《五号准则与SOX应对》由会员分享,可在线阅读,更多相关《五号准则与SOX应对(51页珍藏版)》请在金锄头文库上搜索。
1、1按照5号审计准则和SEC管理指南 重新定义SOX应对Resources Academy SOX 2052介绍首先欢迎大家: (介绍演讲人和听课人)课程目标:理解与404条款相关的准则和指南的变动部分理解应对SOX404条款变化带来的影响学习如何执行从上到下风险导向去评估ICFR3课程内容萨奥法概括 404条款实施经历 404条款指南变更历史 SEC管理层指南 AS5 推行自上而下风险导向审计的方 法 优秀实例 问题与解答Rep. Michael Oxley (left) and Sen. Paul Sarbanes4萨班斯法案概述目标:强化内部控制,从高层防止舞弊、滥用职权 时间:大中型企业
2、11/15/04后、外国企业7/30/06后、小企业 12/15/07后开始生效。 法案其他相关条款 302条款:企业的财务报告责任 404条款:管理层关于内部控制的评审 806条款:保护提供舞弊证据的上市公司员工 906条款:企业的财务报告责任5404条款的经历总结执行花费的精力和成本超出预期 执行得成本虽然依旧很大,但是从第一年之后开始下降 大公司的执行力度已经合理化 小型上市公司得益于政治压力而减少成本 SEC的策略更关注于执行方式的改变而非寻求立法改革6成本效益讨论FEI调查:成本大于收益 对规模小的公司的影响较大 小企业:50%的上市公司属于小企业,但 占总市值小于1% 美国证券失去
3、了IPO市场份额 总体评价上升,但中型企业评价下降7实质性缺陷比例AICPA 7/16/078实质性缺陷分类AICPA 7/16/079实质性缺陷报告对股价的冲击1天后7 天后30天后60天后所有缺陷-0.72%-0.81%-1.50%-3.02%实质性缺陷-0.67%-0.90%-1.96%-4.06%不合格意见-0.23%-0.66%-2.30%-3.56%不合格意见-没有警告-0.04%-0.16%-2.49%-3.94%来源: Glass, Lewis10404条款变更历史11SOX 404 指南 : 2005ICFR 圆桌会议 4/13/05 (发行人,审计师和投资者)结果,追加颁布
4、了实施指南: PCAOB关于AS2执行的政策状况 PCAOB 2005.5.16 常见问题解答 SEC 关于ICFR要求的执行状况 小规模上市公司的COSO指南 (草案) 2005.11.30 PCAOB 公告 SEC 的小公司咨询委员会12SOX 404 条款 : 2006五月份第二次圆桌会议COSO颁布小规模上市公司最终指南 资本市场规范/规则委员会成立并要求改革404条款SEC 12月13日批准提议的管理层关于404条款的执行指南PCAOB 12月19日颁发了2个新提交的审计准则13SOX 404 条款 : 2007SEC4月7日举行公开会以确保和PCAOB协调一致以及确定合作范围SEC
5、 和PCAOB 的讨论期在2月结束参议院高调驳回关于免除小规模上市公司执行404条款的立法提案SEC 和 PCAOB 在6、7月份颁发修订后的指南14SEC 管理层指南15首要目标: “帮助管理层建立有效的评估程序和减少成本”鼓励用风险导向方法确定范围、纪录、测试以及评估控制有效性用合理可行的标准重新定义实质性缺陷根据风险评估,可用其他方法收集证据证明控制的有效性认可管理层和审计师运用其他方法SEC 管理层指南16SEC 指南: 主要削减如果ELC已将一个风险标示出来,那么就不需要对该风险其他控制 进行进一步的评估。管理层可以用自评系统评估低风险的领域管理层可以不识别和纪录对ICFR不重要相关
6、控制管理层只需要评估那些会对财务报告有影响的ITGC控制证据可以从日常的持续监控和直接测试相结合的方法获得 如果控制高度集中或者只有有限的人可以执行的话,日一次的处理可以 提供足够的证据 17PCAOB 5号准则 185号审计准则 : 主要删减要求自上而下的审计方法,包括测试公司层面的控制要求对财务报表流程和管理层越权风险的内部控制进行评估要求用风险导向审计方法去测试多地点的控制根据控制关联的风险的变化而调整确认控制有效性的证据在识别重大缺陷和实质性缺陷的时候,“大于较小可能性”已被“合 理可能性”代替内部控制审计识别的重大科目应当与财务报表审计识别的一致195号审计准则:主要删减取消了要求评
7、估管理层的年度评估流程及其第二意见。取消主要证据标准Walkthroughs 只要求对每个重要流程而不是一个流程内部每个主要类型 的交易允许审计师在执行相应的walkthroughs时利用他人的直接成果要求审计师根据公司的规模和复杂程度来确定审计方法不允许年复一年的轮换测试每年变换和交替测试控制的属性,时间和范围是允许的205号审计准则 重大变化 定义重大缺陷:ICFR中的一个缺陷或者共同缺陷,没有实质性缺陷那么 严重,但是其重要性又足以需要引起负责公司财务报告流程人员的注意 。Old: 一个单个或是共同缺陷在合理范围内没被阻止的话可能会引起 年报或中期报表的错报的可能性大于微小可能性. 实质
8、性缺陷: ICFR中的,在合理的可能性下没有及时的发现或阻止 公司年度或中期报表中实质性错报的一个单个或是共同缺陷。Old: 一个实质性缺陷,单个的或者是和其他的实质性缺陷结合的缺陷 ,会导致年度或中期报表中实质性错报没有阻止或发现的可能性大于微小可 能性。21Audit Standard 5:执行计划和确定范围可以将ICFR审计和财务报告审计结合起来以达到审计目标更加充分的风险评估以便关注于关键控制点理解管理层的方法和风险评估加大考虑有效ELC 控制的影响基于风险要求选择测试区域根据测试科目、区域以及申明级别的性质、时间和范围穿行测试关注重要流程而不是主要的交易类型 考虑使用他人的直接帮助2
9、2Audit Standard 5: 执行关键控制点测试进一步考虑和增强运用他人工作成果的能力根据失效风险和导致实质性缺陷的可能性变换控制的性质、时间和范围对于低风险、常规控制,单独进行Walkthrough 就可以提供足够的证据对于自动运行的控制,考虑运用基准程序General computer controls用风险导向方法测试IT GC管理层和审计师的协作管理层和审计师的协作将会产生明显的收益,特别是在风险评估和确定范围上23Audit Standard 5: 他人工作成果的利用 “他人”工作成果的定义:内部审计管理层领导下工作的第三方公司人员,只要他们符合要求可以更多地依赖他人的工作的
10、潜在领域:测试控制有效性,包括控制环境的某些方面walkthroughs 的直接协作当利用他人工作成果时,审计师必须:评估他人提供成果的性质评估该工作成果完成人的能力和客观性对他人测试的工作成果进行测试,从而评估该工作成果的质量24自上而下风险导向审计 的执行25自上而下风险导向方法执行SEC的管理层指南1.检查合并财务报表和相关披露2. 评估财务报告风险:固有的财务报告风险, 行业风险和公司特有的风险3.检查ELC控制环境和评估舞弊风险 4.识别范围区域识别主要科目的流程和自动控制 识别ITGC财务报表和相关披露财务报告风险ELCProcess 以及仅对充分关注错报可能的ITGC进行评估(风
11、险发生几率)重要的ITGC主要包括: 不允许没有授权的人员进入程序或数据库 确保程序变更是经授权的,正确定义的,经过测试的且正确操作的Financial Statements & DisclosuresFinancial Reporting RisksEntity Level Control EnvironmentProcess & Automated ControlsLocationsIT General Controls47识别 ITGC可以通过以下方法提高效率:风险调整方法 根据IT环境和关联风险去测试相关具体的ITGC针对一些专门的ITGC在提议的指南中被删除了(比如程序开发和计算机
12、运行,看上去不是很重要)在框架上加上了参照 AU 319 “在财务报告审计时考虑内部控制”在AS5中完全融入了自动控制的“基准”准则48建立复杂的风险评估体系有助于防止合并财务报表实质性错报识别和(或)加强ELC控制以减轻财务报告风险 然后,识别具体的区域控制和他们流程级别的控制以及集团范 围内IT控制会降低剩余风险 按照404条款仅测试风险评估中识别的关键控制点开发持续维护和监督程序考虑到CPA可以依赖他人工作成果,然后决定如何测试各个流 程从上到下 风险导向: 成功之匙Financial Statements & DisclosuresFinancial Reporting RisksCompany Level ControlsProcess & Automated ControlsLocationsIT General Controls49优秀实践50优秀实践强化ELC控制的纪录和测试以减少对流程级别 控制的依赖合理设置风险和控制的总数压缩流程纪录到关键控制用监督活动纪录低风险控制运行的有效性51优秀实践限制评估ITGC,改为评估信息安全和管理变 动 自动控制代替手动控制杠杆技术去识别, 管理和改善的差距加大关注舞弊风险, 应为审计师 会加大测试力度和外部审计会晤讨论信赖策略
