中级审计师《审计理论与实务》知识点:内部控制测评
第七章 内部控制及其测评
知识点三、内部控制测评
内部控制测评,是指审计人员通过调查了解被审计单位内部控制的设置和运行情况,并进行相关测试,对内部控制的健全性、合理性和有效性作出评价,以确定是否依赖内部控制和实质性审查的性质、范围、时间和重点的活动。
建立健全内部控制并保证其有效实施是被审计单位的责任。审计人员的责任是对内部控制的健全性和有效性进行评价。
一、内部控制测评的作用(了解)
内部控制测评在审计中的重要作用主要表现在以下几个方面:
1.评价被审计单位内部控制的健全性和有效性,据以确定会计和其他经济信息的可依赖性。
2.评估控制风险水平,据以确定对实质性审查的性质、范围、时间和重点的影响,为制定和修改审计方案提供科学依据。
3.减少审计工作量,节约审计成本,保证审计质量。
4.向被审计单位提出健全和加强内部控制的建议,帮助其提高经济效益。
二、内部控制测评的步骤和方法
审计人员进行内部控制测评分为下列四个步骤:
1.调查了解内部控制,并做出相应记录。
(1)询问。询问有多种方式:信函、调查问卷的书面方式,也可以面对面访谈、电话沟通等口头方式进行。
(2)检查。通过审查和翻阅被审计单位的相关文件、报告、内部管理手册、信息系统的技术文档和操作手册等,对被审计单位内部控制进行了解。
(3)观察。通过观察被审计单位有关业务活动及其场所、设施和有关内部控制的执行情况,加深对被审计单位内部控制的了解。
(4)追踪有关业务的处理过程。审计人员可以通过追踪一笔或者多笔交易的处理过程,来取得对被审计单位相关控制环节的了解,或印证已经取得的对内部控制的了解是否正确。此外,这种方法还可能获取部分内部控制运行有效性的审计证据。
审计人员对于被审计单位内部控制的调查结果,应该以书面形式记录或描述出来。常用的方法有文字说明法、调查表法和流程图法。(了解优缺点)
2.对内部控制进行初步评价,评估控制风险
审计人员在完成了对内部控制的调查了解之后,要对内部控制做出初步评价,以确定相应的审计应对措施。
初步评价的内容包括健全性和合理性两个方面:
(1)健全性评价。主要是评价应有的控制环节是否设置齐全。
(2)合理性评价。主要是分析内部控制的布局是否合理,有无多余的和不必要的控制;
经过初步评价,审计人员认为存在下列情形之一的,应当测试相关内部控制的有效性:
(1)某项内部控制设计合理且预期运行有效,能够防止重要问题的发生;
(2)仅实施实质性审查不足以为发现重要问题提供适当、充分的审计证据。
审计人员决定不依赖某项内部控制的,可以对审计事项直接进行实质性审查。
被审计单位规模较小、业务比较简单的,审计人员可以对审计事项直接进行实质性审查。
3.如果决定依赖内部控制,实施内部控制测试。
内部控制测试是为了确定内部控制的设计和执行是否有效而实施的审计程序。它是在调查了解内部控制设置状况的基础上,对其执行的有效性所进行的测试,因此也常被称为遵循性测试。(注意初步评价时针对健全性和合理性)
(1)内部控制测试的方式。内部控制测试可以采取两种方式:一是业务程序测试(简称业务测试),即选择若干具体的典型业务,沿着业务处理过程检查业务处理程序中的各项内部控制是否得到执行。这种测试常被看成是一种纵向的内部控制测试。二是功能测试,即针对某项控制的某个控制环节,选择若干时期的同类业务进行检查,查明该控制环节的处理程序在被审计期内是否按规定发挥了作用。这种测试常被看成是一种横向的内部控制测试。
(2)内部控制测试的范围。理论上讲,范围越大,提供的证据就越充分。但在审计实务中,内部控制测试的范围并不是越大越好,它要受到审计效率和审计成本的制约。
(3)内部控制测试的方法。审计人员可以通过检查、询问、观察、重新操作等方法来测试内部控制是否得到有效执行。(没提到外部调查、分析、重新计算)
4.对内部控制进行再评价
对内部控制的再评价,是指在初步评价的基础上,根据内部控制测试的结果对控制风险水平做出进一步评价。以确定完成审计工作所需执行的实质性审查的范围和重点。
控制风险的水平,可以用高、中、低的概念来表示,也可以将控制风险量化为百分比来表示。
(1)低控制风险。此种情况表明内部控制健全且执行情况良好。审计人员可以较多地依赖、利用内部控制,并相应减少实质性审查的数量和范围。
(2)中等控制风险。此种情况表明内部控制比较健全,尚存在一定的薄弱环节或缺陷。审计人员应有保留地信赖该企业的内部控制。为减少审计风险,应扩大实质性审查的深度和广度,适当增加财务报表项目检查的数量和范围。
(3)高控制风险。此种情况表明内部控制设置极不健全,或虽设计了良好的内部控制,但却未予有效执行,从而导致经济业务和会计资料大部分失控。审计人员无法信赖该单位的内部控制。此时,审计人员通常要对经济业务和财务报表项目实施较为详细的实质性审查,以获得支持审计结论的足够证据。
若审计人员认为内部控制完全不能预防或发现错误,就应将控制风险定为100%。内部控制越有效,控制风险就越低。
三、内部控制测评结果的利用
1.确定实质性审查的性质、范围、重点和方法。
这是审计人员运用内部控制、实施内部控制测试的直接原因,也是制度基础审计模式的要求。
(1)确定实质性审查的性质。方法选择。
(2)确定实质性审查的范围。通常情况下,在控制评价所认定的失去控制和控制薄弱的业务系统或业务环节,固有风险较大的经济业务都应当纳入实质性审查的范围。
(3)确定实质性审查的重点。确定实质性审查重点领域时应考虑以下三个方面:一是缺少内部控制的重要业务领域;二是内部控制设置不合理、控制目标不能实现的领域;三是内部控制没有发挥作用的领域。
(4)确定实质性审查的方法。对于列入审计重点的项目,一般应采用详细审计的方法;对于列入审计范围的非重点业务,一般应采用抽样审计方法,选择较大规模的样本进行审查;对于未列入审计重点和审计范围的业务,一般可以选择较小规模的样本进行略查,或者不作检查。
2.提出改进内部控制的建议。