注册会计师考试审计辅导讲义第十四章(3)
第三节 控制测试
一、控制测试的含义和要求(教材340)
(一)了解内部控制与控制测试(重点理解和掌握)
1.了解内部控制(教材P298)
(1)注册会计师在了解内部控制时,应当评价控制的设计,并确定其是否得到执行。
(2)评价控制的设计是指考虑一项控制单独或连同其他控制是否能够有效防止或发现并纠正重大错报。
(3)控制得到执行是指某项控制存在且被审计单位正在使用。
(4)设计不当的控制可能表明内部控制存在重大缺陷,注册会计师在确定是否考虑控制得到执行时,应当首先考虑控制的设计。
(5)如果控制设计不当,不需要再考虑控制是否得到执行。
2.控制测试(教材P340)
(1)控制测试指的是测试控制运行的有效性。
(2)控制测试是为了获取关于控制防止或发现并纠正认定层次重大错报的有效性而实施的测试。注册会计师应当选择为相关认定提供证据的控制进行测试。
(二)获取关于控制运行有效的证据(教材P341,请重点理解和掌握)
注册会计师应当从下列方面获取关于控制运行有效证据:
1.控制在所审计期间的不同时点是如何运行的;
2.控制是否得到一贯执行;
3.控制由谁执行;
4.控制以何种方式运行(如人工控制或自动化控制)。
(三)控制测试的要求
1.两种情形
当存在下列情形之一时,注册会计师应当实施控制测试:
(1)在评估认定层次重大错报风险时,预期控制的运行是有效的;
(2)仅实施实质性程序不足以提供认定层次充分、适当的审计证据。
2.预期控制运行有效时应当实施控制测试
如果在评估认定层次重大错报风险时预期控制的运行是有效的,注册会计师应当实施控制测试,就控制在相关期间或时点的运行有效性获取充分、适当的审计证据。
3.出于成本效益的考虑
出于成本效益的考虑,注册会计师可能预期,如果相关控制在不同时点都得到了一贯执行,与该项控制有关的财务报表认定发生重大错报的可能性就不会很大,也就不需要实施很多的实质性程序。因此,只有认为控制设计合理、能够防止或发现和纠正认定层次的重大错报,注册会计师才有必要对控制运行的有效性实施测试。
4.仅实施实质性程序获取的审计证据无法将认定层次重大错报风险降至可接受的低水平应当实施控制测试
如果认为仅实施实质性程序获取的审计证据无法将认定层次重大错报风险降至可接受的低水平,注册会计师应当实施相关的控制测试,以获取控制运行有效性的审计证据。
5.信息系统更新或变更时
被审计单位在所审计期间内可能由于技术更新或组织管理变更而更换了信息系统,从而导致在不同时期使用了不同的控制。如果被审计单位在所审计期间内的不同时期使用了不同的控制,注册会计师应当考虑不同时期控制运行的有效性。
二、控制测试的性质(教材P342)
(一)控制测试的性质的含义(教材P342)
1.控制测试的性质是指控制测试所使用的审计程序的类型及其组合。
2.计划从控制测试中获取的保证水平是决定控制测试性质的主要因素之一。注册会计师应当选择适当类型的审计程序以获取有关控制运行有效性的保证。计划的保证水平越高,对有关控制运行有效性的审计证据的可靠性要求越高。当拟实施的进一步审计程序主要以控制测试为主,尤其是仅实施实质性程序获取的审计证据无法将认定层次重大错报风险降至可接受的低水平时,注册会计师应当获取有关控制运行有效性的更高的保证水平。
(二)确定控制测试的性质时的要求(教材P343)
1.考虑特定控制的性质
注册会计师应当根据特定控制的性质选择所需实施审计程序的类型。
例如,某些控制可能存在反映控制运行有效性的文件记录,在这种情况下,注册会计师可以检查这些文件记录以获取控制运行有效的审计证据;
某些控制可能不存在文件记录(如一项自动化的控制活动),或文件记录与能否证实控制运行有效性不相关,注册会计师应当考虑实施检查以外的其他审计程序(如询问和观察)或借助计算机辅助审计技术,以获取有关控制运行有效性的审计证据。
2.考虑测试与认定直接相关和间接相关的控制
在设计控制测试时,注册会计师不仅应当考虑与认定直接相关的控制,还应当考虑这些控制所依赖的与认定间接相关的控制,以获取支持控制运行有效性的审计证据。
3.如何对一项自动化的应用控制实施控制测试
对于一项自动化的应用控制,由于信息技术处理过程的内在一贯性,注册会计师可以利用该项控制得以执行的审计证据和信息技术一般控制(特别是对系统变动的控制)运行有效性的审计证据,作为支持该项控制在相关期间运行有效性的重要审计证据。
(三)实施控制测试时对双重目的的实现(教材P344)
1.控制测试的目的是评价控制是否有效运行;
2.细节测试的目的是发现认定层次的重大错报。
3.注册会计师可以考虑针对同一交易同时实施控制测试和细节测试,以实现双重目的。例如,注册会计师通过检查某笔交易的发票可以确定其是否经过适当的授权,也可以获取关于该交易的金额、发生时间等细节证据。当然,如果拟实施双重目的测试,注册会计师应当仔细设计和评价测试程序。
(四)实施实质性程序的结果对控制测试结果的影响(教材P344,请重点理解和掌握)
1.如果通过实施实质性程序未发现某项认定存在错报,这本身并不能说明与该认定有关的控制是有效运行的。
2.但如果通过实施实质性程序发现某项认定存在错报,注册会计师应当在评价相关控制的运行有效性时予以考虑。
3.注册会计师应当考虑实施实质性程序发现的错报对评价相关控制运行有效性的影响(如降低对相关控制的信赖程度、调整实质性程序的性质、扩大实质性程序的范围等)。
4.如果实施实质性程序发现被审计单位没有识别出的重大错报,通常表明内部控制存在重大缺陷,注册会计师应当就这些缺陷与管理层和治理层进行沟通。
三、控制测试的时间(教材P344)
(一)如何考虑期中审计证据(请依据教材P345第2段)
如果已获取有关控制在期中运行有效性的审计证据,并拟利用该证据,注册会计师应当实施下列审计程序:
(1)获取这些控制在剩余期间变化情况的审计证据;
(2)确定针对剩余期间还需获取的补充审计证据。
(二)注册会计师针对期中证据以外的、剩余期间的补充证据应当考虑下列因素:
1.评估的认定层次重大错报风险的重大程度。评估的重大错报风险对财务报表的影响越大,注册会计师需要获取的剩余期间的补充证据越多。
2.在期中测试的特定控制。例如,对自动化运行的控制,注册会计师更可能测试信息系统一般控制的运行有效性,以获取控制在剩余期间运行有效性的审计证据。
3.在期中对有关控制运行有效性获取的审计证据的程度。如果注册会计师在期中对有关控制运行有效性获取的审计证据比较充分,可以考虑适当减少需要获取的剩余期间的补充证据。
4.剩余期间的长度。剩余期间越长,注册会计师需要获取的剩余期间的补充证据越多。
5.在信赖控制的基础上拟减少进一步实质性程序的范围。注册会计师对相关控制的信赖程度越高,通常在信赖控制的基础上拟减少进一步实质性程序的范围就越大。在这种情况下,注册会计师需要获取的剩余期间的补充证据越多。
6.控制环境。在注册会计师总体上拟信赖控制的前提下,控制环境越薄弱(或把握程度越低),注册会计师需要获取的剩余期间的补充证据越多。
(三)如何考虑以前审计获取的审计证据
1.当控制在本期发生变化时注册会计师的做法(请依据教材P346倒数第3段)
如果控制在本期发生变化,注册会计师应当考虑以前审计获取的有关控制运行有效性的审计证据是否与本期审计相关。
例如,如果系统的变化仅仅使被审计单位从中获取新的报告,这种变化通常不影响以前审计所获取证据的相关性;如果系统的变化引起数据累积或计算发生改变,这种变化可能影响以前审计所获取证据的相关性。如果拟信赖的控制自上次测试后已发生变化,注册会计师应当在本期审计中测试这些控制的运行有效性。
2.当控制在本期未发生变化时注册会计师的做法(请依据教材P346倒数第2段)
如果拟信赖的控制自上次测试后未发生变化,且不属于旨在减轻特别风险的控制,注册会计师应当运用职业判断确定是否在本期审计中测试其运行有效性,以及本次测试与上次测试的时间间隔,但两次测试的时间间隔不得超过两年。
3.在确定利用以前审计获取的有关控制运行有效性的审计证据是否适当以及再次测试控制的时间间隔时,注册会计师应当考虑的因素或情况包括:
(1)内部控制其他要素的有效性,包括控制环境、对控制的监督以及被审计单位的风险评估过程。例如,当被审计单位控制环境薄弱或对控制的监督薄弱时,注册会计师应当缩短再次测试控制的时间间隔或完全不信赖以前审计获取的审计证据。
(2)控制特征(人工控制还是自动化控制)产生的风险。当相关控制中人工控制的成分较大时,考虑到人工控制一般稳定性较差,注册会计师可能决定在本期审计中继续测试该控制的运行有效性。
(3)信息技术一般控制的有效性。当信息技术一般控制薄弱时,注册会计师可能更少地依赖以前审计获取的审计证据。
(4)控制设计及其运行的有效性,包括在以前审计中测试控制运行有效性时发现的控制运行偏差的性质和程度。例如,当所审计期间发生了对控制运行产生重大影响的人事变动时,注册会计师可能决定在本期审计中不依赖以前审计获取的审计证据。
(5)由于环境发生变化而特定控制缺乏相应变化导致的风险。当环境的变化表明需要对控制做出相应的变动,但控制却没有做出相应变动时,注册会计师应当充分意识到控制不再有效,从而导致本期财务报表发生重大错报的可能,此时不应再依赖以前审计获取的有关控制运行有效性的审计证据。
(6)重大错报的风险和对控制的拟信赖程度。如果重大错报风险较大或对控制的拟信赖程度较高,注册会计师应当缩短再次测试控制的时间间隔或完全不信赖以前审计获取的审计证据。
如果拟信赖以前审计获取的某些控制运行有效性的审计证据,注册会计师应当在每次审计时从中选取足够数量的控制,测试其运行有效性;不应将所有拟信赖控制的测试集中于某一次审计,而在之后的两次审计中不进行任何测试。这主要是为了尽量降低审计风险,毕竟注册会计师可能难以充分识别以前审计中测试过的控制在本期是否发生变化。此外,在每一次审计中选取足够数量的部分控制进行测试,除了能够提供这些以前审计中测试过的控制在当期运行有效性的审计证据外,还可提供控制环境持续有效性的旁证,从而有助于注册会计师判断其信赖以前审计获取的审计证据是否恰当。
4.不得依赖以前审计所获取证据的情形。鉴于特别风险的特殊性,对于旨在减轻特别风险的控制,不论该控制在本期是否发生变化,注册会计师都不应依赖以前审计获取的证据。因此,如果确定评估的认定层次重大错报风险是特别风险,并拟信赖旨在减轻特别风险的控制,注册会计师不应依赖以前审计获取的审计证据,而应在本期审计中测试这些控制的运行有效性。也就是说,如果注册会计师拟信赖针对特别风险的控制,那么所有关于该控制运行有效性的审计证据必须来自当年的控制测试。相应地,注册会计师应当在每次审计中都测试这类控制。
教材图14-1 概括了注册会计师是否需要在本期测试某项控制的决策过程。
四、控制测试的范围(教材P348)
(一)确定控制测试范围的考虑因素
注册会计师在确定某项控制的测试范围时通常考虑下列因素:
1.在整个拟信赖的期间,被审计单位执行控制的频率。控制执行的频率越高,控制测试的范围越大。
2.在所审计期间,注册会计师拟信赖控制运行有效性的时间长度。拟信赖控制运行有效性的时间长度不同,在该时间长度内发生的控制活动次数也不同。注册会计师需要根据拟信赖控制的时间长度确定控制测试的范围。拟信赖期间越长,控制测试的范围越大。
3.为证实控制能够防止或发现并纠正认定层次重大错报,所需获取审计证据的相关性和可靠性。对审计证据的相关性和可靠性要求越高,控制测试的范围越大。
4.通过测试与认定相关的其他控制获取的审计证据的范围。针对同一认定,可能存在不同的控制。当针对其他控制获取审计证据的充分性和适当性较高时,测试该控制的范围可适当缩小。
5.在风险评估时拟信赖控制运行有效性的程度。注册会计师在风险评估时对控制运行有效性的拟信赖程度越高,需要实施控制测试的范围越大。
6.控制的预期偏差。预期偏差可以用控制未得到执行的预期次数占控制应当得到执行次数的比率加以衡量(也可称为预期偏差率)。控制的预期偏差率越高,需要实施控制测试的范围越大。
(二)对自动化控制的测试范围的特别考虑(教材P349)
除非系统(包括系统使用的表格、文档或其他永久性数据)发生变动,注册会计师通常不需要增加自动化控制的测试范围。
信息技术处理具有内在一贯性,除非系统发生变动,一项自动化应用控制应当一贯运行。对于一项自动化应用控制,一旦确定被审计单位正在执行该控制,注册会计师通常无须扩大控制测试的范围,但需要考虑执行下列测试以确定该控制持续有效运行:
1.测试与该应用控制有关的一般控制的运行有效性;
2.确定系统是否发生变动,如果发生变动,是否存在适当的系统变动控制;
3.确定对交易的处理是否使用授权批准的软件版本。
例如,注册会计师可以检查信息系统安全控制记录,以确定是否存在未经授权的接触系统硬件和软件,以及系统是否发生变动。
(三)测试两个层次控制时注意的问题(教材P349)
整体层次控制测试通常更加主观(如管理层对胜任能力的重视)。对整体层次控制进行测试,通常比业务流程层次控制(如检查付款是否得到授权)更难以记录。因此,整体层次控制和信息技术一般控制的评价通常记录的是文件备忘录和支持性证据。注册会计师最好是在审计的早期测试整体层次控制。原因在于对这些控制测试的结果会影响其他计划审计程序的性质和范围。
网站地图
专业知识水平考试:
考试内容以管理会计师(中级)教材:
《风险管理》、
《绩效管理》、
《决策分析》、
《责任会计》为主,此外还包括:
管理会计职业道德、
《中国总会计师(CFO)能力框架》和
《中国管理会计职业能力框架》
能力水平考试:
包括简答题、考试案例指导及问答和管理会计案例撰写。