内部控制评审是指审计人员通过调查了解被审计单位内部控制的建立和实施情况并进行相关的测试,来对其健全性和有效性作出评价,据以确定实质性测试的范围、重点和规模的过程。 一、调查内部控制,评价其健全性 1.内部控制的调查。对内部控制进行调查是内部控制评审的前提。审计人员调查内部控制的目的是了解被审计单位内部控制的组成要素,观察它们的执行情况,并以有效的方式记录所取得的信息。调查时,审计人员应当考虑两方面的内容:一是内部控制的组成要素及各要素控制的设计;二是这些控制的执行情况和有效性。 2.内部控制的调查方法一般有以下几种:一是询问被审计单位相关人员。审计人员通过询问被审计单位的有关人员来获取内部控制的相关信息。二是检查内部控制生成的文件和记录。通过检查内部控制的相关文件和记录,了解被审计单位内部控制的运行情况。三是观察被审计单位的业务活动。通过实地观察被审计单位的业务活动和内部控制的运行情况,弄清楚相关的控制政策和程序是否存在及其执行情况。四是穿行测试。审计人员通过选择一些具有代表性的交易或事项进行“穿行测试”,即跟踪几笔通过会计系统的交易或事项,以验证内部控制的实际设置是否与审计工作底稿上所描述的结果相一致。 3.内部控制调查的记录方法主要有:备忘录法。审计人员以文字记录的形式描述被审计单位内部控制的设置情况;调查表法。通过内部控制调查表的形式,审计人员向被审计单位的相关人员调查了解内部控制的设置情况并加以记录;流程图法。审计人员用特定的符号和图形,将被审计单位的组织结构、职责分工、业务处理流程等内部控制情况,以图解的形式直观、形象地加以描述。 二、内部控制的初步评价 1.初步评价内部控制的健全性与合理性。健全性和合理性是从两个不同方面对内部控制提出的要求。审计人员评价健全性时,应分析被审计单位各主要业务程序和高风险领域是否都建立了相应的内部控制,内部控制系统有无薄弱环节;评价合理性时,则应分析内部控制的布局是否合理,是否符合成本效益原则。 2.初步评估控制风险水平。对控制风险水平评估是一个职业判断过程,审计人员应根据对内部控制的调查情况和对内部控制的健全性、合理性的认识来评估控制风险。评估时应遵循谨慎原则,宁可高估控制风险,不可低估控制风险。 3.确定是否依赖内部控制。初步评估出控制风险水平后,审计人员应对是否依赖内部控制进行审计作出决策。如果认为可以依赖,就应据此确定实质性测试的程序和重点;如果认为不可依赖,则不需对内部控制进行进一步的测试,而直接进入实质性测试。 三、测试内部控制,评价其有效性 1.内部控制测试。当决定依赖内部控制时,审计人员应根据评估的控制风险水平,设计相应的测试程序,对被审计单位内部控制的设置情况和有效程度进行测试。2.测试方法通常有以下几种:询问。审计人员为了解被审计单位各项业务操作是否符合控制要求,应向有关人员询问某些业务的执行情况;观察。通过身临被审计单位工作现场,实地观察有关人员的工作情况,以确定控制措施是否得到严格执行;重做。审计人员将某项交易业务按照被审计单位规定的程序全部或部分重做一次,以验证控制措施是否被贯彻执行;检查。在内部控制测试中,审计人员抽查一定数量的账表、凭证等有关资料,检查内部控制是否得到有效的贯彻执行。 四、内部控制再评价和测评结果的运用 经过内部控制测试后,审计人员应根据测试结果对内部控制进行再评价,重新调整控制风险水平和控制保证系数,并据此调整审计方案,重新设计对各交易类别和账户余额的实质性测试,以此保证审计质量,防范审计风险,提高审计效率。