跳至主要內容

第四章 企业层面控制的测试

约 18007 字大约 60 分钟

按照《企业内部控制审计指引》的要求,注册会计师应当采用自上而下的方法选择拟测试的控制。企业层面控制的测试是自上而下的方法中的重要步骤,本章对此展开阐述。

第一节 与控制环境(即内部环境)相关的控制

控制环境包括治理职能和管理职能,以及治理层和管理层对内部控制及其重要性的态度、认识和行动。控制环境设定了被审计单位的内部控制基调,影响员工的内部控制意识。良好的控制环境是实施有效内部控制的基础。在了解和评价控制环境时,注册会计师需要考虑与控制环境有关的各个要素及其相互联系。

在了解和测试控制环境时,注册会计师需要考虑的方面主要包括:

(1)管理层的理念和经营风格是否促进了有效的财务报告内部控制;

(2)管理层在治理层的监督下,是否营造并保持了诚实守信和合乎道德的文化;

(3)治理层是否了解并监督财务报告过程和内部控制。

在进行内部控制审计时,注册会计师可以首先了解控制环境的各个要素,在此过程中注册会计师应当考虑其是否得到执行。因为管理层可能建立了合理的内部控制,但却未能有效执行。在了解的基础上,注册会计师可以选择那些对财务报告内部控制有效性的结论产生重要影响的企业层面控制进行测试。

《中国注册会计师审计准则第1211号——通过了解被审计单位及其环境识别和评估重大错报风险》及其指南对注册会计师如何了解和评价控制环境给出了相关指引,结合内部控制审计业务的目的和性质,注册会计师还可以特别关注以下方面。

一、管理层的理念和经营风格

在有效的控制环境中,管理层的理念和经营风格可以创造一个积极的氛围,促进业务流程和内部控制的有效运行,同时创造一个减少错报发生可能性的环境。注册会计师可以考虑的主要因素包括(但不限于):

(一)对胜任能力的重视

在实务中,注册会计师在了解和测试此方面内部控制有效性时可以考虑的因素包括(但不限于):

(1)管理层是否分析一些特定岗位所承担的职责所必需的知识和技能,例如,如果被审计单位从事大量套期交易活动,则需要聘用一些熟悉套期会计的财务人员;

(2)管理层是否运用正式或非正式的职位描述定义特定职责所需执行的任务。

(二)组织结构及职权与责任的分配

在实务中,注册会计师在了解和测试此方面内部控制有效性时可以考虑的因素包括(但不限于):

(1)管理层是否定义职权和责任的关键范围,并建立适当的重要职员报告途径;

(2)管理层是否有适当的控制管理承担重要职能(如信息技术、财务和内部审

计)的员工离职,如对离职的原因进行分析等;

(3)管理层是否将业务授权以及业务执行的责任有效地分离,并且是否已针对授权交易建立适当的政策和程序。

(三)人力资源政策与实务

人力资源政策与实务涉及招聘、培训、考核、晋升和薪酬等方面。在实务中,注册会计师在了解和测试其有效性时可以考虑的因素包括(但不限于):

(1)被审计单位的人力资源部门是否制定适当的招聘(包括对一些重要员工的背景调查)、培训、考核、晋升、薪酬奖励(包括高级管理人员奖励)、内部调动和辞退员工政策;

(2)管理层是否作出适当行动以应对违反公司政策和程序的行为,同时与员工沟通并监控员工对这些公司政策的执行。

二、诚信和道德价值观念的沟通与落实

诚信和道德价值观念是控制环境的重要组成部分,影响到重要业务流程的设计和运行。注册会计师在了解和测试此方面有效性时可以考虑的因素包括(但不限于):

(1)被审计单位是否有书面的行为规范并且通过各种方法使之得以贯彻落实;

(2)被审计单位是否对新员工人职时进行职业操守培训,以及是否要求员工签署行为规范声明书等;

(3)管理层是否对违反相关行为规范的行为采取适当的措施;

(4)管理层是否有使得激励员工与设定不切实际业绩目标之间得以平衡的控制。

三、治理层的参与程度

被审计单位治理层(如董事会、监事会等)通常通过其自身的活动,并在审计委员会或类似机构的支持下,监督财务报告政策和程序。注册会计师在了解和测试其有效性时可以考虑的因素包括(但不限于):

(1)董事会、审计委员会成员是否独立于管理层,有明确的相关职责,了解并且具备适当的条件执行这些职责。注册会计师可以对审计委员会成员的背景进行了解,并获得他们执行相关职责的证据;

(2)董事会、审计委员会是否与注册会计师进行适当的互动并定期沟通,并对注册会计师提出的问题作出反馈;

(3)治理层是否充分参与了监督编制财务报告的过程,比如董事会、审计委员会是否与财务高级管理人员和内部审计人员保持高度互动;定时听取信息汇报并实行有效检查;对相关事项进行正确的提问,包括对重大会计政策和会计估计的解释等;

(4)董事会、审计委员会是否评估在有效监督下管理层和治理层凌驾于内部控制之上的风险。

第二节 针对管理层和治理层凌驾于控制之上的风险而设计的控制

针对管理层和治理层凌驾于控制之上的风险(以下简称凌驾风险)而设计的控制,对所有企业保持有效的财务报告内部控制都有重要的影响。在不同的企业,管理层和治理层凌驾于控制之上的风险水平不同o m。于小企业的高级管理人员更多地参与控制的执行和期末财务报告过程,小企业的凌驾风险可能更大。小企业针对凌驾风险采用的控制,可能与大企业采用的控制不同。

因此,注册会计师可以根据对被审计单位进行的舞弊风险评估作出判断,选择相关的企业层面控制进行测试,并评价这些控制是否能有效应对已识别的可能导致财务报表发生重大错报的凌驾风险。

一般而言,针对凌驾风险采用的控制包括(但不限于):

一、针对重大的异常交易(尤其是导致会计分录延迟或异常的交易)的控制

重大的异常交易一般指不是在被审计单位正常业务过程中产生、并且对被审计单位而言较为重大的交易。注册会计师可以了解被审计单位对于重大的异常交易的会计处理流程以及是否建立了相关的控制,并考虑对这些控制的设计及运行有效性进行测试,以确定这些控制是否能有效降低凌驾风险。

二、针对关联方交易的控制

注册会计师可以关注被审计单位的关联方交易管理及业务流程,了解企业的关联方交易是如何产生、审批以及记录在财务报表中的,在上述过程中是否存在凌驾风险,以及是否有相关的控制降低风险。在了解这些控制之后,注册会计师可以考虑对能降低与关联方交易相关的凌驾风险的控制进行测试。

三、与管理层的重大估计相关的控制

注册会计师可以了解被审计单位的财务报表中是否有对财务报表产生重大影响的会计估计,并了解管理层确定这些会计估计的过程。同时,注册会计师可以关注管理层针对这些重大会计估计的相关控制,是否能防止管理层因操纵这些重大会计估计而导致财务报表出现重大错报的风险。在了解这些控制之后,注册会计师可以考虑对能降低与重大会计估计相关的凌驾风险的控制进行测试。

四、能够减弱管理层伪造或不恰当操纵财务结果的动机及压力的控制

注册会计师可以关注管理层的薪酬及激励机制,或管理层是否面J临较大的业绩压力从而导致被审计单位出现较高的凌驾风险。对于这种情况,注册会计师可以了解被审计单位是否有相应的控制,防止管理层因为激励机制及业绩压力而对财务报表作出虚假报告。在了解这些控制之后,注册会计师可以考虑对能降低与管理层动机及压力相关的凌驾风险的控制进行测试。

对于能够减弱管理层伪造或不恰当操纵财务结果的动机及压力的控制,注册会计师一般可以(但不限于)考虑下列流程及相关控制:

(1)薪酬委员会(或类似机构)在公司制定薪酬及激励政策中的角色,以及薪酬激励是否通过该委员会的研究及审批,以确保激励部分不会过高从而增加人为错报的风险;

(2)管理层每年制定的预算是否是基于实际经营状况,并且通过合理的分析而编制的,以确保年度预算不会过于激进或保守从而增加人为错报的风险;

(3)内部审计部门是否会关注因管理层动机或压力而导致的错报风险,并且定期进行检查,查找被审计单位是否存在人为调整财务业绩的情况。

五、建立内部举报投诉制度

注册会计师可以关注被审计单位是否建立了内部举报投诉制度(如举报热线、电子邮件、举报信箱等)和举报人保护制度,鼓励员工对各类违法或不当行为予以举报,并严禁任何人向善意举报的人或参与调查的人施加报复。注册会计师还可以关注被审计单位对举报投诉的处理程序、办理时限和办理要求,如是否设置了专门机构对投诉内容进行调查处理等。同时,注册会计师还可关注上述相关制度是否已及时传达至全体员工。

第三节 被审计单位的风险评估过程

风险评估过程包括识别与财务报告相关的经营风险,以及针对这些风险所采取的措施。首先,被审计单位需要有充分的内部控制去识别来自内外部环境的风险,比如监管环境和经营环境的变化、新的或升级的信息系统、新的会计政策等方面。其次,充分、适当的风险评估过程应当包括对重大风险的估计,对风险发生可能性的评定以及应对方法的确定。注册会计师可以首先了解被审计单位及其环境的其他方面信息,以初步了解被审计单位的风险评估过程。

《中国注册会计师审计准则第121l号——通过了解被审计单位及其环境识别和评估重大错报风险》准则及其指南中对注册会计师如何了解和评价被审计单位的风险评估过程提供了相关指引。结合内部控制审计业务的目的和性质,实务中,在了解测试被审计单位与风险评估过程相关的内部控制时,可以考虑以下因素:

(1)被审计单位是否根据设定的控制目标,有计划全面、系统、持续地收集内外部相关信息,并结合实际情况,及时进行风险评估;

(2)被审计单位是否在目标设定的基础上,密切关注内外部主要风险因素,通过日常或定期的评估程序与方法对各种主要风险加以识别,并将各类风险进行分类整理,形成企业的风险清单;

(3)被审计单位是否在风险识别的基础上,采用定性和定量相结合的方法,按照风险发生的可能性及其影响程度等因素,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。被审计单位在进行风险分析时,是否充分吸收专业人员,组成风险分析团队,按照严格规范的程序开展工作,确保风险分析结果的准确性;

(4)被审计单位是否根据内部控制目标,结合风险评估结果和风险应对策略,综合运用控制措施,将风险控制在可承受范围之内。

此外,针对重大经营控制及风险管理实务采用相应的内部控制政策也属于企业层面控制的组成部分。在对内部控制进行审计时,注册会计师可以考虑以下因素中与财务报告相关的部分:

(1)企业是否建立了重大风险预警机制,明确界定哪些风险是重大风险,哪些事项一旦出现必须启动应急处理机制。应急预案、预警机制等相关的政策和方案应非常明确地传达到相关人员;

(2)企业是否建立了突发事件应急处理机制,确保突发事件得到及时妥善处理。

第四节 对内部信息传递和期末财务报告流程的控制

在企业中,相关信息需要以适当方式及时识别、保存和传递,并被不同层级的人员使用,以支持财务报告目标的实现。

注册会计师可以重点关注被审计单位与财务报告相关的内部信息传递。《中国注册会计师审计准则第1211号——通过了解被审计单位及其环境识别和评估重大错报风险》及其指南对注册会计师如何了解和评价被审计单位与财务报告相关的信息系统和沟通提供了相关指引。

针对财务报告流程的内部控制可以确保管理层按照适当的会计准则编制合理、可靠的财务报告,以对外进行报告。

期末财务报告流程对内部控制审计和财务报表审计有重要影响,注册会计师应当对期末财务报告流程进行评价。期末财务报告流程包括:

(1)将交易总额登入总分类账的程序;

(2)与会计政策的选择和运用相关的程序;

(3)总分类账中会计分录的编制、批准等处理程序;

(4)对财务报表进行调整的程序;

(5)编制财务报表的程序。

注册会计师应当从下列方面评价期末财务报告流程:

(1)被审计单位财务报表的编制流程,包括输入、处理及输出;

(2)期末财务报告流程中运用信息技术的程度;

(3)管理层中参与期末财务报告流程的人员;

(4)纳入财务报表编制范围的组成部分;

(5)调整分录及合并分录的类型;

(6)管理层和治理层对期末财务报告流程进行监督的性质及范围。

由于期末财务报告流程通常发生在管理层评价日之后,注册会计师一般只能在该日之后测试相关控制。

同时,结合财务报表审计的要求,注册会计师还应当了解管理层为确保识别期后事项而建立的程序。对于集团审计,注册会计师还应当了解合并过程,包括集团管理层向组成部分下达的指令。注册会计师可以基于对财务报告流程的了解,确定可能发生错报的环节,识别用于防止或发现并纠正错报的控制,并对控制的有效性进行评估。

第五节 对控制有效性的内部监督(即监督其他控制的控制)和内部控制评价

管理层的一项重要职责就是持续不断地建立和维护控制。管理层对控制的监督包括考虑控制是否按计划运行,以及是否需要根据情况的变化与控制作出恰当修改。控制监督可以在企业层面或业务流程、应用系统或交易层面上实施。对于企业层面或业务流程、应用系统或交易层面的监督可以通过持续的监督和管理活动、审计委员会或内部审计部门的活动以及自我评价的方式等来实现。

对控制的监督可能包括:对运营报告的复核、与外部人士的沟通、其他未参与控制执行人员的监控活动以及信息系统所记录的数据与实物资产的核对等。

在监督的组成部分中,一个有效的审计委员会可能针对企业财务方面的各项活动提出疑问。例如,审计委员会对管理层提出问题,包括对企业重大会计政策和会计估计提出问题,以获取相关了解。关于审计委员会的进一步阐述,请参考本章“第一节与控制环境(即内部环境)相关的控制”的“三、治理层的参与程度”部分。

《中国注册会计师审计准则第1211号——通过了解被审计单位及其环境识别和评估重大错报风险》准则及其指南中对注册会计师如何了解和评价管理层对控制的监督提供了相关指引。结合内部控制审计业务的目的和性质,在了解被审计单位对控制有效性的内部监督并对其有效性进行测试时,注册会计师还可以特别考虑以下因素:

1.管理层是否定期地将会计系统中记录的数额与实物资产进行核对

管理层可能进行周期性的存货盘点或者年度的固定资产盘点,将实际盘存资产的数量与相应的明细账记录作比较。通过监盘存货,注册会计师不仅可以获取被审计单位定期盘点的证据,还可以根据实际情况,在必要时对其运行有效性进行测试。

2.管理层是否为保证内部审计活动的有效性而建立了相应的控制

内部审计部门或者执行类似职能的人员对于有效监督企业活动可能具有重要的意义。很多企业内部都有集中化的内部审计部门,通过对各业务单元或地区进行轮流视察,进行控制复核并跟进前期发现的不足之处,实施有效的监控。某些企业的内部审计部门将工作重点放在评价内部控制的设计和测试其运行的有效性上,从而识别潜在的缺陷,提供有利于管理层作出成本效益分析的信息,并据此提出改进建议。

企业对于内部审计人员的级别、胜任能力和经验应当有适当的控制。内部审计部门在企业组织内部的定位应是适当的,并且内部审计人员应有权向审计委员会或董事会汇报情况。内部审计部门的范围、职责及审计计划应与企业的需求和财务报告内部控制相适应。

3.管理层是否建立了相关的控制以保证自我评价或定期的系统评价的有效性

注册会计师可以关注被审计单位管理层对内部控制系统的评价是否有适当的范围和频率。管理层需要对内部控制进行评价,并且评价过程需由具备相应技能和了解企业控制设计和运行的人员来执行。评价的范围、覆盖深度以及频率都应是恰当的。

根据控制所应对风险的重要性和控制在降低重大错报风险方面的重要性,管理层可能分别采用不同范围和频率的评价或自我评价措施,以监督财务报告内部控制的有效性。所应对风险越高的控制,以及对于降低特定风险更为关键的控制,可能会被更频繁地测试,并由更有经验、更客观以及更具胜任能力的人员来实施。

4.管理层是否建立了相关的控制以保证监督性控制能够在一个集中的地点有效进行,如共享服务中心等

在一些被审计单位中,某些重要的监督性控制是在集中处理中心或者共享服务中心以集中化或地区化的方式执行的。这些控制可以有效地监督在分散的地点或业务分部的特定控制。

第六节 集中化的处理和控制(包括共享的服务环境)

集中化的处理可以视作企业内部的一种“外包”安排,通过将部分或全部财务报告过程与负责经营的管理层相分离,以改进控制环境并取得规模效益。例如,企业可能设立共享服务中心,向内部的其他下属单位或分部提供日常的会计处理及财务报表编制服务。由于采用集中化管理可以降低各个下属单位或分部负责人对该单位或分部财务报表的影响,并且可以使财务报告内部控制更为有效,所以集中化的财务管理有助于降低财务报表错报的风险。

注册会计师在对共享服务中心执行审计程序时,可以先了解共享服务中心的服务对象以及服务范围,并分析其服务对象的财务报表重大错报风险。针对这些风险,注册会计师可以分析被审计单位是否有相关的内部控制用以降低其下属单位或分部财务报表发生重大错报的风险。

一般而言,特定服务对象单位与财务报表相关的风险越大,注册会计师在进行内部控制测试过程中可能更需要到共享服务中心或其服务对象单位测试与特定服务对象单位相关的内部控制。

如果共享服务中心的内部控制的影响较大,注册会计师可以考虑在内部控制审计工作初期就开始分析其内部控制的性质、对被审计单位的影响等,并且考虑在较早的阶段执行对共享服务中心内部控制的有效性测试,以确定其对进一步审计程序性质、时间安排以及范围的影响。

此外,一般而言,在对共享服务中心的内部控制进行了解或测试时,注册会计师还可以关注共享服务中心与财务报表相关的信息技术系统,特别是系统的复杂程度、使用的软件等因素,以选择合适的内部控制进行测试,其中包括集中处理环境下的信息技术一般控制是否有效。

对于某些被审计单位而言,上级单位可能会定期检查下属单位或分部的财务数据的真实性,以降低下属单位或分部管理层在财务报表上作出不恰当的人为调整的风险。

第七节 监督经营成果的控制

监督经营成果的控制可以视为所有监督性内部控制的一种。一般而言,管理层对于各个单位或业务部门经营情况的监控是企业层面控制的重要内容。例如,被审计单位管理层可能将各个下属单位和业务部门上报的实际生产量、销售量和其他资料,与预算或预期的数字作对比分析,并且跟进差异(如有)的原因及其合理性,以确定财务报表上的金额是否有异常变动。此外,下属单位或业务部门的管理人员可能定期复核上报的财务报表的准确性,并在上报的资料上签字确认,同时下属单位或业务部门对财务报表发生的错报承担责任。

注册会计师在了解和测试与监督经营成果相关的企业层面控制时可以考虑的因素包括(但不限于):

(1)管理层是否定期将经营成果与预算进行对比分析及复核,以分析财务资料是否存在异常情况;

(2)是否定期编制主要经营指标并对这些指标进行审阅及分析,以分析财务资料是否存在异常情况;

(3)是否定期更新经营预测,并且与期末的实际经营结果进行对比分析。

在了解监督经营成果的控制时,注册会计师可以从性质上分析这些监督经营成果的控制是否有足够的精确度以取代对业务流程、应用系统或交易层面的控制的测试。例如,如果管理层对财务报表的定期复核缺乏足够的精确度,注册会计师可能需要对被审计单位的财务报表编制流程中的内部控制进行测试。但是,如果这些监督经营成果的内部控制是有效的,注册会计师可以考虑减少对其他控制的测试。

第八节 企业层面控制对其他控制及其测试的影响

不同的企业层面控制在性质和精确度上存在差异,注册会计师应当考虑这些差异对其他控制及其测试的影响。

影响控制精确度的因素包括:

(1)重要账户或列报的性质;

(2)控制本身的目标;

(3)控制所利用数据的细化程度;

(4)审计中曾经识别的错报:

(5)管理层进行调查的标准,包括控制能够防止、发现或纠正潜在重大错报的性质和大小:

(6)控制执行的一贯性:

(7)在与其他控制程序相关时,所使用数据的可靠性以及数据之间相互印证的程度。

如果某企业层面控制本身精确到足以及时防止或发现并纠正一个或多个相关认定

中存在的重大错报,足以应对评估的重大错报风险,注册会计师可以不必测试与该风险相关的其他控制。

例如,被审计单位设立了银行余额调节表的监督审阅流程,并且对下属所有分级机构作出定期检查,以确定所有下属单位已经做好银行余额调节表的编制、审阅及跟踪工作。如果这个监督审阅过程中的程序有足够的精确度以复核各个下属单位的工作是否恰当,那么注册会计师可以考虑测试这个企业层面控制,并且不必对下属每个单位的银行余额调节表相关控制进行测试。

某些企业层面控制能够监督其他控制的有效性。管理层设计这些控制可能是为了识别其他控制出现的失效情况。但是,这些控制本身并不足以精确到及时防止或发现并纠正相关认定的重大错报。当这些控制运行有效时,注册会计师可以减少原本拟对其他控制的有效性进行的测试。

例如,被审计单位的财务总监定期审阅经营收入的详细月度分析报告。由于这个控制没有足够的精确度以及时防止或发现某个财务报表认定的重大错报,所以这个控制不可以完全替代注册会计师对其他控制的测试。但是,如果这个控制有效的话,可以使注册会计师修改其原本拟对其他控制所进行的测试程序。

某些企业层面控制(如某些与控制环境相关的控制)对及时防止或发现并纠正相关认定的错报的可能性有重要影响。虽然这种影响是间接的,但这些控制仍然可能影响注册会计师拟测试的其他控制及其对其他控制所执行程序的性质、时间安排和范围。

注册会计师对企业层面内部控制的评价,可能增加或减少本应对其他控制进行的测试。例如:

(1)控制环境的有效性可能影响注册会计师对其他控制测试的性质、时间和范围的安排。在控制环境存在缺陷的情况下,注册会计师可能选择增加执行审计工作的组成部分的数量,将更多的审计程序放在期末而不是中期执行,或在将期中控制测试结果更新至基准日时,改变前推程序的性质以获取更有说服力的审计证据。

(2)企业层面控制(特别是监督其他控制的控制)的有效性是影响与某项控制相关的风险因素之一。如果相关企业层面控制无效,注册会计师综合该因素及其他相关因素判断某流程层面控制的相关风险较高,则需要基于对该流程层面控制相关风险较高的判断扩大控制测试的样本规模。

本章附录4-1提供了企业层面控制的了解和测试工作底稿参考格式。

附录4-1:企业层面控制的了解和测试工作底稿示例

以下举例以一家拥有30家分公司的A股上市的大型企业为假设条件,针对项目组在实施企业层面控制测试时可以考虑的要素和方面进行实例说明,并未列示项目组所有应当考虑的控制,所列示的控制也不一定适用于所有项目的具体情况。项目组在实务工作中需要根据企业的具体情况识别控制,并根据对风险的评估选取适当的样本量进行测试(本例中样本量的选取方法仅作参考)。同时,本例仅用于举例说明针对内部控制的设计和运行有效性计划的测试程度,具体的测试过程(包括对询问和所选取样本的记录等)需另附工作底稿记录(本工作底稿示例省略)。

一、与控制环境(即内部环境)相关的控制

(一)测试控制设计和运行的有效性

1.1管理层的理念和经营风格

1.1.1了解内部控制

编号控制名称控制描述是否为反舞弊控制内部控制的性质(人工控制/自动化控制/包含自动化成分的人工控制)内部控制的频率(每年一次/每季一次/每月一次/每周一次/每天一次/每天多次/其他)执行内部控制的人员的知识、经验和技能与控制相关的风险
CE1-1职位说明书明确各岗位的任职要求和职责权限1.企业制定了职位说明书,经总经理批准后发放给员工。职位说明书规定了各岗位履行职责所需的知识与技能等任职条件,并描述了各岗位的工作权限与义务。2.各部门负责人每年度对本部门相关的职位说明进行复核并进行必要的更新,更新后的职位说明书经总经理审批后公布实施。人工控制每年一次总经理具有10年以上相关行业经验,对企业经营有深入的了解;各部门负责人均具有5年以上从业经验,了解本部门所需人员的能力要求。较低
CE1-2设置恰当的组织结构并根据业务变化及时更新1.企业根据其自身业务需要设置组织结构.并通过内部网页向所有员工传达。2.董事会每年开会讨论组织结构的效率和效果,并根据业务的发展变化考虑是否需要更新。人工控制每年一次董事会成员均符合企业规定的任职条件,了解企业经营状况。较低
CE1-3对候选员工的背景调查和聘用审批1.当需要招聘人员时,由拟聘用该人员的部门拟定招聘计划(包括岗位具体职责、任职条件及工作要求等),经部门负责人、人力资源部负责人和总经理批准后,由人力资源部负责招聘。2.应聘人员提交的资料首先由人力资源部经理进行背景调查(包括但不限于联络推荐人,获取资格/专业证书复印件等),通过背景调查的人员由人力资源部负责人和相关部门负责人面试,其聘用需经人力资源部负责人和相关部门负责人共同批准。重要管理层岗位(包括部门负责人、承担重要财务报告职责的人员等)的任命还需总经理批准。3.被聘用的人员需与企业签订标准的劳动合同。标准劳动合同模板由法律合规部和人力资源部共同拟定,包含了工资、雇佣期限、试用期、保密要求等关键劳动合同条款。人工控制每天多次(截至20××年8月期中测试时约新聘员工300人,视为每天多次的人工控制。)人力资源部负责人具有10年以上人力资源管理经验;各部门负责人均具有5年以上从业经验,了解本部门所需人员的能力要求。较低

1.1.2评价内部控制的设计有效性

编号内部控制审计程序工作底稿索引号设计的有效性(有效/无效)在评价控制设计有效性的过程中是否已实施控制运行有效性测试
CE1-1职位说明书明确了各岗位的任职要求和职责权限1.就企业的职位说明书和年度更新情况向总经理进行询问;2.获取并检查企业的职位说明书以及总经理审批职位说明书更新的相关记录。XX有效
CE1-2设置恰当的组织结构并根据业务变化及时更新1.询问总经理企业的组织结构设置及职责分配情况;2.检查企业当年度的组织结构图以及公开组织结构的内部网页;3.检查董事会审议组织结构的会议记录。XX有效
CE1-3对候选员工的背景调查和聘用审批1.询问人力资源部负责人企业的聘用流程;2.查阅一位新聘用员工的档案资料,检查其招聘计划是否经过相关部门负责人、人力资源部负责人和总经理的审批;人力资源部是否已对其进行背景调查;该员工的聘用是否经适当人员批准;是否已签订标准的劳动合同。XX有效

1.1.3实施内部控制运行有效性测试

编号内部控制与控制相关的风险内部控制的性质实施的审计程序样本量样本量相关说明(如适用)是否执行前推程序前推程序样本量工作底稿索引号运行的有效性(有效/无效)
CE1-1职位说明书明确了各岗位的任职要求和职责权限较低人工控制不适用(每年一次,上述控制设计有效性评价同时适用于运行有效性测试)否(年末执行测试,因此不必执行前推程序)XX有效
CE1-2设置恰当的组织结构并根据业务变化及时更新较低人工控制不适用(每年一次,上述控制设计有效性评价同时适用于运行有效性测试)否(年末执行测试,因此不必执行前推程序)XX有效
CE1-3对候选员工的背景调查和聘用审批较低人工控制查阅当年度人职的25名员工的档案资料,确定其招聘计划是否经部门负责人、人力资源部负责人和总经理审批;人力资源部经理是否已对其进行背景调查;其聘用是否经适当批准;是否已签订标准劳动合同。25截至8月执行期中测试时约新聘员工300人,视为每天多次的人工控制。询问人力资源部负责人,确定员工的聘用流程在剩余期间是否发生变化。如果期中测试后未发生变化,则不再抽取样本进行测试。XX有效

1.2诚信和道德价值观念的沟通与落实

1.2.1了解内部控制

编号控制名称控制描述是否为反舞弊控制内部控制的性质(人工控制/自动化控制/包含自动化成分的人工控制)内部控制的频率(每年一次/每季一次/每月一次/每周一次/每天一次/每天多次/其他)执行内部控制的人员的知识、经验和技能与控制相关的风险
CE1-4《行为守则》1.企业制定了员工需遵循的《行为守则》。《行为守则》包括对利益冲突、关联交易、保密、公平交易、企业资产的保护和适当利用、差旅招待费用的处理、遵守法律法规等事项的要求,并制定了针对违规行为的相关惩戒政策。《行为守则》公布在公司网页,供员工随时了解,《行为守则》及网页信息由人力资源部负责更新。2.员工人职培训中包括职业操守相关内容,员工需要参加培训后签署《行为守则》并提交人力资源部保存。3.每年末,企业所有员工需要签署已阅读和遵守《行为守则》的声明,人力资源部负责人负责复检签署人员名单,以确保所有员工均已签置。人工控制控制1:每年一次控制2:每天多次(截至9月执行期中测试时约新聘员工300人,视为每天多次的人工控制。)控制3:每年一次人力资源部负责人具有10年以上人力资源管理经验。较低

1.2.2评价内部控制的设计有效性

编号内部控制审计程序工作底稿索引号设计的有效性(有效/无效)在评价控制设计有效性的过程中是否已实施控制运行有效性测试
CE1-4《行为守则》1.就《行为守则》及员工培训情况向人力资源部负责人进行询问;2.获取并复核企业《行为守则》,检查企业公布《行为守则》的内部网页;3.获取并复核企业当年度的员工人职培训的培训资料和培训记录;4.从当年度人职员工名单中抽取一位新人职员工,检查其是否参加了有关职业操守培训并签署了遵守《行为守则》的声明。XX有效

1.2.3实施内部控制运行有效性测试

编号内部控制与控制相关的风险内部控制的性质实施的审计程序样本量样本量相关说明(如适用)是否执行前推程序前推程序样本量工作底稿索引号运行的有效性(有效/无效)
CEl-4《行为守则》较低人工控制1.抽取当年度人职的25名员工,检查其是否已参加包括职业操守在内的入职培训并签署遵守《行为守则》的声明。2.在针对业务流程层面执行控制设计有效性测试时,询问员工对《行为守则》的了解。25截至8月执行期中测试时约新聘员工300人,视为每天多次的人工控制。1.询问人力资源部负责人相关控制是否发生变化。2.检查人力资源部负责人对年末签署遵守《行为守则》声明的员工名单的复核记录。如果存在未遵守要求的人员,确认人力资源部是否已采取适当跟进措施。1XX有效

1.3治理层的参与程度

1.3.1了解内部控制

编号控制名称控制描述是否为反舞弊控制内部控制的性质(人工控制/自动化控制/包含自动化成分的人工控制)内部控制的频率(每年一次/每季一次/每月~次/每周一次/每天一次/每天多次/其他)执行内部控制的人员的知识、经验和技能与控制相关的风险
CEl-5审计委员会的权限与职责1.审计委员会成员中独立董事占多数,召集人为独立董事和会计专业人士。董事会每年对审计委员会成员的独立性和胜任能力进行评估。审计委员会具体职责包括:2.每季度复核并审批财务报表,审阅公司会计政策与财务报表相关的重要管理层假设及其判断等事项。3.每季度对内审部工作情况、发现的内部控制问题及跟进处理情况进行检查;4.负责与外部审计机构的协调工作,每年与公司外部审计机构进行交流,讨论在内部控制自我评价中发现的问题以及外部审计中发现的问题等事项。人工控制控制1、4:每年一次控制2、3:每季一次审计委员会成员拥有必要的财务知识,对企业情况有适当的了解。较低

1.3.2评价内部控制的设计有效性

编号内部控制审计程序工作底稿索引号设计的有效性(有效/无效)在评价控制设计有效性的过程中是否已实施控制运行有效性测试
CEl-5审计委员会的权限与职责1.就审计委员会成员的独立性、审计委员会的职责等向审计委员会负责人进行询问;2.获取并检查审计委员会成员的背景描述资料及董事会有关审计委员会成员年度评估的会议记录;3.获取审计委员会第二季度的会议记录,检查其对财务报表的审批和内审工作情况的复核。XX有效

1.3.3实施内部控制运行有效性测试

编号内部控制与控制相关的风险内部控制的性质实施的审计程序样本量样本量相关说明(如适用)是否执行前推程序前推程序样本量工作底稿索引号运行的有效性(有效/无效)
CEl-5审计委员会的权限与职较低人工控制获取审计委员会第一季度和第二季度的会议记录,检查其对财务报表的审批和内审工作情况的复核。2每季一次的控制参加审计委员会与注册会计师的年末沟通会议,观察审计委员会就财务报告和内部控制等问题与注册会计师进行的沟通。不适用XX有效

(二)结论

对与控制环境(即内部环境)相关的控制的设计和运行有效性形成的结论有效无效

如识别出控制缺陷,记录对审计工作的影响

对控制缺陷的描述对审计工作的影响

二、针对管理层和治理层凌驾于控制之上的风险而设计的控制

2.测试控制设计和运行的有效性

2.1了解内部控制

编号控制名称控制描述是否为反舞弊控制内部控制的性质(人工控制/自动化控制/包含自动化成分的人工控制)内部控制的频率(每年一次/每季一次/每月一次/每周一次/每天一次/每天多次/其他)执行内部控制人员的知识、经验和技能与控制相关的风险
CE2-1独立董事的定期监督公司独立董事每季度查阅一次公司与关联方之间的资金往来情况,了解公司是否存在被董事、监事、高级管理人员、控股股东、实际控制人及其关联方占用、转移公司资金、资产及其他资源的情况,并形成书面报告。如发现异常情况,及时提请公司董事会采取相应措施。人工控制每季一次独立董事具备独立性,对企业运营状况有适当了解。较低
CE2-2举报热线的设置和举报信息的处理1.公司设立了举报热线鼓励员工举报任何违反《行为守则》要求的行为或舞弊等违规行为。举报热线由独立的第三方负责维护,员工可以采取匿名方式进行举报。公司政策严禁对善意举报人进行报复,对于采取报复行为的个人,公司将采取适当的处理措施。举报热线已公布在公司网页,供员工随时了解。2.对于举报的违规行为,内审部及人力资源部负责进行调查并按照公司政策进行惩戒,员工受到的惩戒会在其年度业绩评价中予以考虑。人工控制每季一次(截至20xx年8月期中测试时,举报热线共记录违规行为2项,视为每季一次的控制)内审部负责人和人力资源部负责人具有10年以上相关经验。熟悉企业内部控制和人员管理相关政策。较高

2.2评价内部控制的设计有效性

编号内部控制审计程序工作底稿索引号设计的有效性(有效/无效)在评价控制设计有效性的过程中是否已实施控制运行有效性测试
CE2-1独立董事的定期监督1.就独立董事的监督情况向审计委员会负责人进行询问;2.获取并检查独立董事第二季度的书面报告,如存在异常情况,检查独立董事是否采取了进一步措施。XX有效
CE2-2举报热线的设置和举报信息的处理1.就举报热线的设置和举报信息的处理向内审部负责人和人力资源部负责人进行交叉询问;2.检查企业公布举报热线的内部网页;3.获取企业的举报热线记录,抽取其中一项举报信息,检查其反映违规行为的调查结果及处理记录。XX有效

2.3实施内部控制运行有效性测试

编号内部控制与控制相关的风险内部控制的性质实施的审计程序样本量样本量相关说明(如适用)是否执行前推程序前推程序样本量工作底稿索引号运行的有效性(有效/无效)
CE2-1独立董事的定期监督较低人工控制获取并检查独立董事第二季度和第四季度的书面报告。2每季一次的控制否(年末测试,因此不必执行前推程序)XX有效
CE2-2举报热线的设置和举报信息的处理较高人工控制1.查阅企业的举报热线记录,检查举报反映的员工违规行为是否已经恰当处理;2.在针对业务流程层面执行控制设计有效性测试时,询问员工对违反公司政策的惩戒规定以及举报热线信息的了解。2截至20XX年8月举报热线共记录违规行为2项,视为每季一次的控制;考虑到对违反公司政策的惩戒处理需要较多的判断,我们评估控制失效风险为高,并选择测试所有已记录举报信息的处理。1.就举报信息的处理和惩戒政策是否有变化,向人力资源部和内审部负责人进行询问;2.查阅20XX年剩余期间的举报热线记录,检查举报的违规行为是否已经恰当处理。l(根据9月至12月间的实际举报记录)XX有效

(二)结论

有关针对管理层和治理层凌驾于控制之上的风险而设计的控制的设计和运行有效性的结论有效无效

如识别出控制缺陷,记录对审计工作的影响

对控制缺陷的描述对审计工作的影响

三、被审计单位的风险评估过程

(一)测试控制设计和运行的有效性

3.1了解内部控制

编号控制名称控制描述是否为反舞弊控制内部控制的性质(人工控制/自动化控制/包含自动化成分的人工控制)内部控制的频率(每年一次/每季一次/每月一次/每周一次/每天一次/每天多次/其他)执行内部控制人员的知识、经验和技能与控制相关的风险
CE3风险管理部和风险管理委员会对企业风险的监控公司设有专门的风险管理委员会,负责对风险的监控和管理,其执行机构为风险管理部。风险管理部从公司内部(包括中层及上层管理人员及董事)及外部(包括分析师、律师、注册会计师等)人员收集信息,考虑内外部风险进行风险评估,并提出应对措施。风险管理部每季度汇总编制风险评估报告(包括对舞弊风险的考虑)并向风险管理委员会报告。人工控制每季一次风险管理部和风险管理委员会均独立于业务部门,负责人具有适当的管理经验。较低

3.2评价内部控制的设计有效性

编号内部控制审计程序工作底稿索引号设计的有效性(有效/无效)在评价控制设计有效性的过程中是否已实施控制运行有效性的测试
CE3风险管理部和风险管理委员会对企业风险的监控1.就风险管理部的工作职责向风险管理部负责人进行询问;2.就风险管理委员会对风险管理部工作的监督情况向风险管理委员会负责人进行询问;3.获取并检查风险管理部向风险管理委员会提交的第二季度风险评估报告及风险管理委员会的复核记录。XX有效

3.3实施内部控制运行有效性测试

编号内部控制与控制相关的风险内部控制的性质实施的审计程序样本量样本量相关说明(如适用)是否执行前推程序前推程序样本量工作底稿索引号运行的有效性(有效/无效)
CE3风险管理部和风险管理委员会对企业风险的监控较低人工控制获取并检查风险管理部向风险管理委员会提交的第二季度和第四季度风险评估报告及风险管理委员会的复核记录。2每季一次的控制否(年末执行测试,因此不必执行前推程序)XX有效

(二)结论

对与被审计单位的风险评估过程相关的控制的设计和运行有效性形成的结论有效无效

如识别出控制缺陷,记录对审计工作的影响

对控制攻陷的描述对审计工作的跖响

四、对内部信息传递和期末财务报告流程的控制

(一)测试控制设计和运行的有效性

4.1了解内部控制

编号控制名称控制描述是否为反舞弊控制内部控制的性质(人工控制/自动化控制/包含自动化成分的人工控制)内部控制的频率(每年一次/每季一次/每月一次/每周一次/每天一次/每天多次/其他)执行内部控制人员的知识、经验和技能与控制相关的风险
CE4财务部负责人对财务报表合并过程的复核财务部负责人每季度复核企业合并财务报表的编制并签字确认,复核工作包括:1.与上期合并财务报表进行对比分析;2.合并范围检查;3.将合并财务报表中的科目追踪至组成部分报表及合并调整分录,以验证数据的正确性;4.复核合并调整分录及其支持性文件(此控制目的在于监督会计人员相关控制的执行,并未精确到足以防止或发现并纠正认定层次重大错报)。人工控制每季一次财务部负责人从业5年以上,拥有中国注册会计师资格,对企业的财务状况有深入了解。较高

4.2评价内部控制的设计有效性

编号内部控制审计程序工作底稿索引号设计的有效性(有效/无效)在评价控制设计的有效性的过程中是否已实施控制运行有效性测试
CE4财务部负责人对财务报表合并过程的复核1.询问财务部负责人对合并财务报表的复核和审批过程;2.获取并复核财务部负责人对第二季度财务报表的审批记录。XX有效

4.3实施内部控制运行有效性测试

编号内部控制与控制相关的风险内部控制的性质审计程序的性质、时间安排和范围样本量样本量相关说明(如适用)是否执行前推程序前推程序样本量工作底稿索引号运行的有效性(有效/无效)
CE4财务部负责人对财务报表合并过程的复核较高人工控制获取并复核财务部负责人对第一季度和第二季度财务报表的审批记录。2每季一次询问财务部负责人该控制的执行是否发生变化;获取并复核财务部负责人对年度财务报表的复核记录。1XX有效

(二)结论

有关对内部信息传递和期末财务报告流程的控制的设计和运行有效性的结论有效无效

如识别出控制缺陷,记录对审计工作的影响

对控制缺陷的描述对审计工作的影响

五、对控制有效性的内部监督(即监督其他控制的控制)和内部控制评价

(一)测试控制设计和运行的有效性

5.1了解内部控制

编号控制名称控制描述是否为反舞弊控制内部控制的性质(人工控制/自动化控制/包含自动化成分的人工控制)内部控制的频率(每年一次/每季一移∥每月一次/每周一次/每天一次/每天多次/其他)执行内部控制人员的知识、经验和技能与控制相关的风险
CE5内审部对控制的监督企业设有内审部,内审部独立于业务和财务部门,负责监督内部控制的执行,并直接向审计委员会报告。内审部每年拟定内部审计计划(包括评价范围、人员组织等内容),报经审计委员会审批后实施。内审部按照经审批的审计计划执行工作,并在年末就实际执行结果与计划的对比情况向审计委员会报告。人工控制每年一次内审部人员均独立于业务部门,经过适当培训。具有内审相关资格。较低

5.2评价内部控制的设计有效性

编号内部控制审计程序工作底稿索引号设计的有效性(有效/无效)在评价控制设计有效性的过程中是否已实施控制运行有效性测试
CE5内审部对控制的监督1.就内审部的职责及汇报流程等向内审部负责人进行询问;2.获取并检查经审计委员会批准的年度内部审计计划。XX有效

5.3实施内部控制运行有效性测试

编号内部控制与控制相关的风险内部控制的性质实施的审计程序样本量样本量相关说明(如适用)是否实施前推程序前推程序样本量工作底稿索引号运行的有效性(有效/无效)
CE5内审部对控制的监督较低人工控制注册会计师在参加审计委员会年度会议时,关注审计委员会是否获得了内审部的工作报告以及对该报告的复核。1每年一次的控制否(年末执行测试,因此不必执行前推程序)XX有效

(二)结论

有关对控制有效性的内部监督(即监督其他控制的控制)和内部控制评价相关的控制的设计和运行有效性的结论有效无效

如识别出控制缺陷,记录对审计工作的影响

对控制缺陷的描述对审计工作的影响

六、集中化的处理及控制(包括共享的服务环境)

(一)测试控制设计和运行的有效性

6.1了解内部控制

编号控制名称控制描述是否为反舞弊控制内部控制的性质(人工控制/自动化控制/包含自动化成分的人工控制)内部控制的频率(每年一次/每季一次/每月一次/每周一次/每天一次/每天多次/其他)执行内部控制人员的知识、经验和技能与控制相关的风险
CE6付款的集中处理集团代表各分公司统一进行原材料的采购和付款。根据付款期限,集团采购部负责人复核相关合同、签收单等支持性文件后,签署付款申请单并提交集团财务部,集团财务部负责人复核相关支持性文件并确认付款。人工控制每天多次采购部负责人和财务部负责人均从业5年以上,具有适当的经验。较低

6.2评价内部控制的设计有效性

编号内部控制审计程序工作底稿索引号设计的有效性(有效/无效)在评价控制设计有效性的过程中是否已实施控制运行有效性测试
CE6付款的集中处理1.就付款的审批流程向采购部负责人和财务部负责人进行询问;2.抽取一份付款凭证,检查采购部负责人和财务部负责人对相关支持性文件进行复核的记录。XX有效

6.3实施内部控制运行有效性测试

编号内部控制与控制相关的风险内部控制的性质实施的审计程序样本量样本量相关说明(如适用)是否执行前推程序前推程序样本量工作底稿索引号运行的有效性(有效/无效)
CE6付款的集中处理较低人工控制从应付账款明细账的付款记录中抽取25笔付款记录,检查采购部负责人和财务部负责人对相关支持性文件进行复核的记录。25每天多次询问财务部负责人剩余期间该控制的执行是否发生变化。若期中测试后未发生变化,则不再抽取样本进行测试。XX有效

(二)结论

有关集中化的处理和控制(包括共享的服务环境)的设计和运行有效性的结论有效无效

如识别出控制缺陷,记录对审计工作的影响

对控制缺陷的描述对审计工作的影响

七、监控经营成果的控制

(一)测试控制设计和运行的有效性

7.1了解内部控制

编号控制名称控制描述是否为反舞弊控制内部控制的性质(人工控制/自动化控制/包含自动化成分的人工控制)内部控制的频率(每年一次/每季一次/每月一次/每周一次/每天一次/每天多次/其他)执行内部控制人员的知识、经验和技能与控制相关的风险
CE7对分公司经营状况的持续监督30家分公司每月编制财务快报,将其经营成果与预算进行对比分析(假设该控制是同质化控制),经分公司负责人确认后提交集团财务部负责人和总经理复核(假设此控制并未精确到足以防止或发现并纠正认定层次重大错报的层次)。人工控制每月一次(全年360次)财务总部负责人从业10年以上,拥有中国注册会计师资格,对企业的财务状况有深入了解。总经理具有lO年以上相关行业经验,对企业经营有深入的了解。较低

7.2评价内部控制的设计有效性

编号内部控制审计程序工作底稿索引号设计的有效性(有效/无效)在评价控制设计有效性的过程中是否已实施控制运行有效性测试
CE7对分公司经营状况的持续监督1.就每月对分公司财务快报的复核过程询问财务总监和总经理;2.获取并检查6月份财务部负责人和总经理对各分公司财务快报的复核记录。:XX有效

7.3实施内部控制运行有效性测试

编号内部控制与控制相关的风险内部控制的性质实施的审计程序样本量样本量相关说明(如适用)是否执行前推程序前推程序样本量工作底稿索引号运行的有效性(有效/无效)
CE7对分公司经营状况的持续监督较低人工控制获取并检查6月份和11月份财务部负责人和总经理对各分公司财务快报的复核记录。25每月一次的控制,共30家分公司,全年共360次否(年来执行测试,因此不必执行前推程序)XX有效

(二)结论

有关监控经营成果的控制的设计和运行有效性的结论有效无效

如识别出控制缺陷,记录对审计工作的影响

对控制缺陷的描述对审计工作的影响

八、针对重大经营控制及风险管理实务的政策

(一)测试控制设计和运行的有效性

8.1了解内部控制

编号控制名称控制描述是否为反舞弊控制内部控制的性质(人工控制/自动化控制/包含自动化成分的人工控制)内部控制的频率(每年一次/每季一次/每月一次/每周一次/每天一次/每天多次/其他)执行内部控制人员的知识、经验和技能与控制相关的风险
CE8《重特大事件应急预案》的制定和实施企业根据其业务特点制定了《重特大事件应急预案》,经董事会审批后传达至各分公司,要求各分公司发生重特大事件时按照预案规定及时上报集团董事会,经批准后采取对应的应急措施。董事会秘书负责整理事件相关信息,按照规定进行信息披露。人工控制每年一次(截止20xx年8月份期中测试时,当年度未实际发生重特大事件。)董事会成员均符合企业规定的任职条件,了解企业经营状况。董事会秘书具有10年以上工作经验,熟悉证监会相关披露规定。较高

8.2评价内部控制的设计有效性

编号内部控制审计程序工作底稿索引号设计的有效性(有效/无效)在评价控制设计有效性的过程中是否已实施控制运行有效性测试
CE8《重特大事件应急预案》的制定和实施1.就《重特大事件应急预案》’的制定和实施向董事会秘书和XX分公司负责人进行询问;2.获取并检查企业的《重特大事件应急预案》;3.检查企业向各分公司传达《重特大事件应急预案》要求的相关记录。XX有效是(截止20XX年8月份期中测试时,当年度未实际发生重特大事件。)

8.3实施内部控制运行有效性测试

编号内部控制与控制相关的风险内部控制的性质是否执行前推程序前推程序样本量工作底稿索引号运行的有效性(有效/无效)
CE8《重特大事件应急预案》的制定和实施较高人工控制询问董事会秘书《重特大事件应急预案》在剩余期间是否更新;如果剩余期间实际发生《重特大事件应急预案》规定的重特大事件,检查相关部门是否及时向集团董事会报告并根据审批采取应急措施,检查企业是否按照规定进行信息披露。根据剩余期间的实际情况确定。XX有效

(二)结论

有关针对重大经营控制及风险管理实务的政策的设计和运行有效性的结论有效无效

如识别出控制缺陷,记录对审计工作的影响

对控制缺陷的描述对审计工作的影响
上次编辑于: