财务报告内部控制的审计师鉴证(pdf 20页)

从小型上市公司角度从小型上市公司角度 谈谈财务报告内部控制的财务报告内部控制的审计师审计师鉴证 鉴证 根据萨班斯-奥克斯利法案404条款的规定，自截止于2007年12月15日或之后的财政年度开 始，小型上市公司在提交年度报告时，必须同时提交管理层核证声明管理层核证声明。现在，自截止于2009年 12月15日或之后的财政年度开始，他们也必须遵守404条款中有关审计师鉴证的要求审计师鉴证的要求* *。本白皮 书将探讨小型公司在准备其首份财务报告内部控制审计师鉴证报告时应考虑的事项。 简介简介 许多小型上市公司很快便要提交他们的首份审计师鉴证报告。对于那些心存侥幸，期望美国证券 交易委员会（以下简称“证交会”）可能会取消或者在某些程度上降低对小型上市公司的鉴证要 求的人而言，或许他们可以从证交会新任主席Mary Shapiro对参议员Carl Levin所作出的书面回复中 来了解证交会未来可能会采取的措施。Shapiro女士阐述了她将在哪些方面采取不同于其前任主席 Christopher Cox的政策。就萨班斯-奥克斯利法案合规这一领域而言，她表示，“现在是让这 一体系实现统一的时候了”。这一说法向市场明确地表明，审计师对管理层的财务报告内部控制 有效性声明进行鉴证，终成为小型上市公司需要面对的现实。 许多小型上市公司已经就财务报告内部控制提交报告。AuditA于本月初发布一份报 告，详细说明了其对萨班斯-奥克斯利法案第四年申报情况的分析结果。分析结果显示，截至 2008年9月10日，在证交会累计收到的年度报告中，有3,435份报告未对有关财务报告内部控制有效 性的管理层声明进行鉴证，换句话说，管理层在提交内部控制报告时并没有同时提交审计师的鉴 证报告。在管理层所提交的评估报告中，有1,053份报告对财务报告内部控制的有效性作出了否定 的评价，占总数的30.7%。这个比率比较大型加速编报公司于数年前提交的首年报告，持否定意见 的比率只占16.9%来说，高出了很多。否定意见比率上升表示在建立并维护有效的财务报告内部控 制方面，小型上市公司相对于大型公司要面对更多困难。 对比萨班斯-奥克斯利法案实施以来四个年度的申报情况，加速编报公司的否定意见比率逐年 下降。如果非加速编报公司也遵循同样的规律，其在未来提交的报告所出现的否定意见比率也应 呈下降趋势。但是，审计师鉴证报告的潜在影响是一个重要的考虑因素。对于小型上市公司来 说，新增的萨班斯-奥克斯利法案鉴证要求（这正是上市公司会计监管委员会(简称 “PCAOB”)于2009年1月出台小型上市公司审计师指引的原因），丝毫未能改变对小型上市 公司财务报告内部控制评估机制的严格要求。这些小型上市公司现已开始提交第二轮内部控制报 告，外部审计师对公司财务报告内部控制进行审查，或许会对小型上市公司的否定意见比率产生 影响。本文将探讨小型公司在准备其首份财务报告内部控制审计师鉴证报告时应考虑的事项。 * 就在本文付印前不久，美国证券交易委员会宣布将小型上市公司的合规期限再次（也是最后一次）推迟至截至2010年 6月15日或之后结束的会计年度。 1 - - 外部审计师的角色外部审计师的角色 2009年1月，PCAOB就第号审计准则(简称“AS5”)发布题为与财务报表审计相结合的财 务报告内部控制审计：小型上市公司审计师指引的工作人员指引。尽管AS5对外部审计师应如何 根据公司的规模和复杂程度来开展审计工作做出了指示，但许多人仍然认为，要真正降低小型上市 公司高昂的404条款鉴证要求合规成本，需要出台更加切实可行的指引。在该指引中，PCAOB工作 人员针对审计师如何将AS5的若干条款应用于对小型公司的审计提出了自己的观点。此外，该指引 还就当前环境下，审计师应如何处理财务报告内部控制审计工作中所遇到的一些特定挑战进行了解 释和说明。 尽管PCAOB的指引是针对审计行业，但是对于正预备提交首份财务报告内部控制外部审计师鉴证报 告的小型公司管理层来说，该指引仍然具有一定的参考价值。 1 1强调管理高层的态度强调管理高层的态度控制环境及其对行为和财务报告完整性的影响，都是审计师重点关注的 事项。审计师会寻求不同的证据来了解管理层所设定的整个基调。比如公司的道德规范、管理 层的经营风格、角色和职责划分的清晰程度，以及一个强有力的审计委员会等，都是审计师的 着眼点。 2 2识别关键控制，由上层开始识别关键控制，由上层开始了解公司层面控制对流程层面的控制评估有何影响。如果公司层 面控制充分，能够检测和纠正重大错误和遗漏，管理层便可以使用公司层面控制来代替流程层 面控制。强有力的公司层面控制可以减少流程层面的控制评估工作。同时，由于审计程序的性 质、时间和范围都将受到影响，因此也会减少外部审计师的测试工作。除控制环境外，公司层 面控制还包括用以监督运营结果的控制、针对期末财务报告流程的控制，以及用以监督其他控 制的控制。 3 3关注风险关注风险每一风险和控制都不尽相同。管理层应把整个评估过程的焦点放在风险上，然后根 据重大错报风险和控制失效风险(二者合称“财务报告内部控制风险”)，调整对控制执行有效 性的评估方法。如果某一事项从财务报告内部控制风险的角度来看是重要的，就必须重点关注。 如果与风险并不相关，那么就不在404条款的管理层评估范围之内。 4 4了解管理层越权的风险了解管理层越权的风险许多小型公司都拥有优秀的领导者，而这正是它们成功的关键。领导 者的知识和权力常常足以令其僭越财务报告流程。审计师了解小型公司比大型公司更容易出现 管理层僭越控制的情况。因此，审计师会关注用以防范或检测管理层越权行为的控制，确保财 务报告公允可靠。美国反虚假财务报告委员会下属发起人委员会（简称“COSO”）特别为小 型公司提供指引，题为财务报告内部控制小型上市公司指引。该指引应证交会的要求制 定，旨在协助小型公司以更容易和更符合成本效益的方法来应用COSO内部控制综合框架。在 该指引中，COSO建议小型公司管理层可以使用以下四个方法来降低管理层越权的风险： 维持一种强调诚信和道德价值的公司文化； 设立有效的举报机制； 充分利用某一内部审计职能来检测不当行为，该职能必须能够直接向董事会或审计委员会 汇报； 确保公司的董事会和审计委员会具备认可资格，并且能够严格履行其职责。 管理层应预期审计师将在审计流程中考虑上述事项。 2 5 5认识缺乏正式文档记录的影响认识缺乏正式文档记录的影响文档记录是一种证据来源。文档记录的形式、范围和可获得性 不仅影响支持管理层评估的证据，也影响审计师的测试策略。由于审计师并非公司内部人员， 如果可以获得的文档记录较少，便会增加他们对财务报告内部控制有效性进行审计的难度。这 并不是说管理层仅仅为了向外部审计师提供证据以进行检查和测试，就必须建立大量的文档。 然而，小型公司管理层应当在审计流程的早期阶段与其审计师会面，以便审计师能够针对文档 较少的流程或控制，制定一个有效的审计战略。与审计师会面时，管理层也许能够受到启发， 对控制的执行或证据记录方法做出轻微调整，进而减少测试流程中出现的问题。 6 6分离不兼容职责或识别可替代控制分离不兼容职责或识别可替代控制在员工较少的公司，要将不兼容的职责分离往往存在局限 性。不过，管理层需要了解在缺乏职责分离的情况下会导致的风险，并且评估是否有其他可替 代控制能够实现相同的目标，例如使用外部资源，以及加强管理层的监督和检查等。COSO指 引提供了一些控制的实例，帮助公司降低因职责分离不充分而引致的风险： 审阅详细交易报告经理定期并及时地审阅有关详细交易记录的系统报告； 审阅选定的交易经理选择某些交易并审阅相关的支持性文件； 定期盘点资产经理定期对实物存货、设备或其他资产进行盘点，并将盘点结果与账面记 录核对； 检查调节项目经理对科目余额(例如现金)调节项进行常规的审核，或由经理自行调节。 职责分离并非最终目的，而是用以降低交易处理过程中固有风险的一种方式。如果要对职责分 离能力有限的公司进行财务报告内部控制评估，管理层应考虑是否存在其他控制可以将风险降 低到可接受的水平。 7 7了解信息技术控制了解信息技术控制每家公司至少在一定程度上都必须依赖信息技术，协助其业务运营和汇报 财务成果。小型公司信息技术基础设施的复杂程度较低，因此要维护计算机信息系统的一般控 制及应用过程控制可能会比较困难。要为审计师的鉴证做好准备，管理层应熟悉PCAOB指引中 有关信息技术环境会如何影响审计师的风险评估、选择哪些控制进行测试，以及控制的测试程 序和其他审计程序的介绍。PCAOB指引讨论了以下内容：复杂程度较低的信息技术环境的特征、 如何确定信息技术控制的评估范围（包括与信息技术相关的风险）、依赖于信息技术的控制， 以及信息技术控制缺陷对其他控制测试的影响。最后，PCAOB详细描述了各种信息技术控制的 类别，以及小型公司可以如何执行这些控制。 8 8预先评估财务报告能力预先评估财务报告能力小型公司由于缺乏资源，因此较难获得和留存某些能力。审计师必须 评估公司的财务报告能力，包括评估该小型公司是否使用外部资源协助进行财务报告流程。如 果管理层已经进行了评估并对发现的缺陷进行了整改，便能够占据先机。 有关审计师鉴证最基本的原则是：了解外部审计师必须遵守的审计准则，并且在审计流程的早期 阶段就开始与审计师沟通，如此一来，管理层便能够掌握成功的钥匙。 3 回顾与前瞻：我们学到了什么回顾与前瞻：我们学到了什么 我们可以从小型公司已经实施的管理层财务报告内部控制评估中得到什么启发？A 在针对第四年萨班斯-奥克斯利法案合规工作发布的报告中，亦对那些只提交了管理层声明的 公司所披露的实质性漏洞进行了分析，结果发现以下类型的内部控制问题是最常见的问题(以普遍 程度排列)： 1 会计文件及政策不充分 2 会计人事问题 3 职责分离问题 4 重大及/或大量的年末审计调整事项 5 信息技术、软件、安全性和权限问题 具体来说，共有849家公司披露其存在与会计文件及政策有关的问题，占未进行管理层声明鉴证的 公司的1/4。此外，有1/5的公司披露了会计人事问题。这些问题，当然还有其他问题，一直以来都 困扰着那些规模较小、复杂程度较低的公司，而且似乎在短期内不能获得解决。小型公司必须继 续设法应对这些问题，因为他们所面临的各种挑战使他们相对于大型公司来说更难维持一套符合 成本效益的内部控制。这些挑战包括： 缺乏资源来实现充分的职责分离； 技术资源有限，难以为数据和信息系统的控制提供保证； 管理层有能力主导公司的活动，增加了管理层僭越既定控制的机会； 聘用和留任在会计及财务报告方面拥有相关经验和技能的人员。 由于要应对这些困难，一些小型上市公司的管理层可能会认为，某些财务报告领域的内部控制成 本太高，即使公司增拨资源也不能取得大于成本的效益。如果是这种情况，公司就必须披露这些 内部控制缺陷，以及管理层接受这些缺陷的合理依据。404条款报告流程为这些披露信息提供了一 个平台。以下是相关范例： 一家技术公司在其2008年的管理层财务报告内部控制评估报告中表示，“由于本公司的规模较 小，而且缺乏资源和人力，首席财务官本人积极参与财务报表的编制工作，因此未能进行独立 的审查以及在会计和财务报告小组中设立质量保障职能。另外，会计人员的短缺也致使首席财 务官无法对财务会计分录进行独立的审查和批核。鉴于这方面的职责分离不充分，因此存在可 能导致财务报表出现重大错报，或不能及时检测到重大错报的风险。” 一家以规划、设计、建立和维护有关关键任务设施为主营业务的公司，在其2007年的10-K报告 中对管理层财务报告内部控制评估作出以下披露，“我们于2007年12月31日发现财务报告内部 控制存在以下实质性漏洞：（1）我们没有能力实现职责分离；（2）我们对现有的政策和程序 缺乏正式的文档记录；（3）我们没有足够的财务人员；（4）我们缺少一般计算机控制以及充 分的变更管理程序；及（5）我们缺乏充分的控制来合理确保我们已遵守公认会计准则中有关 收入确认的规定。” 一家建筑公司在其2007年的10-K报告中披露了以下评估结果：“基于上述评估，管理层确认我 们在截止于2007年12月31日的年度的财务报告内部控制无效。管理层确认（1）员工和监督资源 不足，及（2）没有能力发现美国公认会计准则运用不恰当的情况，均为我们的财务报告内部 控制中存在的实质性漏洞。” 4 1245 开始 63 “本公司一直以来都面对人员短缺和融资不足的问题。2007年12月，我们任命了一位新的临时首 席财务官，他是注册会计师并在会计、审计和内部控制系统方面拥有丰富经验。我们打算在未来 聘请更多具备认可资格的人员，以实现充分的职责分离。” 上述控制缺陷，正如有关报告所言，构成了实质性漏洞，因而公司得出财务报告内部控制无效的 结论。管理层必须决定是否应对这些缺陷进行整改。如果不予整改，管理层必须披露背后的原因 及其理据。最常见的原因一般是人员和资源不足，以及在现阶段增加员工和资源不符合经济效 益。如果管理层计划对缺陷进行整改，便应效法上述第三家公司，对整改计划进行披露。如果实 质性漏洞持续存在，那么股东、潜在投资者和贷款人应从公司的规模和业务角度来评估管理层所 披露的评估和计划是否值得信赖，或者这只是公司不愿履行其作为一家上市公司的责任的表现。 鉴证流程的准备工作从何处着手？鉴证流程的准备工作从何处着手？ 鉴于小型上市公司各自不同的情况，404条款合规流程中共设置了六个关键决策点。这些决策点代 表了合规初期需要管理层和审计师对其评估方法及鉴证流程进行统一的领域。 为什么这些决策点如此重要呢？小型上市公司必须了解外部审计师与管理层对这些决策点的不同 处理方法，这一点非常关键。大型公司在与外部审计师合作进行404条款合规工作的过程中，至少 总结出以下经验教训：公司的风险评估和范围界定流程如果与审计师存在重大分歧，后果可能非 常严重。尽管理论上证交会指引和COSO指引允许小型公司管理层在风险评估和范围界定流程中可 以更加灵活地运用个人判断，但如果管理层和审计师在六个决策上存在任何重大分歧，就会导致 成本上升，引发一些不必要的问题，并且可能会增加诉讼的风险。因此，管理层应当采取必要的 措施，确保审计师完全领会促使公司在合规过程使用现有方法及范围的合理依据。 提交内部控制报告 选择重大的财务报告目标和相关会计科目 针对各相关财务报告目标选择设计有效的关键控制 决定不同风险水平的文件记录标准 考虑财务报告内部控制风险以确定需要什么证据 来评估重要控制的执行有效性 确定须纳入测试范围的经营场所和业务单元 制定在评估流程结束时用以评估控制缺陷严重性 的方法论 5 上文提到的六个决策为管理层与外部审计师之间的对话提供了依据。如果发生以下任何一种情 况，都会增加管理层和审计师之间产生分歧的风险： 审计师不了解管理层的评估流程。 管理层在应用自上而下、以风险为基础的方法时，没有让审计师参与某些具体检查点的工作。 管理层在应用自上而下、以风险为基础的方法时，没有对用以支持公司作出决策的合理依据进 行记录。（请参照第8页有关文件记录的意见评论。） 公司在整个合规过程中应当保持管理层与审计师之间的对话，尤其是在合规流程的早期阶段，这 是最佳实践。由于PCAOB和证交会建议有效地应用自上而下、以风险为基础的方法，因此两者之 间的这种沟通变得更加重要了。如果外部审计师了解管理层是如何采用自上而下、以风险为基础 的方法的，那么他们在应用这种方法时就会如虎添翼，从而达到最高的效率。 尽管很重要，但有关如何确定重要性水平这一点并未包含在上述六个决策之内。有关重要性水平 的确定已暗含在大部分决策之中，并且在决策部分决策中有明显的体现。 上文介绍的六个决策点如此重要还有另外一个关键的原因。即使管理层和外部审计师能在这六项 决策上取得共识，他们仍然可能在一项关键决策上存在分歧，即对执行有效性的测试。这项决策 是管理层和审计师在分别对财务报告内部控制进行评估时最容易存在分歧的地方。由于管理层是 内部知情人士而审计师不是，因此两者在设计对执行有效性的测试时不能从相同的知识水平出 发。 但关键点在于：如果管理层和审计师能在这六个决策点上达成一致，那么他们在执行有效性的测 试方法上所存在的分歧便能大大降低。这一点十分重要。一份完备且可重复(结构化)的管理层评 估流程能最大限度地提高审计的成本效益。要实现可重复的流程，管理层的文件记录必须能为管 理层就关键财务报告目标和重要控制所作的决策提供合理依据。好消息是，这份“文件记录”大 多是一次性的投入，即，一劳永逸。 意见评论 学习专业术语学习专业术语 一般认为萨班斯奥克斯利法案的主要目的是通过有效的内部控制来防范财务报告出现重大错报。但 是，如果你去阅读有关这个题目的各种权威性指引，你会发现在讨论如何界定萨班斯奥克斯利法案合规 工作的范围时，会使用到不同的专业术语。例如，PCAOB提到“财务报告认定”，证交会引用了“财务报告 风险”，而COSO则关注“财务报告目标”。为什么存在这些差异呢？PCAOB的指引是针对财务报表审计师 的，他们需要依照相关的会计和审计准则进行审计工作。财务报告认定(例如完整性、报告、估值等）是会 计人员和审计人员使用的专业术语。COSO和证交会面向的公众层面较广，因此会尽量避免使用会计专业术 语。PCAOB在AS5中对此作了很好的总结，表示审计师可以使用未列于准则中的认定，前提是“对于每一重 大会计科目及披露事项，审计师已经对其相关风险的控制进行选择和测试，而这些会计科目及披露事项根据 合理推测可能存在可以导致财务报表出现重大错报的错误信息”。 6 我们将在下文对上述六个决策点逐一进行详细分析及讨论，并说明小型公司应如何应用这些决策 点。 决策决策1 1：选择重大的财务报告目标和相关会计科目：选择重大的财务报告目标和相关会计科目 公司要取得最大的效益，就必须仅仅专注于那些对财务报表有重大影响的财务报告目标。方法 是，先从公司的财务报表着手，识别对财务报表有重大影响的相关业务活动和流程目标，这样便 能确保公司的焦点集中在最重要的目标上。 在使用自上而下、以风险为基础的方法来识别某一财务报告目标是否重要时，管理层应同时考虑 重要性水平(定量因素)，以及财务报表和其他支持性会计科目余额、交易或其他支持性信息出现 重大错报的可能性(定性因素)。这意味着，单凭定量因素就将某个财务报告目标或相关会计科目 归为“高风险”的做法不再适用。我们的目标是评估重大错报的固有风险，而不考虑控制的执行 是否有效。与重大错报风险相关的风险因素包括（但不限于）： 相关会计科目余额或交易的大小和种类； 因错误或舞弊而产生错报的可能性； 交易的处理量、复杂性及同质性； 披露事项或相关会计科目的性质； 会计及报告的复杂性； 出现亏损或重大或有负债的风险； 是否存在关联交易。 如上所述，管理层在选择重大的财务报告目标和相关会计科目时，应记录公司作出有关选择的合 理依据。 决策决策2 2：针对各相关财务报告目标选择设计有效的关键控制：针对各相关财务报告目标选择设计有效的关键控制 自上而下的方法开始于公司层面控制，然后逐步延伸至最重要的流程控制。该决策是关于选择， 而且只是选择那些针对最关键财务报告目标的控制，并对这些控制的设计有效性进行评估。这是 一个重要的决策，因为它关乎整个合规过程中最大的成本因素，即需要评估和测试的关键控制的 数量。这是根据加速编报公司的经验所得出的。如果管理层对控制环境有充分了解，并对所了解 的信息进行合理详细的文件记录，那么他们在采用自上而下的方法时，便更有可能选择到那些对 降低财务报告目标风险最有效的控制。 对于该决策点有两个方面需要重点关注。首先，公司层面控制是选择关键控制的起步点。第二， 如果需要更多证据来支持财务报告目标的实现，就必须识别和评估其他更多的控制。 证交会将公司层面控制分为三个类别： 1 对检测或预防错报有重要但间接影响的控制控制环境中的大部分控制都属于这个类别； 2 用以监控其他控制有效性的控制，可以减少控制测试量； 3 执行起来足够精准，旨在预防或检测错报的控制。 如果没有第一类公司层面控制对重大财务报告要素有间接影响的控制控制失效的风险就会增 加。如果存在第二和第三类公司层面控制，便能缩小流程层面控制测试的范围。 7 对于识别公司层面控制之后的其他关键控制而言，管理层应重点识别那些用来管理会对财务报告 产生影响的重要流程的流程层面监督性控制，并确定这些控制的精确程度。如果某一监督性控制 执行有效，能够充分针对某一财务报告目标，管理层便无需再识别或评估有关这一目标的额外控 制。 决策决策3 3：决定不同风险水平的文件记录标准：决定不同风险水平的文件记录标准 与决策2相似，有关文件记录的决策也起始于公司层面，然后从公司层面向下推进到流程层面。许 多大型公司都拥有大量文档来支持其更为复杂和分散化的运营。但对小型公司而言，可能就没有 这么多的文档。小型公司的员工通常较少，他们之间的工作关系更为密切，相互间的接触也更为 频繁，因此他们所依赖的能够确保达到财务报告目标的正式程序和政策也就较少。这也是为什么 缺乏足够的会计政策和文档成为导致小型上市公司出现实质性漏洞的首要原因，会计人员和职责 分离的问题则是第二大原因。 证交会的萨班斯奥克斯利法案404条款小型公司指引指出“在财务报告流程比较集中的小 公司，管理层对日常业务活动的参与可以为其提供足够的知识来识别财务报告风险及相关控 制。”为了支持管理层对内部控制有效性的认证，较复杂的小公司可能需要对会计系统和重要控 制活动内的主要流程建立额外文档。对于审计师鉴证流程，一个新的考虑因素是，管理层的文档 可能被审计师用来支持其对财务报告内部控制有效性的评估。因此，如果管理层有越多可供审计 师使用的财务报告内部控制文档，审计费用就可能越低。 文档的性质和范围应取决于财务报告目标及相关科目的风险和复杂性，以及理解错报源头（如： 什么可能出错？）和识别关键控制的能力。此外还需要对控制环境及主要交易的流程有一个全面 的认识。对管理层和审计师而言，如果充分了解重大交易的流程及流程层面的控制环境，便能恰 当地追溯重大错误或舞弊风险的来源，并确定所选择的关键控制是否真的能降低有关风险。为了 获得这种了解，管理层可以使用穿行测试，并与流程责任人讨论，让他们参与其中，因为他们比 较熟悉那些与关键财务报告科目及相关披露有关的流程和系统。然而，如果公司没有足够熟悉控 制环境的人员或缺少实行自上而下方法的条件基础，那么公司必须充分记录控制环境以获取必要 的理解。 总之，在理解了影响重要财务报告目标的关键流程的运作过程，以及这些流程与公司主要系统间 的关联后，自上而下的方法将变得更容易应用。 意见评论 文件记录的两难境地多少才算足够？文件记录的两难境地多少才算足够？ 许多公司都担心只是为了支持评估财务报告内部控制这一目标而对文件进行记录所耗费的时间和费用问题。 甫瀚并不提倡文档越多越好的策略，而是认为管理层需要有足够的文档以确保评估是一个可重复的流程，同 时避免管理层在第四季度被审计师要求对几个月前所做范围决策进行解释时出现游移不定和猜测的情况。 当涉及小公司的文档记录时，并没有统一的方法。证交会在其萨班斯奥克斯利法案404条款小型公司指 引中强调了这一点，指出“管理层负有为其评估提供合理支持的责任。证交会的指引不能为你做这个决策， 因为我们了解对合理性的定义取决于每个公司的性质、规模和复杂性。它也因管理层识别的内部控制风险而 有所不同。” （证交会指引可登陆/spotlight/soxcomp.htm获取。） 8 决策决策4 4：考虑财务报告内部控制风险以确定需要什么证据来评估重要控制的执行有效性：考虑财务报告内部控制风险以确定需要什么证据来评估重要控制的执行有效性 该决策与理解控制是否真正有效以及管理层为做出有关决定必须收集的证据类型有关。根据证交 会的管理层解释指引，在确定管理层所需要的证据时，应考虑财务报告内部控制风险。上述决定 将影响控制测试的性质、范围和时间。财务报告内部控制风险包括两个要素： 错报风险 控制失效风险 这两个风险将影响管理层就测试内容、测试执行人员、测试时间及测试方法所作出的决定。风险 越大，越要求证据具有说服力。风险越小，证据要求的说服性则可以低些。如下图所示，证交会 对上述关系做了一个形象的描述： 你需要多少证据来确定内部控制是 否有效？ 财务错报风险 高 高 中 中低 控制失效风险 资料来源：证交会404条款 小型公司指引， /info/smallbus/404guide.pdf。 如果需要更具说服力的证据，就更需要识别和记录有关控制，并完成针对这些控制的客观测试。 如果要求提供的证据不需要具备那么高的说服力，那么管理层便可以依赖自我评估和流程责任人 的监督。在自上而下的方法中，有力的公司层面控制及监督在这项重要评估中起到很大作用。 大型编报公司在开展首次404条款合规时，用以达成结论的大多数证据都是通过详细的人工测试收 集而来。随着近几年合规流程的不断发展，大型编报公司开始运用自上而下、以风险为基础的方 法，也开始更多地依赖自我评估、公司层面和流程层面的监督以及自动控制，而这些措施均降低 了他们对详细人工测试的依赖度。这一转变的成功实现离不开以系统为基础，具有防范性质的管 理良好的控制环境，下图就说明了这种转变。我们从中得到的结论是，管理层必须提高关键控制 运作的透明度。 更多证据更多证据 较少证据较少证据 9 - 人工的 优化控制 发现性的 临时的 以系统为基础的 预防性的 可管理的 自我评估 监督 自动化控制测试 测试人工控制 自我评估 公司层面监督 流程层面监督 测试自动化控制 测试人工控制 透明度获得提高 成本 可持续性 应用自上而下、以风险为基础的方法的关键之一是评估控制失效风险，并且应涵盖每个关键控 制。例如，影响控制失效风险的因素包括： 控制拟用来预防或检测的错报的性质和重要性水平 是否曾出现过错误 公司层面控制的有效性，特别是用以监督其他控制的那些控制 控制的复杂程度、执行的频率及依赖其他控制的程度 控制是人工控制还是以系统为基础的控制 执行控制的人员的能力 人员、流程或系统、所处理交易的性质或交易量是否有重大变更 根据这项评估，管理层可以区分较高风险、普通风险和较低风险的控制失效。关键是要了解这些 评估对有关测试范围的决策所产生的影响，以便管理层选择合适的方式来评估控制的执行有效 性。 管理层也应认识到，公司所执行的测试的范围和类型可能会影响外部审计师的测试范围，尤其是 当有关测试是由胜任能力较强且客观的人士来执行的情况。如果外部审计师减少他们的审计测 试，那么审计费用也会相应减少。PCAOB的AS5要求审计师考虑是否及如何利用他人的工作成 果。如果管理层对于外部审计师使用自己的测试作为其审计证据感兴趣这将减少审计师要求测 试的数量那么就需要了解审计师在确定范围时所运用的原理和规则，这样一来管理层就可以制 定合理的评估方法。显然，这是一个需要与审计师沟通协商的领域。利用他人工作成果的主要标 准依然关乎胜任能力和客观性。根据PCAOB的定义： “胜任能力”是指有关人员拥有并且能够维持一定水平的理解和知识，可熟练完成所分配任务； “客观性”指诚实、公正地执行所分配任务的能力。 如果没有第一类公司层面控制对重大财务报告要素有间接影响的控制控制失效的风险就会增 加。如果存在第二和第三类公司层面控制，便能缩小流程层面控制测试的范围。 1 0 对于识别公司层面控制之后的其他关键控制而言，管理层应重点识别那些用来管理会对财务报告 产生影响的重要流程的流程层面监督性控制，并确定这些控制的精确程度。如果某一监督性控制 执行有效，能够充分针对某一财务报告目标，管理层便无需再识别或评估有关这一目标的额外控 制。 决策决策5 5 ：确定须纳入测试范围的经营场所和业务单元 ：确定须纳入测试范围的经营场所和业务单元 在确定哪些经营场所应被纳入测试范围时，各场所被选中的几率并不均等。在评估涉及多个经营 场所的测试范围时，应考虑财务报告内部控制风险。建议在确定上述风险水平时关注以下几点： 对财务业绩和公司运营有重大贡献的业务单元或经营场所，如果其包含的关键流程会影响关键 的财务报告目标，那么这些业务单元或经营场所一般都会纳入测试范围。 单独而言对财务报告并不重要的某个经营场所或单元，可能会存在一些特定的风险，根据合理 推测可能会造成重大错报。 如果管理层确定个别经营场所或业务单元的财务报告内部控制风险较低，就可以通过自我评估 或其他持续监控活动来收集证据，同时结合来自用以监控个别经营场所经营业绩的中央控制的 证据。 公司层面控制在某些情况下也可以提供充分证据。例如，证交会指出：“管理层可以做出集中 执行的控制足以管理财务报告风险的结论。” 决策决策6 6：制定在评估流程结束时用以评估控制缺陷重大性的方法论：制定在评估流程结束时用以评估控制缺陷重大性的方法论 财务报告内部控制评估的重点在于识别实质性漏洞，因此，评估缺陷的过程也应关注这一要点。 如前所述，许多小型公司在开展经济有效的财务报告内部控制评估工作时面临诸多特定挑战。因 而，这些公司也难以设计出具成本效益的解决方案来应对有关缺陷，其中有很多原因，包括缺乏 实现职责分离的资源，技术资源有限，以及存在管理层越权的潜在风险等。小型公司面临的这些 挑战本身就可以让人推断他们至少存在重大缺陷，甚至可能存在实质性漏洞。因此，在评估缺陷 时不仅要考虑相关依据，更要将其记录下来，这一点尤为重要。此外，评估流程应全面地评价内 部控制，包括公司层面控制、监督性控制以及补偿性控制的影响（如有）。关于后者，证交所在 其管理层解释指引中提到“补偿性控制旨在实现另一未能恰当发挥作用的控制本应实现的目标， 帮助把风险降低至可接受水平。”如果从这一点来考虑补偿性控制，那么管理层必须证据证明它 们的执行有效。 必须根据风险来评估缺陷。换而言之，发生错报的可能性及有关潜在错报的严重性如何？然而， 公司不应当利用评估流程将有关缺陷合理化。在最终测试时，应当由一个“合理谨慎的人”在现 有事实的基础上通过运用他或她的判断来执行。外部审计师很可能会就公司评估缺陷的结果提出 一些比较尖锐的问题，因此要提前做好准备。 1 1 对六个决策的总结对六个决策的总结 就404条款合规而言，最常被问到的问题之一便是小型上市公司的财务报告内部控制有效性首次接 受审计师鉴证的成本如何。答案是，“视情况而定”，因为当中涉及许多因素，包括运营及财务 报告的性质及复杂程度、财务报告内部控制文件记录的范围、管理层执行测试的性质和时间，以 及测试文件的记录范围。 以下是有关六个决策的概要： 404404条款关键决策点条款关键决策点实施自上而下、基于风险的方法的关键点实施自上而下、基于风险的方法的关键点 1.选择重大的财务报告目标和相关科目 使用定量和定性因素来识别重大目标。记录其中的合理依据 从长远看这样做将有助于节省时间。 2. 针对各相关目标选择设计有效的关键控 制 3. 决定不同风险水平的文件记录标准 4. 考虑财务报告内部控制风险以确定需要 什么证据来评估重要控制的执行有效性 5. 确定须纳入测试范围的经营场所和业务 单元 6. 制定在评估流程结束时用以评估控制缺 陷重大性的方法论 自上而下，从公司层面控制开始。充分信赖执行足够精确的监 督性控制。 从公司层面开始，然后向下推进；文件记录应以财务报告内部 控制风险为基础。管理层的文件记录可能会被审计师用来支持 其对财务报告内部控制的评估。 在确定需对哪些控制进行测试时，考虑财务报告内部控制风险。 如果公司对审计师依赖管理层测试所带来的潜在效率感兴趣， 应尽早与审计师作相关沟通。熟悉PCAOB关于客观性和胜任能 力的标准。 在评估涉及多个经营场所的测试范围时，参考并利用财务报告 内部控制风险 仅关注实质性漏洞，同时从整体审视内部控制，但需注意所采 纳的理论不能使有关缺陷合理化。 这里需要重申一下本文的前提：如果管理层和外部审计师能就这六个决策达成共识，鉴证工作将 会轻松许多。 1 2 - 计划范围界定文件记录评价测试评估 第一季度第四季度/以后 第三季度/ 第四季度* 第一季度/ 第二季度 第一季度/ 第二季度 第一季度 COSOCOSO小型上市公司财务报告内部控制指引的小型上市公司财务报告内部控制指引的2020条原则条原则 一种简单的方法一种简单的方法 我们在此推荐一种直接明了的六步骤法，该方法与COSO针对小型上市公司刊发的指引一致。该方 法将帮助小型公司实施一种与其规模及环境复杂程度相吻合的经济有效的萨班斯奥克利斯法案 合规流程，它强调应根据推荐的时间表（如图表下方所列的各季度）集中精力完成六步骤中的每一 步。该方法意在帮助小型公司管理层避免在年底时临阵磨枪疲于奔命，重蹈大型编报公司第一年审 计师鉴证工作的覆辙。 有关本方法各步骤中具体活动及关键成功因素的详细解释，请参考表1。 界定角色和责任 制定项目计划及 时间表 确定报告要求 设定基调 识别财务报告目 标及相关流程和 业务单元 识别关键的信息 技术应用系统 完成公司层面的 控制评估 记录关键的流程、 风险和控制 将公司层面控制 与流程风险和财 务报告目标联系 起来 评估职责分离 评估控制设计 针对设计缺陷制 定整改计划 追踪整改措施落 实情况 测试关键控制 识别无效控制 追踪用以处理无 效控制的整改措 施落实情况 重新测试关键控 制（如有必要） 评估剩余控制缺 陷的严重程度 评估整体控制环 境的有效性 做出最终结论 编写报告 与管理层、流程责任人、外部审计师及审计委员会保持沟通与管理层、流程责任人、外部审计师及审计委员会保持沟通 *某些季度控制和年末控制可在会计年度结束之后测试 1 3 成功秘诀：避免拖延、接受培训，做好充分准备成功秘诀：避免拖延、接受培训，做好充分准备 显然，对于小型上市公司而言，萨班斯奥克斯利法案合规并没有统一的方法，因为每个公 司的情况都不同。我们建议公司掌握六大决策点的相关内容，以及我们在此罗列的“六步骤”方 法。归根结底，404条款合规流程将因审计师的加入而发生转折性变化。作为公司外部人士，审计 师的视角将不同于参与公司日常营运的管理层。公司应当做好准备，充分了解相关机构的指引及 其观点和立场，才能增加合规流程的成本效益，避免由于“主导者”过多而面临尴尬的境地。关 注六大决策点和“六步骤”方法将有助确保合规流程的成功。 最后，我们提供如下建议： 决不拖延。决不拖延。与外部审计师就六大决策点进行实质性讨论。 丰富自身的知识并同样要求你的评估团队（包括你的内部审计师）照做。丰富自身的知识并同样要求你的评估团队（包括你的内部审计师）照做。例如，要求你的评估 团队学习和了解证交会的管理层解释指引，以及PCAOB的财务报表审计与财务报告内部控制 审计的整合：小型上市公司审计师指引。知识就是力量。 采用一套完备、可重复、自上而下、基于风险的方法。采用一套完备、可重复、自上而下、基于风险的方法。甫瀚通过“六步骤”方法可帮助你做到 这一点。 不要做多余的工作。不要做多余的工作。由于404条款合规涉及大量判断，如果工作范围界定过程不是自上而下或 以风险为基础，将导致评估团队从事过多不必要的工作。 在整个过程中始终关注风险。在整个过程中始终关注风险。以风险为基础的方法将最大程度地提升404条款合规工作的成本 效益。 审视你是如何管理和监督业务的，并肯定自己的工作。审视你是如何管理和监督业务的，并肯定自己的工作。依赖有效的监督可降低对人工测试的依 赖度。 从别人的错误中吸取经验教训。从别人的错误中吸取经验教训。认真考虑小型公司在第四年萨班斯奥克斯利法案合规过 程中出现的主要漏洞，并仔细审视自己的控制。有关漏洞正是审计师审核的重点。 不要忘记关注舞弊及管理层越权风险。不要忘记关注舞弊及管理层越权风险。这将有助你管理审计流程。 充分发掘已识别出的缺陷，并将其转变为改进流程和控制的机会。充分发掘已识别出的缺陷，并将其转变为改进流程和控制的机会。对缺陷的及时整改可降低出 现实质性漏洞的风险。 最后，时刻准备着：时刻准备着： -迎接现状的挑战；迎接现状的挑战； -与外部审计师积极对话；与外部审计师积极对话； -回答审计委员会为了解审计师评估财务报告内部控制的情况所提出的问题。回答审计委员会为了解审计师评估财务报告内部控制的情况所提出的问题。 切记，时间就是一切。切记，时间就是一切。如果想要成功应对有关财务报告内部控制有效性的第一次审计师鉴证，最 好现在就开始着手准备。 1 4 主要活动主要活动成功秘诀成功秘诀 计划计划 范围确定范围确定 文件记录文件记录 评价评价 测试测试 评估评估 表1表1“六步骤”法“六步骤”法 确定项目发起人和项目团队成员；界定角色、 责任和资源。 制定项目计划、方法和报告要求。 设定项目的基调和重要性。 识别关键的财务报告目标，并排列优先次序 识别影响财务报告及其相关领域的主要IT系统 及应用程序。 识别流程责任人，并与他们沟通萨班斯奥 克斯利法案中与之相关的责任。 确定文件记录标准。 识别主要的财务报告风险（包括舞弊行为）。 完成公司层面控制评估。 记录目标流程，包括风险和控制。 将公司层面控制与关键财务报告风险联系起来。 确定每个流程的关键控制。 识别重要的电子表格和报告。 评估用户权限和职责分离，并将其中的矛盾和 冲突与关键控制联系起来。 评估控制的设计有效性。 确定对控制缺陷进行整改的优先次序，识别相 关责任人。 追踪整改措施落实情况，确立高级管理层问责 制。 根据整改措施修订文件记录（如有需要）。 记录与财务报告内部控制风险两要素相关的测 试计划和策略。 测试关键控制的执行有效性。 识别控制执行有效性问题，并针对重大问题设 计整改方案。 追踪管理层落实整改措施的情况。 根据测试策略重新测试控制缺陷（如有必要）。 针对个别控制做出最终结论。 向外部审计师提供最终的文档记录及测试结果。 就整体控制环境做出最终结论。 计划并编写公开披露信息。 及早开始。 确保管理层及流程负责人的所有权和责任（即， 将萨班斯奥克斯利法案中有关实现可靠 报告的合规流程视为一种持续的流程和责任）。 对风险的考虑应贯穿整个计划过程。 公司层面控制是一个关键因素，不能事后才弥 补。 将公司层面控制直接联系至与其相关的特定风 险。 充分利用运营报告（关键绩效指标），这些报 告一般早已被作为管理层的监督性控制来管理 业务。 采用以风险为基础的方法来界定范围，尽量减 少文件记录和测试量。 关注关键流程中有关重要报告和电子表格的适 当控制和使用。 将针对信息技术系统对选择关键控制所产生影 响的评估纳入文件记录范围 不要做超出404条款合规范围的工作。 实现各业务单元流程的标准化及共同活动的集 中化。 采用成本效益法来决定执行控制时需要记录的 内容。 着重提升上游财务报告流程的操作效率和成效。 增加对公司层面及流程层面监督性控制的依赖， 以减少交易测试。 评估全面测试技术的使用情况，例如数据挖掘， 以将测试量降低至最低水平，同时提供超出样 本测试的增值观点及见解。 根据财务报告内部控制风险调整评估方法。 导致实质性漏洞的缺陷才是真正重要的缺陷。 1 5 关于甫瀚关于甫瀚 甫瀚（）是一家全球性的商业咨询和内部审计专业机构，汇聚了众多专门从事风 险、咨询和并购服务的专家。我们帮助客户解决有关财务和并购、运营、技术、诉讼，以及治 理、风险和合规等领域的问题。我们的专