kpmg 内部控制测试指南 / Controls Gu idance Draft Translation V1.1 KPMG 审记与咨询业务中心 内部控制测试指南 2001 年5 月 目录 1. 概论 1 1. 1 如何运用于所有的审计项目 2 2. 审计工作进程 3 2.1 战略性分析 3 2.2 流程分析 4 2.3 其它审计步骤及报告 4 3.企业的控制环境 5 4.流程分析和基于内部 控制的审计方法 7 4.1 理解流程 7 4.2 理解流程层面的经营风险和财务报表风险 7 4.3 识别相关的(经营方面的和财务报表方面的)控制点 8 4.4 选择某一分组的控制点进行测试,以及控制设计测试 9 4.5 对已选择的控制点进行控制执行测试 10 4.5.1 测试手段 10 4.5.2 测试工作的目的和性质 11 4.5.3 测试工作的样本量 12 4.5.4 测试的时间安排 13 4.6 评价测试结果 14 4.7 记录测试结果 14 4.8 在内部控制测试时的决策树 16 附录 A 名词解释 18 B 内部控制测试实例 20 B.1 战略性经营风险(“SBR”) 20 B.2 重要交易事项(“SCOT”) 20 C 内部控制的类别 C.1 授权 C.2 配置/帐项映射的控制 C.3 预警报告 C.4 界面/转换控制 C.5 主要运营指标 C.6 管理层审阅 C.7 稽核 C.8 职责划分 C.9 系统访问权限 D 测试手段 D.1 确证征询 D.2 文件检查 kpmg 内部控制测试指南 / Controls Gu idance Draft Translation V1.1 D.3 能力评估 D.4 系统调阅 E 信息风险管理专家(IRM)在审计中的作用 kpmg 内部控制测试指南 / Controls Gu idance Draft Translation V1.1 1 1 概论 KPMG编写“内部控制测试指南”的目的是为 KPMG的审计人员进行内部控制测试工作提供一些帮助。 基于内部控制的审计方法(system-based approach)是指按照 KPMG审计手册(KAM)进行的财务报表审计。它既要考虑人工控制,也要考虑 IT控制,还要求信息风险管理(IRM)专家的适当参与。 在按照 KAM审计的过程中,我们并不计划对所有的审计目标实施实质性测试,(“完全实质测试审计”),这就需要通过进行各种分析以确定客户的重大错报风险(ROSM,固有风险与控制风险之积)低于最高水平。 根据 KAM,只有获得了关于客户内控制度的设计及执行是有效的证据,才能认为客户的 ROSM低于最高水平。不仅如此,将 ROSM评估为高,通常是因为控制测试显示客户的相关内控制度设计不合理或是未得到有效的执行,而不...