企业内部控制审计业务培训班 业务流程层面 内部控制测试的基本原理 主讲人：孙晓悦 企业内部控制审计业务培训班 3 主讲人简介 孙晓悦，普华永道中天会计师事务所风 险与质量管理部总监，曾任中国注册会 计师协会访问研究员，参与制订企业 内部控制审计指引实施意见及编写 企业内部控制审计工作底稿编制指南 。 企业内部控制审计业务培训班 3 内容概要 一、内部控制的有效性 二、选取拟测试的控制 三、控制测试的性质 四、控制测试的时间安排 五、控制测试的范围 企业内部控制审计业务培训班 内部控制的有效性 控制设计的有效性 如果某项控制由拥有有效执行控制所需的授权 和专业胜任能力的人员按照规定的程序和要求执 行，能够实现控制目标，从而有效防止或发现并 纠正可能导致重大错报的错误和舞弊。 控制运行的有效性 控制按照设计运行，执行人员拥有必要授权和 专业胜任能力，能够实现控制目标。 4 企业内部控制审计业务培训班 内部控制的有效性 控制设计的有效性 控制和识别出的经营风险/审计风险的配合度 控制是否能够实现控制目标 控制的性质 控制的频率 执行控制的人员的知识和经验 发现问题后采取的跟进措施 职责分离 信息的可靠性 控制涵盖的期间 5 企业内部控制审计业务培训班 内部控制的有效性 有关控制运行有效性的审计证据包括： n控制在所审计期间的相关时点是如何运行的 n控制是否得到一贯执行 n控制由谁以何种方式执行 6 企业内部控制审计业务培训班 选取拟测试的控制 注册会计师应当针对每一相关认定获取控制有效性 的审计证据，以便对财务报表内部控制整体的有 效性发表意见。 注册会计师应当对控制是否足以应对评估的每个相 关认定的错报风险形成结论。因此，注册会计师 应当选择对形成这一评价结论具有重要影响的控 制进行测试。 - 企业内部控制审计实施意见 7 企业内部控制审计业务培训班 选取拟测试的控制 关键控制 ：单独或连同其他控制可以有效应对 评估的认定层次的重大错报风险，并且可以测 试的控制。 每个重要账户的相关认定至少应当有一个对应的 关键控制。 一项控制可能应对评估的多项相关认定的错报风 险。 8 企业内部控制审计业务培训班 XYZ公司图示 9 对重要账户, 考虑 企业内部控制审计业务培训班 XYZ公司图示(续) 10 固有风险 对重要账户, 考虑 管理层测试结果 以往错误 企业层面控制 流程复杂 程度 企业内部控制审计业务培训班 XYZ公司图示(续) 11 计价 权利和义务 发生/存在 列报和披露 对重要账户, 考虑 管理层测试结果 完整性 以往错误 企业层面控制 固有风险 流程复杂 程度 准确性 截止 企业内部控制审计业务培训班 XYZ公司图示(续) 12 计价 权利和义务 发生/存在 列报和披露 对重要账户, 考虑 管理层测试结果 完整性 以往错误 企业层面控制 固有风险 流程复杂 程度 准确性截止 = 关键控制 企业内部控制审计业务培训班 XYZ公司图示(续) 13 计价 权利和义务 发生/存在 列报和披露 对重要账户, 考虑 管理层测试结果 完整性 以往错误 企业层面控制 固有风险 流程复杂 程度 准确性截止 = 关键控制 调节 企业内部控制审计业务培训班 XYZ公司图示(续) 14 计价 权利和义务 发生/存在 列报和披露 对重要账户, 考虑 管理层测试结果 完整性 以往错误 企业层面控制 固有风险 流程复杂 程度 准确性截止 = 关键控制 调节 利用他人的工作 企业内部控制审计业务培训班 XYZ公司图示(续) 15 计价 权利和义务 发生/存在 列报和披露 对重要账户, 考虑 管理层测试结果 完整性 以往错误 企业层面控制 固有风险 流程复杂 程度 准确性截止 = 关键控制 调节 利用他人的工作 穿行测试 企业内部控制审计业务培训班 与控制相关的风险 根据与控制相关的风险，确定所需获取的审 计证据。 影响与控制相关的风险的因素 （1）该项控制拟防止或发现并纠正的错报的性质和 重要程度； （2）相关账户、列报及其认定的固有风险； （3）交易的数量和性质是否发生变化，进而可能对 该项控制设计或运行的有效性产生不利影响； （4）相关账户或列报是否曾经出现错报； （5）企业层面控制（特别是监督其他控制的控制） 的有效性； （6）该项控制的性质及其执行频率； 16 企业内部控制审计业务培训班 与控制相关的风险 （7）该项控制对其他控制（如控制环境或信息技术 一般控制）有效性的依赖程度； （8）执行该项控制或监督该项控制执行的人员的专 业胜任能力，以及其中的关键人员是否发生变化； （9）该项控制是人工控制还是自动化控制； （10）该项控制的复杂程度，以及在运行过程中依赖 判断的程度。 连续审计时的考虑: （1）以前年度审计中所实施程序的性质、时间安排 和范围； （2）以前年度对控制的测试结果以及以前年度发现 的缺陷是否得以整改； （3）上次审计之后，控制或其运行所处的流程是否 发生变化。 17 企业内部控制审计业务培训班 控制测试的性质 低度保证高度保证 询问 观察 检查 重新执行 18 询问本身不足以为控制运行的有效性提供充分的 审计证据 企业内部控制审计业务培训班 是否需要在所有流程/账户的控制测试中实施重 新执行程序？ 如所需保证较低，是否可能仅通过实施穿行测试 对控制设计和运行的有效性获得充分证据？ 是否有可能在某一年审计中不测试关键控制？ 控制测试的性质 19 企业内部控制审计业务培训班 控制测试的时间安排：测试日与基准日的接近程度 及更新测试。 风险较低 风险较高 测试时间更早 接近基准日 控制测试的时间安排 20 通常不需要测试基准日当天的控制 企业内部控制审计业务培训班 是否预留足够的时间以便被审计单位对存在重大 缺陷的内部控制进行整改？ 控制测试的时间安排 21 控制运行频率整改后控制运行的最短期间或 最少运行次数 每季度1次2个季度 每月1次2个月 每周1次5周 每天1次20天 每天多次25次（分布于涵盖多天的期 间，通常不少于15天） 企业内部控制审计业务培训班 测试全年的控制的两种方法 假设： 测试每日执行数次的控制，样本量为60； 期中测试1月到8月 方法一：期中测试40个，期末对剩余期间测试20个 方法二：期中测试60个，期末实施前推程序 控制测试的时间安排 22 企业内部控制审计业务培训班 关于控制在期中和基准日之间运行有效性的证据的 性质和范围取决于多个因素，包括与控制相关的风 险和管理层在自我评价中获得的证据。 前推程序 23 基准日前测试的控制(包括与控制相关的风险和 控制的性质) 期中获取的关于控制运行有效性证据的充分性 剩余期间的长度 期中测试之后控制发生重大变化的可能性 企业内部控制审计业务培训班 在确定测试范围时，考虑: 需要获得的保证程度 对控制环境的评估结果 拟获取的审计证据的相关性和可靠性 控制累积程度 预期偏差 控制测试的范围 24 企业内部控制审计业务培训班 测试人工控制的样本量 25 控制运行频率控制运行 总次数 (注) 测试的最小样本量区间 每年1次11 每季度1次42 每月1次122 -5 每周1次525-15 每天1次25020-40 每天多次大于250次25-60 注：对不定期执行但可以获知其执行总次数的控制，可 对照该列确定样本量。 企业内部控制审计业务培训班 XYZ公司图示(续) 26 计价 权利和义务 发生/存在 列报和披露 对重要账户, 考虑 管理层测试结果 完整性 以往错误 企业层面控制 固有风险 流程复杂 程度 准确性截止 = 关键控制 调节 利用他人的工作 穿行测试 企业内部控制审计业务培训班 发现的控制偏差是否是系统性偏差? 该控制是否具有高度的主观性，复杂性或涉及判 断? 偏差是否导致了重大错报? 偏差是否显示较高的舞弊风险? 偏差是否与其他控制有关联? 控制测试中发现了偏差. 27 企业内部控制审计业务培训班 三种可能： （1）得出结论：存在控制缺陷 （2）得出结论：控制是有效的 （3）扩大样本量以确定控制是否有效 控制测试中发现了偏差. 28 企业内部控制审计业务培训班 对或错? #1 29 当注册会计师测试与高风险账户相关的关键控制 的运行有效性时，应当对这些关键控制实施重新 执行程序。 企业内部控制审计业务培训班 对或错? #2 30 注册会计师可以仅通过询问完成对某个关键控制 的前推程序。 企业内部控制审计业务培训班 对或错? #3 31 假设注册会计师认为收入是高风险账户，仍可以将 收入流程中的某个控制或财务报表认定确定为低风 险。 企业内部控制审计业务培训班 对或错? #4 32 注册会计师可以对关键控制实施轮流测试，至少每 三年测试一次。 企业内部控制审计业务培训班 内部控制测试 33 一、内部控制的有效性 二、选取拟测试的控制 三、控制测试的性质 四、控制测试的时间安排 五、控制测试的范围 一、内部控制的有效性 二、选取拟测试的控制 三、控制测试的性质 四、控制测试的时间安排 五、控制测试的范围 职业判断 企业内部控制审计业务培训班 了解业务流程及内部控制 销售流程工作底稿举例. 34 企业内部控制审计业务培训班 实施穿行测试 销售流程工作底稿举例. 35 企业内部控制审计业务培训班 业务流程控制测试汇总表 销售流程工作底稿举例. 36 企业内部控制审计业务培训班 控制测试工作底稿 (1) 销售流程工作底稿举例. 37 企业内部控制审计业务培训班 控制测试工作底稿 (2) 销售流程工作底稿举例. 38 企业内部控制审计业务培训班 控制测试工作底稿 (3) 销售流程工作底稿举例. 39 企业内部控制审计业务培训班 控制测试工作底稿 (4) 销售流程工作底稿举例. 40 企业内部控制审计业务培训班 谢 谢！ 41