(二)技术方法审计内控的技术方法主要有三种:一是调查测试法。在实施企业内部控制审计之前,首先,拟定一个详细的调查提纲和系统的调查表格,列出应予以调查的全部事项和有关数据,根据调查和测试结果,确定企业内部控制审计实施的范围及其重点。二是模糊综合评判法。模糊综合评判法是模糊数学在实践工作中常用的一种应用方式,尤其适用于定性指标因素较多的案例分析与评价。将它运用于企业内部控制审计,主要是鉴于COSO五大要素中的控制环境和风险识别这两方面要素,即企业管理层面存在大量的定性指标因素,需要运用理论模型(如模糊综合评判法)进行技术处理,以确保和提高评价的准确性。通过运用模糊综合评判法,对企业管理层经营理念和管理风格、员工能力要求、人事政策、企业目标制定等方面进行综合评判。三是流程图法。流程图法是指用特定的符号和图形将被审计企业内部控制系统反映出来的方式。相对于模糊综合评判法来说,流程图法运用于企业内部控制审计,主要侧重于企业业务操作层,包括对企业内部控制系统的设计、执行情况等方面的审计。通过流程图直观地反映企业各业务循环流程现实状况及其存在的问题,据以对企业业务层面内部控制进行综合评价。
(三)评价方法审计内控的技术方法主要有三种:一是局部评价法。局部评价法是就每一事项进行评价的方法,即一事一论。如对企业采购业务、生产业务、销售业务、筹资业务、投资业务等单个事项进行评价。这种评价方法涉及面不大,可以在审查过程中有效运用。二是专项评价法。专项评价法即对构成整体的部分事项进行评价的方法。由于这一方法涉及范围较大,一般在具体审计事项完成后进行。如在企业内部控制审计中,对构成企业内部控制系统的五大方面即控制环境、风险识别、控制活动、信息与沟通以及监督,在有关具体审计事项完成后,分别就上述五方面情况进行的审计评价。三是综合评价法。综合评价法即对一个企业、一个行业、一个地区等整体单位的内部控制进行全面评价的方法。对于企业内部控制审计来说,就是对企业内部控系统整体状况进行全面评价。
四、强化内部控制审计风险防范
从内部控制审计基本程序和关键环节来看,要做好企业内部控制审计,必须切实加强对以下审计风险进行重点防范。
(一)防范了解不全风险对被审计单位内部控制情况进行全面了解,是企业内部控制审计实施阶段的首要环节,也是对企业内部控制进行测试的重要前提。为了防范了解不全风险,审计人员必须重点对被审计单位的基本情况、内部控制环境以及各类业务循环的内部控制进行全面了解。对被审计单位基本情况,审计人员应重点了解:被审计单位的性质;高层管理人员;资产、负债、所有者权益;所属行业;经营业务;组织结构;各机构职能及负责人;职员人数;高层管理人员分管业务及各自职责等。对被审计单位总体控制环境,审计人员应重点了解:高层管理人员对企业内部控制的态度;高层管理人员从事相关业务年限、相关学历;被审计单位经营管理目标是否明确;是否订有职工行为守则;高层管理者是否重视制度的实际执行;被审计单位以前或目前是否有重大违反财经法规的行为,以及高层管理者对此态度如何等。对各类业务循环内部控制,审计人员重点了解被审计单位业务特点及业务流程中关键控制点。
(二)防范测试失效风险在企业内部控制测试环节.审计人员主要防范测试失效风险。导致测试失效风险,主要由以下因素引起:选定的测试范围不全、重点不准、测试方法不当、抽查的业务缺乏代表性。测试范围不全会遗漏对某些重点内部控制的审计,会使审计失之偏颇;测试重点不准直接影响内部控制测试效率和效果;测试审计方法多种多样,要因事制宜,根据不同业务而方法各异,否则会导致测试失效;抽查的业务缺乏代表性,会因评价不全面而带来测试失效风险。因此,要防范测试失效风险审计人员必须做到测试范围要全,测试重点要准,测试方法得当,抽查业务的代表性要强。
(三)防范评价不当风险在企业内部控制审计终结阶段整体评价中,审计人员要防范出现评价不当风险。究其原因,除了由企业内部控制了解、测试两个环节存在的风险引起外,还会因企业内部控制系统本身不完善和风险估计水平过高等因素造成。企业内部控制系统本身不完善,使某些业务活动被置于审计范围之外而疏忽,通常导致企业内部控制健全性评价不当风险。风险估计水平过高会导致信赖过度风险,从而造成企业内部控制有效性评价不当风险。因此,要防范评价不当风险,除了要做好企业内部控制了解、测试两个环节工作外,审计人员还应从宏观出发,统筹考虑,从各方面调查了解熟悉被审计单位业务活动及其相应的内控系统,并充分利用审计技术对风险水平作出合理估计。
