2200了解和評價被審計單位整體層面內(nèi)部控制（2021更新）

2200了解和評價被審計單位整體層面內(nèi)部控制—內(nèi)部控制環(huán)境了解和評價被審計單位整體層面內(nèi)部控制被審計單位：索引號：2200頁次：編制人：日期：財務報表截止日/期間：復核人：日期：項目合伙人：日期：編制說明：1、項目合伙人須復核并批準本表，以表明其認可關于控制環(huán)境及其他企業(yè)整體控制要素對我們的審計策略有何影響的結論。根據(jù)本表格中記載的證據(jù)，項目合伙人應簽署本表格以證明其已作出批準。2、當項目組確定一家上市企業(yè)的控制環(huán)境不能對旨在預防或檢查和更正重大錯報的控制提供足夠的支持時，應向技術部咨詢。3、總體說明：在審計計劃過程中，對企業(yè)整體控制進行了解是非常重要的。這種了解有助于我們識別和評估由舞弊和錯誤導致的重大錯報風險，也有助于擬定最合適的審計策略。我們可以通過以下方式來了解企業(yè)整體控制：詢問企業(yè)的管理層，詢問企業(yè)內(nèi)部的那些我們判斷可能掌握有助于我們識別重大錯報風險信息的其他人員、觀察日常業(yè)務中流程和控制的運作情況，并視情況檢查文件記錄。本表格主要用于審計計劃階段。然而，在審計全過程中通過實施審計程序而獲得的證據(jù)也有助于我們加深對企業(yè)整體控制的了解。根據(jù)在審計過程中實施的審計程序的結果和發(fā)現(xiàn)的新信息，我們會持續(xù)地修改和更新我們對企業(yè)整體控制的了解。當獲得與企業(yè)整體控制相關的新信息時，我們應確定該信息對以下三方面的影響：企業(yè)整體控制、對舞弊和錯誤導致的重大錯報風險的評估、審計策略。然后，我們相應更新記錄（例如：預審結束后會議或者審計項目總結階段）。下面的表格描述了我們通常預期的內(nèi)部控制的五大組成部分分別屬于企業(yè)整體內(nèi)部控制和與交易/過程層面相關的內(nèi)部控制的程度。本表格有助于我們對在本所技術指引《了解企業(yè)整體的內(nèi)部控制》中所探討的企業(yè)整體控制(即控制環(huán)境、風險評估流程、監(jiān)督和溝通）進行記錄。對“信息系統(tǒng)”和“控制活動”這兩個要素的記錄則分別在技術指引《了解被審計單位的業(yè)務》和《了解重大交易類別和重大披露流程》中提及。應當由具有充分經(jīng)驗且了解被審計企業(yè)的項目組成員來了解企業(yè)整體控制并確定其對我們的審計程序的影響。4、關于附錄本表格的附錄提供了根據(jù)《企業(yè)內(nèi)部控制應用指引》中與企業(yè)整體層面內(nèi)部控制相關的部分，即第1～5號《組織架構》、《發(fā)展戰(zhàn)略》、《人力資源》、《社會責任》、《企業(yè)文化》，而設計的企業(yè)整體層面內(nèi)部控制評價表和問卷，以便為執(zhí)行內(nèi)部控制審計業(yè)務的項目組提供更多的指引和提示。對于執(zhí)行內(nèi)部控制審計業(yè)務（含整合審計）的項目組而言，應當完成本模板，而把附錄中的評價表和問卷作為執(zhí)行企業(yè)整體內(nèi)部控制了解和評價程序的參考和提示。換言之，在內(nèi)部控制審計業(yè)務中，本模板的完成是強制性的，但附錄中的評價表和問卷是參考性的。一、對控制環(huán)境的了解我們需要了解“控制環(huán)境”這一組成部分及其相關要素，并獲取這些要素運行情況的證據(jù)。控制環(huán)境是內(nèi)部控制中其他所有組成部分的基礎，可反映管理層、治理層和所有者對待控制重要性的總體態(tài)度、認識和行為，及其在決定企業(yè)政策、程序和組織結構時對控制的關注程度。控制環(huán)境為一個組織機構設定了基調(diào)，可提供規(guī)范和架構，并影響其成員的控制意識，還可對發(fā)生虛假財務報告和侵占資產(chǎn)的可能性產(chǎn)生重大的影響?？刂骗h(huán)境包括管理層對待企業(yè)財務報表中所包含的會計估計、判斷和披露的態(tài)度，及最終對待其財務報告理念的態(tài)度，它是任何控制運行的背景。了解企業(yè)控制環(huán)境是我們審計程序中的一個重要部分，將有助于我們識別可能對交易處理中的重大錯報風險和管理層在編制財務報表時作出的判斷中的重大錯報風險具有普遍影響的因素。因此，控制環(huán)境是確定我們的總體審計策略時需加以考慮的一項關鍵因素。我們了解了下列控制環(huán)境要素及它們之間的關系：詳見技術指引《了解、測試和評價企業(yè)整體內(nèi)部控制》相關內(nèi)容：主要管理人員的誠信、道德價值觀和行為管理層的控制意識和經(jīng)營風格管理層對勝任能力的承諾治理層參與管理和監(jiān)控組織結構和權限及責任的分配人力資源政策和實務我們應考慮本表格中所列出的各個控制環(huán)境要素的典型特征。管理層實施的在控制環(huán)境要素中的控制或流程的種類和正式程度會隨企業(yè)的性質、規(guī)模和復雜程度而變；然而，如果控制環(huán)境有助于防止或發(fā)現(xiàn)以及糾正重大錯報，則我們通常認為這些特征會出現(xiàn)在企業(yè)的控制環(huán)境中，即使是以非正式的方式出現(xiàn)。本表格中所列的特征并非涵蓋一切，所以我們認為企業(yè)可能會出現(xiàn)本表格未提及的特征。1、關鍵管理人員的誠信、道德價值觀和行為以下是我們可能會觀察到的與關鍵管理人員的誠信、道德價值觀和行為相關的典型特征：企業(yè)已經(jīng)向員工宣傳員工守則或者等同于員工守則的政策，并對其執(zhí)行情況進行監(jiān)督。企業(yè)文化強調(diào)誠信和合乎道德行為的重要性。高級管理人員以最高標準要求自己并以身作則。企業(yè)進行相關溝通促進政策和文化得到一致的宣傳。管理層對員工違反已批準的政策和程序或員工守則的行為進行了適當?shù)奶幚?。企業(yè)實施了適當程序，例如新業(yè)務承接程序、利益沖突程序和保密措施，并在整個企業(yè)內(nèi)部對這些政策進行了充分溝通。管理層設有舞弊熱線，并對其進行監(jiān)督和適當回應。企業(yè)建立了舉報政策以及相關的舉報熱線或道德熱線，并在企業(yè)內(nèi)部進行了相關的溝通，還包括投訴處理程序和可疑會計或審計問題的保密舉報制度。描述對管理層如何建立和保持重視誠信和合乎道德行為的文化的觀察結果：在考慮企業(yè)的性質、規(guī)模和復雜程度的基礎上，描述那些我們沒發(fā)現(xiàn)但預期應當存在的與關鍵管理人員的誠信、道德價值觀和行為相關的特征。2、管理層的控制意識和經(jīng)營風格以下是我們可能會觀察到的關于管理層的控制意識和經(jīng)營風格的典型特征：管理層對內(nèi)部控制予以足夠的重視，包括信息技術控制。管理層會及時糾正他們所發(fā)現(xiàn)的內(nèi)部控制缺陷。管理層在選擇會計政策和做出會計估計時傾向于采取保守態(tài)度。對于重大的會計和財務報告問題，管理層會向我們咨詢。在考慮管理層的控制意識和經(jīng)營風格的特征的基礎上，描述我們對管理層控制意識和經(jīng)營風格的觀察結果：在考慮企業(yè)的性質、規(guī)模和復雜程度的基礎上，描述我們未發(fā)現(xiàn)但預期應當存在的與管理層控制意識和經(jīng)營風格有關的特征。3、管理層對勝任能力的承諾以下是我們可能會觀察到的關于管理層對勝任能力的重視的典型特征：企業(yè)會計、財務和IT部門人員具備足夠的勝任能力并接受足夠的培訓，能根據(jù)企業(yè)的性質和復雜程度處理業(yè)務。管理層設有其他流程來解決有關會計、審計、IT或內(nèi)部控制問題的投訴。企業(yè)設有程序和政策，使人員、系統(tǒng)以及控制與企業(yè)組織架構變化及業(yè)務增長同步發(fā)展。描述關于管理層對勝任能力的重視的觀察結果：在考慮企業(yè)的性質、規(guī)模和復雜程度的基礎上，描述我們未發(fā)現(xiàn)但預期應當存在的與管理層對勝任能力的重視相關的特征：4、治理層參與管理和監(jiān)督以下是我們可能會觀察到的關于治理層參與管理與監(jiān)督的典型特征：治理層對企業(yè)的對外財務報告和財務報告內(nèi)部控制實施充分的監(jiān)督治理層和內(nèi)審及外部審計師之間有開放的溝通渠道，且溝通的性質和頻率就企業(yè)的規(guī)模及復雜程度而言是適當?shù)闹卫韺泳哂凶銐虻闹R、經(jīng)驗和時間來有效地執(zhí)行其職能根據(jù)企業(yè)規(guī)模和復雜程度，治理層與管理層保持適當?shù)莫毩⑿?。描述關于治理層參與管理和監(jiān)督的觀察結果：在考慮企業(yè)的性質、規(guī)模和復雜程度的基礎上，描述我們未發(fā)現(xiàn)但預期應當存在的關于治理層參與管理和監(jiān)督的特征：5、企業(yè)組織架構和職責分配以下是我們可能會觀察到的關于企業(yè)組織架構和職責分配的典型特征：企業(yè)的組織架構適合于企業(yè)的性質、規(guī)模和復雜程度管理層向員工進行宣傳，使其了解企業(yè)的經(jīng)營目標、員工職責與該目標有何關系以及員工對這些目標的實現(xiàn)有何責任企業(yè)恰當?shù)胤峙渎氊煵⒋_定上下級匯報關系企業(yè)存在成文的員工崗位描述、參考手冊或者其他資料使員工知道其職責描述關于企業(yè)組織架構和職責分配的觀察結果：在考慮企業(yè)的性質、規(guī)模和復雜程度的基礎上，描述我們未發(fā)現(xiàn)但預期應當存在的關于企業(yè)組織架構和職責分配的特征：6、人力資源政策和實務以下是我們可能會觀察到的關于企業(yè)人力資源政策和實務的典型特征：企業(yè)制定和實施了下列適當?shù)娜肆Y源標準和程序：員工的招聘、培訓、激勵、評價、升職、薪酬、調(diào)配以及辭退（尤其是那些涉及會計、財務和信息系統(tǒng)的員工）企業(yè)會定期評價和復核每位員工的工作業(yè)績描述關于企業(yè)人力資源政策和實務的觀察結果：在考慮企業(yè)的性質、規(guī)模和復雜程度的基礎上，描述我們未發(fā)現(xiàn)但預期應當存在的關于企業(yè)人力資源政策和實務的特征：二、對風險評估過程的了解我們了解管理層風險評估程序，但并不要求我們更多詳細了解評估程序要素。企業(yè)，無論其規(guī)模、結構、性質或者所處行業(yè)如何，均會遇到來自企業(yè)外部或內(nèi)部的風險。企業(yè)風險評估過程旨在識別、分析并解決會影響企業(yè)經(jīng)營目標實現(xiàn)的風險。風險評估過程的正式程度因企業(yè)的規(guī)模、復雜程度而異。對于比較復雜的企業(yè)來說，尤其是上市企業(yè)，我們認為這些企業(yè)應該有更正式的書面風險評估過程。小型企業(yè)、個人獨資企業(yè)和(在有些情況下)小型上市企業(yè)（例如：處于起步階段的上市企業(yè)）可能不存在正式或書面的風險評估過程。如需進一步的指引，請參見技術指引《了解、測試和評價企業(yè)整體內(nèi)部控制》之“了解風險評估過程”的相關部分。請在下面記錄對企業(yè)的風險評估過程中以下方面的了解：識別與財務報告相關的經(jīng)營風險評價風險的重大程度評價風險發(fā)生的可能性確定應對風險的措施若企業(yè)未建立風險評估過程，或者存在不成文的風險評估過程，我們將詢問管理層是否已識別出與財務報告目標相關的經(jīng)營風險以及他們是如何應對這些風險的，并把其發(fā)現(xiàn)記錄在下表。我們應考慮企業(yè)所識別的那些風險。如果這些風險可能導致財務報表發(fā)生重大錯報，無論是在財務報表整體層面還是在重大賬戶或披露和認定層面，則我們考慮在工作底稿中記錄這些風險。此方面的進一步要求和指引請參閱本所技術指引《了解、測試和評價企業(yè)整體內(nèi)部控制》的第四部分“識別由企業(yè)整體層面內(nèi)部控制導致的重大錯報風險”。不恰當?shù)娘L險評估過程根據(jù)以上記錄的我們對企業(yè)風險評估過程的了解，若我們認為企業(yè)風險評估過程不適合于實際情況，則我們應：確定這是否表明企業(yè)內(nèi)部控制存在重大缺陷或重要缺陷判斷這是否會造成財務報表整體存在影響廣泛的重大錯報風險我們應根據(jù)企業(yè)的性質、規(guī)模和復雜程度，確定缺少書面的風險評估過程是否表明企業(yè)內(nèi)部控制存在重大缺陷或重要缺陷。如需進一步的指引，請參見本所技術指引《了解、測試和評價企業(yè)整體內(nèi)部控制》中與“了解風險評估過程”相關的部分。在下表中記錄我們的發(fā)現(xiàn)和結論：當我們識別出企業(yè)的風險評估過程未能識別出的重大錯報風險時，我們應執(zhí)行的程序如果我們在審計計劃過程中識別出一項重大錯報風險，而我們認為企業(yè)的風險評估過程應識別出該風險而管理層卻未能識別出該風險，則我們應當：了解企業(yè)的風險評估過程為何沒有識別出該重大錯報風險的原因根據(jù)企業(yè)存在的情況和所處的環(huán)境，評估企業(yè)風險評估程序是否適當判斷這是否表明內(nèi)部控制存在重大缺陷如需進一步的指引，請查看本所技術指引《了解、測試和評價企業(yè)整體內(nèi)部控制》中與“了解風險評估過程”相關的內(nèi)容。如果在填完本表格后我們發(fā)現(xiàn)了這種風險，我們可以在審計項目的結論和報告階段的相關底稿中作相應記錄（如需進一步的指引，請查看本所技術指引《結束和總結審計工作》中的第六部分“就企業(yè)的風險評估過程未能識別出的風險得出結論”。）三、對“對控制的監(jiān)督”的了解我們了解作為內(nèi)部控制組成部分的監(jiān)督及其相關的要素，并獲取該等要素運行的審計證據(jù)。我們應了解由管理層執(zhí)行且受到治理層監(jiān)督的，旨在監(jiān)督內(nèi)部控制的持續(xù)有效性的活動。我們認為我們可能會在企業(yè)的控制監(jiān)督過程中發(fā)現(xiàn)以下典型特征：相關部門定期向管理層和治理層報告對企業(yè)內(nèi)部控制的評估結果員工在執(zhí)行日常職責的過程中會獲取企業(yè)內(nèi)部控制系統(tǒng)是否持續(xù)有效運行的證據(jù)企業(yè)實施相關政策和程序，以確保在控制出現(xiàn)例外情況時能及時采取糾正措施針對內(nèi)部審計部門或者外部獨立審計機構所報告的缺陷，管理層及時采取恰當?shù)募m正措施審計委員會對企業(yè)的對外財務報告以及財務報告內(nèi)部控制進行恰當監(jiān)督由內(nèi)部審計或其他部門定期對內(nèi)部控制進行審核外部第三方所提供的企業(yè)內(nèi)部控制相關報告(例如：金融服務監(jiān)管報告、對企業(yè)治理的獨立審核報告等）提到了內(nèi)部控制哪些地方需要改進，管理層或治理層會對該報告進行復核。以上所列的特征并不全，我們應當考慮到企業(yè)可能會存在本表格未提及的特征。我們與管理層討論企業(yè)監(jiān)督活動所使用的信息來源，以及管理層相信在監(jiān)督過程中可充分信任這些信息的依據(jù)。我們還與管理層討論他們在控制監(jiān)督過程中發(fā)現(xiàn)缺陷后所采取的措施。如需進一步的指引，請參見本所技術指引《了解、測試和評價企業(yè)整體內(nèi)部控制》中與“了解對控制的監(jiān)督”相關的內(nèi)容。描述所觀察到的管理層對于控制的監(jiān)督以及項目組之間的討論：在考慮企業(yè)的性質、規(guī)模和復雜程度的基礎上，描述我們未發(fā)現(xiàn)但預期應當存在的關于企業(yè)控制監(jiān)督的特征。四、內(nèi)部審計部門職能如果企業(yè)設立內(nèi)部審計（包括獨立部門或專屬職能），則我們應了解并評價：內(nèi)部審計在被審計單位中的地位以及相關政策和程序是否足以支持內(nèi)部審計人員的客觀性，具體考慮以下內(nèi)容：內(nèi)部審計在被審計單位中的地位（包括內(nèi)部審計的權限和問責機制）是否支持其職業(yè)判斷避免因偏見、利益沖突或他人的不當影響而被凌駕的能力。例如，內(nèi)部審計人員是否向治理層或具備適當權限的管理人員報告工作，或如果內(nèi)部審計向管理層報告工作，是否能夠直接接觸治理層；內(nèi)部審計承擔的職責是否不存在相互沖突，如承擔內(nèi)部審計以外的管理或經(jīng)營職責；治理層是否監(jiān)督與內(nèi)部審計相關的聘用決策，如決定適當?shù)男匠暾?；管理層或治理層是否對?nèi)部審計施加任何約束或限制，如限制與注冊會計師溝通內(nèi)部審計發(fā)現(xiàn)的問題；內(nèi)部審計人員是否為相關職業(yè)團體的會員并且該職業(yè)團體要求內(nèi)部審計人員遵守與客觀性相關的職業(yè)標準，或被審計單位的內(nèi)部政策是否實現(xiàn)相同目標。內(nèi)部審計人員的勝任能力，具體考慮以下內(nèi)容：內(nèi)部審計是否擁有與被審計單位規(guī)模和經(jīng)營性質相適應的充分、適當?shù)馁Y源；是否制定了招聘、培訓和工作分配方面的政策；內(nèi)部審計人員是否經(jīng)過充分的技術培訓且精通審計業(yè)務。例如，注冊會計師在進行評估時可以考慮的相關標準可能包括內(nèi)部審計人員擁有的相關專業(yè)資格和經(jīng)驗；內(nèi)部審計人員是否具備與被審計單位財務報告和適用的財務報告編制基礎有關的必備知識，以及內(nèi)部審計人員是否擁有必要的技能（如特定行業(yè)的知識）以執(zhí)行與被審計單位財務報表相關的工作；內(nèi)部審計人員是否為相關職業(yè)團體的會員，該職業(yè)團體要求內(nèi)部審計人員遵守包括職業(yè)繼續(xù)教育要求在內(nèi)的相關職業(yè)標準。內(nèi)部審計是否采用系統(tǒng)、規(guī)范化的方法，具體考慮以下內(nèi)容：針對風險評估、工作計劃、工作底稿、報告等領域，是否存在書面的內(nèi)部審計程序或指引，以及這些書面內(nèi)部審計程序或指引的適當性和使用情況（其性質和范圍與被審計單位的規(guī)模和環(huán)境相適應）。內(nèi)部審計是否有恰當?shù)馁|量控制政策和程序。例如，《質量控制準則第5101號——會計師事務所對執(zhí)行財務報表審計和審閱、其他鑒證和相關服務業(yè)務實施的質量控制》中規(guī)定的適用于內(nèi)部審計的政策和程序（如與領導責任、人力資源、業(yè)務執(zhí)行相關的政策和程序）或相關職業(yè)團體為內(nèi)部審計人員制定的標準中提出的質量控制要求。這些職業(yè)團體還可能制定其他適當?shù)囊?，如定期進行外部質量評估。會計監(jiān)管風險提示第4號（證監(jiān)辦發(fā)[2012]89號）特別要求：對于IPO項目，我們需要對審計委員會及內(nèi)部審計部門是否切實履行職責進行盡職調(diào)查，并記錄于審計工作底稿。描述對內(nèi)部審計職能的了解：內(nèi)部審計部門已進行或擬進行的審計活動是否與我們的審計相關(即，我們計劃利用內(nèi)部審計部門的工作，從而修改我們審計程序的性質、時間和范圍）：如需進一步的指引，請參見本所技術指引《了解、測試和評價企業(yè)整體內(nèi)部控制》中與了解內(nèi)部審計職能相關的內(nèi)容。五、我們對溝通過程的了解我們了解內(nèi)部控制的“溝通”這一組成部分，但并不要求我們更多詳細了解這一組成部分中的各相關要素。對于企業(yè)如何就財務報告方面的職責分工以及其他對財務報告具有重要影響的事項進行溝通，我們記錄以下內(nèi)容：管理層與治理層之間的溝通企業(yè)與外部的溝通，例如：與監(jiān)管機構的溝通例如，我們考慮管理層如何與員工進行溝通，使員工了解各自在財務報告內(nèi)部控制方面的角色和職責、其自身工作與其他員工之間的聯(lián)系。企業(yè)可能通過政策指南、財務報告指南以及其他書面指引來實現(xiàn)這類溝通。我們還應該考慮是如何將控制失效和舞弊嫌疑報告給企業(yè)內(nèi)部的恰當人員的。對于較簡單的小型企業(yè)，由于財務報告涉及到的人員比較少并且管理層很容易觀察到相關活動，因此相關溝通可能比較不正式。如需進一步的指引，請參見本所技術指引《了解、測試和評價企業(yè)整體內(nèi)部控制》中與“了解溝通程序”相關的內(nèi)容。描述對溝通流程的了解：六、底稿記錄和結論我們應匯總我們的對控制環(huán)境和企業(yè)整體層面內(nèi)部控制的其他組成部分的觀察結果和結論，以確定對我們的重大錯報風險評估的影響，以及確定我們的審計策略。在“了解企業(yè)整體控制”的相關底稿（包括本模板）中：對于控制環(huán)境如何能夠或不能在預防或檢查和更正重大錯報方面發(fā)揮作用，我們總結了相