中国注册会计师审计准则第1231号《针对评估的重大错报风险采取的应对措施》（以下简称第1231号准则）第八条对应当实施控制测试的情形进行了规定，但日常审计实务中对该规定的执行情况却不尽如人意，本文就相关问题分析如下。

一、注册会计师存在的疑惑和认识误区

第1231号准则第八条规定，当存在下列情形之一时，注册会计师（以下简称CPA）应当设计和实施控制测试，针对相关控制运行的有效性，获取充分、适当的审计证据：1.在评估认定层次重大错报风险时，预期控制的运行是有效的（即在确定实质性程序的性质、时间安排和范围时，CPA拟信赖控制运行的有效性）；2.仅实施实质性程序并不能够提供认定层次充分、适当的审计证据。由此可见，准则规定了应当实施控制测试的两种情形，但CPA在审计过程中要对这两种情形作出判断并非易事，主要有以下方面的问题。

一是对这两种情形不能准确理解和掌握。如对第一种情形，一些CPA不知道如何通过业务流程层面了解和评价内部控制，不知道如何在业务流程层面实施穿行测试，不知道如何分析、判断内部控制的有效性。对第二种情形也存在疑惑：既然已经实施了实质性程序，为何还要倒回去做控制测试？如果此前的风险评估阶段已经做过控制测试还要继续做吗？如果此前的风险评估认为预期控制的运行无效又如何做控制测试？

二是一些CPA不知道应该履行哪些必要的审计程序，获取哪些充分、适当的审计证据后，才可以对是否存在这两种情形及是否应该实施控制测试作出判断，而且一些CPA对是否实施控制测试并非是在履行相关审计程序、获取相关审计证据并证明了是否存在上述两种情形后才作出判断，仅是直接以“被审计单位为小规模企业”、“不符合成本效益原则”或“被审计单位没有书面成文的内部控制制度”等情形为由，作出不实施控制测试的判断，实际上并未履行任何审计程序，工作底稿中也无相关审计证据的支撑。

三是由于第1231号准则规定了无论评估的重大错报风险结果如何，CPA都应当针对所有重大类别的交易、账户余额及披露设计和实施实质性程序，再由于在很多对中小企业的审计中，实施控制测试不能降低整个审计测试特别是不能降低实质性测试的工作量，从而使得一些审计大中型企业的CPA对内部控制测试产生了应付了事的态度，而对中小企业实施审计的一些CPA则误认为，不如不实施控制测试直接进入实质性测试更能节约审计资源。

四是对CPA执业质量的监管不严格。现实中，不管是对应该实施控制测试而不实施的，还是对实施控制测试不规范、不完整、不正确的，或者对执行内控测试形式主义、敷衍应付的，很少有CPA因此受到处理处罚，而监管层也缺乏对这方面进行处理处罚的明确标准和依据。

在实施控制测试实务中，一些CPA也存在一些问题：一是不对整体层面的内部控制进行测试，或测试但不规范、不完整；二是对业务流程的划分不规范、不清晰；三是对业务流程控制点和控制活动的分析和确定不恰当，不能体现完整的流程控制；四是对设计和实施的控制测试程序不仅不完整、不规范，而且实施控制测试的样本量严重不足，控制测试的形式主义较为严重；五是控制测试中没有对被审计单位的重要交易、账户余额和披露的认定层次的控制风险进行修订，也没有对重大错报风险水平进行再次评估。

二、如何理解第1231号准则第八条规定的两种情形

对第一种情形的判断应该在风险评估阶段实施并完成。CPA通过对认定层次重大错报风险的评估，认为被审计单位的内部控制设计合理、得到运行，且预计运行能够达到控制设计的效果，即CPA拟信赖控制运行的有效性，在这种情况下，CPA应当作出对认定层次内部控制运行的有效性进行全面测试的判断，并在其后的进一步审计程序阶段首先实施控制测试，但CPA应该依据对控制运行有效性进行测试的结果，对被审计单位的重要交易、账户余额和披露的认定层次的控制风险进行修订，并对重大错报风险水平再次进行评估，进而确定（重点）审计目标及通过实质性程序应该获取的保证程度。这里要注意三点：一是CPA应该对被审计单位认定层次与审计相关的全部内部控制实施测试，以判断是否得到执行及执行是否有效；二是实施的控制测试按照业务流程分别进行，即CPA要对被审计单位与审计相关的内部控制按照划分的业务流程分别进行测试；三是划分的业务流程必须覆盖所有的重要交易、账户余额和披露，不能有遗漏。

对第二种情形的判断在实质性测试阶段实施并完成。CPA在实施实质性测试阶段对某一认定层次的重要交易、账户余额或披露实施审计时，如果认为仅实施实质性程序不能提供该认定层次充分、适当的审计证据，那么，CPA应该对与该认定层次相关的内部控制实施专门的测试，特别是要针对与该认定层次相关的、特定的内部控制的某个控制环节进行专门、详细和深入的测试，以满足对该认定层次作出判断需提供充分、适当审计证据的需要。但必须注意的是，在此情形下实施的控制测试属于进一步审计程序的第二阶段，即在实质性程序阶段进行的，在此前进一步审计程序的第一阶段，CPA可能已经按照业务流程实施了控制测试，但也可能没有实施。如果此前已经实施了控制测试，已实施的控制测试一般是按照业务流程进行的，在这种情况下，对相关认定层次实施的控制测试往往不具有针对性。CPA应该在原控制测试的基础上，重新实施专门的控制测试，如选定某一控制环节若干时期的同类业务进行专门检查测试，以查明该控制环节的相关控制是否得到执行及执行是否有效。如果此前没有实施控制测试，这说明被审计单位很可能在内部控制方面存在问题，如因被审计单位对内部控制的设计不合理、内部控制未能得到有效遵循、不拟信赖内部控制等问题，CPA由此作出了不实施控制测试直接实施实质性测试的判断。但是，CPA实施的实质性程序很可能不能提供相关认定层次充分、适当的审计证据，在这种情况下，CPA就需要对该相关内部控制特定的控制环节进行专门的控制测试。

让人疑惑的是：如果此前因被审计单位在内部控制方面存在问题，甚至认为内部控制无效而无法实施控制测试，为什么在实施实质性程序后又可以且必须做控制测试了呢？笔者认为，在此前的风险评估阶段，如因内部控制存在的问题得出了对内部控制不拟信赖，或内部控制未能得到很好执行等结论，这是对内部控制从总体上作出的判断。但在多数情况下，存在的这些问题不会影响到被审计单位认定层次某一具体控制环节的有效运行，所以，CPA可以仅针对认定层次相关内部控制的某一控制环节进行测试。如果CPA能够顺利实施控制测试并获取充分、适当的审计证据，则应该据此作出判断；如果实施控制测试后不能获取充分、适当的审计证据，即控制测试的结果仍然不能支持对控制风险的初步评价结论，或不能实施控制测试，则CPA应该据此并根据相关认定层次的重要性及对会计报表的影响程度发表相应的审计意见。■

责任编辑 武献杰