填写说明O列:控制类型选择该控制活动的控制类型是“预防性控制”或“检查性控制”之一填列。P列:自动或手工控制选择该控制活动的执行方式是“手工控制”或“自动控制”之一填列。T列:实际执行的控制活动是指推广公司本地化的控制活动描述Z列:测试工作底稿索引用户在此建立超链接,建立与副表针对该控制活动的测试底稿的勾稽关系。AA列:第一轮集团项目组测试执行人填写集团项目组执行该控制活动测试人员名字。AD列:第一轮集团项目组实施测试日期在该列填写第一轮集团项目组实际执行测试的日期。AE列:第二轮集团项目组测试执行人填写集团项目组执行该控制活动测试人员名字AH列:第二轮集团项目组实施测试日期指集团项目组第二轮测试实际执行测试的日期。2.副表填写说明副表表头命名:根据标准控制活动编号命名,如标准控制活动HR-A-1的表单命名为HR-A-1。控制活动和控制活动编号:与主表保持一致。副表表体填写说明:控制矩阵与测试底稿填写说明一、控制矩阵与测试底稿的用途此工作底稿的用途在于记述万科企业股份有限公司以及各一线公司,在所有影响关键财务报表科目/注释的业务流程的控制活动符合性测试的结果。填写说明二、控制矩阵与测试底稿的组成控制矩阵与测试底稿包括两类表格:主表:按照子流程设置,每一子流程对应一个主表,每个主表包括标准控制活动与推广公司实际执行控制活动。如果标准控制活动在推广公司对应多个实际执行的控制活动,则按实际情况分别描述,在控制活动编号后加小号(-x,x从1开始,为不同情况的描述)。如信息系统基本控制中,在推广公司是对不同的应用系统有2种不同的备份策略,附表只有一张控制活动GC-I-1,附表中填写控制活动情况为GC-I-1-1,GC-I-1-2)副表:按照标准控制活动设置,每一个标准控制活动(即使对应多个实际执行的控制活动)设置1张副表,即RE-A-2代表(房地产销售及收款流程)销售定价子流程中的第二个控制活动的测试底稿。三、控制矩阵与测试底稿填写说明主表包括表头和表体两部分:表头的填写与控制矩阵的表头相同A列:控制目标编号目前我们采用的控制目标编码规则为:编码格式:流程英文简称CO-子流程编号-控制目标编号各流称英文简称分别为:房地产销售及收款(RE),人力资源(HR),财务报告(FR),采购及成本(PC),融资与支付(TR),投资(IN),固定资产(FA),信息系统基本控制(GC),公司层面控制(CE,RA,IC,M),信息披露(ID)子流程编号从A开始,如融资与支付有3个子流程,最后的子流程编号应为C控制目标编号从1开始,如融资与支付第二个子流程中有5个控制目标,其最后的控制目标编号应为5(TRCO-B-5)。请注意,控制目标与控制活动不是1对1的关系。B列:控制目标控制目标是指内部控制总体目标在各个业务流程中的具体反映,主要关注的是与财务报表相关的内部控制。因此本列的控制目标是以每一个业务流程下的子流程为范围(具体化)、以财务报表认定的5个要素为指导(与财务相关)而确定的。控制目标示例:所有折旧费用被记录在恰当会计期间薪资的支付经过恰当的审批所有验收入库的货物均已准确入账C列:财务报表认定财务报告认定包括以下5类认定:完整性(C)存在或发生(E)表达与披露(D)权利与义务(R)估计或分摊(V)用户无须对此进行修改,在填写认定时,以缩写字母表示即可。同一控制目标可以有多个财务报表认定。D列:对控制目标的解释对控制目标进行定义,以便于模板使用者理解控制目标的具体含义。用户无须对此进行修改。对控制目标的解释有两种方式:一种是结合风险和业务模块对目标进行的详细解释(这种目标本身就比较具体,难以进一步解释),一种是对词义的简单解释而把风险和业务模块的内容在“风险”栏中列示(这种目标一般比较原则,需要进一步解释)。举例如下:A1应收帐款的回收被及时监控:是指公司通过建立适当的监测手段或应收账款帐龄分析等方法,对应收账款可收回性进行监控。审批权限、系统权限、岗位职责清晰划分。A2存货保管具有足够的安全措施:存货存放在有充分安全条件的环境,仓库具有充分的安保设施,对接触存货人员进行限制B1所有折旧费用被记录在恰当的会计期间:包含两层含义,首先是指所有的折旧费用都被计提和记录,其次是这些费用被及时地记录在恰当的会计期间,如新增资产当月不计提折旧。B2所有的分录在关帐之前都经过审核和记账:要有相应的控制活动控制本会计期间已录入的会计凭证在关账前都经过审核和记账,目的是保证财务报表信息的完整性。E列:与控制目标对应的风险风险是指在某一特定环境下,在某一特定时间段内,某种损失发生的可能性。换句话说,是在某一个特定时间段里,人们所期望达到的目标与实际出现的结果之间产生的距离称之为风险。本列所指的“与控制目标对应的风险”实际是对引起目标不能实现的各个风险因素的分解,因此一个控制目标可以对应多个风险在CSOX项目中,风险是指可能导致重要会计科目和披露事项中的重大错报的因素。重要会计科目和披露事项是透过企业的业务流程/子流程所产生的。若不能有效的透过置于业务流程/子流程的内部控制以控制有关风险,错报的可能性便会增加。一项控制目标在流程模块层面可能因风险因素的不同而对应不同的风险,因此本列应该按照业务模块存面的不同风险因素所产生的风险分别填列。从审计角度看,风险有如下几类:固有风险是指假定不存在相关内部控制时,某一账户或交易类别单独或连同其他账户、交易类别产生重大错报或漏报的可能性。控制风险是指某一账户或交易类别单独或连同其他账户、交易类别产生错报或漏报,而未能被内部控制防止、发现或纠正的可能性。检查风险是指某一账户或交易类别单独或连同其他账户、交易类别产生重大错报或漏报,而未能被实质性测试发现的可能性。本列所指的风险应当是固有风险和控制风险,目标和风险可以是一对一也可以是一对多的关系。F列:标准控制活动编号编码格式:流程英文简称-子流程编号-控制目标编号各流称英文简称分别为:房地产销售及收款(RE),人力资源(HR),财务报告(FR),采购及成本(PC),融资与支付(TR),投资(IN),固定资产(FA),信息系统基本控制(GC),公司层面控制(CE,RA,IC,M),信息披露(ID)子流程编号从A开始,如融资与支付有3个子流程,最后的子流程编号应为C控制目标编号从1开始,如融资与支付第二个子流程有7个控制活动,其最后的控制目标编号应为7(TR-B-7)。请注意,控制目标与控制活动不是1对1的关系。G列:适用的公司层级是对标准控制活动适用范围的界定按照控制活动适用的公司层级选择填写“集团”(此处的集团概念包含“区域本部”)、“一线公司”、“全部适用”,每一控制活动可能适用于不止一个层级的公司。H列:标准控制活动名称是对标准控制活动的高度概括,方便管理层全面快速了解有关的控制活动。只需在控制矩阵里填列,在流程描述里不需要体现有两种命名方式,建议合并使用:以概括性的语言命名,例如:使用部门经理核实增减变动的准确性(使用部门和资产专业部门在资产情况发生增减变动时具体业务经办人员通过系统或以纸质凭证提交本部门其他独立人员复核后传递给财务部门以保证计提折旧所依赖的原始信息的准确性)以关键控制点命名,例如:会计复核与稽核(财务部资产管理会计每月月末根据系统自动生成的累计折旧汇总表或系统直接导入数据编制或生成固定资产折旧凭证,经复核后打印出会计凭证,会计稽核人员对会计凭证审核签字并更新明细帐和总帐)I列:标准控制活动描述一般来说,一个风险因素要对应一个或一个以上的控制活动。用户需要根据业务流程的实际情况,描述其当前实际存在的控制活动。控制活动的描述要全面详细、语言精炼,一般要求在控制活动中明确出“谁执行,执行什么活动,何时执行,在哪里执行,如何执行,执行频率”等信息。如果一个风险因素存在多个控制活动,用户可自行在控制矩阵中添加行用于放置新的控制活动。标准控制活动的基本类型1.授权审批控制(Authorization)2.异常报告、文档编辑记录控制(Exception/Editreport)3.数据传递、数据转换控制(Interface/Conversioncontrols)4.业绩考核指标(Keyperformanceindicator)5.独立复核控制(Managementreview)6.核对控制(Reconciliation)7.职责分离控制(Segregationofduties)8.系统接触控制(Systemaccess)9.系统设置、会计科目的系统设置(Configuration/Accountmappingcontrols)J列:信息处理目标信息处理目标CAVR用来评估内控设计的有效性,尤其是业务流程中的应用控制。信息处理目标包括以下4类认定:完整性(C)准确性(A)真实性(V)访问安全性(R)用户无须对此进行修改,在填写认定时,以缩写字母表示即可。同一控制目标可以有多个信息处理目标。如果该控制活动还在一定程度上满足公司反舞弊的要求,在该列除了填列相关的信息处理目标认定外,还应选择填列“AF”,即反舞弊。K列:与财务报表相关的科目是指直接和主要影响的报表科目将各业务流程中的控制活动与可能影响的财务报表科目建立对应关系。某个控制活动可能同时影响多个财务报表科目;某个财务报表科目也可能受到多个控制活动的控制:有些控制活动也可能不直接影响财务报表科目。L列:风险评级本列是指风险因素层面的评级,既可以是定性的(指产生风险的可能性、依据主观判断),也可以是定量的(指造成报表错报金额的大小,通过计算确定),主要依赖定性的评级方式。风险评级应当在下拉菜单中选择“高”、“中”、“低”三者之一填列。M列:控制的重要性判断该控制活动是否为关键控制活动,在表格中进行选择。如果该控制活动对应的风险评级为“高”或“中”的,该列请选“关键控制”;否则请选“一般控制”。N列:执行频率选择该控制活动的执行频率,该部分将用于测试阶段样本量的计算。执行频率应当在下拉菜单中选择“每日多次”、“每日”、“每周”、“每月”、“每季”、“每半年”、“每年”、“业务发生时”之一填列。O列:控制类型选择该控制活动的控制类型是“预防性控制”或“检查性控制”之一填列。P列:自动或手工控制选择该控制活动的执行方式是“手工控制”或“自动控制”之一填列。Q列:测试方法在下拉菜单中选择,四个选项之间有包含关系,询问最低;观察包含询问;检查包含观察和询问;重新执行最高包含前三项。通常情况下该列已经填写好,无特殊情况不需修改。副表中的测试程序也对其进行了具体解释。R列:标准控制活动样本量对应主表N列的标准控制活动的执行频率填写标准的样本量。对于执行频率为业务发生时的标准控制活动,可在样本量一列中填写“根据预计全年发生数量按照抽样标准确定样本量”。S列:实际执行控制活动编号是指推广公司需要填列的控制活动编号如果该标准控制在推广公司不适用,请在该该单元格填列N/A,同行内本单元格后其余列为空。T列:实际执行的控制活动是指推广公司本地化的控制活动描述U列:与财务报表相关的科目填列直接和主要影响推广公司报表的科目将各业务流程中的控制活动与可能影响的财务报表科目建立对应关系;某个控制活动可能同时影响多个财务报表科目;某个财务报表科目也可能受到多个控制活动的控制:有些控制活动也可能不直接影响财务报表科目。V列:执行频率是指推广公司本地化控制活动的执行频率选择该控制活动的执行频率,该部分将用于测试阶段样本量的计算。执行频率应当在下拉菜单中选择“每日多次”、“每日”、“每周”、“每月”、“每季”、“每半年”、“每年”、“业务发生时”之一填列。W列:控制类型是指推广公司本地化控制活动的控制类型选择该控制活动的控制类型是“预防性控制”或“检查性控制”之一填列。X列:自动或手工控制针对推广公司本地化控制活动选择该控制活动的执行方式是“手工控制”或“自动控制”之一填列。Y列:控制活动负责人/相关部门为控制活动的相关部门或人员,一般为该控制活动的复核人或执行人。Z列:测试工作底稿索引用户在此建立超链接,建立与副表针对该控制活动的测试底稿的勾稽关系