内部控制测评
1.什么是内部控制测评
内部控制测评是指审计人员通过调查了解被审计单位内部控制的设置和运行情况,并进行相关测试,对内部控制的健全性、合理性和有效性作出评价,以确定是否依赖内部控制和实质性测试的性质、范围、时间和重点的活动。
2.内部控制测评的内容
内部控制测评包括调查了解被审计单位内部控制并进行初步评价,审查和评价被审计单位内部控制的恰当程度、有效性和健全性,以及在履行职责时的执行效果等内容。
1、审查内部控制的恰当程度。目的是要确定现有的内部控制是否能够提供恰当的保证,使单位的任务和管理目标能高效而经济地实现。
2、评价内部控制的有效性。目的是要确定现有的内部控制是否能够按预期发挥作用。对执行效果审查的目的,是确认单位的任务和经济目标是否已经完成,测试管理人员的素质和经验是否胜任内部控制职能,控制的目标能否实现,诸如:各项业务是否经过授权批准;所有的收支是否及时记录入账;资产是否有妥善的保护措施等等。
3、评价内部控制的健全性。内部控制是否健全的标志,是所有的控制目标是否已达到,各项制度是否符合内部控制的基本原则。评价时,既要对单位整个内部控制进行评价,又要对单位各部门的内部控制进行逐个评价。对于内部控制存在重大缺陷的,应当相应扩大范围。
3.内部控制测评的标准
1、恰当性。主要看被审计单位建立的内部控制制度,是否与其经营规模、业务性质相配套,设立的控制点能否与有关人员的专业水平、业务能力相适应。
2、有效性。内部控制有效性主要是以下两个方面:
1)遵循性。建立内部控制的要求,是有关职能岗位及有关人员共同执行,遵循性是指内部控制执行过程中执行的好坏,以及一般控制和关键控制部位设置得当的程度。
2)效益性。建立内部控制的最终目的是为了提高经济效益,所以,实施任何一项控制,主要看其是否能带来经济效益,各控制点是否能实现相互制约、纠错防弊、互相促进、改善管理的目标。
3、健全性。健全性标准一般包括以下四个方面:
1)系统性。主要是指单位内部人、财、物、信息、办事程序等要素实行了控制;采购、供应、生产、销售资金运动各环节得到了控制;既对经营活动,又对管理活动实施了控制。
2)层次性。主要是指单位(特别是大型经济实体)内部的管理活动和经营活动都具有一定的层面与平台,从而使制定内部控制也体现一定的层次性,整个单位管理活动和经营活动的内部控制就由该单位管理部门制定,内部各职能部门和下属部门的内部控制就由各职能部门和下属部门制定,上下既有共同的控制原则和要求,又有各部门各自专项的控制措施和办法。
3)科学性。主要是指各项内部控制的内容和措施必须科学合理,做到职责明确、程序清楚、方法恰当、手续严密,以及绝无违反科学规律等方面的现象。
4)一致性。主要是指单位内部纵向横向控制关系衔接,内部每一项具体的内部控制目标都要与单位总目标保持一致,内部高一层面的内部控制要求要与内部低一层面的内部控制要求相互协调衔接一致,内部同一层面的内部控制不能互相冲突与矛盾。
4.内部控制测评的步骤
内部控制测评一般分为四个步骤:
1、调查了解。查阅被审计单位的各项管理制度和相关文件;询问被审计单位管理人员和其他有关人员;检查内部控制过程中形成的文件和记录;观察被审计单位的业务活动和内部控制的实际动行情况。由于内部控制通常由控制环境、风险评估、控制活动、信息与沟通和监督五个要素组成。因此调查了解也包括这五个方面:
1)对被审计单位控制环境的调查了解。被审计单位的高层管理人员和其他管理人员的控制意识和诚信程度;经营规模及业务复杂程度;组织机构和相关制度;各部门的分工和职责;主要财政预算和财务计划;人力资源政策等。
2)对被审计单位的风险评估的了解。被审计单位如何确定风险、评估风险的重要性;如何将风险发生的可能性与管理目标、经营计划和财务报告的相关内容联系起来并采取相应的措施。
3)对被审计单位的控制活动的了解。被审计单位各项业务处理程序授权批准;职责分工;实物控制;凭证与记录的设置和运用;独立的检查程序等控制手段的设置和执行情况。
4)对被审计单位的信息与沟通情况的了解。被审计单位管理和经营活动的主要业务类别;处理各类经济业务的程序;各项业务的会计处理程序和所依据信息的来源;会计系统的设计和重要的会计凭证、财簿种类以及会计报表项目;各部门间信息的传递方式等。
5)对被审计单位的内部监督情况的了解。被审计单位日常性的监督检查方法,即管理者为监督各项工作的运行而使用的预算、计划、责任报告等制度与方法;内部审计的设置和工作情况等。
审计人员应当对被审计单位内部控制进行描述,并写入审计日记。
2、进行初步评价。对被审计单位内部控制情况,经过分析后,进行初步评价。此阶段主要是评价内部控制是否健全,审计人员首先要检查单位各项内部控制,针对其控制点尤其是关键控制点进行测试和评价,以确认该单位内部控制是否健全,进而制订详细的审计方案。评价内部控制主要从以下三个方面进行:
1)内部控制是否健全。主要看是否符合内部控制原则:一是合法性原则。建立内部控制应以国家的法律、法规、政策为依据;二是牵制性原则。任何一笔经济业务,从发生到完成,都不能由一个部门或一个人员包办到底;三是责任性原则。明确分工负责,避免越权或推诿;四是标准化原则。建立内部控制要遵循业务程序标准化;五是效益性原则。要用最少的控制投入,达到最理想的控制要求。
2)内部控制是否有效。审计人员根据对被审计单位内部控制健全性的评价结果,如决定全部或部分地依赖内部控制,就必须对有关的内部控制制度的执行情况进行测试,确定每项具体控制程序是否执行和执行是否有效。主要看各项业务是否经过批准授权,制度是否严密,管理人员素质是否胜任控制工作。
3)内部控制是否合理。主要看业务部门分工是否恰当,控制点设置是否合理。
审计人员进行初步评价后,应当评估控制风险,对是否依赖被审计单位的内部控制及依赖的程度作出决策。评估控制风险包括以下工作内容:
1)分析可能发生错弊的业务环节和活动领域,并考察被审计单位已采取的控制措施。
2)测试相关内部控制的合理性和运行的有效性。
3)确定控制风险水平。
在评估控制风险后审计人员可以确定是否依赖内部控制以及依赖的程度。依赖内部控制的,要对内部控制进行符合性测试;不依赖内部控制的,可直接对被审计进行实质性测试。此外,对规模不大业务单一的单位,其内部控制测评要简化测评程序,可以采用简单程序,即根据对被审计单位内部控制的调查了解,经过分析后,直接转入实质性测试和评价。
3、进行符合性测试。符合性测试就是审计人员对被审计单位内部控制的执行情况进检查评审的活动,检查单位是否按规定的制度办事,是否严格执行制度。要查明制度中的控制环节和控制点在实际经济活动中是否认真贯彻执行;要查明这些控制环节和控制点是否真正发挥了控制作用。如果有章不依或执行不严,虽然内部控制建立得很完善,也是纸上谈兵、形同虚设。
实施符合性测试要根据不同业务环节确定抽查数量,要掌握“执行的业务次数越多、涉及的范围越大,需要抽查的样本就越多”的原则。符合性测试通常只抽查一部分业务,确定符合性测试数量要根据控制执行的频率而定,业务发生的数量越多,抽查数量就要相应增加。选取样本常见有判断抽样、分层抽样、整批抽样、系统抽样以及随机抽样,可以根据实际任选;实施符合性测试的对象,一般有以下几个方面:货币资金和财产物资的控制情况;往来账款的控制情况;购销业务的控制情况;成本费用的控制情况;基金、公积金提存和使用的控制情况;日常会计业务的控制情况。
4、分析评价,提出内部控制测评结果。符合性测试后,要对被审计单位内部控制进行全面评价,确定实质性测试的范围、重点和方法。审计人员应将测试中发现的问题以及控制弱点逐条整理,针对经济业务的的失控情况、单位内部控制制度的可信程度进行评价。如果关键控制点失去控制,说明控制系统失去了控制,需要加强实质性测试;如果部分能按控制制度执行,只有少数控制点失控,则应指明哪些方面的内部控制可以信赖,并对不能执行制度部分提出改进建议。能严格按内部控制制度办事的,说明内部控制有效,可转入以抽样审计为主的实质性测试。