当我们在事务所或者甲方企业，接触到一个SOX项目的时候，前期SOX Readiness阶段我们都会面临怎么去梳理业务流程、识别风险、建立控制目标、评估风险等问题。阿Q按照我个人的工作经验，也结合了四大的一些方法论，整理SOX readiness搭建风险控制矩阵的步骤。整个搭建的步骤主要包括以下7个方面：

1、明确RCM风险控制矩阵的初步框架

风险控制矩阵是我们内控流程和相关风险管理措施的一个文档，英文名称叫Risk Control Matrix,简称RCM。它让流程控制点与业务流程风险相匹配，形成风险控制矩阵对业务流程风险的有效控制和应对。顾名思义风险控制矩阵就是陈列出企业当前面临的风险及当前应对风险所建立的控制活动，风险和控制是RCM的核心，在此基础上结合对应的流程，在RCM上我们又会延伸出风险的控制目标、重要性及影响的财务科目等；对于控制也会延伸出控制的类型（预防性或检测性）、控制是否关键、控制Owner、控制文档等。我个人觉得RCM就像是一个企业版的体检报告和身体监控管理指南的结合版，其中控制就像人的免疫系统一样保证着企业安全、有效的运行。在企业里，控制无处不在，领导签字是控制、KPI考核是控制、签署劳动合同也是控制，RCM的作用就是把这些控制体系化、流程化、明确化，同时与所对应的风险和所影响的财务报表科目相结合。

接下来我将介绍一下我们是怎么去搭建一个公司的风险控制矩阵，当然并不是说一个完美的控制矩阵就能代表这个企业控制有效，完全没有风险，因为控制矩阵必须是基于公司实际业务情况所搭建，同时被有效的执行才能发挥它的作用。首先我整理了一个标准RCM应该包含的维度。

RCM一般包括：流程名称、子流程名称、控制编号、控制目标、风险描述、 控制描述、控制文档、控制生效时间、控制部门、控制负责人、风险等级（高/中/低）、是否关键控制、是/否反舞弊（是/否）、控制频率（每年/每季度/每月/每周/每日/每日多次/必要时）、预防性/检查性、适用系统、影响的财务科目、人工控制/自动控制、信息处理目标（完整性、准确性、有效性、接触性）、财务报表认证（存在、发生 、完整性、估价与分摊 、权利与义务 、表达与披露）。

我们在搭建RCM的时候，也可以参考其它公司的模板，只要是美股上市公司，各家模板都差不多，搭建过程中我们应该确保自己搭建的RCM至少包含以上各维度。（注意尽可能参考美股上市公司，A股的C-SOX和港股PN-21思考的方向和维度和SOX还是有一些区别）。

2、财务科目评估

塞班斯法案404条款最根本的就是以内控来降低财务错报的风险，内控服务的核心还是确保财务报告的准确性。因此第一步是把将财务报告科目按重要性水平做分析，对于重要水平较高的会计科目重点关注，我们可以通过财务报表科目的重要性来确定对应风险的重要性水平和控制是否关键。

重要性水平是贯彻审计工作的一个非常需要的概念，它是尺度，也是成本。审计准则对重要性水平的定义是：重要性取决于在具体环境下对错报金额和性质的判断。如果一项错报单独或连同其他错报可能影响财务报表使用者依据财务报表做出的经济决策，则该项错报是重大的。

确定会计报表层次的重要性水平的内容包括：判断基础和计算方法。判断基础通常包括:资产总额、净资产、营业收入、净利润等；重要性水平的计算方法有固定比率法、变动比率法两种。固定比率:在选定判断基础后,乘一个固定比率,求出会计报表层次的重要性水平。变动比率法的基本原理:规模越的大企业,允许的错报或漏报比率就越小,一般是根据资产总额或营业收入两者中较大的一项确定一个变动百分比。

3、梳理业务流程

根据公司的业务情况划分为将公司业务流程划分业务流程和子流程，其中核心业务流程主要包括：销售与收款流程、采购与付款流程、人力资源流程、公司层面流程、税务流程、财务报告流程、 资金流程、固定资产流程、期权流程、投融资流程等。对于不同行业可能还会根据实际业务情况有其它的业务流程，例如涉及金融产品的还会有金融流程；在电商行业，因为涉及促销玩法比较多、费用金额高，还会把促销单独拿出来单独建一个促销管理流程（有的公司放在销售与收款流程里），以上只是列举了大部分公司都会涉及到的业务循环流程，核心重要业务流程每个公司都会涉及。

每个循环流程又会有子循环流程，例如以销售与收款流程为例，又会涉及价格管理、商品管理、主数据管理、订单管理等子流程，这就需要根据每个流程去进行拆分。

因为现在很多业务控制都涉及系统，依赖系统自动控制，所以信息系统的审计也是很重要的一部分。IT审计流程主要包括四个方面：ITGC一般控制、ITAC应用控制、INT接口传输、CAAT数据重新计算四个方面，对于财务报表有影响的相关系统都应该纳入到测试范围之内。

4、识别和梳理各业务流程风险

确认好流程和子流程之后，需要审计师基于各流程业务实质进行风险评估，确认业务流程存在哪些风险，风险分别在业务流程的什么环节。在实操过程中，审计师首先要梳理这个流程中的重要业务节点，特别重点关注对财务报表有直接影响的节点，例如采购流程的付款管理、销售流程的收款管理等。从端到端的梳理业务流程也能够更好的帮助审计师去理解企业的业务实质和内控管理的现状。每一个流程都有一个明确的业务逻辑形成流程闭环，把握好流程逻辑能够更好的帮助我们识别全每个业务环节存在的风险，同时也有利于我们系统化、体系化的梳理业务流程。以采购流程为例：流程逻辑肯定是：采购需求-采购执行-供应商选择和评估-合同管理-采购验收—采购结算——采购付款—供应商评价，这是一套闭环的PCDA流程。最后说一下风险评估，这其实很考验审计师的经验和胜任力，做的项目多或工作时间比较长的审计师肯定能够识别更全的风险以及更有效的进行风险评估，我把它叫做风险感知度，风险告知度听起来有些抽象，但是它需要审计师不断的经验积累和知识沉淀。审计师在这个环节就是要尽可能的识别全风险，并对应到业务流程中子流程中，最后对风险进行评估，以确定风险的重要性水平。

5、财报科目与业务流程匹配

第四步是需要把财报科目与业务流程去做mapping，确定每个业务流程牵涉到哪些科目，是否所有科目都被覆盖了。

会计数据本质来源前端业务数据，业务数据实际上是业务流程运行的结果。这里就需要大家具体在拆解流程中去看每个子流程下的每个控制点对哪些会计科目有影响，举个例子，销售与收款流程里涉及订单金额准确性的控制，肯定会对收入和应收科目有影响，固定资产的采购对应控制点肯定会对固定资产科目有影响，诸如此类，作为审计师是需要去拆解整个业务流程触发财务记账的时点是什么环节，对科目的准确性有什么影响。在这个过程我们也能够确定风险的重要性水平，一般我们常规的做法是对财务报表会计科目有直接影响的风险确认为高，或对重要性水平较高的会计科目有影响（无论直接还是间接）的风险确认为高，对应控制确认为关键控制；对非重要性财务报表科目有间接影响的风险确认为中，对应控制确认为关键。对财务报表科目不会产生影响的风险确认为低，控制确认为非关键控制。

这个环节非常重要，因为风险的重要性水平和是否关键控制直接决定了后续内控测试环节中我们对该控制点只是做一个穿行测试就OK了，还是需要进行大量样本抽样测试，同时还决定了我们的抽样策略。（决定了后续的工作量和时间成本）

6、风险与控制进行匹配，完善风险控制矩阵

上面的步骤我们已经梳理了业务流程以及流程可能涉及的风险点，最后我们需要看这个流程目前有哪些控制点，以及是否可以覆盖每一条风险，如果针对某一风险，当前没有相对应的控制，那么我们可以认为是控制缺失导致当前流程控制存在设计缺陷。对于设计缺陷，我们需要给业务流程相关的Owner提出整改建议，帮助设计和落地相应的控制，以达到规避风险的目的。如果是原来就有对应控制来规避风险，但是由于业务部门没有执行控制或控制执行不当，我们就要提出对应的执行缺陷，要求业务部门进行整改。

7、确定测试范围和设计测试计划

搭建完成RCM之后，接下来的工作就是确定测试范围和设计测试计划。对于存在多个主体的集团公司，并不是所有合并主体都会在我们的测试范围之内。对于测试主体而言，我们要看每个主体下对应流程涉及的会计科目在合并报表下该科目的占比比例。关于确定测试测试主体的threshold，选用的指标通常为EBITDA、Revenue、Asset，percentage threshold（比例）通常为5%，也就是说某一主体如果EBITDA超过了合并报表下EBITDA的5%，那么这一主体就应该被纳入测试范围，如果选用Revenue指标，也是一样的的道理。确定完测试主体之后就是设计测试计划，测试计划建议使用甘特图来进行，可以有效的进行时间和进度管理。测试的步骤大概是这样：对于所有流程首先进行穿行测试，从端到端的过程中覆盖每一个控制点，能够帮助我们更好了解业务流程，知道业务流、数据流、资金流的情况，同时也能确保控制设计合理、执行有效。各个流程完成端到端的测试之后，对于关键控制，我们还需要进行抽样测试，以合理保证控制被有效执行。抽样策略中关于抽样样本的策略在上面步骤已经提到。我们抽样的时候要考虑样本的区别、发生时间、主体以及业务场景等因素，同时要重点关注异常值和计算值，因此对于获取的样本总量，建议同学们先进行数据分析，再进行抽样。