评价网 > 科教论文 > 经济学毕业论文 > 金融论文 > 正文

中国上市公司遵循SOX404条款的影响和应对方法(7)

2013-06-14 01:09 计算机一般控制④组织目标和控制结构的对应⑤风险识别⑥反欺诈政策⑦财务报告流程⑧系统范围的监控。
2.流程层面关键控制的识别
404条款要求评价的是财务呈报内部控制，因此我们在决定关键控制时就要考虑该项控制对财务报告的影响。关键控制应是指那些对重要财务报告会计科目余额和披露有重大影响的控制。我们可以先阅读一下财务报告，分析关键的财务报告要素，再从每个关键财务报告要素出发，寻找对应的关键控制流程。
对财务报告要素进行优先排序时应首先考虑其相对财务报告的重要性水平以及错报的可能性。除此以外还要考虑下列其他因素 :①会计准则的复杂程度；②重要会计估计方法的主观性和可靠性;③企业业务变更的程度以及其对内部控制的预期影响;④财务报表中存在潜在重大错误或遗漏之外的风险，例如非法行为、利益冲突、管理层未经公司授权使用公司资产等;⑤公司曾经出现过的或行业内普遍存在的问题报表项目，例如收益确认、储备计算等;⑥管理层是否要求记录那些与一般不会出现重大错报且可以被合理预测的会计科目相关的流程，例如，对大多数公司来说，工资是可以合理预测的，但其在销售成本和一般管理费用中占有较大的比重，因此，鉴于对有关工资的活动进行管理和控制的需要，管理层或许会要求记录与工资相关的流程及内控。
主要财务报告要素确认后，对其有重大影响的即为关键控制，可采用下面两种方法加以确认 ：
第一种方法是，针对可能会对关键财务报告要素产生重大影响的交易和相关控制系统，梳理其交易流程，确认关键控制。这可以通过将业务和相关控制系统分割成数量有限但相互联系的交易流程来实现，该交易流程是机构进行交易时所发生的主要的同类经济事项。收益、采购、薪金、换算、财政和财务报告均属于这种交易流程。 （科教范文网 fw.nseac.com编辑发布）
第二种方法是，将业务分割成其实际的流程。理想的情况是先系统分类流程，而不是为应付考核而选择性的梳理流程。业务被分割成不同流程后，项目小组再确认关键流程，以审核相关风险和内部控制。关键流程的确认须根据它对财务报告(或者业务)的重要性、出现内控缺陷或者流程发生问题的可能性来进行。这样，关键流程便与主要会计科目及披露事项联系起来，从而建立其与财务报告的相关性。

(三)形成文档记录
找出关键控制后，应该进行针对所有关键控制的文档记录。文档记录能够增强内部控制可靠性，支持内控系统监督，评价内控设计和执行的效果，同时又为PCAOB的2号审计准则所强制规定，是404条款执行中的重要环节，同时也是成本大项。这一阶段的工作主要是检查现有文档是否完善，并补充缺失的文档，为内部控制有效性的评价做准备，其工作流程如图5-2所示。

控制文档应包括与关键控制目标对应的控制政策和措施、可追溯至重大错报源头的业务流程描述、控制措施的负责人和执行方法。
控制文档亦包括公司层面和业务流程层面。公司层面的关键控制文档包括公司治理文档、人力资源政策文档和员工手册、财务政策手册等。业务流程层面的关键控制文档包括流程图、流程每个环节的文档、每个环节的风险及补救措施等。在准备业务流程层面的控制文档时，我们应该以有效掌握业务流程的全貌为原则，从关键帐户开始，追溯信息的流动，直到信息产生的源头，其中所有引起信息的处理和变动的文档都是关键文档。

（四）测试和评价公司层面的控制
建立了内控制度后，按照404条款的规定，公司还要进行内部控制的测试和评价。在进行控制测试的时候，对公司层面的评价应该尽早进行。如果公司层面的控制存在重大问题，那么这些问题应首先被发现并更正。如果公司层面的控制很强，可以降低对流程控制的依赖性，也可以降低测试要求。如果公司层面的控制较弱，外部审计师可以对是否存在较强的公司层面的控制做出“合格/不合格”或者“通过/不通过”的决定。较弱的公司层面控制将会造成对流程控制的依赖性以及测试要求的提高。公司层面的评估可以被细分为4个步骤进行： 内容来自www.nseac.com
1.测试公司层面关键控制
在前面的步骤中，我们先识别出了公司层面的关键控制，之后又据以准备了控制文档，接下来要做的事就是测试这些关键控制的有效性。对公司层面关键控制的测试手段会比较特别，因为公司层面的控制对财务报告的影响是非线性的、间接的，这就意味着不能像面向交易的业务层面控制一样通过可量化的方法来测试。一些常用的测试方法包括员工问卷调查、管理层问答、计算机一般控制、文档回顾。针对不同的关键控制应该使用不同的测试手段，如表5-1所示。

2.评价公司层面关键控制
不论以何种方式评估公司层面控制，其目标都是记录那些现实存在的公司层面的控制。需要注意的是，对公司层面控制是否有效的评估基于管理层的判断，是比较主观性的，但是管理层应该清楚地认识到控制是作为一个整体来评估的，个别部分未达到最高可靠性不必然影响控制整体的可靠性，并且控制提供的是合理范围而非绝对的保证。
3.收集支持性证据
项目组应该将所进行的测试和结果做出证据予以保存，这一方面是公司评估控制有效性工作的一部分，也是对外部审计师内控审计的配合。外部审计师将据以评判公司的评估过程，并通过部分采用公司测试的结果来减少他们自己的工作量。
4.与外部审计师进行沟通
公司层面的审核完成后，管理层应该与外部审计师一起对总体结论、有关支持性证据以及对流程层面的控制评估造成的影响进行审核。管理层与外部审计师定期就检查结果进行交流可防止日后出现意想不到的情况。

（五）测试和评价流层层面的控制
1.寻找关键流程的关键控制点，评价控制设计有效性
在第二步中，项目组已经找出了流程层面的关键控制，下一步就是与关键流程负责人共同确认流程中的关键控制点。确认关键控制点时，项目组要逐一选择与风险相关的重要控制活动。在流程图中寻找关键控制点时，应与流程负责人一并分析有关流程。在对风险和控制点进行记录后，项目小组要评估有关控制是否按照其设计意图，确保已将风险降低到可接受的水平，即合理保证重要的财务错报能够被预防或及时发现。如果存在重大的设计缺陷，则需要在检测运行有效性之前予以改进。

（科教范文网 lw.nseaC.Com编辑发布）

2.评价控制运行有效性
对控制运行有效性的测试应该能够让测试人员了解控制程序、控制执行人、控制的连贯性。有效性测试有以下几种：①员工问答，员工问答的目的是确认测试人员对控制设计的理解并识别未按照设计进行控制的事项；②基于业务的测试，这类测试中测试人员通过检查第三步形成的文档来确认控制是否按规定运行，并可以重新运行这部分流程来确认控制运行的有效性；③对照调节表，这种测试和审计师审计银行存款余额调节表很类似，就是看是否定期对照，偏差是否及时解决；④观察测试，对于不经常发生的控制活动如实物盘点，观察也是一种测试方法，但有时需要其它测试的补充才能保证严密性。