SOX404条款的实施-控制例外事项与缺陷的评估框架.ppt

1控制例外事项与缺陷的评估框架萨班斯-奥克斯利法案( SOX ) 404 条款的实施 2 控制例外事项与缺陷的评估框架一、定义及其他背景信息二、控制例外事项与缺陷评估基本步骤三、控制例外事项与缺陷评估实例 3定义及其他背景信息 4 监督监督: 监督是对内部控制体系有效性进行评估的持续过程,包括:持续监督、独立评估和缺陷报告。 1)持续监督是在公司日常经营过程中进行的,包括日常的管理和监督活动,以及员工在履行职责时所采取的检查内部控制执行质量的行为。 2)独立评估就是独立于内部控制活动之外而采取的定期评估行为,独立评估的范围和频率,主要取决于风险评估和持续监督程序的有效性。独立评估内容包括:评估的范围和频率、评估过程、评估方法、文档记录。 3)缺陷报告是将内部控制缺陷自下而上报告的行为。缺陷报告的内容包括:汇集和报告发现的内部控制缺陷、汇报机制的适当性、跟进评估的适当性等。 5 内部控制缺陷内部控制缺陷: 当某项控制的设计或运行不能使管理层或员工在正常行使其职责过程中及时防止或发现错报时,表明存在内部控制缺陷。内部控制缺陷包括设计缺陷和运行缺陷: 设计缺陷:当缺少实现内部控制目标必需的某项控制措施时,或者当现有内部控制的设计不适当,以至于即使内部控制按照设计运行,通常也无法实现内部控制目标时,则存在设计缺陷。运行缺陷:当设计适当的内部控制没有按照设计运行,或者当执行内部控制的相关人员缺乏必要的授权或不具备实施有效控制的资格时,则存在运行缺陷。内部控制缺陷按照程度不同分为一般缺陷、重要缺陷和实质性漏洞。 6 一般缺陷、重要缺陷、实质性漏洞?一般缺陷( Control deficiency ): 如果内控设计或运行无法使管理层或员工在执行指定任务的正常过程中,及时防止或发现错报,那么就存在一般缺陷。?重要缺陷( Significant Deficiency ): 是一种严重影响公司根据公认会计准则要求,对外部财务数据进行可靠的初始化处理、授权、记录、处理和报告的能力的一个内部控制缺陷或多个控制缺陷的汇总。是一个财务报告内部控制缺陷或多个财务报告内部控制缺陷的联合,它在严重性上小于实质性漏洞,但其重要程度足以值得那些负责监督公司财务报告的人员注意( PCAOB5-A11 )。?实质性漏洞( Material Weakness ): 是财务报告内部控制的一个缺陷或多个缺陷的联合,以至于公司年度或中期财务报告的一个重大错报没有被及时防止或发现存在的合理可能性( PCAOB5-A7 )。(注:如果一个事项的可能性是“相当可能”或“很可能”,那么该事项就存在合理可能性。) 7 一般缺陷、重要缺陷、实质性漏洞(续) 实质性漏洞的认定标准: (1) 定量标准在考虑其补充、补偿控制后的经调整影响水平达到或超过重要性水平,直接认定为实质性漏洞。 (2) 定性标准财务报告内部控制存在实质性漏洞的迹象包括: 1)识别出与高级管理层有关的舞弊,无论重大与否; 2 )为反映对一个重大错报的更正而重述以前发布的财务报表; 3)审计师识别出了当期财务报表中的一个重大错报,而当期的情形表明公司财务报告内部控制没有发现该错报; 4)公司审计委员会对公司的对外财务报告和财务报告内部控制的监督无效。( PCAOB5-69 ) 注: PCAOB5-69 表示:第 5号审计准则——与财务报表审计相结合的财务报告内部控制审计第 69条。(下同) 8 一般缺陷、重要缺陷、实质性漏洞(续) 重要缺陷的认定标准: (1) 定量标准在考虑其补充、补偿控制后的经调整影响水平低于“重要性水平”,但是达到或超过“不重要水平”,直接认定为重要缺陷。(2) 定性标准(参考: PCAOB2-139 ) ①主体层面的控制( Entity-level control) : a 是否根据一般公认会计原则对会计政策进行选择和应用的控制。 b 非常规(非重复)或复杂交易的控制。 c 反舞弊程序和控制。 d 对于期末财务报告过程的控制包括:将交易总数过入总账,初始、授权、记录和处理总账中的日记账分录,记录财务报表中重复发生和非重复发生的调整等控制。②信息系统总体控制: a 如果信息系统应用控制中的重要缺陷与信息系统总体控制中的缺陷有关或由它所引起的,认定该信息系统总体控制缺陷也是重要缺陷。 b 如果信息系统应用控制中的一般缺陷与信息系统总体控制中的缺陷有关或由它所引起的,经过定性分析,认定为重要缺陷。 9 补偿性控制、补充性控制和冗余性控制?补偿性控制( Compensating controls ): 能够防范或发现年度或中期财务报告中影响程度“比较重要”或“重要”的错报的控制。其操作层面和执行力度的确定应当与实施该控制后仍然存在未发现错报的可能性相联系。(控制力度与效果相同