了解和测试内部控制

天职国际培训案例申报表案例类别财务报表审计内部控制编写人员叶俊鹏部门总所/审计六部联系电话主要内容了解内部控制和测试内部控制附件如果涉及案例练习或其他资料，可作为附件附后，此处填写附件编号和目录了解和测试内部控制背景资料：ABC股份有限公司（以下简称“ABC公司”）于1997年6月经卫生部卫计发（1997）第214号文批准，由XYZ有限责任公司独家发起成立，于1998年5月公开发行社会公众股的上市公司，专门从事疫苗、血液制剂、诊断用品等生物制品的研究、生产和经营的企业。本所承接ABC股份有限公司2011年度财务报表审计，并委派D项目组实施审计工作。ABC股份有限公司客户主要为全国各地疾病控制预防中心和各个经销商，公司主要从事疫苗制品、血液制品的研发、生产、运输以及销售。业务流程较为复杂。公司制定了较为完善的内部控制制度，2011年度公司聘请了安永会计师事务所为其内部控制的改善进行了咨询，并逐步开始实施新的内部控制流程。由于内部控制发生了较大的变化，项目组决定对重要的业务流程进行重新了解。案例说明：本次案例分享采用理论结合实际的形式进行，先进行理论梳理，再结合实际进行案例展示。了解被审计单位及其环境并进行风险评估了解被审计单位内部控制一、 审计发展介绍我国审计从发源到今天，已经有一百多年历史，注册会计师为了实现审计目标，围绕着对财务报表发表审计意见的审计工作也由于审计环境的不断变化调整审计方法。从最初的账项基础审计到当今的风险导向审计，也反映了审计环境的不断变化。当今世界，科学技术和政治经济不断进步，对企业的经营管理产生重大影响；伴随着激烈的竞争，经营风险不断加剧，企业随时可能面临着经营不善而导致破产倒闭的风险。要识别和应对由于经营风险可能带来的财务报表的错误和舞弊，要求项目组必须从更高的层次，综合考虑企业环境和面临的经营风险，更全面的了解企业的财务和经营状况，识别可能存在的错误和舞弊，并基于对被审计单位及其环境的了解的情况下，进行风险评估，制定总体审计策略和具体审计计划，以确保审计的效果；由于经济发展，企业规模日益壮大，项目组也有必要采用风险导向审计理念，充分了解被审计单位及其环境，识别风险点，以制定恰当的审计策略，从而提高审计效率；二、 审计风险模型：审计风险（AR）=固有风险(IR)*控制风险(CR)*检查风险(DR) （其中：重大错报风险=固有风险*控制风险）从上述模型中不难看出，审计风险取决于固有风险、控制风险和检查风险；项目组审计过程中通常以控制检查风险来降低审计风险。思考下列问题：1. 项目组如何控制检查风险？项目组应当合理设计审计程序的性质、时间安排和范围，并有效执行审计程序，以控制检查风险。2. 项目组应当如何合理、高效地实施审计程序、执行哪些审计程序来控制检查风险？第一、 了解被审计单位及其环境并进行风险评估。第二、 了解被审计单位内部控制，并进行控制测试（如可行）第三、 依据风险评估结论、内部控制有效性测试的结果来设计和实施实质性程序。三、 了解和测试内部控制的基本思路了解和测试内部控制应当区分报表层次（企业层面内部控制）和认定层次（业务层面内部控制）内部控制，根据企业内部控制框架体系，自上而下的进行。企业内部控制框架将内部控制自上而下分为：控制环境、风险评估、信息系统与沟通、控制活动、监督；自上而下的方法始于财务报表层次，以对内部控制整体风险的了解开始，然后，将关注重点放在企业层面的控制上，并将工作逐渐下移至重要账户、列报及其相关认定。随后，验证其对被审计单位业务流程中风险的了解，并选择能足以应对评估的每个相关认定的重大错报风险的控制进行测试。具体而言步骤如下：第一、从财务报表层次初步了解内部控制整体风险； 第二、了解、识别和测试企业层面控制；第三、识别重要账户、列报及相关认定；第四、了解潜在错报的来源并识别相关认定；第五、选择拟测试的控制实施控制测试；四、 与财务报表审计有关的内部控制风险导向审计理念下要求项目组必须先了解被审计单位及其环境并进行风险评估，而与被审计单位财务报表有直接关系的就是神审计单位的内部控制，特别是与审计相关的内部控制。所以了解被审计单位内部控制是风险评估的重要组成部分，对审计整个过程将产生深远的影响。相关知识点连接:内部控制目标：1.财务报告的可靠性；2.经营的效果和效率；3.遵守适用的法律法规。内部控制五要素：1.控制环境；2.风险评估过程；3.与财务报告相关的信息与沟通；4.控制活动；5.对控制的监督。1. 与审计相关的内部控制:被审计单位的目标与为实现目标提供合理保证的控制之间存在直接关系。被审计单位的目标和控制，与财务报告、经营及合规有关。但这些目标和控制并非都与审计有关。判断某项控制活动是否与审计相关需要考虑下列事项：审计重要性；审计提供的是一种合理保证的鉴证业务，并不要求查出被审计单位的所有错误，在执行具体审计业务的过程中，一般利用职业判断确定一个合理的重要性水平，针对高于重要性水平的错报实施专门的审计程序，所以在了解与审计相关的内部控制时，需要考虑重要性，并不是所有与审计相关的内部控制均需要了解和测试。相关风险的程度；重大错报风险取决控制风险和固有风险。如果一项控制活动产生的风险较高，相应重大错报风险也随之增高，显然，与导致重大错报风险高的内部控制活动应当是重点关注的内部控制被审计单位的规模；被审计单位的业务性质，包括组织结构和所有权特质；被审计单位的业务性质在很大程度上决定了对内部控制的了解。比如电信行业、银行等金融机构日常业务繁多，多数业务处理均由自动化系统完成，在了解与之相关的内部控制，必须考虑与之相关的信息系统控制。被审计单位经营的多样性和复杂性；审计客户经营业务的多样性和复杂性在很大程度上决定了审计客户的内部控制，经营多样性和复杂程度高的业务流程会使得更多的控制活动与审计相关，因为每一项控制活动都有可能与财务信息相关。适用的法律法规；内部控制的情况和适用的要素；作为内部控制组成部分的系统的性质和复杂性；一项特定控制(单独或者连同其他控制)是否以及如何防止或发现并纠正重大错报。2. 内部控制人工和自动化程度审计客户内部控制系统包含人工部分，通常也包含自动化部分。项目组在进行风险评估时应当区分相关控制活动的运行方式。控制运行方式与项目组风险评估以及在此基础上实施的进一步审计程序相关。内部控制人工和自动化程度，将影响交易生产、记录、处理和报告的方式。人工方式和自动化方式将影响控制运行留下的轨迹，对项目组何时执行审计工作将产生重要影响。除非存在某些可以使控制得到一贯运行的自动化控制，否则项目组对控制的了解并不足以测试控制运行的有效性。如果一项控制为高度自动化运行的控制，那么项目组应当考虑了解内部控制与测试内部控制有效性之间的关系，如果一项高度自动化控制一贯运行，项目组可以考虑了解内部控制的结果可能支持内部控制有效性的测试。3. 了解内部控制时对人工控制和自动化控制的特别考虑内部控制中人工成分可能比自动化控制成分可靠性低，人工控制可能更容易被规避、忽视或不恰当的凌驾以及容易产生更简单错误和失误。而自动化控制由于其具有一贯性，只能处理大量具有相同性质的业务，对于存在大额、异常或偶发的交易，难以界定、预计或预测的情况，监督自动化运行的有效性等，都需要运用人工来进行处理。实际情况是更多的企业开始运用自动化结合人工的内部控制方式来处理各种不同类型的交易，特别是OA系统应用到自动化办公中来显得更为直观。此时对内部控制的了解需要重点关注一般控制是否设计合理，执行是否恰当。4. 与了解内部控制相关的风险评估程序了解内部控制是项目组了解被审计单位及其环境并进行风险评估的重要组成部分，所以用以了解内部控制的风险评估程序和了解被审计单位及其环境使用的程序类似。一般地，项目组使用下列风险评估程序对内部控制进行了解：(一) 询问被审计单位人员；(二) 观察特定控制的运用；(三) 检查文件和报告；(四) 追踪交易在财务报告信息系统中的处理过程穿行测试。其中询问、观察、检查用以了解被审计单位内部控制设计是否合理，穿行测试用以了解被审计单位所设计的内部控制是否得到执行。案例：由于本次审计为连续审计，根据以前年度了解的情况以及初步了解，项目组初步确定的与本次审计相关的内部控制主要有以下方面1.公司层面的内部控制 内部控制要素公司存在且与审计相关的内部控制是否进行了解控制环境对诚信和道德价值观念的沟通与落实是对胜任能力的重视是治理层的参与程度是管理层的理念和经营风格是组织结构是职权与责任的分配是人力资源的政策与实务是风险评估过程设置评估目标是风险识别是风险分析是风险应对是信息系统与沟通信息系统的开发和应用是信息流如何在企业内部和外部流通是信息系统对例外时间的敏感程度是会计系统控制是对控制的监督持续监督是专门评价是2.业务层面内部控制内部控制要素公司存在且与审计有关的业务流程控制是否进行了解控制活动、信息与沟通销售与收款循环是采购与付款循环是生产与仓储循环是固定资产循环是货币资金循环是五、 在整体层面了解内部控制（财务报表层次）1. 了解内部控制要素之控制环境控制环境的重要性：控制环境包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和行动。控制环境设定了被审计单位的内部控制基调，影响员工内部控制意识。1.1与控制环境相关的7大要素：控制环境要素影响风险评估程序对诚信和道德价值观的沟通与落实影响重要业务流程的设计和运行。内部控制的有效性直接依赖于负责创建、管理和监控内部控制的人员的诚信和道德价值观。询问管理层和员工；检查企业行为守则和内部控制制度。对胜任能力的重视良好的胜任能力将有利于控制活动持续有效的运行询问管理层；检查企业考核文件，培训纪要。治理层的参与治理层参与程度越广泛，对控制活动的监督越有效检查董事会、监事会会议纪要；询问董事会、监事会成员。管理层的理念和经营风格经营理念、经营风格在很大程度上决定了企业的冒险程度询问管理层、员工。组织结构组织结构的复杂程度将影响控制运行效率检查企业组织结构图；询问管理层。职权与责任的分配良好的职权与责任分配将营造良好的分工监督机制和审批机制询问管理层；检查企业岗位责任文件。人力资源政策与实务良好的人力资源政策将留住优秀人才询问管理层；检查企业招聘、晋升激励政策。1.2如何获取与控制环境有关的审计证据由于控制环境往往表现为企业整体诚信、道德、价值观，蕴藏于企业文化之中，项目组在针对控制环境获取审计证据时往往不能取得纸质等存在介质的文件资料，而控制环境对于内部控制又有着至关重要的作用，我们如何对审计客户控制环境进行了解，获取充分适当的审计证据呢？方式一：网站、报纸、交易所公告（适用于公共实体公司）在网络发达的时代，上市公司、大型企业都会通过网络对企业的宣传企业文化，主要包括公司治理结构，组织结构等；方式二：与审计客户进行访谈，形成访谈记录与审计客户管理层、员工访谈是项目组了解被审计单位控制环境的重要手段之一，根据审计客户的具体情况，制定访谈提纲，列出访谈项目，通过问答形式可以更加全面的对被审计客户的控制环境进行了解。方式三：获取审计客户员工行为守则，内部控制制度等。1.3在了解控制环境时应当注意的问题： 控制环境的某些要素对重大错报风险评估具有广泛影响，特别是治理层的影响程度。例如，被审计单位的控制意识在很大程度上受治理层影响，因为治理层的职责之一就是平衡管理层面临的与财务报告相关、源于市场需求或薪酬方案的压力。与治理层参与相关的控制环境的设计有效性受下列事项的影响：治理层相对于管理层的独立性及评价管理层措施的能力；治理层是否了解被审计单位从事的交易；治理层对财务报表是否按照适用的财务报告编制基础编制进行评价的程度。 活跃而独立的董事会可能影响高级管理人员的理念和经营风格，而在现代的公司治理结构下其他影响因素只是微乎其微的。例如：人力资源政策和实务规定招聘具有胜任能力的财务、会计和信息系统人员，这可能降低处理财务信息时出现错误的风险，但是却不能抵消最高管理层高估收益的强烈倾向，显然，治理层此时的作用会更大。 通过将询问和其他风险评估程序相结合：项目组可以通过检查文件记录来证实在询问中获取的结论，以确定被审计单位的相关控制是否得到执行。例如：通过观察或检查文件证实询问的结果是否合理、项目组可以获取相关审计证据。例如，通过询问管理层和员工，项目组可以了解管理层如何向员工传达商业行为惯例和道德行为价值观念。项目组可以通过考虑管理层是否建立了书面行为守则以及管理层是否按照支持该守则的方式行事，来确定相关控制是否已得到执行。 项目组应当确定某些问题更加适合与基层员工进行访谈。例如：涉及管理层诚信的问题。 控制环境对重大错报风险评估的影响：在初步对控制环境进行了解后，项目组可能得出一个初步的结论，该结论可能会影响已经形成的重大错报风险的评估。当项目组评估重大错报风险时，存在令人满意的控制环境是一个积极的因素。虽然令人满意的控制环境有助于降低舞弊风险，但并不能绝对遏制舞弊。相反，控制环境中存在的缺陷（特别是与舞弊相关的缺陷）可能削弱控制的有效性。通常会存在两种情况：一种情况通过了解控制环境发现，被审计单位控制环境良好，管理层和员工素质较高，以诚信为行事准则，这将会为项目组取得更多的信赖，可能降低重大错报风险评估水平。另一种情况是通过了解控制环境发现，被审计单位控制环境较差，管理层和员工不诚信，将会导致项目组将被审计单位重大错报风险评估为高，甚至可能认为会存在由于舞弊导致的特别风险。 需要说明的是控制环境本身并不能防止或发现并纠正重大错报，更多的是为其他的控制活动提供强大的保证力量。控制环境并不能直接防止或发现并纠正重大错报，更多的是为其他控制有效运行提供强大的保障力量。它可能影响项目组对其他控制有效性的评价，特别是对控制的监督和特定控制活动的运行，进而影响项目组对重大错报风险的评估。案例：2.1了解ABC公司内部控制控制环境针对ABC股份有限公司特点，并初步获取了公司的企业文化手册、内部控制制度手册、员工规章制度手册、员工行为规范、企业内部控制自我评价报告等，项目组根据初步了解的情况拟定了访谈提纲，针对与控制环境有关的各个要素与ABC公司有关人员进行访谈。详细情况如下： ABC公司建立了良好的企业文化，并以打造“国内一流、国际上有一定影响的生物技术企业 ”为企业愿景、以“品质、责任、创新、发展 ”为企业理念来强化公司企业文化。为企业员工提供了良好的精神支柱。（来自于企业网站）风险评估程序：项目组拟以询问公司管理层、基层员工来进行了解相关的内部环境。 同时注重企业所承担的社会责任，由于从事的是与人类健康有关的事业，公司管理层秉承诚信、产品质量第一的原则，并致力打造合乎道德的企业价值观。（来自与企业社会责任报告）风险评估程序:项目组拟以询问培训部门管理人员、基层员工来了解相关内部环境。 ABC公司注重法制和职业道德教育工作，体现“爱我天坛、科学发展干”的企业精神，在新员工入司教育和全员培训管理中均安排进行依法制药和职业道德教育的培训内容。按照公司有关规定，在年度全员业绩考核的基础上，组织评选表彰优秀员工和先进工作者及典型事迹，引导员工学习先进，爱岗敬业，不断提高广大员工正确履行岗位职责的能力。风险评估程序:项目组拟以询问管理层、基层员工、检查员工手册等程序来了解相关的内部环境 ABC公司依据公司法、企业内部控制基本规范以及公司章程制订完善了股东大会、董事会、监事会制度和议事规则。重大事项，须由股东大会审议通过；董事会负责执行股东大会作出的决议，向股东大会负责并报告工作，在股东大会授权及公司章程规定范围内履行决策职能，董事会中独立董事占三分之一；在董事会下设立了审计委员会、业绩考核与薪酬委员会和战略与投资委员会；监事会按照公司章程和监事会议事规则的规定和要求，对公司财务以及公司董事、高级管理人员履行职责的合法合规性进行监督。（来自于公司内部控制制度和内部控制自我评价报告）风险评估程序：项目组拟检查公司董事会会议纪要、各个委员会会议纪要、询问相关人员来了解相关的内部环境 ABC公司章程获知公司组织架构的最高权力机关为股东大会，股东大会选举产生董事会，由董事会提名并产生总经理人选，监事会独立于董事会，向股东大会负责并监督董事会的活动。公司设置各部门经理或主任，对各部门所拥有的权力和应承担的责任均在部门职责作出明确规定，形成各司其职、各负其责、相互配合、相互制约、环环相扣的内部管理体系，在组织生产、从事有序的经营活动、提供产品和服务、增加效益、确保安全和加强节能降耗等方面都发挥了至关重要的作用。（来自于公司章程和内控自我评价报告）风险评估程序：项目组拟检查相关公司章程、董事会会议记录、管理层会议纪要、询问董事长、管理层以了解相关的内部环境。 ABC公司为合理配置人力资源，提高工作效率和经济效益，为实现公司的经营目标提供组织保障和人才支持，人力资源部专职负责公司组织结构各项人事管理事宜，根据国家相关人力资源政策，拟订、解释及推行公司人力资源政策、计划及管理、培训等，促进公司与员工之间关系的和谐，促进企业与员工共同发展。（来自于企业内部控制自我评价报告、人力资源政策）风险评估程序：项目组拟检查公司人力资源政策、培训记录、询问主管人力资源的经理、基层员工以了解相关内部环境ABC股份有限公司访谈提纲 索引号：FA-01-01访谈项目：内部控制控制环境访谈部门：董事会办公室、总经理办公室、人力资源部访谈人员：董事会秘书、总经理、人事部经理 天职国际ABC股份有限公司项目组成员访谈时间：2011年3月6日访谈的内容：1、对诚信和道德价值观念的沟通与落实1.1控制要素的设计 1) 据我们了解，公司制定了良好的企业文化、先进的企业理念，那么在公司的日常运营中，企业文化如何成为企业的精神支柱？良好的企业文化可以提升企业的核心竞争力，公司如何将企业文化打造成为企业的核心竞争力？基层员工是否了解企业文化，管理层如何将企业文化、理念传达给基层员工？了解的情况：2) 公司招聘财务人员的流程如何设计，如何保证选聘的财务人员具备公司业务发展需要？对于担任关键内部控制职责的员工，企业采用何种选聘标准？是否定期对承担关键内部控制职责的人员进行培训？了解的情况：3) 公司审计委员会如何履职，审计室如何履行日常的监督职责？是否定期进行内部审计？了解的情况：2. 了解内部控制被审计单位的风险评估过程2.1风险无处不在由于现代社会活动复杂程度较高，每个人以及每个行业每天必须面临不同的风险。而当今世界经济变幻莫测，风险无处不在，企业作为一个经济体存在，必然也面临各种风险。在商业活动的层面上，企业可能面临的风险大致分为行业风险和经营风险。2.2 管理层的应对措施管理层的风险评估过程被审计单位的风险评估过程为管理层确定需要管理的风险提供了基础。风险评估过程在很大程度上取决于被审计单位所处行业、企业规模、交易的复杂性，公司针对战略目标、经营目标、报告目标、合规性目标，分别开展战略风险、经营风险、报告风险和合规性风险评估，按照下列步骤实施风险评估。企业风险评估步骤：2.2.1设置风险评估目标企业内部控制基本规范第21条规定企业应当定期开展风险评估，应当准确识别与实现控制目标相关的内部风险和外部风险，确定相应的风险承受度。风险承受度是企业能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平。所以企业只有根据设定的风险承受度，才能全面系统持续地收集相关信息，最后结合实际情况，及时进行风险评估。企业日常经营需要实现运营、财务、法律法规有关系的目标。而财务报告目标编制可靠的财务报告，防止想财务报告使用者提供具有重大错报的财务报告，而这与审计息息相关。2.2.2进行风险识别风险识别实际上是收集有关损失原因、危险因素及其损失暴露等方面信息的过程。风险识别作为风险评估过程的重要环节，主要回答的问题是：存在哪些风险，哪些风险应予以考虑，引起风险的主要因素是什么，这些风险所引起的后果及严重程度如何，风险识别的方法有哪些等。而其中企业在风险评估过程中，更应当关注引起风险的主要因素，应当准确识别与实现控制目标有关的内部风险和外部风险。企业的内部风险因素主要有：董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。组织机构、经营方式、资产管理、业务流程等管理因素。研究开发、技术投入、信息技术运用等自主创新因素。财务状况、经营成果、现金流量等财务因素。营运安全、员工健康、环境保护等安全环保因素以及其他因素。企业的外部风险因素主要有：经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。法律法规、监管要求等法律因素。安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。技术进步、工艺改进等科学技术因素。自然灾害、环境状况等自然环境因素以及其他因素。2.2.3进行风险分析：通过识别出的风险，我们应对其进行分析。为此企业内部控制基本规范第24条规定企业应当采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。企业进行风险分析，应当充分吸收专业人员，组成风险分析团队，按照严格规范的程序开展工作，确保风险分析结果的准确性。2.2.4商讨应对策略在风险识别和风险分析的基础上，企业就应该结合具体的实际情况，选择合适的风险应对策略。企业风险应对策略有四种基本类型：风险规避、风险降低、风险分担、风险承受。2.3 项目组如何了解被审计单位风险评估过程项目组可以依据管理层的风险评估的步骤以及其实施的风险评估程序来了解管理层的风险评估过程：2.3.1了解管理层如何设置风险评估目标 我国内部控制的目标是保证企业经营管理合法合规、资产安全、财务报告真实完整、提高经营效率和效果、促进企业的发展战略。 项目组应当依据上述五大控制目标为导向，了解被审计单位如何设置风险评估过程中的各项目标。目标制定是风险识别和风险分析的前提。风险评估目标设置目标战略目标公司首先确定战略目标，因为战略目标是公司的总体目标体现了公司的长远发展方向，然后以此为基础确定战略目标的相关目标，即经营目标、合规性目标和财务报告目标经营目标经营目标是关于公司经营效果和效率方面的目标，包括运营类、效益类和控制类等目标合法合规目标合规性目标是指公司遵守国内外相关法律法规以及上市地法律监管规定等方面的目标资产安全目标资产安全目标保证企业安全、全面提升资产效能。财务报告目标财务报告目标是编制可靠的财务报告的目标 对风险评估设定的目标的了解：项目组应当通过与董事会以及下辖的战略委员进行沟通，了解的内容包括：公司制定的长期发展规划、经营目标、发展方针等；公司制定的产品战略、市场战略、营销战略、研发战略、人才战略等；公司制定的重大战略性投资、融资方案、重大资本运作、资产经营目标。项目组应当通过与管理层以及相关职能部门进行沟通，了解下列内容：管理层基于对行业发展的了解制定的近期目标，如企业在行业中的位置；管理层制定的新产品、服务的开发计划，需要达到的目标等；管理层基于总体目标制定的年度经营预算；管理层制定的业务扩张、成本节约、提高企业利润的目标等。特别说明：项目组应当结合了解被审计单位及其环境时对被审计单位战略、目标、经营风险的了解。关注被审计单位在进行风险评估时是否针对这些方面设定目标并进行风险评估。2.3.2了解管理层如何实施风险识别程序被审计单位的风险评估主要包括识别企业内部风险和外部风险，针对企业可能面临的各种风险，项目组需要了解被审计单位一般采用哪些风险识别程序。可用于被审计单位实施风险识别的方法见下表：风险评估方法释义小组讨论内控管理部门组织风险管理人员和相关部门具有丰富经验的管理人员，按业务类别和人员构成进行分组讨论，形成意见访谈法内控管理部门组织人员，制定详细的访谈计划，对相关部门熟悉业务流程的管理人员进行访谈，了解和讨论存在的风险，形成访谈记录问卷调查法内控管理部门编制风险调查问卷，收集、整理反馈意见确定相关风险案例分析法内控管理部门定期收集公司或同行业发生的有关案例，组织相关人员进行讨论，通过对案例中妨碍目标实现的负面因素进行分析来识别风险参考专业机构咨询意见内控管理部门通过向专业机构（如风险管理咨询公司、公司法律顾问等）进行咨询，参考专业机构提供的风险数据库或咨询意见，结合公司实际情况识别风险征求专家意见对初步识别形成的风险数据库，内控管理部门通过召开座谈会、评审会等形式，向公司内、外部有关专家、学者征求意见风险识别步骤，进行风险识别的一般步骤如下：公司层面的风险识别步骤识别影响因素寻找差异确定目标识别确认风险，风险管理人员采取分组讨论、访谈等方式，逐项识别影响公司目标的实现因素。收集公司及同行业其他公司在资本市场披露的公司风险情况，整理、归纳和分析找出差异明确公司总体目标主要表现为公司制定的战略目标、与战略目标相关的中长期发展规划识别公司层面风险整个过程需要关注外部因素、内部因素的影响外部因素：技术发展和进步，行业特性与不断变化的市场需求，外部竞争，市场价格波动，的法律、法规，自然灾害，外部融资等。内部因素：信息系统运行，员工的素质和培训、激励方法，公司治理结构对公司发展的适应性，管理层职责，董事会或审计委员会无法有效履行其职责等。业务层面风险识别步骤（以财务报告为例说明）目标设定确定流程及认定识别影响因素确定业务流程目录。公司应当结合重要会计科目、业务循环确定统一的业务流程，并根据具体业务进行修改。确定重要会计科目和披露事项。公司内控部统一确认公司重要会计科目和披露事项，为确定业务流程目录作准备。明确财务报告目标：一、提供真实、准确、完整的信息；二、按照财务报告编制基础提供真实、准确、完整的财务报告确定财务报表认定。财务报表管理层认定包括各类交易相关的认定和账户余额相关的认定。识别确认风险。以业务流程为主线，结合相关认定，关注影响财务报告目标因素，逐步识别各流程中存在的影响。描述业务流程。通过分析梳理流程步骤，按照公司统一描述规范和描述工具，以流程图的形式对业务流程进行描述在识别财务报告存在风险整个过程需要关注职责分工、授权审批、信息系统、报告流程财务报告风险识别过程需要关注的主要因素：相关岗位设置、职责和权限划分；会计政策、程序和方法，授权审批、内部稽核程序；财务系统提供信息的准确性和完整性；资产购置、处置、转让出售等授权审批程序；财务报告流程，财务报告及相关信息的披露2.3.3了解管理层如何实施风险分析（评估）程序2.3.3.1针对风险的分析主要包括两个方面：该事项发生可能性；该事项发生后的影响程度。公司层面风险分析：第一：可能性分析公司层面风险可能性分析主要通过具有经验的风险管理人员和相关管理人员，结合国内、外政治因素的变化情况、市场价格变化趋势、技术发展趋势、自然灾害发生规律、竞争环境变化情况、信息系统运转现状等实际情况，分析确定相关风险发生的可能性。如果风险发生的概率很小或者基本上不会发生，则将该项风险发生的可能性确定为极小可能发生，否则将该项风险确定为较大可能发生。第二：影响程度分析主要针对公司层面风险对公司战略目标及其相关目标的实现的影响程度和资本市场的关注程度来判断。如果对公司战略目标的实现和公司发展的影响很轻微，不会产生明显的不利影响，资本市场对此项风险也不予关注，则将此类风险的影响程度确定为极小影响。如果对公司战略目标的实现和公司发展有一定程度影响，这种影响体现为增大既定目标的实现难度、公司发展速度减慢、公司声誉受损等，资本市场也将关注此项风险，则将此类风险的影响程度确定为较大影响。业务层面风险分析（以财务报告为例）第一：可能性分析资产变现难易程度、业务流程中人工参与的程度以及财务数据是否涉及大量繁杂的人工计算。如资产变现难或财务数据涉及大量人工计算，则风险概率大，反之则小。对于不便以概率估计的，以发生频率为标准，即以一个会计年度内风险发生的次数判断。低于一次的，为极小可能；大于或等于一次的，为较大可能。第二：影响程度分析可以采用占比标准来分析，风险相关的资产或负债总额占总资产额的比例；风险相关的收支对税前利润的影响；风险的发生对资本市场股价的影响。2.3.3.2风险重要性水平的判断有关风险重要性水平根据公司具体情况分为高、中、低三类，主要根据风险发生的可能性和影响程度的对应关系来确定，判断方法是：如果风险发生的可能性属于极小可能，并且风险影响程度确定为极小影响，则将该类风险的重要性水平确定为低；如果风险发生的可能性属于较大可能，但风险的影响程度属于极小影响，或者风险发生的可能性属于极小可能，但风险的影响程度属于较大影响，则将该类风险的重要性水平确定为中；如果风险发生的可能性属于较大可能，并且风险的影响程度属于较大影响，则将该类风险的重要性水平确定为高；舞弊风险的重要性水平均确定为高，对于重要性水平为低的风险，由于其发生的可能性和影响程度均为极小，公司忽略此类风险而不予关注。对于重要性水平为中的风险，公司将此类风险确定为一般风险并给予一般关注。对于重要性水平为高的风险，公司将此类风险确定为重要风险并给予重点关注。一般风险和重要风险的划分是公司确定风险反应对策和制定控制措施的一个重要依据。2.3.3.3风险识别的主要方法：风险评估系图；决策树法；敏感分析法等。2.3.4了解管理层如何实施风险应对策略2.3.4.1确定风险评级在识别了风险以及做出对风险的评估后，需要将识别的评估的风险按照对企业的影响进行评级。在进行风险评级的时候应当考虑改事项对企业目标实现的影响，对于项目组而已需要更加关注被审计单位是否考虑了对财务报告的影响。2.3.4.2确定应对措施管理层可以采用的风险应对措施有:风险规避: 退出产生风险的各种活动。如出售子公司、生产线，不参与实施会造成相关风险的新举措或新活动等。风险降低：采取行动减少风险发生的可能性或降低风险影响程度或两者同时降低。如建立或优化业务流程、增加相关控制措施等。风险转移：通过将风险转移或者分担部分风险来减少风险的可能性和影响。如为重大的意外损失保险、外包业务、套期保值等风险保留：不采取任何行动去影响风险的可能性或影响。如不采取行动而接受符合风险接受程度内的风险2.3.4.3具体而言项目组应当了解下列内容：人力资源因素项目组主要关注被审计单位如何对董事、监事、高级管理人员、普通员工的职业操守、胜任能力等方面产生的风险的评估过程和采取应对措施。主要通过询问了解被审计单位如何确保聘任的相关人员具备相应的职业素质和胜任能力，采取何种措施避免人才流失。管理因素项目组主要关注被审计单位如何对组织机构、经营方式、资产管理、业务流程等方面进行的风险评估过程和应对措施。主要通过询问了解被审计单位如何确保组织机构高效运转、是否采用更适合企业的经营方式、如何确保企业资产安全且保值增值、业务流程是否科学合理。自主创新因素，研究开发、技术投入、信息技术运用项目组应当关注企业如何评估新的研发项目存在风险，如何评估研发支出、技术投入等投资回报率的计算，是否对新的研发项目进行充分的调研。财务因素，如现投资策略、筹资压力、现金流量、经营成果项目组应当关注企业如何评估企业财务因素产生的风险。在资金活动较为复杂的情况下，资金内部控制不可能面面俱到。因此，企业如何识别并关注主要风险来源和主要风险控制点，以提高内部控制的效率是项目组应当了解的重点。项目组还应当了解企业如何针各个业务流程中的每一个环节、每一个步骤，认真细致地进行分析，根据不确定性的大小、危害性的严重程度等，明确关键的业务、关键的程序、关键的人员和岗位等，从而确定关键的风险控制点；然后针对关键风险控制点制定有效的控制措施，集中精力管控住关键风险。安全环保因素，如运行安全、环境保护企业的存在除了追求股东财富最大化之外，还应当承担一定的社会责任，企业的社会责任要求企业至少应当做到安全生产、保证质量、保护环境、节约资源。项目组也应当了解被审计单位如何确保企业建立适当的风险评估程序来保证上述社会责任的实现。2.4项目组在了解被审计单位的风险评估过程应当特别关注的问题：2.4.1项目组应当结合其他风险评估因素综合考虑项目组可以通过了解被审计单位及其环境的其他方面的信息，评价被审计单位风险评估的有效性。主要关注项目组发现某些经营风险被审计单位管理层是否也发现了该风险，从而证实被审计单位风险评估过程是否有效。2.4.2针对被审计单位管理层的风险评估未发现与财务报表有关风险因素的考虑在审计过程中，如果发现与财务报表有关的风险因素，项目组可以通过向管理层询问和检查有关文件确定被审计单位的风险评估过程是否也发现了该风险。如果项目组通过了解识别出了管理层未能识别的重大错报风险，项目组应当考虑被审计单位的风险评估过程为何没有识别出这些风险，以及评估过程是否适合于具体环境。并关注该影响对整个内部控制的影响。3. 了解内部控制信息系统与沟通1.1信息系统1.1.1与内部控制有关的信息系统信息系统，是指企业利用计算机和通信技术，对内部控制进行集成、转化和提升所形成的信息化管理平台。企业应当重视信息系统在内部控制中的作用，根据内部控制要求，结合组织架构、业务范围、地域分布、技术能力等因素，制定信息系统建设整体规划，加大投入力度，有序组织信息系统开发、运行与维护，优化管理流程，防范经营风险，全面提升企业现代化管理水平。1.1.2与审计相关的信息系统项目组需要了解与财务报告相关的信息系统，包括用以生产、记录、处理和报告交易、事项和情况，对相关资产、负债和所有者权益履行经营管理责任的程序和记录。1.1.3项目组如何了解被审计单位信息系统信息系统贯穿与被审计单位整体，项目组需要了解与审计有关的信息系统。从财务报告角度看，可以将信息系统分为整体层面信息流和业务层面的信息流，项目组可以分别从以下2个方面进行了解。 从整理层面了解与财务报告有关的信息流整体层面的内部控制一般包括控制环境、风险评估、对控制的监督、以及信息技术的一般控制等，项目组可以在针对上述因素进行了解时，特别关注与上述流程有关的信息系统。重点关注以下几个方面：第一：与控制环境有关的信息系统，项目组应当重点关注管理层如何将企业文化、员工行为规范、内部控制制度等传达到所有员工。项目组应当特别注意与基层员工的交谈获取的被审计单位控制环境有关的信息系统是否流畅的审计证据。第二：与风险评估过程有关的信息系统，项目组应当重点关注管理层如何将风险评估结果传达给相关人员，特别是将识别的内部控制缺陷以及运行偏差传达给相关的责任人。第三：与对控制的监督有关的信息系统，项目组应当重点关注内部审计部门如何将发现的错误和舞弊及时传达给管理层，管理层如何将采取的应对措施传达给公司员工第四：信息技术的一般控制，连续审计的情况下，项目组应当重点关注与被审计单位自动化应用控制有关的一般控制，如果被审计单位信息系统未发生改变，且该信息系统一般控制未发生重大变化，那么项目组可能考虑不对信息系统应用控制实施更多的控制测试。从业务层面了解与财务报告有关的信息流按照财务报告流程以及各个业务流程之间的特征，项目组一般将按照各大循环来对了解被审计单位的控制。任何一个业务循环从业务发起到最后反映在财务报告系统中，一个顺畅的信息系统是必不可少的保障。被审计单位的业务流程是指旨在实现下列目的的活动：开发、采购、生产、销售、配送产品和提供服务；确保遵守法律法规；记录信息，包括会计和财务报告信息。业务流程产生的交易由信息系统记录、处理和报告。了解被审计单位的业务流程（包括交易产生的方式），有助于项目组以适合被审计单位具体情况的方式了解与财务报告相关的信息系统。1.1.4会计系统项目组应当特别关注与财务报告相关的会计系统。被审计单位的会计系统是直接生成、记录、处理和报告交易（以及事项和情况）的载体，被审计单位会计系统控制设计是否合理、运行是否有效将直接影响财务报告。项目组应当重点关注下列与会计系统有关的内部控制：被审计单位会计系统处理的流程；与被审计单位会计系统有关的一般控制；被审计单位会计系统如何解决不正确处理交易的问题，如自动生成暂记账户文件，以及及时按照程序清理暂记；如何处理并解释不恰当凌驾于控制之上或规避控制的情况；（很可能涉及舞弊）会计系统如何将信息从交易处理系统过人总分类账；针对除交易以外的事项和情况获取与财务报告相关的信息，如资产的折旧和摊销、应收账款可回收性的改变等；与资产折旧、摊销、坏账等有关的会计系统控制更为重要，因为这更多涉及管理层的主管判断，与会计估计有关，项目组应当关注管理层是否凌驾于上述控制之上；确保适用的财务报告编制基础规定披露的信息得到收集、记录、处理和汇总，并在财务报表中进行了适当报告。1.1.5会计分录的重要性项目组通过了解会计分录所生产的信息，能够较为直接的发现可能存在舞弊。会计分录是反映财务报告最为直观的信息，主要包括：被审计单位的信息系统通常包括使用标准会计分录记录重复发生的交易。例如，总分类账中记录销售、采购和现金付款，或记录管理层定期作出的会计估计，如对无法收回的应收账款的估计的改变。被审计单位的财务报告过程还包括使用非标准的会计分录，以记录不重复发生的、异常的交易或调整事项，包括合并调整、业务合并或处置，或非重复发生的估计（如资产减值）。项目组往往通过检查这些调整分录来确定被审计单位财务处理是否正确1.2沟通1.2.1与审计相关的沟通被审计单位就财务报告的角色与职责以及与财务报告相关的重大事项的沟通，涉及到使员工了解在财务报告内部控制方面各自的角色和职责。这包括使员工了解其在财务报告信息系统中的活动与其他员工工作联系的程度，以及向适当的更高层级的管理层报告例外事项的方式。沟通可以采用政策手册、财务报告手册等形式。公开的沟通渠道有助于确保例外事项得到报告并有应对措施。1.2.2项目组如何了解与财务报告相关的沟通沟通的方式项目组应当了解被审计单位内部使用的沟通方式，特别是涉及较高级别的员工和低级别员工之间的沟通，当出现例外事项时，是否每一个低级别的员工都能有效地向适当级别的管理人员报告。沟通的方式可能有邮件、电话、内部即时通讯系统等等。沟通的内容项目组应当了解被审计单位管理层和员工之间是否就员工的职责进行有效的沟通，特别是需要了解与履行控制职责的员工的沟通。针对可能产生舞弊迹象的事宜的沟通方式项目组应当了解被审计单位是否针对可能产生舞弊的事宜采用特殊的沟通方式。是否定期与外部人士进行沟通项目组应当了解被审计单位是否客户、供应商、监管者、外部审计师进行沟通，是否存在沟通记录，针对沟通的结果管理层是否采取进一步行动4. 了解内部控制对控制的监督（内部监督）4.1对控制的监督的作用内部监督是内部控制体系中不可或缺的一部分，是内部控制得到有效实施的有力保障，具有非常重要的地位。可以发现内控缺陷，改善内控体系，促进企业内部控制的健全性、合理性；提高企业内部控制施行的有效性；是外部监管的有力支撑；可以减少代理成本，保障股东的利益。内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进的过程。4.2对控制监督活动的分类企业内部控制基本规范第44条规定，内部监督分为持续的日常监督和单独专项监督。持续的日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查；单独的专项监督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下，对内部控制的某一或者某些方面进行有针对性的监督检查。4.2.1审计委员会领导的内部审计部门或类似机构承担着对公司层面的控制实施单独专项监督活动的主要责任，项目组应当考虑被审计单位存在的单独专项评价活动：被审计单位是否定期评价内部控制；如内部审计活动的频率。被审计单位是否定期评价承担关键内部控制人员的胜任能力；被审计单位是否定期评价公司组织结构合理性；被审计单位是否定期评价4.2.1针对业务层面的控制实施持续日常监督活动六、 在业务层面了解内部控制1. 了解内部控制控制活动控制活动是指有助于确保管理层的指令得以执行的政策和程序。控制活动（不管存在于信息系统还是人工系统中）具有各种不同的目标，运用于各种不同的组织和职能层级中。1.1常用的控制活动控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控