随着人工智能和大数据的应用，审计界刮起了一股科技风，审计师言必称全样本、大数据。殊不知，大数据、全样本都是建立在数据真实性、可靠性的基础之上。如何确保真实性和可靠性，是现代审计重点关注的事项。除了系统本身（比如区块链、容错机制等）的保障外，控制测试（手工抽样测试）必不可少，这也是未来审计人工不可替代的原因，但主要是IT审计。

为了规范注册会计师执行财务报告内部控制(以下简称内部控制)审计业务，明确工作要求，提高执业质量，维护公众利益，根据中国注册会计师审计准则、《企业内部控制基本规范》和《企业内部控制审计指引》，在整合审计框架下，制定《企业内部控制审计指引实施意见》,本文选自《意见》相关篇章。

一、控制测试的目标

大量的实践证明，企业的内部控制与财务信息质量具有很大的相关性，如果企业的内部控制健全有效，财务报表发生错误和舞弊的可能性就小，财务信息的质量就有保证，这也是政府有关部门近年来大力推进企业内控制度建设的重要原因。

在风险导向的审计理念下，在风险评估阶段，注册会计师应当了解与评价被审计单位的内部控制，其目的是评价被审计单位内部控制的设计，并确定其是否得到执行，以识别和评估由于内部控制设计的缺陷或内控未得到执行而产生的重大错报风险。“了解与评价被审计单位的内部控制”，是审计准则规定注册会计师必须要执行的审计程序。

控制测试，是指用于评价内部控制在防止或发现并纠正认定层次重大错报方面的运行有效性的审计程序。控制测试是进一步审计程序的主要内容，在审计实施阶段执行，其目的是测试内部控制运行的有效性，以确定实质性程序的审计重点和审计范围。

但控制测试却不是必要程序，作为进一步审计程序的类型之一，控制测试并非在任何情况下都需要实施，执行与否是由注册会计师根据评估的重大错报风险水平与职业判断决定的。审计准则规定，当存在下列情形之一时，注册会计师应当设计和实施控制测试：
1、在评估认定层次重大错报风险时，预期控制的运行是有效的；
2、仅实施实质性程序并不能够提供认定层次充分、适当的审计证据。

其中第二情形下，控制测试是获取充分、适当的审计证据的必要程序；在第一种情形下，如果注册会计师预期控制的运行是有效的，且执行控制测试的工作量小于预计减少的实质性程序工作量，即符合成本效益原则，才执行控制测试。

因此，在风险评估阶段，注册会计师通过了解与评价被审计单位的内部控制的设计和是否得到执行，从而识别和评估由于内部控制设计的缺陷或内控未得到执行而产生的重大错报风险。针对评估的重大错报风险，通过设计和实施恰当的应对措施，获取充分、适当的审计证据。这里所称恰当的应对措施，包括审计策略的选择是以控制测试为主，还是以实质性程序为主。一般来说，对于上市公司和国有企业等经营规模较大、内控制度（特别是与财务信息有关的内控制度）较健全的企业，选择执行控制测试，可以减少实质性程序工作量，从而达到提升审计效率的目标。相反，若企业经营规模小、内控制度不健全，审计时应更多地依赖实质性程序以获取充分、适当的审计证据。注册会计师应将上述判断过程记录于审计工作底稿中。

二、控制测试中存在的问题

目前控制测试中存在两类问题：

1、控制测试不做或测试强度不够。为节省工作时间，有的注册会计师以了解内控程序代替控制测试程序。在这种情况下，注册会计师仅执行询问和观察程序就得出了被审计单位内控有效的审计结论和职业判断，审计程序明显不充分，审计判断和审计结论缺乏证据支撑。实际上，“询问和观察”不仅不足以评价和获取控制设计及执行的充分证据，更不足以测试控制运行的有效性。有的注册会计师针对业务循环的关鍵控制点（关鍵控制是指与财务信息质量直接相关的控制），选择的控制测试样本量极少，如对记录销售收入与发货这样的频繁控制，仅执行少量数量（如小于或等于5笔）的测试。由于样本覆盖范围小，完全无法获取被审计单位的内控在整个会计期间都有效运行的审计证据。

2、控制测试作了大批量的样本量测试，但控制测试的评价结果不能很好地运用到指导实质性程序的性质、时间和范围，导致控制测试与实质性程序脱节，如在实质性程序中重复做类似性质的大样本量测试，就显得整个审计逻辑思路不清晰，也有损审计效率，不符合成本效益原则。

三、做好控制测试 提升审计效率

为了克服以上两类问题，有必要正确认识控制测试的作用，充分发挥控制测试对审计效率的提升作用。实际上，从审计理论来讲，控制测试就是为了节省工作量、提升审计效率而采取的审计策略，而现在有的审计人员认为执行控制测试是增加了审计的工作量，是为了应付检查而在形式上做的一种程序。为了做好控制测试，除了审计人员需改变观念外，还有必要规范控制测试的样本量，同时指导审计人员如何通过控制测试合理安排实质性程序的性质、时间和范围。

1、 控制测试对象的选择

与财务报告有关的内部控制才是控制测试对象，而其中的关键控制点是注册会计师测试的重点。

在财务报表审计时，首先，项目组需分析并确定被审计单位重要会计报表项目、披露事项；

其次，项目组需分析判断影响重要会计报表项目的业务流程循环，同时确定重要会计报表项目与业务循环之间的对应关系；

第三，分析确定各个重要会计报表项目和披露事项影响的相关会计报表认定，根据内部控制了解到的对各个重要会计报表项目和披露事项涉及的关键控制点及相关控制措施确定为控制测试对象。

通常我们可以将被审计单位的业务活动划分为七大循环：销售与收款循环、采购与付款循环、生产与仓储循环、工薪与人事循环、筹资与投资循环、固定资产循环、货币资金循环。实践上，注册会计师一般都是按以上七大循环来做控制测试的。对于不同的被审计单位，各个业务循环的重要性不同，涉及的关键控制点也可能不同，控制测试的重点也会有所差异。

另外审计准则规定，在连续审计情况下，如果有关内部控制未发生变化，注册会计师应当每三年至少对控制测试一次，并且在每年审计中测试部分控制，以避免将所有拟信赖控制的测试集中于某一年，而在之后的两年中不进行任何测试。但对于特别重要的内部控制和评估为特别风险的认定（如与销售收入、采购有关的关键控制），应当每年都要进行控制测试。

2、控制测试的样本量

对关键控制点执行有效性测试，检查和重新执行是保证程度较高的方法，而在执行检查及重新执行方法时，最重要的环节是选取测试样本，只有选取的样本适量且具有代表性才能使审计人员得出正确的结论。由于抽样风险的存在，在测试过程中应选择适当的样本数量，从而将抽样风险降至最低。抽样风险一般随着内控活动的频率增加而增加，即某项内部控制活动越频繁控制不能有效运行的风险越高，抽样比例亦应增加。 由于抽样的上述特性，在执行内控测试时，要根据内控活动发生的频次确定选取样本的数量。就频次与样本量之间的关系，目前理论上尚无确定的公认的数据。借鉴国内外会计师事务所的实践经验，下面表格数据可供测试时选取样本的数量参考：

1）固定发生频率的抽样标准

2）按需不定期抽样标准：获取测试期间内部控制发生的频率，转换成固定发生的频率后按标准抽样原则进行样本抽样。

按活动频率进行全年的折合，然后再按该项控制活动全年发生的次数折合成相应频次比照上面的情况确定样本数量。

选取样本方法

样本选择一般包括三种方法：随意抽样、系统抽样、随机抽样；

受抽样技术的限制，系统抽样较难做到，通常不采用；在实际测试中，一般选择随意抽样及简单随机抽样的方法。随意抽样指在选定的样本总体中无意识的随意点取进行抽样的方法；简单随机抽样指在选定的样本总体中以固定间隔或根据控制措施针对性选样的方法。本次测试可采用随意抽样方法。

在选择样本时，还要考虑如下因素：

Ø  样本的覆盖率

即抽样不能集中在某个月，应覆盖大部分生效月份，在进行年度内控执行有效性测试时，必须选择有第四季度的样本进行测试，方可对其执行有效性进行评价。

Ø  选取样本与控制措施相结合

在选择样本时，需与控制措施相结合，选择样本要具有针对性，如在被审计单位控制措施规定要对月度间波动的正常性进行复核，那么审计人员在抽样时，需考虑选择连续月份样本进行测试，方可对其控制执行有效性得出正确的结论。

Ø  样本代表性

在抽取样本时，需注意样本的代表性，不能只考虑“没有问题发生的样本”，对发现的存在问题的样本不做记录，如此将严重影响测试结论。

内控运行评价结论

I．运行有效

若在进行运行测试后未发现例外情况，则可得出运行有效的结论。

II．运行无效

如果在进行运行测试中出现一个例外情况则需补充样本进行测试，具体样本量如下：

若再出现一个例外情况，则需再次按照补充样本量的双倍另外选取样本进行测试。

在例外数量达到上表中列示的可容忍例外数量后即停止测试，该控制出现缺陷。

出现缺陷即可得出运行无效的结论。