普及篇：内控测试中的审计抽样

内控测试也离不开审计抽样。合理的抽样数量可以大大减少样本量，从而提高审计效率，减少审计项目时间投入。那么怎样去减少样本量呢？需要考虑的因素一般有：控制风险和控制程序的重要性；对控制环境的评估结果；从其他控制程序测试中获得的审计证据；控制程序对审计目标的相关性和可信性；控制程序本身和其他审计取证技术失效的可能性；审计期间长短和控制程序的复杂性。

通常来说，手工控制程序比自动控制程序要求的测试量要大。因为手工的控制程序更容易出错，反之，只要计算机系统环境正常工作，以前测试过的自动控制程序应该是一直有效的。而手工控制程序发生的越频繁（每天发生还是每月发生一次），我们要测试的越多。接下来就从两方面来说说审计抽样：

一、在手工控制程序中的审计抽样

我们测试手工的控制程序时，需测试的样本量主要参考因素是控制程序的发生频率。但也必须要考虑以前面所提到的那些因素来适当增加样本量。通常来说，如果没有任何例外，最低样本量就能够提供足够的证据，使我们得出控制程序有效的结论。样本范围是假定被测试的控制在适用的期间内只运转一次。比如，一年一次，一季度一次。对每月一次的控制，最低测试样本量2－5，是基于我们对于样本总量为12的合理判断。同样的，对每天一次的控制，（最低测试样本量是20－30－40），是假定样本总量大概是250个。对每天多次发生的控制，（最低测试范围是25－30－45－60）是假定一个大于250的样本总量。实际上，每天发生多次的控制适用于任何大的样本总量，无论是300或者是3000。

总之在实务工作中，业务发生的频次越高，审计抽样的样本也就越多。一般来讲，审计抽样的样本往往都是纸面或非数值型资料。在审计抽样的过程中还可以观测被审计单位的资料提供速度。若资料提供迅速就往往说明被审计单位的资料准备充分，平时训练有素，管理人员重视内控工作。反之，我们也要进一步要求对方提供更多的样本。这样可以避免被审计人员为了规避问题而伪造抽样样本。

二、在自动控制程序中的审计抽样

在自动运行的控制程序测试中获得的审计证据，在控制程序有效性方面为我们提供一定程度的满意度。当这些审计证据和信息系统一般控制结合起来的时候，能在相关的审计期间为我们提供更多的审计满意度。

因此，对于自动运行的控制程序，通常要求的测试样本量可以是最少的。因为假定这些计算机方面的一般控制程序已经被测试过了。这是由于，如果我们要信赖任何的自动控制程序，或者自动运算，通常情况下我们会测试信息系统一般控制程序以保证这些自动控制程序或者运算功能正常运转。信息系统的一般控制就包含了系统更新和系统维护功能，比如输入信息的自动校对复核，批量汇总和检查，以及自动运算等等。

如果信息系统一般控制不理想，那么就存在计算结果不正确或者被更改的风险，以及自动运行控制程序不再正常运转的风险。这时审计小组可以考虑向专业IT专家就自动控制和运算方面的问题进行咨询。

在某些情况下，我们是无法及时联系到专业人员进行咨询的。这时我们建议可以和被审计单位的信息系统维护管理人员做访谈。了解这些人员的职业素养和经验水平。比如，他们对信息系统的了解程度。我们在日常案例中就常常发现，由于信息系统维护管理人员缺少足够的经验，导致在业务人员分配权限时没有关闭部分重要的打折权限。导致这个系统漏洞被人为利用，导致公司的业务被超权限打折优惠，从而公司的毛利率无故下降。

总之，审计抽样可以大大减少审计时间。但是这样的时间减少是建立在我们是否能够及时获得审计发现。纯粹为了抽样而抽样是不可取的。我们每一次抽样都要考虑多方面因素，如何用最少的样本量来获得最多的审计发现，才是我们这么关注审计抽样技术的真正原因。还是那句话，审计师最缺的就是审计时间。

作者：内审007           

来源：审计实践