2
了解和评价被审计单位风险评估过程 被审计单位： 项目： 编制： 日期： 索引号： B5-1-2 财务报表截止日/期间： 复核： 日期：
编制说明： 1. 本审计工作底稿中列示的被审计单位的控制目标和控制活动，仅为说明有关表格的使用方法，并非对所有控制目标和控制活动的全面列示。在执行财务 报表审计业务时，注册会计师应根据被审计单位的实际情况予以填写。 2．如果我们拟信赖以前审计获取的审计证据，应通过询问并结合观察或者检查程序，获取控制活动是否已经发生变化的审计证据，并予以记录。 3. “拟实施的风险评估程序”一列，应根据注册会计师针对控制目标计划采取的审计程序，包括询问、观察和检查； “被审计单位的控制”一列应记录被 审计单位实际采取的控制活动； “询问”一列应填写该询问对象的姓名、级别、所在部门以及询问日期。 4. 注册会计师对控制的评价结论可能是：(1) 控制设计合理，并得到执行；(2) 控制设计合理，未得到执行；(3) 控制设计无效或缺乏必要的控制。
关键管理人员具备岗位所 需的丰富知识和经验
被审计单位的控制
员工招聘主管需要具备执行任务、履行职责的知识及经验； 对关键管理人员实施适当的培训。
实施的风险评估程序 询问 观察 观察 检查
结论 控制设计合理， 并 得到执行。 检查 控制设计合理， 并 得到执行。
存在的缺陷
……
人力资源政策与程序清晰， 每年检查人力资源政策与程序，不恰当的进行调整；对更新的 定期发布和更新 文件及时传达。
二、专门评价 索引号 1 控制目标 拟实施的风险评估程序 被审计单位的控制 询问 观察 检查 结论 存在的缺陷
内部控制定 期评价
建立内部控制评价体系， 由 内部审计部门定期评价内 部控制。
检查
控制经营风格 序号 …… 控制目标 对非经常的经营风险， 管理层采取稳妥措施 被审计单位的控制
管理层在承担经营风险、选择会计政策和作出会计估计时必须 稳健， 并需要在内部民主讨论， 对当事人规定明确的个人责任。
带格式的: 项目符号和编号
实施的风险评估程序 询问 询问 观察 检查
结论 控制设计合理， 并 得到执行。
3
了解和评价控制信息系统与沟通 被审计单位： 项目： 编制： 日期： 索引号： B5-1-3 财务报表截止日/期间： 复核： 日期：
编制说明： 1. 本审计工作底稿中列示的被审计单位的控制目标和控制活动，仅为说明有关表格的使用方法，并非对所有控制目标和控制活动的全面列示。在执行财务 报表审计业务时，注册会计师应根据被审计单位的实际情况予以填写。 2．如果我们拟信赖以前审计获取的审计证据，应通过询问并结合观察或者检查程序，获取控制活动是否已经发生变化的审计证据，并予以记录。 3. “拟实施的风险评估程序”一列，应根据注册会计师针对控制目标计划采取的审计程序，包括询问、观察和检查； “被审计单位的控制”一列应记录被 审计单位实际采取的控制活动； “询问”一列应填写该询问对象的姓名、级别、所在部门以及询问日期。 4. 注册会计师对控制的评价结论可能是：(1) 控制设计合理，并得到执行；(2) 控制设计合理，未得到执行；(3) 控制设计无效或缺乏必要的控制。 一、与财务报告相关的信息系统 索引号 1 控制目标 组织内部有充分畅通的横向 沟通渠道，横向信息传递完 整、及时，并能提供有关人 员履行其职责所需的充分信 息。 被审计单位的控制 建立销售部门与技术、 生产、 营销等部门的沟通渠道， 保证顾客的需求得到适当的处理； 建立财务部门与信用管理部门的沟通渠道，保证拖延 付款信息得到适当的处理； 建立相应的沟通渠道，保证关于竞争对手新产品、售 后服务保障等信息传递给负责技术、市场开拓和营销 的部门。 建立有效的机制使员工能够提出改进建议； 建立奖励机制促使员工积极提出改进意见。 询问 询问 观察 检查 检查 结论 控制设计合理，并 得到执行。 存在的缺陷
初次安装后对信息系统进行的任何重大修改、开发与维护 应用系统 用友 U8 无 修改 修改日期
拟于将来实施的重大修改、开发与维护计划 无
本年度对信息系统进行的重大修改、开发与维护及其影响 年初启用新的财务软件，年初对数据进行新旧两个软件之间的对接和初始化工作。 4. 在整体层面了解内部控制的结论 控制要素 控制环境 被审计单位 的风险评估 控制活动 与财务报告 相关的信息 系统与沟通 对控制的监 督 识别的缺陷 无 无 无 无 是否属重大缺陷 (是/否) 否 否 否 否 索引号 列入与管理层沟通 事项(是/否) 列入与治理层沟通 事项(是/否)
带格式的: 项目符号和编号
三、治理层的参与程度 序号 …… 控制目标 董事会独立于管理层 被审计单位的控制 管理层的提案需要经过董事会审议； 董事会监督经营成果，检查预算与实际的差异，并要求 管理层作出解释； 询问 董事会不是仅由部门领导和员工组成，董事会保持至少 三位独立董事。 实施的风险评估程序 询问 观察 检查 控制设计合理， 并 得到执行。 结论 存在的缺陷
了解和评价整体层面内部控制汇总表
被审计单位： 项目： 编制： 索引号： B5-1 财务报表截止日/期间： 复核： 日期：
日期：
2010.12.24
1. 整体层面内部控制要素 整体层面内部控制要素 控制环境 被审计单位的风险评估 与财务报告相关的信息系统与沟通 对控制的监督 是否进行了解？ 是 是 是 是
索引号
控制目标 建立公司整体目标 并传达到相关层次
被审计单位的控制
询问
观察
检查
结论 控制设计合理， 并得到 执行。
存在的缺陷
1
管理层确立了整体目标，该整体目标区别于任何单位都 询问 适用的一般目标； 经营战略和整体目标一致，战略目标支持整体目标并能 指导配置资源； 整体目标能够有效地传达到全体员工和董事。
存在的缺陷
五、组织结构 序号 …… 控制目标
组织结构合理， 具备提供管 理各类活动所需信息的能 力 1
被审计单位的控制
根据经营活动的性质，恰当地采用集权或者分权的组织结构； 组织结构的设计便于由上而下、由下而上或横向的信息传递。
实施的风险评估程序 询问 观察 检查 检查
结论 控制设计合理， 并 得到执行。
无
否
[注：表明内部控制存在重大缺陷的情形可能包括：注册会计师在审计工作中发现了重大错 报，而被审计单位的内部控制没有发现；控制环境薄弱、存在高层管理人员舞弊迹象（无论 涉及金额大小）等]
1
了解和评价控制环境 被审计单位： 项目： 了解和评价控制环境 编制： 日期： 编制说明： 本参考答案仅举例说明。 一、一、对诚信和道德价值观念的沟通与落实 序号 …… 控制目标 被审计单位的控制 实施的风险评估程序 询问 使员工行为守则及其 公司制定了员工的行为守则，行为守则内容完备，涉及 询问高层、中层、 他政策得到执行 利益冲突、不法或不当支出、公平竞争的保障、内幕交 基层员工 易等问题；员工定期承诺遵守这些制度； 行为守则可供公开查阅（如可在公司的内网上查阅） ； 指定专人回答关于行为守则中的问题； 行为守则中充分描述了违反规定的内部汇报系统，指明 向适当的人汇报违规行为； 对行为守则没有规范的地方，通过建设企业文化，强调 操守及价值观的重要性的方式予以弥补； 采取在员工大会上口头传达、通过一对一谈话或在处理 日常事务中通过实例示范。 对背离公司现有控制 明确地禁止管理人员逾越既定控制； 的行为进行调查和记 任何与既定政策不一致的事件都会被调查并记录； 录 鼓励员工举报任何企图逾越控制的情况。 询问高层、中层、 基层员工 观察 检查 控制设计合理， 并 得到执行。 结论 存在的缺陷
管理层认真听取和采纳员工 提出的改进意见
控制设计合理，并 得到执行。
4
二、沟通 索引号 控制目标 拟实施的风险评估程序 被审计单位的控制 询问 观察 检查 结论 存在的缺陷
5
了解和评价被审计单位对控制的监督 被审计单位： 项目： 编制： 日期： 索引号： B5-1-4 财务报表截止日/期间： 复核： 日期：
2. 了解整体层面内部控制 根据对整体层面内部控制的了解，记录如下： (1)是否委托其他服务机构执行主要业务活动？如果被审计单位使用其他服务机构，将对审 计计划产生哪些影响？ 否 (2)是否制定了相关的政策和程序以保持适当的职责分工？这些政策和程序是否合理？ 是 (3)自前次审计后，被审计单位的整体层面内部控制是否发生重大变化？如果已发生变化， 将对审计计划产生哪些影响？ 不适用 (4)是否识别出非常规交易或重大事项？如果已识别出非常规交易或重大事项， 将对审计计 划产生哪些影响？ 否 (5)在了解整体层面内部控制过程中是否进一步识别出其他风险？如果已识别出其他风险， 将对审计计划产生哪些影响？ 否 3. 信息技术一般控制采用的系统 应用软件 应用系统的名称 用友 U8 计算机运作环境 windowsXP 来源 新的财务软件 初次安装日期 2010 年 1 月 1 日
存在的缺陷
六、职权与责任的分配 序号 …… 控制目标
在被审计单位内部有明确 的职责划分和岗位分离
被审计单位的控制
将业务授权、业务记录、资产保管和维护，以及业务执行的责 任尽可能地分离。
实施的风险评估程序 询问 观察 检查 检查
结论 控制设计合理， 并 得到执行。
存在的缺陷
七、人力资源的政策与实务 序号 控制目标
带格式的: 项目符号和编号
索引号： B5-1-1 财务报表截止日/期间： 复核： 日期：
控制设计合理， 并 得到执行。
二、二、对胜任能力的重视： 序号 …… 控制目标 被审计单位的控制 实施的风险评估程序 询问 公司岗位责任明确， 管理层对所有岗位的工作有正式的书面描述，任职条件 任职条件清晰 规定了履行特定职责所需的知识和技能； 岗位职责产在公司内予以清晰地传达； 每位员工的岗位责任与分派的权限相关。 观察 观察 检查 控制设计合理， 并 得到执行。 结论 存在的缺陷
编制说明： 1. 本审计工作底稿中列示的被审计单位的控制目标和控制活动，仅为说明有关表格的使用方法，并非对所有控制目标和控制活动的全面列示。在执行财务 报表审计业务时，注册会计师应根据被审计单位的实际情况予以填写。 2．如果我们拟信赖以前审计获取的审计证据，应通过询问并结合观察或者检查程序，获取控制活动是否已经发生变化的审计证据，并予以记录。 3. “拟实施的风险评估程序”一列，应根据注册会计师针对控制目标计划采取的审计程序，包括询问、观察和检查； “被审计单位的控制”一列应记录被 审计单位实际采取的控制活动； “询问”一列应填写该询问对象的姓名、级别、所在部门以及询问日期。 4. 注册会计师对控制的评价结论可能是：(1) 控制设计合理，并得到执行；(2) 控制设计合理，未得到执行；(3) 控制设计无效或缺乏必要的控制。 一、持续监督 索引号 控制目标 被审计单位的控制 询问 观察 检查 结论 存在的缺陷