当前位置:文档之家 › KPMG内部控制测试指南

KPMG内部控制测试指南

  • 格式:doc
  • 大小:136.50 KB
  • 文档页数:21

下载文档原格式

  / 21

合集下载

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

KPMG审记与咨询业务中心

内部控制测试指南

2001年5月

目录

1.概论 1 1.1如何运用于所有的审计项目 2 2.审计工作进程 3 2.1 战略性分析 3

2.2 流程分析 4

2.3 其它审计步骤及报告 4 3.企业的控制环境 5 4.流程分析和基于内部控制的审计方法7 4.1 理解流程7

4.2 理解流程层面的经营风险和财务报表风险7

4.3 识别相关的(经营方面的和财务报表方面的)控制点8

4.4 选择某一分组的控制点进行测试,以及控制设计测试9

4.5 对已选择的控制点进行控制执行测试10 4.5.1 测试手段10

4.5.2 测试工作的目的和性质11

4.5.3 测试工作的样本量12

4.5.4测试的时间安排13 4.6 评价测试结果14 4.7 记录测试结果14 4.8 在内部控制测试时的决策树16 附录

A 名词解释18

B 内部控制测试实例20

B.1 战略性经营风险(“SBR”) 20

B.2 重要交易事项(“SCOT”) 20

C 内部控制的类别

C.1 授权

C.2 配置/帐项映射的控制

C.3 预警报告

C.4 界面/转换控制

C.5 主要运营指标

C.6 管理层审阅

C.7 稽核

C.8 职责划分

C.9 系统访问权限

D 测试手段

D.1 确证征询

D.2 文件检查

D.3 能力评估

D.4 系统调阅

E 信息风险管理专家(IRM)在审计中的作用

1概论

KPMG编写“内部控制测试指南”的目的是为KPMG的审计人员进行内部控制测试工作提供一些帮助。

基于内部控制的审计方法(system-based approach)是指按照KPMG审计手册(KAM)进行的财务报表审计。它既要考虑人工控制,也要考虑IT控制,还要求信

息风险管理(IRM)专家的适当参与。

在按照KAM审计的过程中,我们并不计划对所有的审计目标实施实质性测试,(“完全实质测试审计”),这就需要通过进行各种分析以确定客户的重大错报风险(ROSM,固有风险与控制风险之积)低于最高水平。

根据KAM,只有获得了关于客户内控制度的设计及执行是有效的证据,才能认为客户的ROSM低于最高水平。不仅如此,将ROSM评估为高,通常是因为控制测试显示客户的相关内控制度设计不合理或是未得到有效的执行,而不是因为我们基于成本效益的原则而不打算进行控制测试。请参见4.8部分“在内部控制测试时的决策树”。

本指南包含了控制测试的理论和实例。本指南也描述了KAM工作进程的概况,但主要探讨如何在流程分析阶段(Process Analysis)理解和测试客户的内控制度,从而完成按KAM要求的基于内部控制的审计。本指南的基础是与国际审计准则(IAS)相一致的KAM。

本指南包含四部分:

一、审计工作进程

这部分将简要回顾KAM的工作进程,并且着重于以下三部分内容:理解

战略性经营风险(SBRs); 理解重要交易事项(“SCOTs”);以及对关键控

制流程(Key Business Process)进行分析(关键控制流程指管理SBRs或

者产生、处理和记录SCOTs的流程)。

二、企业的控制环境(Control environment)

这部分将简要回顾KAM关于企业控制环境的论述,企业的控制环境是其

它各控制环节的基础。

三、流程分析(Process Analysis)--- 基于内部控制的审计方法(System-

based approach)

这部分着重于流程分析(Process Analysis),包括识别流程层面的风险

和控制点(Process-level risks and controls)以及内部控制测试。

四、附录

A、名词解释

B、内部控制测试实例

这些实例将说明在各种流程中存在的一套控制点。这些实例不是完

美无缺的,但可以作为识别流程中的控制点的出发点。

C、内部控制的类别

本指南对众多的控制点按照可采用何种控制设计测试与执行测试的

方法进行了分类。在附录B“内部控制测试实例”中的每个控制

点都已被分类。

D、测试手段

本指南的正文已探讨了KAM 中提及的控制测试手段。有些测试手

段也可以组合起来使用以获取关于控制系统执行有效性的证据。这

些手段在附录D中有更详细的描述。

E、信息风险管理专家(IRM)在审计中的作用

IRM可以显著地提升审计的价值,在某些情况下,在战略性分析

和流程分析中必须应用IRM。如何在审计中恰当地运用IRM的探

讨将贯穿本指南,同时,附录E中更详细地探讨了如何恰当运用

IRM。

1.1如何运用于所有的审计项目

本指南可以运用于无论大小所有的审计项目。虽然大型企业可能面临更为严格的向公众报告的要求,但是小型企业与大型企业对良好的控制确有同样的需求。良好的控制事实上也存在于小型的企业,这些控制从表面上与大型企业的有可能不

同,下面是它们的主要区别:

⏹小型企业中的沟通过程是不太正式的,在仅有几个人和有限的管理层次的

组织中,口头的交流可能比书面交流更为有效。

⏹监督是由高层管理者完成的,通常同时也是企业所有者,而不是存在一个

有外部人员参与的董事会。

⏹小型企业的管理风格可以被称为是“自己动手”(hands-on),这意味着管

理当局亲自动手执行计划。在许多的领域,管理当局更乐于采用直接的询

问和观察的方法来对企业监控,而不是依赖正式的报告。

⏹小型企业中可能没有内部审计人员,不过在一些特定的项目上,也许管理

当局或者是会计人员会不断进行检测。

⏹上述几点适用于一个仅有几层管理层级的简单的组织,这样的组织更依赖

管理当局直接审阅。本指南中提及的测试方法和手段同样可以应用于这些

不太复杂的组织。事实上,在很多情况下,如果能很好的理解这些不太复

杂的控制流程,应用基于内部控制的审计方法(system-based approach)

会更容易。

⏹小型企业中的控制程序和责任划分并不象大型企业中那么完整,管理者直

接的监督是更为重要的。

⏹在小型企业中的自我检查过程是很不正式的,这种检查更可能是依赖于经

验或非正式的反思。小型企业经常依赖于外部的帮助,特别是他们的外部

审计师。

相关主题