sox法案遵循内部测试工作介绍

《sox法案遵循内部测试工作介绍》由会员分享，可在线阅读，更多相关《sox法案遵循内部测试工作介绍（35页珍藏版）》请在金锄头文库上搜索。

1、SOXSOX法案遵循内部测试工作介绍法案遵循内部测试工作介绍 内控风险审计处内控风险审计处 2012.92012.9 2 目录目录 1 2 SOX法案介绍 测试工作概况 3 测试工作安排 3 SOXSOX法案出台背景法案出台背景 连续的会计丑闻 SOX 法案出台直接原因 20012001年年1212月月 美国安然 20022002年年6 6月月 世界通信 另外,环球电讯、施乐、默克制药等一批大公司会计丑闻接连曝光,涉嫌对投资者欺诈等 原因而申请破产保护 一系列丑闻一系列丑闻“彻底打击了（美国）投资者对（美国）资本市场的信心彻底打击了（美国）投资者对（美国）资本市场的信心”(Congress r

2、eport, 2002)。为了改变这一局面，美国国会和政府加速通过了萨班斯法案（以下简称为了改变这一局面，美国国会和政府加速通过了萨班斯法案（以下简称SOX法法 案）案）,该法案的另一个名称是该法案的另一个名称是“公众公司会计改革与投资者保护法案公众公司会计改革与投资者保护法案”。该。该法案的第一句话就法案的第一句话就 是是“遵守证券法律以提高公司披露的准确性和可靠性，从而保护投资者及其他目的。遵守证券法律以提高公司披露的准确性和可靠性，从而保护投资者及其他目的。“ 诚信危机震撼着 美国及国际社会 道琼斯、纳斯 达克、标准普 尔三大指数纷 纷下挫 4 SOXSOX法案内容法案内容 第一章 上市

3、公司会计监察委员会 第二章 审计师的独立性 第三章 公司的责任 (302 节) 第四章 强化财务信息披露 （404 节） 第五章 利益冲突的分析 第六章 证券监管委员会的组成及其权利 第七章 研究及报告 第八章 公司欺诈及其刑事责任 第九章 强化白领刑事责任 （906 节） 第十章 公司纳税申报表 第十一章 公司欺诈责任 最后修订完稿的SOX法案共分11章，包括1104节 SOX SOX 法案法案的的内容内容 主要涉及对会计 职业及公司行为 的监管 主要提高对公司 高管及白领犯罪 的刑事责任 要求美国审计总 署加强调查研究 5 SOXSOX法案内容法案内容（续）（续） 公司年报中必须声明： 管

4、理层有责任建立和维护适当内部控制 管理层就公司内部控制和财务报告程序的有效性的评价 上市公司的信息披露： 定期报告中必须包括公司内控程序的设计,以及运作缺陷 的披露 SOX SOX 法案第法案第 404 404 节要求节要求 SOX SOX 法案第法案第 302 302 节要求节要求 6 目录目录 2 1 测试工作概况 SOX法案介绍 3 测试工作安排 7 测试工作意义与目的测试工作意义与目的 测试、验证相关控制点的实际执行与内 部控制手册和内部控制矩阵描述的一致 性和实际执行的有效性。 向各公司管理层报告测 试结果及失效控制点的 改善建议，并监督改善 建议的整改落实。同时 ，就控制点可改进或

5、优 化之处向内部控制管理 部门提供建议。 为管理层出具公司内部控制评价报告以 及对各公司的经营绩效考核提供依据。 促进SOX法案遵循工作常 态化管理机制的有效落 实,推动公司内控管理水 平的提升，促进公司健 康持续发展。 测试工作 意义与目的 8 测试工作的特点、原则和目标测试工作的特点、原则和目标 原则原则 特点特点 目标目标 把握把握五五大特点大特点 遵循遵循四四大原则大原则 围绕围绕二二大目标大目标 强制性：资本市场的强制 要求。 重要性：为公司管理层出 具内部控制评价报告提供 合理保证。 覆盖面广：31省、区、市 公司、中国移动香港有限 公司、中国移动深圳有限 公司等35个单位。 工作

6、量大：涉及公司所有 业务流程，全部IT系统， 平均每个公司近700个控 制点。 对会计期间要求强：必须 覆盖财务披露的会计期间。 风险为导向 重要性 全覆盖 独立性 满足资本市场合 规要求 促进公司内部管 理的提升 9 测试体系建设测试体系建设 内审部通过整章建制，优化测 试组织管理和职责，完善技术 方法、加强质量监控和监督考 核等，逐步建立了以风险为导 向的SOX测试监督评价体系。 1 6 7 3 2 SOX测试测试 体系体系 制度建设制度建设 组织管理组织管理 技术方法技术方法 绩效考核绩效考核 报告机制报告机制 专业团队专业团队 4 质量监控质量监控 5 10 制度建设制度建设 内部控制

7、测试手册内部控制测试手册 内部控制测试工作管理办法内部控制测试工作管理办法 规定： SOX内部控制测试工作职责 分工 人员管理 测试周期 测试结果考核 保密制度 明确并规范SOX内部测试工作： 组织管理 目的和范围 测试实施原则 工作流程 测试工作步骤 测试方法 测试结果判断标准 问题影响分析 质量控制 对SOX测试工作进行统一规范和指导，保证测试工作的保证测试工作的规范化、标准化。规范化、标准化。 11 组织管理组织管理 内审部负责统一组织年度测试内审部负责统一组织年度测试 组建中介测试项目组和省公司测试项目组二支测试团队组建中介测试项目组和省公司测试项目组二支测试团队 根据历史测试结果、风

8、险评估结果、其他专项审计发现和管理层及根据历史测试结果、风险评估结果、其他专项审计发现和管理层及 外审关注重点，对控制矩阵中涉及的控制进行风险评估，并根据风外审关注重点，对控制矩阵中涉及的控制进行风险评估，并根据风 险评估结果险评估结果“高、中、低高、中、低”，对测试任务进行分层测试。，对测试任务进行分层测试。 中介测试项目组负责高、中风险控制的测试中介测试项目组负责高、中风险控制的测试 省公司测试项目组负责低风险控制的测试省公司测试项目组负责低风险控制的测试 统一组织统一组织 分层测试分层测试 分级负责分级负责 组织管理组织管理 内部测试 采取“统一组织，分层测试，分级负责”的方式开展SOX

9、 测试工作。 12 技术方法技术方法 测试工作底测试工作底 稿模板稿模板 为保证测试质量， 统一测试方法和步 骤，有效支撑审计 人员现场审计。针 对各控制点，设计 不同的测试方法和 步骤，编写了工作 底稿模板。 穿行测试穿行测试验 证内部控制设 计的有效性 执行测试执行测试验验 证内部控制执证内部控制执 行的有效性行的有效性 公司规模不断扩大，业务种类和范围 不断扩展，流程变化更新，内部矩阵 中原有的控制可能变得不足。 未按内部控制手册和控制矩阵的规定 执行内控措施。 测试方法测试方法 查询 审阅 实地观察 重复验证 实物盘点 分析程序 13 技术方法（续）技术方法（续） 内部测试 穿行测试

10、执行有效 性测试 穿行测试是指根据经管理层审批的内 部控制手册和控制矩阵内容，选择具 有代表性的相关经济交易事项作为测 试样本，对贯穿业务流程中所有控制 点进行检查的活动。 执行有效性测试是指根据既定的抽样 原则、方法和样本量规定，对控制点 是否按照内部控制手册和控制矩阵的 规定执行进行检查的活动。 主要是检查实际流程与内部控制手册和控制 矩阵中控制点的描述是否相符，同时可根据 公司各项业务、流程和系统的发展和变化情 况，对内部控制设计的有效性进行评估。 是指对控制点的实际执行情况进行验证， 确定控制点是否按照总部和各公司内部控 制手册的规定有效执行，并向公司管理层 汇报测试结果及失效控制点的

11、整改建议， 监督整改落实情况，为中国移动出具内控 评价报告提供依据。 14 技术方法（续）技术方法（续） 其他公司的省公司及所辖地市分公司原则 上作为一个独立测试单元进行测试。基于 重要性水平的考虑，对其中资产或运营收 入或税前正常业务利润等等于或超过重要 性水平的地市分公司在测试中应予以重点 测试，必要时也可作为一个独立测试单元。 独立测试单元进行测试的单位包括总 部、投资公司、北京公司、天津公司、 上海公司、重庆公司、海南公司、深 圳公司和中国移动香港有限公司。 内部测试范围包括各测试单元所适用 的全部控制点。 测试范围覆盖总部和各公司与财务 报告相关的公司层面、信息技术和 流程层面的相关

12、控制。 测试范围 总部内审部原则上每年均要组织内部测试，根据年度审计项目计划， 内部测试可采取一次集中测试或分阶段滚动循环测试等多种方式进 行。 测试周期 内部测试范围、周期内部测试范围、周期 15 15 技术方法（续）技术方法（续） 穿行测试和执行有效性测试工作步骤分为计划、执行、分析测试结果和汇 报等几个阶段。 穿行测试工作步骤： 穿行测试 工作底稿 内部控制测 试发现表 测 试 工 作 核 对表 穿行测试工作 底稿汇总表 测 试 工 作 计划表 召开测试项 目工作启动 会 开展穿 行测试 分析测试结 果并编写 测试报告 测试工作 质量检查 计划测试工 作 召开测试项 目工作结束 会 穿行

13、有效 和无效 内 部 控 制 测 试报告 穿行测试工作步骤及程序穿行测试工作步骤及程序 16 技术方法（续）技术方法（续） 1 测试员应通过查询、检查文档、现场观察等方法，根据内部控制手册和控制矩 阵中对控制点的描述，验证业务流程中控制点的执行情况是否按描述执行，同 时可根据实际需要评估控制设计的有效性，并把测试结果详细记录在穿行测 试工作底稿中。 2 为有效验证控制点的执行情况是否与描述一致，测试员应选取最近年度中相关业 务流程中有代表性的经济交易事项作为测试样本，追踪测试样本从经济交易事项 的发生至反映在财务报告中的整个流程，复印相关交易涉及的全部文档单据资料。 或从财务报告的会计科目出发

14、，反向追踪至经济事项的发生的整个流程，并获取 相关执行情况的截屏或文档。 3 测试员需要按计划进度及时将工作底稿提交质量监控员审阅。测试员也应根据质 量监控员意见完善工作底稿。测试员完善工作底稿后，应把最终测试结果填写在 相关附件中，作为统计测试结果的依据。 4 质量监控员应根据测试的时间计划督促各测试员按时提交工作底稿并进行审核； 质量监控员的审核工作应每天按序进行，检查工作底稿的记录、所抽取实际样本 和测试结果的一致性，按本手册规范对其各项内容的完整性、支撑资料的充分性 进行审阅；质量监控员应确保测试工作已按计划全部完成、测试底稿已全部收集。 穿行测试工作步骤及程序（续）穿行测试工作步骤及

15、程序（续） 17 复印的文件和单据应按照流程步骤进行顺序汇总编号。 对因业务流程、组织架构、信息系统等发生变化，测试员审视控制矩阵 的描述及控制是否需进一步更新、完善，并提出相关优化、更新建议。 技术方法（续）技术方法（续） 穿行测试注意事项 穿行测试工作步骤及程序（续）穿行测试工作步骤及程序（续） 18 18 执行无效 内 部 控 制 测 试报告 执行有效性测 试工作底稿 内部控制 测 试发现表 测 试 工 作 核 对表 执行有效性测 试工作底稿汇 总表 测 试 工 作 计划表 召开测试 项目工作 启动会 测试执行 有效性 分析测试结 果并编写 测试报告 测试工 作质量 检查 计划测试 工作

16、 量化测试 结果 召开测 试项目 工作结 束会 执行有效 技术方法（续）技术方法（续） 执行有效性测试工作步执行有效性测试工作步骤及程序骤及程序 19 技术方法（续）技术方法（续） 1 测试员在测试年度内抽取样本进行测试，并记录有关测试结果。通过查询、检 查文档、现场观察、重复验证等方法来确定该控制点是否有效执行，并将测试 结果详细记录在执行有效性测试工作底稿中。 2 测试员需要按测试时间计划及时将已完成的测试工作底稿和有关样本的原始文档 提交质量监控员进行质检。测试员也应根据质量监控员意见完善工作底稿的编制； 测试员完善工作底稿后，应将最终测试结果准确填写在相关附件中，作为统计测 试结果的依据。 3 质量监控员应根据测试时间计划督促各测试员按时提交工作底稿并进行审核； 质量监控员的审核工作应每天按序进行，检查工作底稿的记录和所抽取