SOX合规测试Skill finance-sox-testing

此技能用于生成SOX合规测试的样本选择、测试工作底稿、控制评估和模板,协助财务专业人员进行财务报告内部控制的审计工作。关键词:SOX合规、内部控制、审计测试、财务报告、样本选择、工作底稿。

内部控制 0 次安装 0 次浏览 更新于 3/25/2026

name: 财务-sox-测试 description: 生成SOX样本选择、测试工作底稿和控制评估

SOX合规测试

如果您看到不熟悉的占位符或需要检查连接了哪些工具,请询问可用的集成。

重要:此技能协助SOX合规工作流,但不提供审计或法律建议。所有测试工作底稿和评估应在用于审计文档之前,由合格的财务专业人员审核。

为SOX 404财务报告内部控制生成样本选择、创建测试工作底稿、记录控制评估并提供测试模板。

使用方法

您可以要求对特定领域执行SOX测试(例如,“开始SOX测试用于收入确认”或“为AP控制生成样本选择”)。

参数

  • control-area — 要测试的控制领域:
    • revenue-recognition — 收入周期控制(订单到现金)
    • procure-to-payp2p — 采购和应付账款控制(采购到支付)
    • payroll — 薪资处理和薪酬控制
    • financial-close — 期末结账和报告控制
    • treasury — 现金管理和国库控制
    • fixed-assets — 固定资产生命周期控制
    • inventory — 存货估值和管理控制
    • itgc — IT一般控制(访问、变更管理、操作)
    • entity-level — 实体级别和监控控制
    • journal-entries — 日记账分录处理控制
    • 任何特定的控制ID或名称
  • period — 测试期间(例如,2024-Q420242024-H2

工作流

1. 确定要测试的控制

基于控制领域,识别关键控制。呈现控制矩阵:

控制编号 控制描述 类型 频率 关键/非关键 风险 断言
[ID] [描述] 手动/自动/IT依赖 每日/每周/每月/每季度/每年 关键 高/中/低 [CEAVOP]

控制类型:

  • 自动: 系统强制控制,无需人工干预
  • 手动: 由人员执行的控制,涉及判断
  • IT依赖手动: 依赖系统生成数据的手动控制

断言(CEAVOP):

  • 完整性 — 所有交易均已记录
  • 存在/发生 — 交易实际发生
  • 准确性 — 金额正确记录
  • 估值 — 资产/负债正确估值
  • 义务/权利 — 实体对资产有权利,对负债有义务
  • 列报/披露 — 正确分类和披露

2. 确定样本大小

根据控制频率和风险计算样本大小:

控制频率 总体大小(约) 推荐样本
每年 1 1(测试实例)
每季度 4 2
每月 12 2-4(基于风险)
每周 52 5-15(基于风险)
每日 ~250 20-40(基于风险)
每交易 变化 25-60(基于风险和交易量)

调整因素:

  • 风险级别: 高风险控制需要更大样本
  • 前期结果: 有前期缺陷的控制需要更大样本
  • 依赖: 外部审计师依赖的控制可能需要更大样本

3. 生成样本选择

使用适当方法从总体中选择样本:

随机选择(默认用于交易级别控制):

  • 生成随机数以选择特定项目
  • 确保覆盖整个期间

系统选择(用于定期控制):

  • 以固定间隔选择项目,随机起点
  • 确保所有子期间有代表性

目标选择(补充随机,用于基于风险的测试):

  • 选择具有特定风险特征的项目(高金额、异常、期末)
  • 记录目标选择的理由

呈现样本:

样本选择
控制:[控制ID] — [描述]
期间:[测试期间]
总体:[计数] 项, $[总价值]
样本大小:[N] 项
选择方法:[随机/系统/目标]

| 样本编号 | 交易日期 | 参考/ID | 金额 | 选择依据 |
|----------|-----------------|--------------|--------|-----------------|
| 1        | [日期]          | [参考]        | $X,XXX | 随机          |
| 2        | [日期]          | [参考]        | $X,XXX | 随机          |
| ...      | ...             | ...          | ...    | ...             |

4. 创建测试工作底稿

为每个控制生成测试模板:

SOX控制测试工作底稿
==============================
控制编号:[ID]
控制描述:[控制活动的完整描述]
控制所有者:[角色/职位 — 由测试人员填写]
控制类型:[手动/自动/IT依赖手动]
频率:[控制操作的频率]
关键控制:[是/否]
相关断言:[CEAVOP]
测试期间:[期间]

测试目标:
确定[控制描述]在整个测试期间是否有效运作。

测试步骤:
1. [步骤1 — 检查、审查或重新执行的内容]
2. [步骤2 — 获取的证据]
3. [步骤3 — 比较或验证的内容]
4. [步骤4 — 评估执行完整性的方法]
5. [步骤5 — 评估执行及时性的方法]

预期证据:
- [文档类型1 — 例如,签署的批准表]
- [文档类型2 — 例如,显示审查的系统截图]
- [文档类型3 — 例如,与准备者签字的调节表]

测试结果:

| 样本编号 | 参考 | 步骤1 | 步骤2 | 步骤3 | 结果 | 异常? | 备注 |
|----------|-----|-------------|-------------|-------------|--------|------------|-------|
| 1        |     | 通过/失败   | 通过/失败   | 通过/失败   | 通过/失败 | 是/否    |       |
| 2        |     | 通过/失败   | 通过/失败   | 通过/失败   | 通过/失败 | 是/否    |       |

已记录异常:
| 样本编号 | 异常描述 | 根本原因 | 补偿控制 | 影响 |
|----------|----------------------|------------|---------------------|--------|
|          |                      |            |                     |        |

结论:
[ ] 有效 — 控制有效运作,无异常
[ ] 有效但有异常 — 控制有效运作;异常是孤立的
[ ] 缺陷 — 控制未能有效运作
[ ] 重大缺陷 — 缺陷不仅仅是无关紧要的
[ ] 重大弱点 — 存在合理可能性,重大错误陈述无法被防止或检测

测试人:________________ 日期:________
审核人:_______________ 日期:________

5. 提供常见控制模板

基于控制领域,提供预构建的测试步骤模板:

收入确认:

  • 验证销售订单批准和授权
  • 确认交付/履行证据
  • 测试收入确认时间与合同条款
  • 验证价格准确性到合同/价格表
  • 测试贷项通知单批准和有效性

采购到支付:

  • 验证采购订单批准和授权限制
  • 确认三方匹配(PO、收货、发票)
  • 测试供应商主数据变更控制
  • 验证支付批准和职责分离
  • 测试重复支付预防控制

财务结账:

  • 验证账户调节完整性和及时性
  • 测试日记账分录批准和职责分离
  • 验证管理层对财务报表的审查
  • 测试合并和消除分录
  • 验证披露清单完成

ITGC:

  • 测试用户访问配置和取消配置
  • 验证特权访问审查
  • 测试变更管理批准和测试
  • 验证批处理作业监控和异常处理
  • 测试备份和恢复程序

6. 记录控制评估

分类任何已识别的缺陷:

缺陷: 控制不允许管理层或员工及时防止或检测错误陈述。考虑:

  • 错误陈述的可能性
  • 潜在错误陈述的规模
  • 是否存在补偿控制

重大缺陷: 一个缺陷(或组合),其严重程度低于重大弱点,但足以引起监督负责人的关注。

重大弱点: 一个缺陷(或组合),存在合理可能性,重大错误陈述将无法被及时防止或检测。

7. 输出

提供:

  1. 选定领域的控制矩阵
  2. 样本选择及方法文档
  3. 测试工作底稿模板,带预填充测试步骤
  4. 结果文档模板
  5. 缺陷评估框架(如果识别出异常)
  6. 建议的补救措施,用于任何已记录的缺陷