内控审计工作底稿方法论讲解

1、内控审计工作底稿方法论讲解 大华会计师事务所有限公司主讲人： 李秀茂2013大华会计师事务所保留一切权利目 录2013大华会计师事务所保留一切权利1.内部控制审计基准日 内控审计，是指会计师事务所接受委托，对特定日期（通常与企业内控自我评价基准是一致的）企业内部控制的有效性进行审计，并发表审计意见。内部控制审计简介什么是内控审计?2013大华会计师事务所保留一切权利内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制审计简介什么是内部控制2013大华会计师事务所保留一切权利注册会计师对财务报告内部控制的有效性发表审计意见；注册会计师对其在内部控制审计过程中注

2、意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露；考虑舞弊风险；关注信息系统对内部控制和风险评估的影响。 -内部控制审计简介会计师对于内部控制工作的职责2013大华会计师事务所保留一切权利会计师对于非财务报告内部控制工作的职责内部控制审计简介1、与财务报告相关的缺陷，如何处理？2、非财务报告相关的重大缺陷，如何处理？3、非财务报告相关的重要、一般缺陷，如何处理？ 常见问题？2013大华会计师事务所保留一切权利根据基本规范要求，审计师对于非财务报告内部控制工作的职责主要包括以下方面：需要对在财务报告内部控制审计过程中所注意到的非财务报告内部

3、控制缺陷进行评价的责任；针对通过不同渠道（如董事会的会员纪要、企业内部控制自我评价报告、企业内、外部监督部门的内控发现等）所获取的有关非财务报告的内部控制的信息；注册会计师可以根据职业判断，对相关信息进行分析评价，以便有针对的对内部控制审计过程中注意到的非财务报表内部控制的重大缺陷予以披露；不需要对非财务报告控制出具审计意见。会计师对于非财务报告内部控制工作的职责内部控制审计简介2013大华会计师事务所保留一切权利会计师对于非财务报告内部控制工作的职责内部控制审计简介1、与财务报告相关的缺陷？-出具意见2、非财务报告相关的重大缺陷？-予以披露3、非财务报告相关的重要、一般缺陷？-管理层建议书、

4、非财务报告相关的缺陷汇总 常见问题？-ANSWER！2013大华会计师事务所保留一切权利非财务报告内部控制重大缺陷的关注内部控制审计简介（一）非财务报告相关的重大问题（可能仅仅是流程环节中的问题），可以通过以下程序执行：1、企业的自评工作。通过了解企业自评，第一时间关注到非财务报告相关的问题，如：漏油时间，安全问题等，了解企业做了什么分析；2、调查公众信息。如：是否存在违法违规的事情，受到相关监管部门惩罚，加强与管理层沟通；3、行业重大风险关注。如：蒙牛质量问题；了解有企业无风险预警，出了事怎么反映。一般执行询问、且执行穿行测试进行验证即可。如果持有一定的怀疑或发现相关问题，需另外开底稿，对事

5、项进行跟踪调查，将调查过程以及分析判断结果记录在底稿中。2013大华会计师事务所保留一切权利内控审计工作底稿及方法论解析内控审计的工作步骤2013大华会计师事务所保留一切权利内控审计方法论及工作底稿解析4. 汇总缺陷并出具报告3. 测试内控操作 有效性2. 评估内控设计有效性1. 制定项目范围评估阶段内部控制审计报告评估整体的有效性，找出有待改进的方面并建立一个监控体系在流程、交易和应用层面，理解和评估内控设计有效性在全公司层面评估内部控制组织项目小组实施评估工作理解内部控制的定义COSO报告中的定义是评估工作的最佳起点选择适当人员组成工作组, 并建立一些基本要求着眼于全公司层面的内控来开展评

6、估工作记录和理解交易流程和相关内控是一个复杂、耗费时间的过程对内控的持续实施进行测试和监督建立一个监控程序组织整个流程、项目小组和项目的时间准备文档记录、实施详细的测试并改正控制缺陷审计师对内部控制发表意见计划审计实施审计 评估缺陷、完成审计汇总缺陷，对内部控制发表意见并出具报告内控审计的工作步骤2013大华会计师事务所保留一切权利目 录2012大华会计师事务所保留一切权利计划审计2013大华会计师事务所保留一切权利内部控制审计工作底稿编制指引（2013初步定稿）-通用模板00目录使用说明.xlsx计划审计NK-BB总体审计策略及具体审计计划（案例）.xls制定项目范围计划审计2013大华会计

7、师事务所保留一切权利一、决定合并财务报表层次的重要性水平二、识别合并财务报表层次的重要会计科目及披露信息三、决定多业务单元或工作地点的覆盖比例四、识别业务流程或业务循环并将其与重要会计科目和披露信息配对五、对财务报表认定和业务流程进行风险评估六、重要业务流程和重要业务单元配对制定项目范围的过程包括主要以下几个步骤：一、决定合并财务报表层次的重要性水平1.1、决定计划重要性水平及可容忍误差（所谓金额重大）采用年度化的合并财务报表作为主要基准以税前利润作为判断重要性水平的依据总体重要性水平=税前利润*5%以重要性水平的75%作为可容忍误差报表里的会计科目金额超过可容忍误差的即被视为重要会计科目制定

8、项目范围计划审计定量税前净利润总资产总营业收入所有者权益风险高 50%风险低 75%组员完成的工作底稿(案例)CF-1 重要性计算（案例）.xlsx2013大华会计师事务所保留一切权利1、年度化合并报表，是不是所有都使用年度化的合并报表？2、如何选择计算重要性水平的依据？ 常见问题？制定项目范围计划审计2013大华会计师事务所保留一切权利CF-1 重要性计算（案例）.xlsx1）对于制造业公司，由于其存货、应收帐款和固定资产数额较大，因此使用总资产指标是最恰当的。 2）使用净利润是企业正常经营的净利润，如果公司收支相抵或存在大量公司内部往来费用，则选择税前利润的指标是没有意义的，3）如果经营场

9、所或业务单位的余额以公司内部往来科目为主或总部在合并程序中存在大量的“高层”所有者权益调整，则使用权益指标是无意义的(如：减去被收购子公司的收购前权益)。 制定项目范围计划审计2013大华会计师事务所保留一切权利1.2、识别可以影响重要性水平的性质因素（所谓性质重大）科目由复杂的成分组成易受人为操纵或损失会计科目的性质特殊发生交易量大牵涉复杂的会计处理和披露要求账户余额牵涉主观判断存在关联方交易当期外部环境或报告的要求变化，及会计科目中反映出来的由经营活动所引起的重大或有负债的可能性。制定项目范围计划审计定性2013大华会计师事务所保留一切权利。NK-BB总体审计策略及具体审计计划（案例）.x

10、ls3.1 通过评估每个业务单元或工作地点的重要性及对每一个业务单元或工作地点进行分类,识别要测试的业务单元或工作地点并评估覆盖比例：由于业务单元规模巨大而被个别视为重要由于业务单元面对特定风险而被视为重要个别规模不大，但与其他规模不大的业务单元加起来总规模巨大个别规模不大，与其他规模不大的业务单元加起来总规模仍然不大三、决定多业务单元或工作地点的覆盖比例制定项目范围计划审计2013大华会计师事务所保留一切权利3.3 根据以下标准决定哪一个业务单元或工作地点面对特定风险：会计科目余额大于计划重要性水平的视为重要会计科目，相关的流程进入覆盖范围。根据对企业的了解进行判断。3.2 根据规模决定重要

11、的业务单元和工作地点：单个重要的业务单元或工作地点应满足以下一个或一个以上的条件(最大的指标)：总收入的5%税前利润的5%总资产的5%总所有者权益的5%三、决定多业务单元或工作地点的覆盖比例（续）制定项目范围计划审计2013大华会计师事务所保留一切权利3.4 决定哪一家个别规模不大，但与其他规模不大的子公司加起来总规模大3.5 决定哪一家个别规模不大，其他规模不大的子公司加起来总规模仍然不大三、决定多业务单元或工作地点的覆盖比例（续）制定项目范围计划审计2013大华会计师事务所保留一切权利NK-BB总体审计策略及具体审计计划（ABC）DX.xls三、决定多业务单元或工作地点的覆盖比例（续）制定

12、项目范围计划审计參考比率业务单位程序50-70%单个重要的业务单位，特有风险单位单个重要的业务单位对所有已识别的重要会计科目及财务报表附注的相关重要流程和内控进行记录和测试，并测试公司层面的控制，除非其重要会计科目余额小于集团合并余额的5%特有风险单位对其特有风险所关连的重要会计科目及财务报表附注的相关重要流程和内控进行记录和测试，并测试公司层面的控制30-40%单独来说不重要，但合并起来是重要的业务单位评估及测试公司层面的控制，如果公司层面的控制不存在，考虑获取其它证据或对该业务单位本身的控制进行测试10%非重要业务单位不需测试确定覆盖百分比的參考标准如下：3.4确定覆盖百分比的參考标准如下

13、：2013大华会计师事务所保留一切权利经营场所或业务单位的定义取决于该公司的性质和组织构架。业务单位可以是法人机构(子公司)，一个部门或一个营运场所(如: 工厂或营业部)，下面列出的是在确定经营场所或业务单位时可以考虑的事项： 财务信息的来源(如，法人机构、业务单位、工厂或营业部) 公司各层面的中央集中处理程序/共享会计服务的程度 地区性机构 法律结构 管理层结构/行政划分 适用于权益法核算的投资 公司的变化(如：通过收购和/或分支机构的增长呈现公司近期的增长；最近完成或计划进行的内部重组；经营部门的解散)。 常见问题：经营场所或业务单位的定义是什么？ 计划审计制定项目范围2013大华会计师事

14、务所保留一切权利1、拥有很多具有相似规模的经营场所-抽样2、很多具有相似规模的经营场所，但不具备服务共享或相同的业务流程和内控程序-继续对此领域实施监控。 常见问题：如果公司的经营场所数量大，且规模相似，管理层应如何确定本身重要的经营场所？ 计划审计制定项目范围2013大华会计师事务所保留一切权利2013年内控审计培训工作相关资料-PEGGIENK-BB总体审计策略及具体审计计划（深天地）DX.xls五、对财务报表认定和业务流程进行风险评估根据财务报表认定的五个方面分别对财务报表各会计科目以及子流程进行风险评估（可采用评分的方式）5.1对财务报表认定进行风险评估 例如：销售与收款子流程的评估如

15、下： 制定项目范围计划审计2013大华会计师事务所保留一切权利。5.2对业务流程进行风险评估业务流程的规模及组成是否容易出现错报舞弊风险交易的复杂程度我们根据以下因素对各子流程进行风险评估：交易类别多样性交易是否依靠系统执行是否容易受人为主观判断估计影响针对低风险的子业务流程，我们不会对其进行记录、穿行测试和控制测试。针对高和中风险的子业务流程，我们会更新文档记录并进行穿行测试和控制测试。五、对财务报表认定和业务流程进行风险评估（续）制定项目范围计划审计2013大华会计师事务所保留一切权利交易类别多样性交易是否依靠系统执行是否容易受人为主观判断估计影响针对低风险的子业务流程，我们不会对其进行记

16、录、穿行测试和控测试。针对高和中风险的子业务流程，我们会更新文档记录并进行穿行测试和控制测试。五、对财务报表认定和业务流程进行风险评估（续）制定项目范围计划审计2013大华会计师事务所保留一切权利六、重要业务流程和重要业务单元配对根据重要性水平及风险评估结果识别出各重要业务单元的重要业务流程将重要业务流程、重要会计科目及重要业务单位配对，得出我们将要进行评估和测试工作的具体范围收入人工及福利存料维修费用税务对外投资固定资产（注5）在建工程无形资产(土地使用权及商誉)货币资金管理流动性债权管理流动性对外债务管理融资管理财务报告AB-SWB-IB-MB-EB-TCDD-CEF1F2F3F4G单个重

17、要的业务单元或工作地点本部001 财务部 （注1）007 AAA （注1）009 BBB （注1）特有风险单元或工作地点本部015CCC（注4）016 DDD（注4）（注4）（注4）（注4）020 EEE（注4）（注4）（注4）021 FFF004 GGG （注1）005 HHH注（3） （注1）006 III （注1）011 JJJ008 KKK注（3） （注1）010 LLL （注1）012 MMM （注1）计划审计制定项目范围2013大华会计师事务所保留一切权利目 录2013大华会计师事务所保留一切权利实施审计 企业层面控制是指哪些确保管理层设在公司内部各个领域、各个业务层面的控制机制得

18、以有效运行的机制。 销售业务 采购业务 生产与仓储(存货管理、成本核算) 研究与开发 全面预算 工程项目 财务报告 资金活动等信息系统测试2013大华会计师事务所保留一切权利测试控制的设计和运行测试控制设计的有效性： 如果某项控制由拥有有效执行控制所需的授权和专业胜任能力的人员按规定的程序和要求执行，能够实现控制目标，从而有效地防止或发现并纠正可能导致财务报表发生重大错报的错误或舞弊，则表明该项控制的设计是有效的。测试控制运行的有效性： 如果某项控制正在按照设计运行、执行人员拥有有效执行控制所需的授权和专业胜任能力，能够实现控制目标，则表明该项控制的运行是有效的。检查文件 观察 询问检查文件

19、观察 询问重新执行询问本身不能为得出控制是否有效的结论提供充分、适当的审计证据内控自我评价方法论公司层面的内部控制步骤及工作成果公司层面内部控制评价通常首先通过设计针对公司层面重要控制内容的调查问卷，进行高级管理层的访谈，根据访谈结果撰写访谈纪要并完善问卷内容，然后获取相关资料进行审阅和测试，进行评价与反馈，形成缺陷报告并制定整改计划及实施整改来进行。在公司层面所进行的内控评价可以按照下面图示列明的程序来进行：内控自我评价方法论预审阶段（期中测试）年审阶段（年底补充测试）公司层面内部控制步骤及工作成果访谈前获取背景资料，了解相关信息准备访谈清单，确定访谈时间访谈中与被访谈者面对面沟通，语气平缓

20、，避免过激或消极记录被访谈者提到的关键信息访谈后及时整理访谈记录，归纳需要再次访谈确认的问题或第一次访谈中遗漏的问题获取被访谈者提到的文档将访谈结果记录内部控制评估文件中将访谈得到的信息进行整理，获取其中有用的信息，并按照关注点中提到的内容，将相关控制进行详细的描述采用书面语的形式记录与问题最直接相关的关键内容2012大华会计师事务所保留一切权利实施审计访谈并记录公司层面的内部控制：范例公司层面内部控制步骤及工作成果（续）实施审计2012大华会计师事务所保留一切权利NK-CA了解、评价和测试企业层面内部控制与内部环境相关的控制（案例）.xlsx相关负责部门：记录接受访谈人员的相关部门和职务是否

21、关键控制：在SOX404项目中，仅与财务报告和舞弊风险有直接相关的内容控制才被认定为关键控制是否需要进行控制测试：按照控制的发生频率确定是否需要进行控制测试公司层面的绝大部分测试可以通过穿行测试完成公司层面内部控制步骤及工作成果（续）实施审计2012大华会计师事务所保留一切权利测试：选取一个样本验证访谈过程中了解到的控制设计是否切实存在复印留存相关文档，并做好交叉索引工作内部控制测试表：公司层面的内控测试模版与流程层面的一致内部控制测试表范例及解析参见流程层面讲解控制是否有效（测试结果）：根据访谈得到的相关信息评估该控制是否有效公司层面内部控制步骤及工作成果（续）实施审计2012大华会计师事务

22、所保留一切权利内控缺陷汇总：将访谈过程中发现的控制设计差异予以汇总，并提出改进建议将穿行测试和控制测试过程中发现的控制设计差异予以汇总，并提出改进建议公司层面的内控缺陷汇总表与流程层面的一致内控缺陷汇总表范例及解析详见“评价缺陷”管理层整改：管理层根据发现的问题制定整改计划/改进计划管理层按照制定的整改计划/改进计划实施整改汇总内控缺陷并进行整改：公司层面内部控制步骤及工作成果（续）实施审计2012大华会计师事务所保留一切权利对内部控制缺陷进行再测试：再测试：整改完成后对之前有问题的领域再次进行穿行测试及控制测试；更新公司层面调查问卷内的相关内容。公司层面内部控制步骤及工作成果（续）实施审计2

23、012大华会计师事务所保留一切权利什么层次记录？独立评估持续的监督报告缺陷包含了各个层面的机构，往往包含在其他要素中，特别是控制活动要素中。 通常在各个层面上都会发生(比如，财务报告的控制活动在公司层面上发生，各种调节和期末控制在业务单位层面上发生，日常的控制在交易层面上发生) 。 通常只需要在公司层面上进行记录，除非某个业务单位或部门有它自己特殊的和财务报告相关的风险评估流程。 从公司层面上开始，但是公司需要证明控制环境在公司的各个层面上都在运行。 方面控制环境风险评估控制活动信息和沟通内部监督实施审计公司层面的内部控制评估方法公司层面底稿风险矩阵测试底稿2012大华会计师事务所保留一切权利

24、实施审计公司层面控制的内容2012大华会计师事务所保留一切权利反映公司董事会、管理当局和其他相关主体对控制重要性的总体态度、意识和行为，以及对有关公司政策、日常程序、方法和组织结构的控制的重视程度。是公司管理活动执行人员的操守，以及管理人员实施管理活动的环境，主要的要素包括： 诚信与道德价值（对其的沟通和落实、对员工的要求） 董事会或审计委员会的参与（治理层的参与程度） 管理的理念和经营风格 -组织结构 -职权责任的分配 -对胜任能力的重视 -人力资源政策与实务 实施审计公司层面的内部控制评估方法（续）1、控制环境：2012大华会计师事务所保留一切权利.大华-工作底稿YEAH专业标准体系201

25、1大华内部控制审计案例汇总（附带编制说明）-peggieNK-CA了解、评价和测试企业层面内部控制与内部环境相关的控制（案例）.xlsx实施审计公司层面的内部控制评估方法（续）1、控制环境对诚信和道德价值观念的沟通和落实控制的有效性受负责创建、管理和监控内部控制的人员的诚信和道德价值观的影响- -审计准则第1211号附录1注册会计师在了解和测试此部分控制的有效性时可以考虑但不限于以下因素：1.被审计单位是否有书面的行为规范并且有监督各级别员工贯彻执行行为规范的控品行守则 。2.管理层是否对违反相关行为规范的行为采取适当的措施3.管理层是否有使得激励员工与设定不切实际业绩目标之间得以平衡的控制示

26、例：NK-CB了解、评价和测试企业层面内部控制针对董事会、经理层凌驾于控制之上的风险而设计的控制（案例）.xlsx2013大华会计师事务所保留一切权利实施审计公司层面的内部控制评估方法（续）1、控制环境治理层的参与程度被审计单位治理层（例如：董事会、监事会等）通常通过其自身的活动，并在审计委员会或类似机构的支持下，监督被审计单位的财务报告政策和程序。被审计单位的控制意识在很大程度上受治理层的影响。注册会计师在了解和测试此部分控制的有效性时可以考虑但不限于以下因素：1.董事会、审计委员会成员是否独立于管理层，有明确的相关职责，了解并且具备适当的条件去执行哪些职责。（了解审计委员会成员的背景，并获

27、取他们执行相关职责的证据）；2.董事会、审计委员会是否与注册会计师进行适当的互动并定期沟通，并对注册会计师提出的问题作出反馈；3.治理层是否充分参与了监督财务报告编制的过程；4.董事会、审计委员会是否评估在有效监管下管理层凌驾于内部控制之上的风险。示例：2013大华会计师事务所保留一切权利实施审计公司层面的内部控制评估方法（续）1、控制环境管理层的理念和经营风格管理层的理念和经营风格管理层清晰地传达他们对于财务报告和财务报告部门的态度和行为，以及用以保证选择适当会计政策的控制管理层适当进行财务报告相关的授权相关要素考虑因素示例：管理层对数据处理和会计职能的态度，以及对财务报告和资产保全可靠性的

28、关注度： -如果会计职能被分散，业务部门的管理人员是否可“最后核准”报告的业绩；-单位的会计人员是否也对总部的财务主管负责；及-有价值的资产（包括知识资产和信息）是否得到保护以免在未经授权的情况下被存取或使用。对财务报告的态度及为此采取的行动管理层是否过度关注短期的报告业绩；-人员是否为达到目标而提交不恰当的报告；-管理人员是否忽视不当操作的迹象；及-估计是否超越事实的合理性。2013大华会计师事务所保留一切权利实施审计公司层面的内部控制评估方法（续）1、控制环境管理层的理念和经营风格组织架构即被审计单位为实现目标而计划、执行、控制及评价其活动的框架，被审计单位组织结构是否恰当部分取决于被审计

29、单位的规模和经营活动的性质管理层是否定期职权和职责的关键范围，并建立适当的重要职员报告途径管理层是否有适当的孔子和以管理重要职能的员工离职，如对离职的原因进行分析等。相关要素考虑因素示例：公司组织结构的合理性，及提供所需信息流，以管理其业务的能力。例如，查看：-公司的组织结构是否按照企业业务性质，恰当地集中或分散；及-组织结构是否有利于信息上传、下达以及在所有业务活动中流通。关键管理人员的职责界定的充足性，以及他们对其责任的了解。例如，查看：-与企业业务活动有关的职责与期望是否明确传达给负责这些活动的管理人员。-负责的行政人员是否具备履行其职责所需的知识、经验和培训。报告关系的适当性。例如，查

30、看：-已有的报告关系（正式的或非正式的，直接的或矩阵式的）是否有效，能否向管理者提供适用于其职责和权限的信息；及-业务活动的行政人员是否能通过沟通渠道与高级营运管理人员进行沟通。2013大华会计师事务所保留一切权利实施审计公司层面的内部控制评估方法（续）1、控制环境管理层的理念和经营风格职权与责任的分配对于关键人员（会计人员、资产管理人员等）的职权和责任进行适当的分配相关要素考虑因素示例：为实现组织的长短期目标、完成经营职能和符合监管要求的职责分配和权力下放，包括信息系统方面的职责和变动的授权。例如，查看：-企业全体上下是否都向员工分配权限和职责；-决策的责任是否与分配权限和职责相关；及-决定

31、个别人员的权限级别和分配的职责范围时，是否考虑了适当的信息。包括员工岗位描述在内的，与控制相关的标准和程序的合理性。例如，查看：-是否存在岗位描述（至少是否有管理层和督导人员的岗位描述）；及-这些描述是否包含了与控制有关的特定职责。人员的适当数量，尤其与数据处理和会计职能相关，并具有与企业规模，以及业务活动和系统的性质与复杂性配合的所需技能的人员数量。例如，查看： -企业是否有充足数量和所需经验的人员完成其既定任务。2013大华会计师事务所保留一切权利实施审计公司层面的内部控制评估方法（续）1、控制环境管理层的理念和经营风格人力资源政策与实务针对参与财务报告内部控制的人员，被审计单位的人力资源

32、部门是否制定适当的招聘、培训、考核、晋升、薪酬奖励、内部调动和辞退员工政策；管理层是否作出适当行动以应对违反公司政策和程序的行为，同时与员工沟通并监控员工对公司政策的正确执行相关要素考虑因素示例：员工聘用、培训、晋升和薪酬政策及程序存在的程度。例如，查看：-现有人力资源政策和程序是否可赖以招聘或培养所需的有能力及值得信赖的人员以支持有效的内部控制制度；-是否对招聘和培训适当人员给予适当的关注与重视；及-如果还没有编制正式的政策和实务做法，管理层是否提出了想招聘的人员类型的期望，或直接参与招聘流程。让员工知悉其职责，以及公司对他们的期望的程度。例如，查看： -是否让新员工知悉其职责及管理层对他们

33、的期望；及-督导人员是否定期与员工会面，检讨其工作表现，并对其提出改进建议。2013大华会计师事务所保留一切权利实施审计公司层面的内部控制评估方法（续）2、针对管理层和治理层凌驾于控制之上的风险而设计的控制1.针对重大的非常规交易的控制，尤其是针对导致会计处理延迟或异常的控制2.针对关联方交易的控制3.与管理层的重大估计相关的控制4.能够减弱管理层和治理层伪造货不恰当操纵财务结果的动机和压力的控制2013大华会计师事务所保留一切权利1）风险评估过程包括识别与财务报告相关的经营风险和其他经营管理风险，以及针对这些风险财务的措施2）针对重要经营控制及风险管理实务的政策确立目标与机制以识别、分析和管

34、理风险，主要内容包括： 评估可谨慎接受的风险程度 建立在总公司与分公司层面上识别与分析风险的程序 区分风险高低程度，计划控制活动实施审计公司层面的内部控制评估方法（续）3、被审计单位的风险评估过程2013大华会计师事务所保留一切权利可能会产生风险的事项和情形：监管环境和经营环境的变化新的或升级的信息系统新技术企业重组新的会计政策新员工快速增长新业务模式扩张海外经营 -审计准则第1211号指南实施审计公司层面的内部控制评估方法（续）3、被审计单位的风险评估过程2013大华会计师事务所保留一切权利信息与沟通是获取和交换信息的程序，以使企业能够正常运行，并得到适当的管理及控制。 及时准确的最新信息所

35、有层次上对信息、期望和责任的沟通内部与外部的沟通内部信息传递是指企业内部各管理层级之间通过内部报告形式传递生产经营管理信息的过程 -应用指引第17号第2条实施审计公司层面的内部控制评估方法（续）4、对内部信息传递和期末财务报告流程的控制2013大华会计师事务所保留一切权利实施审计公司层面的内部控制评估方法（续）4、对内部信息传递和期末财务报告流程的控制期末财务报告流程将交易总额登入总分类账的程序总分类账中会计分录编制、批准等处理程序与会计政策的选择和运用相关的程序对财务报表进行调整的程序编制财务报表的程序2013大华会计师事务所保留一切权利评价一定时期内内部控制执行质量，并在情况变化下对内控进

36、行适当的修改。持续性（如：监督、调和）分离性监控是对一定时期内内部控制执行质量的评价程序，考虑相关内部控制是否能够满足最初设计的目标，并保证在不同情况下进行适当的修改。监督: 缺乏正式的对财务关帐流程的控制或监督考虑并记录是否定期对内部控制进行评价；管理当局是否采纳内部和外部审计师关于内部控制的建议；是否存在内部审计部门以协助管理当局进行监控。实施审计公司层面的内部控制评估方法（续）5、对控制有效性的内部监督和内部控制评价2013大华会计师事务所保留一切权利主要涉及的领域：员工行为守则反舞弊程序人力资源程序风险识别、评估与管理经营计划与经营业绩分析内部审计审计委员会及董事会管理层基调与态度公司

37、政策与流程内部控制活动信息与沟通风险评估（财务）投资策略管理实施审计公司层面的内部控制评估方法（续）2013大华会计师事务所保留一切权利控制环境缺乏反舞弊和举报机制审计委员会没有有效监督对财务报告相关的内部控制风险评估缺乏正式的企业风险管理流程/ 程序控制活动缺乏有效运行并记录完整的公司层面控制未有效披露及编制财务报告和信息不有效控制分支机构信息和沟通缺乏对在财务报告中使用的终端用户应用程序和数据的控制缺乏对信息系统的有效控制监督缺乏正式的对财务结帐流程的控制或监督实施审计常见的公司层面问题：2013大华会计师事务所保留一切权利实施审计-公司层面公司层面公司层面对业务流程层面的影响？Quest

38、ion？2013大华会计师事务所保留一切权利NK-CH 了解、评价和测试企业层面内部控制公司层面缺陷汇总（案例）.xlsxNK-EA了解、评价和测试业务层面内部控制资金活动-资金运营revised.xls实施审计-业务流程层面业务流程层面：业务流程选择一级流程？子流程？2013大华会计师事务所保留一切权利实施审计-业务流程层面采购业务流程采购计划供应商管理供应商准入供应商日常管理供应商淘汰3. 采购定价4. 采购合同管理采购合同谈判采购合同签定采购合同保管及借阅）5、应付账款记录正常收料入账借支入账材料估价入账材料估价冲回6、采购付款预付款支付预付款支付冲销采购付款7、采购对账）采购业务流程子

39、流程举例2013大华会计师事务所保留一切权利实施审计-业务流程层面业务流程层面：底稿内容背景及风险评估底稿 流程描述记录底稿 风险矩阵 穿行测试底稿 控制测试底稿 对实质性程序中发现的偏差的考虑 本循环的缺陷汇总表 本循环的自动化控制汇总（需进行IT一般控制）2013大华会计师事务所保留一切权利实施审计-业务流程层面业务流程层面：主要底稿了解底稿风险矩阵穿行测试底稿控制测试底稿2013大华会计师事务所保留一切权利业务流程层面整体工作思路实施审计-业务流程层面业务流程层面：整体业务层面思路2013大华会计师事务所保留一切权利实施审计-业务流程层面底稿组成背景及风险评估底稿组成部分:一、背景概述二

40、、初步了解内部控制设计与运行的有效性1、以前年度内部控制存在的控制缺陷描述及整改情况2、本期被审计单位内部控制自我评价识别的控制缺陷及整改情况三、上次审计以来控制或流程是否发生变化四、风险评估、企业层面控制测试以及信息技术一般控制测试影响（一）风险评估结果对本项业务控制活动的影响（二）企业层面控制测试对本项业务控制活动的影响（三）信息技术一般控制测试对本项业务控制活动的影响.NK-EB了解、评价和测试业务层面内部控制采购业务- 附带编制说明.xls实施审计-业务流程层面底稿编制说明背景与风险评估编制说明2013大华会计师事务所保留一切权利实施审计制度的研读内控流程手册的研读自我评价工作的底稿相

41、关财务报表信息访谈问卷流程层面工作底稿及相关方法论访谈前准备工作2013大华会计师事务所保留一切权利制度规定：原材料入库要实行严格的验收制度，保管员应认真清点物资数量，及时入账。1.具体控制措施是什么？2. 是否可被验证？如何保证仓管员认真清点物资数量，例如仓管员接近下班时间赶着约会，但收到一批货物时？?部分公司自行绘制的流程图如下：仅为工作流程图/动作流程图而非内控流程图风险流程层面工作底稿及相关方法论制度研读实施审计-业务流程层面2013大华会计师事务所保留一切权利实施审计-业务流程层面销售与收款：讲课所需内控审计底稿-销售与收款-访谈问卷.xlsx人力资源：讲课所需人力资源-访谈问卷.d

42、oc流程层面工作底稿及相关方法论访谈问卷2013大华会计师事务所保留一切权利实施审计-业务流程层面销售人员发货组仓库管理员合同管理专员销售经理往来应收会计客户管理专员销售总监催收对账合同谈判、签订管理、审批2013大华会计师事务所保留一切权利访谈-销售业务流程层面工作底稿及相关方法论谈判专员采购专员采购经理供管组专员IQC专员2013大华会计师事务所保留一切权利仓管员会计访谈-采购业务实施审计-业务流程层面流程层面工作底稿及相关方法论实施审计-业务流程层面流程层面工作底稿及相关方法论NK-EB了解、评价和测试业务层面内部控制采购业务- 附带编制说明.xls2013大华会计师事务所保留一切权利实

43、施审计-业务流程层面通过访谈，编制“了解底稿”，将业务流程细分为多个子流程；识别关键风险点，编制风险矩阵（记录底稿）。了解 底稿风险矩阵流程层面工作底稿及相关方法论了解底稿-销售业务2013大华会计师事务所保留一切权利实施审计-业务流程层面流程层面工作底稿及相关方法论了解底稿-销售业务对关键岗位访谈，摸清现状，全面了解业务流程；识别更新风险以及相应的控制措施。为进一步分析诊断做准备；2013大华会计师事务所保留一切权利实施审计-业务流程层面风险导向，对关键岗位访谈，摸清现状，全面了解业务流程，流程层面工作底稿及相关方法论了解底稿-人力资源2013大华会计师事务所保留一切权利识别并更新风险点调研

44、思路实施审计-业务流程层面流程层面工作底稿及相关方法论2013大华会计师事务所保留一切权利调研方法实施审计-业务流程层面流程层面工作底稿及相关方法论2013大华会计师事务所保留一切权利实施审计-业务流程层面流程层面工作底稿及相关方法论访谈人员的安排被访谈人员的安排访谈时间引导式访谈 访谈注意事项2013大华会计师事务所保留一切权利对于一个控制点，要描述出五个方面内容（5W）： Who 谁是该控制的执行者 When 控制在什么时间发生 Where 控制体现在什么地方 What 如何实施该控制 Why 该控制的目的例如：销售部经理（谁）每月末（什么时间）将本月实际销售收入与预算进行比较分析（如何实

45、施），并在分析报告上签字（什么地方），以确保当月销售收入无重大错误和遗漏（目的）。流程层面工作底稿及相关方法论实施审计-业务流程层面2013大华会计师事务所保留一切权利流程层面工作底稿及相关方法论举例实施审计-业务流程层面记录的详细程度?讲课所需人工及福利-V6-记录底稿.vsd2013大华会计师事务所保留一切权利风险矩阵底稿实施审计-业务流程层面NK-EF了解、评价和测试业务层面内部控制销售业务- 附带编制说明(案例).xls2013大华会计师事务所保留一切权利实施审计-业务流程层面子流程名称控制目标销售计划流程层面工作底稿及相关方法论2013大华会计师事务所保留一切权利实施审计-业务流程层

46、面末级流程（编号）控制目标1控制目标2控制目标3控制目标4风险1.1风险1.2风险1.3控制活动1.1a 控制活动1.1b流程层面工作底稿及相关方法论风险矩阵2013大华会计师事务所保留一切权利实施审计-业务流程层面子流程编号子流程名称控制目标编号控制目标风险编号风险描述风险种类是否关键风险S&R-FH发货27确保发出货物经过客户签收27.1发出货物未经过客户签收，导致风险无法转移运营是 28发出备品均有合同记录28.1发出备品无记录，导致法律、税务风险运营否流程层面工作底稿及相关方法论风险矩阵2013大华会计师事务所保留一切权利实施审计-业务流程层面控制活动编号企业控制活动S&R-CA-27

47、销售管理部商务助理发货时附上到货签收单或发货单，包括收货单位、收货地址、设备型号等，承运单位将货物运到后要求收货人在到货签收单上盖章或签字，并注明收货日期。公司在承运单位将有客户签字的到货签收单给回后才支付运费。销售管理部商务助理将每月签回的到货签收单或发货单连续按月连续编号并单独装订成册并交财务做核对数据之用。S&R-CA-28实际发货时均会有相应部分备品随货物发往客户，发给客户的备品在合同中有约定，在销货单中有反映。如果发货时出现货未发足，会及进给客户补足。出现部分产品质量问题，公司一般会补足。目前发货时，只有E-POS会有部分备品。流程层面工作底稿及相关方法论风险矩阵2013大华会计师事

48、务所保留一切权利实施审计-业务流程层面发生频率流程负责部门岗位控制类型控制形式涉及信息系统是否关键控制每月销售管理部商务助理、财务部预防手工否是 不定时销售管理部商务助理预防手工否否流程层面工作底稿及相关方法论风险矩阵2013大华会计师事务所保留一切权利实施审计-业务流程层面文件索引内控涉及的穿行测试文件穿行测试步骤穿行测试结果S&R-D-15到货签收单1、获取到货签收单，查看内容是否与销售合同一致。2、查看是否经签收。通过S&R-D-08销售合同1、获取销售合同，查看是否有备品记录。通过流程层面工作底稿及相关方法论风险矩阵2013大华会计师事务所保留一切权利实施审计-业务流程层面是否进行控制

49、测试控制测试编号是否存在缺陷缺陷编号缺陷描述缺陷属性缺陷类别是S&R-GL-T-03否N/AN/AN/AN/A否N/A否N/AN/AN/AN/A流程层面工作底稿及相关方法论风险矩阵2013大华会计师事务所保留一切权利实施审计-业务流程层面子流程编号子流程名称控制目标编号控制目标风险编号风险描述风险种类是否关键风险S&R-FH发货27确保发出货物经过客户签收27.1发出货物未经过客户签收，导致风险无法转移运营是 28发出备品均有合同记录28.1发出备品无记录，导致法律、税务风险运营否流程层面工作底稿及相关方法论风险矩阵2013大华会计师事务所保留一切权利实施审计-业务流程层面流程层面工作底稿及相

50、关方法论风险矩阵控制目标： 针对所发现的风险点最终要达到的控制标准。风险描述：风险是基于现有的内控系统无法防御、检查或更正与财务报表认定（如账户余额或交易分类）相关的重大的错报和漏报。以风险为导向，考虑“什么地方可能出错”，即风险与相关控制联系起来2013大华会计师事务所保留一切权利实施审计-业务流程层面控制活动/控制措施：控制 一种可以减轻企业风险的活动好的内部控制能：有效地传递企业的宗旨、目标和目的规范员工权责范围适当和高效率地运用企业资源遵循法律与规章制度 - 合法、守法地经营准确地评估业绩与提供反馈信息保护资产的安全性与完整性流程层面工作底稿及相关方法论风险矩阵2013大华会计师事务所

51、保留一切权利政策-为了达成公司的长远发展，公司应向那个方面走？ 程序-使政策实际化，以达到政策的要求与规定 政策与程序你的审批意味着什么？ 检查文件资料的准确性及适当性同意资料上所述事务你的同意是有根据的专人复核相关的资料 承担完全的责任 审批 实施审计-业务流程层面流程层面工作底稿及相关方法论控制活动举例2013大华会计师事务所保留一切权利例如：档案上锁安全系统 / 警铃 资料数据库的安全 保安人员 员工身份证 机器上的标识隐型录相机 资产实物的安全实施审计-业务流程层面流程层面工作底稿及相关方法论控制活动举例2013大华会计师事务所保留一切权利相互制约的控制， 以减少出错，逾越控制的情况；

52、不能由同一人发原，授权，签发，记录一宗交易； 不能由同一人保管，记录资产；定期轮换职责 ，在日常运作中的主要控制点应有高层管理者的参与或由公司以外的人员作出审查。职务分离实施审计-业务流程层面流程层面工作底稿及相关方法论控制活动举例2013大华会计师事务所保留一切权利验证方法测试方法检查证据法穿行测试法实质性测试实地观察法实施审计-业务流程层面流程层面工作底稿及相关方法论2013大华会计师事务所保留一切权利实施审计-业务流程层面控制活动是否确保相关认定能够防范风险实现控制目标？ 证明控制活动设计有效性流程层面工作底稿及相关方法论穿行测试穿行测试以确定内控的真实性。评估现有内控在设计上能否确保会

53、计报表重要账户、相关认定、控制措施有否缺漏和控制措施能否达到预期的控制目标。每个主要的流程都会进行穿行测试。进行穿行测试时，测试者需从交易的发起开始，经过公司的有关信息系统等，到反映在公司的财务报告为止。穿行性测试所取得的样本将留做今后测试阶段阶段的凭据。2013大华会计师事务所保留一切权利客户订单（合同）赊销信用出库单/发货凭证销售发票记录销售销售退回、折扣和折让记录收款业务坏账处理接受订单 销售单批准仓库供货装运货物向顾客开具帐单 一系列凭证或账簿实施审计-业务流程层面流程层面工作底稿及相关方法论穿行测试示例2013大华会计师事务所保留一切权利实施审计-业务流程层面 手工操作不由计算机系统

54、执行的，而被人执行的控制程序不依赖计算机系统生成的信息例如:人工的签署采购订单 自动化自动化是指由计算机执行的内控程序例如: 在销售时，对超出信用额度的客户，销售订单会被糸统自动冻结。流程层面工作底稿及相关方法论风险矩阵2013大华会计师事务所保留一切权利实施审计-业务流程层面流程层面工作底稿及相关方法论风险矩阵预防性控制发现性控制发生于差错出现之前正常情况下适用于单笔交易例: 电脑系统中设置的权限划分，只有有权限的人员才能在系统中进行特定操作发生于差错出现之后正常情况下适用于多笔交易例: 通过编制银行余额调节表来发现未达帐项的性质，进行分析其合理性2013大华会计师事务所保留一切权利实施审计

55、-业务流程层面流程层面工作底稿及相关方法论风险矩阵NK-EQ了解、评价和测试业务层面内部控制财务报告- 附带编制说明(案例).xls2013大华会计师事务所保留一切权利实施审计-业务流程层面 关键控制点关键控制是规避风险、实现控制目标的最有影响的一个或多个控制。关键控制的失效将直接导致不能及时防止或发现财务报表的错报或漏报。关键控制对财务报表具有深入的影响，对达到财务报表认定直接相联系。典型的关键控制有： 职责分离、系统与数据的接触限制、变更控制（即对所有变更都有相应的控制，确保变更得到授权且准确；变更后有人复核）、物理安全、授权批准、输入控制（对于输入者的授权，输入数据的复核等）、审阅等等。

56、流程层面工作底稿及相关方法论风险矩阵2013大华会计师事务所保留一切权利实施审计-业务流程层面风险矩阵测试底稿通过判断控制活动是否为关键控制点，执行细节测试，发现执行缺陷。流程层面工作底稿及相关方法论2013大华会计师事务所保留一切权利实施审计-业务流程层面流程层面控制测试阶段2013大华会计师事务所保留一切权利实施审计-业务流程层面子流程编号子流程名称控制目标编号控制目标风险编号风险描述风险种类是否关键风险控制活动编号企业控制活动控制频率控制负责人控制类型控制形式涉及信息系统是否关键控制S&R-JL记录应收账款33销售货物交易均已记录于适当期间33.1销售交易记录跨期合规是S&R-CA-33

57、每月，财务部应收会计根据发货单和到货签收单，开具发票并编制记账凭证。对于需要安装验收的，则暂时计入发出商品，待客户安装完成验收合格后，再开票结转收入。每月财务部应收会计预防手工是流程层面工作底稿及相关方法论测试底稿流程层面工作底稿及相关方法论2013大华会计师事务所保留一切权利NK-EM了解、评价和测试业务层面内部控制主要业务活动（末级）流程编号及名称控制目标编号控制目标风险点编号风险描述控制点编号常用控制活动控制方式是否关键控制点薪酬流程 HR-XC薪酬核算及发放流程 HR-XC-11薪酬福利的计算和发放真实、准确1.3计提工资（包括工资、奖金、补贴、福利、保险等）或者折扣项没有经过适当审批

58、HR-XC-CA-08财务部经理和会计主管核算系统中的记账凭证及纸质凭证，主要是复核月度工资汇总表、工资汇总表的数据和记账凭证数据是否相符,财务部经理和会计主管在纸制凭证上加盖个人名章。手工是HR-XC-T-01实施审计-业务流程层面流程层面工作底稿及相关方法论测试底稿2013大华会计师事务所保留一切权利实施审计-业务流程层面编号与风险矩阵中的一致，相互索引。流程层面工作底稿及相关方法论测试底稿2013大华会计师事务所保留一切权利公司名称：XXXX股份有限公司表格名称：项目内部控制测试表流程名称: G财务报告流程子流程名称：G4合并财务报表被调查部门：股份公司财务部部门负责人：股份公司财务部部

59、长涉及信息系统：会计核算与管理系统、会计报表子系统测试日期：2011/11/9G4/d报表审核会计及财务部长主要审核合并报表调整分录汇总表、合并报表抵销工作底稿、抵销事项是否符合会计制度及准则要求，抵销分录是否完整、正确，审核无误后签字。G4/h根据合并报表抵销工作底稿完成合并财务报表的编制，并交报表审核会计及财务部长审核，审核时关注合并财务报表的金额是否与经审核的合并报表抵销工作底稿一致，审核无误后分别在合并财务报表上盖名章并报监事会、董事会审核。测试样本来源归档在股份公司财务部的2011年的合并报表调整分录汇总表、合并报表抵销工作底稿。控制发生频率每季测试样本数量2测试程序：A)获取样本合

60、并报表调整分录汇总表，检查是否有报表审核会计及财务部部长的审核签字。B)检查样本合并报表抵销工作底稿是否经报表审核会计及财务部部长签字。C)检查合并报表抵销工作底稿中的调整分录是否与合并报表调整分录汇总表一致。D)检查合并财务报表各项金额是否与合并报表抵销工作底稿一致。E)检查抵销事项是否符合会计制度及准则要求。F)检查抵销分录是否完整、正确。备注：无序号合并报表调整分录汇总表、合并报表抵销工作底稿ABCDEFG4/dG4/h备注样本期间单位名称1第二季度XX股份有限公司通过通过2第三季度XX股份有限公司通过通过关键控制措施：在风险矩阵中为“关键控制点”，针对关键控制点进行控制测试通过访谈、观