外运发展内控服务实施方案.ppt

工作内容 工作成果 信永方略的责任 贵公司的责任 2.2.2 业务层面控制制度及流程建设 深入审阅可收集到的公司现有的规章制度和内部流程文件（制度、流程图、文件说明、表格单据等） 判断上述规章制度与流程文件与财务报告内部控制的相关性，考虑整体财务报告内部控制体系的建设，并与公司相关部门人员针对业务流程层面控制进行访谈 针对业务层面控制相关文件存在的缺陷（控制文件设计或执行缺陷）与公司管理层充分沟通并取得其认可 建立/完善业务层面控制相关制度和流程文件的建设。 业务层面控制相关制度文件（内控手册的组成内容） 业务层面流程控制实施细则（内控手册的组成内容） 深入调研公司现状并与最佳实践和相关监管要求进行对标 与公司相关层级充分沟通内控设计及执行过程中存在的缺陷 完成业务层面制度及流程文件的编制工作 提供相关的内控文档 及时协助我方安排相关访谈 在必要时，及时协调各相关部门集中召开专家会议讨论内控缺陷 协调相关各部门及时完成业务层面缺陷确认工作 协调相关各部门及时完成 业务层面控制建设-步骤2.2 3.3.2 外运发展内控体系建设方案说明 工作内容 工作成果 信永方略的责任 贵公司的责任 2.2.3 业务层面控制风险控制矩阵 根据完善的制度和流程识别关键风险控制要点形成风险控制矩阵文档 业务流程层面风险控制矩阵（内控手册的组成内容） 完成业务流程层面风险控制矩阵编制工作 业务层面控制建设-步骤2.2 3.3.2 外运发展内控体系建设方案说明 信息系统一般控制建设-步骤2.3 工作内容 工作成果 信永方略的责任 贵公司的责任 2.3.1 信息系统一般控制风险评估 通过访谈及调阅信息系统一般控制相关的制度/流程文档以了解信息系统一般控制现状 参照相关标准和行业最佳实践对与财务报告相关的信息系统一般控制情况进行风险分析并列出各关键流程的风险 界定信息系统层面需要梳理完善的制度和流程 信息系统一般控制差异分析 信息系统一般控制的制度/流程清单（初稿） 通过审阅文件以及访谈相关人员的方式了解信息系统层面风险 与最佳实践和相关监管要求进行比较列出各关键制度或流程的基本风险 完成信息系统流程层面工作计划 提供相关的内控文档（包括相关信息系统管理制度及配置清单等技术文档）和现场检查环境 及时就各关键制度或流程的风险清单提出反馈意见 就风险项目的负面情况发生的可能性和严重性进行分析时，向项目小组提供需要的资料和支持 就风险评估及工作范围界定的讨论向项目小组提供所需的资料 确认工作范围 3.3.2 外运发展内控体系建设方案说明 工作内容 工作成果 信永方略的责任 贵公司的责任 2.3.2 信息系统一般控制制度及流程建设 深入审阅可收集到的公司现有的信息系统相关的管理规章制度和内部流程文件（制度、流程图、文件说明、表格单据等） 现场检查信息系统治理、安全、运维、物理及逻辑控制等领域，针对相关控制存在的缺陷（控制设计或执行缺陷）与公司管理层充分沟通并取得其认可 建立/完善信息系统一般控制相关制度和流程文件的建设。 信息系统一般控制相关制度文件（内控手册的组成内容） 信息系统一般控制流程控制实施细则（内控手册的组成内容） 深入调研公司现状并与最佳实践和相关监管要求进行对标 与公司相关层级充分沟通内控设计及执行过程中存在的缺陷 完成信息系统层面制度及流程文件的编制工作 提供相关的内控文档和检查环境 及时协助我方安排相关访谈 在必要时，及时协调各相关部门集中召开专家会议讨论内控缺陷 协调相关各部门及时完成信息系统流程层面缺陷确认工作 协调相关各部门及时完成 信息系统一般控制建设-步骤2.3 3.3.2 外运发展内控体系建设方案说明 工作内容 工作成果 信永方略的责任 贵公司的责任 2.3.3 信息系统一般控制风险控制矩阵 根据完善的制度和流程识别关键风险控制要点形成风险控制矩阵文档。 信息系统一般控制风险控制矩阵（内控手册的组成内容） 完成信息系统一般控制的风险控制矩阵编制工作 信息系统一般控制建设-步骤2.3 3.3.2 外运发展内控体系建设方案说明 控制设计有效性验证-步骤3 工作内容 工作成果 信永方略的责任 贵公司的责任 3.穿行测试 / 控制文件修正 在管理层颁布并试行控制文件后的2周后，通过访谈/观摩以及适当的穿行测试验证控制文件设计有效性 在上述访谈/观摩及穿行测试的基础上对控制文件设计缺陷进行整改，并形成更新后的控制文件以供管理层正式颁布运行 穿行测试计划 设计缺陷汇总清单 修正后的控制文件 执行访谈/观摩以及适当的穿行测试 识别控制文件设计缺陷并形成缺陷清单 修正控制文件供管理层正式采纳 就访谈/观摩以及穿行测试的执行进行内部协调，确保操作人员对相关工作给予配合 审阅经修正后的控制文件并及时给予