房地产公司公司-内部控制评价手册.doc

xxxx实业有限公司 内部控制评价手册 目录 一、 概述 1 二、 内容构成 1 三、 风险控制矩阵使用指引 1 3.1 风险控制矩阵使用目的 1 3.2 风险控制矩阵使用说明 1 3.3 风险控制矩阵示例 1 四、 内部控制有效性测试底稿使用指引 1 4.1 内部控制有效性测试底稿使用目的 1 4.2 内部控制有效性测试底稿使用说明 1 4.3 内部控制有效性测试底稿示例 3 五、 缺陷评价标准使用指引 14 5.1 缺陷评价标准示例 14 六、 测试方法指引 17 6.1 测试阶段工作计划及范围 17 6.2 测试方法及抽样规则 17 6.3 测试结果的评价与记录 21 6.4 内控评价文档管理 23 附件1《xx公司内部控制有效性测试底稿》 23 1、 概述 xxxx实业有限公司（以下简称“xx公司”）内部控制评价手册（以下简称“本手册”）的主要目的是介绍xx公司内部控制评价的整体工作方法，旨在保证内控评价过程的一致性、有效性和完整性。 2、 内容构成 本手册由风险控制矩阵、内部控制有效性测试底稿构成。 3、 风险控制矩阵使用指引 1 2 3 3.1 风险控制矩阵使用目的 风险控制矩阵是内控评估系统的一个工具，可通过此工具进行自我检查来识别设计层面控制缺陷并主动采取行动进行缺陷整改。 3.2 风险控制矩阵使用说明 4 4.1 3.2.1 B列 – 子流程名称 Ø 子流程名称是该控制活动对应的二级子流程名称。 3.2.2 C列 - 控制目标编号 Ø 编号规则为“流程简称+CO+顺序号”。 Ø 流程简称以英文字母表示，流程简称表如下： 流程名称 流程简称 组织架构 OS 发展战略 ST 人力资源 HR 社会责任 SR 企业文化 CC 全面预算 BU 信息传递 IC 关联交易 RPT 信息系统 IT 内部审计 AU 筹资管理 FIN 资金运营管理 TR 投资管理 IM 固定资产管理 FA 无形资产管理 IA 采购业务 PU 担保业务 GR 财务报告 FR 合同管理 CON 业务外包 BPO 税务管理 TX 项目开发管理 DM 工程项目管理 PM 成本管理 EM 品牌及营销管理 BM 物业管理 FM Ø 顺序号 从数字01开始按顺序编号。须特别提示的是，控制目标与控制活动不是一对一关系，一个控制目标可以对应多个控制活动。 Ø 控制目标编号示例 人力资源管理流程第1个子流程的第1个控制目标，编号应为<HR-CO-01>。 3.2.3 D列 - 控制目标 Ø 控制目标是指内部控制总体目标在各个业务流程中的具体反映。因此本列的控制目标是以每一个业务流程下的子流程为范围（具体化）。 Ø 控制目标示例 人力资源管理流程<HR-CO-01>：人力资源管理有章可循。 3.2.4 E列 – 风险点编号 Ø 编号规则为“流程简称+R+顺序号”。 Ø 顺序号 从数字01开始按顺序编号。须特别提示的是，风险点与控制目标不是一对一关系，一个控制目标可以对应多个风险点，一个风险点也可以对应多个控制目标。 Ø 风险点编号示例 人力资源管理流程第1个子流程的第1个控制目标，编号应为<HR-R-01>。 3.2.5 F列 – 与控制目标对应的风险点 Ø 与控制目标对应控制风险是指未达成控制目标可能导致的风险。 Ø 与控制目标对应的风险示例 人力资源管理流程：公司人力资源管理制度不健全，使得人力资源管理无章可循，导致人力资源管理不规范。 3.2.6 G列 – 控制活动编号 Ø 编号规则为“流程简称+CA+顺序号”。 Ø 控制活动编号示例 人力资源管理流程第1个子流程的第1个控制活动，编号应为<HR-CA-01> 3.2.7 H列 – 标准控制活动描述 Ø 标准控制活动描述是根据已有的公司规章制度或相关内部控制指引中所规范的业务流程，描述实际工作中应遵循的标准的控制活动。标准控制活动的描述要全面详细、语言精炼，一般要求在控制活动中明确出“谁执行、执行什么活动、如何执行”等信息。 Ø 如果一个控制目标存在多个控制活动，用户可自行在风险控制矩阵中添加行用于放置新的控制活动。 Ø 标准控制活动描述应是由国家法律法规、公司制度等明文规定的、必须遵循的活动，主要包括但不限于： ü 授权审批控制 ü 异常报告、文档编辑记录控制 ü 数据传递、数据转换控制 ü 业绩考核指标 ü 独立复核控制 ü 核对控制 ü 职责分离控制 ü 系统接触控制 ü 系统设置、会计科目的系统设置 Ø 标准控制活动描述示例 人力资源管理流程<HR-CA-01>：人力资源部门建立健全人事管理相关的制度，提交公司领导层审批后下发各部门执行。 3.2.8 I列 – 实际执行的控制活动 Ø 此列填写公司当前业务流程的实际操作情况，同样需要明确指出“谁执行、执行什么活动、如何执行”等信息。 Ø 实际执行的控制活动示例 人力资源管理流程<HR-CA-01>： 人力资源制度建设 综合部制定《招聘制度》、《劳动合同制管理规定》、《绩效考核管理制度》、《员工福利规定》及《员工培训制度》等，对人力资源管理流程进行规范。公司现存的岗位说明书未得到及时更新，不适应公司目前的岗位及职责设定。 3.2.9 J列 – 重要性程度 Ø 判断该控制活动是否为关键控制活动，关键控制是指对实现控制目标发挥关键性作用的控制活动。 3.2.10 K列 – 制度 Ø 此列填写公司目前已制定的涉及该控制活动的相关制度及规定。 3.2.11 L列 - 文档 Ø 此列填写公司目前在该控制活动中涉及的相关文档。 3.2.12 M列 – 责任部门及岗位 Ø 此处填列的是负责该控制活动的部门及岗位。 3.2.13 N列 - 控制形式 Ø 如果该控制活动是由公司信息系统控制，控制形式选择“自动控制”。如果不是，控制形式选择“手工控制”。 3.2.14 O列 - 执行频率 Ø 指所对应的控制活动的控制频率，该部分将用于测试阶段样本量的计算。执行频率分为“每日多次”、“每日”、“每周”、“每月”、“每季”、 “每半年”、“每年”、“业务发生时”。 3.2.15 P列 –测试底稿编号 Ø 指所对应的内部控制有效性测试底稿。编号规则为“流程简称+T+顺序号”。 Ø 测试底稿编号示例 人力资源管理流程第1个子流程的第1张测试底稿，编号应为<HR-T-01> 3.2.16 Q列 –测试结论 Ø 此处填入的是运行有效性测试结果，结果分为：达标、未达标、样本量不足三种。 3.2.17 R列 – 合规对标–条款 Ø 列示与该控制活动相对应的企业内部控制指引相关条款名称及编号。 3.2.18 S列 – 合规对标–规定内容 Ø 列示与该控制活动相对应的企业内部控制指引相关条款的具体内容。 3.2.19 T列 – 缺陷编号 Ø 编号规则为“流程简称+CD+顺序号”。 Ø 缺陷编号示例 人力资源管理流程第1个缺陷，编号应为<HR-CD-01>。 3.2.20 U列 – 内控缺陷 Ø 通过实际执行的控制活动与标准控制活动进行对比后（即有可能与标准控制活动一致或存在偏差），如果存在的偏差且此偏差可能导致公司内部控制不到位，则此偏差即为目前公司内部控制的缺陷概述。 Ø 内控缺陷示例 人力资源管理流程<HR-CD-01>:岗位说明书没有及时更新。 3.2.21 V列 – 缺陷描述 Ø 对内控缺陷的详细描述。 Ø 缺陷描述示例 人力资源管理流程< HR-CD-01>：公司现存的岗位说明书未得到及时更新，不适应公司目前的岗位及职责设定。 3.2.22 W列 – 整改建议 Ø 改进建议是指针对缺陷描述，遵循“4W1H”原则提出的相对应的改善建议，即建议公司执行的控制活动。 Ø 整改建议示例 人力资源管理流程< HR-CD-01>： 综合部牵头，各部门积极配合，在现有岗位说明书的基础上，根据组织结构设计及经营管理需要，对各部门的职能定位及部门内部岗位分工进行梳理，说明各个岗位的职责及任职条件。岗位说明书定稿后，提交总经理办公会审议后下发各部门参照执行。 3.2.23 X列 – 缺陷等级 Ø 根据缺陷评估标准对缺陷等级进行评价，分为：一般缺陷、重要缺陷和重大缺陷三类。 3.3 风险控制矩阵示例 以下以人力资源管理流程为例，展示风险控制矩阵的部分内容，具体17个流程的控制矩阵内容请参见附件1《xx公司内部控制有效性测试底稿》。 四、 内部控制有效性测试底稿使用指引 4 4.1 内部控制有效性测试底稿使用目的 为检验关键控制活动是否持续有效，需按设定的抽样方法选取一定样本量的文档、单据、表格，按照测试内容的要求进行测试验证。关键控制测试记录文档系用于记录选取的样本内容，以及所实施的具体测试程序、样本选取说明等。所有测试记录文档中所记录的要素均是支持测试结果的证据。 4.2 内部控制有效性测试底稿使用说明 5 5.1 5.2 4.2.1 测试底稿编号 Ø 编号规则为“流程简称+T+顺序号”。 Ø 缺陷编号示例 人力资源管理流程第1张测试底稿，编号应为<HR-T-01>。 4.2.2 控制活动编号 Ø 测试对象在风险内控矩阵中对应的控制活动编号。 4.2.3 控制活动 Ø 测试对象在风险内控矩阵中对应的实际控制活动。 4.2.4 控制形式 Ø 如果该控制活动是由公司信息系统控制，控制形式选择“自动控制”。如果不是，控制形式选择“手工控制”。 4.2.5 执行频率 Ø 测试对象在风险内控矩阵中对应的控制频率。 4.2.6 样本量及说明 Ø 根据样本量选取规则确定的样本量。 Ø 公司目前在该控制活动中涉及的相关文档。 4.2.7 测试程序 Ø 为测试该控制活动是否有效执行应进行的测试工作，包括观察、询问、查阅资料、检查、重新执行等方法。 4.2.8 测试属性 Ø 控制活动包含的关键控制要素。 4.2.9 样本记录 Ø 记录测试抽样的样本，包括样本名称、日期、编号等，以便能快速准确地追溯到该样本。 4.2.10 测试结果 Ø 测试结果分为“达标”、“未达标”、“不适用” 4.2.11 测试说明： Ø 记录样本量计算依据、测试属性达标以外的情况说明等情况。 ü 开始执行日说明：填写控制活动在本年度开始执行的日期或完成整改的日期。 ü 非固定频率样本量计算说明： · 对每个周期多次发生（如每日多次）或发生频率为“业务发生时”时控制活动，其全年样本量的计算依据与过程需要在此进行说明； · 示例：根据XX部门XX岗位提供，2012年1月1日到2012年7月XX日共发生样本YY份 ，预计全年共发生YY*12/7份样本，因此全年样本量应为“ZZ”份，本次测试抽取样本AA份。 ü 测试结果说明：对除“达标”以外的其他测试结果（即未达标、不适用），均需详细说明原因；对测试结果为“达标”，但有需要特别说明的情况，也可以在进行说明。 Ø 上述这些说明，可根据实际测试情况，可多项选择说明项目。 4.3 内部控制有效性测试底稿示例 内部控制有效性测试底稿涉及流程框架中的17个流程，以下以合同管理流程为例，展示测试底稿的部分内容，内控有效性测试及到具体内容请参见附件1《xx公司内部控制有效性测试底稿》。 五、 缺陷评价标准使用指引 根据五部委《企业内部控制基本规范》和《企业内部控制评价指引》的相关规定，内控缺陷分为设计缺陷与运行缺陷两种类型，设计缺陷是指流程及控制活动在最初设计的时候未全面考虑，未能达到相关监管要求或无法保证企业经营目标顺利实现而存在的缺陷；运行缺陷是指流程及控制活动的设计达标，但在实际操作过程中未按照既定的流程执行而产生的缺陷。 内控缺陷根据影响程度以及发生频率与合规程度分为重大缺陷、重要缺陷和一般缺陷。 5 重大缺陷：是指一个或多个控制缺陷的组合，可能导致企业严重偏离控制目标。 重要缺陷：是指一个或多个控制缺陷的组合，其严重程度和经济后果低于重大缺 陷，但仍有可能导致企业偏离控制目标。 一般缺陷：是指除重大缺陷、重要缺陷之外的其他缺陷。 公司可参照缺陷评价标准，根据实际盈利水平和资产规模对报表影响维度中的财务损失进行更加具体的量化规定。 5.1 缺陷评价标准示例：   一般缺陷 重要缺陷 重大缺陷 发生频率与重要性 •未重复发生的一般控制不达标。 •重复发生的一般控制不达标； •关键控制不达标。 •重复的关键控制不达标。 公司治理影响 战略发展 •对公司业务规模的有序扩张造成中等程度的负面影响，但是公司在一定期限内可以消除此种影响； •Ÿ对公司盈利水平的稳步提高造成中等程度的负面影响，但是公司在一定期限内可以消除此种影响； •对公司战略目标的最终实现造成阻碍，但是从中长期来看，这种阻碍的不良影响可以逐渐消除；或战略规划中的部分指标难以完成； •对战略实施的推进工作造成了一定的阻碍，或在一定程度上破坏了战略实施与评估机制。 •对公司业务规模的有序扩张造成较为严重的负面影响，且公司在较长时间内难以消除此种影响； •Ÿ对公司盈利水平的稳步提高造成较为严重的负面影响，且公司在较长时间内难以消除此种影响； •对公司战略目标的最终实现造成严重阻碍，战略规划中的关键指标难以完成； •对战略实施的推进工作造成了较大阻碍，或较大地破坏了战略实施与评估机制。 •对公司业务规模的有序扩张造成严重的负面影响，且公司无法消除此种影响； •Ÿ对公司盈利水平的稳步提高造成严重的负面影响，且公司无法消除此种影响； •对公司战略目标的最终实现造成严重阻碍，战略规划中的指标几乎全部不能完成； •极大地阻碍了战略实施的推进工作，或极大地破坏了战略实施与评估机制。 治理结构 •公司治理结构存在一定的缺陷，权力制衡机制受到了中等程度的负面影响； •对决策的科学性造成中等程度的负面影响，决策结果与预期目标存在一定差距； •Ÿ对决策的效率造成中等程度的负面影响，市场机会丧失事件常有发生。 •公司治理结构存在严重缺陷，权力制衡机制受到严重的负面影响； •对决策的科学性造成严重的负面影响，决策结果与预期目标存在显著差距； •Ÿ对决策的效率造成严重的负面影响，市场机会丧失事件频繁发生。 •公司治理结构缺失，权力制衡机制功能不存在； •对决策的科学性造成极端的负面影响，决策结果完全与预期目标相背离； Ÿ对决策的效率造成极端的负面影响，公司完全无法把握市场机会。 监督检查 •对管控措施的有效推行造成一定阻碍； ŸŸ•监督与控制机制受到一定程度的损害； •业务环节、过程等得到监督，全面性仍有待提高； •建立了正式的监督结果报告机制和根据监督结果实施绩效考核、责任追究的工作机制，但仍需进一步完善。 •对管控措施的有效推行造成严重阻碍； ŸŸ•监督与控制机制受到严重损害； •有限度的对业务环节、过程等进行监督，部分业务环节、过程处于监管真空； •没有正式的监督结果报告机制，经常进行口头汇报，也没有建立根据监督结果开展绩效考核和责任追究的工作机制。 •管控措施无法有效推行； ŸŸ•监督与控制机制无法发挥作用，且在较长时间内无法得到改善； •相关业务环节、过程等完全没有监控，业务活动处于原始自发状态。 控制环境 •对内部控制有一定认识，但不够全面； •内部控制制度完整，信息沟通系统到位，但仍需进一步完善日常业务操作。 •对内部控制的认识严重不足； •造成内部控制制度、信息沟通系统都有严重缺陷 。 •缺乏对内部控制的认识； •造成内部控制制度整体缺失，信息沟通系统缺失。 运营影响 效率 Ÿ•公司整体资本运营效率受到一定的影响； •公司整体资金配置的效率受到一定的影响； •日常业务运营效率有一定程度的降低； •信息传递与沟通效率有一定程度的降低。 •Ÿ公司整体资本运营效率受到较大影响； •公司整体资金配置效率受到较大影响； •日常业务运营效率有较大程度的下降； •信息传递与沟通效率有较大程度的下降。 ŸŸŸ•公司整体资本运营效率大大降低；ŸŸ Ÿ ŸŸŸ•公司整体资金配置效率大大降低； •日常业务运营效率大幅度下降； •信息传递与沟通效率大幅度下降。 部门间协作 •各部门间的合作受到一定的阻碍，协同效应的发挥受到影响； Ÿ•部门与部门之间、个人与个人之间的信息交流和情报传递受到一定阻碍，对信息的获取和使用产生一定的负面影响； •公司上下的全局观念和团队意识受到一定的影响。 •各部门间的合作受到较大的阻碍，协同效应难以发挥； Ÿ•部门与部门之间、个人与个人之间的信息交流和情报传递存在较大程度的不通畅； •公司上下的全局观念和团队意识受到较大影响。 ŸŸ•各部门间的合作受到严重的阻碍，无法产生任何的协同效应； Ÿ•部门与部门之间、个人与个人之间的信息交流和情报传递极其不通畅； •公司上下的全局观念和团队意识受到严重影响。 法律法规影响 经营违规 •Ÿ违反法律、法规、规章、政府政策、其他规范性文件等，受到地方政府或监管机构的调查，并被处以罚款或罚金。 •违反法律、法规、规章、政府政策、其他规范性文件等，受到地方政府或监管机构的调查，并被处以罚款或罚金，且被责令停业整顿等。 •ŸŸŸŸ严重违反法律、法规、规章、政府政策、其他规范性文件等，受到中央政府或监管机构的调查，并被处以罚款或罚金，且被限令行业退出、吊销营业执照、强制关闭等。 诉讼处理 ŸŸ•一般性诉讼（仲裁）案件的起诉或应诉，因违反诉讼（仲裁）时效的规定、遗失关键证据、诉讼（仲裁）策略不当、未采取或及时采取诉讼（仲裁）保全措施等，导致公司一定经济利益损失，或对公司造成一定负面影响。 ŸŸŸ•重大诉讼（仲裁）案件的起诉或应诉，因违反诉讼（仲裁）时效的规定、遗失关键证据、诉讼（仲裁）策略不当、未采取或及时采取诉讼（仲裁）保全措施等，导致公司经济利益受到严重的影响，或对公司持续经营造成严重影响。 ŸŸŸŸ•重大诉讼（仲裁）案件的起诉或应诉，因违反诉讼（仲裁）时效的规定、遗失关键证据、诉讼（仲裁）策略不当、未采取或及时采取诉讼（仲裁）保全措施等，导致公司经济利益受到极为严重的影响，或导致公司无法持续经营。 报表影响 财务损失 •导致一定程度的财务损失，且财务损失一段时间内不能恢复，或财务损失对公司的正常经营产生一定的负面影响； •Ÿ实现国有资产保值增值的目标在短期内受到影响。 •导致严重的财务损失，且财务损失较长时间内不能恢复，或重大财务损失对公司的正常经营产生严重的负面影响； •Ÿ国有资产保值增值目标难以实现，国有资产遭到流失。 •导致重大财务损失，且财务损失长时间内不能恢复，或重大财务损失已威胁公司的生存； •Ÿ国有资产保值增值目标受到重创，国有资产严重流失。 会计报表错报 •对财务基础数据的真实性造成中等程度的负面影响，并导致财务报告无法反映部分主营业务或金额较大的非主营业务的实际情况； Ÿ•提交到国资委、税务等政府部门的财务报告部分不满足要求，并遭到一般处罚。 •对财务基础数据的真实性造成较大的负面影响，并导致财务报告无法反映大部分业务的实际情况； Ÿ•提交到国资委、税务等政府部门的财务报告大部分不满足要求，并遭到较为严厉的处罚。 •对财务基础数据的真实性造成极其严重的负面影响，并导致财务报告完全无法反映业务的实际情况； Ÿ•提交到国资委、税务等政府部门的财务报告完全达不到要求，并遭到严厉的处罚。 其他影响 社会责任 •与政府的政策目标存在一定程度的差距，对社会的稳定造成一定不良影响； Ÿ•对国民经济的长远、整体利益造成一定的负面影响，但可以通过自身力量弥补； •对环境产生了一定的负面影响，出现个别投诉事件，需要采取一般的补救措施。 •严重背离了政府的政策目标，对社会稳定造成了较恶劣影响； Ÿ•对国民经济的长远、整体利益造成较严重的伤害； •对环境产生了恶劣的影响，遭到周边居民的强烈抗议或受到监管单位的责罚，必须执行复杂、困难、成本高昂的补救措施。 •与政府的政策目标形成对立局面，对社会稳定造成恶劣影响； Ÿ•对国民经济的长远、整体利益造成严重伤害； •对环境产生灾难性的、难以挽回的恶劣影响，遭到全国性的舆论抗议或受到监管单位的重大责罚。 企业声誉 •负面消息引起企业所在地的地方媒体关注，但并未公开报道，企业声誉受到轻微损害。 •全国性媒体对负面消息进行报道，企业声誉受到严重损害。 •负面消息在全国范围内流传，引起政府部门或监管机构关注并展开调查，对企业的负面影响在较长时间内无法消除。         控制缺陷评级方法： 如该控制缺陷内容能映射到缺陷评价标准中的多项标准，则取最为严格的标准(谨慎性原则)作为此缺陷的评定标准。           六、 测试方法指引 6 6.1 测试阶段工作计划及范围 1. a. 6.1.1 测试阶段工作计划 测试阶段工作是在自评阶段完成的基础上进行的，测试人员根据风险控制矩阵模板选定的检查方法进行控制测试。所谓控制测试就是通过抽取一定的样本量，检查其是否符合测试内容中的要求，以证明内部控制活动是否持续有效执行。 6.1.2 测试工作范围 控制测试范围包括每个流程执行的各项关键控制活动（包括自动控制和手工控制）。对于在2012年内肯定会发生变化并且有清晰变更计划的控制活动，在该控制活动发生变化前可不纳入控制测试范围。在新的控制活动开始实施后，新的控制活动纳入测试范围。 6.2 测试方法及抽样规则 1.1 6.2.1 测试方法 Ø 控制测试的性质可以分为四个类型：询问、观察、检查、重新执行。 ü 询问本身不足以提供充分的证据来证明一个内控是否有效运行，所以它提供的保障程度最低。 ü 检查包含询问和观察，通过检查手工控制留下的证据可以作为测试手工控制的较好方法。 ü 重新执行是指对控制执行更为详细的检查程序，自评人需要详细记录所抽样样本对控制要求的满足程度，这种测试方法为评价控制的有效执行提供了最高程度的保证。 6.2.2 抽样规则 Ø 样本应能够贯穿业务流程全过程，应该侧重于财务信息及运营信息相关的资料，应尽量自财务部门及各相关业务部门取得。如采购设备入账的审核，应取得入账凭证、发票、验收报告、采购合同，试运行报告等，如自财务部门只取得入账凭证、发票，则应自相应的业务部门取得验收报告、采购合同、试运行报告等，且保证上述各相关文件中描述的业务为同一笔业务。 Ø 样本的选择需要考虑交易的同质性： ü 由于测试是针对每个控制活动进行的，而每个控制活动在每家公司可能由于业务类型、审批程序等的差异而延伸出多个控制活动。针对同一个控制活动，如果控制流程不同（如执行控制的人员不同、控制方式不同），应该视为不同的控制分别确定样本总体。为保证测试样本完整的覆盖面，抽取样本时应该在不同的样本总体内分别选择不同的样本。 ü 如果公司存在多个控制活动，且他们是基本相同的，如执行控制的人员相同、控制方式相同，此时可以把这多个控制活动作为一个总体进行抽样；如果多个控制活动是不同的，则应将各个控制活动分别作为总体进行抽样。 Ø 在样本量足够的情况下，在测试中应尽量抽取全部样本量。如果由于控制活动执行的时间有限或控制活动发生频率极低甚至在测试期间内未发生，无法抽取足够的样本，那么就在测试结果评价栏中进行说明之后可在后续的测试工作中补全样本。 Ø 如果控制活动是从2012年年中的某个时候开始执行的，样本要从该控制活动开始执行之日抽取。 Ø 如果控制活动存在缺陷并根据管理层要求进行了整改，则样本应从2012年整改完成日后开始抽取。 Ø 为了避免抽样风险，在不存在特殊情况时（例如：控制活动有缺陷，应从整改完成日后开始抽样），测试者应在测试期间内相对均匀地选择样本。例如：控制测试的期间为2012年1-6月，测试抽取的样本应包括1-6月每月发生的交易（执行频率在每月以上的控制活动除外） 6.2.3 手工控制的样本量 Ø 样本量的多少通常情况下需要考虑控制活动的执行频率。 Ø 鉴于对应一个控制目标/重要会计科目的某个财务报表认定，通常都会有多个控制活动与其相对应，我们认为可以选择适中的样本量。测试手工控制活动的抽样数量如<表一>所示。 Ø 对每日发生多次的控制，初始样本量为25个，当测试发现一项控制偏差，且该偏差不是系统性偏差时，应扩大样本规模进行测试，所增加的样本量至少为15个。 <表一> 固定频率控制活动样本量 控制执行频率 样本量 每年 1 每季度 2 每月 2 每周 5 每日 20 每日多次 25 业务发生时 具体计算 Ø 对于那些发生频率不固定的控制活动，每轮测试中，要根据年初到测试执行日的业务量估算该控制活动全年预计发生的数量并据此确定样本量，抽样原则如表二所示： ü 第一次测试的样本期间如定为1-6月，则可按照1-6月已经发生的次数，估算全年发生的次数。例如：某个控制活动在2012年前6个月共发生了3次，那么测试者就可以暂估全年的发生次数为6次，并据此判断全年样本量为2个。 ü 样本的估算过程需在测试记录文档“说明项目”中的“非固定频率样本量计算说明”对估算方法进行说明。说明应清晰准确，能够充分体现预估全年样本总体合理的依据。 ü 示例：根据对XX部门XX岗位的访谈，我们检查了XX业务活动在2012年5－6月份的全部样本编号为001号至022号，因此预估全年样本约为22*12/2=132份。根据非固定执行频率控制活动样本量的规定，全年应抽取样本量为20个。 <表二> 非固定执行频率控制活动样本量 发生次数 折合频率 样本量 >250 每日多次 25 52-250 每日 20 12-52 每周 5 <12 每季/每月 2 1 每年 1 Ø 当某个控制活动的发生频率虽是固定的，但每个控制活动发生时，会有多次发生的现象，如其控制方式、控制执行人是一致的，则可判断为同质的控制活动，此时样本总体数量首先应换算为全年所有发生数量之和，再按照表二的标准来选择样本量。 ü 例如：财务管理部主管人员每月审核银行存款余额调节表。该控制活动的执行频率为每月一次，但公司可能有不只一个银行账户，故应考虑所有控制活动全年执行的次数，将其作为全年的样本总体。若公司有8个银行账户，则该控制活动每年的执行次数应为12*8=96次，按照表二的规定，则该控制活动全年的样本个数应为20个，类似的还有每月的工资表、各种保险计算表等。 ü 对于某个控制活动的发生频率是固定的，但每个周期多次发生的现象，如上述所说的银行存款余额调节表编制等情况，其全年样本总体估算方法，也需要在“说明项目”中的“非固定频率样本量计算说明”中详细说明，如：银行余额调节表每月编制一次，共编制8个银行账户，则该控制活动每年的执行次数为12*8=96次，根据非固定执行频率控制活动样本量的规定，全年抽取样本量为20个。 6.2.4 自动控制的样本量 由于自动控制是由系统自动完成的，因此自动控制活动的样本量远远低于手工控制。 <表三> 自动控制活动的样本量 控制类型 样本量 自动控制 1个 6.2.5 何时可以停止抽样 为了提高测试工作效率，对于“执行测试程序”类的控制，当每个控制活动的所有测试内容都出现过一次未达标时，自评人可以停止抽样，并要求管理层进行整改。 6.2.6 样本量及样本期间 Ø 样本量：测试时，如果自评期间合格样本量足够多，则自评测试过程中抽足样本量; 如果自评期间存在控制活动因进行整改而无法提供合格样本的情况, 或者某控制活动在截止自评时的发生频率极低甚至尚未发生交易，而导致样本量不足或缺失的情况, 则需在以后进行补充测试。 Ø 测试样本起始日：要求测试样本的起始日为(2012年01月01日) 或制度颁布日；发现问题进行整改的流程，测试起始日为整改完成日。 6.3 测试结果的评价与记录 2.1 6.3.1 测试结果类型 测试结果共分三种：达标、未达标、不适用，已经预设在测试模板的“测试是否达标”栏中，自评者只需点击下拉菜单，选中相应的选项即可。 Ø 达标 当所有的测试程序全部执行完毕，抽取的样本达到规定的全年样本量，所选的样本完全符合测试内容的要求，未发现例外情况时，选择测试结果“达标”。 Ø 未达标 在测试过程中发现有些样本不符合测试内容的要求，存在例外情况时，选择测试结果“未达标”。 Ø 不适用 对于以下三种情况，选择测试结果“不适用”： ü “样本量不足”：在执行测试程序的过程中，由于相关业务流程的样本量不足致使测试无法完成； ü “未发生交易”：对于可能存在某些控制活动为适用，但截止自评时该业务尚未发生； ü “其他不适用”：可能存在一些控制活动不适用的情况。 当样本的某个测试内容的测试结果为“未达标”或“不适用”时，自评人必须在测试模板说明栏中的“测试结果说明”中注明“未达标”、“不适用”的原因。 6.3.2 测试结果的评定 Ø 达标 在以下两种情况下，我们可以认定某控制活动的测试结果为达标： ü 在自评测试中抽取了规定的样本量而且所抽样本的测试结果全部为达标，该控制活动的最终结果为“达标”； ü 在自评测试中未达标，但在经过整改之后的测试中抽取到足够的样本，而且所抽样本的测试结果全部为达标，则该控制活动本年度的最终测试结果为“达标”。 需要注意的是，对于整改后的控制活动必须运行一段时间才能判断其是否有效，管理层必须保证有足够的样本量证明整改后的控制活动是有效的。所以管理层越早发现控制缺陷越利于整改，特别是那些执行频率较低的控制活动。 Ø 未达标 一旦某一个样本的某一个测试内容的结果是未达标，整个控制活动即被认为未得到有效执行。 如果自评测试结果表明，某测试内容不达标，应进行及时整改，并在后续的测试时，遵循表一、表二和表三列示的样本量对其重新进行抽样测试。 在以下两种情况下，我们最终认定某控制活动本年度的测试结果为未达标： ü 在所有的控制测试中都未能达标； ü 正在整改或者已经整改完成的控制，在测试中未能取得足够的合格样本以保证该控制活动已经得到有效整改。 Ø 不适用 ü “样本量不足”： 本年度测试执行的时间点与某控制活动发生的时间冲突，导致该年度某控制活动发生量较少或尚未发生，无法抽取足够样本。 “样本量不足”的情况可能有： · 测试执行在控制活动发生之前，导致无法抽取足够样本量； · 其他原因。 ü “未发生交易”： 对于公司可能存在一些控制活动截至测试执行时尚未发生的情况，测试结果为未发生交易。 “未发生交易”的情况可能有： · 某控制活动由于发生量较少，截至测试执行时并未发生； · 其他原因。 ü “其他不适用”： 对于可能存在一些控制活动不适用的情况，自评人应在测试中重新评价该控制活动的适用性。如果经过评估认定该控制活动仍然不适用，那么其测试结果即为不适用。如果该控制活动变为适用，则需要按照<表一>或<表二>中的样本量抽取样本进行测试。 6.4 内控评价文档管理 3.1 6.4.1 不达标样本管理 测试过程中对于发现的未达标样本，应予复印或保存电子文档，并统一存档。 6.4.2 与公司内控负责人和管理层沟通测试结果 测试人员需就测试结果与流程负责人和管理层进行沟通。对于测试中发现的控制缺陷，测试人员应同相关责任人或部门充分沟通，确认整改建议可以满足控制的要求，并落实整改责任人和整改完成时间。 附件 7 附件1《xx公司内部控制有效性测试底稿》