|
[以下内容摘自《险中求胜》,如需阅读全文,请购买正版图书] |
的行为规则,更确切地说,是确定其评估和内部沟通步骤的政策和程序。只有这些基础确定后,该团队才可以实施下一项主要任务,那就是确定公司的重要内部控制事项,确定哪些业务部门、地点以及区域包括在评估范围之内。计划应为管理层提供足够的时间来完成其评估任务,并采取更正措施,同时也应为外部审计师提供足够的时间来完成其工作,这一点非常重要。
在这个阶段过程中,你应当与你的审计师保持联系,此时进行任何必要的改正要比等整个程序进行到中间阶段时再修正要好得多。
总而言之,在第一阶段,需要做到:
1.建立项目治理机制,确定计划制定项目的管理方法到位。
2.选择一个内部控制框架,为评估提供适当的控制标准。
3.组建一支跨专业的团队,接受评估内部控制框架所需的培训,该团队由一位高级别的、精力充沛的管理人员领导。
4.决定你们的计划、政策以及评估范围。
5.在正式实施前, 由外部审计师审议该计划、政策和评估范围。
编制文档证明你们如何评估内部控制
编制公司实施财务报表内部控制的文档,这是管理层评估程序的一个关键部分。它证明了管理层声称的控制(包括控制的变更)已经被公司确认,并且能被公司监控。如果证明文件不充分,可能会导致内部控制的重大失误或重大缺陷。
编制文档阶段可能会花费你们小组大量的时间。内部控制的证明文档应当涵盖所有重要的控制项目,包括那些预防和查明重大财务报表账户余额、交易分类和信息披露中的错误陈述或欺诈的控制项目。对于那些使用COSO控制框架的公司来说,证明文档应当包括所有相关的财务报表声明和COSO内部控制的5个组成部分:控制环境、风险评估、控制行为、信息与沟通、监控。文档应当包括控制的设计,如控制目标、所强调的风险、负责人、相关义务的分配以及重要账户余额和交易分类的启动、处理和记录。
提示:这项任务可能非常艰难,因此很多公司选择自动化处理。市场上有很多根据COSO和404条款的要求设计的软件,可连续收集、组织和报告数据。
如果可能,建议在全公司范围内建立统一的文档信息收集和报告标准。管理层也可以聘请外部审计师帮助收集信息和呈报。但是,管理层必须积极参与并且全程负责,这既能满足有关独立性的要求,同时也能强化内部学习。
总之,在第二阶段,要做到:
1.考虑在整个企业范围内建立统一标准。
2.考虑采用自动软件工具以提高效率。
3.保证文档材料包含了所有控制(现行的监控不同地点、业务部门的经营、控制环境以及风险评估的控制措施)以及与管理层财务报表内部控制声明有关的重要控制的设计,包括:
(1)内部控制的每个组成部分。
(2)重要交易的启动、记录、处理和报告程序如何?
(3)用于预防和查明重要账户余额、交易分类和信息披露中的错误或欺诈的控制措施。
(4)其他重要控制所依赖的控制,包括总体控制。
(5)财务报表结算程序。
(6)安全控制。
评估控制设计和操作的有效性
管理层需要评估财务报表内部控制设计和操作的有效性,包括控制文件的完整性。评估结果也需要编制成文档资料。设计的有效性指控制的设计是否适当,从而能够预防或查明重大的虚伪陈述。操作的有效性是指控制如何适用,其适用的连贯性如何以及被谁适用;从根本上来说,是指控制是否如所设计的那样发挥作用。虽然证券交易委员会的规则没有规定评估操作有效性的方法,但仅仅询问是不够的。
提示:COSO框架为5个主要的内部控制组成部分——控制环境、风险评估、控制行为、信息及沟通、监控——提供了有益的评估标准和范例。
公司可能会希望具有一定的灵活性,每年轮流评估若干项目,而外部审计师则期望管理层的评估能够涵盖所有重要的业务地区和业务部门,并且涵盖与管理层财务报表内部控制有效性的声明相关的所有重要控制。
此外,法律禁止管理层把独立审计师的控制检验报告作为其对设计或操作有效性的结论依据。
总之,在第三阶段要做到
1.评估财务报表内部控制的设计和操作的有效性。
2.对操作的评估要根据足以证明其操作有效性的程序进行。根据每项内部控制有效性的相关声明,评估所有重要地区和重要的控制。仅进行询问并不构成适当的评估。
3.编制评估结果文档。
确认和更正缺陷
如同上述的文档编制阶段,在这个阶段,尤其是当你想在整个企业范围内建立统一的文件编制、控制和报告标准时,自动化是你最好的帮手。内部控制缺陷可能是设计或操作上的缺陷。管理层应当建立一个程序,在整个公司范围内,包括在所有经过评估的地区和业务部门内,确认和收集各项缺陷信息。管理层应当评估查出的内部控制设计和操作上的缺陷,评估这些业已查明的缺陷的重要性,并作整体考虑。此外,管理层还应当确定那些业已查明的控制缺陷是否导致了财务报告上的错误陈述。
在决定某项内部控制缺陷是否属于一项重大缺陷或弱点时,管理层需要详细了解相关事实和环境,也需要自己作出大量判断。为了使他们的结论有充分的证据支持,管理层应当证明一个特定的控制缺陷(或者具有共同特征或属性的内部控制的集合)没有得到改正,或没有阻止管理层得出以下结论——财务报表内部控制的实施非常有效。管理层还应当与审计委员会讨论缺陷的确认和更正程序。
提示:在决定采取任何补救措施之前,一定要进行现场”模拟试验。
管理层采取纠正措施来弥补其控制缺陷后,必须在改正后的控制措施实施并充分运行一段时间后,管理层再声明已经对改正后的控制措施进行过评估,并且从声明日开始,该控制措施运行良好。
管理层应当记住,内部控制,不管其设计和运行是多么良好,并不能百分之百地保证管理层和董事会能够达到公司的控制目标。目标的实现受到内部控制措施本身固有的局限性影响。这些局限性包括了人类在作决策时的判断可能是错误的,内部控制可能因为人的错误而出现问题。此外,两个人或多人可能串通规避控制,管理层也可能会妨碍内部控制的运行。
总之,在第四阶段要做到:
1.确认控制缺陷。
2.确认哪些缺陷在数量上或质量上或在两方面是巨大的,从而构成重大缺陷或重要弱点,包括:
(1)运行一项程序,在整个企业内部(包括所有评估过的地区和业务部门)识别和搜集所有缺陷。
(2)集合具有相同属性或特征的缺陷。
(3)评估(同时使用数量和质量要素)这些业经确认的缺陷(从总体来考虑)对内部控制效果的重要性。
(4)判定财务报表虚假陈述是否源自这些业经确认的内部控制缺陷。
(5)如果必要,就发现的事项与审计委员会、独立审计师和其他人进行沟通。
管理层关于财务报表内部控制的报告
这是书面报告的顶点,在此,管理层以书面形式阐明其职责——维持健全的内部控制体系,并且对该体系的有效性怀有信心。
一旦管理层完成了评估任务,就需要考虑第404条规定的报告要求。实施第404条的最后规则要求,提交给证券交易委员会的年度报告中都应包括一份内部控制报告,其内容应当包含本章前面所提到的要素。证券交易委员会并没有对管理层的报告规
|
