实质性漏洞认定标准共17页文档Word文件下载.docx

实质性漏洞认定标准共17页文档Word文件下载.docx

《实质性漏洞认定标准共17页文档Word文件下载.docx》由会员分享，可在线阅读，更多相关《实质性漏洞认定标准共17页文档Word文件下载.docx（10页珍藏版）》请在冰豆网上搜索。

一种严重影响公司根据公认会计准则要求对财务报告数据进行可靠的初始化处理、授权、记录、处理和报告的能力的一个或多个控制缺陷的汇总。

重要缺陷有一定可能性导致不能防止或发现错报金额大于“不重要”的年度或中期财务报告的错报。

这里，重要缺陷有三个关注点，第一，严重影响公司的财务报告；

第二，它是一个或多个控制缺陷的汇总；

第三，错报的金额大于“不重要”。

实质性漏洞：

导致无法预防或发现年度或中期财务报表重大错报的可能性“大于微小”的一个重要缺陷或多个重要缺陷的组合。

这里也有两个关注点，一个是“重大错报”，“重大错报”的具体含义我们后面再作介绍。

第二，就是“大于微小”。

不同层面控制缺陷类型的认定具体标准不同，但方法基本一致，即定量分析或定性判断。

内控缺陷认定程序如该图所示：

内控缺陷对财务报告的影响如该图表所示：

缺陷类型

与管理层

沟通

与审计委员会沟通

与董事会沟通

公司

对外披露

审计报告

意见

一般缺陷

√

无保留意见

重要缺陷

实质性漏洞

否定意见

第二个问题：

实质性漏洞的认定标准

实质性漏洞认定标准共有九个方面：

1、对已签发的财务报告重报更正错误

2、审计师发现的、未被识别的当期财务报告中的重大错报

3、审计委员会对财务报告内部控制监督无效

4、公司内部审计职能或风险评估职能无效

5、高级管理层中的任何程度的舞弊行为

6、重大缺陷没有在合理期间得到整改

7、控制环境失效

8、信息系统总体控制无效

9、已确认的超过控制标准的重大错报

以上九个方面任何一个方面存在实质性漏洞，即可被认为内控无效，审计师将出具否定意见。

下面逐一介绍：

一、对已签发的财务报告重报更正错误

公司按规定期限报送已签发的财务报告（含年报和半年报）后，对财务报告重新报送以更正财务报告中的错报，包括对当年财务报告和以前年度财务报告进行更正，直接认定为实质性漏洞。

这里有几个关键点，是已经签发的财务报告，重新报送包括当年的报告和以前年度的报告。

有一个例外，由于国家和上市地会计准则和制度变化、以及公司按规定进行的会计政策调整，需要对以前年度财务报告进行追溯调整的，不属于此类情况。

二、审计师发现的、未被识别的当期财务报告中的重大错报

当公司完成财务报告编制并正式签发提交外部审计后，外部审计师发现财务报告中存在重大错报公司需对错报进行更正并重新编制财务报告，这种情况认定为存在实质性漏洞。

这里的关注点是“正式签发的财务报告”，再就是重大错报，重大错报的界限和标准是：

股份公司错报金额大于或等于税前利润的3%、地区公司错报的金额大于或等于总资产的3‰。

三、审计委员会对财务报告内部控制监督无效

SEC等监管机构对审计委员会有明确的职责和资质要求，如果审计委员会不能履行对公司的对外财务报告和财务报告的内部控制实施有效的监督或不具备监督财务报告准确的资质及能力，就可以认定为审计委员会监督无效。

着从两个方面来说，一是不能履行实时有效的监督。

二是指他自身不具备这个资质和能力。

审计委员会对财务报告内部控制监督具体包括以下八方面

1、监督方式：

包括会议、议程、活动、章程等。

2、独立性：

所有成员均为独立董事。

3、财务专家：

成员中应有一名国际会计准则专家。

4、反舞弊控制：

监督反舞弊程序，参与舞弊风险评估，通过举报获知问题，取得舞弊事件报告，参与重大事件调查。

5、对于内审监督的角色和责任：

包括内审主管任命征求意见，审核预算、计划、重大发现，定期与内、外部审计师单独会晤。

6、监督财务报告流程。

7、监督有关财务报告的内部控制。

8、审计委员会有效性评估：

包括董事会评估或自我评估。

上述八条中，第三项不符合条件，就可以直接认定为实质性漏洞，不具备监督的资质和能力。

其他各项，如果存在缺陷，经过综合评价，也可被认定为监督无效。

四、内部审计职能或风险评估职能无效

内部审计工作基本要求有六个方面：

1、制订《内部审计工作规定》。

包括以下内容：

目标、工作范围、义务、独立性、职责、权利及审计实务标准等，通过审计委员会审议，报高管层批准

2、参加本单位有关经营管理会议，有权了解、收集与审计事项有关的全部经营管理信息及资料；

要求被审计单位真实、完整、全面、及时提供与被审计事项相关的信息和资料。

有权要求被审计单位负责人对本单位提供资料的真实性和完整性作出书面承诺

3、与管理层和业务部门就内部审计的角色和责任进行沟通，并得到清晰的理解

4、内部审计的独立性包括：

1）公司审计部定期或应要求向监事会、董事会/审计委员会、总裁以及上级审计机构报告工作，重要审计发现及时报告并提出处理意见；

地区公司审计部门定期向本单位总经理报告工作，同时或应要求向公司审计部报告重要审计发现及处理情况。

2）审计机构不承担本单位的经营责任，审计人员不执行生产经营管理业务工作的具体操作。

5、内审组织结构和人员资历

包括：

1）保证开展内部审计工作所必须的审计资源，各级审计机构的人员数量、职级、专业结构，根据需要和相关规范进行配备。

建立适当的结构和协调机制

2）内审部门拥有足够具备必要技能、相关经验及专业资格的内审人员

3）内部审计人员应接受继续教育和培训，保证胜任工作的知识、技能和其他能力

6、恰当的审计方法主要指：

1）根据公认的专业标准，采用适当的审计方法.包括：

国际注册内部审计师协会颁布的《内部审计实务标准》，股份公司《内部审计规范》等

2）正式记录审计方法和过程。

在各个层面建立正式的质量控制程序

3）年度工作计划包括年度重点工作安排和以风险为导向的审计项目计划

如果上述相关工作没有达到要求，在对相关因素进行综合考虑后，可以认定内审职能无效

风险评估职能无效主要指以下工作未能有效开展：

1、制定《风险评估方法》，明确风险评估的程序和方法，并配置有经验的人员来开展此项工作。

2、每年组织开展针对财务报告风险的风险评估，识别和分析来自公司内部和外部的、存在于业务活动层面、公司层面和舞弊方面的风险。

包括重要会计科目和披露事项的确认、财务报表认定、重要业务单位确认、重要业务流程的对应。

当有新业务发生时或现有业务发生新的风险时，随时评估风险。

完成风险评估后及时更新风险数据库。

3、将识别出的风险与现有的风险数据库、业务流程和控制进行对比，补充、完善、修订相关流程、风险数据库和控制措施。

4、完成风险评估后及时向内控项目建设委员会、审计委员会报告，向相关部门沟通和传达。

5、每年开展一次管理层测试，对风险评估及风险相关的控制进行监督。

以上1、2、5项工作没有开展，可直接认定风险评估职能无效，认定为存在实质性漏洞。

其他方面没有达到要求，综合考虑也会导致风险评估职能无效，也可能认定为存在实质性漏洞。

五、高级管理层中的任何程度的舞弊行为

由于高层基调在整个控制环境中的重要作用，高级管理层的任何程度舞弊都会对控制环境产生消极影响，所以与财务报告相关的高级管理人员任何程度的舞弊行为都会造成实质性漏洞。

这里应该关注的是“任何程度”。

根据公司的具体情况，与财务报告相关的高级管理层具体人员包括：

公司总裁、财务总监、财务部总经理和副总经理；

专业分公司总经理和总会计师；

地区公司的总经理、负责财务的副总经理和总会计师。

高级管理层舞弊行为分为六个方面

1、财务报告舞弊。

包括人为调整报表事项、人为变更会计处理方法、会计数据XX修改；

资本公积金使用舞弊；

不适当和不充分的披露等。

2、资产不当使用。

包括侵吞资金、挪用资金、账外“小金库”、虚假发票和盗卖资产等；

截流虚发工资、少缴社会保险；

多计工程造价、虚列项目套取资金等。

3、不实的收入、不实的费用及负债。

包括商业和政府的行贿；

以购（领）代耗形成账外料；

人为调节资本性支出和损益性支出等。

4、收入和资产的不当取得。

故意在工程成本、地质勘探支出、油气开发支出等确认计提时舞弊；

评估不实造成资产虚购等。

5、偷税及漏税。

有意不按规定及时、足额缴纳税费，未经税务部门批准在税前列支非正常损失。

6、高层舞弊。

授意对财务报告调整。

六、重要缺陷没有在合理期间得到纠正

外部审计师发现的重要缺陷，在与管理层、审计委员会沟通后，公司没有及时整改或整改后没有充足的时间满足确认该控制缺陷整改后是否有效，即认定为实质性漏洞。

也就是说，当发现重要缺陷后，沟通了之后就要进行改进，改进后还要有足够的运行时间，让审计师再一次认定和测试，以确认这项控制是否有效。

如果没有及时改进是实质性漏洞；

如果改进了之后没有足够的时间来确认这项控制是有效的，那么它也是一个实质性漏洞。

如果改进之后这项控制是存在的、有效的，但是如果没有足够的时间运行，让审计师来确认，不管你的执行情况怎么样，都要认定为实质性漏洞。

内控有效运行的执行周期如图表所示：

内控频率

在报告前有效运行的最短执行周期

每季

2个季度

每月

2个月

每周

5周

每天

20天

一天多次

执行25次需要的天数

这里我们还应特殊注意的是，与年度财务报告相关的，年度末一次性发生的控制事项，对于这样的控制实项没有改进时间，因为是到年末一次发生的，如果存在缺陷或存在漏洞，那就一次性认定为实质性漏洞。

公司对地区公司缺陷改进，将采用《内部控制改进意见书》方式督促工作。

对于重要缺陷没有在规定的时间内及时纠正，或改进没有达到规定的要求，认定为实质性漏洞。

七、控制环境无效

控制环境包括的内容比较广，以下六个方面有一个或一个以上不符合要求，即被视为控制环境无效：

1、审计委员会监督无效（如前所述）

2、高级管理层在全公司推动内部控制管理程序

包括：

建立公司治理结构，公司的制度、政策必须得到贯彻执行，建立全面的内部文档记录，并对内控体系进行监督，实施定期评估，确保有关财务报告内部控制持续有效运行

3、反舞弊或举报机制

主要包括：

1）政策和沟通

公司的政策和程序应该包括反舞弊程序的关键要素，管理层和员工应该准确地理解反舞弊程序。

2）舞弊风险评估

管理层应每年至少进行一次全面的舞弊风险评估。

3）反舞弊措施

对准备聘用或晋升到重要岗位的人员进行背景调查，包括教育背景、工作经历、犯罪记录等，并有正式的文字记录，保存在员工档案中。

4）道德热线/举报机制

5）对舞弊事件的反应

公司对员工举报或实际的重大舞弊进行调查，并记录过程和解决方法。

6）持续的监督：

——对反舞弊控制的持续监督应该融入于日常的控制活动。

——内部审计部门应该进行定期监督。

——要有适用于所有员工的道德准则。

4、会计政策和程序

1）编制会计政策手册

2）定期审核和更新会计政策

3）管理层与外部审计师和其他