第七章　内部控制及其测评

　　第一节　内部控制概述

　　一、内部控制的含义

　　所谓内部控制，是指被审计单位为了维护资产的安全、完整，保证会计信息的真实、可靠，保证其管理或者经营活动的经济性、效率性和效果性并遵守有关法规，而制定和实施相关政策、程序和措施的过程。

　　二、内部控制的作用(与定义相似)

　　三、内部控制的分类

　　内部控制可以根据不同的标准进行分类：

　　1.按控制的目的，可以分为财产物资控制(材料领用制度)、会计信息控制(会计凭证的复核制度)和经营决策控制(质量控制、计划控制)。

　　2.按控制的功能，可以分为预防式控制(未发生，例如授权审批)和察觉式控制(已发生，如期末盘点)。

　　3.按控制的时间，可以分为事前控制、事中控制和事后控制。

　　四、信息技术对内部控制的影响(2016年新增)

　　信息系统对内部控制的影响，取决于被审计单位对信息系统的依赖程度，自动控制还不能完全取代人工控制。

　　信息技术在改进被审计单位内部控制的同时，也会带来一些特定的风险。这些风险包括：(1)信息系统或相关系统程序可能会对数据进行错误处理，也可能会去处理那些本身就错误的数据;(2)自动信息系统、数据库及操作系统的相关安全控制如果无效，会增加对数据信息非授权访问的风险，这种风险可能导致系统对非授权交易及虚假交易进行处理，系统程序、系统内的数据遭到不适当改变，系统对交易或事项进行不适当的记录，以及信息技术人员获得超过其职责范围的大系统权限等;(3)数据丢失风险或数据无法访问风险，如系统瘫痪、灾难等;(4)不恰当的人工干预，或人为绕过自动控制等。

　　五、内部控制的局限性

　　1.内部控制的设置和运行受制于成本效益原则;

　　2.内部控制一般仅针对常规业务活动而设置;

　　3.即使是设置完善的内部控制，也可能因有关人员的疏忽、误解和判断错误而失效;

　　4.内部控制可能因有关人员相互勾结、内外串通而失效;

　　5.内部控制可能因执行人员滥用职权或屈从于外部压力而失效;

　　6.内部控制可能因经营环境、业务性质的改变而削弱或失效。

　　审计中总是存在一定的控制风险，即在审计风险模型中，控制风险始终大于零。内部控制测评不能代替实质性(必须做)审查。