审计学（第9版）课件：内部控制与审计抽样

内部控制与审计抽样

内部控制与审计抽样内部控制审计抽样5.15.25.1内部控制5.1.1内部控制的意涵

1.内部控制的整体框架COSO在审计准则公告第55号发布后进行了近4年的研究，于1992年9月公布了由概念、框架、对外部关系者的报告及内部控制的评价手段等四部分构成的研究报告，即《内部控制整体框架》。COSO认定内部控制是为了实现业务的有效性、财务报告的可靠性以及相关法律规制的遵从性等几个方面的目的，旨在提供合理的保证，而由单位（或称企业、组织）的董事会、经营者及其他成员实施的一个过程。5.1内部控制5.1.1内部控制的意涵（续）

1.内部控制的整体框架（续）

COSO认为内部控制的构成要素应源于管理层经营企业的方式，并与管理过程相结合，包括以下紧密联系的五项要素：（1）控制环境，包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和措施。（2）风险评估过程，包括识别与财务报告相关的经营风险，以及针对这些风险所采取的措施。（3）控制活动，即有助于确保管理层的指令得以执行的政策和程序，包括与授权、业绩评价、信息处理、实物控制及职责分离等相关的活动。（4）信息系统与沟通，即与财务报告相关的信息系统和沟通，前者包括用以生成、记录、处理和报告交易、事项和情况或状况，对相关资产、负债和所有者权益履行经营管理责任的程序和记录，后者包括使员工了解各自在与财务报告有关的内部控制方面的角色和职责、员工之间的工作联系,以及向适当级别的管理层报告例外事项的方式。（5）对控制的监督，即评价内部控制在一段时间内运行有效性的过程,包括及时评价控制的设计和运行，以及根据情况的变化采取必要的纠正措施。5.1内部控制5.1.1内部控制的意涵（续）

1.内部控制的整体框架（续）

COSO对内部控制的认定，是以所有的利益相关者(或利害关系人)对内部控制的认知与理解具有共同的基础为前提的，非常重视各个层级的人的关系，十分强调人的极端重要性。

2004年4月，COSO发布了《企业风险管理框架》(ERM)。较1992年的整体框架增加了一个观念即“风险组合观”，一个目标即“战略目标”，两个概念即“风险偏好”与“风险容忍度”，三个要素即“目标制定”、“事项识别”及“风险反应”。据此，管理层需要：（1）选择发展战略，将之与经营、报告等相联系以制定各种目标，并同企业的风险偏好相一致，在内部层层分解目标、分别责任、分步落实。（2）识别具体事项，从战略和目标的角度分析其发生的可能性及影响。（3）评估企业的固有风险和剩余风险，并视具体情况作出规避、减少、共担和接受等相应的风险反应。可见，ERM更加关注不确定性和风险，进一步强化了风险意识，也表明企业管理的重心由内部控制转向了风险管理。5.1内部控制5.1.1内部控制的意涵（续）

2.与审计相关的内部控制

在审计实务中，应了解与审计相关的内部控制，以便识别潜在错报的类型，考虑导致重大错报风险的因素，以及设计和实施进一步审计程序的性质、时间安排和范围。换言之，应重点关注并考虑被审计单位为实现财务报告可靠性目标设计和实施的内部控制（财务报告内部控制），即与审计相关的内部控制。虽然大部分与审计相关的控制可能与财务报告相关，但并非所有与财务报告相关的控制都与审计相关。设计和实施进一步审计程序时，若拟利用被审计单位内部生成的信息，应考虑用以保证此信息完整性与准确性的控制可能与审计相关;如果用以保证效率性、遵从性的控制与实施审计程序时评价或使用的数据相关，则应考虑这些控制可能与审计相关；用以保护资产的内部控制可能包括与财务报告可靠性和经营效率性目标相关的控制，审计人员可以只考虑其中与财务报告可靠性目标相关的控制。5.1内部控制5.1.1内部控制的意涵（续）

3.内部控制的局限性

无论管理层如何设计与执行，内部控制都会因其固有的限制而存在一定的局限性，主要表现在:(1)其设计与运行受制于成本效益原则；(2)它一般仅针对常规业务活动设计；(3)它可能因执行人员的粗心大意、精力分散、判断失误以及对指令的误解而失效；(4)它可能因有关人员相互勾结、内外串通而失效；(5)它可能因执行人员滥用职权或屈从于外部压力而失效；(6)它可能因经营环境、业务性质的改变而削弱或失效。

管理层设计与执行内部控制，只能对财务报告的可靠性提供合理的保证，因为内部控制存在固有的局限。因此，审计人员在确定内部控制的有效性及可信赖程度时，应当保持应有的职业谨慎，充分关注内部控制的固有限制，着重考虑一些关键领域是否存在有效的内部控制。5.1内部控制5.1.2内部控制的了解与描述

利用以往的审计经验，可以初步了解内部控制，但过去有效的内部控制现在可能不再适用。通过实施询问、观察、检查、穿行测试等风险评估程序，可以较深入地了解内部控制。

然而，询问本身并不足以评价控制的设计以及确定其是否得到执行，还应当与其他程序结合使用。此外，穿行测试并非为了检查内部控制的可信性，而是为了揭示内部控制是否与审计工作底稿上的描述一致，其困难就在于肯定所有类型的每笔业务能够确认都已复查过，至于其相关的信赖过度、信赖不足、误受、误拒等风险可通过后续的测试程序所收集的审计证据加以削弱或消除。由于内部控制是一个结构性、立体式的动态复杂系统，因而还应当结合其构成要素、分别不同层面作充分、深入的了解。5.1内部控制5.1.2内部控制的了解与描述（续）

1.研究内部控制要素，充分了解内部控制

第一，控制环境。它设定了被审计单位的内部控制基调，影响员工的内部控制意识，并直接影响特定控制程序的有效性。因此，应当重点了解管理层在治理层的监督下，是否营造并保持了诚实守信和合乎道德的文化，以及是否建立了恰当控制。

良好的控制环境有助于降低舞弊风险，但并不能绝对遏制舞弊，并且其存在的缺陷可能会削弱控制的有效性。可见，它本身不能防止或发现并纠正重大错报，也不能保证内部控制的有效运行，但可能影响审计人员对其他控制（如控制的监督和特定控制活动的运行）有效性的评价，进而影响其对重大错报风险的评估。5.1内部控制5.1.2内部控制的了解与描述（继）

1.研究内部控制要素，充分了解内部控制（续）

第二，风险评估过程。它主要包括识别与财务报告相关的经营风险，以及针对这些风险所采取的措施，从而为管理层确定需要管理的风险提供了基础，其对于具体情况是否适当属于职业判断。若对于具体情况是适当的，则有助于审计人员识别重大错报风险。为此，应了解被审计单位是否已建立风险评估过程，如已建立这一过程，则应了解风险评估过程及其结果。当识别出管理层未能识别出的重大错报风险时，应评价是否存在这类风险，并应了解风险评估过程未能识别出的原因，且评价此是否适合具体情况，或确定与此相关的内部控制是否存在值得关注的缺陷。对于缺少记录的风险评估过程，同样应当进行如上的评价或确定。5.1内部控制5.1.2内部控制的了解与描述（续）

1.研究内部控制要素，充分了解内部控制（续）

第三，信息系统与沟通。与财务报告相关的信息系统所生成信息的质量对管理层能否作出恰当的经营管理决策以及编制可靠的财务报告具有重大影响。该信息系统与审计人员对内部控制的了解与评价直接相关，也应当与业务流程相适应。

审计人员应当特别关注由于管理层凌驾于账户记录控制之上，或规避控制行为而产生的重大错报风险，并考虑被审计单位如何纠正不正确的交易处理。不仅如此，审计人员还应了解被审计单位如何沟通与财务报告相关的人员的角色和职责以及重大事项。这种沟通包括管理层与治理层之间的沟通以及外部沟通。公开的沟通渠道有助于确保例外事项得到报告并有应对措施。5.1内部控制5.1.2内部控制的了解与描述（续）

1.研究内部控制要素，充分了解内部控制（续）

第四，控制活动。即有助于确保管理层的指令得以执行的政策和程序。审计人员应当了解与审计相关的控制活动以及被审计单位如何应对信息技术导致的风险，以足够评估认定层次重大错报风险并设计进一步审计程序应对评估的风险。

判断一项控制活动是否与审计相关，审计人员受其识别出的可能导致重大错报的风险，以及在确定实质性程序的范围时认为测试控制运行的有效性是否适当的影响。因此，审计人员的工作重点是识别和了解那些重大错报风险更高的领域的控制活动。如果多项控制活动能够实现同一目标，就不必了解与该目标相关的每项控制活动。5.1内部控制5.1.2内部控制的了解与描述（续）

1.研究内部控制要素，充分了解内部控制（续）

第五，对控制的监督。针对与财务报告相关的内部控制的监督，主要包括对与审计相关的控制活动的监督，以及对控制缺陷采取的补救措施。实际上，它也是评价内部控制在一段时间内运行有效性的过程，涉及及时评估控制的有效性并采取必要的补救措施。审计人员应当了解被审计单位对控制的持续监督活动和专门的评价活动。管理层通过持续的监督活动、单独的评价活动或两者相结合实现对控制的监督。

监督内部控制是内部审计的一项重要活动，而内部审计工作的某些部分可能有助于外部审计人员的工作。因此，应当了解和评估被审计单位的内部审计，以确定是否能够利用其工作。5.1内部控制5.1.2内部控制的了解与描述（续）

2.分别整体与业务流程，多层面了解内部控制

(1)整体层面的了解。在连续审计的情况下，一般可以重点关注整体层面内部控制的变化情况，还需特别关注和考虑由于舞弊导致的重大错报的可能性及其影响。在对内部控制的设计进行了解与评价并确定其是否得到执行的过程中，需要运用职业判断，并考虑管理层的理念和态度、实际设计和执行的控制，以及对经营活动的密切参与是否能够实现控制的目标。

在评估财务报表层次的重大错报风险时，应将整体层面内部控制状况与了解到的被审计单位及其环境情况结合考虑。整体层面内部控制是否有效，将直接影响业务流程层面内部控制的有效性，进而影响审计人员拟实施的进一步审计程序。5.1内部控制5.1.2内部控制的了解与描述（续）

2.分别整体与业务流程，多层面了解内部控制（续）

(2)业务流程层面的了解。主要包括：第一，确定重要的业务流程和交易类别；第二，了解重要的交易流程并加以记录；第三，确定可能发生错报的环节；第四，识别、了解和记录相关控制；第五，证实对重要的交易流程和相关控制的了解；第六，进行初步评价和风险评估。此外，审计人员还需进一步了解与财务报表的列报认定直接相关的财务报告流程及其控制。

需要指出：除非存在某些可以使控制得到一贯运行的自动化控制，否则，对控制的了解并不能代替对控制运行有效性的测试。另外，审计人员还应考虑被审计单位是否建立有效的控制，以恰当应对由于使用人工系统或信息技术系统而产生的风险。5.1内部控制5.1.2内部控制的了解与描述（续）

3.内部控制描述

描述内部控制的主要有文字叙述、问卷调查和流程图等方法。

(1)文字叙述法。或书面说明法，通过询问有关人员，查阅相关文件，将被审计单位业务的授权、批准、执行、记录、保管等程序及其实际执行情况，用叙述性文字记录下来，以形成对内部控制描述的一种方法。其优点在于简便易行、比较灵活、不受任何限制，可用于描述内部控制的各个业务循环；其缺点在于有时很难用简洁易懂的语言来说明各个细节，显得较为冗赘，也有可能遗漏设计中的重要环节，而且缺乏层次感和形象感，不便于资料的整理和分析。常用于记录控制环境、一般控制和实物控制等方面情况，几乎适用于任何类型、任何规模的单位。5.1内部控制5.1.2内部控制的了解与描述（续）

3.内部控制描述（续）

(2)问卷调查法。或调查表法，即根据被审计单位的业务类型、内部控制等，通过内部控制调查表(ICO)向有关人员了解内部控制调查事项情况，从而对内部控制加以描述的一种方法。其优点主要是简便易行、便于确定重点、利于进一步分析，其缺陷主要是难以全面了解情况，它比较适用于检查了解内部控制中各项具体的控制点和控制措施。采用此法的关键，是针对需调查了解的控制系统及控制点，合理设计拟调查的问题条款并编制ICO，而设计是否得当直接关系到检查与评价工作的质量。当然，在有些情况下，审计人员还需为某些特殊行业和个别被审计单位专门设计适用的调查表。5.1内部控制5.1.2内部控制的了解与描述（续）

3.内部控制描述（续）

(3)流程图法。即以特定的语言符号和图解形式对被审计单位的组织结构、职责分工、权限范围、文件编制及顺序、会计记录、业务处理流程、会计档案的种类及存放地点等内部控制情况加以描述的一种方法。其优点在于直观清晰，便于较快地检查和评价内部控制，利于减轻连续审计时的工作量，除非交易流程发生重大改变；其不足在于绘制颇费时间，流程图无法直接反映内部控制中的薄弱环节以及控制流程之外的控制措施（如实物控制等），尤其当流程图很复杂时，据此难以识别关键控制点。

描述内部控制的上述方法并非互相排斥，而是相互补充的。5.1内部控制5.1.3内部控制的测试

1.内部控制的组成部分及其影响

被审计单位内部控制系统包含人工成分，通常也包含自动化成分，它们会影响交易生成、记录、处理和报告的方式。

人工系统的控制可能包括对交易的批准和复核,编制调节表并对调节项目进行跟进，但可能无法一贯运用。它在以下情形中可能是不适当的：(1)存在大量或重复发生的交易，或者事先可预计或预测的错误能够通过自动化控制参数得以防止或发现并纠正；(2)用特定方法实施控制的控制活动可得到适当设计和自动化处理。目前，大多数企业已实现了内部控制的信息化，而信息技术系统中的控制是自动化控制(如嵌入计算机程序的控制)和人工控制的组合。人工控制可能独立于信息技术，也可能利用其生成的信息，或可能只限用于监督信息技术和自动化控制的有效运行或者处理例外事项。5.1内部控制5.1.3内部控制的测试（续）

1.内部控制的组成部分及其影响（续）

如果采用信息技术生成、记录、处理及报告交易和财务报表中包含的其他财务数据，系统和程序可能包括与财务报表重大账户认定相关的控制，或可能对依赖于信息技术的人工控制的有效运行非常关键。

人工成分和自动化成分的组合，会因使用信息技术的性质和复杂程度而异。信息技术也可能对内部控制产生特定风险，包括:(1)所依赖的系统或程序未能正确处理数据,或处理了不正确的数据；(2)未经授权访问数据,可能导致数据的毁损或对数据不恰当的修改；(3)信息技术人员可能获得超越其职责范围的数据访问权限,破坏系统应有的职责分工；(4)未经授权改变主文档的数据、改变系统或程序，未能对系统或程序作出必要的修改；(5)不恰当的人为干预，可能丢失数据或不能访问所需要的数据等。因此，还应考虑是否建立了有效的控制，以恰当应对所产生的风险。5.1内部控制5.1.3内部控制的测试（续）

2.控制测试的含义、目的和要求

控制测试是为了评价关于控制防止或发现并纠正认定层次重大错报的有效性而实施的，它并非在任何情况下都需要实施。当存在以下情形之一时，应当实施控制测试：在评估认定层次的重大错报风险时，预期控制的运行是有效的；仅实施实质性程序不足以提供认定层次充分、适当的审计证据。

控制运行的有效性强调的是，控制能够在各个不同时点按照既定设计得到一贯执行。因此，在实施控制测试时，需要抽取足够数量的交易进行检查或对多个不同时点进行观察。测试控制运行的有效性与确定控制是否得到执行所需获取的审计证据是不同的，但两者之间也有联系。

在实务中，审计人员可以考虑在评价控制设计和获取其得到执行的审计证据的同时，测试控制运行的有效性，以提高审计效率。5.1内部控制5.1.3内部控制的测试（续）

3.控制测试的性质、时间安排和范围

(1)控制测试的性质。即控制测试所使用的审计程序的类型及其组合。计划从控制测试中获取的保证水平是决定控制测试性质的主要因素之一。审计人员应选择适当类型的程序以获取有关控制运行有效性的保证。计划的保证水平越高,对有关控制运行有效性的审计证据的可靠性要求也越高。在设计控制测试时，应当考虑与认定直接相关的控制，还应考虑这些控制所依赖的与认定间接相关的控制，以获取支持控制运行有效性的审计证据。

(2)控制测试的时间安排。即何时实施控制测试以及测试所针对的控制适用的时点和期间。应根据控制测试的目的确定控制测试的时间，并确定拟信赖的相关控制的时点和期间。控制在多个不同时点的运行有效性的审计证据的简单累加，并不能构成控制在某一期间运行有效性的证据。5.1内部控制5.1.3内部控制的测试（续）

3.控制测试的性质、时间安排和范围（续）

(3)控制测试的范围。即某项控制活动的测试次数。审计人员应当设计控制测试，以获取控制在整个拟信赖的期间有效运行的充分、适当的审计证据。在确定某项控制的测试范围时，通常应考虑以下因素：(1)在整个拟信赖的期间，被审计单位执行控制的频率；(2)在所审计期间，审计人员拟信赖控制运行有效性的时间长度；

(3)为证实控制能够防止或发现并纠正认定层次重大错报，所需获取审计证据的相关性和可靠性；(4)通过测试与认定相关的其他控制获取的审计证据的范围；(5)在风险评估时拟信赖控制运行有效性的程度；(6)控制的预期偏差等。

控制测试可用于每个层面的内部控制。与业务流程层面控制的测试相比，整体层面控制的测试更为主观，其结果会影响其他计划审计程序的性质和范围，也更难以记录，通常记录的是文件备忘录和支持性证据。5.1内部控制5.1.4

内部控制的评价

为充分了解和客观评价内部控制，准确把握关键控制点，除了可以通过内部控制审计，还可以借助于内部控制自我评价。它是一个由内部审计人员召集组织内部的相关人员，通过专题讨论会、问卷调查及管理分析等对内部控制进行评价的过程，亦即董事会或类似权力机构对内部控制的有效性进行客观评价、形成结论、出具报告的过程。

此外，还有审计机构和审计人员定期或不定期地对企业内部控制的设计与运行情况独立进行的评价，即内部控制独立评价。

企业应当如实编制和对外提供年度内部控制评价报告，事会及全体董事应当就此报告的真实性、准确性、完整性承担个别和连带的法律责任。企业内部控制评价报告可以与年度报告一并对外披露，并对内部控制评价的范围和依据，内部控制缺陷的认定标准、具体认定及整改情况，财务报告内部控制有效性的评价结论等相关内容作出披露。5.1内部控制5.1.5

内部控制的审计

1.内部控制审计的含义

即会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。建立健全、维护和有效实施内部控制，并评价内部控制的有效性是企业的责任。按照有关要求，在实施审计工作的基础上对内部控制的有效性发表审计意见,是注册会计师的责任。注册会计师执行内部控制审计工作，应当获取充分、适当的证据，为发表内部控制审计意见提供合理保证。注册会计师应对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷予以披露。

在开展常规审计之前，适当利用内部控制自我评价结果，有助于提高内部控制审查和评价的效率及效果。因此，内部控制自我评价，可以作为审计机构开展内部控制审计的一项基础工作。5.1内部控制5.1.5

内部控制的审计（续）

2.内部控制审计程序

即包括计划审计工作、实施审计工作、评价控制缺陷、完成审计工作以及出具审计报告等。

第一，计划审计工作。审计人员应恰当地计划内部控制审计工作，配备具有专业胜任能力的项目组，并对助理人员进行适当的督导，还应当以风险评估为基础，选择拟测试的控制，确定测试所需收集的证据。

第二，实施审计工作。可以将企业整体层面和业务流程(或业务分部)层面的控制测试结合进行，在测试不同层面控制时，应当评价内部控制是否足以应对舞弊风险，还应根据与内部控制相关的风险，确定拟实施实质性程序的性质、时间安排和范围，以获取充分、适当的证据。

第三，评价控制缺陷。企业内部控制缺陷，按其成因可分为设计缺陷和运行缺陷，依其影响程度可分为重大缺陷、重要缺陷和一般缺陷。5.1内部控制5.1.5

内部控制的审计（续）

2.内部控制审计程序（续）

审计人员应当评价识别出的各项内部控制缺陷的严重程度，以确定这些缺陷单独或组合起来，是否构成重大缺陷。在确定一项或多项内部控制缺陷是否构成重大缺陷时，注册会计师应当评价补偿性控制(替代性控制)的影响。企业执行的补偿性控制应具有同样的效果。

通常，表明内部控制可能存在重大缺陷的迹象主要包括：(1)审计发现董事、监事和高级管理人员舞弊；(2)企业更正已经公布的财务报表；(3)审计发现当期财务报表存在重大错报，而内部控制在运行过程中未能发现该错报；(4)审计委员会和内部审计机构对内部控制的监督无效。

第四，完成审计工作。审计人员应当取得经企业签署的书面声明，并且应就审计过程中识别出的所有控制缺陷与企业进行充分沟通，对其中的重大缺陷和重要缺陷，还应以书面形式与治理层和管理层沟通。5.1内部控制5.1.5

内部控制的审计（续）

2.内部控制审计程序（续）

审计人员认为审计委员会和内部审计机构对内部控制的监督无效，也应就此以书面形式直接与治理层和管理层沟通。当然，书面沟通应当在出具内部控制审计报告之前进行。审计人员应当对获取的证据进行评价，以形成对内部控制有效性的意见。

第五，出具审计报告。审计人员在完成内部控制审计工作后，应当出具内部控制审计报告，并且应当编制审计工作底稿，完整地记录内部控制审计工作情况。

在审计工作底稿中应记录以下内容：(1)内部控制审计计划及重大修改情况；(2)相关风险评估和选择拟测试的内部控制的主要过程及结果；(3)测试内部控制设计与运行有效性的程序及结果；(4)对识别的控制缺陷的评价；(5)形成的审计结论和意见；(6)其他重要事项。5.1内部控制5.1.5

内部控制的审计（续）

3.内部控制审计报告

标准内部控制审计报告包括以下要素：(1)标题;；(2)收件人；(3)引言段；(4)企业对内部控制的责任段；(5)注册会计师的责任段；(6)内部控制固有局限性的说明段；(7)财务报告内部控制审计意见段；(8)非财务报告内部控制重大缺陷描述段；(9)注册会计师的签名和盖章；(10)会计师事务所的名称、地址及盖章；(11)报告日期。

当符合以下两个条件，注册会计师应对财务报告内部控制发表无保留意见：(1)企业按照有关要求，在所有重大方面保持了有效的内部控制；(2)注册会计师已经按照有关要求计划和执行了审计工作，在审计过程中未受到限制。

如果认为财务报告内部控制虽不存在重大缺陷，但仍有一项或者多项重大事项需要提请内部控制审计报告使用者注意的，则应在内部控制5.1内部控制5.1.5

内部控制的审计（续）

3.内部控制审计报告（续）审计报告中增加强调事项段予以说明。强调事项段中应当指明，该段内容仅用于提醒内部控制审计报告使用者关注，并不影响发表的审计意见。

如果认为财务报告内部控制存在一项或多项重大缺陷的，除非审计范围受到限制，则应对财务报告内部控制发表否定意见，并且审计报告还应包括重大缺陷的定义、性质及其对财务报告内部控制的影响程度。

审计范围受到限制的，应解除业务约定或发表无法表示意见，并就此情况以书面形式与治理层沟通，且在报告中指明审计范围受到限制，无法对此发表意见。在已执行的有限程序中发现存在重大缺陷的，应在报告中对重大缺陷作详细说明。针对注意到的非财务报告内部控制缺陷，应区别具体情况予以处理，并在报告中增加重大缺陷描述段，对其性质及其对实现相关控制目标的影响程度进行披露，以提示使用者注意风险。5.2审计抽样5.2.1

审计抽样的含义

审计抽样系审计人员在实施审计程序时，从审计对象总体中选取一定数量的样本进行测试，并根据测试结果推断总体的一个过程。实际上，抽样的主要目的是通过少量的关键样本来高效获取整体分布的关键信息。在设计审计程序时，审计人员应当确定用以选取测试项目的适当方法,以获取充分、适当的审计证据,实现审计程序的目标。它不同于详细审计，也不完全等同于抽查，且并非适用于所有的审计程序。1.统计抽样和非统计抽样

按照抽样决策的依据不同，审计抽样可分为统计抽样和非统计抽样。审计人员应当根据具体情况，运用职业判断，确定使用统计抽样或非统计抽样，以最有效率地获取审计证据。

(1)统计抽样。即审计人员以概率论和数理统计为理论基础，将数理统计的方法与审计工作相结合而产生的一种审计抽样方法。它同时具备以5.2审计抽样5.2.1

审计抽样的含义（续）1.统计抽样和非统计抽样（续）下特征：随机选取样本；运用概率论评价样本结果，包括计量抽样风险。运用统计抽样可以使总体中每一单位都有被抽选的机会，使样本的特征尽可能近似于总体的特征，并且可以解决样本规模大小的问题。但是，它不能运用于针对各种舞弊的专案审计，也不适用于对资料不全的单位审计。(2)非统计抽样。即审计人员仅凭其专业经验，判断并选取样本的一种审计抽样方法。换言之，不同时具备上述两个特征的抽样方法就属于非统计抽样。其成效主要取决于审计人员的调查研究、职业经验及判断能力。现代审计常用统计抽样。当然，非统计抽样如果设计得当，也可取得与设计适当的统计抽样同样的效果。审计实务中，审计人员有时也采用非统计抽样，或者结合运用统计抽样和非统计抽样。5.2审计抽样5.2.1

审计抽样的含义（续）2.货币单位抽样

货币单位抽样(MUS)系以审计对象总体的金额(元)作为抽样单位，以使每一金额单位有相同的被选取机会的一种选样方法。它也是一种随机选样，其主要特点是能使金额较大的项目比金额较小的项目有更多的被选取的机会。它有别于传统的属性抽样和变量抽样，其审计对象总体是被测试的相关总账账户余额，所运用的抽样单位是个别的货币单位。

货币单位抽样有其适用的范围与条件，即不能获取审计测试总体单位数或变异数、预期测试总体错报率较低(或为零)、不存在余额为零(或为负)的样本项目，以及需要信息技术的支持等；反之，诸如无法获取测试单位样本的账面余额、预期测试总体错报率较高(尤其有低报的情形)、存在余额为零(或为负)的样本项目等账户余额实质性程序，更适用于传统的变量抽样。亦即因其内在的固有限制使之无法全面取代传统的变量抽样。5.2审计抽样5.2.2

样本的设计与选取1.样本的设计

样本的设计系以审计人员围绕样本的性质、样本量、抽样组织方式及抽样工作质量要求等所进行的规划工作。审计人员应当考虑审计程序的目标和抽样总体的属性，根据所获取审计证据的性质以及与该审计证据相关的可能的误差情况或其他特征，界定误差构成条件和抽样总体，并评估总体的预计误差率或误差额，以便合理设计样本，适当确定样本规模。

具体而言，在设计样本时应综合考虑以下因素：(1)审计目标，尤其是根据具体目标界定“误差”；(2)总体、分层及抽样单位；

(3)抽样风险（依据抽样结果得出的结论与审计对象总体特征不相符合的可能性，其与选取的样本不能代表总体的可能性有关，并且与样本量成反比）和非抽样风险单位；

(4)可信赖程度；(5)可容忍误差；(7)预期总体误差。5.2审计抽样5.2.2

样本的设计与选取2.样本的选取

在实际