kpmg_sox_法案内部控制矩阵培训资料.pptVIP

中国移动（香港）有限公司《萨班斯-奥克斯利法案》第404条款内部控制项目 记录与财务报告相关的内部控制 总部和省公司层面内部控制记录的基本框架和内容 省公司层面记录与财务报告相关的内部控制 编写内部控制矩阵的目的 提炼关键控制点并编制内部控制矩阵 会计报表认定 存在或发生（Existence or Occurrence） 完整性（Completeness) 权利和责任（Rights and Obligations ） 计价或分摊（Valuation or allocation ） 表述和披露（Presentation and Disclosure） 控制的频率与样本量 测试内部控制时，所选取的样本量主要取决对于控制的性质（例如自动控制还是人工控制）、控制发生的频率等。考虑控制发生的频率，通常建议对人工控制进行测试的样本量为： 控制的类型 控制的类型 一些注意事项 穿行测试 穿行测试（续） 关键成功要素 人力资源 省公司配备前期参与省公司业务流程记录的人员，对地市公司内部控制自查工作进行指导 地市公司各业务部门和控制负责人的充分参与 落实到位的培训，使地市公司人员了解工作步骤和方法；使相关人员了解内部控制矩阵的编写方法 地市公司自查 充分利用省公司的业务流程记录（包括其中对关键控制点的描述） 建立完整的地市公司自查的工作底稿（包括穿行测试资料） 在地市公司自查过程中建立处理例外事项的相关程序，确保内部控制缺陷的及时汇报 及时监控内部控制自查工作的完成情况，确保对整体工作时间表的遵循 修补内部控制设计缺陷的基本步骤 内部控制设计缺陷汇总和修补计划 关键成功要素 人力资源 落实到位的培训 足够的具有内部控制知识的人员，统一对缺陷修补工作进行指导 制定修补计划 针对流程层面的人工控制、自动控制以及信息技术整体控制的不同特点分别建立内部控制缺陷修补计划 当地管理层的支持；确保管理层可及时确认在内部控制记录阶段发现的控制缺陷，从而及时制定修补计划 对于涉及系统修改的控制缺陷，尽早确定修补计划 进行缺陷修补 按照既定时间表落实修补措施 建立流程负责人/控制负责人的问责制 对于普遍存在的内部控制缺陷，确保在不同的业务单元采取统一的修补措施 对于可能导致流程层面显著缺陷或实质性漏洞、涉及系统修改的控制缺陷，要求可能存在类似问题的业务单元在记录工作开始前进行自查和修补 由于时间紧迫，如不能如期（在2006年6月30日以前）落实修补措施，考虑制定应急措施并确保补偿性控制的有效性 对于2006年12月31日仍不能得以修补的内部控制缺陷，按照既定的缺陷评价框架进行分类，包括一般缺陷、显著缺陷和实质性漏洞，并考虑缺陷的合并影响 实施什么控制活动 ？ 控制活动 执行该控制点所规避的风险及控制目标？ 控制目标 即谁来执行这项控制程序，其所属的部门、职位是什么 谁 如何实施该项控制 ？人工/自动？ 如何做 该项控制执行后会留下什么证据，例如会留下签字痕迹、会留下书面文档、单据、报告、会在系统中留下痕迹等 证据 差异如何处理？ 跟进措施 什么时候来执行这项控制，例如是某项业务的发生时，还是结束时；以及这项控制的发生频率，例如每年，每季，每月，每周，每天还是频繁发生 何时 参照省公司内部控制记录中所列示的主要控制点，地市公司记录与财务报告相关的内部控制点应关注的七要素： 地市公司层面记录与财务报告相关的内部控制（续） 穿行测试是一种常见的对内部控制的测试、评估方法。穿行测试的目的在于： 穿行测试的目的 确认流程是否与记录相符； 确认流程中与财务报告相关的内部控制的设计是否与记录相符，包括与发现或防止舞弊相关的控制； 通过确定是否流程中可能出现的与每个财务报告认定相关的错报的风险点均被识别，来确认对于流程的记录是否完整； 评价内部控制设计的有效性； 确认相关内部控制程序是否已经被实施 穿行测试并不能保证内部控制得以有效、一贯的得到执行，这需要对内部控制进行符合性测试来确定。 穿行测试的具体操作是选取最近会计期间，相关业务流程中一笔具有代表性的、能够证明相关控制存在的交易，跟踪交易从发起、授权、记录、处理和报告的全过程，复印该笔交易所涉及的全部文档单据资料 穿行测试文档应选择能够证明相关控制得以执行的版本，而不是空白格式 重点关注控制执行的痕迹，例如签字授权是否落实到位等 穿行测试所复印的文件和单据应按照流程步骤进行的顺序汇总编号 对核对、审批等控制点在文件和单据上所显示的信息（如执行人签名等），应用荧光笔高亮显示 穿行测试的方法 开始 确保修补措施一定时间内运行有效 记录/报告缺陷修补 结果 结束 评价修补结果 修补 运行 报告结果 确定缺陷弥补的优先级 明确实施修补的人员的角色和责任 确定进行缺陷修补的时间表 对缺