了解内控及控制测试思路详解

前言

本篇文章共有三大部分，分别是：了解被审计单位的内部控制、穿行测试、控制测试，其中穿行测试包含五个小部分：信息技术系统、不相容职责分离、重要的业务流程、穿行测试底稿编制、简单了解IT审计。能够帮助小伙伴快速了解内控，理清编制内控底稿的思路。

关于强化上市公司及拟上市企业内部控制建设推进内部控制评价和审计的通知（征求意见稿）中，明确提出2024年报起所有上市公司及IPO申报企业均需提供内部控制审计报告，所以理解“了解内控及控制测试”非常重要。当前质控重点对实质性程序审查，内控底稿及复核流于形式，但在监管日渐趋严的情况下，质控复核也会开始加严对内控底稿的检查。

正文

我们在审计过程中经常会听到内控二字，了解被审计单位的内部控制和进行控制测试也是审计的重要工作，我们来换一个角度去理解，控制，字典中解释为“掌握住对象不使任意活动或超出范围；或使其按控制者的意愿活动”，我们常常听说“公序良俗”，摘抄了这一段话：“公序，指公共秩序，是指国家社会的存在及其发展所必需的一般秩序；良俗，指善良风俗，是指国家社会的存在及其发展所必需的一般道德。公序良俗指民事主体的行为应当遵守公共秩序，符合善良风俗，不得违反国家的公共秩序和社会的一般道德。”对我们来说，公序良俗就是规则，是对我们个体行为的控制，偏离了控制，就会产生不好的后果，企业也是如此，企业从本质上就是人、财、物的结合体，为了良性运作和长远发展，企业要对人、财、物涉及到的各个流程设计一定的规则，避免发生不可控的风险。因此，了解被审计单位的内部控制就是了解这些企业制定的避免风险的规则，进行控制测试，则是审计师亲自检验这些规则是否流于形式，是否有效。

需要注意的是，审计师并非全能，审计的目标是对财务报表是否不存在重大错报发表审计意见，所以我们需要了解和评价的内部控制只是与财务报表审计相关的内部控制，并非被审计单位所有的内部控制，如被审计单位还会有防范火灾的内部控制，审计师当然不需要检查消防栓、灭火器、消防通道等等，因为这类控制与财务报告无关，但如果时间允许，被审计单位也不厌烦的话，也是可以了解一下，丰富阅历。

一、了解被审计单位的内部控制

了解被审计单位的内部控制主要有两个步骤，一是评价控制的设计，还是用与财务报告无关的例子来帮助大家理解，假如公司有这样一条内部控制制度：“如果资产失窃，则拨打120”，我们来评价一下该控制的设计，失窃时，拨打120是没有用处的，而且对方很可能会推荐拨打精神病医院的电话，这是一个无效的控制设计，所以了解被审计单位的内部控制，首先要评价控制的设计是不是能够有效的防止或发现并纠正重大错报，如果设计不当，了解了也无任何意义，如果设计合理，我们就要进行下一个步骤，也就是了解控制是否在执行，比如企业规定，外来访客进入公司必须要登记，且需要有内部人员接待并签字确认，如我们审计师作为访客进入企业经历了这样的流程，那这个控制就是在执行的，但这并不能证明该控制在其他时点也有效运行，万一我们进去刚好碰到严格执行制度的保安人员，其他时间是消极怠工的保安人员执勤，或者是保安人员对自己的熟人、但并非公司员工的外部人员予以放行，所以了解被审计单位的内部控制，仅停留在评价控制的设计以及控制是否在执行阶段，并不足以测试控制运行的有效性。

二、穿行测试

评价控制的设计和了解控制是否在执行，类似于我们为了取得好成绩，做了一个学习计划，虽然计划做的很完美，但更重要的是实际是否按计划执行，企业也是如此，可能有的企业的内部控制制度很健全，但实际是直接照搬其他公司的制度，所以不但要看企业是否有内部控制制度，重点还要看实际执行情况，而穿行测试是一个较好的检验方法。

穿行测试是指追踪交易在财务报告信息系统中的处理过程，是审计师了解被审计单位业务流程及其相关控制时经常使用的审计程序，在正常运行条件下，将初始数据输入内控流程，穿越全流程和所有关键环节，把运行结果与设计要求对比，以发现内控流程缺陷的方法。

操作步骤比较简单，将被审计单位规范某项经济业务行为的制度按业务流程的方式描述出来，然后抽取某几笔业务样本，要求被审计单位提供所有所抽取业务样本的运行记录，按照流程环节，描述样本业务的实际运行情况，对照流程环节与要求，比较并记录没有做到位的地方。

“穿行”这两个字也很形象，意为从某种通道、缝隙中通过，审计中的穿行就是业务穿过内控制度所设计的流程，比如一笔采购业务，是否有采购申请单以及对应权限的人审批，采购的货物是否办理验收和入库手续，向供应商付款是否有付款申请单以及对应权限的人审批，我们可以获取这笔采购业务在线上系统以及线下的流程痕迹，对于内控健全的企业，这些过程都可以在会计凭证中体现。

穿行测试比较简单，但对于新人朋友来说，理解和操作可能会比较难，因为初入职场，接触的项目较少，对很多程序关键点不清楚，为了帮助新人朋友对穿行测试和控制测试形成整体的认识，了解交易流程在信息技术或人工系统中生成、记录、处理及在财务报表中报告的程序，在这一节分为信息技术系统、不相容职责分离、重要业务流程、穿行测试底稿编制、简单了解IT审计五个部分来讲。

（一）信息技术系统

提到信息技术系统，就需要了解ERP系统，ERP系统一般是指企业资源管理系统，是用各种技术来更好地使用和管理企业资源。凡是涉及到信息采集、分析、加工、共享的产业，都可以应用ERP系统，在制造型企业中比较常见，ERP的核心思想是实现对整个供应链的有效管理，能够帮助企业更好的处理业务流程，处理存货等实物的数据性资料，降低管理成本，提高企业各环节运转效率，审计中我们导账时常接触的如SAP、用友、金蝶都是ERP软件，除财务管理模块外，还包含销售管理、采购管理、售后服务管理、库存管理、生产管理和人力资源管理等模块。被审计单位会选择企业软件供应商搭建ERP系统，通常由被审计单位的业务部门根据实际工作需求提出具体功能需求，并与信息部门对需求进行评估，评估通过后请企业软件供应商的项目组负责设计，ERP系统搭建完成后，由企业软件供应商的项目组在测试环境对新系统进行IT测试，测试通过后交由被审计单位的业务部门进行用户测试，业务部门确保系统设计满足其所需全部需求，ERP系统正式上线。

除了信息技术系为企业经营管理带来的便利，我们也需要思考信息技术系统与内部控制的关系，企业是人、财、物的组合体，但对财和物的运作由人来完成，人与机器的不同之处在于人有思想，而思想可能会使人偏离企业规则所设定好的运行轨道，如公司的管理层与股东之间的代理问题，管理层可能只为个人利益而不勤勉尽责，股东可能为此设置监督或激励措施，来避免这种情况的发生，同样的，公司有不同的部门，大类分为业务部门和职能部门，各部门下又有不同的岗位，如果没有一个合适的信息系统系统来帮助企业管理，可能会导致企业运行效率低下，企业资源得不到良好的运用，甚至于导致管理失控，而ERP软件能够对企业的整个资源进行有效的整合，不同的部门在系统中使用不同的模块，不同的岗位、级别人员有各自的权限，根据不同的职责进行生成、记录、处理业务数据或流程，从而达到不同部门间的协同工作，所以信息技术系统对企业内部控制的重要性不言而喻。

大多数被审计单位出于编制财务报告和实现经营目标的需要使用信息技术，但人工因素始终存在，小型且业务简单的企业可能以人工控制为主，大型企业可能是自动化控制为主，人工控制为辅，我们在工作中也可能会发现，对于某些重要环节的审批，既要线上审批通过，也要线下进行签字确认，所以我们也要关注被审计单位内部控制的人工和自动化特征及其影响，对于自动化控制为主的大型企业，还需要对ERP系统进行IT审计，这部分会在后面简单介绍。

需要注意的是，很多企业根据实际经营的需要，可能会选择多个信息技术系统，当账务处理和业务管理不是同一个系统时，就需要分别进行了解并测试，下面的案例来自于中国证监会行政处罚决定书〔2021〕11号：

2016年和2017年年报审计期间，正中珠江未对康美药业的业务管理系统实施相应审计程序，未获取充分适当的审计证据。捷科SCM3.0新架构供应链系统（以下简称捷科系统）为康美药业的业务管理信息系统，金蝶EAS系统是康美药业进行账务处理的信息系统。正中珠江相关审计人员明知康美药业捷科系统的存在，未关注捷科系统与金蝶EAS系统是否存在差异，未分析差异形成的原因及造成的影响，未实施必要的审计程序。具体包括：一是在财务报表层面了解信息技术的运用时，未涵盖业务管理系统。根据审计底稿的记载，康美药业的销售业务流程是基于捷科系统开展，从捷科系统发起销售订单，并经过一系列流程，最终通过系统配送货物。在知悉康美药业存在捷科系统的情况下，正中珠江仅了解了金蝶EAS系统，未涵盖捷科系统。二是正中珠江了解金蝶EAS系统时，未执行审计程序了解金蝶EAS系统与捷科系统之间数据的勾稽关系。金蝶EAS系统与捷科系统的销售数据存在明显差异，正中珠江却未执行审计程序了解捷科系统的数据如何结转至金蝶EAS系统。三是正中珠江实施风险应对措施时，未从业务管理系统获取审计证据。正中珠江在内控测试、实质性程序中计划获取销售出库单等业务单据，但仅从金蝶EAS系统获取审计证据，没有追溯至捷科系统，也没有说明未追溯至捷科系统的理由，获取的审计证据不具有充分性和适当性。正中珠江的行为不符合《中国注册会计师审计准则第1211号——通过了解被审计单位及其环境识别和评估重大错报风险》第21条和《中国注册会计师审计准则第1301号——审计证据》第10条的规定。

（二）不相容职责分离

我们在了解业务流程及控制的时候，要关注不相容职责是否分离，不相容职责分离是企业各业务部门及业务操作人员之间责任和权限的相互分离机制。如果企业里某些相互关联的职责，集中于一个人身上，就会增加发生差错和舞弊的可能性，或者增加了发生差错或舞弊以后进行掩饰的可能性。试想，如果资金支付申请人和审批人是同一个人，那公司的账户和员工自己的私人账户有什么区别，如果资产保管人和资产入账的记录人是同一人，那资产的挪用也就无人知晓了。

所以不相容职务一般包括：业务经办与授权批准、业务经办与会计记录、会计记录与财产保管、业务经办与稽核检查、授权批准与监督检查等，如果不能做到完全分离，也必须通过其他适当的控制程序来弥补。

内部控制并不是要防范所有业务流程中的风险，有些低风险的事项是企业可承受的。一方面，审计准则中内部控制部分提及对小型被审计单位的考虑：“被审计单位设计和执行内部控制的具体方式会因被审计单位的规模和复杂程度的不同而不同。小型被审计单位通常采用非正式和简单的内部控制实现其目标，参与日常经营管理的业主可能承担多项职能，内部控制要素没有得到清晰区分，注册会计师应当综合考虑小型被审计单位内部控制要素能否实现其目标。”因为小企业的人员较少、管理幅度不大、业务简单，业务的操作流程一目了然，增加人手分离业务职责会增加企业的用工成本，可以通过对具体人员的管理来解决职务未分离的风险，我们可以通过询问管理层如何防范风险后进行综合评判；另一方面，有些企业在管理模式上采用的是关键岗位的家族化管理，对于职务未分离的岗位的人员是充分信任的，如近亲的家族人员担任会计兼出纳，未对不相容职务进行严格的分离，但需要注意的是，出纳同时兼职会计，不仅是内部控制存在问题，可能会导致公司遭受严重的经济损失，而且还违反法律法规，根据《中华人民共和国会计法》 第三十七条 会计机构内部应当建立稽核制度，出纳人员不得兼任稽核、会计档案保管和收入、支出、费用、债权债务帐目的登记工作，如果有出纳同时兼职会计的情况，应该建议企业设置一名专职会计，出纳由其他人员兼任。

（三）重要的业务流程

我们需要确定要对哪些业务流程进行穿行测试，但并不需要对所有的业务流程进行穿行测试，而是选择与财务报表相关的重要业务流程，企业一般有采购与付款、生产与仓储、研究与开发、工薪与人事、销售与收款、筹资与投资等业务流程，重要业的业务流程主要是看与企业生产经营的相关性较高的流程，也可以通过看企业的科目余额表找出使用频率较高的会计科目，如对于制造业，采购与付款、生产与仓储、销售与收款是重要的业务流程，相应的，银行存款、存货、预付账款、应付账款、应收账款等是使用频率较高的科目，各个业务循环以及循环内包含的报表项目参考如下，篇幅有限，只展示部分较为常见的报表项目：

 判断重要业务流程后，我们需要知道各业务流程涉及的关键节点、控制目标，业务流程由谁发起、审批、执行等，所以我们要了解相关业务流程涉及的部门、人员、岗位职责，还要了解各岗位在ERP系统中对重要业务流程的操作，以及线下同时需要执行的程序，一方面我们可以先获取被审计单位的内部控制手册，将企业用来规范某项业务的制度按业务流程的方式描述出来，梳理出涉及业务流程的人员。另一方面，询问业务流程涉及的相关人员，关注其回答是否与内控制度规定的有出入，内控制度上可能并未详细说明如何在ERP系统上进行操作的流程，此时需要通过询问来进一步完善对业务流程的描述。

（四）穿行测试底稿编制

本部分以采购与付款业务流程为例，穿行测试底稿编制参考如下，以下图示来自某会计师事务所底稿模板：

1、采购与付款业务涉及的主要人员

可通过详细的组织架构图或带有职务的工资表等填写后请被审计单位确认

2、有关职责分工的政策和程序

根据被审计单位的内部控制管理手册填写

3、业务流程介绍

根据被审计单位的内部控制管理手册和询问业务涉及的主要人员填写

（1）采购审批与处理

（2）记录应付帐款

（3）付款

（4）对账与调节

4、样本测试

实务中一般会优先做实质性程序，所以一般是在选取细节测试样本时，顺带着选取能用于穿行测试和控制测试的样本，以此实现双重目的，也减少了审计样本的数量，对于采购与与付款循环的穿行测试，可以获取审计期间的请购单明细、合同台账、发票台账等抽取样本，实务中主要是从计提和支付大额应付账款的会计凭证号中选择，但会计凭证后的附件未必会包含穿行测试所需要的所有证据，比如采购信息报告、供应商对账报告等，此部分需要列出清单请被审计单位单独提供。

（1）采购审批与处理

（2）记录应付帐款

（3）付款

（4）对账与调节

需要注意的是，被审计单位对于某重要业务循环并非仅有单一的业务流程和控制活动，如果被审计单位针对不同类型的循环业务分别采用不同的业务流程和控制活动，应分别予以记录。

以某家公司内控制度举例来说，该公司采购计划的制定和实施根据采购原材料的不同，分为订单采购、存量采购、补充采购、紧急采购、零星采购、战略采购等多种采购形式。经了解，日常生产活动中主要采用订单采购和存量采购两种形式。其中，订单采购指依据订单生产需要而进行的采购方式，适用于高价值、多种少量、特殊规格的物料；存量采购指公司常备一定存量以满足生产需要，适用于经常性、共用性物料以及采购耗时较多的物料。我们从内控手册中或者询问相关人员了解到两种类型的业务流程。

订单采购业务流程：由生产部根据生产计划或生产（开发）任务单、物料消耗等计算物料总需求与交货日期并填入《月度采购计划》，交生产总监审核；批准后交由采购部门对《月度采购计划》分解成针对各供应商的订购单或采购合同，经生产总监审批后执行采购。存量采购业务流程：由生产各部门部根据仓储部门提交的生产原辅料库存量确定采购计划，由生产总监批准后由采购部门执行采购。

因为被审计单位有多种采购方形式，日常主要采用两种形式，且涉及的业务控制也不同，因此要分别检查并记录，同样的，销售与收款循环中，企业销售不同产品可能有不同的销售方式，筹资与投资循环中，有直接和间接方式，验收日常用的固定资产与验收生产专用的固定资产涉及的流程也不同，同样参考本节内容记录即可。

（五）简单了解IT审计

传统的审计可能无法应对信息系统产生的风险，对于一些大型且自动化控制为主的企业，同时需要结合公司实际系统情况，对线上交易涉及的信息系统可靠性、业务数据准确性、业务真实性、业务数据完整性等方面进行IT审计，并执行恰当的系统流程审计程序，实务中会有专门的IT审计团队来辅助财务审计团队，所以我们在此简单了解即可。IT审计主要是对信息系统一般控制和应用控制进行测试，分别举一个例子来说明IT审计的测试。

信息系统一般控制类举例如下：

检查公司用户账号权限管理流程是否合理，账号授权是否恰当：通过访谈权限管理员了解审计范围内系统的权限管理流程，获取审计期间内所有入职员工记录和审计范围内系统的用户清单，以此为基础抽查新增用户账号的样本，检查所有权限变更是否存在适当的管理层审批，从应用层面防止超权限或伪造数据的风险；获取审计期间所有离职用户名单并与系统用户账号进行比对，以确认是否存在冗余账号，从应用层面防止超权限或伪造数据的风险；梳理审计范围内系统的应用层、数据库层和操作系统层的管理员权限授权，以确认管理员权限授权是否合理；梳理审计范围内系统应用层的账号和权限，查看IT人员是否具有审计范围内系统的业务操作权限。

信息系统应用控制类举例如下：

检查订单签订是否合理：通过询问相关负责人员，了解系统中是否启用信用额度检查的功能，从而确保独立的经销商及其经销商信息、信用额度的匹配准确完整；检查系统是否启用了信用检查的功能。确保提交销售订单时，系统自动将订单金额与财务系统账上该经销商额度进行比较，只有订单金额小于或等于额度时，销售订单才能在系统中建立成功。

IT审计所做的工作是通过测试财务报表所依赖的信息系统(包括财务系统和业务系统）控制的有效性、数据的真实性，证明信息系统环境是否可以信赖，在企业信息化浪潮下，IT审计会逐渐成为财务审计的重要组成部分。

三、控制测试 

控制测试与穿行测试的流程一致，只是多了几个部分，与了解内部控制不同，控制测试重点在于确定控制的有效性，也就是不同于在某个时点是否执行，而是要确定其长期有效运行，所以两者的目的和所需获取的审计证据的数量不同，可以把控制测试理解成穿行测试的升级版本，但并非任何情况下都需要做控制测试，需要执行控制测试程序有两种情形：

1、在评估认定层次重大错报风险时，预期控制运行是有效的。

因为是防止或发现和纠正认定层次的重大错报的控制，所以预期控制设计合理的话当然是要进行测试，这一测试的目的主要是出于成本效益的考虑，如果相关控制在不同时点都得到了一贯执行，与该项控制有关的认定发生重大错报的可能性就不会很大，也就不需要实施很多的实质性程序。

2、仅仅实施实质性程序不足以提供认定层次充分、适当的审计证据。

这一情形是对实质性程序的补充，因为有的被审计单位的规模很大，审计师要对大量的相同类型业务的数据进行检查，这时候我们可以通过控制测试来提高效率，如果控制测试的结果显示有效，我们就可以减少此类程序的检查。

需要注意的是，实务中一般并不会先做控制测试，然后再决定实质性程序的多少，因为审计工作时间紧张，如果完全按书本的做法会降低效率，这也是事务所自身的问题之一，所以实务中更多的是先做实质性程序，重点选择细节测试需要的样本，然后从细节测试中选取能用于控制测试的样本，目的是尽可能地消除重复的测试程序，保证检查某一凭证时能够一次完成对该凭证的全部审计测试程序，并按最有效的顺序实施审计测试。因此，我们需要从实际出发，设计适合被审计单位具体情况的实用高效的控制测试计划。

实务中通常在期中实施控制测试，由于期中测试获取的证据只与控制截至期中测试时点的运行有关，还需要确定如何获取关于剩余期间的证据。这里提及一下期中，并不是半年的意思，而是小于完整一年的期间都可以称之为期中，如对于年审来说，审计范围是1-12月这一期间，假设我们在11月开始预审，预先对1-10月的财务数据审计，这个期间就是期中，剩余期间就是11月和12月，因为在测试控制运行的有效性时，我们需要抽取足够数量的交易进行检查或对多个不同时点进行观察，不能仅选取某个月的样本，对很多企业来说，年底又是交易量较大的期间，所以也要在剩余期间选取一定的样本。

样本数量主要与控制运行的频率有关，假设我们对一个完整的会计年度进行控制测试，某企业每天要发生数次付款业务，那么从一年里发生所有的样本里只选几个样本检查显然不具有代表性；某企业每月盘点现金一次，如果审计师选择对12个监盘表全部检查，那显然是缺少效率的，而且也不是抽样。

在实务工作中，业务发生的频次越高，审计抽样的样本也就越多，有些控制运行频率较低，不需要选取过多样本，一是内控制度中明确固定时间执行某项控制，比如银行存款余额调节表按月编制、对资产的监盘每月一次，预算每年编制一次，二是内控制度中有，但是具有偶发性的业务，比如银行账户的开户、变更、撤销，投资购买理财产品、股权，向银行借款筹资等一年中发生次数较少的业务，测试控制运行频率较低的内部控制时，所需测试的样本数量控制测试样本量参考下表：

有些控制运行频率较高，就需要考虑可接受的信赖过度风险和可容忍偏差率，可接受的信赖过度风险是控制测试的抽样风险，简单来说，我们要确定合适的样本量，可接受的信赖过度风险主要是样本较少导致，从而使测试的结果不能反映真实的偏差，如果我们100 %全查，那自然就不会有抽样风险，比如我们从100个样本里抽取10个付款审批单检查审批流程，假设100个付款审批单里实际有50个没有审批记录，但审计人员抽取的10个付款审批单均有相关人员的审批记录，由此审计人员认为控制有效，这就是信赖过度，因为信赖过度会影响审计结论，使审计师发表不恰当的审计意见，所以可接受的信赖过度风险应确定在相对较低的水平上，可接受的信赖过度风险越低，样本规模就会越大。实务中一般将信赖过度风险确定为10 % ，特别重要的测试则可以将信赖过度风险确定为5 %。

可容忍偏差率是审计师可以容忍的控制运行出现的偏差率。比如审计师测试已记账的原材料减少凭证是否附有领料单，如果没有则视为有偏差，假设对100个样本进行内部控制测试，如果可容忍偏差率为5％，则意味着我们最多可容忍5个偏差，如果偏差超过5个，则可以认为内部控制有效性不高。对总体的评价是不接受总体。如果低于5个，则会认为内部控制较好，总体可接受。

预计总体偏差率主要是预计实际的偏差率，需要根据对相关控制的了解或对总体中少量项目的检查来评估预期偏差率，如果是连续审计，在内部控制和执行内部控制人员没有重大变化时，可以考虑用上年的测试结果。实务中确定预计总体偏差率是在抽样总体中选取一个较小的初始样本，以初始样本的偏差率作为预计总体偏差率的估计值，审计师一般会把预计总体偏差率设定为0.5 %，主要是用来确定样本规模，偏差率最后通过计算可以得出，不必在这一步苦恼如何来估计，可以根据实际情况设定，但不应超过可容忍偏差率，如100个样本，可容忍偏差率为5％，我们最多可容忍5个偏差，如果预计总体偏差率设定为10 %，预计实际的偏差是10个，那显然是不合理的，有人就会说那我们直接修改可容忍偏差率，改成11 %就不会超过了，但可容忍偏差率也不能设定的太高，如果预期总体偏差率高得无法接受，意味着控制有效性很低，我们仍然要实施更多的实质性程序，测试毫无意义的时候就不会实施控制测试，如果明知有问题，人为的把存在偏差的样本换成无偏差的样本，那就是控制测试流于形式，如果因此而减少实质性程序，就会导致出现审计风险，这是得不偿失的。在实务中，我们一般认为偏差率为3 %～7 %时，控制有效性的估计水平较高，建议可容忍偏差率的设定不宜超过10 %，计划评估的控制有效性为低或者最低，其实都没有必要浪费时间进行控制测试，多做一些实质性程序即可，可容忍偏差率与计划评估的控制有效性之间的关系请见下表：

控制测试中确定的可接受信赖过度风险为10%时所使用的样本量可参考下表：

假设审计师确定的可接受信赖过度风险为10% ,可容忍偏差率为5% , 预计总体徧差率为0.5% , 通过查询上表可确定样本规模为77个。

将样本中发现的偏差数量除以样本规模，就可以计算出样本偏差率。样本偏差率就是对总体偏差率的最佳估计，所以在控制测试中不需要另外推断总体偏差 率,前面的控制测试统计抽样样本规模表只是帮助我们确定样本量，在控制测试中评价样本结果时，因为样本可能选取的不够，我们还应该考虑抽样风险，如果样本偏差率低于可容忍偏差率，还要考虑实际的总体偏差率仍有可能高于可容忍偏差率的风险，这时就需要使用统计公式评价样本结果：总体偏差率上限（信赖过度风险水平下可能发生的偏差率上限）=风险系数/样本量，控制测试中常用的风险系数请见下表：

假设审计师确定的可接受信赖过度风险为10 % ,可容忍偏差率为6 % , 预计总体徧差率为0.5 % ，通过查表确定样本规模64个，检查后发现样本中存在2个偏差，偏差率=2（偏差数量）/64（样本规模）=3.13 %，此时估计的总体偏差率3.13 %小于可容忍偏差率为6 % ，这样来看似乎可以接受，但考虑抽样风险就要计算总体偏差率上限。

总体偏差率上限=5.3（风险系数）/64（样本量）=8.28 %，此时总体偏差率上限8.28 %大于可容忍偏差率为7 %，意味着样本结果不支持计划评估的控制有效性，此时应当修正重大错报风险评估水平，并增加实质性程序的数量。

如果样本不存在偏差，那么总体偏差率上限=2.3（风险系数）/64（样本量）=3.59 %，此时总体偏差率上限3.59 %小于可容忍偏差率为7 %，意味着样本结果支持计划评估的控制有效性，可以得出结论：总体实际偏差率超过3.59 % 的风险为10 % ,即有90 % 的把握保证总体实际偏差率不超过3.59 %，由于注册会计师确定的可容忍偏差率为6 % ，因此可以得出结论，总体的实际偏差率超过可容忍偏差率的风险很小，总体可以接受。

在做控制测试时，抽样可能选到无效或者不适用的样本，确定是合理情况后可以随机选择新样本替换原样本；对某项目进行测试后，如果发现偏差可以扩大样本规模，如初始样本规模为25个，发现1个偏差，可以再选取25个进行测试，如果未发现偏差则可以认为样本结果支持计划评估的控制有效性；如果发现多个偏差，新增的样本就需要多于初始样本规模，也可以认为控制没有有效运行，从而不再信赖内部控制，增加该项目的实质性程序即可。

以上的内容并不全面，但足够帮助新人了解控制的过程，实务中的控制测试其实更多流于形式，因为控制控制偏差虽然增加了金额错报的风险，但并不一定导致财务报表中的金额错报，对于重要的科目，即使没有控制测试，审计师也会投入大量的时间去检查，做足够多的实质性程序，顺带着发现内部控制存在的问题，当然这一段仅针对一般的企业来说，对于拟IPO和已上市企业，健全的内部控制制度是必不可少的，该执行的审计程序必须执行到位，审计师要做好资本市场的看门人。

加上一个实务案例帮助新人朋友理解

案例摘自“关于重庆瑜欣平瑞电子股份有限公司首次公开发行股票并在创业板上市的第一轮注册反馈意见落实函”

检查发行人境外销售内部控制制度及执行有效性执行的程序：

综合运用询问、观察、验证相关文件等程序了解发行人的境外销售流程，识别发行人境外销售相关内部控制点的设置。

公司针对主要境外客户美国百力通及GENERAC的销售内部控制流程如下：

销售部门接收并确认客户订单信息，由销售员复核订单信息（单价、产品型号、金额等）→销售内勤下达ERP销售订单→计划管理部根据销售订单安排生产，销售员定期在ERP系统里查看生产订单，确认跟踪生产订单是否满足客户需求→根据客户订单计算此次出口发货信息，交销售主管复核审批，确认无误后完成发货订舱→联系货代车辆→通知物资部备货，备货后销售员现场确认货物信息（型号数量）→开具发货单装车发货→销售员根据订单、出口信息等制作出口报关单据，交销售主管复核，将报关资料交给报关行→销售员定期在“中国国际贸易单一窗口网站”下载和打印出口报关单，并复核出口报关单信息是否正确→根据“出口报关单”内容打印：销售合同、销售发票、装箱单、客户提单等资料，对应整理后及时交财务部复核单据，财务部门复核后及时进行账务处理以及出口申报。

保荐机构、申报会计师对应执行的控制测试程序如下：　　

（1）确定样本总体规模　　

客户下单时，一笔订单可能包括几种产品型号。公司为了生产经营的便利，在录入订单时，将订单对应的产品型号作为最小单元格录入系统，将订单列表中的每一行作为一个小订单。报告期内，公司对美国百力通及GENERAC的销售订单总体数量分别为603个、396个、924个和467个。将报告期各期美国百力通及GENERAC销售订单数量作为样本总体，将每一个订单作为一个抽样单元。　　

（2）确定抽样方法　　

采用系统选样法抽取样本。即：用总体中抽样单元的总数量除以样本规模，得到样本间隔，然后在第一个间隔中确定一个随机起点，从这个随机起点开始，按照选样间隔，从总体中顺序选取样本。　　

（3）确定样本规模　　

影响样本规模的因素包括可接受的信赖过度风险、可容忍偏差率、预计总体偏差率及总体规模。在预期公司内控运行有效性较高的情况下，确定的可容忍偏差率为10%，可接受信赖过度风险为10%，预期总体偏差率为0.5%。在该标准下根据《审计准则1314号—审计抽样和其他选取测试项目的方法》表1314-8“控制测试统计抽样样本规模”表应选取各年度样本规模为38个，实际选取38个。　　

（4）样本执行程序　　

保荐机构、申报会计师对样本进行编号，用总体中抽样单元的总数量除以样本规模，得到样本间隔，然后在第一个间隔中确定第二个为随机起点，从这个随机起点开始，按照选样间隔，从总体中顺序选取样本。对各样本收入的订单确认、ERP订单记录内容、产品出货单数量、收入确认相关单据（如提单、发票、报关单）、账务记账凭证、回款记录等进行测试。若ERP订单记录内容、产品出货单数量、收入确认相关单据、财务记账凭证、回款记录不一致，视为偏差。　　

报告期各期完成38个有效样本，针对有效样本，测试结果未发现偏差。上述报告期各期38个有效样本的金额比例情况如下:

由于38个有效样本按照系统抽样法选取，未按照销售金额大小选取，因此38个有效样本的金额占总样本量金额比例较低。控制测试的结论：未发现偏差，控制运行有效。

本案例中涉及的做法，在前面的内容都已经提及，相较于实质性程序来说，了解内控及控制测试比较简单，小伙伴不必担心。本篇到此结束，希望小伙伴们帮忙转发推广，帮助到更多财务、审计相关的职场新人。

来源：91审计帮上官