企业内部控制规范体系培训 第三部分：内部控制体系建设实务 2011年9月.南宁3.2流程层面的内部控制 流程层面内部控制建设的基本步骤 业务流程梳理 业务流程的记录与描述 业务流程风险与内部控制的记录 内部控制的测试评价与改善 财务报告内部控制 梳理业务流程，识别流程中的风险和控制活动，并通过流程描述、风险控制矩阵等文档对控制活动和控制点进行记录；执行穿行测试和控制测试，获取关于控制设计有效性和执行有效性的证据；对发现问题进行报告和提出改进建议。 业务流程梳理业务流程梳理（续）业务流程梳理（续）业务流程梳理（续）业务流程梳理（续）业务流程梳理（续）业务流程梳理（续）业务流程梳理（续）举例2：货物接收子流程 目标： 按照订单的数量接收货物，并核对供应商承诺的时间和质量确定业务流程梳理的范围 业务流程范围的确定，需要根据企业内部控制建设的整体规划和目标确定，通常可以波特的价值链模型为基础，结合行业、企业特点来搭建企业的业务流程框架并确定纳入内部控制建设范围的业务流程。也可以利用一些咨询机构总结出的成熟的行业流程框架。14房地产行业主要业务流程框架展示：上海证券交易所 上市公司内部控制指引企业内部控制应用指引第1号-组织结构业务流程梳理需要过程中需要相关流程的负责人员的积极参与和配合，通常可以由一名对流程相对比较熟悉的业务人员和一名内控人员配合进行。 业务流程梳理的方法 审阅业务流程制度与实施细则 访谈 现场观察 研讨会(WorkShop) 成功进行访谈的小贴士 提前确定访谈时间表，并给予双方充分的时间准备 适当的访谈前准备是成功的关键 准备适当的访谈提纲，并练习一定的速记技巧 告知被访者可能会有后续跟进的事宜需要被访者配合 掌握访谈技巧: 向被访者清晰解释访谈的目的 多问开放性问题 正确的诠释被访者所表达的意思 一次只问一个问题 充当积极的聆听者 多问几个为什么 该流程主要包括哪几个类型的业务？ 流程主要涉及哪几个部门？ 具体执行业务流程的人员有哪些？ 具体某个职务所负责的工作有哪些？ 业务流程的输入和输出是什么？ 该业务流程的风险主要体现在哪些方面？ 针对这些风险，有那些活动可以规避或者降低这些风险？ 这些活动发生的频率是什么？ 具体的活动是由谁以及如何执行的？ 活动的目的是什么？这些目的达到了吗？ 如果没有达到，可以通过增加或者改变活动达到吗？ 业务流程的记录与描述（续） 示例示例 控制活动的描述 对于一个控制点，要描述出五个方面内容（5W）： Who 谁是该控制的执行者 When 控制在什么时间发生 What 如何实施该控制 Where 控制体现在什么地方 Why 该控制的目的 例如：销售部经理（谁）每月末（什么时间）将本月实际销售收入与预算进行比较分析（如何实施），并在分析报告上签字（什么地方），以确保当月销售收入无重大错误和遗漏（目的）。 业务流程风险与内部控制的记录（续）业务流程风险与内部控制的记录（续）业务流程风险与内部控制的记录（续）业务流程风险与内部控制的记录（续）业务流程风险与内部控制的记录（续）业务流程风险与内部控制的记录（续）业务流程风险与内部控制的记录（续）业务流程风险与内部控制的记录（续）控制方法控制方法 XXX股份有限公司 XXX股份有限公司 控制频率及样本量的选取： 编号操作缺陷内部控制的测试评价与改善（续）步骤1、计算合并财务报表层次的重要性水平 步骤2、识别合并财务报表层次的重要会计科目 1.1决定计划重要性水平及可容忍误差（金额重大） 确定基准（日期） 确定重要性水平指标及标准 确定可容忍误差 1.2识别可能影响重要性水平的其他因素（性质重大） 会计科目由复杂的成分所组成； 容易受人为操纵或由于错误或舞弊而遭受损失； 会计科目的性质特殊，容易隐藏错误，需要多加关注； 发生交易量大； 牵涉复杂的会计处理和披露要求； 账户余额牵涉主观判断； 存在关联方交易； 当期外部环境（例如，法律法规，会计准则）或报告的要求发生变化； 会计科目中反映出来的由经营活动所引起的重大或有负债的可能性。步骤3、识别关键业务流程并将其与重要会计科目配比 步骤4、识别业务单元的覆盖范围 资产在进行财务报告内部控制建设过程中，风险主要是指可能导致重要会计科目和披露事项中的重大错报的可能性。 重要会计科目和披露事项是透过企业的业务流程/子流程所产生的。若不能有效的透过置于业务流程/子流程的内部控制以控制有关风险，错报的可能性便会增加。 管理层以及审计师必须确认业务流程/子流程并进行风险评估，以评估各领域的内控范围。 只有经过核准的采购订单才能发给供应商 已记录的采购订单内容准确 采购订单均已得到处理 业务流程二：工薪与人事 主要控制目标举例：已验收材料均附有有效采购订