风险控制矩阵(业务层面).xls

风险控制矩阵填制说明
一、风险控制矩阵的用途备注
此风险控制矩阵的用途在于记录公司所有影响关键财务报表科目/披露事项的流程及对其进行评估的结果。
二、风险控制矩阵填写说明
A列:流程名称
流程所属的子流程名称,在模版中已填写好,不可修改。模板固定、不可修改
B列:控制目标
相应的控制目标及编号,模版中已填写好,不可修改。模板固定、不可修改
C列:风险描述
控制目标未实现所可能产生风险的具体描述,模版中已填写好,不可修改。模板固定、不可修改
D列:标准控制活动
与控制目标相对应的标准控制活动,模版中已填写好,不可修改。模板固定、不可修改
E列:现有控制措施
由审计人员填列对应该标准控制活动的本地实际执行的控制活动,即对本单位实际执行该控制活动的流程进行描述,此描述需强调本单位流程中的控制点,描述应体现4W1H(即对于每一个活动,要写明:Who-执行人是谁,When-何时执行,Where在哪里执行,What-执行什么,How-如何执行),对流程中涉及职责分离、授权审批、关键控制点的书面制度、关键控制点的执行监控等控制重点进行描述,从而明确控制活动的执行流程。审计人员根据实际情况填报
F列:控制的重要性(关键控制/一般控制)
由审计人员从下拉菜单中选择控制活动的重要性,分为关键控制和一般控制。关键控制是指一旦该控制点失效,可能导致公司严重偏离控制目标。一般控制是指关键控制以外的控制。判断关键控制与一般控制判断主要考虑以下因素:控制是否不可缺少;控制是否直接针对相关认定;控制是否应对重大错报风险;)控制运行是否精确。审计人员根据实际情况填报
G列:控制方式(自动/人工)
由审计人员从下拉菜单中选择控制的方法,分为自动控制和人工控制。自动控制是指通过信息系统等进行的控制,无需人工干预即可实现控制目标。人工控制是指自动控制以外的控制。审计人员根据实际情况填报
H列:控制频率(每日多次,每日,每周,每月,每季,每半年,每年,业务发生时,不适用)
由审计人员从下拉菜单中选择控制发生的频率,分为每日多次,每日,每周,每月,每季,每半年,每年,业务发生时,不适用。审计人员根据实际情况填报
I列:控制类型(预防性控制和检查性控制)
预防性控制通常用于正常业务流程的每一项交易,以防止错报的发生;检查性控制通常是管理层用来监督实现流程目标的控制,适用于业务流程中的已经处理或部分处理的某类交易;
由审计人员从下拉菜单中选择控制类型,分为预防性控制和检查性控制审计人员根据实际情况填报
J列:控制实施证据
由填表人填写控制实施证据。控制实施证据是指公司在实施现有控制时所使用的报告,表单,签字等。如果公司在实施现有控制时没有使用相应的报告,表单,签字等,则应填“无”。审计人员根据实际情况填报
K列:控制文件的文件号及名称
由填表人填写控制文件的文件号及名称。控制文件的文件号及名称是指规范有该项控制措施的管理制度文件的文号和名称。若没有控制文件,则应填“无”。审计人员根据实际情况填报
L列:是否发现缺陷(是/否)
根据控制设计测试情况,填报是否存在设计运行缺陷,由审计人员从下拉菜单中选择。审计人员根据实际情况填报
M缺陷描述
发现缺陷的情况下,请用简洁语言进行描述。审计人员根据实际情况填报
N列:测试步骤
对于内控运行测试具体程序,审计人员根据内控准则实施,不适用或一般测试可以简化测试步骤。审计人员根据实际情况填报
Q列:测试方法
控制测试方法主要有询问、检查、观察、重新执行,这几种方法可以单用或结合用。审计人员根据实际情况填报
P列:样本总量
样本总额是是指样本发生的频率,每日多次的一般填大于259或小于250,其他情况按实际发生次数填报。审计人员根据实际情况填报
Q列:样本发生频率
是指样本发生的规律,比如余额调节报每月编制一次,那么对于年度审计期间,样本发生频率为每月一次,具体结合企业实际情况填报,一般分为6大类,具体见附件。审计人员根据实际情况填报
R列:样本量
是指测试内部控制运行有效性所需杨的最小样本量,根据样本发生频率和样本总量确定,选择样本量情况见附件。审计人员根据实际情况填报
S列:测试页链接
测试页链接是指对于内控测试运行记录较复杂的,表内难以记录清楚的,建立的详细测试底稿。审计人员根据实际情况填报
T\V:第一轮测试有效性
第一轮测试有效性:是指第一轮测试期间测试的结果,由审计人员从下拉菜单中选择控制的方法,分为是和否;
第二轮测试有效性:是指第二轮测试期间测试的结果,由审计人员从下拉菜单中选择控制的方法,分为是和否。审计人员根据实际情况填报
U\W:发现描述
是指内部控制执行缺陷,发现缺陷就记录,无缺陷填无。审计人员根据实际情况填报
三、控制矩阵填写注意事项
1、底稿