2200了解和評價被審計單位整體層面內(nèi)部控制

2200了解和評價被審計單位整體層面內(nèi)部控制—內(nèi)部控制環(huán)境2013.08了解和評價被審計單位整體層面內(nèi)部控制被審計單位：索引號：2200頁次：編制人：日期：財務報表截止日/期間：復核人：日期：項目合伙人：日期：編制說明：1、根據(jù)我所底稿分類管理規(guī)定，被審計單位屬于A類和B、C類大中型企業(yè)的必須完成此表，項目合伙人須復核并批準本表，以表明其認可關(guān)于控制環(huán)境及其他企業(yè)整體控制要素對我們的審計策略有何影響的結(jié)論。根據(jù)本表格中記載的證據(jù)，項目合伙人應簽署本表格以證明其已作出批準。2、當項目組確定一家上市企業(yè)的控制環(huán)境不能對旨在預防或檢查和更正重大錯報的控制提供足夠的支持時，應向技術(shù)部咨詢。3、總體說明：在審計計劃過程中，對企業(yè)整體控制進行了解是非常重要的。這種了解有助于審計人員識別和評估由舞弊和錯誤導致的重大錯報風險，也有助于擬定最合適的審計策略。審計人員可以通過以下方式來了解企業(yè)整體控制：詢問企業(yè)的管理層，詢問企業(yè)內(nèi)部的那些我們判斷可能掌握有助于我們識別重大錯報風險信息的其他人員、觀察日常業(yè)務中流程和控制的運作情況，并視情況檢查文件記錄。本表格主要用于審計計劃階段。然而，在審計全過程中通過實施審計程序而獲得的證據(jù)也有助于我們加深對企業(yè)整體控制的了解。根據(jù)在審計過程中實施的審計程序的結(jié)果和發(fā)現(xiàn)的新信息，我們會持續(xù)地修改和更新我們對企業(yè)整體控制的了解。當獲得與企業(yè)整體控制相關(guān)的新信息時，我們應確定該信息對以下三方面的影響：企業(yè)整體控制、對舞弊和錯誤導致的重大錯報風險的評估、審計策略。然后，我們相應更新記錄（例如：預審結(jié)束后會議或者審計項目總結(jié)階段）。下面的表格描述了我們通常預期的內(nèi)部控制的五大組成部分分別屬于企業(yè)整體內(nèi)部控制和與交易/過程層面相關(guān)的內(nèi)部控制的程度。本表格有助于審計人員對在本所技術(shù)指引《B30了解企業(yè)整體的內(nèi)部控制》中所探討的企業(yè)整體控制(即控制環(huán)境、風險評估流程、監(jiān)督和溝通）進行記錄。對“信息系統(tǒng)”和“控制活動”這兩個要素的記錄則分別在技術(shù)指引《B10了解被審計單位的業(yè)務》和《C30了解重大交易類別和重大披露流程》中提及。應當由具有充分經(jīng)驗且了解被審計企業(yè)的項目組成員來了解企業(yè)整體控制并確定其對我們的審計程序的影響。4、關(guān)于附錄本表格的附錄提供了北京華遠智和管理咨詢有限公司（以下簡稱“咨詢公司”）根據(jù)《企業(yè)內(nèi)部控制應用指引》中與企業(yè)整體層面內(nèi)部控制相關(guān)的部分，即第1～5號《組織架構(gòu)》、《發(fā)展戰(zhàn)略》、《人力資源》、《社會責任》、《企業(yè)文化》，而設計的企業(yè)整體層面內(nèi)部控制評價表和問卷，以便為執(zhí)行內(nèi)部控制審計業(yè)務的項目組提供更多的指引和提示。對于執(zhí)行內(nèi)部控制審計業(yè)務（含整合審計）的項目組而言，應當完成本模板，而把附錄中咨詢公司的評價表和問卷作為執(zhí)行企業(yè)整體內(nèi)部控制了解和評價程序的參考和提示。換言之，在內(nèi)部控制審計業(yè)務中，本模板的完成是強制性的，但附錄中咨詢公司的評價表和問卷是參考性的。一、對控制環(huán)境的了解我們需要了解“控制環(huán)境”這一組成部分及其相關(guān)要素，并獲取這些要素運行情況的證據(jù)。控制環(huán)境是內(nèi)部控制中其他所有組成部分的基礎，可反映管理層、治理層和所有者對待控制重要性的總體態(tài)度、認識和行為，及其在決定企業(yè)政策、程序和組織結(jié)構(gòu)時對控制的關(guān)注程度?？刂骗h(huán)境為一個組織機構(gòu)設定了基調(diào)，可提供規(guī)范和架構(gòu)，并影響其成員的控制意識，還可對發(fā)生虛假財務報告和侵占資產(chǎn)的可能性產(chǎn)生重大的影響?？刂骗h(huán)境包括管理層對待企業(yè)財務報表中所包含的會計估計、判斷和披露的態(tài)度，及最終對待其財務報告理念的態(tài)度，它是任何控制運行的背景。了解企業(yè)控制環(huán)境是我們審計程序中的一個重要部分，將有助于我們識別可能對交易處理中的重大錯報風險和管理層在編制財務報表時作出的判斷中的重大錯報風險具有普遍影響的因素。因此，控制環(huán)境是確定我們的總體審計策略時需加以考慮的一項關(guān)鍵因素。我們了解了下列控制環(huán)境要素及它們之間的關(guān)系：主要管理人員的誠信、道德價值觀和行為(B30_1.1.2)（此處為本所技術(shù)指引中相關(guān)部分的索引號，表示本所技術(shù)指引《B30了解、測試和評價企業(yè)整體內(nèi)部控制》之一、管理層的控制意識和經(jīng)營風格(B30_1.管理層對勝任能力的承諾(B30_1.治理層參與管理和監(jiān)控(B30_1.1.5組織結(jié)構(gòu)和權(quán)限及責任的分配(B30_1.人力資源政策和實務(B30_1.我們應考慮本表格中所列出的各個控制環(huán)境要素的典型特征。管理層實施的在控制環(huán)境要素中的控制或流程的種類和正式程度會隨企業(yè)的性質(zhì)、規(guī)模和復雜程度而變；然而，如果控制環(huán)境有助于防止或發(fā)現(xiàn)以及糾正重大錯報，則我們通常認為這些特征會出現(xiàn)在企業(yè)的控制環(huán)境中，即使是以非正式的方式出現(xiàn)。本表格中所列的特征并非涵蓋一切，所以我們認為企業(yè)可能會出現(xiàn)本表格未提及的特征。1、關(guān)鍵管理人員的誠信、道德價值觀和行為以下是我們可能會觀察到的與關(guān)鍵管理人員的誠信、道德價值觀和行為相關(guān)的典型特征：企業(yè)已經(jīng)向員工宣傳員工守則或者等同于員工守則的政策，并對其執(zhí)行情況進行監(jiān)督。企業(yè)文化強調(diào)誠信和合乎道德行為的重要性。高級管理人員以最高標準要求自己并以身作則。企業(yè)進行相關(guān)溝通促進政策和文化得到一致的宣傳。管理層對員工違反已批準的政策和程序或員工守則的行為進行了適當?shù)奶幚?。企業(yè)實施了適當程序，例如新業(yè)務承接程序、利益沖突程序和保密措施，并在整個企業(yè)內(nèi)部對這些政策進行了充分溝通。管理層設有舞弊熱線，并對其進行監(jiān)督和適當回應。企業(yè)建立了舉報政策以及相關(guān)的舉報熱線或道德熱線，并在企業(yè)內(nèi)部進行了相關(guān)的溝通，還包括投訴處理程序和可疑會計或?qū)徲媶栴}的保密舉報制度。描述對管理層如何建立和保持重視誠信和合乎道德行為的文化的觀察結(jié)果：在考慮企業(yè)的性質(zhì)、規(guī)模和復雜程度的基礎上，描述那些審計人員沒發(fā)現(xiàn)但預期應當存在的與關(guān)鍵管理人員的誠信、道德價值觀和行為相關(guān)的特征。2、管理層的控制意識和經(jīng)營風格以下是我們可能會觀察到的關(guān)于管理層的控制意識和經(jīng)營風格的典型特征：管理層對內(nèi)部控制予以足夠的重視，包括信息技術(shù)控制。管理層會及時糾正他們所發(fā)現(xiàn)的內(nèi)部控制缺陷。管理層在選擇會計政策和做出會計估計時傾向于采取保守態(tài)度。對于重大的會計和財務報告問題，管理層會向我們咨詢。在考慮管理層的控制意識和經(jīng)營風格的特征的基礎上，描述對管理層控制意識和經(jīng)營風格的觀察結(jié)果：在考慮企業(yè)的性質(zhì)、規(guī)模和復雜程度的基礎上，描述審計人員未發(fā)現(xiàn)但預期應當存在的與管理層控制意識和經(jīng)營風格有關(guān)的特征。3、管理層對勝任能力的承諾以下是我們可能會觀察到的關(guān)于管理層對勝任能力的重視的典型特征：企業(yè)會計、財務和IT部門人員具備足夠的勝任能力并接受足夠的培訓，能根據(jù)企業(yè)的性質(zhì)和復雜程度處理業(yè)務。管理層設有其他流程來解決有關(guān)會計、審計、IT或內(nèi)部控制問題的投訴。企業(yè)設有程序和政策，使人員、系統(tǒng)以及控制與企業(yè)組織架構(gòu)變化及業(yè)務增長同步發(fā)展。描述關(guān)于管理層對勝任能力的重視的觀察結(jié)果：在考慮企業(yè)的性質(zhì)、規(guī)模和復雜程度的基礎上，描述審計人員未發(fā)現(xiàn)但預期應當存在的與管理層對勝任能力的重視相關(guān)的特征：4、治理層參與管理和監(jiān)督以下是我們可能會觀察到的關(guān)于治理層參與管理與監(jiān)督的典型特征：治理層對企業(yè)的對外財務報告和財務報告內(nèi)部控制實施充分的監(jiān)督治理層和內(nèi)審及外部審計師之間有開放的溝通渠道，且溝通的性質(zhì)和頻率就企業(yè)的規(guī)模及復雜程度而言是適當?shù)闹卫韺泳哂凶銐虻闹R、經(jīng)驗和時間來有效地執(zhí)行其職能根據(jù)企業(yè)規(guī)模和復雜程度，治理層與管理層保持適當?shù)莫毩⑿浴Ｃ枋鲫P(guān)于治理層參與管理和監(jiān)督的觀察結(jié)果：在考慮企業(yè)的性質(zhì)、規(guī)模和復雜程度的基礎上，描述審計人員未發(fā)現(xiàn)但預期應當存在的關(guān)于治理層參與管理和監(jiān)督的特征：5、企業(yè)組織架構(gòu)和職責分配以下是我們可能會觀察到的關(guān)于企業(yè)組織架構(gòu)和職責分配的典型特征：企業(yè)的組織架構(gòu)適合于企業(yè)的性質(zhì)、規(guī)模和復雜程度管理層向員工進行宣傳，使其了解企業(yè)的經(jīng)營目標、員工職責與該目標有何關(guān)系以及員工對這些目標的實現(xiàn)有何責任企業(yè)恰當?shù)胤峙渎氊煵⒋_定上下級匯報關(guān)系企業(yè)存在成文的員工崗位描述、參考手冊或者其他資料使員工知道其職責描述關(guān)于企業(yè)組織架構(gòu)和職責分配的觀察結(jié)果：在考慮企業(yè)的性質(zhì)、規(guī)模和復雜程度的基礎上，描述審計人員未發(fā)現(xiàn)但預期應當存在的關(guān)于企業(yè)組織架構(gòu)和職責分配的特征：6、人力資源政策和實務以下是我們可能會觀察到的關(guān)于企業(yè)人力資源政策和實務的典型特征：企業(yè)制定和實施了下列適當?shù)娜肆Y源標準和程序：員工的招聘、培訓、激勵、評價、升職、薪酬、調(diào)配以及辭退（尤其是那些涉及會計、財務和信息系統(tǒng)的員工）企業(yè)會定期評價和復核每位員工的工作業(yè)績描述關(guān)于企業(yè)人力資源政策和實務的觀察結(jié)果：在考慮企業(yè)的性質(zhì)、規(guī)模和復雜程度的基礎上，描述審計人員未發(fā)現(xiàn)但預期應當存在的關(guān)于企業(yè)人力資源政策和實務的特征：二、對風險評估過程的了解我們了解管理層風險評估程序，但并不要求我們更多詳細了解評估程序要素。企業(yè)，無論其規(guī)模、結(jié)構(gòu)、性質(zhì)或者所處行業(yè)如何，均會遇到來自企業(yè)外部或內(nèi)部的風險。企業(yè)風險評估過程旨在識別、分析并解決會影響企業(yè)經(jīng)營目標實現(xiàn)的風險。風險評估過程的正式程度因企業(yè)的規(guī)模、復雜程度而異。對于比較復雜的企業(yè)來說，尤其是上市企業(yè)，我們認為這些企業(yè)應該有更正式的書面風險評估過程。小型企業(yè)、個人獨資企業(yè)和(在有些情況下)小型上市企業(yè)（例如：處于起步階段的上市企業(yè)）可能不存在正式或書面的風險評估過程。如需進一步的指引，請參見技術(shù)指引“B30.1.2了解風險評估過程”的相關(guān)部分。請在下面記錄對企業(yè)的風險評估過程中以下方面的了解：識別與財務報告相關(guān)的經(jīng)營風險評價風險的重大程度評價風險發(fā)生的可能性確定應對風險的措施若企業(yè)未建立風險評估過程，或者存在不成文的風險評估過程，審計人員將詢問管理層是否已識別出與財務報告目標相關(guān)的經(jīng)營風險以及他們是如何應對這些風險的，并把其發(fā)現(xiàn)記錄在下表。我們應考慮企業(yè)所識別的那些風險。如果這些風險可能導致財務報表發(fā)生重大錯報，無論是在財務報表整體層面還是在重大賬戶或披露和認定層面，則我們考慮在工作底稿中記錄這些風險。此方面的進一步要求和指引請參閱本所技術(shù)指引《B30了解、測試和評價企業(yè)整體內(nèi)部控制》的第四部分“識別由企業(yè)整體層面內(nèi)部控制導致的重大錯報風險”。不恰當?shù)娘L險評估過程根據(jù)以上記錄的我們對企業(yè)風險評估過程的了解，若我們認為企業(yè)風險評估過程不適合于實際情況，則我們應：確定這是否表明企業(yè)內(nèi)部控制存在重大缺陷或重要缺陷判斷這是否會造成財務報表整體存在影響廣泛的重大錯報風險我們應根據(jù)企業(yè)的性質(zhì)、規(guī)模和復雜程度，確定缺少書面的風險評估過程是否表明企業(yè)內(nèi)部控制存在重大缺陷或重要缺陷。如需進一步的指引，請參見本所技術(shù)指引《B30了解、測試和評價企業(yè)整體內(nèi)部控制》中與“了解風險評估過程”相關(guān)的部分。在下表中記錄審計人員的發(fā)現(xiàn)和結(jié)論：當我們識別出企業(yè)的風險評估過程未能識別出的重大錯報風險時，我們應執(zhí)行的程序如果我們在審計計劃過程中識別出一項重大錯報風險，而我們認為企業(yè)的風險評估過程應識別出該風險而管理層卻未能識別出該風險，則我們應當：了解企業(yè)的風險評估過程為何沒有識別出該重大錯報風險的原因根據(jù)企業(yè)存在的情況和所處的環(huán)境，評估企業(yè)風險評估程序是否適當判斷這是否表明內(nèi)部控制存在重大缺陷如需進一步的指引，請查看本所技術(shù)指引B30《了解、測試和評價企業(yè)整體內(nèi)部控制》中與“了解風險評估過程”相關(guān)的內(nèi)容。如果在填完本表格后我們發(fā)現(xiàn)了這種風險，我們可以在審計項目的結(jié)論和報告階段的相關(guān)底稿中作相應記錄（如需進一步的指引，請查看本所技術(shù)指引《E10結(jié)束和總結(jié)審計工作》中的第六部分“就企業(yè)的風險評估過程未能識別出的風險得出結(jié)論”。）三、對“對控制的監(jiān)督”的了解我們了解作為內(nèi)部控制組成部分的監(jiān)督及其相關(guān)的要素，并獲取該等要素運行的審計證據(jù)。我們應了解由管理層執(zhí)行且受到治理層監(jiān)督的，旨在監(jiān)督內(nèi)部控制的持續(xù)有效性的活動。我們認為我們可能會在企業(yè)的控制監(jiān)督過程中發(fā)現(xiàn)以下典型特征：相關(guān)部門定期向管理層和治理層報告對企業(yè)內(nèi)部控制的評估結(jié)果員工在執(zhí)行日常職責的過程中會獲取企業(yè)內(nèi)部控制系統(tǒng)是否持續(xù)有效運行的證據(jù)企業(yè)實施相關(guān)政策和程序，以確保在控制出現(xiàn)例外情況時能及時采取糾正措施針對內(nèi)部審計部門或者外部獨立審計機構(gòu)所報告的缺陷，管理層及時采取恰當?shù)募m正措施審計委員會對企業(yè)的對外財務報告以及財務報告內(nèi)部控制進行恰當監(jiān)督由內(nèi)部審計或其他部門定期對內(nèi)部控制進行審核外部第三方所提供的企業(yè)內(nèi)部控制相關(guān)報告(例如：金融服務監(jiān)管報告、對企業(yè)治理的獨立審核報告等）提到了內(nèi)部控制哪些地方需要改進，管理層或治理層會對該報告進行復核。以上所列的特征并不全，我們應當考慮到企業(yè)可能會存在本表格未提及的特征。我們與管理層討論企業(yè)監(jiān)督活動所使用的信息來源，以及管理層相信在監(jiān)督過程中可充分信任這些信息的依據(jù)。我們還與管理層討論他們在控制監(jiān)督過程中發(fā)現(xiàn)缺陷后所采取的措施。如需進一步的指引，請參見本所技術(shù)指引《B30了解、測試和評價企業(yè)整體內(nèi)部控制》中與“了解對控制的監(jiān)督”相關(guān)的內(nèi)容（B30.1.3）。描述所觀察到的管理層對于控制的監(jiān)督以及項目組之間的討論：在考慮企業(yè)的性質(zhì)、規(guī)模和復雜程度的基礎上，描述審計人員未發(fā)現(xiàn)但預期應當存在的關(guān)于企業(yè)控制監(jiān)督的特征。四、內(nèi)部審計部門職能如果企業(yè)有內(nèi)部審計部門，則我們應了解其職責的性質(zhì)，以及是否適合于企業(yè)組織架構(gòu)。我們應考慮以下方面：企業(yè)內(nèi)是否存在一個有效運行的內(nèi)部審計部門內(nèi)部審計部門是否獨立于他們所審計的對象且被禁止承擔經(jīng)營責任內(nèi)審人員是否可直接向企業(yè)董事會或?qū)徲嬑瘑T會報告內(nèi)部審計部門是否遵守了執(zhí)業(yè)準則（例如：國際內(nèi)部審計執(zhí)業(yè)準則、中國內(nèi)部審計協(xié)會發(fā)布的內(nèi)部審計準則和實務指南等）內(nèi)部審計的范圍是否與企業(yè)的性質(zhì)、規(guī)模和復雜程度相適應內(nèi)部審計部門是否制定年度計劃，該計劃考慮關(guān)于資源分配方面的風險高級管理人員、董事會、審計委員會/治理層以及外部獨立審計機構(gòu)是否會事先審核計劃的內(nèi)部審計范圍內(nèi)部審計部門是否將內(nèi)部審計結(jié)果匯報給高級管理人員、董事會、審計委員會或治理層以及外部獨立審計機構(gòu)會計監(jiān)管風險提示第4號（證監(jiān)辦發(fā)[2012]89號）特別要求：對于IPO項目，我們需要對審計委員會及內(nèi)部審計部門是否切實履行職責進行盡職調(diào)查，并記錄于審計工作底稿。描述對內(nèi)部審計職能的了解：內(nèi)部審計部門已進行或擬進行的審計活動是否與我們的審計相關(guān)(即，我們計劃利用內(nèi)部審計部門的工作，從而修改我們審計程序的性質(zhì)、時間和范圍）：如需進一步的指引，請參見本所技術(shù)指引《B30了解、測試和評價企業(yè)整體內(nèi)部控制》中與了解內(nèi)部審計職能相關(guān)的內(nèi)容（B）。五、我們對溝通過程的了解我們了解內(nèi)部控制的“溝通”這一組成部分，但并不要求我們更多詳細了解這一組成部分中的各相關(guān)要素。對于企業(yè)如何就財務報告方面的職責分工以及其他對財務報告具有重要影響的事項進行溝通，我們記錄以下內(nèi)容：管理層與治理層之間的溝通企業(yè)與外部的溝通，例如：與監(jiān)管機構(gòu)的溝通例如，我們考慮管理層如何與員工進行溝通，使員工了解各自在財務報告內(nèi)部控制方面的角色和職責、其自身工作與其他員工之間的聯(lián)系。企業(yè)可能通過政策指南、財務報告指南以及其他書面指引來實現(xiàn)這類溝通。我們還應該考慮是如何將控制失效和舞弊嫌疑報告給企業(yè)內(nèi)部的恰當人員的。對于較簡單的小型企業(yè)，由于財務報告涉及到的人員比較少并且管理層很容易觀察到相關(guān)活動，因此相關(guān)溝通可能比較不正式。如需進一步的指引，請參見本所技術(shù)指引《B30了解、測試和評價企業(yè)整體內(nèi)部控制》中與“了解溝通程序”相關(guān)的內(nèi)容（B30.1.4）。描述對溝通流程的了解：六、底稿記錄和結(jié)論我們應匯總我們的對控制環(huán)境和企業(yè)整體層面內(nèi)部控制的其他組成部分的觀察結(jié)果和結(jié)論，以確定對我們的重大錯報風險評估的影響，以及確定我們的審計策略。在“了解企業(yè)整體控制”的相關(guān)底稿（包括本模板）中：對于控制環(huán)境如何能夠或不能在預防或檢查和更正重大錯報方面發(fā)揮作用，我們總結(jié)了相關(guān)觀察結(jié)果，并在確定控制環(huán)境對我們的審計策略的影響時考慮以下方面（詳見本所技術(shù)指引《B30了解、測試和評價企業(yè)整體內(nèi)部控制》中“確定對審計策略