内部控制手册和矩阵维护管理规范

内部控制手册和矩阵维护管理规范

L0目的

为加强公司的内部控制管理工作，规范内部控制手册和控制矩阵的更新维护流程，明确穿行测试资

料等文档的归档保存，结合《萨班斯法案》相关要求，特制定本管理规范。

2.0适用范围

本办法适用于XX有限公司（以下简称“省公司”）、各市州XX分公司（以下简称“各分公司”）.

3.0职责

3.1根据XX通信集团公司总部制定、维护和发布的《XX内部控制手册》和《XX内部控制矩阵》等

年度标准化文档，结合XX公司实际情况，省公司制定并发布本公司的内部控制手册和控制矩阵。

3.2各分公司应以省公司的内部控制手册和矩阵作为内控的基础性文档和执行依据。如与省公司存

在较大差异的，各分公司可单独编制《***公司内部控制差异对照表》。

3.3各公司在维护内部控制手册和矩阵时，应明确维护主体和管理职责。涉及内部控制手册和矩阵

的维护主体包括：内控管理职能部门、流程主要负责部门、流程参与部门等。

3.3.1内控管理职能部门：财务部作为内部控制管理的职能部门，主要职责为：

1、负责内部控制手册和矩阵维护工作的总体组织协调：

2、负责制定内部控制手册和矩阵维护流程和相关规定：

3、负责对控制流程和控制点的最终认定；

4、负责组织更新维护申请的内部讨论和审批：

5、负责内部控制手册和矩阵的发布和管理；

6、负责内部控制手册和矩阵相关文档的归档管理等。

3.3.2流程主要负责部门：省公司流程（含子流程）主要负责部门包括综合部（COSO层面控制）、

市场经营部、数据部、计划部、网络部、财务部、人力资源部、法律事务室、物流中心、信息中心、业

务支撑中心、数据中心、网管中心，具体各主要负责部门对应的流程名称参见“附件一：省公司各业务

流程对应主要负责部门”，主要职责为：

1、负责监控相关控制流程的执行情况：

2、关注其发生影响内部控制手册和矩阵变化的因素，并及时向内控管理职能部门反馈：

3、负责撰写需更新的内部控制手册和矩阵内容；

4、负责制定必要的整改措施:

内部控制手册和矩阵维护管理规范

5、负责收集整理相关的穿行测试资料；

6、负责对流程和控制点的解释。

3.3.3流程参与部门：除流程主要负责部门外，涉及到内部控制实施及执行的各部门均为流程参与

部门，主要职责为：

1、配合流程主要负责部门对涉及的业务流程和控制点的执行情况进行监控：

2、关注其发生影响内部控制手册和矩阵变化的因素，并及时向流程主要负责部门反馈：

3、参与更新内部控制手册和矩阵的讨论：

4、协助撰写流程描述和收集穿行测试资料等。

3.3.4省公司及各分公司可以根据自己的实际情况，结合上述的管理职责，确定内部控制手册和矩阵管

理工作的组织架构和人员安排，以确保内部控制工作的管理、执行、监督等各环节的顺畅运行。

4.0管理规范

4.1更新和审批原则

4.1.1当出现导致需要更新内部控制记录的变化因素时，应及时更新内部控制手册和矩阵，以保证内部

控制记录的真实性和完整性。导致需要更新内部控制记录的变化因素包括但不限于以下五方面：

1、新的政策和法规颁布：

2、新技术、新业务的发展：

3、业务流程的变化；

4、组织机构及岗位职责的变化；

5、信息系统的更新和功能变化等。

4.1.2内控管现职能部门、流程主要负责部门、流程参与部门等共同对内部控制手册和矩阵的更新内容

进行讨论审核，并由相关部门的内控管理人员签字确认：对于符合上报审批条件的更新内容，应上报上一

级单位审批。

4.1.3对于符合以卜条件之一的修改更新，省公司应将更新内容上报总部审批：

1、纳入内部控制手册和矩阵中的业务流程或系统范围的变化：

2、控制点的删除或将其标示为不适用：

3、控制频率的变化以及控制类型的变化：

4、涉及控制描述的重大修改等。

内部控制手册和矩阵维护管理规范

各分公司单独编制的《***公司内部控制差异对照表》需上报省公司审批的范围及事项参照本条执

行。

4.1.4对于符合以下条件之一的修改更新，省公司内控管理职能部门负责审批，并上报总部备案：

1、控制点负责部门、负责人的调整：

2、控制点执行日期的修改；

3、穿行测试资料清单（包括COSO框架中索引文件）的更新：

4、其它不需要上报总部审批的修改内容。

4.2管理流程

4.2.1省公司及各分公司应按照“分级管理、逐级审批、定期更新”口勺原则进行内部控制手册和矩阵的

管理维护工作。“分级管理”是指省公司、市州分公司分别负责关注各自层面可能影响内部控制手册和

矩阵的变化因素，并提出维护需求。“逐级审批”是指符合审批条件的内部控制手册和矩阵维护需求均

应得到上一级批准后方可实施。“定期更新”是指一般情况下，省公司于每年度的5月31日前和10月

31日前分两次将符合上报审批条件札报备条件的更新内容上报总部。如需要，对于涉及业务流程范围或

系统范围变化等更新内容，可单独上报。

4.2.2内部控制手册和矩阵的管理维护流程可分为“自下而上”和“自上而下”两个循环。

自下而上：省公司流程主要负责部门提出维护需求，内控管理职能部门汇总后上报总部审批。

1、发起：流程或控制点负责人发现流程变化导致需要更新内部控制手册和矩阵时，填写“附件二:

内部控制手册和矩阵维护申请表”，报省公司内控管理职能部门，并提交相应的穿行测试资料。

2、省公司层面审批；内控管理职能部门根据《内部控制手册和矩阵维护申请表》判断该流程变化

是否需要更新控制手册和矩阵。如需要，由内控管理职能部口召集流程主要负责部门、流程参

与部门共同讨论，由流程主要负责部门牵头撰写新的流程描述，并经内审部门测试通过后，各

方在《内部控制手册和矩阵维护申请表》签字确认。

3、上报：内控管理职能部门汇总本半年所有符合上报条件的维护申请，填写“附件三：内部控制

手册和矩阵审批申请表”，经相关部门会签同意后，上报总部审批。

4、总部层面审批：总部汇总务公司上报的《内部控制手册和矩阵审批申请表》并经相关部门审阅

同意后，填写申请表中“总部审批意见”列，并发至各公司内控管理职能部门。

5、省公司层面更新：省公司内控管理职能部门根据总部审批结果统一更新内部控制手册和矩阵，

并将及时告知相关部门或市州公司，同时在“附件四：内部控制手册和矩阵维护备查簿”上进

行登记。

内部控制手册和矩阵维护管理规范

6、分公司层面更新：分公司收到省公司的更新通知后应及时通知相关部门，并在“附件四：内部

控制手册和矩阵维护备查簿”上进行登记。

自上而下：当标准化控制手册或矩阵发生修改更新时，总部将向各省公司发出内部控制手册和矩阵

更新通知。

1、发起：总部某部门发现流程变化等需要更新时，填写《内部控制手册和矩阵维护申请表》，报

财务部内控管理处。

2、总部层面审批：总部内控管理处根据《内部控制手册和矩阵维护申请表》，判断该内部控制手

册和矩阵的变化是否需要更新。如需要，由内控管理处召集流程主要负贡部门、流程参与部门

共同讨论，由流程主要负责部门牵头撰写新的流程描述，并经内审部门测试通过后，各方在《内

部控制手册和矩阵维护申请表》签字确认。

3、总部层面更新：财务部内控管理处根据审批确认的《内部控制手册和矩阵维护申请表》，更新

标准化内部控制手册和矩阵，并在《内部控制手册和矩阵维护备查簿》上进行登记。同时向各

省公司发出内部控制手册和矩阵更新通知。

4、省公司层面更新：各省公司内控管理职能部门收到更新通知后，判断该更新是否适用本省公司。

如适用，则由省公司内控管理职能部门填写《内部控制手册和矩阵维护申请表》，经相关部门

签字确认后，更新本公司的内部控制手册和矩阵，并同时在，内部控制手册和矩阵维护备查算》

上进行登记。如不适用，应由省公司内控管理职能部门将不适用的说明上报总部审批，报批程

序参照“自下而上”的审批流程相关步骤。

5、分公司层面更新：分公司根据省公司的通知统•更新内部控制手册和矩阵，并在《内部控制手

册和矩阵维护备查簿》上进行登记。

4.2.3省公司应于每年度的6月30U和11月30日前将更新定稿后的内部控制手册和矩阵上报总部备案。

4.3文档管理

4.3.1内部控制维护管理工作中涉及到的一系列重要文档包括内部控制手册、内部控制矩阵、缺陷和修

补计划汇总、穿行测试资料以及维护备查簿等五类。

1、内部控制手册：该文档为Word格式的年度文档，主要由内控管理职能部门根据各部门的反馈确

认进行更新。更新时直接在Vord文档上进行删除和增加，并在《内部控制手册和矩阵维护维护

备查簿》进行登记。

2、内部控制矩阵：该文档为Excel格式的年度文档，主要由内控管理职能部门根据各部门的反馈

确认进行更新，并在《内部控制手册和矩阵维护维护备查簿》上进行登记。

内部控制手册和矩阵维护管理规范

3、缺陷和修补计划汇总：格式参见“附件五：缺陷修补计划汇总表”，该文档为Excel格式的生

度文档，由内控管理职能部门根据各部门的反馈确认进行更新。对于新增的缺陷，应在缺陷和修

补计划汇总中列示，包括缺陷描述、修补措施、预计完成时间、责任部门等。

4、穿行测试资料：该文档为公司层面控制涉及的文件资料和流程层面的各控制点涉及的文件资料

的统称。穿行测试资料应每年收集整理并按省公司控制点进行编号留存。年度内，如因控制点描

述或穿行测试资料的格式或内容等发生变化导致需重新收集穿行测试资料时，应将新的穿行测试

资料增加到穿行测试资料文件夹，并沿用被替换掉的穿行测试资料的编号。对于被替换掉的旧穿

行测试资料，可在另外的文伶夹中留存备直。

5、维护备查簿：该文档为Excel文档，主要用来记录对内部控制手册和控制矩阵等的更新维护记

录，包括省公司控制点编号、更新日期、省公司控制点编号、原描述、修改后描述、修改原因和

总部审批意见等。

4.3.2省公司内控管理职能部门负责《XX通信集团XX有限公司内部控制手册》、《XX通信集团XX有限

公司内部控制矩阵》、《XX通信集团XX有限公司缺陷和修补计划汇总》、《XX通信集团XX有限公司内

部控制手册和矩阵维护备查簿》以及穿行测状资料等文档的更新维护.分公司仇责维护本公司的《**公

司内部控制差异对照表》、《**移动内部控制手册和矩阵维护备查簿》和穿行测试资料。

4.3.3各公司应按照以下的命名规则、文件编号规则维护以上五类文档：

1、日常维护文档时应采用的文件命名规则：文档名称+“V”+年月，如《XX移动内部控制手册V0608K

适用以上命名规则的文档包括内部控制手册、控制矩阵、缺陷和修补计划汇总、伊*公司内部控

制差异对照表》等。

2、年度定稿时应采用的文件命名规则：文档名称+年度+”版"，如《XX通信集团XX有限公司

内部控制手册（2007版）》。适用以上命名规则的文档包括内部控制手册、控制矩阵、《**公司

内部控制差异对照表》、缺陷和修补计划汇总、维护备查簿等。

4.3.4文档更新时，各公司应检查控制手册和控制矩阵等各文档的对应关系，保持各文档之间的一致性。

4.3.5《内部控制手册和矩阵维护备查簿》应设置密码保护。只有经授权的内部控制手册和矩阵维护人员

才有权限对《内部控制手册和矩阵维护备查簿》进行更新维护，其他人员只能查询该备杳簿记录。

4.3.6作为支持性文件的《内部控制手册