KPMG审记与咨询业务中心内部控制测试指南2001年5月目录1．概论1 1．1如何运用于所有的审计项目2 2．审计工作进程3 2．1战略性分析32．2流程分析42．3其它审计步骤及报告4 3．企业的控制环境54．流程分析和基于内部控制的审计方法74．1理解流程74．2理解流程层面的经营风险和财务报表风险74．3识别相关的(经营方面的和财务报表方面的)控制点84．4选择某一分组的控制点进行测试，以及控制设计测试94．5对已选择的控制点进行控制执行测试10 4．5．1测试手段104．5．2测试工作的目的和性质114．5．3测试工作的样本量124．5．4测试的时间安排13 4．6评价测试结果144．7记录测试结果144．8在内部控制测试时的决策树16附录A名词解释18B内部控制测试实例20B．1战略性经营风险(“SBR”) 20B．2重要交易事项(“SCOT”) 20 C内部控制的类别C．1授权C．2配置/帐项映射的控制C．3预警报告C．4界面/转换控制C．5主要运营指标C．6管理层审阅C．7稽核C．8职责划分C．9系统访问权限D测试手段D．1确证征询D．2文件检查D．3能力评估D．4系统调阅E信息风险管理专家(IRM)在审计中的作用1概论KPMG编写“内部控制测试指南”的目的是为KPMG的审计人员进行内部控制测试工作提供一些帮助。

基于内部控制的审计方法(system-basedapproach)是指按照KPMG审计手册(KAM)进行的财务报表审计。

它既要考虑人工控制，也要考虑IT控制，还要求信息风险管理(IRM)专家的适当参与。

在按照KAM审计的过程中，我们并不计划对所有的审计目标实施实质性测试，(“完全实质测试审计”)，这就需要通过进行各种分析以确定客户的重大错报风险(ROSM，固有风险与控制风险之积)低于最高水平。

根据KAM，只有获得了关于客户内控制度的设计及执行是有效的证据，才能认为客户的ROSM低于最高水平。

不仅如此，将ROSM评估为高，通常是因为控制测试显示客户的相关内控制度设计不合理或是未得到有效的执行，而不是因为我们基于成本效益的原则而不打算进行控制测试。

请参见4.8部分“在内部控制测试时的决策树”。

本指南包含了控制测试的理论和实例。

本指南也描述了KAM工作进程的概况，但主要探讨如何在流程分析阶段(ProcessAnalysis)理解和测试客户的内控制度，从而完成按KAM要求的基于内部控制的审计。

本指南的基础是与国际审计准则(IAS)相一致的KAM。

本指南包含四部分：一、审计工作进程这部分将简要回顾KAM的工作进程，并且着重于以下三部分内容：理解战略性经营风险(SBRs);理解重要交易事项(“SCOTs”)；以及对关键控制流程(KeyBusinessProcess)进行分析(关键控制流程指管理SBRs或者产生、处理和记录SCOTs的流程)。

二、企业的控制环境(Controlenvironment)这部分将简要回顾KAM关于企业控制环境的论述，企业的控制环境是其它各控制环节的基础。

三、流程分析(ProcessAnalysis)---基于内部控制的审计方法(System-basedapproach)这部分着重于流程分析(ProcessAnalysis)，包括识别流程层面的风险和控制点(Process-levelrisksandcontrols)以及内部控制测试。

四、附录A、名词解释B、内部控制测试实例这些实例将说明在各种流程中存在的一套控制点。

这些实例不是完美无缺的，但可以作为识别流程中的控制点的出发点。

C、内部控制的类别本指南对众多的控制点按照可采用何种控制设计测试与执行测试的方法进行了分类。

在附录B“内部控制测试实例”中的每个控制点都已被分类。

D、测试手段本指南的正文已探讨了KAM中提及的控制测试手段。

有些测试手段也可以组合起来使用以获取关于控制系统执行有效性的证据。

这些手段在附录D中有更详细的描述。

E、信息风险管理专家(IRM)在审计中的作用IRM可以显著地提升审计的价值，在某些情况下，在战略性分析和流程分析中必须应用IRM。

如何在审计中恰当地运用IRM的探讨将贯穿本指南，同时，附录E中更详细地探讨了如何恰当运用IRM。

1.1如何运用于所有的审计项目本指南可以运用于无论大小所有的审计项目。

虽然大型企业可能面临更为严格的向公众报告的要求，但是小型企业与大型企业对良好的控制确有同样的需求。

良好的控制事实上也存在于小型的企业，这些控制从表面上与大型企业的有可能不同，下面是它们的主要区别：n小型企业中的沟通过程是不太正式的，在仅有几个人和有限的管理层次的组织中，口头的交流可能比书面交流更为有效。

n监督是由高层管理者完成的，通常同时也是企业所有者，而不是存在一个有外部人员参与的董事会。

n小型企业的管理风格可以被称为是“自己动手”(hands-on)，这意味着管理当局亲自动手执行计划。

在许多的领域，管理当局更乐于采用直接的询问和观察的方法来对企业监控，而不是依赖正式的报告。

n小型企业中可能没有内部审计人员，不过在一些特定的项目上，也许管理当局或者是会计人员会不断进行检测。

n上述几点适用于一个仅有几层管理层级的简单的组织，这样的组织更依赖管理当局直接审阅。

本指南中提及的测试方法和手段同样可以应用于这些不太复杂的组织。

事实上，在很多情况下，如果能很好的理解这些不太复杂的控制流程，应用基于内部控制的审计方法(system-basedapproach)会更容易。

n小型企业中的控制程序和责任划分并不象大型企业中那么完整，管理者直接的监督是更为重要的。

n在小型企业中的自我检查过程是很不正式的，这种检查更可能是依赖于经验或非正式的反思。

小型企业经常依赖于外部的帮助，特别是他们的外部审计师。

2 审计工作进程(Workflow)2.1 战略性分析(StrategicAnalysis)披露管理SBR 地认识和了解以下几个方面：n对财务报表有重大影响的战略性经营风险(SBRs)：企业管理层为了达到企业的经营目标而选用不同的战略，战略性经营风险(SBRs)也相应不同。

这些风险对财务报表的潜在影响需要在财务报表中进行会计估计，或要求管理当局做出合适的表达和披露。

战略性经营风险(SBRs)还包括与计算机信息系统相关联的风险(IT 经营风险)。

当理解这种风险的重要性时，我们应该考虑计算机信息系统在财务报告过程中的重要性和与之相关的战略性经营风险。

我们可以使用风险分析模块(RAMs)来评估战略性IT 经营风险。

风险分析模块(RAMs)能帮助我们从战略层面考虑客户使用技术所引起的风险的程度。

在KPMG 的审计人员决定是否使用风险分析模块(RAMs)时，可以先用附录E3的问题做一下自测。

n对财务报表和我们的审计有重大影响的重要交易事项(SCOTs)：重要交易事项(SCOTs)是指，根据我们的判断，具有相同特点、属性、或者性质的，数量较大的一组交易。

在理解企业经营的过程中，我们还要：n理解企业的控制环境，进而决定我们对内部控制的测试方法。

我们也会考虑计算机信息系统能够如何影响审计(参见第三章)。

n初步判断是否需要信息风险管理专家(IRM)来评估、描述和测试IT 的风险和控制点。

这些控制点与客户的经营和战略相配合，并植根于关键控制流程中。

n使用附录E1‘战略性分析--初步判断是否需要信息风险管理专家(IRM)的参与’所提示的问题来确定某些要求信息风险管理专家(IRM)参与财务报表审计的情况是否存在。

如果我们确定IT风险不大，并且附录E1中描述的客户情况不存在，就不必在审计中引入IT 专家。

如果附录E1中描述的客户情况存在，就要考虑让信息风险管理专家(IRM)参与战略性分析过程。

接下来我们要找出如下控制流程：n 管理战略性经营风险(SBRs)的；或者n产生、处理并在财务报表中记录重要交易事项(SCOTs)的。

这些控制流程被称为关键控制流程。

我们对每一个关键控制流程都进行流程分析。

2.2 流程分析管理SBR产生、处理和记录SCOT*包含识别/确认审计目标**包含控制设计测试和预估ROSM我们在流程分析过程中的工作如上图所示。

无论这个关键控制流程是关于某个SBR 的还是某个SCOT 的或如何特殊，所做的工作都是相同的。

关于流程分析的进一步探讨请见第四章。

2.3 其它审计步骤及报告在其它审计步骤及报告阶段，我们执行其它审计步骤(实质性测试程序)，从而获得充分的审计证据来形成我们的审计意见。

我们还应向客户报告我们的审计发现。

通过其它审计步骤及报告阶段的工作，我们能够评估审计差异，对审计目标做出结论，形成审计意见和报告审计发现。

关键控理解 理解风识别相关控制点进行控制执计划其它分析性程详细测试3企业的控制环境理解企业的经营也包括理解其控制环境。

企业的控制环境包括企业的政策和程序，它们是企业为实现其经营目标而采取的行动和所做出的决策的有机组成部分。

企业的控制环境界定了企业的风格和员工的控制意识。

它是內部控制其他组成部分的基础，并为它们提供了基本框架和原则。

控制环境包括以下因素：n道德品行n工作能力n董事会或审计委员会的参与n管理哲学和风格n组织结构n授权和责任的分配n人事政策和实务另外，企业的控制环境还包括：n信息的交流；以及n计算机信息系统企业之所以需要控制环境是因为董事们要确保管理当局既努力实现良好的业绩，又按照允许的规矩经营。

对于管理当局而言，他们又需要确保员工们按照他们的要求行动。

鉴于董事和管理当局不可能参与企业的每一项决定和活动，因此他们建立了企业控制环境。

企业的控制环境取决于企业的规模和业务的复杂程度，以及董事和管理层的经营管理哲学和风格。

在企业的控制环境中，计算机信息系统的重要性日益突出。

因而，我们对它的了解应足以保证我们能有效地制定审计计划和评价所获取的审计证据。

对于计算机信息系统，我们需要了解的方面包括：n企业对计算机信息系统的依赖程度n计算机信息系统的功能和所能提供的信息资源n信息的安全性n计算机信息系统的可信赖程度n计算机信息系统的变动程度和频繁程度n对外部计算机处理的依赖程度n计算机信息系统的管理和运行如果初步评估(参见附录E1)决定使用IRM，那么，我们就应考虑在理解企业的控制环境时让IRM参与。

同样，在审计阶段，IRM也应获取对客户IT策略和IT基础设施及运营的理解。

通常，我们往往通过与IT部门的关键人员包括与CIO的交谈来获取以上信息。

在此时，我们建议应有一名审计人员陪同IRM人员一起与客户交谈(参见附件E4和E5，对了解客户业务和对IT策略及运行环境的的进一步探讨)。

通过询问、观察、检查文件和分析性程序的应用，并结合我们以前的经验，我们才能对客户的控制环境充分了解以保证我们能有效地制定审计计划和评价所获取的审计证据。