内部控制审计1

2012年 7月 北京国家会计学院 企业内部控制审计 基于审计师与管理层交流的视角 Page 2 主讲人简介 李杰 管理学博士（金融工程研究方向） n信永中和会计师事务所合伙人 n注册会计师、资产评估师、税务师 n中国注册会计师行业领军人才 n天津市注册会计师协会培训委员会委员、期刊编辑委员会委员 n中国会计学会成本分会理事 n在核心期刊发表研究论文多篇，出版专著及译著数部 Page 3 1 2 3 课程目标 缺陷评价与报告 审计计划与实施 审计依据与思路 Page 4 目录 序号 内容 一 内部控制审计的依据 二 内控审计、财报审计与整合审计 三 风险导向与自上而下的审计方法 四 完成审计工作 &出具审计报告 附录 内部 控制审计的依据 问题： u内控审计的依据标准是什么？ u内部控制审计与企业内部控制建立 之间的关系？ Page 6 2011国内内控审计情况 截至 2012年 4月 30日，共有 230家上市公司披露了内部控制审计报告。 报告类型 数量 （标准）无保留意见内控审计报告 225份 带强调事项段的无保留意见内控审计报告 4份 否定意见内控审计报告 1份 全国有 38家证劵资格会计师事务所从事了 230家上市公司内部控制审计业务。 Page 7 中国的内控发展：主要规范 证监会 证券公司内部控制指引 2001-1 中国人民银行 商业银行内部控制指引 2002-9 财政部 7项内部会计控制规范 (试行 ) 200104 中注协 企业内部控制审核指导意见 2002-2 银监会 商业银行内部控制评价试行办法 2004-8 上交所 上交所上市公司内部控制指引 2006-5 深交所 深交所上市公司内部控制指引 2006-9 国资委 中央企业全面风险管理指引 2006-6 五部委 企业内部控制基本规范 2008-5-22 五部委 企业内部控制配套指引 2010-4-26 Page 8 企 业 的重大决策、重大事 项 、重要人 事任免及大 额资 金支付 业务 等， 应 当 按照 规 定的 权 限和程序 实 行集体决策 审 批或者 联签 制度 企 业 梳理治理 结 构， 应 当重点关注 董事、 监 事、 经 理及其他高 级 管理 人 员 的任 职资 格和履 职 情况，以及 董事会、 监 事会和 经 理 层 的运行效 果 v企 业 梳理内部机构 设 置， 应 当重点 关注内部机构 设 置的合理性和运行的高 效性等。内部机构 设 置和运行中存在 职 能交叉、缺失或运行效率低下的， 应 当 及 时 解决 企 业应 当确定具体 岗 位的名称 、 职责 和工作要求等，明确各 个 岗 位的 权 限和相互关系 企 业拥 有子公司的， 应 当建立科学 的投 资 管控制度重点关注 发 展 战 略 、年度 财务预 决算、重大投融 资 、 重大担保、大 额资 金使用、主要 资 产处 置、重要人事任免、内部控制体 系建 设 企 业应 当定期 对组织 架构 设计 与运行的效率和效果 进 行全面 评 估 基本 规 范： 处 于最高 层 次，起 统驭 作用， 描绘了企业建立与实施内控体系必须建立的框架结构，规定了内部 控制的定义、目标、原则、要素，是制定应用指引、评价指引、鉴证指引和企业内部控制制度的基本依据 应 用指引： 处 于主体地位， 为 企 业 建立健全内部控制体系提供的指引 评 价指引： 为 企 业 管理 层对 本企 业 内部控制有效性 进 行自我 评 价提供的指引 审计 指引： 为 注册会 计师执 行内部控制 审计业务 提供 执业 准 则 企业内部控制基本规范 企业内部控制应用指引 控制活动类 1 资金活动 2 采购业务 3资产管理 4销售业务 5研究与开发 6工程项目 7担保业务 8业务外包 9财务报告 内部环境类 1组织架构 2发展战略 3人力资源 4社会责任 5企业文化 控制手段类 1全面预算 2合同管理 3内部信息传递 4信息系统 企业内部控制评价指引 企业内部控制审计指引 企业内部控制体系 Page 9 没有通用的内部控制 n 内部 控制 的各个要素 在每个企业中的实施方式取决于： n 企业规模 n 业务复杂性 n 财务信息处理方法 n 适用的法律法规 n 小型企业业务流程总体上相对简单，相应的控制也趋于简单、非正式 化 n 文档记录形式可能多种多样，内容不尽相同，包括：政策制度手册、流 程模型、流程图、岗位职责描述及其他文件。 n 文档记录没有统一标准，而其详细程度则取决于企业规模、经营性质、 及业务复杂性。 Page 10 被审计单位与审计师的责任划分 内部控制 被审计单位内控责任CPA内控审计责任 建立健全和有效实施 内部控制 评价内部控制有效性 是企业董事会（或类 似决策机构）的责任 按照 审计指引 的要求，在实施审 计工作的基础上对 内部控制的有效性 发表审计意见 内部控制自我评价报告内部控制审计报告 财务报告内部控制 审计并不能减轻企 业管理层的责任 Page 11 适用范围 n 2010年 4月 26日，财政部发布 企业内部控制审计指引 等配套指引 ，自 2011年 1月 1日起首先在境内外同时上市的公司施行，自 2012年 1月 1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公 司施行；在此基础上，择机在中小板和创业板上市公司施行；同时 ，鼓励非上市大中型企业提前执行。 n 执行企业内控规范体系的企业，必须对本企业内部控制的有效性进 行自我评价，披露年度自我评价报告，同时聘请具有证券期货业务 资格的会计师事务所对其财务报告内部控制的有效性进行审计，出 具审计报告。注册会计师在内部控制审计过程中注意到的企业非财 务报告内部控制的重大缺陷，应当提示投资者、债权人和其他利益 相关者关注。 Page 12 内控审计遵循的政策制度 企业内部控制基本规范企业内部控制基本规范 企业内部控制配套指引企业内部控制配套指引财政部等五部委财政部等五部委 其他相关其他相关 法律法规法律法规 CPA鉴证业务基本准则鉴证业务基本准则 相关执相关执 业业 准则准则 （如：（如： 1411考虑内部审计工作考虑内部审计工作 &1131审计工作底稿审计工作底稿 ） 财政部财政部 CPA Page 13 概念明晰 内控审计的业务性质 审计 /审阅 /审核？ 内部控制审计是 CPA针对被审计单位内部 控制实施合理保证（高水平保证）的鉴证 业务 直接报告业务 /基于认定的业务？ 内部控制审计 是 CPA直接对被审计单位内部控制的有 效性发表意见，是直接报告业务。 “ 企业的内部控制 是否按照 企业内部控制基本规范 和相关规定在所 有重大方面保持了有效的财务报告内部控制 ” 财报审计 是基于责任方（被审计单位管理层）认定 的业务。（是对财务报告发表审计意见） Page 14 概念明晰 内控审计的业务对象 时点 /时期？ 内部控制审计 企业内部控制审计基于特定基准日。 注册会计师基于基准日（如年末 12月 31日）内部控制的有效性发表意见，而 不是对财务报表涵盖的整个期间（如一年）的内部控制的有效性发表意见。 但这并不意味着注册会计师只关注企业基准日当天的内部控制，而是要考察 企业一个时期内（足够长的一段时间）内部控制的设计和运行情况。 实务： 业内一般要求内部控制的有效运行期至少为 3个月，即：前期或期中测试发 现的问题，需 在 9月底之前整改完毕 。 注册会计师再对整改后的内部控制进 行测试 ，才能 对企业 12月 31日（基准日）内部控制的设计和运行发表 意见 Page 15 概念明晰 内控审计的业务对象 财务报告内部控制 or 非财务报告内部控制 ？ 注册会计师 应当对财务报告内部控制的有效性发表审计意见 ，并 对内部控制审计 过程中 注意到的 非财务报告内部控制的重大缺陷 ，在内部控制审计报告中增加 “ 非财务报告内部控制重大缺陷描述段 ”予以披露 Page 16 概念明晰 内控审计的业务对象 财务 报告内部控制 政策和程序 （ 1） 保存充分、适当的 记录 ，准确、公允地 反 映 企业的交易和事项； （ 2）合理保证按照企业会计准则的规定 编制财 务报表 ； （ 3）合理保证 收入和支出的发生 以及 资产的取 得、使用或处置经过适当授权 ； （ 4）合理保证及时防止或发现并纠正未经授权 的、对财务报表有重大影响的交易和事项 合理保证财务报告及相关 信息真实完整 保护资产安全的内部控制 中与财务报告可靠性目标 相关的控制 非财务报告内部控制 是指除财务报告内部控制之外的其他控制 为了合理保证经营的效率效果、遵守法律法规、实现发展战略而设计和运行的控制，以及 用于保护资产安全的内部 控制中与财务报告可靠性目标无关的控制 Page 17 概念明晰 内控审计的业务对象（举例） n 某大型企业集团 2009版内控手册共计 1272个控制点，分类如下： 控制点 合 计 管理相关控制点 与 财务报 告相关控制点 ERP控制点 数量 1272 843 429 161 内控审计、财报审计与整合审计 问题： u内控审计与大家熟悉的财报审计有 什么差别？ u什么是整合审计？ u整合审计有什么优点？ Page 19 整合审计的概念与目标 整合审计 注册会计师可以单独进行内部 控制审计，也可以将内部 控制审计与财务报表审计 整合进行（整合审计） 获取充分、适当 的证据，支持其 在 内部控制审计 中 对内部控制的 有效性发表的意 见 整合审计 目标 获取充分、适 当的证据，支持 其在 财务报表审 计中 对内部控制 的风险评估结果 整合基础 内部控制 Page 20 整合审计的吸引力 提高审计效率 降低成本使客户 尽早获知 可 能存在的 缺陷 及早着手进行整改 整合 审计 财报审计 利用内控审计的结果 u修改实质性程序的性质、 时间安排和范围 u支持分析程序中适用的信 息的完整性和准确性 内控审计 考虑财报审计中发现的问题 u重点考虑财报审计中发现 的错报对内控有效性评价的 影响 Page 21 财务报表审计与内部控制审计的比较财务报表审计与内部控制审计的比较 1/3 比较项目 内部控制审计 财务报表审计 审计目的 对财务报告内部控制的有效性发 表审计意见，并对内部控制审计 过程中注意到的非财务报告内部 控制的重大缺陷，在内部控制审 计报告中增加 “非财务报告内部 控制重大缺陷描述段 ”予以披露 对财务报表是否符合企业 会计准则，是否公允反映 被审计单位的财务状况和 经营成果发表意见 了解和测试内部控 制的目的 直接目的：对内部控制设计和运 行有效性发表审计意见 了解内控是为了评估重大 错报风险 测试内控是为了进一步证 明了解内控时得出的初步 结论，了解和测试内控的 最终目的是服务于对财报 发表审计意见 Page 22 财务报表审计与内部控制审计的比较财务报表审计与内部控制审计的比较 2/3 比较项目 内部控制审计 财务报表审计 测试范围 对所有重要账户、各 类交易和列报的相关 认定，都要了解和测 试相关的内控 只在以下两种情况下强制要求内控 测试 1）在评估认定层次重大错报 风险时，预期控制运行有效。即： 在确定实质性程序的性质、时间安 排和范围时， CPA拟信赖控制运行 的有效性，或，（ 2）仅实施实质性 程序不能提供认定层次充分、适当 的审计证据 其他情况下， CPA可以不测试内部 控制 测试时间 对特定基准日内控有 效性发表意见。不一 定要测试整个会计期 间，但要测试足够长 的时间 一旦确定需要测试，则需要测试内 控在整个审计期间运行有效性 Page 23 财务报表审计与内部控制审计的比较财务报表审计与内部控制审计的比较 3/3 比较项目 内部控制审计 财务报表审计 测试样本量 对结论可靠性的要求高， 测试的样本量大 对结论可靠性的要求取决于计 划从内部控制中得到保证的程 度（或，减少实质性程序工作 量的程度） 结果报告 （ 1）对外披露 （ 2）以正面、积极的方式 对内控有效性发表意见 （ 1）通常不对外披露内控情况 ，除非是内控影响到对财报发 表审计意见 （ 2）以管理建议书的方式向管 理层或治理层报告财报审计中 发现的内控重大缺陷，但 CPA 没有义务专门实施审计程序， 以发现和报告内控重大缺陷 Page 24 财务报表审计与整合审计的关系财务报表审计与整合审计的关系 Page 25 重要性水平相同 重要组成部分的认定相同 财务财务 报表报表 审计计划与审计计划与 整合整合 审计计划的比较审计计划的比较 财报审计计划阶段所识别的风险对财报的影响 重大账户、重大列报和相关认定 重大业务流程 业务流程中的内部控制 考虑所识别的风险对内部控制的影响 识别高风险控制领域 确定内控审计的关注领域 Page 26 总体要求 n “整合审计 ”要求注册会计师在实施审计时将对财务报表的审计及对财 务报表内部控制的审计结合起来，从整体角度考虑。 n 财务报告内部控制审计和财务报表审计的目标不同，会计师应当计划 和执行测试工作，以同时实现二者的目标： n 支持会计师在与财务报告内部控制相关的审计中对财务报告内部控制的有 效性发表的意见； n 注册会计师在实施报表审计时，是要以对内部控制的风险评估结果作为选 择实质性测试方式的依据之一； n 报表审计的结果又会影响到财务报表内部控制审计的结果。 n 因此注册会计师需要在审计计划、审计方案及审计方法制定及实施各 个阶段将两个审计工作紧密结合起来。 整合审计 的进一步理解 Page 27 内部控制审计中对控制有效性的 测试 n 应 获得充分的证据支持财务报表涵盖期间内部控制有效运行的结论， 这说明虽然注册会计师出具的审计报表是关于审计基准日的，但是审 计证据应涵盖财务报表期间 。 n 在内部控制审计中所需测试的控制，是针对财务报表相关认定所涉及 的控制。这一范围与仅对财务报表发表审计意见时，注册会计师需要 测试的控制不同 。 n 注册会计师在实施财务报表审计时应对某项财务报表认定相关控制的 风险程度进行评估，并根据评估结果判断所需测试的控制范围及需得 到控制有效运行证据的期间。 n 在实施内部控制审计及财务报表审计过程中，注册会计师在对内部控 制有效性形成结论及评估控制风险时，应当同时考虑另一审计工作中 实施的、所有针对控制设计和运行有效性测试的结果。 整合审计 的进一步理解 Page 28 财务报表审计中对控制有效性的测试 n 在财务报表审计中，如果将某项财务报表认定的控制风险评估为低于 最高水平，注册会计师需要获取拟信赖的相关控制在整个期间有效运 行的证据 。 n 注册会计师不必将所有相关认定的控制风险评估为低于最高水平，因 此，可能不对所有控制的运行有效性进行测试注册会计师可以采取 实质性测试的方式 。 n 在财务报表审计中，注册会计师在评估控制风险时，应当同时考虑内 部控制审计中实施的、所有针对控制设计和运行有效性测试的结果。 整合审计 的进一步理解 Page 29 关于实质性程序的要求 n 在内部控制审计中识别出的控制缺陷，说明其对应的重大交易及账户中存在错报漏报的可 能，因此注册会计师应当评价该项缺陷对财务报表审计中拟实施的实质性程序的性质、时 间和范围的影响。 n 注册 会计师在财务报表审计过程中必须对所有重大的各类交易、账户余额及列报实施实质 性程序 。 n 指引第二十条列示了四种情况，即注册会计师在财务报表审计实质性程序中根据发现的问题评估对内部 控制审计的影响。 1. 注册会计师作出的、与选择和实施实质性程序相关的风险评估，尤其是与舞弊相关的风险评估 2. 发现的违反法规行为和关联方交易方面的问题； 3. 表明管理层在选择会计政策和作出会计估计时存在偏见的情况； 4. 实施实质性程序发现的错报。 n 内部控制审计中的控制有效性测试与财务报表审计中的实质性程序不能相互替代。 n 注册会计师应当通过直接测试控制获取控制是否有效的证据，而不能根据实质性程序没有发现错报，推 断该项控制的有效性。 整合审计 的进一步理解 风险导向审计 & 自上而下的审计方法 Page 31 签订审计业务约定书 建立审计项目组 计划审计工作所需评价的事项 针对舞弊风险的评估 设定重要性水平和多组成部分的审计策略 计划审计工作 识别重大账户、列报和相关认定 识别重大业务流程 识别与重大业务流程相关的信息系统 利用他人的工作 审计计划 Page 32 计划审计工作 审计业务约定书 被审计单位应当认可并理解的责任包括： 按照适用的内部控制标准，设计、执行和维护有效的内部控制 ，以使财务报表不存在由于舞弊或错误导致的重大错报。 按照适用的内控评价标准， 对内控进行评价并编制内控评价报 告。 向注册会计师提供必要的工作条件，包括允许注册会计师接触 与内控的设计、执行和维护相关的 所有信息 ，允许注册会计师 在获取审计证据时不受限制的接触其认为 必要的人员 。 CPA与企业做好充分的沟通。 Page 33 计划审计工作 审计项目组构成 注册会计师应当恰当地计划内部控制审计工作，配备具有专业胜任 能力的项目组，并对助理人员进行适当的督导。 具有性质和复杂程度类似的内部控制审计经验 了解企业内部控制相关规范和指引要求 了解 内控审计指引 、 指引实施意见 和中国注册会计师执业 准则的相关要求 拥有与企业所处行业相关的知识 具有职业判断能力 Page 34 风险评估 相关的法律法规和行业概况 内部控制最近发生变化的程度 与企业沟通过的内控缺陷 确定内部控制重大缺陷相关的因素（重要性水平、风险 ） 对内部控制有效性的初步判断 可获取的、与内部控制有效性相关的证据的类型和范围 计划审计 工作 所需评价事项 组织结构、经营特征和资本结构 u识别重大账户、重大 列报 &相关 认定 u识别重大 业务流程 & 相关信息系 统 Page 35 计划审计工作 设定重要性水平 重要性水平： 可容忍错报（实际执行的重要性）： =集团财务报表整体的重要性 50% 70% 比率 资产负债表 -资产总额 0.5%-1% 资产负债表 -净资产 1%-5% 损益表 -收入 0.5%-2% 损益表 -利润总额 5%-10% 各个 CPAs可能会有所差异 u在整合审计中，应使用相同的重要性水平 u 中国注册会计师审计准则第 1221号 重要性 Page 36 识别重大账户 定量标准 金额超过可容忍误差。 定性标准 风险和其他因素（金额可能小于可容忍误差）： 如果一个重大账户对应了多个单独的业务流程，应考虑根据不同的 风险将重大账户进行分解，分别确定个重大账户。 由于错误或舞弊而丢失的可能性 关联交易 交易量 相对于上期特征的变化 复杂性 涉及各种形式的激励薪酬的科目 ； 反映的交易或余额遭受损失的风险 由分析人员监控和报告的科目； 科目的性质，比如，备抵、坏账或 暂记帐户 该企业或在该行业中曾经发生过 差错的会计科目； 或有负债的可能性 包含管理层的估计的科目 计划审计工作 识别重大账户、列报和认定 Page 37 识别重大账户 u 非重大账户： 金额达到或高于可容忍误差，但由于认为该账户只有有限的或没有重大 错报风险，可以确定为非重大账户。 u 小额账户 u 判断某账户或列报是否重要，应当依据其固有风险，而不应考虑相 关控制的影响。 相关认定 并非所有认定对重 大账户而言都是相关的。 无需识别非重大账 户和小额账户的相关认定。 可选择组合认定 计划审计工作 识别重大账户、列报和认定 Page 38 计划审计工作 识别重大账户、列报和认定 n 如果某账户或列报可能存在一个 错报，该错报单独或连同其他错 报将导致财务报表发生重大错报 ，则该账户或列报为重要账户或 列报。 判断某账户或列报是否重 要，应当依据其固有风险，而不 应考虑相关控制的影响。 n 如果某财务报表认定可能存在一 个或多个错报，这些错报将导致 财务报表发生重大错报，则该认 定为相关认定。 判断某认定是否 为相关认定，应当依据其固有风 险，而不应考虑相关控制的影响 。 财务 报告 应收账款 销售流 程 采购流程 资金管理 预算管理 应付账 款 业务收 入 财务错报风险 重要会计科目 资产管理 信息管理 关键业务流程 信息处理目标和财务报表验证目标 会计政策选择不当会计核算方法错误越权操作账实不符虚假合同或订单收入确认不当。 完整性 估价与分摊 权利与义务 表达与披露 存在与发生 Page 39 计划审计工作 识别重大业务流程 企业的业务流程包括生成、记录、处理和报告。重大业务流程 是指对某一重大账户和列报及其相关认定产生重大影响的业务 流程。 注册会计师需要识别影响每个重大账户和列报的、与认定相关 的重大业务流程，以及相关的信息系统。 Page 40 在评估会计科目的重要性时应考虑 下列几个定性要素： （ 1）账户的规模和构成； （ 2）易于发生错报的程度； （ 3）账户或列报中反映的交易的 业务量、复杂性及同质性； （ 4）账户或列报的性质； （ 5）与账户或列报相关的会计处 理及报告的复杂程度； （ 6）账户发生损失的风险； （ 7）账户或列报中反映的活动引 起重大或有负债的可能性； （ 8）账户记录中是否涉及关联方 交易； （ 9）账户或列报的特征与前期相 比发生的变化。 计划审计工作 识别重大业务流程 Page 41 例如：识别应收账款以及坏账准备账户相关的重大业务流程 分析： 对企业的了解和以往的经验 询问恰当的人员 对账务记录的分析 结论： 此外，信息系统： ERP系统和 OA系统在销售流程均有涉及 重大业务流程 子流程 销售流程 客户资信管理 发货及销售收入的确认 应收账款的收回及管理 计提坏账准备以及坏账核销 计划审计工作 识别重大业务流程 Page 42 是否经营场所和单位 本身 就很 重要 ? * 评估文件记录以及测试在每个经营 场所和单位的重要控制 特殊或重要风险 ? 对于这些单位不需进一步的行动 经营场所和单位自身，或即使与其它单位合并在一起也不重 要 ? 针对必要的个别经营场所或业务单 位的控制的测试 对这个合并组织的控制是否有 文件记录的公司层面控制 ? 对此合并组织的公司层面的控制进 行文件记录评估和测试 * 评估文件记录并且测试对于特殊风 险的控制 不是 计划审计工作 -多组成部分的审计策略 不是 不是 不是 是 是 是 是 Page 43 类型 特点 全面范围 CPA执行的程序、取得的审计证据与企业整体内控审计类似 特定范围 CPA针对该组成部分所采用的审计程序是根据集团整体层面考虑确定 有限范围 CPA通常实施以分析性复核为主的审计程序 不纳入范围 CPA无需执行审计程序 -参考 计划审计工作 -多组成部分的审计策略 Page 44 计划审计工作 - 利用他人的工作 注册会计师应当对企业内部控制 自我评价工作进行评估，判断是否利用企业内部审计人 员，内部控制评价人员和其他相关人员的工作以及可利 用的程度，相应减少可能本应由注册会计师执行的工 作。 ” 相关要求： 对其 专业胜任能 力进行充分评价 对其 客观性 进行充分评价 Page 45 计划审计工作 - 利用他人的工作 与控制相关的风险和利用他 人工作范围的关系 Page 46 计划审计工作 审计程序团队成员 审计分工 总体时间表 审计范围 l与企业召开审计计划会议 l阅读企业相关财务、内控资料 l了解企业最新情况 l借鉴以前年度审计经验 CPA与企业的沟通 审计计划 获取内部控制审计计划 所需信息 Page 47 内部控制审计的方向？ 是从风险到控制？ 还是从控制到风险？ 内控审计 方向？ Page 48 自上而下的方法 n 在财务报告内控审计中，自上而下的方法 始于财务报表层次 ，以注册 会计师对 财务报告内部控制整体风险的了解开始 。然后，注册会计师 将关注重点放在 企业层面的控制 上，并将工作逐渐下移至 重大账户、 列报及相关的认定 。这种方法引导注册会计师将注意力放在显示有可 能导致财务报表及相关列报发生重大错报的账户、列报及认定上。 n 之后，注册会计师验证其了解到的 业务流程 中存在的风险，并就已评 估的每个相关认定的错报风险，选择足以应对这些风险的业务层面控 制进行测试。 n 在非财务报告内控审计中，自上而下的方法始于企业层面控制，并将 审计测试工作逐步下移到业务层面控制。 n 自上而下的方法描述了注册会计师在识别风险以及拟测试的控制时的 连续思维过程，但并不一定是注册会计师执行审计程序的顺序。 Page 49 从财务报表层次初步了解内控整体风险 评估企业层面控制 识别重要账户、列报及其相关认定 了解错报的可能来源 选择拟测试的控制并测试 自上而下方法 总体思路 自上而下的方法 Page 50 自上而下的方法 Page 51 评估企业层面控制 Page 52 审计师了解的企业层面控制要素 Page 53 审计师选择 测试的企业层面内部控制 n 内部控制审计中，注册会计师应当 测试对评价内部控制有效性有重要 影响的企业层面内部控制 ；对企业层面内部控制的评价，可能增加或 减少本应对其他控制进行的测试。 n 注册会计师应考虑在执行业务的 早期阶段 进行企业层面内部控制的评 价工作 Page 54 企业层面内部控制的不同精准层次 精准层次 对审计的影响 1.对及时防止或发现错报具有重要但 间接影响的控制（ 与控制环境相关的 控制 ） 可能影响选择进行测试的其 他控制，以及对其他控制所 实施程序的性质、时间和范 围 2.监督其他控制有效性的控制，可以 被用来识别其他层次控制的可能缺陷 ，但其自身的精准程度不能充分应对 某认定的错报不能被及时防止或发现 的风险 此类控制运行有效时，可以 减少原本拟对其他控制的有 效性进行的测试 3.设计在精准层次，本身可以及时地 防止或发现错报的控制 如果某此类控制充分地应对 所评估的某项错报风险，就 不需要测试与这项风险相关 的其他控制 Page 55 不同精准层次企业层面内部控制 （ 示例 ） 人力资源部门没有 获取有关雇员资格 相关的证据 对及时防止或发现 错报有重要但间接影 响的控制 企业的财务总监定期 审阅经营收入的详细 月度分析报告 企业设立了银行余额调节表 的监督审阅流程，并对下属 所有分级机构作出定期检查 ，精准度足以复核各个下属 单位的工作是否恰当 设计在精准层次， 本身可以及时地防 止或发现错报的控 制 监督其他控制有效性 的控制 这种情况可能导致注册会计师需 要获得更多证据以证明由相关人 员执行的其他控制获得了恰当执 行，尤其是针对那些由新雇员执 行的控制 如控制有效，可能可以使注 册会计师修改其原本拟对其 他控制所进行的测试程序 可以考虑测试这个企业层 面的控制，并且不必对下 属每个单位的银行余额调 节表相关控制进行测试 Page 56 CPA了解和测试企业层面内部控制的方法 n 了解和测试企业层面内部控制的方法包括但不限于： n 询问 n 观察 n 检查 n 可以通过设计调查问卷协助 CPA对企业层面控制的了解 n 仅仅通过询问 不能 为控制设计和运行的有效性提供充分证据 。可能需 要将询问和其他测试手段结合使用才能得出企业层面内部控制有效性 的结论 Page 57 实施审计工作 步骤 评估企业层面控制 评估业务层面控制 评价控制偏差 特殊事项的考虑 信息系统控制 财务报告 流程 考虑企业层面 控制对 重大业务 流程的影响 u实施穿行测试程序，了解重大 业务流程 u识别可能出错项并关联到相关 认定 u识别重大业务流程中的相关控 制 u对控制有效性的初步评价 选择拟测试的控制 测试内部控制 评价 控制缺陷 特殊考虑 Page 58 企业层面控制测试与业务层面控制测试的关系 n 企业层面控制决定业务层面控制，业务层面控制反作用于企业层面控 制 企业层面控制 ： 与内部控制诸要素中的基本制度安排直接相关，对企业 整体内控目标的实现具有重大影响 业务层面控制 ： 与控制活动（控制政策和程序）在具体业务和事项中的 运用直接相关，对企业某一或某些方面的内控目标具有重要影响 n 实施企业层面控制测试和业务层面控制测试中，应当坚持自上而下、 上下结合的测试方法。 自上而下，是指测试控制应当从企业层面控制入手，通过评估、预判企 业层面控制，增强业务层面控制测试的科学性、针对性和实效性。 强调自上而下进行测试，并不意味着企业层面和业务层面的测试工作是 孤立进行、截然分开的，在注册会计师审计实践中，往往将企业层面控 制测试和业务层面控制测试结合进行，以企业层面控制弱点锁定业务层 面控制重点，以业务层面控制效果反证企业层面控制设计 Page 59 选择拟测试的控制 n 不需要测试重大业务流程中的所有控制点 n 重要性原则 选择适当的控制点测试（关键控制点） n 选择测试的控制点需要 CPA专业判断 n 对于每个认定对应的每个可能出错项， CPA至少需要选择一个控制进 行测试 n 考虑因素 预防性控制 &发现性控制 手工控制 &自动执行的控制 控制的相关性、充分性和敏感度 控制组合 Page 60 选择拟测试的控制 关键控制 n 关键控制 &一般控制 n 当一项控制可以涵盖多个可能出错事项，或者一个可能出错事项只有某 项控制能够涵盖时，该项控制应当被认定为 关键控制 ，除此之外，则被 认定为 一般控制 。 n 经验数据表明，在所有业务层面控制中，关键控制一般占到 20左右 Page 61 选择拟测试的控制 关键控制（举例） 可能出错事项 控制 1 2 3 4 5 1 2 3 4 5 控制 1可以涵盖可能出错事项 1、 2、 3和 5，即一项控制可以涵盖多个可能出错事 项，因此控制 1可被认定为关键控制； 对于可能出错事项 4，只有控制 2能够涵盖，即一个可能出错事项只有一项控制 能够涵盖，因此控制 2可被认定为关键控制。 控制 3、 4、 5为一般控制 问题：哪些是关键控制？哪些是一般控制？ Page 62 实施审计工作 步骤 测试内部控制 评估企业层面控制 评估业务层面控制 评价控制偏差 特殊事项的考虑 信息系统控制 财务报告 流程 选择拟测试的控制 测试内部控制 评价 控制缺陷 特殊考虑 Page 63 测试控制的有效性 设计有效性 n 注册会计师应当测试控制 设计的有效性 如果控制由拥有有效执行控制所需的授权和专业胜任能力的人员按规定执 行，能够实现控制目标，从而有效地防止或发现可能导致财务报表发生重大错 报的错误或舞弊，则表明控制的设计是有效的。 注册会计师在测试控制设计的有效性时，应当综合运用询问适当人员、观 察企业经营活动和检查相关文件等程序。 注册会计师执行穿行测试通常足以评价控制设计的有效性。 Page 64 测试控制的有效性 运行有效性 n 运行有效性的含义 如果控制正在按照设计运行、执行人员拥有有效执行控制所需 的授权和专业胜任能力，则表明控制的运行是有效的。 如果企业利用第三方的帮助完成一些财务报告工作，注册会计 师在评价负责企业财务报告及相关控制的人员的专业胜任能力 时，应当一并考虑第三方的专业胜任能力。 n 控制测试的性质，即测试控制运行有效性的程序 询问 观察 检查 重新执行 Page 65 控制测试的性质（即：控制测试程序） n 注册会计师实施控制测试的程序，按提供证据的效力，由弱到强排 序为：询问、观察、检查、重新执行。 n 询问本身并不能为得出控制是否有效的结论提供充分、适当的证据 。 n 控制测试程序的性质在很大程度上取决于拟测试控制的性质。某些 控制可能存在反映控制运行有效性的文件记录，而另外一些控制， 如管理理念和经营风格，可能没有书面的运行证据。 n 对缺乏正式的控制运行证据的企业或业务单元，注册会计师可以通 过询问并结合运用其他程序，如观察活动、检查非正式的书面记录 和重新执行某些控制，获取有关控制是否有效的充分、适当的证据 。 Page 66 风险与测试控制中拟获取证据的关系 n 在测试所选定控制的有效性时，注册会计师应当根据与控制相关的 风险，确定所需获取的证据。 n 与控制相关的风险包括控制可能无效的风险和因控制无效而导致重 大缺陷的风险。与控制相关的风险越高，注册会计师需要获取的证 据就越多。 n 注册会计师通过测试控制有效性获取的证据，取决于其实施程序的 性质、时间和范围的组合。此外，就单项控制而言，注册会计师应 当根据与控制相关的风险对测试程序的性质、时间和范围进行适当 的组合，以获取充分、适当的证据。 Page 67 风险与测试控制中拟获取证据的关系 下列因素影响与某项控制相关的风险： n 该项控制拟防止或发现的错报的性质和重要程度； n 相关账户、列报及其认定的固有风险； n 交易的数量和性质是否发生变化，进而可能对该项控制设计或运行的有效性产 生不利影响； n 相关账户或列报是否曾经出现错报； n 企业层面控制（特别是监督其他控制的控制）的有效性； n 该项控制的性质及其执行频率； n 该项控制对其他控制（如控制环境或信息技术一般控制）有效性的依赖程度； n 执行该项控制或监督该项控制执行的人员的专业胜任能力，以及其中的关键人 员是否发生变化； n 该项控制是人工控制还是自动化控制； n 该项控制的复杂程度，以及在运行过程中依赖判断的程度 。 Page 68 控制测试的时间安排 n 控制测试涵盖的期间越长，提供的控制有效性的证据越多。 n 控制测试实施的时间越接近于管理层评估日，提供的控制有效 性的证据越有力。 n 为获取充分、适当的证据，注册会计师应当在下列两个因素之 间作出平衡，以确定控制测试的时间： 尽量在接近管理层评估日实施控制测试； 控制测试需要涵盖足够长的期间。 Page 69 控制测试的时间安排 n 注册会计师旨在对截至某特定日期（通常是年末）内部控制的有效性出具 报告。如果已获取截至期中某日期控制运行有效性的证据，注册会计师应 当确定还需要获取哪些补充证据，以证实剩余期间控制的运行情况。 n 在将期中测试的结果更新至年末时，注册会计师应当考虑下列因素以确定 需获取的补充证据： 基准日之前测试的特定控制，包括与控制相关的风险、控制的性质和 测试的结果； 期中获取的有关证据的充分、适当性； 剩余期间的长短； 期中测试之后，内部控制发生重大变化的可能性。 Page 70 70 测试人工控制的最小样本量区间 控制运行 频率 控制运行总次数 测试的最小样本量区间 每年 1次 1 1 每季 1次 4 2 每月 1次 12 2-5 每周 1次 52 5-15 每天 1次 250 20-40 每天多次 大于 250 25-60 Page 71 控制变更时的处理 n 在管理层评估日之前，管理层可能为提高控制效率、效果或弥补控 制缺陷而改变企业的控制。 n 如果新控制实现了相关控制目标，且运行足够长的时间，注册会计 师能够通过对控制进行测试评价其设计和运行的有效性，则无需测 试被取代的控制。 n 如果被取代控制的运行有效性对控制风险的评估有重大影响，注册 会计师应当测试被取代控制的设计和运行的有效性。 Page 72 72 整改后控制运行的最短期间（或最少运行次数）和 最少测试数量 控制运行 频率 整改后控制运行的最短期间或 最少运行次数 测试的最数 量 每年 1次 1 1 每季 1次 2季 2 每月 1次 2月 2 每周 1次 5周 5 每天 1次 20天 20 每天多次 25次（分布于涵盖多天的期间，通常不少于 15 天） 25-60 Page 73 实施审计工作 步骤 评价控制偏差 评估企业层面控制 评估业务层面控制 评价控制偏差 特殊事项的考虑 信息系统控制 财务报告 流程 选择拟测试的控制 测试内部控制 评价 控制缺陷 特殊考虑 Page 74 评价控制偏差 n 控制偏差 内控测试中， CPA选择进行测试的某个控制没有按照控制设计的 要求被有效执行或没有执行。 发现控制例外时， CPA首先要确认其是否构成一项控制偏差。如 果是，则应该调查控制偏差额属性 &形成原因，并评价控制偏差 对原定审计程序的影响 p控制偏差的属性 l系统性：无需扩大样本量，直接视为内部控制缺陷 l随机性：确定适当的审计应对措施，如：扩大样本量、直接视为 内部控制缺陷 Page 75 评价控制偏差流程图 Page 76 对信息系统控制的考虑 n CPA测试业务层面控制，应当关注信息系统对内部控制及风险评估的 影响 确定信息系统范围 信息系统环境控制 评价信息系统一般控制 评价应用系统控制 评价电子表格相关控制 Page 77 对财务报告流程的考虑 n 财务报告流程将企业会计记录中反映的业务转换为会计报表和相关列 报 n 通常作为一个单独的重大业务流程 n 财务报告流程对于业务层面的很多流程都存在联系和影响，因此， CPA应在评估企业层面控制同时考虑这一流程 Page 78 对财务报告流程的考虑 n 对财务报告流程进行了解的起点 原则：确定对财务报告流程了解的起点，与对各重大业务流程了解的终点重合 常规的重大业务流程：业务分录过帐到总账 包含会计估计的重大业务流程：包括会计估计的真个过程，或，从会计估计的中 途开始 n 对财务报告流程进行了解的程度 取决于财务报告流程的复杂性 考虑：董事会、经理层凌驾于已识别财务报告流程控制之上的风险 &以往审计中获 得的对企业的经验和认识，以及，审计中发现的错报的数量和性质 n 执行穿行测试，了解财务报告各子流程 编制试算平衡表，并进行任何必要的合并 生成、授权和记录记账分录 编制财务报表及相关列报 n 识别可能出错项 n 识别相关控制 Page 79 实施审计工作 步骤 评价控制缺陷 评估企业层面控制 评估业务层面控制 评价控制偏差 特殊事项的考虑 信息系统控制 财务报告 流程 选择拟测试的控制 测试内部控制 评价 控制缺陷 特殊考虑 Page 80 内部控制缺陷一般可分为设 计缺陷和运行缺陷： n设计缺陷 是指缺少为实现 控制目标所必需的控制，或 现存控制设计不适当、即使 正常运行也难以实现控制目 标。 n运行缺陷 是指现存设计完 好的控制没有按设计意图运 行，或执行者没有获得必要 授权或缺乏胜任能力以有效 地实施控制。 内部控制缺陷分类 重大缺陷，是指一个或多个一般缺陷的 组合，可能严重影响内部整体控制的有 效性，进而导致企业无法及时防范或发 现严重偏离整体控制目标的情形 重要缺陷，是指一个或多个一般缺 陷的组合，其严重程度低于重大缺 陷，但导致企业无法及时防范或发 现偏离整体控制目标的严重程度依 然重大，须引起企业管理层关注。 一般缺陷，除重大缺陷、重要 缺陷之外的其他缺陷 Page 81 评价控制缺陷的严重程度 注册会计师应当评价其识别的各项控制缺陷的严重程度，以确定这些缺陷单独或 组合起来，是否构成内部控制的重大缺陷。 不要求注册会计师寻找单独或组合起来不构成重大缺陷的控制缺陷。 “注册会计师无须测试那些即使有缺陷也合理预期不会导致财务报表重大错 报的控制 ” “注册会计师没有必要测试与某项相关认定的所有控制 ” 评价一项控制缺陷或多项控制缺陷的组合是否可能导致账户或列报发生错报时，注册会计师 应考虑的 “风险因素 ”包括： 1. 所涉及的账户、列报及相关认定的性质； 2. 相关资产或负债易于发生损失或舞弊的可能性； 3. 确定相关金额时所需判断的主观程度、复杂程度和范围； 4. 该项控制与其他控制的相互作用或关系； 5. 控制缺陷之间的相互作用； 6. 控制缺陷在未来可能产生的影响。 Page 82 评价控制缺陷的严重程度 严重程度取决于： 1. 控制不能防止或发现并纠正账户或列报发生错报的 可能性大小 ； 2. 因一项或多项控制缺陷 导致的潜在错报的金额大小 。 考虑发生错报的机率： 1. 评价控制缺陷时候可能导致错报时，无需将错 报发生的概率量化为某特定的百分比或区间。 2. 如多项控制影响财务报表的同一账户或列报， 错报发生的概率会增加。 3. 存在多项控制缺陷时，即使缺陷从单项看不重 要，但组合起来也可能构成重大缺陷。 考虑错报影响的金额程度： 1. 受控制缺陷影响的财务报表或交易金额； 2. 在本期或预计的将来期间受控制缺陷影响的 账户余额或各类交易涉及的交易量。 Page 83 评估错报可能性 围绕信访权限的信息系统总体控制缺陷 舞弊缺陷或许多缺陷同时存在 金额错误低于重要性水平 （判断） 明显为独立单一事项 增加重大错报的可能性 重大错报可能性不大 Page 84 评估错报重大程度 根据财务报表审计中确定的重要性水平 从定量的角度出发，考虑是否可能导致财务报表错报，该错报在金额上 对财务报表具有重大影响，且不能被一项控制或多项控制的组合所房子 或及时发现并纠正 从定性的角度出发，考虑一项缺陷或缺陷组合导致财务报表错报的严重 程度的相关因素，以及针对依赖该信息进行决策的人员预期需要考虑的 因素（如关联交易披露、潜在收购 /合并信息、重大合同签订等） Page 85 控制缺陷评估步骤 Page 86 内控缺陷 评 价步 骤 Page 87 补偿性控制 在确定一项控制缺陷或多项控制缺陷的组合是否构成重大缺陷时，注册会计师应 当 评价补偿性控制的影响 。 在评价补偿性控制是否能够弥补控制缺陷时，注册会计师应当考虑补偿性控制是 否有 足够的精确度 以防止或发现并纠正可能发生的重大错报。 n 在得出补偿性控制是否有效运行的结论前，注册会计师应当首先分析 该补偿性控制是否达到一定程度的精确性，注册会计师应当对补偿性 控制开展必要的测试工作，获取并记录补偿性控制运行有效的证据。 n 由于某些控制缺陷发生在企业的组成部分（如子公司）层面，而相关 的补偿性控制可能存在于集团层面。因此，在对补偿性控制进行测试 时，注册会计师应当考虑补偿性控制执行的层面及其对测试的影响。 集团项目组应当与组成部分注册会计师及时开展充分、有效的沟通， 及时识别补偿性控制并进行相应的测试，以便准确判断补偿性控制是 否可以降低财务报表错误的可能性和严重程度。 Page 88 注册会计师发现董事 、 监事和高级管理 人员 舞弊 企业更正已经公布 的财务报表 企业审计委员会和内 部 审计机构对内部 控制的监督无效 存在重大缺 陷的迹象 注册