了解和测试内部控制

1天职国际培训案例申报表案例类别财务报表审计——内部控制编写人员叶俊鹏部门总所/审计六部联系电话18601102704主要内容了解内部控制和测试内部控制附件如果涉及案例练习或其他资料，可作为附件附后，此处填写附件编号和目录2了解和测试内部控制背景资料：ABC股份有限公司（以下简称“ABC公司”）于1997年6月经卫生部卫计发（1997）第214号文批准，由XYZ有限责任公司独家发起成立，于1998年5月公开发行社会公众股的上市公司，专门从事疫苗、血液制剂、诊断用品等生物制品的研究、生产和经营的企业。本所承接ABC股份有限公司2011年度财务报表审计，并委派D项目组实施审计工作。ABC股份有限公司客户主要为全国各地疾病控制预防中心和各个经销商，公司主要从事疫苗制品、血液制品的研发、生产、运输以及销售。业务流程较为复杂。公司制定了较为完善的内部控制制度，2011年度公司聘请了安永会计师事务所为其内部控制的改善进行了咨询，并逐步开始实施新的内部控制流程。由于内部控制发生了较大的变化，项目组决定对重要的业务流程进行重新了解。案例说明：本次案例分享采用理论结合实际的形式进行，先进行理论梳理，再结合实际进行案例展示。了解被审计单位及其环境并进行风险评估——了解被审计单位内部控制一、审计发展介绍我国审计从发源到今天，已经有一百多年历史，注册会计师为了实现审计目标，围绕着对财务报表发表审计意见的审计工作也由于审计环境的不断变化调整审计方法。从最初的账项基础审计到当今的风险导向审计，也反映了审计环境的不断变化。当今世界，科学技术和政治经济不断进步，对企业的经营管理产生重大影响；伴随着激烈的竞争，经营风险不断加剧，企业随时可能面临着经营不善而导致破产倒闭的风险。要识别和应对由于经营风险可能带来的财务报表的错误和舞弊，要求项目组必须从更高的层次，综合考虑企业环境和面临的经营风险，更全面的了解企业的财务和经营状况，识别可能存在的错误和舞弊，并基于对被审计单位及其环境的了解的情况下，进行风险评估，制定总体审计策略和具体审计计划，以确保审计的效果；由于经济发展，企业规模日益壮大，项目组也有必要采用风险导向审计理念，充分了解被审计单位及其环境，识别风险点，以制定恰当的审计策略，从而提高审计效率；二、审计风险模型：审计风险（AR）=固有风险(IR)*控制风险(CR)*检查风险(DR)（其中：重大错报风险=固有风险*控制风险）3从上述模型中不难看出，审计风险取决于固有风险、控制风险和检查风险；项目组审计过程中通常以控制检查风险来降低审计风险。思考下列问题：1.项目组如何控制检查风险？项目组应当合理设计审计程序的性质、时间安排和范围，并有效执行审计程序，以控制检查风险。2.项目组应当如何合理、高效地实施审计程序、执行哪些审计程序来控制检查风险？第一、了解被审计单位及其环境并进行风险评估。第二、了解被审计单位内部控制，并进行控制测试（如可行）第三、依据风险评估结论、内部控制有效性测试的结果来设计和实施实质性程序。三、了解和测试内部控制的基本思路了解和测试内部控制应当区分报表层次（企业层面内部控制）和认定层次（业务层面内部控制）内部控制，根据企业内部控制框架体系，自上而下的进行。企业内部控制框架将内部控制自上而下分为：控制环境、风险评估、信息系统与沟通、控制活动、监督；自上而下的方法始于财务报表层次，以对内部控制整体风险的了解开始，然后，将关注重点放在企业层面的控制上，并将工作逐渐下移至重要账户、列报及其相关认定。随后，验证其对被审计单位业务流程中风险的了解，并选择能足以应对评估的每个相关认定的重大错报风险的控制进行测试。具体而言步骤如下：第一、从财务报表层次初步了解内部控制整体风险；第二、了解、识别和测试企业层面控制；第三、识别重要账户、列报及相关认定；第四、了解潜在错报的来源并识别相关认定；第五、选择拟测试的控制实施控制测试；四、与财务报表审计有关的内部控制风险导向审计理念下要求项目组必须先了解被审计单位及其环境并进行风险评估，而与被审计单位财务报表有直接关系的就是神审计单位的内部控制，特别是与审计相关的内部控制。所以了解被审计单位内部控制是风险评估的重要组成部分，对审计整个过程将产生深远的影响。相关知识点连接:内部控制目标：1.财务报告的可靠性；2.经营的效果和效率；3.遵守适用的法律法规。4内部控制五要素：1.控制环境；2.风险评估过程；3.与财务报告相关的信息与沟通；4.控制活动；5.对控制的监督。1.与审计相关的内部控制:被审计单位的目标与为实现目标提供合理保证的控制之间存在直接关系。被审计单位的目标和控制，与财务报告、经营及合规有关。但这些目标和控制并非都与审计有关。判断某项控制活动是否与审计相关需要考虑下列事项：①审计重要性；审计提供的是一种合理保证的鉴证业务，并不要求查出被审计单位的所有错误，在执行具体审计业务的过程中，一般利用职业判断确定一个合理的重要性水平，针对高于重要性水平的错报实施专门的审计程序，所以在了解与审计相关的内部控制时，需要考虑重要性，并不是所有与审计相关的内部控制均需要了解和测试。②相关风险的程度；重大错报风险取决控制风险和固有风险。如果一项控制活动产生的风险较高，相应重大错报风险也随之增高，显然，与导致重大错报风险高的内部控制活动应当是重点关注的内部控制③被审计单位的规模；④被审计单位的业务性质，包括组织结构和所有权特质；被审计单位的业务性质在很大程度上决定了对内部控制的了解。比如电信行业、银行等金融机构日常业务繁多，多数业务处理均由自动化系统完成，在了解与之相关的内部控制，必须考虑与之相关的信息系统控制。⑤被审计单位经营的多样性和复杂性；审计客户经营业务的多样性和复杂性在很大程度上决定了审计客户的内部控制，经营多样性和复杂程度高的业务流程会使得更多的控制活动与审计相关，因为每一项控制活动都有可能与财务信息相关。⑥适用的法律法规；⑦内部控制的情况和适用的要素；⑧作为内部控制组成部分的系统的性质和复杂性；⑨一项特定控制(单独或者连同其他控制)是否以及如何防止或发现并纠正重大错报。2.内部控制人工和自动化程度审计客户内部控制系统包含人工部分，通常也包含自动化部分。项目组在进行风险评估时应当区分相5关控制活动的运行方式。控制运行方式与项目组风险评估以及在此基础上实施的进一步审计程序相关。内部控制人工和自动化程度，将影响交易生产、记录、处理和报告的方式。人工方式和自动化方式将影响控制运行留下的轨迹，对项目组何时执行审计工作将产生重要影响。除非存在某些可以使控制得到一贯运行的自动化控制，否则项目组对控制的了解并不足以测试控制运行的有效性。如果一项控制为高度自动化运行的控制，那么项目组应当考虑了解内部控制与测试内部控制有效性之间的关系，如果一项高度自动化控制一贯运行，项目组可以考虑了解内部控制的结果可能支持内部控制有效性的测试。3.了解内部控制时对人工控制和自动化控制的特别考虑内部控制中人工成分可能比自动化控制成分可靠性低，人工控制可能更容易被规避、忽视或不恰当的凌驾以及容易产生更简单错误和失误。而自动化控制由于其具有一贯性，只能处理大量具有相同性质的业务，对于存在大额、异常或偶发的交易，难以界定、预计或预测的情况，监督自动化运行的有效性等，都需要运用人工来进行处理。实际情况是更多的企业开始运用自动化结合人工的内部控制方式来处理各种不同类型的交易，特别是OA系统应用到自动化办公中来显得更为直观。此时对内部控制的了解需要重点关注一般控制是否设计合理，执行是否恰当。4.与了解内部控制相关的风险评估程序了解内部控制是项目组了解被审计单位及其环境并进行风险评估的重要组成部分，所以用以了解内部控制的风险评估程序和了解被审计单位及其环境使用的程序类似。一般地，项目组使用下列风险评估程序对内部控制进行了解：(一)询问被审计单位人员；(二)观察特定控制的运用；(三)检查文件和报告；(四)追踪交易在财务报告信息系统中的处理过程——穿行测试。其中询问、观察、检查用以了解被审计单位内部控制设计是否合理，穿行测试用以了解被审计单位所设计的内部控制是否得到执行。6案例：由于本次审计为连续审计，根据以前年度了解的情况以及初步了解，项目组初步确定的与本次审计相关的内部控制主要有以下方面1.公司层面的内部控制内部控制要素公司存在且与审计相关的内部控制是否进行了解控制环境对诚信和道德价值观念的沟通与落实是对胜任能力的重视是治理层的参与程度是管理层的理念和经营风格是组织结构是职权与责任的分配是人力资源的政策与实务是风险评估过程设置评估目标是风险识别是风险分析是风险应对是信息系统与沟通信息系统的开发和应用是信息流如何在企业内部和外部流通是信息系统对例外时间的敏感程度是会计系统控制是对控制的监督持续监督是专门评价是2.业务层面内部控制内部控制要素公司存在且与审计有关的业务流程控制是否进行了解控制活动、信息与沟通销售与收款循环是采购与付款循环是生产与仓储循环是固定资产循环是货币资金循环是7五、在整体层面了解内部控制（财务报表层次）1.了解内部控制要素之——控制环境控制环境的重要性：控制环境包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和行动。控制环境设定了被审计单位的内部控制基调，影响员工内部控制意识。1.1与控制环境相关的7大要素：控制环境要素影响风险评估程序对诚信和道德价值观的沟通与落实影响重要业务流程的设计和运行。内部控制的有效性直接依赖于负责创建、管理和监控内部控制的人员的诚信和道德价值观。询问管理层和员工；检查企业行为守则和内部控制制度。对胜任能力的重视良好的胜任能力将有利于控制活动持续有效的运行询问管理层；检查企业考核文件，培训纪要。治理层的参与治理层参与程度越广泛，对控制活动的监督越有效检查董事会、监事会会议纪要；询问董事会、监事会成员。管理层的理念和经营风格经营理念、经营风格在很大程度上决定了企业的冒险程度询问管理层、员工。组织结构组织结构的复杂程度将影响控制运行效率检查企业组织结构图；询问管理层。职权与责任的分配良好的职权与责任分配将营造良好的分工监督机制和审批机制询问管理层；检查企业岗位责任文件。人力资源政策与实务良好的人力资源政策将留住优秀人才询问管理层；检查企业招聘、晋升激励政策。1.2如何获取与控制环境有关的审计证据由于控制环境往往表现为企业整体诚信、道德、价值观，蕴藏于企业文化之中，项目组在针对控制环境获取审计证据时往往不能取得纸质等存在介质的文件资料，而控制环境对于内部控制又有着至关重要的作用，我们如何对审计客户控制环境进行了解，获取充分适当的审计证据呢？方式一：网站、报纸、交易所公告（适用于公共实体公司）在网络发达的时代，上市公司、大型企业都会通过网络对企业的宣传企业文化，主要包括公司治理结构，组织结构等；方式二：与审计客户进行访谈，形成访谈记录与审计客户管理层、员工访谈是项目组了解被审计单位控制环境的重要手段之一，根据审计客户的具体情况，制定访谈提纲，列出访谈项目，通过问答形式可以更加全面的对被审计客户的控制环境进行8了解。方式三：获取审计客户员工行为守则，内部控制制度等。1.3在了解控制环境时应当注意的问题：①控制环境的某些要素对重大错报风险评估具有广泛影响，特别是治理层的影响程度。例如，被审计单位的控制意识在很大程度上受治理层影响，因为治理层的职责之一就是平衡管理层面临的与财务报告相关、源于市场需求或薪酬方案的压力。与治理层参与相关的控制环境的设计有效性受下列事项的影响：⑴治理层相对于管理层的独立性及评价管理层措施的能力；⑵治理层是否了解被审计单位从事的交易；⑶治理层对财务报表是否按照适用的财务报告编制基础编制进行评价的程度。②活跃而独立的董事会可能影响高级管理人员的理念和经营风格，而在现代的公司治理结构下其他影响因素只是微乎其微的。例如：人力资源政策和实务规定招聘具有胜任能力的财务、会计和信息系统人员，这可能降低处理财务信息时出现错误的风险，但是却不能抵消最高管理层高估收益的强烈倾向，显然，治理