符合性测试，别把它当成走过场，它是审计师手中的照妖镜

作为一名在注会行业摸爬滚打多年的审计老手，每到年审季节，看着办公室里堆积如山的凭证和底稿，我总会想起刚入行时那种既兴奋又懵懂的劲头，那时候，我觉得审计就是查错防弊，像侦探一样拿着放大镜去找每一张发票背后的秘密，随着经验的积累，我越来越深刻地意识到，如果真的要一笔一笔去核对所有的交易，那我们累死不说,客户的企业估计也早就因为效率低下而倒闭了。

这时候，符合性测试（Compliance Tests）这个概念，就像是一把解开谜题的钥匙，摆在了我的面前，很多初学者，甚至是一些企业的财务人员，都把符合性测试当成是审计程序中的“走过场”，是必须要勾选的“形式主义”，但我今天要非常严肃地告诉大家：这种想法大错特错，符合性测试不仅仅是审计工作的一环，它是我们理解企业生意逻辑的入口，更是我们评估企业生存状态的“照妖镜”。

我想抛开那些晦涩难懂的教科书定义，用咱们平时聊天的语气，结合我这些年遇到的真实案例,来好好扒一扒符合性测试的里里外外。

什么是符合性测试？别被名词吓住了

如果我们把审计比作体检，那么实质性测试（Substantive Testing）就是验血、拍CT，直接看你的身体指标有没有问题；而符合性测试，则是医生先问问你：平时饮食规律吗？有运动习惯吗？烟抽得多吗？

为什么要先问这些？因为如果你饮食规律、天天健身、不抽烟不喝酒，医生大概率会判断你的身体内部环境是健康的，得重病的概率很低，这时候，医生可能就不会让你去做那种把全身扫一遍的昂贵检查，反之，如果你天天熬夜、暴饮暴食，那医生心里就要打鼓了，为了保险起见，必须得开一堆检查单,把每个角落都查个底朝天。

在审计里，这就是符合性测试的核心逻辑：测试内部控制的有效性。

如果一家企业有一套严密的内部控制制度——比如每一笔支出都要经过三个人审批，每个月库存都要盘点两次，而且大家都老老实实照做了——那么审计师就可以推断，这家企业的财务数据出大错的可能性很低，我们就可以少抽点凭证，少做点繁琐的细节测试，这就是所谓的“信赖度”。

反之，如果符合性测试发现，所谓的审批制度就是领导大笔一挥随便签，所谓的盘点就是几个人坐在屋里填数字，那审计师的心就悬起来了，既然“免疫系统”失效了，病毒（错报）可能已经遍布全身，我们就得把实质性测试的范围扩大到最大，哪怕累得吐血,也得把每一笔可疑的交易都揪出来。

一个关于“报销单”的鲜活教训

为了让大家更直观地理解,我来讲一个我亲身经历的故事。

那是几年前，我带队去审计一家中型科技公司，当时负责费用循环审计的是小李，一个刚毕业两年的小伙子，这家公司的制度手册做得那叫一个漂亮，厚厚的一大本，光差旅费报销制度就有十几页，规定了什么级别的员工坐什么舱位、住多少钱的酒店、甚至连餐补的标准都精确到个位数。

小李看着这本手册，又随手翻了翻前面几个月的凭证，发现每一张报销单后面都附了领导签字的审批单，小李在底稿上潇洒地写道：“经测试，公司费用报销内部控制执行有效，予以信赖。”

他在做符合性测试吗？形式上做了,但他完全做错了。

我当时复核他的底稿时，觉得不对劲，我让他把最近三个月的报销单全部调出来，我们要做一个“突击检查”，我不看签字对不对,我看逻辑。

我随机抽了一张销售总监去上海出差的报销单，机票是周一上午9点的，回程是周三下午5点的，这看起来很正常，三天两晚的商务行程，我翻到后面附的酒店水单，发现入住时间是周一晚上10点,退房时间是周二早上8点。

问题来了：周二晚上他住哪？

按照公司的制度，员工出差必须每晚住宿，且必须提供发票，这张报销单里，周二晚上的住宿发票不见了，更有意思的是，我在同一天另一个部门的报销单里，发现了一张周二晚上的同一家酒店、不同房号的发票,但那个部门的人那天根本没在上海。

我们把这两个线索一拼，再结合后来我们做的访谈（这也是符合性测试的一种手段），真相浮出水面：原来这位销售总监周二晚上其实是回本地家了，但他为了多拿一天的日津贴，并且把周二晚上在本地娱乐消费的发票拿去报销，就伙同酒店的朋友，拆分了住宿水单,甚至偷梁换柱。

这个案例告诉我们什么？

如果小李只是看“有没有签字”，那他做的符合性测试就是自欺欺人，真正的符合性测试，是要去验证控制是否在实质上运行了，以及是否按照预定的方式运行。

那个签字确实存在，但那个签字背后的控制逻辑——“核实行程的真实性和费用的合理性”——完全没有发生，这就是典型的“控制失效”，如果我们信赖了这个失效的控制，进而减少了实质性测试的样本量,那么最终的审计报告就会存在巨大的风险。

为什么很多企业的符合性测试是“摆拍”？

在这么多年的审计生涯中，我发现了一个很有趣的现象：很多企业的内部控制，在纸面上是完美的，但在执行层面是“摆拍”的。

就像我们在朋友圈看到的那些精修照片，风景如画，但现实可能是一地鸡毛，符合性测试就是审计师要去现场看看,这风景到底是不是真的。

举个生活中的例子，大家可能都见过小区的保安，小区规定“外来车辆必须登记，业主必须刷卡”,这就是一项内部控制。

有一次我去客户那盘点库存（这也是符合性测试中的“观察”程序），在仓库门口遇到了一个特别严的门卫，不管是谁，进出必须核对清单，连我这个带队审计师想多进一个人都得跟老板打电话确认，当时我就跟老板说：“你们这仓库管理真严，风险可控啊。”

结果到了下午，我去仓库后门抽烟，发现后门大敞四开，几个工人正把成箱的原料往一辆没有任何标识的面包车上搬,我看那门卫坐在岗亭里正戴着耳机看电视剧呢。

那一刻,我背脊发凉。

前门的严防死守，是为了给审计师看的“摆拍”；后门的随意进出，才是企业的真实管理现状，如果我只在门口看了一下就得出“管理良好”的结论,那我就成了最大的笑话。

我们在做符合性测试时，有一个非常重要的原则叫“不可预见性”，我们不能总是顺着客户铺好的路走，不能总是在客户准备好的会议室里看整齐的档案，我们要去翻垃圾桶，要去仓库后门，要在非工作时间去观察,要突然袭击去询问某个刚入职的小出纳。

我们才能透过现象看到本质，才能判断出那些印在A4纸上的制度，到底是流淌在员工血液里的习惯,还是仅仅停留在墙上的标语。

符合性测试的三板斧：问、看、重

具体到操作层面，符合性测试其实就三板斧：询问、观察、检查和重新执行，这里我想重点聊聊“重新执行”，因为这是最能体现审计师价值,也是最容易省略的一步。

所谓重新执行，就是审计师自己把客户的控制流程再走一遍。

客户说他们的工资计算系统非常精准，有一个自动化的公式来计算考勤和绩效，这时候，如果我们只是“检查”了最后打印出来的工资表，那还不够，我们应该独立地选取几个样本，拿过考勤打卡记录和绩效评分表,自己拿计算器算一遍。

如果算出来的结果和系统生成的一致，说明这个自动控制是有效的，如果不一致,那就有大问题了。

我曾经审计过一家制造企业，他们号称有一套先进的ERP系统，能自动根据BOM（物料清单）计算成本，财务总监拍着胸脯跟我说：“老师，我们这系统是花大价钱买的，绝对没问题，数据都是自动生成的，人为干预不了。”

但我还是坚持做了“重新执行”，我选了一个产量最大的产品，自己拿着领料单，把各种原材料的单价和数量乘了一遍，加上人工和制造费用分摊，结果算出来的单位成本，比系统里出来的低了15%。

为什么？后来我们发现，是因为有人在ERP系统的参数设置里，偷偷把某一种贵重原材料的损耗率调高了，系统是自动的，参数却是人改的，如果不做重新执行,我们根本发现不了这种隐蔽的舞弊。

这就是符合性测试的魅力，它逼着审计员不能偷懒，不能只看结果，必须去追根溯源，去验证那个“黑盒子”里的运作机制。

个人观点：符合性测试是审计师的“良心”

写到这里,我想发表一点我个人的强烈观点。

在现在这个内卷严重的审计行业，很多事务所为了追求效率，为了压低审计成本，往往会大幅压缩符合性测试的时间和精力，他们的逻辑很简单：做符合性测试太费劲了，要问人、要看现场、要算数据，万一测出来控制不行，还得回头做大量的实质性测试，得不偿失，不如直接默认控制风险是“高水平”，然后不管三七二十一，直接把实质性测试的样本量拉满，虽然累点，但至少程序上“覆盖”了。

我觉得这种做法，虽然从短期看似乎符合成本效益原则，但从长远看,这是在毁灭审计行业的价值。

为什么这么说？

因为如果我们放弃了符合性测试，我们就放弃了理解客户的机会，我们就变成了纯粹的“数豆子的人”,变成了没有灵魂的查账机器。

符合性测试的过程，实际上是我们与客户管理层沟通、了解业务痛点、梳理流程的过程，当我们发现一个控制点失效时，我们不仅仅是记录一个审计发现,我们其实是在给企业提供管理建议。

记得有一次，我在做符合性测试时发现，这家企业的采购付款流程中，申请部门和付款部门是不分离的，同一个人既能发起付款申请，又有网银的录入权限，这在审计师眼里是重大的控制缺陷,我把这个问题写进了管理建议书。

后来，老板非常感激我们，因为没过多久，那个员工利用这个漏洞，卷走了几十万公款，虽然案子破了，但老板说，如果不是我们当时指出来，他根本不知道这个漏洞有多大,损失可能会更惨重。

你看，符合性测试不仅保护了审计师，保护了财务报表的使用者,也在某种程度上保护了企业自身的资产安全。

我认为，符合性测试不应该是一张用来勾选的表格，它应该是审计师职业怀疑精神的具象化体现，它是我们用专业的眼光，去审视企业的每一个动作,去判断每一个承诺是否可信的过程。