内部控制具体测试内容和方法课件_第1页
内部控制具体测试内容和方法课件_第2页
内部控制具体测试内容和方法课件_第3页
内部控制具体测试内容和方法课件_第4页
内部控制具体测试内容和方法课件_第5页
已阅读5页,还剩138页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

内部控制具体测试内容和方法

2010年4月

内部控制具体测试内容和方法

2010年4月

1.测试步骤2.设计有效性测试内容目录3.公司层面测试内容4.业务活动层面测试内容5.信息系统总体控制测试内容6.追加、冗余或补充及补偿性控制测试的采用7.例外事项的确认1.测试步骤2.设计有效性测试内容目录3.公司层1.测试步骤观察执行情况访谈相关人员检查内控文档记录审阅相关文件检查样本等记录测试过程例外事项复印证据1.测试步骤观察访谈检查内控审阅相关检查记1)设计有效性测试2)跟单测试3)公司层面测试及关键控制抽样测试4)信息系统总体控制测试1.测试步骤按测试步骤区分的测试类型执行有效性测试1)设计有效性测试2)跟单测试3)公司层面测试及关键控制抽样1.

测试步骤(1)访谈相关人员,取得内部控制资料,了解内控设计情况(2)分析核对抽样检查如果是首次检查,则应全面了解;如果是连续检查,则重点关注变化情况公司层面业务层面信息系统总体层面(3)记录测试发现设计方面的问题1.1

设计有效性的主要测试步骤信息系统总体控制设计有效性仅在集团、股份公司进行测试,不需在海外勘探进行测试1.测试步骤(1)访谈相关人员,(2)分析核对1.

测试步骤1.2

跟单测试的主要测试步骤(1)访谈,记录结果(2)观察特定控制执行情况(3)检查样本,记录检查结果(4)取得证据适用于手工及应用系统控制测试1.测试步骤1.2跟单测试的主要测试步骤(1)访谈1.

测试步骤1.3

公司层面测试及关键控制抽样测试的主要步骤(1)访谈,了解该业务人员对控制的理解程度(2)确定样本总体,并根据控制频率确定样本数量

(3)综合利用各种测试程序对样本进行测试

(4)利用权限测试工具,进行权限测试其中(2)(4)不适用公司层面控制测试(5)记录测试结果1.测试步骤1.3公司层面测试及关键控制抽样测试的1.

测试步骤1.4

信息系统总体控制测试的主要步骤(1)访谈,了解业务人员是否理解该控制,是否具有相应的胜任能力。(2)确定样本总体和控制频率并选取样本。(3)对样本进行检查或执行再执行程序,关注相应控制是否得到有效执行。测试人员不应在发现样本出现问题后更换样本,对于存在问题的文档需要取得复印件等证据。1.测试步骤1.4信息系统总体控制测试的主要步骤(1.测试步骤2.设计有效性测试内容目录3.公司层面测试内容4.业务活动层面测试内容5.信息系统总体控制测试内容6.追加、冗余或补充及补偿性控制测试的采用7.例外事项的确认1.测试步骤2.设计有效性测试内容目录3.公司层面2.

设计有效性测试内容设计有效性测试定义和形式设计有效性是对于建立的内部控制体系,如果由符合条件的机构和人员按设计的要求去实施,能够有效地防范财务报告风险,为实现内部控制目标提供合理的保证。设计有效性测试,能够查找内部控制设计方面存在的问题,确保内控设计能有效地防范财务报告风险,达到财务报告控制目标,为内部控制执行评价提供基础。2.设计有效性测试内容设计有效性测试定义和形式2.设计有效性测试内容2.1公司层面设计有效性测试2.2业务层面设计有效性测试2.3信息系统总体控制设计有效性测试2.4内控设计案例分析2.设计有效性测试内容2.1公司层面设计有效性测试2.设计有效性测试内容2.1

公司层面设计有效性控制测试公司层面设计有效性测试检查海外勘探针对公司层面内控关注要点是否有相关控制措施,如没有,是否遵照集团、股份公司的控制措施执行,进一步验证公司应有的控制措施是否存在,如按照控制的设计执行是否能达到控制目标。2.设计有效性测试内容2.1公司层面设计有效性控制测试公司层面设计有效性控制测试的记录将公司层面设计有效性控制测试的情况在《公司层面设计有效性测试表》(表2.3)中进行记录,对于测试中发现的设计方面的问题,在对海外勘探进行公司层面测试时进一步验证,分析是否会对财务报告内部控制造成影响,并把最终确定的例外事项在《公司层面测试表》(表2.4)和《公司层面测试例外事项汇总表》(表2.5)中记录并上报。如:公司没有建立举报机制,实际工作中也没有为员工或其他人员提供报告可能违反道德准则和舞弊事项的途径,即作为公司层面设计有效性例外事项进行记录。2.

设计有效性测试内容2.1

公司层面设计有效性控制测试公司层面设计有效性控制测试的记录2.设计有效性测试内容2.2.

设计有效性测试内容2.1公司层面设计有效性测试2.2业务层面设计有效性测试2.3信息系统总体控制设计有效性测试2.4内控设计案例分析2.设计有效性测试内容2.1公司层面设计有效性测试2.

设计有效性测试内容2.2

业务层面设计有效性控制测试业务层面有效性测试检查集团、股份公司统一确定的风险和控制,海外勘探是否采用,如果没有采用,通过访谈内控部门相关人员初步分析其合理性。检查海外勘探是否有新增的特殊风险和控制,如果有,则进一步通过访谈内控部门相关人员初步分析其风险评估和相应控制的合理性。2.设计有效性测试内容2.2业务层面设计有效性控制测试业务层面设计有效性测试的记录将业务层面设计有效性测试的情况在《业务活动层面设计有效性测试表》(表2.6)中进行记录,对于测试中发现的设计方面的问题,在对公司本部或企事业单位进行跟单测试和关键控制抽样测试时进一步验证,分析是否会对财务报告内部控制造成影响,并把最终确定的例外事项在《跟单测试表》(表2.7)及《跟单测试例外事项汇总表》(表2.8)中记录并上报。

如:企事业单位没有完整准确地描述集团公司所确认的关键控制,同时也没有执行;企事业单位没有识别特殊的重要风险。即作为业务层面设计有效性例外事项进行记录。2.

设计有效性测试内容2.2

业务层面设计有效性控制测试

业务层面设计有效性测试的记录2.设计有效性测试内容2.22.

设计有效性测试内容2.1公司层面设计有效性测试2.2业务层面设计有效性测试2.3信息系统总体控制设计有效性测试2.4内控设计案例分析2.设计有效性测试内容2.1公司层面设计有效性测试2.

设计有效性测试内容2.3

信息系统总体控制设计有效性测试信息系统总体控制设计有效性测试根据已经确定的信息系统总体控制测试范围,针对不同的领域,首先依据重要风险确认控制目标,其次将公司已有的关键控制与控制目标、重要风险进行核对分析,确定应有的关键控制是否存在、重要风险是否识别,初步评估有效实施控制能否防范风险,达到控制目标,并结合信息系统总体控制关键控制抽样测试的结果进行评价。由于其信息系统总体控制是由集团、股份公司统一设计,而海外勘探只是执行单位,政策和制度具有高度的统一性,因此信息系统总体控制设计有效性仅在集团、股份公司层面统一进行测试,不需在海外勘探层面进行测试。2.设计有效性测试内容2.3信息系统总体控制设计有效性2.

设计有效性测试内容2.1公司层面设计有效性测试2.2业务层面设计有效性测试2.3信息系统总体控制设计有效性测试2.4

内控设计案例分析2.设计有效性测试内容2.1公司层面设计有效性测试2.

设计有效性测试内容2.4

内控设计案例分析内控设计案例分析测试

首先,从党群工作部、纪检监察办公室、审计内控部及财务与资本运营部取得上年度或本年度内部审计、外部审计、财税物价检查或信访举报中发现的对财务报告内控有效性产生重大影响的案件其及处理情况的资料(如重大收入、费用及负债不实、资产的重大损失、重大的偷漏税、各种舞弊事项等)。其次,通过对取得的资料进行分析,并与相关人员讨论事项发生的根本原因,是否是因为公司内部控制设计方面存在漏洞,导致工作人员即使按设计的程序实施控制,也不能预防案例的发生。如果是因为设计方面存在问题,查看是否采取了相应的措施对设计方面的问题进行整改。2.设计有效性测试内容2.4内控设计案例分析内控设计案内控设计案例分析测试的记录对案例分析情况进行记录。对案例分析的情况在《内控设计案例分析表》(表2.10)中进行记录,在对公司进行测试时进一步核实,案件的发生是否是设计方面存在漏洞导致,公司是否对设计方面的问题进行整改,如未整改则应在相应的例外事项汇总表中体现。

2.

设计有效性测试内容2.4

内控设计案例分析内控设计案例分析测试的记录2.设计有效性测试内容2.41.测试步骤2.设计有效性测试内容目录3.公司层面测试内容4.业务活动层面测试内容5.信息系统总体控制测试内容6.追加、冗余或补充及补偿性控制测试的采用7.例外事项的确认1.测试步骤2.设计有效性测试内容目录3.公司层面3.

公司层面测试内容测试主题高管基调职业道德信访举报和违规处理组织结构权利和责任分配培训业绩考核人力资源政策经营活动分析信息与沟通内部审计反舞弊程序与控制财务报告公司层面测试的范围包括控制环境、风险评估、控制活动、信息与沟通、监督及反舞弊六个方面,共十三个主题。其中期末财务报告流程纳入业务层面测试。3.公司层面测试内容测试高管职业信访举组织权利和培训业公司层面测试实施阶段的主要工作如下:1、要求被测试单位提供样本总体清单,测试人员随意选取样本并对样本进行检查以验证公司层面控制是否存在,是否在实际工作中执行,是否与该控制相应的制度规定相符合,且留下了实施证据。如发现现状描述与实际执行的控制不相符时,应分析原因并做好相关记录。2、对执行控制的岗位人员进行访谈。通过访谈,了解该岗位人员是否真正理解所执行的控制,并对该岗位人员的胜任能力做出判断并记录访谈结果。如果通过测试发现在相关控制方面不能达到测试目标时,应与相关人员进行进一步的访谈或重新进行测试。3、记录公司层面控制测试过程及结果,统计例外事项数量并与被测试单位沟通例外情况。3.公司层面测试内容公司层面测试实施阶段的主要工作如下:3.公司层面测试内容4、测试人员取得并审阅事先由被测试单位填好“企事业单位控制补充说明”的《公司层面控制测试内容与步骤》;5、依据模版中的相关内容,制定测试计划填写《测试计划表》及《测试表》中“具体测试步骤”;6、选择测试方法主要依据《公司层面控制测试表》的测试内容;在此基础上确定测试提纲,提纲包括测试内容、被测试人员、测试时间等;7、测试小组负责人对测试计划进行审批.3.

公司层面测试内容4、测试人员取得并审阅事先由被测试单位填好“企事业单位控制补3.

公司层面测试内容3.1

反舞弊程序主要测试步骤首先通过访谈党群工作部、纪检监察办公室负责人,了解公司反舞弊程序和控制的建立和实施内容。(包括控制环境、风险分析、控制活动、信息与沟通、监控五个方面);其次根据访谈了解到的情况,查阅相关制度、文件资料,判断是否建立并有效实施反舞弊程序。反舞弊程序测试内容在GCC关键控制测试和其他公司层面测试主题中有体现,测试人员不须单独测试,可直接引用其测试结果,以减少工作量;对无法引用的,还须单独测试。3.公司层面测试内容3.1反舞弊程序主要测试步骤首先3.

公司层面测试内容3.2

经营活动分析主要测试步骤首先审阅《财务分析制度》。审阅内容是否完整,是否能有助于发现财务报告中的重大错报。其次访谈财务与资本运营部相关人员,了解对财务分析的理解程度和各个层面的财务分析结果上报的程序及上报后的审核情况。根据抽样原则抽查财务分析报告,选择重点相关经营指标,对分析的过程进行再执行测试,检查指标的分析是否适当。访谈相关的财务负责人,了解管理层和各级管理部门是否对上报的财务分析进行审阅,对审核中发现的问题是否进行跟进,并查阅跟进的相关证据。3.公司层面测试内容3.2经营活动分析主要测试步骤首3.

公司层面测试内容3.3

职业道德主要测试步骤首先取得《国有企业领导人员廉洁从业若干规定(试行)》、《中国石油股份有限公司章程》以及《高级管理人员职业道德规范》、《高级管理人员职业道德建设制度》、《员工职业道德规范》、《员工职业与道德建设制度》等文件,审阅内容是否全面,是否符合制度要求。通过访问公司网站和制度汇编,以确定公司是否发布以上文件。访谈党群工作部的相关人员,了解是否对职业道德建设制度进行了宣传培训,检查相关培训记录等资料,最后通过访谈员工了解员工对职业道德的认知程度。3.公司层面测试内容3.3职业道德主要测试步骤首先取检查高管人员是否全部签署《高级管理人员职业道德规范确认书》。同时通过与管理层人员访谈并对相关制度文件进行检查,了解并查看公司是否将职业道德标准包含在与客户及供货商的商业交往中。测试人员要知晓和理解《高级管理人员职业道德规范》、《高级管理人员职业道德建设制度》、《员工职业道德规范》、《员工职业与道德建设制度》等相关文件内容。3.

公司层面测试内容3.3

职业道德主要测试步骤检查高管人员是否全部签署《高级管理人员职业道德规范确认书》。3.

公司层面测试内容3.4

高管基调主要测试步骤通过对高管的访谈,了解他们对诚信与道德观的理念,以及如何具体落实。访谈公司员工并查阅相关资料,了解职工代表大会及合理化建议的组织实施情况。通过访谈管理层(总经办),了解管理层(领导班子)是否对干预或越权(违反权限规定和程序制度)的情形进行关注。

3.公司层面测试内容3.4高管基调主要测试步骤通过对3.

公司层面测试内容3.4

高管基调主要测试步骤其次查阅相关制度,审核其内容是否包含明确禁止管理人员越权,并鼓励对获知的越权、违规行为进行举报的规定;以及对于何种情况下需要干预以及干预的频率及记录的具体要求;取得并审阅公司对与管理层干预和越权行为的记录,确定对于干预的原因是否有合理的解释,对于越权行为是否有相应的处理。访谈总经办、经营计划部、业务发展部、财务与资本运营部、法律事务部等部门,了解公司在介入新业务前,是否在进行风险和收益分析后才采取行动;访谈财务与资本运营部了解会计政策确定、信息沟通、财务报告等内容。3.公司层面测试内容3.4高管基调主要测试步骤其次查3.

公司层面测试内容3.5

信访举报机制和违规处理主要测试步骤首先通过访谈党群工作部人员,了解公司是否建立了较为畅通的举报渠道;其次通过访谈公司员工,了解员工是否知道信访举报方式,举报渠道,第三通过查阅公司文件和违规处理记录,确定公司是否注重对员工违规情况的管理;通过对信访举报案件的受理、调查和处理过程进行穿行测试,检查公司是否按照规定对信访举报事项进行调查处理。查阅相关制度,了解公司针对员工违规处理有何依据。并审阅最近一年度公司对员工违规处理的记录,确定是否按规定处理,是否在公司上下进行了传达。3.公司层面测试内容3.5信访举报机制和违规处理主要3.

公司层面测试内容3.6

组织结构主要测试步骤首先通过访谈人力资源部审阅《中国石油机构编制管理暂行办法》,了解机构编制管理的程序和实施状况;其次取得公司的组织结构现状图,确认组织结构是否与公司当前的经营活动相适应。通过访谈人力资源部组织机构编制管理岗和公司员工,确认公司员工总量控制计划与实际员工需求人数是否一致。尤其是领导班子、审计内控部、财务与资本运营部的人员数量是否充足,工作分配是否恰当。3.公司层面测试内容3.6组织结构主要测试步骤首先通3.

公司层面测试内容3.7

权利和责任分配主要测试步骤首先审阅《机关部门职能及专业公司职责范围》和总部业务授权权限指引表,确认业务授权权限指引表是否恰当的反映了公司当前部门及岗位的业务权限分配。并选择抽取部分管理人员,审阅授权表中的相关权限描述是否与其岗位职责描述一致。其次访谈人力资源部经理,并查阅职责和授权的审批及变化的记录,了解是否定期对权限指引表进行修订并进行记录,从而判断责任和权力分配的适当性。访谈人力资源部经理以及重要部门经理,了解人员流动的情况、人员的数量和能力是否满足工作需要等。3.公司层面测试内容3.7权利和责任分配主要测试步骤3.

公司层面测试内容3.8

培训主要测试步骤首先向人力资源部培训岗了解培训的程序,之后访谈员工,了解员工的知识、技能和参加培训状况,并查阅员工培训记录和相关培训制度、计划。访谈3名公司员工(主要是财务与资本运营部、审计内控部、业务部门等),了解其近一年是否参加过公司组织的培训,培训的内容是否与履行其职责的知识和技能(如业务、技能培训等)有关。抽取3人的“培训记录”,确认是否按规定进行培训。3.公司层面测试内容3.8培训主要测试步骤首先向人力3.

公司层面测试内容3.9

业绩考核主要测试步骤首先通过访谈人力资源部业绩考核岗,了解业绩考核的操作流程,考核工作开展的形式及考核兑现情况,以及员工的反映情况等,其次通过访谈员工,了解薪酬与目标实现的相关程度,以及实现目标的压力感受;第三通过抽样审阅员工考核记录,了解业绩考核的兑现情况。测试人员在测试前应审阅《总裁班子成员业绩考核办法》、《中国石油高级管理人员业绩考核办法》、《中国石油中层及以下管理人员业绩考核指导意见》和《中国石油操作服务人员绩效考核指导意见》等制度,了解业绩考核的相关制度要求。3.公司层面测试内容3.9业绩考核主要测试步骤首先通3.

公司层面测试内容3.10

人力资源政策主要测试步骤首先,通过访谈人力资源部相关人员,了解公司管理人员的选拔任用机制及实施情况;其次,抽样新聘任管理人员的有关资料,确认是否按照制度进行了竞聘、背景调查和任前公示;第三,检查处室干部和关键岗位人员的审查材料,审查是否关注了经验、政治素质、技能资格水平、以及犯罪记录等情况。3.公司层面测试内容3.10人力资源政策主要测试步3.

公司层面测试内容3.11

信息与沟通主要测试步骤信息与沟通涉及总经办、经营计划部、财务与资本运营部、法律事务部、HSE部、审计内控部、总工程师办公室等部门,测试小组人员通过与各个部门相关岗位进行访谈,并查阅信息传递及反馈的记录、文件、资料等,以确认公司相关信息能得到及时沟通。信息与沟通部分测试内容在关键控制测试和其他公司层面测试主题中有体现,测试人员不须单独测试,可直接引用其测试结果,以减少工作量;对无法引用的,还须单独测试。3.公司层面测试内容3.11信息与沟通主要测试步骤3.

公司层面测试内容3.12

内部审计主要测试步骤首先,通过访谈审计内控部相关人员,了解内审人员的任职条件,审计内控部的地位及权利(是否具有独立性)、审计内控部业务程序等情况。其次,根据访谈结果查阅《内部审计工作规定》等相关制度及资料,检查内部审计内控部是否足够的授权,是否能保障相对独立性,审计质量是否能得到保证,是否能切实起到监督作用等。3.公司层面测试内容3.12内部审计主要测试步骤首1.测试步骤2.设计有效性测试内容目录3.公司层面测试内容4.业务活动层面测试内容5.信息系统总体控制测试内容6.追加、冗余或补充及补偿性控制测试的采用7.例外事项的确认1.测试步骤2.设计有效性测试内容目录3.公司4.

业务活动层面测试内容4.1跟单测试4.2关键控制抽样测试4.3电子表格测试4.业务活动层面测试内容4.1跟单测试4

.

业务活动层面测试内容4.1

跟单测试4.1.1跟单测试的定义4.1.2跟单测试的目的4.1.3跟单测试的依据4.1.4跟单测试的具体程序4.业务活动层面测试内容4.1跟单测试4.1.1跟4.1.1

跟单测试的定义跟单测试是在重要业务流程中选取一笔业务,从业务发生开始,一直追踪到该笔业务反映到公司财务报告的测试过程,适用于手工控制与应用系统控制测试。采购计划

采购合同

收货入库

支付结算财务记账物资采购4.1

跟单测试4.1.1跟单测试的定义跟单测试是在重要业务流程中选取一4.1.2

跟单测试的目的4.1

跟单测试跟单测试的主要目的通过流程跟单测试,找出流程描述和风险控制文档的内容与实际执行情况的差异,分析差异产生的原因,并提出整改完善建议,使内控文档和实际情况保持一致,为顺利通过外部审计师测试提供保障。查找内控设计方面的不足,集团、股份公司确定的重要风险和关键控制在被测试单位是否被采用,如果没有被采用,分析其合理性;被测试单位业务流程中存在的特殊重要风险是否被识别,相应的关键控制是否被确认并准确记录。在设计满足的情况下,查找一般控制和关键控制是否被有效执行,即设计的控制在实际中是否被执行,该控制执行后能否防范风险。查找文本规范性问题,如:风险控制文档与流程图不一致、风险点及控制点标注不准确等设计方面文本规范问题。4.1.2跟单测试的目的4.1跟单测试跟单测试的主要风险控制管理文件关键控制管理文件当年确定的测试范围公司4.1.3

跟单测试的依据4.1

跟单测试被测试部门风险控制管理文件关键控制管理文件当年确定的测试范围公司4.14.1.4

跟单测试具体程序4.1

跟单测试跟单测试举例记录测试情况观察检查控制是否存在并执行选择跟单测试样本访谈4.1.4跟单测试具体程序4.1跟单测试跟单测试举例4.1.4

跟单测试具体程序4.1

跟单测试访谈原则上是执行该项控制的人员,如果相关人员(如负责人)能够说明具体情况,也可能访谈相关人员,不需要具体访谈到每个岗位。观察针对特定的控制,如不相容岗位是否分离等。检查一方面对被测试单位设计的控制是否被有效执行,该控制执行后能否防范相关的重要风险。二是对实施证据的抽样检查,需要根据交易、审批权限和业务性质抽取样本,样本能够贯穿业务流程的全过程,三是验证有效性测试发现的问题。4.1.4跟单测试具体程序4.1跟单测试访谈关注点1:访谈原则上要求就实施控制的每个岗位进行访谈,以确保获取最直接的信息。但如果测试人员能够肯定判断从一个或几个岗位上访谈所获取的信息已经足够支持测试所需要了解的内容和信息,那么根据被测试单位的实际情况,可以不用访谈每个岗位。

可以将同一部门或岗位执行的控制合并进行访谈,以便提高工作效率。4.1.4

跟单测试具体程序4.1

跟单测试关注点1:4.1.4跟单测试具体程序4.1跟单测试关注点2:样本一般按流程描述的先后顺序抽取一笔业务从流程开始追踪至流程结束。为提高测试效率,也可以按业务发生的逆顺序进行样本的选取。不管采取哪种方式,都应保证所选取的样本能够贯穿业务流程全过程,同时注意应在不同业务部门取得与样本相关的证据资料。如果流程中有因审批权限、业务性质等不同产生的流程分支,由于前段流程相同,所以选取不同的分支样本,只需测试在分支阶段不同的控制,而不需要再依据不同分支取得的样本再从头测试一遍。4.1.4

跟单测试具体程序4.1

跟单测试关注点2:4.1.4跟单测试具体程序4.1跟单测试关注点3:针对不同业务流程中的引用流程(例如:合同签订、会计核算、资金付款等引用流程),测试人员不需要进行重复的跟单测试。但是测试人员应该相互之间进行充分的沟通,做到对重要流程步骤的不遗漏,以确保测试范围的完整性。4.1.4

跟单测试具体程序4.1

跟单测试关注点3:4.1.4跟单测试具体程序4.1跟单测试关注点4:选择样本需考虑的因素:一是能够代表重要业务流程中的主要业务类型,具有一定的普遍性;二是同一业务流程中,应用控制选取的样本与手工控制选取的样本必须对应相同的业务事项。4.1.4

跟单测试具体程序4.1

跟单测试关注点4:4.1.4跟单测试具体程序4.1跟单测试关注点5:检查样本时关注::被测试单位设计的控制是否被有效执行,该控制执行后能否防范相关的重要风险;进而验证访谈结果是否准确(即集团、股份公司确定的重要风险和关键控制在被测试单位是否被采用,并在哪些岗位实施;被测试单位业务流程中存在的特殊重要风险是否被识别,相应的关键控制是否被确认并准确记录)。检查相关文档记录是否按要求填写和传递。根据文档填制情况,分析描述的控制在实际工作中是否得到执行、实际执行中的控制在风险控制文档中是否进行了相关的描述、实际执行的控制是否留下实施证据。4.1.4

跟单测试具体程序4.1

跟单测试关注点5:4.1.4跟单测试具体程序4.1跟单测试关注点6:在检查样本时,应结合公司设计有效性测试及被测试单位设计有效性测试发现的问题,通过检查样本进一步验证设计方面发现的问题。对执行层面发生的例外事项,应分析例外事项产生的原因,是否是因为设计方面存在问题而产生例外事项。

选取的样本为同一笔交易时,查看样本时应注意不同流程产生的单据间的勾稽关系,如品种、金额、数量、交易日期等。4.1.4

跟单测试具体程序4.1

跟单测试关注点6:选取的样本为同一笔交易时,查看样本时应注意不同流程关注点7:对有必要观察的正在发生的特定控制进行观察,进而获取控制证据。该测试方法主要针对接触性测试进行,例如:在票据管理流程中,一般都存在“票据与银行印鉴分开保管“的控制,针对该控制可以执行的测试步骤是:观察银行预留印鉴是否由出纳岗之外的其他人员分开保管。观察???这是潜在问题吗?4.1.4

跟单测试具体程序4.1

跟单测试关注点7:观察???4.1.4跟单测试具体程序4.1关注点7(续):测试完毕后,根据测试结果在《跟单测试表》中记录测试过程,包括访谈的岗位,观察的事项、时间、结论,检查的相关样本,记录发现的问题,并复制例外事项涉及的相关证据。4.1.4

跟单测试具体程序4.1

跟单测试关注点7(续):4.1.4跟单测试具体程序4.1跟单关注点8:对于设计方面文本规范性的问题:主要是指控制描述不规范,但不影响控制设计与执行的有效性的问题,如:风险控制文档与流程图不一致,但控制执行有效、控制实施证据描述有误、流程描述格式欠缺、风险点及控制点标注不准确及其他文本规范性问题。测试人员在测试中应关注此类问题,在测试结束后与被测试单位进行沟通,提出整改建议。但对于设计方面文本规范性问题不作为例外事项,而只作为一类管理性问题与被测试单位进行沟通,不在测试表和汇总表中体现,在测试报告中总体反映。4.1.4

跟单测试具体程序4.1

跟单测试关注点8:4.1.4跟单测试具体程序4.1跟单测试①编制物资采购需求计划③确定供应商及采购方式相关岗进行汇总平衡后,采购计划按是否集中采购分不同层次进行审批对供应商的选择及采购方式选择进行必要的审核与审批②集中采购物资采购计划的形成采购部门按制度签订采购合同,报相关处室审核(包括法律事务部门单独审查)和公司主管领导审批采购物资的验收按存货验收程序执行。采购、验收与相关会计记录不相容岗位分离部门负责人及主管领导审核采购验收相关原始单据及付款审批单每半年审核与往来单位应付及预付款项的支付情况,填制内部往来签认单②自行采购物资采购计划的形成④编制并签订物资采购合同存货管理系统合同管理系统⑤验收采购物资⑥办理结算手续⑦进行账务处理4.1.4

跟单测试具体程序4.1

跟单测试①编制物资采购需求计划③确定供应商及采购方式相关岗进行汇总平4.

业务活动层面测试内容4.1跟单测试4.2关键控制抽样测试4.3电子表格测试4.业务活动层面测试内容4.1跟单测试4.

业务活动层面测试内容4.2

关键控制抽样测试4.2.1关键控制抽样测试定义及测试范围4.2.2关键控制抽样测试的原则及目的4.2.3关键控制抽样测试依据4.2.4关键控制测试的具体程序4.业务活动层面测试内容4.2关键控制抽样测试4.24.2.1

关键控制抽样测试定义及测试范围4.2

关键控制抽样测试关键控制是在相关流程中影响力和控制力相对较强的一项或多项控制,其控制作用是必不可少的和无可替代的。关键控制抽样测试是以集团、股份公司制订的《关键控制管理文件》为标准,采用抽样测试的方法,对业务活动层面关键控制执行的有效性进行的检查。(目前包括财务报告-FK、经营-BK、法律三个方面-L)4.2.1关键控制抽样测试定义及测试范围4.2关键控制手工控制应用系统控制电子表格控制关控测试适用范围4.2.1

关键控制抽样测试定义及测试范围4.2

关键控制抽样测试手工控制应用系统控制电子表格控制关控测试适用范围4.2.1关键控制抽样测试的一般原则关键控制测试只对实际存在的关键控制点进行测试关键控制既可以作为独立的测试项目组织实施,也可以与跟单测试一并进行关键控制抽样测试的目的查找关键控制执行方面存在的问题,确保设计有效的关键控制在公司得到有效执行4.2.2

关键控制抽样测试的原则及目的4.2

关键控制抽样测试关键控制抽样测试的一般原则4.2.2关键控制抽样测试的原则关键控制抽样测试依据关键控制管理文件风险控制管理文件当年确定的测试范围关键控制抽样测试内容与步骤

4.2.3

关键控制抽样测试依据4.2

关键控制抽样测试关键控制抽样测试依据4.2.3关键控制抽样测试依据4.2关键控制测试举例记录抽样测试情况观察、进行再执行测试对样本进行检查选取样本确定样本总体及样本量对执行控制的岗位人员进行访谈注意:对于一些接触性控制需要运用观察的测试方式。考虑关键控制风险程度和业务流程的重要性,如银行余额调节表的重新编制需要采用再执行进行测试。4.2.4

关键控制抽样的具体程序4.2

关键控制抽样测试关键控制记录抽样观察、进行对样本进选取样本确定样本总体及样访谈对象:原则上是执行该控制的岗位人员,如果无法访问,也可以访谈部门负责人或其他熟悉该项控制的人员。访谈的内容:包括控制的程序和具体内容(做什么)、执行该控制的依据和方法(如何做)等。访谈结果:了解业务人员对控制措施是否真正理解,是否知道如何实施控制,并对该业务人员的胜任能力做出判断。关注:为提高测试人员工作效率、节省被访谈人员的时间,关键控制的访谈可与跟单测试访谈一并进行,还可以将同一部门或岗位执行的控制合并进行访谈。4.2.4

关键控制抽样的具体程序4.2

关键控制抽样测试访谈对象:原则上是执行该控制的岗位人员,如果无法访问,也可44.2.4

关键控制抽样的具体程序4.2

关键控制抽样测试确定样本总体样本总体是指测试对象样本总体包括构成某类交易和事项的所有项目,测试人员应当确保样本总体的适当性和完整性。适当性要求测试人员确定的样本总体应适合于特定测试目标。完整性要求测试人员应从样本总体项目内容和涉及时间等方面确定样本总体的完整性。4.2.4关键控制抽样的具体程序4.2关键控制抽样测试4.2.4

关键控制抽样的具体程序4.2

关键控制抽样测试确定样本总体样本总体在大多数情况下并不是关键控制所对应的控制实施证据。例示:有关费用报销的关键控制关键控制:费用经办部门负责人、分管领导、总会计师(主管财务的领导)、财务与资本运营部门费用管理岗、出纳人员按照各自的职责权限分别对费用的原始凭证的审核(原始凭证包括费用报销审批单)。该关键控制的控制实施证据是费用报销审批单。但是针对该关键控制的测试样本总体不应该是全部的费用报销审批单。这是因为如果以全部的费用报销审批单作为样本总体进行抽样,就不能够发现已经入账但是没有适当的费用报销审批单的费用项目。所以针对该关键控制的测试样本总体应该是明细账中的全部费用项目,而不是费用报销审批单。4.2.4关键控制抽样的具体程序4.2关键控制抽样测试4.2.4

关键控制抽样的具体程序4.2

关键控制抽样测试样本选取的原则能够代表样本总体,抽样时要考虑重要性水平因素,以定量为主,结合定性。如测试往来签认的一致性时,应重点关注往来金额较大的单位是否及时准确签认。子总体样本的选取具体到每个子总体抽样时,按随意抽样的原则进行。抽样时样本要相对分布均匀,不要集中在某一时间段,以确保样本能够代表样本总体。4.2.4关键控制抽样的具体程序4.2关键控制抽样测试4.2.4

关键控制抽样的具体程序4.2

关键控制抽样测试样本的选取分层按明细科目按业务类型

按权限

按期间

4.2.4关键控制抽样的具体程序4.2关键控制抽样测试4.2.4

关键控制抽样的具体程序4.2

关键控制抽样测试样本量的确定样本量的确定分类:自动应用控制的样本量不考虑控制频率,固定为1个。手工控制及半自动应用控制中定期发生的控制的样本量是通过控制发生的频率来确定的。手工控制及半自动应用控制中不定期发生的控制或者执行对象比较多的定期发生的关键控制,需确定该控制在一个会计年度内大约发生的次数,折合成控制发生的频率后再确定样本量。4.2.4关键控制抽样的具体程序4.2关键控制抽样测试4.2.4

关键控制抽样的具体程序4.2

关键控制抽样测试不定期发生次数固定控制频率/折合频率样本数量自动应用控制不适用1手工控制/半自动应用控制每年一次1每半年一次2每季一次215次以下每月一次2~515次和50次之间每周一次5、10、1550次和200次之间每日一次20、30、40大于200次每日数次20、30、45、60关键控制样本量确定表4.2.4关键控制抽样的具体程序4.2关键控制抽样测试不定期发生业务活动样本量的举例服务采购合同的控制频率是随时,这就需测试人员询问被测试单位合同管理岗测试期间内合同签订的份数,并取得合同管理台账进行核对,然后推算全年大约签订的份数,再参照关键控制样本量确定表确定应抽取的样本量。假如被测试单位1-3月份共签订了10份服务采购合同,如果通过访谈得知合同签订在全年的分布是比较均衡的,则推算全年合同份数约为40份,则折合频率为每周一次,相应确定的样本量应该是15个。4.2.4

关键控制抽样的具体程序4.2

关键控制抽样测试不定期发生业务活动样本量的举例4.2.4关键控制抽样的具体执行对象比较多的定期发生的控制样本举例编制银行存款余额调节表的控制是每月定期进行的,但是由于银行存款余额调节表是针对每一个银行账户编制的,所以该控制就不能简单地视为月度控制。针对该控制,需要确定被测试单位银行账户的数量,推算一个会计年度内编制银行存款余额调节表的次数,确定测试需要的样本量。假如某被测试单位一共有30个银行账户,推算全年编制银行存款余额调节表的数量为360个,相应确定的样本量应该是60个。4.2.4

关键控制抽样的具体程序4.2

关键控制抽样测试执行对象比较多的定期发生的控制样本举例4.2.4关键控制抽4.2.4

关键控制抽样的具体程序4.2

关键控制抽样测试本部及二级单位样本量确定原则在本部层面执行的关键控制,以本部为一个抽样单位,按照规定的样本量上限进行抽样测试。所属二级单位在企事业单位所属二级单位执行的关键控制,以每个二级单位为一个抽样单位,按照不低于规定的样本量下限进行抽样测试。例如:发生频率为每日数次的业务,在公司本部按关键控制样本量确定表的上限应抽取60个样本,在其二级单位则抽取20个样本就可以了。4.2.4关键控制抽样的具体程序4.2关键控制抽样测试改进测试样本量的确定方法改进测试样本量的确定表控制频率改进后的关键控制至少需要运行的时间或次数改进测试最低样本量每季一次两季2每月一次两个月2每周一次五周2每日一次二十日10每日数次二十五日25至少十五日无法确定频率的控制,参照前述方法确定折合频率,再确定样本量。4.2.4

关键控制抽样的具体程序4.2

关键控制抽样测试改进测试样本量的确定方法控制频率改进后的关键控制至少需要改更新测试样本量的确定方法更新测试定期发生控制样本量确定表控制频率样本数量每年一次N/A每季一次1每月一次1每周一次2每日一次10每日数次15无法确定频率的控制,参照前述方法确定折合频率,再确定样本量。4.2.4

关键控制抽样的具体程序4.2

关键控制抽样测试更新测试样本量的确定方法控制频率样本数量每年一次N/A每季一补充测试样本量的确定方法

关键控制补充测试应抽取样本数量是前期测试中实际抽取样本数量减去实际抽取样本数量的差额。4.2.4

关键控制抽样的具体程序4.2

关键控制抽样测试补充测试样本量的确定方法4.2.4关键控制抽样的具体程序样本选取应注意的问题如果从测试起始时间到截止时间,由于业务发生量的限制无法取得要求的样本量,则应该选取已有的全部样本,同时在测试表中记录样本的选取情况(样本量不足,要求XX个,仅抽取了XX个)。测试人员在确定要抽取的样本之前,应首先取得全部样本的清单,在样本清单中选择要抽取的样本,并经测试小组组长审批。样本的测试结果应真实反映,批准后的样本不能随意更改,以保证样本能够代表总体。测试人员不应该在发现样本出现问题后更换样本,这样会造成测试结果的失真。4.2.4

关键控制抽样的具体程序4.2

关键控制抽样测试样本选取应注意的问题4.2.4关键控制抽样的具体程序4.2检查样本检查描述的控制在实际工作中是否得到执行,执行中的控制在风险控制文档中是否得到描述、是否留下实施证据;是否与该关键控制相应的文件制度规定相符合。抽样检查还可结合观察、再执行等方法进行观察主要是针对正在执行的控制或步骤进行现场见证。比如财务印鉴管理情况的检查,信息系统登陆情况的检查。再执行主要是由测试人员通过重新执行某项控制,检查该项控制实际执行结果是否有效。如:重新编制银行存款余额调节表。控制结果是否正确;控制过程是否有效;控制实施证据是否完整有效。4.2.4

关键控制抽样的具体程序4.2

关键控制抽样测试检查样本控制结果是否正确;控制过程是否有效;控制实施证据是否记录抽样测试情况测试表:详细记录访谈结果,测试步骤及发现、测试结论、例外事项说明及原因等内容。抽样测试记录表:记录抽样情况。对于全部例外事项,应该取得测试证据的复印件,并与相应的抽样测试表进行索引。4.2.4

关键控制抽样的具体程序4.2

关键控制抽样测试记录抽样测试情况4.2.4关键控制抽样的具体程序4.2另外:等级一应用系统财务报告公式测试及权限测试记录等级一应用系统财务报告的公式测试部分还需填写《报表公式抽样测试底稿》利用权限测试工具,对纳入测试范围的应用系统(等级一应用系统、复杂等级二应用系统)进行权限测试,并做出详细记录如:FMIS7.0、FA7.0、ERP参照相应的测试工具测试4.2.4

关键控制抽样的具体程序4.2

关键控制抽样测试另外:4.2.4关键控制抽样的具体程序4.2关键控制抽集团公司关键控制某企事业单位关键控制测试步骤测试具体步骤财务报表上报前,指定的人员进行银行对账工作、编制银行存款余额调节表,由独立于办理货币资金业务岗位之外的人员进行复核,并由财务与资本运营部门负责人进行审核、签字。财务与资本运营部资金科资金计划岗核对银行账户,编制银行存款余额调节表。资金科科长审核,使银行存款账面余额与银行对账单调节相符。如调节不符,应查明原因,及时处理。并对银行存款余额调节表的真实性和准确性进行审核后签字1、与财务与资本运营部资金科资金计划岗访谈,了解银行对账工作情况;

2、了解进行对账人员是否独立于办理货币资金业务岗位之外,其资质、独立性是否符合要求;

3、抽查银行存款余额调节表,查看是否有财务部门负责人的审核签字,检查针对差异情况是否进行了跟踪,并对差异进行了说明。进行再执行测试。1、根据访谈了解的结果,样本总体为所有银行账户,根据银行账户的数量,计算得出控制频率相当于每周一次,确定样本数量为15个。抽取15个银行账户。2、取得15个银行账户的银行存款余额调节表,查看是否有资金科科长的审核签字,检查是否针对差异进行了分析和跟踪,是否对跟踪结果进行了说明;3、针对抽取的15个银行存款余额调节表,检查以下事项:

1)核对银行存款调节表所列企业账面数是否与银行日记账余额相符,

2)核对银行存款调节表所列银行余额与银行对账单余额是否相符,

3)针对调节表中的全部未达账项,分析核对其性质,检查填列得是否正确。编制银行存款余额调节表的控制测试步骤例示

询问检查再执行4.2.4

关键控制抽样的具体程序4.2

关键控制抽样测试集团公司关键控制某企事业单位关键控制测试步骤测试具体步4.

业务活动层面测试内容4.1跟单测试4.2关键控制抽样测试4.3电子表格测试4.业务活动层面测试内容4.1跟单测试电子表格是基于计算机处理的标准格式的公司信息。电子表格控制目标:电子表格控制目标是加强电子表格管理的科学性和规范性,提高企业在电子表格安全、版本、变更、开发、备份、存档等方面的控制和能力,更好地保护企业的信息资产,健全中国石油信息系统控制体系,提高电子表格对业务的支撑力度,增强企业电子表格的运行效力。

4.

业务活动层面测试内容4.3

电子表格测试电子表格是基于计算机处理的标准格式的公司信息。4.业务活

电子表格控制范围(1)电子表格控制范围包括公司生产运营、分析决策、财务报告及披露等方面涉及的电子表格。内控测试中需评价的电子表格包括由用户程序(如MicrosoftExcel、Access、Lotus等)编制的各种支持财务报告及披露的电子表格或文本文件。支持财务报告及披露的电子表格包括直接或间接作为财务记账依据的电子表格、用于财务相关信息核对的电子表格、以及支持财务信息披露的电子表格。支持财务报告及披露的电子表格通常包括财务与资本运营部编制及适用的电子表格以及由其他业务部门传递至财务与资本运营部供其作为会计核算及报告披露依据的电子表格。4.

业务活动层面测试内容4.3

电子表格测试电子表格控制范围(1)4.业务活动层面测试内容4.3电子表格控制范围(2)电子表格属于信息系统测试范围,应该由信息组进行测试,但业务层面测试也需对同一表单从不同的角度进行检查,为了提高测试效率,避免在信息系统和业务层面重复测试。故电子表格由业务测试组进行测试,因此我们对电子表格测试在业务层面测试中进行描述。4.

业务活动层面测试内容4.3

电子表格测试电子表格控制范围(2)4.业务活动层面测试内容4.34.3.1访谈4.3.2确定样本总体4.3.3确定样本量4.3.4检查样本4.3.5记录抽样情况4.

业务活动层面测试内容4.3

电子表格测试4.3.1访谈4.业务活动层面测试内容4.3电子表访谈电子表格编制人和负责人,了解电子表格在该控制点的控制情况。信息总体控制层面测试针对四个关键控制点进行,分别为存取控制、变更控制、备份控制、存档控制;应用控制针对四个关键控制点,除存取控制与总体控制相同外,还包括输入控制、存取控制、权限控制、逻辑检查。4.3

电子表格测试4.3.1

访谈访谈电子表格编制人和负责人,了解电子表格在该控制点的控制情况存取控制:未经授权的登录被禁止和检查。属于总体控制和应用控制。在AC层次,要求对工资类电子表格进行加密;在GCC层次,电子表格存放在文件服务器受到保护的路径目录下,并对电子表格存放目录权限进行控制。变更控制:重要和一般电子表格的变更应严格遵循申请、授权、测试和批准的完整过程。属于总体控制层面控制。要求对纳入测试范围的所有电子表格的变更都需要遵循申请、授权、测试和批准的过程后,该电子表格才可投入使用。变更需要填制《电子表格变更申请表》。4.3

电子表格测试4.3.1

访谈存取控制:未经授权的登录被禁止和检查。属于总体控制和应用控制备份控制:包括电子表格模板的备份和数据的备份。属于总体控制层面。重要电子表格应定期备份,模板的备份存放在文件服务器指定的文件夹中,电子表格的数据备份由用户各自进行,根据使用的频率决定备份的周期。存档控制:属于总体控制层面。要求每年对重要电子表格进行存档,将其存入独立的存储介质,并设置为只读模式。比如每年将重要电子表格的数据刻在只读光盘中。4.3

电子表格测试4.3.1

访谈备份控制:包括电子表格模板的备份和数据的备份。属于总体控制层输入控制:属于应用控制。手工录入电子表格的数据,需与原始单据进行汇总核对,将更新后的电子表格内容打印出来,由审核岗人员比对原始数据,并审核签字。若电子表格的数据从外部数据自动导入,需要将更新后的电子表格内容打印出来,由审核岗人员比对外部数据来源,审核后签字确认,保证数据的完整与准确。权限控制:属于应用控制。电子表格的编制人和审核人需要实行权限分离。逻辑检查:属于应用控制。由电子表格复核岗人员对电子表格的计算公式或数据链接关系进行定期检查,以保证表内逻辑计算的正确性。检查情况进行记录,并由专人进行复核。4.3

电子表格测试4.3.1

访谈输入控制:属于应用控制。手工录入电子表格的数据,需与原始单据

例如对输入控制点(K1),需要了解电子表格的输入控制情况是否与上述关键控制描述一致。对于手工录入电子表格的数据,是否与原始单据进行汇总核对,是否将更新后的电子表格内容打印出来,是否由审核岗人员比对原始数据,并审核签字;对于电子表格的数据从外部数据自动导入,是否将更新后的电子表格内容打印出来,是否由审核岗人员比对外部数据来源,审核后签字确认。4.3

电子表格测试4.3.1

访谈例如对输入控制点(K1),需要了解电子表格的输入控制4.3

电子表格测试4.3.2

确定样本总体

样本总体包括但不限于《电子表格汇总表》中所确定的12大类电子表格,分别为:资金类、往来类、存货类、资产与折旧类、坏账与减值准备类、工资类、预提与摊销类、税金类、收入类、成本类、费用类、报表类等。4.3电子表格测试4.3.2确定样本总体样本12大类电子表格每类选取1个重要电子表格,再根据该电子表格的变更频率确定具体的抽样数量。

变更频率样本数量月、季、年2周、日5变更频率和样本量对照表例如对K1控制点,汇兑损益计算表属于12大类中的费用类,发生频率为每季度1次,应抽取2个样本。4.3

电子表格测试4.3.3

确定样本量12大类电子表格每类选取1个重要电子表格,再根据该电子表格的

根据测试计划表中选取样本,对样本进行检查。确定描述的控制在实际工作中是否得到执行,是否留下事实证据,记录检查结果。例如对K1控制点,对于所选电子表格,查看是否打印出来,对于打印出来的电子表格是否有审核岗人员签字以确认与原始数据或者单据的一致性。4.3

电子表格测试4.3.4

检查样本根据测试计划表中选取样本,对样本进行检查。确定描述的

对抽取的样本进行测试并填写测试表格。测试的表格包括“测试表”、“抽样测试表”。对于每个关键控制点,填写一张“测试表”,并在“测试表”中的相关栏中对抽样范围内的所有电子表格控制点的执行情况进行统一记录。对于抽样范围内的电子表格,填写“抽样测试表”来列示样本的详细信息。目前,随着信息系统的推广,一些企事业单位所使用的电子表格已经纳入到信息系统中,统一进行管理,针对此类“电子表格”的测试工作,请参照信息系统总体控制的相关控制点。4.3

电子表格测试4.3.5

记录抽样情况对抽取的样本进行测试并填写测试表格。测试的表格包括“1.测试步骤2.设计有效性测试内容

目录3.公司层面测试内容4.业务活动层面测试内容5.信息系统总体控制测试内容6.追加、冗余或补充及补偿性控制测试的采用7.例外事项的确认1.测试步骤2.设计有效性测试内容目录3.公司层

信息系统总体控制是根据集团、股份公司内部控制和信息化建设需要制定的、用于指导日常信息技术管理和运营的管理流程和实施办法,旨在整个公司范围内更加科学、规范地运用信息技术,提高企业在信息技术开发、实施、运营活动方面的控制能力,更好地保护信息资产,提高信息技术对业务的支持力度。5.

信息系统总体控制测试内容信息系统总体控制是根据集团、股份公司内部控制和信息化信息系统总体控制是信息处理控制中的一种,是控制活动的内部控制组成要素的一部分。其中流程和程序是用于对公司的信息技术活动和计算机环境进行管理和控制。通常分为信息技术控制环境、程序开发、程序变更、程序和数据存取(安全性)、计算机运行等多个领域。信息系统总体控制测试范围包括财务管理信息系统(FMIS)、资产管理系统、资金管理系统以及财务关联的信息系统。通过信息系统总体控制测试,检查是否根据集团、股份公司信息系统总体控制管理文件的要求,执行了信息系统管理的各项控制活动,从而提高应用系统控制的有效性,确保信息系统支持的应用控制是可靠的、生成的数据和报告是可信的。5.

信息系统总体控制测试内容信息系统总体控制是信息处理控制中的一种,是控制活动的5.1访谈5.2选取样本5.3检查样本5.4记录抽样情况5.

信息系统总体控制测试内容5.1访谈5.信息系统总体控制测试内容5.

信息系统总体控制测试内容5.1

访谈访谈

访谈执行控制的岗位人员,了解该业务人员是否真正理解所执行的控制,并对该业务人员的胜任能力做出判断,将访谈结果记录在测试表中。5.信息系统总体控制测试内容5.1访谈访谈

信息系统总体控制包括控制环境、信息安全、项目建设管理、系统变更管理、系统运行维护、最终用户操作等,具体为:

1.控制环境包括信息系统总体控制环境、信息与沟通、风险评估、监控等。

2.信息安全包括信息安全管理组织、逻辑安全、物理安全、网络安全、计算机病毒防护、第三方安全管理、信息安全事件响应等。

3.项目建设管理包括项目建设方法论、项目立项审批、商业软件、硬件的外购、项目启动、项目需求分析、项目设计、系统开发实施、系统测试、数据移植、系统上线、项目验收、用户培训和上线后评估等。5.

信息系统总体控制测试内容5.1

访谈信息系统总体控制包括控制环境、信息安全、项目建设管理5.

信息系统总体控制测试内容5.1

访谈

4.系统变更管理包括变更管理、日常变更流程、紧急变更流程等。

5.系统运行维护包括机房环境控制、系统日常运作监控、批处理作业调度管理、备份与恢复、问题管理等。

6.最终用户操作包括最终用户计算机操作安全制度、电子表格管理等。5.信息系统总体控制测试内容5.1访谈4.系5.1访谈5.2选取样本5.3检查样本5.4记录抽样情况5.

信息系统总体控制测试内容5.1访谈5.信息系统总体控制测试内容选取样本结合访谈结果,确定样本总体和控制频率等问题,并选取样本。如果从测试起始时间到测试截止时间,由于业务发生量的限制,无法取得要求的样本量,则应该选取已有的全部样本,同时记录样本的选取情况,备注中进行说明(样本量不足,要求XX个,仅抽取了XX个)。5.

信息系统总体控制测试内容5.2

选取样本选取样本5.信息系统总体控制测试内容5.2选取样本

在信息系统总体控制测试中,除了项目建设管理流程与信息安全领域AQ-3采取全样本测试外,其他控制点测试需要的样本量其确定原则与关键控制抽样测试确定的原则相同。在采用抽样检查的方法时,测试人员采用随意的方式选取样本,但是同时考虑以下两个因素:一是样本数量选取原则是测试业务发生期间随意选取,抽取样本时间的均匀分布,随意选取是非统计抽样,不能集中抽取某一期间的样本,样本应分布在测试期间的不同时间段或时点,如每日的表格可抽取不同月份各一个,如1、3、5、7、9月各一个样本;二是常规业务样本与非常规业务样本的均匀分布,在测试时,样本对应的业务不能集中在一种类型,尽量覆盖样本所涉及的业务类型。5.

信息系统总体控制测试内容5.2

选取样本在信息系统总体控制测试中,除了项目建设管理流程与信息5.1访谈5.2选取样本5.3检查样本5.4记录抽样情况5.

信息系统总体控制测试内容5.1访谈5.信息系统总体控制测试内容检查样本对样本进行检查,重点关注信息系统总体控制措施在实际工作中是否得到有效执行,是否符合信息系统总体控制措施的描述。5.

信息系统总体控制测试内容5.3

检查样本检查样本5.信息系统总体控制测试内容5.3检查样本5.1访谈5.2选取样本5.3检查样本5.4记录抽样情况5.

信息系统总体控制测试内容5.1访谈5.信息系统总体控制测试内容记录抽样情况在《测试表》和《抽样测试记录表》中记录测试过程。测试表模板与关键控制测试使用模板相同。5.

信息系统总体控制测试内容5.4

记录抽样情况记录抽样情况5.信息系统总体控制测试内容5.4记录抽1.测试步骤2.设计有效性测试内容

目录3.公司层面测试内容4.业务活动层面测试内容5.信息系统总体控制测试内容6.追加、冗余或补充及补偿性控制测试的采用7.例外事项的确认1.测试步骤2.设计有效性测试内容目录3.公6.

追加、冗余或补充及补偿性控制测试的采用6.1考虑追加测试

6.2补充性控制测试6.3补偿性控制测试6.4冗余性控制测试6.追加、冗余或补充及补偿性控制测试的采用6.1考虑追1、追加测试

追加测试是在已抽取样本以外的样本中再次抽取相同数量的样本进行测试。追加测试后,在原抽样测试记录表和测试表中补充描述追加测试的记录,方法与原测试方法一致。控制频率为每日一次或每日数次且实际抽取样本数量大于20(包含20)的关键控制点,经测试如果例外事项只有1个,且该例外事项没有导致财务报告错报,经过判断该例外事项可能是偶然发生的,不能代表样本总体,对该项控制进行追加测试。6.

追加、冗余或补充及补偿性控制测试的采用6.1

考虑追加测试1、追加测试追加测试是在已抽取样本以外2、追加测试的条件6.

追加、冗余或补充及补偿性控制测试的采用6.1

考虑追加测试(1)控制频率每日一次或每日数次的关键控制

(2)抽取样本数量大于20个(包含20)(3)例外事项性质1个例外,且未导致财务报告错报(4)初步判断结果偶然发生,不能代表总体2、追加测试的条件6.追加、冗余或补充及补偿性3、追加测试时点、方法及结果处理6.

追加、冗余或补充及补偿性控制测试的采用6.1

考虑追加测试(1)测试时点:在例外事项分析过程中实施的,也可以在发现例外事项时一并进行。(2)测试方法:方法与原测试方法一致。(3)测试后结果的处理:如果追加测试后仍发现例外事项,进行合并计算样本量和例外事项数量;如果追加测试后没有发现例外事项,原例外事项仍需记录,不纳入缺陷评估。3、追加测试时点、方法及结果处理6.追加、冗余6.

追加、冗余或补充及补偿性控制测试的采用6.1考虑追加测试6.2补充性控制测试

6.3补偿性控制测试6.4冗余性控制测试6.追加、冗余或补充及补偿性控制测试的采用6.1考虑追6.

追加、冗余或补充及补偿性控制测试的采用6.2

补充性控制测试1、补充性控制测试在同一控制中存在多个作业步骤,这些步骤共同作用以实现相同控制目标;或针对同一控制目标,存在不同控制。如果其中一个或几个作业步骤(或控制)没有执行或执行错误,但其余作业步骤(或控制)执行有效,就可以确定该控制存在补充性控制。6.追加、冗余或补充及补偿性控制测试的采用6.2补充性2、补充性控制测试举例6.

追加、冗余或补充及补偿性控制测试的采用6.2

补充性控制测试例1:申请付款时,业务部门和财务部门均需对原始单据的准确性及完整性进行审核。业务部门和财务部门的审核互为补充性控制。例2:财务报告流程K1与KA1控制目标都是纳入合并报表的单位范围不准确,但K1控制是对纳入报表合并范围的报告进行审核,KA1控制是在FMIS系统中进行审核,二者互为对方的补充性控制。2、补充性控制测试举例6.追加、冗余或补充及补偿性3、补充性控制测试范围、方法及结论6.

追加、冗余或补充及补偿性控制测试的采用6.2

补充性控制测试(1)测试范围:原关键控制或作为补充性控制的关键控制或一般控制。(2)测试方法样本量的确定测试记录:与关键控制测试一致。(3)测试结论:如补充性控制测试未发现例外事项,则说明补充性控制有效,反之则不是持续有效的。3、补充性控制测试范围、方法及结论6.追加、冗余或6.

追加、冗余或补充及补偿性控制测试的采用6.1考虑追加测试6.2补充性控制测试6.3补偿性控制测试

6.4冗余性控制测试6.追加、冗余或补充及补偿性控制测试的采用6.1考虑追6.

追加、冗余或补充及补偿性控制测试的采用6.3

补偿性控制测试1、补偿性控制测试

存在相互关联的几个控制或在同一控制中存在多个作业步骤,这些控制或步骤分别在一定的准确性水平上运行,可以预防或发现重大的错报,如果其中一个或几个控制或作业步骤没有执行或执行错误,但在某一准确性水平上的其他控制或其他步骤的控制得到有效执行,就可以确定该控制存在补偿性控制。6.追加、冗余或补充及补偿性控制测试的采用6.3补偿性6.

追加、冗余或补充及补偿性控制测试的采用6.3

补偿性控制测试2、补偿性控制测试举例例1:费用审批权限分50万以上和50万以下。50万以下由部门领导审批即可,50万以上还需总经理审批,这50万以上经总经理审批的控制就是补偿性控制。例2:存货入库核算K1(暂估入库)和K2(内部购销往来核对),如果存货暂估入库存在例外事项,无法确定存货入库的准确性,则可以通过检查内部往来购销核对是否一致,可以判断内部购销的存货暂估的正确性。这样,购销往来核对就是存货暂估入库的补偿性控制。6.追加、冗余或补充及补偿性控制测试的采用6.3补偿性3、补偿性控制测试范围、方法及结论6.

追加、冗余或补充及补偿性控制测试的采用6.3

补偿性控制测试(1)补偿性控制测试范围已确认的补偿性控制,具体为原关键控制或作为补偿性控制的关键控制或一般控制。

(2)测试方法、样本量的确定、测试记录的表单与关键控制测试一致。(3)测试结论如补偿性控制测试未发现例外事项,则说明补偿性控制有效,反之则不是持续有效的。(4)补偿性控制测试影响水平的记录记录补偿性控制影响水平3、补偿性控制测试范围、方法及结论6.追加、冗余6.

追加、冗余或补充及补偿性控制测试的采用6.3

补偿性控制测试例如:接上例,选取50万元以上经总经理审批进行补偿性控制测试,测试发现有2个样本未经总经理审批,因此补偿性控制无效。如果经补偿性测试后未发现例外,总体影响水平假设为1000万,全年50万以上相

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论