管理大企業(yè)稅務風險.

企業(yè)稅務內控系統(tǒng)測試主講人：許柯談亮盧強德勤華永會計師事務所聲明許柯德勤華永商務與稅務咨詢效勞部合伙人中國注冊會計師(CICPA)中國注冊稅務師(CICTA)德勤培訓講師：談亮德勤華永企業(yè)險管理效勞部合伙人中國注冊會計師(CICPA)國際注冊內部測試師(CIA)國際注冊內部控制自我評估師(CCSA)美國注冊信息系統(tǒng)測試師(CISA)思科認證資深網(wǎng)絡專員〔CCNA)德勤培訓講師：盧強博士德勤華永商務與稅務咨詢效勞部高級經(jīng)理中國注冊會計師(CICPA)中國注冊稅務師(CICTA)德勤培訓講師：議題

123主題一：企業(yè)風險管理和內部控制簡介主題二：內控失效的典型案例分析主題三：常用的企業(yè)內控測試方法和輔助工具4主題四：大企業(yè)的稅務風險內控測試簡介管理大企業(yè)稅務風險管理大企業(yè)稅務風險.

對稅務內控進行測試

是管理大企業(yè)稅務風險的重要手段和必要手段納稅人寓管于測，以測促管

主題一：

企業(yè)風險管理和內部控制簡介.風險管理根底知識——風險的定義風險因素事件影響目標業(yè)績的內外部事件風險事件或環(huán)境負面影響實體目標業(yè)績的可能性機遇事件產生及正面影響目標業(yè)績的可能性環(huán)境影響風險物化可能性的環(huán)境或狀態(tài)正面－向上負面－向下風險因素、事件、環(huán)境、機遇及風險定義事件有正面效應、負面效應或兩者皆有具有負面效應的事件意味著會產生風險具有正面效應的事件可以抵消不利的影響或產生有利時機周邊環(huán)境與風險產生的可能性緊密相關例如：勞動力未經(jīng)培訓可能導致頻繁發(fā)生事故機遇支持創(chuàng)造價值或使價值持續(xù)管理層創(chuàng)造時機來支持戰(zhàn)略或目標設置的程序，該行為可闡述為抓住機遇具有負面影響的事件會抵抗價值創(chuàng)造或者侵蝕已有價值具有負面影響的事件可能來源于看似存在正面效應的時機，如：客戶需求量超過其生產能力

為什么要開展企業(yè)風險管理一般來說，企業(yè)風險管理是為了：可持續(xù)性開展—對單個業(yè)務風險或整體風險持續(xù)不斷地進行識別、確認和評估優(yōu)化資源分配－通過“風險比較〞，將業(yè)務方案和風險管理活動進行排序，基于風險業(yè)績指標進行資源分配提高經(jīng)營效率－使用集中的或共享的風險管理職能、躲避風險、簡化流程及優(yōu)化結構〔例如，系統(tǒng)，人員等〕改進內部溝通機制—有利于理順匯報渠道，開展一套企業(yè)內部進行風險溝通的“共同語言〞穩(wěn)定收益－通過提高對風險的定量分析及剩余風險的應對措施來穩(wěn)定收益風險識別、風險評估、風險應對是全面風險管理的三個核心步驟；其中，－風險識別是管理根底，－風險評估是資源配置，－風險應對是企業(yè)價值的保護和再創(chuàng)造。風險管理的生命力在于與日常管理體系的結合，而非兩張皮的概念。某央企提出的“以風險為導向，以流程為紐帶，以內控為抓手，以制度為根底〞的四位一體，得到國資委高度贊揚。全面風險管理的三個核心步驟風險管理的根本流程——風險識別德勤風險智能地圖行業(yè)普遍關鍵風險戰(zhàn)略相關風險管理層關注風險識別關鍵風險的方法：業(yè)內同行關鍵風險調研企業(yè)戰(zhàn)略目標相關的關鍵風險管理層關注的關鍵風險運用德勤風險智能地圖進行風險匹配風險管理及內部控制調查問卷步驟1-風險識別：根據(jù)公司整體目標和職能部門目標，從管理企業(yè)風險和創(chuàng)造企業(yè)價值出發(fā)，識別、整理、分析與公司戰(zhàn)略開展和業(yè)務流程最相關的關鍵風險。如何準確識別關鍵風險？風險管理及內控問卷風險管理的根本流程——風險評估步驟2-風險評估：按照風險評估標準，通過問卷調查的形式，就風險本身的固有風險和基于現(xiàn)有內控有效性之下的剩余風險進行評估。如何區(qū)別固有風險(Inherent

risk)和剩余風險(Residualrisk)的定義？

固有風險：是指假定不存在任何風險管理措施和內部控制，導致企業(yè)發(fā)生某方面或多方面損失的風險。固有風險考慮的是風險可能造成的最壞影響。

剩余風險：是指在考慮公司現(xiàn)有的風險管理措施和內控有效性之后，仍然會導致企業(yè)發(fā)生某方面或多方面損失的風險。剩余風險考慮的是經(jīng)過公司的內控管理之后風險仍有可能造成的影響。需要綜合考慮固有風險和內控有效性的評估結果。固有風險—內控有效性=剩余風險多壞?多快?從多個緯度考慮多好?多快?預防或積極準備應對提高改進是否可接受?趨勢更好更壞沒變化風險管理的根本流程——風險應對步驟3-風險應對：按照風險評估結果繪制?風險應對策略圖?(MARCIChart)，制定關鍵風險的應對方案。L固有風險確認/重新確認準備的有效性MCIAR剩余風險HLR=Redeployment重新部署有限的風險管理資源A-Assurance確認或重新確認風險控制的有效性CI=CumulativeImpact測量累積影響M-Mitigation積極降低風險ARHM象限：此區(qū)域風險點的固有風險高且剩余風險水平也高，需采取措施積極降低風險；A象限：此區(qū)域風險點的固有風險水平較高，但通過有效的風險控制，剩余風險水平較低。需對風險控制有效性進行監(jiān)控或確認；R象限：此區(qū)域風險點的固有風險與剩余風險水平都較低。對此區(qū)域的風險點可以考慮對有限的風險管理資源進行重新部署；CI象限：此區(qū)域風險點的固有風險較低，但影響可能累積而造成剩余風險較高。需測量風險的累積影響，確認控制措施。風險規(guī)避退出引起風險的活動，即在可能的情況下，決定不從事或盡量避免那些繼續(xù)從事可能會導致風險的活動，如退出生產線、停止一個區(qū)域的業(yè)務、或出售一部分經(jīng)營性資產等。風險減輕采取措施來減輕風險的可能性和/或影響，即通過改變風險發(fā)生的可能性來減少風險的不利后果，或改變風險的影響來減少損失的范圍。減輕風險一般牽涉到所有大量的日常經(jīng)營決策，例如產品多樣化、技術改進、加強人員培訓、資本重新分配、改進業(yè)務流程等。風險分擔通過采取措施來轉移和分擔一部分風險來減少風險的可能性或影響，這包括與另外的單位合作來共同承擔風險，如成立合資企業(yè)、購買保險、套期保值、外包業(yè)務等。分擔風險可能會帶來新的風險，因為合作單位可能缺乏期望的能力和資源。風險接受不采取任何措施去影響風險的可能性和影響。這可能是因為該風險屬于風險容忍度范圍之內；或該風險在企業(yè)范圍內與其他風險自然抵消；或由于風險應對成本過高，公司決定接受該風險。風險應對方案的根本類型風險管理的根本流程——風險應對根本類型

設計風險應對方案的思路源頭治理：了解風險發(fā)生的根源，針對源頭設計風險應對方案；整體風險組合觀：從整個企業(yè)的角度去分析風險，考慮風險組合應對；考慮風險發(fā)生的深層次原因〔如：隱含在企業(yè)戰(zhàn)略和文化方面等〕，提出改善方案；考慮應對方案的效果和本錢，選擇一個或幾個適宜的措施，考慮因素包括：-直接的和非直接的本錢、有形的和無形的本錢、以及財務或非財務本錢；-單獨的應對方法或組合方法；-慎重考慮那些發(fā)生可能性較小但卻很嚴重的風險；-考慮對股東價值的影響；-考慮應對風險的預算和資源分配，區(qū)分優(yōu)先順序；-應對措施能夠結合現(xiàn)在的內部控制缺陷，且該措施的執(zhí)行可減少該風險的來源；-風險應對措施本身可能帶來新的風險。風險數(shù)據(jù)庫：將所識別的風險點與風險類型或業(yè)務流程對應，形成風險數(shù)據(jù)庫加以系統(tǒng)化管理；風險管理責任：將關鍵風險點與風險所屬部門和職位對應，落實風險管理責任。風險管理的根本流程——風險應對的主要思路風險管理的持續(xù)開展——建立風險管理信息系統(tǒng)

五部委?企業(yè)內部控制根本標準?對內部控制的定義財政部、證監(jiān)會、測試署、銀監(jiān)會、保監(jiān)會于2021年6月28日聯(lián)合發(fā)布了?企業(yè)內部控制根本標準?《企業(yè)內部控制基本規(guī)范》總則內部監(jiān)督風險評估控制活動信息與溝通內部環(huán)境附則合理保證:企業(yè)經(jīng)營管理合法合規(guī)資產平安財務報告及相關信息真實完整提高經(jīng)營效率和效果促進企業(yè)實現(xiàn)開展戰(zhàn)略內部控制：由企業(yè)董事會、監(jiān)事會、經(jīng)理層和全體員工實施的、旨在實現(xiàn)控制目標的過程?，F(xiàn)代企業(yè)管控體制公司治理是現(xiàn)代企業(yè)調整所有者和管理者矛盾的體系；風險管理是管理層應對內外的各種挑戰(zhàn)和不確定因素的時候，所采用的較為系統(tǒng)的方法和過程；內部控制是現(xiàn)代企業(yè)內部日常經(jīng)營運作的業(yè)務過程，管理者負有實施和監(jiān)督的完全責任。公司治理風險管理內部控制1—包含的關系內部控制與風險管理的關系1戰(zhàn)略最高端的戰(zhàn)略制定和優(yōu)化，關注有回報的風險運營/財務/合規(guī)

防范資產損失等沒有回報的風險戰(zhàn)略執(zhí)行戰(zhàn)略分解執(zhí)行過程中的優(yōu)化和協(xié)同，關注有回報和沒有回報的風險兩局部內控體系建立健全關注的內容風險管理關注的內容2—支撐的關系內部控制與風險管理的關系23—風險與控制的平衡過度的風險資產的損失業(yè)務決策不善不守法丑聞控制風險過度的控制＋官僚作風

生產力＋復雜性＋周期＋非增值性活動內部控制與風險管理的關系3剩余風險〔風險敞口〕多壞?多快?財務聲譽法律法規(guī)健康平安環(huán)保相關利益者可接受?趨勢更好更壞沒變化固有風險–內部控制有效性=多好?多快?預防或積極準備應對及恢復提升風險的類型與風險管理者4—風險敞口內部控制與風險管理的關系4風險應對從管理大類來說，可以分為兩大類風險應對內部控制應急預案適用于內部可控的風險:設定控制目標制定控制活動形成內部控制矩陣監(jiān)督與自查……適用于不可控的系統(tǒng)性風險:定期的數(shù)據(jù)監(jiān)控和報告應急預案的啟動套期保值等避險工具的使用信用證……內部控制與風險管理的關系5

五部委?根本標準?及配套指引最新動態(tài)更新五部委?根本標準?及配套指引最新動態(tài)更新〔續(xù)〕配套指引的實施時間表2021年1月1日境內外同時上市的公司施行2021年1月1日上海證券交易所、深圳證券交易所主板上市公司未定擇機在中小板和創(chuàng)業(yè)板上市公司施行未定鼓勵非上市的其他大中型企業(yè)提前執(zhí)行主題二：

內控失效的典型案例分析.內控失效的典型案例增值稅發(fā)票失控和員工嚴重舞弊內控失效的典型案例英邁的問題在哪？－見下頁案例分析案例分析該案例中，企業(yè)〔英邁中國〕與稅務管理相關的流程、風險和內部控制的關系如下：可能存在的違法違規(guī)行為對應的稅務管理流程影響的業(yè)務流程風險內部控制虛開、倒賣增值稅發(fā)票（銷項稅）增值稅管理流程銷售流程1、銷售發(fā)票（增值稅）缺少嚴格的管理流程。2、增值稅發(fā)票的開具、審核、備案、入賬、申報等各環(huán)節(jié)缺少必要的職責分離。1、建立嚴格的增值稅發(fā)票管理流程，完善從增票的申請、開具、審核、備案、財務入賬、稅務申報等各個環(huán)節(jié)的內部審核制度。2、在流程中建立恰當?shù)穆氊煼蛛x機制，確保不相容崗位互相分離。少記、漏記銷售收入增值稅管理流程銷售流程企業(yè)所得稅財務報告流程會計系統(tǒng)與銷售業(yè)務系統(tǒng)之間缺少可靠的數(shù)據(jù)傳遞流程，難以保證會計系統(tǒng)中銷售收入的完整性和準確性。應建立完善的內部審核制度，保證所有銷售交易都完整、準確、及時地錄入了會計系統(tǒng)，每一筆會計憑證（含增值稅發(fā)票）都經(jīng)過了必要的審核。公司層面控制高級管理層缺乏風險意識。公司缺少有效地反舞弊機制。應建立自上而下的監(jiān)控機制和自下而上的反舞弊機制，并保證反舞弊機制的有效運行。如何透過現(xiàn)象洞察缺失的控制？案例分析〔續(xù)〕可能存在的違法違規(guī)行為對應的稅務管理流程影響的業(yè)務流程風險內部控制倒賣增值稅發(fā)票（進項稅）增值稅管理流程采購流程1、缺少嚴格的供應商選擇和評審流程。2、由于對關鍵崗位未建立輪崗機制，可能會導致財務舞弊發(fā)生的風險。（五部委指引）1、應建立完善的供應商選擇流程，對于不符合要求的供應商（如不能按稅務局要求開具正式發(fā)票），不能與公司進行交易；如特殊情況下確實需要與其進行采購交易的，應得到公司高級管理層的批準，并且由相關人員對交易單據(jù)進行充分審核，確保不存在稅務漏洞。2、對于公司職位控制薄弱、易發(fā)生舞弊行為的高風險崗位實行輪崗制度。少記、漏記采購成本增值稅管理流程存貨流程企業(yè)所得稅財務報告流程可能存在游離于財務系統(tǒng)外的存貨資產，并漏記流動負債（應付賬款）。應建立定期的與供應商對賬機制，對賬結果應書面存檔，對賬差異應及時調查原因。公司層面控制公司缺少有效的內部審計職能，或缺少定期的內控自我評估機制應建立有效的內審職能，內審應具備獨立性。在具有較好的內控基礎的企業(yè)中，應建立定期的內控自我評估機制。如何找出風險點并設計控制措施？主題三：

常用的企業(yè)內控測試方法.企業(yè)業(yè)務循環(huán)概述客戶/訂單評估完成訂單發(fā)貨開發(fā)票收入確認信貸控制現(xiàn)金收款〔收款〕監(jiān)督未清余額維護客戶主文檔職責分工申請采購〔定購〕收取貨物與效勞核對應付賬款發(fā)票記錄應付賬款付款維護供給商主文檔職責分工收入循環(huán)支出循環(huán)企業(yè)內控測試的常用方法－訪談管理銷售訂單客戶授權額度的限定銷售合同和訂單的建立審批,對銷售定價和條件的審批銷售訂單在系統(tǒng)中的輸入,以及信息傳送至發(fā)貨和開具發(fā)票的程序及控制確?？蛻舭l(fā)來的訂單都被輸入系統(tǒng)并處理確保只有有效的訂單才被輸入系統(tǒng)并處理銷售訂單的取消程序,確保取消的訂單已準確輸入處理銷售訂單,開具銷售發(fā)票,處理客戶銷售退回,處理客戶銷售后調整訂單內容發(fā)票使用批準的價格和授權發(fā)票在適宜的期間內開具發(fā)票金額準確的計算和記錄所有發(fā)貨的物資均已開票所有發(fā)票都對應有效的發(fā)貨所有開具的發(fā)票都已記錄退貨在適宜的期間開具并記錄所有對應收賬款余額的調整都準確地記錄在恰當?shù)貢嬈陂g收款程序管理商業(yè)票據(jù)銷售收款記錄在恰當?shù)臅嬈陂g銷售收款準確地得到了記錄所有的收款都得到了記錄壞賬追查和入賬企業(yè)內控測試的常用方法－穿行測試企業(yè)內控測試的常用方法－抽樣測試執(zhí)行頻率控制的性質執(zhí)行的頻率測試項目的最小數(shù)量人工控制每日多次25人工控制每日一次15人工控制每周一次5人工控制每月一次2人工控制每季度一次1人工控制每年一次1程式化控制如果得到信息技術整體控制的有效支持，為每個程式化控制活動測試一次應用，否則以類似測試人工控制的方式進行測試（如，25個）。信息技術整體控制按照上述指引對信息技術整體控制的人工和程式化方面進行測試。內控在信息系統(tǒng)中的表達2006年2月的一條新聞報道：“中國移動的沖值卡數(shù)據(jù)庫被侵入，造成直接損失370萬人民幣〞；相關鏈接2006年4月的一條新聞報道：“中國銀聯(lián)癱瘓8小時京滬等地跨行交易中斷；相關鏈接而2006年5月的一條新聞報道“IT高手帶著‘內鬼’‘黑’走樂購超市400萬；相關鏈接3個月內，三起事件均是由于信息系統(tǒng)風險管理的缺乏而造成的，而其結果更是以驚人的方式表現(xiàn)出來，每個事件給企業(yè)帶來的直接損失均是百萬級的，而無形的損失更是難以衡量。整體計算機環(huán)境控制流程中的控制措施（手工/應用）收入流程采購流程固定資產管理流程存貨管理管理流程財務報告與預算管理流程信息系統(tǒng)審計的理論框架〔業(yè)務驅動〕應用控制〔ApplicationControl:AC〕授權控制輸入控制處理控制輸出控制邊界/接口控制整體計算機環(huán)節(jié)控制：(GeneralComputerControl:GCC)信息資源戰(zhàn)略及規(guī)劃信息系統(tǒng)運作與外包供給商的關系信息平安業(yè)務連續(xù)性方案應用系統(tǒng)的實施及維護數(shù)據(jù)庫的實施及支持網(wǎng)絡支持系統(tǒng)軟件支持硬件支持信息系統(tǒng)根本結構網(wǎng)絡管理系統(tǒng)操作系統(tǒng)平臺數(shù)據(jù)庫管理系統(tǒng)應用系統(tǒng)信息系統(tǒng)一般控制信息系統(tǒng)應用控制信息系統(tǒng)一般控制—實例分析我們選擇整體計算機控制局部的信息系統(tǒng)操作領域為例：編號控制目標信息系統(tǒng)操作IR02005所有進行批處理或在線作業(yè)及產生報表的實時程序均能及時運行并正常完成IR02008所有執(zhí)行的程序均為合法的IR02010資料依照法律,法規(guī)或公司政策保存,以便必要時可隨時取得IR02015計算機處理環(huán)境能提供符合或超越客戶期望的服務IR02020用戶對應用軟件的使用得到適當?shù)呐嘤朓R02030用戶對應用軟件的使用能得到在適當?shù)闹С忠源_保應用軟件功能得以實現(xiàn)應用系統(tǒng)控制—實例分析應用系統(tǒng)控制舉例—采購流程授權控制只有得到授權的用戶可以在系統(tǒng)中生成采購申請，采購訂單，入庫單和確認發(fā)票只有得到授權的用戶可以審批采購申請或采購訂單。不會將創(chuàng)立采購申請和審批采購申請的權限賦予同一個用戶。輸入控制系統(tǒng)會對采購申請單，采購訂單和入庫單進行連續(xù)編號。系統(tǒng)對采購訂單頁面中的重要字段進行了強制的格式和內容校驗，比方在日期字段中不允許輸入字符內容，當用戶選擇了采購物料編碼后，物料名和采購價格是由系統(tǒng)自動帶出，而不能被修改。當輸入的采購量超過庫存余額的時候，系統(tǒng)會自動報警，確保這種采購訂單不能被生成。處理控制系統(tǒng)提供模擬處理功能，以確保正式生成的單據(jù)是符合公司要求的。在進行發(fā)票校驗的時候，系統(tǒng)自動會在后臺進行三單匹配的校驗，以確保生產的采購發(fā)票上的數(shù)量和金額與采購訂單以及入庫單上的數(shù)字保持一致。假設操作的處理過程太長或占用系統(tǒng)資源過多，系統(tǒng)會自動警示。對任何重要單據(jù)的修改，系統(tǒng)都會在保存前和用戶進行確認。應用系統(tǒng)控制舉例—采購流程〔續(xù)〕輸出控制系統(tǒng)會自動提示輸出到其他模塊的數(shù)據(jù)是否成功。對于無法正確輸出的報表或者內容，系統(tǒng)會以代碼的形式告訴用戶原因及解決的方法。用戶可以定制輸出報表的格式，包括字段和每頁的記錄條數(shù)等。當輸出內容超過系統(tǒng)負荷時，系統(tǒng)會自動警示。

邊界/接口控制系統(tǒng)會提供接口數(shù)據(jù)傳輸?shù)臓顟B(tài)報表，包括每次接口傳輸數(shù)據(jù)的時間，是否成功等信息。系統(tǒng)會對接口傳輸?shù)臄?shù)據(jù)包的前后狀態(tài)進行核對，比方檢查導入到新模塊的數(shù)據(jù)包大小和老系統(tǒng)中有什么區(qū)別。系統(tǒng)會列示導入前后的記錄條數(shù)和金額總計。?稅務風險內控手冊?系統(tǒng)地整合了所有與企業(yè)稅務管理流程相關的各個風險點、控制目標、控制活動、流程負責人、公司現(xiàn)有制度等信息，以及包含了如何測試這些控制的審計步驟，是企業(yè)自行管理稅務風險或定期自我評估內部控制的有效輔助工具，也可以便于監(jiān)管機構〔如稅務局〕對企業(yè)進行例行檢查。版本：2010-62010年6月中國ABC集團有限公司稅務風險內控手冊企業(yè)內控測試的輔助工具－稅務風險內控手冊稅務管理流程及子流程稅務風險內控手冊的作用?稅務風險內控手冊?的主要作用包括：手冊系統(tǒng)地整合了所有與企業(yè)稅務管理流程相關的各個風險點、控制目標、控制活動、流程負責人、公司現(xiàn)有制度等信息；既可以使企業(yè)管理人員一目了然地了解企業(yè)所有適用的重大稅務風險和對應的控制活動，也是指導各級員工開展具體工作的指南；手冊包含了如何測試這些控制的審計步驟，可以作為企業(yè)自行管理稅務風險或定期自我評估內部控制的有效輔助工具；手冊可以極大地協(xié)助外部監(jiān)管機構〔如各級稅務機關〕快速了解企業(yè)存在的與稅務管理相關的重大風險點和企業(yè)已有的控制活動，以便對企業(yè)展開更具有針對性的例行檢查或不定期檢查，提升外部監(jiān)管機構的檢查效率和效果。46企業(yè)的業(yè)務流程可分為“公司層面的內部控制〞和“流程層面的內部控制〞，其中流程之一就是稅務管理流程，其又可按稅種進一步劃分成各子流程。CE

控制環(huán)境RA

風險評估IC

信息與溝通MO

監(jiān)督稅務管理流程－控制活動CE-001

企業(yè)文化RA-001

風險策略IC-001

對內溝通MO-001

自我評估VAT增值稅管理流程CE-002

治理結構RA-002

風險識別機制IC-002

對外溝通MO-002

獨立監(jiān)控CIT企業(yè)所得稅管理流程CE-003

內部審計RA-003

風險分析與評估IC-003

溝通系統(tǒng)與渠道MO-003

對下屬公司的

管控IIT

個人所得稅管理流程CE-004

機構設置權責分配RA-004

風險應對措施IC-004

反舞弊機制BT其它稅種管理流程（營業(yè)稅、房產稅）CE-005

人力資源政策TAX納稅申報及所得稅返還管理流程流程層面的內部控制公司層面的內部控制稅務風險內控手冊－稅務管理流程稅務風險數(shù)據(jù)庫是通過下發(fā)、收集、匯總、分析風險調查問卷，采集企業(yè)與稅務相關的根本風險信息，并結合德勤全球風險管理工程中累積的實踐，對稅務風險進行分類〔固有風險、剩余風險〕和評級〔很高、高、中、低、很低、不適用〕，并評估風險發(fā)生的可能性。稅務風險內控手冊－稅務風險數(shù)據(jù)庫風險名稱針對每個風險點的控制措施稅務風險應對策略圖是通過對風險調研中取得的根底信息，結合領先的德勤全球風險管理工具，形成風險熱力圖。稅務風險內控手冊－稅務風險應對策略圖針對每個風險點的量化評估根據(jù)風險評估的結果產生的紅黃綠亮燈管理不兼容職責表：通過A、B、C等英文字母表示每個稅務管理子流程中涉及的關鍵職責；通過“X〞表示橫向和縱向的兩個不同職責是否可以兼任；表達了內控流程中的“不兼容職責〞需別離的理念；便于手冊使用者和管理層的自我檢查。其優(yōu)點在于：合理分工，形成不同崗位間的相互牽制、相互監(jiān)督，明確崗位責任；降低舞弊發(fā)生的可能性。ABC集團稅務風險內控手冊企業(yè)內控測試的輔助工具－稅務風險內控手冊每個內控流程手冊的子流程主要局部均由以下的業(yè)務流程目錄、不兼容職責表、風險及控制矩陣構成，具體內容參見后頁。稅務風險及控制矩陣：稅務風險及控制矩陣高度概括了各稅務管理子流程的關鍵控制節(jié)點，成為公司各級管理層的管理抓手，也可作為外部監(jiān)管機構稽查的重點。通過風險、控制目標、控制活動的匹配，幫助使用者從“知其然〞步入“知其所以然〞，深化對控制活動的理解，提高對控制活動的把握；任何不熟悉該控制活動的新員工或外部監(jiān)管機構，都可通過查閱該控制矩陣及相關制度迅速進入角色，從而實現(xiàn)經(jīng)驗共享。稅務流程子流程風險編號風險描述固有風險內控有效性剩余風險控制目的編號控制目標控制活動編號控制活動公司相關政策增值稅管理流程發(fā)票的開具和銷售收入的入賬VAT-01核對銷售、發(fā)貨、收款記錄不當如果對銷售、發(fā)貨、收款業(yè)務的會計系統(tǒng)未進行有效控制，可能導致會計記錄、銷售記錄與倉儲記錄不一致。

433CO-01企業(yè)應當加強對銷售、發(fā)貨、收款業(yè)務的會計系統(tǒng)控制，詳細記錄銷售客戶、銷售合同、銷售通知、發(fā)運憑證、商業(yè)票據(jù)、款項收回等情況，確保會計記錄、銷售記錄與倉儲記錄核對一致。CA-01財務部會計月末在ERP系統(tǒng)中導出產成品出庫與已開發(fā)票匯總，核對并分析其中差異后將《出庫及發(fā)票對比清單》交于市場銷售部和財務經(jīng)理簽字確認?！禔BC公司銷售管理制度》

增值稅管理流程發(fā)票的開具和銷售收入的入賬VAT-02發(fā)票管理不當由于缺乏發(fā)票管理相關規(guī)定和職責分工，可能造成發(fā)票領用、入賬、核銷過程中出現(xiàn)漏洞,造成企業(yè)損失的風險。433CO-02按照合同開具發(fā)票企業(yè)應當嚴格按照合同規(guī)定的條款和價格及發(fā)票管理規(guī)定開具銷售發(fā)票。嚴禁開具虛假發(fā)票。CA-02采購部倉庫管理員及市場銷售部文員對貨物出庫進行確認后，市場銷售部文員根據(jù)貨物出庫情況同時查看合同信息填寫《開票申請單》，交由市場銷售部經(jīng)理審核、后交財務經(jīng)理確認后財務開票專員進行開票?！禔BC公司銷售管理制度》

企業(yè)內控測試的輔助工具－稅務風險內控手冊編號流程章節(jié)發(fā)現(xiàn)問題建議管理層整改計劃１公司層面控制尚需建立風險管理和內部控制的長效機制公司已聘請外部咨詢機構初步建立了風險管理體系和內部控制體系，以識別及應對企業(yè)內部和外部的風險，加強運營過程中可能存在的內控薄弱點的管控。由于風險管理和內部控制需要長期關注，相關內容需要根據(jù)公司外部形勢變化和內部要求變化持續(xù)更新，因此尚需建立風險管理和內部控制的長效機制。建議積極建立風險管理和內部控制的長效機制，根據(jù)公司外部形勢變化和內部要求變化持續(xù)更新風險管理體系和內部控制體系。運行管理部牽頭進行風險管理和內控體系的建設，并著力在外部咨詢機構的咨詢指導中完成知識的轉移，準備下半年的全系統(tǒng)范圍的內控自評。在下一年的風險管理和內控手冊更新中，對本部和分子公司相關人員進行培訓并提供支持，以保證風險管理和內控體系的持續(xù)更新和長效機制。２對分子公司的管理缺乏成文的關聯(lián)交易管理制度公司目前雖然有草擬的《關聯(lián)交易管理制度》，但并未經(jīng)過正式頒布，這可能造成各分子公司對公司關聯(lián)交易制度和標準了解不足、執(zhí)行不力，不利于公司關聯(lián)交易的準確識別、統(tǒng)計和管理。建議按照五部委的要求，由本部統(tǒng)一制定關聯(lián)交易的政策并及時進行頒布實施。總部已草擬了《關聯(lián)交易管理制度》，待《上證所上市公司關聯(lián)交易制度實施指引》正式頒布后（據(jù)悉可能在今年7月），總部會依據(jù)正式的實施指引作出相應完善和修改后盡快頒布下發(fā)。稅務風險內控手冊－附錄：稅務控制自評報告企業(yè)定期安排稅務控制自評，既可以便于企業(yè)高級管理層及時掌握稅務管理流程中存在的控制薄弱環(huán)節(jié)，以不斷完善稅務內控；也可以便于外部稅務監(jiān)管機構及時了解企業(yè)在稅務風險內控方面的工作成果主題四：

大企業(yè)的稅務風險內控測試.大企業(yè)稅務風險內控測試的對象為實現(xiàn)納稅遵從而設計和實施的內部控制企業(yè)納稅遵從風險，包括企業(yè)未能按照稅法的要求，及時、準確地履行稅務登記、納稅申報、稅款繳納以及其他納稅義務產生的風險。其他與納稅遵從相關的控制了解被測試企業(yè)的稅務風險內控體系〔一〕評價控制的設計–是否已經(jīng)有稅務內控手冊？設計是否得當？〔二〕獲取控制設計和執(zhí)行的審計證據(jù)〔三〕了解內部控制與測試控制運行有效性的關系–稅務內控手冊得到有效運行了么？稅務風險內控的局限性評價被測試企業(yè)的稅務風險內控體系評價被測試企業(yè)的稅務風險內控體系評價被測試單位的風險評估過程〔一〕被測試單位可能面臨的風險1.監(jiān)管及經(jīng)營環(huán)境的變化。2.企業(yè)重組–決策過程是否有納稅風險管理崗位的參與？……3.開展海外經(jīng)營–新的問題是否已經(jīng)納入了風險管理范疇？如利用雙邊稅收協(xié)定防止在東道國多交稅？……4.新的會計準那么-新的會計和稅務差異有誰來識別？納稅調整如何傳遞到納稅申報崗位？……5.重大關聯(lián)交易-決策過程是否有納稅風險管理崗位的參與？……3.新信息系統(tǒng)的使用或對原系統(tǒng)進行升級。4.業(yè)務快速開展。5.其他。評價被測試企業(yè)的稅務風險內控體系被審計單位的風險評估過程〔二〕對風險評估過程的了解〔1〕被測試單位是否已建立稅務風險評估過程，包括識別風險，估計風險的重大性，評估風險發(fā)生的可能性以及確定需要采取的應對措施；〔2〕會計部門和稅務風險管理部門是否建立了某種流程，以識別會計與稅務差異的重大變化；〔3〕當被測試單位業(yè)務操作發(fā)生變化的流程時，是否存在溝通渠道以通知稅務風險管理部門；〔4〕稅務風險管理部門是否建立了某種流程，以識別經(jīng)營環(huán)境包括監(jiān)管環(huán)境發(fā)生的重大變化?！?〕其他。評價被測試企業(yè)的稅務風險內控體系評價控制活動考慮的主要因素可能包括：〔1〕對被審計單位的主要經(jīng)營活動是否都有必要的稅務風險控制程序；〔2〕管理層對稅務風險控制方面是否有清晰的目標，在被測試單位內部，是否對目標加以清晰的記錄和溝通，并且積極地對其進行監(jiān)控；〔3〕是否存在方案和報告系統(tǒng)，以識別稅務風險的出現(xiàn)，并向適當層次的管理層報告該風險；〔4〕是否由適當層次的管理層對風險進行調查，并及時采取適當?shù)拇胧?；?〕不同稅務風險管理崗位人員的職責應在何種程度上相別離；〔6〕會計系統(tǒng)中的數(shù)據(jù)是否與納稅數(shù)據(jù)定期核對；〔7〕是否建立了適當?shù)谋Ｗo措施，以防止未經(jīng)授權接觸文件、記錄和資產；〔8〕其他。評價被測試企業(yè)的稅務風險內控體系評價對控制的監(jiān)督考慮的主要因素可能包括：〔1〕被測試單位是否認期評價稅務風險內部控制；〔2〕被測試單位人員在履行正常職責時，能夠在多大程度上獲得稅務風險內部控制是否有效運行的證據(jù)；〔3〕與稅務機關、中介機構等外部的溝通能夠在多大程度上證實內部產生的信息或者指出存在的問題；〔4〕管理層是否采納稅務風險管理崗位的建議；〔5〕管理層是否根據(jù)稅務機構的檢查及建議及時采取糾正措施；〔6〕是否存在協(xié)助管理層監(jiān)督內部控制的職能部門〔如內部審計部門〕?！?〕其他。評價被測試企業(yè)的稅務風險內控體系評價信息系統(tǒng)與溝通評價被測試企業(yè)的稅務風險內控的工作模塊確定被測試單位的重要稅務內控工作模塊了解重要內控流程，并記錄獲得的了解〔1〕檢查被測試單位的手冊和其他書面指引，特別是被測試單位文件〔如流程圖、程序手冊、職責描述、文件、表格等；〔2〕詢問被審計單位的適當人員；〔3〕觀察所運用的處理方法和程序；〔4〕穿行測試。評價