记录测试过程、复印留存相关文档并在复印件上逐一编号；撰写穿行测

29、试报告；将穿行测试报告及复印的相关文档妥善归档；每个流程（子流程、模块）都必须选择一笔业务样本进行穿行测试。如果流程涉及多个分支，应在每条分支分别选取一个样本进行测试；穿行测试样本应从属于本流程的业务中抽取，选择具有代表性和典型性的能够广泛涵盖该流程的诸多控制环节样本进行测试。内部控制的测试评价与改善（续）XXXXXX股份有限公司股份有限公司范例穿行测试表记录流程穿行测试的相关步骤反映穿行测试中核查到的内部控制内容记录穿行测试结果与复印的穿行测试纸质文件交叉索引内部控制的测试评价与改善（续）执行穿行测试需要关注以下几个方面内容：每次年度必须做穿行测试；如果没有每年实际“穿行”重要流程的交易，容

30、易产生流程的改变导致未被发现的风险穿行测试应包括全部流程：交易开始，授权，记录，处理，单笔交易报告，以及识别每个重要流程中的控制点，包括旨在发现舞弊风险的控制内部控制的测试评价与改善（续）执行穿行测试过程中的常见问题：未挑选恰当或典型的穿行测试样本，从业务流程的起点到终点对整个内部控制活动的过程进行测试，无法确定内部控制活动的设计是否有效；穿行测试步骤写的过于简单，多数情况下仅针对签字复核进行测试，未对涵盖控制执行的步骤和细节，无法通过测试确认控制是否有效执行；未在穿行测试纸质文档中对控制点进行标识，对控制执行人的职务进行说明，无法确认控制是否被有效执行；穿行测试纸质文档的交叉索引工作未妥当执

31、行，无法体现穿行测试文档之间的勾稽关系。内部控制的测试评价与改善（续）遵从测试遵从测试仅需对控制矩阵中列示的关键控制进行测试上半部为测试方法及步骤，下半部为测试结果测试方法及步骤中记录了所测试的内部控制、测试样本来源、内部控制频率、测试样本数量及测试程序等信息XXXXXX股份有限公司股份有限公司范例内部控制的测试评价与改善（续）XXXXXX股份有限公司股份有限公司范例内部控制的测试评价与改善（续）任意抽样不存在如何选择性的抽样（非统计学抽样）选择抽样可以在所有数据比较一致的情况下选用。例如，在IT系统中，电脑对数据的处理是一致的。（非统计学抽样）随机抽样随机抽样一般被认为是最具有代表性的取样方

32、式。随机选取通常是采用电脑来完成。（统计学抽样）连续抽样如果所有数据的总数是可知的，一个系统的抽样可能更合理，比如抽取第n个数据为样品（非统计学抽样）例如：总数为150，抽样数量为16，则需要从每9个（150/16=9）抽取一个样品。假定是从第7个开始，样品即为：7,16,25,34,43,52,61,70,79,88,97,106,115,124,133,142内部控制的测试评价与改善（续）测试样本来源样本的选取方法：测试样本来源样本的选取方法：XXXXXX股份有限公司股份有限公司范例内部控制的测试评价与改善（续）控制频率及样本量的选取：控制频率及样本量的选取：内部控制实施的频率内部控制实施

33、的频率参考样本量参考样本量每年（一般为年终）1个每季度2个每月2个每周5个每天25个反复持续进行（每日多次）25个不定时全年样本总量的10内部控制的测试评价与改善（续）XXXXXX股份有限公司股份有限公司范例内部控制的测试评价与改善（续）测试程序：测试程序：观察员工执行控制步骤可能需要其他跟进测试文档记录要求：谁，什么时候，观察的结果询问询问穿行测试、观察穿行测试、观察审阅与检查审阅与检查重新执行重新执行最不可靠最不可靠最可靠最可靠通过口头或书面形式确认控制存在/做薄弱的测试方法应该与其他测试共同执行/应该询问多人以确定结果一致文档记录要求：谁，什么时候，哪里，怎样获得资产存在证据的最简单的方

34、法审阅文档记录或报告提供详细内容从而可以重复测试步骤并检验结果采用独立的数据重新进行对账按系统的计算公式重新计算在系统中输入测试数据来查看结果测试文档记录的详细程度可以保证重新测试 内部控制的测试评价与改善（续）缺陷整改的实施缺陷整改的实施流程负责人及管理层对于缺陷事实的认可对于缺陷产生原因的判定缺陷为公司共性的问题还是个别分公司独有的问题整改计划的目标是针对缺陷产生的原因，而不是针对缺陷的表象整改计划应符合有针对性、可衡量、可完成、符合现实情况、及时等五项原则整改计划实施的跟进与监督否否审查了解控制差异审查了解控制差异的起因和结果。控的起因和结果。控制目标是否达到？制目标是否达到？是否可以增

35、加其他是否可以增加其他测试程序证明已发测试程序证明已发现的差异不能代表现的差异不能代表所有内控的情况？所有内控的情况？是是扩大测试范围，扩大测试范围，重新评估，控制重新评估，控制目标是否达到？目标是否达到？否否该差异不是控该差异不是控制缺陷，不必制缺陷，不必再考虑再考虑设计缺陷设计缺陷/执行缺陷执行缺陷是是是是否否缺陷的认定缺陷的认定从整体控制目标实现的角度出发，对缺陷进行认定，按照缺陷的影响程度定义缺陷。从控制设计和执行两方面出发，将缺陷进行分类，制定缺陷整改计划并加以实施。缺陷的认定及整改实施缺陷的认定及整改实施内部控制的测试评价与改善（续）编编号号控制缺控制缺陷流程陷流程控制编号控制编号

36、控制缺陷描述控制缺陷描述缺陷类缺陷类型型风险评风险评级级负责部负责部门门整改责任整改责任人人整改建议整改建议管理层管理层反馈反馈计划整改完计划整改完成日期成日期整改状态整改状态设计缺陷设计缺陷1 特殊品的管理C-PP-8-2 公司已经在各项管理规程中对生产过程中涉及到的特殊品从物理特性上进行了理论上的说明，但目前尚未建立危险化学品清单，缺乏对具体每种危险化学品的名称、特性及特殊的接触、储存方式等以清单的形式进行简化的说明，可能导致生产或仓库的一些基层人员因缺乏相关专业知识，无法根据定性的概念对危险化学品进行辨识，从而产生生产安全隐患。缺乏制度政策中质量管理部计划物流部*公司应建立危险化学品清单

37、，将生产过程中涉及到的危险化学品名称、特性及特殊的接触、储存方式等内容以清单的形式进行简化说明，从而更有利于具体工作岗位员工进行查阅。危险化学品清单一经建立后，需要经具有相应专业知识的相关部门进行审批复核，并及时下发到可能接触到危险品的相关岗位作为工作指引。同时，应指定专门部门对危险化学品清单进行维护，定期根据公司实际生产情况对危险品化学清单进行检查并保留书面检查证据。2009年12月31日相关的危险化学品清单已经建立并已获取，但还没有经过审批程序并开始实施。内部控制的测试评价与改善（续）操作缺陷操作缺陷1 采购订单制订及管理C-PP-5-1目前，仅由计划物流部的信息管理员根据经审批的采购计划

38、或追加采购计划在K3系统中录入采购订单，同时亦由其负责订单的审核确认工作，没有独立人员对采购订单的内容进行审核，存在职责分离不当。职责分离不当低计划物流部*建议将采购订单的录入人员与审核人员分开，由独立人员对采购订单的系统录入信息与经审批的采购计划进行核对，确保数据的正确性。2009年10月31日已整改2 采购合同的签订及管理C-PP-6-3由于授权书保管不善，并未获取本年度的授权书。缺乏控制证据低计划物流部*建议补签有关授予签订采购合同权限的授权书，授权书的内容应包括授予的具体权限及有效期限等内容。并指定专门人员负责授权书的保管。2009年12月31日已整改3 采购申请及审批C-PP-3-2

39、经内控测试发现，6月份之前的部分购买申请计划表（例如：1月5日、2月9日、5月14日、5月27日等）只有计划人签字，缺少质量管理部部长签字确认。控制缺乏有效执行低质量管理部*建议在今后计划人员要及时将购买申请计划表交质量管理部部长审核并签字确认后，方可执行采购。2009年12月31日已整改内部控制的测试评价与改善（续）内部控制的测试评价与改善（续）整改完成后，进行再测试，需注意首先要进行穿行测试，以验证相关整改是否按照既定的整改方案完成；遵从测试应在整改完成并持续运转一段时间后进行，以保证有足够的样本进行测试；根据测试的结果，决定是否需要对内部控制手册进行相应的修订财务报告内部控制三大要素：重

40、要性水平、业务流程框架、业务单元步骤：1、计算合并财务报表层次的重要性水平2、识别合并财务报表层次的重要会计科目3、识别关键业务流程并将其与重要会计科目匹配4、识别业务单元的覆盖范围步骤1、计算合并财务报表层次的重要性水平步骤2、识别合并财务报表层次的重要会计科目 1.1 决定计划重要性水平及可容忍误差（金额重大）确定基准（日期）确定重要性水平指标及标准 确定可容忍误差1.2 识别可能影响重要性水平的其他因素（性质重大）会计科目由复杂的成分所组成；容易受人为操纵或由于错误或舞弊而遭受损失；会计科目的性质特殊，容易隐藏错误，需要多加关注；发生交易量大；牵涉复杂的会计处理和披露要求；账户余额牵涉主

41、观判断；存在关联方交易；当期外部环境（例如，法律法规，会计准则）或报告的要求发生变化；会计科目中反映出来的由经营活动所引起的重大或有负债的可能性。财务报告内部控制（续）步骤3、识别关键业务流程并将其与重要会计科目配比步骤4、识别业务单元的覆盖范围指标选取财务报告内部控制（续）资 产行次采购与付款工薪与人事生产与仓储销售与收款筹资与投资固定资产财务报告流动资产：1 货币资金2 应收账款7 预付款项8 应收股利12 应收利息13 存货16 其中：原材料17 库存商品（产成品）1822流动资产合计23 固定资产原值31 减：累计折旧32 减：固定资产减值准备34 在建工程36 固定资产清理3839非

42、流动资产合计52资产总计53负债及所有者权益（股东权益）行次55 应付账款61 应付职工薪酬6575所有者权益（股东权益）合计105负债和所有者权益（股东权益）总计106财务报表项目对应业务流程示例：财务报告内部控制（续）在进行财务报告内部控制建设过程中，风险主要是指可能导致重要会计科目和披露事项中的重大错报的可能性。重要会计科目和披露事项是透过企业的业务流程/子流程所产生的。若不能有效的透过置于业务流程/子流程的内部控制以控制有关风险，错报的可能性便会增加。管理层以及审计师必须确认业务流程/子流程并进行风险评估，以评估各领域的内控范围。财务报告内部控制（续）XXXXXX股份有限公司股份有限公

43、司财务报表认定财务报表认定范例财务报告内部控制（续）财务报表认定财务报表认定存在与发生资产负债表所列的各项资产、负债、权益在资产负债表日是否存在，损益表所列的各项收入和费用在会计期间是否确实发生。需要注意的是“存在或发生”认定所需要解决的问题是，管理当局是否把那些不应包括的项目（如不存在的项目或不曾发生的交易结果）记入了会计报表，但并不涉及所报告的金额是否正确。例如:资产负债表日，一些记录在存货账中的货物并不存在在没有真实发货的情况下记录销售收入财务报告内部控制（续）财务报表认定（续）财务报表认定（续）完整性在会计报表中应列示的所有交易和项目是否都列入了。这里需注意，有关“完整性”的认定所要解

44、决的问题是，管理当局是否把应包括的项目给遗漏或省略了，并不涉及所报告的金额是否正确。可见，“完整性”认定与“存在与发生”认定正好相反，它主要与会计报表的组成要素的低估有关。即“该记账的没记”。例如：当月所有发出的货物没有被全部计入当期的销售收入当月所有采购入库的存货没有全部入账（由于发票未到）财务报告内部控制（续）财务报表认定（续）财务报表认定（续）估价与分摊估价与分摊 各项资产、负债、所有者权益、收入和费用等要素是否按各项资产、负债、所有者权益、收入和费用等要素是否按适当的金额列入会计报表中。适当的金额列入会计报表中。例如:固定资产入帐价值不准确（如在入账时漏计了相应的税费）外币折算没有应用

45、正确的汇率财务报告内部控制（续）财务报表认定（续）财务报表认定（续）权力与义务在某一特定日期，各项资产是否确属公司的权利，各项负债是否确属公司的义务，需注意该认定只与资产负债表的组成要素有关。例如:账面上的固定资产并非为公司所有公司所列的应付账款并非为公司的债务财务报告内部控制（续）财务报表认定（续）财务报表认定（续）表达与披露会计报表上的特定组成要素是否被适当地加以分类、说明和披露。例如:应收帐款的贷方余额没有被正确的重分类至预收账款没有按照会计准则要求恰当的披露关联方交易财务报告内部控制（续）只有经过核准的采购订单才能发给供应商已记录的采购订单内容准确采购订单均已得到处理已记录的采购均确已

46、收到物品已记录的采购均确已接受劳务已记录的采购交易计价正确与采购物品相关的义务均已确认并记录至应付账款与接受劳相关的义务均已确认并记录至应付账款采购物品交易记录于适当期间仅对已记录的应付账款办理支付准确记录付款付款均已记录付款均记录于恰当期间对供应商档案的变更均真实和有效供应商档案变更均已进行处理对供应商档案变更均为准确的对供应商档案变更均已于适当期间进行处理确保供应商档案数据及时更新业务流程一：采购与付款业务流程一：采购与付款主要控制目标举例：财务报告内部控制（续）业务流程二：工薪与人事业务流程二：工薪与人事主要控制目标举例：财务报告内部控制（续）员工名册新增项目均为真实有效新增员工均确已记

47、入员工名册离职员工均确已从员工名册中删除员工名册删除项目均为真实有效的用以计算生产人员工资的工作时间数据均为实际工时用以计算管理人员工资的工作时间数据均为实际工时员工工作时间均已完整记录和输入输入系统的时间记录均为准确的准确计算和记录工资费用工资费记录于适当期间支付的工资与实际工时记录相关常备数据变动均为真实和准确的，并及时处理已验收材料均附有有效采购订单已验收材料均已准确记录已验收材料均已记录已验收材料均已记录于适当期间发出材料均已准确记录发出材料均已记录于适当期间已记录的生产成本均为真实发生且与实际成本一致已发生的生产成本均已记录已发生的生产成本均记录于适当期间存货流转已完整准确地记录于适

48、当期间完工产成品均已准确地记录于适当期间产成品发运均已记录产成品发运均已准确记录已发运产成品均附有有效销售订单产成品发运均已记录于适当期间适当保管存货准确记录存货价值存货价值调整已于适当期间记录存货价值调整是真实发生的存货价值调整均已记录业务流程三：生产与仓储业务流程三：生产与仓储主要控制目标举例：财务报告内部控制（续）仅接受在信用额度内的订单管理层核准销售订单的价格、条件已记录的销售订单的内容准确销售订单均已得到处理已记录的销售均确已发出货物已记录的销售交易计价准确与销售货物相关的权利均已记录至应收账款销售货物交易均已记录于适当期间已记录的销售退回、折扣与折让均为真实发生收款是真实发生的准确

49、记录收款收款均已记录收款均已记录于恰当期间监督应收账款及时收回对顾客档案变更均为真实有效对顾客档案变更均为准确的对顾客档案变更均已于适当期间进行处理确保顾客档案数据及时更新业务流程四：销售与收款业务流程四：销售与收款主要控制目标举例：财务报告内部控制（续）已记录的借款均确为公司的负债借款均已准确记录借款均已记录借款均已记录于适当期间财务费用均已准确计算并记录于适当期间已记录的偿还借款均为真实发生偿还借款均已准确记录偿还借款均已记录偿还借款均已记录于适当期间已记录的投资均为公司的投资投资交易均已记录投资交易计价准确投资交易均已记录于适当期间投资收益均已准确计算并记录于适当期间业务流程五：筹资与投

50、资业务流程五：筹资与投资主要控制目标举例：财务报告内部控制（续）记录固定记录固定 资产资产固定资产固定资产折旧及减值折旧及减值固定资产日常保固定资产日常保管、处置及转移管、处置及转移 已记录的固定资产均为公司购置的资产固定资产采购交易均已记录已记录的固定资产采购交易计价正确所有固定资产采购交易已记录于适当期间准确计提折旧费用、资产减值损失折旧费用、资产减值损失已记录于适当期间折旧费用、资产减值损失均已进行记录折旧费用、资产减值损失是真实的已充分保障固定资产的安全已记录的固定资产处置及转移均为实际发生的固定资产处置及转移均已记录固定资产处置及转移均已准确记录固定资产处置均已记录于适当期间业务流程

51、六：固定资产业务流程六：固定资产主要控制目标举例：财务报告内部控制（续）业务流程七：财务报告业务流程七：财务报告主要控制目标举例：财务报告内部控制（续）将财务信息将财务信息从明细账过入总账从明细账过入总账会计分录调整会计分录调整准备财务报告准备财务报告明细账汇总的财务信息是有效的。所有明细账上记录的财务信息均得到汇总。从明细账汇总的财务信息记录准确。所有子公司的财务报告均有效且得到准确汇总。汇入财务信息的调整分录是有效的。所有必需的调整分录都已汇总。所有入账的调整分录都是准确的。披露的财务报告的数据准确。公司所披露的财务报表的表达和披露符合相关规定。所有披露的规定已经体现在公司财务报告中。所有

52、在财务报告及附注中披露的数据和认定都是有效的。所有财务报告的数据和认定已经包含在财务报告附注中。公司采用的会计政策符合相关准则的要求。需求部门需求部门采购部门采购部门验收部门验收部门填写请购单填写请购单并经核准并经核准填写订购单填写订购单并经核准并经核准经核准请购单经核准请购单送供应送供应商商送财务送财务部部清点商品并与订清点商品并与订购单相勾稽购单相勾稽经核准的经核准的请购单请购单2 21 1经核准的经核准的请购单请购单2 25 54 43 32 2经核准的经核准的订购单订购单1 12 2经核准订购单经核准订购单4 4填写验收报告填写验收报告经核准订购单经核准订购单3 32 2验收报告验收报

53、告1 14 4送仓储部签送仓储部签字确认字确认财务部门财务部门经核准订购单经核准订购单5 5经核准的经核准的请购单请购单2 2验收报告验收报告1 1进货发票进货发票采购部采购部送来送来验收部验收部送来送来供应商供应商送来送来账务处理账务处理进货发票进货发票验收报告验收报告1 1经核准订购单经核准订购单5 5经核准的请购经核准的请购单单2 2核对文件并开立支配核对文件并开立支配与汇款通知单与汇款通知单支票签章，执行付款支票签章，执行付款相关资料存相关资料存档备查档备查业务流程图业务流程图部分业务流程讲解采购与付款 部分业务流程讲解采购与付款（续）子流程1：采购请购环节常见问题：请购不应采购的物品

54、请购物品超量请购未经适当审批或超越授权审批采购环节常见问题：采购人员与供应商勾结未经授权订购子流程2：记录应付账款验收环节常见问题：验收人员与请购、采购人员不独立验收人员未经清点即予认可验收未采购货品部分业务流程讲解采购与付款（续）子流程2：记录应付账款（续）记账环节常见问题：应付账款的编制可能依据虚拟的交易应付账款所记载的会计科目及交易事项不实应付账款未予入账已进仓的货单未记账子流程3：付款付款环节常见问题：付款给非供应商支付了未经核准的采购重复付款开具支票未及时入账，支票记录可能发生错误未定期与供货商核对账目虚假票据部分业务流程讲解采购与付款（续）部分业务流程讲解采购与付款（续）制定财务报

55、告编制方案和会计核算办法外部使用者外部使用者会计事务所会计事务所财务部门财务部门下属企业财务部门下属企业财务部门确定重大事项、关联交易等会计处理清查资产核实债务结账编制母公司财务报表编制子公司会计报表，勾稽关系校验和审核相关负责人进行审核编制合并财务报表财务部门负责人审核企业负责人审核对企业年度会计报表进行审计提出调整意见向政府监管部门、外部投资者等报送会计信息提出调整意见审核通过财务报告业务流程图财务报告业务流程图部分业务流程讲解财务报告部分业务流程讲解财务报告（续）常见问题：关联方相关管理制度、办法缺失，没有明确和规范关联方界定、交易范围及类型、定价原则、关联方交易授权审批以及识别流程，不

56、能为关联方管理提供有效指导，无法确保关联交易的合规性重大交易事项、关联方的认定缺乏有效文档支撑，关联方交易合同签订不规范关联交易对账不及时，无法确保关联方交易记录的准确性、完整性财务核算中，部分环节缺乏审核程序和文档支撑。如：没有对未达账项进行合理地分析，并跟踪处理。银行余额调节表没有得到有效地复核会计科目的设定及维护没有进行相应的复核无书面的流程和程序来指导关账工作，财务报告编制前期准备工作不充分，可能导致结账前未能及时发现会计差错；纳入合并报表范围不准确、调整事项或合并调整事项不完整部分业务流程讲解财务报告（续）部分业务流程讲解财务报告（续）投资项目拟定投资方案是否重大相关部门审批股东大会/董事会审议否是投资计划编制与审批执行筹资计划投放使用处置与回收账务处理部分业务流程讲解筹资与投资投资业务流程图部分业务流程讲解筹资与投资（续）常见问题：并购交易未经适当审核或超越授权审批，投资决策过程不独立。企业资产重组、企业并购、破产清算、股权处置和清理等事项的方案设计不合理，战略契合度差尽职调查不深入，投资决策支持信息不充分投资收回、转让与核销未执行规定程序，导致投资损失投资项目处置的决策不当，导致权益受损并购交易财务处理不当，不符合会计准则要求重大事项交易处理缺乏充分合理的依据，如减值准备评估部分业务流程讲解财务报告（续）谢谢！谢谢！