符合性测试在内部审计中的应用

一、符合性测试的定义辨析

CPA审计中对“符合性测试”的定义是指：为了确定内部控制的设计和执行是否有效而实施的审计程序。从定义上来看，符合性测试是从设计和执行两个角度对内部控制进行测试和评价，其目的是评价被审计单位内部控制的可依赖性，从而较科学地确定被审计单位的总体风险和各项业务的风险，并根据风险程度合理安排审计资源，把审计风险控制在可接受的范围之内，从而提高审计质量，在此基础上的实质性测试才能做到有的放矢。第一阶段，调查了解内部控制制度。记录的方法通常有三种：问卷调查表、文字表述和流程图。第二阶段，进行穿行测试。以一套样本为准，按业务流程进行梳理，找出风险点并确定关键控制点。第三阶段，评价内控制度设计的有效性。将被审计单位现有内控制度与标杆进行比较，从内控设计方面找出被审计单位内部控制的不足及其影响。评价主要集中在内部控制的健全性、完善性及有效性等方面。如果审计师认为内部控制不够可靠，则无须识别内控执行情况，直接进入重要实质性测试阶段，而且实测阶段审计范围须全覆盖，抽样数量应定为较高比例；如果审计师认为内部控制可以信赖或部分值得信赖，可进入符合性测试的第四阶段。第四阶段，对内控制度的执行情况进行检查。该阶段的检查方法主要是交易测试和机能测试（交易测试：是指对某一交易事项的整个流程或整个程序所采取的一切控制措施进行审查，其目标在于查明内部控制系统中的信息流向、信息流经的控制环节是否在发挥控制功能，其效能如何）。交易测试着眼点在某一笔交易的完整流程，机能测试则重在某一风险点是否存在隐患。第五阶段，评价内部控制执行水平。这一阶段既是对第四阶段检查情况的评价，又是符合性测试承接实质性测试的关键环节，其测试结果让审计师对业务风险点有更深入的了解，直接影响接下来实测的性质、范围和抽样。如果审计师认为内控执行情况已超出可容忍程度，实测则将提高审计级别、扩大范围和增加样本量；如果审计师认为内控执行情况在可接受范围之内，实测则将有重点地分配资源，在一定的范围内进行有限抽样。虽然理论界和实务界对是否将“内控设计测试”（即第一至三阶段）归为符合性测试尚有争论，但本文认为，内控设计是符合性测试的起点，也是对内控执行情况判断的依据，和内控执行很难分开，所以本文对符合性测试的定义采用上述CPA审计的定义。

二、内部审计运用符合性测试的意义

任何内部审计，无论审计对象是业务还是财务，被审计单位的内部控制都是审计工作开展的起点。如上文所述，符合性测试的内容也是内部控制，这为内部审计运用符合性测试提供了可能性。此外，在“风险导向审计，审计关注风险”的现代内审理念之下，仅仅满足内部控制查出问题是远 远不够的，内部审计应该向CPA审计取经，向“符合性测试”的风险导向功能取经。

（一）运用可能性

内部审计师在开展审计时，都会从了解被审计单位的内部控制情况开始，通常是确认和评价内控制度是否健全、组织分工是否合理、业务程序是否符合流程要求以及是否有内部核查等方面；而符合性测试始终是围绕被审计单位的内控制度设计和执行开展。可见，尽管内部审计的内控核查环节和符合性测试在手段、目的、结果上有很多不一致的地方；但两者内容上有很多重合点，其审计或测试的对象基本一致，都以发现内控设计和执行的缺陷为目标，这为内部审计在内控核查环节运用符合性测试提供了充分的可能性。

（二）运用必要性

在实际操作中，内部审计往往将内控核查和其他业务核查同时进行，内控核查的目的和审计其他业务一样，都是发现缺陷指出问题，并不能实现为业务核查指明风险点和控制缺陷，从而合理分配审计资源的目的。这样做既不符合上述风险导向审计的理念，也可能造成审计资源的浪费。因为内控核查和业务核查同时进行，业务核查没有对内控情况进行深入了解，很容易没有方向和重点，或者方向和重点存在偏差；于是审计资源将得不到合理的分配，可能过多的人力和时间用在内控原本就值得信赖的业务上；更严重的是，如果在内控不可靠的业务上抽样过少，可能会导致重大业务风险在抽样中被漏掉，增加了审计风险。即使在内控核查中发现内控缺陷，再调整业务核查方向和重点，不仅浪费了已耗费的审计资源，更是对内部审计师专业性的质疑。所以，内部审计师很有必要借鉴符合性测试的程序和手段，以期实现CPA审计符合性测试的目的，为进一步的业务核查指明方向，真正体现风险导向审计的理念，提高审计质效，降低审计风险。

三、符合性测试在内部审计中的运用

既然运用符合性测试具有可能性和必要性，那么内部审计师完全可以在内部审计程序中运用符合性测试的方法来提高审计质效。但是，运用不是全盘照搬，而是结合内部审计规定程序和方法手段，借鉴CPA审计符合性测试中风险导向的理念和内控设计执行的评价方法，对目前内部审计中内控核查的流程进行改进。同时，好的借鉴还需要将先进方法与现有内部审计中好的做法相糅合，从而真正实现优化审计程序、提高审计效率的目的。

（一）改进目前内部审计中内控核查的流程

根据第一部分符合性测试的流程介绍，结合目前内部审计中内控核查的流程，笔者认为可做如下改进：

1.做好充分的审前准备，改进目前内部审计“重现场检查、轻审前准备”的现状。在大数据的时代，很多备查资料早已数字化和电子化，内部审计师完全可以提前获得这些备查资料，如：各业务内控制度以及流程图、岗位设置及岗位风险点、上级单位对被审计单位业务的年度考核资料、国家或上级单位相关制度规定、其他内外部审计或检查结论、操作系统日志等等。除此之外，对于内控和业务情况，内部审计师还可以借鉴CPA审计符合性测试的方法，设计调查问卷，根据被审计单位提供的内控制度绘制流程图。

2.制定有针对性的审计实施方案，改进目前内部审计“审计方案千篇一律”的现状。在充分的审前准备前提下，参照符合性测试中穿行测试的方法，根据上述调阅的电子化内控制度、内外部检查结论、上级单位考核结果、操作日志筛选情况以及调查问卷统计等，查找被审计单位或业务中风险环节和关键控制点，制定重点突出、针对性强的审计实施方案，改进目前内部审计中存在的套用格式方案的做法。

3.从内控设计和执行两方面着手内控核查，改进目前内部审计“内控核查无从下手”的现状。借鉴符合性测试的评价角度，可以从内控制度的健全性、内控流程的完善性和内控执行的有效性三方面开展内控核查和评价。其中，健全性主要看内控制度的构成要素是否齐全，完善性主要验证内控流程的完善程度，有效性主要核查内控制度执行是否实现控制目标。建立在这三方面的内控评价能有效地引导内部审计人员对业务风险点的判断。

4.根据内控核查结论调整业务核点，改进目前内控审计“内控核查和业务核查同时进行”的现状。这是内部审计运用符合性测试中最需要改进的流程，也是内部审计真正落实风险导向审计理念的流程改进。将原先的内控核查工作前置，在业务核查之前开展内控核查，充分运用内控核查评价结论，定位业务风险点，明确接下来业务核查的重点工作；减少审计抽样的随机性，对内控薄弱的环节增加样本量，对内控有效的环节减少样本量，合理地分配审计资源，提高审计成效，实现内部审计运用符合性测试程序的目的。在实际审计中，如果将大多数内控核查环节完全安排在现场审计阶段，按照上述流程改进，可能会延长现场审计时间，增加审计成本，这与借鉴运用的目的背道而驰。所以，笔者建议，如果被审计单位电子信息化水平较高，则完全可以将内控核查环节安排在非现场审计阶段完成；如果电子化水平不高，则可以采取分批进点的方式，部分内部审计师先行进点开展内控核查，减少审计成本。

（二）灵活运用符合性测试的方法

传统的内部审计中，内控核查的方法与业务核查几乎一致，主要是询问、调阅、监盘、观察等。符合性测试的方法和手段更丰富一些，除了这些方法外，还有调查问卷、绘制流程图等传统内部审计很少运用的方法。

1.调查问卷。上述流程改进中提到，在审前准备阶段，可以运用该方法了解被审计单位业务的基本情况。不仅如此，根据不同的调查对象设计不同的问卷，可以较全面地了解被审计单位内部控制和各类业务的大致情况。

2.流程图。该方法除了符合性测试经常使用外，内部控制审计中也有运用，这里可以在其他类型的内部审计中予以借鉴。如果被审计单位对业务环节和岗位设置绘制了业务流程图，标识了业务风险点和控制措施，一般情况下，是可以给该单位内部控制评价加分的。在被审计单位已经绘制流程图的情况下，内部审计师可以将流程图分别与内控制度设计和执行相对照，查找缺陷；当被审计单位没有流程图时，内部审计师可以按照该单位内控制度的文字表述或业务标杆制度绘制流程图，将其作为内控执行有效性评价的依据。

（三）结合COSO五要素对内部控制进行评价

内控核查评价的三个角度：内控制度健全性、内控流程完善性和内控执行有效性。但是，CPA审计符合性测试主要针对公司或企业的销售经营业务，而内部审计涉及不同单位各项业务，所以符合性测试在具体测试内容方面可借鉴性不强。本文建议可以参照COSO委员会的《内部控制整合框架》和财政部的《行政事业单位内部控制规范（试行）》（财会［2012］21号）中内控五要素，对内部控制的设计和执行进行评价。

1.控制环境。该要素是内部控制的基础，主要包括单位道德行为规范、法人治理结构、组织领导、考核激励机制、权责分配等。

2.风险评估。该要素是指识别和分析相关风险并确定应对策略，是选择恰当的控制活动的关键。主要包括内控制度、内控流程图、业务岗位风险点识别、风险等级以及控制措施等。

3.控制活动。该要素是指根据内部控制的目标，按照内部控制的原则要求，基于风险评估，进行的科学、合理、有效的控制活动，是内部控制的重要组成部分。主要包括审批、授权、查证、核对、复核、资产保护等。

4.信息与沟通。该要素是内部控制机制正常运转的必要条件，组织应确保有关业务运行和管理活动中与内部控制相关的各类信息可靠、及时、可获得，同时保证信息的沟通渠道顺畅。主要包括政务公开、公文流转、部门联席会议、新闻发言人制度等。

5.监控。对内部控制进行监控是为了保证内部控制按预期进行，并根据实际情况的变化进行合理的调整，为内部控制有效运行提供保障。主要包括各种内部监督检查、检查结果记录、检查结果汇报和通报机制、整改和处理机制等。

四、内部审计运用符合性测试的案例

2014年9月，某事业单位内部审计部门对该单位的某项业务开展了专项审计调查，首次将符合性测试的方法运用在内控核查环节：一是做好了充分的审前准备，通过要求被审计单位开展自查、填列相关表格、发放和回收统计调查问卷等审前工作，了解该业务的基本情况，并将其评价结果作为制定实施方案的依据。二是内控核查阶段运用符合性测试方法，对该单位的控制环境、风险识别、控制活动、信息与沟通以及监控内控五要素进行了核查评价，对相关控制活动做了流程测试（举例参见图2）。三是根据测试结果，评价内控的健全性、完善性和有效性（参见表1）。并相应微调实施方案，进一步明确该业务的内控风险，合理安排审计资源，将审计风险控制在可接受的范围之内。图2是内部审计师发现某项业务刚开始收费，尚未建立较完善的内控流程和措施，根据该业务实际做法绘制的流程图。通过绘制流程图，发现了该单位某项业务现金收费的内控流程存在设计缺陷。表1是内部审计师将内控五要素按照健全性、完善性和有效性开展评价得出的结论，有效地指导内部审计师开展接下来的业务核查，内审师将在业务核查中重点关注个人查询收费、系统用户管理、行政许可等业务。实际上，在接下来的业务核查环节中，内审师快速发现了上述业务存在的问题。可见，符合性测试在内部审计的实际运用，的确起到了风险导向、提高效率、降低审计风险的作用。

参考文献：

［1］沈惠霞.刍议符合性测试在金融内审中的运用［J］.财贸研究，2001,（4）.

［2］中国人民银行赣州市中心支行课题组.符合性测试与实质性测试原理在银行现场检查中的运用［J］.金融研究，2001,（12）.

［3］胡亚敏，陈宝峰.审计符合性测试和实质性测试常见问题分析及建议［J］.商业会计，2011，（7）.

作者:成娜 单位:中国人民银行上海总部