現(xiàn)代風(fēng)險導(dǎo)向?qū)徲嬒聝?nèi)部控制及控制測試運用研究

1、現(xiàn)代風(fēng)險導(dǎo)向?qū)徲嬚J為，審計風(fēng)險由兩部分組成：財務(wù)報表包含重大錯報的風(fēng)險，以及審計人員通過執(zhí)行實質(zhì)性測試仍未發(fā)現(xiàn)這些錯報的風(fēng)險。對于前一種風(fēng)險，審計人員無法加以控制只能予以評估，而對后一種風(fēng)險審計人員可以通過選擇和執(zhí)行實質(zhì)性測試加以控制。為了將審計風(fēng)險控制在相同的低水平上，可以對風(fēng)險評估程序、控制測試和實質(zhì)性程序采取不同的組合方式，其中某些組合方式將更富有效率和效果。審計人員究竟采用何種組合，取決于其對內(nèi)部控制“設(shè)計和運行有效性”的判斷，以及對“控制測試更有效”還是“測試賬戶余額本身更有效”的判斷。一、內(nèi)部控制及其在審計中的運用（一）內(nèi)部控制標準站在不同的立場或角度，對內(nèi)部控制的需要和認識不盡相

2、同。出于對不同群體需要的考慮，開發(fā)了一個實用的、能夠被廣泛接受的標準：內(nèi)部控制整合框架，將內(nèi)部控制描述為為了達到個目標所必需的個組成部分：控制環(huán)境、風(fēng)險評估過程、信息系統(tǒng)與溝通、控制活動以及對控制的監(jiān)督。個目標是：財務(wù)報告的可靠性、經(jīng)營的效率和效果、相關(guān)法律法規(guī)的遵循。盡管這些目標各不相同，但可能相互交叉。一般而言，很多控制措施可能對應(yīng)一個以上的目標。只有包含廣泛范圍的內(nèi)部控制，才能滿足不同的目標，也才能被廣泛的接受。（二）內(nèi)部控制在審計中的運用現(xiàn)代風(fēng)險導(dǎo)向?qū)徲嬕髮徲嬋藛T以重大錯報風(fēng)險的識別、評估和應(yīng)對為審計工作的主線，提高審計工作的效率和效果。審計人員是在了解被審計單位及其環(huán)境（包括內(nèi)部控

3、制）的過程中識別與評估財務(wù)報表層次和認定層次的重大錯報風(fēng)險，并針對不同層次的風(fēng)險，分別采取總體應(yīng)對措施和進一步審計程序。其中對內(nèi)部控制實施的審計程序包括兩個步驟：對內(nèi)部控制的了解和控制測試。前者是必須程序，后者是非必須程序。對內(nèi)部控制執(zhí)行的審計程序的性質(zhì)和范圍，取決于審計人員對控制風(fēng)險水平的判斷（如圖所示）。二、了解內(nèi)部控制（一）了解內(nèi)控的含義對企業(yè)內(nèi)部控制的了解是指，將內(nèi)部控制與企業(yè)的其他信息（如以前年度的經(jīng)驗）一起考慮，來評估控制的設(shè)計是否有效。“設(shè)計有效性”指的是一項控制單獨或連同其他控制是否能夠有效防止或發(fā)現(xiàn)并糾正重大錯報。對內(nèi)部控制的了解還包括確定企業(yè)是否在實際應(yīng)用這些控制。（二）了

4、解內(nèi)控的范圍盡管內(nèi)部控制關(guān)系到整個企業(yè)以及企業(yè)的各個經(jīng)營單位或業(yè)務(wù)功能，但審計人員并不必了解與企業(yè)的每個經(jīng)營單位或業(yè)務(wù)功能相關(guān)的內(nèi)部控制。在評估控制風(fēng)險時，審計人員最關(guān)心的是影響財務(wù)報表認定可靠性的控制。即如果某一內(nèi)部控制程序產(chǎn)出的信息形成財務(wù)報告信息或檢驗財務(wù)報告信息，則這一內(nèi)部控制程序是與財務(wù)報告相關(guān)的內(nèi)部控制程序。如用來保護或維護資產(chǎn)免受非授權(quán)購買、使用或變賣的控制，通常既能夠滿足財務(wù)報告的目標，又能夠滿足經(jīng)營的目標。審計人員在考慮這些控制時，通常局限于與財務(wù)報告可靠性相關(guān)的控制上。大多數(shù)與管理層各種決策過程的效率和效果相關(guān)的控制都與審計無關(guān)。如限制在企業(yè)的生產(chǎn)過程中過度使用原材料的措施

5、，通常與審計無關(guān)，審計人員不必在了解內(nèi)部控制和評估控制風(fēng)險時予以考慮。（三）了解內(nèi)控的要求與財務(wù)報告相關(guān)的控制，在企業(yè)中被應(yīng)用于各種層面。有些控制要素（如控制環(huán)境）在企業(yè)的較高層面運行，因此對很多乃至所有賬戶的余額都有影響。有些控制被應(yīng)用到一個循環(huán)或一個循環(huán)中的整個交易類別，影響到相關(guān)交易產(chǎn)生的賬戶余額，而控制活動則在更低、更詳細的層面上運行，主要關(guān)注交易循環(huán)中的單個應(yīng)用程序，并對特定賬戶余額和審計目標產(chǎn)生影響。不同控制組成部分，達到財務(wù)報表認定或?qū)徲嬆繕说男Ч膊煌?。較高層面的內(nèi)部控制是否有效將直接影響重要業(yè)務(wù)流程層面控制的有效性。因此，要求審計人員從被審計單位整體層面和業(yè)務(wù)流程層面分別了解

6、被審計單位的內(nèi)部控制。（四）了解內(nèi)控的技術(shù)方法審計人員應(yīng)充分了解內(nèi)部控制的個要素，以便針對每個重要交易類別和賬戶余額進行初步風(fēng)險評估。實務(wù)中常用的技術(shù)方法有：（）觀察：指審計人員親臨工作現(xiàn)場，實地觀察有關(guān)人員的工作情況，以確定控制措施是否有效的方法。（）詢問：指為了解公司內(nèi)部控制設(shè)計是否有效，執(zhí)行是否符合要求，而向有關(guān)人員詢問情況的方法，包括口頭詢問和書面詢問，并對詢問結(jié)果進行分析、判斷。（）檢查：指抽取內(nèi)部控制生成的記錄和文件，檢查內(nèi)部控制是否有效實施的方法。如通過檢查借款審批單上的有關(guān)負責人簽字，核實資金支付是否經(jīng)過恰當?shù)氖跈?quán)審批。（）穿行測試：指選取某一交易樣本，從該交易開始啟動到授權(quán)、

7、記錄和處置，并經(jīng)過信息處理系統(tǒng)，最終反映在財務(wù)報表的整個過程進行追蹤、測試。通過穿行測試，可以有助于審計人員對內(nèi)部控制進一步詳細了解，并有助于判斷內(nèi)控設(shè)計和執(zhí)行的缺陷。（五）初步評價在了解了足夠的內(nèi)部控制信息后，審計人員通過檢查所設(shè)計的控制程序在良好運行條件下，能否達到目標來評價控制設(shè)計的有效性。當某項控制的設(shè)計或運行不能使管理層或員工在正常行使其職責過程中及時防止或發(fā)現(xiàn)錯報時，表明存在某項內(nèi)部控制缺陷。設(shè)計缺陷包括以下兩種情形：（）為達到實現(xiàn)控制目標的必要控制措施未實施；（）現(xiàn)有控制的設(shè)計不適當，以至于盡管控制按照設(shè)計運行，但控制的目標經(jīng)常不能實現(xiàn)。審計人員對控制的評價結(jié)論可能是：（）控制設(shè)

8、計合理，并得到執(zhí)行；（）控制設(shè)計合理，未得到執(zhí)行；（）控制設(shè)計無效或缺乏必要的控制。（六）示例由于企業(yè)的規(guī)模和復(fù)雜程度及控制的性質(zhì)各不相同，對內(nèi)部控制的了解也存在差異。本文列示了對大中型企業(yè)內(nèi)部控制的了解。（）對整體層面內(nèi)部控制的了解。對整體層面內(nèi)部控制的了解主要針對控制環(huán)境、風(fēng)險評估、與財務(wù)報告相關(guān)的信息系統(tǒng)與溝通以及監(jiān)督四個要素進行，這些要素在企業(yè)的較高層面運行，通常與企業(yè)的所有交易均相關(guān)。在具體實施時，審計人員要分析每個控制要素的具體內(nèi)容，針對各自的影響因素，確定相應(yīng)的控制目標，并根據(jù)不同的控制目標，了解和記錄被審計單位采取的相關(guān)控制措施，進而判斷控制設(shè)計是否合理。表列示了實務(wù)中對“控制

9、環(huán)境”要素的了解和評價。（）對業(yè)務(wù)流程層面內(nèi)部控制的了解。與其他控制要素不同，控制活動均在業(yè)務(wù)層面上進行，一般只針對數(shù)量大或風(fēng)險高的交易類別及某些特定賬戶余額和審計目標，其關(guān)系到特定的經(jīng)營過程和相關(guān)交易及賬戶，因而比運轉(zhuǎn)在較高層面、較為概括的控制更加直接地影響企業(yè)的財務(wù)報告目標。實務(wù)中通常首先針對各循環(huán)的控制目標，將常用的控制活動與被審計單位的控制活動進行比較，并評價控制活動對實現(xiàn)控制目標是否有效。其次，進行穿行測試，以確定控制是否得到執(zhí)行。表列示了對銷售和收款循環(huán)中控制活動的了解和評價。三、實施控制測試（一）控制測試的含義與目的控制測試指測試控制運行的有效性。運行有效性是指如何運用一項控制，

10、其是否在本期自始至終處于運行狀態(tài)，以及什么人負責其運行。作為進一步審計程序的類型之一，控制測試并非在任何情況下都需要實施。審計人員實施控制測試是基于以下兩個目的：一是出于成本效益的考慮。在評估認定層次重大錯報風(fēng)險時，如果預(yù)期控制的運行是有效的，那么與該控制有關(guān)的財務(wù)報表認定發(fā)生錯報的可能性就不會很大，審計人員就可以減少相應(yīng)的實質(zhì)性程序。二是為了獲取另一類的審計證據(jù)。當僅實施實質(zhì)性程序獲取的審計證據(jù)無法將認定層次重大錯報風(fēng)險降低至可接受的低水平時，審計人員應(yīng)當實施控制測試，以獲取控制運行有效性的證據(jù)。（二）控制測試的確定實務(wù)中控制測試的具體運用包括兩種情形：一是了解內(nèi)部控制同時執(zhí)行控制測試；二是

11、為降低控制風(fēng)險的評估水平而執(zhí)行額外的控制測試。審計人員究竟決定怎樣進行測試以及測試哪些控制，主要依據(jù)對控制風(fēng)險的初步評估。評估的控制風(fēng)險水平越低，就越需要有關(guān)控制有效運行的證據(jù)。（）了解內(nèi)部控制同時執(zhí)行控制測試。如果將控制風(fēng)險初步評估為低于最大值，但不是低水平，那么審計人員就會將控制測試限制在企業(yè)層面的控制和業(yè)務(wù)層面的監(jiān)督控制上。而大多數(shù)業(yè)務(wù)中，審計人員通過了解內(nèi)部控制時執(zhí)行的程序，能夠取得某些企業(yè)層面控制有效運行的證據(jù)，來支持控制風(fēng)險低于最大值的評估結(jié)論，因此，就不需要執(zhí)行進一步的控制測試。在了解控制的同時所執(zhí)行的控制測試通常不是針對控制活動進行的，因此不能提供充足的證據(jù)來支持控制風(fēng)險為低水

12、平的評估結(jié)論。（）執(zhí)行額外的控制測試。為了將控制風(fēng)險評估為低水平，審計人員可能會需要進行額外的控制測試。額外的控制測試是針對控制活動進行的。因為控制活動是應(yīng)用在更低、更詳細的層次上，而且相對于控制的其他組成部分來說，控制活動對特定審計目標和交易循環(huán)中賬戶余額有更直接的影響，因此，控制活動的測試對支持低水平的控制風(fēng)險評估來說是必不可少的。但是測試控制活動通常比測試其他組成部分的控制，需要投入更多的審計精力，因此，除非審計人員已經(jīng)確定可以取得證據(jù)，來支持賬戶余額或交易類別的完整性、準確性以及存在性或發(fā)生性這三個目標的控制風(fēng)險評估為低水平，而且證據(jù)的取得方式是有效率的，否則通常不會測試控制活動。在滿

13、足以上要求的情況下，審計人員就能省略或大大削減上述目標相關(guān)的實質(zhì)性測試。（三）控制測試的程序?qū)徲嬋藛T在進行控制測試時使用的技術(shù)方法、執(zhí)行測試的時間及測試數(shù)量，取決于對支持具體控制風(fēng)險評估結(jié)果的必要證據(jù)的判斷。審計人員在做這些決定時，應(yīng)該考慮證據(jù)的來源、證據(jù)的及時性以及其他相關(guān)證據(jù)是否存在。（）控制測試技術(shù)方法。進行控制測試時，可以使用的技術(shù)方法有詢問、觀察、檢查文件和記錄以及重新執(zhí)行。除了重新執(zhí)行，其他用來進行控制測試的方法和那些用于了解控制的方法完全一樣。可見，為評價控制設(shè)計和確定控制是否得到執(zhí)行而實施的某些風(fēng)險評估程序并非專為控制測試而設(shè)計，但可能提供有關(guān)控制運行有效性的審計證據(jù)。通常基于

14、觀察、詢問和檢查文件記錄而進行的測試，能夠提供足夠的證據(jù)，來證明相關(guān)控制的運行是有效的。只有當詢問、觀察和檢查程序結(jié)合在一起仍無法獲得充分的證據(jù)時，審計人員才考慮通過重新執(zhí)行來證實控制是否有效運行。（）控制測試范圍?？刂茰y試中應(yīng)用的程序應(yīng)該足夠廣泛，以支持對控制風(fēng)險的評估。如審計人員詢問銷售經(jīng)理，如何審核和調(diào)查毛利率異常的報告，如果僅僅詢問銷售經(jīng)理是否對差異做了調(diào)查，是不充分的。通常還應(yīng)該詢問：報告是怎樣審核；是否每個報告都經(jīng)過審核；如何調(diào)查報告上的項目；哪些問題導(dǎo)致出現(xiàn)這些異常情況等。（）證據(jù)的時效性。如果在控制測試中使用觀察技術(shù)，審計人員應(yīng)該考慮到，從測試中獲取的證據(jù)僅僅與觀察發(fā)生的時點相

15、關(guān)。該證據(jù)不足以評價在非測試期間控制的有效性。在這種情況下審計人員會決定執(zhí)行其他的控制測試，來獲得控制在整個審計期間運行有效的證據(jù)。如審計人員會在某個時點觀察存貨的盤點，并檢查其他時間段內(nèi)用于記錄存貨盤點的文件。（）控制的持續(xù)運行。在評估控制測試是否支持計劃的實質(zhì)性控制范圍時，審計人員需要確定相關(guān)控制在本期內(nèi)是否持續(xù)運行。由于手工控制和計算機控制的特點不同，其控制風(fēng)險也存在差異。手工應(yīng)用的控制更容易發(fā)生隨機失敗。當評估這些控制時，審計人員應(yīng)取得證據(jù)，證明其被用于不同的時間和地點。當然這些測試不需要很廣泛。在某些情況下，對監(jiān)督控制的測試，能夠提供手工執(zhí)行控制持續(xù)運行的有效證據(jù)。而且，獲取有關(guān)持續(xù)

16、運行的證據(jù)，并不必總是將測試拓展至整個期間。如某項控制包括審核和追蹤異常報告，那么只要特定要求得到了遵守，如報告了“已收到但沒有出具發(fā)票的貨物”，就表明該項控制是連續(xù)的。對于計算機控制，如果已經(jīng)進行了測試，并且發(fā)現(xiàn)其運行有效，那么就提供了程序化的會計和控制流程在整個期間內(nèi)持續(xù)運行的證據(jù)。（四）控制測試結(jié)果的評估審計人員應(yīng)從以下幾個方面評估控制測試的結(jié)果：（）計劃的控制風(fēng)險估計水平是否已經(jīng)達到。如果審計人員發(fā)現(xiàn)某個審計目標重大錯報風(fēng)險比預(yù)期的高，就必須考慮需要從實質(zhì)性測試中取得的保證。（）考慮出現(xiàn)偏離或缺陷的原因。如果控制測試揭露以前描述過的控制中出現(xiàn)了偏離或缺陷，審計人員應(yīng)該考慮出現(xiàn)的原因，是

17、有意還是無意。有意的偏差或缺陷可能意味著存在欺詐行為，審計人員要考慮其對管理層和員工的正值性和其他審計內(nèi)容的影響。如果是無意的偏差或缺陷，審計人員應(yīng)考慮如何修改實質(zhì)性測試計劃的內(nèi)容。（）綜合考慮控制的所有組成部分。不同的控制組成部分，通過不同的方式對內(nèi)部控制起作用。只有企業(yè)層面的內(nèi)部控制組成部分有效，內(nèi)部控制的整體才有效。如果審計人員推斷整個企業(yè)的內(nèi)部控制是有效的，那么內(nèi)部控制的其他低層次方面被越權(quán)或忽略以及出現(xiàn)錯報的風(fēng)險也會比較低。這個結(jié)論能幫助審計人員確定其他審計程序的性質(zhì)、時間和范圍。（五）示例實務(wù)中，應(yīng)針對不同的控制目標及被審計單位的控制活動，考慮控制執(zhí)行的頻率，采取相應(yīng)的程序獲取證據(jù)，以評價控制活動是否有效，是否支持控制風(fēng)險的評估水平。表列示了對控制活動進行的測試和評價。四、存在問題及對策（一）內(nèi)部控制評價缺乏標準我國現(xiàn)實條件下并不存在具有普遍指導(dǎo)意義的內(nèi)部控制標準規(guī)范，尚未形成完整的內(nèi)部控制整體框架。現(xiàn)實中，至少存在包括證監(jiān)會、財政部、人民銀行、證券交易所等部門或主管單位發(fā)布的關(guān)于內(nèi)部控制標準的規(guī)范文件。上述各規(guī)范中關(guān)于“內(nèi)部控制”的定義不盡相同，企業(yè)選擇的內(nèi)部控制標準就存在差異。這將導(dǎo)致審計人員對內(nèi)部控制評價的困擾，進而影響內(nèi)部控制評價的合理性。（二）企業(yè)對內(nèi)部控制的認識存在偏差實