必须测试内部控制有效性,在测试内部控制的运行有效性时

注册会计师应当对内部控制设计与运行的有效性进行测试,以同时实现下 ...

a.获取充分、适当的证据，支持其在内部控制审计对内部控制有效性发表的意见b.获取充分、适当的证据，支持其在财务报表审计中对控制风险的评估结果

如何判断内部控制运行的有效性

一、持续性的监督 二、个别评估 三、缺失的报导

内部控制评价方法有哪些?

从内部控制评价本身以及目前的发展情况来看，主要存在详细评价法和风险基础评价法两种方法。详细评价法在《企业内部控制——整合框架》中，COSO指出，确定某一内部控制系统是否有效是一种在评估五个要素是否存在以及是否有效发挥作用基础上的主观判断，这些要素也是有效内部控制的标准。COSO还指出，认定一个主体的企业风险管理是否“有效”，是在对八个构成要素是否存在和有效运行进行评估的基础之上所作的判断，构成要素也是判定企业风险管理有效性的标准。在美国证券交易委员会2003年6月通过的实施SOX法案404节的规则（SEC，2003）以及后来发布的管理层评价指南中，都强调内部控制评价的程序必须足以既能评价财务报告内部控制的设计，又能测试运行的有效性。因此，遵循这个思路，很多企业和事务所都曾经采用过详细评价法。这种方法的基本思路是：以内部控制框架或标准为参照物，根据内部控制框架的构成要素是否存在评价内部控制的设计有效性，测试内部控制的运行有效性，最后综合设计和运行的评价对内部控制的有效性做出总体评价，评估内部控制目标实现的风险，判断是否存在重大漏洞（materialweaknesses，MW），确定内部控制是否有效。风险基础评价法企业内部控制的另一种思路和方法不是从控制到风险，而是从风险到控制，即从内部控制相关目标实现的风险到内部控制。首先，要评估相关目标实现的风险；其次，识别和确定企业充分应对这些风险的内部控制是否存在，即评价内部控制的设计应对相关目标实现风险的有效性；第三，识别和确定内部控制运行有效性的证据，评价现有的控制是否得到了有效的运行；最后，对控制缺陷进行评估，判定是否构成实质性漏洞，确定内部控制是否有效。对于不同的目标来说，目标风险的含义、内部控制重大漏洞的含义是不相同的，在评价每一类目标时都需要做具体设定。《企业内部控制评价指引》第十五条规定，内部控制评价工作组对被评价单位进行现场测试时，可以单独或者综合运用个别访问、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法，充分收集被评价单位内部控制设计和运行是否有效的证据，按照评价的具体内容，如实填写评价工作底稿，研究分析内部控制缺陷。1.个别访问法个别访问法主要用于了解公司内部控制的现状，在企业层面评价及业务层面评价的了解阶段经常使用。访问前应根据内部控制评价需求形成访谈提纲，撰写访问纪要，记录访问的内容。为了保证访谈结果的真实性，应尽量访谈不同岗位的人员以获得更可靠的证据。如分别访问人力资源部主管和基层员工，公司是否建立了员工培训长效机制，培训是否能满足员工和业务岗位需要？2.调查问卷法调查问卷法主要用于企业层面评价。调查问卷应尽量扩大对象范围，包括企业各个层级员工，应注意事先保密性，题目尽量简单易答（如答案只需为“是”、“否”、“有”、“没有”等等）。比如你对企业的核心价值观是否认同？你对企业未来的发展是否有信心？3．穿行测试法穿行测试法是指在内部控制流程中任意选取一笔交易作为样本，追踪该交易从最初起源直到最终在财务报表或其他经营管理报告中反映出来的过程，即该流程从起点到终点的全过程，以此了解控制措施设计的有效性，并识别出关键控制点。如针对销售交易，选取一批订单，追踪从订单处理一－核准信用状况及赊销条款一－填写订单并准备发货一－编制货运单据一－订单运送/递送追踪至客户或由客户提货－一开具销售发票一－复核发票的准确性并邮寄/送至客户一－生成销售明细账一－汇总销售明细账，并过账至总账和应收账款明细账等交易的整个流程，考虑之前对相关控制的了解是否正确和完整，并确定相关控制是否得到执行。4．抽样法抽样法分为随机抽样和其他抽样。随机抽样是指按随机原则从样本库中抽取一定数量的样本；其他抽样是指人工任意选取或按某定标准从样本库中抽取一定数量的样本。使用抽样法时首先要确定样本库的完整性，即样本库应包含符合控制测试的所有样本；其次要确定所抽取样本的充分性，即样本的数量应当能检验所测试的控制点的有效性；最后要确定所抽取样本的适当性，即获取的证据应当与所测试控制点的设计和运行相关，并能可靠地反映控制的实际运行情况。5.实地查验法实地查验法主要针对业务层面控制，它通过使用统一的测试工作表，与实际的业务、财务单证进行核对的方法进行控制测试。如实地盘点某种存货。6.比较分析法比较分析法是指通过数据分析，识别评价关注点的方法。数据分析可以是与历史数据、行业（公司）标准数据或行业最优数据等进行比较。比如针对具体客户的应收账款周转率进行横向或纵向比较，分析存在异常的应收客户款，进而对这些客户的赊销管理控制进行检查。7．专题讨论法专题讨论法主要是集合有关专业人员就内部控制执行情况或控制问题进行分析，既可以是控制评价的手段，也是形成缺陷整改方案的途径。对于同时涉及财务、业务、信息技术等方面的控制缺陷，往往需要由内部控制管理部门组织召开专题讨论会议，综合内部各机构、各方面的意见，研究确定缺陷整改方案。在实际评价工作中，以上这些方法可以配合使用。此外，还可以使用观察、检查、重新执行等方法，也可以利用信息系统开发检查方法，或利用实际工作和检查测试经验。对于企业通过系统采用自动控制、预防控制的，应在方法上注意与人工控制、发现性控制的区别。

如何评价测试用例的有效性?

我的答案：Incremental Analysis & Traceability你所在团队是如何评价测试用例的有效性的？- 对用例进行检视- 看用例总数- 看代码覆盖率- 网上问题多少- 千行代码用例数- 用例发现缺陷密度。。。。。。如何评价代码的有效性？– 通过测试验证。 — 通过产品发布后用户反馈的问题。OK, 用户反馈的问题确实能总体上评价测试的有效性，不过这已经是事后了，我们想事前就能有信心。那么，换一种问法。如何确保，你写的代码确实实现了给定的需求？看一看我们的V模型吧，从“需求”到“代码”你走了怎样的路？你从拿到需求开始，开展了一系列的活动，需求分析、功能设计、技术设计，经过这些增量的过程，你的分析越来越深入，最终出来的是代码，这样的系统化的过程本身就一定程度地保证了你的代码是针对这些需求的、是有效的（这就是verification），但不一定是正确的，也许其中还有bug，这可以通过事后的测试活动找出来（这就是validation）。�0�2即使你采用敏捷开发，也仍然需要进行“需求分析”“系统设计”“编码”。那么如何确保，你写的测试用例充分地测试了给定的需求？从“需求”到“测试用例”你走了怎样的路？你是拿到需求，基于个人经验，写出来一大批用例？（这就像你拿到需求一上来就编码一样。） 你是否经过了一个“系统化的、增量的、分析过程”，来一步一步地确保你的用例能够充分覆盖这些需求？这就是我所说的测试分析设计的框架的概念。你需要分析、画model、找出测试条件，然后才出具测试用例，你需要这样一系列的过程。你是否会对每一行代码进行检视之后，才知道代码的有效性或质量？不会。那为什么要求“通过逐个检视测试用例，就能判断出测试用例的有效性”呢？你是否会通过代码行的总数判断代码的有效性（是否实现了需求）？不会。那么为什么要去“通过检查测试用例个数或密度的方法来判断测试用例的有效性”呢？你是否因为需求分析、功能设计、技术设计等这些CMM的中间过程太耗时，而要求员工直接编码呢？不会。那为什么叫喊“测试分析、画model等测试设计活动工作量太大了”呢？（每当我讲完一次“MFQ&PPDCS：软件测试分析与测试设计”这门课，培训调查表中就会有这样的反馈：“测试分析的工作量太大了，没有时间做”；而与此同时，课前反馈的培训需求中又总是会有“学习测试设计技术，确保测试用例的有效性”、“设计出高质量的用例”。）一边希望几乎不花什么时间、不用太费脑筋，就能得出测试用例；一边又对测试用例的有效性和评估提出高要求。测试是一种投资，测试设计活动更是一种投资，用户会买你的代码，但不会买你的测试用例。你的用例的质量可以增加你对代码质量的信心，这其中是个平衡。如果你自信你的代码质量很高，那么恭喜你，无须在测试用例上投资太多；如果你没有这份自信，那么请不要不舍得在测试设计上多投一些时间，请不要不愿意花一点精力去钻研测试设计这门技术，更不要认为只有编码是高尚的技术行为、测试只是没有什么技术含量的活儿。

如何评价内控有效性的分析与研究

（一）有效的内部控制是一个范围，不是绝对的保证有效的内部控制是提供合理保证，不是100%的保证。美国《证劵交易法》对合理保证的解释是：“这是一种详细的水平和保证程度，它能够使谨慎的高级职员在处理事务的时候感到满意”。所谓的一个范围指的是有效的内部控制不是一个点，而是一个区间，在合理保证和绝对保证之间必然存在一个区间（陈汉文和张宜霞，2008）。这个区间之间只有上限，即100%，下限是人们根据实际情况作出的判断，这是一个不确定的数值。所以，有效的内部控制仅仅为企业目标的实现提供一个合理的保证，而不是绝对的保证，也可以说有效的内部控制仅仅是存在的一个判定的区间，而不是一个点。内部控制的目标实现如果在这个范围内，就可以说这个内部控制是有效的，反之，则是无效的。（二）内部控制目标不同，有效的内部控制含义也不同每个企业的内部控制目标是不同的，所以有效的内部控制的概念也会因此有差别，当然合理保证的内容也会不同。遵循法规和财务的可靠性两个目标通常在企业的可控范围之内，因此，内部控制一般都能合理保证其实现。而对企业的战略目标，企业的内部控制不可能完全杜绝错误的判断和决策，因为战略目标不仅仅受到自身因素的影响，还受到外部环境的影响，而外部环境是复杂多变的，这个时候，企业就很难以控制。因此，企业管理层为了做出更好的决策，都会利用内部控制，然而此时，仍然不能保证这些目标的实现。因此，有效的内部控制对于财务报告的可靠性和企业的战略目标而言是不同的。那么这个时候对企业的内部控制有效性如何做出评价呢？仍然是判断企业内部控制目标的实现是否属于该范围，如果属于，内部控制就是有效的内部控制，否则，就是无效的内部控制。（三）内部控制的认定环节应该是执行的有效性为了实现设计有效、全面和详细，在进行内部控制制度设计时，必须考虑到内部控制的五大目标的实现，然而最终使得相关机构设计出来的内部控制制度不符合企业的实际情况，最终大部分都没有被企业接受。实际上，对于认定环节到底是“设计有效”更重要还是“执行有效”更重要，这个问题一直面临一个很难抉择的处境，因为要使内部控制制度的设计更有效，内部控制的构建既要考虑到全面性，也要考虑设计的详细，又要考虑成本效率和效益的原则，还要考虑易于用到实践中去，“这就充分暴露出内部控制在‘设计有效’和执行有效之间存在着相互替代的矛盾效应”，内部控制的这种替代效应会造成企业管理者顾此失彼，在进行选择的时候，到底是考虑“设计有效”更重要还是“执行有效”更重要呢？毫无疑问，当然是内部控制制度的执行更重要，这也是内控的最终目标，当两者出现冲突的时候，内部控制执行的有效性是首先要考虑到的。如何才能做到内部控制的执行有效性呢？主要有以下两个方面：1.内部控制制度的设计要以执行有效为基础成本效益原则是在设计内部控制制度时首先要考虑的。要设计一个符合企业实际情况的内部控制制度一定要花费成本，比如在聘请注册会计师实施内部控制审计或者引入外部咨询机构进行内部控制设计和评价工作，一定会增加企业的成本。但是在执行内部控制制度的时候，只有建立一套科学且符合企业实际情况的内控体系，内部控制制度才能得到真正得到落实。企业才能真正做大做强，打造成“百年老店”，同时，内部控制制度的设计必须遵循内部控制框架理论，并且结合企业的实际情况，体现企业的经营理念和组织结构等个性特征。2.建立风险管控为导向的内部控制制度内部控制制度是在管控企业风险的基础上建立的，首先要对企业的业务流程进行全面的梳理，找到企业的主要风险控制点，根据企业的风险控制点有针对性的去设计内部控制制度；其次，将内部控制制度应用于实践，任何一个内控制度是否有效且能否得到良好的执行，不能仅局限于理论上，必须接受实践的检验。最后，结合企业的实际情况，发现内部控制实际运行的时候存在问题，并不断改进。内部控制有效性的评价方法：对内部控制设计和执行两个方面进行评价是目前国内外得到普遍认可的观点。很显然，内部控制设计有效，但并不意味着内部控制就能得到很好的执行，因此内部控制有效性既要设计有效，还要执行有效，美国证券交易委员会（SEC）也规定：在进行内部控制有效性评价的时候，应该考虑内控设计和执行两个方面的有效。目前对内部控制有效性的评价主要定性和定量两种方法，基于对内部控制有效性理论框架的构建，然后在此基础上，构建数学模型，运用数据和指标进一步对内部控制有效性进行评价。（一）定性方法国内外对于内部控制有效性评价的定性评价研究主要有风险基础法和详细评价法两种方法，这两种方法都是基于COSO提出的内部控制整体框架理论中的三大目标和五要素。1.详细评价法。这种方法首先以权威机构制定出的内部控制制度框架为参考标准，根据内部控制构成的要素去评价内部控制的设计有效性，然后，再对内部控制运行有效性进行测试之后，最后做出内部控制设计和实施的有效性的评价，最终确定内部控制是否有效。此种方法优点是不需要高度的专业判断，但也有很多缺点，一方面因为这种简单的对照方法去评价会造成高成本、低效率；另一方面这样得出的结论不可靠。尽管权威制定且得到普遍认可的内部控制框架理论是一个通用的标准，但是并没有考虑到企业本身所处的实际情况，比如企业的规模、企业的行业以及外部的环境。由于这些缺点，美国实务和理论界后来提出了风险基础法2.风险基础法。风险基础法是风险到控制，首先评估内部控制的风险，在识别风险产生的原因；最后对存在的内部控制缺陷进行评估，确定其是否有效。这种方法的优点是：一方面，可以结合每个企业的特定情况，比如企业所处的规模、所处的行业和所处的国家等情况，避免详细解释法的简单核对，能提高广泛的适用性和灵活性，降低成本，提高效率；另一方面，风险基础法是在进行风险评估的基础上，对内部控制的有效性进行测试范围以及收集证据，这样同样可以降低成本，提高效率。风险基础法的唯一缺点是需要更高程度的专业判断。（二）定量法内部控制有效性评价的定量方法是选取指标建立模型，主要有模糊综合评价法，层次分析法和经验判断法等。模糊综合评价法有以下研究：以货币资金会计控制、实物资产会计控制等9个方面为要素（周春喜，2002），此种方法的有点事方法使用、简洁和可操作，缺点是综合评价设计因素多且复杂，研究如何建立与评价内部会计控制的问题仍然有必要；以控制环境、风险评估、内部管理控制、内部会计控制和监督控制为要素（温涛，2004），优点是建立多层模糊综合评价模型将定性指标定量化，更有利于实践工作，但缺点是权重因和因素集代表性有待进一步探讨；层次分析法有以下研究：以风险评估、控制点确定、关键控制点确定、对应设计指标为要素（戴彦，2006），优点是重点提出在企业庞大的体系运作下，要找准切入点进行评价，不足之处还需要更多实例验证；以内部环境、目标制定等7项为要素（姚靠华、蒋玲玲，2007），优点是有效解决了各因素重要性难以量化的问题，达到了定量定性相结合的目的，但是如何推广需要进一步探讨。从上述方法可知内部控制有效性的评价方法有了一定的完善和发展，但目前仍然有不少缺陷，比如模糊数学方法运用使得一些定量指标模糊化，使得评价结果不准确，而且其运作起来也很复杂。因此，采用单一的指标和模型不能对内部控制有效性进行科学合理的评价，将来研究发展更倾向于采用综合指标和综合的评价体系对内部控制有效性进行评价。

解内部控制与测试控制运行有效性的关系到底该怎么解释?

同学你好，很高兴为您解答！

除非存在某些可以使控制得到一贯运行的自动化控制，注册会计师对控制的了解并不能够代替对控制运行有效性的测试。

例如，获取某一人工控制在某一时点得到执行的审计证据，并不能证明该控制在所审计期间内的其他时点也有效运行。但是，信息技术可以使被审计单位持续一贯地对大量数据进行处理，提高了被审计单位监督控制活动运行情况的能力，信息技术还可以通过对应用软件、数据库、操作系统设置安全控制来实现有效的职责划分。由于信息技术处理流程的内在一贯性，实施审计程序确定某项自动控制是否得到执行，也可能实现对控制运行有效性测试的目标。

希望高顿网校的回答能帮助您解决问题，更多财会问题欢迎提交给高顿企业知道。

高顿祝您生活愉快！

高顿祝您生活愉快！