在审计过程中，我们常常需要通过不同的测试方法来验证企业的财务信息和内部控制。两种主要的审计测试方法分别是符合性测试（Compliance Testing）和实质性测试（Substantive Testing）。它们的核心问题和目标各自不同，下面让我们详细了解一下。

  01.核心概念

1. 符合性测试（Compliance Testing）

定义：符合性测试的目的是验证企业内部控制是否有效执行。这种测试侧重于检查控制措施是否在设计上合理，并且在审计期间内持续得以执行。

测试对象：企业的内部控制活动（Control Activities）。

核心问题：

• 控制措施是否存在？

• 控制措施是否按设计要求运作？

• 控制措施是否在整个审计期间持续执行？

目的：评估控制风险（Control Risk）的水平。通过符合性测试，审计师可以了解内部控制是否有效，从而决定是否可以依赖这些控制，进而减少需要进行的实质性测试工作量。

典型例子：

• 权限审查：检查是否只有授权用户能访问敏感系统，验证权限管理控制。

• 流程走查：跟踪一笔交易的完整流程，检查每一步是否有适当的授权与验证，测试职责分离和审批控制。

• 重新执行：审计师亲自执行控制流程，看结果是否与系统自动执行的结果一致。

2. 实质性测试（Substantive Testing）

定义：实质性测试主要通过直接检测财务数据或系统输出的准确性与完整性，发现潜在的重大错误。

测试对象：数据本身，如账户余额、交易记录、系统报告等。

• 数据是否准确？

• 数据是否完整？

• 所有交易是否得到有效授权？

目的：实质性测试的目的是直接发现由固有风险（Inherent Risk）引起的重大错误。当符合性测试结果不佳时（即控制风险较高），实质性测试则成为审计师的主要手段。

分类：

• 详细测试：对具体交易或账户余额进行详细测试。例如，函证应收账款余额、盘点实物资产、检查大额支出的发票合同。

• 分析性程序：通过数据间的关系分析，评估财务信息的合理性。例如，比较本月与上月的毛利率、分析费用预算与实际支出的差异。

   02 如何区分这两种测试方法？——应试技巧

在CISA等考试中，题目常常会给出某个审计程序，并要求考生判断是符合性测试还是实质性测试。以下是几种区分技巧：

1. 提问法：

• 检查过程或规则是否被遵守？ → 符合性测试。

• 直接检查数据是否存在错误？ → 实质性测试。

2. 关键词锚定法：

• 符合性测试关键词：

• “控制是否有效运行”

• “是否一贯执行”

• “是否有授权”

• “是否有审批”

• “是否有职责分离”

• “检查权限设置”

• “审查操作日志”

• “重新执行控制”

• 这些关键词通常涉及如何（How）执行一项任务。

• 实质性测试关键词：

• “金额是否正确”

• “数据是否完整”

• “账户余额”

• “交易记录”

• “直接测试”

• “函证”

• “盘点”

• “重新计算”

• “分析性复核”

• 这些关键词通常涉及什么（What）是最终的结果。

3. 记住目标：

• 符合性测试：目标是控制风险，关注内部控制是否有效。

• 实质性测试：目标是检测风险，直接寻找数据或系统输出中的错误。

终极总结与应试口诀：

• 符合性测试（Compliance）：看“控制”——问的是“过程对不对？”

• 实质性测试（Substantive）：看“数据”——问的是“数字对不对？