内部控制评价在经济责任审计中的应用实务

陈新宁

[摘要]本文基于审计理论并结合经济责任审计的特殊情形，采用以下程序来研究内部控制评价在经济责任审计中的应用实务：计划阶段对内部控制的初步评价；实施阶段对内部控制的进一步评价；报告阶段对内部控制的最终评价。

[关键词]控制评价；计划；实施；报告

[中图分类每]F239.47[文献标识码]A[文章编号]1673-0194(2009)07-0055-02

在企业领导人员经济责任审计中，审计的直接目标是评价领导人员的个人经济责任。在现代企业制度下，建立企业内部行之有效、科学合理的内部控制制度无疑是企业领导人员一项至关重要的经济责任，因此，内部控制评价是经济责任审计的重要内容。

一、计划阶段对内部控制的初步评价

(一)了解内部控制的内容审计人员应从以下两个层次对被审计单位内部控制进行了解：第一层次是对内部控制进行总体评价。由于企业内部控制是由控制环境、风险评估、控制活动、信息系统与沟通以及对控制的监督这5个要素组成的，于是内部控制整体评价就应从这5个方面出发，针对每个项目确定具体评价内容和重点。第二层次是对内部控制具体业务流程进行的评价。本文以工业制造业为例，从销售收款循环、采购付款循环、生产与存货仓储循环、筹资投资循环等4个业务循环及货币资金控制来评价具体业务流程的控制。两个层次的评价不应割裂开来。前者是对内部控制综合水平的反映，后者是对内部控制具体作业循环的反映。内部控制可能既包括人工成分，又包括自动化成分，在了解内部控制时，审计人员应当考虑内部控制的人工特征和自动化特征及其影响。

(二)了解内部控制的程序

审计人员对内部控制的调查了解和初步评价可以通过以下方法进行：查阅被审计单位的各项管理制度和相关文件；询问被审计单位管理人员和其他有关人员；检查内部控制过程中形成的文件和记录；观察被审计单位的业务活动和内部控制的实际运行情况等。按新审计准则的理念在计划阶段针对被审计单位整体控制环境、监督要素和风险评估的结果，将风险发生的可能性不仅从认定层次上将该风险水平归结到相关账户中去，作为制订交易类别或账户余额实质性程序计划的依据，还应从整体层面上与企业管理目标、经营计划和财务报告的相关内容联系起来，据以确定将要实施的实质性程序的性质、范围、时间和重点。为编制审计方案提供科学的依据。

(三)对内部控制的初步评价——健全性评价

审计人员对了解的内容进行记录的主要方法有文字表述法、调查表法及流程图法等几种，这些方法可以单独使用，也可以结合使用。审计人员进行初步了解后，应当评估控制风险，对是否依赖被审计单位的内部控制及依赖的程度作出决策。本文认为，在采用传统的内部控制评价模式对企业已经存在的内部控制进行评价的基础上，推行风险导向评价法有其必要性。风险导向评价法要求评价人员将评价的起点放在关注企业发展战略和识别企业业务流程的风险上，分析风险并提出控制风险的建议和方法。特别需要指出，评价内部控制并非为了控制本身，而应针对企业经营过程中可能面临的风险。

二、实施阶段对内部控制的进一步评价

(一)测试内部控制的情形在计划阶段，对被审计单位内部控制制度进行了调查和风险评价，确定了重点审计领域和审计方案。在实施阶段，通过实施内部控制测试，可进一步了解被审计单位内部控制的实际执行情况和有效程度，并对控制风险水平进行再评价。审计人员通过实施控制测试以确定内部控制运行的有效性。但控制测试并不是所有审计中都必须执行的程序，当存在下列情形之一时，审计人员应当实施控制测试：一是在评估认定层次重大错报风险时，预期控制的运行是有效的；二是仅实施实质性程序不足以提供认定层次充分、适当的审计证据。

在测试控制运行的有效性时，审计人员应当从以下4个方面获取关于控制是否有效运行的审计证据：一是控制在审计期间的不同时点是如何运行的；二是控制是否得到一贯执行；三是控制由谁执行；四是控制以何种方式运行。如果被审计单位在审计期间内的不同时期使用了不同的控制，注册会计师应当考虑不同时期不同控制运行的有效性。

(二)测试内部控制

测试内部控制是一个连续性的过程，贯穿于经济责任审计过程的始终，需涵盖内部控制的5个要素、各重要的账户与披露、重要或有特殊风险的领域。测试内部控制应确定控制测试的性质、时间和范围。控制测试的性质是指控制测试所使用的审计程序的类型及其组合。控制测试与了解内部控制的目的不同，但两者采用审计程序的类型通常相同，包括询问、观察、检查和串行测试。此外，控制测试的程序还包括重新执行。控制测试的时间有两层含义：一是何时实施控制测试；二是测试所针对的控制适用的时点或期间。如果测试特定时点的控制，审计人员仅得到该时点控制运行有效性的审计证据；如果测试某一期间的控制，审计人员可获取控制在该期间有效运行的审计证据。报告期间中越早期的测试提供的证据越少，越需要在年末补充样本进行追加测试，从而能够将控制在期中运行有效性的审计证据合理延伸到期末。控制测试的范围主要是指控制活动的测试次数。审计人员应根据初步评估的重大错报风险水平确定控制测试的范围，并采用综合的测试程序进行测试。在经济责任审计实务中，审计人员执行控制测试的范围要从最经济有效地实现审计目标的总体需要出发，从测试范围的性质和数量两个方面来考虑，这样，控制测试的范围才更准确，才更具有操作性。测试范围因控制因素不同而不同。在自动化技术或计算机系统被证实有效的前提下，可对自动控制进行较小范围的测试，因为信息技术处理具有内在一贯性，除非系统发生变动，审计人员通常不需要增加自动化控制的测试范围。

(三)进一步评价内部控制——符合性评价

审计人员在对内部控制执行情况进行测试盾，应当就相关事项形成审计工作记录，综合分析被审计单位内部控制的合理性和有效性，提出内部控制测试结果，并据此确定实质性程序的性质、时间和范围。如果测试结果与计划阶段对控制风险水平的初步评估有出入，则需要对原审计计划确定的审计程序和方法进行适当调整。如果认为被审计单位内部控制值得信赖，则使用抽样的方法开始实质性程序。此外，将内控测试中发现的控制弱点作为实质性程序的重点审计领域。在直用计算机进行信息处理的条件下，审计人员应当对被审计单位计算机信息系统的一般控制和应用控制进行测评。

三、报告阶段对内部控制的最终评价——综合性评价

在审计结束或者临近结束时，审计人员应当在了解内部控制并进行初步评价、控制测试并进一步评价及实施实质性程序的基础上，结合分析程序，对内部控制进行综合分析、评价，找出该企业内部控制系统的薄弱环节，据此确定审计形成的结果是否与了解的被审计单位内部控制相一致，如果识别出以前未识别出的重大错报风险，审计人员应当重新考虑以前对被审计单位内部控制的评价是否恰当，并在此基础上考虑重新评价之前计划并实施的审计程序是否充分，是否有必要追加实施审计程序，进而形成审计结论。此外，审计人员应根据内部控制评价与实质性程序的审计结果，逐项整理出改进内部控制的建议，以提高被审计单位的经济效益。