02小说网

§像了解爱人一样去了解流程（第3页）

“举个例子，在了解流程的阶段，流程负责人介绍说，他们每半年组织一次固定资产的盘点，盘点工作由行政人员组织实施。就这个例子而言，我们首先确定这个控制点是否充分。我们认为不够充分，因为资产类的盘点小组成员中应该有财务人员参与。这是为什么呢？因为财务人员可以根据实际盘点的结果，及时进行账项调节，确保账实相符。其次，我们对该控制点执行穿行测试，要求管理层提供上一次半年度资产盘点的相关记录，比如盘点通知、盘点计划、盘点表、盘点总结等，确认该控制点是否真的在实际中予以执行。比如，管理层羞答答地表示，上一次资产盘点还是在一年前做的，那么这表明，你在了解流程时记录的相关的控制点并不是现存控制，这就需要对你刚刚画的流程图进行修订。在做完一个二级流程的穿行测试后，在对控制设计的充分性和有效性有一个全面评价后，我们需要对穿行测试的结果予以书面记录。这是第二项很重要的工作，即控制设计缺陷的汇总及新控制的设计。”

穿行测试工作底稿举例——资金管理流程（节选了部分流程的部分步骤）

执行人：Stephanie　Ding

复核人：Mark

20××年×月××日

穿行测试

___________________________________________________________

业务流程：货币资金管理流程目　的：了解货币资金管理流程及控制制度，评价控制设计的有效性及控制是否得到执行信息来源：张××，出纳___________________________________________________________

穿行测试或选取的业务交易：

货币资金管理流程包括现金的管理，收到现金或银行存款，付出现金及银行存款，银行贷款及支付利息，整个流程中涉及的账务处理。

穿行测试中查阅的文件：

穿行测试的执行程序：

我们对出纳进行了访谈，了解了货币资金管理的流程及其关键控制点，随机抽取了样本，并获取样本运行的支持性文件，对样本进行了穿行测试。

货币资金管理流程中涉及了如下控制点：

■现金管理与收付流程：

1）出纳从客户处收到现金，经与销售订单及过磅单核对无误后向对方开具收据，留取存根联且在存根联上签字，并在同一天将收到现金货款存入银行。（参照控制点TZTR-10-01）

2）现金放在保险柜中由出纳保管钥匙，需要领款时，领用人根据取款理由及数额填写领款申请单，财务经理审核后在单据上签字。（参照控制点TZTR-20-01，TZTR-20-02）

……

我们的发现和结论：

通过访谈，检查相关文件，我们认为货币资金管理基本与流程图描述一致，但仍存在一些控制设计问题：

■控制活动缺乏正式证据

“上面举了一个穿行测试文档记录的例子。做完了穿行测试，应该对管理层所设计的控制点的运行是否有效及设计的控制点是否充分有了较为深入的理解。在此基础上，应该根据企业的实际需要和行业经验，为企业设计新的控制。新设计的控制点需要在流程图上予以标注，控制点的ew），表示新设计的控制点。”

“我们协助企业设计的新控制点可分为以下几种类型：

“第一种，之前没有相关的设计，完全是新的控制点。举个例子，在以前的付款流程中仅强调了管理层对付款事项的审批，但缺少在付款前对付款事项和金额的交叉核对。在实务中，应付账款会计核对合同、运输单据、发票之间的索引，并确认金额及付款进度是一个很重要的关键控制点（key　trol）。在这样的情况下，我们就需要设计一个新的控制点。”

“第二种，之前已经设计的相关控制点，但是该控制点在设计上不完整。比如上面咱们举的例子，固定资产的盘点没有财务人员的参与，这样的控制点在设计上就不完整，需要我们将其补充完整。”

“第三种，之前已经设计了相关控制点，但该控制点的表述不准确，无法进行测试。这样的例子很好举，我之前的一个客户，在遇到我之前请了一家本地的会计师事务所帮他们建立内控体系。这家事务所不专业也不负责，为客户设计出了这样的控制点：财务部负责开展收入内部审计，收入审计的主要内容包括宾客账务录入审核、销售价格维护、应计收入审核、收入款审核、发票管理、账单管理、预订单管理等。在审核过程中发现错误应及时修改。您看出这样的控制点有什么问题了吗？”

熊妈妈仔细端详了一下：“这个控制点好像看不太懂，好像什么都说了，又好像什么都没说。”

“您说得有道理，这样的控制点，基本可以判定是从企业日常的管理制度中直接复制粘贴的。首先，一个合格的控制点，需要具备几个核心要素：谁？做了什么？什么频率？（hen？）确定主语是为了确定责任部门和责任人；确定做了什么才能知道控制点控制的内容是什么，控制的对象为谁，以及该控制如何运行；确定频率，在后面执行控制运行有效性测试的时候才能知道选择多少样本。这是三个基本要素，还有一个很重要的单独属性——可测性。如果不可测，那么这个控制点的设计就是失败的，因为没有办法选择样本对其运行的有效性进行执行测试。”

“其次，收入审计是一个比较大的题目，不适合单独作为一个控制点来设计，如果稍具责任心和专业度，收入审计应该作为内部审计及监督流程下面的一个三级流程来进行归档（dotation），比如收入审计的计划、审计的开展、审计报告的出具及缺陷的整改等。在控制的描述中，不能出现‘将、应该’这样的字样，因为正如我们之前说过的，控制点是描述现在时态，而不是将来时态。”

“可是如果是新控制呢？说的不是将来的事情吗？”

“这个问题问得好。就新设计的控制而言，一般在下一个期间就要执行。如果站在未来的那个时点，我们谈这个控制的时候也应该是现在时态，而不是将来时态，对吧？”

“嗯，说得有道理。如果一个企业选了不合格、不负责的咨询顾问，真是受害不浅啊。”

“是啊，妈，可是很多企业的关注重点还是在看谁便宜或谁有关系……这也是我对这个行业有些失望的原因之一，劣币驱逐良币在我们这个行业也同样适用。”

“你看你选择来帮妈妈多明智，这下不用操这个心了。”

“您还真会安慰人，可是我还是一点儿也高兴不起来。设计完新控制，我们需要把穿行测试的结果加上新修订的控制点，集中在控制设计缺陷汇总表中予以记录。控制设计缺陷汇总表就是在穿行测试中关注到的，是我们提及的几种有关于控制设计的缺陷进行的汇总，这张控制设计缺陷汇总表也是下一阶段工作需要集中着力的地方。”

“我给您找了一个我们之前做的例子，让您大致了解一下控制设计缺陷汇总表是个什么样子。总体而言，在这张表中，我们需要描述我们认为控制设计存在哪些问题，我们建议的整改措施是什么。这个整改措施，实际上就是我们重新设计或修补完善新控制点的过程。”

“我看您也没什么问题，那我可往下讲啦？”小熊抬头看看熊妈妈。

“我有一个弱弱的问题，这个词还是我跟人事部的小姑娘学的，觉得挺好笑的一个词。你的工作底稿为什么一会儿是中文，一会儿是英文啊？”

“啊？这也是一个问题。说到工作语言的问题，由于《萨班斯法案》是美国监管机构对于在美国上市的企业的监督举措，因此需要企业的审计师就内控出具审计报告。内控审计报告什么样子，我们之前还比较详细地介绍过。中概股公司的审计师大致分为两个阵营：第一个阵营以四大会计师事务所为代表，现场工作主要由‘四大’的中国团队完成，只有报告需要美国合伙人签署，因此底稿可以选择中文；第二个阵营是除‘四大’以外的其他会计事务所，这些事务所有的在中国有一个业务小分队，有的是美国直接派来的审计团队，在这样的情况下，由于审阅底稿的很可能是外国友人，那么底稿需要选择英文。”（详见PART　3中“天下谁人不识君——404条款”。）