控制测试基本原理--毕马威会计师事务所合伙人 杨昕

1、企业内部控制审计业务培训班企业内部控制审计业务培训班业务流程层面业务流程层面内部控制测试的基本原理内部控制测试的基本原理主讲人：孙晓悦主讲人：孙晓悦 企业内部控制审计业务培训班企业内部控制审计业务培训班3主讲人简介主讲人简介 孙晓悦，普华永道中天会计师事务所风孙晓悦，普华永道中天会计师事务所风险与质量管理部总监，曾任中国注册会险与质量管理部总监，曾任中国注册会计师协会访问研究员，参与制订计师协会访问研究员，参与制订企业企业内部控制审计指引实施意见内部控制审计指引实施意见及编写及编写企业内部控制审计工作底稿编制指南企业内部控制审计工作底稿编制指南。企业内部控制审计业务培训班企业内部控制审计业务培

2、训班3内容概要内容概要一、内部控制的有效性一、内部控制的有效性二、选取拟测试的控制二、选取拟测试的控制三、控制测试的性质三、控制测试的性质四、控制测试的时间安排四、控制测试的时间安排五、控制测试的范围五、控制测试的范围企业内部控制审计业务培训班企业内部控制审计业务培训班内部控制的有效性内部控制的有效性控制设计的有效性控制设计的有效性如果如果某项控制由拥有有效执行控制所需的授权和专业胜任能力的人员按照规定的程序和要求执行，能够实现控制目标，从而有效防止或发现并纠正可能导致重大错报的错误和舞弊。控制运行的有效性控制运行的有效性控制按照设计运行运行，执行人员拥有必要授权和专业胜任能力，能够实现控制目

3、标。4企业内部控制审计业务培训班企业内部控制审计业务培训班内部控制的有效性内部控制的有效性控制设计的有效性控制设计的有效性控制和识别出的经营风险控制和识别出的经营风险/ /审计风险的配合度审计风险的配合度控制是否能够实现控制目标控制是否能够实现控制目标控制的性质控制的性质控制的频率控制的频率执行控制的人员的知识和经验执行控制的人员的知识和经验发现问题后采取的跟进措施发现问题后采取的跟进措施职责分离职责分离信息的可靠性信息的可靠性控制涵盖的期间控制涵盖的期间5企业内部控制审计业务培训班企业内部控制审计业务培训班内部控制的有效性内部控制的有效性有关控制运行有效性的审计证据包括：有关控制运行有效性的

4、审计证据包括：n控制在所审计期间的相关时点是如何运行的控制在所审计期间的相关时点是如何运行的n控制是否得到一贯执行控制是否得到一贯执行n控制由谁以何种方式执行控制由谁以何种方式执行6企业内部控制审计业务培训班企业内部控制审计业务培训班选取拟测试的控制选取拟测试的控制注册会计师应当针对每一相关认定获取控制有效性注册会计师应当针对每一相关认定获取控制有效性的审计证据，以便对财务报表内部控制整体的有的审计证据，以便对财务报表内部控制整体的有效性发表意见。效性发表意见。注册会计师应当对控制是否足以应对评估的每个相注册会计师应当对控制是否足以应对评估的每个相关认定的错报风险形成结论。因此，注册会计师关认

5、定的错报风险形成结论。因此，注册会计师应当选择对形成这一评价结论具有重要影响的控应当选择对形成这一评价结论具有重要影响的控制进行测试。制进行测试。- - 企业内部控制审计实施意见企业内部控制审计实施意见7企业内部控制审计业务培训班企业内部控制审计业务培训班选取拟测试的控制选取拟测试的控制关键控制关键控制 ：单独或连同其他控制可以有效应对：单独或连同其他控制可以有效应对评估的认定层次的重大错报风险，并且可以测评估的认定层次的重大错报风险，并且可以测试的控制。试的控制。每个重要账户的相关认定至少应当有一个对应的每个重要账户的相关认定至少应当有一个对应的关键控制。关键控制。 一项控制可能应对评估的多

6、项相关认定的错报风一项控制可能应对评估的多项相关认定的错报风险。险。8企业内部控制审计业务培训班企业内部控制审计业务培训班XYZXYZ公司图示公司图示9对重要账户对重要账户, , 考虑考虑企业内部控制审计业务培训班企业内部控制审计业务培训班XYZXYZ公司图示公司图示( (续续) )10固有风险固有风险对重要账户对重要账户, , 考虑考虑管理层测试结果管理层测试结果以往错误以往错误企业层面控制企业层面控制流程复杂流程复杂程度程度企业内部控制审计业务培训班企业内部控制审计业务培训班XYZXYZ公司图示公司图示( (续续) )11计价计价权利和义务权利和义务发生发生/ /存在存在列报和披露列报和披

7、露对重要账户对重要账户, , 考虑考虑管理层测试结果管理层测试结果完整性完整性以往错误以往错误企业层面控制企业层面控制固有风险固有风险流程复杂流程复杂程度程度准确性准确性截止截止企业内部控制审计业务培训班企业内部控制审计业务培训班XYZXYZ公司图示公司图示( (续续) ) 12计价计价权利和义务权利和义务发生发生/ /存在存在列报和披露列报和披露对重要账户对重要账户, , 考虑考虑管理层测试结果管理层测试结果完整性完整性以往错误以往错误企业层面控制企业层面控制固有风险固有风险流程复杂流程复杂程度程度准确性准确性截止截止= = 关键控制关键控制企业内部控制审计业务培训班企业内部控制审计业务培训

8、班XYZXYZ公司图示公司图示( (续续) ) 13计价计价权利和义务权利和义务发生发生/ /存在存在列报和披露列报和披露对重要账户对重要账户, , 考虑考虑管理层测试结果管理层测试结果完整性完整性以往错误以往错误企业层面控制企业层面控制固有风险固有风险流程复杂流程复杂程度程度准确性准确性截止截止= = 关键控制关键控制调节调节企业内部控制审计业务培训班企业内部控制审计业务培训班XYZXYZ公司图示公司图示( (续续) ) 14计价计价权利和义务权利和义务发生发生/ /存在存在列报和披露列报和披露对重要账户对重要账户, , 考虑考虑管理层测试结果管理层测试结果完整性完整性以往错误以往错误企业层

9、面控制企业层面控制固有风险固有风险流程复杂流程复杂程度程度准确性准确性截止截止= = 关键控制关键控制调节调节利用他人的工作利用他人的工作企业内部控制审计业务培训班企业内部控制审计业务培训班XYZXYZ公司图示公司图示( (续续) ) 15计价计价权利和义务权利和义务发生发生/ /存在存在列报和披露列报和披露对重要账户对重要账户, , 考虑考虑管理层测试结果管理层测试结果完整性完整性以往错误以往错误企业层面控制企业层面控制固有风险固有风险流程复杂流程复杂程度程度准确性准确性截止截止= = 关键控制关键控制调节调节利用他人的工作利用他人的工作穿行测试穿行测试企业内部控制审计业务培训班企业内部控制

10、审计业务培训班与控制相关的风险与控制相关的风险根据与控制相关的风险，确定所需获取的审根据与控制相关的风险，确定所需获取的审计证据。计证据。影响与控制相关的风险的因素影响与控制相关的风险的因素（1 1）该项控制拟防止或发现并纠正的错报的性质和）该项控制拟防止或发现并纠正的错报的性质和重要程度；重要程度；（2 2）相关账户、列报及其认定的固有风险；）相关账户、列报及其认定的固有风险；（3 3）交易的数量和性质是否发生变化，进而可能对）交易的数量和性质是否发生变化，进而可能对该项控制设计或运行的有效性产生不利影响；该项控制设计或运行的有效性产生不利影响；（4 4）相关账户或列报是否曾经出现错报；）相

11、关账户或列报是否曾经出现错报；（5 5）企业层面控制（特别是监督其他控制的控制）企业层面控制（特别是监督其他控制的控制）的有效性；的有效性；（6 6）该项控制的性质及其执行频率；）该项控制的性质及其执行频率；16企业内部控制审计业务培训班企业内部控制审计业务培训班与控制相关的风险与控制相关的风险（7 7）该项控制对其他控制（如控制环境或信息技术）该项控制对其他控制（如控制环境或信息技术一般控制）有效性的依赖程度；一般控制）有效性的依赖程度；（8 8）执行该项控制或监督该项控制执行的人员的专）执行该项控制或监督该项控制执行的人员的专业胜任能力，以及其中的关键人员是否发生变化；业胜任能力，以及其中

12、的关键人员是否发生变化；（9 9）该项控制是人工控制还是自动化控制；）该项控制是人工控制还是自动化控制； （1010）该项控制的复杂程度，以及在运行过程中依赖）该项控制的复杂程度，以及在运行过程中依赖判断的程度。判断的程度。连续审计时的考虑连续审计时的考虑: :（1 1）以前年度审计中所实施程序的性质、时间安排）以前年度审计中所实施程序的性质、时间安排和范围；和范围；（2 2）以前年度对控制的测试结果以及以前年度发现）以前年度对控制的测试结果以及以前年度发现的缺陷是否得以整改；的缺陷是否得以整改；（3 3）上次审计之后，控制或其运行所处的流程是否）上次审计之后，控制或其运行所处的流程是否发生变

13、化。发生变化。17企业内部控制审计业务培训班企业内部控制审计业务培训班控制测试的性质控制测试的性质低度保证低度保证高度保证高度保证询问询问 观察观察 检查检查 重新执行重新执行 18询问本身不足以为控制运行的有效性提供充分的询问本身不足以为控制运行的有效性提供充分的审计证据审计证据企业内部控制审计业务培训班企业内部控制审计业务培训班是否需要在所有流程是否需要在所有流程/ /账户的控制测试中实施重账户的控制测试中实施重新执行程序？新执行程序？如所需保证较低，是否可能仅通过实施穿行测试如所需保证较低，是否可能仅通过实施穿行测试对控制设计和运行的有效性获得充分证据？对控制设计和运行的有效性获得充分证

14、据？是否有可能在某一年审计中不测试关键控制？是否有可能在某一年审计中不测试关键控制？控制测试的性质控制测试的性质19企业内部控制审计业务培训班企业内部控制审计业务培训班控制测试的时间安排：测试日与基准日的接近程度控制测试的时间安排：测试日与基准日的接近程度及更新测试。及更新测试。风险较低风险较低 风险较高风险较高测试时间更早测试时间更早 接近基准日接近基准日 控制测试的时间安排控制测试的时间安排 20通常不需要测试基准日当天的控制通常不需要测试基准日当天的控制企业内部控制审计业务培训班企业内部控制审计业务培训班是否预留足够的时间以便被审计单位对存在重大是否预留足够的时间以便被审计单位对存在重大

15、缺陷的内部控制进行整改？缺陷的内部控制进行整改？控制测试的时间安排控制测试的时间安排 21控制运行频率控制运行频率整改后控制运行的最短期间或整改后控制运行的最短期间或最少运行次数最少运行次数每季度每季度1 1次次2 2个季度个季度每月每月1 1次次2 2个月个月每周每周1 1次次5 5周周每天每天1 1次次2020天天每天多次每天多次2525次（分布于涵盖多天的期次（分布于涵盖多天的期间，通常不少于间，通常不少于1515天）天）企业内部控制审计业务培训班企业内部控制审计业务培训班测试全年的控制的两种方法测试全年的控制的两种方法假设：假设：测试每日执行数次的控制，样本量为测试每日执行数次的控制，

16、样本量为60；期中测试期中测试1月到月到8月月方法一：期中测试方法一：期中测试40个，期末对剩余期间测试个，期末对剩余期间测试20个个方法二：期中测试方法二：期中测试60个，期末实施前推程序个，期末实施前推程序控制测试的时间安排控制测试的时间安排 22企业内部控制审计业务培训班企业内部控制审计业务培训班关于控制在期中和基准日之间运行有效性的证据的关于控制在期中和基准日之间运行有效性的证据的性质和范围取决于多个因素，包括与控制相关的风性质和范围取决于多个因素，包括与控制相关的风险和管理层在自我评价中获得的证据。险和管理层在自我评价中获得的证据。 前推程序前推程序 23 基准日前测试的控制基准日前

17、测试的控制( (包括与控制相关的风险和包括与控制相关的风险和控制的性质控制的性质) ) 期中获取的关于控制运行有效性证据的充分性期中获取的关于控制运行有效性证据的充分性 剩余期间的长度剩余期间的长度 期中测试之后控制发生重大变化的可能性期中测试之后控制发生重大变化的可能性企业内部控制审计业务培训班企业内部控制审计业务培训班在确定测试范围时，考虑在确定测试范围时，考虑: :需要获得的保证程度需要获得的保证程度对控制环境的评估结果对控制环境的评估结果 拟获取的审计证据的相关性和可靠性拟获取的审计证据的相关性和可靠性 控制累积程度控制累积程度 预期偏差预期偏差 控制测试的范围控制测试的范围 24企业

18、内部控制审计业务培训班企业内部控制审计业务培训班 测试人工控制的样本量测试人工控制的样本量25控制运行频率控制运行频率控制运行控制运行总次数总次数 ( (注注) )测试的最小样本量区间测试的最小样本量区间每年1次1 11每季度1次4 42每月1次12122 -5每周1次52525-15每天1次25025020-40每天多次大于大于250250次次25-60注：对不定期执行但可以获知其执行总次数的控制，可对照该列确定样本量。企业内部控制审计业务培训班企业内部控制审计业务培训班XYZXYZ公司图示公司图示( (续续) ) 26计价计价权利和义务权利和义务发生发生/ /存在存在列报和披露列报和披露对

19、重要账户对重要账户, , 考虑考虑管理层测试结果管理层测试结果完整性完整性以往错误以往错误企业层面控制企业层面控制固有风险固有风险流程复杂流程复杂程度程度准确性准确性截止截止= = 关键控制关键控制调节调节利用他人的工作利用他人的工作穿行测试穿行测试企业内部控制审计业务培训班企业内部控制审计业务培训班发现的控制偏差是否是系统性偏差发现的控制偏差是否是系统性偏差? ?该控制是否具有高度的主观性，复杂性或涉及判该控制是否具有高度的主观性，复杂性或涉及判断断? ?偏差是否导致了重大错报偏差是否导致了重大错报? ?偏差是否显示较高的舞弊风险偏差是否显示较高的舞弊风险? ?偏差是否与其他控制有关联偏差是

20、否与其他控制有关联? ?控制测试中发现了偏差控制测试中发现了偏差.27企业内部控制审计业务培训班企业内部控制审计业务培训班三种可能：三种可能：（1 1）得出结论：存在控制缺陷得出结论：存在控制缺陷（2 2）得出结论：控制是有效的得出结论：控制是有效的（3 3）扩大样本量以确定控制是否有效扩大样本量以确定控制是否有效控制测试中发现了偏差控制测试中发现了偏差.28企业内部控制审计业务培训班企业内部控制审计业务培训班 对或错对或错? #1 ? #1 29当注册会计师测试与高风险账户相关的关键控制当注册会计师测试与高风险账户相关的关键控制的运行有效性时，应当对这些关键控制实施重新的运行有效性时，应当对

21、这些关键控制实施重新执行程序。执行程序。企业内部控制审计业务培训班企业内部控制审计业务培训班 对或错对或错? #2 ? #2 30注册会计师可以仅通过询问完成对某个关键控制注册会计师可以仅通过询问完成对某个关键控制的前推程序。的前推程序。企业内部控制审计业务培训班企业内部控制审计业务培训班 对或错对或错? #3 ? #3 31假设注册会计师认为收入是高风险账户，仍可以将假设注册会计师认为收入是高风险账户，仍可以将收入流程中的某个控制或财务报表认定确定为低风收入流程中的某个控制或财务报表认定确定为低风险。险。企业内部控制审计业务培训班企业内部控制审计业务培训班 对或错对或错? #4 ? #4 32注册会计师可以对关键控制实施轮流测试，至少每注册会计师可以对关键控制实施轮流测试，至少每三年测试一次。三年测试一次。企业内部控制审计业务培训班企业内部控制审计业务培训班 内部控制测试内部控制测试33一、内部控制的有效性一、内部控制的有效性二、选取拟测试的控制二