目录 |
控制测试(test of controls)指的是测试控制运行的有效性。控制运行有效性强调的是控制能够在各个不同的时点按照既定设计得以一贯执行。具体来说,
1.控制在所审计的不同时点是如何运行的;
2.控制是否得到一贯执行;
3.控制由谁执行;
4.控制以何种方式运行(人工控制或自动化控制)。
控制测试是为了确定被审计单位控制政策和程序的设计与执行是否完整与有效而实施的审计程序。注册会计师在了解被审计单位的内部控制之后,只有对那些准备依赖的内部控制执行控制测试,并确信其得到正确的执行时,才能减少实质性测试审计程序,从而减少审计取证工作,提高审计工作的效率。
控制测试应包括两个方面:
一是控制设计测试,即对被审计单位的内部控制政策和程序的设计是否适当所进行的审计程序。目的是确定被审计单位的内部控制是否能够防止和发现特定财务报表认定的重大错报或漏报。例如:注册会计师了解到,会计人员记录存货购入时,必须有检验部门出具的检验报告、仓库管理人员签字的入库单和采购部门认可的购货发票。据此,注册会计师可以推断,该项控制可以防止由于虚假购货产生的存货高估的风险。
二是控制执行测试,即被审计单位的内部控制政策和程序是否发挥应有的作用。如果被审计单位的控制政策和程序未能发挥其应有的作用,即使设计得再完整,也不能减少财务报表中出现重大错报或漏报的风险。因此,针对被审计单位现已存在的内部控制,注册会计师应测试其是否得到有效执行。对此,注册会计师应测试其是否得到有效执行。对上述控制,注册会计师就应检查会计人员所记录的购货是否均附有入库单、验收报告和采购部门认可的购货发票。
第二十二条 当存在下列情形之一时,控制测试是必要的:
(一)在评估认定层次重大错报风险时,预期控制的运行是有效的,注册会计师应当实施控制测试以支持评估结果;(基本无变化,只是文字更考究点)
(二)仅实施实质性程序不足以提供认定层次充分、适当的审计证据,注册会计师应当实施控制测试,以获取内部控制运行有效性的审计证据。
第二十三条 注册会计师应当计划和实施实质性程序,以应对评估的重大错报风险。(旧教材是这样说的,注册会计师应当针对重大错报风险的相关评估,包括实施风险评估程序的结果和在必要时实施控制测试的结果,计划和实施实质性程序。)
注册会计师对重大错报风险的评估是一种判断,并且由于内部控制存在固有局限性,无论评估的重大错报风险结果如何,注册会计师均应当针对所有重大的各类交易、账户余额、列报(注意:新准则“列报”其实包含列报和披露2个意思)实施实质性程序,以获取充分、适当的审计证据。
控制测试的性质是指控制测试所使用的审计程序的类型及其组合。计划从控制测试中获取的保证水平是决定控制测试性质的主要因素之一。
注册会计师应当选择适当类型的审计程序以获取有关控制运行有效性的保证。计划的保证水平越高,对有关控制运行有效性的审计证据的可靠性要求越高。当拟实施的进一步审计程序主要以控制测试为主,尤其是仅实施实质性程序获取的审计证据无法将认定层次重大错报风险降至可接受的低水平时。注册会计师应当获取有关控制运行有效性的更高的保证水平。
作为进一步审计程序的类型之一,控制测试并非在任何情况下都需要实施。当存在下列情形之一时,注册会计师应当实施控制测试:(1)在评估认定层次重大错报风险时,预期控制的运行是有效的;(2)仅实施实质性程序不足以提供认定层次充分、适当的审计证据。
如果在评估认定层次重大错报风险时预期控制的运行是有效的,注册会计师应当实施控制测试,就控制在相关期间或时点的运行有效性获取充分、适当的审计证据。
注册会计师通过实施风险评估程序,可能发现某项控制的设计是存在的,也是合理的,同时得到了执行。在这种情况下,出于成本效益的考虑,注册会计师可能预期,如果相关控制在不同时点都得到了一贯执行。与该项控制有关的财务报表认定发生重大错报的可能性就不会很大,也就不需要实施很多的实质性程序。为此。注册会计师可能会认为值得对相关控制在不同时点是否得到了一贯执行进行测试,即实施控制测试。这种测试主要是出于成本效益的考虑,其前提是注册会计师通过了解内部控制以后认为某项控制存在着被信赖和利用的可能。因此,只有认为控制设计合理、能够防止或发现和纠正认定层次的重大错报,注册会计师才有必要对控制运行的有效性实施测试。
如果认为仅实施实质性程序获取的审计证据无法将认定层次重大错报风险降至可接受的低水平,注册会计师应当实施相关的控制测试,以获取控制运行有效性的审计证据。有时,对有些重大错报风险,注册会计师仅通过实质性程序无法予以应对。例如,在被审计单位对日常交易或与财务报表相关的其他数据(包括信息的生成、记录、处理、报告)采用高度自动化处理的情况下,审计证据可能仅以电子形式存在,此时审计证据是否充分和适当通常取决于自动化信息系统相关控制的有效性。如果信息的生成、记录、处理和报告均通过电子格式进行而没有适当有效的控制,则生成不正确信息或信息被不恰当修改的可能性就会大大增加。在认为仅通过实施实质性程序不能获取充分、适当的审计证据的情况下,注册会计师必须实施控制测试,且这种测试已经不再是单纯出于成本效益的考虑,而是必须获取的一类审计证据。
此外需要说明的是。被审计单位在所审计期间内可能由于技术更新或组织管理变更而更换了信息系统,从而导致在不同时期使用了不同的控制。如果被审计单位在所审计期间内的不同时期使用了不同的控制,注册会计师应当考虑不同时期控制运行的有效性。
虽然控制测试与了解内部控制的目的不同,但两者采用审汁程序的类型通常相同,包括询问、观察、检查和穿行测试。此外,控制测试的程序还包括重新执行。
1.询问。注册会计师可以向被审计单位适当员:询问,获取与内部控制运行情况相关的信息。例如,询问信息系统管理人员有无未经授权接触计算机硬件和软件,向负责复核银行存款余额调节表的人员询问如何进行复核,包括复核的要点是什么发现不符!扛项如何处理等。然而,仅仅通过询问不能为控制运行的有效性提供充分的证据,注册会计师通常需要印证被询问者的答复,如向其他人员询问和检查执行控制时所使用的报告、手册或其他文件等。因此,虽然询问是一种有用的手段。它必须和其他测试手段结合使用才能发挥作用。在询问过程中,注册会计师应当保持职业怀疑态度。
2.观察。观察是测试不留下二l5而记录的控制(如职责分离)的运行情况的有效方法。例如,观察存货盘点控制的执行情况。观察也可运用于实物控制,如查看仓库门是否锁好,或空向支票是否妥善保管。通常情况下,注册会计师通过观察直接获取的证据比间接获取的证据更可靠但是:注册会计师还要考虑其所观察到的控制在注册会汁师不在场时可能未被执行的情况。
3.检查。对运行情况留有二l5面证据的控制,检查非常适用。书面说明、复核时留下的记号,或其他i己录在偏差报告中的标志都可以被当作控制运行情况的证据。例如,检查销售发票是否有复核人员签字,检查销售发票是否附有客户订购单和出库单等。
4.重新执行。通常只有当询问、观察和检查程序结合在一起仍无法获得充分的证据时。注册会计师才考虑通过重新执行来证实控制是否有效运行。例如,为了合理保证计价认定的准确性被审计单位的项控制是由复核人员核对销售发票上的价格与统一价格单上的价格是否一致。但是,要检查复核人员有没有认真执行核对。仅仪检查复核人员是否在相关文件上签字是不够的,注册会计师还需要自己选取一部分销售发票进行核对√这就是重新执行程序。但是,如果需要进行大摄的重新执行,注册会计师就要考虑通过实施控制测试以缩小实质性程序的范围是否有效率。
5.穿行测试。除了上述四类控制测试常用的审计程序以外,实施穿行测试也是一种重要的审计程序。fff褂注意的是,穿行测试不是单独的一种程序,而是将多种程序按特定审汁需要进行结合运用的方法。穿行测试是通过追踪交易在财务报告信息系统巾的处理过程。来证实注册会计师对控制的了解、评价控制设计的有效性以及确定控制是否得到执行。可见,穿行测试更多地在了解内部控制时运用。但在执行穿行测试时,注册会计师可能获取部分控制运行有效性的审计证据。
询问本身并不足以测试控制运行的有效性,注册会计师应当将询问与其他审计程序结合使用,以获取有关控制运行有效性的审计证据。+观察提供的证据仅限于观察发生的时点,本身也不足以测试控制运行的有效性;将询问与检查或重新执行结合使用,通常能够比仪实施询问和观察获取更高的保证。例如,被审计单位针对处理收到的邮政汇款单设计和执行了相关的内部控制,注册会计师通过询问和观察程序往往不足以测试此类控制的运行有效性,还需要检查能够证明此类控制在所审计期间的其他时段有效运行的文件和凭证,以获取充分、适当的审计证据。
1.考虑特定控制的性质。注册会计师应当根据特定控制的性质选择所需实施审计程序的类型。例如,某些控制可能存在反映控制运行有效性的文件记录,在这种情况下,注册会计师可以检查这些文件记录以获取控制运行有效的审计证据;某些控制可能不存在文件记录(如一项自动化的控制活动),或文件记录与能否证实控制运行有效性不相关,注册会计师应当考虑实施检查以外的其他审计程序(如询问和观察)或借助计算机辅助审计技术,以获取有关控制运行有效性的审计证据。
2.考虑测试与认定直接相关和间接相关的控制。在设计控制测试时。注册会计师不仅应当考虑与认定直接相关的控制,还应当考虑这些控制所依赖的与认定间接相关的控制。以获取支持控制运行有效性的审计证据。例如。被审计单位可能针对超出信用额度的例外赊销交易设置报告和审核制度(与认定直接相关的控制);在测试该项制度的运行有效性时,注册会计师不仅应当考虑审核的有效性。还应当考虑与例外赊销报告中信息准确性有关的控制(与认定问接相关的控制)是否有效运行。
3.如何对一项自动化的应用控制实施控制测试。对于一项自动化的应用控制,由于信息技术处理过程的内在二贯性,注册会计师可以利用该项控制得以执行的审计证据和信息技术一般控制(特别是对系统变动的控制)运行有效性的审计证据,作为支持该项控制在相关期间运行有效性的重要审计证据。
控制测试的目的是评价控制是否有效运行;细节测试的目的是发现认定层次的重大错报。尽管两者目的不同,但注册会计师可以考虑针对同一交易同时实施控制测试和细节测试,以实现双重目的。例如。注册会计师通过检查某笔交易的发票可以确定其是否经过适当的授权也可以获取关于该交易的金额、发生时间等细节证据。当然,如果拟实施双重目的测试,注册会计师应当仔细设计和评价测试程序。
如果通过实施实质性程序未发现某项认定存在错报,这本身并不能说明与该认定有关的控制是有效运行的;但如果通过实施实质性程序发现某项认定存在错报,注册会计师应当在评价相关控制的运行有效性时予以考虑。因此,注册会计师应当考虑实施实质性程序发现的错报对评价相关控制运行有效性的影响(如降低对相关控制的信赖程度、调整实质性程序的性质、扩大实质性程序的范围等)。如果实施实质性程序发现被审计单位没有识别出的重大错报,通常表明内部控制存在重大缺陷,注册会计师应当就这些缺陷与管理层和治理层进行沟通。
(一)控制测试的时间的含义
如前所述,控制测试的时间包含两层含义:一是何时实施控制测试;二是测试所针对的控制适用的时点或期间。一个基本的原理是,如果测试特定时点的控制,注册会计师仅得到该时点控制运行有效性的审计证据;如果测试某一期间的控制,注册会计师可获取控制在该期间有效运行的审计证据。因此,注册会汁师应当根据控制测试的目的确定控制测试的时间,并确定拟信赖的相关控制的时点或期间。
关于根据控制测试的目的确定控制测试的时间,如果仅需要测试控制在特定时点的运行有效性(如对被审计单位期末存货盘点进行控制测试),注册会计师只需要获取该时点的审计证据。如果需要获取控制在某期间有效运行的审计证据,仪获取与时点相关的审计证据足不充分的,注册会汁师应当辅以其他控制测试,包括测试被审计单位对控制的监督。换言之,关于控制在多个不同时点的运行有效性的审计证据的简单累加:不能构成控制在某期间的运行有效性的充分、适当的市计证据;而所谓的“其他控制测试”应当具备的功能是,能提供相关控制住所有相关时点都运行有效的审汁证据;被审计单位对控制的监惜起到的就是一种检验相关控制在所有栩父时点是否都有效运行的作用,因此注册会计师测试这类活动能够强化控制在某期问运行有效性的审计证据效力。
(二)如何考虑期间审计证据
前已述及,注册会汁师可能在期1实施进一步审计程序。对于控制测试,注册会计师在期间实施此类程序具有更年{1极的作用。但需要说明的是,即使注册会计师已获取有关控制在期运行有效性的审计证据,仍然需要考虑如能够将控制在期中运行有效性的审汁证据合理延伸至期末,一个基本的考虑是针对期巾至期末这段剩余期问获取充分、适当的审计证据。因此,如果已获取有关控制在期巾运行有效性的审计证据。
(三)如何考虑以前审计获取的审计证据
注册会计师考虑以前审计获取的有关控制运行有效性的审计证据,其意义在手:一方面内部控制中的诸多要素对于被审计单位往往是相对稳定的(相对于具体的交易、账户余额和列报),因此注册会计师在本期审计时还是可以适当考虑利用以前审计获取的有关控制运行有效性的审计证据;另一方面,内部控制在不同期间可能发生重大变化,注册会计师在利用以前审计获取的有关控制运行有效性的审计证据时需要格外慎重。充分考虑各种因素。
关于如何考虑以前审计获取的有关控制运行有效性的审计证据,基本思路是考虑拟信赖的以前审计中测试的控制在本期是否发生变化,因为考虑与控制变化有关的审计证据有助于注册会计师决定合理调整拟在本期获取的有关控制运行有效性的审计证据。
1.基本思路:考虑拟信赖的以前审计中测试的控制在本规是否发生变化。如果拟信赖以前审计获取的有关控制运行有效性的审计证据,注册会计师应当通过实施询问并结合观察或检查程序,获取这些控制是否已经发生变化的审计证据。例如,在以前审计中,注册会计师可能确定被审计单位某项自动控制能够发挥预期作用。那么在本期审计中,注册会计师需要获取审计证据以确定是否发生了影响该自动控制持续有效发挥作用的变化。例如,注册会计师可以通过询问管理层或检查日志,确定哪些控制已经发生变化。
注册会计师可能面临两种结果:控制在本期发生变化;控制在本期没有发生变化。
2.当控制在本期发生变化时注册会计师的做法。如果控制在本期发生变化,注册会计师应当考虑以前审计获取的有关控制运行有效性的审计证据是否与本期审计相关。例如。如果系统的变化仅仅使被审计单位从中获取新的报告,这种变化通常不影响以前审计所获取证据的相关性;如果系统的变化引起数据累积或计算发生改变,这种变化可能影响以前审计所获取证据的相关性。如果拟信赖的控制自上次测试后已发生变化,注册会计师应当在本期审计中测试这些控制的运行有效性。
3.当控制在本期未发生变化时注册会计师的做法。如果拟信赖的控制自上次测试后未发生变化,且不属于旨在减轻特别风险的控制,注册会计师应当运用职业判断确定是否在本期审计中测试其运行有效性,以及本次测试与上次测试的时间问隔但两次测试的时问间隔不得超过两年。
在确定利用以前审计获取的有关控制运行有效性的审计证据是否适当以及再次测试控制的时间间隔时。注册会计师应当考虑的因素或情况包括:
(1)内部控制其他妻素的有效性包括控制环境、对控制的监督以及被审计单位的风险评估过程。例如,当被审计单位控制环境薄弱或对控制的监督薄弱时,注册会计师应当缩短再次测试控制的时问间隔或完全不信赖以前审计获取的审计证据j
(2)控制特征(人工控制还是自动化控制)产生的风险。当相关控制中人工控制的成分较大时,考虑到人]二控制一般稳定性较差,注册会计师可能决定在本期审计巾继续测试该控制的运行有效性。
(3)信息技术一般控制的有效性。当信息技术一般控制薄弱时,注册会计师可能更少地依赖以前审计获墩的审计证据。
(4)控制没计及其运行的有效性:包括在以前审计中测试控制运行有效性时发现的控制运行偏差的性质和程度。例如,当所审计期间发生了对控制运行产生重大影响的人事变动时,注册会计师可能决定在本期审计中不依赖以前审计获取的审计证据。
(5)由于环境发生变化而特定控制缺乏相应变化导致的风险。当环境的变化表明需要对控制做出相应的变动、但控制却没有做出相应变动时,注册会计师应当充分意识到控制不再有效,从而导致本期财务报表发生重大错报的可能性?此时不应再依赖以前审计获取的有关控制运行有效性的审计证据。
(6)重大错报的风险和对控制的拟信赖程度。如果重大错报风险较大或对控制的拟信橼程度较高,注册会汁师应当缩短再次测试控制的时间间隔或完全不信赖以前审计获取的审计证据。
如果拟信赖以前审计获取的某些控制运行有效性的审计证据,注册会计师 应当在每次审计时从{:I选取足够数量的控制,测试其运行有效性;不应将所有拟信赖控制的测试集中于某一次审计,而在之后的两次审计中不进行任何测试。这主要是为了尽蛰降低审计风险,毕竟注册会计师可能难以充分识别以前审计中测试过的控制在本期是否发生变化。此外,在每一次审计中选取足够数量的部分控制进行测试,除了能够提供这些以前审计中测试过的控制在当期运行有效性的审计证据外,还可提供控制环境持续有效性的旁证,从而有助于注册会计师判断其信赖以前审计获取的审计证据是否恰当。
4.不得依赖以前审计所获取证据的情形。鉴于特别风险的特殊性,对于 旨在减轻特别风险的控制,不论该控制在本期是否发生变化,注册会计师都不应依赖以前审计获取的证据。因此,如果确定评估的认定层次重大错报风险是特别风险,并拟信赖旨在减轻特别风险的控制,注册会计师不应依赖以前审计获取的审计证据。而应在本期审汁中测试这些控制的运行有效性。也就是说,如果注册会计师拟信赖针对特别风险的控制,那么所有关于该控制运行有效性的审计证据必须来自当年的控制测试。相应地,注册会计师应当在每次审计巾都测试这类控制。
对于控制测试的范围,其含义主要是指某项控制活动的测试次数。注册会计师应当设计控制测试,以获取控制在整个拟信赖的期间有效运行的充分、适当的审计证据。
(一)确定控制测试范围的考虑因素
注册会计师在确定某项控制的测试范围时通常考虑下列因素:
1.在整个拟信赖的期间,被审计单位执行控制的频率。控制执行的频率越高,控制测试的范围越大。
2.在所审计期间,注册会计师拟信赖控制运行有效性的时问长度。拟信赖控制运行有效性的时间长度不同。在该时间长度内发生的控制活动次数也不同。注册会计师需要根据拟信赖控制的时间长度确定控制测试的范围。拟信赖期间越长,控制测试的范围越大。
3.为证实控制能够防止或发现并纠正认定层次重大错报,所需获取审计证据的相关性和可靠性。对审计证据的相关性和可靠性要求越高,控制测试的范围越大。
4.通过测试与认定相关的其他控制获取的审计证据的范围。针对同一认定,可能存在不同的控制。当针对其他控制获取审计证据的充分性和适当性较高时,测试该控制的范围可适当缩小。
5.在风险评估时拟信赖控制运行有效性的程度。注册会计师在风险评估时对控制运行有效性的拟信赖程度越高,需要实施控制测试的范围越大。
6.控制的预期偏差。预期偏差可以用控制未得到执行的预期次数占控制应当得虱l执行次数的比率加以衡量(也可称为预期偏差率)。考虑该因素,是因为在考虑测试结果是否可以得}n控制运行有效性的结论时,不可能只要出现任何控制执行偏差就认定控制运行无效,所以需要确定一个合理水平的预期偏差率。控制的预期偏差率越高,需要实施控制测试的范围越大。如果控制的预期偏差率过高,注册会计师应当考虑控制可能不足以将认定层次的重大错报风险降至可接受的低水平,从而针对某一认定实施的控制测试可能是无效的。
(二)对自动化控制的测试范围的特别考虑
除非系统(包括系统使用的表格、文档或其他永久性数据)发生变动注册会计师通常不需要增加自动化控制的测试范围。
信息技术处理具有内在一贯性,除非系统发生变动,一项自动化应用控制应当一贯运行。对于一项自动化应用控制,一旦确定被审计单位正在执行该控制,注册会计师通常无须扩大控制测试的范围,但需要考虑执行下列测试以确定该控制持续有效运行:
1.测试与该应用控制有关的一般控制的运行有效性;
2.确定系统是否发生变动,如果发生变动,是否存在适当的系统变动控制;
3.确定对交易的处理是否使用授权批准的软件版本。
例如,注册会计师可以检查信息系统安全控制记录,以确定是否存在未经授权的接触系统硬件和软件,以及系统是否发生变动。
注册会计师在执行控制测试时,主要应查明以下三个方面:一是这项控制是怎样执行的;二是是否在本年中一贯的得以执行;三是由谁来执行。如果某项控制在本年中由经过授权的人员一贯地予以执行,这项内部控制就是有效的。否则,就是内部控制失效。通常,注册会计师将内部控制未能有效执行或执行不当称作 “偏差”、“例外”或“偶发事件”。
由于被审计单位的内部控制是针对企业的业务处理全过程设计的,某些内部控制的失效或执行不当并不一定会影响到财务报表的重大错报或漏报。例如:工资的计算需要独立于计算人员的其他人员进行复核,如果未经过复核,则该项控制失效。如果工资计算人员本身是认真负责地进行计算,工资的支出与记录并不一定会出现重大错报。由此可见,并不是所有的内部控制失效均会导致财务报表出现错报或漏报。因此,注册会计师不是对所有的内部控制均要进行控制测试,而只是对可能会导致财务报表出现重大错报或漏报的那些内部控制政策和程序执行控制测试。
第1211号审计准则第四十五条规定:“注册会计师应当了解与审计相关的内部控制以识别潜在错报的类型,考虑导致重大错报风险的因素,以及设计和实施进一步审计程序的性质、时间和范围。”从该条规定可知,了解被审计单位内部控制不仅是识别和评估重大错报风险、设计和实施进一步审计程序的基础,而且也是注册会计师进行年度会计报表审计必须履行的审计程序。
第1211号审计准则第五十四条又规定,“注册会计师在了解内部控制时,应当评价控制的设计,并确定其是否得到执行。”由此可见,注册会计师“了解内部控制”应包含两层含义:一是评价控制的设计;二是确定控制是否得到执行。另外,该条还对评价控制的设计和控制是否得到执行作了明确解释: “评价控制的设计是指考虑一项控制单独或连同其他控制是否能够有效防止或发现并纠正重大错报。控制得到执行是指某项控制存在且被审计单位正在使用。”
由于控制测试指的是测试控制运行的有效性,因此,了解被审计单位内部控制成为注册会计师实施控制测试的前提。通过对被审计单位内部控制的了解,如果能够确认控制存在且被审计单位正在使用,而且被审计单位的内部控制单独或连同其他控制能够有效防止或发现并纠正重大错报,则具备了进行控制测试的基础。
但是,在日常对小企业的审计实务中,我们相当部分的注册会计师往往在不对被审计单位内部控制进行必要了解的情况下,就以被审计对象为小型被审计单位,被审计单位内部控制未能有效执行及实施控制测试不符合成本效益原则等理由不对被审计单位的内部控制进行测试。这一种可能是将对内部控制的了解与内部控制测试的概念混为一谈,另一种可能是将不对内部控制进行必要了解的前提条件与不进行内部控制测试的前提条件混为一谈。根据第1211号审计准则第四十五条的规定,了解被审计单位与审计相关的内部控制是注册会计师必须实施的审计程序,即不管是否进行内控测试,注册会计师都必须对内部控制进行必要的了解。事实上,不对被审计单位与审计相关的内部控制进行必要的了解,就不可能了解和掌握不进行控制测试的原因,也就无法作出是否应该进行控制测试的判断。
必须注意的是,虽然了解内部控制与控制测试的目的不同,但两者采用审计程序的类型通常相同,均包括询问、观察、检查和穿行测试,此外,控制测试的程序还包括重新执行。当询问、观察和检查程序结合在一起仍无法获得充分、适当的审计证据时,注册会计师应考虑通过重新执行来证实内部控制是否能够有效运行。但是,如果需要进行大量的重新执行,注册会计师就要考虑通过实施控制测试来缩小实质性程序的范围。