企业内部控制有效性测试之内部审计与监督-测试底稿.xls

风险控制矩阵公司名称：机关本部流程名称：内部审计与监督子流程名称控制目标及对应风险 控制活动控制目标编号控制目标风险点编号风险点控制活动编号内审计划AU-CO-01审计部门组织设置合理、人员配备充分，保证审计职能充分发挥。AU-R-01公司未建立或完善内部审计职能，导致公司无法对经营运行及内部控制有效性情况进行客观评价，无法增加公司价值和运营效果。AU-CA-01AU-CO-02公司的风险得到有效识别及评估，建立风险导向的内审体系。AU-R-02公司缺少对于风险评估的标准或者该风险评估的标注不合理，公司的风险偏好过于谨慎或者过于激进从而导致公司未将部分高风险领域纳入企业监控的范围之内或者公司花费大量不必要的资源在风险较低的领域的风险。AU-CA-02AU-CA-03AU-CO-03内部审计年度工作范围及计划恰当且经过管理层授权；AU-R-03审计计划不合理，造成审计资源的浪费或者未能针对特定风险领域开展专项内部审计，从而导致企业违反法律法规（如会计、税法等）的风险。AU-CA-04实施内审AU-CO-04审计方案具体明确，审计工作有据可依，且审计通知得到准确及时下达；AU-R-04由于公司在进行内部审计时没有落实责任制，对于内部审计没有质量评价标准，将会导致内部审计质量下降，使得公司可能无法发现合规中出存在的问题，导致公司合规失败的风险。AU-CA-05AU-CA-06AU-CO-05现场审计程序恰当，工作底稿真实、准确及有效AU-CA-07AU-CA-08AU-CO-06审计报告及时恰当的编制并经适当审批AU-CA-09AU-CA-10后续审计AU-CO-07审计发现得到恰当整改，审计档案得到恰当管理AU-R-05企业在识别重大内部风险之后，未能对风险进行合理评估并采取相对应的控制措施有效应对风险，从而使得这些风险继续存在，导致企业经营目标无法实现的风险。AU-CA-11AU-CA-12AU-CA-13内部控制自我评价报告AU-CO-08内部控制自我评价报告编制科学、合理，反映企业内控实际，且经过恰当审批AU-R-06内部控制自我评价的流程以及方法不适当，评价人员对公司的经营活动没有充分的了解，评价过程没有经过具有一定权限的管理层进行监督。AU-CA-14AU-CA-15标准控制活动现有控制活动重要性程度公司设置合理的审计部门组织架构，保证审计部门独立性，配备足够的审计人员，在集团范围内有效开展审计工作。审计部门组织架构及人员配置公司设审计管理中心，负责整个集团的内部审计工作，在公司董事会审计与风险委员会的指导下独立开展工作，并向其提交内部审计工作报告。公司下属子公司xx华南实业有限公司、xx（重庆）投资实业有限公司设置了审计管理部门，并配备了专职审计人员开展审计工作；其他没有单独设置审计管理部门的子公司，会配备兼职审计人员，负责完成相应的审计工作。一般企业建立风险评估体系，并制定相关风险管理的制度及操作手册。风险管理体系和制度的建立公司目前尚未制定相关风险管理制度及操作手册，没有形成完善的风险管理体系。一般风险管理部门持续关注业务运营中面临的风险，开展风险评估，对风险列表和应对措施进行持续更新和完善。风险管理部门的设置公司目前尚未组建专门的风险管理部门或在现有组织架构下落实风险管理职责。一般审计部门通过风险评估体系，综合考虑公司的内外部环境及战略目标变化，编制年度内部审计计划。审计计划经过公司适当管理层审批后实施。实施过程中出现调整的，审计部门应提出申请，并经适当管理层审批。年度内审计划的编制与审批审计管理中心根据审计与风险委员会的要求，结合公司各部门/子公司的具体情况编制年度审计工作计划，经中心总经理、公司总经理审核，董事会审计与风险委员会审议通过后实施。年度审计工作计划需要调整时，需经审计与风险委员会审批通过。关键审计需求提出后，审计部门应根据实际需要编制具体项目审计计划及审计方案，并经适当管理层审批。项目实施过程中，根据实际工作情况需要调整项目审计计划及方案的，审计小组需提出书面调整建议并经审计部门负责人同意后实施。项目审计计划和审计方案的编制与审批审计管理中心实施审计时，应当根据年度工作计划或指令和被审计单位情况及预期审计工作的复杂程度，决定是否编制项目审计计划和审计方案；审计计划和审计方案由审计小组编制，项目审计计划和审计方案经审计管理中心总经理审批。审计小组在实施审计过程中，发现项目审计计划和审计方案不适应实际需求时，可以根据具体情况按照规定及时调整；调整时，项目小组应当向审计管理中心总经理说明调整缘由，书面提出调整建议，报经审计管理中心总经理同意后实施；特殊情况下不能办理审批手续的，可以口头请示审计管理中心总经理同意后调整，项目结束时，审计小组应当及时补办签批手续。关键 控制活动审计部门编制审计通知书，经适当领导层级审批后，在实施审计之前，下发至被审计单位。审计通知书的编制与下发审计管理中心经理依据经批准的审计计划、董事会或管理层临时交办的审计任务填列审计通知书，并报中心总经理签发。签发后的审计通知书需在实施审计五个工作日前送达至被审计单位。对需要突击执行审计的特殊业务，审计通知书可在实施审计时送达。关键审计部门根据审核后的审计方案开展审计工作，运用恰当的审计手段，获取充分的审计证据，编制有效的工作底稿。现场审计的实施审计师运用观察、询问、审核以及分析性复核等多种方法获取审计证据并造册归档，并采用审计抽样技术执行相关内部控制活动的符合性测试和实质性测试程序，记录测试结果，形成审计工作底稿。一般审计部门建立内部复核制度，对审计实施过程中涉及的审计证据、审计工作底稿、审计报告、审计意见书等关键性资料进行复核。内部复核制度的建立为保证审计工作质量，审计管理中心采用复核制，审计项目主审对审计组员所提供的审计证据、审计工作底稿、审计结论进行复核并提出意见。一般审计人员在现场审计工作完成后，依据经审核确认的工作底稿编制审计报告。审计报告的编制审计工作结束后五个工作日内，就审计发现的问题向被审计单位书面征求意见。审计工作组依据经审核确认的工作底稿编制审计报告拟定审计报告征求意见稿。被审计单位应在收到征求意见稿之日起五个工作日内进行书面回复，如逾期未作回复，将视作无意见。关键公司领导对审计报告进行审核后，下发被审计单位进行整改。审计报告的审批和下发完成的审计报告呈送公司领导审阅，并附上被审计单位的书面回复意见。经审阅批准的审计报告下达至被审计单位，被审计单位或个人对审计报告有异议的，可申请复议。关键被审计公司需在规定的时间内出具整改方案，并实施整改。整改完成后，被审计公司需在规定的时间内提交审计整改报告。整改方案的提出和实施被审计单位在规定时间内出具审计整改计划，提出整改方案。整改完成后，被审计单位提交审计整改报告，说明整改情况。一般审计部门在约定时间内，依据审计结果有针对性地开展后续跟踪。评价被审计单位的整改情况，并向适当管理层级报告。后续审计实施审计管理中心对重要项目实施后续审计，对被审计单位的整改情况予以综合评价，并向监事会主席、总经理和董事长报告。一般审计部门建立审计档案管理制度，审计项目结束后，审计部门按照审计档案管理的规定将相关档案及时归档，并妥善保管。审计档案管理目前公司审计档案尚未进行系统管理。一般内部控制管理部门根据企业内部控制基本规范及相关配套指引，结合证监会相关要求以及公司自身实际内部控制情况，编制内部控制自我评价报告。编制内控自评报告内部控制管理部门根据企业内部控制基本规范及相关配套指引，结合证监会相关要求以及公司自身实际内部控制情况，编制内部控制自我评价报告。注：由于公司部门结构调整，内部控制管理职责近年来分别由财务管理中心、董事会办公室等部门承担。一般内部控制自我评价报告经公司董事会审议批准后，与公司年度报告同时披露。发布自控内评报告内部控制自我评价报告经内部控制管理部门负责人审核后提交公司董事会审议批准，并与公司年度报告同时披露。一般控制有效性测试制度文档责任部门及岗位控制形式执行频率测试底稿编号测试结论xx房地产（集团）股份有限公司内部审计管理暂行规定无无手工控制业务发生时 无无无无无手工控制业务发生时 无无无无无手工控制业务发生时 无无xx房地产（集团）股份有限公司内部审计管理暂行规定年度审计工作计划审计管理中心手工控制每年AU-T-010 xx房地产（集团）股份有限公司内部审计管理暂行规定项目审计计划审计管理中心手工控制业务发生时 AU-T-020 控制活动xx房地产（集团）股份有限公司内部审计管理暂行规定审计通知书 审计管理中心手工控制业务发生时 AU-T-030 xx房地产（集团）股份有限公司内部审计管理暂行规定审计工作底稿审计管理中心手工控制业务发生时 无无xx房地产（集团）股份有限公司内部审计管理暂行规定审计工作底稿审计管理中心手工控制业务发生时 无无xx房地产（集团）股份有限公司内部审计管理暂行规定项目审计报告（名称不限）审计管理中心手工控制业务发生时 AU-T-040 xx房地产（集团）股份有限公司内部审计管理暂行规定项目审计报告（名称不限）审计管理中心手工控制业务发生时 AU-T-050 xx房地产（集团）股份有限公司内部审计管理暂行规定审计整改计划审计整改报告审计管理中心手工控制业务发生时 无无xx房地产（集团）股份有限公司内部审计管理暂行规定（后续）审计报告审计管理中心手工控制业务发生时 无无xx房地产（集团）股份有限公司内部审计管理暂行规定无审计管理中心手工控制业务发生时 无无无内部控制自我评价报告内部控制管理责任部门手工控制业务发生时 无无无内部控制自我评价报告内部控制管理责任部门手工控制业务发生时 无无合规对比（企业内部控制规范及配套指引）内部控制缺陷条款规定内容控制缺陷编号内控缺陷企业内部控制基本规范第十三条、第十四条、第四十四条企业应当在董事会下设立审计委员会。审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等。审计委员会负责人应当具备相应的独立性、良好的职业操守和专业胜任能力。企业应当结合业务特点和内部控制要求设置内部机构，明确职责权限，将权利与责任落实到各责任单位。企业应当通过编制内部管理手册，使全体员工掌握内部机构设置、岗位职责、业务流程等情况，明确权责分配，正确行使职权。企业应当根据本规范及其配套办法，制定内部控制监督制度，明确内部审计机构（或经授权的其他监督机构）和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求。内部监督分为日常监督和专项监督。日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查；专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下，对内部控制的某一或者某些方面进行有针对性的监督检查。专项监督的范围和频率应当根据风险评估结果以及日常监督的有效性等予以确定。无无企业内部控制基本规范第二十条、第二十四条、第二十六条企业应当根据设定的控制目标，全面系统持续地收集相关信息，结合实际情况，及时进行风险评估。企业应当根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略。企业应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好，采取适当的控制措施，避免因个人风险偏好给企业经营带来重大损失。企业应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略，实现对风险的有效控制。风险规避是企业对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。风险降低是企业在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略。风险分担是企业准备借助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略。风险承受是企业对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或者减轻损失的策略。AU-CD-01未在集团范围内进行系统的风险评估，未形成风险导向的内审体系企业内部控制基本规范第二十条、第二十一条、第二十二条、第二十三条、第二十四条、第二十五条、第二十六条、第二十七条企业应当根据设定的控制目标，全面系统持续地收集相关信息，结合实际情况，及时进行风险评估。企业开展风险评估，应当准确识别与实现控制目标相关的内部风险和外部风险，确定相应的风险承受度。风险承受度是企业能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平。企业识别内部风险，应当关注下列因素：（一）董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。（二）组织机构、经营方式、资产管理、业务流程等管理因素。（三）研究开发、技术投入、信息技术运用等自主创新因素。（四）财务状况、经营成果、现金流量等财务因素。（五）营运安全、员工健康、环境保护等安全环保因素。（六）其他有关内部风险因素。企业识别外部风险，应当关注下列因素：（一）经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。（二）法律法规、监管要求等法律因素。（三）安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。（四）技术进步、工艺改进等科学技术因素。（五）自然灾害、环境状况等自然环境因素。（六）其他有关外部风险因素。企业应当根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略。企业应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好，采取适当的控制措施，避免因个人风险偏好给企业经营带来重大损失。企业应当根据风险分析的结果，结合风险承受度，权衡风险与收益，确定风险应对策略。企业应当合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好，采取适当的控制措施，避免因个人风险偏好给企业经营带来重大损失。企业应当综合运用风险规避、风险降低、风险分担和风险承受等风险应对策略，实现对风险的有效控制。风险规避是企业对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。风险降低是企业在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略。风险分担是企业准备借助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略。风险承受是企业对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或者减轻损失的策略。企业应当结合风险评估结果，通过手工控制与自动控制、预防性控制与发现性控制相结合的方法，运用相应的控制措施，将风险控制在可承受度之内。控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。企业内部控制基本规范第十五条企业应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。无无企业内部控制基本规范第十五条企业应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。无无企业内部控制基本规范第十五条企业应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。无无企业内部控制基本规范第十五条、第二十四条企业应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。无无企业内部控制基本规范第十五条、第二十四条企业应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。无无企业内部控制基本规范第十五条、第四十五条企业应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。企业应当制定内部控制缺陷认定标准，对监督过程中发现的内部控制缺陷，应当分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告。内部控制缺陷包括设计缺陷和运行缺陷。企业应当跟踪内部控制缺陷整改情况，并就内部监督中发现的重大缺陷，追究相关责任单位或者责任人的责任无无企业内部控制基本规范第十五条、第四十五条企业应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。企业应当制定内部控制缺陷认定标准，对监督过程中发现的内部控制缺陷，应当分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告。内部控制缺陷包括设计缺陷和运行缺陷。企业应当跟踪内部控制缺陷整改情况，并就内部监督中发现的重大缺陷，追究相关责任单位或者责任人的责任无无企业内部控制基本规范第四十五条企业应当制定内部控制缺陷认定标准，对监督过程中发现的内部控制缺陷，应当分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告。内部控制缺陷包括设计缺陷和运行缺陷。企业应当跟踪内部控制缺陷整改情况，并就内部监督中发现的重大缺陷，追究相关责任单位或者责任人的责任无无企业内部控制基本规范第四十五条企业应当制定内部控制缺陷认定标准，对监督过程中发现的内部控制缺陷，应当分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告。内部控制缺陷包括设计缺陷和运行缺陷。企业应当跟踪内部控制缺陷整改情况，并就内部监督中发现的重大缺陷，追究相关责任单位或者责任人的责任无无企业内部控制基本规范第四十七条企业应当以书面或者其他适当的形式，妥善保存内部控制建立与实施过程中的相关记录或者资料，确保内部控制建立与实施过程的可验证性。AU-CD-02审计档案尚未进行系统管理企业内部控制基本规范第十三条、第四十六条企业应当在董事会下设立审计委员会。审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等。审计委员会负责人应当具备相应的独立性、良好的职业操守和专业胜任能力。企业应当结合内部监督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。内部控制自我评价的方式、范围、程序和频率，由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。国家有关法律法规另有规定的，从其规定。无无企业内部控制基本规范第十三条、第四十六条企业应当在董事会下设立审计委员会。审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等。审计委员会负责人应当具备相应的独立性、良好的职业操守和专业胜任能力。企业应当结合内部监督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。内部控制自我评价的方式、范围、程序和频率，由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。国家有关法律法规另有规定的，从其规定。无无缺陷描述整改建议缺陷等级无无无公司未建立风险评估体系及风险管理相关制度，未在集团范围内定期进行风险评估，目前审计部主要结合公司各部门/下属公司的具体情况编制年度审计工作计划，公司董事、监事及总经理确定年度拟执行审计项目的重要程度并给予相关建议，未形成系统的以风险为导向的审计体系。公司建立风险评估体系，在集团范围内组织风险识别，并建立风险评估标准，对所识别的风险进行分析、评估和评级。审计部依据风险评估结果，确定年度审计计划及审计范围，建立以风险为导向的审计体系。重要缺陷无无无无无无内部控制缺陷无无无无无无无无无无无无无无无无无无无无无审计材料未规范归档，无档案室，亦无专人管理。审计管理中心建立审计档案管理制度，审计项目结束后，审计管理中心按照审计档案管理的规定将相关档案及时归档，并妥善保管。一般缺陷无无无无无无内部控制有效性测试底稿达标不达标公司名称：机关本部流程名称：内部审计与监督测试底稿编号AU-T-01控制活动编号AU-CA-04控制活动描述年度内审计划的编制与审批审计管理中心根据审计与风险委员会的要求，结合公司各部门/子公司的具体情况编制年度审计工作计划，经中心总经理、公司总经理审核，董事会审计与风险委员会审议通过后实施。年度审计工作计划需要调整时，需经审计与风险委员会审批通过。控制形式手工控制执行频率每年样本量及说明1因事项频率为每年，故样本量为1个。测试程序1、询问审计管理中心负责人，了解年度内审计划的审批程序是否与控制活动描述一致；2、从审计管理中心抽取年度审计工作计划，检查是否根据控制活动的描述经过恰当审批。测测试试属属性性（1）年度审计工作计划是否经中心总经理、公司总经理审核，董事会审计与风险委员会审议；（2）年度审计工作计划的调整是否经审计与风险委员会审批。样本记录样本（组）量日期编号名称测试属性（1）（2）12测试结果测试说明内部控制有效性测试底稿达标不达标公司名称：机关本部流程名称：内部审计与监督测试底稿编号AU-T-02控制活动编号AU-CA-05控制活动描述项目审计计划和审计方案的编制与审批审计管理中心实施审计时，应当根据年度工作计划或指令和被审计单位情况及预期审计工作的复杂程度，决定是否编制项目审计计划和审计方案；审计计划和审计方案由审计小组编制，项目审计计划和审计方案经审计管理中心总经理审批。审计小组在实施审计过程中，发现项目审计计划和审计方案不适应实际需求时，可以根据具体情况按照规定及时调整；调整时，项目小组应当向审计管理中心总经理说明调整缘由，书面提出调整建议，报经审计管理中心总经理同意后实施；特殊情况下不能办理审批手续的，可以口头请示审计管理中心总经理同意后调整，项目结束时，审计小组应当及时补办签批手续。控制形式手工控制执行频率业务发生时样本量及说明具体计算因2011年共发生X次审计计划和审计方案的编制审批事项，故样本量Y个。测试程序1、询问审计管理中心负责人，了解项目审计计划及审计方案的编制审批程序是否与控制活动描述一致；2、从审计管理中心抽取审计计划、审计方案，检查是否根据控制活动的描述经过恰当审批。测测试试属属性性（1）项目审计计划和审计方案是否经审计管理中心总经理审批；（2）需要调整时，审计小组是否提出书面调整建议，并报经审计管理中心总经理审批；（3）特殊情况下的调整未经审批的应在项目结束后及时补办审批手续。样本记录样本（组）量日期编号名称测试属性（1）（2）12测试结果测试说明内部控制有效性测试底稿达标不达标公司名称：机关本部流程名称：内部审计与监督测试底稿编号AU-T-03控制活动编号AU-CA-06控制活动描述审计通知书的编制与下发审计管理中心经理依据经批准的审计计划、董事会或管理层临时交办的审计任务填列审计通知书，并报中心总经理签发。签发后的审计通知书需在实施审计五个工作日前送达至被审计单位。对需要突击执行审计的特殊业务，审计通知书可在实施审计时送达。控制形式手工控制执行频率业务发生时样本量及说明具体计算因每年共发生X次审计通知书下发，故样本量为Y个。测试程序1、询问审计管理中心经理，检查审计通知书的编制与下发是否与控制活动描述一致；2、从审计管理中心抽取审计通知书，检查其是否由中心总经理签发。测测试试属属性性（1）审计通知书是否由中心总经理签发。样本记录样本（组）量日期编号名称测试属性不合格属性说明（1）12测试结果测试说明内部控制有效性测试底稿达标不达标公司名称：机关本部流程名称：内部审计与监督测试底稿编号AU-T-04控制活动编号AU-CA-09控控制制活活动动描描述述审计报告的编制审计工作结束后五个工作日内，就审计发现的问题向被审计单位书面征求意见。审计工作组依据经审核确认的工作底稿编制审计报告拟定审计报告征求意见稿。被审计单位应在收到征求意见稿之日起五个工作日内进行书面回复，如逾期未作回复，将视作无意见。控制形式手工控制执行频率业务发生时样本量及说明具体计算因2011年共发生X次审计报告的编制事项，故样本量为Y个。测试程序1、询问审计管理中心负责人，了解审计报告的编制流程是否与控制活动描述一致；2、从审计管理中心抽取审计报告，检查被审计单位是否出具书面反馈意见。测测试试属属性性（1）被审计单位是否在审计报告上出具书面反馈意见。样本记录样本（组）量日期编号名称测试属性不合格属性说明（1）12测试结果测试说明内部控制有效性测试底稿达标不达标公司名称：机关本部流程名称：内部审计与监督测试底稿编号AU-T-05控制活动编号AU-CA-10控制活动描述审计报告的审批和下发完成的审计报告呈送公司领导审阅，并附上被审计单位的书面回复意见。经审阅批准的审计报告下达至被审计单位，被审计单位或个人对审计报告有异议的，可申请复议。控制形式手工控制执行频率业务发生时样本量及说明具体计算因2011年共发生X次审计报告的审批下发事项，故样本量为Y个。测试程序1、询问审计管理中心负责人，了解审计报告的审批下发流程是否与控制活动描述一致；2、从审计管理中心抽取审计报告，检查是否报公司领导审阅。测测试试属属性性（1）审计报告是否经公司领导审阅。样本记录样本（组）量日期编号名称测试属性不合格属性说明（1）12测试结果测试说明控制类别和参考样本量请参照下表控制类型控制执行总次数控制执行频率样本量注释1手工控制 250每天多次25手工控制250每天一次20手工控制52每周5手工控制12每月2手工控制4每季度2手工控制1每年1应用系统控制不适用不适用注释2注释1：样本量的确定规则出自于企业内部控制审计指引。注释2：对于存在有效的信息系统一般控制的支持，那么针对每一个应用系统控制只需要选择1个样本进行测试。