当前位置:首页 > KPMG内部控制测试指南
kpmg 内部控制测试指南 / Controls Guidance
Draft Translation V1.1
4
流程分析和基于内部控制的审计方法
本章将讨论审计财务报表时如何进行流程分析和采用基于内部控制的审计方法。
在进行流程分析以前,要考虑每一步骤中IRM的参与程度。参阅附录E2.
4.1
理解流程
我们要理解企业如何:
?
管理可能对财务报表产生重大影响的战略性经营风险,确认相关的财务报表影响并形成会计估计或确定表达与披露;以及 处理并在财务报表中记录重要交易事项。
?
具体要了解的内容包括:
? 目标:我们要确定那些与战略性经营风险(SBR)和重要交易事项(SCOT)有
关的流程目标。
?
运作过程(包括投入、产出和关键运作要素(Critical Success Factors)):我们要了解与已认定的流程目标有关的运作过程。 主要运营指标(Key Performance Indicators):我们要找出那些可以衡量已认定的流程目标完成情况的指标,即主要运营指标。
计算机信息系统:我们了解与以上相关的计算机信息系统。如果决定流程分析要使用IRM的工作,那么,IRM人员将在理解流程阶段就参与。
?
?
4.2 理解流程层面的经营风险和财务报表风险
我们要确定那些会威胁流程目标的风险。这些风险包括流程层面的经营风险和财务报表风险。一个管理SBR的关键流程的风险跟一个处理SCOT的关键流程的风险是不同的。
战略性经营风险(SBR)
一个管理SBR的关键流程的风险包括流程层面的经营风险和财务报表风险:
?
流程层面的经营风险 – 对既定流程目标的取得产生威胁、并对财务报表具有潜在影响的风险。只有管理SBR的关键流程才有这种流程层面的经营风险。
财务报表风险(与经营风险相关) – 指剩余经营风险(Residual Business Risk, RBR)不能被准确地反映在财务报表中的的风险,(通常是一个与会计估计或表达与披露有关的问题)将导致在相关帐户余额中的重大差错。
?
重要交易事项
一个管理SCOT的关键流程的风险只有财务报表风险:
7
kpmg
?
内部控制测试指南 / Controls Guidance
Draft Translation V1.1
财务报表风险(与重要交易事项相关) – 指与交易相关的财务报表记录的完整性、存在性和准确性的风险。
附录B给出了流程层面经营风险和财务报表风险的一些例子。
4.3 识别相关的(经营方面和财务报表方面的)控制点
我们要识别那些能预防、检查并纠正财务报表中的错误的控制点。这样的控制点可以管理重要的流程层面经营风险(经营控制点)或财务报表风险(财务报表控制点)。这些控制点既有人工的,也有自动的;既有事前预防型的,也有事后检查型的。与4.2节“理解风险”类似,与经营风险相关的控制点和与重要交易事项相关的控制点略有不同。
战略性经营风险(SBR)
当对一个SBR做相关的流程分析时,我们要了解流程层面经营风险的控制点(经营控制点)。经营控制点管理之下的经营风险成为剩余经营风险(Residual Business Risk, RBR),我们也要了解RBR。然后我们要了解会计估计或表达与披露发生重大错误的可能性(即财务报表风险),并且集中研究管理层如何形成会计估计或确定表达与披露(财务报表控制点)。定义如下:
? 经营控制点 - 降低流程层面经营风险的控制点。这些控制点有助于我们
了解和判断影响财务报表的剩余经营风险。理解经营控制点可以帮助我们评估相关审计目标的重大错报的风险(ROSM)。
? 财务报表控制点(与经营风险相关) - 管理层在财务报表中反映剩余经营
风险(RBR)对报表影响的工作流程 (通常表现为会计估计、表达与披露)。
重要交易事项(SCOT)
当对一个SCOT做相关的流程分析时,我们要考虑那些控制交易的完整性、存在性、准确性和表达的控制点。定义如下:
? 财务报表控制点(与重要交易事项相关) – 管理层设置这些控制点来保证
财务报表记录交易的完整性、存在性和准确性。
以下是管理层可能应用的各类控制点 (包括人工的与自动的):
? 授权
? 配置/帐项映射的控制 ? 预警报告
? 界面/转换控制 ? 主要运营指标 ? 管理层审阅 ? 稽核
? 责任划分 ? 系统访问权限
如果我们能够将已识别的控制点归类到以上某一类中,就可以在计划控制设计测试和控制执行测试时参考本指南的相应部分。(附录C)
8
kpmg 内部控制测试指南 / Controls Guidance
Draft Translation V1.1
自动化控制主要包括配置/ 帐项映射的控制、界面/转换控制和系统访问权限。如果在进行流程分析的时候有信息风险管理专家(IRM)的参与,他们应当帮助识别控制点。
4.4 挑选某一分组的控制点进行测试,以及控制设计测试
挑选控制点进行测试
我们挑选某一组控制点进行测试而并非对企业所拥有的全部控制点进行测试。当选择控制点进行测试的时候,我们挑选一个或多个控制点,这些控制点合起来将会预防、检查并纠正与我们审计的管理层认定相关的重大错报漏报。在选择控制点的时候,通常有效率的作法是首先考虑管理层日常所用的、监控企业目标的实现以及减少经营风险的控制点。在选择控制点的时候,考虑下列有关方面:
? 测试的效率最大化; ? 控制的风险最多;
? 我们过去与客户打交道的经验;以及
? 以长远的眼光考虑多年整体的测试效率。(如,第一年就测试自动化控制
可能在当年需要多一点时间,但以后年度就可以较省力。)
如果在进行流程分析的时候有信息风险管理专家(IRM)的参与,他们应协助选择需测试的控制点。
进行控制设计测试
我们对控制点进行设计测试来获取关于控制设计的审计证据,看其是否设计恰当并且可以预防、检查并纠正重大的错报漏报。控制设计测试是关于控制如果正常运行的话,是否可以预防、检查并纠正报表中与之相关的重大错报漏报,以及企业是否应用此控制方法。
我们在进行控制设计测试时采用的程序包括: ? 检查文件记录
? 向适当的人员进行询问
? 我们以前与此企业打交道的经验
仅仅进行询问(Enquiry)是不能提供充分适当的审计证据来证明控制设计是有效的。我们还应当考虑我们以前与客户打交道时取得的证据。
在测试中我们应当考虑: ? 控制点可以减少的风险 ? 控制是如何实行的 ? 控制点的频率
? 执行控制的人员是否胜任及其经验(如果是人工控制),以及 ? 可能被监测出来的错报漏报的大小及其性质。
我们将控制设计测试的结果用于对审计目标的ROSM的预评估上。对于我们在测试当中认为控制点是设计合理的地方,我们可以认为在此处的ROSM是小的或者是中等的。
接下来,我们要对控制进行执行测试来获得在整个审计期间控制运行的有效与否的证据。如果控制设计测试已指出某一个控制点是不合理的,我们就应当考虑选择一个不同的控制点进行测试。
9
kpmg 内部控制测试指南 / Controls Guidance
Draft Translation V1.1
如果在选择做测试的控制点中包括自动化控制,例如配置控制,界面控制或系统访问权限控制,应当在测试当中考虑以下几点:
? 保证进行控制设计测试和控制执行测试的审计人员/专家具有适当的知
识、经验和专业技能;
? 在系统实施的期间已经采取的控制测试的范围。如果控制的设计和建立已
在实施期间有专家进行了测试,那么我们可以把我们测试的范围限制在控制点的更改和维护上(参见附件C内部控制的类别)
4.5 对已经选择的控制点进行控制执行测试
控制执行测试是关于控制是如何运行的、在审计期间控制的运行的一致性、以及是由谁来操作的。
在进行控制执行测试中我们应当考虑到:
? 收集审计证据时我们采用的手段 ? 测试的目的和性质 ? 测试的样本量
? 测试的时间安排(以便证明在整个一年当中控制都是正常有序运行的)
下面是对于应考虑问题的具体的讨论。如果客户在同一期间内不同的时间段里有不同的内部控制的话,我们会就每一种控制分别进行考虑。
4.5.1 测试手段
要获取内部控制有效运行的审计证据,有许多测试手段:
? 观察:即观察内部控制运行的实际情况;例如,实地观察清点存货。 ? 询问:我们可通过询问客户的有关人员以获取内部控制运行的信息。例
如,对于 賒销的控制,我们可以询问客户其认为可收回的应收帐款的金额是多少,账龄如何,及将会采取的措施。
? 文件检查:即检查内部控制生成的记录和文件。例如,检查银行存款余额
调节表,以作为内控 有效实施的证据。
? 重新执行:我们可能会重新执行某些内部控制程序,以证明其运行是正确
的。例如,重新进行信用状况分析。
上面所讨论的这些手段都是标准的测试手段,当我们把它们综合运用的时候,就形成其他一些测试方法,可以用来获得充分适当的证据以证明企业内部控制运行是有效的。这些综合性的方法包括:
? 能力评估:审计人员综合使用询问、文件检查和重新执行等手段,可测试
某个管理人员在某一领域的知识或者其实施某项控制的胜任能力。
? 确证征询:审计人员可通过向企业中其他人员(“确证者”)了解内控的运
行并获得肯定,来证实内部控制是有效运行的。这种求证主要是为了确定内控点的实施是有效的,并且运行始终如一。
? 系统调阅:审计人员可测试IT支持的自动化控制是否按设计要求运行。
此类的控制点包括:
? 系统会准确地判别预先定义好的例外事项 (这些例外事项可能是
与系统输入、数据处理和输出结果的完整性和准确性有关的)。 ? 系统内设立进入口令和数据逻辑流,从而实现职责划分和交易授
权。
10
本文作者:...共分享92篇相关文档
