内部控制穿行测试操作要点及技巧

1、什么是穿行测试

穿行测试是指了解有关内部控制的基础上，按照交易轨迹，从相关流程中选择一个或若干个具有代表性的交易和事项，追踪其从交易的发生到最终被反映在财务报表或其他经营管理报告中的过程，即该流程从起点到终点的全过程。当然，如果从交易的会计处理到交易的起点进行测试更有效的话，也可反过来执行。

通俗地来讲，穿行测试就是“穿行+测试”，即通过检查一段时间内执行过的某些重点流程各个控制点所留下的文件存档和信息流等，使流程得到再现，从而验证和确认控制是否真实存在并实际运行，现有的控制是否能够防范相应的风险，最终得出控制设计及运行是否有效的结论。

2、穿行测试的特点

(1)同质性：必须获取同一个交易或包括同一交易的文档。

(2)连续性：从发生到记录全过程的所有控制都要进行测试。

(3)典型性：要尽可能获取一个最近执行的典型交易，以涵盖所有控制。

(4)可测性：获取纸质文档记录进行测试并妥善留存。

(5)普遍性：穿行测试适用于各类型的控制，每年的内部控制评价都必须做穿行测试。

(6)动态性：如果控制发生变化(如流程变化、组织架构变化、关键执行人变化、涉及的信息系统变化等)，则应重新执行穿行测试程序。

3、穿行测试的范围与内容

(1)穿行测试的范围

穿行测试的范围要涵盖公司层面、流程层面和IT层面，具体的要以前期已经编制好的18个指引对应的风险控制矩阵为依据。

(2)穿行测试的期间

穿行测试要选择最近发生的样本，对部分本年度尚未发生的控制可追溯到上一年的样本。

(3)测试试人员与职责分工

1)测试人员的胜任能力：测试人员应熟悉测试内容，具备一定的内部控制知识及相当的工作经验，工作测试底稿须经适当的复核人检核;

2)测试人员的独立性：测试人员应独立于所审查的具体业务活动和内部控制之外。属于内部工作调动而在本年度担任内审岗位的人员，至少不能对其上一年度负责过的工作进行测试;

3)测试底稿的记录：在控制测试底稿中应详细记录测试人员姓名或缩写、测试时间、复核人员姓名及缩写和复核时间等必要的信息。

4、穿行测试的程序

穿行测试一般分为四个步骤，包括选取样本、执行测试、记录测试、进行测试评价，如下图所示。

(1)选取样本

要点1：样本可以任意选取，如选取最近发生的典型样本以涵盖所有控制点。也可指定选取，如关注金额较大样本、或经常发生业务的样本、或特殊业务的样本、或一次性交易的样本等。

要点2：单笔穿行测试应至少包括如下流程节点：交易开始、授权、手工或系统处理、记录、单笔交易报告、会计处理及凭证。

在实际选取样本的操作中，通常会遇到这样一个问题：如果选取的一个交易样本无法涵盖所有控制时怎么办?如果一个交易不足以确认我们对其控制有效性的了解，则应选择更多的交易，直至测试完所有的控制点。例如，某流程涉及多个分支(或子流程)，如果交易性质不同，则应在每个分支中分别选取一个样本进行穿行测试;如某控制点涉及

多种不同性质的业务，且不同性质业务的操作流程也不同，则应每种类型分别选取一个样本进行穿行测试。

以付款子流程为例，如果存在现金付款和银行存款付款业务，同时又存在多种不同的付款类型，应如何选取样本进行测试?

. 首先区分现金付款和银行存款付款的业务分别选取样本;

. 如果现金付款涉及多种类型，则分借备用金、差旅费报销等分支，分别选取样本;

. 如果银行存款还大量涉及网上银行付款，则还需要再补充选取网上银行付款样本;

. 如果银行存款付款分不同的审批额度，建议首选大额交易审批的样本进行穿行测试，再就审批控制一项，补充其他类型付款的审批样本即可;

. 对于与付款关联的其他控制，如现金盘点、银行余额调节表等，也应考虑选取同样期间的样本(如选取的6月10日的银行付款样本，测试银行余额调节控制时，应取得6月末的样本，并关注该笔付款是否同时体现在了银行对账单和公司的银行日记账和总账中)。

(2)执行测试

1)获取原始单据，最终交易全过程：检查抽取样本的实际执行情况是否与访谈中了解的完全一致，包括检查实际业务处理过程中控制点涉及的申请单、审批单、会计凭证等流转轨迹是否同样满足并落实了控制的5W1H要求;

2)根据控制性质选择测试方法，并预先编写穿行测试程序(即测试步骤);

3)检查文档记录中涉及到的金额与数字的前后勾稽关系，也是测试关注的重点;

4)测试过程中综合运用询问、观察、检查文件记录、重新执行等多种程序。

要点1：对于无法取得纸质文档资料的控制点，测试人员应采用访谈结合观察的测试方法，且应对访谈及观察的结果进行书面记录。

要点2：对计算复核类的控制(如工资计算)，应从中再选取一个样本，采用重新计算的方法，并详细记录重新计算的过程，以确认控制确实存在并有效执行。

要点3：测试过程中如果发现实际执行与之前对流程和控制的理解有偏差或异常，应及时与控制执行人和负责人进行沟通确认。在进行此类询问时，不应局限于所抽取的单笔交易。测试异常确认完毕后，应考虑修改并更新现有的风险控制矩阵等控制文档，以保持与实际执行的一致性。

(3)记录测试

要点1：记录测试全过程：包括样本选取与样本特性、测试方法与测试步骤、测试结果(即看的哪个，怎么看的，看到什么，没有问题的结论，发现问题的充分记录)。

要点2：对审核类控制的签字，应先检查审核内容是否被正确执行后，再写明可见具体审核人的签字。不能单方面只看签字是否齐备而不执行审核检查。

要点3：从事后检查人的角度，将测试中观察到的相关控制点的证明性资料内容、审核签字或控制行为详细并详尽记录下来，而不能直接照抄控制描述。

要点4：测试后必须就控制设计是否有效给出结论：有效、无效、不适用。

要点5：执行穿行测试后，应完整留存所有相关的测试文档，并与其他合规文档一并归档。需将取得的复印文档并逐一编号，并确保取得的证明性资料和穿行测试底稿及风险控制矩阵做到一一对应。

要点6：文档资料复印完毕后原件应及时完好退还给有关部门，严禁因穿行测试文档复印不清楚时，直接在复印文档上加盖有关印章或直接篡改伪造相关数据等行为发生。

(4)测试评价

如果某项控制由拥有有效执行所需的授权和专业胜任能力的人员按规定的程序和要求执行，能够实现控制目标，从而有效地防止或发现并纠正可能导致财务报表发生重大错报的错误或舞弊，则表明该项控制的设计是有效的。

内部控制习题及参考答案

第一章企业部控制概述一、单项选择题 1.相互牵制是以（）为核心的自检系统，通过职责分工和作业程序的适当安排，使各项业务活动能自动地被其他作业人员查证核对。 A. 职责分工 B. 事务分管 C. 作业程序 D. 授权批准 2.( )是对企业控制的建立和实施有重大影响的各种因素的统称。包括管理者的思想和经营作风；组织结构；董事会的职能；授权和分配责任的方式；管理控制方法；部审计；人事政策和实务；外部影响等。 A. 控制环境 B.会计系统 C.控制程序 D. 控制活动 3.( )要求单位按照不相容职务相互分离的原则，合理设计会计及相关工作岗位，明确职责权限，形成相互制衡机制。 A. 授权批准控制 B. 会计系统控制 C. 组织结构控制 D. 部报告控制二、多项选择题 1．部控制是单位部的一种管理制度，它具有（）特征。 A.主体是单位部人员 B.客体是单位部的经济活动（或经营管理活动） C.手段和方法多种多样 D.属于单位部的管理 2．建立和设计单位部控制制度，必须遵循和依据的基本原则包括（）。 A.合法性原则 B.全面性原则 C.重要性原则 D.有效性原则 3．部控制规体系一般包括（） A.基本规 B.具体规 C.授权批准 D.应用指南 4．建立有效的部控制制度应当考虑的重点包括（）。 A.注重选择关键控制点 B.以预防为主、查处为辅 C.注重相互牵制 D.设立补救措施 5．不相容职务之间应实行分离,其中会计记录应与( )相分离。 A.会计监督 B.业务经办 C.财产保管 D.预算编制

三、判断题 1．具体规规定部控制的基本目标、基本要素、基本原则和总体要求，是制定基本规和应用指南的基本依据。（） 2．应用指南是根据基本规和相关具体规制定的详细解释和说明，主要是为某些特殊行业、特殊企业、特定控程序提供操作性强的指引。（） 3．部牵制主要包括体制牵制、簿记牵制和价值牵制。（）四、问答题部控制的目标是什么？有哪些基本要素？第二章货币资金控制一、单项选择题 1. 按照控要求，应由（）核对“银行存款日记账”和“银行对账单”，编制“0银行存款余额调节表”。 A.记帐人员 B. 非出纳人员 C.会计人员 D.审核人员 2.现金收支原始凭证上业务经办人员应签字盖章以明确有关责任，同时该凭证还须经（）审核签章。 A.记帐人员 B.出纳人员 C.会计人员 D.部门负责人 3.（）应根据审核无误的现金收款或付款凭证进行收款或付款，收付完毕，对现金收款或付款凭证以及所附原始凭证加盖“收讫”或“付讫”戳记，并签字盖章以示收付。 A.出纳人员 B. .记帐人员 C.会计人员 D.稽核人员 4. 在（）监督下，各个账簿记录人员核对银行存款日记账和有关明细分类账及总分类账。 A.出纳人员 B. .记帐人员 C.会计人员 D.稽核人员二、多项选择题 1. 货币资金控制主要围绕( )目标。 A.保证货币资金业务收支的真实与合法 B. 保证货币资金的使用效益

企业内部控制应用指引--题目及答案

企业内部控制应用指引单项选择题 1、安全生产措施不到位，责任不落实，可能导致的风险有（企业发生安全事故）。重要说明：考试所选科目为内部控制1-14讲 2、按规定办理需要有关负责人签字或盖章的经济业务时，签章手续要怎样办理（严格履行签字盖章手续）。 3、按照销售通知项目组织发货的部门是（发货和仓储部门）。 4、不在企业销售退回承诺范围之内的退货业务，企业应怎样处理（由独立于销售部门的销货争议处理机构调查原因）。 5、保证合同的当事人不包括（中介机构）。 6、采购验收不规范，付款审核不严，可能导致的风险是（信用受损）。 7、存货的保管于下列哪项职务是不相容的（存货的会计记录） 8、参与固定资产投资决策，分析、评价各种投资方案的部门是（财务部门）。 9、存货归口分级管理的主要部门是（财务管理部门）。 10、存货的保管于下列哪项职务是不相容的（存货的会计记录）。 11、存货积压或短缺，可能导致的风险不包括（缺乏竞争力）。 12、大额客户订单的签字权限在（销售部门主管）。 13、当担保申请人已进入重组、托管、兼并或破产清算程序，企业应（不得提供担保）。 14、对担保申请人的资信状况调查不深，审批不严或越权审批，可能导致的风险是（担保决策失误）。 15、担保企业决定是否提供对外担保的依据和基础是（担保项目评估的结论）。 16、对被担保人出现财务困难或经营陷入困境等状况监控不力，应对措施不当，可能导致的风险是（企业承担法律责任）。 17、担保业务单笔担保额越小，受保企业单笔贷款额就会（越小）。 18、当企业售后发现存在严重质量缺陷、隐患的产品时，应当采取的措施不包括（封锁消息）。 19、对财务报告的真实性、完整性负责的是（企业负责人）。 20、对财务报告中需要说明的事项作出真实、完整、清晰说明，属于财务报告重要组成部分的是（附注）。 21、对发展战略实施情况进行监控的机构是（战略委员会） 22、对销售通知进行审核的部门是（发货和仓储部门）。 23、对发展战略实施情况进行监控的机构是（战略委员会）。 24、对担保业务执行情况进行监测的部门是（执行部门）。 25、当受保企业资产负债率超过一定比例时，担保企业应拒绝担保，该比例是（70%）。 26、对于重大的无形资产处置，企业应当怎样确定处置价格（委托具有资质的中介机构进行资产评估） 27、对研发项目立项出具评估意见的机构是（独立于申请及立项审批之外的专业机构）。28、负责应收款项的催收工作的部门是（销售部门）。 28、负责办理资金结算并监督款项回收的部门是（财务部门）。 29、负责行使企业经营决策权的组织机构是（董事会）。 30、负责制定公司人力资源的战略规划的是（人力资源部经理）。 31、负责主持企业的生产经营管理工作的组织机构是（经理层）。

方案-内部控制审计的程序和方法

内部控制审计的程序和方法 '一、内部控制制度的主要内容\xa0 内部控制制度审计的对象是被审计单位的内部控制制度，对这些制度的检查、测试也就构成了内部控制制度审计的基本内容，主要体现在以下制度的检查、测试中： 1、责任控制制度。责任控制制度是以确定内部各部门、各环节、各层次及其人员的经济责任为中心的内部控制制度。主要是检查各部门和经办人员的职责是否经过恰当授权，各种岗位责任制赋予各职能部门和经办人员的责任是否达到分工明确，职责分明的目的。 2、内部牵制制度。内部牵制制度是为了保证资料的正确性、可靠性及保护财产而形成的种制度。它主要检查不相容职务是否分离，会计事项的处理是否遵循必须经过两个以上的人员或部门来完成，是否经过复核，以防止差错、舞弊的发生。 3、会计控制制度。会计控制制度是指经济组织为了保证会计数据的正确性和可靠性而采取的各种措施和方法，主要是各种凭证的记录、传递，资金的使用，债权债务反映，会计报表编制等各个环节的控制制度和程序。主要是通过账证、账账、账表之间的相符关系，检查会计数据的可靠性；通过账实核对检查账实是否相符，以保证会计数据的真实性；通过严格的复核审批制度，以保证会十十业务处理的合法性；通过定期编制计算平衡表检查所有数据的正确性等。 4、经营方面各个循环系统的控制制度。它是经济组织内部为实现经营目标而实现生产经营和管理所必须经过的环节和业务操作的控制制度：如成本控制、购销控制、物资控制、生产经营过程的控制制度等。通过检查这些环节的控制是否严密，反映企业是否能正常进行经营活动及企业的生存和。 5、财产、凭单管理制度。财产、凭单管理制度是为了确保经济组织的财产和各种凭证单据而建立的控制制度。如财产物资的保管、清点、验收、领用、、、单据等各个环节，都应实行专人管理。进行内部控制制度审计，其重点是放在对于制度内各个控制环节的审查上，目的在于发现制度中控制的薄弱环节。二、内部控制审计的程序与方法主要有四个步骤。 1、了解企业的内部控制情况，并做出相应的记录。这是内部控制制度审计的第一步，其主要目的是通过一定手段，了解被审计单位已经建立的内部控制制度及执行的情况，并做出记录、描述。审计人员应考虑被审计单位经营规模及业务复杂程度、数据处理系统类型及复杂程度、审计重要性、相关内部控制类型、相关内部控制汜录方式、固有风险的评估结果等因素，对内部控制的程序、控制、会计系统采取有效的方法进行审计，主要方法包括：（1）查阅前期审计或审计底稿；（2）询问被审计单位有关人员，并查阅相关内部控制文件；（3）检查内部控制生成的文件和记录；\xa0（4）观察被审计单位的业务活动和内部控制的运行情况：（5）选择若干具有代表性的交易和事项进行“穿行测试”。通过查阅复核以前的审汁情况，可以了解以

行政事业单位内部控制制度设计操作指南2015答案

限时考试《行政事业单位内部控制制度设计操作指南》一、单项选择题（本类题共15小题，每小题2分，共30分。单项选择题(每小题备选答案中，只有一个符合题意的正确答案，请选择正确选项。） 1.下列对单位建设项目管理关键控制措施的描述中不正确的是（）。 A．重大建设项目应当报经单位集体决策批准 B．单位应加强对建设项目设计过程的控制，组织相关部门及专业技术人员对设计方案进行分阶段审核 C．单位建设项目都需要编制标底 D．严禁不合格工程物资投入工程项目建设 A B C D 答案解析：单位可以根据项目特点决定是否编制标底，故C选项错误。 2.下列不属于专家论证制度建立主要原则的是（）。

A．独立性 B．有效性 C．责任性 D．可行性 A B C D 答案解析：D选项是建立专家论证制度的目标，即对业务或项目的可行性进行分析论证。 3.下列不属于风险评估制度实现形式内容的是（）。 A．要成立风险评估工作小组，并保证其权威性、独立性和及时性 B．要建立经济活动风险定期评估机制，全面、系统、客观地评估经济活动中存在的风险C．至少每一年进行一次风险评估 D．当单位业务环境、经济活动规模、复杂程度等发生重大变化时应及时进行风险重估

A B C D 答案解析：风险评估工作小组属于风险评估制度的实施主体。 4.下列不属于单位资产界定要素的是（）。 A．单位占有、使用的 B．在法律上确认为国家所有 C．有实物形态 D．能以货币计量 A B C D

答案解析：行政事业单位的资产是指由行政事业单位占有、使用的，在法律上确认为国家所有、能以货币计量的各种经济资源的总称,不具有实物形态的无形资产也属于单位资产。 5.下列不属于单位原始凭证内容审核的风险点的是（）。 A．没有审核原始凭证所具备的要素是否齐备 B．没有审核经济业务的摘要是否与原始凭证所反映的业务内容一致 C．没有审核经济业务的处理程序和手续是否按要求办理 D．没有审核有无人为利用原始凭证进行舞弊的行为 A B C D 答案解析：A选项属于单位原始凭证形式审核的风险点。 6.下列对合同结算环节内部控制措施的描述中不正确的是（）。 A．财会部门应当在审核合同条款后办理结算业务 B．未按合同条款履约或应签订书面合同而未签订的，财会部门有权拒绝付款，并及时向单位有关负责人报告 C．付款必须有承办部门负责人、项目负责人、业务主管领导、总会计师和总经理在申请付

内部控制之控制测试要点及技巧

内部控制之控制测试要点及技巧控制测试是开展内部控制评价的另一项重要内容与方法，它通常在穿行测试完毕以后进行，在穿行测试得出设计是否有效的基础上，对控制活动的执行有效性进行测试与判断。 1、什么是控制测试控制测试是为了验证控制是否按照设计要求被一贯和有效执行的一种测试程序。也就是指在穿行测试的基础上，从样本总体中，根据测试要求抽取多个样本，来测试控制执行的有效性。其目的即含义中所述，即测试验证控制活动是否按控制设计那样被执行，通过是否被统一和一贯及时地执行，通过抽样尽可能地涵盖所有适用交易并获得真实可靠的信息。 2、关键控制的识别在控制测试操作中，并非所有的控制都需要加以测试，应将测试集中在关键控制上，而且特别值得提醒的是，我们仅需要对“设计有效”的“关键控制活动”开展执行有效性测试，那些存在设计缺陷的控制活动则无需开展，因为即使内部控制按照该设计得到了一贯执行，也不能认为其运行是有效的。因此，控制测试的前提是对控制活动中的关键控制进行判定，在风险控制矩阵中加以标识，并且不能随意更改。关键控制是指能够保证有较好的机会防止或者发现财务报表差错风险的重要控制。如果关键控制不存在或未被有效执行，即使流程里有其它控制存在，可能也无法防止错误发生的风险。这里列示几种典型的关键控制以供参考：职责分离；反舞弊控制；系统与数据的接触限制、物理安全等；主数据的输入控制；关键数据的系统自动控制；对账、账实核对等期末的检查性控制；例外事项的审阅；数据的详细审核/交叉审核等。 3、控制测试的方法安装可靠程度的从小到大排列，控制测试的主要方法包括：询问、观察、检查、重新执行。（1）询问：即通过口头或书面形式确认控制存在，是一种较薄弱的测试方法，应与其他测试共同执行，并且应该询问多人以确定结果一致；（2）观察：即观察员工执行控制步骤，该方法可能需要其他跟进测试，并且需要结合突袭检查，在员工无准备的情况下获得控制活动执行的真实记录。（3）检查：这种方法是获得资产存在证据的最简单的方法，主要是通过审阅相关文档记录或报告来对控制活动执行情况进行判断，需要注意的是，在这种方法中需要员工提供详细内容从而可以重复测试步骤并检验结果。

企业内部控制基本规范及配套指引

企业内部控制基本规范及配套指引目录企业内部控制基本规范 (4) 第一章总则 (4) 第二章内部环境 (5) 第三章风险评估 (6) 第四章控制活动 (7) 第五章信息与沟通 (8) 第六章内部监督 (8) 第七章附则 (9) 企业内部控制应用指引 (9) 企业内部控制应用指引第1号——组织架构 (9) 第一章总则 (9) 第二章组织架构的设计 (9) 第三章组织架构的运行 (10) 企业内部控制应用指引第2号——发展战略 (11) 第一章总则 (11) 第二章发展战略的制定 (11) 第三章发展战略的实施 (11) 企业内部控制应用指引第3号——人力资源 (13) 第一章总则 (13) 第二章人力资源的引进与开发 (13) 第三章人力资源的使用与退出 (13) 企业内部控制应用指引第4号——社会责任 (15) 第一章总则 (15) 第二章安全生产 (15) 第三章产品质量 (15) 第四章环境保护与资源节约 (16) 第五章促进就业与员工权益保护 (16) 企业内部控制应用指引第5号——企业文化 (17) 第一章总则 (17) 第二章企业文化的培育 (17) 第三章企业文化的评估 (17) 企业内部控制应用指引第6号——资金活动 (19) 第一章总则 (19) 第二章筹资 (19) 第三章投资 (20) 第四章营运 (21) 企业内部控制应用指引第7号——采购业务 (22) 第一章总则 (22) 第二章购买 (22)

企业内部控制应用指引第8号——资产管理 (24) 第一章总则 (24) 第二章存货管理 (24) 第三章固定资产管理 (25) 第四章无形资产管理 (25) 企业内部控制应用指引第9号——销售业务 (27) 第一章总则 (27) 第二章销售 (27) 第三章收款 (27) 企业内部控制应用指引第10号——研究与开发 (29) 第一章总则 (29) 第二章立项与研究 (29) 第三章开发与保护 (30) 企业内部控制应用指引第11号——工程项目 (31) 第一章总则 (31) 第二章工程立项 (31) 第三章工程招标 (32) 第四章工程造价 (32) 第五章工程建设 (33) 第六章工程验收 (33) 企业内部控制应用指引第12号——担保业务 (35) 第一章总则 (35) 第二章调查评估与审批 (35) 第三章执行与监控 (36) 企业内部控制应用指引第13号——业务外包 (37) 第一章总则 (37) 第二章承包方选择 (37) 第三章外包业务实施 (38) 企业内部控制应用指引第14号——财务报告 (39) 第一章总则 (39) 第二章财务报告的编制 (39) 第三章财务报告的对外提供 (40) 第四章财务报告的分析利用 (40) 企业内部控制应用指引第15号——全面预算 (42) 第一章总则 (42) 第二章预算编制 (42) 第三章预算执行 (42) 第四章预算考核 (43) 企业内部控制应用指引第16号——合同管理 (44) 第一章总则 (44) 第二章合同的订立 (44) 第三章合同的履行 (45) 企业内部控制应用指引第17号——内部信息传递 (46)

内部控制及控制风险评价

内部控制及控制风险评价一、大纲（一）内部控制目标与要素（二）了解与记录内部控制（三）内部控制测试（四）内部控制评价（五）管理建议书二、本章重点、难点注册会计师编制审计计划时，应当研究与评价被审计单位的内部控制。对拟信赖的内部控制进行符合性测试，据以确定对实质性测试的性质、时间和范围的影响。（一）内部控制目标与要素 1. 内部控制定义被审计单位为了保证业务活动的有效进行，保护资产的安全和完整，防止、发现、纠正错误与舞弊，保证会计资料的真实、合法、完整而制定和实施的政策与程序。 2. 内部控制的目标。（1）保证业务活动按照适当的授权．．．．．进行；（2）保证所有交易和事项以正确的金额，在恰当的会计期间及时记录．．于适当的账户，使会计报表的编制．．符合会计准则的相关要求；（3）保证对资产和记录的接触．．．．．．．．．、处理均经过适当的授权；（4）保证账面资产与实存资产．．．．．．．．．定期核对相符。 3.有关内部控制的一般考虑。 ①管理当局的责任建立、修正和维护公司的各项控制，并监督控制政策和程序得到持续有效的执行是管理当局的责任。 ②合理的保证 A 公司管理当局应在综合考虑控制的成本效益．．．．的基础上，建立能为公司会计报表的公允表达提供合理．．保证的内部控制。 B 控制程序不应对工作效率或获利能力有不利影响。 ③固有的限制由于②和③，会计报表审计总存在一定的控制风险，控制风险始终应大于零。因此不管内控如何，都要进行实质性测试。 4.了解内部控制与审计的关系（1）不论被审计单位规模大小，都要充分了解相关的内控；（2）根据了解，确定是否进行符合性测试及符合性测试的时间、性质和范围；（3）内控良好，绝不能完全取消实质性测试程序。 5．内部控制要素

企业内部控制应用指引(全套)

企业内部控制应用指引控制环境类指引企业内部控制应用指引第 1 号——组织架构第一章总则第一条为了促进企业实现发展战略，优化治理结构、管理体制和运行机制，建立现代企业制度，根据《中华人民共和国公司法》等有关法律法规和《企业内部控制基本规范》，制定本指引。第二条本指引所称组织架构，是指企业按照国家有关法律法规、股东（大）会决议和企业章程，结合本企业实际，明确股东（大）会、董事会、监事会、经理层和企业内部各层级机构设置、职责权限、人员编制、工作程序和相关要求的制度安排。第三条企业至少应当关注组织架构设计与运行中的下列风险：（一）治理结构形同虚设，缺乏科学决策、良性运行机制和执行力，可能导致企业经营失败，难以实现发展战略。（二）内部机构设计不科学，权责分配不合理，可能导致机构重叠、职能交叉或缺失、推诿扯皮，运行效率低下。第二章组织架构的设计第四条企业应当根据国家有关法律法规的规定，明确董事会、监事会和经理层的职责权限、任职条件、议事规则和工作程序，确保决策、执行和监督相互分离，形成制衡。董事会对股东（大）会负责，依法行使企业的经营决策权。可按照股东（大）会的有关决议，设立战略、审计、提名、薪酬与考核等专门委员会，明确各专门委员会的职责权限、任职资格、议事规则和工作程序，为董事会科学决策提供支持。监事会对股东（大）会负责，监督企业董事、经理和其他高级管理人员依法履行职责。经理层对董事会负责，主持企业的生产经营管理工作。经理和其他高级管理人员的职责分工应当明确。董事会、监事会和经理层的产生程序应当合法合规，其人员构成、知识结构、能力素质应当满足履行职责的要求。第五条企业的重大决策、重大事项、重要人事任免及大额资金支付业务等，应当按照规定的权限和程序实行集体决策审批或者联签制度。任何个人不得单独进行决策或者擅自改变集体决策意见。重大决策、重大事项、重要人事任免及大额资金支付业务的具体标准由企业自行确定。第六条企业应当按照科学、精简、高效、透明、制衡的原则，综合考虑企业性质、发展战略、文化理念和管理要求等因素，合理设置内部职能机构，明确各机构的职责权限，避免职能交叉、缺失或权责过于集中，形成各司其职、各负其责、相互制约、相互协调的

内控管理及考核办法

内控管理及考核办法第一章总则第一条为进一步加强XX公司（以下简称“公司”）内部控制管理，提高公司经营管理水平和风险防范能力，促进公司规范化运作和可持续发展，根据《企业内部控制基本规范》（以下简称“基本规范”）、《企业内部控制应用指引》（以下简称“应用指引”）及股份公司相关制度规定，并结合公司实际制定本办法。第二条本办法所称内部控制是指公司董事会、管理层和全体员工共同实施的，旨在实现控制目标的过程。内部控制的目标是合理保证公司经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进公司发展战略的实现。第三条本办法着力解决的问题（一）未有明确的内控管理体系及组织架构，可能导致公司内控管理职责不清、流程不规范，对内控管理工作效能产生影响。（二）未能建立内部控制检查评价机制，可能导致企业无法有效识别内控风险、认定内控缺陷、发现内控失效等情况，形成企业管理漏洞。第四条本制度适用于XX公司。第二章基本要素、原则及措施第五条内部控制的基本要素内部控制包括五项基本要素：内部环境、风险评估、控制活动、信息与沟通、内部监督。内部环境是公司实施内部控制的基础，是公司建设内部控制的

土壤，是一切内控制度、流程、控制节点得以实施的根本条件，支配着全体员工的内控意识，影响着全体员工实施控制活动和履行控制责任的态度、认识和行为。风险评估、控制活动、信息沟通是内控体系核心的三个环节。风险评估是内控建设的方向，非重大风险可以适当简化控制，提高效率和降低控制成本；重大风险则需要加强控制，并建立起相应的制度与流程予以保证。控制活动是内控体系的核心环节，嵌入在业务流程中，将风险控制在可接受程度之内。信息沟通是内控体系的桥梁，确保企业部门之间、上下级之间、各管理级次之间保持良好的沟通渠道。内部监督是内控体系的重要组成部分，是内控体系不断优化和提升的保证。第六条内部控制的基本原则（一）全面性原则：内控制度覆盖公司的所有业务、部门和人员，贯穿决策、执行、监督和反馈等各环节。（二）重要性原则：内控在兼顾全面的基础上突出重点，针对重要业务事项、高风险领域，制定严格的控制措施，确保不存在重大缺陷。（三）制衡性原则：内部控制在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。（四）适应性原则：内部控制与公司经营规模、业务范围、竞争状况和风险水平等相适应，并随着公司外部环境的变化、经营业务的调整、管理要求的提高等不断改进和完善。（五）成本效益原则：内部控制权衡实施成本与预期效益，以适当的成本实现有效控制。

内部控制测试程序与测评

内部控制测试程序和一般性内部控制测评第一节公司内部控制简介一、公司内部控制的含义从广义上说，内部控制是组织机构在经营管理过程中，为保证管理有效、资产安全、会计数据准确真实及为鼓励遵守既定管理政策而采取的所有相应的方法和手段。而对公司来说，内部控制是公司为实现经营目标，通过制定和实施一系列制度、程序和方法，对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。真正的内部控制机构，应是贯穿于公司各项业务活动全过程的控制系统，包括完善的规章制度、可行的操作规程、严密的控制程序和预警预报系统。各公司应充分认识到内控制度建设的重要性，自发地而不是被动地加强内控制度的建设，并作为其生存和发展的首要任务来抓，达到认识和实践的统一。从理论上讲，内部控制的含义本身包括以下评价内容和标准：一是内部控制制度的客观存在性；二是内部控制制度的可操作性和有效性；三是职责履行与内部监督的独立性。二、公司内部控制的目标和原则（一）公司内部控制的目标

1．确保国家法律规定和公司内部规章制度的贯彻执行。 2．确保公司发展战略和经营目标的全面实施和充分实现。 3．确保风险管理体系的有效性。 4．确保业务记录、财务信息和其他管理信息的及时、真实和完整。内部控制应当与公司的经营规模、业务范围和风险特点相适应，以合理的成本实现内部控制的目标。（二）公司内部控制的原则公司内部控制应当贯彻全面、审慎、有效、独立的原则，包括： 1．内部控制应当渗透到公司的各项业务过程和各个操作环节，覆盖所有的部门和岗位，并由全体人员参与，任何决策或操作均应当有案可查。 2．内部控制应当以防范风险、审慎经营为出发点，公司的经营管理，尤其是设立新的机构或开办新的业务，均应当体现“内控优先”的要求。 3．内部控制应当具有高度的权威性，任何人不得拥有不受内部控制约束的权力，内部控制存在的问题应当能够及时反馈和纠正。 4．内部控制的监督、评价部门应当独立于内部控制的建设、执行部门，并有直接向董事会、监事会和高级管理层报告的渠道。三、公司内部控制的要素内部控制要素是指构成内部控制的必要因素。只有内部控制的各构成因素有机结合在一起，才能形成完整的内部控制机制。公司内部控制应当包括以下要素：内部控制环境、风险识别与评估、内部控制措施、信息交流与反馈、监督评价与纠正。（一）内部控制环境公司内部控制环境是指对内部控制的建立和执行过程有重大影响的各种因素的总称。它是推动工作的发动机，是所有其他内部控制组成部分的基础。公司应当建立良好的公司治理以及分工合理、职责明确、报告关系清晰的组织结构，为内部控制的有效性提供必要的前提条件。具体讲，控制环境又包括以下五方面的内容。 1．管理理念管理理念是指管理人员在思想理念及实际行动上对内部控制的重视程度。如，管理人员对业务风险的识别、重视程度，对风险采取的分析、评估和控制方法；管理人员为实现经营管理目标，对内部控制的重视程度；全行是否围绕一个明确的管理理念经营管理等。 2．管理层

企业内部控制应用指引汇编

附件2：企业内部控制应用指引（征求意见稿）企业内部控制应用指引第xx号——资金（征求意见稿）第一章总则第一条为了引导企业加强对资金的内部控制，保证资金的安全，提高资金的使用效益，根据国家有关法律法规和《企业内部控制基本规范》，制定本指引。第二条本指引所称资金，是指企业所拥有或控制的现金、银行存款和其他资金。第三条企业至少应当关注涉及资金管理的下列风险：（一）资金管理违反国家法律法规，可能遭受外部处罚、经济损失和信誉损失。（二）资金管理未经适当审批或超越授权审批，可能因重大差错、舞弊、欺诈而导致损失。（三）银行账户的开立、审批、使用、核对和清理不符合国家有关法律法规要求，可能导致受到处罚造成资金损失。（四）资金记录不准确、不完整，可能造成账实不符或导致财务

报表信息失真。（五）有关票据的遗失、变造、伪造、被盗用以及非法使用印章，可能导致资产损失、法律诉讼或信用损失。第四条企业在建立与实施资金内部控制中，至少应当强化对下列关键方面或者关键环节的控制：（一）职责分工、权限范围和授权审批程序应当明确规范，机构设置和人员配备应当科学合理。（二）现金、银行存款的管理应当合法合规，银行账户的开立、审批、使用、核对、清理严格有效，现金盘点和银行对账单的核对应当按规定严格执行。（三）资金的会计记录应当真实、准确、完整和及时。（四）票据的购买、保管、使用、销毁等应当有完整记录，银行预留印鉴和有关印章的管理应当严格有效。第二章职责分工与授权批准第五条企业应当建立资金业务的岗位责任制，明确相关部门和岗位的职责权限，确保办理资金业务的不相容岗位相互分离、制约和监督。资金业务的不相容岗位至少应当包括：（一）资金支付的审批与执行。（二）资金的保管、记录与盘点清查。（三）资金的会计记录与审计监督。

KPMG内部控制测试指南

KPMG审记与咨询业务中心内部控制测试指南 2001年5月目录 1．概论1 1．1如何运用于所有的审计项目2 2．审计工作进程3 2．1战略性分析3 2．2流程分析4 2．3其它审计步骤及报告4 3．企业的控制环境5 4．流程分析和基于内部控制的审计方法7 4．1理解流程7 4．2理解流程层面的经营风险和财务报表风险7 4．3识别相关的(经营方面的和财务报表方面的)控制点8 4．4选择某一分组的控制点进行测试，以及控制设计测试9 4．5对已选择的控制点进行控制执行测试10 4．5．1测试手段10 4．5．2测试工作的目的和性质11 4．5．3测试工作的样本量12 4．5．4测试的时间安排13 4．6评价测试结果14 4．7记录测试结果14 4．8在内部控制测试时的决策树16附录 A名词解释18 B内部控制测试实例20

B．1战略性经营风险(“SBR”) 20 B．2重要交易事项(“SCOT”) 20 C内部控制的类别 C．1授权 C．2配置/帐项映射的控制 C．3预警报告 C．4界面/转换控制 C．5主要运营指标 C．6管理层审阅 C．7稽核 C．8职责划分 C．9系统访问权限 D测试手段 D．1确证征询 D．2文件检查 D．3能力评估 D．4系统调阅 E信息风险管理专家(IRM)在审计中的作用

1概论 KPMG编写“内部控制测试指南”的目的是为KPMG的审计人员进行内部控制测试工作提供一些帮助。基于内部控制的审计方法(system-basedapproach)是指按照KPMG审计手册(KAM)进行的财务报表审计。它既要考虑人工控制，也要考虑IT控制，还要求信息风险管理(IRM)专家的适当参与。在按照KAM审计的过程中，我们并不计划对所有的审计目标实施实质性测试，(“完全实质测试审计”)，这就需要通过进行各种分析以确定客户的重大错报风险(ROSM，固有风险与控制风险之积)低于最高水平。根据KAM，只有获得了关于客户内控制度的设计及执行是有效的证据，才能认为客户的ROSM低于最高水平。不仅如此，将ROSM评估为高，通常是因为控制测试显示客户的相关内控制度设计不合理或是未得到有效的执行，而不是因为我们基于成本效益的原则而不打算进行控制测试。请参见 4.8部分“在内部控制测试时的决策树”。本指南包含了控制测试的理论和实例。本指南也描述了KAM工作进程的概况，但主要探讨如何在流程分析阶段(ProcessAnalysis)理解和测试客户的内控制度，从而完成按KAM要求的基于内部控制的审计。本指南的基础是与国际审计准则(IAS)相一致的KAM。本指南包含四部分：一、审计工作进程这部分将简要回顾KAM的工作进程，并且着重于以下三部分内容：理解战略性经营风险(SBRs);理解重要交易事项 (“SCOTs”)；以及对关键控制流程(KeyBusinessProcess)进行分析(关键控制流程指管理SBRs或者产生、处理和记录SCOTs的流程)。二、企业的控制环境(Controlenvironment) 这部分将简要回顾KAM关于企业控制环境的论述，企业的控制环境是其它各控制环节的基础。三、流程分析(ProcessAnalysis)---基于内部控制的审计方法(System-basedapproach) 这部分着重于流程分析(ProcessAnalysis)，包括识别流程层面的风险和控制点(Process-levelrisksandcontrols)以及内部控制测试。四、附录 A、名词解释

内部控制穿行测试操作要点及技巧

内部控制穿行测试操作要点及技巧穿行测试是内部控制体系建设及评价过程中的重要工具和方法。在进行了风险评估，了解了企业内部控制现状，梳理和记录完内部控制活动，编制了风险控制矩阵以后，要通过穿行测试与控制测试方法定期对所描述的控制活动进行测试验证，评价其设计及运行的有效性。测试中编制的工作底稿是内部控制合规的重要文档之一，其评价结论既要用来编制内部控制自我评价报告，又要针对发现的内部控制缺陷制定整改计划，不断完善内部控制体系。 1、什么是穿行测试穿行测试是指了解有关内部控制的基础上，按照交易轨迹，从相关流程中选择一个或若干个具有代表性的交易和事项，追踪其从交易的发生到最终被反映在财务报表或其他经营管理报告中的过程，即该流程从起点到终点的全过程。当然，如果从交易的会计处理到交易的起点进行测试更有效的话，也可反过来执行。通俗地来讲，穿行测试就是“穿行+测试”，即通过检查一段时间内执行过的某些重点流程各个控制点所留下的文件存档和信息流等，使流程得到再现，从而验证和确认控制是否真实存在并实际运行，现有的控制是否能够防范相应的风险，最终得出控制设计及运行是否有效的结论。 2、穿行测试的特点 (1)同质性：必须获取同一个交易或包括同一交易的文档。

(2)连续性：从发生到记录全过程的所有控制都要进行测试。 (3)典型性：要尽可能获取一个最近执行的典型交易，以涵盖所有控制。 (4)可测性：获取纸质文档记录进行测试并妥善留存。 (5)普遍性：穿行测试适用于各类型的控制，每年的内部控制评价都必须做穿行测试。 (6)动态性：如果控制发生变化(如流程变化、组织架构变化、关键执行人变化、涉及的信息系统变化等)，则应重新执行穿行测试程序。 3、穿行测试的范围与内容 (1)穿行测试的范围穿行测试的范围要涵盖公司层面、流程层面和IT层面，具体的要以前期已经编制好的18个指引对应的风险控制矩阵为依据。 (2)穿行测试的期间穿行测试要选择最近发生的样本，对部分本年度尚未发生的控制可追溯到上一年的样本。 (3)测试试人员与职责分工 1)测试人员的胜任能力：测试人员应熟悉测试内容，具备一定的内部控制知识及相当的工作经验，工作测试底稿须经适当的复核人检核;

企业内部控制应用指引―固定资产

企业内部控制应用指引—固定资产（征求意见稿）第一章总则第一条为了引导企业加强对固定资产的内部控制，防止并及时发现和纠正固定资产业务中的各种差错和舞弊，保护固定资产的安全完整，提高固定资产的使用效率，根据国家有关法律法规和《企业内部控制基本规范》，制定本指引。第二条本指引所称固定资产，是指为生产商品、提供劳务、出租或经营管理而持有的，使用寿命超过一个会计年度的有形资产。第三条企业至少应当关注涉及固定资产的下列风险：（一）固定资产业务违反国家法律法规，可能遭受外部处罚、经济损失和信誉损失。（二）固定资产业务未经适当审批或超越授权审批，可能因重大差错、舞弊、欺诈而导致资产损失。（三）固定资产购买、建造决策失误，可能造成企业资产损失或资源浪费。（四）固定资产使用、维护不当和管理不善，可能造成企业资产使用效率低下或资产损失。（五）固定资产处置不当，可能造成企业资产损失。（六）固定资产会计处理和相关信息不合法、真实、完整，可能导致企业资产账实不符或资产损失。第四条企业在建立与实施固定资产内部控制中，至少应当强化对下列关键方面或者关键环节的控制：

（一）职责分工、权限范围和审批程序应当明确规范，机构设置和人员配备应当科学合理。（二）固定资产取得依据应当充分适当，决策过程应当科学规范。（三）固定资产取得、验收、使用、维护、处置和转移等环节的控制流程应当清晰严密。（四）固定资产的确认、计量和报告应当符合国家统一的会计准则制度的规定。第二章职责分工与授权批准第五条企业应当建立固定资产业务的岗位责任制，明确相关部门和岗位的职责、权限，确保办理固定资产业务的不相容岗位相互分离、制约和监督。同一部门或个人不得办理固定资产业务的全过程。固定资产业务不相容岗位至少包括：（一）固定资产投资预算的编制与审批。（二）固定资产投资预算的审批与执行。（三）固定资产采购、验收与款项支付。（四）固定资产投保的申请与审批。（五）固定资产处置的审批与执行。（六）固定资产取得与处置业务的执行与相关会计记录。第六条企业应当配备合格的人员办理固定资产业务。办理固定资产业务的人员应当具备良好的业务素质和职业道德。第七条企业应当对固定资产业务建立严格的授权批准制度，明确授权批准的方式、权限、程序、责任和相关控制措施，规定经办人的职责范围和工作要求。严禁未经授权的机构或人员办理固定资产业务。第八条审批人应当根据固定资产业务授权批准制度的规定，在授权范围内进行审批，不得超越审批权限。

企业内部控制应用指引第12号

《企业内部控制应用指引第12号—担保业务》中所称担保，是指企业作为担保人按照公平、自愿、互利的原则与债权人约定，当债务人不履行债务时，依照法律规定和合同协议承担相应法律责任的行为。担保制度起源于商品交易活动，但早期的简单商品交易，往往是以物易物，或者是钱货两清的即时交易，交易主体间失信问题不突出，也就没有担保的必要。随着商品交换形式不断发展，非即时交易大量出现，商品和货币的交付有了时间差，债权债务应运而生，随之而来的问题就是，在对债务人没有百分之百信赖的情形下，债权人需要通过某种方式确保债权的实现，而担保制度正好满足了这种需要。在现代市场经济中，担保制度一方面有利于银行等债权人降低贷款风险，另一方面使债权人与债务人形成了稳定可靠的资金供需关系。但是，必须看到担保业务具有“双刃剑”特征，一些企业包括上市公司陷入担保怪圈和旷日持久的诉讼拉锯战，导致重大经济损失案件时有发生。财政部会计司发布的《我国上市公司2007年执行新会计准则情况分析报告》显示，在1570家上市公司中，有287家存在预计负债，占 18.28%，这287家上市公司2007年确认的预计负债总额为148.50亿元，其中，因担保事项确认的预计负债达到22.26亿元，占到了14.99%。另有研究资料表明，我国上市公司担保业务增速快、金额大、风险高、违规情况较为严重，仅2001年至2004年，平均每年新增121家上市公司涉及担保事项，年均增速达到35%；截至2004年10月，837家沪市上市公司中，有180家存在违规担保情况，涉及金额为279.98亿元，违规担保金额占上市公司担保总额的26.72%；在深市505家上市公司中，涉及担保的公司有311家，担保总额达420亿元，其中违规担保金额为131亿元，占担保总额的31.19%。鉴于担保业务的“双刃剑”特征，《企业内部控制应用指引第12号—担保业务》对严控担保风险提出了一系列有针对性的管控措施。一、担保业务一般流程企业办理担保业务，一般包括受理申请、调查评估、审批、签订担保合同、进行日常监控等流程。具体而言，一是担保申请人提出担保申请；二是担保人对担保项目和被担保人资信状况进行调查，对担保业务进行风险评估；三是担保人根据调查评估结果，结合本企业担保政策和授权审批制度，对担保业务进行审批，重大担保业务应提交董事会或类似权力机构批准；四是担保人依据既定权限和程序，与被担保人签订担保合同；五是担保人切实加强对担保合同的日常管理，对被担保人经营情况、财务状况和担保项目执行情况等进行跟踪监控；六是如果被担保人不能如期偿债，担保人应履行代为清偿义务并向被担保人追偿债务；同时，应当按照本企业担保业务责任追究制度，严格追究有关人员的责

内部控制审计操作手册

目录第一章获取审计业务约定书 (1) 一、获取审计业务约定书1 二、部控制审计业务约定书的容1 三、连续审计2 四、审计业务约定条款的变更2 五、业务约定书的文档记录3 第二章建立审计项目组3 一、项目小组成员的要求3 二、组建项目小组的考虑3 三、管理、指导、并监督项目小组4 四、项目小组成员的角色及责任5 第三章了解被审计单位及其环境6 一、了解被审计单位及其环境的必要性6 二、了解被审计单位及其环境的程度7 三、了解被审计单位及其环境的主要容7 3.1行业状况、法律环境与监管环境以及其他外部因素7 3.1.1行业因素8 3.1.2 遵守法律法规的规定8 3.1.3 其他外部因素8 3.2了解被审计单位的性质9 3.3被审计单位对会计政策的选择和运用10 3.4被审计单位的目标、战略以及相关经营风险10 3.5被审计单位财务业绩的衡量和评价11

四、了解IT在企业中的角色12 4.1了解IT复杂程度12 4.2了解IT对我们审计工作的影响13 五、如何了解企业及其环境13 5.1检阅相关信息13 5.2询问企业管理层及其他人员14 5.3观察及检查14 5.4信息来源14 六、确定重大错报风险15 七、工作底稿记录15 第四章利用专家的工作15 一、确定是否利用专家的工作16 1.1确定IT专家的介入程度17 1.2确定税务专家的介入程度17 1.3确定相关行业专家的介入程度18 二、利用管理层专家的工作18 2.1评价管理层专家的胜任能力、专业素养和客观性18 2.2 了解管理层专家的工作19 2.3 评价管理层专家的工作是否足以实现审计目的20 三、利用事务所的部专家的工作21 四、利用事务所外部专家的工作23 五、记录审计工作26 第五章了解企业整体的部控制27 一、企业层面控制的涵27 二、企业层面控制对其他控制及其测试的影响28 三、了解和评价企业层面部控制的主要容29 3.1与控制环境(即部环境)相关的控制30 3.1.1管理层的理念和经营风格31

内部控制穿行测试操作要点及技巧

内部控制习题及参考答案

企业内部控制应用指引--题目及答案

方案-内部控制审计的程序和方法

行政事业单位内部控制制度设计操作指南2015答案

内部控制之控制测试要点及技巧

企业内部控制基本规范及配套指引

内部控制及控制风险评价

企业内部控制应用指引(全套)

内控管理及考核办法

内部控制测试程序与测评

企业内部控制应用指引汇编

KPMG内部控制测试指南

内部控制穿行测试操作要点及技巧

企业内部控制应用指引―固定资产

企业内部控制应用指引第12号

内部控制审计操作手册

最新版内部控制管理手册