三、测试控制有效性的程序的性质★★

　　测试控制有效性的审计程序类型包括询问、观察、检查和重新执行。

　　四、控制测试的时间安排★★

　　对于内部控制审计业务，注册会计师应当获取内部控制在基准日之前一段足够长的期间内有效运行的审计证据。

　　在整合审计中，控制测试所涵盖的期间应尽量与财务报表审计中拟信赖内部控制的期间保持一致。对控制有效性测试的实施时间越接近基准日，提供的控制有效性的审计证据越有力。

　　为了获取充分、适当的审计证据，注册会计师应当在下列两个因素之间作出平衡，以确定测试的时间：

　　（1）尽量在接近基准日实施测试；

　　（2）实施的测试需要涵盖足够长的期间。

　　整改后的内部控制需要在基准日之前运行足够长的时间，注册会计师才能得出整改后的内部控制是否有效的结论。因此，在接受或保持内部控制审计业务时，注册会计师应当尽早与被审计单位沟通这一情况，并合理安排控制测试的时间，留出提前量。

　　此外，由于对企业层面控制的评价结果将影响注册会计师测试其他控制的性质、时间安排和范围，注册会计师可以考虑在执行业务的早期阶段对企业层面控制进行测试。

　　在整合审计中测试控制在整个会计年度的运行有效性时，注册会计师可以按照既定的样本规模进行期中测试， 然后对剩余期间实施前推测试，或将样本分成两部分，一部分在期中测试，剩余部分在临近年末的期间测试。

　　注意：

　　第一，与所测试的控制相关的风险越低，注册会计师需要对该控制获取的审计证据就越少，可能对该控制实施期中测试就可以为其运行有效性提供充分、适当的审计证据。

　　第二，如果与所测试的控制相关的风险越高，需要获取的证据就越多，注册会计师应当取得一部分更接近基准日的证据。

　　第三，如果被审计单位为了提高控制效果和效率或整改控制缺陷而对控制作出改变，注册会计师应当考虑这些变化并适当予以记录。如果注册会计师认为新的控制能够满足控制的相关目标，而且新控制已运行足够长的时间，足以使注册会计师通过实施控制测试评估其设计和运行的有效性，则注册会计师不再需要测试被取代的控制的设计和运行有效性。

　　第四，对于内部控制审计，除考虑对自动应用控制实施和与基准相比较的策略外，注册会计师不能利用以前审计中获取的有关控制运行有效性的审计证据，而是需要每年获取有关控制有效性的审计证据。

　　第五，注册会计师执行内部控制审计业务旨在对基准日内部控制有效性出具报告。如果已经获取有关控制在期中运行有效性的审计证据，注册会计师应当确定还需要获取哪些补充审计证据，以证实剩余期间控制的运行情况。在将期中测试结果前推至基准日时，注册会计师应考虑相关因素以确定需获取的补充审计证据。

　　第六，如果信息技术一般控制有效且关键的自动化控制未发生任何变化，注册会计师就不需要对该自动化控制实施前推测试。

　　第七，如果重要的信息技术一般控制无效，且无法获得其他替代证据以证实关键的自动控制自其上次被测试后未发生变化，注册会计师在执行内部控制审计时，通常就需要获取有关该自动控制在接近基准日的期间内是否有效运行的证据。

　　第八，教材案例

二、与控制相关的风险★★

　　在测试所选定控制的有效性时，注册会计师应当根据与控制相关的风险，确定所需获取的审计证据。

　　与控制相关的风险包括一项控制可能无效的风险，以及如果该控制无效，可能导致重大缺陷的风险。

　　与控制相关的风险越高，注册会计师需要获取的审计证据就越多。

【知识点】测试控制的有效性

　　一、内部控制的有效性★★

　　内部控制的有效性包括内部控制设计的有效性和内部控制运行的有效性。

　　注册会计师获取的有关控制运行有效性的审计证据包括：

　　（1）控制在所审计期间的相关时点是如何运行的；

　　（2）控制是否得到一贯执行；

　　（3）控制由谁或以何种方式执行。

　四、选择拟测试的控制★★★

　　（一）基本要求

　　注册会计师应当针对每一相关认定获取控制有效性的审计证据，以便对内部控制整体的有效性发表意见，但没有责任对单项控制的有效性发表意见。

　　注册会计师应当对被审计单位的控制是否足以应对评估的每个相关认定的错报风险形成结论。因此，注册会计师应当选择对形成这一评价结论具有重要影响的控制进行测试。

　　对特定的相关认定而言，可能有多项控制用以应对评估的错报风险；反之，一项控制也可能应对评估的多项相关认定的错报风险。注册会计师没有必要测试与某项相关认定有关的所有控制。

　　在确定是否测试某项控制时，注册会计师应当考虑该项控制单独或连同其他控制，是否足以应对评估的某项相关认定的错报风险，而不论该项控制的分类和名称如何。

　　（二）选择拟测试的控制的考虑因素

　　注册会计师在选取拟测试的控制时，通常不会选取整个流程中的所有控制，而是选择关键控制，即能够为一个或多个重要账户或列报的一个或多个相关认定提供最有效果或者最有效率的证据的控制。

　　每个重要账户、认定和/ 或重大错报风险至少应有一个对应的关键控制。

　　在选择关键控制时，注册会计师要考虑：

　　（1）哪些控制是不可缺少的？

　　（2）哪些控制直接针对相关认定？

　　（3）哪些控制可以应对错误或者舞弊导致的重大错报风险？

　　（4）控制的运行是否足够精确？

　　注意：

　　第一，注册会计师无须测试那些即使有缺陷也合理预期不会导致财务报表重大错报的控制。

　　第二，如果识别并选取了能够充分应对重大错报风险的控制，则不需要再测试针对同样认定的其他控制。

　　第三，注册会计师在考虑是否有必要测试业务流程、应用系统或交易层面的控制之前，首先要考虑测试那些与重要账户的认定相关的企业层面控制的有效性。

　　如果企业层面控制是有效的且得到精确执行，能够及时防止或发现并纠正影响一个或多个认定的重大错报，注册会计师可能不必就所有流程、交易或应用层面的控制的运行有效性获取审计证据。

　　第四，对于与所有重要账户和列报相关的所有相关认定，注册会计师都需要取得关于控制设计和运行是否有效的证据。如果存在多个控制均应对相关认定的重大错报风险，注册会计师通常会选择那个（些）能够以最有效的方式予以测试的控制。

　　第五，企业管理层在执行内部控制自我评价时选择测试的控制，可能多于注册会计师认为为了评价内部控制的有效性有必要测试的控制。管理层的这种决定并不影响注册会计师的控制测试决策，注册会计师只需要测试那些对形成内部控制审计意见有重大影响的控制。

三、了解潜在错报的来源并识别相应的控制★★★

　　（一）了解潜在错报的来源

　　注册会计师应当实现下列目标，以进一步了解潜在错报的来源，并为选择拟测试的控制奠定基础：

　　（1）了解与相关认定有关的交易的处理流程，包括这些交易如何生成、批准 、处理及记录；

　　（2）验证注册会计师识别出的业务流程中可能发生重大错报（包括由于舞弊导致的错报）的环节；

　　（3）识别被审计单位用于应对这些错报或潜在错报的控制；

　　（4）识别被审计单位用于及时防止或发现并纠正未经授权的、导致重大错报的资产取得、使用或处置的控制。

　　注意：注册会计师应当亲自执行能够实现上述目标的程序，或对提供直接帮助的人员的工作进行督导。

　　（二）实施穿行测试

　　1.穿行测试的含义和要求

　　穿行测试通常是实现上述目标和评价控制设计的有效性及确定控制是否得到执行的有效方法。

　　穿行测试是指追踪某笔交易从发生到最终被反映在财务报表中的整个处理过程。

　　在下列情况下，注册会计师通常会实施穿行测试：

　　（1）存在较高固有风险的复杂领域；

　　（2）以前年度审计中识别出的缺陷（需考虑缺陷的严重程度）；

　　（3）由于引入新的人员、新的系统、收购和采取新的会计政策而导致流程发生重大变化。

　　注意：

　　第一，如注册会计师首次接受委托执行内部控制审计，通常预期会对重要流程实施穿行测试。

　　第二，穿行测试涵盖交易生成、授权、记录、处理和报告整个过程，以及识别出的重要流程中的控制，包括针对舞弊风险的控制。

　　第三，一般来说，对每个重要流程，选取一笔交易或事项实施穿行测试即可。

　　第四，如果被审计单位采用集中化的系统为多个组成部分执行重要流程，则可能不必在每个重要的经营场所或者业务单位选取一笔交易或事项实施穿行测试。

　　2.穿行测试的性质及实施

　　注册会计师在实施穿行测试时，通常需要综合运用询问、观察、检查相关文件记录。

　　在实施穿行测试时，针对重要处理程序发生的环节，注册会计师可以询问相关人员对既定程序和控制规定的了解，并确定相关人员是否根据其设计的原意及时执行这些处理程序或控制。注册会计师应当关注那些不符合既定程序和控制规定的例外事项。

　　注册会计师需要使用与被审计单位人员使用的相同的文件和信息技术对业务流程实施穿行测试，并向参与该流程或控制重要方面的相关人员进行询问。注册会计师可能需要通过不止一次的访谈，询问参与该流程中重要程序和控制的人员。

二、识别重要账户、列报及其相关认定★★★

　　注册会计师应当基于财务报表层次识别重要账户、列报及其相关认定。

　　在识别重要账户、列报及其相关认定时，注册会计师需要从定性和定量两个方面作出评价，包括考虑舞弊的影响。

　　1.超过财务报表整体重要性的账户，无论是在内部控制审计还是财务报表审计中，通常情况下被认定为重要账户。

　　注意：

　　一个账户或列报，即使从性质方面考虑与之相关的风险较小，其金额超过财务报表整体重要性越多，该账户或列报被认定为重要账户或列报的可能性就越大。但是，一个账户或列报的金额超过财务报表整体重要性，并不必然表明其属于重要账户或列报，注册会计师还需要考虑定性的因素。

　　2.从性质上说，注册会计师可能因为某账户或者列报受固有风险或舞弊风险的影响而将其确定为重要账户或列报，因为即使该账户或列报从金额上看并不重大，但这些固有风险或者舞弊风险很有可能导致重大错报。

　　3.在识别重要账户、列报及其相关认定时，注册会计师不仅需要在重要账户或列报层面考虑风险，还需要深入账户或列报的明细项目，如果某账户或列报的各明细项目存在的风险差异较大，被审计单位可能需要采用不同的控制以应对这些风险，注册会计师应当分别予以考虑。

　　注意：

　　第一，在识别重要账户、列报及其相关认定时，注册会计师应当依据其固有风险，而不应考虑控制的影响，因为内部控制审计的目标本身就是评价控制的有效性。

　　第二，以前年度审计中识别的错报会影响注册会计师对某账户、列报及其相关认定固有风险的评估。

　　第三，在内部控制审计中，注册会计师在识别重要账户、列报及其相关认定时应当评价的风险因素，与财务报表审计中考虑的因素相同。因此，在这两种审计中识别的重要账户、列报及其相关认定应当相同。

二、识别重要账户、列报及其相关认定★★★

　　注册会计师应当基于财务报表层次识别重要账户、列报及其相关认定。

　　在识别重要账户、列报及其相关认定时，注册会计师需要从定性和定量两个方面作出评价，包括考虑舞弊的影响。

　　1.超过财务报表整体重要性的账户，无论是在内部控制审计还是财务报表审计中，通常情况下被认定为重要账户。

　　注意：

　　一个账户或列报，即使从性质方面考虑与之相关的风险较小，其金额超过财务报表整体重要性越多，该账户或列报被认定为重要账户或列报的可能性就越大。但是，一个账户或列报的金额超过财务报表整体重要性，并不必然表明其属于重要账户或列报，注册会计师还需要考虑定性的因素。

　　2.从性质上说，注册会计师可能因为某账户或者列报受固有风险或舞弊风险的影响而将其确定为重要账户或列报，因为即使该账户或列报从金额上看并不重大，但这些固有风险或者舞弊风险很有可能导致重大错报。

　　3.在识别重要账户、列报及其相关认定时，注册会计师不仅需要在重要账户或列报层面考虑风险，还需要深入账户或列报的明细项目，如果某账户或列报的各明细项目存在的风险差异较大，被审计单位可能需要采用不同的控制以应对这些风险，注册会计师应当分别予以考虑。

　　注意：

　　第一，在识别重要账户、列报及其相关认定时，注册会计师应当依据其固有风险，而不应考虑控制的影响，因为内部控制审计的目标本身就是评价控制的有效性。

　　第二，以前年度审计中识别的错报会影响注册会计师对某账户、列报及其相关认定固有风险的评估。

　　第三，在内部控制审计中，注册会计师在识别重要账户、列报及其相关认定时应当评价的风险因素，与财务报表审计中考虑的因素相同。因此，在这两种审计中识别的重要账户、列报及其相关认定应当相同。

　一、识别、了解和测试企业层面控制★★

　　（一）企业层面控制的内涵

　　企业的内部控制分为企业层面控制和业务流程、应用系统或交易层面的控制两个层面。

　　企业层面的控制通常为应对企业财务报表整体层面的风险而设计，或作为其他控制运行的“基础设施”，通常在比业务流程更高的层面上乃至整个企业范围内运行，其作用较为广泛，通常不局限于某个具体认定。

　　（二）企业层面控制对其他控制及其测试的影响

　　不同的企业层面控制在性质和精确度上存在差异，注册会计师应当从下列方面考虑这些差异对其他控制及其测试的影响：

　　1.某些企业层面控制，如与控制环境相关的控制，对及时防止或发现并纠正相关认定的错报的可能性有重要影响。虽然这种影响是间接的，但这些控制仍然可能影响注册会计师拟测试的其他控制，以及测试程序的性质、时间安排和范围。

　　2.某些企业层面控制能够监督其他控制的有效性。管理层设计这些控制可能是为了识别其他控制可能出现的失效情况。但这些控制本身并非精确到足以及时防止或发现相关认定的重大错报。当这些控制运行有效时，注册会计师可能可以修改原本拟对其他控制的有效性进行的测试程序。

　　3.某些企业层面控制本身能精确到足以及时防止或发现一个或多个相关认定中存在的重大错报。如果一项企业层面控制足以应对已评估的重大错报风险，注册会计师可能可以不必测试与该风险相关的其他控制。

　　一般而言，注册会计师可以分析某个控制是否有足够的精确度及时防止或发现财务报表重大错报，并且考虑以下因素：

　　（1）内部控制对应的重要账户及其列报的性质；

　　（2）对某些比较稳定或具备预期内在关系的账户，管理层实施的分析对发现财务报表重大错报具有足够的精确度；

　　（3）管理层分析的细化程度。

　　一般而言，一个更精确的企业层面控制可能会对账户按照产品、地区作更细化的分析，并且会与其他资料作出比较分析，以确定财务报表相关认定的准确性。

　　结论：

　　正是由于企业层面控制的上述作用，注册会计师应当识别、了解和测试对内部控制有效性结论有重要影响的企业层面控制。

　　注册会计师对企业层面控制的评价，可能会增加或减少本应对其他控制所进行的测试。

　　由于对企业层面控制的评价结果将影响注册会计师测试其他控制的性质、时间安排及范围，所以注册会计师可以考虑在执行业务的早期阶段对企业层面控制进行测试。

　　在完成对企业层面控制的测试后，注册会计师可以根据测试结果评价被审计单位的企业层面控制是否有效，并计划需要测试的其他控制及对其他控制所执行程序的性质、时间和范围。

三、对应对舞弊风险的考虑

　　在识别和测试企业层面控制以及选择其他控制进行测试时，注册会计师应评价被审计单位的内部控制是否足以应对识别出的、由于舞弊导致的重大错报风险，并评价为应对管理层和治理层凌驾于控制之上的风险而设计的控制。

　二、总体审计策略和具体审计计划★

　　内部控制审计计划分为总体审计策略和具体审计计划两个层次。

　　总体审计策略用以总结计划阶段的成果，确定审计的范围、时间和方向，并指导具体审计计划的制定。

　　具体审计计划比总体审计策略更加详细，内容包括项目组成员拟实施的审计程序的性质 、时间安排和范围。

　【知识点】计划审计工作

　　注册会计师应当恰当地计划内部控制审计工作，配备具有专业胜任能力的项目组，并对助理人员进行适当的督导。

　　一、计划审计工作时应考虑的事项★

　　在计划审计工作时，注册会计师应当评价下列事项对财务报告内部控制、财务报表及审计工作的影响。

　　（一）与企业相关的风险

　　了解企业面临的风险能帮助识别重大错报风险，继而帮助注册会计师识别重要账户、重要列报和相关认定以及识别重大业务流程，对内部控制审计的重大风险形成初步评价。

　　（二）相关法律法规和行业概况

　　注册会计师一般重点关注可能直接影响财务报表金额与披露的法律法规，如税法、高度监管行业的监管法规等。

　　（三）企业组织结构、经营特点和资本结构等相关重要事项

　　注册会计师了解企业的这些情况，以便评价企业是否存在重大的、可能引起财务报表重大错报的非常规业务和关联交易，是否构成财务报表重大错报风险，以及相关的内部控制是否可能存在重大缺陷。

　　（四）企业内部控制最近发生变化的程度

　　企业内部控制的变化（比如新增业务流程、原有业务流程变更、内部控制执行人变更）将会直接影响注册会计师确定的内部控制审计程序的性质、时间安排和范围。因此，注册会计师需了解被审计单位本期内部控制发生的变化及变化的程度以确定是否需相应调整审计计划。

　　（五）与企业沟通过的内部控制缺陷

　　如以前年度发现的内部控制缺陷未得到有效整改，则注册会计师需评价这些缺陷对当期的内部控制审计意见的影响。

　　（六）重要性、风险等与确定内部控制重大缺陷相关的因素

　　注册会计师更多关注内部控制审计的高风险领域。

　　（七）对内部控制有效性的初步判断

　　对于内部控制可能存在重大缺陷的领域，注册会计师应给予充分的关注。

　　（八）可获取的、与内部控制有效性相关的证据的类型和范围

　　注册会计师需了解可获取的、与内部控制有效性相关的证据的类型和范围。

2.审计过程的整合

　　■都以财务报表重大错报风险评估为起点；

　　■确定的重要性水平相同；

　　■确定的重要账户、列报及其相关认定应当相同；

　　■内部控制了解和测试工作的整合。

　　3.审计结果的相互参考

　　（1）在内部控制审计中，注册会计师在对内部控制有效性形成结论时，应当同时考虑财务报表审计中实施的、所有针对控制设计和运行有效性测试的结果。

　　在财务报表审计中，注册会计师在评估控制风险时，应当同时考虑内部控制审计中实施的、所有针对控制设计和运行有效性测试的结果。

　　（2）如果对财务报告内部控制发表了否定意见，注册会计师应当确定该意见对财务报表审计意见的影响。

　　如果对财务报表发表了否定意见，注册会计师应当确定该意见对财务报告内部控制审计意见的影响。

　　（3）在内部控制审计中，注册会计师应当评价财务报表审计中实施的实质性程序的结果对控制有效性结论的影响。

　　如果在内部控制审计中识别出某项控制缺陷，注册会计师应当评价该项缺陷对财务报表审计中拟实施的实质性程序的性质、时间和范围的影响。

　　4.整合作用的极限

　　注册会计师应当通过直接测试控制获取控制是否有效的证据，而不能根据实质性程序没有发现错报，推断该项控制的有效性。

　　在财务报表审计中，无论控制风险或重大错报风险的评估水平如何，注册会计师都应当针对所有重大的各类交易、账户余额及列报实施实质性程序。为对内部控制的有效性发表意见而实施的测试程序并不减轻注册会计师遵守上述规定的责任。

　　注意：

　　内部控制审计的思路和方法

　　第一，审计思路——风险导向审计

　　以财务报告内部控制重大缺陷风险的识别、评估和应对作为审计工作主线，在风险评估的基础上，将审计资源投放在高风险领域，以提高审计效率和效果。

　　第二，方法——自上而下的审计方法

六、整合审计

　　内部控制审计和财务报表审计的目标不同。在整合审计中，注册会计师应当计划和实施对控制设计和运行有效性的测试，以同时实现下列目标：

　　（1）获取充分、适当的证据，支持其在内部控制审计中对内部控制的有效性发表的意见；

　　（2）获取充分、适当的证据，支持其在财务报表审计中对内部控制的风险评估结果。

　五、内部控制审计与财务报表审计的区别★★

　　1.了解和测试内部控制的目的不同

　　2.测试范围要求不同

　　3.测试时间安排不同

　　4.控制缺陷评价不同

　　5.沟通控制缺陷不同

　　6.审计报告的形式和内容及意见类型不同

　　教材表20-1

　　注意：

　　两者的联系：

　　■均采用风险导向审计模式

　　■均需识别重点账户、重要类别的交易等重点审计领域；

　　■了解和测试内部控制的方法相同等

四、内部控制审计基准日★★

　　内部控制审计基准日，是指注册会计师评价内部控制在某一时日是否有效所涉及的基准日，也是被审计单位评价基准日，即最近一个会计期间截止日。

　　注意：

　　注册会计师应当获取内部控制在基准日之前一段足够长的期间内有效运行的审计证据。

　　在整合审计中，控制测试所涵盖的期间应当尽量与财务报表审计中拟信赖内部控制的期间保持一致。

三、内部控制审计的概念和范围★★

　　内部控制审计，是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。

　　审计意见覆盖的范围是：

　　针对财务报告内部控制，注册会计师对其有效性发表审计意见；针对非财务报告内部控制，注册会计师针对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。

【知识点】内部控制审计概述

　　一、内部控制的概念和目标★

　　二、财务报告内部控制★★

　　1.财务报告内部控制概念

　　财务报告内部控制，是指公司的董事会、监事会、经理层及全体员工实施的旨在合理保证财务报告及相关信息真实、完整而设计和运行的内部控制，以及用于保护资产安全的内部控制中与财务报告可靠性目标相关的控制。

　　财务报告内部控制以外的其他内部控制，属于非财务报告内部控制。

　　2.财务报告内部控制的内容

　　（1）保存充分、适当的记录，准确、公允地反映企业的交易和事项。

　　（2）合理保证按照适用的财务报告编制基础的规定编制财务报告。

　　（3）合理保证收入和支出的发生以及资产的取得、使用或处置经过适当授权。

　　（4）合理保证及时防止或发现并纠正未经授权的、对财务报表有重大影响的交易和事项。

　　3.非财务报告内部控制举例

　　《企业内部控制应用指引第8号——资产管理》中的部分非财务报告内部控制

　　企业应当根据各种存货采购间隔期和当前库存，综合考虑企业生产经营计划、市场供求等因素，充分利用信息系统，合理确定存货采购日期和数量，确保存货处于最佳库存状态。

　　企业应当强化对生产线等关键设备运转的监控，严格操作流程，实行岗前培训和岗位许可制度，确保设备安全运转。

　　企业应当根据发展战略，充分利用国家有关自主创新政策，加大技改投入，不断促进固定资产技术升级，淘汰落后设备，切实做到保持本企业固定资产技术的先进性和企业发展的可持续性。

　　注册会计师考虑某项控制是否是财务报告内部控制的关键依据是控制目标，财务报告内部控制是那些与企业的财务报告的可靠性目标相关的内部控制。

　　当然，相当部分的内部控制能够实现多种目标，主要与经营目标或合规性目标相关的控制可能同时也与财务报告可靠性目标相关。因此，不能仅仅因为某一控制与经营目标或合规性目标相关而认定其属于非财务报告内部控制，注册会计师需要根据控制在特定企业环境中的目标、性质及作用，根据职业判断考虑该控制在具体情况下是否属于财务报告内部控制。