企业层面控制的测试

中国注册会计师协会企业内部控制审计业务培训班企业层面控制的测试中国注册会计师协会企业内部控制审计业务培训班参考资料•《企业内部控制基本规范》(“基本规范”)•《企业内部控制应用指引》(“应用指引”)•《企业内部控制审计指引》(“审计指引”)•《企业内部控制审计指引实施意见》(“实施意见”)•中国注册会计师执业准则及其指南2中国注册会计师协会企业内部控制审计业务培训班主要内容一、自上而下的审计方法二、识别、了解和测试企业层面控制三、企业层面控制的精确度及对审计的影响3中国注册会计师协会企业内部控制审计业务培训班一、自上而下的审计方法中国注册会计师协会企业内部控制审计业务培训班自上而下的审计方法从财务报表层次初步了解内部控制整体风险识别、了解和测试企业层面控制识别重要账户、列报及其相关认定了解潜在错报的来源并识别相应的控制选择拟测试的控制实施意见第三(一)部分5中国注册会计师协会企业内部控制审计业务培训班6自上而下的审计方法（续）•自上而下的方法是注册会计师识别风险、选择拟测试控制的基本思路•注册会计师在实施审计工作时，可以将企业层面控制和业务层面控制的测试结合进行审计指引第10条中国注册会计师协会企业内部控制审计业务培训班对企业层面控制的考虑--与财务报表审计的比较-注册会计师应当了解与审计相关的内部控制。-在了解与审计相关的控制时，注册会计师应当综合运用询问被审计单位内部人员和其他程序，以评价这些控制的设计并确定其是否得到执行。财务报表审计内部控制审计注册会计师应当识别、了解和测试对内部控制有效性有重要影响的企业层面控制。7实施意见第三(二)部分审计准则第1211号第15条&16条7中国注册会计师协会企业内部控制审计业务培训班二、识别、了解和测试企业层面控制中国注册会计师协会企业内部控制审计业务培训班9企业层面控制内部控制体系的分类（按管理流程）企业层面控制是指那些确保管理层设在公司内部各个领域、各个业务层面的控制机制得以有效运转的机制。管理层业务流程|人力IT相关（信息技术一般控制）业务流程|资产业务流程|XX业务流程|XX企业层面控制业务流程|XX业务流程|XX流程层面控制业务流程|财务9中国注册会计师协会企业内部控制审计业务培训班企业层面控制的内容对控制有效性的内部监督（即监督其他控制的控制）和内部控制评价与控制环境（即内部环境）相关的控制针对管理层和治理层凌驾于控制之上的风险而设计的控制被审计单位的风险评估过程对内部信息传递和期末财务报告流程的控制企业层面控制10实施意见第三(二))部分中国注册会计师协会企业内部控制审计业务培训班•测试控制设计的有效性：综合运用询问适当人员、观察经营活动和检查相关文件等程序•测试控制运行的有效性：综合运用询问适当人员、观察经营活动、检查相关文件以及重新执行等程序•时间安排：由于对企业层面控制的评价结果将影响注册会计师测试其他控制的性质、时间安排和范围，注册会计师可以考虑在执行业务的早期阶段对企业层面控制进行测试11测试控制的设计和运行实施意见第三(九)至(十一)部分中国注册会计师协会企业内部控制审计业务培训班测试控制的设计和运行（续）•性质：询问本身不能为得出控制是否有效的结论提供充分、适当的审计证据实施意见第三(九)部分询问观察检查重新执行12中国注册会计师协会企业内部控制审计业务培训班测试控制的设计和运行（续）控制运行频率控制运行总次数测试的最小样本量区间每年1次11每季1次42每月1次122—5每周1次525—15每天1次25020—40每天多次大于250次25—60范围：采用检查或重新执行程序时，测试人工控制的最小样本规模参照下表：如果注册会计师不能确定控制运行频率，但知道控制运行总次数，仍可根据“控制运行总次数”一列确定测试的最小样本规模注册会计师应当根据与控制相关的风险，基于最小样本量区间确定具体的样本规模上表假设控制的运行偏差率预期为零。如果预期偏差率不为零，注册会计师应当扩大样本规模。实施意见第三(十二)部分13中国注册会计师协会企业内部控制审计业务培训班1.与控制环境（即内部环境）相关的控制•控制环境包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和行动•控制环境设定了被审计单位的内部控制基调，影响员工的内部控制意识•在了解和测试控制环境时，注册会计师需要考虑的方面主要包括：管理层的理念和经营风格是否促进了有效的财务报告内部控制管理层在治理层的监督下，是否营造并保持了诚信守信和合乎道德的文化治理层是否了解并监督财务报告过程和内部控制审计准则第1211号第17条&指南第69条14中国注册会计师协会企业内部控制审计业务培训班1.与控制环境（即内部环境）相关的控制•控制环境的要素：1.1管理层的理念和经营风格组织结构职权与责任的分配对胜任能力的重视人力资源政策与实务1.2对诚信和道德价值观念的沟通和落实1.3治理层的参与程度审计准则第1211号指南第70条15中国注册会计师协会企业内部控制审计业务培训班1.1管理层的理念和经营风格相关要素考虑因素组织结构•被审计单位为实现目标而计划、执行、控制及评价其活动的框架，被审计单位组织结构是否恰当部分取决于被审计单位的规模和经营活动的性质职权与责任的分配•管理层是否定义职权和责任的关键范围，并建立适当的重要职员报告途径•管理层是否有适当的控制以管理重要职能（如信息技术，财务和内部审计）的员工离职，如对离职的原因进行分析等•管理层是否将业务授权以及业务执行的责任有效地分离，并且是否已针对授权交易建立适当的政策和程序16中国注册会计师协会企业内部控制审计业务培训班171.1管理层的理念和经营风格(续)相关要素考虑因素对胜任能力的重视•管理层是否分析一些特定岗位所承担的职责所必需的知识和技能(例如，如果被审计单位从事大量套期交易活动，则需要聘用一些熟悉套期会计的财务人员)•管理层是否运用正式或非正式的职位描述去定义特定职责所需执行的任务人力资源政策与实务•被审计单位的人力资源部门是否制定适当的招聘（包括对一些重要员工的背景调查）、培训、考核、晋升、薪酬奖励（包括高层管理者奖励）、内部调动和辞退员工政策•管理层是否做出适当行动以应对违反公司政策和程序的行为，同时与员工沟通并监控员工对公司政策的正确执行中国注册会计师协会企业内部控制审计业务培训班1.2对诚信和道德价值观念的沟通和落实•控制的有效性受负责创建、管理和监控内部控制的人员的诚信和道德价值观的影响•注册会计师在了解和测试此部分控制的有效性时可以考虑但不限于以下因素：被审计单位是否有书面的行为规范并且有监督各级别员工贯彻执行行为规范的控制被审计单位是否对新员工入职时进行职业操守培训，以及是否要求员工签署行为规范声明书等管理层是否对违反相关行为规范的行为采取适当的措施管理层是否有使得激励员工与设定不切实际业绩目标之间得以平衡的控制审计准则第1211号附录118中国注册会计师协会企业内部控制审计业务培训班1.3治理层的参与程度•被审计单位治理层（例如：董事会、监事会等）通常通过其自身的活动，并在审计委员会或类似机构的支持下，监督被审计单位的财务报告政策和程序。被审计单位的控制意识在很大程度上受治理层的影响。•注册会计师在了解和测试此部分控制有效性时可以考虑但不限于以下因素：董事会、审计委员会成员是否独立于管理层，有明确的相关职责，了解并且具备适当的条件去执行那些职责。注册会计师可以对审计委员会成员的背景进行了解，并获得他们执行相关职责的证据董事会、审计委员会是否与注册会计师进行适当的互动并定期沟通，并对注册会计师提出的问题作出反馈治理层是否充分参与了监督编制财务报告的过程董事会、审计委员会是否评估在有效监管下管理层凌驾于内部控制之上的风险19中国注册会计师协会企业内部控制审计业务培训班1.与控制环境（即内部环境）相关的控制--示例要点内部控制控制描述•当需要招聘人员时，由拟聘用该人员的部门拟定招聘计划（包括岗位具体职责、教育背景等任职条件及工作经验要求等），经部门负责人、人力资源部负责人和总经理批准后，由人力资源部负责招聘。•应聘人员提交的资料首先由人力资源部经理负责进行背景调查（包括但不限于联络推荐人，获取资格/专业证书复印件等），通过背景调查的人员由人力资源部负责人和相关部门负责人负责面试，其聘用需经人力资源部负责人和相关部门负责人共同批准。重要管理层岗位（包括部门负责人、承担重要财务报告职责的人员等）的任命还需总经理批准。•被聘用的人员需与企业签订标准的劳动合同。标准劳动合同模板由法律合规部和人力资源部共同拟定，包含了工资、雇佣期限、试用期、保密要求等关键劳动合同条款。20中国注册会计师协会企业内部控制审计业务培训班1.与控制环境（即内部环境）相关的控制--示例(续)要点测试程序控制特点•人工控制•截至9月执行期中测试时约新聘员工300人，视为每天多次的人工控制•与控制相关的风险较低（根据实施意见所列因素综合判断）•人力资源部负责人具有多年人力资源管理经验、各部门负责人均具有行业经验，了解本部门所需人员的能力要求测试控制的设计•询问人力资源部负责人企业的聘用流程•查阅一位新聘用员工的档案资料，检查其招聘计划是否经过相关部门负责人、人力资源部负责人和总经理的审批；人力资源部是否已对其进行背景调查；该员工的聘用是否经适当人员批准；是否已签订标准的劳动合同测试控制的运行中期：•查阅当年度入职的25名员工的档案资料，确定其招聘计划是否经部门负责人、人力资源部负责人和总经理审批；人力资源部经理是否已对其进行背景调查；其聘用是否经适当批准；是否已签订标准劳动合同期末：•对人力资源部负责人进行询问，确定员工的聘用流程在剩余期间是否发生变化21*执行程序的结果，包括询问内容等另附工作底稿记录中国注册会计师协会企业内部控制审计业务培训班2.针对管理层和治理层凌驾于控制之上的风险而设计的控制针对管理层和治理层凌驾于控制之上的风险而设计的控制针对重大的非常规交易的控制，尤其是针对导致会计处理延迟或异常的交易的控制针对关联方交易的控制与管理层的重大估计相关的控制能够减弱管理层和治理层伪造或不恰当操纵财务结果的动机和压力的控制22中国注册会计师协会企业内部控制审计业务培训班2.针对管理层和治理层凌驾于控制之上的风险而设计的控制--示例要点内部控制控制描述•公司设立了举报热线鼓励员工举报任何违反《操守准则》要求的行为或舞弊等违规行为。举报热线由独立的第三方负责维护，员工可以采取匿名方式而不必担心遭到报复。举报热线已公布在公司网页，供员工随时了解。•对于举报的违规行为，内审部及人力资源部负责进行调查并按照公司政策进行惩戒，员工受到的惩戒会在其年度业绩评价中予以考虑。控制特点•人工控制•截至2011年9月期中测试时，举报热线共记录违规行为2项，视为每季一次的控制•与控制相关的风险较高（根据实施意见所列因素综合判断）•内审部及人力资源部负责人均从业多年，具有适当经验23中国注册会计师协会企业内部控制审计业务培训班2.针对管理层和治理层凌驾于控制之上的风险而设计的控制--示例(续)要点测试程序测试控制的设计•就举报热线的设置、违反公司政策的惩戒规定及举报信息的处理等向内审部负责人和人力资源部负责人进行交叉询问•检查企业公布举报热线的内部网页•获取企业的举报热线记录，抽取其中一项举报信息，检查其反映违规行为的调查结果及处理记录测试控制的运行中期：•查阅企业的举报热线记录，检查举报反映的员工违规行为是否已经恰当处理•在针对流程层面执行控制设计有效性测试时，询问员工对违反公司政策的惩戒规定以及举报热线信息的了解期末：•就举报信息的处理和惩戒政策是否有变化，对人力资源部和内审部负责人进行交叉询问•查阅2011年剩余期间的举报热线记录，检查举报的违规行为是否已经恰当处理24*执行程序的结果，包括询问内容等另附工作底稿记录中国注册会计师协会企业内部控制审计业务培训班3.被审计单位的风险评估过程•风险评估过程包括识别与财务报告相关的经营风险和其他