内部控制是在长期的管理实践中，随着组织对内加强管理而逐步产生并发展起来的一种管理机制。在内部控制产生和发展过程中，审计人员逐渐认识到内部控制与审计工作的关系，促使审计工作由详细审计发展成为抽样审计，而抽样审计是以评审内部控制为基础的。在此，笔者根据审计工作实践，对内部控制审计的程序与方法谈点体会和认识。

    一、内部控制的概念和内部控制审计的作用

    （一）内部控制是企业管理者为了维护财产物资的安全完整，保证会计信息的真实可靠，保证经营管理活动的经济性、效率性和效果性，以及各项法律规范的遵循性，而对经济管理活动进行调整、检查和制约所形成的内部管理机制，是组织为实现管理目标而形成的自控系统。

    （二）内部控制审计的作用是指审计人员对被审计单位内部控制的调查、测试和评价，即通过调查了解被审计单位内部控制的建立和实施情况，并进行相关测试来对其健全性和有效性做出评价，据以确定实质性测试的范围、重点和规模。它可以减少对报表项目和相关账户的测试工作量，提高审计结论的可信度，保证审计工作质量，提高审计工作效率。同时，通过内部控制的检查，可以向被审计单位管理者指出其内部控制系统存在的薄弱环节，并提出纠正和完善的建议和措施。

    二、内部控制审计的程序与方法

    从审计工作实际考虑，内部控制审计的程序和方法主要有以下几个步骤：

   第一，调查内部控制的建立情况；

   第二，初步评价内部控制的健全性，确认内部控制风险，确定内部控制是否可依赖；

   第三，符合性测试；

   第四，对内部控制做出评价，据以制定实质性审计方案。

    （一）调查内部控制的建立情况。

    1.调查内部控制环境。对一个公司的内部控制环境进行调查，可采取预先设计好的问卷调查。同时，还要审阅被审计单位的政策和制度手册、会计凭证和相关原始记录。内部控制环境调查主要包括下列内容：

    （1）决策和管理层方面。公司领导能否有效地对经营管理实施控制，公司是通过哪些措施实施控制的，重大投资、购置重要资产、长期工程签订重要经济合同或协议是否经总经理核准，高层管理人员是否能及时采纳外部、内部审计人员所提出的审计建议，公司领导层是否参与资金预算的编制和审核，公司领导层是否对经营业务和财务管理中的失控情况及时采取应急措施，使之恢复正常。

    （2）组织机构方面。公司在重大生产经营方面的决策权限是否划分清楚，各部门所拥有的权力和应承担的责任是否有明确规定。

    （3）管理制度方面。重大投资和资产购置是否有可行性研究并经财务部门会审制度，公司内部是否有较严格的经济责任制并对完成情况进行考核，是否有资金预算管理制度、资金归口管理制度、资产定期盘点制度。

    （4）信息系统方面。会计信息及相关业务信息的报告制度是否健全，总经理在控制、评估业务活动时是否使用会计、统计和业务资料。

    （5）内部审计方面。公司是否建立了内部审计机构，内审工作是否富有成效。

    （6）财务主管方面。财务主管是否能参与公司生产经营的重大决策，对重大支出是否亲自核准。

    （7）会计机构人员方面。业务分工是否明确并坚持批准、执行和记录职能分开的内部牵制原则，会计人员离职或轮换是否办理交接手续。

    （8）会计核算与管理方面。原始凭证是否经稽核人员和有关领导审核，是否有企业财务收支审批制度，是否有会计核算业务手册。

    通过对上述内部控制环境信息的调查，评价该公司领导层和管理部门对控制重要性的态度和意识。

    2.以物资采购与付款内部控制为例，进一步说明具体业务内部控制点的调查方法。物资采购与付款内部控制是依据公认的管理规则和被审计单位的模式来设计的，它应包括下列内容：

    （1）管理环境。采购、财会、验收货物、运输部门是否相互独立，货物验收报告是否分别送交采购部门、存货保管部门、财会部门，未经批准不得存取空白支票，除零星现金外付款必须用支票或通过银行结算，支票及在银行备案的印鉴应由两人分管，不允许签发空白支票。

    （2）有效性目标。应付账款登记入账前，应将供应商的发货单应与购货发票、货物验收报告相核对；供应商发货单、验收报告、购货发票应由支票签发人员检查；付款凭证在交回付款会计登账前加盖“付讫”印鉴，以防重复汇付；支票只能由出纳人员汇付。

    （3）完整性目标。购货发票和货物验收报告是否预先编号，并且经常按顺序检查，防止丢失。货物拒收退回供应商后，是否及时通知付款会计，供应商发货单是否根据收到日期顺序列出清单，未核对的验收报告是否经常与有关凭证、记录相核对。

    （4）批准性目标。需采购项目是否经常收到竞争性报价，采购部门对此是否认真检查；每一项采购是否都经过招投标、货比三家并经领导批准；采购是否由专职采购人员按规定的采购程序进行；支付货款的凭证是否经有关领导批准；签发支票要求两人签章，以实施双重控制。

    （5）正确性目标。购入货物的数量、质量是否由独立于采购部门的验收人员来检验；付款会计是否将供应商发货单明细与购货发票、货物验收报告的数量、单价、时间相核对；现金保管和银行、现金账簿登记人员不得核对银行对账单。

    （6）归属期目标。会计手册是否规定采购、应付账款入账日期填列应采用收到货物日期，现金支出日记账登记日与支票签发日应相一致。

    （二）初步评价内部控制的健全性，确认内部控制风险，确定内部控制是否可依赖。

    在对控制环境和具体业务进行调查，对被审计单位内部控制有了一个初步的认识的基础上，应对内部控制的可依赖程度做出初步评价。

    1.对内部控制健全性的评价。健全性评价不取决于被审计单位所建立的相关内部控制制度的数量多少，而是要分析内部控制中是否建立了与上述调查内容相同或功能相同的关键控制点。

    2.确认内部控制风险，确定内部控制是否可依赖。内部控制风险确定可采用每点得分制，每建立一个控制点得10分，没有建立控制点或控制点不适用的不得分。用控制点总得分与设计控制点总分相比：

   （1）得分比例在75%以上的，可确认为控制风险估计水平“低”，内部控制可依赖程度“高”；

   （2）得分比例在50%-75%之间的，可确认为控制风险估计水平“中”，内部控制可依赖程度“中”；

   （3）得分比例在25%-50%之间的，可确认为控制风险估计水平“高”，内部控制可依赖程度“低”；

   （4）得分比例在25%以下的，可确认为控制风险估计水平“最高”，内部控制不能依赖。

    （三）内部控制符合性测试。

    通过对内部控制进行初步评价，可基本掌握被审计单位内部控制的强弱环节，为进行符合性测试确定了一个前提。内部控制的符合性测试是针对被审计单位内部控制强度令人满意的部分才须进行符合测试。它的主要目的是，确定被审计单位的各项措施是否真实地存在于经营业务和财务活动之中，所有工作人员在实际执行内部控制过程中是否确实遵守了内部控制的规定，内部控制本身是否有效。

    内部控制符合性测试主要以“证据检查法”为主，“询问”、“现场观察”相结合的方法。测试范围和符合性测试规模的大小，取决于内部控制初步评价中的风险估计水平。风险估计水平低的测试范围就大，风险估计水平高的测试范围就小或直接列入实质性审计的范围。以物资采购与付款内部控制为例，符合性测试程序应包括下列内容：

    1.抽取购货合同（或其他凭证），对购货合同及请购单的下列内容进行核对：

    （1）货物名称、规格、型号、请购量；

    （2）授权批准、批准采购量、采购报价；

    （3）单价、合计金额等。

    2.审核与所抽取购货合同有关的供应发票、验收报告、入库单、付款结算凭证、记账凭证，并追查至相关的明细与总账。

    3.付款业务内部控制的符合性测试。抽取付款凭证作如下检查：

   （1）检查是否实行费用预算控制，是否明确款项支付权限；

   （2）编制付款凭证时是否与定货合同、验收单和发票相核对；

   （3）检查支付货款的付款凭证和银行存款日记账及有关明细账、总账的记录是否正确；

   （4）核对检查计入有关明细账户的原始凭证，如订货单、验收单、购买发票的正确性、合法性及其金额是否与相关明细账一致，有关凭证是否经过批准；

   （5）款项支付凭证是否及时入账，货款支出与记账的职责是否分离。

    （四）内部控制的最终评价。

    在符合性测试中，审计人员会发现被审计单位虽然建立了内部控制但没有完全遵守，有些内部控制没有得到执行，形成部分内部控制本身无效。这就要对被审计单位的内部控制风险估计水平进行调整并做出综合评价，然后利用评价结果制定出实质性审计方案。综合评价的主要内容有：

    1.重新调整内部控制的可依赖程度，制定出实质性审计方案。

    审计人员在经过内部控制测试后，若发现部分内部控制没有得到切实执行，就应根据内部控制测试结果对内部控制的风险估计水平和可靠性重新进行调整。调整方式是适当扩大实质性审计的范围，即对符合性测试中执行无效的内部控制内容扩大为实质性审计的范围。

    2.针对内部控制的缺陷，制定出实质性审计方案。

    内部控制测试后，审计人员对内部控制存在的具体缺陷有了初步的了解，但这些缺陷对账户余额产生的影响只有对会计账户余额进行实质性审计才能发现。因此，应制定出下一步实质性审计方案，其方案的审计范围应为在初步评价中不得分的内部控制内容和符合性测试中存在缺陷的内部控制内容。

    3.针对内部控制的缺陷，向被审计单位管理部门提出改进建议。

    完成内部控制测试后，审计人员要将被审计单位的内部控制中存在的问题进行汇总，具体分析这些问题产生的原因和可能带来的后果，并进一步提出可采取的改进措施，然后反映给被审计单位管理部门。