整合审计计划编制及控制测试实施.ppt

整合审计计划编制及控制测试实施 内容概要 一 内部控制审计与财务报表审计整合的依据二 计划审计工作的主要方面三 整合审计计划四 企业层面内部控制的测试五 业务流程层面内部控制的测试六 信息技术控制测试七 内部控制审计与财务报表审计的区别 一 内部控制审计与财务报表审计整合的依据 内部控制审计和财务报表审计之间存在多方面的共同点 例如 一 两者的终极目的一致 虽然各有侧重 但终极目的都是提高财务报表预期使用者对财务报表的信赖程度 二 两者都采用风险导向审计方法 注册会计师首先实施风险评估程序 识别和评估财务报表重大错报风险 包括由于舞弊导致的重大错报风险 在此基础上 针对评估的重大错报风险 通过设计和实施恰当的应对措施 获取充分 适当的审计证据 一 内部控制审计与财务报表审计整合的依据 三 两者运用的重要性水平相同 注册会计师在财务报表审计中运用重要性水平 旨在计划和执行财务报表审计工作 评价识别出的错报对审计的影响以及未更正错报对财务报表和审计意见的影响 以对财务报表整体是否不存在重大错报获取合理保证 注册会计师在内部控制审计中运用重要性水平 旨在计划和执行内部控制审计工作 评价识别出的内部控制缺陷单独或组合起来是否构成内部控制重大缺陷 以对被审计单位是否在所有重大方面保持了有效的内部控制获取合理保证 由于内部控制的目标是合理保证财务报告及相关信息的真实 完整 因此对于同一财务报表 在两种审计中运用的重要性水平应当相同 一 内部控制审计与财务报表审计整合的依据 四 两者识别的重要账户 列报及其相关认定相同 注册会计师在识别重要账户 列报及其相关认定时应当评价的重大错报风险因素对于内部控制审计和财务报表审计而言是相同的 因此对于同一财务报表 在两种审计中识别的重要账户 列报及其相关认定应当相同 五 两者了解和测试内部控制设计和运行有效性的基本方法相同 都可能实施询问 观察 检查以及重新执行等程序 二 计划审计工作的主要方面 一 初步业务活动 二 计划审计工作考虑的事项 三 重要性 四 风险评估 五 应对舞弊风险 六 利用他人的工作 二 计划审计工作的主要方面 一 初步业务活动业务接受或保持前提条件独立性和胜任能力审计业务约定书 二 计划审计工作的主要方面 二 计划审计工作考虑的事项与企业相关的风险相关法律法规和行业概况企业组织结构 经营特点和资本结构等与企业沟通过的内部控制缺陷重要性 风险等与确定内部控制重大缺陷相关的因素对内部控制有效性的初步判断可获取的 与内部控制有效性相关的证据的类型和范围 二 计划审计工作的主要方面 三 重要性财务报表审计的重要性概念和作用重大错报风险内部控制审计的重要性重大缺陷 二 计划审计工作的主要方面 四 风险评估重大错报风险评估重大缺陷风险评估重要账户 列报及其相关认定 二 计划审计工作的主要方面 五 应对舞弊风险重大非常规交易财务报告流程的分录和调整关联方管理层的重大估计减弱舞弊动机和压力 二 计划审计工作的主要方面 六 利用他人的工作独立性胜任能力风险的影响内部控制自我评价与内部控制审计的关系企业层面控制的特别规定 三 整合审计计划 实现整合审计的目标效率和效果 三 整合审计计划 了解内部控制 评估重大错报风险 了解被审计单位的行业状况 法律环境与监管环境以及其他外部因素性质对会计政策的选择和运用目标 战略以及相关经营风险财务业绩的衡量和评价 控制环境 被审计单位的风险评估过程信息系统与沟通控制活动对控制的监督 财务报表层次 认定层次 各类交易 账户余额 列报 包括披露 实施风险评估程序 了解被审计单位及其环境 不包括内部控制 财务报表审计中了解内部控制在评估重大错报风险中的方位 三 整合审计计划 财务报表审计中控制测试在应对评估的重大错报风险中的方位 三 整合审计计划 内部控制审计中的自上而下的方法 整合审计流程图 三 整合审计计划 如何制定整合审计计划 重要性重大错报风险 固有风险 的评估重要账户 列报及其相关认定内部控制测试控制缺陷评价 三 整合审计计划 如何制定整合的审计计划 项目组的整合工作底稿的整合 三 整合审计计划 在财务报表审计的基础上 初步业务活动同时考虑两种业务重要账户 列报及相关认定企业层面和业务流程层面内部控制进一步审计程序的总体方案测试内部控制有效性时间安排和间隔范围 样本规模 四 企业层面内部控制的测试 自上而下的方法是注册会计师识别风险 选择拟测试控制的基本思路 注册会计师在实施审计工作时 可以将企业层面控制和业务层面控制的测试结合进行 四 企业层面内部控制的测试 对企业层面控制的考虑 与财务报表审计的比较 四 企业层面内部控制的测试 控制的设计和运行有效性 控制设计的有效性 如果某项控制由拥有有效执行控制所需的授权和专业胜任能力的人员按规定的程序和要求执行 能够实现控制目标 从而有效地防止或发现并纠正可能导致财务报表发生重大错报的错误或舞弊 则表明该项控制的设计是有效的 综合运用询问适当人员 观察经营活动和检查相关文件等程序 控制运行的有效性 如果某项控制正在按照设计运行 执行人员拥有有效执行控制所需的授权和专业胜任能力 能够实现控制目标 则表明该项控制的运行是有效的 综合运用询问适当人员 观察经营活动 检查相关文件以及重新执行等程序 四 企业层面内部控制的测试 企业层面控制 企业层面控制是指那些确保管理层设在公司内部各个领域 各个业务层面的控制机制得以有效运转的机制 四 企业层面内部控制的测试 测试控制的设计和运行 询问本身不能为得出控制是否有效的结论提供充分 适当的审计证据 时间安排 由于对企业层面控制的评价结果将影响注册会计师测试其他控制的性质 时间安排和范围 注册会计师可以考虑在执行业务的早期阶段对企业层面控制进行测试 人员安排 在识别 了解和测试企业层面控制时 注册会计师不得利用他人的工作 四 企业层面内部控制的测试 测试控制的设计和运行 续 范围 采用检查或重新执行程序时 测试人工控制的最小样本规模参照下表 如果注册会计师不能确定控制运行频率 但知道控制运行总次数 仍可根据 控制运行总次数 一列确定测试的最小样本规模注册会计师应当根据与控制相关的风险 基于最小样本量区间确定具体的样本规模上表假设控制的运行偏差率预期为零 如果预期偏差率不为零 注册会计师应当扩大样本规模 对某些类型的控制 如有关职责分离的控制 或执行与书面证据无关的其他程序通常不适用上述样本量 四 企业层面内部控制的测试 企业层面内部控制的内容 四 企业层面内部控制的测试 与控制环境 即内部环境 相关的控制 控制环境包括治理职能和管理职能 以及治理层和管理层对内部控制及其重要性的态度 认识和行动 控制环境设定了被审计单位的内部控制基调 影响员工的内部控制意识 在了解和测试控制环境时 注册会计师需要考虑的方面主要包括 管理层的理念和经营风格是否促进了有效的财务报告内部控制管理层在治理层的监督下 是否营造并保持了诚信守信和合乎道德的文化治理层是否了解并监督财务报告过程和内部控制 四 企业层面内部控制的测试 针对管理层和治理层凌驾于控制之上的风险而设计的控制 四 企业层面内部控制的测试 被审计单位的风险评估过程 被审计单位就风险评估过程建立的相关控制 包括 管理层如何识别与编制财务报表相关的经营风险 包括舞弊风险 持续经营风险及管理层凌驾于控制之上的风险 并评估这些风险的重要性和发生的可能性评估频率管理层采取哪些措施以及如何管理风险管理层如何就其对舞弊风险的识别和应对过程与审计委员会沟通有关重要经营控制和风险管理措施的政策识别和评估可能存在的违反法律法规行为 包括非法行为 的政策和程序 四 企业层面内部控制的测试 对信息传递和期末财务报告流程的控制 信息与沟通被审计单位如何沟通与财务报告相关的人员的角色和职责以及财务报告相关的重大事项 包括管理层与治理层 特别是审计委员会 之间的沟通被审计单位就如何进行外部沟通 如与监管机构的沟通 建立的相关控制 四 企业层面内部控制的测试 对控制有效性的内部监督 即监督其他控制的控制 和内部控制评价 对控制有效性的内部监督和内部控制评价可以在企业层面实施 也可以在业务流程层面上实施例如 监督经营成果的控制集中化的处理和控制 包括共享的服务环境 对运行报告的复核和核对内部审计对发现缺陷及时沟通和整改 四 企业层面内部控制的测试 企业层面控制评价结果的影响 企业层面控制的评价结果可能影响注册会计师测试其他控制的性质 时间安排和范围 有效的企业层面内部控制 无效的企业层面内部控制 五 业务流程层面内部控制的测试 注册会计师应当针对每一相关认定获取控制有效性的审计证据 以便对财务报表内部控制整体的有效性发表意见 注册会计师应当对控制是否足以应对评估的每个相关认定的错报风险形成结论 因此 注册会计师应当选择对形成这一评价结论具有重要影响的控制进行测试 企业内部控制审计实施意见 选择拟测试的控制 五 业务流程层面内部控制的测试 关键控制 单独或连同其他控制可以有效应对评估的认定层次的重大错报风险 并且可以测试的控制 每个重要账户的相关认定至少应当有一个对应的关键控制 一项控制可能应对评估的多项相关认定的错报风险 选择拟测试的控制 五 业务流程层面内部控制的测试 与控制相关的风险 根据与控制相关的风险 确定所需获取的审计证据 影响与控制相关的风险的因素 1 该项控制拟防止或发现并纠正的错报的性质和重要程度 2 相关账户 列报及其认定的固有风险 3 交易的数量和性质是否发生变化 进而可能对该项控制设计或运行的有效性产生不利影响 4 相关账户或列报是否曾经出现错报 5 企业层面控制 特别是监督其他控制的控制 的有效性 6 该项控制的性质及其执行频率 五 业务流程层面内部控制的测试 与控制相关的风险 7 该项控制对其他控制 如控制环境或信息技术一般控制 有效性的依赖程度 8 执行该项控制或监督该项控制执行的人员的专业胜任能力 以及其中的关键人员是否发生变化 9 该项控制是人工控制还是自动化控制 10 该项控制的复杂程度 以及在运行过程中依赖判断的程度 连续审计时的考虑 1 以前年度审计中所实施程序的性质 时间安排和范围 2 以前年度对控制的测试结果以及以前年度发现的缺陷是否得以整改 3 上次审计之后 控制或其运行所处的流程是否发生变化 五 业务流程层面内部控制的测试 控制测试的性质 低度保证高度保证询问观察检查重新执行 询问本身不足以为控制运行的有效性提供充分的审计证据 五 业务流程层面内部控制的测试 控制测试的性质 是否需要在所有流程 账户的控制测试中实施重新执行程序 如所需保证较低 是否可能仅通过实施穿行测试对控制设计和运行的有效性获得充分证据 是否有可能在某一年审计中不测试关键控制 五 业务流程层面内部控制的测试 控制测试的时间安排 控制测试的时间安排 测试日与基准日的接近程度及更新测试 风险较低风险较高测试时间更早接近基准日 通常不需要测试基准日当天的控制 五 业务流程层面内部控制的测试 是否预留足够的时间以便被审计单位对存在重大缺陷的内部控制进行整改 控制测试的时间安排 五 业务流程层面内部控制的测试 测试全年的控制的两种方法假设 测试每日执行数次的控制 样本量为60 期中测试1月到8月方法一 期中测试40个 期末对剩余期间测试20个方法二 期中测试60个 期末实施前推程序 控制测试的时间安排 五 业务流程层面内部控制的测试 在确定测试范围时 考虑 需要获得的保证程度对控制环境的评估结果拟获取的审计证据的相关性和可靠性控制累积程度预期偏差 控制测试的范围 五 业务流程层面内部控制的测试 测试人工控制的样本量 注 对不定期执行但可以获知其执行总次数的控制 可对照该列确定样本量 五 业务流程层面内部控制的测试 案例 六 信息技术控制测试 信息系统控制的内容 六 信息技术控制测试 信息技术一般控制与财务报表认定的关系 六 信息技术控制测试 信息技术一般控制 如果计算机环境发现了信息技术一般控制的缺陷 则会影响系统整体的可信程度 例如 程序变更控制缺陷可能导致未授权人员对检查录入数据字段格式的编程逻辑进行修改 导致系统接受不准确的录入数据 与安全和访问权限相关的控制缺陷可能导致数据录入不恰当地绕过合理性检查 而该合理性检查在其他方面将使系统无法处理金额超过最大容差范围的支付操作 六 信息技术控制测试 什么时候必须测试信息技术一般控制 有自动复杂计算功能的系统 系统技术落后 供应商已不在提供支持服务 没有被广泛应用的新兴技术 客户自行开发软件 或者对市场常规软件有重大修改的软件 企业资源规划系统 ERP 系统与系统间存在大量自定义的接口 处理大量交易的系统 为一个复杂企业处理的系统 复杂的信息技术设施 六 信息技术控制测试 信息技术一般控制的特定风险 依赖不能正确处理数据或者处理出来的数据不正确的系统或者程序 未经授权的数据访问会导致数据损坏或者被不正当的修改 包括未经授权地记录不存在的交易或者不正确的交易 未经授权修改主数据库中的数据 未经授权修改系统或者程序 未能对系统或程序进行必要的修改 不恰当的人为干预 丢失数据的可能性 六 信息技术控制测试 测试信息技术一般控制 性质 时间 范围 性质 询问 观察 检查 重新执行 也有审阅系统参数设置时间 安排在应用系统控制测试之前范围 运用职业判断确定测试范围 六 信息技术控制测试 自动化应用控制 测试一个样本就足够了 但是要覆盖自动化控制中涉及的一系列属性 如果信赖自动化应用控制 需要测试信息技术一般控制并得到满意的结果 我们需要理解和审计针对管理层凌驾于控制之上风险而设计的控制 六 信息技术控制测试 测试自动化应用控制 七 内部控制审计与财务报表审计的区别 一 对内部控制进行了解和测试的目的不同 二 测试内部控制运行有效性的范围要求不同 三 内部控制测试的期间要求不同 四 对控制缺陷的评价和沟通要求不同 五 审计报告的形式和内容以及所包括的意见类型不同 七 内部控制审计与财务报表审计的区别 一 对内部控制进行了解和测试的目的不同注册会计师在财务报表审计中了解和测试内部控制 是为了识别 评估和应对重大错报风险 据此确定实质性程序的性质 时间安排和范围 并获取与财务报表是否在所有重大方面按照适用的财务报告编制基础编制相关的审计证据 以支持对财务报表发表的审计意见 注册会计师在内部控制审计中了解和测试内部控制 是为了对内部控制的有效性发表审计意见 七 内部控制审计与财务报表审计的区别 二 测试内部控制运行有效性的范围要求不同在财务报表审计中 针对评估的认定层次重大错报风险 注册会计师可能选择采用实质性方案或综合性方案 如果采用实质性方案 注册会计师可以不测试内部控制的运行有效性 如果采用综合性方案 注册会计师综合运用控制测试和实质性程序 因而需要测试内部控制的运行有效性 在内部控制审计中 注册会计师应当针对所有重