业务流程层面控制测试的实务操作.ppt

业务流程层面控制测试的实务操作,2011年11月北京,中国注册会计师协会企业内部控制审计业务培训班,议题,主要业务循环简介业务循环测试,中国注册会计师协会企业内部控制审计业务培训班,综合考虑确定业务循环应用指引,从企业内部控制应用指引的18项具体应用指引出发，按照风险导向原则将各业务领域的风险对应到被审计单位的各项业务流程。,综合考虑确定业务循环重要报表及披露项目,根据既定重要性水平，通过定量定性的方法识别重要报表及披露项目，根据报表及披露项目与业务流程的对应关系，确定需进行测试的业务流程。,示例（部分）,综合考虑确定业务循环（续）,综合考虑前述两种因素，同时，尊重被审计单位的行业特点，确定拟实施审计的业务循环。,综合考虑确定业务循环（续）,信息技术一般控制,该业务循环的分类方法来源于中国注册会计师协会07年8月版财务报表审计工作底稿编制指南，下文均以该体系框架为基础展开。,业务循环一：采购与付款,部分控制目标举例：,业务循环二：工资与人事,部分控制目标举例：,业务循环三：生产与仓储,部分控制目标举例：,业务循环四：销售与收款,部分控制目标举例：,业务循环五：筹资与投资,部分控制目标举例：,业务循环六：固定资产,部分控制目标举例：,业务循环七：财务报告,部分控制目标举例：,议题,主要业务循环简介业务循环测试,中国注册会计师协会企业内部控制审计业务培训班,业务循环内控测试工作内容,我们以采购与付款流程为例，展示整个内控审计的整个过程和底稿填写方法。,财务报告内部控制审计主要包括7大业务循环，测试中以风险为导向，确定控制目标，了解被审计单位的控制活动，将那些能够控制风险的控制活动识别出来，有针对性地设计控制程序，进行测试，并汇总测试结果，为缺陷评价工作做准备。,转下页,业务循环内控测试技术标准,参考内控应用指引中列示的风险及控制手段，细化总结出与之对应的具体控制目标，以控制目标为对标依据，对被审计单位的内部控制进行测试。,样例（部分）,了解内控设计情况,样例（部分）,了解内控设计的常用方法,在了解控制的设计并确定其是否得到执行时，应当使用询问、检查和观察程序，并记录所获取的信息和审计证据来源。,访谈询问：本身不足以提供充分的证据来证明一个内控是否有效运行，提供的保障程度最低。观察：包含询问，提供了较高程度的保证，对评估自动化的内控来说可能是一个可接受的方法。但观察有一定的局限性，只能保证测试者在观察时内部控制得到了有效执行。检查：包含询问和观察，通过检查手工控制留下的证据可以作为测试手工控制的较好方法。重新执行：提供了最高程度的保证。,访谈沟通时的技巧,了解内控设计,在本审计工作底稿对本控制流程的记录，涉及控制活动的内容应索引至本控制测试的审计工作底稿。如果被审计单位针对不同类型的业务分别采用不同的控制流程和控制活动，例如针对采购与付款环节，被审计单位对大宗原材料采购和日常费用支出实施不同的控制活动，应分别予以记录。,应采用文字叙述、问卷、核对表和流程图等方式，或几种方式相结合，记录对控制流程的了解。对重要业务活动控制流程的记录应涵盖自交易开始至与其他业务循环衔接为止的整个过程。记录的内容包括但不限于(接下页）,了解流程常用方式,了解流程形成的底稿,了解内控设计（续）,(1)交易如何生成，包括电子数据交换(EDI)和其他电子商务形式的性质和使用程度；(2)内部控制采用人工系统、自动化系统或两种方式同时并存；(3)控制由被审计单位人员执行、第三方(例如服务机构)执行或两者共同执行，涉及人员的姓名及其执行的程序；(4)处理交易采用的重要信息系统，包括初次安装信息、已实施和计划实施的重大修改、开发与维护；(5)与其他信息系统之间的链接，包括以计算机为基础的应用系统和以人工操作的应用系统之间衔接的时点，以及任何相关的手工调节过程（如编制调节表）；(6)与处理财务信息相关的政策和程序；(7)会计记录及其他支持性信息；(8)使用的重要档案和表格；(9)主要输出信息(包括以纸质、电子或其他介质形式存在的信息)及用途；(10)输入交易信息并过至明细账和总账的程序；(11)会计分录的生成、记录和处理程序，包括将非标准会计分录过至明细账和总账的程序。,审计底稿了解阶段应记录内容举例,了解内控设计（举例）,以采购流程为例，展示有关职责分工的政策和程序的了解示例：S公司建立了下列职责分工政策和程序：(1)不相容职务相分离。主要包括：询价与确定供应商、采购合同的订立与审批、采购与验收、实物资产的保管与会计记录、付款审批与执行等职务相分离。(2)各相关部门之间相互控制并在其授权范围内履行职责，同一部门或个人不得处理采购与付款业务的全过程。,示例（部分）,了解内控设计（举例）,说明：假设所示流程图为S公司采购流程的主要业务活动，注册会计师需要了解和记录控制活动执行的以下要素：who:谁（或什么系统）执行这些控制活动what：这些控制活动是什么，有哪些资料文档支持when：什么时候执行这些控制活动及执行频率where：在何地执行这些控制活动how：实现这些控制活动的具体方式,以采购流程为例，展示有关业务活动的了解,了解内控设计（举例）,以采购流程为例，展示有关控制活动,示例（部分）,了解内控设计（举例）,以采购流程为例，展示有关控制活动（续）,示例（部分）,评价内控设计,评价内部控制设计（风险、控制目标及控制活动）,内控设计评估的要素：识别该业务循环中存在的风险确认控制目标确认是否有足够及有效的内控活动以满足各控制目标,评价内控设计（续）,如果多项控制活动能够实现同一控制目标，不必了解每项控制活动。,若信赖以前审计获取的审计证据，应当通过实施相关程序，获取该等控制是否已发生变化的审计证据，并予以记录。,若单独执行某控制活动不能完全达到控制目标，需识别额外控制活动，对其进行测试，以获取达到控制目标的足够保证。,若某控制目标没有相关的控制活动或设计不合理，应考虑被审计单位控制的有效性以及其对拟采取的审计策略的影响。,优先测试可以同时达到多个控制目标的控制活动。,评价方法及注意事项,评价内部控制设计风险、控制目标及控制活动,穿行测试,定义,目的,审计人员通过选择一些具有代表性的交易或事项进行“穿行测试”，即跟踪1笔通过会计系统的交易或事项，以验证内部控制的实际设置是否与内控工作底稿上所描述的结果相一致。,确认对内部控制的组成要素及各要素控制的设计的理解是充分的确认设计的内控已经被执行,关于穿行测试的定义、目的、程序：,程序,确定需要测试的控制活动和对应抽取的样本确认执行穿测的步骤方法记录穿测过程和测试结果在对应底稿，如下示例将测试结果进行汇总（接下页,穿行测试（举例）,穿行测试结果,以采购流程为例说明与应付账款对账有关的控制活动的穿行测试。,示例（部分）,测试内控执行情况,首先需要了解：测试业务循环控制执行情况的工作包括,确定测试的控制活动，编制测试程序,确定样本量测试方法,如果单纯内控审计不考虑此步骤，只有整合审计才考虑,测试内控执行情况（续）,在设计测试程序、确定样本量和样本区间及选取样本时，需要从控制活动出发，确保所设计的测试程序和样本量，能够有效检查控制要点是否得到一贯、有效的执行。,确定样本规模:首先确定总体规模，如现金支付业务数量很大，控制运行出错的概率可能也较高，注册会计师应确定与总体规模相匹配的样本规模，如可以参照控制频率确定对应样本量。可采用统计抽样和随机抽样,考虑控制的同质性,如采购循环中：对于与供应商对账，对于常年交易的战略合作伙伴和新开发供应商，对账的频率、方法均不同，应分别计算样本量，分别测试。,战略合作伙伴,新开发的供应商,本企业的采购系统与对方的订单系统有接口，订单自动传输；每季系统自动发送采购订单数量与对方发货数量核对；每季财务人员与对方财务人员邮件核对欠款余额,每月采购部门统计采购订单数量、金额提供给财务部门；财务部门核对财务记录后，与对方核对交易量及欠款余额；核对情况反馈采购部门,示例（