控制测试审计抽样工作指南
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信永中和会计师事务所
控制测试审计抽样工作指南
一、 前言
1.为了规范控制运行有效性测试工作,根据《中国注册会计师审计准则第1101号 –财务报表审计的目标和一般原则》、《中国注册会计师审计准则第1211号 –了解被审计单位及其环境并评估重大错报风险》、《中国注册会计师审计准则第1231号 –针对评估的重大错报风险实施的程序》以及《中国注册会计师审计准则第1314号 – 审计抽样和其他选取测试项目的方法》制定本指南。
2.本指南主要目标在于指导审计人员在执行控制测试过程中如何确定测试范围、编制测试程序;进行审计抽样时,如何进行样本设计、选取样本并实施审计程序、评价样本结果等工作,以实现控制测试的工作目标。
二、 适用范围
1.本指南所指控制测试是测试内部控制在防止、发现并纠正认定层次重大错报方面的运行有效性,从而支持或修正重大错报风险的评估结果,据以确定实质性程序的性质、时间、范围。
2.在了解评价内控设计有效性基础上,预期控制的运行是有效的,即对控制运行有效性的定性评价分为高、中和低三个层次,只有在初步评估控制运行有效性在中等或以上水平,或仅实施实质性程序不足以提供认定层次充分、适当的审计证据时,实施控制测试。
3.被审计单位在所审计期间内可能由于技术更新或组织管理变更而更换了信息系统,从而导致在不同时期使用了不同的控制。审计时应当考虑不同时期控制运行的有效性。
4.控制测试可用于被审计单位每个层次的内部控制。整体层次控制测试通常更加主观。对整体层次控制进行测试,通常比业务流程层次控制更难以记录。因此,整体层次控制和信息技术一般控制的测试的评价通常记录的是文件备忘录和支持性证据。应在审计的早期测试整体层次控制,其结果会影响其它计划审计程序的性质和范围。
5.本指南中的控制测试主要针对财务报表审计所需控制测试工作,对于专项的内部控制鉴证项目可参照执行。
三、 控制测试范围选择
1.识别与财务报告可靠性相联系的内部控制。在进行控制测试前,首先需识别与财务报告相关的内控,从财务报表审计的角度进行控制测试,原因为控制有效是保障财务报告可靠的基础。识别与财务报告有关的内部控制流程一般需经过如下步骤: 首先,项目组需分析并确定被审计单位重要财务报表项目、披露事项;
其次,项目组需分析判断影响重要财务报表项目的业务流程循环,同时确定重要财务报表项目与业务循环之间的对应关系;
第三,分析确定各个重要财务报表项目和披露事项影响的相关认定,根据内部控制了解到的对各个重要财务报表项目和披露事项涉及的关键控制点及相关
控制措施确定需进行控制测试的范围。
2.确定进行控制测试的经营场所。被审计单位的组织结构往往比较复杂,会涉及到公司总部、分公司、子公司等,以下统称为经营场所。项目组在执行控制测试前,应根据被审计单位的组织结构特点分析确定对哪些经营场所进行控制测试,主要考虑下列要素:
经营场所相关财务状况和经营状况在合并财务报表中的重要程度;
通过内控了解及评价经营场所出现重大错报风险的可能性;
选定的经营场所在拟测试的业务循环和内控程序的位置,如属集中处理或共享服务中心。
通常情况下,应选择如下公司执行控制测试:
被审计单位母公司(或总公司)进行控制测试,因其属于管理的中心;
资产及收入占报表比重较大的子、分公司,因其内控是否有效对报表影响重大;
业务特殊且重要的分、子公司,因其业务区别于集团内其他公司,可能存在特定风险。
四、 本审计期间测试某项控制的决策
1.内部控制中的诸多要素对于被审计单位往往是相对稳定的(相对于具体的交易、账户余额和列报),因此在本期审计时还是可以适当考虑利用以前审计获取的有关控制运行有效性的审计证据。但是内部控制在不同期间可能发生重大变化,在利用以前审计获取的有关控制运行有效性的审计证据时需要充分考虑各种因素,通过实施询问并结合观察或检查程序,获取这些控制是否已经发生变化的审计证据。
2.如果控制在本期发生变化,应当考虑以前审计获取的有关控制运行有效性的审计证据是否与本期审计相关。例如,如果系统的变化仅仅使被审计单位从中获取新的报告,这种变化通常不影响以前审计所获取证据的相关性;如果系统的变化引起数据累积或计算发生改变,这种变化可能影响以前审计所获取证据的相关性。如果拟信赖的控制自上
次测试后已发生变化,应当在本期审计中测试这些控制的运行有效性。
3.如果拟信赖的控制自上次测试后没有发生变化,且不属于旨在减轻特别风险的控制,应当运用职业判断确定是否在本期审计中测试其运行有效性,以及本次测试与上次测试的时间间隔,但两次测试的时间间隔不得超过两年。
4.在确定利用以前审计获取的有关控制运行有效性的审计证据是否适当以及再次测试控制的时间间隔时,需要考虑的因素或情况包括:
内部控制其他要素的有效性,包括控制环境、对控制的监督以及被审计单位的风险评估过程。例如,当被审计单位控制环境薄弱或对控制的监督薄弱时,应当缩短再次测试控制的时间间隔或完全不信赖以前审计获取的审计证据。
控制特征(人工控制还是自动化控制)产生的风险。当相关控制中人工控制的成分较大时,考虑到人工控制一般稳定性较差,可能决定在本期审计中继续测试该控制的运行有效性。
信息技术一般控制的有效性。当信息技术一般控制薄弱时,可能更少地依赖以前审计获取的审计证据。
控制设计及其运行的有效性,包括在以前审计中测试控制运行有效性时发现的控制运行偏差的性质和程度。例如,当所审计期间发生了对控制运行产生重大影响的人事变动时,可能决定在本期审计中不依赖以前审计获取的审计证据。
由于环境发生变化而特定控制缺乏相应变化导致的风险。当环境的变化表明需要对控制作出相应的变动,但控制却没有作出相应变动时,应当充分意识到控制不再有效、从而导致本期财务报表发生重大错报的可能性,此时不应再依赖以前审计获取的有关控制运行有效性的审计证据。
重大错报的风险和对控制的拟信赖程度。如果重大错报风险较大或对控制的拟信赖程度较高,应当缩短再次测试控制的时间间隔或完全不信赖以前审计获取的审计证据。
5.如果拟信赖以前审计获取的某些控制运行有效性的审计证据,应当在每次审计时从中选取足够数量的控制,测试其运行有效性;不应将所有拟信赖控制的测试集中于某一次审计,而在之后的两次审计中不进行任何测试。
6.如果确定评估的认定层次重大错报风险是特别风险,并拟信赖旨在减轻特别风险的控制,不应依赖以前审计获取的审计证据,而应在本期审计中测试这些控制的运行有效性。
7.信息技术处理具有内在一贯性,除非系统发生变动,一项自动化应用控制应当一贯运行。对于一项自动化应用控制,一旦确定被审计单位正在执行该控制,通常无需扩大