内部控制测评浅析

摘要：内部控制测评是内部控制的重要组成部分，它承担着测试、评价内部控制的职责，是内部审计机构履行机构职责、体现内审价值的重要表现之一。本文主要从实际应用角度浅析了内部控制测评流程。

关键词：内部控制；测评

内部控制测评是通过对内部控制的测试，评价内部控制设计的合理性和运行的有效性，确定其是否有助于实现既定控制目标，是否按照既定控制设计有效运行，是否能够改善当前控制效率。

一、控制测评的内容

（一）控制标准的合理性

控制的标准通常由组织管理层制定。内部审计人员应该了解管理层是否建立了适当的控制标准并评价该标准的合理性。

（二）控制制度的适当性

衡量内部控制是否适当，应当考虑其能否经济有效得为实现组织目标提供合理保证。适当性并非要求内部控制的设计无任何偏差，而是应将偏差控制在合理的范围内。经济有效是指设计和执行内部控制时应当考虑“成本效益”原则。

（三）控制执行的有效性

评价控制的有效性就要确定现行的内部控制能否实现预期效果――即为组织任务目标的实现提供合理保证。审计人员必须运用适当的审计方法，获取控制程序是否被严格执行并有效运行的审计证据，评价控制运行有效与否。

二、控制测评的程序

审计人员可以使用“询问、查阅、观察、穿行测试”等方法获取审计证据，多种审计方法的结合使用构成了审计测评程序。

测评程序按照其适用的阶段不同，可以划分为了解内部控制设计的程序和测试内部控制运行的程序。“询问、查阅、观察、穿行测试”通常被应用于了解内部控制设计的过程中，而“询问、查阅、观察、重新执行”则被应用于内部控制的细节性测试中。

三、内部控制测评的流程

结合现代审计理念和实际审计经验，将内部控制测评流程划分为五个环节，简要流程图如图1：

（一）获取控制标准

获取控制标准是开展内部控制测评工作的出发点。实际测评中，审计人员通常采用“询问、查阅”的方法获取控制标准。

询问过程中采取“自上而下”的介入方式会取得良好的效果。通过对高层管理人员，尤其是对某项内部控制设计人员的询问，可以快速、有效得了解高层管理人员设计内部控制的初衷和高层管理人员认为应当重点关注的关键控制点。这些需要审计人员优先了解的事项往往是组织高层管理人员制定内部控制时设计控制标准的出发点。

审计过程中，仅依靠询问、观察获取的审计证据不具有充分的适当性。针对目标控制标准的询问结果，审计人员还需要取得支持性的材料互为依据。

审计人员可以通过查阅与内部控制相关的组织章程、会议纪要以及内部控制操作手册等获取书面证据。

（二）了解控制程序

获取控制标准后，审计人员需要根据既定标准了解目标内部控制。目的是确定目标内部控制是如何设计的，并判断现有控制程序的设计是否合理、是否得到执行。

审计人员通常采取“询问、查阅、观察”的方法了解内部控制，这三种方法的结合使用能在第一时间为审计人员提供控制程序变化的证据，提高测评效率。对于留下运行轨迹的审计人员认为必要的控制程序，可以执行“穿行测试”获取证据。

获取的审计证据足以支持审计人员做出以下判断的，通常被认为是充分、适当的：（1）审计证据可以帮助审计人员描绘内部控制；（2）审计证据可以帮助审计人员识别、判断重要业务流程和关键控制点；（3）审计证据可以帮助审计人员确定重要业务流程和关键控制点的控制程序是否存在、设计是否合理、在运行过程中是否得到执行；（4）审计证据可以帮助审计人员初步识别、判断重要业务流程和关键控制点的薄弱控制环节。

在对内部控制了解的过程中，审计人员应当区分整体层面和具体流程两个层面分别进行了解。

1.对内部控制整体层面的了解。针对这一层面的了解主要集中在对目标控制具有“质”的影响的控制要素上，通过了解获取的审计证据应当能够支持审计人员对内部控制整体层面薄弱与否做出“是”或“不是”的性质判断。如：对于“控制环境”的了解，整个内部控制存在潜在缺陷的危险可能是源于薄弱的控制环境，审计人员通过了解后获取的审计证据应该能够得出控制环境是否薄弱的结论。

2.对内部控制具体流程层面的了解。审计人员通常采取如下步骤，识别内部控制中可能存在重大缺陷的环节：（1）确定重要业务流程和关键控制点并记录；（2）识别与之相关的内部控制；（3）了解相关内部控制的设计、执行情况，必要时执行“穿行测试”。

重要业务流程的确认和关键控制点的识别是了解具体流程层面内部控制的重点。通常情况下，审计人员会将组织的主要业务流程和发生较少但往来金额超过一定水平的业务流程确认为重要业务流程；对于关键控制点的识别，最简便的方法就是：如果某项控制需要各级分工或要求二级复核，那么各级分工和二级复核的确认就是关键控制点。

（三）项目小组讨论

了解内部控制之后，审计人员需要根据既定控制标准，初步评价控制程序设计的合理性，制定进一步测评方案。

项目小组讨论的目的应当包含以下几项：（1）评价控制标准，定义控制缺陷；（2）讨论并判断已识别的重要业务流程和关键控制点；（3）设计测评程序，制定测评方案。

参与小组讨论的人员通常是参加审计测评的关键人员，如果测评项目需要聘请拥有特殊技能的专家，这些专家也应被纳入参与讨论人员的范围。

项目小组讨论的内容应当包含以下几点：（1）目标项目内部控制的标准；（2）现有内部控制的流程；（3）高层管理人员对现有内部控制的评价和企及；（4）目标项目拟采取的改进措施。

项目小组讨论的结果应当包括项目小组成员对目标控制设计合理与否的评价，评价的结论可能是：（1）重要业务流程和关键控制点的内部控制单独或连同其他控制预期能够防止、发现并纠正重大错报，并已得到执行；（2）重要业务流程和关键控制点的内部控制本身设计合理，但并未得到执行；（3）重要业务流程和关键控制点本身的设计就是无效的或重要业务流程和关键控制点缺乏必要的控制措施。

项目小组讨论的过程和结果应当被记录在案，作为审计备查项目，并以审计概要的形式下发至每一名参与测评的人员，作为具体流程层面测评的审计指引。

需要强调的是，项目小组讨论的时间和方式具有一定的灵活性，既可以根据测评项目的时间进度安排，也可以根据测评工作的进度随时安排。

（四）在具体流程层面测评内部控制

审计人员应当根据项目小组讨论确定的测评方案，针对拟信赖的重要业务流程和关键控制点的内部控制设计、实施进一步审计程序，在具体流程层面测试控制运行的有效性。

无论采用何种审计程序，审计人员都需要合理确定拟实施审计程序的性质、时间和范围。

1.控制测评的性质

审计程序的适用具有一定的局限性，针对同一控制流程使用不同的审计程序，可能获取不同的审计证据。审计人员需要根据项目小组讨论时制定的审计策略及拟获取的控制测评的保证程度合理选择审计程序。

在内控的测评中，单一审计程序获取的表明内部控制运行良好的审计证据通常不具有充分的说明性，针对同一控制流程采用多种审计程序获取多样的审计证据，通过综合比较分析不同审计证据的相关性和可靠性后，判断控制流程运行的有效性。

2.控制测评的时间

在具体流程层面的控制测评中，审计人员需要重点确认两个时间：一是在什么时间执行控制测试；二是控制测试所测评的应用控制适用的时点或时期。

执行测评的时间通常选在目标项目的期初或期中。如果了解内部控制后做出的初步评价表明内部控制可信赖程度较高，通常在项目期初的了解过程中采用双重目的测试执行控制测评，此时获取的是某一时点的审计证据。在之后的期中测评中必须选取部分重要业务流程和关键控制点执行补充性测试，补充测试获取的审计证据应当包含某一期间或时间段内控制的运行情况。

如果初步了解过程中获取的内部控制可信赖程度水平不高或者低，审计人员通常将测评的时间选在期中测试时执行，并需获取整个测评期间控制运行的证据，此时的测评对象重点集中在全部重要业务流程和关键控制点的控制程序上。

3.控制测评的范围

控制测评的范围是指审计人员在进行控制测评时拟实施的审计测试的数量，包括选取的涉及重要业务流程和关键控制点的内部控制流程的数量、对同一关键控制执行的审计程序的次数等。

影响控制测评范围的主要因素有：（1）控制标准的合理性，较高程度的标准要求执行较大范围的控制测试；（2）了解内部控制过程中获取审计证据的保障程度，高保障程度的审计证据要求在具体流程测评中获取更有效的审计证据支持；（3）项目小组讨论的结果，对于小组讨论确定的重要业务流程和关键控制点通常需要适当扩大测试范围，获取充分的审计证据；（4）具体流程测试中获取的审计证据与前期获取审计证据的相关程度；（5）执行测评人员的职业、经验等。

（五）汇总评价内部控制

完成内部控制测试后，审计人员应当汇总获取的审计证据，综合分析审计证据的充分、适当性，判断被测试控制运行的有效性。

1.复核控制测试中已执行审计程序的适当性，识别是否存在潜在控制缺陷。审计人员应该重点关注以下内容：（1）复核测评中确定的重要业务流程和关键控制点；（2）判断针对重要业务流程和关键控制点获取的审计证据的充分、适当性；（3）重新评价测评中发现的重大内部控制缺陷。

2.汇总审计证据，评价内部控制。审计人员对内部控制的测评主要是确认现有内部控制运行的有效性和未来可预测期间控制设计的合理性。为此，审计人员必须确认：（1）针对重要业务流程和关键控制点获取的审计证据足以支持审计人员作出内部控制运行有效与否的判断；（2）审计人员根据判断结果可以形成测评报告，提出内部控制改进意见，且该意见在未来期间具有实际可操作性。

四、控制测评结束后知悉的信息

控制测评结束后至测评报告日之间知悉的与测评期间控制运行相关的信息，审计人员应当设计专门的测评程序，识别这些期后事项，并根据这些事项的性质判断其对测评结果的影响。

1.如果知悉的信息与控制测评时确认的重要业务流程和关键控制点无关，审计人员仅需执行“询问”和“查阅”等程序了解相关事项，无需考虑其对测评结果的影响。

2.如果知悉的信息与控制测评时确认的重要业务流程和关键控制点相关，审计人员应当考虑追加测评程序，评价其对测评结果的影响程度，判断是否需要在测评结果中反映相关信息或修改测评结果。

参考文献：

[1]中国注册会计师协会.《审计――2015年度注册会计师全国统一考试辅导教材》，2015，3.

（作者单位：烟台张裕葡萄酿酒股份有限公司）