内部控制及其测试误区分析

案例介绍：

某执业质量检查组至A会计师事务所进行执业质量检查，小孙负责检查小陶、小徐两位注册会计师签发的甲公司年报审计报告，检查工作底稿中对了解内控和控制测试方面的审计情况记录了如下问题：

“注册会计师仅通过询问和观察程序对被审计单位的内部控制进行了一些简单了解，但了解的内容不全面、不透彻，评价内控的依据不完整、不充分，没有实施检查和穿行测试，也未能将对内部控制的了解与对审计风险的评估有机结合，对内控了解的情况和深度不足以识别潜在错报的类型和考虑导致重大错报风险的因素。

注册会计师没有对被审计单位的内部控制进行测试，但依据对内部控制并不全面也未深入的了解，不仅作出了内部控制存在、设计有效、得到执行、可以信赖且运行有效的审计结论，而且还作出了仅需从实质性程序对各类交易、账户余额、列报获取保证程度为低的职业判断。”

看到检查意见后，小陶和小徐提出了不同意见，俩人认为，由于受到客观因素的制约，他们已经在力所能及的范围内对被审计单位的内部控制进行了充分了解，而且已经就了解的内容做了必要的记录和取证，同时对了解的内控进行了分析和评价并形成了审计结论。至于没有对被审计单位内部控制进行测试的问题，他们认为，在了解内部控制时，他们已就了解到的内部控制的执行情况同步进行了了解，通过询问和观察，认为所了解的这些内控确实得到了很好执行，所以就得出了内部控制存在、设计有效、得到执行且运行有效的审计结论，即他们已将对内部控制的了解与测试合二为一。但两人同时也承认，在内部控制方面实施的程序总体上简单了一点，对被审计单位及其环境的了解也不够全面，工作底稿中作出内部控制得到执行且运行有效的依据也欠充分，由于受到被审计单位内外部客观情况的限制，能做到如此程度已尽了他们的最大努力。

看到两位签字注册会计师的解释，小孙也深知，在受到客观因素限制的情况下，要全面和规范履行了解内控及控制测试方面的审计程序确实有一定困难，但作为执业质量检查，更应该指出注册会计师在执业过程中存在的所有问题。通过对两位注册会计师对检查意见答复的分析，小孙意识到两位注册会计师在对新准则的认识上还存在误区，不仅混淆了与内部控制、了解内控及控制测试方面相关各概念的含义，而且对与了解内控和控制测试相关的各审计程序的作用、履行和衔接等问题也模糊不清。经过小孙的耐心解释，两位签字注册会计师终于认识到自己存在的错误。

案例分析：

上述案例实际上是对小企业审计中内部控制方面常见的典型问题，笔者从三个方面分析如下:

一、模糊了与内部控制相关各概念的含义

第1211号审计准则第四十五条规定：“注册会计师应当了解与审计相关的内部控制以识别潜在错报的类型，考虑导致重大错报风险的因素，以及设计和实施进一步审计程序的性质、时间和范围。”从该条规定可知，了解被审计单位内部控制不仅是识别和评估重大错报风险、设计和实施进一步审计程序的基础，而且也是注册会计师进行年度会计报表审计必须履行的审计程序。

第1211号审计准则第五十四条又规定，“注册会计师在了解内部控制时，应当评价控制的设计，并确定其是否得到执行。”由此可见，“了解内部控制”应包含两大要求：一是评价控制的设计；二是确定控制是否得到执行。另外，该条还对评价控制的设计和控制是否得到执行作了明确解释：“评价控制的设计是指考虑一项控制单独或连同其他控制是否能够有效防止或发现并纠正重大错报。控制得到执行是指某项控制存在且被审计单位正在使用。”而由于控制测试指的是测试控制运行的有效性，因此，了解被审计单位内部控制成为注册会计师实施控制测试的前提。通过对被审计单位内部控制的了解，如果被审计单位的一项控制单独或连同其他控制能够有效防止或发现并纠正重大错报，而且被审计单位正在使用，则具备了进行控制测试的基础，而对内部控制测试的结果无外乎有效、无效和无法评价有效性三种类型。

在理清与内部控制相关的概念后，我们不难看出，上述案例中，两名注册会计师在仅履行询问和观察程序的情况下就得出了上述审计结论和职业判断，审计程序明显不充分，审计判断和审计结论缺乏证据支撑。由此可见，这两名注册会计师没有弄清楚两大问题：一是“询问和观察”不仅不足以评价和获取控制设计及执行的充分证据，更不足以测试控制运行的有效性，审计程序不充分、不完整；二是没有弄清楚了解内控与控制测试两概念各自的本质内涵、相关程序及作用的区别，实际上，两位注册会计师把对内部控制的了解误认为是包括内控测试在内的关于内部控制方面的全部内容。

从该案例还可以看出，两位注册会计师模糊了与内部控制相关的四对概念的区别和联系，即“了解内部控制”与“控制测试”、“内部控制存在”与“内部控制得到执行”、“内部控制得到执行”与“内部控制执行有效”、“内部控制设计有效”与“内部控制执行有效”。笔者认为，注册会计师要区分这四对概念并不复杂：首先，了解内部控制属于风险评估程序，而控制测试属于进一步审计程序，只有在了解到内部控制存在且得到执行后才可以进行控制测试，不能用对内部控制的了解来代替对内部控制的测试；其次，内部控制存在不等于内控一定得到执行，被审计单位可能仅是制定了书面的内控制度，但实际上并未付诸实施；再次，内部控制得到执行是内部控制执行有效的前提，得到执行并不一定等于执行有效，要知道内控形同虚设没有实际效果的情况往往很多；最后，内部控制设计有效仅是从理论上对内部控制可行性和合理性进行的评价，内控执行有效必须通过实施内控测试审计进行评价，所以，内控设计有效并不等于内控实际执行有效。

二、混淆了与内控相关的六大程序的关系及衔接：

从上述案例还可以看出，注册会计师混淆了与内部控制相关的六大审计程序的关系及衔接。实际上，与内部控制相关的各审计程序之间存在着非常明确的顺序和逻辑关系，但是，到目前为止，仍有许多注册会计师不是认识上模糊不清，就是实际执行中含含糊糊，上述案例中的两位注册会计师就存在这方面的问题。为此，笔者将与内部控制有关的审计程序按照执行的先后顺序和逻辑关系进行了归纳，并对归纳的六大程序的概念、内涵及相互间的逻辑关系进行了简要分析，供同仁们参考。

流程一、了解被审计单位与审计相关的内部控制是否存在

在风险评估阶段，注册会计师在了解被审计单位及其环境时，必须同时了解与审计相关的内部控制是否存在，注册会计师应分别从被审计单位的整体层面和业务流程层面了解和评价与审计相关的内部控制。

如果了解的结果是被审计单位设计并制定了内部控制，则继续流程二，否则直接进入流程六。

但这里必须补充并强调说明的是，由于老审计准则对企业内部控制了解及审计的要求并未十分强调，而且每年的继续教育对内部控制及其审计方面的培训也不多，这造成了目前存在的三大问题：一是许多注册会计师对企业内部控制的基本理论、框架、流程和实践重视不够，知之甚少；二是许多注册会计师对企业的内部控制究竟哪些与审计相关，哪些与审计无关的分析和判断缺乏实践和经验；三是对究竟应该从哪些方面和哪些渠道了解被审计单位与审计相关的内部控制缺乏实践和经验。因此，要能够全面、深入和准确地了解被审计单位与审计相关的内部控制，还需要广大注册会计师抓紧对企业内部控制及内控审计的理论学习和反复实践。

流程二、评价被审计单位内部控制的设计

在确认被审计单位设计并制定内部控制后，注册会计师应该评价内部控制的设计（即评价内部控制本身的可行性、合理性和有效性），并考虑一项控制单独或连同其他控制是否能够有效防止或发现并纠正重大错报。

如果被审计单位的控制设计合理、可行且有效，则继续流程三，否则直接进入流程六。

流程三、确定被审计单位的内部控制是否得到执行

内部控制得到执行是指某项控制存在且被审计单位正在使用。在评价被审计单位内部控制的设计后，注册会计师通常实施以下四个方面的审计程序，以获取有关控制设计和执行的审计证据：

1．询问被审计单位的人员。但必须注意的是，询问本身并不足以评价控制的设计以及确定其是否得到执行，注册会计师应当将询问与其他风险评估程序结合使用。

2．观察特定控制的运用。但必须注意的是，观察提供的证据仅限于观察发生的时点，本身也不足以测试控制运行的有效性；将询问与检查或重新执行结合使用，通常能够比仅实施询问和观察获取更高的保证。

3．检查相关文件和报告。

4．追踪交易在财务报告信息系统中的处理过程（穿行测试）。

通过上述审计程序，如果确认被审计单位的内控得到执行，则继续流程四，否则直接进入流程六。

这里需补充说明的是，上述案例中的注册会计师就是犯了这方面的错误，注册会计师仅履行了询问和观察程序就对内部控制作出了存在、设计有效、得到执行、可以信赖且运行有效的一系列的评价。审计程序和审计证据明显不充分、不恰当。

流程四、判断是否拟信赖内部控制

在确认被审计单位内部控制得到执行的基础上，注册会计师应该判断对得到执行的内部控制是否信赖，以作出是否对内部控制有效性进行测试的结论。

如果判断拟信赖内部控制，则继续流程五，否则直接进入流程六（实质性测试）。

该问题需补充说明两点，一是基于前述对内部控制的了解和审计，如了解或审计的结果是难以评价内部控制设计的有效性或内控执行情况很不理想，不拟信赖，注册会计师由此可以作出不进行控制测试的结论；二是基于对成本效益原则的考虑，如果注册会计师认为，实施控制测试不能节约审计资源，也可以作出不进行控制测试的结论。这两种情况下，注册会计师都可以直接进入流程六。

但还必须注意的是，如果不打算信赖内控，注册会计师仍需要执行穿行测试以确认以前对业务流程及可能发生错报环节的了解的准确性和完整性。

流程五、测试控制运行的有效性（即实施控制测试）

控制测试就是指测试控制运行的有效性。如果在评估认定层次重大错报风险时，被审计单位的控制设计合理、能够防止或发现并纠正认定层次的重大错报，即控制的运行是有效的，则注册会计师应当对控制运行的有效性实施测试，就控制在相关期间或时点的运行有效性获取充分、适当的审计证据。

注册会计师应当从下列四个方面获取关于内部控制是否有效运行的审计证据：

1．控制在所审计期间的不同时点是如何运行的；

2．控制是否得到一贯执行；

3．控制由谁执行；

4．控制以何种方式运行（例如人工控制或自动化控制）。

但必须注意的是，对内部控制执行有效的评价涉及到内部控制的各个具体认定层次，而各具体认定层次的控制可能有的有效、有的无效或存在缺陷，此时应该对无效或存在缺陷的具体认定层次加大实质性程序的测试量，以获取更高的保证程度。

流程六、根据控制测试的结果并结合风险评估的情况实施实质性程序

只有认为控制设计合理、能够防止或发现并纠正认定层次的重大错报，注册会计师才有必要对控制运行的有效性实施测试。

但必须说明的是，注册会计师可以并应该考虑在评价控制设计和获取内控制得到执行的审计证据的同时测试控制运行的有效性，即在穿行测试程序后增加对内控有效性的测试，以提高审计效率（注意：此过程实际上已将风险评估程序和进一步审计程序有机衔接）。

在对被审计单位内部控制的有效性进行测试后，注册会计师应根据控制测试及对被审计单位及其环境了解的结果识别潜在错报的类型，考虑导致重大错报风险的因素，以及设计和实施进一步审计程序的性质、时间和范围。

三、对小型被审计单位内部控制审计程序的考虑

（一）对内部控制不健全应考虑的问题

由于小型被审计单位通常采用非正式和简单的内部控制实现其目标，参与日常经营管理的业主（管理层）可能承担着多项职能，许多控制程序可能由管理层直接实施，内部控制要素不能得到清晰区分，而管理层对内部控制设计的态度、认识和措施又集中反映了业主的控制意识，并且具体体现为其直接参与被审计单位日常经营活动的程度以及经营理念和方式。由此可见，对小型被审计单位内部控制方面的审计不仅有其特殊性，而且还有很多困难。此时，注册会计师应当综合考虑小型被审计单位的内部控制要素能否实现其目标，笔者认为，需注意五点：

一是由于小型被审计单位可能不存在能够被注册会计师识别的控制活动，从而无法进行控制测试，因此，在小型被审计单位审计中，注册会计师在设计和实施进一步审计程序时，可能考虑主要采取实质性方案，即注册会计师实施的进一步审计程序可能主要以实质性程序为主。

二是如果小型被审计单位能够提供成文的内控制度（可能体现为制度汇编、手册、文件等多种形式），则注册会计师应该对内部控制设计是否有效、是否得到执行、是否信赖及执行是否有效进行测试。

三是如果小型被审计单位没有成文的内控制度，但只要被审计单位实际上存在着常规的可以识别的控制活动，而且这些控制活动能够保障该企业正常、持续地生产经营，此时，注册会计师一方面应该遵循第1621号审计准则第十七条的规定：“在小型被审计单位审计中，可能无法获取以文件形式存在的有关控制环境要素的审计证据，注册会计师应当重点了解管理层对内部控制设计的态度、认识和措施。”另一方面，注册会计师应当运用专业判断确定该被审计单位的可审计性。如果确定可以审计，则注册会计师应该根据了解的情况分析出内控方面可能存在的问题或薄弱环节，同时指出通过了解内控发现的可能存在的重大错报风险。此时，注册会计师对内部控制的了解可以借助询问、观察、检查和穿行测试等程序，并在设计进一步审计程序时更多地考虑运用实质性方案，即实施的进一步审计程序以实质性程序为主。

四是即使小型被审计单位存在能够被注册会计师识别和评价的控制活动，往往也会因为其内部控制不正式或过于简化、控制环境薄弱、缺乏正式的风险评估过程、与财务报告相关的信息系统和沟通过于简化和不正式、职责分离有限、缺乏持续的监督活动以及业主（管理层）凌驾于内部控制之上的可能性较大等原因，而不拟信赖其内部控制。在这种情况下，注册会计师一般应该考虑主要采取实质性方案。

五是即使小型被审计单位存在内部控制，但这仅是评价其内部控制的设计、执行以及运行有效性的基本前提，并不意味着内部控制的设计一定有效、得到执行和可以依赖，也不一定表明该小型被审计单位具备可审计性。被审计单位的内部控制只有满足存在、设计有效、得到执行和可以信赖后，才可以和应该对内部控制进行测试。

从这五点注意事项并结合上述案例可以看出，案例中的注册会计师虽然对内部控制进行了一些了解并作出了评价，但其实际履行的审计程序说明，注册会计师不仅大大简化了对内部控制方面的审计程序，而且还在很大程度上体现出执行新准则的形式主义。

（二）不进行控制测试究竟应该如何规范

在日常对小企业的审计实务中，我们相当多的注册会计师往往在不对被审计单位内部控制进行必要了解和取证的情况下，就以被审计对象为小型被审计单位，被审计单位内部控制未能有效执行及实施控制测试不符合成本效益原则等理由不对被审计单位的内部控制进行测试。这里可能存在两个误区，一种可能是将对内部控制的了解与内部控制测试的概念混为一谈，另一种可能是将不对内部控制进行必要了解的前提条件与不进行内部控制测试的前提条件混为一谈。根据第1211号审计准则第四十五条的规定，了解被审计单位与审计相关的内部控制是注册会计师必须实施的审计程序，即不管是否进行内控测试，注册会计师都必须对内部控制进行必要的了解。事实上，不对被审计单位与审计相关的内部控制进行必要的了解，就不可能了解和掌握不进行控制测试的原因，也就无法作出是否应该进行控制测试的判断。

必须注意的是，虽然了解内部控制与控制测试的目的不同，但两者采用审计程序的类型通常相同，均包括询问、观察、检查和穿行测试，此外，控制测试的程序还包括重新执行。当询问、观察和检查程序结合在一起仍无法获得充分、适当的审计证据时，注册会计师应考虑通过重新执行来证实内部控制是否能够有效运行。但是，如果需要进行大量的重新执行，注册会计师就要考虑通过实施控制测试来缩小实质性程序的范围。

那么，注册会计师究竟在哪些情况下可以不进行控制测试，如果不进行控制测试又应该如何在工作底稿中予以说明呢？

第1231号准则《针对评估的重大错报风险实施的程序》第四章第二十六条规定：“当存在下列情形之一时，注册会计师应当实施控制测试：（一）在评估认定层次重大错报风险时，预期控制的运行是有效的；（二）仅实施实质性程序不足以提供认定层次充分、适当的审计证据。”可见，新准则从正面规定了必须实施控制测试的两种情形。但是，如果被审计单位的内控不存在，或者虽有内控，但并未执行，或者内控虽执行，但难以评价内控的有效性（不拟信赖），很显然，在这三种情况下，一是不可能出现“预期控制的运行是有效的”，二是即使出现仅实施实质性程序不足以提供认定层次充分、适当的审计证据的情形，但也无法实施控制测试，即无法满足新准则所规定的上述两个必须进行控制测试的情形，无法实施控制测试。因此，当出现这三种情形时，注册会计师可以不实施控制测试而直接进入实质性程序。

但根据第1231号准则《针对评估的重大错报风险实施的程序》指南第三章第一节第二部分的规定：“而在另一些情况下（如注册会计师的风险评估程序未能识别出与认定相关的任何控制，或注册会计师认为控制测试很可能不符合成本效益原则），注册会计师可能认为仅实施实质性程序就是适当的。”此条实际上也规定了注册会计师如果认为实施控制测试不符合成本效益原则（笔者认为审计工作底稿中需有注册会计师判断不符合成本效益原则的测算依据），注册会计师可以决定不实施控制测试而直接进入实质性程序，这条授予了注册会计师使用成本效益原则的权利。

另外，根据第1621号准则第二十四条规定：“小型被审计单位可能不存在能够被注册会计师识别的控制活动，注册会计师实施的进一步审计程序可能主要是实质性程序。”该准则指南第四章第三大部分第一段也明确规定：“注册会计师应当了解小型被审计单位的相关内部控制，并对拟信赖的内部控制进行测试，据以确定进一步审计程序的性质、时间和范围。如果不拟信赖内部控制，注册会计师可以不实施控制测试而直接实施实质性程序。”由此可见，如果确认被审计单位为小型企业，则注册会计师可以考虑不实施控制测试而直接实施实质性测试。

根据以上分析，在今后对小型被审计单位的审计中，如果被审计单位存在上述五种（三加二）情形之一，笔者认为，根据成本效益原则，注册会计师就可以且应该考虑不实施控制测试而直接实施实质性程序。但是，注册会计师必须在审计工作底稿中明确说明不实施控制测试的具体理由、准则依据并获取相应的审计证据。如注册会计师判断不拟信赖内部控制，则工作底稿中应该获取不拟信赖内部控制的相关证据，而且还必须在审计计划中说明其判断的具体理由和准则依据；又如，如果注册会计师判断被审计单位为小型企业，则应该获取被审计单位属于小型企业的相关证据，而且还必须在审计计划中说明其判断的具体理由和准则依据。这样，注册会计师才可以不实施控制测试而直接实施实质性程序。

（作者单位：江苏省南通市注册会计师协会）