内部控制具体测试内容和方法.ppt

《内部控制具体测试内容和方法.ppt》由会员分享，可在线阅读，更多相关《内部控制具体测试内容和方法.ppt（143页珍藏版）》请在三一办公上搜索。

1、内部控制具体测试内容和方法2010年4月,1.测试步骤,2.设计有效性测试内容,目录,3.公司层面测试内容,4.业务活动层面测试内容,5.信息系统总体控制测试内容,6.追加、冗余或补充及补偿性控制测试的采用,7.例外事项的确认,1.测试步骤,观察 执行情况,访谈 相关人员,检查内控 文档记录,审阅相关 文件,检查 样本等,记录测试过程,例外事项,复印证据,1）设计有效性测试,2）跟单测试,3）公司层面测试及关键控制抽样测试,4）信息系统总体控制测试,1.测试步骤,按测试步骤区分的测试类型,1.测试步骤,（1）访谈相关人员，取得内部控制资料，了解内控设计情况,（2）分析核对 抽样检查,如果是首次

2、检查，则应全面了解；如果是连续检查，则重点关注变化情况,公司层面业务层面信息系统总体层面,（3）记录测试发现,设计方面的问题,1.1 设计有效性的主要测试步骤,信息系统总体控制设计有效性仅在集团、股份公司进行测试，不需在海外勘探进行测试,1.测试步骤,1.2 跟单测试的主要测试步骤,（1）访谈，记录结果,（2）观察特定 控制执行情况,（3）检查样本，记录检查结果,（4）取得证据,适用于手工及应用系统控制测试,1.测试步骤,1.3 公司层面测试及关键控制抽样测试的主要步骤,（1）访谈，了解 该业务人员对控制 的理解程度,（2）确定样本总体，并根据控制频率确 定样本数量,（3）综合利用 各种测试程

3、序对 样本进行测试,（4）利用权限 测试工具，进 行权限测试,其中()（4）不适用公司层面控制测试,（5）记录测试结果,1.测试步骤,1.4 信息系统总体控制测试的主要步骤,（1）访谈，了解业务 人员是否理解该控制，是否具有相应的胜任 能力。,（2）确定样本总体和 控制频率并选取样本。,（3）对样本进行检查 或执行再执行程序，关注相应控制是否得 到有效执行。,测试人员不应在发现样本出现问题后更换样本，对于存在问题的文档需要取得复印件等证据。,1.测试步骤,2.设计有效性测试内容,目录,3.公司层面测试内容,4.业务活动层面测试内容,5.信息系统总体控制测试内容,6.追加、冗余或补充及补偿性控制

4、测试的采用,7.例外事项的确认,2.设计有效性测试内容,设计有效性测试定义和形式设计有效性是对于建立的内部控制体系，如果由符合条件的机构和人员按设计的要求去实施，能够有效地防范财务报告风险，为实现内部控制目标提供合理的保证。设计有效性测试，能够查找内部控制设计方面存在的问题，确保内控设计能有效地防范财务报告风险，达到财务报告控制目标，为内部控制执行评价提供基础。,2.设计有效性测试内容,2.1 公司层面设计有效性测试2.2 业务层面设计有效性测试2.3 信息系统总体控制设计有效性测试2.4 内控设计案例分析,2.设计有效性测试内容,2.1 公司层面设计有效性控制测试,公司层面设计有效性测试检查

5、海外勘探针对公司层面内控关注要点是否有相关控制措施，如没有，是否遵照集团、股份公司的控制措施执行，进一步验证公司应有的控制措施是否存在，如按照控制的设计执行是否能达到控制目标。,公司层面设计有效性控制测试的记录将公司层面设计有效性控制测试的情况在公司层面设计有效性测试表（表2.3）中进行记录，对于测试中发现的设计方面的问题，在对海外勘探进行公司层面测试时进一步验证，分析是否会对财务报告内部控制造成影响，并把最终确定的例外事项在公司层面测试表（表2.4）和公司层面测试例外事项汇总表（表2.5）中记录并上报。如：公司没有建立举报机制，实际工作中也没有为员工或其他人员提供报告可能违反道德准则和舞弊事

6、项的途径，即作为公司层面设计有效性例外事项进行记录。,2.设计有效性测试内容,2.1 公司层面设计有效性控制测试,2.设计有效性测试内容,2.1 公司层面设计有效性测试2.2 业务层面设计有效性测试2.3 信息系统总体控制设计有效性测试2.4 内控设计案例分析,2.设计有效性测试内容,2.2 业务层面设计有效性控制测试,业务层面有效性测试检查集团、股份公司统一确定的风险和控制，海外勘探是否采用，如果没有采用，通过访谈内控部门相关人员初步分析其合理性。检查海外勘探是否有新增的特殊风险和控制，如果有，则进一步通过访谈内控部门相关人员初步分析其风险评估和相应控制的合理性。,业务层面设计有效性测试的记

7、录将业务层面设计有效性测试的情况在业务活动层面设计有效性测试表（表2.6）中进行记录，对于测试中发现的设计方面的问题，在对公司本部或企事业单位进行跟单测试和关键控制抽样测试时进一步验证，分析是否会对财务报告内部控制造成影响，并把最终确定的例外事项在跟单测试表（表2.7）及跟单测试例外事项汇总表（表2.8）中记录并上报。如：企事业单位没有完整准确地描述集团公司所确认的关键控制，同时也没有执行；企事业单位没有识别特殊的重要风险。即作为业务层面设计有效性例外事项进行记录。,2.设计有效性测试内容,2.2 业务层面设计有效性控制测试,2.设计有效性测试内容,2.1 公司层面设计有效性测试2.2 业务层

8、面设计有效性测试2.3 信息系统总体控制设计有效性测试2.4 内控设计案例分析,2.设计有效性测试内容,2.3 信息系统总体控制设计有效性测试,信息系统总体控制设计有效性测试根据已经确定的信息系统总体控制测试范围，针对不同的领域，首先依据重要风险确认控制目标，其次将公司已有的关键控制与控制目标、重要风险进行核对分析，确定应有的关键控制是否存在、重要风险是否识别，初步评估有效实施控制能否防范风险，达到控制目标，并结合信息系统总体控制关键控制抽样测试的结果进行评价。由于其信息系统总体控制是由集团、股份公司统一设计，而海外勘探只是执行单位，政策和制度具有高度的统一性，因此信息系统总体控制设计有效性仅

9、在集团、股份公司层面统一进行测试，不需在海外勘探层面进行测试。,2.设计有效性测试内容,2.1 公司层面设计有效性测试2.2 业务层面设计有效性测试2.3 信息系统总体控制设计有效性测试2.4 内控设计案例分析,2.设计有效性测试内容,2.4 内控设计案例分析,内控设计案例分析测试 首先，从党群工作部、纪检监察办公室、审计内控部及财务与资本运营部取得上年度或本年度内部审计、外部审计、财税物价检查或信访举报中发现的对财务报告内控有效性产生重大影响的案件其及处理情况的资料（如重大收入、费用及负债不实、资产的重大损失、重大的偷漏税、各种舞弊事项等）。其次，通过对取得的资料进行分析，并与相关人员讨论事

10、项发生的根本原因，是否是因为公司内部控制设计方面存在漏洞，导致工作人员即使按设计的程序实施控制，也不能预防案例的发生。如果是因为设计方面存在问题，查看是否采取了相应的措施对设计方面的问题进行整改。,内控设计案例分析测试的记录对案例分析情况进行记录。对案例分析的情况在内控设计案例分析表（表2.10）中进行记录，在对公司进行测试时进一步核实，案件的发生是否是设计方面存在漏洞导致，公司是否对设计方面的问题进行整改，如未整改则应在相应的例外事项汇总表中体现。,2.设计有效性测试内容,2.4 内控设计案例分析,1.测试步骤,2.设计有效性测试内容,目录,3.公司层面测试内容,4.业务活动层面测试内容,5

11、.信息系统总体控制测试内容,6.追加、冗余或补充及补偿性控制测试的采用,7.例外事项的确认,3.公司层面测试内容,公司层面测试的范围包括控制环境、风险评估、控制活动、信息与沟通、监督及反舞弊六个方面，共十三个主题。其中期末财务报告流程纳入业务层面测试。,公司层面测试实施阶段的主要工作如下：、要求被测试单位提供样本总体清单，测试人员随意选取样本并对样本进行检查以验证公司层面控制是否存在，是否在实际工作中执行，是否与该控制相应的制度规定相符合，且留下了实施证据。如发现现状描述与实际执行的控制不相符时，应分析原因并做好相关记录。、对执行控制的岗位人员进行访谈。通过访谈，了解该岗位人员是否真正理解所执

12、行的控制，并对该岗位人员的胜任能力做出判断并记录访谈结果。如果通过测试发现在相关控制方面不能达到测试目标时，应与相关人员进行进一步的访谈或重新进行测试。、记录公司层面控制测试过程及结果，统计例外事项数量并与被测试单位沟通例外情况。,3.公司层面测试内容,、测试人员取得并审阅事先由被测试单位填好“企事业单位控制补充说明”的公司层面控制测试内容与步骤;、依据模版中的相关内容，制定测试计划填写测试计划表及测试表中“具体测试步骤”;、选择测试方法主要依据公司层面控制测试表的测试内容；在此基础上确定测试提纲，提纲包括测试内容、被测试人员、测试时间等;、测试小组负责人对测试计划进行审批.,3.公司层面测试

13、内容,3.公司层面测试内容,3.1 反舞弊程序主要测试步骤,首先通过访谈党群工作部、纪检监察办公室负责人，了解公司反舞弊程序和控制的建立和实施内容。（包括控制环境、风险分析、控制活动、信息与沟通、监控五个方面）;其次根据访谈了解到的情况，查阅相关制度、文件资料，判断是否建立并有效实施反舞弊程序。反舞弊程序测试内容在GCC关键控制测试和其他公司层面测试主题中有体现，测试人员不须单独测试，可直接引用其测试结果，以减少工作量；对无法引用的，还须单独测试。,3.公司层面测试内容,3.2 经营活动分析主要测试步骤,首先审阅财务分析制度。审阅内容是否完整，是否能有助于发现财务报告中的重大错报。其次访谈财务

14、与资本运营部相关人员，了解对财务分析的理解程度和各个层面的财务分析结果上报的程序及上报后的审核情况。根据抽样原则抽查财务分析报告，选择重点相关经营指标，对分析的过程进行再执行测试，检查指标的分析是否适当。访谈相关的财务负责人，了解管理层和各级管理部门是否对上报的财务分析进行审阅，对审核中发现的问题是否进行跟进，并查阅跟进的相关证据。,3.公司层面测试内容,3.3 职业道德主要测试步骤,首先取得国有企业领导人员廉洁从业若干规定（试行）、中国石油股份有限公司章程以及高级管理人员职业道德规范、高级管理人员职业道德建设制度、员工职业道德规范、员工职业与道德建设制度等文件，审阅内容是否全面，是否符合制度

15、要求。通过访问公司网站和制度汇编，以确定公司是否发布以上文件。访谈党群工作部的相关人员，了解是否对职业道德建设制度进行了宣传培训，检查相关培训记录等资料，最后通过访谈员工了解员工对职业道德的认知程度。,检查高管人员是否全部签署高级管理人员职业道德规范确认书。同时通过与管理层人员访谈并对相关制度文件进行检查，了解并查看公司是否将职业道德标准包含在与客户及供货商的商业交往中。测试人员要知晓和理解高级管理人员职业道德规范、高级管理人员职业道德建设制度、员工职业道德规范、员工职业与道德建设制度等相关文件内容。,3.公司层面测试内容,3.3 职业道德主要测试步骤,3.公司层面测试内容,3.4 高管基调主

16、要测试步骤,通过对高管的访谈，了解他们对诚信与道德观的理念，以及如何具体落实。访谈公司员工并查阅相关资料，了解职工代表大会及合理化建议的组织实施情况。通过访谈管理层（总经办），了解管理层（领导班子）是否对干预或越权（违反权限规定和程序制度）的情形进行关注。,3.公司层面测试内容,3.4 高管基调主要测试步骤,其次查阅相关制度，审核其内容是否包含明确禁止管理人员越权，并鼓励对获知的越权、违规行为进行举报的规定；以及对于何种情况下需要干预以及干预的频率及记录的具体要求；取得并审阅公司对与管理层干预和越权行为的记录，确定对于干预的原因是否有合理的解释，对于越权行为是否有相应的处理。访谈总经办、经营计

17、划部、业务发展部、财务与资本运营部、法律事务部等部门，了解公司在介入新业务前，是否在进行风险和收益分析后才采取行动；访谈财务与资本运营部了解会计政策确定、信息沟通、财务报告等内容。,3.公司层面测试内容,3.5 信访举报机制和违规处理主要测试步骤,首先通过访谈党群工作部人员，了解公司是否建立了较为畅通的举报渠道；其次通过访谈公司员工，了解员工是否知道信访举报方式，举报渠道，第三通过查阅公司文件和违规处理记录，确定公司是否注重对员工违规情况的管理；通过对信访举报案件的受理、调查和处理过程进行穿行测试，检查公司是否按照规定对信访举报事项进行调查处理。查阅相关制度，了解公司针对员工违规处理有何依据。

18、并审阅最近一年度公司对员工违规处理的记录，确定是否按规定处理，是否在公司上下进行了传达。,3.公司层面测试内容,3.6 组织结构主要测试步骤,首先通过访谈人力资源部审阅中国石油机构编制管理暂行办法，了解机构编制管理的程序和实施状况；其次取得公司的组织结构现状图，确认组织结构是否与公司当前的经营活动相适应。通过访谈人力资源部组织机构编制管理岗和公司员工，确认公司员工总量控制计划与实际员工需求人数是否一致。尤其是领导班子、审计内控部、财务与资本运营部的人员数量是否充足，工作分配是否恰当。,3.公司层面测试内容,3.7 权利和责任分配主要测试步骤,首先审阅机关部门职能及专业公司职责范围和总部业务授权

19、权限指引表,确认业务授权权限指引表是否恰当的反映了公司当前部门及岗位的业务权限分配。并选择抽取部分管理人员，审阅授权表中的相关权限描述是否与其岗位职责描述一致。其次访谈人力资源部经理，并查阅职责和授权的审批及变化的记录，了解是否定期对权限指引表进行修订并进行记录，从而判断责任和权力分配的适当性。访谈人力资源部经理以及重要部门经理，了解人员流动的情况、人员的数量和能力是否满足工作需要等。,3.公司层面测试内容,3.8 培训主要测试步骤,首先向人力资源部培训岗了解培训的程序，之后访谈员工，了解员工的知识、技能和参加培训状况，并查阅员工培训记录和相关培训制度、计划。访谈3名公司员工（主要是财务与资本

20、运营部、审计内控部、业务部门等），了解其近一年是否参加过公司组织的培训，培训的内容是否与履行其职责的知识和技能（如业务、技能培训等）有关。抽取3人的“培训记录”,确认是否按规定进行培训。,3.公司层面测试内容,3.9 业绩考核主要测试步骤,首先通过访谈人力资源部业绩考核岗，了解业绩考核的操作流程，考核工作开展的形式及考核兑现情况，以及员工的反映情况等，其次通过访谈员工，了解薪酬与目标实现的相关程度，以及实现目标的压力感受；第三通过抽样审阅员工考核记录，了解业绩考核的兑现情况。测试人员在测试前应审阅总裁班子成员业绩考核办法、中国石油高级管理人员业绩考核办法、中国石油中层及以下管理人员业绩考核指导

21、意见和中国石油操作服务人员绩效考核指导意见等制度，了解业绩考核的相关制度要求。,3.公司层面测试内容,3.10 人力资源政策主要测试步骤,首先，通过访谈人力资源部相关人员，了解公司管理人员的选拔任用机制及实施情况；其次，抽样新聘任管理人员的有关资料，确认是否按照制度进行了竞聘、背景调查和任前公示；第三，检查处室干部和关键岗位人员的审查材料，审查是否关注了经验、政治素质、技能资格水平、以及犯罪记录等情况。,3.公司层面测试内容,3.11 信息与沟通主要测试步骤,信息与沟通涉及总经办、经营计划部、财务与资本运营部、法律事务部、HSE部、审计内控部、总工程师办公室等部门，测试小组人员通过与各个部门相

22、关岗位进行访谈，并查阅信息传递及反馈的记录、文件、资料等，以确认公司相关信息能得到及时沟通。信息与沟通部分测试内容在关键控制测试和其他公司层面测试主题中有体现，测试人员不须单独测试，可直接引用其测试结果，以减少工作量；对无法引用的，还须单独测试。,3.公司层面测试内容,3.12 内部审计主要测试步骤,首先，通过访谈审计内控部相关人员，了解内审人员的任职条件，审计内控部的地位及权利（是否具有独立性）、审计内控部业务程序等情况。其次，根据访谈结果查阅内部审计工作规定等相关制度及资料，检查内部审计内控部是否足够的授权，是否能保障相对独立性，审计质量是否能得到保证，是否能切实起到监督作用等。,1.测试

23、步骤,2.设计有效性测试内容,目录,3.公司层面测试内容,4.业务活动层面测试内容,5.信息系统总体控制测试内容,6.追加、冗余或补充及补偿性控制测试的采用,7.例外事项的确认,4.业务活动层面测试内容,4.1 跟单测试4.2 关键控制抽样测试4.3 电子表格测试,4.业务活动层面测试内容,4.1 跟单测试,4.1.1 跟单测试的定义4.1.2 跟单测试的目的4.1.3 跟单测试的依据4.1.4 跟单测试的具体程序,跟单测试的定义,跟单测试是在重要业务流程中选取一笔业务，从业务发生开始，一直追踪到该笔业务反映到公司财务报告的测试过程，适用于手工控制与应用系统控制测试。,采购计划,采购合同,收货

24、入库,支付结算,财务记账,物资采购,4.1 跟单测试,跟单测试的目的,4.1 跟单测试,跟单测试的主要目的通过流程跟单测试，找出流程描述和风险控制文档的内容与实际执行情况的差异，分析差异产生的原因，并提出整改完善建议，使内控文档和实际情况保持一致，为顺利通过外部审计师测试提供保障。,查找内控设计方面的不足，集团、股份公司确定的重要风险和关键控制在被测试单位是否被采用，如果没有被采用，分析其合理性；被测试单位业务流程中存在的特殊重要风险是否被识别，相应的关键控制是否被确认并准确记录。在设计满足的情况下，查找一般控制和关键控制是否被有效执行，即设计的控制在实际中是否被执行，该控制执行后能否防范风险

25、。查找文本规范性问题，如：风险控制文档与流程图不一致、风险点及控制点标注不准确 等设计方面文本规范问题。,风险控制,管理文件,当年确定的测试范围,公司,跟单测试的依据,4.1 跟单测试,被测试部门,跟单测试具体程序,4.1 跟单测试,跟单测试举例,记录测试情况,观察,检查控制是否存在并执行,选择跟单测试样本,访谈,跟单测试具体程序,4.1 跟单测试,访谈 原则上是执行该项控制的人员，如果相关人员（如负责人）能够说明具体情况，也可能访谈相关人员，不需要具体访谈到每个岗位。,观察 针对特定的控制，如不相容岗位是否分离等。,检查 一方面对被测试单位设计的控制是否被有效执行，该控制执行后能否防范相关的

26、重要风险。二是对实施证据的抽样检查，需要根据交易、审批权限和业务性质抽取样本，样本能够贯穿业务流程的全过程，三是验证有效性测试发现的问题。,关注点1：访谈原则上要求就实施控制的每个岗位进行访谈，以确保获取最直接的信息。但如果测试人员能够肯定判断从一个或几个岗位上访谈所获取的信息已经足够支持测试所需要了解的内容和信息，那么根据被测试单位的实际情况，可以不用访谈每个岗位。可以将同一部门或岗位执行的控制合并进行访谈，以便提高工作效率。,跟单测试具体程序,4.1 跟单测试,关注点2：样本一般按流程描述的先后顺序抽取一笔业务从流程开始追踪至流程结束。为提高测试效率，也可以按业务发生的逆顺序进行样本的选取

27、。不管采取哪种方式，都应保证所选取的样本能够贯穿业务流程全过程，同时注意应在不同业务部门取得与样本相关的证据资料。如果流程中有因审批权限、业务性质等不同产生的流程分支，由于前段流程相同，所以选取不同的分支样本，只需测试在分支阶段不同的控制，而不需要再依据不同分支取得的样本再从头测试一遍。,跟单测试具体程序,4.1 跟单测试,关注点3：针对不同业务流程中的引用流程（例如：合同签订、会计核算、资金付款等引用流程），测试人员不需要进行重复的跟单测试。但是测试人员应该相互之间进行充分的沟通，做到对重要流程步骤的不遗漏，以确保测试范围的完整性。,跟单测试具体程序,4.1 跟单测试,关注点4：选择样本需考

28、虑的因素：一是能够代表重要业务流程中的主要业务类型，具有一定的普遍性；二是同一业务流程中，应用控制选取的样本与手工控制选取的样本必须对应相同的业务事项。,跟单测试具体程序,4.1 跟单测试,关注点5：检查样本时关注：被测试单位设计的控制是否被有效执行，该控制执行后能否防范相关的重要风险；进而验证访谈结果是否准确（即集团、股份公司确定的重要风险和关键控制在被测试单位是否被采用，并在哪些岗位实施；被测试单位业务流程中存在的特殊重要风险是否被识别，相应的关键控制是否被确认并准确记录）。检查相关文档记录是否按要求填写和传递。根据文档填制情况，分析描述的控制在实际工作中是否得到执行、实际执行中的控制在风

29、险控制文档中是否进行了相关的描述、实际执行的控制是否留下实施证据。,跟单测试具体程序,4.1 跟单测试,关注点6：在检查样本时，应结合公司设计有效性测试及被测试单位设计有效性测试发现的问题，通过检查样本进一步验证设计方面发现的问题。对执行层面发生的例外事项，应分析例外事项产生的原因，是否是因为设计方面存在问题而产生例外事项。,选取的样本为同一笔交易时，查看样本时应注意不同流程产生的单据间的勾稽关系，如品种、金额、数量、交易日期等。,跟单测试具体程序,4.1 跟单测试,关注点7：对有必要观察的正在发生的特定控制进行观察，进而获取控制证据。该测试方法主要针对接触性测试进行，例如：在票据管理流程中，

30、一般都存在“票据与银行印鉴分开保管“的控制，针对该控制可以执行的测试步骤是：观察银行预留印鉴是否由出纳岗之外的其他人员分开保管。,观察,?这是潜在问题吗?,跟单测试具体程序,4.1 跟单测试,关注点7（续）：测试完毕后，根据测试结果在跟单测试表中记录测试过程，包括访谈的岗位，观察的事项、时间、结论，检查的相关样本，记录发现的问题，并复制例外事项涉及的相关证据。,跟单测试具体程序,4.1 跟单测试,关注点8：对于设计方面文本规范性的问题：主要是指控制描述不规范，但不影响控制设计与执行的有效性的问题，如：风险控制文档与流程图不一致，但控制执行有效、控制实施证据描述有误、流程描述格式欠缺、风险点及控

31、制点标注不准确及其他文本规范性问题。测试人员在测试中应关注此类问题，在测试结束后与被测试单位进行沟通，提出整改建议。但对于设计方面文本规范性问题不作为例外事项，而只作为一类管理性问题与被测试单位进行沟通，不在测试表和汇总表中体现，在测试报告中总体反映。,跟单测试具体程序,4.1 跟单测试,编制物资采购需求计划,确定供应商及采购方式,相关岗进行汇总平衡后，采购计划按是否集中采购分不同层次进行审批,对供应商的选择及采购方式选择进行必要的审核与审批,集中采购物资采购计划的形成,采购部门按制度签订采购合同，报相关处室审核（包括法律事务部门单独审查）和公司主管领导审批,采购物资的验收按存货验收程序执行。

32、采购、验收与相关会计记录不相容岗位分离,部门负责人及主管领导审核采购验收相关原始单据及付款审批单,每半年审核与往来单位应付及预付款项的支付情况，填制内部往来签认单,自行采购物资采购计划的形成,编制并签订物资采购合同,存货管理系统,合同管理系统,验收采购物资,办理结算手续,进行账务处理,跟单测试具体程序,4.1 跟单测试,4.业务活动层面测试内容,4.1 跟单测试4.2 关键控制抽样测试4.3 电子表格测试,4.业务活动层面测试内容,4.2 关键控制抽样测试,4.2.1 关键控制抽样测试定义及测试范围 4.2.2 关键控制抽样测试的原则及目的4.2.3 关键控制抽样测试依据4.2.4 关键控制测

33、试的具体程序,关键控制抽样测试定义及测试范围,4.2 关键控制抽样测试,关键控制是在相关流程中影响力和控制力相对较强的一项或多项控制，其控制作用是必不可少的和无可替代的。关键控制抽样测试是以集团、股份公司制订的关键控制管理文件为标准，采用抽样测试的方法，对业务活动层面关键控制执行的有效性进行的检查。（目前包括财务报告-FK、经营-BK、法律三个方面-L）,手工控制,应用系统控制,电子表格控制,关控测试适用范围,关键控制抽样测试定义及测试范围,4.2 关键控制抽样测试,关键控制抽样测试的一般原则关键控制测试只对实际存在的关键控制点进行测试关键控制既可以作为独立的测试项目组织实施，也可以与跟单测试

34、一并进行关键控制抽样测试的目的查找关键控制执行方面存在的问题，确保设计有效的关键控制在公司得到有效执行,关键控制抽样测试的原则及目的,4.2 关键控制抽样测试,关键控制抽样测试依据关键控制管理文件风险控制管理文件当年确定的测试范围关键控制抽样测试内容与步骤,关键控制抽样测试依据,4.2 关键控制抽样测试,关键控制测试举例,记录抽样测试情况,观察、进行再执行测试,对样本进行检查,选取样本,确定样本总体及样本量,对执行控制的岗位人员进行访谈,注意:对于一些接触性控制需要运用观察的测试方式。考虑关键控制风险程度和业务流程的重要性，如银行余额调节表的重新编制需要采用再执行进行测试。,关键控制抽样的具体

35、程序,4.2 关键控制抽样测试,访谈对象：原则上是执行该控制的岗位人员，如果无法访问，也可以访谈部门负责人或其他熟悉该项控制的人员。访谈的内容：包括控制的程序和具体内容（做什么）、执行该控制的依据和方法（如何做）等。访谈结果：了解业务人员对控制措施是否真正理解，是否知道如何实施控制，并对该业务人员的胜任能力做出判断。关注：为提高测试人员工作效率、节省被访谈人员的时间，关键控制的访谈可与跟单测试访谈一并进行，还可以将同一部门或岗位执行的控制合并进行访谈。,关键控制抽样的具体程序,4.2 关键控制抽样测试,关键控制抽样的具体程序,4.2 关键控制抽样测试,确定样本总体样本总体是指测试对象 样本总体

36、包括构成某类交易和事项的所有项目，测试人员应当确保样本总体的适当性和完整性。适当性要求测试人员确定的样本总体应适合于特定测试目标。完整性要求测试人员应从样本总体项目内容和涉及时间等方面确定样本总体的完整性。,关键控制抽样的具体程序,4.2 关键控制抽样测试,确定样本总体样本总体在大多数情况下并不是关键控制所对应的控制实施证据。例示：有关费用报销的关键控制关键控制：费用经办部门负责人、分管领导、总会计师（主管财务的领导）、财务与资本运营部门费用管理岗、出纳人员按照各自的职责权限分别对费用的原始凭证的审核（原始凭证包括费用报销审批单）。该关键控制的控制实施证据是费用报销审批单。但是针对该关键控制的

37、测试样本总体不应该是全部的费用报销审批单。这是因为如果以全部的费用报销审批单作为样本总体进行抽样，就不能够发现已经入账但是没有适当的费用报销审批单的费用项目。所以针对该关键控制的测试样本总体应该是明细账中的全部费用项目，而不是费用报销审批单。,关键控制抽样的具体程序,4.2 关键控制抽样测试,样本选取的原则能够代表样本总体，抽样时要考虑重要性水平因素，以定量为主，结合定性。如测试往来签认的一致性时，应重点关注往来金额较大的单位是否及时准确签认。子总体样本的选取 具体到每个子总体抽样时，按随意抽样的原则进行。抽样时样本要相对分布均匀，不要集中在某一时间段，以确保样本能够代表样本总体。,关键控制抽

38、样的具体程序,4.2 关键控制抽样测试,样本的选取,分层,按业务类型,按权限,按期间,关键控制抽样的具体程序,4.2 关键控制抽样测试,样本量的确定样本量的确定分类：自动应用控制的样本量不考虑控制频率，固定为1个。手工控制及半自动应用控制中定期发生的控制的样本量是通过控制发生的频率来确定的。手工控制及半自动应用控制中不定期发生的控制或者执行对象比较多的定期发生的关键控制，需确定该控制在一个会计年度内大约发生的次数，折合成控制发生的频率后再确定样本量。,关键控制抽样的具体程序,4.2 关键控制抽样测试,关键控制样本量确定表,不定期发生业务活动样本量的举例服务采购合同的控制频率是随时，这就需测试人

39、员询问被测试单位合同管理岗测试期间内合同签订的份数，并取得合同管理台账进行核对，然后推算全年大约签订的份数，再参照关键控制样本量确定表确定应抽取的样本量。假如被测试单位13月份共签订了10份服务采购合同，如果通过访谈得知合同签订在全年的分布是比较均衡的，则推算全年合同份数约为40份，则折合频率为每周一次，相应确定的样本量应该是15个。,关键控制抽样的具体程序,4.2 关键控制抽样测试,执行对象比较多的定期发生的控制样本举例编制银行存款余额调节表的控制是每月定期进行的，但是由于银行存款余额 调节表是针对每一个银行账户编制的，所以该控制就不能简单地视为月度控制。针对该控制，需要确定被测试单位银行账

40、户的数量，推算一个会计年度内编制银行存款余额调节表的次数，确定测试需要的样本量。假如某被测试单位一共有30个银行账户，推算全年编制银行存款余额调节表的数量为360个，相应确定的样本量应该是60个。,关键控制抽样的具体程序,4.2 关键控制抽样测试,关键控制抽样的具体程序,4.2 关键控制抽样测试,本部及二级单位样本量确定原则在本部层面执行的关键控制，以本部为一个抽样单位，按照规定的样本量上限进行抽样测试。所属二级单位在企事业单位所属二级单位执行的关键控制，以每个二级单位为一个抽样单位，按照不低于规定的样本量下限进行抽样测试。例如：发生频率为每日数次的业务，在公司本部按关键控制样本量确定表的上限

41、应抽取60个样本，在其二级单位则抽取20个样本就可以了。,改进测试样本量的确定方法 改进测试样本量的确定表,无法确定频率的控制，参照前述方法确定折合频率，再确定样本量。,关键控制抽样的具体程序,4.2 关键控制抽样测试,更新测试样本量的确定方法更新测试定期发生控制样本量确定表,无法确定频率的控制，参照前述方法确定折合频率，再确定样本量。,关键控制抽样的具体程序,4.2 关键控制抽样测试,补充测试样本量的确定方法 关键控制补充测试应抽取样本数量是前期测试中实际抽取样本数量减去实际抽取样本数量的差额。,关键控制抽样的具体程序,4.2 关键控制抽样测试,样本选取应注意的问题如果从测试起始时间到截止时

42、间，由于业务发生量的限制无法取得要求的样本量，则应该选取已有的全部样本，同时在测试表中记录样本的选取情况（样本量不足，要求XX个，仅抽取了XX个）。测试人员在确定要抽取的样本之前，应首先取得全部样本的清单，在样本清单中选择要抽取的样本，并经测试小组组长审批。样本的测试结果应真实反映，批准后的样本不能随意更改，以保证样本能够代表总体。测试人员不应该在发现样本出现问题后更换样本，这样会造成测试结果的失真。,关键控制抽样的具体程序,4.2 关键控制抽样测试,检查样本检查描述的控制在实际工作中是否得到执行，执行中的控制在风险控制文档中是否得到描述、是否留下实施证据；是否与该关键控制相应的文件制度规定相

43、符合。抽样检查还可结合观察、再执行等方法进行观察主要是针对正在执行的控制或步骤进行现场见证。比如财务印鉴管理情况的检查，信息系统登陆情况的检查。再执行主要是由测试人员通过重新执行某项控制，检查该项控制实际执行结果是否有效。如：重新编制银行存款余额调节表。,控制结果是否正确；控制过程是否有效；控制实施证据是否完整有效。,关键控制抽样的具体程序,4.2 关键控制抽样测试,记录抽样测试情况测试表：详细记录访谈结果，测试步骤及发现、测试结论、例外事项说明及原因等内容。抽样测试记录表：记录抽样情况。对于全部例外事项，应该取得测试证据的复印件，并与相应的抽样测试表进行索引。,关键控制抽样的具体程序,4.2

44、 关键控制抽样测试,另外：等级一应用系统财务报告公式测试及权限测试记录等级一应用系统财务报告的公式测试部分还需填写报表公式抽样测试底稿利用权限测试工具，对纳入测试范围的应用系统（等级一应用系统、复杂等级二应用系统）进行权限测试，并做出详细记录如：FMIS7.0、FA7.0、ERP参照相应的测试工具测试,关键控制抽样的具体程序,4.2 关键控制抽样测试,编制银行存款余额调节表的控制测试步骤例示,询问检查再执行,关键控制抽样的具体程序,4.2 关键控制抽样测试,4.业务活动层面测试内容,4.1 跟单测试4.2 关键控制抽样测试4.3 电子表格测试,电子表格是基于计算机处理的标准格式的公司信息。电子

45、表格控制目标：电子表格控制目标是加强电子表格管理的科学性和规范性，提高企业在电子表格安全、版本、变更、开发、备份、存档等方面的控制和能力，更好地保护企业的信息资产，健全中国石油信息系统控制体系，提高电子表格对业务的支撑力度，增强企业电子表格的运行效力。,4.业务活动层面测试内容,4.3 电子表格测试,电子表格控制范围（1）电子表格控制范围包括公司生产运营、分析决策、财务报告及披露等方面涉及的电子表格。内控测试中需评价的电子表格包括由用户程序（如Microsoft Excel、Access、Lotus等）编制的各种支持财务报告及披露的电子表格或文本文件。支持财务报告及披露的电子表格包括直接或间接

46、作为财务记账依据的电子表格、用于财务相关信息核对的电子表格、以及支持财务信息披露的电子表格。支持财务报告及披露的电子表格通常包括财务与资本运营部编制及适用的电子表格以及由其他业务部门传递至财务与资本运营部供其作为会计核算及报告披露依据的电子表格。,4.业务活动层面测试内容,4.3 电子表格测试,电子表格控制范围（2）电子表格属于信息系统测试范围，应该由信息组进行测试，但业务层面测试也需对同一表单从不同的角度进行检查，为了提高测试效率，避免在信息系统和业务层面重复测试。故电子表格由业务测试组进行测试，因此我们对电子表格测试在业务层面测试中进行描述。,4.业务活动层面测试内容,4.3 电子表格测试

47、,4.3.1 访谈4.3.2 确定样本总体4.3.3 确定样本量4.3.4 检查样本4.3.5 记录抽样情况,4.业务活动层面测试内容,4.3 电子表格测试,访谈电子表格编制人和负责人，了解电子表格在该控制点的控制情况。信息总体控制层面测试针对四个关键控制点进行，分别为存取控制、变更控制、备份控制、存档控制；应用控制针对四个关键控制点，除存取控制与总体控制相同外，还包括输入控制、存取控制、权限控制、逻辑检查。,4.3 电子表格测试,访谈,存取控制：未经授权的登录被禁止和检查。属于总体控制和应用控制。在AC层次，要求对工资类电子表格进行加密；在GCC层次，电子表格存放在文件服务器受到保护的路径目

48、录下，并对电子表格存放目录权限进行控制。变更控制：重要和一般电子表格的变更应严格遵循申请、授权、测试和批准的完整过程。属于总体控制层面控制。要求对纳入测试范围的所有电子表格的变更都需要遵循申请、授权、测试和批准的过程后，该电子表格才可投入使用。变更需要填制电子表格变更申请表。,4.3 电子表格测试,访谈,备份控制：包括电子表格模板的备份和数据的备份。属于总体控制层面。重要电子表格应定期备份，模板的备份存放在文件服务器指定的文件夹中，电子表格的数据备份由用户各自进行，根据使用的频率决定备份的周期。存档控制：属于总体控制层面。要求每年对重要电子表格进行存档，将其存入独立的存储介质，并设置为只读模式

49、。比如每年将重要电子表格的数据刻在只读光盘中。,4.3 电子表格测试,访谈,输入控制：属于应用控制。手工录入电子表格的数据，需与原始单据进行汇总核对，将更新后的电子表格内容打印出来，由审核岗人员比对原始数据，并审核签字。若电子表格的数据从外部数据自动导入，需要将更新后的电子表格内容打印出来，由审核岗人员比对外部数据来源，审核后签字确认，保证数据的完整与准确。权限控制：属于应用控制。电子表格的编制人和审核人需要实行权限分离。逻辑检查：属于应用控制。由电子表格复核岗人员对电子表格的计算公式或数据链接关系进行定期检查，以保证表内逻辑计算的正确性。检查情况进行记录，并由专人进行复核。,4.3 电子表格

50、测试,访谈,例如对输入控制点（K1），需要了解电子表格的输入控制情况是否与上述关键控制描述一致。对于手工录入电子表格的数据，是否与原始单据进行汇总核对，是否将更新后的电子表格内容打印出来，是否由审核岗人员比对原始数据，并审核签字；对于电子表格的数据从外部数据自动导入，是否将更新后的电子表格内容打印出来，是否由审核岗人员比对外部数据来源，审核后签字确认。,4.3 电子表格测试,访谈,4.3 电子表格测试,确定样本总体,样本总体包括但不限于电子表格汇总表中所确定的12大类电子表格，分别为：资金类、往来类、存货类、资产与折旧类、坏账与减值准备类、工资类、预提与摊销类、税金类、收入类、成本类、费用类、