内部控制审计的要点和步骤

内部控制审计4大步骤企业内部控制审计一般是以《企业内部控制审计指引》为基础，在此基础上指引企业的内部控制审计工作，内部控制审计的主要流程是：计划审计工作、实施审计工作、评价控制缺陷、完成审计工作。一、计划审计工作地产企业审计部门需恰当地计划内部控制审计工作，配备具有专业胜任能力的审计人员，并对助理人员的工作给予指导和复核。审计人员应当充分认识风险评估在计划审计工作中的作用，以风险评估为基础，选择拟测试的控制，确定测试所需收集的证据。内部控制的特定领域存在重大缺陷的风险越高，给予该领域的审计关注应越多。例如：对于地产企业而言高风险领域主要集中在招采、营销环节，因此需要配备业务专业能力较强的审计资源。在进行风险评估以及确定必要的程序时，审计人员应当考虑企业组织结构、经营单位或流程的复杂程度可能产生的重要影响和作用。企业组织结构、经营单位或流程的复杂程度可能影响企业实现控制目标。企业的规模和复杂程度也可能影响错报风险以及应对该风险的控制。审计人员应当根据企业情况调整工作范围，以获取充分、适当的证据，支持发表的意见。二、实施审计工作审计人员按照从整体到具体业务细节的方法实施审计工作，从整体到具体业务细节的方法是审计人员识别风险、选择拟测试控制的基本思路。审计人员在实施审计工作时，可以将企业整体层面控制和具体业务层面控制的测试结合进行。（一）测试企业整体层面控制审计人员测试企业整体层面的控制，在把握重要性原则的基础上，一般关注：与内部环境相关的控制;针对董事会、经理层凌驾于控制之上的风险而设计的控制;企业的风险评估过程;对内部信息传递和财务报告流程的控制;对控制有效性的内部监督和自我评价。（二）测试业务层面控制审计人员测试具体业务层面的控制，在把握重要性原则的基础上，结合企业实际、内部控制相关法律法规要求和企业整体层面控制的测试情况，重点对企业生产经营活动中的重要业务与事项的控制进行测试，例如：地产招采、地产营销等。审计人员需关注信息系统对内部控制及风险评估的影响。（三）测试与舞弊风险相关的控制审计人员在测试企业整体层面控制和具体业务层面控制时，应评价内部控制是否足以应对舞弊风险。舞弊风险因素是指审计人员在了解被审计单位及其内部环境时识别的、可能表明存在舞弊动机、压力或机会的事项或情况，以及被审计单位对可能存在的舞弊行为的合理化解释。（四）测试内部控制设计与运行的有效性如果某项控制由拥有必要授权和专业胜任能力的人员按照规定的程序与要求执行，能够实现控制目标，表明该项控制的设计是有效的;如果某项控制正在按照设计运行，执行人员拥有必要授权和专业胜任能力，能够实现控制目标，表明该项控制的运行是有效的。（五）获取内部控制有效设计与运行的证据审计人员在测试内部控制设计与运行的有效性时，可综合运用询问适当人员、观察经营活动、检查相关文件、穿行测试和重新执行等方法，获取充分、适当的证据以支持审计结论。与内部控制相关的风险越高，审计人员需要获取的证据越多。为确保证据的充分性和适当性，审计人员通常需对测试时间安排进行权衡，既要尽量在接近企业内部控制自我评价基准日实施测试，又要保证实施的测试能够涵盖足够长的期间。审计人员对于内部控制运行偏离设计的情况(即控制偏差)，应确定该偏差对相关风险评估、需要获取的证据以及控制运行有效性结论的影响。在连续审计中，审计人员有必要考虑以前年度执行内部控制审计时了解的情况，以合理确定测试的性质、时间安排和范围。三、评价控制缺陷审计人员在对内部控制设计与运行的有效性进行测试的基础上，需评价其识别的各项内部控制缺陷的严重程度，以确定这些缺陷单独或组合起来，是否构成重大缺陷并影响审计结论。在确定一项内部控制缺陷或多项内部控制缺陷的组合是否构成重大缺陷时，审计人员还应评价补偿性控制(替代性控制)的影响。审计人员应当将内部控制缺陷按其成因分为设计缺陷和运行缺陷，按其影响程度分为重大缺陷、重要缺陷和一般缺陷。审计人员应与企业沟通审计过程中识别的所有控制缺陷，重大缺陷和重要缺陷须以书面形式与治理层和管理层沟通。四、完成审计工作审计人员对获取的证据进行评价，形成对内部控制有效性的意见，出具审计报告。内部控制审计的要点一、内部控制制度审计的主要内容内部控制制度审计的对象是被审计单位的内部控制制度，对这些制度的检查、测试也就构成了内部控制制度审计的基本内容，主要体现在以下管理制度的检查、测试中：1、责任控制制度。责任控制制度是以确定经济组织内部各部门、各环节、各层次及其人员的经济责任为中心的内部控制制度。主要是检查各部门和经办人员的职责是否经过恰当授权，各种岗位责任制赋予各职能部门和经办人员的责任是否达到分工明确，职责分明的目的。2、内部牵制制度。内部牵制制度是为了保证会计资料的正确性、可靠性及保护财产而形成的种制度。它主要检查不相容职务是否分离，会计事项的处理是否遵循必须经过两个以上的人员或部门来完成，是否经过复核，以防止差错、舞弊的发生。3、会计控制制度。会计控制制度是指经济组织为了保证会计数据的正确性和可靠性而采取的各种措施和方法，主要是各种凭证的记录、传递，资金的使用，债权债务反映，会计报表编制等各个环节的控制制度和程序。主要是通过账证、账账、账表之间的相符关系，检查会计数据的可靠性；通过账实核对检查账实是否相符，以保证会计数据的真实性；通过严格的复核审批制度，以保证会十十业务处理的合法性；通过定期编制计算平衡表检查所有数据的正确性等。4、经营方面各个循环系统的控制制度。它是经济组织内部为实现经营目标而实现生产经营和管理所必须经过的环节和业务操作的控制制度：如成本控制、购销控制、物资控制、生产经营过程的控制制度等。通过检查这些环节的控制是否严密，反映企业是否能正常进行经营活动及企业的生存和发展。5、财产、凭单管理制度。财产、凭单管理制度是为了确保经济组织的财产和各种凭证单据而建立的控制制度。如财产物资的保管、清点、验收、领用、计划、合同、单据等各个环节，都应实行专人管理。进行内部控制制度审计，其重点是放在对于制度内各个控制环节的审查上，目的在于发现制度中控制的薄弱环节。二、内部控制审计的程序与方法主要有四个步骤。1、了解企业的内部控制情况，并做出相应的记录。这是内部控制制度审计的第一步，其主要目的是通过一定手段，了解被审计单位已经建立的内部控制制度及执行的情况，并做出记录、描述。审计人员应考虑被审计单位经营规模及业务复杂程度、数据处理系统类型及复杂程度、审计重要性、相关内部控制类型、相关内部控制汜录方式、固有风险的评估结果等因素，对内部控制的程序、控制环境、会计系统采取有效的方法进行审计，主要方法包括：（1）查阅前期审计报告或审计工作底稿；（2）询问被审计单位有关人员，并查阅相关内部控制文件；（3）检查内部控制生成的文件和记录；（4）观察被审计单位的业务活动和内部控制的运行情况；（5）选择若干具有代表性的交易和事项进行“穿行测试”。通过查阅复核以前的审汁情况，可以了解以前审计时所发现的问题产生的原因以及是否已得到纠正和改进，通过查阅相关规章制度、方针及政策等文件，查看组织机构系统图，和相关人员交谈对内部控制获得足够的了解，以便进行程序设计和制定运用方案。2、初步评价内部控制的健全性。确认内部控制风险，确定内部控制是否可依赖。在对控制环境、控制程序和会计系统进行调查了解，对被审计单位内部控制有了一个初步的认识的基础上，应对内部控制风险和内部控制的可依赖程度做出初步评价。初步评价实际上就是评价企业会计与内部控制在防止或发现和纠正错弊中的有效性的过程，通常出现以下情况之一时，应将重要账户或交易类别的某些或全部认定的控制风险评估为高水平：（1）企业内部控制失效；（2）难以对内部控制的有效性做出评价；（3）不拟进行符合性测试。对某项会计报表认定而言，如果同时出现以下情况，则不应评价其控制风险处于高水平：相关内部控制可能防止或发现和纠正重大错弊；拟进行符合性测试。3、实施符合性测试程序，证实有关内部控制的设计和执行的效果通过对内部控制进行初步评价，可基本掌握被审计单位内部控制的强弱环节，为进行符合性测试确定一个前提。审计人员只对那些准备信赖的内部控制执行符合测试，并且只有当信赖内部控制而减少的实质性测试的工作量大于符合性测试的工作量时，符合性测试才是必要和经济的。符合性测试是为了确定内部控制制度的设计和执行是否有效而实施的审计程序。其基本对象包括控制设计测试和控制执行测试，控制设计测试是测试被审计单位控制政策和程序是否设计合理、适当，能否防止或发现和纠正特定会计报表认定的重大错报或漏报：控制执行测试是测试被审计单位的控制政策和程序是否实际发挥作用。被审计单位的控制设计的再好，还必须靠有效的执行来发挥作用。内部控制符合性测试常用的方法主要有四种：（1）询问法，审计人员为厂了解被审计单位各项业务操作是否符合控制要求，而向有关人员询问某些内部控制和业务执行情况。例如，审计人员通过询问计算机管理人员，就可以知道未经授权的人员是否接触计算机文件、（2）观察法。审计人员亲临被审计单位的卜作现场，实地观察有关人员的实际厂作情况，以确定既定控制措施是否得到严格执行。如审计人员亲门到现场观察材料验收和入库情况，就可知道材料是否严格验收，并及时入库，库存材料是否有序摆放，是否安全存放。（3）证据检查法。审计人员抽取一定数量的账表、凭证等书面证据和其他有关证据，检查是否认真执行相关控制制度，以判断内部控制是否得到有效贯彻执行。如检查货款的支付是否有相关责任人和经办人的批准和签字，来判断实际工作中是否执行了批准控制程序。（4）重复执行法。审计人员就某项内部控制制度来按照被审计单位的业务程序全部或部分重做一次，以验证既定的控制措施是否被贯彻执行。4、评价内部控制的强弱，评价控制风险，确定在内部控制薄弱的领域扩展审计程序，制定实质性审计方案。通过以上步骤，审计人员会发现被审计单位内部控制制度是否建立、健全，哪些方面还存在薄弱环节，哪些内部控制制度得到了有效执行，哪些内部控制虽然建立但没有执行或执行不力，哪些内部控制是有效的，哪些内部控制是无效的。同时，就要对被审计单位的内部控制风险估计水平充分利用专业判断进行调整并做出综合评价，然后利用评价结果制定出实质性审计方案。综合评价的主要内容有：（1）内部控制有效实施，评价控制风险为低，规划仅对各项账户余额和交易进行有限的实质性测试。（2）重新调整内部控制的可依赖程度，制定出实质性审计。审计人员在经过内部控制测试后，若发现部分内部控制没有得到有效执行，就应对内部控制风险估计水平