内部控制穿行测试操作要点及技巧

内部控制演练测试的操作要点和技巧AMT咨询认为，演练测试是内部控制体系建设和评价过程中的重要工具和方法。在进行风险评估、了解企业内部控制现状、整理和记录内部控制活动、编制风险控制矩阵后，通过演练测试和控制测试方法对所描述的控制活动进行定期测试和验证，以评估其设计和运行的有效性。测试期间准备的工作文件是内部控制合规性的重要文件之一。其评价结论不仅应用于编制内部控制自我评价报告，还应用于针对发现的内部控制缺陷制定整改计划，持续改进内部控制体系。AMT咨询主要向读者介绍演练测试的要点和技巧。1.什么是演练测试演练测试是指基于对相关内部控制的理解，从相关流程中选择一个或几个具有代表性的交易和事件，并从交易发生到最终反映在财务报表或其他管理报告中的过程，即从开始到结束的整个过程。当然，如果从交易的会计处理到交易的起点进行测试更有效，也可以反过来进行。一般来说，演练测试是一种“演练测试”，即通过检查一段时间内执行的一些关键流程的各个控制点留下的文件归档和信息流，来验证和确认控制是否存在和实际运行，现有的控制是否能够防范相应的风险，最终得出控制设计和运行是否有效的结论。2.演练测试的特点(1)同质性：必须获得相同的交易或包括相同交易的文件。(2)连续性：应测试从发生到记录的所有控制。(3)典型性：最近执行的典型交易应尽可能涵盖所有控制。(4)可测试性：获取用于测试的纸质文件并妥善保存。(5)通用性：演练测试适用于所有类型的控件。内部控制评价每年必须进行演练测试。(6)动态性：如果控制发生变化(如过程变化、组织结构变化、关键执行者的变化、所涉及的信息系统的变化等)。)，应重新执行穿越测试程序。3.演练测试的范围和内容(1)穿越测试的范围演练测试的范围应涵盖公司层面、流程层面和信息技术层面，并应基于风险控制矩阵，该矩阵对应于前期已编制的18条指南。(2)在穿越测试期间对于穿越测试，应选择最近的样品。对于本年度未发生的一些样品，控制可追溯到前一年的样品。(3)测试人员及职责分工1)测试人员的能力：测试人员应熟悉测试内容，具有一定的内部控制知识和相当的工作经验，工作试卷必须由适当的审核人员审核；2)测试人员的独立性：测试人员应独立于所审查的具体业务活动和内部控制。今年从内部工作调动到内部审计岗位的人员，至少不能测试他们上一年所负责的工作。3)试卷记录：测试人员的姓名或缩写、测试时间、审核人员的姓名和缩写、审核时间等必要信息应详细记录在对照试卷中。4.演练测试程序演练测试一般分为四个步骤，包括样本选择、测试执行、测试记录和测试评估，如下图所示。(1)选择样本点1:可以任意选择样本，例如，可以选择最近的典型样本来覆盖所有控制点。您也可以指定选择，如利息金额大的样本，或业务频繁的样本，或业务特殊的样本，或一次性交易的样本。第二点：单一通过测试应至少包括以下过程节点：交易开始、授权、手动或系统处理、记录、单一交易报告、会计在选择样本的实际操作中，我们通常会遇到这样一个问题：如果所选的交易样本不能覆盖所有的控件，会怎么样？如果交易不足以确认我们对其控制有效性的理解，我们应该选择更多的交易，直到所有控制点都经过测试。例如，一个流程涉及多个分支(或子流程)。如果事务的性质不同，则应为演练测试从每个分支中选择一个样本。如果一个控制点涉及多种不同性质的服务，并且不同性质的服务的操作过程也不同，那么应该选择每种类型的一个样本进行演练测试。AMT咨询以支付子流程为例。如果有现金支付和银行存款支付业务，并且有许多不同的支付类型，应该如何选择样本进行测试？首先，分别选取样本来区分现金支付和银行存款支付。如果现金支付涉及多种类型，则分别使用备用金、差旅费报销等支行来选择样本。如果大量银行存款涉及网上银行支付，则有必要选择额外的网上银行支付样本。如果银行存款支付分为不同的审批限额，建议先选择大额交易的审批样本进行演练测试，然后在审批控制项中补充其他类型支付的审批样本。对于与付款相关的其他控制，如现金盘点和银行余额调节表，也应选择同期的样本(例如，6月10日选择的银行付款样本，在测试银行余额调节控制时，应获取6月底的样本，并应注意付款是否同时反映在银行对账单和公司的银行日记账和总账中)。(2)执行测试1)获取原始凭证和最终交易的全过程：检查抽样样本的实际执行情况是否与访谈中所了解的完全一致，包括检查实际业务处理过程中涉及的申请表、审批表、会计凭证等凭证的流转轨迹是否也符合并执行5W1H控制要求；2)根据控件属性选择测试方法，并预先编写演练测试程序(即测试步骤)；3)检查单据记录中涉及的金额和数量之间的勾对关系，这也是测试的重点。4)在测试过程中，综合运用了询问、观察、文件和记录的检查、重新执行等多种程序。第一点：对于无法获得纸质文件的控制点，测试人员应采用访谈和观察相结合的测试方法，并对访谈和观察结果进行书面记录。第二点：对于计算审核类别的控制(如薪资计算)，应从其中选择另一个样本，采用重新计算的方法，并详细记录重新计算的过程，以确认控制确实存在并得到有效实施。第三点：如果在测试过程中发现实际执行与先前对过程和控制的理解有偏差或异常，应及时与控制执行者和负责人沟通和确认。在进行此类查询时，不应仅限于提取的单笔交易。在确认测试异常后，应考虑修改和更新现有的控制文件，如风险控制矩阵，以保持与实际实施的一致性。(3)记录测试第一点：记录整个测试过程：包括样本选择和样本特征、测试方法和测试步骤以及测试结果(即看哪一个、如何看、看什么、没有问题的结论以及发现问题的完整记录)。第二点：对于审核类型控制的签名，首先检查审核内容是否已经正确执行，然后指定具体的审核员的签名。不进行审核，不允许单方面检查签名是否完整。第三点：从后检验人员的角度来看，在试验中观察到的相关控制点的认证资料、审核签名或控制行为的内容应详细记录，而不是直接复制控制描述。第四点：测试结束后，必须得出结论第六点：原始文件复印后应及时归还相关部门。严禁在复印的文件上直接加盖相关印章，或在复印的旅行试验文件不清楚时直接篡改和伪造相关数据。(4)测试和评估如果某项控制是由具有有效执行所需的授权和专业能力的人员按照规定的程序和要求执行的，则