SOX404条款的实施-控制例外事项与缺陷的评估框架

1控制例外事项与缺陷的评估框架萨班斯-奥克斯利法案（SOX）404条款的实施2控制例外事项与缺陷的评估框架一、定义及其他背景信息二、控制例外事项与缺陷评估基本步骤三、控制例外事项与缺陷评估实例3定义及其他背景信息4监督监督：监督是对内部控制体系有效性进行评估的持续过程，包括：持续监督、独立评估和缺陷报告。1）持续监督是在公司日常经营过程中进行的，包括日常的管理和监督活动，以及员工在履行职责时所采取的检查内部控制执行质量的行为。2）独立评估就是独立于内部控制活动之外而采取的定期评估行为，独立评估的范围和频率，主要取决于风险评估和持续监督程序的有效性。独立评估内容包括：评估的范围和频率、评估过程、评估方法、文档记录。3）缺陷报告是将内部控制缺陷自下而上报告的行为。缺陷报告的内容包括：汇集和报告发现的内部控制缺陷、汇报机制的适当性、跟进评估的适当性等。5内部控制缺陷内部控制缺陷：当某项控制的设计或运行不能使管理层或员工在正常行使其职责过程中及时防止或发现错报时，表明存在内部控制缺陷。内部控制缺陷包括设计缺陷和运行缺陷：设计缺陷：当缺少实现内部控制目标必需的某项控制措施时，或者当现有内部控制的设计不适当，以至于即使内部控制按照设计运行，通常也无法实现内部控制目标时，则存在设计缺陷。运行缺陷：当设计适当的内部控制没有按照设计运行，或者当执行内部控制的相关人员缺乏必要的授权或不具备实施有效控制的资格时，则存在运行缺陷。内部控制缺陷按照程度不同分为一般缺陷、重要缺陷和实质性漏洞。6一般缺陷、重要缺陷、实质性漏洞一般缺陷（Controldeficiency）：如果内控设计或运行无法使管理层或员工在执行指定任务的正常过程中，及时防止或发现错报，那么就存在一般缺陷。重要缺陷（SignificantDeficiency）：是一种严重影响公司根据公认会计准则要求，对外部财务数据进行可靠的初始化处理、授权、记录、处理和报告的能力的一个内部控制缺陷或多个控制缺陷的汇总。是一个财务报告内部控制缺陷或多个财务报告内部控制缺陷的联合，它在严重性上小于实质性漏洞，但其重要程度足以值得那些负责监督公司财务报告的人员注意（PCAOB5-A11）。实质性漏洞（MaterialWeakness）：是财务报告内部控制的一个缺陷或多个缺陷的联合，以至于公司年度或中期财务报告的一个重大错报没有被及时防止或发现存在的合理可能性（PCAOB5-A7）。（注：如果一个事项的可能性是“相当可能”或“很可能”，那么该事项就存在合理可能性。）7一般缺陷、重要缺陷、实质性漏洞（续）实质性漏洞的认定标准：(1)定量标准在考虑其补充、补偿控制后的经调整影响水平达到或超过重要性水平，直接认定为实质性漏洞。(2)定性标准财务报告内部控制存在实质性漏洞的迹象包括：1）识别出与高级管理层有关的舞弊，无论重大与否；2）为反映对一个重大错报的更正而重述以前发布的财务报表；3）审计师识别出了当期财务报表中的一个重大错报，而当期的情形表明公司财务报告内部控制没有发现该错报；4）公司审计委员会对公司的对外财务报告和财务报告内部控制的监督无效。（PCAOB5-69）注：PCAOB5-69表示：第5号审计准则——与财务报表审计相结合的财务报告内部控制审计第69条。（下同）8一般缺陷、重要缺陷、实质性漏洞（续）重要缺陷的认定标准：(1)定量标准在考虑其补充、补偿控制后的经调整影响水平低于“重要性水平”，但是达到或超过“不重要水平”，直接认定为重要缺陷。(2)定性标准（参考：PCAOB2-139）①主体层面的控制（Entity-levelcontrol)：a是否根据一般公认会计原则对会计政策进行选择和应用的控制。b非常规(非重复)或复杂交易的控制。c反舞弊程序和控制。d对于期末财务报告过程的控制包括：将交易总数过入总账，初始、授权、记录和处理总账中的日记账分录，记录财务报表中重复发生和非重复发生的调整等控制。②信息系统总体控制：a如果信息系统应用控制中的重要缺陷与信息系统总体控制中的缺陷有关或由它所引起的，认定该信息系统总体控制缺陷也是重要缺陷。b如果信息系统应用控制中的一般缺陷与信息系统总体控制中的缺陷有关或由它所引起的，经过定性分析，认定为重要缺陷。9补偿性控制、补充性控制和冗余性控制补偿性控制（Compensatingcontrols）：能够防范或发现年度或中期财务报告中影响程度“比较重要”或“重要”的错报的控制。其操作层面和执行力度的确定应当与实施该控制后仍然存在未发现错报的可能性相联系。（控制力度与效果相同。）补充性控制（Complementarycontrols）：与其它控制共同作用以实现相同控制目标的控制。（不同的控制力度与效果。）冗余性控制（Redundantcontrols）实现与其他控制相同控制目标的控制。10重要性水平、不重要性水平重要性：指在特定环境下，一个理性的人依赖该信息所做的决策可能因为这一错报或漏报得以变化或修正（FASB）。在规划财务报告内部控制审计时，审计师使用的重要性判断应当与其规划公司年度财务报表审计时使用的重要性判断相同（PCAOB5-20）。重要性水平一般为税前利润/损失的5%。不重要水平：一般为重要性水平的20%，即为税前利润/损失的1%。11统计样本量–90%准确率样本量0123456789102010.918.1*********258.814.719.9********307.412.416.8********356.410.714.518.1*******405.69.412.81619******4558.411.414.31719.7*****504.67.610.312.915.417.8*****554.16.99.411.814.116.318.4****603.86.48.710.812.91516.918.9***703.35.57.59.311.112.914.616.317.919.6*802.94.86.68.29.811.312.814.315.817.218.6902.64.35.97.38.710.111.512.814.115.416.61002.33.95.36.67.99.110.311.512.713.91512023.34.45.56.67.68.79.710.711.612.61601.52.53.34.255.86.57.388.89.52001.222.73.444.65.35.96.57.17.6发现的偏差实际数量控制测试统计取样结果评估—控制风险评估时把10%定为风险上限过低12总体影响水平和调整后的影响水平总体影响水平：在考虑补充控制、冗余控制或补偿性控制之前，不考虑偏差率上限或错报发生发生的可能性，对缺陷影响年度或期中财务报表的余额或发生额的最差估计。影响总体影响水平的因素包括：1）受缺陷影响的年度或期中财务报表余额或发生额；2）受缺陷影响的会计科目或交易类型在本年度或期中财务报表期间已发生的或预计发生将来会发生的活动量。调整后的影响水平=总体影响水平*偏差率上限13审计准则第5号——评价识别出的缺陷PCAOB5-62：审计师必须评价其注意到的每一控制缺陷的严重性，以确定在管理层评价这些缺陷单独或联合起来是否是实质性漏洞。PCAOB5-63：一个缺陷的严重性取决于：（1）公司的控制没有防止或发现一个会计科目余额或披露事项的错报是否存在合理可能性；（2）由这个缺陷或多个缺陷导致的潜在错报的大小。PCAOB5-64：一个缺陷的严重性并不取决于一个错报是否实际发生，而是取决于公司的控制没有防止或发现一个错报是否存在合理可能性。14审计准则第5号——评价识别出的缺陷（续）PCAOB5-65：风险因素会影响一个缺陷或缺陷的联合导致一个会计科目余额或披露事项发生错报是否存在合理可能性。这些因素包括，但不限于：1）财务报告会计科目、披露事项和相关认定的性质；2）相关的资产或负债易受损失或舞弊影响的程度；3）确定相关数额所需判断的主观性、复杂性或程度；4）该项控制与其他控制的相互作用或相互关系，包括它们是否相互依赖或重复，即控制冗余；5）缺陷的相互作用；6）缺陷未来的可能后果。注：影响相同财务报表会计科目余额或披露的多个控制缺陷增大了错报的可能性，并且联合起来可能构成一个实质性漏洞，尽管这些缺陷单独可能不严重。因此，审计师应当确定影响相同的重要会计科目或披露事项、相关认定或内部控制要素的单独控制缺陷总体上是否会形成实质性漏洞。15审计准则第5号——评价识别出的缺陷（续）PCAOB5-66：对由一个或多个控制缺陷导致的错报来说，影响其大小的因素包括但不限于下列因素（1）暴露与该缺陷的财务报表数额或交易总额；（2）对当期已发生或预计未来期间会出现的缺陷，暴露于该缺陷的会计科目余额或交易类别中所含活动的数量。PCAOB5-67：在评价潜在错报的大小时，一个会计科目余额或交易总额可以被高报的最大数额通常是记录的总额，而低报可能性会更大。而且，在许多情况下，一个小错报的可能性比一个大错报的可能性要大。PCAOB5-68：在确定一个控制缺陷或多个控制缺陷的联合是一个实质性漏洞时，审计师应当评价补偿性控制的作用。为了具有减轻的作用，补偿性控制应当在会运行在会防止或发现重大错报的精确层面上。16审计准则第5号——实质性漏洞的迹象PCAOB5-69（略）。PCAOB5-70：在评价一个缺陷或多个缺陷的联合的严重性时，审计师还应当确定细节的水平和保证的程度，它们要使谨慎的职员在处理其事务时确信他们合理保证对交易进行了必要的记录以允许按照公认会计原则编制财务报表。如果审计师确定，一个缺陷或多个缺陷的联合使谨慎的职员在处理其事务时不能判定他们合理保证对交易进行了必要的记录以允许按照公认会计原则编制财务报表，那么，审计师应当将这个缺陷或多个缺陷的联合视为实质性漏洞的一个迹象。17控制例外事项与缺陷评估基本步骤18内控缺陷的识别、评估和分类步骤步骤1：识别缺陷步骤2：了解及评估缺陷步骤3：评估错报的可能性步骤4：评估错报的潜在重大程度步骤5：识别补偿性控制步骤6：确定缺陷的类别步骤7：与其他缺陷一同进行评估19图表1：评估在运行有效性测试中发现的例外事项步骤框1.调查并了解例外事项产生的原因和导致的结果。是否实现了测试目标（例如，实际的偏差率是否小于或等于计划的偏差率）？步骤框2.考虑管理层和审计师的测试结果以及从步骤框1中获得的信息，追加测试是否有可能支持“偏差率或发现的例外事项不能代表总体”的结论？控制缺陷步骤框3.追加测试并重新评估。是否实现了测试目标？是可忽略的例外事项，不是控制缺陷。不需要进一步考虑。否是否是否是用于评估在穿行设计有效性测试和关键控制运行有效性测试中发现的所有控制例外事项，包括控制活动测试、信息系统总体控制测试和主体层面控制测试。20图表1中的关键点步骤框1：所有例外事项都应该进行定量和定性的评估。在判断是否达到测试目标时，应该考虑的因素包括：1）与控制执行频率相关的偏差率；2）定性因素，包括被确认为系统性的或反复发生的例外情况以及PCAOB5中所列因素相关的例外情况；3）例外情况是否已经导致财务报表错报。控制目标可以通过单个或多个控制实现。控制测试可以用于测试可实现控制目标的单个控制或多个控制的组合。21图表1中的关键点步骤框2：如果没有达到测试目标，应该考虑追加的测试是否可以支持偏差率不能代表总体的结论。得到“是”的结论是基于该例外事项不是足以代表总量的较小的控制错误。这种情况是基于审计凭证及审计师根据对控制环境及测试取样标准所做判断的结果。步骤框3：如果没有达到最初测试目标，那么有两个选择：1）如果认为观察到的例外情况和所导致的不可忽视的偏差率对总体来说没有代表性（如：由于抽样错误），那么可以扩大测试样本量并进行重新评估2）如果认为观察到的例外情况和导致的不可忽视的偏差率可以代表总体，则认为此例外情况构成控制缺陷并将对重要性进行评估。22图表2A：评估流程/交易层面控制缺陷的评估步骤1：确定