内部控制测试管理规定.docx

第PAGE\*Arabic

第PAGE\*Arabic2页共NUMPAGES14页

1目的

为了规范公司内部控制测试管理，明确测试方法及程序，确保发现的例外事项得到有效整改，保障内部控制体系长期有效运行，制定本规定。

2范围

本规定适用于公司机关各部门、所属各单位。控股公司、实际控制企业应通过法定程序执行本办法，参股公司参照执行。

3术语和定义

3.1内部控制测试

本规定所称内部控制测试是指按照规定的程序、方法和标准，对公司内部控制体系设计有效性和执行有效性进行检查，旨在发现内部控制体系在设计层面和执行层面是否存在偏差。

3.2例外事项

本规定所称例外事项是指内部控制体系设计层面和执行层面与相应的规范、标准、要求之间存在的偏差。

4职责

4.1企管法规部（内控与风险管理部）

4.1.1组织开展公司自我测试；

4.1.2协调外部测试、集团公司管理层测试；

4.1.3汇总例外事项，出具内控测试报告；

4.1.4组织召开例外事项分析会、下达整改通知、跟踪整改情况。

4.2机关各部门及所属输油气单位

4.2.1负责本部门或本单位各项内部控制流程及其控制措施的有效实施并进行日常监督，定期开展自我测试；

4.2.2机关各部门负责提出本专业相关例外事项的整改意见和建议，并修改完善相关流程和制度；

4.2.3所属单位内控工作主管部门落实例外事项的整改，并跟踪整改进展，编制例外事项整改情况反馈表报企管法规部（内控与风险管理部）。

5管理内容

5.1概述

本规定文件从测试类型、测试方法、测试方式、测试程序等方面规定了内部控制测试工作程序和管理要求。

5.2测试类型

5.2.1公司层面控制测试

针对公司层面控制涉及的职业道德、高管基调、组织结构、权利和责任分配、培训、业绩考核、人力资源政策、反舞弊程序与控制、内部审计等主题进行的测试。

5.2.2业务活动层面跟单测试

在业务流程中选取一笔业务，从业务发生开始，一直追踪到该笔业务反映到公司财务报告的测试过程。

5.2.3业务活动层面关键控制测试

以内部控制管理手册为标准，采用抽样测试的方法，对业务活动层面关键控制执行的有效性进行的检查。

5.2.4信息系统总体控制测试

结合集团公司信息系统总体控制管理文件的要求，对信息系统管理的各项控制活动运行有效性进行的检查。

5.3测试方法

5.3.1询问

可以采用访谈和调查问卷两种方式。访谈对象必须是该项控制或业务流程中的关键执行岗位，如果无法访问，也可以访谈部门负责人或其他熟悉该项控制的人员。通过询问了解被访谈人对该控制措施是否理解，是否知晓如何实施控制。

5.3.2观察

主要是针对有必要观察的正在实施的控制或步骤进行现场见证，获取控制证据。

5.3.3检查

是以样本代表总体，通过抽样的方式检查样本，判断控制总体执行情况的一种方法。测试人员在确定样本总体、选取样本、确定样本量时应依据一定的方法进行，其中样本总体、样本量的确定见附录A。

5.3.4再执行

主要是对需要通过再执行验证执行有效性的关键控制，由测试人员通过重新执行该项控制，检查该控制实际执行结果是否有效。

5.4测试依据

5.4.1适用的国家政策法规、集团规章制度和公司体系文件；

5.4.2国家石油天然气管网集团有限公司内部控制管理手册；

5.4.3国家管网集团内部控制管理手册（北方管道公司分册）；

5.4.4国家管网集团内部控制管理手册（北方管道公司控股子公司分册）。

5.5测试覆盖率

5.5.1公司自我测试

测试覆盖率达到重要业务流程不低于70%，关键控制点不低于90%，所属单位数量不低于50%。

5.5.2所属单位自我测试

测试覆盖率达到重要业务流程不低于80%，关键控制点不低于95%。

5.6测试程序

5.6.1准备阶段

5.6.1.1制定测试计划。结合公司业务及所属单位地理分布，合理制定每家所属单位的现场测试时间，对测试范围、测试期间和重点关注问题予以说明。

5.6.1.2成立测试组。从公司机关各部门、所属单位抽调人员或借助中介力量组成测试组，确定组长、组员。

5.6.1.3下发测试通知。通知内容包括测试的范围、时间安排及被测试单位（部门）等。

5.6.1.4阅读资料。测试人员根据测试分工查阅涉及的制度、流程图、风险控制文档等资料，初步了解公司控制现状。

5.6.1.5账号申请。根据集团公司系统测试要求，所属单位采用系统开展测试，需向企管法规部（内控与风险管理部）申请测试账号，并对测试人员进行测试系统操作培训。

5.6.2现场测试

5.6.2.1根据需要召开测试见面会。由被测试单位内控主管部门组织召开，参加人员为内控工作主管领导、各部门负责人和内控联系