對企業管理層內控測試若干問題的思考

摘要 內部控制測試是企業一項常規性的工作，但是由于其規模大、涉及面廣，需要花費企業大量的人財物資源。因而必須加強組織領導，合理安排測試重點，科學運用測試程序，對于提高測試效率，保證工作質量，控制測試成本具有重要的意義。

關鍵詞 內部控制評價 內部控制測試 內部控制缺陷

中圖分類號：F275 文獻標識碼：A

企業內部控制體系建設完成之后，內部控制評價便成為了一種常態化的工作機制，上市公司必須對內部控制進行測試并發表年度聲明。我國《企業內部控制評價指引》第四十六條指出，企業應當結合內部監督情況，定期對內部控制的有效性進行自我評價，出具內部控制自我評價報告”。《企業內部控制評價指引》第十二條指出，內部控制評價程序一般包括制定評價工作方案、組成評價工作組、實施現場測試、認定控制缺陷、匯總評價結果、編報評價報告等環節。”由此可見，企業開展內部控制評價的最基礎環節是內部控制測試。管理層測試內部控制測試的目標是查找內部控制設計和執行方面的缺陷，及時整改完善，為確保內控體系有效性提供合理保證。

一、內部控制測試的組織保證問題

內部控制評價是一項浩大的工程，需要耗費大量的人力、物力和財力，以中石油為例，僅第一階段測試，包括對50家重點業務單位和特殊風險單位的測試，曾經歷時3個月，動用了600多人，花費了數千萬元的巨額資金。由于內部控制是一個龐大的企業管理系統，它涵蓋企業經營和管理活動的所有層面和所有業務活動，因而內部控制測試涉及到所有層面的管理人員和其他員工，需要企業所有的員工的積極參與或者協助。因此，企業必須建立首先嚴密的組織架構，為內部控制測試工作有條不紊的運行，并為提高測試效率和效果提供組織保證。

（一）決策機構。

建立完善的內部控制，并保證其有效運行是企業董事會的責任。因此，企業應在董事會之下建立風險管理委員會，并設置首席風險管理執行管，負責內部控制測試的決策工作，包括審批測試方案、控制缺陷認定標準、審定最終缺陷和測試報告等測控制試過程中的所有重大決策事項。

（二）管理機構。

企業管理層是在董事會的授權之下，具體負責內部控制的建立和執行工作。為此，企業應當在日常的管理系統當中建立風險管理部，具體負責內部控制測試的組織工作，包括編制測試方案、確定測試人員并組織培訓、跟蹤測試進度、審核測試報告，對測試結果跟進和整改等。

（三）執行機構。

企業應當組建內部控制測試工作小組，具體負責現場測試工作，填寫測試工作底稿、認定控制缺陷，編制測試報告。

二、內部控制測試重點領域的確定問題

在內部控制測試的整個過程中，企業應當以風險為導向，合理評估影響內部控制目標實現的風險事項的可能性和影響程度，根據被測試單位的實際情況，確定重要風險對應的重要業務流程和關鍵控制，并將其作為內部控制測試的重點。例如，在確定與財務報告目標相關內部控制的測試范圍時，可以考慮以稅前利潤總額的5%作為重要科目的認定標準，然后對重要會計科目進行追溯延伸，將影響重要會計科目的流程或控制點確定為重要業務流程或關鍵控制點。需要強調的是，內部控制測試既要重點關注高風險領域和業務薄弱環節，同時又要兼顧覆蓋面。例如，可以要求每個測試單位的重要業務流程覆蓋率不低于50%，關鍵控制覆蓋率必須達到90%。

內部控制測試主要包括公司層面和業務活動層面兩個層面的控制政策和程序。公司層面控制測試主要是對公司內部控制的頂層設計和執行情況進行測試，目的是確保內部控制在公司內部各個領域都有適當的控制機制在發揮作用，包括內部控制的五個要素是否完整，公司治理結構、組織架構是否合理，是否存在反舞弊機制等。業務活動層面控制測試是對具體業務流程進行的測試，測試內容包括發展戰略、經營活動、財務活動等三個領域。

三、內部控制測試程序的合理運用問題

內部控制的缺陷包括企業層面的設計缺陷和執行缺陷，以及業務層面的設計缺陷和執行缺陷兩個層面的缺陷。對企業層面控制測試一般采用詢問、觀察和檢查等方法，了解內部控制頂層設計情況，業務活動層面的測試主要是了解業務流程，除了采用詢問、觀察和檢查等方法之外，還要執行重新執行程序。就業務活動層面控制測試而言，可以進一步整合為跟單作業（穿行測試）和關鍵控制抽樣測試兩種方式。跟單作業是選取一筆或若干筆以業務，從業務發生開始，一直追蹤至該筆業務反映到財務報告的整個流程；關鍵控制抽樣測試是針對業務活動的關鍵控制，抽取適量的樣本，通過對樣本的測試，判斷關鍵控制執行總體情況。需要注意的是，控制測試與外部審計師所采用的財務報表實質性測試不同，目的是通過了解控制識別控制缺陷，因而一般不需要大量的樣本來支持評價結果。

內部控制各種測試程序運用的場合不同，提供證據的證明力也存在差異。一般而言，在執行控制測試程序的時候，先執行詢問程序，再執行觀察程序，最后執行檢查程序等。首先是執行詢問程序，對執行流程和控制的崗位人員進行訪談，了解該崗位人員是否真正理解所執行的流程和相關控制以及自己的職責。例如，對于銷售計劃崗位，主要是詢問和了解銷售計劃編制、審核、審批、執行流程及其相關控制情況。其次，在詢問的基礎上，執行觀察程序，通過現場觀察了解某崗位員工對相關控制的執行情況，以驗證相關人員的操作規程《內部控制手冊》的要求相符合。最后是在詢問和觀察的基礎上，執行檢查程序，以進一步驗證測試人員通過詢問和觀察所得出的控制結論與實際是否相符。例如，可以抽取一部分樣本憑證進行檢查，檢查其是否留下了控制實施證據，以及控制實施證據與設定的控制相符。例如，根據對銷售計劃管理訪談和觀察的結果，獲取某一期間的銷售計劃，檢查銷售計劃的相關編制、審核、審批、執行控制流程及其相關控制的執行情況。如果測試人員發現某一期間的銷售計劃管理未按照流程和控制要求運行，就可以初步認定為一項缺陷。

需要再次強調的是，業務層面控制測試與企業層面控制測試不同，有較強的程序性，因此其測試除了執行了解程序外，還要執行重新執行程序。詢問是控制測試的起點，但是，人性都是有弱點的，人們總是希望向別人展現其美好的一面，掩蓋不好的一面。因此，當測試人員采取詢問方式測試企業內部控時，往往要面臨得不到真實回答的風險。

四、對控制缺陷的分類和報告問題

如前所述，內部控制缺陷分為設計層面缺陷和執行層面缺陷。《企業內部控制評價指引》將控制缺陷細分為重大缺陷、重要缺陷和一般缺陷，這一分類方法主要是為企業管理層最終作出控制評價結論提供借據。例如，當內部控制存在一項或者多項重大缺陷的時候，就不能作出內部控制有效的結論。為了幫助企業管理層和被測試單位理解和整改內部控制缺陷，還有必要根據內部控制缺陷形成的原因作進一步的分類。例如，設計層面缺陷可以分為應有的控制不存在或設計不合理、實際執行的控制沒有被記錄或記錄不準確、已有的控制缺乏必要的制度支持或者制度不完善三種類型；執行層面的缺陷可以分為已有的控制未執行或執行不完整、控制執行程序錯誤、缺少控制實施證據支持或實施證據不完整三種類型。在測試報告審批后，內控與風險管理部將針對測試發現例外事項編制改進意見書，下發被測試單位整改落實。另外內部控制缺陷認定之后，測試人員還要對控制缺陷進行原因分析，并與被測試單位進行溝通和確認，聯合提出整改建議。

五、對控制環境測試需要特殊考慮的問題

控制環境是內部控制的基礎，對內部控制的有效性產生廣泛影響，是控制測試關鍵考慮因素，但是對控制環境的測試始終是內部控制測試難點問題。究其原因，主要是因為對管理層經營理念、經營風格的評價存在極大的主觀性。即使是相同的經營風格在不同的經營環境下，也會產生不同的后果，也就是說沒有客觀的證據來支持管理層的經營理念和經營風格是否會產生風險。所以，控制環境只可了解不可測試。例如，2006年財務部發布的注冊會計師審計準則并不要求直接測試控制環境中的管理層的經營理念和風格，而是強調通過了解與測試公司戰略、程序等環節來間接地驗證控制環境。再如，審計人員可以接受委托為客戶設計內部控制，包括設計控制環境，但是審計師設計的只能是內部控制程序，或者是對公司戰略某一部分提出建議。至于公司組織架構設計，包括公司治理層面的權責分工是由公司資本結構決定的，而不是外部審計師所能決定的。所以，由資本結構決定的組織結構，即使不符合現代企業制度要求，也不能視為是一項缺陷。也就是說，我們并不能要求非上市公司一定要建立審計委員會。

（作者單位：平頂山煤業（集團）八礦會計服務中心）

參考文獻：

[1]黃京菁.測試與設計內部控制的幾點考慮——兼談學習新審計準則的體會.中國注冊會計師，2006（04）.

[2]黃海.基于對提高內部控制測試質量的幾點認識.中國鄉鎮企業會計，2008（08）.