内控审计底稿模板2-2整体层面的内控
*******会计师事务所有限公司了解被审计单位整体层面内部控制
所属会计师事务所:被审计单位:项
目:
索引号:
财务报表截止日/期间:复核:日期:
编日
制:期:
BB-1
了解被审计单位整体层面内部控制
在被审计单位整体层面了解和评价内部控制的工作包括:
1.了解被审计单位内部控制的设计,并记录所获得的了解。2.针对被审计单位\内部控制的控制目标,记录相关的控制活动。3.执行询问、观察和检查程序,评价控制的执行情况。
4.记录在了解和评价内部控制的设计和执行过程中存在的缺陷以及拟采取的应对措施。了解被审计单位内部控制形成下列审计工作底稿:
1.(BB-1)了解内部控制汇总表2.(BB-1-1)了解和评价控制环境
3.(BB-1-2)了解和评价被审计单位的风险评估过程4.(BB-1-3)了解和评价信息系统与沟通5.(BB-1-4)了解和评价被审计单位内部控制活动6.(BB-1-5)了解和评价被审计单位对控制的监督7.(BB-1-6)了解和评价被审计单位财务报告流程
编制说明:
1.在了解和评价控制的设计并确定其是否得到执行时,应当使用询问、检查、观察程序,并记录所获取的信息和审计证据来源。
2.如果使用以前审计获取的信息,应当考虑被审计单位的相关控制自上次测试后是否发生重大变动。3.本部分包括的工作底稿所记录的主要内容如下:(1)BB-1:汇总对内部控制了解的主要内容和结论;
(2)BB-1-1:记录通过询问、观察和检查程序对控制环境的了解和评价结果;
(3)BB-1-2:记录通过询问、观察和检查程序对被审计单位的风险评估过程的了解和评价结果;(4)BB-1-3:记录通过询问、观察和检查程序对与财务报告相关的信息系统与沟通的了解和评价结果;(5)BB-1-4:记录通过询问、观察和检查程序对被审计单位内部控制的了解和评价结果;(6)BB-1-5:记录通过询问、观察和检查程序对被审计单位对控制的监督的了解和评价结果。
*******会计师事务所有限公司了解和评价内部控制汇总表
所属会计师事务所:被审计单位:项目:编制:日期:
1.内部控制要素
内部控制要素控制活动
2.了解内部控制
根据对内部控制的了解,记录如下:
(1)被审计单位是否委托其他服务机构执行主要业务活动?如果被审计单位使用其他服务机构,将对审计计划产生哪些影响?
是否进行了解?(是/否)
索引号:BB-1财务报表截止日/期间:复核:日期:
以上空白方框内请按照被审计单位实际情况具体填列
(2)是否制定了相关的政策和程序以保持适当的职责分工?这些政策和程序是否合理?
以上空白方框内请按照被审计单位实际情况具体填列
(3)自前次审计后,被审计单位的内部控制是否发生重大变化?如果已发生变化,将对审计计划产生哪些影响?
以上空白方框内请按照被审计单位实际情况具体填列
(4)是否识别出非常规交易或重大事项?如果已识别出非常规交易或重大事项,将对审计计划产生哪些影响?
以上空白方框内请按照被审计单位实际情况具体填列
(5)在了解内部控制过程中是否进一步识别出其他风险?如果已识别出其他风险,将对审计
计划产生哪些影响?
以上空白方框内请按照被审计单位实际情况具体填列3.信息技术一般控制采用的系统应用软件应用系统的名称
计算机运作环境
来源
初次安装日期
初次安装后对信息系统进行的任何重大修改、开发与维护
应用系统
修改
修改日期
拟于将来实施的重大修改、开发与维护计划
以上空白方框内请按照被审计单位实际情况具体填列本年度对信息系统进行的重大修改、开发与维护及其影响
以上空白方框内请按照被审计单位实际情况具体填列4.在整体层面了解内部控制的结论
是否属重大缺陷
(是/否)
列入与管理层沟通事项(是/否)
列入与治理层沟通事项(是/否)
控制要素识别的缺陷索引号
(注:表明内部控制存在重大缺陷的情形可能包括:注册会计师在审计工作中发现了重大错报,而被审计单位的内部控制没有发现;控制环境薄弱、存在高层管理人员舞弊迹象(无论涉及金额大小)等)
*******会计师事务所有限公司
了解和评价控制环境
所属会计师事务所:被审计单位:项目:编制:日期:
索引号:复核:日期:
财务报表截止日/期间:
编制说明:
1.本审计工作底稿中列示的被审计单位的控制目标和控制活动,仅为说明有关表格的使用方法,并非对所有控制目标和控制活动的全面列示。在执行财务报表审计业务时,注册会计师应根据被审计单位的实际情况予以填写。
2.如果我们拟信赖以前审计获取的审计证据,应通过询问并结合观察或者检查程序,获取控制活动是否已经发生变化的审计证据,并予以记录。3.“拟实施的风险评估程序”一列,应根据注册会计师针对控制目标计划采取的审计程序,包括询问、观察和检查;“被审计单位的控制”一列应记录被审计单位实际采取的控制活动;“询问”一列应填写该询问对象的姓名、级别、所在部门以及询问日期。
4.注册会计师对控制的评价结论可能是:(1)控制设计合理,并得到执行;(2)控制设计合理,未得到执行;
(3)控制设计无效或缺乏必要的控制。
4
5
二、
对胜任能力的重视:
6
三、治理层的参与程度
四、管理层的理念和经营风格7
五、组织结构
8
六、职权与责任的分配
9
七、人力资源的政策与实务
10
*******会计师事务所有限公司了解和评价被审计单位风险评估过程
所属会计师事务所:被审计单位:项目:编制:日期:
编制说明:
1.本审计工作底稿中列示的被审计单位的控制目标和控制活动,仅为说明有关表格的使用方法,并非对所有控制目标和控制活动的全面列示。在执行财务报表审计业务时,注册会计师应根据被审计单位的实际情况予以填写。
2.如果我们拟信赖以前审计获取的审计证据,应通过询问并结合观察或者检查程序,获取控制活动是否已经发生变化的审计证据,并予以记录。
3.“被审计单位的控制”一栏应记录被审计单位实际采取的控制活动;“拟实施的风险评估程序”一栏,应填写注册会计师针对控制目标计划采取的审计程序,包括询问、观察和检查。
4.注册会计师应当了解被审计单位是否已建立风险评估过程,包括:(1)识别与财务报告目标相关的经营风险;(2)估计风险的重要性;(3)评估风险发生的可能性;(4)决定应对这些风险的措施。
5.如果被审计单位已建立风险评估过程,注册会计师应当了解风险评估过程及其结果。如果识别出管理层未能识别出的重大错报风险,注册会计师应当评价是否存在这类风险,即注册会计师预期被审计单位风险评估过程应当识别出而未识别出的风险。如果存在这类风险,注册会计师应当了解风险评估过程未能识别出的原因,并评价风险评估过程是否适合具体情况,或者确定与风险评估过程相关的内部控制是否存在值得关注的内部控制缺陷。
6.如果被审计单位未建立风险评估过程,或具有非正式的风险评估过程,注册会计师应当与管理层讨论是否识别出与财务报告目标相关的经营风险以及如何应对这些风险。注册会计师应当评价缺少记录的风险评估过程是否适合具体情况,或确定是否表明存在值得关注的内部控制缺陷
索引号:BB-1-2
财务报表截止日/期间:复核:日期:
11
7.注册会计师对控制的评价结论可能是:(1)控制设计合理,并得到执行;(2)控制设计合理,未得到执行;(3)控制设计无效或缺乏必要的控制。
12
13
14
*******会计师事务所有限公司了解和评价控制信息系统与沟通
所属会计师事务所:被审计单位:项目:编制:日期:
索引号:BB-1-3财务报表截止日/期间:复核:日期:
编制说明:
1.本审计工作底稿中列示的被审计单位的控制目标和控制活动,仅为说明有关表格的使用方法,并非对所有控制目标和控制活动的全面列示。在执行财务报表审计业务时,注册会计师应根据被审计单位的实际情况予以填写。
2.如果我们拟信赖以前审计获取的审计证据,应通过询问并结合观察或者检查程序,获取控制活动是否已经发生变化的审计证据,并予以记录。3.“被审计单位的控制”一栏应记录被审计单位实际采取的控制,“实施的风险评估程序”一栏,应填写注册会计师针对控制目标计划采取的审计程序,包括询问、观察和检查。
4.注册会计师对控制的评价结论可能是:(1)控制设计合理,并得到执行;(2)控制设计合理,未得到执行;(3)控制设计无效或缺乏必要的控制。
一、与财务报告相关的信息系统
15
16
信息系统应用规模标准问卷
索引号:
被审计单位:截止日期:
编制人:复核人:
编制日期:复核日期:
填表信息:审计部门填表人
客户业务及财务部填表人客户IT部门填表人
联系方式联系方式联系方式
一、信息系统在业务中的应用17
存货
生产
18
固定资产资金存货生产
2.3
贵公司共有多少员工?其中有多
少员工使用计算机?
二、计算机环境的复杂程度
问题
1.
有哪些计算由系统完成以及系统名称?(如固定资产折旧、应收款账龄、利息、折扣等)
业务系统各模块是否完全整合(即数据在各模块之间
2.
自动传输共享)?和财务系统是否完全整合(即自动产生相关财务凭证)?如果需要分情况讲,请列举说明
3.4.5.
有无系统自动生成的交易(比如根据采购发票付款期自动产生付款建议书等等)?
财务记录根据业务系统交易的保存确认进行实时更新还是以批处理方式或报表汇总审核后更新?不同业务系统之间是否存在接口,自动导出或导入数据?如有,请列举说明
回答
19
6.7.8.
是否有不同的操作系统环境(如WindowsNT/2000,Unix,Mainframe,AS/400)
是否有重要的系统由外包公司提供运营和维护?是否和客户、供应商或金融机构等有电子数据交换(如EDI,网上银行等)?是否有网上交易?是否可以在公司外面通过拨号或互联网(如VPN等)进入公司局域网或访问公司内部的系统?如有,请说明
公司的系统是采购的标准软件还是由公司员工或外
9.
10.部顾问专门开发的?如是标准软件,是否做过较多的二次开发?
公司是否有专职IT员工?如有,有多少个?他们的
11.工作覆盖哪些内容(如网络维护,日常用户电脑支持,软件开发,ERP支持等)?是否使用以下高级的信息技术?
1.分布式处理(物理上电脑系统分布于不同地点)2.一套数据库为多套应用系统服务
12.
3.决策支持系统4.人工智能a)专家系统
b)光学/语音鉴别认证
11其他:
20
a)是否应用高级访问控制软件
b)系统硬件类型和机房、数据中心规模
三、信息系统对业务活动的重要程度
问题
无明显影响
可通过手工方法替代,但影响效率
1
如果贵公司主要的财务系统以及业务系统瘫痪,业务/做帐工作能否进行?
可通过手工方法替代,但不能替代多久
手工方法无法及时应付业务需要无手工替代方法立刻
如果贵公司主要的财务系统以及业务系统瘫痪,超过
2
多少时间会对公司的业务或客户/合作伙伴会有明显的影响?
1小时1天3-7天无明显影响
3
请说明如果系统处理发生重大错误会有哪些短期和长期的影响?错误的发现需要多久?
公司的业务是否十分依赖于系统及时、准确地处理数
4
据?管理层日常决策是否基于系统数据、报表(如销售、存货、总账等数据)
回答
是/否
21
5
在万一发生系统瘫痪的情况下,
贵公司是否有书面的政策或流程来指导业务部门如何应对及恢复?
问卷检查信息问卷检查人检查访谈对象检查日期
联系方式联系方式
问卷检查、访谈过程中发现的值得注意的计算机整体控制相关问题
附表:系统清单
22
索引号:
应用系统名称主要模块使用部门与其他系统的接口操作系统数据库硬件型号
服务器所在地
点
自主开发?采购软
件?
最早上线(使用)日期
*******会计师事务所有限公司了解和评价被审计单位的控制活动
所属会计师事务所:
23
被审计单位:项目:编制:日期:索引号:BB-1-4财务报表截止日/期间:复核:日期:
索引号控制目标被审计单位的控制
建立必要的机制获取外部信息,包括市场状况、竞争对手的状况、法
律法规的最新发展以及经济状况的变动,使企业能够分析以及评价实际业绩与预算,与竞争对手的差异,将不同类别的数据(经营或财务数据)联系起来
实施的风险评估程序
结论
存在的缺陷
定期进行业绩评价
24
信息技术一般控制(提供适企业设立了一套制度,包括程序的变动控制,限制接触程序或数据的当的人力和财力开发必需的控制,对实施新发布的软件包应用程序的控制,数据中心和网路运行
控制信息系统)
信息技术应用控制(如实时常见的应用控制包括对记录尖酸准确性的检查,对账户和试算平衡表
自动控制(如设置对输入数据和数字序号的自动检查),校验、编辑检查、系统自动的维护和审核,
报告例外事项的人工跟进计算)授权适当
公司建立一套政策和程序,对于相关业务如金额超过5万的采购需要总经理签字,又或者增加新的供应商要采购部经理批准
企业建立既定的程序,如出纳不得担任会计,上下游业务分离,公章、财务章、法人章不由同一人保管等
企业是否制定政策并设立相关岗位,确保重大资产由专人保管,是否定期盘点存货以及固定资产,是否有制度限制人员接触和处置资产。信息处理是否有日志可查(所有信息的修改、删除均有相应记录),是否设有必要的控制,如密码和级别授权,确保员工只能处理与其岗位相关的系统信息
企业是否建立相应政策和程序,以识别和应对特别风险。(如定期召开会议讨论企业所面临的风险,有专门的沟渠渠道使员工能将识别的特别风险上传至适当的管理层)
职责分离
实物控制
信息处理
对特别风险的控制活动
25
*******会计师事务所有限公司了解和评价被审计单位对控制的监督
所属会计师事务所:被审计单位:项目:编制:日期:
索引号:财务报表截止日/期间:复核:日期:
编制说明:
1.本审计工作底稿中列示的被审计单位的控制目标和控制活动,仅为说明有关表格的使用方法,并非对所有控制目标和控制活动的全面列示。在执行财务报表审计业务时,注册会计师应根据被审计单位的实际情况予以填写。
2.如果我们拟信赖以前审计获取的审计证据,应通过询问并结合观察或者检查程序,获取控制活动是否已经发生变化的审计证据,并予以记录。
3.“被审计单位的控制”一栏应记录被审计单位实际采取的控制活动;“实施的风险评估程序”一栏,应填写注册会计师针对控制目标计划采取的审计程序,包括询问、观察和检查。
4.注册会计师应当了解被审计单位用于监督与财务报告相关的内部控制的主要活动,包括了解针对与审计相关的控制活动的监督,以及被审计单位如何对控制缺陷采取补救措施。
5.如果被审计单位设有内部审计,注册会计师应当了解下列事项,以确定内部审计是否可能与审计相关:(1)内部审计的职能范围以及内部审计在被审计单位组织结构中的地位和作用;(2)内部审计已实施或拟实施的活动
6.注册会计师应当了解被审计单位监督活动所使用信息的来源,以及管理层认为信息对于实现目的足够可靠的依据。
7.注册会计师对控制的评价结论可能是:(1)控制设计合理,并得到执行;(2)控制设计合理,未得到执行;(3)控制设计无效或缺乏必要的控制。
26
一、持续监督
27
二、专门评价28
*******会计师事务所有限公司
集团层面的特殊考虑
所属会计师事务所:
29
被审计单位:项目:编制:日期:索引号:BB-1-6财务报表截止日/期间:复核:日期:
30