内部控制测试基本思路及抽样原则.docx
《内部控制测试基本思路及抽样原则.docx》由会员分享,可在线阅读,更多相关《内部控制测试基本思路及抽样原则.docx(11页珍藏版)》请在冰豆网上搜索。
内部控制测试基本思路及抽样原则
内部控制测试基本思路及抽样原则
一、穿行测试是内部控制体系建设及评价过程中的重要工具和方法。
在进行了风险评估,了解了企业内部控制现状,梳理和记录完内部控制活动,编制了风险控制矩阵以后,要通过穿行测试与控制测试方法定期对所描述的控制活动进行测试验证,评价其设计及运行的有效性.测试中编制的工作底稿是内部控制合规的重要文档之一,其评价结论既要用来编制内部控制自我评价报告,又要针对发现的内部控制缺陷制定整改计划,不断完善内部控制体系。
本文主要为读者介绍穿行测试的要点及技巧。
1、什么是穿行测试
穿行测试是指了解有关内部控制的基础上,按照交易轨迹,从相关流程中选择一个或若干个具有代表性的交易和事项,追踪其从交易的发生到最终被反映在财务报表或其他经营管理报告中的过程,即该流程从起点到终点的全过程.当然,如果从交易的会计处理到交易的起点进行测试更有效的话,也可反过来执行。
通俗地来讲,穿行测试就是“穿行+测试”,即通过检查一段时间内执行过的某些重点流程各个控制点所留下的文件存档和信息流等,使流程得到再现,从而验证和确认控制是否真实存在并实际运行,现有的控制是否能够防范相应的风险,最终得出控制设计及运行是否有效的结论。
2、穿行测试的特点
(1)同质性:
必须获取同一个交易或包括同一交易的文档。
(2)连续性:
从发生到记录全过程的所有控制都要进行测试.
(3)典型性:
要尽可能获取一个最近执行的典型交易,以涵盖所有控制。
(4)可测性:
获取纸质文档记录进行测试并妥善留存。
(5)普遍性:
穿行测试适用于各类型的控制,每年的内部控制评价都必须做穿行测试。
(6)动态性:
如果控制发生变化(如流程变化、组织架构变化、关键执行人变化、涉及的信息系统变化等),则应重新执行穿行测试程序。
3、穿行测试的范围与内容
(1)穿行测试的范围
穿行测试的范围要涵盖公司层面、流程层面和IT层面,具体的要以前期已经编制好的18个指引对应的风险控制矩阵为依据。
(2)穿行测试的期间
穿行测试要选择最近发生的样本,对部分本年度尚未发生的控制可追溯到上一年的样本。
(3)测试试人员与职责分工
1)测试人员的胜任能力:
测试人员应熟悉测试内容,具备一定的内部控制知识及相当的工作经验,工作测试底稿须经适当的复核人检核;
2)测试人员的独立性:
测试人员应独立于所审查的具体业务活动和内部控制之外。
属于内部工作调动而在本年度担任内审岗位的人员,至少不能对其上一年度负责过的工作进行测试;
3)测试底稿的记录:
在控制测试底稿中应详细记录测试人员姓名或缩写、测试时间、复核人员姓名及缩写和复核时间等必要的信息。
4、穿行测试的程序
穿行测试一般分为四个步骤,包括选取样本、执行测试、记录测试、进行测试评价。
(1)选取样
要点1:
样本可以任意选取,如选取最近发生的典型样本以涵盖所有控制点。
也可指定选取,如关注金额较大样本、或经常发生业务的样本、或特殊业务的样本、或一次性交易的样本等。
要点2:
单笔穿行测试应至少包括如下流程节点:
交易开始、授权、手工或系统处理、记录、单笔交易报告、会计处理及凭证.
在实际选取样本的操作中,通常会遇到这样一个问题:
如果选取的一个交易样本无法涵盖所有控制时怎么办?
如果一个交易不足以确认我们对其控制有效性的了解,则应选择更多的交易,直至测试完所有的控制点。
例如,某流程涉及多个分支(或子流程),如果交易性质不同,则应在每个分支中分别选取一个样本进行穿行测试;如某控制点涉及多种不同性质的业务,且不同性质业务的操作流程也不同,则应每种类型分别选取一个样本进行穿行测试。
我们以付款子流程为例,如果存在现金付款和银行存款付款业务,同时又存在多种不同的付款类型,应如何选取样本进行测试?
Ø 首先区分现金付款和银行存款付款的业务分别选取样本;
Ø 如果现金付款涉及多种类型,则分借备用金、差旅费报销等分支,分别选取样本;
Ø 如果银行存款还大量涉及网上银行付款,则还需要再补充选取网上银行付款样本;
Ø 如果银行存款付款分不同的审批额度,建议首选大额交易审批的样本进行穿行测试,再就审批控制一项,补充其他类型付款的审批样本即可;
Ø 对于与付款关联的其他控制,如现金盘点、银行余额调节表等,也应考虑选取同样期间的样本(如选取的6月10日的银行付款样本,测试银行余额调节控制时,应取得6月末的样本,并关注该笔付款是否同时体现在了银行对账单和公司的银行日记账和总账中)。
(2)执行测试
1)获取原始单据,最终交易全过程:
检查抽取样本的实际执行情况是否与访谈中了解的完全一致,包括检查实际业务处理过程中控制点涉及的申请单、审批单、会计凭证等流转轨迹是否同样满足并落实了控制的5W1H要求;
2)根据控制性质选择测试方法,并预先编写穿行测试程序(即测试步骤);
3)检查文档记录中涉及到的金额与数字的前后勾稽关系,也是测试关注的重点;
4)测试过程中综合运用询问、观察、检查文件记录、重新执行等多种程序。
要点1:
对于无法取得纸质文档资料的控制点,测试人员应采用访谈结合观察的测试方法,且应对访谈及观察的结果进行书面记录。
要点2:
对计算复核类的控制(如工资计算),应从中再选取一个样本,采用重新计算的方法,并详细记录重新计算的过程,以确认控制确实存在并有效执行.
要点3:
测试过程中如果发现实际执行与之前对流程和控制的理解有偏差或异常,应及时与控制执行人和负责人进行沟通确认。
在进行此类询问时,不应局限于所抽取的单笔交易。
测试异常确认完毕后,应考虑修改并更新现有的风险控制矩阵等控制文档,以保持与实际执行的一致性。
(3)记录测试
要点1:
记录测试全过程:
包括样本选取与样本特性、测试方法与测试步骤、测试结果(即看的哪个,怎么看的,看到什么,没有问题的结论,发现问题的充分记录)。
要点2:
对审核类控制的签字,应先检查审核内容是否被正确执行后,再写明可见具体审核人的签字。
不能单方面只看签字是否齐备而不执行审核检查.
要点3:
从事后检查人的角度,将测试中观察到的相关控制点的证明性资料内容、审核签字或控制行为详细并详尽记录下来,而不能直接照抄控制描述。
要点4:
测试后必须就控制设计是否有效给出结论:
有效、无效、不适用。
要点5:
执行穿行测试后,应完整留存所有相关的测试文档,并与其他合规文档一并归档。
需将取得的复印文档并逐一编号,并确保取得的证明性资料和穿行测试底稿及风险控制矩阵做到一一对应。
要点6:
文档资料复印完毕后原件应及时完好退还给有关部门,严禁因穿行测试文档复印不清楚时,直接在复印文档上加盖有关印章或直接篡改伪造相关数据等行为发生。
(4)测试评价
如果某项控制由拥有效执行所需的授权和专业胜任能力的人员按规定的程序和要求执行,能够实现控制目标,从而有效地防止或发现并纠正可能导致财务报表发生重大错报的错误或舞弊,则表明该项控制的设计是有效的.
穿行测试的技巧需要我们在实践中慢慢体会与掌握。
它是进行内部控制测试的方法之一,为评价控制是否运行有效还需进行控制测试.
穿行性测试-支持性文档内容
序号
控制编号
控制活动描述
穿行测试步骤
穿行测试样本编号及描述
穿行测试结果
是否需要后续跟进
备注(文档特殊说明)
1
C—ZJ-01
公司财务章由财务部XXX单独保管,锁于抽屉中。
公司支票付款所需的人名章由XXX单独保管,锁于抽屉中。
1、于2012年X月X日前往财务部办公室,实地观察到公司财务章由财务部XX岗XXX保管并锁于抽屉中;
2、于2012年X月X日前往XXX,实地观察到公司“XX”人名章由XXX岗XXX保管并锁于抽屉中。
不适用
有效
否
2
C-ZJ—02
财务部XX审核转出和转入的银行回单,确认注销账户中的金额及时、全部转移到另一个公司账户后,编制销户处理的会计凭证,由XXX审核凭证后盖章确认.
1、截止本次测试期末(X月X日),无新开销户发生,无样本。
不适用
无样本
是
测试期间无新开销户发生,暂无法测试
3
C—ZJ-03
出差人员报销时如实填写《差旅费报销单》,并附完整合法的原始凭证。
经所在单位的财务部XXX单据是否齐备有效后签字确认.报销人按审批权限经部门领导、公司XXX审核付款金额、用途等的合理性后签字批准后向财务会计部门报销.出纳办理付款并及时加盖现金付讫章。
1、以C—ZJ-04中抽取样本中的《差旅费报销单》及相关附件《XX》、《XX》为样本;
2、检查该《差旅报销单》的申请人为员工XXX报销XXX费用,报销金额XXX元经重新加总后确认无误;并可见财务部XX的复核签字;
3、检查该《差旅报销单》分别经申请人XX部门负责人XXX、XXX、XXX批准,可见审批签字;
4、检查《差旅报销单》上加盖了“现金付讫”章。
”
C—ZJ—03-01#—《差旅费报销单》及附件
有效
否
二、控制测试是开展内部控制评价的另一项重要内容与方法,它通常在穿行测试完毕以后进行,在穿行测试得出设计是否有效的基础上,对控制活动的执行有效性进行测试与判断.
1、什么是控制测试
控制测试是为了验证控制是否按照设计要求被一贯和有效执行的一种测试程序。
也就是指在穿行测试的基础上,从样本总体中,根据测试要求抽取多个样本,来测试控制执行的有效性。
其目的即含义中所述,即测试验证控制活动是否按控制设计那样被执行,通过是否被统一和一贯及时地执行,通过抽样尽可能地涵盖所有适用交易并获得真实可靠的信息。
2、关键控制的识别
在控制测试操作中,并非所有的控制都需要加以测试,应将测试集中在关键控制上,而且特别值得提醒的是,我们仅需要对“设计有效"的“关键控制活动”开展执行有效性测试,那些存在设计缺陷的控制活动则无需开展,因为即使内部控制按照该设计得到了一贯执行,也不能认为其运行是有效的。
因此,控制测试的前提是对控制活动中的关键控制进行判定,在风险控制矩阵中加以标识,并且不能随意更改。
关键控制是指能够保证有较好的机会防止或者发现财务报表差错风险的重要控制.如果关键控制不存在或未被有效执行,即使流程里有其它控制存在,可能也无法防止错误发生的风险。
这里列示几种典型的关键控制以供参考:
职责分离;反舞弊控制;系统与数据的接触限制、物理安全等;主数据的输入控制;关键数据的系统自动控制;对账、账实核对等期末的检查性控制;例外事项的审阅;数据的详细审核/交叉审核等.
3、控制测试的方法
安装可靠程度的从小到大排列,控制测试的主要方法包括:
询问、观察、检查、重新执行。
(1)询问:
即通过口头或书面形式确认控制存在,是一种较薄弱的测试方法,应与其他测试共同执行,并且应该询问多人以确定结果一致;
(2)观察:
即观察员工执行控制步骤,该方法可能需要其他跟进测试,并且需要结合突袭检查,在员工无准备的情况下获得控制活动执行的真实记录。
(3)检查:
这种方法是获得资产存在证据的最简单的方法,主要是通过审阅相关文档记录或报告来对控制活动执行情况进行判断,需要注意的是,在这种方法中需要员工提供详细内容从而可以重复测试步骤并检验结果。
(4)重新执行:
如采用独立的数据重新进行对账,按系统的计算公式重新计算,在系统中输入测试数据来查看结果等。
这种方法可用于某些重要的并且产生较强数据和表单勾稽关系的控制,例如:
根据数据、单据和复核审核控制的传递过程,重新执行一次出差费用报销流程.
4、控制测试程序与要点技巧
(1)确定样本总体
明确了测试方法后,测试人员应向流程负责人取得所需的测试对象的整体(即样本总体),并妥善留存样本总体文件.样本总体在测试期间内应当是完整的,即必须涵盖相应控制在既定的时间和地点范围内的所有业务(对于本身就关注完整性的控制,如收发货相关的控制,如果实际测试取法取得完整样本,应考虑是否控制设计本身就存在问题)。
样本总体的取得方式主要有:
1)从业务发生的末端取得:
即从财务系统中直接取得汇总的会计凭证或明细账信息,或通过明细账的借贷方、凭证摘要、或比较期初期末的差异进行分析获得样本总体;
2)从业务发生的前端取得:
考虑连续编号的登记簿或汇总表,如支票登记簿、合同登记表等;或从信息系统中提取数据列表。
采用该种技术时,需要事先做好计划,与公司IT人员会谈,了解数据的形成和格式,便于正确完整地提取数据;
3)根据控制频率直接判断:
如月度或季度的控制点,通常测试期间内只有一个样本,则全部抽取;部分控制可通过从测试期间抽取全部交易日(周)等方式作为样本总体;
4)点数法:
即在测试期间内对样本总体进行实际点数。
(2)确定抽样方法
抽样测试是目前普遍采用的测试方式,主要包括随机抽样和任意抽样。
测试人员在没有随机软件支持的情况下应采取任意抽样(建议在考虑交易频率的基础上采取等距抽样),并以大金额交易和临近交易为测试重点.
测试人员按设计的方法选取了样本后,不能按个人意愿取舍,应保证样本的真实性。
一旦确定了样本总体后,只能抽样一次,不能在抽样的基础上进行二次抽样。
如支票盘点、银行余额调节表等控制,通常选择测试期间内的所有账户的样本,而不能先选定个别测试月份,再从有限的期间内再随意抽取一定比例的账户进行测试,应确保取得一整套的测试文档。
再如季度利息预提控制的测试,可选择2个季度内的所有贷款利息预提事项;或选择测试期间内的所有预提事项作为总体再抽取25个样本进行测试.
穿行测试的样本可作为一个样本用于控制测试,一般适用于每年、每季度、每月发生的控制。
(3)确定样本规模
不定期抽样:
测试期间发生的实际样本总量乘以10%(最低为1,最高为25).
IT自动控制:
原则上抽取1个样本即可,除非支持该自动控制的IT一般控制经测试无效,否则应抽取25个样本进行测试
如因样本不适用等原因导致无法测试的,应考虑重新调整样本总体或选取替代样本。
且测试底稿中应详细记录样本不适用的原因和替代样本的选取方法等。
一般的抽样关系如下:
序号
业务发生频率
最少抽样数量
1
每天多次
25
2
每天
25
3
每周
5
4
每月
2
5
每季度
2
6
每年
1
7
不定期
该业务发生总笔数的10%
8
IT自动控制
1
(4)执行控制测试
1)根据控制性质选择测试方法,并预先编写控制测试程序(即测试步骤),也就是要事先明确“查什么”,“怎么查”;
2)检查文档记录中涉及到的金额与数字的前后勾稽关系,也是测试关注的重点;
3)测试过程中综合运用询问、观察、检查文件记录、重新执行等多种程序;
4)测试过程中如果发现实际执行与之前对流程和控制的理解有偏差或异常,应及时与控制执行人和负责人进行沟通确认。
测试完毕或测试异常确认完毕后,应考虑修改并更新现有的风险控制矩阵等控制文档,以保持与实际执行的一致性。
如需大幅度修改流程文档或关键控制认定的应由专业人员认定并谨慎进行.
对于非每日或每日多次的控制,如出现1个测试异常,则应视同控制无效;对于每日或每日多次的控制,对发现的测试差异需扩大测试后方可给出结论。
测试过程中,发现差异情况通常做如下处理:
抽样顺序
样本量
差异数量
后续处理
第一次抽样
25
0
控制有效
第一次抽样
25
1
扩大测试样本至40个(增加15个样本)
第一次抽样
25
≥2
停止测试,控制无效
扩大抽样
15
0
控制依然有效
扩大抽样
15
≥1
控制无效(40个里面发现>=2,控制无效)
(5)记录控制测试
1)多个控制点可填写一张测试工作底稿同时测试:
为提高测试效率,如果多个控制点属于同一性质或某个控制文档可涵盖多个控制点,可合并测试。
2)测试人员应按照确定的编码规则对测试工作底稿编制索引号(如TOC1,TOC2),并在测试工作底稿中详细记录测试时间、测试人员、测试步骤、样本总体、抽样方法、测试过程、测试结论和发现问题等。
3)对于不适用或特殊样本,应在底稿中予以标注并通过备注的形式予以详细说明。
4)测试人员完成测试工作底稿后,应交由指定的其他人员进行复核,复核人员应对测试工作的质量负责。
5)对于控制测试取得的文档,如测试结果有效,仅将样本记录在测试工作底稿中,而不需将证据性文件复印归档;
6)对存在控制缺陷的控制点,应将支持得出缺陷结论的所有证据性文件同时复印归档.对于每日或每日多次发生的控制缺陷,归档2个差异样本的证据文件即可。
(6)评价控制运行
如果某项控制正在按照设计运行、执行人员拥有有效执行控制所需的授权和专业胜任能力,能够实现控制目标,则表明该项控制的运行是有效的。
控制执行有效性评价结论通常包括:
1)有效:
按照最少样本数量取得所有样本,且经测试无异常;
2)无样本:
在测试期间内无样本产生,如年度或不定期发生的控制;
3)样本不足:
测试期间只能取得部分样本,且该部分样本经测试无异常.如季度控制;
4)控制无效:
需视情况而定。
若样本的执行情况与控制设计要求不符,则属于测试差异。
对于测试差异,测试人员应通过与流程负责人沟通,排除控制文档描述不准确、控制数据运用不当等原因,如果可以充分地证明差异原因不是控制缺陷所导致,需要详细注明特殊原因,测试结果仍为有效。
5、其他控制的特殊考虑
公司层面内控:
类似于用论据证明论点,从论据中选取最关键的控制,按照手工控制的原则进行测试;
IT层面内控:
测试原则与手工控制类似,也需综合运用询问、观察、检查、重新执行等方法。
但通常会考虑在测试环境中通过尝试非法操作或规定的操作以观察系统执行的结果,对这类系统测试的结果需要留存电子版的拷屏证据(如系统错误提示的截屏等)。
6、控制变化、控制整改与有效运行期
如果在基准日前对存在缺陷的控制进行了整改或发生了重大变化,整改后/更新后的控制需要运行足够长的时间,才能得出其是否有效的结论。
这个“足够长的时间”通常如下表中所指:
控制运行频率
整改后控制运行的最短期间或最少运行次数
最少测试数量
每季1次
2个季度
2
每月1次
2个月
2
每周1次
5周
5
每天1次或每天多次
25次(分布于涵盖多天的期间,通常不少于15天)
25
如果在基准日前对存在缺陷的控制进行了整改,但新控制尚未运行足够长的时间,视同在基准日控制未整改完毕,仍存在控制缺陷。
升级会员 