虽然在期末实施审计程序在很多情况下非常必要,但仍然不排除审计人员在期中实施审计程序可能发挥积极作用。在期中实施进一步审计程序,可能有助于审计人员在审计工作初期识别重大事项,并在管理层的协助下及时解决这些事项;或针对这些事项制定有效的实质性方案或综合性方案。但是,在期中实施进一步审计程序也存在很大的局限。首先,审计人员往往难以仅凭在期中实施的进一步审计程序获取有关期中以前的充分、适当的审计证据,例如某些期中以前发生的交易或事项在期中审计结束时尚未完结;其次,即使审计人员在期中实施的进一步审计程序能够获取有关期中以前的充分、适当的审计证据,但从期中到期末这段剩余期间还往往发生重大的交易或事项,包括期中以前发生的交易、事项的延续,以及期中以后发生的新的交易、事项,从而对所审计期间的财务报表认定产生重大影响;再次,被审计单位管理层也完全有可能在审计人员于期中实施了进一步审计程序之后对期中以前的相关会计记录作出调整甚至篡改,审计人员在期中实施进一步审计程序所获取的审计证据已经发生了变化。如果在期中实施了进一步审计程序,审计人员还应当针对剩余期间获取审计证据。
在确定何时实施审计程序时,除了对重大错报风险的考虑之外,还应当考虑以下几项重要因素:
1.控制环境。良好的控制环境可以抵消在期中实施进一步审计程序的局限性,使审计人员在确定实施进一步审计程序的时间时有更大的灵活度。
2.获取相关信息的时间。某些控制活动可能仅在期中(或期中以前)发生,而之后无法观察到;某些电子化的交易和账户文档如未能及时取得,可能被清除或覆盖。在这些情况下,审计人员如果希望获取相关信息,应适时地抓住时机。
3.错报风险的性质。例如,被审计单位可能为了保证盈利目标的实现,而在会计期末以后伪造销售合同以虚增收入,此时审计人员需要考虑在期末(即资产负债表日)这个特定时点获取被审计单位截至期末所能提供的所有销售合同及相关资料,以防范被审计单位在资产负债表日后伪造合同虚增收入的做法。
4.审计证据适用的期间或时点。审计人员应当根据需要获取的特定审计证据确定何时实施进一步审计程序。例如,为了获取资产负债表日的存货余额证据,显然不宜在与资产负债表日间隔过长的期中或期末以后某一时点实施存货监盘。
虽然审计人员在很多情况下可以根据具体情况选择实施进一步审计程序的时间,但也存在一些限制选择的情况。某些审计程序只能在期末或期末以后实施,如将财务报表与会计记录相核对,检查财务报表编制过程中所作的会计调整等。此外,如果被审计单位在期末或接近期末发生了重大交易,或重大交易在期末尚未完成,审计人员应当考虑交易的发生或截止等认定可能存在的重大错报风险,并在期末或期末以后检查此类交易。
四、进一步审计程序的范围
(一)进一步审计程序的范围的含义
进一步审计程序的范围是指实施进一步审计程序的数量,包括抽取的样本量,对某项控制活动的观察次数等。
(二)确定进一步审计程序的范围时考虑的因素
1.确定的重要性水平。确定的重要性水平越低,审计人员实施进一步审计程序的范围越广。
2.评估的重大错报风险。评估的重大错报风险越高,对拟获取审计证据的相关性、可靠性的要求越高,审计人员实施的进一步审计程序的范围也越广。
3.计划获取的保证程度。计划获取的保证程度是指审计人员计划通过所实施的审计程序对测试结果可靠性所获取的信心。计划获取的保证程度越高,对测试结果可靠性要求就越高,审计人员实施的进一步程序的范围越广。例如,审计人员对财务报表是否不存在重大错报的信心可能来自于控制测试和实质性程序。如果审计人员计划从控制测试中获取更高的保证程序,则控制测试的范围就应当更广。
在考虑确定进一步审计程序的范围时,审计人员可以使用计算机辅助审计技术对电子化的交易和账户文档进行更广泛的测试,以提高审计的效率和效果。这包括从主要电子文档中选取交易样本,或按照某一特征对交易进行分类,或对总体而非样本进行测试。
通常,进一步审计程序的范围可通过一定的抽样方法加以确定,审计人员使用恰当的抽样方法可以得出有效的结论,但如果存在下列情形,审计人员根据样本得出的结论可能与对总体实施同样的审计程序得出的结论不同,出现不可接受的风险:(1)从总体中选择的样本量过小;(2)选择的抽样方法对实现特定目标不适当;(3)未对发现的例外事项进行恰当的追查。因此审计人员需要慎重考虑抽样过程对审计程序范围的影响是否能够有效实现审计目的。
此外,审计人员在综合运用不同审计程序时,除了面临各类审计程序的性质选择问题,还面临如何权衡各类程序的范围问题。因此,审计人员不仅应当考虑各类审计程序的性质,还应当考虑测试的范围是否适当。
第四节控制测试
一、控制测试的含义和要求
(一)控制测试的含义
控制测试指的是测试控制运行的有效性,这一概念需要与“了解内部控制”进行区分。“了解内部控制”包含两层含义:一是评价控制的设计;二是确定控制是否得到执行。测试控制运行的有效性与“了解内部控制”时确定控制是否得到执行所需获取的审计证据是不同的。
在实施风险评估程序以获取控制是否得到执行的审计证据时,审计人员应当确定某项控制是否存在,被审计单位是否正在使用。在测试控制运行的有效性时,审计人员应当从下列方面获取关于控制是否有效运行的审计证据:(1)控制在所审计期间的不同时点是如何运行的;(2)控制是否得到一贯执行;(3)控制由谁执行;(4)控制以何种方式运行(如人工控制或自动化控制)。从这四个方面来看,控制运行有效性强调的是控制能够在各个不同时点按照既定设计得以一贯执行。因此,在了解控制是否得以执行时,审计人员只需抽取少量的交易进行检查或观察某几个时点。但在测试控制运行的有效性时,审计人员需要抽取足够数量的交易进行检查或对多个不同时点进行观察。
例如,某被审计单位针对销售收入和销售费用的业绩评价控制如下:财务经理每月审核实际销售收入(按产品细分)和销售费用(按费用项目细分),并与预算数和上年同期数比较,对于差异金额超过5%的项目进行分析并编制分析报告,销售经理审阅该报告并采取适当跟进措施(相关认定:发生、准确性和完整性)。审计人员抽查了最近3个月的分析报告,并看到上述管理人员在报告上签字确认,证明该控制已经得到执行。然而,审计人员在与销售经理的讨论中,发现他对分析报告中明显异常的数据并不了解其原因,也无法作出合理解释,从而显示该控制并未得到有效地运行。
测试控制运行的有效性与确定控制是否得到执行所需获取的审计证据虽然存在差异,但两者也有联系。为评价控制设计和确定控制是否得到执行而实施的某些风险评估程序并非专为控制测试而设计,但可能提供有关控制运行有效性的审计证据,审计人员可以考虑在评价控制设计和获取其得到执行的审计证据的同时测试控制运行有效性,以提高审计效率;同时审计人员应当考虑这些审计证据是否足以实现控制测试的目的。
例如,被审计单位可能采用预算管理制度,以防止或发现并纠正与费用有关的重大错报风险。通过询问管理层是否编制预算,观察管理层对月度预算费用与实际发生费用的比较,并检查预算金额与实际金额之间的差异报告,审计人员可能获取有关被审计单位费用预算管理制度的设计及其是否得到执行的审计证据,同时也可能获取相关制度运行有效性的审计证据。但审计人员需要考虑所实施的风险评估程序获取的审计证据是否能够充分、适当地反映被审计单位费用预算管理制度在各个不同时点按照既定设计得以一贯执行。
(二)控制测试的要求
控制测试并非在任何情况下都需要实施。当存在下列情形之一时,审计人员应当实施控制测试:
1.在评估认定层次重大错报风险时,预期控制的运行是有效的
如果在评估认定层次重大错报风险时预期控制的运行是有效的,审计人员应当实施控制测试,就控制在相关期间或时点的运行有效性获取充分、适当的审计证据。审计人员通过实施风险评估程序,可能发现某项控制的设计是存在的,也是合理的,同时得到了执行。在这种情况下,出于成本效益的考虑,审计人员可能预期,如果相关控制在不同时点都得到了一贯执行,与该项控制有关的财务报表认定发生重大错报的可能性就不会很大,也就不需要实施很多的实质性程序。为此,审计人员可能会认为值得对相关控制在不同时点是否得到了一贯执行进行测试,即实施控制测试。这种测试主要是出于成本效益的考虑,其前提是审计人员通过了解内部控制以后认为某项控制存在着被信赖和利用的可能。因此,只有认为控制设计合理、能够防止或发现和纠正认定层次的重大错报,审计人员才有必要对控制运行的有效性实施测试。
2.仅实施实质性程序不足以提供认定层次充分、适当的审计证据
如果认为仅实施实质性程序获取的审计证据无法将认定层次重大错报风险降至可接受的低水平,审计人员应当实施相关的控制测试,以获取控制运行有效性的审计证据。
对有些重大错报风险,通过实质性程序无法充分应对。例如,在被审计单位对日常交易或与财务报表相关的其他数据(包括信息的生成、记录、处理、报告)采用高度自动化处理的情况下,审计证据可能仅以电子形式存在,此时审计证据是否充分和适当通常取决于自动化信息系统相关控制的有效性。如果信息的生成、记录、处理和报告均通过电子格式进行而没有适当有效的控制,则生成不正确信息或信息被不恰当修改的可能性就会大大增加。在认为仅通过实施实质性程序不能获取充分、适当的审计证据的情况下,审计人员必须实施控制测试,且这种测试已经不再是单纯出于成本效益的考虑,而是必须获取的一类审计证据。
此外,被审计单位在所审计期间内可能由于技术更新或组织管理变更而更换了信息系统,从而导致在不同时期使用了不同的控制。这时审计人员应当考虑不同时期控制运行的有效性。
二、控制测试的性质
(一)控制测试的性质的含义
控制测试的性质是指控制测试所使用的审计程序的类型及其组合。审计人员应当选择适当类型的审计程序以获取有关控制运行有效性的保证。
计划从控制测试中获取的保证水平是决定控制测试性质的主要因素之一。计划的保证水平越高,对有关控制运行有效性的审计证据的可靠性要求越高。当拟实施的进一步审计程序采用综合性方案,尤其是仅实施实质性程序获取的审计证据无法将认定层次重大错报风险降至可接受的低水平时,审计人员应当获取有关控制运行有效性的更高的保证水平。
虽然控制测试与了解内部控制的目的不同,但两者采用审计程序的类型通常相同,包括询问、观察、检查和穿行测试。此外,控制测试的程序还包括重新执行。
1.询问。审计人员可以向被审计单位适当员工询问,获取与内部控制运行情况相关的信息。然而,仅仅通过询问不能为控制运行的有效性提供充分的证据,审计人员通常需要验证被询问者的答复,如向其他人员询问和检查执行控制时所使用的报告、手册或其他文件等。因此,虽然询问是一种有用的手段,它必须和其他测试手段结合使用才能发挥作用。在询问过程中,审计人员应当保持职业怀疑态度。
2.观察。观察是测试不留下书面记录的控制(如职责分离)的运行情况的有效方法。例如,观察存货盘点控制的执行情况。观察也可运用于实物控制,如查看仓库门是否锁好,或空白支票是否妥善保管。通常情况下,审计人员通过观察直接获取的证据比间接获取的证据更可靠。但是,审计人员还要考虑其所观察到的控制在审计人员不在场时可能未被执行的情况。
3.检查。检查对运行情况留有书面证据的控制,检查非常适用。书面说明、复核时留下的记号,或其他记录在偏差报告中的标志都可以被当作控制运行情况的证据。例如,检查销售发票是否有复核人员签字,检查销售发票是否附有客户订购单和出库单等。
4.穿行测试。穿行测试是通过追踪交易在财务报告信息系统中的处理过程,来证实审计人员对控制的了解、评价控制设计的有效性以及确定控制是否得到执行。可见,穿行测试更多地在了解内部控制时运用。但在执行穿行测试时,审计人员可能获取部分控制运行有效性的审计证据。