企业层面控制的测试杨昕.ppt

3. 被审计单位的风险评估过程--示例 要点 内部控制 控制描述 企业设有专门的风险管理委员会，负责对风险的监控和管理，其执行机构为风险管理部。风险管理部从本公司内部（包括中层及上层管理层及董事）及外部（包括分析师、律师、审计师等）人员收集信息，考虑内外部风险进行风险评估，并提出应对措施。风险管理部每季度汇总编制风险评估报告（包括对舞弊风险的考虑）并向风险管理委员会报告 控制特点 人工控制 每季一次 风险管理部和风险管理委员会均独立于业务部门，负责人具有适当的管理经验 控制相关风险较低（根据实施意见所列因素综合判断） 3. 被审计单位的风险评估过程--示例(续) 要点 测试程序 测试控制的设计 就风险管理部的工作职责和风险评估过程向风险管理部负责人进行询问 就风险管理委员会的复核向风险管理委员会负责人进行询问 获取并检查经风险管理委员会复核的第二季度风险评估报告 测试控制的运行 中期： 获取并检查经风险管理委员会复核的第一季度和第二季度风险评估报告 期末： 向风险管理部负责人和风险管理委员会负责人询问对风险的监控是否发生变化 获取并检查经风险管理委员会复核的第四季度风险评估报告 * 执行程序的结果，包括询问内容等另附工作底稿记录 内部信息传递是指企业内部各管理层级之间通过内部报告形式传递生产经营管理信息的过程 实施意见三(二)部分 4. 对内部信息传递和期末财务报告流程的控制 应用指引第17号第2条 期末财务报告流程 将交易总额登入总分类账的程序 与会计政策的选择和运用相关的程序 总分类账中会计分录的编制、批准等处理程序 对财务报表进行调整的程序 编制财务报表的程序 间接企业层面控制 内部控制和财务报表认定 财务报表重大账户 业务操作 重要交易类别，重要业务流程和子流程 业务流程产生的风险 广泛的业务流程层面的考量 直接企业层面控制 具体的交易层面控制 自动控制和程序 依赖于信息系统的人工控制 人工控制 信息技术一般控制 使用信息系统产生的风险 信息系统环境 信息系统和设施 财务数据 财务报表 系统产生的报表 财务报表认定 准确性 完整性 截止 存在与发生 权利与义务 分类与可理解性 计价与分摊 期末财务报告流程 对期末财务报告流程的评价 被审计单位财务报表的编制流程，包括输入、处理及输出 期末财务报告流程中运用信息技术的程度 管理层中参与期末财务报告流程的人员 纳入财务报表编制范围的组成部分 调整分录及合并分录的类型 管理层和治理层对期末财务报告流程进行监督的性质及范围 实施意见三(二)部分 4.对内部信息传递和期末财务报告流程的控制--示例1 要点 内部控制 控制描述 财务经理每季度复核授权报告，检查报告中列示的有权输入会计分录的人员清单及其经授权能够进入的账户的信息 控制特点 人工控制 每季一次 财务经理从业多年，具有适当的经验 控制相关风险较低（根据实施意见所列因素综合判断） 4.对内部信息传递和期末财务报告流程的控制--示例1（续） 要点 测试程序 测试控制的设计 就每季对授权报告的复核过程询问财务经理 获取并检查第二季度的授权报告及财务经理的复核记录 根据注册会计师对财务报告相关人员职责的了解，复核第二季度的授权报告，与财务经理讨论注意到异常的情况(如存在) 测试控制的运行 中期： 获取并检查第一季度和第二季度的授权报告及财务经理的复核记录 期末： 询问财务经理该控制执行是否发生变化 获取并检查第四季度的授权报告和复核记录 * 执行程序的结果，包括询问内容等另附工作底稿记录 4.对内部信息传递和期末财务报告流程的控制--示例2 要点 内部控制 控制描述 当根据业务需要和相关会计准则的变更需要改变ERP系统会计科目的设置时，财务人员提出的会计科目变更申请表要经财务总监复核和批准后提交ERP系统维护人员，由其创建会计科目数据文件，该数据文件需经ERP系统负责人复核 控制特点 人工控制 截至2011年8月期中测试时发生4次，视为每季一次的控制 财务总监和ERP系统负责人从业多年，具有适当的经验 控制相关风险较低（根据实施意见所列因素综合判断） 4.对内部信息传递和期末财务报告流程的控制--示例2（续） 要点 测试程序 测试控制的设计 就对会计科目变更申请表和会计科目数据文件的复核过程询问财务总监和ERP系统负责人 就一次会计科目的变更记录，获取会计科目变更申请表和会计科目数据文件并检查财务总监和ERP系统