小企业审计工作底稿编制说明.docx

1、小企业审计工作底稿编制说明小企业审计工作底稿编制说明一、初步业务活动相关工作底稿编制说明 1、初步业务活动是签约前为了确定是否建立和保持客户关系而实施的审计程序，包括首次接受委托和连续审计两种情况。 2、初步业务活动目的为：第一、确保注册会计师已具备执行业务所需要的独立性和专业胜任才能；第二、确保不存在因管理层诚信问题而影响注册会计师保持该项业务意愿的情况；第三、确保与被审计单位不存在对业务约定条款的误解。 3、在首次接受委托时注册会计师需要了解委托单位基本情况、业务事项的具体内容以及初步考虑审计风险，同时评估事务所的专业胜任能力和独立性，最后根据与前任注册会计沟通结果确定是否接受委托。并将上

2、述情况记录在业务承接（或保持）评价表中。 4、根据中国注册会计师审计准则第 1152 号前后任注册会计师的沟通第七条规定，在接受委托前，后任注册会计师应当与前任注册会计师进行必要的沟通，并对沟通结果进行评估，以确定是否接受委托。在沟通之前，后任注册会计师需要取得被审计单位书面同意。如果被审计单位不同意前任注册会计师作出答复，或限制答复的范围，后任注册会计师应当向被审计单位询问原因，并考虑是否接受委托。 5、在确定接受委托后，注册会计师需要与被审计单位就业务约定书条款进行沟通，确保与被审计单位不存在对业务约定条款的误解。6、连续审计的情况下，只需要根据被审计新情况在前期底稿的基础上进行修订即可。

3、二、风险评估相关底稿编制说明（一）审计风险主要来源于企业财务报告的重大错报风险，而错报风险主要来源于整个企业的经营风险和舞弊风险。现代风险导向审计，以被审计单位的重大错报风险为导向，对被审计单位可能引起重大错报的内外部风险因素进行评估，以确定审计的重点和范围。将有限的审计资源集中在高风险领域，合理配置审计资源，以提高审计效率和效果。（二）风险评估工作底稿包括了解被审计单位及其环境、舞弊风险因素评估、律师询证函、财务报表分析及确认重要帐户、重要流程、项目组讨论会纪要、重大错报风险评估及其应对汇总表以及审计计划书。在了解被审计单位及其环境（不包括了解内部控制）和对舞弊风险因素评估时一般只需将了解的

4、情况作简单记录即可，不一定需要专门的支持文件。（三）了解内部控制及相关工作底稿编制说明中国注册会计师审计准则第1211号通过了解被审计单位及其环境识别和评估重大错报风险第十五条规定：注册会计师应当了解与审计相关的内部控制。虽然大部分与审计相关的控制可能与财务报告相关，但并非所有与财务报告相关的控制都与审计相关。确定一项控制单独或连同其他控制是否与审计相关，需要注册会计师作出职业判断。A.了解内部控制的内涵中国注册会计师审计准则第1211号通过了解被审计单位及其环境识别和评估重大错报风险第二十三条规定：注册会计师应当了解与审计相关的控制活动。与审计相关的控制活动，是注册会计师为评估认定层次重大错

5、报风险并设计进一步审计程序应对评估的风险而认为有必要了解的控制活动。审计并不要求了解与财务报表中每类重大交易、账户余额和披露或与其每项认定相关的所有控制活动。B.了解内部控制的思路按照COSO的内部控制框架，内部控制包括控制环境、风险评估过程、信息系统与沟通、控制活动、对控制的监督五个要素。其中，控制环境、风险评估过程和对控制的监督三个要素更多体现在被审计单位整体层面，控制活动更多体现在业务流程层面，信息系统与沟通在两个层面都有体现。在实务中，注册会计师可分别从整体层面和业务流程层面了解内部控制。在重要业务流程层面了解内部控制的一般步骤为：(1)确定被审计单位的重要业务流程和重要交易类别；(2

6、)了解重要业务流程，并记录获得的了解；(3)确定可能发生错报的环节；(4)识别和了解相关控制；(5)执行穿行测试，证实对业务流程和相关控制的了解；(6)进行初步评价和风险评估。C.了解内部控制的特别规定审计准则对注册会计师了解针对两类风险的内部控制作出了特别规定。一是特别风险。中国注册会计师审计准则第1211号通过了解被审计单位及其环境识别和评估重大错报风险第三十二条规定：如果认为存在特别风险，注册会计师应当了解被审计单位与该风险相关的控制（包括控制活动）。二是仅通过实质性程序无法应对的重大错报风险。中国注册会计师审计准则第1211号通过了解被审计单位及其环境识别和评估重大错报风险第三十三条规

7、定：对于某些风险，注册会计师可能认为仅从实质性程序中获取充分、适当的审计证据是不可能或不可行的。这些风险可能与对日常和重大类别的交易或账户余额作出的不准确或不完整的记录相关，对这些交易或账户余额通常可以采用高度自动化处理，不存在或存在很少人工干预。在这种情况下，被审计单位针对这类风险建立的控制与审计相关，注册会计师应当了解这些控制。D.小型企业内部控制的特点小型企业可能使用非正式和简单的程序和方法实现内部控制目标。1控制环境小型被审计单位的控制环境通常与较大型被审计单位的不同。例如，小型被审计单位的治理层可能不包括独立的或外部的成员，如果没有其他所有者，治理层的职能通常直接由业主兼经理承担。控

8、制环境的性质也可能影响其他控制的重要性或缺乏这些控制所造成的后果。例如，在小型被审计单位，业主兼经理的积极参与可能抵消由于缺乏职责分离导致的特定风险，但也会增加其他风险，如凌驾于控制之上的风险。在小型被审计单位，可能无法获取以文件形式存在的有关控制环境要素的审计证据，特别是在管理层与其他人员的沟通不够正式但却有效的情况下。例如，小型被审计单位可能没有书面的行为守则，但却通过口头沟通和管理层的示范作用形成了强调诚信和道德行为重要性的文化。管理层或业主兼经理的态度、认识和措施对注册会计师了解小型被审计单位的控制环境非常重要。2风险评估过程小型被审计单位可能没有正式的风险评估过程。在这种情况下，管理

9、层很可能通过直接亲自参与经营来识别风险。无论情况如何，注册会计师询问识别出的风险以及管理层如何应对这些风险，仍是必要的。3信息系统与沟通在小型被审计单位，与财务报告相关的信息系统和相关业务流程可能不如较大型被审计单位复杂，但其作用同样重要。管理层积极参与经营管理的小型被审计单位，可能不需要详细描述会计流程、复杂的会计记录或书面政策。因此，在对小型被审计单位进行审计时，了解其系统和流程就较为容易，也更依赖于询问而不是对文件的检查。但是，了解与财务报告相关的信息系统和相关业务流程仍然重要。由于职责层级较少，更容易接触到管理层，小型被审计单位的沟通可能比大型被审计单位更简单、更容易实现。4控制活动小

10、型被审计单位控制活动依据的理念与较大型被审计单位可能相似，但是它们运行的正式程度可能不同。进一步讲，在小型被审计单位中，由于某些控制活动由管理层执行，特定类型的控制活动可能变得并不相关。例如，只有管理层拥有批准赊销、重大采购的权力，这可以对重要账户余额和交易实施有力控制，降低或消除实施更具体的控制活动的必要性。与小型被审计单位审计相关的控制活动可能与主要交易循环（如收入、采购和薪酬）相关。5控制监督管理层对控制的监督经常通过管理层或业主兼经理对经营活动的密切参与来实现。通过密切参与经营活动，可以识别出与预期不同的重大差异和不准确的财务数据，从而可以对控制采取补救措施。E.了解小型企业内部控制工

11、作底稿编制说明在小型被审计单位的审计中，这些事项的工作底稿可能包含在总体审计策略和具体审计计划的工作底稿中。对于与财务报告相关的业务和流程不太复杂的被审计单位，审计工作底稿可以形式简单，内容相对概括。注册会计师没有必要记录对被审计单位及相关事项了解的所有内容。注册会计师记录的了解的关键要素包括在重大错报风险评估时所依据的内容。了解内部控制常见的记录方式包括文字叙述、调查表和流程图等。对于小型企业审计，采用文字叙述和调查表可能更有效率。了解内部控制工作底稿分为了解整体层面内部控制和了解业务流程层面内部控制两个部分。1、了解整体层面内部控制工作底稿了解整体层面内部控制工作底稿包括结论汇总表(见索引

12、号：LJNK-1-1工作底稿)和调查表(见索引号：LJNK-1-2工作底稿)。结论汇总表记录了解整体层面内部控制的结论，即识别的内部控制缺陷及其对重大错报风险评估、业务流程层面内部控制的有效性及审计计划的影响，是否需与被审计单位治理层或管理层沟通。调查表是半开放式的，分为控制环境、风险评估过程、信息系统与沟通、对控制的监督四个组成部分。第一列针对每项控制要素，给出了一些考虑要点，供提示用，并未囊括所有考虑因素。在实务操作时，注册会计师应当根据审计准则的规定，结合被审计单位的具体情况，填列被审计单位设计和实施的具体控制。第二列记录注册会计师对控制设计的合理性及控制是否得到执行的结论。2、了解业务

13、流程层面内部控制工作底稿了解业务流程层面内部控制工作底稿由结论汇总表(见索引号：LJNK-2-1工作底稿)、设计和执行情况评价表(见索引号：KZCS-2工作底稿)和穿行测试表(见索引号：KZCS-3工作底稿)三部分组成。结论汇总表记录注册会计师对业务流程层面内部控制了解的主要结论，包括：(1)针对哪些认定拟实施控制测试；(2)识别的控制缺陷对重大错报风险评估的影响以及需与被审计单位治理层或管理层沟通的事项。设计和执行情况评价表由三个主要部分组成：第一部分记录注册会计师实施的程序；第二部分是对各重要业务流程的描述；第三部分是对各重要业务流程控制活动的设计和执行情况进行评价的表格。重要业务流程因被

14、审计单位具体情况的不同而各异。对一般小型制造业企业而言，采购与付款、销售与收款、仓储与生产、工薪与人事、货币资金、费用和财务报告编制通常是重要业务流程。在描述各重要业务流程时，内容应当涵盖业务流程的整个过程，包括：(1)在信息技术和人工系统中，对交易生成、记录、处理和报告的程序；(2)与交易生成、记录、处理和报告有关的会计记录、支持性信息和财务报表中的特定项目。本指南以采购与付款为例演示如何描述业务流程。在业务流程层面控制活动设计和执行情况评价表中，“主要控制活动”一列可在业务流程描述的基础上，选择关键控制活动进行填列。本指南列举了一些控制活动，供提示用，并未囊括所有关键控制。在实务操作时，注

15、册会计师应当根据审计准则的规定，结合被审计单位的具体情况，填列被审计单位设计和实施的具体控制。“受影响的主要认定”一列，如果某项控制活动能够防止或发现并纠正各类交易、账户余额、列报的某项认定中存在的重大错报，则在该认定对应的单元格内打“”。“是否得到执行”一列，应当根据穿行测试的结果填列。“是否测试控制运行有效性”一列，填列注册会计师确定是否测试某项控制活动的决策结果。如果某项控制设计合理且得到执行，注册会计师才可考虑是否进行控制测试。即使某项控制活动满足上述条件，注册会计师仍可能出于成本效益的原则，不进行控制测试，这对小型企业审计尤其如此。例如，即使注册会计师在了解固定资产有关的内部控制后认

16、为，与固定资产存在性有关的控制设计合理且得到执行，但由于本期增加的固定资产较少，注册会计师可以选择执行实质性程序收集充分、适当的审计证据，而不测试相关的控制。但是，如果注册会计师在评估认定层次重大错报风险时，预期控制的运行是有效的，或者注册会计师认为仅实施实质性程序不足以提供认定层次充分、适当的审计证据，注册会计师应当进行控制测试。穿行测试是指追踪交易在财务报告信息系统中的处理过程。这是注册会计师了解被审计单位业务流程及其内部控制时经常使用的审计程序。通过追踪某笔或某几笔交易在业务流程中如何生成、记录、处理和报告以及相关内部控制如何执行，注册会计师可以确定被审计单位的交易流程和内部控制是否与之

17、前通过其他程序所获得的了解一致，并确定内部控制是否得到执行。本指南以采购与付款业务流程为例，演示了如何填列穿行测试工作底稿。需要指出的是，示例是基于采购与付款业务流程描述的内容。在实务中，注册会计师应当根据被审计单位的具体情况填列。3、大量审计失败案例表明，财务报告的重大错报大多与舞弊有关，因此对舞弊风险因素进行评估非常重要，中国注册会计师审计准则第1141号财务报表审计中与舞弊相关的责任对此进行了明确规定。本指引以具体示例的方式给出判断舞弊风险的常见因素，注册会计师可根据被审计单位具体情况进行增加和删减。在对舞弊风险因素进行评估时注册会计师保持职业怀疑态度非常重要。 4、财务报表分析为风险评

18、估工作重要内容，对中小企业来说通过对财务报表分析基本可以确定重要账户和重要的流程，为进一步审计工作提供指引。重要账户对应的流程一般是重要流程，但不绝对。审计准则要求是了解与审计相应的重要流程，因此对哪些流程进行了解取决于注册会计师的判断。 5、重大错报风险评估及其应对汇总表是风险评估工作的核心内容，一方面是风险评估工作的结果，另一方面决定了进一步审计工作性质、时间和范围。5.1在编制重大错报风险评估及其应对汇总表时只需填列识别出存在错报风险的项目，其他项目可不用填列。一个风险对应多个项目时，只需在一个项目中说明即可。5.2风险识别需具体到流程中的某个环节（即某项认定），以便为其后确定应对措施，

19、不应笼统说应收账款存在问题或销售和收款循环存在问题。比如通过风险评估识别出收入存在问题时，应具体到是收入的真实性有问题呢还是收入的完整性有问题或者是其他认定有问题。 5.3应对措施包括实质性方案和综合性方案。在第3列填“是”的话，需要在控制测试底稿部分进行相应的控制测试，应对措施即为综合性方案。只有认为控制设计合理、能够防止或发现并纠正认定层次的重大错报，注册会计师才实施控制测试。 5.4没有识别出重大错报风险或应对措施为实质性方案（第3列填“否”）的项目一般情况下可不进行控制测试。但是在某些情况下，注册会计师可能发现仅通过实施有效的实质性程序无法获取认定层次的充分、适当的审计证据，例如，被审

20、计单位采用信息技术处理业务，除信息系统中的信息外不生成或保留任何与业务相关的文件记录。在这种情况下，注册会计师需要对相关控制实施测试。三、控制测试及相关工作底稿编制说明（一）控制测试控制测试的目的是评价控制是否有效运行。注册会计师基于对被审计单位内部控制了解的结果，判断是否实施控制测试。当存在下列情形之一时，注册会计师应当实施控制测试：1、在评估认定层次重大错报风险时，预期控制的运行是有效的；(如果在评估认定层次重大错报风险时预期控制的运行是有效的，注册会计师应当实施控制测试，就控制在相关期间或时点的运行有效性获取充分、适当的审计证据。只有认为控制设计合理、能够防止或发现并纠正认定层次的重大错

21、报，注册会计师才有必要对控制运行的有效性实施测试。)2、仅实施实质性程序不足以提供认定层次充分、适当的审计证据。如果认为仅实施实质性程序获取的审计证据无法将认定层次重大错报风险降至可接受的低水平，注册会计师应当实施相关的控制测试，以获取控制运行有效性的审计证据。)判断的的思路可参考下列流程图决定是否在本审计期间测试某项控制。在本年度测试该控制该控制在最近两年是否被测试过该控制是否针对特别风险是另外，准则特别规定每年都要测试的控制：1、信息技术一般控制的有效性2、拟信赖的针对特别风险的控制在测试控制运行的有效性时，注册会计师应当从下列方面获取关于控制是否有效运行的审计证据：(1)控制在所审计期间

22、的不同时点是如何运行的；(2)控制是否得到一贯执行；(3)控制由谁执行；(4)控制以何种方式运行。控制测试与了解内部控制的目的不同，但两者采用的审计程序的类型通常相同，包括询问、观察、检查和穿行测试。此外，控制测试的程序还包括重新执行。注册会计师应当根据控制测试的目的确认控制测试的时间，并确定拟信赖的相关控制的时点或期间。如果拟信赖的控制自上次测试后已发生变化，注册会计师应当在本期审计中测试这些控制的运行有效性。如果拟信赖的控制自上次测试后未发生变化，且不属于旨在减轻特别风险的控制，注册会计师应当运用职业判断确定是否在本期审计中测试其运行有效性以及本次测试与上次测试的时间间隔，但两次测试的时间

23、间隔不得超过两年。在确定控制测试的范围时，注册会计师应充分考虑控制执行的频率、运行的期间、需获取审计证据的相关性和可靠性、在风险评估时对控制运行有效性的拟依赖程度及预期偏差率等因素。（二）小型企业审计中的控制测试对于小型企业，由于可能不存在注册会计师可以识别的控制活动，或员工人数较少限制了职责分离的程度，或者出于成本效益的考虑，注册会计师在设计进一步审计程序时主要采取实质性程序可能更为有效。（三）小型企业控制测试工作底稿编制说明控制测试工作底稿分为两个部分：控制测试结果汇总表(见索引号：KZCS-1工作底稿)、控制运行有效性测试表(见索引号：KZCS-2工作底稿)和控制测试审计抽样计划工作底稿

24、(见索引号：KZCS-3工作底稿)。结果汇总表包括整体层面控制测试结果和业务流程层面控制活动测试结果两部分。其中，“整体层面控制测试结果”中“拟测试的控制”一列根据注册会计师在了解整体层面内部控制调查表 (见索引号：LJNK-1-1工作底稿)中针对各要素所记录的被审计单位设计和实施的具体控制填列。“业务流程层面控制活动测试结果”中“控制活动”一列应当根据了解业务流程层面内部控制结论汇总表(见索引号：LJNK-2-1工作底稿)“在被审计单位业务流程层面拟测试的控制活动”的结论填列。本指南以采购与付款业务流程为例，演示了如何填列业务流程层面控制活动测试工作底稿。需要指出的是，示例基于采购与付款控制

25、活动的设计和执行情况评价表举例的内容。在实务中，注册会计师应当根据被审计单位的具体情况填列。“控制测试程序”一列填列注册会计师拟采取的控制测试程序，包括询问、观察、检查和重新执行等。“执行频率”一列填列拟测试的控制在所审计会计期间执行的次数，主要供确定控制测试样本规模用。“测试样本规模”一列填列根据执行频率因素等确定的测试数量。“控制运行是否有效”一列填列测试的结论，应当索引至控制运行有效性测试表。本指南提供了控制测试审计抽样工作底稿格式，供注册会计师在控制测试中运用审计抽样技术时参考(实务中多数注册会计师使用的机会不高)。注册会计师可根据以下流程图判断如何执行进一步审计程序实施实质性试是（四

26、）控制测试的范围(样本规模)简要指引注册会计师在测试控制的运行有效性时，应当在考虑与控制相关的风险的基础上，确定测试的范围(样本规模)。1、测试人工控制的最小样本规模在测试人工控制时，如果采用检查或重新执行程序，注册会计师测试的最小样本量区间参见表1。表1：测试人工控制的最小样本量区间控制运行频率控制运行总次数测试的最小样本量区间每年1次11每季1次42每月1次122-5每周1次525-15每天1次25020-40每天多次大于250次25-60在运用表1时，注册会计师应当注意下列事项：(1)测试的最小样本量是指所需测试的控制运行次数；(2)注册会计师应当根据与控制相关的风险，基于最小样本量区间

27、确定具体的样本规模；(3)表1假设控制的运行偏差率预期为零。如果预期偏差率不为零，注册会计师应当扩大样本规模；(4)如果注册会计师不能确定控制运行频率，但是知道控制运行总次数，仍可根据“控制运行总次数”一列确定测试的最小样本规模。2、测试自动化应用控制的最小样本规模信息技术处理具有内在一贯性。在信息技术一般控制有效的前提下，除非系统发生变动，注册会计师只要对自动化应用控制的运行测试一次，即可得出所测试自动化应用控制是否运行有效的结论。3、发现偏差时的处理如果发现控制偏差，注册会计师应当确定其对下列事项的影响：(1)与所测试控制相关的风险的评估；(2)需要获取的审计证据；(3)控制运行有效性的结

28、论。评价控制偏差的影响需要注册会计师运用职业判断，并受到控制的性质和所发现偏差数量的影响。如果发现的控制偏差是系统性偏差或人为有意造成的偏差，注册会计师应当考虑舞弊的可能迹象以及对审计方案的影响。在评价控制测试中发现的某项控制偏差是否为控制缺陷时，注册会计师可以考虑的因素包括：(1)该偏差是如何被发现的。例如，如果某控制偏差是被另外一项控制所发现的，则可能意味着被审计单位存在有效的发现性控制。(2)该偏差是与某一特定的地点、流程或应用系统相关，还是对被审计单位有广泛影响。(3)就被审计单位的内部政策而言，该控制出现偏差的严重程度。例如，某项控制在执行上晚于被审计单位政策要求的时间，但仍在编制财

29、务报表之前得以执行，还是该项控制根本没有得以执行。(4)与控制运行频率相比，偏差发生的频率大小。由于有效的内部控制不能为实现控制目标提供绝对保证，单项控制并非一定要毫无偏差地运行，才被认为有效。在按照表1所列示的样本规模进行测试的情况下，如果发现控制偏差，注册会计师应当考虑偏差的原因及性质，并考虑采用扩大样本量等适当的应对措施以判断该偏差是否对总体不具有代表性。例如，对每日发生多次的控制，如果初始样本量为25个，当测试发现一项控制偏差，且该偏差不是系统性偏差时，注册会计师可以扩大样本规模进行测试，所增加的样本量至少为15个。如果测试后再次发现偏差，则注册会计师可以得出该控制无效的结论。如果扩大

30、样本量没有再次发现偏差，则注册会计师可以得出控制有效的结论。四、实质性测试相关工作底稿编制说明中国注册会计师审计准则第1231号-针对评估的重大错报风险采取的应对措施第二条规定：“实质性程序，是指用于发现认定层次重大错报的审计程序。实质性程序包括下列两类程序：（一）对各类交易、账户余额和披露的细节测试（二）实质性分析程序。”第十八条规定：“无论评估的重大错报风险结果如何，注册会计师都应当针对所有重大类别的交易、账户余额的披露，设计和实施实质性程序。”在编制本指引时我们考虑到尽可能为审计人员提供帮助，在每个项目工作底稿中增加了项目审计要点提示，由于我们的水平有限，难免存在一些疏漏和错误，而实务操

31、作中也难免出现各种复杂的情况，故仅供会计师事务所及广大执业人员作为参考，并及时给我们指正。本指引实质性工作底稿中所列程序只是我们考虑的一些常用及应当执行的程序，不能代替执业人员的职业判断，所列表格也只是我们考虑到方便执业而列示的具有普遍适用性的表格，审计工作时不应以完成工作底稿中的表格作为判断审计工作完成的依据，执业人员应当在理解风险导向审计实质的基础上，充分运用职业判断，根据审计业务的特点及执业需要，对本指引提供的审计程序及工作底稿进行适当的调整，并建议按照审计准则的要求提供充分、适当的记录，作为出具审计报告的基础，提供证据，证明注册会计师已按照审计准则和相关法律法规的规定计划和执行审计工作

32、。审计工作底稿的记录按照每个会计师事务所的工作习惯会有不同的记录方法，在此我们提供一种格式作为参考。五、完成阶段工作底稿编制说明1、本指引提供的管理层声明书范例仅为一般需要声明事项的举例，并不一定涵盖所有需要被审计单位需要声明的事项，如需就特别事项进行声明请注册会计师自行修改声明书内容或要求被审计单位就该事项提供单项声明。2、质量复核底稿分为两部分，一是具体复核记录，要求各级复核人员将复核的具体问题详细列示出来并由项目负责人进行认定说明，复核人员对复核结论作出最终说明；二是工作底稿复核及批准汇总表。在具体复核事项得到适当地解决之后，各级复核人员在明晰自身的复核责任并确认完成了应承担的复核工作的情况下，在该汇总表上签字，签发报告。并非所有项目均需四级复核，请注册会计