内部控制审计天津注协讲课版XXXX年7月26日课件

1、2012年7月 天津企业内部控制审计实务与案例主讲人简介李杰 管理学博士（金融工程研究方向）信永中和会计师事务所合伙人注册会计师、资产评估师、税务师中国注册会计师行业领军人才天津市注册会计师协会培训委员会委员、期刊编辑委员会委员中国会计学会成本分会理事在核心期刊发表研究论文多篇，出版专著及译著数部123课程目标缺陷评价与报告审计计划与实施审计依据与思路目录序号内容一内部控制审计的依据二内控审计、财报审计与整合审计三审计计划四风险导向与自上而下的审计方法五完成审计工作&出具审计报告附录 第一部分内部控制审计的依据 问题：内控审计的依据标准是什么？内部控制审计的性质？2011国内内控审计情况截至2

2、012年4月30日，共有230家上市公司披露了内部控制审计报告。报告类型数量（标准）无保留意见内控审计报告225份带强调事项段的无保留意见内控审计报告4份否定意见内控审计报告1份全国有38家证劵资格会计师事务所从事了230家上市公司内部控制审计业务。中国的内控发展：主要规范证监会证券公司内部控制指引2001-1中国人民银行商业银行内部控制指引2002-9财政部7项内部会计控制规范(试行) 200104中注协企业内部控制审核指导意见2002-2银监会商业银行内部控制评价试行办法2004-8上交所上交所上市公司内部控制指引2006-5深交所深交所上市公司内部控制指引2006-9 国资委中央企业全面

3、风险管理指引2006-6五部委企业内部控制基本规范 2008-5-22五部委企业内部控制配套指引2010-4-26企业的重大决策、重大事项、重要人事任免及大额资金支付业务等，应当按照规定的权限和程序实行集体决策审批或者联签制度企业梳理治理结构，应当重点关注董事、监事、经理及其他高级管理人员的任职资格和履职情况，以及董事会、监事会和经理层的运行效果企业梳理内部机构设置，应当重点关注内部机构设置的合理性和运行的高效性等。内部机构设置和运行中存在职能交叉、缺失或运行效率低下的，应当及时解决企业应当确定具体岗位的名称、职责和工作要求等，明确各个岗位的权限和相互关系企业拥有子公司的，应当建立科学的投资管

4、控制度重点关注发展战略、年度财务预决算、重大投融资、重大担保、大额资金使用、主要资产处置、重要人事任免、内部控制体系建设企业应当定期对组织架构设计与运行的效率和效果进行全面评估 基本规范：处于最高层次，起统驭作用，描绘了企业建立与实施内控体系必须建立的框架结构，规定了内部控制的定义、目标、原则、要素，是制定应用指引、评价指引、鉴证指引和企业内部控制制度的基本依据应用指引：处于主体地位，为企业建立健全内部控制体系提供的指引评价指引：为企业管理层对本企业内部控制有效性进行自我评价提供的指引审计指引：为注册会计师执行内部控制审计业务提供执业准则企业内部控制基本规范企业内部控制应用指引控制活动类 1

5、资金活动 2 采购业务 3资产管理 4销售业务 5研究与开发 6工程项目 7担保业务 8业务外包 9财务报告内部环境类1组织架构2发展战略3人力资源4社会责任5企业文化控制手段类1全面预算2合同管理3内部信息传递4信息系统企业内部控制评价指引企业内部控制审计指引企业内部控制体系没有通用的内部控制内部控制的各个要素在每个企业中的实施方式取决于： 企业规模业务复杂性财务信息处理方法适用的法律法规小型企业业务流程总体上相对简单，相应的控制也趋于简单、非正式化文档记录形式可能多种多样，内容不尽相同，包括：政策制度手册、流程模型、流程图、岗位职责描述及其他文件。 文档记录没有统一标准，而其详细程度则取决

6、于企业规模、经营性质、及业务复杂性。从“会计兼出纳”的招聘广告所引发的讨论？没有通用的内部控制一个探讨一定是内控的严重缺陷吗？预防性控制检查性控制被审计单位与审计师的责任划分内部控制责任划分：内控责任与审计责任被审计单位内控责任CPA内控审计责任建立健全和有效实施内部控制评价内部控制有效性是企业董事会（或类似决策机构）的责任按照审计指引的要求，在实施审计工作的基础上对内部控制的有效性发表审计意见内部控制自我评价报告内部控制审计报告财务报告内部控制审计并不能减轻企业管理层的责任适用范围2010年4月26日，财政部发布企业内部控制审计指引等配套指引2011年1月1日起在境内外同时上市的公司施行20

7、12年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行；在此基础上，择机在中小板和创业板上市公司施行；鼓励非上市大中型企业提前执行。执行企业内控规范体系的企业，必须对本企业内部控制的有效性进行自我评价，披露年度自我评价报告，同时聘请具有证券期货业务资格的会计师事务所对其财务报告内部控制的有效性进行审计，出具审计报告。注册会计师在内部控制审计过程中注意到的企业非财务报告内部控制的重大缺陷，应当提示投资者、债权人和其他利益相关者关注实施步骤内控审计遵循的政策制度企业内部控制基本规范企业内部控制配套指引财政部等五部委其他相关法律法规CPA鉴证业务基本准则相关执业准则（如：1411考

8、虑内部审计工作&1131审计工作底稿）财政部CPA中注协发布：企业内部控制审计指引实施意见内部控制审计工作底稿编制指南内部控制审计的性质、对象内部控制审计内部控制审计的性质、对象需要明确的问题时点/时期？内部控制审计企业内部控制审计基于特定基准日。注册会计师基于基准日（如年末12月31日）内部控制的有效性发表意见，而不是对财务报表涵盖的整个期间（如一年）的内部控制的有效性发表意见。但这并不意味着注册会计师只关注企业基准日当天的内部控制，而是要考察企业一个时期内（足够长的一段时间）内部控制的设计和运行情况。实务：业内一般要求内部控制的有效运行期至少为3个月，即：前期或期中测试发现的问题，需在9月

9、底之前整改完毕。注册会计师再对整改后的内部控制进行测试，才能对企业12月31日（基准日）内部控制的设计和运行发表 意见财务报告内部控制 or 非财务报告内部控制 ？注册会计师应当对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露内部控制审计的对象需要明确的问题财务报告内部控制政策和程序（1）保存充分、适当的记录，准确、公允地反映企业的交易和事项；（2）合理保证按照企业会计准则的规定编制财务报表；（3）合理保证收入和支出的发生以及资产的取得、使用或处置经过适当授权；（4）合理保证

10、及时防止或发现并纠正未经授权的、对财务报表有重大影响的交易和事项合理保证财务报告及相关信息真实完整保护资产安全的内部控制中与财务报告可靠性目标相关的控制非财务报告内部控制是指除财务报告内部控制之外的其他控制为了合理保证经营的效率效果、遵守法律法规、实现发展战略而设计和运行的控制，以及用于保护资产安全的内部 控制中与财务报告可靠性目标无关的控制内 部 环 境战 略目 标 设 定事 项 识 别风 险 评 估风 险 应 对控 制 活 动信息与沟通监 控经 营报 告合规 子公司业务单元分 部企业层次内部控制审计的对象（举例）某大型企业集团2009版内控手册共计1272个控制点，分类如下：控制点合计管理

11、相关控制点与财务报告相关控制点ERP控制点数量1272843429161内部控制审计的对象（举例）控制环节 控制描述控制频率人工 自动预防性检查性认定是否关键控制 判断是否为关键控制的理由发货销售经理每周五查看已批准未发货的销售订单汇总表，调查延迟发货的原因并予以相应处理。每周1次人工预防性不适用 否该项控制旨在确保企业的经营效率和服务质量，与财务报告认定无关，不属于财务报告内部控制。例如：销售和收款循环中，以下的控制活动第二部分 内控审计、财报审计与整合审计 问题：内控审计与大家熟悉的财报审计有什么差别？什么是整合审计？整合审计有什么优点？整合审计的概念与目标整合审计注册会计师可以单独进行内

12、部控制审计，也可以将内部控制审计与财务报表审计整合进行（整合审计）获取充分、适当的证据，支持其在内部控制审计中对内部控制的有效性发表的意见整合审计目标获取充分、适当的证据，支持其在财务报表审计中对内部控制的风险评估结果整合基础 内部控制整合审计的吸引力提高审计效率降低成本使客户尽早获知可能存在的缺陷及早着手进行整改整合审计财报审计利用内控审计的结果修改实质性程序的性质、时间安排和范围支持分析程序中适用的信息的完整性和准确性内控审计考虑财报审计中发现的问题重点考虑财报审计中发现的错报对内控有效性评价的影响企业CPA整合审计的吸引力美国萨班斯奥克斯利法案和日本金融商品交易法均要求由出具财务报告审计

13、报告的会计师事务所对企业财务报告内部控制进行审计，将企业内部控制审计定位在整合审计。美国的一项调查显示，企业执行萨班斯奥克斯利法案404条款第二年的成本比第一年下降46%，将两项审计工作更好地整合起来则是其中的一个主要原因。我国企业内部控制审计指引也提倡将二者整合进行财务报表审计与内部控制审计的比较1/3比较项目内部控制审计财务报表审计审计目的对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露对财务报表是否符合企业会计准则，是否公允反映被审计单位的财务状况和经营成果发表意见了解

14、和测试内部控制的目的直接目的：对内部控制设计和运行有效性发表审计意见了解内控是为了评估重大错报风险测试内控是为了进一步证明了解内控时得出的初步结论，了解和测试内控的最终目的是服务于对财报发表审计意见财务报表审计与内部控制审计的比较2/3比较项目内部控制审计财务报表审计测试范围对所有重要账户、各类交易和列报的相关认定，都要了解和测试相关的内控只在以下两种情况下强制要求内控测试1）在评估认定层次重大错报风险时，预期控制运行有效。即：在确定实质性程序的性质、时间安排和范围时，CPA拟信赖控制运行的有效性，或，（2）仅实施实质性程序不能提供认定层次充分、适当的审计证据其他情况下，CPA可以不测试内部控

15、制测试时间对特定基准日内控有效性发表意见。不一定要测试整个会计期间，但要测试足够长的时间一旦确定需要测试，则需要测试内控在整个审计期间运行有效性财务报表审计与内部控制审计的比较3/3比较项目内部控制审计财务报表审计测试样本量对结论可靠性的要求高，测试的样本量大对结论可靠性的要求取决于计划从内部控制中得到保证的程度（或，减少实质性程序工作量的程度）结果报告（1）对外披露（2）以正面、积极的方式对内控有效性发表意见（1）通常不对外披露内控情况，除非是内控影响到对财报发表审计意见（2）以管理建议书的方式向管理层或治理层报告财报审计中发现的内控重大缺陷，但CPA没有义务专门实施审计程序，以发现和报告内

16、控重大缺陷财务报表审计与内部控制审计的比较（举例）应收账款坏账准备背景：在国家货币政策趋于紧缩的形势下，企业可能较以前年度难于获得银行的贷款而普遍面临资金短缺的压力，如果被审计单位的应收账款余额较高且当年逾期应收账款有明显的上升时，被审计单位的坏账风险很可能高于往年。审计计划阶段：CPA需要考虑应收账款坏账风险将导致认定层次重大错报风险。在财务报表审计中，由于对应收账款坏账准备的判断较为主观，审计风险较高，通常注册会计师不拟依赖被审计单位在这一领域的控制，而在审计计划阶段决定直接通过实质性方案应对这一重大错报风险。在整合审计中，在审计计划阶段注册会计师既需要关注应收账款的坏账准备这一重要账户，

17、又需要关注被审计单位销售与收款这一重大流程中与计提应收账款坏账准备相关的内部控制，将其设定为内部控制审计的一个关键控制。如果被审计单位对于应收账款坏账准备没有制定标准的计提和批准流程，也没有定期与销售部门一起讨论应收账款的催款情况，而是在财务报表结账的时候完全由财务负责人主观判断且没有相应支持性文件，在此情况下，被审计单位很可能存在应收账款坏账准备的内部控制重大缺陷而影响被审计单位财务报告内部控制有效性的整体结论财务报表审计与整合审计的关系重要性水平相同重要组成部分的认定相同财务报表审计计划与整合审计计划的比较财报审计计划阶段所识别的风险对财报的影响重大账户、重大列报和相关认定重大业务流程业务

18、流程中的内部控制考虑所识别的风险对内部控制的影响识别高风险控制领域确定内控审计的关注领域第三部分 计划审计工作 签订审计业务约定书建立审计项目组计划审计工作所需评价的事项针对舞弊风险的评估设定重要性水平和多组成部分的审计策略计划审计工作识别重大账户、列报和相关认定识别重大业务流程识别与重大业务流程相关的信息系统利用他人的工作审计计划计划审计工作审计业务约定书被审计单位应当认可并理解的责任包括：按照适用的内部控制标准，设计、执行和维护有效的内部控制，以使财务报表不存在由于舞弊或错误导致的重大错报。按照适用的内控评价标准，对内控进行评价并编制内控评价报告。向注册会计师提供必要的工作条件，包括允许注

19、册会计师接触与内控的设计、执行和维护相关的所有信息，允许注册会计师在获取审计证据时不受限制的接触其认为必要的人员。CPA与企业做好充分的沟通。计划审计工作审计项目组构成注册会计师应当恰当地计划内部控制审计工作，配备具有专业胜任能力的项目组，并对助理人员进行适当的督导。具有性质和复杂程度类似的内部控制审计经验了解企业内部控制相关规范和指引要求了解内控审计指引、指引实施意见和中国注册会计师执业准则的相关要求拥有与企业所处行业相关的知识具有职业判断能力计划审计工作审计项目组构成（举例）某上市医药企业审计项目组构成与企业相关的风险评估 相关的法律法规和行业概况内部控制最近发生变化的程度与企业沟通过的内

20、控缺陷确定内部控制重大缺陷相关的因素（重要性水平、风险）对内部控制有效性的初步判断可获取的、与内部控制有效性相关的证据的类型和范围计划审计工作所需评价事项组织结构、经营特征和资本结构识别重大账户、重大列报&相关认定识别重大业务流程&相关信息系统计划审计工作所需评价事项企业面临的风险来自外部的风险宏观环境政治、经济、社会、科技、环保、法律所处的行业行业生命周期行业竞争状况企业面对的风险来自企业内部的风险人力资源技术与研发生产/服务流程产品/服务风险等级的划分-供参考后果可能性极为严重非常严重中等不很严重忽略几乎确定严重严重很高很重要较重要很可能严重很高很重要较重要中等中等很高很重要较重要中等较低

21、可能性不大很重要较重要中等较低微不足道极少发生较重要中等较低微不足道微不足道来源：澳大利亚公共部门风险管理指南，1996年10月第22号转引自：财务报告内部控制与风险管理，美国管理会计师协会IMA发布，2007计划审计工作所需评价事项企业面临的风险36财务报表审计中考虑的风险企业面临的风险其他后果（与财务报表无直接关系）财务报告审计风险影响具有财务后果CPA主要关注不具有财务后果影响计划审计工作所需评价事项企业面临的风险从企业风险到财务报表的风险-举例企业风险舞弊经济衰退成本增加原有存货减值原有设备减值财务后果财务后果财务后果坏账增加增长率下降环保要求技术升级经营失败计划审计工作所需评价事项企

22、业面临的风险计划审计工作企业面临的风险（举例1）案例背景1928年9月25日，保罗高尔文Paul Galvin和他的弟弟约瑟夫高尔文Joseph Galvin在芝加哥创建了高尔文制造公司。1947年，高尔文制造公司更名为摩托罗拉 1969年7月，摩托罗拉无线电应答器被用于阿波罗11号宇宙飞船，实现了地-月通信。1983年，全球首款商用手机“摩托罗拉DynaTAC”获FCC批准上市 1991年，摩托罗拉在德国汉诺威展出了全球第一款GSM数字手机摩托罗拉天津芯片厂业务单位战略计划评价计划审计工作企业面临的风险（举例）1995年，摩托罗拉推出了全球第一款双向式寻呼机Tango1999年推出iDEN

23、i1000plus，集数字手机、双向对讲、数字传呼机、互联网浏览、电子邮件和传真等众多功能与一体，相当于今天的智能手机。1999年，全球首款触摸屏手机A6188发布。2000年，全球首部GPRS手机 2000年，全球首部支持WAP上网手机 2000年，全球首部支持JAVA手机 Timeport P108 2002年，全球首款360度旋转翻盖手机V70发布。 2003年，全球首款基于linux内核发售的手机摩托罗拉A760 2004年，全球首款13.9毫米金属机身超薄翻盖手机V3发布RAZR系列曾书写过全球销量一亿台的辉煌战绩。RAZR系列最经典的第一代V3手机开创了超薄手机的浪潮，它的横空出世

24、曾拯救摩托罗拉公司于泥沼摩托罗拉天津芯片厂业务单位战略计划评价案例背景计划审计工作企业面临的风险（举例）摩托罗拉位于西青的MOS17芯片厂是曾经号称中国第一个、第一大的芯片厂，芯片厂于1995年立项。其后选址于天津西青经济开发区。由于半导体行业的周期性不景气和事业部决策层对投资的信心不足，西青厂的建设项目直到2000年8月才正式解冻，全面投资并买进安装生产设备。西青半导体厂的投资达19亿美元（使摩托罗拉在天津的总投资达到了30亿美元），其中西青芯片厂MOS17的投资为14亿美元，设计月产8英寸硅片2.5万片，主要产品供应无线通讯、汽车电子、信息家电等西青芯片第一批产品于2001年5月15日下线

25、，良品率为82%，是一个当时在同行业来讲相当不错的成绩。经过技术人员和管理层的不断努力，5个月后良品率达到98.5%。这在摩托罗拉的历史上是创纪录的。摩托罗拉天津芯片厂业务单位战略计划评价公司历史计划审计工作企业面临的风险（举例）全球半导体行业的发展呈现周期性的变化。从1980年至今，半导体市场共经历了五次景气循环，其中三次是由于全球性经济衰退造成的(1981年、1990年及2001年)，两次是由于明显产能供过于求导致的(1985年及1996年)，其中2001年全球半导体市场的营业额比2000年减少33%，跌至1520亿美元，创下历史最低记录。从我国的半导体行业来看，2001年全年我国半导体产

26、业产销规模与2000年相比有所下降。据统计，2001年我国集成电路总产量为44.12亿块，总销量为 46.44亿块，与2000年的总产量45.69亿块，总销量51.29亿块相比分别下降3.44 和9.46；2001年集成电路总销售额为98.42亿元，与2000年的101.49 亿元相比下降了3.02。 摩托罗拉天津芯片厂业务单位战略计划评价行业分析计划审计工作企业面临的风险（举例）摩托罗拉天津芯片厂业务单位战略计划评价合同及客户类型分析公司事业部的初衷是想在海外（中国）建立一个像美国国内“一模一样”的芯片厂，生产和美国“一模一样”的产品，想利用中国的廉价劳动力、智力资源，而完全依赖于其在美国国

27、内的订单全球行业内自1998年的不景气一直延续到2004年初，全球半导体市场经历了其有史以来最漫长的寒冬。其间，摩托罗拉仅半导体事业部就关闭了其在德州、亚利桑那州的数个芯片厂，裁员达近万人半导体事业部从全局考虑，把绝大部分订单分给了美国国内的主力、成熟、仍有生产潜力和产能的芯片厂，只把极为有限的一小部分订单象征性地给了西青厂随着整个全球半导体市场于2000年底的大滑坡，彻底暴露出西青芯片厂完全依靠吃国外订单的致命弱点，从2001年底到2003年，月产量始终在500片以下，这只相当于当初设计产能的2%西青芯片厂几乎在闲置中度过了整整两年计划审计工作企业面临的风险（举例）从20002003年，摩托

28、罗拉的市值重挫700亿美元，随着董事会成员，华尔街投资者对其股票低迷表现日益不满，以及公司新制定的资产轻量級策略（asset-light strategy），半导体事业部由于连续亏损逐渐淡出摩托罗拉核心业务，剥离半导体事业部的呼声越来越大。根据半导体市调机构有关2003年全球前10大半导体供应商排名报告，摩托罗拉首度落居全球前10大排名以外，于是众分析师及股东不約而同地指出必须解決其负债累累的现況，股东普遍推崇尽快进行半导体事业部的IPO。摩托罗拉天津芯片厂业务单位战略计划评价实际控制人及关联方分析为了其后续的独立上市，西青芯片这一没有效益的“不良资产”，被 摩托罗拉天津电子有限公司出售给中芯

29、国际计划审计工作所需评价的事项（工作底稿示例）医药行业上市公司计划审计工作所需评价的事项（工作底稿示例）计划审计工作设定重要性水平 重要性水平： 可容忍错报（实际执行的重要性）： =集团财务报表整体的重要性50%70% 比率资产负债表-资产总额0.5%-1%资产负债表-净资产1%-5%损益表-收入0.5%-2%损益表-利润总额5%-10%各个CPAs可能会有所差异在整合审计中，应使用相同的重要性水平 中国注册会计师审计准则第1221号重要性计划审计工作识别重大账户、列报和认定相关认定如果某财务报表认定可能存在一个或多个错报，这个或这些错报将导致财务报表发生重大错报，则该认定为相关认定。某认定是

30、否为相关认定，因被审计单位和账户而异定量+定性分析重要账户或列报如果某账户或列报可能存在一个错报，该错报单独或连同其他错报将导致财务报表发生重大错报，则该账户或列报为重要账户或列报注册会计师在确定重要性水平之后，应当识别重要账户、列报及其相关认定计划审计工作识别重大账户、列报和认定判断某账户或列报是否重要，应当依据其固有风险，而不应考虑相关控制的影响。判断某认定是否为相关认定，应当依据其固有风险，而不应考虑相关控制的影响。财务报告应收账款销售流程采购流程资金管理预算管理应付账款业务收入财务错报风险重要会计科目资产管理信息管理关键业务流程信息处理目标和财务报表验证目标会计政策选择不当会计核算方法

31、错误越权操作账实不符虚假合同或订单收入确认不当。完整性估价与分摊权利与义务表达与披露存在与发生识别重大账户定量标准金额超过可容忍误差。定性标准风险和其他因素（金额可能小于可容忍误差）：如果一个重大账户对应了多个单独的业务流程，应考虑根据不同的风险将重大账户进行分解，分别确定个重大账户。计划审计工作识别重大账户、列报和认定在评估会计科目的重要性时应考虑下列几个定性要素：（1）账户的规模和构成；（2）易于发生错报的程度；（3）账户或列报中反映的交易的业务量、复杂性及同质性；（4）账户或列报的性质；（5）与账户或列报相关的会计处理及报告的复杂程度；（6）账户发生损失的风险；（7）账户或列报中反映的活

32、动引起重大或有负债的可能性；（8）账户记录中是否涉及关联方交易；（9）账户或列报的特征与前期相比发生的变化。识别重大账户非重大账户：金额达到或高于可容忍误差，但由于认为该账户只有有限的或没有重大错报风险，可以确定为非重大账户。（实务中，谨慎使用）小额账户判断某账户或列报是否重要，应当依据其固有风险，而不应考虑相关控制的影响。相关认定并非所有认定对重大账户而言都是相关的。无需识别非重大账户和小额账户的相关认定。可选择组合认定计划审计工作识别重大账户、列报和认定计划审计工作识别重大账户、列报和认定（举例）注册会计师确定A公司的财务报表整体重要性金额为2 000万元。A公司的年度管理费用总额为1亿元

33、。年度管理费用的核算比较简单。错误或舞弊导致管理费用发生重大错报的固有风险很低。在以前年度审计中从未发现管理费用存在错报，也从未发现过相关控制缺陷。注册会计师确定管理费用账户属于重要账户，并确定“发生”和“完整性”为该重要账户的相关认定。判断是否为重大账户？计划审计工作识别重大账户、列报和认定（举例）假设A公司的固定资产总额为2700万元。固定资产的确认比较简单，以前年度发生的错报并不重大。其他情况如下： (1)以前年度未发现与固定资产相关的控制缺陷； (2)A公司的控制环境较强； (3)绝大多数的固定资产较为庞大或无法移动； (4)固定资产分布于多个组成部分； (5)由于错误或舞弊导致固定资

34、产发生重大错报的固有风险很低； (6)固定资产的增加或减少金额并不重大； (7)固定资产没有减值迹象注册会计师确定的财务报表整体重要性金额为2 000万元。综合对定量因素(例如，固定资产余额并非显著高于财务报表整体重要性，并且固定资产的增加或减少并不重大)和定性因素(例如，固定资产没有减值迹象，以前年度采发现与固定资产相关的控制缺陷，并且A公司的控制环境较好)的分析注册会计师确定固定资产账户不属于重要账户判断是否为重大账户？计划审计工作识别重大账户、列报和认定（举例）B公司是一家金融机构，拥有多家分支机构。该公司的资产总额为1000亿元，拥有定期存款500亿元，财务报表整体重要性为1亿元。从以

35、前年度审计情况来看，对定期存款账户，未发现控制缺陷，也未作出审计调整。该账户是由大量小额明细账户构成的，注册会计师认为由于舞弊或错误导致的重大错报风险为低水平。尽管定期存款的重大错报风险为低水平，但由于该账户金额远远超过财务报表整体重要性，注册会计师仍将其确定为重要账户判断是否为重大账户？计划审计工作识别重大账户、列报和认定（工作底稿举例）财务报表项目20 x I.12.31重要账户(是/否)认定注释存在/发生完整性准确性截止权利和义务计价和分摊列报和披露资产负债表货币资金交易性金融资产应收票据应收账款确定重要账户及相关认定工作底稿参考格式被审计单位名称：财务报表整体重要性：实际执行的重要性注

36、释：解释识别重要帐户的定性或定量依据。例如，超过财务报表整体重要性的帐户为何不是重要帐户；未达到报表整体重要性的帐户为何是重要帐户等。计划审计工作了解潜在错报报风险来源，由重大账户和相关认定对应到重大业务流程计划审计工作识别重大业务流程企业的业务流程包括生成、记录、处理和报告。重大业务流程是指对某一重大账户和列报及其相关认定产生重大影响的业务流程。注册会计师需要识别影响每个重大账户和列报的、与认定相关的重大业务流程，以及相关的信息系统。计划审计工作了解潜在错报报风险来源，由重大账户和相关认定对应到重大业务流程如何了解潜在错报的来源 (1)了解与相关认定有关的交易的处理流程，包括这些交易如何生成

37、、批准、处理及记录； (2)验证注册会计师识别出的业务流程中可能发生重大错报(包括由于舞弊导致的错报)的环节； (3)识别被审计单位用于应对这些错报或潜在错报的控制； (4)识别被审计单位用于及时防止或发现并纠正未经授权的、导致重大错报的资产取得、使用或处置的控制。 注册会计师应当亲自执行能够实现上述目标的程序，或对提供直接帮助的人员的工作进行督导穿行测试了解错报的潜在来源评价控制设计的有效性确定控制是否得到执行如何由重要账户到识别重大业务流程？（举例）如何由重要账户到识别重大业务流程？通过 对企业的了解和以往的经验询问恰当的人员，必要时辅以观察和查询文件对记账分录分析例如：CPA识别出某医药

38、行业上市公司的应收账款及坏账准备账户为重大账户。要识别与应收账款以及坏账准备账户相关的重大业务流程1、对企业的了解和以往的经验：该企业的销售业务包括现销个赊销。其中，赊销产生应收账款。该企业为所有赊销客户均设定信用额度。（接下页）如何由重要账户到识别重大业务流程？（举例）2、询问的常见问题（接上页）3、对记账记录的分析分析应收账款和坏账准备的会计分录来识别单独的业务流程如何由重要账户到识别重大业务流程？（举例）4、CPA将销售流程作为重大业务流程，并进一步识别出销售流程的各子流程计划审计工作了解潜在错报报风险来源，由重大账户和相关认定对应到重大业务流程穿行测试执行穿行测试的情况(1)存在较高固

39、有风险的复杂领域；(2)以前年度审计中识别出的缺陷(需要考虑缺陷的严重程度)的领域；(3)由于引入新的人员、新的系统、收购和采取新的会计政策而导致流程发生重大变化。首次接受委托执行内部控制审计，通常预期会对重要流程实施穿行测试(在实施穿行测试时，可以利用他人的工作)。计划审计工作了解潜在错报报风险来源，由重大账户和相关认定对应到重大业务流程穿行测试穿行测试作用1、确认注册会计师对下列事项的了解是否正确： 交易的整个过程，包括主要输入和输出数据，以及交易如何产生并得到授权、记录、处理和报告； 财务报告内部控制(包括与预防或发现舞弊相关的控制)的设计； 确定业务流程是否已涵盖了所有可能存在由于错误

40、或舞弊导致相关财务报表认定出现重大错报的环节，以此确认该业务流程的完整性； 可能发生的交易类型； 关联方交易的影响； 使用服务机构的影响2、识别被审计期间业务流程(包括支持该流程的计算机应用程序)发生的所有重大变化、变化的性质以及对相关账户的影响。计划审计工作了解潜在错报报风险来源，由重大账户和相关认定对应到重大业务流程穿行测试穿行测试作用3、评估控制的有效性。在评估设计有效性时，可以考虑以下事项： 该控制是否能够实现控制目标； 控制程序的执行是否及时； 所设计的控制执行的精细度和精确度； 职责分配的适当性。4、确认控制是否得到执行。5、确认注册会计师需要就哪些控制的运行有效性获取证据计划审计

41、工作了解潜在错报报风险来源，由重大账户和相关认定对应到重大业务流程穿行测试交易生成授权记录处理和报告对每个重要流程，选取一笔交易或事项实施穿行测试即可。如果被审计单位采用集中化的系统为多个组成部分执行重要流程，则可能不必在每个重要的组成部分选取一笔交易或事项实施穿行测试穿行测试是一种评估设计有效性的有效方法识别出的重要流程中的控制，包括针对舞弊风险的控制穿行测试计划审计工作了解潜在错报报风险来源，由重大账户和相关认定对应到重大业务流程穿行测试穿行测试包括： (1)向实际执行控制的人员进行询问； (2)观察控制的执行； (3)查阅在执行控制时使用的或由于执行该控制而生成的文件； (4)将支持性文

42、件(如销售发票、合同和提货单)与会计记录进行比较在实施穿行测试时，对于每个发生重要处理程序或控制的节点，注册会计师应当询问相关人员对既定程序和控制规定的了解，并确定相关人员是否根据其设计的原意及时执行这些处理程序或控制。计划审计工作了解潜在错报报风险来源，由重大账户和相关认定对应到重大业务流程穿行测试实务：在穿行测试中，询问的技巧？应当使用与被审计单位人员使用的相同的文件和信息技术对业务流程实施穿行测试，并向参与该流程或控制重要方面的相关人员进行询问可能需要通过不止一次的访谈，询问执行该流程中重要程序和控制的人员考虑与相关人员会面的顺序，以适当跟踪交易过程为佐证穿行测试中各个测试节点的信息，注

43、册会计师可以请相关人员描述其对此前和此后处理或控制活动的了解，并演示具体操作。在询问中还应提出更深入的问题，以便识别无效控制或舞弊迹象。1)依据什么确定是否出现错误(而不是简单地问是否实施了既定程序和控制)； (2)如果发现错误怎么处理； (3)曾经发现什么类型的错误； (4)发现错误的后果是什么； (5)错误是如何解决的；(6)是否曾被要求忽略或回避该流程或控制，如有这种情况，请描述具体情况，发生的原因以及如何解决的如果被询问的人员从未发现任何错误，注册会计师应当评估出现这种情况的原因是因为存在有效的预防性控制还是因为执行控制的人员缺乏必要的技能常用的问题计划审计工作了解潜在错报报风险来源，

44、由重大账户和相关认定对应到重大业务流程穿行测试实务：被审计单位的内控发生了变化时，如何穿行测试？评估变化的性质及其对相关账户的影响，以确定是否需要同时对变化前和变化后的交易过程实施穿行测试是否经营场所和单位本身就很重要? *评估文件记录以及测试在每个经营场所和单位的重要控制特殊或重要风险?对于这些单位不需进一步的行动 经营场所和单位自身，或即使与其它单位合并在一起也不重要?针对必要的个别经营场所或业务单位的控制的测试对这个合并组织的控制是否有文件记录的公司层面控制?对此合并组织的公司层面的控制进行文件记录评估和测试*评估文件记录并且测试对于特殊风险的控制不是计划审计工作-多组成部分的审计策略不

45、是不是不是是是是是-仅供参考 类型特点全面范围CPA执行的程序、取得的审计证据与企业整体内控审计类似特定范围CPA针对该组成部分所采用的审计程序是根据集团整体层面考虑确定有限范围CPA通常实施以分析性复核为主的审计程序不纳入范围CPA无需执行审计程序-仅供参考计划审计工作-多组成部分的审计策略计划审计工作-多组成部分的审计策略（举例1）ABC汽车集团公司成立于2003年，主要从事汽车生产和销售业务。201年度ABc汽车集团公司未经审计的集团合并营业收入为44215000元，合并净利润为11 750 000元。集团项目组将集团财务报表整体的重要性确定为587500元，并基于集团财务报表层面识别了

46、重要账户、列报及其相关认定，确定营业收入、固定资产等为重要账户 组成 部分注册地 主营业务201年度营业收入(已抵消内部交易)(元) 占集团合并 营业收入的 比例AA公司北京生产和销售运动型轿车，产品广受消费者欢迎，近年来收入和利润增长趋势良好 21 080 00000 4768BB公司上海生产和销售商务型轿车，产品为新开发产品，市场定位合理，销售前景良好 16 000 00000 3619CC公司合肥生产汽车配件，产品主要销售给集团内公司(包括AA公司和BB公司)，仅有小部分产品销售给集团外第三方，为集团成本中心 7 000 00000 1583计划审计工作-多组成部分的审计策略（举例1）D

47、D公司北京负责对集团资金进行管理，为集团财务中心 120 00000 027 EE公司 北京负责对集团固定资产进行管理，年末固定资产余额占集团合并固定资产余额的60，是集团资产管理中心 15 00000 003 FF公司 成都于201年投资设立，处于筹建期 0 0 合计 44 215 00000 100 组成 部分 识别重要组成 部分及说明 拟执行的财务 报表审计工作 拟执行的内部控制审计工作 AA公司营业收入占集团合并营业收人的比例为4768，为具有财务重大性的重要组成部分审计测试该组成部分企业层面控制；测试与重要账户、列报及其相关认定的业务流程、应用系统或交易层面的控制的有效性 BB公司营

48、业收入占集团合并营业收入的比例为3619，为具有财务重大性的重大组成部分审计测试该组成部分企业层面控制；测试与重要账户、列报及其相关认定的业务流程、应用系统或交易层面的控制的有效性集团项目对组成部分的分析计划审计工作-多组成部分的审计策略（举例1） CC公司为具有特别风险的重要组成部分，与特别风险相关的账户及其认定包括：生产成本的发生、完整性和截止；存货的存在、完整性和计价与分摊；资本承诺事项的列报和披露审计与特别风险相关的账户余额、交易和披露测试该组成部分企业层面控制；测试针对特别风险的控制 DD公司为具有特别风险的重要组成部分，与特别风险相关的账户及认定包括：货币资金的存在、完整性；借款的

49、存在和完整性；财务费用的发生、完整性和截止；或有负债的列报和披露审计与特别风险相关的账户余额、交易和披露测试该组成部分企业层面的控制；测试针对特别风险的控制计划审计工作-多组成部分的审计策略（举例1）EE公司为不重要组成部分，但固定资产为重要账户集团层面的分析程序评价下列工作是否已经获取充分、适当的审计证据：对集团企业层面控制的测试、测试该组成部分企业层面控制针对重要组成部分与固定资产相关的账户、列报及其相关认定的内部控制已实施的测试如果不能提供充分、适当的审计证据，测试该组成部分与固定资产相关的业务流程、应用系统或交易层面的控制FF公司极其微小，为不重要组成部分集团层面的分析程序无需执行控制

50、测试计划审计工作- 利用他人的工作注册会计师应当对企业内部控制自我评价工作进行评估，判断是否利用企业内部审计人员，内部控制评价人员和其他相关人员的工作以及可利用的程度，相应减少可能本应由注册会计师执行的工作。”相关要求：对其专业胜任能力进行充分评价对其客观性进行充分评价计划审计工作- 利用他人的工作与控制相关的风险和利用他人工作范围的关系计划审计工作- 利用他人的工作内审在审计的不同方面是否能够利用内部审计人员的工作示例 审计目的 是否利用内部审计人员的工作成果理解服务需求，确定审计范围并组建审计团队否完成初步的项目计划否对企业的经营进行初步了解注册会计师可以利用内部审计人员准备的文档，但是要

51、形成自己对企业经营及风险的理解确定是否需要特定的专家否了解企业层面控制否识别由于舞弊导致的重大错报风险并制定相关审计策略注册会计师可以与内部审计人员就存在或发现的舞弊或由于舞弊导致的重大错报风险进行探讨注册会计师审阅内部审计人员所发现问题，用以判断是否存在内部审计人员知悉的与舞弊相关的问题注册会计师要对是否存在舞弊风险作出判断制定相关策略确定财务报表重要性否识别重要账户、列报及其相关认定否制定审计计划并对舞弊和错误进行讨论内部审计人员可以参加部分讨论识别重要交易流程及相关IT系统注册会计师可以利用内部审计人员准备的文档，但是要形成自己对重要交易流程及相关IT系统的结论计划审计工作- 利用他人的

52、工作在审计的不同方面是否能够利用内部审计人员的工作示例了解重要交易流程注册会计师可以请内部审计人员协助就流程、可能出错的环节以及相应的控制进行记录，或者利用内部审计人员的部分内部审计文档执行穿行测试注册会计师可以请内部审计人员在执行穿行测试时提供直接的帮助如果重要账户或流程比较复杂、风险较高或者其风险的影响比较广泛(例如销售收入注程中销售收入确认比较复杂)，则不鼓励注册会计师利用内部审计人员完成穿行测试。通常利用内部审计人员直接协助的穿行测试仅限于常规交易流程或简单的非常规交易流程。(例如，某企业的固定资产流程经注册会计师判断为常规交易流程，注册会计师可以请内部审计人员在执行固定资产穿行测试时

53、协助提供一套完整的固定资产穿行测试资料并协助撰写固定资产穿行测试文档，但注册会计师需要对内部审计人员获取的穿行测试资料及完成的穿行测试文档进行审阅，以确定资料及文档的完整性，以及固定资产穿行测试文档中关键控制识别的准确性)计划审计工作- 利用他人的工作内审在审计的不同方面是否能够利用内部审计人员的工作示例选择需要测试的控制注册会计师可以利用内部审计人员选择简单、常规流程中需要测试的控制。注册会计师需要基于自己对这些简单、常规流程的了解，审阅内部审计人员的工作以判断所选取的需要测试的控制是否适当，并与注册会计师可能会选取进行测试的控制相一致对信息系统一般控制的了解、穿行测试、控制测试及评价评价过

54、程不涉及主观性的信息技术一般控制，注册会计师可以利用内部审计人员协助进行IT一般控制的记录并执行控制测试制定控制测试策略注册会计师可以利用内部审计人员针对简单、常规交易的控制制定控制测试策略注册会计师需要审阅内部审计人员的工作并决定其制定的控制测试策略是否适当，并与注册会计师可能制定的控制测试策略是否一致，以及选取的需要进行测试的控制是否一致设计会计分录测试及反舞弊程序否执行控制测试注册会计师可以利用内部审计人员执行常规交易控制的测试执行会计分录测试及反舞弊程序内部审计人员可以按照注册会计师制定的控制测试策略及确定的样本总量，执行会计分录测试更新控制测试，包括信息系统一般控制内部审计人员可以更

55、新控制测试综合评估风险否项目总结否计划审计工作- 利用他人的工作内审在审计的不同方面是否能够利用内部审计人员的工作示例 审计目的 是否利用内部审计人员的工作成果准备审计发现汇总否，尽管部分被注册会计师记录及评估的问题是由内部审计人员发现的进行项目总体审阅及审批否准备并与客户进行沟通否完成审计工作底稿并存档否，注册会计师按照审计工作底稿准则要求保存内部审计人员准备的工作底稿计划审计工作- 利用他人的工作管理层内控自评管理层内部控制评价与注册会计师内部控制审计之间的关系管理层自我评价过程的质量，尤其是执行自我评价工作的人员的专业胜任能力和客观性，对注册会计师确定能够在多大程度上利用他人的工作以及注

56、册会计师需要执行的工作起着重要的作用。注册会计师执行的财务报告内部控制审计工作与管理层内部控制评价工作相互配合显得非常重要。 建立健全有效的内部控制是被审计单位的责任注册会计师应当对发表的审计意见独立承担责任，其责任不因为利用企业内部审计人员、内部控制评价人员和其他相关人员的工作而减轻计划审计工作- 利用他人的工作管理层内控自评管理层对内部控制有效性的自我评价工作需要在注册会计师开始内部控制审计工作之前启动，且最好保证内部控制设计缺陷以及内部控制运行缺陷尽早整改完毕，以预留足够长的平稳运行期。注册会计师在每个年度的较早时期就要同管理层就内部控制自我评价工作进行沟通，包括自我评价工作的进度安排、

57、具体自我评价的工作范围、工作方法、样本选取的方法及数量，并获取必要的管理层自我评价文档。上述步骤及文档的获取主要帮助注册会计师确定其进行内部控制审计的时间安排，以及注册会计师在多大程度上可以利用被审计单位的内部控制评价工作。如果管理层就内部控制自我评价工作定期召开会议，注册会计师可以要求参加会议以及时了解内部控制自我评价工作的实际进展以及前期遇到的问题计划审计工作审计程序团队成员审计分工总体时间表审计范围与企业召开审计计划会议阅读企业相关财务、内控资料了解企业最新情况借鉴以前年度审计经验CPA与企业的沟通审计计划获取内部控制审计计划所需信息第四部分风险导向审计 &自上而下的审计方法 内部控制审

58、计的方向？是从风险到控制？还是从控制到风险？内控审计方向？自上而下的方法在财务报告内控审计中，自上而下的方法始于财务报表层次，以注册会计师对财务报告内部控制整体风险的了解开始。然后，注册会计师将关注重点放在企业层面的控制上，并将工作逐渐下移至重大账户、列报及相关的认定。这种方法引导注册会计师将注意力放在显示有可能导致财务报表及相关列报发生重大错报的账户、列报及认定上。之后，注册会计师验证其了解到的业务流程中存在的风险，并就已评估的每个相关认定的错报风险，选择足以应对这些风险的业务层面控制进行测试。在非财务报告内控审计中，自上而下的方法始于企业层面控制，并将审计测试工作逐步下移到业务层面控制。自

59、上而下的方法描述了注册会计师在识别风险以及拟测试的控制时的连续思维过程，但并不一定是注册会计师执行审计程序的顺序。从财务报表层次初步了解内控整体风险评估企业层面控制识别重要账户、列报及其相关认定了解错报的可能来源选择拟测试的控制并测试自上而下方法 总体思路自上而下的方法自上而下的方法从财务报表层次初步了解内控整体风险评估企业层面控制识别重要账户、列报及其相关认定了解错报的可能来源选择拟测试的控制并测试自上而下方法 总体思路自上而下的方法评估企业层面的控制评估企业层面控制企业内部控制企业层面控制业务流程、应用系统或交易层面的控制主要针对交易的生成、记录、处理和报告等环节能够对应到具体某类交易和账

60、户余额的具体认定应对企业财务报表整体层面的风险而设计或，作为其他控制运行的“基础设施”评估企业层面控制要素以“内部控制环境内部审计”为例评估企业层面控制要素企业层面风险控制矩阵（工作底稿记录）关注要点（举例）企业层面内部控制的不同精准层次精准层次对审计的影响1.对及时防止或发现错报具有重要但间接影响的控制（与控制环境相关的控制）可能影响选择进行测试的其他控制，以及对其他控制所实施程序的性质、时间和范围2.监督其他控制有效性的控制，可以被用来识别其他层次控制的可能缺陷，但其自身的精准程度不能充分应对某认定的错报不能被及时防止或发现的风险此类控制运行有效时，可以减少原本拟对其他控制的有效性进行的测