1

企業控制體系建設

培訓手冊中和某著名企業山東某著名企業

2009年6月12主要內容體系:◆一、企業控制理論發展概述◆二、《企業控制基本規范》框架結構及主要內容◆三、企業控制體系設計◆四、企業控制評價2越來越多的外部要求股東證券交內控與全面風險管理政府部門行業監管部門國資委：《中某著名企業業全面風險管理指引》…治理結構財政部：《企業控制基本規范》…《薩班斯法案》《上海證券交市公司控制指引》《深圳證券交市公司控制指引》…《保險公司風險管理指引（試行）》《商業銀行操作風險管理指引》…3一、企業控制理論發展概述——美國階段時間定義內容牽制前3600至1936柯氏會計辭典：以任何個人或部門不能單獨控制任何一項或一部分業務權利的方式，進行組織上的職責分工，使每項業務通過正常發揮其他個人或部門的職能進行交叉檢查或交叉控制。

職責分工；交互檢查。四項職能：實物牽制、物理牽制、分權牽制、簿記牽制

控制1936年美國注冊會計師協會第一次從財務審計角度提出控制概念1953年美國注冊會計師協會所屬的審計程序委員會對控制定義作出修改，把控制分為會計控制和管理控制。會計控制由“組織計劃和所有保護資產、保護會計記錄可靠性或與此有關的所有方法和程序構成”。管理控制“由組織計劃和所有為提高經營效率、保證管理部門所制定的各項政策得到貫徹執行或與此直接有關的所有方法和程序構成”。

授權與批準制度；記帳、編制報表、保管、保護財務資產等職務分離；實物控制；審計。統計分析；時動研究；經營報告；雇員培訓計劃；質量控制等。

一、企業控制理論發展概述—美國階段時間定義內容控制結構1988美國注冊會計師協會第55號審計準則公告提出控制結構這個概念。企業控制結構包括為合理保證企業特定目標的實現而建立的各種政策和程序。控制環境；會計系統；控制程序。控制整合框架1992控制是一個由企業董事會、管理層和其他員工實施的、旨在為下列各類目標的實現提供合理保證的過程：經營的有效性和效率、財務報告的可靠性、符合適用的法律和法規。控制環境；風險評估；控制活動；信息與溝通；監督。企業風險管理整合框架2004企業風險管理是一個過程，它由一個主體的董事會、管理當局和其他人員實施，應用于戰略制定并貫穿于企業之中，旨在識別可能會影響主體的潛在事項，管理風險以使其在該主體的風險容量之內，并為主體目標的實現提供合理保證。1.環境2.目標制定3.事項識別4.風險評估5.風險反應6.控制活動7.信息與溝通8.監督6企業全面風險管理、控制、財務報告控制并存◆在美國，由于企業所處行業、規模大小、發展階段、管理水平和監管機構的要求不同，導致企業全面風險管理、企業控制、財務報告控制三者同時存在。◆監管機構和法律代表投資者的利益，考慮到成本效益原則和注冊會計師的專業勝任能力，只要求注冊會計師對其財務報告控制系統進行評價并出具鑒證意見，是一種實事求是的選擇，反而一刀切要求所有企業都要建立全面風險管理體系是不現實的。◆這樣就形成了最新理論是企業全面風險管理，法律法規要求企業建立控制體系，對于注冊會計師的評價則僅限于財務報告控制。667一、企業控制理論發展概述—中國◆牽制階段

1978年《會計人員職權條例》1984年《會計人員工作規則》1986年《會計工作基礎規范》◆會計控制階段

1999年《會計法》將“控制”當作會計信息“真實與完整”的基本手段之一2001年至2004年財政部發布《會計控制基本規范》和7個具體規范◆企業控制規范體系階段

財政部等五部委2008年6月28日發布《企業控制基本規范》◆企業全面風險管理階段2006年6月國務院國資委發布《中某著名企業業全面風險管理指引》

7美國COSO的內控框架和風險管理框架監控信息和溝通控制活動風險評估控制環境營運財務報告合規性業務單位A業務單位B活動2活動1監督信息和溝通控制活動風險評估控制環境營運財務報告合規性業務單位A業務單位B活動2活動1內控控制框架企業風險管理框架8

中國《企業控制基本規范》和《中某著名企業業全面風險管理指引》財政部：企業控制國資委：中某著名企業業全面風險管理體系風險管理的監督與改進

戰略目標報告目標合規目標經營目標減災目標收集風險信息信息組織文化評估風險制定風險管理策略提出和實施風險管理解決方案風險管理的監督與改進

戰略目標報告目標合規目標經營目標資產安全環境公司層面業務單元子公司風險評估控制活動信息與溝通監督910一、企業控制理論發展概述——中外對比控制標準目標要素備注控制—整合框架（簡稱COSO報告1）三個目標：經營的有效性和效率；財務報告的可靠性；符合適用的法律和法規五個要素：控制環境；風險評估；控制活動；信息與溝通；監控企業風險管理—整合框架（簡稱COSO報告2）四個目標：在COSO報告1的基礎上，增加了戰略目標，將財務報告目標改為報告目標；經營和合規目標未變八個要素：在COSO報告1的基礎上，將控制環境目標改為環境要素；新增目標設定要素；將風險評估要素進一步細分為事項識別、風險評估和風險應對三個要素；其他三個要素未變控制是企業風險管理不可分割的一部分，這份風險管理框架涵蓋了控制框架中某著名企業業全面風險管理指引五個目標：在COSO報告2的基礎上增加了資產保護目標未提出要素概念，第五條指出了風險管理的五大流程，基本上涵蓋兩個COSO報告的要素內容企業控制基本規范五個目標：與中某著名企業業全面風險管理指引的目標相符五個要素：采用了COSO報告1五要素標準1011二、企業控制基本規范◆2006年7月15日，財政部牽頭成立跨部門的“企業控制標準委員會”，開始研究、制定一套具有統一性、公認性和科學性的企業規范◆研究制定控制規范，是經濟社會發展的迫切要求，是新形勢下監管部門落實科學發展觀、服務企業改革與發展的重要舉措◆國際資本市場大力強化控制◆經濟健康發展迫切呼喚加強控制◆各級領導高度重視控制制度建設1112二、企業控制基本規范

◆我某著名企業業控制制度體系的基本目標：總結我國經驗，借鑒國際慣例，有效利用國際國內資源，充分發揮各方面的積極作用，通過三到五年的努力，基本建立一套以防范風險和控制舞弊為中心、以控制標準和評價標準為主體的控制制度體系，以及監管部門為主導、各單位具體實施為基礎、會計師事務所等中介機構咨詢服務為支撐、政府監管和社會評價相結合的控制實施體系，推動公司、企業和其他非營利組織完善治理結構和約束機制，不斷提高經營管理水平和可持續發展能力。1213《企業控制基本規范》框架結構及其主要內容◆2008年5月22日財政部、證監會、審計署、銀監會、保監會以財會[2008]7號文件發布；◆共七章五十條；◆自2009年7月1日起在上市公司范圍內施行，鼓勵非上市的大中型企業執行；◆執行本規范的上市公司，應當對本公司控制的有效性進行自我評價，披露年度自我評價報告，并可聘請具有證券、期貨業務資格的會計師事務所對控制的有效性進行審計。◆《企業控制基本規范》的發布，是繼2006年2月我某著名企業業會計準則、審計準則正式頒布和順利實施之后，財政、審計、證券監管、銀行監管、保險監管和國有資產管理部門同心同德、群策群力，以實際行動落實科學發展觀、促進企業和資本市場又好又快發展的又一重大舉措。13《企業控制基本規范》的創新與突破◆構建了一個標準框架。基本規范的制定發布和若干指引的公布征求意見，科學構建了一套環境優化、風險評估科學、控制措施得當、信息溝通迅捷、監督制約有力的控制框架，初步形成了由基本規范、評價指引、應用指引和鑒證指引四個部分組成的層次分明、內容完整、銜接有序地的控制標準體系，有效解決了政出多門、要求不一、企業無所適從的問題。◆強化了一種控制理念。控制不僅是一套技術和方法，更是一種精神和理念。基本規范以促進企業可持續發展、維護社會主義市場經濟秩序和社會公眾利益為宗旨，倡導“愛崗敬業、進取創新、團隊協作和遵紀守法”的職業精神，強調‘建立健全教育、制度與監督并重，懲防并舉、重在預防”的反舞弊長效機制，要求企業將有效實施控制納入績效考評體系，實現了由牽制、單一會計控制向全面、全員、全程的風險控制觀念轉變。14《企業控制基本規范》的創新與突破◆建立了一套內控措施。控制措施是企業實施控制的具體方式，是企業管理的載體和手段。基本規范對授權審批控制、會計系統控制、財產保護控制、預算控制、運營分析控制和績效考評控制等提出了嚴格規范的要求，進一步強化了對財務報告信息和其他管理信息的約束，提高了企業資源管理與利用的安全性和有效性，為維護投資者和社會公眾利益提供了有力支持。◆夯實了一個制度基礎。基本規范的制定實施，既是促進企業會計準則體系和其他有關法規制度有效執行的配套制度安排，同時也是推動企業各項規章制度令行禁止的重要機制保障。這無論對于鞏固企業防范風險舞弊的“防火墻”，還是鑄牢促進資本市場健康穩定發展的“安全網”，都將發揮十分重要的基礎作用。15《企業控制基本規范》的創新與突破◆確立了一個實施模式。基本規范確立了以政府部門合力推進為主導、各單位組織實施為基礎、會計師事務所等中介機構提供服務支持，自我評價、政府監管和社會評價有機結合的控制標準建設與實施模式。這種模式有效化解了標準制定與實施過程中不同利益主體之間可能存在的矛盾和沖突，提高了內控標準的嚴肅性、權威性和公認性，增強了標準的執行力。◆構筑了一個聯動平臺。在環環相扣、相互關聯的大會計系統之中，完備的會計法規為會計改革與發展創造良好的法制環境；健全的會計審計準則為提高會計信息質量和做好資本市場信息披露工作提供制度基礎；統一的內控規范體系為確保會計審計準則有效實施和維護社會公眾利益構筑一道“防火墻”；協調的會計監管為促進會計審計、控制目標實現提供機制保障；創新的人才評價機制和會計考試制度為會計事業的發展壯大提供人才保證；科學的信息化標準和業務規范為會計工作現代化提供技術支撐。1617控制框架快速解讀確保被識別出規避風險的控制措施可以及時有效得到實施的政策和程序確認控制是否進行充分的設計和執行，以及是否具備有效性和適應性。對于影響公司目標實現的及外部因素的評估確保相關信息被及時識別及傳遞的過程公司對于控制的基本態度-”來自上層的基調”戰略目標報告目標合規目標經營目標資產安全環境公司層面業務單元子公司風險評估控制活動信息與溝通監督18第一章總則

◆宗旨和立法依據：加強和規范企業控制，提高企業經營管理水平和風險防范能力，促進企業可持續發展，維護社會主義市場經濟秩序和社會公眾利益。根據《公司法》、《證券法》、《會計法》制定。◆適用范圍：境內設立的大中型企業。小企業和其他單位可以參照本規范建立與實施控制。◆概念目標：控制是由企業董事會、監事會、經理層和全體員工實施的、旨在實現控制目標的過程。控制的目標是合理保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整，提高經營效率和效果，促進企業實現發展戰略。1819第一章總則◆企業建立與實施控制的原則：全面性原則、重要性原則、制衡性原則、適應性原則、成本效益原則。◆基本要素：環境、風險評估、控制活動、信息與溝通、監督。1920第一章總則—組織實施◆企業應當根據有關法律法規、本規范及其配套辦法，制定本企業的控制制度并組織實施。企業應當建立控制實施的激勵約束機制，將各責任單位和全體員工實施控制的情況納入績效考評體系，促進控制的有效實施。◆國務院有關部門可以根據法律法規、本規范及其配套辦法，明確貫徹實施本規范的具體要求，對企業建立和實施控制的情況進行監督檢查。◆接受企業委托從事控制審計的會計師事務所，應當根據本規范及其配套辦法和相關執業準則，對企業控制的有效性進行審計，出具審計報告。會計師事務所及其簽字的從業人員應當對發表的控制審計意見負責。為企業控制提供咨詢的會計師事務所，不得同時為同一企業提供控制審計服務。2021第一章總則◆信息技術：企業應當運用信息技術加強控制，建立與經營管理相適應的信息系統，促進控制流程與信息系統的有機結合，實現對業務和事項的自動控制，減少或消除人為操縱因素。2122第二章環境◆公司治理結構和制衡機制：根據國家有關法律法規和企業章程，建立規范的公司治理結構和議事規則，明確決策、執行、監督等方面的職責權限，形成科學有效的職責分工和制衡機制。股東（大）會、董事會、監事會、經理層。◆控制的責任主體：董事會負責控制的建立健全和有效實施。董事會下設的審計委員會負責審查企業的控制，監督控制的有效實施和控制自我評價情況，協調控制審計及其他相關事宜。監事會對董事會建立與實施控制進行監督。經理層負責組織領導企業控制的日常運行。企業應當成立專門機構或者指定適當的機構具體負責組織協調控制的建立實施及日常工作。2223第二章環境◆審計機構：對控制的有效性進行監督檢查。審計機構對監督檢查中發現的控制缺陷，應當按照企業審計工作程序進行報告；對監督檢查中發現的控制重大缺陷，有權向董事會及其審計委員會、監事會報告。◆人力資源政策主要包括以下內容：

——員工的聘用、培訓、辭退與辭職；

——員工的薪酬、考核、晉升與獎懲；

——關鍵崗位員工的強制休假制度和定期崗位輪換制度；

——掌握國家秘密或重要的員工離崗的限制性規定。24第二章環境◆道德修養、業務能力與教育培訓：企業應當將職業道德修養和專業勝任能力作為選拔和聘用員工的重要標準，切實加強員工培訓和繼續教育，不斷提升員工素質。◆文化建設、企業精神、管理理念和風險意識：董事、監事、經理及其他高級管理人員應當在企業文化建設中發揮主導作用。企業員工應當遵守員工行為守則，認真履行崗位職責。◆法制教育、法律顧問制度和重大法律糾紛案件備案制度2425第三章風險評估◆基于控制目標的風險評估要求。◆風險與外部風險、企業整體風險承受能力和業務層面的可接受風險水平。◆風險因素：（一）董事、監事、經理及其他高級管理人員的職業操守、員工專業勝任能力等人力資源因素。（二）組織機構、經營方式、資產管理、業務流程等管理因素。（三）研究開發、技術投入、信息技術運用等自主創新因素。（四）財務狀況、經營成果、現金流量等財務因素。（五）營運安全、員工健康、環境保護等安全環保因素。（六）其他有關風險因素。◆外部風險因素：（一）經濟形勢、產業政策、融資環境、市場競爭、資源供給等經濟因素。（二）法律法規、監管要求等法律因素。（三）安全穩定、文化傳統、社會信用、教育水平、消費者行為等社會因素。（四）技術進步、工藝改進等科學技術因素。（五）自然災害、環境狀況等自然環境因素。（六）其他有關外部風險因素。2526第三章風險評估◆風險分析與排序（分析方法：定性與定量相結合；分析重點：風險發生的可能性及其影響程度；風險分析團隊和分析程序。）◆風險分析結果、風險承受度與高管人員、關鍵崗位員工的風險偏好。◆風險應對策略：風險規避、風險降低、風險分擔和風險承受。◆持續性風險評估與風險應對策略的綜合運用。2627第四章控制活動◆控制類型：手工控制與自動控制、預防性控制與發現性控制。◆控制措施：不相容職務分離控制、授權審批控制、會計系統控制、財產保護控制、預算控制、運營分析控制和績效考評控制等。◆不相容職務分離控制：要求企業全面系統地分析、梳理業務流程中所涉及的不相容職務，實施相應的分離措施，形成各司其職、各負其責、相互制約的工作機制◆

授權審批控制：要求企業根據常規授權和特別授權的規定，明確各崗位辦理業務和事項的權限范圍、審批程序和相應責任。企業應當編制常規授權的權限指引，規范特別授權的范圍、權限、程序和責任，嚴格控制特別授權。企業對于重大的業務和事項，應當實行集體決策審批或者聯簽制度，任何個人不得單獨進行決策或者擅自改變集體決策。2728第四章控制活動◆會計系統控制：要求企業嚴格執行國家統一的會計準則制度，加強會計基礎工作，明確會計憑證、會計賬簿和財務會計報告的處理程序，保證會計資料真實完整。企業應當依法設置會計機構，配備會計從業人員。從事會計工作的人員，必須取得會計從業資格證書。會計機構負責人應當具備會計師以上專業技術職務資格。大中型企業應當設置總會計師。設置總會計師的企業，不得設計與其職權重疊的副職。◆財產保護控制：要求企業建立財產日常管理制度和定期清查制度，采取財產記錄、實物保管、定期盤點、賬實核對等措施，確保財產安全。企業應當嚴格限制的人員接觸和處置財產。2829第四章控制活動◆預算控制：要求企業實施全面預算管理制度，明確各責任單位在預算管理中的職責權限，規范預算的編制、審定、下達和執行程序，強化預算約束。◆運營分析控制：要求企業建立運營情況分析制度，經理層應當綜合運用生產、購銷、投資、籌資、財務等方面的信息，通過因素分析、對比分析、趨勢分析等方法，定期開展運營情況分析，發現存在的問題，及時查明原因并加以改進。◆績效考評控制：要求企業建立和實施績效考評制度，科學設置考核指標體系，對企業各責任單位和全體員工的業績進行定期考核和客觀評價，將考評結果作為確定員工薪酬以及職務晉升、評優、降級、調崗、辭退等的依據。2930第四章控制活動◆控制措施的綜合運用◆三類別指引：基本業務類（購、產、銷、投融資；貨幣資金、固定資產、存貨、無形資產、衍生工具等）；貫穿業務類（預算、擔保、合同協議、企業并購、關聯交易、成本費用）；支持保障類（人力資源、信息技術、審計）。◆重大風險預警機制和突發事件應急處理機制。3031第五章信息與溝通◆信息收集處理制度與溝通制度。◆信息的有用性和信息、外部信息的獲取渠道。◆信息的溝通和外部溝通。重要信息的傳遞要求。◆信息技術的利用和對信息系統本身的控制。◆反舞弊機制和工作重點：（一）或者采取其他不法方式侵占、挪用企業資產，牟取不當利益。（二）在財務會計報告和信息披露等方面存在的虛假記載、誤導性陳述或者重大遺漏等。（三）董事、監事、經理及其他高級管理人員濫用職權。（四）相關機構或人員串通舞弊。◆舉報投訴制度和舉報人保護制度。3132第六章監督

◆控制監督制度（主體、權限、程序、方法和要求）。◆日常監督和專項監督。◆控制缺陷認定、原因分析、報告制度、跟蹤整改和責任追究。◆控制自我評價（方式、范圍、程序、頻率、報告）◆控制建立與實施過程的可驗證性要求。3233第七章附則

◆主要規定了解釋權限、配套辦法、實施日期。33國務院國資委《國有企業控制框架》◆國務院國資委國有企業控制課題組提出了國有企業“12345控制基本框架”新模型。◆一個首要目標：運營效率與效果◆二層責任主體：董事會（股東）和管理層◆三條建設主線：治理結構、財務控制和業務控制◆四大基本原則：強支撐、短流程、高授權和大監督◆五大保障措施：改善支撐環境、加強風險管理、完善制度流程、促進信息溝通和提高監督能力343435公司層級績效指標架構圖總資產周轉率股東權益報酬率財務杠桿作用總資產報酬率速動比率利息保障倍數凈利率應收賬款周轉率存貨周轉率應付賬款周轉率資金積壓期間固定資產周轉率營業收入成長率產品成本率營業費用率管理費用率財務費用率營業外費用率所得稅費用率里來？明天會不會倒閉？會不會做生意？會不會賺錢？3637

三、企業控制體系的設計

（一）企業建立控制體系的背景和要求

（二）企業建立控制體系的標準與框架

（三）企業控制體系總體框架

（四）企業控制體系設計的基本流程

（五）企業控制體系的預期效果

38（一）對企業建立控制體系的法制要求■政府監管機構和法律法規為維護市場經濟秩序和社會公眾利益，要求企業加強和規范控制■2002年7月，美國總統布什批準了《2002年上市公司會計改革和投資者保護法》（薩班斯法案），要求上市公司建立控制體系并定期作出自我評價，同時由注冊會計師出具控制審計報告■2006年6月，國務院國資委發布《中某著名企業業全面風險管理指引》，要求中某著名企業業建立全面風險管理體系。控制是企業全面風險管理的組成部分和基礎工作■2008年6月，財政部、審計署、證監會、保監會、銀監會發布《企業控制基本規范》，適用于大中型企業，2009年7月1日起首先在上市公司范圍內施行（一）加強和規范控制是企業實現可持續發展的內在需求■控制是企業實現發展戰略的基礎工程■控制是企業貫徹實施法律法規和規章制度的有力保證■控制是企業提升營運效率效果的有效舉措■控制是企業提高財務與非財務信息質量的重要支撐■控制是企業資產安全的重要保障3940（二）企業控制控制標準與框架項目依據、工具和理解企業控制標準與框架■企業控制建設的標準與框架，主要為：財政部和證監會等《企業控制基本規范》及指引上交所《上市公司控制指引》COSO控制框架（COSO1）COSO風險管理框架（COSO2）美國公眾公司會計監督委員會第5號審計準則

（《與財務報表審計相結合的財務報告控制審計》）■控制是由企業董事會、監事會、經理層和全體員工實施的、旨在實現控制目標的過程。■控制同風險管理必須實現有機整合，風險是控制的對象，控制是管理風險的手段。所以，我們不對控制和風險管理進行特別區分。■COSO控制框架（COSO1）和風險管理框架（COSO2），均為我們所參考。41企業全面風險管理■培育風險管理文化■建立健全全面風險管

理體系■執行風險管理流程—收集風險管理初始

信息—進行風險評估—制定風險管理策略—提出和實施風險管

理解決方案—風險管理監督與改

進全面風險管理體系■風險管理組織職能體系■風險管理策略■控制系統■風險理財措施■風險管理信息系統對現有管理進行整合■全過程風險管理涵蓋戰略決策、運營操作、審計與監督、信息

與溝通全過程■全員從董事長開始到最基層員工，都要以風險管理理論為指導，

對自己的工作進行反思■全部職能管理工作風險管理涵蓋戰略、人力資源、投資、財務、采購、生

產、銷售、研發、合規等管理工作■每一個層級涵蓋公司治理結構和管理架

構、集團母公司層面、各個

分支機構、每個業務流程實現控制和風險管理的統一設計42（三）企業控制體系總體框架戰略目標報告目標合規目標經營目標資產安全環境公司層面業務單元子公司風險評估控制活動信息與溝通監督指導框架公司環境管理銷售物料管理采購排產組織視圖銷售處理檢查信用額度確定交付日期詢價處理報價處理功能視圖報價客戶詢價數據視圖詢價處理詢價已受理詢價處理完畢報價處理客戶報價詢價銷售流程視圖客戶訂單客戶詢價客戶報價產品/服務視圖4344控制框架快速解讀確保被識別出規避風險的控制措施可以及時有效得到實施的政策和程序確認控制是否進行充分的設計和執行，以及是否具備有效性和適應性。對于影響公司目標實現的及外部因素的評估確保相關信息被及時識別及傳遞的過程公司對于控制的基本態度-”來自上層的基調”戰略目標報告目標合規目標經營目標資產安全環境公司層面業務單元子公司風險評估控制活動信息與溝通監督45環境控制活動控制活動是企業根據風險評估結果，采用相應的控制措施，將風險控制在可承受度之內。控制措施一般包括：不相容職務分離控制、授權審批控制、會計系統控制、財產保護控制、預算控制、運營分析控制和績效考評控制等監督監督是企業對控制建立與實施情況進行監督檢查，評價控制的有效性，發現控制缺陷，應當及時加以改進。主要包括：監督、缺陷認定、控制評價和自我記錄等風險評估風險評估是企業及時識別、系統分析經營活動中與實現控制目標相關的風險，合理確定風險應對策略風險評估是形成控制活動的基礎信息與溝通信息與溝通是企業及時、準確地收集、傳遞與控制相關的信息，確保信息在企業、企業與外部之間進行有效溝通。主要包括信息溝通、信息技術、反舞弊等環境環境是企業實施控制的基礎，一般包括治理結構、機構設置及權責分配、審計、人力資源政策、企業文化等戰略目標報告目標合規目標經營目標資產安全環境公司層面業務單元子公司風險評估控制活動信息與溝通監督環境分冊示例目錄1、控制體系建設內容…………………概述……………………誠信與道德價值觀……………………發展目標……………….管理理念與企業文化…………………風險管理策略…………………………董事會及下屬委員會…………………組織結構………………權利和責任分配………………………人力資源政策與措施…………………員工勝任能力…………………………法律顧問制度及重大法律糾紛案件備案制度……….………………2、控制體系執行的文件及規范………………………組織結構圖……………員工崗位職責描述……………………權限指引………………審計委員會的工作程序與自評指引表說明………重大法律糾紛案件備案指引…………………………………控制環境涉及的制度索引……………46權限指引示例4748環境環境是企業實施控制的基礎，一般包括治理結構、機構設置及權責分配、審計、人力資源政策、企業文化等風險評估控制活動控制活動是企業根據風險評估結果，采用相應的控制措施，將風險控制在可承受度之內。控制措施一般包括：不相容職務分離控制、授權審批控制、會計系統控制、財產保護控制、預算控制、運營分析控制和績效考評控制等監督監督是企業對控制建立與實施情況進行監督檢查，評價控制的有效性，發現控制缺陷，應當及時加以改進。主要包括：監督、缺陷認定、控制評價和自我記錄等信息與溝通信息與溝通是企業及時、準確地收集、傳遞與控制相關的信息，確保信息在企業、企業與外部之間進行有效溝通。主要包括信息溝通、信息技術、反舞弊等戰略目標報告目標合規目標經營目標資產安全環境公司層面業務單元子公司風險評估控制活動信息與溝通監督風險評估風險評估是企業及時識別、系統分析經營活動中與實現控制目標相關的風險，合理確定風險應對策略。49風險評估分冊示例目錄1控制體系建設內容………………1.1概述…………………1.2建立風險評估機制…………………1.3建立并完善風險管理體系…………2

控制體系執行的文件及規范…………………2.1流程描述規范………………………2.2業務流程目錄………………………2.3風險評估規范………………………2.4重要會計科目和披露事項確認……………………2.5財務報表認定指南…………………2.6重要業務單位確認…………………2.7公司層面風險及對策分析程序……………………2.8業務活動層面風險數據庫…………2.9風險管理規范（試行）……………2.10風險評估涉及的制度索引…………風險分類公司層面業務（流程）層面信息系統層面公司層面風險原材料價格風險商品價格風險行業風險大股東控制公司經營政策風險同行業競爭風險資金風險法律風險業務層面風險業務流程應用系統信息系統總體風險控制環境信息安全項目建設管理變更管理….50風險應對風險評估的步驟風險分析風險識別目標制定戰略目標經營目標財務報告目標合規目標公司層面業務（流程）層面信息系統層面接受轉移分擔控制可能性影響程度關閉停業風險承受風險分擔風險降低可能性影響程度風險規避優化流程控制財產保險計提準備動態預警關閉停產資產出售業務外包套期保值51目標設定風險識別風險分析風險應對目標制定財務報告目標為公司及時提供真實、準確、完整的經營管理信息；按照《企業會計準則》以及上市地法律監管的相關規定，為國家相關部門和資本市場及時提供真實、準確、完整的財務會計報告，滿足國家相關部門和上市地證券監管機構對財務會計報告的報送要求；防止資產購置、使用或轉讓出售。業務流程目標產品銷售流程準確地獲取銷售數據并及時傳遞到相關部門、準確確認銷售收入等目標對外投資流程投資成本的確認符合相關準則的規定、投資收益及時取得并準確確認等目標52風險識別的方法風險識別風險分析風險應對目標制定外部專家法頭腦風暴法問卷調查法案例分析法行業分析法財務報表分析法流程分析法53風險識別的流程示例?確定相關業務流程目錄

描述業務流程財務報表認定流程分析，識別風險確定重要會計科目和披露事項確定財務報告目標存在與發生表達與披露完整性權利與義務估價與分攤54重要會計科目和披露事項認定?存在與發生表達與披露完整性權利與義務估價與分攤55相關業務流程確認?存在與發生表達與披露完整性權利與義務估價與分攤5657財務報表認定財務報表認定：通過識別重要會計科目和披露事項中影響財務報告錯報的主要因素，從存在與發生、完整性、估價與分攤、權利與義務、表達與披露等五個方面，針對財務報告控制目標，對在控制體系設計層面和執行層面需要關注的重要會計科目所做出的相關因素作出的確認。?存在與發生表達與披露完整性權利與義務估價與分攤流程分析，識別風險?存在與發生表達與披露完整性權利與義務估價與分攤以業務流程為主線，根據確認的各流程的具體目標，結合重要會計科目和披露事項相關的財務報表認定，關注影響財務報告目標的主要因素5859風險分析影響程度具體描述極高公司將很有可能無法生存。帶有潛在的災難能導致企業崩潰。高嚴重影響業務－嚴重破壞公司服務客戶的能力。對于關鍵性的事件要求付出加倍的努力來解決。中對企業產生重要的影響和將影響客戶，嚴重的事件要求附加的努力來解決。低僅影響企業的業務。所造成的后果能被吸收，但是要求某種管理努力使問題簡化。極低對企業的業務的無影響、后果能通過正常的活動被吸收。可能性具體描述幾乎肯定（≥95%）前六個月發生了幾次很有可能（50％－95％）去年發生很少幾次可能（25％－50％）去年發生一次很少（5％－25％）前三年發生一次不可能（<5）近5年不可能發生，上次發生還是在5年前甚至更遠風險識別風險分析風險應對目標制定60風險應對風險偏好風險承受度風險預警線風險應對策略風險識別風險分析風險應對目標制定接受轉移分擔控制可能性影響程度關閉停業風險承受風險分擔風險降低可能性影響程度風險規避優化流程控制財產保險計提準備動態預警關閉停產資產出售業務外包套期保值61風險評估風險評估是企業及時識別、系統分析經營活動中與實現控制目標相關的風險，合理確定風險應對策略風險評估是形成控制活動的基礎環境環境是企業實施控制的基礎，一般包括治理結構、機構設置及權責分配、審計、人力資源政策、企業文化等控制活動監督監督是企業對控制建立與實施情況進行監督檢查，評價控制的有效性，發現控制缺陷，應當及時加以改進。主要包括：監督、缺陷認定、控制評價和自我記錄等信息與溝通信息與溝通是企業及時、準確地收集、傳遞與控制相關的信息，確保信息在企業、企業與外部之間進行有效溝通。主要包括信息溝通、信息技術、反舞弊等戰略目標報告目標合規目標經營目標資產安全環境公司層面業務單元子公司風險評估控制活動信息與溝通監督控制活動控制活動是企業根據風險評估結果，采用相應的控制措施，將風險控制在可承受度之內。控制措施一般包括：不相容職務分離控制、授權審批控制、會計系統控制、財產保護控制、預算控制、運營分析控制和績效考評控制等62控制活動分冊示例目錄1概述…..………………1.1定義…………………1.2控制活動目標………………………1.3控制活動分類………………………1.4控制活動的實施.......………………2

控制活動執行的文件及規范…….………………….2.1風險控制文檔（RCD）編制規范………….………2.2財務分析管理規定……….………2.3關鍵控制管理文件……….………2.4統一實施證據表單……….………2.5控制活動涉及的制度索引……………….………業務程序控制活動從ERP系統中，打印所有付款金額、付款人相同的支票的報告，即疑似重復付款報告

將付款期為一年以上的帳款單獨分類

審核系統安全設置，確保錄入訂單的權限被嚴格控制

審核所有超過五千元的發票，確保得到部門經理的適當批準

核對收到貨物的收貨數據與采購訂單數據

確定采購折扣

何為控制？控制是保證管理層的指令得以執行的政策或程序，涉及審批、授權、復核、檢查驗證、業績考核、資產保全和職責分離等63控制活動分類“自動”控制：由系統自動設置控制，為避免風險采取的措施。例如：超出信用額度，系統自動限制發出貨物及開出發票。“人工”控制：由被授權的人員執行的控制。例如：財務經理審核銀行余額調節表。應付賬會計核對發票，入庫單及合同。“預防性”控制：在風險發生之前，為避免風險采取的措施。例如：制定政策、準備備查清單、合同在執行前需要審批，等為預防性控制；“發現性”控制：事后做的、為及時發現問題而采取的措施是發現性控制。例如：核對財務系統和資產系統的余額是否一致，審核記賬憑證是否準確、編制銀行存款余額調節表等。控制手段控制作用64控制設計程序補充完善相關管理制度記錄控制措施確定控制措施確定控制目標對業務流程進行風險評估后，根據業務流程相關風險，按照流程步驟進一步確定控制目標控制目標指為防范和規避風險，控制活動所要達到的具體目標。一般包括完整性目標（C）、準確性目標（A）、有效性目標（V）、接觸性目標（R）等四個方面。在確定了控制目標后，對照業務流程步驟，分析確定達到控制目標的方法和途徑并選擇相應的控制方法，設計出達到控制目標的各項控制措施，包括制定與控制措施相關的政策和程序、控制頻率、控制方法（人工或自動）以及控制證據等。設計和確認的各項控制措施和關鍵控制，按統一規定的控制描述標準和工具，相關控制，編制完成風險控制管理文件，包括業務流程圖、風險控制文檔（RCD）和程序文件等內容。按照控制措施，查找現有管理制度差異，制定、完善本單位、本部門相關管理制度。6566控制目標完整性控制（C）：指生產經營和財務信息數據的采集、記錄和處理完整，無遺漏和重復。如：租金未及時確認，或重復確認當期費用就會影響完整性。把當期所有的合同信息都完整地、不重復地錄入合同管理系統。按照會計確認收入的原則，將當期所有的銷售收入記錄下來。保證合并報表的原始數據包括了所有需要合并的會計核算單位的數據。準確性控制（A）：指所有信息和數據計算、歸集和記錄操作等準確。如：保證賬務處理的金額是準確的。在采購業務中，合同上的價格、數量應該準確。銷售收入應當記入正確的會計期間。發票內容與銷售交或合同應當一致。有效性控制（V）：指所有的生產經營活動都經過適當的授權和批準，都是真實發生的，并按規定保存有效的原始文件。如：付款經過適當級別的審批。記錄的銷售收入是真實的。費用支出與公司的業務相關，且符合公司的費用開支標準。接觸性控制（R）：指信息處理和實物資產的保護和安全控制。如：防止存貨和實物資產的偷竊和遺失。會計人員只能在授權的情況下，編制與自己分管業務相關的會計憑證。對企業投資實施計劃的，防止被不相關的人員了解。控制活動分類（續）公司層面業務（流程）層面信息系統總體控制公司層面控制控制環境范圍內的控制，包括道德準則的建立與推行、高層管理者基調、檢舉揭發機制、權限和職責分工、審計委員會、IT環境與組織以及人力資源政策等；反舞弊程序與控制；風險評估流程、監督；經營活動分析、審核；期末財務報告流程；突發事件應急處理等業務活動控制業務活動控制相關應用系統控制信息系統總體控制IT基礎設施數據庫操作系統67控制設計成果示例6869監督監督是企業對控制建立與實施情況進行監督檢查，評價控制的有效性，發現控制缺陷，應當及時加以改進。主要包括：監督、缺陷認定、控制評價和自我記錄等控制活動控制活動是企業根據風險評估結果，采用相應的控制措施，將風險控制在可承受度之內。控制措施一般包括：不相容職務分離控制、授權審批控制、會計系統控制、財產保護控制、預算控制、運營分析控制和績效考評控制等風險評估風險評估是企業及時識別、系統分析經營活動中與實現控制目標相關的風險，合理確定風險應對策略風險評估是形成控制活動的基礎環境環境是企業實施控制的基礎，一般包括治理結構、機構設置及權責分配、審計、人力資源政策、企業文化等信息與溝通戰略目標報告目標合規目標經營目標資產安全環境公司層面業務單元子公司風險評估控制活動信息與溝通監督信息與溝通信息與溝通是企業及時、準確地收集、傳遞與控制相關的信息，確保信息在企業、企業與外部之間進行有效溝通。主要包括信息溝通、信息技術、反舞弊等70信息與溝通分冊示例目錄1概述………….………...1.1概述……………………1.2信息……………………1.3溝通……………………1.4信息系統總體控制……………………1.5信息系統應用控制……………………1.6信息披露………………2信息溝通文件……………2.1總部各部門信息流匯總表……………2.2應用系統劃分規范及工作指引………2.3應用系統用戶權限管理工作規范……………………2.4應用系統主數據、報表公式變更及取消類業務管理………………2.5ERP與人力資源系統總體控制實施辦法……………2.6ERP與人力資源系統敏感事務訪問權限設置規則…………………2.7信息與溝通涉及的制度索引…………信息流匯總表示例填寫部門信息類別信息內容信息來源加工處理載體形式信息去向涉及制度備注總裁辦公室信息機關部門、專業公司、地區公司公文機關各部門、專業公司、地區公司公文處理程序文件、會議紀要、局域網有閱讀權限的機關管理人員《某著名企業公文處理暫行方法》（石油辦字[2000]325號）、《某著名企業機關公文處理暫行規定》（石油辦字[2001]88號）

外部信息外部監督方和上級的公文外部監督方和上級主管部門、國家部委公文處理程序文件、函、會議紀要公司管理層、相關部門和有閱讀權限的機關部門領導《某著名企業公文處理暫行方法》（石油辦字[2000]325號）

規劃計劃部外部信息國家宏觀調控政策上級公文及媒體收集整理公文有關部門和領導

競爭對手動態信息所、互聯網、新聞媒體分析、應用專題報告、會議、互聯網領導、員工

國家經濟、政策環境信息國家政府部門、新聞媒體分析、應用專題講座、會議、互聯網領導、員工

國家宏觀信息國務院各部委分析、對比、應用會議、報告某著名企業管理層，上報有關部委，行業交流

71信息系統總體控制系統控制環境：總體環境、信息與溝通、風險評估、監控等項目建設管理：開發方法論、項目立項審批、項目啟動階段、項目需求分析、項目設計、系統開發實施、系統測試、數據移植、系統上線、項目驗收、上線后審閱、用戶培訓、項目文檔管理等變更管理：應用系統日常變更、系統環境日常變更、緊急變更管理等系統日常運作：機房環境控制、系統日常運作監控、批處理作業調度管理、數據備份與恢復、問題管理等信息安全：信息安全組織、邏輯安全、物理安全、網絡安全、計算機病毒防護、外部第三方信息安全管理、信息安全事件響應等信息系統總體控制信息系統控制環境信息安全信息系統日常運作變更管理項目建設管理最終用戶操作最終用戶操作：最終用戶計算機操作安全制度、電子表格管理等信息系統總體控制所指的是控制中對信息系統相關部分的控制，保證由信息系統支持的流程控制是可靠的、生成的數據和報告是可信的72信息安全主要關注以下方面的內容信息安全物理安全網絡安全邏輯安全信息安全管理組織計算機病毒防護第三方安全管理信息安全事件響應7374信息安全－信息安全管理組織關注點控制措施實施證據涉及崗位根據業務需求設置信息安全管理機構，具有清楚的角色和職責定義，并確保職責分離在股份公司和地區公司設立信息安全管理負責人，可以由信息技術部門內相關人員兼任明確信息安全管理負責人的職責，并確保職責分離，例如信息安全管理負責人不應兼任信息技術日常事務執行工作崗位職責說明書或相關會議記錄各級信息技術部門負責人定期（每六個月）審核本單位信息系統總體控制活動的職責分離狀況，填寫《職責分離檢查表》，將不符情況報相關負責人《職責分離檢查表》信息安全管理負責人企業對員工進行信息安全教育和培訓，以確認其具有基本的信息安全意識各級信息技術部門對員工進行信息安全教育和培訓，并對培訓結果進行書面記錄和歸檔培訓計劃、培訓紀錄信息安全管理負責人員工入職時，要求其簽署遵守企業的信息安全規定的聲明員工簽署合同或協議時應包含員工遵守企業信息安全規定聲明人事部門負責“聲明”的統一歸檔員工遵守企業信息安全規定聲明人事部負責人信息安全物理安全網絡安全邏輯安全信息安全管理組織計算機病毒防護外部第三方安全管理信息安全事件響應75控制活動控制活動是企業根據風險評估結果，采用相應的控制措施，將風險控制在可承受度之內。控制措施一般包括：不相容職務分離控制、授權審批控制、會計系統控制、財產保護控制、預算控制、運營分析控制和績效考評控制等風險評估風險評估是企業及時識別、系統分析經營活動中與實現控制目標相關的風險，合理確定風險應對策略風險評估是形成控制活動的基礎環境環境是企業實施控制的基礎，一般包括治理結構、機構設置及權責分配、審計、人力資源政策、企業文化等監督信息與溝通信息與溝通是企業及時、準確地收集、傳遞與控制相關的信息，確保信息在企業、企業與外部之間進行有效溝通。主要包括信息溝通、信息技術、反舞弊等戰略目標報告目標合規目標經營目標資產安全環境公司層面業務單元子公司風險評估控制活動信息與溝通監督監督監督是企業對控制建立與實施情況進行監督檢查，評價控制的有效性，發現控制缺陷，應當及時加以改進。主要包括：監督、缺陷認定、控制評價和自我記錄等76監督分冊示例目錄1控制體系建設內容

…………………1.1概

述

…………………1.2持續監督

……………1.3獨立評估

……………1.4缺陷報告

……………2控制體系評價規范及執行文件……………………2.1控制體系評價概述……………2.2評價范圍的確定….……...…………2.3控制測試

……….……….……………………2.4缺陷評估…………2.5評價報告…………2.6控制體系管理規范.…..………..………………2.7監督涉及的制度索引

..……………控制測試基本方法檢查再執行觀察詢問7778控制設計與測試評價成果（公司層面）示例79控制設計與測試評價成果（流程層面）示例80控制設計與測試評價成果（IT層面）示例控制設計與測試評價成果（IT層面）示例81缺陷認定及整改實施跟蹤從整體控制目標實現的角度出發，對發現問題進行缺陷認定，按照缺陷的影響程度定義缺陷，從設計與執行兩個方面出發，將缺陷進行分類，制定缺陷整改計劃并加以實施針對整改實施結果進行再測試與再評價，持續跟進與監督缺陷整改的實施步驟：責任人及管理層對于缺陷事實的認可對于缺陷產生原因的判定判斷缺陷為公司共性問題還是個別單位、部門獨有問題整改計劃的目標是正對缺陷產生原因，而不是針對缺陷表象整改計劃符合有針對性、可衡量、可完成、符合現實情況、及時等五項原則整改計劃實施結果的持續跟進與監督是否可以增加其他測試程序證明已經發現的差異不能代表所有內控的情況？擴大測試范圍，重新評估，測試目的是否達到？設計缺陷執行缺陷了解控制差異的起因和結果，判斷控制目標是否達到？該差異不是控制缺陷，不必再考慮是否否否是是82XXXX公司管理層測試報告模板示例示例8384（四）企業控制設計工作流程85企業控制體系概述以《企業控制基本規范》為基礎，融合了COSO企業風險管理框架企業控制體系框架建立決策、運營、監督和信息與溝通于一體的控制體系，覆蓋生產經營的全過程和主要經營管理崗位滿足國內外相關法律法規的要求推動企業規范化管理順利通過控制審計符合風險管理的發展趨勢設計目標：內容：系統闡述內控體系建設的方法和標準，全面涵蓋了以下五要素：環境風險評估控制活動信息與溝通監督執行：經項目建設委員會審議通過后發布試行86企業控制設計流程2543現狀描述風險分析、評估、確認內控體系試行、完善內控體系測試及審計1項目啟動6維護及改進成立項目建設委員會、項目工作組前期培訓流程目錄流程圖、RCD文檔、程序文件風險數據庫風險評估、確認《關鍵控制管理文件》《內控體系框架》《內控管理手冊》內控體系正式運行管理層測試外部審計長期運行，持續維護改進，提升公司管理水平有效的工作推進方式統一設計、集中培訓、試點先行、全面推廣分階段制定詳細工作計劃，并隨時根據實際進行調整87控制環境風險評估控制流程Going…控制目標控制要點控制政策控制模式

控制載體■各項典型業務的控制管理子系統，需要針對具體業務，按照控制環境、控制目標、潛在風險、控制流程、控制要點、控制政策和控制載體構造，最后反映為控制流程圖和控制政策表，即控制模式。■控制流程圖描述控制流程、控制要點和控制載體，示例如后面流程描述表；■控制政策表歸納控制目標、潛在風險、控制政策及其對應的管理制度，示例如后面控制政策表。控制設計思路與模式88企業控制設計主要工作步驟■對企業控制進行全面調研和審計，掌握一手資料；■對企業現有規章制度按控制要素進行歸集；■按控制要素及子要素對企業管理進行改進和設計；■對企業業務循環進行梳理和改進；■編制業務循環流程描述表和業務控制政策表；■繪制業務流程圖；■編制《企業控制管理手冊》和文件制度匯編并實現信息化管理；■控制體系的持續改進和提升。89組織問題風控問題流程問題企業調研控制設計主要工作步驟1對企業控制進行全面調研和審計哪些業務單元比要求落后？誰對什么負責？不同人的角色分配？不同組織之間的溝通協同哪些流程缺陷最嚴重？哪里有明顯缺陷？有多少批量缺陷？誰負責管理流程并改正缺陷？財務風險在什么地方？風險嚴重程度如何？哪些控制缺陷正在糾正？糾正用什么方法？過程有沒有被記錄？通過審計和評價確定企業控制體系的發展階段無意識初步建立標準化持續監控整合發展階段控制的有效性無意識沒有設計和實施控制活動的意識整合將控制體系融入到企業的日常管理運營活動中，并持續優化提升初步建立初步設計并實施了一些控制活動，但是不夠全面和充分標準化公司范圍內設計并實施了標準化的控制活動持續監控建立了標準化的控制體系，并建立了周期性的控制測試和匯報制度9091企業控制設計主要工作步驟2對企業現有規章制度按內控要素進行歸集整理行政綜合戰略規劃人力資源組織架構市場營銷財務管理信息系統……環境風險評估控制活動信息與溝通監督梳理補充完善企業控制基本規范規章制度9292框架要素環境風險評估控制活動信息與溝通監督企業控制設計主要工作步驟3按控制要素及子要素對企業管理進行改進和設計公司治理結構機構設置與權責分配審計人力資源政策企業文化法律環境目標設定風險識別風險分析風險應對策略不相容職務分離授權審批控制會計系統控制財產保護控制預算控制運營分析控制績效考評控制重大風險預警機制突發事件應急處理機制信息搜集信息傳遞搭建共享信息平臺反舞弊機制舉報投訴制度舉報人保護制度組織結構施行方式內控評價檔案記錄9393企業控制設計主要工作步驟4

對企業各業務循環進行業務梳理和流程改進企業控制設計主要工作步驟5-1編制企業業務流程描述表——以采購為例編號一級流程二級流程三級流程適用范圍1采購采購原材料、低值和辦公用品101常規采購10101采購計劃根據生產計劃和市場預測，指定采購貨品計劃，并審批10102供應商管理開發、評價和管理供應商10103采購申請及執行采購申請、審批和執行采購業務10104退貨與折價已銷貨品的退回或折扣、折讓和理賠102戰略采購為了戰略儲備或建立戰略合作供應商103緊急采購僅限特殊情況下急需物料。如按常規采購耽誤使用時間104簡僅限在預算額度之內的低值。包括：1.辦公用品2.勞保用品3.福利用品2付款采購物品的付款流程201預先付款簽約之后、到貨之前，預先支付全部貨款或部分貨款202貨物驗收合格后支付貨款94控制設計主要工作步驟5-2編制采購控制政策表959696繪制業務流程圖企業控制主要工作步驟697企業控制設計主要工作步驟7

組織修訂原有制度N項，新制定制度M項《公司章程》《董事會工作手冊》《審計委員會組織和工作規則》《內審工作規定》《財務分析評價制度》《信息披露控制及披露程序原則》《權限指引》《崗位職責描述》……等公司層面：N類N個流程圖N個風險控制文檔及程序文件文件N個業務活動層面：建立和完善相關制度及流程管理文件98軟件技術培訓軟件應用培訓流程繪制培訓流程工作室建立方法培訓內控人員培訓搭建關鍵流程體系繪制關鍵單位的關鍵流程設計相關指標建立制度條例體系應用協同場景實操軟件技術培訓軟件應用培訓標準普及培訓普及理念培訓關鍵事件培訓軟件安裝及培訓應用培訓樹立標桿全面推廣搭建全面流程體系設計和發現全面風險控制點搭建整體風險內控體系建立內控文化建立內控合規機制并持續改進優化業務標桿建立軟件安裝配置四個數據庫制度條例的導入流程庫建立文檔歸類設計關鍵預警方法總結培訓宣講全面推廣總結流程管理方法論總結內控方法論建立內控人員隊伍建立內控標準課件制定全面推廣計劃企業控制設計主要工作步驟8

軟件的試用和推廣99覆蓋總部機關和所屬分公司和子公司驗收檢查主要分兩個方面業務活動層面：對關鍵控制及重要流程進行跟單測試和抽樣測試公司層面：對以控制環境為主的九個主題和信息溝通等內容進行測試測試人員由項目組、審計部、中介機構組成主要內容：體系建設的規范性和實施的符合性對業務活動層面控制的驗收檢查工作成果：工作量跟單測試的重要流程抽樣測試關鍵控制點實際抽取樣本量對公司進行控制環境的測試對公司進行信息與溝通的測試對總部進行董事會等十七個主題的測試下發問卷調查等。對公司層面控制的驗收檢查工作成果：企業控制設計主要工作步驟9

——組織驗收檢查（五）項目效果預期100101項目效果預期編制完成《企業控制管理手冊》公司整體層面業務活動層面一、總體框架：包括編制目的、原則、依據、總體思路二、企業控制體系建設的目標和指導思想三、控制框架的主要內容：按控制要素編制，包括環境、風險評估、信息與溝通、監督四、編制發展戰略、組織架構、人力資源、企業文化和社會責任應用指引五、控制自我評價指引資金采購資產銷售研發工程項目全面預算合同報告信息系統主要內容:一、確定重要會計科目、披露事項和組成結構；二、確定業務流程/循環和子流程/