从审计意义上来说,内部控制测评(简称“内控测评”)是指审计人员采用一定的技术和方法,对被审计单位内部控制的设置和执行情况进行调查了解和测试,并对内部控制的健全性和有效性作出评价,以确定审计范围和审计重点的过程或活动。现实中,多数企业或单位内部控制存在着这样、那样的缺陷与不足,与理想状态有着一定的差距。本文就怎样结合被审计单位的具体情况开展内控测评谈点看法。
一、收集与内部控制有关的文件资料。审计人员在对某个单位进行审计时,首先应当详细调查了解被审计单位内部控制的详细情况和管理现状,并尽可能地收集齐全该单位涉及内部控制的所有文件资料,特别是比较重要的控制环节和控制因素。调查了解收集的文件资料既包括被审计单位形成书面文字的规章制度、岗位职责、工作流程、操作程序等,也包括没有留下文字记录,仅仅以讨论通过、领导拍板、电话通知等形式所作出的一些具有遵循执行作用的规定等。
二、搜集、查找与被审计单位及审计目标有关的外部法律法规、政策制度等规定。一般认为,审计人员搜集、查找有关的制度规定,很多情况下是在查出问题后用作处理处罚的依据,其实不然。许多法律法规、政策制度等规定的制定,其出发点本身就是为了规范,为了管理的需要,尤其是一些操作性强、内容具体的制度等,审计人员完全可以用来作为内控测试的依据和内容。这就要求审计人员要尽可能多地找寻到与被审计对象、与本次审计目标有关的各种外部规定,获得最大范围可以进行内控测试的原始资料。
三、编制内控测试审计工作底稿。上述两步工作完成后,接下来就是对被审计单位的内控管理制度规定情况和搜集好的原始资料进行认真仔细研究,并把它们分类、归纳和整理,然后用简明扼要的语言编制成能进行具体测试的审计工作底稿。这种自己编制的审计工作底稿,一户一用,比较符合被审计单位内部控制的具体情况,具有较强的针对性和适用性。
四、测试、修正和补充审计工作底稿。审计人员在用上述审计工作底稿或审计程序表进行具体测试时,仍有可能遇到与实际状况不太一致或不相符合、不适用的情况。这时,审计人员应当及时对原测试内容进行调整、修正和补充,或者直接在测试底稿中加以注明,说明被审计单位的实际状况,使他人通过查阅审计工作底稿,能够对被审计单位的内部控制现状有个比较概要、真实和正确的印象。总之,内控测试要紧紧抓住被审计单位实际,以反映被审计单位真实内控状态为目标,而不是其他。
五、评价与对照。审计人员用自己编制的审计工作底稿完成对被审计单位内控初步测试后,便可根据测试结果得出内控评价。由于测试内容是根据被审计单位情况进行设计的,因此测试结果一般比较符合被审计单位的实际情况,所得出的内控评价也一定比较客观、正确,使下一步要进行的实质性测试有了比较明确的方向和范围。
采用上述步骤所进行的内控测评,难点在于编制适合被审计单位实际情况的审计工作底稿上,因为编制的审计工作底稿内容越贴近被审计单位实际情况,所得出的内控评价也就越真实正确,可信度越高。这就要求审计人员开动脑筋,花费大力气对被审计单位的内控状况和外部管理的各项规定进行认真仔细的研究。