内部控制测试与指南.docx
《内部控制测试与指南.docx》由会员分享,可在线阅读,更多相关《内部控制测试与指南.docx(21页珍藏版)》请在冰豆网上搜索。
内部控制测试与指南
KPMG审记与咨询业务中心
内部控制测试指南
2001年5月
1.概论1
1.1如何运用于所有的审计项目2
2.审计工作进程3
2.1战略性分析3
2.2流程分析4
2.3其它审计步骤及报告4
3.企业的控制环境5
4.流程分析和基于内部控制的审计方法7
4.1理解流程7
4.2理解流程层面的经营风险和财务报表风险7
4.3识别相关的(经营方面的和财务报表方面的)控制点8
4.4选择某一分组的控制点进行测试,以及控制设计测试9
4.5对已选择的控制点进行控制执行测试10
4.5.1测试手段10
4.5.2测试工作的目的和性质11
4.5.3测试工作的样本量12
4.5.4测试的时间安排13
4.6评价测试结果14
4.7记录测试结果14
4.8在内部控制测试时的决策树16
附录
A名词解释18
B内部控制测试实例20
B.1战略性经营风险(“SBR”)20
B.2重要交易事项(“SCOT”)20
C内部控制的类别
C.1授权
C.2配置/帐项映射的控制
C.3预警报告
C.4界面/转换控制
C.5主要运营指标
C.6管理层审阅
C.7稽核
C.8职责划分
C.9系统访问权限
D测试手段
D.1确证征询
D.2文件检查
D.3能力评估
D.4系统调阅
E信息风险管理专家(IRM)在审计中的作用
概论
KPMG编写“内部控制测试指南”的目的是为KPMG的审计人员进行内部控制测试工作提供一些帮助。
基于内部控制的审计方法(system-basedapproach)是指按照KPMG审计手册(KAM)进行的财务报表审计。
它既要考虑人工控制,也要考虑IT控制,还要求信息风险管理(IRM)专家的适当参与。
在按照KAM审计的过程中,我们并不计划对所有的审计目标实施实质性测试,(“完全实质测试审计”),这就需要通过进行各种分析以确定客户的重大错报风险(ROSM,固有风险与控制风险之积)低于最高水平。
根据KAM,只有获得了关于客户内控制度的设计及执行是有效的证据,才能认为客户的ROSM低于最高水平。
不仅如此,将ROSM评估为高,通常是因为控制测试显示客户的相关内控制度设计不合理或是未得到有效的执行,而不是因为我们基于成本效益的原则而不打算进行控制测试。
请参见4.8部分“在内部控制测试时的决策树”。
本指南包含了控制测试的理论和实例。
本指南也描述了KAM工作进程的概况,但主要探讨如何在流程分析阶段(ProcessAnalysis)理解和测试客户的内控制度,从而完成按KAM要求的基于内部控制的审计。
本指南的基础是与国际审计准则(IAS)相一致的KAM。
本指南包含四部分:
一、审计工作进程
这部分将简要回顾KAM的工作进程,并且着重于以下三部分内容:
理解战略性经营风险(SBRs);理解重要交易事项(“SCOTs”);以及对关键控制流程(KeyBusinessProcess)进行分析(关键控制流程指管理SBRs或者产生、处理和记录SCOTs的流程)。
二、企业的控制环境(Controlenvironment)
这部分将简要回顾KAM关于企业控制环境的论述,企业的控制环境是其它各控制环节的基础。
三、流程分析(ProcessAnalysis)---基于内部控制的审计方法(System-basedapproach)
这部分着重于流程分析(ProcessAnalysis),包括识别流程层面的风险和控制点(Process-levelrisksandcontrols)以及内部控制测试。
四、附录
A、名词解释
B、内部控制测试实例
这些实例将说明在各种流程中存在的一套控制点。
这些实例不是完美无缺的,但可以作为识别流程中的控制点的出发点。
C、内部控制的类别
本指南对众多的控制点按照可采用何种控制设计测试与执行测试的方法进行了分类。
在附录B“内部控制测试实例”中的每个控制点都已被分类。
D、测试手段
本指南的正文已探讨了KAM中提及的控制测试手段。
有些测试手段也可以组合起来使用以获取关于控制系统执行有效性的证据。
这些手段在附录D中有更详细的描述。
E、信息风险管理专家(IRM)在审计中的作用
IRM可以显著地提升审计的价值,在某些情况下,在战略性分析和流程分析中必须应用IRM。
如何在审计中恰当地运用IRM的探讨将贯穿本指南,同时,附录E中更详细地探讨了如何恰当运用IRM。
1.1如何运用于所有的审计项目
本指南可以运用于无论大小所有的审计项目。
虽然大型企业可能面临更为严格的向公众报告的要求,但是小型企业与大型企业对良好的控制确有同样的需求。
良好的控制事实上也存在于小型的企业,这些控制从表面上与大型企业的有可能不同,下面是它们的主要区别:
n小型企业中的沟通过程是不太正式的,在仅有几个人和有限的管理层次的组织中,口头的交流可能比书面交流更为有效。
n监督是由高层管理者完成的,通常同时也是企业所有者,而不是存在一个有外部人员参与的董事会。
n小型企业的管理风格可以被称为是“自己动手”(hands-on),这意味着管理当局亲自动手执行计划。
在许多的领域,管理当局更乐于采用直接的询问和观察的方法来对企业监控,而不是依赖正式的报告。
n小型企业中可能没有内部审计人员,不过在一些特定的项目上,也许管理当局或者是会计人员会不断进行检测。
n上述几点适用于一个仅有几层管理层级的简单的组织,这样的组织更依赖管理当局直接审阅。
本指南中提及的测试方法和手段同样可以应用于这些不太复杂的组织。
事实上,在很多情况下,如果能很好的理解这些不太复杂的控制流程,应用基于内部控制的审计方法(system-basedapproach)会更容易。
n小型企业中的控制程序和责任划分并不象大型企业中那么完整,管理者直接的监督是更为重要的。
n在小型企业中的自我检查过程是很不正式的,这种检查更可能是依赖于经验或非正式的反思。
小型企业经常依赖于外部的帮助,特别是他们的外部审计师。
审计工作进程(Workflow)
1.2战略性分析(StrategicAnalysis)
会计估计日常交易和
表达与偶尔交易
披露
管理SBR产生、处理和记录SCOT
在战略分析过程中我们通过了解企业和其所在行业的情况、询问企业人员和实施分析程序,得到企业经营的基本情况。
这些情况足以使我们充分地认识和了解以下几个方面:
n对财务报表有重大影响的战略性经营风险(SBRs):
企业管理层为了达到企业的经营目标而选用不同的战略,战略性经营风险(SBRs)也相应不同。
这些风险对财务报表的潜在影响需要在财务报表中进行会计估计,或要求管理当局做出合适的表达和披露。
战略性经营风险(SBRs)还包括与计算机信息系统相关联的风险(IT经营风险)。
当理解这种风险的重要性时,我们应该考虑计算机信息系统在财务报告过程中的重要性和与之相关的战略性经营风险。
我们可以使用风险分析模块(RAMs)来评估战略性IT经营风险。
风险分析模块(RAMs)能帮助我们从战略层面考虑客户使用技术所引起的风险的程度。
在KPMG的审计人员决定是否使用风险分析模块(RAMs)时,可以先用附录E3的问题做一下自测。
n对财务报表和我们的审计有重大影响的重要交易事项(SCOTs):
重要交易事项(SCOTs)是指,根据我们的判断,具有相同特点、属性、或者性质的,数量较大的一组交易。
在理解企业经营的过程中,我们还要:
n理解企业的控制环境,进而决定我们对内部控制的测试方法。
我们也会考虑计算机信息系统能够如何影响审计(参见第三章)。
n初步判断是否需要信息风险管理专家(IRM)来评估、描述和测试IT的风险和控制点。
这些控制点与客户的经营和战略相配合,并植根于关键控制流程中。
n使用附录E1‘战略性分析--初步判断是否需要信息风险管理专家(IRM)的参与’所提示的问题来确定某些要求信息风险管理专家(IRM)参与财务报表审计的情况是否存在。
如果我们确定IT风险不大,并且附录E1中描述的客户情况不存在,就不必在审计中引入IT专家。
如果附录E1中描述的客户情况存在,就要考虑让信息风险管理专家(IRM)参与战略性分析过程。
接下来我们要找出如下控制流程:
n管理战略性经营风险(SBRs)的;或者
n产生、处理并在财务报表中记录重要交易事项(SCOTs)的。
这些控制流程被称为关键控制流程。
我们对每一个关键控制流程都进行流程分析。
1.3流程分析
▪管理SBR
▪产生、处理和记录SCOT
*包含识别/确认审计目标
**包含控制设计测试和预估ROSM
我们在流程分析过程中的工作如上图所示。
无论这个关键控制流程是关于某个SBR的还是某个SCOT的或如何特殊,所做的工作都是相同的。
关于流程分析的进一步探讨请见第四章。
1.4其它审计步骤及报告
在其它审计步骤及报告阶段,我们执行其它审计步骤(实质性测试程序),从而获得充分的审计证据来形成我们的审计意见。
我们还应向客户报告我们的审计发现。
通过其它审计步骤及报告阶段的工作,我们能够评估审计差异,对审计目标做出结论,形成审计意见和报告审计发现。
企业的控制环境
理解企业的经营也包括理解其控制环境。
企业的控制环境包括企业的政策和程序,它们是企业为实现其经营目标而采取的行动和所做出的决策的有机组成部分。
企业的控制环境界定了企业的风格和员工的控制意识。
它是內部控制其他组成部分的基础,并为它们提供了基本框架和原则。
控制环境包括以下因素:
n道德品行
n工作能力
n董事会或审计委员会的参与
n管理哲学和风格
n组织结构
n授权和责任的分配
n人事政策和实务
另外,企业的控制环境还包括:
n信息的交流;以及
n计算机信息系统
企业之所以需要控制环境是因为董事们要确保管理当局既努力实现良好的业绩,又按照允许的规矩经营。
对于管理当局而言,他们又需要确保员工们按照他们的要求行动。
鉴于董事和管理当局不可能参与企业的每一项决定和活动,因此他们建立了企业控制环境。
企业的控制环境取决于企业的规模和业务的复杂程度,以及董事和管理层的经营管理哲学和风格。
在企业的控制环境中,计算机信息系统的重要性日益突出。
因而,我们对它的了解应足以保证我们能有效地制定审计计划和评价所获取的审计证据。
对于计算机信息系统,我们需要了解的方面包括:
n企业对计算机信息系统的依赖程度
n计算机信息系统的功能和所能提供的信息资源
n信息的安全性
n计算机信息系统的可信赖程度
n计算机信息系统的变动程度和频繁程度
n对外部计算机处理的依赖程度
n计算机信息系统的管理和运行
如果初步评估(参见附录E1)决定使用IRM,那么,我们就应考虑在理解企业的控制环境时让IRM参与。
同样,在审计阶段,IRM也应获取对客户IT策略和IT基础设施及运营的理解。
通常,我们往往通过与IT部门的关键人员包括与CIO的交谈来获取以上信息。
在此时,我们建议应有一名审计人员陪同IRM人员一起与客户交谈(参见附件E4和E5,对了解客户业务和对IT策略及运行环境的的进一步探讨)。
通过询问、观察、检查文件和分析性程序的应用,并结合我们以前的经验,我们才能对客户的控制环境充分了解以保证我们能有效地制定审计计划和评价所获取的审计证据。
我们对企业控制环境的了解能够在以下方面帮助我们:
n内控测试。
企业的控制环境影响着企业的内部控制的有效性,从而间接影响财务报表。
良好的控制环境是对具体控制点的有益补充。
但是,良好的控制环境并不能单独决定控制系统的有效性。
因而,我们通过控制测试来获取关于具体内控设计和执行有效性的审计证据。
n发现在随后的审计中需要关注的问题。
在了解企业控制环境的同时,我们也能发现一些在随后的审计中需关注的问题,才能在随后的审计中决定它们对财务报表和审计的影响。
例如,我们可能发现那些对财务报表存在潜在影响的经营风险。
n发现一些有可能影响我们审计步骤制定的问题。
了解企业的控制环境后,我们需要考虑这些控制环境的特点是否会给我们获取审计证据和执行其它的审计步骤带来困难。
我们还需考虑某些控制环境的特点是否会导致管理层及雇员的舞弊。
这些考虑可能影响相关审计步骤的制定(例如测试目的、期间或数量)。
n发现一些客户有待改进的项目。
在了解企业的控制环境时,我们可能会发现其中一些不完善的方面,这些方面可以或者已经导致企业战略未有效执行以及战略性风险未得到适当监控。
我们将考虑就这些发现向董事或管理层提出改进建议。
流程分析和基于内部控制的审计方法
本章将讨论审计财务报表时如何进行流程分析和采用基于内部控制的审计方法。
在进行流程分析以前,要考虑每一步骤中IRM的参与程度。
参阅附录E2.
1.5理解流程
我们要理解企业如何:
n管理可能对财务报表产生重大影响的战略性经营风险,确认相关的财务报表影响并形成会计估计或确定表达与披露;以及
n处理并在财务报表中记录重要交易事项。
具体要了解的内容包括:
n目标:
我们要确定那些与战略性经营风险(SBR)和重要交易事项(SCOT)有关的流程目标。
n运作过程(包括投入、产出和关键运作要素(CriticalSuccessFactors)):
我们要了解与已认定的流程目标有关的运作过程。
n主要运营指标(KeyPerformanceIndicators):
我们要找出那些可以衡量已认定的流程目标完成情况的指标,即主要运营指标。
n计算机信息系统:
我们了解与以上相关的计算机信息系统。
如果决定流程分析要使用IRM的工作,那么,IRM人员将在理解流程阶段就参与。
1.6理解流程层面的经营风险和财务报表风险
我们要确定那些会威胁流程目标的风险。
这些风险包括流程层面的经营风险和财务报表风险。
一个管理SBR的关键流程的风险跟一个处理SCOT的关键流程的风险是不同的。
战略性经营风险(SBR)
一个管理SBR的关键流程的风险包括流程层面的经营风险和财务报表风险:
n流程层面的经营风险–对既定流程目标的取得产生威胁、并对财务报表具有潜在影响的风险。
只有管理SBR的关键流程才有这种流程层面的经营风险。
n财务报表风险(与经营风险相关)–指剩余经营风险(ResidualBusinessRisk,RBR)不能被准确地反映在财务报表中的的风险,(通常是一个与会计估计或表达与披露有关的问题)将导致在相关帐户余额中的重大差错。
重要交易事项
一个管理SCOT的关键流程的风险只有财务报表风险:
n财务报表风险(与重要交易事项相关)–指与交易相关的财务报表记录的完整性、存在性和准确性的风险。
附录B给出了流程层面经营风险和财务报表风险的一些例子。
1.7识别相关的(经营方面和财务报表方面的)控制点
我们要识别那些能预防、检查并纠正财务报表中的错误的控制点。
这样的控制点可以管理重要的流程层面经营风险(经营控制点)或财务报表风险(财务报表控制点)。
这些控制点既有人工的,也有自动的;既有事前预防型的,也有事后检查型的。
与4.2节“理解风险”类似,与经营风险相关的控制点和与重要交易事项相关的控制点略有不同。
战略性经营风险(SBR)
当对一个SBR做相关的流程分析时,我们要了解流程层面经营风险的控制点(经营控制点)。
经营控制点管理之下的经营风险成为剩余经营风险(ResidualBusinessRisk,RBR),我们也要了解RBR。
然后我们要了解会计估计或表达与披露发生重大错误的可能性(即财务报表风险),并且集中研究管理层如何形成会计估计或确定表达与披露(财务报表控制点)。
定义如下:
n经营控制点-降低流程层面经营风险的控制点。
这些控制点有助于我们了解和判断影响财务报表的剩余经营风险。
理解经营控制点可以帮助我们评估相关审计目标的重大错报的风险(ROSM)。
n财务报表控制点(与经营风险相关)-管理层在财务报表中反映剩余经营风险(RBR)对报表影响的工作流程(通常表现为会计估计、表达与披露)。
重要交易事项(SCOT)
当对一个SCOT做相关的流程分析时,我们要考虑那些控制交易的完整性、存在性、准确性和表达的控制点。
定义如下:
n财务报表控制点(与重要交易事项相关)–管理层设置这些控制点来保证财务报表记录交易的完整性、存在性和准确性。
以下是管理层可能应用的各类控制点(包括人工的与自动的):
n授权
n配置/帐项映射的控制
n预警报告
n界面/转换控制
n主要运营指标
n管理层审阅
n稽核
n责任划分
n系统访问权限
如果我们能够将已识别的控制点归类到以上某一类中,就可以在计划控制设计测试和控制执行测试时参考本指南的相应部分。
(附录C)
自动化控制主要包括配置/帐项映射的控制、界面/转换控制和系统访问权限。
如果在进行流程分析的时候有信息风险管理专家(IRM)的参与,他们应当帮助识别控制点。
1.8挑选某一分组的控制点进行测试,以及控制设计测试
挑选控制点进行测试
我们挑选某一组控制点进行测试而并非对企业所拥有的全部控制点进行测试。
当选择控制点进行测试的时候,我们挑选一个或多个控制点,这些控制点合起来将会预防、检查并纠正与我们审计的管理层认定相关的重大错报漏报。
在选择控制点的时候,通常有效率的作法是首先考虑管理层日常所用的、监控企业目标的实现以及减少经营风险的控制点。
在选择控制点的时候,考虑下列有关方面:
n测试的效率最大化;
n控制的风险最多;
n我们过去与客户打交道的经验;以及
n以长远的眼光考虑多年整体的测试效率。
(如,第一年就测试自动化控制可能在当年需要多一点时间,但以后年度就可以较省力。
)
如果在进行流程分析的时候有信息风险管理专家(IRM)的参与,他们应协助选择需测试的控制点。
进行控制设计测试
我们对控制点进行设计测试来获取关于控制设计的审计证据,看其是否设计恰当并且可以预防、检查并纠正重大的错报漏报。
控制设计测试是关于控制如果正常运行的话,是否可以预防、检查并纠正报表中与之相关的重大错报漏报,以及企业是否应用此控制方法。
我们在进行控制设计测试时采用的程序包括:
n检查文件记录
n向适当的人员进行询问
n我们以前与此企业打交道的经验
仅仅进行询问(Enquiry)是不能提供充分适当的审计证据来证明控制设计是有效的。
我们还应当考虑我们以前与客户打交道时取得的证据。
在测试中我们应当考虑:
n控制点可以减少的风险
n控制是如何实行的
n控制点的频率
n执行控制的人员是否胜任及其经验(如果是人工控制),以及
n可能被监测出来的错报漏报的大小及其性质。
我们将控制设计测试的结果用于对审计目标的ROSM的预评估上。
对于我们在测试当中认为控制点是设计合理的地方,我们可以认为在此处的ROSM是小的或者是中等的。
接下来,我们要对控制进行执行测试来获得在整个审计期间控制运行的有效与否的证据。
如果控制设计测试已指出某一个控制点是不合理的,我们就应当考虑选择一个不同的控制点进行测试。
如果在选择做测试的控制点中包括自动化控制,例如配置控制,界面控制或系统访问权限控制,应当在测试当中考虑以下几点:
n保证进行控制设计测试和控制执行测试的审计人员/专家具有适当的知识、经验和专业技能;
n在系统实施的期间已经采取的控制测试的范围。
如果控制的设计和建立已在实施期间有专家进行了测试,那么我们可以把我们测试的范围限制在控制点的更改和维护上(参见附件C内部控制的类别)
1.9对已经选择的控制点进行控制执行测试
控制执行测试是关于控制是如何运行的、在审计期间控制的运行的一致性、以及是由谁来操作的。
在进行控制执行测试中我们应当考虑到:
n收集审计证据时我们采用的手段
n测试的目的和性质
n测试的样本量
n测试的时间安排(以便证明在整个一年当中控制都是正常有序运行的)
下面是对于应考虑问题的具体的讨论。
如果客户在同一期间内不同的时间段里有不同的内部控制的话,我们会就每一种控制分别进行考虑。
1.9.1测试手段
要获取内部控制有效运行的审计证据,有许多测试手段:
n观察:
即观察内部控制运行的实际情况;例如,实地观察清点存货。
n询问:
我们可通过询问客户的有关人员以获取内部控制运行的信息。
例如,对于賒销的控制,我们可以询问客户其认为可收回的应收帐款的金额是多少,账龄如何,及将会采取的措施。
n文件检查:
即检查内部控制生成的记录和文件。
例如,检查银行存款余额调节表,以作为内控有效实施的证据。
n重新执行:
我们可能会重新执行某些内部控制程序,以证明其运行是正确的。
例如,重新进行信用状况分析。
上面所讨论的这些手段都是标准的测试手段,当我们把它们综合运用的时候,就形成其他一些测试方法,可以用来获得充分适当的证据以证明企业内部控制运行是有效的。
这些综合性的方法包括:
n能力评估:
审计人员综合使用询问、文件检查和重新执行等手段,可测试某个管理人员在某一领域的知识或者其实施某项控制的胜任能力。
n确证征询:
审计人员可通过向企业中其他人员(“确证者”)了解内控的运行并获得肯定,来证实内部控制是有效运行的。
这种求证主要是为了确定内控点的实施是有效的,并且运行始终如一。
n系统调阅:
审计人员可测试IT支持的自动化控制是否按设计要求运行。
此类的控制点包括:
∙系统会准确地判别预先定义好的例外事项(这些例外事项可能是与系统输入、数据处理和输出结果的完整性和准确性有关的)。
∙系统内设立进入口令和数据逻辑流,从而实现职责划分和交易授权。
在附录D中会对每一种手段进行进一步的讨论。
1.9.2测试工作的目的和性质
仅靠一种测试手段本身难以获得充分适当的审计证据,内部控制测试往往需要观察、询问、文件检查和重新执行等手段的综合使用。
在决定测试的目的和性质时,应考虑到:
n该项控制会发现的是哪种错报漏报;
n对于发现的错报漏报,企业会有什么样的措施;
n这些错报漏报/例外/调整事项的性质、金额和发生频率是合理的还是严重的。
与此同时,使用的基础数据的可靠性也是我们所应考虑的。
在内控测试中,我们会运用专业判断来决定对基础数据进行测试的工作量。
而在确定这一测试工作量时,必须考虑到相关的控制点的设计。
有些情况下,某项控制点是为了“曝光”在汇集基础数据中的错误而专门设计的。
例如,稽核控制和主要运营指标控制就是为了“曝光”汇集基础数据的不准确而设计的:
n当准备银行存款余额调节表(一种稽核控制)时,如果未兑现支票(即企业已付,银行未付)在调节表中的数字不准确,则调节表是无法做平的。
n同样,在对主要运营指标进行分析时,如果基础数据不正确,则分析的结果就会和预期不一致。
这里的两个前提是:
1)该分析的设计是有效的,其精确程度足以发现重大的错报漏报(依审计人员的定义);2)对分析结果的预期是具有足够的精
升级会员 