二、选取样本阶段
（一）确定样本规模
1．影响样本规模的因素。

在控制测试中影响样本规模的因素如下：
（1）可接受的信赖过度风险。

在实施控制测试时，注册会计师主要关注抽样风险中的信赖过度风险。

可接受的信赖过度风险与样本规模反向变动。

控制测试中选取的样本旨在提供关于控制运行有效性的证据。

由于控制测试是控制是否有效运行的主要证据来源，因此，可接受的信赖过度风险应确定在相对较低的水平上。

在控制测试中，影响注册会计师可以接受的信赖过度风险的因素包括：
①该控制所针对的风险的重要性；
②控制环境的评估结果；
③针对风险的控制程序的重要性；
④证明该控制能够防止、发现和改正认定层次重大错报的审计证据的相关性和可靠性；
⑤在与某认定有关的其他控制的测试中获取的证据的范围；
⑥控制的叠加程度：
⑦对控制的观察和询问所获得的答复可能不能准确反映该控制得以持续适当运行的风险。

通常，相对较低的水平在数量上是指5%～10%的信赖过度风险。

注册会计师一般将信赖过度风险确定为10%，特别重要的测试则可以将信赖过度风险确定为5%。

在实务中，注册会计师通常对所有控制测试确定一个统一的可接受信赖过度风险水平，然后对每一测试根据计划的重大错报风险评估水平和控制有效性分别确定其可容忍偏差率。

本例中，注册会计师确定的可接受信赖过度风险为10%。

（2）可容忍偏差率。

可容忍偏差率与样本规模反向变动。

在确定可容忍偏差率时，注册会计师应考虑计划评估的控制有效性。

计划评估的控制有效性越低，注册会计师确定的可容忍偏差率通常越高，所需的样本规模就越小。

一个很高的可容忍偏差率通常意味着，控制的运行不会大大降低相关实质性程序的程度。

在这种情况下，由于注册会计师预期控制运行的有效性很低，特定的控制测试可能不需进行。

反之，如果注册会计师在评估认定层次重大错报风险时预期控制的运行是有效的，注册会计师必须实施控制测试。

换言之，注册会计师在风险评估时越依赖控制运行的有效性，确定的可容忍偏差率越低，进行控制测试的范围越大，因而样本规模增加。

在实务中，注册会计师通常认为，当偏差率为3% ～7%时，控制有效性的估计水平较高；可容忍偏差率最高为20%，偏差率超过20%时，由于估计控制运行无效，注册会计师不需进行控制测试。

当估计控制运行有效时，如果注册会计师确定的可容忍偏差率较高就被认为不恰当。

表8-3列示了可容忍偏差率与计划评估的控制有效性之间的关系。

本例中注册会计师预期现金支付授权控制运行有效，确定的可容忍偏差率为7%。

计划评估的控制有效性可容忍偏差率（近似值，%）
高3～7
中6～12
低11～20
最低不进行控制测试
（3）预计总体偏差率。

对于控制测试，注册会计师在考虑总体特征时，需要根据对相关控制的了解或对总体中少量项目的检查来评估预期偏差率。

注册会计师可以根据上年测试结果和控制环境等因素对预计总体偏差率进行评估。

在考虑上年测试结果时，应考虑被审计单位内部控制和人员的变化。

在实务中，如果以前年度的审计结果无法取得或认为不可靠，注册会计师可以在抽样总体中选取一个较小的初始样本，以初始样本的偏差率作为预计总体偏差率的估计值。

如果预期总体偏差率高得无法接受，意味着控制有效性很低，注册会计师通常决定不实施控制测试，而实施更多的实质性程序。

本例中，注册会计师根据上年测试结果和对控制的初步了解，预计总体的偏差率为1．75%。

（4）总体规模。

在本例中，现金支付业务数量很大，因而注册会计师认为总体规模对样本规模的影响可以忽略。

此外，控制运行的相关期间越长（年或季度），需要测试的样本越多，因为注册会计师需要对整个拟信赖期间控制的有效性获取证据。

控制程序越复杂，测试的样本越多。

样本规模还取决于所测试的控制的类型，通常对人工控制实施的测试要多过自动化控制，因为人工控制更容易发生错误和偶然的失败；而针对计算机系统的信息技术一般控制只要有效发挥作用，曾经测试过的自动化控制一般都能保持可靠运行。

在确定被审计单位自动控制的测试范围时，如果支持其运行的信息技术一般控制有效，注册会计师测试一次应用程序控制便可能足以获得对控制有效运行的较高的保证水平。

如果所测试的控制包含人工监督和参与（如：偏差报告、分析、评估、数据输入、信息匹配等），则通常比自动控制需要测试更多的样本。

在使用统计抽样时，注册会计师应当对影响样本规模的因素进行量化。

2．确定样本规模。

实施控制测试时，注册会计师可能使用统计抽样，也可能使用非统计抽样。

在统计抽样中，注册会计师可以使用样本量表确定样本规模。

表8-4提供了在控制测试中确定的可接受信赖过度风险为10%时所使用的样本量表。

如果注册会计师计需要其他信赖过度风险水平的抽样规模，必须使用统计抽样参考资料中其他表格或计算机程序。

注册会计师根据可接受的信赖过度风险选择相应的抽样规模表，然后，读取预计总体偏差率栏找到适当的比率。

接下来注册会计师确定与可容忍偏差率对应的列。

可容忍偏差率所在列与预计总体偏差率所在行的交点就是所需的样本规模。

本例中，如前所述，注册会计师确定的可接受信赖过度风险为10%，可容忍偏差率为7%，预计总体偏差率为1．75%，交叉处为55，即所需的样本规模为55。

（二）选取样本
在控制测试中使用统计抽样方法时，注册会计师必须在上节所述的使用随机数表或计算机辅助审计技术选样和系统选样中选择一种方法。

原因在于，这两种方法能够产生随机样本，而其他选样方法虽然也可能提供代表性的样本，但却不是随机的。

（三）实施审计程序
在对选取的样本项目实施审计程序时可能出现以下几种情况。

1．无效单据。

注册会计师选取的样本中可能包含无效的项目。

例如，在测试与被审计单位的收据（发票）有关的控制时，注册会计师可能将随机数与总体中收据的编号对应。

但是，某一随机数对应的收据可能是无效的（比如空白收据）。

如果注册会计师能够合理确信该收据的无效是正常的且不构成对设定控制的偏差，就要用另外的收据替代。

而且，如果使用了随机选样，注册会计师要用一个替代的随机数与新的收据样本对应。

2．未使用或不适用的单据。

注册会计师对未使用或不适用单据的考虑与无效单据类似。

例如，一组可能使用的收据号码中可能包含未使用的号码或有意遗漏的号码。

如果注册会计师选择了一个未使用号码，就应合理确信该收据号码实际上代表一张未使用收据且不构成控制偏差。

然后注册会计师用一个额外的收据号码替换该未使用的收据号码。

有时选取的项目不适用于事先定义的偏差。

例如，如果偏差被定义为没有验收报告支持的交易，选取的样本中包含的电话费可能没有相应的验收报告.如果合理确信该交易不适用且不构成控制偏差，注册会计师要用另一笔交易替代该项目，以测试相关的控制。

3．对总体的估计出现错误。

如果注册会计师使用随机数选样方法选取样本项目，在控制运行之前可能需要预估总体规模和编号范围。

当注册会计师将总体定义为整个被审计期间的交易但计划在期中实施部分抽样程序时，这种情况最常发生。

如果注册会计师高估了总体规模和编号范围，选取的样本中超出实际编号的所有数字都被视为未使用单据。

在这种情况下，注册会计师要用额外的随机数代替这些数字，以确定对应的适当单据。

4．在结束之前停止测试。

有时注册会计师可能在对样本的第一部分进行测试时发现大量偏差。

其结果是，注册会计师可能认为，即使在剩余样本中没有发现更多的偏差，样本的结果也不支持计划的重大错报风险评估水平。

在这种情况下，注册会计师要重估重大错报风险并考虑是否有必要继续进行测试。

5．无法对选取的项目实施检査。

注册会计师应当针对选取的每个项目，实施适合于具体审计目标的审计程序。

有时，被测试的控制只在部分样本单据上留下了运行证据。

如果找不到该单据，或出于其他原因注册会计师无法对选取的项目实施检查，注册会计师可能无法使用替代程序测试控制是否适当运行。

如果注册会计师无法对选取的项目实施计划的审计程序或适当的替代程序，就要考虑在评价样本时将该样本项目视为控制偏差。

另外，注册会计师要考虑造成该限制的原因，以及该限制可能对其了解内部控制和评估重大错报风险产生的影响。