《缺陷评估》PPT课件

缺陷评估,2010年4月内控与风险管理部,缺陷评估概述,控制缺陷的定义：,如果控制的设计或运行不允许管理层或员工正常执行指定职能，以及时预防或发现错报时，财务报告内控就存在缺陷。设计中的缺陷在下列情况下存在：(a)缺少达到控制目标所必要的控制，或者(b)现有控制设计不合理，即使控制按设计运行，控制目标也不能达到。运行中的缺陷在下列情况下存在：合理设计的控制未按设计运行，或者执行控制的人不具备必要的权限或能力来有效执行该控制。,重大缺陷是指财务报告内部控制缺陷或缺陷集合，不如实质性缺陷严重，但会导致公司财务报告疏忽，同样值得引起关注。,重大控制缺陷的定义：,缺陷评估概述,实质性漏洞是指财务报告内部控制的缺陷或者控制缺陷的集合，这样不能及时预防或发现公司年度或中期财务报表的实质性错报提供合理可能性。,实质性漏洞的定义：,缺陷评估概述,审计准则5号下的定义变化：,缺陷评估概述,审计准则5号下的定义变化：,缺陷评估概述,审计准则5号下的定义变化：,缺陷评估概述,审计准则5号下的定义变化：,缺陷评估概述,缺陷评估概述,在确认测试例外是否是一个控制缺陷的时候，关键在于测试的目标是否已经达到。如果发现的测试例外超出不可容忍的偏差率，则测试目标并未达到。,第一步：确认测试目标是否达到：,缺陷评估概述第一步,并非所有例外情况均导致控制缺陷关键在于测试目标是否达到进行评估时需要专业判断、考虑:-定性和定量的因素-与其他控制的关系一项未作为文档记录的控制，未必是无效的,缺陷评估概述第一步,25个调节表样本中其中20个样本存在书面证据证明该样本经记录以及审批文件书面设计的控制方案有别于实际运作，但运作是有效的信息系统总体控制变更控制缺乏书面证据经营活动分析-书面文件有不足之处，但基于与有关人员的讨论及其它证据可证明有明显而有效的控制在运行COSO的元素-如果COSO元素的精确度以及力度是足够让我们依赖以减低其他内控测试或财务报表审计的工作，那在这个环节出现“文档不足”的例外则需要慎重处理。-另一方面，如果仅从COSO的总体内控环境考虑，如果该COSO元素只是支持总体内控环境的一部分，则虽然有文档不足之处，可以更多考虑实际运作是否有效。,缺陷评估概述第一步,第二步：由此缺陷（或缺陷汇总）导致错报的情况是否至少具备合理的可能性？第三步：在引起中期或年度财务报告存在潜在错报具备合理可能性（考虑定性和定量因素）的前提下，该错报对财务报告的影响程度是否重大？,缺陷评估概述第二步、第三步,我们应该明确的考虑可能性和重大程度，并把有关的考虑因素和结论进行文档记录某些控制缺陷，可能永远不会导致财务报告出现实质性错报的合理可能性，也不会引起公司财务报告监察负责人的关注-在评估这类缺陷时不需要以同样深入的分析力度或详细的文档记录,缺陷评估概述第二步、第三步,我们必须评价引起审计师关注的每个控制缺陷的严重性(AS5.62)控制缺陷的严重性可能性重大程度严重性不仅取决于是否已经有错报的发生,缺陷评估概述第二步、第三步,确认个别的缺陷或缺陷汇总是否存在导致科目余额或披露信息错报的合理可能(AS5.65)-确认“错报”的可能性，而不是“重大错报”的可能性-可能性的评估可以无需对错报的发生率进行量化AS5.65所提供的影响“可能性”的风险因素的例子：-财务报告科目、披露和相关认定的性质-相关资产或负债易受损失或舞弊影响的程度-为确定相关金额时所需判断的主观性、复杂性或程度-控制与其他控制的相互作用或关系，包括控制是否独立或者是冗余-缺陷的相互影响-缺陷所引起的未来可能的后果,可能性,缺陷评估概述第二步、第三步,围绕信访权限的信息系统总体控制缺陷舞弊缺陷或许多缺陷同时存在金额错误低于重要性水平（判断）明显为独立单一事项,增加重大错报的可能性,重大错报可能性不大,可能性例子,缺陷评估概述第二步、第三步,对财务报表科目余额或披露信息有影响的多个相关控制缺陷，增加了错报的可能性(AS5.65)考虑把所有控制缺陷和重大缺陷按以下口径进行汇总:-所影响的重要会计科目或披露事项-相关认定-内部控制的组成部分（即，COSO组成部分),考虑汇总结果,缺陷评估概述第二步、第三步,影响重大程度的因素：-财务报表金额或受缺陷影响的所有交易金额-受缺陷影响的业务量定性考虑包括:-SAB99中描述有关评估财务报表重要程度的要点-有关一个足够知情、胜任和客观的财务报表使用者的预期需要而应考虑的其它因素必须考虑缺陷对于公司年度或中期（若适用）财务报表的影响(AS5.A7)评估控制缺陷的重大程度必须考虑实际发生以及可能发生的错报的影响,重大程度,缺陷评估概述第二步、第三步,对于一家拥有众多地区单位的公司，由于一个重要会计科目的相关风险分布于多个地区单位中，因此就算一个针对某个认定的控制在一个单位中无效，但没有同时在多个单位中发生同样情况的话，并不一定会存在导致财务报表发生实质性错报的合理可能性。,多个单位的考虑,缺陷评估概述第二步、第三步,考虑所发现的缺陷是否直接或者间接影响财务报表认定的实现与财务报表认定只是间接相关的控制，通常是为促进其他控制有效性的控制，以作为财务报告内部控制总体设计的一部分（例如，与控制环境相关的公司层面控制，监督其他控制的公司层面控制，信息系统总体控制）评价那些间接影响财务报表认定的控制缺陷的严重性时，应该考虑有关控制缺陷（或控制缺陷汇总）可能或者已经导致其他控制缺陷发生的可能性和重大程度,控制缺陷与实际相关财务报表认定的关系,缺陷评估概述第二步、第三步,评估该缺陷是否足以引起负责监督公司财务报告的相关人员的关注:-需要运用专业判断;以及-与此缺陷（或缺陷汇总）相关的公司特有的事实和环境,第四步：负责监督公司财务报告的相关人员的关注,缺陷评估概述第四步,缺陷在去年已存在并被确认为重要缺陷或实质性漏洞缺陷存在于公司日渐壮大的业务缺陷存在于对管理层/审计委员会而言属于高度关注的范围内（例如，特殊单位）,负责监督公司财务报告的相关人员的关注例子,缺陷评估概述第四步,是否存在补偿性控制，并以一定程度的精确性有效运行，足以预防或发现对于中期或者年度财务报告来说可能是重大的错报？在一定精确程度上执行有效并能够防止或发现实质性错报的补偿性控制（经确认和测试）应该被考虑。(AS5.68)在评估控制缺陷严重性之前考虑补偿性控制可能更为有效考虑相关认定的补偿性控制在未来审计中是否比发现缺陷的控制更为适用,第五步：补偿性控制的考虑,缺陷评估概述第五步,在考虑所有事实和环境，包括定性因素之后，是否能够得出此情况（如重大审计调整、重述以前年度已公布的财务报告）并不代表控制上的缺陷的结论？某些情况（例如，实质性审计调整或者重述以前年度已发布的财务报表）不一定是控制缺陷造成的但该等情况牵涉到个别特殊状况，不认为控制失效的情况是绝无仅有的，在作出内部控制并没有失效的结论前，必须慎重考虑相关定性因素，小心评价和咨询。,第六步：一个重大错报或者重述是否仍不构成控制缺陷？,缺陷评估概述第六步,一个足够知情、胜任并且客观的人员（如谨慎的管理人员）是否能得出此缺陷（或缺陷汇总）为实质性漏洞的结论？,第七步：谨慎管理者的测试,缺陷评估概述第七步,需要运用阐述清晰的判断，并考虑及衡量定量、定性因素，在评价相似事实和情况时，不同分析者可能得出不同的结论对于评估控制缺陷的严重性以理据为基础的专业判断,作出清晰的文档记录是非常重要的,关键启示,缺陷评估概述总结,A公司（一家上市公司）生产滑轮鞋并销售到世界各地。该公司于1998年成立，总部位于美国加利福尼亚。近期市场上推出的“巡航鞋”加剧了市场竞争，A公司不得不改进自身销售产品的质量并对其高级销售团队实施绩效奖励。以下汇总了A公司过去三个财务年度的重要财务数据：,缺陷评估概述案例,缺陷评估概述案例,在对该公司2006年12月31日的财务报告进行内控审计后，审计师发现信用部经理在年末关账过程中并未对全部客户的余额进行审阅以判断坏账准备是否计提充足，而且这一工作也没有任何其他人员执行。你是否认为审计团队发现的这一例外事项构成了控制缺陷？如果是的话，你将如何对其分类？控制缺陷重大缺陷实质性漏洞,缺陷评估概述案例,可能性：应收账款余额（受到销售收入余额的影响）有可能会受到给销售人员制定的激励政策而导致的舞弊事件的影响。坏账准备是一个带有很强主管判断因素的科目。重大程度：财务报表金额或交易总额受到该缺陷的重大影响。应收账款余额是1亿零8百万，而重要性水平仅仅只有1千七百万。受今年销售水平及过去3年销售金额逐年增加的影响，应收账款余额有了一个大幅的变动。,缺陷评估概述案例,1）财务总监将会在每个季度对余额大于一百万的应收账款进行审阅。2）审阅将会被严格的执行并且识别出任何需要提取坏账准备的客户帐户。3）截止2006年12月31日，余额大于100万的帐户总额为1亿零五百万。4）该审阅已经在12月31日被执行，共补提坏账准备975万。5）审计没有对该事项做出任何补充的调整。,缺陷评估概述案例,让我们来假设一下我们去和财务总监讨论这个缺陷的严重性，很显然，每个季度他都会对所有余额大于1百万的应收账款进行审阅。该审阅将会被严格的执行并且识别出任何余额大于一百万并需要提取坏账准备的客户帐户。截止2006年12月31日，余额大于100万的帐户总额为1亿零五百万。财务总监证实在审计工作进行之前，他已经在12月31日执行了该审阅并且补提了975万的坏账准备。到目前为止审计没有提出任何补充的调整。,缺陷评估概述案例,财务总监的审阅工作是一个有效的补偿性控制么？,缺陷评估概述案例,如何去测试财务总监所执行的这项控制？,缺陷评估概述案例,为了利用这一类型的控制，我们需要弄清楚以下类型的问题：什么样的证据可以有效的证明财务总监已经执行了这方面的审阅？（提示：仅仅是询问不足以证明该控制已经得到了有效的执行）财务总监的审阅里面都包括哪些内容？例如，在决定是否需要提取坏账准备的时候，需要哪些信息？需要什么样的调研？那些原始数据是否已经被证实是完整、精确的？一旦我们深入的理解了控制的设计并且没有发现任何问题，我们需要测试其执行的有效性是否与公司相同类型的指引相符。,缺陷评估概述案例,这一附加信息对你进行缺陷分类有什么影响？,缺陷评估概述案例,考虑补偿控制，必须判断信用部经理未审阅这一缺陷是否有必要提请公司财务报告监管者关注。因此，请判断该缺陷是否仅仅是一个控制缺陷进而不需汇报或采取进一步的行动。判断是否有必要将这一缺陷提请公司财务报告监管者关注应依赖于职业判断。余额是公司资产负债表中的重要组成部分。信用经理没有按照预期履行其职责。在一定精确程度上执行的补偿控制能够防止或发现重大错报。,缺陷评估概述案例,如你所见，判定一个缺陷仅仅是一个控制缺陷，亦或性质更为严重的关键是职业判断。本例作为一个教学案例，提供的信息极为有限。但在实践中，会有更多垂手可得的信息帮助你对此进行评估。这一评估过程不仅要求职业判断，而且还需要考虑公司具体情况。因此完整记录你的判断依据和结论至关重要。AS5第69段提供了一张实质性漏洞潜在指示的清单。审计师应审计过程中，尤其在判断缺陷的严重程度时，对其加以考虑。这些指示都是相当严重的情况，即使没有发现这些指示，也不能认为我们的发现就不是实质性漏洞。但是，主要考虑到在评价财务报告内部控制缺陷严重程度时相关的可能性、重大程度及关键判断，A公司的这一例外事项最多是一个重大缺陷。,缺陷评估概述案例,因此，正如在A公司案例讨论中所看到的，在判断已识别缺陷的严重程度的过程中，运用职业判断是非常重要的。并且，我们还需要结合数量和质量等因素作出合理判断。正如我们所讨论的，不同个体评估相似的因素和环境时可能会得出不同