某某内部控制测试管理规定.docx
《某某内部控制测试管理规定.docx》由会员分享,可在线阅读,更多相关《某某内部控制测试管理规定.docx(26页珍藏版)》请在冰点文库上搜索。
某某内部控制测试管理规定
1目的
为规范公司内部控制测试管理,明确内部控制测试基本要求、基本目标、基本依据、测试基本方法及基本程序,制定本规定。
2范围
本规定适用于公司机关各部门、所属各单位内部控制测试工作管理。
3术语和定义
3.1内部控制测试
本规定所称的内部控制测试是指按照规定的程序、方法和标准,对公司内部控制体系设计的有效性和执行有效性进行检查。
3.2跟单测试
本规定所称的跟单测试是指在重要业务流程中选取一笔业务,从业务发生开始,一直追踪到该笔业务反映到公司财务报告的测试过程。
3.3关键控制抽样测试
本规定所称的关键控制抽样测试是以《内部控制管理手册》为标准,采用抽样测试的方法,对业务活动层面关键控制执行的有效性进行的检查。
3.4内部控制审计
本规定所称的内部控制审计是指针对公司内部控制设计和运行的有效性,由公司党群工作处具体实施内部控制测试的过程。
3.5自我测试
本规定所称的自我测试是指针对内部控制设计和运行的有效性,由内部控制工作主管部门具体实施的检查过程。
3.6补充测试
本规定所称的补充测试是指对前期内部控制测试中公司层面和跟单测试中样本不足的控制进行测试,对未抽足样本的关键控制进行补充抽样,以充分发现内部控制体系执行有效性方面的问题。
3.7改进测试
本规定所称的改进测试是指对前期内控测试中发现的例外事项,在财务处下发改进意见并经过有效时间运行后进行的检查。
3.8更新测试
本规定所称的更新测试是指针对资产负债表日(12月31日)前60日,经过前期普华外审、股份公司管理层测试和公司自我测试后,已抽足样本而无例外事项的控制;以及发现了例外事项,经改进测试已无例外且抽足样本的控制进行的检查。
3.9例外事项
本规定所称的例外事项主要是指在内控体系设计和执行方面与相应的标准、规范、要求存在差异的事项。
4职责
4.1财务处
4.1.1是内部控制测试工作的主管部门,负责编写测试管理规定并做好维护工作;
4.1.2负责制定公司自我测试工作方案。
4.1.3组织开展公司自我测试。
4.1.4协调外部内部控制审计、股份管理层测试工作,并与外部审计师进行沟通。
4.2党群工作处(审计监察处)(以下简称党群工作处)
负责组织制定公司内部控制审计实施方案并组织实施。
4.3公司各部门及所属单位
4.3.1负责本部门或本单位内控体系测试工作的具体实施;
4.3.2负责本部门或本单位各项内部控制流程及其控制措施的有效实施并进行日常监督,定期开展自我测试;
4.3.3积极配合内部控制测试工作。
5管理内容
5.1基本要求
5.1.1测试内容
测试主要包括以下内容:
a)根据设计和运行有效性评价的要求,对公司层面、业务活动层面和信息系统总体控制有效性分别进行测试;
b)对测试发现的例外事项进行分类确认说明;
c)根据测试结果,编制测试报告。
5.1.2测试覆盖率
a)公司自我测试:
测试覆盖率达到重要业务流程不低于70%,关键控制点不低于90%,所属各单位数量不低于50%。
b)所属各单位自我测试:
测试覆盖率达到重要业务流程不低于70%,关键控制点不低于90%。
5.1.3测试的执行方式
测试有两种执行方式,在ARCM内控测试系统中执行测试和采取手工记录方式执行测试。
5.1.4测试结果的记录
a)采用ARCM内控测试系统开展测试时,按照系统要求填制,具体要求参见附录A《内控测试系统使用手册》。
b)采用手工方式开展测试时,按照“5.3—5.6”中规定的管理内容及所提供的表单模板进行记录。
5.2测试工作的组织流程
5.2.1公司组织开展测试的组织程序
5.2.1.1测试组织与职责
a)测试组织部门主要职责:
1)组织编制测试方案,确定测试任务和要求;
2)协调人员、时间安排;
3)现场测试结束后,组织召开测试结果研讨会,确定测试例外事项及管理薄弱环节;
4)审核各测试组的测试底稿及测试报告,编制测试总报告;
5)按照要求下达测试整改意见,组织开展后续例外事项整改结果跟进,并适时组织现场改进测试。
b)测试组长主要职责:
1)组织做好测试组人员分工及协调工作;
2)负责与被测试单位的协调与沟通;
3)对具体测试工作的进度和质量、上报测试资料的准确性及完整性负责。
c)测试员主要职责:
1)按时间进度完成测试任务;
2)对测试发现的问题,收集复印相关资料,并提出整改建议;
3)对测试内容的质量及准确性负责。
5.2.1.2准备阶段
a)制定测试方案:
测试组织部门人员制定测试方案,由部门领导审核批准。
b)下发测试通知:
通知内容包括测试的范围、时间安排及被测试单位名单等。
c)组织测试人员集中培训:
测试组织人员将测试计划、时间安排、要求予以说明。
5.2.1.3测试阶段
a)与被测试单位人员沟通,召开见面会。
见面会由被测试单位内控主管部门组织,参加人员为所属单位内控工作主管领导、各部门负责人和内控联系人以及测试组全体人员。
会议内容包括:
1)被测试单位介绍参会人员、单位情况及内控体系建设情况;
2)测试组长宣读测试文件,并将测试的内容、时间安排、测试期间、形式、类型等相关内容进行说明。
b)开展现场测试。
测试人员对各岗位人员进行访谈、测试,测试中应注意:
1)被测试岗位人员办公室条件不允许或涉密可在集中办公区进行访谈、测试;
2)为避免打扰被测试岗位人员日常工作,抽样、录入尽量在集中办公区进行,但一定要保证抽样资料完整、完好归还;
3)测试时注意谈话用语、确保充分沟通;
4)测试中如发现问题,需与岗位人员确认并及时与组长进行沟通,切忌武断,确认例外事项需提供充分的依据;
5)每天测试工作结束后,测试组人员集中讨论、分析当日的测试工作进展情况,保证获取被测试单位信息的共享,组长掌握测试进度。
c)沟通测试结果。
测试任务完成后,测试组组长根据测试的情况和问题与被测单位内控负责人进行沟通、确认,如有异议,将问题及相关证据带回。
d)得出测试结论。
与被测试单位充分沟通后,测试组长组织测试组人员进行集中讨论、分析,得出测试结论。
5.2.1.4总结阶段
a)测试组完成测试报告及报表。
测试组组长按要求整理测试报告并填制相关表单;系统测试需在系统内审核通过各项测试内容并生成报表。
b)测试组汇报测试情况。
测试组按要求向公司测试组织部门汇报测试工作的结果,测试组组长总结测试过程中的问题及测试组成员的工作表现。
c)总结测试情况。
将各测试组测试报告及表单汇总,形成总的测试报告及分析材料。
5.2.2所属单位开展自我测试的组织程序
5.2.2.1准备阶段
a)制定测试方案,下发测试通知,通知内容包括测试的范围、时间安排及测试部门等。
b)召开自我测试准备会。
所属单位内控工作负责人组织召开自我测试准备会,确定测试人员,成立测试组,对测试计划、测试内容、方式和具体关注问题予以说明。
如采用ARCM测试系统开展测试,需向财务处申请测试账号,并对测试人员进行测试系统操作培训。
5.2.2.2测试阶段
a)组织召开测试专题会。
测试专题会由分公司内控主管部门组织,参加人员为内控工作主管领导、各部门负责人和内控联系人及测试组全体人员。
会议内容包括:
1)测试组组长介绍测试人员,宣读测试文件,并将测试的内容、时间安排、测试区间、形式、类型等相关内容进行说明;
2)内控主管领导提出具体工作要求。
b)开展现场测试。
测试人员到各岗位进行访谈、测试,测试中应注意事项与“5.2.1.3b)”的内容相同。
c)沟通测试结果。
测试任务完成后,测试组组长就测试的情况和问题与被测部门、岗位进行沟通、确认。
5.2.2.3总结阶段
a)完成测试报告及报表。
测试组组长按要求整理测试报告并填制相关表单;系统测试需审核通过各项测试内容并生成报表。
b)汇报测试情况。
测试组组长向所属单位管理层将测试的情况和问题予以汇报并进行总结;将测试报告及相关资料报送公司财务处。
5.3公司层面控制测试
5.3.1测试目的
通过公司层面控制测试,查找内控设计和执行方面的问题,确保公司内部各个领域都有适当的控制机制在发挥作用。
5.3.2测试依据
a)公司层面控制测试内容与步骤。
(参见附录B);
b)《内部控制管理手册》(西南管道分公司分册)。
5.3.3测试方法
公司层面控制测试主要采用询问、观察、检查等方法。
a)询问可以采用访谈和调查问卷两种方式。
访谈对象必须是执行该项控制的岗位人员,如果无法访问,也可以访谈部门负责人或其他熟悉该项控制的人员。
b)观察主要是针对正在执行的控制或步骤进行现场见证。
c)检查是以样本代表总体,通过抽样的方式检查样本,判断控制执行情况的一种方法。
5.3.4测试程序
公司层面控制测试程序可以划分为准备阶段、实施阶段和总结阶段,测试程序中相关的手工测试表单参照“8记录”中的相关内容。
5.3.4.1准备阶段
准备阶段是指从发出测试通知,测试组进驻被测试单位开始,直至完成测试计划的工作过程。
这一阶段的主要工作如下:
a)测试组根据测试范围取得并审阅附录B《公司层面控制测试内容与步骤》中涉及的文件、规章制度等资料(包含地区公司补充控制措施的资料);并依据公司控制措施补充说明及相关的文件制度,初步了解公司层面控制现状。
b)拟定测试步骤。
依据附录B《公司层面控制测试内容与步骤》中“测试步骤”,结合“地区公司补充控制措施”,编写具体测试步骤。
若采用ARCM测试系统执行方式,在系统中填列,若采用手工执行方式,在《公司层面测试表》中填列。
拟定测试步骤时应保持“内控关注要点”、“地区公司补充控制措施”、“具体测试步骤”等在内容上的一致性。
c)测试组人员根据初步了解的情况,与被测试单位进行沟通,确定测试时间,制定测试计划。
5.3.4.2实施阶段
实施阶段是指从完成初步计划并开始实施,直至完成全部测试步骤的工作过程。
这一阶段的主要工作如下:
a)对执行控制的岗位人员进行访谈。
通过访谈,了解该岗位人员是否真正理解所执行的控制,并对设计层面初步分析存在的问题进行了解,同时记录访谈结果。
b)结合访谈结果,进一步完善测试计划。
c)选取样本,如果从测试起始时间到截止时间,由于业务发生量的限制,无法取得满足要求的样本量,则应该选取已有的全部样本,同时记录样本的选取情况。
选择样本时主要按照与财务报告内部控制相关的原则进行抽样。
抽样时考虑的因素:
1)所抽样本与财务报告内部控制有效性的关联程度。
2)以前年度测试易出现例外事项的样本范围。
3)当年公司层面控制变化情况。
4)业务活动控制运行有效性方面已知的或已发现的例外事项,此例外事项的产生可能是由于公司层面的控制设计和执行不当所致。
d)对样本进行检查。
检查内容有:
设计的控制在实际工作中是否执行;控制执行是否与该控制对应的文件规定相符合,且留下了重要实施证据,同时对设计有效性测试发现的例外事项通过检查样本进一步验证是否是设计方面存在问题。
通过抽样的方式检查控制实施证据时,如果发现所抽取的样本不能完全达到测试目的时,应把抽取样本的相关情况记录下来,再另行抽取样本。
e)通过测试发现在相关控制方面出现不容易理解或有异议,不能达到测试目标,应进一步与相关人员进行访谈或重新进行测试。
f)记录公司层面控制测试过程及结果。
测试过程中,根据测试情况在《公司层面控制测试表》中记录测试信息。
测试时应对重要的信息进行记录;对测试发现的例外事项的相关证据取得复印件或扫描件,没有例外事项的只需要在相关表单中进行记录,不需取得复印件或扫描件。
5.3.4.3总结阶段
总结阶段是指测试人员完成全部测试后,对测试内容进行整理分析的过程,该阶段具体工作步骤:
a)汇总整理《公司层面控制测试表》,将相应内容整理至《公司层面控制测试例外事项汇总表》,并由测试组长进行复核。
b)对测试结果进行分析。
对测试发现的例外事项进行详细的说明,分析例外事项产生的原因。
对于改进测试发现的未整改的例外事项,应考虑补充及补偿控制并进行测试、记录。
c)对测试结果进行沟通确认。
对测试发现的问题与相关人员进行充分沟通,最终达成一致意见后由被测试单位相关人员签字确认。
如被测试单位存在异议,可将其意见一并上报测试组织部门。
5.4业务活动层面跟单测试
5.4.1测试目的
a)熟悉和理解业务流程。
b)验证公司确认的重要风险和关键控制的完整性和合理性。
c)检查公司是否制定了与控制实施相关的制度。
d)确认的控制(一般控制和关键控制)是否被有效执行,该控制执行后能否防范风险。
5.4.2测试依据
《内部控制管理手册》(西南管道公司分册)。
5.4.3测试方法
跟单测试方法主要有询问、观察和检查。
a)询问主要采用访谈的方式,访谈对象原则上是业务流程中的关键执行人员,如果无法直接访谈,也可以访谈部门负责人或其他熟悉该流程的人员。
b)观察针对有必要观察的正在执行的控制或步骤进行现场见证,获取控制证据。
c)检查在跟单测试中包括两个方面,一方面对文件制度的检查,重点是文件制度中是否做出相关规定;另一方面是对实施证据的抽样检查,抽取的样本应能够贯穿重要业务流程的全过程,具有代表性和普遍性,原则上跟单测试只抽取一个样本。
5.4.4测试程序
跟单测试工作过程分为准备阶段、实施阶段、总结阶段,测试程序中相关的手工测试表单模板参照“8记录”中的相关内容。
5.4.4.1准备阶段
准备阶段是指从发出测试通知后,测试组进驻被测试单位开始,直至初步完成测试计划的工作过程。
这一阶段的主要工作如下:
a)审阅被测试单位适用的风险控制文档、流程图等相关资料,初步了解业务活动层面的重要风险及关键控制措施。
如果被测试单位的流程图和风险控制文档不能使测试人员了解被测试单位的流程,应及时与被测试单位沟通,并进一步理解内部控制文件描述的内容。
b)若采用手工执行方式,编制详细的《跟单测试计划表》,内容包括需要访谈的岗位名称,访谈的时间等。
通过编制跟单测试计划表,协调双方的时间安排,提高工作效率。
5.4.4.2实施阶段
实施阶段是按照计划完成所有测试步骤的工作过程。
被测试单位主要根据测试要求,配合测试人员工作。
这一阶段的主要工作如下:
a)检查被测试单位风险控制文档描述的重要风险和关键控制是否与公司一致,如果不一致,分析其原因并做出记录。
b)访谈业务流程的相关人员,了解业务流程的运行情况与变化情况,重点关注:
1)公司确定的重要风险和关键控制在被测试单位是否被采用,并在哪些岗位实施;
2)被测试单位业务流程中存在的特殊重要风险是否被识别,相应的关键控制是否被确认并准确记录;
3)了解以前年度存在问题的整改情况,并在设计层面初步分析整改后是否达到了控制目标,分析其合理性。
c)对有必要观察的正在发生的特定控制进行观察,进而获取控制证据。
d)抽样检查样本。
选取有代表性的样本进行检查,重点关注以下方面:
1)公司设计的控制是否被有效执行,该控制执行后能否防范相关的重要风险;
2)通过抽取样本进一步验证访谈结果是否准确(即公司业务流程中存在的特殊重要风险是否被识别,相应的关键控制是否被确认并准确记录)。
3)在跟单测试中,抽样需考虑:
样本能够代表重要业务流程中的主要业务类型,具有一定的普遍性。
4)对于设计方面文本规范性的问题,主要是指控制描述不规范,但不影响控制设计与执行的有效性的问题,如:
风险控制控制文档与流程图不一致,但控制执行有效、控制实施证据描述有误、流程描述中格式欠缺、风险点及控制点标注不准确及其他文本规范性问题。
测试人员在测试过程也应关注此类问题,在测试结束后与被测单位进行沟通,提出整改建议。
此类文本规范性问题可以不作为例外事项,不在测试表和汇总表中体现,但测试报告中应按类别反映测试情况。
e)在检查样本时,应结合公司设计有效性测试发现的问题,通过检查样本进一步验证设计方面发现的问题。
对执行层面发生的例外事项,应分析例外事项产生的原因,是否是因为设计方面存在问题而产生例外事项。
f)测试完毕后,若采用手工执行方式,根据测试结果,针对产生例外事项的流程填写《跟单测试例外事项汇总表》内容;若采用ARCM测试系统执行方式,在系统中按要求记录测试结果。
复印或扫描例外事项涉及的相关证据。
5.4.4.3总结阶段
总结阶段是指测试人员完成全部测试后,对测试内容进行整理分析的过程,该阶段具体工作步骤:
a)填列完整并整理《跟单测试例外事项汇总表》,并由测试组长进行复核。
b)对测试结果进行分析。
对测试发现的例外事项进行详细的说明,分析例外事项产生的原因。
对于改进测试发现的未整改的例外事项,应考虑补充及补偿控制并进行测试、记录。
c)对测试结果进行沟通确认。
对测试发现的问题与相关人员进行充分沟通,最终达成一致意见后由被测试单位相关人员签字确认。
如被测试单位存在异议,可将其意见一并上报测试组织部门。
5.5业务活动层面关键控制抽样测试
5.5.1测试目的
查找关键控制执行方面存在的问题,确保设计有效的关键控制在公司得到有效执行。
5.5.2测试依据
a)关键控制抽样测试内容与步骤(参见附录C);
b)《内部控制管理手册》(西南管道公司分册)。
5.5.3测试方法
关键控制抽样测试主要采用询问、观察、检查、再执行等方法。
a)询问对象原则上是执行该项控制的人员。
如果无法访问,也可以访谈部门负责人或其他熟悉该项控制的人员。
通过询问了解被访谈人对该控制措施是否理解,是否知晓如何实施控制。
b)观察针对有必要观察的正在实施的关键控制进行现场见证,获取控制证据。
c)检查是以样本代表总体,通过抽样的方式检查样本,判断关键控制总体执行情况的一种方法。
测试人员在确定样本总体、选取样本、确定样本量时应依据一定的方法进行。
d)再执行主要是对需要通过再执行验证执行有效性的关键控制,由测试人员通过重新执行该项控制,检查该控制实际执行结果是否有效。
5.5.4样本总体的确定
样本总体包括构成某类交易和事项的所有项目,测试人员应当确保样本总体的适当性和完整性。
a)适当性。
测试人员确定的样本总体应适合于特定测试目标。
如:
材料入库验收数量控制中,控制目标为保证入库物资数量计量的准确性,样本总体应为材料入库数量验收事项,而不应是材料入库质量验收事项。
b)完整性。
测试人员应从样本总体项目内容和涉及时间等方面确定样本总体的完整性。
如:
固定资产报废控制中,测试人员不仅要了解财务账所反映的报废项目情况,还要结合其他相关资料(如相关审批文件、会议纪要等)确定样本总体,以保证样本总体为全部资产报废事项。
5.5.5样本的选取
5.5.5.1分层
测试人员在选取样本时要考虑样本是否具有不同的特征,如果有,就要考虑分层。
将一个样本总体根据特征分成多个子总体,每个子总体具有相同特征。
抽样范围要涵盖全部子总体。
测试人员可以按以下方式分层:
a)按明细科目分层。
如银行存款科目一般按照不同的账户设置明细科目,在检查银行存款余额调节表时可以按银行账户明细科目分层抽取样本;在检查费用报销时,可以按管理费用、财务费用、销售费用等科目分层。
b)按业务类型分层。
如采购业务可以按招标项目、非招标项目分层。
c)按权限分层。
如固定资产报废事项可以按公司自行审批、需报股份公司审批进行分层。
d)按期间分层。
如往来签认事项可以按账龄分层。
测试人员可以根据实际情况确定样本分层方法,分层后,子总体样本数量之和为总体样本数量,子总体样本数量占总体样本数量的比例可以参照子总体样本涉及金额占全部样本涉及金额的比例来确定。
5.5.5.2子总体样本选取
具体到每个子总体抽样时,按随意抽样的原则进行抽样。
抽样时样本要相对分布均匀,不要集中在某一时间段,以确保样本能够代表样本总体。
5.5.5.3样本量的确定,通过固定控制频率/折合频率来确定样本数量。
a)关键控制抽样测试中,自动应用控制的样本量不考虑控制频率,固定为1个。
b)手工控制及半自动应用控制中定期发生的控制的样本量是通过控制发生的频率来确定的。
c)手工控制及半自动应用控制中不定期发生的控制或者执行对象比较多的定期发生的关键控制,需要确定该控制在一个会计年度内大约发生的次数,折合成控制发生的频率后再确定样本量。
样本量确定参见下表:
关键控制样本量确定表
不定期发生次数
固定控制频率/折合频率
样本数量
自动应用控制
不适用
1
手工控制/
半自动应用控制
每年一次
1
每半年一次
2
每季一次
2
15次以下
每月一次
2-5
15次和50次之间
每周一次
5、10、15
50次和200次之间
每日一次
20、30、40
大于200次
每日数次
25、30、45、60
公司机关及所属各单位样本量确定具体如下:
1)在公司机关层面执行的关键控制,以公司机关为一个抽样单位,按照规定的样本量上限进行抽样测试;
2)在公司所属各单位执行的关键控制,以每个所属单位为一个抽样单位,按照不低于规定的样本量下限进行抽样测试。
d)在改进测试、补充测试和更新测试中,样本量的确定按照以下方法进行;
1)改进测试样本量的确定方法
改进测试样本量确定表
控制频率
改进后的关键控制
至少需要运行的时间或次数
改进测试最低样本量
每季一次
两季
2
每月一次
两个月
2
每周一次
五周
2
每日一次
二十日
10
每日数次
二十五次
25
至少十五日
无法确定频率的控制,参照前述方法确定折合频率,再确定样本量。
2)补充测试样本量的确定方法
关键控制补充测试应抽取样本数量是前期测试中实际抽取样本数量减去实际抽取样本数量的差额;
3)更新测试样本量的确定方法
更新测试定期发生控制样本量确定表
控制频率
样本数量
每年一次
N/A
每季一次
1
每月一次
1
每周一次
2
每日一次
10
每日数次
15
无法确定频率的控制,参照前述方法确定折合频率,再确定样本量。
5.5.6测试程序
关键控制抽样测试程序可以划分为准备阶段、实施阶段、总结阶段。
由于控制方式不同,各阶段测试方法和步骤的应用会有所区别,可以划分为手工控制、应用系统控制两个方面。
测试程序中相关的手工测试表单模板参照“8记录”中的相关内容。
5.5.6.1手工控制的关键控制抽样测试程序
a)准备阶段
准备阶段是指从发出测试通知,测试组进驻被测试单位开始,直至完成测试计划的工作过程。
这一阶段的主要工作如下:
1)审阅被测试单位适用的风险控制文档、流程图等相关资料,初步了解重要风险及关键控制措施。
2)根据风险控制文档填写《关键控制抽样测试计划表》中的“控制目标”、“控制措施”、“控制编号”、“测试步骤”等内容。
3)测试组负责人对测试计划进行复核。
b)实施阶段
实施阶段是指从完成初步计划并开始实施,直至完成全部测试步骤的工作过程。
这一阶段的主要工作如下:
1)对执行控制的人员进行访谈。
访谈内容包括控制的程序和具体内容(做什么)、执行该控制的依据和方法(如何做)等,通过访谈,了解该业务人员对该控制的理解程度。
2)结合访谈结果,确定样本总体,并根据控制频率确定样本数量。
3)根据确定的抽样方法选取样本。
如果从测试起始时
升级会员 