德勤：管理大企业税务风险企业税务内控系统测试.ppt

管理大企业税务风险.企业税务内控系统测试,主讲人：许柯谈亮卢强德勤华永会计师事务所,声明,注意事项本次演讲的所有资料或解释(包括但不限于投影片)(以下统称为“材料”)乃德勤华永会计师事务所有限公司（以下简称“德勤华永”）为内部使用目的而编制的。它仅提供给德勤华永所授权的人士使用。该材料仅供一般指引之用，并非旨在构成任何决策的基础，且不能被解释为德勤华永的建议、意见或推荐。此外，由于德勤华永在编制有关材料时受时间及适用的资料所限，可能并未知悉所有的事实或资料，因此该等材料并不应被视为全面完备的材料。而德勤华永亦不会就材料的准确性、完整性或充分性进行任何陈述。使用者应当自行承担因应用该等材料的内容而产生的风险。本材料为机密文件。除德勤华永所授权的人士外，任何其它人士未经德勤华永事先书面同意，不得以任何方式持有、使用或传播本材料。德勤华永不对任何人承担任何义务和责任（包括但不限于疏忽引起的责任）。德勤华永保留本材料的著作权及其它一切知识产权。,许柯德勤华永商务与税务咨询服务部合伙人中国注册会计师(CICPA)中国注册税务师(CICTA),德勤培训讲师：,许柯先生是德勤华永会计师事务所上海税务和商务咨询部的合伙人。许先生在中国企业上市的税务方面有丰富的专业经验。同时,他是本所华东区南京分所、杭州分所和苏州分所的主管合伙人，领导着整个江浙地区的税务服务团队。2001年12月，为配合德勤全球战略发展的需要，许先生曾被德勤国际委派到澳大利亚工作一年半，从事国际税务和转让定价税务服务。许先生擅长提供各种与中国的企业在国内、外的主要证券市场上市有关的税务服务；协助大型国有企业、民营企业和跨国公司进行整体税务状况评估和税务筹划；在国内企业境外投资的架构设计与整合也有丰富的经验；此外，他在转让定价方面有资深的经验，为众多跨国公司提供关联交易的税务规划和研究。,谈亮德勤华永企业险管理服务部合伙人中国注册会计师(CICPA)国际注册内部测试师(CIA)国际注册内部控制自我评估师(CCSA)美国注册信息系统测试师(CISA)思科认证资深网络专员（CCNA),德勤培训讲师：,谈亮先生是德勤华永会计师事务所华东区企业风险管理服务部的合伙人，具有超过十年的风险和内控领域的管理咨询经验，主要从事企业风险管理咨询、内部控制以及萨班斯法案相关的测试和咨询服务。谈先生在德勤中国和香港两地拥有综合项目经验，包括内部控制测试、萨班斯法案服务以及风险管理服务经验。他曾为多家跨国公司、外商投资企业、国有大型企业集团、高科技公司及境外上市公司提供内部控制和企业风险管理咨询，特别专注与钢铁和重型制造业，也有着在中国大陆、香港和日本为当地客户提供咨询服务的工作经验。谈先生曾经应邀为多家政府机构和国有大型集团讲授风险管理、内部控制的课程。他受邀在江苏国资委、上海证监局、广东内审协会、广东银行保险证券系统、中国证券业协会以及上海本地的若干个大型国有集团中讲课。他也是代表德勤为上交所内控指引提供实施方面专业建议的外部专业组的主要成员之一；著有中美日企业内部控制实务一书。,卢强 博士德勤华永商务与税务咨询服务部高级经理中国注册会计师(CICPA)中国注册税务师(CICTA),德勤培训讲师：,卢强博士是德勤华永会计师事务所上海税务和商务咨询部的税务高级经理，有多年的税务工作经验，其中也包括在税务机关的工作经验。同时,他也是德勤中国的税务技术中心的高级技术经理,是内部的税务技术专家。卢博士擅长提供各种与中国的企业在国内、外的主要证券市场上市有关的税务服务；协助大型国有企业、民营企业和跨国公司进行整体税务状况评估和税务筹划；在国内企业境外投资的架构设计与整合也有丰富的经验。卢博士于2004年获得天津财经大学会计学博士学位。卢博士是中国注册会计师和中国注册税务师。,议题,1,2,3,主题一：企业风险管理和内部控制简介,主题二：内控失效的典型案例分析,主题三：常用的企业内控测试方法和辅助工具,4,主题四：大企业的税务风险内控测试简介,管理大企业税务风险,管理大企业税务风险.,对税务内控进行测试是管理大企业税务风险的重要手段和必要手段,纳税人,寓管于测，以测促管,主题一：企业风险管理和内部控制简介.,风险管理基础知识风险的定义,风险因素,事件影响目标业绩的内外部事件,风险事件或环境负面影响实体目标业绩的可能性,机遇事件产生及正面影响目标业绩的可能性,环境影响风险物化可能性的环境或状态,正面 向上,负面 向下,风险因素、事件、环境、机遇及风险定义,事件有正面效应、负面效应或两者皆有具有负面效应的事件意味着会产生风险具有正面效应的事件可以抵消不利的影响或产生有利机会,周边环境与风险产生的可能性紧密相关例如：劳动力未经培训可能导致频繁发生事故,机遇支持创造价值或使价值持续管理层创造时机来支持战略或目标设置的程序，该行为可阐述为抓住机遇,具有负面影响的事件会抵制价值创造或者侵蚀已有价值具有负面影响的事件可能来源于看似存在正面效应的机会，如：客户需求量超过其生产能力,为什么要开展企业风险管理,一般来说，企业风险管理是为了：可持续性发展对单个业务风险或整体风险持续不断地进行识别、确认和评估优化资源分配通过“风险比较”，将业务计划和风险管理活动进行排序，基于风险业绩指标进行资源分配提高经营效率使用集中的或共享的风险管理职能、规避风险、简化流程及优化结构（例如，系统，人员等）改进内部沟通机制有利于理顺汇报渠道，发展一套企业内部进行风险沟通的“共同语言”稳定收益通过提高对风险的定量分析及剩余风险的应对措施来稳定收益,风险识别、风险评估、风险应对是全面风险管理的三个核心步骤；其中，风险识别是管理基础，风险评估是资源配置，风险应对是企业价值的保护和再创造。风险管理的生命力在于与日常管理体系的结合，而非两张皮的概念。某央企提出的“以风险为导向，以流程为纽带，以内控为抓手，以制度为基础”的四位一体，得到国资委高度赞扬。,全面风险管理的三个核心步骤,风险管理的基本流程风险识别,识别关键风险的方法：业内同行关键风险调研企业战略目标相关的关键风险管理层关注的关键风险运用德勤风险智能地图进行风险匹配风险管理及内部控制调查问卷,步骤1-风险识别：根据公司整体目标和职能部门目标，从管理企业风险和创造企业价值出发，识别、整理、分析与公司战略发展和业务流程最相关的关键风险。如何准确识别关键风险？,风险管理及内控问卷,风险管理的基本流程 风险评估,步骤2-风险评估：按照风险评估标准，通过问卷调查的形式，就风险本身的固有风险和基于现有内控有效性之下的剩余风险进行评估。,如何区别固有风险(Inherent risk)和剩余风险(Residual risk)的定义？固有风险：是指假定不存在任何风险管理措施和内部控制，导致企业发生某方面或多方面损失的风险。固有风险考虑的是风险可能造成的最坏影响。剩余风险：是指在考虑公司现有的风险管理措施和内控有效性之后，仍然会导致企业发生某方面或多方面损失的风险。剩余风险考虑的是经过公司的内控管理之后风险仍有可能造成的影响。需要综合考虑固有风险和内控有效性的评估结果。固有风险 内控有效性=剩余风险,多坏?多快?从多个纬度考虑,多好?多快?预防或 积极准备应对提高改进,是否可接受?趋势 更好更坏没变化,风险管理的基本流程 风险应对,步骤3-风险应对：按照风险评估结果绘制风险应对策略图(MARCI Chart)，制定关键风险的应对方案。,M象限：此区域风险点的固有风险高且剩余风险水平也高，需采取措施积极降低风险；A象限：此区域风险点的固有风险水平较高，但通过有效的风险控制，剩余风险水平较低。需对风险控制有效性进行监控或确认；R象限：此区域风险点的固有风险与剩余风险水平都较低。对此区域的风险点可以考虑对有限的风险管理资源进行重新部署；CI象限：此区域风险点的固有风险较低，但影响可能累积而造成剩余风险较高。需测量风险的累积影响，确认控制措施。,风险应对方案的基本类型,风险管理的基本流程风险应对基本类型,设计风险应对方案的思路,源头治理：了解风险发生的根源，针对源头设计风险应对方案；整体风险组合观：从整个企业的角度去分析风险，考虑风险组合应对；考虑风险发生的深层次原因（如：隐含在企业战略和文化方面等），提出改善方案；考虑应对方案的效果和成本，选择一个或几个合适的措施，考虑因素包括：-直接的和非直接的成本、有形的和无形的成本、以及财务或非财务成本；-单独的应对方法或组合方法；-慎重考虑那些发生可能性较小但却很严重的风险；-考虑对股东价值的影响；-考虑应对风险的预算和资源分配，区分优先顺序；-应对措施能够结合现在的内部控制缺陷，且该措施的执行可减少该风险的来源；-风险应对措施本身可能带来新的风险。风险数据库：将所识别的风险点与风险类型或业务流程对应，形成风险数据库加以系统化管理；风险管理责任：将关键风险点与风险所属部门和职位对应，落实风险管理责任。,风险管理的基本流程风险应对的主要思路,风险管理的持续发展建立风险管理信息系统,五部委企业内部控制基本规范对内部控制的定义,财政部、证监会、测试署、银监会、保监会于2008年6月28日联合发布了企业内部控制基本规范,合理保证:企业经营管理合法合规资产安全财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略,内部控制：由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。,现代企业管控体制,公司治理是现代企业调整所有者和管理者矛盾的体系；风险管理是管理层应对内外的各种挑战和不确定因素的时候，所采用的较为系统的方法和过程；内部控制是现代企业内部日常经营运作的业务过程，管理者负有实施和监督的完全责任。,1包含的关系,内部控制与风险管理的关系1,最高端的战略制定和优化，关注有回报的风险,防范资产损失等没有回报的风险,战略执行,战略分解执行过程中的优化和协同，关注有回报和没有回报的风险两部分,内控体系建立健全关注的内容,风险管理关注的内容,2支撑的关系,内部控制与风险管理的关系2,3风险与控制的平衡,过度的风险资产的损失业务决策不善不守法丑闻,控制,风险,过度的控制 官僚作风 生产力 复杂性 周期 非增值性活动,内部控制与风险管理的关系3,剩余风险（风险敞口）,多坏?多快?财务声誉法律法规健康安全环保相关利益者,可接受?趋势更好更坏没变化,固有风险 内部控制有效性=,多好?多快?预防或积极准备应对及恢复提升,风险的类型与风险管理者,4风险敞口,内部控制与风险管理的关系4,风险应对从管理大类来说，可以分为两大类,风险应对,内部控制,应急预案,适用于内部可控的风险:设定控制目标制定控制活动形成内部控制矩阵监督与自查,适用于不可控的系统性风险:定期的数据监控和报告应急预案的启动套期保值等避险工具的使用信用证,内部控制与风险管理的关系5,五部委基本规范及配套指引最新动态更新,2010年4月26日，财政部、证监会、测试署、银监会、保监会联合发布了“关于印发企业内部控制配套指引的通知”配套指引的主要内容本次发布的配套指引是依据基本规范制定的。配套指引将为企业实施内部控制、对内部控制进行自评估及注册会计师对内部控制进行测试提供技术标准和依据。配套指引的具体内容包括：企业内部控制应用指引企业内部控制评价指引企业内部控制测试指引,五部委基本规范及配套指引最新动态更新（续）,配套指引的实施时间表 2011年1月1日 境内外同时上市的公司施行 2012年1月1日 上海证券交易所、深圳证券交易所主板上市公司 未定 择机在中小板和创业板上市公司施行 未定 鼓励非上市的其他大中型企业提前执行,主题二：内控失效的典型案例分析.,内控失效的典型案例,涉嫌增值税犯罪 内控机制拷问英迈中国财富500强企业、全球最大IT分销商英迈(Ingram Micro)卷入了涉嫌虚开及倒卖增值税发票事件。在20082010两年多时间里，英迈国际（中国）有限公司（以下简称英迈中国）内部相关员工涉嫌对外倒卖增值税发票，金额高达8000多万元，已被上海市公安局经侦总队拘捕。目前公安局正针对此案进行调查。有专业人士质疑：英迈是一家成立已有30余年的跨国企业，又是纽交所上市公司，其财务制度不可谓不严格完善。在这种情况下，公司普通会计人员长期倒卖增值税发票，金额如此巨大，若非经过授权，便是内部管理制度存在巨大缺失。英 迈是全球最大IT分销商，总部位于美国加利福尼亚州圣塔安纳，2009年全球销售收入为295.2亿美元。目前，英迈在中国30个重点城市设立了分支机 构，全面代理40多个国际知名品牌的技术产品，产品范围涉及整机、PC组件、外设、数码产品及配件、软件及增值产品等。而在英迈的合作伙伴清单里，既有 IBM、英特尔、惠普这样的知名跨国企业，也有联想、海尔这样的本土大公司。在IT分销业，按照流程，通常品牌厂商将产品卖给英迈，向英迈开具发票（进项票），英迈再将产品卖给下级代理或分销商，同时也要开具发票（销项票）。这样，当英迈去纳税时，须将两张票都交给税务机关，税务机关根据差额进行缴税。一 位不愿公开姓名分销业内人士说，在产品销售过程中，有些分销商会提出特别要求，即不需要上家开具增值税发票，而是要求扣掉税点，以更低价格“拿货”，或者有些上家在出货时可以直接不带票。这样一来，上家就产生部分“多出来的”增值税发票，这在分销行业非常普遍。英迈内部人士很有可能是利用了这个漏洞进行非法增值税发票交易。“对于另外一些公司来说，则是采取外购增值税发票的方式用以抵扣税款，”该人士说，这样也就滋生了虚开和倒卖增值税票罪案。他经常会收到一些“卖发票”的垃圾邮件，在深圳等地也经常有一些人在卖“票”。,增值税发票失控和员工严重舞弊,内控失效的典型案例,涉嫌增值税犯罪 内控机制拷问英迈中国（续）国家会计学院单喆敏教授分析说，根据我国相关会计制度，增值税发票应当计入“应缴税金”一栏，如果虚开或者倒卖增值税发票，则可能不入账。这意味着相关票据金额将不会体现在财务报表之上，企业或者个人有可能形成自己的“小金库”。在接受记者采访时，英迈中国董事长张凡强调，“被调查”并非像外界渲染的那样，这是一起刑事案件，系公司内部普通员工的个人行为，并非公司授意。但是，也有部分人士对此提出质疑。上述分销业内人士说，大的企业，特别是国际性分销企业往往有非常严格的系统流程以及内部风控、签呈体制，为的就是有效避免这种情况的发生，避免职业犯罪。因此，如果是大型企业的内部人员，在公司不知情的情况下虚开和倒卖增值税票可能性非常小。事实 上，英迈正是这样一家“大企业”。这家美国公司于1999年通过收购私人内资企业上海英通电子科技有限公司进入中国，是最早提供服务的国际IT分销企业。2005年，通过股权转让等若干资本层面的操作，上海英通成功变身为港资的“英迈中国”，最终成为一家注册资本为4109万美金的外商独资企业。工商登记注册资料显示，2008年英迈中国的营业收入逾88亿，利润总额近3000万。单喆敏教授分析说，发票是原始凭证，处理这些业务受内部控制约束，审计是很容易发现的。如果出现这样的漏洞则表明公司内控失效。曾经代理过增值税发票犯罪案件辩护的上海市汇业律师事务所合伙人吴冬也表示，国家对增值税票据管理有非常严格的制度，近两年来，增值税发票犯罪的案件并不多见，一般有也是多发生在私营企业领域，像英迈这样的案子并不多见。“如果真是公司内部员工个人行为，涉案金额达到8000万以上，则不仅仅是公司内部控制的问题，有关监管制度是否存在漏洞也值得怀疑。”吴冬说。,英迈的问题在哪？见下页案例分析,案例分析,该案例中，企业（英迈中国）与税务管理相关的流程、风险和内部控制的关系如下：,如何透过现象洞察缺失的控制？,案例分析（续）,如何找出风险点并设计控制措施？,主题三：常用的企业内控测试方法.,企业业务循环概述,收入支出工资固定资产存货融资会计和财务报告信息技术,客户/订单评估完成订单发货开发票收入确认信贷控制现金收款（收款）监督未清余额维护客户主文档职责分工申请采购（定购）收取货物与服务核对应付账款发票记录应付账款付款维护供应商主文档职责分工,收入循环,支出循环,企业内控测试的常用方法访谈,管理销售订单客户授权额度的限定销售合同和订单的建立审批,对销售定价和条件的审批销售订单在系统中的输入,以及信息传送至发货和开具发票的程序及控制确保客户发来的订单都被输入系统并处理确保只有有效的订单才被输入系统并处理销售订单的取消程序,确保取消的订单已准确输入处理销售订单,开具销售发票,处理客户销售退回,处理客户销售后调整订单内容发票使用批准的价格和授权发票在合适的期间内开具发票金额准确的计算和记录所有发货的物资均已开票所有发票都对应有效的发货所有开具的发票都已记录退货在合适的期间开具并记录所有对应收账款余额的调整都准确地记录在恰当地会计期间收款程序管理商业票据销售收款记录在恰当的会计期间销售收款准确地得到了记录所有的收款都得到了记录坏账追查和入账,企业内控测试的常用方法穿行测试,销售流程评估资料清单1.请提供相关的公司政策和程序销售合同(或订单)管理程序售后服务管理程序,包含客户订单修改,退货发票管理程序,包含增值税发票物流管理程序,包含发货,装运,报关,送货客户收款管理程序2.请提供目前营销中心现有员工岗位名单及岗位职责3.请抽取一笔具有代表性的销售,并提供以下文件:基础合同、一年期合同、客户订单会计系统中录入的该笔客户订单(电脑截屏)会计系统中该笔业务的发货单(电脑截屏)增值税发票和开发票申请书(如样本是外销,请提供国际商务部的英文发票)该笔销售确认销售收入和应收账款的会计分录记录该笔销售收款的会计分录和银行收款单据4.请提供一笔销售订单取消,并提供以下文件:业务联系单会计系统中销售订单取消的记录(电脑截屏)5.请提供发生在一笔销售退回,并提供以下文件:业务联系单销售退回红字发票销售退回的会计分录,企业内控测试的常用方法抽样测试,执行频率,内控在信息系统中的体现,2006年2月的一条新闻报道：“中国移动的手机冲值卡数据库被侵入，造成直接损失370万人民币”；相关链接2006年4月的一条新闻报道：“中国银联瘫痪8小时 京沪等地跨行交易中断；相关链接而2006年5月的一条新闻报道“IT高手带领内鬼黑走乐购超市400万；相关链接,3个月内，三起事件均是由于信息系统风险管理的不足而造成的，而其结果更是以惊人的方式表现出来，每个事件给企业带来的直接损失均是百万级的，而无形的损失更是难以衡量。,信息系统审计的理论框架（业务驱动）,应用控制（Application Control:AC）授权控制输入控制处理控制输出控制边界/接口控制,整体计算机环节控制：(General Computer Control:GCC)信息资源战略及规划 信息系统运作 与外包供应商的关系 信息安全 业务连续性计划 应用系统的实施及维护 数据库的实施及支持 网络支持 系统软件支持 硬件支持,信息系统基本结构,网络管理系统,操作系统平台,数据库管理系统,应用系统,信息系统一般控制,信息系统应用控制,信息系统一般控制实例分析,我们选择整体计算机控制部分的信息系统操作领域为例：,应用系统控制实例分析,应用系统控制举例采购流程,授权控制只有得到授权的用户可以在系统中生成采购申请，采购订单，入库单和确认发票只有得到授权的用户可以审批采购申请或采购订单。不会将创建采购申请和审批采购申请的权限赋予同一个用户。,输入控制系统会对采购申请单，采购订单和入库单进行连续编号。系统对采购订单页面中的重要字段进行了强制的格式和内容校验，比如在日期字段中不允 许输入字符内容，当用户选择了采购物料编码后，物料名和采购价格是由系统自动带出，而不能被修改。当输入的采购量超过库存余额的时候，系统会自动报警，确保这种采购订单不能被生成。,处理控制系统提供模拟处理功能，以确保正式生成的单据是符合公司要求的。在进行发票校验的时候，系统自动会在后台进行三单匹配的校验，以确保生产的采购发票上的数量和金额与采购订单以及入库单上的数字保持一致。若操作的处理过程太长或占用系统资源过多，系统会自动警示。对任何重要单据的修改，系统都会在保存前和用户进行确认。,应用系统控制举例采购流程（续）,输出控制 系统会自动提示输出到其他模块的数据是否成功。对于无法正确输出的报表或者内容，系统会以代码的形式告诉用户原因及解决的方法。用户可以定制输出报表的格式，包括字段和每页的记录条数等。当输出内容超过系统负荷时，系统会自动警示。,边界/接口控制系统会提供接口数据传输的状态报表，包括每次接口传输数据的时间，是否成功等信息。系统会对接口传输的数据包的前后状态进行核对，比如检查导入到新模块的数据包大小和老系统中有什么区别。系统会列示导入前后的记录条数和金额总计。,税务风险内控手册系统地整合了所有与企业税务管理流程相关的各个风险点、控制目标、控制活动、流程负责人、公司现有制度等信息，以及包含了如何测试这些控制的审计步骤，是企业自行管理税务风险或定期自我评估内部控制的有效辅助工具，也可以便于监管机构（如税务局）对企业进行例行检查。,企业内控测试的辅助工具税务风险内控手册,税务管理流程及子流程,税务风险内控手册的作用,税务风险内控手册的主要作用包括：手册系统地整合了所有与企业税务管理流程相关的各个风险点、控制目标、控制活动、流程负责人、公司现有制度等信息；既可以使企业管理人员一目了然地了解企业所有适用的重大税务风险和对应的控制活动，也是指导各级员工开展具体工作的指南；手册包含了如何测试这些控制的审计步骤，可以作为企业自行管理税务风险或定期自我评估内部控制的有效辅助工具；手册可以极大地协助外部监管机构（如各级税务机关）快速了解企业存在的与税务管理相关的重大风险点和企业已有的控制活动，以便对企业展开更具有针对性的例行检查或不定期检查，提升外部监管机构的检查效率和效果。,46,企业的业务流程可分为“公司层面的内部控制”和“流程层面的内部控制”，其中流程之一就是税务管理流程，其又可按税种进一步划分成各子流程。,流程层面的内部控制,公司层面的内部控制,税务风险内控手册税务管理流程,税务风险数据库是通过下发、收集、汇总、分析风险调查问卷，采集企业与税务相关的基本风险信息，并结合德勤全球风险管理项目中累积的实践，对税务风险进行分类（固有风险、剩余风险）和评级（很高、高、中、低、很低、不适用），并评估风险发生的可能性。,税务风险内控手册税务风险数据库,风险名称,针对每个风险点的控制措施,税务风险应对策略图是通过对风险调研中取得的基础信息，结合领先的德勤全球风险管理工具，形成风险热力图。,税务风险内控手册税务风险应对策略图,针对每个风险点的量化评估,根据风险评估的结果产生的红黄绿亮灯管理,不兼容职责表：通过A、B、C等英文字母表示每个税务管理子流程中涉及的关键职责；通过“X”表示横向和纵向的两个不同职责是否可以兼任；体现了内控流程中的“不兼容职责”需分离的理念；便于手册使用者和管理层的自我检查。其优点在于：合理分工，形成不同岗位间的相互牵制、相互监督，明确岗位责任；降低舞弊发生的可能性。,ABC集团税务风险内控手册,企业内控测试的辅助工具税务风险内控手册,每个内控流程手册的子流程主要部分均由以下的业务流程目录、不兼容职责表、风险及控制矩阵构成，具体内容参见后页。,税务风险及控制矩阵：税务风险及控制矩阵高度概括了各税务管理子流程的关键控制节点，成为公司各级管理层的管理抓手，也可作为外部监管机构稽查的重点。通过风险、控制目标、控制活动的匹配，帮助使用者从“知其然”步入“知其所以然”，深化对控制活动的理解，提高对控制活动的把握；任何不熟悉该控制活动的新员工或外部监管机构，都可通过查阅该控制矩阵及相关制度迅速进入角色，从而实现经验共享。,企业内控测试的辅助工具税务风险内控手册,税务风险内控手册附录：税务控制自评报告,企业定期安排税务控制自评，既可以便于企业高级管理层及时掌握税务管理流程中存在的控制薄弱环节，以不断完善税务内控；也可以便于外部税务监管机构及时了解企业在税务风险内控方面的工作成果,主题四：大企业的税务风险内控测试.,大企业税务风险内控测试的对象,为实现纳税遵从而设计和实施的内部控制企业纳税遵从风险，包括企业未能按照税法的要求，及时、准确地履行税务登记、纳税申报、税款缴纳以及其他纳税义务产生的风险。其他与纳税遵从相关的控制了解被测试企业的税务风险内控体系（一）评价控制的设计 是否已经有税务内控手册？设计是否得当？（二）获取控制设计和执行的审计证据（三）了解内部控制与测试控制运行有效性的关系 税务内控手册得到有效运行了么？税务风险内控的局限性,评价被测试企业的税务风险内控体系,评价控制环境考虑的主要因素可能包括：（1）被测试单位是否有书面的纳税行为规范并向所有员工传达；（2）被测试单位的企业文化是否强调纳税遵从观念的重要性；（3）在纳税方面管理层是否身体力行，高级管理人员是否起表率作用；（4）对违反有关税收政策和行为规范的情况，管理层是否采取适当的惩罚措施；（5）税务风险管理岗位人员的胜任能力；（6）董事会、审计委员会或类似机构是否对税务风险的监控有足够的关注；（7）管理层在承担和监控税务风险方面是风险偏好者还是风险规避者；（8）管理层在选择税务处理方式是倾向于激进还是保守；（9）对于重大的决策事项，管理层是否征询税务风险管理岗位的意见；（10）在被测试单位内部对于税务风险管理是否有明确的职责划分；（11）其他。,评价被测试企业的税务风险内控体系,评价被测试单位的风险评估过程（一）被测试单位可能面临的风险1.监管及经营环境的变化。2.企业重组 决策过程是否有纳税风险管理岗位的参与？3.发展海外经营 新的问题是否已经纳入了风险管理范畴？如利用双边税收协定避免在东道国多交税？4.新的会计准则-新的会计和税务差异有谁来识别？纳税调整如何传递到纳税申报岗位？5.重大关联交易-决策过程是否有纳税风险管理岗位的参与？3.新信息系统的使用或对原系统进行升级。4.业务快速发展。5.其他。,评价被测试企业的税务风险内控体系,被审计单位的风险评估过程（二）对风险评估过程的了解（1）被测试单位是否已建立税务风险评估过程，包括识别风险，估计风险的重大性，评估风险发生的可能性以及确定需要采取的应对措施；（2）会计部门和税务风险管理部门是否建立了某种流程，以识别会计与税务差异的重大变化；（3）当被测试单位业务操作发生变化的流程时，是否存在沟通渠道以通知税务风险管理部门；（4）税务风险管理部门是否建立了某种流程，以识别经营环境包括监管环境发生的重大变化。（5）其他。,评价被测试企业的税务风险内控体系,评价控制活动考虑的主要因素可能包括：（1）对被审计单位的主要经营活动是否都有必要的税务风险控制程序；（2）管理层对税务风险控制方面是否有清晰的目标，在被测试单位内部，是否对目标加以清晰的记录和沟通，并且积极地对其进行监控；（3）是否存在计划和报告系统，以识别税务风险的出现，并向适当层次的管理层报告该风险；（4）是否由适当层次的管理层对风险进行调查，并及时采取适当的措施；（5）不同税务风险管理岗位人员的职责应在何种程度上相分离；（6）会计系统中的数据是否与纳税数据定期核对；（7）是否建立了适当的保护措施，以防止未经授权接触文件、记录和资产；（8）其他。,评价被测试企业的税务风险内控体系,评价对控制的监督考虑的主要因素可能包括：（1）被测试单位是否定期评价税务风险内部控制；（2）被测试单位人员在履行正常职责时，能够在多大程度上获得税务风险内部控制是否有效运行的证据；（3）与税务机关、中介机构等外部的沟通能够在多大程度上证实内部产生的信息或者指出存在的问题；（4）管理层是否采纳税务风险管理岗位的建议；（5）管理层是否根据税务机构的检查及建议及时采取纠正措施；（6）是否存在协助管理层监督内部控制的职能部门（如内部审计部门）。（7）其他。,评价被测试企业的税务风险内控体系,评价信息系统与沟通,评价被测试企业的税务风险内控的工作模块,确定被测试单位的重要税务内控工作模块了解重要内控流程，并记录获得的了解（1）检查被测试单位的手册和其他书面指引，特别是被测试单位文件（如流程图、程序手册、职责描述、文件、表格等；（2）询问被审计单位的适当人员；（3）观察所运用的处理方法和程序；（4）穿行测试。,评价被测试企业的税务风险内控的工作模块,确定可能发生税务风险的环节,举例 增值税应税收入,评价被测试企业的税务风险内控的工作模块,识别和了解相关控制针对容易发生税务风险的环节，应当确定：（1）被测试单位是否建立了有效的控制，防止或发现并纠正这些错误；（2）被测试单位是否遗漏了必要的控制；（3）是否识别了可以最有效测试的控制。,评价被测试企业的税务风险内控的工作模块,识别和了解相关控制针对容易发生税务风险的环节，应当确定：（1）被测试单位是否建立了有效的控制，防止或发现并纠正这些错误；（2）被测试单位是否遗漏了必要的控制；（3）是否识别了可以最有效测试的控制。,评价被测试企业的税务风险内控的工作模块,执行穿行测试，证实对工作模块和相关控制的了解（1）确认对工作模块的了解；（2）确认对所有可能发生重大税务风险的环节都已识别；（3）确认所获取的有关流程中的预防性控制和检查性控制信息的准确性；（4）评估控制设计的有效性；（5）确认控制是否得到执行；（6）确认之前所作的书面记录的准确性。,评价被测试企业的税务风险内控的工作模块,初步评价和风险评估对控制的评价结论可能是：（1）所设计的内部控制单独或连同其他控制能够防止或发现并纠正重大税务风险，并得到执行；（2）控制本身的设计是合理的，但没有得到执行；（3）控制本身的设计就是无效的或缺乏必要的控制。由于对控制的了解和评价是在穿行测试完成后，但又在测试控制运行有效性之前进行的，因此，上述评价结论只是初步结论，仍可能随控制测试后实施实质性程序的结果而发生变化。,测试举例：增值税发票管理（购销及开具）的税务内控,以关联交易定价的测试为例测试步骤与要点（五）审查关联交易是否符合公平交易原则。将同一产品的关联售价/购价与非关联售价/购价进行对比分析（绝对值、趋势）。将关联销售与非关联销售的毛利率进行对比分析（绝对值、趋势）。将关联销售利润率（毛利率、净利率）与可比企业利润率进行对比分析。将关联销售利润率（毛利率、净利率）与可比企业利润率进行对比分析。将关联销售财务指标与集团内部相关财务指标进行对比分析：与集团内同类型关联企业毛利率等财务指标进行对比分析。与集团整体的毛利率等财务指标进行对比分析。与集团部门（关联交易隶属该部门）毛利率等财务指标进行对比分析。分析关联交易利润在本企业与关联企业间的分配是否合理，特别要结合税收优惠，分析该分配比例在优惠期内外是否异常。结合企业享受的税收优惠，分析关联销售利润率变动趋势是否合理；将关联支付费用率与本地区非关联支付指标进行对比分析。,税收流程测试实例分析关联交易,