德勤：管理大企业税务风险-企业税务内控系统测试

管理大企业税务风险.

企业税务内控系统测试主讲人：许柯谈亮卢强德勤华永会计师事务所声明许柯德勤华永商务与税务咨询效劳部合伙人中国注册会计师(CICPA)中国注册税务师(CICTA)德勤培训讲师：谈亮德勤华永企业险管理效劳部合伙人中国注册会计师(CICPA)国际注册内部测试师(CIA)国际注册内部控制自我评估师(CCSA)美国注册信息系统测试师(CISA)思科认证资深网络专员〔CCNA)德勤培训讲师：卢强博士德勤华永商务与税务咨询效劳部高级经理中国注册会计师(CICPA)中国注册税务师(CICTA)德勤培训讲师：议题

123主题一：企业风险管理和内部控制简介主题二：内控失效的典型案例分析主题三：常用的企业内控测试方法和辅助工具4主题四：大企业的税务风险内控测试简介管理大企业税务风险管理大企业税务风险.

对税务内控进行测试

是管理大企业税务风险的重要手段和必要手段纳税人寓管于测，以测促管

主题一：

企业风险管理和内部控制简介.风险管理根底知识——风险的定义风险因素事件影响目标业绩的内外部事件风险事件或环境负面影响实体目标业绩的可能性机遇事件产生及正面影响目标业绩的可能性环境影响风险物化可能性的环境或状态正面－向上负面－向下风险因素、事件、环境、机遇及风险定义事件有正面效应、负面效应或两者皆有具有负面效应的事件意味着会产生风险具有正面效应的事件可以抵消不利的影响或产生有利时机周边环境与风险产生的可能性紧密相关例如：劳动力未经培训可能导致频繁发生事故机遇支持创造价值或使价值持续管理层创造时机来支持战略或目标设置的程序，该行为可阐述为抓住机遇具有负面影响的事件会抵抗价值创造或者侵蚀已有价值具有负面影响的事件可能来源于看似存在正面效应的时机，如：客户需求量超过其生产能力

为什么要开展企业风险管理一般来说，企业风险管理是为了：可持续性开展—对单个业务风险或整体风险持续不断地进行识别、确认和评估优化资源分配－通过“风险比较〞，将业务方案和风险管理活动进行排序，基于风险业绩指标进行资源分配提高经营效率－使用集中的或共享的风险管理职能、躲避风险、简化流程及优化结构〔例如，系统，人员等〕改进内部沟通机制—有利于理顺汇报渠道，开展一套企业内部进行风险沟通的“共同语言〞稳定收益－通过提高对风险的定量分析及剩余风险的应对措施来稳定收益风险识别、风险评估、风险应对是全面风险管理的三个核心步骤；其中，－风险识别是管理根底，－风险评估是资源配置，－风险应对是企业价值的保护和再创造。风险管理的生命力在于与日常管理体系的结合，而非两张皮的概念。某央企提出的“以风险为导向，以流程为纽带，以内控为抓手，以制度为根底〞的四位一体，得到国资委高度赞扬。全面风险管理的三个核心步骤风险管理的根本流程——风险识别德勤风险智能地图行业普遍关键风险战略相关风险管理层关注风险识别关键风险的方法：业内同行关键风险调研企业战略目标相关的关键风险管理层关注的关键风险运用德勤风险智能地图进行风险匹配风险管理及内部控制调查问卷步骤1-风险识别：根据公司整体目标和职能部门目标，从管理企业风险和创造企业价值出发，识别、整理、分析与公司战略开展和业务流程最相关的关键风险。如何准确识别关键风险？风险管理及内控问卷风险管理的根本流程——风险评估步骤2-风险评估：按照风险评估标准，通过问卷调查的形式，就风险本身的固有风险和基于现有内控有效性之下的剩余风险进行评估。如何区别固有风险(Inherent

risk)和剩余风险(Residualrisk)的定义？

固有风险：是指假定不存在任何风险管理措施和内部控制，导致企业发生某方面或多方面损失的风险。固有风险考虑的是风险可能造成的最坏影响。

剩余风险：是指在考虑公司现有的风险管理措施和内控有效性之后，仍然会导致企业发生某方面或多方面损失的风险。剩余风险考虑的是经过公司的内控管理之后风险仍有可能造成的影响。需要综合考虑固有风险和内控有效性的评估结果。固有风险—内控有效性=剩余风险多坏?多快?从多个纬度考虑多好?多快?预防或积极准备应对提高改进是否可接受?趋势更好更坏没变化风险管理的根本流程——风险应对步骤3-风险应对：按照风险评估结果绘制?风险应对策略图?(MARCIChart)，制定关键风险的应对方案。L固有风险确认/重新确认准备的有效性MCIAR剩余风险HLR=Redeployment重新部署有限的风险管理资源A-Assurance确认或重新确认风险控制的有效性CI=CumulativeImpact测量累积影响M-Mitigation积极降低风险ARHM象限：此区域风险点的固有风险高且剩余风险水平也高，需采取措施积极降低风险；A象限：此区域风险点的固有风险水平较高，但通过有效的风险控制，剩余风险水平较低。需对风险控制有效性进行监控或确认；R象限：此区域风险点的固有风险与剩余风险水平都较低。对此区域的风险点可以考虑对有限的风险管理资源进行重新部署；CI象限：此区域风险点的固有风险较低，但影响可能累积而造成剩余风险较高。需测量风险的累积影响，确认控制措施。风险规避退出引起风险的活动，即在可能的情况下，决定不从事或尽量避免那些继续从事可能会导致风险的活动，如退出生产线、停止一个区域的业务、或出售一部分经营性资产等。风险减轻采取措施来减轻风险的可能性和/或影响，即通过改变风险发生的可能性来减少风险的不利后果，或改变风险的影响来减少损失的范围。减轻风险一般牵涉到所有大量的日常经营决策，例如产品多样化、技术改进、加强人员培训、资本重新分配、改进业务流程等。风险分担通过采取措施来转移和分担一部分风险来减少风险的可能性或影响，这包括与另外的单位合作来共同承担风险，如成立合资企业、购买保险、套期保值、外包业务等。分担风险可能会带来新的风险，因为合作单位可能缺乏期望的能力和资源。风险接受不采取任何措施去影响风险的可能性和影响。这可能是因为该风险属于风险容忍度范围之内；或该风险在企业范围内与其他风险自然抵消；或由于风险应对成本过高，公司决定接受该风险。风险应对方案的根本类型风险管理的根本流程——风险应对根本类型

设计风险应对方案的思路源头治理：了解风险发生的根源，针对源头设计风险应对方案；整体风险组合观：从整个企业的角度去分析风险，考虑风险组合应对；考虑风险发生的深层次原因〔如：隐含在企业战略和文化方面等〕，提出改善方案；考虑应对方案的效果和本钱，选择一个或几个适宜的措施，考虑因素包括：-直接的和非直接的本钱、有形的和无形的本钱、以及财务或非财务本钱；-单独的应对方法或组合方法；-慎重考虑那些发生可能性较小但却很严重的风险；-考虑对股东价值的影响；-考虑应对风险的预算和资源分配，区分优先顺序；-应对措施能够结合现在的内部控制缺陷，且该措施的执行可减少该风险的来源；-风险应对措施本身可能带来新的风险。风险数据库：将所识别的风险点与风险类型或业务流程对应，形成风险数据库加以系统化管理；风险管理责任：将关键风险点与风险所属部门和职位对应，落实风险管理责任。风险管理的根本流程——风险应对的主要思路风险管理的持续开展——建立风险管理信息系统

五部委?企业内部控制根本标准?对内部控制的定义财政部、证监会、测试署、银监会、保监会于2021年6月28日联合发布了?企业内部控制根本标准?《企业内部控制基本规范》总则内部监督风险评估控制活动信息与沟通内部环境附则合理保证:企业经营管理合法合规资产平安财务报告及相关信息真实完整提高经营效率和效果促进企业实现开展战略内部控制：由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。现代企业管控体制公司治理是现代企业调整所有者和管理者矛盾的体系；风险管理是管理层应对内外的各种挑战和不确定因素的时候，所采用的较为系统的方法和过程；内部控制是现代企业内部日常经营运作的业务过程，管理者负有实施和监督的完全责任。公司治理风险管理内部控制1—包含的关系内部控制与风险管理的关系1战略最高端的战略制定和优化，关注有回报的风险运营/财务/合规

防范资产损失等没有回报的风险战略执行战略分解执行过程中的优化和协同，关注有回报和没有回报的风险两局部内控体系建立健全关注的内容风险管理关注的内容2—支撑的关系内部控制与风险管理的关系23—风险与控制的平衡过度的风险资产的损失业务决策不善不守法丑闻控制风险过度的控制＋官僚作风

生产力＋复杂性＋周期＋非增值性活动内部控制与风险管理的关系3剩余风险〔风险敞口〕多坏?多快?财务声誉法律法规健康平安环保相关利益者可接受?趋势更好更坏没变化固有风险–内部控制有效性=多好?多快?预防或积极准备应对及恢复提升风险的类型与风险管理者4—风险敞口内部控制与风险管理的关系4风险应对从管理大类来说，可以分为两大类风险应对内部控制应急预案适用于内部可控的风险:设定控制目标制定控制活动形成内部控制矩阵监督与自查……适用于不可控的系统性风险:定期的数据监控和报告应急预案的启动套期保值等避险工具的使用信用证……内部控制与风险管理的关系5

五部委?根本标准?及配套指引最新动态更新五部委?根本标准?及配套指引最新动态更新〔续〕配套指引的实施时间表2021年1月1日境内外同时上市的公司施行2021年1月1日上海证券交易所、深圳证券交易所主板上市公司未定择机在中小板和创业板上市公司施行未定鼓励非上市的其他大中型企业提前执行主题二：

内控失效的典型案例分析.内控失效的典型案例增值税发票失控和员工严重舞弊内控失效的典型案例英迈的问题在哪？－见下页案例分析案例分析该案例中，企业〔英迈中国〕与税务管理相关的流程、风险和内部控制的关系如下：可能存在的违法违规行为对应的税务管理流程影响的业务流程风险内部控制虚开、倒卖增值税发票（销项税）增值税管理流程销售流程1、销售发票（增值税）缺少严格的管理流程。2、增值税发票的开具、审核、备案、入账、申报等各环节缺少必要的职责分离。1、建立严格的增值税发票管理流程，完善从增票的申请、开具、审核、备案、财务入账、税务申报等各个环节的内部审核制度。2、在流程中建立恰当的职责分离机制，确保不相容岗位互相分离。少记、漏记销售收入增值税管理流程销售流程企业所得税财务报告流程会计系统与销售业务系统之间缺少可靠的数据传递流程，难以保证会计系统中销售收入的完整性和准确性。应建立完善的内部审核制度，保证所有销售交易都完整、准确、及时地录入了会计系统，每一笔会计凭证（含增值税发票）都经过了必要的审核。公司层面控制高级管理层缺乏风险意识。公司缺少有效地反舞弊机制。应建立自上而下的监控机制和自下而上的反舞弊机制，并保证反舞弊机制的有效运行。如何透过现象洞察缺失的控制？案例分析〔续〕可能存在的违法违规行为对应的税务管理流程影响的业务流程风险内部控制倒卖增值税发票（进项税）增值税管理流程采购流程1、缺少严格的供应商选择和评审流程。2、由于对关键岗位未建立轮岗机制，可能会导致财务舞弊发生的风险。（五部委指引）1、应建立完善的供应商选择流程，对于不符合要求的供应商（如不能按税务局要求开具正式发票），不能与公司进行交易；如特殊情况下确实需要与其进行采购交易的，应得到公司高级管理层的批准，并且由相关人员对交易单据进行充分审核，确保不存在税务漏洞。2、对于公司职位控制薄弱、易发生舞弊行为的高风险岗位实行轮岗制度。少记、漏记采购成本增值税管理流程存货流程企业所得税财务报告流程可能存在游离于财务系统外的存货资产，并漏记流动负债（应付账款）。应建立定期的与供应商对账机制，对账结果应书面存档，对账差异应及时调查原因。公司层面控制公司缺少有效的内部审计职能，或缺少定期的内控自我评估机制应建立有效的内审职能，内审应具备独立性。在具有较好的内控基础的企业中，应建立定期的内控自我评估机制。如何找出风险点并设计控制措施？主题三：

常用的企业内控测试方法.企业业务循环概述客户/订单评估完成订单发货开发票收入确认信贷控制现金收款〔收款〕监督未清余额维护客户主文档职责分工申请采购〔定购〕收取货物与效劳核对应付账款发票记录应付账款付款维护供给商主文档职责分工收入循环支出循环企业内控测试的常用方法－访谈管理销售订单客户授权额度的限定销售合同和订单的建立审批,对销售定价和条件的审批销售订单在系统中的输入,以及信息传送至发货和开具发票的程序及控制确保客户发来的订单都被输入系统并处理确保只有有效的订单才被输入系统并处理销售订单的取消程序,确保取消的订单已准确输入处理销售订单,开具销售发票,处理客户销售退回,处理客户销售后调整订单内容发票使用批准的价格和授权发票在适宜的期间内开具发票金额准确的计算和记录所有发货的物资均已开票所有发票都对应有效的发货所有开具的发票都已记录退货在适宜的期间开具并记录所有对应收账款余额的调整都准确地记录在恰当地会计期间收款程序管理商业票据销售收款记录在恰当的会计期间销售收款准确地得到了记录所有的收款都得到了记录坏账追查和入账企业内控测试的常用方法－穿行测试企业内控测试的常用方法－抽样测试执行频率控制的性质执行的频率测试项目的最小数量人工控制每日多次25人工控制每日一次15人工控制每周一次5人工控制每月一次2人工控制每季度一次1人工控制每年一次1程式化控制如果得到信息技术整体控制的有效支持，为每个程式化控制活动测试一次应用，否则以类似测试人工控制的方式进行测试（如，25个）。信息技术整体控制按照上述指引对信息技术整体控制的人工和程式化方面进行测试。内控在信息系统中的表达2006年2月的一条新闻报道：“中国移动的冲值卡数据库被侵入，造成直接损失370万人民币〞；相关链接2006年4月的一条新闻报道：“中国银联瘫痪8小时京沪等地跨行交易中断；相关链接而2006年5月的一条新闻报道“IT高手带着‘内鬼’‘黑’走乐购超市400万；相关链接3个月内，三起事件均是由于信息系统风险管理的缺乏而造成的，而其结果更是以惊人的方式表现出来，每个事件给企业带来的直接损失均是百万级的，而无形的损失更是难以衡量。整体计算机环境控制流程中的控制措施（手工/应用）收入流程采购流程固定资产管理流程存货管理管理流程财务报告与预算管理流程信息系统审计的理论框架〔业务驱动〕应用控制〔ApplicationControl:AC〕授权控制输入控制处理控制输出控制边界/接口控制整体计算机环节控制：(GeneralComputerControl:GCC)信息资源战略及规划信息系统运作与外包供给商的关系信息平安业务连续性方案应用系统的实施及维护数据库的实施及支持网络支持系统软件支持硬件支持信息系统根本结构网络管理系统操作系统平台数据库管理系统应用系统信息系统一般控制信息系统应用控制信息系统一般控制—实例分析我们选择整体计算机控制局部的信息系统操作领域为例：编号控制目标信息系统操作IR02005所有进行批处理或在线作业及产生报表的实时程序均能及时运行并正常完成IR02008所有执行的程序均为合法的IR02010资料依照法律,法规或公司政策保存,以便必要时可随时取得IR02015计算机处理环境能提供符合或超越客户期望的服务IR02020用户对应用软件的使用得到适当的培训IR02030用户对应用软件的使用能得到在适当的支持以确保应用软件功能得以实现应用系统控制—实例分析应用系统控制举例—采购流程授权控制只有得到授权的用户可以在系统中生成采购申请，采购订单，入库单和确认发票只有得到授权的用户可以审批采购申请或采购订单。不会将创立采购申请和审批采购申请的权限赋予同一个用户。输入控制系统会对采购申请单，采购订单和入库单进行连续编号。系统对采购订单页面中的重要字段进行了强制的格式和内容校验，比方在日期字段中不允许输入字符内容，当用户选择了采购物料编码后，物料名和采购价格是由系统自动带出，而不能被修改。当输入的采购量超过库存余额的时候，系统会自动报警，确保这种采购订单不能被生成。处理控制系统提供模拟处理功能，以确保正式生成的单据是符合公司要求的。在进行发票校验的时候，系统自动会在后台进行三单匹配的校验，以确保生产的采购发票上的数量和金额与采购订单以及入库单上的数字保持一致。假设操作的处理过程太长或占用系统资源过多，系统会自动警示。对任何重要单据的修改，系统都会在保存前和用户进行确认。应用系统控制举例—采购流程〔续〕输出控制系统会自动提示输出到其他模块的数据是否成功。对于无法正确输出的报表或者内容，系统会以代码的形式告诉用户原因及解决的方法。用户可以定制输出报表的格式，包括字段和每页的记录条数等。当输出内容超过系统负荷时，系统会自动警示。

边界/接口控制系统会提供接口数据传输的状态报表，包括每次接口传输数据的时间，是否成功等信息。系统会对接口传输的数据包的前后状态进行核对，比方检查导入到新模块的数据包大小和老系统中有什么区别。系统会列示导入前后的记录条数和金额总计。?税务风险内控手册?系统地整合了所有与企业税务管理流程相关的各个风险点、控制目标、控制活动、流程负责人、公司现有制度等信息，以及包含了如何测试这些控制的审计步骤，是企业自行管理税务风险或定期自我评估内部控制的有效辅助工具，也可以便于监管机构〔如税务局〕对企业进行例行检查。版本：2010-62010年6月中国ABC集团有限公司税务风险内控手册企业内控测试的辅助工具－税务风险内控手册税务管理流程及子流程税务风险内控手册的作用?税务风险内控手册?的主要作用包括：手册系统地整合了所有与企业税务管理流程相关的各个风险点、控制目标、控制活动、流程负责人、公司现有制度等信息；既可以使企业管理人员一目了然地了解企业所有适用的重大税务风险和对应的控制活动，也是指导各级员工开展具体工作的指南；手册包含了如何测试这些控制的审计步骤，可以作为企业自行管理税务风险或定期自我评估内部控制的有效辅助工具；手册可以极大地协助外部监管机构〔如各级税务机关〕快速了解企业存在的与税务管理相关的重大风险点和企业已有的控制活动，以便对企业展开更具有针对性的例行检查或不定期检查，提升外部监管机构的检查效率和效果。46企业的业务流程可分为“公司层面的内部控制〞和“流程层面的内部控制〞，其中流程之一就是税务管理流程，其又可按税种进一步划分成各子流程。CE

控制环境RA

风险评估IC

信息与沟通MO

监督税务管理流程－控制活动CE-001

企业文化RA-001

风险策略IC-001

对内沟通MO-001

自我评估VAT增值税管理流程CE-002

治理结构RA-002

风险识别机制IC-002

对外沟通MO-002

独立监控CIT企业所得税管理流程CE-003

内部审计RA-003

风险分析与评估IC-003

沟通系统与渠道MO-003

对下属公司的

管控IIT

个人所得税管理流程CE-004

机构设置权责分配RA-004

风险应对措施IC-004

反舞弊机制BT其它税种管理流程（营业税、房产税）CE-005

人力资源政策TAX纳税申报及所得税返还管理流程流程层面的内部控制公司层面的内部控制税务风险内控手册－税务管理流程税务风险数据库是通过下发、收集、汇总、分析风险调查问卷，采集企业与税务相关的根本风险信息，并结合德勤全球风险管理工程中累积的实践，对税务风险进行分类〔固有风险、剩余风险〕和评级〔很高、高、中、低、很低、不适用〕，并评估风险发生的可能性。税务风险内控手册－税务风险数据库风险名称针对每个风险点的控制措施税务风险应对策略图是通过对风险调研中取得的根底信息，结合领先的德勤全球风险管理工具，形成风险热力图。税务风险内控手册－税务风险应对策略图针对每个风险点的量化评估根据风险评估的结果产生的红黄绿亮灯管理不兼容职责表：通过A、B、C等英文字母表示每个税务管理子流程中涉及的关键职责；通过“X〞表示横向和纵向的两个不同职责是否可以兼任；表达了内控流程中的“不兼容职责〞需别离的理念；便于手册使用者和管理层的自我检查。其优点在于：合理分工，形成不同岗位间的相互牵制、相互监督，明确岗位责任；降低舞弊发生的可能性。ABC集团税务风险内控手册企业内控测试的辅助工具－税务风险内控手册每个内控流程手册的子流程主要局部均由以下的业务流程目录、不兼容职责表、风险及控制矩阵构成，具体内容参见后页。税务风险及控制矩阵：税务风险及控制矩阵高度概括了各税务管理子流程的关键控制节点，成为公司各级管理层的管理抓手，也可作为外部监管机构稽查的重点。通过风险、控制目标、控制活动的匹配，帮助使用者从“知其然〞步入“知其所以然〞，深化对控制活动的理解，提高对控制活动的把握；任何不熟悉该控制活动的新员工或外部监管机构，都可通过查阅该控制矩阵及相关制度迅速进入角色，从而实现经验共享。税务流程子流程风险编号风险描述固有风险内控有效性剩余风险控制目的编号控制目标控制活动编号控制活动公司相关政策增值税管理流程发票的开具和销售收入的入账VAT-01核对销售、发货、收款记录不当如果对销售、发货、收款业务的会计系统未进行有效控制，可能导致会计记录、销售记录与仓储记录不一致。

433CO-01企业应当加强对销售、发货、收款业务的会计系统控制，详细记录销售客户、销售合同、销售通知、发运凭证、商业票据、款项收回等情况，确保会计记录、销售记录与仓储记录核对一致。CA-01财务部会计月末在ERP系统中导出产成品出库与已开发票汇总，核对并分析其中差异后将《出库及发票对比清单》交于市场销售部和财务经理签字确认。《ABC公司销售管理制度》

增值税管理流程发票的开具和销售收入的入账VAT-02发票管理不当由于缺乏发票管理相关规定和职责分工，可能造成发票领用、入账、核销过程中出现漏洞,造成企业损失的风险。433CO-02按照合同开具发票企业应当严格按照合同规定的条款和价格及发票管理规定开具销售发票。严禁开具虚假发票。CA-02采购部仓库管理员及市场销售部文员对货物出库进行确认后，市场销售部文员根据货物出库情况同时查看合同信息填写《开票申请单》，交由市场销售部经理审核、后交财务经理确认后财务开票专员进行开票。《ABC公司销售管理制度》

企业内控测试的辅助工具－税务风险内控手册编号流程章节发现问题建议管理层整改计划１公司层面控制尚需建立风险管理和内部控制的长效机制公司已聘请外部咨询机构初步建立了风险管理体系和内部控制体系，以识别及应对企业内部和外部的风险，加强运营过程中可能存在的内控薄弱点的管控。由于风险管理和内部控制需要长期关注，相关内容需要根据公司外部形势变化和内部要求变化持续更新，因此尚需建立风险管理和内部控制的长效机制。建议积极建立风险管理和内部控制的长效机制，根据公司外部形势变化和内部要求变化持续更新风险管理体系和内部控制体系。运行管理部牵头进行风险管理和内控体系的建设，并着力在外部咨询机构的咨询指导中完成知识的转移，准备下半年的全系统范围的内控自评。在下一年的风险管理和内控手册更新中，对本部和分子公司相关人员进行培训并提供支持，以保证风险管理和内控体系的持续更新和长效机制。２对分子公司的管理缺乏成文的关联交易管理制度公司目前虽然有草拟的《关联交易管理制度》，但并未经过正式颁布，这可能造成各分子公司对公司关联交易制度和标准了解不足、执行不力，不利于公司关联交易的准确识别、统计和管理。建议按照五部委的要求，由本部统一制定关联交易的政策并及时进行颁布实施。总部已草拟了《关联交易管理制度》，待《上证所上市公司关联交易制度实施指引》正式颁布后（据悉可能在今年7月），总部会依据正式的实施指引作出相应完善和修改后尽快颁布下发。税务风险内控手册－附录：税务控制自评报告企业定期安排税务控制自评，既可以便于企业高级管理层及时掌握税务管理流程中存在的控制薄弱环节，以不断完善税务内控；也可以便于外部税务监管机构及时了解企业在税务风险内控方面的工作成果主题四：

大企业的税务风险内控测试.大企业税务风险内控测试的对象为实现纳税遵从而设计和实施的内部控制企业纳税遵从风险，包括企业未能按照税法的要求，及时、准确地履行税务登记、纳税申报、税款缴纳以及其他纳税义务产生的风险。其他与纳税遵从相关的控制了解被测试企业的税务风险内控体系〔一〕评价控制的设计–是否已经有税务内控手册？设计是否得当？〔二〕获取控制设计和执行的审计证据〔三〕了解内部控制与测试控制运行有效性的关系–税务内控手册得到有效运行了么？税务风险内控的局限性评价被测试企业的税务风险内控体系评价被测试企业的税务风险内控体系评价被测试单位的风险评估过程〔一〕被测试单位可能面临的风险1.监管及经营环境的变化。2.企业重组–决策过程是否有纳税风险管理岗位的参与？……3.开展海外经营–新的问题是否已经纳入了风险管理范畴？如利用双边税收协定防止在东道国多交税？……4.新的会计准那么-新的会计和税务差异有谁来识别？纳税调整如何传递到纳税申报岗位？……5.重大关联交易-决策过程是否有纳税风险管理岗位的参与？……3.新信息系统的使用或对原系统进行升级。4.业务快速开展。5.其他。评价被测试企业的税务风险内控体系被审计单位的风险评估过程〔二〕对风险评估过程的了解〔1〕被测试单位是否已建立税务风险评估过程，包括识别风险，估计风险的重大性，评估风险发生的可能性以及确定需要采取的应对措施；〔2〕会计部门和税务风险管理部门是否建立了某种流程，以识别会计与税务差异的重大变化；〔3〕当被测试单位业务操作发生变化的流程时，是否存在沟通渠道以通知税务风险管理部门；〔4〕税务风险管理部门是否建立了某种流程，以识别经营环境包括监管环境发生的重大变化。〔5〕其他。评价被测试企业的税务风险内控体系评价控制活动考虑的主要因素可能包括：〔1〕对被审计单位的主要经营活动是否都有必要的税务风险控制程序；〔2〕管理层对税务风险控制方面是否有清晰的目标，在被测试单位内部，是否对目标加以清晰的记录和沟通，并且积极地对其进行监控；〔3〕是否存在方案和报告系统，以识别税务风险的出现，并向适当层次的管理层报告该风险；〔4〕是否由适当层次的管理层对风险进行调查，并及时采取适当的措施；〔5〕不同税务风险管理岗位人员的职责应在何种程度上相别离；〔6〕会计系统中的数据是否与纳税数据定期核对；〔7〕是否建立了适当的保护措施，以防止未经授权接触文件、记录和资产；〔8〕其他。评价被测试企业的税务风险内控体系评价对控制的监督考虑的主要因素可能包括：〔1〕被测试单位是否认期评价税务风险内部控制；〔2〕被测试单位人员在履行正常职责时，能够在多大程度上获得税务风险内部控制是否有效运行的证据；〔3〕与税务机关、中介机构等外部的沟通能够在多大程度上证实内部产生的信息或者指出存在的问题；〔4〕管理层是否采纳税务风险管理岗位的建议；〔5〕管理层是否根据税务机构的检查及建议及时采取纠正措施；〔6〕是否存在协助管理层监督内部控制的职能部门〔如内部审计部门〕。〔7〕其他。评价被测试企业的税务风险内控体系评价信息系统与沟通评价被测试企业的税务风险内控的工作模块确定被测试单位的重要税务内控工作模块了解重要内控流程，并记录获得的了解〔1〕检查被测试单位的手册和其他书面指引，特别是被测试单位文件〔如流程图、程序手册、职责描述、文件、表格等；〔2〕询问被审计单位的适当人员；〔3〕观察所运用的处理方法和程序；〔4〕穿行测试。评价