某內(nèi)部控制測試管理規(guī)定文獻

1、5.1.1 測試內(nèi)容目的為規(guī)范公司內(nèi)部控制測試管理，明確內(nèi)部控制測試基本要求、基本目標、基本依據(jù)、測試基本方法及基本程序，制定本規(guī)定。范圍本規(guī)定適用于公司機關(guān)各部門、所屬各單位內(nèi)部控制測試工作管理。術(shù)語和定義內(nèi)部控制測試本規(guī)定所稱的內(nèi)部控制測試是指按照規(guī)定的程序、方法和標準，對公司內(nèi)部控制體系設(shè)計的有效性和執(zhí)行有效性進行檢查。跟單測試本規(guī)定所稱的跟單測試是指在重要業(yè)務(wù)流程中選取一筆業(yè)務(wù)，從業(yè)務(wù)發(fā)生開始，一直追蹤到該筆業(yè)務(wù)反映到公司財務(wù)報告的測試過程。關(guān)鍵控制抽樣測試本規(guī)定所稱的關(guān)鍵控制抽樣測試是以內(nèi)部控制管理手冊為標準，采用抽樣測試的方法，對業(yè)務(wù)活動層面關(guān)鍵控制執(zhí)行的有效性進行的檢查。內(nèi)部控制

2、審計本規(guī)定所稱的內(nèi)部控制審計是指針對公司內(nèi)部控制設(shè)計和運行的有效性，由公司黨群工作處具體實施內(nèi)部控制測試的過程。自我測試本規(guī)定所稱的自我測試是指針對內(nèi)部控制設(shè)計和運行的有效性，由內(nèi)部控制工作主管部門具體實施的檢查過程。補充測試本規(guī)定所稱的補充測試是指對前期內(nèi)部控制測試中公司層面和跟單測試中樣本不足的控制進行測試， 對未抽足樣本的關(guān)鍵控制進行補充抽樣， 以充分發(fā)現(xiàn)內(nèi)部控制體系執(zhí)行有效性方面的問題。改進測試本規(guī)定所稱的改進測試是指對前期內(nèi)控測試中發(fā)現(xiàn)的例外事項，在財務(wù)處下發(fā)改進意見并經(jīng)過有效時間運行后進行的檢查。更新測試本規(guī)定所稱的更新測試是指針對資產(chǎn)負債表日（ 12 月 31 日）前 60 日，

3、經(jīng)過前期普華外審、股份公司管理層測試和公司自我測試后，已抽足樣本而無例外事項的控制；以及發(fā)現(xiàn)了例外事項，經(jīng)改進測試已無例外且抽足樣本的控制進行的檢查。例外事項本規(guī)定所稱的例外事項主要是指在內(nèi)控體系設(shè)計和執(zhí)行方面與相應(yīng)的標準、規(guī)范、要求存在差異的事項。職責(zé)財務(wù)處是內(nèi)部控制測試工作的主管部門，負責(zé)編寫測試管理規(guī)定并做好維護工作；負責(zé)制定公司自我測試工作方案。組織開展公司自我測試。協(xié)調(diào)外部內(nèi)部控制審計、股份管理層測試工作，并與外部審計師進行溝通。黨群工作處（審計監(jiān)察處）（以下簡稱黨群工作處）負責(zé)組織制定公司內(nèi)部控制審計實施方案并組織實施。公司各部門及所屬單位負責(zé)本部門或本單位內(nèi)控體系測試工作的具體實

4、施；負責(zé)本部門或本單位各項內(nèi)部控制流程及其控制措施的有效實施并進行日常監(jiān)督，定期開展自我測試；積極配合內(nèi)部控制測試工作。管理內(nèi)容基本要求測試主要包括以下內(nèi)容：根據(jù)設(shè)計和運行有效性評價的要求，對公司層面、業(yè)務(wù)活動層面和信息系統(tǒng)總體控制有效性分別進行測試；對測試發(fā)現(xiàn)的例外事項進行分類確認說明；根據(jù)測試結(jié)果，編制測試報告。測試覆蓋率公司自我測試：測試覆蓋率達到重要業(yè)務(wù)流程不低于70%，關(guān)鍵控制點不低于90%，所屬各單位數(shù)量不低于50%。所屬各單位自我測試：測試覆蓋率達到重要業(yè)務(wù)流程不低于70%，關(guān)鍵控制點不低于90%。測試的執(zhí)行方式測試有兩種執(zhí)行方式，在ARCMJ控測試系統(tǒng)中執(zhí)行測試和采取手工記錄方

5、式執(zhí)行測試。測試結(jié)果的記錄a)采用ARCMJ控測試系統(tǒng)開展測試時，按照系統(tǒng)要求填制，具體要求參見附錄A內(nèi)控測試系統(tǒng)使用手冊。b) 采用手工方式開展測試時，按照“ 5.3 5.6 ”中規(guī)定的管理內(nèi)容及所提供的表單模板進行記錄。5.2 測試工作的組織流程公司組織開展測試的組織程序測試組織與職責(zé)a)測試組織部門主要職責(zé)：組織編制測試方案，確定測試任務(wù)和要求；協(xié)調(diào)人員、時間安排；現(xiàn)場測試結(jié)束后，組織召開測試結(jié)果研討會，確定測試例外事項及管理薄弱環(huán)節(jié)；審核各測試組的測試底稿及測試報告，編制測試總報告；按照要求下達測試整改意見，組織開展后續(xù)例外事項整改結(jié)果跟進，并適時組織現(xiàn)場改進測試。測試組長主要職責(zé)：組

6、織做好測試組人員分工及協(xié)調(diào)工作；負責(zé)與被測試單位的協(xié)調(diào)與溝通；對具體測試工作的進度和質(zhì)量、上報測試資料的準確性及完整性負責(zé)。測試員主要職責(zé)：按時間進度完成測試任務(wù)；對測試發(fā)現(xiàn)的問題，收集復(fù)印相關(guān)資料，并提出整改建議；對測試內(nèi)容的質(zhì)量及準確性負責(zé)。準備階段制定測試方案：測試組織部門人員制定測試方案，由部門領(lǐng)導(dǎo)審核批準。下發(fā)測試通知：通知內(nèi)容包括測試的范圍、時間安排及被測試單位名單等。組織測試人員集中培訓(xùn)：測試組織人員將測試計劃、時間安排、要求予以說明。測試階段與被測試單位人員溝通，召開見面會。會議內(nèi)容包括：見面會由被測試單位內(nèi)控主管部門組織， 參加人員為所屬單位內(nèi)控工作主管領(lǐng)導(dǎo)、 各部門負責(zé)人和

7、內(nèi)控聯(lián)系人以及測試組全體人員。被測試單位介紹參會人員、單位情況及內(nèi)控體系建設(shè)情況；測試組長宣讀測試文件，并將測試的內(nèi)容、時間安排、測試期間、形式、類型等相關(guān)內(nèi)容進行說明。開展現(xiàn)場測試。測試人員對各崗位人員進行訪談、測試，測試中應(yīng)注意：被測試崗位人員辦公室條件不允許或涉密可在集中辦公區(qū)進行訪談、測試；為避免打擾被測試崗位人員日常工作，抽樣、錄入盡量在集中辦公區(qū)進行，但一定要保證抽樣資料完整、完好歸還；5.3.3 測試方法測試時注意談話用語、確保充分溝通；測試中如發(fā)現(xiàn)問題，需與崗位人員確認并及時與組長進行溝通，切忌武斷，確認例外事項需提供充分的依據(jù)；每天測試工作結(jié)束后，測試組人員集中討論、分析當日

8、的測試工作進展情況，保證獲取被測試單位信息的共享，組長掌握測試進度。溝通測試結(jié)果。測試任務(wù)完成后，測試組組長根據(jù)測試的情況和問題與被測單位內(nèi)控負責(zé)人進行溝通、確認，如有異議，將問題及相關(guān)證據(jù)帶回。得出測試結(jié)論。與被測試單位充分溝通后，測試組長組織測試組人員進行集中討論、分析，得出測試結(jié)論?？偨Y(jié)階段測試組完成測試報告及報表。測試組組長按要求整理測試報告并填制相關(guān)表單；系統(tǒng)測試需在系統(tǒng)內(nèi)審核通過各項測試內(nèi)容并生成報表。測試組匯報測試情況。測試組按要求向公司測試組織部門匯報測試工作的結(jié)果，測試組組長總結(jié)測試過程中的問題及測試組成員的工作表現(xiàn)?？偨Y(jié)測試情況。將各測試組測試報告及表單匯總，形成總的測試報

9、告及分析材料。5.2.2 所屬單位開展自我測試的組織程序準備階段a)制定測試方案，下發(fā)測試通知，通知內(nèi)容包括測試的范圍、時間安排及測試部門等。b)召開自我測試準備會。所屬單位內(nèi)控工作負責(zé)人組織召開自我測試準備會，確定測試人員，成立測試組，對測試計劃、測試內(nèi)容、方式和具體關(guān)注問題予以說明。如采用ARCMB式系統(tǒng)開展測試，需向財務(wù)處申請測試賬號，并對測試人員進行測試系統(tǒng)操作培訓(xùn)。測試階段組織召開測試專題會。測試專題會由分公司內(nèi)控主管部門組織，參加人員為內(nèi)控工作主管領(lǐng)導(dǎo)、各部門負責(zé)人和內(nèi)控聯(lián)系人及測試組全體人員。會議內(nèi)容包括：測試組組長介紹測試人員，宣讀測試文件，并將測試的內(nèi)容、時間安排、測試區(qū)間、

10、形式、類型等相關(guān)內(nèi)容進行說明；內(nèi)控主管領(lǐng)導(dǎo)提出具體工作要求。開展現(xiàn)場測試。測試人員到各崗位進行訪談、測試，測試中應(yīng)注意事項與“ 5.2.1.3 b) ”的內(nèi)容相同。溝通測試結(jié)果。測試任務(wù)完成后，測試組組長就測試的情況和問題與被測部門、崗位進行溝通、確認?？偨Y(jié)階段完成測試報告及報表。測試組組長按要求整理測試報告并填制相關(guān)表單；系統(tǒng)測試需審核通過各項測試內(nèi)容并生成報表。匯報測試情況。測試組組長向所屬單位管理層將測試的情況和問題予以匯報并進行總結(jié)；將測試報告及相關(guān)資料報送公司財務(wù)處。5.3 公司層面控制測試測試目的通過公司層面控制測試，查找內(nèi)控設(shè)計和執(zhí)行方面的問題，確保公司內(nèi)部各個領(lǐng)域都有適當?shù)目刂?/p>

11、機制在發(fā)揮作用。測試依據(jù)公司層面控制測試內(nèi)容與步驟。(參見附錄B)；內(nèi)部控制管理手冊(西南管道分公司分冊)。公司層面控制測試主要采用詢問、觀察、檢查等方法。詢問可以采用訪談和調(diào)查問卷兩種方式。訪談對象必須是執(zhí)行該項控制的崗位人員，如果無法訪問，也可以訪談部門負責(zé)人或其他熟悉該項控 制的人員。觀察主要是針對正在執(zhí)行的控制或步驟進行現(xiàn)場見證。檢查是以樣本代表總體，通過抽樣的方式檢查樣本，判斷控制執(zhí)行情況的一種方法。5.3.4 測試程序公司層面控制測試程序可以劃分為準備階段、實施階段和總結(jié)階段，測試程序中相關(guān)的手工測試表單參照“ 8 記錄”中的相關(guān)內(nèi)容。準備階段準備階段是指從發(fā)出測試通知，測試組進駐

12、被測試單位開始，直至完成測試計劃的工作過程。這一階段的主要工作如下：a)測試組根據(jù)測試范圍取得并審閱附錄B公司層面控制測試內(nèi)容與步驟中涉及的文件、規(guī)章制度等資料(包含地區(qū)公司補充控制措施的資料) 并依據(jù)公司控制措施補充說明及相關(guān)的文件制度，初步了解公司層面控制現(xiàn)狀。b)擬定測試步驟。依據(jù)附錄B公司層面控制測試內(nèi)容與步驟中“測試步驟”，結(jié)合“地區(qū)公司補充控制措施”，編寫具體測試步驟。若采用ARCMW試系統(tǒng)執(zhí)行方式，在系統(tǒng)中填列，若采用手工執(zhí)行方式，在公司層面測試表中填列。擬定測試步驟時應(yīng)保持“內(nèi)控關(guān)注要點”、“地區(qū)公 司補充控制措施”、“具體測試步驟”等在內(nèi)容上的一致性。c) 測試組人員根據(jù)初步

13、了解的情況，與被測試單位進行溝通，確定測試時間，制定測試計劃。實施階段實施階段是指從完成初步計劃并開始實施，直至完成全部測試步驟的工作過程。這一階段的主要工作如下：對執(zhí)行控制的崗位人員進行訪談。通過訪談，了解該崗位人員是否真正理解所執(zhí)行的控制，并對設(shè)計層面初步分析存在的問題進行了解，同時 記錄訪談結(jié)果。結(jié)合訪談結(jié)果，進一步完善測試計劃。選取樣本，如果從測試起始時間到截止時間，由于業(yè)務(wù)發(fā)生量的限制，無法取得滿足要求的樣本量，則應(yīng)該選取已有的全部樣本，同時記錄樣本的選取情況。選擇樣本時主要按照與財務(wù)報告內(nèi)部控制相關(guān)的原則進行抽樣。抽樣時考慮的因素：所抽樣本與財務(wù)報告內(nèi)部控制有效性的關(guān)聯(lián)程度。以前年

14、度測試易出現(xiàn)例外事項的樣本范圍。當年公司層面控制變化情況。業(yè)務(wù)活動控制運行有效性方面已知的或已發(fā)現(xiàn)的例外事項，此例外事項的產(chǎn)生可能是由于公司層面的控制設(shè)計和執(zhí)行不當所致。對樣本進行檢查。檢查內(nèi)容有： 設(shè)計的控制在實際工作中是否執(zhí)行； 控制執(zhí)行是否與該控制對應(yīng)的文件規(guī)定相符合， 且留下了重要實施證據(jù)， 同時對設(shè)計有效性測試發(fā)現(xiàn)的例外事項通過檢查樣本進一步驗證是否是設(shè)計方面存在問題。 通過抽樣的方式檢查控制實施證據(jù)時， 如果發(fā)現(xiàn)所抽取的樣本不能完全達到測試目 的時，應(yīng)把抽取樣本的相關(guān)情況記錄下來，再另行抽取樣本。通過測試發(fā)現(xiàn)在相關(guān)控制方面出現(xiàn)不容易理解或有異議，不能達到測試目標，應(yīng)進一步與相關(guān)人員

15、進行訪談或重新進行測試。記錄公司層面控制測試過程及結(jié)果。測試過程中， 根據(jù)測試情況在 公司層面控制測試表 中記錄測試信息。 測試時應(yīng)對重要的信息進行記錄； 對測試發(fā)現(xiàn)的例外事項的相關(guān)證據(jù)取得復(fù)印件或掃描件，沒有例外事項的只需要在相關(guān)表單中進行記錄，不需取得復(fù)印件或掃描件?？偨Y(jié)階段總結(jié)階段是指測試人員完成全部測試后，對測試內(nèi)容進行整理分析的過程，該階段具體工作步驟：匯總整理公司層面控制測試表，將相應(yīng)內(nèi)容整理至公司層面控制測試例外事項匯總表，并由測試組長進行復(fù)核。對測試結(jié)果進行分析。對測試發(fā)現(xiàn)的例外事項進行詳細的說明，分析例外事項產(chǎn)生的原因。對于改進測試發(fā)現(xiàn)的未整改的例外事項，應(yīng)考慮補充及補償控制

16、并進行測試、記錄。c) 對測試結(jié)果進行溝通確認。對測試發(fā)現(xiàn)的問題與相關(guān)人員進行充分溝通， 最終達成一致意見后由被測試單位相關(guān)人員簽字確認。 如被測試單位存在異議， 可將其意見一并上報測試組織部門。業(yè)務(wù)活動層面跟單測試測試目的熟悉和理解業(yè)務(wù)流程。驗證公司確認的重要風(fēng)險和關(guān)鍵控制的完整性和合理性。檢查公司是否制定了與控制實施相關(guān)的制度。確認的控制(一般控制和關(guān)鍵控制)是否被有效執(zhí)行，該控制執(zhí)行后能否防范風(fēng)險。測試依據(jù)內(nèi)部控制管理手冊(西南管道公司分冊)。測試方法跟單測試方法主要有詢問、觀察和檢查。詢問主要采用訪談的方式，訪談對象原則上是業(yè)務(wù)流程中的關(guān)鍵執(zhí)行人員，如果無法直接訪談，也可以訪談部門負責(zé)

17、人或其他熟悉該流程的人員。觀察針對有必要觀察的正在執(zhí)行的控制或步驟進行現(xiàn)場見證，獲取控制證據(jù)。檢查在跟單測試中包括兩個方面，一方面對文件制度的檢查，重點是文件制度中是否做出相關(guān)規(guī)定；另一方面是對實施證據(jù)的抽樣檢查，抽取的樣本應(yīng)能夠貫穿重要業(yè)務(wù)流程的全過程，具有代表性和普遍性，原則上跟單測試只抽取一個樣本。測試程序跟單測試工作過程分為準備階段、實施階段、總結(jié)階段，測試程序中相關(guān)的手工測試表單模板參照“ 8 記錄”中的相關(guān)內(nèi)容。準備階段準備階段是指從發(fā)出測試通知后，測試組進駐被測試單位開始，直至初步完成測試計劃的工作過程。這一階段的主要工作如下：審閱被測試單位適用的風(fēng)險控制文檔、流程圖等相關(guān)資料，

18、初步了解業(yè)務(wù)活動層面的重要風(fēng)險及關(guān)鍵控制措施。如果被測試單位的流程圖和風(fēng)險控制文檔不能使測試人員了解被測試單位的流程，應(yīng)及時與被測試單位溝通，并進一步理解內(nèi)部控制文件描述的內(nèi)容。若采用手工執(zhí)行方式，編制詳細的跟單測試計劃表，內(nèi)容包括需要訪談的崗位名稱，訪談的時間等。通過編制跟單測試計劃表，協(xié)調(diào)雙方的時間安排，提高工作效率。實施階段實施階段是按照計劃完成所有測試步驟的工作過程。被測試單位主要根據(jù)測試要求，配合測試人員工作。這一階段的主要工作如下：檢查被測試單位風(fēng)險控制文檔描述的重要風(fēng)險和關(guān)鍵控制是否與公司一致，如果不一致，分析其原因并做出記錄。訪談業(yè)務(wù)流程的相關(guān)人員，了解業(yè)務(wù)流程的運行情況與變化

19、情況，重點關(guān)注：公司確定的重要風(fēng)險和關(guān)鍵控制在被測試單位是否被采用，并在哪些崗位實施；被測試單位業(yè)務(wù)流程中存在的特殊重要風(fēng)險是否被識別，相應(yīng)的關(guān)鍵控制是否被確認并準確記錄；了解以前年度存在問題的整改情況，并在設(shè)計層面初步分析整改后是否達到了控制目標，分析其合理性。對有必要觀察的正在發(fā)生的特定控制進行觀察，進而獲取控制證據(jù)。抽樣檢查樣本。選取有代表性的樣本進行檢查，重點關(guān)注以下方面：公司設(shè)計的控制是否被有效執(zhí)行，該控制執(zhí)行后能否防范相關(guān)的重要風(fēng)險；通過抽取樣本進一步驗證訪談結(jié)果是否準確 (即公司業(yè)務(wù)流程中存在的特殊重要風(fēng)險是否被識別， 相應(yīng)的關(guān)鍵控制是否被確認并準確記錄) 。在跟單測試中，抽樣需

20、考慮：樣本能夠代表重要業(yè)務(wù)流程中的主要業(yè)務(wù)類型，具有一定的普遍性。對于設(shè)計方面文本規(guī)范性的問題，主要是指控制描述不規(guī)范，但不影響控制設(shè)計與執(zhí)行的有效性的問題，如：風(fēng)險控制控制文檔與流程圖不一致， 但控制執(zhí)行有效、 控制實施證據(jù)描述有誤、 流程描述中格式欠缺、 風(fēng)險點及控制點標注不準確及其他文本規(guī)范性問題。 測試人員在測試過程也應(yīng)關(guān)注此類問題， 在測試結(jié)束后與被測單位進行溝通， 提出整改建議。 此類文本規(guī)范性問題可以不作為例外事項， 不在測試表和匯總表中體現(xiàn)， 但測試報告中應(yīng)按類別反映測試情況。在檢查樣本時，應(yīng)結(jié)合公司設(shè)計有效性測試發(fā)現(xiàn)的問題，通過檢查樣本進一步驗證設(shè)計方面發(fā)現(xiàn)的問題。對執(zhí)行層面

21、發(fā)生的例外事項，應(yīng)分析例外事項產(chǎn)生的原因，是否是因為設(shè)計方面存在問題而產(chǎn)生例外事項。f)測試完畢后，若采用手工執(zhí)行方式，根據(jù)測試結(jié)果，針對產(chǎn)生例外事項的流程填寫跟單測試例外事項匯總表內(nèi)容；若采用ARCMI試系統(tǒng)執(zhí)行方式，在系統(tǒng)中按要求記錄測試結(jié)果。復(fù)印或掃描例外事項涉及的相關(guān)證據(jù)?？偨Y(jié)階段總結(jié)階段是指測試人員完成全部測試后，對測試內(nèi)容進行整理分析的過程，該階段具體工作步驟：填列完整并整理跟單測試例外事項匯總表，并由測試組長進行復(fù)核。對測試結(jié)果進行分析。對測試發(fā)現(xiàn)的例外事項進行詳細的說明， 分析例外事項產(chǎn)生的原因。 對于改進測試發(fā)現(xiàn)的未整改的例外事項， 應(yīng)考慮補充及補償控制并進行測試、記錄。對測

22、試結(jié)果進行溝通確認。對測試發(fā)現(xiàn)的問題與相關(guān)人員進行充分溝通， 最終達成一致意見后由被測試單位相關(guān)人員簽字確認。 如被測試單位存在異議， 可將其意見一并上報測試組織部門。業(yè)務(wù)活動層面關(guān)鍵控制抽樣測試測試目的查找關(guān)鍵控制執(zhí)行方面存在的問題，確保設(shè)計有效的關(guān)鍵控制在公司得到有效執(zhí)行。測試依據(jù)關(guān)鍵控制抽樣測試內(nèi)容與步驟(參見附錄C)；內(nèi)部控制管理手冊(西南管道公司分冊)。測試方法關(guān)鍵控制抽樣測試主要采用詢問、觀察、檢查、再執(zhí)行等方法。詢問對象原則上是執(zhí)行該項控制的人員。如果無法訪問，也可以訪談部門負責(zé)人或其他熟悉該項控制的人員。通過詢問了解被訪談人對該控制措施是否理解，是否知曉如何實施控制。觀察針對有

23、必要觀察的正在實施的關(guān)鍵控制進行現(xiàn)場見證，獲取控制證據(jù)。檢查是以樣本代表總體，通過抽樣的方式檢查樣本，判斷關(guān)鍵控制總體執(zhí)行情況的一種方法。測試人員在確定樣本總體、選取樣本、確定樣本量時應(yīng)依據(jù)一定的方法進行。再執(zhí)行主要是對需要通過再執(zhí)行驗證執(zhí)行有效性的關(guān)鍵控制，由測試人員通過重新執(zhí)行該項控制，檢查該控制實際執(zhí)行結(jié)果是否有效。樣本總體的確定樣本總體包括構(gòu)成某類交易和事項的所有項目，測試人員應(yīng)當確保樣本總體的適當性和完整性。適當性。測試人員確定的樣本總體應(yīng)適合于特定測試目標。如：材料入庫驗收數(shù)量控制中，控制目標為保證入庫物資數(shù)量計量的準確性，樣本總體應(yīng)為材料入庫數(shù)量驗收事項，而不應(yīng)是材料入庫質(zhì)量驗收

24、事項。完整性。測試人員應(yīng)從樣本總體項目內(nèi)容和涉及時間等方面確定樣本總體的完整性。 如： 固定資產(chǎn)報廢控制中， 測試人員不僅要了解財務(wù)賬所反映的報廢項目情況，還要結(jié)合其他相關(guān)資料(如相關(guān)審批文件、會議紀要等)確定樣本總體，以保證樣本總體為全部資產(chǎn)報廢事項。樣本的選取分層測試人員在選取樣本時要考慮樣本是否具有不同的特征， 如果有， 就要考慮分層。 將一個樣本總體根據(jù)特征分成多個子總體， 每個子總體具有相同特征。抽樣范圍要涵蓋全部子總體。測試人員可以按以下方式分層：a) 按明細科目分層。如銀行存款科目一般按照不同的賬戶設(shè)置明細科目，在檢查銀行存款余額調(diào)節(jié)表時可以按銀行賬戶明細科目分層抽取樣本；在檢查

25、費用報銷時，可以按管理費用、財務(wù)費用、銷售費用等科目分層。b）按業(yè)務(wù)類型分層。如采購業(yè)務(wù)可以按招標項目、非招標項目分層。c）按權(quán)限分層。如固定資產(chǎn)報廢事項可以按公司自行審批、需報股份公司審批進行分層。d）按期間分層。如往來簽認事項可以按賬齡分層。測試人員可以根據(jù)實際情況確定樣本分層方法，分層后，子總體樣本數(shù)量之和為總體樣本數(shù)量，子總體樣本數(shù)量占總體樣本數(shù)量的比例可以參照子 總體樣本涉及金額占全部樣本涉及金額的比例來確定。子總體樣本選取具體到每個子總體抽樣時，按隨意抽樣的原則進行抽樣。抽樣時樣本要相對分布均勻，不要集中在某一時間段，以確保樣本能夠代表樣本總體。樣本量的確定，通過固定控制頻率/折合

26、頻率來確定樣本數(shù)量。a）關(guān)鍵控制抽樣測試中，自動應(yīng)用控制的樣本量不考慮控制頻率，固定為 1個。b）手工控制及半自動應(yīng)用控制中定期發(fā)生的控制的樣本量是通過控制發(fā)生的頻率來確定的。c）手工控制及半自動應(yīng)用控制中不定期發(fā)生的控制或者執(zhí)行對象比較多的定期發(fā)生的關(guān)鍵控制，需要確定該控制在一個會計年度內(nèi)大約發(fā)生的次 數(shù)，折合成控制發(fā)生的頻率后再確定樣本量。樣本量確定參見下表：關(guān)鍵控制樣本量確定表不定期發(fā)生次數(shù)固定控制頻率/折合頻率樣本數(shù)量自動應(yīng)用控制不適用1手工控制/半自動應(yīng)用控制每年一次1每半年一次2每季一次215次以下每月一次2-51欹和50次之間每周一次5、10、1550和20砍之間每日一次20、3

27、。40大于20砍每日數(shù)次25、30、45、60公司機關(guān)及所屬各單位樣本量確定具體如下：1）在公司機關(guān)層面執(zhí)行的關(guān)鍵控制，以公司機關(guān)為一個抽樣單位，按照規(guī)定的樣本量上限進行抽樣測試；2）在公司所屬各單位執(zhí)行的關(guān)鍵控制，以每個所屬單位為一個抽樣單位，按照不低于規(guī)定的樣本量下限進行抽樣測試。d）在改進測試、補充測試和更新測試中，樣本量的確定按照以下方法進行；1）改進測試樣本量的確定方法改進測試樣本量確定表控制頻率改進后的關(guān)鍵控制 至少需要運行的時間或次數(shù)改進測試最低樣本量每季一次兩季2每月一次兩個月2每周一次五周2每日一次二十日10每日數(shù)次二十五次25至少十五日無法確定頻率的控制，參照前述方法確定折

28、合頻率，再確定樣本量。2）補充測試樣本量的確定方法關(guān)鍵控制補充測試應(yīng)抽取樣本數(shù)量是前期測試中實際抽取樣本數(shù)量減去實際抽取樣本數(shù)量的差額;3）更新測試樣本量的確定方法更新測試定期發(fā)生控制樣本量確定表控制頻率樣本數(shù)量每年一次N/A每季一次1每月一次1每周一次2每日一次10每日數(shù)次15無法確定頻率的控制，參照前述方法確定折合頻率，再確定樣本量。測試程序關(guān)鍵控制抽樣測試程序可以劃分為準備階段、實施階段、總結(jié)階段。由于控制方式不同，各階段測試方法和步驟的應(yīng)用會有所區(qū)別，可以劃分為手工控制、應(yīng)用系統(tǒng)控制兩個方面。測試程序中相關(guān)的手工測試表單模板參照“8記錄”中的相關(guān)內(nèi)容。手工控制的關(guān)鍵控制抽樣測試程序a）

29、準備階段準備階段是指從發(fā)出測試通知，測試組進駐被測試單位開始，直至完成測試計劃的工作過程。這一階段的主要工作如下：測試單位適用的風(fēng)險控制文檔、流程圖等相關(guān)資料，初步了解重要風(fēng)險及關(guān)鍵控制措施。2）根據(jù)風(fēng)險控制文檔填寫關(guān)鍵控制抽樣測試計劃表中的“控制目標”、“控制措施”、“控制編號”、“測試步驟”等內(nèi)容。3）測試組負責(zé)人對測試計劃進行復(fù)核。b）實施階段實施階段是指從完成初步計劃并開始實施，直至完成全部測試步驟的工作過程。這一階段的主要工作如下：1）對執(zhí)行控制的人員進行訪談。訪談內(nèi)容包括控制的程序和具體內(nèi)容（做什么）、執(zhí)行該控制的依據(jù)和方法（如何做）等，通過訪談，了解該 業(yè)務(wù)人員對該控制的理解程度

30、。2）結(jié)合訪談結(jié)果，確定樣本總體，并根據(jù)控制頻率確定樣本數(shù)量。3）根據(jù)確定的抽樣方法選取樣本。如果從測試起始時間到截止時間，由于業(yè)務(wù)發(fā)生量的限制，無法取得要求的樣本量，則應(yīng)該選取已有的全部 樣本，同時在關(guān)鍵控制抽樣測試計劃表中記錄樣本的選取情況。4）對樣本進行檢查。重點關(guān)注：控制結(jié)果是否正確；控制過程是否有效；控制實施證據(jù)是否完整有效。除抽樣檢查外，結(jié)合觀察、再執(zhí)行等方 法進行測試，在關(guān)鍵控制抽樣測試計劃表中記錄實際抽取樣本的數(shù)量，并記錄樣本量差異原因分析。5）測試完成后，根據(jù)測試結(jié)果對發(fā)現(xiàn)的例外事項、測試人員與被測試單位意見存在異議的事項填寫關(guān)鍵控制抽樣測試例外事項匯總表中 “例外事項說明及

31、原因”。6）完善關(guān)鍵控制抽樣測試計劃表、關(guān)鍵控制抽樣測試例外事項匯總表，復(fù)印或掃描例外事項、測試人員與被測試單位意見存在異議 事項的相關(guān)證據(jù)。c）總結(jié)階段總結(jié)階段是指測試人員完成全部測試工作后，對查證內(nèi)容進行整理分析的過程。該階段具體工作步驟有：1）根據(jù)關(guān)鍵控制抽樣測試計劃表，將相應(yīng)內(nèi)容整理至關(guān)鍵控制抽樣測試例外事項匯總表，并由測試組長進行復(fù)核。2）對測試結(jié)果進行分析。對測試發(fā)現(xiàn)的例外事項進行詳細的說明，分析例外事項產(chǎn)生的原因。對于改進測試發(fā)現(xiàn)的未整改的例外事項，應(yīng)考慮 補充及補償控制并進行測試、記錄。3）對測試結(jié)果進行溝通確認。對測試發(fā)現(xiàn)的問題與相關(guān)人員進行充分溝通，最終達成一致意見后由被測

32、試單位相關(guān)人員簽字確認。如被測試 單位存在異議，可將其意見一并上報測試組織部門。5.5.6.2應(yīng)用系統(tǒng)控制的關(guān)鍵控制抽樣測試程序。a）準備階段準備階段是指從發(fā)出測試通知，測試組進駐被測試單位開始，直至完成測試計劃的工作過程。1）審閱被測試單位適用的流程圖、應(yīng)用系統(tǒng)風(fēng)險控制文檔等資料，初步了解流程以及應(yīng)用系統(tǒng)的關(guān)系、信息系統(tǒng)應(yīng)用控制的內(nèi)容。根據(jù)應(yīng)用 系統(tǒng)情況及測試人員的業(yè)務(wù)能力確定具體的測試分工。根據(jù)應(yīng)用系統(tǒng)風(fēng)險控制文檔填寫關(guān)鍵控制抽樣測試計劃表中的“控制目標”、“控制措施”、“控制編號”、“測試步驟”等內(nèi)容。對于某些具有特定時間要求的控制措施，如期末會計結(jié)賬、月度財務(wù)報告編制等，需要測試單位預(yù)

33、先安排測試計劃，以便協(xié)調(diào)正常的業(yè)務(wù)操作和測試安排。測試組負責(zé)人對測試計劃進行復(fù)核。實施階段實施階段是指從完成初步計劃并開始實施，直至完成全部測試步驟的工作過程。這一階段的主要工作如下：對執(zhí)行控制的人員進行訪談。訪談內(nèi)容包括控制的程序和具體內(nèi)容(做什么)、執(zhí)行該控制的依據(jù)和方法(如何做)等。通過訪談，了解該業(yè)務(wù)人員對該控制的理解程度。結(jié)合訪談結(jié)果，確定樣本總體和樣本量。根據(jù)確定的抽樣方法選取樣本。如果從測試起始時間到截止時間，由于業(yè)務(wù)發(fā)生量的限制，無法取得要求的樣本量，則應(yīng)該選取已有的全部樣本，同時在關(guān)鍵控制抽樣測試計劃表中記錄樣本的選取情況。對樣本進行檢查。主要關(guān)注：控制結(jié)果是否正確；控制過程

34、是否真實有效；控制實施證據(jù)是否完整有效。同時可以結(jié)合觀察、再執(zhí)行等方法進行測試，在關(guān)鍵控制抽樣測試計劃表中記錄實際抽取樣本的數(shù)量，并記錄樣本量差異原因分析。總結(jié)階段。總結(jié)階段的工作與手工控制的工作內(nèi)容相同。信息系統(tǒng)總體控制測試測試目的通過信息系統(tǒng)總體控制測試， 檢查是否根據(jù)公司信息系統(tǒng)總體控制管理文件的要求， 執(zhí)行了信息系統(tǒng)管理的各項控制活動， 從而提高應(yīng)用系統(tǒng)控制的有效性，確保信息系統(tǒng)支持的應(yīng)用控制是可靠的、生成的數(shù)據(jù)和報告是可信的。測試依據(jù)公司信息系統(tǒng)總體控制測試內(nèi)容與步驟(參見附錄D)；中國石油天然氣股份有限公司信息系統(tǒng)總體控制實施要求；c ) 內(nèi)部控制管理手冊(西南管道公司分冊)。測試

35、方法信息系統(tǒng)總體控制測試采用訪談、觀察、再執(zhí)行、抽樣檢查等方法。在采用抽樣檢查的方法時，測試人員采用隨意的方式選取樣本，但是同時考慮以下兩個因素：抽取樣本時間的均勻分布，不能集中抽取某一期間的樣本。常規(guī)業(yè)務(wù)樣本與非常規(guī)業(yè)務(wù)樣本的均勻分布，在測試時，樣本對應(yīng)的業(yè)務(wù)不能集中在一種類型，盡量覆蓋樣本所涉及的業(yè)務(wù)類型。樣本量的確定：在信息系統(tǒng)總體控制測試中，除了項目建設(shè)管理流程與信息安全領(lǐng)域AQ-3采取全樣本測試外，其他控制點測試需要的樣本量其確定原則與關(guān)鍵控制抽樣測試確定的原則相同。改進測試、補充測試以及更新測試的樣本量確定參考業(yè)務(wù)活動層面的確定標準。測試程序信息系統(tǒng)總體控制測試工作劃分成三個階段，

36、包括：準備階段、實施階段、總結(jié)階段，測試程序中相關(guān)的手工測試表單模板參照“ 8 記錄”中的相關(guān)內(nèi)容。準備階段準備階段是指從發(fā)出測試通知，測試組成員進駐被測試單位開始，直至完成測試計劃的工作過程。這一階段的主要工作如下：取得相關(guān)資料，包括最新的信息系統(tǒng)總體控制崗位人員對照表、公司信息系統(tǒng)總體控制測試內(nèi)容與步驟、中國石油天然氣股份有限公司信息系統(tǒng)總體控制實施要求(以下簡稱實施要求)等。仔細閱讀實施要求等資料，如果在本測試期內(nèi)實施要求經(jīng)過修訂，則需要根據(jù)實施要求的修訂情況修改測試模板中的控制目標、關(guān)鍵控制點描述、測試步驟等內(nèi)容。閱讀崗位人員對照表和崗位職責(zé)文件，理解和熟悉測試模板中關(guān)鍵控制點涉及的崗

37、位和職責(zé)，測試人員可事先與被測試單位溝通，以便準確了解需要訪談的崗位人員，制定測試的計劃安排。d)根據(jù)計劃測試的控制點和附錄D公司信息系統(tǒng)總體控制測試內(nèi)容與步驟填寫信息系統(tǒng)總體控制抽樣測試計劃表中的“控制目標”、“控制措施”、“控制編號”、“測試步驟”等內(nèi)容。實施階段實施測試階段是指按照測試計劃和測試步驟，完成全部測試內(nèi)容的工作過程。這一階段的主要工作如下：訪談執(zhí)行控制的崗位人員， 了解該業(yè)務(wù)人員是否真正理解所執(zhí)行的控制， 并對該業(yè)務(wù)人員的勝任能力做出判斷， 將訪談結(jié)果記錄在測試表中。結(jié)合訪談結(jié)果，確定樣本總體和控制頻率等問題，并選取樣本。如果從測試起始時間到測試截止時間，由于業(yè)務(wù)發(fā)生量的限制

38、，無法取得要求的樣本量，則應(yīng)該選取已有的全部樣本，同時在信息系統(tǒng)總體控制抽樣測試計劃表記錄樣本的選取情況對樣本進行檢查，重點關(guān)注信息系統(tǒng)總體控制措施在實際工作中是否得到有效執(zhí)行，是否符合信息系統(tǒng)總體控制措施的描述。測試人員不應(yīng)在發(fā)現(xiàn)樣本出現(xiàn)問題后更換樣本，以避免造成測試結(jié)果的失真。對于存在問題的文檔需要取得復(fù)印件?？偨Y(jié)階段總結(jié)階段是指測試人員完成全部測試內(nèi)容后，對查證內(nèi)容進行整理分析匯總的過程，該階段具體工作步驟有：根據(jù)信息系統(tǒng)總體控制抽樣測試計劃表，將相應(yīng)內(nèi)容整理至信息系統(tǒng)總體控制抽樣測試例外事項匯總表，并由測試組長進行復(fù)核。對測試結(jié)果進行分析。對測試發(fā)現(xiàn)的例外事項進行詳細的說明，分析例外事

39、項產(chǎn)生的原因。對于改進測試發(fā)現(xiàn)的未整改的例外事項，應(yīng)考慮補充及補償控制并進行測試、記錄。對測試結(jié)果進行溝通確認。對測試發(fā)現(xiàn)的問題與相關(guān)人員進行充分溝通，最終達成一致意見后由被測試單位相關(guān)人員簽字確認。如被測試單位存在異議，可將其意見一并上報測試組織部門。例外事項分類及確認公司層面控制測試、跟單測試例外事項分為設(shè)計層面和執(zhí)行層面兩大類。設(shè)計層面：應(yīng)有的控制不存在或者設(shè)計不合理。應(yīng)有的控制不存在具體表現(xiàn)在內(nèi)部控制手冊中沒有進行相關(guān)描述，通過測試發(fā)現(xiàn)，實際中也沒執(zhí)行該項控制。設(shè)計不合理具體表現(xiàn)在即使按設(shè)計實施控制，也達不到控制目標。實際執(zhí)行的控制沒有被記錄。已有的控制沒有在控制措施中進行描述。設(shè)計的

40、控制記錄不準確。主要是指控制措施描述不準確或不完整，已經(jīng)影響或很有可能影響控制的有效實施。如控制措施描述與實際執(zhí)行不相符，但實際執(zhí)行比描述更恰當。已有的控制缺乏必要的制度或制度不完善。實際執(zhí)行的控制，沒有在相關(guān)制度文件中規(guī)定或規(guī)定不準確、不完整。執(zhí)行層面：控制未執(zhí)行或執(zhí)行不完整。具體表現(xiàn)在，控制措施中描述的控制在實際中沒有執(zhí)行或執(zhí)行不完整，或者已執(zhí)行，但不符合相關(guān)規(guī)定?？刂茍?zhí)行程序錯誤。主要是指沒有按規(guī)定的程序執(zhí)行控制的作業(yè)步驟。(公司層面控制測試適用)缺少控制實施證據(jù)或?qū)嵤┳C據(jù)不完整。主要是指測試時沒有發(fā)現(xiàn)可以支持控制有效執(zhí)行的重要實施證據(jù)或控制實施證據(jù)不完整。如測試時沒有發(fā)現(xiàn)重要實施證據(jù)，

41、但有其他證據(jù)可以作為旁證來支持控制有效執(zhí)行。(公司層面控制測試適用)一般控制執(zhí)行不準確。該類問題是指一般控制在執(zhí)行過程中除完全沒有執(zhí)行之外的其他問題。(跟單測試適用)關(guān)鍵控制抽樣測試、信息系統(tǒng)總體控制測試例外事項分為以下七類：未按授權(quán)規(guī)定執(zhí)行控制。該類問題是指一項關(guān)鍵控制由未經(jīng)授權(quán)的崗位人員執(zhí)行或崗位人員的控制權(quán)限超過授權(quán)范圍?？刂茍?zhí)行不完整。該類問題是指在一項關(guān)鍵控制中，描述了多個作業(yè)步驟，但測試時發(fā)現(xiàn)實際只執(zhí)行其中的一部分，沒有完整執(zhí)行該項關(guān)鍵控制的所有作業(yè)步驟。控制執(zhí)行程序錯誤。該類問題是指在一項關(guān)鍵控制中，描述了多個作業(yè)步驟，但測試時發(fā)現(xiàn)實際執(zhí)行程序有誤，沒有按規(guī)定的程序執(zhí)行該項關(guān)鍵控制的所有作業(yè)步驟。不了解如何實施控制導(dǎo)致控制結(jié)果不正確。該類問題是指測試發(fā)現(xiàn)關(guān)鍵控制雖然存在實施證據(jù)，但是執(zhí)行控制的人員不了解如何實施控制， 造成控制結(jié)果不正確。e) 了解如何實施控制但控制結(jié)果不正確。該類問題是指測試發(fā)現(xiàn)關(guān)鍵控制雖然存在實施證據(jù)，執(zhí)行控制的人員也對如何實施控制比較了解，但 控制結(jié)果不正確。缺少重要實施證據(jù)。該類問題是指測試沒有發(fā)現(xiàn)可以支持控制有效執(zhí)行的重要實施證據(jù)?？刂茖嵤┳C據(jù)不完整。該類問題是指測試沒有發(fā)現(xiàn)重要實施證據(jù)，但有其他證據(jù)可