内部控制具体测试内容和方法

内部控制具体测试内容和方法2010年4月1.测试步骤2.设计有效性测试内容目录3.公司层面测试内容4.业务活动层面测试内容5.信息系统总体控制测试内容6.追加、冗余或补充及补偿性控制测试的采用7.例外事项的确认1.测试步骤观察执行情况访谈相关人员检查内控文档记录审阅相关文件检查样本等记录测试过程例外事项复印证据1）设计有效性测试2）跟单测试3）公司层面测试及关键控制抽样测试4）信息系统总体控制测试1.测试步骤按测试步骤区分的测试类型执行有效性测试1.测试步骤（1）访谈相关人员，取得内部控制资料，了解内控设计情况（2）分析核对抽样检查如果是首次检查，则应全面了解；如果是连续检查，则重点关注变化情况公司层面业务层面信息系统总体层面（3）记录测试发现设计方面的问题1.1设计有效性的主要测试步骤信息系统总体控制设计有效性仅在集团、股份公司进行测试，不需在海外勘探进行测试1.测试步骤1.2跟单测试的主要测试步骤（1）访谈，记录结果（2）观察特定控制执行情况（3）检查样本，记录检查结果（4）取得证据适用于手工及应用系统控制测试1.测试步骤1.3公司层面测试及关键控制抽样测试的主要步骤（1）访谈，了解该业务人员对控制的理解程度（2）确定样本总体，并根据控制频率确定样本数量（3）综合利用各种测试程序对样本进行测试（4）利用权限测试工具，进行权限测试其中(２)（4）不适用公司层面控制测试（5）记录测试结果1.测试步骤1.4信息系统总体控制测试的主要步骤（1）访谈，了解业务人员是否理解该控制，是否具有相应的胜任能力。（2）确定样本总体和控制频率并选取样本。（3）对样本进行检查或执行再执行程序，关注相应控制是否得到有效执行。测试人员不应在发现样本出现问题后更换样本，对于存在问题的文档需要取得复印件等证据。1.测试步骤2.设计有效性测试内容目录3.公司层面测试内容4.业务活动层面测试内容5.信息系统总体控制测试内容6.追加、冗余或补充及补偿性控制测试的采用7.例外事项的确认2.设计有效性测试内容设计有效性测试定义和形式设计有效性是对于建立的内部控制体系，如果由符合条件的机构和人员按设计的要求去实施，能够有效地防范财务报告风险，为实现内部控制目标提供合理的保证。设计有效性测试，能够查找内部控制设计方面存在的问题，确保内控设计能有效地防范财务报告风险，达到财务报告控制目标，为内部控制执行评价提供基础。2.设计有效性测试内容2.1公司层面设计有效性测试2.2业务层面设计有效性测试2.3信息系统总体控制设计有效性测试2.4内控设计案例分析2.设计有效性测试内容2.1公司层面设计有效性控制测试公司层面设计有效性测试检查海外勘探针对公司层面内控关注要点是否有相关控制措施，如没有，是否遵照集团、股份公司的控制措施执行，进一步验证公司应有的控制措施是否存在，如按照控制的设计执行是否能达到控制目标。公司层面设计有效性控制测试的记录将公司层面设计有效性控制测试的情况在《公司层面设计有效性测试表》（表2.3）中进行记录，对于测试中发现的设计方面的问题，在对海外勘探进行公司层面测试时进一步验证，分析是否会对财务报告内部控制造成影响，并把最终确定的例外事项在《公司层面测试表》（表2.4）和《公司层面测试例外事项汇总表》（表2.5）中记录并上报。如：公司没有建立举报机制，实际工作中也没有为员工或其他人员提供报告可能违反道德准则和舞弊事项的途径，即作为公司层面设计有效性例外事项进行记录。2.设计有效性测试内容2.1公司层面设计有效性控制测试2.设计有效性测试内容2.1公司层面设计有效性测试2.2业务层面设计有效性测试2.3信息系统总体控制设计有效性测试2.4内控设计案例分析2.设计有效性测试内容2.2业务层面设计有效性控制测试业务层面有效性测试检查集团、股份公司统一确定的风险和控制，海外勘探是否采用，如果没有采用，通过访谈内控部门相关人员初步分析其合理性。检查海外勘探是否有新增的特殊风险和控制，如果有，则进一步通过访谈内控部门相关人员初步分析其风险评估和相应控制的合理性。业务层面设计有效性测试的记录将业务层面设计有效性测试的情况在《业务活动层面设计有效性测试表》（表2.6）中进行记录，对于测试中发现的设计方面的问题，在对公司本部或企事业单位进行跟单测试和关键控制抽样测试时进一步验证，分析是否会对财务报告内部控制造成影响，并把最终确定的例外事项在《跟单测试表》（表2.7）及《跟单测试例外事项汇总表》（表2.8）中记录并上报。如：企事业单位没有完整准确地描述集团公司所确认的关键控制，同时也没有执行；企事业单位没有识别特殊的重要风险。即作为业务层面设计有效性例外事项进行记录。2.设计有效性测试内容2.2业务层面设计有效性控制测试2.设计有效性测试内容2.1公司层面设计有效性测试2.2业务层面设计有效性测试2.3信息系统总体控制设计有效性测试2.4内控设计案例分析2.设计有效性测试内容2.3信息系统总体控制设计有效性测试信息系统总体控制设计有效性测试根据已经确定的信息系统总体控制测试范围，针对不同的领域，首先依据重要风险确认控制目标，其次将公司已有的关键控制与控制目标、重要风险进行核对分析，确定应有的关键控制是否存在、重要风险是否识别，初步评估有效实施控制能否防范风险，达到控制目标，并结合信息系统总体控制关键控制抽样测试的结果进行评价。由于其信息系统总体控制是由集团、股份公司统一设计，而海外勘探只是执行单位，政策和制度具有高度的统一性，因此信息系统总体控制设计有效性仅在集团、股份公司层面统一进行测试，不需在海外勘探层面进行测试。2.设计有效性测试内容2.1公司层面设计有效性测试2.2业务层面设计有效性测试2.3信息系统总体控制设计有效性测试2.4内控设计案例分析2.设计有效性测试内容2.4内控设计案例分析内控设计案例分析测试首先，从党群工作部、纪检监察办公室、审计内控部及财务与资本运营部取得上年度或本年度内部审计、外部审计、财税物价检查或信访举报中发现的对财务报告内控有效性产生重大影响的案件其及处理情况的资料（如重大收入、费用及负债不实、资产的重大损失、重大的偷漏税、各种舞弊事项等）。其次，通过对取得的资料进行分析，并与相关人员讨论事项发生的根本原因，是否是因为公司内部控制设计方面存在漏洞，导致工作人员即使按设计的程序实施控制，也不能预防案例的发生。如果是因为设计方面存在问题，查看是否采取了相应的措施对设计方面的问题进行整改。内控设计案例分析测试的记录对案例分析情况进行记录。对案例分析的情况在《内控设计案例分析表》（表2.10）中进行记录，在对公司进行测试时进一步核实，案件的发生是否是设计方面存在漏洞导致，公司是否对设计方面的问题进行整改，如未整改则应在相应的例外事项汇总表中体现。2.设计有效性测试内容2.4内控设计案例分析1.测试步骤2.设计有效性测试内容目录3.公司层面测试内容4.业务活动层面测试内容5.信息系统总体控制测试内容6.追加、冗余或补充及补偿性控制测试的采用7.例外事项的确认3.公司层面测试内容测试主题高管基调职业道德信访举报和违规处理组织结构权利和责任分配培训业绩考核人力资源政策经营活动分析信息与沟通内部审计反舞弊程序与控制财务报告公司层面测试的范围包括控制环境、风险评估、控制活动、信息与沟通、监督及反舞弊六个方面，共十三个主题。其中期末财务报告流程纳入业务层面测试。公司层面测试实施阶段的主要工作如下：１、要求被测试单位提供样本总体清单，测试人员随意选取样本并对样本进行检查以验证公司层面控制是否存在，是否在实际工作中执行，是否与该控制相应的制度规定相符合，且留下了实施证据。如发现现状描述与实际执行的控制不相符时，应分析原因并做好相关记录。２、对执行控制的岗位人员进行访谈。通过访谈，了解该岗位人员是否真正理解所执行的控制，并对该岗位人员的胜任能力做出判断并记录访谈结果。如果通过测试发现在相关控制方面不能达到测试目标时，应与相关人员进行进一步的访谈或重新进行测试。３、记录公司层面控制测试过程及结果，统计例外事项数量并与被测试单位沟通例外情况。3.公司层面测试内容４、测试人员取得并审阅事先由被测试单位填好“企事业单位控制补充说明”的《公司层面控制测试内容与步骤》;５、依据模版中的相关内容，制定测试计划填写《测试计划表》及《测试表》中“具体测试步骤”;６、选择测试方法主要依据《公司层面控制测试表》的测试内容；在此基础上确定测试提纲，提纲包括测试内容、被测试人员、测试时间等;７、测试小组负责人对测试计划进行审批.3.公司层面测试内容3.公司层面测试内容3.1反舞弊程序主要测试步骤首先通过访谈党群工作部、纪检监察办公室负责人，了解公司反舞弊程序和控制的建立和实施内容。（包括控制环境、风险分析、控制活动、信息与沟通、监控五个方面）;其次根据访谈了解到的情况，查阅相关制度、文件资料，判断是否建立并有效实施反舞弊程序。反舞弊程序测试内容在GCC关键控制测试和其他公司层面测试主题中有体现，测试人员不须单独测试，可直接引用其测试结果，以减少工作量；对无法引用的，还须单独测试。3.公司层面测试内容3.2经营活动分析主要测试步骤首先审阅《财务分析制度》。审阅内容是否完整，是否能有助于发现财务报告中的重大错报。其次访谈财务与资本运营部相关人员，了解对财务分析的理解程度和各个层面的财务分析结果上报的程序及上报后的审核情况。根据抽样原则抽查财务分析报告，选择重点相关经营指标，对分析的过程进行再执行测试，检查指标的分析是否适当。访谈相关的财务负责人，了解管理层和各级管理部门是否对上报的财务分析进行审阅，对审核中发现的问题是否进行跟进，并查阅跟进的相关证据。3.公司层面测试内容3.3职业道德主要测试步骤首先取得《国有企业领导人员廉洁从业若干规定（试行）》、《中国石油股份有限公司章程》以及《高级管理人员职业道德规范》、《高级管理人员职业道德建设制度》、《员工职业道德规范》、《员工职业与道德建设制度》等文件，审阅内容是否全面，是否符合制度要求。通过访问公司网站和制度汇编，以确定公司是否发布以上文件。访谈党群工作部的相关人员，了解是否对职业道德建设制度进行了宣传培训，检查相关培训记录等资料，最后通过访谈员工了解员工对职业道德的认知程度。检查高管人员是否全部签署《高级管理人员职业道德规范确认书》。同时通过与管理层人员访谈并对相关制度文件进行检查，了解并查看公司是否将职业道德标准包含在与客户及供货商的商业交往中。测试人员要知晓和理解《高级管理人员职业道德规范》、《高级管理人员职业道德建设制度》、《员工职业道德规范》、《员工职业与道德建设制度》等相关文件内容。3.公司层面测试内容3.3职业道德主要测试步骤3.公司层面测试内容3.4高管基调主要测试步骤通过对高管的访谈，了解他们对诚信与道德观的理念，以及如何具体落实。访谈公司员工并查阅相关资料，了解职工代表大会及合理化建议的组织实施情况。通过访谈管理层（总经办），了解管理层（领导班子）是否对干预或越权（违反权限规定和程序制度）的情形进行关注。3.公司层面测试内容3.4高管基调主要测试步骤其次查阅相关制度，审核其内容是否包含明确禁止管理人员越权，并鼓励对获知的越权、违规行为进行举报的规定；以及对于何种情况下需要干预以及干预的频率及记录的具体要求；取得并审阅公司对与管理层干预和越权行为的记录，确定对于干预的原因是否有合理的解释，对于越权行为是否有相应的处理。访谈总经办、经营计划部、业务发展部、财务与资本运营部、法律事务部等部门，了解公司在介入新业务前，是否在进行风险和收益分析后才采取行动；访谈财务与资本运营部了解会计政策确定、信息沟通、财务报告等内容。3.公司层面测试内容3.5信访举报机制和违规处理主要测试步骤首先通过访谈党群工作部人员，了解公司是否建立了较为畅通的举报渠道；其次通过访谈公司员工，了解员工是否知道信访举报方式，举报渠道，第三通过查阅公司文件和违规处理记录，确定公司是否注重对员工违规情况的管理；通过对信访举报案