本文是探讨IPE的综合系列文章的一部分. 您可以下载完整的白皮书 在这里.
实体(IPE)产生的两大类信息是什么??
IPE可以分为两大类:人口和关键报告. 两者都表示从管理层获得的数据,但记录审核员如何对数据感到满意的要求将有所不同.
IPE的人群
总体是系统生成的报告,提供给审计员,以选择交易样本来核实管理的控制程序. 只有审计师必须证明人口的完整性和准确性.
例如, 在测试对采购订单批准的控制时, 审核员将测试以验证订单是否按照公司政策得到了适当的批准. 他们必须首先获得所有采购订单的清单.e., 总体)并确认该总体准确地反映了定义期间的所有采购订单.
这通常是通过验证源系统是否在IT General Controls测试范围内来完成的, 获取用于创建人口的相关输入参数/查询,并将系统屏幕截图中的行数与报告输出联系起来. 了解数据的另一种方法是检查用于创建填充的SQL/查询,以了解数据是如何生成的.
IPE主要报告
如果管理部门利用系统生成的数据来执行控制, 然后它被认为是一个关键的报告. 关键报告有四种类型:
- 标准的报告 -报告来自范围内的系统,但自供应商实施以来未发生变化(例如.e.(开箱即用)..
- 第三方报告 —报表来自第三方应用 & 由SOC报告覆盖.
- 自定义报告 -报告来自范围内的系统,但已通过变更管理流程进行编辑.
- 特别报告 —报表来自范围内的系统,但通过SQL或数据查询生成
关键报告要求管理层和审计师确保数据完整和准确. 从管理层的角度来看, 他们的责任是确保通过保留和检查输入参数来理解生成的内容.
管理的另一个主要组成部分是验证报告是按照公司的变更管理流程构建的. 创建或更改任何关键报表时, 它应该通过用户验收测试, 这允许管理层确认报告是完全和准确地提取预期的数据用于控制.
超出了变更管理过程, 管理层应该设计他们的控制评审程序,以确保他们检查他们生成的每个报告的完整性和准确性. 因为大多数管理关键报告都是在评审控制中使用的, 为了确保报告的完整性,一个常见的方法是将报告与总账绑定.
对报告的准确性感到安慰, 管理层应该审查报告的细节,并确保它们与源交易相关联. 管理层还应该了解哪些控件创建了填充其报告的事务,以进一步确保报告的完整性和准确性.
在OTO IPE的下一篇文章中,我们将讨论审计师如何确保关键报告的完整性和准确性.
相关文章
定义和理解实体产生的信息
IPE 101 -评估管理IPE控制和报告风险
关于施耐德唐斯风险咨询
我们经验丰富的风险咨询专业团队专注于与您的组织合作,以识别并有效降低风险. 我们的目标不仅是了解与组织潜在损失相关的风险, 而是要推动为您的组织增加价值的解决方案,并就机会提供建议,以确保对您的业务造成最小的干扰.
探索我们的全部 风险咨询bet9平台游戏 提供或与团队联系 contactsd@bjqzgy.com.