平安内控项目第二阶段培训材料 培训1-内控测试概念和方法培训

1、1页 2页 一、项目第二阶段总体介绍一、项目第二阶段总体介绍二、项目第二阶段模板介绍二、项目第二阶段模板介绍三、穿行测试的目的与方法介绍三、穿行测试的目的与方法介绍四、如何编制流程图四、如何编制流程图3页 一、项目第二阶段总体介绍1.1 1.1 内控项目主要工作阶段内控项目主要工作阶段1.21.2主要工作目标主要工作目标1.31.3主要工作步骤主要工作步骤4页 按照相关要求，基本规范自2009年7月1日起在上市公司范围内施行，上市公司应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告。据此时限要求，公司需披露2009年度的内部控制自我评价报告。在此之前，公司需完善内控体系，建立内控

2、自评机制，并完成内控自我评价。计划阶段计划阶段设计阶段设计阶段推广阶段推广阶段报告报告2、内控自评流程、内控自评流程的的设计和试运行设计和试运行1、项目范围的界定、项目范围的界定及风险评估及风险评估 3、内控自评的全、内控自评的全面推行和缺陷整改面推行和缺陷整改设计内控自我评价工作设计内控自我评价工作流程和工作模板流程和工作模板选取本阶段涉及机构的选取本阶段涉及机构的试点流程，了解其内部试点流程，了解其内部控制设计状况控制设计状况, , 编制流编制流程图、流程描述及风险程图、流程描述及风险控制矩阵控制矩阵针对试点流程进行穿行针对试点流程进行穿行测试和控制测试，试运测试和控制测试，试运行内控自评

3、工作流程和行内控自评工作流程和模板，根据试运行结果模板，根据试运行结果优化内控自评工作流程优化内控自评工作流程和工作模版和工作模版制定相关方法和工具，制定相关方法和工具，从公司层面、流程层面、从公司层面、流程层面、IT层面界定项目范围层面界定项目范围制定风险评估方法和工制定风险评估方法和工具，识别固有风险，确具，识别固有风险，确定风险评级定风险评级与外部审计师沟通项目与外部审计师沟通项目范围评估方法和结果范围评估方法和结果选择试点机构，组织完成试点机构的内控选择试点机构，组织完成试点机构的内控自评工作自评工作对试点机构发现的内控缺陷问题进行整改对试点机构发现的内控缺陷问题进行整改进一步优化内控

4、自评工作流程和工作模板进一步优化内控自评工作流程和工作模板组织全面推行中国平安内控自评和问题整组织全面推行中国平安内控自评和问题整改改汇总上报内控自评和整改工作结果汇总上报内控自评和整改工作结果编制集团内控自评报告编制集团内控自评报告董事会审阅批准内控自评估报告及相关披董事会审阅批准内控自评估报告及相关披露露披露披露年度年度自评自评报告报告5页 平安内控项目组在本阶段实现以下工作目标：平安内控项目组在本阶段实现以下工作目标：l设计内控自我评价工作流程和模板，制定流程图标准及绘画流程图，通过评价试点流程的内控设计有效性和运行有效性，并利用 德勤最佳实践提供相关“控制点” 来对应每个“风险点”，对

5、内控自我评价工作流程和模板进行验证和优化。l选取试点机构和部分关键流程开展流程层面和公司层面的内控评价，评估与其相关的内部控制的设计和运行有效性，并培训内控评价项目人员，为后继阶段的内控自我评价推广工作奠定基础l制定内部控制自我评价操作手册，作为公司开展内控自我评价工作的纲领性文件和操作指南l搭建内部控制电子工作平台系统(第二阶段工作目标)6页 项目计划定义1确定项目范围，建立项目组编制工作指引，设计、确定工作底稿模板 项目模板设计2了解内控状况3穿行测试4控制测试OE5测试结果汇总6底稿审阅.反馈7信息反馈跟踪8内控自评手册9通过访谈、审阅文档识别控制活动执行内控设计有效性自我评估（穿行测试

6、）执行内控运行有效性自我评估（控制测试OE）内部控制测试结果汇总确认内部工作底稿审阅和反馈获取平安管理层回复及跟踪整改情况起草内控自评手册（集团层面）按照相关要求，基本规范自2009年7月1日起在上市公司范围内施行，上市公司应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告。据此时限要求，公司需披露2009年度的内部控制自我评价报告。在此之前，公司需完善内控体系，建立内控自评机制，并完成内控自我评价。在内控项目第二阶段，即设计阶段，我们采用以下步骤：7页 二、项目第二阶段模板介绍2.12.1 内部控制矩阵模板内部控制矩阵模板2.22.2 流程图模板流程图模板2.32.3 项目各阶段

7、的关系项目各阶段的关系8页 风险控制目的控制活动9页 10页 11页 介绍子流程的基本业务步骤12页 风险编号、风险描述和风险评级风险编号、风险描述和风险评级：对主流程下的子流程面临的风险进行了编号和适当描述。该项内容来源于本项目第一阶段成果。张三张三车险核保车险核保13页 控制目的：控制目的：根据财政部企业内部控制基本规范、集团的内控要求结合德勤的专业经验，设计出应对风险的控制目的。控制活动：控制活动：经过访谈找出满足控制目标的关键控制活动，对控制活动进行描述，并对控制活动进行编号。控制目的和控控制目的和控制活动是一对制活动是一对多，多对一的多，多对一的关系关系张三张三车险核保车险核保14页

8、 练习时间！15页 控制目标一：确保制度流程符合法律及监管机构的要求控制目标二：确保制度流程制定时能涵盖各种业务类型，符合业务需要制度和流程的会签和审查在签报系统中进行，责任部门在签报系统中设定涉及的部门，由涉及部门进行会签；会签结束后法律合规部进行法律性及合规性审查，审查后根据审批权限进行审批。各部门每年对各自职责范围内的制度和流程的适用性进行回顾和检查，并向高级管理层提交检视报告。法律合规部每月收集监管机构的法律、法规、管理办法的更新，每月向由各部门负责人汇报。控制活动一控制活动一控制活动二控制活动二控制活动三控制活动三16页 控制频率控制频率：对控制频率进行描述：实时、按需不定期发生、每

9、周、每月等；控制的性质：控制的性质：分别表述控制活动的各类性质：预防型/检查型控制；手工/系统控制；是否需要IT系统参与。控制分类：控制分类：将控制活动与财政部企业内部控制基本规范中列示的控制目标做对应。17页 通常来讲，穿行测试只需要抽取一个样本以确定所描述的控制活动的真实性。而在运行有效性测试中，需要根据发生频率确定样本量。根据测试结果填写：“有效”、“部分有效”或“无效。”18页 法律合规部每天收集监管机构的法律、法规、管理办法的更新，每月向由各部门负责人汇报。控制活动控制活动19页 若穿行测试结果无误，进入控制运行有效性测试阶段。20页 21页 介绍了本项目遵循并使用的图形说明。具体内

10、容参见本培训第四部分流程图的绘制。22页 通过对主流程的分析，将主流程分解为多个子流程。子流程名称23页 纵列列示了本流程所有涉及的部门。控制活动编号与自评工作底稿中的控制活动编号对应一致，且无遗漏。24页 25页 三、穿行测试的目的与方法介绍3.13.1 什么是穿行测试？什么是穿行测试？3.23.2 如何进行穿行测试？如何进行穿行测试？3.33.3 穿行测试结果的评价穿行测试结果的评价3.43.4 穿行测试案例分享穿行测试案例分享26页 穿行测试的定义:指在每一类交易循环中选择一笔业务进行测试，对其业务流程的内部控制执行检查，以验证工作底稿上描述的内部控制信息的客观性和真实性。 穿行测试的目

11、的:穿行测试一般用于了解被检查的实体单位及其环境，以防止工作底稿中对内部控制的描述出现偏差。27页 一、访谈准备：访谈准备： 事前回顾业务部门的背景资料，例如部门设置，职责分工，基础业务说明，业务政策和历史稽核信息； 根据已获得的资料，按业务的流程顺序，列出访谈人员名单和访谈问题清单；二、与实体业务人员面谈时，需要注意二、与实体业务人员面谈时，需要注意： 在每次访谈前，向访谈人简要描述本次访谈的内容和目的； 根据访谈问题清单开展访谈，根据4W+1H原则，初步了解控制措施； 对于访谈问题清单以外的一些发现点，可以当场与受访人员深入研究； 在访谈中，可以提及将来所需索取的资料名称，但不要要求对方当

12、场提供（除非资料就在手边），以免打断对方思路；应当告诉被访谈者，在访谈过后，将会列出所需资料清单； 记录下受访谈人的联系方式，并将自己的联系方式告知对方。28页 三三、访谈结束后，需要注意：、访谈结束后，需要注意： 访谈完毕后，可以根据访谈内容做简要汇总，将访谈中获得的控制措施与控制目标联系起来，填入工作底稿； 列出所需资料清单，并向被访人员索取资料。29页 1.尽量坐到被访谈人的旁边，不要坐在被访谈人的对面。2.在访谈中可以适当的以微笑、点头或做笔录对对方回答做出反应。3.在访谈中，如果有不清楚的地方，可以立刻直截了当的向被访谈人提出问题。4.在访问结束前，可以告知被访谈人，可能会进行后续提

13、问，为再次访谈或具体测试留下伏笔。5. 做好访谈的计划安排，控制访谈进度和所需时间。访谈时的小技巧：访谈时的小技巧：30页 控制活动的编写原则：控制活动的编写原则：“4W+1H”4W+1H”WHOWHO-哪个岗位参与控制活动？WHENWHEN-该控制活动发生的时间或是频率是如何的，每次？每月一次？每年一次？WHEREWHERE-该控制活动发生的地点在哪里？WHATWHAT-根据什么进行控制？如制度、单据、报告、报表、电子邮件、系统数据等HOWHOW-控制活动的具体内容是如何的？具体如何操作？ 31页 一、穿行测试的准备v 阅读控制目标；v 根据访谈信息编写控制编号，填写与控制目标对应的控制活动

14、；v 选择适当穿行测试方法，列出所需的样本资料，与实体业务人员进行沟通，并获取样本。二、穿行测试的记录v 在工作底稿中，填写样本编号，抽样日期，描述所见，并判断是否与访谈结果一致三、穿行测试的结果v 如果穿行测试结果有误，则应将此控制活动作为控制设计的缺陷发现点；v 如果穿行测试结果无误，则继续进行运行有效性测试v 控制缺陷点的判定？32页 访谈观察检查文件追踪交易就控制目标与管理层面谈,了解关键控制活动观察业务人员的业务活动和控制活动进行证据复核。业务追踪33页 穿行测试一：查阅业务制度文档，穿行测试一：查阅业务制度文档，了解制度规定和标准业务操作流了解制度规定和标准业务操作流程。程。穿行测

15、试二：获取财务系统的某穿行测试二：获取财务系统的某月抵销清单和该月的内部往来对月抵销清单和该月的内部往来对账明细表，进行比较。账明细表，进行比较。穿行测试三：获取独立人员对穿行测试三：获取独立人员对 “关联交易抵销分录汇总关联交易抵销分录汇总”的复的复核痕迹。核痕迹。控制活动：控制活动：集团财务负责合并的人员将系统和手工编制的抵销分录汇总，并由财务报告室报告岗独立人员对分录进行审核。控制目标：控制目标：所有的内部交易事项应当被正确认定、适当核对并在适当的会计期间内予以抵消。34页 （1）内部审计师想要测试的控制活动是“某医疗保险公司赔付的所有理赔申请都需要经过适当的批准和文件处理”，即内部审计

16、师需要检查索赔申请由指定医生开出，具有合法性，且符合索赔人政策。那么最恰当的穿行测试程序是：A、对所有的投保人进行随机统计抽样，审查当年样本项目中所有索赔申请，确定其处理是否正确。B、抽取某一存档的索赔申请样本，追查至批准和其他支持性文件证据。C、抽取某一被拒绝的索赔申请样本，确认拒绝是否合理。D、从索赔（现金）支出文件中抽取已支付赔款的某一样本，并追查至批准和其他支持性文件证据。 答案：D35页 (2) 某大型保险公司规定，如果车辆符合一定的安全标准，它就对车辆保险提供折扣。如果审计师要确定所有符合标准的已投保车辆是否都已得到这种折扣待遇，以下哪种审计测试能提供最有力的证据？A、将今年得到打

17、折待遇的车辆比例与去年进行比较；B、询问管理人员他们是否知道打折标准，他们是否给所有符合标准的车辆提供了折扣；C、选取没有拿到折扣的车辆样本，确定它们被排除在打折范围之外是否恰当；D、选取已拿到折扣的车辆样本，确定他们是否符合所要求的打折标准。答案：C36页 有合理制度没执行有合理制度没执行确定原因、频率及程度。确定原因、频率及程度。评估管理层的行动评估管理层的行动确定对控制目标结论的影响确定对控制目标结论的影响制度过时，实际操作是根制度过时，实际操作是根据最新情况变通的，且实据最新情况变通的，且实际控制有效际控制有效辨别并更新管理控制制度辨别并更新管理控制制度执行执行差异差异制度制度不佳不佳

18、制度设计有效，穿行测试制度设计有效，穿行测试显示制度与操作一致显示制度与操作一致进行控制运行有效性测试进行控制运行有效性测试设计设计有效有效37页 控制目标：控制目标：企业建立了防止舞弊的控制，其中包括适当的权责分工。控制活动：控制活动：公司制定了明确的标准业务流程；每个员工在业务系统中都拥有独立的账号，并都准确适当的分配了权限；员工使用业务系统执行业务审批操作。穿行测试结果：穿行测试结果：检查人员通过观察发现，为了方便快捷的进行业务操作，公司某部门里，几乎每个人都知道其他同事的系统账号和密码。请问：该项控制活动是否有效？38页 通过进一步访谈，检查人员找到了该部门的一种补偿性控制：每位业务人

19、员虽然会在业务系统中使用自己或他人的账号进行签核审批操作，但是业务人员会同时在纸质单据上签字。请问：该项控制活动是否有效？39页 对于尚未承保通过的投保件，由客户提出申请可以在系统内进行撤件的相关操作。若有已到账的预收保费，则必须由财务先完成退费后，方可进行系统撤件。对于超过期限未交保费的情况，由系统强行撤件，并通知相关部门人员。流程简述承保流程契约撤件退费：40页 -了解流程问题一：识别该流程中的风险，分析控制目标？答案：风险描述：初审受理中的撤件手续不齐全，没有经过有效授权，导致资金去向不合规，作业不合规及客户利益受损。控制目标：对系统内尚未承保新契约件的撤件符合对系统内尚未承保新契约件的

20、撤件符合SOPSOP的要求，的要求，确保准确无误撤件和退费，保证客户资金安全。确保准确无误撤件和退费，保证客户资金安全。对于尚未承保通过的投保件，由客户提出申请可以在系统内进行撤件的相关操作。若有已到账的预收保费，则必须由财务先完成退费后，方可进行系统撤件。对于超过期限未交保费的情况，由系统强行撤件，并通知相关部门人员。41页 控制活动：撤件退费流程按团险新契约撤件与退费作业指导书PAIC/A/BR/WI/YGQY009执行。客户提出的撤件申请，由投保人/业务员向分公司契约室受理初审岗提出申请并递交要求的相关资料后，受理初审岗确认提交资料准确、系统数据无误后由该人员在系统中办理办理撤件手续；如

21、系统显示有已到账暂收金额，则必须先由财务办理完退费后，方可在系统中完成撤件动作。分公司财务部接到契约室受理初审岗递交的退费单后，及时将保费退回投保单位。财务部进行退款时确保退款账户和原缴纳保费账户的公司抬头必须一致，方可按原付款金额进行退款操作。对于逾期撤件情况，系统强撤完毕后，由契约室受理初审岗人员打印逾期撤件通知书，客户联给投保单位，业务联交档案室归档。撤件动作完成后，系统显示“已撤件”状态。控制活动的编写原则：控制活动的编写原则：“4W+1H”4W+1H”！42页 问题二：请根据上诉控制活动设计穿行测试：1.取得团险新契约撤件与退费作业指导书PAIC/A/BR/WI/YGQY009，并查

22、看了解相关流程操作规则；2.取得对应的撤件业务凭证（撤件退费单/逾期撤件通知书）；3.对于撤件退费业务，获取相应退费财务凭证，查看退费金额与原保费收取金额一致且保费退还于原投保单位，财务凭证由独立会计人员复核，且已在系统做相关“撤件”操作；4.对于逾期撤件业务，查看是否根据“逾期撤件通知书在系统中执行相应”撤件“操作。43页 问题三：在获得问题二中提及的资料后如何填写“相应穿测资料”？相应穿测资料：1.团险新契约撤件与退费作业指导书PAIC/A/BR/WI/YGQY009撤件退费：撤件退费：2.条形码90010201875870撤件退费单及相应系统“已撤件”状态截屏PAPI-UN-26M3.条

23、形码90010201875870财务对应预收保费入账凭证及附件PAPI-UN-27M条形码90010201875870财务退费凭证及附件PAPI-UN-28M逾期撤件：逾期撤件：4.预撤件通知函PAPI-UN-29M5.EGIS系统对应“已撤件”状态系统截屏PAPI-UN-30M44页 四、如何编制流程图4.14.1 VisioVisio基本功能介绍基本功能介绍4.24.2 项目使用图形模板介绍项目使用图形模板介绍4.34.3 编制流程图的思路与步骤编制流程图的思路与步骤4.44.4 流程图示范流程图示范4.54.5 流程图编制经验分享流程图编制经验分享45页 v流程图的定义流程图的定义使用特

24、定符号和图形来表示实体单位的业务处理程序，显示文件凭证在组织机构内部的产生、传递、检查和保持及其相互关系。v流程图的特点流程图的特点 优点：直观显示内部控制的特征，同时便于修改。因此，流程图便于审计人员形象地了解内部控制是如何运行的，有助于发现内部控制中的不足之处。 缺点：需要较为娴熟的技术，对内部控制的某些弱点有时很难在图上准确地表达出来。vVisioVisio的特点的特点 用图形方式来直观表达各种商业图形用途的工具。 作为Microsoft Office产品系列的一个部分，能与PowerPoint，Word等程序友好兼容。46页 A.打开Visio；B.选择新建“基本流程图”；C.选中菜单“文件”/“形状”/“流程图”/“水平跨职能流程图形状”，选择所需内容；D.选中菜单“文件”/“形状”/“流程图”/ “基本流程图”，从窗口左侧的形状窗口中，将所需形状拖放至绘图页中；E.排定涉及的部门；短片简介：47页 F.双击形状，输入文字信息，输入完成后，只需点击形状外部即可；G.如果需要改变字体、形状的边框与填充色，只需右键选中形状即可调整形状的各项属性；H.组织结构图各层之间的连接是通过拖放下层形状到上一层形状自动完成。例如，首先将鼠标移至开始点，光标显示十字型，然后按下鼠标左键