《内控审计综合案例(1)fxhq.docx》由会员分享,可在线阅读,更多相关《内控审计综合案例(1)fxhq.docx(71页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、企业财务报告内部控制审计综合案例公司背景(一)公司的主要架构和业务活动XYZ集团主要从事药品生产和销售,经过多年的发展,XYZ集团已经成为集研发、生产、销售为一体,拥有3家药品生产企业、2家药品销售企业和1家药品研发企业的综合药业集团。公司于2008年在国内某证券交易所上市。XYZ集团的股权架构图见图11-1。控股公司XYZ公司研发企业1销售企业2销售企业1生产企业1生产企业33生产企业2100%100%100%100%100%100%图11-1 XYZ集团股权架构图XYZ集团及其子公司的主要业务活动如下: 1、控股公司的主要业务活动控股公司是所有子公司的最终控股公司,在日常经营管理中为下属公
2、司提供管理服务,在人事、信息和财务3职能方面对子公司实行集中管理,对下属各子公司的对应接口部门管控能力较强。2、生产企业的主要业务活动生产企业主要从事医药产品的生产,并将自产产品全部销售给集团内的销售公司进行外销。集团内三家药品生产企业均已获得相关药品的药品生产许可证,并按照国家药品监督管理部门制定的药品生产质量管理规范(以下简称“GMP”)组织生产。3、销售企业的主要业务活动销售企业药品销售将从生产企业购进的药品销售给非关联的药品经营企业和医疗机构(以下简称“分销商”),并通过有效的推广和销售活动提高药品在国内目标市场的份额。XYZ集团给予分销商一定的市场支持费用,用以开展各类市场营销活动。
3、目前,XYZ集团共拥有各类分销商500家。销售企业均已获得相关药品的药品经营许可证,同时按照国家药品监督管理部门制定的药品经营质量管理规范(以下简称“GSP”)销售药品。4、研发企业的主要业务活动研发企业的经营目标是为集团内各生产企业提供药品的研发服务。它为各生产企业提供研发服务以委托开发和自主研发相结合的形式进行。研发企业主要行使以下职能:项目立项、临床前研究、申请临床批件、临床试验、申请药品生产许可证、药品上市、专利申请和项目管理。XYZ集团研发成功的某新药品于2010年初上市,但由于市场环境的影响,其销售额并未达到经理层的预期,并给XYZ集团2010年总体销售目标的实现带来了一定的负面影
4、响。(二)主要财务数据XYZ集团及其子公司于2010年9月30日的财务报表数据摘录见表11-1。表11-1 XYZ集团及其子公司财务报表单位:万元账户生产企业1生产企业2生产企业3销售企业1销售企业2研发企业1控股公司合并数(内部交易已抵消)流动资产合计10054683407429950549858926919200716155490非流动资产合计354091113921311607920911303015464591507资产总计135955945466430666281068039949355361246997流动负债合计3301547362340373898124424526712989
5、735955非流动负债合计520011369负债合计3301547362340373898124424526713509747324所有者权益合计102940471843027-7270-1762-5318220264199673负债和所有者权益合计135955945466430666281068039949355361246997产品销售收入43351234058460109517277248003450136301利润(亏损)总额30740297805280-67291102-1978258747509净利润(亏损)2280980324660-6729739-197889736989其中,
6、销售企业1于2010年9月30日的财务报表数据摘录见表11-2(注:部分账户做了简化和拆分)。表11-2 销售企业1财务报表单位:万元账户余额账户余额账户发生额货币资金13177应付账款330产品销售收入109517应收账款27569应付集团内部公司款58448产品销售成本59004坏账准备-642预收账款321销售费用50397应收集团内部公司款5354其他应付款6049管理费用6624预付账款59应付职工薪酬1200研发费用89其他应收款680应交税金299财务费用132存货4366预提费用7251利润(亏损)总额-6729存货跌价准备-14负债合计73898所得税0固定资产原值2441实
7、收资本3280净利润(亏损)-6729累计折旧-900资本公积0在建工程11725未分配利润-10550无形资产2813所有者权益合计-7270资产总计66628负债和所有者权益合计66628(三)以前年度财务报表审计的相关信息自2008年上市后,XYZ集团的财务报表审计一直由W会计师事务所负责,在过去两年内,W会计师事务所均出具了标准无保留意见的财务报表审计报告,在审计过程中,也未发现舞弊等重大事项。在2009年12月31日的财务报表审计中,W会计师事务所出具了管理层建议书,包括以下方面:(1)在存货管理方面,没有使用顺序并且连续编号的采购入库单,难以确保所有入库的原材料均已得到完整的记录。
8、(2)在应收账款方面,由于XYZ集团共拥有各类分销商约500家,与其中大多数分销商有着频繁的交易往来,而XYZ集团采用手工方式分析应收账款回款及账龄情况,将增加应收账款账龄分析表出错的可能性。(四)内部审计的相关信息XYZ集团设有董事会和监事会,董事会下设审计委员会等专业委员会。XYZ集团成立了内审部,内审部在行政序列上向公司总裁汇报,在职能上也向审计委员会汇报。内审部通过对控股公司和各子公司进行内部审计,以合理保障公司的业务运营与国家的法律法规相一致、与公司的管理制度和内部规范相一致。内审部的主要职责摘录如下:(1)识别企业运营过程中的高风险环节;(2)组织内部审计人员对企业运营过程中的高风
9、险环节进行监督检查;(3)审核和评价经营控制体系是否具备风险防范能力;(4)审核经营活动的实际运行是否遵守控制体系的要求。在审计委员会批准颁布的内部审计章程中明确规定:任何部门、子公司无权干涉内审部的工作。内审部在制定工作计划以及实施并完成内部审计程序的过程中保持独立。内审部的专职审计人员具有审计、财务、经济、法律、工程等相关的专业技术职称和工作经验,具备与所从事工作相适应的专业胜任能力。(五)信息系统的相关信息XYZ集团使用ERP系统支持集团总部及下属子公司和分支机构的业务流程,ERP系统包括:财务、销售、存货和人事管理模块。除ERP系统外,XYZ集团还使用OA办公系统,OA办公系统是员工进
10、行日常工作交流的平台,公司的各项规章制度、通知通告等均会在OA办公系统上发布。另外,集团总部及下属子公司和分支机构的各种审批流程均通过OA办公系统的工作流来完成。ERP系统是外购系统,XYZ集团根据实际业务的需要进行了二次开发,而OA办公系统为自行开发系统。ERP系统和OA办公系统均已在XYZ集团使用两年多,目前已经进入较为稳定的使用阶段,但是仍会根据日常业务的需要进行系统功能的优化和调整。在本审计年度,两个系统均未发生重大变化。ERP系统和OA办公系统均为集中式系统。集团总部及下属子公司和分支机构通过网络的支持来使用该等信息系统。操作系统和数据库管理系统的信息见表11-3。表11-3 XYZ
11、集团信息系统简介信息系统操作系统数据库管理系统ERP系统UNIXOracleOA办公系统WindowsOracleERP系统和OA办公系统各自使用不同的服务器,均存放在集团总部机房,由集团信息部负责统一管理。各子公司和分支机构仅配备少量信息技术人员,主要负责当地系统用户的技术支持、当地硬件和网络的维护工作,而不负责两个信息系统的维护和管理。信息部对ERP系统和OA办公系统的管理主要包括以下方面: (1)系统开发及变更;(2)系统安全和访问管理,包括系统前台用户账户和权限的管理,以及系统后台的管理;(3)系统运行操作,包括备份、批处理管理、故障管理和Helpdesk等。XYZ集团在信息系统的管理
12、方面不使用服务商。除上述两个信息系统外,XYZ集团不使用其他信息系统。在销售流程中也未使用重要的电子表格。计划审计工作(一)签订审计业务约定书W会计师事务所在过去两年为XYZ集团提供财务报表审计服务,对XYZ集团比较了解,财务报告内部控制审计是2010年度XYZ集团主动提出新的审计要求。W会计师事务所经过评估后,决定承接XYZ集团2010年度内部控制审计业务,并采用整合审计的方式。W会计师事务所和XYZ集团经过协商,就业务约定书的内容达成了一致,签署了2010年度整合审计的业务约定书。(二)审计项目组的建立W会计师事务所在和XYZ集团签订业务约定书后,组建了审计项目组。在建立审计项目组时,考虑
13、到财务报告内部控制审计的要求,W会计师事务所重点考虑了以下相关因素:项目组是否具有性质和复杂程度类似的内部控制审计经验;项目组是否了解企业内部控制相关规范和指引要求;项目组是否了解审计指引和中国注册会计师执业准则的相关要求;项目组是否拥有与企业所处行业相关的知识;项目组是否具有职业判断能力;考虑到是整合审计,审计项目组由同一组人员完成财务报表审计和财务报告内部控制审计。项目组成员构成及工作分工见表11-4。表11-4 项目组成员构成及工作分工项目小组成员姓名相关资历负责工作项目合伙人张X2009年担任XYZ集团审计项目合伙人,根据轮换制度还可提供服务的期间,无需更换领导审计项目,合伙人复核独立
14、合伙人王X考虑XYZ集团系A股上市公司,因此W会计师事务所向该项目委派了独立合伙人王X,且王X对A股医药类上市公司审计具有丰富的行业经验独立合伙人复核项目经理李X2008、2009两个年度担任XYZ集团审计项目经理,较为了解XYZ集团的情况,有多年的医药行业审计相关经验审计项目经理,总体复核项目小组一般成员丁X有3年审计工作,虽然第一次加入XYZ集团审计项目小组,但丁X于2009年曾参与了其他生物制药公司的审计,对该行业的业务流程和市场环境等比较了解。有能力负责XYZ集团单个组成部分的审计工作。负责控股公司、销售企业1和销售企业2的现场审计工作,完成审计工作底稿的详细复核。项目小组一般成员黄X
15、有4年的审计工作经验,参与了XYZ集团2008、2009年度审计,有能力负责XYZ集团的单个组成部分的审计工作。负责生产企业1、生产企业2、生产企业3和研发企业1的现场审计工作,完成审计工作底稿的详细复核。项目小组一般成员陈X、陶X、朱X审计工作经验在13年,均具有与所从事工作相适应的专业胜任能力。参与XYZ各组成部分的现场审计工作信息技术审计专业人员高X高X及其团队是W会计师事务所信息技术审计部门的专业人士。XYZ集团使用ERP系统和OA办公系统,较为复杂,因此基于专业胜任能力的考虑,W会计师事务所决定在信息系统审计方面利用专业人士的工作对XYZ集团中有关的信息系统相关控制进行评估等,给予专
16、业意见。初步拟定上述审计项目组成员名单后,W会计师事务所对每个项目组成员的独立性进行了审查,没有发现问题,在要求各小组成员签署独立性声明后,XYZ集团审计项目组正式成立,准备实施审计工作。另外,W会计师事务所最近对全体员工进行了业务培训,培训内容涉及基本规范和配套指引的要求,特别是审计指引,以确保项目组成员了解企业内部控制相关规范和指引要求。(三)计划审计工作所需评价的事项项目合伙人和项目经理在2010年10月与XYZ集团财务负责人召开了审计计划会议,了解了XYZ集团的最新情况。审计项目组在计划审计工作时。逐一考虑了审计计划工作所需评价的事项。出于简化案例的需要,以下仅将部分评价结果摘录如下:
17、1、与XYZ集团相关的风险考虑到XYZ集团是集研发、生产、销售为一体的综合医药集团,并且同时拥有自主研发和委托研发项目,研发支出的金额也相对较大。因此,对于已经发生的研发支出,如果不能准确的进行费用化和资本化的区分,会导致错报的产生,可能涉及的财务报表账户包括研发费用和开发成本等。另外,药品有效期在药品管理中非常重要,针对临近保质期的药品以及回收的到期药品,XYZ集团应考虑其减值情况及相应的处理,如果缺乏合理的估计,存货存在高估的可能性,可能涉及的财务报表账户为存货跌价准备。2、与XYZ集团相关的法律法规和行业情况XYZ集团是在某证券交易所上市的制药企业,生产和销售受到国家相关部门的严格监管,
18、XYZ集团必须符合GMP和GSP的相关规定。如果违规,可能受到相应的处罚,会对公司的生产和经营造成影响,并进而影响采购、生产、销售、研发、仓储等业务活动的正常开展,可能涉及的财务报表账户为存货及存货跌价准备、销售收入和营业外支出。除医药行业相关的法律法规外,作为上市公司,XYZ集团还需符合会计法、公司法、劳动法等其他法律法规的规定。行业概况从略。3.企业组织结构、经营特点和资本结构等相关重要事项与上一年度相比,集团的组织结构、经营特点和资本结构等未发生重大变化,对此审计项目组没有识别出需要引起特别关注的重大事项。4.企业内部控制最近发生变化的程度W会计师事务所在与XYZ集团的沟通中了解到,与2
19、009年相比,XYZ集团没有新增的业务流程,各主要业务流程的负责人也未发生重大变化。5.与企业沟通过的内部控制缺陷在2009年度的管理层建议书中,注册会计师提出XYZ集团没有使用顺序并且连续编号的采购入库单。XYZ集团已于2010年对该控制程序进行了改进,在存货入库时,取消了手工编制的采购入库单,将系统内连续编号的采购入库单进行打印,并要求仓库管理人员在打印的采购入库单上签字确认。由于在库存管理相关的控制程序发生了较大变化,注册会计师将进行重点关注,可能涉及的财务报表账户为存货及应付账款等。另外,在以往的审计过程中,注册会计师发现XYZ集团采用手工方式编制应收账款账龄分析表。2010年,XYZ
20、集团继续采用手工方式编制应收账款账龄分析表。由于XYZ集团拥有较多的分销商,与分销商之间涉及大量的销售以及回款的交易,采用手工方式编制应收账款账龄分析表将增加错误发生的可能性,并进一步造成坏账准备账户的错报。6.重要性、风险等与内部控制重大缺陷相关的因素有关重要性水平的确定,请参见本部分第五点;有关舞弊风险的评估,请参见本部分第四点。除上述已提及的情况以外,注册会计师未发现其他与重大控制缺陷相关的因素。7.对内部控制有效性的初步判断在对XYZ集团的内部控制各方面作出综合评价后,审计项目组初步判断XYZ集团财务报告内部控制在所有重大方面未发现重大缺陷,并将基于此判断进一步安排审计程序的性质、时间
21、和范围。8.可获取的、与内部控制有效性相关的证据的类型和范围W会计师事务所在与XYZ集团的沟通中以及结合2009年度审计的情况,了解到XYZ集团较好地保存了内部控制的设计和运行过程中生成的记录和文档,相关文档可以作为财务报告内部控制审计的书面证据。(四)针对舞弊风险的评估注册会计师在评估XYZ集团的相关风险时已初步识别了其可能存在的舞弊风险。出于简化案例的需要,以下仅将部分舞弊风险的评估结果摘录如下:1.通过讯问XYZ集团的经理层并查阅以往年度审计工作成果,审计项目组了解到XYZ集团在过去3年内销售收入均实现了近30%的增长,作为在上海证券交易所上市的公司,投资者对公司的销售增长率有着较高的预
22、期。XYZ集团某新药品种A于2010年上市,但由于受到市场环境的影响,其销售额并未达到经理层的预期,并给XYZ集团2010年总体销售目标的实现带来了一定的负面影响。审计项目组初步评估,XYZ集团经理层出于业绩的压力,存在高估销售收入的舞弊风险,可能涉及的财务报表账户为销售收入和应收账款。2.XYZ集团从事医药产品的销售,为了确保销售目标的实现,XYZ集团给予分销商一定的市场支持费用,用于开展各类市场营销活动。一线的销售人员通常作为该类营销活动的主要参与人员,负责相关费用的申请和报销。审计项目组初步评估存在销售人员虚报销售费用的舞弊风险,可能涉及的财务报表账户为销售费用。出于简化案例的需要,对于
23、在本节第三和第四点中识别出的各项风险,在之后的案例部分将仅针对与应收账款账户有关的风险进行分析,其他的风险则不再展开。(五)设定重要性水平和多组成部分审计策略1.重要性水平和整体可容忍误差注册会计师从XYZ集团合并报表层次出发,考虑XYZ集团审计项目整体的重要性水平。XYZ集团2010年9月合并财务报表显示公司当期盈利,管理层表示预计全年业绩与按9月数据调整为全年数相近,审计项目组考虑根据调整为全年数的2010年度税前利润的5%作为财务报表层面的重要性水平。考虑到上市公司财务报表错报的风险较高,注册会计师运用职业判断确定按照重要性水平的50%计算整体可容忍误差。具体计算见表11-5。表11-5
24、 整体重要性水平与可容忍误差计算表XYZ集团2010年9月合并财务报表税前利润47 509万元将XYZ集团税前利润调整为全年数63 345万元比例5%重要性水平3 167万元比例50%整体可容忍误差1 583万元2.设定各组成部分的规模和风险结合各组成部分的规模和风险,以生产企业和销售企业为例,注册会计师关于各组成部分的审计策略考虑如下:(1)生产企业1、生产企业2、生产企业3生产企业在集团内主要起到生产的职能,且集团利润主要集中在生产企业,因此税前利润是考虑其规模的主要指标。生产企业1、生产企业2、生产企业3占集团税前利润的比例分别为64%、21%、11%。l 生产企业1:鉴于其在规模上的重
25、大影响,注册会计师确定生产企业1为全面范围。l 生产企业2:从规模考虑,它是重大的。然而根据计划阶段的了解和以往审计经验,生产企业2所含的错报风险较低。因此,注册会计师决定将其设为特定范围,将生产企业2大于集团整体的可容忍误差的账户设定为特定范围的重大账户。l 生产企业3:其规模相对较小,且根据计划阶段的了解及以往年度的审计经验,生产企业3所含的错报风险低。注册会计师确定生产企业3为有限范围:从财务报表审计角度,主要指向分析性复核的程序;从财务报告内部控制审计角度,考虑集团管控集中且各生产企业业务流程一致,在集团层面集中测试企业层面控制及财务报告流程,并在生产企业1和生产企业2测试重大业务流程
26、,已经可以将内部控制审计的风险降至可接受的水平,故对生产企业3不进行财务报告内部控制审计的程序。(2)销售企业1、销售企业2销售企业在集团内主要起到销售的职能,因此产品销售收入是考虑其规模的主要指标。销售企业1和销售企业2占集团产品销售收入的比例分别为80%和20%,考虑规模因素及收入确认的特定风险,注册会计师确定销售企业1和销售企业2为全面范围。3.设定全面范围和特定范围的可容忍误差以生产企业和销售企业为例,考虑其规模因素及风险因素,注册会计师运用职业判断,确定分配的可容忍误差见表11-6。表11-6 分配的可容忍误差计算表组成部分规模因素风险因素审计策略占整体可容忍误差的比例分配的可容忍误
27、差的金额(万元)生产企业1税前利润的64%错报风险较低全面范围85%1 346生产企业2税前利润的64%错报风险较低特定范围50%792销售企业1销售收入的80%错报风险较高全面范围75%1 187销售企业2销售收入的20%错报风险较高全面范围30%475需要特别指出的是,设定重要性水平及多组成部分的审计策略需要注册会计师运用大量的职业判断。本案例所介绍的判断的思路和结果仅供注册会计师参考。(六)识别重大账户、列报和相关认定1.识别重大账户、非重大账户和小额账户在识别重大账户时考虑的标准和因素包括:金额标准、风险因素和其他因素。以销售企业1的部分账户为例,表11-7记录了识别重大账户、非重大账
28、户及小额账户的过程。 表11-7 账户识别及评估表财务 报表账户金额(万元)金额标准风险因素其他因素账户类型 应收账款27569高于分配的可容忍误差存在收入确认的舞弊风险_重大账户坏账准备(642)低于分配的可容忍误差存在已识别的特别风险。在2009年的管理建议书中提到,该公司采用手工方式分析应收账款回款及账龄,考虑到分析应收账款账龄涉及大量的数据,手工处理方式会增加发生错误的可能性。公司根据应收账款账龄表计提坏账准备,因此坏账准备账户发生错误的风险也将增加_重大账户固定资产 原 值2441高于分配的可容忍误差_非重大账户注释(1)预付账款59低于分配的可容忍误差_小额账户注释(2) 注释(1
29、):销售企业1于2010年9月30日固定资产原值的余额为2441万元,高于分配的可容忍误差,但注册会计师通过询问和调查,了解到固定资产内控制度完善、业务流程本年无重大变化、无与固定资产相关的重大风险且固定资产本年变动不大,故决定将固定资产账户确定为非重大账户。 注释(2)销售企业于2010年9月30日预付账款账户余额为59万元,注册会计师将预付账款账户确定为小额账户,因为该余额远小于分配的可容忍误差,同时也不存在任何特别风险会影响该账户的固有风险。 2.识别重大列报 通常,所有的列报都是重大的,包括应列报的金额及相关的描述,因为列报中出现的小错误也可能影响财务报表使用者所要作出的决策。因此对于
30、XYZ集团而言,所有财务报表上的列报项目均作为重大列报,包括:现金流量表、股东权益变动表、会计政策、资本性承担、或有事项等。 3.识别相关认定 以应收账款为例,应收账款账户相关的认定以及分析见表11-8。表11-8 应收账款相关的认定以及分析重大账户相关认定分 析应收账款存在注册会计师需要确定销售企业1财务报表中记录的所有应收账款都是真实存在的完整性注册会计师需要确定销售企业1财务报表中所有应收账款均已得到记录权利和义务注册会计销售企业1师需要确定销售企业1财务报表中记录的所有应收账款均属于所有,不存在将部分应收债权抵押给银行或其他第三方等异常情况计价和分摊注册会计师需要确定所有应收账款以恰当
31、的金额记录在销售企业1财务报表中(七)识别重大业务流程注册会计师通过以下方式识别销售企业1的应收账款以及坏账准备账户相关的重大业务流程:对企业的了解和以往的经验:注册会计师了解到销售企业1的销售业务包括现款销售和赊销两种情况,赊销模式下会产生应收账款。同时,销售企业1为所有的赊销客户均设定了信用额度。询问恰当的人员,必要时辅以观察和查阅相关文件:针对销售企业1的应收账款以及坏账准备账户,注册会计师询问的问题见表11-9.表11-9 询问过程中常见问题列表问题回答哪些业务活动可能产生应收账款?赊销业务的发生哪些业务活动可能导致应收账款余额变化?应收账款的回收、坏账的核销哪些业务活动会影响应收账款
32、备抵账户的变化?计提或冲回坏账准备、坏账的核销公司如何对应收账款进行管理?客户信用管理、应收账款核对对记账分录的分析:注册会计师通过分析应收账款和坏账准备的会计分录来识别单独的业务流程,相关的记账分录见表11-10。表11-10 常见记账分录汇总表问题分析“应收账款”以及“坏账准备”账户中包含哪些类型的会计处理?A、应收账款增加借:应收账款 贷:销售收入B、应收账款收回借:应收票据贷:应收账款借:银行存款贷:应收账款C、计提坏账准备借:资产减值损失贷:坏账准备D、应收账款核销借:坏账准备 贷:应收账款 综合上述信息,并结合注册会计师对其他相关重大账户识别出的业务活动,注册会计师将销售流程作为重
33、大业务流程,并进一步识别出了销售流程的各子流程。表11-11列示了销售流程中与应收账款和坏账准备账户相关的子流程。表11-11销售流程及部分子流程列表重大业务流程子流程销售流程客户资信管理发货及销售收入的确认应收账款的收回及管理计提坏账准备以及坏账核销注册会计师识别重大业务流程的过程记录于表11-12。表11-12 重大业务流程识别与评估表财务报表账户是否属于重大账户相关认定采购流程销售流程发生完整性准确性截止分类存在权利和义务计价和分摊客户资信管理发货及销售收入的确认应收账款的收回及管理计提坏账准备以及坏账核销应收账款是坏账准备是是否属于重大业务流程(八)识别与重大业务流程相关的信息系统审计
34、项目组对销售流程中从业务生成、记录、处理到报告的整个完整流程所涉及的相关信息系统进行了梳理,了解到ERP系统和OA办公系统在销售流程中均有涉及,分别支持销售流程中的若干环节。(九)利用他人的工作出于简化案例的目的,在此不考虑利用他人的工作。(十)审计计划小结在完成审计计划的工作后,注册会计师需要完成审计计划的小结,对上述各项工作进行总结。鉴于注册会计师对XYZ集团执行整合审计,注册会计师出具一份综合审计计划,其中包括的与财务报告内部控制审计相关的内容如下:财务报告内部控制审计的范围;企业性质,所处环境及内部控制的重大变更及其对财务报告内部控制审计的影响;所识别的重大风险及其对内部控制审计策略的
35、影响(包括舞弊风险的考虑);财务报告内部控制有效性的初步判断;重要性水平及可容忍误差的确定;重大账户、列报和相关认定(包括将任何余额超过可容忍误差的账户视为“非重大账户”账户的原因)重大业务流程及其相关的信息系统多组成部分审计策略;对企业内部控制自我评价的了解及利用他人工作的策略;内部控制审计需要介入的专家。签于相关内容已在上述案例中包括,在此不再详细列示。实施审计工作(一)评估企业层面控制XYZ集团控股公司为集团内各子公司提供管理服务,在人事、信息和财务等职能方面对子公司实行集中管理,对下属各子公司的对应接口部门管控能力较强,各子公司所处的控制环境基本一致。因此,W会计师事务所决定只在集团层
36、面识别并评估企业层面控制,并着重对内部环境、风险评估、信息与沟通和内部监督等相关内容进行了解。注册会计师设计了企业层面财务报告内部控制的调研问卷,如下列示(仅列示了部分内容):1.内部环境(1)治理结构和议事规则董事会人员组成,包括董事会的人数和他们的专业背景等是否符合公司的经营性质和规模;是否充分地审阅了外部独立董事与本公司的关系和发生的交易以确保其独立性。公司董事会下设哪些专业委员会,各委员会的主要职能是什么;各专业委员会是否制定了相应的章程/议事规则。审计委员会是否拥有章程描述其相关职责;审计委员会有足够的授权和资源去履行其职责。(2)机构设置及权责分配公司组织机构是否恰当地反映了公司的
37、规模、经营活动及公司的区域分布。是否有适当的授权审批制度及流程。在情况发生变化时,公司是否能及时评估并修改公司的组织结构。(3)内部审计内审部的职能(在权力和汇报机制方面)是否和其所审计的活动相互独立。内审部的员工水平、专业知识以及所接受培训的程度是否适应了公司整体的环境。例如,在复杂的高度自动化的环境下是否有经验丰富的信息系统审计人员。(4)人力资源对于公司内部各个部门的员工聘用、培训、辞退/辞职、薪酬、考核、晋升与奖惩等是否有相关标准和程序。是否有程序对应聘者进行筛选,特别是那些关键岗位。是否有书面岗位说明书、员工手册或其他形式使员工了解其工作职责。(5)企业文化董事会对于诚信和道德水平是
38、否足够重视;公司是否制定了道德手册或行为准则,该手册或准则是否被有效地传达至企业各部门。 董事会、监事会、高级管理人员是否以身作则,无论在行动或言论上都致力于诚信和道德,并将此有效地传达至整个企业。对于公司中存在道德问题导致员工作出不诚实、违法或违反道德事件的动机或诱因,经理层是否致力于消除或减少它们。2.风险评估董事会人是否制定、传达和监控经营目标;是否有关于战略及经营计划方面的制度、流程。是否存在有效的机制来识别企业的经营风险。公司是否有评估潜在投资风险的程序;公司收购合并、转移重大业务和资产等经营活动是否被严格控制。例如,通过尽职调查,并经过董事会、监事会、高级管理人员审阅后再作出决定。
39、3.信息与沟通董事会、监事会、高级管理人员能否及时、充分地获取有关信息来履行其职责。董事会、监事会、高级管理人员的目标,诸如预算目标、利润目标和其他财务与运营目标;是否被详细说明和可量化。是否将实际执行结果和目标值进行比较。董事会、监事会、高级管理人员在开发和修订信息系统方面的努力是否响应了其战略规划(其中包括会计系统)。4.内部监督 是否有相关的流程要求董事会、监事会、高级管理人员审阅内部控制是否按照设计的要求执行?董事会、监事会、高级管理人员由内部审计部门提出的控制缺陷。5.财务报告流程管理层对于财务报告(包括会计估计的判断)的态度是否稳健(或保守)。对于可能影响重要会计估计和其他专业判断
40、的偏见,管理层是否将其减少到最小。当会计准则发生变化时财务部能否在会计处理中作出相关调整来体现这些变化。 利用此问卷,注册会计师执行了以下程序来识别和评估XYZ集团企业层面相关的控制活动:询问适当人员,包括集团中高层管理人员以及相关控制执行人员;观察经营活动;检查相关文件。注册会计师将企业层面控制评估过程记录于企业层面风险控制矩阵,具体见表11-13。表11-13 企业层面风险控制矩阵内部控制要素关注点编号现状描述责任部门相关文件有效性(设计/运行)控制缺陷内部环境内部审计内审部的职能(在权力和汇报机制方面)是否和其所审计的活动相互独立ELC-1在审计委员会批准颁布的内部审计章程中明确规定:任
41、何部门、子公司无权干涉内审部的工作。内审部在制定工作计划及实施并完成内部审计程序的过程中保持独立。审计委员会、内审部WT-ELC-1内部审计章程有效无内部环境内部审计内审部的员工水平、专业知识以及所接受培训的程度是否适应了公司整体的环境?例如:在复杂的高度自动化的环境下是否有经验丰富的信息系统审计人员?ELC-2内审部的专职审计人员具有审计、财务、经济、法律工程等相关的专业技术职称和工作经验,具备与所从事工作相适应的专业胜任能力内审部WT-ELC-2内审部人员简历有效无(二)评价信息系统一般控制 在了解重大流程及其相关的信息系统的步骤中,审计项目组已经识别了ERP系统及OA办公系统是销售流程相
42、关的信息系统,并且也了解了该等信息系统环境的技术构成。在信息系统一般控制的了解和评价过程中,信息技术审计部门的专业人员参与并完成了这部分工作。 由于信息系统一般控制是针对信息系统环境而设计和实施的,因此注册会计师是针对每个信息系统环境来识别其对应的信息系统一般控制,并进行相关穿行测试和控制测试的。因此,在XYZ集团了解和评价信息系统一般控制时,是针对ERP系统及OA办公系统分别进行的,而并不直接针对销售等重大业务流程。 以系统开发和变更管理为例,信息技术审计部门的专业人员针对ERP系统及OA办公系统分别识别到了信息系统一般控制,具体见表11-14。表11-14 信息系统一般控制ERP系统OA办
43、公系统关于ERP系统的变更需求,均须通过提交系统变更需求申请表,获得相关提出需求的集团总部或分子公司、分支机构的业务部门负责人的批准,以及集团信息部负责人的批准。(系统变更需求审批)关于OA办公系统的变更需求均须通过提交系统变更需求申报表,获得相关提出需求的集团总部或分子公司、分支机构的业务部门负责人的批准,以及集团信息部负责人的批准。(系统变更需求审批) 针对这个控制,信息技术审计部门的专业人员从本年度的ERP系统及OA办公系统的变业务部门更需求中分别选取了一个样本,进行穿行测试。穿行测试中验证了业务部门通过填写和提交系统变更需求申请表来提出变更申请,其中包含了具体的系统功能要求、报表要求、时间要求等。提出申请的业务部门负责人审阅并签署以示批准。穿行测试中验证,ERP系统及OA办公系统的系统变更需求的审批遵循的是同样的流程。因此,可以认为这是一个通用的信息系统一般控制。 针对