企业内部控制测试

企业内部控制测试
何为内部控制审计？在上海辞书出版社出版的《大辞海》（经济卷）中对内部控制审计的描述是：审计人员通过对被审计单位的内部控制制度的了解、分析测试和评价，对其内部控制设计与执行的有效性作出鉴定。

不难看出内部控制体系设计与执行的有效性是内控审计的重点，内部控制审计将围绕着设计与执行两条线展开。

一、内部控制审计的依据
****作为中国**行业的龙头企业，为满足外部监管机构的要求，完善法人治理结构，建立有效的制衡、监督机制，规范管理行为，规避风险，提高经营管理水平，确保各项工作规范、有序运行，建立起了内部控制体系。

为保障内部控制的长效机制，定期对内部控制进行测试，编制了《内部控制测试及评价指导手册》。

手册包括总册、测试分册和缺陷评价。

其中总册对内部控制测试的基本原则和技术要求作了统一规范，用于指导测试人员进行有效的测试；测试分册是各流程的测试模版，用于记录测试过程和测试结果；缺陷评价是对缺陷进行评价的工作底稿模板，用于记录缺陷评价的过程和结果。

二、内部控制审计的工作流程
（一）测试工作方案、测试范围和内容
每次测试前，审计机构应依据年度计划制定具体的测试方案，确定测试时间、测试对象、测试内容、样本抽取期间、测试人员、测试组织方式、底稿编制、测试关注事项等。

原则上所有分子公司均应纳入测试范围。

测试内容一般包括公司层面管理、合约与成本管理、采购管理、投资管理、资金管理、长期资产管理、收入与成本核算、财务关账与报告、人力资源管理、信息系统管理等流程。

本年度公司内控审计主要选取了其中的公司层面、财务关账与报告、合约与成本、收入与成本、人力资源管理、资金管理、物资与设备、长期资产管理共8个业务流程、48个测试点，围绕市场营销、商务合约管理、物资管理、财务管理、固定资产管理等重点领域，对公司内部运行和责任落实、制度制定和执行、授权审批控制和不相容职务分离等关键环节进行控制检查。

（二）测试类型、方法、样本选取
1.测试类型
主要有设计有效性测试和执行有效性测试。

设计有效性测试是指对纳入测试范围的流程，选择一笔
具有代表性的业务，抽取贯穿业务活动全过程的一整套关键样本，进行穿行测试，以验证该流程内部控制的设计是否与内控测试工作底稿上所描述的结果相一致，评价内部控制设计是否有效。

执行有效性测试是指内部控制执行是否有效实施的测试程序。

执行有效性测试是在内部控制设计有效的基础上展开的，根据控制活动发生的频率确定样本量，样本应覆盖检查的整个测试期间，并在测试期间相对均匀的选择样本。

2.测试方法
测试方法分为询问、观察、检查等方法。

本年度公司内控测试主要采用的方法是检查法，主要是选择一定比例的样本，通过检查样本，判断控制活动的设计和执行是否有效，如是否存在相关制度未明确控制程序；不相容岗位职责是否分离；会计凭证是否经审核等。

3.样本选取
抽样的规则：应保证自业务部门取得的样本与财务部门记录的业务确为同一笔业务；抽取的样本应该涵盖不同的业务类型或不同的项目；样本要从该控制活动开始执行之日抽取；应在测试期间相对均匀地选择样本；样本应考虑时效性；
样本量的确定：包括固定频率样本量的确定、非固定频率样本量的确定。

本年度公司内控审计的样本量是按照非固定频率样本量确定的，主要是公司内部控制活动发生的频率不固定，需估算每项控制活动全年预计发生的数量，据此确定样本量。

（三）测试结果的评价与记录
测试结果共分为五种：达标、未达标、不适用、未发生交易和样本量不足，在测试工作底稿“测试结论”栏中已经预设，测试人员只需点击下拉菜单，选中相应的选项即可。

内控测试有效性：内部控制有效性=1-未达标率，以此计算各单位的内部控制有效性。

（四）缺陷评价
按缺陷产生的原因，控制缺陷可以分为设计缺陷和执行缺陷。

具体来说：
1.设计缺陷
主要是指缺少实现控制目标所必须的制度或办法，现有的控制活动没有制度或办法支撑，现有的制度或办法不能指导控制活动。

2.执行缺陷
主要是指控制活动未按照制度或办法执行，执行人员没有适当的能力执行制度或办法。

（五）测试底稿的审核
测试现场工作结束后，应及时对底稿进行复核。

测试底
稿的复核人应具备相关专业胜任能力。

采取由更高级别人员进行审核或各流程测试人员交叉复核的方式进行，以确保底稿的完整性和一致性。

（六）内控审计报告
测试完成后，审计机构需负责完成内部控制审计报告，并提交公司领导。

（七）问题整改
测试中发现的内部控制方面的缺陷，测试人员应如实在底稿中记录，问题清晰，建议得当，并及时与被测试单位进行沟通。

被测试单位应制订切实可行的整改方案，并于审计报告发布后3个月内完成整改。

三、内部控制审计的特点与作用
（一）内控审计测试倡导与时俱进，及时关注公司管理层管控重点的变化，将其纳入到测试模块中，对管理政策的落实和内控机制的改革起到推波助澜的作用。

如公司层面流程中的两金管控管理、长期资产管理流程中的科研课题管理等都是紧扣管理新动向、新视角而设定的测试点。

（二）内控测试模板是风向标，对廉洁自律、八项规定均有相应的测试点。

比如今年的内控测试中就增加了对廉洁从业记录的测试，通过查询人员花名册、会计账簿及凭证、分供商名录、合同及结算资料等，借助企业信用信息查询系
统，检查员工是否存在违反廉洁从业规定，投资入股本企业的同类经营企业或有业务关系的企业。

通过查阅会计凭证、车辆行驶本、出国出境审批记录等，检查是否存在高档烟酒开支，违规组织公费旅游，超标购买公务用车，领导人员出国境审批程序不规范的情况。

（三）内控测试模板是制订各项管理制度的参谋，由于测试模板具有风向性、全面性、细微性，因此在编制一项管理制度时，若能覆盖内控测试模板所关注的测试点，就能把管理活动控制的各个细节纳入到制度中，从而制度编制的有效性得到了保证，制度执行的效果也将会更好。

（四）内控测试模板更能直观反映内控的成效。

由于内控测试通常是选择一笔具有代表性的业务，抽取业务活动全过程的一整套关键样本进行穿行测试（“从头至尾”），最终形成一个闭合，以验证流程内部控制的设计与执行是否与内部控制的要求相一致，从而评价内部控制的有效性。

（五）内控测试模板以财务凭证为落脚点，梳理各项控制活动的有效性。

如长期资产流程中的固定资产管理测试点，就是通过查询固定资产的购置申请、验收入库等记录，了解固定资产的采购情况，再通过查询财务会计凭证的编号、入账时间、入账金额来校验固定资产购置申请时间、采购时间、验收金额和验收时间等关键信息的准确性，从而验
证固定资产管理的有效性。

（六）内控测试模板始终着重细节，对于编号、日期、签章等内容加以关注，从而加强对风险的防范，提升管控能力。

如与对方单位签订的工程合同、劳务合同、采购合同、专业分包合同时，常出现编号、日期、签章不规范或未注明等问题，这些细节问题若合同能正常履行时，不会产生多大的问题，但一旦出现法律纠纷时，这些看似无关紧要的信息便会升级为关键信息，进而影响到案件、纠纷的处理进展和最终结果。

（七）内控测试模板具有一定的拔高作用，让管理需要垫一垫脚尖或跳一跳才能够得着。

如测试模板中科研课题管理方面，就强调了科研课题立项或策划书必须经公司财务资金部签字确认，以此判定科研经费是否能够得到保证。

在科研课题的过程管理中又强调了年度报告制，要求科研课题每年必须提交年度报告，报告需对课题的进度、效果以及经费使用情况进行详细的说明，并经公司科技分管领导签字，以此对科研课题立项、投入、产出控制的有效性进行测试。

（八）内控测试模板中的测试点能帮助我们发现管理中存在的问题，及时纠偏纠错，从而提高管理水平。

由于内控审计主要采用穿行测试，每一个控制环节都会在表格中一一对应地记录下来，因此它能准确地反映出日常管理中哪个环
节出现了问题，如合同签订时间早于合同评审时间、材料开标时间早于招标文件评审时间等这类不合理的细枝末节，便于被测试单位有针对性地进行整改。

四、结语
内控测试以体系设计为源头，以执行结果来评价内部控制体系的有效性，满足了外部监管机构的要求，完善了法人治理结构，提高了企业经营管理水平，对企业发展有着不可替代的作用，相信随着内控审计工作不断地深入进行，大家会更加深刻地感受到内控审计的作用。