业务流程层面控制测试的实务操作.pptx

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,#,业务流程层面,控制测试的实务操作,主讲人：德勤华永会计师事务所,谢安,2011,年,11,月,北京,中国注册会计师协会企业,内部,控制审计业务培训班,2,议 题,主要业务循环简介,业务循环测试,中国注册会计师协会企业,内部控制审计业务培训班,3,综合考虑确定业务循环应用指引,从,企业内部控制应用指引,的,18,项具体应用指引出发，按照风险导向原则将各业务领域的风险对应到被审计单位的各项业务流程。,担保业务,资金活动,工程项目,组织结构,发展战略,采购业务,内部信息传递,财务报告,人力资源,业务外包,合同管理,企业文化,全面预算,社会责任,销售业务,研究与开发,信息系统,资产管理,4,综合考虑确定业务循环重要报表及披露项目,根据既定重要性水平，通过定量定性的方法识别重要报表及披露项目，根据报表及披露项目与业务流程的对应关系，确定需进行测试的业务流程。,示例（部分）,5,综合考虑确定业务循环（续）,综合,考虑前述两种因素，同时，尊重被审计单位的行业特点，确定拟实施审计的业务循环。,从内部控制应用指引出发,从重要报表及披露项目出发,拟实施测试的业务循环,充分体现被审计单位的行业特点,6,综合考虑确定业务循环（续）,公司层面控制,业,务,循环,|,工薪与人事,业,务,循环,|,生产与仓储,业,务,循环,|,销售与收款,业,务,循环,|,筹资与投资,业,务,循环,|,固定资产,业,务,循环,|,财务报告,应用系统控制,业,务,循环,|,采购与付款,信息技术一般控制,该业务,循环,的,分类方法来源于中国注册会计师协会,07,年,8,月版,财务报表审计工作底稿编制指南,，下文均以该体系框架为基础展开。,7,业务循环一：采购与付款,管理层,业,务,流,程,|,工薪与人事,业,务,流,程,|,生产与仓储,业,务,流,程,|,销售与收款,业,务,流,程,|,筹资与投资,业,务,流,程,|,固定资产,业,务,流,程,|,财务报告,业,务,流,程,|,采购与付款,部分控制,目标举例：,采购实施,记录,应付账款,付款,维护供应商档案,只有经过核准的采购订单才能发给供应商,已记录的采购订单内容准确,已记录的采购均确已收到物品,已记录的采购均确已收到物品,已记录的采购均确已接受劳务,已记录的采购交易计价正确,与采购物品相关的义务均已确认并记录至应付账款,与接受劳相关的义务均已确认并记录至应付账款,采购物品交易记录于适当期间,仅对已记录的应付账款办理支付,准确记录付款,付款均已记录,付款均记录于恰当期间,对供应商档案的变更均真实和有效,供应商档案变更均已进行处理,对供应商档案变更均为准确的,对供应商档案变更均已于适当期间进行处理,确保供应商档案数据及时更新,8,业务循环二：工资与人事,部分,控制,目标举例,：,管理层,业,务,流,程,|,工薪与人事,业,务,流,程,|,生产与仓储,业,务,流,程,|,销售与收款,业,务,流,程,|,筹资与投资,业,务,流,程,|,固定资产,业,务,流,程,|,财务报告,业,务,流,程,|,采购与付款,员工聘用与离职,工作时间,记录,工资计算和记录,工资支付,常备数据维护,员工名册新增项目均为真实有效,新增员工均确已记入员工名册,离职员工均确已从员工名册中删除,员工名册删除项目均为真实有效的,用以计算生产人员工资的工作时间数据均为实际工时,用以计算管理人员工资的工作时间数据均为实际工时,员工工作时间均已完整记录和输入,输入系统的时间记录均为准确的,准确计算和记录工资费用,工资费记录于适当期间,支付的工资与实际工时记录相关,常备数据变动均为真实和准确的，并及时处理,9,业务循环三：生产与仓储,部分,控制,目标举例：,管理层,业,务,流,程,|,工薪与人事,业,务,流,程,|,生产与仓储,业,务,流,程,|,销售与收款,业,务,流,程,|,筹资与投资,业,务,流,程,|,固定资产,业,务,流,程,|,财务报告,业,务,流,程,|,采购与付款,材料验收与仓储,生产与发运,存货管理,已验收材料均附有有效采购订单,已验收材料均已准确记录,已验收材料均已记录,已验收材料均已记录于适当期间,发出材料均已准确记录,发出材料均已记录于适当期间,已记录的生产成本均为真实发生且与实际成本一致,已发生的生产成本均已记录,已发生的生产成本均记录于适当期间,存货流转已完整准确地记录于适当期间,完工产成品均已准确地记录于适当期间,产成品发运均已记录,产成品发运均已准确记录,已发运产成品均附有有效销售订单,产成品发运均已记录于适当期间,适当保管存货,准确记录存货价值,存货价值调整已于适当期间记录,存货价值调整是真实发生的,存货价值调整均已记录,10,业务循环四：销售与收款,管理层,业,务,流,程,|,工薪与人事,业,务,流,程,|,生产与仓储,业,务,流,程,|,销售与收款,业,务,流,程,|,筹资与投资,业,务,流,程,|,固定资产,业,务,流,程,|,财务报告,业,务,流,程,|,采购与付款,部分,控制,目标举例：,销售,记录应收账款,收款,维护顾客档案,仅接受在信用额度内的订单,管理层核准销售订单的价格、条件,已记录的销售订单的内容准确,销售订单均已得到处理,已记录的销售均确已发出货物,已记录的销售交易计价准确,与销售货物相关的权利均已记录至应收账款,销售货物交易均已记录于适当期间,已记录的销售退回、折扣与折让均为真实发生,收款是真实发生的,准确记录收款,收款均已记录,收款均已记录于恰当期间,监督应收账款及时收回,对顾客档案变更均为真实有效,对顾客档案变更均为准确的,对顾客档案变更均已于适当期间进行处理,确保顾客档案数据及时更新,11,业务循环五：筹资与投资,管理层,业,务,流,程,|,工薪与人事,业,务,流,程,|,生产与仓储,业,务,流,程,|,销售与收款,业,务,流,程,|,筹资与投资,业,务,流,程,|,固定资产,业,务,流,程,|,财务报告,业,务,流,程,|,采购与付款,部分,控制,目标举例：,筹资,投资,已记录的借款均确为公司的负债,借款均已准确记录,借款均已记录,借款均已记录于适当期间,财务费用均已准确计算并记录于适当期间,已记录的偿还借款均为真实发生,偿还借款均已准确记录,偿还借款均已记录,偿还借款均已记录于适当期间,已记录的投资均为公司的投资,投资交易均已记录,投资交易计价准确,投资交易均已记录于适当期间,投资收益均已准确计算并记录于适当期间,12,业务循环六：固定资产,管理层,业,务,流,程,|,工薪与人事,业,务,流,程,|,生产与仓储,业,务,流,程,|,销售与收款,业,务,流,程,|,筹资与投资,业,务,流,程,|,固定资产,业,务,流,程,|,财务报告,业,务,流,程,|,采购与付款,部分,控制,目标举例：,记录固定,资产,固定资产,折旧及减值,固定资产日常保管、处置及转移,已记录的固定资产均为公司购置的资产,固定资产采购交易均已记录,已记录的固定资产采购交易计价正确,所有固定资产采购交易已记录于适当期间,准确计提折旧费用、资产减值损失,折旧费用、资产减值损失已记录于适当期间,折旧费用、资产减值损失均已进行记录,折旧费用、资产减值损失是真实的,已充分保障固定资产的安全,已记录的固定资产处置及转移均为实际发生的,固定资产处置及转移均已记录,固定资产处置及转移均已准确记录,固定资产处置均已记录于适当期间,13,业务循环七：财务报告,管理层,业,务,流,程,|,工薪与人事,业,务,流,程,|,生产与仓储,业,务,流,程,|,销售与收款,业,务,流,程,|,筹资与投资,业,务,流,程,|,固定资产,业,务,流,程,|,财务报告,业,务,流,程,|,采购与付款,部分,控制,目标举例：,将财务信息,从明细账过入总账,会计分录调整,准备财务报告,明细账汇总的财务信息是有效的。,所有明细账上记录的财务信息均得到汇总。,从明细账汇总的财务信息记录准确。,所有子公司的财务报告均有效且得到准确汇总。,汇入财务信息的调整分录是有效的。,所有必需的调整分录都已汇总。,所有入账的调整分录都是准确的。,披露的财务报告的数据准确。,公司所披露的财务报表的表达和披露符合相关规定。,所有披露的规定已经体现在公司财务报告中。,所有在财务报告及附注中披露的数据和认定都是有效的。,所有财务报告的数据和认定已经包含在财务报告附注中。,公司采用的会计政策符合相关准则的要求。,14,议 题,主要业务循环简介,业务循环测试,中国注册会计师协会企业,内部控制审计业务培训班,15,业务循环内控测试工作内容,业务循环测试,了解内控设计情况,了解本业务循环的风险，确定控制目标,了解内控设计,识别控制活动（执行穿行测试）,测试内控运行情况,设计测试程序,执行测试程序,测试结果汇总,我们以,采购与付款,流程,为例，展示整个内控审计的整个过程和底稿填写,方法。,财,务报告内部控制审计主要,包括,7,大业务循环，,测试中以风险为导向，确定控制目标，了解被审计单位的控制活动，将那些能够控制风险的控制活动识别出来，有针对性地设计控制程序，进行测试，并汇总测试结果，为缺陷评价工作做准备。,转下页,16,业务循环内控测试技术标准,参考内控应用指引中列示的风险及控制手段，细化总结出与之对应的具体控制目标，以控制目标为对标依据，对被审计单位的内部控制进行,测试。,样例（部分）,业务循环测试,了解内控设计情况,了解本业务循环的风险，确定控制目标,了解内控设计,识别控制活动（执行穿行测试）,测试内控运行情况,设计测试程序,执行测试程序,测试结果汇总,17,了解内控设计情况,样例（部分）,18,了解内控设计的常用方法,在了解控制的设计并确定其是否得到执行时，应当使用询问、检查和观察程序，并记录所获取的信息和审计证据来源。,访谈询问,观察,检查,重新执行,访谈询问：本身不足以提供充分的证据来证明一个内控是否有效运行，提供的保障程度最低。,观察：包含询问，提供了较高程度的保证，对评估自动化的内控来说可能是一个可接受的方法。但观察有一定的局限性，只能保证测试者在观察时内部控制得到了有效执行。,检查：包含询问和观察，通过检查手工控制留下的证据可以作为测试手工控制的较好方法。,重新执行：提供了最高程度的保证。,19,访谈沟通时的技巧,访谈,询问,观察,检查,重新,执行,安排日程：包括时间、地点、访谈人员及访谈主题；,与被访谈人预约：,沟通访谈内容，进行充分准备,撰写访谈提纲：梳理思路，细化访谈内容,多使用开放式问题,明确重点，考虑可能的替代控制活动或补充活动,提纲需在项目小组内部充分讨论,访谈前需熟悉访谈内容。,访谈实施步骤,开场白,实施访谈,访谈记录,访谈准备,访谈实施,20,了解内控设计,在本审计工作底稿对本控制流程的记录，涉及控制活动的内容应索引至本控制,测试的,审计工作底稿。,如果被审计单位针对不同类型的业务分别采用不同的控制流程和控制活动，例如针对采购与付款环节，被审计单位对大宗原材料采购和日常费用支出实施不同的控制活动，应分别予以记录。,应采用文字叙述、问卷、核对表和流程图等方式，或几种方式相结合，记录对控制流程的了解。对重要业务活动控制流程的记录应涵盖自交易开始至与其他业务循环衔接为止的整个过程。记录的内容包括但不限于,(,接下页）,了解流程常用方式,了解流程形成的底稿,21,了解内控设计（续）,(1),交易如何生成，包括电子数据交换,(EDI),和其他电子商务形式的性质和使用程度；,(2),内部控制采用人工系统、自动化系统或两种方式同时并存；,(3),控制由被审计单位人员执行、第三方,(,例如服务机构,),执行或两者共同执行，涉及人员的姓名及其执行的程序；,(4),处理交易采用的重要信息系统，包括初次安装信息、已实施和计划实施的重大修改、开发与维护；,(5),与其他信息系统之间的链接，包括以计算机为基础的应用系统和以人工操作的应用系统之间衔接的时点，以及任何相关的手工调节过程（如编制调节表）；,(6),与处理财务信息相关的政策和程序；,(7),会计记录及其他支持性信息；,(8),使用的重要档案和表格；,(9),主要输出信息,(,包括以纸质、电子或其他介质形式存在的信息,),及用途；,(10),输入交易信息并过至明细账和总账的程序；,(11),会计分录的生成、记录和处理程序，包括将非标准会计分录过至明细账和总账的程序。,审计底稿了解阶段应记录内容举例,22,了解内控设计（举例）,以采购流程为例，展示有关,职责分工的政策和程序,的了解,示例：,S,公司建立了下列职责分工政策和程序：,(1),不相容职务相分离,。主要包括：询价与确定供应商、采购合同的订立与审批、采购与验收、实物资产的保管与会计记录、付款审批与执行等职务相分离。,(2),各相关部门之间相互控制并在其授权范围内履行职责，,同一部门或个人不得处理采购与付款业务的全过程,。,采购人员,验收人员,不得兼任,示例（部分）,23,了解内控设计（举例）,说明：假设所示流程图为,S,公司采购流程的主要业务活动，注册会计师需要了解和记录控制活动执行的以下要素：,who,:,谁（或什么系统）执行这些控制活动,what,：这些控制活动是什么，有哪些资料文档支持,when,：什么时候执行这些控制活动及执行频率,where,：在何地执行这些控制活动,how,：实现这些控制活动的具体方式,以采购流程为例，展示有关,业务活动,的了解,24,了解内控设计（举例）,以采购流程为例，展示,有关,控制活动,示例（部分）,25,了解内控设计（举例）,以采购流程为例，展示,有关,控制活动（续）,示例（部分）,26,评价,内控设计,获取,企业的内控文档，评估文档的充分性,1,审阅,内控文档,2,评价,内部控制设计,（风险、控制,目标及控制活动）,内控设计评估的,要素：,识别该业务循环中存在的风险,确认,控制,目标,确认,是否有足够及有效的内控活动以满足各控制,目标,初步评估,内控设计，并进行文档,记录,3,27,评价,内控设计（续）,如果多项控制活动能够实现同一控制目标，不必了解每项控制活动。,若信赖以前审计获取的审计证据，应当通过实施相关程序，获取该等控制是否已发生变化的审计证据，并予以记录。,若单独执行某控制活动不能完全达到控制目标，需识别额外控制活动，对其进行测试，以获取达到控制目标的足够保证。,若某控制目标没有相关的控制活动或设计不合理，应考虑被审计单位控制的有效性以及其对拟采取的审计策略的影响。,优先测试可以同时达到多个控制目标的控制活动。,评价方法及注意事项,评价内部控制设计,风险、控制,目标及控制,活动,28,穿行测试,定义,目的,审计人员通过选择一些具有代表性的交易或事项进行“穿行测试”，即跟踪,1,笔通过会计系统的交易或事项，以验证内部控制的实际设置是否与内控工作底稿上所描述的结果相一致。,确认对内部控制的组成要素及各要素控制的设计的理解是充分的,确认设计的内控已经被执行,关于穿行测试的定义、目的、程序：,程序,确定需要测试的控制活动和对应抽取的样本,确认执行穿测的步骤方法,记录穿测过程和测试结果在对应底稿，如下示例,将测试结果进行汇总（接下页,29,穿行测试（举例）,穿行测试结果,以,采购流程为例说明与应付账款对账有关的控制活动的穿行,测试。,示例（部分）,30,测试内控执行情况,1,2,3,-,测试哪些控制活动,确定测试范围,进行测试，,记录过程和结果,确定内控缺陷,确定对实质性测试程序的性质、时间和范围的影响,4,首先需要了解：测试业务循环,控制执行情况的,工作,包括,确定测试的控制活动，编制测试程序,确定样本量,测试方法,如果单纯内控审计不考虑此步骤，只有整合审计才考虑,进行测试结果,汇总,确定内控缺陷,业务循环测试,了解内控设计情况,了解本业务循环的风险，确定控制目标,了解内控设计,识别控制活动（执行穿行测试）,测试内控运行情况,设计测试程序,执行测试程序,测试结果汇总,31,测试内控执行情况（续）,样本量,的计算方法,考虑,控制,的,同质性,贯穿业务流程全过程,样本要覆盖足够的期间,测试,样本抽取原则,尽量选择接近内控审计,基准日的样本,在,设计,测试,程序,、确定样本量和样本区间,及,选取,样本,时，需要从控制活动出发，确保所设计的测试程序和样本量，能够有效检查控制要点是否得到一贯、有效的执行,。,确定样本规模,:,首先确定总体规模,，如现金支付业务数量很大，控制运行出错的概率可能也较高，注册会计师应确定与总体规模相匹配的样本,规模，如,可以参照控制频率确定对应样本量。,可采用统计抽样和随机抽样,32,考虑,控制,的同质性,如采购循环中：,对于与供应商对账，对于常年交易的战略合作伙伴和新开发供应商，对账的频率、方法均不同，应分别计算样本量，分别测试。,战略合作伙伴,新开发的供应商,本企业的采购系统与对方的订单系统有接口，订单自动传输；,每季系统自动发送采购订单数量与对方发货数量核对；,每季财务人员与对方财务人员邮件核对欠款余额,每月采购部门统计采购订单数量、金额提供给财务部门；,财务部门核对财务记录后，与对方核对交易量及欠款余额；,核对情况反馈采购部门,示例（部分）,33,测试内控执行情况（续）,样本量要求（源于,企业内部控制审计指引实施意见,）,控制运行频率,控制运行总次数,测试的最小样本量区间,每年,1,次,1,1,每季,1,次,4,2,每月,1,次,12,2-5,每周,1,次,52,5-15,每天,1,次,250,20-40,每天多次,大于,250,次,25-60,控制运行频率,整改后控制运行的最短期间或最少运行次数,最少测试数量,每季,1,次,2,个季度,2,每月,1,次,2,个月,2,每周,1,次,5,周,5,每天,1,次,20,天,20,每天多次,25,次（分布于涵盖多天的期间，通常不少于,15,天）,25,测试,人工控制的最小,样本量,整改,后控制运行的最短期间（,或,最少运行次数,）和最少测试数量,34,测试内控执行情况（举例）,控制测试过程记录（举例,）测试底稿主页面（部分）,示例（部分）,35,测试内控执行情况（举例）,示例（部分）,36,中国注册会计师协会企业,内部控制审计业务培训班,Q,&,A,演讲完毕，谢谢观看！,