内部控制评审

　　内部控制评审是指审计人员对被审计单位内部控制制度的健全性、有效性和风险水平进行评审，从而决定对它的信赖程度，确定采用抽查还是详查，以及抽取样本的规模和数量。

　　所谓内部控制的健全性，是指企业每一项内部控制是否健全，手续是否严密，环环紧扣，设计的措施和方法能否真正起到事先控制的作用。一般说来，健全的内部控制制度，能预防错误和弊端的发生，即使发生了，也容易及时发觉和纠正。

　　评审内部控制制度是否健全的标志是：各项内部控制制度是否符合内部控制的基本原则，关键控制点是否进行了控制，所有的控制目标是否已达到。所谓关键控制点，是指未加控制就容易产生错弊的业务环节。

　　每个业务循环的内部控制制度中应有多少关键控制点，如何判断，有无标准，这是审查评价内部控制制度健全性时一个很重要的问题。过去主要由审计人员凭经验来判断，由于经验不同，看法难免有差异，缺乏一致的判断标准。目前，很多国家的民间审计组织开始探索制定若干个主要业务循环的内部控制模型，作为评价其内部控制制度是否健全的依据。为使内部控制模型符合实际，应按企业不同的生产类型、主要业务循环来分别确定控制环节，指出关键控制点。

　　一般来说，对企业内部控制制度健全性的评审，主要包括以下内容：

　　(1)生产、经营、管理部门是否健全，责、权、利是否明确，不相容职务是否分离，分工能否起到应有的相互制约作用。

　　(2)会计信息及相关的经济信息的报告制度是否健全，会计信息及相关经济信息的记录，传递程序是否都有明确规定。

　　(3)用来证明经济业务的凭证制度是否健全，凭证的填制、传递和保管是否有严格的程序，凭证是否做到了顺序编号。

　　(4)企业的员工是否具备了必要的知识水平和业务技能，有无定期的职务轮换制度，企业员工是否经常接受必要的培训。

　　(5)对财产物资是否建立了定期盘点制度，对重要的业务活动是否建立了事后核对制度，有无将盘点和核对后的信息及时反馈给相关部门。

　　(6)企业是否建立了严格的经济责任制和岗位责任制，责任是否落实，是否严格执行了奖惩制度。

　　(7)企业是否对各项业务活动的程序作出了明确规定，有无清晰的流程图交由有关人员严格执行。

　　(8)企业各个业务循环中的各关键控制点是否都设有控制措施，各项控制措施是否经济，是否切实可行。

　　(9)企业是否建立了内部审计制度，对查错揭弊、改进管理、提高效益是否发挥了作用。

　　(10)与上年度的内部控制制度评审结果相比，是否有了较大的改进?评价结果指出的控制弱点，目前是否已经加强。

　　审计人员针对上述十个方面进行评审后，就能对被审计单位内部控制的健全性作出合理的判断，判断哪些方面的内部控制设计得较严密、科学，有较强的内部控制功能；哪些方面的内部制度还存在着控制弱点，控制作用不明显，或者根本没有控制。审计人员针对被审计单位内部控制制度的控制弱点，应决定追加哪些审计程序。对被审计单位内部控制比较健全的方面，应决定可以减少的审计程序，以提高审计工作的效率。

　　审计人员根据对被审计单位内部控制健全性的评审结果，如决定全部或部分地信赖内部控制。就必须对有关内部控制的执行情况进行详细检查，确定每项具体控制程序的执行是否有效。因为设置了内部控制制度，并不等于在实际工作中一定能达到预期的控制目的。如果企业员工有章不循、遵守不严，或根本不执行，就不可能取得好的控制效果。所以，评审被审计单位内部控制的下一步工作，就是判断业已建立的内部控制是否正在起作用，是否被严格执行，也就是对被审计单位内部控制的有效性进行评审。这种评审工作，可以通过符合性测试和实质性测试来进行。

　　1．内部控制的符合性测试

　　对被审计单位内部控制制度进行符合性测试，首先是从执行内部控制制度所规定的业务中抽查一部分凭证或记录，然后对抽查的结果进行分析评审，以确定抽查中的错误是偶然的，还是控制制度的薄弱环节。可以根据不同的业务环节决定抽查数量，哪个环节所执行的业务次数越多，所涉及的范围越大，则需要抽查的数量也就越多。通过这种测试，主要是评审被审计单位内部控制的各项制度规定的关键控制点，在实际经济活动中能否贯彻执行。以材料采购为例，可以选择不同时期发生的几项材料采购业务，抽查一定数量的凭证，检查其是否办理过“申请”、“计划”、“合同”、“验收”、“入库”等项手续，在各个业务程序中是否认真贯彻执行了内部控制相关规定，材料采购的内部控制是否在实际工作中发挥了作用。

　　通过对内部控制制度的符合性测试，可以评审被审计单位的内部控制的贯彻执行情况。如果执行有效，那么会计信息的可靠性程度就高，因而可相应地减少审计程序，减轻审计工作量。相应地，若执行无效，则会计信息的可靠性程度就差，相应地就应扩大审计程序。因此，通过对内部控制制度的符合性测试，可以最后确定进一步开展审计工作的范围和规模，以便进一步修改审计工作计划。

　　2．内部控制的实质性测试

　　在对被审计单位的内部控制进行符合性测试的基础上，应进一步对其内部控制制度进行实质性测试。对内部控制的实质性测试，主要是对被审计单位的会计信息及有关的经济信息的真实性、正确性作出进一步审核，将审核的结果作为审计证据，并据以作出有关的审计结论。如在材料收发业务中，被审计单位的内部控制比较健全，而且在实际工作中有效地被执行，进一步开展实质性测试，就要验证材料收、发、存数量的真实性和质量的合规性。如果材料收、发、存数量真实、质量合规，则可以作出被审计单位材料收发业务正确、真实和合规的审计结论。

　　对内部控制制度进行实质性测试，主要包括以下内容：

　　实物盘点；向第三者询证；复核；仔细检查有关业务记录及账户余额；核对账证、账账、账表；分析账簿中的余额和内容；审阅购货合同、会计记录等；比较重要的比率和指标。

　　通过实质性测试，审计人员应根据内部控制制度测试的结果，判断被审计单位内部控制的作用和存在的问题，并提出今后改进的意见和建议。

　　审计人员在对被审计单位内部控制的健全性进行评审后，若被审计单位内部控制比较健全，则应进一步对内部控制进行符合性测试和实质性测试，以获取被审计单位内部控制是否有效地发挥其功能的证据。然后，审计人员再根据获取的证据，对被审计单位内部控制的风险水平作出评价。

　　所谓内部控制的风险水平，是指由于内部控制可信赖程度的不确定性，审计人员由此决定的审计程序、进行的审计事项和作出的审计结论，偏离被审计单位客观事实的可能性。对内部

　　控制风险水平的评价通常可分为高、中、低三个等级，分别代表内部控制未能防止或查出会计报表中包含的错误，而导致审计结论偏离客观事实的可能性大于40％、在10％和40％之间、低于10％。与内部控制风险水平高低相对的是内部控制的可信赖程度。一般来说，风险水平越高，可信赖程度越低；风险水平越低，可信赖程度越高。反之，可信赖程度越高，必然是风险水平越低。可信赖程度越低，必然是风险水平越高。

　　对内部控制最终的评价结果，根据可信赖程度的高低，可以分为以下三种类型：

　　1．高信赖程度

　　高信赖程度是指被审计单位具有健全、科学的内部控制，并且均能有效地发挥作用。因此，被审计单位的业务循环过程和会计记录发生错弊的可能性很小。这种情况下，审计人员可以较多地信赖、利用被审计单位的内部控制，在实施审计时可相应减少真实性检查的数量和范围。

　　2．中信赖程度

　　中信赖程度是指被审计单位的内部控制良好，但不太健全、科学，存在着一定的缺陷或薄弱环节，或内部控制制度较健全、科学，但实际执行不力，在某种程度上有可能影响会计记录的真实性和可靠性。这种情况下，审计人员应降低对其的信赖，利用内部控制，扩大符合性测试和实质性测试的深度和广度，或是增加会计报表项目的真实性、可靠性审查的样本数量和范围。

　　3．低信赖程度

　　低信赖程度是指被审计单位的内部控制设计不健全、不科学，在实施过程中又没有执行，造成大部分经济业务和会计记录失控、各项数据资料经常出差错，从而导致无法信赖被审计单位的内部控制。在这种情况下，审计人员应大幅度修改审计程序，扩大对业务循环过程和会计报表项目实施真实性、合规性审查的样本数量和范围，以获取足够的、有充分证明力的审计证据，支持其提出的审计意见和作出的审计结论。