内部控制测评,是指审计人员通过调查了解被审计单位内部控制的设置和运行情况,并进行相关测试,对内部控制的健全性、合理性和有效性作出评价,以确定是否依赖内部控制和实质性测试的性质、范围、时间和重点的活动。
建立健全内部控制并保证其有效实施是被审计单位的责任。审计人员的责任是对内部控制的健全性和有效性进行评价。
一、内部控制测评的作用(了解)
内部控制测评在审计中的重要作用主要表现在以下几个方面:
1.评价被审计单位内部控制的健全性和有效性,据以确定会计和其他经济信息的可依赖性。
2.评估控制风险水平,据以确定对实质性测试的性质、范围、时间和重点的影响,为制定和修改审计方案提供科学依据。
3.减少审计工作量,节约审计成本,保证审计质量。
4.向被审计单位提出健全和加强内部控制的建议,帮助其提高经济效益。
二、内部控制测评的步骤和方法
审计人员进行内部控制测评分为下列四个步骤:
1.调查了解内部控制,并做出相应记录。
(1)查阅被审计单位的各项管理制度和相关文件。
(2)询问被审计单位的管理人员和其他有关人员。
(3)检查内部控制过程中生成的文件和记录。
(4)观察被审计单位的业务活动和内部控制的实际运行情况。
审计人员对于被审计单位内部控制的调查结果,应该以书面形式记录或描述出来。常用的方法有文字说明法、调查表法和流程图法。(了解优缺点)
2.对内部控制进行初步评价,评估控制风险初步评价的内容包括健全性和合理性两个方面:
(1)健全性评价。主要是评价应有的控制环节是否设置齐全。
(2)合理性评价。主要是分析内部控制的布局是否合理,有无多余的和不必要的控制;
经过初步评价,如果认为控制系统正常,相关的内部控制能够防止或发现和纠正重大错报或漏报,则审计人员就应适当减低控制风险的评估水平,并根据所确定的内部控制测试范围,转入内部控制测试阶段。但如果认为内部控制的设置极为有限,或审计人员不宜进行内部控制测试时,则审计人员不再对内部控制进行测试,而直接转入实质性测试阶段。
值得注意的是:如果因采用内部控制测试所减少的实质性测试的工作量小于进行必要的内部控制测试的工作量,则进行内部控制测试就是不经济的,此时,审计人员也不再对内部控制实施测试,而是直接转入实质性测试阶段。
3.如果决定依赖内部控制,实施内部控制测试。
内部控制测试是为了确定内部控制的设计和执行是否有效而实施的审计程序。它是在调查了解内部控制设置状况的基础上,对其执行的有效性所进行的测试,因此也常被称为遵循性测试。(注意初步评价时针对健全性和有效性)
(1)内部控制测试的方式。内部控制测试可以采取两种方式:一是业务程序测试(简称业务测试),即选择若干具体的典型业务,沿着业务处理过程检查业务处理程序中的各项内部控制是否得到执行。这种测试常被看成是一种纵向的内部控制测试。二是功能测试,即针对某项控制的某个控制环节,选择若干时期的同类业务进行检查,查明该控制环节的处理程序在被审计期内是否按规定发挥了作用。这种测试常被看成是一种横向的内部控制测试。
(2)内部控制测试的范围。但在审计实务中,内部控制测试的范围并不是越大越好,它要受到审计效率和审计成本的制约。
(3)内部控制测试的方法。审计人员可以通过检查文件资料、询问、现场观察、重复执行等方法来测试内部控制是否得到有效执行。
4.对内部控制进行再评价
对内部控制的再评价,是指在初步评价的基础上,根据内部控制测试的结果对控制风险水平做出进一步评价。以确定完成审计工作所需执行的实质性测试的范围和重点。
控制风险的水平,可以用高、中、低的概念来表示,也可以将控制风险量化为百分比来表示。
(1)低控制风险。此种情况表明内部控制健全且执行情况良好。审计人员可以较多地依赖、利用内部控制,并相应减少实质性测试的数量和范围。
(2)中等控制风险。此种情况表明内部控制比较健全,尚存在一定的薄弱环节或缺陷。审计人员应有保留地信赖该企业的内部控制。为减少审计风险,应扩大实质性测试的深度和广度,适当增加财务报表项目检查的数量和范围。
(3)高控制风险。此种情况表明内部控制设置极不健全,或虽设计了良好的内部控制,但却未予有效执行。审计人员无法信赖该单位的内部控制。此时,审计人员通常要对经济业务和财务报表项目实施较为详细的实质性测试,以获得支持审计结论的足够证据。
若审计人员认为内部控制完全不能预防或发现错误,就应将控制风险定为100%。内部控制越有效,控制风险就越低。
三、内部控制测评结果的利用
1.确定实质性测试的性质、范围、重点和方法。
这是审计人员运用内部控制、实施内部控制测试的直接原因,也是制度基础审计模式的要求。
(1)确定实质性测试的性质。方法选择。
(2)确定实质性测试的范围。通常情况下,在控制评价所认定的失去控制和控制薄弱的业务系统或业务环节,固有风险较大的经济业务都应当纳入实质性测试的范围。
(3)确定实质性测试的重点。确定实质性测试重点领域时应考虑以下三个方面:一是缺少内部控制的重要业务领域;二是内部控制设置不合理、控制目标不能实现的领域;三是内部控制没有发挥作用的领域。
(4)确定实质性测试的方法。对于列入审计重点的项目,一般应采用详细审计的方法;对于列入审计范围的非重点业务,一般应采用抽样审计方法,选择较大规模的样本进行审查;对于未列入审计重点和审计范围的业务,一般可以选择较小规模的样本进行略查,或者不作检查。
2.提出改进内部控制的建议。