By name: walkthrough-and-control-testing description: "执行穿行测试与控制测试,基于COSO 2013内部控制框架,评估控制设计与运行有效性"
穿行测试与控制测试
When To Use
- 年度审计中需要了解并测试客户内部控制流程时
- 识别关键控制点并评估其设计有效性和运行有效性时
- 客户流程发生重大变更需要重新穿行时
- SOX合规审计中对财务报告相关控制进行测试时
- 需要评估控制缺陷(重大缺陷/重要缺陷/一般缺陷)时
Tools
write- 创建控制测试工作底稿read- 审阅客户流程文档、制度文件grep- 搜索现有审计底稿中的控制描述glob- 查找相关审计文件bash- 运行抽样计算脚本
Framework
COSO 2013 Internal Control — Integrated Framework
五要素 (Five Components):
- Control Environment(控制环境) — 组织的基调,影响员工的控制意识
- Principle 1-5: 诚信与道德价值观、治理层监督、组织架构、胜任能力、问责制
- Risk Assessment(风险评估) — 识别和分析实现目标相关的风险
- Principle 6-9: 制定清晰目标、识别和分析风险、评估舞弊风险、识别重大变更
- Control Activities(控制活动) — 确保管理层指令得以执行的政策和程序
- Principle 10-12: 选择和开发控制活动、选择和开发IT控制、通过政策和程序部署
- Information & Communication(信息与沟通) — 获取和交换信息以支持内部控制
- Principle 13-15: 使用相关信息、内部沟通、外部沟通
- Monitoring Activities(监控活动) — 对内部控制进行持续评估和单独评估
- Principle 16-17: 持续和/或单独评估、沟通缺陷
穿行测试方法论 (Walkthrough Procedures)
参照 ISA 315 (Revised 2019) §15-18 及 PCAOB AS 2201:
- 选择单笔交易 — 选取一笔代表性交易从开始到结束追踪全流程
- 识别控制点 — 在每个关键处理步骤识别预防性或检查性控制
- 验证控制设计 — 评估控制是否能有效防止或发现重大错报
- 确认信息流 — 验证交易在各系统和部门间的流转逻辑
- 文档化 — 记录流程图、风险控制矩阵(RCM)
控制测试方法论 (Test of Controls)
参照 ISA 330 §12-15 及 PCAOB AS 2201 §42-46:
设计有效性测试 (Design Effectiveness):
- 控制是否针对已识别风险设计
- 控制执行人是否具备适当权限和胜任能力
- 控制执行频率是否足以及时防止或发现错报
运行有效性测试 (Operating Effectiveness):
- 控制是否在测试期间一贯执行
- 控制是否由适当人员执行
- 控制执行是否有充分证据支持
抽样方法 (Sampling)
参照 ISA 530 及 AICPA Audit Sampling Guide:
| 测试类型 | 推荐样本量 (中等控制频率) | 说明 |
|---|---|---|
| 年度1次 | 1 | 测试该笔交易 |
| 季度4次 | 2-4 | 每季度至少1笔 |
| 月度12次 | 5-15 | 考虑使用间隔抽样 |
| 周度52次 | 15-25 | 随机或系统抽样 |
| 日度250+ | 25-40 | 分层抽样 |
| 大量/自动化 | 1-25+ITGC | 依赖ITGC有效性 |
偏差率容忍度:
- 0偏差: 样本量=计划样本量,无偏差可接受
- 1偏差: 评估偏差性质,可能需要扩大样本
- 2+偏差: 通常表明控制无效,评估对审计策略的影响
Workflow
Step 1: 了解和记录流程
- 获取客户制度文件、流程描述
- 与客户流程负责人进行访谈
- 绘制流程图或编制流程描述文字
- 识别流程中的关键控制点
Step 2: 识别风险和控制
- 列出流程中的主要风险(错报风险、舞弊风险、合规风险)
- 将风险映射到认定(存在/完整性/准确性/截止/分类/计价)
- 识别每个风险对应的控制(预防性/检查性)
- 编制风险控制矩阵(RCM)
Step 3: 执行穿行测试
- 选择一笔代表性交易
- 从交易发起到最终记录,逐步追踪
- 在每个控制点验证控制设计
- 记录穿行过程中观察到的任何设计缺陷
- 更新流程图和RCM
Step 4: 执行控制测试
- 根据控制频率确定样本量
- 使用随机数或系统间隔法选取样本
- 获取并检查控制执行证据(签字、系统日志、审批记录)
- 记录每个样本的测试结果
- 汇总偏差情况
Step 5: 评估测试结果
- 统计偏差数量和偏差率
- 分析偏差性质(系统性 vs 个别性)
- 评估控制缺陷等级(重大缺陷/重要缺陷/一般缺陷)
- 确定对审计策略的影响(是否可以依赖控制、是否需要调整实质性程序)
Step 6: 编制工作底稿
- 按照标准模板编制控制测试工作底稿
- 确保所有证据充分、适当
- 交叉引用相关底稿
Output Format
控制测试工作底稿模板
============================================================
控制测试工作底稿 (Control Testing Working Paper)
============================================================
客户名称: [客户名称]
报告期间: [YYYY年MM月DD日 至 YYYY年MM月DD日]
编制人: [姓名] | 编制日期: [YYYY-MM-DD]
复核人: [姓名] | 复核日期: [YYYY-MM-DD]
索引号: [索引号]
============================================================
一、流程概述
------------------------------------------------------------
流程名称: [例: 采购到付款循环-采购审批流程]
流程负责人: [姓名/职位]
流程简述: [3-5句话描述流程主要步骤]
相关系统: [ERP系统名称、模块]
涉及部门: [采购部、财务部、仓储部]
二、风险识别
------------------------------------------------------------
风险编号 | 风险描述 | 影响认定 | 风险等级
R-01 | 未经授权的采购订单被批准 | 存在/发生 | 高
R-02 | 已收货未记录应付账款 | 完整性 | 中
R-03 | 采购价格不准确 | 准确性/计价 | 中
三、控制识别与描述
------------------------------------------------------------
控制编号 | 控制描述 | 类型 | 频率 | 执行人 | 对应风险
C-01 | 采购订单需部门经理审批 | 预防性 | 每笔 | 部门经理 | R-01
C-02 | 三单匹配(PO/GR/Invoice) | 检查性 | 每笔 | AP会计 | R-02,R-03
C-03 | 月度对账-采购与应付账款核对 | 检查性 | 月度 | 财务主管 | R-02
四、穿行测试
------------------------------------------------------------
测试交易: [PO-2024-01234, 日期: YYYY-MM-DD, 金额: ¥XX,XXX]
追踪路径: 请购单→采购订单→收货单→发票→付款申请→付款
步骤 | 处理描述 | 控制点 | 控制设计评估 | 证据来源
1 | 使用人提交请购单 | - | - | 请购单
2 | 部门经理审批请购单 | C-01 | 设计有效 | 审批签字
3 | 采购部创建PO | - | - | PO打印件
4 | 仓储部确认收货 | - | - | 收货单
5 | AP会计执行三单匹配 | C-02 | 设计有效 | 匹配报告
6 | 财务主管审批付款 | C-03 | 设计有效 | 付款审批单
穿行测试结论: 控制设计有效 ✓
五、控制测试
------------------------------------------------------------
控制编号: C-01 — 采购订单审批
测试方法: 属性抽样
总体: 2,800笔采购订单 (报告期间)
样本量: 25笔 (参照ISA 530)
选取方法: 随机数表法
偏差容忍度: 0
样本测试记录:
序号 | PO编号 | 日期 | 金额 | 审批人 | 结果
1 | PO-2024-00156 | 2024-01-15 | ¥12,500 | 张经理 | 通过
2 | PO-2024-00342 | 2024-02-08 | ¥8,700 | 张经理 | 通过
...
25 | PO-2024-02789 | 2024-11-20 | ¥45,200 | 李经理 | 通过
偏差数量: 0
偏差率: 0%
控制编号: C-02 — 三单匹配
测试方法: 属性抽样
总体: 2,800笔
样本量: 25笔
偏差数量: [N]
偏差描述: [如有偏差,详细说明]
六、控制缺陷评估
------------------------------------------------------------
控制编号 | 缺陷描述 | 缺陷等级 | 对审计策略的影响
C-01 | [描述] | 一般缺陷 | 不影响审计策略
C-02 | [描述] | [等级] | [影响说明]
缺陷等级判断标准(参照COSO 2013及SEC指引):
- 重大缺陷 (Material Weakness): 合理可能性导致重大错报不能被及时防止或发现
- 重要缺陷 (Significant Deficiency): 严重程度低于重大缺陷但值得关注
- 一般缺陷 (Deficiency): 其他控制缺陷
七、结论
------------------------------------------------------------
总体结论: [对流程控制有效性的总体评价]
对审计策略的影响: [是否可以依赖控制、对实质性程序的影响]
后续跟进事项: [如有]
============================================================
Diagnostic Questions
在执行穿行测试和控制测试前,确认以下事项:
- 流程理解: 客户是否提供了最新的流程文档?流程近期是否有重大变更?
- 系统环境: 该流程涉及哪些IT系统?是否有自动化控制需要IT专家协助测试?
- 控制频率: 每个关键控制的执行频率是多少?这决定了抽样量。
- 证据获取: 控制执行的证据形式是什么?(签字、系统日志、邮件审批等)
- 职责分离: 是否存在关键职责分离冲突需要评估?
- 舞弊风险: 该流程是否存在管理层凌驾控制的风险?
- 前期问题: 前期审计中该流程是否发现过控制缺陷?
- 外包情况: 流程中是否有外包环节需要额外关注?
Verification
验证工作底稿质量:
- 流程描述与客户实际操作一致
- 风险识别完整,覆盖所有相关认定
- 控制描述清晰,包含Who/What/When/How
- 穿行测试覆盖完整交易生命周期
- 样本量符合审计准则要求
- 偏差已充分记录并分析原因
- 缺陷评估有充分依据支持
- 结论与测试结果一致
- 所有交叉引用索引正确
Saving
audit/
├── [客户名称]/
│ ├── [报告期间]/
│ │ ├── control-testing/
│ │ │ ├── RCM-采购到付款.xlsx
│ │ │ ├── WT-采购审批流程.md
│ │ │ ├── CT-C01-采购订单审批.md
│ │ │ ├── CT-C02-三单匹配.md
│ │ │ ├── CT-C03-月度对账.md
│ │ │ └── sampling-records/
Capability Upgrade
Mode Selection
- Quick: 输出穿行测试问题清单和关键控制点。
- Standard: 形成流程记录、RCM、穿行测试、控制测试和缺陷评价。
- Deep: 结合流程图、系统截图、样本、访谈、权限日志和历史缺陷,形成完整控制测试底稿。
Control Evaluation Logic
每个控制必须判断设计有效性和运行有效性。设计无效时,不应继续用样本测试证明运行有效;运行例外必须评估频率、原因、补偿控制和影响。
Quality Gates
- 穿行测试覆盖交易从发起到入账的完整路径。
- 控制目标、风险和控制活动匹配。
- 样本选取符合控制频率和测试期间。
- 例外有原因、影响和缺陷评级。
- 底稿包含证据索引、执行人和复核人。
Deliverable Catalog
| Deliverable | When to use | Minimum content | Format |
|---|---|---|---|
| Process walkthrough narrative | 流程了解 | 交易路径、角色、系统、关键控制和证据 | Word / Markdown |
| Flowchart / process map | 流程复杂或需沟通 | 泳道、任务、控制点、系统和异常路径 | BPMN / PPT |
| Risk control matrix | 控制识别 | 风险、控制、频率、控制类型、证据和 owner | Excel |
| Control test workpaper | 运行有效性测试 | 样本、证据、测试结果、例外和结论 | Excel / Markdown |
| Control deficiency memo | 发现例外或缺陷 | 事实、原因、影响、评级和整改建议 | Word |
| Evidence index | 证据较多 | 证据编号、来源、期间、关联控制和存放位置 | Excel |