KPMG内部控制测试指南.docxVIP

kpmg 内部控制测试指南?/?Controls?Guidance Draft?Translation?V1.1 KPMG?审记与咨询业务中心 内部控制测试指南 2001?年?5?月 目录 1．?概论 1 1．?1?如何运用于所有的审计项目 2 2．?审计工作进程 3 2．1?战略性分析 3 2．2?流程分析 4 2．3?其它审计步骤及报告 4 3．企业的控制环境 5 4．流程分析和基于内部?控制的审计方法 7 4．1?理解流程 7 4．2?理解流程层面的经营风险和财务报表风险 7 4．3?识别相关的(经营方面的和财务报表方面的)控制点 8 4．4?选择某一分组的控制点进行测试，以及控制设计测试 9 4．5?对已选择的控制点进行控制执行测试 10 4．5．1?测试手段 10 4．5．2?测试工作的目的和性质 11 4．5．3?测试工作的样本量 12 4．5．4?测试的时间安排 13 4．6?评价测试结果 14 4．7?记录测试结果 14 4．8?在内部控制测试时的决策树 16 附录 A?名词解释 18 B?内部控制测试实例 20 B．1?战略性经营风险(“SBR”) 20 B．2?重要交易事项(“SCOT”) 20 C?内部控制的类别 C．1?授权 C．2?配置/帐项映射的控制 C．3?预警报告 C．4?界面/转换控制 C．5?主要运营指标 C．6?管理层审阅 C．7?稽核 C．8?职责划分 C．9?系统访问权限 D?测试手段 D．1?确证征询 D．2?文件检查 kpmg 内部控制测试指南?/?Controls?Guidance Draft?Translation?V1.1 D．3?能力评估 D．4?系统调阅 E?信息风险管理专家(IRM)在审计中的作用 kpmg 内部控制测试指南?/?Controls?Guidance Draft?Translation?V1.1 1 概论 KPMG?编写“内部控制测试指南”的目的是为?KPMG?的审计人员进行内部控制测 试工作提供一些帮助。 基于内部控制的审计方法(system-based?approach)是指按照?KPMG?审计手册 (KAM)进行的财务报表审计。它既要考虑人工控制，也要考虑?IT?控制，还要求信息 风险管理(IRM)专家的适当参与。 在按照?KAM?审计的过程中，我们并不计划对所有的审计目标实施实质性测试， (“完全实质测试审计”)，这就需要通过进行各种分析以确定客户的重大错报风险 (ROSM，固有风险与控制风险之积)低于最高水平。 根据?KAM，只有获得了关于客户内控制度的设计及执行是有效的证据，才能认 为客户的?ROSM?低于最高水平。不仅如此，将?ROSM?评估为高，通常是因为控制测试 显示客户的相关内控制度设计不合理或是未得到有效的执行，而不是因为我们基于 成本效益的原则而不打算进行控制测试。请参见?4.8?部分“在内部控制测试时的决 策树”。 本指南包含了控制测试的理论和实例。本指南也描述了?KAM?工作进程的概况， 但主要探讨如何在流程分析阶段(Process?Analysis)理解和测试客户的内控制度， 从而完成按?KAM?要求的基于内部控制的审计。本指南的基础是与国际审计准则(IAS)相 一致的?KAM。 本指南包含四部分： 一、 审计工作进程 这部分将简要回顾?KAM?的工作进程，并且着重于以下三部分内容：理解 战略性经营风险(SBRs);?理解重要交易事项(“SCOTs”)；以及对关键控 制流程(Key?Business?Process)进行分析(关键控制流程指管理?SBRs?或 者产生、处理和记录?SCOTs?的流程)。 二、 企业的控制环境(Control?environment) 这部分将简要回顾?KAM?关于企业控制环境的论述，企业的控制环境是其 它各控制环节的基础。 三、 流程分析(Process?Analysis)---?基于内部控制的审计方法(System- based?approach) 这部分着重于流程分析(Process?Analysis)，包括识别流程层面的风险 和控制点(Process-level?risks?and?controls)以及内部控制测试。 四、 附录 A、?名词解释 B、?内部控制测试实例 这些实例将说明在各种流程中存在的一套控制点。这些实例不是完 美无缺的，但可以作为识别流程中的控制点的出发点。 C、?内部控制的类别 本指南对众多的控制点按照可采用何种控制设计测试与执行测试的 方法进行了分类。在附录?B“内部控制测试实例”中的每个控制 点都已被分类。 D、?测试手段 1 kpmg 内部控制测试指南?/?Controls?Guidance Draft?Translation?V1.1 本指南的正文已探讨了?K