审计报告第16章 内部控制审计.pptVIP

风险与测试控制中拟获取证据的关系 下列因素影响与某项控制相关的风险： 该项控制拟防止或发现的错报的性质和重要程度； 相关账户、列报及其认定的固有风险； 交易的数量和性质是否发生变化，进而可能对该项控制设计或运行的有效性产生不利影响； 相关账户或列报是否曾经出现错报； 企业层面控制（特别是监督其他控制的控制）的有效性； 该项控制的性质及其执行频率； 该项控制对其他控制（如控制环境或信息技术一般控制）有效性的依赖程度； 执行该项控制或监督该项控制执行的人员的专业胜任能力，以及其中的关键人员是否发生变化； 该项控制是人工控制还是自动化控制； 该项控制的复杂程度，以及在运行过程中依赖判断的程度。 控制测试的时间安排 控制测试涵盖的期间越长，提供的控制有效性的证据越多。 控制测试实施的时间越接近于管理层评估日，提供的控制有效性的证据越有力。 为获取充分、适当的证据，注册会计师应当在下列两个因素之间作出平衡，以确定控制测试的时间： 尽量在接近管理层评估日实施控制测试； 控制测试需要涵盖足够长的期间。 控制测试的时间安排 注册会计师旨在对截至某特定日期（通常是年末）内部控制的有效性出具报告。如果已获取截至期中某日期控制运行有效性的证据，注册会计师应当确定还需要获取哪些补充证据，以证实剩余期间控制的运行情况。 在将期中测试的结果更新至年末时，注册会计师应当考虑下列因素以确定需获取的补充证据： 基准日之前测试的特定控制，包括与控制相关的风险、控制的性质和测试的结果； 期中获取的有关证据的充分、适当性； 剩余期间的长短； 期中测试之后，内部控制发生重大变化的可能性。 * 测试人工控制的最小样本量区间 控制运行 频率 控制运行总次数 测试的最小样本量区间 每年1次 1 1 每季1次 4 2 每月1次 12 2-5 每周1次 52 5-15 每天1次 250 20-40 每天多次 大于250 25-60 控制变更时的处理 在管理层评估日之前，管理层可能为提高控制效率、效果或弥补控制缺陷而改变企业的控制。 如果新控制实现了相关控制目标，且运行足够长的时间，注册会计师能够通过对控制进行测试评价其设计和运行的有效性，则无需测试被取代的控制。 如果被取代控制的运行有效性对控制风险的评估有重大影响，注册会计师应当测试被取代控制的设计和运行的有效性。 * 整改后控制运行的最短期间（或最少运行次数）和最少测试数量 控制运行 频率 整改后控制运行的最短期间或 最少运行次数 测试的最数量 每年1次 1 1 每季1次 2季 2 每月1次 2月 2 每周1次 5周 5 每天1次 20天 20 每天多次 25次（分布于涵盖多天的期间，通常不少于15天） 25-60 实施审计工作—步骤—评价控制偏差 评估企业层面控制 评估业务层面控制 评价控制偏差 特殊事项的考虑 信息系统控制 财务报告流程 选择拟测试的控制 测试内部控制 评价控制缺陷 特殊考虑 评价控制偏差 控制偏差 内控测试中，CPA选择进行测试的某个控制没有按照控制设计的要求被有效执行或没有执行。 发现控制例外时，CPA首先要确认其是否构成一项控制偏差。如果是，则应该调查控制偏差额属性形成原因，并评价控制偏差对原定审计程序的影响 控制偏差的属性 系统性：无需扩大样本量，直接视为内部控制缺陷 随机性：确定适当的审计应对措施，如：扩大样本量、直接视为内部控制缺陷 评价控制偏差流程图 对信息系统控制的考虑 CPA测试业务层面控制，应当关注信息系统对内部控制及风险评估的影响 确定信息系统范围 信息系统环境控制 评价信息系统一般控制 评价应用系统控制 评价电子表格相关控制 对财务报告流程的考虑 财务报告流程将企业会计记录中反映的业务转换为会计报表和相关列报 通常作为一个单独的重大业务流程 财务报告流程对于业务层面的很多流程都存在联系和影响，因此，CPA应在评估企业层面控制同时考虑这一流程 对财务报告流程的考虑 对财务报告流程进行了解的起点 原则：确定对财务报告流程了解的起点，与对各重大业务流程了解的终点重合 常规的重大业务流程：业务分录过帐到总账 包含会计估计的重大业务流程：包括会计估计的真个过程，或，从会计估计的中途开始 对财务报告流程进行了解的程度 取决于财务报告流程的复杂性 考虑：董事会、经理层凌驾于已识别财务报告流程控制之上的风险以往审计中获得的对企业的经验和认识，以及，审计中发现的错报的数量和性质 执行穿行测试，了解财务报告各子流程 编制试算平衡表，并进行任何必要的合并 生成、授权和记录记账分录 编制财务报表及相关列报 识别可能出错项 识别相关控制 实施审计工作—步骤—评价控制缺陷 评估企业层面控制 评估业务层面控制 评价控制偏差 特殊事项的考虑 信息系统控制 财务