(二)测试相关内部控制的合理性和运行的有效性;
(三)确定控制风险水平。
第十五条 审计人员对内部控制进行符合性测试,可以通过检查文件资料、询问、现场观察、重做某项业务等方法来测试内部控制制度是否得到有效执行。测试的方式主要有以下两种:
(一)按照业务处理过程检查业务处理程序中的各项内部控制规定是否得到执行;
(二)选择有关经济业务,对业务处理程序中的关键控制点进行测试,检查其是否真正发挥作用。
第十六条 审计人员在对内部控制执行情况测评后,应当综合分析被审计单位内部控制的健全性和有效性,提出内部控制测评结果,并据此确定实质性测试的范围、重点和方法。
第十七条 审计人员在评价被审计单位内部控制时,应当保持应有的职业谨慎,充分考虑到内部控制的下列固有限制:
(一)内部控制的设置和运行受制于成本效益原则;
(二)内部控制一般仅针对常规业务活动而设置;
(三)即使是设置完善的内部控制,也可能因有关人员的疏忽、误解和判断错误而失效;
(四)内部控制可能因有关人员相互勾结、内外串通而失效;
(五)内部控制可能因执行人员滥用职权或屈从于外部压力而失效;
(六)内部控制可能因经营环境、业务性质的改变而削弱或失效。
第十八条 确定实质性测试重点领域时应当考虑以下三个方面:
(一)缺少内部控制的重要业务领域;
(二)内部控制设置不合理,控制目标不能实现的领域;
(三)内部控制没有发挥作用的领域。
确定实质性测试的具体方法时,应当针对内部控制缺陷和可能产生的后果提出对应的检查措施,以核实相关的财政收支、财务收支和会计处理是否真实、合法。
第十九条 审计人员对被审计单位内部控制的测评不能代替实质性测试,无论被审计单位的内部控制如何健全和有效,审计人员都应当选择适当方法对被审计单位重要的财政收支、财务收支活动进行实质性测试。
第二十条 在应用计算机进行信息处理的条件下,审计人员应当对被审计单位计算机信息系统的控制环境和应用控制进行测评,以确定其可靠程度和下一步的审计方法。
