内部控制测试及指南.doc

KPMG审记与咨询业务中心 内部控制测试指南 2001年5月 目录 概论 1 1如何运用于所有的审计项目 2 审计工作进程 3 2．1 战略性分析 3 2．2 流程分析 4 2．3 其它审计步骤及报告 4 3．企业的控制环境 5 4．流程分析和基于内部 控制的审计方法 7 4．1 理解流程 7 4．2 理解流程层面的经营风险和财务报表风险 7 4．3 识别相关的(经营方面的和财务报表方面的)控制点 8 4．4 选择某一分组的控制点进行测试，以及控制设计测试 9 4．5 对已选择的控制点进行控制执行测试 10 4．5．1 测试手段 10 4．5．2 测试工作的目的和性质 11 4．5．3 测试工作的样本量 12 4．5．4测试的时间安排 13 4．6 评价测试结果 14 4．7 记录测试结果 14 4．8 在内部控制测试时的决策树 16 附录 A 名词解释 18 B 内部控制测试实例 20 B．1 战略性经营风险(“SBR”) 20 B．2 重要交易事项(“SCOT”) 20 C 内部控制的类别 C．1 授权 C．2 配置/帐项映射的控制 C．3 预警报告 C．4 界面/转换控制 C．5 主要运营指标 C．6 管理层审阅 C．7 稽核 C．8 职责划分 C．9 系统访问权限 D 测试手段 D．1 确证征询 D．2 文件检查 D．3 能力评估 D．4 系统调阅 E 信息风险管理专家(IRM)在审计中的作用  概论 KPMG编写“内部控制测试指南”的目的是为KPMG的审计人员进行内部控制测试工作提供一些帮助。 基于内部控制的审计方法(system-based approach)是指按照KPMG审计手册(KAM)进行的财务报表审计。它既要考虑人工控制，也要考虑IT控制，还要求信息风险管理(IRM)专家的适当参与。 在按照KAM审计的过程中，我们并不计划对所有的审计目标实施实质性测试，(“完全实质测试审计”)，这就需要通过进行各种分析以确定客户的重大错报风险(ROSM，固有风险与控制风险之积)低于最高水平。 根据KAM，只有获得了关于客户内控制度的设计及执行是有效的证据，才能认为客户的ROSM低于最高水平。不仅如此，将ROSM评估为高，通常是因为控制测试显示客户的相关内控制度设计不合理或是未得到有效的执行，而不是因为我们基于成本效益的原则而不打算进行控制测试。请参见4.8部分“在内部控制测试时的决策树”。 本指南包含了控制测试的理论和实例。本指南也描述了KAM工作进程的概况，但主要探讨如何在流程分析阶段(Process Analysis)理解和测试客户的内控制度，从而完成按KAM要求的基于内部控制的审计。本指南的基础是与国际审计准则(IAS)相一致的KAM。 本指南包含四部分： 审计工作进程 这部分将简要回顾KAM的工作进程，并且着重于以下三部分内容：理解战略性经营风险(SBRs); 理解重要交易事项(“SCOTs”)；以及对关键控制流程(Key Business Process)进行分析(关键控制流程指管理SBRs或者产生、处理和记录SCOTs的流程)。 企业的控制环境(Control environment) 这部分将简要回顾KAM关于企业控制环境的论述，企业的控制环境是其它各控制环节的基础。 流程分析(Process Analysis)--- 基于内部控制的审计方法(System-based approach) 这部分着重于流程分析(Process Analysis)，包括识别流程层面的风险和控制点(Process-level risks and controls)以及内部控制测试。 附录 A、 名词解释 B、 内部控制测试实例这些实例将说明在各种流程中存在的一套控制点。这些实例不是完美无缺的，但可以作为识别流程中的控制点的出发点。 C、 内部控制的类别 本指南对众多的控制点按照可采用何种控制设计测试与执行测试的方法进行了分类。在附录B“内部控制测试实例”中的每个控制点都已被分类。 D、 测试手段 本