2024年3月18日

IPE 101 -区分种群和关键报告

IT风险咨询, 风险咨询/内部审计, 萨班斯-奥克斯利法案
by 圣扎迦利Motyl

本文是探讨IPE的综合系列文章的一部分. 您可以下载完整的白皮书 here.

实体(IPE)产生的两大类信息是什么??

IPE可以分为两大类:人口和关键报告. 两者都表示从管理层获得的数据，但记录审核员如何对数据感到满意的要求将有所不同.

人口

总体是系统生成的报告，提供给审计员，以选择交易样本来核实管理的控制程序. 只有审计师必须证明人口的完整性和准确性.

例如, 在测试对采购订单批准的控制时, 审核员将测试以验证订单是否按照公司政策得到了适当的批准. 他们必须首先获得所有采购订单的清单.e., 总体)并确认该总体准确地反映了定义期间的所有采购订单.

这通常是通过验证源系统是否在IT General Controls测试范围内来完成的, 获取用于创建人口的相关输入参数/查询，并将系统屏幕截图中的行数与报告输出联系起来. 了解数据的另一种方法是检查用于创建填充的SQL/查询，以了解数据是如何生成的.

关键报告

如果管理部门利用系统生成的数据来执行控制, 然后它被认为是一个关键的报告. 关键报告有四种类型:

标准的报告 -报告来自范围内的系统，但自供应商实施以来未发生变化(例如.e.(开箱即用)..
第三方报告 —报表来自第三方应用 & 由SOC报告覆盖.
自定义报告 -报告来自范围内的系统，但已通过变更管理流程进行编辑.
特别报告 —报表来自范围内的系统，但通过SQL或数据查询生成

关键报告要求管理层和审计师确保数据完整和准确. 从管理层的角度来看, 他们的责任是确保通过保留和检查输入参数来理解生成的内容.

管理的另一个主要组成部分是验证报告是按照公司的变更管理流程构建的. 创建或更改任何关键报表时, 它应该通过用户验收测试, 这允许管理层确认报告是完全和准确地提取预期的数据用于控制.

超出了变更管理过程, 管理层应该设计他们的控制评审程序，以确保他们检查他们生成的每个报告的完整性和准确性. 因为大多数管理关键报告都是在评审控制中使用的, 为了确保报告的完整性，一个常见的方法是将报告与总账绑定.

对报告的准确性感到安慰, 管理层应该审查报告的细节，并确保它们与源交易相关联. 管理层还应该了解哪些控件创建了填充其报告的事务，以进一步确保报告的完整性和准确性.

在OTO IPE的下一篇文章中，我们将讨论审计师如何确保关键报告的完整性和准确性.

相关文章

关于施耐德唐斯风险咨询

我们经验丰富的风险咨询专业团队专注于与您的组织合作，以识别并有效降低风险. 我们的目标不仅是了解与组织潜在损失相关的风险, 而是要推动为您的组织增加价值的解决方案，并就机会提供建议，以确保对您的业务造成最小的干扰.

探索我们的全部风险咨询bet9平台游戏提供或与团队联系 (电子邮件保护).

你们已经听到了我们的想法，我们也想听听你们的想法

Schneider down 我们对博客的存在是为了就对组织和个人重要的问题进行对话. 虽然我们喜欢分享我们的想法和见解, 我们对你要说的特别感兴趣. 如果你对这篇文章有任何问题或评论，或者我们博客上的任何文章，我们希望你能和我们分享. 毕竟，对话是一种思想的交流，我们希望听到你的声音. 电邮至 (电子邮件保护).

所讨论的材料仅供参考, 而且这不能被理解为投资, tax, 或法律建议. 请注意，个别情况可能有所不同. 因此, 当与个人专业意见相协调时，应依赖此信息.

我们对

网络安全, IT风险咨询, 风险咨询/内部审计 BY 内森Shepler 4.19.2024

8审查用户访问时的关键考虑事项

金融bet9平台游戏, 风险咨询/内部审计 BY 玛西王 4.16.2024

加强风险管理及保障消费者权益

控制金融行业的电汇欺诈

风险咨询/内部审计 BY 布伦丹水蛭 4.12.2024

2024年内部审计领导者需要了解的最大风险

SOC 2术语:供应商与子bet9平台游戏组织、分包商、第三方与第n方