审计支持

重要提示:本技能协助 SOX 合规工作流,但不提供审计或法律建议。所有测试工作底稿和评估应由合格的财务专业人士审核。虽然"重要性"和"重大性"是由审计师最终评估的、取决于具体情境的概念,但本技能旨在协助专业人员创建和评估有效的内部控制及审计文档。

SOX 404 控制测试方法论、样本选择方法、测试文档标准、控制缺陷分类及常见控制类型。

SOX 404 控制测试方法论

概述

SOX 第 404 条要求管理层评估财务报告内部控制(ICFR)的有效性。这包括:

  1. 范围界定: 识别重要账户及相关认定
  2. 风险评估: 评估每个重要账户出现重大错报的风险
  3. 控制识别: 记录应对每项风险的控制措施
  4. 测试: 测试关键控制的设计和运行有效性
  5. 评估: 判断是否存在缺陷及其严重程度
  6. 报告: 记录评估结果及任何重大缺陷

重要账户的范围界定

如果一个账户存在超过极小的可能性包含重大错报(单独或合计),则该账户是重要的。

定量因素:

定性因素:

按账户类型划分的相关认定

账户类型 关键认定
收入 发生性、完整性、准确性、截止性
应收账款 存在性、估值(备抵)、权利
存货 存在性、估值、完整性
固定资产 存在性、估值、完整性、权利
应付账款 完整性、准确性、存在性
应计负债 完整性、估值、准确性
权益 完整性、准确性、列报
财务结账/报告 列报、准确性、完整性

设计有效性 vs 运行有效性

设计有效性: 控制措施是否经过恰当设计,能够防止或发现相关认定中的重大错报?

运行有效性: 控制措施在整个测试期间是否按设计实际运行?

样本选择方法

随机选择

适用场景: 适用于交易层面控制且总体较大的默认方法。

方法:

  1. 定义总体(测试期间内受该控制约束的所有交易)
  2. 对总体中的每个项目按顺序编号
  3. 使用随机数生成器选择样本项目
  4. 确保选择无偏差(所有项目被选中的概率相等)

优点: 统计有效、可辩护、无选择偏差 缺点: 可能遗漏高风险项目,需要完整的总体清单

针对性(判断性)选择

适用场景: 作为基于风险的测试中随机选择的补充;当总体较小或高度多样化时作为主要方法。

方法:

  1. 识别具有特定风险特征的项目:
  2. 选择符合风险标准的项目
  3. 记录每个针对性选择的原因

优点: 聚焦最高风险项目,测试工作使用效率高 缺点: 统计上不具代表性,可能过度代表某些风险

任意选择

适用场景: 当随机选择不可行(无顺序总体清单)且总体相对同质时。

方法:

  1. 不按特定模式或偏差选择项目
  2. 确保选择覆盖整个总体期间
  3. 避免无意识偏差(不要总是选择顶部、整数等项目)

优点: 简单,无需技术工具 缺点: 统计上无效,易受无意识偏差影响

系统选择

适用场景: 当总体是按顺序排列且希望在整个期间均匀覆盖时。

方法:

  1. 计算抽样间隔:总体大小 / 样本大小
  2. 在第一个间隔内选择随机起点
  3. 从起点开始每隔 N 个项目选择一个

示例: 总体 1,000,样本 25 → 间隔为 40。随机起点:第 17 项。选择项目 17、57、97、137……

优点: 总体覆盖均匀,执行简单 缺点: 总体中的周期模式可能导致结果偏差

样本量参考

控制频率 预期总体 低风险样本 中风险样本 高风险样本
年度 1 1 1 1
季度 4 2 2 3
月度 12 2 3 4
每周 52 5 8 15
每日 ~250 20 30 40
逐笔交易(小总体) < 250 20 30 40
逐笔交易(大总体) 250+ 25 40 60

增加样本量的因素:

测试文档标准

工作底稿要求

每项控制测试应记录以下内容:

  1. 控制识别:

  2. 测试设计:

  3. 测试执行:

  4. 结论:

  5. 签字确认:

证据标准

充分证据包括:

不充分证据:

工作底稿组织

按控制领域组织测试文件:

SOX 测试/
├── [年份]/
│   ├── 范围界定与风险评估/
│   ├── 收入循环/
│   │   ├── 控制矩阵
│   │   ├── 穿行测试文档
│   │   ├── 测试工作底稿(每个控制一份)
│   │   └── 支持性证据
│   ├── 采购到付款/
│   ├── 薪资/
│   ├── 财务结账/
│   ├── 资金/
│   ├── 固定资产/
│   ├── IT 一般控制/
│   ├── 实体层面控制/
│   └── 总结与结论/
│       ├── 缺陷评估
│       └── 管理层评估

控制缺陷分类

缺陷

当控制的设计或运行未能使管理层或员工在正常履行指定职能的过程中及时防止或发现错报时,即存在内部控制缺陷。

评估因素:

重大缺陷

一种缺陷或缺陷组合,其严重程度低于实质性缺陷,但重要到足以引起治理层的关注。

指示信号:

实质性缺陷

一种缺陷或缺陷组合,存在合理可能性导致财务报表的重大错报无法被及时防止或发现。

指示信号:

缺陷汇总

单独不重大的缺陷组合在一起可能变得重大:

  1. 识别同一流程中或影响同一认定的所有缺陷
  2. 评估合并影响是否可能导致重大错报
  3. 考虑补偿性控制中的缺陷是否加剧了其他缺陷
  4. 记录汇总分析和结论

整改

针对每个已识别的缺陷:

  1. 根本原因分析: 控制为何失败?(设计缺陷、执行失误、人员问题、培训不足、系统问题)
  2. 整改计划: 修复控制的具体措施(重新设计、额外培训、系统增强、增加审核环节)
  3. 时间表: 整改完成的目标日期
  4. 负责人: 负责实施整改的人员
  5. 验证: 如何以及何时重新测试整改后的控制以确认有效性

常见控制类型

IT 一般控制(ITGC)

对 IT 环境的控制,支持应用程序控制和自动化流程的可靠运行。

访问控制:

变更管理:

IT 运营:

人工控制

由人员运用判断执行的控制,通常涉及审核和批准。

示例:

测试的关键属性:

自动化控制

由 IT 系统强制执行、无需人工干预的控制。

示例:

测试方法:

依赖 IT 的人工控制

依赖系统生成信息的完整性和准确性的人工控制。

示例:

测试方法:

实体层面控制

在组织层面运作并影响多个流程的广泛控制。

示例:

重要性: