第七章　内部控制及其测评

第三节　内部控制测评
内部控制测评，是指审计人员通过调查了解被审计单位内部控制的设置和运行情况，并进行相关测试，对内部控制的健全性、合理性和有效性作出评价，以确定是否依赖内部控制和实质性测试的性质、范围、时间和重点的活动。
建立健全内部控制并保证其有效实施是被审计单位的责任。审计人员的责任是对内部控制的健全性和有效性进行评价。
一、内部控制测评的作用（了解）
内部控制测评在审计中的重要作用主要表现在以下几个方面：
1.评价被审计单位内部控制的健全性和有效性，据以确定会计和其他经济信息的可依赖性。
2.评估控制风险水平，据以确定对实质性测试的性质、范围、时间和重点的影响，为制定和修改审计方案提供科学依据。
3.减少审计工作量，节约审计成本，保证审计质量。
4.向被审计单位提出健全和加强内部控制的建议，帮助其提高经济效益。
二、内部控制测评的步骤和方法
审计人员进行内部控制测评分为下列四个步骤：
1.调查了解内部控制，并做出相应记录。
（1）查阅被审计单位的各项管理制度和相关文件。
（2）询问被审计单位的管理人员和其他有关人员。
（3）检查内部控制过程中生成的文件和记录。
（4）观察被审计单位的业务活动和内部控制的实际运行情况。
审计人员对于被审计单位内部控制的调查结果，应该以书面形式记录或描述出来。常用的方法有文字说明法、调查表法和流程图法。（了解优缺点）
【例题5·多选题】（2007年）审计人员在调查被审计单位内部控制时，可以采用的方法有：
A.运用分析性复核方法检查有关数据和资料的总体合理性
B.询问管理人员和其他有关人员
C.检查内部控制过程中生成的文件和记录
D.向有关第三方进行函证
E.观察业务活动和内部控制的实际运行情况
『正确答案』BCE
【例题6·多选题】（2009年）审计人员记录或描述被审计单位内部控制的方法有.
A.逻辑模型法
B.中间表法
C.文字说明法
D.流程图法
E.调查表法
『正确答案』CDE
2.对内部控制进行初步评价，评估控制风险初步评价的内容包括健全性和合理性两个方面：
（1）健全性评价。主要是评价应有的控制环节是否设置齐全。
（2）合理性评价。主要是分析内部控制的布局是否合理，有无多余的和不必要的控制；
经过初步评价，如果认为控制系统正常，相关的内部控制能够防止或发现和纠正重大错报或漏报，则审计人员就应适当减低控制风险的评估水平，并根据所确定的内部控制测试范围，转入内部控制测试阶段。但如果认为内部控制的设置极为有限，或审计人员不宜进行内部控制测试时，则审计人员不再对内部控制进行测试，而直接转入实质性测试阶段。
值得注意的是：如果因采用内部控制测试所减少的实质性测试的工作量小于进行必要的内部控制测试的工作量，则进行内部控制测试就是不经济的，此时，审计人员也不再对内部控制实施测试，而是直接转入实质性测试阶段。
3.如果决定依赖内部控制，实施内部控制测试。
内部控制测试是为了确定内部控制的设计和执行是否有效而实施的审计程序。它是在调查了解内部控制设置状况的基础上，对其执行的有效性所进行的测试，因此也常被称为遵循性测试。（注意初步评价时针对健全性和有效性）
（1）内部控制测试的方式。内部控制测试可以采取两种方式：一是业务程序测试（简称业务测试），即选择若干具体的典型业务，沿着业务处理过程检查业务处理程序中的各项内部控制是否得到执行。这种测试常被看成是一种纵向的内部控制测试。二是功能测试，即针对某项控制的某个控制环节，选择若干时期的同类业务进行检查，查明该控制环节的处理程序在被审计期内是否按规定发挥了作用。这种测试常被看成是一种横向的内部控制测试。
（2）内部控制测试的范围。但在审计实务中，内部控制测试的范围并不是越大越好，它要受到审计效率和审计成本的制约。
（3）内部控制测试的方法。审计人员可以通过检查文件资料、询问、现场观察、重复执行等方法来测试内部控制是否得到有效执行。
4.对内部控制进行再评价
对内部控制的再评价，是指在初步评价的基础上，根据内部控制测试的结果对控制风险水平做出进一步评价。以确定完成审计工作所需执行的实质性测试的范围和重点。
控制风险的水平，可以用高、中、低的概念来表示，也可以将控制风险量化为百分比来表示。
（1）低控制风险。此种情况表明内部控制健全且执行情况良好。审计人员可以较多地依赖、利用内部控制，并相应减少实质性测试的数量和范围。
（2）中等控制风险。此种情况表明内部控制比较健全，尚存在一定的薄弱环节或缺陷。审计人员应有保留地信赖该企业的内部控制。为减少审计风险，应扩大实质性测试的深度和广度，适当增加财务报表项目检查的数量和范围。
（3）高控制风险。此种情况表明内部控制设置极不健全，或虽设计了良好的内部控制，但却未予有效执行。审计人员无法信赖该单位的内部控制。此时，审计人员通常要对经济业务和财务报表项目实施较为详细的实质性测试，以获得支持审计结论的足够证据。
若审计人员认为内部控制完全不能预防或发现错误，就应将控制风险定为100%。内部控制越有效，控制风险就越低。
【例题7·单选题】（2007年）下列情况中，应当将相关账户或交易的控制风险评估为低水平的是：
A.相关内部控制失效
B.难以评价相关内部控制的有效性
C.相关内部控制有效
D.相关内部控制不健全
『正确答案』C
【例题8·单选题】（2009年）被审计单位内部控制设置比较健全，但未予有效执行，导致大部分经济业务失控，应将其内部控制风险评估为：
A.低水平
B.中等水平
C.高水平
D.无风险
『正确答案』C
三、内部控制测评结果的利用
1.确定实质性测试的性质、范围、重点和方法。
这是审计人员运用内部控制、实施内部控制测试的直接原因，也是制度基础审计模式的要求。
（1）确定实质性测试的性质。方法选择。
（2）确定实质性测试的范围。通常情况下，在控制评价所认定的失去控制和控制薄弱的业务系统或业务环节，固有风险较大的经济业务都应当纳入实质性测试的范围。
（3）确定实质性测试的重点。确定实质性测试重点领域时应考虑以下三个方面：一是缺少内部控制的重要业务领域；二是内部控制设置不合理、控制目标不能实现的领域；三是内部控制没有发挥作用的领域。
（4）确定实质性测试的方法。对于列入审计重点的项目，一般应采用详细审计的方法；对于列入审计范围的非重点业务，一般应采用抽样审计方法，选择较大规模的样本进行审查；对于未列入审计重点和审计范围的业务，一般可以选择较小规模的样本进行略查，或者不作检查。
2.提出改进内部控制的建议。
【例题9·案例分析题】（2007年）资料：20×7年4月，某审计机关派出审计组，对某企业20×6年度财务收支情况进行审计。考虑到20×6年审计机关曾经对该企业进行过审计，而且审计时间很紧，因此决定不再进行内部控制调查和测试，并且将上一次未审计的长期借款、固定资产等几个项目确定为本次审计重点。
针对“资料”中的情况，下列说法中正确的有：
A.无论何种情况下，审计人员都应对被审计单位的内部控制进行调查和测试。这是审计准则的要求
B.即使是再次审计，也应对被审计单位自上一次审计以来内部控制的变化情况进行调查，然后再决定是否进行内部控制测试
C.上一次审计过的项目应该不会再出现问题，因此可以直接将上一次未审计的项目作为本次审计重点
D.审计人员应在对报表项目进行分析性复核、对内部控制进行调查、测试和评价基础上确定审计重点，不应直接将上一次未审的项目确定为本次审计重点
『正确答案』BD
【例题10·案例分析题】（2008年）2008年4月，某审计组对甲公司2007年度财务收支进行了审计。甲公司主要从事中小型机电类产品的生产和销售。有关的资料和审计情况如下：
资料：1.审计人员通过询问有关人员和审阅相关内部控制的规定，对甲公司内部控制进行了调查了解、描述，并对其有效性进行了测试。
问题:“资料1”中，审计人员对内部控制有效性进行测试时，可以实施的程序有：
A.观察甲公司业务活动和内部控制的运行情况
B.选择若干笔业务对内部控制程序重新执行一次
C.对会计报表项目进行分析性复核
D.检查内部控制过程中生成的文件和记录
『正确答案』ABD
问题：“资料1”中，审计人员可以采用的描述内部控制的方法有：
A.录像与录音法
B.调查表法
C.流程图法
D.文字说明法
『正确答案』BCD