2012年8月份国家学院厦门内控培训资料企业层面控制的测试.pptVIP

* * * * * * * * * * * * * * * * * * * * * * * * * 企业层面控制的评价结果对其他控制测试的影响 企业层面控制的评价结果可能影响注册会计师测试其他控制的性质、时间安排和范围，例如： 在控制环境存在缺陷的情况下，注册会计师可能选择： 增加执行审计工作的组成部分数量 在将期中控制测试结果更新至基准日时，改变前推程序的性质以获取更有说服性的审计证据 企业层面控制（特别是监督其他控制的控制）的有效性是影响与某项控制相关的风险因素之一 如果相关企业层面控制无效，注册会计师综合该因素及其他相关因素判断某流程层面控制的相关风险较高，则需要基于对该流程层面控制相关风险较高的判断扩大控制测试的样本规模 * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 2. 针对管理层和治理层凌驾于控制之上的风险而设计的控制 * 实施意见二(三)部分 2.针对管理层和治理层凌驾于控制之上的风险而设计的控制--示例 要点 内部控制 控制描述 公司设立了举报专线鼓励员工举报任何违反《操守准则》要求的行为或舞弊等违规行为。举报专线由独立的第三方负责维护，公司政策明确禁止对善意举报人施加报复。对于进行报复行为的人，公司将采取适当的处罚措施 举报专线已公布在公司网页，供员工随时了解 对于举报的违规行为，内审部及人力资源部负责进行调查并按照公司政策进行惩戒，员工受到的惩戒会在其年度业绩评价中予以考虑 控制特点 人工控制 截至2011年8月期中测试时，举报专线共记录违规行为2项，视为每季一次的控制 与控制相关的风险较高（根据实施意见所列因素综合判断） 内审部及人力资源部负责人均从业多年，具有适当经验 * 2.针对管理层和治理层凌驾于控制之上的风险而设计的控制--示例(续) 要点 测试程序 测试控制的设计 就举报专线的设置、违反公司政策的惩戒规定及举报信息的处理等向内审部负责人和人力资源部负责人进行交叉询问 检查企业公布举报专线的内部网页 获取企业的举报专线记录，抽取其中一项举报信息，检查其反映违规行为的调查结果及处理记录 测试控制的运行 中期： 查阅企业的举报专线记录，检查举报反映的员工违规行为是否已经恰当处理 在针对流程层面执行控制设计有效性测试时，询问员工对违反公司政策的惩戒规定以及举报专线信息的了解 期末： 就举报信息的处理和惩戒政策是否有变化，对人力资源部和内审部负责人进行交叉询问 查阅2011年剩余期间的举报专线记录，并检查举报的违规行为是否已经恰当处理 * * 执行程序的结果，包括询问内容等另附工作底稿记录 3. 被审计单位的风险评估过程 风险评估过程包括识别与财务报告相关的经营风险和其他经营管理风险，以及针对这些风险采取的措施 另外也包括针对重大经营控制及风险管理实务的政策 * 被审计单位的风险评估过程 审计准则第1211号指南 可能产生风险的事项和情形 监管环境和经营环境的变化 新员工 新的或升级的信息系统 快速增长 新技术 新业务模式 企业重组 扩张海外经营 新的会计政策 * 针对重大经营控制及风险管理实务的政策 注册会计师在这方面可以考虑的主要因素包括但不限于： 企业是否建立了重大风险预警机制，明确界定哪些风险是重大风险，哪些事项一旦出现必须启动应急处理机制。应急预案、预警机制等相关的政策和方案应非常明确地传达到相关人员，一旦出现紧急情况，企业能够在第一时间作出反应，将损失降到最低 企业是否建立了突发事件应急处理机制，确保突发事件得到及时妥善处理 注册会计师可以关注突发事件应急管理机制的下列方面： 事前的预防 发生突发事件的应急处理 事后相关措施的改进 * 3. 被审计单位的风险评估过程--示例 要点 内部控制 控制描述 企业设有专门的风险管理委员会，负责对风险的监控和管理，其执行机构为风险管理部。风险管理部从本公司内部（包括中层及上层管理层及董事）及外部（包括分析师、律师、审计师等）人员收集信息，考虑内外部风险进行风险评估，并提出应对措施。风险管理部每季度汇总编制风险评估报告（包括对舞弊风险的考虑）并向风险管理委员会报告 控制特点 人工控制 每季一次 风险管理部和风险管理委员会均独立于业务部门，负责人具有适当的管理经验 控制相关风险较低（根据实施意见所列因素综合判断） * 3. 被审计单位的风险评估过程--示例(续) 要点 测试程序 测试控制的设计 就风险管理部的工作职责和风险评估过程向风险管理部负责人进行询问 就风险管理委员会的复核向风险管理委员会负责人进行询问 获取并检查经风险管理委员会复核的第二季度风险评估报告 测试控制的运行 中期： 获取并检查经风险管理委员会复核的第一季