Zusammenfassung der Kontrollen

Es gibt Hunderte von möglichen internen Kontrollen, die ein Unternehmen in Betracht ziehen muss. Um die richtige Lösung zu finden, müssen die operativen Aktivitäten, der Umfang und die damit verbundenen Risiken des Unternehmens analysiert werden. Die verschiedenen Aktivitäten und die damit verbundenen Risiken bestimmen die relevanten Kontrolltypen, Ziele und Techniken, die als Prioritäten auftauchen. Nachdem diese Prioritäten identifiziert wurden, können Organisationen spezifische Kontrollen auswählen und einrichten, um ihren Governancerahmen zu stärken und zu schützen.

In der folgenden Tabelle sind die funktionalen Techniken zusammengefasst, die Sie verwenden können, nach Steuerelementtyp und Steuerelementziel. Eine funktionelle Technik kann bei einem oder mehreren Kontrollzielen helfen:

Funktionstechnik Kontrolltyp Vollständigkeit Genauigkeit Existenz oder Eigentum Cut-off Bewertung oder Präsentation

Zugriff und Berechtigungen

Vorbeugend

     X X  

Stammdaten

Vorbeugend

   X X    

Dokument- und Transaktionsfluss

Vorbeugend

 X X      

Workflow

Vorbeugend

   X X X  

Reports

Detektiv

 X X X X X

Prüfprotokolle

Detektiv

   X X    

Beispiele für die breite Palette interner Kontrolloptionen für die drei primären Buchhaltungs-Workflows finden Sie in den folgenden Informationen:

Kontrollprüfungen

Nachdem Sie Ihre internen Kontrollverfahren ausgewählt und eingeführt haben, ist es wichtig, die geeignete Methodik zur Prüfung der verschiedenen Kontrolltechniken zu identifizieren. Den Kontrolloptionen für die primären Buchhaltungs-Workflows wurde jeweils eine empfohlene Testmethode wie folgt zugewiesen:

Die unten beschriebenen Testschritte sind eine allgemeine Anleitung zum Testen von Steuerelementen in Sage Intacct. Die Details der Prüfung hängen vom Kontrollziel, der Implementierung der Kontrolle, der Nachkommastellen, mit der die Kontrolle betrieben wird, und dem Zweck der Prüfung ab.

Eine Workflow-Steuerung stellt sicher, dass Transaktionen korrekt weitergeleitet werden, in der Regel durch Genehmigungsschritte, die auf vordefinierten Parametern basieren.

Allgemeine Testschritte:

  1. Verstehen Sie die Baseline: Wie soll der Workflow aussehen? Gibt es eine Richtlinie?

  2. Überprüfen Sie ggf. die Konfiguration in Intacct, um festzustellen, ob der Workflow angewendet wurde.

  3. Testen Sie eine Instanz jedes Genehmigungstyps. Wenn es beispielsweise drei Ebenen gibt (keine Genehmigung unter Betrag X, eine Genehmigung zwischen den Beträgen X und Y, zwei Genehmigungen über dem Betrag Y), führen Sie für jede Stufe einen Test durch. Stellen Sie sicher, dass die Transaktionen wie erwartet ablaufen, wie in Schritt 1 definiert.

    Testen Sie so, dass sie widerspiegeln, wie die Anwendung konfiguriert ist. Wenn beispielsweise der Workflow in zwei Entitäten, aber mit unterschiedlichen Personen von derselben Konfiguration gesteuert wird, müssen Sie den Test in der Regel nicht wiederholen. Wenn die Entitäten jedoch unterschiedliche Konfigurationen oder Konfigurationstabellen verwenden, müssen Sie möglicherweise separate Tests durchführen.

Eine Konfigurationssteuerung stellt sicher, dass das System etwas in der erwarteten Weise tut. Dabei kann es sich um die Validierung einer Transaktion, das Verschieben einer Transaktion von einem Ort zum anderen (z. B. zwischen Schnittstellen oder Anwendungen), eine Änderung (z. B. bei einer Neubewertung) oder eine automatisierte Berechnung (z. B. eine Mehrwertsteuerberechnung, die auf den Produktstammdaten basiert) handeln.

Allgemeine Testschritte:

Sie können automatisierte, konfigurierbare oder codierte Steuerelemente auf verschiedene Arten testen. Wie Sie testen, hängt von verschiedenen Faktoren ab, einschließlich des regulatorischen Umfelds. Die folgenden Schritte dienen nur der allgemeinen Orientierung.

  1. Verstehen, wie die Konfiguration funktionieren soll: Was sind die erwarteten Ergebnisse? Konzentrieren Sie sich auf die Dinge, die für die Zwecke der Kontrolle wichtig sind. Beispielsweise kann ein Validierungssteuerelement einen gültigen Lieferanten erfordern, was wichtig ist, und eine Beschreibung ohne Sonderzeichen, was für das Kontrollframework wahrscheinlich keine Rolle spielt. In dieser Situation müssen Sie nur das erste Merkmal testen.

  2. Verstehen Sie die bestehenden Abhängigkeiten: Auf welche Konfigurationen oder codierten Funktionen wird vertraut?

  3. Testen Sie für jede Variation des Prozesses die wichtigen Steuerungsmerkmale, indem Sie die Transaktion simulieren. Versuchen Sie beispielsweise, eine Transaktion zu erstellen, die gegen die Validierungsregeln verstößt, um zu zeigen, dass die Transaktion blockiert wurde. Ändern Sie dann die Transaktion in "Funktionieren" und beachten Sie, dass die Transaktion erfolgreich ist.

Ein Überprüfungssteuerelement verwendet Informationen, in der Regel einen Report, um Diskrepanzen oder Ungenauigkeiten in Transaktionen oder Salden zu identifizieren.

Allgemeine Testschritte:

Was ist ein ausreichender Beweis für eine Überprüfungskontrolle, die je nach regulatorischem Umfeld variieren kann? Die folgenden Schritte dienen nur der allgemeinen Orientierung.

Zu den Schlüsselelementen eines Überprüfungssteuerelements gehört, dass das Steuerelement konsistent und wiederholbar ist (z. B. ändert sich der Schwellenwert für "nicht signifikant" nicht zwischen Monaten) und nachgewiesen wird (z. B. ist es für jemanden, der die Überprüfung überprüft, klar, dass der Prüfer alle Überprüfungsschritte abgeschlossen hat).

  1. Bestimmen Sie den Zweck der Kontrolle: Welche Arten von Fehlern, Betrug oder anderen Problemen soll die Überprüfungskontrolle identifizieren? Wird das Steuerelement beispielsweise verwendet, um ungewöhnliche Transaktionen, Fehler in einer Tabellenkalkulation oder falsche Annahmen zu finden.

  2. Verstehen Sie die Nachkommastellen, mit der das Steuerelement arbeitet. Findet das Steuerelement beispielsweise einen Fehler im Betrag von 10.000 präzise? Gibt es eine Schwelle, unterhalb derer Probleme ignoriert werden?

  3. Verstehen Sie die Informationsquelle: Was bewertet der Rezensent? Wie fühlt sich der Rezensent mit der Genauigkeit der Quelle wohl? Wenn ein Report verwendet wurde, wie überprüft der Prüfer, ob er ordnungsgemäß ausgeführt wurde? Die Überprüfung eines manuell zusammengestellten Reports ist viel riskanter als die Überprüfung eines direkt aus einem System ausgeführten Reports, obwohl beide Schritte erforderlich sein können, um die Vollständigkeit und Richtigkeit der Informationen nachzuweisen.

  4. Verstehen Sie, wie Erwartungen aufgebaut werden. Handelt es sich dabei um eine Überprüfung einer Liste von Transaktionen, bei der jede Transaktion überprüft und überprüft wird? Ist dies eine monatliche Überprüfung, um ungewöhnliche Muster oder Trends zu identifizieren? Wie identifiziert der Prüfer unerwartete oder ungewöhnliche Elemente für die Nachbereitung? Bewerten Sie, ob dies das in den Schritten 1 und 2 festgelegte Ziel erreicht.

  5. Überprüfen Sie die Überprüfung, und bewerten Sie, ob der Prüfer die Elemente für die Nachverfolgung korrekt identifiziert hat, wie in Schritt 4 definiert.

  6. Bewerten Sie, ob der Prüfer die Elemente für die Nachverfolgung korrekt nachverfolgt und korrigiert hat, wie in Schritt 4 definiert.

  7. Wenn es eine zweite Überprüfungsstufe gibt, überprüfen Sie die Beweise, dass diese Überprüfung stattgefunden hat und was genau überprüft wurde.

Testen Sie in einer separaten Übung die Vollständigkeit und Genauigkeit der Berichte, die im Überprüfungssteuerelement verwendet werden, um sicherzustellen, dass die Berichte ordnungsgemäß entworfen sind. Dies ist nicht dasselbe wie Schritt 3, in dem es um das Risiko einer falschen Ausführung des Reports geht.

Eine Abstimmung Kontrolle verwendet zwei oder mehr Informationsquellen, um die Vollständigkeit, Richtigkeit und Gültigkeit einer oder beider Informationsquellen zu überprüfen.

Allgemeine Testschritte:

  1. Bestimmen Sie, welche Informationsquelle validiert wird. Gibt es eine Quelle der Wahrheit, gegen die eine andere Informationsquelle geprüft wird? Oder werden zwei Informationsquellen gegeneinander abgeglichen, die beide den gleichen Fehler aufweisen könnten, die dann übereinstimmen oder abgeglichen werden würden?

  2. Bestimmen Sie, mit welcher Granularität die Rechnung durchgeführt wird. Saldo/Transaktion?

  3. Verstehen Sie die Informationsquellen. Wie erhält der Kontrolleur die Informationen? Wie überprüfen sie, ob die Quellen vollständig und korrekt sind (z. B. werden die Reports korrekt ausgeführt)?

  4. Verstehen Sie, ob es einen Schwellenwert gibt, unterhalb dessen Unterschiede akzeptiert werden.

  5. Überprüfen Sie die Beweise, um nachzuweisen, dass der Kontrolloperator die Abstimmung mit der erwarteten Nachkommastellen durchgeführt und Elemente oberhalb des Schwellenwerts nachverfolgt hat.

Eine eingeschränkte Zugriffskontrolle verhindert, dass unangemessene Benutzer bestimmte Funktionen verwenden.

Allgemeine Testschritte:

  1. Bestimmen Sie die Funktionalität, die den Zugriff verhindert.

  2. Machen Sie sich mit den Rollen in Sage Intacct vertraut, die den Zugriff auf diese Funktion ermöglichen.

  3. Überprüfen Sie die Zugriffslisten der Rollen, die den Zugriff auf die Funktion ermöglichen. Bewerten Sie, ob die Personen, die Zugang haben oder hatten, angemessen sind.

Möglicherweise benötigen Sie einen historischen Zugriffs-Report, da sich der Zugriff ändern kann.

Eine Funktionstrennung verhindert, dass Benutzer bestimmte problematische Zugriffskombinationen haben.

Allgemeine Testschritte:

  1. Bestimmen Sie die Liste der Kombinationen mit verbotenem Zugriff – die Geschäftsfunktionen, die nicht kombiniert werden sollten.

  2. Machen Sie sich mit den Rollen vertraut, die den Zugriff auf die einzelnen Zugriffstypen ermöglichen.

  3. Überprüfen Sie die Inserate, um festzustellen, ob es Benutzer gibt, die während des getesteten Zeitraums Zugriff auf die verbotenen Zugriffskombinationen haben oder hatten.

Möglicherweise benötigen Sie einen historischen Zugriffs-Report, da sich der Zugriff ändern kann.