實質(zhì)性漏洞認定標(biāo)準(zhǔn)

1、實質(zhì)性漏洞認定標(biāo)準(zhǔn) 2006年是公司的第一個內(nèi)控審計年，我們的目標(biāo)是確保通過審計，這就首先需要我們了解審計標(biāo)準(zhǔn)。根據(jù)美國上市公司會計監(jiān)管委員會審計準(zhǔn)則第二號，公司內(nèi)控部與普華專家共同編寫了內(nèi)控審計缺陷認定規(guī)范，并且已經(jīng)納入到公司內(nèi)部控制管理手冊第五分冊，發(fā)布執(zhí)行。這是我們通過審計測試的最基本的標(biāo)準(zhǔn)和條件。今天我向大家介紹實質(zhì)性漏洞的認定標(biāo)準(zhǔn)。我講三個方面的內(nèi)容：1、基本概念2、認定標(biāo)準(zhǔn)3、關(guān)注問題第一個內(nèi)容：基本概念 內(nèi)控體系運行的基本要求是設(shè)計有效，執(zhí)行有力。在內(nèi)控審計的過程中， 所有的審計發(fā)現(xiàn)，統(tǒng)稱為例外事項，根據(jù)缺陷認定規(guī)范對例外事項進行分析評估，可以判定出控制缺陷，再根據(jù)缺陷的影響程度

2、和重要性，將缺陷劃分為： 一般缺陷 重要缺陷 實質(zhì)性漏洞一般缺陷：如果內(nèi)控設(shè)計或運行使得管理層或員工在執(zhí)行指定任務(wù)的正常過程中，無法及時防止或發(fā)現(xiàn)錯報，那么就存在一般內(nèi)部控制缺陷。 重要缺陷：一種嚴(yán)重影響公司根據(jù)公認會計準(zhǔn)則要求對財務(wù)報告數(shù)據(jù)進行可靠的初始化處理、授權(quán)、記錄、處理和報告的能力的一個或多個控制缺陷的匯總。重要缺陷有一定可能性導(dǎo)致不能防止或發(fā)現(xiàn)錯報金額大于“不重要”的年度或中期財務(wù)報告的錯報。這里，重要缺陷有三個關(guān)注點，第一，嚴(yán)重影響公司的財務(wù)報告；第二，它是一個或多個控制缺陷的匯總；第三，錯報的金額大于“不重要”。實質(zhì)性漏洞：導(dǎo)致無法預(yù)防或發(fā)現(xiàn)年度或中期財務(wù)報表重大錯報的可能性“

3、大于微小”的一個重要缺陷或多個重要缺陷的組合。這里也有兩個關(guān)注點，一個是“重大錯報”，“重大錯報”的具體含義我們后面再作介紹。第二，就是“大于微小”。 不同層面控制缺陷類型的認定具體標(biāo)準(zhǔn)不同，但方法基本一致，即定量分析或定性判斷。內(nèi)控缺陷認定程序如該圖所示：例外事項能否代表總體以及追加測試是否仍存在缺陷對年度及中期財務(wù)報表是否“不重要”？年度和中期財務(wù)報表的潛在錯報是否低于“重要”？實質(zhì)性漏洞例外事項一般缺陷重要缺陷是，是，是，否，否，否，內(nèi)控缺陷對財務(wù)報告的影響如該圖表所示：缺陷類型與管理層溝通與審計委員會溝通與董事會溝通公司對外披露審計報告意見一般缺陷無保留意見重要缺陷無保留意見實質(zhì)性漏洞

4、否定意見第二個問題：實質(zhì)性漏洞的認定標(biāo)準(zhǔn)實質(zhì)性漏洞認定標(biāo)準(zhǔn)共有九個方面：1、對已簽發(fā)的財務(wù)報告重報更正錯誤2、審計師發(fā)現(xiàn)的、未被識別的當(dāng)期財務(wù)報告中的重大錯報3、審計委員會對財務(wù)報告內(nèi)部控制監(jiān)督無效4、公司內(nèi)部審計職能或風(fēng)險評估職能無效5、高級管理層中的任何程度的舞弊行為6、重大缺陷沒有在合理期間得到整改7、控制環(huán)境失效8、信息系統(tǒng)總體控制無效9、已確認的超過控制標(biāo)準(zhǔn)的重大錯報 以上九個方面任何一個方面存在實質(zhì)性漏洞，即可被認為內(nèi)控?zé)o效，審計師將出具否定意見。下面逐一介紹：一、對已簽發(fā)的財務(wù)報告重報更正錯誤 公司按規(guī)定期限報送已簽發(fā)的財務(wù)報告（含年報和半年報）后，對財務(wù)報告重新報送以更正財務(wù)報

5、告中的錯報，包括對當(dāng)年財務(wù)報告和以前年度財務(wù)報告進行更正，直接認定為實質(zhì)性漏洞。這里有幾個關(guān)鍵點，是已經(jīng)簽發(fā)的財務(wù)報告，重新報送包括當(dāng)年的報告和以前年度的報告。有一個例外，由于國家和上市地會計準(zhǔn)則和制度變化、以及公司按規(guī)定進行的會計政策調(diào)整，需要對以前年度財務(wù)報告進行追溯調(diào)整的，不屬于此類情況。二、審計師發(fā)現(xiàn)的、未被識別的當(dāng) 期財務(wù)報告中的重大錯報 當(dāng)公司完成財務(wù)報告編制并正式簽發(fā)提交外部審計后，外部審計師發(fā)現(xiàn)財務(wù)報告中存在重大錯報公司需對錯報進行更正并重新編制財務(wù)報告，這種情況認定為存在實質(zhì)性漏洞。這里的關(guān)注點是“正式簽發(fā)的財務(wù)報告”，再就是重大錯報，重大錯報的界限和標(biāo)準(zhǔn)是：股份公司錯報金額

6、大于或等于稅前利潤的3%、地區(qū)公司錯報的金額大于或等于總資產(chǎn)的3。三、審計委員會對財務(wù)報告內(nèi)部控制監(jiān)督無效 SEC等監(jiān)管機構(gòu)對審計委員會有明確的職責(zé)和資質(zhì)要求，如果審計委員會不能履行對公司的對外財務(wù)報告和財務(wù)報告的內(nèi)部控制實施有效的監(jiān)督或不具備監(jiān)督財務(wù)報告準(zhǔn)確的資質(zhì)及能力，就可以認定為審計委員會監(jiān)督無效。著從兩個方面來說，一是不能履行實時有效的監(jiān)督。二是指他自身不具備這個資質(zhì)和能力。審計委員會對財務(wù)報告內(nèi)部控制監(jiān)督具體包括以下八方面1、監(jiān)督方式：包括會議、議程、活動、章程等。2、獨立性：所有成員均為獨立董事。3、財務(wù)專家：成員中應(yīng)有一名國際會計準(zhǔn)則專家。4、反舞弊控制：監(jiān)督反舞弊程序，參與舞弊

7、風(fēng)險評估，通過舉報獲知問題，取得舞弊事件報告，參與重大事件調(diào)查。5、對于內(nèi)審監(jiān)督的角色和責(zé)任：包括內(nèi)審主管任命征求意見，審核預(yù)算、計劃、重大發(fā)現(xiàn)，定期與內(nèi)、外部審計師單獨會晤。6、監(jiān)督財務(wù)報告流程。7、監(jiān)督有關(guān)財務(wù)報告的內(nèi)部控制。8、審計委員會有效性評估：包括董事會評估或自我評估。上述八條中，第三項不符合條件，就可以直接認定為實質(zhì)性漏洞，不具備監(jiān)督的資質(zhì)和能力。其他各項，如果存在缺陷，經(jīng)過綜合評價，也可被認定為監(jiān)督無效。四、內(nèi)部審計職能或風(fēng)險評估職能無效 內(nèi)部審計工作基本要求有六個方面： 1、 制訂內(nèi)部審計工作規(guī)定。包括以下內(nèi)容：目標(biāo)、工作范圍、義務(wù)、獨立性、職責(zé)、權(quán)利及審計實務(wù)標(biāo)準(zhǔn)等，通過審

8、計委員會審議，報高管層批準(zhǔn) 2、參加本單位有關(guān)經(jīng)營管理會議，有權(quán)了解、收集與審計事項有關(guān)的全部經(jīng)營管理信息及資料；要求被審計單位真實、完整、全面、及時提供與被審計事項相關(guān)的信息和資料。有權(quán)要求被審計單位負責(zé)人對本單位提供資料的真實性和完整性作出書面承諾 3、與管理層和業(yè)務(wù)部門就內(nèi)部審計的角色和責(zé)任進行溝通，并得到清晰的理解4、內(nèi)部審計的獨立性 包括： 1）公司審計部定期或應(yīng)要求向監(jiān)事會、董事會/審計委員會、總裁以及上級審計機構(gòu)報告工作，重要審計發(fā)現(xiàn)及時報告并提出處理意見；地區(qū)公司審計部門定期向本單位總經(jīng)理報告工作，同時或應(yīng)要求向公司審計部報告重要審計發(fā)現(xiàn)及處理情況。 2）審計機構(gòu)不承擔(dān)本單位的

9、經(jīng)營責(zé)任，審計人員不執(zhí)行生產(chǎn)經(jīng)營管理業(yè)務(wù)工作的具體操作。5、內(nèi)審組織結(jié)構(gòu)和人員資歷 包括： 1） 保證開展內(nèi)部審計工作所必須的審計資源，各級審計機構(gòu)的人員數(shù)量、職級、專業(yè)結(jié)構(gòu)，根據(jù)需要和相關(guān)規(guī)范進行配備。建立適當(dāng)?shù)慕Y(jié)構(gòu)和協(xié)調(diào)機制 2） 內(nèi)審部門擁有足夠具備必要技能、相關(guān)經(jīng)驗及專業(yè)資格的內(nèi)審人員 3）內(nèi)部審計人員應(yīng)接受繼續(xù)教育和培訓(xùn)，保證勝任工作的知識、技能和其他能力6、恰當(dāng)?shù)膶徲嫹椒?主要指： 1） 根據(jù)公認的專業(yè)標(biāo)準(zhǔn)，采用適當(dāng)?shù)膶徲嫹椒?包括：國際注冊內(nèi)部審計師協(xié)會頒布的內(nèi)部審計實務(wù)標(biāo)準(zhǔn)，股份公司內(nèi)部審計規(guī)范等 2）正式記錄審計方法和過程。在各個層面建立正式的質(zhì)量控制程序 3） 年度工作計劃

10、包括年度重點工作安排和以風(fēng)險為導(dǎo)向的審計項目計劃如果上述相關(guān)工作沒有達到要求，在對相關(guān)因素進行綜合考慮后，可以認定內(nèi)審職能無效 風(fēng)險評估職能無效主要指以下工作未能有效開展： 1、 制定風(fēng)險評估方法，明確風(fēng)險評估的程序和方法，并配置有經(jīng)驗的人員來開展此項工作。 2、每年組織開展針對財務(wù)報告風(fēng)險的風(fēng)險評估，識別和分析來自公司內(nèi)部和外部的、存在于業(yè)務(wù)活動層面、公司層面和舞弊方面的風(fēng)險。包括重要會計科目和披露事項的確認、財務(wù)報表認定、重要業(yè)務(wù)單位確認、重要業(yè)務(wù)流程的對應(yīng)。當(dāng)有新業(yè)務(wù)發(fā)生時或現(xiàn)有業(yè)務(wù)發(fā)生新的風(fēng)險時，隨時評估風(fēng)險。完成風(fēng)險評估后及時更新風(fēng)險數(shù)據(jù)庫。3、 將識別出的風(fēng)險與現(xiàn)有的風(fēng)險數(shù)據(jù)庫、業(yè)

11、務(wù)流程和控制進行對比，補充、完善、修訂相關(guān)流程、風(fēng)險數(shù)據(jù)庫和控制措施。4、完成風(fēng)險評估后及時向內(nèi)控項目建設(shè)委員會、審計委員會報告，向相關(guān)部門溝通和傳達。5、 每年開展一次管理層測試，對風(fēng)險評估及風(fēng)險相關(guān)的控制進行監(jiān)督。 以上1、2、5項工作沒有開展，可直接認定風(fēng)險評估職能無效，認定為存在實質(zhì)性漏洞。其他方面沒有達到要求，綜合考慮也會導(dǎo)致風(fēng)險評估職能無效，也可能認定為存在實質(zhì)性漏洞。五、高級管理層中的任何程度的舞弊行為 由于高層基調(diào)在整個控制環(huán)境中的重要作用，高級管理層的任何程度舞弊都會對控制環(huán)境產(chǎn)生消極影響，所以與財務(wù)報告相關(guān)的高級管理人員任何程度的舞弊行為都會造成實質(zhì)性漏洞。這里應(yīng)該關(guān)注的是

12、“任何程度”。根據(jù)公司的具體情況，與財務(wù)報告相關(guān)的高級管理層具體人員包括：公司總裁、財務(wù)總監(jiān)、財務(wù)部總經(jīng)理和副總經(jīng)理；專業(yè)分公司總經(jīng)理和總會計師；地區(qū)公司的總經(jīng)理、負責(zé)財務(wù)的副總經(jīng)理和總會計師。高級管理層舞弊行為分為六個方面1、財務(wù)報告舞弊。包括人為調(diào)整報表事項、人為變更會計處理方法、會計數(shù)據(jù)未經(jīng)授權(quán)修改；資本公積金使用舞弊；不適當(dāng)和不充分的披露等。2、資產(chǎn)不當(dāng)使用。包括侵吞資金、挪用資金、賬外“小金庫”、虛假發(fā)票和盜賣資產(chǎn)等；截流虛發(fā)工資、少繳社會保險；多計工程造價、虛列項目套取資金等。3、不實的收入、不實的費用及負債。包括商業(yè)和政府的行賄；以購（領(lǐng)）代耗形成賬外料；人為調(diào)節(jié)資本性支出和損益

13、性支出等。 4、收入和資產(chǎn)的不當(dāng)取得。故意在工程成本、地質(zhì)勘探支出、油氣開發(fā)支出等確認計提時舞弊；評估不實造成資產(chǎn)虛購等。5、偷稅及漏稅。有意不按規(guī)定及時、足額繳納稅費，未經(jīng)稅務(wù)部門批準(zhǔn)在稅前列支非正常損失。6、高層舞弊。授意對財務(wù)報告調(diào)整。 六、重要缺陷沒有在合理期間得到糾正 外部審計師發(fā)現(xiàn)的重要缺陷，在與管理層、審計委員會溝通后，公司沒有及時整改或整改后沒有充足的時間滿足確認該控制缺陷整改后是否有效，即認定為實質(zhì)性漏洞。也就是說，當(dāng)發(fā)現(xiàn)重要缺陷后，溝通了之后就要進行改進，改進后還要有足夠的運行時間，讓審計師再一次認定和測試，以確認這項控制是否有效。如果沒有及時改進是實質(zhì)性漏洞；如果改進了之

14、后沒有足夠的時間來確認這項控制是有效的，那么它也是一個實質(zhì)性漏洞。如果改進之后這項控制是存在的、有效的，但是如果沒有足夠的時間運行，讓審計師來確認，不管你的執(zhí)行情況怎么樣，都要認定為實質(zhì)性漏洞。內(nèi)控有效運行的執(zhí)行周期如圖表所示：內(nèi)控頻率在報告前有效運行的最短執(zhí)行周期每季2個季度每月2個月每周5周每天20天一天多次執(zhí)行25次需要的天數(shù)這里我們還應(yīng)特殊注意的是，與年度財務(wù)報告相關(guān)的，年度末一次性發(fā)生的控制事項，對于這樣的控制實項沒有改進時間，因為是到年末一次發(fā)生的，如果存在缺陷或存在漏洞，那就一次性認定為實質(zhì)性漏洞。公司對地區(qū)公司缺陷改進，將采用內(nèi)部控制改進意見書方式督促工作。對于重要缺陷沒有在規(guī)

15、定的時間內(nèi)及時糾正，或改進沒有達到規(guī)定的要求，認定為實質(zhì)性漏洞。七、控制環(huán)境無效 控制環(huán)境包括的內(nèi)容比較廣，以下六個方面有一個或一個以上不符合要求，即被視為控制環(huán)境無效：1、審計委員會監(jiān)督無效（如前所述）2、高級管理層在全公司推動內(nèi)部控制管理程序 包括：建立公司治理結(jié)構(gòu)，公司的制度、政策必須得到貫徹執(zhí)行，建立全面的內(nèi)部文檔記錄，并對內(nèi)控體系進行監(jiān)督，實施定期評估，確保有關(guān)財務(wù)報告內(nèi)部控制持續(xù)有效運行3、反舞弊或舉報機制 主要包括：1）政策和溝通 公司的政策和程序應(yīng)該包括反舞弊程序的關(guān)鍵要素，管理層和員工應(yīng)該準(zhǔn)確地理解反舞弊程序。2）舞弊風(fēng)險評估 管理層應(yīng)每年至少進行一次全面的舞弊風(fēng)險評估。3）

16、反舞弊措施 對準(zhǔn)備聘用或晉升到重要崗位的人員進行背景調(diào)查，包括教育背景、工作經(jīng)歷、犯罪記錄等，并有正式的文字記錄，保存在員工檔案中。4）道德熱線/舉報機制5）對舞弊事件的反應(yīng) 公司對員工舉報或?qū)嶋H的重大舞弊進行調(diào)查，并記錄過程和解決方法。6）持續(xù)的監(jiān)督：對反舞弊控制的持續(xù)監(jiān)督應(yīng)該融入于日常的控制活動。內(nèi)部審計部門應(yīng)該進行定期監(jiān)督。要有適用于所有員工的道德準(zhǔn)則。4、會計政策和程序 主要包括：1）編制會計政策手冊2）定期審核和更新會計政策3）管理層與外部審計師和其他外部專家密切溝通4）開展正式的培訓(xùn)或溝通，建立適當(dāng)?shù)耐緩揭员ＷC公司對會計準(zhǔn)則的認識5、針對非常規(guī)（非重復(fù)）或復(fù)雜交易的控制。主要內(nèi)容包

17、括：1）管理層及時發(fā)現(xiàn)可能對財務(wù)報告造成重大影響的非常規(guī)（非重復(fù)）或復(fù)雜交易2）管理層采取適當(dāng)措施，對正確的會計處理達成共識，并恰當(dāng)記錄該決策過程3）針對這些交易，管理層與外部審計師進行充分討論并適當(dāng)?shù)嘏?、信息系統(tǒng)總體控制 信息系統(tǒng)總體控制存在重要缺陷，由于其廣泛性和重要性，于其他因素綜合進行評價，可以導(dǎo)致得出公司控制環(huán)境無效的結(jié)論。八、信息系統(tǒng)總體控制無效包括以下三方面內(nèi)容：1、由信息系統(tǒng)總體控制缺陷所引起的應(yīng)用控系統(tǒng)控制缺陷進行匯總以后，經(jīng)過定量分析，影響水平已經(jīng)達到或者是超過股份公司當(dāng)年合并報表稅前利潤的3%（地區(qū)公司為總資產(chǎn)3），直接認定為實質(zhì)性漏洞。2、應(yīng)用系統(tǒng)控制缺陷影響程度超

18、過控制標(biāo)準(zhǔn)，認定為實質(zhì)性漏洞。同時認定信息系統(tǒng)總體控制存在實質(zhì)性漏洞。3、多個信息系統(tǒng)總體控制重要缺陷匯總后，即使影響水平?jīng)]有達到重要性水平,通過以下七個方面的定性因素分析，也可以認定為實質(zhì)性漏洞 1）缺陷的性質(zhì)和重要性； 2）應(yīng)用系統(tǒng)和數(shù)據(jù)中存在缺陷的普遍性； 3）系統(tǒng)環(huán)境的復(fù)雜性和缺陷會負面影響信息系統(tǒng)應(yīng)用控制的可能性； 4）控制與應(yīng)用系統(tǒng)和數(shù)據(jù)的關(guān)聯(lián)程度； 5）信息系統(tǒng)總體控制缺陷是否與易受損失或舞弊影響的應(yīng)用系統(tǒng)和控制相關(guān)； 6）在信息系統(tǒng)總體控制運行的有效性中已知或發(fā)現(xiàn)的例外情況的原因和頻率； 7）過去年度及當(dāng)年發(fā)生的錯報顯示出的風(fēng)險的增加，與信息系統(tǒng)總體控制缺陷影響有關(guān)。九、已確認

19、的超過控制標(biāo)準(zhǔn)的重大錯報 在內(nèi)控審計過程中，通過對關(guān)鍵控制抽樣測試，發(fā)現(xiàn)例外事項（主要指影響財務(wù)報告的錯報），對例外事項按照缺陷認定規(guī)范分析評估，確認這一缺陷，再依據(jù)缺陷的樣本量推算影響總量，對比重要性水平標(biāo)準(zhǔn)進行分析，達到或超出重要性水平標(biāo)準(zhǔn)的，就直接確認為“超過控制標(biāo)準(zhǔn)的重大錯報”，確定為實質(zhì)性漏洞?！爸卮箦e報”定量標(biāo)準(zhǔn)如圖所示：缺陷類型標(biāo)準(zhǔn)實質(zhì)性漏洞重要缺陷一般缺陷合并報表稅前利潤30.5（含）30.5地區(qū)公司總資產(chǎn) 30.5（含）30.5單個控制或影響到同一個重要會計科目或披露事項的多個重要缺陷匯總（包括應(yīng)用控制系統(tǒng)）：1、影響水平達到或超過當(dāng)年股份公司合并報表稅前利潤的3%（地區(qū)公司

20、為資產(chǎn)總額3），直接認定為實質(zhì)性漏洞2、影響水平低于股份公司合并報表稅前利潤的3%、但達到或者超過0.5%的（地區(qū)公司為資產(chǎn)總額0.5)，經(jīng)過定性因素分析，認定為實質(zhì)性漏洞。這個定性分析是與實質(zhì)性漏洞的其它方面進行的綜合分析。以上介紹了實質(zhì)性漏洞認定的九個方面的標(biāo)準(zhǔn)?？偨Y(jié)一下，與財務(wù)報告編制直接相關(guān)的有五個方面，第一項，更正錯誤；第二項，審計時發(fā)現(xiàn)的重大錯報；第三項，重大的缺陷沒有得到改進和糾正；第四項，信息系統(tǒng)總體控制；第五項，重大錯報。這主要是集中在業(yè)務(wù)層面。從公司層面來看，是其余的四個方面，第一是審計委員會；第二是內(nèi)審和風(fēng)險評估職能的實現(xiàn)；第三是高管舞弊；第四是控制環(huán)境。所以要特別關(guān)注財

21、務(wù)報告的編制過程。最后我講需要關(guān)注的問題首先介紹國外案例： 美國上市企業(yè)2004年里內(nèi)控審計的有關(guān)情況反映，50.1%的實質(zhì)性漏洞是由于財務(wù)制度和程序所導(dǎo)致，例如存貨流程、財務(wù)關(guān)賬流程、總帳調(diào)節(jié)流程等。29.6的實質(zhì)性漏洞是由于人員的問題所導(dǎo)致，例如權(quán)責(zé)分工、不適當(dāng)?shù)膯T工安排、相關(guān)的培訓(xùn)和監(jiān)督問題等。.%的實質(zhì)性漏洞是由于IT控制所導(dǎo)致，例如操作系統(tǒng)和應(yīng)用系統(tǒng)的安全問題、變更管理等。1.5%的實質(zhì)性漏洞是由于其他問題所導(dǎo)致，如稅務(wù)的相關(guān)問題。其中能源行業(yè)未能通過內(nèi)控審計的公司案例如下：布里罕勘探公司 主要問題是 缺乏準(zhǔn)備和復(fù)核已探明油氣儲量損耗費用計算的有效控制；梅里第安資源公司 在以下方面發(fā)現(xiàn)問題：1、油井維修發(fā)票的編號；2、收入預(yù)提流程；3、匯款交易的發(fā)起和執(zhí)行的職責(zé)分離。艾及石油公司 公司間往來交易和余