SOX404條款的實(shí)施-控制例外事項(xiàng)與缺陷的評(píng)估框架

控制例外事項(xiàng)與缺陷的評(píng)估框架薩班斯-奧克斯利法案（SOX）

404條款的實(shí)施1SOX404條款的實(shí)施-控制例外事項(xiàng)與缺陷的評(píng)估框架共51頁(yè)，您現(xiàn)在瀏覽的是第1頁(yè)!控制例外事項(xiàng)與缺陷的評(píng)估框架一、定義及其他背景信息二、控制例外事項(xiàng)與缺陷評(píng)估基本步驟三、控制例外事項(xiàng)與缺陷評(píng)估實(shí)例2SOX404條款的實(shí)施-控制例外事項(xiàng)與缺陷的評(píng)估框架共51頁(yè)，您現(xiàn)在瀏覽的是第2頁(yè)!定義及其他背景信息3SOX404條款的實(shí)施-控制例外事項(xiàng)與缺陷的評(píng)估框架共51頁(yè)，您現(xiàn)在瀏覽的是第3頁(yè)!監(jiān)督監(jiān)督：

監(jiān)督是對(duì)內(nèi)部控制體系有效性進(jìn)行評(píng)估的持續(xù)過(guò)程，包括：持續(xù)監(jiān)督、獨(dú)立評(píng)估和缺陷報(bào)告。

1）持續(xù)監(jiān)督是在公司日常經(jīng)營(yíng)過(guò)程中進(jìn)行的，包括日常的管理和監(jiān)督活動(dòng)，以及員工在履行職責(zé)時(shí)所采取的檢查內(nèi)部控制執(zhí)行質(zhì)量的行為。

2）獨(dú)立評(píng)估就是獨(dú)立于內(nèi)部控制活動(dòng)之外而采取的定期評(píng)估行為，獨(dú)立評(píng)估的范圍和頻率，主要取決于風(fēng)險(xiǎn)評(píng)估和持續(xù)監(jiān)督程序的有效性。獨(dú)立評(píng)估內(nèi)容包括：評(píng)估的范圍和頻率、評(píng)估過(guò)程、評(píng)估方法、文檔記錄。

3）缺陷報(bào)告是將內(nèi)部控制缺陷自下而上報(bào)告的行為。缺陷報(bào)告的內(nèi)容包括：匯集和報(bào)告發(fā)現(xiàn)的內(nèi)部控制缺陷、匯報(bào)機(jī)制的適當(dāng)性、跟進(jìn)評(píng)估的適當(dāng)性等。4SOX404條款的實(shí)施-控制例外事項(xiàng)與缺陷的評(píng)估框架共51頁(yè)，您現(xiàn)在瀏覽的是第4頁(yè)!一般缺陷、重要缺陷、實(shí)質(zhì)性漏洞一般缺陷（Controldeficiency）：如果內(nèi)控設(shè)計(jì)或運(yùn)行無(wú)法使管理層或員工在執(zhí)行指定任務(wù)的正常過(guò)程中，及時(shí)防止或發(fā)現(xiàn)錯(cuò)報(bào)，那么就存在一般缺陷。重要缺陷（SignificantDeficiency）：是一種嚴(yán)重影響公司根據(jù)公認(rèn)會(huì)計(jì)準(zhǔn)則要求，對(duì)外部財(cái)務(wù)數(shù)據(jù)進(jìn)行可靠的初始化處理、授權(quán)、記錄、處理和報(bào)告的能力的一個(gè)內(nèi)部控制缺陷或多個(gè)控制缺陷的匯總。是一個(gè)財(cái)務(wù)報(bào)告內(nèi)部控制缺陷或多個(gè)財(cái)務(wù)報(bào)告內(nèi)部控制缺陷的聯(lián)合，它在嚴(yán)重性上小于實(shí)質(zhì)性漏洞，但其重要程度足以值得那些負(fù)責(zé)監(jiān)督公司財(cái)務(wù)報(bào)告的人員注意（PCAOB5-A11）。實(shí)質(zhì)性漏洞（MaterialWeakness）：是財(cái)務(wù)報(bào)告內(nèi)部控制的一個(gè)缺陷或多個(gè)缺陷的聯(lián)合，以至于公司年度或中期財(cái)務(wù)報(bào)告的一個(gè)重大錯(cuò)報(bào)沒(méi)有被及時(shí)防止或發(fā)現(xiàn)存在的合理可能性（PCAOB5-A7）。（注：如果一個(gè)事項(xiàng)的可能性是“相當(dāng)可能”或“很可能”，那么該事項(xiàng)就存在合理可能性。）5SOX404條款的實(shí)施-控制例外事項(xiàng)與缺陷的評(píng)估框架共51頁(yè)，您現(xiàn)在瀏覽的是第5頁(yè)!一般缺陷、重要缺陷、實(shí)質(zhì)性漏洞（續(xù)）重要缺陷的認(rèn)定標(biāo)準(zhǔn)：

(1)定量標(biāo)準(zhǔn) 在考慮其補(bǔ)充、補(bǔ)償控制后的經(jīng)調(diào)整影響水平低于“重要性水平”，但是達(dá)到或超過(guò)“不重要水平”，直接認(rèn)定為重要缺陷。

(2)定性標(biāo)準(zhǔn)（參考：PCAOB2-139）①主體層面的控制（Entity-levelcontrol)：

a是否根據(jù)一般公認(rèn)會(huì)計(jì)原則對(duì)會(huì)計(jì)政策進(jìn)行選擇和應(yīng)用的控制。

b非常規(guī)(非重復(fù))或復(fù)雜交易的控制。

c反舞弊程序和控制。

d對(duì)于期末財(cái)務(wù)報(bào)告過(guò)程的控制包括：將交易總數(shù)過(guò)入總賬，初始、授權(quán)、記錄和處理總賬中的日記賬分錄，記錄財(cái)務(wù)報(bào)表中重復(fù)發(fā)生和非重復(fù)發(fā)生的調(diào)整等控制。②信息系統(tǒng)總體控制：

a如果信息系統(tǒng)應(yīng)用控制中的重要缺陷與信息系統(tǒng)總體控制中的缺陷有關(guān)或由它所引起的，認(rèn)定該信息系統(tǒng)總體控制缺陷也是重要缺陷。

b如果信息系統(tǒng)應(yīng)用控制中的一般缺陷與信息系統(tǒng)總體控制中的缺陷有關(guān)或由它所引起的，經(jīng)過(guò)定性分析，認(rèn)定為重要缺陷。

6SOX404條款的實(shí)施-控制例外事項(xiàng)與缺陷的評(píng)估框架共51頁(yè)，您現(xiàn)在瀏覽的是第6頁(yè)!重要性水平、不重要性水平重要性：指在特定環(huán)境下，一個(gè)理性的人依賴該信息所做的決策可能因?yàn)檫@一錯(cuò)報(bào)或漏報(bào)得以變化或修正（FASB）。在規(guī)劃財(cái)務(wù)報(bào)告內(nèi)部控制審計(jì)時(shí)，審計(jì)師使用的重要性判斷應(yīng)當(dāng)與其規(guī)劃公司年度財(cái)務(wù)報(bào)表審計(jì)時(shí)使用的重要性判斷相同（PCAOB5-20）。重要性水平一般為稅前利潤(rùn)/損失的5%。不重要水平：一般為重要性水平的20%，即為稅前利潤(rùn)/損失的1%。7SOX404條款的實(shí)施-控制例外事項(xiàng)與缺陷的評(píng)估框架共51頁(yè)，您現(xiàn)在瀏覽的是第7頁(yè)!總體影響水平和調(diào)整后的影響水平總體影響水平：在考慮補(bǔ)充控制、冗余控制或補(bǔ)償性控制之前，不考慮偏差率上限或錯(cuò)報(bào)發(fā)生發(fā)生的可能性，對(duì)缺陷影響年度或期中財(cái)務(wù)報(bào)表的余額或發(fā)生額的最差估計(jì)。影響總體影響水平的因素包括：1）受缺陷影響的年度或期中財(cái)務(wù)報(bào)表余額或發(fā)生額；2）受缺陷影響的會(huì)計(jì)科目或交易類型在本年度或期中財(cái)務(wù)報(bào)表期間已發(fā)生的或預(yù)計(jì)發(fā)生將來(lái)會(huì)發(fā)生的活動(dòng)量。調(diào)整后的影響水平=總體影響水平*偏差率上限8SOX404條款的實(shí)施-控制例外事項(xiàng)與缺陷的評(píng)估框架共51頁(yè)，您現(xiàn)在瀏覽的是第8頁(yè)!審計(jì)準(zhǔn)則第5號(hào)——評(píng)價(jià)識(shí)別出的缺陷（續(xù)）PCAOB5-65：風(fēng)險(xiǎn)因素會(huì)影響一個(gè)缺陷或缺陷的聯(lián)合導(dǎo)致一個(gè)會(huì)計(jì)科目余額或披露事項(xiàng)發(fā)生錯(cuò)報(bào)是否存在合理可能性。這些因素包括，但不限于：1）財(cái)務(wù)報(bào)告會(huì)計(jì)科目、披露事項(xiàng)和相關(guān)認(rèn)定的性質(zhì)；2）相關(guān)的資產(chǎn)或負(fù)債易受損失或舞弊影響的程度；3）確定相關(guān)數(shù)額所需判斷的主觀性、復(fù)雜性或程度；4）該項(xiàng)控制與其他控制的相互作用或相互關(guān)系，包括它們是否相互依賴或重復(fù)，即控制冗余；5）缺陷的相互作用；6）缺陷未來(lái)的可能后果。

注：影響相同財(cái)務(wù)報(bào)表會(huì)計(jì)科目余額或披露的多個(gè)控制缺陷增大了錯(cuò)報(bào)的可能性，并且聯(lián)合起來(lái)可能構(gòu)成一個(gè)實(shí)質(zhì)性漏洞，盡管這些缺陷單獨(dú)可能不嚴(yán)重。因此，審計(jì)師應(yīng)當(dāng)確定影響相同的重要會(huì)計(jì)科目或披露事項(xiàng)、相關(guān)認(rèn)定或內(nèi)部控制要素的單獨(dú)控制缺陷總體上是否會(huì)形成實(shí)質(zhì)性漏洞。9SOX404條款的實(shí)施-控制例外事項(xiàng)與缺陷的評(píng)估框架共51頁(yè)，您現(xiàn)在瀏覽的是第9頁(yè)!審計(jì)準(zhǔn)則第5號(hào)——實(shí)質(zhì)性漏洞的跡象PCAOB5-69（略）。

PCAOB5-70：在評(píng)價(jià)一個(gè)缺陷或多個(gè)缺陷的聯(lián)合的嚴(yán)重性時(shí)，審計(jì)師還應(yīng)當(dāng)確定細(xì)節(jié)的水平和保證的程度，它們要使謹(jǐn)慎的職員在處理其事務(wù)時(shí)確信他們合理保證對(duì)交易進(jìn)行了必要的記錄以允許按照公認(rèn)會(huì)計(jì)原則編制財(cái)務(wù)報(bào)表。如果審計(jì)師確定，一個(gè)缺陷或多個(gè)缺陷的聯(lián)合使謹(jǐn)慎的職員在處理其事務(wù)時(shí)不能判定他們合理保證對(duì)交易進(jìn)行了必要的記錄以允許按照公認(rèn)會(huì)計(jì)原則編制財(cái)務(wù)報(bào)表，那么，審計(jì)師應(yīng)當(dāng)將這個(gè)缺陷或多個(gè)缺陷的聯(lián)合視為實(shí)質(zhì)性漏洞的一個(gè)跡象。10SOX404條款的實(shí)施-控制例外事項(xiàng)與缺陷的評(píng)估框架共51頁(yè)，您現(xiàn)在瀏覽的是第10頁(yè)!內(nèi)控缺陷的識(shí)別、評(píng)估和分類步驟11SOX404條款的實(shí)施-控制例外事項(xiàng)與缺陷的評(píng)估框架共51頁(yè)，您現(xiàn)在瀏覽的是第11頁(yè)!圖表1中的關(guān)鍵點(diǎn)步驟框1：所有例外事項(xiàng)都應(yīng)該進(jìn)行定量和定性的評(píng)估。在判斷是否達(dá)到測(cè)試目標(biāo)時(shí)，應(yīng)該考慮的因素包括：1）與控制執(zhí)行頻率相關(guān)的偏差率；

2）定性因素，包括被確認(rèn)為系統(tǒng)性的或反復(fù)發(fā)生的例外情況以及PCAOB5中所列因素相關(guān)的例外情況；

3）例外情況是否已經(jīng)導(dǎo)致財(cái)務(wù)報(bào)表錯(cuò)報(bào)。

控制目標(biāo)可以通過(guò)單個(gè)或多個(gè)控制實(shí)現(xiàn)。控制測(cè)試可以用于測(cè)試可實(shí)現(xiàn)控制目標(biāo)的單個(gè)控制或多個(gè)控制的組合。

12SOX404條款的實(shí)施-控制例外事項(xiàng)與缺陷的評(píng)估框架共51頁(yè)，您現(xiàn)在瀏覽的是第12頁(yè)!圖表2A：評(píng)估流程/交易層面控制缺陷的評(píng)估步驟1：確定是否存在重大缺陷13SOX404條款的實(shí)施-控制例外事項(xiàng)與缺陷的評(píng)估框架共51頁(yè)，您現(xiàn)在瀏覽的是第13頁(yè)!圖表2中的關(guān)鍵點(diǎn)步驟框1：在評(píng)估缺陷時(shí)，潛在的重要程度（不重要，大于不重要，或重要）取決于對(duì)年度和期中財(cái)務(wù)報(bào)表的潛在影響。如果年度或期中財(cái)務(wù)報(bào)表錯(cuò)報(bào)的潛在重要程度為“不重要”，則該控制缺陷僅被確認(rèn)為“一般缺陷”。錯(cuò)報(bào)的潛在重要程度取決于總體影響水平、調(diào)整后的影響水平以及其他考慮了錯(cuò)報(bào)發(fā)生可能性的適用方法。

步驟框2和3：如果存在可以有效減輕控制缺陷嚴(yán)重性的控制，并在沒(méi)有任何定性因素影響之下，包括PCAOB5中所列的因素，則該控制缺陷可以僅被確認(rèn)“一般缺陷”。此類控制包括：

1）實(shí)現(xiàn)相同控制目標(biāo)的補(bǔ)充性控制或冗余控制；

2）以可以防止、發(fā)現(xiàn)年度或期中財(cái)務(wù)報(bào)告中“大于不重要”的錯(cuò)報(bào)的準(zhǔn)確度運(yùn)行的補(bǔ)償性控制。步驟框3：沒(méi)有實(shí)現(xiàn)針對(duì)性重要會(huì)計(jì)科目或披露事項(xiàng)的控制目標(biāo)，且未經(jīng)減輕的控制缺陷通常有一定可能性會(huì)導(dǎo)致“大于不重要”的年度或期中財(cái)務(wù)報(bào)表錯(cuò)報(bào)發(fā)生，因此，它至少構(gòu)成重要缺陷。14SOX404條款的實(shí)施-控制例外事項(xiàng)與缺陷的評(píng)估框架共51頁(yè)，您現(xiàn)在瀏覽的是第14頁(yè)!圖表2中的關(guān)鍵點(diǎn)步驟框6：

在評(píng)估可能性和重要性時(shí)，需要考慮的相關(guān)因素包括但不限制于一下內(nèi)容：1）所涉及的財(cái)務(wù)報(bào)表科目、披露和認(rèn)定的性質(zhì)，例如臨時(shí)科目和關(guān)聯(lián)方交易可能具有更大的風(fēng)險(xiǎn)。2）相關(guān)資產(chǎn)或負(fù)債受損失或舞弊行為的影響程度，即受影響的程度較大意味著較大的風(fēng)險(xiǎn)。3）確定涉及金額所需判斷的主觀性、復(fù)雜性或程度，即，主觀性、復(fù)雜性越大，或判斷越多，比如與會(huì)計(jì)估計(jì)有關(guān)，則風(fēng)險(xiǎn)也越大4）對(duì)控制運(yùn)行有效性測(cè)試來(lái)說(shuō)，已知或發(fā)現(xiàn)的例外事項(xiàng)的產(chǎn)生原因和頻率，例如，被發(fā)現(xiàn)存在不可忽視的偏差率的控制構(gòu)成控制缺陷5）與其它控制之間的互動(dòng)或關(guān)系，即控制的相互依賴和控制之間的冗余。6）既有缺陷在將來(lái)可能產(chǎn)生的后果。7）以前年度及當(dāng)年發(fā)生的錯(cuò)報(bào)顯示風(fēng)險(xiǎn)的增加（PCAOB5-69)。8）與總體重要性水平相關(guān)的調(diào)整后的影響水平。

15SOX404條款的實(shí)施-控制例外事項(xiàng)與缺陷的評(píng)估框架共51頁(yè)，您現(xiàn)在瀏覽的是第15頁(yè)!圖表3：信息系統(tǒng)總體控制缺陷的評(píng)估16SOX404條款的實(shí)施-控制例外事項(xiàng)與缺陷的評(píng)估框架共51頁(yè)，您現(xiàn)在瀏覽的是第16頁(yè)!圖表3中的關(guān)鍵點(diǎn)步驟框1：可以有效減輕控制缺陷嚴(yán)重性的控制，在并沒(méi)有任何定性因素影響之下，包括PCAOB5所列的因素，一般僅被確認(rèn)為“一般缺陷”。這些控制包括實(shí)現(xiàn)相同控制目標(biāo)的補(bǔ)充控制或冗余控制。一項(xiàng)由應(yīng)用系統(tǒng)控制缺陷導(dǎo)致的信息系統(tǒng)總體控制缺陷說(shuō)明其他信息系統(tǒng)總體控制不能實(shí)現(xiàn)不完善的信息系統(tǒng)總體控制的控制目標(biāo)。步驟框2：如果應(yīng)用系統(tǒng)層面沒(méi)有缺陷（如圖表2所評(píng)估的），則信息系統(tǒng)總體控制缺陷可以認(rèn)為僅是一般缺陷。17SOX404條款的實(shí)施-控制例外事項(xiàng)與缺陷的評(píng)估框架共51頁(yè)，您現(xiàn)在瀏覽的是第17頁(yè)!圖表3中的關(guān)鍵點(diǎn)步驟框5：除了步驟框1到步驟框4提到的主要原則，對(duì)信息系統(tǒng)總體控制缺陷的分類還應(yīng)該考慮單不僅限于一下因素：1）缺陷的性質(zhì)和影響程度。2）缺陷的普遍性。3）公司系統(tǒng)環(huán)境的復(fù)雜性和缺陷會(huì)負(fù)面影響信息系統(tǒng)應(yīng)用控制的可能性。4）控制與應(yīng)用系統(tǒng)和數(shù)據(jù)的關(guān)聯(lián)程度。5）信息系統(tǒng)總體控制缺陷是否與易受損失或舞弊影響的會(huì)計(jì)科目和披露事項(xiàng)的應(yīng)用系統(tǒng)和控制相關(guān)。6）在信息系統(tǒng)總體控制的運(yùn)行有效性中已知或發(fā)現(xiàn)的例外事項(xiàng)的原因和頻率。7）受信息系統(tǒng)總體控制缺陷影響的應(yīng)用系統(tǒng)相關(guān)錯(cuò)報(bào)的歷史。18SOX404條款的實(shí)施-控制例外事項(xiàng)與缺陷的評(píng)估框架共51頁(yè)，您現(xiàn)在瀏覽的是第18頁(yè)!圖表4中的關(guān)鍵點(diǎn)步驟框1和2：判定缺陷是否至少是一項(xiàng)重大缺陷，可以參照PCAOB2-139所描述的缺陷種類。判定至少被認(rèn)定為重要缺陷，并且是實(shí)質(zhì)性漏洞存在的強(qiáng)烈跡象，可以參照PCAOB5-69。步驟框3：某些控制可能根據(jù)定性因素，包括PCAOB5中所列的因素，使這些控制因素的缺陷僅被判斷為一般缺陷并歸類為一般缺陷。這些控制包括：

1）補(bǔ)充或冗余的程序或控制；

2）存在于相同或其他組成部分中的補(bǔ)償性控制。

19SOX404條款的實(shí)施-控制例外事項(xiàng)與缺陷的評(píng)估框架共51頁(yè)，您現(xiàn)在瀏覽的是第19頁(yè)!圖表4中的關(guān)鍵點(diǎn)步驟框7和8：

在評(píng)估財(cái)務(wù)報(bào)表內(nèi)部控制缺陷的重要程度時(shí)，審計(jì)師應(yīng)該確定使謹(jǐn)慎的管理者有合理的確信度認(rèn)為公司的交易得到適當(dāng)?shù)挠涗浺允沟秘?cái)務(wù)報(bào)表的編制滿足公認(rèn)會(huì)計(jì)準(zhǔn)則的詳細(xì)水平和確信程度。如果審計(jì)師確定缺陷會(huì)妨礙一個(gè)謹(jǐn)慎的管理者在執(zhí)行他們自己的工作時(shí)得到合理的確信度，那么審計(jì)師就應(yīng)該認(rèn)為缺陷至少是一個(gè)重要缺陷。如果已經(jīng)以這種方式確定一個(gè)缺陷構(gòu)成重要缺陷，那么審計(jì)師必須進(jìn)一步評(píng)估該缺陷，從而確定它是否單獨(dú)地或是和其他缺陷一起構(gòu)成實(shí)質(zhì)性漏洞。20SOX404條款的實(shí)施-控制例外事項(xiàng)與缺陷的評(píng)估框架共51頁(yè)，您現(xiàn)在瀏覽的是第20頁(yè)!實(shí)例1

控制描述：?jiǎn)T工申請(qǐng)采購(gòu)報(bào)銷的費(fèi)用，在給員工報(bào)銷之前，應(yīng)由員工所在部門的主管批準(zhǔn)?？傮w影響水平：200,000美元不重要水平：100,000美元*重要性水平：500,000美元

跟單作業(yè)或測(cè)試結(jié)果：在一個(gè)包含25個(gè)交易的樣本中，測(cè)試組發(fā)現(xiàn)，在1種情況下，控制沒(méi)有運(yùn)行。進(jìn)一步的定性評(píng)估指出，這種情況很少發(fā)生。還抽取了一個(gè)包含另外25項(xiàng)的樣本，該樣本的測(cè)試結(jié)果是沒(méi)有額外的例外事項(xiàng)。*本講義中的所有實(shí)例的稅前利潤(rùn)都為10M.21SOX404條款的實(shí)施-控制例外事項(xiàng)與缺陷的評(píng)估框架共51頁(yè)，您現(xiàn)在瀏覽的是第21頁(yè)!實(shí)例2控制描述：流程的文檔記錄完整正確。文檔記錄包括一份敘述性文件和一份流程圖文件，明確指出并描述控制活動(dòng)的詳細(xì)內(nèi)容。文檔記錄應(yīng)與每個(gè)流程負(fù)責(zé)人員的活動(dòng)保持一致。穿行測(cè)試結(jié)果：控制文檔與員工實(shí)際執(zhí)行的控制不符，或控制流程圖不適合實(shí)際控制流程?？傮w影響水平=對(duì)財(cái)務(wù)無(wú)影響

文檔問(wèn)題

22SOX404條款的實(shí)施-控制例外事項(xiàng)與缺陷的評(píng)估框架共51頁(yè)，您現(xiàn)在瀏覽的是第22頁(yè)!實(shí)例2——評(píng)估圖表2–評(píng)估流程/交易層面控制缺陷步驟框1:

對(duì)財(cái)務(wù)報(bào)表的潛在影響程度是否不重要？

--是

見(jiàn)步驟框7。

步驟框7：

在考慮對(duì)財(cái)務(wù)報(bào)表的影響后，一個(gè)謹(jǐn)慎的管理者是否會(huì)認(rèn)為該缺陷至少是一種重大缺陷？

--否。可以判定為一般缺陷23SOX404條款的實(shí)施-控制例外事項(xiàng)與缺陷的評(píng)估框架共51頁(yè)，您現(xiàn)在瀏覽的是第23頁(yè)!實(shí)例3測(cè)試結(jié)果：銷售商開(kāi)出的發(fā)票，與付款前產(chǎn)品或服務(wù)的實(shí)際收據(jù)不一致。在一個(gè)包含30個(gè)交易的樣本中，我們發(fā)現(xiàn)，有兩張發(fā)票（總金額20,000美元）沒(méi)有支持性文件和原始付款批準(zhǔn)證據(jù)。通過(guò)該控制進(jìn)行交易的金額約為每年5,000,000美元。全部重要性金額為500,000美元。然而，應(yīng)付帳款主管在付款前對(duì)100,000多美元的總支付額進(jìn)行審核，并簽署付款（約90%的總支付額）?？傮w影響水平

=$5,000,000–($5,000,000X0.90)=$500,000調(diào)整后的影響水平

=2個(gè)例外事項(xiàng)/30個(gè)樣本=0.168X$500,000=$84,00024SOX404條款的實(shí)施-控制例外事項(xiàng)與缺陷的評(píng)估框架共51頁(yè)，您現(xiàn)在瀏覽的是第24頁(yè)!實(shí)例3——評(píng)估圖表2——評(píng)估流程/交易層面控制缺陷步驟框1:

對(duì)財(cái)務(wù)報(bào)表的潛在影響程度是否不重要？

--否

見(jiàn)步驟框2。

步驟框2:經(jīng)過(guò)測(cè)試和評(píng)估后是否存在實(shí)現(xiàn)相同的控制目標(biāo)的補(bǔ)充或冗余性控制？

--否見(jiàn)步驟框3。步驟框3：是否存在補(bǔ)償性控制能夠使財(cái)務(wù)報(bào)表錯(cuò)報(bào)的影響程度降低至“不重要”?

--是

見(jiàn)步驟框7。步驟框7：一個(gè)謹(jǐn)慎的管理者是否會(huì)認(rèn)為該缺陷至少是一種重大缺陷？

--否一般缺陷。25SOX404條款的實(shí)施-控制例外事項(xiàng)與缺陷的評(píng)估框架共51頁(yè)，您現(xiàn)在瀏覽的是第25頁(yè)!實(shí)例4總體影響水平=2,000,000美元調(diào)整后的影響水平=3個(gè)例外事項(xiàng)/60個(gè)樣本=0.108X$2,000,000=$216,00026SOX404條款的實(shí)施-控制例外事項(xiàng)與缺陷的評(píng)估框架共51頁(yè)，您現(xiàn)在瀏覽的是第26頁(yè)!實(shí)例4——評(píng)估圖表2——評(píng)估流程/交易層面控制缺陷步驟框1:

對(duì)財(cái)務(wù)報(bào)表的潛在影響程度是否不重要？

--是

見(jiàn)步驟框7。步驟框7：在考慮對(duì)財(cái)務(wù)報(bào)表的影響后，一個(gè)謹(jǐn)慎的管理者是否會(huì)認(rèn)為該缺陷至少是一種重大缺陷？

--是——見(jiàn)步驟框4。

步驟框4:

對(duì)財(cái)務(wù)報(bào)表的潛在影響程度是否低于“重要”？

--是——見(jiàn)步驟框8。步驟框8:在考慮對(duì)財(cái)務(wù)報(bào)表的影響時(shí)，一個(gè)謹(jǐn)慎的管理者是否會(huì)認(rèn)為該缺陷屬于實(shí)質(zhì)性漏洞？--否——重要缺陷。

27SOX404條款的實(shí)施-控制例外事項(xiàng)與缺陷的評(píng)估框架共51頁(yè)，您現(xiàn)在瀏覽的是第27頁(yè)!內(nèi)部控制缺陷內(nèi)部控制缺陷：

當(dāng)某項(xiàng)控制的設(shè)計(jì)或運(yùn)行不能使管理層或員工在正常行使其職責(zé)過(guò)程中及時(shí)防止或發(fā)現(xiàn)錯(cuò)報(bào)時(shí)，表明存在內(nèi)部控制缺陷。內(nèi)部控制缺陷包括設(shè)計(jì)缺陷和運(yùn)行缺陷：

設(shè)計(jì)缺陷：當(dāng)缺少實(shí)現(xiàn)內(nèi)部控制目標(biāo)必需的某項(xiàng)控制措施時(shí)，或者當(dāng)現(xiàn)有內(nèi)部控制的設(shè)計(jì)不適當(dāng)，以至于即使內(nèi)部控制按照設(shè)計(jì)運(yùn)行，通常也無(wú)法實(shí)現(xiàn)內(nèi)部控制目標(biāo)時(shí)，則存在設(shè)計(jì)缺陷。運(yùn)行缺陷：當(dāng)設(shè)計(jì)適當(dāng)?shù)膬?nèi)部控制沒(méi)有按照設(shè)計(jì)運(yùn)行，或者當(dāng)執(zhí)行內(nèi)部控制的相關(guān)人員缺乏必要的授權(quán)或不具備實(shí)施有效控制的資格時(shí)，則存在運(yùn)行缺陷。

內(nèi)部控制缺陷按照程度不同分為一般缺陷、重要缺陷和實(shí)質(zhì)性漏洞。28SOX404條款的實(shí)施-控制例外事項(xiàng)與缺陷的評(píng)估框架共51頁(yè)，您現(xiàn)在瀏覽的是第28頁(yè)!一般缺陷、重要缺陷、實(shí)質(zhì)性漏洞（續(xù)）實(shí)質(zhì)性漏洞的認(rèn)定標(biāo)準(zhǔn)：

(1)定量標(biāo)準(zhǔn)在考慮其補(bǔ)充、補(bǔ)償控制后的經(jīng)調(diào)整影響水平達(dá)到或超過(guò)重要性水平，直接認(rèn)定為實(shí)質(zhì)性漏洞。(2)定性標(biāo)準(zhǔn)財(cái)務(wù)報(bào)告內(nèi)部控制存在實(shí)質(zhì)性漏洞的跡象包括：

1）識(shí)別出與高級(jí)管理層有關(guān)的舞弊，無(wú)論重大與否；2）為反映對(duì)一個(gè)重大錯(cuò)報(bào)的更正而重述以前發(fā)布的財(cái)務(wù)報(bào)表；

3）審計(jì)師識(shí)別出了當(dāng)期財(cái)務(wù)報(bào)表中的一個(gè)重大錯(cuò)報(bào)，而當(dāng)期的情形表明公司財(cái)務(wù)報(bào)告內(nèi)部控制沒(méi)有發(fā)現(xiàn)該錯(cuò)報(bào)；

4）公司審計(jì)委員會(huì)對(duì)公司的對(duì)外財(cái)務(wù)報(bào)告和財(cái)務(wù)報(bào)告內(nèi)部控制的監(jiān)督無(wú)效。（PCAOB5-69）

注：PCAOB5-69表示：第5號(hào)審計(jì)準(zhǔn)則——與財(cái)務(wù)報(bào)表審計(jì)相結(jié)合的財(cái)務(wù)報(bào)告內(nèi)部控制審計(jì)第69條。（下同）29SOX404條款的實(shí)施-控制例外事項(xiàng)與缺陷的評(píng)估框架共51頁(yè)，您現(xiàn)在瀏覽的是第29頁(yè)!補(bǔ)償性控制、補(bǔ)充性控制和冗余性控制補(bǔ)償性控制（Compensatingcontrols）：能夠防范或發(fā)現(xiàn)年度或中期財(cái)務(wù)報(bào)告中影響程度“比較重要”或“重要”的錯(cuò)報(bào)的控制。其操作層面和執(zhí)行力度的確定應(yīng)當(dāng)與實(shí)施該控制后仍然存在未發(fā)現(xiàn)錯(cuò)報(bào)的可能性相聯(lián)系。（控制力度與效果相同。）補(bǔ)充性控制（Complementarycontrols）：與其它控制共同作用以實(shí)現(xiàn)相同控制目標(biāo)的控制。（不同的控制力度與效果。）冗余性控制（Redundantcontrols）實(shí)現(xiàn)與其他控制相同控制目標(biāo)的控制。30SOX404條款的實(shí)施-控制例外事項(xiàng)與缺陷的評(píng)估框架共51頁(yè)，您現(xiàn)在瀏覽的是第30頁(yè)!統(tǒng)計(jì)樣本量–90%準(zhǔn)確率31SOX404條款的實(shí)施-控制例外事項(xiàng)與缺陷的評(píng)估框架共51頁(yè)，您現(xiàn)在瀏覽的是第31頁(yè)!審計(jì)準(zhǔn)則第5號(hào)——評(píng)價(jià)識(shí)別出的缺陷PCAOB5-62：審計(jì)師必須評(píng)價(jià)其注意到的每一控制缺陷的嚴(yán)重性，以確定在管理層評(píng)價(jià)這些缺陷單獨(dú)或聯(lián)合起來(lái)是否是實(shí)質(zhì)性漏洞。PCAOB5-63：一個(gè)缺陷的嚴(yán)重性取決于：（1）公司的控制沒(méi)有防止或發(fā)現(xiàn)一個(gè)會(huì)計(jì)科目余額或披露事項(xiàng)的錯(cuò)報(bào)是否存在合理可能性；（2）由這個(gè)缺陷或多個(gè)缺陷導(dǎo)致的潛在錯(cuò)報(bào)的大小。

PCAOB5-64：一個(gè)缺陷的嚴(yán)重性并不取決于一個(gè)錯(cuò)報(bào)是否實(shí)際發(fā)生，而是取決于公司的控制沒(méi)有防止或發(fā)現(xiàn)一個(gè)錯(cuò)報(bào)是否存在合理可能性。32SOX404條款的實(shí)施-控制例外事項(xiàng)與缺陷的評(píng)估框架共51頁(yè)，您現(xiàn)在瀏覽的是第32頁(yè)!審計(jì)準(zhǔn)則第5號(hào)——評(píng)價(jià)識(shí)別出的缺陷（續(xù)）PCAOB5-66：對(duì)由一個(gè)或多個(gè)控制缺陷導(dǎo)致的錯(cuò)報(bào)來(lái)說(shuō)，影響其大小的因素包括但不限于下列因素（1）暴露與該缺陷的財(cái)務(wù)報(bào)表數(shù)額或交易總額；（2）對(duì)當(dāng)期已發(fā)生或預(yù)計(jì)未來(lái)期間會(huì)出現(xiàn)的缺陷，暴露于該缺陷的會(huì)計(jì)科目余額或交易類別中所含活動(dòng)的數(shù)量。PCAOB5-67：在評(píng)價(jià)潛在錯(cuò)報(bào)的大小時(shí)，一個(gè)會(huì)計(jì)科目余額或交易總額可以被高報(bào)的最大數(shù)額通常是記錄的總額，而低報(bào)可能性會(huì)更大。而且，在許多情況下，一個(gè)小錯(cuò)報(bào)的可能性比一個(gè)大錯(cuò)報(bào)的可能性要大。PCAOB5-68：在確定一個(gè)控制缺陷或多個(gè)控制缺陷的聯(lián)合是一個(gè)實(shí)質(zhì)性漏洞時(shí)，審計(jì)師應(yīng)當(dāng)評(píng)價(jià)補(bǔ)償性控制的作用。為了具有減輕的作用，補(bǔ)償性控制應(yīng)當(dāng)在會(huì)運(yùn)行在會(huì)防止或發(fā)現(xiàn)重大錯(cuò)報(bào)的精確層面上。

33SOX404條款的實(shí)施-控制例外事項(xiàng)與缺陷的評(píng)估框架共51頁(yè)，您現(xiàn)在瀏覽的是第33頁(yè)!控制例外事項(xiàng)與缺陷評(píng)估基本步驟34SOX404條款的實(shí)施-控制例外事項(xiàng)與缺陷的評(píng)估框架共51頁(yè)，您現(xiàn)在瀏覽的是第34頁(yè)!圖表1：評(píng)估在運(yùn)行有效性測(cè)試中發(fā)現(xiàn)的例外事項(xiàng)用于評(píng)估在穿行設(shè)計(jì)有效性測(cè)試和關(guān)鍵控制運(yùn)行有效性測(cè)試中發(fā)現(xiàn)的所有控制例外事項(xiàng)，包括控制活動(dòng)測(cè)試、信息系統(tǒng)總體控制測(cè)試和主體層面控制測(cè)試。

35SOX404條款的實(shí)施-控制例外事項(xiàng)與缺陷的評(píng)估框架共51頁(yè)，您現(xiàn)在瀏覽的是第35頁(yè)!圖表1中的關(guān)鍵點(diǎn)步驟框2：如果沒(méi)有達(dá)到測(cè)試目標(biāo)，應(yīng)該考慮追加的測(cè)試是否可以支持偏差率不能代表總體的結(jié)論。得到“是”的結(jié)論是基于該例外事項(xiàng)不是足以代表總量的較小的控制錯(cuò)誤。這種情況是基于審計(jì)憑證及審計(jì)師根據(jù)對(duì)控制環(huán)境及測(cè)試取樣標(biāo)準(zhǔn)所做判斷的結(jié)果。

步驟框3：如果沒(méi)有達(dá)到最初測(cè)試目標(biāo)，那么有兩個(gè)選擇：

1）如果認(rèn)為觀察到的例外情況和所導(dǎo)致的不可忽視的偏差率對(duì)總體來(lái)說(shuō)沒(méi)有代表性（如：由于抽樣錯(cuò)誤），那么可以擴(kuò)大測(cè)試樣本量并進(jìn)行重新評(píng)估

2）如果認(rèn)為觀察到的例外情況和導(dǎo)致的不可忽視的偏差率可以代表總體，則認(rèn)為此例外情況構(gòu)成控制缺陷并將對(duì)重要性進(jìn)行評(píng)估。36SOX404條款的實(shí)施-控制例外事項(xiàng)與缺陷的評(píng)估框架共51頁(yè)，您現(xiàn)在瀏覽的是第36頁(yè)!圖表2B：評(píng)估流程/交易層面控制缺陷的評(píng)估步驟2：確定是否存在實(shí)質(zhì)性漏洞37SOX404條款的實(shí)施-控制例外事項(xiàng)與缺陷的評(píng)估框架共51頁(yè)，您現(xiàn)在瀏覽的是第37頁(yè)!圖表2中的關(guān)鍵點(diǎn)

步驟框4：在沒(méi)有任何定性因素影響之下，包括PCAOB5中所列的因素，如果缺陷導(dǎo)致的年度和期中財(cái)務(wù)報(bào)表的潛在重要程度小于“重要”，則該控制缺陷僅被確認(rèn)為“重要缺陷”。

步驟框5：如果存在以可以預(yù)防、發(fā)生年度或期中財(cái)務(wù)報(bào)表中重要錯(cuò)報(bào)的準(zhǔn)確度運(yùn)行的補(bǔ)償性控制控制，則可以支持缺陷不構(gòu)成實(shí)質(zhì)性漏洞的結(jié)論。38SOX404條款的實(shí)施-控制例外事項(xiàng)與缺陷的評(píng)估框架共51頁(yè)，您現(xiàn)在瀏覽的是第38頁(yè)!圖表2中的關(guān)鍵點(diǎn)步驟框7和8：

在評(píng)估財(cái)務(wù)報(bào)表內(nèi)部控制缺陷的重要程度時(shí)，審計(jì)師應(yīng)該確定使謹(jǐn)慎的管理者有合理的確信度認(rèn)為公司的交易得到適當(dāng)?shù)挠涗浺允沟秘?cái)務(wù)報(bào)表的編制滿足公認(rèn)會(huì)計(jì)準(zhǔn)則的詳細(xì)水平和確信程度。如果審計(jì)師確定缺陷會(huì)妨礙一個(gè)謹(jǐn)慎的管理者在執(zhí)行他們自己的工作時(shí)得到合理的確信度，那么審計(jì)師就應(yīng)該認(rèn)為缺陷至少是一個(gè)重要缺陷。如果已經(jīng)以這種方式確定一個(gè)缺陷構(gòu)成重要缺陷，那么審計(jì)師必須進(jìn)一步評(píng)估該缺陷，從而確定它是否單獨(dú)地或是和其他缺陷一起構(gòu)成實(shí)質(zhì)性漏洞。39SOX404條款的實(shí)施-控制例外事項(xiàng)與缺陷的評(píng)估框架共51頁(yè)，您現(xiàn)在瀏覽的是第39頁(yè)!圖表3中的關(guān)鍵點(diǎn)所有信息系統(tǒng)總體控制的缺陷都應(yīng)運(yùn)用圖表3進(jìn)行評(píng)估。若信息系統(tǒng)總體控制具有應(yīng)用系統(tǒng)層面控制的作用，則也可以運(yùn)用圖表2對(duì)其進(jìn)行評(píng)估。（直接影響財(cái)務(wù)應(yīng)用系統(tǒng)、會(huì)計(jì)科目或余額等的問(wèn)題）信息系統(tǒng)總體控制為信息系統(tǒng)應(yīng)用控制的依賴提供基礎(chǔ)，同時(shí)也為財(cái)務(wù)報(bào)表審計(jì)中所使用的管理層報(bào)告提供支持。如果信息系統(tǒng)總體控制出現(xiàn)的問(wèn)題并不嚴(yán)重，在某種程度上還是可以依賴信息系統(tǒng)應(yīng)用控制的。如果若干控制聯(lián)合作用以達(dá)到既定的信息處理目標(biāo)，那么還需測(cè)試相互依賴的控制（即補(bǔ)充性控制）。

40SOX404條款的實(shí)施-控制例外事項(xiàng)與缺陷的評(píng)估框架共51頁(yè)，您現(xiàn)在瀏覽的是第40頁(yè)!圖表3中的關(guān)鍵點(diǎn)步驟框3和4：如果應(yīng)用系統(tǒng)層面的控制缺陷與信息系統(tǒng)總體控制中的缺陷有關(guān)或由它所引起的，則信息系統(tǒng)總體控制缺陷應(yīng)與應(yīng)用系統(tǒng)中的缺陷結(jié)合起來(lái)評(píng)估，并且通常與應(yīng)用系統(tǒng)缺陷的分類是一致的：

1）如果應(yīng)用系統(tǒng)控制中的實(shí)質(zhì)性漏洞與信息系統(tǒng)總體控制中的缺陷有關(guān)或由它所引起的，說(shuō)明該信息系統(tǒng)總體控制缺陷也是實(shí)質(zhì)性漏洞；

2）如果應(yīng)用系統(tǒng)控制中的重要缺陷與信息系統(tǒng)總體控制中的缺陷有關(guān)或由它所引起的，說(shuō)明該信息系統(tǒng)總體控制缺陷也是重要缺陷；

3）如果應(yīng)用系統(tǒng)控制缺陷（僅是一般缺陷）與信息系統(tǒng)總體控制中的缺陷有關(guān)或由它所引起的，說(shuō)明該信息系統(tǒng)總體控制缺陷也是一般缺陷。41SOX404條款的實(shí)施-控制例外事項(xiàng)與缺陷的評(píng)估框架共51頁(yè)，您現(xiàn)在瀏覽的是第41頁(yè)!圖表4：主體層面控制缺陷評(píng)估42SOX404條款的實(shí)施-控制例外事項(xiàng)與缺陷的評(píng)估框架共51頁(yè)，您現(xiàn)在瀏覽的是第42頁(yè)!圖表4中的關(guān)鍵點(diǎn)步驟框4和6：如果有一定可能性一個(gè)缺陷會(huì)導(dǎo)致“大于不重要”的錯(cuò)報(bào)，該缺陷就是重要缺陷。如果有一定可能性缺陷會(huì)導(dǎo)致重大錯(cuò)報(bào)，該缺陷就屬于實(shí)質(zhì)性漏洞。這樣的判斷考慮了對(duì)如下因素的評(píng)估：

1）缺陷在公司中普遍性；

2）控制缺陷對(duì)組成部分的相對(duì)重要性；

3）產(chǎn)生錯(cuò)報(bào)的風(fēng)險(xiǎn)增加的跡象（根據(jù)以往錯(cuò)報(bào)的記錄）；

4）舞弊可能性增加（包括管理層無(wú)視內(nèi)控的風(fēng)險(xiǎn)）；

5）控制運(yùn)行有效性方面已知的或已發(fā)現(xiàn)的例外情況的原因和頻率；6）缺陷可能導(dǎo)致的未來(lái)后果。步驟框5：在考慮的定性因素包括PCAOB5中所列因素的情況下，對(duì)某些控制的評(píng)估會(huì)得出這樣的判斷，即有些缺陷的控制僅限于并歸類為重要缺陷。這樣的控制包括存在于其他組成部分中的補(bǔ)償性控制。43SOX404條款的實(shí)施-控制例外事項(xiàng)與缺陷的評(píng)估框架共51頁(yè)，您現(xiàn)在瀏覽的是第43頁(yè)!控制例外事項(xiàng)與缺陷評(píng)估實(shí)例44SOX404條款的實(shí)施-控制例外事項(xiàng)與缺陷的評(píng)估框架共51頁(yè)，您現(xiàn)在瀏覽的是第44頁(yè)!實(shí)例1——評(píng)估圖表1——評(píng)估運(yùn)行有效性步驟框1:

調(diào)查并了解例外事項(xiàng)產(chǎn)生的原因和導(dǎo)致的結(jié)果。是否實(shí)現(xiàn)了測(cè)試目標(biāo)？--否--見(jiàn)步驟框2。 步驟框2:

考慮管理層和審計(jì)師的測(cè)試結(jié)果——補(bǔ)充測(cè)試是否有可能支持“偏差率不能代表總體”的結(jié)論？

--是。這不是一個(gè)控制缺陷。45SOX404條款的實(shí)施-控制例外事項(xiàng)與缺陷的評(píng)估框架共