内部控制项目工作实施指引讨论稿

1、遵循萨班斯-奥克斯利法案404条款内部控制项目工作实施指引2006年1月1日目录 TOC o 1-3 h z u HYPERLINK l _Toc123538805 前言 PAGEREF _Toc123538805 h 1 HYPERLINK l _Toc123538806 一、项目整体介绍 PAGEREF _Toc123538806 h 1 HYPERLINK l _Toc123538807 1项目背景介绍 PAGEREF _Toc123538807 h 1 HYPERLINK l _Toc123538808 2项目总体时间表 PAGEREF _Toc123538808 h 1 HYPERL

2、INK l _Toc123538809 3省公司项目工作开展时间表 PAGEREF _Toc123538809 h 5 HYPERLINK l _Toc123538810 二、项目管理 PAGEREF _Toc123538810 h 5 HYPERLINK l _Toc123538811 1项目组织方式 PAGEREF _Toc123538811 h 5 HYPERLINK l _Toc123538812 2项目职责划分 PAGEREF _Toc123538812 h 6 HYPERLINK l _Toc123538813 3项目宣传和培训机制 PAGEREF _Toc123538813 h

3、10 HYPERLINK l _Toc123538814 4项目沟通机制 PAGEREF _Toc123538814 h 11 HYPERLINK l _Toc123538815 5项目考核机制 PAGEREF _Toc123538815 h 13 HYPERLINK l _Toc123538816 6项目保密机制 PAGEREF _Toc123538816 h 14 HYPERLINK l _Toc123538817 7项目的后续管理 PAGEREF _Toc123538817 h 14 HYPERLINK l _Toc123538818 三、内部控制相关基本概念 PAGEREF _Toc1

4、23538818 h 15 HYPERLINK l _Toc123538819 1重要法案法规时间表 PAGEREF _Toc123538819 h 15 HYPERLINK l _Toc123538820 2第2号审计准则 PAGEREF _Toc123538820 h 15 HYPERLINK l _Toc123538821 3COSO框架 PAGEREF _Toc123538821 h 16 HYPERLINK l _Toc123538822 4内部控制的基本概念 PAGEREF _Toc123538822 h 18 HYPERLINK l _Toc123538823 四、项目准备 PA

5、GEREF _Toc123538823 h 21 HYPERLINK l _Toc123538824 1时间安排 PAGEREF _Toc123538824 h 21 HYPERLINK l _Toc123538825 2总部层面的项目准备工作 PAGEREF _Toc123538825 h 21 HYPERLINK l _Toc123538826 3省公司层面的项目准备工作 PAGEREF _Toc123538826 h 22 HYPERLINK l _Toc123538827 4地市公司层面的项目准备工作 PAGEREF _Toc123538827 h 23 HYPERLINK l _To

6、c123538828 5注意事项 PAGEREF _Toc123538828 h 23 HYPERLINK l _Toc123538829 五、流程记录 PAGEREF _Toc123538829 h 25 HYPERLINK l _Toc123538830 1时间安排 PAGEREF _Toc123538830 h 25 HYPERLINK l _Toc123538831 2总部层面的工作 PAGEREF _Toc123538831 h 25 HYPERLINK l _Toc123538832 3省公司层面的工作 PAGEREF _Toc123538832 h 25 HYPERLINK l

7、_Toc123538833 4试点地市公司层面的工作 PAGEREF _Toc123538833 h 26 HYPERLINK l _Toc123538834 5注意事项 PAGEREF _Toc123538834 h 26 HYPERLINK l _Toc123538835 六、省公司对流程记录和改进建议的确认 PAGEREF _Toc123538835 h 27 HYPERLINK l _Toc123538836 1流程参与部门负责人确认 PAGEREF _Toc123538836 h 27 HYPERLINK l _Toc123538837 2省公司管理层确认 PAGEREF _Toc1

8、23538837 h 29 HYPERLINK l _Toc123538838 七、内部控制设计缺陷改进 PAGEREF _Toc123538838 h 30 HYPERLINK l _Toc123538839 1时间安排 PAGEREF _Toc123538839 h 30 HYPERLINK l _Toc123538840 2总部层面制定与执行修补计划 PAGEREF _Toc123538840 h 30 HYPERLINK l _Toc123538841 3省公司层面制定与执行修补计划 PAGEREF _Toc123538841 h 30 HYPERLINK l _Toc12353884

9、2 4地市公司层面制定与执行修补计划 PAGEREF _Toc123538842 h 31 HYPERLINK l _Toc123538843 5注意事项 PAGEREF _Toc123538843 h 33 HYPERLINK l _Toc123538844 八、测试和评价 PAGEREF _Toc123538844 h 33 HYPERLINK l _Toc123538845 1时间安排 PAGEREF _Toc123538845 h 33 HYPERLINK l _Toc123538846 2省公司测试和自我评价 PAGEREF _Toc123538846 h 33 HYPERLINK

10、l _Toc123538847 3总部组织相关人员进行测试和独立评价 PAGEREF _Toc123538847 h 33 HYPERLINK l _Toc123538848 九、持续跟进和测评 PAGEREF _Toc123538848 h 34 HYPERLINK l _Toc123538849 十、文档管理 PAGEREF _Toc123538849 h 34 HYPERLINK l _Toc123538850 1总部管理的文档 PAGEREF _Toc123538850 h 34 HYPERLINK l _Toc123538851 2省公司管理的文档 PAGEREF _Toc12353

11、8851 h 34 HYPERLINK l _Toc123538852 3地市公司负责维护的文档 PAGEREF _Toc123538852 h 35 HYPERLINK l _Toc123538853 十一、常见问题解答 PAGEREF _Toc123538853 h 35 HYPERLINK l _Toc123538854 1如何解决关键岗位人员访谈时间冲突？ PAGEREF _Toc123538854 h 35 HYPERLINK l _Toc123538855 2流程现场记录阶段需要补充调配人员的协调解决方式？ PAGEREF _Toc123538855 h 35 HYPERLINK

12、l _Toc123538856 3如何确认流程记录范围、记录详略程度？ PAGEREF _Toc123538856 h 35 HYPERLINK l _Toc123538857 4总部流程记录和省公司流程记录所涉及的层级有哪些？ PAGEREF _Toc123538857 h 36 HYPERLINK l _Toc123538858 5当地市公司间同一业务存在多种操作方式时，如何决定流程的记录方式？ PAGEREF _Toc123538858 h 37 HYPERLINK l _Toc123538859 6流程现场记录阶段各参与部门间出现分歧的协调解决方式？ PAGEREF _Toc12353

13、8859 h 37 HYPERLINK l _Toc123538860 7如何提炼主要控制点？ PAGEREF _Toc123538860 h 37 HYPERLINK l _Toc123538861 8如何准确、完整记录控制点？ PAGEREF _Toc123538861 h 37 HYPERLINK l _Toc123538862 9如何统一流程记录中的称谓？ PAGEREF _Toc123538862 h 38 HYPERLINK l _Toc123538863 10流程、主要控制点如何编号？ PAGEREF _Toc123538863 h 38 HYPERLINK l _Toc1235

14、38864 11什么是重要电子表格？ PAGEREF _Toc123538864 h 39 HYPERLINK l _Toc123538865 12缺陷的发现和确认方法 PAGEREF _Toc123538865 h 39 HYPERLINK l _Toc123538866 13穿行测试资料收集要求？ PAGEREF _Toc123538866 h 40 HYPERLINK l _Toc123538867 14什么是控制列表？ PAGEREF _Toc123538867 h 40 HYPERLINK l _Toc123538868 15为什么需要管理层审阅与核对的控制？ PAGEREF _To

15、c123538868 h 40 HYPERLINK l _Toc123538869 16审阅为什么要留下证据？ PAGEREF _Toc123538869 h 41 HYPERLINK l _Toc123538870 17什么是不相容职责？ PAGEREF _Toc123538870 h 41 HYPERLINK l _Toc123538871 18如何进行内部控制设计缺陷与执行有效性缺陷的区分？ PAGEREF _Toc123538871 h 41 HYPERLINK l _Toc123538872 19如何判断显著缺陷和实质性漏洞？ PAGEREF _Toc123538872 h 41 H

16、YPERLINK l _Toc123538873 20什么是信息系统控制？ PAGEREF _Toc123538873 h 43 HYPERLINK l _Toc123538874 21什么是终端用户计算工具及其常用控制方法 PAGEREF _Toc123538874 h 45 HYPERLINK l _Toc123538875 22为什么要在系统中设置用户密码？ PAGEREF _Toc123538875 h 46 HYPERLINK l _Toc123538876 23为什么要避免共享用户账号？ PAGEREF _Toc123538876 h 46 HYPERLINK l _Toc1235

17、38877 24为什么要记录信息系统的基准文档？ PAGEREF _Toc123538877 h 46 HYPERLINK l _Toc123538878 十二、附件 PAGEREF _Toc123538878 h 47 HYPERLINK l _Toc123538879 1总部项目机构设置 PAGEREF _Toc123538879 h 47 HYPERLINK l _Toc123538880 2总部联络人和毕马威联络人名单及联系方式 PAGEREF _Toc123538880 h 47 HYPERLINK l _Toc123538881 3纳入评估范围的省公司和关键业务流程列表 PAGER

18、EF _Toc123538881 h 47 HYPERLINK l _Toc123538882 4省公司内部控制手册编写说明 PAGEREF _Toc123538882 h 47 HYPERLINK l _Toc123538883 5流程及控制点编号规则 PAGEREF _Toc123538883 h 47 HYPERLINK l _Toc123538884 6穿行测试工作底稿 PAGEREF _Toc123538884 h 47 HYPERLINK l _Toc123538885 7子流程主要负责及参与部门建议模板 PAGEREF _Toc123538885 h 47 HYPERLINK l

19、 _Toc123538886 8子流程记录时间安排样表 PAGEREF _Toc123538886 h 47 HYPERLINK l _Toc123538887 9子流程反馈意见样表 PAGEREF _Toc123538887 h 47 HYPERLINK l _Toc123538888 10管理层审批表 PAGEREF _Toc123538888 h 47 HYPERLINK l _Toc123538889 11XX移动通信有限责任公司控制列表 PAGEREF _Toc123538889 h 47 HYPERLINK l _Toc123538890 12缺陷修补计划 PAGEREF _Toc

20、123538890 h 47 HYPERLINK l _Toc123538891 13XX地市公司控制简表 PAGEREF _Toc123538891 h 47知识产权限制本文档系中国移动（香港）有限公司为遵循美国萨班斯-奥克斯利法案404条款项目（以下简称“本项目”）编撰，其中载有中国移动（香港）有限公司及其关联公司的商业机密、专有资料和其他保密信息，中国移动（香港）有限公司享有本文档的全部知识产权（包括但不限于著作权）。本文档仅限于本项目之目的，在公司范围内由有权接触本文档的人员使用。任何单位和个人不得以任何方式向任何未经授权的第三方透露本文档的任何内容。前言根据公司董事会对美国萨班斯-奥

21、克斯利法案（以下简称萨班斯法案）404条款遵循项目（以下简称“本项目”）工作的实施要求和进度安排，我公司于2005年6月正式启动了萨班斯法案404条款遵循项目工作，至2005年12月本项目已完成对试点省公司的调研工作，形成了中国移动（香港）有限公司内部控制手册（第一版）（以下简称中国移动内部控制手册）。自2006年1月，本项目将进入推广记录阶段，除试点省公司之外的其他省公司将陆续分批开展项目工作。为了使本项目在省公司顺利推行，总部项目小组结合总部及试点省工作经验编写了本文档，旨在为各省公司下一步工作的开展提供具有较高可操作性的指引。项目整体介绍项目背景介绍近年来随着安然、世界通讯等公司的一系列

22、丑闻案件的发生，美国资本市场不断面临着信心危机的挑战。为提高上市公司治理水平，恢复投资者信心，保护投资者利益，立法和监管机构意识到有必要对资本市场当前的法律法规进行变革，加强对资本市场参与各方的约束。2002年7月30日美国总统布什签署颁布了萨班斯法案（又被称作2002年公众公司会计改革和投资者保护法案），要求在美国上市的公司承诺对其披露的财务报告的真实性负责，并建立有效的监控措施保证这种真实性。萨班斯法案中，404条款强调公司管理层需要通过内部控制加强公司治理，该条款要求非美国本土的上市公司，应在2006年7月15日或之后结束的首个年度，即2006年12月31日结束的财务报告中做出有关内部控

23、制有效性的书面声明，其中包括：管理层对建立和维护内部控制的责任声明；管理层对评估内部控制所采用的评估框架的声明；公司在最近财政年度末对内部控制有效性的评估，包括公司与财务报告相关的内部控制是否有效的声明。404条款还要求外部审计师对于与财务报告相关的内部控制和管理层对内部控制的评价进行审计，并出具审计意见。萨班斯法案404条款要求进行评价的内部控制包括针对与会计报表中所有重要科目和信息披露相关的所有会计认定所实施的内部控制，包括：主要交易是如何启动、记录、处理和反映在财务报告中；用以防范或找出与重要账户、交易种类和披露相关的错误或舞弊的内部控制措施；其它重要内控措施所依赖的内部控制，包括一般性

24、控制，例如信息系统控制；非经常性、非系统交易或财务估计的内控措施；财务报表关账和汇总过程中的内控措施；资产保护的控制措施；公司层面的控制措施。作为在美国上市的公司，我公司必须满足萨班斯法案的要求，遵循萨班斯法案的同时也为提升公司整体管理水平提供了良好契机。通过开展该项目，寻找公司高速发展过程中容易忽视和掩盖的管理问题，发现企业存在的内部风险和控制薄弱点加以解决，有利于提高公司内部控制和风险管理水平，有利于增强企业竞争力和持续发展能力。项目总体时间表我公司对萨班斯法案404条款的首次遵循工作具体工作安排：制定评估计划和范围阶段2005年7月试点记录阶段2005年8月至2005年12月中旬推广记录

25、阶段2006年1月至2006年4月底内部控制设计缺陷改进阶段2006年1月至6月测试和评价阶段2006年5月至9月持续跟进和评价阶段2006年9月至2006年12月外部审计师审计阶段中期审计：2006年7月至9月年终审计：2006年12月至2007年1月以上各阶段均为首次遵循萨班斯法案404条款所需进行的工作，应在2006年底前完成。制定评估计划和范围阶段工作安排：总部建立项目管理委员会并确定应纳入评价范围的省公司和业务流程；建立总部记录和评价内部控制的项目工作小组；总部项目工作小组确定项目总体工作方法及项目工作计划。主要工作成果：用于确定纳入评估范围的省公司和关键业务流程的重要性及评价标准；

26、纳入评估范围的省公司和关键业务流程列表（参见附件3），一共包括12个业务流程和COSO内部控制框架差距分析（其中12个业务流程分为42子流程）；对内部控制进行记录的方法及记录标准；评价内部控制有效性及控制缺陷的原则。试点记录阶段工作安排：总部项目工作小组从纳入评价范围的省公司中选取有代表性的试点省公司，并建立下属于总部的，组织机构相似的项目管理委员会和项目工作小组；对总部和试点省公司的项目工作小组进行与财务报告相关的内部控制记录的培训；对总部和试点省公司进行与财务报告相关的流程记录、主要控制点提炼、差距分析、缺陷归纳并提出改进建议，编制中国移动内部控制手册；总部批准并颁布中国移动内部控制手册；

27、由总部和试点省公司对内部控制设计有效性方面的缺陷进行汇总，提交总部及试点省公司管理层审阅。主要工作成果：总部和试点省公司项目管理委员会和项目工作小组成员名单（参见附件1总部项目机构设置）；有关记录与财务报告相关的内部控制的培训；中国移动总部和试点省公司与财务报告相关的内部控制缺陷和改进建议汇总，以下简称中国移动缺陷和改进建议汇总；中国移动内部控制手册。推广记录阶段工作安排：省公司比照中国移动内部控制手册进行本省的流程记录、主要控制点提炼、差距分析、缺陷归纳并提出改进建议；省公司对内部控制设计有效性方面的缺陷和改进建议进行汇总并提交本省管理层审阅；省公司管理层批准XX移动通信有限责任公司内部控制

28、手册。主要工作成果：省公司的与财务报告相关的内部控制流程记录定稿，以下简称流程记录定稿；XX有限责任公司缺陷和改进建议汇总；XX移动通信有限责任公司内部控制手册。内部控制设计缺陷改进阶段工作安排：省公司对内部控制缺陷制定修补计划并实施修补措施。主要工作成果：省公司的缺陷修补计划；完成省公司缺陷修补。测试和评价阶段工作安排：省公司管理层对与本省财务报告相关的内部控制的设计有效性与执行有效性进行测试和自我评价；省公司管理层对本省记录信息系统的基准文档是否符合要求进行测试和自我评价，基准文档的概念参见第十一部分常见问题解答24；总部组织相关人员对省公司与财务报告相关的内部控制的设计有效性与执行有效性

29、进行测试和独立评价；具体评价方法和步骤详见内部控制测评手册（另文下发）。主要工作成果：对内部控制进行测试和评价的记录；内部控制测试缺陷汇总及改进计划。持续跟进和评价阶段工作安排：由总部和各省公司的管理层和流程负责人对与财务报告相关的内部控制的有效性和内部控制缺陷修补措施进行持续监控；管理层于2006年年末对内部控制的有效性进行最终测试和评价。主要工作成果：持续更新的内部控制缺陷修补计划和执行内部控制缺陷修补措施；2006年12月31日管理层有关内部控制有效性和重大漏洞的书面声明。外部审计师审计阶段工作安排：外部审计师启动对与财务报告相关的内部控制的中期审计；外部审计师对与财务报告相关的内部控制

30、进行年终审计。主要工作成果：中期审计发现及意见；审计报告。省公司项目工作开展时间表除试点省公司外的其他省公司从项目总体时间表中的推广记录阶段开始实施本项目，具体工作安排：项目准备阶段接总部项目启动通知起10天左右流程记录阶段一个月左右流程记录和改进建议确认阶段一周左右内部控制设计缺陷改进阶段二个月左右测试和评价阶段2006年5月至9月持续跟进和评价阶段2006年9月至2006年12月外部审计师审计阶段中期审计：2006年7月至9月年终审计：2006年12月至2007年1月以上各阶段均为首次遵循萨班斯法案404条款所需进行的工作，应在2006年底前完成。项目管理项目组织方式本项目采取总部、省公司

31、和地市公司三级管理的组织方式。总部负责本项目的整体进度和质量管理，对各省公司工作进行监督和指导，以确保中国移动整体按照萨班斯法案的要求在规定的时限内完成对该法案的遵循工作。省公司负责本省范围内部控制管理工作，使本省内部控制符合404条款要求。在总部的监督和指导下，根据总部下发的中国移动内部控制手册、本指引及其他指导性文件在本省范围内开展流程记录、控制点提炼、差异分析、缺陷归纳、缺陷修补、穿行测试、对内部控制执行有效性进行自我评估等工作。地市公司负责本地市公司范围内部控制管理工作，使之符合404条款要求。在省公司的监督和指导下，根据省公司下发的XX移动通信有限责任公司内部控制手册、本指引及其他指

32、导性文件开展差异分析、缺陷归纳、缺陷修补、穿行测试、完成内部控制责任人表并上报省公司、对内部控制执行有效性进行自我评估等工作。此外，试点地市公司需配合省公司进行流程记录工作。项目职责划分项目管理委员会职责项目管理委员会由公司总经理、主要管理层以及部门相关领导构成，作为本项目在省公司开展的领导机构。项目工作小组职责项目工作小组为项目管理委员会下设的执行机构，具体由项目牵头部门、流程主要负责部门和其他流程参与部门组成，其具体职责见下文。项目牵头部门职责项目牵头部门在本项目中主要负责整体组织、协调工作，具体职责包括：在本部门内指定一名专职项目总协调人；明确各子流程的流程参与部门；为各子流程确定一个流

33、程主要负责部门；拟定本省的项目管理委员会和项目工作小组，报公司管理层批准成立；将本指引下发各部门进行阅读学习并组织集中学习和讨论；收集其他各部门整理的现行制度和业务流程及文档清单；将总部下发的穿行测试工作底稿（附件六）穿行测试资料清单模板附件六，穿行测试工作底稿分发给流程主要负责部门以及其他流程参与部门，并由项目总协调人和其协助人员按流程收集、汇总、整理各部门收集的穿行测试资料；安排相关后勤工作；组织召开项目启动会；组织本项目宣传工作；制定本公司各子流程记录时间安排表；召集项目工作小组各成员对在项目准备阶段确定的流程参与访谈人员初步名单进行确认；流程记录现场工作结束前，复印经毕马威协助人员审阅

34、后的整套穿行测试资料，并归档保存；组织协调流程记录确认和审批工作；收集各流程参与部门对流程记录、缺陷和改进建议的反馈意见；省公司项目牵头部门将各子流程中发现的缺陷和改进进行汇总；对缺陷修补工作进行总体管理和质量控制。在项目的后续管理过程中，持续维护和更新本省的XX移动通信有限责任公司控制列表（格式参加附件11），并收集地市公司上报的更新后的XX地市公司控制简表（格式参见附件13）；项目牵头部门在项目牵头部门负责人的领导下完成上述工作，项目牵头部门负责人可根据工作安排将部分工作授权项目总协调人具体执行。流程主要负责部门职责流程主要负责部门在本项目中对所负责子流程的工作质量和进度负责，具体职责包括

35、：为本项目确定1名本部门的负责人，即“流程主要负责部门负责人”；为本项目确定1名本部门的联络人，以下简称“联络人”；为所负责的每个子流程分别指定1名执笔人和1名穿行测试资料收集人；将与本部门业务相关的各项现行制度和业务流程文档进行整理（包括电子文档和书面文件），并列出完整的文档清单；在流程现场记录开始前，流程主要负责部门联络人负责根据穿行测试资料清单模板，组织、整理本子流程穿行测试资料并在规定的时限内交给项目总协调人；对在项目准备阶段确定的流程参与访谈人员名单进行确认；参加流程记录的访谈，负责对现场记录、提炼控制点、分析差异、归纳缺陷和提出改进建议过程中存在的各部门间的不同意见进行协调统一；对

36、所负责子流程的工作质量负责，包括现状记录真实准确，并按照要求完成穿行测试、提炼控制点、归纳缺陷和提出改进建议；对所负责子流程的进度负责；在记录流程的过程中，存在不同的业务处理模式时，进行判断、选择记录的模式；在毕马威协助下确定是否接受各流程参与部门的反馈意见；组织各缺陷修补责任部门制定所负责流程的缺陷修补计划；监督缺陷修补计划的实施进度。流程主要负责部门在流程主要负责部门负责人的领导下完成上述工作，流程主要负责部门负责人可根据工作安排将部分工作授权本部门联络人具体执行。流程参与部门职责流程参与部门对各子流程涉及本部门的相关工作负责，具体职责包括：为本项目确定1名本部门的负责人，即“流程参与部门

37、负责人”；为本项目确定1名本部门的联络人，以下简称“联络人”；为本部门所需参与的各子流程分别确定参与流程访谈人员名单；将与本部门业务相关的各项现行制度和业务流程文档进行整理（包括电子文档和书面文件），并列出完整的文档清单；在流程现场记录开始前，流程参与部门联络人负责根据穿行测试资料清单模板，组织、整理穿行测试资料并在规定的时限内反馈给项目总协调人；参加流程记录的访谈，在现场记录、提炼控制点、分析差异、归纳缺陷和提出改进建议过程中发表意见；审阅流程记录、缺陷和改进建议初稿并提出书面反馈意见。流程参与部门在流程参与部门负责人的领导下完成上述工作，流程参与部门负责人可根据工作安排将部分工作授权本部门

38、联络人具体执行。缺陷修补责任部门职责制定修补计划，明确缺陷责任人和时限要求；执行修补计划；定期向流程主要负责部门汇报修补计划实施情况。试点地市公司及试点地市公司负责人职责与上述流程参与部门及流程参与部门负责人的职责相同。流程执笔人职责主持和引导流程访谈小组开展讨论，并控制讨论的时间进度；在总部下发的流程记录模板中对访谈小组成员的讨论内容进行记录，记录内容包括流程现状、主要控制点、发现的缺陷和初步改进建议；协调和解决小组访谈过程中产生的分歧；根据收集到的穿行测试资料，对流程记录进行修改；根据毕马威协助人员的审阅意见，对流程记录进行进一步修改。穿行测试资料收集人职责在流程访谈的过程中根据访谈小组共

39、同明确的穿行测试资料，对在准备阶段确定的本子流程穿行测试资料初步清单进行更新；组织访谈小组成员根据更新的穿行测试资料清单收集穿行测试资料；对收集的穿行测试资料进行整理编号，并按照穿行测试资料收集要求进行审阅；如收集到的穿行测试资料发现流程记录与现状不符，提醒执笔人修改流程记录；完成穿行测试工作底稿（参见附件6）；全程参加子流程访谈，同时负有流程参与访谈人员的职责。流程参与访谈人员职责准时参加相关流程的访谈；访谈时积极发言，在执笔人的主持下对负责的子流程进行详细的描述、发表自己对主要控制点、所发现缺陷和改进建议的意见；积极配合穿行测试资料收集人收集资料；对流程执笔人整理后的流程记录初稿进行审阅并

40、反馈意见。控制点责任人职责负责控制点的持续维护和更新，省公司控制点责任人将更新后的控制信息报送省公司项目牵头部门，由其更新本省的XX移动通信有限责任公司控制列表；地市公司控制点责任人将更新后的控制信息报送给地市公司项目牵头部门，由其更新本地市公司的XX地市公司控制简表并上报省公司；毕马威协助人员职责毕马威协助人员的工作主要为以自身的专业知识和经验对省公司的流程记录工作提供协助，并在协助的过程中完成相关专业知识从毕马威协助人员到省公司工作团队的转移：在项目启动会及根据项目需要提供相关培训;审阅省公司各子流程记录时间安排表，并提供意见;审阅各子流程访谈人员安排，并提供意见;在访谈的过程中协助执笔人

41、按照萨班斯法案和COSO内部控制框架的要求进行流程现场记录、提炼控制点、分析差异、归纳缺陷和提出改进建议；审阅穿行测试资料收集人收集整理完成的穿行测试资料清单和穿行测试资料，并提供意见；审阅流程记录初稿，并提供意见;协助流程主要负责部门确定是否接受各流程参与部门的反馈意见。项目宣传和培训机制开展宣传和培训的重要意义推进本项目需要上至公司管理层，下至普通员工各层次人员的参与，而且是一个长期和持续的过程，对萨班斯法案和内部控制的理解是保证内部控制有效性的重要前提条件。开展宣传和培训，目的就是要加强各层次人员对执行本项目的意义和内容的了解，培养一批了解企业运营、了解内部控制实质、具备合格素质执行内部

42、控制及实施监督评价的人员，为项目的顺利开展打下良好基础。开展宣传和培训工作在公司不同层面的侧重点本项目的宣传和培训工作应在管理层、本项目推广记录阶段直接参与人员和全体员工三个层面各有侧重地开展。对各级管理层的宣传和培训对公司各级管理层进行宣传和培训工作的重点在于提高各级领导对本项目的重视程度，培训的主要内容为萨班斯法案背景、遵循萨班斯法案的要求和内部控制理念。对本项目推广记录阶段直接参与人员的宣传和培训本项目推广记录阶段直接参与人员包括项目牵头部门负责人、项目总协调人、流程主要负责部门负责人、流程参与部门负责人、联络人、试点地市公司负责人、流程执笔人、穿行测试资料收集人、参与流程访谈人员等。对

43、直接参与人员的宣传和培训内容，除了萨班斯法案背景、遵循萨班斯法案的要求和内部控制理念等内容以外，着重于培训推行本项目的具体步骤和操作方法，强调可操作性。对全体员工的宣传和培训对全体员工进行宣传和培训工作的重点在于提高全体员工的内部控制意识，为建立良好的内部控制环境奠定基础。宣传和培训的形式本项目宣传和培训工作由项目牵头部门负责组织实施，具体采用集中培训、会议、简报和其他内部刊物宣传等形式。集中培训集中培训由项目牵头部门负责组织，毕马威协助人员负责具体实施，主要包括：项目启动大会的现场培训对执笔人、穿行资料收集人等直接参与人员的专题培训会议在各省公司项目推广记录开始前，项目牵头部门组织召开项目启

44、动会议，由总部项目工作组和毕马威协助人员对省公司全体员工进行项目宣传和培训。在各省公司项目推广过程中，项目牵头部门可根据项目进展情况定期或不定期召开会议，对萨班斯法案有关知识进行深入宣传和培训，或与项目现场记录过程中的例会相结合。在首次遵循工作完成后的项目后续管理过程中，项目牵头部门可根据总部有关要求和本省情况，对后续管理有关内容和内部控制有关知识开展更进一步的宣传和培训。简报及其他内部刊物建议各省公司在项目的推广记录过程中，由项目牵头部门每周发布本省项目简报，就项目工作进度，出现的问题，发现的内部控制缺陷以及与项目相关的其他工作等对各流程参与部门和公司管理层进行通报。同时，也可以利用内部刊物

45、、公司论坛等工具对本项目在更广的范围内进行宣传，营造有利于本项目推进的氛围。项目沟通机制总部与省公司之间的沟通在项目推进过程中，总部与省公司层面间通过以下方式建立起通畅、高效的沟通渠道：项目沟通会在各省公司进行流程现场记录期间，总部项目工作小组定期组织召开由总部、各省公司参加，毕马威协助人员列席的项目沟通会，以了解各省公司的项目进展情况，对影响项目进度的事项进行协调和解决，安排下一步工作。总部项目工作小组联络人总部项目工作小组为每各省指定名总部项目工作小组联络人，以下简称“总部联络人”。各省公司可通过总部联络人就项目组织安排、人员协调及其他需管理层决策的事项与总部进行沟通。毕马威协助人员毕马威

46、为各省指定名毕马威联络人员，以下简称“毕马威联络人”。各省公司可通过毕马威联络人与总部工作小组沟通，就有关萨班斯法案要求和项目开展过程中遇到的其他技术性问题向总部进行反映。总部联络人和毕马威联络人名单及联系方式请参见附件2。省公司项目参与主体之间的沟通省公司项目参与主体指在省公司实施内控项目期间，所有参与项目的责任部门和责任人。沟通的内容省公司内控项目实施期间，对内控项目的进度、人员需求与调配、流程记录与缺陷修补过程中出现的各项问题保持良好的沟通。在进行内控流程现场记录时，执笔人负责收集整理反馈意见，执笔人对流程主要负责部门负责人汇报工作。省公司项目工作小组召开工作例会时，由各流程主要负责部门

47、负责人通报所负责流程的进展情况。流程确认和改进建议确认期间，由项目总协调人收集各流程参与部门（包括试点地市公司）的反馈意见，并将反馈意见表提交给流程主要负责部门负责人和毕马威协助人员；流程主要负责部门负责人在毕马威的协助下确定是否接受各流程参与部门（包括试点地市公司）的反馈意见，并书面告知意见提出部门（包括试点地市公司）。沟通的形式包括但不限于以下形式：工作例会：流程现场记录期间应至少每周召开一次例会，由各流程主要负责部门负责人通报工作进度情况，讨论并解决工作中遇到的问题，并安排下一步工作。书面沟通（包括电子邮件）：在整个项目实施过程中，对重要事项要求采用书面形式（包括电子邮件）。如：下发各类

48、重要通知，包括工作时间地点安排、人员安排、流程确认通知等；反馈对流程记录初稿、主要控制点、缺陷及改进建议的确认意见；对确定不接受的反馈意见应书面反馈不确认的原因。沟通的注意事项在流程现场记录阶段，各参与部门间出现分歧的协调解决方式流程执笔人把问题反馈给流程主要负责部门负责人，由流程主要负责部门负责人协调解决。在流程现场记录阶段，需要补充、调配人员的协调解决方式流程执笔人把补充、调配人员的需求反馈给流程主要负责部门负责人，由流程主要负责部门负责人通知需要补充、调配人员的流程参与部门负责人，流程参与部门负责人在本部门内调配解决。项目考核机制为确保项目的顺利实施，建立内部控制管理的长效机制，经总部总

49、经理办公会议定，2006年经营业绩考核办法中增加“风险及内部控制管理”内容作为扣分指标（5分），对各省公司萨班斯法案内控项目工作开展情况和执行结果进行考核，以确保项目工作顺利实施和持续开展。省公司应根据总部的要求，制定本公司的内控项目实施考核办法。由于整个内控项目实施时间较长，省公司在制定考核办法的过程中，应结合本省项目实施情况，确定分阶段考核的重点。5.1考核组织部门由省公司内控项目牵头部门和绩效管理部门共同负责考核办法的制定和实施。5.2考核内容制定考核办法时，可以包括以下内容：相关部门工作组织情况：考核在进行流程现场记录的期间，相关部门对整个内控项目工作的组织、落实情况，参与该项工作的人

50、员到位情况；现场记录工作完成情况：考核工作是否按规定的时限完成，工作完成的质量是否符合总部确定的质量标准；流程确认工作完成情况：考核各相关部门是否按规定的时限完成流程确认，反馈确认意见；缺陷修补工作完成情况：考核各相关部门是否按规定的时限完成落实缺陷责任人并进行完成缺陷修补工作；流程测试工作完成情况：考核各相关部门是否按规定的时限完成落实缺陷责任人并进行完成流程测试工作；主要控制点执行情况：考核主要控制点是否得到有效的执行。项目保密机制本项目涉及公司所有主要业务流程，且本项目的推行涉及公司的各个层面，是公司全体员工的共同工作成果，因此在开展本项目的同时必须建立严格的保密机制。对于涉及具体流程描

51、述和缺陷汇总的文档要求使用公司内部邮箱发送；对于本项目确认的各项与财务报告相关的内部控制缺陷，严禁个人在各类媒体、论坛上公布或作为案例引用，公司将对责任人追究相应的法律责任；对于本项目确认的各项与财务报告相关的内部控制缺陷，不应在电梯、餐厅、候车室等公共场合进行讨论，以免给公司带来不良影响；未经公司许可，个人禁止对本项目的培训和访谈情况进行录音、录像；本项目中生成的各项文档知识产权归本公司所有，参与本项目人员尤其要注意不得将这些文档向本公司竞争对手泄露。对于省公司在推行本项目过程中生成的各项重要文档，如中国移动内部控制手册等，要求在文档正文前强调对该文档的知识产权保护，具体使用如下文字：“知识

52、产权限制：本文档系中国移动（香港）有限公司为遵循美国萨班斯-奥克斯利法案404条款项目（以下简称“本项目”）编撰，其中载有中国移动（香港）有限公司及其关联公司的商业机密、专有资料和其他保密信息，中国移动（香港）有限公司享有本文档的全部知识产权（包括但不限于著作权）。本文档仅限于本项目之目的，在公司范围内由有权接触本文档的人员使用。任何单位和个人不得以任何方式向任何未经授权的第三方透露本文档的任何内容。”项目的后续管理本指引内容主要针对萨班斯法案404条款的首次遵循工作，由于遵循工作是长期性的工作，首次遵循后各级管理组织需要根据业务流程和所面临风险的变化对中国移动内部控制手册、XX移动通信有限责

53、任公司内部控制手册和XX移动通信有限责任公司控制列表进行持续的更新及对内部控制有效性进行持续的评价，同时外部审计师在每年年报时都要对管理层的内部控制报告发表意见。内部控制相关基本概念重要法案法规时间表为了明确萨班斯法案的要求，便于上市公司遵循该法案，美国证券交易委员会与上市公司会计监管委员会陆续发表了一系列的重要法案和法规，时间表如下：2002 年 7 月 30 日布什总统签发了萨班斯法案2002 年 8 月 29 日美国证券交易委员会根据萨班斯法案302 条的要求颁布对有关条款的最终条例2003 年 6 月 5 日美国证券交易委员会根据萨班斯法案404 条的要求颁布对有关条款的最终条例和对3

54、02 条的补充修订2004 年 3 月 9 日上市公司会计监管委员会发布第 2 号审计准则2004 年 6 月 17 日美国证交会批准上市公司会计监管委员会发布第 2 号审计准则2004年6月至2005年5月期间上市公司会计监管委员会连续五次发布一系列关于与财务报告相关的内部控制问答第2号审计准则上市公司会计监管委员会配合404条要求颁布第2号审计准则，以明确规范公司管理层和外部审计师对内部控制进行评价的范围和要求。第2号审计准则明确了萨班斯法案对管理层的要求，要求管理层必须承担与公司财务报告相关的内部控制有效性的责任，采用适当的内控框架，例如COSO，评价公司与财务报告相关的内部控制系统的有

55、效性，评价结果需要以充分的档案文件等证据来支持。同时，管理层需要针对公司最近年度财务报告的内部控制有效性提交书面报告。显著缺陷和实质性漏洞内部控制缺陷按照其严重程度可以分为一般性的内部控制缺陷、显著缺陷与实质性漏洞。如果在内部控制中存在显著缺陷和实质性漏洞，管理层必须将这种情况与独立审计师及审计委员会进行沟通，而且管理层必须尽快更正这种情况，并且披露更正的措施。萨班斯法案第 404 条款要求如果公司的内部控制存在实质性漏洞，则已经足以令外部审计师出具保留意见或否定意见。显著缺陷(Significant Deficiency)根据上市公司会计监察委员会发布的第2号审计准则中的定义，显著缺陷是指单

56、一或多个内控缺陷的存在，对企业根据公认会计准则可靠地启动、授权、记录、处理、报告外部财务数据的能力产生不良影响，以致无法将不能预防或发现年报或中期报告中的并非无关紧要的错报 (More than inconsequential) 的可能性降至最低。如果一个具有合理判断的人在考虑其它潜在错报的可能性后能断定某项错报是明显不重要的，则为无关紧要， 否则就属于并非无关紧要的错报。由此可见，在判断一项内控缺陷时涉及非常主观的人为判断，并且要求非常严格。实质性漏洞 (Material Weakness)根据上市公司会计监察委员会发布的第2号审计准则第10段中的定义，实质性漏洞指的是单一或多个显著缺陷的存

57、在无法把年报或中期报告中出现重大错报(significant misstatement) 的可能性降至最低。换言之：严重显著缺陷 = 实质性漏洞萨班斯法案第 404 条不仅要求公司财务报表没有重大错报，还要把这种可能性降至最低的水平。而公司的内部控制无法把财务报表出现错报的可能性减至最低已经足以令审计师出具保留意见或否定意见。COSO框架中国移动选取COSO框架评价公司与财务报告相关的内部控制系统的有效性。以下简要介绍COSO框架的基本概念和内容：根据美国反欺骗性财务报告委员会的发起委员会（The Committee of Sponsoring Organizations of the Tre

58、adway Commission，以下简称“COSO”）对风险管理的定义，企业风险管理是一个过程，它受企业董事、管理层和其他员工影响，应用于战略建立并贯穿整个企业。根据COSO内部控制框架，管理层必须记录、测试、评价内部控制框架中五个相互关联的组成部分，这些组件是从管理层对企业的运营方式中提炼出来，并与企业的管理流程融为一体。因此，尽管每个企业建立维护其内部控制都需要这五个组成部分，每个企业的内部控制系统通常看起来都会与其他公司有很大不同。COSO内部控制框架包括以下五个组成部分控制环境控制环境确立了企业的基调，影响着企业内人员的控制意识。控制环境是内部控制框架中其他组成部分的基础。控制环境包

59、含了七个主要元素：正直、守德的价值取向；员工的胜任能力；管理哲学和经营风格；组织架构；职权和职责的分配；人力资源的组织和发展；董事会关注的事项及导向。风险评估各个企业都面临着内生和外部风险，必须加以评估。风险评估的前提是建立联系不同层级但内部统一的目标。风险评估旨在识别和分析影响目标实现的相关风险，并构成如何管理风险的基础。由于宏观经济、行业、监管以及经营条件的不断变化，用于识别与处理环境变化所带来的风险的机制是必不可少的。控制活动控制活动指用于确保管理层的指令得以有效执行的一系列的政策和程序。这些政策和程序有助于企业采取适当措施来管理风险，以确保企业目标的实现。控制活动应实施于企业各个层面及

60、各个职能，包括一系列的活动，如审批、授权、核对、对账、管理层审阅、资产保管以及职责分工等。对内部控制的基本概念的介绍请详见第54点内部控制基本概念。（或者本句删除。）信息与沟通相关信息应以特定形式被及时地识别、获取和沟通，从而确保相关人员能够履行其各自职责。信息系统可以生成包含财务相关信息的报告，使控制财务报告可靠性成为可能。信息系统不仅可以处理内部生成的信息，还可以处理与外部事件、活动和条件相关的，为实现经营决策及对外报告所必需的信息。有效沟通应更为广泛地存在于企业内部，包括信息的上传下达和横向沟通等。管理层必须确保所有员工都接收到应严格履行控制职责的清晰信息。所有员工必须理解其在内部控制系