KPMG内部控制测试指南

kpmg 内部控制测试指南 / Controls Guidance

Draft Translation V1.1

2

2.1

审计工作进程(Workflow)

战略性分析(Strategic Analysis)

理解企业的经营 (Business understanding)

会计估计 日常交易和 战略性经营风险 重要交易事项 表达与 (SBRs) (SCOTs) 偶尔交易 披露

管理SBR 关键流程 产生、处理和记录SCOT

(Key processes)

在战略分析过程中我们通过了解企业和其所在行业的情况、询问企业人员和实施分析程序，得到企业经营的基本情况。这些情况足以使我们充分地认识和了解以下几个方面：

? 对财务报表有重大影响的战略性经营风险(SBRs)：企业管理层为了达到企

业的经营目标而选用不同的战略，战略性经营风险(SBRs)也相应不同。这些风险对财务报表的潜在影响需要在财务报表中进行会计估计，或要求管理当局做出合适的表达和披露。

战略性经营风险(SBRs)还包括与计算机信息系统相关联的风险(IT经营风险)。当理解这种风险的重要性时，我们应该考虑计算机信息系统在财务报告过程中的重要性和与之相关的战略性经营风险。

我们可以使用风险分析模块(RAMs)来评估战略性IT经营风险。风险分析模块(RAMs)能帮助我们从战略层面考虑客户使用技术所引起的风险的程度。在KPMG的审计人员决定是否使用风险分析模块(RAMs)时，可以先用附录E3的问题做一下自测。

? 对财务报表和我们的审计有重大影响的重要交易事项(SCOTs)：重要交易

事项(SCOTs)是指，根据我们的判断，具有相同特点、属性、或者性质的，数量较大的一组交易。

在理解企业经营的过程中，我们还要：

? 理解企业的控制环境，进而决定我们对内部控制的测试方法。我们也会考

虑计算机信息系统能够如何影响审计 (参见第三章)。

? 初步判断是否需要信息风险管理专家(IRM)来评估、描述和测试IT的风险

和控制点。这些控制点与客户的经营和战略相配合，并植根于关键控制流程中。

3

kpmg

?

内部控制测试指南 / Controls Guidance

Draft Translation V1.1

使用附录E1‘战略性分析--初步判断是否需要信息风险管理专家(IRM)的参与’所提示的问题来确定某些要求信息风险管理专家(IRM)参与财务报表审计的情况是否存在。如果我们确定IT风险不大，并且附录E1中描述的客户情况不存在，就不必在审计中引入IT专家。如果附录E1中描述的客户情况存在，就要考虑让信息风险管理专家(IRM)参与战略性分析过程。

接下来我们要找出如下控制流程：

? 管理战略性经营风险(SBRs)的；或者

? 产生、处理并在财务报表中记录重要交易事项(SCOTs)的。

这些控制流程被称为关键控制流程。我们对每一个关键控制流程都进行流程分析。

2.2

关键控制流程 流程分析

? 管理SBR ? 产生、处理和记录SCOT 理解 流程 理解风险* 识别相关控制点 选择控制点进行测试 ** 进行控制执行测试 计划其它审计步骤 * 包含识别/确认审计目标 ** 包含控制设计测试和预估ROSM 分析性程序 详细测试 我们在流程分析过程中的工作如上图所示。无论这个关键控制流程是关于某个SBR的还是某个SCOT的或如何特殊，所做的工作都是相同的。关于流程分析的进一步探讨请见第四章。

2.3 其它审计步骤及报告

在其它审计步骤及报告阶段，我们执行其它审计步骤(实质性测试程序)，从而获得充分的审计证据来形成我们的审计意见。我们还应向客户报告我们的审计发现。

通过其它审计步骤及报告阶段的工作，我们能够评估审计差异，对审计目标做出结论，形成审计意见和报告审计发现。

4

kpmg 内部控制测试指南 / Controls Guidance

Draft Translation V1.1

3 企业的控制环境

理解企业的经营也包括理解其控制环境。企业的控制环境包括企业的政策和程序，它们是企业为实现其经营目标而采取的行动和所做出的决策的有机组成部分。

企业的控制环境界定了企业的风格和员工的控制意识。它是內部控制其他组成部分的基础，并为它们提供了基本框架和原则。控制环境包括以下因素：

? ? ? ? ? ? ?

道德品行 工作能力

董事会或审计委员会的参与 管理哲学和风格 组织结构

授权和责任的分配 人事政策和实务

另外，企业的控制环境还包括： ? 信息的交流；以及 ? 计算机信息系统

企业之所以需要控制环境是因为董事们要确保管理当局既努力实现良好的业绩，又按照允许的规矩经营。对于管理当局而言，他们又需要确保员工们按照他们的要求行动。鉴于董事和管理当局不可能参与企业的每一项决定和活动，因此他们建立了企业控制环境。

企业的控制环境取决于企业的规模和业务的复杂程度，以及董事和管理层的经营管理哲学和风格。

在企业的控制环境中，计算机信息系统的重要性日益突出。因而，我们对它的了解应足以保证我们能有效地制定审计计划和评价所获取的审计证据。对于计算机信息系统，我们需要了解的方面包括：

? 企业对计算机信息系统的依赖程度

? 计算机信息系统的功能和所能提供的信息资源 ? 信息的安全性

? 计算机信息系统的可信赖程度

? 计算机信息系统的变动程度和频繁程度 ? 对外部计算机处理的依赖程度 ? 计算机信息系统的管理和运行

如果初步评估(参见附录E1)决定使用IRM，那么，我们就应考虑在理解企业的控制环境时让IRM参与。同样，在审计阶段，IRM也应获取对客户IT策略和IT基础设施及运营的理解。通常，我们往往通过与IT部门的关键人员包括与CIO的交谈来获取以上信息。在此时，我们建议应有一名审计人员陪同IRM人员一起与客户交谈(参见附件E4和 E5，对了解客户业务和对IT策略及运行环境的的进一步探讨)。

5

kpmg 内部控制测试指南 / Controls Guidance

Draft Translation V1.1

通过询问、观察、检查文件和分析性程序的应用，并结合我们以前的经验，我们才能对客户的控制环境充分了解以保证我们能有效地制定审计计划和评价所获取的审计证据。

我们对企业控制环境的了解能够在以下方面帮助我们：

内控测试。企业的控制环境影响着企业的内部控制的有效性，从而间接影响财务报表。良好的控制环境是对具体控制点的有益补充。但是，良好的控制环境并不能单独决定控制系统的有效性。因而，我们通过控制测试来获取关于具体内控设计和执行有效性的审计证据。

? 发现在随后的审计中需要关注的问题。在了解企业控制环境的同时，我们

也能发现一些在随后的审计中需关注的问题， 才能在随后的审计中决定它们对财务报表和审计的影响。例如，我们可能发现那些对财务报表存在潜在影响的经营风险。

? 发现一些有可能影响我们审计步骤制定的问题。了解企业的控制环境后，

我们需要考虑这些控制环境的特点是否会给我们获取审计证据和执行其它的审计步骤带来困难。我们还需考虑某些控制环境的特点是否会导致管理层及雇员的舞弊。这些考虑可能影响相关审计步骤的制定(例如测试目的、期间或数量)。

? 发现一些客户有待改进的项目。在了解企业的控制环境时，我们可能会发

现其中一些不完善的方面，这些方面可以或者已经导致企业战略未有效执行以及战略性风险未得到适当监控。我们将考虑就这些发现向董事或管理层提出改进建议。

?

6