在私人公司和非营利组织所不具备的内部控制【外文翻译】.doc

1、 外文翻译 原文 Internal Control at Private Companies and Nonprofits Material Source: SEPTEMBER 2008/THE CPA JOURNAL Author: Chris Jeffrey All processes that had anything to do with financial statements were closely examined. All controls that mitigated even the smallest risks were documented and tested fo

2、r effectiveness. Some companies identified and tested thousands of primary or “key“ controls. Basically, a “bottom-up“ approach was followed, meaning that processes and controls were identified, documented, and tested without much regard for the risks posed to the organization or its financial state

3、ments. The result was thousands of staff hours and millions of dollars. Not only did managements follow this approach, but so did their external auditors, causing audit fees to skyrocket. Why Internal Controls Are Important for All Organizations? So why would a private company or a nonprofit organiz

4、ation want to endure the pain of SOX compliance described above if it is not required to? The bottom line is this: Strong internal controls provide a competitive advantage. Organizations with strong internal controls can respond more quickly to risk events and can turn risks into opportunities. All

5、organizations face risk. Risk can arise in many forms, including financial statement or reporting risk, fraud risk, reputational risk, environmental risk, and strategic risk. SOX was originally designed to address financial statement and reporting risk in addition to fraud risk. Why then, would an o

6、rganization choose to address the risks surrounding reporting and fraud risk before other strategic, operational, or compliance risks? One compelling reason to start with financial and reporting risk is that it can provide immediate benefits. By implementing a strong system of internal controls over

7、 financial reporting, several short-term benefits can be realized, such as reduced incremental borrowing rates, increased confidence form investors or donors(in the case of a nonprofit),and a reduction in fraud exposure. In addition, from a succession planning standpoint, if a private company hits a

8、 strong system of internal controls over financial reporting, the company is likely to yield more value in an acquisition and is better prepared to go public. Another reason is that there is an abundance of predefined tools, templates and methodologies that have already been developed for SOX compli

9、ance available from consulting firms, external auditors, and even on the Internet. These tools can typically be customized to fit any size or type of organization and can greatly reduce compliance costs. In addition, many consulting firms either have developed or are in the process of developing tur

10、nkey approaches to fit organizations of any size in several industries. The risk of fraud in an organization, specifically the misappropriation of assets, should not be underestimated. The 2006 Association of Certified Fraud Examiners Report to the Nation in Occupational Fraud (例如 ， 花费进度、收入过程、财政进程 )

11、每 个 财务报表标题 的 排名就通过各种各样的度量标准 ， 最常见的是影响 程度 和可能作为基准 ，通常是影响重要性阈值。可能是典型的结合使用作为基准的集中化活动 ， 复杂的活动 ， 自动化水平的过程 。 因此 ， 交易数额活动管理模式结合使用 ， 这两种度量结果 ， 在 固有风险、或重要误报的风险中的应用 ， 推导出内部控制 。基于水平的固有风险、管理 ， 可以决定在哪里集中 注意 力 度 。无论 怎么样的 风险 ，风险评估排名只 是 时间点文件。因此 ， 他们只有 在 原来的情况下与假设风险评估 的 根据 是 不会改变。 让风险评估 继续有效 ， 至少每年一次 需 要 更新 。 一旦风险评

12、价是完整的 ， 该组织能开始文件过程 中 最危险 的过程 。文件可以采取多种形式 ， 从过程流程图来描述的叙事 ， 只要它指出了分 析 在过程中 ，“主要的”或“关键 的” 控制发生 ， 其中一个关键控制的定义是 ， 它可减少 财务报表 重要错误的可能性 或缩小遭到诈骗的风险 (或虚假财务报告或滥用资产 )的可能性。关键 是 控制行为 ， 值得注意的是这是要考虑 控制的有效性。最简单的方法来确认重要 控制 的 开始 ， 识别的财务报告或商业目标 中的 主要风险 ， 最后完成 这些目标的关键控制系统 ， 充分减少这些风险。 接下来 文档后的控制环境是测试控制环境。一个 NON-SEC 注册人的区

13、域 比秒注册人 可以更有效率。一般情况下 ， 外部审计人员需要秒到 90% - 95%的测试者的可信度 ， 这可能意味着测试盲降进近 60 人交易 (或者更多个 )或控制情况下的有效性。 Non-SEC 注册人 通常 不 需要 到达 这种 严密 水平 ， 事实上 ， 美国证券交易委员会的指导管理不再需要管理的测试者 。 美国证券交易委员会 (SEC)水平 ， 是以一个实际的层面上 ， 既是 许多外部审计人员将参加类似的测试 ， 仍然 对 高危地区 信心 。这个控件是舒适运营 的 并且正如设计 者所料的 ， 其他组织可以 对 测试感到自信 。这将是各公司和 组织 能 对 每道工艺间的不同标题或财

14、务报表 ， 自己察觉 风险。在某些情况下 ， 特别是在一个简单或集中环境， 日常互动和介入管理具有一定水平的可能就足够了。 管理是测试它的控制环境 ， 它可能会注意在哪些领域控制机制并没有 像 设计或预期一样的功能。这些被称之为“操作不足之处。”最后一步 ， 测试控制环境是调整操作不足之处。操作缺乏控制修复可以采取很多方式 ， 包括流程改造过程中工作人员进一步隔离之间的责任或转让营运单位控制其他 ， 这可能意味着放弃额外的步骤 ， 使控制性能更明 显 ， 和证据可以 更易 采集。它同样可以代表放弃了电流控制赞成一种更多的功能内部控制。 组织这些实践开始 ， 与 最早期那些相比 ， 有一个明确 的 竞争力 ， 他们可以获得 更多 的融资 ， 他们将认识到物有所值的合并、收购 ， 他们将利用机遇的速度比他们的竞争者 更迅速 。