关于内部控制缺陷的常见问题
什么是内部控制缺陷?
当控制措施不允许管理层或员工及时预防或发现和纠正错误陈述时,即存在内部控制缺陷。
您如何评估内部控制缺陷?
可以根据内部控制缺陷的程度和可能性来评估内部控制缺陷。
正如任何审计师都知道的那样,风险管理对于任何企业的财务和运营健康都至关重要。企业依靠日益复杂的系统来生成支持其财务和运营管理的各种数据。如果系统存在缺陷(无论是在设计还是运营方面),公司都会面临重大的财务风险,包括欺诈和资产损失。虽然有些风险是不可避免的,但内部控制有助于降低风险,因此是有效风险管理的最重要工具之一。根据美国注册会计师协会 (AICPA) 的说法,内部控制旨在为企业在三个关键领域的目标实现提供合理保证:财务报告的可靠性、运营的有效性和效率以及遵守适用的法律法规。当控制措施不允许管理层或员工及时预防或发现和纠正错误陈述时,即存在内部控制缺陷。正如 Enron 和 Worldcom 的案例所表明的那样,未能识别或纠正控制缺陷可能是灾难性的,会损害财务报告的完整性,削弱公众和投资者的信心,并破坏资本市场的稳定。在本文中,分解了识别内部控制缺陷作为审计和鉴证流程的一部分的重要性,提供了如何评估内部控制缺陷和适当管理财务风险的 10 个技巧。为了应对 Enron 和 Worldcom 的欺诈性报告和丑闻,国会于 2002 年通过了 Sarbanes-Oxley (SOX) 法案,对财务披露的监管进行了重大改革。在其主要条款中,SOX 法案要求所有公开交易的美国公司的财务报告必须包括内部控制报告,并且组织的审计委员会必须提供“对财务报告的监督,包括财务报告的内部控制 (ICFR) 和外部独立审计流程”。根据 SOX 法案第 404 节,管理层负责建立适当的内部控制结构,并且必须在其年度内部控制报告中提供对控制结构有效性的评估。独立审计师还必须证明公司关于内部控制措施已到位且有效的声明的准确性。这些财务报表审计必须遵守公认会计原则 (GAAP) 和典型的会计准则。内部控制是机构为降低风险并确保满足运营、报告和其他 SOX 合规性目标而制定的政策和程序。内部控制可以是电子的或物理的。电子控制的示例包括用于访问公司数据的双因素身份验证,而物理控制可能包括敏感数据或位置的锁定,或对关键区域的监视。当控制措施的设计或实施未能及时防止或发现重大错报时,即存在内部控制缺陷。
以工资管理为例,这是一项需要职责分离的行政职能。一家没有为其工资管理系统实施职责分离的公司将在设计上存在缺陷——因为这是一项应该到位但完全缺失的控制措施,使公司面临欺诈、财务风险和潜在问题。
例如,如果一家小企业的唯一会计师突然辞职,留下一个没有经验的会计文员来管理银行对账流程(一种内部控制),就会出现运营缺陷。如果没有适当的培训或技术专长,在这种情况下,会计文员无法有效地执行控制,从而使企业面临长期的财务损失。一旦管理层或审计师在审计过程中发现控制缺陷,他们就必须将其重要性或严重性评估为重大缺陷或重大缺陷。两者都不是无关紧要的。根据美国上市公司会计监督委员会 (PCAOB) 的定义,重大缺陷是指一项或多项控制缺陷,这些缺陷的程度较轻,但重要到足以引起负责监督的人员的关注。相比之下,重大缺陷的程度更为严重——它是缺陷(一个或多个)的组合,导致公司财务报表中出现重大错报的合理可能性。正如 AICPA 提醒的那样,缺陷的严重程度并不取决于是否真的发生了重大错误陈述,而是取决于其潜在的程度和可能性。管理层(可能通过内部审计职能)和外部审计师必须评估公司的内部控制措施是否存在重大错报——这样做有助于维护财务报告的完整性。如果设计得当并有效运行,内部控制可以保护公司资产免受欺诈或重大损失,维护财务数据和交易的完整性,并确保财务、会计和法定合规性。简而言之,财务报告内部控制 (ICFR) 是公众和投资者对资本市场信心的基石。如果没有有效的 ICFR,公司将自己置于重大的财务和声誉风险中。虽然公司管理层最终有责任实施适当的内部控制政策并定期确保系统有效运作,但外部审计师在确定内部控制合规性方面也发挥着至关重要的作用。内部控制审计中的严重缺陷仍然是该行业迫切关注的问题。审计师要么不完全理解概述关键 ICFR 实践的第 5 号审计准则,要么对审计客户的业务没有充分了解,从而导致在评估内部控制缺陷时出现错误。此类错误的后果对审计客户来说可能是巨大的。资产和资源的损失、运营管理不善和效率低下,甚至市场份额的损失都只是冰山一角。根据审计缺陷的严重程度和公司的地位,客户可能会面临消费者和投资者信心的巨大损失。虽然安然在会计案例研究中仍然是最受欢迎的,但最近的 2019 年美泰会计丑闻表明,审计缺陷——无论是有意为之,在美泰的情况下,还是由于缺乏审计专业知识而无意的——都可能导致公司大幅贬值。
您如何评估内部控制缺陷?
由于业务运营日益复杂,正确识别和评估内部控制缺陷对公司和 CPA 来说都是一项挑战。COSO 评估内部控制缺陷的框架提供了有用的指导,并侧重于五个关键评估领域:控制环境、风险评估、控制活动、信息和通信系统以及监控活动。
评估控制环境
评估控制环境是评估内部控制缺陷的重要第一步。作为内部控制的基础,控制环境设定了组织的基调并影响员工的行为方式。致力于有效控制环境的组织将以诚信和道德价值观运营,并将吸引和留住对其内部控制责任负责的有能力的员工。
评估风险评估
内部控制的有效性取决于支持它们的风险分析。组织必须识别实现其目标的风险,并且必须分析这些风险,以确定如何有效地管理这些风险。欺诈是一个常见的风险领域。评估公司的整体风险评估策略将有助于审计、风险和合规专业人员确定防止欺诈的内部控制措施是否到位并设计得当。
调查控制活动
设计适当的控制措施只是成功的一半——一旦这些控制措施到位,组织就必须制定政策和程序,将实现其目标的风险降低到可接受的水平。需要调查的关键内部控制活动包括绩效评估、职责分离和双重身份验证等电子保护措施。降低欺诈和错误风险的控制活动将表明控制环境良好。
检查信息和通信系统
支持内部控制运作的高质量内部沟通至关重要。检查组织的信息和通信系统,尤其是会计信息系统,这可能会对报告的效率和准确性产生重大影响。会计报告是否易于生成且无差错?如果没有,组织可能需要重新检查甚至彻底检查其会计软件。
分析监控活动
组织对其内部控制进行定期和持续评估,最终会将风险降低到可接受的水平。根据频率和质量分析组织的监控活动 — 组织监控、评估内部控制缺陷并采取纠正措施的一致性越高,管理财务风险就越成功。
评估内部控制缺陷的 10 个重要提示
为了保护财务报告的完整性,审计、风险和合规专业人员在审计和鉴证流程中识别内部控制缺陷至关重要。以下是需要牢记的 10 个重要提示!
1. 为现有控件编制索引
无论您正在审核的组织有多大或多小,内部控制都可能存在,即使它们没有想象中的那么复杂。几乎所有客户都对财务报告有一些内部控制,包括访问公司计算机的登录凭据以及确定总会计师能力的政策和程序。虽然调查这些内部控制的稳健性是个好主意,但如果没有一些内部控制措施,就不可能进行足够的审计工作。
2. 了解哪些控制措施与审计最相关
根据客户的规模、复杂性和整体运营,与审计相关的控制措施会有所不同。根据 AU-C 第 315 节的规定,注册会计师应始终考虑以下控制措施:
3. 确定控制措施存在后继续审核
根据 The Journal of Accountancy 的同行评审计划数据,许多审计师认为确定是否存在控制是他们的职责范围,但事实并非如此。审计师的首要责任是通过观察客户实施这些控制措施、检查文件和报告以及通过客户的财务报告系统追踪相关交易来获取有关客户相关控制的审计证据。仅仅询问是否存在控制措施是不够的——必须有效地评估控制措施。
4. 记住:错误陈述不是缺陷
内部控制缺陷通常是在事后发现的——公司会发现财务报表中的错报并发现控制缺陷的存在。但未能正确核算交易并不是缺陷本身。审计师必须检查错报的来源,以了解它是如何发生的,(更多内容可关注公众号CIA内审师小站)以及应该采取哪些控制措施来防止或检测到错报。可能是客户根本没有适当的控制措施来防止或检测错报,这将是一个设计缺陷。根本原因分析可以帮助确定补救内部控制中的差距。
5. 确定缺陷是设计还是操作
从根本上说,内部控制缺陷是由于设计或操作中的缺陷造成的。如果控制措施不能可靠地防止或检测重大错报,则存在设计缺陷。如果控制措施设计良好,但仍导致重大错报,则存在操作缺陷。也许执行控制的人没有接受过足够的培训,或者他们没有执行和记录有效操作控制所需的步骤。无论哪种情况,审计师的工作都是确定缺陷的来源。
6. 评估缺陷的严重程度
一旦审计师发现缺陷,他们必须根据两个因素评估缺陷的严重性:可能性和幅度。监控不力无法防止或检测重大错报的可能性有多大,以及由缺陷导致的潜在错报的程度如何?对于审计师来说,确定控制措施旨在解决的全部交易群体至关重要——有了这些信息,就可以正确评估由控制缺陷引起的错报的数量和规模。
7. 评估用于确定严重性的信息的可靠性
用于确定内部控制缺陷严重程度的信息必须可靠,包括对错报风险的合理假设。如果客户自身对缺陷的性质和严重性的内部理解受到限制,则可能导致补救措施充分的可能性降低。始终评估客户信息和财务报告的全面性,以便准确确定严重性。
8. 避免默认为最高严重性
虽然这可能是一种善意的方法,但在未仔细考虑客户的控制环境和活动的情况下,绝不应将重大错报风险的严重性自动设置为“最高”。默认为最高严重性可能会导致无法识别与审计相关的风险。审计师必须始终有合理的依据来确定客户的重大错报风险,无论是通过测试、设计还是运营。
9. 确定进一步的审计程序以控制相关风险
在审计师确定因控制缺陷而导致的重大错报风险后,他们必须设计并执行进一步的审计程序,以应对客户的特定控制相关风险。审计师如何最好地将客户的风险水平降低到可接受的水平?根据风险,这可能需要设计或更有效地实施其他控制策略或程序。
10. 根据个人客户定制进一步的审计程序
始终深思熟虑地考虑为个人客户的控制相关风险提供最有效响应的程序。为同一行业的两个不同客户执行相同的程序似乎是正确的方法,但重大错报的风险因公司规模、运营性质甚至文化而异。在审计回复方面,请记住,没有放之四海而皆准的方法来纠正内部控制缺陷。
开始有效评估内部控制缺陷
内部控制的重要性怎么强调都不为过。虽然所有公司都希望将因无效的财务或运营实践而导致的风险降至最低,但内部控制有助于防止重大损失和贬值。投资于对其内部控制进行持续评估的公司将能够降低风险并确保 SOX 合规性,从而不仅保护其声誉,还保护消费者和投资者的信心。
来源:CIA内审师小站
,版权归原作者所有,如涉侵权,请联系我们删除,谢谢!
党建
97046009
