实质性漏洞认定标准.docx

1、实质性漏洞认定标准实质性漏洞认定标准 2006年是公司的第一个内控审计年，我们的目标是确保通过审计，这就首先需要我们了解审计标准。根据美国上市公司会计监管委员会审计准则第二号，公司内控部与普华专家共同编写了内控审计缺陷认定规范，并且已经纳入到公司内部控制管理手册第五分册，发布执行。这是我们通过审计测试的最基本的标准和条件。今天我向大家介绍实质性漏洞的认定标准。我讲三个方面的内容：1、基本概念2、认定标准3、关注问题第一个内容：基本概念 内控体系运行的基本要求是设计有效，执行有力。在内控审计的过程中， 所有的审计发现，统称为例外事项，根据缺陷认定规范对例外事项进行分析评估，可以判定出控制缺陷，再

2、根据缺陷的影响程度和重要性，将缺陷划分为： 一般缺陷 重要缺陷 实质性漏洞一般缺陷：如果内控设计或运行使得管理层或员工在执行指定任务的正常过程中，无法及时防止或发现错报，那么就存在一般内部控制缺陷。 重要缺陷：一种严重影响公司根据公认会计准则要求对财务报告数据进行可靠的初始化处理、授权、记录、处理和报告的能力的一个或多个控制缺陷的汇总。重要缺陷有一定可能性导致不能防止或发现错报金额大于“不重要”的年度或中期财务报告的错报。这里，重要缺陷有三个关注点，第一，严重影响公司的财务报告；第二，它是一个或多个控制缺陷的汇总；第三，错报的金额大于“不重要”。实质性漏洞：导致无法预防或发现年度或中期财务报表

3、重大错报的可能性“大于微小”的一个重要缺陷或多个重要缺陷的组合。这里也有两个关注点，一个是“重大错报”，“重大错报”的具体含义我们后面再作介绍。第二，就是“大于微小”。 不同层面控制缺陷类型的认定具体标准不同，但方法基本一致，即定量分析或定性判断。内控缺陷认定程序如该图所示：内控缺陷对财务报告的影响如该图表所示：缺陷类型与管理层沟通与审计委员会沟通与董事会沟通公司对外披露审计报告意见一般缺陷无保留意见重要缺陷无保留意见实质性漏洞否定意见第二个问题：实质性漏洞的认定标准实质性漏洞认定标准共有九个方面：1、对已签发的财务报告重报更正错误2、审计师发现的、未被识别的当期财务报告中的重大错报3、审计委

4、员会对财务报告内部控制监督无效4、公司内部审计职能或风险评估职能无效5、高级管理层中的任何程度的舞弊行为6、重大缺陷没有在合理期间得到整改7、控制环境失效8、信息系统总体控制无效9、已确认的超过控制标准的重大错报 以上九个方面任何一个方面存在实质性漏洞，即可被认为内控无效，审计师将出具否定意见。下面逐一介绍：一、对已签发的财务报告重报更正错误 公司按规定期限报送已签发的财务报告（含年报和半年报）后，对财务报告重新报送以更正财务报告中的错报，包括对当年财务报告和以前年度财务报告进行更正，直接认定为实质性漏洞。这里有几个关键点，是已经签发的财务报告，重新报送包括当年的报告和以前年度的报告。有一个例

5、外，由于国家和上市地会计准则和制度变化、以及公司按规定进行的会计政策调整，需要对以前年度财务报告进行追溯调整的，不属于此类情况。二、审计师发现的、未被识别的当 期财务报告中的重大错报 当公司完成财务报告编制并正式签发提交外部审计后，外部审计师发现财务报告中存在重大错报公司需对错报进行更正并重新编制财务报告，这种情况认定为存在实质性漏洞。这里的关注点是“正式签发的财务报告”，再就是重大错报，重大错报的界限和标准是：股份公司错报金额大于或等于税前利润的3%、地区公司错报的金额大于或等于总资产的3。三、审计委员会对财务报告内部控制监督无效 SEC等监管机构对审计委员会有明确的职责和资质要求，如果审计

6、委员会不能履行对公司的对外财务报告和财务报告的内部控制实施有效的监督或不具备监督财务报告准确的资质及能力，就可以认定为审计委员会监督无效。着从两个方面来说，一是不能履行实时有效的监督。二是指他自身不具备这个资质和能力。审计委员会对财务报告内部控制监督具体包括以下八方面1、监督方式：包括会议、议程、活动、章程等。2、独立性：所有成员均为独立董事。3、财务专家：成员中应有一名国际会计准则专家。4、反舞弊控制：监督反舞弊程序，参与舞弊风险评估，通过举报获知问题，取得舞弊事件报告，参与重大事件调查。5、对于内审监督的角色和责任：包括内审主管任命征求意见，审核预算、计划、重大发现，定期与内、外部审计师单

7、独会晤。6、监督财务报告流程。7、监督有关财务报告的内部控制。8、审计委员会有效性评估：包括董事会评估或自我评估。上述八条中，第三项不符合条件，就可以直接认定为实质性漏洞，不具备监督的资质和能力。其他各项，如果存在缺陷，经过综合评价，也可被认定为监督无效。四、内部审计职能或风险评估职能无效 内部审计工作基本要求有六个方面： 1、 制订内部审计工作规定。包括以下内容：目标、工作范围、义务、独立性、职责、权利及审计实务标准等，通过审计委员会审议，报高管层批准 2、参加本单位有关经营管理会议，有权了解、收集与审计事项有关的全部经营管理信息及资料；要求被审计单位真实、完整、全面、及时提供与被审计事项相

8、关的信息和资料。有权要求被审计单位负责人对本单位提供资料的真实性和完整性作出书面承诺 3、与管理层和业务部门就内部审计的角色和责任进行沟通，并得到清晰的理解4、内部审计的独立性 包括： 1）公司审计部定期或应要求向监事会、董事会/审计委员会、总裁以及上级审计机构报告工作，重要审计发现及时报告并提出处理意见；地区公司审计部门定期向本单位总经理报告工作，同时或应要求向公司审计部报告重要审计发现及处理情况。 2）审计机构不承担本单位的经营责任，审计人员不执行生产经营管理业务工作的具体操作。5、内审组织结构和人员资历 包括： 1） 保证开展内部审计工作所必须的审计资源，各级审计机构的人员数量、职级、专

9、业结构，根据需要和相关规范进行配备。建立适当的结构和协调机制 2） 内审部门拥有足够具备必要技能、相关经验及专业资格的内审人员 3）内部审计人员应接受继续教育和培训，保证胜任工作的知识、技能和其他能力6、恰当的审计方法 主要指： 1） 根据公认的专业标准，采用适当的审计方法.包括：国际注册内部审计师协会颁布的内部审计实务标准，股份公司内部审计规范等 2）正式记录审计方法和过程。在各个层面建立正式的质量控制程序 3） 年度工作计划包括年度重点工作安排和以风险为导向的审计项目计划如果上述相关工作没有达到要求，在对相关因素进行综合考虑后，可以认定内审职能无效 风险评估职能无效主要指以下工作未能有效开

10、展： 1、 制定风险评估方法，明确风险评估的程序和方法，并配置有经验的人员来开展此项工作。 2、每年组织开展针对财务报告风险的风险评估，识别和分析来自公司内部和外部的、存在于业务活动层面、公司层面和舞弊方面的风险。包括重要会计科目和披露事项的确认、财务报表认定、重要业务单位确认、重要业务流程的对应。当有新业务发生时或现有业务发生新的风险时，随时评估风险。完成风险评估后及时更新风险数据库。3、 将识别出的风险与现有的风险数据库、业务流程和控制进行对比，补充、完善、修订相关流程、风险数据库和控制措施。4、完成风险评估后及时向内控项目建设委员会、审计委员会报告，向相关部门沟通和传达。5、 每年开展一

11、次管理层测试，对风险评估及风险相关的控制进行监督。 以上1、2、5项工作没有开展，可直接认定风险评估职能无效，认定为存在实质性漏洞。其他方面没有达到要求，综合考虑也会导致风险评估职能无效，也可能认定为存在实质性漏洞。五、高级管理层中的任何程度的舞弊行为 由于高层基调在整个控制环境中的重要作用，高级管理层的任何程度舞弊都会对控制环境产生消极影响，所以与财务报告相关的高级管理人员任何程度的舞弊行为都会造成实质性漏洞。这里应该关注的是“任何程度”。根据公司的具体情况，与财务报告相关的高级管理层具体人员包括：公司总裁、财务总监、财务部总经理和副总经理；专业分公司总经理和总会计师；地区公司的总经理、负责

12、财务的副总经理和总会计师。高级管理层舞弊行为分为六个方面1、财务报告舞弊。包括人为调整报表事项、人为变更会计处理方法、会计数据XX修改；资本公积金使用舞弊；不适当和不充分的披露等。2、资产不当使用。包括侵吞资金、挪用资金、账外“小金库”、虚假发票和盗卖资产等；截流虚发工资、少缴社会保险；多计工程造价、虚列项目套取资金等。3、不实的收入、不实的费用及负债。包括商业和政府的行贿；以购（领）代耗形成账外料；人为调节资本性支出和损益性支出等。 4、收入和资产的不当取得。故意在工程成本、地质勘探支出、油气开发支出等确认计提时舞弊；评估不实造成资产虚购等。5、偷税及漏税。有意不按规定及时、足额缴纳税费，未

13、经税务部门批准在税前列支非正常损失。6、高层舞弊。授意对财务报告调整。 六、重要缺陷没有在合理期间得到纠正 外部审计师发现的重要缺陷，在与管理层、审计委员会沟通后，公司没有及时整改或整改后没有充足的时间满足确认该控制缺陷整改后是否有效，即认定为实质性漏洞。也就是说，当发现重要缺陷后，沟通了之后就要进行改进，改进后还要有足够的运行时间，让审计师再一次认定和测试，以确认这项控制是否有效。如果没有及时改进是实质性漏洞；如果改进了之后没有足够的时间来确认这项控制是有效的，那么它也是一个实质性漏洞。如果改进之后这项控制是存在的、有效的，但是如果没有足够的时间运行，让审计师来确认，不管你的执行情况怎么样，

14、都要认定为实质性漏洞。内控有效运行的执行周期如图表所示：内控频率在报告前有效运行的最短执行周期每季2个季度每月2个月每周5周每天20天一天多次执行25次需要的天数这里我们还应特殊注意的是，与年度财务报告相关的，年度末一次性发生的控制事项，对于这样的控制实项没有改进时间，因为是到年末一次发生的，如果存在缺陷或存在漏洞，那就一次性认定为实质性漏洞。公司对地区公司缺陷改进，将采用内部控制改进意见书方式督促工作。对于重要缺陷没有在规定的时间内及时纠正，或改进没有达到规定的要求，认定为实质性漏洞。七、控制环境无效 控制环境包括的内容比较广，以下六个方面有一个或一个以上不符合要求，即被视为控制环境无效：1

15、、审计委员会监督无效（如前所述）2、高级管理层在全公司推动内部控制管理程序 包括：建立公司治理结构，公司的制度、政策必须得到贯彻执行，建立全面的内部文档记录，并对内控体系进行监督，实施定期评估，确保有关财务报告内部控制持续有效运行3、反舞弊或举报机制 主要包括：1）政策和沟通 公司的政策和程序应该包括反舞弊程序的关键要素，管理层和员工应该准确地理解反舞弊程序。2）舞弊风险评估 管理层应每年至少进行一次全面的舞弊风险评估。3）反舞弊措施 对准备聘用或晋升到重要岗位的人员进行背景调查，包括教育背景、工作经历、犯罪记录等，并有正式的文字记录，保存在员工档案中。4）道德热线/举报机制5）对舞弊事件的反

16、应 公司对员工举报或实际的重大舞弊进行调查，并记录过程和解决方法。6）持续的监督：对反舞弊控制的持续监督应该融入于日常的控制活动。内部审计部门应该进行定期监督。要有适用于所有员工的道德准则。4、会计政策和程序 主要包括：1）编制会计政策手册2）定期审核和更新会计政策3）管理层与外部审计师和其他外部专家密切沟通4）开展正式的培训或沟通，建立适当的途径以保证公司对会计准则的认识5、针对非常规（非重复）或复杂交易的控制。主要内容包括：1）管理层及时发现可能对财务报告造成重大影响的非常规（非重复）或复杂交易2）管理层采取适当措施，对正确的会计处理达成共识，并恰当记录该决策过程3）针对这些交易，管理层与

17、外部审计师进行充分讨论并适当地披露6、信息系统总体控制 信息系统总体控制存在重要缺陷，由于其广泛性和重要性，于其他因素综合进行评价，可以导致得出公司控制环境无效的结论。八、信息系统总体控制无效包括以下三方面内容：1、由信息系统总体控制缺陷所引起的应用控系统控制缺陷进行汇总以后，经过定量分析，影响水平已经达到或者是超过股份公司当年合并报表税前利润的3%（地区公司为总资产3），直接认定为实质性漏洞。2、应用系统控制缺陷影响程度超过控制标准，认定为实质性漏洞。同时认定信息系统总体控制存在实质性漏洞。3、多个信息系统总体控制重要缺陷汇总后，即使影响水平没有达到重要性水平,通过以下七个方面的定性因素分析

18、，也可以认定为实质性漏洞 1）缺陷的性质和重要性； 2）应用系统和数据中存在缺陷的普遍性； 3）系统环境的复杂性和缺陷会负面影响信息系统应用控制的可能性； 4）控制与应用系统和数据的关联程度； 5）信息系统总体控制缺陷是否与易受损失或舞弊影响的应用系统和控制相关； 6）在信息系统总体控制运行的有效性中已知或发现的例外情况的原因和频率； 7）过去年度及当年发生的错报显示出的风险的增加，与信息系统总体控制缺陷影响有关。九、已确认的超过控制标准的重大错报 在内控审计过程中，通过对关键控制抽样测试，发现例外事项（主要指影响财务报告的错报），对例外事项按照缺陷认定规范分析评估，确认这一缺陷，再依据缺陷的

19、样本量推算影响总量，对比重要性水平标准进行分析，达到或超出重要性水平标准的，就直接确认为“超过控制标准的重大错报”，确定为实质性漏洞。“重大错报”定量标准如图所示：缺陷类型标准实质性漏洞重要缺陷一般缺陷合并报表税前利润30.5（含）30.5地区公司总资产 30.5（含）30.5单个控制或影响到同一个重要会计科目或披露事项的多个重要缺陷汇总（包括应用控制系统）：1、影响水平达到或超过当年股份公司合并报表税前利润的3%（地区公司为资产总额3），直接认定为实质性漏洞2、影响水平低于股份公司合并报表税前利润的3%、但达到或者超过0.5%的（地区公司为资产总额0.5)，经过定性因素分析，认定为实质性漏洞

20、。这个定性分析是与实质性漏洞的其它方面进行的综合分析。以上介绍了实质性漏洞认定的九个方面的标准。总结一下，与财务报告编制直接相关的有五个方面，第一项，更正错误；第二项，审计时发现的重大错报；第三项，重大的缺陷没有得到改进和纠正；第四项，信息系统总体控制；第五项，重大错报。这主要是集中在业务层面。从公司层面来看，是其余的四个方面，第一是审计委员会；第二是内审和风险评估职能的实现；第三是高管舞弊；第四是控制环境。所以要特别关注财务报告的编制过程。最后我讲需要关注的问题首先介绍国外案例： 美国上市企业2004年里内控审计的有关情况反映，50.1%的实质性漏洞是由于财务制度和程序所导致，例如存货流程、

21、财务关账流程、总帐调节流程等。29.6的实质性漏洞是由于人员的问题所导致，例如权责分工、不适当的员工安排、相关的培训和监督问题等。.%的实质性漏洞是由于IT控制所导致，例如操作系统和应用系统的安全问题、变更管理等。1.5%的实质性漏洞是由于其他问题所导致，如税务的相关问题。其中能源行业未能通过内控审计的公司案例如下：布里罕勘探公司 主要问题是 缺乏准备和复核已探明油气储量损耗费用计算的有效控制；梅里第安资源公司 在以下方面发现问题：1、油井维修发票的编号；2、收入预提流程；3、汇款交易的发起和执行的职责分离。艾及石油公司 公司间往来交易和余额的抵销存在问题。“凯” 能源公司 主要是资产管理和固

22、定资产问题。卡纳尔戈能源公司 存在问题的方面有：1、现有报表合并过程从子公司余额和调整追溯到原始数据；2、在总公司报表合并层次记录会计分录，但是在子公司层次不记录，导致合并层次和各个子公司层次试算平衡表的汇总差异难以区分；3、某些地区的会计处理基于收付实现制在指定的会计系统之外进行，不符合一般会计原则；4、实物资产清单缺乏明晰支持；5、缺乏对往来账目的差异调查；6、缺乏监控和核对存货差异的流程；7、缺乏应收账款和应付帐款呈报的流程控制；8、缺乏非重复性交易记录的控制。埃尔帕索能源公司 主要问题是：1、对财务应用系统程序和数据的访问控制。如，没有有效的职责分离、没有定期对用户访问情况进行检查、没

23、有定期检查用户的权限与职责的一致情况；2、缺乏适当的流程控制油气储量的高估。提请各位领导关注的第二件事就是尽早测试、及时改进、确保通过。今年是内控审计的第一年，我们的工作目标是明确的，就是必须通过内控审计，这就要求我们尽早测试，及时改进。内部控制评估报告，以报告期内审计最终结论为依据，允许在过程中多次改进和补充测试，以最终结论为准。给我们留有改进和补充测试的时间。所以为了确保通过，公司将组织多层次、多方面测试、检查、改进，包括：各部门专项检查、内部控制符合性检查、地区公司自我评估测试、股份公司管理层测试、外部审计师的内控审计。各单位要做好协调，尽早启动测试。及时发现问题、改进问题，全过程跟踪、全过程改进。早发时，早改进，早主动。各位领导，今年的内控审计是对我们工作的一次检验，我们要共同努力，确保工作目标的实现，为公司的发展作出我们的贡献。谢谢大家！