制度基础审计包括内部控制审计和真实性审计两个部分，而内部控制审计仅仅是对内部控制制度恰当性与有效性的审计。这种审计到底在真实性审计之前进行还是在真实性审计中间进行，应视具体情况而定。如果与审计项目有关的内部控制制度，过去未作过评价或已作过评价而又发生了重大变化时，这种检查工作应当在制定审计项目计划时进行，这样有利于确定审计的要点及其检查范围和方法；如果与审计项目有关的控制制度，过去已作过系统检查而现在又未发生变化或变动不大时，这种检查应在制定审计项目方案时进行；如果要对整个内部控制制度进行系统检查，一般均在实施审计开始时进行。制度基础审计的步骤一般包括以下四个方面。

（一）适当性测试

适当性测试主要是对内部控制制度的调查与描述，评价其应有控制环节是否业已规定齐全，有无欠妥之处。其主要步骤如下。

1.确定理想的控制模式

审计人员应通过收集资料与查阅文件等手段，充分了解单位经营管理情况，通过调查了解明确管理风险与控制要点，明确各项控制措施的目标与功能，明确为特定控制目标而需要设计的控制措施与方法，明确如何将内部控制与主要经营环节及业务相互衔接配套，构成有机的系统。总之，根据调查了解的情况，应清楚控制什么？怎样控制？达到设定目标的理想控制模式应该是什么？从而确定对现行制度进行评估的标准。

2.描述现行内部控制制度

当理想的控制模式确定以后，审计人员就应该审查正在行使的内部控制制度。首先，应充分收集各种成文的制度资料；其次，了解主要业务处理的受控过程、受控成效与存在的薄弱环节；最后，审查鉴别控制方法实施与控制职责实现是否有效地防止或降低了错误与舞弊的风险。上述审查可通过文字说明、调查表及流程图等形式来描述。

3.将现行制度描述情况与理想模式进行比较并对现行制度的有效性及其控制进行评估

比较时，应注意现行控制程序与理想控制目标是否相联系；现行控制方法是否适合于既定的控制目标，能否满足控制标准的需要；现行制度与理想模式的差距等。进行分析初评时，主要识别出关键的控制以及控制的强点和弱点。所谓关键性控制，是指假如执行这些控制，就会避免错误或弊端的滋生，就会使人们深信这个制度能产生正确的结果。对内部控制的弱点，应寻找解救性的控制措施。

对内部控制制度进行初评，可通过下列调查表和评价表进行反映，见表9-1和表9-2。

表9-1　内部控制制度问题调查表

表9-2　内部控制评价表

（二）符合性测试

对内部控制制度的系统、功能及优缺点有了初步了解之后，便可据此确定对内部控制大概可依赖利用的程度。但是，可予依赖利用的确切程度还取决于内部控制制度的执行情况与结果，即各项活动及项目的执行是否遵循了合适的法律和规定以及是否处于经济性、效率性和效果性的方式之中。因此，审计人员还有必要对单位现行内部控制进行认真的审查或符合性测试，以确定其是否实际存在、其执行情况符合制度规定的程度以及是否发挥作用。根据规定的控制制度对实际生产、技术、经营或是会计、财务活动进行检查，以确定这些控制环节是否确实存在、是否始终相符、有无失控之处等。把这种符合性测试同这些控制的辨认结合起来，就可以确定该制度产生正确结果的可依赖程度。

符合性测试旨在检查现行制度是否充分有效或能否取得预定结果。由于单位业务繁杂，不可能进行全面检查，只能根据生产经营活动的特点以及不同业务环节进行抽样检查。抽样检查的重点要根据业务性质与控制目的的重要性而定。一般测试步骤如下：

1.业务测试(www.daowen.com)

业务测试是指审计人员按照业务每个类型编号对单位重要经济业务所作的检查，借以判明内部控制系统中不应缺少的几个控制在业务处理过程中是否确实存在。在进行业务测试时，一般要根据单位的经营环节或重要业务划分成若干类型或子系统。每个类型中的有关业务应具有内在联系，否则没有必要归属为一个子系统；对每一种类型或子系统的业务进行抽样检查，检查其业务有没有按既定的方式处理，如果没有，则说明该控制系统出了故障，凡经该系统处理过的业务都存在误差的可能。

2.功能测试

功能测试是指对内部控制功能进行抽样检查，也即是对关键控制点作用发挥的情况进行检查。测试的目的是为了查明关键控制是否切实存在，是否有效地发挥了作用而有利于预期目的实现，其有效程度是否令人满意，该控制点有无漏过不正确的业务。功能测试根据各种控制功能及其作用可划分为合法性、有效性、完整性、估算或计价、分类、截止期、过账与汇总七个方面的测试，但主要是合法性、有效性及完整性测试。功能测试方法主要有检查文件资料记录、重复必要的手续进行重新处理、实地观察手续履行情况等。值得提出的是，功能性测试不同于实质性测试（真实性或正确性审计）。前者是为评价内部控制系统是否健全有效，作为确定审计范围、重点和方法的依据；后者则是实施审计的范围中，进行实质性检查，用以获取审计证据，作出审计结论。

（三）制度总评

审计人员进行内部控制制度评价的最终目的，在于确定被审计单位内部控制制度的可靠性，从而决定对它的依赖程度，确定实质性测试的性质、范围、重点及时间安排。内部控制制度评价一般分为初评和总评两个阶段。

初评在内部控制制度健全性测试以后进行，主要目的是为了决定是否需要进行符合性测试。如有些控制制度可依赖，应进行符合性测试；有些控制制度根本不存在或极不健全，则无需进行符合性测试；有些控制制度虽然存在，也很健全，但进行符合性测试很不经济。初评主要考虑的问题是：根据一般规律和被审计单位的具体情况，分析被审计单位可能会发生哪些方面的差错、舞弊、浪费、低效、失职等不良行为；按照内部控制的管理要求，被审计单位应该建立哪些方面的控制制度，才能有效地防止和纠正各种失控现象；被审计单位是否具有应有的控制制度，如果没有，是否存在相应的补救措施，这些补救措施是否可以依赖；如果依赖这些控制制度或补救措施，对它们进行符合性测试是否合算，也即是依赖某一控制制度（措施）而减少的实质性测试工作量是否大于符合性测试的工作量，否则就不合算。

总评或称进一步评价、再评价、综合评价，是指对内部控制制度可信赖程度的评价，当然也可以进一步开展薄弱环节（易损部门）的分析。可信赖程度的评价结果可分为以下三种情况：

（1）可信赖程度高。指的是内部控制制度恰当，并且都能有效地发挥作用；经济业务或会计记录发生差错和舞弊的可能性很小。在这种情况下，审计人员可以较多地信赖与利用内部控制制度，减少对业务和会计资料的实质性测试。

（2）可信赖程度一般。指的是内部控制制度较为恰当，大多数制度均能发挥作用，但有差错和舞弊行为的发生，可能会影响到财产的安全与记录的正确性。在这种情况下，审计人员必须扩大实质性测试的范围。

（3）可信赖程度低。指的是内部控制制度明显地不恰当和无效，大部分经济业务及资产记录处于失控状态，差错发生频繁。在这种情况下，审计人员应进行详细的检查，收集足够的审计证据。

薄弱环节评价主要是指对控制不足或存在有缺陷的部门进行分析和研究。分析时，应将不足或缺陷与标准结构进行比较，借以发现差距，评价人员还应根据自己的经验，提出自己的见解，进行有价值的判断。对薄弱环节的研究，主要是对存在缺陷所导致的后果影响进行研究：一是要查明造成薄弱环节的原因，二是要寻求克服缺陷的措施。薄弱环节评价不仅对实质性测试的重点确定有其重要意义，关键是要根据其评价结果来改善控制制度。

总评工作完成后，应编制如下内部控制制度总评表，见表9-3。

表9-3　内部控制制度总评表

（四）实质性测试

对内部控制制度进行总评后，便可按照原定的审计方案执行实质性测试，或者对原定审计方案修改以重新安排实质性测试的性质、范围、内容、重点、顺序和时间。实质性测试也叫正确性测试，其总目标是检查财务会计信息是否真实、正确和完整，当然也可以按照会计要素的内容确定具体的测试目标。

实质性测试的重点，一是财务报表所列的资产、负债、所有者权益、费用（成本）和利润的金额是否真实，有无虚列？是否完整，有无遗漏？所列各项资产是否确属被审计单位所有？报表所列全部项目的分类是否恰当，是否完整地反映了每个会计账户的内容？财务报表及其附注说明是否充分地反映了应予揭示的全部项目，是否符合企业会计准则和制度的要求？二是会计资料中对各项资产、负债、所有者权益、收入、费用（成本）和利润的计算和记录是否正确、合理、合法？各项收入、费用（成本）和利润的计算是否按照权责发生制和配比原则？是否划清资本性支出与经营性支出的界限、划清各期收支和盈亏的界限？有无人为地调节盈亏水平、掩饰财务状况和经营成果的现象？纯属机械性计算和处理是否准确无误，例如，账、证、表相关记录是否相符？会计记录中小计、合计、乘积、除商、总计等数字计算是否准确？

究竟采用什么样的方法进行实质性测试，一是取决于审计具体项目的不同要求，二是取决于审计人员从事审计工作的实践经验。总之，以前有关章节中所述的审计方法均适用于实质性测试。