PCAOB审计准则第五号对内控测试的影响课件.ppt

1、PCAOB审计准则第五号对内控测试的影响2会议议程n新旧准则主要变化及对新旧准则主要变化及对本年工作的影响本年工作的影响n准则变化的应对之策准则变化的应对之策n审计计划编制简介审计计划编制简介3审计准则第五号n审计准则第五号在审计准则第五号在20062006年年1212月发布征求意见稿。月发布征求意见稿。n尽管讨论期已经过去，尽管讨论期已经过去，但是最终稿尚未正式发布。但是最终稿尚未正式发布。n预计正式发布版与征求意见稿并不会有重大差异。预计正式发布版与征求意见稿并不会有重大差异。n20072007年的审计将按照审计准则第五号（征求意见稿）年的审计将按照审计准则第五号（征求意见稿）制定审计计划

2、。制定审计计划。n美国上市公司从美国上市公司从20022002年依据年依据404404条款要求经过了条款要求经过了3 3年的测试，尽管加强了年的测试，尽管加强了投资者的信心度，投资者的信心度，但是对于公司和审计师都增加了许多费用和工作。但是对于公司和审计师都增加了许多费用和工作。n因此新准则第五号的推出是在保证财务报告内控质量的前提下，对相应因此新准则第五号的推出是在保证财务报告内控质量的前提下，对相应的工作和成本作出调整。的工作和成本作出调整。4审计准则第五号的主要概念n职业判断职业判断n风险为导向风险为导向n由上至下由上至下5准则的变化项目项目审计准则第二号审计准则第二号审计准则第五号审计

3、准则第五号指引审计师对最重要的指引审计师对最重要的控制控制覆盖率覆盖率风险为导向风险为导向去除不必要的要求去除不必要的要求每一年审计是独立于上年、评每一年审计是独立于上年、评估管理层意见、估管理层意见、跟单不可依赖跟单不可依赖他人工作他人工作不必评估管理层测试、允许考虑不必评估管理层测试、允许考虑使用之前的审计中获得的知识、使用之前的审计中获得的知识、用他人工作用他人工作简化要求简化要求要求非常明确，要求非常明确，例如覆盖率等例如覆盖率等 允许审计师进行职业判断允许审计师进行职业判断简化较小规模公司的审简化较小规模公司的审计计没有对较小公司作出额外考虑没有对较小公司作出额外考虑审计准则第审计准

4、则第5号，号，第第9至至12段段 描述审计师如何对小型企描述审计师如何对小型企业的审计进行计划和执行。业的审计进行计划和执行。6新旧准则主要变化及对本年工作的影响（1）第五号准则不要求审计师对管理层财务报告内部第五号准则不要求审计师对管理层财务报告内部控制的管理层意见出具审计师的意见控制的管理层意见出具审计师的意见 审计准则第二号要求审计师出具审计准则第二号要求审计师出具3个审计意见：个审计意见：（a）审计师对公司的财务报告内部控制有效性的意见审计师对公司的财务报告内部控制有效性的意见 （b）审计师对公司的财务报表的意见审计师对公司的财务报表的意见 （c）审计师对管理层对公司的财务报告内部控制

5、的有效性的意审计师对管理层对公司的财务报告内部控制的有效性的意见见第五号准则只需审计师给予第五号准则只需审计师给予(a)和和(b)的审计意见。的审计意见。7新旧准则主要变化及对本年工作的影响（2）第五号准则关注于风险而不是覆盖率第五号准则关注于风险而不是覆盖率 审计准则第二号对覆盖率的要求是非常明确的。审计准则第二号对覆盖率的要求是非常明确的。但是在审计准则第但是在审计准则第五号，五号，附件附件B，第第12段却描述段却描述“在确定测试的单位的时候，在确定测试的单位的时候，审计师审计师应该评估该单位与财务报表发生实质性错报的风险，应该评估该单位与财务报表发生实质性错报的风险，并以此作为对该并以此

6、作为对该单位进行审计工作的依据。单位进行审计工作的依据。”在制定测试计划时，既要考虑金额的因素，更要考虑风险因素，综在制定测试计划时，既要考虑金额的因素，更要考虑风险因素，综合分析最终确定测试单位及测试的科目流程合分析最终确定测试单位及测试的科目流程8新旧准则主要变化及对本年工作的影响（3）重新调整对跟单测试的要求。对每个重要程序进行重新调整对跟单测试的要求。对每个重要程序进行跟单测试，而非每个重要程序中的主要交易种类跟单测试，而非每个重要程序中的主要交易种类。审计准则第二号，审计准则第二号，第第79段段 审计师应该对每个主要交易种类审计师应该对每个主要交易种类（如第（如第71段所述）段所述）

7、进行至少一个跟单。进行至少一个跟单。2007年仅对地区公司的重要业务流程进行跟单测试。年仅对地区公司的重要业务流程进行跟单测试。9新旧准则主要变化及对本年工作的影响（4）审计人员结合往年审计工作，对与控制相关的风）审计人员结合往年审计工作，对与控制相关的风险进行评估险进行评估。审计准则第五号，审计准则第五号，第第49至至64 段进一步阐述如何确认测试的性段进一步阐述如何确认测试的性质、质、时间和范围，时间和范围，尤其是第尤其是第52段更描述了在审计准则第二号中未段更描述了在审计准则第二号中未描述与控制相关的风险的要素。描述与控制相关的风险的要素。此外，此外，审计准则第五号第审计准则第五号第65

8、段特段特别允许了审计师可考虑过去对财务报告内部控制审计工作中获取的别允许了审计师可考虑过去对财务报告内部控制审计工作中获取的知识，知识，决定测试的性质、时间和范围。决定测试的性质、时间和范围。编制编制2007年内控测试计划时需要考虑年内控测试计划时需要考虑2006年测试的结果及影响。年测试的结果及影响。即在选择重要二级单位，确认测试的时间、范围、性质过程中，即在选择重要二级单位，确认测试的时间、范围、性质过程中，2006年的测试发现是考虑因素之一。年的测试发现是考虑因素之一。10新旧准则主要变化及对本年工作的影响（5）根据新的审计准则，审计师可以在更大的程度上依）根据新的审计准则，审计师可以在

9、更大的程度上依赖他人的工作。赖他人的工作。审计师可以依赖他人的工作成果作为审计证据，以减少审计师独审计师可以依赖他人的工作成果作为审计证据，以减少审计师独立测试的范围。但审计师必须对他人的工作以及测试人员进行评估，立测试的范围。但审计师必须对他人的工作以及测试人员进行评估，也有责任进行对他人的工作进行复查，也有责任进行对他人的工作进行复查，以对财务报告内控进行评价。以对财务报告内控进行评价。他人工作，他人工作，即管理层测试即管理层测试 准则的变化提高了审计师对管理层测试的依赖程度。需要在测试准则的变化提高了审计师对管理层测试的依赖程度。需要在测试过程中加强管理层测试组和普华测试组之间的交流和沟

10、通。过程中加强管理层测试组和普华测试组之间的交流和沟通。11新旧准则主要变化及对本年工作的影响（6）审计准则第五号，）审计准则第五号，第第18段指出，段指出，期末财务报告流期末财务报告流程控制是极重要的程控制是极重要的“公司层面控制公司层面控制”之一，之一，必须按照必须按照测试公司层面控制的范围进行测试。测试公司层面控制的范围进行测试。12会议议程n新旧准则主要变化及对新旧准则主要变化及对本年工作的影响本年工作的影响n准则变化的应对之策准则变化的应对之策n审计计划编制简介审计计划编制简介13准则变化的应对之策n审计范围或因以下因素进行调整：审计范围或因以下因素进行调整：审计准则第五号正式发布若

11、与之前的征求意见稿有重大差异审计准则第五号正式发布若与之前的征求意见稿有重大差异其他相关法律法规的变化其他相关法律法规的变化测试结果的满意程度测试结果的满意程度“不可预测性不可预测性”的审计要求或导致审计师不按常规的额外审计若的审计要求或导致审计师不按常规的额外审计若干单位干单位应管理层要求作出的特别测试应管理层要求作出的特别测试14准则变化的应对之策n新准则对测试范围的影响新准则对测试范围的影响 由于吸取了美国公司由于吸取了美国公司3 3年的经验，年的经验，其实中石油其实中石油20062006年的测试范年的测试范围已经作出依据风险为基础的考虑，围已经作出依据风险为基础的考虑，因此新准则对中石

12、油的影响并因此新准则对中石油的影响并不显著。不显著。20062006年确定重要会计科目测试范围时，考虑了该科目在不同地年确定重要会计科目测试范围时，考虑了该科目在不同地区公司中面对的风险，再作出判断，不对所有重要地区公司的所有区公司中面对的风险，再作出判断，不对所有重要地区公司的所有重要科目进行测试重要科目进行测试 20062006年选择二级单位进行测试年选择二级单位进行测试 对该地区公司中所有的二级对该地区公司中所有的二级单位进行二次风险评估，单位进行二次风险评估，确定进入测试范围的二级单位确定进入测试范围的二级单位15准则变化的应对之策n审计范围的确定审计范围的确定在编制在编制200720

13、07年财务报告相关的内部控制审计计划过程中，我们以风年财务报告相关的内部控制审计计划过程中，我们以风险为出发点，采取险为出发点，采取“从上到下从上到下”方法。从财务报告和公司层面控制入手，方法。从财务报告和公司层面控制入手，确定相关的重要会计科目。将流程和会计科目相对应并确定我们要进行确定相关的重要会计科目。将流程和会计科目相对应并确定我们要进行测试的流程范围。测试的流程范围。将重要科目和重要二级单位进行对应，最终确认我们的审计范围。将重要科目和重要二级单位进行对应，最终确认我们的审计范围。项目项目2006年年2007年年单位、单位、科目的主要科目的主要考虑因素考虑因素会计科目的覆盖率会计科目

14、的覆盖率 资产收入的覆盖率资产收入的覆盖率风险水平风险水平（业务复杂程度、（业务复杂程度、关联交易、关联交易、固有风险、金额）固有风险、金额）重要业务单位重要业务单位32 家家28 家家重要会计科目重要会计科目31个个31个个16准则变化的应对之策n审计范围的确定审计范围的确定审计准则第五号，审计准则第五号，第第1818段指出，段指出，期末财务报告流程控制是极重期末财务报告流程控制是极重要的要的“公司层面控制公司层面控制”之一，之一，必须按照测试公司层面控制的范围进必须按照测试公司层面控制的范围进行测试。行测试。因此，因此，20072007年需要进行财务报告流程测试的单位有年需要进行财务报告流

15、程测试的单位有 28 28 6=34 6=34 家。家。2006年年2007年年公司层面控制测试公司层面控制测试（包括（包括IT控制控制环境）环境）32+628+6财务报告流程测试财务报告流程测试3228+617准则变化的应对之策n测试时间测试时间20062006年测试从年测试从4 4月开始，月开始，进行了进行了5 5轮测试。轮测试。20072007年预计只进行年预计只进行2 2轮测试，轮测试，如有异常情况，如有异常情况，则需增则需增加测试。加测试。-第一阶段测试时间为第一阶段测试时间为20072007年年5 5月中旬至月中旬至9 9月中旬月中旬1.1.第二阶段测试包含更新、第二阶段测试包含更

16、新、整改、整改、补充、补充、财务报告流程测试，测试财务报告流程测试，测试时间为时间为20072007年年1212月至月至20082008年初年初18准则变化的应对之策n与管理层测试组的沟通与管理层测试组的沟通讨论、协商管理层测试计划讨论、协商管理层测试计划 在测试开始前，在测试开始前，管理层同普华应就管理层测试的内容、时间、性质进管理层同普华应就管理层测试的内容、时间、性质进行讨论和协商，确保管理层的测试计划满足新准则的要求。行讨论和协商，确保管理层的测试计划满足新准则的要求。争取同管理层测试组争取同管理层测试组“同进同出同进同出”，有问题及时沟通，有问题及时沟通 管理层和普华测试组应定期沟通

17、，交换意见，弥合理解差异，以期达管理层和普华测试组应定期沟通，交换意见，弥合理解差异，以期达成一致。沟通后仍无法达成一致的，应通知双方的总部进行讨论。成一致。沟通后仍无法达成一致的，应通知双方的总部进行讨论。争取手工和信息测试组争取手工和信息测试组“同进同出同进同出”工作底稿在测试期间同时分享，争取同时结束测试时，双方已审阅完对工作底稿在测试期间同时分享，争取同时结束测试时，双方已审阅完对方的工作发现及底稿。方的工作发现及底稿。19准则变化的应对之策n依赖管理层测试工作：依赖管理层测试工作：我们对所有的控制进行了风险评估，我们对所有的控制进行了风险评估，找出可以依赖管理层测试工作的找出可以依赖

18、管理层测试工作的控制。控制。审计师对管理层测试人员以及测试的工作成果进行评估，确认可以依审计师对管理层测试人员以及测试的工作成果进行评估，确认可以依赖管理层测试组的测试工作。赖管理层测试组的测试工作。审计师审计师可以依赖管理层测试的工作成果作为审计证据，以减少审计师可以依赖管理层测试的工作成果作为审计证据，以减少审计师独立测试的范围。审计师也有责任对管理层测试的工作进行复查。独立测试的范围。审计师也有责任对管理层测试的工作进行复查。需要在测试过程中加强管理层测试组和普华测试组之间的交流和沟通。需要在测试过程中加强管理层测试组和普华测试组之间的交流和沟通。测试由双方独立进行，但如果管理层发现问题

19、，应及时同普华联系，测试由双方独立进行，但如果管理层发现问题，应及时同普华联系，参考普华的意见。参考普华的意见。20准则变化的应对之策n依赖管理层测试成果的考虑因素：依赖管理层测试成果的考虑因素：测试的内容测试的内容（例如，（例如，该科目存在错报的风险、该科目存在错报的风险、所需的判断能力、所需的判断能力、等）等）测试人员的能力测试人员的能力（例如，（例如，学历、学历、相关经验、相关经验、测试期间受到监督、测试期间受到监督、文档素质等）和客观性文档素质等）和客观性（例如，（例如，该人员在企业的位置、该人员在企业的位置、监督人员监督人员的机构、的机构、有关的政策防止人员徇私等）有关的政策防止人员

20、徇私等）对管理层测试的工作成果进行测试对管理层测试的工作成果进行测试n在审计师监督下进行测试在审计师监督下进行测试 测试人员直接协助审计测试人员直接协助审计师进行测试师进行测试21他人的工作执行测试的人？执行测试的人？信心程度？信心程度？外部审计师测试外部审计师测试审计师直接监督他人测试审计师直接监督他人测试内审测试内审测试自我测试自我测试流程负责人日常工作流程负责人日常工作22会议议程会议议程n新旧准则主要变化及对本新旧准则主要变化及对本年工作的影响年工作的影响n准则变化的应对之策准则变化的应对之策n审计计划编制简介审计计划编制简介23编制审计计划的思路24基于风险的方法n风险评估成为此审计

21、准则下的整个审计过程的基础。风险评估成为此审计准则下的整个审计过程的基础。对于内部控制的审对于内部控制的审计产生了广泛的影响。计产生了广泛的影响。n首先以整个企业以及其环境进行风险评估：首先以整个企业以及其环境进行风险评估：确认相关风险。确认相关风险。n然后在不同的层次进行风险评估：然后在不同的层次进行风险评估：会计科目、会计科目、相关认定、相关认定、流程等。流程等。n我们应该集中精力在那些较高风险的部分，我们应该集中精力在那些较高风险的部分，以降低重大错报无法被及时以降低重大错报无法被及时发现的可能。发现的可能。n不同的地点不同的地点对财务报表的重大错报的风险进行评估。对财务报表的重大错报的

22、风险进行评估。重新聚焦于风险而不是覆盖率（删除对大比例覆盖率的要求）重新聚焦于风险而不是覆盖率（删除对大比例覆盖率的要求）将注意力集中于将注意力集中于不同地点不同地点的风险程度，使之与审计的工作量相结合的风险程度，使之与审计的工作量相结合25全面风险评估n以下是进行公司全面风险评估可以考虑的因素以下是进行公司全面风险评估可以考虑的因素 竞争环境（国内、竞争环境（国内、国外）国外）法律法规法律法规（香港、（香港、美国上市要求）美国上市要求）组织结构组织结构（集中化管理、（集中化管理、分散化管理）分散化管理）内部控制内部控制（内审、（内审、内控）内控）财务状况财务状况 会计政策会计政策（新会计准则

23、）（新会计准则）业务复杂度及变化业务复杂度及变化（PK、减值准备、减值准备、IT建设）建设）财务报告错报的风险财务报告错报的风险 舞弊风险舞弊风险 往年的测试结果往年的测试结果26由上至下n由上至下的方法适用于所有层次的考虑：由上至下的方法适用于所有层次的考虑：包括公司层面控制、包括公司层面控制、业务流程手工控制、业务流程手工控制、应用控制、应用控制、信息系统总体控制。信息系统总体控制。n这项工作需要进行职业判断，这项工作需要进行职业判断，必须识别、必须识别、评估风险，评估风险，范围，范围，确认重要会计科目，确认重要会计科目，确认控制，确认控制，确认测试的地点等。确认测试的地点等。n控制也应该

24、是从上至下确认的控制也应该是从上至下确认的 即财务报表和公司层面即财务报表和公司层面控制，控制，然后再延伸至会计科目和披露事项、然后再延伸至会计科目和披露事项、财务报表认定、财务报表认定、流程，流程，才到控制。才到控制。27公司层面n在我们确认测试范围的时候必须先对公司层面控制的在我们确认测试范围的时候必须先对公司层面控制的有效性作出假设，有效性作出假设，即公司层面控制是有效的。即公司层面控制是有效的。如果如果测试公司层面控制的时候发现负面的结论，测试公司层面控制的时候发现负面的结论，则会将则会将此假设推翻，此假设推翻，必须对范围进行重新的认定。必须对范围进行重新的认定。28确认重要会计科目2

25、9确认重要会计科目与重要科目对应的业务流程即重要业务流程与重要科目对应的业务流程即重要业务流程30重要会计科目n就算该会计科目单独的金额并不超过重要性水平，就算该会计科目单独的金额并不超过重要性水平，也需要也需要考虑此会计科目同其它科目一起，是否存在使得财务报告考虑此会计科目同其它科目一起，是否存在使得财务报告面临重大错报风险的可能性。面临重大错报风险的可能性。n审计准则第五号，审计准则第五号，第第26段提出的几项可供考虑的因素段提出的几项可供考虑的因素 规模和组成规模和组成 错误或欺诈导致错报的可能性错误或欺诈导致错报的可能性 会计业务的数量及复杂性会计业务的数量及复杂性 科目性质科目性质

26、会计核算及披露的复杂性会计核算及披露的复杂性 遭受损失的可能性遭受损失的可能性 是否有重大或有负债的可能是否有重大或有负债的可能 是否包含关联方往来是否包含关联方往来/交易交易 同上一期比较，科目性质有否变化同上一期比较，科目性质有否变化31确认单位 2007审计32确认单位 2007审计33确认测试的单位n在定性的风险因素后，在定性的风险因素后，若单位都具同等风险性质，若单位都具同等风险性质，则则以金额（即资产、以金额（即资产、收入）作为最终依据。收入）作为最终依据。n可以进行考虑的因素：可以进行考虑的因素：以前年度内控测试的结果以前年度内控测试的结果 业务单元重要科目的潜在的固有风险业务单

27、元重要科目的潜在的固有风险 规模（财务重要程度）规模（财务重要程度）风险是在业务单位的分散程度风险是在业务单位的分散程度 业务流程和内部控制在各单位的相似性业务流程和内部控制在各单位的相似性 控制流程和财务报告体系的集中程度控制流程和财务报告体系的集中程度 在业务单元中执行的业务以及相关资产的性质和数量在业务单元中执行的业务以及相关资产的性质和数量 业务单元是否有重大未记录负债业务单元是否有重大未记录负债 公司层面控制测试结果公司层面控制测试结果34确认测试的单位n信息系统对财务报告内控可能产生重大影响的变更包括下列信息系统对财务报告内控可能产生重大影响的变更包括下列因素因素：可能导致现有系统

28、无法满足企业运营的重大业务变更；可能导致现有系统无法满足企业运营的重大业务变更；会计准则或法律法规变更会计准则或法律法规变更(如如2007年会计准则变更年会计准则变更)可能对系统产生影可能对系统产生影响；响；新系统开发，如即将在各个板块上线的新系统开发，如即将在各个板块上线的SAP系统；系统；重大人事变更；重大人事变更；已知的系统问题，如系统不稳定或者经常进行数据恢复；已知的系统问题，如系统不稳定或者经常进行数据恢复；组织结构、制度和流程发生的重大变更；组织结构、制度和流程发生的重大变更；管理层监控的结果管理层监控的结果35具体在各单位测试工作的范围重要单位重要单位一般单位一般单位不重要单位不

29、重要单位单位分类单位分类第一类第一类 第二类第二类第三类第三类第四类第四类测试范围测试范围公司层面控制公司层面控制 业务层面控制业务层面控制公司层面控制公司层面控制不需任何测试不需任何测试（除非涉（除非涉及及“不可预测性不可预测性”的审的审计或其他特别要求）计或其他特别要求）36具体在各单位测试工作的范围n“重要单位重要单位”第一类第一类 第二类第二类n不是不是所有重要单位里的所有重要科目都必须进行测所有重要单位里的所有重要科目都必须进行测试。试。n我们以我们以“税前利润税前利润0.5%”0.5%”的金额作出判断。的金额作出判断。即，即，在所有在所有重要单位重要单位里超过税前利润里超过税前利润

30、0.5%0.5%的的重要科目重要科目都都在测试范围内。在测试范围内。n上述确认的重要会计科目对应的重要业务流程以及上述确认的重要会计科目对应的重要业务流程以及控制必须进行测试。控制必须进行测试。37具体在各单位测试工作的范围具体在各单位测试工作的范围n“一般单位一般单位”第三类第三类n我们需要进行公司层面控制的测试，我们需要进行公司层面控制的测试，以确认那些单位存以确认那些单位存在的风险的确不会导致重大错报在的风险的确不会导致重大错报 即，即，如果其公司如果其公司层面控制有效，层面控制有效，则能够得到足够信心度。则能够得到足够信心度。n审计准则第五号并没有直接阐述这类单位的测试数量，审计准则第五号并没有直接阐述这类单位的测试数量，我们依照往年的测试数量我们依照往年的测试数量 即即 6 家，家，进行公司层面进行公司层面控制的测试。控制的测试。n由于该测试采取的是由于该测试采取的是“抽样抽样”选择选择“一般单位一般单位”的做的做法，法，因此如果测试结果出现因此如果测试结果出现“负面负面”结论的话，结论的话，测试测试范围（包括业务流程测试）范围（包括业务流程测试）便必须增加。便必须增加。38普华人员的持续性n普华尽量争取维持测试人员的持续性。普华尽量争取维持测试人员的持续性。39请 指 教 批 评40谢谢谢谢