2024年3月27日

IPE 101 -评估管理IPE控制和报告风险

本文是探讨IPE的综合系列文章的一部分. 您可以下载完整的白皮书 在这里.

评估管理IPE控制和报告风险的关键步骤是什么?

在IPE系列的前两篇文章中, 我们定义了IPE以及关键报告和人群之间的差异. 难题的最后一部分是理解测试方法，以获得关键报告的完整性和准确性，从而管理与数据相关的风险.

理解和评估管理层的IPE控制

在审核员设计任何独立的测试程序来验证关键报告之前, 审计人员应了解管理层的国际环境治理控制的设计和有效性. 这种考虑包括四个关键步骤:

• 评估管理的IPE控制，以确保控制操作中使用的数据的完整性
• 评估管理层的IPE控制，以确保控制操作中使用的数据的准确性
• 在管理层执行的IPE控制的设计和操作有效性上开发测试属性
• 评估在IPE生产中使用的系统的IT一般控制是否已经过测试以及该测试的结果. 如果对IT的控制是无效的, 审核员必须考虑其他因素. 例如, 审核员可能需要执行独立的实质性测试程序以确保完整性和准确性.

管理主要报告风险

一旦审计师评估了管理层的控制, 审核员仍可能被要求执行额外的测试程序，这些程序应与外部审核组协调，以确保程序是充分的. 确定附加过程的第一步必须首先确定控件中使用的键报告的类型.

标准报告: 查看标准报告, 该报告是完整和准确的，不需要额外的测试程序，因为管理层从未修改过数据，只要获得最后更改日期并确认为标准报告.

第三方报告: 应获得SOC报告，并为所有范围内的第三方进行审核. 而报表来自第三方源系统，其中管理层不能直接编辑报表的数据, 管理层仍应执行程序检查输入参数，并确保参数符合控制的预期目的.

自定义/特别报告: 每个外部审计公司都有自己的指导，哪些程序需要获得足够的安慰, 但是，确认自定义/特别报告的完整性和准确性的典型测试程序包括:

• 控制器的性能 -管理层使用的大多数关键报告都是通过评审控制来利用的，其中管理层将固有地验证数据的完整性和准确性作为控制目标，因此审计师可以指出管理层的评审，如果它被有效地设计为验证报告细节(准确性)和报告总数(完整性).
• 额外的样品 -审计师将从报告中选择样本追溯至源交易(准确性)，然后选择源交易追溯至报告(完整性). 这种方法可能非常耗时，应该被视为获得安慰的最后手段.
• SQL检验 -一些脚本能够详细记录数据是如何提取的，但sql也可以变得非常复杂，所以这种方法很少依赖. 如果管理层或审核员正在审查脚本, 请记住，最重要的部分通常是SELECT, 脚本中的FROM和WHERE语句. SELECT部分应该直接绑定到列标头, FROM节标识存放数据的数据库表, WHERE语句是如何过滤数据，使其仅在符合特定条件时才包含在报告中.
• 样本的事务 视情况而定, 审计员可以与管理层一起处理事务，并观察它在报告中是如何显示的. 这在处理异常报告时特别有用，这些异常报告仅在发生某些操作时填充数据. 此方法通常通过管理的TEST环境执行，然后验证PROD是TEST的镜像的附加步骤完成，以显示测试如何适用于PROD环境.
• 理解补偿控制 -通常这种方法本身不足以获得完整性和准确性的舒适性, 但当与其他测试程序结合使用时, 它可以为数据提供安慰. 这项技术涉及到理解整个控制域，以及哪些控制提供了对报表正在填充的源事务的安慰.

测试方法也不必单独使用. 取决于关键报告, 控件的性能可以用来获得对报告完整性的安慰, 但为了报告的准确性，可以使用一个示例交易. 不管使用哪种类型, 审计员应该始终获得输入参数或SQL屏幕截图，以验证报告是如何生成的，并获得屏幕截图以验证报告的最后更改日期和上次编辑报告的人.

最终, 所需测试的数量由执行程序的审核组自行决定, 这就是为什么与外部审计团队协调测试方法如此重要的原因.

相关文章

• 定义和理解实体产生的信息
• IPE 101 -区分种群和关键报告

关于施耐德唐斯风险咨询

我们经验丰富的风险咨询专业团队专注于与您的组织合作，以识别并有效降低风险. 我们的目标不仅是了解与组织潜在损失相关的风险, 而是要推动为您的组织增加价值的解决方案，并就机会提供建议，以确保对您的业务造成最小的干扰.

探索我们的全部 风险咨询bet9平台游戏 提供或与团队联系 (电子邮件保护).