风险控制矩阵(业务层面)

1、风风险险控控制制矩矩阵阵填填制制说说明明 一一、风风险险控控制制矩矩阵阵的的用用途途 备注 此风险控制矩阵的用途在于记录公司所有影响关键财务报表科目/披露事项的流程及对其进行评估的结果。 二二、风风险险控控制制矩矩阵阵填填写写说说明明 a a列列：流流程程名名称称 流程所属的子流程名称，在模版中已填写好，不可修改。 模板固定、不 可修改 b b列列：控控制制目目标标 相应的控制目标及编号，模版中已填写好，不可修改。 模板固定、不 可修改 c c列列：风风险险描描述述 控制目标未实现所可能产生风险的具体描述，模版中已填写好，不可修改。 模板固定、不 可修改 d d列列：标标准准控控制制活活动动

2、与控制目标相对应的标准控制活动，模版中已填写好，不可修改。 模板固定、不 可修改 e e列列：现现有有控控制制措措施施 由审计人员填列对应该标准控制活动的本地实际执行的控制活动，即对本单位实际执行该控制活动的流程进行描述，此描述需强调本 单位流程中的控制点，描述应体现4w1h(即对于每一个活动，要写明：who-执行人是谁，when-何时执行，where在哪里执行，what 执行什么，how-如何执行)，对流程中涉及职责分离、授权审批、关键控制点的书面制度、关键控制点的执行监控等控制重点进行 描述，从而明确控制活动的执行流程。 审计人员根据 实际情况填报 f f列列：控控制制的的重重要要性性（关

3、关键键控控制制/ /一一般般控控制制） 由审计人员从下拉菜单中选择控制活动的重要性，分为关键控制和一般控制。关键控制是指一旦该控制点失效，可能导致公司严重偏 离控制目标。一般控制是指关键控制以外的控制。判断关键控制与一般控制判断主要考虑以下因素：控制是否不可缺少；控制是否直 接针对相关认定；控制是否应对重大错报风险；)控制运行是否精确。 审计人员根据 实际情况填报 g g列列：控控制制方方式式（自自动动/ /人人工工） 由审计人员从下拉菜单中选择控制的方法，分为自动控制和人工控制。自动控制是指通过信息系统等进行的控制，无需人工干预即可 实现控制目标。人工控制是指自动控制以外的控制。 审计人员根

4、据 实际情况填报 h h列列：控控制制频频率率( (每每日日多多次次, ,每每日日, ,每每周周, ,每每月月, ,每每季季, ,每每半半年年，每每年年, ,业业务务发发生生时时，不不适适用用) ) 由审计人员从下拉菜单中选择控制发生的频率，分为每日多次,每日，每周，每月，每季，每半年，每年,业务发生时，不适用。 审计人员根据 实际情况填报 i i列列：控控制制类类型型（预预防防性性控控制制和和检检查查性性控控制制） 预防性控制通常用于正常业务流程的每一项交易，以防止错报的发生；检查性控制通常是管理层用来监督实现流程目标的控制，适用 于业务流程中的已经处理或部分处理的某类交易； 由审计人员从下

5、拉菜单中选择控制类型，分为预防性控制和检查性控制 审计人员根据 实际情况填报 j j列列：控控制制实实施施证证据据 由填表人填写控制实施证据。控制实施证据是指公司在实施现有控制时所使用的报告，表单，签字等。如果公司在实施现有控制时没 有使用相应的报告，表单，签字等，则应填“无”。 审计人员根据 实际情况填报 k k列列：控控制制文文件件的的文文件件号号及及名名称称 由填表人填写控制文件的文件号及名称。控制文件的文件号及名称是指规范有该项控制措施的管理制度文件的文号和名称。若没有控 制文件，则应填“无”。 审计人员根据 实际情况填报 l l列列：是是否否发发现现缺缺陷陷( (是是/ /否否) )

6、 根根据据控控制制设设计计测测试试情情况况，填填报报是是否否存存在在设设计计运运行行缺缺陷陷，由由审审计计人人员员从从下下拉拉菜菜单单中中选选择择。 审计人员根据 实际情况填报 m m缺缺陷陷描描述述 发现缺陷的情况下 ，请用简洁语言进行描述。 审计人员根据 实际情况填报 n n列列：测测试试步步骤骤 对于内控运行测试具体程序，审计人员根据内控准则实施，不适用或一般测试可以简化测试步骤。 审计人员根据 实际情况填报 q q列列：测测试试方方法法 控制测试方法主要有询问、检查、观察、重新执行，这几种方法可以单用或结合用。 审计人员根据 实际情况填报 p p列列：样样本本总总量量 样样本总额是是指

7、样本发生的频率，每日多次的一般填大于259或小于250，其他情况按实际发生次数填报。 审计人员根据 实际情况填报 q q列列：样样本本发发生生频频率率 是指样本发生的规律，比如余额调节报每月编制一次，那么对于年度审计期间，样本发生频率为每月一次，具体结合企业实际情况填 报，一般分为6大类，具体见附件。 审计人员根据 实际情况填报 r r列列：样样本本量量 是指测试内部控制运行有效性所需杨的最小样本量，根据样本发生频率和样本总量确定，选择样本量情况见附件。 审计人员根据 实际情况填报 s s列列：测测试试页页链链接接 测试页链接是指对于内控测试运行记录较复杂的，表内难以记录清楚的，建立的详细测试

8、底稿。 审计人员根据 实际情况填报 tv:tv:第第一一轮轮测测试试有有效效性性 第一轮测试有效性：是指第一轮测试期间测试的结果，由审计人员从下拉菜单中选择控制的方法，分为是和否； 第二轮测试有效性：是指第二轮测试期间测试的结果，由审计人员从下拉菜单中选择控制的方法，分为是和否。 审计人员根据 实际情况填报 uw:uw:发发现现描描述述 是指内部控制执行缺陷，发现缺陷就记录，无缺陷填无。 审计人员根据 实际情况填报 三三、控控制制矩矩阵阵填填写写注注意意事事项项 1、底稿不许自行加减列；应在下拉菜单选择时，不允许手输。 2、各流程中蓝字部分（控制重要性、控制方式、控制频率、控制类型）是需要审计

9、人员根据企业实际情况填报的，表中现有选择项是一般情况下存在的。 测测试试人人工工控控制制的的最最小小样样本本量量区区间间 控制运行频率 控制运行总次数 测试的最小样本量区间 每年1次11 每季1次42 每月1次12 25 每周1次52 515 每天1次250 2040 每天多次 大于250次 2560 内内部部控控制制项项目目抽抽样样测测试试 控控制制名名称称 0 测测试试步步骤骤 0 测测试试期期间间0 样样本本总总量量0 样样本本发发生生频频率率0 风风险险等等级级0 抽抽取取样样本本量量0 测测试试内内容容 序序号号样样本本日日期期样样本本名名称称 测测试试内内容容 是是否否例例外外测测

10、试试期期备备注注 abc 12012年10月开立北京银行一般账户 yynn第一轮测试已上报工业审批，尚未取得批复文件 22012年7月注销招商银行账户yyn/an第一轮测试注销账户无需报工业审批 第二轮测试 32012/9/1注销兴业银行账户yyn/an第二轮测试注销账户无需报工业审批 测测试试结结果果 第一轮测试是 第二轮测试是 问问题题描描述述 第一轮测试无异常 第二轮测试无异常 内内部部控控制制了了解解和和测测试试风风险险控控制制矩矩阵阵内内部部控控制制了了解解和和测测试试风风险险控控制制矩矩阵阵 被被审审计计单单位位：页页次次：索索引引号号： 被被审审计计单单位位： 项项目目：业业务务

11、层层面面控控制制测测试试公公司司层层面面日日期期：编编制制人人： 项项目目：业业务务层层面面控控制制测测试试公公司司层层面面 时时间间/ /期期间间：日日期期：复复核核人人： 时时间间/ /期期间间： 流流程程名名称称控控制制目目标标风风险险描描述述标标准准控控制制活活动动现现有有控控制制措措施施控控制制的的重重要要性性控控制制方方式式 clc1 组织 架构 clc1 组织 架构 clc1 组织 架构 clc1 组织 架构 clc1 组织 架构 clc1 组织 架构 clc1 组织 架构 clc2 发展 战略 clc2 发展 战略 clc2 发展 战略 clc3 社会 责任 内内部部控控制制了

12、了解解和和测测试试风风险险控控制制矩矩阵阵内内部部控控制制了了解解和和测测试试风风险险控控制制矩矩阵阵 被被审审计计单单位位：页页次次：索索引引号号： 被被审审计计单单位位： 项项目目：业业务务层层面面控控制制测测试试公公司司层层面面日日期期：编编制制人人： 项项目目：业业务务层层面面控控制制测测试试公公司司层层面面 时时间间/ /期期间间：日日期期：复复核核人人： 时时间间/ /期期间间： 流流程程名名称称控控制制目目标标风风险险描描述述标标准准控控制制活活动动现现有有控控制制措措施施控控制制的的重重要要性性控控制制方方式式 clc3 社会 责任 clc3 社会 责任 clc3 社会 责任

13、clc4 企业 文化 clc4 企业 文化 clc5 内部 信息传递 clc5 内部 信息传递 clc5 内部 信息传递 clc5 内部 信息传递 clc5 内部 信息传递 clc5 内部 信息传递 clc5 内部 信息传递 页页次次：索索引引号号： 日日期期：编编制制人人： 日日期期：复复核核人人： 控控制制频频率率 控控制制实实施施证证据据控控制制类类型型 控控制制文文件件的的文文件件号号 及及名名称称 控控制制缺缺陷陷描描述述 内内部部控控制制了了解解和和测测试试风风险险控控制制矩矩阵阵 项项目目：业业务务层层面面控控制制测测试试公公司司层层面面 页页次次：索索引引号号： 日日期期：编编

14、制制人人： 日日期期：复复核核人人： 控控制制频频率率 控控制制实实施施证证据据控控制制类类型型 控控制制文文件件的的文文件件号号 及及名名称称 控控制制缺缺陷陷描描述述 内内部部控控制制了了解解和和测测试试风风险险控控制制矩矩阵阵内内部部控控制制了了解解和和测测试试风风险险控控制制矩矩阵阵 被被审审计计单单位位：页页次次：索索引引号号： 被被审审计计单单位位： 项项目目：业业务务层层面面控控制制测测试试货货币币资资金金管管理理日日期期：编编制制人人： 项项目目：业业务务层层面面控控制制测测试试货货币币资资金金管管理理 时时间间/ /期期间间：日日期期：复复核核人人： 时时间间/ /期期间间：

15、 流流程程名名称称控控制制点点名名称称风风险险描描述述标标准准控控制制活活动动现现有有控控制制措措施施控控制制的的重重要要性性控控制制方方式式 控控制制频频率率 控控制制类类型型 内内控控设设计计有有效效性性 控控制制实实施施证证据据 tr1业务真实性 tr101资金收付需以业务 发生为基础 业务不真实导致财务报表信 息失真 企业资金收付，应该有根有据，不能凭空付款或收款。所有收款或者 付款需求，都有特定的业务引起，因此，有真实的业务发生，是资金 收付的基础。 一般性控制人工控制每日多次预防性控制 tr2职责分工与授权 批准 tr201严格的授权批准制 度 资金管理未经适当审批或超 越授权审批

16、，可能因重大差 错、舞弊、欺诈而导致损失 明确审批人对货币资金业务的授权批准方式、权限、程序、责任和相 关控制措施，规定经办人办理货币资金业务的职责范围和工作要求。 审批人根据货币资金授权批准制度的规定，在授权范围内进行审批， 不得超越审批权限。经办人在职责范围内，按照审批人的批准意见办 理货币资金业务。对于审批人超越授权范围审批的货币资金业务，经 办人员有权拒绝办理，并及时向审批人的上级授权部门报告。 关键性控制人工控制 业务发生 时 预防性控制 tr202不相容职责恰当分 离 违反内控规定，可能导致资 产损失风险 资金支付的审批与执行；资金的保管、记录与盘点清查；资金的会计 记录与审计监督

17、等应互相分离。出纳人员不得兼任稽核、会计档案保 管和收入、支出、费用、债权债务账目的登记工作。不得由一人办理 货币资金业务的全过程 一般性控制人工控制 业务发生 时 预防性控制 tr3现金的控制 tr301收入不入账 取得的资金收入未及时入账 ，私设“小金库”等违纪风 险。 公司在生产经营及其他业务活动中取得的资金收入及时入账，不得账 外设账，严禁收款不入账、设立“小金库”。 一般性控制人工控制 业务发生 时 预防性控制 tr302现金库存限额的管 理 库存现金管理不善，可能导 致资金丢失风险。 企业应当加强现金库存限额的管理，超过库存限额的现金应当及时存 入开户银行。根据现金管理暂行条例的规

18、定，结合企业的实际情 况，确定企业的现金开支范围和现金支付限额。不属于现金开支范围 或超过现金开支限额的业务应当通过银行办理转账结算。库存现金要 用专用保险柜保管。明确库存现金开支的范围及超过现金开支范围的 审批和处理。 关键性控制人工控制 业务发生 时 预防性控制 tr303现金盘点 库存现金管理不善，可能导 致资金丢失风险。 逐日、逐笔及时地登记现金日记账，做到每日结账、盘点，做到账款 相符，并填写现金盘点报表。发现现金长款或短款，应立即查明原因 ，并向负责人报告。 关键性控制人工控制每日预防性控制 tr304现金支出资金损失风险 财务人员从银行中提取现金，应当填写“现金支票领用单”，并写

19、明 用途和金额，由财务负责人签字批准后提取。 关键性控制人工控制 业务发生 时 预防性控制 tr305员工借款管理 记账凭证制作不及时，帐务 处理错误，金额不准确，与 原始凭证不相符，影响财务 帐的截止性，准确性和完整 性。 公司职员因工作需要借用现金，需填写“借款单”，由部门领导签字 确认，报财务负责人审批，经会计审核，到出纳人员处领取。企业及 时进行账务处理。 一般性控制人工控制 业务发生 时 预防性控制 内内部部控控制制了了解解和和测测试试风风险险控控制制矩矩阵阵内内部部控控制制了了解解和和测测试试风风险险控控制制矩矩阵阵 被被审审计计单单位位：页页次次：索索引引号号： 被被审审计计单单

20、位位： 项项目目：业业务务层层面面控控制制测测试试货货币币资资金金管管理理日日期期：编编制制人人： 项项目目：业业务务层层面面控控制制测测试试货货币币资资金金管管理理 时时间间/ /期期间间：日日期期：复复核核人人： 时时间间/ /期期间间： 流流程程名名称称控控制制点点名名称称风风险险描描述述标标准准控控制制活活动动现现有有控控制制措措施施控控制制的的重重要要性性控控制制方方式式 控控制制频频率率 控控制制类类型型 内内控控设设计计有有效效性性 控控制制实实施施证证据据 tr306借款报销管理 费用报销缺乏适当审批，导 致财务数据不合理，不准确 ，甚至产生舞弊的风险。 报销时凭发票、差旅费单

21、据及公司认可的有效报销或借款凭单，经经 办人签字，会计审核，财务负责人批准，到出纳人员处冲抵以前借款 、领取现金，付款后加盖付款标志及经办人戳记。 一般性控制人工控制 业务发生 时 预防性控制 tr307工资发放管理可能导致资金丢失风险 工资由财务人员依据总经理提供的核发工资资料按月编制工资表，交 财务负责人审核，总经理签字，财务人员按时提款，月末发放工资， 填制记账凭证，进行账务处理 一般性控制人工控制每月预防性控制 tr308现金盘点 可能会导致库存现金余额账 实不符风险。 稽核人员须定期或不定期地对库存现金进行抽查盘点，并将清查结果 编制库存现金盘存表，由出纳、会计、稽核人员签章。盘点中

22、发现问 题，应及时汇报并查明原因。每月末需编制库存现金盘点表。 关键性控制人工控制 业务发生 时 检查性控制 tr309现金核对 可能出现在账实不符，甚至 资金损失风险 主管会计经常与出纳核对库存现金情况关键性控制人工控制 业务发生 时 检查性控制 tr310现金抽查 可能出现在账实不符，甚至 资金损失风险 每个季度财务负责人至少会同主管会计抽查一次库存现金，对差异情 况进行分析，形成库存现金盘点报告，提出改进意见，以书面形式呈 报财务经理。 关键性控制人工控制每季检查性控制 tr4银行存款的控制 tr401余额调节表管理 银行存款余额账实不符，资 产可能被盗用。 财务中心指定专人定期核对银行

23、账户，每月至少核对一次，编制银行 存款余额调节表，并指派对账人员以外的其他人员进行审核，确定银 行存款账面余额与银行对账单余额是否调节相符。如调节不符，应当 查明原因，及时处理 关键性控制人工控制每月检查性控制 trtr402对账单管理管理不善，资产可能被盗用 企业应当加强对银行对账单的稽核和管理，出纳人员一般不得同时从 事银行对账单的获取、银行存款余额调节表的编制等工作。确需出纳 人员办理上述工作的，应当指定其他人员定期进行审核、监督。 关键性控制人工控制 业务发生 时 预防性控制 tr403网银管理 可能引起法律风险，甚至资 金损失风险； 实行网上交易、电子支付等方式办理资金支付业务的企业

24、，应当与承 办银行签订网上银行操作协议，明确双方在资金安全方面的责任与义 务、交易范围等。操作人员应当根据操作授权和密码进行规范操作。 使用网上交易、电子支付方式的企业办理资金支付业务，不应因支付 方式的改变而随意简化、变更支付货币资金所必需的授权批准程序。 企业在严格实行网上交易、电子支付操作人员不相容岗位相互分离控 制的同时，应当配备专人加强对交易和支付行为的审核。 关键性控制人工控制 业务发生 时 预防性控制 tr3现金的控制 内内部部控控制制了了解解和和测测试试风风险险控控制制矩矩阵阵内内部部控控制制了了解解和和测测试试风风险险控控制制矩矩阵阵 被被审审计计单单位位：页页次次：索索引引

25、号号： 被被审审计计单单位位： 项项目目：业业务务层层面面控控制制测测试试货货币币资资金金管管理理日日期期：编编制制人人： 项项目目：业业务务层层面面控控制制测测试试货货币币资资金金管管理理 时时间间/ /期期间间：日日期期：复复核核人人： 时时间间/ /期期间间： 流流程程名名称称控控制制点点名名称称风风险险描描述述标标准准控控制制活活动动现现有有控控制制措措施施控控制制的的重重要要性性控控制制方方式式 控控制制频频率率 控控制制类类型型 内内控控设设计计有有效效性性 控控制制实实施施证证据据 tr404银行账户管理 可能发生未经批准的银行账 户的设立与销户的变更，可 能导致可能导致受到处罚

26、造 成资金损失； 开立、变更账户，须经总经理同意，由企业设置的专门机构来具体执 行。原则上各公司只能在便于开展业务的银行开设一个存款账户，办 理各种结算业务。开设账户情况及变更情形及时向专门机构（比如财 务中心）书面呈报、备案。 一般性控制人工控制 业务发生 时 预防性控制 tr5票据和印章控制 tr501票据政策和票据活 动应当遵守国家法律、行 政法规及公司规定 票据政策和活动违反国家法 律、行政法规及公司规定会 导致损害社会公共利益，给 公司造成负面的社会影响。 1、公司应制定有关票据的管理制度，该管理制度应遵守国家有关法律 、法规的规定； 2、票据管理制度应经过高级管理层的审批，并且下发

27、到相关部门； 3、票据应根据适当管理层审批后的付款凭证签发； 4、票据的背书、转让和贴现应当遵守票据管理制度，并经适当的管理 层审核批准。 预防性控制人工控制 业务发生 时 预防性控制 tr502票据登记、保管 可能导致资产损失、法律诉 讼或信用损失。 1、票据由专人负责保管，应有专门的、安全的存放地； 2、设置票据登记簿，登记各类票据的取得、领用、使用、背书、作废 等，并由相应人员签字； 3、空白票据的领用被严格控制，如有发生，应经过适当管理层审批， 并且由票据管理人员追踪票据使用情况； 4、定期盘点库存票据； 5、如发生票据丢失、被盗等，应及时按规定处理； 6、对收取的重要票据，应留有复印

28、件并妥善保管； 7、不得跳号开具票据，不得随意开具印章齐全的空白支票。 关键性控制人工控制 业务发生 时 检查性控制 tr503票据销毁 可能导致资产损失、法律诉 讼或信用损失。 企业因填写、开具失误或者其他原因导致作废的法定票据，应当按规 定予以保存，不得随意处置或销毁。对超过法定保管期限、可以销毁 的票据，在履行审核批准手续后进行销毁，但应当建立销毁清册并由 授权人员监销。 关键性控制人工控制 业务发生 时 预防性控制 tr504确保据入帐正确 票据入账不正确会导致财务 信息不完整、不准确。 1、票据贴现后应在适当的报告中披露贴现信息； 2、票据的记帐凭证由制作人以外的财务人员核对相应的原

29、始单据； 3、由专人复核贴现利息计算的正确率。 发现性控制人工控制 业务发生 时 预防性控制 tr505印章保管 可能导致资产损失、法律诉 讼或信用损失。 票据统一印制或购买；票据由专人保管；印章与空白票据分管；财务 专用章与企业法人章分管 关键性控制人工控制 业务发生 时 预防性控制 tr4银行存款的控制 内内部部控控制制了了解解和和测测试试风风险险控控制制矩矩阵阵内内部部控控制制了了解解和和测测试试风风险险控控制制矩矩阵阵 被被审审计计单单位位：页页次次：索索引引号号： 被被审审计计单单位位： 项项目目：业业务务层层面面控控制制测测试试货货币币资资金金管管理理日日期期：编编制制人人： 项项

30、目目：业业务务层层面面控控制制测测试试货货币币资资金金管管理理 时时间间/ /期期间间：日日期期：复复核核人人： 时时间间/ /期期间间： 流流程程名名称称控控制制点点名名称称风风险险描描述述标标准准控控制制活活动动现现有有控控制制措措施施控控制制的的重重要要性性控控制制方方式式 控控制制频频率率 控控制制类类型型 内内控控设设计计有有效效性性 控控制制实实施施证证据据 tr506印章使用程序 可能导致资产损失、法律诉 讼或信用损失。 按规定需要由有关负责人签字或盖章的经济业务与事项，必须严格履 行签字或盖章手续，用章必须履行相关的审批手续并进行登记。 关键性控制人工控制 业务发生 时 预防性

31、控制 tr5票据和印章控制 页页次次：索索引引号号： 日日期期：编编制制人人： 日日期期：复复核核人人： 控控制制测测试试 控控制制文文件件的的文文件件号号及及 名名称称 是是否否发发现现 缺缺陷陷( (是是/ / 否否) ) 缺缺陷陷描描述述测测试试步步骤骤测测试试方方法法样样本本总总量量 样样本本发发生生频频 率率 样样本本量量测测试试页页链链接接 执执行行有有效效性性 - -第第一一轮轮 （是是/ /否否） 发发现现描描述述- - 第第一一轮轮 执执行行有有效效性性 - -第第二二轮轮 （是是/ /否否） 发发现现描描述述- - 第第二二轮轮 内内部部控控制制了了解解和和测测试试风风险险

32、控控制制矩矩阵阵 内内控控设设计计有有效效性性 页页次次：索索引引号号： 日日期期：编编制制人人： 日日期期：复复核核人人： 控控制制测测试试 控控制制文文件件的的文文件件号号及及 名名称称 是是否否发发现现 缺缺陷陷( (是是/ / 否否) ) 缺缺陷陷描描述述测测试试步步骤骤测测试试方方法法样样本本总总量量 样样本本发发生生频频 率率 样样本本量量测测试试页页链链接接 执执行行有有效效性性 - -第第一一轮轮 （是是/ /否否） 发发现现描描述述- - 第第一一轮轮 执执行行有有效效性性 - -第第二二轮轮 （是是/ /否否） 发发现现描描述述- - 第第二二轮轮 页页次次：索索引引号号：

33、 日日期期：编编制制人人： 日日期期：复复核核人人： 控控制制测测试试 控控制制文文件件的的文文件件号号及及 名名称称 是是否否发发现现 缺缺陷陷( (是是/ / 否否) ) 缺缺陷陷描描述述测测试试步步骤骤测测试试方方法法样样本本总总量量 样样本本发发生生频频 率率 样样本本量量测测试试页页链链接接 执执行行有有效效性性 - -第第一一轮轮 （是是/ /否否） 发发现现描描述述- - 第第一一轮轮 执执行行有有效效性性 - -第第二二轮轮 （是是/ /否否） 发发现现描描述述- - 第第二二轮轮 页页次次：索索引引号号： 日日期期：编编制制人人： 日日期期：复复核核人人： 控控制制测测试试

34、控控制制文文件件的的文文件件号号及及 名名称称 是是否否发发现现 缺缺陷陷( (是是/ / 否否) ) 缺缺陷陷描描述述测测试试步步骤骤测测试试方方法法样样本本总总量量 样样本本发发生生频频 率率 样样本本量量测测试试页页链链接接 执执行行有有效效性性 - -第第一一轮轮 （是是/ /否否） 发发现现描描述述- - 第第一一轮轮 执执行行有有效效性性 - -第第二二轮轮 （是是/ /否否） 发发现现描描述述- - 第第二二轮轮 内内部部控控制制了了解解和和测测试试风风险险控控制制矩矩阵阵内内部部控控制制了了解解和和测测试试风风险险控控制制矩矩阵阵 被被审审计计单单位位：页页次次：索索引引号号：

35、 项项目目：业业务务层层面面控控制制测测试试采采购购与与付付款款日日期期：编编制制人人： 时时间间/ /期期间间：日日期期：复复核核人人： 流流程程名名称称控控制制点点名名称称风风险险描描述述标标准准控控制制活活动动现现有有控控制制措措施施控控制制的的重重要要性性控控制制方方式式控控制制频频率率控控制制类类型型 pe1采购控制 pe101建立采购制度文档 以规范采购流程 缺乏采购管理制度或采购制度制定 不完善，导致采购业务职责权限不 清晰，采购业务流程不规范。 建立采购政策相关制度，明确采购业务职责分工，规范采购业务流程 。 关键性控制人工控制不适用预防性控制 pe102采购业务不相容职 务严

36、格分离 采购业务不相容职责没有分离，导 致存在操作漏洞，易给企业带来经 济损失。 采购业务不相容权限分离包括： 1.请购与审批。企业物品采购应由使用部门根据其需要提出申请，并 经分管采购工作的负责人进行审批。 2.供应商的选择与审批。企业应由采购部门和相关部门共同参与询价 程序并确定供应商，但是决定供应商的人员不能同时负责审批。 3.采购合同协议的拟订、审核与审批。企业应由采购部门下订单或起 草购货合同并经授权部门或人员审核、审批。 4.采购、验收与相关记录。企业采购、验收与会计记录工作职务应当 分离，以保证采购数量的真实性和采购价格、质量的合规性、采购记 录和会计核算的正确性。 5.付款的申

37、请、审批与执行。企业付款的审批人与付款的执行人职务 应当分离，付款方式不恰当、执行有偏差，可能导致企业资金损失或 信用受损。 关键性控制人工控制业务发生时 预防性控制 pe2供应商控制 pe201供应商资源及价格 信息管理工作完善 供应商资源及价格信息搜集不全面 ，导致企业遗漏部分优质供应商、 采购价格偏高或采购物资不符合经 营需求。 1、制定供应商管理制度，明确供应商选择标准； 2、供应商资源信息由专人负责搜集。 3、企业物资采购部应建立物资采购价格数据，及时收集相关物资的价 格信息，定期发布物资采购的指导价格和参考价格，作为物资采购的 主要依据。 一般性控制人工控制业务发生时 预防性控制

38、pe202供应商评审经过适 当审批 没有经过供应商评审或没有经过适 当审批，导致企业选择选择劣质供 应商，从而引发产品质量不合格、 材料数量与订单数量不一致、售后 服务无法保证、供货时间无法保证 、影响生产、售后服务无法保证及 发生舞弊行为等。 1、组成评选小组对供应商进行评估，根据供应商选择标准进行讨论， 选出合适的供应商； 2、对于重要物资供应商，通过实地考察或聘请外部专家等方式来确定 合格供应商清单； 3、供应商评选小组成员在供应商评价表上签字确认评审意见； 4、合格供应商名单经管理层审核批准后生效。 一般性控制人工控制每半年预防性控制 pe203供应商维护及数据 更新经过严格审批 供应

39、商数据没有及时更新或调整， 可能导致公司仍使用不合格的供应 商。 1、采购部定期对供应商进行定期评价（物资质量、交货时间、售后服 务等），形成评价报告； 2、对不合格供应商的淘汰，需经适当的管理层审批； 3、供应商数据的更改由专人进行，且更改后的供应商资料由独立于更 改者的人员复核，确保其正确性。 一般性控制人工控制业务发生时 预防性控制 供应商数据变更没有在适当期间进 行适当处理 1、采购部及时将更改后的且经适当审批的供应商清单提交至财务部； 2、财务部核对供应商评估报告、检查实际更改情况和更改申请表是否 一致、所有变更是否得到适当审批以及编号记录表是否正确，在供应 商信息评估报告和编号记录

40、表上签字作为复核的证据。 一般性控制人工控制业务发生时 预防性控制 pe204供应商档案严格管 理 供应商档案资料泄露，可能给公司 带来损失。 1、制订供应商档案的保密政策； 2、通过系统权限设置来控制供应商信息的接触。 一般性控制人工控制业务发生时 检查性控制 内内部部控控制制了了解解和和测测试试风风险险控控制制矩矩阵阵内内部部控控制制了了解解和和测测试试风风险险控控制制矩矩阵阵 被被审审计计单单位位：页页次次：索索引引号号： 项项目目：业业务务层层面面控控制制测测试试采采购购与与付付款款日日期期：编编制制人人： 时时间间/ /期期间间：日日期期：复复核核人人： 流流程程名名称称控控制制点点

41、名名称称风风险险描描述述标标准准控控制制活活动动现现有有控控制制措措施施控控制制的的重重要要性性控控制制方方式式控控制制频频率率控控制制类类型型 pe3采购定价控 制 pe301采购定价合理，符 合公司正常 采购定价不合理，可能导致公司资 产损失或发生舞弊。 1、明确采购定价方式，如询价比价或招投标定价等； 2、采购定价经过适当的询价或招投标程序，并有书面记录； 3、产品采购定价需经适当的管理层审批。 一般性控制人工控制业务发生时 预防性控制 pe302采购定价及时更新 缺乏对重要物资品种价格的跟踪监 控，引起采购价格不合理，或高质 量物资无法有效引进。 1、建立基准采购价格标准； 2、基准采

42、购定价应定期更新，基准采购定价的更新经管理层批准后执 行。 一般性控制人工控制每年预防性控制 pe3采购计划与 预算控制 pe401采购计划编制合理 并经适当审批 采购行为缺乏计划性或没经过适当 审批，导致存货资金占用过大或缺 货，影响生产及销售。 1、采购部门根据生产计划、库存情况及销售需求等综合因素，编制采 购计划； 2、采购计划应包括以下内容：采购品种、数量、价格、质量要求以及 批量进度安排； 3、采购计划经过适当审批后执行； 4、计划外采购需经xx部门复核，由xx批准后执行。 5、特殊原因需取消请购申请时，原请购部门应通知采购部门停止采购 ，采购部门应在原请购单上加盖“撤销”印章，并退

43、回给请购部门。 关键性控制人工控制每年预防性控制 pe402采购预算编制合理 并经适当审批 采购预算制定不合理，审批程序不 严格，可能导致采购预算制定随意 、调整频繁，预算失去严肃性和硬 约束，给公司带来巨大财务压力或 支付款难等风险。 1、财务部参与采购计划中资金预算的编制过程部分，协调资金需求的 可行性与购货紧迫性之间的关系； 2、根据采购管理制度，明确采购预算审批权限，采购预算经过适当审 批后执行； 3、对于确需调整预算或预算超额时，需经总经理审批，且变更的采购 预算送至财务部备案。 一般性控制人工控制每年预防性控制 pe403采购计划与预算有 效执行 采购工作没有按照计划执行，可能 导

44、致影响生产工作的有序开展或资 金低效率运作。 1、采购部定期编制实际采购与计划的差异报告，详细说明存在的重大 差异，由适当的管理层审阅； 2、财务部编制的资金计划差异报告中单列采购资金计划与实际比较数 据。 一般性控制人工控制每年预防性控制 pe404采购计划与预算调 整合理并经适当审批 采购计划与预算调整不合理，缺乏 依据或没有经过适当审批，影响生 产的有序开展。 1、采购计划与预算的变更需要有依据，并且由xxx部门复核后，由高 管层批准； 2、变更且经审批的采购计划与预算发送至生产部、财务部备案。 一般性控制人工控制每半年预防性控制 pe4采购招标控 制 pe405招投标符合相关法 律法规

45、 没有按照相关法律法规或公司相关 规定开展招标工作，可能会导致违 反相关招投标规定，产生法律风险 。 1、招投标工作符合国家招投标法律法规； 2、严格按照公司招投标管理办法中对于各类项目招标限额及审批 程序进行招标。 一般性控制人工控制不适用预防性控制 pe406招投标过程公正、 透明 招投标过程不公开透明，导致舞弊 发生。 1、公司招标实行“招、评、定”三分离的原则；审计监察部对招标过 程合规性过程进行审核，出具审计监察书； 2、招标办公室将评标结果报定标委员会进行定标，做好定标会议纪录 ,定标会议纪要由定标领导小组组长签发。 一般性控制人工控制业务发生时 预防性控制 pe5采购合同控 制

46、pe501采购合同订立符合 法律和公司规定，并经 有效审批 公司采购合同不完整，或没有经过 适当审批，可能存在潜在的法律风 险或出现不应承担的约束。 1、公司制定模块化的标准合同模板，标准合同模板由公司法律顾问在 xx部门协助下制订，由高级管理层签字批准； 2、供应部牵头，xx部门及领导就与生产商、配送商签订合同中明确品 种、规格、数量、价格、回款时间、履约方式及违约责任等事宜进行 审核与审批； 3、采购合同的修改需经双方书面的确认，并经适当的审批。 关键性控制人工控制业务发生时 预防性控制 内内部部控控制制了了解解和和测测试试风风险险控控制制矩矩阵阵内内部部控控制制了了解解和和测测试试风风险

47、险控控制制矩矩阵阵 被被审审计计单单位位：页页次次：索索引引号号： 项项目目：业业务务层层面面控控制制测测试试采采购购与与付付款款日日期期：编编制制人人： 时时间间/ /期期间间：日日期期：复复核核人人： 流流程程名名称称控控制制点点名名称称风风险险描描述述标标准准控控制制活活动动现现有有控控制制措措施施控控制制的的重重要要性性控控制制方方式式控控制制频频率率控控制制类类型型 pe502确保采购的完整性 、准确性以及业务真实 没有严格履行采购合同，或监督合 同履行情况，可能发生违约现象， 对公司或相关方如生产商、配送商 带来不利影响。 严格履行合同，杜绝无故延期付款、克扣款项、要求高额让利等行

48、为 ，同时监督生产商、配送商履约情况，发现问题及时处理。 一般性控制人工控制业务发生时 预防性控制 pe503采购合同更改符合 管理层意图 采购合同未经授权随意更改，导致 不符合管理层意图和产生潜在的利 益损失。 采购合同的修改需要经过适当的审批及授权。关键性控制人工控制业务发生时 预防性控制 pe504所有签订的采购合 同得到妥善的保管 采购合同没有得到妥善处理，可能 存在合同丢失、损坏或敏感信息泄 露。 1、采购合同连续编号，并进行妥善归档保管； 2、供货商签返的合同/订单被妥善的归档保管； 3、合同的借阅设置权限，并在登记簿上记录借阅人的签名和日期。 一般性控制人工控制每年预防性控制 p

49、e6采购订单执 行控制 pe601保证原料的采购数 量及质量等符合公司的 生产和营运需要 原料采购的数量和质量与采购订单 不符，可能导致采购了不需要的物 资或占用公司资金、资产利用效率 低。 1、采购订单需经使用部门及管理层的适当审批； 2、设置专人核对采购需求是否与采购计划匹配； 3、设置专人制作采购订单情况汇总表，并定期与采购计划核对，对超 采购计划的事项进行跟踪； 4、紧急采购有审批和申报流程，并由专人定期复核，分析频度等。 关键性控制人工控制业务发生时 预防性控制 pe602保证所有的物资采 购都已按时执行 采购订单没有严格执行，可能导致 物资不能及时到位，影响生产。 1、采购订单连续

50、编号，设置人员定期对已完成的订单作相应标记，检 查是否有长期未完成的订单，并进行调查； 2、已完成的订单作相应标记，专人定期检查是否有长期未完成的订单 ，并进行调查； 3、设置专人制作采购订单情况汇总表，并定期与采购计划核对，对长 期未完成订单进行分析。 关键性控制人工控制每半年预防性控制 pe602保证备品备件、低 值易耗品的采购符合公 司的政策及使用需要 公司备品备件、低值易耗品的采购 不符合够公司需求，可能导致公司 资源浪费。 1、公司应制定备品备件采购的程序，并设置适当的审批权限； 2、备品备件的采购需经使用部门及适当审批权限的管理层批准； 3、备品备件采购集中由采购部门执行； 4、备

51、品备件应向经批准的供货商进行采购； 5、设置专人定期制作备品备件采购金额分析表并进行分析，对异常波 动进行分析。 一般性控制人工控制业务发生时 预防性控制 pe603完整准确地记录已 批准的采购订单 采购订单没有准确、完整记录，可 能导致账实不符。 1、采购订单预先编号并登记； 2、由不负责输入采购订单的人员比较采购订单数据与支持性文件(如 请购单)是否相符。 关键性控制人工控制业务发生时 预防性控制 pe7采购验收及 退回控制 pe701确保验收环节规范 ，按相关程序进行验收 采购验收标准不明确、验收程序不 规范，验收人员过程中存在舞弊行 为，对验收中存在的异常情况不作 处理，可能造成账实不

52、符或质量不 合格。 由独立的验收部门或指定专人对所购物品品种、规格、数量、质量等 进行验收，验收合格后，验收人员开具验收单，参加验收人员在验收 单上签字确认。 一般性控制人工控制业务发生时 预防性控制 pe702不符合采购订单的 供货商送货，按公司政 策及时处理 确保对不合格的物资与供应商协商 退货处理，避免给因采购物资质量 不合格，引发安全事故等。 1、对有质量问题的物资要做出记录，及时向供应商反馈，坚决杜绝不 合格物资投入使用； 2、验收不合格的物资不得办理入库手续，通知供应部做出退货处置方 案，重大合同出现问题需要经总经理或董事会审批后执行。 一般性控制人工控制业务发生时 预防性控制 p

53、e5采购合同控 制 内内部部控控制制了了解解和和测测试试风风险险控控制制矩矩阵阵内内部部控控制制了了解解和和测测试试风风险险控控制制矩矩阵阵 被被审审计计单单位位：页页次次：索索引引号号： 项项目目：业业务务层层面面控控制制测测试试采采购购与与付付款款日日期期：编编制制人人： 时时间间/ /期期间间：日日期期：复复核核人人： 流流程程名名称称控控制制点点名名称称风风险险描描述述标标准准控控制制活活动动现现有有控控制制措措施施控控制制的的重重要要性性控控制制方方式式控控制制频频率率控控制制类类型型 pe703已收产品的退回经 过合理的手续 已收产品退回手续不合理，可能导 致客户不承认收到退货或公

54、司资产 损失。 1、对于验收发现不合格产品时，采购部应及时联系财务部，确认公司 是否已部分或全部付款，若已付款，与财务部保持联系尽快收回货款 入帐； 2、所有出库的产品应有适当的签收； 3、xx部门对退回货物的损失进行分析，并定期分析发生原因，并递交 至适当管理层，适当管理层对退回货物的损失进行核准； 4、所有运输产品的交通工具出厂都应经安全人员检查放行手续是否完 备。 一般性控制人工控制业务发生时 预防性控制 pe704收货及退回正确、 完整、及时地记录 收货、退货记录不准确、不完整、 不及时，影响财务信息的准确性。 1、收货人以外的人员应复核收货人的清点工作，审核收货人填写的入 库单，并在

55、入库单上签字； 2、入库单、采购退回单是连续编号的，定期检查其是否连续使用； 3、对在会计期末前后发生的收货及退货进行追踪和必要的调节，以确 保仓库账上收货及退回的记录在正确的会计期内； 4、仓库应及时将入库及退回的信息传递给采购部门、生产部门、财务 部门等等相关部门。 一般性控制人工控制每半年检查性控制 pe8应付账款与 采购付款控制 pe801只有当定购的物资 已被提供，才可以记录 应付款 采购物资没有到位而进行了应付账 款记录，可能导致公司不恰当的承 担了债务或因舞弊导致公司资产损 失。 1、物资提供后，应有相关人员在发票上签字确认，并经管理层审核； 2、财务人员核对发票和相应的其它支持

56、文件（如合同、订单等）是否 一致，发票的确认及审核手续是否完备，只有符合要求的才可记录应 付款； 3、应付款凭证入账前应经制作人以外的财务人员复核； 4、实际物资采购费用应定期与预算比较，由管理层复核并签字。 一般性控制人工控制每日多次预防性控制 pe802所有采购产品的应 付款都正确、完整、及 时地（在恰当的会计期 内）记入 采购应付账款没有正确、完整、及 时记录，可能导致公司没有及时确 认负债、公司财务信息不准确。 1、财务人员应核对发票和相应的入库单、订单（或合同）是否一致， 各单据的审批手续是否完备，只有符合要求的才可记录应付款； 2、应付款凭证入账前应经制作人以外的财务人员复核； 3

57、、实际采购数量应定期与预算比较，由管理层复核及批准重大的波动 ； 4、入库单应事先连续编号，并设置人员对其连续使用情况检查； 5、对在会计期前后发生的入库进行追踪和必要的调节，以确保入库产 品的应付款记录于正确的会计期； 6、设置专人制作已入库发票未到以及采购产品物权已转至公司但未运 达情况清单，并经适当的管理层复核后，预估入账； 7、对于从供货商发来的对账单应与应付款明细账核对，并制作调节表 ，有差异的应查明原因。 一般性控制人工控制业务发生时 预防性控制 pe803采购付款应符合公 司的政策及手续 采购付款程序不规范，可能导致货 款支付不符合公司政策，或可能因 舞弊导致公司资产损失。 1、

58、支付由申请人提出申请，部门负责人审批，以及按不同金额由不同 授权的管理层批准； 2、设置专人审核应付款的支付是否符合公司的资金使用计划； 3、采购支付金额应定期与现金预算进行比较，对重大差异应进行必要 的调查； 4、超现金预算的支付应由高级管理层批准。 一般性控制人工控制业务发生时 预防性控制 pe804确保采购金额记录 的完整性、准确性以及 业务真实 采购金额记录不完整、不准确，易 出现资金流失或财务报表不真实。 财务部相关人员审核采购合同、采购单、验收入库单，对相关文件记 录内容及数据的匹配性进行核查。 关键性控制人工控制每半年检查性控制 pe7采购验收及 退回控制 内内部部控控制制了了解

59、解和和测测试试风风险险控控制制矩矩阵阵内内部部控控制制了了解解和和测测试试风风险险控控制制矩矩阵阵 被被审审计计单单位位：页页次次：索索引引号号： 项项目目：业业务务层层面面控控制制测测试试采采购购与与付付款款日日期期：编编制制人人： 时时间间/ /期期间间：日日期期：复复核核人人： 流流程程名名称称控控制制点点名名称称风风险险描描述述标标准准控控制制活活动动现现有有控控制制措措施施控控制制的的重重要要性性控控制制方方式式控控制制频频率率控控制制类类型型 pe805所有已支付的应付 款都正确、完整、及时 地（在恰当的会计期内 ）记录 已支付的应付款没有正确、完整、 及时地记录，导致财务信息不准

60、确 。 1、应付账款的支付凭证应由制作人以外的财务人员核对相应的审批单 据； 2、对于从供货商发来的对账单应与应付款明细账核对，并制作调节表 ，有差异的应查明原因。 关键性控制人工控制每半年检查性控制 pe806应付账款正确地披 露 应付账款财务报表披露不准确。 会计期末制作应付账款清单，由专人检查余额为负数的明细客户，并 在制作报表时做必要的重分类。 关键性控制人工控制每半年检查性控制 pe8应付账款与 采购付款控制 被被审审计计单单位位：页页次次：索索引引号号： 项项目目：业业务务层层面面控控制制测测试试采采购购与与付付款款日日期期：编编制制人人： 时时间间/ /期期间间：日日期期：复复核