符合性测试是为了确定
内部控制制度的设计和执行是否有效(即效果好坏) 而实施的
审计程序。注册会计师在了解内部控制后,只对那些准备信赖的控制执行符合性测试,并且只有当信赖内部控制而减少的
实质性测试的工作量大于符合性测试的工作量时,符合性测试才是必要和经济的。
定义
符合性测试是对
内部控制的完整性、
有效性和实施情况进行的测试
目的
通常认为,
抽样审计的理论依据是建立在
内控的健全和有效上,因此,抽样审计必须建立内控的评价上,也就是对控制风险的评估;传统观点认为,必须根据控制测试的结果决定
实质性测试性质、时间与范围。笔者认为这种理论和观点在管理舞弊面前面临着极大的挑战,一个最简单的道理是,
管理舞弊往往绕过内控,即使内控再有健全和有效,也无法遏制
最高管理层粉饰报表行为。但是笔者并未认为内控测试是无效的,内控测试主要目的是帮助审计人员深入了解被审单位单据生成过程,以便审计人员在业务和余额
测试过程中对存在疑点的交易和事项进行深入的调查,因为入账的
原始凭证往往只是整个交易和事项形成的单据的一小部分,如确认收入的原始凭证可能只有一张发票,但是我们了解了内控,就清楚整个交易过程中要生成哪些单据、哪些人要签字,如果审计人员对某笔收入感到怀疑,则要作进一步的追查,也就是调更多的单据(原件)、并对涉及相关人员进行沟通,以确认该笔收入的真实性。
传统的思维是先进行控制
风险测试,以找到
风险控制的
薄弱环节,然后将
审计重点放在
内控薄弱环节下形成的交易与事项,这个思维笔者认为是极其错误的,内控薄弱环节往往不是审计的重点领域,实际上,从重大舞弊案手法来看,50%是虚构收入和提前确认收入,能说这50%的客户的“销售与收款”循环存在缺陷,尤其是提前确认收入?其实,人们在分析原因时,也提到内控存在缺陷问题,但这种缺陷往往是
公司治理结构存在问题,而不是某一个具体的环节出问题,传统的思维是用来侦查错误和职工舞弊上,如果内控存在缺陷,可能会出现记账不及时、存货账及财务账对不上等问题(错误)及员工损公肥私行为(舞弊),但这不是
外部审计的重点。
传统的
审计风险模型是
固有风险、控制风险和检查风险,传统的做法是“符合性测试――
实质性测试”(也就是先
内控后报表),这实际上,存在一个缺陷,
风险评估时是先考虑固有风险,但不管是符合性测试还是实质性测试都没有充分运用固有风险评估的结果,而且审计风险模型中一般还把固有风险定为1,这实际上是说明不管固有风险高低,结果是一样的。而真正的固有风险评估是一个很复杂过程,要搜集到非常多的资料,以判断和评估客户的经营和
财务风险。由于风险评估与测试脱节,导致审计人员对固有风险评估非常盲目,从而使
风险导向审计无法真正在实务中得到推广。
如果是这样,则
内控并不必成为一个独立的环节,而是为风险评估与
实质性测试(交易和余额)服务的,审计人员在风险评估时如果发现某个领域可能存在重大舞弊,则必须对该领域的内控进行了解(只需画出
流程图及各个环节生成单据及授权人、签字人、经办人),或者在实质性过程中发现某项
交易或事项(或系列交易或事项)存在疑问,则也要对该领域内控进行了解,了解目的是要进一步追查取得更多的
审计证据,也就是扩大审计证据范围。
也就是,在笔者的眼里,控制测试和控制风险也不复单独存在了,但并不是说不需要对
内部控制进行测试和评估,但已融合在其它的环节中,如对控制风险的评估部分已转入
固有风险的评估,内控测试和评估(部分)已转入
实质性测试中(也就是通常说的双重目的审计),这样,审计风险模型就要改造成:
从理论上,如果某客户存在重大错舞风险概率小于5%,而可接受的审计风险是5%,则检查风险
可定为1,这个1的含义是如果审计人员经评估客户存在重大错舞风险概率概率小于5%,可以不进行任何的交易和余额测试,当然由于评估重大错弊风险可能也需要对部分交易和余额进进行测试,另外
分析性测试是不可缺少的,审计人员必须取得充分和适当的审计证据证明客户存在重大错舞风险概率概率小于5%,这可能也需要
实质性测试来证实。
测试依据
符合性测试是对内部控制的完整性、有效性和实施情况进行的测试。根据预期审计目标确定所收集证据的数量和质量上的标准,符合性测试可通过
审计抽样确定
测试范围,找出内控弱点,确定内部控制的可靠性。
健全依据
内部控制健全性的
审计测试主要是验证企业各项
内部控制制度是否已经建立,各项制度是否衔接,每一制度构成要素是否齐全。内部控制制度构成因素一般有:
组织结构、
人员配备、
业务素质、岗位责任、业务程序、处理手续、检查标准、
内部审计等,它体现在企业的各项
管理制度中。因此,符合性测试的健全性依据就是看内部控制制度的构成要素是否齐全。
完善依据
完善性的审计测试主要是验证对保证
内部控制目标实现的内部
控制技术的
完善程度。测试的主要依据是: 1.具有完善的机构。看其是否依据经营特点和管理需求设置健全的、有层次的组织机构;是否依据
责、权、利相结合的原则,明确规定各职能机构的权限与责任;是否根据各职能机构的经营任务与特点,设置岗位,按岗定员;是否根据岗位的需要,选择合适的人才;组织机构是否有利于上、下级信息沟通,避免机构重叠,是否符合机构设置
经济效用原则;各部门、各环节、各层次机构设置及其分工是否合理、有效,有无自动检查功能、纠错功能和控制补偿功能。
2.配备合格人才。看其是否制订合格、优秀人才的挑选机制;是否建立岗位
竞争机制;是否有人员的培训与人才的开发机制;是否有人员的考核奖惩与
激励机制。此外,还要看其是否制定有适当的
内部控制措施。
有效依据
1.是否有有效的目标控制。
企业目标分为总目标和分类目标两种,总目标是企业在一定期间要达到的目标,分类目标是对总目标的细分,是为保证总目标的完成而设置的。对两者的测试依据主要是:单位内部是否通过创建目标,分期对生产、经营销售、财务、成本等方面制定切实可行的计划并对执行情况进行控制。2.是否有有效的组织
人事控制。3.是否有有效的职责分工控制。主要测试依据是:不兼容的部门职责是否集中于一个部门;是否一人兼任不兼容的职责。4.是否有有效的
授权批准控制。5.是否有有效的过程控制。主要测试依据是:对重复出现的业务,按历史经验和客观要求,制订标准化程序作为行动的准则;对
非经常性业务,如对外投资,应做好
可行性研究,经有关部门批准后再予实施。6.是否有有效的措施控制。主要测试依据是:(1)是否有有效的记录控制。其基本标准是:任何管理形式和程序都要
有对行动负责的授权记录,建立记录报告制度。企业在作出某项决策时,应对意向的提出和中间讨论和论证过程和最后作出决议的整个过程进行记录。如在审计评审
会计业务过程控制时,主要测试的记录控制为
会计记录控制。(2)是否有有效的
实物控制。实物控制是为保护各项资财所采取的
安全设施和措施。包括实物的控制手段和人员的控制手段。7.是否有有效的
监督控制。主要测试依据是:是否有有效的
内部审计监督控制。
通过对以上三个方面符合性测试依据的把握,可以使
审计人员在作符合性测试时做到心中有数,并使测试评价标准趋于统一,这有利于提高符合性测试的效率和质量。
实测联系
而实质性测试主要是交易和余额的详细(细节)测试及对
会计信息和非会计信息应用的
分析性复核程序。 运用这一类
审计程序可取得证明
管理当局在
会计报表上的各项认定是否公允的证据。
符合性测试的方法一般有①检查、②询问、③
重新执行、④观察等4种;
实质性测试的方法一般有交易和余额的详细(细节)测试及对会计信息和非会计信息应用的分析性复核程序两大类,6小种:即通过检查、观察、查询及
函证、监盘、计算和分析性复核等方法,获取充分、适当的
审计证据,以便对被审计会计报表发表意见提供合理的基础。符合性测试为实质性测试打基础,符合性测试的结果为确定实质性测试的范围、重点、时间提供依据; 实质性测试是在符合性测试的基础上进行的,实质性测试的程度取决于符合性测试的结果。 具体联系如下:
实测区别
1、测试目的不同:前者是为确定
实质性测试性质,范围,时间; 后者是为了对被审核单位
内控制度发表审核意见。
2、测试范围不同,前者只对拟信赖的
内控进行测试; 后者视委托目的而定。
3、测试依据不同,前者依据《
独立审计准则》; 后者依据《
内部控制审核指导意见》。
4、测试时间不同,前者和报表
审计期间相同; 后者视委托目的而定。
5、测试结果不同,前者形成
审计工作底稿; 后者形成
内部控制审核报告。
6、
内部控制审核要求被审核单位提供有关
内控情况的书面声明,而符合性测试不需要。
符合性测试与
实质性测试之比较表区别点符合性测试实质性测试
2、测试目的确定内部控制的设计和执行是否有效确定
会计报表项目认定的公允性
3、程序性质询问、观察、检查、
重新执行观察、检查、
监盘、查询及
函证、
分析性复核、计算等
4、测试时间期中、期末为主期末、期后为主
5、实施要求选择进行必须进行
7、程序种类同步、额外、计划符合性测试三种余额、交易、
分析性测试三种
10、抽样类型属性抽样变量抽样