The KPMG Review

contents

Executive summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
1.1 Background . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
1.2 Objectives. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
1.3 Groups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
1.4 Effective date . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
2 The importance of internal control and risk management . . . . . . . . . 14
3 Maintaining a sound system of internal control . . . . . . . . . . . . . . . . . . 18
3.1 Responsibility for the system of internal control. . . . . . . . . . . . . . . . . . . . 18
3.2 The system of internal control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
3.3 Understanding the nature and context of control . . . . . . . . . . . . . . . . . . . 22
4 Reviewing the effectiveness of internal control. . . . . . . . . . . . . . . . . . . 27
4.1 Responsibility for reviewing the effectiveness of internal control . . . . . . 27
4.2 The process for reviewing effectiveness . . . . . . . . . . . . . . . . . . . . . . . . . . 30
4.3 Business objectives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
4.4 Risk identification and assessment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
4.5 Identification of appropriate controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
4.6 Monitoring of controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
5 Disclosure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
5.1 The new requirements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
5.2 Implementation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
5.3 Specimen statements on internal control . . . . . . . . . . . . . . . . . . . . . . . . . . 54
6 Internal audit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
6.1 Background . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56
6.2 The revised requirements. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
6.3 The role of internal audit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
6.4 Other assurance providers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60
7 The KPMG methodology . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61