內部控制測試管理手冊

德信誠培訓網

內部控制測試管理手冊

1目的

為規范公司內部控制測試管理，明確內部控制測試基本要求、基本目標、基本依據、

測試基本方法及基本程序,制定本手冊.

2范圍

本手冊適用于公司各部門、所屬各單位內部控制測試工作管理。3術語和定義

3o1內部控制測試

本手冊所稱的內部控制測試是指按照規定的程序、方法和標準，對公司內部控制體系

設計的有效性和執行有效性進行檢查.

3.2跟單測試

本手冊所稱的跟單測試是指在重要業務流程中選取一筆業務，從業務發生開始，一直

追蹤到該筆業務反映到公司財務報告的測試過程.3.3關健捽制抽樣測試

本手冊所稱的關鍵控制抽樣測試是以《內部控制管理手冊》為標準，采用抽樣測試的

方法，對業務活動層面關鍵控制執行的有效性進行的檢查.3。4內部控制審計

本手冊所稱的內部控制審計是指針對公司內部控制設計和運行的有效性，由公司黨群

工作處具體實施內部控制測試的過程。

3.5自我測試

更多免費資料下載請進：好好學習社區

德信誠培訓網

本手冊所稱的自我測試是指針對內部控制設計和運行的有效性，由內部控制工作主管

部門具體實施的檢查過程。

3。6補充測試

本手冊所稱的補充測試是者對前期內部控制測試中公司層面和跟單測試中樣本不足的

控制進行測試，對未抽足樣本的關鍵控制進行補充抽樣，以充分發現內部控制體系執行有

效性方面的問題。

3.7改進測試

本手冊所稱的改進測試是指對前期內捽測試中發現的例外事項，在財務處下發改進意

見并經過有效時間運行后進行的檢查。

3。8更新測試

本手冊所稱的更新測試是指針對資產負債表日（12月31日）前60日，經過前期普華

外審、股份公司管理層測試和公司自我測試后，已抽足樣本而無例外事項的控制;以及發現

了例外事項，經改進測試已尢例外且抽足樣本的控制進行的檢食.

3。9例外事項

本手冊所稱的例外事項主要是指在內控體系設計和執行方面與相應的標準、規范、要

求存在差異的事項.

4職責

4.1財務處

4.1。1是內部控制測試工作的主管部門，負責編寫測試管理規定并做好維護工作；

更多免費資料下載請進：好好學習社區

德信誠培訓網4。1。2負責制定公司自我測試工作方案。

4.L3絹織開展公司自我測試。

4.1。4協調外部內部控制審計、股份管理層測試工作，并與外部審計師進行溝通.

4.2黨群工作處（審計監察處）（以下簡稱黨群工作處）

負責組織制定公司內部控制審計實施方案并組織實施.

公司各部門及所屬單位43

4。3。1負責本部門或本單位內控體系測試工作的具體實施；

4。3。2負責本部門或本單位各項內部控制流程及其控制措施的有效實施并進行日常

監督,定期開展自我測試；

4。3.3積極配合內部控制測試工作。

5管理內容

5。1基本要求

5.1.1測試內容

測試主要包括以下內容:

a）根據設計和運行有效性評價的要求，對公司層面、業務活動層面和信息系統總體

控制有效性分別進行測試；

b）對測試發現的例外事項進行分類確認說明；

c）根據測試結果，編制測試報告。

更多免費資料下載請進:好好學習社區

德信誠培訓網5.1.2測試覆蓋率

a）公司自我測試：測試覆蓋率達到重要業務流程不低于70%,關鍵控制點不低于

90%,所屬各單位數量不低于50%.

b）所屬各單位自我測試：測試覆蓋率達到重要業務流程不低于70%,關鍵控制點不

^氐于90%。

5.1.3測試的執行方式

測試有兩種執行方式，在ARCM內控測試系統中執行測試和采取手工記錄方式執行

測試。

5.1.4測試結果的記錄

a）采用ARCM內捽測試系統開展測試時,按照系統要求填制，具體要求參見附錄A

《內控測試系統使用手冊》。

b）采用手工方式開展測試時，按照"5。3-5.6"中規定的管理內容及所提供的表單

模板進行記錄。

5.2測試工作的組織流程

5。2.1公司組織開展測試的組織程序

5。2.1.1測試組織與職責

a）測試組織部門主要職責：

1）組織編制測試方案，確定測試任務和要求；

2）協調人員、時間安排；

3）現場測試結束后，組織召開測試結果研討會，確定測試例外事項及更多免費資料

下載請進:好好學習社區

德信誠培訓網管理薄弱環節；

4）審核各測試組的測試底稿及測試報告，編制測試總報告；

5）按照要求下達測試整改意見，組織開展后續例外事項整改結果跟進,并適時絹織現

場改進測試。

b）測試組長主要職責：

1）組織做好測試組人員分工及協調工作；

2）負責與被測試單位的I辦調與溝通；

3）對具體測試工作的進度和質量、上報測試資料的準確性及完整性負責。

c）測試員主要職責：

1）按時間進度完成測試任務；

2）對測試發現的問題，收集復印相關資料，并提出整改建議；

3）對測試內容的質量及準確性負責。

5.2。1.2準備階段

a）制定測試方案:測試組織部門人員制定測試方案，由部門領導審核批準。

b）下發測試通知:通知內容包括測試的范圍、時間安排及被測試單位名單等。

0組織測試人員集中培訓：測試絹織人員將測試計劃、時間安排、要求予以說明。

5。2。1.3測試階段

更多免費資料下載請進:好好學習社區

德信誠培訓網

a）與被測試單位人員溝通，召開見面會。

見面會由被測試單位內控主管部門組織,參加人員為所屬單位內控工作主管領導、各

部門負責人和內控聯系人以及測試組全體人員。會議內容包括：

1）被測試單位介紹參會人員、單位情況及內控體系建設情況；

2）測試組長宣讀測試文件，并將測試的內容、時間安排、測試期間、形式、類型等

相關內容進行說明。

b）開展現場測試。

測試人員對各崗位人員進行訪談、測試，測試中應注意：

1）被測試崗位人員辦公室條件不允許或涉密可在集中辦公區進行訪談、測試;

2）為避免打擾被測試支付人員曰常工作，抽樣、錄入盡量在集中辦公區進行」日一

定要保證抽樣資料完整、完好歸還；

3）測試時注意談話用語、確保充分溝通；

4）測試中如發現問題，需與崗位人員確認并及時與組長進行溝通，切忌武斷，確認

例外事項需提供充分的依據；

5）每天測試工作結束后，測試組人員集中討論、分析當日的測試工作進展情況，保

證獲取被測試單位信息的共享，組長掌握測試進度.

c）溝通測試結果。

測試任務完成后，測試組組長根據測試的情況和問題與被測單位內控負責人進行溝

通、確認，如有異議，將問題及相關證據帶回。

d）得出測試結論。

與被測試單位充分溝通后,測試組長組織測試組人員進行集中討論、分析，更多免費

資料下載請進：好好學習社區

德信誠培訓網得出測試結論。

5。2.1。4總結階段

a）測試組完成測試報告及報表.

測試組組長按要求整理測試報告并填制相關表單；系統測試需在系統內審核通過各項

測試內容并生成報表。

b）測試組匯報測試情況.

測試組按要求向公司測試組織部門匯報測試工作的結果，測試組組長總結測試過程中

的問題及測試組成員的工作表現。

c）總結測試情況。

將各測試組測試報告及表單匯總，形成總的測試報告及分析材料。5。2.2所屬單位開

展自我測試的組織程序

5.2。2。1準備階段

a）制定測試方案，下發測試通知，通知內容包括測試的范圍、時間安排及測試部門

等.

b）召開自我測試準備會。

所屬單位內控工作負責人組織召開自我測試準備會，確定測試人員，成立測試組，對

測試計劃、測試內容、方式和具體關注問題予以說明。如采用ARCM測試系統開展測

試，需向財務處申請測試賬號，并對測試人員進行測試系統操作培訓。

5。2。2.2測試階段

a）組織召開測試專題會。

更多免費資料下載請進：好好學習社區

德信誠培訓網

測試專題會由分公司內控主管部門組織，參加人員為內控工作主管領導、各部門負責

人和內控聯系人及測試組全體人員。會議內容包括：

1）測試組組長介紹測試人員，宣讀測試文件，并將測試的內容、時間安排、測試區

間、形式、類型等相關內容進行說明；

2）內控主管領導提出具體工作要求。

b）開展現場測試。

測試人員到各崗位進行訪談、測試，測試中應注意事項與"5。2.1。3b）"的內容相

同。

c）溝通測試結果。

測試仟務完成后，測試絹組長就測試的情況和問題與被測部門、身位進行溝通、確

認。

5。2。2.3總結階段

a）完成測試報告及報表.

測試組組長按要求整理測試報告并填制相關表單;系統測試需審核通過各項測試內容

并生成報表.

b）匯報測試情況。

測試組組長向所屬單位管理層將測試的情況和問題予以二報并進行總結；將測試報告

及相關資料報送公司財務處。

5.3公司層面控制測試

5.3.1測試目的

通過公司層面控制測試，查找內控設計和執行方面的問題，確保公司內部各個領域都

有適當的控制機制在發揮作用。

更多免費資料下載請進：好好學習社區

德信誠培訓網5.3。2測試依據

a）公司層面控制測試內容與步驟。（參見附錄B）;

b）《內部控制管理手冊》（西南管道分公司分冊）。

5。3。3測試方法

公司層面控制測試主要采用詢問、觀察、檢查等方法。

a）詢問可以采用訪談和調查問卷兩種方式.訪談對象必須是執行該項控制的崗位人

員，如果無法訪問，也可以訪談部門負責人或其他熟悉該項控制的人員。

b）觀察主要是針對正在執行的控制或步驟進行現場見證。

c）檢查是以樣本代表總體，通過抽樣的方式檢查樣本判斷控制執行情況的一種方

法。

5.3.4測試程序

公司層面控制測試程序可以劃分為準備階段、實施階段和總結階段，測試程序中相關

的手工測試表單參照"8記錄”中的相關內容.

5.3.4。1準備階段

準備階段是指從發出測試通知，測試絹進駐被測試單位開始，直至完成測試計劃的丁

作過程。這一階段的主要工作如下：

a）測試組根據測試范圍取得并審閱附錄B《公司層面控制測試內容與步驟》中涉及的

文件、規章制度等資料（包含地區公司補充控制措施的資料）;并依據公司控制措施補充說

明及相關的文件制度，初步了解公司層面控制現狀。

b）擬定測試步驟。依據附錄B《公司層面控制測試內容與步驟》中“測試步驟，結

合"地區公司補充控制措施"，編寫具體測試步驟。若采用ARCM更多免費資料下載請

進:好好學習社區

德信誠培訓網測試系統執行方式，在系統中填列，若采用手工執行方式，在《公司層

面測試表》中填列。擬定測試步驟時應保持"內控關注要點"、”地區公司補充控制措施

\"具體測試步驟”等在內容上的一致性.

c）測試組人員根據初步了解的情況，與被測試單位進行溝通，確定測試時間，制定測

試計劃。

5。3.4。2實施階段

實施階段是指從完成初步計劃并開始實施，直至完成全部測試步驟的工作過程。這一

階段的主要工作如下：

a）對執行控制的崗位人員進行訪談。通過訪談，了解該同位人員是否真正理解所執行

的捽制，并對設計層面初步分析存在的問題進行了解,同時記錄訪談結果.

b）結合訪談結果，進一步完善測試計劃.

c）選取樣本，如果從測試起始時間到截止時間，由于業務發生量的限制，無法取得滿

足要求的樣本量，則應該選取已有的全部樣本，同時記錄樣本的選取情況.選擇樣本時主

要按照與財務報告內部控制相關的原則進行抽樣。抽樣時考慮的因素：

1）所抽樣本與財務報告內部控制有效性的關聯程度.

2）以前年度測試易出現例外事項的樣本范圍。

3）當年公司層面控制變化情況.

4）業務活動控制運行有效性方面已知的或已發現的例外事項，此例外事項的產生可

能是由于公司層面的控制設計和執行不當所致。

d）對樣本進行檢查。

更多免費資料下載請進：好好學習社區

德信誠培訓網

檢查內容有：設計的控制在實際工作中是否執行；控制執行是否與該控制對應的文件

規定相符合，目留下了重要實施訐據，同時對設計有效性測試發現的例外事項通過椅杳樣

本進一步驗證是否是設計方面存在問題.通過抽樣的方式檢查控制實施證據時，如果發現

所抽取的樣本不能完全達到測?式目的時，應把抽取樣本的相關情況記錄下來，再另行抽取

樣本。

e）通過測試發現在相關控制方面出現不容易理解或有異議，不能達到測試目標，應進

一步與相關人員進行訪談或重新進行測試.

f）記錄公司層面控制測試過程及結果.

測試過程中，根據測試情況在《公司層面控制測試表》中記錄測試信息。測試時應對

重要的信息進行記錄；對測試發現的例外事項的相關證據取得復印件或掃描件，沒有例外

事項的只需要在相關表單中進行記錄，不需取得復印件或掃描件.

5.3。4.3總結階段

總結階段是指測試人員完成全部測試后，對測試內容進行整理分析的過程，該階段具

體工作步驟：

a）匯總整理《公司層面控制測試表》，將相應內容整理至《公司層面控制測試例外

事項匯總表》，并由測試組長進行復核。

b）對測試結果進行分析。

對測試發現的例外事項進行詳細的說明，分析例外事項產牛的原因。對于改進測試發

現的未整改的例外事項，應考斷卜充及補償控制并進行測試、記錄.

C）對測試結果進行溝通確認。

對測試發現的問題與相關人員進行充分溝通，最終達成一致意見后由被測試單位相關

人員簽字確認。如被測試單位存在異議，可將其意見一并上報測試更多免費資料下載請

進：好好學習社區

德信誠培訓網組織部門。

5.4業務活動層面跟單測試

5。4。1測試目的

a）熟悉和理解業務流程.

b）驗證公司確認的重要風險和關鍵控制的完整性和合理性。

c）檢查公司是否制定了與控制實施相關的制度。

d）確認的控制（一般控制和關鍵控制）是否被有效執行，該控制執行后能否防范風

5.4。2測試依據

《內部控制管理手冊》（西南管道公司分冊）。

5。4。3測試方法

跟單測試方法主要有詢問、觀察和檢查。

a）詢問主要采用訪談的方式，訪談對象原則上是業務流程中的關鍵執行人員，如果無

法直接訪談，也可以訪談部門負責人或其他熟悉該流程的人員。

b）觀察針對有必要觀察的正在執行的控制或步驟進行現場見證，獲取控制證據。

c）檢直在跟單測試中包百兩個方面，一方面對文件制度的檢查，重點是文件制度中

是否做出相關規定；另一方面是對實施證據的抽樣檢查，抽取的樣本應能夠貫穿重要業務

流程的全過程，具有代表性和普遍性原則上跟單測試只抽取小樣本。

5.4。4測試程序

更多免費資料下載請進：好好學習社區

德信誠培訓網

跟單測試工作過程分為準備階段、實施階段、總結階段，測試程序中相關的手工測試

表單模板參照"8記錄"中的相關內容.

準備階段

5O4O4O1

準備階段是指從發出測試通知后，測試組進駐被測試單位開始，直至初步完成測試計

劃的工作過程。這一階段的主要工作如下：

d）審閱被測試單位適用的風險控制文檔、流程圖等相關資料初步了解業務活動層面

的重要風險及關鍵控制措施。如果被測試單位的流程圖和風險控制文檔不能使測試人員了

解被測試單位的流程，應及時與被測試單位溝通，并進一步理解內部控制文件描述的內

容。

b）若采用手工執行方式，編制詳細的《跟單測試計劃表》，內容包括需要訪談的崗位

名稱，訪談的時間等。通過編制跟單測試計劃表，協調雙方的時間安排，提高工作效率。

5。4.4.2實施階段

實施階段是按照計劃完成所有測試步驟的工作過程。被測試單位主要根據測試要求，

配合測試人員工作。這一階段的主要工作如下：

a）椅杳被測試單位風險控制文檔描述的重要風險和關蟀捽制是否與公司一致，如果

不一致，分析其原因并做出記錄。

b）訪談業務流程的相關人員，了解業務流程的運行情況與變化情況，重點關注:

1）公司確定的重要風險和關鍵捽制在被測試單位是否被采用，并在哪些身位實施;

2）被測試單位業務流程中存在的特殊重要風險是否被識別，相應的關鍵控制是否被確

認并準確記錄；

更多免費資料下載請進：好好學習社區

德信誠培訓網

3）了解以前年度存在問題的整改情況，并在設計層面初步分析整改后是否達到了控

制目標，分析其合理性.

c）對有必要觀察的正在發生的特定控制進行觀察，進而獲取控制證據。

d）抽樣檢查樣本。

選取有代表性的樣本進行檢查，重點關注以下方面：

1）公司設計的控制是否被有效執行，該控制執行后能否防范相關的重要風險；

2）通過抽取樣本進一步臉證訪談結果是否準確（即公司業務流程中存在的特殊重要

風險是否被識別，相應的關鍵控制是否被確認并準確記錄）.

3）在跟單測試中,抽樣需考慮：樣本能夠代表重要業務流程中的主要業務類型，具

有一定的普遍性。

4）對于設計方面文本規范性的問題，主要是指控制描述不規范，但不影響控制設計

與執行的有效性的問題，如：風險控制控制文檔與流程圖不一致，但控制執行有效、控制

實施證據描述有誤、流程描述中格式欠缺、風險點及控制點標注不準確及其他文本規范性

問題。測試人員在測試過程也應關注此類問題，在測試結束后與被測單位進行溝通，提出

整改建議。此類文本規范性問題可以不作為例外事項，不在測試表和匯總表中體現，但測

試報告中應按類別反映測試情況.

e）在檢查樣本時，應結合公司設計有效性測試發現的問題，通過檢查樣本進一步驗證

設計方面發現的問題.對執行層面發生的例外事項，應分析例外事項產生的原因，是否是因

為設計方面存在問題而產生例外事項。

f）測試完畢后，若采用手工執行方式，根據測試結果，針對產生例外事項的流程填寫

《跟單測試例外事項匯總表》內容；若采用ARCM測試系統執行方更多免費資料下載請

進:好好學習社區

德信誠培訓網式，在系統中按要求記錄測試結果。復臼或掃描例外事項涉及的相關

證據。5。4.4。3總結階段

總結階段是指測試人員完成全部測試后，對測試內容進行整理分析的過程，該階段具

體工作步驟：

a）填列完整并整理《跟單測試例外事項匯總表》，并由測試組長進行復核。

b）對測試結果進行分析.

對測試發現的例外事項進行詳細的說明，分析例外事項產生的原因.對于改進測試發現

的未整改的例外事項，應考慮補充及補償控制并進行測試、記錄。

c）對測試結果進行溝通確認.

對測試發現的問題與相關人員進行充分溝通，最終達成一致意見后由被測試單位相關

人員簽字確認.如被測試單位存在異議，可將其意見一并上報測試組織部門。

5。5業務活動層面關鍵控制抽樣測試

551測試目的

杳找關鍵控制執行方面存在的問題，確保設計有效的關鍵控制在公司得到有效執行。

5。5.2測試依據

a）關鍵控制抽樣測試內容與步驟（參見附錄C）;

b）《內部控制管理手冊》（西南管道公司分冊）。

5。5。3測試方法

更多免遇資料下載請進：好好學習社區

德信誠培訓網

關鍵控制抽樣測試主要采用詢問、觀察、檢查、再執行等方法。

a）詢問對象原則上是執行該項控制的人員.如果無法訪問也可以訪談部門負責人或其

他熟悉該項控制的人員。通過詢問了解被訪談人對該控制措施是否理解，是否知曉如何實

施控制。

b）觀察針對有必要觀察的正在實施的關鍵控制進行現場見證，獲取控制證據.

c）檢查是以樣本代表總體，通過抽樣的方式檢有樣本，判斷關鍵控制總體執行情況的

一種方法。測試人員在確定樣本總體、選取樣本、確定樣本量時應依據一定的方法進行。

d）再執行主要是對需要通過再執行驗證執行有效性的關鍵控制，由測試人員通過重

新執行該項控制，檢查該控制實際執行結果是否有效.554樣本總體的確定

樣本總體包括構成某類交易和事項的所有項目，測試人員應當確保樣本總體的適當性

和完整性。

a）適當性。

測試人員確定的樣本總體應適合于特定測試目標。如:材料入庫驗收數量控制中，控

制目標為保證入庫物資數量計量的準確性，樣本總體成為材料入庫數量驗收事項,而不應

是材料入庫質量驗收事項。

b）完整性。

測試人員應從樣本總體項目內容和涉及時間等方面確定樣本總體的完整性.如:固定資

產報廢控制中，測試人員不僅要了解財務賬所反映的報廢項目情況，還要結合其他相關資

料（如相關審批文件、會議紀要等）確定樣本總體，以保證樣本總體為全部資產報廢事項。

更多免費資料下載請進：好好學習社區

德信誠培訓網5。5.5樣本的選取

5.5。5。1分層

測試人員在選取樣本時要考慮樣本是否具有不同的特征，如果有，就要考慮分層。將

一個樣本總體根據特征分成多個子總體，每個子總體具有相同特征。抽樣范圍要涵蓋全部

子總體。測試人員可以按以下方式分層：

a）按明細科目分層。如銀行存款科目一般按照不同的賬戶設置明細科目，在檢查銀行

存款余額調節表時可以按銀行賬戶明細科目分層抽取樣本；在椅杳聘用報銷時，可以按管

理費用、財務費用、銷售費用等科目分層。

b）按業務類型分層.如采購業務可以按招標項目、非招標項目分層。

0按權限分層。如固定資產報廢事項可以按公司自行審批、需報股份公司審批進行分

層。

d）按期間分層。如往來簽認事項可以按賬齡分層。

測試人員可以根據實際情況確定樣本分層方法,分層后，子總體樣本數量之和為總體樣

本數量，子總體樣本數量占總沐樣本數量的比例可以參照子總體樣本涉及金額占全部樣本

涉及金額的比例來確定.

5.5。5。2子總體樣本選取

具體到每個子總體抽樣時，按隨意抽樣的原則進行抽樣。抽樣時樣本要相對分布均

勻，不要集中在某一時間段，以確保樣本能夠代表樣本總體，555。3樣本量的確定，

通過固定控制頻率/折合頻率來確定樣本數量。

a）關鍵控制抽樣測試中，自動應用控制的樣本量不考慮控制頻率，固定為1個.

b）手工控制及半自動應用控制中定期發生的控制的樣本量是通過控制發更多免費資

料下載請進：好好學習社區

德信誠培訓網生的頻率來確定的.

c）手工控制及半自動應用控制中不定期發生的控制或者執行對象比較多的定期發生

的關鍵控制，需要確定該控制在一個會計年度內大約發生的次數，折合成控制發生的頻率

后再確定樣本量。樣本量確定參見下表:

關鍵控制樣本量確定表

固定控制頻率/折合頻

不定期發生次數樣本數量

率

自動應用控制不適用1

每年一次1

每半年一次2

每季一次2

手工控制/

15次以下每月一次2-5

半自動應用控制

15次和50次之間每周一次5、10、15

50次和200次之間每日一次20、30、40

大于200次每日數次25、30、45、60

公司機關及所屬各單位樣本量確定具體如下：

1）在公司機關層面執行的關鍵控制，以公司機關為一個抽樣單位，按照規定的樣本

量上限進行抽樣測試；

2）在公司所屬各單位執行的關鍵控制，以每個所屬單位為一個抽樣單位，按照不低于

規定的樣本量下限進行抽樣測試。

d）在改進測試、補充測試和更新測試中，樣本量的確定按照以下方法進行；

1）改進測試樣本量的確定方法

更多免費資料下載請進：好好學習社區

德信誠培訓網

改進測試樣本量確定表

改進后的關鍵捽制

控制頻率改進測試最低樣本量

至少需要運行的時間或次數

每季一次兩季2每月一次兩個月2每周一次五周2每日一次二十日10

二十五次

每日數次25

至少十五日

無法確定頻率的控制，參照前述方法確定折合頻率，再確定樣本量。2）補充測試

樣本量的確定方法

關鍵控制補充測試應抽取年本數量是前期測試中實際抽取樣本數量減去

實際抽取樣本數量的差額；

3）更新測試樣本量的確定方法

更新測試定期發生控制樣本量確定表

捽制頻率樣本數量

每年一次N/A

每季一次1

每月一次1

每周一次2

每日一次10

每日數次15

更多免費資料下載請進：好好學習社區

德信誠培訓網

無法確定頻率的控制，參照前述方法確定折合頻率，再確定樣本量.5。5。6測試程

序

關鍵控制抽樣測試程序可以劃分為準備階段、實施階段、總結階段。由于控制方式不

同，各階段測試方法和步驟的應用會有所區別，可以劃分為手工控制、應用系統控制兩個

方面。測試程序中相關的手工測試表單模板參照"8記錄"中的相關內容。

5。5.6.1手工捽制的關鍵控制抽樣測試程序

a）準備階段

準備階段是指從發出測試通知，測試組進駐被測試單位開始，直至完成測試計劃的工

作過程。這一階段的主要工作如下：

1）審閱被測試單位適用的風險控制文檔、流程圖等相關資料，初步了解重要風險及

關鍵控制措施.

2）根據風險控制文檔填寫《關鍵控制抽樣測試計劃表》中的"控制目標"、"控制

措施"、"控制編號"、"測試步驟”等內容.

3）測試組負責人對測試計劃進行復核。

b）實施階段

實施階段是指從完成初步計劃并開始實施，直至完成全部測試步驟的工作過程。這一

階段的主要工作如下：

1）對執行控制的人員進行訪談.訪談內容包括控制的程序和具體內容（做什么）、執行

該控制的依據和方法（如何做）等，通過訪談，了解該業務人員對該控制的理解程度。

2）結合訪談結果，確定樣本總體，并根據控制頻率確定樣本數量.更多免費資料下

載請進：好好學習社區

德信誠培訓網

3）根據確定的抽樣方法選取樣本。如果從測試起始時間到截止時間，由于業務發生

量的限制，無法取得要求的樣本量，則應該選取已有的全部樣本，同時在《關鍵控制抽樣

測試計劃表》中記錄樣本的選取情況。

4）對樣本進行檢查。重點關注：控制結果是否正確才空制過程是否有效力空制實施證

據是否完整有效。除抽樣檢查外，結合觀察、再執行等方法進行測試，在《關鍵控制抽樣

測試計劃表》中記錄實際抽取樣本的數量，并記錄樣本量差異原因分析.

5）測試完成后，根據測試結果對發現的例外事項、測試人員與被測試單位意見存在

異議的事項填寫《關鍵控制抽樣測試例外事項匯總表》中“洌外事項說明及原因”。

6）完善《關鍵控制抽樣測試計劃表》、《關鍵控制抽樣測試例外事項匯總表》，復

印或掃描例外事項、測試人員與被測試單位意見存在異議事項的相關證據。

c）總結階段

總結階段是指測試人員完成全部測試工作后，對杳證內容講行整理分析的過程。該階

段具體工作步驟有：

1）根據《關鍵控制抽樣測試計劃表》，將相應內容整理至《關鍵控制抽樣測試例外事

項匯總表》，并由測試絹長進行復核.

2）對測試結果進行分析.對測試發現的例外事項進行詳細的說明，分析例外事項產生

的原因.對于改進測試發現的未整改的例外事項，應考慮補充及補償控制并進行測試、記

錄。

3）對測試結果進行溝通確認。對測試發現的問題與相關人員進行充分溝通，最終達

成一致意見后由被測試單位相關人員簽字確認.如被測試單位存在更多免費資料卜載清進:

好好學習社區

德信誠培訓I網異議，可將其意見一并上報測試組織部門.

5.5。6.2應用系統控制的關鍵控制抽樣測試程序。

a）準備階段

準備階段是指從發出測試通知，測試組進駐被測試單位開始，直至完成測試計劃的工

作過程。

1）審閱被測試單位適用的流程圖、應用系統風險控制文檔等資料，初步了解流程以

及應用系統的關系、信息系統應用捽制的內容.根據應用系統情況及測試人員的業務能力

確定具體的測試分工。

2）根據應用系統風險控制文檔填寫《關鍵控制抽樣測試計劃表》中的“控制目

標"、"捽制措施"、"捽制編號"、"測試步驟”等內容。

3）對于某些具有特定時間要求的控制措施，如期末會計結賬、月度財務報告編制

等，需要測試單位預先安排測試計劃，以便協調正常的業務操作和測試安排。

4）測試組負責人對測試計劃進行復核。

b）實施階段

實施階段是指從完成初步計劃并開始實施，直至完成全部測試步驟的工作過程。這一

階段的主要工作如下：

1）對執行控制的人員進行訪談。訪談內容包括控制的程序和具體內容（做什么）、

執行該控制的依據和方法（如何做）等.通過訪談，了解該業務人員對該控制的理解程

度。

2）結合訪談結果，確定樣本總體和樣本量.

3）根據確定的抽樣方法選取樣本。如果從測試起始時間到截止時間，由更多免費資料

下載請進:好好學習社區

德信誠培訓網于業務發生量的限制，無法取得要求的樣本量，則應該選取已有的全

部樣本，同時在《關鍵控制抽洋測試計劃表》中記錄樣本的選取情況。

4）對樣本進行檢查。中要關注:捽制結果是否正確；控制過程是否直實有效;捽制實

施證據是否完整有效。同時可以結合觀察、再執行等方法進行測試，在《關鍵控制抽樣測

試計劃表》中記錄實際抽取樣本的數量，并記錄樣本量差異原因分析。

c）總結階段。

總結階段的工作與手工控制的工作內容相同。

5。6信息系統總體控制測試

561測試目的

通過信息系統總體控制測試，檢查是否根據公司信息系統總體控制管理文件的要求，

執行了信息系統管理的各項控制活動，從而提高應用系統控制的有效性，確保信息系統支

持的應用控制是可靠的、生成的數據和報告是可信的。5.6。2測試依據

a）《公司信息系統總體控制測試內容與步驟》（參見附錄D）;

b）《中國石油天然氣股份有限公司信息系統總體控制實施要求》；

c）《內部控制管理手冊》（西南管道公司分冊）。

5。6.3測試方法

信息系統總體捽制測試采用訪談、雙察、再執行、抽樣椅杳等方法。

在采用抽樣檢查的方法時,測試人員采用隨意的方式選取樣本，但是同時考慮以下兩

個因素：

a）抽取樣本時間的均勻分布，不能集中抽取某一期間的樣本.更多免費資料下載請

進：好好學習社區

德信誠培訓網

b）常規業務樣本與非常規業務樣本的均勻分布，在測試時，樣本對應的業務不能集

中在一種類型，盡量覆蓋樣本所涉及的業務類型.

樣本量的確定：在信息系統總體控制測試中，除了項目建設管理流程與信息安全領域

AQ-3采取全樣本測試外，其他控制點測試需要的樣本量其確定原則與關鍵控制抽樣測試

確定的原則相同.

改進測試、補充測試以及更新測試的樣本量確定參考業務活動層面的確定標準。

5。6.4測試程

信息系統總體控制測試工作劃分成三個階段，包括：準備階段、實施階段、總結階

段，測試程序中相關的手工測試表單模板參照"8記錄"中的相關內容.5。6.4.1準備階

段

準備階段是指從發出測試通知，測試絹成員進駐被測試單位開始，直至完成測試計劃

的工作過程。這一階段的主要工作如下：

a）取得相關資料，包括最新的信息系統總體控制崗位人員對照表、《公司信息系統總

體控制測試內容與步驟》、《中國石油天然氣股份有限公司信息系統總體控制實施要求》

（以下簡稱《實施要求》）等。

b）仔細閱讀《實施要求》等資料，如果在本測試期內《實施要求》經過修訶，則需

要根據《實施要求》的修訂情況修改測試模板中的控制目標、關鍵控制點描述、測試步驟

等內容。

c）閱讀崗位人員對照表和崗位職責文件，理解和熟悉測試模板中關鍵控制點涉及的崗

位和職責，測試人員可事先與被測試單位溝通，以便準確了解需要訪談的崗位人員，制定

測試的計劃安排。

d）根據計劃測試的控制點和附錄D《公司信息系統總體控制測試內容與步更多免費

資料下載請進：好好學習社區

德信誠培訓網驟》填寫《信息系統總體控制抽樣測試計劃表》中的"控制目標"、

"控制措施"、"控制編號"、"測試步驟”等內容。

5.6。4.2實施階段

實施測試階段是指按照測試計劃和測試步驟，完成全部測試內容的工作過程。這一階

段的主要工作如下:

a）訪談執行控制的崗位人員，了解該業務人員是否真正理解所執行的控制，并對該

業務人員的勝任能力做出判斷力各訪談結果記錄在測試表中。

b）結合訪談結果，確定樣本總體和控制頻率等問題,并選取樣本。如果從測試起始時

間到測試截止時間，由于業務發生量的限制，無法取得要求的樣本量，則應該選取已有的

全部樣本，同時在《信息系統總體控制抽樣測試計劃表》記錄樣本的選取情況

c）對樣本進行檢查，重點關注信息系統總體控制措施在實際工作中是否得到有效執

行，是否符合信息系統總體控制措施的描述。

測試人員不應在發現樣本出現問題后更換樣本，以避免造成測試結果的失真.對于存

在問題的文檔需要取得復印件.

5.6。4。3總結階段

總結階段是指測試人員完成全部測試內容后，對杳證內容進行整理分析匯總的過程，

該階段具體工作步驟有：

a）根據《信息系統總體帶制抽樣測試計劃表》，將相應內容整理至《信息系統總體捽

制抽樣測試例外事項匯總表》，并由測試組長進行復核.

b）對測試結果進行分析。對測試發現的例外事項進行詳細的說明，分析例外事項產

牛的原因。對于改進測試發現的未整改的例外事項，應考慮補充及補償捽制并進行測試、

記錄。

更多免費資料下載請進：好好學習社區

德信誠培訓網

C）對測試結果進行溝通確認。對測試發現的問題與相關人員進行充分溝通，最終達成

一致意見后由被測試單位相關人員簽字確認.如被測試單位存在異議,可將其意見一并上報

測試組織部門。

5.7例外事項分類及確認

5.7.1公司層面控制測試、跟單測試例外事項分為設計層面和執行層面兩大類.

5.7.1.1的層面:

a）應有的控制不存在或者設計不合理.應有的控制不存在具體表現在內部控制手冊中

沒有進行相關描述，通過測試發現，實際中也沒執行該項控制.設計不合理具體表現在即

使按設計實施控制，也達不到控制目標。

b）實際執行的控制沒有被記錄"已有的控制沒有在控制措施中講行描述.

c）設計的控制記錄不準確。主要是指控制措施描述不準璃或不完整，已經影響或很有

可能影響控制的有效實施。如控制措施描述與實際執行不相符，但實際執行比描述更恰當

d）已有的捽制缺乏必要的制度或制度不完善。實際執行的捽制,沒有在相關制度文件

中規定或規定不準確、不完整。

5.7.1.2執行層面：

a）控制未執行或執行不完整。具體表現在，控制措施中描述的控制在實際中沒有執

行或執行不完整，或者已執行，但不符合相關規定.

b）控制執行程序錯誤。主要是指沒有按規定的程序執行控制的作業步驟。（公司層面

控制測試適用）

c）缺少控制實施證據或實施證據不完整。主要是指測試時沒有發現可以支持控制有

效執行的重要實施證據或控制實施證據不完整。如測試時沒有發現更多免費資料下載請

進：好好學習社區

德信誠培訓I網重要實施證據，但有其他證據可以作為旁證來支持控制有效執行.（公司

層面控制測試適用）

d）一般控制執行不準確該類問題是指一般控制在執行過程中除完全沒有執行之外的

其他問題.（跟單測試適用）

5。7。2關鍵控制抽樣測試、信息系統總體控制測試例外事項分為以下七類：

a）未按授權規定執行控制。該類問題是指一項關鍵控制由未經授權的崗位人員執行

或身位人員的捽制權限超過授權范闈。

b）控制執行不完整.該類問題是指在一項關鍵控制中，描述了多個作業步驟，但測

試時發現實際只執行其中的TB分，沒有完整執行該項關鍵控制的所有作業步驟.

c）控制執行程序錯誤。該類問題是指在一項關鍵控制中，描述了多個作業步驟，但測

試時發現實際執行程序有誤，沒有按規定的程序執行該項關鍵控制的所有作業步驟。

d）不了解如何實施控制導致控制結果不正確。該類問題是指測試發現關鍵控制雖然

存在實施證據，但是執行控制的人員不了解如何實施控制，造成控制結果不正確。

e）了解如何實施控制但控制結果不正確。該類問題是指測試發現關鍵控制