整合审计计划编制及控制测试实施课件

整合审计计划编制

及控制测试实施

整合审计计划编制1内容概要:一、内部控制审计与财务报表审计整合的依据二、计划审计工作的主要方面三、整合审计计划四、企业层面内部控制的测试五、业务流程层面内部控制的测试六、信息技术控制测试七、内部控制审计与财务报表审计的区别内容概要:一、内部控制审计与财务报表审计整合的依据2一、内部控制审计与财务报表审计整合的依据内部控制审计和财务报表审计之间存在多方面的共同点，例如：（一）两者的终极目的一致。虽然各有侧重，但终极目的都是提高财务报表预期使用者对财务报表的信赖程度。（二）两者都采用风险导向审计方法。注册会计师首先实施风险评估程序，识别和评估财务报表重大错报风险（包括由于舞弊导致的重大错报风险），在此基础上，针对评估的重大错报风险，通过设计和实施恰当的应对措施，获取充分、适当的审计证据。一、内部控制审计与财务报表审计整合的依据内部控制审计3一、内部控制审计与财务报表审计整合的依据（三）两者运用的重要性水平相同。注册会计师在财务报表审计中运用重要性水平，旨在计划和执行财务报表审计工作，评价识别出的错报对审计的影响以及未更正错报对财务报表和审计意见的影响，以对财务报表整体是否不存在重大错报获取合理保证；注册会计师在内部控制审计中运用重要性水平，旨在计划和执行内部控制审计工作，评价识别出的内部控制缺陷单独或组合起来是否构成内部控制重大缺陷，以对被审计单位是否在所有重大方面保持了有效的内部控制获取合理保证。由于内部控制的目标是合理保证财务报告及相关信息的真实、完整，因此对于同一财务报表，在两种审计中运用的重要性水平应当相同。一、内部控制审计与财务报表审计整合的依据（三）两者运用的重要4一、内部控制审计与财务报表审计整合的依据（四）两者识别的重要账户、列报及其相关认定相同。注册会计师在识别重要账户、列报及其相关认定时应当评价的重大错报风险因素对于内部控制审计和财务报表审计而言是相同的，因此对于同一财务报表，在两种审计中识别的重要账户、列报及其相关认定应当相同。（五）两者了解和测试内部控制设计和运行有效性的基本方法相同，都可能实施询问、观察、检查以及重新执行等程序。一、内部控制审计与财务报表审计整合的依据（四）两者识别的重要5二、计划审计工作的主要方面（一）初步业务活动（二）计划审计工作考虑的事项（三）重要性（四）风险评估（五）应对舞弊风险（六）利用他人的工作二、计划审计工作的主要方面（一）初步业务活动6二、计划审计工作的主要方面（一）初步业务活动业务接受或保持前提条件独立性和胜任能力审计业务约定书二、计划审计工作的主要方面（一）初步业务活动7二、计划审计工作的主要方面（二）计划审计工作考虑的事项与企业相关的风险相关法律法规和行业概况企业组织结构、经营特点和资本结构等与企业沟通过的内部控制缺陷重要性、风险等与确定内部控制重大缺陷相关的因素对内部控制有效性的初步判断可获取的、与内部控制有效性相关的证据的类型和范围二、计划审计工作的主要方面（二）计划审计工作考虑的事项8二、计划审计工作的主要方面（三）重要性财务报表审计的重要性概念和作用重大错报风险内部控制审计的重要性重大缺陷二、计划审计工作的主要方面（三）重要性9二、计划审计工作的主要方面（四）风险评估重大错报风险评估重大缺陷风险评估重要账户、列报及其相关认定二、计划审计工作的主要方面（四）风险评估10二、计划审计工作的主要方面（五）应对舞弊风险重大非常规交易财务报告流程的分录和调整关联方管理层的重大估计减弱舞弊动机和压力二、计划审计工作的主要方面（五）应对舞弊风险11二、计划审计工作的主要方面（六）利用他人的工作独立性胜任能力风险的影响内部控制自我评价与内部控制审计的关系企业层面控制的特别规定二、计划审计工作的主要方面（六）利用他人的工作12三、整合审计计划实现整合审计的目标效率和效果三、整合审计计划实现整合审计的目标13三、整合审计计划了解内部控制评估重大错报风险了解被审计单位的行业状况、法律环境与监管环境以及其他外部因素性质对会计政策的选择和运用目标、战略以及相关经营风险财务业绩的衡量和评价控制环境；被审计单位的风险评估过程信息系统与沟通控制活动对控制的监督财务报表层次认定层次（各类交易、账户余额、列报（包括披露）实施风险评估程序了解被审计单位及其环境(不包括内部控制)财务报表审计中了解内部控制在

评估重大错报风险中的方位三、整合审计计划了解内部控制评估重大错报风险了解被审计单位的14三、整合审计计划财务报表审计中控制测试在应对评估的

重大错报风险中的方位应对评估的重大错报风险财务报表层次认定层次：根据评估的风险确定拟实施的进一步审计程序的性质、时间和范围控制测试认定层次实质性程序三、整合审计计划财务报表审计中控制测试在应对评估的

重大错报15三、整合审计计划从财务报表层次初步了解内部控制整体风险识别、了解和测试企业层面控制识别重要账户、列报及其相关认定了解潜在错报的来源并识别相应的控制选择拟测试的控制内部控制审计中的自上而下的方法三、整合审计计划从财务报表层次初步了解内部控制整体风险识别、16整合审计流程图接受或保持业务了解被审计单位的行业状况、法律环境与监管环境以及其他外部因素了解被审计单位的性质了解被审计单位对会计政策的选择和运用了解被审计单位目标、战略以及相关经营风险了解被审计单位财务业绩的衡量和评价实施实质性程序实施其他审计程序、评价内部控制缺陷对内部控制有效性发表意见对财务报表发表意见采用自上而下的方法了解和测试内部控制整合审计流程图接受或保持业务了解被审计单位的行业状况、法律环17三、整合审计计划如何制定整合审计计划？重要性重大错报风险（固有风险）的评估重要账户、列报及其相关认定内部控制测试控制缺陷评价三、整合审计计划如何制定整合审计计划？18三、整合审计计划如何制定整合的审计计划？项目组的整合工作底稿的整合三、整合审计计划19三、整合审计计划在财务报表审计的基础上…初步业务活动同时考虑两种业务重要账户、列报及相关认定企业层面和业务流程层面内部控制进一步审计程序的总体方案测试内部控制有效性时间安排和间隔范围（样本规模）三、整合审计计划在财务报表审计的基础上…20四、企业层面内部控制的测试

自上而下的方法是注册会计师识别风险、选择拟测试控制的基本思路。注册会计师在实施审计工作时，可以将企业层面控制和业务层面控制的测试结合进行。从财务报表层次初步了解内部控制整体风险识别、了解和测试企业层面控制识别重要账户、列报及其相关认定了解潜在错报的来源并识别相应的控制选择拟测试的控制四、企业层面内部控制的测试自上而下的方法是注册会计师21四、企业层面内部控制的测试财务报表审计-注册会计师应当了解与审计相关的内部控制。-在了解与审计相关的控制时，注册会计师应当综合运用询问被审计单位内部人员和其他程序，以评价这些控制的设计并确定其是否得到执行。内部控制审计注册会计师应当识别、了解和测试对内部控制有效性有重要影响的企业层面控制。对企业层面控制的考虑--与财务报表审计的比较四、企业层面内部控制的测试财务报表审计-注册会计师应当了解22四、企业层面内部控制的测试控制的设计和运行有效性控制设计的有效性：如果某项控制由拥有有效执行控制所需的授权和专业胜任能力的人员按规定的程序和要求执行，能够实现控制目标，从而有效地防止或发现并纠正可能导致财务报表发生重大错报的错误或舞弊，则表明该项控制的设计是有效的。综合运用询问适当人员、观察经营活动和检查相关文件等程序。控制运行的有效性：如果某项控制正在按照设计运行、执行人员拥有有效执行控制所需的授权和专业胜任能力，能够实现控制目标，则表明该项控制的运行是有效的。综合运用询问适当人员、观察经营活动、检查相关文件以及重新执行等程序。四、企业层面内部控制的测试控制的设计和运行有效性控制设计的有23四、企业层面内部控制的测试企业层面控制管理层业务流程|销售IT相关（信息技术一般控制）业务流程|XX业务流程|XX业务流程|XX企业层面控制业务流程|XX业务流程|XX业务层面控制业务流程|采购企业层面控制是指那些确保管理层设在公司内部各个领域、各个业务层面的控制机制得以有效运转的机制。四、企业层面内部控制的测试企业层面控制管理层业IT相关（信息24四、企业层面内部控制的测试测试控制的设计和运行询问观察检查重新执行询问本身不能为得出控制是否有效的结论提供充分、适当的审计证据。时间安排：由于对企业层面控制的评价结果将影响注册会计师测试其他控制的性质、时间安排和范围，注册会计师可以考虑在执行业务的早期阶段对企业层面控制进行测试。人员安排：在识别、了解和测试企业层面控制时，注册会计师不得利用他人的工作。四、企业层面内部控制的测试测试控制的设计和运行询问观察检查重25四、企业层面内部控制的测试测试控制的设计和运行（续）范围：采用检查或重新执行程序时，测试人工控制的最小样本规模参照下表：如果注册会计师不能确定控制运行频率，但知道控制运行总次数，仍可根据“控制运行总次数”一列确定测试的最小样本规模注册会计师应当根据与控制相关的风险，基于最小样本量区间确定具体的样本规模上表假设控制的运行偏差率预期为零。如果预期偏差率不为零，注册会计师应当扩大样本规模。对某些类型的控制（如有关职责分离的控制）或执行与书面证据无关的其他程序通常不适用上述样本量。四、企业层面内部控制的测试测试控制的设计和运行（续）范围：采26四、企业层面内部控制的测试企业层面内部控制的内容3.被审计单位的风险评估过程1.与控制环境（即内部环境）相关的控制2.针对管理层和治理层凌驾于控制之上的风险而设计的控制5.对控制有效性的内部监督（即监督其他控制的控制）和内部控制评价4.对内部信息传递和期末财务报告流程的控制四、企业层面内部控制的测试企业层面内部控制的内容3.被审计27四、企业层面内部控制的测试与控制环境（即内部环境）相关的控制控制环境包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和行动。控制环境设定了被审计单位的内部控制基调，影响员工的内部控制意识。在了解和测试控制环境时，注册会计师需要考虑的方面主要包括：

管理层的理念和经营风格是否促进了有效的财务报告内部控制管理层在治理层的监督下，是否营造并保持了诚信守信和合乎道德的文化治理层是否了解并监督财务报告过程和内部控制四、企业层面内部控制的测试与控制环境（即内部环境）相关的控制28四、企业层面内部控制的测试针对管理层和治理层凌驾于控制之上的风险而设计的控制针对管理层和治理层凌驾于控制之上的风险而设计的控制针对重大的非常规交易的控制，尤其是针对导致会计处理延迟或异常的交易的控制针对关联方交易的控制与管理层的重大估计相关的控制能够减弱管理层和治理层伪造或不恰当操纵财务结果的动机和压力的控制四、企业层面内部控制的测试针对管理层和治理层凌驾于控制之上的29四、企业层面内部控制的测试被审计单位的风险评估过程被审计单位就风险评估过程建立的相关控制，包括：管理层如何识别与编制财务报表相关的经营风险（包括舞弊风险、持续经营风险及管理层凌驾于控制之上的风险），并评估这些风险的重要性和发生的可能性评估频率管理层采取哪些措施以及如何管理风险管理层如何就其对舞弊风险的识别和应对过程与审计委员会沟通有关重要经营控制和风险管理措施的政策识别和评估可能存在的违反法律法规行为（包括非法行为）的政策和程序四、企业层面内部控制的测试被审计单位的风险评估过程被审计单位30四、企业层面内部控制的测试对信息传递和期末财务报告流程的控制信息与沟通被审计单位如何沟通与财务报告相关的人员的角色和职责以及财务报告相关的重大事项，包括管理层与治理层（特别是审计委员会）之间的沟通被审计单位就如何进行外部沟通（如与监管机构的沟通）建立的相关控制四、企业层面内部控制的测试对信息传递和期末财务报告流程的控制31四、企业层面内部控制的测试对控制有效性的内部监督（即监督其他控制的控制）和内部控制评价对控制有效性的内部监督和内部控制评价可以在企业层面实施，也可以在业务流程层面上实施例如：监督经营成果的控制集中化的处理和控制（包括共享的服务环境）对运行报告的复核和核对内部审计对发现缺陷及时沟通和整改四、企业层面内部控制的测试对控制有效性的内部监督（即监督其他32四、企业层面内部控制的测试企业层面控制评价结果的影响企业层面控制的评价结果可能影响注册会计师测试其他控制的性质、时间安排和范围：更有说服力的控制测试更多的控制测试样本量更接近于期末进行测试控制测试说服力降低最小或较小的控制测试样本量期中时执行较多测试程序

有效的企业层面内部控制无效的企业层面内部控制四、企业层面内部控制的测试企业层面控制评价结果的影响企业层33五、业务流程层面内部控制的测试注册会计师应当针对每一相关认定获取控制有效性的审计证据，以便对财务报表内部控制整体的有效性发表意见。注册会计师应当对控制是否足以应对评估的每个相关认定的错报风险形成结论。因此，注册会计师应当选择对形成这一评价结论具有重要影响的控制进行测试。

--《企业内部控制审计实施意见》选择拟测试的控制五、业务流程层面内部控制的测试注册会计师应当针对每一相关认定34五、业务流程层面内部控制的测试关键控制：单独或连同其他控制可以有效应对评估的认定层次的重大错报风险，并且可以测试的控制。每个重要账户的相关认定至少应当有一个对应的关键控制。一项控制可能应对评估的多项相关认定的错报风险。选择拟测试的控制五、业务流程层面内部控制的测试关键控制：单独或连同其他控制35五、业务流程层面内部控制的测试与控制相关的风险根据与控制相关的风险，确定所需获取的审计证据。影响与控制相关的风险的因素（1）该项控制拟防止或发现并纠正的错报的性质和重要程度；（2）相关账户、列报及其认定的固有风险；（3）交易的数量和性质是否发生变化，进而可能对该项控制设计或运行的有效性产生不利影响；（4）相关账户或列报是否曾经出现错报；（5）企业层面控制（特别是监督其他控制的控制）的有效性；（6）该项控制的性质及其执行频率；五、业务流程层面内部控制的测试与控制相关的风险根据与控制相关36五、业务流程层面内部控制的测试与控制相关的风险（7）该项控制对其他控制（如控制环境或信息技术一般控制）有效性的依赖程度；（8）执行该项控制或监督该项控制执行的人员的专业胜任能力，以及其中的关键人员是否发生变化；（9）该项控制是人工控制还是自动化控制；

（10）该项控制的复杂程度，以及在运行过程中依赖判断的程度。连续审计时的考虑:（1）以前年度审计中所实施程序的性质、时间安排和范围；（2）以前年度对控制的测试结果以及以前年度发现的缺陷是否得以整改；（3）上次审计之后，控制或其运行所处的流程是否发生变化。五、业务流程层面内部控制的测试与控制相关的风险（7）该项控制37五、业务流程层面内部控制的测试控制测试的性质低度保证 高度保证

询问观察 检查重新执行询问本身不足以为控制运行的有效性提供充分的审计证据。五、业务流程层面内部控制的测试控制测试的性质低度保证 38五、业务流程层面内部控制的测试控制测试的性质是否需要在所有流程/账户的控制测试中实施重新执行程序？如所需保证较低，是否可能仅通过实施穿行测试对控制设计和运行的有效性获得充分证据？是否有可能在某一年审计中不测试关键控制？五、业务流程层面内部控制的测试控制测试的性质是否需要在所有流39五、业务流程层面内部控制的测试控制测试的时间安排控制测试的时间安排：测试日与基准日的接近程度及更新测试。风险较低 风险较高测试时间更早

接近基准日通常不需要测试基准日当天的控制五、业务流程层面内部控制的测试控制测试的时间安排控制测试的时40五、业务流程层面内部控制的测试是否预留足够的时间以便被审计单位对存在重大缺陷的内部控制进行整改？控制运行频率整改后控制运行的最短期间或最少运行次数每季度1次2个季度每月1次2个月每周1次5周每天1次20天每天多次25次（分布于涵盖多天的期间，通常不少于15天）控制测试的时间安排五、业务流程层面内部控制的测试是否预留足够的时间以便被审计单41五、业务流程层面内部控制的测试测试全年的控制的两种方法假设：测试每日执行数次的控制，样本量为60；期中测试1月到8月方法一：期中测试40个，期末对剩余期间测试20个方法二：期中测试60个，期末实施前推程序控制测试的时间安排五、业务流程层面内部控制的测试测试全年的控制的两种方法控制测42五、业务流程层面内部控制的测试在确定测试范围时，考虑:需要获得的保证程度对控制环境的评估结果拟获取的审计证据的相关性和可靠性控制累积程度预期偏差控制测试的范围五、业务流程层面内部控制的测试在确定测试范围时，考虑:控制测43五、业务流程层面内部控制的测试测试人工控制的样本量注：对不定期执行但可以获知其执行总次数的控制，可对照该列确定样本量。五、业务流程层面内部控制的测试测试人工控制的样本量注：对不定44五、业务流程层面内部控制的测试案例五、业务流程层面内部控制的测试案例45六、信息技术控制测试信息系统控制的内容六、信息技术控制测试信息系统控制的内容46六、信息技术控制测试信息技术一般控制与财务报表认定的关系六、信息技术控制测试信息技术一般控制与财务报表认定的关系47六、信息技术控制测试信息技术一般控制如果计算机环境发现了信息技术一般控制的缺陷，则会影响系统整体的可信程度。例如：√程序变更控制缺陷可能导致未授权人员对检查录入数据字段格式的编程逻辑进行修改，导致系统接受不准确的录入数据√与安全和访问权限相关的控制缺陷可能导致数据录入不恰当地绕过合理性检查，而该合理性检查在其他方面将使系统无法处理金额超过最大容差范围的支付操作六、信息技术控制测试信息技术一般控制如果计算机环境发48六、信息技术控制测试什么时候必须测试信息技术一般控制？•有自动复杂计算功能的系统•系统技术落后，供应商已不在提供支持服务•没有被广泛应用的新兴技术•客户自行开发软件，或者对市场常规软件有重大修改的软件•企业资源规划系统(ERP)•系统与系统间存在大量自定义的接口•处理大量交易的系统•为一个复杂企业处理的系统•复杂的信息技术设施六、信息技术控制测试什么时候必须测试信息技术一般控制？•有49六、信息技术控制测试信息技术一般控制的特定风险•依赖不能正确处理数据或者处理出来的数据不正确的系统或者程序•未经授权的数据访问会导致数据损坏或者被不正当的修改，包括未经授权地记录不存在的交易或者不正确的交易•未经授权修改主数据库中的数据•未经授权修改系统或者程序•未能对系统或程序进行必要的修改•不恰当的人为干预•丢失数据的可能性六、信息技术控制测试信息技术一般控制的特定风险•依赖不能正50六、信息技术控制测试测试信息技术一般控制–性质、时间、范围性质：•询问、观察、检查、重新执行；•也有审阅系统参数设置时间：安排在应用系统控制测试之前范围：运用职业判断确定测试范围六、信息技术控制测试测试信息技术一般控制–性质、时间、范51六、信息技术控制测试自动化应用控制•测试一个样本就足够了，但是要覆盖自动化控制中涉及的一系列属性•如果信赖自动化应用控制,需要测试信息技术一般控制并得到满意的结果•我们需要理解和审计针对管理层凌驾于控制之上风险而设计的控制六、信息技术控制测试自动化应用控制•测试一个样本就足够了，52六、信息技术控制测试测试自动化应用控制六、信息技术控制测试测试自动化应用控制53七、内部控制审计与财务报表审计的区别（一）对内部控制进行了解和测试的目的不同（二）测试内部控制运行有效性的范围要求不同（三）内部控制测试的期间要求不同（四）对控制缺陷的评价和沟通要求不同（五）审计报告的形式和内容以及所包括的意见类型不同七、内部控制审计与财务报表审计的区别（一）对内部控制进行了解54七、内部控制审计与财务报表审计的区别（一）对内部控制进行了解和测试的目的不同注册会计师在财务报表审计中了解和测试内部控制，是为了识别、评估和应对重大错报风险，据此确定实质性程序的性质、时间安排和范围，并获取与财务报表是否在所有重大方面按照适用的财务报告编制基础编制相关的审计证据，以支持对财务报表发表的审计意见；注册会计师在内部控制审计中了解和测试内部控制，是为了对内部控制的有效性发表审计意见。七、内部控制审计与财务报表审计的区别（一）对内部控制进行了解55七、内部控制审计与财务报表审计的区别（二）测试内部控制运行有效性的范围要求不同在财务报表审计中，针对评估的认定层次重大错报风险，注册会计师可能选择采用实质性方案或综合性方案。如果采用实质性方案，注册会计师可以不测试内部控制的运行有效性；如果采用综合性方案，注册会计师综合运用控制测试和实质性程序，因而需要测试内部控制的运行有效性。在内部控制审计中，注册会计师应当针对所有重要账户和列报的每一个相关认定获取控制设计和运行有效性的审计证据，以便对内部控制整体的有效性发表审计意见。七、内部控制审计与财务报表审计的区别（二）测试内部控制运行有56七、内部控制审计与财务报表审计的区别（三）内部控制测试的期间要求不同在财务报表审计中，针对评估的认定层次重大错报风险，如果注册会计师选择综合性方案，需要获取内部控制在整个拟信赖期间运行有效的审计证据，而在内部控制审计中，注册会计师对于基准日的内部控制运行有效性发表意见，则仅需要对内部控制在基准日前足够长的时间（可能短于整个审计期间）内的运行有效性获取审计证据。七、内部控制审计与财务报表审计的区别（三）内部控制测试的期间57七、内部控制审计与财务报表审计的区别（四）对控制缺陷的评价和沟通要求不同在内控审计中，对于重大缺陷和重要缺陷，注册会计师应当以书面形式与管理层和治理层沟通，书面沟通应在注册会计师出具内部控制审计报告前进行；如果注册会计师认为审计委员会和内部审计机构对内部控制的监督无效，应当就此以书面形式直接与董事会沟通。此外，注册会计师应当以书面形式与管理层沟通其在审计过程中识别的所有其他内部控制缺陷（包括注意到的非财务报告内部控制缺陷），并在沟通完成后告知治理层。七、内部控制审计与财务报表审计的区别（四）对控制缺陷的评价和58七、内部控制审计与财务报表审计的区别（五）审计报告的形式和内容以及所包括的意见类型不同内部控制审计报告不存在保留意见的意见类型，如果内部控制存在一项或多项重大缺陷，除非审计范围受到限制，注册会计师应当对内部控制发表否定意见；如果审计范围受到限制，注册会计师应当解除业务约定或出具无法表示意见的内部控制审计报告。七、内部控制审计与财务报表审计的区别（五）审计报告的形式和内59参考资料《企业内部控制基本规范》《企业内部控制应用指引》《企业内部控制审计指引》《企业内部控制审计指引实施意见》

中国注册会计师执业准则及其指南参考资料《企业内部控制基本规范》60谢谢！谢谢！61

整合审计计划编制

及控制测试实施

整合审计计划编制62内容概要:一、内部控制审计与财务报表审计整合的依据二、计划审计工作的主要方面三、整合审计计划四、企业层面内部控制的测试五、业务流程层面内部控制的测试六、信息技术控制测试七、内部控制审计与财务报表审计的区别内容概要:一、内部控制审计与财务报表审计整合的依据63一、内部控制审计与财务报表审计整合的依据内部控制审计和财务报表审计之间存在多方面的共同点，例如：（一）两者的终极目的一致。虽然各有侧重，但终极目的都是提高财务报表预期使用者对财务报表的信赖程度。（二）两者都采用风险导向审计方法。注册会计师首先实施风险评估程序，识别和评估财务报表重大错报风险（包括由于舞弊导致的重大错报风险），在此基础上，针对评估的重大错报风险，通过设计和实施恰当的应对措施，获取充分、适当的审计证据。一、内部控制审计与财务报表审计整合的依据内部控制审计64一、内部控制审计与财务报表审计整合的依据（三）两者运用的重要性水平相同。注册会计师在财务报表审计中运用重要性水平，旨在计划和执行财务报表审计工作，评价识别出的错报对审计的影响以及未更正错报对财务报表和审计意见的影响，以对财务报表整体是否不存在重大错报获取合理保证；注册会计师在内部控制审计中运用重要性水平，旨在计划和执行内部控制审计工作，评价识别出的内部控制缺陷单独或组合起来是否构成内部控制重大缺陷，以对被审计单位是否在所有重大方面保持了有效的内部控制获取合理保证。由于内部控制的目标是合理保证财务报告及相关信息的真实、完整，因此对于同一财务报表，在两种审计中运用的重要性水平应当相同。一、内部控制审计与财务报表审计整合的依据（三）两者运用的重要65一、内部控制审计与财务报表审计整合的依据（四）两者识别的重要账户、列报及其相关认定相同。注册会计师在识别重要账户、列报及其相关认定时应当评价的重大错报风险因素对于内部控制审计和财务报表审计而言是相同的，因此对于同一财务报表，在两种审计中识别的重要账户、列报及其相关认定应当相同。（五）两者了解和测试内部控制设计和运行有效性的基本方法相同，都可能实施询问、观察、检查以及重新执行等程序。一、内部控制审计与财务报表审计整合的依据（四）两者识别的重要66二、计划审计工作的主要方面（一）初步业务活动（二）计划审计工作考虑的事项（三）重要性（四）风险评估（五）应对舞弊风险（六）利用他人的工作二、计划审计工作的主要方面（一）初步业务活动67二、计划审计工作的主要方面（一）初步业务活动业务接受或保持前提条件独立性和胜任能力审计业务约定书二、计划审计工作的主要方面（一）初步业务活动68二、计划审计工作的主要方面（二）计划审计工作考虑的事项与企业相关的风险相关法律法规和行业概况企业组织结构、经营特点和资本结构等与企业沟通过的内部控制缺陷重要性、风险等与确定内部控制重大缺陷相关的因素对内部控制有效性的初步判断可获取的、与内部控制有效性相关的证据的类型和范围二、计划审计工作的主要方面（二）计划审计工作考虑的事项69二、计划审计工作的主要方面（三）重要性财务报表审计的重要性概念和作用重大错报风险内部控制审计的重要性重大缺陷二、计划审计工作的主要方面（三）重要性70二、计划审计工作的主要方面（四）风险评估重大错报风险评估重大缺陷风险评估重要账户、列报及其相关认定二、计划审计工作的主要方面（四）风险评估71二、计划审计工作的主要方面（五）应对舞弊风险重大非常规交易财务报告流程的分录和调整关联方管理层的重大估计减弱舞弊动机和压力二、计划审计工作的主要方面（五）应对舞弊风险72二、计划审计工作的主要方面（六）利用他人的工作独立性胜任能力风险的影响内部控制自我评价与内部控制审计的关系企业层面控制的特别规定二、计划审计工作的主要方面（六）利用他人的工作73三、整合审计计划实现整合审计的目标效率和效果三、整合审计计划实现整合审计的目标74三、整合审计计划了解内部控制评估重大错报风险了解被审计单位的行业状况、法律环境与监管环境以及其他外部因素性质对会计政策的选择和运用目标、战略以及相关经营风险财务业绩的衡量和评价控制环境；被审计单位的风险评估过程信息系统与沟通控制活动对控制的监督财务报表层次认定层次（各类交易、账户余额、列报（包括披露）实施风险评估程序了解被审计单位及其环境(不包括内部控制)财务报表审计中了解内部控制在

评估重大错报风险中的方位三、整合审计计划了解内部控制评估重大错报风险了解被审计单位的75三、整合审计计划财务报表审计中控制测试在应对评估的

重大错报风险中的方位应对评估的重大错报风险财务报表层次认定层次：根据评估的风险确定拟实施的进一步审计程序的性质、时间和范围控制测试认定层次实质性程序三、整合审计计划财务报表审计中控制测试在应对评估的

重大错报76三、整合审计计划从财务报表层次初步了解内部控制整体风险识别、了解和测试企业层面控制识别重要账户、列报及其相关认定了解潜在错报的来源并识别相应的控制选择拟测试的控制内部控制审计中的自上而下的方法三、整合审计计划从财务报表层次初步了解内部控制整体风险识别、77整合审计流程图接受或保持业务了解被审计单位的行业状况、法律环境与监管环境以及其他外部因素了解被审计单位的性质了解被审计单位对会计政策的选择和运用了解被审计单位目标、战略以及相关经营风险了解被审计单位财务业绩的衡量和评价实施实质性程序实施其他审计程序、评价内部控制缺陷对内部控制有效性发表意见对财务报表发表意见采用自上而下的方法了解和测试内部控制整合审计流程图接受或保持业务了解被审计单位的行业状况、法律环78三、整合审计计划如何制定整合审计计划？重要性重大错报风险（固有风险）的评估重要账户、列报及其相关认定内部控制测试控制缺陷评价三、整合审计计划如何制定整合审计计划？79三、整合审计计划如何制定整合的审计计划？项目组的整合工作底稿的整合三、整合审计计划80三、整合审计计划在财务报表审计的基础上…初步业务活动同时考虑两种业务重要账户、列报及相关认定企业层面和业务流程层面内部控制进一步审计程序的总体方案测试内部控制有效性时间安排和间隔范围（样本规模）三、整合审计计划在财务报表审计的基础上…81四、企业层面内部控制的测试

自上而下的方法是注册会计师识别风险、选择拟测试控制的基本思路。注册会计师在实施审计工作时，可以将企业层面控制和业务层面控制的测试结合进行。从财务报表层次初步了解内部控制整体风险识别、了解和测试企业层面控制识别重要账户、列报及其相关认定了解潜在错报的来源并识别相应的控制选择拟测试的控制四、企业层面内部控制的测试自上而下的方法是注册会计师82四、企业层面内部控制的测试财务报表审计-注册会计师应当了解与审计相关的内部控制。-在了解与审计相关的控制时，注册会计师应当综合运用询问被审计单位内部人员和其他程序，以评价这些控制的设计并确定其是否得到执行。内部控制审计注册会计师应当识别、了解和测试对内部控制有效性有重要影响的企业层面控制。对企业层面控制的考虑--与财务报表审计的比较四、企业层面内部控制的测试财务报表审计-注册会计师应当了解83四、企业层面内部控制的测试控制的设计和运行有效性控制设计的有效性：如果某项控制由拥有有效执行控制所需的授权和专业胜任能力的人员按规定的程序和要求执行，能够实现控制目标，从而有效地防止或发现并纠正可能导致财务报表发生重大错报的错误或舞弊，则表明该项控制的设计是有效的。综合运用询问适当人员、观察经营活动和检查相关文件等程序。控制运行的有效性：如果某项控制正在按照设计运行、执行人员拥有有效执行控制所需的授权和专业胜任能力，能够实现控制目标，则表明该项控制的运行是有效的。综合运用询问适当人员、观察经营活动、检查相关文件以及重新执行等程序。四、企业层面内部控制的测试控制的设计和运行有效性控制设计的有84四、企业层面内部控制的测试企业层面控制管理层业务流程|销售IT相关（信息技术一般控制）业务流程|XX业务流程|XX业务流程|XX企业层面控制业务流程|XX业务流程|XX业务层面控制业务流程|采购企业层面控制是指那些确保管理层设在公司内部各个领域、各个业务层面的控制机制得以有效运转的机制。四、企业层面内部控制的测试企业层面控制管理层业IT相关（信息85四、企业层面内部控制的测试测试控制的设计和运行询问观察检查重新执行询问本身不能为得出控制是否有效的结论提供充分、适当的审计证据。时间安排：由于对企业层面控制的评价结果将影响注册会计师测试其他控制的性质、时间安排和范围，注册会计师可以考虑在执行业务的早期阶段对企业层面控制进行测试。人员安排：在识别、了解和测试企业层面控制时，注册会计师不得利用他人的工作。四、企业层面内部控制的测试测试控制的设计和运行询问观察检查重86四、企业层面内部控制的测试测试控制的设计和运行（续）范围：采用检查或重新执行程序时，测试人工控制的最小样本规模参照下表：如果注册会计师不能确定控制运行频率，但知道控制运行总次数，仍可根据“控制运行总次数”一列确定测试的最小样本规模注册会计师应当根据与控制相关的风险，基于最小样本量区间确定具体的样本规模上表假设控制的运行偏差率预期为零。如果预期偏差率不为零，注册会计师应当扩大样本规模。对某些类型的控制（如有关职责分离的控制）或执行与书面证据无关的其他程序通常不适用上述样本量。四、企业层面内部控制的测试测试控制的设计和运行（续）范围：采87四、企业层面内部控制的测试企业层面内部控制的内容3.被审计单位的风险评估过程1.与控制环境（即内部环境）相关的控制2.针对管理层和治理层凌驾于控制之上的风险而设计的控制5.对控制有效性的内部监督（即监督其他控制的控制）和内部控制评价4.对内部信息传递和期末财务报告流程的控制四、企业层面内部控制的测试企业层面内部控制的内容3.被审计88四、企业层面内部控制的测试与控制环境（即内部环境）相关的控制控制环境包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和行动。控制环境设定了被审计单位的内部控制基调，影响员工的内部控制意识。在了解和测试控制环境时，注册会计师需要考虑的方面主要包括：

管理层的理念和经营风格是否促进了有效的财务报告内部控制管理层在治理层的监督下，是否营造并保持了诚信守信和合乎道德的文化治理层是否了解并监督财务报告过程和内部控制四、企业层面内部控制的测试与控制环境（即内部环境）相关的控制89四、企业层面内部控制的测试针对管理层和治理层凌驾于控制之上的风险而设计的控制针对管理层和治理层凌驾于控制之上的风险而设计的控制针对重大的非常规交易的控制，尤其是针对导致会计处理延迟或异常的交易的控制针对关联方交易的控制与管理层的重大估计相关的控制能够减弱管理层和治理层伪造或不恰当操纵财务结果的动机和压力的控制四、企业层面内部控制的测试针对管理层和治理层凌驾于控制之上的90四、企业层面内部控制的测试被审计单位的风险评估过程被审计单位就风险评估过程建立的相关控制，包括：管理层如何识别与编制财务报表相关的经营风险（包括舞弊风险、持续经营风险及管理层凌驾于控制之上的风险），并评估这些风险的重要性和发生的可能性评估频率管理层采取哪些措施以及如何管理风险管理层如何就其对舞弊风险的识别和应对过程与审计委员会沟通有关重要经营控制和风险管理措施的政策识别和评估可能存在的违反法律法规行为（包括非法行为）的政策和程序四、企业层面内部控制的测试被审计单位的风险评估过程被审计单位91四、企业层面内部控制的测试对信息传递和期末财务报告流程的控制信息与沟通被审计单位如何沟通与财务报告相关的人员的角色和职责以及财务报告相关的重大事项，包括管理层与治理层（特别是审计委员会）之间的沟通被审计单位就如何进行外部沟通（如与监管机构的沟通）建立的相关控制四、企业层面内部控制的测试对信息传递和期末财务报告流程的控制92四、企业层面内部控制的测试对控制有效性的内部监督（即监督其他控制的控制）和内部控制评价对控制有效性的内部监督和内部控制评价可以在企业层面实施，也可以在业务流程层面上实施例如：监督经营成果的控制集中化的处理和控制（包括共享的服务环境）对运行报告的复核和核对内部审计对发现缺陷及时沟通和整改四、企业层面内部控制的测试对控制有效性的内部监督（即监督其他93四、企业层面内部控制的测试企业层面控制评价结果的影响企业层面控制的评价结果可能影响注册会计师测试其他控制的性质、时间安排和范围：更有说服力的控制测试更多的控制测试样本量更接近于期末进行测试控制测试说服力降低最小或较小的控制测试样本量期中时执行较多测试程序

有效的企业层面内部控制无效的企业层面内部控制四、企业层面内部控制的测试企业层面控制评价结果的影响企业层94五、业务流程层面内部控制的测试注册会计师应当针对每一相关认定获取控制有效性的审计证据，以便对财务报表内部控制整体的有效性发表意见。注册会计师应当对控制是否足以应对评估的每个相关认定的错报风险形成结论。因此，注册会计师应当选择对形成这一评价结论具有重要影响的控制进行测试。

--《企业内部控制审计实施意见》选择拟测试的控制五、业务流程层面内部控制的测试注册会计师应当针对每一相关认定95五、业务流程层面内部控制的测试关键控制：单独或连同其他控制可以有效应对评估的认定层次的重大错报风险，并且可以测试的控制。每个重要账户的相关认定至少应当有一个对应的关键控制。一项控制可能应对评估的多项相关认定的错报风险。选择拟测试的控制五、业务流程层面内部控制的测试关键控制：单独或连同其他控制96五、业务流程层面内部控制的测试与控制相关的风险根据与控制相关的风险，确定所需获取的审计证据。影响与控制相关的风险的因素（1）该项控制拟防止或发现并纠正的错报的性质和重要程度；（2）相关账户、列报及其认定的固有风险；（3）交易的数量和性质是否发生变化，进而可能对该项控制设计或运行的有效性产生不利影响；（4）相关账户或列报是否曾经出现错报；（5）企业层面控制（特别是监督其他控制的控制）的有效性；（6）该项控制的性质及其执行频率；五、业务流程层面内部控制的测试与控制相关的风险根据与控制相关97五、业务流程层面内部控制的测试与控制相关的风险（7）该项控制对其他控制（如控制环境或信息技术一般控制）有效性的依赖程度；（8）执行该项控制或监督该项控制执行的人员的专业胜任能力，以及其中的关键人员是否发生变化；（9）该项控制是人工控制还是自动化控制；

（10）该项控制的复杂程度，以及在运行过程中依赖判断的程度。连续审计时的考虑:（1）以前年度审计中所实施程序的性质、时间安排和范围；（2）以前年度对控制的测试结果以及以前年度发现的缺陷是否得以整改；（3）上次审计之后，控制或其运行所处的流程是否发生变化。五、业务流程层面内部控制的测试与控制相关的风险（7）该项控制98五、业务流程层面内部控制的测试控制测试的性质低度保证 高度保证

询问观察 检查重新执行询问本身不足以为控制运行的有效性提供充分的审计证据。五、业务流程层面内部控制的测试控制测试的性质低度保证 99五、业务流程层面内部控制的测试控制测试的性质是否需要在所有流程/账户的控制测试中实施重新执行程序？如所需保证较低，是否可能仅通过实施穿行测试对控制设计和运行的有效性获得充分证据？是否有可能在某一年审计中不测试关键控制？五、业务流程层面内部控制的测试控制测试的性质是否需要在所有流100五、业务流程层面内部控制的测试控制测试的时间安排控制测试的时间安排：测试日与基准日的接近程度及更新测试。风险较低 风险较高测试时间更早

接近基准日通常不需要测试基准日当天的控制五、业务流程层面内部控制的测试控制测试的时间安排控制测试的时101五、业务流程层面内部控制的测试是否预留足够的时间以便被审计单位对存在重大缺陷的内部控制进行整改？控制运行频率整改后控制运行的最短期间或最少运行次数每季度1次2个季度每月1次2个月每周1次5周每天1次20天每天多次25次（分布于涵盖多天的期间，通常不少于15天）控制测试的时间安排五、业务流程层面内部控制的测试是否预留足够的时间以便被审计单102五、业务流程层面内部控制的测试测试全年的控制的两种方法假设：测试每日执行数次的控制，样本量为60；期中测试1月到8月方法一：期中测试40个，期末对剩余期间测试20个方法二：期中测试60个，期末实施前推程序控制测试的时间安排五、业务流程层面内部控制的测试测试全年的控制的两种方法控制测103五、业务流程层面内部控制的测试在确定测试范围时，考虑:需要获得的保证程度对控制环境的评估结果拟获取的审计证据的相关性和可靠性控制累积程度预期偏差控制测试的范围五、业务流程层面内部控制的测试在确定测试范围时，考虑:控制测104五、业务流程层面内部控制的测试测试人工控制的样本量注：对不定期执行但可以获知其执行总次数的控制，可对照该列确定样本量。五、业务流程层面内部控制的测试测试人工控制的样本量注：对不定105五、业务流程层面内部控制的测试案例五、业务流程层面内部控制的测试案例106六、信息技术控制测试信息系统控制的内容六、信息技术控制测试信息系统控制的内容107六、信息技术控制测试信息技术一般控制与财务报表认定的关系六、信息技术控制测试信息技术一般控制与财务报表认定的关系108六、信息技术控制测试信息技术一般控制如果计算机环境发现了信息技术一般控制的缺陷，则会影响系统整体的可信程度。例如：√程序变更控制缺陷可能导致未授权人员对检查录入数据字段格式的编程逻辑进行修改，导致系统接受不准确的录入数据√与安全和访问权限相关的控制缺陷可能导致数据录入不恰当地绕过合理性检查，而该合理性检查在其他方面将使系统无法处理金额超过最大容差范围的支付操作六、信息技术控制测试信息技术一般控制如果计算机环境发109六、信息技术控制测试什么时候必须测试信息技术一般控制？•有自动复杂计算功能的系统•系统技术落后，供应商已不在提供支持服务•没有被广泛应用的新兴技术•客户自行开发软件，或者对市场常规软件有重大修改的软件•企业资源规划系统(ERP)•系统与系统间存在大量自定义的接口•处理大量交易的系统•为一个复杂企业处理的系统•复杂的信息技术设施六、信息技术控制测