美国上市公司会计监管委员会提议的审计标准-有关财务报告内部(精)课件.ppt

1、The Sarbanes-Oxley Act of 20021PricewaterhouseCoopers美国上市公司会计监管委员美国上市公司会计监管委员会提议的审计标准会提议的审计标准有关财务报告内部控制的审计有关财务报告内部控制的审计2003年年10月月此处列述的信息和观点不代表任何法律或其他形式的专业意见。有关2002年萨班斯奥克斯利法案和相关证券交易（SEC）法规及条例所规定的公司职责和合规性要求，建议公司向法律顾问进行咨询。普华永道第1页，共44页。The Sarbanes-Oxley Act of 20022PricewaterhouseCoopers概述概述 美国上市公司会计监管

2、委员会提议的审计标准 重要规定 类似审计准则委员会（ASB）建议的理念 新的理念 公司管理层责任及对文档记录的规定 审计师的责任 下一步工作第2页，共44页。The Sarbanes-Oxley Act of 20023PricewaterhouseCoopers美国上市公司会计监管委员会美国上市公司会计监管委员会(PCAOB)提议的审计标准提议的审计标准 2003年10月7日发布的提议标准 提议标准热点讨论 就31处相关问题征询意见 为期45天的意见反馈期 生效日期：证券交易法案12b-2所要求的需要加速提交报告的公司（成熟的美国公司，且流通股超过75,000,000美元），应在2004年6

3、月15 日截止年度及其之后的财务年度执行该标准。其他公司在2005年4月15日截止年度及其之后的财务年度执行该标准第3页，共44页。The Sarbanes-Oxley Act of 20024PricewaterhouseCoopersPCAOB提议的审计标准提议的审计标准 提出将财务报表审计和对有关财务报告的内部控制的审计结合起来的概念 认同不同企业可能适用不同的内部控制的理念，因而内控的执行可能存在多种形式 明确了管理层：相关职责 文档记录方面的要求 明确了审计师的责任及必需的沟通 制定了评估内控缺陷的标准 明确在302条款下，审计师对管理层所做的内控季度报告的相关责任 提示审计师保持独

4、立性第4页，共44页。The Sarbanes-Oxley Act of 20025PricewaterhouseCoopers整合的审计：目标整合的审计：目标 对财务报表发表审计意见.对有关财务报告的内部控制发表审计意见，这就要求：评价管理层对于有关财务报告的内部控制有效性实施的评估.直接测试有关财务报告的内部控制的有效性第5页，共44页。The Sarbanes-Oxley Act of 20026PricewaterhouseCoopers没有通用的内部控制没有通用的内部控制 指出内部控制的五个要素在每个企业中的实施方式取决于：企业规模 业务复杂性 财务信息处理方法 适用的法律法规 小型

5、企业业务流程总体上相对简单，相应的控制也趋于简单、非正式化。文档记录形式可能多种多样，内容不尽相同，包括：政策制度手册、流程模型、流程图、岗位职责描述及其他文件。文档记录没有统一标准，而其详细程度则取决于企业规模、经营性质、及业务复杂性。第6页，共44页。The Sarbanes-Oxley Act of 20027PricewaterhouseCoopersPCAOB提议的审计标准保留了提议的审计标准保留了ASB建议的许多理念建议的许多理念 管理层责任 文档记录要求 审计师实施有效性测试 利用其他人的工作 评估多个业务单位和经营场所 外聘服务机构 非轮换性的内控测试第7页，共44页。The

6、Sarbanes-Oxley Act of 20028PricewaterhouseCoopersPCAOB提议的审计标准中的新理念提议的审计标准中的新理念 将重要会计科目和相关财务报表认定结合起来 重大弱点(material weakness)=否定意见 要求审计师执行穿行测试 评估审计委员会的有效性 强调重要缺陷（significant deficiency)和重大弱点（material weakness)的定义 列举了可能构成重要缺陷(significant deficiency)和预示重大弱点(material weakness)的情况 季度的报告程序第8页，共44页。The Sarb

7、anes-Oxley Act of 20029PricewaterhouseCoopers与财务报告相关的内部控制定义与财务报告相关的内部控制定义为确保财务报告可靠性并确保为外部目的而编制的财务报表符合美国公认会计准则而设计的内控流程，主要包含了以下政策与程序：以合理的详细程度维护书面记录，准确并公允的反映企业的交易和资产的处置 为交易的必要记录提供合理的保证，确保财务报表的编制符合公认会计准则，同时公司收入与支出遵循管理层和总裁的授权 提供合理保证，以防止并及时发现擅自购买、使用或处置企业资产等可能对财务报告造成严重影响的行为第9页，共44页。The Sarbanes-Oxley Act o

8、f 200210PricewaterhouseCoopers内部控制缺陷定义内部控制缺陷定义在管理层或员工正常各司其职的情况下，控制的设计或执行无法及时有效地防止或发现错误，则企业存在内控缺陷。设计上的缺陷存在于以下情况：(a)实现控制目标的某一控制缺失,或者(b)现有控制设计不当，即使内控（按设计）得以妥善执行，控制目标也有可能无法实现.执行上的缺陷存在于：设计完善的内控得不到正确执行，或执行控制人员不具备有效执行的必要授权或资质第10页，共44页。The Sarbanes-Oxley Act of 200211PricewaterhouseCoopers重要缺陷（重要缺陷（signific

9、ant deficiency)和重大弱点（和重大弱点（material weakness)重要缺陷重要缺陷(significant deficiency)是一种严重影响公司根据公认会计准则（GAAP）要求在对外财务报告中建立、记录、处理和报告信息的能力的内部控制缺陷。是一个单独的缺陷，或者是几个缺陷的结合，导致无法防止或发现年度或中期财务报表的错报；并且其可能性大于可能性大于“微小微小”，其涉及的金额大于“不重要不重要”；重大弱点（重大弱点（material weakness)是一个单独的缺陷(significant deficiency)，其独自或通过与其他重要缺陷（significant

10、deficiency)的共同作用，导致无法防止或发现年度或中期财务报表重大错报的可能性；并且该可能性大于“微小”；重大弱点重大弱点(material weakness)=否定意见否定意见第11页，共44页。The Sarbanes-Oxley Act of 200212PricewaterhouseCoopers管理层的责任管理层的责任 对有关财务报告的内部控制的有效性负责 运用适当的控制标准（例如:COSO控制框架），对有关财务报告的内部控制的有效性进行评估 以足够的证据（包括书面记录）来支持其评估 关于公司最近财务年度末对有关财务报告内部控制有效性进行的评估，呈报书面的评估结果如果管理层没

11、能履行职责，如果管理层没能履行职责，审计师应当书面与审计委员会沟通，并审计师应当书面与审计委员会沟通，并且拒绝发表意见且拒绝发表意见第12页，共44页。The Sarbanes-Oxley Act of 200213PricewaterhouseCoopers管理层文件记录的要求管理层文件记录的要求 针对财务报表中与所有的所有的重要科目及披露事项相关的相关的认定，设计相应的内部控制 关于重要交易怎样发生、记录、处理和报告的信息 关于交易流程的足够信息，以确认重大的会计报表错误是由于过失还是欺诈 用来预防和发现欺诈的控制，包括实施控制的人以及相关的职责分工 期末会计报告流程 关于资产保护的控制

12、管理层测试和评估的结论第13页，共44页。The Sarbanes-Oxley Act of 200214PricewaterhouseCoopers审计师的责任审计师的责任 评估有关舞弊的控制 理解有关控制的设计 测试和评估控制执行的有效性 使用管理层和其他人的工作成果 评估缺陷 财务报告的内部控制的审计与财务报表审计之间的关系 季度报告 获取书面的声明 必需的沟通 审计师记录 评估管理层报告 出具报告 独立性第14页，共44页。The Sarbanes-Oxley Act of 200215PricewaterhouseCoopers评估有关舞弊的控制评估有关舞弊的控制 防止不当使用公司资

13、产的控制 公司的风险评估过程 道德/行为准则，特别是那些有关利益冲突、关联交易、违法行为的内容，以及管理层和审计委员会或董事会对于准则的执行实施的监督 内部审计活动的充分性，以及其在职责上是否向审计委员会汇报 公司处理投诉事项程序的充分性，以及关于质疑会计或审计事项获得秘密举报的程序的充分性第15页，共44页。The Sarbanes-Oxley Act of 200216PricewaterhouseCoopers了解内部控制设计的方法了解内部控制设计的方法 理解与内部控制五个要素相关的控制设计 测试与评估公司层面的控制 评估审计委员会监督的有效性 确定重要会计科目 确定与财务报表相关的认定

14、 确定重要流程 理解期末财务报告流程 确定需要测试的控制 进行穿行测试第16页，共44页。The Sarbanes-Oxley Act of 200217PricewaterhouseCoopers审计师评估审计委员会监督的有效性审计师评估审计委员会监督的有效性 管理层的独立性 清晰的职责描述 与外部审计师和内部审计师的参与和互动程度 审计委员会遵从与法案相关的标准 财务专家 用于实施控制的时间，包括反舞弊的控制 委员会成员能够投入委员会活动的时间 任命程序无效的审计委员会的监督至少应当被认定为一个重要缺陷无效的审计委员会的监督至少应当被认定为一个重要缺陷(significant defici

15、ency)significant deficiency)，同时也强烈预示着一个重大弱点（同时也强烈预示着一个重大弱点（material weakness)material weakness)第17页，共44页。The Sarbanes-Oxley Act of 200218PricewaterhouseCoopers确定重要科目确定重要科目 两个层面的程序:首先从财务报表的层面 然后从科目和披露的层面 评估应包括定性和定量的因素 如果某一科目可能包含错报，这些错报单独或合并在一起可能对财务报表产生重大影响的可能性大于“微小”，那么就认为其为重要科目。重要性考虑:在有关财务报告的内部控制的审计中

16、使用的重要性概念应该应用于财务报表层面和单个的科目余额层面 包括定性和定量的考虑第18页，共44页。The Sarbanes-Oxley Act of 200219PricewaterhouseCoopers确定相关财务报表认定确定相关财务报表认定确定每个重要科目的相关财务报表认定:存在或发生 完整性 估价与分摊 权利和义务 表达与披露相关性认定是指与科目是否公允表述相关相关性认定是指与科目是否公允表述相关的认定的认定。第19页，共44页。The Sarbanes-Oxley Act of 200220PricewaterhouseCoopers确定重要流程确定重要流程确定每个影响重要科目的主

17、要交易类型的重要流程。对每个重要流程，审计师应该:理解交易流程，包括交易如何发生、记录、处理和报告。确定并记录流程中可能产生相关财务报表认定错报的地方（包括由于舞弊产生的错报）。确定并记录针对潜在错报而实施的控制。确定并记录为防止或及时发现未经授权取得、使用或处置公司资产而实施的控制。第20页，共44页。The Sarbanes-Oxley Act of 200221PricewaterhouseCoopers期末财务报告流程期末财务报告流程 审计师应该评价期末财务报告流程，包括:用于编制财务报表的流程，包括输入、执行的程序、输出 在期末财务报告流程中各部门使用信息技术的程度 管理层的参与人员

18、 报告包含的经营场所的数量 调整分录的类型 审计委员会参与的性质和程度 基于它的重要性，期末财务报告流程永远都是重要的流程第21页，共44页。The Sarbanes-Oxley Act of 200222PricewaterhouseCoopers确定需进行测试的控制确定需进行测试的控制 审计师必须获得关于控制有效性的证据，这些证据包含对于财务报表中所有重要科目和披露的相关认定 包括如下:哪些地方可能发生错误或舞弊 管理层实施的控制的性质 每个控制对达到控制目标的重要程度，是否有其他控制能达到相同目标 公司进行的（控制）执行有效性方面的测试的性质和范围 控制可能无效运行的风险 控制应当与重要

19、科目和认定有明确的联系 包括预防性和发现性的控制第22页，共44页。The Sarbanes-Oxley Act of 200223PricewaterhouseCoopers如何确定连接重要科目和财务报表认定的控制如何确定连接重要科目和财务报表认定的控制?应付帐款应付帐款采购采购/付款流程付款流程 完整性完整性控制控制 A控制控制 B控制控制 C准确性准确性控制控制 D控制控制 E控制控制 F控制控制 G有效性有效性控制控制 H控制控制 I接触控制接触控制控制控制 J控制控制 K控制控制 L咨询费用咨询费用完整性完整性重要流程重要流程PCAOB 链接链接重要科目或披露重要科目或披露完整性完整

20、性对应的财务报表认定对应的财务报表认定管理层财务报表认定管理层财务报表认定准确性准确性/有效性有效性准确性准确性截止性截止性控制控制 A控制控制 B控制控制 C控制控制 H控制控制 F控制控制 A控制控制 B控制控制 E控制控制 G控制控制 A所有的接触控制和总体的计算机控制所有的接触控制和总体的计算机控制连接控制与财务报表认定连接控制与财务报表认定第23页，共44页。The Sarbanes-Oxley Act of 200224PricewaterhouseCoopers穿行测试穿行测试 确认审计师对交易流程的理解 确认审计师对控制设计的理解 确认流程的完整性 为评估控制的设计提供依据 确

21、认在实际操作中控制是否得到执行第24页，共44页。The Sarbanes-Oxley Act of 200225PricewaterhouseCoopers测试和评估控制执行的有效性测试和评估控制执行的有效性 针对所有重要科目的全部相关认定的内部控制，每年必须获得其有效性的依据（或通过自己亲自执行的控制测试或利用其他人的工作成果）测试的性质、时间和程度应每年变化 需要高水平保证 考虑控制的性质（人工的还是自动的；运行的频率;重要性)第25页，共44页。The Sarbanes-Oxley Act of 200226PricewaterhouseCoopers测试的范围测试的范围-多经营场所或

22、多业务单位多经营场所或多业务单位 本身重要的场所/业务单位 可能导致重大误报的财务重要性水平 特定风险 能够给组织带来负面影响 剔除“微不足道”的经营场所或业务单位 本身不重要但累计起来会重要的经营场所或业务单位 依靠公司层面的控制:控制环境 风险评估流程 集中处理和控制 监控运营的结果 监控控制，包括内部审计和自我评估 期末财务报告流程 董事会审批的有关重要业务控制和风险管理实践的政策第26页，共44页。The Sarbanes-Oxley Act of 200227PricewaterhouseCoopers是否经营场所和单位本身就很重要?*评估文件记录以及测试在每个经营场所和单位的重要控

23、制特殊或重要风险?对于这些单位不需进一步的行动 经营场所和单位自身，或即使与其它单位合并在一起也不重要?针对必要的个别经营场所或业务单位的控制的测试对这个合并组织的控制是否有文件记录的公司层面控制?对此合并组织的公司层面的控制进行文件记录评估和测试*评估文件记录并且测试对于特殊风险的控制不是不是测试的范围测试的范围-多经营场所图表多经营场所图表不是不是不是不是不是不是是是是是是是是是第27页，共44页。The Sarbanes-Oxley Act of 200228PricewaterhouseCoopers测试的范围测试的范围-使用使用服务审计师服务审计师的报告的报告 管理层评估里一定要写明

24、聘用了服务机构 应当取得SAS 70-Type II 报告，证明运行的有效性 管理层应当评估这份报告是否提供了有关经营有效性的充分证据 服务审计师报告出具的时间影响测试工作第28页，共44页。The Sarbanes-Oxley Act of 200229PricewaterhouseCoopers测试范围测试范围 使用使用服务审计师的服务审计师的报告报告 如果审计师认为需要更多的证据以评估控制执行的有效性，审计师应该考虑：重新进行管理层或者公司其他人已进行过的测试 通过客户联系服务机构以获得特定的信息 要求服务组织的审计师执行相关程序以提供必要的信息；访问服务组织并执行这样的程序 审计师在得

25、出自己的审计意见之前不能仅参考服务审计师的信息。第29页，共44页。The Sarbanes-Oxley Act of 200230PricewaterhouseCoopers测试范围测试范围 资产保护资产保护 包括在交易和处置相关资产过程中，仅为防止由于故意和非故意的错误而产生损失的保护措施。资产保护的定义并不包括以下概念：管理层的一项首要责任是保护公司的现有资产和获得新的资产。审计师无需了解和测试管理层在所有销售行为和收购行为中的决策过程。例如，以下的决策过程就不在财务报告流序的考虑范围内：产品的卖价太低无法盈利 为不必要的设备、不适用的材料、不适销的商品、成果不显著的研究活动或者无效的广

26、告活动而支出的费用。第30页，共44页。The Sarbanes-Oxley Act of 200231PricewaterhouseCoopers审计师如何利用管理层和其他的工作审计师如何利用管理层和其他的工作控制类型控制类型利用企业的利用企业的工作工作外部审计的测试外部审计的测试 控制环境，包括反舞弊控制 期末财务报告流程控制 对财务报表有普遍影响的控制，例如：有效执行其他控制所依赖的信息系统的总体控制 穿行测试无100%对重大非常规和非系统交易的控制 针对审计师认为如果相关控制执行无效会产生高风险的重大会计科目、流程或者披露的控制有限的测试应该包括绝大多数评估有效性所必要的审计证据 针对

27、重大会计科目和信息披露的日常处理的控制无特定限制 部分控制的测试审计师必须在整体上进行足够的工作，以获得发表审计意见所需的主要审计证据审计师必须在整体上进行足够的工作，以获得发表审计意见所需的主要审计证据。第31页，共44页。The Sarbanes-Oxley Act of 200232PricewaterhouseCoopers评估缺陷评估缺陷必须对有关财务报告的内部控制缺陷的重要性进行评估，评估应该基于：一种单独存在的缺陷，或者几个缺陷累计，导致科目余额或者披露错报的可能性可能性 由一个或者几个缺陷导致的潜在错报的大小大小第32页，共44页。The Sarbanes-Oxley Act

28、of 200233PricewaterhouseCoopers以下方面的缺陷至少应被认定为重要缺陷（以下方面的缺陷至少应被认定为重要缺陷（significant deficiency)有关选择和适用符合公认会计准则的会计政策的控制 反舞弊程序和控制 对非常规和非系统化的交易的控制 对期末财务报告流程的控制第33页，共44页。The Sarbanes-Oxley Act of 200234PricewaterhouseCoopers其他缺陷其他缺陷 管理层没有充分记录对控制的设计 缺乏充分的记录性证据以支持管理层对与财务报告相关的内部控制执行的有效性的评估。这意味着需对内部控制缺陷的重要性进行评

29、估。这意味着需对内部控制缺陷的重要性进行评估。第34页，共44页。The Sarbanes-Oxley Act of 200235PricewaterhouseCoopers自动确认的重要缺陷（自动确认的重要缺陷（significant deficiency)/潜在的潜在的重大弱点（重大弱点（material weakness)将导致重要缺陷（将导致重要缺陷（significant deficiency)及预示重大弱点（及预示重大弱点（material weakness)存在的情形：存在的情形：对已发表的财务报表重新表述 审计师发现财务报表中重大错报 公司审计委员会的监督失效 在复杂的企业里，

30、无效的内部审计或者风险评估 高度制度化的行业里，企业在遵守规章制度方面无效的控制 发现高级管理层任何程度的舞弊 已与管理层和审计委员会沟通过，然而一段合理时间后仍未改正的重要缺陷（significant deficiency)第35页，共44页。The Sarbanes-Oxley Act of 200236PricewaterhouseCoopers与财务报告有关的内部控制审计和财务报表审计的关系与财务报告有关的内部控制审计和财务报表审计的关系 控制测试可以改变审计实质性测试的性质、时间和程度 “重要控制放心程度”（significant controls comfort)公认审计准则（GA

31、AS）仍要求对所有重要会计科目和披露的相关认定执行实质性测试程序 不能达到执行特定测试的要求（例如，SAS 99程序，确认，存货观察）倘若内部控制缺陷存在，考虑其对决定测试的性质、时间和程度的影响 经过实质性测试而未发现错误并不提供控制有效的证据 在评估相关控制的执行有效性时应考虑已发现的错误 可能影响判断 实质性测试必需包括将财务报表和会计记录进行核对，并检查编制财务报表时所做的重大调整。第36页，共44页。The Sarbanes-Oxley Act of 200237PricewaterhouseCoopers审计师在审计师在302条款下管理层季度报告中的责任条款下管理层季度报告中的责任

32、 询问管理层关于从上季度或者上次年度审计到现在内部控制的重y要变化 确定这些变化是否导致重要缺陷（significant deficiency)或者重大弱点（material weakness)在文件归档前，就他/她注意到的需要在季度声明里做信息披露修改的事项与管理层进行沟通 如果管理层没有适当的反应，审计师应该通知审计委员会。如果审计委员会没有适当的反应，审计师应该考虑辞职。在这些情况下，审计师仍肩负1934年证券法案的10A条款下的责任。在第四季度，如果管理层和审计委员会没有适当的反应，审计师应该修改报告，增加解释段以描述审计师认为管理层应该修改其声明的原因。第37页，共44页。The S

33、arbanes-Oxley Act of 200238PricewaterhouseCoopers书面的声明书书面的声明书 如果不能获得书面的管理声明书，包括管理层拒绝提供声明书，将造成审计范围的限制而不能签署无保留意见 要求取消业务约定或者拒绝表示意见第38页，共44页。The Sarbanes-Oxley Act of 200239PricewaterhouseCoopers审计师要做的必要沟通审计师要做的必要沟通 审计委员会 与审计委员会书面沟通所有重要缺陷（significant deficiencies)和重大弱点(material weaknesses),并区分二者的区别 与管理层

34、沟通发现的所有缺陷 涉及高级管理层的舞弊 违法事件，除非该事件明显是不重要的(inconsequential)管理层 与管理层书面沟通审计中发现的所有有关财务报告的内部控制的重要缺陷（significant deficiency)组织中不同层面的舞弊 审计师应该考虑在审计的过程中而非审计结束时沟通此类事件第39页，共44页。The Sarbanes-Oxley Act of 200240PricewaterhouseCoopers审计师的记录审计师的记录 对公司有关财务报告的内部控制的五个要素设计的理解和评估 用于确定重要科目、交易和披露的流程，包括确定要进行测试的经营场所或业务单位的流程。在

35、重要的科目、认定和流程中，发现哪些地方可能发生与财务报告相关认定有关的错报。审计师对管理层或其它人员工作的依赖程度。对审计测试中发现的所有缺陷的评估。其它可能导致对修改审计报告的发现。第40页，共44页。The Sarbanes-Oxley Act of 200241PricewaterhouseCoopers评估管理层报告评估管理层报告 评估应该包括：管理层是否正确的表述其责任。使用的框架是否适当。管理层对内部控制有效性的评估是否存在重大错报。管理层是否以适当的形式表述其评估。内部控制的重大弱点（material weakness)是否被适当的披露。第41页，共44页。The Sarbane

36、s-Oxley Act of 200242PricewaterhouseCoopers报告报告 单独的或合并的报告相同的报告日 管理层报告是不充分的至少包括解释段 业务约定范围的限制范围限制取消业务约定，拒绝表示意见或者保留意见 包括，当管理层对有关财务报告的内部控制评估的流程不充分时。重大弱点（重大弱点（material weakness)存在否定意见存在否定意见 对内部控制有效性产生重大负面影响的期后事项否定意见。不能够确定期后事项对内部控制有效性的影响拒绝表示意见第42页，共44页。The Sarbanes-Oxley Act of 200243PricewaterhouseCooper

37、s审计师独立性审计师独立性 没有改变现行的审计师独立性准则。包括：审计师能够提供实质性的建议，帮助管理层改进公司内部控制的设计和执行。但是，审计师不能够设计或实施内部控制。管理层应该积极地参与并且不能够将责任委派给审计师。管理层的参与必须是实质性的和广泛的。即使管理层承认由审计师执行的控制记录和测试是他们的责任，仍不足以满足独立性的要求。对审计客户提供内部控制的相关服务必须得到审计委员会专门的事先批准。第43页，共44页。The Sarbanes-Oxley Act of 200244PricewaterhouseCoopers下一步工作下一步工作 熟悉上市公司会计监督委员会提议的标准 考虑向上述提议的标准提供注释 评估到目前为止有关404条款的准备工作 根据上述提议的标准中的变化作出适当的调整（相关认定的确定，明确的管理层记录要求，重要缺陷（significant deficiency)和重大弱点（material weakness)的定义）保证对未来预期进行双向沟通：管理层准备工作的努力 审计师的努力第44页，共44页。