5.重新执行。通常只有当询问、观察和检查程序结合在一起仍无法获得充分的证据时,审计人员才考虑通过重新执行来证实控制是否有效运行。例如,为了合理保证计价认定的准确性,被审计单位的一项控制是由复核人员核对销售发票上的价格与统一价格单上的价格是否一致。但是,要检查复核人员有没有认真执行核对,仅仅检查复核人员是否在相关文件上签字是不够的,审计人员还需要自己选取一部分销售发票进行核对,这就是重新执行程序。但是,如果需要进行大量的重新执行,审计人员就要考虑通过实施控制测试以缩小实质性程序的范围是否有效率。
询问本身并不足以证实控制运行的有效性,审计人员应当将询问与其他审计程序结合使用,以获取有关控制运行有效性的审计证据。观察提供的证据仅限于观察发生的时点,本身也不足以证实控制运行的有效性;将询问与检查或重新执行结合使用,通常能够比仅实施询问和观察获取更高的保证。例如,被审计单位针对处理收到的邮政汇款单设计和执行了相关的内部控制,审计人员通过询问和观察程序往往不足以测试此类控制的运行有效性,还需要检查能够证明此类控制在所审计期间的其他时段有效运行的文件和凭证,以获取充分、适当的审计证据。
(二)确定控制测试的性质
1.考虑特定控制的性质
审计人员应当根据特定控制的性质选择所需实施审计程序的类型。例如,某些控制可能存在反映控制运行有效性的文件记录,在这种情况下,审计人员可以检查这些文件记录以获取控制运行有效的审计证据;某些控制可能不存在文件记录(如一项自动化的控制活动),或文件记录与能否证实控制运行有效性不相关,审计人员应当考虑实施检查以外的其他审计程序(如询问和观察)或借助计算机辅助审计技术,以获取有关控制运行有效性的审计证据。
2.考虑测试与认定直接相关和间接相关的控制
在设计控制测试时,审计人员不仅应当考虑与认定直接相关的控制,还应当考虑这些控制所依赖的与认定间接相关的控制,以获取支持控制运行有效性的审计证据。例如,被审计单位可能针对超出信用额度的例外赊销交易设置报告和审核制度(与认定直接相关的控制);在测试该项制度的运行有效性时,审计人员不仅应当考虑审核的有效性,还应当考虑与例外赊销报告中信息准确性有关的控制(与认定间接相关的控制)是否有效运行。
3.自动化应用控制的控制测试
对于一项自动化的应用控制,由于信息技术处理过程的内在一贯性,审计人员可以利用该项控制得以执行的审计证据和信息技术一般控制(特别是对系统变动的控制)运行有效性的审计证据,作为支持该项控制在相关期间运行有效性的重要审计证据。
4.实施控制测试对双重目的的实现
控制测试的目的是评价控制是否有效运行;细节测试的目的是发现认定层次的重大错报。尽管两者目的不同,但审计人员可以考虑针对同一交易同时实施控制测试和细节测试,以实现双重目的。例如,审计人员通过检查某笔交易的发票可以确定其是否经过适当的授权,也可以获取关于该交易的金额、发生时间等细节证据。当然,如果拟实施双重目的测试,审计人员应当仔细设计和评价测试程序。
5.实质性程序结论与控制有效性的评价
如果通过实施实质性程序未发现某项认定存在错报,这本身并不能说明与该认定有关的控制是有效运行的;但如果通过实施实质性程序发现某项认定存在错报,审计人员应当在评价相关控制的运行有效性时予以考虑。审计人员应当考虑实施实质性程序发现的错报对评价相关控制运行有效性的影响(如降低对相关控制的信赖程度、调整实质性程序的性质、扩大实质性程序的范围等)。如果实施实质性程序发现存在被审计单位没有识别出的重大错报,通常表明内部控制存在重大缺陷,审计人员应当就这些缺陷与管理层和治理层进行沟通。
三、控制测试的时间
(一)控制测试的时间的含义
控制测试的时间包含两层含义:一是何时实施控制测试;二是测试所针对的控制适用的时点或期间。审计人员应当根据控制测试的目的确定控制测试的时间,并确定拟信赖的相关控制的时点或期间。如果仅需要测试控制在特定时点的运行有效性(如对被审计单位期末存货盘点进行控制测试),审计人员只需要获取该时点的审计证据。如果需要获取控制在某一期间有效运行的审计证据,仅获取与时点相关的审计证据是不充分的,审计人员应当辅以其他控制测试,即获取相关控制在所有相关时点都运行有效的审计证据;包括测试被审计单位对相关控制在所有相关时点是否都有效运行的监督。
(二)对期中审计证据的考虑
审计人员可能在期中实施进一步审计程序。对于控制测试,审计人员在期中实施此类程序具有更积极的作用。但即使审计人员已获取有关控制在期中运行有效性的审计证据,仍然需要考虑如何能够将控制在期中运行有效性的审计证据合理延伸至期末。如果已获取有关控制在期中运行有效性的审计证据,并拟利用该证据,审计人员应当实施下列审计程序:(1)获取这些控制在剩余期间变化情况的审计证据;(2)确定针对剩余期间还需获取的补充审计证据。
(三)对以前审计获取的审计证据的考虑
1.拟信赖以前审计获取的审计证据
如果拟信赖以前审计获取的有关控制运行有效性的审计证据,审计人员应当通过实施询问并结合观察或检查程序,获取这些控制是否已经发生变化的审计证据。例如,在以前审计中,审计人员可能确定被审计单位某项自动控制能够发挥预期作用。那么在本期审计中,审计人员需要获取审计证据以确定是否发生了影响该自动控制持续有效发挥作用的变化。
如果控制在本期发生变化,审计人员应当考虑以前审计获取的有关控制运行有效性的审计证据是否与本期审计相关。例如,如果系统的变化仅仅使被审计单位从中获取新的报告,这种变化通常不影响以前审计所获取证据的相关性;如果系统的变化引起数据累积或计算发生改变,这种变化可能影响以前审计所获取证据的相关性。如果拟信赖的控制自上次测试后已发生变化,审计人员应当在本期审计中测试这些控制运行的有效性。
如果拟信赖的控制自上次测试后未发生变化,且不属于旨在减轻特别风险的控制,审计人员应当运用职业判断确定是否在本期审计中测试其运行有效性,以及本次测试与上次测试的时间间隔,但两次测试的时间间隔不得超过两年。
在确定利用以前审计获取的有关控制运行有效性的审计证据是否适当以及再次测试控制的时间间隔时,审计人员应当考虑的因素包括:
(1)内部控制其他要素的有效性,包括控制环境、对控制的监督以及被审计单位的风险评估过程。例如,当被审计单位控制环境薄弱或对控制的监督薄弱时,审计人员应当缩短再次测试控制的时间间隔或完全不信赖以前审计获取的审计证据。
(2)控制特征(人工控制还是自动化控制)产生的风险。当相关控制中人工控制的成分较大时,考虑到人工控制一般稳定性较差,审计人员可能决定在本期审计中继续测试该控制的运行有效性。
(3)信息技术一般控制的有效性。当信息技术一般控制薄弱时,审计人员可能更少地依赖以前审计获取的审计证据。
(4)控制设计及其运行的有效性,包括在以前审计中测试控制运行有效性时发现的控制运行偏差的性质和程度。例如,当所审计期间发生了对控制运行产生重大影响的人事变动时,审计人员可能决定在本期审计中不依赖以前审计获取的审计证据。
(5)由于环境发生变化而特定控制缺乏相应变化导致的风险。当环境的变化表明需要对控制作出相应的变动、但控制却没有作出相应变动时,审计人员应当充分意识到控制不再有效、从而导致本期财务报表发生重大错报的可能性,此时不应再依赖以前审计获取的有关控制运行有效性的审计证据。
(6)重大错报的风险和对控制的拟信赖程度。如果重大错报风险较大或对控制的拟信赖程度较高,审计人员应当缩短再次测试控制的时间间隔或完全不信赖以前审计获取的审计证据。
如果拟信赖以前审计获取的某些控制运行有效性的审计证据,审计人员应当在每次审计时从中选取足够数量的控制,测试其运行有效性;不应将所有拟信赖控制的测试集中于某一次审计,而在之后的两次审计中不进行任何测试。这主要是为了尽量降低审计风险,因为审计人员可能难以充分识别以前审计中测试过的控制在本期是否发生变化。此外,在每一次审计中选取足够数量的部分控制进行测试,除了能够提供这些以前审计中测试过的控制在当期运行有效性的审计证据外,还可提供控制环境持续有效性的旁证,从而有助于审计人员判断其信赖以前审计获取的审计证据是否恰当。
2.不得依赖以前审计所获取证据的情形
由于特别风险的特殊性,对于旨在减轻特别风险的控制,不论该控制在本期是否发生变化,审计人员都不应依赖以前审计获取的证据。如果确定评估的认定层次重大错报风险是特别风险,并拟信赖旨在减轻特别风险的控制,审计人员不应依赖以前审计获取的审计证据,而应在本期审计中测试这些控制运行的有效性。也就是说,如果审计人员拟信赖针对特别风险的控制,那么所有关于该控制运行有效性的审计证据必须来自当年的控制测试。相应地,审计人员应当在每次审计中都测试这类控制。
四、控制测试的范围
控制测试的范围是指某项控制活动的测试次数。审计人员应当设计控制测试,以获取控制在整个拟信赖的期间有效运行的充分、适当的审计证据。
(一)控制测试范围的确定
在确定控制测试范围时,审计人员通常应当考虑以下因素:
1.执行控制的频率
在整个拟信赖的期间,被审计单位执行控制的频率率越高,控制测试的范围越大。
2.拟信赖控制运行有效性的时间长度
在所审计期间,审计人员拟信赖控制运行有效性的时间长度不同,在该时间长度内发生的控制活动次数也不同。拟信赖期间越长,控制测试的范围越大。
3.审计证据的相关性和可靠性
为证实控制能够防止或发现并纠正认定层次重大错报,对所需获取审计证据的相关性和可靠性要求越高,控制测试的范围越大。
4.通过测试与认定相关的其他控制获取的审计证据的范围
针对同一认定,可能存在不同的控制。当针对其他控制获取审计证据的充分性和适当性较高时,测试该控制的范围可适当缩小。
5.在风险评估时拟信赖控制运行有效性的程度
审计人员在风险评估时对控制运行有效性的拟信赖程度越高,需要实施控制测试的范围越大。
6.控制的预期偏差。预期偏差可以用控制未得到执行的预期次数占控制应当得到执行次数的比率加以衡量(也可称作预期偏差率)。考虑该因素,是因为在考虑测试结果是否可以得出控制运行有效性的结论时,不可能只要出现任何控制执行偏差就认定控制运行无效,所以需要确定一个合理水平的预期偏差率。控制的预期偏差率越高,需要实施控制测试的范围越大。如果控制的预期偏差率过高,审计人员应当考虑控制可能不足以将认定层次的重大错报风险降至可接受的低水平,从而针对某一认定实施的控制测试可能是无效的。
(二)对自动化控制的测试范围的特别考虑
除非系统(包括系统使用的表格、文档或其他永久性数据)发生变动,审计人员通常不需要增加自动化控制的测试范围。
信息技术处理具有内在一贯性,除非系统发生变动,一项自动化应用控制应当一贯运行。对于一项自动化应用控制,一旦确定被审计单位正在执行该控制,审计人员通常无需扩大控制测试的范围,但需要考虑执行下列测试以确定该控制持续有效运行:(1)测试与该应用控制有关的一般控制的运行有效性;(2)确定系统是否发生更改,如果发生更改,是否存在适当的系统更改控制;(3)确定对交易的处理是否使用授权批准的软件版本。例如,审计人员可以检查信息系统安全控制记录,以确定是否存在未经授权的接触系统硬件和软件,以及系统是否发生变动。
第五节实质性程序
一、实质性程序的内涵和要求
(一)实质性程序的含义
实质性程序是指审计人员针对评估的重大错报风险实施的直接用以发现认定层次重大错报的审计程序。审计人员应当针对评估的重大错报风险设计和实施实质性程序,以发现认定层次的重大错报。实质性程序包括对各类交易、账户余额、列报的细节测试以及实质性分析程序。
由于审计人员对重大错报风险的评估是一种判断,可能无法充分识别所有的重大错报风险,并且由于内部控制存在固有局限性,无论评估的重大错报风险结果如何,审计人员都应当针对所有重大的各类交易、账户余额、列报实施实质性程序。