企业内控评估工具——穿行测试

张   玉   编译

证实了解控制涉及的最佳方式是开展“穿行测试”。公司并不要求开展穿行测试程序，可是管理层对这样做最感兴趣。

一、什么是穿行测试？

穿行测试是从公司的原始交易追踪开始，经过信息处理系统，直至以各种方式在财务报表中进行报告的这样一个程序。尽管公司的人员进行询问是主要的组成内容，可是，穿行测试不是单单的询问，可以将穿行测试考虑为：

● 佐证式的询问。向客户人员提出问题，然后获得支持答案的确凿证据。

● 单一的测试。抽取某个单一的交易，实施详细的程序，测试用于处理该项交易控制的运行效果。

穿行测试有助于评价针对每个主要交易的内部控制设计的效果。在开展穿行测试时，同样可以获得有关控制运行效果的证据。

只要信息处理流不发生重大变化，穿行测试程序应该持续具有相关性。在确实发生重大变化时，应该对穿行测试进行更新，以证实你了解新的处理方式和控制程序。

二、实施穿行测试的建议

（一）对穿行测试进行规划

● 计划为公司的每一个主要交易开展一次穿行测试；

● 穿行测试应该包括完整的交易范围，包括该交易以下方面的处理和控制；

    ——开始；

    ——授权；

    ——在公司账簿记录中的记录；

    ——会计信息处理；

    ——在财务报表中的报告；

● 典型的做法是在交易初始阶段就开始穿行测试，并向前跟进；

● 对交易开始的地方，对识别的授权控制点进行计划；

● 计划有关程序，来识别并证实每个重要的处理步骤和其它控制程序；

● 作为穿行测试的组成部分，应该评价职务分离是否适当。

（二）询问

● 向日常工作就是实施控制程序和处理信息的人员询问，不要将询问对象只限于主管或审核该流程的人员，或实际实施其中一或二项工作的人员。要和经营部门的人员交谈，和管理层之外的人员交谈，和会计部门之外的人员交谈；

● 对询问进行设计，取得员工了解以下方面的信息：

    ——公司规定的程序和控制所要求的内容；

    ——这些程序是否及时地、按要求地实施。

● 提出问题，识别有关人员不按公司内部控制文本记录的要求实施内部控制程序的具体情形（可能会定期发生）；

● 考虑向焦点群体进行询问，而不是一对一的进行访谈。

（三）获得支持性的佐证信息

● 通过以下方面，从询问中得到佐证答案：

——要求谈话的个人证明他们所描述的程序的实施情况；

——利用公司人员用于实施该程序的相同文本和信息技术（“活数据”）；

——要求其他人员描述他们对先前和之后的处理或控制活动的理解情况。

（四）评价穿行测试的结果

利用穿行测试结果，计划对控制的运行效果进行详细的测试。如果有必要，按穿行测试识别出的做法，对公司内部控制的文本记录进行变更，以反映实际的做法。

资料来源：《如何遵循SOX404 条款——评估内部控制的效果》

（美）迈克尔·拉莫斯著 李海风主译，张玉审校

中国时代经济出版社 2007年8月