对金融内部控制的评审一般是分四个步骤来进行的,即对内部控制进行调查、测试和评价,最后是确定内部控制的信赖度。
一、内部控制的调查
对被审计单位内部控制的调查,是进行内部控制审计评审的准备工作。通过调查,主要是了解和掌握被审计单位内部控制的建立健全情况。为此,需要采取一定的形式,运用一定的方法来了解和掌握内部控制的有关情况,并形成书面材料。
调查的方法主要包括:收集并审阅制度。询问单位职工。进行实地查看。调阅以往的审计档案等。
审计人员在调查内部控制的过程中,还需要采用适当的方法把了解到的内部控制记录下来,并做成书面资料。在通常情况下,金融机构建立内部控制时,就应对其内部控制进行描述,审计人员便可直接索取。如果对内部控制没有进行描述,审计人员就应自己进行描述。一般说来,记录内部控制的方法主要有三种:
(1)文字描述法。即审计人员将内部控制的健全和执行情况用文字进行书面叙述的一种方法。文字描述法的优点是:比较灵活,能充分说明内部控制中的任何特殊情况,适应性强;其不足是:对于复杂的内部控制,显得比较冗长,不利于为有效地进行内部控制分析和评价提供依据。
(2)调查问卷法。也称调查表法,是指审计人员事先将内部控制的有关问题制成“内部控制调查问卷”或“内部控制调查表”,通过向有关人员询问并填表的方式来描述内部控制的一种方法。内部控制调查表的基本结构一般分为:“调查问题”“调查结果(回答)”“取得方式”“评注”等几个部分。调查问题,是审计人员根据所调查的内部控制的具体内容,以关键控制点作为问题而设计的标准化提纲。一般来说,“调查问题”主要是从“正面”提出问题的,并要力求做到简单、具体、明确。“调查结果(回答)”,分设“是”“否”“不适用”三栏。其中,“是”表示肯定回答;“否”表示否定回答;“不适用”表示所提问题不适应被审计单位的实际情况。“取得方式”主要用于记录回答问题的资料来源。“评注”是用来记录对有关问题的进一步说明和备注。在填表时,被调查人员根据情况在相应的栏内打“√”,表示所作的回答。调查问卷法的优点是:格式固定,简便易行,省时省力;调查表的“否”栏集中反映了内部控制中存在的问题或弱点,能使审计人员迅速作出判断。其不足是:由于格式固定,缺乏弹性,对较复杂的内部控制或一些特殊情况,往往不能充分说明。
(3)流程图法。即审计人员采用特定的符号,辅之以简要的文字或数字,根据业务处理流程等加以联结,将内部控制用图示的形式,直观地进行描述的一种方法。流程图法的优点是:形象直观,能够清晰地反映内部控制情况,便于审计人员对其进行评审,特别是在进行计算机审计时,使用流程图更为必要;其不足是:绘制流程图有一定的技术难度,特别是对于比较复杂的内部控制,更需要较高的绘制技术。用流程图法描述内部控制深受国外审计人员的欢迎。在我国,现也已开始大量的应用。
以上三种方法并不相互排斥。在实际工作中,可根据不同的具体情况使用不同的描述方法,也可将三种方法结合起来使用。三种方法有机结合起来,往往比采用某一种方法的描述效果更好。
二、内部控制的测试
我们知道,设计完好的内部控制,并不意味着它就一定能够达到预期的控制目标,这是因为,如果内部控制执行不力,就会影响内部控制的效果。因此,在了解内部控制的基础上,必须对其进行测试,以便确定内部控制设计和执行的有效性。所谓内部控制测试,就是指对内部控制的设计和实际执行情况的检查和验证。内部控制的测试具体包括符合性测试和实质性测试两种。
(一)符合性测试
符合性测试,是针对被审计单位的内部控制设计和执行是否有效所进行的检查和验证。符合性测试有业务测试和功能测试两大基本类型。
1.业务测试
业务测试是指采用顺查或逆查的方法对某一经济业务的整个流程或程序所采取的一切控制措施进行审查,其目的在于揭示这些控制措施是否都在发挥控制功能,其发挥的程度和效能如何。例如:对贷款业务进行测试,是从授权授信和借款人申请,进行贷款调查和贷款审批开始,一直到签订借款合同,将贷款发放出去,进行贷后管理,发生逾期拖欠乃至最终收回贷款本息或作为损失进行核销为止,要按照贷款业务处理的有关程序进行系统审核。
2.功能测试
功能测试是指对某项控制措施是否一贯地被有效执行所进行的测试,以明确该控制措施是否有效执行。例如:对单位活期存款账户的定期对账这一控制措施进行功能措施测试,就需要对银行按季逐户填发的“余额对账单”等有关文件进行抽样,然后将样本与开户单位签送的“对账回单”相核对,以确认该项控制措施是否被有效执行。
在审计实务中,审计人员应将两种测试配合进行,只有业务测试与功能测试配合使用,才能最大限度地发挥其效用。此外,在实际进行符合性测试时,审计人员可采用判断抽样法,根据调查的结果进行重点的实地测试。这是因为,全面测试往往工作量很大,一般也无必要。
当出现下列三种情况之一时,审计人员可以不进行符合性测试,而直接实施实质性测试程序:相关内部控制不存在;相关内部控制虽然存在,但并未有效运行;符合性测试的工作量可能大于进行符合性测试所减少的实质性测试的工作量。
顺便说明一点,现在以美国为代表的西方国家不再使用“符合性测试”,而是使用“控制测试”的概念。由于我国的有关规范是用“符合性测试”的概念,故而本书仍使用“符合性测试”这一名词。
(二)实质性测试
实质性测试,是对被审计单位内部控制发挥作用的结果,或者说是对内部控制的实际效能所进行的检查和验证。通过实质性测试,主要了解和掌握内部控制是否真正起到了应有的控制作用,控制目标是否真正实现等。实质性测试有细节测试和分析性复核两大基本类型。
1.细节测试
细节测试也称详细测试,具体包括为交易的细节测试和余额的细节测试。交易的细节测试是通过检查交易过程涉及的文件和会计记录来核查各笔交易的真实性和恰当性。余额的细节测试是直接查证账户余额的真实性和恰当性,如函证确认被审计单位的往来账项的账户余额等。交易的细节测试和余额的细节测试的区别在于:交易的细节测试是为了审定某一笔交易的正确性;而余额的细节测试是为了审定某一个账户余额的正确性。
2.分析性复核
分析性复核主要是通过分析复核各种财务会计数据和非财务会计数据之间的关系所进行的测试。在实质性测试中运用分析性复核技术,往往以五种比较关系为基础:
(1)本期财务会计信息与前期财务会计信息的比较;
(2)本期财务会计信息与预测财务会计信息的比较;
(3)本单位财务会计信息同行业财务会计信息的比较;
(4)财务会计信息各构成要素之间的比较;
(5)财务会计信息与相关非财务会计信息的比较。
分析性复核的有效运用,将会使审计结论更加可靠、更加准确,因此,随着计算机的广泛使用及审计人员在财务分析技术上的加强,分析性复核必将在审计实务中得到广泛使用。
应当指出,符合性测试的结果,对实质性测试的影响很大。若符合性测试被认为好的方面,可以缩小实质性测试的范围和数量;相反,则要扩大实质性测试的范围和数量。因此,实质性测试是在符合性测试之后进行的,是符合性测试的继续、深入和发展。
另外,需要说明的是,虽然审计人员对内部控制的测试可归结为符合性测试和实质性测试两种方法,但事实上,符合性测试和实质性测试在每次的审计中总是混合使用的。
三、内部控制的评价
(一)内部控制评价的标准
对内部控制的评价,关键是确定一个合理的标准。那么,这个标准可以概括地称做:理想的内部控制模式。审计人员应将“理想的内部控制模式”作为评价被审计单位内部控制优劣的依据。为此,很多审计工作开展得比较好的西方发达国家,在总结长期实践经验的基础上,都建立了一套较为通用的、理想的内部控制模式,并把它作为评价一般单位的内部控制的标准。
目前,由于我国金融审计工作开展的时间还短,审计理论滞后于审计实务,故而,关于“理想的内部控制模式”问题,还是当前急需加以研究和解决的重要课题。这里需要指出,审计人员拟定“理想的内部控制模式”,应当同被审计单位的有关人员一起讨论,研究可行性,双方取得一致认识。这样,一方面可吸取被审计单位意见中的合理成分,使“理想的内部控制模式”更加切合实际;另一方面可减少审计过程中的阻力,审计人员最后对内部控制的评价,被审计单位不至于持反对意见。
不过,需要指出的是,“理想的内部控制模式”只是一个大概的模式,是一个“应当是什么”的模式,并不要求正在实际执行的内部控制必须严格符合这个模式,但是,它对审计人员评审被审计单位的内部控制来说,具有重要的参考价值。
(二)内部控制评价的内容
金融内部控制审计评审的要点主要有:
1.评价金融内部控制的健全性
主要是评价金融内部控制在设计上是否完善,需要控制的环节是否都采取了相应的控制措施。换句话说,被审计单位是否全面地制定了各项规章制度,是否进行了全方位的控制。
2.评价金融内部控制的遵循性
对金融内部控制的评价,不仅要重视制度的制定,更要重视制度的执行。因此,对遵循性的评价主要是评价金融内部控制在实际中是否得到了认真的贯彻执行及其执行程度有无对其执行情况进行考核、评价,并对其进行不断的改进和完善等。
3.评价金融内部控制的合理性
主要是评价金融内部控制是否切实可行,是否符合被审计单位的实际情况;是否设置了过多或不必要的控制点;人员分工和牵制是否恰当(既不能分工过细,又能起到牵制作用)等等。概而言之,主要评价控制成本与控制效果是否成正比。
4.评价金融内部控制的有效性
主要评价金融内部控制中的关键控制点,以及业务处理程序和各项控制措施是否真正发挥了应有的控制作用,控制目标是否实现等等。
通过对金融内部控制的审计评审,就可以对其健全性、遵循性、合理性和有效性等作出正确的判断,确定哪些方面的控制功能强,哪些方面还缺乏必要的控制功能。然后,针对其内部控制的强、弱点,确定金融审计工作的重点和范围以及应当采用的具体审计方法等。
四、确定内部控制的信赖度
审计人员通过确定对内部控制系统的信赖度,就可据以确立抽样审计的具体策略。审计人员对内部控制的信赖度,一般可分为以下三种类型:
1.高信赖度(低控制风险)
高信赖度是指被审计单位具有健全、完善的内部控制,并能有效地发挥控制作用。在这种情况下,被审计单位存在错弊的可能性很小,对此,审计人员可以较多地信赖其内部控制,相应地减少抽样审计的规模和数量。
2.中信赖度(中等控制风险)
中等信赖度是指被审计单位的内部控制较为良好,但不够健全和科学,存在一定的缺陷和薄弱环节;或内部控制设计完好,但实际执行不力。因而,被审计单位存在错弊的可能性就较大。对此,审计人员就不能过分地信赖其内部控制,相应地要扩大抽样审计的规模和数量。
3.低信赖度(高控制风险)
低信赖度是指被审计单位的内部控制设计不健全、不科学,或重要的内部控制明显无效,或在实际工作中没有执行等等,造成大部分经济业务失控,错弊频出,从而导致审计人员无法信赖其内部控制。在这种情况下,审计人员应大幅度地扩大抽样审计的规模和数量,直至进行详细审计。当被审计单位的内部控制存在严重缺陷,经济业务严重失控时,应中止审计工作,就此提出对该被审计单位的处理意见。
在内部控制审计评审工作结束后,审计人员应根据评审工作底稿及内部控制审计评审的其他有关资料,经过整理,编写“内部控制评审报告”,并将其作为审计报告的附件。
最后,还必须指出的是,在审计人员确定被审计单位内部控制的可信赖程度时,应当保持应有的职业谨慎,并充分关注内部控制的以下固有限制:
(1)内部控制的设计和运行受制于成本效益原则。
(2)内部控制一般仅针对常规业务活动而设计。
(3)即使是设计完整的内部控制,也可能因执行人员的粗心大意、精力分散、判断失误以及对指令的误解而失效。
(4)内部控制可能因有关人员的相互勾结、内外串通而失效。
(5)内部控制可能因执行人员滥用职权或屈从于外部压力而失效。
(6)内部控制可能因经营环境、业务性质的改变而削弱或失效。
由此可见,审计总是存在一定的控制风险的,即审计风险模型中的控制风险始终应是大于零。这就要求审计人员必须注意,不管被审计单位的内部控制设计和运行得多么有效,都应当对其内部控制进行实质性测试。
【主要概念】
内部控制 内部控制目标 内部控制原则 内部控制基本要求 内部控制基本内容 内部控制评审 内部控制测试 内部控制评价
【复习思考题】
1.内部控制的基本原则有哪些?
2.试述内部控制的基本要求。
3.试述商业银行内部控制的基本内容?
4.内部控制评审与审计的关系如何?
5.试述内部控制评审的步骤。
6.如何进行内部控制的测试?
7.试述内部控制评价的内容。