为了获取有关内部控制设计和执行的审计证据，注册会计师应当实施哪些审计方法

（一）测试的含义 控制测试是测试控制运行的有效性，这一需要与“了解内部控制”进行区分。“了解内部控制”包含两层含义：一是评价控制的设计；二是确定控制是否得到执行。测试控制运行的有效性与确定控制是否得到执行所需获取的审计证据是不同的。 在实施风险评估程序以获取控制是否得到执行的审计证据时，注册会计师应当确定某项控制是否存在，被审计单位是否正在使用。 在测试控制运行的有效性时，注册会计师应当从下列方面获取关于控制是否有效运行的审计证据：（1）控制在所审计期间的不同时点是如何运行的；（2）控制是否得到一贯执行；（3）控制由谁执行；（4）控制以何种方式运行（如人工控制或自动化控制）。从这四个方面来看，控制运行有效性强调的是控制能够在各个不同时点按照既定设计得以一贯执行。因此，在了解控制是否得到执行时，注册会计师只需抽取少量的交易进行检查或观察某几个时点。但在测试控制运行的有效性时，注册会计师需要抽取足够数量的交易进行检查或对多个不同时点进行观察。 （二）控制测试的要求 作为进一步审计程序的类型之一，控制测试并非在任何情况下都需要实施。当存在下列情形之一时，注册会计师应当实施控制测试：（l）在评估认定层次重大错报风险时，预期控制的运行是有效的；（2）仅实施实质性程序不足以提供认定层次充分、适当的审计证据。 如果在评估认定层次重大错报风险时预期控制的运行是有效的，注册会计师应当实施控制测试，就控制在相关期间或时点的运行有效性获取充分、适当的审计证据。 注册会计师通过实施风险评估程序，可能发现某项控制的设计是存在的，也是合理的，同时得到了执行。在这种情况下，出于成本效益的考虑，注册会计师可能预期，如果相关控制在不同时点都得到了一贯执行，与该项控制有关的财务报表认定发生重大错报的可能性就不会很大，也就不需要实施很多的实质性程序。为此，注册会计师可能会认为值得对相关控制在不同时点是否得到了一贯执行进行测试，即实施控制测试。这种测试主要是出于成本效益的考虑，其前提是注册会计师通过了解内部控制以后认为某项控制存在着被信赖和利用的可能。因此，只有认为控制设计合理、能够防止或发现和纠正认定层次的重大错报，注册会计师才有必要对控制运行的有效性实施测试。 如果认为仅实施实质性程序获取的审计证据无法将认定层次重大错报风险降至可接受的低水平，注册会计师应当实施相关的控制测试，以获取控制运行有效性的审计证据。 （三）控制测试的性质的含义 控制测试的性质是指控制测试所使用的审计程序的类型及其组合。 计划从控制测试中获取的保证水平是决定控制测试性质的主要因素之一。注册会计师应当选择适当类型的审计程序以获取有关控制运行有效性的保证。计划的保证水平越高，对有关控制运行有效性的审计证据的可靠性要求越高。当拟实施的进一步审计程序主要以控制测试为主，尤其是仅实施实质性程序获取的审计证据无法将认定层次重大错报风险降至可接受的低水平时，注册会计师应当获取有关控制运行有效性的更高的保证水平。 虽然控制测试与了解内部控制的目的不同，但两者采用审计程序的类型通常相同，包括询问、观察、检查和穿行测试。此外，控制测试的程序还包括重新执行。 1.询问。注册会计师可以向被审计单位适当员工询问，获取与内部控制运行情况相关的信息。例如，询问信息系统管理人员有无未经授权接触计算机硬件和软件，向负责复核银行存款余额调节表的人员询问如何进行复核，包括复核的要点是什么、发现不符事项如何处理等。然而，仅仅通过询问不能为控制运行的有效性提供充分的证据，注册会计师通常需要印证被询问者的答复，如向其他人员询问和检查执行控制时所使用的报告、手册或其他文件等。因此，虽然询问是一种有用的手段，它必须和其他测试手段结合使用才能发挥作用。在询问过程中，注册会计师应当保持职业怀疑态度。 2.观察。观察是测试不留下书面记录的控制（如职责分离）的运行情况的有效方法。例如，观察存货盘点控制的执行情况。观察也可运用于实物控制，如查看仓库门是否锁好，或空白支票是否妥善保管。通常情况下，注册会计师通过观察直接获取的证据比间接获取的证据更可靠。但是，注册会计师还要考虑其所观察到的控制在注册会计师不在场时可能未被执行的情况。 3.检查。对运行情况留有书面证据的控制，检查非常适用。书面说明、复核时留下的记号，或其他记录在偏差报告中的标志都可以被当作控制运行情况的证据。例如，检查销售**是否有复核人员签字，检查销售**是否附有客户订购单和出库单等。 4.重新执行。通常只有当询问、观察和检查程序结合在一起仍无法获得充分的证据时，注册会计师才考虑通过重新执行来证实控制是否有效运行。例如，为了合理保证计价认定的准确性，被审计单位的一项控制是由复核人员核对销售**上的价格与统一价格单上的价格是否一致。但是，要检查复核人员有没有认真执行核对，仅仅检查复核人员是否在相关文件上签字是不够的，注册会计师还需要自己选取一部分销售**进行核对，这就是重新执行程序。但是，如果需要进行大量的重新执行，注册会计师就要考虑通过实施控制测试以缩小实质性程序的范围是否有效率。 5.穿行测试。除了上述四类控制测试常用的审计程序以外，实施穿行测试也是一种重要的审计程序。值得注意的是，穿行测试不是单独的一种程序，而是将多种程序按特定审计需要进行结合运用的方法。穿行测试是通过追踪交易在财务报告信息系统中的处理过程，来证实注册会计师对控制的了解、评价控制设计的有效性以及确定控制是否得到执行。可见，穿行测试更多地在了解内部控制时运用。但在执行穿行测试时，注册会计师可能获取部分控制运行有效性的审计证据。 询问本身并不足以测试控制运行的有效性，注册会计师应将询问与其他审计程序结合使用，以获取有关控制运行有效性的审计证据。观察提供的证据仅限于观察发生的时点，本身也不足以测试控制运行的有效性；将询问与检查或重新执行结合使用，通常能够比仅实施询问和观察获取更高的保证。例如，被审计单位针对处理收到的邮政汇款单设计和执行了相关的内部控制，注册会计师通过询问和观察程序往往不足以测试此类控制的运行有效性，还需要检查能够证明此类控制在所审计期间的其他时段有效运行的文件和凭证，以获取充分、适当的审计证据。 （四）测试的时间的含义 如前所述，控制测试的时间包含两层含义：一是何时实施控制测试；二是测试所针对的控制适用的时点或期间。一个基本的原理是，如果测试特定时点的控制，注册会计师仅得到该时点控制运行有效性的审计证据；如果测试某一期间的控制，注册会计师可获取控制在该期间有效运行的审计证据。因此，注册会计师应当根据控制测试的目的确定控制测试的时间，并确定拟信赖的相关控制的时点或期间。 关于根据控制测试的目的确定控制测试的时间，本准则第四十条第一款指出，如果仅需要测试控制在特定时点的运行有效性（如对被审计单位期末存货盘点进行控制测试），注册会计师只需要获取该时点的审计证据。如果需要获取控制在某一期间有效运行的审计证据，仅获取与时点相关的审计证据是不充分的，注册会计师应当辅以其他控制测试，包括测试被审计单位对控制的监督。换言之，关于控制在多个不同时点的运行有效性的审计证据的简单累加并不能构成控制在某期间的运行有效性的充分、适当的审计证据；而所谓的“其他控制测试”应当具备的功能是，能提供相关控制在所有相关时点都运行有效的审计证据；被审计单位对控制的监督起到的就是一种检验相关控制在所有相关时点是否都有效运行的作用，因此注册会计师测试这类活动能够强化控制在某期间运行有效性的审计证据效力。 （五）如何考虑期中审计证据 前已述及，注册会计师可能在期中实施进一步审计程序。对于控制测试，注册会计师在期中实施此类程序具有更积极的作用。但需要说明的是，即使注册会计师已获取有关控制在期中运行有效性的审计证据，仍然需要考虑如何能够将控制在期中运行有效性的审计证据合理延伸至期末，一个基本的考虑是针对期中至期末这段剩余期间获取充分、适当的审计证据。因此，如果已获取有关控制在期中运行有效性的审计证据，并拟利用该证据，注册会计师应当实施下列审计程序：（1）获取这些控制在剩余期间变化情况的审计证据；（2）确定针对剩余期间还需获取的补充审计证据。 上述两项审计程序中，第一项是针对期中已获取审计证据的控制，考察这些控制在剩余期间的变化情况（包括是否发生了变化以及如何变化）；如果这些控制在剩余期间没有发生变化，注册会计师可能决定信赖期中获取的审计证据；如果这些控制在剩余期间发生了变化（如信息系统、业务流程或人事管理等方面发生变动），注册会计师需要了解并测试控制的变化对期中审计证据的影响。 上述两项审计程序中，第二项是针对期中证据以外的、剩余期间的补充证据。在执行该项规定时，注册会计师应当考虑下列因素： 1．评估的认定层次重大错报风险的重大程度。评估的重大错报风险对财务报表的影响越大，注册会计师需要获取的剩余期间的补充证据越多。 2．在期中测试的特定控制。例如，对自动化运行的控制，注册会计师更可能测试信息系统一般控制的运行有效性，以获取控制在剩余期间运行有效性的审计证据。 3．在期中对有关控制运行有效性获取的审计证据的程度。如果注册会计师在期中对有关控制运行有效性获取的审计证据比较充分，可以考虑适当减少需要获取的剩余期间的补充证据。 4．剩余期间的长度。剩余期间越长，注册会计师需要获取的剩余期间的补充证据越多。 5．在信赖控制的基础上拟减少进一步实质性程序的范围。注册会计师对相关控制的信赖程度越高，通常在信赖控制的基础上拟减少进一步实质性程序的范围就越大。在这种情况下，注册会计师需要获取的剩余期间的补充证据越多。 6．控制环境。在注册会计师总体上拟信赖控制的前提下，控制环境越薄弱（或把握程度越低），注册会计师需要获取的剩余期间的补充证据越多。 除了上述的测试剩余期间控制的运行有效性，测试被审计单位对控制的监督也能够作为一项有益的补充证据，以便更有把握地将控制在期中运行有效性的审计证据延伸至期末。如前所述，被审计单位对控制的监督起到的是一种检验相关控制在所有相关时点是否都有效运行的作用，因此，通过测试剩余期间控制的运行有效性或测试被审计单位对控制的监督，注册会计师可以获取补充审计证据。 （六）确定控制测试范围的一般考虑因素 注册会计师在确定某项控制的测试范围时通常考虑的一系列因素： 1．在整个拟信赖的期间，被审计单位执行控制的频率。控制执行的频率越高、控制测试的范围越大。 2．在所审计期间，注册会计师拟信赖控制运行有效性的时间长度。拟信赖控制运行有效性的时间长度不同，在该时间长度内发生的控制活动次数也不同。注册会计师需要根据拟信赖控制的时间长度确定控制测试的范围。拟信赖期间越长，控制测试的范围越大。 3．为证实控制能够防止或发现并纠正认定层次重大错报，所需获取审计证据的相关性和可靠性。对审计证据的相关性和可靠性要求越高，控制测试的范围越大。 4．通过测试与认定相关的其他控制获取的审计证据的范围。针对同一认定，可能存在不同的控制。当针对其他控制获取审计证据的充分性和适当性较高时，测试该控制的范围可适当缩小。 5．在风险评估时拟信赖控制运行有效性的程度。注册会计师在风险评估时对控制运行有效性的拟信赖程度越高，需要实施控制测试的范围越大。 6．控制的预期偏差。预期偏差可以用控制未得到执行的预期次数占控制应当得到执行次数的比率加以衡量（也可称作预期偏差率）。考虑该因素，是因为在考虑测试结果是否可以得出控制运行有效性的结论时，不可能只要出现任何控制执行偏差就认定控制运行无效，所以需要确定一个合理水平的预期偏差率。控制的预期偏差率越高，需要实施控制测试的范围越大。如果控制的预期偏差率过高，注册会计师应当考虑控制可能不足以将认定层次的重大错报风险降至可接受的低水平，从而针对某一认定实施的控制测试可能是无效的。 （七）对自动化控制的测试范围的特别考虑 除非系统（包括系统使用的表格、文档或其他永久性数据）发生变动，注册会计师通常不需要增加自动化控制的测试范围。 信息技术处理具有内在一贯性，除非系统发生变动，一项自动化应用控制应当一贯运行。对于一项自动化应用控制，一旦确定被审计单位正在执行该控制，注册会计师通常无需扩大控制测试的范围，但需要考虑执行下列测试以确定该控制持续有效运行： （l）测试与该应用控制有关的一般控制的运行有效性； （2）确定系统是否发生变动，如果发生变动，是否存在适当的系统变动控制； （3）确定对交易的处理是否使用授权批准的软件版本。 20210311