了解内控及控制测试思路详解（上）

前言

本篇文章共有三大部分，分别是：了解被审计单位的内部控制、穿行测试、控制测试，其中穿行测试包含五个小部分：信息技术系统、不相容职责分离、重要的业务流程、穿行测试底稿编制、简单了解IT审计。能够帮助小伙伴快速了解内控，理清编制内控底稿的思路。

关于强化上市公司及拟上市企业内部控制建设推进内部控制评价和审计的通知（征求意见稿）中，明确提出2024年报起所有上市公司及IPO申报企业均需提供内部控制审计报告，所以理解“了解内控及控制测试”非常重要。当前质控重点对实质性程序审查，内控底稿及复核流于形式，但在监管日渐趋严的情况下，质控复核也会开始加严对内控底稿的检查。

正文

我们在审计过程中经常会听到内控二字，了解被审计单位的内部控制和进行控制测试也是审计的重要工作，我们来换一个角度去理解，控制，字典中解释为“掌握住对象不使任意活动或超出范围；或使其按控制者的意愿活动”，我们常常听说“公序良俗”，摘抄了这一段话：“公序，指公共秩序，是指国家社会的存在及其发展所必需的一般秩序；良俗，指善良风俗，是指国家社会的存在及其发展所必需的一般道德。公序良俗指民事主体的行为应当遵守公共秩序，符合善良风俗，不得违反国家的公共秩序和社会的一般道德。”对我们来说，公序良俗就是规则，是对我们个体行为的控制，偏离了控制，就会产生不好的后果，企业也是如此，企业从本质上就是人、财、物的结合体，为了良性运作和长远发展，企业要对人、财、物涉及到的各个流程设计一定的规则，避免发生不可控的风险。因此，了解被审计单位的内部控制就是了解这些企业制定的避免风险的规则，进行控制测试，则是审计师亲自检验这些规则是否流于形式，是否有效。

需要注意的是，审计师并非全能，审计的目标是对财务报表是否不存在重大错报发表审计意见，所以我们需要了解和评价的内部控制只是与财务报表审计相关的内部控制，并非被审计单位所有的内部控制，如被审计单位还会有防范火灾的内部控制，审计师当然不需要检查消防栓、灭火器、消防通道等等，因为这类控制与财务报告无关，但如果时间允许，被审计单位也不厌烦的话，也是可以了解一下，丰富阅历。

一、了解被审计单位的内部控制

了解被审计单位的内部控制主要有两个步骤，一是评价控制的设计，还是用与财务报告无关的例子来帮助大家理解，假如公司有这样一条内部控制制度：“如果资产失窃，则拨打120”，我们来评价一下该控制的设计，失窃时，拨打120是没有用处的，而且对方很可能会推荐拨打精神病医院的电话，这是一个无效的控制设计，所以了解被审计单位的内部控制，首先要评价控制的设计是不是能够有效的防止或发现并纠正重大错报，如果设计不当，了解了也无任何意义，如果设计合理，我们就要进行下一个步骤，也就是了解控制是否在执行，比如企业规定，外来访客进入公司必须要登记，且需要有内部人员接待并签字确认，如我们审计师作为访客进入企业经历了这样的流程，那这个控制就是在执行的，但这并不能证明该控制在其他时点也有效运行，万一我们进去刚好碰到严格执行制度的保安人员，其他时间是消极怠工的保安人员执勤，或者是保安人员对自己的熟人、但并非公司员工的外部人员予以放行，所以了解被审计单位的内部控制，仅停留在评价控制的设计以及控制是否在执行阶段，并不足以测试控制运行的有效性。

二、穿行测试

评价控制的设计和了解控制是否在执行，类似于我们为了取得好成绩，做了一个学习计划，虽然计划做的很完美，但更重要的是实际是否按计划执行，企业也是如此，可能有的企业的内部控制制度很健全，但实际是直接照搬其他公司的制度，所以不但要看企业是否有内部控制制度，重点还要看实际执行情况，而穿行测试是一个较好的检验方法。

穿行测试是指追踪交易在财务报告信息系统中的处理过程，是审计师了解被审计单位业务流程及其相关控制时经常使用的审计程序，在正常运行条件下，将初始数据输入内控流程，穿越全流程和所有关键环节，把运行结果与设计要求对比，以发现内控流程缺陷的方法。

操作步骤比较简单，将被审计单位规范某项经济业务行为的制度按业务流程的方式描述出来，然后抽取某几笔业务样本，要求被审计单位提供所有所抽取业务样本的运行记录，按照流程环节，描述样本业务的实际运行情况，对照流程环节与要求，比较并记录没有做到位的地方。

“穿行”这两个字也很形象，意为从某种通道、缝隙中通过，审计中的穿行就是业务穿过内控制度所设计的流程，比如一笔采购业务，是否有采购申请单以及对应权限的人审批，采购的货物是否办理验收和入库手续，向供应商付款是否有付款申请单以及对应权限的人审批，我们可以获取这笔采购业务在线上系统以及线下的流程痕迹，对于内控健全的企业，这些过程都可以在会计凭证中体现。

穿行测试比较简单，但对于新人朋友来说，理解和操作可能会比较难，因为初入职场，接触的项目较少，对很多程序关键点不清楚，为了帮助新人朋友对穿行测试和控制测试形成整体的认识，了解交易流程在信息技术或人工系统中生成、记录、处理及在财务报表中报告的程序，在这一节分为信息技术系统、不相容职责分离、重要业务流程、穿行测试底稿编制、简单了解IT审计五个部分来讲。

（一）信息技术系统

提到信息技术系统，就需要了解ERP系统，ERP系统一般是指企业资源管理系统，是用各种技术来更好地使用和管理企业资源。凡是涉及到信息采集、分析、加工、共享的产业，都可以应用ERP系统，在制造型企业中比较常见，ERP的核心思想是实现对整个供应链的有效管理，能够帮助企业更好的处理业务流程，处理存货等实物的数据性资料，降低管理成本，提高企业各环节运转效率，审计中我们导账时常接触的如SAP、用友、金蝶都是ERP软件，除财务管理模块外，还包含销售管理、采购管理、售后服务管理、库存管理、生产管理和人力资源管理等模块。被审计单位会选择企业软件供应商搭建ERP系统，通常由被审计单位的业务部门根据实际工作需求提出具体功能需求，并与信息部门对需求进行评估，评估通过后请企业软件供应商的项目组负责设计，ERP系统搭建完成后，由企业软件供应商的项目组在测试环境对新系统进行IT测试，测试通过后交由被审计单位的业务部门进行用户测试，业务部门确保系统设计满足其所需全部需求，ERP系统正式上线。

除了信息技术系为企业经营管理带来的便利，我们也需要思考信息技术系统与内部控制的关系，企业是人、财、物的组合体，但对财和物的运作由人来完成，人与机器的不同之处在于人有思想，而思想可能会使人偏离企业规则所设定好的运行轨道，如公司的管理层与股东之间的代理问题，管理层可能只为个人利益而不勤勉尽责，股东可能为此设置监督或激励措施，来避免这种情况的发生，同样的，公司有不同的部门，大类分为业务部门和职能部门，各部门下又有不同的岗位，如果没有一个合适的信息系统系统来帮助企业管理，可能会导致企业运行效率低下，企业资源得不到良好的运用，甚至于导致管理失控，而ERP软件能够对企业的整个资源进行有效的整合，不同的部门在系统中使用不同的模块，不同的岗位、级别人员有各自的权限，根据不同的职责进行生成、记录、处理业务数据或流程，从而达到不同部门间的协同工作，所以信息技术系统对企业内部控制的重要性不言而喻。

大多数被审计单位出于编制财务报告和实现经营目标的需要使用信息技术，但人工因素始终存在，小型且业务简单的企业可能以人工控制为主，大型企业可能是自动化控制为主，人工控制为辅，我们在工作中也可能会发现，对于某些重要环节的审批，既要线上审批通过，也要线下进行签字确认，所以我们也要关注被审计单位内部控制的人工和自动化特征及其影响，对于自动化控制为主的大型企业，还需要对ERP系统进行IT审计，这部分会在后面简单介绍。

需要注意的是，很多企业根据实际经营的需要，可能会选择多个信息技术系统，当账务处理和业务管理不是同一个系统时，就需要分别进行了解并测试，下面的案例来自于中国证监会行政处罚决定书〔2021〕11号：

2016年和2017年年报审计期间，正中珠江未对康美药业的业务管理系统实施相应审计程序，未获取充分适当的审计证据。捷科SCM3.0新架构供应链系统（以下简称捷科系统）为康美药业的业务管理信息系统，金蝶EAS系统是康美药业进行账务处理的信息系统。正中珠江相关审计人员明知康美药业捷科系统的存在，未关注捷科系统与金蝶EAS系统是否存在差异，未分析差异形成的原因及造成的影响，未实施必要的审计程序。具体包括：一是在财务报表层面了解信息技术的运用时，未涵盖业务管理系统。根据审计底稿的记载，康美药业的销售业务流程是基于捷科系统开展，从捷科系统发起销售订单，并经过一系列流程，最终通过系统配送货物。在知悉康美药业存在捷科系统的情况下，正中珠江仅了解了金蝶EAS系统，未涵盖捷科系统。二是正中珠江了解金蝶EAS系统时，未执行审计程序了解金蝶EAS系统与捷科系统之间数据的勾稽关系。金蝶EAS系统与捷科系统的销售数据存在明显差异，正中珠江却未执行审计程序了解捷科系统的数据如何结转至金蝶EAS系统。三是正中珠江实施风险应对措施时，未从业务管理系统获取审计证据。正中珠江在内控测试、实质性程序中计划获取销售出库单等业务单据，但仅从金蝶EAS系统获取审计证据，没有追溯至捷科系统，也没有说明未追溯至捷科系统的理由，获取的审计证据不具有充分性和适当性。正中珠江的行为不符合《中国注册会计师审计准则第1211号——通过了解被审计单位及其环境识别和评估重大错报风险》第21条和《中国注册会计师审计准则第1301号——审计证据》第10条的规定。

（二）不相容职责分离

我们在了解业务流程及控制的时候，要关注不相容职责是否分离，不相容职责分离是企业各业务部门及业务操作人员之间责任和权限的相互分离机制。如果企业里某些相互关联的职责，集中于一个人身上，就会增加发生差错和舞弊的可能性，或者增加了发生差错或舞弊以后进行掩饰的可能性。试想，如果资金支付申请人和审批人是同一个人，那公司的账户和员工自己的私人账户有什么区别，如果资产保管人和资产入账的记录人是同一人，那资产的挪用也就无人知晓了。

所以不相容职务一般包括：业务经办与授权批准、业务经办与会计记录、会计记录与财产保管、业务经办与稽核检查、授权批准与监督检查等，如果不能做到完全分离，也必须通过其他适当的控制程序来弥补。

内部控制并不是要防范所有业务流程中的风险，有些低风险的事项是企业可承受的。一方面，审计准则中内部控制部分提及对小型被审计单位的考虑：“被审计单位设计和执行内部控制的具体方式会因被审计单位的规模和复杂程度的不同而不同。小型被审计单位通常采用非正式和简单的内部控制实现其目标，参与日常经营管理的业主可能承担多项职能，内部控制要素没有得到清晰区分，注册会计师应当综合考虑小型被审计单位内部控制要素能否实现其目标。”因为小企业的人员较少、管理幅度不大、业务简单，业务的操作流程一目了然，增加人手分离业务职责会增加企业的用工成本，可以通过对具体人员的管理来解决职务未分离的风险，我们可以通过询问管理层如何防范风险后进行综合评判；另一方面，有些企业在管理模式上采用的是关键岗位的家族化管理，对于职务未分离的岗位的人员是充分信任的，如近亲的家族人员担任会计兼出纳，未对不相容职务进行严格的分离，但需要注意的是，出纳同时兼职会计，不仅是内部控制存在问题，可能会导致公司遭受严重的经济损失，而且还违反法律法规，根据《中华人民共和国会计法》 第三十七条 会计机构内部应当建立稽核制度，出纳人员不得兼任稽核、会计档案保管和收入、支出、费用、债权债务帐目的登记工作，如果有出纳同时兼职会计的情况，应该建议企业设置一名专职会计，出纳由其他人员兼任。

（三）重要的业务流程

我们需要确定要对哪些业务流程进行穿行测试，但并不需要对所有的业务流程进行穿行测试，而是选择与财务报表相关的重要业务流程，企业一般有采购与付款、生产与仓储、研究与开发、工薪与人事、销售与收款、筹资与投资等业务流程，重要业的业务流程主要是看与企业生产经营的相关性较高的流程，也可以通过看企业的科目余额表找出使用频率较高的会计科目，如对于制造业，采购与付款、生产与仓储、销售与收款是重要的业务流程，相应的，银行存款、存货、预付账款、应付账款、应收账款等是使用频率较高的科目，各个业务循环以及循环内包含的报表项目参考如下，篇幅有限，只展示部分较为常见的报表项目：

 判断重要业务流程后，我们需要知道各业务流程涉及的关键节点、控制目标，业务流程由谁发起、审批、执行等，所以我们要了解相关业务流程涉及的部门、人员、岗位职责，还要了解各岗位在ERP系统中对重要业务流程的操作，以及线下同时需要执行的程序，一方面我们可以先获取被审计单位的内部控制手册，将企业用来规范某项业务的制度按业务流程的方式描述出来，梳理出涉及业务流程的人员。另一方面，询问业务流程涉及的相关人员，关注其回答是否与内控制度规定的有出入，内控制度上可能并未详细说明如何在ERP系统上进行操作的流程，此时需要通过询问来进一步完善对业务流程的描述。

（四）穿行测试底稿编制

本部分以采购与付款业务流程为例，穿行测试底稿编制参考如下，以下图示来自某会计师事务所底稿模板：

1、采购与付款业务涉及的主要人员

可通过详细的组织架构图或带有职务的工资表等填写后请被审计单位确认

2、有关职责分工的政策和程序

根据被审计单位的内部控制管理手册填写

3、业务流程介绍

根据被审计单位的内部控制管理手册和询问业务涉及的主要人员填写

（1）采购审批与处理

（2）记录应付帐款

（3）付款

（4）对账与调节

4、样本测试

实务中一般会优先做实质性程序，所以一般是在选取细节测试样本时，顺带着选取能用于穿行测试和控制测试的样本，以此实现双重目的，也减少了审计样本的数量，对于采购与与付款循环的穿行测试，可以获取审计期间的请购单明细、合同台账、发票台账等抽取样本，实务中主要是从计提和支付大额应付账款的会计凭证号中选择，但会计凭证后的附件未必会包含穿行测试所需要的所有证据，比如采购信息报告、供应商对账报告等，此部分需要列出清单请被审计单位单独提供。

（1）采购审批与处理

（2）记录应付帐款

（3）付款

（4）对账与调节

需要注意的是，被审计单位对于某重要业务循环并非仅有单一的业务流程和控制活动，如果被审计单位针对不同类型的循环业务分别采用不同的业务流程和控制活动，应分别予以记录。

以某家公司内控制度举例来说，该公司采购计划的制定和实施根据采购原材料的不同，分为订单采购、存量采购、补充采购、紧急采购、零星采购、战略采购等多种采购形式。经了解，日常生产活动中主要采用订单采购和存量采购两种形式。其中，订单采购指依据订单生产需要而进行的采购方式，适用于高价值、多种少量、特殊规格的物料；存量采购指公司常备一定存量以满足生产需要，适用于经常性、共用性物料以及采购耗时较多的物料。我们从内控手册中或者询问相关人员了解到两种类型的业务流程。

订单采购业务流程：由生产部根据生产计划或生产（开发）任务单、物料消耗等计算物料总需求与交货日期并填入《月度采购计划》，交生产总监审核；批准后交由采购部门对《月度采购计划》分解成针对各供应商的订购单或采购合同，经生产总监审批后执行采购。存量采购业务流程：由生产各部门部根据仓储部门提交的生产原辅料库存量确定采购计划，由生产总监批准后由采购部门执行采购。

因为被审计单位有多种采购方形式，日常主要采用两种形式，且涉及的业务控制也不同，因此要分别检查并记录，同样的，销售与收款循环中，企业销售不同产品可能有不同的销售方式，筹资与投资循环中，有直接和间接方式，验收日常用的固定资产与验收生产专用的固定资产涉及的流程也不同，同样参考本节内容记录即可。

（五）简单了解IT审计

传统的审计可能无法应对信息系统产生的风险，对于一些大型且自动化控制为主的企业，同时需要结合公司实际系统情况，对线上交易涉及的信息系统可靠性、业务数据准确性、业务真实性、业务数据完整性等方面进行IT审计，并执行恰当的系统流程审计程序，实务中会有专门的IT审计团队来辅助财务审计团队，所以我们在此简单了解即可。IT审计主要是对信息系统一般控制和应用控制进行测试，分别举一个例子来说明IT审计的测试。

信息系统一般控制类举例如下：

检查公司用户账号权限管理流程是否合理，账号授权是否恰当：通过访谈权限管理员了解审计范围内系统的权限管理流程，获取审计期间内所有入职员工记录和审计范围内系统的用户清单，以此为基础抽查新增用户账号的样本，检查所有权限变更是否存在适当的管理层审批，从应用层面防止超权限或伪造数据的风险；获取审计期间所有离职用户名单并与系统用户账号进行比对，以确认是否存在冗余账号，从应用层面防止超权限或伪造数据的风险；梳理审计范围内系统的应用层、数据库层和操作系统层的管理员权限授权，以确认管理员权限授权是否合理；梳理审计范围内系统应用层的账号和权限，查看IT人员是否具有审计范围内系统的业务操作权限。

信息系统应用控制类举例如下：

检查订单签订是否合理：通过询问相关负责人员，了解系统中是否启用信用额度检查的功能，从而确保独立的经销商及其经销商信息、信用额度的匹配准确完整；检查系统是否启用了信用检查的功能。确保提交销售订单时，系统自动将订单金额与财务系统账上该经销商额度进行比较，只有订单金额小于或等于额度时，销售订单才能在系统中建立成功。

IT审计所做的工作是通过测试财务报表所依赖的信息系统(包括财务系统和业务系统）控制的有效性、数据的真实性，证明信息系统环境是否可以信赖，在企业信息化浪潮下，IT审计会逐渐成为财务审计的重要组成部分。

本篇到此结束，控制测试部分会在“了解内控及控制测试思路详解（下）”中发布。

来源：91审计帮上官