KPMG内部控制测试指南
内部控制具体测试内容和方法
3. 公层面测试内容
3.3 职业道德主要测试步骤
检查高管人员是否全部签署《高级管理人员职业道德规范确认 书》。同时通过与管理层人员访谈并对相关制度文件进行检查, 了解并查看公司是否将职业道德标准包含在与客户及供货商的 商业交往中。
其次访谈财务与资本运营部相关人员,了解对财务分析的理解程 度和各个层面的财务分析结果上报的程序及上报后的审核情况。 根据抽样原则抽查财务分析报告,选择重点相关经营指标,对分 析的过程进行再执行测试,检查指标的分析是否适当。
访谈相关的财务负责人,了解管理层和各级管理部门是否对 上报的财务分析进行审阅,对审核中发现的问题是否进行跟 进,并查阅跟进的相关证据。
3. 公司层面测试内容
4、测试人员取得并审阅事先由被测试单位填好“企事业单位控制 补充说明”的《公司层面控制测试内容与步骤》;
5、依据模版中的相关内容,制定测试计划填写《测试计划表》及 《测试表》中“具体测试步骤”;
6、选择测试方法主要依据《公司层面控制测试表》的测试内容; 在此基础上确定测试提纲,提纲包括测试内容、被测试人员、测试 时间等;
2. 设计有效性测试内容
2.3 信息系统总体控制设计有效性测试
信息系统总体控制设计有效性测试
根据已经确定的信息系统总体控制测试范围,针对不同的领域,首先 依据重要风险确认控制目标,其次将公司已有的关键控制与控制目标、 重要风险进行核对分析,确定应有的关键控制是否存在、重要风险是 否识别,初步评估有效实施控制能否防范风险,达到控制目标,并结 合信息系统总体控制关键控制抽样测试的结果进行评价。
内部控制测试方案
内部控制测试方案背景内部控制是企业管理的重要组成部分,其作用在于保障企业资产的安全、合法性和准确性,防范经营风险,确保企业持续稳健发展。
现在,随着企业逐渐向数字化转型,内部控制测试也变得越来越关键。
本文将介绍一份有效的内部控制测试方案,帮助企业更好地保障自身利益和稳定经济效益。
测试范围内部控制测试方案涵盖了企业管理的各个方面,主要包括财务、运营、IT、合规等方面的控制点。
在制定测试方案时,需要确定测试的范围和重点,以确保测试的全面性和实用性。
测试流程内部控制测试的流程如下:1.策划测试计划:在确定测试范围和重点的基础上,策划测试计划,明确测试目标和计划时间表。
2.调查核实:收集相关数据、记录信息,对企业内部控制进行初步调查,并对一些疑点和异常问题进行详细核实。
3.测试程序设计:制定具体的测试程序,包括采样方法、测试方式、数据收集等,确保测试的完整性和准确性。
4.测试执行:按照测试程序,对企业内部控制进行测试。
此过程需要严格按照测试程序进行,保证测试的严密性和可靠性。
5.测试结果评价:对测试结果进行汇总分析,评估测试结果的准确性和可行性,并向企业提出改进建议。
6.发布测试报告:根据测试结果制定测试报告,报告内容包含测试结果、改进建议、测试的范围和限制等,向企业领导汇报内部控制测试结果。
内部控制测试的方法内部控制测试可以采用多种方法,常用的测试方法包括:抽样测试法抽样测试法适用于对大批量数据进行测试的情况,通过对样本数据的测试,来评估整体数据的准确性和可靠性。
抽样测试法需要在测试过程中保证样本数据的随机性和代表性,以避免误差和歧义。
重点测试法重点测试法适用于对重点控制点进行测试的情况,通过对重点控制点的测试,评估企业内部控制的核心管理能力。
重点测试法需要确定测试的重点和逻辑,以确保测试的有效性和高效性。
审计测试法审计测试法适用于对企业内部控制进行全面审计的情况,包括财务、运营、IT、合规等方面的控制点。
1内控测试工作指南
信永中和会计师事务所内控测试工作指南一前言1为了规范内控有效性测试工作,根据《中国注册会计师鉴证业务基本准则》、《中国注册会计师审计准则第1231号–针对评估的重大错报风险实施的程序》以及《中国注册会计师审计准则第1314号– 审计抽样和其他选取测试项目的方法》制定本指南。
2本指南主要目标在于指导审计人员在执行内控测试过程中如何编制测试程序、确定样本总体、确定样本量等工作,以实现内控测试的工作目标。
二适用范围1本指南所指内控测试主要在于判断内部控制运行的有效性,是建立在了解内控设计并对设计有效性进行评价基础上,以确定控制设计有效为前提。
2本指南中的内控测试主要针对会计报表审计所需内控测试工作,对于专项的内部控制审核项目可参照执行。
三内控测试范围选择1 识别与财务报告可靠性相联系的内部控制在进行内控测试前,首先需识别与财务报告相关的内控,从会计报表审计的角度进行内控测试首要原因为内控有效是保障财务报告可靠的基础。
识别与财务报告有关的内部控制流程一般需经过如下步骤:首先,项目组需分析并确定被审计单位重要会计报表项目、披露事项;其次,项目组需分析判断影响重要会计报表项目的业务流程循环,同时确定重要会计报表项目与业务循环之间的对应关系;第三,分析确定各个重要会计报表项目和披露事项影响的相关会计报表认定,根据内部控制了解到的对各个重要会计报表项目和披露事项涉及的关键控制点及相关控制措施确定需进行内控测度的范围。
2 确定进行内控测试的经营场所被审计单位的组织结构往往比较复杂,会涉及到公司总部、分公司、子公司等,以下统称为经营场所。
项目组在执行内控测试前,应根据被审计单位的组织结构特点分析确定对哪些经营场所进行内控测试,主要考虑下列要素:经营场所相关财务状况和经营状况在合并会计报表中的重要程度通过内控了解及评价经营场所出现重大错报风险的可能性选定的经营场所在拟测试的业务循环和内控程序的位置,如属集中处理或共享服务中心通常情况下,应选择如下公司执行内控测试:被审计单位母公司(或总公司)进行内控测试,因其属于管理的中心;资产及收入占报表比重较大的子、分公司,因其内控是否有效对报表影响重大;业务特殊且重要的分、子公司,因其业务区别于集团内其他公司,可通存在特定风险。
内部控制测试方案
内部控制测试方案一、背景内部控制是指企业为实现经营目标,按照法律法规、规章制度以及经营管理要求,自主制定的、有针对性的、能够识别、衡量、控制和监督风险的一套完整制度和流程,以保护企业的利益、确保财务报告的准确性和完整性、提高企业经营效率。
内部控制测试是内部控制评价的重要组成部分,其中包括内部控制设计评价和内部控制运行评价。
本文旨在介绍如何制定一份有效的内部控制测试方案。
二、内部控制测试的重要性内部控制测试有助于评估企业内部控制体系的有效性,发现控制缺陷、弱点、与规定不符的情况,及时采取措施消除或降低风险,保护企业的经济利益和声誉。
另外,内部控制测试也是企业依法合规经营的必要手段。
《公司法》、《证券法》、《会计法》等法律法规明确规定了企业必须建立健全内部控制体系,同时要求独立审计师对企业内部控制有效性进行评估。
三、内部控制测试方案制定步骤步骤一:确定测试对象和测试范围确定测试对象是指要测试的内部控制环节或流程,包括财务报告、资产管理、风险管理等方面,测试范围是指需要测试的环节或流程具体的业务流程、岗位职责等。
在此基础上,编制测试方案。
步骤二:确定测试目的和测试方法测试目的是指测试的具体目标,例如发现内控弱点、控制不落实、监察不到位等,需要在编制测试方案时明确测试目的。
测试方法是指如何进行测试的具体措施,包括采集证据、论证准则、评估风险等。
步骤三:确定测试流程和测试程序测试流程是指测试工作的整体流程,包括前期准备工作、测试实施、测试结果分析等,需要在编制测试方案时进行明确。
测试程序是指测试过程中需要进行的具体步骤,包括了解业务流程、检查文件、采集证据、核对数据等。
步骤四:确定测试时间和测试人员测试时间是指测试的具体时间段或时间节点,需要在编制测试方案时进行明确。
测试人员是指参与测试的人员,包括财务部门、内部审计部门、独立审计师等。
步骤五:确定测试报告的输出形式和内容测试报告是内部控制测试的重要成果,需要明确测试报告的输出形式和内容。
1内控测试工作指南
信永中和会计师事务所内控测试工作指南前言1 为了规范内控有效性测试工作,根据《中国注册会计师鉴证业务基本准则》、《中国注册会计师审计准则第1231号-针对评估的重大错报风险实施的程序》以及《中国注册会计师审计准则第1314号-审计抽样和其他选取测试项目的方法》制定本指南。
2 本指南主要目标在于指导审计人员在执行内控测试过程中如何编制测试程序、样本总确定体、确定样本量等工作,以实现内控测试的工作目标。
适用范围1 本指南所指内控测试主要在于判断内部控制运行的有效性,并对是建立在了解内控设计设计有效性进行评价基础上,以确定控制设计有效为前提。
2 本指南中的内控测试主要针对会计报表审计所需内控测试工作,制审核对于专项的内部控项目可参照执行。
内控测试范围选择识别与财务报告可靠性相联系的内部控制在进行内控测试前,首先需识别与财务报告相关的内控,从会计报表审计的角度进行内控测试首要原因为内控有效是保障财务报告可靠的基础。
识别与财务报告有关的内部控制流程一般需经过如下步骤:首先,项目组需分析并确定被审计单位重要会计报表项目、披露事项;其次,项目组需分析判断影响重要会计报表项目的业务流程循环,同时确定重要会计报表项目与业务循环之间的对应关系;第三,分析确定各个重要会计报表项目和披露事项影响的相关会计报表认定,根据内部控制了解到的对各个重要会计报表项目和披露事项涉及的关键控制点及相关控制措施确定需进行内控测度的范围。
2 确定进行内控测试的经营场所被审计单位的组织结构往往比较复杂,会涉及到公司总部、分公司、子公司等,以下统称为经营场所。
项目组在执行内控测试前,应根据被审计单位的组织结构特点分析确定对哪些经营场所进行内控测试,主要考虑下列要素:经营场所相关财务状况和经营状况在合并会计报表中的重要程度通过内控了解及评价经营场所出现重大错报风险的可能性选定的经营场所在拟测试的业务循环和内控程序的位置,如属集中处理或共享服务中心通常情况下,应选择如下公司执行内控测试:被审计单位母公司(或总公司)进行内控测试,因其属于管理的中心;资产及收入占报表比重较大的子、分公司,因其内控是否有效对报表影响重大;业务特殊且重要的分、子公司,因其业务区别于集团内其他公司,可通存在特定风险。
KPMG毕马威内控配套指引讲解
《企业内部控制制配套指引》实施解读一、《企业内部控制配套指引》主要内容解析二、企业的合规遵循挑战三、合规之路该如何计划四、经验分享企业内部控制基本规范企业内部控制应用指引 企业内部控制评价指引 企业内部控制审计指引《应用指引》、《评价指引》和《审计指引》构成 企业 内部控制配套指引 用于指导企业如何更加有效实施基本 规范。
《企业内部控制应用指引》:共 18项,用以指导企业开展内部控 制建设,并为企业及事务所的内 部控制评价及审计提供参考。
内 容包含制定该项指引的总体目标、 涉及事项的定义、相关风险描述、 业务流程规范和关键控制点要求 等标准性内容。
《企业内部控制评价指引》:用 以指导企业开展内部控制评价, 以满足基本规范的实施要求。
内 容包含评价原则、评价制度要求、 评价的内容、评价的程序、缺陷 的认定、评价报告。
《企业内部控制审计指引》:用 以规范注册会计师执行企业内部控制审计业务。
内容包含审计目 标、计划审计工作、实施审计工 作、评价控制缺陷、完成审计工 作、出具审计报告、记录审计工 作、审计报告参考格式。
《基本规范》从内部环境、风险评估、控制活动、信息与沟通以及内部监督五大要素的角 度,对于中国企业应如何建立、维持有效的内部控制提出了原则性的要求,建立了具有中国 特色的内部控制框架。
2008 年 6 月 28日发布2010 年 4 月 26日发布一、《企业内部控制配套指引》主要内容解析财务报告内部控制有效性的外部审计内部控制有效性的自我评价内控体系的建设和实施企业•按照《评价指引》的相关要求,对内部控制的有效性进行自我评价•评价对象包括企业建立和实施的财务和非财务内部控制,需对这些内部控制的设计和执行有效性进行评价企业•从《基本规范》规定的五大要素出发,参照《应用指引》的具体要求,建立和实施完善的内部控制体系审计师:•按照《审计指引》的要求,对财务报告内部控制的有效性发表审计意见,并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷予以披露•评价对象为企业建立和实施的财务报告内部控制《企业内部控制配套指引》适用企 业境、内外同时上市的公司在上海证券交易所、深圳证券交易所主板上市公司实施中小板和创业板上市公司非上市大中型企业第一个合规报告年度《企业内部控制应用指引》:共18项,用以指导企业开展内部控制建设,并为企业及事务所的内部控制评价及审计提供参考。
内部控制测试方案
内部控制测试方案背景介绍内部控制是企业管理中一个重要的环节,对于企业的稳定发展和经济效益的提升具有重要的意义。
内部控制测试是对企业内部控制制度执行情况的检查和评价,为企业提供改进和完善内部控制制度的重要参考。
因此,在进行内部控制测试时,制定科学合理的测试方案显得十分重要。
测试目标针对企业的内部控制制度,测试方案的主要目标包括:1.了解内部控制制度是否建立完善;2.确定内部控制制度是否与企业业务风险相适应;3.考察内部控制制度的有效性和合规性;4.发现内部控制制度的不足之处,并提供合理的改进建议;5.确保内部控制制度的长期稳健运行。
测试方案1.测试准备测试前,需要明确测试的范围、重点和测试流程,对测试人员进行培训,明确测试的标准和要求,以便测试人员在测试中能够准确执行测试方案。
2.测试方法内部控制测试主要采用以下几种方法:1.文件检查法:通过文件、档案等资料来检查企业内部控制制度的执行情况;2.会计核算法:通过会计的审核和核算,了解企业内部控制制度的执行情况;3.抽样检查法:按照抽样原则选取具有代表性的业务单据、凭证、报表等进行检查,以便全面了解企业内部控制制度的执行情况;4.实地考察法:对企业的内部控制制度执行情况进行深入了解,如对防火墙、备份等措施进行实地检查。
3.测试内容内部控制测试的主要内容包括:1.内部控制制度的建立、维护和运行是否得当;2.企业业务流程和内控规范是否相符;2.内部控制制度的执行情况;3.资产及财务管理制度是否运行良好;4.与外部监管机构的内部控制合规性要求是否匹配。
4.测试报告测试完成之后,需要对测试的结果进行分析和总结,对内部控制制度的推进提出客观合理的建议和意见,并编写内部控制测试报告提交给企业高层管理人员,以便企业在内部控制制度建设中不断完善和提高。
总结内部控制测试方案需要根据企业实际情况进行制定,科学合理的测试方案能够为企业快速改进和完善内部控制制度提供重要的参考,是企业稳定发展和经济效益提升的必要手段之一。
内部控制测试方案
内部控制测试方案背景内部控制是企业管理的基础,其主要目的是保障企业财务、资源的安全和有效利用,保护股东的利益。
而内部控制的有效性直接影响企业的经营效率和绩效。
当企业内部控制存在缺陷时,就会给企业带来各种风险,如经济损失、财务造假和信用风险等。
因此,必须对内部控制进行测试和评估,以保障企业长期健康发展。
本文将针对内部控制进行测试方案的探讨,旨在提高组织对内部控制的有效管理。
目的测试方案的主要目的是:•确认组织内部控制的有效性和可行性;•确认组织内部控制的完整性和合规性;•评估组织内部控制的效果和质量;•消除内部控制方面的缺陷和隐患,提高内部控制的质量和效率。
测试程序测试程序步骤如下:在确定测试目标和范围时,需考虑以下因素:•测试的目的和理由;•内部控制的目标和范围;•内部控制的关键点和重点。
步骤二:制定测试计划制定测试计划时,需考虑以下因素:•测试的时间和地点;•测试的内容和方法;•测试的参与者和责任;步骤三:执行测试计划执行测试计划时,需注意以下注意事项:•按照测试计划和标准执行测试;•进行测试记录和收集数据;•识别问题和异常,评估风险和影响;•向测试参与者提供必要的指导和支持。
在确定测试结果和结论时,需考虑以下因素:•对测试结果进行分析和解释;•确认测试结果是否合规;•将测试结果反馈给测试参与者;•制定改进控制措施和建议。
步骤五:总结和报告测试结果总结和报告测试结果时,需考虑以下因素:•评估测试的有效性和质量;•将测试结果进行总结和分析;•撰写测试报告和相应的建议;•将测试结果反馈给高层管理人员和其他相关人员。
结论针对企业的内部控制,测试方案是管理企业内部控制的必要手段,能帮助企业不断优化内部审计,发现控制缺陷和问题。
因此,建议所有企业都要制定内部控制测试方案,并与测试技术人员和审计人员密切合作,以便为企业提供合规性评估和测试检测。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
KPMG审记与咨询业务中心内部控制测试指南2001年5月目录1.概论1 1.1如何运用于所有的审计项目2 2.审计工作进程3 2.1战略性分析32.2流程分析42.3其它审计步骤及报告4 3.企业的控制环境54.流程分析和基于内部控制的审计方法74.1理解流程74.2理解流程层面的经营风险和财务报表风险74.3识别相关的(经营方面的和财务报表方面的)控制点84.4选择某一分组的控制点进行测试,以及控制设计测试94.5对已选择的控制点进行控制执行测试10 4.5.1测试手段104.5.2测试工作的目的和性质114.5.3测试工作的样本量124.5.4测试的时间安排13 4.6评价测试结果144.7记录测试结果144.8在内部控制测试时的决策树16附录A名词解释18B内部控制测试实例20B.1战略性经营风险(“SBR”) 20B.2重要交易事项(“SCOT”) 20 C内部控制的类别C.1授权C.2配置/帐项映射的控制C.3预警报告C.4界面/转换控制C.5主要运营指标C.6管理层审阅C.7稽核C.8职责划分C.9系统访问权限D测试手段D.1确证征询D.2文件检查D.3能力评估D.4系统调阅E信息风险管理专家(IRM)在审计中的作用1概论KPMG编写“内部控制测试指南”的目的是为KPMG的审计人员进行内部控制测试工作提供一些帮助。
基于内部控制的审计方法(system-basedapproach)是指按照KPMG审计手册(KAM)进行的财务报表审计。
它既要考虑人工控制,也要考虑IT控制,还要求信息风险管理(IRM)专家的适当参与。
在按照KAM审计的过程中,我们并不计划对所有的审计目标实施实质性测试,(“完全实质测试审计”),这就需要通过进行各种分析以确定客户的重大错报风险(ROSM,固有风险与控制风险之积)低于最高水平。
根据KAM,只有获得了关于客户内控制度的设计及执行是有效的证据,才能认为客户的ROSM低于最高水平。
不仅如此,将ROSM评估为高,通常是因为控制测试显示客户的相关内控制度设计不合理或是未得到有效的执行,而不是因为我们基于成本效益的原则而不打算进行控制测试。
请参见4.8部分“在内部控制测试时的决策树”。
本指南包含了控制测试的理论和实例。
本指南也描述了KAM工作进程的概况,但主要探讨如何在流程分析阶段(ProcessAnalysis)理解和测试客户的内控制度,从而完成按KAM要求的基于内部控制的审计。
本指南的基础是与国际审计准则(IAS)相一致的KAM。
本指南包含四部分:一、审计工作进程这部分将简要回顾KAM的工作进程,并且着重于以下三部分内容:理解战略性经营风险(SBRs);理解重要交易事项(“SCOTs”);以及对关键控制流程(KeyBusinessProcess)进行分析(关键控制流程指管理SBRs或者产生、处理和记录SCOTs的流程)。
二、企业的控制环境(Controlenvironment)这部分将简要回顾KAM关于企业控制环境的论述,企业的控制环境是其它各控制环节的基础。
三、流程分析(ProcessAnalysis)---基于内部控制的审计方法(System-basedapproach)这部分着重于流程分析(ProcessAnalysis),包括识别流程层面的风险和控制点(Process-levelrisksandcontrols)以及内部控制测试。
四、附录A、名词解释B、内部控制测试实例这些实例将说明在各种流程中存在的一套控制点。
这些实例不是完美无缺的,但可以作为识别流程中的控制点的出发点。
C、内部控制的类别本指南对众多的控制点按照可采用何种控制设计测试与执行测试的方法进行了分类。
在附录B“内部控制测试实例”中的每个控制点都已被分类。
D、测试手段本指南的正文已探讨了KAM中提及的控制测试手段。
有些测试手段也可以组合起来使用以获取关于控制系统执行有效性的证据。
这些手段在附录D中有更详细的描述。
E、信息风险管理专家(IRM)在审计中的作用IRM可以显著地提升审计的价值,在某些情况下,在战略性分析和流程分析中必须应用IRM。
如何在审计中恰当地运用IRM的探讨将贯穿本指南,同时,附录E中更详细地探讨了如何恰当运用IRM。
1.1如何运用于所有的审计项目本指南可以运用于无论大小所有的审计项目。
虽然大型企业可能面临更为严格的向公众报告的要求,但是小型企业与大型企业对良好的控制确有同样的需求。
良好的控制事实上也存在于小型的企业,这些控制从表面上与大型企业的有可能不同,下面是它们的主要区别:n小型企业中的沟通过程是不太正式的,在仅有几个人和有限的管理层次的组织中,口头的交流可能比书面交流更为有效。
n监督是由高层管理者完成的,通常同时也是企业所有者,而不是存在一个有外部人员参与的董事会。
n小型企业的管理风格可以被称为是“自己动手”(hands-on),这意味着管理当局亲自动手执行计划。
在许多的领域,管理当局更乐于采用直接的询问和观察的方法来对企业监控,而不是依赖正式的报告。
n小型企业中可能没有内部审计人员,不过在一些特定的项目上,也许管理当局或者是会计人员会不断进行检测。
n上述几点适用于一个仅有几层管理层级的简单的组织,这样的组织更依赖管理当局直接审阅。
本指南中提及的测试方法和手段同样可以应用于这些不太复杂的组织。
事实上,在很多情况下,如果能很好的理解这些不太复杂的控制流程,应用基于内部控制的审计方法(system-basedapproach)会更容易。
n小型企业中的控制程序和责任划分并不象大型企业中那么完整,管理者直接的监督是更为重要的。
n在小型企业中的自我检查过程是很不正式的,这种检查更可能是依赖于经验或非正式的反思。
小型企业经常依赖于外部的帮助,特别是他们的外部审计师。
2 审计工作进程(Workflow)2.1 战略性分析(StrategicAnalysis)披露管理SBR 地认识和了解以下几个方面:n对财务报表有重大影响的战略性经营风险(SBRs):企业管理层为了达到企业的经营目标而选用不同的战略,战略性经营风险(SBRs)也相应不同。
这些风险对财务报表的潜在影响需要在财务报表中进行会计估计,或要求管理当局做出合适的表达和披露。
战略性经营风险(SBRs)还包括与计算机信息系统相关联的风险(IT 经营风险)。
当理解这种风险的重要性时,我们应该考虑计算机信息系统在财务报告过程中的重要性和与之相关的战略性经营风险。
我们可以使用风险分析模块(RAMs)来评估战略性IT 经营风险。
风险分析模块(RAMs)能帮助我们从战略层面考虑客户使用技术所引起的风险的程度。
在KPMG 的审计人员决定是否使用风险分析模块(RAMs)时,可以先用附录E3的问题做一下自测。
n对财务报表和我们的审计有重大影响的重要交易事项(SCOTs):重要交易事项(SCOTs)是指,根据我们的判断,具有相同特点、属性、或者性质的,数量较大的一组交易。
在理解企业经营的过程中,我们还要:n理解企业的控制环境,进而决定我们对内部控制的测试方法。
我们也会考虑计算机信息系统能够如何影响审计(参见第三章)。
n初步判断是否需要信息风险管理专家(IRM)来评估、描述和测试IT 的风险和控制点。
这些控制点与客户的经营和战略相配合,并植根于关键控制流程中。
n使用附录E1‘战略性分析--初步判断是否需要信息风险管理专家(IRM)的参与’所提示的问题来确定某些要求信息风险管理专家(IRM)参与财务报表审计的情况是否存在。
如果我们确定IT风险不大,并且附录E1中描述的客户情况不存在,就不必在审计中引入IT 专家。
如果附录E1中描述的客户情况存在,就要考虑让信息风险管理专家(IRM)参与战略性分析过程。
接下来我们要找出如下控制流程:n 管理战略性经营风险(SBRs)的;或者n产生、处理并在财务报表中记录重要交易事项(SCOTs)的。
这些控制流程被称为关键控制流程。
我们对每一个关键控制流程都进行流程分析。
2.2 流程分析管理SBR产生、处理和记录SCOT*包含识别/确认审计目标**包含控制设计测试和预估ROSM我们在流程分析过程中的工作如上图所示。
无论这个关键控制流程是关于某个SBR 的还是某个SCOT 的或如何特殊,所做的工作都是相同的。
关于流程分析的进一步探讨请见第四章。
2.3 其它审计步骤及报告在其它审计步骤及报告阶段,我们执行其它审计步骤(实质性测试程序),从而获得充分的审计证据来形成我们的审计意见。
我们还应向客户报告我们的审计发现。
通过其它审计步骤及报告阶段的工作,我们能够评估审计差异,对审计目标做出结论,形成审计意见和报告审计发现。
关键控理解 理解风识别相关控制点进行控制执计划其它分析性程详细测试3企业的控制环境理解企业的经营也包括理解其控制环境。
企业的控制环境包括企业的政策和程序,它们是企业为实现其经营目标而采取的行动和所做出的决策的有机组成部分。
企业的控制环境界定了企业的风格和员工的控制意识。
它是內部控制其他组成部分的基础,并为它们提供了基本框架和原则。
控制环境包括以下因素:n道德品行n工作能力n董事会或审计委员会的参与n管理哲学和风格n组织结构n授权和责任的分配n人事政策和实务另外,企业的控制环境还包括:n信息的交流;以及n计算机信息系统企业之所以需要控制环境是因为董事们要确保管理当局既努力实现良好的业绩,又按照允许的规矩经营。
对于管理当局而言,他们又需要确保员工们按照他们的要求行动。
鉴于董事和管理当局不可能参与企业的每一项决定和活动,因此他们建立了企业控制环境。
企业的控制环境取决于企业的规模和业务的复杂程度,以及董事和管理层的经营管理哲学和风格。
在企业的控制环境中,计算机信息系统的重要性日益突出。
因而,我们对它的了解应足以保证我们能有效地制定审计计划和评价所获取的审计证据。
对于计算机信息系统,我们需要了解的方面包括:n企业对计算机信息系统的依赖程度n计算机信息系统的功能和所能提供的信息资源n信息的安全性n计算机信息系统的可信赖程度n计算机信息系统的变动程度和频繁程度n对外部计算机处理的依赖程度n计算机信息系统的管理和运行如果初步评估(参见附录E1)决定使用IRM,那么,我们就应考虑在理解企业的控制环境时让IRM参与。
同样,在审计阶段,IRM也应获取对客户IT策略和IT基础设施及运营的理解。
通常,我们往往通过与IT部门的关键人员包括与CIO的交谈来获取以上信息。
在此时,我们建议应有一名审计人员陪同IRM人员一起与客户交谈(参见附件E4和E5,对了解客户业务和对IT策略及运行环境的的进一步探讨)。
通过询问、观察、检查文件和分析性程序的应用,并结合我们以前的经验,我们才能对客户的控制环境充分了解以保证我们能有效地制定审计计划和评价所获取的审计证据。