(一)在被审计单位整层面了解和评价内部控制

1、.：.；(一)在被审计单位整体层面了解和评价内部控制在被审计单位整体层面了解和评价内部控制被审计单位： 索引号： B B -1 工程： 财务报表截止日/期间： 复核： 日期： 日期： 在被审计单位整体层面了解和评价内部控制的任务包括：1了解被审计单位整体层面内部控制的设计，并记录所获得的了解。2针对被审计单位整体层面内部控制的控制目的，记录相关的控制活动。3执行讯问、察看和检查程序，评价控制的执行情况。4 记录被审计单位整体层面内部控制的设计和执行过程中存在的缺陷以及拟采取的应对措施。了解被审计单位整体层面内部控制构成以下审计任务底稿：1BB一1：了解和评价整体层面内部控制汇总表2BB一11：

2、了解和评价控制环境3BB一12：了解和评价被审计单位风险评价过程4BB一13：了解和评价控制信息系统与沟通5BB一14：了解和评价被审计单位对控制的监视编制阐明：在了解和评价控制的设计并确定其能否得到执行时，该当运用讯问、检查、察看程序。并记录所获取的信息和审计证据来源。假设运用以前审计获取的信息，该当思索被审计单位的相关控制自上次测试后能否发生艰苦变动。本部分包括的任务底稿所记录的主要内容如下：1BB-1-1: 汇总对整体层面内部控制了解的主要内容和结论；2BB-1-2: 记录经过讯问、察看和检查程序对控制环境的了解和评价结果；3BB-1-3: 记录经过讯问、察看和检查程序对被审计单位的风险

3、评价过程的了解和评价结果；4BB-1-4: 记录经过讯问、察看和检查程序对信息系统与沟通的了解和评价结果；5BB-1-5；记录经过讯问、察看和检查程序对被审计单位对控制的监视的了解和评价结果。了解和评价整体层面内部控制汇总表被审计单位： 索引号： BB-1-1 工程： 财务报表截止日/期间： 复核： 日期： 日期： 1整体层面内部控制要素整体层面内部控制要素能否进展了解控制环境是被审计单位的风险评价是与财务报告相关的信息系统与沟通是对控制的监视是 2了解整体层面内部控制 根据对整体层面内部控制的了解，记录如下： (1) 被审计单位能否委托效力机构执行主要业务活动?假设被审计单位运用效力机构，将

4、对审计方案产生哪些影响? (2) 能否制定了相关的政策和程序以坚持适当的职责分工?这些政策和程序能否合理? (3) 自前次审计后，被审计单位的整体层面内部控制能否发生艰苦变化?假设已发生变化，将对审计方案产生哪些影响? (4) 能否识别出非常规买卖或艰苦事项?假设已识别出非常规买卖或艰苦事项，将对审计方案产生哪些影响? (5) 在了解整体层面内部控制过程中能否进一步识别出其他风险?假设已识别出其他风险，将对审计方案产生哪些影响?3信息技术普通控制采用的系统信息系统称号计算机运作环境来源初次安装日期初次安装后对信息系统进展的任何艰苦修正、开发与维护信息系统修正修正日期拟于未来实施的艰苦修正、开发

5、与维护方案本年度对信息系统进展的艰苦修正、开发与维护及其影响4在整体层面了解内部控制的结论控制要素识别的缺陷能否属艰苦缺陷(是否)索引号列入与管理层沟通事项(是否)列人与治理层沟通事项(是否) 注：阐明内部控制存在艰苦缺陷的情形能够包括：注册会计师在审计任务中发现了艰苦错报，而被审计单位的内部控制没有发现，控制环境薄弱，存在高层管理人员舞弊迹象(无论涉及金额大小)等。了解和评价控制环境被审计单位： 索引号： BB-1-2 工程： 财务报表截止日/期间： 复核： 日期： 日期： 编制阐明：1本审计任务底稿中列示的被审计单位的控制目的和控制，仅为阐明关表格的运用方法，并非对一切控制目的和控制的全部

6、列示。在执行财务报表审计业务时，注册会计师应根据被审计单位的实践情况予以填写。 2假设我们拟信任以前审计获取的审计证据，应经过讯问并结合察看或者检查程序，获取控制能否曾经发生变化的审计证据，并予以记录。3“被审计单位的控制一栏应记录被审计单位实践采取的控制；“实施的风险评价程序一栏，应填写注册会计师针对控制目的方案采取的审计程序，包括讯问，察看和检查。4.注册会计师对控制的评价结论能够是:(1)控制设计合理,并得到执行;(2)控制设计合理,未得到执行;(3)控制设计无效或缺乏必要的控制.一、对诚信和品德价值观念的沟通与落实索引号控制目的被审计单位的控制实施的风险评价程序结论存在的缺陷HJ一1使

7、员工行为守那么及其他政策得到执行公司制定了员工的行为守那么，行为守那么内容完备，涉及利益冲突、不法或不当支出、公平竞争的保证、内幕买卖等问题；员工定期承诺遵守这些制度；行为守那么可供公开查阅(如可在公司的内网上查阅)；指定专人回答关于行为守那么中的问题；行为守那么中充分描画了违反规定的内部汇报系统，指明向适当的人汇报违规行为；对行为守那么没有规范的地方，经过建立企业文化，强调操守及价值观的重要性的方式予以弥补；采取在员工大会上口头传达、经过一对一说话或在处置日常事务中经过实例示范。HJ一2建立信息传达机制，使员工可以明晰了解管理层的理念将严厉遵照诚信和品德规范的观念，经过文字和实践行动有效地灌

8、输给一切员工；鼓励员工行为端正；当出现存在问题的迹象时，特别是当发现和处理问题的本钱能够较高时，管理层能予以恰当地处置。HJ一3与公司的利益相关者(如投资者、债务人等)坚持良好的关系管理层在处置买卖业务时坚持高度诚信，并要求其员工和客户同样坚持诚信；当不诚信的行为发生时，能尽快并严肃处置。索引号控制目的被审计单位的控制实施的风险评价程序结论存在的缺陷HJ一4对背叛公司规定的行为及时采取补救措施，并将这些措施传达至相应层次的员工管理层能立刻对违反规定的行为作出反响；对违反规定员工的处置结果及时让全体员工知晓；对违反规定的管理人员采取免职处置。HJ一5对背叛公司现有控制的行为进展调查和记录明确地制

9、止管理人员跨越既定控制；任何与既定政策不一致的事件都会被调查并记录；鼓励员工告发任何企图跨越控制的情况。HJ一6员工和管理层的任务压力恰当公司设计合理的鼓励机制，员工的报酬和提升并不完全建立在实现短期目的的根底上；薪酬体系设计着眼于调发动工个人及团队的积极性。二,对胜任才干的管理索引号控制目的被审计单位的控制实施的风险评价程序结论存在的缺陷HJ一7公司岗位责任明确，任职条件明晰管理层对一切岗位的任务有正式的书面描画，任职条件规定了履行特定职责所需的知识和技艺；岗位职责在公司内予以明晰地传达；每位员工的岗位责任与分派的权限相关。索引号控制目的被审计单位的控制实施的风险评价程序结论存在的缺陷HJ一

10、8继续培训员工定期对员工培训，更新员工的知识。 三、治理层的参与程度索引号控制目的被审计单位的控制实施的风险评价程序结论存在的缺陷HJ一9在董事会内部建立监视机制在董事会内部建立审计委员会，审计委员会与总会计师、内部及外部审计人员讨论财务报告程序、内部控制体系、管理层的业绩、重要观念和建议等的合理性，每年审查内外部审计人员的审计活动范围。HJl0保证董事会成员具备适当的阅历和资历，并坚持成员的相对稳定性对董事会成员的阅历和资历有明确的书面规定，股东在提名董事会成员时严厉按照规定进展，不合格的提名无效；每届任期3年，可以连任。HJ一11董事会、审计委员会或类似机构独立于管理层管理层的提案需求经过

11、董事会审议；董事会监视运营成果，检查预算与实践的差别，并要求管理层作出解释；董事会不是仅由部门指点和员工组成，董事会坚持至少三位独立董事。索引号控制目的被审计单位的控制实施的风险评价程序结论存在的缺陷HJ一12审计委员会正常运作董事会审计委员会每年召开三次会议，定期收到诸如财务报表、主要的市场营销活动、重要协议或谈判等的关键性信息，监视编制财务报告的过程。HJ一13管理层不能由一人或少数几人控制董事会、审计委员会对管理层实施有效监视。 四、管理层的理念和运营风格索引号控制目的被审计单位的控制实施的风险评价程序结论存在的缺陷HJ一14对非经常的运营风险，管理层采取稳妥措施管理层在承当运营风险、选

12、择会计政策和作出会计估计时必需稳健，并需求在内部民主讨论，对当事人规定明确的个人责任。HJ一15管理层对信息技术的控制给予适当关注定期召开信息技术任务会议，研讨制定开展规划，安排足够的资金和人员。HJ一16高级管理层对业务分支机构坚持有效控制高级经理经常深化到附属机构或分支机构视察其运作情况；经常召开集团或区域管理人员会议。索引号控制目的被审计单位的控制实施的风险评价程序结论存在的缺陷HJ一17管理层对财务报告的态度合理管理层对财务报告的根本态度是财务报告应反映实践情况，反对收入最大化、平滑盈利增长曲线、纳税最小化等行为。情愿因艰苦错报金额而调整财务报表。HJ一18管理层对于艰苦的内部控制和会

13、计事项，咨询注册会计师的意见管理层和注册会计师经常就会计和审计问题进展沟通：在审计调整和内部控制方面达成一致意见。 五、组织构造索引号控制目的被审计单位的控制实施的风险评价程序结论存在的缺陷HJl9组织构造合理，具备提供管理各类活动所需信息的才干根据运营活动的性质，恰当地采用集权或者分权的组织构造；组织构造的设计便于由上而下、由下而上或横向的信息传送。HJ一20买卖授权控制层次适当董事会对董事长、总经理授予不同的权益；总经理对副总经理授权。索引号控制目的被审计单位的控制实施的风险评价程序结论存在的缺陷HJ一21对于分散(分权)处置的买卖存在适当的监控经理层亲密关注该类买卖，经常听取汇报。HJ一

14、22管理层制定和修订会计系统和控制活动的政策管理层曾经制定了会计系统和控制活动的规范并构成书面文件；管理层依其职责和权限从现有的报告系统中得到适当的信息；业务经理可经过沟通渠道接触到担任运营的高级主管。HJ一23坚持足够的人力资源，特别是负有监视和管理责任的员工数量充足对加班严厉审批；任务压力大时，及时招聘人员。HJ一24管理层定期评价组织构造的恰当性董事会每年召开一次会议，讨论组织机构的设置。 六、职权与责任的分配索引号控制目的被审计单位的控制实施的风险评价程序结论存在的缺陷HJ一25明确员工的岗位职责，包括详细义务、报告关系及所受限制等并传到达本人公司制定管理层及负有监视责任员工的职务阐明

15、书， 以及各级员工的职务阐明书；职务阐明书明确规定了与控制有关的责任。HJ一26在被审计单位内部有明确的职责划分和岗位分别将业务授权、业务记录、资产保管和维护，以及业务执行的责任尽能够地分别。HJ一27坚持权益和责任的对等完成任务所需权益与高级管理人员的参与程度坚持适当的平衡；授予适当级别的员工纠正问题或实施改良的权益，并且此授权也明确了所需的才干程度和明确的权限。HJ一28对授权买卖及系统改善的控制有适当的记录，对数据处置的控制有适当的记录建立授权买卖及系统改善的控制制度。七、人力资源的政策与实务索引号控制目的被审计单位的控制实施的风险评价程序结论存在的缺陷 HJ一29关键管理人员具备岗位所

16、需的丰富知识和阅历员工招聘主管需求具备执行义务、履行职责的知识及阅历；对关键管理人员实施适当的培训。 HJ一30人事政策中强调员工需坚持适当的伦理和品德规范评价业绩时将员工的操守和价值观纳入评价规范之中。 HJ一31人力资源政策与程序明晰，定期发布和更新每年检查人力资源政策与程序，不恰当的进展调整；对更新的文件及时传达。了解和评价被审计单位风险评价过程被审计单位： 索引号： BB-1-3 工程： 财务报表截止日/期间： 复核： 日期： 日期： 编制阐明： 1本审计任务底稿q-列示的被审计单位的控制目的和控制，仅为阐明有关表格的运用方法，并非对一切控制目的和控制的全面列示。在执行财务报表审计业务

17、时，注册会计师应根据被审计单位的实践情况予以填写。 2假设我们拟信任以前审计获取的审计证据，应经过讯问并结合察看或者检查程序，获取控制能否曾经发生变化的审计证据，并予以记录。 3“被审计单位的控制一栏应记录被审计单位实践采取的控制；“实施的风险评价程序一栏，应填写注册会计师针对控制目的方案采取的审计程序，包括讯问、察看和检查。 4注册会计师对控制的评价结论能够是：(1)控制设计合理，并得到执行；(2)控制设计合理，未得到执行；(3)控制设计无效或缺乏必要的控制。索引号控制目的被审计单位的控制实施的风险评价程序结论存在的缺陷 PG一1建立公司整体目的并传到达相关层次管理层确立了整体目的，该整体目

18、的区别于任何单位都适用的普通目的；运营战略和整体目的一致，战略目的支持整体目的并能指点配置资源；整体目的可以有效地传到达全体员工和董事。 PG一2详细战略和业务流程层面的目的与整体目的协调业务层面的目的来源于整体目的和战略，并与之相关联。业务层面的目的普通表述为有详细完成期限要求的详细目的。每个重要的作业活动都制定有目的，并且相互一致；定期审核业务层面的目的以保证与整体目的继续相关；同一作业活动的各个目的以及不同作业活动的目的协调。 PG一3明确影响整体目的实施的关键要素管理层曾经明确某些措施必需正确实施或者某些措施不能失败，否那么整体目的就不能实现；资本支出和费用预算是根据管理层对目的相对重

19、要性的分析作出的；管理层特别关注重要目的(胜利的关键要素)。 PG一4各级管理人员参与制定目的经理们参与他们所担任的业务目的的制定；明确经理的责任；制定了争议和分歧的处理程序。索引号控制目的被审计单位的控制实施的风险评价程序结论存在的缺陷PG一5建立风险评价方法风险评价程序思索影响目的实现的内外部要素，经过分析各种风险提供管理风险的根据；对外部风险，公司要求管理层思索：供货渠道、技术变化、债务人的要求、竞争对手的行动、经济情况、政治情况、法规与监管情况、自然灾祸；对内部风险，公司要求管理层思索：人力资源，如关键管理人员的留任、职责调整能否会影响有效履行其职责；理财和融资活动，如为实施新方案或继

20、续原方案筹措资金；劳资关系，如薪酬及退休福利方案能否在同行业中具有竞争力；信息系统，如备份系统的有效性等；对每项重要的业务层面目的，确定影响其实现的艰苦风险；风险分析经过正式的风险分析程序进展，识别出的风险与相应的作业目的相关，适当级别的管理人员参与风险分析任务。索引号控制目的被审计单位的控制实施的风险评价程序结论存在的缺陷PG一6建立风险识别、应对机制，处置具有普遍影响的变化设置能预期、识别和应对能够对整体目的和业务层次目的的实现产生影响的例行事件或作业活动的机制；将对日常变化的处置与风险分析程序联络；与变革相关的风险与机遇由足够高层次的管理层处置，以保证确认一切潜在的影响，并制定适当的行动

21、方案；企业内部受变革严重影响的一切活动都纳入到程序之中。PG一7对于能够对被审计单位产生迅速、宏大并耐久影响的变化，建立相应的识别和应对机制被审计单位制定处置以下情况导致风险的制度：运营环境变化；员工添加；新增的或经过重新设计的信息系统；被审计单位的快速开展；新技术开发和运用；新增消费线、新产品、新设置的作业及新购并的企业；被审计单位重组；被审计单位开展海外运营活动。索引号控制目的被审计单位的控制实施的风险评价程序结论存在的缺陷PG一8会计部门建立流程顺应会计准那么的艰苦变化会计部门学习新准那么法规以识别其艰苦变化；经过后续教育跟进会计准那么的最新进展。PG一9当被审计单位业务操作发生变化并影

22、响买卖记录的流程时，及时通知会计部门当被审计单位业务操作发生变化并影响买卖记录的流程时，召开部门会议进展讨论，会计部门必需参与。PG一10风险管理部门建立流 程以识别运营环境的艰苦变化定期召开部门会议，进展沟通，讨论运营环境的艰苦变化。PG一11政策和程序得到有效 执行 管理层定期审查政策和程序的遵照情况。了解和评价控制信息系统与沟通被审计单位： 索引号： BB-1-4 工程： 财务报表截止日/期间： 复核： 日期： 日期： 编制阐明： 1本审计任务底稿中列示的被审计单位的控制目的和控制，仅为阐明有关表格的运用方法，并非对一切控制目的和控制的全面列示。在执行财务报表审计业务时，注册会计师应根据

23、被审计单位的实践情况予以填写。 2假设我们拟信任以前审计获取的审计证据，应经过讯问并结合察看或者检查程序，获取控制能否曾经发生变化的审计证据，并予以记录。 3“被审计单位的控制一栏应记录被审计单位实践采取的控制；“实施的风险评价程序一栏，应填写注册会计师针对控制目的方案采取的审计程序，包括讯问、察看和检查。 4注册会计师对控制的评价结论能够是：(1)控制设计合理，并得到执行；(2)控制设计合理，未得到执行；(3)控制设计无效或缺乏必要的控制。索引号控制目的被审计单位的控制实施的风险评价程序结论存在的缺陷 XT一1信息系统向管理层提供有关被审计单位运营的相关信息建立必要的机制获取外部信息，包括市

24、场情况、竞争对手的情况、法律法规的最新开展以及经济情况的变动等；管理层制定的整体战略规划可识别、分析和监控整体目的所需的内外部信息；管理层可以获取关于履行其职责所需信息的报告。 XT一2向适当人员提供的信息充分、详细且及时，保证其可以有效地履行职责标明信息的有效期并经管理层认可：定期监测企业的财务信息，并向财务总监汇报；根据管理人员的级别，恰当确定需向其提供信息的详略程度；适当进展信息汇总，既能提供相关的信息，又可在必要时进一步查阅相关细节：有专人识别员工需求的信息并及时提供应员工。 XT一3与财务报告相关的信息系统的开发及改善基于战略思索，与被审计单位整体层面的信息系统严密相关，有助于实现被

25、审计单位整体层面和业务流程层面的目的建立必要的机制(如信息系统指点委员会)识别新的信息需求；由适当的人员确定对信息的需求及各项需求之问的优先次序；制定与财务报告相关的信息系统的长期战略规划，且该方案随着被审计单位开展战略及时更新，并与单位整体信息系统需求严密相关。索引号控制目的被审计单位的控制实施的风险评价程序结论存在的缺陷 XT一4提供适当的人力和财力开发必需的信息系统投入充足的资源(具有必要技术才干的管理人员、分析人员和程序员)，以支持开发新的信息系统或者加强现有信息系统的功能。 XT一5监视信息系统的开发、变卦和测试任务设立指点小组，委派专人监视信息系统的开发、变卦和测试任务。 XT一6

26、就岗位职责与员工进展有效沟通建立各种沟通渠道(如正式和非正式的培训课程、会议、任务过程中的督导等)，有效地实现沟通；新员工培训中向员工提供有关其岗位职责的信息，促使员工明确本人的岗位所要到达的目的，以及如何实现该目的；定期对员工评价，对员工职责进展讨论以确保员工能充分了解本身职责。 XT一7针对不恰当事项和行为建立沟通渠道员工手册阐明对违反公司政策和行为守那么的可疑行为进展沟通的方式；建立恰当的信息沟通渠道，该渠道的信息接受者不是信息提供者的直接上司，如舞弊情况调查官员或者公司律师等；保证员工实践利用该沟通渠道；向沟通员工反响沟通事项的处置情况，并确保其不受打击报仇。索引号控制目的被审计单位的

27、控制实施的风险评价程序结论存在的缺陷 XT一8组织内部有充分畅通的横向沟通渠道，横向信息传送完好、及时，并能提供有关人员履行其职责所需的充分信息建立销售部门与技术、消费、营销等部门的沟通渠道，保证顾客的需求得到适当的处置；建立财务部门与信誉管理部门的沟通渠道，保证拖延付款信息得到适当的处置；建立相应的沟通渠道，保证关于竞争对手新产品、售后效力保证等信息传送给担任技术、市场开辟和营销的部门。 XT一9管理层仔细听取和采用员工提出的改良意见建立有效的机制使员工可以提出改良建议；建立奖励机制促使员工积极提出改良意见。 XT一10管理层与客户、供应 商、监管者和其他外 部人士有效地沟通建立与各方的沟通

28、渠道；搜集各方的建议、赞扬及其他信息，并保证公司内部及时沟通；建立信息的追踪调查等后续措施；担任处置赞扬的员工与担任最初买卖处置的员工相互独立；定期向管理层报告赞扬的性质和数量。索引号控制目的被审计单位的控制实施的风险评价程序结论存在的缺陷 XT一11外部人士了解被审计单位的行为守那么担任向外发布重要信息的管理人员，其级别应与所发布信息的性质和重要程度相称(例如，高层管理人员定期以书面方式对外公布公司员工的行为守那么)。 XT一12员工职责适当分别，以降低舞弊和不当行为发生的风险公司制定相关的员工职责分别的制度，明确需分别的职责。 XT一13会计系统中的数据与实物资产定期核对公司制定会计账簿与

29、实物的定期核对制度。了解和评价被审计单位对控制的监视被审计单位： 索引号： BB-1-5 工程： 财务报表截止日/期间： 复核： 日期： 日期： 编制阐明：1本审计任务底稿中列示的被审计单位的控制目的和控制，仅为阐明有关表格的运用方法，并非对一切控制目的和控制的全面列示。在执行财务报表审计业务时，注册会计师应根据被审计单位的实践情况予以填写。 2假设我们拟信任以前审计获取的审计证据，应经过讯问并结合察看或者检查程序，获取控制能否曾经发生变化的审计证据，并予以记录。 3“被审计单位的控制一栏应记录被审计单位实践采取的控制；“实施的风险评价程序一栏，应填写注册会计师针对控制目的方案采取的审计程序，

30、包括讯问、察看和检查。 4注册会计师对控制的评价结论能够是：(1)控制设计合理，并得到执行；(2)控制设计合理，未得到执行；(3)控制设计无效或缺乏必要的控制。 一、继续监视索引号控制目的被审计单位的控制实施的风险评价程序结论存在的缺陷JD一1内部控制定期评价建立内部控制评价体系，由内部审计部门定期评价内部控制。JD一2评价内部控制制度对常规任务活动有效运转的保证程度担任业务活动的管理人员将其在日常运营活动获得的消费、库存、销售或其他方面的信息与信息系统产生的信息相比较；将用于管理业务活动的运营信息与由财务报告系统所产生的财务资料相整合或者相比较，并分析差别。JD一3外界沟通所获取的信息可以反映内部控制运转的有效性顾客按销货发票所列金额付款，即隐含该发票金额正确无误；顾客赞扬账单有错误，即阐明处置销售业务的系统能够存在缺陷。当顾客赞扬时，调查出现问题的缘由；记录供应商的信息(如供应商寄来的对账单)，公司将其用作控制和监视的工具；思索监管机构告知本企业遵照相关法律、法规和规章的情况或其他有助于判别内部控制系统作用的事项。JD一4管理层对内部审计人员和注册会计师提出的内部控制方面的意见和建议进展适当地处置设置具有适当权限的管理人员处置