内控底稿编制实务
我们常说的内控底稿,包含穿行测试和控制测试两大底稿内容。
内控底稿实际包括审计工作的两个阶段,第一个是重大错报风险的识别和评估(审计准则1211号),在此阶段,我们通过了解被审计单位内部控制体系(内控五要素),对控制活动进行了解并执行穿行测试。第二个是针对评估的重大错报风险采取的应对措施(审计准则1231号),通常是执行控制测试。本文内容为业务层面内部控制实务操作。
一、了解被审计单位内部控制
1.主要内容定义
程序:询问管理层和其他合适内部人员;分析性程序;观察和检查。
目标:评价所识别的控制的设计,确定这些控制是否得到执行。
穿行测试:追踪测试业务流程处理的整个过程。
2.具体操作
(1)阅读被审计单位的相关内部控制制度,了解业务层面的控制设计;
(2)对管理层和其他合适的内部人员进行访谈,了解业务层面内部控制的实际执行情况。
(3)根据公司制度和访谈情况,找出控制点;对控制点进行编号;判断控制点对财务报表认定的影响(存在、完整性……);对控制点的控制内容进行描述,画出流程图,包括涉及的部门、具体流程、审批、流转文档等;了解控制执行人(总经理、财务部……);了解控制点的控制频率(每月一次、每日多次……);了解控制性质(人工控制、系统控制……);了解控制类型(检查性、预防性);判断控制点是否应对特别风险;判断控制风险高低;判断是否为关键控制点。
(4)关键控制点判断依据:控制是否不可缺少;应对舞弊风险的;直接针对认定的;控制运行的精确性。
(5)穿行测试:选择1-2笔业务,获取完整业务流程各控制点的支撑文档资料进行检查,留存穿行测试全部支撑材料。
(6)根据上述程序,评价设计是否有效,控制是否得到执行;同时确认对相关控制点是否需要进行内部控制测试。请注意,对于得到执行的关键控制点一般必须执行内控测试。
3.特别说明
企业层面内部控制和业务层面内部控制存在如下关系,即若企业层面内部控制有效并精确执行,能发现和预防一个或多个错报。可以不必就所有业务层面的内部控制取得审计证据。
二、控制测试
1.主要内容定义
程序:询问;观察、检查、重新计算、重新执行。
目标:评价控制运行是否有效。
2.控制测试是否必须执行
内控测试执行的前提条件:预期控制的运行是有效的;仅实施实质性程序并不能够提供认定层次充分、适当的审计证据。
3.测试样本规模
各家会计师事务所拥有不同的技术标准,通常根据控制点的发生频率和预期偏差(发生次数小于250次的预期偏差一般设置为0)进行确定最低的样本量。
| 控制频率 | 控制运行的总次数 | 最小样本量 |
|---|---|---|
| 每日多次 | >250 | 25-60 |
| 每日一次 | 250 | 20-40 |
| 每周一次 | 52 | 5-15 |
| 每月一次 | 12 | 2-5 |
| 每季度一次 | 4 | 2 |
| 每年一次 | 1 | 1 |
本表系内部控制评价指引的内容。
面对特别风险或有预期偏差时,应增加最低样本量。
4.具体操作
(1)确定拟测试的控制点;确定控制点对应的总体定义;定义偏差,即描述在什么情况下控制点运行出现了问题;确定预期偏差个数;确定抽样方法。
(2)确定测试的程序:如,询问的具体内容,检查的具体内容。
(3)记录具体的测试记录:填写每个样本的内容,与预先定义的偏差进行检查核对,留存部分检查记录。
(4)根据测试结果得出结论:控制运行是否有效。
5.样本出现偏差的处理
扩大样本量,对替代控制程序进行测试;评价是否为内控缺陷。
三、注意事项
防止内控底稿流于形式,实务中经常出现控制描述与被审计单位业务实际不一致,控制测试选择的样本内容无法达到测试的目标,偏差定义不准确,未实际检查抽取的样本。
注:以上内容仅供参考。