如果审计师通过控制测试

控制测试并非必要程序，只是为了减少相关的抽样样本而使用的方式。当控制执行情况较高的情况下就可以较少的实质性程序。

第一条为了规范审计人员在审计过程中对被审计单位内部控制的测评行为，保证审计工作质量，根据《中华人民共和国国家审计基本准则》，制定本准则。第二条本准则所称内部控制，是指被审计单位为了维护资产的安全、完整，确保会计信息的真实、可靠，保证其管理或者经营活动的经济性、效率性和效果性并遵守有关法规，而制定和实施相关政策、程序和措施的过程。内部控制由控制环境、风险评估、控制活动、信息与沟通和监督五个要素组成。第三条本准则所称的内部控制测评，是指审计人员通过调查了解被审计单位内部控制的设置和运行情况，并进行相关测试，对内部控制的健全性、合理性和有效性作出评价，以确定是否依赖内部控制和实质性测试的性质、范围、时间和重点的活动。第四条建立健全内部控制并保证其有效实施是被审计单位的责任，审计人员的责任是对内部控制的健全性和有效性进行评价。第五条审计人员进行内部控制测评分为下列四个步骤：（一）对内部控制进行调查了解；（二）对内部控制进行初步评价，评估控制风险；（三）对内部控制的执行情况进行符合性测试；（四）提出内部控制测评结果，并利用测评结果确定实质性测试的范围、重点和方法。第六条审计人员对内部控制的调查了解和初步评价可以通过下列方法进行：（一）查阅被审计单位的各项管理制度和相关文件；（二）询问被审计单位管理人员和其他有关人员；（三）检查内部控制过程中形成的文件和记录；（四）观察被审计单位的业务活动和内部控制的实际运行情况。第七条审计人员对被审计单位控制环境进行了解的内容主要有：被审计单位的高层管理人员和其他管理人员的控制意识和诚信程度，经营规模及业务复杂程度，组织机构和相关制度，各部门的分工和职责，主要财政预算和财务计划，人力资源政策等。第八条审计人员对被审计单位的风险评估进行了解的内容主要有：被审计单位如何确定风险、评估风险的重要性，如何将风险发生的可能性与管理目标、经营计划和财务报告的相关内容联系起来并采取相应的措施。第九条审计人员对被审计单位的控制活动进行了解的内容主要有：被审计单位各项业务处理程序的授权批准，职责分工，实物控制，凭证与记录的设置和运用，独立的检查程序等控制手段的设置与执行情况。第十条审计人员对被审计单位的信息与沟通情况进行了解的内容主要有：被审计单位管理和经营活动的主要业务类别，处理各类经济业务的程序，各项业务的会计处理程序和所依据信息的来源，会计系统的设计和重要的会计凭证、账簿种类以及会计报表项目，各部门间信息的传递方式等。第十一条审计人员对被审计单位的内部监督情况进行了解的内容主要有：被审计单位日常性的监督检查方法，即管理者为监督各项工作的运行而使用的预算、计划、责任报告等制度与方法，内部审计的设置和工作情况等。第十二条审计人员可以采用如下形式对被审计单位内部控制进行描述，并写入审计日记：（一）用文字记录的形式描述被审计单位内部控制的设置情况；（二）使用调查表的形式向被审计单位管理人员或有关当事人询问内部控制的设置情况并加以记录；（三）以特定的语言符号，绘制经济活动的业务流程，以描述被审计单位内部控制的设置情况。以上方法可以单独使用，也可以结合使用。第十三条审计人员进行初步评价后，应当评估控制风险，对是否依赖被审计单位的内部控制及依赖的程度作出决策。第十四条评估控制风险包括以下工作内容：（一）分析可能发生错弊的业务环节和活动领域，并考察被审计单位已采取的控制措施；（二）测试相关内部控制的合理性和运行的有效性；（三）确定控制风险水平。第十五条审计人员对内部控制进行符合性测试，可以通过检查文件资料、询问、现场观察、重做某项业务等方法来测试内部控制制度是否得到有效执行。测试的方式主要有以下两种：（一）按照业务处理过程检查业务处理程序中的各项内部控制规定是否得到执行；（二）选择有关经济业务，对业务处理程序中的关键控制点进行测试，检查其是否真正发挥作用。第十六条审计人员在对内部控制执行情况测评后，应当综合分析被审计单位内部控制的健全性和有效性，提出内部控制测评结果，并据此确定实质性测试的范围、重点和方法。

如果内部控制形同虚设，注册会计师可以不做控制测试，而更多的进行实质性程序。但是了解被审单位的内部控制是必要的审计程序。

内部控制审计的程序与方法主要有四个步骤。1、了解企业的内部控制情况，并做出相应的记录。这是内部控制制度审计的第一步，其主要目的是通过一定手段，了解被审计单位已经建立的内部控制制度及执行的情况，并做出记录、描述。审计人员应考虑被审计单位经营规模及业务复杂程度、数据处理系统类型及复杂程度、审计重要性、相关内部控制类型、相关内部控制汜录方式、固有风险的评估结果等因素，对内部控制的程序、控制环境、会计系统采取有效的方法进行审计，主要方法包括：（1）查阅前期审计报告或审计工作底稿；（2）询问被审计单位有关人员，并查阅相关内部控制文件；（3）检查内部控制生成的文件和记录； （4）观察被审计单位的业务活动和内部控制的运行情况：（5）选择若干具有代表性的交易和事项进行“穿行测试”。通过查阅复核以前的审汁情况，可以了解以前审计时所发现的问题产生的原因以及是否已得到纠正和改进，通过查阅相关规章制度、方针及政策等文件，查看组织机构系统图，和相关人员交谈对内部控制获得足够的了解，以便进行程序设计和制定运用方案。2、初步评价内部控制的健全性。确认内部控制风险，确定内部控制是否可依赖。在对控制环境、控制程序和会计系统进行调查了解，对被审计单位内部控制有了一个初步的认识的基础上，应对内部控制风险和内部控制的可依赖程度做出初步评价。初步评价实际上就是评价企业会计与内部控制在防止或发现和纠正错弊中的有效性的过程，通常出现以下情况之一时，应将重要账户或交易类别的某些或全部认定的控制风险评估为高水平：（1）企业内部控制失效；（2）难以对内部控制的有效性做出评价；（3）不拟进行符合性测试。对某项会计报表认定而言，如果同时出现以下情况，则不应评价其控制风险处于高水平。（1）相关内部控制可能防止或发现和纠正重大错弊，（2）拟进行符合性测试。3、实施符合性测试程序，证实有关内部控制的设计和执行的效果。通过对内部控制进行初步评价，可基本掌握被审计单位内部控制的强弱环节，为进行符合性测试确定一个前提。审计人员只对那些准备信赖的内部控制执行符合测试，并且只有当信赖内部控制而减少的实质性测试的工作量大于符合性测试的工作量时，符合性测试才是必要和经济的。符合性测试是为了确定内部控制制度的设计和执行是否有效而实施的审计程序。其基本对象包括控制设计测试和控制执行测试，控制设计测试是测试被审计单位控制政策和程序是否设计合理、适当，能否防止或发现和纠正特定会计报表认定的重大错报或漏报：控制执行测试是测试被审计单位的控制政策和程序是否实际发挥作用。被审计单位的控制设计的再好，还必须靠有效的执行来发挥作用。内部控制符合性测试常用的方法主要有四种：（1）询问法，审计人员为厂了解被审计单位各项业务操作是否符合控制要求，而向有关人员询问某些内部控制和业务执行情况。例如，审计人员通过询问计算机管理人员，就可以知道未经授权的人员是否接触计算机文件、（2）观察法。审计人员亲临被审计单位的卜作现场，实地观察有关人员的实际厂作情况，以确定既定控制措施是否得到严格执行。如审计人员亲门到现场观察材料验收和入库情况，就可知道材料是否严格验收，并及时入库，库存材料是否有序摆放，是否安全存放。（3）证据检查法。审计人员抽取一定数量的账表、凭证等书面证据和其他有关证据，检查是否认真执行相关控制制度，以判断内部控制是否得到有效贯彻执行。如检查货款的支付是否有相关责任人和经办人的批准和签字，来判断实际工作中是否执行了批准控制程序。（4）重复执行法。审计人员就某项内部控制制度来按照被审计单位的业务程序全部或部分重做一次，以验证既定的控制措施是否被贯彻执行。4、评价内部控制的强弱，评价控制风险，确定在内部控制薄弱的领域扩展审计程序，制定实质性审计方案。通过以上步骤，审计人员会发现被审计单位内部控制制度是否建立、健全，哪些方面还存在薄弱环节，哪些内部控制制度得到了有效执行，哪些内部控制虽然建立但没有执行或执行不力，哪些内部控制是有效的，哪些内部控制是无效的。同时，就要对被审计单位的内部控制风险估计水平充分利用专业判断进行调整并做出综合评价，然后利用评价结果制定出实质性审计方案。综合评价的主要内容有：（1）内部控制有效实施，评价控制风险为低，规划仅对各项账户余额和交易进行有限的实质性测试。（2）重新调整内部控制的可依赖程度，制定出实质性审计諪.审计人员在经过内部控制测试后，若发现部分内部控制没有得到有效执行，就应对内部控制风险估计水平和可靠性重新进行调整。适当扩大实质性审计的范围。（3）针对内部控制的缺陷，确定实质性测试的时间、范围和程序。通过符合性测试，审计人员根据所掌握具体缺陷和不足，制定下一步实质性审计方案，其范围应涵盖在初步评价和符合性测试中发现的存在缺陷的内部控制内容。（4）就内部控制缺陷，向被审计单位管理当局提出改进建议。审计人员对在审计中发现的内部控制问题进行汇总、整理，分析问题产生的原因和可能带来的后果，提出有效的改进措施，以管理建议书的方式，反映给被审计单位管理部门.

控制测试作为进一步审计程序的类型之一，控制测试并非在任何情况下都需要实施。当存在下列情形之一时，注册会计师应当实施控制测试：(l)在评估认定层次重大错报风险时，预期控制的运行是有效的;(2)仅实施实质性程序不足以提供认定层次充分、适当的审计证据。 如果在评估认定层次重大错报风险时预期控制的运行是有效的，注册会计师应当实施控制测试，就控制在相关期间或时点的运行有效性获取充分、适当的审计证据。控制测试注册会计师通过实施风险评估程序，可能发现某项控制的设计是存在的，也是合理的，同时得到了执行。在这种情况下，出于成本效益的考虑，注册会计师可能预期，如果相关控制在不同时点都得到了一贯执行，与该项控制有关的财务报表认定发生重大错报的可能性就不会很大，也就不需要实施很多的实质性程序。为此，注册会计师可能会认为值得对相关控制在不同时点是否得到了一贯执行进行测试，即实施控制测试。这种测试主要是出于成本效益的考虑，其前提是注册会计师通过了解内部控制以后认为某项控制存在着被信赖和利用的可能。因此，只有认为控制设计合理、能够防止或发现和纠正认定层次的重大错报，注册会计师才有必要对控制运行的有效性实施测试。如果认为仅实施实质性程序获取的审计证据无法将认定层次重大错报风险降至可接受的低水平，注册会计师应当实施相关的控制测试，以获取控制运行有效性的审计证据。控制测试的时间包含两层含义：一是何时实施控制测试;二是测试所针对的控制适用的时点或期间。一个基本的原理是，如果测试特定时点的控制，注册会计师仅得到该时点控制运行有效性的审计证据;如果测试某一期间的控制，注册会计师可获取控制在该期间有效运行的审计证据。因此，注册会计师应当根据控制测试的目的确定控制测试的时间，并确定拟信赖的相关控制的时点或期间。关于根据控制测试的目的确定控制测试的时间，本准则第四十条第一款指出，如果仅需要测试控制在特定时点的运行有效性(如对被审计单位期末存货盘点进行控制测试)，注册会计师只需要获取该时点的审计证据。如果需要获取控制在某一期间有效运行的审计证据，仅获取与时点相关的审计证据是不充分的，注册会计师应当辅以其他控制测试，包括测试被审计单位对控制的监督。换言之，关于控制在多个不同时点的运行有效性的审计证据的简单累加并不能构成控制在某期间的运行有效性的充分、适当的审计证据;而所谓的“其他控制测试”应当具备的功能是，能提供相关控制在所有相关时点都运行有效的审计证据;被审计单位对控制的监督起到的就是一种检验相关控制在所有相关时点是否都有效运行的作用，因此注册会计师测试这类活动能够强化控制在某期间运行有效性的审计证据效力。

两者的目的不同，所以执行的程序也不同。内部审计的目的是为改善企业的经营，而外审的目的是为了对企业的财务报表是否公允提供审计意见。内部审计不包括实质性程序，包括内控测试。实务上可能有运用到实质性程序的内容，但是实质性程序本身的定义就是针对外部审计的。“实质性程序是指用于发现认定层次重大错报的审计程序，包括对各类交易、账户余额和披露的细节测试以及实质性分析程序。”外审不一定执行内控测试，但一定要执行实质性程序。如果审计师在了解内部环境之后认为企业的内控值得信赖，可以执行内控测试，如果结果表明企业的内控运行较好，就可以适当减少实质性程序的执行；如果审计师认为企业的内控不够规范，那么也可以不执行内控测试，直接执行实质性程序。

不是必须包括，企业的内部控制不一定有效，只有企业内部控制有效进行内部控制才是有作用的，要是企业内部控制紊乱，就根本没有参考的作用也就不需要测试了。另外，拿银行举例，内部控制和实质性测试并非审计需要实施的所有程序，也非最低要求。它仅仅是关于审计人员在以下方面实施控制和测试程序的指导：（a）理财及交易业务；（b）贷款及预付款。