做好内控测试-提升审计效率

做好控制测试提升审计效率

一、控制测试的目标

大量的实践证明，企业的内部控制与财务信息质量具有很大的相关性，如果企业的内部控制健全有效，财务报表发生错误和舞弊的可能性就小，财务信息的质量就有保证，这也是政府有关部门近年来大力推进企业内控制度建设的重要原因。

在风险导向的审计理念下，在风险评估阶段，注册会计师应当了解与评价被审计单位的内部控制，其目的是评价被审计单位内部控制的设计，并确定其是否得到执行，以识别和评估由于内部控制设计的缺陷或内控未得到执行而产生的重大错报风险。“了解与评价被审计单位的内部控制”，是审计准则规定注册会计师必须要执行的审计程序。

控制测试，是指用于评价内部控制在防止或发现并纠正认定层次重大错报方面的运行有效性的审计程序。控制测试是进一步审计程序的主要内容，在审计实施阶段执行，其目的是测试内部控制运行的有效性，以确定实质性程序的审计重点和审计范围。

但控制测试却不是必要程序，作为进一步审计程序的类型之一，控制测试并非在任何情况下都需要实施，执行与否是由注册会计师根据评估的重大错报风险水平与职业判断决定的。审计准则规定，当存在下列情形之一时，注册会计师应当设计和实施控制测试：1、在评估认定层次重大错报风险时，预期控制的运行是有效的；2、仅实施实质性程序并不能够提供认定层次充分、适当的审计证据。其中第二情形下，控制测试是获取充分、适当的审计证据的必要程序；在第一种

情形下，如果注册会计师预期控制的运行是有效的，且执行控制测试的工作量小于预计减少的实质性程序工作量，即符合成本效益原则，才执行控制测试。

因此，在风险评估阶段，注册会计师通过了解与评价被审计单位的内部控制的设计和是否得到执行，从而识别和评估由于内部控制设计的缺陷或内控未得到执行而产生的重大错报风险。针对评估的重大错报风险，通过设计和实施恰当的应对措施，获取充分、适当的审计证据。这里所称恰当的应对措施，包括审计策略的选择是以控制测试为主，还是以实质性程序为主。一般来说，对于上市公司和国有企业等经营规模较大、内控制度（特别是与财务信息有关的内控制度）较健全的企业，选择执行控制测试，可以减少实质性程序工作量，从而达到提升审计效率的目标。相反，若企业经营规模小、内控制度不健全，审计时应更多地依赖实质性程序以获取充分、适当的审计证据。注册会计师应将上述判断过程记录于审计工作底稿中。

二、控制测试中存在的问题

目前控制测试中存在两类问题：1、控制测试不做或测试强度不够。为节省工作时间，有的注册会计师以了解内控程序代替控制测试程序。在这种情况下，注册会计师仅执行询问和观察程序就得出了被审计单位内控有效的审计结论和职业判断，审计程序明显不充分，审计判断和审计结论缺乏证据支撑。实际上，“询问和观察”不仅不足以评价和获取控制设计及执行的充分证据，更不足以测试控制运行的有效性。有的注册会计师针对业务循环的关鍵控制点（关鍵控制是指与财务信息质量直接相关的控制），选择的控制测试样本量极少，如对记录销售收入与发货这样的频繁控制，仅执行少量数量（如小于或等于5笔）的测试。

由于样本覆盖范围小，完全无法获取被审计单位的内控在整个会计期间都有效运行的审计证据。2、控制测试作了大批量的样本量测试，但控制测试的评价结果不能很好地运用到指导实质性程序的性质、时间和范围，导致控制测试与实质性程序脱节，如在实质性程序中重复做类似性质的大样本量测试，就显得整个审计逻辑思路不清晰，也有损审计效率，不符合成本效益原则。

三、做好控制测试提升审计效率

为了克服以上两类问题，有必要正确认识控制测试的作用，充分发挥控制测试对审计效率的提升作用。实际上，从审计理论来讲，控制测试就是为了节省工作量、提升审计效率而采取的审计策略，而现在有的审计人员认为执行控制测试是增加了审计的工作量，是为了应付检查而在形式上做的一种程序。为了做好控制测试，除了审计人员需改变观念外，还有必要规范控制测试的样本量，同时指导审计人员如何通过控制测试合理安排实质性程序的性质、时间和范围。

1、控制测试对象的选择

与财务报告有关的内部控制才是控制测试对象，而其中的关键控制点是注册会计师测试的重点。在财务报表审计时，首先，项目组需分析并确定被审计单位重要会计报表项目、披露事项；其次，项目组需分析判断影响重要会计报表项目的业务流程循环，同时确定重要会计报表项目与业务循环之间的对应关系；第三，分析确定各个重要会计报表项目和披露事项影响的相关会计报表认定，根据内部控制了解到的对各个重要会计报表项目和披露事项涉及的关键控制点及相关控制措施确定为控制测试对象。

通常我们可以将被审计单位的业务活动划分为七大循环：销售与收款循环、

采购与付款循环、生产与仓储循环、工薪与人事循环、筹资与投资循环、固定资产循环、货币资金循环。实践上，注册会计师一般都是按以上七大循环来做控制测试的。对于不同的被审计单位，各个业务循环的重要性不同，涉及的关键控制点也可能不同，控制测试的重点也会有所差异。

另外审计准则规定，在连续审计情况下，如果有关内部控制未发生变化，注册会计师应当每三年至少对控制测试一次，并且在每年审计中测试部分控制，以避免将所有拟信赖控制的测试集中于某一年，而在之后的两年中不进行任何测试。但对于特别重要的内部控制和评估为特别风险的认定（如与销售收入、采购有关的关键控制），应当每年都要进行控制测试。

2、控制测试的样本量

对关键控制点执行有效性测试，检查和重新执行是保证程度较高的方法，而在执行检查及重新执行方法时，最重要的环节是选取测试样本，只有选取的样本适量且具有代表性才能使审计人员得出正确的结论。由于抽样风险的存在，在测试过程中应选择适当的样本数量，从而将抽样风险降至最低。抽样风险一般随着内控活动的频率增加而增加，即某项内部控制活动越频繁控制不能有效运行的风险越高，抽样比例亦应增加。由于抽样的上述特性，在执行内控测试时，要根据内控活动发生的频次确定选取样本的数量。就频次与样本量之间的关系，目前理论上尚无确定的公认的数据。借鉴国内外会计师事务所的实践经验，下面表格数据可供测试时选取样本的数量参考：