内部控制评审是指
审计人员对被审计单位内部控制制度的健全性、有效性和风险水平进行评审,从而决定对它的信赖程度,确定采用抽查还是详查,以及抽取样本的规模和数量。
内容
评审内部控制的健全性
所谓
内部控制的健全性,是指
企业每一项内部控制是否健全,手续是否严密,环环紧扣,设计的措施和方法能否真正起到事先控制的作用。一般说来,健全的
内部控制制度,能预防错误和弊端的发生,即使发生了,也容易及时发觉和纠正。
评审内部控制制度是否健全的
标志是:各项内部控制制度是否符合内部控制的基本原则,关键
控制点是否进行了
控制,所有的控制目标是否已达到。所谓关键控制点,是指未加控制就容易产生错弊的业务环节。
每个
业务循环的内部控制制度中应有多少关键控制点,如何判断,有无标准,这是审查评价内部控制制度健全性时一个很重要的问题。过去主要由
审计人员凭经验来判断,由于经验不同,看法难免有差异,缺乏一致的判断标准。目前,很多
国家的
民间审计组织开始探索制定若干个主要业务循环的内部控制模型,作为评价其内部控制制度是否健全的依据。为使内部控制模型符合实际,应按企业不同的
生产类型、主要业务循环来分别确定控制环节,指出关键控制点。
一般来说,对企业内部控制制度健全性的评审,主要包括以下内容:
(1)
生产、
经营、管理部门是否健全,责、权、利是否明确,
不相容职务是否分离,分工能否起到应有的相互制约作用。
(2)会计信息及相关的
经济信息的报告制度是否健全,
会计信息及相关经济信息的记录,传递程序是否都有明确规定。
(3)用来证明经济业务的凭证制度是否健全,凭证的填制、传递和保管是否有严格的程序,凭证是否做到了顺序编号。
(4)企业的
员工是否具备了必要的知识水平和业务技能,有无定期的职务轮换制度,企业员工是否经常接受必要的
培训。
(5)对财产物资是否建立了定期盘点制度,对重要的业务活动是否建立了事后核对制度,有无将
盘点和核对后的
信息及时反馈给相关部门。
(6)企业是否建立了严格的
经济责任制和
岗位责任制,
责任是否落实,是否严格执行了
奖惩制度。
(7)企业是否对各项业务活动的程序作出了明确规定,有无清晰的
流程图交由有关人员严格执行。
(8)
企业各个业务循环中的各关键控制点是否都设有控制措施,各项控制措施是否
经济,是否切实可行。
(9)企业是否建立了
内部审计制度,对查错揭弊、改进管理、提高
效益是否发挥了作用。
(10)与上年度的内部控制制度评审结果相比,是否有了较大的改进?评价结果指出的控制弱点,目前是否已经加强。
审计人员针对上述十个方面进行评审后,就能对被审计单位内部控制的健全性作出合理的判断,判断哪些方面的
内部控制设计得较严密、科学,有较强的内部控制功能;哪些方面的内部制度还存在着控制弱点,控制作用不明显,或者根本没有
控制。审计人员针对被审计单位内部控制制度的控制弱点,应决定追加哪些
审计程序。对被审计单位内部控制比较健全的方面,应决定可以减少的审计程序,以提高审计工作的
效率。
评审内部控制制度的有效性
审计人员根据对被审计单位内部控制健全性的评审结果,如决定全部或部分地信赖内部控制。就必须对有关内部控制的执行情况进行详细检查,确定每项具体控制程序的执行是否有效。因为设置了内部控制制度,并不等于在实际工作中一定能达到预期的控制目的。如果企业员工有章不循、遵守不严,或根本不执行,就不可能取得好的控制效果。所以,评审被审计单位内部控制的下一步工作,就是判断业已建立的内部控制是否正在起作用,是否被严格执行,也就是对被审计单位内部控制的有效性进行评审。这种评审工作,可以通过
符合性测试和
实质性测试来进行。
1.内部控制的符合性测试
对被审计单位内部控制制度进行
符合性测试,首先是从执行内部控制制度所规定的业务中抽查一部分凭证或记录,然后对抽查的结果进行分析评审,以确定抽查中的错误是偶然的,还是控制制度的薄弱环节。可以根据不同的业务环节决定抽查数量,哪个环节所执行的业务次数越多,所涉及的范围越大,则需要抽查的数量也就越多。通过这种
测试,主要是评审被审计单位内部控制的各项制度规定的关键控制点,在实际经济活动中能否贯彻执行。以
材料采购为例,可以选择不同时期发生的几项材料采购业务,抽查一定数量的凭证,检查其是否办理过“申请”、“
计划”、“
合同”、“验收”、“
入库”等项手续,在各个业务程序中是否认真贯彻执行了内部控制相关规定,材料采购的内部控制是否在实际工作中发挥了作用。
通过对内部控制制度的符合性测试,可以评审被审计单位的内部控制的贯彻执行情况。如果执行有效,那么会计信息的可靠性程度就高,因而可相应地减少审计程序,减轻审计工作量。相应地,若执行无效,则
会计信息的可靠性程度就差,相应地就应扩大审计程序。因此,通过对内部控制制度的
符合性测试,可以最后确定进一步开展审计工作的范围和规模,以便进一步修改审计工作计划。
2.内部控制的实质性测试
在对被审计单位的内部控制进行符合性测试的基础上,应进一步对其内部控制制度进行实质性测试。对内部控制的实质性测试,主要是对被审计单位的会计信息及有关的
经济信息的真实性、正确性作出进一步审核,将审核的结果作为
审计证据,并据以作出有关的
审计结论。如在材料收发业务中,被审计单位的内部控制比较健全,而且在实际工作中有效地被执行,进一步开展
实质性测试,就要验证材料收、发、存数量的真实性和
质量的合规性。如果材料收、发、存数量真实、质量合规,则可以作出被审计单位材料收发业务正确、真实和合规的审计结论。
对内部控制制度进行实质性测试,主要包括以下内容:
实物盘点;向第三者询证;复核;仔细检查有关业务记录及账户余额;核对账证、账账、账表;分析账簿中的余额和内容;审阅购货合同、
会计记录等;比较重要的比率和
指标。
通过实质性测试,审计人员应根据内部控制制度测试的结果,判断被审计单位内部控制的作用和存在的问题,并提出今后改进的
意见和建议。
评审内部控制制度的风险水平
审计人员在对被审计单位内部控制的健全性进行评审后,若被审计单位内部控制比较健全,则应进一步对内部控制进行符合性测试和实质性测试,以获取被审计单位内部控制是否有效地发挥其功能的证据。然后,审计人员再根据获取的证据,对被审计单位内部控制的风险水平作出评价。
所谓内部控制的风险水平,是指由于内部控制
可信赖程度的不确定性,
审计人员由此决定的
审计程序、进行的审计事项和作出的审计结论,偏离被审计单位客观事实的可能性。对内部
控制风险水平的评价通常可分为高、中、低三个等级,分别代表内部控制未能防止或查出
会计报表中包含的错误,而导致审计结论偏离客观事实的可能性大于40%、在10%和40%之间、低于10%。与
内部控制风险水平高低相对的是内部控制的可信赖程度。一般来说,风险水平越高,可信赖程度越低;
风险水平越低,可信赖程度越高。反之,可信赖程度越高,必然是风险水平越低。
可信赖程度越低,必然是风险水平越高。
内部控制的可信赖程度
对内部控制最终的评价结果,根据可信赖程度的高低,可以分为以下三种类型:
1.高信赖程度
高信赖程度是指被审计单位具有健全、科学的内部控制,并且均能有效地发挥作用。因此,被审计单位的业务循环过程和会计记录发生错弊的可能性很小。这种情况下,
审计人员可以较多地信赖、利用被审计单位的内部控制,在实施审计时可相应减少真实性检查的数量和范围。
2.中信赖程度
中信赖程度是指被审计单位的内部控制良好,但不太健全、科学,存在着一定的缺陷或薄弱环节,或内部控制制度较健全、科学,但实际执行不力,在某种程度上有可能影响会计记录的真实性和
可靠性。这种情况下,审计人员应降低对其的信赖,利用内部控制,扩大
符合性测试和
实质性测试的深度和广度,或是增加会计报表项目的真实性、可靠性审查的样本数量和范围。
3.低信赖程度
低信赖程度是指被审计单位的内部控制设计不健全、不科学,在实施过程中又没有执行,造成大部分
经济业务和会计记录失控、各项数据资料经常出差错,从而导致无法信赖被审计单位的内部控制。在这种情况下,审计人员应大幅度修改审计程序,扩大对业务循环过程和会计报表项目实施真实性、合规性审查的样本数量和范围,以获取足够的、有充分证明力的审计证据,支持其提出的
审计意见和作出的
审计结论。