内部控制探析度分析

【摘 要】 文章阐述了内部控制探析度分析在风险导向审计流程中的作用、内部控制探析究竟应该达到何种程度和深度以及内部控制探析度对进一步审计程序的影响等相关问题，分析了获取内部控制探析度的审计程序。

【关键词】 内部控制； 控制测试； 探析度

根据《中国注册会计师审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》的规定，可以看出对被审计单位的相关内部控制探析度进行分析，在审计实务中准确界定内部控制探析的程度，既可贯彻风险导向审计理念，又可影响审计人员实施进一步审计程序。

一、内部控制探析度在风险导向审计过程中的作用

通过风险导向审计测试流程图（图1），首先进行风险评估。根据《中国注册会计师审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》的规定，风险评估需要：（1）了解行业状况、法律环境与监管环境以及其他外部因素；（2）被审计单位的性质；（3）被审计单位对会计政策的选择及应用；（4）被审计单位的目标、战略以及相关经营风险；（5）被审计单位财务业绩的衡量和评价；（6）被审计单位的内部控制。本文着重研究风险评估中所做的大量工作，即对内部控制了解的深度和程度进行正确的界定，在风险评估的基础上确定进一步审计程序中的控制测试，通过控制测试程序获取相关审计证据后再进一步支持评估的重大错报风险水平，并在此基础上确定审计程序的性质、时间和范围，实施相应的实质性程序，搜集充分适当的审计证据，进而出具审计报告，完成审计工作。对该流程图进行分析不难发现，对内部控制进行了解和测试在整个审计过程中处于极其重要的地位。若内部控制了解到位以及正确测试内部控制不仅将大大减少实质性测试的工作量，而且还能保证审计人员出具客观公正的审计报告。由此可见，对内部控制探析度进行分析既有理论价值又具有实际意义。

二、内部控制探析度相关知识点的分析

所谓内部控制探析度就是指在了解被审计单位及其环境进行风险评估过程中审计人员为了保证审计质量，贯彻风险导向审计理念而对内部控制了解的程度或深度。为了更好地理解内部控制探析度分析，笔者首先分析内部控制执行与内部控制运行的关系、内部控制执行与内部控制测试的关系等相关理论问题。

（一）内部控制执行与内部控制运行的关系

通常，大多数人认为内部控制执行与内部控制运行阐述的意思相同，内部控制执行即内部控制运行，其实不然。内部控制执行与内部控制运行既存在联系又存在区别，二者本不属于同一范畴，其本质含义大相径庭。内部控制执行与内部控制运行二者均涉及企业设计的内部控制在实务中得到运用，但二者却存在本质的区别。如果内部控制的设计是合理的，也确实得到了执行，但这种执行根本就是走过场，做面子工程，敷衍了事，没有得到切实执行，此时控制运行的有效性是不尽人意的。例如：被审计单位针对授信额度方面规定信用额度要经过审批，该项控制设计是合理的，审计人员确实注意到赊销单据上有专门人员的签字，此时说明该项内部控制得到了执行。但在控制测试中审计人员通过核对原始单据与企业赊销政策发现，信用审批人员置授信额度和尚欠款项于不顾，径直在销售单上大笔一挥签字同意赊销，显而易见，该项内部控制的运行就是无效的。通过该实例不难看出内部控制执行与内部控制运行是存在天壤之别的，内部控制执行仅关注表象，而内部控制运行则关注深层次、实质性方面。倘若内部控制执行即为内部控制运行，那么在风险导向审计流程中，就不会产生进一步审计程序中的控制测试，这显然与风险导向审计流程图设计的理念相违背。

（二）内部控制执行与内部控制测试的关系

从风险导向审计流程图已经知道了解内部控制是必须的，即了解内部控制设计是否合理、是否得到执行，内部控制是否达到实现最佳控制实务预期的目标。在了解了内部控制之后，是否有必要对内部控制进行测试则是审计人员可选择性的程序。若内部控制设计合理，同时也得到执行，则审计人员势必会再进一步审计程序（控制测试和实质性程序）对企业相关的内部控制进行测试。若企业内部控制设计得尽善、尽美、合理而没有得到执行，或者内部控制设计得根本不合理，一般情况下是不考虑其是否执行的。在这些情况下审计人员是不会白白浪费时间和精力对相关内部控制进行测试的，那样只会取得事倍功半的效果。

（三）了解内部控制与控制测试运行有效性的关系

在人工控制的情况下，某一人工控制在某一时点得到执行的审计证据，并不能证明该控制在所审计期间内的其他时点也有效运行，此时二者不能相互替代。也就是说对内部控制的了解并不能替代对控制运行有效性的测试。在自动化控制的情况下，由于信息技术处理流程的内在一贯性，信息技术可以使被审计单位持续一贯地对大量数据进行处理，提高了被审计单位监督控制活动运行情况的能力，此时实施某项审计、确定某项自动控制是否得到执行，也可能实现对控制运行有效性测试的目的。

三、内部控制探析程度界定

为了全面贯彻风险导向审计理念，客观公正地评价企业所面临的影响财务报表发生错报和舞弊的各种风险，首先要明确内部控制究竟应该了解到何种深度，才能满足审计的客观需要。内部控制了解到何种程度取决于以下两个目的：

一是评价内部控制设计是否合理。内部控制设计的目的是单独或连同其他控制是否能够有效防止或发现并纠正重大错报。因为企业现有的内部控制都是客观存在的，而内部控制所要实现的目标根据最佳内部控制实务标准预先是知道的，即标准的内部控制是已知的，将企业客观存在的内部控制与最佳内部控制标准实务进行比较，顺理成章就可以得出企业现存内部控制的设计是否合理的结论。

二是评价内部控制是否得到执行。控制得到执行是指某项控制存在且被审计单位正在使用。若内部控制设计合理，却得不到执行，即使内部控制设计得尽善尽美，也是于事无补的；若内部控制设计存在重大缺陷，关键的控制点控制不到位，通常情况下，审计人员是不会考虑内部控制是否得到执行的；倘若内部控制设计合理，同时也得到执行，若还能得到有效运行，则审计人员可将企业财务报表重大错报风险评估为低水平。

通过对内部控制探析度目的的分析，不难看出审计人员在对内部控制探析到何种深度和何种程度时，必须同时满足以上两个目的的实现，审计人员对内部控制的分析才算到位，为出具客观公正的审计报告奠定坚实的基础。倘若以上两个目的不能实现，则对内部控制探析的深度和程度缺失，此时对被审计单位及其环境的了解就有失偏颇，不能客观评价企业所面临的风险。

四、内部控制探析度对实质性审计程序的影响

本文第二部分已论述了控制执行与控制测试的关系，知悉只有在内部控制设计合理并且得到执行的前提下，审计人员才会对相关控制进行测试，即内部控制运行情况。当对相关内部控制进行测试后，发现企业现存的内部控制能达到最佳控制实务标准的要求时，审计人员会得出内部控制运行有效、控制的效果令人满意，企业重大错报风险则评价为低水平，会大大降低实质性程序（细节测试及实质性分析程序）的工作量，更有可能以实质性分析程序为主；反之，内部控制设计合理，同时也得到执行，但通过内部控制进行测试后，发觉内部控制的效果不尽人意，审计人员势必会将企业重大错报风险评估为高水平，审计人员就不会再依赖内部控制，势必会扩大实质性测试范围，大量采用细节性测试获取相关认定的审计证据，审计的工作量和审计成本也一定会随之增加。

五、获取内部控制探析度的审计程序

了解内部控制设计是否合理以及是否得到执行的审计程序，审计人员通常实施下列程序以获取有关控制设计和执行的审计证据。（1）询问被审计单位人员； （2）观察特定控制的运用；（3）检查文件和报告；（4）追踪交易在财务报告信息系统中的处理过程，即穿行测试。这些程序可单独或结合使用来获取相关审计证据。询问本身并不足以评价控制的设计以及确定其是否得到执行，注册会计师应当将询问和其他风险评估程序结合应用。

综上所述，对内部控制探析度进行分析既是了解被审计单位及其环境所必须的，又在一定程度上影响进一步审计程序。只有准确把握内部控制探析程度，才能准确评估企业面临的风险，才能最终把风险导向审计理念落实到审计实务中去。

【参考文献】

[1] 中国注册会计师协会.中国注册会计师执业准则应用指南（2010）[M].中国财政经济出版社，2010.

[2] 中国注册会计师协会.审计[M].经济科学出版社，2012.