企业内部控制审计工作底稿编制指南（2011）-测试控制的有效性

第一节 内部控制的有效性的涵义

内部控制的有效性包括内部控制设计的有效性和内部控制运行的有效性。

注册会计师应当测试控制设计的有效性。如果某项控制由拥有有效执行控制所需的授权和专业胜任能力的人员按规定的程序和要求执行，能够实现控制目标，从而有效地防止或发现并纠正可能导致财务报表发生重大错报的错误或舞弊，则表明该项控制的设计是有效的。

注册会计师还应当测试控制运行的有效性。如果某项控制正在按照设计运行、执行人员拥有有效执行控制所需的授权和专业胜任能力，能够实现控制目标，则表明该项控制的运行是有效的。

如果被审计单位利用第三方的帮助完成一些财务报告工作，注册会计师在评价负责财务报告及相关控制的人员的专业胜任能力时，可以一并考虑第三方的专业胜任能力。

注册会计师获取的有关控制运行有效性的审计证据包括：

（1）控制在所审计期间的相关时点是如何运行的；

（2）控制是否得到一贯执行；

（3）控制由谁或以何种方式执行。

第二节 与控制相关的风险

在测试所选定控制的有效性时，注册会计师应当根据与控制相关的风险，确定所需获取的审计证据。

与控制相关的风险包括一项控制可能无效的风险，以及如果该控制无效，可能导致重大缺陷的风险。与控制相关的风险越高，注册会计师需要获取的审计证据就越多。

下列因素影响与某项控制相关的风险：

（1）该项控制拟防止或发现并纠正的错报的性质和重要程度；

（2）相关账户、列报及其认定的固有风险；

（3）交易的数量和性质是否发生变化，进而可能对该项控制设计或运行的有效性产生不利影响；

（4）相关账户或列报是否曾经出现错报；

（5）企业层面控制（特别是监督其他控制的控制）的有效性；

（6）该项控制的性质及其执行频率；

（7）该项控制对其他控制（如控制环境或信息技术一般控制）有效性的依赖程度；

（8）执行该项控制或监督该项控制执行的人员的专业胜任能力，以及其中的关键人员是否发生变化；

（9）该项控制是人工控制还是自动化控制；

（10）该项控制的复杂程度，以及在运行过程中依赖判断的程度。

在连续审计中，影响与控制相关的风险的因素除上述因素外，还包括：

（1）以前审计所执行的审计程序的性质、时间安排和范围；

（2）以前审计控制测试的结果；

（3）自上次审计以来控制或流程是否发生变化。

第三节 测试控制有效性的程序的性质

测试控制有效性的审计程序的类型包括询问、观察、检查和重新执行。以下分别对四种审计程序类型予以说明：

一、询问

询问，是指注册会计师以书面或口头方式，向被审计单位内部或外部的知情人员获取信息，并对答复进行评价的过程。作为对其他审计程序的补充，询问广泛应用于整个审计过程中。

注册会计师通过与被审计单位有关人员进行讨论获取与内部控制相关的信息。在讨论中注册会计师要注意保持职业怀疑态度。但是，仅实施询问程序不能为某一特定控制的有效性提供充分、适当的证据。注册会计师通常需要获取其他信息以印证询问所取得的信息，这些其他信息包括被审计单位其他人员的佐证，控制执行时所使用的报告、手册或其他文件等。虽然询问是一种有用的手段，但是它必须和其他测试手段结合使用才能发挥作用。

二、观察

观察，是指注册会计师察看相关人员正在从事的活动或实施的程序。 观察是测试运行不留下书面记录的控制的有效方法。例如，对于与职责分离相关的控制，注册会计师需要获得第一手证据，不仅通过询问取得关于责任分工的信息，而且通过实地观察，证实责任分工控制是按规定执行的。 观察也可运用于测试对实物的控制，例如，查看仓库门是否锁好，或空白支票是否妥保管。通常情况下，注册会汁师通过观察直接获取的证据比间接获取的证据更可靠。 观察可以提供执行有关过程或程序的审计证据，但观察所提供的审计证据仅限于观察发生的时点，而且被观察人员的行为可能因受到观察而受到影响，这也会使观察提供的审计证据受到限制。例如，注册会计师可以通过观察处理现金收款的过程以对现金收款的控制进行测试，但是由于观察只针对某一时点，因此注册会计师需要结合运用询问以及检查相关的文件，以获得更多对于某一段时期内控制运行有效性的证据。

三、检查

检查是指注册会计师对被审计单位内部或外部生成的，以纸质、电子或其他介质形式存在的记录和文件进行审查，或对资产进行实物审查。 检查通常用于确认控制是否得以执行。例如，对偏差报告进行调查与跟进这一控制，负责调查和跟进的人员在偏差报告中添加的书面说明、管理人员审核时留下的记号，或其他标记都可以作为控制得到执行的证据。注册会计师需要检查显示控制得以执行的、可以合理预期其存在的证据。缺乏证据可能表示控制没有按规定运行，注册会计师需要执行进一步程序以确定事实上是否存在有效的控制。 检查记录和文件可以提供可靠程度不同的审计证据，审计证据的可靠性取决于记录或文件的性质和来源，在检查内部记录和文件时，其可靠性取决于生成该记录或文件的内部控制的有效性。例如，被审计单位通过定期复核账龄分析表应对应收账款计价认定错报，如果账龄分析表不准确或不完整，就会影响控制的有效性。 在有些情况下，存在书面证据不一定表明控制一定有效。例如，凭证审核是一种常见的控制，但是看到签名不一定能证明审核人员认真审核了凭证，审核人员可能只粗略浏览凭证，甚至未审核而直接签名。因此通过检查凭证签名获得的审计证据的质量可能不具有说服力。

四、重新执行

重新执行是指注册会计师独立执行原本作为被审计单位内部控制组成部分的程序或控制。

通常只有当综合运用询问、观察和检查证据仍无法获得充分、适当证据时，注册会计师才考虑通过重新执行以证实控制是否有效运行。重新执行的目的是评价控制的有效性而不是测试特定交易或余额的存在或准确性，因此一般不必选取大量的项目，也不必特意选取金额重大的项目进行测试。

以下举例说明检查和重新执行这两种测试程序的差异：

例一：测试财务主管审核银行余额调节表这一控制时，根据测试目的，注册会计师可以检查银行余额调节表是否存在，浏览调节事项是否得到适当处理，以及检查调节表上是否有编制者和审批者的签字。如果需要更多的审计证据，如发现调节表上有非正常项目时，可以考虑重新执行调节过程以确定控制是否有效。重新执行通常包括重新执行审核者实施的步骤，如将调节表上的金额与相关支持性文件进行核对，查看与jF正常调节项目相关的支持性文件及对有关调节事项做进一步调查等。如果注册会计师认为银行余额调节表编制不当但审核者仍然签名，就需要跟进了解为什么在这种情况下审核者仍然认可调节表，以便决定这种审核是否有效。

例二：测试新客户信用审批这一控制时，如果注册会计师选择检查程序，就会查看申请文件以证实授信是否得到适当人员的批准。如果注册会计师选择重新执行该控制，就需要审核客户有关资料，评价客户是否符合授信标准，并检查批准程序是否按规定执行。如果发现一个不符合授信政策的项目，注册会计师需要采取跟进措施，确定该审批控制是否有效。

对一些简单、常规的控制，在穿行测试中实施询问、观察或检查程序可能对于测试该控制的运行有效性而言已经足够。注册会计师不需要机械地认为对所有的关键控制都需要通过重新执行进行测试，而是要根据与控制相关的风险，适当调整控制测试的性质。

以下举例说明各种测试程序在控制测试中的综合运用。

例三：每月手工调节控制

注册会计师在审计xYZ公司的财务报告内部控制时，确定应收账款是一个重要账户。通过与被审计单位人员进行讨论和查阅文件记录，注册会计师了解到被审计单位人员每月将应收账款明细账与总账进行调节。为确定是否能及时发现应收账款的错报（存在、计价和完整性），注册会计师决定对每月调节程序中存在的控制进行测试。注册会计师根据应收账款明细账户的数量，选取应收账款调节表若干样本，对调节控制进行测试。注册会计师决定在十月份实施测试调节控制的程序。控制测试的对象总体是1月份到9月份的调节控制。

在测试调节控制时，注册会计师：

（1）向实施该控制的被审计单位人员询问。注册会计师向执行调节流程的人员提出了若干问题，这些问题包括：

·是否有文件记录描述账户调节流程；

·从事这项工作多长时间；

·处理调节项目的过程；

-·有关人员对调节表进行正式复核和签署的频率；

·向谁报告调节过程中发现的重大问题；

·每月平均有多少个调节项目；

·如何处理长期存在的调节项目；

·如何在信息系统中对调节项目作出更正（如有需要）；

·调节项目的～般性质。

（2）观察和检查控制的执行。注册会计师观察被审计单位人员实施调节的过程。对于非经常性的调节项目，注册会计师检查调节表是否针对每个项目的性质、采取的解决措施以及该项目是否得到及时解决作出了清晰的说明。

（3）重新执行该控制。最后，注册会计师检查调节表并重新执行调节程序。对于5月份和9月份的调节表，注册会计师以抽查的形式将调节项目与原始文件进行核对。这些调节表中包括的调节项目只有前一天放人保险箱但尚未记入客户账户的现金。注册会计师继续追查这些项目，确定这些调节项已在下一个工作日得到处理。

例四：每日手工预防性控制

注册会计师在审计xYz公司的财务报告内部控制时，确定银行存款和应付账款是重要账户。通过与被审计单位人员讨论，注册会计师了解到被审计单位人员只有在将发票与订购单信息核对一致后，才会村款。为确定是否能及时地预防银行存款（存在）和应付账款（存在、计价和完整性）中存在的错报，注册会计师对“将发票与订购单信息核对一致后再付款”这一控制实施了测试。

注册会计师从1月至9月的银行支付明细账中随机选取了25笔付款记录。在本例中，注册会计师的测试对象是被审计单位员工对常规的支付交易所执行的手工控制，因此注册会计师认为测试25笔付款交易是适当的。而且，注册会计师根据较早实施的企业层面控制测试的结果，预期该控制不会出现错误。（如果发现了一个控制偏差，注册会计师应当分析出现偏差的根本原因，并追加测试项目。如果发现了第二个控制偏差，注册会计师即认定该控制是无效的，需要在财务报表审计中增加对银行存款和应付账款实施的实质性程序的范围。）

（1）在取得相关凭证后，注册会计师检查发票上是否有负责应付账款的财务人员的签字，证明其执行了核对控制。但是，在凭证上签字并一定说明工作人员在签字前认真复核了相关信息。财务人员可能只是草草复核或根本没有复核凭证就签字。

（2）注册会计师认为签字不足以证明该控制在测试期间内有效运行。为了获取更多的证据，注册会计师重新执行了与签字相关的核对控制，包括检查发票以确定发票信息与订购单信息一致，且发票金额的计算是准确的。

例五：承例四

注册会计师还粗略地浏览了包含本年度所有调节表的文件夹，发现调节表均已及时完成。为了解被审计单位从年中至年末的剩余期间里有没有对调节控制程序作出重大变更，注册会计师向被审计单位人员询问，确定这些程序在剩余期间内未发生变化。因此，注册会计师通过浏览月度账户调节表证实控制在剩余期间得到及时执行，从而验证控制在剩余期间仍然有效。

根据注册会计师实施的程序，注册会计师认为截至本年末，该调节控制是有效的。

例六：承例四

由于注册会计师在期中已实施控制测试，因此注册会计师通过询问应付账款财务人员该控制是否仍然存在并有效运行，将该测试前推至年末（从10月份至12月份）。注册会计师通过对12月份的一笔交易实施穿行测试，证实了询问所获得的信息。

根据实施的程序，注册会计师认为截至本年末，“将发票与订购单信息核对一致后再付款”这一控制是有效的。

第四节 控制测试的时间安排

对控制有效性的测试涵盖的期间越长，提供的控制有效性的审计证据越多。对于内部控制审计业务，注册会计师应当获取内部控制在基准日之前一段足够长的期间内有效运行的审计证据。在整合审计中，注册会计师控制测试所涵盖的期间应尽量与财务报表审计中拟信赖内部控制的期间保持一致。

对控制有效性测试的实施时间越接近基准日，提供的控制有效性的审计证据越有力。为了获取充分、适当的审计证据，注册会计师应当在下列两个因素之间作出平衡，以确定测试的时间：

（1）尽量在接近基准日实施测试；

（2）实施的测试需要涵盖足够长的期间。

一、期中测试的两种方法

在整合审计中测试控制在整个会计年度的运行有效性时，注册会计师可以按照《企业内部控制审计指引实施意见》第三部分“关于实施审计工作”提供的样本规模表进行期中测试，然后对剩余期间实施前推测试（参见本节“第四部分”），或将样本分成两部分，一部分在期中测试，剩余部分在临近年末的期间测试。如果认为所选取的样本规模足以满足内部控制审计的目的，上述第二种测试方法可能是更为有效的审计方法，接近年末测试的样本越多，可以为财务报表审计和内部控制审计提供越多的审计证据。 与所测试的控制相关的风险越低，注册会计师需要对该控制获取的审计证据就越少，可能对该控制实施期中测试就可以为其运行有效性提供充分、适当的审计证据。相应的，如果与所测试的控制相关的风险越高，需要获取的证据就越多，注册会计师应当取得一部分更接近基准日的证据。

二、是否测试被取代的控制

如果被审计单位为了提高控制效果和效率或整改控制缺陷而对控制作出改变，注册会计师应当考虑这些变化并适当予以记录。如果认为新的控制能够满足控制的相关目标，而且新控制已运行足够长的时间，足以使注册会计师通过实施控制测试评估其设计和运行的有效性，则注册会计师不再需要测试被取代的控制的设计和运行有效性。但是如果被取代的控制的运行有效性对注册会计师执行财务报表审计时的控制风险评估具有重要影响，注册会计师应当适当地测试这些被取代的控制的设计和运行的有效性。

三、以前审计中获得的有关控制运行有效性的审计证据

对于财务报表审计，根据《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》第十四条的规定，注册会计师可以利用在以前审计中获得的有关控制运行有效性的审计证据，但应当通过获取这些控制在以前审计后是否发生重大变化的审计证据，确定以前审计获取的审计证据是否与本期审计持续相关。对于内部控制审计，除了《企业内部控制审计指引实施意见》第四部分提及的与基准相比较的策略除外，注册会计师不能利用在以前审计中获得的有关控制运行有效性的审计证据，而是需要每年获取关于控制有效性的审计证据。

四、期中测试和前推程序

注册会计师执行内部控制审计业务旨在对基准日内部控制有效性出具报告。如果已获取有关控制在期中运行有效性的审计证据，注册会计师应当确定还需要获取哪些补充审计证据，以证实剩余期间控制的运行情况。在将期中测试结果前推至基准日时，注册会计师应当考虑下列因素以确定需要获取的补充审计证据：

（1）基准日之前测试的特定控制，包括与控制相关的风险、控制的性质和测试的结果；

（2）期中获取的有关审计证据的充分性和适当性；

（3）剩余期间的长短；

（4）期中测试之后，内部控制发生重大变化的可能性；

（5）注册会计师基于对控制的依赖程度拟减少进一步实质性程序的程度（仅适用于整合审计）；

（6）控制环境。

注册会计师应当确定针对期中测试过的控制在l临近基准日的期间内运行情况需要获得哪些补充证据。根据控制风险的不同，注册会计师可以通过询问或其他程序获得补充证据。例如，扩大样本对控制在剩余期间的运行有效性进行测试，或测试被审计单位对控制的监控。

在很多情况下，由于注册会计师在期中对控制实施了充分的测试，因此仅需实施询问程序或综合运用询问和观察程序就可以对该控制是否继续有效运行提供充分的证据，尤其是那些风险不高的控制。

但是，与控制相关的风险越高，期中测试的时间与基准日间隔越久，注册会计师就剩余期间控制运行的有效性获取证据而实施的程序越可能不限于询问，还要包括观察、检查，甚至重新执行。

在这种情况下，对每个控制，测试剩余期间的控制的一次或几次运行情况通常就足够了。但如果由于自期中控制测试之后流程发生了涉及重要控制或重要风险的重大变化，导致注册会计师认为与控制相关的风险很高，从而决定针对控制在剩余期间的运行有效性获得重新执行程序能够提供的保证程度，注册会计师实施重新执行程序时应执行《企业内部控制审计指引实施意见》规定的最低样本规模。

在整合审计中，注册会计师一般会考虑利用他人的工作获得有关期中测试过的控制在剩余期间持续有效运行的证据。注册会计师通常能够在对期中测试的控制未发生重大变化和将期中测试结果前推到基准日的取证中利用他人的工作。

在整合审计中，从实质性程序中获得的审计证据也可能为控制在剩余期间的有效运行提供间接证据。实质性程序中发现的偏差可能说明控制在剩余期间未能有效运行。注册会计师应当考虑实施实质性程序发现的错报对评价相关控制运行有效性的影响。

五、针对信息技术一般控制（ITGCs）和自动化控制的前推程序

自动化控制一旦被证明运行有效，通常不会发生运行不一贯的情况，前提是存在适当且持续有效的信息技术一般控制。如果信息技术一般控制有效且关键的自动化控制未发生任何变化，注册会计师不需要对该自动化控制实施前推测试。但是，如果注册会计师在期中对重要的信息技术一般控制实施了测试，则通常还需要对其实施前推测试。

如果注册会计师认为一个或一个以上重要的信息技术一般控制无效，注册会计师需要评估其对总体信息技术环境以及对任何依赖这些信息技术一般控制的自动化控制的持续有效性的影响。如果重要的信息技术一般控制无效，且无法获得其他替代证据以证实关键的自动化控制自其上次被测试后未发生变化，注册会计师在执行内部控制审计时，通常需要获取有关该自动化控制在接近基准日的期间内是否有效运行的证据。在确定拟实施的前推测试的性质、时间安排和范围时，注册会计师需要运用职业判断。根据对控制相关风险的评估结果，通过实施询问和观察程序有可能为依赖信息技术一般控制的关键自动化控制的持续有效运行提供充分的证据。在执行整合审计时，注册会计师需要评估对于财务报表审计，在信息技术一般控制无效的期间内是否可以依赖这些自动化控制。

六、集团内部控制审计中实施前推程序的考虑

有些集团设立了对某些流程或交易进行集中化处理的共享服务中心，这些服务中心对交易处理采取流水线作业（风险较低）。注册会计师选取实施控制测试的样本会涉及多个组成部分，在考虑是否实地访问样本所涉及的组成部分时，注册会计师需要作出职业判断。在这种环境下，组成部分层面的关键控制通常是常规性的，注册会计师可以通过电话询问的方式向相关的组成部分管理层了解有关常规控制在期中测试之后的情况，无需实地访问组成部分。如果对风险较高的控制进行前推测试，或对常规控制实施询问以外的程序以验证询问结果，注册会计师可以考虑要求被审计单位将相关支持性文件记录报送给注册会计师，而无须实地考察。

如果是在控制非同质化的环境下（风险较高），即交易处理发生在组成部分层面，注册会计师就需要实施询问以外的程序，因此相当一部分的前推测试可能需要在组成部分的现场实施。

以下举例说明在整合审计中如何将期中控制测试的结果前推到基准日：

例七：x公司的销售采用客户上门提货的方式，因此通常产品出库即实现销售。注册会计师对x公司（基准日为12月31日）截至9月30日止应收账款流程中的关键控制实施了测试，并对10月31日的应收账款余额实施了细节测试。在实施年末审计程序时，注册会计师考虑是否需要对期中测试结果实施前推程序。考虑到自实施期中测试之后到基准日（即剩余期间）之间的间隔长度，以及在制定财务报表审计计划时拟对这些控制取得较高程度的保证，注册会计师决定实施一定的前推测试。注册会计师制定的前推测试计划如下：

控制一：应收账款会计每天将分类账中的收款记录与在线银行收款记录进行核对，并调查所有超过某一金额的差异。应收账款会计负责该控制在全年度内的执行，并且注册会计师期中控制测试时未发现控制偏差。该控制并不复杂，执行时不需要作出重大判断。因此，注册会计师认为向应收账款会计询问该控制是否得到一贯执行以及在9月30日至12月31日期间是否出现任何异常现象，就可以为该控制是否持续有效运行提供充分的证据。

控制二：每月末财务总监取得该月最后三天的产品出库报告，将其与当月入账的应收账款明细进行核对，以确保应收账款余额的完整性和存在。尽管该控制并不复杂，但每月最后一周的产品出库量占全月出库量的比例很大。此外，通过将当月入账的应收账款与出库记录进行比较，财务总监可以监控是否存在故意错报应收账款的行为。考虑到该控制具有多重目的以及运行无效所导致的后果较严重，注册会计师决定向财务总监和应收账款会计进行询问，并对财务总监执行该复核控制实施数次观察。

控制三：每月末财务总监、首席财务官和客户信用经理复核应收账款账龄分析表并共同决定是否需要对长期未收款的应收账款余额计提坏账准备。在此过程中他们利用了多方面的信息，包括客户以往付款记录以及与客户之间的沟通文件、账龄一年以上和两年以上的应收账款小计金额占应收账款总金额的比例，以及本年度迄今为止的坏账核销金额与坏账准备的比较。该控制虽然并不复杂，但是具有较高的主观性且对资产负债表和利润表均具有潜在的重大影响。由于该控制涉及管理层估计，因此还存在潜在的舞弊风险。考虑到这些因素，注册会计师决定检查关于该控制在基准日之前运行情况的证据，包括上述人员共同讨论的记录和与客户沟通的记录。

内部控制是否持续有效运行，会影响注册会计师如何将期中实质性程序的结果延伸至期末。如果在实施期中控制测试和上述控制前推程序中没有发现任何控制缺陷，注册会计师在制定计划以对10月31日己实施函证程序的应收账款实施前推程序时，可以对控制给予高度的信赖（即获得高度保证）。在这种情况下，注册会计师可能决定将10月31日的应收账款余额前推至12月31日，并对该期间的收款金额进行非常有限的测试（实质性分析程序或选取大额或高风险项目进行细节测试）。反之，如果控制存在缺陷，则注册会计师可能决定对剩余期间的交易金额实施大量细节测试，甚至对12月31日的应收账款余额再次实施函证程序。

第五节 控制测试的范围

注册会计师在测试控制的运行有效性时，应当在考虑与控制相关的风险的基础上，确定测试的范围（样本规模）。注册会计师确定的测试范围，应当足以使其能够获取充分、适当的审计证据，为基准日内部控制是否不存在重大缺陷提供合理保证。

一、测试人工控制的最小样本规模

在测试人工控制时，如果采用检查或重新执行程序，注册会计师测试的最小样本规模区间参见表3-1。

表3-1 测试人工控制的最小样本规模区间

在运用表3-1时，注册会计师应当注意下列事项：

（1）测试的最小样本规模是指所需测试的控制运行次数；

（2）注册会计师应当根据与控制相关的风险，基于最小样本规模区间确定具体的样本规模；

（3）表3-1假设控制的运行偏差率预期为零。如果预期偏差率不为零，注册会计师应当扩大样本规模；

（4）如果注册会计师不能确定控制运行的频率，但是知道控制运行的总次数，仍可根据“控制运行的总次数”一列确定测试的最小样本规模。

在下列情况下，注册会计师可以使用表3-1中测试的最小样本规模区间的最低值（例如，对于每天运行多次的控制，选择25个样本规模）：

（1）与账户及其认定相关的固有风险和舞弊风险为低水平；

（2）是日常控制，执行时需要很少判断；

（3）实施穿行测试得出的结论和以前年度审计的结果表明未发现控制缺陷；

（4）管理层针对该项控制的测试结果表明未发现控制缺陷；

（5）存在有效的补偿性控制，且管理层针对补偿性控制的测试结果为运行有效；

（6）根据对控制的性质以及内部审计人员客观性和胜任能力的考虑，注册会计师拟更多地利用他人的工作。

在作出使用表3-1中测试的最小样本规模区间最低值的判断时，上述条件无需全部具备。

例如：某公司存在一项每月运行1次的控制，如某一员工对50个银行账户每月编制银行余额调节表。第一步，计算控制每年运行的总次数，即12×50=600（次）；第二步，根据总次数选择表3-1中对应的部分，应为大于250次，每天多次，样本规模应为25～60个。

如果由多个人员执行同一控制，应当分别确定总体，针对每个人员确定样本规模。如果由两个人执行600次控制，样本规模应为25个，即应针对每个人测试25次，一共50个样本。

在确定控制运行的总次数时，还要注意拟测试的控制是否是同质的，能否作为一个总体。在本例中，如果由统一的财务主管复核每个人编制的银行余额调节表，通过了解和评价财务主管的复核控制，可以保证经复核的控制是同质的，则可以将两个人执行的控制作为一个总体。

二、测试自动化应用控制的最小样本规模

信息技术处理具有内在一贯性，除非系统（包括系统使用的表格、文档或其他永久性数据）发生变动，一项自动化应用控制应当一贯运行。对于一项自动化应用控制，一旦确定被审计单位正在执行该控制，注册会计师通常无须扩大控制测试的范围，但需要考虑执行下列测试以确定该控制持续有效运行：

（1）测试与该应用控制有关的一般控制的运行有效性；

（2）确定系统是否发生变动，如果发生变动，是否存在适当的系统变动控制；

（3）确定对交易的处理是否使用授权批准的软件版本。

例如，注册会计师可以检查信息系统安全控制记录，以确定是否存在未经授权的接触系统硬件和软件，以及系统是否发生变动。

在信息技术一般控制有效的前提下，除非系统发生变动，注册会计师只要对自动化应用控制的运行测试一次，即可得出所测试自动化应用控制是否运行有效的结论。

如果无法采用系统查询的方法，注册会计师或专家可以考虑采用其他的测试方法，例如在系统中提交测试数据并与实际数据结果或根据业务规则预期将得到的数据相对比等方法。

除非系统发生变动，注册会计师通常不需要增加自动化控制的测试范围。

三、发现偏差时的处理

如果发现控制偏差，注册会计师应当确定对下列事项的影响：

（1）与所测试控制相关的风险的评估；

（2）需要获取的审计证据；

（3）控制运行有效性的结论。

评价控制偏差的影响需要注册会计师运用职业判断，并受到控制的性质和所发现偏差数量的影响。如果发现的控制偏差是系统性偏差或人为有意造成的偏差，注册会计师应当考虑是否存在舞弊的迹象以及对审计方案的影响。

在评价控制测试中所发现的某项控制偏差是否为控制缺陷时，注册会计师可以考虑的因素包括：

（1）该偏差是如何被发现的。例如，如果某控制偏差是被另外一项控制所发现的，则可能意味着被审计单位存在有效的检查性控制。

（2）该偏差是与某一特定的地点、流程或应用系统相关，还是对被审计单位有广泛影响。

（3）就被审计单位的内部政策而言，该控制出现偏差的严重程度。例如，某项控制在执行上晚于被审计单位政策要求的时间，但仍在编制财务报表之前得以执行，还是该项控制根本没有得以执行。

（4）与控制运行频率相比，偏差发生的频率大小。

由于有效的内部控制不能为实现控制目标提供绝对保证，单项控制并非一定要毫无偏差地运行，才被认为有效。在按照表3-1所列示的样本规模进行测试的情况下，如果发现控制偏差，注册会计师应当考虑偏差的原因及性质，并考虑采用扩大样本规模等适当的应对措施以判断该偏差是否对总体不具有代表性。例如，对每日发生多次的控制，如果初始样本规模为25个，当测试发现一项控制偏差，且该偏差不是系统性偏差时，注册会计师可以扩大样本规模进行测试，所增加的样本规模至少为15个。如果测试后再次发现偏差，则注册会计师可以得出该控制无效的结论。如果扩大样本规模没有再次发现偏差，则注册会计师可以得出控制有效的结论。