搜索
内部控制评价工作底稿填写说明一、工作底稿的组成工作底稿包括两类表格:主表:按照控制标准设置,每一流程对应一个主表。测试页:按照控制标准设置测试页,每一个控制标准对应一个测试页。二、主表填写说明主表名称编写方法:主页面_流程名称。例如:主页面_项目管理。表头填写内容:测试公司全称和业务流程名称。A列:子流程名填写内容为子流程名。参见内部控制标准B列:控制编号填写内容为控制编号。参见内部控制标准C列:控制标准填写对应的控制标准。参见内部控制标准D列:本地化控制现状描述填写本地化控制活动内容,内容根据测试地点的具体情况进行填写。其中涉及政策制度类的请统一加书名号以区分,如:《XX管理制度》;涉及样本统一加尖括号,如:请示报告。编制本地化控制活动需要考虑内部控制应用指引相应要求,注意保证描述的完整性。主表中,后续重复出现的本地化控制活动,在此列及以后列均填写“参考控制点C-X.X.X”。C-X.X.X为第一次出现的重复本地化控制活动的控制编号。E列:控制手段填写控制方式(自动/手动/手动+自动),在下拉选项菜单中进行选择。F列:执行频率填写执行频率,在下拉选项菜单中进行选择。G列:涉及的制度填写涉及的相关制度/管理办法等的全称。制度及管理办法名称需统一按照各公司规范的的名称填写,注意保持一致性。如有多个制度及管理办法,请使用“ALT+Enter”进行分割。H列:责任部门/岗位负责人填写控制性活动负责人岗位/部门全程:部门及岗位的名称需统一按照公司组织架构图及岗位职责中的名称填写,注意保持一致性。如有多个岗位/部门,使用“ALT+ENTER”进行分割。I列:开始执行日(日/月/年)如果此控制活动未发生缺陷,开始执行日为财务报告期间开始日;如果此控制活动以往曾发生缺陷,开始执行日则为缺陷整改完成日。所有测试中所抽取的测试样本均需晚于开始执行日,否则为无效样本。J列:开始执行日说明填写对开始执行日的特殊说明;如没有,则填写“N/A”。K列:自评价结论自评价测试结论分为“达标、未达标、未发生交易、不适用”。由自评价单位人员填写。L列:自评价缺陷根据自评价的结论,对自评价发现的缺陷进行描述。M列:是否与财务报表认定相关需判定该控制标准是否与财务报表认定相关,即是否影响财务报表发生及权利和义务、完整性、分类和可理解性、准确性和计价。N列:控制重要性填写控制类型(一般/关键),在下拉选项菜单中进行选择。O列:相关联的控制点填写与其他流程中与此点相关联的控制点编号。P列:测试底稿索引单击可自动链接到测试底稿。Q列:测试结论:从测试底稿页自动链接。R列:测试发现:从测试底稿页自动链接。三、测试页填写说明测试页名称命名方法:标准控制编号。第2行至第4行:标准控制编号、控制标准内容、本地化控制活动标准控制编号及控制标准内容由主页面自动链接。第5行:测试方法及步骤填写测试方法及步骤。测试方法包括:询问、观察、检查及重新执行。第7行:测试结论测试结论分为“达标、未达标、未发生交易、不适用、样本量不足”。如果该控制标准中包含多个测试步骤,且每个测试步骤结论不同,则本单元格填写的综合测试结论的优先顺序依次为:未达标、样本量不足、未发生第8行:测试发现测试发现为综合测试底稿的所有综合步骤后总结的内容,与各测试步骤的测试结论对应,同时作为“第七行”测试结论的文字说明和支持依据。第11行-样本名称、控制方式、发生频率:样本名称:填写本测试步骤中涉及的样本名称。控制方式:手工、自动、自动+手工,由主页面自动链接。发生频率:分为每年、每半年、每季度、每月、每周、每日1次、每日多次、业务发生时,由主页面自动链接。第12行-测试结论和发现、样本数量、测试时间:测试结论:分为“达标、未达标、未发生交易、不适用、样本量不足”。对于结论为未达标、未发生交易、不适用、样本量不足的,还需详细写明具体情况及做出该结论的原因。样本数量:需根据以下样本量计算表确定,并简要说明确定样本量的依据。在某一样本区间内,可以根据测试人员对风险因素、内控管理水平高低等方面的职业判断具体确定样本数量。测试时间:为测试执行人进行测试的时间。第15行:填写具体样本及测试信息,此部分可以根据具体测试情况进行增加行数/列数:(1)抽样主体:需均匀覆盖在确定被测试单位范围时选定的重要下属单位,如测试某二级单位的采购流程时,样本需尽量均匀分布在该二级单位下属的重要单位中,则抽样主体应填写该下属单位的名称。(2)样本日期、样本摘要:需写明能够标识样本唯一性的重要信息,例如样本为某单位某账户余额调节表,则应注明该余额调节表的银行账号和编制时间;再如样本为记账凭证,则应注明记账凭证的日期和凭证号。(3)测试属性:根据本地化控制活动内容及测试方法填写测试属性。在对应单元格中记录与属性相关的样本信息,注意信息的完整性、正确性和一致性;对于不适用的测试属性填写N/A。(4)未达标样本索引:填写未达标样本的样本索引编号。(5)备注栏中可填入与测试内容相关的解释性文字,例如注明缺陷描述、未能获取样本的具体原因等。公司名称:——XX公司业务流程名称:信息与沟通注:本主页面D列至L列,均由自评价单位填写子流程控制编号控制标准本地化控制现状描述控制手段C-4.1.1公司应指定专门岗位或人员通过行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道收集对公司生产经营管理产生影响的信息,负责信息收集的人员应对搜集的外部信息进行合理筛选、核对、整合,提高信息的有用性。C-4.1.2公司应指定相关部门负责统一汇总、统计和分析生产经营相关信息,对生产经营完成情况进行综合分析并将分析结果提交公司各层级领导,以保证公司领导及时了解、掌握公司的实时生产经营动态,并将其作为制定生产经营策略的重要参考决策依据。C-4.1.3财务管理部门对财务、资产及其有关数据进行收集、传送、加工、处理、存储和管理,确保财务信息数据的安全性、及时性和准确性,满足提供决策信息和披露信息的需要。C-4.1.4公司应通过设立信箱或电话随时获取员工对日常工作、经营管理等方面的意见和建议。公司可通过建立改善经营管理建议机制等方式,旨在获取全体员工对公司改革发展、生产经营、公司管理等各项工作提出的具有可行性、先进性和效益性的改进意见。C-4.2.1公司应每年召开一次全体员工或员工代表参加的年度工作会议,总结当年工作成果,将公司发展规划、年度计划等层层向下传达至全体员工,确保公司发展规划、年度计划、重要政策措施等得以贯彻实施。C-4.2.2公司应定期召开专业工作会议,包括经营活动分析会、生产经营调度会、安全生产工作会等,专门针对某一方面问题开展讨论,总结发现问题的原因并研究对策,协调工作中的有关问题等。C-4.2.3各部门和生产单位应定期(至少每季度一次)召开例会,阶段性地总结工作成果,讨论重要计划执行情况,对部门员工进行公司政策和规划的传达、分派和布置下一阶段的工作任务等。C-4.2.4公司通过传真电报、通知等文件下发形式,或通过办公系统,将相关的政策和程序传达至各经营单位和各职能部门,以保证各相关人员了解公司现行有效的政策和制度。C-4.2.5公司应建立客户座谈会制度和客户走访制度以促进与客户的有效沟通。通过定期听取客户对销售政策、产品质量、货款结算等方面的意见和建议,公司广泛收集客户需求和客户对公司现有相关政策的意见,并妥善解决可能存在的控制不当问题。内部控制标准自评价内容信息收集信息传递C-4.2.6本条标准适用于上市公司:上市公司需按照上市地交易所的规定建立信息披露制度。C-4.2.7公司应指定专门部门或人员负责统一审核、提供公司对外披露的信息。非公司授权人员严禁向新闻单位或监管机构披露公司信息。C-4.2.8对重特大事件,相关单位应按照应急预案规定的程序及时向应急指挥中心办公室报告,由其立即上报公司应急指挥中心和上级单位并迅速传达指令。C-4.2.9公司应制定信息保密的相关管理制度,根据信息在公司生产、经营和管理中的重要性和保密规定,将信息进行分类管理,在信息传递过程中严格遵循公司关于信息分级的要求,实现信息在规定范围内的分享和使用。C-4.3.1公司应制定反舞弊管理的制度和流程,至少应当将下列情形作为反舞弊工作的重点:①未经授权或者采取其他不法方式侵占、挪用公司资产,牟取不当利益。②在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等。③董事、监事、经理及其他高级管理人员滥用职权。④相关机构或人员串通舞弊。C-4.3.2公司应当建立举报投诉制度和举报人保护制度,设置举报专线,明确举报投诉处理程序、办理时限和要求,确保举报、投诉成为公司有效掌握信息的重要途径。举报投诉制度和举报人保护制度应当及时传达至全体员工。C-4.3.3公司应建立投诉举报的处理流程,应指定独立于被投诉举报对象的部门或人员在规定期限内进行核实,发现违法违纪问题,应按照法律或公司规定进行处理。对于署名举报,在调查核实工作全部完成后,向举报人通报核查结果,并对举报人的真实身份保密。C-4.3.4公司应对外建立并公布供应商、客户投诉热线,鼓励公司利益相关者对公司内部员工的违纪违法行为或影响公司形象的其他行为进行举报和投诉。对内设立员工投诉信箱,方便每一位员工对发现的违反公司规定的行为及其他违纪违法行为进行举报和投诉。信息传递反舞弊机制执行频率涉及制度责任部门/岗位负责人开始执行日(日/月/年)开始执行日说明自评价结论自评价缺陷是否与财务报表认定相关控制重要性非相关关键控制非相关关键控制非相关关键控制非相关关键控制非相关关键控制非相关关键控制非相关关键控制非相关关键控制非相关关键控制自评价内容内部控制测试非相关关键控制非相关关键控制非相关关键控制非相关关键控制非相关关键控制非相关关键控制非相关关键控制非相关关键控制相关联的控制点测试底稿索引测试结论测试发现N/AC-4.1.100N/AC-4.1.200C-18.5.7C-4.1.300N/AC-4.1.400C-2.2.8C-4.2.100N/AC-4.2.200C-14.2.3C-4.2.300N/AC-4.2.400C-15.3.10C-4.2.500内部控制测试N/AC-4.2.600N/AC-4.2.700N/AC-4.2.800N/AC-4.2.900N/AC-4.3.100N/AC-4.3.2-400N/AC-4.3.2-400N/AC-4.3.2-400标准控制编号标准控制本地化控制活动测试方法及步骤测试结论测试发现样本名称信息管理人员岗位职责控制手段0发生频率测试结论和发现样本数量测试时间测试属性样本编号抽样主体样本日期样本摘要职责是否明确1样本名称信息收集报告控制手段1900/01/00发生频率测试结论和发现样本数量测试时间测试属性样本编号抽样主体样本日期样本摘要是否定期整理、筛选对公司生产经营管理产生影响的信1C-4.1.1公司应指定专门岗位或人员通过行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道收集对公司生产经营管理产生影响的信息,负责信息收集的人员应对搜集的外部信息进行合理筛选、核对、整合,提高信息的有用性。01、询问信息管理人员,了解内外部信息收集的渠道和筛选过程2、取得信息管理岗位人员的岗位职责,检查是否明确信息沟通渠道和筛选等职责3、抽取X份通过市场调查或网络媒体信息等整理的报告,检查是否定期整理、筛选对公司生产经营管理产生影响的信息控制有效性测试控制有效性测试返回主表02011年X月X日未达标样本索引备注02011年X月X日未达标样本索引备注C-4.1.1公司应指定专门岗位或人员通过行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道收集对公司生产经营管理产生影响的信息,负责信息收集的人员应对搜集的外部信息进行合理筛选、核对、整合,提高信息的有用性。01、询问信息管理人员,了解内外部信息收集的渠道和筛选过程2、取得信息管理岗位人员的岗位职责,检查是否明确信息沟通渠道和筛选等职