萨班斯-奥克斯利法案404条款的实施
缺陷评估框架
相关主题
近期从已完成美国第二年和FPI(在美上市的外资企业)实施404条款事宜中得到的教训
控制例外事项和缺陷评估框架(下称“框架”)中的相关定义
框架中的图表及说明
运用框架进行评估的一些例外事项实例
得到的教训 – FPI频发的实质性漏洞
会计文档、政策和/或程序
控制环境
资历、培训及会计资源的充足性
信息技术、软件、安全及访问
职责分离
现金流报表的呈示及分类
收入确认
所得税核算
派生金融工具
关联方
库存及销售成本
统计 – 实质性漏洞 –
得到的教训 – 缺陷评估
控制例外事项与缺陷评估框架仍是一项有效的工具:
仍需管理层及审计师做出重要判断;
其它实践经验将起到帮助作用。
出现最大困难的方面:
中期重要性水平;
汇总;
“可能因素”( “Could factor” );
补偿性控制;
理由充分的立场。
得到的教训 – 整改
及时性的概念,以便公司对现有实质性漏洞予以整改:
年底之前,各项控制必须完成设计、执行到位并且据可操作性;
在充足期限内,各项控制必须能够展示出其运行有效性。(有关“充足期限”,详见下页)
整改工作比预期时间长:
控制缺陷的数量;
IT整改需要花费大量时间 – 特别是信息系统总体控制(ITGC)。
第1年内的大量整改工作是一个“补缺”步骤;第2年取得进展,而第3年实现更大进展。
频率/最少运行时间
(*) 包括第4季度
(**) 若一项新控制经实施超过90日,使用常规样本量指导。
得到的教训 – 市场反应
虽然市场曾经对失效的财务报告内部控制(ICFR)有过“一次性”的反应,市场尚未对实质性漏洞的实际报告做出重大反应:
这说明:多数公司在向市场提供实质性漏洞预警方面已经采取了有效措施,例如新闻发布、通过8K表对重新编报进行公告等, 因此,市场在年终实际报告前已考虑了实质性漏洞。
得到的教训 – 市场反应
Moody’s继续对实质性漏洞予以划分:
A类 – 针对流程:
- 审计师仍可进行审计。
B类 – 普遍的:
-审计难度更大;
-当其它负面因素出现时,Moody’s 内部委员会(credit committee)进行审核并降低等级。
按照Moody’s分类,公司第2年的实质性漏洞中,约1/3属于B类。
此外,Moody’s将失职报备公司视为其报告了B类实质性漏洞。
得到的教训 – 市场反应
清晰透明地披露实质性漏洞非常重要:
使读者全面了解实质性漏洞的性质;
防止投资者的不当反应。
投资者期望对实质性漏洞的计划整改措施进行全面探讨。
控制例外事项与缺陷的评估框架
的运用
缺陷评估框架概述
包括“四大”在内的九家事务所共同开发了一个用于评估控制缺陷的框架
该框架与PCAOB审计准则第2号的观点一致
单独考虑每个控制缺陷
每个缺陷必须界定为“一般缺陷”、“重大缺陷”或“实质性漏洞”
需要进行分类的缺陷包括未整改的缺陷以及已经整改但尚未通过重新测试的缺陷
对于一个控制缺陷,如果存在相应的冗余性控制和与具原控制相似的控制效果的补偿性控制能提供并且将该缺陷的影响额度降低至“不重要” ,则该控制缺陷可被界定为“一般缺陷” 。
对于一个控制缺陷,如果存在相应的补偿性控制能将该缺陷的影响程度降低至“重要”以下,但仍“比较重要”,则该控制缺陷可被界定为“重大缺陷”
将控制缺陷汇总后再次评估
在对单个缺陷进行评估后,需要将它们进行汇总以评定其总体影响是否构成“重大缺陷”或“实质性漏洞”
汇总就是通过科目余额、财务披露和COSO要素等方式将缺陷集合起来
控制例外事项与缺陷的评估框架
图表1 – 运行有效性测试中发现的例外事项
图表2 – 流程/交易层面控制中的缺陷
图表3 – 信息系统总体控制中的缺陷
图表4 – 信息系统总体控制以外的广泛控制中的缺陷
缺陷汇总
定义及其它背景信息
补偿性控制、补充性控制和冗余性控制
补偿性控制-能够防范或发现年度或中期财务报告中影响程度“比较重要”或“重要”的错报的控制。其操作层面和执行力度的确定应当与实施该控制后仍然存在未发现错报的可能性相联系。(例如:所有付款请求必须经过审批。所有超过1000美元的审批均要求有部门负责人及主管签字。)
补充性控制-与其它控制共同作用以实现相同控制目标的控制。(;例如: 对于所有付款请求,提出请求的部门及应付账款职员需对其准确性及完整性进行审核及审批, 并确保该请求与现有采购单相符。)
冗余性控制-实现与其他控制相同控制目标的控制。(例如:对控制活动的多重审核——对相同数据/计算,由三个独立个人进行三重审核。)
控制实施支持性证明文件的评估
PCAOB审计准则第2号第97段
控制的性质还影响到审计师所做控制测试的性质。例如,审计师会检查与配有证明文件的控制相关的文件。但是,可能不存在与控制环境某些方面相关的证明文件,例如:管理层的价值观和操作风格。在控制或控制实施证明文件不存在或预计不存在的情况下,审计师的控制测试内容将包括询问相关人员及观察公司业务活动。再举个例子:签字人在凭证包上签字确认,这并不表示签字人在签字前已经认真审核了该凭证包。可能只是粗略的审核了一下(或者根本没有审核),就在凭证包上签字了。因此,该控制是否有效执行的相关证明可能不是那么有说服力。在这种情况下,审计师应重新执行该项控制(例如:检查价格、扩展及增加等),作为控制测试的一部分。此外,审计师还可询问负责审批凭证包的人:当其审批凭证包是所注意的是什么, 以及审批凭证包的过程中发现了多少错误。 审计师还可以询问主管人员:是否知晓除凭证包审批负责人发现的错误。
控制实施支持性证明文件的评估
PCAOB员工问答 - 问题53。
审计准则第2号是否推崇这样一个思想:在缺少控制实施证明文件的情况下,控制应假定为操作失效?
不是。审计准则第2号没有涵盖仅仅由于缺少控制操作的证明文件,就当控制失效的假设。这样的假设会使管理层在保持有效内部控制的程序上形成“签字并归档”心理——即控制实施的签字或其它证明会变得比控制实施本身更加重要。事实上,审计准则第2号强调的是获取证明的重要性,这对于支持控制是否有效实施的结论更加具有说服力。因此,缺少单个控制实施的证明文件不是控制是否有效实施的决定性因素。但,审计师必须确保控制实际实施了。
总体影响水平和调整后的影响水平
总体影响水平—在考虑补充、冗余或补偿性控制之前,不考虑偏差率上限或发生错报的可能性,对缺陷(例如:期间通过控制获得的美元交易量)影响年度或中期财务报表的余额或发生额的最差(最悲观)估计。
调整后的影响水平—按偏差率上限调整的总体影响水平(即基于取样结果的偏差率统计导出估算值,对此,存在一个极小的可能性:样本总体内的真实偏差率高于这一估算值)。偏差率上限指对基于抽样结果的偏差率的统计估计,在控制频率是每日的或更频繁的情况下,总体的实际偏差率大于该比率的可能性极小。
在估计控制缺陷对年度或中期财务报表的错报的潜在影响程度时,要同时考虑总体影响水平和调整后的影响水平。
总体影响水平和调整后的影响水平
总体影响水平:$3,000,000
不重要水平(税前相当口径): $100,000
重要水平(税前相当口径) :$500,000
流程:支出(不含库存购入)
会计科目:经营支出、其它资产、固定资产、 应付账款
认定:存在
控制目标:列入应付账款的数额代表收到的货物/服务。
控制活动:对发票进行适当审批并配备相关文档;及时调查并解决差异
总体影响水平和调整后的影响水平
测试目标:选取25项支出,测试其是否经过了适当审批,且认为其中不应出现例外事项以满足偏差率上限不超过%*(按90%确信度)。
测试结果:若25项中存在1个例外事项,则被视为不可忽略情况(即超过计划例外事项率) 。得出的初步结论为:最初测试目标未实现。进一步的定性评估指出:追加测试可支持偏差率不代表样本总量的结论。在第二次抽取的25个样本中,发现了2个例外事项。50个样本中3个例外事项的偏差率上限为%*。调整后的影响水平计算公式:$3,000,000 x % = $387,000。调整后的影响水平方法假定错报的可能性与样本总量内的偏差率比例相同。
总体影响水平和调整后的影响水平
结论:根据调整后的总体影响水平,存在大于微小可能性的情况:年度财务报表的潜在错报可能大于“不重要”(但低于“重要”),因此,该缺陷界定为“重大缺陷”。
统计样本量–90%准确率
框架的图表1
图表1中的判断
步骤框1.调查并了解例外事项产生的原因和导致的结果。是否实现了测试目标(例如,实际的偏差率是否小于或等于计划的偏差率)?
是可忽略的例外事项,不是控制缺陷。不需要进一步考虑。
步骤框3.追加测试并重新评估。是否实现了测试目标?
控制缺陷
步骤框2.考虑管理层和审计师的测试结果以及从步骤框1中获得的信息,追加测试是否有可能支持“偏差率或发现的例外事项不能代表总体”的结论?
是
否
是
否
否
是
图表1中的关键点
用于评估在关键控制运行有效性测试中发现的所有控制例外事项,包括控制活动测试、信息系统总体控制测试和其它除信息系统总体控制之外的广泛性控制测试。
不适用于业务操作控制、非关键控制或与重要会计科目无关的控制的例外事项。
这些项目无需记录在缺陷汇总中
图表1中的关键点
步骤框2:得到“是” 的结论是基于该例外事项不是足以代表总量的较小的控制错误。这种情况是基于审计凭证及审计师根据对控制环境及测试取样标准所做判断的结果。
流程/交易层面控制缺陷的评估
(图表2)
本部分幻灯片上的实例仅作说明之用。实际情况会对评估结果产生重大影响。由于审计准则第2号和例外事项及缺陷评估框架均未对缺陷判断及评估给出说明性指导,因此有必要做出重大判断。证明缺陷(包括汇总内的缺陷)判断及评估流程描述详细且逻辑性强的文档至关重要。
评估流程/交易层面控制缺陷的评估(图表2A)
否
步骤框1. 潜在的错报是否对年度及中期财务报表都“不重要”?
一般缺陷
步骤框2. 经过测试和评估后是否存在实现相同的控制目标的补充或冗余性控制?
否
步骤框3. 经过测试和评估后是否存在补偿性控制能够使年度和中期财务报表错报的影响程度降低至“不重要”?
步骤框7. 在考虑对年度和中期财务报表的影响后,一个谨慎的管理者是否会认为该缺陷至少是一种重大缺陷?
到步骤 2
否
是
否
步骤1:确定是否存在重大缺陷
是
评估流程/交易层面控制缺陷的评估(图表2B)
否
步骤框4. 潜在的错报对年度或中期财务报表的影响程度是否都低于“重要”?
重大缺陷
步骤框5. 经过测试和评估后是否存在补偿性控制能够使潜在错报对年度及中期财务报表的影响程度低于“重要” ?
否
步骤框6. 基于其它额外信息进行补充评估后,是否能认为年度及中期财务报表发生“重大”错报的可能性都是“微小”的?
步骤框8. 在考虑对年度和中期财务报表的影响后,一个谨慎的管理者是否会认为该缺陷属于实质性漏洞?
实质性漏洞
否
是
否
步骤2:确定是否存在实质性漏洞
是
步骤框1 – 计算潜在影响程度
计算潜在的影响程度时,应当基于当前所有信息对潜在影响进行估计,即考虑“可能”发生什么。
已知的错报有时能在计算潜在影响程度时给予很好的提示。
框架中对步骤框1提出的指导原则中所述及的“其它相关措施”。
这些相关措施构成一种定量分析模式,它同时考虑影响程度和可能性,并反映总体/调整后的影响水平。这种模式要求结合相关的定性因素评估多种缺陷,实现起来非常困难,尚没有人进行过成功尝试。
步骤框3 和 5 - 补偿性控制
假设有关有权制作及录入的手工会计凭证的控制无效
管理层审批 >$1m
业务单位分析
高水平的合并分析
图表2 – 步骤2
确定是否存在实质性漏洞
否
步骤框4. 潜在的错报对年度或中期财务报表的影响程度是否都低于“重要”?
重大缺陷
步骤框5. 经过测试和评估后是否存在补偿性控制能够使潜在错报对年度及中期财务报表的影响程度低于“重要” ?
否
步骤框6. 基于其它额外信息进行补充评估后,是否能认为年度及中期财务报表发生“重大”错报的可能性都是“微小”的?
步骤框8. 在考虑对年度和中期财务报表的影响后,一个谨慎的管理者是否会认为该缺陷属于实质性漏洞?
实质性漏洞
否
是
否
是
步骤框6—缺陷评估的重要性水平
重要性水平的定义与财务报表审计以及内部控制审计所使用的定义相同。
评估重要性水平时,必须同时考虑定量及定性因素。
进行缺陷评估时使用总体重要性水平(而非计划重要性水平)。
重要性水平的应用是非常主观的。
步骤框6—补充评估后是否认为重大错报的可能性是微小的?
所涉及的财务报表科目、披露和认定的性质,例如临时科目和关联方交易可能具有更大的风险。
相关资产或负债受损失或舞弊行为的影响程度,即受影响的程度较大意味着较大的风险。
确定涉及金额所需判断的主观性、复杂性或程度,即,主观性、复杂性越大,或判断越多,比如与会计估计有关,则风险也越大
对控制运行有效性测试来说,已知或发现的例外事项的产生原因和频率,例如,被发现存在不可忽视的偏差率的控制构成控制缺陷
与其它控制之间的互动或关系,即控制的相互依赖和控制之间的冗余。
既有缺陷在将来可能产生的后果。
以前年度及当年发生的错报显示风险的增加 (审计准则第2号第140段)。
与总体重要性水平相关的调整后的影响水平。
图表2 中的关键点
步骤框1、2和3应该分开考虑。调整后的影响水平不应该因为补偿和补充或冗余性控制的定量影响而降低。
“谨慎的管理者”的概念有时被用作“华尔街日报测试”。如果相关的事实及结论出现在华尔街日报的封面,一个具有常规知识和信息的个人是否会与管理层和审计师一样,认为该缺陷仅仅是一个一般缺陷?
如果缺陷存在,很难仅以定性因素推断“比较重要”的错报的可能性是“微小”的。通常情况下,只有通过识别并测试冗余/补充/补偿性控制,才有可能合理推断一个缺陷的影响度“不重要” 。
框架的图表3
图表3-信息系统总体控制缺陷的评估
否
步骤框1 经过测试和评估后,是否存在实现相同控制目标的补充或冗余性的信息系统总体控制?
步骤框2 是否存在与信息系统总体控制缺陷有关或由它引起的运用图表2评估的应用系统层面的控制缺陷?
步骤框3 与信息系统总体控制缺陷有关或由它引起的应用系统层面的控制缺陷是否仅被确定为一般缺陷?
步骤框4 与信息系统总体控制缺陷有关或由它引起的应用系统层面的控制缺陷是否被确定为重大缺陷?
实质性漏洞
步骤框5 基于其它额外信息进行补充评估后,是否认为该信息系统总体控制缺陷属于重大缺陷?
或
一位谨慎的管理者是否会认为该信息系统总体控制缺陷是一项重大缺陷?
重大缺陷
是
一般缺陷
是
是
是
是
否
否
否
否
图表3中的关键点
所有信息系统总体控制的缺陷都应运用图表3进行评估。
若信息系统总体控制具有应用系统层面控制的作用,则也可以运用图表2对其进行评估。(直接影响财务应用系统、会计科目或余额等的问题)
信息系统总体控制为信息系统应用控制的依赖提供基础,同时也为财务报表审计中所使用的管理层报告提供支持。
如果信息系统总体控制出现的问题并不严重,在某种程度上还是可以依赖信息系统应用控制的。
如果若干控制联合作用以达到既定的信息处理目标,那么还需测试相互依赖的控制(即补充性控制)。
步骤框5:补充评估如下因素后,是否认为相关信息系统总体控制缺陷属于重大缺陷?
缺陷的性质和影响程度。
缺陷的普遍性。
公司系统环境的复杂性和缺陷会负面影响信息系统应用控制的可能性。
控制与应用系统和数据的关联程度。
信息系统总体控制缺陷是否与易受损失或舞弊影响的会计科目和披露事项的应用系统和控制相关?
在信息系统总体控制的运行有效性中已知或发现的例外事项的原因和频率。
受信息系统总体控制缺陷影响的应用系统相关错报的历史。
框架的图表4
图表4-信息系统总体控制之外的广泛性控制的缺陷的评估
步骤框7 在考虑对年度和中期财务报表的影响后,一个谨慎的管理者是否会认为该缺陷至少为重大缺陷?
步骤框8 在考虑对年度和中期财务报表的影响后,一个谨慎的审计师是否会认为该缺陷为实质性漏洞?
一般缺陷
重大缺陷
步骤框2 该缺陷是否属于审计准则第2号第140段所列示的情况(即很有可能与实质性漏洞相联系)?
步骤框3 经过测试和评估后,是否存在确定控制缺陷仅为一般缺陷的补充或冗余的程序和控制或补偿性控制?
步骤框5 经过测试和评估后,是否存在确定控制缺陷仅为重大缺陷的补偿性控制?
步骤框6 基于其它因素进行补充评估后能否认为控制缺陷导致年度或中期财务报表出现重大错报的可能性是“微小”的?
实质性漏洞
步骤框1 缺陷是否属于审计准则第2号第139段所列示的情况(即至少是一项重大缺陷)?
步骤框4 基于其它因素进行补充评估后能否认为控制缺陷导致年度或中期财务报告出现“比较重要”的错报的可能性是“微小”的?
否
是
是
是
是
是
是
是
否
否
否
否
否
否
否
否
缺陷汇总及其它需考虑事项
缺陷汇总
根据以下类别对缺陷进行汇总:
重要科目余额
应付账款
工资总额
收入
披露
收入确认
GAAP(公认会计准则)披露
COSO组成要素
COSO五要素中各个要素
还需考虑控制缺陷数量
GAAP应用方面的缺陷评估
图表2主要用于评估那些有可能直接引致财务报表错报的缺陷。
图表4主要用于评估COSO的“软”要素方面的缺陷,这些缺陷对财务报表没有直接影响,但增加了其错报的可能性。
GAAP的选择和应用属于COSO“信息与沟通”要素的一部分,其无效控制有可能直接导致财务报表错报。
GAAP应用方面的缺陷评估
控制缺陷的数量
审计调整很少
单一科目
很多调整
众多科目受到影响
针对非日常/复杂交易的调整较少
科目层面的 实质性漏洞
GAAP进行非日常/复杂交易处理相关的无效控制
广泛性控制问题
按照COSO的“信息与沟通要素”对GAAP选择和应用中的缺陷进行汇总。
图表2
图表 4
其它需考虑事项
审计调整的存在表明控制缺陷的存在--这些潜在的控制缺陷应该汇总考虑。
只有在信息系统总体控制有效的情况下,才有可能依赖自动化的信息系统应用控制、会计处理流程和相关报告。
对于多个关键控制共同满足同一信息处理目标的情况,需要对每个控制都进行测试。
针对信息系统总体控制和交易层面的控制漏洞,应该有所跟进。
需要评估的内容
未予整改的控制
已经整改--但还没计划重新测试--整改措施已经实施但尚未进行重新测试的控制
未通过重新测试的控制
?
评估指引
以相同形式单独评估各缺陷的决策树
流程/交易
IT总体控制
广泛性控制
在某些IT领域中的控制将使用流程/交易决策树,例如:应用系统及数据库层面的逻辑安全和变更控制,这些控制或为交易层面的控制,或为与应用系统和交易层面控制直接相关的控制。
考虑编制统一的评估模板,用以反映流程/交易指引并记录事实的标准格式,以此作为所得结论的依据(即:针对图表2及图表3使用)。
评估的流程
将缺陷汇总表上的各个项目索引至已测试的关键控制
将待评估的项目转入各个模板
识别相关的风险及交易认定
按业务单位对存在的补偿性控制进行分类
-冗余性、补充性(控制力度与效果相同)、补偿性(不同的控制力度与效果),例如对账、差异分析、波动分析、业绩评审等
将其它已通过测试的补偿性控制并入考虑范围
评估的流程
与范围界定相联系(公司、总帐科目层面)
将潜在错报的影响程度量化
获取更多的额外信息来支持缺陷汇总评估
将评估情况汇总至缺陷汇总表
缺陷汇总表内隐藏栏内的所有信息均需填写,以便汇总
按重要科目(10K)、披露事项和COSO要素评估缺陷的影响
评估模板
请参考缺陷评估相关Word文档以及评估所需的其它信息
进行评估的一些实例
实例 1
控制描述:
流程的文档记录完整正确。文档记录包括一份叙述性文件和一份流程图文件,明确指出并描述控制活动的详细内容。文档记录应与每个流程负责人员的活动保持一致。
实例1
跟单作业或测试结果:
控制文档与员工实际执行的控制不符,或控制流程图不适合实际控制流程。
实例1——评估
文档正确,用户没有正确地执行控制。属缺陷。
文档不正确,实际控制的执行方式与文档记录不同。
如果管理层及时做出合理的改变,那么不会出现问题——无缺陷。
如果管理层没有将文档调整,以正确地适应控制程序——缺陷。
.
实例1——评估
图表1——评估运行有效性
步骤框1:调查并了解例外事项产生的原因和导致的结果。是否实现了测试目标?没有——见步骤框 2。
步骤框2: 考虑管理层和审计师的测试结果—— 补充测试是否有可能支持“偏差率不能代表总体”的结论? 否。 这是一个控制缺陷。 否-见步骤框1 – 图表2 – 评估流程/交易层面控制的缺陷。
实例1——评估
图表 2 – 评估流程/交易层面控制缺陷
步骤框1:对财务报表的潜在影响程度是否不重要?是 见步骤框7。
步骤框7:在考虑对财务报表的影响后,一个谨慎的管理者是否会认为该缺陷至少是一种重大缺陷?
否 —— 缺陷
总体影响水平= 对财务无影响
文档问题
实例2
控制描述:
综合财务合并金额,抵除公司之间的债项结余,执行具体计算,显示具体计算的月度和年度财务结果。由第三方审核财务计算的准确性和完整性,以确保公司业绩能够适当披露。
总体影响水平: 10,000,000美元
不重要水平 (税前相当口径): 100,000美元
重要性水平 (税前相当口径): 500,000美元
实例2
跟单作业或测试结果:
执行财务信息计算的员工,也是地方层面上这些计算的审核人和批准人。
或者
在地方层面,重要财务计算不由第三方审核或批准。
实例2——评估
如果财务信息的具体计算未经第三方详细验证和批准,或如果这些计算由执行原始计算的员工重新核对和验证,那么会导致缺陷。
实例2——评估
图表1—— 评估运行有效性
步骤框1: 调查并了解例外事项产生的原因和导致的结果。是否实现了测试目标? 没有 —— 见步骤框 2。
步骤框2: 考虑管理层和审计师的测试结果——补充测试是否有可能支持“偏差率不能代表总体”的结论? 否。 这是一个控制缺陷。 否 -见步骤框1 – 图表2 – 评估流程/交易层面控制的缺陷。
实例2——评估
图表2——评估流程/交易层面控制缺陷
步骤框1: 对财务报表的潜在影响程度是否不重要?是 见步骤框7。
步骤框7:在考虑对财务报表的影响后,一个谨慎的管理者是否会认为该缺陷至少是一种重大缺陷? 否 —— 缺陷
总体影响水平 = 10,000,000美元
实例3
控制描述:
对已收货款和服务款,开具发票得到合理授权,并附有包含货物/服务收据的支持性文件。及时调查和解决差异。
总体影响水平: 5,000,000美元
不重要水平 (税前相当口径): 100,000美元
重要性水平 (税前相当口径): 500,000美元
实例3
跟单作业或测试结果:
销售商开出的发票,与付款前产品或服务的实际收据不一致。
在一个包含30个交易的样本中,我们发现,有两张发票(总金额20,000美元)没有支持性文件和原始付款批准证据。通过该控制进行交易的金额约为每年5,000,000美元。 全部重要性金额为500,000美元。然而,应付帐款主管在付款前对100,000多美元的总支付额进行审核,并签署付款 (约90%的总支付额)。
实例3——评估
测试组在一个包含30个抽取项的样本中发现了2个问题——缺陷。
实例3——评估
图表1——评估运行有效性
步骤框1: 调查并了解例外事项产生的原因和导致的结果。是否实现了测试目标? 否——见步骤框2。
步骤框2: 考虑管理层和审计师的测试结果——补充测试是否有可能支持“偏差率不能代表总体”的结论? 否。 这是一个控制缺陷。 否 —— 见步骤框1 – 图表2 – 评估流程/交易层面控制的缺陷。
实例3——评估
图表2——评估流程/交易层面控制缺陷
步骤框1: 对财务报表的潜在影响程度是否不重要?否 见步骤框2。
步骤框2:是否存在实现相同控制目标的补充/冗余性的信息系统总体控制?否-见步骤框3。
步骤框3:是否存在补偿性控制能够使财务报表错报的影响程度降低至“不重要”? 是 – 结束控制缺陷。
总体影响水平 = $5,000,000 – ($5,000,000 X .90) = $500,000
调整后的影响水平 = 2个例外事项/30个样本 = .168 X $500,000 = $84,000 (不重要)
实例4
控制描述:
对全部本地银行帐户,按月核对帐面价值、银行存款余额等。在每个地点,由财务经理审核对帐并签署。
总体影响水平: 2,000,000美元
不重要水平 (税前相当口径): 100,000美元
重要性水平 (税前相当口径): 500,000美元
实例4
跟单作业或测试结果:
对银行帐户执行的对帐金额,与银行对帐单不符。
测试组抽取30个银行帐户进行审核和测试。测试组发现,有1个帐户在3个多月中还没有被对帐 (约90,000美元),监督审核没有一致的文档记录。补充调查发现,大多数财务经理没有意识到,他们需要审核,并按照审核情况实际签署。即使财务经理表示这些文档可以被改进,他们也要确保那些帐户被定期审核。
对30个交易的补充测试发现,有两个额外帐户没有核对 (总金额50,000美元)
实例 4 ——评估
对3个地方帐户,缺乏按月对帐程序——缺陷。
在对帐程序上,缺乏地方单位财务主管的审核——缺陷#2。
实例4——评估
图表1——评估运行有效性
步骤框1: 调查并了解例外事项产生的原因和导致的结果。是否实现了测试目标? 否—— 见步骤框2。
步骤框2: 考虑管理层和审计师的测试结果——补充测试是否有可能支持“偏差率不能代表总体”的结论? 否。 这是一个控制缺陷。 否 – 见步骤框1 – 图表2 – 评估流程/交易层面控制的缺陷。
实例4——评估
图表2——评估流程/交易层面控制缺陷
步骤框1: 对财务报表的潜在影响程度是否不重要?是 见步骤框7。
步骤框7:在考虑对财务报表的影响后,一个谨慎的管理者是否会认为该缺陷至少是一种重大缺陷? 是 ——见步骤框4。
步骤框4: 对财务报表的潜在影响程度是否低于“重要”? 是——见步骤框8。
步骤框8:在考虑对财务报表的影响时,一个谨慎的管理者是否会认为该缺陷属于实质性漏洞? 否 ——重大缺陷。
实例 4——评估
总体影响水平 = 2,000,000美元
调整后的影响水平 = 3个例外事项/60个样本 = .108 X $2,000,000 = $216,000 (低于重要但高于不重要)
实例5
控制描述:
员工申请采购报销的费用,在给员工报销之前,应由员工所在部门的主管批准。该费用是小额的,其金额远远低于公司财务报表中任何重要金额。
总体影响水平: 200,000美元
不重要水平 (税前相当口径): 100,000美元
重要性水平 (税前相当口径): 500,000美元
实例5
跟单作业或测试结果:
申请报销的费用不需要具体管理者的相关批准。
在一个包含25个交易的样本中,测试组发现,在1种情况下,控制没有运行。 进一步的定性评估指出,这种情况很少发生。还抽取了一个包含另外25项的样本,该样本的测试结果是没有额外的例外事项。
实例5——评估
这个例子不是一个内部控制缺陷。对于补充抽取的有力控制的样本,如果没有与罕见问题相关的额外问题,审计师可以凭借判断,确定这不是一个缺陷。
实例5——评估
图表1 —— 评估运行有效性
对话框1: 调查并了解例外事项产生的原因和导致的结果。是否实现了测试目标? 否——见步骤框2。
步骤框2: 考虑管理层和审计师的测试结果——补充测试是否有可能支持“偏差率不能代表总体”的结论? 是。 这不是一个控制缺陷。
实例6
控制描述:
在合并流程中,按月抵除公司之间的债项结余。地方单位向执行公司间交易/债项结余抵除的地区公司报告。地区公司向执行额外公司间交易/债项结余抵除的公司总部报告。公司间交易由有资质的财务人员和可支持人员执行。
实例 6
跟单作业和测试结果:
公司间交易与分录不能追溯到位于地区/公司/井场的原始公司余额。公司间交易的具体支持不能在任何地点获得,签署也不能获得。执行合并的管理者似乎很有见识。
总体影响水平: 17,000,000美元
不重要水平 (税前相当口径):5,000,000美元
重要性水平 (税前相当口径):25,000,000美元
实例6——评估
虽然财务经理似乎对合并/公司间往来流程与要求很有见识和了解,但是还没有足够的证据为任何地点的交易提供支持。缺乏对财务合并的支持——缺陷。
重要性金额为2,500万美元。
公司间交易金额约为1,700万美元。
潜在的影响程度 = 潜在地影响公司间交易的全部债项和贷项。全部帐款。
实例6——评估
图表1——评估运行有效性
步骤框1: 调查并了解例外事项产生的原因和导致的结果。是否实现了测试目标? 否—— 见步骤框2。
步骤框2: 考虑管理层和审计师的测试结果——补充测试是否有可能支持“偏差率不能代表总体”的结论? 否。 这是一个控制缺陷。 否 – 见步骤框1 – 图表2 – 评估流程/交易层面控制的缺陷。
实例6——评估
图表2——评估流程/交易层面控制缺陷
步骤框1: 对财务报表的潜在影响程度是否不重要?是 见步骤框7。
步骤框7:在考虑对财务报表的影响后,一个谨慎的管理者是否会认为该缺陷至少是一种重大缺陷? 是 ——见步骤框4。
步骤框4: 对财务报表的潜在影响程度是否低于“重要”? 是——见步骤框8。
步骤框8:在考虑对财务报表的影响时,一个谨慎的管理者是否会认为该缺陷属于实质性漏洞? 否 ——重大缺陷。
总体影响水平 = 17,000,000美元
调整后的影响水平 = 无
实例7
控制描述:
为每个部门设立一个控制矩阵,说明具体工作职能,并且设立相关应用内的相关职务/权限。 根据矩阵和相关控制确定菜单和应付帐款财务数据的访问,以便根据矩阵合理地向个人分配权限。每年请业务流程领导审核矩阵,以确保能针对具体工作职能合理地分配权限。
总体影响水平: 2,000,000美元
不重要水平 (税前相当口径): 350,000美元
重要性水平 (税前相当口径): 1,750,000美元
实例 7
跟单作业或测试结果:
没有一个有效的访问控制矩阵,显示每个具体类型用户对应用菜单和流程的合理访问方式。
测试组抽取5个业务单位进行审核。
测试组发现,在一个业务单位中,矩阵不完整,分配的访问权限不适合职责分离的访问控制——导致很多个人获得的访问权与其职位的合理标准不符。
实例7——评估
测试组发现了两个都会导致缺陷的一般问题:
没有为一个业务单位设立矩阵,授权给用户的访问权不符合合理的职责分工要求,导致访问权与业务流程所有者设定的标准不符——缺陷。
实例7——评估
图表1——评估运行有效性
步骤框1: 调查并了解例外事项产生的原因和导致的结果。是否实现了测试目标? 否—— 见步骤框2。
步骤框2: 考虑管理层和审计师的测试结果——补充测试是否有可能支持“偏差率不能代表总体”的结论? 否。 这是一个控制缺陷。 否 – 见步骤框1 – 图表3 –评估信息系统总体控制缺陷。
实例7——评估
图表3
步骤框1: 经过测试和评估后,是否存在实现相同控制目标的补充/冗余性的信息系统总体控制? 否 – 见步骤框 2。
步骤框2: 是否存在与信息系统总体控制缺陷有关或由它引起的运用图表2评估的应用系统层面的控制缺陷? 是 – 见步骤框3。
步骤框3: 与信息系统总体控制缺陷有关或由它引起的应用系统层面的控制缺陷是否仅被确定为一般缺陷? 否 – 见步骤框 4。
步骤框4: 与信息系统总体控制缺陷有关或由它引起的应用系统层面的控制缺陷是否被确定为重大缺陷? 是/否 – 重大缺陷/实质性漏洞。
总体影响水平: 2,000,000美元 (A/P帐)
实例7——评估
缺陷评估还要求公司根据图表2评估,应用是否有任何失败。图表2评估部分的结果将会影响图表3确定部分的整体评估。
实例8
控制描述:
针对基于控制矩阵的收入应用访问权,由业务用户按季度进行定期审核,以保证用户访问权的准确性和有效性。
总体影响水平: 100,000,000美元
不重要水平 (税前相当口径): 1,000,000美元
重要性水平 (税前相当口径): 25,000,000美元
实例 8
跟单作业或测试结果:
与合理访问控制列表对比的访问权的定期审核(至少每季度一次),未由适当人员执行,与文档记录不符。
在5个被抽取做测试的业务单位中,1个业务单位仅仅执行用户访问的年度审核。 (固定资产)
在5个被抽取做测试的业务单位中,如果访问列表正确,1个业务单位不要求业务所有者的反应。 (固定资产)
实例8——评估
访问审核每年完成一次,而不是每季度完成一次,会导致缺陷。
无管理层反应(无文档记录),在管理层审核(作为定期控制实践的一部分)之后,管理层也没有做出变更。 —— 无缺陷。
补充审计工作发现,有力的会计手册控制显示超过2%的趋势,另外,异常或重要项目由专门主管审核。
实例8——评估
图表1——评估运行有效性
步骤框1: 调查并了解例外事项产生的原因和导致的结果。是否实现了测试目标? 否—— 见步骤框2。
步骤框2: 考虑管理层和审计师的测试结果——补充测试是否有可能支持“偏差率不能代表总体”的结论? 否。 这是一个控制缺陷。 否 – 见步骤框1 – 图表3 –评估信息系统总体控制缺陷。
实例8——评估
图表3
步骤框1: 经过测试和评估后,是否存在实现相同控制目标的补充/冗余性的信息系统总体控制? 否 – 见步骤框 2。
步骤框2: 是否存在与信息系统总体控制缺陷有关或由它引起的运用图表2评估的应用系统层面的控制缺陷? 是 – 见步骤框3。
步骤框3: 与信息系统总体控制缺陷有关或由它引起的应用系统层面的控制缺陷是否仅被确定为一般缺陷? 是 – 缺陷。
总体影响水平 = 100,000,000美元 (全部收入都潜在地承担风险)
调整后的影响水平 = 无
实例8——评估
缺陷控制还要求公司根据图表2评估,应用是否有任何失败。图表2评估部分的结果将会影响图表3确定部分的整体评估。
实例9
控制说明:
变更管理程序要求以书面形式呈报所有变更。一旦接受,委员会将审核该申请,并基于变更申请的具体内容,确定变更的需要。一旦批准,流程要求编码变更被限制在开发环境中,开发者只有访问该环境的权利,为所有变更执行用户测试,并在转入生产环境前批准用户测试。所有程序必须详细录入文档,并在任何变更实施前进行审核。
实例 9
跟单作业或测试结果:
员工对变更管理政策的应用不一致。
或者
变更管理程序未被充分录入文档,未被适当人员批准。
实例 9 —— 评估
测试组发现,在一年中某些时候,会执行总分类帐代码的变更。这些变更由管理层批准。但是,没有单位或用户测试的证据,也没有批准代码变更转入生产环境的文档。 另外,由经理批准的文档没有提供该变动的详细原因,以及对总分类帐和关联帐户的影响-缺陷。
实例9——评估
图表1—— 评估运行有效性
步骤框1: 调查并了解例外事项产生的原因和导致的结果。是否实现了测试目标?否—— 见步骤框2。
步骤框2: 考虑管理层和审计师的测试结果——补充测试能够支持,离差率不代表总体?否。这是一个控制缺陷。 否 – 见步骤框1 – 图表3 – 评估信息系统总体控制缺陷。
实例9——评估
图表3
步骤框1: 经过测试和评估后,是否存在实现相同控制目标的补充/冗余性的信息系统总体控制? 否 – 见步骤框 2。
步骤框2: 是否存在与信息系统总体控制缺陷有关或由它引起的运用图表2评估的应用系统层面的控制缺陷? 是 – 见步骤框3。
步骤框3: 与信息系统总体控制缺陷有关或由它引起的应用系统层面的控制缺陷是否仅被确定为一般缺陷? 否 – 见步骤框 4。
步骤框4: 与信息系统总体控制缺陷有关或由它引起的应用系统层面的控制缺陷是否被确定为重大缺陷? 是/否 – 重大缺陷/实质性漏洞。
潜在的影响程度——全部帐户,全部余额。
实例9 —— 评估
缺陷评估还要求公司根据图表2评估,该应用是否有任何失败。图表2评估部分的结果将会影响图表3确定部分的整体评估。
另外,关于变更管理缺陷——如果缺陷导致对变更管理无效的确定,——那么公司应保证在该时期最后45天中,对自动控制进行测试。
评估案例研究
案例 – 现金支出
控制描述:
每日多次,只有当卖方将发票人工发送至接收方且卖方发票与定货单一致时,可支付现金支出;对差异进行调查并及时解决。
总体影响水平:600,000美元
不重要水平 (税前相当口径):500,000美元
重要性水平 (税前相当口径):2,500,000美元
案例研究-现金支出
测试结果和信息:
在30个交易样本中,我们再次进行了三向匹配(three-way match)控制,并指出存在2个未执行控制的情况,但仍有现金支出。
所有超过5000美元(约为支出的50%)的现金支出在支付前要经过审核及审批。
对低于5000美元的支出视具体情况进行审核及审批。
该帐目的贷款总计约600,000美元。
案例研究-现金支出
控制评估:
各方进行了多次三向匹配评估。审核用各种方式记录-签字、首字母、划勾等。
监管层对于超过支出高值(超过5000美元)的严格控制到位。
较低水平的支出(低于5000美元)由员工随意选择并审核,确保进行了匹配。历史上审核失效的情况很少,虽然审核记录总是不完整。
案例研究-现金支出-评估
图表1-评估运行有效性
步骤框1:检查并了解例外事项发生的原因和产生的结果。达到目标了吗?否—转向步骤框2。
步骤框2:评价管理层和审核人员测试的结果-额外测试能支持偏差率不代表样本总体的结论吗?否。这是一个控制缺陷。否-转向步骤框1-图表2-评估流程/交易层面 控制缺陷。
案例研究-现金支出-评估
图表2-评估流程/交易缺陷
步骤框1:潜在的错报是否对财务报表不重要?否。转向步骤框2。
步骤框2:是否存在可实现相同目标的补充/冗余性控制?否-转向步骤框3。
步骤框3:是否存在补偿性控制能够使财务报表错报的影响程度降低至“不重要”?是-结论为控制缺陷。
总体影响水平 = $600,000 – ($600,000 x .50) = $300,000
调整后的影响水平= $300,000 x .168 = $50,400 (不重要)
案例研究-收入#1
控制描述:
在按照合同条款(包括规定的定价和交付方法)向客户交付产品的基础上,产生收入。根据产品类型和交付方法,对合同进行文字记录,并经过各地区和现场相应监管人员的批准。
合同变更遵循上述相同流程,并与该地区或现场的原合同文本一起记录。
现场或地区人员根据财务信息用Excel数据表向上级(地区/公司)汇报每期收入。
案例研究-收入#1
总体影响水平: 20,000,000美元
不重要水平 (税前相当口径): 1,000,000 美元
重要性水平 (税前相当口径): 5,000,000美元
案例研究-收入#1
测试结果:
测试组在与合同条款对比后,指出25个测试现场中6个现场的销售价格发生了变化。
在 15 个测试现场中的3个现场,合同没有因条款和价格变更而更新。
在3个测试现场,许多客户的销售收据远远低于合同条款。其中2个测试现场认为“市场需求和竞争”导致较低的销售价格。另一个测试现场,监管人员只在现场工作了3周,不能解释导致这种结果的原因。
所有6个现场的销售波动实质上都很重要,结合在一起超过了预计的严重程度。
案例研究-收入#1
控制评估:
对于合同条款的修改,没有正式告知会计职能进行收入确认。
整个公司没有使用标准合同。
常规政策没有严格遵循,或者收入工作人员没有对常规政策进行完整记录。
收入确认标准很复杂,需要做出重要判断-高级手动流程。
合同变更程度创历史最高水平。
单项销售很重要。
案例研究-收入#1 -评估
图表1 –评估运行(层面)有效性
步骤框1:检查并了解例外事项产生的原因和导致的结果。达到目标了吗?否—转向步骤框2。
步骤框2: 评价管理层和审核人员测试的结果-额外测试能支持偏差率不代表样本总体的结论吗?否。这是一个控制缺陷。否-转向步骤框1-图表2-评估流程/交易层面控制缺陷。
案例研究-收入#1 -评估
图表2-评估流程/交易缺陷
步骤框1:潜在的错报是否对财务报表不重要?否。转向步骤框2。
步骤框2:是否存在可实现相同目标的补充或冗余性控制?否-转向步骤框3。
步骤框3:是否存在补偿性控制能够使财务报表错报的影响程度降低至“不重要”?否-转向步骤框4。
步骤框4:潜在错报对财务报表的影响程度是否低于“重要”?否-转向步骤框5。
步骤框5:经过测试和评估后是否存在补偿性控制能够使潜在错报对年度及中期财务报表的影响程度低于“重要” ?否-转向步骤框6。
案例研究-收入#1 -评估
图表2-评估流程/交易缺陷
步骤框6:是否能根据评估结果认为财务报表出现重大错报的可能性是微小的?否-实质性漏洞。
总体影响水平 = 20,000,000美元
调整后的影响水平 = 无 –表中显示,25个样本中有6个错误,影响水平高于20%。
案例研究-收入#2
控制描述:
在按照合同条款(包括规定的定价和交付方法)向客户交付产品的基础上,产生收入。根据产品类型和交付方法,对合同进行文字记录,并经过各地区和现场相应监管人员的批准。
合同变更遵循上述相同流程,并与该地区或现场的原合同文本一起记录。
现场或地区人员根据财务信息用Excel数据表向上级(地区/公司)汇报每期收入。
案例研究-收入#2
总体影响水平:$8,000,000
不重要水平(税前相当口径): $500,000
重要性水平(税前相当口径): $2,500,000
案例研究-收入#2
测试结果:
测试组在与合同条款对比后,指出30个测试现场中1个现场的销售价格发生了变化。
在15个测试现场中的10个现场,合同没有因条款和价格变更而更新。
在3个测试现场,许多客户的销售收据略高于合同条款。在所有测试现场,他们通常都是以略高于客户口头约定合同价格向客户提供市场需求旺盛的产品。确定不是例外事项。
案例研究-收入#2
控制评估:
所有重要的销售交易在销售前经过公司确认,确认银行存款并更新帐目。
几个合同在市场中规定的合同期后更新,是一种主要做法。
销售额可得到所用材料和签字的交付文件的支持并经过客户批准。
历史上,由于收入报告不准确,财务报表没有重大变更。
对销售和收入交易进行定期内部审计审核(每月一次)。
案例研究-收入#2
控制评估:
整个公司都使用标准合同。
一贯遵循正式政策,收入人员对正式政策进行了完整记录。
收入确认标准复杂,需要做出重要判断-高度手动流程。
某些单项销售很重要。
案例研究-收入#2-评估
图表1-评估运行(层面)有效性
步骤框1:检查并了解例外事项发生的原因和导致的结果。达到目标了吗?否—转向步骤框2。
步骤框2: 评价管理层和审核人员测试的结果-额外测试能支持偏差率不代表样本总体的结论吗?否。这是一个控制缺陷。否-转向步骤框1-图表2-评估流程/交易层面控制缺陷。
案例研究-收入#2-评估
图表2-评估流程/交易缺陷
步骤框1:潜在的错报是否对财务报表不重要?否。转向步骤框2。
步骤框2:是否存在可实现相同目标的补充或冗余性控制?否-转向步骤框3。
步骤框3:是否存在补偿性控制能够使财务报表错报的影响程度降低至“不重要”?否-转向步骤框4。
步骤框4:潜在错报对财务报表的影响程度是否低于“重要”?否-转向步骤框5。
步骤框5:经过测试和评估后是否存在补偿性控制能够使潜在错报对年度及中期财务报表的影响程度低于“重要” ?是-转向步骤框8。
案例研究-收入#2-评估
图表2-评估流程/交易缺陷
步骤框8:在考虑对财务报表的影响后,一个谨慎的管理者是否会认为该缺陷属于实质性漏洞?否-重大缺陷。
潜在的影响水平 = $8,000,000
调整后的影响水平 = $8,000,000 X .124 = $992,000 (低于“重要”但高于“不重要”)
案例研究-IT安全性
控制描述:
存在适当的访问控制,公司可访问财务数据和报告信息。控制可确保经过访问控制矩阵证实,用户具有与他们的责任相应的访问权。此外,定期审核访问列表和基本权限,可确保进行维护和相应受限用户访问的有效性。
案例研究-IT安全性
测试结果:
测试组指出了对于矩阵维护和公司用户相关权限的不严格安全控制。
许多用户有权更改帐目结构、创建并维护总帐分录并更改报告周期和开放/关闭期。
每季度对访问权限定期审核时没有进行完整记录。
在被测试的30名员工中,有4名员工的权限没有得到正式批准。
案例研究-IT安全性
控制评估:
管理数据文件、数据库和操作系统安全性的安全管理规程没有充分记录,也没有按照执行。
少数没有财务或会计责任的个人拥有一些不相应的访问权。
非正式的安全政策不存在,或没有告知受影响员工。
系统记录和其它证据表明,数据库已经在正式会计流程外经过更新。没有记录更新目的。
没有进行定期独立控制以确保应用数据的完整性和准确性。
案例研究-IT安全性-评估
图表1 –评估运行(层面)有效性
步骤框1:检查并了解例外事项产生的原因和导致的结果。达到目标了吗?否—转向步骤框2。
步骤框2: 评价管理层和审核人员测试的结果-额外测试能支持偏差率不代表样本总体的结论吗?否。这是一个控制缺陷。否-转向步骤框1-图表3-评估ITGC缺陷。
案例研究-IT安全性-评估
图表3:
步骤框1:经过测试和评估后,是否存在实现相同控制目标的补充或冗余性的信息系统总体控制? 否-转向步骤框2。
步骤框2:是否存在与信息系统总体控制缺陷有关或由它引起的运用图表2评估的应用系统层面的控制缺陷?是-转向步骤框3。
步骤框3:与信息系统总体控制缺陷有关或由它引起的应用系统层面的控制缺陷是否仅被确定为一般缺陷?否-转向步骤框4。
步骤框4:与信息系统总体控制缺陷有关或由它引起的应用系统层面的控制缺陷是否被确定为重大缺陷?是/否-重大实质性漏洞。
案例研究-IT安全性-评估
缺陷评估也需要公司评估图表2中的应用是否存在任何失效。图表2评估的结果将对确定图表3的总体评估产生影响。
案例研究-变更管理#1
控制描述:
IT变更应正确记录,并在开始开发前经过适当部门的批准。定期跟踪监控所有开发活动。执行并记录开发者和用户验收测试。开发者对提出的所有问题进行审核并相应进行重复测试,确保在进入实际生产环境执行前获得正确的方案。
总体影响水平: $100,000,000
不重要水平(税前相当口径): $1,000,000
重要性水平(税前相当口径): $5,000,000
案例研究-变更管理#1
测试结果和信息:
请求经过了正确的记录和批准。
测试说明,对于两个进行总帐计算和报告当年信息的应用程序的测试没有记录用户验收测试。
这两个应用系统中发现了6个重大应用控制。
非正式测试结果和保留的数据证明进行了用户测试,措施计划经过审核明确了测试过程中的问题。用户能提供测试阶段的详细资料并与开发者联系。
案例研究-变更管理#1
控制评估:
业务主要依赖于自动会计或控制程序、或系统生成报告。
对财务重要系统产生影响。
对支持合并流程的总帐和系统产生影响。
程序设计人员不能直接变更生产环境。只能进入开发环境。
未获得用户批准,或系统变更执行前用户批准没有经过证明。对于发现的应用问题,没有按照编制的书面程序正式记录、调查或解决。
案例研究-变更管理#1-评估
图表1-评估运行有效性
步骤框1:检查并了解例外事项发生的原因和导致的结果。达到目标了吗?否—转向步骤框2。
步骤框2: 评价管理层和审核人员测试的结果-额外测试能支持偏差率不代表样本总体的结论吗?否。这是一个控制缺陷。否-转向步骤框1-图表3-评估信息系统总体控制缺陷。
案例研究-变更管理#1-评估
图表3:
步骤框1:经过测试和评估后,是否存在实现相同控制目标的补充或冗余性的信息系统总体控制? 否-转向步骤框2。
步骤框2:是否存在与信息系统总体控制缺陷有关或由它引起的运用图表2评估的应用系统层面的控制缺陷?否-转向步骤框5。
步骤框5:基于其它额外信息进行补充评估后,是否认为该信息系统总体控制缺陷属于重大缺陷? 或一位谨慎的管理者是否会认为该信息系统总体控制缺陷是一项重大缺陷?否-结论为控制缺陷。对于全年所有其它主要开发进行用户验收测试。在全部35个应用程序中发现了重大应用控制,一半以上在年内经过了重大开发。
案例研究-变更管理#1-评估
缺陷评估也需要公司评估图表2中的应用是否存在任何失效。图表2评估的结果将对确定图表3的总体评估产生影响。
此外,关于变更管理缺陷-如果缺陷导致变更管理无效的结果-那么公司将需要确保在该时期的最后45天内进行自动控制测试。
案例研究-变更管理#2
控制描述:
固定资产(包括折旧)IT变更的应用应正确记录,并在开发开始前经过适当部门的批准。定期跟踪监控所有开发活动。进行并记录开发者和用户验收测试。开发者对提出的所有问题进行审核并相应进行重复测试,确保在进入实际生产环境执行前获得正确的方案。
总体影响水平:$10,000,000
不重要水平 (税前相当口径): $1,000,000
重要性水平 (税前相当口径): $5,000,000
案例研究-变更管理#2
测试结果和信息:
信息技术总体控制测试表明,所有三十五个生产应用程序中没有保留变更记录。所有应用程序在室内开发,存在重大维护变更活动。
没有用户验收记录或测试证据,用户不能确定理解或意识到了某些测试变更。
指出了某些应用程序中存在的问题,提出了措施计划以供审核,但该信息没有提供清晰的证据,证明实际采取的任何措施。
案例研究-变更管理#2
控制评估:
业务主要依赖于自动会计或控制程序、或系统生成报告。
对财务重要系统产生影响。
对于支持合并流程的收入、应付帐款、固定资产、应付工资总额和总帐应用程序产生影响。
程序设计人员可以直接变更所有应用程序的生产环境。
未获得用户批准,或系统变更执行前用户批准没有经过证明。对于发现的应用问题,没有按照编制的书面程序正式记录、调查或解决。
不具备为后续活动提供证据的问题列表和措施计划。
案例研究-变更管理#2 -评估
图表1-评估运行有效性
步骤框1:经过测试和评估后,是否存在实现相同控制目标的补充或冗余性的信息系统总体控制?否—转向步骤框2。
步骤框2:评价管理层和审核人员测试的结果-额外测试能支持偏差率不代表样本总体的结论吗?否。这是一个控制缺陷。否-转向步骤框1-图表3-评估信息技术总体控制缺陷。
案例研究-变更管理#2 -评估
图表3:
步骤框1:经过测试和评估后,是否存在实现相同控制目标的补充或冗余性的信息系统总体控制? 否-转向步骤框2。
步骤框2:是否存在与信息系统总体控制缺陷有关或由它引起的运用图表2评估的应用系统层面的控制缺陷是-转向步骤框3。
步骤框3:与信息系统总体控制缺陷有关或由它引起的应用系统层面的控制缺陷是否仅被确定为一般缺陷否-转向步骤框4。
案例研究-变更管理#2 -评估
步骤框4:与信息系统总体控制缺陷有关或由它引起的应用系统层面的控制缺陷是否被确定为重大缺陷否-实质性漏洞。
由于该控制缺陷也影响了总帐流程/交易-考虑了ITGC控制中图表3中的实质性漏洞后,评估也应考虑图表2。见下页幻灯片-图表2考虑事项。
案例研究-变更管理#2 -评估
图表2-评估流程/交易缺陷
步骤框1:潜在的错报是否对财务报表不重要?否。转向步骤框2。
步骤框2:是否存在可实现相同目标的补充或冗余性控制?否-转向步骤框3。
步骤框3:是否存在补偿性控制能够使财务报表错报的影响程度降低至“不重要”?否-转向步骤框4。
步骤框4:潜在错报对财务报表的影响程度是否低于“重要”?否-转向步骤框5。
步骤框5:是否存在补偿性控制能够使财务报表错报的影响程度降低至“不重要”?否-转向步骤框6。
案例研究-变更管理#2 -评估
图表2-评估流程/交易缺陷
步骤框6:基于其它额外信息进行补充评估后,是否能认为年度及中期财务报表发生“重大”错报的可能性都是“微小”的? 否-实质性漏洞。
总体影响水平 = $10,000,000
调整后的影响水平 = 无
案例研究-变更管理#2 -评估
缺陷评估也需要公司评估图表2中的应用是否存在任何失效。图表2评估的结果将对确定图表3的总体评估产生影响。
此外,关于变更管理缺陷-如果缺陷导致变更管理无效-那么公司将需要确保在该时期的最后45天内进行自动控制测试。
案例研究-财务报告
控制描述:
具有财务控制(手动和自动),可汇总地方和地区层面的信息和数据。数据由地区汇报和汇总。各地区将汇总的财务信息向公司中央办公室汇报,进行公司内部汇总、合并和最终报告。公司层面上存在自动和手动控制,实现数据的完整性、准确性和有效性,数据只限于适当人员。
总体影响水平:46亿美元(收入)
不重要水平 (税前相当口径): 4,600,000美元
重要性水平 (税前相当口径): 23,000,000美元
案例研究-财务报告
测试结果和信息:
测试组指出:
IFRS 和 GAAP 不可调和,
GAAP 披露不完整,
公司间余额与汇报单位无法联系起来,
重大预测流程不具有支持性,
财务关闭流程中存在许多上层总帐分录,
财务专家没有审核信息,
财务闭合流程应由后续的披露和脚注流程改进。
案例研究-财务报告
控制评估:
能够直接在总帐控制外部直接处理财务数据。
通过对输入文件的手工加载,输入实体数据。
大量用户具有更新权限。
财务主管有权处理数据
不存在报告结构变更控制。
用于财务报告和管理的输出报告为对等模式(ad-hoc)和/或不受变更控制。
输出报告的格式随意、可变(Excel数据表、文本文件等)
案例研究-财务报告
控制评估(续):
没有对输出报告和总帐报告进行核对。
没有进行调解,以确认所有实体数据在报告生成前加载。
复杂的映象结构妨碍了手动调解。
案例研究-财务报告-评估
图表1-评估运行有效性
步骤框1:检查并了解例外事项发生的原因和导致的结果。达到目标了吗?否—转向步骤框2。
步骤框2: 评价管理层和审核人员测试的结果-额外测试能支持偏差率不代表样本总体的结论吗?否。这是一个控制缺陷。否-转向步骤框1-图表2-评估流程/交易层面控制缺陷。
案例研究-财务报告-缺陷评估
图表2-评估流程/交易缺陷
步骤框1:潜在的错报是否对财务报表不重要?是-转向步骤框2。
步骤框2:是否存在可实现相同目标的补充或冗余性控制?否-转向步骤框3。
步骤框3:是否存在补偿性控制能够使财务报表错报的影响程度降低至“不重要”?否-转向步骤框4。
步骤框4:潜在错报对财务报表的影响程度是否低于“重要”?否-转向步骤框5。
步骤框5:经过测试和评估后是否存在补偿性控制能够使潜在错报对年度及中期财务报表的影响程度低于“重要” ?否-转向步骤框6。
案例研究-财务报告-缺陷评估
图表2-评估流程/交易缺陷
步骤框6:是否能根据额外评估结果认为财务报表出现重大错报的可能性是微小的?否-实质性漏洞。
图表4 –
步骤框1:缺陷是否属于审计准则第2号第139段所列示的情况(即至少是一项重大缺陷)?是-转向步骤框5。
步骤框5:是否存在经过测试和评估认为缺陷控制仅限于重大缺陷的补偿性控制?否-转向步骤框6。
案例研究-财务报告-缺陷评估
步骤框6:是否能根据额外评估结果认为控制缺陷导致财务报表出现重大错报的可能性是微小的?否-实质性漏洞。
总体影响水平 = 46亿美元
调整后的影响水平 = 无。 普遍。
案例研究 -- 应付款 #1
控制描述:
对收到的关于货物和服务的发票妥善授权付款,并随附相关单据。及时调查并解决票据之间的差异。
总体影响水平:$3,500,000
不重要水平(税前当量基础): $800,000
重要性水平(税前当量基础): $4,000,000
案例研究 -- 应付款 #1
测试结果:
在包含30次交易的样本中,我们发现有一张发票(总计$20,000)没有相关单据和批准支付的证明。但是,应付款主管在付款之前,审核了所有超过$50,000(支出美元的50%)的支出的相关单句。我们测试了审核控制的运行有效性,并发现了文件和批准证明的丢失。
在另一个包含30次交易的样本中,我们又发现了一张没有单据和支付批准的发票($38,000)。
案例研究 -- 应付款 #1
控制环境评估:
对订单、收到的通知和发票的第三方审核保证支付授权的准确性和有效性。
高效的备案环境。
详细的定期内部审计核实审计(每月/每季度,根据需要)。
对应付款进行年度法务审计,以发现不正常趋势或假冒卖方等。
采购部门每季度审核卖方的采购历史。
主管审核所有超过$50,000的项目。
案例研究—应付款—评价
图表1 –评估运行有效性
步骤框1:检查并理解例外事项的原因和结果。是否实现了目标?没有—至步骤框2。
步骤框2:鉴于管理层和审计师的测试结果—补充测试是否能够证明背离率在样本总体中不具代表性?不能。一般控制缺陷。不是— 至图表2—评估过程/交易—水平控制缺陷--步骤框1 。
案例研究—应付款#1 –缺陷评估
图表2 – 评估过程/交易缺陷
步骤框1:对财务报表的潜在影响程度是不重要吗? 重要—至步骤框7。
步骤框7:严谨的管理者是否会做出这样的结论:缺陷起码是财务报告的重大缺陷?不会—-一般缺陷。
总体影响水平 = $3,500,000 – ($3,500,000 X .5) = $1,750,000
调整后的影响水平 = $1,750,000 X .087 = $152,250(小于不重要水平)
案例研究—应付款#2
控制描述:
对收到的关于货物和服务的发票妥善授权付款,并随附相关票据。及时调查并解决票据之间的差异。
总体影响水平:$12,500,000
不重要水平(税前当量基础): $200,000
重要性水平(税前当量基础): $1,000,000
案例研究—应付款#2
测试结果:
在包含30次交易的样本中,测试组发现了一张(总计$450,000)没有相关单据和批准支付证明。
抽取了另一个包含30次交易的样本总体进行测试。我们发现其中一张发票没有相关单据,另一张没有支付批准证明。两张发票的金额总计$480,000。
设置新科目的控制严格,并需要有几个级别的主管部门的批准。
案例研究—应付款#2
控制环境评估:
无第三方对$500,000以下支付的准确性和有效性的审核。.
股份公司每月进行灵活的分析,重点对季度或年底的削减进行分析。
采购部门每季度审核卖方的采购历史。
找出所有超过$400,000的分析性差异。
主管审核所有超过$500,000的项目。
期间有3笔付款超过$500,000。
内部审计程序要求应付账款审计至少每年一次,但是当年的中期报告中没指出任何发现的问题。
案例研究—应付款#2—评估
图表1 –评估经营效能
步骤框1:检查并理解例外事项的原因和结果。是否实现了目标?没有—至步骤框2。
步骤框2:鉴于管理层和审计师的测试结果—补充测试是否能够证明背离率在样本总体中不具代表性?不能。是一般控制缺陷。不是至图表2—评估过程/交易—水平控制缺陷—步骤框1。
案例研究—应付款#2—评估
图表2 –评估过程/交易缺陷
步骤框1:对财务报表的潜在影响程度是不重要吗?不重要– 至步骤框2。
步骤框2:是否存在能够实现同样目标的补充性控制或冗余控制?不存在—至步骤框3。
步骤框3:是否存在将影响程度降低至不重要的补偿性控制?存在—至步骤框7。
步骤框7:谨慎的管理者是否会作出这样的结论:缺陷至少是财务报告中的重大缺陷?会—至步骤框4。
步骤框4:对年度财务报告的潜在影响程度小于实质性缺陷吗?不小于—至步骤框5。
步骤框5:经过测试和评估后是否存在补偿性控制能够使潜在错报对年度及中期财务报表的影响程度低于“重要” ? 否—至步骤框6。
案例研究—应付款#2—评估
图表2—评估过程/交易缺陷
步骤框6:是否能根据额外评估结果认为财务报表出现重大错报的可能性是微小的?否-实质性漏洞。
总体影响水平 = $12,000,000 - $1,500,000 = $10,500,000.
调整后的影响水平 = $10,500,000 x .108 = $1,134,000
其它材料
框架
框架位置卡
框架步骤框的指导
详细缺陷评估模板
FPI—应考虑的其它问题
FPI—需要考虑的404条款问题
评估范围:
实质性考虑—FPI应利用当地运营和财务状况还是美国 GAAP运营和财务状况衡量实质性?或使用两个中“较不严格”的标准?一般的观点认为地区初级财务报表是划定财务报告内部控制审计范围的基础。
范围中应包括哪些实体(例如,按比例合并、权益法核算和FIN46 实体)?
对于当地要求涵盖在财务报表中的非美国GAAP披露的事项同样体现在20-F表, 其控制是否应被包含在财务报告内部控制中?
只有美元债务(非美元权益)的FPI是否与加速报备的FPI同样受404条款约束?
FPI--需要考虑的404条款问题
中期报告:
404条款是否适用于FPI中期报告中披露的信息?
法令不要求FPI编制季度10-Q表。
允许FPI按照母国惯例报备中期报告。
FPI可以免除302条款要求的季度认证。
我们认为404条款对FPI的中期报告不适用。
FPI—需要考虑的404条款问题
美国GAAP调整控制:
既需要考虑设计有效性,也需要考虑运行有效性。
与美国GAAP调整相关的审计调整--实质性漏洞的强指示器。
报告:
对于那么允许报备地方财务报表作为主要财务报表、并向美国GAAP提供调整的FPI, 审计师和管理层是否可以为与调整美国GAAP相关的实质性漏洞发表“除了”的意见。
与审计师的关系
审计师应与管理层讨论并交换关于会计标准的应用的观点,包括复杂或不寻常交易的新会计标准和相应的会计处理。
只要是由管理层决定最终采用的会计标准,互相交流就有必要。
及时对话很重要。应向审计师提供财务报表草件。 需要确定过程中是否存在缺陷还是仅仅是起草中的错误。
