内部控制项目工作实施指引讨论稿.doc

遵循萨班斯-奥克斯利法案404条款内部控制项目工作实施指引2006年1月1日目录前言1一、项目整体介绍11项目背景介绍12项目总体时间表13省公司项目工作开展时间表5二、项目管理51项目组织方式52项目职责划分63项目宣传和培训机制104项目沟通机制115项目考核机制136项目保密机制147项目的后续管理14三、内部控制相关基本概念151重要法案法规时间表152第2号审计准则153COSO框架164内部控制的基本概念18四、项目准备211时间安排212总部层面的项目准备工作213省公司层面的项目准备工作224地市公司层面的项目准备工作235注意事项23五、流程记录251时间安排252总部层面的工作253省公司层面的工作254试点地市公司层面的工作265注意事项26六、省公司对流程记录和改进建议的确认271流程参与部门负责人确认272省公司管理层确认29七、内部控制设计缺陷改进301时间安排302总部层面制定与执行修补计划303省公司层面制定与执行修补计划304地市公司层面制定与执行修补计划315注意事项33八、测试和评价331时间安排332省公司测试和自我评价333总部组织相关人员进行测试和独立评价33九、持续跟进和测评34十、文档管理341总部管理的文档342省公司管理的文档343地市公司负责维护的文档35十一、常见问题解答351如何解决关键岗位人员访谈时间冲突？352流程现场记录阶段需要补充调配人员的协调解决方式？353如何确认流程记录范围、记录详略程度？354总部流程记录和省公司流程记录所涉及的层级有哪些？365当地市公司间同一业务存在多种操作方式时，如何决定流程的记录方式？376流程现场记录阶段各参与部门间出现分歧的协调解决方式？377如何提炼主要控制点？378如何准确、完整记录控制点？379如何统一流程记录中的称谓？3810流程、主要控制点如何编号？3811什么是重要电子表格？3912缺陷的发现和确认方法3913穿行测试资料收集要求？4014什么是控制列表？4015为什么需要管理层审阅与核对的控制？4016审阅为什么要留下证据？4117什么是不相容职责？4118如何进行内部控制设计缺陷与执行有效性缺陷的区分？4119如何判断显著缺陷和实质性漏洞？4120什么是信息系统控制？4321什么是终端用户计算工具及其常用控制方法4522为什么要在系统中设置用户密码？4623为什么要避免共享用户账号？4624为什么要记录信息系统的基准文档？46十二、附件471总部项目机构设置472总部联络人和毕马威联络人名单及联系方式473纳入评估范围的省公司和关键业务流程列表474省公司内部控制手册编写说明475流程及控制点编号规则476穿行测试工作底稿477子流程主要负责及参与部门建议模板478子流程记录时间安排样表479子流程反馈意见样表4710管理层审批表4711XX移动通信有限责任公司控制列表4712缺陷修补计划4713XX地市公司控制简表47知识产权限制本文档系中国移动（香港）有限公司为遵循美国萨班斯-奥克斯利法案404条款项目（以下简称“本项目”）编撰，其中载有中国移动（香港）有限公司及其关联公司的商业机密、专有资料和其他保密信息，中国移动（香港）有限公司享有本文档的全部知识产权（包括但不限于著作权）。本文档仅限于本项目之目的，在公司范围内由有权接触本文档的人员使用。任何单位和个人不得以任何方式向任何未经授权的第三方透露本文档的任何内容。前言根据公司董事会对美国萨班斯-奥克斯利法案（以下简称萨班斯法案）404条款遵循项目（以下简称“本项目”）工作的实施要求和进度安排，我公司于2005年6月正式启动了萨班斯法案404条款遵循项目工作，至2005年12月本项目已完成对试点省公司的调研工作，形成了中国移动（香港）有限公司内部控制手册（第一版）（以下简称中国移动内部控制手册）。自2006年1月，本项目将进入推广记录阶段，除试点省公司之外的其他省公司将陆续分批开展项目工作。为了使本项目在省公司顺利推行，总部项目小组结合总部及试点省工作经验编写了本文档，旨在为各省公司下一步工作的开展提供具有较高可操作性的指引。一、 项目整体介绍1 项目背景介绍近年来随着安然、世界通讯等公司的一系列丑闻案件的发生，美国资本市场不断面临着信心危机的挑战。为提高上市公司治理水平，恢复投资者信心，保护投资者利益，立法和监管机构意识到有必要对资本市场当前的法律法规进行变革，加强对资本市场参与各方的约束。2002年7月30日美国总统布什签署颁布了萨班斯法案（又被称作2002年公众公司会计改革和投资者保护法案），要求在美国上市的公司承诺对其披露的财务报告的真实性负责，并建立有效的监控措施保证这种真实性。萨班斯法案中，404条款强调公司管理层需要通过内部控制加强公司治理，该条款要求非美国本土的上市公司，应在2006年7月15日或之后结束的首个年度，即2006年12月31日结束的财务报告中做出有关内部控制有效性的书面声明，其中包括：管理层对建立和维护内部控制的责任声明；管理层对评估内部控制所采用的评估框架的声明；公司在最近财政年度末对内部控制有效性的评估，包括公司与财务报告相关的内部控制是否有效的声明。404条款还要求外部审计师对于与财务报告相关的内部控制和管理层对内部控制的评价进行审计，并出具审计意见。萨班斯法案404条款要求进行评价的内部控制包括针对与会计报表中所有重要科目和信息披露相关的所有会计认定所实施的内部控制，包括： 主要交易是如何启动、记录、处理和反映在财务报告中； 用以防范或找出与重要账户、交易种类和披露相关的错误或舞弊的内部控制措施； 其它重要内控措施所依赖的内部控制，包括一般性控制，例如信息系统控制； 非经常性、非系统交易或财务估计的内控措施； 财务报表关账和汇总过程中的内控措施； 资产保护的控制措施； 公司层面的控制措施。作为在美国上市的公司，我公司必须满足萨班斯法案的要求，遵循萨班斯法案的同时也为提升公司整体管理水平提供了良好契机。通过开展该项目，寻找公司高速发展过程中容易忽视和掩盖的管理问题，发现企业存在的内部风险和控制薄弱点加以解决，有利于提高公司内部控制和风险管理水平，有利于增强企业竞争力和持续发展能力。2 项目总体时间表我公司对萨班斯法案404条款的首次遵循工作具体工作安排：制定评估计划和范围阶段2005年7月试点记录阶段2005年8月至2005年12月中旬推广记录阶段2006年1月至2006年4月底内部控制设计缺陷改进阶段2006年1月至6月测试和评价阶段2006年5月至9月持续跟进和评价阶段2006年9月至2006年12月外部审计师审计阶段中期审计：2006年7月至9月年终审计：2006年12月至2007年1月以上各阶段均为首次遵循萨班斯法案404条款所需进行的工作，应在2006年底前完成。2.1 制定评估计划和范围阶段工作安排： 总部建立项目管理委员会并确定应纳入评价范围的省公司和业务流程； 建立总部记录和评价内部控制的项目工作小组； 总部项目工作小组确定项目总体工作方法及项目工作计划。主要工作成果： 用于确定纳入评估范围的省公司和关键业务流程的重要性及评价标准； 纳入评估范围的省公司和关键业务流程列表（参见附件3），一共包括12个业务流程和COSO内部控制框架差距分析（其中12个业务流程分为42子流程）； 对内部控制进行记录的方法及记录标准； 评价内部控制有效性及控制缺陷的原则。2.2 试点记录阶段工作安排： 总部项目工作小组从纳入评价范围的省公司中选取有代表性的试点省公司，并建立下属于总部的，组织机构相似的项目管理委员会和项目工作小组； 对总部和试点省公司的项目工作小组进行与财务报告相关的内部控制记录的培训； 对总部和试点省公司进行与财务报告相关的流程记录、主要控制点提炼、差距分析、缺陷归纳并提出改进建议，编制中国移动内部控制手册； 总部批准并颁布中国移动内部控制手册； 由总部和试点省公司对内部控制设计有效性方面的缺陷进行汇总，提交总部及试点省公司管理层审阅。主要工作成果： 总部和试点省公司项目管理委员会和项目工作小组成员名单（参见附件1总部项目机构设置）； 有关记录与财务报告相关的内部控制的培训； 中国移动总部和试点省公司与财务报告相关的内部控制缺陷和改进建议汇总，以下简称中国移动缺陷和改进建议汇总； 中国移动内部控制手册。2.3 推广记录阶段工作安排： 省公司比照中国移动内部控制手册进行本省的流程记录、主要控制点提炼、差距分析、缺陷归纳并提出改进建议； 省公司对内部控制设计有效性方面的缺陷和改进建议进行汇总并提交本省管理层审阅； 省公司管理层批准XX移动通信有限责任公司内部控制手册。主要工作成果： 省公司的与财务报告相关的内部控制流程记录定稿，以下简称流程记录定稿； XX有限责任公司缺陷和改进建议汇总； XX移动通信有限责任公司内部控制手册。2.4 内部控制设计缺陷改进阶段工作安排： 省公司对内部控制缺陷制定修补计划并实施修补措施。主要工作成果： 省公司的缺陷修补计划； 完成省公司缺陷修补。2.5 测试和评价阶段工作安排： 省公司管理层对与本省财务报告相关的内部控制的设计有效性与执行有效性进行测试和自我评价； 省公司管理层对本省记录信息系统的基准文档是否符合要求进行测试和自我评价，基准文档的概念参见第十一部分常见问题解答24； 总部组织相关人员对省公司与财务报告相关的内部控制的设计有效性与执行有效性进行测试和独立评价； 具体评价方法和步骤详见内部控制测评手册（另文下发）。主要工作成果： 对内部控制进行测试和评价的记录； 内部控制测试缺陷汇总及改进计划。2.6 持续跟进和评价阶段工作安排： 由总部和各省公司的管理层和流程负责人对与财务报告相关的内部控制的有效性和内部控制缺陷修补措施进行持续监控； 管理层于2006年年末对内部控制的有效性进行最终测试和评价。主要工作成果： 持续更新的内部控制缺陷修补计划和执行内部控制缺陷修补措施； 2006年12月31日管理层有关内部控制有效性和重大漏洞的书面声明。2.7 外部审计师审计阶段工作安排： 外部审计师启动对与财务报告相关的内部控制的中期审计； 外部审计师对与财务报告相关的内部控制进行年终审计。主要工作成果： 中期审计发现及意见； 审计报告。3 省公司项目工作开展时间表除试点省公司外的其他省公司从项目总体时间表中的推广记录阶段开始实施本项目，具体工作安排：项目准备阶段接总部项目启动通知起10天左右流程记录阶段一个月左右流程记录和改进建议确认阶段一周左右内部控制设计缺陷改进阶段二个月左右测试和评价阶段2006年5月至9月持续跟进和评价阶段2006年9月至2006年12月外部审计师审计阶段中期审计：2006年7月至9月年终审计：2006年12月至2007年1月以上各阶段均为首次遵循萨班斯法案404条款所需进行的工作，应在2006年底前完成。二、 项目管理1 项目组织方式本项目采取总部、省公司和地市公司三级管理的组织方式。总部负责本项目的整体进度和质量管理，对各省公司工作进行监督和指导，以确保中国移动整体按照萨班斯法案的要求在规定的时限内完成对该法案的遵循工作。省公司负责本省范围内部控制管理工作，使本省内部控制符合404条款要求。在总部的监督和指导下，根据总部下发的中国移动内部控制手册、本指引及其他指导性文件在本省范围内开展流程记录、控制点提炼、差异分析、缺陷归纳、缺陷修补、穿行测试、对内部控制执行有效性进行自我评估等工作。地市公司负责本地市公司范围内部控制管理工作，使之符合404条款要求。在省公司的监督和指导下，根据省公司下发的XX移动通信有限责任公司内部控制手册、本指引及其他指导性文件开展差异分析、缺陷归纳、缺陷修补、穿行测试、完成内部控制责任人表并上报省公司、对内部控制执行有效性进行自我评估等工作。此外，试点地市公司需配合省公司进行流程记录工作。2 项目职责划分2.1 项目管理委员会职责项目管理委员会由公司总经理、主要管理层以及部门相关领导构成，作为本项目在省公司开展的领导机构。2.2 项目工作小组职责项目工作小组为项目管理委员会下设的执行机构，具体由项目牵头部门、流程主要负责部门和其他流程参与部门组成，其具体职责见下文。2.3 项目牵头部门职责项目牵头部门在本项目中主要负责整体组织、协调工作，具体职责包括： 在本部门内指定一名专职项目总协调人； 明确各子流程的流程参与部门； 为各子流程确定一个流程主要负责部门； 拟定本省的项目管理委员会和项目工作小组，报公司管理层批准成立； 将本指引下发各部门进行阅读学习并组织集中学习和讨论； 收集其他各部门整理的现行制度和业务流程及文档清单； 将总部下发的穿行测试工作底稿（附件六）穿行测试资料清单模板附件六，穿行测试工作底稿分发给流程主要负责部门以及其他流程参与部门，并由项目总协调人和其协助人员按流程收集、汇总、整理各部门收集的穿行测试资料； 安排相关后勤工作； 组织召开项目启动会； 组织本项目宣传工作； 制定本公司各子流程记录时间安排表； 召集项目工作小组各成员对在项目准备阶段确定的流程参与访谈人员初步名单进行确认； 流程记录现场工作结束前，复印经毕马威协助人员审阅后的整套穿行测试资料，并归档保存； 组织协调流程记录确认和审批工作； 收集各流程参与部门对流程记录、缺陷和改进建议的反馈意见； 省公司项目牵头部门将各子流程中发现的缺陷和改进进行汇总； 对缺陷修补工作进行总体管理和质量控制。 在项目的后续管理过程中，持续维护和更新本省的XX移动通信有限责任公司控制列表（格式参加附件11），并收集地市公司上报的更新后的XX地市公司控制简表（格式参见附件13）；项目牵头部门在项目牵头部门负责人的领导下完成上述工作，项目牵头部门负责人可根据工作安排将部分工作授权项目总协调人具体执行。2.4 流程主要负责部门职责流程主要负责部门在本项目中对所负责子流程的工作质量和进度负责，具体职责包括： 为本项目确定1名本部门的负责人，即“流程主要负责部门负责人”； 为本项目确定1名本部门的联络人，以下简称“联络人”； 为所负责的每个子流程分别指定1名执笔人和1名穿行测试资料收集人； 将与本部门业务相关的各项现行制度和业务流程文档进行整理（包括电子文档和书面文件），并列出完整的文档清单； 在流程现场记录开始前，流程主要负责部门联络人负责根据穿行测试资料清单模板，组织、整理本子流程穿行测试资料并在规定的时限内交给项目总协调人； 对在项目准备阶段确定的流程参与访谈人员名单进行确认； 参加流程记录的访谈，负责对现场记录、提炼控制点、分析差异、归纳缺陷和提出改进建议过程中存在的各部门间的不同意见进行协调统一； 对所负责子流程的工作质量负责，包括现状记录真实准确，并按照要求完成穿行测试、提炼控制点、归纳缺陷和提出改进建议； 对所负责子流程的进度负责； 在记录流程的过程中，存在不同的业务处理模式时，进行判断、选择记录的模式； 在毕马威协助下确定是否接受各流程参与部门的反馈意见； 组织各缺陷修补责任部门制定所负责流程的缺陷修补计划； 监督缺陷修补计划的实施进度。流程主要负责部门在流程主要负责部门负责人的领导下完成上述工作，流程主要负责部门负责人可根据工作安排将部分工作授权本部门联络人具体执行。2.5 流程参与部门职责流程参与部门对各子流程涉及本部门的相关工作负责，具体职责包括： 为本项目确定1名本部门的负责人，即“流程参与部门负责人”； 为本项目确定1名本部门的联络人，以下简称“联络人”； 为本部门所需参与的各子流程分别确定参与流程访谈人员名单； 将与本部门业务相关的各项现行制度和业务流程文档进行整理（包括电子文档和书面文件），并列出完整的文档清单； 在流程现场记录开始前，流程参与部门联络人负责根据穿行测试资料清单模板，组织、整理穿行测试资料并在规定的时限内反馈给项目总协调人； 参加流程记录的访谈，在现场记录、提炼控制点、分析差异、归纳缺陷和提出改进建议过程中发表意见； 审阅流程记录、缺陷和改进建议初稿并提出书面反馈意见。流程参与部门在流程参与部门负责人的领导下完成上述工作，流程参与部门负责人可根据工作安排将部分工作授权本部门联络人具体执行。2.6 缺陷修补责任部门职责 制定修补计划，明确缺陷责任人和时限要求； 执行修补计划； 定期向流程主要负责部门汇报修补计划实施情况。2.7 试点地市公司及试点地市公司负责人职责与上述流程参与部门及流程参与部门负责人的职责相同。2.8 流程执笔人职责 主持和引导流程访谈小组开展讨论，并控制讨论的时间进度； 在总部下发的流程记录模板中对访谈小组成员的讨论内容进行记录，记录内容包括流程现状、主要控制点、发现的缺陷和初步改进建议； 协调和解决小组访谈过程中产生的分歧； 根据收集到的穿行测试资料，对流程记录进行修改； 根据毕马威协助人员的审阅意见，对流程记录进行进一步修改。2.9 穿行测试资料收集人职责 在流程访谈的过程中根据访谈小组共同明确的穿行测试资料，对在准备阶段确定的本子流程穿行测试资料初步清单进行更新； 组织访谈小组成员根据更新的穿行测试资料清单收集穿行测试资料； 对收集的穿行测试资料进行整理编号，并按照穿行测试资料收集要求进行审阅； 如收集到的穿行测试资料发现流程记录与现状不符，提醒执笔人修改流程记录； 完成穿行测试工作底稿（参见附件6）； 全程参加子流程访谈，同时负有流程参与访谈人员的职责。2.10 流程参与访谈人员职责 准时参加相关流程的访谈； 访谈时积极发言，在执笔人的主持下对负责的子流程进行详细的描述、发表自己对主要控制点、所发现缺陷和改进建议的意见； 积极配合穿行测试资料收集人收集资料； 对流程执笔人整理后的流程记录初稿进行审阅并反馈意见。2.11 控制点责任人职责负责控制点的持续维护和更新，省公司控制点责任人将更新后的控制信息报送省公司项目牵头部门，由其更新本省的XX移动通信有限责任公司控制列表；地市公司控制点责任人将更新后的控制信息报送给地市公司项目牵头部门，由其更新本地市公司的XX地市公司控制简表并上报省公司；2.12 毕马威协助人员职责毕马威协助人员的工作主要为以自身的专业知识和经验对省公司的流程记录工作提供协助，并在协助的过程中完成相关专业知识从毕马威协助人员到省公司工作团队的转移： 在项目启动会及根据项目需要提供相关培训; 审阅省公司各子流程记录时间安排表，并提供意见; 审阅各子流程访谈人员安排，并提供意见; 在访谈的过程中协助执笔人按照萨班斯法案和COSO内部控制框架的要求进行流程现场记录、提炼控制点、分析差异、归纳缺陷和提出改进建议； 审阅穿行测试资料收集人收集整理完成的穿行测试资料清单和穿行测试资料，并提供意见； 审阅流程记录初稿，并提供意见; 协助流程主要负责部门确定是否接受各流程参与部门的反馈意见。3 项目宣传和培训机制3.1 开展宣传和培训的重要意义推进本项目需要上至公司管理层，下至普通员工各层次人员的参与，而且是一个长期和持续的过程，对萨班斯法案和内部控制的理解是保证内部控制有效性的重要前提条件。开展宣传和培训，目的就是要加强各层次人员对执行本项目的意义和内容的了解，培养一批了解企业运营、了解内部控制实质、具备合格素质执行内部控制及实施监督评价的人员，为项目的顺利开展打下良好基础。3.2 开展宣传和培训工作在公司不同层面的侧重点本项目的宣传和培训工作应在管理层、本项目推广记录阶段直接参与人员和全体员工三个层面各有侧重地开展。3.2.1 对各级管理层的宣传和培训对公司各级管理层进行宣传和培训工作的重点在于提高各级领导对本项目的重视程度，培训的主要内容为萨班斯法案背景、遵循萨班斯法案的要求和内部控制理念。3.2.2 对本项目推广记录阶段直接参与人员的宣传和培训本项目推广记录阶段直接参与人员包括项目牵头部门负责人、项目总协调人、流程主要负责部门负责人、流程参与部门负责人、联络人、试点地市公司负责人、流程执笔人、穿行测试资料收集人、参与流程访谈人员等。对直接参与人员的宣传和培训内容，除了萨班斯法案背景、遵循萨班斯法案的要求和内部控制理念等内容以外，着重于培训推行本项目的具体步骤和操作方法，强调可操作性。3.2.3 对全体员工的宣传和培训对全体员工进行宣传和培训工作的重点在于提高全体员工的内部控制意识，为建立良好的内部控制环境奠定基础。3.3 宣传和培训的形式本项目宣传和培训工作由项目牵头部门负责组织实施，具体采用集中培训、会议、简报和其他内部刊物宣传等形式。3.3.1 集中培训集中培训由项目牵头部门负责组织，毕马威协助人员负责具体实施，主要包括： 项目启动大会的现场培训 对执笔人、穿行资料收集人等直接参与人员的专题培训3.3.2 会议在各省公司项目推广记录开始前，项目牵头部门组织召开项目启动会议，由总部项目工作组和毕马威协助人员对省公司全体员工进行项目宣传和培训。在各省公司项目推广过程中，项目牵头部门可根据项目进展情况定期或不定期召开会议，对萨班斯法案有关知识进行深入宣传和培训，或与项目现场记录过程中的例会相结合。在首次遵循工作完成后的项目后续管理过程中，项目牵头部门可根据总部有关要求和本省情况，对后续管理有关内容和内部控制有关知识开展更进一步的宣传和培训。3.3.3 简报及其他内部刊物建议各省公司在项目的推广记录过程中，由项目牵头部门每周发布本省项目简报，就项目工作进度，出现的问题，发现的内部控制缺陷以及与项目相关的其他工作等对各流程参与部门和公司管理层进行通报。同时，也可以利用内部刊物、公司论坛等工具对本项目在更广的范围内进行宣传，营造有利于本项目推进的氛围。4 项目沟通机制4.1 总部与省公司之间的沟通在项目推进过程中，总部与省公司层面间通过以下方式建立起通畅、高效的沟通渠道： 项目沟通会在各省公司进行流程现场记录期间，总部项目工作小组定期组织召开由总部、各省公司参加，毕马威协助人员列席的项目沟通会，以了解各省公司的项目进展情况，对影响项目进度的事项进行协调和解决，安排下一步工作。 总部项目工作小组联络人总部项目工作小组为每各省指定名总部项目工作小组联络人，以下简称“总部联络人”。各省公司可通过总部联络人就项目组织安排、人员协调及其他需管理层决策的事项与总部进行沟通。 毕马威协助人员毕马威为各省指定名毕马威联络人员，以下简称“毕马威联络人”。各省公司可通过毕马威联络人与总部工作小组沟通，就有关萨班斯法案要求和项目开展过程中遇到的其他技术性问题向总部进行反映。总部联络人和毕马威联络人名单及联系方式请参见附件2。4.2 省公司项目参与主体之间的沟通省公司项目参与主体指在省公司实施内控项目期间，所有参与项目的责任部门和责任人。4.2.1 沟通的内容省公司内控项目实施期间，对内控项目的进度、人员需求与调配、流程记录与缺陷修补过程中出现的各项问题保持良好的沟通。 在进行内控流程现场记录时，执笔人负责收集整理反馈意见，执笔人对流程主要负责部门负责人汇报工作。 省公司项目工作小组召开工作例会时，由各流程主要负责部门负责人通报所负责流程的进展情况。 流程确认和改进建议确认期间，由项目总协调人收集各流程参与部门（包括试点地市公司）的反馈意见，并将反馈意见表提交给流程主要负责部门负责人和毕马威协助人员；流程主要负责部门负责人在毕马威的协助下确定是否接受各流程参与部门（包括试点地市公司）的反馈意见，并书面告知意见提出部门（包括试点地市公司）。4.2.2 沟通的形式包括但不限于以下形式： 工作例会：流程现场记录期间应至少每周召开一次例会，由各流程主要负责部门负责人通报工作进度情况，讨论并解决工作中遇到的问题，并安排下一步工作。 书面沟通（包括电子邮件）：在整个项目实施过程中，对重要事项要求采用书面形式（包括电子邮件）。如：下发各类重要通知，包括工作时间地点安排、人员安排、流程确认通知等；反馈对流程记录初稿、主要控制点、缺陷及改进建议的确认意见；对确定不接受的反馈意见应书面反馈不确认的原因。4.2.3 沟通的注意事项 在流程现场记录阶段，各参与部门间出现分歧的协调解决方式流程执笔人把问题反馈给流程主要负责部门负责人，由流程主要负责部门负责人协调解决。 在流程现场记录阶段，需要补充、调配人员的协调解决方式流程执笔人把补充、调配人员的需求反馈给流程主要负责部门负责人，由流程主要负责部门负责人通知需要补充、调配人员的流程参与部门负责人，流程参与部门负责人在本部门内调配解决。5 项目考核机制为确保项目的顺利实施，建立内部控制管理的长效机制，经总部总经理办公会议定，2006年经营业绩考核办法中增加“风险及内部控制管理”内容作为扣分指标（5分），对各省公司萨班斯法案内控项目工作开展情况和执行结果进行考核，以确保项目工作顺利实施和持续开展。省公司应根据总部的要求，制定本公司的内控项目实施考核办法。由于整个内控项目实施时间较长，省公司在制定考核办法的过程中，应结合本省项目实施情况，确定分阶段考核的重点。5.1考核组织部门由省公司内控项目牵头部门和绩效管理部门共同负责考核办法的制定和实施。5.2考核内容制定考核办法时，可以包括以下内容： 相关部门工作组织情况：考核在进行流程现场记录的期间，相关部门对整个内控项目工作的组织、落实情况，参与该项工作的人员到位情况； 现场记录工作完成情况：考核工作是否按规定的时限完成，工作完成的质量是否符合总部确定的质量标准； 流程确认工作完成情况：考核各相关部门是否按规定的时限完成流程确认，反馈确认意见； 缺陷修补工作完成情况：考核各相关部门是否按规定的时限完成落实缺陷责任人并进行完成缺陷修补工作； 流程测试工作完成情况：考核各相关部门是否按规定的时限完成落实缺陷责任人并进行完成流程测试工作； 主要控制点执行情况：考核主要控制点是否得到有效的执行。6 项目保密机制本项目涉及公司所有主要业务流程，且本项目的推行涉及公司的各个层面，是公司全体员工的共同工作成果，因此在开展本项目的同时必须建立严格的保密机制。 对于涉及具体流程描述和缺陷汇总的文档要求使用公司内部邮箱发送； 对于本项目确认的各项与财务报告相关的内部控制缺陷，严禁个人在各类媒体、论坛上公布或作为案例引用，公司将对责任人追究相应的法律责任； 对于本项目确认的各项与财务报告相关的内部控制缺陷，不应在电梯、餐厅、候车室等公共场合进行讨论，以免给公司带来不良影响； 未经公司许可，个人禁止对本项目的培训和访谈情况进行录音、录像； 本项目中生成的各项文档知识产权归本公司所有，参与本项目人员尤其要注意不得将这些文档向本公司竞争对手泄露。对于省公司在推行本项目过程中生成的各项重要文档，如中国移动内部控制手册等，要求在文档正文前强调对该文档的知识产权保护，具体使用如下文字：“知识产权限制：本文档系中国移动（香港）有限公司为遵循美国萨班斯-奥克斯利法案404条款项目（以下简称“本项目”）编撰，其中载有中国移动（香港）有限公司及其关联公司的商业机密、专有资料和其他保密信息，中国移动（香港）有限公司享有本文档的全部知识产权（包括但不限于著作权）。本文档仅限于本项目之目的，在公司范围内由有权接触本文档的人员使用。任何单位和个人不得以任何方式向任何未经授权的第三方透露本文档的任何内容。”7 项目的后续管理本指引内容主要针对萨班斯法案404条款的首次遵循工作，由于遵循工作是长期性的工作，首次遵循后各级管理组织需要根据业务流程和所面临风险的变化对中国移动内部控制手册、XX移动通信有限责任公司内部控制手册和XX移动通信有限责任公司控制列表进行持续的更新及对内部控制有效性进行持续的评价，同时外部审计师在每年年报时都要对管理层的内部控制报告发表意见。三、 内部控制相关基本概念1 重要法案法规时间表为了明确萨班斯法案的要求，便于上市公司遵循该法案，美国证券交易委员会与上市公司会计监管委员会陆续发表了一系列的重要法案和法规，时间表如下：2002 年 7 月 30 日布什总统签发了萨班斯法案2002 年 8 月 29 日美国证券交易委员会根据萨班斯法案302 条的要求颁布对有关条款的最终条例2003 年 6 月 5 日美国证券交易委员会根据萨班斯法案404 条的要求颁布对有关条款的最终条例和对302 条的补充修订2004 年 3 月 9 日上市公司会计监管委员会发布第 2 号审计准则2004 年 6 月 17 日美国证交会批准上市公司会计监管委员会发布第 2 号审计准则2004年6月至2005年5月期间上市公司会计监管委员会连续五次发布一系列关于与财务报告相关的内部控制问答2 第2号审计准则2.1 上市公司会计监管委员会配合404条要求颁布第2号审计准则，以明确规范公司管理层和外部审计师对内部控制进行评价的范围和要求。第2号审计准则明确了萨班斯法案对管理层的要求，要求管理层必须承担与公司财务报告相关的内部控制有效性的责任，采用适当的内控框架，例如COSO，评价公司与财务报告相关的内部控制系统的有效性，评价结果需要以充分的档案文件等证据来支持。同时，管理层需要针对公司最近年度财务报告的内部控制有效性提交书面报告。2.2 显著缺陷和实质性漏洞内部控制缺陷按照其严重程度可以分为一般性的内部控制缺陷、显著缺陷与实质性漏洞。如果在内部控制中存在显著缺陷和实质性漏洞，管理层必须将这种情况与独立审计师及审计委员会进行沟通，而且管理层必须尽快更正这种情况，并且披露更正的措施。萨班斯法案第 404 条款要求如果公司的内部控制存在实质性漏洞，则已经足以令外部审计师出具保留意见或否定意见。 显著缺陷(Significant Deficiency)根据上市公司会计监察委员会发布的第2号审计准则中的定义，显著缺陷是指单一或多个内控缺陷的存在，对企业根据公认会计准则可靠地启动、授权、记录、处理、报告外部财务数据的能力产生不良影响，以致无法将不能预防或发现年报或中期报告中的并非无关紧要的错报 (More than inconsequential) 的可能性降至最低。如果一个具有合理判断的人在考虑其它潜在错报的可能性后能断定某项错报是明显不重要的，则为无关紧要， 否则就属于并非无关紧要的错报。由此可见，在判断一项内控缺陷时涉及非常主观的人为判断，并且要求非常严格。 实质性漏洞 (Material Weakness)根据上市公司会计监察委员会发布的第2号审计准则第10段中的定义，实质性漏洞指的是单一或多个显著缺陷的存在无法把年报或中期报告中出现重大错报(significant misstatement) 的可能性降至最低。换言之：严重显著缺陷 = 实质性漏洞萨班斯法案第 404 条不仅要求公司财务报表没有重大错报，还要把这种可能性降至最低的水平。而公司的内部控制无法把财务报表出现错报的可能性减至最低已经足以令审计师出具保留意见或否定意见。3 COSO框架3.1 中国移动选取COSO框架评价公司与财务报告相关的内部控制系统的有效性。以下简要介绍COSO框架的基本概念和内容：根据美国反欺骗性财务报告委员会的发起委员会（The Committee of Sponsoring Organizations of the Treadway Commission，以下简称“COSO”）对风险管理的定义，企业风险管理是一个过程，它受企业董事、管理层和其他员工影响，应用于战略建立并贯穿整个企业。根据COSO内部控制框架，管理层必须记录、测试、评价内部控制框架中五个相互关联的组成部分，这些组件是从管理层对企业的运营方式中提炼出来，并与企业的管理流程融为一体。因此，尽管每个企业建立维护其内部控制都需要这五个组成部分，每个企业的内部控制系统通常看起来都会与其他公司有很大不同。3.2 COSO内部控制框架包括以下五个组成部分 控制环境控制环境确立了企业的基调，影响着企业内人员的控制意识。控制环境是内部控制框架中其他组成部分的基础。控制环境包含了七个主要元素： 正直、守德的价值取向； 员工的胜任能力； 管理哲学和经营风格； 组织架构； 职权和职责的分配； 人力资源的组织和发展； 董事会关注的事项及导向。 风险评估各个企业都面临着内生和外部风险，必须加以评估。风险评估的前提是建立联系不同层级但内部统一的目标。风险评估旨在识别和分析影响目标实现的相关风险，并构成如何管理风险的基础。由于宏观经济、行业、监管以及经营条件的不断变化，用于识别与处理环境变化所带来的风险的机制是必不可少的。 控制活动控制活动指用于确保管理层的指令得以有效执行的一系列的政策和程序。这些政策和程序有助于企业采取适当措施来管理风险，以确保企业目标的实现。控制活动应实施于企业各个层面及各个职能，包括一系列的活动，如审批、授权、核对、对账、管理层审阅、资产保管以及职责分工等。对内部控制的基本概念的介绍请详见第54点内部控制基本概念。（或者本句删除。） 信息与沟通相关信息应以特定形式被及时地识别、获取和沟通，从而确保相关人员能够履行其各自职责。信息系统可以生成包含财务相关信息的报告，使控制财务报告可靠性成为可能。信息系统不仅可以处理内部生成的信息，还可以处理与外部事件、活动和条件相关的，为实现经营决策及对外报告所必需的信息。有效沟通应更为广泛地存在于企业内部，包括信息的上传下达和横向沟通等。管理层必须确保所有员工都接收到应严格履行控制职责的清晰信息。所有员工必须理解其在内部控制系统中的角色，以及个人的控制活动如何与他人的工作相联系。员工必须有向上报告重大信息的沟通途径。与外部相关各方，例如客户、供应商、监督机构以及股东等的有效交流也必不可少。 监控内部控制系统应当成为被持续监控的过程，系统的有效性应得以持续评价。这种过程通过持续监控、个别评价或者两者相结合的形式得以完成。持续监控贯穿在日常的经营活动过程之中，包括日常管理，督导行为以及员工在履行其职责过程中的其它行为。个别评价的范围和频率主要取决于对风险的评估以及对内部控制进行持续监控程序的有效性。内部控制缺陷应得以上报，特定重要事项应报告至高层管理人员和董事会。3.3 COSO内部控制框架组成部分之间的关系内部控制框架组成各部分之间相互联结、协同作用，构建了一个对环境变化动态反应的完整体系。内部控制系统作为基本的业务需求而存在，与企业运营活动相互交织。当控制植入企业之基础架构中，并成为企业必不可少的组成部分时，内部控制是最为有效的。内嵌的控制为提升控制质量和主动性提供支撑，避免不必要的成本，并使得企业能够对环境变化做出快速响应。另外，所有五个要素均需有效运作才能得出内部控制有效的结论。例如，风险评估不仅仅影响到控制活动，还会强调需要重新考虑企业信息与沟通，或者其监控活动的需求。因此，内部控制并非某个要素只影响其下一个要素的线性连续的过程，它是多方向的反复的流程，其中几乎所有要素都能够影响其它各要素。内部控制的概念、分类的目标、评价有效性的要素和指标，及相关的访谈，共同构成了内部控制框架。3.4 对内部控制系统各要素的评价根据萨班斯法案对确保内部控制有效性的要求，企业需要对内部控制系统结合认可的内部控制框架进行评价。中国移动选择COSO作为遵循萨班斯法案的内部控制框架，对内部控制系统各组件的评价本身就是一个流程。尽管评价方法和技术有所不同，评价过程中仍有一些基本的内在原则。内控评价人员必须了解企业的每个业务活动以及涉及的内部控制系统的每个组成部分。首先需评价其内控系统的设计是有效用的。这可以通过与企业员工的访谈和查阅现有文档来实现， 了解现有的内控设计是否能有效减少每个业务活动的风险。评价内控系统设计的有效性后，评价人员必须评价内控系统的运作情况，是否如描叙一致。内控程序的运作方式可能随着时间而发生修订变化，或者，这些控制可能已经不再被执行。某些情况下可能流程描述的人员不了解一些新的内控，因此没有记录在其描述之中。通过与实施控制的或受控制影响的相关人员进行访谈，以及检查控制执行的记录，可以确定内控系统的实际运作状况。4 内部控制的基本概念4.1 内部控制的概念COSO把内部控制定义为一种过程，受到企业董事会、管理当局和其它职员的影响，旨在为企业的经营效果和效率、财务报告的可靠性、遵循适当的法规等而提供合理保证。COSO对内部控制的解释表明内部控制的基本概念包括： 内部控制是一种过程； 内部控制的有效运作受人影响； 内部控制只能为企业提供合理保证；及 内部控制的设计旨在达成企业之目标。4.2 与财务报告相关的内部控制包括针对与会计报表中所有重要科目和信息披露相关的所有会计认定所实施的内部控制，包括： 对主要交易是如何启动、记录、处理和反映在财务报告中的控制措施； 与选用恰当的会计政策相关的控制措施； 用以防范错误或舞弊的内部控制措施； 其它重要内控措施所依赖的内部控制，例如信息系统控制措施； 非经常性、非系统交易或财务估计的内控措施； 公司层面的与控制环境相关的控制措施以及财务报表关账和汇总过程中的控制措施。内部控制的目的分为三类，与财务报告相关的内部控制、与经营效率效果相关的内部控制以及遵循法律法规的内部控制。萨班斯法案要求公司就与财务报告相关的内部控制是否有效发表声明，所以与财务报告相关的内部控制才是记录内部控制流程中所需提炼和归纳的控制。在记录流程过程中，需要区分与财务报告相关的内部控制和与经营、遵循法律法规相关的内部控制。举例：编制预算本身属于与经营相关的控制，与财务报告无关，不属于在记录内部控制过程中需要提炼和归纳的控制；但如果管理层将实际经营数据与预算进行比较，并发现了财务记录中的错误，生成例外情况报告，则构成了一项与财务报告相关的控制，需要进行提炼和归纳。4.3 内部控制类型 授权及批准：包括根据管理层的一般或特别政策及程序审批交易；根据管理层的一般或特别政策及程序访问资产和记录；举例：在货币资金流程中，对外付款环节，需要对外支付的部门提出付款申请，提交证明款项支付的原始凭证，经部门负责人审批同意后提交财务部门。根据款项的性质和涉及金额的不同，财务部门负责人和/或公司主管管理层根据费用审批权限对付款进行审批。 系统设置/账项映射控制：系统设置是指那些可以用来保障数据安全和避免不当操作的控制，也可以按企业的具体要求制定；账项映射指控制一个交易如何记录在总账，进而在财务报表中显示；举例：在会计和财务报告流程中，MIS系统自动校验会计期间的设置并产生系统提示。当且仅当会计期间设置正确无误时，MIS系统方能接受会计期间的设置，以确保会计期间设置的准确性。举例：在会计和财务报告流程中，对于MIS系统子模块或总账模块接收到的业务信息，MIS系统根据预先经批准设定的自动会计规则，自动生成会计凭证。举例：在信息技术整体控制流程中，短信内容与受理的业务类型通过BOSS系统或业务管理平台中配置的对照表建立了相互映射关系。发送的短信内容如不符合映射关系，相关业务不会被受理。 例外情况报告/预警报告：企业生成的用于监控发现的例外情况以及对这些情况的跟进解决措施的报告。这种报告包括例外情况报告（违反既定的标准，例如客户销售超过信贷限额）、预警报告（主文件发生变更，例如在供应商名录中增加新供应商）以及其他报告（例如应收账款账龄分析报告）；举例：在存货流程中，仓库每半年提交拟处置存货库存报表，反映由于毁损、过期、业务变更、技术落后等原因造成无法使用而需进行处置的存货情况。 关键绩效指标（KPIs）：包括定期和及时生成、审阅和分析关键绩效指标。关键绩效指标是指财务和非财务的数量衡量标准，企业连续或定期采集这些数据并被管理层用来评价企业既定目标的实现程度；举例：在计费账务业务流程中，全国中心每天对各省公司上传的话单文件的及时性、准确性和完整性等各项指标做相应的考核，并将相应考核结果通过内部网站发布。 管理层审阅：独立于编制人的人员对编制人进行的活动进行分析并实施监控，其中“管理层”并不专指公司管理层，而可以包括任何一个独立于编制人的人员；举例：固定资产及无形资产管理业务流程中，由公司管理层承担管理层审阅控制职能的例子：财务部门根据盘点结果编制固定资产盘点报告，汇总盘盈、盘亏、闲置、毁损、待报废的固定资产。固定资产盘点报告经固定资产管理部门、固定资产使用部门