1.6.1 符合性与实质性测试

符合性测试是指为测试组织是否遵循控制程序而进行的证据搜集工作。这与实质性测试不同，实质性测试中搜集的证据用于评估单个交易、数据或其他信息的完整性。

符合性测试可用于确定控制措施的应用方式是否符合管理政策和程序。例如，如果信息系统审计师不确定生产程序库控制是否正常运转，可以选取一些程序样本来确定源版本和对象版本是否相同。符合性测试的广义目标是为在初步评估阶段中设想的特定控制提供合理保证。

信息系统审计师应当了解符合性测试和所测试控制措施的具体目标，这一点很重要。符合性测试可用于测试是否存在已定义流程及其有效性，这可能包括一系列书面和/或自动化证据，例如，保证只有经过授权才能够修改生产程序。

实质性测试可用于证实实际处理的完整性。其会提供可证明财务报表结余有效且完整的证据，以及支持这些结余的交易。信息系统审计师可以通过实质性测试来检查能够直接影响组织财务报表结余或其他相关数据的货币类错误。此外，信息系统审计师可以开展实质性测试，以评估报告数据的完整性和准确性。要执行这种测试，信息系统审计师可以使用统计抽样，这样能使信息系统审计师得出有关所有数据准确性的结论。

内部控制的水平与所需的实质性测试工作量之间存在直接关联。如果测试控制（符合性测试）的结果显示内部控制充分，则证明尽量简化实质性程序的做法正确合理。相反，如果控制测试暴露出控制中存在弱点，因而可能产生账户完整性、准确性或有效性方面的疑虑，则实质性测试可缓解这些疑虑。

可考虑抽样的控制符合性测试示例包括：用户访问权限、程序变更控制程序、记录程序、方案记录、异常跟进、日志审查和软件许可证审计。

可考虑抽样的实质性测试示例包括：对账户样本或交易样本执行复杂计算（如利息），以保证生成支持文档。

如果控制初步评估结果表明实施的控制不可靠或未落实，则信息系统审计师可以在初步评估过程中纳入实质性测试。

图1.16显示符合性测试和实质性测试之间的关系，并描述了两类实质性测试。

图1.16 了解控制环境和交易流程