2200了解和评价被审计单位整体层面内部控制（2021更新）

2200了解和评价被审计单位整体层面内部控制—内部控制环境了解和评价被审计单位整体层面内部控制被审计单位：索引号：2200页次：编制人：日期：财务报表截止日/期间：复核人：日期：项目合伙人：日期：编制说明：1、项目合伙人须复核并批准本表，以表明其认可关于控制环境及其他企业整体控制要素对我们的审计策略有何影响的结论。根据本表格中记载的证据，项目合伙人应签署本表格以证明其已作出批准。2、当项目组确定一家上市企业的控制环境不能对旨在预防或检查和更正重大错报的控制提供足够的支持时，应向技术部咨询。3、总体说明：在审计计划过程中，对企业整体控制进行了解是非常重要的。这种了解有助于我们识别和评估由舞弊和错误导致的重大错报风险，也有助于拟定最合适的审计策略。我们可以通过以下方式来了解企业整体控制：询问企业的管理层，询问企业内部的那些我们判断可能掌握有助于我们识别重大错报风险信息的其他人员、观察日常业务中流程和控制的运作情况，并视情况检查文件记录。本表格主要用于审计计划阶段。然而，在审计全过程中通过实施审计程序而获得的证据也有助于我们加深对企业整体控制的了解。根据在审计过程中实施的审计程序的结果和发现的新信息，我们会持续地修改和更新我们对企业整体控制的了解。当获得与企业整体控制相关的新信息时，我们应确定该信息对以下三方面的影响：企业整体控制、对舞弊和错误导致的重大错报风险的评估、审计策略。然后，我们相应更新记录（例如：预审结束后会议或者审计项目总结阶段）。下面的表格描述了我们通常预期的内部控制的五大组成部分分别属于企业整体内部控制和与交易/过程层面相关的内部控制的程度。本表格有助于我们对在本所技术指引《了解企业整体的内部控制》中所探讨的企业整体控制(即控制环境、风险评估流程、监督和沟通）进行记录。对“信息系统”和“控制活动”这两个要素的记录则分别在技术指引《了解被审计单位的业务》和《了解重大交易类别和重大披露流程》中提及。应当由具有充分经验且了解被审计企业的项目组成员来了解企业整体控制并确定其对我们的审计程序的影响。4、关于附录本表格的附录提供了根据《企业内部控制应用指引》中与企业整体层面内部控制相关的部分，即第1～5号《组织架构》、《发展战略》、《人力资源》、《社会责任》、《企业文化》，而设计的企业整体层面内部控制评价表和问卷，以便为执行内部控制审计业务的项目组提供更多的指引和提示。对于执行内部控制审计业务（含整合审计）的项目组而言，应当完成本模板，而把附录中的评价表和问卷作为执行企业整体内部控制了解和评价程序的参考和提示。换言之，在内部控制审计业务中，本模板的完成是强制性的，但附录中的评价表和问卷是参考性的。一、对控制环境的了解我们需要了解“控制环境”这一组成部分及其相关要素，并获取这些要素运行情况的证据。控制环境是内部控制中其他所有组成部分的基础，可反映管理层、治理层和所有者对待控制重要性的总体态度、认识和行为，及其在决定企业政策、程序和组织结构时对控制的关注程度。控制环境为一个组织机构设定了基调，可提供规范和架构，并影响其成员的控制意识，还可对发生虚假财务报告和侵占资产的可能性产生重大的影响。控制环境包括管理层对待企业财务报表中所包含的会计估计、判断和披露的态度，及最终对待其财务报告理念的态度，它是任何控制运行的背景。了解企业控制环境是我们审计程序中的一个重要部分，将有助于我们识别可能对交易处理中的重大错报风险和管理层在编制财务报表时作出的判断中的重大错报风险具有普遍影响的因素。因此，控制环境是确定我们的总体审计策略时需加以考虑的一项关键因素。我们了解了下列控制环境要素及它们之间的关系：详见技术指引《了解、测试和评价企业整体内部控制》相关内容：主要管理人员的诚信、道德价值观和行为管理层的控制意识和经营风格管理层对胜任能力的承诺治理层参与管理和监控组织结构和权限及责任的分配人力资源政策和实务我们应考虑本表格中所列出的各个控制环境要素的典型特征。管理层实施的在控制环境要素中的控制或流程的种类和正式程度会随企业的性质、规模和复杂程度而变；然而，如果控制环境有助于防止或发现以及纠正重大错报，则我们通常认为这些特征会出现在企业的控制环境中，即使是以非正式的方式出现。本表格中所列的特征并非涵盖一切，所以我们认为企业可能会出现本表格未提及的特征。1、关键管理人员的诚信、道德价值观和行为以下是我们可能会观察到的与关键管理人员的诚信、道德价值观和行为相关的典型特征：企业已经向员工宣传员工守则或者等同于员工守则的政策，并对其执行情况进行监督。企业文化强调诚信和合乎道德行为的重要性。高级管理人员以最高标准要求自己并以身作则。企业进行相关沟通促进政策和文化得到一致的宣传。管理层对员工违反已批准的政策和程序或员工守则的行为进行了适当的处理。企业实施了适当程序，例如新业务承接程序、利益冲突程序和保密措施，并在整个企业内部对这些政策进行了充分沟通。管理层设有舞弊热线，并对其进行监督和适当回应。企业建立了举报政策以及相关的举报热线或道德热线，并在企业内部进行了相关的沟通，还包括投诉处理程序和可疑会计或审计问题的保密举报制度。描述对管理层如何建立和保持重视诚信和合乎道德行为的文化的观察结果：在考虑企业的性质、规模和复杂程度的基础上，描述那些我们没发现但预期应当存在的与关键管理人员的诚信、道德价值观和行为相关的特征。2、管理层的控制意识和经营风格以下是我们可能会观察到的关于管理层的控制意识和经营风格的典型特征：管理层对内部控制予以足够的重视，包括信息技术控制。管理层会及时纠正他们所发现的内部控制缺陷。管理层在选择会计政策和做出会计估计时倾向于采取保守态度。对于重大的会计和财务报告问题，管理层会向我们咨询。在考虑管理层的控制意识和经营风格的特征的基础上，描述我们对管理层控制意识和经营风格的观察结果：在考虑企业的性质、规模和复杂程度的基础上，描述我们未发现但预期应当存在的与管理层控制意识和经营风格有关的特征。3、管理层对胜任能力的承诺以下是我们可能会观察到的关于管理层对胜任能力的重视的典型特征：企业会计、财务和IT部门人员具备足够的胜任能力并接受足够的培训，能根据企业的性质和复杂程度处理业务。管理层设有其他流程来解决有关会计、审计、IT或内部控制问题的投诉。企业设有程序和政策，使人员、系统以及控制与企业组织架构变化及业务增长同步发展。描述关于管理层对胜任能力的重视的观察结果：在考虑企业的性质、规模和复杂程度的基础上，描述我们未发现但预期应当存在的与管理层对胜任能力的重视相关的特征：4、治理层参与管理和监督以下是我们可能会观察到的关于治理层参与管理与监督的典型特征：治理层对企业的对外财务报告和财务报告内部控制实施充分的监督治理层和内审及外部审计师之间有开放的沟通渠道，且沟通的性质和频率就企业的规模及复杂程度而言是适当的治理层具有足够的知识、经验和时间来有效地执行其职能根据企业规模和复杂程度，治理层与管理层保持适当的独立性。描述关于治理层参与管理和监督的观察结果：在考虑企业的性质、规模和复杂程度的基础上，描述我们未发现但预期应当存在的关于治理层参与管理和监督的特征：5、企业组织架构和职责分配以下是我们可能会观察到的关于企业组织架构和职责分配的典型特征：企业的组织架构适合于企业的性质、规模和复杂程度管理层向员工进行宣传，使其了解企业的经营目标、员工职责与该目标有何关系以及员工对这些目标的实现有何责任企业恰当地分配职责并确定上下级汇报关系企业存在成文的员工岗位描述、参考手册或者其他资料使员工知道其职责描述关于企业组织架构和职责分配的观察结果：在考虑企业的性质、规模和复杂程度的基础上，描述我们未发现但预期应当存在的关于企业组织架构和职责分配的特征：6、人力资源政策和实务以下是我们可能会观察到的关于企业人力资源政策和实务的典型特征：企业制定和实施了下列适当的人力资源标准和程序：员工的招聘、培训、激励、评价、升职、薪酬、调配以及辞退（尤其是那些涉及会计、财务和信息系统的员工）企业会定期评价和复核每位员工的工作业绩描述关于企业人力资源政策和实务的观察结果：在考虑企业的性质、规模和复杂程度的基础上，描述我们未发现但预期应当存在的关于企业人力资源政策和实务的特征：二、对风险评估过程的了解我们了解管理层风险评估程序，但并不要求我们更多详细了解评估程序要素。企业，无论其规模、结构、性质或者所处行业如何，均会遇到来自企业外部或内部的风险。企业风险评估过程旨在识别、分析并解决会影响企业经营目标实现的风险。风险评估过程的正式程度因企业的规模、复杂程度而异。对于比较复杂的企业来说，尤其是上市企业，我们认为这些企业应该有更正式的书面风险评估过程。小型企业、个人独资企业和(在有些情况下)小型上市企业（例如：处于起步阶段的上市企业）可能不存在正式或书面的风险评估过程。如需进一步的指引，请参见技术指引《了解、测试和评价企业整体内部控制》之“了解风险评估过程”的相关部分。请在下面记录对企业的风险评估过程中以下方面的了解：识别与财务报告相关的经营风险评价风险的重大程度评价风险发生的可能性确定应对风险的措施若企业未建立风险评估过程，或者存在不成文的风险评估过程，我们将询问管理层是否已识别出与财务报告目标相关的经营风险以及他们是如何应对这些风险的，并把其发现记录在下表。我们应考虑企业所识别的那些风险。如果这些风险可能导致财务报表发生重大错报，无论是在财务报表整体层面还是在重大账户或披露和认定层面，则我们考虑在工作底稿中记录这些风险。此方面的进一步要求和指引请参阅本所技术指引《了解、测试和评价企业整体内部控制》的第四部分“识别由企业整体层面内部控制导致的重大错报风险”。不恰当的风险评估过程根据以上记录的我们对企业风险评估过程的了解，若我们认为企业风险评估过程不适合于实际情况，则我们应：确定这是否表明企业内部控制存在重大缺陷或重要缺陷判断这是否会造成财务报表整体存在影响广泛的重大错报风险我们应根据企业的性质、规模和复杂程度，确定缺少书面的风险评估过程是否表明企业内部控制存在重大缺陷或重要缺陷。如需进一步的指引，请参见本所技术指引《了解、测试和评价企业整体内部控制》中与“了解风险评估过程”相关的部分。在下表中记录我们的发现和结论：当我们识别出企业的风险评估过程未能识别出的重大错报风险时，我们应执行的程序如果我们在审计计划过程中识别出一项重大错报风险，而我们认为企业的风险评估过程应识别出该风险而管理层却未能识别出该风险，则我们应当：了解企业的风险评估过程为何没有识别出该重大错报风险的原因根据企业存在的情况和所处的环境，评估企业风险评估程序是否适当判断这是否表明内部控制存在重大缺陷如需进一步的指引，请查看本所技术指引《了解、测试和评价企业整体内部控制》中与“了解风险评估过程”相关的内容。如果在填完本表格后我们发现了这种风险，我们可以在审计项目的结论和报告阶段的相关底稿中作相应记录（如需进一步的指引，请查看本所技术指引《结束和总结审计工作》中的第六部分“就企业的风险评估过程未能识别出的风险得出结论”。）三、对“对控制的监督”的了解我们了解作为内部控制组成部分的监督及其相关的要素，并获取该等要素运行的审计证据。我们应了解由管理层执行且受到治理层监督的，旨在监督内部控制的持续有效性的活动。我们认为我们可能会在企业的控制监督过程中发现以下典型特征：相关部门定期向管理层和治理层报告对企业内部控制的评估结果员工在执行日常职责的过程中会获取企业内部控制系统是否持续有效运行的证据企业实施相关政策和程序，以确保在控制出现例外情况时能及时采取纠正措施针对内部审计部门或者外部独立审计机构所报告的缺陷，管理层及时采取恰当的纠正措施审计委员会对企业的对外财务报告以及财务报告内部控制进行恰当监督由内部审计或其他部门定期对内部控制进行审核外部第三方所提供的企业内部控制相关报告(例如：金融服务监管报告、对企业治理的独立审核报告等）提到了内部控制哪些地方需要改进，管理层或治理层会对该报告进行复核。以上所列的特征并不全，我们应当考虑到企业可能会存在本表格未提及的特征。我们与管理层讨论企业监督活动所使用的信息来源，以及管理层相信在监督过程中可充分信任这些信息的依据。我们还与管理层讨论他们在控制监督过程中发现缺陷后所采取的措施。如需进一步的指引，请参见本所技术指引《了解、测试和评价企业整体内部控制》中与“了解对控制的监督”相关的内容。描述所观察到的管理层对于控制的监督以及项目组之间的讨论：在考虑企业的性质、规模和复杂程度的基础上，描述我们未发现但预期应当存在的关于企业控制监督的特征。四、内部审计部门职能如果企业设立内部审计（包括独立部门或专属职能），则我们应了解并评价：内部审计在被审计单位中的地位以及相关政策和程序是否足以支持内部审计人员的客观性，具体考虑以下内容：内部审计在被审计单位中的地位（包括内部审计的权限和问责机制）是否支持其职业判断避免因偏见、利益冲突或他人的不当影响而被凌驾的能力。例如，内部审计人员是否向治理层或具备适当权限的管理人员报告工作，或如果内部审计向管理层报告工作，是否能够直接接触治理层；内部审计承担的职责是否不存在相互冲突，如承担内部审计以外的管理或经营职责；治理层是否监督与内部审计相关的聘用决策，如决定适当的薪酬政策；管理层或治理层是否对内部审计施加任何约束或限制，如限制与注册会计师沟通内部审计发现的问题；内部审计人员是否为相关职业团体的会员并且该职业团体要求内部审计人员遵守与客观性相关的职业标准，或被审计单位的内部政策是否实现相同目标。内部审计人员的胜任能力，具体考虑以下内容：内部审计是否拥有与被审计单位规模和经营性质相适应的充分、适当的资源；是否制定了招聘、培训和工作分配方面的政策；内部审计人员是否经过充分的技术培训且精通审计业务。例如，注册会计师在进行评估时可以考虑的相关标准可能包括内部审计人员拥有的相关专业资格和经验；内部审计人员是否具备与被审计单位财务报告和适用的财务报告编制基础有关的必备知识，以及内部审计人员是否拥有必要的技能（如特定行业的知识）以执行与被审计单位财务报表相关的工作；内部审计人员是否为相关职业团体的会员，该职业团体要求内部审计人员遵守包括职业继续教育要求在内的相关职业标准。内部审计是否采用系统、规范化的方法，具体考虑以下内容：针对风险评估、工作计划、工作底稿、报告等领域，是否存在书面的内部审计程序或指引，以及这些书面内部审计程序或指引的适当性和使用情况（其性质和范围与被审计单位的规模和环境相适应）。内部审计是否有恰当的质量控制政策和程序。例如，《质量控制准则第5101号——会计师事务所对执行财务报表审计和审阅、其他鉴证和相关服务业务实施的质量控制》中规定的适用于内部审计的政策和程序（如与领导责任、人力资源、业务执行相关的政策和程序）或相关职业团体为内部审计人员制定的标准中提出的质量控制要求。这些职业团体还可能制定其他适当的要求，如定期进行外部质量评估。会计监管风险提示第4号（证监办发[2012]89号）特别要求：对于IPO项目，我们需要对审计委员会及内部审计部门是否切实履行职责进行尽职调查，并记录于审计工作底稿。描述对内部审计职能的了解：内部审计部门已进行或拟进行的审计活动是否与我们的审计相关(即，我们计划利用内部审计部门的工作，从而修改我们审计程序的性质、时间和范围）：如需进一步的指引，请参见本所技术指引《了解、测试和评价企业整体内部控制》中与了解内部审计职能相关的内容。五、我们对沟通过程的了解我们了解内部控制的“沟通”这一组成部分，但并不要求我们更多详细了解这一组成部分中的各相关要素。对于企业如何就财务报告方面的职责分工以及其他对财务报告具有重要影响的事项进行沟通，我们记录以下内容：管理层与治理层之间的沟通企业与外部的沟通，例如：与监管机构的沟通例如，我们考虑管理层如何与员工进行沟通，使员工了解各自在财务报告内部控制方面的角色和职责、其自身工作与其他员工之间的联系。企业可能通过政策指南、财务报告指南以及其他书面指引来实现这类沟通。我们还应该考虑是如何将控制失效和舞弊嫌疑报告给企业内部的恰当人员的。对于较简单的小型企业，由于财务报告涉及到的人员比较少并且管理层很容易观察到相关活动，因此相关沟通可能比较不正式。如需进一步的指引，请参见本所技术指引《了解、测试和评价企业整体内部控制》中与“了解沟通程序”相关的内容。描述对沟通流程的了解：六、底稿记录和结论我们应汇总我们的对控制环境和企业整体层面内部控制的其他组成部分的观察结果和结论，以确定对我们的重大错报风险评估的影响，以及确定我们的审计策略。在“了解企业整体控制”的相关底稿（包括本模板）中：对于控制环境如何能够或不能在预防或检查和更正重大错报方面发挥作用，我们总结了相