信息系统一般控制的了解、穿行测试、控制测试与评价（三）

信息系统一般控制是确保企业财务报告真实可靠的关键。 它包括了解内部控制、穿行测试、控制测试和评价等多个环节，其中穿行测试和控制测试是审计师常用的两种重要方法。

穿行测试是一种追踪交易在财务报告信息系统中处理过程的审计程序。 它的主要目的是验证审计师对被审计单位业务流程及其相关控制的了解是否准确和完整。通过选取一笔或几笔交易，审计师可以追踪其从生成到记录的全过程，从而评价控制设计的有效性并确定控制是否得到执行。

以一家制造企业的销售流程为例，穿行测试可能包括以下步骤：首先检查客户订单是否经过适当审批，然后追踪订单是否被准确记录并生成发货单，接着确认货物是否实际发出并得到客户签收，最后检查是否根据发货单和签收单开具了正确的销售发票并记录在财务系统中。这个过程不仅验证了销售流程的完整性，还能发现其中可能存在的控制缺陷。

相比之下， 控制测试的目的是评估内部控制在防止或发现并纠正重大错报方面的运行有效性。 它关注的是控制在不同时间点上是否按照设计持续有效地运行。控制测试通常在审计师预期控制运行有效或仅实施实质性程序不足以提供充分审计证据时进行。

控制测试的性质包括询问、观察、检查和重新执行等。例如，审计师可能会询问财务经理如何审核月度预算与实际费用的差异报告，观察仓库管理员是否严格执行存货盘点程序，检查销售发票上是否有复核人员的签字，甚至亲自执行部分控制程序来验证其有效性。

在确定控制测试的时间和范围时，审计师需要考虑多个因素。时间方面，如果只需要测试特定时点的控制，只需获取该时点的证据；如果要测试整个期间的控制有效性，则需要辅以其他测试，如检查被审计单位对控制的监督情况。范围方面，控制执行的频率越高、拟信赖的时间越长，测试的范围就越大。

值得注意的是，穿行测试和控制测试虽然都涉及对内部控制的测试，但侧重点不同。穿行测试主要用于了解和验证控制设计，而控制测试则侧重于评估控制运行的有效性。 两者在审计过程中相辅相成，共同构成了对信息系统一般控制的全面评价。

随着企业信息化程度的提高，信息系统一般控制的重要性日益凸显。有效的信息系统一般控制不仅能提高财务报告的可靠性，还能帮助企业防范风险、提升运营效率。因此，审计师在执行审计工作时，必须熟练掌握穿行测试和控制测试等方法，全面评估企业的内部控制环境，为财务报告的真实性和可靠性提供合理保证。