现代风险导向审计下内部控制及控制测试运用研究

现代风险导向审计认为，审计风险由两部分组成：财务报表包含重大错报的风险，以及审计人员通过执行实质性测试仍未发现这些错报的风险。对于前一种风险，审计人员无法加以控制只能予以评估，而对后一种风险审计人员可以通过选择和执行实质性测试加以控制。为了将审计风险控制在相同的低水平上，可以对风险评估程序、控制测试和实质性程序采取不同的组合方式，其中某些组合方式将更富有效率和效果。审计人员究竟采用何种组合，取决于其对内部控制“设计和运行有效性”的判断，以及对“控制测试更有效”还是“测试账户余额本身更有效”的判断。

一、内部控制及其在审计中的运用

(一)内部控制标准站在不同的立场或角度，对内部控制的需要和认识不尽相同。出于对不同群体需要的考虑，COSO开发了一个实用的、能够被广泛接受的标准：内部控制――整合框架，将内部控制描述为为了达到3个目标所必需的5个组成部分：控制环境、风险评估过程、信息系统与沟通、控制活动以及对控制的监督。3个目标是：财务报告的可靠性、经营的效率和效果、相关法律法规的遵循。尽管这些目标各不相同，但可能相互交叉。一般而言，很多控制措施可能对应一个以上的目标。只有包含广泛范围的内部控制，才能满足不同的目标，也才能被广泛的接受。

(二)内部控制在审计中的运用现代风险导向审计要求审计人员以重大错报风险的识别、评估和应对为审计工作的主线，提高审计工作的效率和效果。审计人员是在了解被审计单位及其环境(包括内部控制)的过程中识别与评估财务报表层次和认定层次的重大错报风险，并针对不同层次的风险，分别采取总体应对措施和进一步审计程序。其中对内部控制实施的审计程序包括两个步骤：对内部控制的了解和控制测试。前者是必须程序，后者是非必须程序。对内部控制执行的审计程序的性质和范围，取决于审计人员对控制风险水平的判断(如图1所示)。

二、了解内部控制

(一)了解内控的含义对企业内部控制的了解是指，将内部控制与企业的其他信息(如以前年度的经验)一起考虑，来评估控制的设计是否有效。“设计有效性”指的是一项控制单独或连同其他控制是否能够有效防止或发现并纠正重大错报。对内部控制的了解还包括确定企业是否在实际应用这些控制。

(二)了解内控的范围尽管内部控制关系到整个企业以及企业的各个经营单位或业务功能，但审计人员并不必了解与企业的每个经营单位或业务功能相关的内部控制。在评估控制风险时，审计人员最关心的是影响财务报表认定可靠性的控制。即如果某一内部控制程序产出的信息形成财务报告信息或检验财务报告信息，则这一内部控制程序是与财务报告相关的内部控制程序。如用来保护或维护资产免受非授权购买、使用或变卖的控制，通常既能够满足财务报告的目标，又能够满足经营的目标。审计人员在考虑这些控制时，通常局限于与财务报告可靠性相关的控制上。大多数与管理层各种决策过程的效率和效果相关的控制都与审计无关。如限制在企业的生产过程中过度使用原材料的措施，通常与审计无关，审计人员不必在了解内部控制和评估控制风险时予以考虑。

(三)了解内控的要求与财务报告相关的控制，在企业中被应用于各种层面。有些控制要素(如控制环境)在企业的较高层面运行，因此对很多乃至所有账户的余额都有影响。有些控制被应用到一个循环或一个循环中的整个交易类别，影响到相关交易产生的账户余额，而控制活动则在更低、更详细的层面上运行，主要关注交易循环中的单个应用程序，并对特定账户余额和审计目标产生影响。不同控制组成部分，达到财务报表认定或审计目标的效果也不同。较高层面的内部控制是否有效将直接影响重要业务流程层面控制的有效性。因此，要求审计人员从被审计单位整体层面和业务流程层面分别了解被审计单位的内部控制。

(四)了解内控的技术方法审计人员应充分了解内部控制的5个要素，以便针对每个重要交易类别和账户余额进行初步风险评估。实务中常用的技术方法有：(1)观察：指审计人员亲临工作现场，实地观察有关人员的工作情况，以确定控制措施是否有效的方法。(2)询问：指为了解公司内部控制设计是否有效，执行是否符合要求，而向有关人员询问情况的方法，包括口头询问和书面询问，并对询问结果进行分析、判断。(3)检查：指抽取内部控制生成的记录和文件，检查内部控制是否有效实施的方法。如通过检查借款审批单上的有关负责人签字，核实资金支付是否经过恰当的授权审批。(4)穿行测试：指选取某一交易样本，从该交易开始启动到授权、记录和处置，并经过信息处理系统，最终反映在财务报表的整个过程进行追踪、测试。通过穿行测试，可以有助于审计人员对内部控制进一步详细了解，并有助于判断内控设计和执行的缺陷。

(五)初步评价在了解了足够的内部控制信息后，审计人员通过检查所设计的控制程序在良好运行条件下，能否达到目标来评价控制设计的有效性。当某项控制的设计或运行不能使管理层或员工在正常行使其职责过程中及时防止或发现错报时，表明存在某项内部控制缺陷。设计缺陷包括以下两种情形：(1)为达到实现控制目标的必要控制措施未实施；(2)现有控制的设计不适当，以至于尽管控制按照设计运行，但控制的目标经常不能实现。审计人员对控制的评价结论可能是：(1)控制设计合理，并得到执行；(2)控制设计合理，未得到执行；(3)控制设计无效或缺乏必要的控制。

(六)示例由于企业的规模和复杂程度及控制的性质各不相同，对内部控制的了解也存在差异。本文列示了对大中型企业内部控制的了解。

(1)对整体层面内部控制的了解。对整体层面内部控制的了解主要针对控制环境、风险评估、与财务报告相关的信息系统与沟通以及监督四个要素进行，这些要素在企业的较高层面运行，通常与企业的所有交易均相关。在具体实施时，审计人员要分析每个控制要素的具体内容，针对各自的影响因素，确定相应的控制目标，并根据不同的控制目标，了解和记录被审计单位采取的相关控制措施，进而判断控制设计是否合理。表1列示了实务中对“控制环境”要素的了解和评价。

(2)对业务流程层面内部控制的了解。与其他控制要素不同，控制活动均在业务层面上进行，一般只针对数量大或风险高的交易类别及某些特定账户余额和审计目标，其关系到特定的经营过程和相关交易及账户，因而比运转在较高层面、较为概括的控制更加直接地影响企业的财务报告目标。实务中通常首先针对各循环的控制目标，将常用的控制活动与被审计单位的控制活动进行比较，并评价控制活动对实现控制目标是否有效。其次，进行穿行测试，以确定控制是否得到执行。表2列示了对销售和收款循环中控制活动的了解和评价。

三、实施控制测试

(一)控制测试的含义与目的控制测试指测试控制运行的有效性。运行有效性是指如何运用一项控制，其是否在本期自始至终处于运行状态，以及什么人负责其运行。作为进一步审计程序的类

型2_--，控制测试并非在任何情况下都需要实施。审计人员实施控制测试是基于以下两个目的：一是出于成本效益的考虑。在评估认定层次重大错报风险时，如果预期控制的运行是有效的，那么与该控制有关的财务报表认定发生错报的可能性就不会很大，审计人员就可以减少相应的实质性程序。二是为了获取另一类的审计证据。当仅实施实质性程序获取的审计证据无法将认定层次重大错报风险降低至可接受的低水平时，审计人员应当实施控制测试，以获取控制运行有效性的证据。

(二)控制测试的确定实务中控制测试的具体运用包括两种情形：一是了解内部控制同时执行控制测试；二是为降低控制风险的评估水平而执行额外的控制测试。审计人员究竟决定怎样进行测试以及测试哪些控制，主要依据对控制风险的初步评估。评估的控制风险水平越低，就越需要有关控制有效运行的证据。

(1)了解内部控制同时执行控制测试。如果将控制风险初步评估为低于最大值，但不是低水平，那么审计人员就会将控制测试限制在企业层面的控制和业务层面的监督控制上。而大多数业务中，审计人员通过了解内部控制时执行的程序，能够取得某些企业层面控制有效运行的证据，来支持控制风险低于最大值的评估结论，因此，就不需要执行进一步的控制测试。在了解控制的同时所执行的控制测试通常不是针对控制活动进行的，因此不能提供充足的证据来支持控制风险为低水平的评估结论。

(2)执行额外的控制测试。为了将控制风险评估为低水平，审计人员可能会需要进行额外的控制测试。额外的控制测试是针对控制活动进行的。因为控制活动是应用在更低、更详细的层次上，而且相对于控制的其他组成部分来说，控制活动对特定审计目标和交易循环中账户余额有更直接的影响，因此，控制活动的测试对支持低水平的控制风险评估来说是必不可少的。但是测试控制活动通常比测试其他组成部分的控制，需要投入更多的审计精力。因此，除非审计人员已经确定可以取得证据，来支持账户余额或交易类别的完整性、准确性以及存在性或发生性这三个目标的控制风险评估为低水平，而且证据的取得方式是有效率的，否则通常不会测试控制活动。在满足以上要求的情况下，审计人员就能省略或大大削减上述目标相关的实质性测试。

(三)控制测试的程序审计人员在进行控制测试时使用的技术方法、执行测试的时间及测试数量，取决于对支持具体控制风险评估结果的必要证据的判断。审计人员在做这些决定时，应该考虑证据的来源、证据的及时性以及其他相关证据是否存在。

(1)控制测试技术方法。进行控制测试时，可以使用的技术方法有询问、观察、检查文件和记录以及重新执行。除了重新执行，其他用来进行控制测试的方法和那些用于了解控制的方法完全一样。可见，为评价控制设计和确定控制是否得到执行而实施的某些风险评估程序并非专为控制测试而设计，但可能提供有关控制运行有效性的审计证据。通常基于观察、询问和检查文件记录而进行的测试，能够提供足够的证据，来证明相关控制的运行是有效的。只有当询问、观察和检查程序结合在一起仍无法获得充分的证据时，审计人员才考虑通过重新执行来证实控制是否有效运行。

(2)控制测试范围。控制测试中应用的程序应该足够广泛，以支持对控制风险的评估。如审计人员询问销售经理，如何审核和调查毛利率异常的报告，如果仅仅询问销售经理是否对差异做了调查，是不充分的。通常还应该询问：报告是怎样审核；是否每个报告都经过审核；如何调查报告上的项目；哪些问题导致出现这些异常情况等。

(3)证据的时效性。如果在控制测试中使用观察技术，审计人员应该考虑到，从测试中获取的证据仅仅与观察发生的时点相关。该证据不足以评价在非测试期间控制的有效性。在这种情况下审计人员会决定执行其他的控制测试，来获得控制在整个审计期间运行有效的证据。如审计人员会在某个时点观察存货的盘点，并检查其他时间段内用于记录存货盘点的文件。

(4)控制的持续运行。在评估控制测试是否支持计划的实质性控制范围时，审计人员需要确定相关控制在本期内是否持续运行。由于手工控制和计算机控制的特点不同，其控制风险也存在差异。手工应用的控制更容易发生随机失败。当评估这些控制时，审计人员应取得证据，证明其被用于不同的时间和地点。当然这些测试不需要很广泛。在某些情况下，对监督控制的测试，能够提供手工执行控制持续运行的有效证据。而且，获取有关持续运行的证据，并不必总是将测试拓展至整个期间。如某项控制包括审核和追踪异常报告，那么只要特定要求得到了遵守，如报告了“已收到但没有出具发票的货物”，就表明该项控制是连续的。对于计算机控制，如果已经进行了测试，并且发现其运行有效，那么就提供了程序化的会计和控制流程在整个期间内持续运行的证据。

(四)控制测试结果的评估审计人员应从以下几个方面评估控制测试的结果：(1)计划的控制风险估计水平是否已经达到。如果审计人员发现某个审计目标重大错报风险比预期的高，就必须考虑需要从实质性测试中取得的保证。(2)考虑出现偏离或缺陷的原因。如果控制测试揭露以前描述过的控制中出现了偏离或缺陷，审计人员应该考虑出现的原因，是有意还是无意。有意的偏差或缺陷可能意味着存在欺诈行为，审计人员要考虑其对管理层和员工的正值性和其他审计内容的影响。如果是无意的偏差或缺陷，审计人员应考虑如何修改实质性测试计划的内容。(3)综合考虑控制的所有组成部分。不同的控制组成部分，通过不同的方式对内部控制起作用。只有企业层面的内部控制组成部分有效，内部控制的整体才有效。如果审计人员推断整个企业的内部控制是有效的，那么内部控制的其他低层次方面被越权或忽略以及出现错报的风险也会比较低。这个结论能帮助审计人员确定其他审计程序的性质、时间和范围。

(五)示例实务中，应针对不同的控制目标及被审计单位的控制活动，考虑控制执行的频率，采取相应的程序获取证据，以评价控制活动是否有效，是否支持控制风险的评估水平。表3列示了对控制活动进行的测试和评价。

四、存在问题及对策

(一)内部控制评价缺乏标准我国现实条件下并不存在具有普遍指导意义的内部控制标准规范，尚未形成完整的内部控制整体框架。现实中，至少存在包括证监会、财政部、人民银行、证券交易所等部门或主管单位的关于内部控制标准的规范文件。上述各规范中关于“内部控制”的定义不尽相同，企业选择的内部控制标准就存在差异。这将导致审计人员对内部控制评价的困扰，进而影响内部控制评价的合理性。

(二)企业对内部控制的认识存在偏差实践中，有些企业认为内部控制就是根据有关部门及主管单位的要求而制定的各项规章制度，只要制定了相应的制度规定，就已经建立了企业内部控制；也有些企业认为有关的分工体系、审批授权制度，就是内部控制制度；甚至有些企业根本就缺乏应有的内部控制。这种内部控制内容混乱的现象，导致审计人员对内部控制评价缺乏应有的基础。

针对以上问题，笔者认为：首先，应根据我国企业的具体状况，以COSO报告的内容为参考，制定一个统一的、能被广泛接受的内部控制标准。其次，企业应该加强内部控制建设，根据相关法律法规要求，结合自身的特点制定一套较为科学的内部控制制度，从而为审计人员开展内部控制评价提供基础。