(最新)内部控制测试与指南
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
在企业的控制环境中,计算机信息系统的重要性日益突出。因而,我 们对它的了解应足以保证我们能有效地制定审计计划和评价所获取的审计 证据。对于计算机信息系统,我们需要了解的方面包括:
企业对计算机信息系统的依赖程度 计算机信息系统的功能和所能提供的信息资源
信息的安全性 计算机信息系统的可信赖程度 计算机信息系统的变动程度和频繁程度 对外部计算机处理的依赖程度 计算机信息系统的管理和运行
4.7 记录测试结果
14
4.8 在内部控制测试时的决策树
16
附录
A 名词解释
B 内部控制测试实例
B.1 战略性经营风险(“SBR”) B.2 重要交易事项(“SCOT”) C 内部控制的类别 C.1 授权 C.2 配置/帐项映射的控制 C.3 预警报告 C.4 界面/转换控制 C.5 主要运营指标 C.6 管理层审阅
本指南包含了控制测试的理论和实例。本指南也描述了KAM工作进程 的概况,但主要探讨如何在流程分析阶段(Process Analysis)理解和测试 客户的内控制度,从而完成按KAM要求的基于内部控制的审计。本指南 的基础是与国际审计准则(IAS)相一致的KAM。
本指南包含四部分: 1、 审计工作进程 这部分将简要回顾KAM的工作进程,并且着重于以下三部分内 容:理解战略性经营风险(SBRs); 理解重要交易事项 (“SCOTs”);以及对关键控制流程(Key Business Process)进行 分析(关键控制流程指管理SBRs或者产生、处理和记录SCOTs 的流程)。
如果初步评估(参见附录E1)决定使用IRM,那么,我们就应考虑在理 解企业的控制环境时让IRM参与。同样,在审计阶段,IRM也应获取对 客户IT策略和IT基础设施及运营的理解。通常,我们往往通过与IT部门 的关键人员包括与CIO的交谈来获取以上信息。在此时,我们建议应有一 名审计人员陪同IRM人员一起与客户交谈(参见附件E4和 E5,对了解客 户业务和对IT策略及运行环境的的进一步探讨)。
战略性经营风险(SBRs)还包括与计算机信息系统相关联的风险(IT经 营风险)。当理解这种风险的重要性时,我们应该考虑计算机信息系统在 财务报告过程中的重要性和与之相关的战略性经营风险。
我们可以使用风险分析模块(RAMs)来评估战略性IT经营风险。风险 分析模块(RAMs)能帮助我们从战略层面考虑客户使用技术所引起的风险 的程度。在KPMG的审计人员决定是否使用风险分析模块(RAMs)时,可 以先用附录E3的问题做一下自测。
.4 其它审计步骤及报告
在其它审计步骤及报告阶段,我们执行其它审计步骤(实质性测试程 序),从而获得充分的审计证据来形成我们的审计意见。我们还应向客户 报告我们的审计发现。
通过其它审计步骤及报告阶段的工作,我们能够评估审计差异,对审 计目标做出结论,形成审计意见和报告审计发现。
企业的控制环境
理解企业的经营也包括理解其控制环境。企业的控制环境包括企业的 政策和程序,它们是企业为实现其经营目标而采取的行动和所做出的决策 的有机组成部分。
产生、处理
在战略分析过程中我们通过了解企业和其所在行业的情况、询问企业 人员和实施分析程序,得到企业经营的基本情况。这些情况足以使我们充 分地认识和了解以下几个方面:
对财务报表有重大影响的战略性经营风险(SBRs):企业管理层为了达到 企业的经营目标而选用不同的战略,战略性经营风险(SBRs)也相应不 同。这些风险对财务报表的潜在影响需要在财务报表中进行会计估计, 或要求管理当局做出合适的表达和披露。
7
4.3 识别相关的(经营方面的和财务报表方面的)控制点
8
4.4 选择某一分组的控制点进行测试,以及控制设计测试
9
ຫໍສະໝຸດ Baidu4.5 对已选择的控制点进行控制执行测试
10
4.5.1 测试手段
10
4.5.2 测试工作的目的和性质
11
4.5.3 测试工作的样本量
12
4.5.4测试的时间安排
13
4.6 评价测试结果
14
通过询问、观察、检查文件和分析性程序的应用,并结合我们以前的 经验,我们才能对客户的控制环境充分了解以保证我们能有效地制定审计 计划和评价所获取的审计证据。
我们对企业控制环境的了解能够在以下方面帮助我们:
内控测试。企业的控制环境影响着企业的内部控制的有效性,从而间接 影响财务报表。良好的控制环境是对具体控制点的有益补充。但是,良 好的控制环境并不能单独决定控制系统的有效性。因而,我们通过控制 测试来获取关于具体内控设计和执行有效性的审计证据。 发现在随后的审计中需要关注的问题。在了解企业控制环境的同时,我 们也能发现一些在随后的审计中需关注的问题, 才能在随后的审计中 决定它们对财务报表和审计的影响。例如,我们可能发现那些对财务报 表存在潜在影响的经营风险。 发现一些有可能影响我们审计步骤制定的问题。了解企业的控制环境 后,我们需要考虑这些控制环境的特点是否会给我们获取审计证据和执 行其它的审计步骤带来困难。我们还需考虑某些控制环境的特点是否会 导致管理层及雇员的舞弊。这些考虑可能影响相关审计步骤的制定(例 如测试目的、期间或数量)。 发现一些客户有待改进的项目。在了解企业的控制环境时,我们可能会 发现其中一些不完善的方面,这些方面可以或者已经导致企业战略未有 效执行以及战略性风险未得到适当监控。我们将考虑就这些发现向董事
企业之所以需要控制环境是因为董事们要确保管理当局既努力实现良 好的业绩,又按照允许的规矩经营。对于管理当局而言,他们又需要确保 员工们按照他们的要求行动。鉴于董事和管理当局不可能参与企业的每一 项决定和活动,因此他们建立了企业控制环境。
企业的控制环境取决于企业的规模和业务的复杂程度,以及董事和管 理层的经营管理哲学和风格。
.1 如何运用于所有的审计项目
本指南可以运用于无论大小所有的审计项目。虽然大型企业可能面临 更为严格的向公众报告的要求,但是小型企业与大型企业对良好的控制确 有同样的需求。良好的控制事实上也存在于小型的企业,这些控制从表面 上与大型企业的有可能不同,下面是它们的主要区别:
小型企业中的沟通过程是不太正式的,在仅有几个人和有限的管理层次 的组织中,口头的交流可能比书面交流更为有效。 监督是由高层管理者完成的,通常同时也是企业所有者,而不是存在一 个有外部人员参与的董事会。
基于内部控制的审计方法(system-based approach)是指按照KPMG 审计手册(KAM)进行的财务报表审计。它既要考虑人工控制,也要考虑 IT控制,还要求信息风险管理(IRM)专家的适当参与。
在按照KAM审计的过程中,我们并不计划对所有的审计目标实施实质 性测试,(“完全实质测试审计”),这就需要通过进行各种分析以确定客户 的重大错报风险(ROSM,固有风险与控制风险之积)低于最高水平。
18 20 20 20
C.7 稽核 C.8 职责划分 C.9 系统访问权限
D 测试手段 D.1 确证征询 D.2 文件检查 D.3 能力评估 D.4 系统调阅
E 信息风险管理专家(IRM)在审计中的作用
概论
KPMG编写“内部控制测试指南”的目的是为KPMG的审计人员进行内部 控制测试工作提供一些帮助。
根据KAM,只有获得了关于客户内控制度的设计及执行是有效的证 据,才能认为客户的ROSM低于最高水平。不仅如此,将ROSM评估为 高,通常是因为控制测试显示客户的相关内控制度设计不合理或是未得到 有效的执行,而不是因为我们基于成本效益的原则而不打算进行控制测 试。请参见4.8部分“在内部控制测试时的决策树”。
D、 测试手段 本指南的正文已探讨了KAM 中提及的控制测试手段。有
些测试手段也可以组合起来使用以获取关于控制系统执行有 效性的证据。这些手段在附录D中有更详细的描述。 E、 信息风险管理专家(IRM)在审计中的作用 IRM可以显著地提升审计的价值,在某些情况下,在战略性 分析和流程分析中必须应用IRM。如何在审计中恰当地运用 IRM的探讨将贯穿本指南,同时,附录E中更详细地探讨了 如何恰当运用IRM。
企业的控制环境界定了企业的风格和员工的控制意识。它是內部控制 其他组成部分的基础,并为它们提供了基本框架和原则。控制环境包括以 下因素:
道德品行 工作能力 董事会或审计委员会的参与 管理哲学和风格 组织结构 授权和责任的分配 人事政策和实务
另外,企业的控制环境还包括: 信息的交流;以及 计算机信息系统
2、 企业的控制环境(Control environment) 这部分将简要回顾KAM关于企业控制环境的论述,企业的控制 环境是其它各控制环节的基础。
3、 流程分析(Process Analysis)--- 基于内部控制的审计方法 (System-based approach)
这部分着重于流程分析(Process Analysis),包括识别流程层面 的风险和控制点(Process-level risks and controls)以及内部控 制测试。
审计工作进程(Workflow)
.2 战略性分析(Strategic Analysis)
理解企业的经营 (Business understanding)
会计估计 日常交易和
表达与 偶尔交易 披露
管理SBR 和记录SCOT
重要交易事项 (SCOTs)
战略性经营风险 (SBRs)
关键流程 (Key processes)
4、 附录 A、 名词解释 B、 内部控制测试实例
这些实例将说明在各种流程中存在的一套控制点。这些实例 不是完美无缺的,但可以作为识别流程中的控制点的出发 点。 C、 内部控制的类别
本指南对众多的控制点按照可采用何种控制设计测试与执
行测试的方法进行了分类。在附录B“内部控制测试实 例”中的每个控制点都已被分类。
对财务报表和我们的审计有重大影响的重要交易事项(SCOTs):重要交 易事项(SCOTs)是指,根据我们的判断,具有相同特点、属性、或者性 质的,数量较大的一组交易。
在理解企业经营的过程中,我们还要:
理解企业的控制环境,进而决定我们对内部控制的测试方法。我们也会 考虑计算机信息系统能够如何影响审计 (参见第三章)。 初步判断是否需要信息风险管理专家(IRM)来评估、描述和测试IT的风 险和控制点。这些控制点与客户的经营和战略相配合,并植根于关键控
计划其它审计步骤
分析性程序 详细测试 管理SBR 产生、处理和记录SCOT
* 包含识别/确认审计目标 ** 包含控制设计测试和预估ROSM
我们在流程分析过程中的工作如上图所示。无论这个关键控制流程是 关于某个SBR的还是某个SCOT的或如何特殊,所做的工作都是相同的。 关于流程分析的进一步探讨请见第四章。
KPMG审记与咨询业务中心
内部控制测试指南
2001年5月
目录
1. 概论
1
1. 1如何运用于所有的审计项目
2
2. 审计工作进程
3
2.1 战略性分析
3
2.2 流程分析
4
2.3 其它审计步骤及报告
4
3.企业的控制环境
5
4.流程分析和基于内部 控制的审计方法
7
4.1 理解流程
7
4.2 理解流程层面的经营风险和财务报表风险
制流程中。 使用附录E1‘战略性分析--初步判断是否需要信息风险管理专家(IRM)的 参与’所提示的问题来确定某些要求信息风险管理专家(IRM)参与财务报 表审计的情况是否存在。如果我们确定IT风险不大,并且附录E1中描 述的客户情况不存在,就不必在审计中引入IT专家。如果附录E1中描 述的客户情况存在,就要考虑让信息风险管理专家(IRM)参与战略性分 析过程。
接下来我们要找出如下控制流程:
管理战略性经营风险(SBRs)的;或者
产生、处理并在财务报表中记录重要交易事项(SCOTs)的。
这些控制流程被称为关键控制流程。我们对每一个关键控制流程都进
行流程分析。
.3 流程分析
关键控制流程 理解 流程
理解风险* 识别相关控制点
选择控制点进行测试 ** 进行控制执行测试
小型企业的管理风格可以被称为是“自己动手”(hands-on),这意味着管 理当局亲自动手执行计划。在许多的领域,管理当局更乐于采用直接的 询问和观察的方法来对企业监控,而不是依赖正式的报告。 小型企业中可能没有内部审计人员,不过在一些特定的项目上,也许管 理当局或者是会计人员会不断进行检测。 上述几点适用于一个仅有几层管理层级的简单的组织,这样的组织更依 赖管理当局直接审阅。本指南中提及的测试方法和手段同样可以应用于 这些不太复杂的组织。事实上,在很多情况下,如果能很好的理解这些 不太复杂的控制流程,应用基于内部控制的审计方法(system-based approach)会更容易。 小型企业中的控制程序和责任划分并不象大型企业中那么完整,管理者 直接的监督是更为重要的。 在小型企业中的自我检查过程是很不正式的,这种检查更可能是依赖于 经验或非正式的反思。小型企业经常依赖于外部的帮助,特别是他们的 外部审计师。
企业对计算机信息系统的依赖程度 计算机信息系统的功能和所能提供的信息资源
信息的安全性 计算机信息系统的可信赖程度 计算机信息系统的变动程度和频繁程度 对外部计算机处理的依赖程度 计算机信息系统的管理和运行
4.7 记录测试结果
14
4.8 在内部控制测试时的决策树
16
附录
A 名词解释
B 内部控制测试实例
B.1 战略性经营风险(“SBR”) B.2 重要交易事项(“SCOT”) C 内部控制的类别 C.1 授权 C.2 配置/帐项映射的控制 C.3 预警报告 C.4 界面/转换控制 C.5 主要运营指标 C.6 管理层审阅
本指南包含了控制测试的理论和实例。本指南也描述了KAM工作进程 的概况,但主要探讨如何在流程分析阶段(Process Analysis)理解和测试 客户的内控制度,从而完成按KAM要求的基于内部控制的审计。本指南 的基础是与国际审计准则(IAS)相一致的KAM。
本指南包含四部分: 1、 审计工作进程 这部分将简要回顾KAM的工作进程,并且着重于以下三部分内 容:理解战略性经营风险(SBRs); 理解重要交易事项 (“SCOTs”);以及对关键控制流程(Key Business Process)进行 分析(关键控制流程指管理SBRs或者产生、处理和记录SCOTs 的流程)。
如果初步评估(参见附录E1)决定使用IRM,那么,我们就应考虑在理 解企业的控制环境时让IRM参与。同样,在审计阶段,IRM也应获取对 客户IT策略和IT基础设施及运营的理解。通常,我们往往通过与IT部门 的关键人员包括与CIO的交谈来获取以上信息。在此时,我们建议应有一 名审计人员陪同IRM人员一起与客户交谈(参见附件E4和 E5,对了解客 户业务和对IT策略及运行环境的的进一步探讨)。
战略性经营风险(SBRs)还包括与计算机信息系统相关联的风险(IT经 营风险)。当理解这种风险的重要性时,我们应该考虑计算机信息系统在 财务报告过程中的重要性和与之相关的战略性经营风险。
我们可以使用风险分析模块(RAMs)来评估战略性IT经营风险。风险 分析模块(RAMs)能帮助我们从战略层面考虑客户使用技术所引起的风险 的程度。在KPMG的审计人员决定是否使用风险分析模块(RAMs)时,可 以先用附录E3的问题做一下自测。
.4 其它审计步骤及报告
在其它审计步骤及报告阶段,我们执行其它审计步骤(实质性测试程 序),从而获得充分的审计证据来形成我们的审计意见。我们还应向客户 报告我们的审计发现。
通过其它审计步骤及报告阶段的工作,我们能够评估审计差异,对审 计目标做出结论,形成审计意见和报告审计发现。
企业的控制环境
理解企业的经营也包括理解其控制环境。企业的控制环境包括企业的 政策和程序,它们是企业为实现其经营目标而采取的行动和所做出的决策 的有机组成部分。
产生、处理
在战略分析过程中我们通过了解企业和其所在行业的情况、询问企业 人员和实施分析程序,得到企业经营的基本情况。这些情况足以使我们充 分地认识和了解以下几个方面:
对财务报表有重大影响的战略性经营风险(SBRs):企业管理层为了达到 企业的经营目标而选用不同的战略,战略性经营风险(SBRs)也相应不 同。这些风险对财务报表的潜在影响需要在财务报表中进行会计估计, 或要求管理当局做出合适的表达和披露。
7
4.3 识别相关的(经营方面的和财务报表方面的)控制点
8
4.4 选择某一分组的控制点进行测试,以及控制设计测试
9
ຫໍສະໝຸດ Baidu4.5 对已选择的控制点进行控制执行测试
10
4.5.1 测试手段
10
4.5.2 测试工作的目的和性质
11
4.5.3 测试工作的样本量
12
4.5.4测试的时间安排
13
4.6 评价测试结果
14
通过询问、观察、检查文件和分析性程序的应用,并结合我们以前的 经验,我们才能对客户的控制环境充分了解以保证我们能有效地制定审计 计划和评价所获取的审计证据。
我们对企业控制环境的了解能够在以下方面帮助我们:
内控测试。企业的控制环境影响着企业的内部控制的有效性,从而间接 影响财务报表。良好的控制环境是对具体控制点的有益补充。但是,良 好的控制环境并不能单独决定控制系统的有效性。因而,我们通过控制 测试来获取关于具体内控设计和执行有效性的审计证据。 发现在随后的审计中需要关注的问题。在了解企业控制环境的同时,我 们也能发现一些在随后的审计中需关注的问题, 才能在随后的审计中 决定它们对财务报表和审计的影响。例如,我们可能发现那些对财务报 表存在潜在影响的经营风险。 发现一些有可能影响我们审计步骤制定的问题。了解企业的控制环境 后,我们需要考虑这些控制环境的特点是否会给我们获取审计证据和执 行其它的审计步骤带来困难。我们还需考虑某些控制环境的特点是否会 导致管理层及雇员的舞弊。这些考虑可能影响相关审计步骤的制定(例 如测试目的、期间或数量)。 发现一些客户有待改进的项目。在了解企业的控制环境时,我们可能会 发现其中一些不完善的方面,这些方面可以或者已经导致企业战略未有 效执行以及战略性风险未得到适当监控。我们将考虑就这些发现向董事
企业之所以需要控制环境是因为董事们要确保管理当局既努力实现良 好的业绩,又按照允许的规矩经营。对于管理当局而言,他们又需要确保 员工们按照他们的要求行动。鉴于董事和管理当局不可能参与企业的每一 项决定和活动,因此他们建立了企业控制环境。
企业的控制环境取决于企业的规模和业务的复杂程度,以及董事和管 理层的经营管理哲学和风格。
.1 如何运用于所有的审计项目
本指南可以运用于无论大小所有的审计项目。虽然大型企业可能面临 更为严格的向公众报告的要求,但是小型企业与大型企业对良好的控制确 有同样的需求。良好的控制事实上也存在于小型的企业,这些控制从表面 上与大型企业的有可能不同,下面是它们的主要区别:
小型企业中的沟通过程是不太正式的,在仅有几个人和有限的管理层次 的组织中,口头的交流可能比书面交流更为有效。 监督是由高层管理者完成的,通常同时也是企业所有者,而不是存在一 个有外部人员参与的董事会。
基于内部控制的审计方法(system-based approach)是指按照KPMG 审计手册(KAM)进行的财务报表审计。它既要考虑人工控制,也要考虑 IT控制,还要求信息风险管理(IRM)专家的适当参与。
在按照KAM审计的过程中,我们并不计划对所有的审计目标实施实质 性测试,(“完全实质测试审计”),这就需要通过进行各种分析以确定客户 的重大错报风险(ROSM,固有风险与控制风险之积)低于最高水平。
18 20 20 20
C.7 稽核 C.8 职责划分 C.9 系统访问权限
D 测试手段 D.1 确证征询 D.2 文件检查 D.3 能力评估 D.4 系统调阅
E 信息风险管理专家(IRM)在审计中的作用
概论
KPMG编写“内部控制测试指南”的目的是为KPMG的审计人员进行内部 控制测试工作提供一些帮助。
根据KAM,只有获得了关于客户内控制度的设计及执行是有效的证 据,才能认为客户的ROSM低于最高水平。不仅如此,将ROSM评估为 高,通常是因为控制测试显示客户的相关内控制度设计不合理或是未得到 有效的执行,而不是因为我们基于成本效益的原则而不打算进行控制测 试。请参见4.8部分“在内部控制测试时的决策树”。
D、 测试手段 本指南的正文已探讨了KAM 中提及的控制测试手段。有
些测试手段也可以组合起来使用以获取关于控制系统执行有 效性的证据。这些手段在附录D中有更详细的描述。 E、 信息风险管理专家(IRM)在审计中的作用 IRM可以显著地提升审计的价值,在某些情况下,在战略性 分析和流程分析中必须应用IRM。如何在审计中恰当地运用 IRM的探讨将贯穿本指南,同时,附录E中更详细地探讨了 如何恰当运用IRM。
企业的控制环境界定了企业的风格和员工的控制意识。它是內部控制 其他组成部分的基础,并为它们提供了基本框架和原则。控制环境包括以 下因素:
道德品行 工作能力 董事会或审计委员会的参与 管理哲学和风格 组织结构 授权和责任的分配 人事政策和实务
另外,企业的控制环境还包括: 信息的交流;以及 计算机信息系统
2、 企业的控制环境(Control environment) 这部分将简要回顾KAM关于企业控制环境的论述,企业的控制 环境是其它各控制环节的基础。
3、 流程分析(Process Analysis)--- 基于内部控制的审计方法 (System-based approach)
这部分着重于流程分析(Process Analysis),包括识别流程层面 的风险和控制点(Process-level risks and controls)以及内部控 制测试。
审计工作进程(Workflow)
.2 战略性分析(Strategic Analysis)
理解企业的经营 (Business understanding)
会计估计 日常交易和
表达与 偶尔交易 披露
管理SBR 和记录SCOT
重要交易事项 (SCOTs)
战略性经营风险 (SBRs)
关键流程 (Key processes)
4、 附录 A、 名词解释 B、 内部控制测试实例
这些实例将说明在各种流程中存在的一套控制点。这些实例 不是完美无缺的,但可以作为识别流程中的控制点的出发 点。 C、 内部控制的类别
本指南对众多的控制点按照可采用何种控制设计测试与执
行测试的方法进行了分类。在附录B“内部控制测试实 例”中的每个控制点都已被分类。
对财务报表和我们的审计有重大影响的重要交易事项(SCOTs):重要交 易事项(SCOTs)是指,根据我们的判断,具有相同特点、属性、或者性 质的,数量较大的一组交易。
在理解企业经营的过程中,我们还要:
理解企业的控制环境,进而决定我们对内部控制的测试方法。我们也会 考虑计算机信息系统能够如何影响审计 (参见第三章)。 初步判断是否需要信息风险管理专家(IRM)来评估、描述和测试IT的风 险和控制点。这些控制点与客户的经营和战略相配合,并植根于关键控
计划其它审计步骤
分析性程序 详细测试 管理SBR 产生、处理和记录SCOT
* 包含识别/确认审计目标 ** 包含控制设计测试和预估ROSM
我们在流程分析过程中的工作如上图所示。无论这个关键控制流程是 关于某个SBR的还是某个SCOT的或如何特殊,所做的工作都是相同的。 关于流程分析的进一步探讨请见第四章。
KPMG审记与咨询业务中心
内部控制测试指南
2001年5月
目录
1. 概论
1
1. 1如何运用于所有的审计项目
2
2. 审计工作进程
3
2.1 战略性分析
3
2.2 流程分析
4
2.3 其它审计步骤及报告
4
3.企业的控制环境
5
4.流程分析和基于内部 控制的审计方法
7
4.1 理解流程
7
4.2 理解流程层面的经营风险和财务报表风险
制流程中。 使用附录E1‘战略性分析--初步判断是否需要信息风险管理专家(IRM)的 参与’所提示的问题来确定某些要求信息风险管理专家(IRM)参与财务报 表审计的情况是否存在。如果我们确定IT风险不大,并且附录E1中描 述的客户情况不存在,就不必在审计中引入IT专家。如果附录E1中描 述的客户情况存在,就要考虑让信息风险管理专家(IRM)参与战略性分 析过程。
接下来我们要找出如下控制流程:
管理战略性经营风险(SBRs)的;或者
产生、处理并在财务报表中记录重要交易事项(SCOTs)的。
这些控制流程被称为关键控制流程。我们对每一个关键控制流程都进
行流程分析。
.3 流程分析
关键控制流程 理解 流程
理解风险* 识别相关控制点
选择控制点进行测试 ** 进行控制执行测试
小型企业的管理风格可以被称为是“自己动手”(hands-on),这意味着管 理当局亲自动手执行计划。在许多的领域,管理当局更乐于采用直接的 询问和观察的方法来对企业监控,而不是依赖正式的报告。 小型企业中可能没有内部审计人员,不过在一些特定的项目上,也许管 理当局或者是会计人员会不断进行检测。 上述几点适用于一个仅有几层管理层级的简单的组织,这样的组织更依 赖管理当局直接审阅。本指南中提及的测试方法和手段同样可以应用于 这些不太复杂的组织。事实上,在很多情况下,如果能很好的理解这些 不太复杂的控制流程,应用基于内部控制的审计方法(system-based approach)会更容易。 小型企业中的控制程序和责任划分并不象大型企业中那么完整,管理者 直接的监督是更为重要的。 在小型企业中的自我检查过程是很不正式的,这种检查更可能是依赖于 经验或非正式的反思。小型企业经常依赖于外部的帮助,特别是他们的 外部审计师。