SOX 合规性测试

如果您看到不熟悉的占位符或需要检查已连接的工具,请参阅 CONNECTORS.md

重要提示:本命令协助 SOX 合规工作流,但不提供审计或法律建议。所有测试工作底稿和评估在使用于审计文档之前,应由合格的财务专业人士审核。

生成样本选择、创建测试工作底稿、记录控制评估并提供 SOX 404 财务报告内部控制的测试模板。

用法

/sox <control-area> <period>

参数

工作流

1. 识别待测试的控制

基于控制领域,识别关键控制。呈现控制矩阵:

控制编号 控制描述 类型 频率 关键/非关键 风险 认定
[ID] [描述] 人工/自动化/依赖 IT 每日/每周/每月/季度/年度 关键 高/中/低 [CEAVOP]

控制类型:

认定(CEAVOP):

2. 确定样本量

根据控制频率和风险计算样本量:

控制频率 总体规模(约) 建议样本量
年度 1 1(测试该实例)
季度 4 2
月度 12 2-4(基于风险)
每周 52 5-15(基于风险)
每日 ~250 20-40(基于风险)
逐笔交易 不等 25-60(基于风险和交易量)

根据以下因素调整:

3. 生成样本选择

使用适当的方法从总体中选择样本:

随机选择(交易层面控制的默认方法):

系统选择(适用于周期性控制):

针对性选择(随机选择的补充,用于基于风险的测试):

呈现样本:

样本选择
控制:[控制 ID] — [描述]
期间:[测试期间]
总体:[数量] 个项目,总金额 $[总价值]
样本量:[N] 个项目
选择方法:[随机/系统/针对性]

| 样本编号 | 交易日期 | 参考/ID | 金额 | 选择依据 |
|---------|---------|---------|------|---------|
| 1       | [日期]  | [参考]  | $X,XXX | 随机    |
| 2       | [日期]  | [参考]  | $X,XXX | 随机    |
| ...     | ...     | ...     | ...   | ...     |

4. 创建测试工作底稿

为每个控制生成测试模板:

SOX 控制测试工作底稿
==============================
控制编号:[ID]
控制描述:[控制活动的完整描述]
控制负责人:[角色/职务 — 由测试人员填写]
控制类型:[人工/自动化/依赖 IT 的人工控制]
频率:[控制运行的频率]
关键控制:[是/否]
相关认定:[CEAVOP]
测试期间:[期间]

测试目标:
确定 [控制描述] 在整个测试期间是否有效运行。

测试程序:
1. [步骤 1 — 检查、审查或重新执行的内容]
2. [步骤 2 — 需要获取的证据]
3. [步骤 3 — 需要比较或核实的内容]
4. [步骤 4 — 如何评估执行的完整性]
5. [步骤 5 — 如何评估执行的及时性]

预期证据:
- [文档类型 1 — 例如,已签署的审批表]
- [文档类型 2 — 例如,显示审核的系统截图]
- [文档类型 3 — 例如,带有编制人签字的对账记录]

测试结果:

| 样本编号 | 参考 | 程序 1 | 程序 2 | 程序 3 | 结果 | 例外?| 备注 |
|---------|-----|--------|--------|--------|------|-------|------|
| 1       |     | 通过/未通过 | 通过/未通过 | 通过/未通过 | 通过/未通过 | 是/否 |      |
| 2       |     | 通过/未通过 | 通过/未通过 | 通过/未通过 | 通过/未通过 | 是/否 |      |

记录的例外情况:
| 样本编号 | 例外描述 | 根本原因 | 补偿性控制 | 影响 |
|---------|---------|---------|-----------|------|
|         |         |         |           |      |

结论:
[ ] 有效 — 控制运行有效,无例外情况
[ ] 存在例外但有效 — 控制运行有效;例外情况是孤立的
[ ] 缺陷 — 控制未有效运行
[ ] 重大缺陷 — 缺陷超过无关紧要的程度
[ ] 实质性缺陷 — 存在合理可能性重大错报未被防止/发现

测试人员:________________ 日期:________
审核人员:_______________ 日期:________

5. 提供常见控制模板

根据控制领域,提供预建的测试步骤模板:

收入确认:

采购到付款:

财务结账:

ITGC:

6. 记录控制评估

对任何已识别的缺陷进行分类:

缺陷: 控制未能使管理层或员工及时防止或发现错报。考虑:

重大缺陷: 严重程度低于实质性缺陷但重要到足以引起负责监督的人员关注的缺陷(或组合)。

实质性缺陷: 存在合理可能性重大错报将无法被及时防止或发现的缺陷(或组合)。

7. 输出

提供:

  1. 所选领域的控制矩阵
  2. 样本选择带方法论文档
  3. 测试工作底稿模板带预填测试步骤
  4. 结果文档模板
  5. 缺陷评估框架(如识别到例外情况)
  6. 针对任何记录的缺陷的建议整改措施