审计机关内部控制测评准则
中华人民共和国审计署令
第5号
《审计机关审计重要性与审计风险评价准则》、《审计机关分析性复核准则》、《审计机关内部控制测评准则》、《审计机关审计抽样准则》和《审计机关审计事项评价准则》已经2003年11月25日审计署审计长会议通过,现予发布,自2004年2月1日起施行。
审计长 李金华
二○○三年十二月十五日
审计机关内部控制测评准则
第一条 为了规范审计人员在审计过程中对被审计单位内部控制的测评行为,保证审计工作质量,根据《中华人民共和国国家审计基本准则》,制定本准则。
第二条 本准则所称内部控制,是指被审计单位为了维护资产的安全、完整,确保会计信息的真实、可靠,保证其管理或者经营活动的经济性、效率性和效果性并遵守有关法规,而制定和实施相关政策、程序和措施的过程。
内部控制由控制环境、风险评估、控制活动、信息与沟通和监督五个要素组成。
第三条 本准则所称的内部控制测评,是指审计人员通过调查了解被审计单位内部控制的设置和运行情况,并进行相关测试,对内部控制的健全性、合理性和有效性作出评价,以确定是否依赖内部控制和实质性测试的性质、范围、时间和重点的活动。
第四条 建立健全内部控制并保证其有效实施是被审计单位的责任,审计人员的责任是对内部控制的健全性和有效性进行评价。
第五条 审计人员进行内部控制测评分为下列四个步骤:
(一)对内部控制进行调查了解;
(二)对内部控制进行初步评价,评估控制风险;
(三)对内部控制的执行情况进行符合性测试;
(四)提出内部控制测评结果,并利用测评结果确定实质性测试的范围、重点和方法。
第六条 审计人员对内部控制的调查了解和初步评价可以通过下列方法进行:
(一)查阅被审计单位的各项管理制度和相关文件;
(二)询问被审计单位管理人员和其他有关人员;
(三)检查内部控制过程中形成的文件和记录;
(四)观察被审计单位的业务活动和内部控制的实际运行情况。
第七条 审计人员对被审计单位控制环境进行了解的内容主要有:被审计单位的高层管理人员和其他管理人员的控制意识和诚信程度,经营规模及业务复杂程度,组织机构和相关制度,各部门的分工和职责,主要财政预算和财务计划,人力资源政策等。
第八条 审计人员对被审计单位的风险评估进行了解的内容主要有:被审计单位如何确定风险、评估风险的重要性,如何将风险发生的可能性与管理目标、经营计划和财务报告的相关内容联系起来并采取相应的措施。
第九条 审计人员对被审计单位的控制活动进行了解的内容主要有:被审计单位各项业务处理程序的授权批准,职责分工,实物控制,凭证与记录的设置和运用,独立的检查程序等控制手段的设置与执行情况。
第十条 审计人员对被审计单位的信息与沟通情况进行了解的内容主要有:被审计单位管理和经营活动的主要业务类别,处理各类经济业务的程序,各项业务的会计处理程序和所依据信息的来源,会计系统的设计和重要的会计凭证、账簿种类以及会计报表项目,各部门间信息的传递方式等。
第十一条 审计人员对被审计单位的内部监督情况进行了解的内容主要有:被审计单位日常性的监督检查方法,即管理者为监督各项工作的运行而使用的预算、计划、责任报告等制度与方法,内部审计的设置和工作情况等。
第十二条 审计人员可以采用如下形式对被审计单位内部控制进行描述,并写入审计日记:
(一)用文字记录的形式描述被审计单位内部控制的设置情况;
(二)使用调查表的形式向被审计单位管理人员或有关当事人询问内部控制的设置情况并加以记录;
(三)以特定的语言符号,绘制经济活动的业务流程,以描述被审计单位内部控制的设置情况。
以上方法可以单独使用,也可以结合使用。
第十三条 审计人员进行初步评价后,应当评估控制风险,对是否依赖被审计单位的内部控制及依赖的程度作出决策。
第十四条 评估控制风险包括以下工作内容:
(一)分析可能发生错弊的业务环节和活动领域,并考察被审计单位已采取的控制措施;
(二)测试相关内部控制的合理性和运行的有效性;
(三)确定控制风险水平。
第十五条 审计人员对内部控制进行符合性测试,可以通过检查文件资料、询问、现场观察、重做某项业务等方法来测试内部控制制度是否得到有效执行。测试的方式主要有以下两种:
(一)按照业务处理过程检查业务处理程序中的各项内部控制规定是否得到执行;
(二)选择有关经济业务,对业务处理程序中的关键控制点进行测试,检查其是否真正发挥作用。
第十六条 审计人员在对内部控制执行情况测评后,应当综合分析被审计单位内部控制的健全性和有效性,提出内部控制测评结果,并据此确定实质性测试的范围、重点和方法。
第十七条 审计人员在评价被审计单位内部控制时,应当保持应有的职业谨慎,充分考虑到内部控制的下列固有限制:
(一)内部控制的设置和运行受制于成本效益原则;
(二)内部控制一般仅针对常规业务活动而设置;
(三)即使是设置完善的内部控制,也可能因有关人员的疏忽、误解和判断错误而失效;
(四)内部控制可能因有关人员相互勾结、内外串通而失效;
(五)内部控制可能因执行人员滥用职权或屈从于外部压力而失效;
(六)内部控制可能因经营环境、业务性质的改变而削弱或失效。
第十八条 确定实质性测试重点领域时应当考虑以下三个方面:
(一)缺少内部控制的重要业务领域;
(二)内部控制设置不合理,控制目标不能实现的领域;
(三)内部控制没有发挥作用的领域。
确定实质性测试的具体方法时,应当针对内部控制缺陷和可能产生的后果提出对应的检查措施,以核实相关的财政收支、财务收支和会计处理是否真实、合法。
第十九条 审计人员对被审计单位内部控制的测评不能代替实质性测试,无论被审计单位的内部控制如何健全和有效,审计人员都应当选择适当方法对被审计单位重要的财政收支、财务收支活动进行实质性测试。
第二十条 在应用计算机进行信息处理的条件下,审计人员应当对被审计单位计算机信息系统的控制环境和应用控制进行测评,以确定其可靠程度和下一步的审计方法。
第二十一条 对规模较小的单位是否实施内部控制测评程序,审计人员应当按成本效益原则,并利用其职业判断作出决定。
第二十二条 审计人员应当将调查了解、测试和评价被审计单位内部控制的过程及结果记录于审计日记,并将在测评中发现的内部控制的重要缺陷与被审计单位进行沟通。
第二十三条 本准则由审计署负责解释。
第二十四条 本准则自2004年2月1日起施行。