第3部分32流程层面控制

《第3部分32流程层面控制》由会员分享，可在线阅读，更多相关《第3部分32流程层面控制（97页珍藏版）》请在装配图网上搜索。

1、第第3部分部分 32 流程层面流程层面控制控制3.2 流程层面的内部控制流程层面内部控制建设的基本步骤业务流程梳理业务流程的记录与描述业务流程风险与内部控制的记录内部控制的测试评价与改善财务报告内部控制Page 3搭建或整合全面风险管理及内部控制体系的要点梳理业务流程，识别流程中的风险和控制活动，并通过流程描述、风险控制矩阵等文档对控制活动和控制点进行记录；执行穿行测试和控制测试，获取关于控制设计有效性和执行有效性的证据；对发现问题进行报告和提出改进建议。?业务流程梳理业务流程梳理识别流程识别流程中的风险？中的风险？识别并记录识别并记录控制活动控制活动评价和监控评价和监控内控手册内控手册内部控

2、制手册控制是否有控制是否有效运行？效运行？是是是是否否否否控制的设计控制的设计是否有效？是否有效？对控制的记录对控制的记录穿行测试穿行测试建立纠正措施建立纠正措施计划弥补差距计划弥补差距不断监督不断监督控制的有效性控制的有效性控制测试控制测试内控测试风险控制矩阵流程描述流程层面内部控制建设的基本步骤流程层面内部控制建设的基本步骤Page 4搭建或整合全面风险管理及内部控制体系的要点业务流程梳理业务流程梳理业务流程的定义业务流程是一组逻辑相关的活动，通过这些活动的执行，把资源转化为特定的产出或者通过一连串的活动把输入变成一种产品或者服务。业务流程是设计用来达成组织的商业战略和目标业务流程对于组织

3、至关重要输入输出转换过程Page 5搭建或整合全面风险管理及内部控制体系的要点业务流程梳理（续）业务流程梳理（续）业务流程的层级主流程主流程活动活动子流程子流程子流程子流程 1 1子流程子流程 2 2子流程子流程 3 3Page 6搭建或整合全面风险管理及内部控制体系的要点业务流程梳理（续）业务流程梳理（续）主流程 主流程：企业确定的最高级别的流程。主流程的目标与其在企业达成整体使命中的角色相关。主流程子流程活动Page 7搭建或整合全面风险管理及内部控制体系的要点业务流程梳理（续）业务流程梳理（续）子流程主流程子流程活动子流程：主流程的一个分支，它代表着一组活动。可能有多个层次的子流程以把主

4、流程和活动联结起来。Page 8搭建或整合全面风险管理及内部控制体系的要点业务流程梳理（续）业务流程梳理（续）活动主流程子流程活动活动：由一个工作职能在相同的地点，采用一种操作模式，一次性执行的一个工作单元。Page 9搭建或整合全面风险管理及内部控制体系的要点业务流程梳理（续）业务流程梳理（续）流程输入：一个业务流程接收并将之转化为输出的材料、资金、人力资源和信息等。流程输出：一个流程为了满足顾客需要或用作下一个流程或活动输入的转化物。Page 10搭建或整合全面风险管理及内部控制体系的要点业务流程梳理（续）业务流程梳理（续）流程边界：一个流程逻辑上的起点和终点流程边界决定：流程中包含了些什

5、么流程中不包含什么流程输入的来源流程输出的去向Page 11搭建或整合全面风险管理及内部控制体系的要点业务流程梳理（续）业务流程梳理（续）举例1：采购子流程目标：在正确的时间，以最优的价格购买到适当数量和质量的商品。输入处理输出采购申请供应商选择填写采购订单采购计划采购订单Page 12搭建或整合全面风险管理及内部控制体系的要点举例2：货物接收子流程目标：按照订单的数量接收货物，并核对供应商承诺的时间和质量输入处理输出接受订购货物计数记录接收的货物采购订单库存记录质量检验业务流程梳理（续）业务流程梳理（续）Page 13搭建或整合全面风险管理及内部控制体系的要点确定业务流程梳理的范围业务流程范

6、围的确定，需要根据企业内部控制建设的整体规划和目标确定，通常可以波特的价值链模型为基础，结合行业、企业特点来搭建企业的业务流程框架并确定纳入内部控制建设范围的业务流程。也可以利用一些咨询机构总结出的成熟的行业流程框架。企业基础设施人力资源管理技术研发采购进货物流设计经营/制造生产出货物流市场市场与销售服务提供售后服务支持综合管理，规划，筹融资，财务，法律，政府事务等活动以及房产、IT系统及通信网络管理等活动员工招聘、雇佣、培训、发展及员工工资活动能够提高产品和流程的一系列研究计划和工作企业价值链中对于投入原材料的采购职能与原材料的接收、存储和分配相关的活动将原材料转变为产品相关的活动与产品的收

7、集、存储和分配相关的活动市场营销与销售活动为加强和保持产品价值而提供的售后服务相关活动利润利润主要活动主要活动支支持持活活动动业务流程梳理（续）业务流程梳理（续）Page 14搭建或整合全面风险管理及内部控制体系的要点14制造型行业主要业务流程框架展示：业务流程梳理（续）业务流程梳理（续）Page 15搭建或整合全面风险管理及内部控制体系的要点房地产行业主要业务流程框架展示：业务流程梳理（续）业务流程梳理（续）Page 16搭建或整合全面风险管理及内部控制体系的要点业务流程梳理（续）业务流程梳理（续）Page 17搭建或整合全面风险管理及内部控制体系的要点第1号-组织结构第2号-发展战略第3号

8、-人力资源第4号-社会责任第5号-企业文化内部环境类指引控制活动类指引控制手段类指引第6号-资金活动第7号-采购业务第8号-资产管理第9号-销售业务第10号-研究与开发第11号-工程项目第12号-业务担保第13号-业务外包第14号-财务报告第15号-全面预算第16号-合同管理第17号-内部信息传递第18号-信息系统按照财政部会计司的官方解读，内部控制应用指引分为：业务流程梳理（续）业务流程梳理（续）Page 18搭建或整合全面风险管理及内部控制体系的要点企业内部控制应用指引第1号-组织结构 公司层面内部控制企业内部控制应用指引第2号-发展战略 企业内部控制应用指引第3号-人力资源企业内部控制应

9、用指引第4号-社会责任企业内部控制应用指引第5号-企业文化 企业内部控制应用指引第17号-内部信息传递从企业构建内部控制体系以及开展内部控制评价实际操作的角度，可将应用指引分为公司层面和流程层面两大类：业务流程梳理（续）业务流程梳理（续）Page 19搭建或整合全面风险管理及内部控制体系的要点流程层面内部控制企业内部控制应用指引第12号-业务担保企业内部控制应用指引第13号-业务外包企业内部控制应用指引第14号-财务报告企业内部控制应用指引第15号-全面预算企业内部控制应用指引第16号-合同管理企业内部控制应用指引第18号-信息系统企业内部控制应用指引第3号-人力资源（人工成本核算）企业内部控

10、制应用指引第6号-资金活动企业内部控制应用指引第7号-采购业务企业内部控制应用指引第8号-资产管理企业内部控制应用指引第9号-销售业务企业内部控制应用指引第10号-研究与开发企业内部控制应用指引第11号-工程项目业务流程梳理（续）业务流程梳理（续）需要强调的，应用指引中的需要强调的，应用指引中的1818个流程只是一般企业的通用参考，各个流程只是一般企业的通用参考，各公司在构建自身内部控制体系时，必须结合行业和企业经营管理的特点，公司在构建自身内部控制体系时，必须结合行业和企业经营管理的特点，分析确定适合本企业的业务流程框架。分析确定适合本企业的业务流程框架。Page 20搭建或整合全面风险管理

11、及内部控制体系的要点业务流程梳理需要过程中需要相关流程的负责人员的积极参与和配合，通常可以由一名对流程相对比较熟悉的业务人员和一名内控人员配合进行。业务流程梳理的方法审阅业务流程制度与实施细则访谈现场观察研讨会(Work Shop)业务流程梳理（续）业务流程梳理（续）Page 21搭建或整合全面风险管理及内部控制体系的要点成功进行访谈的小贴士提前确定访谈时间表，并给予双方充分的时间准备适当的访谈前准备是成功的关键准备适当的访谈提纲，并练习一定的速记技巧告知被访者可能会有后续跟进的事宜需要被访者配合掌握访谈技巧:向被访者清晰解释访谈的目的多问开放性问题正确的诠释被访者所表达的意思一次只问一个问题

12、充当积极的聆听者业务流程梳理（续）业务流程梳理（续）Page 22搭建或整合全面风险管理及内部控制体系的要点多问几个为什么该流程主要包括哪几个类型的业务？流程主要涉及哪几个部门？具体执行业务流程的人员有哪些？具体某个职务所负责的工作有哪些？业务流程的输入和输出是什么？该业务流程的风险主要体现在哪些方面？该业务流程的风险主要体现在哪些方面？针对这些风险，有那些活动可以规避或者降低这些风险？针对这些风险，有那些活动可以规避或者降低这些风险？这些活动发生的频率是什么？这些活动发生的频率是什么？具体的活动是由谁以及如何执行的？具体的活动是由谁以及如何执行的？活动的目的是什么？这些目的达到了吗？活动的目

13、的是什么？这些目的达到了吗？如果没有达到，可以通过增加或者改变活动达到吗？业务流程梳理（续）业务流程梳理（续）Page 23搭建或整合全面风险管理及内部控制体系的要点业务流程的记录与描述业务流程的记录与描述流程描述流程描述是用有限的文字叙述来描述步骤性质和程序例如：企业所得税季度申报和预缴财务部税务管理人员按税法的有关规定编制企业所得税季度申报表，准备相关资料经财务部负责人审阅后，提交公司管理层或其授权人员批准并签章。税务管理人员将经管理层批准的企业所得税季度申报表上交主管税务机关。主管税务机关审核后出具税收（所得税）通用缴款书。税务管理人员将税收（所得税）通用缴款书转交财务部会计人员安排支付

14、并进行账务记录。Page 24搭建或整合全面风险管理及内部控制体系的要点业务流程的记录与描述（续）业务流程的记录与描述（续）如何正确地描述一个流程？首先应确定流程的目标和子目标：不同的目标定义，将影响流程的表述结果；例如：确保及时供货。明确流程的起始点和完成点（真正输出）、以及中止点；明确定义流程中一对多/多对一活动之间的关系，一般来说有或，与；定义各活动中的参数：时间、角色、资源、输入输出等。Page 25搭建或整合全面风险管理及内部控制体系的要点业务流程的记录与描述（续）业务流程的记录与描述（续）流程描述包含那些要素？流程描述识别了业务的主要流程，即业务的发生、记录、处理和报告。这些业务流

15、程的关键要素包括：主要的输入资料来源 重要的数据档案、文件记录 重要的处理过程 重要的输出文件、报告和记录 职责分离 流程描述的两个基本要素分别是“文件及信息”和“程序”。当文件及信息在系统中流转时，业务单元运用特定的程序对其进行处理。流程描述应该尽量包括所有相关的处理步骤。Page 26搭建或整合全面风险管理及内部控制体系的要点业务流程的记录与描述（续）业务流程的记录与描述（续）流程图（续）流程图的类型 流程图一般分为水平流程图（horizontal flowcharts)和垂直流程图(vertical flowcharts)。水平流程图将过程中所涉及的部门或职能以水平方式描述在页面上，强调

16、的是整个过程中所有的步骤的水平流动，包括了过程涉及的职能部门。通常代表某一部门或职能应承担的活动、应遵守的控制制度和文件资料流动被反映在同一垂直列上。垂直流程图以上到下的形势来反映某过程的连续步骤,并且在图标外留出大量空间用于文字描述每个步骤。但是，与水平流程图不同的是，它不能清晰的反应系统所涉及的各个部门及部门的职能。Page 27搭建或整合全面风险管理及内部控制体系的要点示例业务流程的记录与描述（续）业务流程的记录与描述（续）流程图（续）流程图（续）水平流程图Page 28搭建或整合全面风险管理及内部控制体系的要点示例业务流程的记录与描述（续）业务流程的记录与描述（续）流程图（续）流程图（

17、续）垂直流程图Page 29搭建或整合全面风险管理及内部控制体系的要点范例XXXXXX股份有限公司股份有限公司业务流程风险与内部控制的记录（续）业务流程风险与内部控制的记录（续）风险控制矩阵风险控制矩阵是最重要的一份内控文档。矩阵中列示了流程中的主要风险、控制目标及与该风险对应的内部控制活动等信息，包括各内部控制的发生频率、控制负责人、控制类型、是否关键控制等要素风险控制矩阵和流程描述（或流程图）构成内部控制手册主要内容Page 30搭建或整合全面风险管理及内部控制体系的要点将风险与控制联系起来提供一个严谨的架构，从风险和内控目标出发，确保所有相关内控都得到充分的记录形成一套标准的内控文档记录

18、直观的显示了现有控制是否充分及有效形成了一个内控缺陷识别和确认的机制有利于外部审计师的审核风险控制矩阵的作用风险控制矩阵的作用业务流程风险与内部控制的记录（续）业务流程风险与内部控制的记录（续）Page 31搭建或整合全面风险管理及内部控制体系的要点风险的描述根据访谈了解到的情况，总结流程中可能产生的风险，如果企业已经建立了风险清单，则需要将已经识别出的风险与业务流程进行匹配。根据业务流程的内容，有针对性的将风险进行描述例如：销售合同的签订未经授权，导致虚假交易或合同信息错误XXXXXX股份有限公司股份有限公司范例业务流程风险与内部控制的记录（续）业务流程风险与内部控制的记录（续）Page 3

19、2搭建或整合全面风险管理及内部控制体系的要点控制目标的描述针对可能产生的风险点描述最终要达到的控制效果，尽量做到清晰、明确例如：确保销售合同在签订之前已经过适当审批复核XXXXXX股份有限公司股份有限公司范例业务流程风险与内部控制的记录（续）业务流程风险与内部控制的记录（续）Page 33搭建或整合全面风险管理及内部控制体系的要点控制活动的描述根据收集到的资料和访谈中了解到的情况，描述公司针对可能产生的风险所进行的控制活动例如：销售合同签订前需要经过销售部经理、财务部经理和法律部经理审批复核，确定合同条款与公司规定相符。XXXXXX股份有限公司股份有限公司范例业务流程风险与内部控制的记录（续）

20、业务流程风险与内部控制的记录（续）Page 34搭建或整合全面风险管理及内部控制体系的要点控制活动的描述对于一个控制点，要描述出五个方面内容（5W）：Who 谁谁是该控制的执行者 When 控制在什么时间什么时间发生 What 如何实施如何实施该控制 Where 控制体现在什么地方什么地方 Why 该控制的目的目的例如：销售部经理（谁）每月末（什么时间）将本月实际销售收入与预算进行比较分析（如何实施），并在分析报告上签字（什么地方），以确保当月销售收入无重大错误和遗漏（目的）。业务流程风险与内部控制的记录（续）业务流程风险与内部控制的记录（续）Page 35搭建或整合全面风险管理及内部控制体系

21、的要点关键控制是规避风险、实现控制目标的最有影响的一个或多个控制关键控制对公司经营运作具有深入的影响，关键控制的失败将直接影响到公司战略、运营、合规、财务和资产安全几大目标的实现典型的关键控制有：职责分离、系统与数据的接触限制、变更控制（即对所有变更都有相应的控制，确保变更得到授权且准确；变更后有人复核）、物理安全、授权批准、审阅等等例如：“票据（支票）与银行印鉴分开保管”通常为资金流程中资金安全性的关键控制点，如果此控制失效，将很难防止银行存款被挪用或窃取。关键控制关键控制业务流程风险与内部控制的记录（续）业务流程风险与内部控制的记录（续）Page 36搭建或整合全面风险管理及内部控制体系的

22、要点业务流程风险与内部控制的记录（续）业务流程风险与内部控制的记录（续）控制活动：指能够帮助确保公司应对风险的方法会被及时执行的政策和步骤。普遍采用的控制活动如下：授权审批控制不相容职务分离控制会计系统控制财产保护控制预算控制运营分析控制绩效考评控制Page 37搭建或整合全面风险管理及内部控制体系的要点业务流程风险与内部控制的记录（续）业务流程风险与内部控制的记录（续）授权审批控制举例：公司对于各费用在各部门指定授权审批人。审批人根据业务情况授权下属人员作为被授权审批人，编制报销签字审批表送至财务部，作为财务部审核报销单的依据。评价内控设计需考虑的问题：由谁执行；手工还是自动；能否看到审批痕

23、迹；审批权限的设置是否合理；是否有固化程序可以遵循；是否可能绕过审批程序以及如何发现；管理层是否对审批程序的执行有适当的监督；等Page 38搭建或整合全面风险管理及内部控制体系的要点业务流程风险与内部控制的记录（续）业务流程风险与内部控制的记录（续）不相容职务分离控制举例：记账会计与银行出纳分离；销售人员与财务记账人员分离等评价内控设计需考虑的问题：职责分离是否固化到内控程序；职责分离是否由系统实施；岗位职责的界定是否清晰；岗位职责能否被越过；管理层是否对职责的分离实施监督；等Page 39搭建或整合全面风险管理及内部控制体系的要点业务流程风险与内部控制的记录（续）业务流程风险与内部控制的记

24、录（续）会计系统控制举例：会计凭证控制（如会计凭证审核、凭证连续编号）；会计科目、财务账套的设置；会计复核（证、账、表记录相符）评价内控设计需考虑的问题：财务系统设置的修改是否保留记录；对修改的系统设置是如何测试的，如何授权修改的，系统的业务流量有多大，数据处理中的问题是如何发现的；是否存在关账检查清单；实施复核的频率；复核程序是否固化（是否有意外的复核要求）；复核程序是否留下审计轨迹；对于复核程序中发现的问题是如何跟踪调查的；跟踪调查是否及时;等Page 40搭建或整合全面风险管理及内部控制体系的要点业务流程风险与内部控制的记录（续）业务流程风险与内部控制的记录（续）财务保护控制举例：限制接

25、近现金、其他易变现资产、存货；定期盘点；资产保管、批准和记录职务分离有效性；会计资料妥善保管；往来对账机制；应收账龄分析及催收评价内控设计需考虑的问题：实施的频率；手工或自动实施；基础数据源的完整和准确性；岗位职责是否有效分离；如何分析发现核对差异；对核对差异的跟踪调查是如何实施的；是否留下审计轨迹；是否有管理层的复核；等Page 41搭建或整合全面风险管理及内部控制体系的要点业务流程风险与内部控制的记录（续）业务流程风险与内部控制的记录（续）预算控制举例：公司建立全面预算的管理体系（包括资本预算、经营预算及财务预算等）对公司经营活动实施有效控制，明确公司预算管理组织及其职责。加强对各单位预算

26、执行的监控力度，维护预算刚性，集团根据全面预算的各项指标建立了经营业绩考核制度，对各被考核单位依据考核指标体系化和考核差异化管理的原则进行年度经营业绩考核和任期经营业绩考核。实行各公司工资总额与上年度业绩考核成绩相挂钩。评价内控设计需考虑的问题：预算是否体现企业经营目标并明确职权；预算调整的审批；预算执行情况跟踪分析；预算与绩效考核挂钩；等Page 42搭建或整合全面风险管理及内部控制体系的要点业务流程风险与内部控制的记录（续）业务流程风险与内部控制的记录（续）运营分析控制举例：管理层通过定期生产经营分析会形式对公司目标与业务计划进行讨论，对公司经营计划和预算的执行情况进行评估与更新，为各级管

27、理层决策提供支持。评价内控设计需考虑的问题：运营分析目标；分析方案内容；数据信息收集；分析频率；分析报表编制与审阅；分析问题的应对和跟踪；等Page 43搭建或整合全面风险管理及内部控制体系的要点业务流程风险与内部控制的记录（续）业务流程风险与内部控制的记录（续）绩效考评控制举例：制定经营业绩考核暂行办法，建立激励和约束机制，客观、公平、公正、真实地考核各经营单位、主要领导人和员工的经营业绩。明确的部门职责，对各单位的考核实行月度工作分析、季度考核和年度考核相结合的方式。评价内控设计需考虑的问题：KPI计算的频率；谁来编制KPI及是否合适；KPI编制是否由系统完成；对KPI的审阅和分析由谁执行

28、，审阅和分析执行的频率；KPI的审阅与编制是否分离；KPI的审阅是否留下审计轨迹；对KPI的衡量标准制定是否合理；管理层对于KPI的预期是如何建立的；对于超预期的KPI是如何调查调整的；等Page 44搭建或整合全面风险管理及内部控制体系的要点控制方法小结业务流程风险与内部控制的记录（续）业务流程风险与内部控制的记录（续）Page 45搭建或整合全面风险管理及内部控制体系的要点控制方法小结业务流程风险与内部控制的记录（续）业务流程风险与内部控制的记录（续）Page 46搭建或整合全面风险管理及内部控制体系的要点按实现的方式分类：手工操作自动化依赖自动化的手工操作按功能分类预防性控制发现性控制X

29、XXXXX股份有限公司股份有限公司范例业务流程风险与内部控制的记录（续）业务流程风险与内部控制的记录（续）控制的类型Page 47搭建或整合全面风险管理及内部控制体系的要点业务流程风险与内部控制的记录（续）业务流程风险与内部控制的记录（续）控制的类型（续）手工操作不由计算机系统执行的，而被人执行的控制程序不依赖计算机系统生成的信息例如:人工的签署采购订单 人工的对收到的清单进行核对并且留下手工标记。Page 48搭建或整合全面风险管理及内部控制体系的要点业务流程风险与内部控制的记录（续）业务流程风险与内部控制的记录（续）控制的类型（续）控制的类型（续）自动化自动化自动化是指由计算机执行的内控程

30、序例如:在销售时，对超出信用额度的客户，销售订单会被糸统自动冻结。Page 49搭建或整合全面风险管理及内部控制体系的要点业务流程风险与内部控制的记录（续）业务流程风险与内部控制的记录（续）控制的类型（续）依赖自动化的手工操作依赖自动化的手工操作是人通过运用电脑生成的信息来进行控制，因此它是人与电脑相结合的产物电脑生成的信息通常都可以作为电子证据以作勾稽之用由于依赖自动化的手工操作很大程度上依赖电脑系统生成的信息报告，保证电脑系统生成信息的完整性和准确性尤为重要例如：人工检查和跟进管理层编制的每月由电脑产生的异常情况报告和每月发现的重大异常情况Page 50搭建或整合全面风险管理及内部控制体系

31、的要点业务流程风险与内部控制的记录（续）业务流程风险与内部控制的记录（续）控制的类型（续）控制的类型（续）对比预防性控制和发现性控制对比预防性控制和发现性控制Page 51搭建或整合全面风险管理及内部控制体系的要点内部控制的测试评价与改善（续）内部控制的测试评价与改善（续）穿行测试的含义在穿行测试中，对每类重大交易中选择一笔交易，从其起始进行追溯直至业务的终结。需要注意的是，我们选择一个比较完整的样本，应从头至尾穿行，尽量确保在流程各个环节获取的文档要能勾稽起来。穿行测试的目的通过流程穿行测试，找出流程描述与内控文档的内容与实际执行情况的差异，分析差异产生的原因，并提出整改完善建议，使内控文档

32、与实际情况保持一致，为顺利通过公司管理层测试和外部审计师测试提供保障。Page 52搭建或整合全面风险管理及内部控制体系的要点执行穿行测试的具体步骤：选取样本，获取原始单据、跟踪交易全过程。例如：销售流程通常包括：月度销售计划合同开具提货单计量发货收款编制结算凭证账务处理对账；记录测试过程、复印留存相关文档并在复印件上逐一编号；撰写穿行测试报告；将穿行测试报告及复印的相关文档妥善归档；每个流程（子流程、模块）都必须选择一笔业务样本进行穿行测试。如果流程涉及多个分支，应在每条分支分别选取一个样本进行测试；穿行测试样本应从属于本流程的业务中抽取，选择具有代表性和典型性的能够广泛涵盖该流程的诸多控制

33、环节样本进行测试。内部控制的测试评价与改善（续）内部控制的测试评价与改善（续）Page 53搭建或整合全面风险管理及内部控制体系的要点XXXXXX股份有限公司股份有限公司范例穿行测试表记录流程穿行测试的相关步骤反映穿行测试中核查到的内部控制内容记录穿行测试结果与复印的穿行测试纸质文件交叉索引内部控制的测试评价与改善（续）内部控制的测试评价与改善（续）Page 54搭建或整合全面风险管理及内部控制体系的要点执行穿行测试需要关注以下几个方面内容：每次年度必须做穿行测试；如果没有每年实际“穿行”重要流程的交易，容易产生流程的改变导致未被发现的风险穿行测试应包括全部流程：交易开始，授权，记录，处理，单

34、笔交易报告，以及识别每个重要流程中的控制点，包括旨在发现舞弊风险的控制内部控制的测试评价与改善（续）内部控制的测试评价与改善（续）Page 55搭建或整合全面风险管理及内部控制体系的要点执行穿行测试过程中的常见问题：未挑选恰当或典型的穿行测试样本，从业务流程的起点到终点对整个内部控制活动的过程进行测试，无法确定内部控制活动的设计是否有效；穿行测试步骤写的过于简单，多数情况下仅针对签字复核进行测试，未对涵盖控制执行的步骤和细节，无法通过测试确认控制是否有效执行；未在穿行测试纸质文档中对控制点进行标识，对控制执行人的职务进行说明，无法确认控制是否被有效执行；穿行测试纸质文档的交叉索引工作未妥当执行

35、，无法体现穿行测试文档之间的勾稽关系。内部控制的测试评价与改善（续）内部控制的测试评价与改善（续）Page 56搭建或整合全面风险管理及内部控制体系的要点遵从测试遵从测试仅需对控制矩阵中列示的关键控制进行测试上半部为测试方法及步骤，下半部为测试结果测试方法及步骤中记录了所测试的内部控制、测试样本来源、内部控制频率、测试样本数量及测试程序等信息XXXXXX股份有限公司股份有限公司范例内部控制的测试评价与改善（续）内部控制的测试评价与改善（续）Page 57搭建或整合全面风险管理及内部控制体系的要点XXXXXX股份有限公司股份有限公司范例内部控制的测试评价与改善（续）内部控制的测试评价与改善（续）

36、Page 58搭建或整合全面风险管理及内部控制体系的要点测试样本来源样本的选取方法：测试样本来源样本的选取方法：内部控制的测试评价与改善（续）内部控制的测试评价与改善（续）Page 59搭建或整合全面风险管理及内部控制体系的要点XXXXXX股份有限公司股份有限公司范例内部控制的测试评价与改善（续）内部控制的测试评价与改善（续）Page 60搭建或整合全面风险管理及内部控制体系的要点控制频率及样本量的选取：控制频率及样本量的选取：内部控制的测试评价与改善（续）内部控制的测试评价与改善（续）Page 61搭建或整合全面风险管理及内部控制体系的要点XXXXXX股份有限公司股份有限公司范例内部控制的测

37、试评价与改善（续）内部控制的测试评价与改善（续）Page 62搭建或整合全面风险管理及内部控制体系的要点测试程序：测试程序：观察员工执行控制步骤可能需要其他跟进测试文档记录要求：谁，什么时候，观察的结果询问询问穿行测试、观察穿行测试、观察审阅与检查审阅与检查重新执行重新执行最不可靠最不可靠最可靠最可靠通过口头或书面形式确认控制存在/做薄弱的测试方法应该与其他测试共同执行/应该询问多人以确定结果一致文档记录要求：谁，什么时候，哪里，怎样获得资产存在证据的最简单的方法审阅文档记录或报告提供详细内容从而可以重复测试步骤并检验结果采用独立的数据重新进行对账按系统的计算公式重新计算在系统中输入测试数据来

38、查看结果测试文档记录的详细程度可以保证重新测试 内部控制的测试评价与改善（续）内部控制的测试评价与改善（续）Page 63搭建或整合全面风险管理及内部控制体系的要点缺陷整改的实施缺陷整改的实施流程负责人及管理层对于缺陷事实的认可对于缺陷产生原因的判定缺陷为公司共性的问题还是个别分公司独有的问题整改计划的目标是针对缺陷产生的原因，而不是针对缺陷的表象整改计划应符合有针对性、可衡量、可完成、符合现实情况、及时等五项原则整改计划实施的跟进与监督否否审查了解控制差异审查了解控制差异的起因和结果。控的起因和结果。控制目标是否达到？制目标是否达到？是否可以增加其他是否可以增加其他测试程序证明已发测试程序证

39、明已发现的差异不能代表现的差异不能代表所有内控的情况？所有内控的情况？是是扩大测试范围，扩大测试范围，重新评估，控制重新评估，控制目标是否达到？目标是否达到？否否该差异不是控该差异不是控制缺陷，不必制缺陷，不必再考虑再考虑设计缺陷设计缺陷/执行缺陷执行缺陷是是是是否否缺陷的认定缺陷的认定从整体控制目标实现的角度出发，对缺陷进行认定，按照缺陷的影响程度定义缺陷。从控制设计和执行两方面出发，将缺陷进行分类，制定缺陷整改计划并加以实施。缺陷的认定及整改实施缺陷的认定及整改实施内部控制的测试评价与改善（续）内部控制的测试评价与改善（续）Page 64搭建或整合全面风险管理及内部控制体系的要点内部控制的

40、测试评价与改善（续）内部控制的测试评价与改善（续）Page 65搭建或整合全面风险管理及内部控制体系的要点内部控制的测试评价与改善（续）内部控制的测试评价与改善（续）Page 66搭建或整合全面风险管理及内部控制体系的要点内部控制的测试评价与改善（续）内部控制的测试评价与改善（续）整改完成后，进行再测试，需注意首先要进行穿行测试，以验证相关整改是否按照既定的整改方案完成；遵从测试应在整改完成并持续运转一段时间后进行，以保证有足够的样本进行测试；根据测试的结果，决定是否需要对内部控制手册进行相应的修订Page 67搭建或整合全面风险管理及内部控制体系的要点财务报告内部控制财务报告内部控制三大要素

41、：重要性水平、业务流程框架、业务单元步骤：1、计算合并财务报表层次的重要性水平 2、识别合并财务报表层次的重要会计科目 3、识别关键业务流程并将其与重要会计科目匹配4、识别业务单元的覆盖范围 Page 68搭建或整合全面风险管理及内部控制体系的要点步骤1、计算合并财务报表层次的重要性水平步骤2、识别合并财务报表层次的重要会计科目 1.1 决定计划重要性水平及可容忍误差（金额重大）确定基准（日期）确定重要性水平指标及标准 确定可容忍误差1.2 识别可能影响重要性水平的其他因素（性质重大）会计科目由复杂的成分所组成；容易受人为操纵或由于错误或舞弊而遭受损失；会计科目的性质特殊，容易隐藏错误，需要多

42、加关注；发生交易量大；牵涉复杂的会计处理和披露要求；账户余额牵涉主观判断；存在关联方交易；当期外部环境（例如，法律法规，会计准则）或报告的要求发生变化；会计科目中反映出来的由经营活动所引起的重大或有负债的可能性。财务报告内部控制（续）财务报告内部控制（续）Page 69搭建或整合全面风险管理及内部控制体系的要点步骤3、识别关键业务流程并将其与重要会计科目配比步骤4、识别业务单元的覆盖范围 指标选取财务报告内部控制（续）财务报告内部控制（续）Page 70搭建或整合全面风险管理及内部控制体系的要点财务报表项目对应业务流程示例：财务报告内部控制（续）财务报告内部控制（续）Page 71搭建或整合全

43、面风险管理及内部控制体系的要点在进行财务报告内部控制建设过程中，风险主要是指可能导致重要会计科目和披露事项中的重大错报的可能性。重要会计科目和披露事项是透过企业的业务流程/子流程所产生的。若不能有效的透过置于业务流程/子流程的内部控制以控制有关风险，错报的可能性便会增加。管理层以及审计师必须确认业务流程/子流程并进行风险评估，以评估各领域的内控范围。财务报告内部控制（续）财务报告内部控制（续）Page 72搭建或整合全面风险管理及内部控制体系的要点XXXXXX股份有限公司股份有限公司财务报表认定财务报表认定范例财务报告内部控制（续）财务报告内部控制（续）Page 73搭建或整合全面风险管理及内

44、部控制体系的要点财务报表认定财务报表认定存在与发生 资产负债表所列的各项资产、负债、权益在资产负债表日是否存在，损益表所列的各项收入和费用在会计期间是否确实发生。需要注意的是“存在或发生”认定所需要解决的问题是，管理当局是否把那些不应包括的项目（如不存在的项目或不曾发生的交易结果）记入了会计报表，但并不涉及所报告的金额是否正确。例如:资产负债表日，一些记录在存货账中的货物并不存在在没有真实发货的情况下记录销售收入财务报告内部控制（续）财务报告内部控制（续）Page 74搭建或整合全面风险管理及内部控制体系的要点财务报表认定（续）财务报表认定（续）完整性 在会计报表中应列示的所有交易和项目是否都

45、列入了。这里需注意，有关“完整性”的认定所要解决的问题是，管理当局是否把应包括的项目给遗漏或省略了，并不涉及所报告的金额是否正确。可见，“完整性”认定与“存在与发生”认定正好相反，它主要与会计报表的组成要素的低估有关。即“该记账的没记”。例如：当月所有发出的货物没有被全部计入当期的销售收入当月所有采购入库的存货没有全部入账（由于发票未到）财务报告内部控制（续）财务报告内部控制（续）Page 75搭建或整合全面风险管理及内部控制体系的要点财务报表认定（续）财务报表认定（续）估价与分摊估价与分摊 各项资产、负债、所有者权益、收入和费用等要素是否按适当的金各项资产、负债、所有者权益、收入和费用等要素

46、是否按适当的金额列入会计报表中。额列入会计报表中。例如:固定资产入帐价值不准确（如在入账时漏计了相应的税费）外币折算没有应用正确的汇率财务报告内部控制（续）财务报告内部控制（续）Page 76搭建或整合全面风险管理及内部控制体系的要点财务报表认定（续）财务报表认定（续）权力与义务 在某一特定日期，各项资产是否确属公司的权利，各项负债是否确属公司的义务，需注意该认定只与资产负债表的组成要素有关。例如:账面上的固定资产并非为公司所有公司所列的应付账款并非为公司的债务财务报告内部控制（续）财务报告内部控制（续）Page 77搭建或整合全面风险管理及内部控制体系的要点财务报表认定（续）财务报表认定（续

47、）表达与披露会计报表上的特定组成要素是否被适当地加以分类、说明和披露。例如:应收帐款的贷方余额没有被正确的重分类至预收账款没有按照会计准则要求恰当的披露关联方交易财务报告内部控制（续）财务报告内部控制（续）Page 78搭建或整合全面风险管理及内部控制体系的要点业务流程一：采购与付款业务流程一：采购与付款主要控制目标举例：财务报告内部控制（续）财务报告内部控制（续）Page 79搭建或整合全面风险管理及内部控制体系的要点业务流程二：工薪与人事业务流程二：工薪与人事主要控制目标举例：财务报告内部控制（续）财务报告内部控制（续）Page 80搭建或整合全面风险管理及内部控制体系的要点业务流程三：生

48、产与仓储业务流程三：生产与仓储主要控制目标举例：财务报告内部控制（续）财务报告内部控制（续）Page 81搭建或整合全面风险管理及内部控制体系的要点业务流程四：销售与收款业务流程四：销售与收款主要控制目标举例：财务报告内部控制（续）财务报告内部控制（续）Page 82搭建或整合全面风险管理及内部控制体系的要点业务流程五：筹资与投资业务流程五：筹资与投资主要控制目标举例：财务报告内部控制（续）财务报告内部控制（续）Page 83搭建或整合全面风险管理及内部控制体系的要点记录固定记录固定 资产资产固定资产固定资产折旧及减值折旧及减值固定资产日常保固定资产日常保管、处置及转移管、处置及转移 业务流程

49、六：固定资产业务流程六：固定资产主要控制目标举例：财务报告内部控制（续）财务报告内部控制（续）Page 84搭建或整合全面风险管理及内部控制体系的要点业务流程七：财务报告业务流程七：财务报告主要控制目标举例：将财务信息将财务信息从明细账过入总账从明细账过入总账会计分录调整会计分录调整准备财务报告准备财务报告财务报告内部控制（续）财务报告内部控制（续）Page 85搭建或整合全面风险管理及内部控制体系的要点需求部门需求部门采购部门采购部门验收部门验收部门填写请购单填写请购单并经核准并经核准填写订购单填写订购单并经核准并经核准经核准请购单经核准请购单送供应送供应商商送财务送财务部部清点商品并与订清

50、点商品并与订购单相勾稽购单相勾稽经核准的经核准的请购单请购单2 21 1经核准的经核准的请购单请购单2 25 54 43 32 2经核准的经核准的订购单订购单1 12 2经核准订购单经核准订购单4 4填写验收报告填写验收报告经核准订购单经核准订购单3 32 2验收报告验收报告1 14 4送仓储部签送仓储部签字确认字确认财务部门财务部门经核准订购单经核准订购单5 5经核准的经核准的请购单请购单2 2验收报告验收报告1 1进货发票进货发票采购部采购部送来送来验收部验收部送来送来供应商供应商送来送来账务处理账务处理进货发票进货发票验收报告验收报告1 1经核准订购单经核准订购单5 5经核准的请购经核准

51、的请购单单2 2核对文件并开立支配核对文件并开立支配与汇款通知单与汇款通知单支票签章，执行付款支票签章，执行付款相关资料存相关资料存档备查档备查业务流程图业务流程图部分业务流程讲解采购与付款部分业务流程讲解采购与付款Page 86搭建或整合全面风险管理及内部控制体系的要点 部分业务流程讲解采购与付款（续）部分业务流程讲解采购与付款（续）子流程1：采购 请购环节常见问题：请购不应采购的物品请购物品超量请购未经适当审批或超越授权审批采购环节常见问题：采购人员与供应商勾结未经授权订购子流程2：记录应付账款验收环节常见问题：验收人员与请购、采购人员不独立验收人员未经清点即予认可验收未采购货品Page

52、87搭建或整合全面风险管理及内部控制体系的要点部分业务流程讲解采购与付款（续）部分业务流程讲解采购与付款（续）子流程2：记录应付账款（续）记账环节常见问题：应付账款的编制可能依据虚拟的交易应付账款所记载的会计科目及交易事项不实应付账款未予入账已进仓的货单未记账子流程3：付款付款环节常见问题：付款给非供应商支付了未经核准的采购重复付款开具支票未及时入账，支票记录可能发生错误未定期与供货商核对账目虚假票据Page 88搭建或整合全面风险管理及内部控制体系的要点部分业务流程讲解采购与付款（续）部分业务流程讲解采购与付款（续）Page 89搭建或整合全面风险管理及内部控制体系的要点部分业务流程讲解采购

53、与付款（续）部分业务流程讲解采购与付款（续）Page 90搭建或整合全面风险管理及内部控制体系的要点制定财务报告编制方案和会计核算办法外部使用者外部使用者会计事务所会计事务所财务部门财务部门下属企业财务部门下属企业财务部门确定重大事项、关联交易等会计处理清查资产核实债务结账编制母公司财务报表编制子公司会计报表，勾稽关系校验和审核相关负责人进行审核编制合并财务报表财务部门负责人审核企业负责人审核对企业年度会计报表进行审计提出调整意见向政府监管部门、外部投资者等报送会计信息提出调整意见审核通过财务报告业务流程图财务报告业务流程图部分业务流程讲解财务报告部分业务流程讲解财务报告Page 91搭建或整

54、合全面风险管理及内部控制体系的要点部分业务流程讲解财务报告（续）部分业务流程讲解财务报告（续）常见问题：关联方相关管理制度、办法缺失，没有明确和规范关联方界定、交易范围及类型、定价原则、关联方交易授权审批以及识别流程，不能为关联方管理提供有效指导，无法确保关联交易的合规性重大交易事项、关联方的认定缺乏有效文档支撑，关联方交易合同签订不规范关联交易对账不及时，无法确保关联方交易记录的准确性、完整性财务核算中，部分环节缺乏审核程序和文档支撑。如：没有对未达账项进行合理地分析，并跟踪处理。银行余额调节表没有得到有效地复核会计科目的设定及维护没有进行相应的复核无书面的流程和程序来指导关账工作，财务报告

55、编制前期准备工作不充分，可能导致结账前未能及时发现会计差错；纳入合并报表范围不准确、调整事项或合并调整事项不完整Page 92搭建或整合全面风险管理及内部控制体系的要点部分业务流程讲解财务报告（续）部分业务流程讲解财务报告（续）Page 93搭建或整合全面风险管理及内部控制体系的要点部分业务流程讲解财务报告（续）部分业务流程讲解财务报告（续）Page 94搭建或整合全面风险管理及内部控制体系的要点投资项目拟定投资方案是否重大相关部门审批股东大会/董事会审议否是投资计划编制与审批执行筹资计划投放使用处置与回收账务处理部分业务流程讲解筹资与投资部分业务流程讲解筹资与投资投资业务流程图Page 95搭建或整合全面风险管理及内部控制体系的要点部分业务流程讲解筹资与投资（续）部分业务流程讲解筹资与投资（续）常见问题：并购交易未经适当审核或超越授权审批，投资决策过程不独立。企业资产重组、企业并购、破产清算、股权处置和清理等事项的方案设计不合理，战略契合度差尽职调查不深入，投资决策支持信息不充分投资收回、转让与核销未执行规定程序，导致投资损失投资项目处置的决策不当，导致权益受损并购交易财务处理不当，不符合会计准则要求重大事项交易处理缺乏充分合理的依据，如减值准备评估Page 96搭建或整合全面风险管理及内部控制体系的要点部分业务流程讲解财务报告（续）部分业务流程讲解财务报告（续）谢谢！谢谢！