《控制测试审计抽样工作指南》由会员分享,可在线阅读,更多相关《控制测试审计抽样工作指南(12页珍藏版)》请在金锄头文库上搜索。
1、信永中和会计师事务所控制测试审计抽样工作指南一、前言I. 为了规范控制运行有效性测试工作,根据中国注册会计师审计准则第1101号- 财务报表审计的目标和一般原则中国注册会计师审计准则第1211号-了解被审计 单位及其环境并评估重大错报风险、中国注册会计师审计准则第1231号-针对评估 的重大错报风险实施的程序以及中国注册会计师审计准则第1314号-审计抽样 和其他选取测试项目的方法制定本指南。2. 本指南主要目标在于指导审计人员在执行控制测试过程中如何确定测试范围、编制 测试程序;进行审计抽样时,如何进行样本设计、选取样本并实施审计程序、评价样本 结果等工作,以实现控制测试的工作目标。二、适用
2、范围1. 本指南所指控制测试是测试内部控制在防止、发现并纠正认定层次重大错报方面的运行有效性,从而支持或修正重大错报风险的评估结果,据以确定实质性程序的性质、 时间、范围。,预期控制的运行是有效的,即对控制运行有效性的定性评价分为高、中和低三个层次,只有在初步评估控制运行有效性在中等或以上 水平,或仅实施实质性程序不足以提供认定层次充分、适当的审计证据时,实施控制测 试。3. 被审计单位在所审计期间内可能由于技术更新或组织管理变更而更换了信息系统,从而导致在不同时期使用了不同的控制。审计时应当考虑不同时期控制运行的有效性4. 控制测试可用于被审计单位每个层次的内部控制。整体层次控制测试通常更加
3、主 观。对整体层次控制进行测试,通常比业务流程层次控制更难以记录。因此,整体层次 控制和信息技术一般控制的测试的评价通常记录的是文件备忘录和支持性证据。应在审 计的早期测试整体层次控制,其结果会影响其它计划审计程序的性质和范围。5. 本指南中的控制测试主要针对财务报表审计所需控制测试工作,对于专项的内部控 制鉴证项目可参照执行。三、控制测试范围选择 1 识别与财务报告可靠性相联系的内部控制。在进行控制测试前,首先需识别与财务 报告相关的内控,从财务报表审计的角度进行控制测试,原因为控制有效是保障财务报 告可靠的基础。识别与财务报告有关的内部控制流程一般需经过如下步骤: 首先,项目组需分析并确定
4、被审计单位重要财务报表项目、披露事项; 其次,项目组需分析判断影响重要财务报表项目的业务流程循环,同时确定重 要财务报表项目与业务循环之间的对应关系; 第三,分析确定各个重要财务报表项目和披露事项影响的相关认定,根据内部 控制了解到的对各个重要财务报表项目和披露事项涉及的关键控制点及相关 控制措施确定需进行控制测试的范围。2 确定进行控制测试的经营场所。被审计单位的组织结构往往比较复杂,会涉及到公 司总部、分公司、子公司等,以下统称为经营场所。项目组在执行控制测试前,应根据 被审计单位的组织结构特点分析确定对哪些经营场所进行控制测试,主要考虑下列要 素:经营场所相关财务状况和经营状况在合并财务
5、报表中的重要程度; 通过内控了解及评价经营场所出现重大错报风险的可能性; 选定的经营场所在拟测试的业务循环和内控程序的位置,如属集中处理或共享 服务中心。通常情况下,应选择如下公司执行控制测试:被审计单位母公司(或总公司)进行控制测试,因其属于管理的中心;资产及收入占报表比重较大的子、分公司,因其内控是否有效对报表影响重大; 业务特殊且重要的分、子公司,因其业务区别于集团内其他公司,可能存在特 定风险。四、本审计期间测试某项控制的决策1.内部控制中的诸多要素对于被审计单位往往是相对稳定的(相对于具体的交易、账 户余额和列报),因此在本期审计时还是可以适当考虑利用以前审计获取的有关控制运 行有效
6、性的审计证据。但是内部控制在不同期间可能发生重大变化,在利用以前审计获 取的有关控制运行有效性的审计证据时需要充分考虑各种因素,通过实施询问并结合观 察或检查程序,获取这些控制是否已经发生变化的审计证据。2. 如果控制在本期发生变化,应当考虑以前审计获取的有关控制运行有效性的审计证 据是否与本期审计相关。例如,如果系统的变化仅仅使被审计单位从中获取新的报告, 这种变化通常不影响以前审计所获取证据的相关性;如果系统的变化引起数据累积或计 算发生改变,这种变化可能影响以前审计所获取证据的相关性。如果拟信赖的控制自上 次测试后已发生变化,应当在本期审计中测试这些控制的运行有效性。3 如果拟信赖的控制
7、自上次测试后没有发生变化,且不属于旨在减轻特别风险的控 制,应当运用职业判断确定是否在本期审计中测试其运行有效性,以及本次测试与上次 测试的时间间隔,但两次测试的时间间隔不得超过两年。4 在确定利用以前审计获取的有关控制运行有效性的审计证据是否适当以及再次测 试控制的时间间隔时,需要考虑的因素或情况包括: 内部控制其他要素的有效性,包括控制环境、对控制的监督以及被审计单位的 风险评估过程。例如,当被审计单位控制环境薄弱或对控制的监督薄弱时,应当缩 短再次测试控制的时间间隔或完全不信赖以前审计获取的审计证据。 控制特征(人工控制还是自动化控制)产生的风险。当相关控制中人工控制的 成分较大时,考虑
8、到人工控制一般稳定性较差,可能决定在本期审计中继续测试该 控制的运行有效性。 信息技术一般控制的有效性。当信息技术一般控制薄弱时,可能更少地依赖以 前审计获取的审计证据。 控制设计及其运行的有效性,包括在以前审计中测试控制运行有效性时发现的 控制运行偏差的性质和程度。例如,当所审计期间发生了对控制运行产生重大影响 的人事变动时,可能决定在本期审计中不依赖以前审计获取的审计证据。 由于环境发生变化而特定控制缺乏相应变化导致的风险。当环境的变化表明需 要对控制作出相应的变动,但控制却没有作出相应变动时,应当充分意识到控制不 再有效、从而导致本期财务报表发生重大错报的可能性,此时不应再依赖以前审计
9、获取的有关控制运行有效性的审计证据。 重大错报的风险和对控制的拟信赖程度。如果重大错报风险较大或对控制的拟 信赖程度较高,应当缩短再次测试控制的时间间隔或完全不信赖以前审计获取的审 计证据。5 如果拟信赖以前审计获取的某些控制运行有效性的审计证据,应当在每次审计时从 中选取足够数量的控制,测试其运行有效性;不应将所有拟信赖控制的测试集中于某一 次审计,而在之后的两次审计中不进行任何测试。6 如果确定评估的认定层次重大错报风险是特别风险,并拟信赖旨在减轻特别风险的 控制,不应依赖以前审计获取的审计证据,而应在本期审计中测试这些控制的运行有效 性。7 信息技术处理具有内在一贯性,除非系统发生变动,
10、一项自动化应用控制应当一贯 运行。对于一项自动化应用控制,一旦确定被审计单位正在执行该控制,通常无需扩大 控制测试的范围,但需要考虑执行下列测试以确定该控制持续有效运行:测试与该应用控制有关的一般控制的运行有效性; 确定系统是否发生变动,如果发生变动,是否存在适当的系统变动控制;确定对交易的处理是否使用授权批准的软件版本。例如,可以检查信息系统安全控制记录,以确定是否存在未经授权的接触系统硬件 和软件,以及系统是否发生变动。8本审计期间测试某项控制的决策图五、编制控制测试程序1 控制测试方法。在控制测试中,通常采用的测试方法为询问、观察、检查、重新执 行。各种测试方法定义及主要作用如下:询问。
11、是指审计人员在测试时,为了解被测试单位各项业务操作是否按控制措施执行,而向有关人员询问该项业务在该控制点如何执行的方法。询问对于评估 控制执行人是否熟悉内部控制设置及控制点控制措施情况非常有用,但仅仅通过 询问不能为控制运行有效性提供充分的证据,通常需要印证被询问者的答复,如 向其他人员询问或检查执行控制时所使用的报告、手册或其他文件等。在询问的 过程中,还应当保持职业怀疑态度。观察。是指审计人员亲临被测试单位的工作现场,实地观察有关人员控制措施 实际执行情况,以确定其是否按规定的控制措施严格执行的方法。观察主要适用 于测试那些未留下运行轨迹或不形成控制文档的控制点,对于评估系统自动化控 制关
12、键点的测试是比较有效的方法。通常情况下,通过观察直接获取的证据比间 接获取的证据更可靠,但要考虑所观察到的控制在审计人员不在现场时可能未被 执行的情况。检查。是指审计人员抽取一定数量的控制措施形成的书面控制文档,检查其是 否按控制措施规定严格执行的方法。对运行情况留有书面证据的控制,检查非常 适用,此时可以使用审计抽样来选取测试项目。在人工内控关键点测试时检查是 适用范围非常广泛的测试方法,除极特殊情况外每个关键控制点测试均要执行检 查,以判断控制措施是否有效执行。重新执行。是指审计人员按照控制措施中规定的程序或内容重新独立执行,以 验证其是否按控制措施规定严格执行的方法。重新执行是测试控制措
13、施是否有效 执行的最有力的方法,对内部控制执行有效性判断保证程度最高。2 在实际测试时,报表项目、披露事项和业务流程越重要,包含的风险也就越大,而 采用多种技术方法进行测试并获取充分的证据就显得更加重要。故一般对某个关键控制 点的测试需有效的综合运用四种技术方法方能取得良好的测试效果,对内控执行是否有 效得出正确的结论。各种测试方法对内控执行有效性测试的保证程度如下:方法保证程度询问弱观察较弱检杳较强重新执行强3 控制测试的目的是评价控制是否有效运行;细节测试的目的是发现认定层次的重大 错报。尽管两者目的不同,但可以考虑针对同一交易同时实施控制测试和细节测试,以 实现双重目的。例如,通过检查某
14、笔交易的发票可以确定其是否经过适当的授权,也可 以获取关于该交易的金额、发生时间等细节证据。当然,如果拟实施双重目的测试,应 当仔细设计和评价测试程序。4 内控测试程序的编制。在对关键控制点进行测试前,首先要根据关键点控制措施设 定测试程序;在编制各关键控制点测试程序时,应按如下步骤操作: 首先,认真阅读内控循环描述底稿及控制测试底稿中控制目标、控制措施,理 解控制实质内容; 其次,在控制措施中查找如下要点:(1)实施控制的主体,即各岗位人员;(2) 如何实施控制;(3)形成何控制文档; 第三,根据要点编写程序,控制测试程序一般包括询问、观察、检查、重新执行四种方法: 询问:询问实施控制的主体
15、如何实施控制行为;观察:观察相关岗位人员是否按控制措施实施控制行为; 检查:根据样本量,抽取控制文档检查是否执行了控制措施; 重新执行:重新执行控制文档相关内容,判断执行是否有效。5 如上述控制测试方法所述,询问、检查是在控制测试中最常用的方法,每个关键控 制点测试均需采用;观察提供的证据仅限于观察发生的时点,本身也不足以测试控制运 行的有效性。重新执行是保证程度最高的测试程序,考虑成本效率情况,实务中涉及重 要交易事项或账户余额认定时会有针对性地选择使用。例如:控制措施控制要素测试程序销售公司销售部部长将审核 签字的销售部价格通知交价 格维护员,价格维护员在系 统中维护价格清单,维护完 成后,维护人在销售部价格 通知上签字,注明维护日期。 销售公司销售部价格维护员 对已维护入系统的价格清单 进行父叉复核,复核已维护 入系统的信息是否与销售部 价格通知上信息一致,若审 核通过,在销售部价格通知 上签字,注明复核日期。 销售公司销售部价格维护员 信息维护复核通过后,应及 时从系统中打印更新后的价 格清单界面,并在打印件上 签字,注明日期,此日期应 与相对应的价格通知上的复 核日期一致。控制主体:销售公司销 售部价格维护员控制行为:对价格清单 进行复核,并维护入系 统进行父叉复核控制文档:销售价格通 知单、价格清单1、
