企业内部控制审计业务培训班业务流程层面内部控制测试的基本原理主讲人:孙晓悦企业内部控制审计业务培训班3主讲人简介孙晓悦,普华永道中天会计师事务所风险与质量管理部总监,曾任中国注册会计师协会访问研究员,参与制订《企业内部控制审计指引实施意见》及编写《企业内部控制审计工作底稿编制指南》。企业内部控制审计业务培训班3内容概要一、内部控制的有效性二、选取拟测试的控制三、控制测试的性质四、控制测试的时间安排五、控制测试的范围企业内部控制审计业务培训班内部控制的有效性控制设计的有效性如果某项控制由拥有有效执行控制所需的授权和专业胜任能力的人员按照规定的程序和要求执行,能够实现控制目标,从而有效防止或发现并纠正可能导致重大错报的错误和舞弊。控制运行的有效性控制按照设计运行,执行人员拥有必要授权和专业胜任能力,能够实现控制目标。4企业内部控制审计业务培训班内部控制的有效性控制设计的有效性控制和识别出的经营风险/审计风险的配合度控制是否能够实现控制目标控制的性质控制的频率执行控制的人员的知识和经验发现问题后采取的跟进措施职责分离信息的可靠性控制涵盖的期间5企业内部控制审计业务培训班内部控制的有效性有关控制运行有效性的审计证据包括:控制在所审计期间的相关时点是如何运行的控制是否得到一贯执行控制由谁以何种方式执行6企业内部控制审计业务培训班选取拟测试的控制注册会计师应当针对每一相关认定获取控制有效性的审计证据,以便对财务报表内部控制整体的有效性发表意见。注册会计师应当对控制是否足以应对评估的每个相关认定的错报风险形成结论。因此,注册会计师应当选择对形成这一评价结论具有重要影响的控制进行测试。--《企业内部控制审计实施意见》7企业内部控制审计业务培训班选取拟测试的控制关键控制:单独或连同其他控制可以有效应对评估的认定层次的重大错报风险,并且可以测试的控制。每个重要账户的相关认定至少应当有一个对应的关键控制。一项控制可能应对评估的多项相关认定的错报风险。8企业内部控制审计业务培训班XYZ公司图示9对重要账户,考虑…企业内部控制审计业务培训班XYZ公司图示(续)10固有风险对重要账户,考虑…管理层测试结果以往错误企业层面控制流程复杂程度企业内部控制审计业务培训班XYZ公司图示(续)11计价权利和义务发生/存在列报和披露对重要账户,考虑…管理层测试结果完整性以往错误企业层面控制固有风险流程复杂程度准确性截止企业内部控制审计业务培训班XYZ公司图示(续)12计价权利和义务发生/存在列报和披露对重要账户,考虑…管理层测试结果完整性以往错误企业层面控制固有风险流程复杂程度准确性截止=关键控制企业内部控制审计业务培训班XYZ公司图示(续)13计价权利和义务发生/存在列报和披露对重要账户,考虑…管理层测试结果完整性以往错误企业层面控制固有风险流程复杂程度准确性截止=关键控制调节企业内部控制审计业务培训班XYZ公司图示(续)14计价权利和义务发生/存在列报和披露对重要账户,考虑…管理层测试结果完整性以往错误企业层面控制固有风险流程复杂程度准确性截止=关键控制调节利用他人的工作企业内部控制审计业务培训班XYZ公司图示(续)15计价权利和义务发生/存在列报和披露对重要账户,考虑…管理层测试结果完整性以往错误企业层面控制固有风险流程复杂程度准确性截止=关键控制调节利用他人的工作穿行测试企业内部控制审计业务培训班与控制相关的风险•根据与控制相关的风险,确定所需获取的审计证据。•影响与控制相关的风险的因素(1)该项控制拟防止或发现并纠正的错报的性质和重要程度;(2)相关账户、列报及其认定的固有风险;(3)交易的数量和性质是否发生变化,进而可能对该项控制设计或运行的有效性产生不利影响;(4)相关账户或列报是否曾经出现错报;(5)企业层面控制(特别是监督其他控制的控制)的有效性;(6)该项控制的性质及其执行频率;16企业内部控制审计业务培训班与控制相关的风险(7)该项控制对其他控制(如控制环境或信息技术一般控制)有效性的依赖程度;(8)执行该项控制或监督该项控制执行的人员的专业胜任能力,以及其中的关键人员是否发生变化;(9)该项控制是人工控制还是自动化控制;(10)该项控制的复杂程度,以及在运行过程中依赖判断的程度。连续审计时的考虑:(1)以前年度审计中所实施程序的性质、时间安排和范围;(2)以前年度对控制的测试结果以及以前年度发现的缺陷是否得以整改;(3)上次审计之后,控制或其运行所处的流程是否发生变化。17企业内部控制审计业务培训班控制测试的性质低度保证高度保证询问观察检查重新执行18询问本身不足以为控制运行的有效性提供充分的审计证据企业内部控制审计业务培训班是否需要在所有流程/账户的控制测试中实施重新执行程序?如所需保证较低,是否可能仅通过实施穿行测试对控制设计和运行的有效性获得充分证据?是否有可能在某一年审计中不测试关键控制?控制测试的性质19企业内部控制审计业务培训班控制测试的时间安排:测试日与基准日的接近程度及更新测试。风险较低风险较高测试时间更早接近基准日控制测试的时间安排20通常不需要测试基准日当天的控制企业内部控制审计业务培训班是否预留足够的时间以便被审计单位对存在重大缺陷的内部控制进行整改?控制测试的时间安排21控制运行频率整改后控制运行的最短期间或最少运行次数每季度1次2个季度每月1次2个月每周1次5周每天1次20天每天多次25次(分布于涵盖多天的期间,通常不少于15天)企业内部控制审计业务培训班测试全年的控制的两种方法假设:测试每日执行数次的控制,样本量为60;期中测试1月到8月方法一:期中测试40个,期末对剩余期间测试20个方法二:期中测试60个,期末实施前推程序控制测试的时间安排22企业内部控制审计业务培训班关于控制在期中和基准日之间运行有效性的证据的性质和范围取决于多个因素,包括与控制相关的风险和管理层在自我评价中获得的证据。前推程序23基准日前测试的控制(包括与控制相关的风险和控制的性质)期中获取的关于控制运行有效性证据的充分性剩余期间的长度期中测试之后控制发生重大变化的可能性企业内部控制审计业务培训班在确定测试范围时,考虑:需要获得的保证程度对控制环境的评估结果拟获取的审计证据的相关性和可靠性控制累积程度预期偏差控制测试的范围24企业内部控制审计业务培训班测试人工控制的样本量25控制运行频率控制运行总次数(注)测试的最小样本量区间每年1次11每季度1次42每月1次122-5每周1次525-15每天1次25020-40每天多次大于250次25-60注:对不定期执行但可以获知其执行总次数的控制,可对照该列确定样本量。企业内部控制审计业务培训班XYZ公司图示(续)26计价权利和义务发生/存在列报和披露对重要账户,考虑…管理层测试结果完整性以往错误企业层面控制固有风险流程复杂程度准确性截止=关键控制调节利用他人的工作穿行测试企业内部控制审计业务培训班发现的控制偏差是否是系统性偏差?该控制是否具有高度的主观性,复杂性或涉及判断?偏差是否导致了重大错报?偏差是否显示较高的舞弊风险?偏差是否与其他控制有关联?控制测试中发现了偏差......27企业内部控制审计业务培训班三种可能:(1)得出结论:存在控制缺陷(2)得出结论:控制是有效的(3)扩大样本量以确定控制是否有效控制测试中发现了偏差......28企业内部控制审计业务培训班对或错?#129当注册会计师测试与高风险账户相关的关键控制的运行有效性时,应当对这些关键控制实施重新执行程序。企业内部控制审计业务培训班对或错?#230注册会计师可以仅通过询问完成对某个关键控制的前推程序。企业内部控制审计业务培训班对或错?#331假设注册会计师认为收入是高风险账户,仍可以将收入流程中的某个控制或财务报表认定确定为低风险。企业内部控制审计业务培训班对或错?#432注册会计师可以对关键控制实施轮流测试,至少每三年测试一次。企业内部控制审计业务培训班内部控制测试33一、内部控制的有效性二、选取拟测试的控制三、控制测试的性质四、控制测试的时间安排五、控制测试的范围一、内部控制的有效性二、选取拟测试的控制三、控制测试的性质四、控制测试的时间安排五、控制测试的范围职业判断企业内部控制审计业务培训班了解业务流程及内部控制销售流程工作底稿举例.34企业内部控制审计业务培训班实施穿行测试销售流程工作底稿举例.35企业内部控制审计业务培训班业务流程控制测试汇总表销售流程工作底稿举例.36企业内部控制审计业务培训班控制测试工作底稿(1)销售流程工作底稿举例.37企业内部控制审计业务培训班控制测试工作底稿(2)销售流程工作底稿举例.38企业内部控制审计业务培训班控制测试工作底稿(3)销售流程工作底稿举例.39企业内部控制审计业务培训班控制测试工作底稿(4)销售流程工作底稿举例.40企业内部控制审计业务培训班谢谢!41