18内控审计工作底稿-信息系统
公司内控审计工作底稿-业务流程、应用系统或交易层面的控制的测试-销售与收款流程

业务流程、应用系统或交易层面(销售与收款流程)内部控制测试一、背景及假设(1)X公司是一家生产销售电子产品的企业,产品全部在国内销售。
销售采用客户上门提货方式或客户委托物流公司上门提货方式;以客户或物流公司在提货单上签收作为确认收入的依据;(2)ABC会计师事务所常年担任X公司的审计工作,包括财务报表审计和内部控制审计;(3)注册会计师认为X公司的企业层面控制和信息技术一般控制是有效的。
二、识别重要账户、列报及其相关认定在确定重要账户、列报及其相关认定时,注册会计师确定销售收入和应收账款是重要账户,其相关的认定如下:注:本例并未覆盖上述与销售收入和应收账款相关的所有认定,也并未覆盖与上述认定相关的所有控制,而是列举了与上述部分认定(主要是销售收入的发生、准确性、完整性和截止认定)相关的部分控制。
由于资产负债表账户余额是交易的结果,因此本例也涉及应收账款的若干相关认定。
注册会计师在评估重大错报风险时认为销售收入的发生认定存在特别风险。
在财务报表审计和内部控制审计中,针对列报认定的审计程序通常不在各个业务流程实施,而是在期末财务报告流程中实施。
三、了解、评价并测试与销售收入相关的业务层面控制(一)了解业务流程及控制销售与收款业务流程通常包括以下子流程:(1)订单处理;(2)发货;(3)开票;(4)收款;(5)调整(包括由于销售退回、坏账准备等导致的调整);(6)常备数据维护;(7)系统维护(注册会计师可以将各个业务流程中有关职责分离和系统维护的流程和控制集中在一起进行了解、评估以及测试。
本例中不包括这一部分程序和控制。
)销售和收款流程中常见的基本控制矩阵参见附件一。
关于基本控制矩阵的重要提示:(1)该基本控制矩阵中设计的控制是针对运用复杂ERP系统的信息电子化程度较高的企业;(2)注册会计师执行的工作应当基于对被审计单位实际情况的了解,而不能局限于矩阵中的基础控制;(3)本控制列表不可作为衡量被审计单位应当存在的关键控制的最低标准或最高标准;(4)本控制列表并非为了列举所有可能存在的关键控制,注册会计师需要考虑被审计单位的环境、业务性质及特征、信息系统等各种相关因素,评估被审计单位的风险,确定哪些控制与风险相关,并评价哪些控制是应对风险的必要控制。
内控审计工作底稿方法论讲解

。\NK-BB总体审计策略及具体审计计划(案例).xls
What is 城市轨道交通 urban rail transport
精品ppt模板
@2013大华会计师事务所保留一切权利
计划审计
制定项目范围
三、决定多业务单元或工作地点的覆盖比例
3.1 通过评估每个业务单元或工作地点的重要性及对每一个业务单元或工作地点进 行分类,识别要测试的业务单元或工作地点并评估覆盖比例: ► 由于业务单元规模巨大而被个别视为重要 ► 由于业务单元面对特定风险而被视为重要 ► 个别规模不大,但与其他规模不大的业务单元加起来总规模巨大 ► 个别规模不大,与其他规模不大的业务单元加起来总规模仍然不大
根据财务报表认定的五个方面分别对财务报表各会计科目以及子流程进行风险评估( 可采用评分的方式) 例如:销售与收款子流程的评估如下:
➢考虑舞弊风险;
➢关注信息系统对内部控制和风险评估的影响。
What is 城市轨道交通 urban rail transport
精品ppt模板
----------<企业内部控制审计指引>
@2013大华会计师事务所保留一切权利
内部控制审计简介
常见问题?
1、与财务报告相关的缺陷,如何处理?
2、非财务报告相关的重大缺陷,如何处理?
What is 城市轨道交通 urban rail transport
精品ppt模板
@2013大华会计师事务所保留一切权利
内部控制审计简介
常见问题?-ANSWER!!
1、与财务报告相关的缺陷?-----------------------出具意见
2、非财务报告相关的重大缺陷?-----------------予以披露
内部控制程序审计工作底稿

内部控制程序审计工作底稿Procurement Internal Controls Work PRogram内部控制程序审计工作底稿Project Team (list members):项目组(列示成员)Project Phase Date Comments项目阶段日期备注PlanningFieldwork工作范围Report Issuance报告发布Time Audit Step ByYes/NoW/P Ref.时间审计步骤是/否,参考底稿由确认1. Are purchase orders based on authorized requisitions?1、采购订单是基于被批准的采购申请单?2. Are purchase orders properly coded to identify the cost objective (direct, indirect or inventory)?2、采购订单是否被适当编码以区分成本项目归属?(直接、间接或存货)3. Are purchase orders serially controlled and accounted for?3、采购订单是否连续编号控制?4. Is the use of standardized purchase orders required?4、需要采用标准化的采购订单吗?5. Are effective numerical document controls or status reports maintained to record the receipt of purchase requisitions?5、是否存在有效的连续编号控制文件或统计报告以记录收到的采购申请?6. Does the purchasing department maintain specifications for all materials and services used by the contractor?6、采购部门是否保存有合同商提供的所有原材料与劳务服务的说明书?7. Are requirements combined where appropriate?7、需求是否被适当的合并?8. Are make-or-buy decisions adequately documented?8、自制或采购决策是否被充分记录在案?9. Does the purchasing department have adequate controls to prevent unauthorized use of canceled or voided purchase requisitions?9、采购部门对无效或取消的采购申请的滥用有无充分的预防措施?10. is the purchasing department independent of other departments and responsible for procuring all materials, supplies, and equipment?10、采购部门是否与其他部门相互独立,并负责采购所有的原材料、供应品及设备?11. Are the receiving and inspection functions separate from the purchasing function?11、收货与检查工作是否与采购工作相互分离?12. Are copies of purchase orders furnished at the time of issuance to the receiving, accounts payable, and when appropriate, to the expediting departments?12、在采购订单发出时,是否同时将复印件送至收货部、应付款会计与支出部门?13. Do procedures require complete history files for items purchased frequently and for all major procurements?13、对经常采购货物、所有的重要采购项目是否保存有完整的历史记录?14. Are prices established at the time the order is placed for goods manufactured to order, rather than on an "advise price" or not-to-exceed basis?14、价格是否基于采购时货物的制造价格,而非“建议价格”或“不超过…价格”?15. Is purchasing required to develop and maintain lists of potential bidders or offerors for particular types of materials?15、特定货物的采购是否需要建立与维持“潜在的供应商报价体系”或竞价体系?16. Are periodic independent checks made to verify existence of suppliers on the bidder list?16、针对竞价单上的供应商是否进行定期的独立核查以确定其存在性?17. Is documentation required from engineering, quality or the requesting source to support the purchase from a single or directed source?17、需要从工程、质检或货物需求部门获取文件以确认商品只能从单一或直接来源采购吗?18. Do procedures require maintenance of adequate documentation in purchase order files?18、采购程序需要保留充分的采购订单相关文件吗?19. Is there a formal bid control system in place?19、是否存在正式的竞价控制系统?20. Do procedures require appropriate justification when the low bidder in a competitive solicitation is not selected?20、在竞标过程中,低价的竞标者没有被选中时,是否需要陈述适当的理由?21. Are there clearly defined responsibilities for negotiatingprice and terms and conditions?21、在价格、条款协商过程中,是否有明确的责任分工?22. Are practices in place to assure procurement at competitive prices including development of purchase requirements to achieve maximum competition?22、实际操作程序中,能否保证最大的竞争性以取得最优惠的价格?23. do non-competitive procurements require documented justification?23、非竞争性的采购是否有合理的解释文件?24. Is certified cost and pricing data obtained from subcontractors when required and is appropriate price analysis or cost analysis performed?24、在合同分包时,是否能从分包商处取得确认的成本与价格数据并对其进行分析?25. Is a listing of debarred suppliers maintained and checked against potential and existing suppliers?25、是否有排斥的供应商名单记录在案并与潜在的、现存的供应商名单想核对?26. Is there a supplier performance rating system that evaluates price, quality, and delivery performance?26、是否存在供应商业绩评价体系以评估其价格、质量、送货时间等业绩?27. Does a system exist to "flow down" required clauses?27、将所要求的条款顺利传达下去吗?28. are subcontractors reviewed for clauses which conflict with provisions of the prime contract(i.e., pricing and payment, patent rights, warranty, quality technical data, quality assurance requirements, etc.)?28、分包商是否复合与初包合同相冲突的条款(例如价格与付款、专利权、授权、质量技术数据、质量保证要求等?)29. Are processes in place to monitor subcontractors with progress payments?29、针对分包商是否存在进度监督机制以检查按进度付款情况?30. Is approval of subcontracts obtained or notice and consent obtained when required?30、在需要时能获得分包商的批准或同意文件吗?31. Do procedures require that prompt payment discounts be obtained and utilized?31、采购程序要求快速付款折扣的取得与利用吗?32. Do procedures prohibit splitting orders to avoid dollar thresholds for approval, cost analysis, cost accounting standards and submission of cost or pricing data?32、采购程序是否禁止订单拆分以避免授权金额门槛、成本分析、成本核算标准或成本与价格数据提供?33. Are delivery dates required on purchase requisitions?33、在采购申请上标明货物需要日期吗?34. Is the purchasing department required to follow-up on orders to assure timely delivery?34、采购部门被要求执行跟踪程序以保证及时到货吗?35. Do procedures require final purchasing packages to be reviewed by appropriate personnel?35、采购程序要求最后的采购单据包由适当的人员进行复核吗?36. are approval levels defined for purchase orders and supplements to purchase orders?36、是否针对采购订单与备品采购订单设置授权权限?37. Do competitive pricing policies exist for inter-entity orders?37、对公司内部采购是否存在竞争价格机制?38. Are inter-entity transactions handled in accordance withcompany policy?38、公司内部交易是按照公司政策执行的吗?39. Is there a system of reports and controls that reflects performance and provides the means through which the purchasing organization reports its performance to management?39、是否存在向管理层反映采购部门业绩的报告与控制程序40. Is receiving or giving gratuities, favors, or kickbacks prohibited?40、收取任何回扣、赠品、招待等是被禁止的吗?41. Are there awareness programs to advise purchasing personnel of the consequences of accepting or soliciting kickbacks?41、存在针对采购人员接受或要求回扣的处罚后果的提醒程序吗?42. Are there requirements for purchasing personnel to certify annually that they have not engaged in any prohibited activities, such as kickbacks and gratuities?42、采购人员是否被要求提报年度说明证实其没有从事任何被禁止的活动,例如取得回扣或赠品?43. are procurement personnel required to complete an annual conflict of interest certification, including disclosure of financial or ownership interest in suppliers?43、采购中间人是否被要求提报年度利益冲突说明,其中揭示其在供应商方的利益与所有权?44. Is a standard of conduct policy for suppliers disseminated to suppliersannually?44、是否每年均给供应商提送标准行为指导方针?45. Are suppliers required to provide representation that no kickbacks are provided, solicited or offered?45、供应商是否被要求提供关于没有回扣支付的说明?46. Is provision made for periodic rotation of procurement personnel?46、是否有定期轮换采购中间人的机制存在?47. Does the purchasing department conduct self-audits ona regularly scheduled basis?47、采购部门是否定期进行自我检查?48. Is there a program for education and training of purchasing personnel?48、对采购人员有培训程序吗?。
内控审计底稿指南

目录
3
被审计单位的风险评估过程
首先,被审计单位需要有充分的内部控制去识别来自内外部环境的风险, 比如监管环境和经营环境的变化、新的或升级的信息系统、新的会计政 策等方面。其次,充分、适当的风险评估过程应当包括对重大风险的估 计,对风险发生可能性的评定以及应对方法的确定。注册会计师可以首 先了解被审计单位及其环境的其他方面信息,以初步了解被审计单位的 风险评估过程。 实务中,在了解测试被审计单位与风险评估过程相关的内部控制时,可 以考虑以下因素: P75
(1)薪酬委员会(或类似机构)在公司制定薪酬及激励政策中的角色,以 及薪酬激励是否通过该委员会的研究及审批,以确保激励部分不会过高从 而增加人为错报的风险; (2)管理层每年制定的预算是否是基于实际经营状况,并且通过合理的 分析而编制的,以确保年度预算不会过于激进或保守从而增加人为错报的 风险; (3)内部审计部门是否会关注因管理层动机或压力而导致的错报风险, 并且定期进行检查,查找被审计单位是否存在人为调整财务业绩的情况。 五、建立内部举报投诉制度
目录
2
识别可能发生错报的环节
• • •
需要了解和确认被审计单位应在哪些环节设置控制,以防止或发现并纠 正重要业务流程可能发生的错报 控制目标与财务报表重要账户的相关认定相联系 控制目标表,记录与工作底稿P116
目录
3
识别和了解相关控制
•
• •
针对业务流程中容易发生错报的环节,注册会计师应当确定:(1)被审计 单位是否建立了有效的控制,以防止或发现并纠正这些错报;(2)被审计 单位是否遗漏了必要的控制;(3)是否识别出可以最有效测试的控制 控制类型 预防性控制
•
•
•
目录
7
监督经营成果的控制
公司内控审计工作底稿-重大业务流程和信息系统匹配表

被审计单位:编制:日期:索引号:财务报表截止日:年月日复核:日期:页次:
重大业务流程和信息系统匹配表
根据对重要业务流程的了解,记录在重大流程中涉及交易生成、记录、处理和报告的信息系统,这些信息系统即为与重大流程相关的信息系统:
注1:系统可以是商业软件系统,或是企业自己开发、定制的系统,也可以包括其他终端用户所使用的重要工具,如利用EXcel等电子表格编制的模型、填报工具等。
注2:系统的复杂程度取决于多个方面,包括(1)系统所支持的企业业务流程的复杂度;(2)信息系统自身技术的复杂度;(3)系统处理交易、数据及计算的复杂度;(4)信息技术环境规模的复杂度等方面。
业务循环内部控制及测试工 作底稿(内控审计全)

内控审计业务循环内部控制及测试工作底稿销售收款循环 举例:S公司现行的销售政策和程序业经董事会批准,如果需对该项政策和程序作出任何修改,均应经董事会批准后方能执行。
本年度该项政策和程序没有发生变化。
S公司的产品主要为电子感应器、光感器、集成电路块,通用性较强。
所有产品按订单生产,其中约计95%的产品系销售给国外中间商,全部采用海运方式,以货物离岸作为风险、报酬转移的时点。
通常情况下,这些顾客于每年年初与公司签订一份包含全年预计所需商品数量、基本单价等条款的一揽子采购意向。
顾客采购意向的重要条款由董事会审批,并授权总经理签署。
S公司根据顾客采购意向总体安排采购原材料及生产计划,实际销售业务发生时,S公司还需与顾客签订出口销售合同。
对于向国内销售的部分,S公司根据订单金额和估算毛利情况,分别授权不同级别人员确定是否承接。
S公司使用Y系统处理销售与收款交易,自动生成记账凭证和顾客清单,并过至营业收入和应收账款明细账和总账。
款循环的主要控制流程,并已与财务经理×××、销售经理×××确认下列所述内容: 1.有关职责分工的政策和程序S公司建立了下列职责分工政策和程序: (1)不相容职务相分离。
主要包括:订单的接受与赊销的批准、销售合同的订立与审批、销售与运货、实物财产保管与会计记录、收款审批与执行等职务相分离。
(2)各相关部门之间相互控制并在其授权范围内履行职责,同一部门或个人不得处理销售收款业务的全过程。
2.主要业务活动介绍 (1)销售 1)新顾客 如果是新顾客,他们需要先填写“顾客申请表”,销售经理×××将进行顾客背景调查,获取包括信用评审机构对顾客信用等级的评定报告等,填写“新顾客基本情况表”,并附相关资料交至信用管理经理×××审批。
信用管理经理×××在“新顾客基本情况表”上签字注明是否同意赊销。
高新技术企业认定专项审计工作底稿之信息系统与沟通

高新技术企业认定专项审计工作底稿之信息系统与沟通一、信息系统信息系统是指利用计算机和通信技术为组织和个人提供信息和服务的系统。
高新技术企业的信息系统是企业经营管理和技术创新的重要保障,具有重要的战略价值和经济效益。
下面从企业信息系统建设的几个方面进行具体分析。
1.信息系统规划信息系统规划是指为实现战略目标,设计信息系统需要达到的业务目标和技术目标,包括硬件、软件、网络等方面的规划。
审核人员应当核查企业是否针对自身实际情况进行了信息系统规划,规划是否符合企业的战略发展方向和技术发展趋势。
此外,还应当关注企业对信息系统规划的执行情况,如是否按照计划进行实施和运营。
2.信息系统安全信息系统安全是指保护信息系统中敏感信息和业务活动不受恶意攻击和非法利用的能力。
企业应当建立健全的信息系统安全管理体系,包括风险评估、安全策略和措施、安全监测和预警等。
审计人员应当核查企业的信息系统安全管理是否合规,如是否制定了合适的安全策略和措施,是否落实了权限管理、访问控制、数据备份和恢复等关键控制措施。
3.信息系统集成信息系统集成是指将多个独立的信息系统进行整合,以便实现跨系统的数据共享和业务协同。
企业信息系统的集成能力决定了其业务流程自动化和效率提升的水平。
审核人员应当核查企业的信息系统集成实现情况,如集成技术选用、数据接口开发、集成测试、运行支持等,以及与企业业务的契合度和效果评估。
二、沟通沟通是指双方或多方之间传递信息、交换意见以取得理解和协调的过程。
企业沟通能力的好坏对于管理效能和企业形象的塑造至关重要。
下面从对内沟通和对外沟通两个方面对高新技术企业的沟通进行分析。
1.对内沟通对内沟通是指企业内部的沟通方式和渠道。
企业管理者应当制定内部沟通规范,保证信息的有序传递和及时反馈。
审核人员应当核查企业的内部沟通机制是否完备,如各级管理层之间、部门之间、职工之间的沟通和协调方式是否科学合理、信息传递是否畅通。
2.对外沟通对外沟通是指企业与外部利益相关者进行信息交流的过程。
公司内部控制审计工作底稿-实施阶段-信息系统测试模版

信息系统一般控制(ITGC)测试(穿行测试)索引号:ITGC-1被审计单位:编制人:编制日期:截止日期:复核人:复核日期:一、ITGC测试目的对每个相关ITGC(IT GENERAL CONTROL)种类进行穿行测试。
我们进行ITGC穿行测试以确认我们对于IT二、ITGC穿行测试程序由于多个应用程序间存在通用的ITGC,因此,通常会对支持一组通用ITGC的IT技术环境执行穿行测试例子包括:跨越多个应用程序的通用管理变更控制、支持多个应用程序的技术平台,或拥有特定区域支持的应用程序通用的一组ITGC的数据中心。
在下面的空白处,识别由此项穿行测试所涵盖的“IT 技术环境”及与“IT 技术环境”相关的“应用程序”。
注:信息系统环境的技术构成包括:应用系统、数据库管理系统、操作系统、网络和互联网/远程访问常见的应用系统包括:金蝶、用友、SAP、Oracle Financials或者企业自行开发的应用系统等常见的数据库管理系统包括:Oracle、DB2、Microsoft SQL Server等网络是指共同分享沟通的计算机群和相关设备,通常共享存储在计算机服务器上的资源互联网/远程访问是指把应用系统用户从外部资源链接到信息系统环境的方法、流程和技术对于计划依赖ITGC的应用程序,我们应对能够达到每个相关“ITGC 种类”目标的ITGC执行穿行测试。
能对会计报表或披露产生影响时,应包括“其他ITGC”种类。
选出应当执行穿行测试的“ ITGC 种类”三、ITGC穿行测试(一)管理变更1、管理变更穿行测试目标:只允许对应用程序、界面、数据库和操作系统进行经过适当授权、测试和批准的变更。
记录我们对于客户针对“管理变更”种类的程序的了解或参考客户的ITGC文档。
描述为“管理变更”种类所执行的ITGC穿行测试以及为确认我们对ITGC的设计及其已被执行的了解所获得的证据。
2、管理变更程序(授权、测试和批准)(二)逻辑存取1、逻辑存取穿行测试目标:只允许经授权的人员访问数据和应用程序(包括程序、表格以及相关资源),并且这些人员只能执行明确授权的职能(例如:询问、执行和更新)。
公司内部控制审计工作底稿-评价及完成阶段-完成阶段-完成阶段流程及报告编写说明

完成审计工作流程及说明一、完成审计工作1、完成审计工作的主要内容:在完成评价控制缺陷之后,注册会计师需要取得企业签署的书面声明,与企业沟通控制缺陷以及形成对内部控制有效性的意见2、完成审计工作的流程图完成审计工作程序图说明1:重大事项概要注册会计师应根据被审计单位的具体情况判断某一事项是否属于重大事项,重大事项主要包括但不限于以下事项1)引起特别风险的事项:被审计单位某项内部控制设计存在缺陷,可能无法防止、发现并被审计单位未建立与超出正常经营过程的重大关联交易有关的政策和程序。
2)控制偏离既定评价标准的事项3)识出别的信息与针对某重大事项得出的最终结论相矛盾或不一致的事项4)导致注册会计师难以实施必要审计程序的情形5)导致注册会计师出具非标准审计报告的事项说明2:根据已识别的控制缺陷形成内部控制有效性的意见二、形成内部控制审计意见,并出具报告1、标准内部控制审计报告:②注册会计师已按要求计划和实施审计工作,审计工作中未受到限制。
2、非标准内部控制审计报告注意:在所有重大方面仅指与财务报告内部控制相关的所有重大在重大缺陷,也可以出具标准内部控制审计报告,同时将发现的重大缺陷作为非财务报重大缺陷进行披露。
如在对被审计单位的收入发生认定的内部控制进行控制测试中表是又发现存在提前确认收入而作为会计差错进行的审计调整事项当一项财务报告内部控制缺陷或多项财务报告内部控制缺陷的组合构成重大缺陷,可能导致在具有相同效果的补偿性控制或补偿性控制无效时,注册会计师应当得出内部控制无效的结论。
①《审计指引》第二十八条规定,出具标准北部控制审计报告的企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》以内部控制制度的要求,在所有重大方面保持了有效的内部控制;1)带强调事项段的无保留意见内部控制审计报告:强调事项应当符合的条件:②不构成企业财务报告内部控制及非财务报告内部控制重大缺陷,不影响增加强调事项段的情形:①以前年度企业内部控制存在重大缺陷;②重大不确定事项;③考虑财务报表审计报告中强调事项段和其他事项段;④期后事项原则上不作为强调事项段进行披露。
内部控制工作底稿子-在被审计单位整体层面了解内部控制

在被审计单位整体层面了解和评价内部控制工作底稿编制说明(一)在被审计单位整体层面了解和评价内部控制的工作包括:1.了解被审计单位整体层面内部控制的设计,并记录所获得的了解。
2.针对被审计单位整体层面内部控制的控制目标,记录相关的控制活动。
3.执行询问、观察和检查程序,评价控制的执行情况。
4.记录被审计单位整体层面内部控制的设计和执行过程中存在的缺陷以及拟采取的应对措施。
(二)了解被审计单位整体层面内部控制形成下列审计工作底稿1.BA:了解和评价整体层面内部控制汇总表2.HJ:了解和评价控制环境3.PG:了解和评价被审计单位风险评估过程4.XT:了解和评价控制信息系统与沟通5.JD:了解和评价被审计单位对控制的监督了解和评价整体层面内部控制汇总表单位名称:编制人:日期:索引号:BA 会计期间:复核人:日期:页次:1.整体层面内部控制要素2.了解整体层面内部控制根据对整体层面内部控制的了解,记录如下:(1)被审计单位是否委托服务机构执行主要业务活动?如果被审计单位使用服务机构,将对审计计划产生哪些影响?(2)是否制定了相关的政策和程序以保持适当的职责分工?这些政策和程序是否合理?(3)自前次审计后,被审计单位的整体层面内部控制是否发生重大变化?如果已发生变化,将对审计计划产生哪些影响?(4)是否识别出非常规交易或重大事项?如果已识别出非常规交易或重大事项,将对审计计划产生哪些影响?(5)在了解整体层面内部控制过程中是否进一步识别出其它风险?如果已识别出其它风险,将对审计计划产生哪些影响?初次安装后对信息系统进行的任何重大修改、开发与维护拟于将来实施的重大修改、开发与维护计划本年度对信息系统进行的重大修改、开发与维护及其影响4.在整体层面了解内部控制的结论[ 注:表明内部控制存在重大缺陷的情形可能包括:注册会计师在审计工作中发现了重大错报,而被审计单位的内部控制没有发现,控制环境薄弱,存在高层管理人员舞弊迹象(无论涉及金额大小)等。
审计工作底稿之测试企业层面的内部控制-信息系统控制和与流程相关的应用控制

签 名
编制 索引号
C009 复核 页 次 3
控制测试1:信息系统控制和与流程相关的应用控制
控制编号
控制测试的类型询问()观察()检查()重新执行()拟实施的程序在此处列示拟实施的测试程序。
对于询问和观察,在本部分记录其结果:
…
对总体进行定义
(1) 控制的性质自动控制()依赖信息系统的人工控制()人工控制()
(2) 对总体进行定义
(3) 总体的来源
(4) 控制执行的频率(期间)
(5) 总体中项目的总数
2. 对偏差进行定义
3. 确定所测试项目的数量并选取
填入所测试项目的数量。
如果选择的并非最小样本规模,应于此处记录基本理由。
项目
样本规模:()个。
选取样本的方法:
4. 实施测试并评估结果详细的控制测试记录如下表。
5. 识别出的偏差未发现偏差。
6. 考虑扩大测试范围(如适用)了解和评估识别出的例外的性质和起因,并确定是否可扩大测试范围,以及增加的样本规模。
不适用。
测试的××个样本中未发现偏差。
7. 控制缺陷(如适用)偏差是否被视为控制缺陷
本测试中未发现偏差,控制运行有效。
商业银行财务审计工作底稿模版之 信息系统和电子资金转账系统(ITGC)了解与测试

会计师事务所(特殊普通合伙)
控制测试-信息系统一般控制
所属会计师事务所:会计师事务所(特殊普通合伙)
被审计单位:XXX银行股份有限公司审核员:审核员A日期: 2013.XX.XX索引号:BB2-8-20审查项目:了解内部控制会计期间:2012.12.31复核员:复核员B日期: 2013.XX.XX页次:
提示:考虑通常情况下对自动化控制执行有效性的测试只需一次,故将了解与测试的底稿编排在一起,不再列入“控制测试”文件包中。
一、交易发生频率和样本量的选择
测试结论:
经测试,是否发现控制偏差?是 □否 □
若是,则出现
若是,则出现。
内部控制审计底稿

审计基础——审计程序的性质:审计程序的目的和类型
审计程序的目的: ⑴了解被审计单位及其环境,评估重大错报风 险; ⑵实施控制测试,确定内部控制运行的有效性; ⑶实施实质性测试,发现认定层次的重大错报。
审计基础——审计程序的性质:审计程序的目的和类型
审计程序的类型: 检查; 函证; 观察; 询问; 重新计算; 重新执行; 分析性程序。
2、获取审计证据
(2)对审计证据的要求。获取的审计证据应当 具备充分性、相关性和可靠性。 (一) 充分性是指证据数量足以证实审计事项, 作出审计结论和建议; (二) 相关性是指证据和审计目标相关联,所反 映的内容能够支持审计结论和建议; (三) 可靠性是指证据能够反映审计事项的客观 事实并且数额准确。
3、审计工作底稿——审计过程记录
审计底稿——记录测试项目或事项的识别特征: 对于一项需要询问被审计单位特定人员的审计程 序,审计人员可能会以记录询问的时间、被询问人 的姓名及职位作为识别特征; 对于观察这一审计程序,审计人员可能会以观察 的对象或观察过程、观察的地点和时间作为识别特 征。
3、审计工作底稿——审计过程记录
1、审计立项和审计计划
审计立项:确定需要审计的项目。通常可以采 取两种方式: ⑴通过制定年度审计计划立项; ⑵通过提出立项申请报经批准立项。 审计计划:对审计工作的安排。包括三个层次: 年度审计计划、项目审计计划和审计实施方案。
1、审计立项和审计计划
年度审计计划:年度审计计划是对年度的审计 任务所作的事先规划,是组织年度工作计划的重要 组成部分; 项目审计计划:项目审计计划是对具体审计项 目实施的全过程所作的综合安排; 审计方案:审计方案是对具体审计项目的审计 程序及其时间等所作出的详细安排。
1、收集审计资料
内部控制审计底稿第三组

问题产生的原因分析
人员素质不高
制度不健全
相关人员缺乏必要的专业知识和技能,导 致财务报告错误或内部控制缺陷。
被审计单位缺乏完善的内部控制制度和相 关政策,导致违规操作和信息系统安全问 题。
管理层不重视
外部环境影响
管理层对内部审计和内部控制的重要性认 识不足,缺乏足够的支持和配合。
审计工作底稿编制
编制底稿
根据审计计划和证据收集情况,编制 详细的工作底稿,记录审计过程和结 果。
底稿复核
对工作底稿进行复核,确保底稿内容 完整、准确,符合审计准则和规范要 求。
审计问题汇总与报告
问题汇总
将审计过程中发现的问题进行汇总整理,分析问题产生的原因和影响。
报告编制
根据汇总的问题编制审计报告,明确问题性质、责任方和改进建议,并及时向相关方报告。
持续监控与评估
对被审计单位的内部控制进行持续监 控和评估,及时发现并解决潜在问题。
05
审计结论与报告
审计结论概述
审计目标
评估被审计单位的内部控制体系是否有效、 合规,识别潜在的风险和问题。
审计范围
涵盖被审计单位的各个业务流程、财务报告 和合规性等方面。
审计方法
采用风险基础审计方法,结合访谈、问卷调 查、穿行测试等多种手段。
审计意见与建议
审计意见
根据审计结果,对被审计单位的内部控制体系给出具体意见,如有 效、基本有效、需改进等。
改进建议
针对发现的问题和风险,提出具体的改进措施和建议,帮助被审计 单位完善内部控制体系。
跟踪与反馈
对已实施的改进措施进行跟踪和评估,确保问题得到有效解决。
报告提交与归档
报告撰写
内控审计工作底稿-人力资源

员工姓名是否核对一致(是/否)
工时统计表记录的工时总数
工时记录单记录的工时总数
工时记录单与工时统计表是否一致(是/否)
工作时间记 录核对
出勤统计表记录的工时总数
工作时间表和加班申请表记录的工时总数
出勤统计表与工作时间表、加班申请表记录是否一致(是/否)
员工姓名
该员工在工时统计表/出勤统计表记录的工时总数
适当的审批。如招聘
申请在人力资源预算 3.2.3.2核查该员工是否在人力资源预算内
外,应得到管理层的 3.2.3.3该员工招聘若未在人力资源预算内的是否经管理层的审
审批。
批,并记录于《人员招聘审批表》内。
3.2.4.1检查该员工的面试过程是否一一记录 3.2.4有效记录面试 评估。另员工工资 3.2.4.2检查部门负责人对该员工是否编制《新员工录用审批汇 (福利)经过适当的审 签表》,并决定工资 批,并符合制度及流
工时记录单是 否包含在工时 统计表中(是/ 否)
调查结论 与评价
相关底稿索引 差错样本量 备注
相关底稿索引 差错样本量 备注 相关底稿索引 差错样本量 备注 相关底稿索引 差错样本量 备注
3.2.6.3转正后该员工的劳动合同编号# 3.2.6.4检查员工工资明细表中是否有该员工姓名(是/否) 3.2.6.5查看该员工的相关薪金是否进行调整
3.2.6.6检查是否已建立该员工档案(是/否)
3、岗位设置及培训
主要
业
务活动
控制目标
测试程序
是否适用
所取得的相关 资料
岗位设置
3.3.1部门名称
3.3.1建立岗位责任 3.3.1.1检查是否编制健全的岗位责任制度并设置岗位说明书
程的要求。
信息系统审计文档示例—计划、方案、底稿、调查报告...

信息系统审计文档示例—计划、方案、底稿、调查报告...信息系统审计计划示例关于**(组织)信息化投入及管理情况的专项审计调查审计计划一、组织方式、工作分工及时间安排此项审计调查由*统一组织实施,*月重点检查*公司;*月重点检查*公司;*月,*对检查结果进行归纳汇总和综合分析,撰写并提交综合检查报告。
二、信息系统审计调查的主要工作分工1.*主要负责了解信息化投入的总体情况和制度建设情况,信息系统的立项与计划、预算与执行。
2.*主要负责投资及费用管理及供应商的招投标、合同的签订。
3.*主要负责经营管理类系统的开发、测试、验收上线、运行与维护管理审计,*协助。
4.*主要负责生产运营类、基础建设类系统的运行管理,*协助,重点关注硬件的采购。
三、具体工作要求(一)审计组成员要严格按照《审计业务流程》、《审计项目质量考核办法》等规定以及审计实施方案的分工和要求开展工作。
对审计发现的问题要注意落实相关责任。
(二)审计人员在审计期间要遵守审计局和被审计单位的有关规定,严格执行审计“八不准”等审计纪律,遵守劳动纪律,自觉维护审计人员的良好形象。
信息系统审计方案示例关于组织信息化投入及管理情况的专项审计调查方案一、专项审计调查的目的通过调查了解**年信息系统投入及管理运行情况,总结相关应用经验,评价其主要信息系统的安全性、可靠性、有效性、经济性,揭示信息系统管理中存在的问题并分析问题产生的原因,进一步促进*单位信息化建设严格、规范和高效。
二、专项审计调查的主要依据(一)项目实施依据1.*公司《内部审计工作规定》。
2.*公司《*年审计工作计划》。
(二)检查评价依据1.《第 2203号内部审计具体准则——信息系统审计》2.《*信息化项目规章制度》(*〔2011〕60*号)3.《*信息技术风险评估规章制度》(*〔2011〕3*号)4.《*信息系统应用与运维规章制度》(*〔2011〕86*号)5.《*信息系统供应商管理实施细则》(*)6.其他信息化规章制度及相关的投资、内控、财务等其他规章制度见附件。
设计公司内控有效性测试工作底稿(信息系统管理办法)修改

一般控制点测试样本量 10-20 10-20 5 3 2 1 测试人意见 表格完整有效 表格完整有效 表格完整有效 表格完整有效
关键控制点测试样
复核人意见 表格完整有效 表格完整有效 表格完整有效 表格完整有效发现的内控缺陷及其影响:
评估结论:设计合理、执行有效 改进意见: 被评估单位意见: 缺陷事项 改进责任人 改进责任部门 时间安排
改进措施计划描述
何杨
付蓉 被测试人员:
被测试单位负责人: 刘宝锤
测试人员:
底稿编号:
级别
B
等审批流程做出统一规定,各省公 况制定实施细则。 文件检查 测试时间 2011.9.21
关键控制点测试样本量 20-30 20-30 10 5 2 1 复核人意见 是否有缺陷 表格完整有效 否 表格完整有效 否 表格完整有效 否 表格完整有效 否
内控有效性测试工作底稿
流程名称 信息系统管理办法 流程编号 1
关键控制点描述 测试文档
公司对项目的可行性研究、立项、招投标等审批流程做出统一规定 司参照实行。各省公司可根据自身实际情况制定实施细则 测试方法 复核人 方晓明 执行频次 月 文件检查
2011年一季度招标明细表
何杨 测试人 附:测试样本数量要求 控制点执行频率 与每项交易有关 执行周期为每天 执行周期为每周 执行周期为每月 执行周期为每季 执行周期为每年 选取样本记录 1、2011年5月招标明细表 2、2011年6月招标明细表 3、2011年7月招标明细表 4、2011年8月招标明细表 …
内部控制自我评价底稿第18号:信息系统

采用相应技术手段保证信息系统运行安全有序
根据业务性质、重要性程度、涉密情况等确定信息系统的安全等级,建立不同等级信息的授权使用制度
8
建立信息系统安全保密和泄密责任追究制度
委托专业机构进行系统运行与维护管理的,应当审查该机构的资质,并与其签订服务合同和保密协议。采取安装安全软件等措施防范信息系统受到病毒等恶意软件的感染和破坏。
3
开发全过程的跟踪管理
组织开发单位与内部各单位的日常沟通和协调,督促开发单位按照建设方案、计划进度和质量要求完成编程工作,对配备的硬件设备和系统软件进行检查验收,组织系统上线运行等。
4
验收测试
组织独立于开发单位的专业机构进行,确保在功能、性能、控制要求和安全性等方面符合开发需求。
5
信息系统上线的各项准备工作
9
建立用户管理制度
加强对重要业务系统的访问权限管理,定期审阅系统账号,避免授权不当或存在非授权账号,禁止不相容职务用户账号的交叉操作。
10
加强网络安全
综合利用防火墙、路由器等网络设备,漏洞扫描、入侵检测等软件技术以及远程访问安全策略等手段。对于通过网络传输的涉密或关键数据,应当采取加密措施,确保信息传递的保密性、准确性和完整性。
信息系统自我评价底稿
评价单位(盖章):
序号
控制事项
控制标准
是否
适用
制度与流
程名称
执行中是否
存在缺陷
缺陷
描述
改进
措施
备注
1
信息系统建设方案
明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容,按照规定的权限和程序审批后实施。组织内部各单位提出开发需求和关键控制点,规范开发流程,明确系统设计、编程、安装调试、验收、上线等全过程的管理要求,严格按照建设方案、开发流程和相关要求组织开发工作。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
年度测试 建议 负责人及日期 整改情况 内部控制缺陷描述 0 0 内部控制缺陷影响
跟进负责人 及日期
基准日至审计报告日重大期 后事项 重大负面影响 无法确定影响 程度
设计 运行
单位名称: 预审编制人: 项目:信息系统-内部控制缺陷认定及跟踪汇总表年度审计编制人:
预审日期: 年审日期:
预审截止日: 年审截止日:
预审复核人: 年度审计复核人:
复核日期: 复核日期:
索引号: 页次:
预审测试 内部控制缺索引号 流程 内部控制缺陷描述 0 0 内部控制缺陷影响
缺陷认定 (设计/运行)