内部控制审计天津注协讲课版月日[]PPT课件

2012年7月天津 企业内部控制审计 实务与案例 主讲人简介 李杰管理学博士 金融工程研究方向 信永中和会计师事务所合伙人注册会计师 资产评估师 税务师中国注册会计师行业领军人才天津市注册会计师协会培训委员会委员 期刊编辑委员会委员中国会计学会成本分会理事在核心期刊发表研究论文多篇 出版专著及译著数部 1 2 3 课程目标 缺陷评价与报告 审计计划与实施 审计依据与思路 目录 第一部分内部控制审计的依据 问题 内控审计的依据标准是什么 内部控制审计的性质 2011国内内控审计情况 截至2012年4月30日 共有230家上市公司披露了内部控制审计报告 全国有38家证劵资格会计师事务所从事了230家上市公司内部控制审计业务 中国的内控发展 主要规范 企业的重大决策 重大事项 重要人事任免及大额资金支付业务等 应当按照规定的权限和程序实行集体决策审批或者联签制度 企业梳理治理结构 应当重点关注董事 监事 经理及其他高级管理人员的任职资格和履职情况 以及董事会 监事会和经理层的运行效果 企业梳理内部机构设置 应当重点关注内部机构设置的合理性和运行的高效性等 内部机构设置和运行中存在职能交叉 缺失或运行效率低下的 应当及时解决 企业应当确定具体岗位的名称 职责和工作要求等 明确各个岗位的权限和相互关系 企业拥有子公司的 应当建立科学的投资管控制度重点关注发展战略 年度财务预决算 重大投融资 重大担保 大额资金使用 主要资产处置 重要人事任免 内部控制体系建设 企业应当定期对组织架构设计与运行的效率和效果进行全面评估 基本规范 处于最高层次 起统驭作用 描绘了企业建立与实施内控体系必须建立的框架结构 规定了内部控制的定义 目标 原则 要素 是制定应用指引 评价指引 鉴证指引和企业内部控制制度的基本依据应用指引 处于主体地位 为企业建立健全内部控制体系提供的指引评价指引 为企业管理层对本企业内部控制有效性进行自我评价提供的指引审计指引 为注册会计师执行内部控制审计业务提供执业准则 企业内部控制基本规范 企业内部控制应用指引 控制活动类1资金活动2采购业务3资产管理4销售业务5研究与开发6工程项目7担保业务8业务外包9财务报告 内部环境类1组织架构2发展战略3人力资源4社会责任5企业文化 控制手段类1全面预算2合同管理3内部信息传递4信息系统 企业内部控制评价指引 企业内部控制审计指引 企业内部控制体系 没有通用的内部控制 内部控制的各个要素在每个企业中的实施方式取决于 企业规模业务复杂性财务信息处理方法适用的法律法规小型企业业务流程总体上相对简单 相应的控制也趋于简单 非正式化文档记录形式可能多种多样 内容不尽相同 包括 政策制度手册 流程模型 流程图 岗位职责描述及其他文件 文档记录没有统一标准 而其详细程度则取决于企业规模 经营性质 及业务复杂性 从 会计兼出纳 的招聘广告所引发的讨论 没有通用的内部控制 一个探讨 一定是内控的严重缺陷吗 预防性控制检查性控制 被审计单位与审计师的责任划分 内部控制 责任划分 内控责任与审计责任 被审计单位内控责任 CPA内控审计责任 建立健全和有效实施内部控制评价内部控制有效性是企业董事会 或类似决策机构 的责任 按照 审计指引 的要求 在实施审计工作的基础上对内部控制的有效性发表审计意见 财务报告内部控制审计并不能减轻企业管理层的责任 适用范围 2010年4月26日 财政部发布 企业内部控制审计指引 等配套指引2011年1月1日起在境内外同时上市的公司施行2012年1月1日起扩大到在上海证券交易所 深圳证券交易所主板上市的公司施行 在此基础上 择机在中小板和创业板上市公司施行 鼓励非上市大中型企业提前执行 执行企业内控规范体系的企业 必须对本企业内部控制的有效性进行自我评价 披露年度自我评价报告 同时聘请具有证券期货业务资格的会计师事务所对其财务报告内部控制的有效性进行审计 出具审计报告 注册会计师在内部控制审计过程中注意到的企业非财务报告内部控制的重大缺陷 应当提示投资者 债权人和其他利益相关者关注 实施步骤 内控审计遵循的政策制度 CPA 中注协发布 企业内部控制审计指引实施意见内部控制审计工作底稿编制指南 内部控制审计的性质 对象 内部控制审计 内部控制审计的性质 对象 需要明确的问题 时点 时期 内部控制审计企业内部控制审计基于特定基准日 注册会计师基于基准日 如年末12月31日 内部控制的有效性发表意见 而不是对财务报表涵盖的整个期间 如一年 的内部控制的有效性发表意见 但这并不意味着注册会计师只关注企业基准日当天的内部控制 而是要考察企业一个时期内 足够长的一段时间 内部控制的设计和运行情况 实务 业内一般要求内部控制的有效运行期至少为3个月 即 前期或期中测试发现的问题 需在9月底之前整改完毕 注册会计师再对整改后的内部控制进行测试 才能对企业12月31日 基准日 内部控制的设计和运行发表意见 财务报告内部控制or非财务报告内部控制 注册会计师应当对财务报告内部控制的有效性发表审计意见 并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷 在内部控制审计报告中增加 非财务报告内部控制重大缺陷描述段 予以披露 内部控制审计的对象 需要明确的问题 财务报告内部控制 政策和程序 1 保存充分 适当的记录 准确 公允地反映企业的交易和事项 2 合理保证按照企业会计准则的规定编制财务报表 3 合理保证收入和支出的发生以及资产的取得 使用或处置经过适当授权 4 合理保证及时防止或发现并纠正未经授权的 对财务报表有重大影响的交易和事项 合理保证财务报告及相关信息真实完整保护资产安全的内部控制中与财务报告可靠性目标相关的控制 非财务报告内部控制是指除财务报告内部控制之外的其他控制为了合理保证经营的效率效果 遵守法律法规 实现发展战略而设计和运行的控制 以及用于保护资产安全的内部控制中与财务报告可靠性目标无关的控制 内部控制审计的对象 举例 某大型企业集团2009版内控手册共计1272个控制点 分类如下 内部控制审计的对象 举例 例如 销售和收款循环中 以下的控制活动 第二部分内控审计 财报审计与整合审计 问题 内控审计与大家熟悉的财报审计有什么差别 什么是整合审计 整合审计有什么优点 整合审计的概念与目标 整合审计注册会计师可以单独进行内部控制审计 也可以将内部控制审计与财务报表审计整合进行 整合审计 整合基础内部控制 整合审计的吸引力 提高审计效率 降低成本 使客户尽早获知可能存在的缺陷及早着手进行整改 财报审计利用内控审计的结果修改实质性程序的性质 时间安排和范围支持分析程序中适用的信息的完整性和准确性 内控审计考虑财报审计中发现的问题重点考虑财报审计中发现的错报对内控有效性评价的影响 企业 CPA 整合审计的吸引力 美国 萨班斯 奥克斯利法案 和日本 金融商品交易法 均要求由出具财务报告审计报告的会计师事务所对企业财务报告内部控制进行审计 将企业内部控制审计定位在整合审计 美国的一项调查显示 企业执行 萨班斯 奥克斯利法案 404条款第二年的成本比第一年下降46 将两项审计工作更好地整合起来则是其中的一个主要原因 我国 企业内部控制审计指引 也提倡将二者整合进行 财务报表审计与内部控制审计的比较1 3 财务报表审计与内部控制审计的比较2 3 财务报表审计与内部控制审计的比较3 3 财务报表审计与内部控制审计的比较 举例 应收账款坏账准备背景 在国家货币政策趋于紧缩的形势下 企业可能较以前年度难于获得银行的贷款而普遍面临资金短缺的压力 如果被审计单位的应收账款余额较高且当年逾期应收账款有明显的上升时 被审计单位的坏账风险很可能高于往年 审计计划阶段 CPA需要考虑应收账款坏账风险将导致认定层次重大错报风险 在财务报表审计中 由于对应收账款坏账准备的判断较为主观 审计风险较高 通常注册会计师不拟依赖被审计单位在这一领域的控制 而在审计计划阶段决定直接通过实质性方案应对这一重大错报风险 在整合审计中 在审计计划阶段注册会计师既需要关注应收账款的坏账准备这一重要账户 又需要关注被审计单位销售与收款这一重大流程中与计提应收账款坏账准备相关的内部控制 将其设定为内部控制审计的一个关键控制 如果被审计单位对于应收账款坏账准备没有制定标准的计提和批准流程 也没有定期与销售部门一起讨论应收账款的催款情况 而是在财务报表结账的时候完全由财务负责人主观判断且没有相应支持性文件 在此情况下 被审计单位很可能存在应收账款坏账准备的内部控制重大缺陷而影响被审计单位财务报告内部控制有效性的整体结论 财务报表审计与整合审计的关系 重要组成部分的认定相同 财务报表审计计划与整合审计计划的比较 财报审计计划阶段所识别的风险对财报的影响重大账户 重大列报和相关认定重大业务流程业务流程中的内部控制考虑所识别的风险对内部控制的影响识别高风险控制领域确定内控审计的关注领域 第三部分计划审计工作 签订审计业务约定书 建立审计项目组 计划审计工作所需评价的事项 针对舞弊风险的评估 设定重要性水平和多组成部分的审计策略 计划审计工作 识别重大账户 列报和相关认定 识别重大业务流程 识别与重大业务流程相关的信息系统 利用他人的工作 审计计划 计划审计工作 审计业务约定书 被审计单位应当认可并理解的责任包括 按照适用的内部控制标准 设计 执行和维护有效的内部控制 以使财务报表不存在由于舞弊或错误导致的重大错报 按照适用的内控评价标准 对内控进行评价并编制内控评价报告 向注册会计师提供必要的工作条件 包括允许注册会计师接触与内控的设计 执行和维护相关的所有信息 允许注册会计师在获取审计证据时不受限制的接触其认为必要的人员 CPA与企业做好充分的沟通 计划审计工作 审计项目组构成 注册会计师应当恰当地计划内部控制审计工作 配备具有专业胜任能力的项目组 并对助理人员进行适当的督导 具有性质和复杂程度类似的内部控制审计经验了解企业内部控制相关规范和指引要求了解 内控审计指引 指引实施意见 和中国注册会计师执业准则的相关要求拥有与企业所处行业相关的知识具有职业判断能力 计划审计工作 审计项目组构成 举例 某上市医药企业审计项目组构成 与企业相关的风险评估 相关的法律法规和行业概况 内部控制最近发生变化的程度与企业沟通过的内控缺陷 确定内部控制重大缺陷相关的因素 重要性水平 风险 对内部控制有效性的初步判断 可获取的 与内部控制有效性相关的证据的类型和范围 计划审计工作 所需评价事项 组织结构 经营特征和资本结构 识别重大账户 重大列报 相关认定识别重大业务流程 相关信息系统 计划审计工作 所需评价事项 企业面临的风险 来自外部的风险宏观环境政治 经济 社会 科技 环保 法律所处的行业行业生命周期行业竞争状况 企业面对的风险 来自企业内部的风险人力资源技术与研发生产 服务流程产品 服务 36 风险等级的划分 供参考 来源 澳大利亚公共部门风险管理指南 1996年10月第22号转引自 财务报告内部控制与风险管理 美国管理会计师协会IMA发布 2007 计划审计工作 所需评价事项 企业面临的风险 财务报表审计中考虑的风险 企业面临的风险 其他后果 与财务报表无直接关系 财务报告 审计风险 影响 具有财务后果 CPA主要关注 不具有财务后果 影响 计划审计工作 所需评价事项 企业面临的风险 从企业风险到财务报表的风险 举例 计划审计工作 所需评价事项 企业面临的风险 计划审计工作 企业面临的风险 举例1 案例背景1928年9月25日 保罗 高尔文PaulGalvin和他的弟弟约瑟夫 高尔文JosephGalvin在芝加哥创建了高尔文制造公司 1947年 高尔文制造公司更名为摩托罗拉1969年7月 摩托罗拉无线电应答器被用于阿波罗11号宇宙飞船 实现了地 月通信 1983年 全球首款商用手机 摩托罗拉DynaTAC 获FCC批准上市1991年 摩托罗拉在德国汉诺威展出了全球第一款GSM数字手机 摩托罗拉天津芯片厂业务单位战略计划评价 计划审计工作 企业面临的风险 举例 1995年 摩托罗拉推出了全球第一款双向式寻呼机Tango1999年推出iDENi1000plus 集数字手机 双向对讲 数字传呼机 互联网浏览 电子邮件和传真等众多功能与一体 相当于今天的智能手机 1999年 全球首款触摸屏手机A6188发布 2000年 全球首部GPRS手机2000年 全球首部支持WAP上网手机2000年 全球首部支持JAVA手机TimeportP1082002年 全球首款360度旋转翻盖手机V70发布 2003年 全球首款基于linux内核发售的手机摩托罗拉A7602004年 全球首款13 9毫米金属机身超薄翻盖手机V3发布RAZR系列曾书写过全球销量一亿台的辉煌战绩 RAZR系列最经典的第一代V3手机开创了超薄手机的浪潮 它的横空出世曾拯救摩托罗拉公司于泥沼 摩托罗拉天津芯片厂业务单位战略计划评价 案例背景 计划审计工作 企业面临的风险 举例 摩托罗拉位于西青的MOS17芯片厂是曾经号称中国第一个 第一大的芯片厂 芯片厂于1995年立项 其后选址于天津西青经济开发区 由于半导体行业的周期性不景气和事业部决策层对投资的信心不足 西青厂的建设项目直到2000年8月才正式解冻 全面投资并买进安装生产设备 西青半导体厂的投资达19亿美元 使摩托罗拉在天津的总投资达到了30亿美元 其中西青芯片厂MOS17的投资为14亿美元 设计月产8英寸硅片2 5万片 主要产品供应无线通讯 汽车电子 信息家电等西青芯片第一批产品于2001年5月15日下线 良品率为82 是一个当时在同行业来讲相当不错的成绩 经过技术人员和管理层的不断努力 5个月后良品率达到98 5 这在摩托罗拉的历史上是创纪录的 摩托罗拉天津芯片厂业务单位战略计划评价 公司历史 计划审计工作 企业面临的风险 举例 全球半导体行业的发展呈现周期性的变化 从1980年至今 半导体市场共经历了五次景气循环 其中三次是由于全球性经济衰退造成的 1981年 1990年及2001年 两次是由于明显产能供过于求导致的 1985年及1996年 其中2001年全球半导体市场的营业额比2000年减少33 跌至1520亿美元 创下历史最低记录 从我国的半导体行业来看 2001年全年我国半导体产业产销规模与2000年相比有所下降 据统计 2001年我国集成电路总产量为44 12亿块 总销量为46 44亿块 与2000年的总产量45 69亿块 总销量51 29亿块相比分别下降3 44 和9 46 2001年集成电路总销售额为98 42亿元 与2000年的101 49亿元相比下降了3 02 摩托罗拉天津芯片厂业务单位战略计划评价 行业分析 计划审计工作 企业面临的风险 举例 摩托罗拉天津芯片厂业务单位战略计划评价 合同及客户类型分析 公司事业部的初衷是想在海外 中国 建立一个像美国国内 一模一样 的芯片厂 生产和美国 一模一样 的产品 想利用中国的廉价劳动力 智力资源 而完全依赖于其在美国国内的订单全球行业内自1998年的不景气一直延续到2004年初 全球半导体市场经历了其有史以来最漫长的寒冬 其间 摩托罗拉仅半导体事业部就关闭了其在德州 亚利桑那州的数个芯片厂 裁员达近万人半导体事业部从全局考虑 把绝大部分订单分给了美国国内的主力 成熟 仍有生产潜力和产能的芯片厂 只把极为有限的一小部分订单象征性地给了西青厂随着整个全球半导体市场于2000年底的大滑坡 彻底暴露出西青芯片厂完全依靠吃国外订单的致命弱点 从2001年底到2003年 月产量始终在500片以下 这只相当于当初设计产能的2 西青芯片厂几乎在闲置中度过了整整两年 计划审计工作 企业面临的风险 举例 从2000 2003年 摩托罗拉的市值重挫700亿美元 随着董事会成员 华尔街投资者对其股票低迷表现日益不满 以及公司新制定的资产轻量級策略 asset lightstrategy 半导体事业部由于连续亏损逐渐淡出摩托罗拉核心业务 剥离半导体事业部的呼声越来越大 根据半导体市调机构有关2003年全球前10大半导体供应商排名报告 摩托罗拉首度落居全球前10大排名以外 于是众分析师及股东不約而同地指出必须解決其负债累累的现況 股东普遍推崇尽快进行半导体事业部的IPO 摩托罗拉天津芯片厂业务单位战略计划评价 实际控制人及关联方分析 为了其后续的独立上市 西青芯片这一没有效益的 不良资产 被摩托罗拉天津电子有限公司出售给中芯国际 计划审计工作 所需评价的事项 工作底稿示例 医药行业上市公司 计划审计工作 所需评价的事项 工作底稿示例 计划审计工作 设定重要性水平 重要性水平 可容忍错报 实际执行的重要性 集团财务报表整体的重要性 50 70 各个CPAs可能会有所差异 在整合审计中 应使用相同的重要性水平 中国注册会计师审计准则第1221号 重要性 计划审计工作 识别重大账户 列报和认定 相关认定如果某财务报表认定可能存在一个或多个错报 这个或这些错报将导致财务报表发生重大错报 则该认定为相关认定 某认定是否为相关认定 因被审计单位和账户而异 定量 定性分析 重要账户或列报如果某账户或列报可能存在一个错报 该错报单独或连同其他错报将导致财务报表发生重大错报 则该账户或列报为重要账户或列报 注册会计师在确定重要性水平之后 应当识别重要账户 列报及其相关认定 计划审计工作 识别重大账户 列报和认定 判断某账户或列报是否重要 应当依据其固有风险 而不应考虑相关控制的影响 判断某认定是否为相关认定 应当依据其固有风险 而不应考虑相关控制的影响 财务报告 应收账款 销售流程 采购流程 资金管理 预算管理 应付账款 业务收入 财务错报风险 重要会计科目 资产管理 信息管理 关键业务流程 信息处理目标和财务报表验证目标 会计政策选择不当会计核算方法错误越权操作账实不符虚假合同或订单收入确认不当 识别重大账户定量标准 金额超过可容忍误差 定性标准 风险和其他因素 金额可能小于可容忍误差 如果一个重大账户对应了多个单独的业务流程 应考虑根据不同的风险将重大账户进行分解 分别确定个重大账户 计划审计工作 识别重大账户 列报和认定 在评估会计科目的重要性时应考虑下列几个定性要素 1 账户的规模和构成 2 易于发生错报的程度 3 账户或列报中反映的交易的业务量 复杂性及同质性 4 账户或列报的性质 5 与账户或列报相关的会计处理及报告的复杂程度 6 账户发生损失的风险 7 账户或列报中反映的活动引起重大或有负债的可能性 8 账户记录中是否涉及关联方交易 9 账户或列报的特征与前期相比发生的变化 识别重大账户非重大账户 金额达到或高于可容忍误差 但由于认为该账户只有有限的或没有重大错报风险 可以确定为非重大账户 实务中 谨慎使用 小额账户判断某账户或列报是否重要 应当依据其固有风险 而不应考虑相关控制的影响 相关认定并非所有认定对重大账户而言都是相关的 无需识别非重大账户和小额账户的相关认定 可选择组合认定 计划审计工作 识别重大账户 列报和认定 计划审计工作 识别重大账户 列报和认定 举例 注册会计师确定A公司的财务报表整体重要性金额为2000万元 A公司的年度管理费用总额为1亿元 年度管理费用的核算比较简单 错误或舞弊导致管理费用发生重大错报的固有风险很低 在以前年度审计中从未发现管理费用存在错报 也从未发现过相关控制缺陷 注册会计师确定管理费用账户属于重要账户 并确定 发生 和 完整性 为该重要账户的相关认定 判断是否为重大账户 计划审计工作 识别重大账户 列报和认定 举例 假设A公司的固定资产总额为2700万元 固定资产的确认比较简单 以前年度发生的错报并不重大 其他情况如下 1 以前年度未发现与固定资产相关的控制缺陷 2 A公司的控制环境较强 3 绝大多数的固定资产较为庞大或无法移动 4 固定资产分布于多个组成部分 5 由于错误或舞弊导致固定资产发生重大错报的固有风险很低 6 固定资产的增加或减少金额并不重大 7 固定资产没有减值迹象注册会计师确定的财务报表整体重要性金额为2000万元 综合对定量因素 例如 固定资产余额并非显著高于财务报表整体重要性 并且固定资产的增加或减少并不重大 和定性因素 例如 固定资产没有减值迹象 以前年度采发现与固定资产相关的控制缺陷 并且A公司的控制环境较好 的分析注册会计师确定固定资产账户不属于重要账户 判断是否为重大账户 计划审计工作 识别重大账户 列报和认定 举例 B公司是一家金融机构 拥有多家分支机构 该公司的资产总额为1000亿元 拥有定期存款500亿元 财务报表整体重要性为1亿元 从以前年度审计情况来看 对定期存款账户 未发现控制缺陷 也未作出审计调整 该账户是由大量小额明细账户构成的 注册会计师认为由于舞弊或错误导致的重大错报风险为低水平 尽管定期存款的重大错报风险为低水平 但由于该账户金额远远超过财务报表整体重要性 注册会计师仍将其确定为重要账户 判断是否为重大账户 计划审计工作 识别重大账户 列报和认定 工作底稿举例 确定重要账户及相关认定工作底稿参考格式被审计单位名称 财务报表整体重要性 实际执行的重要性 注释 解释识别重要帐户的定性或定量依据 例如 超过财务报表整体重要性的帐户为何不是重要帐户 未达到报表整体重要性的帐户为何是重要帐户等 计划审计工作 了解潜在错报报风险来源 由重大账户和相关认定对应到重大业务流程 计划审计工作 识别重大业务流程 企业的业务流程包括生成 记录 处理和报告 重大业务流程是指对某一重大账户和列报及其相关认定产生重大影响的业务流程 注册会计师需要识别影响每个重大账户和列报的 与认定相关的重大业务流程 以及相关的信息系统 计划审计工作 了解潜在错报报风险来源 由重大账户和相关认定对应到重大业务流程 如何了解潜在错报的来源 1 了解与相关认定有关的交易的处理流程 包括这些交易如何生成 批准 处理及记录 2 验证注册会计师识别出的业务流程中可能发生重大错报 包括由于舞弊导致的错报 的环节 3 识别被审计单位用于应对这些错报或潜在错报的控制 4 识别被审计单位用于及时防止或发现并纠正未经授权的 导致重大错报的资产取得 使用或处置的控制 注册会计师应当亲自执行能够实现上述目标的程序 或对提供直接帮助的人员的工作进行督导 穿行测试了解错报的潜在来源评价控制设计的有效性确定控制是否得到执行 如何由重要账户到识别重大业务流程 举例 如何由重要账户到识别重大业务流程 通过对企业的了解和以往的经验询问恰当的人员 必要时辅以观察和查询文件对记账分录分析 例如 CPA识别出某医药行业上市公司的应收账款及坏账准备账户为重大账户 要识别与应收账款以及坏账准备账户相关的重大业务流程1 对企业的了解和以往的经验 该企业的销售业务包括现销个赊销 其中 赊销产生应收账款 该企业为所有赊销客户均设定信用额度 接下页 如何由重要账户到识别重大业务流程 举例 2 询问的常见问题 接上页 3 对记账记录的分析分析应收账款和坏账准备的会计分录来识别单独的业务流程 如何由重要账户到识别重大业务流程 举例 4 CPA将销售流程作为重大业务流程 并进一步识别出销售流程的各子流程 计划审计工作 了解潜在错报报风险来源 由重大账户和相关认定对应到重大业务流程 穿行测试 执行穿行测试的情况 1 存在较高固有风险的复杂领域 2 以前年度审计中识别出的缺陷 需要考虑缺陷的严重程度 的领域 3 由于引入新的人员 新的系统 收购和采取新的会计政策而导致流程发生重大变化 首次接受委托执行内部控制审计 通常预期会对重要流程实施穿行测试 在实施穿行测试时 可以利用他人的工作 计划审计工作 了解潜在错报报风险来源 由重大账户和相关认定对应到重大业务流程 穿行测试 穿行测试作用 1 确认注册会计师对下列事项的了解是否正确 交易的整个过程 包括主要输入和输出数据 以及交易如何产生并得到授权 记录 处理和报告 财务报告内部控制 包括与预防或发现舞弊相关的控制 的设计 确定业务流程是否已涵盖了所有可能存在由于错误或舞弊导致相关财务报表认定出现重大错报的环节 以此确认该业务流程的完整性 可能发生的交易类型 关联方交易的影响 使用服务机构的影响 2 识别被审计期间业务流程 包括支持该流程的计算机应用程序 发生的所有重大变化 变化的性质以及对相关账户的影响 计划审计工作 了解潜在错报报风险来源 由重大账户和相关认定对应到重大业务流程 穿行测试 穿行测试作用 3 评估控制的有效性 在评估设计有效性时 可以考虑以下事项 该控制是否能够实现控制目标 控制程序的执行是否及时 所设计的控制执行的精细度和精确度 职责分配的适当性 4 确认控制是否得到执行 5 确认注册会计师需要就哪些控制的运行有效性获取证据 计划审计工作 了解潜在错报报风险来源 由重大账户和相关认定对应到重大业务流程 穿行测试 交易生成 授权 记录 处理和报告 对每个重要流程 选取一笔交易或事项实施穿行测试即可 如果被审计单位采用集中化的系统为多个组成部分执行重要流程 则可能不必在每个重要的组成部分选取一笔交易或事项实施穿行测试穿行测试是一种评估设计有效性的有效方法 识别出的重要流程中的控制 包括针对舞弊风险的控制 穿行测试 计划审计工作 了解潜在错报报风险来源 由重大账户和相关认定对应到重大业务流程 穿行测试 穿行测试包括 1 向实际执行控制的人员进行询问 2 观察控制的执行 3 查阅在执行控制时使用的或由于执行该控制而生成的文件 4 将支持性文件 如销售发票 合同和提货单 与会计记录进行比较在实施穿行测试时 对于每个发生重要处理程序或控制的节点 注册会计师应当询问相关人员对既定程序和控制规定的了解 并确定相关人员是否根据其设计的原意及时执行这些处理程序或控制 计划审计工作 了解潜在错报报风险来源 由重大账户和相关认定对应到重大业务流程 穿行测试 实务 在穿行测试中 询问的技巧 应当使用与被审计单位人员使用的相同的文件和信息技术对业务流程实施穿行测试 并向参与该流程或控制重要方面的相关人员进行询问可能需要通过不止一次的访谈 询问执行该流程中重要程序和控制的人员考虑与相关人员会面的顺序 以适当跟踪交易过程为佐证穿行测试中各个测试节点的信息 注册会计师可以请相关人员描述其对此前和此后处理或控制活动的了解 并演示具体操作 在询问中还应提出更深入的问题 以便识别无效控制或舞弊迹象 1 依据什么确定是否出现错误 而不是简单地问是否实施了既定程序和控制 2 如果发现错误怎么处理 3 曾经发现什么类型的错误 4 发现错误的后果是什么 5 错误是如何解决的 6 是否曾被要求忽略或回避该流程或控制 如有这种情况 请描述具体情况 发生的原因以及如何解决的如果被询问的人员从未发现任何错误 注册会计师应当评估出现这种情况的原因是因为存在有效的预防性控制还是因为执行控制的人员缺乏必要的技能 常用的问题 计划审计工作 了解潜在错报报风险来源 由重大账户和相关认定对应到重大业务流程 穿行测试 实务 被审计单位的内控发生了变化时 如何穿行测试 评估变化的性质及其对相关账户的影响 以确定是否需要同时对变化前和变化后的交易过程实施穿行测试 是否经营场所和单位本身就很重要 评估文件记录以及测试在每个经营场所和单位的重要控制 特殊或重要风险 对于这些单位不需进一步的行动 经营场所和单位自身 或即使与其它单位合并在一起也不重要 针对必要的个别经营场所或业务单位的控制的测试 对这个合并组织的控制是否有文件记录的公司层面控制 对此合并组织的公司层面的控制进行文件记录评估和测试 评估文件记录并且测试对于特殊风险的控制 不是 计划审计工作 多组成部分的审计策略 不是 不是 不是 是 是 是 是 仅供参考 仅供参考 计划审计工作 多组成部分的审计策略 计划审计工作 多组成部分的审计策略 举例1 ABC汽车集团公司成立于2003年 主要从事汽车生产和销售业务 201 年度ABc汽车集团公司未经审计的集团合并营业收入为44215000元 合并净利润为11750000元 集团项目组将集团财务报表整体的重要性确定为587500元 并基于集团财务报表层面识别了重要账户 列报及其相关认定 确定营业收入 固定资产等为重要账户 计划审计工作 多组成部分的审计策略 举例1 集团项目对组成部分的分析 计划审计工作 多组成部分的审计策略 举例1 计划审计工作 多组成部分的审计策略 举例1 计划审计工作 利用他人的工作 注册会计师应当对企业内部控制自我评价工作进行评估 判断是否利用企业内部审计人员 内部控制评价人员和其他相关人员的工作以及可利用的程度 相应减少可能本应由注册会计师执行的工作 相关要求 对其专业胜任能力进行充分评价对其客观性进行充分评价 计划审计工作 利用他人的工作 与控制相关的风险和利用他人工作范围的关系 计划审计工作 利用他人的工作 内审 在审计的不同方面是否能够利用内部审计人员的工作示例 计划审计工作 利用他人的工作 在审计的不同方面是否能够利用内部审计人员的工作示例 计划审计工作 利用他人的工作 内审 在审计的不同方面是否能够利用内部审计人员的工作示例 计划审计工作 利用他人的工作 内审 在审计的不同方面是否能够利用内部审计人员的工作示例 计划审计工作 利用他人的工作 管理层内控自评 管理层内部控制评价与注册会计师内部控制审计之间的关系管理层自我评价过程的质量 尤其是执行自我评价工作的人员的专业胜任能力和客观性 对注册会计师确定能够在多大程度上利用他人的工作以及注册会计师需要执行的工作起着重要的作用 注册会计师执行的财务报告内部控制审计工作与管理层内部控制评价工作相互配合显得非常重要 建立健全有效的内部控制是被审计单位的责任注册会计师应当对发表的审计意见独立承担责任 其责任不因为利用企业内部审计人员 内部控制评价人员和其他相关人员的工作而减轻 计划审计工作 利用他人的工作 管理层内控自评 管理层对内部控制有效性的自我评价工作需要在注册会计师开始内部控制审计工作之前启动 且最好保证内部控制设计缺陷以及内部控制运行缺陷尽早整改完毕 以预留足够长的平稳运行期 注册会计师在每个年度的较早时期就要同管理层就内部控制自我评价工作进行沟通 包括自我评价工作的进度安排 具体自我评价的工作范围 工作方法 样本选取的方法及数量 并获取必要的管理层自我评价文档 上述步骤及文档的获取主要帮助注册会计师确定其进行内部控制审计的时间安排 以及注册会计师在多大程度上可以利用被审计单位的内部控制评价工作 如果管理层就内部控制自我评价工作定期召开会议 注册会计师可以要求参加会议以及时了解内部控制自我评价工作的实际进展以及前期遇到的问题 计划审计工作 与企业召开审计计划会议阅读企业相关财务 内控资料了解企业最新情况借鉴以前年度审计经验 审计计划 获取内部控制审计计划所需信息 第四部分风险导向审计 自上而下的审计方法 内部控制审计的方向 是从风险到控制 还是从控制到风险 内控审计方向 自上而下的方法 在财务报告内控审计中 自上而下的方法始于财务报表层次 以注册会计师对财务报告内部控制整体风险的了解开始 然后 注册会计师将关注重点放在企业层面的控制上 并将工作逐渐下移至重大账户 列报及相关的认定 这种方法引导注册会计师将注意力放在显示有可能导致财务报表及相关列报发生重大错报的账户 列报及认定上 之后 注册会计师验证其了解到的业务流程中存在的风险 并就已评估的每个相关认定的错报风险 选择足以应对这些风险的业务层面控制进行测试 在非财务报告内控审计中 自上而下的方法始于企业层面控制 并将审计测试工作逐步下移到业务层面控制 自上而下的方法描述了注册会计师在识别风险以及拟测试的控制时的连续思维过程 但并不一定是注册会计师执行审计程序的顺序 从财务报表层次初步了解内控整体风险 评估企业层面控制 识别重要账户 列报及其相关认定 了解错报的可能来源 选择拟测试的控制并测试 自上而下方法总体思路 自上而下的方法 自上而下的方法 从财务报表层次初步了解内控整体风险 评估企业层面控制 识别重要账户 列报及其相关认定 了解错报的可能来源 选择拟测试的控制并测试 自上而下方法总体思路 自上而下的方法 评估企业层面的控制 评估企业层面控制 企业内部控制 企业层面控制 业务流程 应用系统或交易层面的控制 主要针对交易的生成 记录 处理和报告等环节能够对应到具体某类交易和账户余额的具体认定 应对企业财务报表整体层面的风险而设计或 作为其他控制运行的 基础设施 评估企业层面控制要素 以 内部控制环境 内部审计 为例 评估企业层面控制要素 企业层面风险控制矩阵 工作底稿记录 关注要点 举例 企业层面内部控制的不同精准层次 不同精准层次企业层面内部控制 示例 人力资源部门没有获取有关雇员资格相关的证据 对及时防止或发现错报有重要但间接影响的控制 企业的财务总监定期审阅经营收入的详细月度分析报告 企业设立了银行余额调节表的监督审阅流程 并对下属所有分级机构作出定期检查 精准度足以复核各个下属单位的工作是否恰当 设计在精准层次 本身可以及时地防止或发现错报的控制 监督其他控制有效性的控制 这种情况可能导致注册会计师需要获得更多证据以证明由相关人员执行的其他控制获得了恰当执行 尤其是针对那些由新雇员执行的控制 如控制有效 可能可以使注册会计师修改其原本拟对其他控制所进行的测试程序 可以考虑测试这个企业层面的控制 并且不必对下属每个单位的银行余额调节表相关控制进行测试 不同精准层次企业层面内部控制 如何分析精准度 如果一项企业层面控制足以应对评估的重大错报风险 CPA可能不必测试与该风险相关的其他控制 CPA可以分析某个控制是否有足够的精确度以及时防止或发现财务报表重大错报 并考虑以下因素 1 内部控制对应的重要账户及列报的性质 2 对于某些比较稳定或具备预期内在关系的账户 管理层实施的分析对发现重大错报具有足够的精确度 3 管理层分析的细化程度 一个更精确的企业层面控制会对账户按照产品 地区作更细化的分析 并与其他资料进行比较分析 以确定财务报表相关认定的准确性 不同精准层次企业层面内部控制 如何分析精准度 举例 案例描述甲公司是生产交通运输工具用的替代燃料产品和系统的企业 所有工厂雇员人数大致相同 每周工作六天 每天两班次 财务总监在公司已有10年 非常了解业务流程 包括工资流程 他审查由会计集中核算部门编制的每周工资汇总报告 由于公司扁平的组织结构和较小的规模 加上财务总监在企业的工作背景 对企业业务淡旺季 生产周期和工作流程十分了解 熟悉预算和报告流程 财务总监能迅速识别工资不当的信号及其内在的原因 如与某个项目 加班 聘用或临时解聘等情况相关 必要时 财务总监将展开调查以确定是否出现错报或者内部控制运行无效 并采取整改措施 根据对控制环境和针对管理层凌驾于控制之上的风险的控制实施的审计程序 注册会计师发现 该财务总监展示出诚信的品质 并致力于有效的内部控制 不同精准层次企业层面内部控制 如何分析精准度 举例 CPA的工作判断注册会计师评价财务总监审查的有效性 包括其精准度 询问财务总监的审查过程 并且获取了审查的其他证据 财务总监调查确定的临界值 超过该金额的差异作为重大差异进行调查 足以发现导致财务报表重大错报的错报 选择一些财务总监标记的 偏离预期值的重大差异 并确定财务总监是否已恰当调查了差异 以确定这些差异是否由错报导致 注册会计师认为 鉴于财务总监进行审查的方式旨在发现错报 审查工作可以发现工资处理的错报 但是 注册会计师认为该项控制需要依赖企业人力资源系统生成的报告 只有当对这些报告的完整性和准确性的控制有效时 财务总监的审查才能有效在测试了相关计算机控制以后 注册会计师认为财务总监的审查结合针对工资汇总报告的相关控制 能够实现上述工资处理方面的控制目标 从财务报表层次初步了解内控整体风险 评估企业层面控制 识别重要账户 列报及其相关认定 了解错报的可能来源 选择拟测试的控制并测试 自上而下方法总体思路 自上而下的方法 评估业务层面的控制 实施审计工作 步骤 评估企业层面控制 评估业务层面控制 评价控制偏差 特殊事项的考虑 信息系统控制财务报告流程 考虑企业层面控制对重大业务流程的影响实施穿行测试程序 了解重大业务流程识别可能出错项并关联到相关认定识别重大业务流程中的相关控制对控制有效性的初步评价 选择拟测试的控制 测试内部控制 评价控制缺陷 特殊考虑 审计师选择测试的企业层面内部控制 内部控制审计中 注册会计师应当测试对评价内部控制有效性有重要影响的企业层面内部控制 对企业层面内部控制的评价 可能增加或减少本应对其他控制进行的测试 注册会计师应考虑在执行业务的早期阶段进行企业层面内部控制的评价工作 CPA了解和测试企业层面内部控制的方法 了解和测试企业层面内部控制的方法包括但不限于 询问观察检查可以通过设计调查问卷协助CPA对企业层面控制的了解仅仅通过询问不能为控制设计和运行的有效性提供充分证据 可能需要将询问和其他测试手段结合使用才能得出企业层面内部控制有效性的结论 企业层面控制测试与业务层面控制测试的关系 企业层面控制决定业务层面控制 业务层面控制反作用于企业层面控制企业层面控制 与内部控制诸要素中的基本制度安排直接相关 对企业整体内控目标的实现具有重大影响业务层面控制 与控制活动 控制政策和程序 在具体业务和事项中的运用直接相关 对企业某一或某些方面的内控目标具有重要影响实施企业层面控制测试和业务层面控制测试中 应当坚持自上而下 上下结合的测试方法 自上而下 是指测试控制应当从企业层面控制入手 通过评估 预判企业层面控制 增强业务层面控制测试的科学性 针对性和实效性 强调自上而下进行测试 并不意味着企业层面和业务层面的测试工作是孤立进行 截然分开的 在注册会计师审计实践中 往往将企业层面控制测试和业务层面控制测试结合进行 以企业层面控制弱点锁定业务层面控制重点 以业务层面控制效果反证企业层面控制设计 选择拟测试的控制 不需要测试重大业务流程中的所有控制点重要性原则选择适当的控制点测试 关键控制点 选择测试的控制点需要CPA专业判断对于每个认定对应的每个可能出错项 CPA至少需要选择一个控制进行测试考虑因素预防性控制 发现性控制手工控制 自动执行的控制控制的相关性 充分性和敏感度控制组合 实施审计工作 步骤 选择拟测试的控制 评估企业层面控制 评估业务层面控制 评价控制偏差 特殊事项的考虑 信息系统控制财务报告流程 选择拟测试的控制 测试内部控制 评价控制缺陷 特殊考虑 实施审计工作 步骤 选择拟测试的控制 关键控制 关键控制 一般控制当一项控制可以涵盖多个可能出错事项 或者一个可能出错事项只有某项控制能够涵盖时 该项控制应当被认定为关键控制 除此之外 则被认定为一般控制 经验数据表明 在所有业务层面控制中 关键控制一般占到20 左右没有必要测试与某项相关认定有关的所有控制 而是选择关键控制 即能够为一个或多个重要账户或列报的一个或多个相关认定提供最有效力证据且测试最有效率的控制 实施审计工作 步骤 选择拟测试的控制 关键控制 如何选择关键控制 1 哪些控制是不可缺少的 2 哪些控制直接针对相关认定 3 哪些控制可以应对错误或舞弊导致的重大错报风险 4 控制的运行是否足够精确 选取关键控制需要注册会计师作出职业判断 注册会计师无须测试那些即使有缺陷也合理预期不会导致财务报表重大错报的控制 实施审计工作 步骤 选择拟测试的控制 关键控制 举例 控制1可以涵盖可能出错事项1 2 3和5 即一项控制可以涵盖多个可能出错事项 因此控制1可被认定为关键控制 对于可能出错事项4 只有控制2能够涵盖 即一个可能出错事项只有一项控制能够涵盖 因此控制2可被认定为关键控制 控制3 4 5为一般控制 问题 哪些是关键控制 哪些是一般控制 实施审计工作 步骤 选择拟测试的控制 关键控制 企业管理层在执行内部控制自我评价时选择测试的控制 可能多于注册会计师认为为了评价内部控制的有效性有必要测试的控制 管理层的这种决定 不影响注册会计师的控制测试决策 注册会计师只需要测试那些对形成内部控制审计意见有重大影响的控制 应对销售收入的 发生 认定的重大错报风险控制1 保证出库单只为已经发出的货物编制控制2 保证销售发票只有在与一张出库单相匹配时才能开出并登记入账控制3 复核毛利率或进行实际销售和预算销售的比较控制4 检查性控制 对实际发货数量与开票数量进行定期核对调节 对销售流程中 存在性 这和 完整性 这一目标提供合理保证注册会计师只需了解对实际发货数量与开票数量进行定期核对调节的控制即可 控制3的主要目的不是为了查出未开票的发货 该控制与认定间接相关 注册会计师应考虑识别和了解与认定关系更直接 更有效的控制 实施审计工作 选择拟测试的控制 关键控制 举例1 实施审计工作 选择拟测试的控制 关键控制 举例2 判断是否为关键控制 实施审计工作 步骤 测试内部控制 评估企业层面控制 评估业务层面控制 评价控制偏差 特殊事项的考虑 信息系统控制财务报告流程 选择拟测试的控制 测试内部控制 评价控制缺陷 特殊考虑 测试控制的有效性 设计有效性 注册会计师应当测试控制设计的有效性如果控制由拥有有效执行控制所需的授权和专业胜任能力的人员按规定执行 能够实现控制目标 从而有效地防止或发现可能导致财务报表发生重大错报的错误或舞弊 则表明控制的设计是有效的 注册会计师在测试控制设计的有效性时 应当综合运用询问适当人员 观察企业经营活动和检查相关文件等程序 注册会计师执行穿行测试通常足以评价控制设计的有效性 测试控制的有效性 运行有效性 运行有效性的含义如果控制正在按照设计运行 执行人员拥有有效执行控制所需的授权和专业胜任能力 则表明控制的运行是有效的 如果企业利用第三方的帮助完成一些财务报告工作 注册会计师在评价负责企业财务报告及相关控制的人员的专业胜任能力时 应当一并考虑第三方的专业胜任能力 控制测试的性质 即测试控制运行有效性的程序询问观察检查重新执行 控制运行有效性的审计证据包括 1 控制在所审计期间的相关时点是如何运行的 2 控制是否得到一贯执行 3 控制由谁或以何种方式执行 控制测试的性质 即 控制测试程序 注册会计师实施控制测试的程序 按提供证据的效力 由弱到强排序为 询问 观察 检查 重新执行 询问本身并不能为得出控制是否有效的结论提供充分 适当的证据 控制测试程序的性质在很大程度上取决于拟测试控制的性质 某些控制可能存在反映控制运行有效性的文件记录 而另外一些控制 如管理理念和经营风格 可能没有书面的运行证据 对缺乏正式的控制运行证据的企业或业务单元 注册会计师可以通过询问并结合运用其他程序 如观察活动 检查非正式的书面记录和重新执行某些控制 获取有关控制是否有效的充分 适当的证据 控制测试的性质 即 控制测试程序 实务问题 询问时 通常是级别 从高到低 还是 从低到高 通常先询问那些级别较高的人员 再询问级别较低的人员 以确定他们认为应该运行控制 以及哪些控制是重要的 从高到低 的询问方法使注册会计师辨别被审计单位重要的控制 特别是检查性控制 从级别较低人员处获取的信息 应向级别较高的人员核实其完整性及是否与级别较高的人员所理解的预定控制相符 这一步骤不仅可以向注册会计师提供有关实际执行的控制