内部控制审计程序和方法

内部控制审计程序和方法

（一）内部控制审计程序概述

为了论述方便，首先简要分析一下内部控制审计的分类。经济组织内部进行内部控制审计，不可能都针对整个内部控制系统进行，更多情况是对其中部分展开。按照涉及内部控制的范围，大致可分为如下三类：1 、业务循环内部控制审计，所谓业务循环内部控制是指对某个业务循环实施的控制，这种审计按照经济组织的业务纵向展开，专门审计业务循环内部控制；2 、非独立部门内部控制审计，这种审计专门针对某个不独立的部门或机构所涉及的内部控制，所谓不独立，是指财务上不独立，没有独立的财务机构，也不单独核算；3 、独立单位内部控制审计，这种审计是对经济组织所属的独立单位的内部控制进行审计，独立单位是指财务上独立的，可以是投资中心或利润中心，也可以是子公司，单独设置财务机构的分公司，它们自己本身可能有一套内部控制，同时还要执行经济组织作为整体的内部控制。这三类审计各有各的特点，但在审计程序上，由于独立单位内部控制审计相对较复杂，程序最全面，因此以下即以其为蓝本讨论。

内部控制审计程序与其他审计中作为审计程序的内部控制评价应该有相似之处，因为毕竟两者都是以内部控制为焦点而展开，但由于服务的目标不一致，在程序上也有差别。内部控制评价程序一般是： 1 、了解与记录内部控制；2 、初步评价控制风险；3 、实施符合性测试；4 、评价内部控制的强弱。作为一种单独开展的审计，了解经济组织的基本情况这些准备工作是必须的，因为对内部控制需求越强烈的经济组织，其规模越大，这是必然的；在大规模的组织里，管理高层、各个下属机构的诸多具体的基本情况内部审计人员不可能都熟悉。了解基本情况是开展内部控制审计的基本条件，否则无从下手。同样大规模的组织内既存在针对整个组织的控制，也存在针对某个部分或某个下属机构的控制，内部审计人员也不可能都熟悉，因此了解内部控制也是必须的。在了解内部控制阶段，还必须初步分析所了解信息，以初步确定内部控制的健全性和有效性，规划要实施的符合性测试程序。接下来与内部控制评价程序一样，实施符合性测试，以获得遵循性的评价，同时最终确定健全性和有效性。最后归纳总结审计结果，提出审计报告。

总结上述，本文认为内部控制审计程序为：1 、了解基本情况；2 、了解内部控制； 3 、实施符合性测试；4 、提出审计报告。下面即以该程序为主线展开讨论，其中提出审计报告在内部审计报告中讨论。

（二）了解基本情况

了解基本情况，是了解所要审计内部控制所涉及单位的基本情况，这些情况是展开审计的必要准备和基本条件，影响着整个审计的过程和结果。这些基本情况包括：1 、单位所属的行业和历史沿革（着重于管理沿革）；2 、单位组织结构、各机构的人员规模和岗位结构；3 、单位资产规模、生产经营或专业服务的特点规模；4 、主营业务及辅助业务类别、业务量；5 、财务会计机构及其工作组织；等等。这些基本情况可以通过询问管理人员、查阅相关文件、会计和统计资料等方法来获得。

基本情况获得后，审计人员就要适当利用自己专业判断，确定以下内容：1 、业务循环及其大致内容；

2 、必须控制的重要或经常发生的业务；

3 、内部控制应有的严谨程度；

4 、审计应该投入的人力及分工和时间预算。确定业务循环及其大致内容实际是划分业务循环的过程，确定的是审计展开的主线；重要

或经常发生的业务是必须控制的，确定它们就是确定审计的重点；内部控制的严谨程度是与独立单位的规模相关的，规模较小的单位内部控制程度就相应较低，衡量标准就不能太高，实际这就是确定衡量标准的问题，提出设计意见时必须考虑；确定投入的人力和时间预算是为了保证整个审计过程有条不紊地进行，保证审计质量。

下一步工作是制定审计总体计划，其主要内容就是上述基本情况获得后审计人员所确定的内容，主要包括审计的范围，即业务循环及内容，审计的重点，即必须控制的重要或经常发生的业务，审计组人员构成、分工和时间预算。这个计划在以后审计过程中还要适时调整。

需要特别说明的是业务循环的划分。业务循环的划分是将若干个关联的经济业务或管理活动组合在一起。2001 年财政部发布的《内部会计控制基本规范》（征求意见稿）中提出，“内部控制的内容主要包括对货币资金、筹资、采购与付款、实物资产、成本费用、销售与收款、工程项目、对外投资、担保等经济业务活动的控制”，其中这些经济业务就是基本的业务循环划分，但目前有多样化的趋势，国际内部审计师协会就提出预算管理、资讯管理等管理作业。业务循环是以后审计程序展开的主线，了解内部控制和符合性测试都按照它来组织，因此划分业务循环影响到整个审计的组织、效率和质量。一般来说业务循环应按下列原则来划分：1 、覆盖单位所有业务及其各个环节；2 、每个业务循环能反映出所涉及业务的共同性质特点及其全部过程；3 、有利于审计的组织安排。

（三）了解内部控制

了解内部控制的内容

要了解内部控制，首先要解决内部控制的构架问题。1988 年美国AICPA 提出内部控制结构即控制环境、控制结构和会计系统，我国独立审计准则即采用这种观点。1994 年COSO 报告提出内部控制要素即控制环境、风险评估、控制作业、信息与沟通、监控。内部控制要素是内部控制结构的纵深发展，在内容上进一步完善，在内部环境上更注重员工的素质，增加风险评估强调要实现目标就必须分析相关风险，构成风险管理的基础，将会计系统扩大为信息与沟通，更强调信息的内部传达，增加监控要素将内部控制的执行纳入进来。由于COSO 报告提供出的内部控制理论很全面，更加接近内部控制的本质认识，而内部控制的建设要以先进理论为指导，与实际情况相结合，因此本文认为，在我们目前的条件下，我们应采用COSO 报告的观点，以它的框架为指导，同时鉴于我国目前内部控制落后的情况，应更加注重控制作业和监控，即如何建立起健全有效的控制程序与政策以及它们的实际执行，在控制作业完善的带动下，风险评估和信息与沟通也逐步完善，同时逐步转变管理观念，提高员工素质，建立起合理的法人治理结构和具体组织结构，使控制环境得以改善。

由于内部审计充当监控的主要角色，内部控制审计就是履行监控的职责，因此了解内部控制阶段对监控的了解可以置于次要地位；又由于风险评估的风险是管理层和作业层控制目标因内外部风险因素影响而不能实现的风险，对它进行评估后设置相应的控制作业来控制，而内部控制审计要做的一部分工作就是评价控制作业是否能控制住风险，实现控制目标，实际就是风险评估过程，因此风险评估不做了解，而在接下来的分析工作中进行。由于控制作业实际就是控制程序与政策，为了理解直观起见，本文就称其为控制程序与政策；由于内外部信息和它们在单位内外部、内部各部门各成员之间的流动可以构成一个系统，因此信息与沟通可以合称为信息系统。总结上述，本文认为内部控制审计要了解的内部控制要素为控制环境、控制程序与政策及信息系统。