美国上市公司会计监管委员会提议的审计标准——有关财务报告内部控制的审计.ppt

,美国上市公司会计监管委员会提议的审计标准有关财务报告内部控制的审计2003年10月此处列述的信息和观点不代表任何法律或其他形式的专业意见。有关2002年萨班斯奥克斯利法案和相关证券交易（SEC）法规及条例所规定的公司职责和合规性要求，建议公司向法律顾问进行咨询。,普华永道,概述,美国上市公司会计监管委员会提议的审计标准重要规定类似审计准则委员会（ASB）建议的理念新的理念公司管理层责任及对文档记录的规定审计师的责任下一步工作,美国上市公司会计监管委员会(PCAOB)提议的审计标准,2003年10月7日发布的提议标准提议标准热点讨论就31处相关问题征询意见为期45天的意见反馈期生效日期：证券交易法案12b-2所要求的需要加速提交报告的公司（成熟的美国公司，且流通股超过75,000,000美元），应在2004年6月15 日截止年度及其之后的财务年度执行该标准。其他公司在2005年4月15日截止年度及其之后的财务年度执行该标准,PCAOB提议的审计标准,提出将财务报表审计和对有关财务报告的内部控制的审计结合起来的概念认同不同企业可能适用不同的内部控制的理念，因而内控的执行可能存在多种形式明确了管理层：相关职责文档记录方面的要求明确了审计师的责任及必需的沟通制定了评估内控缺陷的标准明确在302条款下，审计师对管理层所做的内控季度报告的相关责任提示审计师保持独立性,整合的审计：目标,对财务报表发表审计意见.对有关财务报告的内部控制发表审计意见，这就要求：评价管理层对于有关财务报告的内部控制有效性实施的评估.直接测试有关财务报告的内部控制的有效性,没有通用的内部控制,指出内部控制的五个要素在每个企业中的实施方式取决于：企业规模业务复杂性财务信息处理方法适用的法律法规小型企业业务流程总体上相对简单，相应的控制也趋于简单、非正式化。文档记录形式可能多种多样，内容不尽相同，包括：政策制度手册、流程模型、流程图、岗位职责描述及其他文件。文档记录没有统一标准，而其详细程度则取决于企业规模、经营性质、及业务复杂性。,PCAOB提议的审计标准保留了ASB建议的许多理念,管理层责任文档记录要求审计师实施有效性测试利用其他人的工作评估多个业务单位和经营场所外聘服务机构非轮换性的内控测试,PCAOB提议的审计标准中的新理念,将重要会计科目和相关财务报表认定结合起来重大弱点(material weakness)=否定意见要求审计师执行穿行测试评估审计委员会的有效性强调重要缺陷（significant deficiency)和重大弱点（material weakness)的定义列举了可能构成重要缺陷(significant deficiency)和预示重大弱点(material weakness)的情况季度的报告程序,与财务报告相关的内部控制定义,为确保财务报告可靠性并确保为外部目的而编制的财务报表符合美国公认会计准则而设计的内控流程，主要包含了以下政策与程序：以合理的详细程度维护书面记录，准确并公允的反映企业的交易和资产的处置为交易的必要记录提供合理的保证，确保财务报表的编制符合公认会计准则，同时公司收入与支出遵循管理层和总裁的授权提供合理保证，以防止并及时发现擅自购买、使用或处置企业资产等可能对财务报告造成严重影响的行为,内部控制缺陷定义,在管理层或员工正常各司其职的情况下，控制的设计或执行无法及时有效地防止或发现错误，则企业存在内控缺陷。设计上的缺陷存在于以下情况：(a)实现控制目标的某一控制缺失,或者(b)现有控制设计不当，即使内控（按设计）得以妥善执行，控制目标也有可能无法实现.执行上的缺陷存在于：设计完善的内控得不到正确执行，或执行控制人员不具备有效执行的必要授权或资质,重要缺陷（significant deficiency)和重大弱点（material weakness),重要缺陷(significant deficiency)是一种严重影响公司根据公认会计准则（GAAP）要求在对外财务报告中建立、记录、处理和报告信息的能力的内部控制缺陷。是一个单独的缺陷，或者是几个缺陷的结合，导致无法防止或发现年度或中期财务报表的错报；并且其可能性大于“微小”，其涉及的金额大于“不重要”；重大弱点（material weakness)是一个单独的缺陷(significant deficiency)，其独自或通过与其他重要缺陷（significant deficiency)的共同作用，导致无法防止或发现年度或中期财务报表重大错报的可能性；并且该可能性大于“微小”；重大弱点(material weakness)=否定意见,管理层的责任,对有关财务报告的内部控制的有效性负责运用适当的控制标准（例如:COSO控制框架），对有关财务报告的内部控制的有效性进行评估以足够的证据（包括书面记录）来支持其评估关于公司最近财务年度末对有关财务报告内部控制有效性进行的评估，呈报书面的评估结果如果管理层没能履行职责，审计师应当书面与审计委员会沟通，并且拒绝发表意见,管理层文件记录的要求,针对财务报表中与所有的重要科目及披露事项相关的认定，设计相应的内部控制关于重要交易怎样发生、记录、处理和报告的信息关于交易流程的足够信息，以确认重大的会计报表错误是由于过失还是欺诈用来预防和发现欺诈的控制，包括实施控制的人以及相关的职责分工期末会计报告流程关于资产保护的控制管理层测试和评估的结论,审计师的责任,评估有关舞弊的控制理解有关控制的设计测试和评估控制执行的有效性使用管理层和其他人的工作成果评估缺陷财务报告的内部控制的审计与财务报表审计之间的关系季度报告获取书面的声明必需的沟通审计师记录评估管理层报告出具报告独立性,评估有关舞弊的控制,防止不当使用公司资产的控制公司的风险评估过程道德/行为准则，特别是那些有关利益冲突、关联交易、违法行为的内容，以及管理层和审计委员会或董事会对于准则的执行实施的监督内部审计活动的充分性，以及其在职责上是否向审计委员会汇报公司处理投诉事项程序的充分性，以及关于质疑会计或审计事项获得秘密举报的程序的充分性,了解内部控制设计的方法,理解与内部控制五个要素相关的控制设计测试与评估公司层面的控制评估审计委员会监督的有效性确定重要会计科目确定与财务报表相关的认定确定重要流程理解期末财务报告流程确定需要测试的控制进行穿行测试,审计师评估审计委员会监督的有效性,管理层的独立性清晰的职责描述与外部审计师和内部审计师的参与和互动程度审计委员会遵从与法案相关的标准财务专家用于实施控制的时间，包括反舞弊的控制委员会成员能够投入委员会活动的时间任命程序无效的审计委员会的监督至少应当被认定为一个重要缺陷(significant deficiency)，同时也强烈预示着一个重大弱点（material weakness),确定重要科目,两个层面的程序:首先从财务报表的层面然后从科目和披露的层面评估应包括定性和定量的因素如果某一科目可能包含错报，这些错报单独或合并在一起可能对财务报表产生重大影响的可能性大于“微小”，那么就认为其为重要科目。重要性考虑:在有关财务报告的内部控制的审计中使用的重要性概念应该应用于财务报表层面和单个的科目余额层面包括定性和定量的考虑,确定相关财务报表认定,确定每个重要科目的相关财务报表认定:存在或发生 完整性 估价与分摊 权利和义务 表达与披露相关性认定是指与科目是否公允表述相关的认定。,确定重要流程,确定每个影响重要科目的主要交易类型的重要流程。对每个重要流程，审计师应该:理解交易流程，包括交易如何发生、记录、处理和报告。确定并记录流程中可能产生相关财务报表认定错报的地方（包括由于舞弊产生的错报）。确定并记录针对潜在错报而实施的控制。确定并记录为防止或及时发现未经授权取得、使用或处置公司资产而实施的控制。,期末财务报告流程,审计师应该评价期末财务报告流程，包括:用于编制财务报表的流程，包括输入、执行的程序、输出 在期末财务报告流程中各部门使用信息技术的程度管理层的参与人员报告包含的经营场所的数量调整分录的类型审计委员会参与的性质和程度基于它的重要性，期末财务报告流程永远都是重要的流程,确定需进行测试的控制,审计师必须获得关于控制有效性的证据，这些证据包含对于财务报表中所有重要科目和披露的相关认定 包括如下:哪些地方可能发生错误或舞弊管理层实施的控制的性质每个控制对达到控制目标的重要程度，是否有其他控制能达到相同目标公司进行的（控制）执行有效性方面的测试的性质和范围控制可能无效运行的风险控制应当与重要科目和认定有明确的联系包括预防性和发现性的控制,如何确定连接重要科目和财务报表认定的控制?,应付帐款,采购/付款流程 完整性控制 A控制 B控制 C准确性控制 D控制 E控制 F控制 G有效性控制 H控制 I接触控制控制 J控制 K控制 L,咨询费用,完整性,重要流程,PCAOB 链接,重要科目或披露,完整性,对应的财务报表认定,管理层财务报表认定,准确性/有效性,准确性,截止性,控制 A,控制 B,控制 C,控制 H,控制 F,控制 A,控制 B,控制 E,控制 G,控制 A,所有的接触控制和总体的计算机控制,连接控制与财务报表认定,穿行测试,确认审计师对交易流程的理解确认审计师对控制设计的理解确认流程的完整性为评估控制的设计提供依据确认在实际操作中控制是否得到执行,测试和评估控制执行的有效性,针对所有重要科目的全部相关认定的内部控制，每年必须获得其有效性的依据（或通过自己亲自执行的控制测试或利用其他人的工作成果）测试的性质、时间和程度应每年变化需要高水平保证考虑控制的性质（人工的还是自动的；运行的频率;重要性),测试的范围-多经营场所或多业务单位,本身重要的场所/业务单位可能导致重大误报的财务重要性水平特定风险能够给组织带来负面影响剔除“微不足道”的经营场所或业务单位本身不重要但累计起来会重要的经营场所或业务单位依靠公司层面的控制:控制环境风险评估流程集中处理和控制监控运营的结果监控控制，包括内部审计和自我评估期末财务报告流程董事会审批的有关重要业务控制和风险管理实践的政策,是否经营场所和单位本身就很重要?*,评估文件记录以及测试在每个经营场所和单位的重要控制,特殊或重要风险?,对于这些单位不需进一步的行动,经营场所和单位自身，或即使与其它单位合并在一起也不重要?,针对必要的个别经营场所或业务单位的控制的测试,对这个合并组织的控制是否有文件记录的公司层面控制?,对此合并组织的公司层面的控制进行文件记录评估和测试*,评估文件记录并且测试对于特殊风险的控制,不是,测试的范围-多经营场所图表,不是,不是,不是,是,是,是,是,测试的范围-使用服务审计师的报告,管理层评估里一定要写明聘用了服务机构应当取得SAS 70-Type II 报告，证明运行的有效性管理层应当评估这份报告是否提供了有关经营有效性的充分证据服务审计师报告出具的时间影响测试工作,测试范围 使用服务审计师的报告,如果审计师认为需要更多的证据以评估控制执行的有效性，审计师应该考虑：重新进行管理层或者公司其他人已进行过的测试通过客户联系服务机构以获得特定的信息要求服务组织的审计师执行相关程序以提供必要的信息；访问服务组织并执行这样的程序审计师在得出自己的审计意见之前不能仅参考服务审计师的信息。,测试范围 资产保护,包括在交易和处置相关资产过程中，仅为防止由于故意和非故意的错误而产生损失的保护措施。资产保护的定义并不包括以下概念：管理层的一项首要责任是保护公司的现有资产和获得新的资产。审计师无需了解和测试管理层在所有销售行为和收购行为中的决策过程。例如，以下的决策过程就不在财务报告流序的考虑范围内：产品的卖价太低无法盈利为不必要的设备、不适用的材料、不适销的商品、成果不显著的研究活动或者无效的广告活动而支出的费用。,审计师如何利用管理层和其他的工作,审计师必须在整体上进行足够的工作，以获得发表审计意见所需的主要审计证据。,评估缺陷,必须对有关财务报告的内部控制缺陷的重要性进行评估，评估应该基于：一种单独存在的缺陷，或者几个缺陷累计，导致科目余额或者披露错报的可能性由一个或者几个缺陷导致的潜在错报的大小,以下方面的缺陷至少应被认定为重要缺陷（significant deficiency),有关选择和适用符合公认会计准则的会计政策的控制反舞弊程序和控制对非常规和非系统化的交易的控制对期末财务报告流程的控制,其他缺陷,管理层没有充分记录对控制的设计缺乏充分的记录性证据以支持管理层对与财务报告相关的内部控制执行的有效性的评估。这意味着需对内部控制缺陷的重要性进行评估。,自动确认的重要缺陷（significant deficiency)/潜在的重大弱点（material weakness),将导致重要缺陷（significant deficiency)及预示重大弱点（material weakness)存在的情形：对已发表的财务报表重新表述审计师发现财务报表中重大错报公司审计委员会的监督失效在复杂的企业里，无效的内部审计或者风险评估高度制度化的行业里，企业在遵守规章制度方面无效的控制发现高级管理层任何程度的舞弊已与管理层和审计委员会沟通过，然而一段合理时间后仍未改正的重要缺陷（significant deficiency),与财务报告有关的内部控制审计和财务报表审计的关系,控制测试可以改变审计实质性测试的性质、时间和程度“重要控制放心程度”（significant controls comfort)公认审计准则（GAAS）仍要求对所有重要会计科目和披露的相关认定执行实质性测试程序不能达到执行特定测试的要求（例如，SAS 99程序，确认，存货观察）倘若内部控制缺陷存在，考虑其对决定测试的性质、时间和程度的影响经过实质性测试而未发现错误并不提供控制有效的证据在评估相关控制的执行有效性时应考虑已发现的错误 可能影响判断实质性测试必需包括将财务报表和会计记录进行核对，并检查编制财务报表时所做的重大调整。,审计师在302条款下管理层季度报告中的责任,询问管理层关于从上季度或者上次年度审计到现在内部控制的重y要变化确定这些变化是否导致重要缺陷（significant deficiency)或者重大弱点（material weakness)在文件归档前，就他/她注意到的需要在季度声明里做信息披露修改的事项与管理层进行沟通如果管理层没有适当的反应，审计师应该通知审计委员会。如果审计委员会没有适当的反应，审计师应该考虑辞职。在这些情况下，审计师仍肩负1934年证券法案的10A条款下的责任。在第四季度，如果管理层和审计委员会没有适当的反应，审计师应该修改报告，增加解释段以描述审计师认为管理层应该修改其声明的原因。,书面的声明书,如果不能获得书面的管理声明书，包括管理层拒绝提供声明书，将造成审计范围的限制而不能签署无保留意见要求取消业务约定或者拒绝表示意见,审计师要做的必要沟通,审计委员会与审计委员会书面沟通所有重要缺陷（significant deficiencies)和重大弱点(material weaknesses),并区分二者的区别与管理层沟通发现的所有缺陷涉及高级管理层的舞弊违法事件，除非该事件明显是不重要的(inconsequential)管理层与管理层书面沟通审计中发现的所有有关财务报告的内部控制的重要缺陷（significant deficiency)组织中不同层面的舞弊审计师应该考虑在审计的过程中而非审计结束时沟通此类事件,审计师的记录,对公司有关财务报告的内部控制的五个要素设计的理解和评估用于确定重要科目、交易和披露的流程，包括确定要进行测试的经营场所或业务单位的流程。在重要的科目、认定和流程中，发现哪些地方可能发生与财务报告相关认定有关的错报。审计师对管理层或其它人员工作的依赖程度。对审计测试中发现的所有缺陷的评估。其它可能导致对修改审计报告的发现。,评估管理层报告,评估应该包括：管理层是否正确的表述其责任。使用的框架是否适当。管理层对内部控制有效性的评估是否存在重大错报。管理层是否以适当的形式表述其评估。内部控制的重大弱点（material weakness)是否被适当的披露。,报告,单独的或合并的报告相同的报告日管理层报告是不充分的至少包括解释段业务约定范围的限制范围限制取消业务约定，拒绝表示意见或者保留意见包括，当管理层对有关财务报告的内部控制评估的流程不充分时。重大弱点（material weakness)存在否定意见对内部控制有效性产生重大负面影响的期后事项否定意见。不能够确定期后事项对内部控制有效性的影响拒绝表示意见,审计师独立性,没有改变现行的审计师独立性准则。包括：审计师能够提供实质性的建议，帮助管理层改进公司内部控制的设计和执行。但是，审计师不能够设计或实施内部控制。管理层应该积极地参与并且不能够将责任委派给审计师。管理层的参与必须是实质性的和广泛的。即使管理层承认由审计师执行的控制记录和测试是他们的责任，仍不足以满足独立性的要求。对审计客户提供内部控制的相关服务必须得到审计委员会专门的事先批准。,下一步工作,熟悉上市公司会计监督委员会提议的标准考虑向上述提议的标准提供注释评估到目前为止有关404条款的准备工作根据上述提议的标准中的变化作出适当的调整（相关认定的确定，明确的管理层记录要求，重要缺陷（significant deficiency)和重大弱点（material weakness)的定义）保证对未来预期进行双向沟通：管理层准备工作的努力 审计师的努力,