《内部控制审计天津注协讲课202年7月26日》由会员分享,可在线阅读,更多相关《内部控制审计天津注协讲课202年7月26日(190页珍藏版)》请在金锄头文库上搜索。
1、2012年年7月月 天津天津企业内部控制审计企业内部控制审计实务与案例实务与案例Page 2主讲人简介主讲人简介李杰李杰 管理学博士(金融工程研究方向)管理学博士(金融工程研究方向)n信永中和会计师事务所合伙人信永中和会计师事务所合伙人n注册会计师、资产评估师、税务师注册会计师、资产评估师、税务师n中国注册会计师行业领军人才中国注册会计师行业领军人才n天津市注册会计师协会培训委员会委员、期刊编辑委员会委员天津市注册会计师协会培训委员会委员、期刊编辑委员会委员n中国会计学会成本分会理事中国会计学会成本分会理事n在核心期刊发表研究论文多篇,出版专著及译著数部在核心期刊发表研究论文多篇,出版专著及译
2、著数部Page 3123课程目标缺陷评价与报告审计计划与实施审计依据与思路Page 4目录目录序号序号内容内容一内部控制审计的依据二内控审计、财报审计与整合审计三审计计划四风险导向与自上而下的审计方法五完成审计工作&出具审计报告附录 第一部分第一部分内部控制审计的依据内部控制审计的依据 问题:问题:u内控审计的依据标准是什么?内控审计的依据标准是什么?u内部控制审计的性质?内部控制审计的性质?Page 62011国内内控审计情况国内内控审计情况截至截至2012年年4月月30日,共有日,共有230家上市公司披露了内部控制审计报告。家上市公司披露了内部控制审计报告。报告类型报告类型数量数量(标准)
3、无保留意见内控审计报告225份带强调事项段的无保留意见内控审计报告4份否定意见内控审计报告1份全国有全国有38家证劵资格会计师事务所从事了家证劵资格会计师事务所从事了230家上市公司内部控制审计业务。家上市公司内部控制审计业务。Page 7中国的内控发展:主要规范中国的内控发展:主要规范证监会证券公司内部控制指引2001-1中国人民银行商业银行内部控制指引2002-9财政部7项内部会计控制规范(试行) 200104中注协企业内部控制审核指导意见2002-2银监会商业银行内部控制评价试行办法2004-8上交所上交所上市公司内部控制指引2006-5深交所深交所上市公司内部控制指引2006-9 国资
4、委中央企业全面风险管理指引2006-6五部委企业内部控制基本规范 2008-5-22五部委企业内部控制配套指引2010-4-26Page 8企业的重大决策、重大事项、重要人企业的重大决策、重大事项、重要人事任免及大额资金支付业务等,应当事任免及大额资金支付业务等,应当按照规定的权限和程序实行集体决策按照规定的权限和程序实行集体决策审批或者联签制度审批或者联签制度企业梳理治理结构,应当重点关注企业梳理治理结构,应当重点关注董事、监事、经理及其他高级管理董事、监事、经理及其他高级管理人员的任职资格和履职情况,以及人员的任职资格和履职情况,以及董事会、监事会和经理层的运行效董事会、监事会和经理层的运
5、行效果果v企业梳理内部机构设置,应当重点企业梳理内部机构设置,应当重点关注内部机构设置的合理性和运行的高关注内部机构设置的合理性和运行的高效性等。内部机构设置和运行中存在职效性等。内部机构设置和运行中存在职能交叉、缺失或运行效率低下的,应当能交叉、缺失或运行效率低下的,应当及时解决及时解决企业应当确定具体岗位的名称、企业应当确定具体岗位的名称、职责和工作要求等,明确各个岗职责和工作要求等,明确各个岗位的权限和相互关系位的权限和相互关系企业拥有子公司的,应当建立科学的企业拥有子公司的,应当建立科学的投资管控制度重点关注发展战略、年投资管控制度重点关注发展战略、年度财务预决算、重大投融资、重大担度
6、财务预决算、重大投融资、重大担保、大额资金使用、主要资产处置、保、大额资金使用、主要资产处置、重要人事任免、内部控制体系建设重要人事任免、内部控制体系建设企业应当定期对组织架构设计与企业应当定期对组织架构设计与运行的效率和效果进行全面评估运行的效率和效果进行全面评估 基本基本规范:范:处于最高于最高层次,起次,起统驭作用,作用,描绘了企业建立与实施内控体系必须建立的框架结构,规定了内部描绘了企业建立与实施内控体系必须建立的框架结构,规定了内部控制的定义、目标、原则、要素,是制定应用指引、评价指引、鉴证指引和企业内部控制制度的基本依据控制的定义、目标、原则、要素,是制定应用指引、评价指引、鉴证指
7、引和企业内部控制制度的基本依据应用指引:用指引:处于主体地位,于主体地位,为企企业建立健全内部控制体系提供的指引建立健全内部控制体系提供的指引评价指引:价指引:为企企业管理管理层对本企本企业内部控制有效性内部控制有效性进行自我行自我评价提供的指引价提供的指引审计指引:指引:为注册会注册会计师执行内部控制行内部控制审计业务提供提供执业准准则企业内部控制基本规范企业内部控制基本规范企业内部控制应用指引企业内部控制应用指引控制活动类控制活动类 1 资金活动资金活动 2 采购业务采购业务 3资产管理资产管理 4销售业务销售业务 5研究与开发研究与开发 6工程项目工程项目 7担保业务担保业务 8业务外包
8、业务外包 9财务报告财务报告内部环境类内部环境类1组织架构组织架构2发展战略发展战略3人力资源人力资源4社会责任社会责任5企业文化企业文化控制手段类控制手段类1全面预算全面预算2合同管理合同管理3内部信息传递内部信息传递4信息系统信息系统企企业业内内部部控控制制评评价价指指引引企企业业内内部部控控制制审审计计指指引引企业内部控制体系企业内部控制体系Page 9没有通用的内部控制没有通用的内部控制n内部控制的各个要素在每个企业中的实施方式取决于:内部控制的各个要素在每个企业中的实施方式取决于: 企业规模企业规模业务复杂性业务复杂性财务信息处理方法财务信息处理方法适用的法律法规适用的法律法规n小型
9、企业业务流程总体上相对简单,相应的控制也趋于简单、非正式小型企业业务流程总体上相对简单,相应的控制也趋于简单、非正式化化n文档记录形式可能多种多样,内容不尽相同,包括:政策制度手册、文档记录形式可能多种多样,内容不尽相同,包括:政策制度手册、流程模型、流程图、岗位职责描述及其他文件。流程模型、流程图、岗位职责描述及其他文件。 n文档记录没有统一标准,而其详细程度则取决于企业规模、经营性质、文档记录没有统一标准,而其详细程度则取决于企业规模、经营性质、及业务复杂性。及业务复杂性。Page 10从从“会计兼出纳会计兼出纳”的招聘广告所引发的讨论?的招聘广告所引发的讨论?没有通用的内部控制没有通用的
10、内部控制一个探讨一个探讨一定是内控的严重缺陷吗一定是内控的严重缺陷吗?预防性控制预防性控制检查性控制检查性控制Page 11被审计单位与审计师的责任划分被审计单位与审计师的责任划分内部控制内部控制被审计单位内控责任被审计单位内控责任CPA内控审计责任内控审计责任建立健全和有效实施内部控制评价内部控制有效性是企业董事会(或类似决策机构)的责任按照审计指引的要求,在实施审计工作的基础上对内部控制的有效性发表审计意见内部控制自我评价报告内部控制自我评价报告内部控制审计报告内部控制审计报告财务报告内部控制财务报告内部控制审计并不能减轻企审计并不能减轻企业管理层的责任业管理层的责任Page 12适用范围
11、适用范围n2010年年4月月26日,财政部发布日,财政部发布企业内部控制审计指引企业内部控制审计指引等配套指引等配套指引n2011年年1月月1日起在境内外同时上市的公司施行日起在境内外同时上市的公司施行n2012年年1月月1日起扩大到在上海证券交易所、深圳证券交易所主板上日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行;市的公司施行;n在此基础上,择机在中小板和创业板上市公司施行;在此基础上,择机在中小板和创业板上市公司施行;n鼓励非上市大中型企业提前执行。鼓励非上市大中型企业提前执行。n执行企业内控规范体系的执行企业内控规范体系的企业企业,必须对本企业内部控制的有效性进行,必须对
12、本企业内部控制的有效性进行自我评价自我评价,披露年度自我评价报告,同时披露年度自我评价报告,同时聘请聘请具有证券期货业务资格的会计师事务所对其财具有证券期货业务资格的会计师事务所对其财务报告内部控制的有效性进行务报告内部控制的有效性进行审计审计,出具审计报告。,出具审计报告。n注册会计师在内部控制审计过程中注意到的企业非财务报告内部控制的重大缺注册会计师在内部控制审计过程中注意到的企业非财务报告内部控制的重大缺陷,应当提示投资者、债权人和其他利益相关者关注陷,应当提示投资者、债权人和其他利益相关者关注实实施施步步骤骤Page 13内控审计遵循的政策制度内控审计遵循的政策制度企业内部控制基本规范
13、企业内部控制基本规范企业内部控制基本规范企业内部控制基本规范企业内部控制配套指引企业内部控制配套指引企业内部控制配套指引企业内部控制配套指引财政部等五部委财政部等五部委财政部等五部委财政部等五部委其他相关其他相关其他相关其他相关法律法规法律法规法律法规法律法规CPACPACPACPA鉴证业务基本准则鉴证业务基本准则鉴证业务基本准则鉴证业务基本准则相关执业准则相关执业准则相关执业准则相关执业准则(如:(如:(如:(如:1411141114111411考虑内部审计工作考虑内部审计工作考虑内部审计工作考虑内部审计工作&1131&1131&1131&1131审计工作底稿审计工作底稿审计工作底稿审计工作
14、底稿)财政部财政部财政部财政部CPA中注协发布:中注协发布:企业内部控制审计指引实施意见企业内部控制审计指引实施意见内部控制审计工作底稿编制指南内部控制审计工作底稿编制指南Page 14内部控制审计的性质、对象内部控制审计的性质、对象审计性质审计性质(不是审阅或审核)(不是审阅或审核)基于时点基于时点(不是时期)(不是时期)直接报告业务直接报告业务(不是基于认定业务)(不是基于认定业务)财务报告财务报告内控内控(仅对注意到(仅对注意到的非财务报告的非财务报告内控)内控)内部控制内部控制审计审计Page 15内部控制审计的性质、对象内部控制审计的性质、对象需要明确的问题需要明确的问题时点时点/
15、/时期?时期?内部控制审计内部控制审计企业内部控制审计基于特定基准日。企业内部控制审计基于特定基准日。注册会计师基于基准日(如年末注册会计师基于基准日(如年末12月月31日)内部控制的有效性发表意见,而不日)内部控制的有效性发表意见,而不是对财务报表涵盖的整个期间(如一年)的内部控制的有效性发表意见。是对财务报表涵盖的整个期间(如一年)的内部控制的有效性发表意见。但这并不意味着注册会计师只关注企业基准日当天的内部控制,而是要考察企但这并不意味着注册会计师只关注企业基准日当天的内部控制,而是要考察企业一个时期内(足够长的一段时间)内部控制的设计和运行情况。业一个时期内(足够长的一段时间)内部控制
16、的设计和运行情况。实务:实务:业内一般要求内部控制的有效运行期至少为业内一般要求内部控制的有效运行期至少为3个月,即:前期或期中测试发现个月,即:前期或期中测试发现的问题,需的问题,需在在9月底之前整改完毕月底之前整改完毕。注册会计师再对整改后的内部控制进行测注册会计师再对整改后的内部控制进行测试试,才能,才能对企业对企业12月月31日(基准日)内部控制的设计和运行发表日(基准日)内部控制的设计和运行发表 意见意见财务报告内部控制财务报告内部控制 or 非财务报告内部控制非财务报告内部控制 ?注册会计师注册会计师应当对财务报告内部控制的有效性发表审计意见应当对财务报告内部控制的有效性发表审计意
17、见,并,并对内部控制审对内部控制审计过程中计过程中注意到的注意到的非财务报告内部控制的重大缺陷非财务报告内部控制的重大缺陷,在内部控制审计报告中增,在内部控制审计报告中增加加“非财务报告内部控制重大缺陷描述段非财务报告内部控制重大缺陷描述段”予以披露予以披露Page 16内部控制审计的对象内部控制审计的对象需要明确的问题需要明确的问题财务报告内部控制财务报告内部控制政策和程序政策和程序(1)保存充分、适当的记录,准确、公允地反映企业的交易和事项;(2)合理保证按照企业会计准则的规定编制财务报表;(3)合理保证收入和支出的发生以及资产的取得、使用或处置经过适当授权;(4)合理保证及时防止或发现并
18、纠正未经授权的、对财务报表有重大影响的交易和事项合理保证财务报告及相关合理保证财务报告及相关信息真实完整信息真实完整保护资产安全的内部控制保护资产安全的内部控制中与财务报告可靠性目标中与财务报告可靠性目标相关的控制相关的控制非财务报告内部控制非财务报告内部控制是指除财务报告内部控制之外的其他控是指除财务报告内部控制之外的其他控制制为了合理保证经营的效率效果、遵守法为了合理保证经营的效率效果、遵守法律法规、实现发展战略而设计和运行的律法规、实现发展战略而设计和运行的控制,以及用于保护资产安全的内部控制,以及用于保护资产安全的内部 控制中与财务报告可靠性目标无关的控控制中与财务报告可靠性目标无关的
19、控制制内内 部部 环环 境境战战 略略目目 标标 设设 定定事事 项项 识识 别别风风 险险 评评 估估风风 险险 应应 对对控控 制制 活活 动动信息与沟通信息与沟通监监 控控经经 营营报报 告告合规合规 子子公公司司业业务务单单元元分分 部部企企业业层层次次Page 17内部控制审计的对象内部控制审计的对象(举例)(举例)n某大型企业集团某大型企业集团2009版内控手册共计版内控手册共计1272个控制点,分类如下:个控制点,分类如下:控制点控制点合计合计管理相关控制点管理相关控制点与财务报告相与财务报告相关控制点关控制点ERPERP控制点控制点数量数量1272127284384342942
20、9161161Page 18内部控制审计的对象内部控制审计的对象(举例)(举例)控制环节 控制描述控 制频率人 工 自动预 防性 检 查性认定是 否关 键控制 判断是否为关键控制的理由发货销售经理每周五查看已批准未发货的销售订单汇总表,调查延迟发货的原因并予以相应处理。每周1次人工预 防性不 适用 否该项控制旨在确保企业的经营效率和服务质量,与与财财务务报报告告认认定定无无关关,不属于财务报告内部控制。例如:销售和收款循环中,以下的控制活动例如:销售和收款循环中,以下的控制活动第二部分第二部分 内控审计、财报审计与整合审计内控审计、财报审计与整合审计 问题:问题:u内控审计与大家熟悉的财报审计
21、有什内控审计与大家熟悉的财报审计有什么差别?么差别?u什么是整合审计?什么是整合审计?u整合审计有什么优点?整合审计有什么优点?Page 20整合审计的概念与目标整合审计的概念与目标整合审计整合审计注册会计师可以单独进行内部控制审计,也可以将内部控制审计与财务报表审计整合进行(整合审计)获取充分、适当的证据,支持其在内部控制审计中对内部控制的有效性发表的意见整合审计整合审计目标目标获取充分、适当的证据,支持其在财务报表审计中对内部控制的风险评估结果整合基础整合基础 内部控制内部控制Page 21整合审计的吸引力整合审计的吸引力提高审计效率提高审计效率降低成本降低成本使客户使客户尽早获知尽早获知
22、可可能存在的能存在的缺陷缺陷及早着手进行整改及早着手进行整改整合整合审计财报审计财报审计利用内控审计的结果利用内控审计的结果u修改实质性程序的性质、修改实质性程序的性质、时间安排和范围时间安排和范围u支持分析程序中适用的信支持分析程序中适用的信息的完整性和准确性息的完整性和准确性内控审计内控审计考虑财报审计中发现的问题考虑财报审计中发现的问题u重点考虑财报审计中发现重点考虑财报审计中发现的错报对内控有效性评价的的错报对内控有效性评价的影响影响Page 22整合审计的吸引力整合审计的吸引力n美国萨班斯美国萨班斯奥克斯利法案和日本金融商品交易法均要求奥克斯利法案和日本金融商品交易法均要求由出具财务
23、报告审计报告的会计师事务所对企业财务报告内部控制进由出具财务报告审计报告的会计师事务所对企业财务报告内部控制进行审计,将企业内部控制审计定位在整合审计。行审计,将企业内部控制审计定位在整合审计。n美国的一项调查显示,企业执行萨班斯美国的一项调查显示,企业执行萨班斯奥克斯利法案奥克斯利法案404条条款第二年的成本比第一年下降款第二年的成本比第一年下降46%,将两项审计工作更好地整合起来,将两项审计工作更好地整合起来则是其中的一个主要原因。则是其中的一个主要原因。n我国企业内部控制审计指引也提倡将二者整合进行我国企业内部控制审计指引也提倡将二者整合进行Page 23财务报表审计与内部控制审计的比较
24、1/3比较项目比较项目内部控制审计内部控制审计财务报表审计财务报表审计审计目的对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露对财务报表是否符合企业会计准则,是否公允反映被审计单位的财务状况和经营成果发表意见了解和测试内部控制的目的直接目的:对内部控制设计和运行有效性发表审计意见了解内控是为了评估重大错报风险测试内控是为了进一步证明了解内控时得出的初步结论,了解和测试内控的最终目的是服务于对财报发表审计意见Page 24财务报表审计与内部控制审计的比较2/3比较项目比较项目内
25、部控制审计内部控制审计财务报表审计财务报表审计测试范围对所有重要账户、各类交易和列报的相关认定,都要了解和测试相关的内控只在以下两种情况下强制要求内控测试1)在评估认定层次重大错报风险时,预期控制运行有效。即:在确定实质性程序的性质、时间安排和范围时,CPA拟信赖控制运行的有效性,或,(2)仅实施实质性程序不能提供认定层次充分、适当的审计证据其他情况下,CPA可以不测试内部控制测试时间对特定基准日内控有效性发表意见。不一定要测试整个会计期间,但要测试足够长的时间一旦确定需要测试,则需要测试内控在整个审计期间运行有效性Page 25财务报表审计与内部控制审计的比较3/3比较项目比较项目内部控制审
26、计内部控制审计财务报表审计财务报表审计测试样本量对结论可靠性的要求高,测试的样本量大对结论可靠性的要求取决于计划从内部控制中得到保证的程度(或,减少实质性程序工作量的程度)结果报告(1)对外披露(2)以正面、积极的方式对内控有效性发表意见(1)通常不对外披露内控情况,除非是内控影响到对财报发表审计意见(2)以管理建议书的方式向管理层或治理层报告财报审计中发现的内控重大缺陷,但CPA没有义务专门实施审计程序,以发现和报告内控重大缺陷Page 26财务报表审计与内部控制审计的比较(举例)应收账款坏账准备应收账款坏账准备n背景:在国家货币政策趋于紧缩的形势下,企业可能较以前年度难于获得银行的贷款背景
27、:在国家货币政策趋于紧缩的形势下,企业可能较以前年度难于获得银行的贷款而普遍面临资金短缺的压力,如果被审计单位的应收账款余额较高且当年逾期应收账而普遍面临资金短缺的压力,如果被审计单位的应收账款余额较高且当年逾期应收账款有明显的上升时,被审计单位的坏账风险很可能高于往年。款有明显的上升时,被审计单位的坏账风险很可能高于往年。n审计计划阶段:审计计划阶段:CPA需要考虑应收账款坏账风险将导致认定层次重大错报风险。需要考虑应收账款坏账风险将导致认定层次重大错报风险。n在财务报表审计中在财务报表审计中,由于对应收账款坏账准备的判断较为主观,审计风险较高,通常,由于对应收账款坏账准备的判断较为主观,审
28、计风险较高,通常注册会计师不拟依赖被审计单位在这一领域的控制,而在审计计划阶段决定直接通过注册会计师不拟依赖被审计单位在这一领域的控制,而在审计计划阶段决定直接通过实质性方案应对这一重大错报风险。实质性方案应对这一重大错报风险。n在整合审计中在整合审计中,在审计计划阶段注册会计师既需要关注应收账款的坏账准备这一重要,在审计计划阶段注册会计师既需要关注应收账款的坏账准备这一重要账户,又需要关注被审计单位销售与收款这一重大流程中与计提应收账款坏账准备相账户,又需要关注被审计单位销售与收款这一重大流程中与计提应收账款坏账准备相关的内部控制,将其设定为内部控制审计的一个关键控制。关的内部控制,将其设定
29、为内部控制审计的一个关键控制。l如果被审计单位对于应收账款坏账准备没有制定标准的计提和批准流程,也没有如果被审计单位对于应收账款坏账准备没有制定标准的计提和批准流程,也没有定期与销售部门一起讨论应收账款的催款情况,而是在财务报表结账的时候完全定期与销售部门一起讨论应收账款的催款情况,而是在财务报表结账的时候完全由财务负责人主观判断且没有相应支持性文件,在此情况下,被审计单位很可能由财务负责人主观判断且没有相应支持性文件,在此情况下,被审计单位很可能存在应收账款坏账准备的内部控制重大缺陷而影响被审计单位财务报告内部控制存在应收账款坏账准备的内部控制重大缺陷而影响被审计单位财务报告内部控制有效性的
30、整体结论有效性的整体结论Page 27财务报表审计与整合审计的关系财务报表审计与整合审计的关系Page 28重要性水平相同重要性水平相同重要组成部分的认定相同重要组成部分的认定相同财务报表审计计划与整合审计计划的比较财务报表审计计划与整合审计计划的比较财务报表审计计划与整合审计计划的比较财务报表审计计划与整合审计计划的比较财报审计计划阶段所识别的风险对财报的影响财报审计计划阶段所识别的风险对财报的影响重大账户、重大列报和相关认定重大账户、重大列报和相关认定重大业务流程重大业务流程业务流程中的内部控制业务流程中的内部控制考虑所识别的风险对内部控制的影响考虑所识别的风险对内部控制的影响识别高风险控
31、制领域识别高风险控制领域确定内控审计的关注领域确定内控审计的关注领域第三部分第三部分 计划审计工作计划审计工作 Page 30签订审计业务约定书签订审计业务约定书建立审计项目组建立审计项目组计划审计工作所需评价的事项计划审计工作所需评价的事项针对舞弊风险的评估针对舞弊风险的评估设定重要性水平和多组成部分的审计策略设定重要性水平和多组成部分的审计策略计划审计工作计划审计工作识别重大账户、列报和相关认定识别重大账户、列报和相关认定识别重大业务流程识别重大业务流程识别与重大业务流程相关的信息系统识别与重大业务流程相关的信息系统利用他人的工作利用他人的工作审计计划审计计划Page 31计划审计工作计划
32、审计工作审计业务约定书审计业务约定书被审计单位应当认可并理解的责任包括:被审计单位应当认可并理解的责任包括:按照适用的内部控制标准,设计、执行和维护有效的内部控制,以使财务报表不存在由于舞弊或错误导致的重大错报。按照适用的内控评价标准,对内控进行评价并编制内控评价报对内控进行评价并编制内控评价报告。告。向注册会计师提供必要的工作条件,包括允许注册会计师接触与内控的设计、执行和维护相关的所有信息所有信息,允许注册会计师在获取审计证据时不受限制的接触其认为必要的人员必要的人员。CPA与企业做好充分的沟通。与企业做好充分的沟通。Page 32计划审计工作计划审计工作审计项目组构成审计项目组构成注册会
33、计师应当恰当地计划内部控制审计工作,配备具有专业胜任注册会计师应当恰当地计划内部控制审计工作,配备具有专业胜任能力的项目组,并对助理人员进行适当的督导。能力的项目组,并对助理人员进行适当的督导。具有性质和复杂程度类似的内部控制审计经验了解企业内部控制相关规范和指引要求了解内控审计指引、指引实施意见和中国注册会计师执业准则的相关要求拥有与企业所处行业相关的知识具有职业判断能力Page 33计划审计工作计划审计工作审计项目组构成(举例)审计项目组构成(举例)某某上上市市医医药药企企业业审审计计项项目目组组构构成成Page 34与企业相关的风险评估与企业相关的风险评估 相关的法律法规和行业概况相关的
34、法律法规和行业概况内部控制最近发生变化的程度内部控制最近发生变化的程度与企业沟通过的内控缺陷与企业沟通过的内控缺陷确定内部控制重大缺陷相关的因素(重要性水平、风险确定内部控制重大缺陷相关的因素(重要性水平、风险)对内部控制有效性的初步判断对内部控制有效性的初步判断可获取的、与内部控制有效性相关的证据的类型和范围可获取的、与内部控制有效性相关的证据的类型和范围计划审计工作计划审计工作所需评价事项所需评价事项组织结构、经营特征和资本结构组织结构、经营特征和资本结构u识别重大识别重大账户、重大账户、重大列报列报&相关相关认定认定u识别重大识别重大业务流程业务流程&相关信息系相关信息系统统Page 3
35、535计划审计工作计划审计工作所需评价事项所需评价事项企业面临的风险企业面临的风险来自外部的风险来自外部的风险u宏观环境宏观环境u政治、经济、社会、政治、经济、社会、科技、环保、法律科技、环保、法律u所处的行业所处的行业u行业生命周期行业生命周期u行业竞争状况行业竞争状况企业面对企业面对的风险的风险来自企业内部的风险来自企业内部的风险n人力资源人力资源n技术与研发技术与研发n生产生产/服务流程服务流程n产品产品/服务服务nPage 36风险等级的划分风险等级的划分-供参考供参考后果后果可可能能性性极为严重极为严重非常严重非常严重中等中等不很严重不很严重忽略忽略几乎确定几乎确定严重严重严重严重很
36、高很高很重要很重要较重要较重要很可能很可能严重严重很高很高很重要很重要较重要较重要中等中等中等中等很高很高很重要很重要较重要较重要中等中等较低较低可能性不大可能性不大很重要很重要较重要较重要中等中等较低较低微不足道微不足道极少发生极少发生较重要较重要中等中等较低较低微不足道微不足道微不足道微不足道来源:来源:澳大利亚公共部门风险管理指南澳大利亚公共部门风险管理指南,1996年年10月第月第22号号转引自:财务报告内部控制与风险管理,美国管理会计师协会转引自:财务报告内部控制与风险管理,美国管理会计师协会IMA发布,发布,200736计划审计工作计划审计工作所需评价事项所需评价事项企业面临的风险
37、企业面临的风险Page 3737财务报表审计中考虑的风险财务报表审计中考虑的风险企业面临企业面临的风险的风险其他后果其他后果(与财务报表无直接关系)(与财务报表无直接关系)财务报告财务报告审计风险审计风险计划审计工作计划审计工作所需评价事项所需评价事项企业面临的风险企业面临的风险Page 3838从企业风险到财务报表的风险从企业风险到财务报表的风险-举例举例企业风险企业风险舞弊舞弊经济衰退经济衰退成本增加成本增加原有存货减值原有存货减值原有设备减值原有设备减值坏账增加坏账增加增长率下降增长率下降环保要求环保要求技术升级技术升级经营失败经营失败计划审计工作计划审计工作所需评价事项所需评价事项企业
38、面临的风险企业面临的风险Page 39计划审计工作计划审计工作企业面临的风险(举例企业面临的风险(举例1)p案例背景p1928年9月25日,保罗高尔文Paul Galvin和他的弟弟约瑟夫高尔文Joseph Galvin在芝加哥创建了高尔文制造公司。1947年,高尔文制造公司更名为摩托罗拉 p1969年7月,摩托罗拉无线电应答器被用于阿波罗11号宇宙飞船,实现了地-月通信。p1983年,全球首款商用手机“摩托罗拉DynaTAC”获FCC批准上市 p1991年,摩托罗拉在德国汉诺威展出了全球第一款GSM数字手机摩托罗拉天津芯片厂业务单位战略计划评价摩托罗拉天津芯片厂业务单位战略计划评价Page
39、40计划审计工作计划审计工作企业面临的风险(举例)企业面临的风险(举例)n1995年,摩托罗拉推出了全球第一款双向式寻呼机Tangon1999年推出iDEN i1000plus,集数字手机、双向对讲、数字传呼机、互联网浏览、电子邮件和传真等众多功能与一体,相当于今天的智能手机。n1999年,全球首款触摸屏手机A6188发布。n2000年,全球首部GPRS手机 n2000年,全球首部支持WAP上网手机 n2000年,全球首部支持JAVA手机 Timeport P108 n2002年,全球首款360度旋转翻盖手机V70发布。 n2003年,全球首款基于linux内核发售的手机摩托罗拉A760 n2
40、004年,全球首款13.9毫米金属机身超薄翻盖手机V3发布pRAZR系列系列曾书写过全球销量一亿台的辉煌战绩。RAZR系列最经典的第一代V3手机开创了超薄手机的浪潮,它的横空出世曾拯救摩托罗拉公司于泥沼摩托罗拉天津芯片厂业务单位战略计划评价摩托罗拉天津芯片厂业务单位战略计划评价案例背景Page 41计划审计工作计划审计工作企业面临的风险(举例)企业面临的风险(举例)n摩托罗拉位于西青的摩托罗拉位于西青的MOS17芯片厂是曾经号称中国第一个、第一大的芯片厂,芯片厂芯片厂是曾经号称中国第一个、第一大的芯片厂,芯片厂于于1995年立项。其后选址于天津西青经济开发区。由于半导体行业的周期性不景气和年立
41、项。其后选址于天津西青经济开发区。由于半导体行业的周期性不景气和事业部决策层对投资的信心不足,西青厂的建设项目直到事业部决策层对投资的信心不足,西青厂的建设项目直到2000年年8月才正式解冻,全面月才正式解冻,全面投资并买进安装生产设备。投资并买进安装生产设备。n西青半导体厂的投资达西青半导体厂的投资达19亿美元(亿美元(使摩托罗拉在天津的总投资达到了使摩托罗拉在天津的总投资达到了30亿美元),其亿美元),其中西青芯片厂中西青芯片厂MOS17的投资为的投资为14亿美元,亿美元,设计月产设计月产8英寸硅片英寸硅片2.5万片万片,主要产品供应,主要产品供应无线通讯、汽车电子、信息家电等无线通讯、汽
42、车电子、信息家电等n西青芯片第一批产品于西青芯片第一批产品于2001年年5月月15日下线日下线,良品率为,良品率为82%,是一个当时在同行业来,是一个当时在同行业来讲相当不错的成绩。经过技术人员和管理层的不断努力,讲相当不错的成绩。经过技术人员和管理层的不断努力,5个月后良品率达到个月后良品率达到98.5%。这在摩托罗拉的历史上是创纪录的。这在摩托罗拉的历史上是创纪录的。摩托罗拉天津芯片厂业务单位战略计划评价摩托罗拉天津芯片厂业务单位战略计划评价公司历史Page 42计划审计工作计划审计工作企业面临的风险(举例)企业面临的风险(举例)n全球半导体行业的发展呈现周期性的变化全球半导体行业的发展呈
43、现周期性的变化。从。从1980年至今,半导体市场共经年至今,半导体市场共经历了五次景气循环,其中三次是由于全球性经济衰退造成的历了五次景气循环,其中三次是由于全球性经济衰退造成的(1981年、年、1990年及年及2001年年),两次是由于明显产能供过于求导致的,两次是由于明显产能供过于求导致的(1985年及年及1996年年),其其中中2001年全球半导体市场的营业额比年全球半导体市场的营业额比2000年减少年减少33%,跌至,跌至1520亿美元,亿美元,创下历史最低记录。创下历史最低记录。n从我国的半导体行业来看,从我国的半导体行业来看,2001年全年我国半导体产业产销规模与年全年我国半导体产
44、业产销规模与2000年相年相比有所下降。据统计,比有所下降。据统计,2001年我国集成电路总产量为年我国集成电路总产量为44.12亿块,总销量为亿块,总销量为 46.44亿块,与亿块,与2000年的总产量年的总产量45.69亿块,总销量亿块,总销量51.29亿块相比分别下降亿块相比分别下降3.44 和和9.46;2001年集成电路总销售额为年集成电路总销售额为98.42亿元,与亿元,与2000年的年的101.49 亿元相比下降了亿元相比下降了3.02。 摩托罗拉天津芯片厂业务单位战略计划评价摩托罗拉天津芯片厂业务单位战略计划评价行业分析Page 43计划审计工作计划审计工作企业面临的风险(举例
45、)企业面临的风险(举例)摩托罗拉天津芯片厂业务单位战略计划评价摩托罗拉天津芯片厂业务单位战略计划评价合同及客户类型分析n公司事业部的初衷是想在海外(中国)建立一个像美国国内“一模一样”的芯片厂,生产和美国“一模一样”的产品,想利用中国的廉价劳动力、智力资源,而完全依赖于其在美国国内的订单n全球行业内自1998年的不景气一直延续到2004年初,全球半导体市场经历了其有史以来最漫长的寒冬。其间,摩托罗拉仅半导体事业部就关闭了其在德州、亚利桑那州的数个芯片厂,裁员达近万人n半导体事业部从全局考虑,把绝大部分订单分给了美国国内的主力、成熟、仍有生产潜力和产能的芯片厂,只把极为有限的一小部分订单象征性地
46、给了西青厂n随着整个全球半导体市场于2000年底的大滑坡,彻底暴露出西青芯片厂完全依靠吃国外订单的致命弱点,从2001年底到2003年,月产量始终在500片以下,这只相当于当初设计产能的2%n西青芯片厂几乎在闲置中度过了整整两年Page 44计划审计工作计划审计工作企业面临的风险(举例)企业面临的风险(举例)n从20002003年,摩托罗拉的市值重挫700亿美元,随着董事会成员,华尔街投资者对其股票低迷表现日益不满,以及公司新制定的资产轻量級策略(asset-light strategy),半导体事业部由于连续亏损逐渐淡出摩托罗拉核心业务,剥离半导体事业部的呼声越来越大。n根据半导体市调机构有
47、关2003年全球前10大半导体供应商排名报告,摩托罗拉首度落居全球前10大排名以外,于是众分析师及股东不約而同地指出必须解決其负债累累的现況,n股东普遍推崇尽快进行半导体事业部的IPO。摩托罗拉天津芯片厂业务单位战略计划评价摩托罗拉天津芯片厂业务单位战略计划评价实际控制人及关联方分析为了其后续的独立上市,西青芯片这一没有效益的“不良资产”,被 摩托罗摩托罗拉天津电子有限公司出售给中芯国际拉天津电子有限公司出售给中芯国际Page 45计划审计工作计划审计工作所需评价的事项(工作底稿示例)所需评价的事项(工作底稿示例)医医药药行行业业上上市市公公司司Page 46计划审计工作计划审计工作所需评价的
48、事项(工作底稿示例)所需评价的事项(工作底稿示例)Page 47计划审计工作计划审计工作设定重要性水平设定重要性水平 重要性水平:重要性水平: 可容忍错报(实际执行的重要性):可容忍错报(实际执行的重要性): =集团财务报表整体的重要性集团财务报表整体的重要性50%70% 比率比率资产负债表资产负债表-资产总额资产总额0.5%-1%0.5%-1%资产负债表资产负债表-净资产净资产1%-5%1%-5%损益表损益表-收入收入0.5%-2%0.5%-2%损益表损益表-利润总额利润总额5%-10%5%-10%各个各个CPAs可能会有所差异可能会有所差异u在整合审计中,应使用相同的重要性水平在整合审计中
49、,应使用相同的重要性水平 u中国注册会计师审计准则第中国注册会计师审计准则第1221号号重要性重要性Page 48计划审计工作计划审计工作识别重大账户、列报和认定识别重大账户、列报和认定相关认定相关认定如果某财务报表认定可能存在一个或多个错报,这如果某财务报表认定可能存在一个或多个错报,这个或这些错报将导致财务报表发生重大错报,则该个或这些错报将导致财务报表发生重大错报,则该认定为认定为相关认定相关认定。某认定是否为相关认定,因被审。某认定是否为相关认定,因被审计单位和账户而异计单位和账户而异定量定量+定性定性分析分析重要账户或列报重要账户或列报如果某账户或列报可能存在一个错报,该错报单独或如
50、果某账户或列报可能存在一个错报,该错报单独或连同其他错报将导致财务报表发生重大错报,则该账连同其他错报将导致财务报表发生重大错报,则该账户或列报为户或列报为重要账户或列报重要账户或列报注册会计师在确定重要性水平注册会计师在确定重要性水平之后之后,应当识别重要账户、列报及其相关认定,应当识别重要账户、列报及其相关认定Page 49计划审计工作计划审计工作识别重大账户、列报和认定识别重大账户、列报和认定n判断某账户或列报是否重要,应当依据其固有风险,而不应考虑相关控制的影响。n判断某认定是否为相关认定,应当依据其固有风险,而不应考虑相关控制的影响。财务报告应收账款销售流程采购流程资金管理预算管理应
51、付账款业务收入财务错报风险重要会计科目资产管理信息管理关键业务流程信息处理目标和财务报表验证目标会计政策选择不当会计核算方法错误越权操作账实不符虚假合同或订单收入确认不当。完整性估价与分摊权利与义务表达与披露存在与发生Page 50识别重大账户识别重大账户定量标准定量标准金额超过可容忍误差。金额超过可容忍误差。定性标准定性标准风险和其他因素(金额可能小于可容忍误差):风险和其他因素(金额可能小于可容忍误差): 如果一个重大账户对应了多个单独的业务流程,应考虑根据不同的如果一个重大账户对应了多个单独的业务流程,应考虑根据不同的风险将重大账户进行分解,分别确定个重大账户。风险将重大账户进行分解,分
52、别确定个重大账户。计划审计工作计划审计工作识别重大账户、列报和认定识别重大账户、列报和认定在评估会计科目的重要性时应考虑下列几个定性要素:在评估会计科目的重要性时应考虑下列几个定性要素:(1)账户的规模和构成;)账户的规模和构成;(2)易于发生错报的程度;)易于发生错报的程度;(3)账户或列报中反映的交易的业务量、复杂性及同质性;)账户或列报中反映的交易的业务量、复杂性及同质性;(4)账户或列报的性质;)账户或列报的性质;(5)与账户或列报相关的会计处理及报告的复杂程度;)与账户或列报相关的会计处理及报告的复杂程度;(6)账户发生损失的风险;)账户发生损失的风险;(7)账户或列报中反映的活动引
53、起重大或有负债的可能性;)账户或列报中反映的活动引起重大或有负债的可能性;(8)账户记录中是否涉及关联方交易;)账户记录中是否涉及关联方交易;(9)账户或列报的特征与前期相比发生的变化。)账户或列报的特征与前期相比发生的变化。Page 51识别重大账户识别重大账户u非重大账户:非重大账户:金额达到或高于可容忍误差,但由于认为该账户只有有限的或没有重大金额达到或高于可容忍误差,但由于认为该账户只有有限的或没有重大错报风险,可以确定为非重大账户。错报风险,可以确定为非重大账户。(实务中,谨慎使用)(实务中,谨慎使用)u小额账户小额账户u判断某账户或列报是否重要,应当依据其固有风险,而不应考虑相判断
54、某账户或列报是否重要,应当依据其固有风险,而不应考虑相关控制的影响。关控制的影响。相关认定相关认定并非所有认定对重并非所有认定对重大账户而言都是相关的。大账户而言都是相关的。无需识别非重大账无需识别非重大账户和小额账户的相关认定。户和小额账户的相关认定。可选择组合认定可选择组合认定计划审计工作计划审计工作识别重大账户、列报和认定识别重大账户、列报和认定Page 52计划审计工作计划审计工作识别重大账户、列报和认定(举例)识别重大账户、列报和认定(举例)n注册会计师确定注册会计师确定A公司的财务报表整体重要性金额为公司的财务报表整体重要性金额为2 000万元。万元。nA公司的年度管理费用总额为公
55、司的年度管理费用总额为1亿元。年度管理费用的核算比较简单。亿元。年度管理费用的核算比较简单。错误或舞弊导致管理费用发生重大错报的固有风险很低。在以前年度错误或舞弊导致管理费用发生重大错报的固有风险很低。在以前年度审计中从未发现管理费用存在错报,也从未发现过相关控制缺陷。审计中从未发现管理费用存在错报,也从未发现过相关控制缺陷。注册会计师确定管理费用账户属于重要账户,并确定注册会计师确定管理费用账户属于重要账户,并确定“发生发生”和和“完整完整性性”为该重要账户的相关认定。为该重要账户的相关认定。判断是否为重大账户?判断是否为重大账户?Page 53计划审计工作计划审计工作识别重大账户、列报和认
56、定(举例)识别重大账户、列报和认定(举例)n假设假设A公司的固定资产总额为公司的固定资产总额为2700万元。固定资产的确认比较简单,以前年万元。固定资产的确认比较简单,以前年度发生的错报并不重大。其他情况如下:度发生的错报并不重大。其他情况如下: (1)以前年度未发现与固定资产相关的控制缺陷;以前年度未发现与固定资产相关的控制缺陷; (2)A公司的控制环境较强;公司的控制环境较强; (3)绝大多数的固定资产较为庞大或无法移动;绝大多数的固定资产较为庞大或无法移动; (4)固定资产分布于多个组成部分;固定资产分布于多个组成部分; (5)由于错误或舞弊导致固定资产发生重大错报的固有风险很低;由于错
57、误或舞弊导致固定资产发生重大错报的固有风险很低; (6)固定资产的增加或减少金额并不重大;固定资产的增加或减少金额并不重大; (7)固定资产没有减值迹象固定资产没有减值迹象n注册会计师确定的财务报表整体重要性金额为注册会计师确定的财务报表整体重要性金额为2 000万元。万元。综合对定量因素综合对定量因素(例如,固定资产余额并非显著高于财务报表整体重要性,并且固例如,固定资产余额并非显著高于财务报表整体重要性,并且固定资产的增加或减少并不重大定资产的增加或减少并不重大)和定性因素和定性因素(例如,固定资产没有减值迹象,以前年例如,固定资产没有减值迹象,以前年度采发现与固定资产相关的控制缺陷,并且
58、度采发现与固定资产相关的控制缺陷,并且A公司的控制环境较好公司的控制环境较好)的分析的分析注册会计师确定固定资产账户不属于重要账户注册会计师确定固定资产账户不属于重要账户判断是否为重大账户?判断是否为重大账户?Page 54计划审计工作计划审计工作识别重大账户、列报和认定(举例)识别重大账户、列报和认定(举例)nB公司是一家金融机构,拥有多家分支机构。该公司的资产总额为公司是一家金融机构,拥有多家分支机构。该公司的资产总额为1000亿元,拥有定期存款亿元,拥有定期存款500亿元,财务报表整体重要性为亿元,财务报表整体重要性为1亿元。亿元。从以前年度审计情况来看,对定期存款账户,未发现控制缺陷,
59、也从以前年度审计情况来看,对定期存款账户,未发现控制缺陷,也未作出审计调整。该账户是由大量小额明细账户构成的,注册会计未作出审计调整。该账户是由大量小额明细账户构成的,注册会计师认为由于舞弊或错误导致的重大错报风险为低水平。师认为由于舞弊或错误导致的重大错报风险为低水平。尽管定期存款的重大错报风险为低水平,但由于该账户金额远远超过财务报表尽管定期存款的重大错报风险为低水平,但由于该账户金额远远超过财务报表整体重要性,注册会计师仍将其确定为重要账户整体重要性,注册会计师仍将其确定为重要账户判断是否为重大账户?判断是否为重大账户?Page 55计划审计工作计划审计工作识别重大账户、列报和认定(工作
60、底稿举例)识别重大账户、列报和认定(工作底稿举例)财务报表项目财务报表项目20 x I.12.31重要账户重要账户(是是/否否)认定认定注释注释存在存在/发生发生完完整整性性准准确确性性截截止止权利权利和和义务义务计价计价和和分摊分摊列报列报和和披露披露资产负债表资产负债表货币资金货币资金交易性金融资产交易性金融资产应收票据应收票据应收账款应收账款确定重要账户及相关认定工作底稿参考格式确定重要账户及相关认定工作底稿参考格式被审计单位名称:被审计单位名称:财务报表整体重要性:财务报表整体重要性:实际执行的重要性实际执行的重要性注释:解释识别重要帐户的定性或定量依据。例如,超过财务报表整体重要性注
61、释:解释识别重要帐户的定性或定量依据。例如,超过财务报表整体重要性的帐户为何不是重要帐户;未达到报表整体重要性的帐户为何是重要帐户等。的帐户为何不是重要帐户;未达到报表整体重要性的帐户为何是重要帐户等。Page 56计划审计工作计划审计工作了解潜在错报报风险来源,由重大账户和相关认定了解潜在错报报风险来源,由重大账户和相关认定对对应应到重大业务流程到重大业务流程Page 57计划审计工作计划审计工作识别重大业务流程识别重大业务流程企业的企业的业务流程包括生成、记录、处理和报告业务流程包括生成、记录、处理和报告。重大业务流程是指对某一重大账户和列报及其相关认定产生重重大业务流程是指对某一重大账户
62、和列报及其相关认定产生重大影响的业务流程。大影响的业务流程。注册会计师需要识别影响每个重大账户和列报的、与认定相关注册会计师需要识别影响每个重大账户和列报的、与认定相关的重大业务流程,以及相关的信息系统。的重大业务流程,以及相关的信息系统。Page 58计划审计工作计划审计工作了解潜在错报报风险来源,由重大账户和相关认定了解潜在错报报风险来源,由重大账户和相关认定对对应应到重大业务流程到重大业务流程如何如何了解潜在错报的来源了解潜在错报的来源 (1)了解与相关认定有关的交易的处理流了解与相关认定有关的交易的处理流程,包括这些交易如何生成、批准、处程,包括这些交易如何生成、批准、处理及记录;理及
63、记录; (2)验证注册会计师识别出的业务流程验证注册会计师识别出的业务流程中可能发生重大错报中可能发生重大错报(包括由于舞弊导致包括由于舞弊导致的错报的错报)的环节;的环节; (3)识别被审计单位用于应对这些错报识别被审计单位用于应对这些错报或潜在错报的控制;或潜在错报的控制; (4)识别被审计单位用于及时防止或发识别被审计单位用于及时防止或发现并纠正未经授权的、导致重大错报的现并纠正未经授权的、导致重大错报的资产取得、使用或处置的控制。资产取得、使用或处置的控制。n 注册会计师应当亲自执行能够实现上述目标注册会计师应当亲自执行能够实现上述目标的程序,或对提供直接帮助的人员的工作进的程序,或对
64、提供直接帮助的人员的工作进行督导行督导穿行测试穿行测试l了解错报的潜在来源了解错报的潜在来源l评价控制设计的有效性评价控制设计的有效性l确定控制是否得到执行确定控制是否得到执行Page 59如何由重要账户到识别重大业务流程?(举例)如何由重要账户到识别重大业务流程?(举例)n如何由重要账户到识别重大业务流程?如何由重要账户到识别重大业务流程?通过通过 n对企业的了解和以往的经验对企业的了解和以往的经验n询问恰当的人员,必要时辅以观察和查询文件询问恰当的人员,必要时辅以观察和查询文件n对记账分录分析对记账分录分析例如:例如:CPA识别出某医药行业上市公司的应收账款及坏账准备账户为重大账户。识别出
65、某医药行业上市公司的应收账款及坏账准备账户为重大账户。要识别与应收账款以及坏账准备账户相关的重大业务流程要识别与应收账款以及坏账准备账户相关的重大业务流程1、对企业的了解和以往的经验:、对企业的了解和以往的经验:该企业的销售业务包括现销个赊销。其中,赊销产生应收账款。该企业为所有该企业的销售业务包括现销个赊销。其中,赊销产生应收账款。该企业为所有赊销客户均设定信用额度。赊销客户均设定信用额度。(接下页)(接下页)Page 60如何由重要账户到识别重大业务流程?(举例)如何由重要账户到识别重大业务流程?(举例)2、询问的常见问题(接上页)、询问的常见问题(接上页)3、对记账记录的分析、对记账记录
66、的分析分析应收账款和坏账准备的会分析应收账款和坏账准备的会计分录来识别单独的业务流程计分录来识别单独的业务流程Page 61如何由重要账户到识别重大业务流程?(举例)如何由重要账户到识别重大业务流程?(举例)4、CPA将销售流程作为重大业务流程,并进一步识别出销售流程的将销售流程作为重大业务流程,并进一步识别出销售流程的各子流程各子流程Page 62计划审计工作计划审计工作了解潜在错报报风险来源,由重大账户和了解潜在错报报风险来源,由重大账户和相关认定相关认定对应对应到重大业务流程到重大业务流程穿行测试穿行测试n执行穿行测试的情况执行穿行测试的情况(1)存在较高固有风险的复杂领域;存在较高固有
67、风险的复杂领域;(2)以前年度审计中识别出的缺陷以前年度审计中识别出的缺陷(需要考虑缺陷的严重程度需要考虑缺陷的严重程度)的领的领域;域;(3)由于引入新的人员、新的系统、收购和采取新的会计政策而导由于引入新的人员、新的系统、收购和采取新的会计政策而导致流程发生重大变化。致流程发生重大变化。首次接受委托执行内部控制审计,通常预期会对重要流程实施穿首次接受委托执行内部控制审计,通常预期会对重要流程实施穿行测试行测试(在实施穿行测试时,可以利用他人的工作在实施穿行测试时,可以利用他人的工作)。Page 63计划审计工作计划审计工作了解潜在错报报风险来源,由重大账户和了解潜在错报报风险来源,由重大账
68、户和相关认定相关认定对应对应到重大业务流程到重大业务流程穿行测试穿行测试穿行测试作用穿行测试作用1、确认注册会计师对下列事项的了解是否正确:确认注册会计师对下列事项的了解是否正确: 交易的整个过程,包括主要输入和输出数据,以及交易如何产生并得到授权、交易的整个过程,包括主要输入和输出数据,以及交易如何产生并得到授权、记录、处理和报告;记录、处理和报告; 财务报告内部控制财务报告内部控制(包括与预防或发现舞弊相关的控制包括与预防或发现舞弊相关的控制)的设计;的设计; 确定业务流程是否已涵盖了所有可能存在由于错误或舞弊导致相关财务报表确定业务流程是否已涵盖了所有可能存在由于错误或舞弊导致相关财务报
69、表认定出现重大错报的环节,以此确认该业务流程的完整性;认定出现重大错报的环节,以此确认该业务流程的完整性; 可能发生的交易类型;可能发生的交易类型; 关联方交易的影响;关联方交易的影响; 使用服务机构的影响使用服务机构的影响2、识别被审计期间业务流程识别被审计期间业务流程(包括支持该流程的计算机应用程序包括支持该流程的计算机应用程序)发生的所有重发生的所有重大变化、变化的性质以及对相关账户的影响。大变化、变化的性质以及对相关账户的影响。Page 64计划审计工作计划审计工作了解潜在错报报风险来源,由重大账户和了解潜在错报报风险来源,由重大账户和相关认定相关认定对应对应到重大业务流程到重大业务流
70、程穿行测试穿行测试穿行测试作用穿行测试作用3、评估控制的有效性。在评估设计有效性时,可以考虑以下事项:评估控制的有效性。在评估设计有效性时,可以考虑以下事项: 该控制是否能够实现控制目标;该控制是否能够实现控制目标; 控制程序的执行是否及时;控制程序的执行是否及时; 所设计的控制执行的精细度和精确度;所设计的控制执行的精细度和精确度; 职责分配的适当性。职责分配的适当性。4、确认控制是否得到执行确认控制是否得到执行。5、确认注册会计师需要就哪些控制的运行有效性获取证据确认注册会计师需要就哪些控制的运行有效性获取证据Page 65计划审计工作计划审计工作了解潜在错报报风险来源,由重大账户和了解潜
71、在错报报风险来源,由重大账户和相关认定相关认定对应对应到重大业务流程到重大业务流程穿行测试穿行测试交易生成交易生成授权授权记录记录处理和报告处理和报告对每个重要流程,选取一笔交易或事项实施穿行测试即可对每个重要流程,选取一笔交易或事项实施穿行测试即可。如果被审计单位采用集中化的系统为多个组成部分执行重要流程,则可如果被审计单位采用集中化的系统为多个组成部分执行重要流程,则可能不必在每个重要的组成部分选取一笔交易或事项实施穿行测试能不必在每个重要的组成部分选取一笔交易或事项实施穿行测试穿行测试是一种评估穿行测试是一种评估设计有效性设计有效性的有效方法的有效方法识别出的重要流程中的控制,包括针对舞
72、弊风险的控制识别出的重要流程中的控制,包括针对舞弊风险的控制穿行测试穿行测试Page 66计划审计工作计划审计工作了解潜在错报报风险来源,由重大账户和了解潜在错报报风险来源,由重大账户和相关认定相关认定对应对应到重大业务流程到重大业务流程穿行测试穿行测试穿行测试包括:穿行测试包括: (1)向实际执行控制的人员进行向实际执行控制的人员进行询问询问; (2)观察观察控制的执行;控制的执行; (3)查阅查阅在执行控制时使用的或由于执行该控制而生成的文件;在执行控制时使用的或由于执行该控制而生成的文件; (4)将支持性文件将支持性文件(如销售发票、合同和提货单如销售发票、合同和提货单)与会计记录进行与
73、会计记录进行比较比较n在实施穿行测试时,在实施穿行测试时,对于每个发生重要处理程序或控制的节点对于每个发生重要处理程序或控制的节点,注,注册会计师应当询问相关人员对既定程序和控制规定的了解,并确定册会计师应当询问相关人员对既定程序和控制规定的了解,并确定相关人员是否根据其设计的原意及时执行这些处理程序或控制。相关人员是否根据其设计的原意及时执行这些处理程序或控制。Page 67计划审计工作计划审计工作了解潜在错报报风险来源,由重大账户和了解潜在错报报风险来源,由重大账户和相关认定相关认定对应对应到重大业务流程到重大业务流程穿行测试穿行测试n实务:在穿行测试中,询问的技巧?实务:在穿行测试中,询
74、问的技巧?l应当使用与被审计单位人员使用的应当使用与被审计单位人员使用的相同的文件和信息技术相同的文件和信息技术对业务流程实施穿对业务流程实施穿行测试,并向参与该流程或控制重要方面的相关人员进行行测试,并向参与该流程或控制重要方面的相关人员进行询问询问l可能需要通过不止一次的访谈,询问执行该流程中重要程序和控制的人员可能需要通过不止一次的访谈,询问执行该流程中重要程序和控制的人员l考虑与相关人员考虑与相关人员会面的顺序会面的顺序,以适当跟踪交易过程,以适当跟踪交易过程l为佐证穿行测试中各个测试节点的信息,注册会计师可以请相关人员为佐证穿行测试中各个测试节点的信息,注册会计师可以请相关人员描述描
75、述其其对此前和此后处理或控制活动的了解,并对此前和此后处理或控制活动的了解,并演示具体操作演示具体操作。l在询问中还应提出更深入的问题,以便识别无效控制或舞弊迹象。在询问中还应提出更深入的问题,以便识别无效控制或舞弊迹象。1)依据什么确定是否出现错误依据什么确定是否出现错误(而不是简单地问是否实施了既定程序和控制而不是简单地问是否实施了既定程序和控制); (2)如果发现错误怎么处理;如果发现错误怎么处理; (3)曾经发现什么类型的错误;曾经发现什么类型的错误; (4)发现错误的后果是什么;发现错误的后果是什么; (5)错误是如何解决的;错误是如何解决的;(6)是否曾被要求忽略或回避该流程或控制
76、,如有这种情况,请描述具体情况,是否曾被要求忽略或回避该流程或控制,如有这种情况,请描述具体情况,发生的原因以及如何解决的发生的原因以及如何解决的如果被询问的人员从未发现任何错误,注册会计师应当评估出现这种情况的原如果被询问的人员从未发现任何错误,注册会计师应当评估出现这种情况的原因是因为存在有效的预防性控制还是因为执行控制的人员缺乏必要的技能因是因为存在有效的预防性控制还是因为执行控制的人员缺乏必要的技能常用的问题常用的问题Page 68计划审计工作计划审计工作了解潜在错报报风险来源,由重大账户和了解潜在错报报风险来源,由重大账户和相关认定相关认定对应对应到重大业务流程到重大业务流程穿行测试
77、穿行测试n实务:被审计单位的内控发生了变化时,如何穿行测试?实务:被审计单位的内控发生了变化时,如何穿行测试?l评估变化的性质及其对相关账户的影响,以确定评估变化的性质及其对相关账户的影响,以确定是否需要同时对变化前和变是否需要同时对变化前和变化后的交易过程实施穿行测试化后的交易过程实施穿行测试Page 69是否经营场所和单位是否经营场所和单位本身本身就很就很重要重要? *评估文件记录以及测试在每个经营评估文件记录以及测试在每个经营场所和单位的重要控制场所和单位的重要控制特殊或重要风险特殊或重要风险?对于这些单位不需进一步的行动对于这些单位不需进一步的行动 经营场所和单位自身,或即使经营场所和
78、单位自身,或即使与其它单位合并在一起也不重与其它单位合并在一起也不重要要?针对必要的个别经营场所或业务单针对必要的个别经营场所或业务单位的控制的测试位的控制的测试对这个合并组织的控制是否有对这个合并组织的控制是否有文件记录的公司层面控制文件记录的公司层面控制?对此合并组织的公司层面的控制进对此合并组织的公司层面的控制进行文件记录评估和测试行文件记录评估和测试*评估文件记录并且测试对于特殊风评估文件记录并且测试对于特殊风险的控制险的控制不是不是计划审计工作计划审计工作-多组成部分的审计策略多组成部分的审计策略不是不是不是不是不是不是是是是是是是是是-仅供参考仅供参考Page 70 类型类型特点特
79、点全面范围CPA执行的程序、取得的审计证据与企业整体内控审计类似特定范围CPA针对该组成部分所采用的审计程序是根据集团整体层面考虑确定有限范围CPA通常实施以分析性复核为主的审计程序不纳入范围 CPA无需执行审计程序-仅供参考仅供参考计划审计工作计划审计工作-多组成部分的审计策略多组成部分的审计策略Page 71计划审计工作计划审计工作-多组成部分的审计策略(举例多组成部分的审计策略(举例1)nABC汽车集团公司成立于汽车集团公司成立于2003年,主要从事汽车生产和销售业务。年,主要从事汽车生产和销售业务。201年度年度ABc汽车集团公司未经审计的集团合并营业收入为汽车集团公司未经审计的集团合
80、并营业收入为44215000元,合并净利润元,合并净利润为为11 750 000元。集团项目组将集团财务报表整体的重要性确定为元。集团项目组将集团财务报表整体的重要性确定为587500元,元,并基于集团财务报表层面识别了重要账户、列报及其相关认定,确定营业收并基于集团财务报表层面识别了重要账户、列报及其相关认定,确定营业收入、固定资产等为重要账户入、固定资产等为重要账户 组成 部分注册地 主营业务201年度营业收入(已抵消内部交易)(元) 占集团合并 营业收入的 比例AA公司北京生产和销售运动型轿车,产品广受消费者欢迎,近年来收入和利润增长趋势良好 21 080 00000 4768BB公司上
81、海生产和销售商务型轿车,产品为新开发产品,市场定位合理,销售前景良好 16 000 00000 3619CC公司合肥生产汽车配件,产品主要销售给集团内公司(包括AA公司和BB公司),仅有小部分产品销售给集团外第三方,为集团成本中心 7 000 00000 1583Page 72计划审计工作计划审计工作-多组成部分的审计策略(举例多组成部分的审计策略(举例1)DD公司北京负责对集团资金进行管理,为集团财务中心 120 00000 027 EE公司 北京负责对集团固定资产进行管理,年末固定资产余额占集团合并固定资产余额的60,是集团资产管理中心 15 00000 003 FF公司 成都于201年投
82、资设立,处于筹建期 0 0 合计 44 215 00000 100 组成 部分 识别重要组成 部分及说明 拟执行的财务 报表审计工作 拟执行的内部控制审计工作 AA公司营业收入占集团合并营业收人的比例为4768,为具有财务重大性的重要组成部分审计测试该组成部分企业层面控制;测试与重要账户、列报及其相关认定的业务流程、应用系统或交易层面的控制的有效性 BB公司营业收入占集团合并营业收入的比例为3619,为具有财务重大性的重大组成部分审计测试该组成部分企业层面控制;测试与重要账户、列报及其相关认定的业务流程、应用系统或交易层面的控制的有效性集团项目对组成部分的分析集团项目对组成部分的分析Page
83、73计划审计工作计划审计工作-多组成部分的审计策略(举例多组成部分的审计策略(举例1) CC公司为具有特别风险的重要组成部分,与特别风险相关的账户及其认定包括:生产成本的发生、完整性和截止;存货的存在、完整性和计价与分摊;资本承诺事项的列报和披露审计与特别风险相关的账户余额、交易和披露测试该组成部分企业层面控制;测试针对特别风险的控制 DD公司为具有特别风险的重要组成部分,与特别风险相关的账户及认定包括:货币资金的存在、完整性;借款的存在和完整性;财务费用的发生、完整性和截止;或有负债的列报和披露审计与特别风险相关的账户余额、交易和披露测试该组成部分企业层面的控制;测试针对特别风险的控制Pag
84、e 74计划审计工作计划审计工作-多组成部分的审计策略(举例多组成部分的审计策略(举例1)EE公司为不重要组成部分,但固定资产为重要账户集团层面的分析程序l评价下列工作是否已经获取充分、适当的审计证据:对集团企业层面控制的测试、测试该组成部分企业层面控制针对重要组成部分与固定资产相关的账户、列报及其相关认定的内部控制已实施的测试l如果不能提供充分、适当的审计证据,测试该组成部分与固定资产相关的业务流程、应用系统或交易层面的控制FF公司极其微小,为不重要组成部分集团层面的分析程序无需执行控制测试Page 75计划审计工作计划审计工作- 利用他人的工作利用他人的工作注册会计师应当对企业内部控制自我
85、评价工作进行评估,判断是否利用企业内部审计人员,内部控制评价人员和其他相关人员的工作以及可利用的程度,相应减少可能本应由注册会计师执行的工作。”相关要求:相关要求:对其专业胜任能专业胜任能力进行充分评价对其客观性客观性进行充分评价Page 76计划审计工作计划审计工作- 利用他人的工作利用他人的工作与控制相关的风险和利用他人工作范围的关系Page 77计划审计工作计划审计工作- 利用他人的工作利用他人的工作内审内审在审计的不同方面是否能够利用内部审计人员的工作示例在审计的不同方面是否能够利用内部审计人员的工作示例 审计目的 是否利用内部审计人员的工作成果理解服务需求,确定审计范围并组建审计团队
86、否完成初步的项目计划否对企业的经营进行初步了解注册会计师可以利用内部审计人员准备的文档,但是要形成自己对企业经营及风险的理解确定是否需要特定的专家否了解企业层面控制否识别由于舞弊导致的重大错报风险并制定相关审计策略注册会计师可以与内部审计人员就存在或发现的舞弊或由于舞弊导致的重大错报风险进行探讨注册会计师审阅内部审计人员所发现问题,用以判断是否存在内部审计人员知悉的与舞弊相关的问题注册会计师要对是否存在舞弊风险作出判断制定相关策略确定财务报表重要性否识别重要账户、列报及其相关认定否制定审计计划并对舞弊和错误进行讨论内部审计人员可以参加部分讨论识别重要交易流程及相关IT系统注册会计师可以利用内部
87、审计人员准备的文档,但是要形成自己对重要交易流程及相关IT系统的结论Page 78计划审计工作计划审计工作- 利用他人的工作利用他人的工作在审计的不同方面是否能够利用内部审计人员的工作示例在审计的不同方面是否能够利用内部审计人员的工作示例了解重要交易流程注册会计师可以请内部审计人员协助就流程、可能出错的环节以及相应的控制进行记录,或者利用内部审计人员的部分内部审计文档执行穿行测试注册会计师可以请内部审计人员在执行穿行测试时提供直接的帮助如果重要账户或流程比较复杂、风险较高或者其风险的影响比较广泛(例如销售收入注程中销售收入确认比较复杂),则不鼓励注册会计师利用内部审计人员完成穿行测试。通常利用
88、内部审计人员直接协助的穿行测试仅限于常规交易流程或简单的非常规交易流程。(例如,某企业的固定资产流程经注册会计师判断为常规交易流程,注册会计师可以请内部审计人员在执行固定资产穿行测试时协助提供一套完整的固定资产穿行测试资料并协助撰写固定资产穿行测试文档,但注册会计师需要对内部审计人员获取的穿行测试资料及完成的穿行测试文档进行审阅,以确定资料及文档的完整性,以及固定资产穿行测试文档中关键控制识别的准确性)Page 79计划审计工作计划审计工作- 利用他人的工作利用他人的工作内审内审在审计的不同方面是否能够利用内部审计人员的工作示例在审计的不同方面是否能够利用内部审计人员的工作示例选择需要测试的控
89、制注册会计师可以利用内部审计人员选择简单、常规流程中需要测试的控制。注册会计师需要基于自己对这些简单、常规流程的了解,审阅内部审计人员的工作以判断所选取的需要测试的控制是否适当,并与注册会计师可能会选取进行测试的控制相一致对信息系统一般控制的了解、穿行测试、控制测试及评价评价过程不涉及主观性的信息技术一般控制,注册会计师可以利用内部审计人员协助进行IT一般控制的记录并执行控制测试制定控制测试策略注册会计师可以利用内部审计人员针对简单、常规交易的控制制定控制测试策略注册会计师需要审阅内部审计人员的工作并决定其制定的控制测试策略是否适当,并与注册会计师可能制定的控制测试策略是否一致,以及选取的需要
90、进行测试的控制是否一致设计会计分录测试及反舞弊程序否执行控制测试注册会计师可以利用内部审计人员执行常规交易控制的测试执行会计分录测试及反舞弊程序内部审计人员可以按照注册会计师制定的控制测试策略及确定的样本总量,执行会计分录测试更新控制测试,包括信息系统一般控制内部审计人员可以更新控制测试综合评估风险否项目总结否Page 80计划审计工作计划审计工作- 利用他人的工作利用他人的工作内审内审在审计的不同方面是否能够利用内部审计人员的工作示例在审计的不同方面是否能够利用内部审计人员的工作示例 审计目的 是否利用内部审计人员的工作成果准备审计发现汇总否,尽管部分被注册会计师记录及评估的问题是由内部审计
91、人员发现的进行项目总体审阅及审批否准备并与客户进行沟通否完成审计工作底稿并存档否,注册会计师按照审计工作底稿准则要求保存内部审计人员准备的工作底稿Page 81计划审计工作计划审计工作- 利用他人的工作利用他人的工作管理层内控自评管理层内控自评管理层内部控制评价与注册会计师内部控制审计之间的关系管理层内部控制评价与注册会计师内部控制审计之间的关系n管理层自我评价过程的质量,尤其是执行自我评价工作的人员的专业管理层自我评价过程的质量,尤其是执行自我评价工作的人员的专业胜任能力和客观性,对注册会计师确定能够在多大程度上利用他人的胜任能力和客观性,对注册会计师确定能够在多大程度上利用他人的工作以及注
92、册会计师需要执行的工作起着重要的作用。工作以及注册会计师需要执行的工作起着重要的作用。n注册会计师执行的财务报告内部控制审计工作与管理层内部控制评价注册会计师执行的财务报告内部控制审计工作与管理层内部控制评价工作相互配合显得非常重要。工作相互配合显得非常重要。n 建立健全有效的内部控制是被审计单位的责任建立健全有效的内部控制是被审计单位的责任n注册会计师应当对发表的审计意见独立承担责任,其责任不因为利用注册会计师应当对发表的审计意见独立承担责任,其责任不因为利用企业内部审计人员、内部控制评价人员和其他相关人员的工作而减轻企业内部审计人员、内部控制评价人员和其他相关人员的工作而减轻Page 82
93、计划审计工作计划审计工作- 利用他人的工作利用他人的工作管理层内控自评管理层内控自评n管理层对内部控制有效性的管理层对内部控制有效性的自我评价工作需要在注册会计师开始内部自我评价工作需要在注册会计师开始内部控制审计工作之前启动,控制审计工作之前启动,且最好保证内部控制设计缺陷以及内部控制且最好保证内部控制设计缺陷以及内部控制运行缺陷尽早整改完毕,以预留足够长的平稳运行期。运行缺陷尽早整改完毕,以预留足够长的平稳运行期。n注册会计师在每个年度的较早时期就要同管理层就内部控制自我评价注册会计师在每个年度的较早时期就要同管理层就内部控制自我评价工作进行沟通工作进行沟通,包括自我评价工作的进度安排、具
94、体自我评价的工作,包括自我评价工作的进度安排、具体自我评价的工作范围、工作方法、样本选取的方法及数量,并获取必要的管理层自我范围、工作方法、样本选取的方法及数量,并获取必要的管理层自我评价文档。评价文档。l上述步骤及文档的获取主要帮助注册会计师确定其进行内部控制审计的时间安排,上述步骤及文档的获取主要帮助注册会计师确定其进行内部控制审计的时间安排,以及注册会计师在多大程度上可以利用被审计单位的内部控制评价工作。以及注册会计师在多大程度上可以利用被审计单位的内部控制评价工作。l如果管理层就内部控制如果管理层就内部控制自我评价工作定期召开会议,注册会计师可以要求参加会自我评价工作定期召开会议,注册
95、会计师可以要求参加会议议以及时了解内部控制自我评价工作的实际进展以及前期遇到的问题以及时了解内部控制自我评价工作的实际进展以及前期遇到的问题Page 83计划审计工作计划审计工作审计程序审计程序团队成员团队成员审计分工审计分工总体时间表总体时间表审计范围审计范围l与企业召开审计计划会议与企业召开审计计划会议l阅读企业相关财务、内控资料阅读企业相关财务、内控资料l了解企业最新情况了解企业最新情况l借鉴以前年度审计经验借鉴以前年度审计经验CPA与企业的沟通与企业的沟通审计计划审计计划获取内部控制审计计划获取内部控制审计计划所需信息所需信息第四部分第四部分风险导向审计风险导向审计 &自上而下的审计方
96、法自上而下的审计方法 Page 85内部控制审计的方向?内部控制审计的方向?是从风险到控制?是从风险到控制?还是从控制到风险?还是从控制到风险?内控审计内控审计方向?方向?Page 86自上而下的方法自上而下的方法n在财务报告内控审计中,自上而下的方法在财务报告内控审计中,自上而下的方法始于财务报表层次始于财务报表层次,以注册,以注册会计师对会计师对财务报告内部控制整体风险的了解开始财务报告内部控制整体风险的了解开始。然后,注册会计师。然后,注册会计师将关注重点放在将关注重点放在企业层面的控制企业层面的控制上,并将工作逐渐下移至上,并将工作逐渐下移至重大账户、重大账户、列报及相关的认定列报及相
97、关的认定。这种方法引导注册会计师将注意力放在显示有可。这种方法引导注册会计师将注意力放在显示有可能导致财务报表及相关列报发生重大错报的账户、列报及认定上。能导致财务报表及相关列报发生重大错报的账户、列报及认定上。n之后,注册会计师验证其了解到的之后,注册会计师验证其了解到的业务流程业务流程中存在的风险,并就已评中存在的风险,并就已评估的每个相关认定的错报风险,选择足以应对这些风险的业务层面控估的每个相关认定的错报风险,选择足以应对这些风险的业务层面控制进行测试。制进行测试。n在非财务报告内控审计中,自上而下的方法始于企业层面控制,并将在非财务报告内控审计中,自上而下的方法始于企业层面控制,并将
98、审计测试工作逐步下移到业务层面控制。审计测试工作逐步下移到业务层面控制。n自上而下的方法描述了注册会计师在识别风险以及拟测试的控制时的自上而下的方法描述了注册会计师在识别风险以及拟测试的控制时的连续思维过程,但并不一定是注册会计师执行审计程序的顺序。连续思维过程,但并不一定是注册会计师执行审计程序的顺序。Page 87从财务报表层次初步了解内控整体风险从财务报表层次初步了解内控整体风险评估企业层面控制评估企业层面控制识别重要账户、列报及其相关认定识别重要账户、列报及其相关认定了解错报的可能来源了解错报的可能来源选择拟测试的控制并测试选择拟测试的控制并测试自上而下方法自上而下方法 总体思路总体思
99、路自上而下的方法自上而下的方法Page 88自上而下的方法自上而下的方法Page 89从财务报表层次初步了解内控整体风险从财务报表层次初步了解内控整体风险评估企业层面控制评估企业层面控制识别重要账户、列报及其相关认定识别重要账户、列报及其相关认定了解错报的可能来源了解错报的可能来源选择拟测试的控制并测试选择拟测试的控制并测试自上而下方法自上而下方法 总体思路总体思路自上而下的方法自上而下的方法评估企业层面的控制评估企业层面的控制Page 90评估企业层面控制评估企业层面控制对企业具有广泛影响对企业具有广泛影响在企业的较高层次执行在企业的较高层次执行“基调型内部控制基调型内部控制”不会直接影响特
100、定会不会直接影响特定会计账户及认定计账户及认定为直接影响特定会计账户及认定的内部控为直接影响特定会计账户及认定的内部控制建立有效执行的基础制建立有效执行的基础企业层面内部控制企业层面内部控制特征特征企业企业内部控制内部控制企业层面企业层面控制控制业务流程、应用系统或业务流程、应用系统或交易层面的控制交易层面的控制n主要针对交易的生成、记录、主要针对交易的生成、记录、处理和报告等环节处理和报告等环节n能够对应到具体某类交易和账能够对应到具体某类交易和账户余额的具体认定户余额的具体认定n应对企业财务报表整体层面的风险而设应对企业财务报表整体层面的风险而设计计n或或,作为其他控制运行的作为其他控制运
101、行的“基础设施基础设施”Page 91评估企业层面控制要素评估企业层面控制要素与内部环境与内部环境相关的控制相关的控制治理结构和议事治理结构和议事规则规则机构设置和权责机构设置和权责分配分配内部审计内部审计人力资源人力资源企业文化企业文化针对管理层(董事会、针对管理层(董事会、经理层)凌驾于控制经理层)凌驾于控制之上的风险而设计的之上的风险而设计的控制控制对所有企业保持对所有企业保持有效的内部控制有效的内部控制都有重要影响。都有重要影响。可以根据对企业舞弊风险可以根据对企业舞弊风险的评估作出判断,选择相的评估作出判断,选择相关的企业层面控制进行测关的企业层面控制进行测试,并评价这些控制能否试,
102、并评价这些控制能否有效应对管理层凌驾于控有效应对管理层凌驾于控制之上的风险制之上的风险企业的风险企业的风险评估过程评估过程包括识别与财务报告包括识别与财务报告相关的经营风险和其相关的经营风险和其他经营管理风险,以他经营管理风险,以及针对这些风险采取及针对这些风险采取的措施的措施企业的内部控制能够充分企业的内部控制能够充分识别企业外部环境(如在识别企业外部环境(如在经济、政治、法律法规、经济、政治、法律法规、竞争者行为、债权人需求、竞争者行为、债权人需求、技术变革等方面)存在的技术变革等方面)存在的风险风险充分且适当的风险评估过充分且适当的风险评估过程需要包括对重大风险的程需要包括对重大风险的估
103、计、对风险发生可能性估计、对风险发生可能性的评估以及确定应对风险的评估以及确定应对风险的方法。的方法。企业的信息企业的信息与沟通过程与沟通过程对内部信息传递和对内部信息传递和财务报告流程的控财务报告流程的控制制企业的内部企业的内部监督监督可以在可以在企业层面上企业层面上实施,也可以在业实施,也可以在业务流程层面上实施务流程层面上实施包括:对运行报告的复核包括:对运行报告的复核和核对、与外部人士的沟和核对、与外部人士的沟通、对其他未参与控制执通、对其他未参与控制执行人员的监控活动,以及行人员的监控活动,以及将信息系统记录数据与实将信息系统记录数据与实物资产进行核对等物资产进行核对等Page 92
104、n以以“内部控制环境内部控制环境内内部审计部审计”为例为例评估企业层面控制要素评估企业层面控制要素企业层面风险控制矩阵企业层面风险控制矩阵(工作底稿记录)(工作底稿记录)关注要点(举例)关注要点(举例)Page 93企业层面内部控制的不同精准层次企业层面内部控制的不同精准层次精准层次精准层次对审计的影响对审计的影响1.对及时防止或发现错报具有重要对及时防止或发现错报具有重要但间接影响的控制(但间接影响的控制(与控制环境相与控制环境相关的控制关的控制)可能影响选择进行测试的其可能影响选择进行测试的其他控制,以及对其他控制所他控制,以及对其他控制所实施程序的性质、时间和范实施程序的性质、时间和范围
105、围2.监督其他控制有效性的控制,可监督其他控制有效性的控制,可以被用来识别其他层次控制的可能以被用来识别其他层次控制的可能缺陷,但其自身的精准程度不能充缺陷,但其自身的精准程度不能充分应对某认定的错报不能被及时防分应对某认定的错报不能被及时防止或发现的风险止或发现的风险此类控制运行有效时,可以此类控制运行有效时,可以减少原本拟对其他控制的有减少原本拟对其他控制的有效性进行的测试效性进行的测试3.设计在精准层次,本身可以及时设计在精准层次,本身可以及时地防止或发现错报的控制地防止或发现错报的控制如果某此类控制充分地应对如果某此类控制充分地应对所评估的某项错报风险,就所评估的某项错报风险,就不需要
106、测试与这项风险相关不需要测试与这项风险相关的其他控制的其他控制Page 94不同精准层次企业层面内部控制不同精准层次企业层面内部控制(示例示例)人力资源部门没有人力资源部门没有获取有关雇员资格获取有关雇员资格相关的证据相关的证据 对及时防止或发现对及时防止或发现错报有重要但间接影错报有重要但间接影响的控制响的控制企业的财务总监定期企业的财务总监定期审阅经营收入的详细审阅经营收入的详细月度分析报告月度分析报告企业设立了银行余额调节表企业设立了银行余额调节表的监督审阅流程,并对下属的监督审阅流程,并对下属所有分级机构作出定期检查,所有分级机构作出定期检查,精准度精准度足以复核各个下属单足以复核各个
107、下属单位的工作是否恰当位的工作是否恰当设计在精准层次,设计在精准层次,本身可以及时地防本身可以及时地防止或发现错报的控止或发现错报的控制制监督其他控制有效性监督其他控制有效性的控制的控制 这种情况可能导致注册会计师需这种情况可能导致注册会计师需要获得更多证据以证明由相关人要获得更多证据以证明由相关人员执行的其他控制获得了恰当执员执行的其他控制获得了恰当执行,尤其是针对那些由新雇员执行,尤其是针对那些由新雇员执行的控制行的控制 如控制有效,可能可以使注如控制有效,可能可以使注册会计师修改其原本拟对其册会计师修改其原本拟对其他控制所进行的测试程序他控制所进行的测试程序可以考虑测试这个企业层可以考虑
108、测试这个企业层面的控制,并且不必对下面的控制,并且不必对下属每个单位的银行余额调属每个单位的银行余额调节表相关控制进行测试节表相关控制进行测试Page 95不同精准层次企业层面内部控制不同精准层次企业层面内部控制如何分析精准度?如何分析精准度?n如果一项企业层面控制足以应对评估的重大错报风险,如果一项企业层面控制足以应对评估的重大错报风险,CPA可能不必可能不必测试与该风险相关的其他控制测试与该风险相关的其他控制。nCPA可以分析某个控制是否有足够的精确度以及时防止或发现财务报可以分析某个控制是否有足够的精确度以及时防止或发现财务报表重大错报,并考虑以下因素:表重大错报,并考虑以下因素:l(1
109、)内部控制对应的重要账户及列报的性质;内部控制对应的重要账户及列报的性质;l(2)对于某些比较稳定或具备预期内在关系的账户,管理层实施的对于某些比较稳定或具备预期内在关系的账户,管理层实施的分析对发现重大错报具有足够的精确度;分析对发现重大错报具有足够的精确度;l(3)管理层分析的细化程度。管理层分析的细化程度。n一个更精确的企业层面控制会对账户按照产品、地区作更细化的分析,一个更精确的企业层面控制会对账户按照产品、地区作更细化的分析,并与其他资料进行比较分析,以确定财务报表相关认定的准确性并与其他资料进行比较分析,以确定财务报表相关认定的准确性Page 96不同精准层次企业层面内部控制不同精
110、准层次企业层面内部控制如何分析精准度?(举例)如何分析精准度?(举例)案例描述案例描述n甲公司是生产交通运输工具用的替代燃料产品和系统的企业。所有工甲公司是生产交通运输工具用的替代燃料产品和系统的企业。所有工厂雇员人数大致相同,每周工作六天,每天两班次。厂雇员人数大致相同,每周工作六天,每天两班次。n财务总监在公司已有财务总监在公司已有10年,非常了解业务流程,包括工资流程。年,非常了解业务流程,包括工资流程。n他审查由会计集中核算部门编制的每周工资汇总报告。由于公司扁平他审查由会计集中核算部门编制的每周工资汇总报告。由于公司扁平的组织结构和较小的规模,加上财务总监在企业的工作背景、对企业的组
111、织结构和较小的规模,加上财务总监在企业的工作背景、对企业业务淡旺季、生产周期和工作流程十分了解,熟悉预算和报告流程,业务淡旺季、生产周期和工作流程十分了解,熟悉预算和报告流程,财务总监能迅速识别工资不当的信号及其内在的原因财务总监能迅速识别工资不当的信号及其内在的原因,如与某个项目、,如与某个项目、加班、聘用或临时解聘等情况相关。加班、聘用或临时解聘等情况相关。必要时,财务总监将展开调查以必要时,财务总监将展开调查以确定是否出现错报或者内部控制运行无效,并采取整改措施确定是否出现错报或者内部控制运行无效,并采取整改措施。n根据对控制环境和针对管理层凌驾于控制之上的风险的控制实施的审根据对控制环
112、境和针对管理层凌驾于控制之上的风险的控制实施的审计程序,注册会计师发现,该财务总监展示出诚信的品质,并致力于计程序,注册会计师发现,该财务总监展示出诚信的品质,并致力于有效的内部控制。有效的内部控制。Page 97不同精准层次企业层面内部控制不同精准层次企业层面内部控制如何分析精准度?(举例)如何分析精准度?(举例)CPA的工作判断的工作判断n注册会计师评价财务总监审查的有效性,包括其精准度。注册会计师评价财务总监审查的有效性,包括其精准度。l询问财务总监的审查过程,并且获取了审查的其他证据。询问财务总监的审查过程,并且获取了审查的其他证据。l财务总监调查确定的临界值财务总监调查确定的临界值(
113、超过该金额的差异作为重大差异进行调查超过该金额的差异作为重大差异进行调查),足以发现导致财务报表重大错报的错报。足以发现导致财务报表重大错报的错报。l选择一些财务总监标记的、偏离预期值的重大差异,并确定财务总监是选择一些财务总监标记的、偏离预期值的重大差异,并确定财务总监是否已恰当调查了差异,以确定这些差异是否由错报导致。注册会计师认否已恰当调查了差异,以确定这些差异是否由错报导致。注册会计师认为,鉴于财务总监进行审查的方式旨在发现错报,审查工作可以发现工为,鉴于财务总监进行审查的方式旨在发现错报,审查工作可以发现工资处理的错报。资处理的错报。n 但是,注册会计师认为该项控制需要依赖企业但是,
114、注册会计师认为该项控制需要依赖企业人力资源人力资源系统生成的报告,只系统生成的报告,只有当对这些报告的完整性和准确性的控制有效时,财务总监的审查才能有效有当对这些报告的完整性和准确性的控制有效时,财务总监的审查才能有效n在测试了相关计算机控制以后,注册会计师认为财务总监的审查结合针对工在测试了相关计算机控制以后,注册会计师认为财务总监的审查结合针对工资汇总报告的相关控制,能够实现上述工资处理方面的控制目标资汇总报告的相关控制,能够实现上述工资处理方面的控制目标Page 98从财务报表层次初步了解内控整体风险从财务报表层次初步了解内控整体风险评估企业层面控制评估企业层面控制识别重要账户、列报及其
115、相关认定识别重要账户、列报及其相关认定了解错报的可能来源了解错报的可能来源选择拟测试的控制并测试选择拟测试的控制并测试自上而下方法自上而下方法 总体思路总体思路自上而下的方法自上而下的方法评估业务层面的控制评估业务层面的控制Page 99实施审计工作实施审计工作步骤步骤评估企业层面控制评估企业层面控制评估业务层面控制评估业务层面控制评价控制偏差评价控制偏差特殊事项的考虑特殊事项的考虑信息系统控制信息系统控制财务报告流程财务报告流程考虑企业层面控制对重大业务考虑企业层面控制对重大业务流程的影响流程的影响u实施穿行测试程序,了解重大实施穿行测试程序,了解重大业务流程业务流程u识别可能出错项并关联到
116、相关识别可能出错项并关联到相关认定认定u识别重大业务流程中的相关控识别重大业务流程中的相关控制制u对控制有效性的初步评价对控制有效性的初步评价选择拟测试的控制选择拟测试的控制测试内部控制测试内部控制评价控制缺陷评价控制缺陷特殊考虑特殊考虑Page 100审计师选择审计师选择测试的企业层面内部控制测试的企业层面内部控制n内部控制审计中,注册会计师应当内部控制审计中,注册会计师应当测试对评价内部控制有效性有重要测试对评价内部控制有效性有重要影响的企业层面内部控制影响的企业层面内部控制;对企业层面内部控制的评价,可能增加或;对企业层面内部控制的评价,可能增加或减少本应对其他控制进行的测试。减少本应对
117、其他控制进行的测试。n注册会计师应考虑在执行业务的注册会计师应考虑在执行业务的早期阶段早期阶段进行企业层面内部控制的评进行企业层面内部控制的评价工作价工作Page 101CPA了解和测试企业层面内部控制的方法了解和测试企业层面内部控制的方法n了解和测试企业层面内部控制的方法包括但不限于:了解和测试企业层面内部控制的方法包括但不限于:n询问询问n观察观察n检查检查n可以通过设计调查问卷协助可以通过设计调查问卷协助CPACPA对企业层面控制的了解对企业层面控制的了解n仅仅通过询问仅仅通过询问不能不能为控制设计和运行的有效性提供充分证据为控制设计和运行的有效性提供充分证据。可能需。可能需要将询问和其
118、他测试手段结合使用才能得出企业层面内部控制有效性要将询问和其他测试手段结合使用才能得出企业层面内部控制有效性的结论的结论Page 102企业层面控制测试与业务层面控制测试的关系企业层面控制测试与业务层面控制测试的关系n企业层面控制决定业务层面控制,业务层面控制反作用于企业层面控企业层面控制决定业务层面控制,业务层面控制反作用于企业层面控制制企业层面控制企业层面控制:与内部控制诸要素中的基本制度安排直接相关,对企业与内部控制诸要素中的基本制度安排直接相关,对企业整体内控目标的实现具有重大影响整体内控目标的实现具有重大影响业务层面控制业务层面控制:与控制活动(控制政策和程序)在具体业务和事项中的与
119、控制活动(控制政策和程序)在具体业务和事项中的运用直接相关,对企业某一或某些方面的内控目标具有重要影响运用直接相关,对企业某一或某些方面的内控目标具有重要影响n实施企业层面控制测试和业务层面控制测试中,应当坚持自上而下、实施企业层面控制测试和业务层面控制测试中,应当坚持自上而下、上下结合的测试方法。上下结合的测试方法。自上而下,是指测试控制应当从企业层面控制入手,通过评估、预判企自上而下,是指测试控制应当从企业层面控制入手,通过评估、预判企业层面控制,增强业务层面控制测试的科学性、针对性和实效性。业层面控制,增强业务层面控制测试的科学性、针对性和实效性。强调自上而下进行测试,并不意味着企业层面
120、和业务层面的测试工作是强调自上而下进行测试,并不意味着企业层面和业务层面的测试工作是孤立进行、截然分开的,在注册会计师审计实践中,往往将企业层面控孤立进行、截然分开的,在注册会计师审计实践中,往往将企业层面控制测试和业务层面控制测试结合进行,以企业层面控制弱点锁定业务层制测试和业务层面控制测试结合进行,以企业层面控制弱点锁定业务层面控制重点,以业务层面控制效果反证企业层面控制设计面控制重点,以业务层面控制效果反证企业层面控制设计Page 103选择拟测试的控制选择拟测试的控制n不需要测试重大业务流程中的所有控制点不需要测试重大业务流程中的所有控制点n重要性原则重要性原则选择适当的控制点测试(关
121、键控制点)选择适当的控制点测试(关键控制点)n选择测试的控制点需要选择测试的控制点需要CPA专业判断专业判断n对于每个认定对应的每个可能出错项,对于每个认定对应的每个可能出错项,CPA至少需要选择一个控制进至少需要选择一个控制进行测试行测试n考虑因素考虑因素预防性控制预防性控制&发现性控制发现性控制手工控制手工控制&自动执行的控制自动执行的控制控制的相关性、充分性和敏感度控制的相关性、充分性和敏感度控制组合控制组合Page 104实施审计工作实施审计工作步骤步骤选择拟测试的控制选择拟测试的控制评估企业层面控制评估企业层面控制评估业务层面控制评估业务层面控制评价控制偏差评价控制偏差特殊事项的考虑
122、特殊事项的考虑信息系统控制信息系统控制财务报告流程财务报告流程选择拟测试的控制选择拟测试的控制测试内部控制测试内部控制评价控制缺陷评价控制缺陷特殊考虑特殊考虑Page 105实施审计工作实施审计工作步骤步骤选择拟测试的控制选择拟测试的控制关键控制关键控制n关键控制关键控制&一般控制一般控制n当一项控制可以涵盖多个可能出错事项,或者一个可能出错事项当一项控制可以涵盖多个可能出错事项,或者一个可能出错事项只有某项控制能够涵盖时,该项控制应当被认定为只有某项控制能够涵盖时,该项控制应当被认定为关键控制关键控制,除,除此之外,则被认定为此之外,则被认定为一般控制一般控制。n经验数据表明,在所有业务层面
123、控制中,关键控制一般占到经验数据表明,在所有业务层面控制中,关键控制一般占到20左右左右n没有必要测试与某项相关认定有关的没有必要测试与某项相关认定有关的所所有控制有控制。而是选择而是选择关键控制关键控制,即能够为一个或多个重要账户或列报的一个或多个相关认定提供最有即能够为一个或多个重要账户或列报的一个或多个相关认定提供最有效力证据且测试最有效率的控制。效力证据且测试最有效率的控制。Page 106实施审计工作实施审计工作步骤步骤选择拟测试的控制选择拟测试的控制关键控制关键控制如何如何选择关键控制选择关键控制?( 1 )哪些控制是不可缺少的?哪些控制是不可缺少的? (2)哪些控制直接针对相关认
124、定?哪些控制直接针对相关认定? (3)哪些控制可以应对错误或舞弊导致的重大错报风险?哪些控制可以应对错误或舞弊导致的重大错报风险? (4)控制的运行是否足够精确?控制的运行是否足够精确? n选取关键控制需要注册会计师作出职业判断选取关键控制需要注册会计师作出职业判断。n注册会计师无须测试那些即使有缺陷也合理预期不会导致财务报表重注册会计师无须测试那些即使有缺陷也合理预期不会导致财务报表重大错报的控制。大错报的控制。Page 107实施审计工作实施审计工作步骤步骤选择拟测试的控制选择拟测试的控制关键控制(举例)关键控制(举例)可能出错事项可能出错事项控制控制1 12 23 34 45 51 12
125、 23 34 45 5控制1可以涵盖可能出错事项1、2、3和5,即一项控制可以涵盖多个可能出错事项,因此控制1可被认定为关键控制;对于可能出错事项4,只有控制2能够涵盖,即一个可能出错事项只有一项控制能够涵盖,因此控制2可被认定为关键控制。控制3、4、5为一般控制问题:哪些是关键控制?哪些是一般控制?问题:哪些是关键控制?哪些是一般控制?Page 108实施审计工作实施审计工作步骤步骤选择拟测试的控制选择拟测试的控制关键控制关键控制n企业管理层在执行内部控制自我评价时选择测试的控制,可能多于企业管理层在执行内部控制自我评价时选择测试的控制,可能多于注注册会计师认为为了评价内部控制的有效性有必要
126、测试的控制。册会计师认为为了评价内部控制的有效性有必要测试的控制。n管理层的这种决定,不影响注册会计师管理层的这种决定,不影响注册会计师的控制测试决策,注册会计师的控制测试决策,注册会计师只需要测试那些对形成内部控制审计意见有重大影响的控制只需要测试那些对形成内部控制审计意见有重大影响的控制Page 109n应对销售收入的应对销售收入的“发生发生”认定的重大错报风险认定的重大错报风险l控制控制1:保证出库单只为已经发出的货物编制:保证出库单只为已经发出的货物编制l控制控制2:保证销售发票只有在与一张出库单相匹配时才能开出并登:保证销售发票只有在与一张出库单相匹配时才能开出并登记入账记入账l控制
127、控制3:复核毛利率或进行实际销售和预算销售的比较:复核毛利率或进行实际销售和预算销售的比较l控制控制4:检查性控制检查性控制,对实际发货数量与开票数量进行定期核对调,对实际发货数量与开票数量进行定期核对调节,对销售流程中节,对销售流程中“存在性存在性”这和这和“完整性完整性”这一目标提供合理这一目标提供合理保证保证n注册会计师只需了解对实际发货数量与开票数量进行定期核对调节的注册会计师只需了解对实际发货数量与开票数量进行定期核对调节的控制即可。控制即可。n控制控制3的主要目的不是为了查出未开票的发货。该控制与认定间接相的主要目的不是为了查出未开票的发货。该控制与认定间接相关。关。注册会计师应考
128、虑识别和了解与认定关系更直接、更有效的控制注册会计师应考虑识别和了解与认定关系更直接、更有效的控制实施审计工作实施审计工作选择拟测试的控制选择拟测试的控制关键控制(举例关键控制(举例1)Page 110实施审计工作实施审计工作选择拟测试的控制选择拟测试的控制关键控制(举例关键控制(举例2)控制编号 控制描述控制频率人工自动预防性检查性认定是否关键控制判断是否为关键控制的理由订单一l销售员对新客户的基本信息和信用状况进行调查并填写新客户信用调查表,交给销售经理、财务经理和总经理复核批准,应收账款会计根据三位管理人员的签字批准在信息系统中添加新客户并设定赊销限额。不定期人工 预防性发生计价 否该项
129、控制属于销售交易发起之前的控制,侧重于企业的经营效率效果,与销售收入的发生认定和计价认定只有间接的联系(发生产品只销售给真实的经授权的客户;计价执行客户信用管理,避免应收账款无法收回的损失),但不直接针对这些认定。订单一5所有的销售订单均交给销售经理审核;销售经理检查客户的剩余授信额度、约定价格等信息,与订单进行核对,以决定是否批准销售订单。仓储部根据经批准的订单开具提货单,准备发货。不定期人工 预防性发生 是该项控制与销售收入的发生认定直接相关,能够防止未经授权的销售行为,是企业确保销售收入真实有效且经过适当授权的重要手段。发货一4仓储经理每天随意抽查l一2笔出库产品,将堆放在装运区准备发送
130、的货物,与销售订单和提货单进行核对。该程序无书面记录。每天1次人工 预防准 确性 否该项控制具有随意性,不够精确,而目未留下书面记录,注册会计师只能观察和询问,而无法实施检查程序以测试该控制的有效判断是否为关键控制判断是否为关键控制?Page 111实施审计工作实施审计工作步骤步骤测试内部控制测试内部控制评估企业层面控制评估企业层面控制评估业务层面控制评估业务层面控制评价控制偏差评价控制偏差特殊事项的考虑特殊事项的考虑信息系统控制信息系统控制财务报告流程财务报告流程选择拟测试的控制选择拟测试的控制测试内部控制测试内部控制评价控制缺陷评价控制缺陷特殊考虑特殊考虑Page 112测试控制的有效性测
131、试控制的有效性设计有效性设计有效性n注册会计师应当测试控制注册会计师应当测试控制设计的有效性设计的有效性如果控制由拥有有效执行控制所需的授权和专业胜任能力的人员按规如果控制由拥有有效执行控制所需的授权和专业胜任能力的人员按规定执行,能够实现控制目标,从而有效地防止或发现可能导致财务报定执行,能够实现控制目标,从而有效地防止或发现可能导致财务报表发生重大错报的错误或舞弊,则表明控制的设计是有效的。表发生重大错报的错误或舞弊,则表明控制的设计是有效的。注册会计师在测试控制设计的有效性时,应当综合运用询问适当人员、注册会计师在测试控制设计的有效性时,应当综合运用询问适当人员、观察企业经营活动和检查相
132、关文件等程序。观察企业经营活动和检查相关文件等程序。注册会计师执行穿行测试通常足以评价控制设计的有效性。注册会计师执行穿行测试通常足以评价控制设计的有效性。设计设计有效性有效性执行执行有效性有效性内控内控有效性有效性Page 113测试控制的有效性测试控制的有效性运行有效性运行有效性n运行有效性的含义运行有效性的含义如果控制正在按照设计运行、执行人员拥有有效执行控制所需如果控制正在按照设计运行、执行人员拥有有效执行控制所需的授权和专业胜任能力,则表明控制的运行是有效的。的授权和专业胜任能力,则表明控制的运行是有效的。 如果企业利用第三方的帮助完成一些财务报告工作,注册会计如果企业利用第三方的帮
133、助完成一些财务报告工作,注册会计师在评价负责企业财务报告及相关控制的人员的专业胜任能力师在评价负责企业财务报告及相关控制的人员的专业胜任能力时,应当一并考虑第三方的专业胜任能力。时,应当一并考虑第三方的专业胜任能力。n控制测试的性质,即测试控制运控制测试的性质,即测试控制运行有效性的程序行有效性的程序询问询问观察观察检查检查重新执行重新执行控制运行有效性的审计证据控制运行有效性的审计证据包括:包括: (1)控制在所审计期间的控制在所审计期间的相关时点是相关时点是如何运行如何运行的;的; (2)控制是否得到控制是否得到一贯执一贯执行行; (3)控制由控制由谁或以何种方谁或以何种方式式执行执行Pa
134、ge 114控制测试的性质(即:控制测试程序)控制测试的性质(即:控制测试程序)n注册会计师实施控制测试的程序,按注册会计师实施控制测试的程序,按提供证据的效力提供证据的效力,由弱到强排,由弱到强排序为:序为:询问询问 观察观察 检查检查 重新执行重新执行。n询问本身并不能为得出控制是否有效的结论提供充分、适当的证据询问本身并不能为得出控制是否有效的结论提供充分、适当的证据。n控制测试程序的性质在很大程度上取决于拟测试控制的性质。某些控制测试程序的性质在很大程度上取决于拟测试控制的性质。某些控制可能存在反映控制运行有效性的文件记录,而另外一些控制,控制可能存在反映控制运行有效性的文件记录,而另
135、外一些控制,如管理理念和经营风格,可能没有书面的运行证据。如管理理念和经营风格,可能没有书面的运行证据。n对缺乏正式的控制运行证据的企业或业务单元,注册会计师可以通对缺乏正式的控制运行证据的企业或业务单元,注册会计师可以通过询问并结合运用其他程序,如观察活动、检查非正式的书面记录过询问并结合运用其他程序,如观察活动、检查非正式的书面记录和重新执行某些控制,获取有关控制是否有效的充分、适当的证据。和重新执行某些控制,获取有关控制是否有效的充分、适当的证据。Page 115控制测试的性质(即:控制测试程序)控制测试的性质(即:控制测试程序)实务问题:询问时,通常是级别实务问题:询问时,通常是级别“
136、从高到低从高到低”还是还是“从低到高从低到高”?n通常先询问那些级别较高的人员,再询问级别较低的人员,以确定他通常先询问那些级别较高的人员,再询问级别较低的人员,以确定他们认为应该运行控制,以及哪些控制是重要的。们认为应该运行控制,以及哪些控制是重要的。n“从高到低从高到低”的询问方法使注册会计师辨别被审计单位重要的控制,的询问方法使注册会计师辨别被审计单位重要的控制,特别是检查性控制。特别是检查性控制。n 从级别较低人员处获取的信息,应向级别较高的人员核实其完整性及从级别较低人员处获取的信息,应向级别较高的人员核实其完整性及是否与级别较高的人员所理解的预定控制相符。是否与级别较高的人员所理解
137、的预定控制相符。n这一步骤不仅可以向注册会计师提供有关实际执行的控制的信息,而这一步骤不仅可以向注册会计师提供有关实际执行的控制的信息,而且可以使注册会计师了解管理层对控制运行熟悉程度且可以使注册会计师了解管理层对控制运行熟悉程度Page 116控制测试的性质(即:控制测试程序)控制测试的性质(即:控制测试程序)n通常通常只有当只有当综合运用询问、观察和检查证据仍无法获得充分、适当证综合运用询问、观察和检查证据仍无法获得充分、适当证据时,注册会计师据时,注册会计师才考虑通过重新执行才考虑通过重新执行以证实控制是否有效运行。以证实控制是否有效运行。n重新执行的目的是评价控制的有效性而不是测试特定
138、交易或余额的存重新执行的目的是评价控制的有效性而不是测试特定交易或余额的存在或准确性,因此一般不必选取大量的项目,也不必特意选取金额重在或准确性,因此一般不必选取大量的项目,也不必特意选取金额重大的项目进行测试大的项目进行测试n对一些简单、常规的控制,在穿行测试中实施询问、观察或检查程序对一些简单、常规的控制,在穿行测试中实施询问、观察或检查程序可能对于测试该控制的运行有效性而言已经足够。可能对于测试该控制的运行有效性而言已经足够。注册会计师不需要注册会计师不需要机械地认为对所有的关键控制都需要通过重新执行进行测试机械地认为对所有的关键控制都需要通过重新执行进行测试,而是要,而是要根据与控制相
139、关的风险,适当调整控制测试的性质根据与控制相关的风险,适当调整控制测试的性质问题:通常,在什么情况下,才会重新执行?问题:通常,在什么情况下,才会重新执行?Page 117控制测试的性质(即:控制测试程序)控制测试的性质(即:控制测试程序)n测试财务主管审核银行余额调节表这一控制测试财务主管审核银行余额调节表这一控制n根据测试目的,注册会计师可以根据测试目的,注册会计师可以检查检查银行余额调节表是否存在,浏览调节事银行余额调节表是否存在,浏览调节事项是否得到适当处理,以及检查调节表上是否有编制者和审批者的签字。项是否得到适当处理,以及检查调节表上是否有编制者和审批者的签字。n如果需要更多的审计
140、证据如果需要更多的审计证据,如发现调节表上有非正常项目时,如发现调节表上有非正常项目时,可以考虑重新可以考虑重新执行执行调节过程以确定控制是否有效。调节过程以确定控制是否有效。重新执行通常包括重新执行审核者实施的步骤,如将调节表上的金额与重新执行通常包括重新执行审核者实施的步骤,如将调节表上的金额与相关支持性文件进行核对,查看与非正常调节项目相关的支持性文件及相关支持性文件进行核对,查看与非正常调节项目相关的支持性文件及对有关调节事项做进一步调查等。对有关调节事项做进一步调查等。如果注册会计师认为银行余额调节表编制不当但审核者仍然签名,就需如果注册会计师认为银行余额调节表编制不当但审核者仍然签
141、名,就需要跟进了解为什么在这种情况下审核者仍然认可调节表,以便决定这种要跟进了解为什么在这种情况下审核者仍然认可调节表,以便决定这种审核是否有效。审核是否有效。检查和重新执行这两种测试程序的差异检查和重新执行这两种测试程序的差异?(举例)?(举例)Page 118控制测试的性质(即:控制测试程序)控制测试的性质(即:控制测试程序)测试新客户信用审批控制测试新客户信用审批控制n如果注册会计师选择如果注册会计师选择检查检查程序,程序,就会查看申请文件以证实授信是否得就会查看申请文件以证实授信是否得到适当人员的批准。到适当人员的批准。n如果注册会计师选择如果注册会计师选择重新执行重新执行该控制,就需
142、要审核客户有关资料,评该控制,就需要审核客户有关资料,评价客户是否符合授信标准,并检查批准程序是否按规定执行。如果发价客户是否符合授信标准,并检查批准程序是否按规定执行。如果发现一个不符合授信政策的项目,注册会计师需要采取跟进措施,确定现一个不符合授信政策的项目,注册会计师需要采取跟进措施,确定该审批控制是否有效。该审批控制是否有效。检查和重新执行这两种测试程序的差异检查和重新执行这两种测试程序的差异?(举例)?(举例)Page 119控制测试的性质(即:控制测试程序)举例控制测试的性质(即:控制测试程序)举例每月手工调节控制每月手工调节控制(综合运用控制测试程序)(综合运用控制测试程序)n
143、注册会计师在审计注册会计师在审计xYZ公司的财务报告内部控制时,确定应收账款是一个重要账户。公司的财务报告内部控制时,确定应收账款是一个重要账户。通过与被审计单位人员进行讨论和查阅文件记录,注册会计师了解到被审计单位人员通过与被审计单位人员进行讨论和查阅文件记录,注册会计师了解到被审计单位人员每月将应收账款明细账与总账进行调节。为确定是否能及时发现应收账款的错报每月将应收账款明细账与总账进行调节。为确定是否能及时发现应收账款的错报(存在、存在、计价和完整性计价和完整性),注册会计师决定,注册会计师决定对每月调节程序中存在的控制进行测试对每月调节程序中存在的控制进行测试。n注册会计师根据应收账款
144、明细账户的数量,选取应收账款调节表若干样本,对调节控注册会计师根据应收账款明细账户的数量,选取应收账款调节表若干样本,对调节控制进行测试。制进行测试。n注册会计师决定在十月份实施测试调节控制的程序。控制测试的对象总体是注册会计师决定在十月份实施测试调节控制的程序。控制测试的对象总体是1月份到月份到9月份的调节控制月份的调节控制(1)向实施该控制的被审计单位人员向实施该控制的被审计单位人员询问询问。问题包括:问题包括:p是否有文件记录描述账户调节流程;是否有文件记录描述账户调节流程;p从事这项工作多长时间;从事这项工作多长时间;p 处理调节项目的过程;处理调节项目的过程;p 有关人员对调节表进行
145、正式复核和签有关人员对调节表进行正式复核和签署的频率;署的频率;p向谁报告调节过程中发现的重大问题;向谁报告调节过程中发现的重大问题;p每月平均有多少个调节项目;每月平均有多少个调节项目;p 如何处理长期存在的调节项目;如何处理长期存在的调节项目;p 如何在信息系统中对调节项目作如何在信息系统中对调节项目作出更正出更正(如有需要如有需要);p 调节项目的调节项目的一一般性质般性质Page 120控制测试的性质(即:控制测试程序)举例控制测试的性质(即:控制测试程序)举例每月手工调节控制每月手工调节控制(综合运用控制测试程序)(综合运用控制测试程序)n观察和检查控制的执行观察和检查控制的执行注册
146、会计师注册会计师观察观察被审计单位人员实施调节的过程。被审计单位人员实施调节的过程。对于非经常性的调节项目,注册会计师对于非经常性的调节项目,注册会计师检查检查调节表是否针对每个调节表是否针对每个项目的性质、采取的解决措施以及该项目是否得到及时解决作出项目的性质、采取的解决措施以及该项目是否得到及时解决作出了清晰的说明了清晰的说明n 重新执行该控制。重新执行该控制。注册会计师检查调节表注册会计师检查调节表并重新执行并重新执行调节程序。对于调节程序。对于5月份和月份和9月份月份的调节表,注册会计师以抽查的形式将调节项目与原始文件进行的调节表,注册会计师以抽查的形式将调节项目与原始文件进行核对。这
147、些调节表中包括的调节项目只有前一天放入保险箱但尚核对。这些调节表中包括的调节项目只有前一天放入保险箱但尚未记入客户账户的现金。注册会计师继续追查这些项目,确定这未记入客户账户的现金。注册会计师继续追查这些项目,确定这些调节项已在下一个工作日得到处理些调节项已在下一个工作日得到处理Page 121风险与测试控制中拟获取证据的关系风险与测试控制中拟获取证据的关系n在测试所选定控制的有效性时,注册会计师应当根据与控制相关的在测试所选定控制的有效性时,注册会计师应当根据与控制相关的风险,确定所需获取的证据。风险,确定所需获取的证据。n与控制相关的风险包括控制可能无效的风险和因控制无效而导致重与控制相关
148、的风险包括控制可能无效的风险和因控制无效而导致重大缺陷的风险。与大缺陷的风险。与控制相关的风险越高,注册会计师需要获取的证控制相关的风险越高,注册会计师需要获取的证据就越多。据就越多。n注册会计师通过测试控制有效性获取的证据,取决于其实施程序的注册会计师通过测试控制有效性获取的证据,取决于其实施程序的性质、时间和范围的组合。此外,就单项控制而言,注册会计师应性质、时间和范围的组合。此外,就单项控制而言,注册会计师应当根据与控制相关的风险对测试程序的性质、时间和范围进行适当当根据与控制相关的风险对测试程序的性质、时间和范围进行适当的组合,以获取充分、适当的证据。的组合,以获取充分、适当的证据。P
149、age 122风险与测试控制中拟获取证据的关系风险与测试控制中拟获取证据的关系下列因素影响与某项控制相关的风险:下列因素影响与某项控制相关的风险:n该项控制拟防止或发现的错报的性质和重要程度;该项控制拟防止或发现的错报的性质和重要程度;n相关账户、列报及其认定的固有风险;相关账户、列报及其认定的固有风险;n交易的数量和性质是否发生变化,进而可能对该项控制设计或运行的有效性产交易的数量和性质是否发生变化,进而可能对该项控制设计或运行的有效性产生不利影响;生不利影响;n相关账户或列报是否曾经出现错报;相关账户或列报是否曾经出现错报;n企业层面控制(特别是监督其他控制的控制)的有效性;企业层面控制(
150、特别是监督其他控制的控制)的有效性;n该项控制的性质及其执行频率;该项控制的性质及其执行频率;n该项控制对其他控制(如控制环境或信息技术一般控制)有效性的依赖程度;该项控制对其他控制(如控制环境或信息技术一般控制)有效性的依赖程度;n执行该项控制或监督该项控制执行的人员的专业胜任能力,以及其中的关键人执行该项控制或监督该项控制执行的人员的专业胜任能力,以及其中的关键人员是否发生变化;员是否发生变化;n该项控制是人工控制还是自动化控制;该项控制是人工控制还是自动化控制; n该项控制的复杂程度,以及在运行过程中依赖判断的程度。该项控制的复杂程度,以及在运行过程中依赖判断的程度。 连续审计中,还应考
151、虑连续审计中,还应考虑n(1)以前审计所执行的审计程序的性质、时间安排和范围;以前审计所执行的审计程序的性质、时间安排和范围;n (2)以前审计控制测试的结果;以前审计控制测试的结果;n (3)自上次审计以来控制或流程是否发生变化。自上次审计以来控制或流程是否发生变化。Page 123控制测试的时间安排控制测试的时间安排n控制测试控制测试涵盖的期间越长涵盖的期间越长,提供的控制有效性的证据越多。,提供的控制有效性的证据越多。n控制测试控制测试实施的时间越接近于管理层评估日实施的时间越接近于管理层评估日,提供的控制有效,提供的控制有效性的证据越有力。性的证据越有力。n为获取充分、适当的证据,注册
152、会计师应当在下列两个因素之为获取充分、适当的证据,注册会计师应当在下列两个因素之间作出间作出平衡平衡,以确定控制测试的时间:,以确定控制测试的时间:尽量在接近管理层评估日实施控制测试;尽量在接近管理层评估日实施控制测试;控制测试需要涵盖足够长的期间。控制测试需要涵盖足够长的期间。 Page 124控制测试的控制测试的时间时间n注册会计师旨在对截至某特定日期(通常是年末)内部控制的有效性出具注册会计师旨在对截至某特定日期(通常是年末)内部控制的有效性出具报告。如果已获取截至期中某日期控制运行有效性的证据,注册会计师应报告。如果已获取截至期中某日期控制运行有效性的证据,注册会计师应当确定还需要获取
153、哪些补充证据,以证实当确定还需要获取哪些补充证据,以证实剩余期间控制的运行剩余期间控制的运行情况。情况。n在在将期中测试的结果更新至年末将期中测试的结果更新至年末时,注册会计师应当考虑下列因素以确定时,注册会计师应当考虑下列因素以确定需获取的补充证据:需获取的补充证据:基准日之前测试的特定控制,包括与控制相关的风险、控制的性质和基准日之前测试的特定控制,包括与控制相关的风险、控制的性质和测试的结果;测试的结果;期中获取的有关证据的充分、适当性;期中获取的有关证据的充分、适当性;剩余期间的长短;剩余期间的长短;期中测试之后,内部控制发生重大变化的可能性。期中测试之后,内部控制发生重大变化的可能性
154、。Page 125控制测试的时间安排控制测试的时间安排期中测试的两种方法期中测试的两种方法按照按照企业内部控制审计指引实施意见企业内部控制审计指引实施意见提供的提供的样本规模表进行期中测试,然后对剩余期间实施样本规模表进行期中测试,然后对剩余期间实施前推测试前推测试将样本分成两部分,一部分在期中测试,剩余部将样本分成两部分,一部分在期中测试,剩余部分在临近年末的期间测试分在临近年末的期间测试期中测试期中测试两种方法两种方法如果认为所选取的样本规模足以满足内部控制审计的目的,如果认为所选取的样本规模足以满足内部控制审计的目的,第二种测试方法可第二种测试方法可能是更为有效的审计方法能是更为有效的审
155、计方法接近年末测试的样本越多,可以为财务报表审计和内部控制审计提供越多的审接近年末测试的样本越多,可以为财务报表审计和内部控制审计提供越多的审计证据计证据Page 126控制测试的时间安排控制测试的时间安排期中测试和前推程序期中测试和前推程序n如果已获取有关控制在期中运行有效性的审计证据,注册会计师应当如果已获取有关控制在期中运行有效性的审计证据,注册会计师应当确定还需要获取哪些补充审计证据,以确定还需要获取哪些补充审计证据,以证实剩余期间控制的运行情况证实剩余期间控制的运行情况n在将期中测试结果前推至基准日时,注册会计师应当考虑下列因素以在将期中测试结果前推至基准日时,注册会计师应当考虑下列
156、因素以确定需要获取的补充审计证据:确定需要获取的补充审计证据: ( 1 )基准日之前测试的特定控制,包括与控制相关的风险、控制基准日之前测试的特定控制,包括与控制相关的风险、控制的性质和测试的结果;的性质和测试的结果; (2)期中获取的有关审计证据的充分性和适当性;期中获取的有关审计证据的充分性和适当性; (3)剩余期间的长短;剩余期间的长短; (4)期中测试之后,内部控制发生重大变化的可能性期中测试之后,内部控制发生重大变化的可能性; (5)注册会计师基于对控制的依赖程度拟减少进一步实质性程序的注册会计师基于对控制的依赖程度拟减少进一步实质性程序的程度程度(仅适用于整合审计仅适用于整合审计)
157、; (6)控制环境控制环境Page 127控制测试的时间安排控制测试的时间安排期中测试和前推程序期中测试和前推程序n问题:如何证实剩余期间控制的运行?问题:如何证实剩余期间控制的运行?根据控制风险的不同,根据控制风险的不同,CPA可以通过可以通过询问或其他程序询问或其他程序获得补充证据获得补充证据p多数情况多数情况:由于注册会计师在期中对控制实施了充分的测试,因此仅需实施:由于注册会计师在期中对控制实施了充分的测试,因此仅需实施询问程序或综合运用询问和观察程序就可以对该控制是否继续有效运行提供充询问程序或综合运用询问和观察程序就可以对该控制是否继续有效运行提供充分的证据,尤其是那些风险不高的控
158、制。分的证据,尤其是那些风险不高的控制。p与控制相关的风险越高,与控制相关的风险越高,期中测试的时间与基准日间隔越久,注册会计师就期中测试的时间与基准日间隔越久,注册会计师就剩余期间控制运行的有效性获取证据而实施的程序剩余期间控制运行的有效性获取证据而实施的程序越可能不限于询问,还要包越可能不限于询问,还要包括观察、检查,甚至重新执行括观察、检查,甚至重新执行。p 在这种情况下,对每个控制,测试剩余期间的控制的一次或几次运行情况通在这种情况下,对每个控制,测试剩余期间的控制的一次或几次运行情况通常就足够了。常就足够了。p自期中控制测试之后流程发生了涉及重要控制或重要风险的自期中控制测试之后流程
159、发生了涉及重要控制或重要风险的重大变化重大变化,导致,导致注册会计师认为与控制相关的风险很高,从而决定针对控制在剩余期间的运行注册会计师认为与控制相关的风险很高,从而决定针对控制在剩余期间的运行有效性获得重新执行程序能够提供的保证程度,注册会计师实施重新执行程序有效性获得重新执行程序能够提供的保证程度,注册会计师实施重新执行程序时应执行时应执行企业内部控制审计指引实施意见企业内部控制审计指引实施意见规定的最低样本规模规定的最低样本规模前推程序前推程序Page 128控制测试的性质(即:控制测试程序)举例控制测试的性质(即:控制测试程序)举例每日手工预防性控制每日手工预防性控制(综合运用控制测试
160、程序)(综合运用控制测试程序)n注册会计师在审计注册会计师在审计xYz公司的财务报告内部控制时,确定银行存款和公司的财务报告内部控制时,确定银行存款和应付账款是重要账户。通过与被审计单位人员讨论,注册会计师了解应付账款是重要账户。通过与被审计单位人员讨论,注册会计师了解到被审计单位人员只有在将发票与订购单信息核对一致后,才会付款。到被审计单位人员只有在将发票与订购单信息核对一致后,才会付款。为确定是否能及时地预防银行存款为确定是否能及时地预防银行存款(存在存在)和应付账款和应付账款(存在、计价和完存在、计价和完整性整性)中存在的错报,注册会计师对中存在的错报,注册会计师对“将发票与订购单信息核
161、对一致将发票与订购单信息核对一致后再付款后再付款”这一控制实施了测试。这一控制实施了测试。n 注册会计师从注册会计师从1月至月至9月的银行支付明细账中随机选取了月的银行支付明细账中随机选取了25笔付款记笔付款记录。测试对象是被审计单位员工对常规的支付交易所执行的手工控制,录。测试对象是被审计单位员工对常规的支付交易所执行的手工控制,因此注册会计师认为测试因此注册会计师认为测试25笔付款交易是适当的。而且,注册会计师笔付款交易是适当的。而且,注册会计师根据较早实施的企业层面控制测试的结果,预期该控制不会出现错误根据较早实施的企业层面控制测试的结果,预期该控制不会出现错误Page 129控制测试的
162、性质(即:控制测试程序)举例控制测试的性质(即:控制测试程序)举例n每日手工预防性控制每日手工预防性控制(综合运用控制测试程序)(综合运用控制测试程序)n(1)在取得相关凭证后,注册会计师在取得相关凭证后,注册会计师检查检查发票上是否有负责应付账款的发票上是否有负责应付账款的财务人员的签字,证明其执行了核对控制。但是,在凭证上签字并一财务人员的签字,证明其执行了核对控制。但是,在凭证上签字并一定说明工作人员在签字前认真复核了相关信息。财务人员可能只是草定说明工作人员在签字前认真复核了相关信息。财务人员可能只是草草复核或根本没有复核凭证就签字。草复核或根本没有复核凭证就签字。n (2)注册会计师
163、认为签字不足以证明该控制在测试期间内有效运行。注册会计师认为签字不足以证明该控制在测试期间内有效运行。为了获取更多的证据,注册会计师为了获取更多的证据,注册会计师重新执行重新执行了与签字相关的核对控制,了与签字相关的核对控制,包括检查发票以确定发票信息与订购单信息一致,且发票金额的计算包括检查发票以确定发票信息与订购单信息一致,且发票金额的计算是准确的是准确的Page 130控制测试的性质(即:控制测试程序)举例控制测试的性质(即:控制测试程序)举例n每日手工预防性控制每日手工预防性控制(综合运用控制测试程序)(综合运用控制测试程序)n注册会计师还粗略地浏览了包含本年度所有调节表的文件夹,发现
164、调节表均注册会计师还粗略地浏览了包含本年度所有调节表的文件夹,发现调节表均已及时完成。为了解被审计单位从已及时完成。为了解被审计单位从年中至年末的剩余期间年中至年末的剩余期间里有没有对调节控里有没有对调节控制程序作出重大变更,注册会计师向被审计单位人员制程序作出重大变更,注册会计师向被审计单位人员询问询问,确定这些程序在确定这些程序在剩余期间内未发生变化剩余期间内未发生变化。因此,注册会计师通过。因此,注册会计师通过浏览浏览月度账户调节表证实控月度账户调节表证实控制在剩余期间得到及时执行,从而验证控制在剩余期间仍然有效。制在剩余期间得到及时执行,从而验证控制在剩余期间仍然有效。根据注册会计师实
165、施的程序,注册会计师认为截至本年末,该调节控制是有根据注册会计师实施的程序,注册会计师认为截至本年末,该调节控制是有效的。效的。n由于注册会计师在期中已实施控制测试,因此注册会计师通过由于注册会计师在期中已实施控制测试,因此注册会计师通过询问询问应付账款应付账款财务人员该控制是否仍然存在并有效运行,将该测试财务人员该控制是否仍然存在并有效运行,将该测试前推前推至年末至年末(从从10月份至月份至12月份月份)。注册会计师通过对。注册会计师通过对12月份的一笔交易实施穿行测试,证实了询问所月份的一笔交易实施穿行测试,证实了询问所获得的信息。获得的信息。根据实施的程序,注册会计师认为截至本年末,根据
166、实施的程序,注册会计师认为截至本年末,“将发票与订购单信息核对将发票与订购单信息核对一致后再付款一致后再付款”这一控制是有效的这一控制是有效的前推程序前推程序Page 131131控制测试的样本量控制测试的样本量人工控制的最小样本量区间人工控制的最小样本量区间 控制运行控制运行频率频率 控制运行总次数控制运行总次数 测试的最小样本量区间测试的最小样本量区间 每年1次 11每季1次 42每月1次 122-5每周1次 525-15每天1次25020-40每天多次大于25025-60假设控制的运行偏差率预期为零。如果预期偏差率不为零,注册会计师应当假设控制的运行偏差率预期为零。如果预期偏差率不为零,
167、注册会计师应当扩大样本规模扩大样本规模Page 132n在下列情况下(无需全部具备),注册会计师可以使用测试的最小在下列情况下(无需全部具备),注册会计师可以使用测试的最小样本规模区间的最低值样本规模区间的最低值 (1)与账户及其认定相关的固有风险和舞弊风险为低水平;与账户及其认定相关的固有风险和舞弊风险为低水平; (2)是日常控制,执行时需要很少判断;是日常控制,执行时需要很少判断; (3)实施穿行测试得出的结论和以前年度审计的结果表明未发现实施穿行测试得出的结论和以前年度审计的结果表明未发现控制缺陷;控制缺陷; (4)管理层针对该项控制的测试结果表明未发现控制缺陷;管理层针对该项控制的测试
168、结果表明未发现控制缺陷; (5)存在有效的补偿性控制,且管理层针对补偿性控制的测试结存在有效的补偿性控制,且管理层针对补偿性控制的测试结果为运行有效;果为运行有效; (6)根据对控制的性质以及内部审计人员客观性和胜任能力的考根据对控制的性质以及内部审计人员客观性和胜任能力的考虑,注册会计师拟更多地利用他人的工作。虑,注册会计师拟更多地利用他人的工作。控制测试的样本量控制测试的样本量人工控制的最小样本量区间人工控制的最小样本量区间 Page 133控制测试的样本量控制测试的样本量人工控制的最小样本量区间人工控制的最小样本量区间 实务问题:在确定控制运行的总次数时,还要注意拟实务问题:在确定控制运
169、行的总次数时,还要注意拟测试的控制测试的控制是否是是否是同质同质的,能否作为一个总体。如何理解?的,能否作为一个总体。如何理解?举例:举例:某公司存在一项每月运行某公司存在一项每月运行1次的控制,如某一员工对次的控制,如某一员工对50个银行账户每月编制个银行账户每月编制银行余额调节表。银行余额调节表。1、计算控制每年运行的总次数,即、计算控制每年运行的总次数,即1250=600(次次);2、根据总次数选择表、根据总次数选择表31中对应的部分,应为大于中对应的部分,应为大于250次,每天多次,样本次,每天多次,样本规模应为规模应为2560个。个。 3、如果由多个人员执行同一控制,应当分别确定总体
170、,针对每个人员确定、如果由多个人员执行同一控制,应当分别确定总体,针对每个人员确定样本规模。如果由两个人执行样本规模。如果由两个人执行600次控制,样本规模应为次控制,样本规模应为25个,即应针对每个,即应针对每个人测试个人测试25次,一共次,一共50个样本。个样本。4、如果由统一的财务主管复核每个人编制的银行余额调节表,通过了解和评、如果由统一的财务主管复核每个人编制的银行余额调节表,通过了解和评价财务主管的复核控制,可以保证经复核的控制是同质的,则可以将两个人价财务主管的复核控制,可以保证经复核的控制是同质的,则可以将两个人执行的控制作为一个总体执行的控制作为一个总体Page 134n由于
171、有效的内部控制不能为实现控制目标提供绝对保证,单项控制并由于有效的内部控制不能为实现控制目标提供绝对保证,单项控制并非一定要毫无偏差地运行,才被认为有效。非一定要毫无偏差地运行,才被认为有效。n如果发现控制偏差,注册会计师应当考虑偏差的原因及性质,并考虑如果发现控制偏差,注册会计师应当考虑偏差的原因及性质,并考虑采用扩大样本规模等适当的应对措施以判断该偏差是否对总体不具有采用扩大样本规模等适当的应对措施以判断该偏差是否对总体不具有代表性代表性如果初始样本规模为如果初始样本规模为25个,当测试发现一项控制偏差,且该偏差个,当测试发现一项控制偏差,且该偏差不是系统性偏差时,注册会计师可以扩大样本规
172、模进行测试,所不是系统性偏差时,注册会计师可以扩大样本规模进行测试,所增加的样本规模至少为增加的样本规模至少为15个。个。如果测试后再次发现偏差,则注册会计师可以得出该控制无效的如果测试后再次发现偏差,则注册会计师可以得出该控制无效的结论结论如果扩大样本规模没有再次发现偏差,则注册会计师可以得出控如果扩大样本规模没有再次发现偏差,则注册会计师可以得出控制有效的结论。制有效的结论。控制测试的样本量控制测试的样本量人工控制的最小样本量区间人工控制的最小样本量区间 发现控制偏差时,如何处理?发现控制偏差时,如何处理?Page 135n在信息技术在信息技术一般控制有效的前提下一般控制有效的前提下,除非
173、系统发生变动,注册会计师,除非系统发生变动,注册会计师只要对只要对自动化应用控制的运行测试一次自动化应用控制的运行测试一次,即可得出所测试自动化应用,即可得出所测试自动化应用控制是否运行有效的结论控制是否运行有效的结论n对于一项自动化应用控制,一旦确定被审计单位正在执行该控制,注对于一项自动化应用控制,一旦确定被审计单位正在执行该控制,注册会计师通常无须扩大控制测试的范围,但需要考虑执行下列测试以册会计师通常无须扩大控制测试的范围,但需要考虑执行下列测试以确定该控制持续有效运行:确定该控制持续有效运行:(1)测试与该应用控制有关的一般控制的运行有效性;测试与该应用控制有关的一般控制的运行有效性
174、; (2)确定系统是否发生变动,如果发生变动,是否存在适当的系统确定系统是否发生变动,如果发生变动,是否存在适当的系统变动控制;变动控制;(3)确定对交易的处理是否使用授权批准的软件版本确定对交易的处理是否使用授权批准的软件版本控制测试的样本量控制测试的样本量自动化应用控制的最小样本规模自动化应用控制的最小样本规模Page 136136控制测试的样本量控制测试的样本量整改后控制运行的最短期间(或最少运行次数)和整改后控制运行的最短期间(或最少运行次数)和最少测试数量最少测试数量 控制运行控制运行频率频率 整改后控制运行的最短期间或整改后控制运行的最短期间或最少运行次数最少运行次数 测试的最数测
175、试的最数量量 每年1次 11每季1次 2季2每月1次 2月2每周1次 5周5每天1次20天20每天多次25次(分布于涵盖多天的期间,通常不少于15天) 25-60Page 137针对信息技术一般控制和自动化控制的前推程序针对信息技术一般控制和自动化控制的前推程序p注册会计师在期中对重要的信息技术注册会计师在期中对重要的信息技术一般控制一般控制实施了测试,则通常还需要实施了测试,则通常还需要对其实施对其实施前推测试前推测试p自动化控制自动化控制一旦被证明运行有效,通常不会发生运行不一贯的情况,前提一旦被证明运行有效,通常不会发生运行不一贯的情况,前提是存在适当且持续有效的信息技术一般控制。是存在
176、适当且持续有效的信息技术一般控制。p如果信息技术一般控制有效且关键的自动化控制未发生任何变化,注册会如果信息技术一般控制有效且关键的自动化控制未发生任何变化,注册会计师计师不需要对该自动化控制实施前推测试不需要对该自动化控制实施前推测试。控制测试的时间安排控制测试的时间安排期中测试和前推程序(自动化控制)期中测试和前推程序(自动化控制)Page 138控制测试的时间安排控制测试的时间安排期中测试和前推程序(举例)期中测试和前推程序(举例)案例背景:案例背景:px公司的销售采用客户上门提货的方式,因此通常产品出库即实现销售。注册会公司的销售采用客户上门提货的方式,因此通常产品出库即实现销售。注册
177、会计师对计师对x公司公司(基准日为基准日为12月月31日日)截至截至9月月30日止应收账款流程中的关键控制实施日止应收账款流程中的关键控制实施了测试,并对了测试,并对10月月31日的应收账款余额实施了细节测试。日的应收账款余额实施了细节测试。p在实施年末审计程序时,注册会计师考虑是否需要对期中测试结果实施前推程序。在实施年末审计程序时,注册会计师考虑是否需要对期中测试结果实施前推程序。p考虑到自实施期中测试之后到基准日考虑到自实施期中测试之后到基准日(即剩余期间即剩余期间)之间的间隔长度,以及在制定之间的间隔长度,以及在制定财务报表审计计划时拟对这些控制取得较高程度的保证,注册会计师决定实施一
178、定财务报表审计计划时拟对这些控制取得较高程度的保证,注册会计师决定实施一定的的前推测试前推测试 控制一:控制一:应收账款会计每天将分类账中的收款记录与在线银行收款记录进行核对,并调查所应收账款会计每天将分类账中的收款记录与在线银行收款记录进行核对,并调查所有超过某一金额的差异。应收账款会计负责该控制在全年度内的执行,并且注册会有超过某一金额的差异。应收账款会计负责该控制在全年度内的执行,并且注册会计师期中控制测试时未发现控制偏差。计师期中控制测试时未发现控制偏差。分析:分析:分析:分析:该控制并不复杂,执行时不需要作出重大判断。因此,注册会计师认为向应收账款该控制并不复杂,执行时不需要作出重大
179、判断。因此,注册会计师认为向应收账款会计会计询问询问该控制是否得到一贯执行以及在该控制是否得到一贯执行以及在9月月30日至日至12月月31日期间是否出现任何异日期间是否出现任何异常现象,就可以为该控制是否持续有效运行提供充分的证据。常现象,就可以为该控制是否持续有效运行提供充分的证据。Page 139控制测试的时间安排控制测试的时间安排期中测试和前推程序(举例)期中测试和前推程序(举例)控制二:控制二:每月末财务总监取得该月最后三天的产品出库报告,将其与当月入账的应收账每月末财务总监取得该月最后三天的产品出库报告,将其与当月入账的应收账款明细进行核对,以确保应收账款余额的完整性和存在。款明细进
180、行核对,以确保应收账款余额的完整性和存在。尽管该控制并不复杂,但每月最后一周的产品出库量占全月出库量的比例很大。尽管该控制并不复杂,但每月最后一周的产品出库量占全月出库量的比例很大。通过将当月入账的应收账款与出库记录进行比较,财务总监可以监控是否存在通过将当月入账的应收账款与出库记录进行比较,财务总监可以监控是否存在故意错报应收账款的行为。故意错报应收账款的行为。分析:分析:该控制具有多重目的以及运行无效所导致的后果较严重,注册会计师决定该控制具有多重目的以及运行无效所导致的后果较严重,注册会计师决定向财务向财务总监和应收账款会计总监和应收账款会计进行进行询问询问,并对财务总监执行该复核控制实
181、施数次,并对财务总监执行该复核控制实施数次观察观察。Page 140控制测试的时间安排控制测试的时间安排期中测试和前推程序(举例)期中测试和前推程序(举例)控制三:控制三:每月末财务总监、首席财务官和客户信用经理复核应收账款账龄分析表并共同决定每月末财务总监、首席财务官和客户信用经理复核应收账款账龄分析表并共同决定是否需要对长期未收款的应收账款余额计提坏账准备。是否需要对长期未收款的应收账款余额计提坏账准备。在此过程中他们利用了多方面的信息,包括客户以往付款记录以及与客户之间的沟在此过程中他们利用了多方面的信息,包括客户以往付款记录以及与客户之间的沟通文件、账龄一年以上和两年以上的应收账款小计
182、金额占应收账款总金额的比例,通文件、账龄一年以上和两年以上的应收账款小计金额占应收账款总金额的比例,以及本年度迄今为止的坏账核销金额与坏账准备的比较。以及本年度迄今为止的坏账核销金额与坏账准备的比较。分析:分析:该控制虽然并不复杂,但是具有较高的主观性且对资产负债表和利润表均具有潜该控制虽然并不复杂,但是具有较高的主观性且对资产负债表和利润表均具有潜在的重大影响。由于在的重大影响。由于该控制涉及管理层估计该控制涉及管理层估计,因此还存在,因此还存在潜在的舞弊风险潜在的舞弊风险。考虑到这些因素,注册会计师决定考虑到这些因素,注册会计师决定检查检查关于该控制在基准日之前运行情况的证据,关于该控制在
183、基准日之前运行情况的证据,包括上述人员共同讨论的记录和与客户沟通的记录。包括上述人员共同讨论的记录和与客户沟通的记录。对实质性测试程序的影响对实质性测试程序的影响Page 141控制测试的时间安排控制测试的时间安排期中测试和前推程序(举例)期中测试和前推程序(举例)p内部控制是否持续有效运行,会影响注册会计师如何将期中实质性程序的结内部控制是否持续有效运行,会影响注册会计师如何将期中实质性程序的结果延伸至期末。果延伸至期末。p如果在实施期中控制测试和上述控制前推程序中没有发现任何控制缺陷,注如果在实施期中控制测试和上述控制前推程序中没有发现任何控制缺陷,注册会计师在制定计划以对册会计师在制定计
184、划以对10月月31日己实施函证程序的应收账款实施前推程序日己实施函证程序的应收账款实施前推程序时,可以对控制给予高度的信赖时,可以对控制给予高度的信赖(即获得高度保证即获得高度保证)。在这种情况下,注册会计。在这种情况下,注册会计师可能决定将师可能决定将10月月31日的应收账款余额前推至日的应收账款余额前推至12月月31日,并对该期间的收款日,并对该期间的收款金额进行非常有限的测试金额进行非常有限的测试(实质性分析程序或选取大额或高风险项目进行细节实质性分析程序或选取大额或高风险项目进行细节测试测试)。p反之,如果控制存在缺陷,则注册会计师可能决定对剩余期间的交易金额实反之,如果控制存在缺陷,
185、则注册会计师可能决定对剩余期间的交易金额实施大量细节测试,甚至对施大量细节测试,甚至对12月月31日的应收账款余额再次实施函证程序日的应收账款余额再次实施函证程序对实质性测试程序的影响对实质性测试程序的影响Page 142控制变更时的处理控制变更时的处理n在管理层评估日之前,管理层可能为提高控制效率、效果或弥补控在管理层评估日之前,管理层可能为提高控制效率、效果或弥补控制缺陷而改变企业的控制。制缺陷而改变企业的控制。n如果如果新控制实现了相关控制目标,且运行足够长的时间新控制实现了相关控制目标,且运行足够长的时间,注册会计,注册会计师能够通过对控制进行测试评价其设计和运行的有效性,则师能够通过
186、对控制进行测试评价其设计和运行的有效性,则无需测无需测试被取代的控制试被取代的控制。n如果被取代控制的运行有效性对控制风险的评估有重大影响,注册如果被取代控制的运行有效性对控制风险的评估有重大影响,注册会计师应当测试被取代控制的设计和运行的有效性会计师应当测试被取代控制的设计和运行的有效性。问题:是否测试被取代的控制?问题:是否测试被取代的控制?Page 143问题:以前审计中获得的有关控制运行有效性的审计证据是否可以继续使用问题:以前审计中获得的有关控制运行有效性的审计证据是否可以继续使用?n对于对于财务报表审计财务报表审计,根据,根据中国注册会计师审计准则第中国注册会计师审计准则第1231
187、号号针对针对评估的重大错报风险采取的应对措施评估的重大错报风险采取的应对措施第十四条的规定,注册会计师第十四条的规定,注册会计师可以可以利用在以前审计中获得的有关控制运行有效性的审计证据利用在以前审计中获得的有关控制运行有效性的审计证据,但应当通过获,但应当通过获取这些控制在以前审计后是否发生重大变化的审计证据,确定以前审计获取这些控制在以前审计后是否发生重大变化的审计证据,确定以前审计获取的审计证据是否与本期审计持续相关。取的审计证据是否与本期审计持续相关。n对于对于内部控制审计内部控制审计,除了,除了企业内部控制审计指引实施意见企业内部控制审计指引实施意见第四部分第四部分提及的与基准相比较
188、的策略除外,注册会计师提及的与基准相比较的策略除外,注册会计师不能利用在以前审计中获得不能利用在以前审计中获得的有关控制运行有效性的审计证据,而是需要每年获取关于控制有效性的的有关控制运行有效性的审计证据,而是需要每年获取关于控制有效性的审计证据。审计证据。财报审计中财报审计中“三年轮换测试三年轮换测试”方法不适用方法不适用控制测试的范围控制测试的范围Page 144实施审计工作实施审计工作步骤步骤评价控制偏差评价控制偏差评估企业层面控制评估企业层面控制评估业务层面控制评估业务层面控制评价控制偏差评价控制偏差特殊事项的考虑特殊事项的考虑信息系统控制信息系统控制财务报告流程财务报告流程选择拟测试
189、的控制选择拟测试的控制测试内部控制测试内部控制评价控制缺陷评价控制缺陷特殊考虑特殊考虑Page 145评价控制偏差评价控制偏差n控制偏差控制偏差内控测试中,内控测试中,CPA选择进行测试的某个控制没有按照控制设计的选择进行测试的某个控制没有按照控制设计的要求被有效执行或没有执行。要求被有效执行或没有执行。发现控制例外时,发现控制例外时,CPA首先要确认其是否构成一项控制偏差。如首先要确认其是否构成一项控制偏差。如果是,则应该调查控制偏差额属性果是,则应该调查控制偏差额属性&形成原因,并评价控制偏差形成原因,并评价控制偏差对原定审计程序的影响对原定审计程序的影响p控制偏差的属性控制偏差的属性l系
190、统性:无需扩大样本量,直接视为内部控制缺陷系统性:无需扩大样本量,直接视为内部控制缺陷l随机性:确定适当的审计应对措施,如:扩大样本量、直接视为随机性:确定适当的审计应对措施,如:扩大样本量、直接视为内部控制缺陷内部控制缺陷Page 146评价控制偏差流程图评价控制偏差流程图Page 147对信息系统控制的考虑对信息系统控制的考虑nCPA测试业务层面控制,应当关注信息系统对内部控制及风险评估的测试业务层面控制,应当关注信息系统对内部控制及风险评估的影响影响确定信息系统范围确定信息系统范围信息系统环境控制信息系统环境控制评价信息系统一般控制评价信息系统一般控制评价应用系统控制评价应用系统控制评价
191、电子表格相关控制评价电子表格相关控制Page 148对财务报告流程的考虑对财务报告流程的考虑n财务报告流程将企业会计记录中反映的业务转换为会计报表和相关列财务报告流程将企业会计记录中反映的业务转换为会计报表和相关列报报n通常作为一个单独的重大业务流程通常作为一个单独的重大业务流程n财务报告流程对于业务层面的很多流程都存在联系和影响,因此,财务报告流程对于业务层面的很多流程都存在联系和影响,因此,CPA应在评估企业层面控制同时考虑这一流程应在评估企业层面控制同时考虑这一流程Page 149对财务报告流程的考虑对财务报告流程的考虑n对财务报告流程进行了解的起点对财务报告流程进行了解的起点原则:原则
192、:确定对财务报告流程了解的起点,与对各重大业务流程了解的终点重合确定对财务报告流程了解的起点,与对各重大业务流程了解的终点重合常规的重大业务流程:业务分录过帐到总账常规的重大业务流程:业务分录过帐到总账包含会计估计的重大业务流程:包括会计估计的真个过程,或,从会计估计的中包含会计估计的重大业务流程:包括会计估计的真个过程,或,从会计估计的中途开始途开始n对财务报告流程进行了解的程度对财务报告流程进行了解的程度取决于财务报告流程的复杂性取决于财务报告流程的复杂性考虑:董事会、经理层凌驾于已识别财务报告流程控制之上的风险考虑:董事会、经理层凌驾于已识别财务报告流程控制之上的风险&以往审计中获以往审
193、计中获得的对企业的经验和认识,以及,审计中发现的错报的数量和性质得的对企业的经验和认识,以及,审计中发现的错报的数量和性质n执行穿行测试,了解财务报告各子流程执行穿行测试,了解财务报告各子流程编制试算平衡表,并进行任何必要的合并编制试算平衡表,并进行任何必要的合并生成、授权和记录记账分录生成、授权和记录记账分录编制财务报表及相关列报编制财务报表及相关列报n识别可能出错项识别可能出错项n识别相关控制识别相关控制Page 150实施审计工作实施审计工作步骤步骤评价控制缺陷评价控制缺陷评估企业层面控制评估企业层面控制评估业务层面控制评估业务层面控制评价控制偏差评价控制偏差特殊事项的考虑特殊事项的考虑
194、信息系统控制信息系统控制财务报告流程财务报告流程选择拟测试的控制选择拟测试的控制测试内部控制测试内部控制评价控制缺陷评价控制缺陷特殊考虑特殊考虑Page 151内部控制缺陷一般可分为设内部控制缺陷一般可分为设计缺陷和运行缺陷:计缺陷和运行缺陷:n设计缺陷设计缺陷是指缺少为实现是指缺少为实现控制目标所必需的控制,或控制目标所必需的控制,或现存控制设计不适当、即使现存控制设计不适当、即使正常运行也难以实现控制目正常运行也难以实现控制目标。标。n运行缺陷运行缺陷是指现存设计完是指现存设计完好的控制没有按设计意图运好的控制没有按设计意图运行,或执行者没有获得必要行,或执行者没有获得必要授权或缺乏胜任能
195、力以有效授权或缺乏胜任能力以有效地实施控制。地实施控制。内部控制缺陷分类内部控制缺陷分类重大缺陷,是指一个或多个一般缺陷的重大缺陷,是指一个或多个一般缺陷的组合,可能严重影响内部整体控制的有组合,可能严重影响内部整体控制的有效性,进而导致企业无法及时防范或发效性,进而导致企业无法及时防范或发现严重偏离整体控制目标的情形现严重偏离整体控制目标的情形 重要缺陷,是指一个或多个一般缺重要缺陷,是指一个或多个一般缺陷的组合,其严重程度低于重大缺陷的组合,其严重程度低于重大缺陷,但导致企业无法及时防范或发陷,但导致企业无法及时防范或发现偏离整体控制目标的严重程度依现偏离整体控制目标的严重程度依然重大,须
196、引起企业管理层关注。然重大,须引起企业管理层关注。一般缺陷,除重大缺陷、重要一般缺陷,除重大缺陷、重要缺陷之外的其他缺陷缺陷之外的其他缺陷Page 152评价控制缺陷的严重程度评价控制缺陷的严重程度注册会计师应当评价其识别的各项控制缺陷的严重程度,以确定这些缺陷单独或注册会计师应当评价其识别的各项控制缺陷的严重程度,以确定这些缺陷单独或组合起来,是否构成内部控制的重大缺陷。组合起来,是否构成内部控制的重大缺陷。不要求注册会计师寻找单独或组合起来不构成重大缺陷的控制缺陷。不要求注册会计师寻找单独或组合起来不构成重大缺陷的控制缺陷。“注册会计师无须测试那些即使有缺陷也合理预期不会导致财务报表重大错
197、注册会计师无须测试那些即使有缺陷也合理预期不会导致财务报表重大错报的控制报的控制”“注册会计师没有必要测试与某项相关认定的所有控制注册会计师没有必要测试与某项相关认定的所有控制”评价一项控制缺陷或多项控制缺陷的组合是否可能导致账户或列报发生错报时,注册会计师评价一项控制缺陷或多项控制缺陷的组合是否可能导致账户或列报发生错报时,注册会计师应考虑的应考虑的“风险因素风险因素”包括:包括:1.所涉及的账户、列报及相关认定的性质;所涉及的账户、列报及相关认定的性质;2.相关资产或负债易于发生损失或舞弊的可能性;相关资产或负债易于发生损失或舞弊的可能性;3.确定相关金额时所需判断的主观程度、复杂程度和范
198、围;确定相关金额时所需判断的主观程度、复杂程度和范围;4.该项控制与其他控制的相互作用或关系;该项控制与其他控制的相互作用或关系;5.控制缺陷之间的相互作用;控制缺陷之间的相互作用;6.控制缺陷在未来可能产生的影响。控制缺陷在未来可能产生的影响。Page 153评价控制缺陷的严重程度评价控制缺陷的严重程度严重程度取决于:严重程度取决于:1.控制不能防止或发现并纠正账户或列报发生错报的控制不能防止或发现并纠正账户或列报发生错报的可能性大小可能性大小;2.因一项或多项控制缺陷因一项或多项控制缺陷导致的潜在错报的金额大小导致的潜在错报的金额大小。考虑发生错报的机率:考虑发生错报的机率:1.评价控制缺
199、陷时候可能导致错报时,无需将错评价控制缺陷时候可能导致错报时,无需将错报发生的概率量化为某特定的百分比或区间。报发生的概率量化为某特定的百分比或区间。2.如多项控制影响财务报表的同一账户或列报,如多项控制影响财务报表的同一账户或列报,错报发生的概率会增加。错报发生的概率会增加。3.存在多项控制缺陷时,即使缺陷从单项看不重存在多项控制缺陷时,即使缺陷从单项看不重要,但组合起来也可能构成重大缺陷。要,但组合起来也可能构成重大缺陷。考虑错报影响的金额程度:考虑错报影响的金额程度:1.受控制缺陷影响的财务报表或交易金额;受控制缺陷影响的财务报表或交易金额;2.在本期或预计的将来期间受控制缺陷影响的在本
200、期或预计的将来期间受控制缺陷影响的账户余额或各类交易涉及的交易量。账户余额或各类交易涉及的交易量。Page 154评估错报可能性评估错报可能性围绕信访权限的信息系统总体控制缺陷围绕信访权限的信息系统总体控制缺陷舞弊缺陷或许多缺陷同时存在舞弊缺陷或许多缺陷同时存在金额错误低于重要性水平金额错误低于重要性水平 (判断)(判断)明显为独立单一事项明显为独立单一事项增加重大错报的可能性增加重大错报的可能性重大错报可能性不大重大错报可能性不大Page 155评估错报重大程度评估错报重大程度根据财务报表审计中确定的重要性水平根据财务报表审计中确定的重要性水平从定量的角度出发,考虑是否可能导致财务报表错报,
201、该错报在金额上从定量的角度出发,考虑是否可能导致财务报表错报,该错报在金额上对财务报表具有重大影响,且不能被一项控制或多项控制的组合所防止对财务报表具有重大影响,且不能被一项控制或多项控制的组合所防止或及时发现并纠正或及时发现并纠正从定性的角度出发,考虑一项缺陷或缺陷组合导致财务报表错报的严重从定性的角度出发,考虑一项缺陷或缺陷组合导致财务报表错报的严重程度的相关因素,以及针对依赖该信息进行决策的人员预期需要考虑的程度的相关因素,以及针对依赖该信息进行决策的人员预期需要考虑的因素(如关联交易披露、潜在收购因素(如关联交易披露、潜在收购/合并信息、重大合同签订等)合并信息、重大合同签订等)Pag
202、e 156控制缺陷评估步骤控制缺陷评估步骤Page 158控制缺陷评估步骤控制缺陷评估步骤n负责监督企业财务报告的人员是指企业中负责财务报告监督和管理工作的中负责监督企业财务报告的人员是指企业中负责财务报告监督和管理工作的中高层管理人员高层管理人员(如如财务总监、总会计师、首席财务官等财务总监、总会计师、首席财务官等)以及董事会成员和监以及董事会成员和监事会成员事会成员。n负责监督企业财务报告的人员通常主要关注:负责监督企业财务报告的人员通常主要关注:(1)控制缺陷在去年已存在并被确认为重要缺陷或重大缺陷;控制缺陷在去年已存在并被确认为重要缺陷或重大缺陷;(2)控制缺陷存在于企业新兴业务或高风
203、险业务中;控制缺陷存在于企业新兴业务或高风险业务中;(3)控制缺陷存在于董事会或审计委员会高度关注的领域内,如特殊组成控制缺陷存在于董事会或审计委员会高度关注的领域内,如特殊组成部分或敏感业务。部分或敏感业务。如何理解如何理解“第五步:该缺陷(或缺陷组合)的重要程度是否足以引起负责监第五步:该缺陷(或缺陷组合)的重要程度是否足以引起负责监督企业财务报告的相关人员的关注督企业财务报告的相关人员的关注”?如果注册会计师如果注册会计师判断判断一个谨慎的财务主管负责人在企业存在该内部控制缺陷一个谨慎的财务主管负责人在企业存在该内部控制缺陷(或缺陷组合或缺陷组合)时,时,仍然保持对财务报告和相关信息真实
204、准确的信心,且该信心是充分合理的,则注册会计师可仍然保持对财务报告和相关信息真实准确的信心,且该信心是充分合理的,则注册会计师可以认为缺陷以认为缺陷(或缺陷组合或缺陷组合)是一般缺陷。反之,注册会计师可以认为该缺陷是一般缺陷。反之,注册会计师可以认为该缺陷(或缺陷组合或缺陷组合)至少至少构成重要缺陷,并进而按照步骤七的要求评价该缺陷构成重要缺陷,并进而按照步骤七的要求评价该缺陷(或缺陷组合或缺陷组合)是否构成重大缺陷。是否构成重大缺陷。Page 159补偿性控制补偿性控制在确定一项控制缺陷或多项控制缺陷的组合是否构成重大缺陷时,注册会计师应在确定一项控制缺陷或多项控制缺陷的组合是否构成重大缺陷
205、时,注册会计师应当当评价补偿性控制的影响评价补偿性控制的影响。在评价补偿性控制是否能够弥补控制缺陷时,注册会计师应当考虑补偿性控制是在评价补偿性控制是否能够弥补控制缺陷时,注册会计师应当考虑补偿性控制是否有否有足够的精确度足够的精确度以防止或发现并纠正可能发生的重大错报。以防止或发现并纠正可能发生的重大错报。n在得出补偿性控制是否有效运行的结论前,注册会计师应当首先分析在得出补偿性控制是否有效运行的结论前,注册会计师应当首先分析该补偿性控制是否达到一定程度的精确性,注册会计师应当对补偿性该补偿性控制是否达到一定程度的精确性,注册会计师应当对补偿性控制开展必要的测试工作,获取并记录补偿性控制运行
206、有效的证据。控制开展必要的测试工作,获取并记录补偿性控制运行有效的证据。n由于某些控制缺陷发生在企业的组成部分(如子公司)层面,而相关由于某些控制缺陷发生在企业的组成部分(如子公司)层面,而相关的补偿性控制可能存在于集团层面。因此,在对补偿性控制进行测试的补偿性控制可能存在于集团层面。因此,在对补偿性控制进行测试时,注册会计师应当考虑补偿性控制执行的层面及其对测试的影响。时,注册会计师应当考虑补偿性控制执行的层面及其对测试的影响。集团项目组应当与组成部分注册会计师及时开展充分、有效的沟通,集团项目组应当与组成部分注册会计师及时开展充分、有效的沟通,及时识别补偿性控制并进行相应的测试,以便准确判
207、断补偿性控制是及时识别补偿性控制并进行相应的测试,以便准确判断补偿性控制是否可以降低财务报表错误的可能性和严重程度。否可以降低财务报表错误的可能性和严重程度。Page 160注册会计师发现董事、注册会计师发现董事、 监事和高级管理人员监事和高级管理人员舞弊舞弊企业更正已经公布企业更正已经公布的财务报表的财务报表企业审计委员会和内企业审计委员会和内部部 审计机构对内部审计机构对内部控制的监督无效控制的监督无效存在重大缺存在重大缺陷的迹象陷的迹象注册会计师发现当期注册会计师发现当期财务报表存在重大错财务报表存在重大错报,而内部控制在运报,而内部控制在运行过程中未能发现该行过程中未能发现该错报错报重
208、大缺陷迹象重大缺陷迹象Page 161缺陷评价统计(美国数据)缺陷评价统计(美国数据)一般缺陷一般缺陷重要缺陷重要缺陷重大缺陷重大缺陷企业层面控制企业层面控制3%3%4%4%9%9%信息技术控制信息技术控制30%30%22%22%21%21%收入确认控制收入确认控制13%13%10%10%6%6%固定资产控制固定资产控制10%10%7%7%9%9%财务报告和结账控制财务报告和结账控制9%9%16%16%12%12%采购付款控制采购付款控制9%9%13%13%12%12%工资和福利费用控制工资和福利费用控制8%8%6%6%15%15%其他其他12%12%22%22%16%16%合合 计计100%
209、100%100%100%100%100%美国上市公司近年来披露的财务报告内控缺陷尤其是重大缺陷来看,在信美国上市公司近年来披露的财务报告内控缺陷尤其是重大缺陷来看,在信息技术、收入确认、付款或有关费用的控制方面存在的薄弱环节较为显著息技术、收入确认、付款或有关费用的控制方面存在的薄弱环节较为显著Page 162评价控制缺陷示例评价控制缺陷示例一般缺陷(举例一般缺陷(举例1/2)案例背景nA注册会计师执行甲公司财务报告内部控制审计,财务报表整体重要性确定为1 000万元。在对付款授权进行控制测试时,其中一项程序是检查付款发票是否有适当的审批且有相关的文件对其进行支持这一关键控制,这项控制活动与1
210、 600万元的发票交易相关,选择25笔付款并测试它们是否经过了适当的审批,理想状态下应没有异常。但测试结果表明有1笔付款(与维修维护相关)未经过授权1、发现的缺陷是否与一个或多个财务报表认定直接相关、发现的缺陷是否与一个或多个财务报表认定直接相关?由于该缺陷涉及支出,直接影响财务报表认定。由于该缺陷涉及支出,直接影响财务报表认定。2、该项缺陷是否可能不能防止或发现并纠正财务报表错报、该项缺陷是否可能不能防止或发现并纠正财务报表错报?是,付款没有得到审批,有可能导致错报。是,付款没有得到审批,有可能导致错报。3、该项缺陷可能导致财务报表潜在错报的金额大小、该项缺陷可能导致财务报表潜在错报的金额大
211、小?支出涉及的总金额是支出涉及的总金额是1 600万元,大于万元,大于1 000万元的重要性水平。万元的重要性水平。分析步骤:分析步骤:Page 163n4、是否存在补偿性控制,并以一定的精确度有效运行,足以防止或发现、是否存在补偿性控制,并以一定的精确度有效运行,足以防止或发现财务报袁重大错报财务报袁重大错报?经了解和测试,维修与维护服务环节存在下列补偿性控制:经了解和测试,维修与维护服务环节存在下列补偿性控制:维修与维护服务环节的采购订单审批和发票审批流程中存在权限分离机维修与维护服务环节的采购订单审批和发票审批流程中存在权限分离机制,因此采购订单审批和付款发票审批需要多人合作进行制,因此
212、采购订单审批和付款发票审批需要多人合作进行(已测试且该控制已测试且该控制有效有效)。对采购订单的审批与政策保持一致对采购订单的审批与政策保持一致(已测试且该控制有效已测试且该控制有效)。每月将实际支出与成本及上季度数据进行对比。对于误差,差异容忍度每月将实际支出与成本及上季度数据进行对比。对于误差,差异容忍度为为100万元,对于差异大于万元,对于差异大于100万元的情况会进行调查万元的情况会进行调查(已测试且控制有效已测试且控制有效)n5、该缺陷的重要程度是否足以引起负责监督企业财务报告的相关人员关、该缺陷的重要程度是否足以引起负责监督企业财务报告的相关人员关注注?否否n因此,该缺陷为一般缺陷
213、因此,该缺陷为一般缺陷评价控制缺陷示例评价控制缺陷示例一般缺陷(举例一般缺陷(举例2/2)Page 164n案例背景案例背景nA注册会计师执行甲公司财务报告内部控制审计,财务报表整体重要注册会计师执行甲公司财务报告内部控制审计,财务报表整体重要性确定为性确定为2000万元。在对月度银行对账进行控制测试时,其中一项程万元。在对月度银行对账进行控制测试时,其中一项程序是检查公司每月是否对其付款账户与银行进行对账,这项控制活动序是检查公司每月是否对其付款账户与银行进行对账,这项控制活动与与6 000万元现金收据以及付款相关,选择万元现金收据以及付款相关,选择2笔对账并且确定是否每笔笔对账并且确定是否
214、每笔对账都已完成以及是否对所有重大或异常事件进行了调查并及时解决,对账都已完成以及是否对所有重大或异常事件进行了调查并及时解决,理想状态下应没有例外。但测试结果表明两笔银行对账都没有完全完理想状态下应没有例外。但测试结果表明两笔银行对账都没有完全完成,存在重大的未对账差异成,存在重大的未对账差异(共计共计200万元万元)且差异存在已超过且差异存在已超过1年年评价控制缺陷示例评价控制缺陷示例重大缺陷(举例重大缺陷(举例1/2)Page 165分析分析n1、发现的缺陷是否与一个或多个财务报表认定直接相关、发现的缺陷是否与一个或多个财务报表认定直接相关?是,涉及银行存款和付款的问题,直接影响财务报表
215、认定。是,涉及银行存款和付款的问题,直接影响财务报表认定。n2、该项缺陷是否可能不能防止或发现并纠正财务报表错报、该项缺陷是否可能不能防止或发现并纠正财务报表错报?是,对账没有完成,有可能导致错误不能及时发现。是,对账没有完成,有可能导致错误不能及时发现。n3、该项缺陷可能导致财务报表潜在错报的金额大小、该项缺陷可能导致财务报表潜在错报的金额大小?这项控制与交易相关且所涉及金额大于这项控制与交易相关且所涉及金额大于6 000万元,超过了重要性。万元,超过了重要性。n4、是否存在补偿性控制,并以一定的精确度有效运行,足以防止或、是否存在补偿性控制,并以一定的精确度有效运行,足以防止或发现并纠正财
216、务报表重大错报发现并纠正财务报表重大错报?会计经理会对每次银行对账进行审核并签字确认,由于经理没有能够发会计经理会对每次银行对账进行审核并签字确认,由于经理没有能够发现这些重大的对账错误,因此补偿性控制也被判断为失效。现这些重大的对账错误,因此补偿性控制也被判断为失效。n 因此,该缺陷为重大缺陷因此,该缺陷为重大缺陷评价控制缺陷示例评价控制缺陷示例重大缺陷(举例重大缺陷(举例2/2)Page 166非财务报告内部控制非财务报告内部控制n财务报告内控和非财务报告内控的关系财务报告内控和非财务报告内控的关系n财务报告内控与非财务报告内控是一个相对概念,恰如会计控制与财务报告内控与非财务报告内控是一
217、个相对概念,恰如会计控制与管理控制的界定一样。管理控制的界定一样。与财务报告真实性、可靠性、完整性直接相关的控制称为财务报告内控,与财务报告真实性、可靠性、完整性直接相关的控制称为财务报告内控,比如,根据企业会计准则的要求对经济交易或事项进行会计确认、计量、比如,根据企业会计准则的要求对经济交易或事项进行会计确认、计量、记录和报告的相关控制属于财务报告内控,除此之外的控制可以归类为记录和报告的相关控制属于财务报告内控,除此之外的控制可以归类为非财务报告内控。非财务报告内控。n对财务报告内控和非财务报告内控提出了差异化的审计要求对财务报告内控和非财务报告内控提出了差异化的审计要求注册会计师应当对
218、财务报告内部控制的有效性发表审计意见,并对内部注册会计师应当对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制控制审计过程中注意到的非财务报告内部控制的重大缺陷,在内部控制审计报告中增加审计报告中增加“非财务报告内部控制重大缺陷描述段非财务报告内部控制重大缺陷描述段”予以描述予以描述非非财财务务报报告告内内部部控控制制缺缺陷陷评评价价步步骤骤完成审计工作完成审计工作 & 出具审计报告出具审计报告 Page 169完成审计工作完成审计工作n获取管理层声明获取管理层声明n沟通缺陷沟通缺陷n形成对企业内部控制有效性的意见形成对企业内部控制有
219、效性的意见Page 170完成审计工作完成审计工作获取管理层声明获取管理层声明n注册会计师应当获取经被审计单位签署的书面声明。书面声明的内容应当注册会计师应当获取经被审计单位签署的书面声明。书面声明的内容应当包括:包括:n被审计单位董事会认可其对建立健全和有效实施内部控制负责;被审计单位董事会认可其对建立健全和有效实施内部控制负责;n被审计单位已对内部控制进行了评价,并编制了内部控制评价报告;被审计单位已对内部控制进行了评价,并编制了内部控制评价报告;n被审计单位没有利用注册会计师在内部控制审计和财务报表审计中执行的程序及其结果作被审计单位没有利用注册会计师在内部控制审计和财务报表审计中执行的
220、程序及其结果作为评价的基础;为评价的基础;n被审计单位根据内部控制标准评价内部控制有效性得出的结论;被审计单位根据内部控制标准评价内部控制有效性得出的结论;n被审计单位已向注册会计师披露识别出的所有内部控制缺陷,并单独披露其中的重大缺陷被审计单位已向注册会计师披露识别出的所有内部控制缺陷,并单独披露其中的重大缺陷和重要缺陷;和重要缺陷;n被审计单位已向注册会计师披露导致财务报表发生重大错报的所有舞弊,以及其他不会导被审计单位已向注册会计师披露导致财务报表发生重大错报的所有舞弊,以及其他不会导致财务报表发生重大错报,但涉及管理层、治理层和其他在内部控制中具有重要作用的员致财务报表发生重大错报,但
221、涉及管理层、治理层和其他在内部控制中具有重要作用的员工的所有舞弊;工的所有舞弊;n注册会计师在以前年度审计中识别出的且已与被审计单位沟通的重大缺陷和重要缺陷是否注册会计师在以前年度审计中识别出的且已与被审计单位沟通的重大缺陷和重要缺陷是否已经得到解决,以及哪些缺陷尚未得到解决;已经得到解决,以及哪些缺陷尚未得到解决;n在基准日后,内部控制是否发生变化,或者是否存在对内部控制产生重要影响的其他因素,在基准日后,内部控制是否发生变化,或者是否存在对内部控制产生重要影响的其他因素,包括被审计单位针对重大缺陷和重要缺陷采取的所有纠正措施。包括被审计单位针对重大缺陷和重要缺陷采取的所有纠正措施。Page
222、 171完成审计工作完成审计工作沟通缺陷沟通缺陷n对于重大缺陷和重要缺陷,注册会计师应当以对于重大缺陷和重要缺陷,注册会计师应当以书面形式书面形式与管理层和与管理层和治理层沟通。治理层沟通。n书面沟通应当在注册会计师出具内部控制审计报告之前进行。书面沟通应当在注册会计师出具内部控制审计报告之前进行。n注册会计师应当以书面形式与管理层沟通其在审计过程中识别的所注册会计师应当以书面形式与管理层沟通其在审计过程中识别的所有其他内部控制缺陷,并在沟通完成后告知治理层。在进行沟通时,有其他内部控制缺陷,并在沟通完成后告知治理层。在进行沟通时,注册会计师无需重复自身、内部审计人员或被审计单位其他人员以注册
223、会计师无需重复自身、内部审计人员或被审计单位其他人员以前书面沟通过的控制缺陷。前书面沟通过的控制缺陷。Page 172审计报告的类型审计报告的类型1.标准内部控制审计报告标准内部控制审计报告2.非标准内部控制审计报告非标准内部控制审计报告n带强调事项段的非标准内部控制审计报告。带强调事项段的非标准内部控制审计报告。注册会计师认为财务报告内部控制虽不存在重大缺陷,但仍有一项或者多项注册会计师认为财务报告内部控制虽不存在重大缺陷,但仍有一项或者多项重大事项需要提请内部控制审计报告使用人注意的,需要在内部控制审计报重大事项需要提请内部控制审计报告使用人注意的,需要在内部控制审计报告中增加强调事项段予
224、以说明告中增加强调事项段予以说明n否定意见的内部控制审计报告。否定意见的内部控制审计报告。n无法表示意见的内部控制审计报告无法表示意见的内部控制审计报告Page 173互相交流互相交流共同进步共同进步附附 录录 1.全球资本市场发展概况全球资本市场发展概况2.对公司内部控制的要求对公司内部控制的要求海外监管机构、国内监管要求、海外监管机构、国内监管要求、交易所要求交易所要求3.计划审计工作中多组成部分的审计策略案例计划审计工作中多组成部分的审计策略案例Page 175全球资本市场监管发展情况全球资本市场监管发展情况n2002n美国萨班斯奥克斯利法案(简称SOX)生效n南非出台公司治理报告法规(
225、TheKingCodeof2002)n德国发布德国公司治理准则n2003n澳大利亚证券交易所(ASX)及其公司治理委员会采纳良好公司治理原则和最佳实务操作建议n法国金融安全法n英国TheCombinedCodeonCorporateGovernancen加拿大证券管理委员会发布MI52-109,2004年1月生效,于2008年更新为NI52-109n2004n澳大利亚发布澳大利亚发布澳洲公司报告澳洲公司报告和信息披露法和信息披露法(CLERP9)n香港联交所公布香港联交所公布公司治理实公司治理实务和公司治理报告的准则务和公司治理报告的准则n2006n欧盟:欧盟:欧盟新公司法第八号欧盟新公司法第
226、八号指令指令n日本发布日本发布日本金融商品交易日本金融商品交易法法(简称(简称J-SOX)n上海与深圳证券交易所发布上上海与深圳证券交易所发布上市公司内部控制指引市公司内部控制指引n2008n中国中国5部委发布部委发布企业内部控制企业内部控制基本规范基本规范n2010n中国中国5部委发布企业内部控制部委发布企业内部控制配套指引配套指引发布发布Page 176对公司内部控制的要求对公司内部控制的要求-海外监管机构海外监管机构第第404条款:条款:管理层对内部控制管理层对内部控制的评价。的评价。(a)内部控制方面的要求内部控制方面的要求SEC应应当相应的规定,要求按当相应的规定,要求按1934年年
227、证券交易法证券交易法编制的年度报告中编制的年度报告中包括内部控制报告,包括:包括内部控制报告,包括:(1)强调公司管理层建立和维护强调公司管理层建立和维护财务报告内部控制系统及相应控财务报告内部控制系统及相应控制程序充分有效的责任;制程序充分有效的责任;(2)发行人管理层最近财政年度发行人管理层最近财政年度末对财务报告内部控制体系及控末对财务报告内部控制体系及控制程序有效性的评价;制程序有效性的评价;(b)内部控制评价报告内部控制评价报告对于本对于本节节(a)中要求的管理层对内部控制中要求的管理层对内部控制的评价,的评价,担任公司年报审计的会担任公司年报审计的会计公司应当对其进行测试和评价,计
228、公司应当对其进行测试和评价,并出具评价报告并出具评价报告。上述评价和报。上述评价和报告应当遵循委员会发布或认可的告应当遵循委员会发布或认可的准则。上述评价过程不应当作为准则。上述评价过程不应当作为一项单独的业务。一项单独的业务。美国美国 萨班斯法案萨班斯法案第第24条第条第4款之四款之四 第第1项项必须提交有价证券报告的公司必须提交有价证券报告的公司应在每个财年按照内阁政府的应在每个财年按照内阁政府的府令对公司的体制进行评估及府令对公司的体制进行评估及提交报告(以下简称提交报告(以下简称“内部控内部控制报告制报告”)第第193条第条第2款款 第第2项项必须按照第必须按照第24条第条第4款之四的
229、款之四的规定提交的内部控制报告必须规定提交的内部控制报告必须接受与其无特殊利害关系的注接受与其无特殊利害关系的注册会计师或会计师事务所的审册会计师或会计师事务所的审计证明。计证明。日本日本 金融商品交易法金融商品交易法香港上市规则附录香港上市规则附录14企业管企业管治常规守则治常规守则第第C2.1条条董事应最少每年检讨一次发行董事应最少每年检讨一次发行人及其附属公司的人及其附属公司的内部监控系内部监控系统统是否有效,并在是否有效,并在企业管治企业管治报告报告中向股东汇报已经完成中向股东汇报已经完成有关检讨。有关检讨。有关检讨应涵盖所有重要的监有关检讨应涵盖所有重要的监控方面,包括财务监控、运作
230、控方面,包括财务监控、运作监控及合规监控及风险管理功监控及合规监控及风险管理功能。能。香港香港 上市规则上市规则Page 1772006年,国资委颁布年,国资委颁布中中央企业全面风险管理指引央企业全面风险管理指引,对央企开展风险管理工作提对央企开展风险管理工作提出明确要求:出明确要求:n建立健全风险管理组建立健全风险管理组织体系织体系n对重要业务管理与流对重要业务管理与流程进行动态风险评估程进行动态风险评估n依据风险管理策略,依据风险管理策略,制定重大风险管理解制定重大风险管理解决方案(包括内控方决方案(包括内控方案)案)n建立贯穿的风险管理建立贯穿的风险管理流程,加强风险管理流程,加强风险管
231、理监督改进,至少每年监督改进,至少每年出具出具风险管理监督风险管理监督评价报告评价报告国资委国资委2008年年6月月28日,财政部等五部委颁布日,财政部等五部委颁布企业内部控制基本企业内部控制基本规范规范,自,自2009年年7月月1日日率先在中国境内的上市公司执行。率先在中国境内的上市公司执行。2010年年4月月15日,颁布日,颁布企业内部控制配套指引企业内部控制配套指引,包括:,包括:n企业内部控制应用指引企业内部控制应用指引,涵盖组织结构、发展,涵盖组织结构、发展战略、人力资源、社会责任、企业文化、资金活动、战略、人力资源、社会责任、企业文化、资金活动、采购业务、资产管理等采购业务、资产管
232、理等18项指引。项指引。n企业内部控制评价指引企业内部控制评价指引,要求企业应对其内部,要求企业应对其内部控制的设计和运行状况定期评价,出具评价报告。控制的设计和运行状况定期评价,出具评价报告。n企业内部控制审计指引企业内部控制审计指引,为注册会计师执行企,为注册会计师执行企业内部控制鉴证业务提供专业规范和指导。业内部控制鉴证业务提供专业规范和指导。上市公司必须、鼓励其他大中型企业制定内部控制制度并有上市公司必须、鼓励其他大中型企业制定内部控制制度并有效实施,并应委托从事内部控制审计的会计师事务所对企业效实施,并应委托从事内部控制审计的会计师事务所对企业内部控制的有效性进行审计,出具审计报告。
233、内部控制的有效性进行审计,出具审计报告。自自2011年年1月月1日起在境内外同时上市的公司施行,自日起在境内外同时上市的公司施行,自2012年年1月月1日起在上海证券交易所、深圳证券交易所主板上市公司日起在上海证券交易所、深圳证券交易所主板上市公司施行施行;在此基础上,择机在中小板和创业板上市公司施行。;在此基础上,择机在中小板和创业板上市公司施行。财政部财政部 审计署审计署 证监会证监会 银监会银监会 保监会保监会 对公司内部控制的要求对公司内部控制的要求-国内监管机构国内监管机构Page 178证券交易所上市公司内部控制指引证券交易所上市公司内部控制指引上海证券交易所深圳证券交易所颁布日/
234、生效日n2006年6月5日n2006年7月1日生效n2006年9月2日颁布n2007年7月1日生效内部控制定义和目标n上市公司为了保证公司战略目标的实现,而对公司战略制定和经营活动中存在的风险予以管理的相关制度安排。它是由公司董事会、管理层及全体员工共同参与的一项活动。 n建立健全内部控制制度,保证内控制度的完整性、合理性及实施的有效性,以提高公司经营的效果与效率,增强公司信息披露的可靠性,确保公司行为合法合规。 n上市公司董事会、监事会、高级管理人员及其他有关人员为实现下列目标而提供合理保证的过程:n(一)遵守国家法律、法规、规章及其他相关规定;(二)提高公司经营的效益及效率;(三)保障公司
235、资产的安全;(四)确保公司信息披露的真实、准确、完整和公平。内部控制责任人n公司董事会n公司董事会内部控制基本要素n内部环境 n目标设定 n风险确认 n风险评估 n风险管理策略选择 n控制活动 n信息沟通 n检查监督 n内部环境n目标设定n事项识别n风险评估n风险对策n控制活动n信息与沟通n检查监督Page 179证券交易所上市公司内部控制指引(续)证券交易所上市公司内部控制指引(续)上海证券交易所深圳证券交易所内部控制要求:n内部控制应涵盖经营活动中所有业务环节 n印章使用管理、票据领用管理、预算管理、资产管理、质量管理、担保管理、职务授权及代理制度、定期沟通制度、信息披露管理制度及对附属公
236、司的管理制度 n信息管理的内控制度 n内部会计控制规范 n完善公司治理结构n完善的控制架构n内部控制活动应涵盖公司所有营运环节n关联交易的控制政策及程序n印章使用管理、票据领用管理、预算管理、资产管理、担保管理、资金借贷管理、职务授权及代理人制度、信息披露管理、信息系统安全管理等专门管理制度n建立完整的风险评估体系n内部信息和外部信息的管理政策n设立专门负责监督检查的内部审计部门重点关注的控制活动n收购和出售资产、关联交易、从事衍生品交易、提供财务资助、为他人提供担保、募集资金使用、委托理财等重大事项作为内部控制检查监督计划的必备事项 n对控股子公司的管理控制n关联交易的内部控制n对外担保的内
237、部控制n募集资金使用的内部控制n重大投资的内部控制n信息披露的内部控制Page 180上海证券交易所深圳证券交易所内部控制检查n定期和不定期的检查 n确定专门职能部门负责内部控制的日常检查监督工作 n制定内部控制检查监督办法 n制定年度内部控制检查监督计划 n董事会对内部控制检查监督工作进行指导,并审阅检查监督部门提交的内部控制检查监督工作报告 n设立内部审计部门n制定自查制度和年度内控自查计划n内部审计内部控制的信息披露/报告n监督部门应在年度和半年度结束后向董事会提交内部控制检查监督工作报告 n在内部控制的检查监督中如发现内部控制存在重大缺陷或存在重大风险,应及时向董事会报告。公司董事会应
238、及时向本所报告该事项。经本所认定,公司董事会应及时发布公告n内部控制自我评估报告n会计师事务所对内部控制自我评估报告的核实评价意见 n内部控制自我评价报告n注册会计师就财务报告内部控制出具评价意见证券交易所上市公司内部控制指引(续)证券交易所上市公司内部控制指引(续)Page 181计划审计工作计划审计工作-多组成部分的审计策略(举例多组成部分的审计策略(举例2)如何确定内部控制的项目范围如何确定内部控制的项目范围第一步:确定重要性水平第一步:确定重要性水平n合并净资产的合并净资产的5%*60%:243 5%*60%=7.29n合并净利润的合并净利润的10%*60%:152 6%=9.12n选
239、择较低者:选择较低者:7.29-仅供参考仅供参考Page 182计划审计工作计划审计工作-多组成部分的审计策略(举例)多组成部分的审计策略(举例)第二步:根据重要性水平,选择单独重要的单位第二步:根据重要性水平,选择单独重要的单位n考虑基准:重要性水平确定的依据考虑基准:重要性水平确定的依据l净资产净资产n金额超过重要性水平的,即作为单独重要的单位金额超过重要性水平的,即作为单独重要的单位lB公司净资产公司净资产32lC公司净资产公司净资产27lD公司净资产公司净资产24第三步:考虑定性因素,确定第三步:考虑定性因素,确定单独重要的单位单独重要的单位n个别单位的特殊性,比如:个别单位的特殊性,
240、比如:l发生错报和舞弊的可能性更大发生错报和舞弊的可能性更大l涉及的交易更复杂涉及的交易更复杂n个别单位被定性确定为特殊风险的单位,其单独可能产生对合并报表的重大错报,则个别单位被定性确定为特殊风险的单位,其单独可能产生对合并报表的重大错报,则将其确定为单独重要单位将其确定为单独重要单位l假设假设E公司(净资产为公司(净资产为5)存在此类特殊性)存在此类特殊性-仅供参考仅供参考Page 183第四步:考虑覆盖率,确定重要单位第四步:考虑覆盖率,确定重要单位n利用重要财务指标覆盖率来确定利用重要财务指标覆盖率来确定l通常考虑两个:通常考虑两个:公司层面控制:稍高一些,比如公司层面控制:稍高一些,
241、比如90%流程层面控制:稍低一些,比如流程层面控制:稍低一些,比如50%n假定要求纳入范围的单位合计净资产要求的覆盖率不低于假定要求纳入范围的单位合计净资产要求的覆盖率不低于50%,则:,则:l通过步骤二和步骤三选定单位的净资产合计通过步骤二和步骤三选定单位的净资产合计=32+27+24+5=88l合并净资产的合并净资产的50%=243 50%=121.5l已有四家不满足覆盖率要求已有四家不满足覆盖率要求l将剩余公司(将剩余公司(25家)净资产从高到低排列,依次选定公司,以达到覆盖率要求家)净资产从高到低排列,依次选定公司,以达到覆盖率要求假设选假设选F、G、H、I四家公司四家公司计划审计工作
242、计划审计工作-多组成部分的审计策略(举例)多组成部分的审计策略(举例)Page 184第五步:确定重要的会计科目和披露事项第五步:确定重要的会计科目和披露事项n定量定量如果资产负债表中的科目余额或利润表中的发生额大于重要性水平,如果资产负债表中的科目余额或利润表中的发生额大于重要性水平,则该科目应确认为重要报表项目则该科目应确认为重要报表项目n定性定性科目性质和组成科目性质和组成错报和舞弊发生的可能性错报和舞弊发生的可能性涉及交易的复杂程度涉及交易的复杂程度非常规交易非常规交易以前年度外部审计或内部审计发现的问题等以前年度外部审计或内部审计发现的问题等n本例本例资产负债表中的科目资产负债表中的
243、科目5金额为金额为7,利润表中科目,利润表中科目4金额为金额为5,均小于重要,均小于重要性水平,假设经考察,不存在性质上的重要,则可以排除在内控工作性水平,假设经考察,不存在性质上的重要,则可以排除在内控工作范围以外。范围以外。剩余的科目均被纳入工作范围。剩余的科目均被纳入工作范围。计划审计工作计划审计工作-多组成部分的审计策略(举例)多组成部分的审计策略(举例)Page 185第六步:根据重要报表科目和披露事项确定重要的业务流程第六步:根据重要报表科目和披露事项确定重要的业务流程n根据重要报表科目和披露事项与业务流程的对应关系,识别应纳入范围的重根据重要报表科目和披露事项与业务流程的对应关系
244、,识别应纳入范围的重要业务流程。要业务流程。n假设本例中资产负债表科目假设本例中资产负债表科目1、2、3、4,利润表科目,利润表科目1、2、3、5对应的重要对应的重要流程为销售与收款循环、采购与付款循环、固定资产循环、货币资金循环,流程为销售与收款循环、采购与付款循环、固定资产循环、货币资金循环,则将这则将这4个流程纳入内控工作范围。个流程纳入内控工作范围。计划审计工作计划审计工作-多组成部分的审计策略(举例)多组成部分的审计策略(举例)账户账户支持业务流程支持业务流程概要概要货币资金资金管理、采购与付款、销售与收款、固定资产、工薪与人事、财务报告与关帐重要普遍存在的流程管理信息技术管理财务报
245、告与关帐信息披露应收账款销售与收款、财务报告与关帐长期股权投资资金管理、财务报告与关帐重要账户与流程(举例)重要账户与流程(举例)Page 186计划审计工作计划审计工作-多组成部分的审计策略(举例)多组成部分的审计策略(举例)账户账户支持业务流程支持业务流程概要概要存货采购与付款、销售与收款、存货管理、财务报告与关帐重要普遍存在的流程管理信息技术管理财务报告与关帐信息披露固定资产固定资产、财务报告与关帐短期借款资金管理、财务报告与关帐重要的交易流程:资金管理采购与付款收入与成本核算固定资产工薪与人事存货管理应付账款采购与付款、固定资产、财务报告与关帐应付职工薪酬工薪与人事、财务报告与关帐应缴
246、税费工薪与人事、财务报告与关帐、收入实收资本资金管理、财务报告与关帐营业总收入收入与成本核算、财务报告与关帐财务费用资金管理、财务报告与关帐注意:对于没有单独被评为重要的账户,将对关键控制(如:每月对账、账户分析和监督)进行评估Page 187第七步:利用覆盖率,确定需纳入范围的具体业务流程第七步:利用覆盖率,确定需纳入范围的具体业务流程n对选定的重要会计科目或披露事项设定另一个覆盖率要求,假设为对选定的重要会计科目或披露事项设定另一个覆盖率要求,假设为60%;n计算通过前六个步骤确定的纳入工作范围的单位相关会计科目或披露事项的计算通过前六个步骤确定的纳入工作范围的单位相关会计科目或披露事项的
247、合计数是否满足覆盖率要求;合计数是否满足覆盖率要求;n如果有未达到覆盖率要求的会计科目,则从剩余的公司中选择较大的单位,如果有未达到覆盖率要求的会计科目,则从剩余的公司中选择较大的单位,纳入测试范围纳入测试范围n不必测试所有的流程,只需要测试这个特定科目或披露事项对应的流程不必测试所有的流程,只需要测试这个特定科目或披露事项对应的流程就可以了就可以了n假设本例中资产负债表科目假设本例中资产负债表科目2未能满足覆盖率要求,增加未能满足覆盖率要求,增加J公司作为测试范围公司作为测试范围n对对J公司测试只涉及科目公司测试只涉及科目2所对应的业务流程即可所对应的业务流程即可计划审计工作计划审计工作-多
248、组成部分的审计策略(举例)多组成部分的审计策略(举例)Page 188第八步:最后的定性考虑第八步:最后的定性考虑n基于管理层对一些业务和流程的特别关注和管理需要,增加测试公司或业务基于管理层对一些业务和流程的特别关注和管理需要,增加测试公司或业务流程流程n一般考虑的因素包括:一般考虑的因素包括:l容易造成财务报表错报和舞弊的该风险交易;容易造成财务报表错报和舞弊的该风险交易;l涉及复杂会计处理的交易涉及复杂会计处理的交易l非常规交易非常规交易l以前年度外部审计和内部审计发现的问题以前年度外部审计和内部审计发现的问题l管理层识别的风险管理层识别的风险l经营的重要性、复杂度和相似度经营的重要性、复杂度和相似度l行业及公司存在的特定风险行业及公司存在的特定风险计划审计工作计划审计工作-多组成部分的审计策略(举例)多组成部分的审计策略(举例)精品课件资料分享精品课件资料分享 SL出品出品精品课件资料分享精品课件资料分享 SL出品出品
