企业内部控制审计工作底稿编制指南（2011）-业务流程、应用系统或交易层面的控制的测试-【小竹财税平台】

在内部控制审计中，注册会计师需要在初步计划审计工作时识别财务报表中的重要账户、列报及其相关认定。注册会计师应当对每一相关认定获取有关控制有效性的审计证据，以便对内部控制整体的有效性发表意见。

对相关认定获取有关控制有效性的审计证据包括与认定直接相关的企业层面控制（如业绩评价控制）有效性的审计证据和关于业务流程、应用系统或交易层面控制有效性的审计证据。

注册会计师通过实施下列程序，了解业务流程、应用系统或交易层面的控制，以进一步了解潜在错报的来源，并为选择拟测试的控制奠定基础：

（1）了解影响相关认定的交易的业务处理流程，包括这些交易如何生成、批准、处理及记录；

（2）了解注册会计师识别出的业务处理流程中可能发生重大错报（包括由于舞弊导致的错报）的环节；

（3）识别被审计单位用于应对这些错报或潜在错报的控制，以及被审计单位用于及时防止或发现并纠正未经授权的、导致重大错报的资产取得、使用或处置的控制。

本章第一节至第三节分别对上述程序予以说明。附录5-1是销售与收款流程内部控制测试工作底稿编制举例。

第一节了解企业经营活动和业务流程

在实务中，通常可以将被审计单位的整个经营活动划分为几个重要的业务循环（又称“业务流程”），这有助于注册会计师更有效地了解和评估重要业务流程及相关控制。通常，对制造业企业，可以划分为销售与收款循环、采购与付款循环、存货与生产循环、工资与人员循环、筹资与投资循环等。被审计单位经营活动的性质不同，所划分的业务循环也不同。例如，银行没有存货与生产循环，而有发放贷款循环、吸收存款循环。又如，某些被审计单位出口销售与国内销售的流程完全不同，可将销售与收款循环进一步划分为外销和内销两个子循环。对于某些被审计单位，固定资产的采购和维护可能很重要，也可以将固定资产单独作为一个业务循环。大多数重要账户、列报及其相关认定与某一重要业务循环相联系，例如，对于一般制造业企业，销售收入和应收账款通常是重要账户，与销售和收款循环相联系。

业务流程通常包括一系列工作：核准和修正输入数据，分类与合并数据，计算、更新账簿资料和客户信息记录，生成新的数据，归集数据，列报数据。与注册会计师审计工作相关的流程通常包括生成、记录、处理和报告交易等活动。例如，在销售与收款流程中，这些活动包括输入销售订单、编制货运单据和开具发票、更新应收账款记录等。相关的处理程序还包括通过编制调整分录，修改并再次处理以前被拒绝的交易，以及修改被错误记录的交易。

注册会计师可以通过下列程序了解业务流程及其相关控制：（1）检查被审计单位的手册和其他书面规定；（2）询问被审计单位的适当人员；（3）观察所运用的处理方法和程序；（4）穿行测试。

在实施上述程序之前，注册会计师需要考虑以下事项：（1）该业务流程中的交易所影响的重要账户及其相关认定；（2）注册会计师已经识别的有关这些重要账户及其相关认定的经营风险和财务报表重大错报风险；（3）交易生成、记录、处理和报告的过程以及相关的信息技术处理系统。考虑上述事项可以帮助注册会计师确定询问对象，包括流程管理人员和信息技术人员。

注册会计师可以通过检查被审计单位的手册和其他书面指引获得有关信息，还可以通过询问和观察来获得全面的了解。向适当人员询问通常是比较有效的方法。需要注意的是，很多重要交易的流程涉及被审计单位的多个部门。例如，销售业务可能涉及销售部门（负责订单处理和开票）、会计部门（负责账务处理）和仓库（负责发货）等。因此，注册会计师需要考虑分别向不同部门的适当人员询问。

向负责处理具体业务人员的上级进行询问通常更加有效，因为这些人员很可能对分管的整个业务流程十分熟悉。对一些简单的业务，被审计单位的财会人员可以向注册会计师提供足够的信息。然而，注册会计师如果要了解一项复杂的业务是如何发生、处理、记录和报告的，通常需要和信息技术处理人员进行讨论。

在了解过程中，注册会计师通常还可能注意到许多正在执行的控制。虽然这个阶段的工作重点不是确定控制是否存在，注册会计师仍需留意可能存在缺乏控制的情况，以及可能发生错报而需要控制的环节。

在询问过程中，注册会计师可以检查并在适当的情况下获取部分被审计单位文件（如流程图、程序手册、职责描述等文件）的复印件，以帮助其了解交易流程。通常，注册会计师会获得某些信息系统的文件资料，如系统的文字说明、系统图表以及流程图。为帮助理解，注册会计师可以考虑在图表及流程图上加入自己的文字表述，归纳总结被审计单位提供的有关资料。

如果可行的话，流程图或文字表述应反映所有相关的处理程序，无论这些处理程序是人工还是自动完成的。流程图或文字表述应足够详细，以帮助注册会计师确定在什么环节可能会发生重大错报。因此，流程图或文字表述通常会反映业务流程中数据发生、人账或修改的活动。在较为复杂的环境中，一份流程图可能需要其他的流程图和文字表述予以支持。

注册会计师要注意记录以下信息：（1）输入信息的来源；（2）所使用的重要数据档案，如客户清单及价格信息记录；（3）重要的处理程序，包括在线输入和更新处理；（4）重要的输出文件、报告和记录；（5）基本的职责划分，即列示各部门所负责的处理程序。

注册会计师通常只是针对每一年的变化修改记录流程的工作底稿，除非被审计单位的交易流程发生重大改变。然而，无论业务流程与以前年度相比是否有变化，注册会计师每年都需要考虑上述事项，以确保对被审计单位的了解是最新的，并已包括被审计单位交易流程中相关的重大变化。

第二节识别可能发生错报的环节

注册会计师需要了解和确认被审计单位应在哪些环节设置控制，以防止或发现并纠正重要业务流程可能发生的错报。注册会计师所关注的控制，是那些能通过防止错报的发生，或者通过发现和纠正已有错报，确保每个流程中业务活动（从交易的发生到记录于账目）能够顺利运转的人工或自动化控制程序。

尽管不同的被审计单位为确保会计信息的可靠性而对业务流程设计和实施不同的控制，但设计控制的目的是为实现某些控制目标（见表5-1）。实际上，这些控制目标与财务报表重要账户的相关认定相联系。但注册会计师在此时通常不考虑列报认定，列报及其相关认定通常在财务报告流程中予以考虑。

对于每个重要交易流程，注册会计师都会考虑这些控制目标。评价是否实现这些目标的重要标志是，是否存在控制以防止错报的发生，或发现并纠正错报，然后重新提交到业务流程处理程序中进行处理。

注册会计师通过设计一系列关于控制目标是否实现的问题，确认某项业务流程中需要加以控制的环节。这些问题针对的是业务流程中数据生成、转移或被转换的环节。以下列举了部分在销售交易中的控制目标是否实现的问题（见表5-2）。

为实现某项审计目标而设计问题的数量，取决于下列因素：

（1）业务流程的复杂程度；

（2）业务流程中发生错报而未能被发现的概率；

（3）是否存在一种具有实效的总体控制来实现控制目标。例如，将仓库的发货

日志中记录的发货数量与销售日记账中登记的数量定期进行核对调节，这一控制可以同时实现发生、完整性、截止等多个控制目标。

表5-1 控制目标表

表5-2 销售交易中的控制目标示例表

注册会计师应将这些问题记录于工作底稿。

第三节识别和了解相关控制

通过对被审计单位的了解，包括对被审计单位企业层面控制的了解，以及在上述程序中对重要业务流程的了解，注册会计师需要进一步了解业务流程、应用系统或交易层面的控制。针对业务流程中容易发生错报的环节，注册会计师应当确定：（1）被审计单位是否建立了有效的控制，以防止或发现并纠正这些错报；（2）被审计单位是否遗漏了必要的控制；（3）是否识别出可以最有效测试的控制。

一、控制的类型

控制包括被审计单位使用并依赖的、用以在交易流程中防止错报的发生或在发生错报后发现与纠正错报的所有政策和程序。有效的控制应与错报发生的环节相关，并能降低错报风险。通常将业务流程中的控制划分为预防性控制和检查性控制，下面分别予以说明。

（一）预防性控制

预防性控制通常用于正常业务流程的每一项交易，以防止错报的发生。在流程中防止错报是信息系统的重要目标。缺少有效的预防性控制增加了数据发生错报的可能性，特别是在相关账户及其认定存在较高重大错报风险时，更是如此。

预防性控制可能是人工的，也可能是自动化的。表5-3是预防性控制及其能防止错报的例子。

表5-3 预防性控制示例表

与简单的业务流程相比，对于较复杂的业务流程，被审计单位通常更依赖自动化控制。例如，对于一个简单的业务流程，发运货物的计价控制包括人工对销货发票的复核，以确定发票采用了正确的价格和折扣。但在一个较复杂的业务流程中，被审计单位可能依赖数据录入控制判别不符合要求的价格和折扣，以及通过访问控制来控制对价格信息记录的访问。

对于处理大量业务的复杂业务流程，被审计单位通常使用对程序修改的控制和访问控制，来确保自动化控制的持续有效。

实施针对程序修改的控制，是为了确保所有对计算机程序的修改在实施前都经过适当的授权、测试以及核准。

实施访问控制，是为了确保只有经过授权的人员和程序才有权访问数据，且只能在预先授权情况下才能处理数据（如查询、执行和更新）。

程序修改的控制和访问控制通常不能直接防止错报，但对于确保自动化控制在整个拟信赖期间内的有效性有着十分重要的作用。

（二）检查性控制

建立检查性控制的目的是发现流程中可能发生的错报（预防性控制没有发现的错报）。被审计单位通过检查性控制，监督流程和相应的预防性控制能否有效地发挥作用。检查性控制通常是管理层用来监督实现流程目标的控制。检查性控制可以由人工执行也可以由信息系统自动执行。

检查性控制通常并不适用于业务流程中的所有交易，而适用于业务流程中的已经处理或部分处理的某类交易，可能一年只运行几次，如每月将应收账款明细账与总账比较；也可能每周运行，甚至一天运行几次。

与预防性控制相比，不同被审计单位之间检查性控制差别很大。许多检查性控制取决于被审计单位的性质、执行人员的能力、习惯和偏好。检查性控制可能是正式建立的程序，如编制银行存款余额调节表并追查调节项目或异常项目，也可能是非正式的程序。

有些检查性控制虽然并没有正式地设定，但被审计单位人员会有规律地执行并作记录，这些控制也是被审计单位内部控制的有机组成部分。例如，财务总监复核月度毛利率的合理性；信用管理部经理可能有一本记录每月到期应收款的备查簿，以确定这些应收款是否收到，并追查挂账的项目；财务总监实施特定的分析程序来确定某些费用与销售的关系是否与经验数据相符，如果不符，调查不符的原因并纠正其中的错报等。

表5-4列示了检查性控制及其可能检查出的错报的例子。

表5-4 检查性控制示例表

如果确信存在以下情况，那么就可以将检查性控制作为一个主要的手段，来合理保证某特定认定发生重大错报的可能性较小：（1）控制所检查的数据是完整、可靠的；（2）控制对于发现重大错报足够敏感；（3）发现的所有重大错报都将被纠正。

需要注意的是，对控制的分类取决于控制运用的目的和方式，以及被审计单位和注册会计师对控制的认识。从根本上看，控制被归为哪一类并不重要，重要的否有效，以及注册会计师能否测试其有效性。业务流程中重要交易类别的有效同时包括预防性控制和检查性控制，因为没有相应的预防性控制，检查性控制充分发挥作用。

二、识别和了解相关控制

前已提及，业务流程中对重要交易类别的有效控制通常同时包括预防性控查性控制。缺乏有效的预防性控制将增加错报的风险，因此需要建立更为敏感性控制。通常，注册会计师在识别检查性控制的同时，也记录重要的预防性控

注册会计师应当获取有关控制的足够信息，以使其能够识别控制，了解各如何执行、由谁执行，以及执行中所使用的数据报告、文件和其他材料。此外会计师也需要确认，执行控制之后所形成的实物证据是什么，以及该控制是否感，能够及时防止或发现并纠正重大错报。

识别和了解控制采用的主要方法是，询问被审计单位各级别的负责人员。程越复杂，注册会计师越有必要询问信息系统人员，以辨别有关的控制。通常先询问那些级别较高的人员，再询问级别较低的人员，以确定他们认为应该运控制，以及哪些控制是重要的。这种“从高到低”的询问方法使注册会计师地辨别被审计单位重要的控制，特别是检查性控制。

从级别较低人员处获取的信息，应向级别较高的人员核实其完整性，同时们是否与级别较高的人员所理解的预定控制相符。这一步骤不仅可以向注册会供有关实际执行的控制的信息，而且可以使注册会计师了解管理层对控制运行熟悉程度。

在询问过程中，注册会计师还应当了解各层次监督和管理人员如何确认预防性控制和检查性控制正在按计划运行。此时，注册会计师可以询问：“你们防止或发现某项错报的？”然后问：“你们采取什么措施来确保这些控制按设式运行？”注册会计师应当重点关注被审计单位相关控制的运行情况，包括预制和检查性控制的运行情况。

在许多情况下，注册会计师可以通过与被审计单位讨论，了解确保信息系数据的完整性与准确性的控制。这些检查性控制可能包括对输入与输出的数据较，定期复核信息记录的数据，或监督生成数据与预期数据的差异。这些控制正式制定的，也可能是非正式的程序。对生成数据与预期数据的差异，注册会当了解控制如何识别和判断这些差异，如何追查这些差异以及纠正发现的错报价这些控制时，应重点看其是否足够敏感，是否能查出所有重要的错报，包括自动化信息系统中可能发生的错报。

需要指出的是，注册会计师并不需要了解与每一控制目标相关的所有控制解控制时，注册会计师应当重点考虑一项控制活动单独或连同其他控制，是否能够以及如何防止或发现并纠正重大错报。如果多项控制能够实现同一目标，注册会计师不必了解与该目标相关的每一项控制。

例如，防止或发现某一特定的错报可能需要有多重控制，或者一项特别的控制目标是为了发现一种以上的潜在错报，为了实现该目标需要设置多项控制。例如，为应对销售收入的“发生”认定的重大错报风险，注册会计师可能要识别一种控制，该项控制的作用是保证出库单只为已经发出的货物编制。然而，注册会计师可能还要识别这样一种控制，其作用是保证销售发票只有在与一张出库单相匹配时才能开出并登记人账。而另一方面，注册会计师也可能认定不管存在多少种的潜在错报，某一特定的控制（如一个设计合理的检查性控制）自身可以足够有效地实现控制目标。例如，对实际发货数量与开票数量进行定期核对调节的程序本身就足以对销售流程中“存在性”这一目标提供合理保证，并且也能对销售收入“完整性”这一目标提供合理保证。因此，在这种情况下，注册会计师只需了解对实际发货数量与开票数量进行定期核对调节的控制即可。

在实务中，注册会计师还会特别考虑一项检查性控制发现和纠正错报的能力。例如，将实际发货数量与开票数量进行核对调节的程序，与复核毛利率或进行实际销售和预算销售的比较相比，更能发现未开票的发货，因为后两项控制的主要目的不是为了查出未开票的发货。也就是说，控制与认定直接或间接相关；关系越间接，控制对防止或发现并纠正认定错报的效果越小。注册会计师应考虑识别和了解与认定关系更直接、更有效的控制。

当然，如果在之后的穿行测试中，注册会计师发现已识别的控制实际并未得到执行，则应当重新针对该项控制目标识别是否存在其他的控制。

三、记录相关控制

在被审计单位已设置的控制中，如果有可以对应“哪个环节需设置控制”问题的，注册会计师应将其记录于工作底稿，同时记录由谁执行该控制。注册会计师可以通过备忘录、笔记或复印被审计单位相关资料逐步使信息趋于完整。

附录5-1：业务流程、应用系统或交易层面——销售与收款流程内部控制测试工作底稿编制举例

一、背景及假设

（1）X公司是一家生产销售电子产品的企业，产品全部在国内销售。销售采用客户上门提货方式或客户委托物流公司上门提货方式；以客户或物流公司在提货单上签收作为确认收入的依据；

（2）ABc会计师事务所常年担任X公司的审计工作，包括财务报表审计和内部控制审计；

（3）注册会计师认为X公司的企业层面控制和信息技术一般控制是有效的。

二、识别重要账户、列报及其相关认定

在确定重要账户、列报及其相关认定时，注册会计师确定销售收入和应收账款是重要账户，其相关的认定如下：

注：本例并未覆盖上述与销售收入和应收账款相关的所有认定，也并未覆盖与上述认定相关的所有控制，而是列举了与上述部分认定（主要是销售收入的发生、准确性、完整性和截止认定）相关的部分控制。由于资产负债表账户余额是交易的结果，因此本例也涉及应收账款的若干相关认定。

注册会计师在评估重大错报风险时认为销售收入的发生认定存在特别风险。

在财务报表审计和内部控制审计中，针对列报认定的审计程序通常不在各个业务流程实施，而是在期末财务报告流程中实施。

三、了解、评价并测试与销售收人相关的业务层面控制

（一）了解业务流程及控制

销售与收款业务流程通常包括以下子流程：

（1）订单处理；

（2）发货；

（3）开票；

（4）收款；

（5）调整（包括由于销售退回、坏账准备等导致的调整）；

（6）常备数据维护；

（7）系统维护（注册会计师可以将各个业务流程中有关职责分离和系统维护的流程和控制集中在一起进行了解、评估以及测试。本例中不包括这一部分程序和控制。）

销售和收款流程中常见的基本控制矩阵参见附件一。

关于基本控制矩阵的重要提示：

（1）该基本控制矩阵中设计的控制是针对运用复杂ERP系统的信息电子化程度较高的企业；

（2）注册会计师执行的工作应当基于对被审计单位实际情况的了解，而不能局限于矩阵中的基础控制；

（3）本控制列表不可作为衡量被审计单位应当存在的关键控制的最低标准或最高标准；

（4）本控制列表并非为了列举所有可能存在的关键控制，注册会计师需要考虑被审计单位的环境、业务性质及特征、信息系统等各种相关因素，评估被审计单位的风险，确定哪些控制与风险相关，并评价哪些控制是应对风险的必要控制。

根据注册会计师对X公司的了解，X公司销售流程的部分控制摘录如下，表1中所使用的控制编号与附件一“基本控制矩阵”中的控制编号无对应关系。

表1 X公司销售与收款流程控制矩阵

（二）实施穿行测试

穿行测试是确认注册会计师对内部控制的了解、评价控制设计的有效性以及确定控制是否得到执行的有效方法。

由于一个业务流程由多个子流程构成，而某些子流程或控制只针对特定类型的交易，因此一笔交易可能不会经历业务流程所有的子流程或控制，所以，注册会计师可能无法通过选取一笔交易涵盖某业务流程中的所有程序和控制。例如对于销售流程，注册会计师一般针对订单处理、发货、开票与收款等子流程选取一笔销售实施穿行测试，再针对销售退回子流程另选取一笔销售退回交易实施穿行测试。

本例中，注册会计师从X公司9月份的应收账款收款记录中随意选取一笔销售交易，对该笔销售从订单生成到收款的交易过程实施穿行测试。该笔交易涉及订单处理、发货、开票及收款四个子流程，注册会计师对每一个子流程可能实施的穿行测试程序以及可能检查的文件或记录举例如下：

上述对所选取的一笔销售交易实施的穿行测试工作底稿范例如下

被审计单位：X公司

业务流程：销售与收款账户：销售收入/应收账款

选取样本：销售订单编号——提货单编号——发票号码

在本例中注册会计师通过实施穿行测试，认为X公司的销售流程的控制设计是有效的而且得到了执行。

（三）选取拟测试的控制

注册会计师在选取拟测试的控制时，通常不会选取整个流程中的所有控制，而是选择关键控制，即能够为一个或多个重要账户或列报的一个或多个相关认定提供最有效果或最有效率的证据的控制。每个重要账户、认定和重大错报风险至少应当有一个对应的关键控制。

在本例中，X公司管理层设计并执行了多个与销售收入的发生、准确性、完整性和截止认定相关的控制。注册会计师决定选取下列与上述四个认定相关的关键控制实施控制测试：

X公司销售与收款流程控制测试汇总表（节选）

账户及认定层次的固有风险：

间接和监督性企业层面控制的影响：

以前年度审计是否发现控制缺陷：

评估与控制相关的风险程度（高/中/低）的依据：

注1：本例未涉及销售收入的分类认定；

注2：本例中假设控制测试均在基准日后实施，未涉及期中测试及前推程序。

在确定X公司与销售收入有关的控制是否为关键控制时，注册会计师主要考虑以不四个因素：

（1）控制是否不可缺少；

（2）控制是否直接针对相关认定；

（3）控制是否应对重大错报风险；

（4）控制运行是否精确。

（四）设计并实施控制测试

注册会计师在确定控制测试的性质、时间安排和范围时，需要考虑与控制相关的风险。与控制相关的风险包括一项控制可能无效的风险，以及如果该控制无效，可能导致重大缺陷的风险。与控制相关的风险越高，注册会计师需要获取的审计证据就越多。与控制相关的风险通常可以定义为高、中、低。

本例中，注册会计师将关键控制“订单-5”与“开票-6”的相关风险设定为“高”，主要是考虑到销售收入的发生认定具有特别风险（固有风险高，潜在错报对财务报表有重大影响），同时也考虑到交易数量大。因此在设计控制测试时，取最小样本规模表格中的最高值。注册会计师将针对销售收入完整性和截止认定的关键控制“调整-8”的相关风险设定为“中”，在控制测试中取最小样本规模表格中的中间值。

注册会计师在测试关键控制时，经常能够通过选取一组样本实施针对一个以上控制的测试程序，也可以设计并实施双重目的测试（适用于整合审计）。例如，本例中对“订单-5”和“开票-6”两个控制实施的测试，注册会计师对所选取的测试样本可以同时测试两个控制的运行有效性，而且该测试能够直接为所选取的销售收入金额的发生认定和准确性认定提供审计证据，属于双重目的测试。

“订单-5”和“开票-6”的控制测试工作底稿参见附件二；“调整-8”的控制测试工作底稿参见附件三。

附件一：基本控制矩阵

子流程：订单处理