企业层面控制的测试

企业层面控制的测试,参考资料,企业内部控制基本规范(“基本规范”)企业内部控制应用指引(“应用指引”)企业内部控制审计指引(“审计指引”)企业内部控制审计指引实施意见(“实施意见”)中国注册会计师执业准则及其指南,2,主要内容,一、自上而下的审计方法二、识别、了解和测试企业层面控制三、企业层面控制的精确度及对审计的影响,3,一、自上而下的审计方法,自上而下的审计方法,实施意见第三(一)部分,5,6,自上而下的审计方法（续）,自上而下的方法是注册会计师识别风险、选择拟测试控制的基本思路注册会计师在实施审计工作时，可以将企业层面控制和业务层面控制的测试结合进行,审计指引第10条,对企业层面控制的考虑-与财务报表审计的比较,注册会计师应当识别、了解和测试对内部控制有效性有重要影响的企业层面控制。,7,实施意见第三(二)部分,审计准则第1211号第15条&16条,7,二、识别、了解和测试企业层面控制,9,企业层面控制,内部控制体系的分类（按管理流程）,企业层面控制是指那些确保管理层设在公司内部各个领域、各个业务层面的控制机制得以有效运转的机制。,9,企业层面控制的内容,企业层面控制,10,实施意见第三(二)部分,测试控制设计的有效性：综合运用询问适当人员、观察经营活动和检查相关文件等程序测试控制运行的有效性：综合运用询问适当人员、观察经营活动、检查相关文件以及重新执行等程序时间安排：由于对企业层面控制的评价结果将影响注册会计师测试其他控制的性质、时间安排和范围，注册会计师可以考虑在执行业务的早期阶段对企业层面控制进行测试,11,测试控制的设计和运行,实施意见第三(九)至(十一)部分,测试控制的设计和运行（续）,性质：询问本身不能为得出控制是否有效的结论提供充分、适当的审计证据,实施意见第三(九)部分,12,测试控制的设计和运行（续）,范围：采用检查或重新执行程序时，测试人工控制的最小样本规模参照下表：如果注册会计师不能确定控制运行频率，但知道控制运行总次数，仍可根据“控制运行总次数”一列确定测试的最小样本规模注册会计师应当根据与控制相关的风险，基于最小样本量区间确定具体的样本规模上表假设控制的运行偏差率预期为零。如果预期偏差率不为零，注册会计师应当扩大样本规模。,实施意见第三(十二)部分,13,1.与控制环境（即内部环境）相关的控制,控制环境包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和行动控制环境设定了被审计单位的内部控制基调，影响员工的内部控制意识在了解和测试控制环境时，注册会计师需要考虑的方面主要包括：管理层的理念和经营风格是否促进了有效的财务报告内部控制管理层在治理层的监督下，是否营造并保持了诚信守信和合乎道德的文化治理层是否了解并监督财务报告过程和内部控制,审计准则第1211号第17条&指南第69条,14,1.与控制环境（即内部环境）相关的控制,控制环境的要素：1.1管理层的理念和经营风格组织结构职权与责任的分配对胜任能力的重视人力资源政策与实务1.2对诚信和道德价值观念的沟通和落实1.3治理层的参与程度,审计准则第1211号指南第70条,15,1.1管理层的理念和经营风格,16,17,1.1管理层的理念和经营风格(续),1.2对诚信和道德价值观念的沟通和落实,控制的有效性受负责创建、管理和监控内部控制的人员的诚信和道德价值观的影响注册会计师在了解和测试此部分控制的有效性时可以考虑但不限于以下因素：被审计单位是否有书面的行为规范并且有监督各级别员工贯彻执行行为规范的控制被审计单位是否对新员工入职时进行职业操守培训，以及是否要求员工签署行为规范声明书等管理层是否对违反相关行为规范的行为采取适当的措施管理层是否有使得激励员工与设定不切实际业绩目标之间得以平衡的控制,审计准则第1211号附录1,18,1.3治理层的参与程度,被审计单位治理层（例如：董事会、监事会等）通常通过其自身的活动，并在审计委员会或类似机构的支持下，监督被审计单位的财务报告政策和程序。被审计单位的控制意识在很大程度上受治理层的影响。注册会计师在了解和测试此部分控制有效性时可以考虑但不限于以下因素：董事会、审计委员会成员是否独立于管理层，有明确的相关职责，了解并且具备适当的条件去执行那些职责。注册会计师可以对审计委员会成员的背景进行了解，并获得他们执行相关职责的证据董事会、审计委员会是否与注册会计师进行适当的互动并定期沟通，并对注册会计师提出的问题作出反馈治理层是否充分参与了监督编制财务报告的过程董事会、审计委员会是否评估在有效监管下管理层凌驾于内部控制之上的风险,19,1.与控制环境（即内部环境）相关的控制-示例,20,1.与控制环境（即内部环境）相关的控制-示例(续),21,*执行程序的结果，包括询问内容等另附工作底稿记录,2.针对管理层和治理层凌驾于控制之上的风险而设计的控制,22,2.针对管理层和治理层凌驾于控制之上的风险而设计的控制-示例,23,2.针对管理层和治理层凌驾于控制之上的风险而设计的控制-示例(续),24,*执行程序的结果，包括询问内容等另附工作底稿记录,3.被审计单位的风险评估过程,风险评估过程包括识别与财务报告相关的经营风险和其他经营管理风险，以及针对这些风险采取的措施另外也包括针对重大经营控制及风险管理实务的政策,25,企业识别内外部风险应关注的因素,基本规范第22&23条,26,针对重大经营控制及风险管理实务的政策,注册会计师在这方面可以考虑的主要因素包括但不限于：企业是否建立了重大风险预警机制，明确界定哪些风险是重大风险，哪些事项一旦出现必须启动应急处理机制。应急预案、预警机制等相关的政策和方案应非常明确地传达到相关人员，一旦出现紧急情况，企业能够在第一时间作出反应，将损失降到最低企业是否建立了突发事件应急处理机制，确保突发事件得到及时妥善处理注册会计师可以关注突发事件应急管理机制的下列方面：事前的预防发生突发事件的应急处理事后相关措施的改进,27,3.被审计单位的风险评估过程-示例,28,3.被审计单位的风险评估过程-示例(续),*执行程序的结果，包括询问内容等另附工作底稿记录,29,内部信息传递是指企业内部各管理层级之间通过内部报告形式传递生产经营管理信息的过程,实施意见三(二)部分,4.对内部信息传递和期末财务报告流程的控制,应用指引第17号第2条,期末财务报告流程,将交易总额登入总分类账的程序,与会计政策的选择和运用相关的程序,总分类账中会计分录的编制、批准等处理程序,对财务报表进行调整的程序,编制财务报表的程序,30,间接企业层面控制,内部控制和财务报表认定,31,财务报表重大账户,业务操作重要交易类别，重要业务流程和子流程,业务流程产生的风险,广泛的业务流程层面的考量,直接企业层面控制,具体的交易层面控制,自动控制和程序,依赖于信息系统的人工控制,人工控制,信息技术一般控制,使用信息系统产生的风险,信息系统环境信息系统和设施财务数据,财务报表,系统产生的报表,财务报表认定准确性完整性截止存在与发生权利与义务分类与可理解性计价与分摊,期末财务报告流程,实施意见三(二)部分,32,5.对控制有效性的内部监督（即监督其他控制的控制）和内部控制评价,对控制有效性的内部监督和内部控制评价可以在企业层面实施，也可以在业务流程层面上实施包括：监督经营成果的控制集中化的处理和控制（包括共享的服务环境）对运行报告的复核和核对与外部人士的沟通将信息系统记录数据与实物资产进行核对内部审计,33,监督经营成果的控制,监督经营成果的控制可以视为所有监督性内部控制的一种。一般而言，管理层对于各个单位或业务部门的经营情况的监控是其中一种主要的企业层面的内部控制注册会计师在了解和测试与监督经营成果相关的企业层面的内部控制时可以考虑的因素包括（但不限于）：管理层是否定期将经营成果与预算进行对比分析及复核，以分析财务资料是否存在异常情况是否定期编制主要经营指标并对这些指标进行审阅及分析，以分析财务资料是否存在异常情况是否定期更新经营预测，并且与期末的实际经营结果进行对比分析,34,集中化的处理和控制（包括共享的服务环境）,集中化的处理可以视作企业内部的一种“外包”安排，以取得规模效益并通过将某些或全部的财务报告过程与负责经营的管理层的分离以改进控制环境注册会计师在对共享服务中心执行审计程序时，可以：了解共享服务中心的服务对象以及服务范围分析其服务对象的重大财务报表错报风险针对这些风险分析被审计单位是否有相关的内部控制用以降低其下属单位或分部财务报表发生重大错报的风险由于共享服务中心的内部控制的影响较大，注册会计师可以考虑在内部控制审计工作初期就开始分析其内部控制的性质、对被审计单位的影响等，并且考虑在较早的阶段执行对共享服务中心内部控制的有效性测试，以确定其对进一步审计程序性质、时间安排以及范围的影响,35,5.对控制有效性的内部监督和内部控制评价-监督经营成果的控制示例,36,5.对控制有效性的内部监督和内部控制评价-监督经营成果的控制示例（续）,*执行程序的结果，包括询问内容等另附工作底稿记录,37,5.对控制有效性的内部监督和内部控制评价-集中化的处理和控制示例,38,5.对控制有效性的内部监督和内部控制评价-集中化的处理和控制示例（续）,39,*执行程序的结果，包括询问内容等另附工作底稿记录,5.对控制有效性的内部监督和内部控制评价-内部审计示例,40,5.对控制有效性的内部监督和内部控制评价-内部审计示例（续）,*执行程序的结果，包括询问内容等另附工作底稿记录,41,三、企业层面控制的精确度及对审计的影响,企业层面控制的精确度及对审计的影响,实施意见第三(二)部分,43,示例不同精确度的企业层面控制,44,示例不同精确度的企业层面控制,对其他控制的执行有重要影响，但不足以防止认定层次的重大错报，注册会计师仍需要获得更多证据以证明由相关人员执行的控制获得了恰当执行,如控制有效，注册会计师可以修改其原本拟对其他控制实施的测试程序,注册会计师经过控制测试，可能判断该控制足以应对固定资产的完整性、存在性和准确性，不必对其他相关控制进行测试,45,企业层面控制的评价结果对其他控制测试的影响,企业层面控制的评价结果可能影响注册会计师测试其他控制的性质、时间安排和范围，例如：在控制环境存在缺陷的情况下，注册会计师可能选择：增加执行审