第二十三章 企业内部控制审计

4.控制测试的范围

注册会计师在测试控制的运行有效性时，应当在考虑与控制相关的风险的基础上，确定测试的范围（样本规模）。

（1）测试人工控制的最小样本规模

在测试人工控制时，如果采用检查或重新执行程序，注册会计师测试的最小样本规模区间参见表如下。

测试人工控制的最小样本规模区间

控制运行频率	控制运行的总次数	测试的最小样本规模区间
每年1次	1	1
每季1次	4	2
每月1次	12	2～5
每周1次	52	5～15
每天1次	250	20～40
每天多次	大于250次	25～60

注：测试的最小样本规模是指所需测试的控制运行次数。

【例题1·单选题】甲公司财务人员每月与前35名主要客户对账，如有差异进行调查。A注册会计师以与各主要客户的每次对账为抽样单元，采用非统计抽样测试该控制，确定最低样本数量时可以参照的控制执行频率是（ ）。 （2014年A卷） A.每月1次 B.每周1次 C.每日1次 D.每日数次 【答案】D 【解析】 控制发生的总次数＝35×12＝420，大于250次，根据人工控制最低样本规模表，控制的执行频率应当是每日数次。

（2）测试自动化应用控制的最小样本规模

信息技术处理具有内在一贯性，除非系统发生变动，一项自动化应用控制应当一贯运行。对于一项自动化应用控制，一旦确定被审计单位正在执行该控制，注册会计师通常无须扩大控制测试的范围。

在信息技术一般控制有效的前提下，除非系统发生变动，注册会计师或其专家可能只需要对某项自动化应用控制的每一相关属性进行一次系统查询以检查其系统设置，即可得出所测试自动化应用控制是否运行有效的结论。

（3）发现偏差时的处理

如果发现控制偏差，注册会计师应当评价控制偏差的影响。

定量	由于有效的内部控制不能为实现控制目标提供绝对保证，单项控制并非一定要毫无偏差地运行，才被认为有效。
定性	系统性偏差或人为有意造成的偏差（舞弊）	扩大样本规模无效	扩大规模后，无偏差→有效
			扩大规模后，有偏差→无效
	不是系统性偏差或人为有意造成的偏差	可以扩大样本规模进行测试

（三）控制测试

1.企业层面控制的测试

（1）与控制环境相关的控制

（2）针对管理层和治理层凌驾于控制之上的风险而设计的控制

针对凌驾风险采用的控制包括但不限于：

①针对重大的异常（尤其是那些导致会计分录延迟或异常的交易）交易的控制；

②针对关联方交易的控制；

③与管理层的重大估计相关的控制；

④能够减弱管理层伪造或不恰当操纵财务结果的动机及压力的控制。

⑤建立内部举报投诉制度。

（3）被审计单位的风险评估过程

风险评估过程包括识别与财务报告相关的经营风险，以及针对这些风险所采取的措施。

首先，被审计单位需要有充分的内部控制去识别来自外部环境的风险。

其次，充分且适当的风险评估过程应当包括对重大风险的估计，对风险发生可能性的评定以及确定应对方法。

（4）对内部信息传递和期末财务报告流程的控制

期末财务报告流程对内部控制审计和财务报表审计有重要影响，注册会计师应当对期末财务报告流程进行评价。

由于期末财务报告流程通常发生在管理层评价日之后，注册会计师一般只能在该日之后测试相关控制。

评价期末财务报告流程：

①被审计单位财务报表的编制流程，包括输入、处理及输出；

②期末财务报告流程中运用信息技术的程度；

③管理层中参与期末财务报告流程的人员；

④纳入财务报表编制范围的组成部分；

⑤调整分录及合并分录的类型；

⑥管理层和治理层对期末财务报告流程进行监督的性质及范围。

（5）对控制有效性的内部监督和内部控制评价

监督层面：控制监督可以在企业层面或业务流程层面上实施。

监督方式：通过持续的监督和管理活动、审计委员会或内部审计部门的活动，以及自我评价的方式等来实现。

（6）集中化的处理和控制

采用集中化管理可以降低各个下属单位或分部负责人对该单位或分部财务报表的影响，并且可能会使财务报表相关的内部控制更为有效，所以集中化的财务管理可能有助于降低财务报表错报的风险。

注册会计师可以考虑在较早的阶段执行对共享服务中心内部控制的有效性测试。

（7）经营成果的控制

管理层对于各个单位或业务部门经营情况的监控是企业层面的主要内部控制之一。

①在了解监督经营成果相关的控制时，注册会计师可以从性质上分析这些监督经营成果的控制是否有足够的精确度以取代对业务流程、应用系统或交易层面的控制的测试。

②如果这些监督经营成果的内部控制是有效的，注册会计师可以考虑减少对其他控制的测试

（8）针对重大经营控制及风险管理实务的政策

保持良好的内部控制的企业通常针对重大经营控制及风险管理实务采用相应的内部控制政策，考虑因素（包括但不限于）：

①企业是否建立了重大风险预警机制，明确哪些风险是重大风险，哪些事项一旦出现必须启动应急处理机制；

②企业是否建立了突发事件应急处理机制，确保突发事件得到及时妥善处理。

2.业务流程、应用系统或交易层面的控制的测试

（1）了解企业经营活动和业务流程

注册会计师可以通过检查被审计单位的手册和其他书面指引获得有关信息，还可以通过询问和观察来获得全面的了解。

向负责处理具体业务人员的上级进行询问通常更加有效。

（2）识别可能发生错报的环节

注册会计师需要了解和确认被审计单位应在哪些环节设置控制，以防止或发现并纠正各重要业务流程可能发生的错报。

评价是否实现这些目标的重要标志是，是否存在控制来防止错报的发生，或发现并纠正错报，然后重新提交到业务流程处理程序中进行处理。

（3）识别和了解相关控制

①控制的类型。控制分为预防性控制和检查性控制。

②识别和了解方法。主要方法是，询问被审计单位各级别的负责人员。通常先询问级别较高的人员，再询问级别较低的人员。业务流程越复杂，注册会计师越有必要询问信息系统人员。

四、内部控制缺陷评价

（一）控制缺陷的分类

（二）评价控制缺陷的严重程度

注册会计师应当评价其识别的各项控制缺陷的严重程度，以确定这些缺陷单独或组合起来，是否构成内部控制的重大缺陷。但是，在计划和实施审计工作时，不要求注册会计师寻找单独或组合起来不构成重大缺陷的控制缺陷。

控制缺陷的严重程度取决因素

影响因素	说明
控制不能防止或发现并纠正账户或列报发生错报的可能性的大小	（1）控制缺陷的严重程度与错报是否发生无关，而取决于控制不能防止或发现并纠正错报的可能性的大小。 （2）评价控制缺陷是否可能导致错报时，注会无需将错报发生的概念量化为某特定的百分比或区间。 （3）如果多项控制缺陷影响财务报表的同一账户或列报，错报发生的概率会增加。
因一项或多项控制缺陷导致的潜在错报的金额大小	（1）在评价因一项或多项控制缺陷导致的潜在错报的金额大小时，注册会计师应当考虑的因素包括： ①受控制缺陷影响的财务报表金额或交易总额； ②在本期或预计的未来期间受控制缺陷影响的账户余额或各类交易涉及的交易量。 （2）在评价潜在错报的金额大小时，账户余额或交易总额的最大多报金额通常是已记录的金额，但其最大少报金额可能超过已记录的金额。 （3）小金额错报比大金额错报发生的概率更高。