内部控制测试管理培训知识材料

1、 北京安必盛会计师事务所北京安必盛会计师事务所20212021年年8 8月月1北京安必盛会计师事务所控制活动控制活动 为管理和减少风险而制定的政策制度和程序贯穿整个公司范围、所有层次以及所有职能措施包括审批、授权、复核经营业绩、资产保护和职责分工监督监督评估内部控制运行有效性定期监控执行情况与独立评估相结合发现内控不足的改进报告控制环境控制环境 是其他内部控制组成部分的基础认定整个组织的基调，影响着员工的控制意识包括员工胜任能力、组织结构、人力资源政策等因素信息和沟通信息和沟通确保经营和财务信息的准确性、完整性和及时性获取内部和外部的信息有效的内部、外部信息沟通与交流, 以促成有效的控制活动风

2、险评估风险评估风险评估是对相关风险进行鉴别以及分析，以达成企业目标、形成决定控制活动的基础监控信息和沟通控制活动风险评估控制环境营运财务报告合规性业业务单单位位A业业务单单位位B活活动动2活活动12北京安必盛会计师事务所股份公司监督要素股份公司监督要素管理规范性文件管理规范性文件内部控制体系评价内部控制体系评价规范规范 1.1. 内部控制体系评价概述内部控制体系评价概述 2. 内部控制体系评价范围的确定 3. 3. 内部控制测试指南内部控制测试指南 4. 缺陷评估指南 5. 评价报告指南 3北京安必盛会计师事务所第一部分 内部控制体系评价概述第二部分 内部控制测试概述第三部分 业务层面控制测试

3、第四部分 内部控制制测试经验分享4北京安必盛会计师事务所第一部分 内部控制体系评价概述 1.1 内部控制评价概念 1.2 内部控制评价基本依据 1.3 内部控制评价基本原则 1.4 内部控制评价基本方法5北京安必盛会计师事务所4 内部控制体系评价是按照规定的程序、方法和标准，对内部控制体系评价是按照规定的程序、方法和标准，对已经建立和实施的内部控制体系，从设计有效性和执行有效已经建立和实施的内部控制体系，从设计有效性和执行有效性两个方面对财务报告内部控制有效性进行测试、评估和报性两个方面对财务报告内部控制有效性进行测试、评估和报告的过程。告的过程。4 从概念中我们可以得出，内部控制评价是一个过

4、程，是从概念中我们可以得出，内部控制评价是一个过程，是一个对内部控制设计有效性和执行有效性进行测试、评估和一个对内部控制设计有效性和执行有效性进行测试、评估和报告的过程。报告的过程。6北京安必盛会计师事务所内部控制评价的概念包含了以下两方面的内容：内部控制评价的概念包含了以下两方面的内容： 1. 1. 内部控制体系评价的目标内部控制体系评价的目标 开展内部控制体系评价的基本目标是确定内部控制的有效性。开展内部控制体系评价的基本目标是确定内部控制的有效性。 股份公司开展内部控制体系评价的基本目标是：确认财务报告内部股份公司开展内部控制体系评价的基本目标是：确认财务报告内部控制方面是否存在控制缺陷

5、，判断内部控制体系是否有效。控制方面是否存在控制缺陷，判断内部控制体系是否有效。 地区公司内控评价的目标是通过查找内部控制设计和执行有效性方地区公司内控评价的目标是通过查找内部控制设计和执行有效性方面的不足，一方面作好落实整改工作，为确保内控体系有效性提供合理面的不足，一方面作好落实整改工作，为确保内控体系有效性提供合理保证；另一方面对发现的保证；另一方面对发现的内控体系中与相应规范、标准、要求之间存在内控体系中与相应规范、标准、要求之间存在的偏差（即例外事项）进行分析，为缺陷认定工作奠定基础。通过地区的偏差（即例外事项）进行分析，为缺陷认定工作奠定基础。通过地区公司评价，为地区公司发表内控有

6、效性声明提供依据。公司评价，为地区公司发表内控有效性声明提供依据。7北京安必盛会计师事务所 2. 2. 内部控制评价的内容内部控制评价的内容 内部控制评价包括内控测试、内部控制评价包括内控测试、缺陷评估和评价报告等。缺陷评估和评价报告等。 1 1）内部控制测试是按照规定的程序、方法和标准，针对财务报告控）内部控制测试是按照规定的程序、方法和标准，针对财务报告控制目标，对公司内部控制体系设计有效性和执行有效性进行检查，旨在制目标，对公司内部控制体系设计有效性和执行有效性进行检查，旨在发现内部控制体系在设计层面和执行层面是否存在偏差。发现内部控制体系在设计层面和执行层面是否存在偏差。 2 2）缺陷

7、评估是以规定的程序、方法和标准，对内部控制测试发现的）缺陷评估是以规定的程序、方法和标准，对内部控制测试发现的例外事项进行综合分析，进而评估内部控制是否存在缺陷以及导致财务例外事项进行综合分析，进而评估内部控制是否存在缺陷以及导致财务报告错报的影响程度和发生可能性的过程。报告错报的影响程度和发生可能性的过程。 3 3）评价报告是在测试和缺陷评估结果的基础上，根据公司对外披露）评价报告是在测试和缺陷评估结果的基础上，根据公司对外披露和内部控制管理的不同需要，对财务报告内部控制有效性进行综合或者和内部控制管理的不同需要，对财务报告内部控制有效性进行综合或者单独评价及报告的过程。（见下图单独评价及报

8、告的过程。（见下图 ）8北京安必盛会计师事务所4控制评价图控制评价图内控测试内控测试缺陷评估缺陷评估设计有效设计有效性性执行有效执行有效性性评价报告评价报告方法：方法： 询询问、观察、问、观察、检查、再执检查、再执行行标准：标准：定性、定量定性、定量要素：总体情要素：总体情况，运行情况，况，运行情况，例外事项，整例外事项，整改建议改建议实质性漏实质性漏洞洞重大缺陷重大缺陷一般缺陷一般缺陷9北京安必盛会计师事务所 1. 国家法律、法规以及规章制度国家法律、法规以及规章制度 公司内部控制体系评价必须遵循国家法律、法规以及相公司内部控制体系评价必须遵循国家法律、法规以及相关规章制度。主要包括：关规章

9、制度。主要包括： 1）中华人民共和国会计法）中华人民共和国会计法 2）内部会计控制基本规范）内部会计控制基本规范 3）中央企业总会计师工作职责管理暂行办法）中央企业总会计师工作职责管理暂行办法 4）国资委中央企业全面风险管理指引、财政部企业内部控）国资委中央企业全面风险管理指引、财政部企业内部控制基本规范制基本规范10北京安必盛会计师事务所 2. 上市地法律法规及监管机构的规定上市地法律法规及监管机构的规定 中国石油天然气股份作为在纽约证券交易所、香港联合交易所及上海证中国石油天然气股份作为在纽约证券交易所、香港联合交易所及上海证券交易所挂牌上市的公司，内部控制体系评价还应当遵循上市地法律法规

10、券交易所挂牌上市的公司，内部控制体系评价还应当遵循上市地法律法规及监管机构的规定。主要包括：及监管机构的规定。主要包括： 1）美国萨班斯）美国萨班斯奥克斯利法案奥克斯利法案 2）美国证券交易委员会（）美国证券交易委员会（SEC）解释性指南）解释性指南 3）美国上市公司会计监管委员会（）美国上市公司会计监管委员会（PCAOB）审计准则）审计准则5号号 4）香港联交所公司治理实务和公司治理报告的准则）香港联交所公司治理实务和公司治理报告的准则 5）上海证券交易所上海证券交易所上市公司内部控制指引）上海证券交易所上海证券交易所上市公司内部控制指引11北京安必盛会计师事务所 3. 3.公司内部控制体系

11、及其他相关规定公司内部控制体系及其他相关规定 公司以公司以COSOCOSO内部控制整体框架为基础，融合内部控制整体框架为基础，融合COSOCOSO企业风险企业风险管理整体框架的主要内容，结合国家监管部门的基本要求，建管理整体框架的主要内容，结合国家监管部门的基本要求，建立了包括体系框架、控制环境、风险评估、控制活动、信息与立了包括体系框架、控制环境、风险评估、控制活动、信息与沟通和监督六大部分在内的内部控制体系，是公司开展内部控沟通和监督六大部分在内的内部控制体系，是公司开展内部控制体系评价的依据，同时，与公司内部控制相关的其他管理规制体系评价的依据，同时，与公司内部控制相关的其他管理规章，也

12、是公司开展内部控制体系评价的依据。章，也是公司开展内部控制体系评价的依据。12北京安必盛会计师事务所 内部控制评价的基本原则有以下几点：内部控制评价的基本原则有以下几点： 1. 1.合规性原则：符合国内外有关法律法规的要求。合规性原则：符合国内外有关法律法规的要求。 2. 2.有效性原则：能够针对内部控制有效性进行合理评价并具有可操作有效性原则：能够针对内部控制有效性进行合理评价并具有可操作性。性。 3. 3.重要性原则：重点针对内部控制的重要风险和关键控制进行评价。重要性原则：重点针对内部控制的重要风险和关键控制进行评价。 4. 4.完整性原则：从设计层面和执行层面对内部控制体系的有效性进行

13、完整性原则：从设计层面和执行层面对内部控制体系的有效性进行评价。评价。 5. 5.适应性原则：随法律法规的变化、外部环境和内部控制体系的变化适应性原则：随法律法规的变化、外部环境和内部控制体系的变化而调整。而调整。 6. 6.成本效益原则：以合理的评价成本实现可靠的评价效果。成本效益原则：以合理的评价成本实现可靠的评价效果。 13北京安必盛会计师事务所 公司按照公司按照“自上而下、风险导向自上而下、风险导向”的基本方法，组织开展的基本方法，组织开展公司内部控制体系评价。公司内部控制体系评价。 1.自上而下是指在进行内控体系评价时，从财务报告层自上而下是指在进行内控体系评价时，从财务报告层面和公

14、司层面控制开始，依据公司财务报告确定重要会计科面和公司层面控制开始，依据公司财务报告确定重要会计科目和披露事项，确定重要业务流程，开展相关财务报表认定，目和披露事项，确定重要业务流程，开展相关财务报表认定，然后确定需要测试的重要业务流程相关的重要风险和关键控然后确定需要测试的重要业务流程相关的重要风险和关键控制。同时，在确定测试单位的基础上，进而确定地区公司的制。同时，在确定测试单位的基础上，进而确定地区公司的重要会计科目、重要业务流程、具体测试单位以及测试具体重要会计科目、重要业务流程、具体测试单位以及测试具体内容。内容。14北京安必盛会计师事务所 2 2风险导向是指在内部控制体系评价过程中

15、，始终以风险导向是指在内部控制体系评价过程中，始终以风险评估为基础，重点关注与财务报告重大错报、漏报相关风险评估为基础，重点关注与财务报告重大错报、漏报相关的重要风险和关键控制。的重要风险和关键控制。 “ “自上而下、风险导向自上而下、风险导向”的基本方法，可以以较低的评的基本方法，可以以较低的评价成本，最大限度发现财务报告内部控制存在的实质性漏洞。价成本，最大限度发现财务报告内部控制存在的实质性漏洞。“自上而下、风险导向自上而下、风险导向”作为内部控制体系评价的基本方法作为内部控制体系评价的基本方法和一种评价理念，始终贯穿于整个内部控制体系评价的测试、和一种评价理念，始终贯穿于整个内部控制体

16、系评价的测试、缺陷评估和评价报告的全过程之中。（见下图）缺陷评估和评价报告的全过程之中。（见下图）15北京安必盛会计师事务所识别具有识别具有影响的控制影响的控制财务报告要素财务报告要素公司层面控制公司层面控制业务活动层面控制业务活动层面控制信息技术控制信息技术控制会计科目风险会计科目风险财务报表认定风险财务报表认定风险流程风险流程风险经营主体、经营场所风险经营主体、经营场所风险确定风险确定风险评估范围评估范围重要会计科目重要会计科目重要业务流程重要业务流程进行相关财务报表认定进行相关财务报表认定识别重要科目识别重要科目关键流程关键流程确定测试确定测试涵盖的范围涵盖的范围重要业务流程的重要风险重

17、要业务流程的重要风险关键控制关键控制企事业单位所属单位测试企事业单位所属单位测试范围范围确定测试单位确定测试单位确定测试的具体内容确定测试的具体内容16北京安必盛会计师事务所第二部分 内部控制测试概述 2.1 有关概念 2.2 内部控制测试的分类 2.3 内部控制测试的基本方法 2.4 内部控制测试的组织17北京安必盛会计师事务所内部控制测试 内部控制测试是围绕内控体系评价的目标，按照规定的程序、方法和标准，对内部控制体系，从设计有效性和执行有效性两个方面对内部控制有效性进行测试 内部控制测试目的是查找内部控制设计和执行方面的问题，为内部控制体系有效性提供合理保证 内部控制测试依据是股份公司内

18、部控制管理手册、地区公司分册及当年确定的测试范围 18北京安必盛会计师事务所例外事项 例外事项是指内部控制体系设计层面和执行层面与相应的规范、标准、要求之间存在的偏差。19北京安必盛会计师事务所内控测试分类测试组织管理层测试外部审计测试自我测试十七主题跟单测试关键控制应用控制电子表格总体控制测试内容公司层面设计有效性业务层面信息层面20北京安必盛会计师事务所 管理层测试管理层测试是针对股份公司业务单位内部控制设计和运行的有效性，由管理层授权审计部和内控与风险管理部具体实施的检查过程，根据管理层测试及其缺陷评估的结果出具管理层自我评估报告并对外披露。管理层测试分两个阶段进行。第一阶段管理层测试由

19、审计部负责，第二阶段管理层测试由内控与风险管理部负责，具体包括改进测试、补充测试、更新测试以及年度财务报告控制测试。21北京安必盛会计师事务所 地区公司自我测试 是由地区公司总经理授权相关部门组织实施的、针对本单位内部控制设计和运行的有效性实施的检查过程。自我测试应满足以下要求： 自我测试应坚持以风险为导向，兼顾覆盖面，重点关注高风险领域和业务薄弱环节。地区公司对所属单位进行的自我测试，单位覆盖率不低于50%；每个测试单位的重要业务流程覆盖率不低于70%，关键控制覆盖率要达到90%； 地区公司应在每年年初将自我测试计划报送内控部备案，年底将年度自我测试报告报送内控部审核； 地区公司的自我测试应

20、按照股份公司统一的标准和规范进行，测试计划、测试底稿和测试报告须纳入内控测试系统（AAM）。22北京安必盛会计师事务所外部审计师测试 外部审计师测试是审计师根据PCAOB的审计准则，为对公司的内控控制有效性发表意见而进行的独立测试。 外部审计师测试的测试范围确定方法与管理层测试一致，测试范围确定的结果可能与管理层一致，也可能与管理层测试略有不同。 外部审计师测试一般每年组织一次。23北京安必盛会计师事务所设计有效性是对于建立的内部控制体系，如果由符合条件的机构和人员按设计的要求去实施，能够有效地防范财务报告风险，为实现内部控制目标提供合理的保证通过内部控制设计有效性测试，能够查找内部控制设计方

21、面存在的问题，确保内控设计能有效地防范财务报告风险，达到财务报告控制目标，为内部控制执行评价提供基础。内部控制设计有效性测试可分别从股份公司层面和地区公司层面执行24北京安必盛会计师事务所公司层面控制测试4公司层面控制：公司层面控制是确保管理层获得在公司内部各个领域都有适当的控制机制在发挥作用的重要机制。公司层面控制的内容 公司层面控制涵盖COSO框架的五个要素及反舞弊六个方面，包括职业道德、高管基调、信访举报和违规处理、组织结构、权利和责任分配、培训、业绩考核、人力资源政策、岗位职责描述、董事会、审计委员会、风险评估过程、经营活动分析、信息与沟通、信息披露、内部审计和反舞弊程序与控制共十七个

22、主题。 公司层面控制测试目的：通过确定的各领域控制测试，查找设计和执行方面的问题，确保公司内部各个领域都有适当的控制机制在发挥作用25北京安必盛会计师事务所 业务层面控制测试 业务活动层面控制测试通过跟单测试（又称跟单作业）和关键控制测试两种方式对业务层面所有重要流程的设计有效性和执行有效性进行检查，目的是对业务层面所有重要流程的设计有效性以及所有重要流程和关键控制的执行有效性进行检查。26北京安必盛会计师事务所 信息系统总体控制测试 信息系统总体控制测试是对信息系统总体控制规定和信息系统总体控制实施办法规定的控制环境、信息安全、变更管理、项目建设管理、日常运作、最终用户操作等六个方面的内容进

23、行测试。 通过信息系统总体控制测试，检查是否根据集团公司信息系统总体控制管理文件的要求，执行了信息系统管理的各项控制活动，从而提高应用系统控制的有效性，确保信息系统支持的应用控制是可靠的、生成的数据和报告是可信的。27北京安必盛会计师事务所1. 内部控制测试的概念和内容2. 内部控制测试的基本方法3. 内部控制测试的组织4. 测试范围的确定5. 准备阶段6. 现场实施阶段7. 测试总结和报告28北京安必盛会计师事务所 询询问问 通过口头或书面的方式对执行控制的相关人员提出问题，根据被询问人的回答确定控制是否存在并有效运行，以及控制执行人对控制的理解程度。 再再执执行行 通过重新执行某项控制，检

24、查该控制实际执行结果是否准确的方法。检查应与询问结合运用，并进行适当的再执行程序，确认控制确实有效执行。 观观察察 针对正在执行的控制或步骤进行现场见证，从而判断控制是否存在并有效运行，并获取控制证据。 检检查查 通过查看与控制相关的文档性记录，判断控制有效性和控制执行总体情况的一种方法。 29北京安必盛会计师事务所 测试基本方法： 内部控制测试基本方法包括询问、观察、检查和再执行等。 询问是通过口头或书面的方式对执行控制的相关人员提出问题，根据被询问人的回答确定控制是否存在并有效运行，以及控制执行人对控制的理解程度。具体形式有访谈、调查问卷等。询问是确信水平最弱的一种测试方法，仅仅通过访谈不

25、能获得充分的证据，应该与其他测试方法同时运用30北京安必盛会计师事务所 测试基本方法： 观察是现场见证正在执行的控制，从而判断控制是否存在并有效运行 观察对测试接触性控制非常有用，比询问的确信水平高，应该与其他测试方法同时运用31北京安必盛会计师事务所 测试基本方法： 检查是通过查看与控制相关的文档性记录，对控制有效性做出判断 检查通常采用抽样测试的方法，抽样测试是以样本代表总体，通过检查样本，判断控制总体执行情况的一种方法 再执行是通过重新执行控制活动以确定控制是否有效。检查应与询问结合运用，并进行适当的再执行程序，确认控制确实有效执行32北京安必盛会计师事务所测试测试基本基本程序程序33北

26、京安必盛会计师事务所测试范围的确定： （1）概念 测试范围的确定是以风险为导向，根据不同板块的业务类型同时考虑各地区公司的业务差异，对地区公司及其所属单位公司层面、业务活动层面、信息系统总体控制的测试内容和测试单位进行确定的过程。 （2）作用 确定测试范围是开展管理层测试、地区公司自我测试和外部审计师测试的前提。34北京安必盛会计师事务所 测试基本程序： 各层面控制测试程序基本可以划分为准备阶段、实施阶段和总结阶段1.准备准备阶段阶段2.实施实施阶段阶段3.总结总结阶段阶段35北京安必盛会计师事务所 准备阶段是指从发出测试通知后，测试小 组成员进驻被测试单位开始，直至初步完 成测试计划的过程。

27、测试人员的准备被测试单位的准备36北京安必盛会计师事务所测试人员的准备了解总体情况取得并审阅内控管理相关文档编制测试计划37北京安必盛会计师事务所序号内容主要目的1了解总体情况1、公司整体运营环境；2、主要规章制度、内控组织机构、运行网络、职责划分；3、上年测试结果，以及以前年度主要例外事项及其整改情况；4、被测试单位以前年度或本年度已披露或发现的一些案例等；5、对内部控制设计进行初步了解。2取得并审阅内控管理相关文档检查是否遗漏重要业务流程和关键控制点。3编制测试计划协调双方的时间安排，编制测试计划表，提高测试效率。测试人员的准备38北京安必盛会计师事务所1.1.取取得得管管理理文文档档取得

28、总部和专业公司的关键控制管理文件，被测试单位的流程图、风险控制文档、程序文件、业务流程目录等相关文件。2.2.审审阅阅管管理理文文档档审阅风险控制文档、流程图等相关资料，初步了解业务活动及重要流程控制措施。将业务流程与股份公司确定的风险数据库进行对比，检查是否遗漏重要业务流程，确定流程记录和风险控制文档的完整性。在审阅的基础上，确定需要进行跟单作业的流程（包含关键控制点的流程）。如果被测试单位的流程图和风险控制文档不能使测试人员了解被测试单位的流程，应及时和被测试单位沟通并进一步理解内部控制文件描述的内容。测试人员的准备39北京安必盛会计师事务所序号计划表名称适用范围主要记录内容1公司层面/跟单测试计划表公司层面测试跟单测试记录测试分工、被测试部门、岗位及时间安排等。2XX测试计划表关键控制抽样测试信息系统总体控制测试电子表格测试权限测试需要测试的关键控制