某内部控制测试管理规定文献

1、5.1.1 测试内容目的为规范公司内部控制测试管理，明确内部控制测试基本要求、基本目标、基本依据、测试基本方法及基本程序，制定本规定。范围本规定适用于公司机关各部门、所属各单位内部控制测试工作管理。术语和定义内部控制测试本规定所称的内部控制测试是指按照规定的程序、方法和标准，对公司内部控制体系设计的有效性和执行有效性进行检查。跟单测试本规定所称的跟单测试是指在重要业务流程中选取一笔业务，从业务发生开始，一直追踪到该笔业务反映到公司财务报告的测试过程。关键控制抽样测试本规定所称的关键控制抽样测试是以内部控制管理手册为标准，采用抽样测试的方法，对业务活动层面关键控制执行的有效性进行的检查。内部控制

2、审计本规定所称的内部控制审计是指针对公司内部控制设计和运行的有效性，由公司党群工作处具体实施内部控制测试的过程。自我测试本规定所称的自我测试是指针对内部控制设计和运行的有效性，由内部控制工作主管部门具体实施的检查过程。补充测试本规定所称的补充测试是指对前期内部控制测试中公司层面和跟单测试中样本不足的控制进行测试， 对未抽足样本的关键控制进行补充抽样， 以充分发现内部控制体系执行有效性方面的问题。改进测试本规定所称的改进测试是指对前期内控测试中发现的例外事项，在财务处下发改进意见并经过有效时间运行后进行的检查。更新测试本规定所称的更新测试是指针对资产负债表日（ 12 月 31 日）前 60 日，

3、经过前期普华外审、股份公司管理层测试和公司自我测试后，已抽足样本而无例外事项的控制；以及发现了例外事项，经改进测试已无例外且抽足样本的控制进行的检查。例外事项本规定所称的例外事项主要是指在内控体系设计和执行方面与相应的标准、规范、要求存在差异的事项。职责财务处是内部控制测试工作的主管部门，负责编写测试管理规定并做好维护工作；负责制定公司自我测试工作方案。组织开展公司自我测试。协调外部内部控制审计、股份管理层测试工作，并与外部审计师进行沟通。党群工作处（审计监察处）（以下简称党群工作处）负责组织制定公司内部控制审计实施方案并组织实施。公司各部门及所属单位负责本部门或本单位内控体系测试工作的具体实

4、施；负责本部门或本单位各项内部控制流程及其控制措施的有效实施并进行日常监督，定期开展自我测试；积极配合内部控制测试工作。管理内容基本要求测试主要包括以下内容：根据设计和运行有效性评价的要求，对公司层面、业务活动层面和信息系统总体控制有效性分别进行测试；对测试发现的例外事项进行分类确认说明；根据测试结果，编制测试报告。测试覆盖率公司自我测试：测试覆盖率达到重要业务流程不低于70%，关键控制点不低于90%，所属各单位数量不低于50%。所属各单位自我测试：测试覆盖率达到重要业务流程不低于70%，关键控制点不低于90%。测试的执行方式测试有两种执行方式，在ARCMJ控测试系统中执行测试和采取手工记录方

5、式执行测试。测试结果的记录a)采用ARCMJ控测试系统开展测试时，按照系统要求填制，具体要求参见附录A内控测试系统使用手册。b) 采用手工方式开展测试时，按照“ 5.3 5.6 ”中规定的管理内容及所提供的表单模板进行记录。5.2 测试工作的组织流程公司组织开展测试的组织程序测试组织与职责a)测试组织部门主要职责：组织编制测试方案，确定测试任务和要求；协调人员、时间安排；现场测试结束后，组织召开测试结果研讨会，确定测试例外事项及管理薄弱环节；审核各测试组的测试底稿及测试报告，编制测试总报告；按照要求下达测试整改意见，组织开展后续例外事项整改结果跟进，并适时组织现场改进测试。测试组长主要职责：组

6、织做好测试组人员分工及协调工作；负责与被测试单位的协调与沟通；对具体测试工作的进度和质量、上报测试资料的准确性及完整性负责。测试员主要职责：按时间进度完成测试任务；对测试发现的问题，收集复印相关资料，并提出整改建议；对测试内容的质量及准确性负责。准备阶段制定测试方案：测试组织部门人员制定测试方案，由部门领导审核批准。下发测试通知：通知内容包括测试的范围、时间安排及被测试单位名单等。组织测试人员集中培训：测试组织人员将测试计划、时间安排、要求予以说明。测试阶段与被测试单位人员沟通，召开见面会。会议内容包括：见面会由被测试单位内控主管部门组织， 参加人员为所属单位内控工作主管领导、 各部门负责人和

7、内控联系人以及测试组全体人员。被测试单位介绍参会人员、单位情况及内控体系建设情况；测试组长宣读测试文件，并将测试的内容、时间安排、测试期间、形式、类型等相关内容进行说明。开展现场测试。测试人员对各岗位人员进行访谈、测试，测试中应注意：被测试岗位人员办公室条件不允许或涉密可在集中办公区进行访谈、测试；为避免打扰被测试岗位人员日常工作，抽样、录入尽量在集中办公区进行，但一定要保证抽样资料完整、完好归还；5.3.3 测试方法测试时注意谈话用语、确保充分沟通；测试中如发现问题，需与岗位人员确认并及时与组长进行沟通，切忌武断，确认例外事项需提供充分的依据；每天测试工作结束后，测试组人员集中讨论、分析当日

8、的测试工作进展情况，保证获取被测试单位信息的共享，组长掌握测试进度。沟通测试结果。测试任务完成后，测试组组长根据测试的情况和问题与被测单位内控负责人进行沟通、确认，如有异议，将问题及相关证据带回。得出测试结论。与被测试单位充分沟通后，测试组长组织测试组人员进行集中讨论、分析，得出测试结论。总结阶段测试组完成测试报告及报表。测试组组长按要求整理测试报告并填制相关表单；系统测试需在系统内审核通过各项测试内容并生成报表。测试组汇报测试情况。测试组按要求向公司测试组织部门汇报测试工作的结果，测试组组长总结测试过程中的问题及测试组成员的工作表现。总结测试情况。将各测试组测试报告及表单汇总，形成总的测试报

9、告及分析材料。5.2.2 所属单位开展自我测试的组织程序准备阶段a)制定测试方案，下发测试通知，通知内容包括测试的范围、时间安排及测试部门等。b)召开自我测试准备会。所属单位内控工作负责人组织召开自我测试准备会，确定测试人员，成立测试组，对测试计划、测试内容、方式和具体关注问题予以说明。如采用ARCMB式系统开展测试，需向财务处申请测试账号，并对测试人员进行测试系统操作培训。测试阶段组织召开测试专题会。测试专题会由分公司内控主管部门组织，参加人员为内控工作主管领导、各部门负责人和内控联系人及测试组全体人员。会议内容包括：测试组组长介绍测试人员，宣读测试文件，并将测试的内容、时间安排、测试区间、

10、形式、类型等相关内容进行说明；内控主管领导提出具体工作要求。开展现场测试。测试人员到各岗位进行访谈、测试，测试中应注意事项与“ 5.2.1.3 b) ”的内容相同。沟通测试结果。测试任务完成后，测试组组长就测试的情况和问题与被测部门、岗位进行沟通、确认。总结阶段完成测试报告及报表。测试组组长按要求整理测试报告并填制相关表单；系统测试需审核通过各项测试内容并生成报表。汇报测试情况。测试组组长向所属单位管理层将测试的情况和问题予以汇报并进行总结；将测试报告及相关资料报送公司财务处。5.3 公司层面控制测试测试目的通过公司层面控制测试，查找内控设计和执行方面的问题，确保公司内部各个领域都有适当的控制

11、机制在发挥作用。测试依据公司层面控制测试内容与步骤。(参见附录B)；内部控制管理手册(西南管道分公司分册)。公司层面控制测试主要采用询问、观察、检查等方法。询问可以采用访谈和调查问卷两种方式。访谈对象必须是执行该项控制的岗位人员，如果无法访问，也可以访谈部门负责人或其他熟悉该项控 制的人员。观察主要是针对正在执行的控制或步骤进行现场见证。检查是以样本代表总体，通过抽样的方式检查样本，判断控制执行情况的一种方法。5.3.4 测试程序公司层面控制测试程序可以划分为准备阶段、实施阶段和总结阶段，测试程序中相关的手工测试表单参照“ 8 记录”中的相关内容。准备阶段准备阶段是指从发出测试通知，测试组进驻

12、被测试单位开始，直至完成测试计划的工作过程。这一阶段的主要工作如下：a)测试组根据测试范围取得并审阅附录B公司层面控制测试内容与步骤中涉及的文件、规章制度等资料(包含地区公司补充控制措施的资料) 并依据公司控制措施补充说明及相关的文件制度，初步了解公司层面控制现状。b)拟定测试步骤。依据附录B公司层面控制测试内容与步骤中“测试步骤”，结合“地区公司补充控制措施”，编写具体测试步骤。若采用ARCMW试系统执行方式，在系统中填列，若采用手工执行方式，在公司层面测试表中填列。拟定测试步骤时应保持“内控关注要点”、“地区公 司补充控制措施”、“具体测试步骤”等在内容上的一致性。c) 测试组人员根据初步

13、了解的情况，与被测试单位进行沟通，确定测试时间，制定测试计划。实施阶段实施阶段是指从完成初步计划并开始实施，直至完成全部测试步骤的工作过程。这一阶段的主要工作如下：对执行控制的岗位人员进行访谈。通过访谈，了解该岗位人员是否真正理解所执行的控制，并对设计层面初步分析存在的问题进行了解，同时 记录访谈结果。结合访谈结果，进一步完善测试计划。选取样本，如果从测试起始时间到截止时间，由于业务发生量的限制，无法取得满足要求的样本量，则应该选取已有的全部样本，同时记录样本的选取情况。选择样本时主要按照与财务报告内部控制相关的原则进行抽样。抽样时考虑的因素：所抽样本与财务报告内部控制有效性的关联程度。以前年

14、度测试易出现例外事项的样本范围。当年公司层面控制变化情况。业务活动控制运行有效性方面已知的或已发现的例外事项，此例外事项的产生可能是由于公司层面的控制设计和执行不当所致。对样本进行检查。检查内容有： 设计的控制在实际工作中是否执行； 控制执行是否与该控制对应的文件规定相符合， 且留下了重要实施证据， 同时对设计有效性测试发现的例外事项通过检查样本进一步验证是否是设计方面存在问题。 通过抽样的方式检查控制实施证据时， 如果发现所抽取的样本不能完全达到测试目 的时，应把抽取样本的相关情况记录下来，再另行抽取样本。通过测试发现在相关控制方面出现不容易理解或有异议，不能达到测试目标，应进一步与相关人员

15、进行访谈或重新进行测试。记录公司层面控制测试过程及结果。测试过程中， 根据测试情况在 公司层面控制测试表 中记录测试信息。 测试时应对重要的信息进行记录； 对测试发现的例外事项的相关证据取得复印件或扫描件，没有例外事项的只需要在相关表单中进行记录，不需取得复印件或扫描件。总结阶段总结阶段是指测试人员完成全部测试后，对测试内容进行整理分析的过程，该阶段具体工作步骤：汇总整理公司层面控制测试表，将相应内容整理至公司层面控制测试例外事项汇总表，并由测试组长进行复核。对测试结果进行分析。对测试发现的例外事项进行详细的说明，分析例外事项产生的原因。对于改进测试发现的未整改的例外事项，应考虑补充及补偿控制

16、并进行测试、记录。c) 对测试结果进行沟通确认。对测试发现的问题与相关人员进行充分沟通， 最终达成一致意见后由被测试单位相关人员签字确认。 如被测试单位存在异议， 可将其意见一并上报测试组织部门。业务活动层面跟单测试测试目的熟悉和理解业务流程。验证公司确认的重要风险和关键控制的完整性和合理性。检查公司是否制定了与控制实施相关的制度。确认的控制(一般控制和关键控制)是否被有效执行，该控制执行后能否防范风险。测试依据内部控制管理手册(西南管道公司分册)。测试方法跟单测试方法主要有询问、观察和检查。询问主要采用访谈的方式，访谈对象原则上是业务流程中的关键执行人员，如果无法直接访谈，也可以访谈部门负责

17、人或其他熟悉该流程的人员。观察针对有必要观察的正在执行的控制或步骤进行现场见证，获取控制证据。检查在跟单测试中包括两个方面，一方面对文件制度的检查，重点是文件制度中是否做出相关规定；另一方面是对实施证据的抽样检查，抽取的样本应能够贯穿重要业务流程的全过程，具有代表性和普遍性，原则上跟单测试只抽取一个样本。测试程序跟单测试工作过程分为准备阶段、实施阶段、总结阶段，测试程序中相关的手工测试表单模板参照“ 8 记录”中的相关内容。准备阶段准备阶段是指从发出测试通知后，测试组进驻被测试单位开始，直至初步完成测试计划的工作过程。这一阶段的主要工作如下：审阅被测试单位适用的风险控制文档、流程图等相关资料，

18、初步了解业务活动层面的重要风险及关键控制措施。如果被测试单位的流程图和风险控制文档不能使测试人员了解被测试单位的流程，应及时与被测试单位沟通，并进一步理解内部控制文件描述的内容。若采用手工执行方式，编制详细的跟单测试计划表，内容包括需要访谈的岗位名称，访谈的时间等。通过编制跟单测试计划表，协调双方的时间安排，提高工作效率。实施阶段实施阶段是按照计划完成所有测试步骤的工作过程。被测试单位主要根据测试要求，配合测试人员工作。这一阶段的主要工作如下：检查被测试单位风险控制文档描述的重要风险和关键控制是否与公司一致，如果不一致，分析其原因并做出记录。访谈业务流程的相关人员，了解业务流程的运行情况与变化

19、情况，重点关注：公司确定的重要风险和关键控制在被测试单位是否被采用，并在哪些岗位实施；被测试单位业务流程中存在的特殊重要风险是否被识别，相应的关键控制是否被确认并准确记录；了解以前年度存在问题的整改情况，并在设计层面初步分析整改后是否达到了控制目标，分析其合理性。对有必要观察的正在发生的特定控制进行观察，进而获取控制证据。抽样检查样本。选取有代表性的样本进行检查，重点关注以下方面：公司设计的控制是否被有效执行，该控制执行后能否防范相关的重要风险；通过抽取样本进一步验证访谈结果是否准确 (即公司业务流程中存在的特殊重要风险是否被识别， 相应的关键控制是否被确认并准确记录) 。在跟单测试中，抽样需

20、考虑：样本能够代表重要业务流程中的主要业务类型，具有一定的普遍性。对于设计方面文本规范性的问题，主要是指控制描述不规范，但不影响控制设计与执行的有效性的问题，如：风险控制控制文档与流程图不一致， 但控制执行有效、 控制实施证据描述有误、 流程描述中格式欠缺、 风险点及控制点标注不准确及其他文本规范性问题。 测试人员在测试过程也应关注此类问题， 在测试结束后与被测单位进行沟通， 提出整改建议。 此类文本规范性问题可以不作为例外事项， 不在测试表和汇总表中体现， 但测试报告中应按类别反映测试情况。在检查样本时，应结合公司设计有效性测试发现的问题，通过检查样本进一步验证设计方面发现的问题。对执行层面

21、发生的例外事项，应分析例外事项产生的原因，是否是因为设计方面存在问题而产生例外事项。f)测试完毕后，若采用手工执行方式，根据测试结果，针对产生例外事项的流程填写跟单测试例外事项汇总表内容；若采用ARCMI试系统执行方式，在系统中按要求记录测试结果。复印或扫描例外事项涉及的相关证据。总结阶段总结阶段是指测试人员完成全部测试后，对测试内容进行整理分析的过程，该阶段具体工作步骤：填列完整并整理跟单测试例外事项汇总表，并由测试组长进行复核。对测试结果进行分析。对测试发现的例外事项进行详细的说明， 分析例外事项产生的原因。 对于改进测试发现的未整改的例外事项， 应考虑补充及补偿控制并进行测试、记录。对测

22、试结果进行沟通确认。对测试发现的问题与相关人员进行充分沟通， 最终达成一致意见后由被测试单位相关人员签字确认。 如被测试单位存在异议， 可将其意见一并上报测试组织部门。业务活动层面关键控制抽样测试测试目的查找关键控制执行方面存在的问题，确保设计有效的关键控制在公司得到有效执行。测试依据关键控制抽样测试内容与步骤(参见附录C)；内部控制管理手册(西南管道公司分册)。测试方法关键控制抽样测试主要采用询问、观察、检查、再执行等方法。询问对象原则上是执行该项控制的人员。如果无法访问，也可以访谈部门负责人或其他熟悉该项控制的人员。通过询问了解被访谈人对该控制措施是否理解，是否知晓如何实施控制。观察针对有

23、必要观察的正在实施的关键控制进行现场见证，获取控制证据。检查是以样本代表总体，通过抽样的方式检查样本，判断关键控制总体执行情况的一种方法。测试人员在确定样本总体、选取样本、确定样本量时应依据一定的方法进行。再执行主要是对需要通过再执行验证执行有效性的关键控制，由测试人员通过重新执行该项控制，检查该控制实际执行结果是否有效。样本总体的确定样本总体包括构成某类交易和事项的所有项目，测试人员应当确保样本总体的适当性和完整性。适当性。测试人员确定的样本总体应适合于特定测试目标。如：材料入库验收数量控制中，控制目标为保证入库物资数量计量的准确性，样本总体应为材料入库数量验收事项，而不应是材料入库质量验收

24、事项。完整性。测试人员应从样本总体项目内容和涉及时间等方面确定样本总体的完整性。 如： 固定资产报废控制中， 测试人员不仅要了解财务账所反映的报废项目情况，还要结合其他相关资料(如相关审批文件、会议纪要等)确定样本总体，以保证样本总体为全部资产报废事项。样本的选取分层测试人员在选取样本时要考虑样本是否具有不同的特征， 如果有， 就要考虑分层。 将一个样本总体根据特征分成多个子总体， 每个子总体具有相同特征。抽样范围要涵盖全部子总体。测试人员可以按以下方式分层：a) 按明细科目分层。如银行存款科目一般按照不同的账户设置明细科目，在检查银行存款余额调节表时可以按银行账户明细科目分层抽取样本；在检查

25、费用报销时，可以按管理费用、财务费用、销售费用等科目分层。b）按业务类型分层。如采购业务可以按招标项目、非招标项目分层。c）按权限分层。如固定资产报废事项可以按公司自行审批、需报股份公司审批进行分层。d）按期间分层。如往来签认事项可以按账龄分层。测试人员可以根据实际情况确定样本分层方法，分层后，子总体样本数量之和为总体样本数量，子总体样本数量占总体样本数量的比例可以参照子 总体样本涉及金额占全部样本涉及金额的比例来确定。子总体样本选取具体到每个子总体抽样时，按随意抽样的原则进行抽样。抽样时样本要相对分布均匀，不要集中在某一时间段，以确保样本能够代表样本总体。样本量的确定，通过固定控制频率/折合

26、频率来确定样本数量。a）关键控制抽样测试中，自动应用控制的样本量不考虑控制频率，固定为 1个。b）手工控制及半自动应用控制中定期发生的控制的样本量是通过控制发生的频率来确定的。c）手工控制及半自动应用控制中不定期发生的控制或者执行对象比较多的定期发生的关键控制，需要确定该控制在一个会计年度内大约发生的次 数，折合成控制发生的频率后再确定样本量。样本量确定参见下表：关键控制样本量确定表不定期发生次数固定控制频率/折合频率样本数量自动应用控制不适用1手工控制/半自动应用控制每年一次1每半年一次2每季一次215次以下每月一次2-51欹和50次之间每周一次5、10、1550和20砍之间每日一次20、3

27、。40大于20砍每日数次25、30、45、60公司机关及所属各单位样本量确定具体如下：1）在公司机关层面执行的关键控制，以公司机关为一个抽样单位，按照规定的样本量上限进行抽样测试；2）在公司所属各单位执行的关键控制，以每个所属单位为一个抽样单位，按照不低于规定的样本量下限进行抽样测试。d）在改进测试、补充测试和更新测试中，样本量的确定按照以下方法进行；1）改进测试样本量的确定方法改进测试样本量确定表控制频率改进后的关键控制 至少需要运行的时间或次数改进测试最低样本量每季一次两季2每月一次两个月2每周一次五周2每日一次二十日10每日数次二十五次25至少十五日无法确定频率的控制，参照前述方法确定折

28、合频率，再确定样本量。2）补充测试样本量的确定方法关键控制补充测试应抽取样本数量是前期测试中实际抽取样本数量减去实际抽取样本数量的差额;3）更新测试样本量的确定方法更新测试定期发生控制样本量确定表控制频率样本数量每年一次N/A每季一次1每月一次1每周一次2每日一次10每日数次15无法确定频率的控制，参照前述方法确定折合频率，再确定样本量。测试程序关键控制抽样测试程序可以划分为准备阶段、实施阶段、总结阶段。由于控制方式不同，各阶段测试方法和步骤的应用会有所区别，可以划分为手工控制、应用系统控制两个方面。测试程序中相关的手工测试表单模板参照“8记录”中的相关内容。手工控制的关键控制抽样测试程序a）

29、准备阶段准备阶段是指从发出测试通知，测试组进驻被测试单位开始，直至完成测试计划的工作过程。这一阶段的主要工作如下：测试单位适用的风险控制文档、流程图等相关资料，初步了解重要风险及关键控制措施。2）根据风险控制文档填写关键控制抽样测试计划表中的“控制目标”、“控制措施”、“控制编号”、“测试步骤”等内容。3）测试组负责人对测试计划进行复核。b）实施阶段实施阶段是指从完成初步计划并开始实施，直至完成全部测试步骤的工作过程。这一阶段的主要工作如下：1）对执行控制的人员进行访谈。访谈内容包括控制的程序和具体内容（做什么）、执行该控制的依据和方法（如何做）等，通过访谈，了解该 业务人员对该控制的理解程度

30、。2）结合访谈结果，确定样本总体，并根据控制频率确定样本数量。3）根据确定的抽样方法选取样本。如果从测试起始时间到截止时间，由于业务发生量的限制，无法取得要求的样本量，则应该选取已有的全部 样本，同时在关键控制抽样测试计划表中记录样本的选取情况。4）对样本进行检查。重点关注：控制结果是否正确；控制过程是否有效；控制实施证据是否完整有效。除抽样检查外，结合观察、再执行等方 法进行测试，在关键控制抽样测试计划表中记录实际抽取样本的数量，并记录样本量差异原因分析。5）测试完成后，根据测试结果对发现的例外事项、测试人员与被测试单位意见存在异议的事项填写关键控制抽样测试例外事项汇总表中 “例外事项说明及

31、原因”。6）完善关键控制抽样测试计划表、关键控制抽样测试例外事项汇总表，复印或扫描例外事项、测试人员与被测试单位意见存在异议 事项的相关证据。c）总结阶段总结阶段是指测试人员完成全部测试工作后，对查证内容进行整理分析的过程。该阶段具体工作步骤有：1）根据关键控制抽样测试计划表，将相应内容整理至关键控制抽样测试例外事项汇总表，并由测试组长进行复核。2）对测试结果进行分析。对测试发现的例外事项进行详细的说明，分析例外事项产生的原因。对于改进测试发现的未整改的例外事项，应考虑 补充及补偿控制并进行测试、记录。3）对测试结果进行沟通确认。对测试发现的问题与相关人员进行充分沟通，最终达成一致意见后由被测

32、试单位相关人员签字确认。如被测试 单位存在异议，可将其意见一并上报测试组织部门。5.5.6.2应用系统控制的关键控制抽样测试程序。a）准备阶段准备阶段是指从发出测试通知，测试组进驻被测试单位开始，直至完成测试计划的工作过程。1）审阅被测试单位适用的流程图、应用系统风险控制文档等资料，初步了解流程以及应用系统的关系、信息系统应用控制的内容。根据应用 系统情况及测试人员的业务能力确定具体的测试分工。根据应用系统风险控制文档填写关键控制抽样测试计划表中的“控制目标”、“控制措施”、“控制编号”、“测试步骤”等内容。对于某些具有特定时间要求的控制措施，如期末会计结账、月度财务报告编制等，需要测试单位预

33、先安排测试计划，以便协调正常的业务操作和测试安排。测试组负责人对测试计划进行复核。实施阶段实施阶段是指从完成初步计划并开始实施，直至完成全部测试步骤的工作过程。这一阶段的主要工作如下：对执行控制的人员进行访谈。访谈内容包括控制的程序和具体内容(做什么)、执行该控制的依据和方法(如何做)等。通过访谈，了解该业务人员对该控制的理解程度。结合访谈结果，确定样本总体和样本量。根据确定的抽样方法选取样本。如果从测试起始时间到截止时间，由于业务发生量的限制，无法取得要求的样本量，则应该选取已有的全部样本，同时在关键控制抽样测试计划表中记录样本的选取情况。对样本进行检查。主要关注：控制结果是否正确；控制过程

34、是否真实有效；控制实施证据是否完整有效。同时可以结合观察、再执行等方法进行测试，在关键控制抽样测试计划表中记录实际抽取样本的数量，并记录样本量差异原因分析。总结阶段。总结阶段的工作与手工控制的工作内容相同。信息系统总体控制测试测试目的通过信息系统总体控制测试， 检查是否根据公司信息系统总体控制管理文件的要求， 执行了信息系统管理的各项控制活动， 从而提高应用系统控制的有效性，确保信息系统支持的应用控制是可靠的、生成的数据和报告是可信的。测试依据公司信息系统总体控制测试内容与步骤(参见附录D)；中国石油天然气股份有限公司信息系统总体控制实施要求；c ) 内部控制管理手册(西南管道公司分册)。测试

35、方法信息系统总体控制测试采用访谈、观察、再执行、抽样检查等方法。在采用抽样检查的方法时，测试人员采用随意的方式选取样本，但是同时考虑以下两个因素：抽取样本时间的均匀分布，不能集中抽取某一期间的样本。常规业务样本与非常规业务样本的均匀分布，在测试时，样本对应的业务不能集中在一种类型，尽量覆盖样本所涉及的业务类型。样本量的确定：在信息系统总体控制测试中，除了项目建设管理流程与信息安全领域AQ-3采取全样本测试外，其他控制点测试需要的样本量其确定原则与关键控制抽样测试确定的原则相同。改进测试、补充测试以及更新测试的样本量确定参考业务活动层面的确定标准。测试程序信息系统总体控制测试工作划分成三个阶段，

36、包括：准备阶段、实施阶段、总结阶段，测试程序中相关的手工测试表单模板参照“ 8 记录”中的相关内容。准备阶段准备阶段是指从发出测试通知，测试组成员进驻被测试单位开始，直至完成测试计划的工作过程。这一阶段的主要工作如下：取得相关资料，包括最新的信息系统总体控制岗位人员对照表、公司信息系统总体控制测试内容与步骤、中国石油天然气股份有限公司信息系统总体控制实施要求(以下简称实施要求)等。仔细阅读实施要求等资料，如果在本测试期内实施要求经过修订，则需要根据实施要求的修订情况修改测试模板中的控制目标、关键控制点描述、测试步骤等内容。阅读岗位人员对照表和岗位职责文件，理解和熟悉测试模板中关键控制点涉及的岗

37、位和职责，测试人员可事先与被测试单位沟通，以便准确了解需要访谈的岗位人员，制定测试的计划安排。d)根据计划测试的控制点和附录D公司信息系统总体控制测试内容与步骤填写信息系统总体控制抽样测试计划表中的“控制目标”、“控制措施”、“控制编号”、“测试步骤”等内容。实施阶段实施测试阶段是指按照测试计划和测试步骤，完成全部测试内容的工作过程。这一阶段的主要工作如下：访谈执行控制的岗位人员， 了解该业务人员是否真正理解所执行的控制， 并对该业务人员的胜任能力做出判断， 将访谈结果记录在测试表中。结合访谈结果，确定样本总体和控制频率等问题，并选取样本。如果从测试起始时间到测试截止时间，由于业务发生量的限制

38、，无法取得要求的样本量，则应该选取已有的全部样本，同时在信息系统总体控制抽样测试计划表记录样本的选取情况对样本进行检查，重点关注信息系统总体控制措施在实际工作中是否得到有效执行，是否符合信息系统总体控制措施的描述。测试人员不应在发现样本出现问题后更换样本，以避免造成测试结果的失真。对于存在问题的文档需要取得复印件。总结阶段总结阶段是指测试人员完成全部测试内容后，对查证内容进行整理分析汇总的过程，该阶段具体工作步骤有：根据信息系统总体控制抽样测试计划表，将相应内容整理至信息系统总体控制抽样测试例外事项汇总表，并由测试组长进行复核。对测试结果进行分析。对测试发现的例外事项进行详细的说明，分析例外事

39、项产生的原因。对于改进测试发现的未整改的例外事项，应考虑补充及补偿控制并进行测试、记录。对测试结果进行沟通确认。对测试发现的问题与相关人员进行充分沟通，最终达成一致意见后由被测试单位相关人员签字确认。如被测试单位存在异议，可将其意见一并上报测试组织部门。例外事项分类及确认公司层面控制测试、跟单测试例外事项分为设计层面和执行层面两大类。设计层面：应有的控制不存在或者设计不合理。应有的控制不存在具体表现在内部控制手册中没有进行相关描述，通过测试发现，实际中也没执行该项控制。设计不合理具体表现在即使按设计实施控制，也达不到控制目标。实际执行的控制没有被记录。已有的控制没有在控制措施中进行描述。设计的

40、控制记录不准确。主要是指控制措施描述不准确或不完整，已经影响或很有可能影响控制的有效实施。如控制措施描述与实际执行不相符，但实际执行比描述更恰当。已有的控制缺乏必要的制度或制度不完善。实际执行的控制，没有在相关制度文件中规定或规定不准确、不完整。执行层面：控制未执行或执行不完整。具体表现在，控制措施中描述的控制在实际中没有执行或执行不完整，或者已执行，但不符合相关规定。控制执行程序错误。主要是指没有按规定的程序执行控制的作业步骤。(公司层面控制测试适用)缺少控制实施证据或实施证据不完整。主要是指测试时没有发现可以支持控制有效执行的重要实施证据或控制实施证据不完整。如测试时没有发现重要实施证据，

41、但有其他证据可以作为旁证来支持控制有效执行。(公司层面控制测试适用)一般控制执行不准确。该类问题是指一般控制在执行过程中除完全没有执行之外的其他问题。(跟单测试适用)关键控制抽样测试、信息系统总体控制测试例外事项分为以下七类：未按授权规定执行控制。该类问题是指一项关键控制由未经授权的岗位人员执行或岗位人员的控制权限超过授权范围。控制执行不完整。该类问题是指在一项关键控制中，描述了多个作业步骤，但测试时发现实际只执行其中的一部分，没有完整执行该项关键控制的所有作业步骤。控制执行程序错误。该类问题是指在一项关键控制中，描述了多个作业步骤，但测试时发现实际执行程序有误，没有按规定的程序执行该项关键控制的所有作业步骤。不了解如何实施控制导致控制结果不正确。该类问题是指测试发现关键控制虽然存在实施证据，但是执行控制的人员不了解如何实施控制， 造成控制结果不正确。e) 了解如何实施控制但控制结果不正确。该类问题是指测试发现关键控制虽然存在实施证据，执行控制的人员也对如何实施控制比较了解，但 控制结果不正确。缺少重要实施证据。该类问题是指测试没有发现可以支持控制有效执行的重要实施证据。控制实施证据不完整。该类问题是指测试没有发现重要实施证据，但有其他证据可