内部控制的研究与评价

　　由于现代审计是建立在对内部控制的研究和评价基础上的抽样审计，所以注册会计师每次审计都必须对被审计单位的内部控制进行研究和评价，以确定实质性测试的时间、性质和范围，从而将检查风险以至审计风险降低至可接受的水平。

　　1、对内部控制的研究包括了解和测试内部控制两个程序，前者是必须进行的程序，而后者在每次审计当中并不是必须进行的程序。

　　2、对内部控制的评价一般包括三个程序：初步控制风险、再次评价控制风险和最终评价控制风险。

　　一、初步了解内部控制

　　（一）了解内部控制的程序（即实施什么样的了解程序？）

　　对内部控制的初步了解，主要是集中了解内部控制的设计和执行，是对内部控制的粗略的、不系统的了解，也就是说了解阶段并不把主要精力放在内部控制的有效性上，但也并不排除了解阶段不可获得关于控制程序有效性的证据，比如执行同步符合性测试获得的证据就在一定程度上反映内控的有效性。

　　注册会计师执行了解程序通常所采用的方法有：

　　1、询问有关人员，并查阅相关的内控文件；

　　2、检查内控生成的文件和记录；

　　3、观察有关业务活动和内部控制的运行情况；

　　4、执行穿行测试程序。

　　在上述四个程序中，需要说明的是：询问、查阅、检查、观察和执行穿行测试都是针对不同对象进行的，比如观察程序就是针对相关控制程序的运行情况，而不是对控制程序本身进行观察，控制程序本身的了解应当通过查阅和检查的方式进行。

　　（二）了解控制环境

　　（三）了解会计系统

　　（四）了解控制程序（即各项控制政策和程序）

　　需要注意的是，控制程序比控制环境和会计系统更强调特定单项控制程序与特定认定直接的直接关系。也正是由于这一特点，注册会计师在了解阶段更应当把主要精力放在了解控制程序上，以获得更具有说服力的证据。

　　控制程序包括五项内容：

　　1、交易授权对于交易授权而言，一般授权通常影响的是存在性认定；而对于特殊授权，通常还与估价或分摊认定相关，特殊授权通常是指对企业产出重大影响的交易授权，比如特别重大的销售项目，管理当局不仅应当授权销售部门批准销售的权利，还应当要求销售部门按照特定的价格批准销售。

　　2、职责划分

　　3、凭证与记录控制
　　
　　4、资产接触与记录使用

　　5、独立稽核

　　（五）初步评价控制风险

　　评价控制风险实际上就是评价企业会计与内控在防止、发现和纠正重大错报、漏报中的有效性的过程。

　　初步评价控制风险是对内部控制研究（了解）结果的初步评价过程。

　　在初步评价控制风险的时候，控制风险不应当评价为最低，原因在于：

　　1、由于了解程序所关注的主要是内部控制如何设计以及如何执行，并不有意收集关于内控有效性的证据，所以注册会计师不应当将控制风险评价为最低。

　　2、由于了解内控并不是对所有内部控制进行了解，而是只针对注册会计师认为重要的内控进行的了解，了解程序就有不全面和不彻底性，因此通过了解程序，注册会计师难以收集充分适当的证据证明全部内部控制设计合理、一贯执行且有效。

　　3、由于了解程序是在计划阶段执行的，所以注册会计师无法确定在之后的时间里，内部控制能够得到一贯且有效的执行，基于此，注册会计师不应当将控制风险初步评价为最低。

　　以上说明是从另一个角度解释教材252页中，要么将控制风险评价为高水平，要么是不应将控制风险评价为最高水平的原因。

　　此外，很多学员对“这时的控制风险初步评价是针对每个重要的账户余额或交易种类，是在认定层上进行的”这句话不理解。解释如下：

　　由于了解内部控制的核心内容是了解控制程序，而控制程序是指具体单项控制程序，它直接影响管理当局对会计报表所作的各项认定，比如，给仓库加锁这一特定单项的控制程序就是针对管理当局对存货存在性所作的认定。因此对控制风险的初步评价在管理当局对存货存在性认定这一层次上进行的，即评价这一控制程序对及时防止、发现和纠正相关存货不存在的重要错报的有效性。

　　二、对内部控制进行符合性测试

　　符合性测试是注册会计师对内部控制研究和评价的进一步的深化。由于符合性测试是注册会计师专门进行的控制测试，其主要关注点就是内部控制的有效性。基于这一目的，注册会计师应当在对内部控制特定信赖程度的基础上，收集充分适当的证据，以证实相应的内部控制达到特定的可信赖程度（即有效性），从而帮助注册会计师确定实质性测试程序的性质、时间和范围。

　　由于符合性测试是专门针对内部控制有效性而实施的程序，因此符合性测试具有系统性和彻底性（但并不意味着对所有内部控制进行测试），因此通过符合性测试，注册会计师应当收集关于内部控制有效性的充分适当的证据，从而可以对控制风险进行较为系统和客观评价，也就是说在符合性测试之后，注册会计师可以将控制风险评价高、中或低水平。来自：会计人