企业层面控制的测试.pptx

中国注册会计师协会企业内部控制审计业务培训班 企业层面控制的测试 中国注册会计师协会企业内部控制审计业务培训班 参考资料 企业内部控制基本规范(“基本规范”) 企业内部控制应用指引(“应用指引”) 企业内部控制审计指引(“审计指引”) 企业内部控制审计指引实施意见 (“实施意见”) 中国注册会计师执业准则及其指南 2 中国注册会计师协会企业内部控制审计业务培训班 主要内容 一、自上而下的审计方法 二、识别、了解和测试企业层面控制 三、企业层面控制的精确度及对审计的影响 3 中国注册会计师协会企业内部控制审计业务培训班 一、自上而下的审计方法 中国注册会计师协会企业内部控制审计业务培训班 自上而下的审计方法 从财务报财务报 表层层次初步了解内部控制整体 风险风险 识别识别 、了解和测试测试 企业层业层 面控制 识别识别 重要账户账户 、列报报及其相关认认定 了解潜在错报错报 的来源并识别识别 相应应的控制 选择拟测试选择拟测试 的控制 实施意见第三(一)部分 5 中国注册会计师协会企业内部控制审计业务培训班 6 自上而下的审计方法（续） 自上而下的方法是注册会计师识别风险、选择拟测试控 制的基本思路 注册会计师在实施审计工作时，可以将企业层面控制和 业务层面控制的测试结合进行 审计指引第10条 中国注册会计师协会企业内部控制审计业务培训班 对企业层面控制的考虑 -与财务报表审计的比较- 注册会计师 应当 了解与审计 相关的 内部控制。 - 在了解与审计 相 关的控制时，注册 会计师应 当综合 运用询问 被审计 单位内部人员和其 他程序，以评价这 些控制的设计 并确 定其是否得到执 行。 财务 报表审 计 内部控 制审计 注册会计师应当识 别、了解和测试对 内部控制有效性有 重要影响的企业层 面控制。 7 实施意见第三(二)部分审计准则第1211号第15条&16条 7 中国注册会计师协会企业内部控制审计业务培训班 二、识别、了解和测试企业层 面控制 中国注册会计师协会企业内部控制审计业务培训班 9 企业层面控制 内部控制体系的分类（按管理流程） 企业层面控制是指那些确保管理层设在公司内部各个领域、各个业务 层面的控制机制得以有效运转的机制。 管理层 业 务 流 程 | 人 力 IT相关（信息技术一般控制） 业 务 流 程 | 资 产 业 务 流 程 | X X 业 务 流 程 | X X 企业层面控制 业 务 流 程 | X X 业 务 流 程 | X X 流程层面控制 业 务 流 程 | 财 务 9 中国注册会计师协会企业内部控制审计业务培训班 企业层面控制的内容 对控制有效性的内部监 督（即监督其他控制的控制） 和内部控制评价 与控制环境（即内部 环境）相关的控制 针对管理层和治理层凌 驾于控制之上的风险而 设计的控制 被审计单位的风险评估过程 对内部信息传递和期末 财务报告流程的控制 企业层面控制 10 实施意见第三(二)部分 中国注册会计师协会企业内部控制审计业务培训班 测试控制设计的有效性：综合运用询问适当人员、观察经营活 动和检查相关文件等程序 测试控制运行的有效性：综合运用询问适当人员、观察经营活 动、检查相关文件以及重新执行等程序 时间安排： 由于对企业层面控制的评价结果将影响注册会计师测试其他控 制的性质、时间安排和范围，注册会计师可以考虑在执行业务 的早期阶段对企业层面控制进行测试 11 测试控制的设计和运行 实施意见第三(九)至(十一)部分 中国注册会计师协会企业内部控制审计业务培训班 测试控制的设计和运行（续） 性质： 询问本身不能为得出控制是否有效的结论提供充分、适当的审计证据 实施意见第三(九)部分 询询 问问 观观察 检查检查 重新执执行 12 中国注册会计师协会企业内部控制审计业务培训班 测试控制的设计和运行（续） 控制运行频率控制运行总次数测试的最小样本量区间 每年1次11 每季1次42 每月1次1225 每周1次52515 每天1次2502040 每天多次大于250次2560 范围：采用检查或重新执行程序时，测试人工控制的最小样本规模参照下 表： 如果注册会计师不能确定控制运行频率，但知道控制运行总次数，仍可根据“ 控制运行总次数”一列确定测试的最小样本规模 注册会计师应当根据与控制相关的风险，基于最小样本量区间确定具体的样本 规模 上表假设控制的运行偏差率预期为零。如果预期偏差率不为零，注册会计师应 当扩大样本规模。 实施意见第三 (十二)部分13 中国注册会计师协会企业内部控制审计业务培训班 1.与控制环境（即内部环境）相关的控制 控制环境包括治理职能和管理职能，以及治理层和管理层对内部控制及 其重要性的态度、认识和行动 控制环境设定了被审计单位的内部控制基调，影响员工的内部控制意识 在了解和测试控制环境时，注册会计师需要考虑的方面主要包括： 管理层的理念和经营风格是否促进了有效的财务报告内部控制 管理层在治理层的监督下，是否营造并保持了诚信守信和合乎道德 的文化 治理层是否了解并监督财务报告过程和内部控制 审计准则第1211号第17条&指南第69条 14 中国注册会计师协会企业内部控制审计业务培训班 1.与控制环境（即内部环境）相关的控制 控制环境的要素： 1.1 管理层的理念和经营风格 组织结构 职权与责任的分配 对胜任能力的重视 人力资源政策与实务 1.2 对诚信和道德价值观念的沟通和落实 1.3 治理层的参与程度 审计准则第1211号指南第70条 15 中国注册会计师协会企业内部控制审计业务培训班 1.1 管理层的理念和经营风格 相关要素考虑因素 组织结构 被审计单位为实现目标而计划、执行、控制及评价其活 动的框架，被审计单位组织结构是否恰当部分取决于被 审计单位的规模和经营活动的性质 职权与责 任的分配 管理层是否定义职权和责任的关键范围，并建立适当的 重要职员报告途径 管理层是否有适当的控制以管理重要职能（如信息技术 ，财务和内部审计）的员工离职，如对离职的原因进行 分析等 管理层是否将业务授权以及业务执行的责任有效地分离 ，并且是否已针对授权交易建立适当的政策和程序 16 中国注册会计师协会企业内部控制审计业务培训班 17 1.1 管理层的理念和经营风格(续) 相关要素考虑因素 对胜任能 力的重视 管理层是否分析一些特定岗位所承担的职责所必需的知识和 技能 (例如，如果被审计单位从事大量套期交易活动，则需 要聘用一些熟悉套期会计的财务人员) 管理层是否运用正式或非正式的职位描述去定义特定职责所 需执行的任务 人力资源 政策与实 务 被审计单位的人力资源部门是否制定适当的招聘（包括对一 些重要员工的背景调查）、培训、考核、晋升、薪酬奖励（ 包括高层管理者奖励）、内部调动和辞退员工政策 管理层是否做出适当行动以应对违反公司政策和程序的行为 ，同时与员工沟通并监控员工对公司政策的正确执行 中国注册会计师协会企业内部控制审计业务培训班 1.2 对诚信和道德价值观念的沟通和落实 控制的有效性受负责创建、管理和监控内部控制的人员的诚信和道德价值 观的影响 注册会计师在了解和测试此部分控制的有效性时可以考虑但不限于以下因 素： 被审计单位是否有书面的行为规范并且有监督各级别员工贯彻执行行为规范 的控制 被审计单位是否对新员工入职时进行职业操守培训，以及是否要求员工签署 行为规范声明书等 管理层是否对违反相关行为规范的行为采取适当的措施 管理层是否有使得激励员工与设定不切实际业绩目标之间得以平衡的控制 审计准则第1211号附录1 18 中国注册会计师协会企业内部控制审计业务培训班 1.3 治理层的参与程度 被审计单位治理层（例如：董事会、监事会等）通常通过其自身的活动 ，并在审计委员会或类似机构的支持下，监督被审计单位的财务报告政 策和程序。被审计单位的控制意识在很大程度上受治理层的影响。 注册会计师在了解和测试此部分控制有效性时可以考虑但不限于以下因 素： 董事会、审计委员会成员是否独立于管理层，有明确的相关职责，了 解并且具备适当的条件去执行那些职责。注册会计师可以对审计委员 会成员的背景进行了解，并获得他们执行相关职责的证据 董事会、审计委员会是否与注册会计师进行适当的互动并定期沟通， 并对注册会计师提出的问题作出反馈 治理层是否充分参与了监督编制财务报告的过程 董事会、审计委员会是否评估在有效监管下管理层凌驾于内部控制之 上的风险 19 中国注册会计师协会企业内部控制审计业务培训班 1.与控制环境（即内部环境）相关的控制 -示例 要点内部控制 控制 描述 当需要招聘人员时，由拟聘用该人员的部门拟定招聘计划（包括岗位具体职 责、教育背景等任职条件及工作经验要求等），经部门负责人、人力资源部 负责人和总经理批准后，由人力资源部负责招聘。 应聘人员提交的资料首先由人力资源部经理负责进行背景调查（包括但不限 于联络推荐人，获取资格/专业证书复印件等），通过背景调查的人员由人力 资源部负责人和相关部门负责人负责面试，其聘用需经人力资源部负责人和 相关部门负责人共同批准。重要管理层岗位（包括部门负责人、承担重要财 务报告职责的人员等）的任命还需总经理批准。 被聘用的人员需与企业签订标准的劳动合同。标准劳动合同模板由法律合规 部和人力资源部共同拟定，包含了工资、雇佣期限、试用期、保密要求等关 键劳动合同条款。 20 中国注册会计师协会企业内部控制审计业务培训班 1.与控制环境（即内部环境）相关的控制 -示例(续) 要点测试程序 控制 特点 人工控制 截至9月执行期中测试时约新聘员工300人，视为每天多次的人工控制 与控制相关的风险较低（根据实施意见所列因素综合判断） 人力资源部负责人具有多年人力资源管理经验、各部门负责人均具有行业经验 ，了解本部门所需人员的能力要求 测试 控制 的设 计 询问人力资源部负责人企业的聘用流程 查阅一位新聘用员工的档案资料，检查其招聘计划是否经过相关部门负责人、 人力资源部负责人和总经理的审批；人力资源部是否已对其进行背景调查；该 员工的聘用是否经适当人员批准；是否已签订标准的劳动合同 测试 控制 的运 行 中期： 查阅当年度入职的25名员工的档案资料，确定其招聘计划是否经部门负责人、 人力资源部负责人和总经理审批；人力资源部经理是否已对其进行背景调查； 其聘用是否经适当批准；是否已签订标准劳动合同 期末： 对人力资源部负责人进行询问，确定员工的聘用流程在剩余期间是否发生变化 21 * 执行程序的结果，包括询问内容等另附工作底稿记录 中国注册会计师协会企业内部控制审计业务培训班 2. 针对管理层和治理层凌驾于控制之上的风险而 设计的控制 针对针对 管理层层和治理层层凌驾驾于控制之上的风险风险 而设计设计 的控制 针对重大的 非常规交易 的控制，尤 其是针对导 致会计处理 延迟或异常 的交易的控 制 针对关联方 交易的控制 与管理层的 重大估计相 关的控制 能够减弱管 理层和治理 层伪造或不 恰当操纵财 务结果的动 机和压力的 控制 22 中国注册会计师协会企业内部控制审计业务培训班 2.针对管理层和治理层凌驾于控制之上的风险而 设计的控制-示例 要点内部控制 控制描述 公司设立了举报热线鼓励员工举报任何违反操守准则要求 的行为或舞弊等违规行为。举报热线由独立的第三方负责维护 ，员工可以采取匿名方式而不必担心遭到报复。举报热线已公 布在公司网页，供员工随时了解。 对于举报的违规行为，内审部及人力资源部负责进行调查并按 照公司政策进行惩戒，员工受到的惩戒会在其年度业绩评价中 予以考虑。 控制特点 人工控制 截至2011年9月期中测试时，举报热线共记录违规行为2项，视 为每季一次的控制 与控制相关的风险较高（根据实施意见所列因素综合判断） 内审部及人力资源部负责人均从业多年，具有适当经验 23 中国注册会计师协会企业内部控制审计业务培训班 2.针对管理层和治理层凌驾于控制之上的风险而 设计的控制-示例(续) 要点测试程序 测试控制 的设计 就举报热线的设置、违反公司政策的惩戒规定及举报信息的处理等向 内审部负责人和人力资源部负责人进行交叉询问 检查企业公布举报热线的内部网页 获取企业的举报热线记录，抽取其中一项举报信息，检查其反映违规 行为的调查结果及处理记录 测试控制 的运行 中期： 查阅企业的举报热线记录，检查举报反映的员工违规行为是否已经恰 当处理 在针对流程层面执行控制设计有效性测试时，询问员工对违反公司政 策的惩戒规定以及举报热线信息的了解 期末： 就举报信息的处理和惩戒政策是否有变化，对人力资源部和内审部负 责人进行交叉询问 查阅2011年剩余期间的举报热线记录，检查举报的违规行为是否已经 恰当处理 24 * 执行程序的结果，包括询问内容等另附工作底稿记录 中国注册会计师协会企业内部控制审计业务培训班 3. 被审计单位的风险评估过程 风险评估过程包括识别与财务报告相关的经营风险和其他经营 管理风险，以及针对这些风险采取的措施 另外也包括针对重大经营控制及风险管理实务的政策 设定控 制目标 收集相 关信息 识别 风险 风险 分析 确定风 险承受 度 风险应 对策略 持续 评估 25 中国注册会计师协会企业内部控制审计业务培训班 企业识别内外部风险应关注的因素 基本规范第22&23条 内部风险外部风险 董事、监事、经理及其他高级管理人员 的职业操守、员工专业胜任能力等人力 资源因素 经济形势、产业政策、融资环境、市 场竞争、资源供给等经济因素 组织机构、经营方式、资产管理、业务 流程等管理因索 法律法规、监管要求等法律因素 研究开发、技术投入、信息技术运用等 自主创新因素 安全稳定、文化传统、社会信用、教 育水平、消费者行为等社会因素 财务状况、经营成果、现金流量等财务 因素 技术进步、工艺改进等科学技术因素 营运安全、员工健康、环境保护等安全 环保因素 自然灾害、环境状况等自然环境因素 其他有关内部风险因素 其他有关外部风险因素 26 中国注册会计师协会企业内部控制审计业务培训班 针对重大经营控制及风险管理实务的政策 注册会计师在这方面可以考虑的主要因素包括但不限于： 企业是否建立了重大风险预警机制，明确界定哪些风险是 重大风险，哪些事项一旦出现必须启动应急处理机制。应 急预案、预警机制等相关的政策和方案应非常明确地传达 到相关人员，一旦出现紧急情况，企业能够在第一时间作 出反应，将损失降到最低 企业是否建立了突发事件应急处理机制，确保突发事件得 到及时妥善处理 注册会计师可以关注突发事件应急管理机制的下列方面： 事前的预防 发生突发事件的应急处理 事后相关措施的改进 27 中国注册会计师协会企业内部控制审计业务培训班 3. 被审计单位的风险评估过程 -示例 要点内部控制 控制描述 企业设有专门的风险管理委员会，负责对风险的监控和管理 ，其执行机构为风险管理部。风险管理部从本公司内部（包 括中层及上层管理层及董事）及外部（包括分析师、律师、 审计师等）人员收集信息，考虑内外部风险进行风险评估， 并提出应对措施。风险管理委员会每季度汇总编制风险评估 报告（包括对舞弊风险的考虑）并向风险管理委员会报告。 控制特点 人工控制 每季一次 风险管理部和风险管理委员会均独立于业务部门，负责人具 有适当的管理经验 控制相关风险较低（根据实施意见所列因素综合判断） 28 中国注册会计师协会企业内部控制审计业务培训班 3. 被审计单位的风险评估过程 -示例(续) 要点测试程序 测试控制 的设计 就风险管理部的工作职责和风险评估过程向风险管理部负责人 进行询问 获取并检查风险管理部向风险管理委员会提交的第二季度风险 评估报告 测试控制 的运行 中期： 获取并检查风险管理部向风险管理委员会提交的第二季度和第三 季度风险评估报告 期末： 向风险管理负责人询问对风险的监控是否发生变化 获取并检查风险管理委员会提交的第四季度风险评估报告 * 执行程序的结果，包括询问内容等另附工作底稿记录 29 中国注册会计师协会企业内部控制审计业务培训班 内部信息传递是指企业内部各管理层级之间通过内部报告形式传递生产经 营管理信息的过程 实施意见三(二)部分 4. 对内部信息传递和期末财务报告流程的控制 应用指引第17号第2条 期 末 财财 务务 报报 告 流 程 将交易总额 登入总 分类账 的程序 与会计政策的选择 和运用相关的程序 总分类账 中会计分录的 编制、批准等处理程序 对财务报 表进行调整的程 序 编制财务报 表的程序 30 中国注册会计师协会企业内部控制审计业务培训班 间接企业层面控制 内部控制和财务报表认定 31 财务报表重大账户 业务操作 重要交易类别，重要业务流程和子流程 业务流程产生的风险 广泛的业务流程层面的考量 直接企业层面控制 具体的交易层面控制 自动控制和程序 依赖于信息系统的人工控制人工控制 信息技术一般控制 使用信息系统产生的风险 信息系统环境 信息系统和设施 财务数据 财务 报表 系统产生 的报表 财务报 表认定 准确性 完整性 截止 存在与 发生 权利与 义务 分类与 可理解 性 计价与 分摊 中国注册会计师协会企业内部控制审计业务培训班 期末财务报告流程 对对期末财财 务报务报 告流 程的评评价 被审计单 位财务报 表 的编制流程，包括输 入、处理及输出 期末财务报 告流 程中运用信息技术 的程度 管理层中参与期末 财务报 告流程的人 员 纳入财务报 表编制 范围的组成部分 调整分录及合并 分录的类型 管理层和治理层 对期末财务报 告 流程进行监督的 性质及范围 实施意见三(二)部分 32 中国注册会计师协会企业内部控制审计业务培训班 5. 对控制有效性的内部监督（即监督其他控制的 控制）和内部控制评价 对控制有效性的内部监督和内部控制评价可以在企业层面 实施，也可以在业务流程层面上实施 包括： 监督经营成果的控制 集中化的处理和控制（包括共享的服务环境） 对运行报告的复核和核对 与外部人士的沟通 将信息系统记录数据与实物资产进行核对 内部审计 33 中国注册会计师协会企业内部控制审计业务培训班 监督经营成果的控制 监督经营成果的控制可以视为所有监督性内部控制的一种。一般而言，管 理层对于各个单位或业务部门的经营情况的监控是其中一种主要的企业层 面的内部控制 注册会计师在了解和测试与监督经营成果相关的企业层面的内部控制时可 以考虑的因素包括（但不限于）： 管理层是否定期将经营成果与预算进行对比分析及复核，以分析财务 资料是否存在异常情况 是否定期编制主要经营指标并对这些指标进行审阅及分析，以分析财 务资料是否存在异常情况 是否定期更新经营预测，并且与期末的实际经营结果进行对比分析 34 中国注册会计师协会企业内部控制审计业务培训班 集中化的处理和控制（包括共享的服务环境） 集中化的处理可以视作企业内部的一种“外包”安排，以取得规模效益并通 过将某些或全部的财务报告过程与负责经营的管理层的分离以改进控制环 境 注册会计师在对共享服务中心执行审计程序时，可以： 了解共享服务中心的服务对象以及服务范围 分析其服务对象的重大财务报表错报风险 针对这些风险分析被审计单位是否有相关的内部控制用以降低其下属单位或分 部财务报表发生重大错报的风险 由于共享服务中心的内部控制的影响较大，注册会计师可以考虑在内部控 制审计工作初期就开始分析其内部控制的性质、对被审计单位的影响等， 并且考虑在较早的阶段执行对共享服务中心内部控制的有效性测试，以确 定其对进一步审计程序性质、时间安排以及范围的影响 35 中国注册会计师协会企业内部控制审计业务培训班 5. 对控制有效性的内部监督和内部控制评价 -监督经营成果的控制示例 要点内部控制 控制描述 各分（子）公司每月编制财务快报，将其经营成果与预算进 行对比分析，经分（子）公司负责人确认后提交集团财务总 监和总经理复核 控制特点 人工控制 每月一次 采购部负责人和财务部负责人均从业多年，具有适当的经验 控制相关风险较低（根据实施意见所列因素综合判断） 36 中国注册会计师协会企业内部控制审计业务培训班 5. 对控制有效性的内部监督和内部控制评价 -监督经营成果的控制示例（续） 要点测试程序 测试控制 的设计 就每月对分（子）公司财务快报的复核过程询问财务总监和总 经理 获取并检查九月份经公司负责人确认的财务快报及财务总监和 总经理对各分(子)公司财务快报的复核记录 测试控制 的运行 中期： 获取并检查六月份和九月份经公司负责人确认的财务快报及财 务总监和总经理对各分(子)公司财务快报的复核记录 期末： 询问财务总监和总经理剩余期间该控制的执行是否发生了变化 获取并检查十二月的财务快报复核记录 * 执行程序的结果，包括询问内容等另附工作底稿记录 37 中国注册会计师协会企业内部控制审计业务培训班 5. 对控制有效性的内部监督和内部控制评价 -集中化的处理和控制示例 要点内部控制 控制描述 集团代表各分(子)公司统一进行原材料的采购和付款。根据 付款期限，集团采购部负责人复核相关合同、签收单等支持 性文件后，签署付款申请单并提交集团财务部，集团财务部 负责人复核相关支持性文件并确认付款。 控制特点 人工控制 每天多次 采购部负责人和财务部负责人均从业多年，具有适当的经验 控制相关风险较低（根据实施意见所列因素综合判断） 38 中国注册会计师协会企业内部控制审计业务培训班 5. 对控制有效性的内部监督和内部控制评价 -集中化的处理和控制示例（续） 要点测试程序 测试控制 的设计 就付款的审批流程向采购部负责人和财务部负责人进行询问 抽取一份付款凭证，检查采购部负责人和财务部负责人对相 关支持性文件进行复核的记录。 测试控制 的运行 中期： 抽取25份付款凭证，检查采购部负责人和财务部负责人对相 关支持性文件进行复核的记录 期末： 询问财务部负责人剩余期间该控制的执行是否发生了变化 39 * 执行程序的结果，包括询问内容等另附工作底稿记录 中国注册会计师协会企业内部控制审计业务培训班 5. 对控制有效性的内部监督和内部控制评价 -内部审计示例 要点内部控制 控制描述 1）企业设有内审部，内审部独立于业务和财务部门，负责监督 内部控制的执行，并直接向审计委员会报告。审计委员会每年年 末评估内审部的工作及其人员的专业胜任能力（包括其是否具备 对企业控制流程的了解等）。 2）内审部每年年初拟定内部审计计划（包括评价范围、人员组 织等内容），报经审计委员会审批后实施。 3）内审部按照经审批的审计计划执行工作，对于所发现的内部 控制缺陷等问题，与相关部门沟通后共同确定整改计划并监督其 执行。内审部每季度就已执行的审计工作（包括与内部审计计划 的对比）、发现的问题及其整改情况向审计委员会报告。 40 中国注册会计师协会企业内部控制审计业务培训班 5. 对控制有效性的内部监督和内部控制评价 -内部审计示例（续） 要点测试程序 控制特点 人工控制 1&2)每年一次 3)每季一次的控制 与控制相关的风险较低（根据实施意见所列因素综合判断） 内审部人员均独立于业务部门，经过适当培训，具有内审相关资 格 测试控制的 设计 就内审部的职责及汇报流程等向内审部负责人进行询问 获取并检查内审部的职责说明文件、审计委员会有关内审部工作 及其人员年度评估的会议记录 获取并检查经审计委员会批准的年度内部审计计划 获取并检查内审部第二季度向审计委员会提交的工作报告 测试控制的 运行 获取并复核内审部第二季度和第四季度向审计委员会提交的工作报 告 * 执行程序的结果，包括询问内容等另附工作底稿记录 41 中国注册会计师协会企业内部控制审计业务培训班 三、企业层面控制的精确度及 对审计的影响 中国注册会计师协会企业内部控制审计业务培训班 企业层面控制的精确度及对审计的影响 类型精确度对审计的影响 间接性企 业层面控 制 1.对及时防止或发现并纠正相关 认定的错报的可能性有重要但间 接的影响（如与内部环境相关的 控制） 可能影响拟测试的其 他控制，以及测试程 序的性质、时间安排 和范围 其他监督 性企业层 面控制 2.监督其他控制的有效性，但还 不足以精确到及时防止或发现并 纠正相关认定的错报 此类控制运行有效时 ，可以减少对其他控 制的测试 直接性企 业层面控 制 3. 本身能够