注册会计师CPA2023审计知识点C20企业内部控制审计S5企业层面控制（企业内部控制审计指引）

第五节 企业层面控制的测试

一、与控制环境相关的控制

在了解和测试控制环境时，注册会计师需要考虑的方面主要包括

（1）管理层的理念和经营风格是否促进了有效的财务报告内部控制；

（2）管理层在治理层的监督下，是否营造并保持了诚信和合乎道德的文化；

（3）治理层是否了解并监督财务报告过程和内部控制。

二、针对管理层和治理层凌驾于控制之上的风险而设计的控制

一般而言，针对凌驾风险采用的控制包括但不限于

（1）针对重大的异常交易（尤其是那些导致会计分录延迟或异常的交易）的控制。

（2）针对关联方交易的控制。

（3）与管理层的重大估计相关的控制。

（4）能够减弱管理层伪造或不恰当操纵财务结果的动机及压力的控制。

（5）建立内部举报投诉制度。

三、被审计单位的风险评估过程

1.风险评估过程包括识别与财务报告相关的经营风险，以及针对这些风险所采取的措施。

2.结合内部控制审计业务的目的和性质，在了解和测试被审计单位与风险评估过程相关的内部控制时，可以考虑以下因素：

（1）被审计单位是否根据设定的控制目标，有计划地全面、系统、持续地收集内外部相关信息，并结合实际情况，及时进行风险评估。

（2）被审计单位是否在目标设定的基础上，密切关注内外部主要风险因素，通过日常或定期的评估程序与方法对各种主要风险加以识别，并将各类风险进行分类整理，形成企业的风险清单

（3）被审计单位是否在风险识别的基础上，采用定性和定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。

（4）被审计单位在进行风险分析时，是否充分吸收专业人员，组成风险分析团队，按照严格规范的程序开展工作，确保风险分析结果的准确性。

（5）被审计单位是否根据内部控制目标，结合风险评估结果和风险应对策略，综合运用控制措施，将风险控制在可承受范围之内。

四、对内部信息传递和期末财务报告流程的控制

1.期末财务报告流程包括（5个方面）

（1）将交易总额登入总分类账的程序；

（2）与会计政策的选择和运用相关的程序；

（3）总分类账中会计分录的编制、批准等处理程序；

（4）对财务报表进行调整的程序；

（5）编制财务报表的程序。

2．注册会计师应当从下列方面评价期末财务报告流程（6个方面）

（1）被审计单位财务报表的编制流程，包括输入、处理及输出；

（2）期末财务报告流程中运用信息技术的程度；

（3）管理层中参与期末财务报告流程的人员；

（4）纳人财务报表编制范围的组成部分；

（5）调整分录及合并分录的类型；

（6）管理层和治理层对期末财务报告流程进行监督的性质及范围。

注意：由于期未财务报告流程通常发生在管理层评价日之后，因此注册会计师一般只能在该日之后测试相关控制。

五、对控制有效性的内部监督和内部控制评价

1.包括内容

对控制的监督可能包括：

（1）对运营报告的复核和核对

（2）与外部人士的沟通

（3）其他未参与控制执行人员的监控活动

（4）信息系统所记录的数据与实物资产的核对等

2.考虑因素

结合内部控制审计业务的目的和性质，在对被审计单位对控制有效性的内部监督进行了解和对其有效性进行测试时，注册会计师还可以特别考虑如下因素：

1.管理层是否定期地将会计系统中记录的数额与实物资产进行核对；

2.管理层是否为保证内部审计活动的有效性而建立了相应的控制；

3.管理层是否建立了相关的控制以保证自我评价或定期的系统评价的有效性；

4.管理层是否建立了相关的控制以保证监督性控制能够在一个集中的地点有效进行，如共享服务中心等

六、集中化的处理和控制

1.集中化的处理可以视作一种企业内部的“外包"安排，以取得规模效益并通过将某些或全部的财务报告过程与负责经营的管理层分离以改进控制环境。

2.集中化的财务管理可能有助于降低财务报表错报的风险。

3.注册会计师可以考虑（注意、不是必须）在较早的阶段对共享服务中心内部控制的有效性执行测试。

七、监督经营成果的控制（可以视为监督性内部控制的一种）

1.注册会计师在了解和测试与监督经营成果相关的企业层面的内部控制时可以考虑的因素包括

（1）管理层是否定期将经营成果与预算进行对比分析及复核，以分析财务资料是否存在异常情况；

（2）是否定期编制主要经营指标并对这些指标进行审阅及分析，以分析财务资料是否存在异常情况，

（3）是否定期更新经营预测，并且与期末的实际经营结果进行对比分析。

2.此外，监督经营成果的控制还可能包括在控制环境以及风险评估流程方面的监控，具体包括

（1）对客户投诉报告的复核及分析，以查找被审计单位的各个下属单位或业务部门是否存在违规、不合法或管理不善的情况；

（2）对违反被审计单位政策或守则行为的处理的复核；

（3）对与员工报酬或晋升相关的员工业绩评价流程的复核，以确定企业内部公平及平衡的奖惩制度的执行；

（4）对企业记录的财务报表编制流程中存在的主要风险的复核，以考虑企业内部及外部存在的可能导致财务报表错报的重大风险是否已经被清楚地反映。

八、针对重大经营控制及风险管理实务的政策

保持良好的内部控制的企业通常针对重大经营控制及风险管理实务采用相应的内部控制政策，在对内

部控制进行审计时，注册会计师在这方面可以考虑的主要因素包括（但不限于）：（2个因素）

（1）企业是否建立了重大风险预警枳制，明确界定哪些风险是重大风险，哪些事项一旦出现必须启动应急处理机制。

（2）企业是否建立了突发事件应急处理机制，确保突发事件得到及时妥善处理。

注意1：在进行内部控制审计时，注册会计师可以首先了解控制环境的各个要素，在此过程中应当考虑其是否得到执行。因为管理层也许建立了合理的内部控制，但却未有效执行。例如，管理层已建立正式的行为守则，但实际操作中却没有对不遵守该守则的行为采取措施。

注意2：在全面了解的基础上，注册会计师可以选择那些对财务报告内部控制有效性的结论产生重要影响的企业层面控制进行测试。

注意3：由于期末财务报告流程通常发生在管理层评价日之后，注册会计师一般只能在该日之后测试相关控制。同时，结合财务报表审计的要求，注册会计师还应当了解管理层为确保识别期后事项而建立的程序。

注意4：期末财务报告流程对内部控制审计和财务报表审计有重要影响，注册会计师应当对期末财务报告流程进行评价。

注意5：由于共享服务中心的内部控制的影响较大，注册会计师可以考虑在内部控制审计工作初期就开始分析其内部控制的性质、对被审计单位的影响等，并且考虑在较早的阶段执行对共享服务中心内部控制的有效性测试，以确定其对进一步审计程序性质、时间安排以及范围的影响。

黄色底色：背诵

红色字体：重点记忆

蓝色字体：公式

绿色底色：多阅读