内部控制之控制测试要点及技巧
内控测试方法
内控测试方法
内控测试是指通过检查、观察、询问等方式,对企业内部控制的设计有效性和执行有效性进行检查,并根据测试结果,编制测试报告,目的是查找内部控制设计和执行方面的问题,为内控体系有效性提供合理保证。
内控测试方法主要分为以下几类:
1.访谈法:访谈法是指通过与企业内部控制相关人员进行访谈,了解内部控制
的设计和执行情况。
访谈法可以获得第一手资料,但也容易受到被访者主观因素的影响。
2.观察法:观察法是指通过观察企业内部控制的执行情况,了解内部控制是否
得到有效执行。
观察法可以客观地反映内部控制的执行情况,但也需要观察者具有一定的专业知识和经验。
3.检查法:检查法是指通过检查企业内部控制相关的文件和资料,了解内部控
制的设计和执行情况。
检查法可以获得客观的证据,但也需要检查者具有一定的专业知识和经验。
4.重复执行法:重复执行法是指审计人员按照内部控制规定的程序,重新执行
某些业务流程,以验证内部控制是否有效。
重复执行法可以有效地验证内部控制的执行有效性,但也需要审计人员具有一定的专业知识和经验。
5.抽样测试法:抽样测试法是指从企业的某些业务流程中抽取样本,检查样本
是否符合内部控制规定的要求。
抽样测试法可以节省时间和成本,但也存在抽样误差的风险。
内控测试的具体方法应根据企业的具体情况和内控体系的复杂程度来确定。
在进行内控测试时,应注意以下几点:
●测试计划应明确测试的目标、范围、方法和步骤。
●测试应客观、公正,并遵循专业标准。
●测试结果应及时反馈给企业,并提出改进建议。
内控测试方法和注意事项
内控测试方法和注意事项在内控测试中,有效的检查方法非常重要。
其中,常用的方法是顺查法,即根据业务流程的正常程序进行检查,对发现的问题进行确认和记录。
另外,还有逆查法和交叉法,分别从财务入账和实际工作流程入手,发现问题并填写在适合的流程中。
在测试过程中,需要注意一些事项。
首先,在登陆测试系统时要及时保存录入的信息,避免因长时间不操作而丢失数据。
其次,在退出时要点击浏览器右上角的退出按钮,不可直接关闭浏览器,否则账号可能仍处于登陆状态。
最后,在使用离线方式进行测试时,要注意使用相应的账号下载和上传任务,并尽量不修改原表的格式和单元格属性,以免导致无法上传。
同时,测试任务下载时浏览器地址栏不能加端口号,否则也无法下载任务。
在测试控制效力时,需要对一定数量的样本进行检查。
这些样本应该能够代表整个控制范围,以便对控制效力进行评估。
这个样本总体的大小应该能够满足置信度和精度的要求。
如果样本总体过小,结果可能会失真,从而无法准确评估控制效力。
因此,在选择样本总体时,需要考虑控制范围、置信度、精度等因素,以确保测试结果的准确性和可靠性。
5、结论测试控制效力是企业内部控制评价的重要手段之一。
通过对控制效力进行测试,可以发现控制存在的问题和缺陷,进而改进和加强控制,提高企业的内部控制水平。
在测试控制效力时,需要选择合适的例外事项类型,对样本总体进行合理选择,以确保测试结果的准确性和可靠性。
在确定样本总体时,需要考虑全部业务而不是只看测试单位提供的内容。
例如,对于合同流程的检查,应该检查全部合同事项而不是只看已签订的合同,以避免遗漏应该签订但未签订的合同。
在RCD控制文档中,有些流程控制可能描述较为简单,此时不能只看有没有签字和审批,而要检查文件制度,特别是审批权限的规定,以确定谁应该审批什么业务,并查看可以审批多大金额的规定。
例如,对于某单位预付款的审批流程,虽然实施证据中有人签字,但资金管理相关规定要求总会计师和公司负责人联合审批,因此缺少公司负责人审批的情况就是不完整的。
内部控制具体测试内容和方法
3. 公层面测试内容
3.3 职业道德主要测试步骤
检查高管人员是否全部签署《高级管理人员职业道德规范确认 书》。同时通过与管理层人员访谈并对相关制度文件进行检查, 了解并查看公司是否将职业道德标准包含在与客户及供货商的 商业交往中。
其次访谈财务与资本运营部相关人员,了解对财务分析的理解程 度和各个层面的财务分析结果上报的程序及上报后的审核情况。 根据抽样原则抽查财务分析报告,选择重点相关经营指标,对分 析的过程进行再执行测试,检查指标的分析是否适当。
访谈相关的财务负责人,了解管理层和各级管理部门是否对 上报的财务分析进行审阅,对审核中发现的问题是否进行跟 进,并查阅跟进的相关证据。
3. 公司层面测试内容
4、测试人员取得并审阅事先由被测试单位填好“企事业单位控制 补充说明”的《公司层面控制测试内容与步骤》;
5、依据模版中的相关内容,制定测试计划填写《测试计划表》及 《测试表》中“具体测试步骤”;
6、选择测试方法主要依据《公司层面控制测试表》的测试内容; 在此基础上确定测试提纲,提纲包括测试内容、被测试人员、测试 时间等;
2. 设计有效性测试内容
2.3 信息系统总体控制设计有效性测试
信息系统总体控制设计有效性测试
根据已经确定的信息系统总体控制测试范围,针对不同的领域,首先 依据重要风险确认控制目标,其次将公司已有的关键控制与控制目标、 重要风险进行核对分析,确定应有的关键控制是否存在、重要风险是 否识别,初步评估有效实施控制能否防范风险,达到控制目标,并结 合信息系统总体控制关键控制抽样测试的结果进行评价。
内部控制穿行测试操作要点及技巧
内部控制穿行测试操作要点及技巧内部控制穿行测试是组织评估其内部控制有效性的一种重要方法。
通过对组织内部控制的穿行测试,可以了解内部控制是否严密、完善,是否能有效识别风险并采取相应措施。
为了保证穿行测试的有效性,以下是一些操作要点和技巧:1.明确测试目标:在进行穿行测试前,需要明确测试的目标和范围。
确定要测试的特定流程、程序或控制,以及测试的时间范围和具体目标。
2.确定测试方法:穿行测试可以采用不同的方法,比如文件检查、观察和面谈等。
根据测试的具体目标,选择最适合的测试方法,并确保能够验证和评估内部控制的有效性。
3.随机选择样本:为了保证穿行测试的客观性和全面性,需要随机选择样本。
通过随机选择可以避免主观性和选择性的问题,并确保测试的结果具有代表性和可靠性。
4.记录测试过程和结果:在进行穿行测试时,需要详细记录测试的过程和结果。
记录相关的数据、观察结果和面谈内容,并确保记录准确和完整。
这些记录可以作为后续评估和改进内部控制的依据。
5.与相关人员进行有效沟通:在穿行测试过程中,需要与相关人员进行有效沟通。
了解他们对内部控制的理解和实践,了解他们对可能存在的风险和问题的看法。
通过与相关人员的沟通,可以获取更多的信息和见解,进一步评估内部控制的有效性。
6.对测试结果进行分析和评估:通过对测试结果进行分析和评估,可以识别内部控制存在的缺陷和不足。
分析测试结果可以帮助组织了解哪些控制工作得好、哪些控制工作得不好,以及哪些控制需要进一步改进。
7.提出改进建议:根据穿行测试的结果和分析,提出改进建议。
建议应该具体、明确和可操作,以帮助组织改进内部控制并提升其有效性。
8.进行跟踪和监测:改进内部控制是一个持续的过程。
组织需要跟踪和监测改进措施的实施情况,并评估改进后的内部控制的有效性。
定期进行穿行测试,以确保内部控制能够持续有效地运作。
在进行内部控制穿行测试时,还有几个技巧可以帮助提高测试的效果:1.深入了解业务流程:在进行穿行测试前,需要深入了解业务流程和相关控制措施。
企业内部控制检查要点及标准
企业内部控制检查要点及标准
企业内部控制检查是指对企业内部控制体系进行评估和审查,以确保其有效性和合规性。
以下是企业内部控制检查的一些常见要点和标准:
1. 控制环境:评估企业的管理层是否具备明确的道德价值观和行为准则,是否建立了适当的组织结构和责任分配,以及是否有适当的人员政策和程序。
2. 风险评估:评估企业是否对潜在风险进行了全面的识别和评估,是否建立了适当的风险管理机制,包括风险评估、风险防范和风险应对等。
3. 控制活动:评估企业是否建立了适当的内部控制措施和程序,包括授权和记录交易、访问控制、物理控制、信息系统安全等方面。
4. 信息与沟通:评估企业是否建立了有效的信息传递和沟通机制,包括内部报告制度、信息披露和沟通渠道等。
5. 监督与反馈:评估企业是否建立了有效的监督机制,包括内部审计、风险监控和业务审批等,以及是否进行了持续的监督和反馈。
在进行内部控制检查时,可以参考国际上通用的内部控制框架,如美国的COSO框架或国际审计准则委员会(IAASB)发布的相关准则。
此外,还可以根据企业所在行业的特点和相关法律法规进行具体细化和补充。
需要注意的是,企业内部控制检查是一个系统性的工作,需要专业的知识和经验支持。
建议企业可以委托专业的内部控制评估机构或
咨询公司进行检查,并根据检查结果及时改进和完善内部控制体系。
内部控制测试方法
内部控制测试方法
内部控制测试方法可以分为以下几种:
1. 文件审查:审查与内部控制相关的文件,如政策和程序手册、审计报告、风险评估报告等,以确定内部控制的有效性和合规性。
2. 访谈和问卷调查:与员工、管理层和内部控制相关的其他人员进行面对面的访谈或通过问卷调查收集信息,了解内部控制的实施情况和效果。
3. 目标与程序测试:对内部控制的目标和程序进行测试,以确认其有效性。
这可以包括对流程和政策的遵守情况、对授权和审核的支持、对风险和异常情况的反应等方面的评估。
4. 抽样检查:通过抽样检查相关文件、数据和记录的方式,评估内部控制的有效性和合规性。
可以使用统计抽样方法来选择样本,并根据所选样本的结果综合判断整体的内部控制情况。
5. 系统测试:对信息系统及其相关控制的测试。
这包括对系统的访问控制、数据完整性和准确性、业务连续性和故障恢复等方面的测试。
6. 模拟测试:通过模拟真实业务操作过程、触发异常情况或问题,评估内部控制的响应能力和有效性。
这可以通过模拟交易或事务处理,以及对员工的行为和
决策进行观察和评估来实现。
7. 独立核查:通过内部或外部独立机构进行独立核查,评估内部控制的设计和执行情况。
这可以包括内部审计部门的独立审计,或由外部审计师进行的审计等。
以上是一些常见的内部控制测试方法,根据具体情况和需要,可以采用适当的方法进行测试和评估。
内控测试方法和注意事项
内控测试方法和注意事项内控测试是企业内部控制体系的核心环节,它能够检验和评估内部控制的有效性和合规性。
本文将介绍内控测试的方法和注意事项,以帮助企业更好地进行内控测试。
一、内控测试的方法:1.文件审查:通过对内部控制文件、政策文件和相关文件的审查,了解企业内部控制的设计与执行情况,确定是否存在明显的缺陷和不足。
2.实地观察:通过实地观察企业内部控制的实施情况,了解内控制度的运作效果,是否达到预期的目标。
3.流程走查:通过对内部业务流程的走查,了解关键控制点的建立与执行情况,发现潜在的风险和漏洞。
4.抽样检查:通过对数据的抽样检查,验证内部控制的有效性,发现是否存在错误、遗漏或滥用等问题。
5.反馈征询:通过与相关人员的交流和沟通,了解内部控制制度的推行情况和效果,及时发现问题并进行改进。
二、内控测试的注意事项:1.完备性测试:测试的范围应该完全涵盖所有关键业务流程和重要控制点,确保测试结果的全面性和准确性。
2.独立性与客观性:测试人员应该具有独立性,不受被测试人员的影响,保持客观公正的态度,避免主观偏见对测试结果产生干扰。
3.测试时间的选择:内控测试的时间应该选择在正常业务运营期间,以确保测试结果的准确性和有效性,避免对正常业务运营造成不必要的干扰。
4.重点风险测试:应根据企业的实际情况和事务处理的重要性,重点测试关键控制点,着重关注存在潜在风险的业务环节。
5.问题识别和改进:在测试过程中,发现问题应及时记录和提出,与相关部门和人员沟通并提出改进措施,确保问题得到及时解决和改进。
6.结果分析和报告:对测试结果进行仔细分析和总结,撰写详细的测试报告,阐明测试的目的、范围、方法、结果和建议,并及时向相关管理人员提供测试报告,以便他们制定相应的改进建议和措施。
三、内控测试的意义:1.评估内部控制的有效性:通过内控测试,可以全面评估企业内部控制制度的有效性和合规性,发现控制环节的弱点和不足,帮助企业改进内部控制体系,提高风险管理和合规水平。
内部控制之控制测试要点及技巧
内部控制之控制测试要点及技巧内部控制是指组织为达到其经营目标而建立的一系列措施和程序,通过规划、组织、指挥、协调和监督等手段,确保组织资源的安全、有效和经济的使用,保护组织免受各种内部和外部风险的影响。
控制测试是对内部控制的有效性和合规性进行评估的重要手段,可以帮助组织发现潜在的风险和问题,并采取相应的改进措施。
以下是进行控制测试的要点和技巧:1.根据内部控制目标进行分类和设计测试点:内部控制目标包括风险评估、控制环境、信息与沟通、监控活动和控制活动等方面。
根据这些目标,设计合适的测试点来评估控制的有效性。
2.确定测试方法和样本:根据测试点的性质和重要性,选择合适的测试方法,如问卷调查、文件审阅、访谈等,并确定测试样本的大小和选择方式。
3.了解相关政策、程序和流程:在进行测试前,要充分了解相关的政策、程序和流程,以便更好地理解控制的目标和要求。
4.采集相关数据和证据:根据测试点的要求,采集相关的数据和证据,如文档、记录、账户等,以评估控制的执行情况。
5.分析测试结果和发现的问题:对采集到的数据和证据进行分析,并与内部控制目标进行比较,确定是否存在问题和不足之处。
6.提出改进建议和措施:根据测试结果,提出相应的改进建议和措施,包括制定新的政策和程序、加强培训和沟通、调整组织结构等。
7.跟踪改进措施的执行情况:对于提出的改进措施,要跟踪其执行情况,并进行相应的监控和评估,确保其有效性和可持续性。
在进行控制测试时1.与主管部门和内部各职能部门进行合作:控制测试需要与组织内的各个部门进行合作,获取相关数据和证据。
因此,要与主管部门和内部各职能部门建立良好的合作关系,确保测试的顺利进行。
2.注意体系性和综合性:控制测试要考虑整个审计体系和控制体系,不仅仅关注其中一个环节或流程。
要综合考虑各个控制点之间的关系,评估其对整个控制体系的作用。
3.灵活应用不同的测试技术和方法:控制测试可以采用不同的技术和方法,如数据分析、流程图、比较分析等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
内部控制之控制测试要点及技巧
控制测试是开展内部控制评价的另一项重要内容与方法,它通常在穿行测试完毕以后进行,在穿行测试得出设计是否有效的基础上,对控制活动的执行有效性进行测试与判断。
1、什么是控制测试
控制测试是为了验证控制是否按照设计要求被一贯和有效执行的一种测试程序。
也就是指在穿行测试的基础上,从样本总体中,根据测试要求抽取多个样本,来测试控制执行的有效性。
其目的即含义中所述,即测试验证控制活动是否按控制设计那样被执行,通过是否被统一和一贯及时地执行,通过抽样尽可能地涵盖所有适用交易并获得真实可靠的信息。
2、关键控制的识别
在控制测试操作中,并非所有的控制都需要加以测试,应将测试集中在关键控制上,而且特别值得提醒的是,我们仅需要对“设计有效”的“关键控制活动”开展执行有效性测试,那些存在设计缺陷的控制活动则无需开展,因为即使内部控制按照该设计得到了一贯执行,也不能认为其运行是有效的。
因此,控制测试的前提是对控制活动中的关键控制进行判定,在风险控制矩阵中加以标识,并且不能随意更改。
关键控制是指能够保证有较好的机会防止或者发现财务报表差错风险的重要控制。
如果关键控制不存在或未被有效执行,即使流程里有其它控制存在,可能也无法防止错误发生的风险。
这里列示几种典型的关键控制以供参考:职责分离;反舞弊控制;系统与数据的接触限制、物理安全等;主数据的输入控制;关键数据的系统自动控制;对账、账实核对等期末的检查性控制;例外事项的审阅;数据的详细审核/交叉审核等。
3、控制测试的方法
安装可靠程度的从小到大排列,控制测试的主要方法包括:询问、观察、检查、重新执行。
(1)询问:即通过口头或书面形式确认控制存在,是一种较薄弱的测试方法,应与其他测试共同执行,并且应该询问多人以确定结果一致;
(2)观察:即观察员工执行控制步骤,该方法可能需要其他跟进测试,并且需要结合突袭检查,在员工无准备的情况下获得控制活动执行的真实记录。
(3)检查:这种方法是获得资产存在证据的最简单的方法,主要是通过审阅相关文档记录或报告来对控制活动执行情况进行判断,需要注意的是,在这种方法中需要员工提供详细内容从而可以重复测试步骤并检验结果。
(4)重新执行:如采用独立的数据重新进行对账,按系统的计算公式重新计算,在系统中输入测试数据来查看结果等。
这种方法可用于某些重要的并且产生较强数据和表单勾稽关系的控制,例如:根据数据、单据和复核审核控制的传递过程,重新执行一次出差费用报销流程。
4、控制测试程序与要点技巧
(1)确定样本总体
明确了测试方法后,测试人员应向流程负责人取得所需的测试对象的整体(即样本总体),并妥善留存样本总体文件。
样本总体在测试期间内应当是完整的,即必须涵盖相应控制在既定的时间和地点范围内的所有业务(对于本身就关注完整性的控制,如收发货相关的控制,如果实际测试取法取得完整样本,应考虑是否控制设计本身就存在问题)。
样本总体的取得方式主要有:
1)从业务发生的末端取得:即从财务系统中直接取得汇总的会计凭证或明细账信息,或通过明细账的借贷方、凭证摘要、或比较期初期末的差异进行分析获得样本总体;
2)从业务发生的前端取得:考虑连续编号的登记簿或汇总表,如支票登记簿、合同登记表等;或从信息系统中提取数据列表。
采用该种技术时,需要事先做好计划,与公司IT人员会谈,了解数据的形成和格式,便于正确完整地提取数据;
3)根据控制频率直接判断:如月度或季度的控制点,通常测试期间内只有一个样本,则全部抽取;部分控制可通过从测试期间抽取全部交易日(周)等方式作为样本总体;
4)点数法:即在测试期间内对样本总体进行实际点数。
(2)确定抽样方法
抽样测试是目前普遍采用的测试方式,主要包括随机抽样和任意抽样。
测试人员在没有随机软件支持的情况下应采取任意抽样(建议在考虑交易频率的基础上采取等距抽样),并以大金额交易和临近交易为测试重点。
测试人员按设计的方法选取了样本后,不能按个人意愿取舍,应保证样本的真实性。
一旦确定了样本总体后,只能抽样一次,不能在抽样的基础上进行二次抽样。
如支票盘点、银行余额调节表等控制,通常选择测试期间内的所有账户的样本,而不能先选定个别测试月份,再从有限的期间内再随意抽取一定比例的账户进行测试,应确保取得一整套的测试文档。
再如季度利息预提控制的测试,可选择2个季度内的所有贷款利息预提事项;或选择测试期间内的所有预提事项作为总体再抽取25个样本进行测试。
穿行测试的样本可作为一个样本用于控制测试,一般适用于每年、每季度、每月发生的控制。
(3)确定样本规模
不定期抽样:测试期间发生的实际样本总量乘以10%(最低为1,最高为25)。
IT自动控制:原则上抽取1个样本即可,除非支持该自动控制的IT一般控制经测试无效,否则应抽取 25 个样本进行测试
如因样本不适用等原因导致无法测试的,应考虑重新调整样本总体或选取替代样本。
且测试底稿中应详细记录样本不适用的原因和替代样本的选取方法等。
一般的抽样关系如下:
(4)执行控制测试
1)根据控制性质选择测试方法,并预先编写控制测试程序(即测试步骤),也就是要事先明确“查什么”,“怎么查”;
2)检查文档记录中涉及到的金额与数字的前后勾稽关系,也是测试关注的重点;
3)测试过程中综合运用询问、观察、检查文件记录、重新执行等多种程序;
4)测试过程中如果发现实际执行与之前对流程和控制的理解有偏差或异常,应及时与控制执行人和负责人进行沟通确认。
测试完毕或测试异常确认完毕后,应考虑修改并更新现有的风险控制矩阵等控制文档,以保持与实际执行的一致性。
如需大幅度修改流程文档或关键控制认定的应由专业人员认定并谨慎进行。
对于非每日或每日多次的控制,如出现1个测试异常,则应视同控制无效;对于每日或每日多次的控制,对发现的测试差异需扩大测试后方可给出结论。
测试过程中,发现差异情况通常做如下处理:
(5)记录控制测试
1)多个控制点可填写一张测试工作底稿同时测试:为提高测试效率,如果多个控制点属于同一性质或某个控制文档可涵盖多个控制点,可合并测试。
2)测试人员应按照确定的编码规则对测试工作底稿编制索引号(如TOC1,TOC2),并在测试工作底稿中详细记录测试时间、测试人员、测试步骤、样本总体、抽样方法、测试过程、测试结论和发现问题等。
3)对于不适用或特殊样本,应在底稿中予以标注并通过备注的形式予以详细说明。
4)测试人员完成测试工作底稿后,应交由指定的其他人员进行复核,复核人员应对测试工作的质量负责。
5)对于控制测试取得的文档,如测试结果有效,仅将样本记录在测试工作底稿中,而不需将证据性文件复印归档;
6)对存在控制缺陷的控制点,应将支持得出缺陷结论的所有证据性文件同时复印归档。
对于每日或每日多次发生的控制缺陷,归档2个差异样本的证据文件即可。
(6)评价控制运行
如果某项控制正在按照设计运行、执行人员拥有有效执行控制所需的授权和专业胜任能力,能够实现控制目标,则表明该项控制的运行是有效的。
控制执行有效性评价结论通常包括:
1)有效:按照最少样本数量取得所有样本,且经测试无异常;
2)无样本:在测试期间内无样本产生,如年度或不定期发生的控制;
3)样本不足:测试期间只能取得部分样本,且该部分样本经测试无异常。
如季度控制;
4)控制无效:需视情况而定。
若样本的执行情况与控制设计要求不符,则属于测试差异。
对于测试差异,测试人员应通过与流程负责人沟通,排除控制文档描述不准确、控制数据运用不当等原因,如果可以充分地证明差异原因不是控制缺陷所导致,需要详细注明特殊原因,测试结果仍为有效。
5、其他控制的特殊考虑
公司层面内控:类似于用论据证明论点,从论据中选取最关键的控制,按照手工控制的原则进行测试;
IT层面内控:测试原则与手工控制类似,也需综合运用询问、观察、检查、重新执行等方法。
但通常会考虑在测试环境中通过尝试非法操作或规定的操作以观察系统执行的结果,对这类系统测试的结果需要留存电子版的拷屏证据(如系统错误提示的截屏等)。
6、控制变化、控制整改与有效运行期
如果在基准日前对存在缺陷的控制进行了整改或发生了重大变化,整改后/更新后的控制需要运行足够长的时间,才能得出其是否有效的结论。
这个“足够长的时间”通常如下表中所指:
如果在基准日前对存在缺陷的控制进行了整改,但新控制尚未运行足够长的时间,视同在基准日控制未整改完毕,仍存在控制缺陷。