内部控制穿行测试操作要点及技巧

ZDNET至顶网CIO频道 7月9日 综合消息：AMT咨询认为穿行测试是内部控制体系建设及评价过程中的重要工具和方法。在进行了风险评估，了解了企业内部控制现状，梳理和记录完内部控制活动，编制了风险控制矩阵以后，要通过穿行测试与控制测试方法定期对所描述的控制活动进行测试验证，评价其设计及运行的有效性。测试中编制的工作底稿是内部控制合规的重要文档之一，其评价结论既要用来编制内部控制自我评价报告，又要针对发现的内部控制缺陷制定整改计划，不断完善内部控制体系。AMT咨询主要为读者介绍穿行测试的要点及技巧。

1、什么是穿行测试

穿行测试是指了解有关内部控制的基础上，按照交易轨迹，从相关流程中选择一个或若干个具有代表性的交易和事项，追踪其从交易的发生到最终被反映在财务报表或其他经营管理报告中的过程，即该流程从起点到终点的全过程。当然，如果从交易的会计处理到交易的起点进行测试更有效的话，也可反过来执行。

通俗地来讲，穿行测试就是“穿行+测试”，即通过检查一段时间内执行过的某些重点流程各个控制点所留下的文件存档和信息流等，使流程得到再现，从而验证和确认控制是否真实存在并实际运行，现有的控制是否能够防范相应的风险，最终得出控制设计及运行是否有效的结论。

2、穿行测试的特点

（1）同质性：必须获取同一个交易或包括同一交易的文档。
（2）连续性：从发生到记录全过程的所有控制都要进行测试。
（3）典型性：要尽可能获取一个最近执行的典型交易，以涵盖所有控制。
（4）可测性：获取纸质文档记录进行测试并妥善留存。
（5）普遍性：穿行测试适用于各类型的控制，每年的内部控制评价都必须做穿行测试。
（6）动态性：如果控制发生变化（如流程变化、组织架构变化、关键执行人变化、涉及的信息系统变化等），则应重新执行穿行测试程序。

3、穿行测试的范围与内容

（1）穿行测试的范围
穿行测试的范围要涵盖公司层面、流程层面和 IT层面，具体的要以前期已经编制好的18个指引对应的风险控制矩阵为依据。
（2）穿行测试的期间
穿行测试要选择最近发生的样本，对部分本年度尚未发生的控制可追溯到上一年的样本。
（3）测试试人员与职责分工
1）测试人员的胜任能力：测试人员应熟悉测试内容，具备一定的内部控制知识及相当的工作经验，工作测试底稿须经适当的复核人检核；
2）测试人员的独立性：测试人员应独立于所审查的具体业务活动和内部控制之外。属于内部工作调动而在本年度担任内审岗位的人员，至少不能对其上一年度负责过的工作进行测试；
3）测试底稿的记录：在控制测试底稿中应详细记录测试人员姓名或缩写、测试时间、复核人员姓名及缩写和复核时间等必要的信息。

4、穿行测试的程序

穿行测试一般分为四个步骤，包括选取样本、执行测试、记录测试、进行测试评价，如下图所示。

（1）选取样本

要点1：样本可以任意选取，如选取最近发生的典型样本以涵盖所有控制点。也可指定选取，如关注金额较大样本、或经常发生业务的样本、或特殊业务的样本、或一次性交易的样本等。

要点2：单笔穿行测试应至少包括如下流程节点：交易开始、授权、手工或系统处理、记录、单笔交易报告、会计处理及凭证。

在实际选取样本的操作中，通常会遇到这样一个问题：如果选取的一个交易样本无法涵盖所有控制时怎么办？如果一个交易不足以确认我们对其控制有效性的了解，则应选择更多的交易，直至测试完所有的控制点。例如，某流程涉及多个分支（或子流程），如果交易性质不同，则应在每个分支中分别选取一个样本进行穿行测试；如某控制点涉及多种不同性质的业务，且不同性质业务的操作流程也不同，则应每种类型分别选取一个样本进行穿行测试。

AMT咨询以付款子流程为例，如果存在现金付款和银行存款付款业务，同时又存在多种不同的付款类型，应如何选取样本进行测试？

首先区分现金付款和银行存款付款的业务分别选取样本；
如果现金付款涉及多种类型，则分借备用金、差旅费报销等分支，分别选取样本；
如果银行存款还大量涉及网上银行付款，则还需要再补充选取网上银行付款样本；
如果银行存款付款分不同的审批额度，建议首选大额交易审批的样本进行穿行测试，再就审批控制一项，补充其他类型付款的审批样本即可；
对于与付款关联的其他控制，如现金盘点、银行余额调节表等，也应考虑选取同样期间的样本（如选取的6月10日的银行付款样本，测试银行余额调节控制时，应取得6月末的样本，并关注该笔付款是否同时体现在了银行对账单和公司的银行日记账和总账中）。

（2）执行测试

1）获取原始单据，最终交易全过程：检查抽取样本的实际执行情况是否与访谈中了解的完全一致，包括检查实际业务处理过程中控制点涉及的申请单、审批单、会计凭证等流转轨迹是否同样满足并落实了控制的5W1H要求；
2）根据控制性质选择测试方法，并预先编写穿行测试程序（即测试步骤）；
3）检查文档记录中涉及到的金额与数字的前后勾稽关系，也是测试关注的重点；
4）测试过程中综合运用询问、观察、检查文件记录、重新执行等多种程序。

要点1：对于无法取得纸质文档资料的控制点，测试人员应采用访谈结合观察的测试方法，且应对访谈及观察的结果进行书面记录。
要点2：对计算复核类的控制（如工资计算），应从中再选取一个样本，采用重新计算的方法，并详细记录重新计算的过程，以确认控制确实存在并有效执行。
要点3：测试过程中如果发现实际执行与之前对流程和控制的理解有偏差或异常，应及时与控制执行人和负责人进行沟通确认。在进行此类询问时，不应局限于所抽取的单笔交易。测试异常确认完毕后，应考虑修改并更新现有的风险控制矩阵等控制文档，以保持与实际执行的一致性。

（3）记录测试

要点1：记录测试全过程：包括样本选取与样本特性、测试方法与测试步骤、测试结果（即看的哪个，怎么看的，看到什么，没有问题的结论，发现问题的充分记录）。
要点2：对审核类控制的签字，应先检查审核内容是否被正确执行后，再写明可见具体审核人的签字。不能单方面只看签字是否齐备而不执行审核检查。
要点3：从事后检查人的角度，将测试中观察到的相关控制点的证明性资料内容、审核签字或控制行为详细并详尽记录下来，而不能直接照抄控制描述。
要点4：测试后必须就控制设计是否有效给出结论：有效、无效、不适用。
要点5：执行穿行测试后，应完整留存所有相关的测试文档，并与其他合规文档一并归档。需将取得的复印文档并逐一编号，并确保取得的证明性资料和穿行测试底稿及风险控制矩阵做到一一对应。
要点6：文档资料复印完毕后原件应及时完好退还给有关部门，严禁因穿行测试文档复印不清楚时，直接在复印文档上加盖有关印章或直接篡改伪造相关数据等行为发生。

（4）测试评价

如果某项控制由拥有有效执行所需的授权和专业胜任能力的人员按规定的程序和要求执行，能够实现控制目标，从而有效地防止或发现并纠正可能导致财务报表发生重大错报的错误或舞弊，则表明该项控制的设计是有效的。

穿行测试的技巧需要我们在实践中慢慢体会与掌握。它是进行内部控制测试的方法之一，为评价控制是否运行有效还需进行控制测试，对于控制测试的要点与技巧，留待AMT咨询以后再向大家介绍。