《控制测试审计抽样工作指南》由会员分享,可在线阅读,更多相关《控制测试审计抽样工作指南(12页珍藏版)》请在金锄头文库上搜索。
1、 1信永中和会计师事务所 控制测试审计抽样工作指南 一、 前言 一、 前言 1 为了规范控制运行有效性测试工作,根据中国注册会计师审计准则第 1101 号 财务报表审计的目标和一般原则 、 中国注册会计师审计准则第 1211 号 了解被审计单位及其环境并评估重大错报风险 、 中国注册会计师审计准则第 1231 号 针对评估的重大错报风险实施的程序以及中国注册会计师审计准则第 1314 号 审计抽样和其他选取测试项目的方法制定本指南。 2 本指南主要目标在于指导审计人员在执行控制测试过程中如何确定测试范围、编制测试程序;进行审计抽样时,如何进行样本设计、选取样本并实施审计程序、评价样本结果等工作
2、,以实现控制测试的工作目标。 二、 适用范围 二、 适用范围 1 本指南所指控制测试是测试内部控制在防止、发现并纠正认定层次重大错报方面的运行有效性,从而支持或修正重大错报风险的评估结果,据以确定实质性程序的性质、时间、范围。 2 在了解评价内控设计有效性基础上,预期控制的运行是有效的,即对控制运行有效性的定性评价分为高、中和低三个层次,只有在初步评估控制运行有效性在中等或以上水平,或仅实施实质性程序不足以提供认定层次充分、适当的审计证据时,实施控制测试。 3 被审计单位在所审计期间内可能由于技术更新或组织管理变更而更换了信息系统,从而导致在不同时期使用了不同的控制。审计时应当考虑不同时期控制
3、运行的有效性。 4 控制测试可用于被审计单位每个层次的内部控制。整体层次控制测试通常更加主观。对整体层次控制进行测试,通常比业务流程层次控制更难以记录。因此,整体层次控制和信息技术一般控制的测试的评价通常记录的是文件备忘录和支持性证据。 应在审计的早期测试整体层次控制,其结果会影响其它计划审计程序的性质和范围。 5 本指南中的控制测试主要针对财务报表审计所需控制测试工作,对于专项的内部控制鉴证项目可参照执行。 2三、 控制测试范围选择 三、 控制测试范围选择 1 识别与财务报告可靠性相联系的内部控制。在进行控制测试前,首先需识别与财务报告相关的内控,从财务报表审计的角度进行控制测试,原因为控制
4、有效是保障财务报告可靠的基础。识别与财务报告有关的内部控制流程一般需经过如下步骤: 首先,项目组需分析并确定被审计单位重要财务报表项目、披露事项; 其次,项目组需分析判断影响重要财务报表项目的业务流程循环,同时确定重要财务报表项目与业务循环之间的对应关系; 第三,分析确定各个重要财务报表项目和披露事项影响的相关认定,根据内部控制了解到的对各个重要财务报表项目和披露事项涉及的关键控制点及相关控制措施确定需进行控制测试的范围。 2 确定进行控制测试的经营场所。被审计单位的组织结构往往比较复杂,会涉及到公司总部、分公司、子公司等,以下统称为经营场所。项目组在执行控制测试前,应根据被审计单位的组织结构
5、特点分析确定对哪些经营场所进行控制测试,主要考虑下列要素: 经营场所相关财务状况和经营状况在合并财务报表中的重要程度; 通过内控了解及评价经营场所出现重大错报风险的可能性; 选定的经营场所在拟测试的业务循环和内控程序的位置,如属集中处理或共享服务中心。 通常情况下,应选择如下公司执行控制测试: 被审计单位母公司(或总公司)进行控制测试,因其属于管理的中心; 资产及收入占报表比重较大的子、 分公司, 因其内控是否有效对报表影响重大; 业务特殊且重要的分、子公司,因其业务区别于集团内其他公司,可能存在特定风险。 四、 本审计期间测试某项控制的决策 四、 本审计期间测试某项控制的决策 1 内部控制中
6、的诸多要素对于被审计单位往往是相对稳定的(相对于具体的交易、账户余额和列报) ,因此在本期审计时还是可以适当考虑利用以前审计获取的有关控制运行有效性的审计证据。但是内部控制在不同期间可能发生重大变化,在利用以前审计获取的有关控制运行有效性的审计证据时需要充分考虑各种因素, 通过实施询问并结合观察或检查程序,获取这些控制是否已经发生变化的审计证据。 2 如果控制在本期发生变化,应当考虑以前审计获取的有关控制运行有效性的审计证据是否与本期审计相关。例如,如果系统的变化仅仅使被审计单位从中获取新的报告,这种变化通常不影响以前审计所获取证据的相关性; 如果系统的变化引起数据累积或计算发生改变,这种变化
7、可能影响以前审计所获取证据的相关性。如果拟信赖的控制自上3次测试后已发生变化,应当在本期审计中测试这些控制的运行有效性。 3 如果拟信赖的控制自上次测试后没有发生变化,且不属于旨在减轻特别风险的控制,应当运用职业判断确定是否在本期审计中测试其运行有效性,以及本次测试与上次测试的时间间隔,但两次测试的时间间隔不得超过两年。 4 在确定利用以前审计获取的有关控制运行有效性的审计证据是否适当以及再次测试控制的时间间隔时,需要考虑的因素或情况包括: 内部控制其他要素的有效性,包括控制环境、对控制的监督以及被审计单位的风险评估过程。例如,当被审计单位控制环境薄弱或对控制的监督薄弱时,应当缩短再次测试控制
8、的时间间隔或完全不信赖以前审计获取的审计证据。 控制特征(人工控制还是自动化控制)产生的风险。当相关控制中人工控制的成分较大时,考虑到人工控制一般稳定性较差,可能决定在本期审计中继续测试该控制的运行有效性。 信息技术一般控制的有效性。当信息技术一般控制薄弱时,可能更少地依赖以前审计获取的审计证据。 控制设计及其运行的有效性,包括在以前审计中测试控制运行有效性时发现的控制运行偏差的性质和程度。例如,当所审计期间发生了对控制运行产生重大影响的人事变动时,可能决定在本期审计中不依赖以前审计获取的审计证据。 由于环境发生变化而特定控制缺乏相应变化导致的风险。当环境的变化表明需要对控制作出相应的变动,但
9、控制却没有作出相应变动时,应当充分意识到控制不再有效、从而导致本期财务报表发生重大错报的可能性,此时不应再依赖以前审计获取的有关控制运行有效性的审计证据。 重大错报的风险和对控制的拟信赖程度。如果重大错报风险较大或对控制的拟信赖程度较高,应当缩短再次测试控制的时间间隔或完全不信赖以前审计获取的审计证据。 5 如果拟信赖以前审计获取的某些控制运行有效性的审计证据,应当在每次审计时从中选取足够数量的控制,测试其运行有效性;不应将所有拟信赖控制的测试集中于某一次审计,而在之后的两次审计中不进行任何测试。 6 如果确定评估的认定层次重大错报风险是特别风险,并拟信赖旨在减轻特别风险的控制,不应依赖以前审
10、计获取的审计证据,而应在本期审计中测试这些控制的运行有效性。 7 信息技术处理具有内在一贯性,除非系统发生变动,一项自动化应用控制应当一贯运行。对于一项自动化应用控制,一旦确定被审计单位正在执行该控制,通常无需扩大4控制测试的范围,但需要考虑执行下列测试以确定该控制持续有效运行: 测试与该应用控制有关的一般控制的运行有效性; 确定系统是否发生变动,如果发生变动,是否存在适当的系统变动控制; 确定对交易的处理是否使用授权批准的软件版本。 例如,可以检查信息系统安全控制记录,以确定是否存在未经授权的接触系统硬件和软件,以及系统是否发生变动。 8本审计期间测试某项控制的决策图五、 编制控制测试程序
11、五、 编制控制测试程序 1 控制测试方法。在控制测试中,通常采用的测试方法为询问、观察、检查、重新执行。各种测试方法定义及主要作用如下: 询问。是指审计人员在测试时,为了解被测试单位各项业务操作是否按控制措施执行,而向有关人员询问该项业务在该控制点如何执行的方法。询问对于评估控制执行人是否熟悉内部控制设置及控制点控制措施情况非常有用,但仅仅通过询问不能为控制运行有效性提供充分的证据,通常需要印证被询问者的答复,如向其他人员询问或检查执行控制时所使用的报告、手册或其他文件等。在询问的过程中,还应当保持职业怀疑态度。 开 始 该控制是否针对特别风险该控制在最近两年是否被测试过 在本年度测试该控制
12、考虑是否在本年度测试该控制: 控制是否有变化 显示需要测试的因素,如复杂的人工控制 为满足每年测试一部分控制的要求而测试 否 是否 是 5 观察。是指审计人员亲临被测试单位的工作现场,实地观察有关人员控制措施实际执行情况,以确定其是否按规定的控制措施严格执行的方法。观察主要适用于测试那些未留下运行轨迹或不形成控制文档的控制点,对于评估系统自动化控制关键点的测试是比较有效的方法。通常情况下,通过观察直接获取的证据比间接获取的证据更可靠,但要考虑所观察到的控制在审计人员不在现场时可能未被执行的情况。 检查。是指审计人员抽取一定数量的控制措施形成的书面控制文档,检查其是否按控制措施规定严格执行的方法
13、。对运行情况留有书面证据的控制,检查非常适用,此时可以使用审计抽样来选取测试项目。在人工内控关键点测试时检查是适用范围非常广泛的测试方法,除极特殊情况外每个关键控制点测试均要执行检查,以判断控制措施是否有效执行。 重新执行。是指审计人员按照控制措施中规定的程序或内容重新独立执行,以验证其是否按控制措施规定严格执行的方法。重新执行是测试控制措施是否有效执行的最有力的方法,对内部控制执行有效性判断保证程度最高。 2 在实际测试时,报表项目、披露事项和业务流程越重要,包含的风险也就越大,而采用多种技术方法进行测试并获取充分的证据就显得更加重要。 故一般对某个关键控制点的测试需有效的综合运用四种技术方
14、法方能取得良好的测试效果, 对内控执行是否有效得出正确的结论。 各种测试方法对内控执行有效性测试的保证程度如下: 方法 保证程度 询问 弱 观察 较弱 检查 较强 重新执行 强 3 控制测试的目的是评价控制是否有效运行;细节测试的目的是发现认定层次的重大错报。尽管两者目的不同,但可以考虑针对同一交易同时实施控制测试和细节测试,以实现双重目的。例如,通过检查某笔交易的发票可以确定其是否经过适当的授权,也可以获取关于该交易的金额、发生时间等细节证据。当然,如果拟实施双重目的测试,应当仔细设计和评价测试程序。 4 内控测试程序的编制。在对关键控制点进行测试前,首先要根据关键点控制措施设定测试程序;在
15、编制各关键控制点测试程序时,应按如下步骤操作: 首先,认真阅读内控循环描述底稿及控制测试底稿中控制目标、控制措施,理6解控制实质内容; 其次,在控制措施中查找如下要点: (1)实施控制的主体,即各岗位人员; (2)如何实施控制; (3)形成何控制文档; 第三,根据要点编写程序,控制测试程序一般包括询问、观察、检查、重新执行四种方法: 询问:询问实施控制的主体如何实施控制行为; 观察:观察相关岗位人员是否按控制措施实施控制行为; 检查:根据样本量,抽取控制文档检查是否执行了控制措施; 重新执行:重新执行控制文档相关内容,判断执行是否有效。 5 如上述控制测试方法所述,询问、检查是在控制测试中最常
16、用的方法,每个关键控制点测试均需采用;观察提供的证据仅限于观察发生的时点,本身也不足以测试控制运行的有效性。重新执行是保证程度最高的测试程序,考虑成本效率情况,实务中涉及重要交易事项或账户余额认定时会有针对性地选择使用。 例如: 控制措施 控制要素 测试程序 销售公司销售部部长将审核签字的销售部价格通知交价格维护员,价格维护员在系统中维护价格清单,维护完成后,维护人在销售部价格通知上签字,注明维护日期。销售公司销售部价格维护员对已维护入系统的价格清单进行交叉复核,复核已维护入系统的信息是否与销售部价格通知上信息一致,若审核通过,在销售部价格通知上签字,注明复核日期。 销售公司销售部价格维护员信息维护复核通过后,应及时从系统中打印更新后的价格清单界面,并在打印件上签字,注明日期,此日期应与相对应的价格通知上的复核日期一致。 控制主体: 销售公司销售部价格维护员 控制行为: 对价格清单进行复
