内部控制审计流程与案例分析

4
• 目的：将审计资源投放在高风险领域，以提高 审计效率和效果 • 审计风险模型： • 审计风险=内部控制存在重大缺陷的风险×检 查风险 • 审计风险，是指被审计单位财务报告内部控制 存在重大缺陷时，审计师发表不恰当审计意见 的可能性； • 内部控制存在重大缺陷的风险，是指被审计单 位财务报告内部控制在审计前存在重大缺陷的 可能性； • 检查风险，是指如果被审计单位财务报告内部 控制存在重大缺陷，审计师实施审计程序后未 能发现的可能性。 5
20
• 穿行测试的程序
• 穿行测试涵盖交易生成、授权、记录、处理和报告 的整个过程，以及识别出的重要流程中的控制，包括 针对舞弊风险的控制。一般而言，对每个重要流程， 选取一笔交易或事项实施穿行测试即可。如果被审计 单位采用集中化的系统为多个组成部分执行重要流程， 则可能不必在每个重要的组成部分选取一笔交易或事 项实施穿行测试。 穿行测试包括： (1)向实际执行控制的人员进行询问； (2)观察控制的执行； (3)查阅在执行控制时使用的或由于执行该控制而生成 的文件； (4)将支持性文件(如销售发票、合同和提货单)与会计 记录进行比较。
1、内部控制审计计划与 审计方案
兆泰版权 不得转发第三方
1
1.1内部控制审计的前提条件
• 在确定内部控制审计的前提条件是否得到满足 时，审计师应当： • (1)确定被审计单位采用的内部控制标准是否 适当； • (2)就被审计单位认可并理解其责任与管理层 和治理层达成一致意见。 • 被审计单位应当认可并理解的责任包括： • (1) 设计、执行和维护有效的内部控制； • (2) 对内部控制进行评价并编制内部控制评 价报告； • (3)向审计人员提供必要的工作条件。 2
8
1.7项目审计计划和审计方案
• 1.7.1项目审计计划
• • • • • • 内部控制审计的目标和范围 内部控制审计范围 内部控制审计的工作方法和步骤 内部控制审计的工作日程安排 内部控制审计的人员配备和财务预算 内部控制审计工作文档的编制
内部控制审计项目审计计划示例
9
1.7.2审计方案 • 具体审计目的； • 具体审计和程序； • 预定的执行人及执行日期； • 其他有关内容。
15
• 应当从下列方面评价财务报表项目及附注的错报风险 因素： • (1)账户的规模和构成； • (2)易于发生错报的程度； • (3)账户或列报中反映的交易的业务量、复杂性及同 质性； • (4)账户或列报的性质； • (5)与账户或列报相关的会计处理及报告的复杂程度； • (6)账户中反映的交易或余额遭受损失的风险； • (7)账户或列报中反映的活动引起重大或有负债的可 能性； • (8)账户记录中是否涉及关联方交易； • (9)账户或列报的特征与前期相比发生的变化。
16
2.4了解潜在错报的来源并识别相 应的控制
• 2.4.1了解潜在错报的来源
• 审计师应当实现下列目标，以进一步了解潜在错报的 来源，并为选择拟测试的控制奠定基础： • (1)了解与相关认定有关的交易的处理流程，包括这 些交易如何生成、批准、处理及记录； • (2)验证审计师识别出的业务流程中可能发生重大错 报(包括由于舞弊导致的错报)的环节； • (3)识别被审计单位用于应对这些错报或潜在错报的 控制； • (4)识别被审计单位用于及时防止或发现并纠正未经 授权的、导致重大错报的资产取得、使用或处置的控 制。
3
1.3计划审计工作时应当考虑的事项
• • • • • • • • 与企业相关的风险 相关法律法规 企业组织结构、经营特点和资本结构等相关重要事项 企业内部控制最近发生变化的程度 与企业沟通过的内部控制缺陷 重要性、风险等与确定内部控制重大缺陷相关的因素 对内部控制有效性的初步判断 可获取的、与内部控制有效性相关的证据的类型和范 围
23
• • • •
在选择关键控制时，审计师需要考虑： ( 1 )哪些控制是不可缺少的？ (2)哪些控制直接针对相关认定？ (3)哪些控制可以应对错误或舞弊导致的 重大错报风险？ • (4)控制的运行是否足够精确？
24
3、测试控制的有效性
兆泰版权 不得转发第三方
25
3.1内部控制的有效性的涵义
• 内部控制的有效性包括内部控制设计的有效性和内部 控制运行的有效性。 • 审计师应当测试控制设计的有效性。如果某项控制 由拥有有效执行控制所需的授权和专业胜任能力的人 员按规定的程序和要求执行，能够实现控制目标，从 而有效地防止或发现并纠正可能导致财务报表发生重 大错报的错误或舞弊，则表明该项控制的设计是有效 的。 • 审计师还应当测试控制运行的有效性。如果某项控 制正在按照设计运行、执行人员拥有有效执行控制所 需的授权和专业胜任能力，能够实现控制目标，则表 明该项控制的运行是有效的。
14
2.3识别重要账户、列报及其相关认定
• 在识别重要账户、列报及其相关认定时，审计师应当 从定性和定量两个方面作出评价，包括考虑舞弊的影 响。 • • 超过财务报表整体重要性的账户，无论是在内部控制 审计还是财务报表审计中，通常情况下被认定为重要 账户。 • 从性质上说，审计师可能因为某账户或列报受固有风 险或舞弊风险的影响而将其确定为重要账户或列报， 因为即使该账户或列报从金额上看并不重大，这些固 有风险或舞弊风险很有可能导致重大错报(该错报单独 或连同其他错报将导致财务报表发生重大错报)。
• 与控制相关的风险包括一项控制可能无 效的风险，以及如果该控制无效，可能 导致重大缺陷的风险。
28
• 下列因素影响与某项控制相关的风险： • (1)该项控制拟防止或发现并纠正的错报的性 质和重要程度； • (2)相关账户、列报及其认定的固有风险； • (3)交易的数量和性质是否发生变化，进而可 能对该项控制设计或运行的有效性产生不利影 响； • (4)相关账户或列报是否曾经出现错报； • (5)企业层面控制(特别是监督其他控制的控 制)的有效性； • (6)该项控制的性质及其执行频率； • (7)该项控制对其他控制(如控制环境或信息 技术一般控制)有效性的依赖程度； •
12
2.2识别、了解和测试企业层面控制
• 企业的内部控制分为企业层面控制和业务流程、应用 系统或交易层面的控制两个层面。 • 业务流程、应用系统或交易层面的控制为应对交易 和账户余额认定的重大错报风险而设计，通常在业务 流程内的交易或账户余额层面上运行，其作用通常能 够对应到具体某类交易和账户余额的具体认定。 • 企业层面控制通常为应对企业财务报表整体层面的风 险而设计，或作为其他控制运行的“基础设施”，一 般在比业务流程更高的层面上乃至整个企业范围内运 行，作用比较广泛，通常不局限于某个具体认定。
6
• 被审计单位为应对这些风险可能采取的控制包 括： • (1)针对重大的非常规交易的控制，尤其是针 对导致会计处理延迟或异常的交易的控制； • (2)针对期末财务报告流程中编制的分录和作 出的调整的控制； • (3)针对关联方交易的控制； • (4)与管理层的重大估计相关的控制； • (5)能够减弱管理层伪造或不恰当操纵财务结 果的动机及压力的控制。
7
1.6重要性
• 与财务报表审计相同，在计划内部控制审计工 作时，审计师同样应当确定重要性，以识别重 要账户、列报及其相关认定、重大业务流程， 并根据所识别的控制缺陷对财务报表的影响程 度对缺陷进行评价。 • 在计划内部控制审计工作时，审计师应当使 用与财务报表审计相同的重要性水平。
重要性水平的确定
13
• 企业层面控制包括下列内容： • (1)与控制环境(即内部环境)相关的控制； • (2)针对管理层和治理层凌驾于控制之上的风 险而设计的控制； • (3)被审计单位的风险评估过程； • (4)对内部信息传递和期末财务报告流程的控 制； • (5)对控制有效性的内部监督(即监督其他控 制的控制)和内部控制评价。
控制风险评估的案例
1.4风险评估
1.5舞弊风险的考虑
• 《企业内部控制审计指引》第十三条规定，审 计师在测试企业层面控制和业务流程、应用系 统或交易层面的控制时，应当评价内部控制是 否足以应对舞弊风险。 • 在识别并测试企业层面控制以及选择其他控制 进行测试时，审计师应当评价被审计单位的控 制是否足以应对已识别的、由于舞弊导致的重 大错报风险，并评价为应对管理层凌驾于控制 之上的风险而设计的控制。
21
• • • •
•
• 在实施穿行测试时往往综合运用询问、观察、 检查和重新执行，穿行测试是一种评估设计有 效性的有效方法。 • 询问： • (1)依据什么确定是否出现错误(而不是简单地 问他们是否实施了既定程序和控制)； • (2)如果发现错误怎么处理； • (3)曾经发现什么类型的错误； • (4)发现错误的后果是什么； • (5)错误是如何解决的； • (6)是否曾被要求忽略或回避该流程或控制， 如有这种情况，请描述具体情况，发生的原因 以及如何解决的。
18
• 穿行测试的作用包括：
• • • • (1)确认审计师对下列事项的了解是否正确：
•
• • •
①交易的整个过程，包括主要输入和输出数据，以 及交易如何产生并得到授权、记录、处理和报告； ②财务报告内部控制(包括与预防或发现舞弊相关的 控制)的设计； ③确定业务流程是否已涵盖了所有可能存在由于错 误或舞弊导致相关财务报表认定出现重大错报的环节， 以此确认该业务流程的完整性； ④可能发生的交易类型； ⑤关联方交易的影响； ⑥使用服务机构的影响。
内部控制审计审计方案示例
10
2、内部控制审计测试 对象选择方法
ห้องสมุดไป่ตู้
兆泰版权 不得转发第三方
11
2.1拟测试控制的选择方法
• 对财务报告内部控制而言，应当采用自上而下 的方法选择拟测试的控制 。 • 自上而下的方法分为下列步骤： • (1)从财务报表层次初步了解内部控制整体风 险； • (2)识别、了解和测试企业层面控制； • (3)识别重要账户、列报及其相关认定； • (4)了解潜在错报的来源并识别相应的控制； • (5)选择拟测试的控制。
1.2项目组的建立
• 项目组成员应当符合以下要求： • (1)具有执行性质和复杂程度类似的内部控制 审计业务的经验； • (2)了解企业内部控制相关规范和指引要求； • (3)了解《企业内部控制审计指引》、《企业 内部控制审计指引实施意见》； • (4)拥有与企业所处行业相关的知识； • (5)具有职业判断能力。
26
• 获取的有关控制运行有效性的审计证据 包括： • (1)控制在所审计期间的相关时点是如 何运行的； • (2)控制是否得到一贯执行； • (3)控制由谁或以何种方式执行。
27
3.2与控制相关的风险
• 在测试所选定控制的有效性时，审计师 应当根据与控制相关的风险，确定所需 获取的审计证据。 •
17
• 2.4.2穿行测试
• 穿行测试通常是实现上述目标和评价控制设计 的有效性以及确定控制是否得到执行的有效方 法。穿行测试是指追踪某笔交易从发生到最终 被反映在财务报表中的整个处理过程。 • 在下列情况下，审计师通常实施穿行测试： (1)存在较高固有风险的复杂领域；(2)以前年度 审计中识别出的缺陷(需要考虑缺陷的严重程度) 的领域；(3)由于引入新的人员、新的系统、收 购和采取新的会计政策而导致流程发生重大变 化。
22
2.5选择拟测试的控制
• 选择拟测试的控制的考虑因素 • 审计师在选取拟测试的控制时，通常不 会选取整个流程中的所有控制，而是选 择关键控制，即能够为一个或多个重要 账户或列报的一个或多个相关认定提供 最有效力证据且测试最有效率的控制。 每个重要账户、认定和重大错报风险至 少应当有一个对应的关键控制。
19
• • • • • • • • •
(2)识别被审计期间业务流程(包括支持该流程的计算 机应用程序)发生的所有重大变化、变化的性质以及对 相关账户的影响。 (3)评估控制的有效性。在评估设计有效性时，可以 考虑以下事项： ①该控制是否能够实现控制目标； ②控制程序的执行是否及时； ③所设计的控制执行的精细度和精确度； ④职责分配的适当性。 (4)确认控制是否得到执行。 (5)确认审计师需要就哪些控制的运行有效性获取证 据。 在实施穿行测试时，审计师应当评估所获取证据的质 量并实施程序以获取能够实现上述目标的证据。