内部控制项目工作实施指引讨论稿.doc

1、 遵循《萨班斯-奥克斯利法案》 404条款内部控制项目 工作实施指引 2006年1月1日 目录 前言 1 一、 项目整体介绍 1 1 项目背景介绍 1 2 项目总体时间表 1 3 省公司项目工作开展时间表 5 二、 项目管理 5 1 项目组织方式 5 2 项目职责划分 6 3 项目宣传和培训机制 10 4 项目沟通机制 11 5 项目考核机制 13 6 项目保密机制 14 7 项目的后续管理 14 三、 内部控制相关基本概念 15 1 重要法案法规时间表 15 2 第2号审

2、计准则 15 3 COSO框架 16 4 内部控制的基本概念 18 四、 项目准备 21 1 时间安排 21 2 总部层面的项目准备工作 21 3 省公司层面的项目准备工作 22 4 地市公司层面的项目准备工作 23 5 注意事项 23 五、 流程记录 25 1 时间安排 25 2 总部层面的工作 25 3 省公司层面的工作 25 4 试点地市公司层面的工作 26 5 注意事项 26 六、 省公司对流程记录和改进建议的确认 27 1 流程参与部门负责人确认 27 2 省公司管理层确认 29 七、 内部控制设计缺陷改进 30 1 时间安排 30 2 总部层

3、面制定与执行修补计划 30 3 省公司层面制定与执行修补计划 30 4 地市公司层面制定与执行修补计划 31 5 注意事项 33 八、 测试和评价 33 1 时间安排 33 2 省公司测试和自我评价 33 3 总部组织相关人员进行测试和独立评价 33 九、 持续跟进和测评 34 十、 文档管理 34 1 总部管理的文档 34 2 省公司管理的文档 34 3 地市公司负责维护的文档 35 十一、 常见问题解答 35 1 如何解决关键岗位人员访谈时间冲突？ 35 2 流程现场记录阶段需要补充调配人员的协调解决方式？ 35 3 如何确认流程记录范围、记录详略程度？ 3

4、5 4 总部流程记录和省公司流程记录所涉及的层级有哪些？ 36 5 当地市公司间同一业务存在多种操作方式时，如何决定流程的记录方式？ 37 6 流程现场记录阶段各参与部门间出现分歧的协调解决方式？ 37 7 如何提炼主要控制点？ 37 8 如何准确、完整记录控制点？ 37 9 如何统一流程记录中的称谓？ 38 10 流程、主要控制点如何编号？ 38 11 什么是重要电子表格？ 39 12 缺陷的发现和确认方法 39 13 穿行测试资料收集要求？ 40 14 什么是控制列表？ 40 15 为什么需要管理层审阅与核对的控制？ 40 16 审阅为什么要留下证据？ 41 1

5、7 什么是不相容职责？ 41 18 如何进行内部控制设计缺陷与执行有效性缺陷的区分？ 41 19 如何判断显著缺陷和实质性漏洞？ 41 20 什么是信息系统控制？ 43 21 什么是终端用户计算工具及其常用控制方法 45 22 为什么要在系统中设置用户密码？ 46 23 为什么要避免共享用户账号？ 46 24 为什么要记录信息系统的基准文档？ 46 十二、 附件 47 1 总部项目机构设置 47 2 总部联络人和毕马威联络人名单及联系方式 47 3 纳入评估范围的省公司和关键业务流程列表 47 4 省公司内部控制手册编写说明 47 5 流程及控制点编号规则 47 6

6、 穿行测试工作底稿 47 7 子流程主要负责及参与部门建议模板 47 8 子流程记录时间安排样表 47 9 子流程反馈意见样表 47 10 管理层审批表 47 11 XX移动通信有限责任公司控制列表 47 12 缺陷修补计划 47 13 XX地市公司控制简表 47 知识产权限制 本文档系中国移动（香港）有限公司为遵循美国《萨班斯-奥克斯利法案》404条款项目（以下简称“本项目”）编撰，其中载有中国移动（香港）有限公司及其关联公司的商业机密、专有资料和其他保密信息，中国移动（香港）有限公司享有本文档的全部知识产权（包括但不限于著作权）。本文档仅限于本项目之目的，在公司范围内由有

7、权接触本文档的人员使用。任何单位和个人不得以任何方式向任何未经授权的第三方透露本文档的任何内容。 前言 根据公司董事会对美国《萨班斯-奥克斯利法案》（以下简称《萨班斯法案》）404条款遵循项目（以下简称“本项目”）工作的实施要求和进度安排，我公司于2005年6月正式启动了《萨班斯法案》404条款遵循项目工作，至2005年12月本项目已完成对试点省公司的调研工作，形成了《中国移动（香港）有限公司内部控制手册（第一版）》（以下简称《中国移动内部控制手册》）。自2006年1月，本项目将进入推广记录阶段，除试点省公司之外的其他省公司将陆续分批开展项目工作。为了使本项目在省公司顺利推行，总部

8、项目小组结合总部及试点省工作经验编写了本文档，旨在为各省公司下一步工作的开展提供具有较高可操作性的指引。 一、 项目整体介绍 1 项目背景介绍 近年来随着安然、世界通讯等公司的一系列丑闻案件的发生，美国资本市场不断面临着信心危机的挑战。为提高上市公司治理水平，恢复投资者信心，保护投资者利益，立法和监管机构意识到有必要对资本市场当前的法律法规进行变革，加强对资本市场参与各方的约束。2002年7月30日美国总统布什签署颁布了《萨班斯法案》（又被称作《2002年公众公司会计改革和投资者保护法案》），要求在美国上市的公司承诺对其披露的财务报告的真实性负责，并建立有效的监控措施保证这种真实性。

9、《萨班斯法案》中，404条款强调公司管理层需要通过内部控制加强公司治理，该条款要求非美国本土的上市公司，应在2006年7月15日或之后结束的首个年度，即2006年12月31日结束的财务报告中做出有关内部控制有效性的书面声明，其中包括：管理层对建立和维护内部控制的责任声明；管理层对评估内部控制所采用的评估框架的声明；公司在最近财政年度末对内部控制有效性的评估，包括公司与财务报告相关的内部控制是否有效的声明。404条款还要求外部审计师对于与财务报告相关的内部控制和管理层对内部控制的评价进行审计，并出具审计意见。 《萨班斯法案》404条款要求进行评价的内部控制包括针对与会计报表中所有重要科目和信息

10、披露相关的所有会计认定所实施的内部控制，包括： Ø 主要交易是如何启动、记录、处理和反映在财务报告中； Ø 用以防范或找出与重要账户、交易种类和披露相关的错误或舞弊的内部控制措施； Ø 其它重要内控措施所依赖的内部控制，包括一般性控制，例如信息系统控制； Ø 非经常性、非系统交易或财务估计的内控措施； Ø 财务报表关账和汇总过程中的内控措施； Ø 资产保护的控制措施； Ø 公司层面的控制措施。 作为在美国上市的公司，我公司必须满足《萨班斯法案》的要求，遵循《萨班斯法案》的同时也为提升公司整体管理水平提供了良好契机。通过开展该项目，寻找公司高速发展过程中容易忽视和掩盖的管理问题，

11、发现企业存在的内部风险和控制薄弱点加以解决，有利于提高公司内部控制和风险管理水平，有利于增强企业竞争力和持续发展能力。 2 项目总体时间表 我公司对《萨班斯法案》404条款的首次遵循工作具体工作安排： 制定评估计划和范围阶段 2005年7月 试点记录阶段 2005年8月至2005年12月中旬 推广记录阶段 2006年1月至2006年4月底 内部控制设计缺陷改进阶段 2006年1月至6月 测试和评价阶段 2006年5月至9月 持续跟进和评价阶段 2006年9月至2006年12月 外部审计师审计阶段 中期审计：2006年7月至9月 年终审计：2006年12月至20

12、07年1月 以上各阶段均为首次遵循《萨班斯法案》404条款所需进行的工作，应在2006年底前完成。 2.1 制定评估计划和范围阶段 工作安排： · 总部建立项目管理委员会并确定应纳入评价范围的省公司和业务流程； · 建立总部记录和评价内部控制的项目工作小组； · 总部项目工作小组确定项目总体工作方法及项目工作计划。 主要工作成果： · 用于确定纳入评估范围的省公司和关键业务流程的重要性及评价标准； · 纳入评估范围的省公司和关键业务流程列表（参见附件3），一共包括12个业务流程和COSO内部控制框架差距分析（其中12个业务流程分为42子流程）； · 对内部控制进行记录的方法

13、及记录标准； · 评价内部控制有效性及控制缺陷的原则。 2.2 试点记录阶段 工作安排： · 总部项目工作小组从纳入评价范围的省公司中选取有代表性的试点省公司，并建立下属于总部的，组织机构相似的项目管理委员会和项目工作小组； · 对总部和试点省公司的项目工作小组进行与财务报告相关的内部控制记录的培训； · 对总部和试点省公司进行与财务报告相关的流程记录、主要控制点提炼、差距分析、缺陷归纳并提出改进建议，编制《中国移动内部控制手册》； · 总部批准并颁布《中国移动内部控制手册》； · 由总部和试点省公司对内部控制设计有效性方面的缺陷进行汇总，提交总部及试点省公司管理层审阅。 主

14、要工作成果： · 总部和试点省公司项目管理委员会和项目工作小组成员名单（参见附件1《总部项目机构设置》）； · 有关记录与财务报告相关的内部控制的培训； · 中国移动总部和试点省公司与财务报告相关的内部控制缺陷和改进建议汇总，以下简称《中国移动缺陷和改进建议汇总》； · 《中国移动内部控制手册》。 2.3 推广记录阶段 工作安排： · 省公司比照《中国移动内部控制手册》进行本省的流程记录、主要控制点提炼、差距分析、缺陷归纳并提出改进建议； · 省公司对内部控制设计有效性方面的缺陷和改进建议进行汇总并提交本省管理层审阅； · 省公司管理层批准《XX移动通信有限责任公司内部控制手

15、册》。 主要工作成果： · 省公司的与财务报告相关的内部控制流程记录定稿，以下简称《流程记录定稿》； · 《XX有限责任公司缺陷和改进建议汇总》； · 《XX移动通信有限责任公司内部控制手册》。 2.4 内部控制设计缺陷改进阶段 工作安排： · 省公司对内部控制缺陷制定修补计划并实施修补措施。 主要工作成果： · 省公司的缺陷修补计划； · 完成省公司缺陷修补。 2.5 测试和评价阶段 工作安排： · 省公司管理层对与本省财务报告相关的内部控制的设计有效性与执行有效性进行测试和自我评价； · 省公司管理层对本省记录信息系统的基准文档是否符合要求进行测试和自我评价，基

16、准文档的概念参见第十一部分常见问题解答24； · 总部组织相关人员对省公司与财务报告相关的内部控制的设计有效性与执行有效性进行测试和独立评价； · 具体评价方法和步骤详见《内部控制测评手册》（另文下发）。 主要工作成果： · 对内部控制进行测试和评价的记录； · 内部控制测试缺陷汇总及改进计划。 2.6 持续跟进和评价阶段 工作安排： · 由总部和各省公司的管理层和流程负责人对与财务报告相关的内部控制的有效性和内部控制缺陷修补措施进行持续监控； · 管理层于2006年年末对内部控制的有效性进行最终测试和评价。 主要工作成果： · 持续更新的内部控制缺陷修补计划和执行内部控

17、制缺陷修补措施； · 2006年12月31日管理层有关内部控制有效性和重大漏洞的书面声明。 2.7 外部审计师审计阶段 工作安排： · 外部审计师启动对与财务报告相关的内部控制的中期审计； · 外部审计师对与财务报告相关的内部控制进行年终审计。 主要工作成果： · 中期审计发现及意见； · 审计报告。 3 省公司项目工作开展时间表 除试点省公司外的其他省公司从项目总体时间表中的推广记录阶段开始实施本项目，具体工作安排： 项目准备阶段 接总部项目启动通知起10天左右 流程记录阶段 一个月左右 流程记录和改进建议确认阶段 一周左右 内部控制设计缺陷改进阶段 二个

18、月左右 测试和评价阶段 2006年5月至9月 持续跟进和评价阶段 2006年9月至2006年12月 外部审计师审计阶段 中期审计：2006年7月至9月 年终审计：2006年12月至2007年1月 以上各阶段均为首次遵循《萨班斯法案》404条款所需进行的工作，应在2006年底前完成。 二、 项目管理 1 项目组织方式 本项目采取总部、省公司和地市公司三级管理的组织方式。 总部负责本项目的整体进度和质量管理，对各省公司工作进行监督和指导，以确保中国移动整体按照《萨班斯法案》的要求在规定的时限内完成对该法案的遵循工作。 省公司负责本省范围内部控制管理工作，使本省内部控制

19、符合404条款要求。在总部的监督和指导下，根据总部下发的《中国移动内部控制手册》、本指引及其他指导性文件在本省范围内开展流程记录、控制点提炼、差异分析、缺陷归纳、缺陷修补、穿行测试、对内部控制执行有效性进行自我评估等工作。 地市公司负责本地市公司范围内部控制管理工作，使之符合404条款要求。在省公司的监督和指导下，根据省公司下发的《XX移动通信有限责任公司内部控制手册》、本指引及其他指导性文件开展差异分析、缺陷归纳、缺陷修补、穿行测试、完成内部控制责任人表并上报省公司、对内部控制执行有效性进行自我评估等工作。此外，试点地市公司需配合省公司进行流程记录工作。 2 项目职责划分 2.1 项目

20、管理委员会职责 项目管理委员会由公司总经理、主要管理层以及部门相关领导构成，作为本项目在省公司开展的领导机构。 2.2 项目工作小组职责 项目工作小组为项目管理委员会下设的执行机构，具体由项目牵头部门、流程主要负责部门和其他流程参与部门组成，其具体职责见下文。 2.3 项目牵头部门职责 项目牵头部门在本项目中主要负责整体组织、协调工作，具体职责包括： · 在本部门内指定一名专职项目总协调人； · 明确各子流程的流程参与部门； · 为各子流程确定一个流程主要负责部门； · 拟定本省的项目管理委员会和项目工作小组，报公司管理层批准成立； · 将本指引下发各部门进行阅读学习并组织

21、集中学习和讨论； · 收集其他各部门整理的现行制度和业务流程及文档清单； · 将总部下发的穿行测试工作底稿（附件六）《穿行测试资料清单模板》附件六，穿行测试工作底稿分发给流程主要负责部门以及其他流程参与部门，并由项目总协调人和其协助人员按流程收集、汇总、整理各部门收集的穿行测试资料； · 安排相关后勤工作； · 组织召开项目启动会； · 组织本项目宣传工作； · 制定本公司各子流程记录时间安排表； · 召集项目工作小组各成员对在项目准备阶段确定的流程参与访谈人员初步名单进行确认； · 流程记录现场工作结束前，复印经毕马威协助人员审阅后的整套穿行测试资料，并归档保存； · 组织

22、协调流程记录确认和审批工作； · 收集各流程参与部门对流程记录、缺陷和改进建议的反馈意见； · 省公司项目牵头部门将各子流程中发现的缺陷和改进进行汇总； · 对缺陷修补工作进行总体管理和质量控制。 · 在项目的后续管理过程中，持续维护和更新本省的《XX移动通信有限责任公司控制列表》（格式参加附件11），并收集地市公司上报的更新后的《XX地市公司控制简表》（格式参见附件13）； 项目牵头部门在项目牵头部门负责人的领导下完成上述工作，项目牵头部门负责人可根据工作安排将部分工作授权项目总协调人具体执行。 2.4 流程主要负责部门职责 流程主要负责部门在本项目中对所负责子流程的工作质量和

23、进度负责，具体职责包括： · 为本项目确定1名本部门的负责人，即“流程主要负责部门负责人”； · 为本项目确定1名本部门的联络人，以下简称“联络人”； · 为所负责的每个子流程分别指定1名执笔人和1名穿行测试资料收集人； · 将与本部门业务相关的各项现行制度和业务流程文档进行整理（包括电子文档和书面文件），并列出完整的文档清单； · 在流程现场记录开始前，流程主要负责部门联络人负责根据穿行测试资料清单模板，组织、整理本子流程穿行测试资料并在规定的时限内交给项目总协调人； · 对在项目准备阶段确定的流程参与访谈人员名单进行确认； · 参加流程记录的访谈，负责对现场记录、提炼控制点、

24、分析差异、归纳缺陷和提出改进建议过程中存在的各部门间的不同意见进行协调统一； · 对所负责子流程的工作质量负责，包括现状记录真实准确，并按照要求完成穿行测试、提炼控制点、归纳缺陷和提出改进建议； · 对所负责子流程的进度负责； · 在记录流程的过程中，存在不同的业务处理模式时，进行判断、选择记录的模式； · 在毕马威协助下确定是否接受各流程参与部门的反馈意见； · 组织各缺陷修补责任部门制定所负责流程的缺陷修补计划； · 监督缺陷修补计划的实施进度。 流程主要负责部门在流程主要负责部门负责人的领导下完成上述工作，流程主要负责部门负责人可根据工作安排将部分工作授权本部门联络人具体执

25、行。 2.5 流程参与部门职责 流程参与部门对各子流程涉及本部门的相关工作负责，具体职责包括： · 为本项目确定1名本部门的负责人，即“流程参与部门负责人”； · 为本项目确定1名本部门的联络人，以下简称“联络人”； · 为本部门所需参与的各子流程分别确定参与流程访谈人员名单； · 将与本部门业务相关的各项现行制度和业务流程文档进行整理（包括电子文档和书面文件），并列出完整的文档清单； · 在流程现场记录开始前，流程参与部门联络人负责根据穿行测试资料清单模板，组织、整理穿行测试资料并在规定的时限内反馈给项目总协调人； · 参加流程记录的访谈，在现场记录、提炼控制点、分析差异、归

26、纳缺陷和提出改进建议过程中发表意见； · 审阅流程记录、缺陷和改进建议初稿并提出书面反馈意见。 流程参与部门在流程参与部门负责人的领导下完成上述工作，流程参与部门负责人可根据工作安排将部分工作授权本部门联络人具体执行。 2.6 缺陷修补责任部门职责 · 制定修补计划，明确缺陷责任人和时限要求； · 执行修补计划； · 定期向流程主要负责部门汇报修补计划实施情况。 2.7 试点地市公司及试点地市公司负责人职责 与上述流程参与部门及流程参与部门负责人的职责相同。 2.8 流程执笔人职责 · 主持和引导流程访谈小组开展讨论，并控制讨论的时间进度； · 在总部下发的流程记录模板中

27、对访谈小组成员的讨论内容进行记录，记录内容包括流程现状、主要控制点、发现的缺陷和初步改进建议； · 协调和解决小组访谈过程中产生的分歧； · 根据收集到的穿行测试资料，对流程记录进行修改； · 根据毕马威协助人员的审阅意见，对流程记录进行进一步修改。 2.9 穿行测试资料收集人职责 · 在流程访谈的过程中根据访谈小组共同明确的穿行测试资料，对在准备阶段确定的本子流程穿行测试资料初步清单进行更新； · 组织访谈小组成员根据更新的穿行测试资料清单收集穿行测试资料； · 对收集的穿行测试资料进行整理编号，并按照穿行测试资料收集要求进行审阅； · 如收集到的穿行测试资料发现流程记录与现

28、状不符，提醒执笔人修改流程记录； · 完成穿行测试工作底稿（参见附件6）； · 全程参加子流程访谈，同时负有流程参与访谈人员的职责。 2.10 流程参与访谈人员职责 · 准时参加相关流程的访谈； · 访谈时积极发言，在执笔人的主持下对负责的子流程进行详细的描述、发表自己对主要控制点、所发现缺陷和改进建议的意见； · 积极配合穿行测试资料收集人收集资料； · 对流程执笔人整理后的流程记录初稿进行审阅并反馈意见。 2.11 控制点责任人职责 负责控制点的持续维护和更新，省公司控制点责任人将更新后的控制信息报送省公司项目牵头部门，由其更新本省的《XX移动通信有限责任公司控制列表》；

29、地市公司控制点责任人将更新后的控制信息报送给地市公司项目牵头部门，由其更新本地市公司的《XX地市公司控制简表》并上报省公司； 2.12 毕马威协助人员职责 毕马威协助人员的工作主要为以自身的专业知识和经验对省公司的流程记录工作提供协助，并在协助的过程中完成相关专业知识从毕马威协助人员到省公司工作团队的转移： · 在项目启动会及根据项目需要提供相关培训; · 审阅省公司各子流程记录时间安排表，并提供意见; · 审阅各子流程访谈人员安排，并提供意见; · 在访谈的过程中协助执笔人按照《萨班斯法案》和COSO内部控制框架的要求进行流程现场记录、提炼控制点、分析差异、归纳缺陷和提出改进建议

30、 · 审阅穿行测试资料收集人收集整理完成的穿行测试资料清单和穿行测试资料，并提供意见； · 审阅流程记录初稿，并提供意见; · 协助流程主要负责部门确定是否接受各流程参与部门的反馈意见。 3 项目宣传和培训机制 3.1 开展宣传和培训的重要意义 推进本项目需要上至公司管理层，下至普通员工各层次人员的参与，而且是一个长期和持续的过程，对《萨班斯法案》和内部控制的理解是保证内部控制有效性的重要前提条件。 开展宣传和培训，目的就是要加强各层次人员对执行本项目的意义和内容的了解，培养一批了解企业运营、了解内部控制实质、具备合格素质执行内部控制及实施监督评价的人员，为项目的顺利开展打下良

31、好基础。 3.2 开展宣传和培训工作在公司不同层面的侧重点 本项目的宣传和培训工作应在管理层、本项目推广记录阶段直接参与人员和全体员工三个层面各有侧重地开展。 3.2.1 对各级管理层的宣传和培训 对公司各级管理层进行宣传和培训工作的重点在于提高各级领导对本项目的重视程度，培训的主要内容为《萨班斯法案》背景、遵循《萨班斯法案》的要求和内部控制理念。 3.2.2 对本项目推广记录阶段直接参与人员的宣传和培训 本项目推广记录阶段直接参与人员包括项目牵头部门负责人、项目总协调人、流程主要负责部门负责人、流程参与部门负责人、联络人、试点地市公司负责人、流程执笔人、穿行测试资料收集人、参与流

32、程访谈人员等。 对直接参与人员的宣传和培训内容，除了《萨班斯法案》背景、遵循《萨班斯法案》的要求和内部控制理念等内容以外，着重于培训推行本项目的具体步骤和操作方法，强调可操作性。 3.2.3 对全体员工的宣传和培训 对全体员工进行宣传和培训工作的重点在于提高全体员工的内部控制意识，为建立良好的内部控制环境奠定基础。 3.3 宣传和培训的形式 本项目宣传和培训工作由项目牵头部门负责组织实施，具体采用集中培训、会议、简报和其他内部刊物宣传等形式。 3.3.1 集中培训 集中培训由项目牵头部门负责组织，毕马威协助人员负责具体实施，主要包括： · 项目启动大会的现场培训 · 对执笔人

33、穿行资料收集人等直接参与人员的专题培训 3.3.2 会议 在各省公司项目推广记录开始前，项目牵头部门组织召开项目启动会议，由总部项目工作组和毕马威协助人员对省公司全体员工进行项目宣传和培训。 在各省公司项目推广过程中，项目牵头部门可根据项目进展情况定期或不定期召开会议，对《萨班斯法案》有关知识进行深入宣传和培训，或与项目现场记录过程中的例会相结合。 在首次遵循工作完成后的项目后续管理过程中，项目牵头部门可根据总部有关要求和本省情况，对后续管理有关内容和内部控制有关知识开展更进一步的宣传和培训。 3.3.3 简报及其他内部刊物 建议各省公司在项目的推广记录过程中，由项目牵头部门每周

34、发布本省项目简报，就项目工作进度，出现的问题，发现的内部控制缺陷以及与项目相关的其他工作等对各流程参与部门和公司管理层进行通报。同时，也可以利用内部刊物、公司论坛等工具对本项目在更广的范围内进行宣传，营造有利于本项目推进的氛围。 4 项目沟通机制 4.1 总部与省公司之间的沟通 在项目推进过程中，总部与省公司层面间通过以下方式建立起通畅、高效的沟通渠道： · 项目沟通会 在各省公司进行流程现场记录期间，总部项目工作小组定期组织召开由总部、各省公司参加，毕马威协助人员列席的项目沟通会，以了解各省公司的项目进展情况，对影响项目进度的事项进行协调和解决，安排下一步工作。 · 总部项目工作

35、小组联络人 总部项目工作小组为每各省指定１名总部项目工作小组联络人，以下简称“总部联络人”。各省公司可通过总部联络人就项目组织安排、人员协调及其他需管理层决策的事项与总部进行沟通。 · 毕马威协助人员 毕马威为各省指定１名毕马威联络人员，以下简称“毕马威联络人”。各省公司可通过毕马威联络人与总部工作小组沟通，就有关《萨班斯法案》要求和项目开展过程中遇到的其他技术性问题向总部进行反映。 总部联络人和毕马威联络人名单及联系方式请参见附件2。 4.2 省公司项目参与主体之间的沟通 省公司项目参与主体指在省公司实施内控项目期间，所有参与项目的责任部门和责任人。 4.2.1 沟通的内容

36、省公司内控项目实施期间，对内控项目的进度、人员需求与调配、流程记录与缺陷修补过程中出现的各项问题保持良好的沟通。 · 在进行内控流程现场记录时，执笔人负责收集整理反馈意见，执笔人对流程主要负责部门负责人汇报工作。 · 省公司项目工作小组召开工作例会时，由各流程主要负责部门负责人通报所负责流程的进展情况。 · 流程确认和改进建议确认期间，由项目总协调人收集各流程参与部门（包括试点地市公司）的反馈意见，并将反馈意见表提交给流程主要负责部门负责人和毕马威协助人员；流程主要负责部门负责人在毕马威的协助下确定是否接受各流程参与部门（包括试点地市公司）的反馈意见，并书面告知意见提出部门（包括试点地市

37、公司）。 4.2.2 沟通的形式 包括但不限于以下形式： · 工作例会：流程现场记录期间应至少每周召开一次例会，由各流程主要负责部门负责人通报工作进度情况，讨论并解决工作中遇到的问题，并安排下一步工作。 · 书面沟通（包括电子邮件）：在整个项目实施过程中，对重要事项要求采用书面形式（包括电子邮件）。如： 下发各类重要通知，包括工作时间地点安排、人员安排、流程确认通知等； 反馈对流程记录初稿、主要控制点、缺陷及改进建议的确认意见； 对确定不接受的反馈意见应书面反馈不确认的原因。 4.2.3 沟通的注意事项 · 在流程现场记录阶段，各参与部门间出现分歧的协调解决方式 流程执笔人

38、把问题反馈给流程主要负责部门负责人，由流程主要负责部门负责人协调解决。 · 在流程现场记录阶段，需要补充、调配人员的协调解决方式 流程执笔人把补充、调配人员的需求反馈给流程主要负责部门负责人，由流程主要负责部门负责人通知需要补充、调配人员的流程参与部门负责人，流程参与部门负责人在本部门内调配解决。 5 项目考核机制 为确保项目的顺利实施，建立内部控制管理的长效机制，经总部总经理办公会议定，2006年经营业绩考核办法中增加“风险及内部控制管理”内容作为扣分指标（5分），对各省公司《萨班斯法案》内控项目工作开展情况和执行结果进行考核，以确保项目工作顺利实施和持续开展。 省公司应根据总部的

39、要求，制定本公司的内控项目实施考核办法。由于整个内控项目实施时间较长，省公司在制定考核办法的过程中，应结合本省项目实施情况，确定分阶段考核的重点。 5.1 考核组织部门 由省公司内控项目牵头部门和绩效管理部门共同负责考核办法的制定和实施。 5.2 考核内容 制定考核办法时，可以包括以下内容： · 相关部门工作组织情况：考核在进行流程现场记录的期间，相关部门对整个内控项目工作的组织、落实情况，参与该项工作的人员到位情况； · 现场记录工作完成情况：考核工作是否按规定的时限完成，工作完成的质量是否符合总部确定的质量标准； · 流程确认工作完成情况：考核各相关部门是否按规定的时限完成流

40、程确认，反馈确认意见； · 缺陷修补工作完成情况：考核各相关部门是否按规定的时限完成落实缺陷责任人并进行完成缺陷修补工作； · 流程测试工作完成情况：考核各相关部门是否按规定的时限完成落实缺陷责任人并进行完成流程测试工作； · 主要控制点执行情况：考核主要控制点是否得到有效的执行。 6 项目保密机制 本项目涉及公司所有主要业务流程，且本项目的推行涉及公司的各个层面，是公司全体员工的共同工作成果，因此在开展本项目的同时必须建立严格的保密机制。 · 对于涉及具体流程描述和缺陷汇总的文档要求使用公司内部邮箱发送； · 对于本项目确认的各项与财务报告相关的内部控制缺陷，严禁个人在各类媒体

41、论坛上公布或作为案例引用，公司将对责任人追究相应的法律责任； · 对于本项目确认的各项与财务报告相关的内部控制缺陷，不应在电梯、餐厅、候车室等公共场合进行讨论，以免给公司带来不良影响； · 未经公司许可，个人禁止对本项目的培训和访谈情况进行录音、录像； · 本项目中生成的各项文档知识产权归本公司所有，参与本项目人员尤其要注意不得将这些文档向本公司竞争对手泄露。 对于省公司在推行本项目过程中生成的各项重要文档，如《中国移动内部控制手册》等，要求在文档正文前强调对该文档的知识产权保护，具体使用如下文字：“知识产权限制：本文档系中国移动（香港）有限公司为遵循美国萨班斯-奥克斯利法案404条

42、款项目（以下简称“本项目”）编撰，其中载有中国移动（香港）有限公司及其关联公司的商业机密、专有资料和其他保密信息，中国移动（香港）有限公司享有本文档的全部知识产权（包括但不限于著作权）。本文档仅限于本项目之目的，在公司范围内由有权接触本文档的人员使用。任何单位和个人不得以任何方式向任何未经授权的第三方透露本文档的任何内容。” 7 项目的后续管理 本指引内容主要针对《萨班斯法案》404条款的首次遵循工作，由于遵循工作是长期性的工作，首次遵循后各级管理组织需要根据业务流程和所面临风险的变化对《中国移动内部控制手册》、《XX移动通信有限责任公司内部控制手册》和《XX移动通信有限责任公司控制列表》

43、进行持续的更新及对内部控制有效性进行持续的评价，同时外部审计师在每年年报时都要对管理层的内部控制报告发表意见。 三、 内部控制相关基本概念 1 重要法案法规时间表 为了明确《萨班斯法案》的要求，便于上市公司遵循该法案，美国证券交易委员会与上市公司会计监管委员会陆续发表了一系列的重要法案和法规，时间表如下： 2002 年 7 月 30 日 布什总统签发了《萨班斯法案》 2002 年 8 月 29 日 美国证券交易委员会根据《萨班斯法案》302 条的要求颁布对有关条款的最终条例 2003 年 6 月 5 日 美国证券交易委员会根据《萨班斯法案》404 条的要求颁布对有关条款的

44、最终条例和对302 条的补充修订 2004 年 3 月 9 日 上市公司会计监管委员会发布第 2 号审计准则 2004 年 6 月 17 日 美国证交会批准上市公司会计监管委员会发布第 2 号审计准则 2004年6月至2005年5月期间 上市公司会计监管委员会连续五次发布一系列关于与财务报告相关的内部控制问答 2 第2号审计准则 2.1 上市公司会计监管委员会配合404条要求颁布第2号审计准则，以明确规范公司管理层和外部审计师对内部控制进行评价的范围和要求。 第2号审计准则明确了《萨班斯法案》对管理层的要求，要求管理层必须承担与公司财务报告相关的内部控制有效性的责任，采用适当

45、的内控框架，例如COSO，评价公司与财务报告相关的内部控制系统的有效性，评价结果需要以充分的档案文件等证据来支持。同时，管理层需要针对公司最近年度财务报告的内部控制有效性提交书面报告。 2.2 显著缺陷和实质性漏洞 内部控制缺陷按照其严重程度可以分为一般性的内部控制缺陷、显著缺陷与实质性漏洞。如果在内部控制中存在显著缺陷和实质性漏洞，管理层必须将这种情况与独立审计师及审计委员会进行沟通，而且管理层必须尽快更正这种情况，并且披露更正的措施。《萨班斯法案》第 404 条款要求如果公司的内部控制存在实质性漏洞，则已经足以令外部审计师出具保留意见或否定意见。 Ø 显著缺陷(Significant

46、 Deficiency) 根据上市公司会计监察委员会发布的第2号审计准则中的定义，显著缺陷是指单一或多个内控缺陷的存在，对企业根据公认会计准则可靠地启动、授权、记录、处理、报告外部财务数据的能力产生不良影响，以致无法将不能预防或发现年报或中期报告中的并非无关紧要的错报 (More than inconsequential) 的可能性降至最低。 如果一个具有合理判断的人在考虑其它潜在错报的可能性后能断定某项错报是明显不重要的，则为无关紧要， 否则就属于并非无关紧要的错报。由此可见，在判断一项内控缺陷时涉及非常主观的人为判断，并且要求非常严格。 Ø 实质性漏洞 (Material Weakn

47、ess) 根据上市公司会计监察委员会发布的第2号审计准则第10段中的定义，实质性漏洞指的是单一或多个显著缺陷的存在无法把年报或中期报告中出现重大错报(significant misstatement) 的可能性降至最低。 换言之：严重显著缺陷 = 实质性漏洞 《萨班斯法案》第 404 条不仅要求公司财务报表没有重大错报，还要把这种可能性降至最低的水平。而公司的内部控制无法把财务报表出现错报的可能性减至最低已经足以令审计师出具保留意见或否定意见。 3 COSO框架 3.1 中国移动选取COSO框架评价公司与财务报告相关的内部控制系统的有效性。以下简要介绍COSO框架的基本概念和内容：

48、 根据美国反欺骗性财务报告委员会的发起委员会（The Committee of Sponsoring Organizations of the Treadway Commission，以下简称“COSO”）对风险管理的定义，企业风险管理是一个过程，它受企业董事、管理层和其他员工影响，应用于战略建立并贯穿整个企业。 根据COSO内部控制框架，管理层必须记录、测试、评价内部控制框架中五个相互关联的组成部分，这些组件是从管理层对企业的运营方式中提炼出来，并与企业的管理流程融为一体。因此，尽管每个企业建立维护其内部控制都需要这五个组成部分，每个企业的内部控制系统通常看起来都会与其他公司有很大不同。

49、 3.2 COSO内部控制框架包括以下五个组成部分 Ø 控制环境 控制环境确立了企业的基调，影响着企业内人员的控制意识。控制环境是内部控制框架中其他组成部分的基础。控制环境包含了七个主要元素： · 正直、守德的价值取向； · 员工的胜任能力； · 管理哲学和经营风格； · 组织架构； · 职权和职责的分配； · 人力资源的组织和发展； · 董事会关注的事项及导向。 Ø 风险评估 各个企业都面临着内生和外部风险，必须加以评估。风险评估的前提是建立联系不同层级但内部统一的目标。风险评估旨在识别和分析影响目标实现的相关风险，并构成如何管理风险的基础。由于宏观经济、行业、监管以

50、及经营条件的不断变化，用于识别与处理环境变化所带来的风险的机制是必不可少的。 Ø 控制活动 控制活动指用于确保管理层的指令得以有效执行的一系列的政策和程序。这些政策和程序有助于企业采取适当措施来管理风险，以确保企业目标的实现。控制活动应实施于企业各个层面及各个职能，包括一系列的活动，如审批、授权、核对、对账、管理层审阅、资产保管以及职责分工等。 对内部控制的基本概念的介绍请详见第54点内部控制基本概念。（或者本句删除。） Ø 信息与沟通 相关信息应以特定形式被及时地识别、获取和沟通，从而确保相关人员能够履行其各自职责。信息系统可以生成包含财务相关信息的报告，使控制财务报告可靠性成为可