内部控制测试与指南.doc

KPMG审记与咨询业务中心 内部控制测试指南 2001年5月 目录 1． 概论 1 1． 1如何运用于所有的审计项目 2 2． 审计工作进程 3 2．1 战略性分析 3 2．2 流程分析 4 2．3 其它审计步骤及报告 4 3．企业的控制环境 5 4．流程分析和基于内部 控制的审计方法 7 4．1 理解流程 7 4．2 理解流程层面的经营风险和财务报表风险 7 4．3 识别相关的(经营方面的和财务报表方面的)控制点 8 4．4 选择某一分组的控制点进行测试，以及控制设计测试 9 4．5 对已选择的控制点进行控制执行测试 10 4．5．1 测试手段 10 4．5．2 测试工作的目的和性质 11 4．5．3 测试工作的样本量 12 4．5．4测试的时间安排 13 4．6 评价测试结果 14 4．7 记录测试结果 14 4．8 在内部控制测试时的决策树 16 附录 A 名词解释 18 B 内部控制测试实例 20 B．1 战略性经营风险(“SBR”) 20 B．2 重要交易事项(“SCOT”) 20 C 内部控制的类别 C．1 授权 C．2 配置/帐项映射的控制 C．3 预警报告 C．4 界面/转换控制 C．5 主要运营指标 C．6 管理层审阅 C．7 稽核 C．8 职责划分 C．9 系统访问权限 D 测试手段 D．1 确证征询 D．2 文件检查 D．3 能力评估 D．4 系统调阅 E 信息风险管理专家(IRM)在审计中的作用 1 概论 KPMG编写“内部控制测试指南”的目的是为KPMG的审计人员进行内部控制测试工作提供一些帮助。 基于内部控制的审计方法(system-based approach)是指按照KPMG审计手册(KAM)进行的财务报表审计。它既要考虑人工控制，也要考虑IT控制，还要求信息风险管理(IRM)专家的适当参与。 在按照KAM审计的过程中，我们并不计划对所有的审计目标实施实质性测试，(“完全实质测试审计”)，这就需要通过进行各种分析以确定客户的重大错报风险(ROSM，固有风险与控制风险之积)低于最高水平。 根据KAM，只有获得了关于客户内控制度的设计及执行是有效的证据，才能认为客户的ROSM低于最高水平。不仅如此，将ROSM评估为高，通常是因为控制测试显示客户的相关内控制度设计不合理或是未得到有效的执行，而不是因为我们基于成本效益的原则而不打算进行控制测试。请参见4.8部分“在内部控制测试时的决策树”。 本指南包含了控制测试的理论和实例。本指南也描述了KAM工作进程的概况，但主要探讨如何在流程分析阶段(Process Analysis)理解和测试客户的内控制度，从而完成按KAM要求的基于内部控制的审计。本指南的基础是与国际审计准则(IAS)相一致的KAM。 本指南包含四部分： 一、 审计工作进程 这部分将简要回顾KAM的工作进程，并且着重于以下三部分内容：理解战略性经营风险(SBRs); 理解重要交易事项(“SCOTs”)；以及对关键控制流程(Key Business Process)进行分析(关键控制流程指管理SBRs或者产生、处理和记录SCOTs的流程)。 二、 企业的控制环境(Control environment) 这部分将简要回顾KAM关于企业控制环境的论述，企业的控制环境是其它各控制环节的基础。 三、 流程分析(Process Analysis)--- 基于内部控制的审计方法(System-based approach) 这部分着重于流程分析(Process Analysis)，包括识别流程层面的风险和控制点(Process-level risks and controls)以及内部控制测试。 四、 附录 A、 名词解释 B、 内部控制测试实例 这些实例将说明在各种流程中存在的一套控制点。这些实例不是完美无缺的，但可以作为识别流程中的控制点的出发点。 C、 内部控制的类别 本指南对众多的控制点按照可采用何种控制设计测试与执行测试的方法进行了分类。在附录B“内部控制测试实例”中的每个控制点都已被分类。 D、 测试手段 本指南的正文已探讨了KAM 中提及的控制测试手段。有些测试手段也可以组合起来使用以获取关于控制系统执行有效性的证据。这些手段在附录D中有更详细的描述。 E、 信息风险管理专家(IRM)在审计中的作用 IRM可以显著地提升审计的价值，在某些情况下，在战略性分析和流程分析中必须应用IRM。如何在审计中恰当地运用IRM的探讨将贯穿本指南，同时，附录E中更详细地探讨了如何恰当运用IRM。 1.1 如何运用于所有的审计项目 本指南可以运用于无论大小所有的审计项目。虽然大型企业可能面临更为严格的向公众报告的要求，但是小型企业与大型企业对良好的控制确有同样的需求。良好的控制事实上也存在于小型的企业，这些控制从表面上与大型企业的有可能不同，下面是它们的主要区别： n 小型企业中的沟通过程是不太正式的，在仅有几个人和有限的管理层次的组织中，口头的交流可能比书面交流更为有效。 n 监督是由高层管理者完成的，通常同时也是企业所有者，而不是存在一个有外部人员参与的董事会。 n 小型企业的管理风格可以被称为是“自己动手”(hands-on)，这意味着管理当局亲自动手执行计划。在许多的领域，管理当局更乐于采用直接的询问和观察的方法来对企业监控，而不是依赖正式的报告。 n 小型企业中可能没有内部审计人员，不过在一些特定的项目上，也许管理当局或者是会计人员会不断进行检测。 n 上述几点适用于一个仅有几层管理层级的简单的组织，这样的组织更依赖管理当局直接审阅。本指南中提及的测试方法和手段同样可以应用于这些不太复杂的组织。事实上，在很多情况下，如果能很好的理解这些不太复杂的控制流程，应用基于内部控制的审计方法(system-based approach)会更容易。 n 小型企业中的控制程序和责任划分并不象大型企业中那么完整，管理者直接的监督是更为重要的。 n 在小型企业中的自我检查过程是很不正式的，这种检查更可能是依赖于经验或非正式的反思。小型企业经常依赖于外部的帮助，特别是他们的外部审计师。 2 审计工作进程(Workflow) 2.1 战略性分析(Strategic Analysis) 理解企业的经营 (Business understanding) 重要交易事项 (SCOTs) 战略性经营风险 (SBRs) 会计估计 日常交易和 表达与 偶尔交易 披露 关键流程 (Key processes) 管理SBR 产生、处理和记录SCOT 在战略分析过程中我们通过了解企业和其所在行业的情况、询问企业人员和实施分析程序，得到企业经营的基本情况。这些情况足以使我们充分地认识和了解以下几个方面： n 对财务报表有重大影响的战略性经营风险(SBRs)：企业管理层为了达到企业的经营目标而选用不同的战略，战略性经营风险(SBRs)也相应不同。这些风险对财务报表的潜在影响需要在财务报表中进行会计估计，或要求管理当局做出合适的表达和披露。 战略性经营风险(SBRs)还包括与计算机信息系统相关联的风险(IT经营风险)。当理解这种风险的重要性时，我们应该考虑计算机信息系统在财务报告过程中的重要性和与之相关的战略性经营风险。 我们可以使用风险分析模块(RAMs)来评估战略性IT经营风险。风险分析模块(RAMs)能帮助我们从战略层面考虑客户使用技术所引起的风险的程度。在KPMG的审计人员决定是否使用风险分析模块(RAMs)时，可以先用附录E3的问题做一下自测。 n 对财务报表和我们的审计有重大影响的重要交易事项(SCOTs)：重要交易事项(SCOTs)是指，根据我们的判断，具有相同特点、属性、或者性质的，数量较大的一组交易。 在理解企业经营的过程中，我们还要： n 理解企业的控制环境，进而决定我们对内部控制的测试方法。我们也会考虑计算机信息系统能够如何影响审计 (参见第三章)。 n 初步判断是否需要信息风险管理专家(IRM)来评估、描述和测试IT的风险和控制点。这些控制点与客户的经营和战略相配合，并植根于关键控制流程中。 n 使用附录E1‘战略性分析--初步判断是否需要信息风险管理专家(IRM)的参与’所提示的问题来确定某些要求信息风险管理专家(IRM)参与财务报表审计的情况是否存在。如果我们确定IT风险不大，并且附录E1中描述的客户情况不存在，就不必在审计中引入IT专家。如果附录E1中描述的客户情况存在，就要考虑让信息风险管理专家(IRM)参与战略性分析过程。 接下来我们要找出如下控制流程： n 管理战略性经营风险(SBRs)的；或者 n 产生、处理并在财务报表中记录重要交易事项(SCOTs)的。 这些控制流程被称为关键控制流程。我们对每一个关键控制流程都进行流程分析。 2.2 流程分析 关键控制流程 理解 流程 理解风险* 识别相关控制点 选择控制点进行测试 ** 进行控制执行测试 计划其它审计步骤 分析性程序 详细测试 § 管理SBR § 产生、处理和记录SCOT * 包含识别/确认审计目标 ** 包含控制设计测试和预估ROSM 我们在流程分析过程中的工作如上图所示。无论这个关键控制流程是关于某个SBR的还是某个SCOT的或如何特殊，所做的工作都是相同的。关于流程分析的进一步探讨请见第四章。 2.3 其它审计步骤及报告 在其它审计步骤及报告阶段，我们执行其它审计步骤(实质性测试程序)，从而获得充分的审计证据来形成我们的审计意见。我们还应向客户报告我们的审计发现。 通过其它审计步骤及报告阶段的工作，我们能够评估审计差异，对审计目标做出结论，形成审计意见和报告审计发现。 3 企业的控制环境 理解企业的经营也包括理解其控制环境。企业的控制环境包括企业的政策和程序，它们是企业为实现其经营目标而采取的行动和所做出的决策的有机组成部分。 企业的控制环境界定了企业的风格和员工的控制意识。它是內部控制其他组成部分的基础，并为它们提供了基本框架和原则。控制环境包括以下因素： n 道德品行 n 工作能力 n 董事会或审计委员会的参与 n 管理哲学和风格 n 组织结构 n 授权和责任的分配 n 人事政策和实务 另外，企业的控制环境还包括： n 信息的交流；以及 n 计算机信息系统 企业之所以需要控制环境是因为董事们要确保管理当局既努力实现良好的业绩，又按照允许的规矩经营。对于管理当局而言，他们又需要确保员工们按照他们的要求行动。鉴于董事和管理当局不可能参与企业的每一项决定和活动，因此他们建立了企业控制环境。 企业的控制环境取决于企业的规模和业务的复杂程度，以及董事和管理层的经营管理哲学和风格。 在企业的控制环境中，计算机信息系统的重要性日益突出。因而，我们对它的了解应足以保证我们能有效地制定审计计划和评价所获取的审计证据。对于计算机信息系统，我们需要了解的方面包括： n 企业对计算机信息系统的依赖程度 n 计算机信息系统的功能和所能提供的信息资源 n 信息的安全性 n 计算机信息系统的可信赖程度 n 计算机信息系统的变动程度和频繁程度 n 对外部计算机处理的依赖程度 n 计算机信息系统的管理和运行 如果初步评估(参见附录E1)决定使用IRM，那么，我们就应考虑在理解企业的控制环境时让IRM参与。同样，在审计阶段，IRM也应获取对客户IT策略和IT基础设施及运营的理解。通常，我们往往通过与IT部门的关键人员包括与CIO的交谈来获取以上信息。在此时，我们建议应有一名审计人员陪同IRM人员一起与客户交谈(参见附件E4和 E5，对了解客户业务和对IT策略及运行环境的的进一步探讨)。 通过询问、观察、检查文件和分析性程序的应用，并结合我们以前的经验，我们才能对客户的控制环境充分了解以保证我们能有效地制定审计计划和评价所获取的审计证据。 我们对企业控制环境的了解能够在以下方面帮助我们： n 内控测试。企业的控制环境影响着企业的内部控制的有效性，从而间接影响财务报表。良好的控制环境是对具体控制点的有益补充。但是，良好的控制环境并不能单独决定控制系统的有效性。因而，我们通过控制测试来获取关于具体内控设计和执行有效性的审计证据。 n 发现在随后的审计中需要关注的问题。在了解企业控制环境的同时，我们也能发现一些在随后的审计中需关注的问题， 才能在随后的审计中决定它们对财务报表和审计的影响。例如，我们可能发现那些对财务报表存在潜在影响的经营风险。 n 发现一些有可能影响我们审计步骤制定的问题。了解企业的控制环境后，我们需要考虑这些控制环境的特点是否会给我们获取审计证据和执行其它的审计步骤带来困难。我们还需考虑某些控制环境的特点是否会导致管理层及雇员的舞弊。这些考虑可能影响相关审计步骤的制定(例如测试目的、期间或数量)。 n 发现一些客户有待改进的项目。在了解企业的控制环境时，我们可能会发现其中一些不完善的方面，这些方面可以或者已经导致企业战略未有效执行以及战略性风险未得到适当监控。我们将考虑就这些发现向董事或管理层提出改进建议。 4 流程分析和基于内部控制的审计方法 本章将讨论审计财务报表时如何进行流程分析和采用基于内部控制的审计方法。 在进行流程分析以前，要考虑每一步骤中IRM的参与程度。参阅附录E2. 4.1 理解流程 我们要理解企业如何： n 管理可能对财务报表产生重大影响的战略性经营风险，确认相关的财务报表影响并形成会计估计或确定表达与披露；以及 n 处理并在财务报表中记录重要交易事项。 具体要了解的内容包括： n 目标：我们要确定那些与战略性经营风险(SBR)和重要交易事项(SCOT)有关的流程目标。 n 运作过程(包括投入、产出和关键运作要素(Critical Success Factors))：我们要了解与已认定的流程目标有关的运作过程。 n 主要运营指标(Key Performance Indicators)：我们要找出那些可以衡量已认定的流程目标完成情况的指标，即主要运营指标。 n 计算机信息系统：我们了解与以上相关的计算机信息系统。如果决定流程分析要使用IRM的工作，那么，IRM人员将在理解流程阶段就参与。 4.2 理解流程层面的经营风险和财务报表风险 我们要确定那些会威胁流程目标的风险。这些风险包括流程层面的经营风险和财务报表风险。一个管理SBR的关键流程的风险跟一个处理SCOT的关键流程的风险是不同的。 战略性经营风险(SBR) 一个管理SBR的关键流程的风险包括流程层面的经营风险和财务报表风险： n 流程层面的经营风险 – 对既定流程目标的取得产生威胁、并对财务报表具有潜在影响的风险。只有管理SBR的关键流程才有这种流程层面的经营风险。 n 财务报表风险(与经营风险相关) – 指剩余经营风险(Residual Business Risk, RBR)不能被准确地反映在财务报表中的的风险，(通常是一个与会计估计或表达与披露有关的问题)将导致在相关帐户余额中的重大差错。 重要交易事项 一个管理SCOT的关键流程的风险只有财务报表风险： n 财务报表风险(与重要交易事项相关) – 指与交易相关的财务报表记录的完整性、存在性和准确性的风险。 附录B给出了流程层面经营风险和财务报表风险的一些例子。 4.3 识别相关的(经营方面和财务报表方面的)控制点 我们要识别那些能预防、检查并纠正财务报表中的错误的控制点。这样的控制点可以管理重要的流程层面经营风险(经营控制点)或财务报表风险(财务报表控制点)。这些控制点既有人工的，也有自动的；既有事前预防型的，也有事后检查型的。与4.2节“理解风险”类似，与经营风险相关的控制点和与重要交易事项相关的控制点略有不同。 战略性经营风险(SBR) 当对一个SBR做相关的流程分析时，我们要了解流程层面经营风险的控制点(经营控制点)。经营控制点管理之下的经营风险成为剩余经营风险(Residual Business Risk, RBR)，我们也要了解RBR。然后我们要了解会计估计或表达与披露发生重大错误的可能性(即财务报表风险)，并且集中研究管理层如何形成会计估计或确定表达与披露(财务报表控制点)。定义如下： n 经营控制点 - 降低流程层面经营风险的控制点。这些控制点有助于我们了解和判断影响财务报表的剩余经营风险。理解经营控制点可以帮助我们评估相关审计目标的重大错报的风险(ROSM)。 n 财务报表控制点(与经营风险相关) - 管理层在财务报表中反映剩余经营风险(RBR)对报表影响的工作流程 (通常表现为会计估计、表达与披露)。 重要交易事项(SCOT) 当对一个SCOT做相关的流程分析时，我们要考虑那些控制交易的完整性、存在性、准确性和表达的控制点。定义如下： n 财务报表控制点(与重要交易事项相关) – 管理层设置这些控制点来保证财务报表记录交易的完整性、存在性和准确性。 以下是管理层可能应用的各类控制点 (包括人工的与自动的)： n 授权 n 配置/帐项映射的控制 n 预警报告 n 界面/转换控制 n 主要运营指标 n 管理层审阅 n 稽核 n 责任划分 n 系统访问权限 如果我们能够将已识别的控制点归类到以上某一类中，就可以在计划控制设计测试和控制执行测试时参考本指南的相应部分。(附录C) 自动化控制主要包括配置/ 帐项映射的控制、界面/转换控制和系统访问权限。如果在进行流程分析的时候有信息风险管理专家(IRM)的参与，他们应当帮助识别控制点。 4.4 挑选某一分组的控制点进行测试，以及控制设计测试 挑选控制点进行测试 我们挑选某一组控制点进行测试而并非对企业所拥有的全部控制点进行测试。当选择控制点进行测试的时候，我们挑选一个或多个控制点，这些控制点合起来将会预防、检查并纠正与我们审计的管理层认定相关的重大错报漏报。在选择控制点的时候，通常有效率的作法是首先考虑管理层日常所用的、监控企业目标的实现以及减少经营风险的控制点。在选择控制点的时候，考虑下列有关方面： n 测试的效率最大化； n 控制的风险最多； n 我们过去与客户打交道的经验；以及 n 以长远的眼光考虑多年整体的测试效率。(如，第一年就测试自动化控制可能在当年需要多一点时间，但以后年度就可以较省力。) 如果在进行流程分析的时候有信息风险管理专家(IRM)的参与，他们应协助选择需测试的控制点。 进行控制设计测试 我们对控制点进行设计测试来获取关于控制设计的审计证据，看其是否设计恰当并且可以预防、检查并纠正重大的错报漏报。控制设计测试是关于控制如果正常运行的话，是否可以预防、检查并纠正报表中与之相关的重大错报漏报，以及企业是否应用此控制方法。 我们在进行控制设计测试时采用的程序包括： n 检查文件记录 n 向适当的人员进行询问 n 我们以前与此企业打交道的经验 仅仅进行询问(Enquiry)是不能提供充分适当的审计证据来证明控制设计是有效的。我们还应当考虑我们以前与客户打交道时取得的证据。 在测试中我们应当考虑： n 控制点可以减少的风险 n 控制是如何实行的 n 控制点的频率 n 执行控制的人员是否胜任及其经验(如果是人工控制)，以及 n 可能被监测出来的错报漏报的大小及其性质。 我们将控制设计测试的结果用于对审计目标的ROSM的预评估上。对于我们在测试当中认为控制点是设计合理的地方，我们可以认为在此处的ROSM是小的或者是中等的。 接下来，我们要对控制进行执行测试来获得在整个审计期间控制运行的有效与否的证据。如果控制设计测试已指出某一个控制点是不合理的，我们就应当考虑选择一个不同的控制点进行测试。 如果在选择做测试的控制点中包括自动化控制，例如配置控制，界面控制或系统访问权限控制，应当在测试当中考虑以下几点： n 保证进行控制设计测试和控制执行测试的审计人员/专家具有适当的知识、经验和专业技能； n 在系统实施的期间已经采取的控制测试的范围。如果控制的设计和建立已在实施期间有专家进行了测试，那么我们可以把我们测试的范围限制在控制点的更改和维护上(参见附件C内部控制的类别) 4.5 对已经选择的控制点进行控制执行测试 控制执行测试是关于控制是如何运行的、在审计期间控制的运行的一致性、以及是由谁来操作的。 在进行控制执行测试中我们应当考虑到： n 收集审计证据时我们采用的手段 n 测试的目的和性质 n 测试的样本量 n 测试的时间安排(以便证明在整个一年当中控制都是正常有序运行的) 下面是对于应考虑问题的具体的讨论。如果客户在同一期间内不同的时间段里有不同的内部控制的话，我们会就每一种控制分别进行考虑。 4.5.1 测试手段 要获取内部控制有效运行的审计证据，有许多测试手段： n 观察：即观察内部控制运行的实际情况；例如，实地观察清点存货。 n 询问：我们可通过询问客户的有关人员以获取内部控制运行的信息。例如，对于 賒销的控制，我们可以询问客户其认为可收回的应收帐款的金额是多少，账龄如何，及将会采取的措施。 n 文件检查：即检查内部控制生成的记录和文件。例如，检查银行存款余额调节表，以作为内控 有效实施的证据。 n 重新执行：我们可能会重新执行某些内部控制程序，以证明其运行是正确的。例如，重新进行信用状况分析。 上面所讨论的这些手段都是标准的测试手段，当我们把它们综合运用的时候，就形成其他一些测试方法，可以用来获得充分适当的证据以证明企业内部控制运行是有效的。这些综合性的方法包括： n 能力评估：审计人员综合使用询问、文件检查和重新执行等手段，可测试某个管理人员在某一领域的知识或者其实施某项控制的胜任能力。 n 确证征询：审计人员可通过向企业中其他人员(“确证者”)了解内控的运行并获得肯定，来证实内部控制是有效运行的。这种求证主要是为了确定内控点的实施是有效的，并且运行始终如一。 n 系统调阅：审计人员可测试IT支持的自动化控制是否按设计要求运行。此类的控制点包括： · 系统会准确地判别预先定义好的例外事项 (这些例外事项可能是与系统输入、数据处理和输出结果的完整性和准确性有关的)。 · 系统内设立进入口令和数据逻辑流，从而实现职责划分和交易授权。 在附录D中会对每一种手段进行进一步的讨论。 4.5.2 测试工作的目的和性质 仅靠一种测试手段本身难以获得充分适当的审计证据，内部控制测试往往需要观察、询问、文件检查和重新执行等手段的综合使用。在决定测试的目的和性质时，应考虑到： n 该项控制会发现的是哪种错报漏报； n 对于发现的错报漏报，企业会有什么样的措施； n 这些错报漏报/例外/调整事项的性质、金额和发生频率是合理的还是严重的。 与此同时，使用的基础数据的可靠性也是我们所应考虑的。在内控测试中，我们会运用专业判断来决定对基础数据进行测试的工作量。而在确定这一测试工作量时，必须考虑到相关的控制点的设计。 有些情况下，某项控制点是为了“曝光”在汇集基础数据中的错误而专门设计的。例如，稽核控制和主要运营指标控制就是为了“曝光” 汇集基础数据的不准确而设计的： n 当准备银行存款余额调节表(一种稽核控制)时，如果未兑现支票(即企业已付，银行未付)在调节表中的数字不准确，则调节表是无法做平的。 n 同样，在对主要运营指标进行分析时，如果基础数据不正确，则分析的结果就会和预期不一致。这里的两个前提是：1)该分析的设计是有效的，其精确程度足以发现重大的错报漏报(依审计人员的定义)； 2)对分析结果的预期是具有足够的精确性的。 在上述这种控制点的设计是为了“曝光” 汇集基础数据中的错误的情况下，我们测试的工作应集中于控制本身的要点。例如： n 对于银行存款余额调节表，我们应关注的是：有无调节表，调节表上的数字是否与客户的会计帐簿记录一致，是否及时编制，是否已做平，所有重大的不寻常的调整项目是否都已采取后续措施来确定有无错误，错误是否已做调整。 n 又如 分析主要运营指标，关键在于我们要理解该项分析的目的，所用数据与会计记录是否一致；要考虑其精确程度，及其是否能发现会导致调整财务报表的或与审计相关的错报漏报；我们可否验证对分析结果的预期(例如，了解该分析的假设基础，计算过程和比率相关性，并评价客户用于衡量行业经营状况的标准等)。 当应用以上概念于那些能“曝光” 汇集基础数据中的错误的内部控制时，审计小组应充分运用专业判断。在做出判断时，应考虑以下几个因素： n 有意操纵数据的风险。我们应关注企业的控制环境、我们以前对其会计系统的理解和它的可靠性、管理层的偏好、对管理信息系统的质量的了解和信息风险管理专家(IRM)对有意操纵的风险的评价； n 审计痕迹。审计人员应把内部控制(稽核、主要运营指标等)所使用、分析的数据与企业会计记录数据联系起来，而后者是审计证据的来源。例如，在总帐明细帐调节表上的总帐余额应能对到企业总帐，以确保形成审计证据的会计数据余额，即企业总帐，是在有效内控下的(即总帐明细帐调节表)； n 内控的精确程度。我们应该确保企业的内部控制点足够精确，能够发现符合审计要求的重大错报漏报。 如果有以上的某一项表明基础数据的汇集可能存在问题，而我们仍然准备对该控制点进行测试，则审计人员必须扩大对基础数据的汇集进行测试的工作量。 当某一内控的目标不是“曝光” 汇集基础数据中的错误时，就必须对基础数据的汇集进行测试。例如，对预警报告中的非正常事项的跟踪调查是建立在报告编辑过程(人工或自动过程)正确的基础之上的。在这种情况下，我们必须对内控是否能访问到准确的原始数据和报告编辑过程的逻辑准确性进行测试。这是因为这类内控功能的实现要依赖基础数据的准确性和报告编辑过程的准确性，而这类内控的功能首先不是用来检查基础数据的准确性的。 4.5.3 测试工作的样本量 当我们对内控进行测试的时候，我们应当运用专业判断来决定测试工作的样本量。我们对企业的内控需要进行充分的测试以合理保证其在整个期间都在有效地运行。审计人员在决定测试工作的样本量的时候应该考虑以下因素： n 负责某个控制点的客户管理人员的胜任能力； n 与某具体控制点相关的控制环境的质量，尤其要考虑管理层越权的可能性和内控在整个期间是否始终运行； n 内控是否曾经变化；和 n 我们以前审计中对客户内控的了解。 我们在运用专业判断时的基本参数有： n 对人工的定期的控制点进行测试 - 当测试客户的人工的定期(每月、每周或每日一次)的控制点时，我们所测试的最小样本量为：每月一次的人工控制点：2个；每周一次的人工控制点：5个；每日一次的人工控制点：15个。 n 对IT控制点进行测试 – 当客户在业务流程中应用IT控制点时，最合适的测试方法是系统调阅。如果进行系统调阅，一次测试就可以证明在一个良好的内控环境中IT控制点能得到一贯的应用。我们这里所说的良好的内控环境必须满足以下条件：在IT系统中具体的配置、界面以及系统访问权限设计合理，无适当手续不能变更。在附录C中对这些内控种类有进一步的阐述。 n 对人工的经常性的控制点进行测试 - 当测试客户的人工的经常性(超过每日一次)的控制点时，我们所测试的最小样本量为：30个。如果在测试中我们发现有错误存在，我们应该增加样本量，最少增加10个，最多增加到原始样本量的两倍。 当我们对内控执行的有效性进行测试的时候，我们可能会发现与企业原来所设计的内控政策和内控程序不符的例外事项。在这种情况下，我们应该运用专业判断，考虑所发现的偏差的个数、重要性、其它有关因素以及我们预评估的ROSM水平，以对企业内控执行的有效性进行评估。在这种情况下，虽然我们并不期望企业对所有的内控程序都准确无误的运行, 我们仍然应该扩大我们的审计工作量以获得进一步的充分的审计证据，从而判断企业内控执行的有效性与我们预评估的ROSM水平是否一致。如果以上的审计证据无法获得，我们将考虑其他的控制点是否能提供我们所需的审计证据或者我们是否可以执行一些实质性测试以获得充分适当的审计证据。 如果我们在对人工的经常性的控制点进行测试时发现了差异，我们应该考虑是否采取以下审计步骤： n 考虑增加测试的样本量，方法是每次增加10个样本量一直到没有差异被发现为止或一直到样本量已增加到60个； n 考虑其他控制点是否可以提供我们所需的审计证据； n 考虑我们是否可以执行实质性测试程序以获得充分适当的审计证据。 以上的指南是针对从总体中抽取样本进行测试的情况制定的。有一些控制点是不能这样抽样的。例如： n 当我们应用“能力评估”这一测试手段时，我们应该执行足够的测试以保证我们所询问的人员有足够的能力。我们可以将询问、观察、文件检查和重新执行这几种手段结合使用，来测试执行这一内控程序的人员的知识水平和能力。 n 当我们采取“确证征询”这一测试手段时，测试的范围应足以确认内控执行的一致性。例如，当同一控制点被多人并且一致地执行时，就可以运用“确证征询”这一测试手段。如果贷款损失风险由20个内部审阅人员通过审阅贷款文件来控制，则我们可能会对贷款文件的审阅过程进行“确证征询”。我们可以从20个人中挑出2个人，然后进行询问，看是否与信贷经理所解释的一致。 4.5.4 测试的时间安排 我们对内控的测试通常在会计期末之前进行，因此我们要对内控测试之后到期末的剩余期间中相关内控是否仍然有效运行取得审计证据。 尽管我们在中期对内控进行了测试，我们不能简单依赖中期的测试结果，而应该进一步取得内控测试之后到期末的剩余期间里相关内控是否仍然有效运行的审计证据。我们应该考虑的因素包括： n 中期对内控测试的结果； n 剩余期间的长度； n 企业的控制环境对内控设计和运行的影响； n 剩余期间的企业控制环境和会计系统的变更； n 相关交易事项或会计估计的性质和金额；及 n 计划执行什么样的实质性测试及何时执行。 4.6 评价测试结果 只有获得了关于控制的设计和执行均有效的审计证据，我们才能估计ROSM低于最高水平。如果我们的测试结果支持我们对ROSM的预估计水平，我们就可以按原计划执行实质性测试。 实质性测试是获取审计证据、从财务报表中发现重大错报的一种测试程序，共有两种： n 分析性程序 n 交易和余额的详细性测试 不管ROSM的估计水平是高还是低，我们都应该执行实质性测试。实质性测试的目的和性质、时间和工作量取决于ROSM的估计水平，因而在很大程度上受我们的内控测试的影响。 对每个审计目标计划执行的实质性测试可以只包括分析性程序或详细测试中的一种，或两者兼而有之。然而，考虑到ROSM的估计水平，我们应该先确定分析性程序要获取多么充分和适当的审计证据，然后决定是否执行详细测试。 在许多情况下，如果ROSM的估计水平是低的，其对应的帐户余额的实质性测试可以仅限於分析性程序。如果ROSM的估计水平是中等或者高的，可能需要详细性测试。 4.7 记录测试结果 本节讨论如何记录内控测试的结果： n 可以用文字叙述或者流程图的形式记录对控制流程的理解，并在流程分析文件(Process Analysis Document)中包括或链接这部分内容； n 流程层面的经营风险和所有的财务报表风险都在Process Analysis Document(PAD)中讨论； n 与风险相关的控制点在PAD(Process Analysis Document)中讨论，并且与相应风险做适当索引； n 对控制设计测试的结果作为控制概述记录于PAD(Process Analysis Document)中或者包含在对流程的理解里； n 内部控制运行测试的目的和性质、时间和工作量记录在审计程序(Audit Program)中； n 控制运行测试的结果可以在其它工作底稿中记录； n 在利用内部审计、服务组织或者专家的工作时，或者上述任何一项内容被单独记录存档的情况下，应在工作文件中做适当索引； n 在使用IRM的工作而且IRM有单独的工作记录(如流程图，SIC模板等)的情况下，必须做适当索引和链接。 4.8 内部控制测试时的决策树 运用本指南时，在流程分析中有一些决策点。我们将这些决策点汇总如下： 理解流程 理解风险，确定审计目标和相关的控制点 相关的控制点存在吗？ ROSM被估计为高水平 否 是 选择一个分组的控制点*进行测试 内部控制设计合理吗？ 否 详细测试 分析性程序 计划其它的审计步骤 结束 是 预评估ROSM为低水平或中等水平 测试分组控制点是否支持ROSM的估计水平 内部控制运行有效吗？ 是 否 存在其它的控制点吗？ 将ROSM修改为高水平水平 否 选择不同的控制点。 是 * 包括测试相关分组控制点的设计和预评估每个审计目标的ROSM。 ROSM: 应针对每个审计目标评价其ROSM，当确定内部控制是否存在或有效时应该区分不同审计目标，某一特定审计目标不存在相关内部控制(即，ROSM是高水平)并不意味着应该对所有审计目标执行全套实质性测试，只需针对相应审计目标执行实质性测试。 附录A 名词解释 基于内部控制的审计方法 (Systems-based approach) 指按照KAM(KPMG审计手册)进行的财务报表审计